WEB問題集
オンプレミス ルータとの BGP ピアリングを Azure VPN Gateway で構成する際、Azure 側で利用できない予約 ASN はどれですか?
解説
【正解: B】の理由
Azure VPN Gateway の BGP ASN として 65020〜65030 および 23456 等は Microsoft の内部用途に予約済みで指定できません。Azure 既定値は 65515 で、オンプレ側は重複しない別 ASN (private range 64512-65534) を使用します。
【BGP ASN ルール】
- Azure 既定 ASN: 65515
- 使用不可: 8074〜8076、12076、23456、65020〜65030、4294967294〜4294967295
- オンプレ側: Azure と重複しない private ASN を選択
- 2-byte / 4-byte ASN 両対応
【他選択肢が違う理由】
- A: 65515 は Azure 既定値で使用可能 (変更も可能)。
- C: 64512 は private ASN 範囲内で使用可能 (オンプレ側で推奨)。
- D: 65500 も使用可能な private ASN。
【参考】
Windows / macOS / Linux / iOS / Android すべてのプラットフォームに対応し、TCP/UDP ベースで NAT・ファイアウォール超えに強い Point-to-Site (P2S) VPN プロトコルはどれですか?
解説
【正解: B】の理由
OpenVPN プロトコル (SSL/TLS ベース) は全プラットフォーム対応で、TCP/UDP どちらでも動作し、企業ファイアウォールを通過しやすい標準です。Azure VPN Client で OpenVPN を選ぶことで Win/Mac/Linux/iOS/Android 全てで利用可能です。Azure AD/Microsoft Entra ID 認証も OpenVPN プロトコル必須です。
【P2S プロトコル比較】
| プロトコル | 対応 OS | 認証 |
|---|---|---|
| OpenVPN | 全 OS | 証明書 / RADIUS / Entra ID |
| IKEv2 | Win / Mac / Linux / iOS | 証明書 / RADIUS (Android 不可) |
| SSTP | Windows のみ | 証明書 |
【他選択肢が違う理由】
- A: SSTP は Windows 専用で TCP 443 のみ、他 OS は使えない。
- C: IKEv2 は Android 非対応で Microsoft Entra ID 認証も不可です。
- D: L2TP/IPsec は Azure VPN Gateway P2S では非サポート (Azure VPN Client は OpenVPN/IKEv2/SSTP)。
【参考】
VPN Gateway の Active-Active 構成について、各ステートメントが正しいか判定してください。
| ステートメント | はい | いいえ |
|---|---|---|
Basic SKU でも Active-Active を構成できる Basic SKU は Active-Active と BGP の両方に非対応となります。そのため、Active-Active を構成する場合は VpnGw1 以上の SKU を選択する必要があり、本番環境では VpnGw1 AZ 以上が標準的な選択肢となります。 | ||
Public IP は 2 つ必要 Active-Active 構成では 2 つの IPsec トンネルを並行稼働させるため、それぞれのトンネル用に Public IP が 2 つ必須となります。このため、オンプレ VPN デバイス側でも 2 トンネル並行接続が可能な構成にしておく必要があります。 | ||
BGP は必須である Active-Active では 2 トンネル間で動的な経路収束が必要となるため、BGP プロトコルは必須要件です。したがって、Azure 既定 ASN 65515 とオンプレ側 private ASN (64512〜65534 等) を組み合わせてセッションを確立します。 |
解説
【正解一覧】
| ステートメント | 正解 |
|---|---|
| Basic SKU でも Active-Active を構成できる | いいえ |
| Public IP は 2 つ必要 | はい |
| BGP は必須である | はい |
【各判定の詳細】
- 「Basic SKU でも Active-Active を構成できる」→ いいえ: Basic SKU は Active-Active と BGP の両方に非対応となります。そのため、Active-Active を構成する場合は VpnGw1 以上の SKU を選択する必要があり、本番環境では VpnGw1 AZ 以上が標準的な選択肢となります。
- 「Public IP は 2 つ必要」→ はい: Active-Active 構成では 2 つの IPsec トンネルを並行稼働させるため、それぞれのトンネル用に Public IP が 2 つ必須となります。このため、オンプレ VPN デバイス側でも 2 トンネル並行接続が可能な構成にしておく必要があります。
- 「BGP は必須である」→ はい: Active-Active では 2 トンネル間で動的な経路収束が必要となるため、BGP プロトコルは必須要件です。したがって、Azure 既定 ASN 65515 とオンプレ側 private ASN (64512〜65534 等) を組み合わせてセッションを確立します。
【参考】
Microsoft Entra ID (旧 Azure AD) を用いて P2S VPN ユーザ認証を行う場合、必須の P2S プロトコルはどれですか?
