本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Site-to-Site VPN 客户网关设备的最佳实践
使用 IKEv2
我们强烈建议使用您 IKEv2 的 Site-to-Site VPN 连接。 IKEv2 是一种比现在更简单、更强大、更安全的协议 IKEv1。只有当您的客户网关设备不支持时,才应使用 IKEv1 IKEv2。有关 IKEv1 和之间区别的更多详细信息 IKEv2,请参阅的附录 A RFC7296
重设数据包上的“Don't Fragment (DF)”标记
部分数据包带有一个标记,称为 Don't Fragment (DF) 标记,表示该数据包不应分片。若数据包带有该标记,网关就会生成一条“ICMP Path MTU Exceeded”消息。部分情况中,应用程序不含可处理这些 ICMP 消息和减少每个数据包数据传输量的充分机制。部分 VPN 设备可以忽略该 DF 标记并按要求无条件分片数据包。如果您的客户网关设备拥有该功能,我们建议您酌情使用。有关更多详细信息,请参阅 RFC 791
加密前分片 IP 数据包
如果通过 Site-to-Site VPN 连接发送到的数据包超过 MTU 大小,则必须对其进行分段。为避免性能降低,我们建议您将客户网关设备配置为在数据包加密之前对其进行分段。 Site-to-Site然后,VPN 将重新组装所有分段的数据包,然后将其转发到下一个目的地,以实现更高的 AWS 网络 packet-per-second流量。有关更多详细信息,请参阅 RFC 4459
确保数据包大小不超过目标网络的 MTU
SinceSite-to-Site 在转发到下一个目的地之前,VPN 会重新组装从您的客户网关设备收到的任何分段数据包。请记住,接下来转发这些数据包的目标网络可能会有数据包大小/MTU 注意事项,例如通过 AWS Direct Connect,或者使用某些协议(例如 Radius)。
根据使用的算法调整 MTU 和 MSS 大小
TCP 数据包通常是 IPsec 隧道中最常见的数据包类型。 Site-to-SiteVPN 支持的最大传输单元 (MTU) 为 1446 字节,相应的最大分段大小 (MSS) 为 1406 字节。但加密算法的标头大小各异,可能会导致无法实现这些最大值。要通过避免碎片化获得最佳性能,我们建议您特别根据所使用的算法设置 MTU 和 MSS。
使用下表来设置 MTU/MSS 以避免碎片化问题并实现最佳性能:
| 加密算法 | 哈希算法 | NAT 遍历 | MTU | MSS () IPv4 | MSS (IPv6-in-IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
不适用 |
disabled |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
不适用 |
已启用 |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
已启用 |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
已启用 |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
已启用 |
1406 |
1366 |
1346 |
注意
AES-GCM 算法涵盖加密和身份验证,因此不存在会影响 MTU 的明确身份验证算法选择。
禁用 IKE 唯一 IDs
一些客户网关设备支持的设置可确保每个隧道配置最多存在一个第 1 阶段安全关联。此设置可能导致 VPN 对等网络之间的第 2 阶段状态不一致。如果您的客户网关设备支持此设置,建议将其禁用。
