Práticas recomendadas para o dispositivo de gateway do cliente do AWS Site-to-Site VPN
Uso do IKEv2
É altamente recomendável usar o IKEv2 para sua conexão da Site-to-Site VPN. O IKEv2 é um protocolo mais simples, robusto e seguro do que o IKEv1. Você deve usar somente o IKEv1 se o dispositivo de gateway do cliente não for compatível com o IKEv2. Para obter mais detalhes sobre as diferenças entre IKEv1 e IKEv2, consulte o Apêndice A do RFC7296
Redefinir o sinalizador “Não fragmentar (DF)” nos pacotes
Alguns pacotes carregam um sinalizador chamado de Não fragmentar (DF), que indica que o pacote não deve ser fragmentado. Quando os pacotes usam o sinalizador, os gateways geram uma mensagem de MTU de caminho ICMP excedido. Em alguns casos, as aplicações não possuem mecanismos adequados para processar essas mensagens ICMP e para reduzir a quantidade de dados transmitidos em cada pacote. Alguns dispositivos VPN podem substituir o sinalizador DF e fragmentar os pacotes incondicionalmente, se necessário. Se o dispositivo de gateway do cliente tiver essa capacidade, recomendamos o uso, conforme apropriado. Consulte RFC 791
Fragmentar pacotes IP antes da criptografia
Se os pacotes enviados pela conexão da Site-to-Site VPN excederem o tamanho da MTU, será preciso fragmentá-los.. Para evitar a diminuição do desempenho, recomendamos que você configure o dispositivo de gateway do cliente para fragmentar os pacotes antes de serem criptografados. A Site-to-Site VPN então reunirá todos os pacotes fragmentados antes de encaminhá-los para o próximo destino, a fim de obter maiores fluxos de pacotes por segundo pela rede da AWS. Consulte RFC 4459
Certifique-se de que o tamanho do pacote não exceda a MTU para redes de destino
Como o Site-to-Site VPN remontará todos os pacotes fragmentados recebidos do dispositivo de gateway do cliente antes de encaminhá-los ao próximo destino, lembre-se de que pode haver considerações sobre o tamanho de pacote/MTU para as redes de destino às quais esses pacotes serão encaminhados em seguida (p. ex., por meio do Direct Connect) ou com relação a determinados protocolos, como o RADIUS.
Ajuste os tamanhos MTU e MSS de acordo com os algoritmos em uso
Os pacotes TCP são frequentemente o tipo de pacote que mais comum nos túneis IPsec. Uma Site-to-Site VPN suporta uma unidade de transmissão máxima (MTU) de 1446 bytes e um tamanho máximo de segmento correspondente (MSS) de 1406 bytes. No entanto, os algoritmos de criptografia têm tamanhos de cabeçalho variados e podem impedir a capacidade de atingir esses valores máximos. Para obter a performance ideal evitando a fragmentação, recomendamos que você defina o MTU e o MSS com base especificamente nos algoritmos que estão sendo usados.
Use a tabela a seguir para configurar o MTU/MSS para evitar fragmentação e alcançar a performance ideal:
| Algoritmo de criptografia | Algoritmo de hash | NAT Traversal | MTU | MSS (IPv4) | MSS (IPv6 em IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/D |
desabilitado |
1.446 |
1.406 |
1.386 |
|
AES-GCM-16 |
N/D |
habilitado |
1.438 |
1.398 |
1.378 |
|
AES-CBC |
SHA1, SHA2-256 |
desabilitado |
1.438 |
1.398 |
1.378 |
|
AES-CBC |
SHA1/SHA2-256 |
habilitado |
1.422 |
1.382 |
1.362 |
|
AES-CBC |
SHA2-384 |
desabilitado |
1.422 |
1.382 |
1.362 |
|
AES-CBC |
SHA2-384 |
habilitado |
1.422 |
1.382 |
1.362 |
|
AES-CBC |
SHA2-512 |
desabilitado |
1.422 |
1.382 |
1.362 |
|
AES-CBC |
SHA2-512 |
habilitado |
1.406 |
1.366 |
1.346 |
nota
Os algoritmos AES-GCM cobrem criptografia e autenticação, portanto, não há escolha de algoritmo de autenticação distinta que afetaria a MTU.
Desativar IDs exclusivos do IKE
Alguns dispositivos de gateway do cliente são compatíveis com configuração que garante que, no máximo, exista uma associação de segurança de fase 1 por configuração de túnel. Essa configuração pode resultar em estados inconsistentes da Fase 2 entre os pares de VPN. Se o dispositivo de gateway do cliente for compatível com configuração, recomendamos desabilitá-la.
