【ANS-C01】WEB問題集:ネットワーク実装編

WEB問題集

ANS-C01#1(network-implementation)

あるスタートアップが新規 VPC を CIDR 10.20.0.0/16 で作成します。Web 層用パブリックサブネットからインターネット向け通信を許可し、同一 VPC 内のプライベートサブネット宛通信は VPC 内ルーティングで完結させたい要件があります。ネットワーク技術者は最小限の作業で要件を満たすルートテーブル設計を求められています。

どの構成が最も適切ですか。

A.
パブリックサブネット RT へ 0.0.0.0/0 を IGW に向けるルートを 1 行追加します。VPC ローカルルートは自動投入のため追加不要です。
B.
パブリックサブネット RT にローカル 10.20.0.0/16 を target=local で明示登録し、続けて 0.0.0.0/0 を NAT Gateway 経由に設定します。
C.
VPC のメインルートテーブルから自動生成されたローカルルートを一旦削除し、各サブネットに対して個別の static ルートを登録し直します。
D.
パブリックサブネットを Egress-only IGW に関連付け、IPv4 のデフォルトルート 0.0.0.0/0 を Egress-only IGW へ向ける設定を行います。

正解と解説ディスカッション 0

正解：A

正解の根拠

VPC を作成すると、その CIDR を対象とするローカルルート (target=local) はメインルートテーブルに自動的に投入され、削除も変更もできません。インターネットアクセスはパブリックサブネット RT に 0.0.0.0/0 を IGW へ向けるルートを 1 行追加するだけで成立します。

不正解の理由

B: ローカルルートは自動投入のため明示登録は不要で、Web 層の外向きトラフィックに NAT Gateway は必要ありません。
C: ローカルルートは削除不可な仕様で、static ルート再登録という操作自体が成立しない誤った前提です。
D: Egress-only IGW は IPv6 専用で、IPv4 のデフォルトルートターゲットには指定できないため要件と一致しません。

参考：VPC Route Tables

ANS-C01#2(network-implementation)

ある企業はオンプレミスから AWS Direct Connect の Private VIF 経由で Transit Gateway 配下の複数 VPC に接続しています。BGP セッション認証を強化するため MD5 認証を導入する方針です。ネットワーク技術者はカスタマールータと AWS 側双方の設定を一貫させる必要があります。

正しい実装手順はどれですか。

A.
AWS マネジメントコンソールで Private VIF の MTU を 9001 に設定し、ルータ側にも jumbo フレームを構成すれば MD5 認証が自動的に有効化されます。
B.
Private VIF 編集画面で BGP authentication key を入力し、同じ事前共有文字列を CGW の neighbor password に登録します。
C.
AWS Certificate Manager で公開証明書を発行し、その証明書 ARN を Private VIF と BGP ピアの双方に紐付けて TLS ベースの相互認証を構成します。
D.
Direct Connect Gateway 側で IPsec トンネルを有効にし、IKEv2 の事前共有鍵をルータと AWS で交換することで BGP メッセージを保護します。

正解と解説ディスカッション 0

正解：B

正解の根拠

Direct Connect の VIF では BGP MD5 認証用に authentication key を入力する欄が用意されており、オンプレミス側ルータの neighbor password と完全一致させることで TCP セッションのキー検証が機能します。AWS 側で空欄にするとランダム値が自動生成されるため、明示入力で運用整合性を確保します。

不正解の理由

A: MTU と jumbo フレームは BGP の認証機構と無関係で、MD5 が自動有効化される動作はありません。
C: BGP MD5 認証は事前共有キー方式であり、ACM 証明書による TLS 認証は VIF にサポートされていません。
D: Direct Connect は IPsec を提供せず、BGP 保護に IKEv2 PSK を構成する手順は存在しません。

参考：Working with Virtual Interfaces

ANS-C01#3(network-implementation)

ある製薬会社は Transit Gateway を中央ハブとして 30 の VPC を接続しています。検証用 VPC のうち一部は外部へ通信させてはならず、宛先側で破棄する制御が必要です。ネットワーク管理者は運用負荷を増やさずに静的に経路を遮断する方法を求めています。

どの実装が適切ですか。

A.
該当 VPC の VPC アタッチメントを Transit Gateway から完全に削除し、必要時に都度再作成して通信を制御します。
B.
検証用 VPC のセキュリティグループから全ルールを削除し、TGW 側にもルートテーブルを関連付けない状態にします。
C.
TGW ルートテーブルにブラックホール属性付き static route を登録し対象 CIDR を一致条件とします。
D.
Transit Gateway の伝播 (propagation) を全アタッチメントで無効化し、association も解除して動作させます。

