平成30年度の午後Ⅰ問題対策③ ―問3

はじめに

今回は、平成30年度午後Ⅰ問題 問3を解説します。問題や解答例、講評はこちらからダウンロードできます。過去に問題を解いたことがある方も、本解説を読む前に、ぜひ問題に挑戦してみてください。

午後Ⅰ問題 問3の概要

問3はWANの冗長化に関する問題です。全体説明と3つの段落で構成されており、午後Ⅰ問題としては標準的な構成であると言えます。

• 全体説明(12ページ1行目から9行目)
  D社の現行ネットワーク構成の説明
• 1段落目(12ページ[WAN構成の検討])
  WAN構成の見直し方針案の説明と、IP-VPNやインターネットVPNの概要説明
• 2段落目(14ページ[冗長化ルーティングの検討])
  冗長化ルーティングを実現する方法の検討と説明
• 3段落目(15ページ[拠点追加の場合のIPsecトンネル接続追加の検討])
  拠点を追加した場合に発生するIPsecの問題点と、その改善案であるNHRPの導入に関する検討

設問では、IP-VPNやインターネットVPN、GRE over IPsec、NHRP(Next Hop Resolution Protocol)などのWANに関連したネットワークプロトコルが取り上げられています。IP-VPNやIPsecなどは過去の問題でも何回か取り上げられている出題頻度の高い技術であるため、知識のある方には取り組みやすいでしょう。また、見かける機会が少ないプロトコルであるNHRPが取り上げられていますが、設問を確認するとNHRPそのものの知識を問う問題は出題されていません。そのため、NHRPの仕組みや仕様に詳しくなくても十分に回答できると思われます。

それでは、設問1～4を解説していきましょう。

設問1

用語に関する穴埋め問題です。これまでと同様に、穴埋め箇所の前後にある文脈から知識を活用する、もしくは推測することで解答します。(ア)はIP-VPNにおいて通信事業者側で利用される技術であることや、(ア)の前後にある【PE(Provider Edge)ルータで短い固定長のタグ情報が付与される】の一文から解答を導き出すことができます。(イ)はこの技術の仕様からもわかりますが、【PEルータで～タグ情報が付与される】ことと【対抗側の(イ)で取り除かれる】ことから推測することも可能です。(ウ)は【IPsec】と【OSI基本参照モデル】から解答が導き出せます。(エ)と(オ)は知識を活用する設問ではないため、問題文から条件を見つけ出す必要があります。設問に関連する条件は13ページ上段に記述があるので、その内容に準じて解答します(図1)。

図1：拠点間通信の優先度についての記述(13ページ上段から抜粋)

以上より、解答例は(ア)がラベル、(イ)がPEルータ、(ウ)がネットワーク、(エ)がIP-VPN、(オ)がインターネットVPNとなります。

設問2

(1)の解説と回答例

IP-VPNサービス提供のために通信事業者側で利用されるパケット転送技術に関する問題です。下線①や設問1の(ア)などの情報を活用します。解答は「MPLS」です。MPLS(Multiprotocol Label Switching)はRFC3031で規定されていますが、RFCに関する知識がなくても、前後の「IP-VPNを実現するために用いられる」との記述から推測して解答することは十分に可能だと思われます。

(2)の解説と回答例

MPLSでタグ情報を利用する目的に関する問題です。まずMPLSの基本的な仕組みについて確認します。

MPLSでは、利用者の拠点にあるCEルータから送信されたパケットへ、通信事業者側に設置されたPEルータで4バイトのタグを付与します。そして付与したタグを参照して、通信事業者内のPEルータ間でルーティングが行われます。最後に、宛先となる利用者の拠点の対向に接続されたPEルータでタグが除去され、利用者の拠点のCEルータへとパケットが流れていきます。

タグにはラベルと呼ばれる20ビットのフィールドがあり、PEルータではこの値を参照してPEルータ間のルーティングを実現します。ラベルの値はPEルータでタグが付与される際に設定されます。そして、通信事業者内のPEルータではラベルの値を参照し、必要に応じて書き換えを行い、対向となるPEルータまでルーティングが行われます。MPLSではIPアドレスではなくラベルを参照してルーティングすることから、異なる利用者が同じプライベートIPアドレスを利用していた場合でも、通信事業者内のネットワークでは問題なく通信を中継処理することが可能となります(図2)。

