Site-to-Site VPN ルーティングオプション - AWS Site-to-Site VPN

Site-to-Site VPN ルーティングオプション

Site-to-Site VPN 接続を作成する場合、以下を実行する必要があります。

  • 使用予定のルーティングのタイプ (静的または動的) を指定する

  • サブネットのルートテーブルを更新する

ルートテーブルに追加できるルートの数にはクォータがあります。詳細については、Amazon VPC ユーザーガイド の「Amazon VPC のクォータ」のルートテーブルセクションを参照してください。

静的および動的ルーティング

選択するルーティングのタイプは、カスタマーゲートウェイデバイスの製造元とモデルによって異なります。カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしている場合は、Site-to-Site VPN 接続を設定するときに動的ルーティングを指定します。カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、静的ルーティングを指定します。Site-to-Site VPN でテスト済みの静的ルーティングデバイスと動的ルーティングデバイスの一覧を確認するには、「Amazon でテスト済みのカスタマーゲートウェイデバイス」を参照してください。

BGP アドバタイズメントをサポートしているデバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイにルートがアドバタイズされるため、Site-to-Site VPN 接続への静的ルートを指定しません。BGP アドバタイズメントをサポートしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲートウェイに通知するネットワークのルート (IP プレフィックス) を入力する必要があります。

使用可能な場合は BGP に対応したデバイスを使用することをお勧めします。BGP プロトコルは安定したライブ状態検出チェックが可能であり、1 番目のトンネル停止時の 2 番目の VPN トンネルへのフェイルオーバーに役立ちます。BGP をサポートしていないデバイスでも、ヘルスチェックを実行することによって、必要時に 2 番目のトンネルへのフェイルオーバーを支援できます。

オンプレミスのネットワークから Site-to-Site VPN 接続にトラフィックがルーティングされるように、カスタマーゲートウェイデバイスを設定する必要があります。設定は、デバイスの製造元とモデルによって異なります。詳細については、「カスタマーゲートウェイデバイス」を参照してください。

ルートテーブルと VPN ルーティングの優先度

ルートテーブルは、VPC からのネットワークトラフィックの転送先を指定します。VPC ルートテーブルで、リモートネットワークのルートを追加し、仮想プライベートゲートウェイをターゲットとして指定する必要があります。これにより、リモートネットワーク向けの VPC からのトラフィックが、仮想プライベートゲートウェイおよび、いずれかの VPN トンネルを経由してルーティングされます。ルートテーブルのルート伝播を有効にすると、ネットワークルートは自動的にテーブルに伝播されます。

AWS では、トラフィックと一致する最も具体的なルートをルートテーブルで使用して、トラフィックをルーティングする方法を決定します (最長プレフィックス一致)。ルートテーブルに重複または一致するルートがある場合は、次のルールが適用されます。

  • Site-to-Site VPN 接続または AWS Direct Connect 接続から伝播されるルートが VPC のローカルルートと重複する場合は、伝播されたルートがより詳細であっても、ローカルルートが最優先されます。

  • Site-to-Site VPN 接続または AWS Direct Connect 接続から伝播されるルートと他の既存静的ルート (プレフィックスの最長一致は適用できません) が同じ宛先 CIDR ブロックの場合は、ターゲットがインターネットゲートウェイ、仮想プライベートゲートウェイ、ネットワークインターフェイス、インスタンス ID、VPC ピアリング接続、NAT ゲートウェイ、トランジットゲートウェイ、またはゲートウェイ VPC エンドポイントの静的ルートが優先されます。

たとえば、次のルートテーブルにはインターネットゲートウェイへの静的ルート、および仮想プライベートゲートウェイへの伝播されたルートがあります。両方のルートとも、宛先は 172.31.0.0/24 です。この場合、172.31.0.0/24 を宛先とするすべてのトラフィックはインターネットゲートウェイにルーティングされます。これは静的ルートであるため、伝播されたルートよりも優先順位が高くなります。

送信先 ターゲット
10.0.0.0/16 ローカル
172.31.0.0/24 vgw-11223344556677889(伝達済み)
172.31.0.0/24 igw-12345678901234567(静的)

