As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente
Use IKEv2
É altamente recomendável usar IKEv2 para sua Site-to-Site VPN conexão. IKEv2é um protocolo mais simples, mais robusto e mais seguro do que o. IKEv1 Você só deve usar IKEv1 se o dispositivo de gateway do cliente não for compatívelIKEv2. Para obter mais detalhes sobre as diferenças entre IKEv1 eIKEv2, consulte o Apêndice
Redefinir o sinalizador “Não fragmentar (DF)” nos pacotes
Alguns pacotes carregam um sinalizador chamado de Não fragmentar (DF), que indica que o pacote não deve ser fragmentado. Se os pacotes carregarem o sinalizador, os gateways gerarão uma mensagem ICMP Path MTU Exceeded. Em alguns casos, os aplicativos não contêm mecanismos adequados para processar essas ICMP mensagens e reduzir a quantidade de dados transmitidos em cada pacote. Alguns VPN dispositivos podem substituir o sinalizador DF e fragmentar pacotes incondicionalmente, conforme necessário. Se o dispositivo de gateway do cliente tiver essa capacidade, recomendamos o uso, conforme apropriado. Consulte RFC791
Fragmentar pacotes IP antes da criptografia
Se os pacotes enviados pela sua Site-to-Site VPN conexão excederem o MTU tamanho, eles deverão estar fragmentados. Para evitar a diminuição do desempenho, recomendamos que você configure seu dispositivo de gateway do cliente para fragmentar os pacotes antes de serem criptografados. Site-to-SiteVPNem seguida, remontará todos os pacotes fragmentados antes de encaminhá-los para o próximo destino, a fim de obter packet-per-second fluxos mais altos pela rede. AWS Consulte RFC4459
Certifique-se de que o tamanho do pacote não exceda as MTU redes de destino
SinceSite-to-Site VPNremontará todos os pacotes fragmentados recebidos do dispositivo de gateway do cliente antes de encaminhá-los para o próximo destino. Lembre-se de que pode haver MTU considerações sobre o tamanho do pacote ou as redes de destino para as quais esses pacotes serão encaminhados em seguida, como over AWS Direct Connect ou com determinados protocolos, como o Radius.
Ajuste MTU e MSS dimensione de acordo com os algoritmos em uso
TCPos pacotes geralmente são o tipo mais comum de pacote em IPsec túneis. Site-to-SiteVPNsuporta uma unidade de transmissão máxima (MTU) de 1446 bytes e um tamanho máximo de segmento correspondente (MSS) de 1406 bytes. No entanto, os algoritmos de criptografia têm tamanhos de cabeçalho variados e podem impedir a capacidade de atingir esses valores máximos. Para obter o desempenho ideal evitando a fragmentação, recomendamos que você defina MTU e MSS com base especificamente nos algoritmos que estão sendo usados.
Use a tabela a seguir para definir seuMTU/MSSpara evitar a fragmentação e obter o desempenho ideal:
Algoritmo de criptografia | Algoritmo de hash | NAT-Travessia | MTU | MSS (IPv4) | MSS(IPv6-em-) IPv4 |
---|---|---|---|---|---|
AES- GCM -16 |
N/D |
desabilitado |
1446 |
1406 |
1386 |
AES- GCM -16 |
N/D |
habilitado |
1438 |
1398 |
1378 |
AES-CBC |
SHA1/SHA2-256 |
desabilitado |
1438 |
1398 |
1378 |
AES-CBC |
SHA1/SHA2-256 |
habilitado |
1422 |
1382 |
1362 |
AES-CBC |
SHA2-384 |
desabilitado |
1422 |
1382 |
1362 |
AES-CBC |
SHA2-384 |
habilitado |
1422 |
1382 |
1362 |
AES-CBC |
SHA2-512 |
desabilitado |
1422 |
1382 |
1362 |
AES-CBC |
SHA2-512 |
habilitado |
1406 |
1366 |
1346 |
nota
Os GCM algoritmos AES - abrangem criptografia e autenticação, portanto, não há uma escolha distinta de algoritmo de autenticação que possa afetarMTU.
Desativar IKE exclusivo IDs
Alguns dispositivos de gateway do cliente oferecem suporte a uma configuração que garante que, no máximo, exista uma associação de segurança de fase 1 por configuração de túnel. Essa configuração pode resultar em estados inconsistentes da Fase 2 entre os VPN pares. Se o dispositivo de gateway do cliente suportar essa configuração, recomendamos desativá-la.