Q55 — AWS ANS-C01 第1章
第 55/100 問 | ← 第1章
ネットワークエンジニアは、オンプレミスのデータセンターとVPCの間で暗号化された接続を構築する必要があります。ネットワークエンジニアはVPCを仮想プライベートゲートウェイにアタッチし、AWS Site-to-Site VPN接続を設定しました。設定後にVPNトンネルはUP状態となり、正常に動作しています。しかし、VPNネゴシエーションのフェーズ2における再鍵交換時、カスタマーゲートウェイデバイスが自身がサポートする設定とは異なるパラメーターを受信しています。 ネットワークエンジニアはVPNトンネルのIPsec設定を確認しました。カスタマーゲートウェイデバイスは、AWS Site-to-Site VPN設定ファイルが提供する最も安全な暗号化アルゴリズムで構成されていることがわかりました。 この問題をトラブルシューティングし、修正するためにネットワークエンジニアは何を行うべきですか?
- A. ネイティブの仮想プライベートゲートウェイのログを確認します。VPNトンネルのオプションを仮想プライベートゲートウェイが要求する特定のVPNパラメーターに制限します。
- B. ネイティブのカスタマーゲートウェイのログを確認します。VPNトンネルのオプションをカスタマーゲートウェイが要求する特定のVPNパラメーターに制限します。 ✓
- C. 仮想プライベートゲートウェイのAmazon CloudWatchログを確認します。VPNトンネルのオプションを仮想プライベートゲートウェイが要求する特定のVPNパラメーターに制限します。
- D. カスタマーゲートウェイのAmazon CloudWatchログを確認します。VPNトンネルのオプションをカスタマーゲートウェイが要求する特定のVPNパラメーターに制限します。
正解: B. ネイティブのカスタマーゲートウェイのログを確認します。VPNトンネルのオプションをカスタマーゲートウェイが要求する特定のVPNパラメーターに制限します。
解説
この問題では、カスタマーゲートウェイデバイスがVPNネゴシエーションのフェーズ2再鍵時に、自身の構成でサポートされていないパラメーターを受信しています。これはカスタマーゲートウェイデバイス側のパラメーター不一致が原因であるため、ネイティブのカスタマーゲートウェイログを確認すべきです。また、この問題を解決するには、VPNトンネルのオプションをカスタマーゲートウェイが要求する特定のVPNパラメーターに制限する必要があります。したがって、正解は選択肢Bです。