本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS Site-to-Site VPN 客户网关设备的最佳实践 **使用 IKEv2** 我们强烈建议使用您 IKEv2 的 Site-to-Site VPN 连接。 IKEv2 是一种比现在更简单、更强大、更安全的协议 IKEv1。只有当您的客户网关设备不支持时,才应使用 IKEv1 IKEv2。有关 IKEv1 和之间区别的更多详细信息 IKEv2,请参阅[的附录 A RFC7296](https://www.rfc-editor.org/rfc/rfc7296#appendix-A)。 **重设数据包上的“Don't Fragment (DF)”标记** 部分数据包带有一个标记,称为 Don't Fragment (DF) 标记,表示该数据包不应分片。若数据包带有该标记,网关就会生成一条“ICMP Path MTU Exceeded”消息。部分情况中,应用程序不含可处理这些 ICMP 消息和减少每个数据包数据传输量的充分机制。部分 VPN 设备可以忽略该 DF 标记并按要求无条件分片数据包。如果您的客户网关设备拥有该功能,我们建议您酌情使用。有关更多详细信息,请参阅 [RFC 791](https://datatracker.ietf.org/doc/html/rfc791)。 **加密前分片 IP 数据包** 如果通过 Site-to-Site VPN 连接发送到的数据包超过 MTU 大小,则必须对其进行分段。为避免性能降低,我们建议您将客户网关设备配置为*在数据包加密之前*对其进行分段。 Site-to-Site然后,VPN 将重新组装所有分段的数据包,然后将其转发到下一个目的地,以实现更高的 AWS 网络 packet-per-second流量。有关更多详细信息,请参阅 [RFC 4459](https://datatracker.ietf.org/doc/html/rfc4459)。 **确保数据包大小不超过目标网络的 MTU** 由于 Site-to-Site VPN 在转发到下一个目的地之前会重新组装从您的客户网关设备收到的任何分段数据包,因此请记住,对于接下来转发这些数据包的目标网络(例如通过)或使用某些协议(例如 Radius)进行转发,可能会有数据包 size/MTU 注意事项。 Direct Connect **根据使用的算法调整 MTU 和 MSS 大小** TCP 数据包通常是 IPsec 隧道中最常见的数据包类型。 Site-to-SiteVPN 支持的最大传输单元 (MTU) 为 1446 字节,相应的最大分段大小 (MSS) 为 1406 字节。但加密算法的标头大小各异,可能会导致无法实现这些最大值。要通过避免碎片化获得最佳性能,我们建议您特别根据所使用的算法设置 MTU 和 MSS。 使用下表设置 MTU/MSS 以避免碎片并实现最佳性能: | 加密算法 | 哈希算法 | NAT 遍历 | MTU | MSS () IPv4 | MSS (IPv6-in-IPv4) | | --- | --- | --- | --- | --- | --- | | AES-GCM-16 | 不适用 | disabled | 1446 | 1406 | 1386 | | AES-GCM-16 | 不适用 | 已启用 | 1438 | 1398 | 1378 | | AES-CBC | SHA1/SHA2-256 | disabled | 1438 | 1398 | 1378 | | AES-CBC | SHA1/SHA2-256 | 已启用 | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | disabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | 已启用 | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | disabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | 已启用 | 1406 | 1366 | 1346 | **注意** AES-GCM 算法涵盖加密和身份验证,因此不存在会影响 MTU 的明确身份验证算法选择。 **禁用 IKE 唯一 IDs** 一些客户网关设备支持的设置可确保每个隧道配置最多存在一个第 1 阶段安全关联。此设置可能导致 VPN 对等网络之间的第 2 阶段状态不一致。如果您的客户网关设备支持此设置,建议将其禁用。