Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para un dispositivo de pasarela de AWS Site-to-Site VPN cliente

Utilice IKEv2

Le recomendamos encarecidamente que lo utilice IKEv2 para su Site-to-Site VPN conexión. IKEv2es un protocolo más simple, robusto y seguro queIKEv1. Solo debe usarlo IKEv1 si su dispositivo de pasarela de clientes no es compatibleIKEv2. Para obtener más información sobre las diferencias entre IKEv1 yIKEv2, consulte el apéndice A de RFC7296.

Restablecimiento de la marca “Don't Fragment (DF)” en los paquetes

Algunos paquetes llevan una marca, conocida como la marca "Don't Fragment" (DF), que indica que el paquete no debe fragmentarse. Si los paquetes llevan el indicador, las pasarelas generan un mensaje de ICMP ruta MTU excedida. En algunos casos, las aplicaciones no contienen los mecanismos adecuados para procesar estos ICMP mensajes y reducir la cantidad de datos que se transmiten en cada paquete. Algunos VPN dispositivos pueden anular el indicador DF y fragmentar los paquetes incondicionalmente según sea necesario. Si el dispositivo de gateway de cliente tiene esta capacidad, recomendamos que la utilice según corresponda. Consulte RFC791 para obtener más información.

Fragmentación de paquetes IP antes del cifrado

Si los paquetes que se envían a través de su Site-to-Site VPN conexión superan el MTU tamaño, deben estar fragmentados. Para evitar una disminución del rendimiento, le recomendamos que configure el dispositivo de puerta de enlace del cliente para fragmentar los paquetes antes de cifrarlos. Site-to-SiteVPNLuego, volverá a ensamblar los paquetes fragmentados antes de reenviarlos al siguiente destino, a fin de lograr un mayor packet-per-second flujo a través de la red. AWS Consulte RFC4459 para obtener más detalles.

Asegúrese de que el tamaño del paquete no supere el de las MTU redes de destino

SinceSite-to-Site VPNvolverá a ensamblar los paquetes fragmentados recibidos desde el dispositivo de pasarela de su cliente antes de reenviarlos al siguiente destino. Tenga en cuenta que las redes de destino a las que se reenvíen estos paquetes a continuación pueden tener que tener en cuenta el tamaño MTU del paquete o tener en cuenta determinados protocolos AWS Direct Connect, como Radius.

Ajusta MTU y MSS dimensiona según los algoritmos que utilices

TCPLos paquetes suelen ser el tipo de paquete más común en los IPsec túneles. Site-to-SiteVPNadmite una unidad de transmisión máxima (MTU) de 1446 bytes y un tamaño de segmento máximo correspondiente (MSS) de 1406 bytes. Sin embargo, los algoritmos de cifrado tienen distintos tamaños de encabezado y pueden impedir la capacidad de alcanzar estos valores máximos. Para obtener un rendimiento óptimo evitando la fragmentación, le recomendamos que configure MTU y MSS basándose específicamente en los algoritmos que se utilicen.

Utilice la siguiente tabla para configurarMTU/MSSpara evitar la fragmentación y lograr un rendimiento óptimo:

Deshabilita el IKE único IDs

Algunos dispositivos de pasarela de clientes admiten una configuración que garantiza que, como máximo, exista una asociación de seguridad de fase 1 por configuración de túnel. Esta configuración puede provocar estados de fase 2 incoherentes entre VPN pares. Si su dispositivo de pasarela de clientes admite esta configuración, le recomendamos que la desactive.