ANS-C01#2(network-implementation)

ある企業はオンプレミスから AWS Direct Connect の Private VIF 経由で Transit Gateway 配下の複数 VPC に接続しています。BGP セッション認証を強化するため MD5 認証を導入する方針です。ネットワーク技術者はカスタマールータと AWS 側双方の設定を一貫させる必要があります。

正しい実装手順はどれですか。

A.
AWS マネジメントコンソールで Private VIF の MTU を 9001 に設定し、ルータ側にも jumbo フレームを構成すれば MD5 認証が自動的に有効化されます。
B.
Private VIF 編集画面で BGP authentication key を入力し、同じ事前共有文字列を CGW の neighbor password に登録します。
C.
AWS Certificate Manager で公開証明書を発行し、その証明書 ARN を Private VIF と BGP ピアの双方に紐付けて TLS ベースの相互認証を構成します。
D.
Direct Connect Gateway 側で IPsec トンネルを有効にし、IKEv2 の事前共有鍵をルータと AWS で交換することで BGP メッセージを保護します。

正解と解説ディスカッション 0

正解：B

正解の根拠

Direct Connect の VIF では BGP MD5 認証用に authentication key を入力する欄が用意されており、オンプレミス側ルータの neighbor password と完全一致させることで TCP セッションのキー検証が機能します。AWS 側で空欄にするとランダム値が自動生成されるため、明示入力で運用整合性を確保します。

不正解の理由

A: MTU と jumbo フレームは BGP の認証機構と無関係で、MD5 が自動有効化される動作はありません。
C: BGP MD5 認証は事前共有キー方式であり、ACM 証明書による TLS 認証は VIF にサポートされていません。
D: Direct Connect は IPsec を提供せず、BGP 保護に IKEv2 PSK を構成する手順は存在しません。

参考：Working with Virtual Interfaces

ANS-C01#2(network-implementation)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル