翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Site-to-Site VPN カスタマーゲートウェイデバイスのベストプラクティス
<a name="cgw-best-practice"></a>

**IKEv2 を使用する**  
Site-to-Site VPN 接続に IKEv2 を使用することを強くお勧めします。IKEv2 は、IKEv1 よりもシンプルで堅牢、安全なプロトコルです。カスタマーゲートウェイデバイスが IKEv2 をサポートしていない場合にのみ、IKEv1 を使用してください。IKEv1 と IKEv2 の違いの詳細については、「[RFC7296 の付録 A](https://www.rfc-editor.org/rfc/rfc7296#appendix-A)」を参照してください。

**パケットの [フラグメント化しない] フラグをリセットする**  
一部のパケットには、フラグメント化しない (DF) と呼ばれるフラグがあり、パケットがフラグメント化されないように指示することができます。パケットにフラグが設定されていれば、ゲートウェイは ICMP Path MTU Exceeded メッセージを生成します。場合によっては、これらの ICMP メッセージを処理し、各パケットで送信されるデータの量を削減するための適切な仕組みがアプリケーションに備わっていません。一部の VPN デバイスでは、必要に応じて DF フラグをオーバーライドし、無条件でパケットをフラグメント化できます。カスタマーゲートウェイデバイスにこの機能がある場合は、必要に応じてこの機能を使用することをお勧めします。詳細については「[RFC 791](https://datatracker.ietf.org/doc/html/rfc791)」を参照してください。

**暗号化前に IP パケットをフラグメント化する**  
Site-to-Site VPN 接続経由で送信されるパケットが MTU サイズを超える場合は、フラグメント化する必要があります。パフォーマンスの低下を避けるため、パケットが暗号化される*前に*、パケットをフラグメント化するようにカスタマーゲートウェイデバイスを設定することをお勧めします。Site-to-Site VPN は、フラグメント化されたパケットを次の宛先に転送する前に再アセンブルし、 AWS ネットワークを通過する packet-per-secondフローを増やします。詳細については「[RFC 4459](https://datatracker.ietf.org/doc/html/rfc4459)」を参照してください。

**送信先ネットワークのパケットサイズが MTU を超えないようにする**  
Site-to-Site VPN は、次の送信先に転送する前にカスタマーゲートウェイデバイスから受信したフラグメント化されたパケットを再アセンブルするため、これらのパケットが次に転送される送信先ネットワークでは、オーバーなどのパケットサイズ/MTU に関する考慮事項や Direct Connect、Radius などの特定のプロトコルに関する考慮事項がある場合があります。

**使用中のアルゴリズムに従って MTU および MSS サイズを調整する**  
多くの場合、TCP パケットは IPsec トンネル間で最も一般的なタイプのパケットです。Site-to-Site VPN は 1446 バイトの最大伝送ユニット（MTU）と 1406 バイトの対応する最大セグメントサイズ（MSS）をサポートします。ただし、暗号化アルゴリズムにはさまざまなヘッダーサイズがあり、これらの最大値を達成できない可能性があります。フラグメンテーションを回避して最適なパフォーマンスを得るには、使用するアルゴリズムに基づいて MTU と MSS を設定することをお勧めします。

次の表を使用して、フラグメンテーションを回避し、最適なパフォーマンスを実現するように MTU/MSS を設定します。


| 暗号化アルゴリズム | ハッシュ生成アルゴリズム | NAT トラバーサル | MTU | MSS (IPv4) | MSS (IPv6-in-IPv4) | 
| --- | --- | --- | --- | --- | --- | 
|  AES-GCM-16  |  該当なし  |  無効  |  1446  |  1406  |  1386  | 
|  AES-GCM-16  |  該当なし  |  有効  |  1438  |  1398  |  1378  | 
|  AES-CBC  |  SHA1/SHA2-256  |  無効  |  1438  |  1398  |  1378  | 
|  AES-CBC  |  SHA1/SHA2-256  |  有効  |  1422  |  1382  |  1362  | 
|  AES-CBC  |  SHA2-384  |  無効  |  1422  |  1382  |  1362  | 
|  AES-CBC  |  SHA2-384  |  有効  |  1422  |  1382  |  1362  | 
|  AES-CBC  |  SHA2-512  |  無効  |  1422  |  1382  |  1362  | 
|  AES-CBC  |  SHA2-512  |  有効  |  1406  |  1366  |  1346  | 

**注記**  
AES-GCM アルゴリズムは暗号化と認証の両方をカバーするため、MTU に影響する明確な認証アルゴリズムの選択はありません。

**IKE の一意の ID を無効にする**  
一部のカスタマーゲートウェイデバイスは、トンネル設定ごとに最大 1 つのフェーズ 1 セキュリティ関連付けが存在するようにする設定をサポートしています。この設定により、VPN ピア間でフェーズ 2 の状態が一致しない可能性があります。カスタマーゲートウェイデバイスがこの設定をサポートしている場合は、無効にすることをお勧めします。