翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Site-to-Site VPN カスタマーゲートウェイデバイスのダウンロード可能な動的ルーティング設定ファイル
<a name="cgw-dynamic-routing-examples"></a>

Site-to-Site VPN 接続設定に固有の値を含むサンプル設定ファイルをダウンロードするには、Amazon VPC コンソール、 AWS コマンドライン、または Amazon EC2 API を使用します。詳細については、「[ステップ 6: 設定ファイルをダウンロードする](SetUpVPNConnections.md#vpn-download-config)」を参照してください。

また、Site-to-Site VPN 接続設定に固有の値を含まないダイナミックルーティング用の汎用設定ファイルの例をダウンロードすることもできます。[dynamic-routing-examples.zip](samples/dynamic-routing-examples.zip)

これらのファイルは、一部のコンポーネントにプレースホルダー値を使用します。たとえば、以下を使用します。
+ VPN 接続 ID 、カスタマーゲートウェイ ID および仮想プライベートゲートウェイ ID の値の例
+ リモート (外部) IP アドレス AWS エンドポイントのプレースホルダー (*AWS\$1ENDPOINT\$11* および *AWS\$1ENDPOINT\$12*)
+ カスタマーゲートウェイデバイスのインターネットルーティング可能な外部インターフェイスの IP アドレスのプレースホルダー (*your-cgw-ip-address*)
+ 事前共有キー値のプレースホルダ (事前共有キー)
+ トンネルの内部 IP アドレスの値の例。
+ MTU 設定の値の例。

**注記**  
サンプルコンフィギュレーションファイルで提供されている MTU 設定は、例にすぎません。状況に応じた最適な MTU 値の設定については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイスのベストプラクティス](cgw-best-practice.md)」を参照してください。

プレースホルダー値を指定することに加えて、ファイルはほとんどの AWS リージョンで AES128, SHA1、および Diffie-Hellman グループ 2 の Site-to-Site VPN 接続、 AWS GovCloud リージョンで AES128, SHA2、および Diffie-Hellman グループ 14 の最小要件を指定します。また、[認証](vpn-tunnel-authentication-options.md)用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6 トラフィックを活用するには、サンプル設定ファイルを変更する必要があります。

次の図は、カスタマーゲートウェイデバイスに設定されているさまざまなコンポーネントの概要を示しています。これには、トンネルインターフェイスの IP アドレスの値の例が含まれます。

![\[動的ルーティングを使用するカスタマーゲートウェイデバイス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/cgw-bgp.png)


## Cisco デバイス: 追加情報
<a name="cgw-dynamic-routing-examples-cisco"></a>

一部の Cisco ASA ではアクティブ/スタンバイモードのみがサポートされています。これらの Cisco ASA を使用する場合は、アクティブなトンネルを一度に 1 個のみ保持できます。最初のトンネルが利用不可になった場合は、他方のスタンバイトンネルがアクティブになります。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

バージョン 9.7.1 以降の Cisco ASA は、アクティブ/アクティブモードをサポートします。これらの Cisco ASA を使用する場合は、両方のトンネルを同時にアクティブにすることができます。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

Cisco デバイスの場合は、次の作業を行う必要があります。
+ 外部インターフェイスを設定します。
+ Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。
+ Crypto List Policy Sequence の数値が一意であることを確認します。
+ Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他のすべての IPsec トンネルの整合性が確保されていることを確認します。
+ SLA モニタリング番号が一意であることを確認します。
+ カスタマーゲートウェイデバイスとローカルネットワークとの間でトラフィックを動かす内部ルーティングをすべて設定します。

## Juniper デバイス: 追加情報
<a name="cgw-dynamic-routing-examples-juniper"></a>

次の情報は、Juniper J シリーズおよび SRX カスタマーゲートウェイデバイスの設定ファイルの例に適用されます。
+ 外部インターフェイスは *ge-0/0/0.0* と呼ばれます。
+ トンネルインターフェイス ID は *st0.1* および *st0.2* と呼ばれます。
+ アップリンクインターフェイスのセキュリティゾーンを確実に特定します (設定情報ではデフォルトゾーンの 'untrust' を使用します)。
+ 内部インターフェイスのセキュリティゾーンを確実に特定します (設定情報ではデフォルトゾーンの 'trust' を使用します)。