catch-img

【初心者向け】動的・静的ルートの違いがわかる!AWS VPN検証 静的ルーティング編

R.T.技術コラム

AWSクラウドインフラシステム構築VPN

AWSとオンプレミス環境を接続する手段として、Site-to-Site VPNは現在も多くのシステムで活用されています。
特に静的ルーティングは構成が比較的シンプルで、運用や制御内容を把握しやすい一方、冗長構成時の切替挙動については「実際どう動くのかわかりにくい」という声を現場で多く耳にします。

本検証では、AWSのVirtual Private Gateway(VGW)構成およびTransit Gateway(TGW)構成において、静的ルーティングを用いたSite-to-Site VPN接続時の冗長構成下での通信挙動を確認しました。

特に、

  • VPNトンネル障害時に自動切替がおこなわれるか
  • 復旧時に元の経路へ切り戻るか
  • VGW構成とTGW構成で挙動にどのような違いがあるか

といった点を中心に検証をおこなっています。

本記事はスライドの記載内容をもとに、検証の要点を簡潔にまとめています。詳細な検証内容や技術的な説明は埋め込みのスライド本文をご参照ください。

INDEX[非表示]

  1. 1.検証の目的
  2. 2.検証方法
    1. 2.1.検証構成の概要
    2. 2.2.ルータ側の制御方式
  3. 3.検証結果と考察
    1. 3.1.VGW構成の検証結果
    2. 3.2.TGW構成の検証結果
    3. 3.3.対処方法と再検証
  4. 4.まとめ

検証の目的

本検証の目的は以下の3点です。

  • 静的ルーティング環境におけるVPN冗長構成時の通信挙動を確認する
  • VGW構成とTGW構成における切替・切り戻し動作の違いを比較する
  • 設計時・運用時の注意点を整理し、実案件に生かせる知見を得る

なお、オンプレミス環境は検証用としてAWS上に仮想的に構築しています。

検証方法

検証構成の概要

検証は以下2パターンで実施しました。

  • VGW(Virtual Private Gateway)構成
検証環境完成図(VGW経由)
  • TGW(Transit Gateway)構成
検証環境完成図(TGW経由)

いずれも以下の前提で構成しています。

  • AWS VPCとオンプレミス環境(想定)をSite-to-Site VPNで接続
  • VPNは冗長構成(4トンネル)
  • Cisco CSR v1000を用いた静的ルーティング構成

ルータ側の制御方式

オンプレミス側ルータでは、以下の仕組みにより経路制御をおこないました。

  • IP SLA:トンネルの死活監視
  • track:IP SLAの結果とルート制御を連動
  • AD値(Administrative Distance):優先経路を制御

これにより、

  • 障害時は該当ルートを削除して次優先経路へ切替
  • 復旧時は元の優先経路へ切り戻し

という挙動を確認しています。

※構成図や詳細な検証手順はスライド本文をご参照ください

検証結果と考察

VGW構成の検証結果

検証環境完成図(VGW経由)

VGW構成では、以下の挙動を確認しました。

  • 通常時は優先トンネルのみが使用される
  • トンネル障害時、別トンネルへ自動的に切替される
  • 障害の段階に応じて、優先順位どおりに順次切替される
  • 復旧後は、通信断なく優先トンネルへ切り戻る

切替時には15〜30秒程度の通信断が発生するケースはあるものの、静的ルート環境でも安定した冗長構成が実現可能であることを確認できました。

一方で、VPN B側のトンネル選択については、AWS Site-to-Site VPNの仕様上、想定と異なるトンネルが選択されるケースがある点も確認しています。

TGW構成の検証結果

検証環境完成図(TGW経由)

TGW構成でも、以下の点はVGW構成と同様の挙動を確認しました。

  • 通常時は優先トンネルのみが利用される
  • 基本的な切替・切り戻しは動作する

しかし、TGW構成特有の課題も明らかになりました。

特定条件下において、TGWルートテーブル上のBlackholeルートがロンゲストマッチで優先され、通信不可となるケースが発生しました。

これは、

  • 同一CIDRを複数VPNで広告している
  • 障害時に詳細プレフィックス(/24)がBlackhole状態となる

といった条件が重なった場合に発生する挙動です。

対処方法と再検証

この課題に対して、以下の対処を実施しました。

  • CloudWatchでVPNトンネル状態を監視
  • EventBridgeをトリガーにLambdaを実行
  • LambdaでTGWルートテーブルのターゲットを動的に切替

再検証の結果、TGWルートのターゲットを VPN A ⇔ VPN B で動的に切替することで、通信が正常に回復することを確認しました。

切替時には最大で100秒程度の通信断は発生しましたが、設計と運用を補うことで、TGW構成でも冗長性を確保できることがわかりました。

まとめ

本検証の結果を整理すると、以下のようになります。

  • VGW構成
    • 静的ルート環境でも切替・切り戻しが安定して動作
    • 冗長構成としてのシンプルさと安定性が高い
  • TGW構成
    • 通常時・基本的な切替動作は問題なし
    • BlackholeルートやCIDR設計に起因する注意点が存在
    • 自動化(Lambdaなど)を前提とした設計・運用が重要

静的ルーティング環境下で安定性を重視する場合はVGW構成が有効と考えられます。
一方で、TGW構成を採用する場合は、ルート設計・CIDR設計・運用自動化まで含めた検討が不可欠です。

本記事およびスライドが、AWS VPN構成設計を検討されている方の一助となれば幸いです。
今後もエヌアイデイでは、実環境を想定した技術検証を通じて、設計・運用に役立つ知見を継続的に発信していきます。

※本資料に登場する会社名・製品・サービス名、ロゴマークなどは該当する各社の商号・商標または登録商標です。

R.T.
R.T.
インフラエンジニアとしてネットワークおよびクラウド分野に従事。 本検証ではSite-to-Site VPNおよびTGW構成の検証を担当。 現在はAWSを中心としたネットワーク設計・運用に関する知識向上に取り組んでいる。

前の記事

prev-article-image

情報収集・共有爆速化!生成AIによる技術ブログ自動生成ツール

次の記事

next-article-image

【初心者向け】動的・静的ルートの違いがわかる!AWS VPN検証 動的ルーティング編

幅広いトータルソリューションを提供するICT企業
 お問い合わせはこちら >

関連記事

おすすめの資料

「『解決力』で選ぶべきアウトソーシングとは」のサムネイル

「解決力」で選ぶべきアウトソーシングとは

「【入門編】失敗しないシステム運用監視を実現!」のサムネイル

【入門編】失敗しないシステム運用監視を実現!

お役立ち資料一覧

サイト内検索

カテゴリ一覧

タグ一覧

人気記事ランキング

サービス

運用監視サービスサイトへのバナーリンク
脆弱性診断サービスサイトへのバナーリンク
創業50年以上の実績でIT課題を一気通貫でサポートします

サービス一覧

導入事例

コラム

お問い合わせ

ダウンロード資料一覧

© NID Co., Ltd. All Right Reserved.