帯域幅を維持しながら、VPNトンネルの経路問題を解決する唯一の方法を図解で理解
行きと帰りで異なるVPNトンネルを通ると、ステートフルファイアウォールが通信をブロックする
カスタマーゲートウェイで非対称ルーティングを許可することが、帯域幅を維持しながら問題を解決する唯一の方法
どちらの郵便局からでも手紙を送ることができ、どちらでも受け取ることができます。これはVPNの2つのトンネルと同じです。
→ 行きも帰りも同じ郵便局 = 正常に届く!
→ 行きと帰りで違う郵便局 = 「知らない相手」として拒否される!
行きも帰りも同じ経路を通る
行きと帰りで異なる経路を通る
AWSは高可用性のために、Site-to-Site VPN接続ごとに異なるアベイラビリティゾーンに2つのトンネルエンドポイントを提供します。これにより、1つのトンネルがダウンしても通信を継続できます。
接続の「状態」を特定のインターフェースで追跡。別のインターフェースから来た応答は「知らない通信」として破棄される
アドレス変換テーブルが特定のトンネルに紐づく。異なるトンネルからの応答はマッピングが見つからず失敗
カスタマーゲートウェイ(オンプレミス側)のファイアウォール設定で、VPNトンネル間の非対称トラフィックを許可するルールを追加
異なるトンネルからの応答でも、同じVPN接続に属する正当なトラフィックとして認識させる
両方のトンネルを引き続き使用できるため、VPN全体の帯域幅は減少しない
1つのトンネルだけを使用
帯域幅が半分になり、冗長性も失われる
静的ルーティングで経路を固定
柔軟性がなくなり、フェイルオーバーが複雑になる
片方のトンネルを無効化
高可用性が失われ、障害時に通信断が発生
AWS側の設定変更のみ
問題はオンプレミス側のファイアウォールにあるため解決しない
行きと帰りで異なる経路を通ること。VPNでは2つのトンネルがあるため発生しやすい
ステートフルファイアウォールが異なるインターフェースからの応答を「不正」として破棄
カスタマーゲートウェイで非対称ルーティングを許可(帯域幅を維持できる唯一の方法)
AWS認定試験では「帯域幅を減らさずに非対称ルーティング問題を解決する方法」として、カスタマーゲートウェイで非対称ルーティングを許可が正解になります。「1つのトンネルだけ使う」「静的ルーティングにする」などの選択肢は帯域幅が減少するため不正解です。
Created by SSuzuki1063
AWS SAP Learning Resources