解説
【正解: C】の理由
Microsoft Entra ID 認証 (旧称 Azure AD 認証) は OpenVPN プロトコル必須。SSTP/IKEv2 では Entra ID 認証は使えず、Azure 証明書または RADIUS 認証になります。Entra ID 認証では条件付きアクセス (Conditional Access) / MFA / デバイス コンプライアンスを VPN に適用できます。
【P2S 認証マトリクス】
| 認証 | OpenVPN | IKEv2 | SSTP |
|---|---|---|---|
| Azure 証明書 | ○ | ○ | ○ |
| RADIUS | ○ | ○ | × |
| Microsoft Entra ID | ○ | × | × |
【他選択肢が違う理由】
- A: IKEv2 は Entra ID 認証非対応 (証明書 / RADIUS のみ)。
- B: SSTP は Windows + 証明書認証のみ。
- D: L2TP は Azure VPN Gateway 非サポート。
【参考】
各 VPN プロトコル機能サポートについて、はい/いいえで判定してください。
| ステートメント | 選択 |
|---|---|
Route-based VPN は BGP 動的ルーティングをサポートする Route-based VPN は BGP 動的ルーティングを必須対応するため、複数経路や AS-PATH 制御を活用した柔軟なルーティング設計が可能となります。一方、Policy-based VPN は静的トラフィック セレクタ方式で BGP には対応していません。 | |
Policy-based VPN は IKEv2 プロトコルをサポートする Policy-based VPN は IKEv1 のみをサポートするレガシー方式となっており、IKEv2 には対応していません。そのため、IKEv2 / BGP / Active-Active 等の最新機能を利用する場合は Route-based VPN を選択する必要があります。 | |
OpenVPN プロトコルは Android で利用可能である OpenVPN プロトコルは Windows / macOS / Linux / iOS / Android のすべてのプラットフォームで利用可能な SSL ベース方式です。これにより、デバイス種別を問わない P2S VPN を 1 つのプロトコルで統一できます。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| Route-based VPN は BGP 動的ルーティングをサポートする | はい |
| Policy-based VPN は IKEv2 プロトコルをサポートする | いいえ |
| OpenVPN プロトコルは Android で利用可能である | はい |
【各判定の詳細】
- 「Route-based VPN は BGP 動的ルーティングをサポートする」→ はい: Route-based VPN は BGP 動的ルーティングを必須対応するため、複数経路や AS-PATH 制御を活用した柔軟なルーティング設計が可能となります。一方、Policy-based VPN は静的トラフィック セレクタ方式で BGP には対応していません。
- 「Policy-based VPN は IKEv2 プロトコルをサポートする」→ いいえ: Policy-based VPN は IKEv1 のみをサポートするレガシー方式となっており、IKEv2 には対応していません。そのため、IKEv2 / BGP / Active-Active 等の最新機能を利用する場合は Route-based VPN を選択する必要があります。
- 「OpenVPN プロトコルは Android で利用可能である」→ はい: OpenVPN プロトコルは Windows / macOS / Linux / iOS / Android のすべてのプラットフォームで利用可能な SSL ベース方式です。これにより、デバイス種別を問わない P2S VPN を 1 つのプロトコルで統一できます。
【参考】
ExpressRoute Circuit と VNet の接続を構成する手順を正しい順序に並べてください。
- ER Circuit を作成 (Provider / Peering location 指定)
- Provider に Circuit Service Key を提示し回線開通
- Private peering を構成 (BGP IP/ASN/VLAN)
- VNet に ExpressRoute Gateway を作成 + Connection で接続
解説
【正しい順序】
- ステップ 1: ER Circuit 作成
- ステップ 2: Provider 開通
- ステップ 3: Private peering 構成
- ステップ 4: VNet GW + Connection 作成
【各ステップの理由】
- ステップ 1 ER Circuit 作成: Provider と Peering location 指定。Service Key が払い出される。
- ステップ 2 Provider 開通: Service Key を Provider に提示、物理回線開通 (数日〜数週間)。
- ステップ 3 Private peering 構成: BGP IP /30 ペア、ASN、VLAN ID を Provider と調整。BGP セッション確立。
- ステップ 4 VNet GW + Connection 作成: VNet に ER Gateway をデプロイし、Circuit との Connection リソースで紐付け。
【誤った順序の問題点】
- ❌ Peering を先に構成する: Circuit が provisioned 状態でないと peering 設定不可です。
- ❌ Connection を最初に作る: Circuit と ER Gateway の両方が必要、最後のステップ。
【参考】
異なるリージョンの VNet 同士を Microsoft バックボーン経由で接続したいが、VPN コストを最小化したい場合に最も適切な方法はどれですか?
