AWS Site-to-Site VPN 客户网关设备的最佳实践 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Site-to-Site VPN 客户网关设备的最佳实践

使用 IKEv2

我们强烈建议使用您 IKEv2 的 Site-to-Site VPN 连接。 IKEv2 是一种比现在更简单、更强大、更安全的协议 IKEv1。只有当您的客户网关设备不支持时,才应使用 IKEv1 IKEv2。有关 IKEv1 和之间区别的更多详细信息 IKEv2,请参阅的附录 A RFC7296

重设数据包上的“Don't Fragment (DF)”标记

部分数据包带有一个标记,称为 Don't Fragment (DF) 标记,表示该数据包不应分片。若数据包带有该标记,网关就会生成一条“ICMP Path MTU Exceeded”消息。部分情况中,应用程序不含可处理这些 ICMP 消息和减少每个数据包数据传输量的充分机制。部分 VPN 设备可以忽略该 DF 标记并按要求无条件分片数据包。如果您的客户网关设备拥有该功能,我们建议您酌情使用。有关更多详细信息,请参阅 RFC 791

加密前分片 IP 数据包

如果通过 Site-to-Site VPN 连接发送到的数据包超过 MTU 大小,则必须对其进行分段。为避免性能降低,我们建议您将客户网关设备配置为在数据包加密之前对其进行分段。 Site-to-Site然后,VPN 将重新组装所有分段的数据包,然后将其转发到下一个目的地,以实现更高的 AWS 网络 packet-per-second流量。有关更多详细信息,请参阅 RFC 4459

确保数据包大小不超过目标网络的 MTU

SinceSite-to-Site 在转发到下一个目的地之前,VPN 会重新组装从您的客户网关设备收到的任何分段数据包。请记住,接下来转发这些数据包的目标网络可能会有数据包大小/MTU 注意事项,例如通过 AWS Direct Connect,或者使用某些协议(例如 Radius)。

根据使用的算法调整 MTU 和 MSS 大小

TCP 数据包通常是 IPsec 隧道中最常见的数据包类型。 Site-to-SiteVPN 支持的最大传输单元 (MTU) 为 1446 字节,相应的最大分段大小 (MSS) 为 1406 字节。但加密算法的标头大小各异,可能会导致无法实现这些最大值。要通过避免碎片化获得最佳性能,我们建议您特别根据所使用的算法设置 MTU 和 MSS。

使用下表来设置 MTU/MSS 以避免碎片化问题并实现最佳性能:

加密算法 哈希算法 NAT 遍历 MTU MSS () IPv4 MSS (IPv6-in-IPv4)

AES-GCM-16

不适用

disabled

1446

1406

1386

AES-GCM-16

不适用

已启用

1438

1398

1378

AES-CBC

SHA1/SHA2-256

disabled

1438

1398

1378

AES-CBC

SHA1/SHA2-256

已启用

1422

1382

1362

AES-CBC

SHA2-384

disabled

1422

1382

1362

AES-CBC

SHA2-384

已启用

1422

1382

1362

AES-CBC

SHA2-512

disabled

1422

1382

1362

AES-CBC

SHA2-512

已启用

1406

1366

1346

注意

AES-GCM 算法涵盖加密和身份验证,因此不存在会影响 MTU 的明确身份验证算法选择。

禁用 IKE 唯一 IDs

一些客户网关设备支持的设置可确保每个隧道配置最多存在一个第 1 阶段安全关联。此设置可能导致 VPN 对等网络之间的第 2 阶段状态不一致。如果您的客户网关设备支持此设置,建议将其禁用。