平成30年度の午後Ⅱ問題対策②-問2【後半】

2019年10月9日(水)
加藤 裕

はじめに

最終回となる今回は、平成30年度午後Ⅱ問題 問2の後半部分である、設問4と設問5を解説します。問2の前半部分(概要や設問1~3の解説)はこちらで解説しているので、まだ前半部分を読んでいない方はまずこちらから読み進めてください。

設問4

(1)の解説と回答例

従来方式における顧客ごとの仮想FWの設定内容を考察する問題です。FWの一部の設定内容については設問2(1)で確認しましたが、この設問ではネットワークに関連する情報を3つ挙げる必要があります。

まず、一般的にファイアウォールではフィルタリング機能と同時にルーティング機能も提供するため、仮想FWにはIPアドレスやルーティングテーブルの設定が必要となります。また、設問2(3)で確認しましたが、このサービス基盤ではVLANを用いて顧客間のネットワークを論理的に分離していました。そのため、仮想FWにはそれぞれの顧客が利用するVLANの設定も必要になります。

以上より、解答例は「仮想FWのIPアドレス」「ルーティング情報」「仮想FWのVLAN」となります。なお、IPAの解答例では、これ以外にも「フィルタリングルール」「仮想FWのサブネットマスク」「仮想FWの仮想MACアドレス」が挙げられています。

(2)の解説と回答例

従来方式でVLANを追加する際に、ポートVLANを設定する箇所を指摘する問題です。VLANに関する通信の流れは設問2(3)でも確認しましたが、Y社のサービス基盤において顧客ごとのVLAN-IDが設定され、そのVLAN-IDに基づいて物理サーバ内の仮想サーバに通信を届ける処理が行われます。そこで、この通信の流れにおいてポートVLANが利用される個所を15ページの図2を参照しながら見つけます。

最初に、顧客からの通信はデータセンタ内のL2SWもしくはL3SWを経由してサービス基盤内のL2SWa/L2SWbに流れます。L2SWa/L2SWbでは通信が流れてくるポートで顧客を判断し、ポートVLANを用いて予め顧客ごとに割り当てたVLAN-IDを設定します。そしてFWa/FWbに対して、タグVLANを用いて全ての顧客の通信を流します。タグVLANを用いた通信は設問2(3)でも考えた通り、FWa/FWb、LBa/LBb、L2SWc/L2SWdを通り、物理サーバ内の仮想L2SWまで続きます。最後に、仮想L2SW内でタグが解釈されて顧客ごとに用意された仮想サーバに届きます(図1)。

図1:サービス基盤におけるVLANの設定

このように、サービス基盤内の全てのネットワーク機器及びサーバでVLANの設定が必要になりますが、ポートVLANが必要な機器はL2SWa/L2SWbです。設問には【ポートVLANを設定する箇所を,図2中の名称を用いて】とあるので、その条件を満たすように【L2SWa】と【L2SWb】を用いて解答を組み立てます。以上より、解答例は「顧客のL2SW又はL3SWに接続する、L2SWa及びL2SWbのポート」となります。

設問5

(1)の解説と回答例

19ページの図4における仮想サーバの配置上の問題点を考察する問題です。設問の前半部分にある【図4の形態で3顧客の仮想サーバを配置した場合に発生する可能性がある問題】と、後半部分にある【その問題を発生させないための仮想サーバの配置】をそれぞれ考える必要があります。考え方によっては解答の候補をいくつも挙げられるため、まずは求められている解答の方向性を読み取ります。設問の前半部分と後半部分をまとめると、『この仮想サーバの配置では発生する可能性があるが、仮想サーバの配置を変えることで解消できる問題』となるため、この問題に絞って解答を考えれば良いと読み取れます。

まずは、SDN方式である19ページの図4における通信の流れを考えてみます。14ページの図1で確認できますが、Y社データセンタ内において顧客からの通信は『ルータ(L3スイッチ)‐FW‐LB‐L2SW‐各種サーバ』と流れていきます。この流れをSDN方式に当てはめると、『ルータ(L3スイッチ)‐OFS‐物理サーバ3(FW‐LB)‐OFS‐物理サーバ1/2(仮想L2SW‐各種仮想サーバ)』となります(図2)。

図2:SDN方式における通信の流れのイメージ

この通信の流れと仮想サーバの配置を意識して、3顧客に問題が発生する状況を考えると『FWやLBが物理サーバ3に集中しているため、物理サーバ3がダウンすると3顧客の通信が全て停止する』問題があることが分かります。そして、この問題の発生を防ぐ方法を仮想サーバの配置の観点で考えると、『それぞれの顧客が利用する仮想サーバを、異なる物理サーバに格納する』ことなどが挙げられます。

