Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le migliori pratiche per un dispositivo gateway per i clienti AWS Site-to-Site VPN
Usa IKEv2
Ti consigliamo vivamente di IKEv2 utilizzarlo per la tua connessione Site-to-Site VPN. IKEv2 è un protocollo più semplice, robusto e sicuro di IKEv1. È consigliabile utilizzarlo solo IKEv1 se il dispositivo gateway del cliente non lo supporta IKEv2. Per ulteriori dettagli sulle differenze tra IKEv1 e IKEv2, vedere l'Appendice A di RFC7296
Ripristina il flag "Don't Fragment" (Non frammentare) sui pacchetti
Alcuni pacchetti trasportano un flag, noto come il flag Don't Fragment (DF), che indica che il pacchetto non deve Essere frammentato. Se i pacchetti trasportano il flag, i gateway generano un messaggio ICMP Path MTU Exceeded (MTU percorso ICMP superato). In alcuni casi, le applicazioni non contengono meccanismi adeguati per elaborare questi messaggi ICMP e per ridurre la quantità di dati trasmessa in ogni pacchetto. Alcuni dispositivi VPN possono ignorare il flag DF e frammentare i pacchetti incondizionatamente come richiesto. Se il dispositivo gateway del cliente dispone di questa capacità, ti consigliamo di utilizzarla in maniera adeguata. Consulta .RFC 791
Frammentare pacchetti IP prima della crittografia
Se i pacchetti inviati tramite la connessione Site-to-Site VPN superano la dimensione MTU, devono essere frammentati. Per evitare una riduzione delle prestazioni, consigliamo di configurare il dispositivo gateway del cliente in modo da frammentare i pacchetti prima che vengano crittografati. Site-to-Site La VPN riassemblerà quindi tutti i pacchetti frammentati prima di inoltrarli alla destinazione successiva, al fine di ottenere flussi più elevati attraverso la rete. packet-per-second AWS Consulta RFC 4459
Assicurati che la dimensione dei pacchetti non superi l'MTU per le reti di destinazione
SinceSite-to-Site La VPN riassembla tutti i pacchetti frammentati ricevuti dal dispositivo gateway del cliente prima di inoltrarli alla destinazione successiva. Tieni presente che potrebbero esserci considerazioni sulla dimensione dei pacchetti/MTU per le reti di destinazione in cui questi pacchetti vengono successivamente inoltrati, ad esempio oltre o con determinati protocolli, come Radius. AWS Direct Connect
Regolare le dimensioni MTU e MSS in base agli algoritmi in uso
I pacchetti TCP sono spesso il tipo di pacchetto più comune tra i tunnel. IPsec Site-to-Site La VPN supporta un'unità di trasmissione massima (MTU) di 1446 byte e una dimensione massima del segmento (MSS) corrispondente di 1406 byte. Tuttavia, gli algoritmi di crittografia hanno dimensioni di intestazione diverse e possono impedire la possibilità di raggiungere questi valori massimi. Per ottenere prestazioni ottimali evitando la frammentazione, si consiglia di impostare MTU e MSS in base agli algoritmi utilizzati.
Utilizza la seguente tabella per impostare MTU/MSS per evitare la frammentazione e ottenere prestazioni ottimali:
| Algoritmo di crittografia | Algoritmo hash | NAT-Traversal | MTU | MSS () IPv4 | SMS (IPv6-in-) IPv4 |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/D |
disabled |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/D |
abilitato |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/-256 SHA2 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/-256 SHA2 |
abilitato |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
abilitato |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
abilitato |
1406 |
1366 |
1346 |
Nota
Gli algoritmi AES-GCM includono sia la crittografia che l'autenticazione, quindi non esiste una scelta distinta di algoritmo di autenticazione che influenzi MTU.
Disattiva IKE in modo univoco IDs
Alcuni dispositivi gateway del cliente supportano un'impostazione che garantisce l'esistenza al massimo di un'associazione di sicurezza di Fase 1 per configurazione del tunnel. Questa impostazione può causare stati di Fase 2 non coerenti tra i peer VPN. Se il dispositivo gateway del cliente supporta questa impostazione, consigliamo di disabilitarla.