解説
【正解: A】の理由
異なるリージョン間の VNet 接続は Global VNet Peering が最適。Microsoft バックボーン経由で低レイテンシ、暗号化はオプトインだがデータは Microsoft 内部回線。VPN Gateway が不要なため GW コストもかからず、データ転送料金のみで運用できます。
【VNet 間接続方法比較】
| 方法 | コスト | レイテンシ | 帯域 |
|---|---|---|---|
| Global VNet Peering | データ転送料金のみ | 最低 | VM SKU 依存 |
| V2V VPN | VPN GW × 2 + データ | 中 | SKU 依存 (最大 10 Gbps) |
| ER Global Reach | ER + Global Reach 料金 | 低 (専用) | 50 Mbps〜100 Gbps |
【他選択肢が違う理由】
- B: V2V VPN は GW × 2 + データ転送料金で割高、低レイテンシ要件にも不利。
- C: ER Global Reach は ER 回線が前提で、VNet 直接接続にはオーバースペック。
- D: Public Internet 経由は遅延・セキュリティ面で不適切です。
【参考】
ExpressRoute Circuit を作成する際、Microsoft 側で必須となる構成要素はどれですか?
解説
【正解: A】の理由
ExpressRoute Circuit 作成時に Microsoft 側に必須なのは Service Provider (接続事業者) と Peering location (相互接続拠点)。これは事業者のエッジルータと Microsoft Edge ルータが相互接続する物理拠点で、東京 (Tokyo / Tokyo2) などのデータセンタを指定します。
【ER Circuit 主要要素】
- Provider モデル: KDDI / NTT / Equinix / Megaport 等の事業者経由
- Direct モデル: Microsoft 直接接続 (10/100 Gbps)
- Peering location: Tokyo / Osaka / Singapore 等
- 帯域: 50 Mbps〜10 Gbps (Provider) / 10〜100 Gbps (Direct)
- SKU: Local / Standard / Premium
【他選択肢が違う理由】
- B: Public IP プレフィックスは ER Circuit 自体に不要 (Microsoft peering で別途必要)。
- C: VPN Gateway は ER とは独立リソース (ExpressRoute Gateway を使う)。
- D: Application Gateway は L7 LB、ER とは無関係。
【参考】
ExpressRoute Premium add-on を有効化することで得られる機能として正しいものをすべて選んでください (3 つ)。
解説
【正解: A / B / C】の理由
Premium add-on は (1) geo-political region 横断 VNet 接続、(2) BGP Route 上限 10,000、(3) VNet 接続数上限 (10→100 まで Bandwidth 依存) の 3 機能を提供します。MACsec は ExpressRoute Direct 固有機能、FastPath は ER Gateway SKU 設定で別途有効化必要。
【他選択肢が違う理由】
- D: MACsec は ER Direct 固有、Premium add-on とは無関係。
- E: FastPath は ER Gateway (Ultra Performance / ErGw3AZ) 機能、Premium add-on とは別。
【参考】
ExpressRoute で Office 365 (Microsoft 365) や Dynamics 365 など Microsoft の SaaS への接続を実現するには、どの Peering タイプを使いますか?
解説
【正解: B】の理由
Microsoft の SaaS / PaaS (Office 365、Dynamics 365、Azure Public IP の PaaS 等) には Microsoft peering を使用します。Private peering は VNet 内のリソース (VM、Private IP)、Microsoft peering は Microsoft が公開する Public エンドポイント向けです。
【ER Peering タイプ】
| Peering | 対象 | NAT |
|---|---|---|
| Private | VNet 内 Private IP (VM 等) | 不要 |
| Microsoft | Office 365 / PaaS Public IP | 必要 (顧客側で公開 IP NAT) |
| Public (廃止) | Azure Public IP (旧) | 廃止済み |
【他選択肢が違う理由】
- A: Private peering は VNet 内 Private IP 用途、SaaS 接続不可です。
- C: Public peering は廃止済みで Microsoft peering に統合された。
- D: Direct peering は ER Direct (10/100 Gbps 直接接続) の俗称で、Peering タイプではない。