BGP アドバタイズ経由または静的ルートエントリ経由かを問わず、VPC からのトラフィックを受信できるのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。仮想プライベートゲートウェイでは、受信した BGP アドバタイズ、静的なルートエントリ、またはアタッチされた VPC CIDR の外部向けの他のトラフィックはルーティングされません。仮想プライベートゲートウェイは IPv6 トラフィックをサポートしません。

仮想プライベートゲートウェイはルーティング情報を受け取ると、パスを選択してトラフィックをルーティングする方法を指定します。最長のプレフィックス一致が適用されます。プレフィックスが同じである場合、仮想プライベートゲートウェイは、次のようにルートに優先順位を付けます (優先度の高い順)。

  • AWS Direct Connect 接続から BGP で伝播されたルート

  • Site-to-Site VPN 接続用に手動で追加された静的ルート

  • Site-to-Site VPN 接続から BGP で伝播されたルート

  • 各 Site-to-Site VPN 接続が BGP を使用しているプレフィックスのマッチングでは、AS PATH が比較され、最短の AS PATH を持っているプレフィックスが優先されます。

    注記

    両方のトンネルの AS PATH が等しくなるように、AS PATH の前置を使用することはお勧めしません。これにより、VPN トンネルエンドポイントの更新中にトンネルに設定した multi-exit discriminator (MED) 値を使用して、トンネルの優先度を決定できます。

  • AS PATH が同じ長さで、AS_SEQUENCE 内の最初の AS が複数のパスで同じである場合、multi-exit discriminators (MED) が比較されます。最小の MED 値を持つパスが優先されます。

ルーティングの優先度は、VPN トンネルエンドポイントの更新中に影響を受けます。

Site-to-Site VPN 接続では、AWS は 2 つの冗長トンネルのうちの 1 つをプライマリ送信パスとして選択します。この選択は、ときどき変更される場合があるため、両方のトンネルの可用性を高めるよう設定し、非対称ルーティングを許可することを強くお勧めします。

仮想プライベートゲートウェイの場合、ゲートウェイ上のすべての Site-to-Site VPN 接続にまたがる 1 つのトンネルが選択されます。複数のトンネルを使用するには、トランジットゲートウェイ上の Site-to-Site VPN 接続でサポートされる Equal Cost Multipath (ECMP) について検討することをお勧めします。詳細については、Amazon VPC トランジットゲートウェイの「トランジットゲートウェイ」を参照してください。ECMP は、仮想プライベートゲートウェイの Site-to-Site VPN 接続ではサポートされていません。

BGP を使用する Site-to-Site VPN 接続の場合、プライマリトンネルは multi-exit discriminator (MED) 値で識別できます。ルーティングの決定に影響を与えるために、より具体的な BGP ルートをアドバタイズすることをお勧めします。

静的ルーティングを使用する Site-to-Site VPN 接続の場合、プライマリトンネルはトラフィック統計情報またはメトリクスによって識別できます。

VPN トンネルエンドポイント更新中のルーティング

Site-to-Site VPN 接続は、カスタマーゲートウェイデバイスと仮想プライベートゲートウェイまたはトランジットゲートウェイの間の 2 つの VPN トンネルで構成されます。両方のトンネルに冗長性を設定することをお勧めします。2 つのトンネルのいずれかでトンネルエンドポイントの更新を実行すると、VPN 接続の冗長性が短時間失われることがあります。トンネルエンドポイントの更新は、正常性の問題、ソフトウェアのアップグレード、基盤となるハードウェアの廃止など、いくつかの理由で発生する可能性があります。

一方の VPN トンネルで更新を実行する場合、もう一方のトンネルでアウトバウンド multi-exit discriminator (MED) の値を低く設定します。両方のトンネルを使用するようにカスタマーゲートウェイデバイスを設定している場合、VPN 接続はトンネルエンドポイント更新プロセス中にもう一方の (アップ) トンネルを使用します。

注記

MED の低いアップトンネルが優先されるようにするには、カスタマーゲートウェイデバイスで、両方のトンネルに対して同じ重みおよびローカル優先設定の値が使用されていることを確認します (重みおよびローカル優先設定は MED よりも優先度が高くなります)。