一例として、顧客1社ごとに物理サーバ1つを用意して仮想サーバを配置した構成を考えてみます(図3)。この場合、物理サーバ3がダウンした場合は顧客Z社の通信には問題が発生しますが、他の顧客(P社とQ社)の通信には問題が発生しません。従って、発生する可能性がある問題の解答例は「物理サーバ3の障害により,3顧客のシステムが同時に停止してしまう。」、仮想サーバの配置の解答例は「3顧客向けの仮想サーバを,それぞれ異なった物理サーバに配置する。」となります。

図3:(配置上の)問題を発生させない仮想サーバの配置イメージ(一例)

(2)の解説と回答例

OFSでFエントリが生成されなくても、FWpからLBpへ問題なくパケット転送が処理される理由を考察する問題です。まず、OFSのFエントリの役割を確認します。OFSにおけるFエントリを利用した通信処理の説明は20ページの中段にあります(図4)。ここに記述されている通り、OFSにパケットが入力されてもFエントリのどのマッチング条件にも一致しない場合、そのパケットは廃棄されます。しかし、設問には【当該FエントリがなくてもFWpとLBp間の通信が行われる】とあります。すなわち、FWpからLBpへの通信にはOFSを利用していないことがわかります。なお、LBpの仮想IPアドレスの説明は16ページ中段にあり、LBの利用者側のポートに割り当てられたIPアドレスを指しています。

図4:OFSにおけるFエントリの役割

次に、FWp‐LBp間の通信について具体的に考えてみます。SDN方式におけるシステム構成図は19ページの図4にありますが、FWpとLBpにはVLAN-IDが100、110、120に割り振られています。14ページの図1や21ページの表4などの情報から、これらのVLANはFWpのWAN側のポートにはVLAN=100、FWpの内部側のポートとLBpの仮想IPアドレスを持つポートはVLAN-ID=110、LBpの仮想サーバ側のポートはVLAN-ID=120がそれぞれ割り当てられていると考えられます(図5)。

図5:FWpとLBpの接続関係(左:SDN方式の場合、右:既存構成の場合)

このように、FWpの内部側のポートとLBpの仮想IPアドレスを持つポートは同じVLAN-IDを利用しています。つまり、FWpとLBp間は同一セグメントであるため、FWpとLBp間の通信は物理サーバ3内の仮想L2SWで転送が可能です。従って、解答例は「FWpの内部側ポートとLBpの仮想IPアドレスをもつポートは,同一セグメントであり,物理サーバ3内で処理されるから」となります。

(3)の解説と回答例

OFSでパケットを転送する際に利用されるFテーブルの情報を指摘する問題です。最初にFテーブルの役割や構成、利用する際のルールについて確認が必要ですが、これは図4で確認済みです。次に、転送処理の対象となる通信について確認します。この通信は設問に記述されている通り、【P社のWebサーバ利用者から送信された,Webサーバ宛てのユニキャストパケットがWebサーバp1に転送される】通信です。そこで、この通信に対する【パケット転送処理手順】を5つに分けて確認してみます。

1. ルータ→L2SW→OFSのパケット転送

P社Webサーバ利用者から送信されたWebサーバ宛てのユニキャストパケットは、Y社データセンタ内のルータに届きルーティングが行われます。設問4(1)で確認しましたが、FWではルーティング機能が動作しているため、ルータのネクストホップはFWpとなります。すなわち、宛先MACアドレスにはFWpのWAN側のMACアドレス(mFWpw)が指定されて中継されます(図6)。

図6:ルータ→L2SW→OSFのパケット転送

なお、FWpのMACアドレスはルータがARPを用いて取得しますが、ARPはOSFのFテーブル0中の項番1→Fテーブル1中の項番1の流れで処理されます。Fテーブル1中の項番1のアクションにあるPacket-Inメッセージでの具体的な処理内容は記述されていませんが、設問の解答とは直接の関係がないため踏み込んで考える必要はないでしょう。

2. OFS内でのパケット処理

ルータで中継されたパケットはp1ポートを経由してOFSに入力されるため、OSPFではまずFテーブル0中の項番1が選択されます。また、このパケットは宛先MACアドレスがmFWpwであることから、次にFテーブル1中の項番2が選択されます(図7)。

図7:ルータから送信されたパケットの処理(21ページの表4と表5から抜粋)

3. OFS→FWp→LBp→OFSのパケット転送

OFSは、Webサーバ宛てのパケットにVLAN-ID=100のタグをセットしてp13ポートから出力します。物理サーバ3の仮想L2SWはこのパケットに含まれるVLAN-ID=100のタグを解釈し、タグを外してFWpのaのポートに出力します。FWpではこのWebサーバ宛てのパケットをルーティングして、宛先MACアドレスをmLBpwとしてbのポートから出力します。LBpはこのパケットをbのポートから受け取ると、負荷分散アルゴリズムに基づき振り分け先となるWebサーバを決定します(今回は設問の条件からWebサーバp1が選択されています)。そして、宛先IPアドレスをWebサーバp1、宛先MACアドレスをmWSp1としたパケットをLBpのcポートから仮想L2SWに出力します(mWSp1の情報はARPで取得済みとします)。最後に、仮想L2SWでVLAN-ID120のタグをセットして、OFSのp13ポートに出力します(図8)。

