AWS 客戶端 VPN 客戶端 CIDR 范圍的目的？

Question

最初是在 AWS 論壇上提出的，但我感覺我很長一段時間都不會收到回復，所以我也在這里提出了我的問題：

我最近根據本指南設置了一個客戶端 VPN。 連接后，我能夠成功訪問互聯網以及私有子網中的資源，因此此時我對所有部分如何組合在一起有了基本的了解，除了一個：客戶端 CIDR 范圍。 這個概念給我帶來了很多麻煩，我認為它把構建時間延長了 2 天，因為我試圖將它連接到客戶端 VPN 涉及的其他概念。 但是當我不完全理解一件事時，它會困擾我，所以我有一些問題：

• 假設 Range 與目標網絡不重疊，與它所在的 VPC 處於相同的 CIDR 范圍是否會從中受益？ 為什么或者為什么不？
• 為什么 Range 需要大小為 /22，而目標網絡可以小到 /27？ 這是否意味着由於給定子網中有可用地址，還有 2^5 個客戶端可能正在嘗試訪問 VPC 中的資源？
• 在為私有子網設置安全組時，我注意到我必須使用基於目標子網客戶端連接的 CIDR 范圍的規則，而不是客戶端 CIDR 范圍 - 為什么會這樣？

正如您可能從我的問題中看出的那樣，我不是網絡管理員。 我正在嘗試了解那個世界，同時我正在嘗試啟動有用的基礎設施。 我的猜測是這些問題的答案對於在該領域有經驗的人來說是顯而易見的，但我就是不明白。

Answer 1

以下是我的澄清嘗試：

因此，該范圍不應與 VPC CIDR 超網（以及 VPC 內的各個子網）重疊，否則您可能會遇到路由沖突。 所以我不確定你指的是什么？ 你能提供你的配置。

據我所知，/16 到 /22 范圍只是一些不是技術限制的東西，可能是因為 AWS 沒有機會添加一個功能來允許它有更多選擇。 我假設你想要一個更小的范圍？ 在 Azure P2S VPN 中，沒有這樣的限制 - 它們的最小池是 /29。

SG 直接應用於 EC2 等資源而不是 VPC，但在入站規則中，您可以直接指定 CIDR - 所以我不確定您指的是什么......您有可以分享的具體示例嗎？