AZ700-CORE#73
あなたは VPN Gateway 経由のオンプレ通信が突然停止しました。Azure Network Watcher のどの機能で最初に診断すべきですか?
解説
【正解: A】の理由
VPN Diagnostic (Network Watcher → VPN Troubleshoot) は VPN Gateway 専用の診断機能で、Gateway のメトリクス (Tunnel Connectivity、IKE/IPsec ステータス、BGP ピアリング状態、トンネル帯域)、診断ログを統合的に分析します。「VPN 経由オンプレ通信停止」シナリオではまずこれで Tunnel Status を確認します。トラブルシュートの起点として最適です。
【VPN Diagnostic で確認できる項目】
| 項目 | 意味 |
|---|---|
| IPsec SA (Security Association) の確立状況 | 暗号化セッションが確立されているか |
| IKE フェーズ 1/2 の交渉結果 | 認証 + 暗号化アルゴリズム交渉成功 |
| BGP ピアリング状態 (BGP 構成の場合) | 動的ルート交換セッション |
| Tunnel up/down のタイムライン | 切断イベントの記録 |
| Throughput メトリクス | 帯域使用状況 |
| Inbound/Outbound パケット数 | 双方向通信量 |
【VPN トラブル シュートの典型フロー】
- VPN Diagnostic で Tunnel Status 確認 (Up/Down)
- Down の場合、IKE フェーズ確認 (フェーズ 1 失敗 = 認証問題、フェーズ 2 = 暗号スイート不一致)
- BGP 利用の場合、BGP ピアリング状態確認
- オンプレ側機器のログを確認 (Azure 側だけでは判断不能の場合あり)
- 必要に応じてオンプレ ベンダーへエスカレーション
【VPN 切断の主要原因】
- Pre-Shared Key (PSK) 不一致
- IKE/IPsec パラメータ不一致 (暗号スイート、ライフタイム)
- オンプレ機器の再起動・設定変更
- BGP ASN 不一致
- Local Network Gateway の Public IP 変更
- NAT デバイス挿入
【他選択肢が違う理由】
- B. IP Flow Verify: NSG 起因の判定用、VPN トンネル自体の状態確認には不適。NSG は VPN 関連ではない。
- C. Topology: 可視化用、診断ツールではない。トラブル シュートの起点には不向き。
- D. Packet Capture: パケット レベル詳細分析、まずは VPN Diagnostic で全体状況を把握すべき。Packet Capture は VPN Diagnostic で原因が絞れない深堀り時に使用します。
コメント