As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente **Use IKEv2** É altamente recomendável usar IKEv2 para sua conexão Site-to-Site VPN. IKEv2 é um protocolo mais simples, robusto e seguro do que o. IKEv1 Você só deve usar IKEv1 se o dispositivo de gateway do cliente não for compatível IKEv2. Para obter mais detalhes sobre as diferenças entre IKEv1 e IKEv2, consulte o [Apêndice](https://www.rfc-editor.org/rfc/rfc7296#appendix-A) A do. RFC7296 **Redefinir o sinalizador “Não fragmentar (DF)” nos pacotes** Alguns pacotes carregam um sinalizador chamado de Não fragmentar (DF), que indica que o pacote não deve ser fragmentado. Quando os pacotes usam o sinalizador, os gateways geram uma mensagem de MTU de caminho ICMP excedido. Em alguns casos, as aplicações não possuem mecanismos adequados para processar essas mensagens ICMP e para reduzir a quantidade de dados transmitidos em cada pacote. Alguns dispositivos VPN podem substituir o sinalizador DF e fragmentar os pacotes incondicionalmente, se necessário. Se o dispositivo de gateway do cliente tiver essa capacidade, recomendamos o uso, conforme apropriado. Consulte [RFC 791](https://datatracker.ietf.org/doc/html/rfc791) para obter mais detalhes. **Fragmentar pacotes IP antes da criptografia** Se os pacotes enviados pela sua conexão Site-to-Site VPN excederem o tamanho da MTU, eles deverão ser fragmentados. Para evitar a diminuição do desempenho, recomendamos que você configure seu dispositivo de gateway do cliente para fragmentar os pacotes *antes* de serem criptografados. Site-to-Site A VPN então remontará todos os pacotes fragmentados antes de encaminhá-los para o próximo destino, a fim de obter packet-per-second fluxos mais altos pela rede. AWS Consulte [RFC 4459](https://datatracker.ietf.org/doc/html/rfc4459) para obter mais detalhes. **Certifique-se de que o tamanho do pacote não exceda a MTU para redes de destino** Como a Site-to-Site VPN reagrupará todos os pacotes fragmentados recebidos do dispositivo de gateway do cliente antes de encaminhá-los para o próximo destino, lembre-se de que pode haver size/MTU considerações sobre pacotes para redes de destino para as quais esses pacotes serão encaminhados em seguida, como over Direct Connect ou com determinados protocolos, como o Radius. **Ajuste os tamanhos MTU e MSS de acordo com os algoritmos em uso** Os pacotes TCP geralmente são o tipo mais comum de pacote em túneis. IPsec Site-to-Site A VPN suporta uma unidade de transmissão máxima (MTU) de 1446 bytes e um tamanho máximo de segmento (MSS) correspondente de 1406 bytes. No entanto, os algoritmos de criptografia têm tamanhos de cabeçalho variados e podem impedir a capacidade de atingir esses valores máximos. Para obter a performance ideal evitando a fragmentação, recomendamos que você defina o MTU e o MSS com base especificamente nos algoritmos que estão sendo usados. Use a tabela a seguir para definir o seu MTU/MSS para evitar a fragmentação e obter o desempenho ideal: | Algoritmo de criptografia | Algoritmo de hash | NAT Traversal | MTU | MANUSCRITO (1) IPv4 | SMS (IPv6-em-) IPv4 | | --- | --- | --- | --- | --- | --- | | AES-GCM-16 | N/D | desabilitado | 1446 | 1406 | 1386 | | AES-GCM-16 | N/D | habilitado | 1438 | 1398 | 1378 | | AES-CBC | SHA1/SHA2-256 | desabilitado | 1438 | 1398 | 1378 | | AES-CBC | SHA1/SHA2-256 | habilitado | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | desabilitado | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | habilitado | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | desabilitado | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | habilitado | 1406 | 1366 | 1346 | **nota** Os algoritmos AES-GCM cobrem criptografia e autenticação, portanto, não há escolha de algoritmo de autenticação distinta que afetaria a MTU. **Desativar IKE exclusivo IDs** Alguns dispositivos de gateway do cliente são compatíveis com configuração que garante que, no máximo, exista uma associação de segurança de fase 1 por configuração de túnel. Essa configuração pode resultar em estados inconsistentes da Fase 2 entre os pares de VPN. Se o dispositivo de gateway do cliente for compatível com configuração, recomendamos desabilitá-la.