Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik untuk perangkat gateway AWS Site-to-Site VPN pelanggan
Gunakan IKEv2
Kami sangat menyarankan penggunaan IKEv2 untuk koneksi Site-to-Site VPN Anda. IKEv2 adalah protokol yang lebih sederhana, lebih kuat, dan lebih aman daripada IKEv1. Anda hanya boleh menggunakan IKEv1 jika perangkat gateway pelanggan Anda tidak mendukung IKEv2. Untuk detail lebih lanjut tentang perbedaan antara IKEv1 dan IKEv2, lihat Lampiran A dari
Setel ulang flag “Don't Fragment (DF)” pada paket
Beberapa paket membawa bendera, yang dikenal sebagai bendera Jangan Fragment (DF), yang menunjukkan bahwa paket tidak boleh terfragmentasi. Jika paket membawa bendera, gateway menghasilkan MTU Jalur ICMP melebihi pesan. Dalam beberapa kasus, aplikasi tidak berisi mekanisme yang memadai untuk memproses pesan ICMP ini dan untuk mengurangi jumlah data yang dikirim dalam setiap paket. Beberapa perangkat VPN dapat menimpa bendera DF dan paket fragmen tanpa syarat seperti yang diperlukan. Jika perangkat gateway pelanggan Anda memiliki kemampuan ini, kami sarankan Anda menggunakannya sesuai kebutuhan. Lihat RFC 791
Paket fragmen IP sebelum enkripsi
Jika paket yang dikirim melalui koneksi Site-to-Site VPN Anda melebihi ukuran MTU, paket tersebut harus terfragmentasi. Untuk menghindari penurunan kinerja, kami sarankan Anda mengonfigurasi perangkat gateway pelanggan Anda untuk memecah paket sebelum dienkripsi. Site-to-Site VPN kemudian akan memasang kembali paket yang terfragmentasi sebelum meneruskannya ke tujuan berikutnya, untuk mencapai arus yang lebih tinggi melalui jaringan. packet-per-second AWS Lihat RFC 4459
Pastikan ukuran paket tidak melebihi MTU untuk jaringan tujuan
SinceSite-to-Site VPN akan memasang kembali paket terfragmentasi yang diterima dari perangkat gateway pelanggan Anda sebelum meneruskan ke tujuan berikutnya, perlu diingat, mungkin ada ukuran paket/pertimbangan MTU untuk jaringan tujuan di mana paket-paket ini diteruskan berikutnya, seperti over, atau dengan protokol tertentu, seperti Radius. AWS Direct Connect
Sesuaikan ukuran MTU dan MSS sesuai dengan algoritma yang digunakan
Paket TCP sering merupakan jenis paket yang paling umum di terowongan. IPsec Site-to-Site VPN mendukung unit transmisi maksimum (MTU) 1446 byte dan ukuran segmen maksimum yang sesuai (MSS) 1406 byte. Namun, algoritma enkripsi memiliki ukuran header yang bervariasi dan dapat mencegah kemampuan untuk mencapai nilai maksimum ini. Untuk mendapatkan kinerja optimal dengan menghindari fragmentasi, kami sarankan Anda mengatur MTU dan MSS berdasarkan secara khusus pada algoritma yang digunakan.
Gunakan tabel berikut untuk mengatur MTU/MSS Anda untuk menghindari fragmentasi dan mencapai kinerja optimal:
| Algoritma Enkripsi | Algoritma Hashing | Nat-traversal | MTU | MSS () IPv4 | MSS (IPv6-dalam-) IPv4 |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/A |
dinonaktifkan |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/A |
diaktifkan |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
dinonaktifkan |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
diaktifkan |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
dinonaktifkan |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
diaktifkan |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
dinonaktifkan |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
diaktifkan |
1406 |
1366 |
1346 |
catatan
Algoritma AES-GCM mencakup enkripsi dan otentikasi, sehingga tidak ada pilihan algoritma otentikasi yang berbeda yang akan mempengaruhi MTU.
Nonaktifkan IKE unik IDs
Beberapa perangkat gateway pelanggan mendukung pengaturan yang memastikan bahwa paling banyak, satu asosiasi keamanan Fase 1 ada per konfigurasi terowongan. Pengaturan ini dapat mengakibatkan status Fase 2 yang tidak konsisten antara rekan VPN. Jika perangkat gateway pelanggan Anda mendukung pengaturan ini, kami sarankan untuk menonaktifkannya.
