Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Le migliori pratiche per un dispositivo gateway per i clienti AWS Site-to-Site VPN **Usa IKEv2** Ti consigliamo vivamente di IKEv2 utilizzarlo per la tua connessione Site-to-Site VPN. IKEv2 è un protocollo più semplice, robusto e sicuro di IKEv1. È consigliabile utilizzarlo solo IKEv1 se il dispositivo gateway del cliente non lo supporta IKEv2. Per ulteriori dettagli sulle differenze tra IKEv1 e IKEv2, vedere l'[Appendice A di RFC7296](https://www.rfc-editor.org/rfc/rfc7296#appendix-A). **Ripristina il flag "Don't Fragment" (Non frammentare) sui pacchetti** Alcuni pacchetti trasportano un flag, noto come il flag Don't Fragment (DF), che indica che il pacchetto non deve Essere frammentato. Se i pacchetti trasportano il flag, i gateway generano un messaggio ICMP Path MTU Exceeded (MTU percorso ICMP superato). In alcuni casi, le applicazioni non contengono meccanismi adeguati per elaborare questi messaggi ICMP e per ridurre la quantità di dati trasmessa in ogni pacchetto. Alcuni dispositivi VPN possono ignorare il flag DF e frammentare i pacchetti incondizionatamente come richiesto. Se il dispositivo gateway del cliente dispone di questa capacità, ti consigliamo di utilizzarla in maniera adeguata. Consulta .[RFC 791](https://datatracker.ietf.org/doc/html/rfc791)per ulteriori dettagli. **Frammentare pacchetti IP prima della crittografia** Se i pacchetti inviati tramite la connessione Site-to-Site VPN superano la dimensione MTU, devono essere frammentati. *Per evitare una riduzione delle prestazioni, consigliamo di configurare il dispositivo gateway del cliente in modo da frammentare i pacchetti prima che vengano crittografati.* Site-to-Site La VPN riassemblerà quindi tutti i pacchetti frammentati prima di inoltrarli alla destinazione successiva, al fine di ottenere flussi più elevati attraverso la rete. packet-per-second AWS Consulta [RFC 4459](https://datatracker.ietf.org/doc/html/rfc4459) per ulteriori dettagli. **Assicurati che la dimensione dei pacchetti non superi l'MTU per le reti di destinazione** Poiché la Site-to-Site VPN riassembla tutti i pacchetti frammentati ricevuti dal dispositivo gateway del cliente prima di inoltrarli alla destinazione successiva, tieni presente che potrebbero essere presi in size/MTU considerazione i pacchetti per le reti di destinazione in cui tali pacchetti vengono successivamente inoltrati, ad esempio oltre o con determinati protocolli, come Radius. Direct Connect **Regolare le dimensioni MTU e MSS in base agli algoritmi in uso** I pacchetti TCP sono spesso il tipo di pacchetto più comune nei tunnel. IPsec Site-to-Site La VPN supporta un'unità di trasmissione massima (MTU) di 1446 byte e una dimensione massima del segmento (MSS) corrispondente di 1406 byte. Tuttavia, gli algoritmi di crittografia hanno dimensioni di intestazione diverse e possono impedire la possibilità di raggiungere questi valori massimi. Per ottenere prestazioni ottimali evitando la frammentazione, si consiglia di impostare MTU e MSS in base agli algoritmi utilizzati. Utilizza la tabella seguente per impostare la possibilità di evitare la frammentazione e MTU/MSS ottenere prestazioni ottimali: | Algoritmo di crittografia | Algoritmo hash | NAT-Traversal | MTU | MSS () IPv4 | SMS (IPv6-in-) IPv4 | | --- | --- | --- | --- | --- | --- | | AES-GCM-16 | N/D | disabled | 1446 | 1406 | 1386 | | AES-GCM-16 | N/D | abilitato | 1438 | 1398 | 1378 | | AES-CBC | SHA1/-256 SHA2 | disabled | 1438 | 1398 | 1378 | | AES-CBC | SHA1/-256 SHA2 | abilitato | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | disabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | abilitato | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | disabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | abilitato | 1406 | 1366 | 1346 | **Nota** Gli algoritmi AES-GCM includono sia la crittografia che l'autenticazione, quindi non esiste una scelta distinta di algoritmo di autenticazione che influenzi MTU. **Disattiva IKE in modo univoco IDs** Alcuni dispositivi gateway del cliente supportano un'impostazione che garantisce l'esistenza al massimo di un'associazione di sicurezza di Fase 1 per configurazione del tunnel. Questa impostazione può causare stati di Fase 2 non coerenti tra i peer VPN. Se il dispositivo gateway del cliente supporta questa impostazione, consigliamo di disabilitarla.