Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente - AWS Site-to-Site VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente

Use IKEv2

É altamente recomendável usar IKEv2 para sua Site-to-Site VPN conexão. IKEv2é um protocolo mais simples, mais robusto e mais seguro do que o. IKEv1 Você só deve usar IKEv1 se o dispositivo de gateway do cliente não for compatívelIKEv2. Para obter mais detalhes sobre as diferenças entre IKEv1 eIKEv2, consulte o Apêndice A do. RFC7296

Redefinir o sinalizador “Não fragmentar (DF)” nos pacotes

Alguns pacotes carregam um sinalizador chamado de Não fragmentar (DF), que indica que o pacote não deve ser fragmentado. Se os pacotes carregarem o sinalizador, os gateways gerarão uma mensagem ICMP Path MTU Exceeded. Em alguns casos, os aplicativos não contêm mecanismos adequados para processar essas ICMP mensagens e reduzir a quantidade de dados transmitidos em cada pacote. Alguns VPN dispositivos podem substituir o sinalizador DF e fragmentar pacotes incondicionalmente, conforme necessário. Se o dispositivo de gateway do cliente tiver essa capacidade, recomendamos o uso, conforme apropriado. Consulte RFC791 para obter mais detalhes.

Fragmentar pacotes IP antes da criptografia

Se os pacotes enviados pela sua Site-to-Site VPN conexão excederem o MTU tamanho, eles deverão estar fragmentados. Para evitar a diminuição do desempenho, recomendamos que você configure seu dispositivo de gateway do cliente para fragmentar os pacotes antes de serem criptografados. Site-to-SiteVPNem seguida, remontará todos os pacotes fragmentados antes de encaminhá-los para o próximo destino, a fim de obter packet-per-second fluxos mais altos pela rede. AWS Consulte RFC4459 para obter mais detalhes.

Certifique-se de que o tamanho do pacote não exceda as MTU redes de destino

SinceSite-to-Site VPNremontará todos os pacotes fragmentados recebidos do dispositivo de gateway do cliente antes de encaminhá-los para o próximo destino. Lembre-se de que pode haver MTU considerações sobre o tamanho do pacote ou as redes de destino para as quais esses pacotes serão encaminhados em seguida, como over AWS Direct Connect ou com determinados protocolos, como o Radius.

Ajuste MTU e MSS dimensione de acordo com os algoritmos em uso

TCPos pacotes geralmente são o tipo mais comum de pacote em IPsec túneis. Site-to-SiteVPNsuporta uma unidade de transmissão máxima (MTU) de 1446 bytes e um tamanho máximo de segmento correspondente (MSS) de 1406 bytes. No entanto, os algoritmos de criptografia têm tamanhos de cabeçalho variados e podem impedir a capacidade de atingir esses valores máximos. Para obter o desempenho ideal evitando a fragmentação, recomendamos que você defina MTU e MSS com base especificamente nos algoritmos que estão sendo usados.

Use a tabela a seguir para definir seuMTU/MSSpara evitar a fragmentação e obter o desempenho ideal:

Algoritmo de criptografia Algoritmo de hash NAT-Travessia MTU MSS (IPv4) MSS(IPv6-em-) IPv4

AES- GCM -16

N/D

desabilitado

1446

1406

1386

AES- GCM -16

N/D

habilitado

1438

1398

1378

AES-CBC

SHA1/SHA2-256

desabilitado

1438

1398

1378

AES-CBC

SHA1/SHA2-256

habilitado

1422

1382

1362

AES-CBC

SHA2-384

desabilitado

1422

1382

1362

AES-CBC

SHA2-384

habilitado

1422

1382

1362

AES-CBC

SHA2-512

desabilitado

1422

1382

1362

AES-CBC

SHA2-512

habilitado

1406

1366

1346

nota

Os GCM algoritmos AES - abrangem criptografia e autenticação, portanto, não há uma escolha distinta de algoritmo de autenticação que possa afetarMTU.

Desativar IKE exclusivo IDs

Alguns dispositivos de gateway do cliente oferecem suporte a uma configuração que garante que, no máximo, exista uma associação de segurança de fase 1 por configuração de túnel. Essa configuração pode resultar em estados inconsistentes da Fase 2 entre os VPN pares. Se o dispositivo de gateway do cliente suportar essa configuração, recomendamos desativá-la.