この情報は ChatGPT Deep Researchによって制作されました。
解説対象
- 仮想インターフェイス(VIF)
- リンクアグリゲーション(LAG)
- デュアルスタックBGP
- IPsecトンネル
- BGP経路交換(または静的ルート)
解説(概要と図)
1. 仮想インターフェイス(VIF:Virtual Interface)
概念説明
「仮想インターフェイス(VIF)」とは、AWS Direct Connect(以下“DX”)でオンプレミスと AWS を接続する専用線回線上に、論理的に設ける「どの宛先に通信を流すか」の入口・仕分け口のようなものです。 物理回線が1本でも、目的(VPC接続/AWSサービス接続/Transit Gateway接続)に応じて複数のVLAN=仮想的なパスを分けて構成できます。 (AWS ドキュメント)
例えば「あなたの自社データセンターから AWS 内の VPC へ通信する」「AWS の S3 やパブリックサービスに接続する」「複数 VPC をまとめる Transit Gateway 経由で接続する」など用途によって VIF を使い分けます。 (AWS ドキュメント)
たとえ話
あなたの会社が大きな高速道路を1本持っているとします。その高速道路は「どこへ行っても通れる道路」ですが、実際には「本社ビル」「子会社ビル」「物流センター」という3つの目的地があります。そこで、高速道路の途中に“案内所ゲート”を3つ設けて、どの行き先に行くか振り分けます。
- 案内所ゲートA → 本社ビル(VPC)へ
- 案内所ゲートB → 物流センター/倉庫(AWSサービス)へ
- 案内所ゲートC → 全社共通ネットワークハブ(Transit Gateway)へ
この案内所ゲートが「仮想インターフェイス(VIF)」のイメージです。物理道路(回線)は1本でも、案内所で行き先を論理的に分けている、ということです。
重要ポイント(試験対策用)
-
VIF のタイプには主に「Private VIF」「Public VIF」「Transit VIF」があります。 (AWS ドキュメント)
- Private VIF:VPC などプライベート IP アドレス空間での通信
- Public VIF:AWS 公開サービス(S3 や API エンドポイント)へのアクセス
- Transit VIF:複数 VPC を集約して接続する Transit Gateway/Direct Connect Gateway などと連携
-
VIF 作成時には物理接続(DX回線またはLAG)を作り、その上に VLAN タグを設定して仮想インターフェイスを定義します。 (AWS ドキュメント)
-
IPv4/IPv6 の BGP セッションを VIF 上で張ることが可能で、Dual-stack 対応の設計を行う際にはこの点も押さえておく必要があります。 (AWS ドキュメント)
2. リンクアグリゲーション(LAG:Link Aggregation Group)
概念説明
リンクアグリゲーション(LAG)とは、複数の物理回線(Ethernet等)を束ねて、1つの論理的な回線として運用する技術です。これにより、帯域を拡張できると同時に冗長化(1本が切れても他で通信継続)を実現できます。具体的には DX 接続で「10Gbps ×2回線=20Gbps相当」としたり、「複数回線をActive/Activeで運用」することが可能です。 (AWS ドキュメント)
たとえ話
想像してください。あなたの会社には荷物を運ぶトラック道が1本だけあります。しかしその道が混雑したり、トラックが事故で止まったら物流に支障を来します。そこで、もう1本同じような道を敷設して、2本並行で荷物を運べるようにします。しかも「どちらの道を使っても同じように荷物が運ばれる」ようにバランスを取ります。これが「道路を束ねて1つの大通りにする」という意味で、リンクアグリゲーションのイメージです。
重要ポイント(試験対策用)
- DX において、Dedicated Connection の場合は最大で「4本まで束ねて LAG とできる」ことが資料で示されており、100 Gbps クラスでは「2本まで」など上限があります。 (AWS ドキュメント)
- LAG を使うことで「帯域の増強」および「フェイルオーバー/冗長化」が可能です。特に重要な本番系ハイブリッド接続では Active/Active 構成を推奨されています。 (AWS ドキュメント)
- 単一回線だけで重要トラフィックを流すのは、スケーラビリティと可用性の観点から避けるべきというベストプラクティスがあります。 (Tutorials Dojo)
3. デュアルスタックBGP(Dual-stack BGP)
概念説明
BGP(Border Gateway Protocol)とは、異なるネットワーク(自治システム)が「この宛先へはこの道を通る」という経路情報を交換するプロトコルです。デュアルスタックBGPとは、IPv4 と IPv6 の両方のアドレス体系で BGP を張ることを指します。つまり、ひとつの BGP ピアリングで IPv4 の経路と IPv6 の経路を同時に飛ばせるようにする構成です。 (Amazon Web Services, Inc.)
