SDNにおけるTCPコネクション確立の通信フロー【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問2】

ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問2

問1 SDNとクラウドの活用に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200704172200p:plain

(略)

・OFSは、IPアドレス、MACアドレスなどのパケット識別子(Match Field、以下、MFという)を使ったパケット識別条件と、識別されたパケットの処理(以下、Actionという)の組合せ(以下、エントリという)を、OFS内の管理テーブルで管理する。

(略)

f:id:aolaniengineer:20200704172254p:plain

(略)

【新工場LANの運用の調査】

 新工場LANの運用について、ベンダからは次のような提案があった。

・OFSを使って、図1中の工場の外部NW、DMZ、内部NWに対応した、仮想的なレイヤ2ネットワーク(以下、仮想NWという)を構成する。

・仮想NW間の通信は、新FWを経由させる。新FWとOFSはトランク接続し、仮想NWに対応したVLAN IDを定義する。

・現行FWのフィルタリング機能とNAT機能を、新FWに移行する。

 機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される場合の、新工場LANの論理構成と通信シーケンス例を、図4に示す。

f:id:aolaniengineer:20200705100337p:plain

 図4中の⑤のパケットヘッダは、転送する複数の装置によってそれぞれ書き換えられる。図4中のパケット⑥、⑬〜⑯のヘッダ情報を、表3に示す。

f:id:aolaniengineer:20200705100600p:plain

図4は、「機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される」場合の通信シーケンスとのことで、具体的には、RT1→新FW→LB→Web-A1のパケットの流れになることを念頭において、それぞれを確認していきます。

まず、①〜④(外部NWにおけるARPシーケンス)で、RT1が新FWのIPアドレスのARPリクエストを行い、MACアドレスを取得します。

⑤〜⑥で、RT1が新FWにSYNパケットを転送します。

次に、⑦〜⑫(DMZにおけるARPシーケンス(1))で、新FWがLBのIPアドレスのARPリクエストを行い、MACアドレスを取得します。

⑬〜⑭で、新FWがLBにSYNパケットを転送します。

そして、⑮の前(DMZにおけるARPシーケンス(2))で、LBがWeb-A1のIPアドレスのARPリクエストを行い、MACアドレスを取得して、⑮〜⑯で、LBがWeb-A1にSYNパケットを転送することになります。

け:v2、さ:m2

⑬は、新FWがSYNパケットをOFS1に転送するものです。

したがって、VLAN IDはv2、宛先MACアドレスはLBのm2になります。

こ:なし

⑭は、OFS1がSYNパケットをLBに転送するものです。

したがって、VLAN IDは「なし」になります。

し:m3、す:i4

⑮、⑯は、LBがWeb-A1にSYNパケットを転送するものです。

したがって、宛先MACアドレスはm3、宛先IPアドレスはi4になります。

 図4中の通信シーケンスに関する、OFCとOFSの動作を、次に示す。

・OFCには、次のような仮想NWの構成に関する構成情報が登録されている。

-OFS1の外部NWの構成要素:p1、p7(v1)

-OFS1のDMZの構成要素:p4、p5、p6、p7(v2)

(ⅰ)ブロードキャスト通信に関するPacket-Inメッセージを受信したとき、OFCは、これらの構成情報を基に、OFSにPacket-Outメッセージを使った指示を行う

(ⅰ)のPacket-Outメッセージによって送出されたパケットを、図4中の①〜⑯から選び、①〜⑯の記号で全て答えよ。:②、⑧、⑨、⑩

ブロードキャスト通信に関するPacket-inメッセージということは、図4中の通信シーケンスでは、ARP Requestパケットが該当します。

したがって、ARP Requestパケットを受信したOFCが、OFSに送信するPacket-outメッセージによるARP Replyパケット②⑧⑨⑩が該当することなります。

-OFCは、ARPを利用して、ユニキャスト通信に対応したエントリをOFSに登録させる。そのために、図4中の通信シーケンスが始まる前に、(ⅱ)OFCは、ARP RequestとARP ReplyをOFCに通知するためのエントリを、OFS1に登録させる

(ⅱ)について、エントリに含まれるパケット識別条件を、表2中のMFを用いて、30字以内で述べよ。:ETH_TYPEがARPのイーサネットタイプに等しい。

ARP RequestとARP Replyのパケット識別条件が問われています。

表2中のMFでARPに関連するものを探すと、ETH_TYPE(イーサネットタイプ)が該当します。

イーサネットタイプは上位層のプロトコルを識別するための16進数の番号で、例えば、「0800」はIP、「0806」はARPとなります。

したがって、ARPパケットを識別するのに、ETH_TYPE(イーサネットタイプ)を利用すれば良さそうです。

(ⅲ)図4では、二つのユニキャスト通信について、エントリ登録の通信シーケンスがそれぞれ示されている。Flow-Mod(1)によって登録されるエントリを表4に、Flow-Mod(2)によって登録されるエントリを表5に、それぞれ示す。

f:id:aolaniengineer:20200705101502p:plain

f:id:aolaniengineer:20200705101528p:plain

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf

(ⅲ)について、表4のエントリに対応するユニキャスト通信を、20字以内で答えよ。:外部NW内のRT-1と新FWの通信

Flow-Mod(1) は、図4中のRT1から新FWへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1ではRT1、新FWの外部NWのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。

そして、表4のエントリ1、2は、それぞれRT-1から新FWへの通信、新FWからRT-1への通信を示しています。

したがって、表4のエントリに対応するユニキャスト通信は、外部NWのRT-1と新FWの通信を示しています。

せ:p6、そ:なし、た:m1、ち:m2

Flow-Mod(2) は、図4中の新FWからLBへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1では新FW、LBのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。

そして、表5のエントリ2は、新FWからLBへの通信を示していることが分かります。

したがって、エントリ1は、LBから新FWへの通信を示すものになります。

表5中のエントリ1のActionを答えよ:Push-VLAN、Set-Field VLAN_VID=v2、Output(p7)

LBから新FWへの通信を示すActionですので、VLAN IDとしてv2をセットし、ポートp7から出力することを示せば良いことになります。

Follow me!