Prácticas recomendadas para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN
Uso de IKEv2
Recomendamos encarecidamente el uso de IKEv2 para la conexión de Site-to-Site VPN. IKEv2 es un protocolo más simple, robusto y seguro que IKEv1. Solo debe usar IKEv1 si el dispositivo de puerta de enlace de cliente no admite IKEv2. Para obtener más información sobre las diferencias entre IKEv1 y IKEv2, consulte el apéndice A de RFC7296
Restablecimiento de la marca “Don't Fragment (DF)” en los paquetes
Algunos paquetes llevan una marca, conocida como la marca "Don't Fragment" (DF), que indica que el paquete no debe fragmentarse. Si los paquetes llevan la marca, las gateways generan un mensaje "ICMP Path MTU Exceeded". En algunos casos, las aplicaciones no contienen los mecanismos suficientes para procesar estos mensajes ICMP y reducir la cantidad de datos transmitidos en cada paquete. Algunos dispositivos VPN pueden anular la marca DF y fragmentar los paquetes de forma incondicional según sea necesario. Si el dispositivo de gateway de cliente tiene esta capacidad, recomendamos que la utilice según corresponda. Consulte RFC 791
Fragmentación de paquetes IP antes del cifrado
Si los paquetes que se envían a través de la conexión de Site-to-Site VPN superan el tamaño de la MTU, deben estar fragmentados. Para evitar una disminución del rendimiento, le recomendamos que configure el dispositivo de puerta de enlace de cliente para fragmentar los paquetes antes de cifrarlos. Luego, Site-to-Site VPN volverá a ensamblar los paquetes fragmentados antes de reenviarlos al siguiente destino, a fin de lograr un mayor flujo de paquetes por segundo a través de la red de AWS. Consulte RFC 4459
Asegurarse de que el tamaño del paquete no supere la MTU para las redes de destino
Dado que Site-to-Site VPN volverá a ensamblar los paquetes fragmentados recibidos desde el dispositivo de puerta de enlace de cliente antes de reenviarlos al siguiente destino, no olvide que es posible que haya que tener en cuenta el tamaño del paquete o MTU para las redes de destino a las que estos paquetes se reenvíen a continuación, por ejemplo Direct Connect o con determinados protocolos, como Radius.
Ajuste los tamaños de MTU y MSS de acuerdo con los algoritmos en uso
Los paquetes TCP suelen ser el tipo más común de paquetes en los túneles IPsec. Site-to-Site VPN admite una unidad máxima de transmisión (MTU) de 1446 bytes y un tamaño máximo de segmento (MSS) correspondiente de 1406 bytes. Sin embargo, los algoritmos de cifrado tienen distintos tamaños de encabezado y pueden impedir la capacidad de alcanzar estos valores máximos. Para obtener un rendimiento óptimo evitando la fragmentación, le recomendamos que configure la MTU y el MSS basándose específicamente en los algoritmos que se utilizan.
Utilice la siguiente tabla para configurar su MTU o MSS a fin de evitar la fragmentación y lograr un rendimiento óptimo:
| Algoritmo de cifrado | Algoritmo hash | NAT transversal | MTU | MSS (IPv4) | MSS (IPv6 en IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/A |
disabled |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/A |
enabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1, SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1, SHA2-256 |
enabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
enabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
enabled |
1406 |
1366 |
1346 |
nota
Los algoritmos AES-GCM cubren tanto el cifrado como la autenticación, por lo que no existe una opción distinta de algoritmo de autenticación que afecte a la MTU.
Desactivación de los ID únicos de IKE
Algunos dispositivos de puerta de enlace de cliente admiten una configuración que garantiza que, como máximo, exista una asociación de seguridad de fase 1 por configuración de túnel. Esta configuración puede provocar estados de fase 2 incoherentes entre los pares de VPN. Si el dispositivo de la puerta de enlace de cliente admite esta configuración, le recomendamos desactivarla.