図2：MPLSの動作イメージ

設問では【利用者トラフィック中継処理において, タグ情報を利用する目的】について書くことが求められています。タグ情報を利用者の通信に付与する目的は先ほど確認したとおり、異なる利用者が同じプライベートIPアドレスを利用していた場合でも、異なる利用者間のトラフィックをタグ情報で区別してルーティングできるためでした。従って、解答例は「利用者ごとのトラフィックを区別するため」となります。

なお、MPLSではタグの情報でルーティングできるので、IPアドレスを用いたルーティングよりも高速に処理できるメリットがあります。そのため「PEルータ間のルーティングを高速に処理できるため」といった解答でも誤りではありませんが、このメリットは解答例よりも小さなものになるため、解答例に準じた解答を書くことが望ましいと思われます。

設問3

(1)の解説と回答例

GRE over IPsecを利用する目的に関する問題です。GRE(Generic Routing Encapsulation)はネットワーク層のプロトコルをカプセル化して送信するL3レベルの技術です。GREを利用すると新しいIPヘッダが付与されるため、オリジナルのIPヘッダでは通信が通らない状況(プライベートIPアドレスを用いた拠点間の通信をインターネット経由でやり取りしたい、など)において利用されます。しかし、GREは標準で通信を暗号化する仕組みを持たないため、GREでカプセル化した通信をIPsecで暗号化・改ざん対策を行い、安全にやり取りできるGRE over IPsecという仕組みが広く利用されています(図3)。

図3：GRE over IPsecのパケットフォーマット

GRE over IPsecを利用する主な目的として、IPsecでマルチキャスト通信を通すことが挙げられます。IPsecは仕様上、宛先IPアドレスがマルチキャストアドレスやブロードキャストアドレスの場合、対向となる機器に通信を通すことができません。しかし、これらの通信はGREを用いてカプセル化することで、ユニキャスト通信のIPヘッダを付与することができます。ユニキャスト通信であればIPsecでカプセル化できるため、結果的にマルチキャストアドレスやブロードキャストアドレスの通信を通すことが可能となります。

問題文からは、各拠点の通信にはIPsecを利用しており、また各拠点のルーティングにはOSPFを利用していることが読み取れます(図4)。OSPFは宛先IPアドレスとしてマルチキャストアドレス(224.0.0.5や224.0.0.6)を利用します。従って、解答例は「OSPFのマルチキャスト通信を通すため」となります。

図4：D社のルーティング方式における要件(14ページ下段から抜粋)

(2)の解説と回答例

CEルータが受信する経路情報についての問題です。下線部④の周辺の記述から、CEルータはPEルータとBGP4を用いて経路情報を交換していること、CEルータは自拠点の経路情報をPEルータに広告していることが読み取れます。これらのことから、各拠点のCEルータはBGP4を用いて他拠点のCEルータへの経路情報を受け取っていると考えられます。従って、解答例は「ほかの拠点への経路情報」となります。なお、IP-VPN内ではMPLSを用いてルーティングされるため、IP-VPN内の経路情報が各拠点のCEルータに流れることはありません。

図5：CEルータの経路情報に関する記述(14ページ下段から抜粋)

(3)の解説と回答例

経路選択に関する問題です。これまでの設問から、各拠点のL3スイッチはIP-VPNとインターネットVPNを経由して通信を中継できることが確認できました。この設問では条件として【同一宛先への異なる経路情報から, 適切な経路を選択する】とあるので、その選択方法について考えます。

まず、経路選択の優先度です。設問1でも確認したように、通常時はIP-VPNを用い、IP-VPNの障害時にはインターネットVPNを利用する方針でした(図1)。そして、［冗長化ルーティングの検討］の段落からIP-VPNではルーティングプロトコルにBGP4を、インターネットVPNではOSPFをそれぞれ利用することが読み取れました。そのためL3SWで経路の優先度を決定する際には、IP-VPNで利用されているルーティングプロトコルであるBGP4の経路情報を優先的に選択すればよいことがわかります。従って、解答例は「BGP4から得られた経路を優先する。」です。