正解と解説ディスカッション 0

正解：C

正解の根拠

Transit Gateway ルートテーブルでは static route のターゲットを blackhole に設定でき、該当 CIDR 宛の転送を確実に破棄できます。propagation との競合では static blackhole が優先され、特定セグメントだけ遮断するピンポイント制御が運用負荷なしに実現します。

不正解の理由

A: アタッチメント削除と再作成は運用負荷が大きく、関連リソースの ID も変わるため恒常的な制御に不向きです。
B: SG 全削除は動作影響が広く、TGW 側の関連付け解除だけでは戻り経路の制御が定義できません。
D: 全アタッチメントの propagation/association 解除は他 VPC の正常通信まで巻き込むため過剰です。

参考：Transit Gateway Route Tables

ANS-C01#4(network-implementation)

ある銀行は Direct Connect の物理リンクを 2 本まとめた LAG (link aggregation group) で AWS に接続しています。ピーク時の障害復旧を 1 秒未満に抑える要件があり、ネットワーク技術者はサブセカンドな経路切替を実装する必要があります。

どの設定が要件を満たしますか。

A.
BGP keepalive を 1 秒、hold time を 3 秒に短縮した設定をオンプレミスルータと Direct Connect 両側で適用します。
B.
LAG のメンバーリンクを 4 本に増設し、ECMP を 8 経路まで広げた上で Equal Cost Multipath を無効化して制御します。
C.
仮想インターフェースの jumbo MTU 9001 を有効化し、BGP のグレースフルリスタート時間を 5 秒に短縮します。
D.
BFD asynchronous モードを有効化し minInterval=300ms multiplier=3 を双方で対称設定します。

正解と解説ディスカッション 0

正解：D

正解の根拠

BFD (Bidirectional Forwarding Detection) は BGP より低レベルで疎通監視するプロトコルで、AWS 側 Direct Connect は最小 300ms の送信間隔と乗数 3 をサポートし、おおむね 900ms 程度で障害検知して BGP に通知します。これによりサブセカンドの経路切替が可能になります。

不正解の理由

A: BGP の hold time は最低でも 3 秒前後の検知となり、サブセカンド要件を安定して満たすことはできません。
B: ECMP を無効化すると複数経路の同時利用ができず、LAG 増設の意味も薄れ要件と矛盾します。
C: jumbo MTU と GR タイマー短縮は経路復旧の検知速度に直接寄与せず、BFD の役割を代替できません。

参考：Enable BFD on Direct Connect

ANS-C01#5(network-implementation)

ある企業はオンプレミス CGW と AWS の間で Site-to-Site VPN を構築し、FIPS 準拠の暗号要件を満たす必要があります。IKEv2、AES-256-GCM、DH group 20 以上を採用したい意向です。ネットワーク技術者はトンネルパラメータと冗長設計を確認しています。

適切な実装はどれですか。(2 つ選択)

（2つ選択）

A.
IKE バージョンに ikev1 を指定し、phase1 暗号は AES256-GCM-16、DH group は 14 を選択して構成します。
B.
VPN コネクションのトンネルオプションで IKE バージョン ikev2 を固定し phase1/phase2 で AES256-GCM-16 を選択します。
C.
phase1/phase2 の DH group に 20 もしくは 21 を指定し、CGW でも同一値を設定して PFS を成立させます。
D.
VPN を Accelerated VPN に変更し、Global Accelerator 側で TLS1.3 を有効化することで AES-256-GCM 相当の暗号化を満たします。
E.
AWS では暗号スイートが固定のため CGW 側だけ AES256-GCM/DH20 を設定し、AWS 側はデフォルトのまま運用します。

正解と解説ディスカッション 0

正解：B, C

正解の根拠

AWS Site-to-Site VPN は IKEv2 を選択でき、phase1/phase2 の暗号アルゴリズムに AES256-GCM-16、DH group には 19/20/21 などの ECC ベースを指定可能です。FIPS/CC 系要件では IKEv2 + AES-GCM + DH20 の組合せが推奨され、両端で対称に設定する必要があります。

不正解の理由

A: IKEv1 + DH14 は FIPS の現行推奨から外れ、PFS 強度も AES-256-GCM の意図に届きません。
D: Global Accelerator は VPN を TLS 化する機能を持たず、暗号要件の代替にはなりません。
E: AWS 側のトンネルオプションは編集可能で、デフォルト維持では要件の暗号スイートが保証されません。

参考：Site-to-Site VPN tunnel options