翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の AWS Site-to-Site VPN 仕組み
Site-to-Site VPN 接続は次のコンポーネントで構成されます。
+ [仮想プライベートゲートウェイ](#VPNGateway)または[トランジットゲートウェイ](#Transit-Gateway)
+ [カスタマーゲートウェイデバイス](#CustomerGatewayDevice)
+ [カスタマーゲートウェイ](#CustomerGateway)
VPN 接続は、 AWS 側の仮想プライベートゲートウェイまたはトランジットゲートウェイと、オンプレミス側のカスタマーゲートウェイの間に 2 つの VPN トンネルを提供します。
Site-to-Site VPN クォータの詳細については、「[AWS Site-to-Site VPNクォータ](vpn-limits.md)」を参照してください。
## 仮想プライベートゲートウェイ
*仮想プライベートゲートウェイ*は、Site-to-Site VPN 接続の Amazon 側の Site-to-Site VPN コンセントレータです。仮想プライベートゲートウェイを作成し、サイト間 VPN 接続にアクセスする必要があるリソースを含む仮想プライベートクラウド (VPC) にアタッチします。
次の図は、仮想プライベートゲートウェイを使用した VPC とオンプレミスネットワーク間の VPN 接続を示しています。
![\[オンプレミスネットワークへの仮想プライベートゲートウェイと VPN 接続がアタッチされた VPC。\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
仮想プライベートゲートウェイを作成するとき、Amazon 側のゲートウェイのプライベート自律システム番号 (ASN) 指定できます。ASN を指定しない場合、仮想プライベートゲートウェイはデフォルトの ASN (64512) で作成されます。仮想プライベートゲートウェイの作成後に ASN を変更することはできません。仮想プライベートゲートウェイの ASN を確認するには、Amazon VPC コンソールの **[仮想プライベートゲートウェイ]** ページで詳細を表示するか、[describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI コマンドを使用します。
**注記**
仮想プライベートゲートウェイは Site-to-Site VPN 接続で IPv6 をサポートしません。IPv6 サポートが必要な場合は、VPN 接続にトランジットゲートウェイまたは Cloud WAN を使用します。
## トランジットゲートウェイ
トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できる中継ハブです。詳細については、「[Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/)」を参照してください。Site-to-Site VPN 接続は、トランジットゲートウェイのアタッチメントとして作成できます。
次の図は、トランジットゲートウェイを使用した複数の VPC とオンプレミスネットワーク間の VPN 接続を示しています。トランジットゲートウェイには、3 つの VPC アタッチメントと 1 つの VPN アタッチメントがあります。
![\[3 つの VPC アタッチメントと 1 つの VPN アタッチメントがあるトランジットゲートウェイ。\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
トランジットゲートウェイの Site-to-Site VPN 接続は、VPN トンネル内 (内部 IP アドレス) で IPv4 トラフィックまたは IPv6 トラフィックのいずれかをサポートできます。さらに、トランジットゲートウェイは、外部トンネル IP アドレスで IPv6 アドレスをサポートします。詳細については、「[AWS Site-to-Site VPN の IPv4 および IPv6 トラフィック](ipv4-ipv6.md)」を参照してください。
Site-to-Site VPN のターゲットゲートウェイ接続を、仮想プライベートゲートウェイからトランジットゲートウェイに修正できます。詳細については、「[AWS Site-to-Site VPN 接続のターゲットゲートウェイを変更する](modify-vpn-target.md)」を参照してください。
## カスタマーゲートウェイデバイス
*カスタマーゲートウェイデバイス*は、Site-to-Site VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプリケーションです。Site-to-Site VPN 接続で動作するようデバイスを構成します。詳細については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイス](your-cgw.md)」を参照してください。
デフォルトでは、カスタマーゲートウェイデバイスは、トラフィックを生成して Internet Key Exchange (IKE) ネゴシエーションプロセスを開始することで、Site-to-Site VPN 接続のトンネルを開始する必要があります。Site-to-Site VPN 接続の設定で、代わりに AWS が IKE ネゴシエーションプロセスを開始するように指定することもできます。詳細については、「[AWS Site-to-Site VPN トンネル開始オプション](initiate-vpn-tunnels.md)」を参照してください。
外部トンネル IP アドレスに IPv6 を使用している場合、カスタマーゲートウェイデバイスは IPv6 アドレス指定をサポートし、IPv6 エンドポイントとの IPsec トンネルを確立できる必要があります。
## カスタマーゲートウェイ
*カスタマーゲートウェイ*は、 AWS に作成するリソースで、オンプレミスネットワーク内のカスタマーゲートウェイデバイスを表します。カスタマーゲートウェイを作成するときは、デバイスに関する情報を提供します AWS。詳細については、「[AWS Site-to-Site VPN 接続のカスタマーゲートウェイのオプション](cgw-options.md)」を参照してください。
![\[カスタマーゲートウェイとカスタマーゲートウェイデバイス。\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/vpn-how-it-works-cgw.png)
また、Site-to-Site VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者がリモートネットワークのカスタマーゲートウェイデバイスまたはアプリケーションを設定する必要があります。Site-to-Site VPN 接続を作成するときに、設定に必要な情報が提供され、通常はネットワーク管理者がこの設定を行います。カスタマーゲートウェイの要件および設定については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイス](your-cgw.md)」を参照してください。
### IPv6 カスタマーゲートウェイ
IPv6 外部トンネル IP で使用するカスタマーゲートウェイを作成するときは、IPv4 アドレスの代わりに IPv6 アドレスを指定します。IPv6 カスタマーゲートウェイは、 AWS マネジメントコンソールまたは CLI AWS を使用して作成できます。
CLI を使用して IPv6 AWS カスタマーゲートウェイを作成するには、次のコマンドを使用します。
```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
IPv6 アドレスは、カスタマーゲートウェイデバイスのインターネットでルーティング可能な有効な IPv6 アドレスである必要があります。
## IPv6 VPN 接続
Site-to-Site VPN 接続は、次の IPv6 設定をサポートしています。
+ *IPv4 内部パケットを含む IPv4 外部トンネル* - Virtual Private Gateway (VGW)、Transit Gateway (TGW)、および Cloud WAN でサポートされている基本的な IPv4 VPN 機能。
+ *IPv6 内部パケットを含む IPv4 外部トンネル* - VPN トンネル内の IPv6 アプリケーション/トランスポートを許可します。TGW および Cloud WAN でサポートされています (VGW ではサポートされていません)。
+ *IPv6 内部パケットを含む IPv6 外部トンネル* - 外部トンネル IP と内部パケット IP の両方に IPv6 アドレスを使用することで完全な IPv6 移行を実現します。TGW と Cloud WAN でサポートされています。
+ *IPv4 内部パケットを含む IPv6 外部トンネル* - トンネル内のレガシー IPv4 アプリケーションをサポートしながら、IPv6 外部トンネルのアドレス指定を許可します。TGW と Cloud WAN でサポートされています。
IPv6 外部トンネル IP を使用する VPN 接続を作成するには、VPN 接続の作成時に `OutsideIPAddressType=Ipv6` を指定します。AWS は、VPN トンネルの AWS 側の外部トンネル IPv6 アドレスを自動的に設定します。
IPv6 外部トンネル IP と IPv6 内部トンネル IP を使用して VPN 接続を作成する CLI コマンドの例:
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
`describe-vpn-connection` CLI コマンドを使用して、VPN 接続に割り当てられた IPv6 アドレスを表示できます。
# AWS Site-to-Site VPN 接続のトンネルオプション
リモートネットワークを VPC に接続するには、Site-to-Site VPN 接続を使用します。各 Site-to-Site VPN 接続には 2 つのトンネルがあり、それぞれのトンネルが固有のパブリック IP アドレスを使用します。冗長性を確保するために両方のトンネルを設定することが重要です。1 つのトンネルが使用できなくなったとき (たとえばメンテナンスのために停止)、ネットワークトラフィックはその特定の Site-to-Site VPN 接続用に使用可能なトンネルへ自動的にルーティングされます。
以下の図は、VPN 接続の 2 つのトンネルを示しています。可用性を高めるため、各トンネルは異なるアベイラビリティーゾーンで終了します。オンプレミスネットワークから へのトラフィックは、両方のトンネル AWS を使用します。からオンプレミスネットワーク AWS へのトラフィックは、いずれかのトンネルを優先しますが、 AWS 側で障害が発生した場合は、自動的にもう一方のトンネルにフェイルオーバーできます。
