Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour votre périphérique de passerelle client
Utiliser IKEv2
Nous vous recommandons vivement de l'utiliser IKEv2 pour votre connexion de site à siteVPN. IKEv2est un protocole plus simple, plus robuste et plus sécurisé queIKEv1. Vous ne devez l'utiliser que IKEv1 si votre dispositif de passerelle client ne le prend pas en chargeIKEv2. Pour plus de détails sur les différences entre IKEv1 etIKEv2, voir l'annexe A de RFC7296
Réinitialiser le drapeau « Don't Fragment (DF) » (Ne pas fragmenter) dans les paquets
Certains paquets comportent un indicateur, appelé indicateur DF (Don't Fragment, Ne pas fragmenter), indiquant qu'il ne faut pas les fragmenter. Si les paquets portent le drapeau, les passerelles génèrent un message ICMP Path MTU Exceded. Dans certains cas, les applications ne contiennent pas de mécanismes adéquats pour traiter ces ICMP messages et pour réduire la quantité de données transmises dans chaque paquet. Certains VPN appareils peuvent ignorer l'indicateur DF et fragmenter les paquets de manière inconditionnelle selon les besoins. Si votre passerelle client possède cette fonctionnalité, nous vous recommandons de l'utiliser le cas échéant. Voir RFC791
Pratiquer une fragmentation par paquets IP avant le chiffrement
Si les paquets envoyés via votre VPN connexion de site à site dépassent cette MTU taille, ils doivent être fragmentés. Pour éviter une baisse des performances, nous vous recommandons de configurer votre dispositif de passerelle client pour fragmenter les paquets avant qu'ils ne soient chiffrés. De site à site, les paquets fragmentés VPN seront ensuite réassemblés avant de les transférer vers la destination suivante, afin d'augmenter les packet-per-second flux sur le réseau. AWS Voir RFC4459
Assurez-vous que la taille des paquets ne dépasse pas celle MTU des réseaux de destination
Étant donné que les paquets fragmentés reçus de votre passerelle client VPN seront réassemblés de site à site avant de les transférer vers la destination suivante, gardez à l'esprit que la taille des paquets ou des MTU considérations relatives à la taille des paquets peuvent être prises en compte pour les réseaux de destination sur lesquels ces paquets seront ensuite transférés, par exemple. AWS Direct Connect
Ajustez MTU MSS et dimensionnez en fonction des algorithmes utilisés
TCPles paquets sont souvent le type de paquet le plus courant dans IPsec les tunnels. Le site à site VPN prend en charge une unité de transmission maximale (MTU) de 1 446 octets et une taille de segment maximale correspondante (MSS) de 1 406 octets. Cependant, les algorithmes de chiffrement ont des tailles d'en-tête variables et peuvent empêcher d'atteindre ces valeurs maximales. Pour obtenir des performances optimales en évitant la fragmentation, nous vous recommandons de définir le MTU et en MSS fonction spécifiquement des algorithmes utilisés.
Utilisez le tableau suivant pour définir votreMTU/afin MSS d'éviter la fragmentation et d'obtenir des performances optimales :
| Algorithme de chiffrement | Algorithme de hachage | NAT-Traversée | MTU | MSS (IPv4) | MSS(IPv6-in-IPv4) |
|---|---|---|---|---|---|
|
AES- GCM -16 |
N/A |
disabled |
1446 |
1406 |
1386 |
|
AES- GCM -16 |
N/A |
activé |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
activé |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
activé |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
activé |
1406 |
1366 |
1346 |
Note
Les GCM algorithmes AES - couvrent à la fois le chiffrement et l'authentification, il n'y a donc aucun choix d'algorithme d'authentification distinct qui pourrait avoir une incidenceMTU.
Désactiver l'option IKE unique IDs
Certains dispositifs de passerelle client prennent en charge un paramètre garantissant qu'il existe au maximum une association de sécurité de phase 1 par configuration de tunnel. Ce paramètre peut entraîner des états de phase 2 incohérents entre les VPN pairs. Si votre dispositif de passerelle client prend en charge ce paramètre, nous vous recommandons de le désactiver.
