解决AWS VPN MTU限制的方法

0

【以下的问题经过翻译处理】 有没有人了解是否有解决方案/客户已经实现了以下需求呀:

  1. 他们需要通过DX使用IPsec。
  2. 他们需要在IPsec上具有有效的MTU(即原始数据包不计算IPsec开销)>= 1500,因为他们不能控制主机MTU设置,他们会使用DF。
  3. 他们不允许在其网络中使用ICMP,因此路径MTU发现不可行。
  4. 他们不喜欢在IPsec头端使用TCP mss-adjust的方法。

我能想到的一个解决方案是,通过私有VIF在VPC中使用EC2 IPsec终止(这允许更高的MTU)。然后使用VPC挂载附加(而不是VPN)从VPC到TGW,并部署自动化来处理故障转移。

我也理解GWLB在这里无法帮助,因为它是一种双臂设备(IPsec和ENI指向TGW VPC挂载)。

profile picture
专家
已提问 4 个月前30 查看次数
1 回答
0

【以下的回答经过翻译处理】 为了让流量以超过MTU1500字节的大小离开VPC,您需要中转 VIF 或私有 VIF(启用巨型帧)或具有可对数据包进行分段的第三方中间设备。

如果您使用 GWLB,除非使用中转 VIF 或私有 VIF,否则您仍然需要分段处理。

profile picture
专家
已回答 4 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则