AWS Site-to-Site VPN
ユーザーガイド

Site-to-Site VPN ルーティングオプション

Site-to-Site VPN 接続を作成する場合、以下を実行する必要があります。

  • 使用予定のルーティングのタイプ (静的または動的) を指定する

  • サブネットのルートテーブルを更新する

ルートテーブルに追加できるルートの数には制限があります。詳細については、『Amazon VPC ユーザーガイド』の「Amazon VPC の制限」セクションを参照してください。

静的および動的ルーティング

選択するルーティングのタイプは、VPN デバイスの構成とモデルによって異なります。VPN デバイスがボーダーゲートウェイプロトコル (BGP) をサポートしている場合は、Site-to-Site VPN 接続を設定するときに動的ルーティングを指定します。デバイスが BGP をサポートしていない場合は、静的ルーティングを指定します。Amazon VPC でテスト済みの静的ルーティングデバイスと動的ルーティングデバイスの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。

BGP デバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイにルートがアドバタイズされるので、Site-to-Site VPN 接続への静的ルートを指定する必要はありません。BGP 広告をサポートしているデバイスを使用する場合は、静的ルーティングを指定できません。BGP をサポートしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲートウェイに通知するネットワークのルート (IP プレフィックス) を入力する必要があります。

使用可能な場合は BGP に対応したデバイスを使用することをお勧めします。BGP プロトコルは安定したライブ状態検出チェックが可能であり、1 番目のトンネル停止時の 2 番目の VPN トンネルへのフェイルオーバーに役立ちます。BGP をサポートしていないデバイスでも、ヘルスチェックを実行することによって、必要時に 2 番目のトンネルへのフェイルオーバーを支援できます。

ルートテーブルと VPN ルートの優先度

ルートテーブルはネットワークトラフィックの転送先を指定します。ルートテーブルで、リモートネットワークのルートを追加し、仮想プライベートゲートウェイをターゲットとして指定する必要があります。これにより、リモートネットワーク向けの VPC からのトラフィックが、仮想プライベートゲートウェイおよび、いずれかの VPN トンネルを経由してルーティングされます。ルートテーブルのルート伝播を有効にすると、ネットワークルートは自動的にテーブルに伝播されます。

BGP アドバタイズ経由または静的ルートエントリ経由を問わず、VPC からのトラフィックを受信できるのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。仮想プライベートゲートウェイでは、受信した BGP アドバタイズ、静的なルートエントリ、またはアタッチされた VPC CIDR の外部向けの他のトラフィックはルーティングされません。

仮想プライベートゲートウェイはルーティング情報を受け取ると、パスを選択してリモートネットワークにトラフィックをルーティングする方法を指定します。プレフィックス最長一致が適用されます。または、以下のルールが適用されます。

  • Site-to-Site VPN 接続または AWS Direct Connect 接続から伝播されるルートが VPC のローカルルートと重複する場合は、伝播されたルートがより詳細であっても、ローカルルートが最優先されます。

  • Site-to-Site VPN 接続または AWS Direct Connect 接続から伝播されるルートと他の既存静的ルート (最も長いプレフィックスの一致が適用されます) が同じ宛先 CIDR ブロックの場合は、ターゲットがインターネットゲートウェイ、仮想プライベートゲートウェイ、ネットワークインターフェイス、インスタンス ID、VPC ピアリング接続、NAT ゲートウェイまたは VPC エンドポイントの静的ルートが優先されます。

Site-to-Site VPN 接続内で重複するルートがあり、最も長いプレフィックスの一致を適用できない場合、最も好ましいものから最も好ましくないものまで、以下のように Site-to-Site VPN 接続でルートの優先順位が付けられます。

  • AWS Direct Connect 接続から BGP で伝播されたルート

  • Site-to-Site VPN 接続用に手動で追加された静的ルート

  • Site-to-Site VPN 接続から BGP で伝播されたルート

この例の場合、ルートテーブルにはインターネットゲートウェイへの (手動で追加した) 静的ルート、および仮想プライベートゲートウェイへの伝播されたルートがあります。両方のルートとも、宛先は 172.31.0.0/24 です。この場合、172.31.0.0/24 を宛先とするすべてのトラフィックはインターネットゲートウェイにルーティングされます。これは静的ルートであるため、伝播されたルートよりも優先順位が高くなります。

送信先 ターゲット
10.0.0.0/16 ローカル
172.31.0.0/24 vgw-1a2b3c4d (伝播済み)
172.31.0.0/24 igw-11aa22bb