AWS Site-to-Site VPN トンネル開始オプション - AWS Site-to-Site VPN
VPN トンネルIKE開始オプションルールと制限VPN トンネル開始オプションの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPN トンネル開始オプション

デフォルトでは、カスタマーゲートウェイデバイスはトラフィックを生成し、Internet Key Exchange (IKE) ネゴシエーションプロセスを開始することで、VPN接続の Site-to-Siteトンネルを起動する必要があります。代わりに IKE がネゴシエーションプロセスを開始または再起動 AWS する必要があることを指定するようにVPNトンネルを設定できます。

VPN トンネルIKE開始オプション

以下のIKE開始オプションを使用できます。VPN 接続の 1 つまたは両方のトンネルに対して、オプションのいずれかまたは両方を実装できます Site-to-Site。これらの設定やその他のトンネルオプション設定の詳細については、「VPN トンネルオプション」を参照してください。

  • 起動アクション: 新規または変更されたVPN接続のVPNトンネルを確立するときに実行するアクション。デフォルトでは、カスタマーゲートウェイデバイスはトンネルを起動するためのIKEネゴシエーションプロセスを開始します。代わりにIKE、ネゴシエーションプロセスを開始 AWS する必要がある を指定できます。

  • DPD タイムアウトアクション: デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。デフォルトでは、IKEセッションは停止し、トンネルはダウンし、ルートは削除されます。DPD タイムアウトが発生したときに がIKEセッションを再起動 AWS するように指定することも、DPDタイムアウトが発生したときに AWS がアクションを実行しないように指定することもできます。

ルールと制限

以下のルールと制限が適用されます。

  • IKE ネゴシエーションを開始するには、カスタマーゲートウェイデバイスのパブリック IP アドレス AWS が必要です。VPN 接続に証明書ベースの認証を設定し、 でカスタマーゲートウェイリソースを作成したときに IP アドレスを指定しなかった場合は AWS、新しいカスタマーゲートウェイを作成し、IP アドレスを指定する必要があります。次に、VPN接続を変更し、新しいカスタマーゲートウェイを指定します。詳細については、「AWS Site-to-Site VPN 接続のカスタマーゲートウェイを変更する」を参照してください。

  • IKE VPN接続の AWS 側からの 開始 (起動アクション) は、 IKEv2でのみサポートされています。

  • VPN 接続の AWS 側からIKE開始を使用する場合、タイムアウト設定は含まれません。接続が確立されるまで、継続して接続が試みられます。さらに、カスタマーゲートウェイから SA の削除メッセージを受信すると、VPN接続 AWS 側はIKEネゴシエーションを再開します。

  • カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) を使用してファイアウォールまたは他のデバイスの背後にある場合は、ID (IDr) が設定されている必要があります。の詳細についてはIDr、RFC「7296」を参照してください。

VPN トンネルの AWS 側からIKE開始を設定せず、VPN接続でアイドル時間 (通常は設定に応じて 10 秒) が発生すると、トンネルがダウンする可能性があります。この問題が発生しないように、ネットワークモニタリングツールを使用してキープアライブ ping を生成できます。

VPN トンネル開始オプションの使用

VPN トンネル開始オプションの使用の詳細については、以下のトピックを参照してください。