AWS Site-to-Site VPN カスタマーゲートウェイデバイスのダウンロード可能な静的ルーティング設定ファイル - AWS Site-to-Site VPN
Cisco デバイス: 追加情報

AWS Site-to-Site VPN カスタマーゲートウェイデバイスのダウンロード可能な静的ルーティング設定ファイル

Site-to-Site VPN 接続設定に固有の値を含むサンプル設定ファイルをダウンロードするには、Amazon VPC コンソール、AWS コマンドラインまたは Amazon EC2 API を使用します。詳細については、「ステップ 6: 設定ファイルをダウンロードする」を参照してください。

また、Site-to-Site VPN 接続設定に固有の値を含まないスタティックルーティング用の汎用設定ファイルの例をダウンロードすることもできます。static-routing-examples.zip

これらのファイルは、一部のコンポーネントにプレースホルダー値を使用します。たとえば、以下を使用します。

  • VPN 接続 ID 、カスタマーゲートウェイ ID および仮想プライベートゲートウェイ ID の値の例

  • リモート (外部) IP アドレス AWS エンドポイント (AWS_ENDPOINT_1 および AWS_ENDPOINT_2) のプレースホルダー

  • カスタマーゲートウェイデバイスのインターネットルーティング可能な外部インターフェイスの IP アドレスのプレースホルダー (your-cgw-ip-address)

  • 事前共有キー値のプレースホルダ (事前共有キー)

  • トンネルの内部 IP アドレスの値の例。

  • MTU 設定の値の例。

注記

サンプルコンフィギュレーションファイルで提供されている MTU 設定は、例にすぎません。状況に応じた最適な MTU 値の設定については、「AWS Site-to-Site VPN カスタマーゲートウェイデバイスのベストプラクティス」を参照してください。

このファイルは、プレースホルダー値を提供することに加えて、ほとんどの AWS リージョンで AES128、SHA1、および Diffie-Hellman グループ 2、および AWS GovCloud リージョンで AES128、SHA2、および Diffie-Hellman グループ 14 を指定します。また、認証用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6 トラフィックを活用するには、サンプル設定ファイルを変更する必要があります。

次の図は、カスタマーゲートウェイデバイスに設定されているさまざまなコンポーネントの概要を示しています。これには、トンネルインターフェイスの IP アドレスの値の例が含まれます。

静的ルーティングを使用するカスタマーゲートウェイデバイス

Cisco デバイス: 追加情報

一部の Cisco ASA ではアクティブ/スタンバイモードのみがサポートされています。これらの Cisco ASA を使用する場合は、アクティブなトンネルを一度に 1 個のみ保持できます。最初のトンネルが利用不可になった場合は、他方のスタンバイトンネルがアクティブになります。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

バージョン 9.7.1 以降の Cisco ASA は、アクティブ/アクティブモードをサポートします。これらの Cisco ASA を使用する場合は、両方のトンネルを同時にアクティブにすることができます。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

Cisco デバイスの場合は、次の作業を行う必要があります。

  • 外部インターフェイスを設定します。

  • Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。

  • Crypto List Policy Sequence の数値が一意であることを確認します。

  • Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他のすべての IPsec トンネルの整合性が確保されていることを確認します。

  • SLA モニタリング番号が一意であることを確認します。

  • カスタマーゲートウェイデバイスとローカルネットワークとの間でトラフィックを動かす内部ルーティングをすべて設定します。