![\[仮想プライベートゲートウェイとカスタマーゲートウェイ間の、VPN 接続の 2 つのトンネル。\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/Multiple_VPN_Tunnels_diagram.png)
Site-to-Site VPN 接続を作成するとき、カスタマーゲートウェイデバイスに固有の、デバイスを設定するための情報、および各トンネルの設定のための情報を含んだ設定ファイルをダウンロードします。Site-to-Site VPN 接続を作成するとき、オプションで、いくつかのトンネルオプションを独自に指定することができます。そうしない場合、 AWS によりデフォルト値が指定されます。
## トンネル帯域幅オプション
VPN トンネルの帯域幅容量を設定できます。
+ **標準帯域幅**: トンネルあたり最大 1.25 Gbps (デフォルト)
+ **広帯域幅トンネル (LBT)**: トンネルあたり最大 5 Gbps
広帯域幅トンネルは、Transit Gateway または Cloud WAN にアタッチされた VPN 接続でのみ使用できます。詳細については、「[広帯域幅トンネル](#large-bandwidth-tunnels)」を参照してください。
**注記**
Site-to-Site VPN トンネルエンドポイントは、カスタマーゲートウェイからの提案の順序に関係なく、以下のリストの最小設定値から順に、カスタマーゲートウェイからの提案を評価します。`modify-vpn-connection-options` コマンドを使用して、 AWS エンドポイントが受け入れるオプションのリストを制限できます。詳細については、*Amazon EC2 コマンドラインリファレンス*の「[modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)」をご参照ください。
## 広帯域幅トンネル
広帯域幅トンネルを使用すると、標準の 1.25 Gbps と比較して、トンネルあたり最大 5 Gbps の帯域幅をサポートする Site-to-Site VPN トンネルを設定できます。広帯域幅トンネルは、Transit Gateway または Cloud WAN にアタッチされた VPN 接続で使用できます。これにより、ECMP (Equal Cost Multi Path) などの複雑なプロトコルをデプロイする必要がなくなり、より高い帯域幅を実現し、トンネルあたり 5 Gbps の一貫したトンネル帯域幅を確保できます。広帯域幅トンネルは、次のユースケースで使用するように設計されています。
+ **データセンター接続**: AWS ワークロードとオンプレミスデータセンター間の大容量接続を必要とする、帯域幅を大量に消費するハイブリッドアプリケーション、ビッグデータ移行、またはディザスタリカバリアーキテクチャをサポートします。
+ **Direct Connect バックアップ**: 大容量 Direct Connect 回路 (10 Gbps 以上) のバックアップまたはオーバーレイ接続をオンプレミスのデータセンターまたはコロケーション施設に提供します。
### リージョンの可用性
広帯域幅トンネルは、以下を除くすべてのリージョンで使用できます。
**使用不可 AWS リージョン**
| AWS リージョン | 説明 |
| --- | --- |
| ap-southeast-4 | アジアパシフィック (メルボルン) |
| ca-west-1 | カナダ西部 (カルガリー) |
| eu-central-2 | 欧州 (チューリッヒ) |
| il-central-1 | イスラエル (テルアビブ) |
| me-central-1 | 中東 (アラブ首長国連邦) |
### 要件と制限
+ Transit Gateway または Cloud WAN にアタッチされた VPN 接続でのみ使用できます。Virtual Private Gateway アタッチメントではサポートされていません。
+ VPN 接続の両方のトンネルは、同じ帯域幅設定 (両方とも 1.25 Gbps または両方とも 5 Gbps) を使用する必要があります。
+ 高速 VPN はサポートされていません。
+ プライベート IP VPN、ルーティング、トンネルメンテナンスなどの他のすべてのコア VPN 機能は、広帯域幅トンネルでも同じように機能します。
+ MTU の制限は 1500 バイトのままです。 [使用中のアルゴリズムに従って MTU と MSS のサイズを調整する方法について詳しく](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-best-practice.html)説明します。
+ 既存のトンネルを変更して広帯域幅トンネルを使用することはできません。まずトンネルを削除してから、新しいトンネルを作成し、トンネル帯域幅を **Large** に設定する必要があります。
+ 固定 IP を持つカスタマーゲートウェイ (CGWs) のみを、広帯域幅トンネルで使用できます。
+ IP アドレスのないカスタマーゲートウェイ (CGWs) は、広帯域幅トンネルでは使用できません。
+ 広帯域幅トンネルは、トンネルの確立中に NAT-T ポートへの変更をサポートしていません。
+ 断片化が必要なパケットでは、パフォーマンスが低下する可能性があります。 [詳細については、](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html#vpn-quotas-mtu)「」を参照してください。
### 広帯域幅トンネルの料金
広帯域幅 VPN 接続の料金については、[AWS VPN 料金](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing)ページを参照してください。
### 5 Gbps を超えるスケーリング
トンネルあたり 5 Gbps を超える帯域幅要件については、複数の VPN 接続で ECMP を使用できます。例えば、ラージ帯域幅トンネルで 2 つの VPN 接続をデプロイし、4 つのトンネルすべてに ECMP を使用することで、20 Gbps の帯域幅を実現できます。
# のトンネルオプションを設定する AWS Site-to-Site VPN
このセクションでは、デッドピア検出、IKE バージョン、暗号化設定などの重要なパラメータをカバーする、 AWS Site-to-Site VPN 接続のトンネルオプションの設定に関する包括的なガイダンスを提供します。これらのトンネルオプションをカスタマイズして、VPN 接続のセキュリティ、パフォーマンス、オンプレミスのネットワークインフラストラクチャとの互換性を最適化できます。
設定できるトンネルオプションは以下のとおりです。
**注記**
一部のトンネルオプションには複数のデフォルト値があります。例えば、**IKE バージョン**には `ikev1` と `ikev2` の 2 つのデフォルトのトンネルオプション値があります。特定の値を選択しない場合、すべてのデフォルト値はそのトンネルオプションに関連付けられます。トンネルオプションに関連付けたくないデフォルト値があれば、クリックして削除します。例えば、IKE バージョンに `ikev1` のみを使用する場合は、`ikev2` をクリックして削除します。
**デッドピア検出 (DPD) タイムアウト**
DPD タイムアウトが発生するまでの秒数。DPD タイムアウトが 30 秒の場合、VPN エンドポイントは、最初のキープアライブの失敗から 30 秒後にピアがデッドと見なします。30 以上を指定できます。
デフォルト: 40
**DPD タイムアウトアクション**
デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。以下を指定することができます。
+ `Clear`: DPD タイムアウトが発生したときに IKE セッションを終了する (トンネルを停止してルートをクリアする)
+ `None`: DPD タイムアウトが発生しても何もアクションを実行しない
+ `Restart`: DPD タイムアウトが発生したときに IKE セッションを再起動する
詳細については、「[AWS Site-to-Site VPN トンネル開始オプション](initiate-vpn-tunnels.md)」を参照してください。
デフォルト: `Clear`
**VPN ログ記録オプション**
Site-to-Site VPN ログを使用すると、IP セキュリティ (IPsec) トンネル確立、インターネットキー交換 (IKE) ネゴシエーション、およびデッドピア検出 (DPD) プロトコルメッセージの詳細にアクセスできます。
詳細については、「[AWS Site-to-Site VPN ログ](monitoring-logs.md)」を参照してください。
使用可能なログ形式: `json`、`text`
**IKE バージョン**
VPN トンネルで許可される IKE バージョン。1 つ以上のデフォルト値を指定できます。
デフォルト: `ikev1`、`ikev2`
**トンネル内部 IPv4 CIDR**
VPN トンネルの内部 (内部) IPv4 アドレスの範囲です。`169.254.0.0/16` 範囲からのサイズ /30 の CIDR ブロックを指定できます。CIDR ブロックは、同じ仮想プライベートゲートウェイを使用するすべての Site-to-Site VPN 接続にわたって一意である必要があります。
CIDR ブロックは、トランジットゲートウェイ上のすべての接続にわたって一意である必要はありません。ただし、一意でない場合は、カスタマーゲートウェイで競合が発生する可能性があります。トランジットゲートウェイ上の Site-to-Site VPN 接続で同じ CIDR ブロックを再使用する場合は、慎重に進めてください。
以下の CIDR ブロックは予約済みで使用できません。
+ `169.254.0.0/30`
+ `169.254.1.0/30`
+ `169.254.2.0/30`
+ `169.254.3.0/30`
+ `169.254.4.0/30`
+ `169.254.5.0/30`
+ `169.254.169.252/30`
デフォルト: `169.254.0.0/16` 範囲からのサイズ /30 の IPv4 CIDR ブロック。
**事前共有キーストレージ**
事前共有キーのストレージのタイプは以下のとおりです。
+ **標準** — 事前共有キーは Site-to-Site VPN サービスに直接保存されます。
+ **Secrets Manager ** — 事前共有キーは を使用して保存されます AWS Secrets Manager。Secrets Manager の詳細については、「[Secrets Manager を使用したセキュリティ機能の強化](enhanced-security.md)」を参照してください。
**トンネル帯域幅**
トンネルでサポートされている帯域幅。
+ **標準** — トンネル帯域幅は、トンネルあたり最大 1.25 Gbps (デフォルト) に設定されます。
+ **Large** — トンネルあたりの最大 5 Gbps までのトンネル帯域幅。
**注記**
**Large** は、トランジットゲートウェイまたは Cloud WAN にアタッチされた VPN 接続でのみ使用できます。Virtual Private Gateway 接続ではサポートされていません。
**トンネル内部 IPv6 CIDR**
(IPv6 VPN 接続のみ) VPN トンネルの内部 (内部) IPv6 アドレスの範囲。ローカル `fd00::/8` 範囲からのサイズ /126 の CIDR ブロックを指定できます。CIDR ブロックは、同じトランジットゲートウェイを使用するすべての Site-to-Site VPN 接続にわたって一意であることが必要です。IPv6 サブネットを指定しない場合、Amazon はこの範囲から /128 サブネットを自動的に選択します。サブネットを指定するか Amazon が選択するかにかかわらず、サブネット内の最初の使用可能な IPv6 アドレスは接続の Amazon 側で使用され、お客様側では 2 番目の使用可能な IPv6 アドレスが使用されます。
デフォルト: ローカル `fd00::/8` 範囲からのサイズ /126 の IPv6 CIDR ブロック。
**外部トンネル IP アドレスタイプ**
外部トンネル IP アドレスの IP アドレスタイプ。以下のいずれかを指定できます。
+ `PrivateIpv4`: プライベート IPv4 アドレスを使用して、Direct Connect 経由で Site-to-Site VPN 接続をデプロイします。
+ `PublicIpv4`: (デフォルト) 外部トンネル IP に IPv4 アドレスを使用します。
+ `Ipv6`: 外部トンネル IP に IPv6 アドレスを使用します。このオプションは、トランジットゲートウェイまたはクラウド WAN 上の VPN 接続でのみ使用できます。
`Ipv6` を選択すると、AWS は VPN トンネルの AWS 側の外部トンネル IPv6 アドレスを自動的に設定します。カスタマーゲートウェイデバイスは IPv6 アドレス指定をサポートしていることと、IPv6 エンドポイントで IPsec トンネルを確立できることが必須となります。
デフォルト: `PublicIpv4`
**ローカル IPv4 ネットワーク CIDR**
(IPv4 VPN 接続のみ) VPN トンネルの顧客 (オンプレミス) 側の IKE フェーズ 2 ネゴシエーション中に使用される CIDR 範囲。この範囲はルートを提案するために使用されますが、 はルートベースの VPNsのみ AWS を使用するため、トラフィック制限は適用されません。ポリシーベースの VPNs は、動的ルーティングプロトコルとマルチリージョンアーキテクチャをサポートする AWS機能を制限するため、サポートされていません。これには、VPN トンネル経由で通信する必要があるオンプレミスネットワークの IP 範囲を含める必要があります。実際のトラフィックフローを制御するには、適切なルートテーブル設定、NACL、およびセキュリティグループを使用する必要があります。
デフォルト: 0.0.0.0/0
**リモート IPv4 ネットワーク CIDR**
(IPv4 VPN 接続のみ) VPN トンネルの AWS 側の IKE フェーズ 2 ネゴシエーション中に使用される CIDR 範囲。この範囲はルートを提案するために使用されますが、AWS はルートベースの VPN のみを使用するため、トラフィック制限は適用されません。ポリシーベースの VPN は複雑なルーティングシナリオで必要になる柔軟性に欠け、トランジットゲートウェイや VPN 等価コストマルチパス (ECMP) などの機能と互換性がないため、AWS ではサポートされていません。VPC の場合、これは通常 VPC の CIDR 範囲です。トランジットゲートウェイの場合、これにはアタッチされた VPC または他のネットワークからの複数の CIDR 範囲が含まれる場合があります。
デフォルト: 0.0.0.0/0
**ローカル IPv6 ネットワーク CIDR**
(IPv6 VPN 接続のみ) VPN トンネルを介した通信が許可される、カスタマーゲートウェイ (オンプレミス) 側の IPv6 CIDR 範囲。
デフォルト: ::/0
**リモート IPv6 ネットワーク CIDR**
(IPv6 VPN 接続のみ) VPN トンネルを介した通信が許可されている AWS 側の IPv6 CIDR 範囲。
デフォルト: ::/0
**フェーズ 1 Diffie-Hellman (DH) グループ番号**
フェーズ 1 IKE ネゴシエーションで VPN トンネルに対して許可される Diffie-Hellman グループ番号。1 つ以上のデフォルト値を指定できます。
デフォルト: 2、14、15、16、17、18、19、20、21、22、23、24
**フェーズ 2 Diffie-Hellman (DH) グループ番号**
フェーズ 2 IKE ネゴシエーションで VPN トンネルに対して許可される Diffie-Hellman グループ番号。1 つ以上のデフォルト値を指定できます。
デフォルト: 2、5、14、15、16、17、18、19、20、21、22、23、24
**フェーズ 1 暗号化アルゴリズム**
フェーズ 1 IKE ネゴシエーションで VPN トンネルで許可される暗号化アルゴリズム。1 つ以上のデフォルト値を指定できます。
デフォルト: AES128、AES256、AES128-GCM-16、AES256-GCM-16
**フェーズ 2 暗号化アルゴリズム**
フェーズ 2 IKE ネゴシエーションで VPN トンネルで許可される暗号化アルゴリズム。1 つ以上のデフォルト値を指定できます。
デフォルト: AES128、AES256、AES128-GCM-16、AES256-GCM-16
**フェーズ 1 整合性アルゴリズム**
フェーズ 1 IKE ネゴシエーションで VPN トンネルで許可される整合性アルゴリズム。1 つ以上のデフォルト値を指定できます。
デフォルト: SHA-1、SHA2-256、SHA2-384、SHA2-512
**フェーズ 2 整合性アルゴリズム**
フェーズ 2 IKE ネゴシエーションで VPN トンネルで許可される整合性アルゴリズム。1 つ以上のデフォルト値を指定できます。
デフォルト: SHA-1、SHA2-256、SHA2-384、SHA2-512
**フェーズ 1 ライフタイム**
AWS は、フェーズ 1 の有効期間フィールドとフェーズ 2 の有効期間フィールドで設定されたタイミング値を使用して再キーを開始します。このようなライフタイムがネゴシエートされたハンドシェイク値と異なる場合、トンネル接続が中断される可能性があります。
フェーズ 1 IKE ネゴシエーションのライフタイム (秒)。値は 900 から 28,800 まで指定できます。
デフォルト: 28,800 (8 時間)
**フェーズ 2 ライフタイム**
AWS は、フェーズ 1 の有効期間フィールドとフェーズ 2 の有効期間フィールドで設定されたタイミング値を使用して再キーを開始します。このようなライフタイムがネゴシエートされたハンドシェイク値と異なる場合、トンネル接続が中断される可能性があります。
フェーズ 2 IKE ネゴシエーションのライフタイム (秒)。値は 900 から 3,600 まで指定できます。指定する値は、フェーズ 1 のライフタイムの秒数よりも小さくする必要があります。
デフォルト: 3,600 (1 時間)
**事前共有キー (PSK)**
ターゲットゲートウェイとカスタマーゲートウェイ間に最初の Internet Key Exchange (IKE) Security Association を確立するための事前共有キー (PSK)。
PSK は、8 ~ 64 文字の長さにする必要があり、ゼロ (0) から始めることはできません。使用できる文字は、英数字、ピリオド (.)、および下線 (\$1) です。
デフォルト: 32 文字の英数字の文字列。
**キー再生成ファズ**
キー再生成時間がランダムに選択される、キー再生成ウィンドウ(キー再生成マージン時間によって決定される)の割合。
0 ~ 100 のパーセント値を指定できます。
デフォルト: 100
**キー再生成のマージンタイム**
フェーズ 1 とフェーズ 2 の有効期間が終了する前の秒単位のマージン時間。その間、VPN 接続の AWS 側が IKE リキーを実行します。
60 からフェーズ 2 のライフタイム秒の値の半分までの数値を指定できます。
キー再生成の正確な時間は、キー再生成ファズの値に基づいてランダムに選択されます。
デフォルト: 270 (4.5 分)
**再生ウィンドウのサイズパケット**
IKE 再生ウィンドウ内のパケット数。
64 から 2048 までの値を指定できます。
デフォルト: 1024
**開始アクション**
VPN 接続のトンネルを確立するときに実行するアクション。以下を指定できます。
+ `Start`: IKE ネゴシエーション AWS を開始してトンネルを起動します。カスタマーゲートウェイが IP アドレスで設定されている場合にのみサポートされます。
+ `Add`: カスタマーゲートウェイデバイスが IKE ネゴシエーションを開始してトンネルを開始する
詳細については、「[AWS Site-to-Site VPN トンネル開始オプション](initiate-vpn-tunnels.md)」を参照してください。
デフォルト: `Add`
**トンネルエンドポイントのライフサイクル制御**
トンネルエンドポイントのライフサイクル制御により、エンドポイントの置き換えスケジュールを制御できます。
詳細については、「[AWS Site-to-Site VPN トンネルエンドポイントのライフサイクル制御](tunnel-endpoint-lifecycle.md)」を参照してください。
デフォルト: `Off`
Site-to-Site VPN 接続の作成時にトンネルオプションを指定するか、既存の VPN 接続のトンネルオプションを変更できます。詳細については、以下の各トピックを参照してください。
+ [ステップ 5: VPN 接続を作成する](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ [AWS Site-to-Site VPN トンネルオプションの変更](modify-vpn-tunnel-options.md)
# AWS Site-to-Site VPN トンネル認証オプション
事前共有キーまたは証明書を使用して、Site-to-Site VPN トンネルエンドポイントを認証できます。
## 事前共有キー
Site-to-Site VPN トンネルのデフォルトの認証オプションは、事前共有キー (PSK) です。トンネルを作成する場合、独自の PSK を指定するか、AWS に自動生成を許可できます。PSK は以下のいずれかの方法を使用して保存します。
+ Site-to-Site VPN サービスに直接保存する。詳細については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイス](your-cgw.md)」を参照してください。
+ セキュリティを強化するため、AWS Secrets Manager に保存する。Secrets Manager の使用に関する詳細は「[Secrets Manager を使用したセキュリティ機能の強化](enhanced-security.md)」を参照してください。
PSK 文字列はその後、カスタマーゲートウェイデバイスを設定するときに使用されます。
## からのプライベート証明書AWS Private Certificate Authority
事前共有キーを使用しない場合は、AWS Private Certificate Authority からのプライベート証明書を使用して VPN を認証できます。
AWS Private Certificate Authority (AWS Private CA) を使用して、下位 CA からプライベート証明書を作成する必要があります。ACM 下位 CA に署名するために、ACM ルート CA または外部 CA を使用できます。プライベート証明書の作成の詳細については、*AWS Private Certificate Authority ユーザーガイド*の「[プライベート CA の作成と管理](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)」を参照してください。
Site-to-Site VPN トンネルエンドポイントの AWS 側の証明書を生成して使用するには、サービスリンクロールを作成する必要があります。詳細については、「[Site-to-Site VPN のサービスにリンクされたロール](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)」を参照してください。
**注記**
シームレスな証明書ローテーションを容易に行えるように、`CreateCustomerGateway` API コールで最初に指定されたものと同じ認証局チェーンを持つ証明書があれば、VPN 接続を確立できるようになっています。
カスタマーゲートウェイデバイスの IP アドレスを指定しない場合、IP アドレスは確認されません。このオペレーションにより、VPN 接続を再設定することなく、カスタマーゲートウェイデバイスを別の IP アドレスに移動できます。
Site-to-Site VPN は、証明書 VPN を作成するときにカスタマーゲートウェイ証明書に対して証明書チェーン検証を実行します。Site-to-Site VPN は、基本的な CA と有効性チェックに加えて、権限キー識別子、サブジェクトキー識別子、基本制約など、X.509 拡張機能が存在するかどうかを確認します。
# AWS Site-to-Site VPN トンネル開始オプション
デフォルトでは、カスタマーゲートウェイデバイスは、トラフィックを生成して Internet Key Exchange (IKE) ネゴシエーションプロセスを開始することで、Site-to-Site VPN 接続のトンネルを開始する必要があります。が代わりに IKE ネゴシエーションプロセスを開始または再起動 AWS する必要があることを指定するように VPN トンネルを設定できます。
## VPN トンネル IKE 開始オプション
以下の IKE 開始オプションを使用できます。Site-to-Site VPN 接続のトンネルの一方または両方に対して、1 つまたは両方のオプションを設定できます。これらの設定やその他のトンネルオプション設定の詳細については、「[VPN トンネルオプション](VPNTunnels.md)」を参照してください。
+ **開始アクション**: 新規または変更された VPN 接続の VPN トンネルを確立するときに実行するアクション。デフォルトでは、カスタマーゲートウェイデバイスが IKE ネゴシエーションプロセスを開始してトンネルを開始します。代わりに、 が IKE ネゴシエーションプロセスを開始 AWS する必要があることを指定できます。
+ **DPD タイムアウトアクション**: デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。デフォルトでは、IKE セッションが停止し、トンネルが停止して、ルートが削除されます。DPD タイムアウトが発生したときに が IKE セッションを再起動 AWS するように指定することも、DPD タイムアウトが発生したときに AWS がアクションを実行しないように指定することもできます。
## ルールと制限
以下のルールと制限が適用されます。
+ IKE ネゴシエーションを開始するには、カスタマーゲートウェイデバイスのパブリック IP アドレス AWS が必要です。VPN 接続に証明書ベースの認証を設定し、 でカスタマーゲートウェイリソースを作成したときに IP アドレスを指定しなかった場合は AWS、新しいカスタマーゲートウェイを作成し、IP アドレスを指定する必要があります。その後、VPN 接続を変更し、新しいカスタマーゲートウェイを指定します。詳細については、「[AWS Site-to-Site VPN 接続のカスタマーゲートウェイを変更する](change-vpn-cgw.md)」を参照してください。
+ VPN 接続の AWS 側からの IKE 開始 (起動アクション) は、IKEv2 でのみサポートされています。
+ VPN 接続の AWS 側から IKE 開始を使用する場合、タイムアウト設定は含まれません。接続が確立されるまで、継続して接続が試みられます。さらに、VPN 接続の AWS 側は、カスタマーゲートウェイから SA の削除メッセージを受信すると、IKE ネゴシエーションを再開します。
+ カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) を使用するファイアウォールまたはその他のデバイスの背後にある場合は、ID (IDr) を設定する必要があります。IDr の詳細については、[RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296) を参照してください。
VPN トンネルの AWS 側から IKE 開始を設定せず、VPN 接続でアイドル時間 (通常は設定に応じて 10 秒) が発生すると、トンネルがダウンする可能性があります。この問題が発生しないように、ネットワークモニタリングツールを使用してキープアライブ ping を生成できます。
## VPN トンネル開始オプションの使用
VPN トンネル開始オプションの使用の詳細については、以下のトピックを参照してください。
+ 新しい VPN 接続を作成し、VPN トンネル開始オプションを指定するには: [ステップ 5: VPN 接続を作成する](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ 既存の VPN 接続の VPN トンネル開始オプションを変更するには: [AWS Site-to-Site VPN トンネルオプションの変更](modify-vpn-tunnel-options.md)
# AWS Site-to-Site VPN トンネルエンドポイントの置き換え
Site-to-Site VPN 接続は、冗長性のために 2 つの VPN トンネルで構成されます。がトンネルの更新 AWS を実行したとき、または VPN 接続を変更するときに、VPN トンネルエンドポイントの一方または両方が置き換えられることがあります。トンネルエンドポイントの置換中に、新しいトンネルエンドポイントがプロビジョニングされている間、トンネルを介した接続が中断されることがあります。
**Topics**
+ [お客様によるエンドポイントの置き換え](#endpoint-replacements-for-vpn-modifications)
+ [AWS マネージドのエンドポイントの置き換え](#endpoint-replacements-for-aws-updates)
+ [AWS Site-to-Site VPN トンネルエンドポイントのライフサイクル制御](tunnel-endpoint-lifecycle.md)
## お客様によるエンドポイントの置き換え
VPN 接続の以下のコンポーネントを変更すると、トンネルエンドポイントの一方または両方が置き換えられます。
| 変更 | API アクション | トンネルインパクト |
| --- | --- | --- |
| [VPN 接続のターゲットゲートウェイを変更する](modify-vpn-target.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | 新しいトンネルエンドポイントがプロビジョニングされている間は、どちらのトンネルも使用できません。 |
| [VPN 接続のカスタマーゲートウェイを変更する](change-vpn-cgw.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | 新しいトンネルエンドポイントがプロビジョニングされている間は、どちらのトンネルも使用できません。 |
| [VPN 接続オプションを変更する](modify-vpn-connection-options.md) | [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) | 新しいトンネルエンドポイントがプロビジョニングされている間は、どちらのトンネルも使用できません。 |
| [VPN トンネルオプションを変更する](modify-vpn-tunnel-options.md) | [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) | 更新中は、変更されたトンネルを使用できません。 |
## AWS マネージドのエンドポイントの置き換え
AWS Site-to-Site VPN はマネージドサービスであり、VPN トンネルエンドポイントに定期的に更新を適用します。これらの更新は、以下のようなさまざまな理由で発生します。
+ パッチ、回復性の向上、その他の機能強化など、一般的なアップグレードを適用するため
+ 基盤となるハードウェアをリタイアするため
+ VPN トンネルエンドポイントが非正常であることが自動モニタリングによって判断された場合
AWS は、一度に VPN 接続の 1 つのトンネルにトンネルエンドポイントの更新を適用します。トンネルエンドポイントの更新中、VPN 接続の冗長性が短時間失われる可能性があります。したがって、高可用性を実現するために、VPN 接続で両方のトンネルを設定することが重要です。
# AWS Site-to-Site VPN トンネルエンドポイントのライフサイクル制御
トンネルエンドポイントのライフサイクル制御は、エンドポイントの置き換えスケジュールを制御し、 AWS マネージドトンネルエンドポイントの置き換え中の接続中断を最小限に抑えるのに役立ちます。この機能を使用すると、ビジネスに最適なタイミングでトンネルエンドポイントへの AWS マネージド更新を受け入れることができます。この機能は、短期的なビジネスニーズがある場合や、VPN 接続ごとに 1 つのトンネルのみサポートできる場合に使用します。
**注記**
まれに、トンネルエンドポイントのライフサイクル制御機能が有効になっている場合でも、トンネルエンドポイントに重要な更新をすぐに適用 AWS することがあります。
**Topics**
+ [トンネルエンドポイントのライフサイクル制御の仕組み](#how-elc-works)
+ [トンネルエンドポイントのライフサイクル制御を有効にする](enable-elc.md)
+ [トンネルエンドポイントのライフサイクル制御が有効になっているかどうかを確認する](view-elc-status.md)
+ [利用可能な更新を確認する](view-elc-updates.md)
+ [メンテナンス更新を受け入れる](accept-update.md)
+ [トンネルエンドポイントのライフサイクル制御をオフにする](turn-elc-off.md)
## トンネルエンドポイントのライフサイクル制御の仕組み
VPN 接続内の個々のトンネルに対してトンネルエンドポイントのライフサイクル制御機能を有効にします。VPN の作成時に有効にするか、既存の VPN 接続のトンネルオプションを変更することで有効にすることができます。
トンネルエンドポイントのライフサイクル制御を有効にすると、次の 2 つの方法で今後のトンネルメンテナンスイベントをより詳細に把握できます。
+ 今後のトンネルエンドポイントの置き換えに関する AWS Health 通知が送信されます。
+ 保留中のメンテナンスのステータスは、**その後に適用されるメンテナンス自動**と**最終メンテナンス適用**タイムスタンプとともに、 または [get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) AWS CLI コマンド AWS マネジメントコンソール を使用して確認できます。
トンネルエンドポイントのメンテナンスが利用可能な場合、指定した**メンテナンスを自動的に適用する**タイムスタンプの前に、都合の良いタイミングで更新を受け入れる機会があります。
**メンテナンスの自動適用**日より前に更新を適用しない場合、 AWS は定期的なメンテナンス更新サイクルの一環として、トンネルエンドポイントの置き換えを直後に自動的に実行します。
# AWS Site-to-Site VPN トンネルエンドポイントのライフサイクル制御を有効にする
エンドポイントライフサイクル制御は、既存または新しい VPN 接続で有効にできます。これは、 AWS マネジメントコンソール または を使用して実行できます AWS CLI。
**注記**
デフォルトでは、この機能を既存の VPN 接続で有効にすると、トンネルエンドポイントの置き換えが同時に開始されます。この機能を有効にしても、トンネルエンドポイントの置き換えをすぐに開始しない場合は、**[トンネルの置き換えをスキップ]** オプションを使用できます。
------
#### [ Existing VPN connection ]
以下の手順は、既存の VPN 接続でトンネルエンドポイントのライフサイクル制御を有効にする方法を示しています。
**を使用してトンネルエンドポイントのライフサイクル制御を有効にするには AWS マネジメントコンソール**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左側のナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. **[VPN 接続]** で適切な接続を選択します。
1. **[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。
1. 適切な **[IP アドレス外の VPN トンネル]** を選択し、変更するトンネルを選択します。
1. **[トンネルエンドポイントのライフサイクル制御]** で、**[有効化]** チェックボックスをオンにします。
1. (オプション) **[トンネルの置き換えをスキップ]** を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
**を使用してトンネルエンドポイントのライフサイクル制御を有効にするには AWS CLI**
[modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) コマンドを使用して、トンネルエンドポイントのライフサイクル制御を有効にします。
------
#### [ New VPN connection ]
以下の手順は、新しい VPN 接続の作成時にトンネルエンドポイントのライフサイクル制御を有効にする方法を示しています。
**を使用して新しい VPN 接続の作成時にトンネルエンドポイントのライフサイクル制御を有効にするには AWS マネジメントコンソール**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. **[VPN 接続の作成]** を選択します。
1. **[トンネル 1 のオプション]** セクションと **[トンネル 2 のオプション]** セクションの **[トンネルエンドポイントのライフサイクル制御]** で、**[有効化]** を選択します。
1. **[VPN 接続の作成]** を選択します。
**を使用して新しい VPN 接続の作成時にトンネルエンドポイントのライフサイクル制御を有効にするには AWS CLI**
[create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) コマンドを使用して、トンネルエンドポイントのライフサイクル制御を有効にします。
------
# AWS Site-to-Site VPN トンネルエンドポイントのライフサイクル制御が有効になっているかどうかを確認する
AWS マネジメントコンソール または CLI を使用して、トンネルエンドポイントのライフサイクル制御が既存の VPN トンネルで有効になっているかどうかを確認できます。
+ トンネルエンドポイントライフサイクル制御が無効になっていて有効にする場合は、「[ トンネルエンドポイントのライフサイクル制御を有効にする](enable-elc.md)」を参照してください。
+ トンネルエンドポイントのライフサイクル制御が有効になっていて無効にする場合は、「[ トンネルエンドポイントのライフサイクル制御をオフにする](turn-elc-off.md)」を参照してください。
**を使用してトンネルエンドポイントのライフサイクル制御が有効になっているかどうかを確認するには AWS マネジメントコンソール**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左側のナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. **[VPN 接続]** で適切な接続を選択します。
1. **[トンネルの詳細]** タブを選択します。
1. トンネルの詳細で、**[トンネルエンドポイントのライフサイクル制御]** を探し、この機能が **[有効]** になっているか、**[無効]** になっているかを確認します。
**を使用してトンネルエンドポイントのライフサイクル制御が有効になっているかどうかを確認するには AWS CLI**
[describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) コマンドを使用して、トンネルエンドポイントのライフサイクル制御が有効になっているかどうかを確認します。
# 利用可能な AWS Site-to-Site VPN トンネルの更新を確認する
トンネルエンドポイントのライフサイクル制御機能を有効にすると、 AWS マネジメントコンソール または CLI を使用して VPN 接続のメンテナンス更新が利用可能かどうかを確認できます。利用可能な Site-to-Site VPN トンネルの更新を確認しても、更新は自動的にダウンロードおよびデプロイされません。デプロイするタイミングを選択できます。更新をダウンロードしてデプロイする手順については、「[メンテナンス更新を受け入れる](accept-update.md)」を参照してください。
**を使用して利用可能な更新を確認するには AWS マネジメントコンソール**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左側のナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. **[VPN 接続]** で適切な接続を選択します。
1. **[トンネルの詳細]** タブを選択します。
1. **[保留中のメンテナンス]** 列を確認します。ステータスは **[利用可能]** または **[なし]** のいずれかです。
**を使用して利用可能な更新を確認するには AWS CLI**
[get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) コマンドを使用して、利用可能な更新があるかどうかを確認します。
# AWS Site-to-Site VPN トンネルメンテナンスの更新を受け入れる
メンテナンス更新が利用可能になったら、 AWS マネジメントコンソール または CLI を使用して受け入れることができます。Site-to-Site VPN トンネルのメンテナンス更新を都合の良いタイミングで受け入れることができます。メンテナンスの更新を受け入れると、デプロイされます。
**注記**
メンテナンス更新を受け入れない場合、 AWS は定期的なメンテナンス更新サイクル中に自動的にデプロイします。
**を使用して利用可能なメンテナンス更新を受け入れるには AWS マネジメントコンソール**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左側のナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. **[VPN 接続]** で適切な接続を選択します。
1. **[アクション]**、**[VPN トンネルを置き換え]** の順に選択します。
1. 適切な **[IP アドレス外の VPN トンネル]** を選択し、置き換えるトンネルを選択します。
1. [**置換**]を選択します。
**を使用して利用可能なメンテナンス更新を受け入れるには AWS CLI**
[replace-vpn-tunnel](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-vpn-tunnel.html) コマンドを使用して、利用可能なメンテナンス更新を受け入れます。
# AWS Site-to-Site VPN トンネルエンドポイントのライフサイクル制御をオフにする
トンネルエンドポイントのライフサイクル制御機能が不要になった場合は、 AWS マネジメントコンソール または を使用して無効にできます AWS CLI。この機能をオフにすると、 AWS は、メンテナンス更新を定期的に自動デプロイし、これらの更新を営業時間中に行う場合があります。ビジネスへの影響を回避するために、VPN 接続で両方のトンネルを設定して高可用性を確保することを強くお勧めします。
**注記**
保留中の利用可能なメンテナンスがある場合、この機能をオフにしている間は、**[トンネルの置き換えをスキップ]** オプションを指定することはできません。**スキップトンネル置換**オプションを使用せずにいつでもこの機能をオフにできますが、トンネルエンドポイント置換をすぐに開始することで、利用可能な保留中のメンテナンス更新を自動的にデプロイ AWS します。
**を使用してトンネルエンドポイントのライフサイクル制御を無効にするには AWS マネジメントコンソール**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左側のナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. **[VPN 接続]** で適切な接続を選択します。
1. **[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。
1. 適切な **[IP アドレス外の VPN トンネル]** を選択し、変更するトンネルを選択します。
1. トンネルエンドポイントのライフサイクル制御をオフにするには、**[トンネルエンドポイントのライフサイクル制御]** の **[有効化]** チェックボックスをオフにします。
1. (オプション) **[トンネルの置き換えをスキップ]** を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
**を使用してトンネルエンドポイントのライフサイクル制御を無効にするには AWS CLI**
[modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) コマンドを使用して、トンネルエンドポイントのライフサイクル制御をオフにします。
# AWS Site-to-Site VPN 接続のカスタマーゲートウェイのオプション
次の表は、 でカスタマーゲートウェイリソースを作成するのに必要な情報を示していますAWS
| 項目 | 説明 |
| --- | --- |
| (オプション) 名前タグ。 | 「名前」のキーと指定した値を含むタグを作成します。 |
| (動的ルーティングのみ) カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) です。 | 1~4、294、967、295 の範囲の ASN がサポートされています。ネットワークに割り当てられている既存のパブリック ASN を使用できます。ただし、次の場合を除きます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/cgw-options.html) 既存の ASN がない場合は、プライベート ASN (64,512~65,534、または 4,200,000,000~4,294,967,294 の範囲) を使用できます。デフォルトの ASN は 64512 です。ルーティングの詳細については、「[AWS Site-to-Site VPN ルーティングオプション](VPNRoutingTypes.md)」を参照してください。 |
| カスタマーゲートウェイデバイスの外部インターフェイスの IP アドレス。 | IP アドレスは静的でなければならず、IPv4 または IPv6 のいずれかにすることができます。 IPv4 アドレスの場合: カスタマーゲートウェイデバイスがネットワークアドレス変換 (NAT) の背後にある場合は、NAT デバイスの IP アドレスを使用します。また、ポート 500 (NAT トラバーサルが使用されている場合はポート 4500) の UDP パケットがネットワークと AWS Site-to-Site VPN エンドポイント間で通過できることを確認します。詳細については、「[ファイアウォールルール](FirewallRules.md)」を参照してください。 IPv6 アドレスの場合: アドレスは、有効かつインターネットでルーティング可能な IPv6 アドレスである必要があります。IPv6 アドレスは、トランジットゲートウェイまたはクラウド WAN での VPN 接続でのみサポートされます。 AWS Private Certificate Authority およびパブリック VPN からのプライベート証明書を使用している場合、IP アドレスは必須ではありません。 |
| (オプション) AWS Certificate Manager (ACM) を使用する下位 CA からのプライベート証明書。 | 証明書ベースの認証を使用する場合は、カスタマーゲートウェイデバイスで使用される ACM プライベート証明書の ARN を指定します。 カスタマーゲートウェイを作成するときに、AWS Private Certificate Authority プライベート証明書を使用して Site-to-Site VPN を認証するようにカスタマーゲートウェイを設定できます。 このオプションを使用する場合は、組織が内部で使用するために、完全に AWS がホストするプライベート認証局 (CA) を作成します。ルート CA 証明書と下位 CA 証明書の両方が、AWS Private CA によって保存および管理されます。 カスタマーゲートウェイを作成する前に、AWS Private Certificate Authority を使用して下位 CA からプライベート証明書を作成し、カスタマーゲートウェイを設定するときに証明書を指定します。プライベート証明書の作成の詳細については、*AWS Private Certificate Authority ユーザーガイド*の「[プライベート CA の作成と管理](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)」を参照してください。 |
| (オプション) デバイス。 | このカスタマーゲートウェイに関連するカスタマーゲートウェイデバイスの名前。 |
## IPv6 カスタマーゲートウェイのオプション
IPv6 アドレスを使用してカスタマーゲートウェイを作成するときは、次の点を考慮してください。
+ IPv6 カスタマーゲートウェイは、トランジットゲートウェイまたはクラウド WAN での VPN 接続でのみサポートされます。
+ IPv6 アドレスは、有効かつインターネットでルーティング可能な IPv6 アドレスである必要があります。
+ カスタマーゲートウェイデバイスは IPv6 アドレス指定をサポートしていることと、IPv6 エンドポイントで IPsec トンネルを確立できることが必須となります。
+ AWS CLI を使用して IPv6 カスタマーゲートウェイを作成するには、`--ip-address` パラメータに IPv6 アドレスを使用します。
```
aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
# 高速AWS Site-to-Site VPN接続
オプションで、Site-to-Site VPN 接続のアクセラレーションを有効にできます。高速 Site-to-Site VPN 接続 (高速 VPN 接続) はAWS Global Accelerator、 を使用してオンプレミスネットワークからカスタマーゲートウェイデバイスに最も近いAWSエッジロケーションにトラフィックをルーティングします。 は、輻輳のないAWSグローバルネットワークを使用してネットワークパスAWS Global Acceleratorを最適化し、最高のアプリケーションパフォーマンスを提供するエンドポイントにトラフィックをルーティングします (詳細については、「」を参照[AWS Global Accelerator](https://aws.amazon.com/global-accelerator/))。高速 VPN 接続を使用すると、トラフィックがパブリックインターネット経由でルーティングされるときに発生する可能性のあるネットワークの中断を回避できます。
高速 VPN 接続を作成すると、VPN トンネルごとに 1 つずつ、2 つのアクセラレーターが作成および管理されます。AWS Global Acceleratorコンソールまたは APIs を使用して、これらのアクセラレーターを自分で表示または管理することはできません。
高速 VPN 接続をサポートするAWSリージョンの詳細については、[AWS「高速Site-to-Site VPN に関するFAQs](https://aws.amazon.com/vpn/faqs/)」を参照してください。
## 高速化を有効にする
デフォルトでは、Site-to-Site VPN 接続を作成すると、アクセラレーションは無効になります。トランジットゲートウェイ上に新しいSite-to-Site VPN アタッチメントを作成する際に、オプションでアクセラレーションを有効にすることができます。詳細と手順については、「[AWS Site-to-Site VPN接続を作成する](create-vpn-connection.md)」を参照してください。
高速 VPN 接続では、トンネルエンドポイント IP アドレス用に別個の IP アドレスのプールが使用されます。2 つの VPN トンネルの IP アドレスは、2 つの別々の[ネットワークゾーン](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-components.html)から選択されます。
## ルールと制限
高速 VPN 接続を使用する場合は、次のルールが適用されます。
+ アクセラレーションは、トランジットゲートウェイにアタッチされている Site-to-Site VPN接続でのみサポートされます。仮想プライベートゲートウェイは、高速化 VPN 接続をサポートしません。
+ 高速 Site-to-Site VPN 接続は、AWS Direct Connectパブリック仮想インターフェイスでは使用できません。
+ 既存のサイト間 VPN 接続のアクセラレーションを有効または無効にすることはできません。代わりに、必要に応じてアクセラレーションを有効または無効にして、新しいサイト間 VPN 接続を作成することができます。次に、新しい Site-to-Site VPN 接続を使用するようにカスタマーゲートウェイデバイスを設定し、古い Site-to-Site VPN 接続を削除します。
+ 高速化 VPN 接続には、NAT トラバーサル (NAT-T) が必要であり、デフォルトで有効になっています。Amazon VPC コンソールから[設定ファイル](SetUpVPNConnections.md#vpn-download-config)をダウンロードした場合は、NAT-T 設定を確認し、必要に応じて調整します。
+ 高速 VPN トンネルの IKE ネゴシエーションをカスタマーゲートウェイデバイスから開始する必要があります。この動作に影響する 2 つのトンネルオプションは `Startup Action` と `DPD Timeout Action` です。詳細については、「[VPN トンネルオプション](VPNTunnels.md)」と「[VPN トンネル開始オプション](initiate-vpn-tunnels.md)」を参照してください。
+ 証明書ベースの認証を使用する Site-to-Site VPN 接続は、Global Accelerator でのパケットフラグメント化のサポートが制限されているためAWS Global Accelerator、 と互換性がない可能性があります。詳細については、[AWS Global Acceleratorの仕組み](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html)を参照してください。証明書ベースの認証を使用する高速 VPN 接続が必要な場合は、カスタマーゲートウェイデバイスが IKE の断片化をサポートしている必要があります。それ以外の場合は、VPN の高速化を有効にしないでください。
# AWS Site-to-Site VPN ルーティングオプション
AWS では、仮想プライベートゲートウェイのルーティング決定に影響を与えるために、特定の BGP ルートをアドバタイズすることをお勧めします。お使いのデバイス特有のコマンドについては、ベンダーのマニュアルを参照してください。
複数の VPN 接続を作成すると、仮想プライベートゲートウェイは静的に割り当てられたルートを使用するか、BGP ルートアドバタイズを使用して、適切な VPN 接続にネットワークトラフィックを送信します。どちらのルートを使用するかは、VPN 接続がどのように設定されているかによって決まります。仮想プライベートゲートウェイに同一のルートが存在している場合は、BGP でアドバタイズされるルートよりも、静的に割り当てられたルートの方が適しています。BGP アドバタイズを使用するオプションを選択している場合は、静的ルートを指定できません。
ルーティングの優先度の詳細については、「[ルートテーブルとルーティングの優先度](vpn-route-priority.md)」 を参照してください。
Site-to-Site VPN 接続を作成する場合、以下を実行する必要があります。
+ 使用予定のルーティングのタイプ (静的または動的) を指定する
+ サブネットの[ルートテーブル](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)を更新する
ルートテーブルに追加できるルートの数にはクォータがあります。詳細については、「*Amazon VPC ユーザーガイド*」で、「[Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)」の「ルートテーブル」セクションを参照してください。
**Topics**
+ [静的および動的ルーティング](vpn-static-dynamic.md)
+ [ルートテーブルとルーティングの優先度](vpn-route-priority.md)
+ [VPN トンネルエンドポイント更新中のルーティング](routing-vpn-tunnel-updates.md)
+ [IPv4 および IPv6 トラフィック](ipv4-ipv6.md)
# での静的ルーティングと動的ルーティング AWS Site-to-Site VPN
選択するルーティングのタイプは、カスタマーゲートウェイデバイスの製造元とモデルによって異なります。カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしている場合は、Site-to-Site VPN 接続を設定するときに動的ルーティングを指定します。カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、静的ルーティングを指定します。
**注記**
Site-to-Site VPN コンセントレータは BGP ルーティングのみをサポートします。Site-to-Site VPN コンセントレータを使用する VPN 接続では、静的ルーティングはサポートされていません。
BGP アドバタイズメントをサポートしているデバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイにルートがアドバタイズされるため、Site-to-Site VPN 接続への静的ルートを指定しません。BGP アドバタイズメントをサポートしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲートウェイに通知するネットワークのルート (IP プレフィックス) を入力する必要があります。
使用可能な場合は BGP に対応したデバイスを使用することをお勧めします。BGP プロトコルは安定したライブ状態検出チェックが可能であり、1 番目のトンネル停止時の 2 番目の VPN トンネルへのフェイルオーバーに役立ちます。BGP をサポートしていないデバイスでも、ヘルスチェックを実行することによって、必要時に 2 番目のトンネルへのフェイルオーバーを支援できます。
オンプレミスのネットワークから Site-to-Site VPN 接続にトラフィックがルーティングされるように、カスタマーゲートウェイデバイスを設定する必要があります。設定は、デバイスの製造元とモデルによって異なります。詳細については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイス](your-cgw.md)」を参照してください。
# ルートテーブルと AWS Site-to-Site VPN ルート優先度
[ルートテーブル](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)は、VPC からのネットワークトラフィックの転送先を指定します。VPC ルートテーブルで、リモートネットワークのルートを追加し、仮想プライベートゲートウェイをターゲットとして指定する必要があります。これにより、リモートネットワーク向けの VPC からのトラフィックが、仮想プライベートゲートウェイおよび、いずれかの VPN トンネルを経由してルーティングされます。ルートテーブルのルート伝播を有効にすると、ネットワークルートは自動的にテーブルに伝播されます。
トラフィックと一致する最も具体的なルートをルートテーブルで使用して、トラフィックをルーティングする方法を決定します (最長プレフィックス一致)。ルートテーブルに重複または一致するルートがある場合は、次のルールが適用されます。
+ Site-to-Site VPN 接続または Direct Connect 接続から伝播されたルートが VPC のローカルルートと重複する場合は、伝播されたルートがより具体的であっても、ローカルルートが最も優先されます。
+ Site-to-Site VPN 接続または Direct Connect 接続から伝播されたルートが他の既存の静的ルートと同じ送信先 CIDR ブロックを持つ場合 (プレフィックスの最長一致は適用できません)、ターゲットがインターネットゲートウェイ、仮想プライベートゲートウェイ、ネットワークインターフェイス、インスタンス ID、VPC ピアリング接続、NAT ゲートウェイ、トランジットゲートウェイ、またはゲートウェイ VPC エンドポイントである静的ルートが優先されます。
たとえば、次のルートテーブルにはインターネットゲートウェイへの静的ルート、および仮想プライベートゲートウェイへの伝播されたルートがあります。両方のルートとも、送信先は `172.31.0.0/24` です。この場合、`172.31.0.0/24` を送信先とするすべてのトラフィックはインターネットゲートウェイにルーティングされます。これは静的ルートであるため、伝達されたルートよりも優先順位が高くなります。
| 送信先 | ターゲット |
| --- | --- |
| 10.0.0.0/16 | ローカル |
| 172.31.0.0/24 | vgw-11223344556677889(伝達済み) |
| 172.31.0.0/24 | igw-12345678901234567(静的) |
BGP アドバタイズ経由または静的ルートエントリ経由かを問わず、VPC からのトラフィックを受信できるのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。仮想プライベートゲートウェイでは、受信した BGP アドバタイズ、静的なルートエントリ、またはアタッチされた VPC CIDR の外部向けの他のトラフィックはルーティングされません。仮想プライベートゲートウェイは IPv6 トラフィックをサポートしません。
仮想プライベートゲートウェイはルーティング情報を受け取ると、パスを選択してトラフィックをルーティングする方法を指定します。すべてのエンドポイントが正常であれば、最も長いプレフィックス一致が適用されます。トンネルエンドポイントの状態は、他のルーティング属性よりも優先されます。この優先は、仮想プライベートゲートウェイとトランジットゲートウェイ上の VPN に適用されます。プレフィックスが同じである場合、仮想プライベートゲートウェイは、次のようにルートに優先順位を付けます (優先度の高い順)。
+ Direct Connect 接続からの BGP 伝播ルート
ブラックホールルートは、BGP 経由で Site-to-Site VPN カスタマーゲートウェイに伝播されません。
+ Site-to-Site VPN 接続用に手動で追加された静的ルート
+ Site-to-Site VPN 接続から BGP で伝播されたルート
+ 各 Site-to-Site VPN 接続が BGP を使用しているプレフィックスのマッチングでは、AS PATH が比較され、最短の AS PATH を持っているプレフィックスが優先されます。
**注記**
AWS では、非対称ルーティングをサポートするカスタマーゲートウェイデバイスを使用することを強くお勧めします。
非対称ルーティングをサポートするカスタマーゲートウェイデバイスを使用する場合、両方のトンネルの AS PATH を等しくするために、AS PATH の付加を*お勧めしません*。これにより、[VPN トンネルエンドポイントの更新](routing-vpn-tunnel-updates.md)中にトンネルに設定した multi-exit discriminator (MED) 値を使用して、トンネルの優先度を決定できます。
非対称ルーティングをサポートしていないカスタマーゲートウェイデバイスを使用する場合は、AS PATH プリペンドとローカル設定を使用して、一方のトンネルを他のトンネルよりも優先できます。ただし、出力パスが変更されると、これによりトラフィックがドロップする可能性があります。
+ AS PATH が同じ長さで、AS\$1SEQUENCE 内の最初の AS が複数のパスで同じである場合、multi-exit discriminators (MED) が比較されます。最小の MED 値を持つパスが優先されます。
ルーティングの優先度は、[VPN トンネルエンドポイントの更新](routing-vpn-tunnel-updates.md)中に影響を受けます。
Site-to-Site VPN 接続では、 は 2 つの冗長トンネルのいずれかをプライマリ出力パスとして AWS 選択します。この選択は、ときどき変更される場合があるため、両方のトンネルの可用性を高めるよう設定し、非対称ルーティングを許可することを強くお勧めします。トンネルエンドポイントの状態は、他のルーティング属性よりも優先されます。この優先は、仮想プライベートゲートウェイとトランジットゲートウェイ上の VPN に適用されます。
仮想プライベートゲートウェイの場合、ゲートウェイ上のすべての Site-to-Site VPN 接続にまたがる 1 つのトンネルが選択されます。複数のトンネルを使用するには、トランジットゲートウェイ上の Site-to-Site VPN 接続でサポートされる Equal Cost Multipath (ECMP) について検討することをお勧めします。詳細については、「*Amazon VPC Transit Gateway*」の「[Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)」を参照してください。ECMP は、仮想プライベートゲートウェイの Site-to-Site VPN 接続ではサポートされません。
BGP を使用する Site-to-Site VPN 接続の場合、プライマリトンネルは multi-exit discriminator (MED) 値で識別できます。ルーティングの決定に影響を与えるために、より具体的な BGP ルートをアドバタイズすることをお勧めします。
静的ルーティングを使用する Site-to-Site VPN 接続の場合、プライマリトンネルはトラフィック統計情報またはメトリクスによって識別できます。
# VPN トンネルエンドポイント更新中のルーティング
Site-to-Site VPN 接続は、カスタマーゲートウェイデバイスと仮想プライベートゲートウェイまたはトランジットゲートウェイの間の 2 つの VPN トンネルで構成されます。両方のトンネルに冗長性を設定することをお勧めします。は、VPN 接続の定期メンテナンス AWS も随時実行します。これにより、VPN 接続の 2 つのトンネルのいずれかが一時的に無効になる場合があります。詳細については、「[トンネルエンドポイント交換通知](monitoring-vpn-health-events.md#tunnel-replacement-notifications)」を参照してください。
一方の VPN トンネルで更新を実行する場合、もう一方のトンネルでアウトバウンド multi-exit discriminator (MED) の値を低く設定します。両方のトンネルを使用するようにカスタマーゲートウェイデバイスを設定している場合、VPN 接続はトンネルエンドポイント更新プロセス中にもう一方の (アップ) トンネルを使用します。
**注記**
MED の低いアップトンネルが優先されるようにするには、カスタマーゲートウェイデバイスで、両方のトンネルに対して同じ重みおよびローカル優先設定の値が使用されていることを確認します (重みおよびローカル優先設定は MED よりも優先度が高くなります)。
# AWS Site-to-Site VPN の IPv4 および IPv6 トラフィック
トランジットゲートウェイの Site-to-Site VPN 接続は、VPN トンネル内の IPv4 トラフィックまたは IPv6 トラフィックのいずれかをサポートできます。デフォルトでは、Site-to-Site VPN 接続は VPN トンネル内の IPv4 トラフィックをサポートします。VPN トンネル内の IPv6 トラフィックをサポートするように新しい Site-to-Site VPN 接続を設定できます。この場合、VPC とオンプレミスネットワークを IPv6 アドレス指定用に設定すると、VPN 接続を介して IPv6 トラフィックを送信できます。
Site-to-Site VPN 接続で VPN トンネルの IPv6 を有効にすると、各トンネルに 2 つの CIDR ブロックが割り当てられます。1 つはサイズ /30 の IPv4 CIDR ブロックで、もう 1 つはサイズ /126 の IPv6 CIDR ブロックです。
## IPv4 および IPv6 のサポート
Site-to-Site VPN 接続は、次の IP 設定をサポートしています。
+ **IPv4 内部パケットを含む IPv4 外部トンネル** - 仮想プライベートゲートウェイ、トランジットゲートウェイ、および Cloud WAN でサポートされている基本的な IPv4 VPN 機能。
+ **IPv6 内部パケットを含む IPv4 外部トンネル** - VPN トンネル内の IPv6 アプリケーション/トランスポートを許可します。トランジットゲートウェイとクラウド WAN でサポートされています。これは仮想プライベートゲートウェイではサポートされていません。
+ **IPv6 内部パケットを含む IPv6 外部トンネル** - 外部トンネル IP と内部パケット IP の両方に IPv6 アドレスを使用することで完全な IPv6 移行を実現します。トランジットゲートウェイとクラウド WAN の両方でサポートされています。
+ **IPv4 内部パケットを含む IPv6 外部トンネル** - トンネル内のレガシー IPv4 アプリケーションをサポートしながら、IPv6 外部トンネルのアドレス指定を許可します。トランジットゲートウェイとクラウド WAN の両方でサポートされています。
以下のルールが適用されます。
+ 外部トンネル IP の IPv6 アドレスは、トランジットゲートウェイまたは Cloud WAN で終了した Site-to-Site VPN 接続でのみサポートされます。仮想プライベートゲートウェイの Site-to-Site VPN 接続は外部トンネル IP の IPv6 をサポートしません。
+ 外部トンネル IP に IPv6 を使用する場合は、VPN 接続の AWS 側と両方の VPN トンネルのカスタマーゲートウェイのどちらにも IPv6 アドレスを割り当てる必要があります。
+ 既存の Site-to-Site VPN 接続に対して IPv6 サポートを有効にすることはできません。既存の接続を削除し、新しい接続を作成する必要があります。
+ Site-to-Site VPN 接続は、IPv4 トラフィックと IPv6 トラフィックの両方はサポートできません。内部カプセル化パケットは IPv6 または IPv4 のいずれかですが、両方にすることはできません。IPv4 パケットと IPv6 パケットをトランスポートするには、個別の Site-to-Site VPN 接続が必要です。
+ プライベート IP VPN は、外部トンネル IP の IPv6 アドレスをサポートしていません。RFC 1918 または CGNAT アドレスのいずれかを使用します。RFC 1918 の詳細については、「[RFC 1918 - プライベートインターネットのアドレス割り当て](https://datatracker.ietf.org/doc/html/rfc1918)」を参照してください。
+ IPv6 VPN は、IPv4 VPN と同じスループット (Gbps および PPS)、MTU、ルート制限をサポートします。
+ IPSec 暗号化とキー交換は、IPv4 と IPv6 の両方の VPN で同じように機能します。
IPv6 をサポートした VPN 接続の作成の詳細については、「Site-to-Site VPN の使用を開始する」の「[VPN 接続の作成](SetUpVPNConnections.md#vpn-create-vpn-connection)」を参照してください。
# AWS Site-to-Site VPN コンセントレータ
AWS Site-to-Site VPN Concentrator は、分散型企業のマルチサイト接続を簡素化する新機能です。VPN Concentrator は、25 以上のリモートサイトを AWS に接続し、各サイトに低帯域幅 (100 Mbps 未満) を必要とするお客様に適しています。
## サポートされているゲートウェイサービスと機能
VPN コンセントレータは Transit Gateway でのみサポートされています。この機能は、Cloud WAN または Virtual Private Gateway ではサポートされていません。
次の表に、Site-to-Site VPN Concentrator でサポートされている機能を示します。
| 機能 | サポート対象? |
| --- | --- |
| IPv6 | はい |
| プライベート Direct Connect VPN 接続 | いいえ |
| 高速 VPN | はい |
| 同じサイトの複数のカスタマーゲートウェイデバイス | はい。ただし、各カスタマーゲートウェイデバイスには一意の IP アドレスが必要です。 |
| 地理的制限 | いいえ。任意のリージョンにあるサイトを任意の AWS リージョンのコンセントレータにアタッチできます。 |
| Site-to-Site VPN ログ | はい。Concentrator に接続されているすべてのサイトの VPN ログを個別に生成できます。 |
| Transit Gateway 暗号化のサポート | いいえ |
## [帯域幅]
現在、Site-to-Site VPN コンセントレータは 5 Gbps の集約帯域幅をサポートしています。各サイトは、最大 100 Mbps の帯域幅をサポートできます。ただし、より高い帯域幅が必要な場合は、 にお問い合わせください AWS サポート。
## ルーティング
Site-to-Site VPN コンセントレータは、BGP (ボーダーゲートウェイプロトコル) ルーティングのみをサポートします。静的ルーティングはサポートされていません。
Site-to-Site VPNConcentrator に接続されているすべてのカスタマーゲートウェイは、ルーティングのためにトランジットゲートウェイに同じ Site-to-Site VPN Concentrator アタッチメントを使用します。Site-to-Site VPN コンセントレータに接続する各サイトは、トランジットゲートウェイからカスタマーゲートウェイに最大 5,000 ルート、カスタマーゲートウェイからトランジットゲートウェイに最大 1,000 ルートを送信できます。
## IP アドレスの割り当て
Site-to-Site VPN Concentrator を介した各 VPN 接続には、一意の AWS IP アドレス (トンネルごとに 1 つ) が残ります。
## モニタリング
Site-to-Site VPN Concentrators を介した VPN 接続は、通常の VPN 接続と同じメトリクスをサポートします。
VPN コンセントレータアタッチメントで Transit Gateway フローログを有効にすると、コンセントレータに接続されているすべてのリモートサイトに出入りするすべてのトラフィックのフローログが表示されます。
## トンネルのメンテナンス
Site-to-Site VPN コンセントレータを使用する場合、トンネルメンテナンスは、両方のエンドポイントの既存の標準の Site-to-Site VPN トンネルと同じように機能します。詳細については「[エンドポイントの置換](endpoint-replacements.md)」を参照してください。
## 料金
Site-to-Site VPN Concentrator の料金については、[AWS VPN の料金](https://aws.amazon.com/vpn/pricing/)ページを参照してください。