IP-VPN(MPLS・ラベル・PEルータ)、IPsec【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3-1】

ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3-1

問3 企業内ネットワーク再構築に関する次の記述を読んで、設問1~4に答えよ。

 D社は、東京の本社、名古屋支店及び大阪支店の3拠点にオフィスを構える出版会社である。D社の社内ネットワークは、3拠点をそれぞれ専用線で結ぶWANと、拠点内LANで構成されている。各拠点内の業務にはそれぞれ拠点内の業務サーバを使用し、全社的な業務には本社の業務サーバを使用している。また、各拠点では本社のプロキシサーバを経由してインターネットを利用している。D社の現行ネットワーク構成を図1に示す。

f:id:aolaniengineer:20200724044833p:plain

 D社では、拠点間で利用しているルータの更改時期を迎えたことから、将来を見据えてWAN構成を見直すことになり、情報システム部のEさんが検討することになった。

【WAN構成の検討

(1)WAN構成の見直し方針案

 Eさんは、WAN構成の見直しについてコストも含めて検討し、次の方針案を立てた。

・IP-VPNを利用して3拠点間を接続する。

・IP-VPNへのアクセス回線は、安価なイーサネット回線サービスを利用する。

・通常時は拠点間通信にIP-VPNを用いるが、IP-VPNの障害時にはインターネットVPNをバックアップ回線として用いる。

・インターネットVPNは、FWに備わるIPsec方式のVPN機能を用いる。

・名古屋支店と大阪支店には、インターネットVPN専用のインターネット回線を敷設し、FWを設置する。

・各拠点からのインターネットアクセスには、これまでと同様に本社のプロキシサーバ経由で行う。

(2)IP-VPN及びIPsecの概要

 Eさんは、方針案のIP-VPN及びIPsecについて調査し、その結果を次のようにまとめた。

(ⅰ)IP-VPN

・IP-VPNは、通信事業者が運営する閉域IPネットワーク(以下、事業者閉域IP網という)を利用者のトラフィック交換に提供するサービスである。

・IP-VPNは、①事業者閉域IP網内で複数の利用者のトラフィックを中継するのに、RFC3031で規定された方式が用いられる。

①について、IP-VPNサービス提供のために事業者閉域IP網内で用いられるパケット転送技術を答えよ。:MPLS

 IP-VPNについて簡単に整理すると以下のようになります。

  • 通信事業者のIP閉域網を経由して拠点間をVPN接続するもの
  • 専用線より低コストでの構築・運用が可能。ただし、回線を複数ユーザで共有するため、通信速度の保証などは行われない場合が多い
  • インターネットを利用するインターネットVPNよりセキュリティや品質面で優位
  • IP-VPNで用いられるパケット転送技術は、「MPLSMulti Protocol Label Switching」で、RFC3031で規定されている。
  • IP-VPNで利用者のネットワークに設置され、事業者閉域IP網との接続点になる機器をCE(Customer Edge)ルータという。
  • IP-VPNで事業者閉域IP網に設置され、利用者ネットワークとの接続点になる機器をPE(Provider Edge)ルータという。PEルータでMPLSで使用するラベルの付与、除去を行う。
  • IP-VPNで事業者閉域IP網内で複数の利用者を識別するため、PEルータで付与、除去される短い固定長のタグ情報をラベルという。
  • 接続構成は「企業内LANーCEルータ(企業側)ーPEルータ(事業者側)ー事業者回線網」

・利用者のネットワークと事業者閉域IP網との接続点において、利用者が設置するCE(Customer Edge)ルータから送られたパケットは、通信事業者のPE(Provider Edge)ルータで(ア:ラベル)と呼ばれる短い固定長のタグ情報が付与される。

ア:ラベル

上の説明より、PEルータで付与する短い固定長のタグ情報はラベルです。

・事業者閉域IP網内では、②タグ情報を参照して中継され、(ア:ラベル)は対向側の(イ:PEルータ)で取り除かれる。

②について、事業者閉域IP網内の利用者トラフィック中継処理において、タグ情報を利用する目的を、25字以内で述べよ。:利用者ごとのトラフィックを区別するため。

 すぐに正解が思い浮かぶので逆に不安になってしまいますが、このような問題は多いですよね。

 25字という文字数だとキーワードは2〜3個程度を想定します。ここで外せないのは「複数の利用者」「区別」でしょうか。

 本文では「IP-VPNは、通信事業者が運営する事業者閉域IP網を利用者のトラフィック交換に提供するサービスである」とありますので「トラフィック」もあった方がいいですね。

 これらを組み合わせて正解を導くのは、実際に何問も解いて慣れていくしかないですね。

イ:PEルータ

上の説明より、ラベルを付与したり取り除いたりするのはPEルータです。

(ⅱ)IPsec

・IPsecは、暗号技術を利用してノード間通信を行うためのプロトコルであり、IPパケット通信の完全性・機密性を確保する。

・IPsecは、OSI基本参照モデルの(ウ:ネットワーク)レイヤで動作する。

ウ:ネットワーク

 IPsec(IP Security Protocol)の詳細まで理解できていなくても、IPとあるのでネットワークレイヤと分かります。

・3拠点間には、バックアップ回線として3本のIPsecトンネルが必要である。

 これらの検討を基に、Eさんが考えたD社のネットワーク構成を、図2に示す。

f:id:aolaniengineer:20200724045407p:plain

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_2/2018h30a_nw_pm1_qs.pdf

Follow me!