図8:OFS→FWp→LBp→OFSのパケット転送(①から⑤は通信の流れる順番を示す)

4. OFS内でのパケット処理

物理サーバ3の仮想L2SWから送信されたパケットはp13ポートを経由してOFSに入力されるため、OFSではまずFテーブル0中の項番6が選択されます。また、このパケットは宛先MACアドレスがmWSp1、送信元MACアドレスがmLBpであるため、Fテーブル4中の項番6が選択されます(図9)。

図9:物理サーバ3内の仮想L2SWから送信されたパケットの処理(21ページの表4と22ページの表8から抜粋)

5. OFS→Webサーバp1のパケット転送

OFSは、Webサーバp1宛てのパケットにVLAN-ID=120のタグをセットしたままp11ポートから出力します。物理サーバ1の仮想L2SWはこのパケットに含まれるVLAN-ID=120のタグを解釈し、タグを外してWebサーバp1のcのポートに出力します(図10)。

図10:OFS→Webサーバp1のパケット転送(①から②は通信の流れる順番を示す)

以上より、解答例は(オ)が「Fテーブル1中の項番2」、(カ)が「Fテーブル0中の項番6」、(キ)が「Fテーブル4中の項番6」となります。

(4)の解説と回答例

SDN方式で仮想サーバを移動させた場合に、Fテーブルに更新が必要となる情報を考察する問題です。設問に関連する仕組みは23ページ上段に例示されています(図11)。ここでは、OFSがPacket-Inのアクションを行う際にはFエントリのマッチング条件に合致したパケットを添付してOFCに送信することや、OFCでは(Packet-Inメッセージに)添付されたパケットの内容に基づいてFlow-ModメッセージでFエントリを生成する、もしくはPacket-Outメッセージを用いてパケットの出力先を直接指示することが記述されています。

図11:Packet-Inメッセージを用いた通信の処理(23ページ上段から抜粋)

そこで、【P社のWebサーバp4が物理サーバ2に移動】した場合について考えます。まず、設問には【表7のOFS1のFテーブル3中の項番5】がマッチングすると記述されています。22ページの表7注記には【項番5は,仮想サーバが物理サーバ2に移動してきたことをOFCに知らせるためのFエントリである】と記述されていることから、『仮想サーバが物理サーバを移動した場合にはRARP(Reverse ARP)パケットを送信させることで、OFCに仮想サーバが移動したことを知らせている』と分かります。なお、RARPはRFC903で標準化されたプロトコルで、ARPと同じパケットフォーマットを持ちます。RARPは仮想Webサーバから自身のMACアドレスが埋め込まれた状態で送信され、OFSからPacket-Inメッセージを用いてOFCに引き渡されます。このような流れで、OFCはどの仮想サーバがどの物理サーバに移動したのかを認識していると推測されます。

次に、【表8のFテーブル4中の二つの項番を変更する】内容について考えます。Webサーバp4は物理サーバ1ではVLAN-ID=120を利用していました。従って、ARPパケットのやり取りを実現するためにも、Fテーブル4中の項番3のアクションを『p11とp12から出力』と変更する必要があります。また、Fテーブル4中の項番7にはWebサーバp4のMACアドレスのマッチング条件が含まれています。【p11から出力】するアクションのままではp12ポートの先の物理サーバ2に移動したWebサーバp4には届かないので、Fテーブル4中の項番7のアクションを『p12から出力』と変更する必要があります(図12)。設問の条件には【項番3のほかに】と挙げられているので、項番7とその変更内容が解答となります。

図12:Webサーバp4が物理サーバ2に移動した際に変更が必要となるFテーブル4のアクション2つ

最後に、【Fテーブル4が変更されるOFS名】を考えます。OFSは、WAN側のL2SW/L3SWや、物理サーバとリンクアグリゲーションを用いて接続されているため、アクティブ‐アクティブの通信となります。つまり、OFS1とOFS2の両方に対してFエントリの更新が必要となります。

以上より、解答例はOFS名が「OFS1,OFS2」、項番が「7」、変更後のアクションが「p12から出力」となります。

おわりに

本連載では、平成30年度の午前・午後問題について、6回にわたり解説してきました。試験では知識の他に、出題の意図をきちんと読み取ることも必要となります。試験実施日まではあまり時間がありませんが、ネットワークスペシャリストの市販参考書などで知識の再確認をする、過去問を解いて読解力を養うなど、できる範囲で試験に備えてください。本連載が、皆様のお力になれば幸いです。

NECマネジメントパートナー株式会社 人材開発サービス事業部
2001年日本電気株式会社入社。ネットワーク機器の販促部門を経て教育部門に所属。主にネットワーク領域の研修を担当している。インストラクターとして社内外の人材育成に努めているほか、研修の開発・改訂やメンテナンスも担当している。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています