Q89 — AWS ANS-C01 第1章
第 89/100 题 | ← 返回第1章
一家公司计划使用AWS Transit Gateway中心辐射型架构迁移到AWS。当前本地多协议标签交换(MPLS)网络具有严格的控制措施,通过使用MPLS VPN强制实施网络分段。该公司已配置两条10 Gbps AWS Direct Connect连接,以提供弹性、高速、低延迟的AWS连接。一名安全工程师需要将网络分段概念应用到AWS环境中,以确保公司各软件开发环境的虚拟路由和转发(VRF)在逻辑上相互隔离。MPLS VPN数量未来将增加。本地MPLS VPN将存在重叠的地址空间。公司的AWS网络设计必须支持VPN的地址空间重叠。哪种解决方案能以最低的运维开销满足这些要求?
- A. 在Transit Gateway Connect VPC中部署软件定义广域网(SD-WAN)头端虚拟设备和SD-WAN控制器。配置公司边缘路由器由新的SD-WAN控制器管理,并使用SD-WAN将流量分割为公司各开发环境定义的网段。
- B. 为每个MPLS VPN及公司各开发环境,在公司边缘路由器上配置IPsec VPN。将每个IPsec VPN隧道连接至独立的MPLS VPN。为每个MPLS VPN配置终止于Transit Gateway的AWS站点到站点VPN连接。配置匹配每个Transit Gateway VPN附件对应MPLS VPN的Transit Gateway路由表。
- C. 创建一个终止于AWS站点到站点VRF感知IPsec VPN的Transit VPC。为公司各开发环境VRF配置到每个VPC的IPsec VPN连接。
- D. 在公司边缘路由器与Transit Gateway之间,为每个MPLS VPN配置Transit Gateway Connect附件。为公司各开发环境配置匹配对应MPLS VPN的Transit Gateway路由表。 ✓
正确答案: D. 在公司边缘路由器与Transit Gateway之间,为每个MPLS VPN配置Transit Gateway Connect附件。为公司各开发环境配置匹配对应MPLS VPN的Transit Gateway路由表。
解析
AWS Transit Gateway Connect支持通过创建专用附件将客户边缘路由器与Transit Gateway连接,每个附件关联独立的MPLS VPN。结合每个VPN对应的自定义路由表,可在逻辑上隔离不同环境的流量,处理地址重叠问题。选项D利用AWS原生服务简化架构,避免维护多个IPsec VPN或SD-WAN方案的复杂性,扩展时仅需新增附件和路由表,符合低运维开销要求。[AWS Transit Gateway Connect文档]提到该功能允许通过BGP动态路由实现与MPLS VPN的集成,支持多路由表进行流量隔离,适合未来增加的VPN数量。其他选项如IPsec VPN需逐条配置,SD-WAN引入第三方组件,Transit VPC架构过时,运维成本较高。