本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Site-to-Site VPN 客戶閘道裝置的最佳實務 **使用 IKEv2** 我們強烈建議將 IKEv2 用於您的Site-to-Site連接。IKEv2 是比 IKEv1 更簡單、更強大且更安全的通訊協定。只有在客戶閘道裝置不支援 IKEv1IKEv21。如需 IKEv1 和 IKEv2 之間差異的詳細資訊,請參閱 [ RFC7296 的附錄 A](https://www.rfc-editor.org/rfc/rfc7296#appendix-A)。 **重設封包上的「Don't Fragment (DF)」標記** 有些封包具有 Don't Fragment (DF) (不要切割為片段) 標記,其指出不應將封包切割為片段。如果封包具有此標記,閘道即會產生 ICMP Path MTU Exceeded (已超過 ICMP 路徑 MTU) 訊息。在某些情況下,應用程式不具備足以處理這些 ICMP 訊息及減少每個封包傳輸之資料量的機制。有些 VPN 裝置可以覆寫 DF 標記,並可視需要無條件將封包切割為片段。如果您的客戶閘道裝置具備此功能,建議您視需要使用它。請參閱 [RFC 791](https://datatracker.ietf.org/doc/html/rfc791) 以瞭解更多詳細資訊。 **加密前將 IP 封包切割為片段** 如果透過Site-to-Site連線傳送到 的封包超過 MTU 大小,則必須將其分段。為了避免效能降低,建議您將客戶閘道裝置設定為在加密*前*將封包分段。Site-to-Site VPN 接著會重新組合任何分段的封包,再將其轉送至下一個目的地,以實現更高的packet-per-second流經 AWS 網路。請參閱 [RFC 4459](https://datatracker.ietf.org/doc/html/rfc4459) 以瞭解更多詳細資訊。 **確保目的地網路的封包大小不超過 MTU** 由於 Site-to-Site VPN 會在轉送至下一個目的地之前重新組合從客戶閘道裝置收到的任何分段封包,因此對於接下來轉送這些封包的目的地網路,可能會有封包大小/MTU 考量,例如透過 Direct Connect或特定通訊協定,例如 Radius。 **根據使用中的演算法調整 MTU 和 MSS 大小** TCP 封包通常是 IPsec 通道中最普遍的封包類型。Site-to-Site VPN 支援 1446 位元組的最大傳輸單位 (MTU) 和對應的 1406 位元組的最大區段大小 (MSS)。但是,加密演算法具有不同的標題大小,可能會阻止達成這些最大值的能力。若要透過避免分段來獲得最佳效能,我們建議您專門根據使用中演算法來設定 MTU 和 MSS。 使用下列表格來設定 MTU/MSS 以避免分段並達成最佳效能: | 加密演算法 | 雜湊演算法 | NAT 周遊 | MTU | MSS (IPv4) | MSS (IPv6-in-IPv4) | | --- | --- | --- | --- | --- | --- | | AES-GCM-16 | N/A | disabled | 1446 | 1406 | 1386 | | AES-GCM-16 | N/A | 已啟用 | 1438 | 1398 | 1378 | | AES-CBC | SHA1/SHA2-256 | disabled | 1438 | 1398 | 1378 | | AES-CBC | SHA1/SHA2-256 | 已啟用 | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | disabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-384 | 已啟用 | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | disabled | 1422 | 1382 | 1362 | | AES-CBC | SHA2-512 | 已啟用 | 1406 | 1366 | 1346 | **注意** AES-GCM 演算法涵蓋了加密和身分驗證,因此沒有會影響 MTU 的獨特身分驗證演算法選擇。 **停用 IKE IDs** 有些客戶閘道裝置支援 設定,可確保每個通道組態最多有一個階段 1 安全關聯。此設定可能會導致 VPN 對等之間的階段 2 狀態不一致。如果您的客戶閘道裝置支援此設定,建議您停用它。