WEB問題集
BGP 動的ルーティングと VNet-to-VNet 接続および Point-to-Site (P2S) との共存が必要なシナリオで、選択すべき VPN タイプはどれですか?
解説
【正解: B】の理由
BGP 動的ルーティング、VNet-to-VNet、P2S との共存をすべてサポートするのは Route-based VPN です。Policy-based は IKEv1 のみで静的トラフィック セレクタを使用するレガシー機器向けで、これらの機能は使えません。新規構築は基本的に Route-based を選択します。
【Route-based vs Policy-based】
| 機能 | Route-based | Policy-based |
|---|---|---|
| IKE | IKEv2 | IKEv1 |
| BGP | ○ | × |
| P2S 共存 | ○ | × |
| VNet-to-VNet | ○ | × |
| Active-Active | ○ | × |
【他選択肢が違う理由】
- A: Policy-based は BGP / P2S / Active-Active すべて非対応です。
- C: Static VPN は Azure VPN Gateway の正式分類ではない。
- D: Dynamic IPsec は VPN タイプ名称ではない (Route-based を指す俗称)。
【参考】
各 VPN 機能を、Route-based / Policy-based のどちらに対応するかマッチさせてください。
- IKEv2 プロトコル サポート
- BGP 動的ルーティング
- P2S (Point-to-Site) 共存
- IKEv1 プロトコル サポート (旧式)
解説
【正しいマッチング完全版】
※ Route-based = IKEv2 + BGP + P2S。Policy-based = IKEv1 のみで旧式 IPsec 互換性のため残存。
- IKEv2 プロトコル サポート → Route-based のみ
- BGP 動的ルーティング → Route-based のみ
- P2S (Point-to-Site) 共存 → Route-based のみ
- IKEv1 プロトコル サポート (旧式) → Policy-based のみ
【正解マッチング】
| 機能 | 対応 |
|---|---|
| IKEv2 プロトコル サポート | Route-based のみ |
| BGP 動的ルーティング | Route-based のみ |
| P2S | Route-based のみ |
| IKEv1 プロトコル サポート | Policy-based のみ |
【参考】
【シナリオ】
あなたの会社は東京本社と Azure Japan East リージョン間で Site-to-Site VPN 接続を構築する必要があります。要件: 帯域 500 Mbps、Active-Active 冗長、BGP 動的ルーティング、コンプライアンスで一般的な企業 VPN デバイス互換性。
【ステートメント】
Basic SKU の VPN Gateway で要件を満たせる。
解説
【正解: いいえ】の理由
Basic SKU は Active-Active と BGP の両方に非対応で、500 Mbps の帯域要件にも届きません。そのため、本シナリオの要件 (Active-Active + BGP + 帯域 500 Mbps) を満たすには VpnGw1 AZ 以上の SKU を選定する必要があります。
【不正解の選択肢の場合】
「はい」と判定すると Basic SKU で要件を満たせることになりますが、Basic は機能と性能の両面で大幅に不足しています。そのため、本シナリオでは VpnGw1 AZ 以上の選定が正解です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Basic SKU の VPN Gateway で要件を満たせる。 | いいえ |
| 問2 | Route-based VPN タイプを選択する必要がある。 | はい |
| 問3 | 2 つの Public IP (Standard SKU) を用意する必要がある。 | はい |
【参考】
【シナリオ】
あなたの会社は東京本社と Azure Japan East リージョン間で Site-to-Site VPN 接続を構築する必要があります。要件: 帯域 500 Mbps、Active-Active 冗長、BGP 動的ルーティング、コンプライアンスで一般的な企業 VPN デバイス互換性。
【ステートメント】
Route-based VPN タイプを選択する必要がある。
解説
【正解: はい】の理由
BGP / Active-Active / VNet-to-VNet などの動的機能は Route-based VPN タイプでのみサポートされており、Policy-based は IKEv1 のみのレガシー方式です。そのため、本シナリオの要件を満たすには Route-based を選択する必要があります。
【不正解の選択肢の場合】
「いいえ」と判定すると Policy-based でも対応可能となりますが、Policy-based は BGP も Active-Active も非対応です。そのため、Route-based が正しい選択となります。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Basic SKU の VPN Gateway で要件を満たせる。 | いいえ |
| 問2 | Route-based VPN タイプを選択する必要がある。 | はい |
| 問3 | 2 つの Public IP (Standard SKU) を用意する必要がある。 | はい |
【参考】
【シナリオ】
あなたの会社は東京本社と Azure Japan East リージョン間で Site-to-Site VPN 接続を構築する必要があります。要件: 帯域 500 Mbps、Active-Active 冗長、BGP 動的ルーティング、コンプライアンスで一般的な企業 VPN デバイス互換性。
【ステートメント】
2 つの Public IP (Standard SKU) を用意する必要がある。
解説
【正解: はい】の理由
Active-Active 構成は 2 つの IPsec トンネルを並行稼働させる仕組みのため、Azure 側で Public IP が 2 つ必要となります。そのため、本シナリオでは Standard SKU + Zone Redundant の Public IP を 2 つ準備する設計が正解となります。
【不正解の選択肢の場合】
「いいえ」と判定すると Public IP が 1 つで構成可能になりますが、それでは並列トンネルが成立せず Active-Active 構成にはなりません。そのため、Public IP 2 つの確保が必須です。
【シリーズ全体の正解一覧】
| 問 | ステートメント | 正解 |
|---|---|---|
| 問1 | Basic SKU の VPN Gateway で要件を満たせる。 | いいえ |
| 問2 | Route-based VPN タイプを選択する必要がある。 | はい |
| 問3 | 2 つの Public IP (Standard SKU) を用意する必要がある。 | はい |