翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPN カスタマーゲートウェイデバイスのベストプラクティス

を使用する IKEv2

VPN 接続IKEv2には を使用することを強くお勧めします Site-to-Site。IKEv2 は、 よりもシンプルで堅牢で安全なプロトコルですIKEv1。カスタマーIKEv1ゲートウェイデバイスが をサポートしていない場合にのみ、 を使用する必要がありますIKEv2。IKEv1 と の違いの詳細についてはIKEv2、 の付録 A RFC7296を参照してください。

パケットの [フラグメント化しない] フラグをリセットする

一部のパケットには、フラグメント化しない (DF) と呼ばれるフラグがあり、パケットがフラグメント化されないように指示することができます。パケットにフラグが付いている場合、ゲートウェイはICMPパスMTU超過メッセージを生成します。場合によっては、アプリケーションには、これらのICMPメッセージを処理し、各パケットで送信されるデータの量を減らすための適切なメカニズムが含まれていません。一部のVPNデバイスは、必要に応じて DF フラグを上書きし、パケットを無条件にフラグメント化できます。カスタマーゲートウェイデバイスにこの機能がある場合は、必要に応じてこの機能を使用することをお勧めします。詳細については、RFC「791」を参照してください。

暗号化前に IP パケットをフラグメント化する

VPN 接続経由で Site-to-Site に送信されるパケットMTUのサイズが を超える場合は、フラグメント化する必要があります。パフォーマンスの低下を回避するには、暗号化される前にパケットをフラグメント化するようにカスタマーゲートウェイデバイスを設定することをお勧めします。 Site-to-Site VPNは AWS 、ネットワーク経由でより高い packet-per-secondフローを実現するために、フラグメント化されたパケットを次の送信先に転送する前に再アセンブルします。詳細については、RFC「4459」を参照してください。

送信MTU先ネットワークのパケットサイズが を超えないようにする

SinceSite-to-Site VPN は、次の送信先に転送する前に、カスタマーゲートウェイデバイスから受信したフラグメント化されたパケットを再構築します。ただし、これらのパケットが次に転送される送信先ネットワークには、 経由など AWS Direct Connect、または Radius などの特定のプロトコルでパケットサイズ/MTU考慮事項がある場合があります。

使用中のアルゴリズムに従って MTUと MSSのサイズを調整する

TCP パケットは、IPsecトンネル間で最も一般的なタイプのパケットです。 Site-to-Site VPNは、最大送信単位 (MTU) を 1446 バイト、対応する最大セグメントサイズ (MSS) を 1406 バイトをサポートします。ただし、暗号化アルゴリズムにはさまざまなヘッダーサイズがあり、これらの最大値を達成できない可能性があります。フラグメント化を回避して最適なパフォーマンスを得るには、使用するアルゴリズムに基づいて MSS MTUと を設定することをお勧めします。

次の表を使用して MTU/MSS を設定し、断片化を回避し、最適なパフォーマンスを実現します。

IKE 一意を無効にする IDs

一部のカスタマーゲートウェイデバイスは、トンネル設定ごとに最大 1 つのフェーズ 1 セキュリティ関連付けが存在するようにする設定をサポートしています。この設定により、VPNピア間でフェーズ 2 の状態が不整合になる可能性があります。カスタマーゲートウェイデバイスがこの設定をサポートしている場合は、無効にすることをお勧めします。