SDNにおけるTCPコネクション確立の通信フロー【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 No.3】

ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 No.3

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1(一部、加工あり)】

【新工場LANの運用の調査】
 新工場LANの運用について、ベンダからは次のような提案があった。

  • OFSを使って、図1中の工場の外部NW、DMZ、内部NWに対応した、仮想的なレイヤ2ネットワーク(以下、仮想NWという)を構成する。
  • 仮想NW間の通信は、新FWを経由させる。新FWとOFSはトランク接続し、仮想NWに対応したVLAN IDを定義する。
  • 現行FWのフィルタリング機能とNAT機能を、新FWに移行する。

 機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される場合の、新工場LANの論理構成と通信シーケンス例を、図4に示す。


 図4中の⑤のパケットヘッダは、転送する複数の装置によってそれぞれ書き換えられる。図4中のパケット⑥、⑬〜⑯のヘッダ情報を、表3に示す。


 図4中の通信シーケンスに関する、OFCとOFSの動作を、次に示す。

  • OFCには、次のような仮想NWの構成に関する構成情報が登録されている。
    -OFS1の外部NWの構成要素:p1、p7(v1)
    -OFS1のDMZの構成要素:p4、p5、p6、p7(v2)
    (ⅰ)ブロードキャスト通信に関するPacket-Inメッセージを受信したとき、OFCは、これらの構成情報を基に、OFSにPacket-Outメッセージを使った指示を行う
  • OFCは、ARPを利用して、ユニキャスト通信に対応したエントリをOFSに登録させる。そのために、図4中の通信シーケンスが始まる前に、(ⅱ)OFCは、ARP RequestとARP ReplyをOFCに通知するためのエントリを、OFS1に登録させる
  • ⅲ)図4では、二つのユニキャスト通信について、エントリ登録の通信シーケンスがそれぞれ示されている。Flow-Mod(1)によって登録されるエントリを表4に、Flow-Mod(2)によって登録されるエントリを表5に、それぞれ示す。

け:v2、さ:m2

 図4は、「機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される」場合の通信シーケンスとのことで、具体的には、RT1→新FW→LB→Web-A1のパケットの流れになることを念頭において、それぞれを確認していきます。
 まず、①〜④(外部NWにおけるARPシーケンス)で、RT1が新FWのIPアドレスのARPリクエストを行い、MACアドレスを取得します。
 ⑤〜⑥で、RT1が新FWにSYNパケットを転送します。
 次に、⑦〜⑫(DMZにおけるARPシーケンス(1))で、新FWがLBのIPアドレスのARPリクエストを行い、MACアドレスを取得します。
 ⑬〜⑭で、新FWがLBにSYNパケットを転送します。
 そして、⑮の前(DMZにおけるARPシーケンス(2))で、LBがWeb-A1のIPアドレスのARPリクエストを行い、MACアドレスを取得して、⑮〜⑯で、LBがWeb-A1にSYNパケットを転送することになります。
 ⑬は、新FWがSYNパケットをOFS1に転送するものです。
 したがって、VLAN IDはv2、宛先MACアドレスはLBのm2になります。

こ:なし

 ⑭は、OFS1がSYNパケットをLBに転送するものです。
 したがって、VLAN IDは「なし」になります。

し:m3、す:i4

 ⑮、⑯は、LBがWeb-A1にSYNパケットを転送するものです。
 したがって、宛先MACアドレスはm3、宛先IPアドレスはi4になります。

(ⅰ)のPacket-Outメッセージによって送出されたパケットを、図4中の①〜⑯から選び、①〜⑯の記号で全て答えよ。:②、⑧、⑨、⑩

 ブロードキャスト通信に関するPacket-inメッセージということは、図4中の通信シーケンスでは、ARP Requestパケットが該当します。
 したがって、ARP Requestパケットを受信したOFCが、OFSに送信するPacket-outメッセージによるARP Replyパケット②⑧⑨⑩が該当することなります。

(ⅱ)について、エントリに含まれるパケット識別条件を、表2中のMFを用いて、30字以内で述べよ。:ETH_TYPEがARPのイーサネットタイプに等しい。

 ARP RequestとARP Replyのパケット識別条件が問われています。
 表2中のMFでARPに関連するものを探すと、ETH_TYPE(イーサネットタイプ)が該当します。
 イーサネットタイプは上位層のプロトコルを識別するための16進数の番号で、例えば、「0800」はIP、「0806」はARPとなります。
 したがって、ARPパケットを識別するのに、ETH_TYPE(イーサネットタイプ)を利用すれば良さそうです。

(ⅲ)について、表4のエントリに対応するユニキャスト通信を、20字以内で答えよ。:外部NW内のRT-1と新FWの通信

 Flow-Mod(1) は、図4中のRT1から新FWへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1ではRT1、新FWの外部NWのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。
 そして、表4のエントリ1、2は、それぞれRT-1から新FWへの通信、新FWからRT-1への通信を示しています。
 したがって、表4のエントリに対応するユニキャスト通信は、外部NWのRT-1と新FWの通信を示しています。

せ:p6、そ:なし、た:m1、ち:m2

 Flow-Mod(2) は、図4中の新FWからLBへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1では新FW、LBのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。
 そして、表5のエントリ2は、新FWからLBへの通信を示していることが分かります。
 したがって、エントリ1は、LBから新FWへの通信を示すものになります。

表5中のエントリ1のActionを答えよ:Push-VLAN、Set-Field VLAN_VID=v2、Output(p7)

 LBから新FWへの通信を示すActionですので、VLAN IDとしてv2をセットし、ポートp7から出力することを示せば良いことになります。