SDNにおけるTCPコネクション確立の通信フロー【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 No.3】

ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 No.3

【出典：ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1（一部、加工あり）】

【新工場LANの運用の調査】
　新工場LANの運用について、ベンダからは次のような提案があった。

• OFSを使って、図1中の工場の外部NW、DMZ、内部NWに対応した、仮想的なレイヤ2ネットワーク（以下、仮想NWという）を構成する。
• 仮想NW間の通信は、新FWを経由させる。新FWとOFSはトランク接続し、仮想NWに対応したVLAN IDを定義する。
• 現行FWのフィルタリング機能とNAT機能を、新FWに移行する。

　機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される場合の、新工場LANの論理構成と通信シーケンス例を、図4に示す。

　図4中の⑤のパケットヘッダは、転送する複数の装置によってそれぞれ書き換えられる。図4中のパケット⑥、⑬〜⑯のヘッダ情報を、表3に示す。

　図4中の通信シーケンスに関する、OFCとOFSの動作を、次に示す。

• OFCには、次のような仮想NWの構成に関する構成情報が登録されている。
  -OFS1の外部NWの構成要素：p1、p7(v1)
  -OFS1のDMZの構成要素：p4、p5、p6、p7(v2)
  （ⅰ）ブロードキャスト通信に関するPacket-Inメッセージを受信したとき、OFCは、これらの構成情報を基に、OFSにPacket-Outメッセージを使った指示を行う。
• OFCは、ARPを利用して、ユニキャスト通信に対応したエントリをOFSに登録させる。そのために、図4中の通信シーケンスが始まる前に、（ⅱ）OFCは、ARP RequestとARP ReplyをOFCに通知するためのエントリを、OFS1に登録させる。
• （ⅲ）図4では、二つのユニキャスト通信について、エントリ登録の通信シーケンスがそれぞれ示されている。Flow-Mod（1）によって登録されるエントリを表4に、Flow-Mod（2）によって登録されるエントリを表5に、それぞれ示す。

け：v2、さ：m2

　図4は、「機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される」場合の通信シーケンスとのことで、具体的には、RT1→新FW→LB→Web-A1のパケットの流れになることを念頭において、それぞれを確認していきます。
　まず、①〜④（外部NWにおけるARPシーケンス）で、RT1が新FWのIPアドレスのARPリクエストを行い、MACアドレスを取得します。
　⑤〜⑥で、RT1が新FWにSYNパケットを転送します。
　次に、⑦〜⑫（DMZにおけるARPシーケンス（1））で、新FWがLBのIPアドレスのARPリクエストを行い、MACアドレスを取得します。
　⑬〜⑭で、新FWがLBにSYNパケットを転送します。
　そして、⑮の前（DMZにおけるARPシーケンス（2））で、LBがWeb-A1のIPアドレスのARPリクエストを行い、MACアドレスを取得して、⑮〜⑯で、LBがWeb-A1にSYNパケットを転送することになります。
　⑬は、新FWがSYNパケットをOFS1に転送するものです。
　したがって、VLAN IDはv2、宛先MACアドレスはLBのm2になります。

こ：なし

　⑭は、OFS1がSYNパケットをLBに転送するものです。
　したがって、VLAN IDは「なし」になります。

し：m3、す：i4

　⑮、⑯は、LBがWeb-A1にSYNパケットを転送するものです。
　したがって、宛先MACアドレスはm3、宛先IPアドレスはi4になります。

（ⅰ）のPacket-Outメッセージによって送出されたパケットを、図4中の①〜⑯から選び、①〜⑯の記号で全て答えよ。：②、⑧、⑨、⑩

　ブロードキャスト通信に関するPacket-inメッセージということは、図4中の通信シーケンスでは、ARP Requestパケットが該当します。
　したがって、ARP Requestパケットを受信したOFCが、OFSに送信するPacket-outメッセージによるARP Replyパケット②⑧⑨⑩が該当することなります。

（ⅱ）について、エントリに含まれるパケット識別条件を、表2中のMFを用いて、30字以内で述べよ。：ETH_TYPEがARPのイーサネットタイプに等しい。

　ARP RequestとARP Replyのパケット識別条件が問われています。
　表2中のMFでARPに関連するものを探すと、ETH_TYPE（イーサネットタイプ）が該当します。
　イーサネットタイプは上位層のプロトコルを識別するための16進数の番号で、例えば、「0800」はIP、「0806」はARPとなります。
　したがって、ARPパケットを識別するのに、ETH_TYPE（イーサネットタイプ）を利用すれば良さそうです。

（ⅲ）について、表4のエントリに対応するユニキャスト通信を、20字以内で答えよ。：外部NW内のRT-1と新FWの通信

　Flow-Mod(1) は、図4中のRT1から新FWへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1ではRT1、新FWの外部NWのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。
　そして、表4のエントリ1、2は、それぞれRT-1から新FWへの通信、新FWからRT-1への通信を示しています。
　したがって、表4のエントリに対応するユニキャスト通信は、外部NWのRT-1と新FWの通信を示しています。

せ：p6、そ：なし、た：m1、ち：m2

　Flow-Mod(2) は、図4中の新FWからLBへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1では新FW、LBのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。
　そして、表5のエントリ2は、新FWからLBへの通信を示していることが分かります。
　したがって、エントリ1は、LBから新FWへの通信を示すものになります。

表5中のエントリ1のActionを答えよ：Push-VLAN、Set-Field VLAN_VID=v2、Output(p7)

　LBから新FWへの通信を示すActionですので、VLAN IDとしてv2をセットし、ポートp7から出力することを示せば良いことになります。