Site-to-Site VPN トンネル開始オプション - AWS Site-to-Site VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Site-to-Site VPN トンネル開始オプション

デフォルトでは、カスタマーゲートウェイデバイスは、トラフィックを生成して Internet Key Exchange (IKE) ネゴシエーションプロセスを開始することで、Site-to-Site VPN 接続のトンネルを開始する必要があります。VPN トンネルを設定して、代わりに が IKE ネゴシエーションプロセスを開始または再起動 AWS する必要があるように指定できます。

VPN トンネル IKE 開始オプション

以下の IKE 開始オプションを使用できます。Site-to-Site VPN 接続のトンネルの一方または両方に対して、1 つまたは両方のオプションを設定できます。これらの設定やその他のトンネルオプション設定の詳細については、「VPN トンネルオプション」を参照してください。

  • 開始アクション: 新規または変更された VPN 接続の VPN トンネルを確立するときに実行するアクション。デフォルトでは、カスタマーゲートウェイデバイスが IKE ネゴシエーションプロセスを開始してトンネルを開始します。代わりに が IKE ネゴシエーションプロセスを開始 AWS する必要があるように指定できます。

  • DPD タイムアウトアクション: デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。デフォルトでは、IKE セッションが停止し、トンネルが停止して、ルートが削除されます。DPD タイムアウトが発生したときに が IKE セッションを再起動 AWS するように指定することも、DPD タイムアウトが発生したときに AWS がアクションを実行しないように指定することもできます。

ルールと制限

以下のルールと制限が適用されます。

  • IKE ネゴシエーションを開始するには、カスタマーゲートウェイデバイスのパブリック IP アドレス AWS が必要です。VPN 接続に証明書ベースの認証を設定し、 でカスタマーゲートウェイリソースを作成したときに IP アドレスを指定しなかった場合は AWS、新しいカスタマーゲートウェイを作成して IP アドレスを指定する必要があります。その後、VPN 接続を変更し、新しいカスタマーゲートウェイを指定します。詳細については、「Site-to-Site VPN 接続のカスタマーゲートウェイを変更する」を参照してください。

  • VPN 接続の AWS 側からの IKE 開始 (起動アクション) は、IKEv2 でのみサポートされています。

  • VPN 接続の AWS 側から IKE 開始を使用する場合、タイムアウト設定は含まれません。接続が確立されるまで、継続して接続が試みられます。さらに、VPN 接続の AWS 側は、カスタマーゲートウェイから SA の削除メッセージを受信すると、IKE ネゴシエーションを再開します。

  • カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) を使用するファイアウォールまたはその他のデバイスの背後にある場合は、ID (IDr) を設定する必要があります。IDr の詳細については、RFC 7296 を参照してください。

VPN トンネルの AWS 側から IKE 開始を設定せず、VPN 接続でアイドル時間 (通常は設定に応じて 10 秒) が発生すると、トンネルがダウンする可能性があります。この問題が発生しないように、ネットワークモニタリングツールを使用してキープアライブ ping を生成できます。

VPN トンネル開始オプションの使用

VPN トンネル開始オプションの使用の詳細については、以下のトピックを参照してください。