catch-img

【初心者向け】動的・静的ルートの違いがわかる!AWS VPN検証 動的ルーティング編

M.O.、R.N.技術コラム

AWSクラウドインフラシステム構築VPN

近年、クラウド活用の加速にともない、AWSとオンプレミス環境を接続するネットワーク基盤の可用性は、企業システム全体の安定性を左右する重要な要素となっています。特に、業務システムではネットワーク断がそのまま業務停止につながるケースも多く、VPN接続の冗長化は避けて通れないテーマです。

AWSでは、Site-to-Site VPNにおいて静的ルーティングと動的ルーティング(BGP)の2種類が提供されていますが、実際に冗長構成を組んだ場合に「どの経路を通り、障害時にどのように切り替わるのか」を具体的に把握できているケースは多くありません。

そこで本検証では、動的ルーティング(BGP)を用いたAWS Site-to-Site VPNの冗長構成に焦点を当て、Transit Gateway(TGW)構成を含む複数経路環境における通信挙動を検証しました。

本記事はスライドの記載内容をもとに、検証の要点を簡潔にまとめています。詳細な検証内容や技術的な説明は埋め込みのスライド本文をご参照ください。

INDEX[非表示]

  1. 1.検証の目的
  2. 2.検証方法
    1. 2.1.使用した構成・技術要素
    2. 2.2.冗長化の想定ケース
    3. 2.3.検証手順の概要
  3. 3.検証結果と考察
    1. 3.1.検証結果のまとめ
    2. 3.2.得られたメリット
    3. 3.3.課題と苦労した点
  4. 4.まとめ

検証の目的

本検証の目的は以下の3点です。

  • AWSとオンプレミス環境を動的ルーティング(BGP)によるSite-to-Site VPNで接続し、冗長構成時の動作を確認する
  • VPNトンネル障害発生時に、待機系経路へ自動で切り替わること、および復旧時に切り戻しできることを確認する
  • MED(Multi Exit Discriminator)を用いた経路制御により、意図した優先順位で通信がおこなわれるかを検証する

これにより、設計段階での考慮点や、実運用を見据えた注意点を明確にすることを狙いました。

検証方法

使用した構成・技術要素

検証では、オンプレミス環境をAWS上の仮想環境で再現し、以下の構成を用いました。

  • AWS Site-to-Site VPN
  • 動的ルーティング(BGP)
  • Transit Gateway(TGW)
  • Customer Gateway ×2
  • Cisco Cloud Services Router(CSR1000V)×2
  • VPNトンネル×4(アクティブ/アクティブ構成)
構成図

AWS側VPCとオンプレミス側VPCをVPNで接続し、複数のVPN Peer(A-1、A-2、B-1、B-2)を持つ冗長構成を構築しています。

冗長化の想定ケース

通常時は優先順位の高いトンネル(A-1)を使用し、

  • A-1ダウン時 → A-2
  • A-1、A-2ダウン時 → B-1
  • A-1、A-2、B-1ダウン時 → B-2

と段階的に経路が切り替わる構成を想定しました。
この優先順位制御には、BGPのMED値を用いています。

検証手順の概要

  • Customer Gateway、Transit Gateway、Site-to-Site VPNを作成
  • ルータ(CSR1000V)へBGPおよびトンネル設定を投入
  • traceroute、ping、show ip route / show ip bgp により通信経路を確認
  • 意図的にVPNトンネルをダウンさせ、切り替え挙動と所要時間を測定

※構成図や詳細な検証手順はスライド本文をご参照ください

検証結果と考察

検証結果のまとめ

構成図

検証の結果、以下の点を確認できました。

  • 動的ルーティングによるSite-to-Site VPN冗長化が可能であることを確認
  • MEDによる重み付けにより、意図した優先順位で通信経路が制御される
  • 全トンネルが正常時は、最優先のA-1トンネルを通過
  • トンネル障害時には、A-2 → B-1 → B-2と順次切り替わることを確認
  • 切り替え時間はおおむね26〜34秒程度

特に、TGWのルートテーブルやtraceroute結果から、AWS側でも正しく経路が反映されている点を確認できたことは、設計上の信頼性を高める結果となりました。

得られたメリット

  • 障害発生時にも通信が継続され、高い可用性を確保できる構成である
  • MEDによる制御により、回線品質やコストを考慮した柔軟な経路設計が可能
  • オンプレミス環境を含むシステムでも、AWS標準サービスで冗長構成を実現可能

課題と苦労した点

一方で、検証を通じて以下の課題も明らかになりました。

  • AWS仮想ルータ自体の冗長化は実現できなかった
  • BGPやCiscoルータ設定に関する理解不足により、想定通りNext Hopが認識されない事象が発生
  • 1台のルータに複数のCustomer Gatewayを接続した場合、VPNトンネルがUPしないケースがあり、引き続き調査が必要

これらは、AWSのインターフェースやCiscoルータの仕様理解が不十分であった点も要因の一つであり、今後の改善ポイントといえます。

まとめ

今回の検証により、動的ルーティング(BGP)を用いたAWS Site-to-Site VPN冗長構成が実運用において十分に有効であることが確認できました。主要経路断時にも待機系へ自動で切り替わり、切り替え時間も許容範囲内であることから、可用性を重視するシステムに適した構成といえます。

一方で、BGPやルータ設定の難易度は高く、設計・構築には一定のネットワーク知識が求められることも明確になりました。今後はMED以外の経路制御手法も含め、よりシンプルかつ運用負荷の低い構成についても検証を進めていきたいと考えています。

本検証で得られた知見を、今後のクラウド設計・提案業務に生かし、お客様にとって安全で安定したシステム基盤の提供につなげていきます。

※本資料に登場する会社名・製品・サービス名、ロゴマークなどは該当する各社の商号・商標または登録商標です。

M.O.、R.N.
M.O.、R.N.
AWSでの環境構築を初めて行ったメンバーや、Ciscoルータの設定未経験のメンバーなど、入社1年目、2年目の若手メンバーが中心となり共同検証を実施。 本検証での経験を活かし、現在はAWSを利用したシステムの開発や、Cisco機器の展開などの業務で活躍中。

前の記事

prev-article-image

【初心者向け】動的・静的ルートの違いがわかる!AWS VPN検証 静的ルーティング編

次の記事

next-article-image

AWSとココが違う!Google Cloudでの宛先NATとNW制御

幅広いトータルソリューションを提供するICT企業
 お問い合わせはこちら >

関連記事

おすすめの資料

「『解決力』で選ぶべきアウトソーシングとは」のサムネイル

「解決力」で選ぶべきアウトソーシングとは

「【入門編】失敗しないシステム運用監視を実現!」のサムネイル

【入門編】失敗しないシステム運用監視を実現!

お役立ち資料一覧

サイト内検索

カテゴリ一覧

タグ一覧

人気記事ランキング

サービス

運用監視サービスサイトへのバナーリンク
脆弱性診断サービスサイトへのバナーリンク
創業50年以上の実績でIT課題を一気通貫でサポートします

サービス一覧

導入事例

コラム

お問い合わせ

ダウンロード資料一覧

© NID Co., Ltd. All Right Reserved.