たとえ話
もう一度「道案内アプリ」のたとえを使いましょう。道案内アプリは普通「車で行けるルート(IPv4)を教える」ものですが、将来自動運転飛行機(IPv6)にも対応するなら、「車ルート(IPv4)も、飛行機ルート(IPv6)も両方案内できるアプリ」が理想です。デュアルスタックBGPはまさにそのような“2種類の地図(IPv4地図・IPv6地図)”を扱える経路交換の仕組みです。
重要ポイント(試験対策用)
- IPv4/IPv6 両方を運用するネットワークが増えており、ハイブリッド構成やクラウド接続においては「Dual‐stack を考慮すること」がベストプラクティスです。 (Amazon Web Services, Inc.)
- DX や VPN 接続でも、VIF やトンネル設定時に IPv6 用の CIDR・アドレスが必要となるケースがあります(例:/125 IPv6 CIDR など) (d1.awsstatic.com)
- BGP を用いた経路交換では、IPv4 と IPv6 の経路をどう管理するか(AS 番号、経路フィルタ、ポリシー)設計上留意すべきです。
4. IPsecトンネル(IP Security Tunnel)
概念説明
IPsec トンネルとは、インターネットなどの公衆回線上で通信データを暗号化し、あたかも「専用線のように安全に」通信を行うための技術です。ハイブリッドクラウド構成でオンプレミスと AWS を接続する際に、AWS Site‑to‑Site VPN 等で使われます。IPsec トンネルの中では、データは暗号化され(トンネルモード/トランスポートモード)、改ざん防止のための認証も行われます。
たとえ話
あなたの会社がこの手紙を送ります。しかし、内容を他人に見られたくありません。そこで「特殊封筒+鍵付き箱」に入れて送り出します。途中誰かに開けられても、中身が読めないよう鍵がかかっています。届いた先で鍵を開けて中身を確認。これが“暗号化されたトンネル”=IPsec トンネルのイメージです。
重要ポイント(試験対策用)
- VPN 接続では通常 2 本のトンネル(冗長化)を張る構成が推奨されています。
- IPsec では IKE(Internet Key Exchange)による鍵交換、ESP(Encapsulating Security Payload)によるデータ暗号化が行われます。
- トンネル終端装置(オンプレルータ/AWS側仮想ゲートウェイ)での設定が必要であり、暗号化、認証、トンネルインターフェイス、ルーティング(静的/BGP)などを設計段階で整理しておく必要があります。
- VPN は専用線より遅延・帯域・可用性が劣るため、本番アクセスには専用線(例えば DX)を併用検討することがベストプラクティスです。
5. BGP経路交換(または静的ルート)
概念説明
ネットワークにおいて「どの宛先ネットワークへどういう経路で送るか」を決める手段として「静的ルート」と「動的ルーティング(ここでは BGP 経路交換)」があります。
- 静的ルート:管理者が手動で「この宛先/この道を通る」と設定しておくルート情報です。
- BGP経路交換:ルータ同士が互いに「私はこの宛先を知ってる、この経路で行けるよ」と自動で経路情報を交換しあうプロトコル(BGP)を用します。特に、オンプレミス↔AWS のハイブリッド接続では BGP がよく使われます。
たとえ話
想像してください:あなたが町の案内係です。
- 静的ルート:地図に「A町へはこの道」とマーカーを引いて、「常にこの道を使え」と決めておく。
- BGP経路交換:あなたと他の案内係(別町)が「お互いに新しい道ができた、こちらを使おう」と連絡しあいながら、最適な道を常に更新していく。つまり、交通事情や道路状況が変わっても自動で案内を変えられる。
重要ポイント(試験対策用)
- 本番系では「静的ルートだけ」に頼ると、ネットワーク構成変更や障害対応で手動作業が増え、運用リスクが高まるため、BGP を用いた動的ルーティングが望ましいです。
- BGP経路交換を使う際は、AS 番号、BGP ピアリング、経路広告・受信ポリシー(フィルタ、コミュニティ、ローカルプリファレンス、MED など)を設計・運用できることが求められます。
- AWS との接続(DX, VPN)では、BGP を用いた経路交換が可能・推奨されており、IPv4/IPv6両方で運用するならデュアルスタック BGP を検討します(先の項目参照)。