Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour un dispositif de passerelle AWS Site-to-Site VPN client
Utiliser IKEv2
Nous vous recommandons vivement de l'utiliser IKEv2 pour votre Site-to-Site VPN connexion. IKEv2est un protocole plus simple, plus robuste et plus sécurisé queIKEv1. Vous ne devez l'utiliser que IKEv1 si votre dispositif de passerelle client ne le prend pas en chargeIKEv2. Pour plus de détails sur les différences entre IKEv1 etIKEv2, voir l'annexe A de RFC7296
Réinitialiser le drapeau « Don't Fragment (DF) » (Ne pas fragmenter) dans les paquets
Certains paquets comportent un indicateur, appelé indicateur DF (Don't Fragment, Ne pas fragmenter), indiquant qu'il ne faut pas les fragmenter. Si les paquets portent le drapeau, les passerelles génèrent un message ICMP Path MTU Exceded. Dans certains cas, les applications ne contiennent pas de mécanismes adéquats pour traiter ces ICMP messages et pour réduire la quantité de données transmises dans chaque paquet. Certains VPN appareils peuvent ignorer l'indicateur DF et fragmenter les paquets sans condition selon les besoins. Si votre passerelle client possède cette fonctionnalité, nous vous recommandons de l'utiliser le cas échéant. Voir RFC791
Pratiquer une fragmentation par paquets IP avant le chiffrement
Si les paquets envoyés via votre Site-to-Site VPN connexion dépassent cette MTU taille, ils doivent être fragmentés. Pour éviter une baisse des performances, nous vous recommandons de configurer votre dispositif de passerelle client pour fragmenter les paquets avant qu'ils ne soient chiffrés. Site-to-SiteVPNréassemblera ensuite tous les paquets fragmentés avant de les transférer vers la destination suivante, afin d'obtenir des packet-per-second flux plus élevés sur le AWS réseau. Voir RFC4459
Assurez-vous que la taille des paquets ne dépasse pas celle MTU des réseaux de destination
SinceSite-to-Site VPNréassemblera tous les paquets fragmentés reçus de votre dispositif de passerelle client avant de les transférer vers la destination suivante. N'oubliez pas que la taille des paquets ou des MTU considérations peuvent être prises en compte pour les réseaux de destination sur lesquels ces paquets seront ensuite transférés, par exemple AWS Direct Connect, ou avec certains protocoles, tels que Radius.
Ajustez MTU MSS et dimensionnez en fonction des algorithmes utilisés
TCPles paquets sont souvent le type de paquet le plus courant dans IPsec les tunnels. Site-to-SiteVPNprend en charge une unité de transmission maximale (MTU) de 1446 octets et une taille de segment maximale correspondante (MSS) de 1406 octets. Cependant, les algorithmes de chiffrement ont des tailles d'en-tête variables et peuvent empêcher d'atteindre ces valeurs maximales. Pour obtenir des performances optimales en évitant la fragmentation, nous vous recommandons de définir le MTU et en MSS fonction spécifiquement des algorithmes utilisés.
Utilisez le tableau suivant pour définir votreMTU/afin MSS d'éviter la fragmentation et d'obtenir des performances optimales :
| Algorithme de chiffrement | Algorithme de hachage | NAT-Traversée | MTU | MSS (IPv4) | MSS(IPv6-in-IPv4) |
|---|---|---|---|---|---|
|
AES- GCM -16 |
N/A |
disabled |
1446 |
1406 |
1386 |
|
AES- GCM -16 |
N/A |
activé |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
activé |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
activé |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
activé |
1406 |
1366 |
1346 |
Note
Les GCM algorithmes AES - couvrent à la fois le chiffrement et l'authentification, il n'y a donc aucun choix d'algorithme d'authentification distinct qui pourrait avoir une incidenceMTU.
Désactiver l'option IKE unique IDs
Certains dispositifs de passerelle client prennent en charge un paramètre garantissant qu'il existe au maximum une association de sécurité de phase 1 par configuration de tunnel. Ce paramètre peut entraîner des états de phase 2 incohérents entre VPN pairs. Si votre dispositif de passerelle client prend en charge ce paramètre, nous vous recommandons de le désactiver.
