AWS Site-to-Site VPN トンネル開始オプション - AWS Site-to-Site VPN
VPN トンネルIKE開始オプションルールと制限VPN トンネル開始オプションの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPN トンネル開始オプション

デフォルトでは、カスタマーゲートウェイデバイスは、トラフィックを生成し、Internet Key Exchange (IKE) ネゴシエーションプロセスを開始することで、VPN接続の Site-to-Siteトンネルを起動する必要があります。代わりにIKEネゴシエーションプロセスを開始または再開 AWS する必要がある を指定するようにVPNトンネルを設定できます。

VPN トンネルIKE開始オプション

以下のIKE開始オプションを使用できます。VPN 接続内のトンネルの 1 つまたは両方に、どちらかまたは両方のオプションを実装できます Site-to-Site。これらの設定やその他のトンネルオプション設定の詳細については、「VPN トンネルオプション」を参照してください。

  • 起動アクション : 新規または変更されたVPN接続のVPNトンネルを確立するときに実行するアクション。デフォルトでは、カスタマーゲートウェイデバイスはトンネルを起動するためのIKEネゴシエーションプロセスを開始します。代わりにIKE、交渉プロセスを開始 AWS する必要がある を指定できます。

  • DPD タイムアウトアクション : デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。デフォルトでは、IKEセッションは停止され、トンネルはダウンし、ルートは削除されます。DPD タイムアウトが発生したときに がIKEセッションを再起動 AWS する必要があることを指定するか、DPDタイムアウトが発生したときに AWS がアクションを実行しないように指定できます。

ルールと制限

以下のルールと制限が適用されます。

  • IKE ネゴシエーションを開始するには、カスタマーゲートウェイデバイスのパブリック IP アドレス AWS が必要です。VPN 接続に証明書ベースの認証を設定し、 でカスタマーゲートウェイリソースを作成したときに IP アドレスを指定しなかった場合は AWS、新しいカスタマーゲートウェイを作成し、IP アドレスを指定する必要があります。次に、VPN接続を変更し、新しいカスタマーゲートウェイを指定します。詳細については、「AWS Site-to-Site VPN 接続のカスタマーゲートウェイを変更する」を参照してください。

  • IKE VPN接続 AWS 側からの 開始 (スタートアップアクション) は、 IKEv2でのみサポートされています。

  • VPN 接続 AWS 側からIKE開始を使用する場合、タイムアウト設定は含まれません。接続が確立されるまで、継続して接続が試みられます。さらに、VPN接続 AWS 側は、カスタマーゲートウェイから削除 SA メッセージを受信するとIKE、ネゴシエーションを再開します。

  • カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) を使用してファイアウォールまたは他のデバイスの背後にある場合は、アイデンティティ (IDr) を設定する必要があります。の詳細についてはIDr、RFC「7296」を参照してください。

VPN トンネルの AWS 側からIKE開始を設定せず、VPN接続にアイドル時間 (設定によっては通常 10 秒) が発生すると、トンネルがダウンする可能性があります。この問題が発生しないように、ネットワークモニタリングツールを使用してキープアライブ ping を生成できます。

VPN トンネル開始オプションの使用

VPN トンネル開始オプションの使用の詳細については、以下のトピックを参照してください。