設問4

(1)の解説と回答例

IPsecのフルメッシュ構成に関する問題です。下線部⑥にある通り、拠点が追加された場合にIPsecトンネルの設定を手動で追加することが望ましくない理由を考えます。フルメッシュ構成とは、各拠点が直接通信するための経路が確保されている構成を指します。これに対して、各拠点が直接通信するための経路が部分的に確保されている構成をパーシャルメッシュ構成、中心となる拠点とそれ以外の拠点を結ぶ経路のみを確保する構成をハブアンドスポーク構成と呼びます(図6)。

図6：フルメッシュ構成などのイメージ

IPsecトンネルを利用する場合、その機器と対向となる機器の双方に設定が必要となります。そのためIPsecでフルメッシュ構成を実現するには、拠点を追加するたびにその拠点のL3SWの設定に加え、既存の拠点に設置された全てのL3SWの設定の変更が必要となります。従って、解答例は「新拠点追加のときに全拠点の設定変更が必要になるから。」となります。

(2)の解説と回答例

NHRPで得られる情報に関する問題です。まず、15ページ上段から自動トンネル機能ではFWを利用することが読み取れます。次に、15ページ中段からNHRPで得られる具体的な情報が読み取れます。最後に、下線部⑦の周辺から、名古屋支店から大阪支店内のサーバと通信する際に、名古屋支店のFW3がNHRPで得るべき情報を考えればよいことがわかります(図7)。

図7：NHRPの利用に関する記述(15ページ上段と中段より抜粋)

名古屋支店のFW3が得るべき情報は大阪支店のFW2の情報です。従って、解答例は「大阪支店のFW2のグローバルIPアドレス」となります。

設問の条件には【25字以内】とあり、文字数に比較的余裕があります。そのため、単にFW2のIPアドレスと記述するよりも、IPsecトンネルを確立するために必要な情報であるグローバルIPアドレス(インターネット側に割り当てられたIPアドレス)と具体的に記述することが望ましいでしょう。

(3)の解説と回答例

IPsecの自動トンネル機能を利用する際に必要となる、OSPFに追加すべき設定内容を考える問題です。問題文から、「OSPFとIPsecの自動トンネル機能を組み合わせて利用する場合に、スポークとなる機器がOSPFの代表ルータに選出されてしまうとスポーク拠点間のIPsecトンネルが解放されなくなってしまう」という内容が読み取れます(図8)。

図8：自動トンネル機能についての留意点(15ページ下段より抜粋)

そのため、スポーク拠点のFWがOSPFの代表ルータとして選ばれない設定を考えることが解答となります。15ページ中段に【本社をハブ拠点, 支店の2拠点をスポーク拠点とする】と記述されているため、スポーク拠点のFWは大阪支店のFW2と名古屋支店のFW3となります。

また、OSPFの代表ルータ(Designated Router)は、プライオリティと呼ばれる値が他のルータよりも高い場合に選出されます。そのため、代表ルータとして選ばせたくないスポーク拠点のFWは、OSPFのプライオリティを小さくすればよいと考えられます。なお、プライオリティのデフォルト値は1であり、プライオリティを0にした場合は代表ルータにもバックアップ代表ルータ(Backup Designated Router)にも選ばれなくなります。従って、解答例は、追加設定が必要な機器は「FW2，FW3」、追加すべきOSPFの設定は「OSPFのプライオリティを0に設定する。」となります。赤線部分を「OSPFのプライオリティを0にした場合の仕様を知識として求められるため、やや難易度が高い設問だと考えられます。

おわりに

今回は平成30年度午後Ⅰ問題の最後の問である、問3について解説しました。次回は、平成30年度午後Ⅱ問題の中でもSDN(Software Defined Network)を扱った問2について、第5回と第6回の2回に分けて取り上げます。