SD-WANによるSaaS向けトラフィックの迂回【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 No.3】

ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 No.3

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1(一部、加工あり)】

【SD-WANルータの導入】
 F社は、G社SaaSの試用で判明した問題を解決するために、IPsecルータの代わりにSD-WAN(Software-Defined WAN)ルータを使用することにした。
 SD-WANルータを使用したネットワーク構成案を、図2に示す。

(1)SD-WANルータの概要
 今回使用する予定のSD-WANルータは、SDN(Software-Defined Networking)によって制御されるIPsecルータである。SDNは、利用者の通信トラフィックを転送するデータプレーンと、通信装置を集中制御する(エ:コントロール)プレーンから構成されており、(エ:コントロール)プレーンのソフトウェアでデータ転送を制御する方式である。
 F社が導入するSD-WANルータの仕様を次に示す。

  • SD-WANルータの設定は、SD-WANコントローラによって集中制御される。
  • SD-WANルータのWAN側には、インターネットに接続するインタフェースだけでなく、他のSD-WANルータに接続するIPsec VPNの論理インタフェースがある。

(2)SD-WANルータを用いたときの通信
 図2の説明を次に示す。

  • 社内PCからG社SaaSへのWebアクセスは、プロキシサーバを経由せず各SD-WANルータを経由する。
  • 社内PCからG社SaaS以外のインターネットへのWebアクセスは、プロキシサーバを経由する。
  • L3SWにプロキシサーバへの静的経路情報を追加する。
  • 営業所と本社間の通信は、SD-WANルータ間でIPsecによって暗号化する。
  • 本社の社内PCからG社SaaSへの通信について、③G社SaaSのIPアドレスが変更された場合でもその都度L3SWを設定してなくても済むように、L3SWの静的経路情報を設定変更する

(3)SD-WANルータの運用
 G社はSaaSに必要なサーバを随時追加している。G社SaaSが利用しているIPアドレスブロックの更新があるたびに、F社はSD-WANルータの設定を変更する必要がある。F社は、G社SaaSのIPアドレスブロックの更新を、RSS(Really Simple Syndication)を利用して知ることができる。
 F社は、RSS配信されたIPアドレスブロックを検知するツールを作成して、自動的にツールから(オ:SD-WANコントローラ)に指示を行い、全社のSD-WANルータの設定を変更することにした。さらに、社内PCから参照する④プロキシ自動設定ファイルを作成することにした。

(4)G社SaaSアクセスログの取得
 G社SaaSへのアクセスログは、⑤プロキシサーバからではなく、G社SaaSのAPIにアクセスして取得することにした。

 F社は、G社SaaSの本格導入に向けてSD-WANルータを利用したネットワークの構築プロジェクトを立ち上げた。

エ:コントロール

 SDNにおいて、通信装置およびデータ転送を集中制御するのはコントロールプレーンになります。

③について、設定変更後の静的経路情報を、35字以内で答えよ。:ネクストホップがSD-WANルータとなるデフォルトルート

 内容を読み砕くと、対象となる宛先IPアドレスがどのように変わっても、対応可能な静的経路情報は何かが問われています。
 L3SWは経路情報に合致しないパケットの処理をデフォルトルートにしたがって転送します。
 G社SaaSへの通信はSD-WANルータを経由するとのことですから、ネクストホップはSD-WANルータになります。
 また、G社SaaS以外のインターネットへのWebアクセスは、L3SWにプロキシサーバ宛ての静的経路情報が設定されるので、デフォルトルートにしたがうことはありません。
 したがって、L3SWには、プロキシサーバ宛てのネクストホップがFWとなる静的経路情報と、それ以外の宛先へのネクストホップがSD-WANルータとなるデフォルトルートを設定すれば良さそうです。

オ:SD-WANコントローラ

 SD-WANルータの設定について、本文に「SD-WANルータの設定は、SD-WANコントローラによって集中制御される」とあります。
 SD-WANルータの設定変更はSD-WANコントローラでのみ可能ですので、ツールからSD-WANコントローラ経由でSD-WANルータの設定変更を行うことになります。

④について、このファイルを作成することによってプロキシから除外する通信を、20字以内で答えよ。:G社SaaSへのHTTPS通信

 PCが参照するプロキシ自動設定ファイルは、PAC(Proxy Auto-Configuration)と呼ばれるもので、ブラウザからのリクエストを宛先に直接送信するのか、プロキシサーバに転送するのかを定義するファイルのことです。
 社内PCからプロキシサーバを経由せず直接アクセスするのは、G社SaaSへのWebアクセスであり、それは「G社SaaSとの通信は、HTTPSによって暗号化する」とあるようにHTTPS通信です。
 したがって、PACでG社SaaSへのHTTPS通信を直接送信するよう設定します。

⑤について、G社SaaSのAPI経由で取得する理由を二つ挙げ、それぞれ40字以内で述べよ。:社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから。/出張先のPCからG社SaaSへのアクセスが記録されるから。

 一つは簡単です。G社SaaSへのアクセスはプロキシサーバを経由せず、各SD-WANルータを経由するようになったからです。
 もう一つですが、改めて本文を眺めてみると、「出張先のPCから直接G社SaaSを利用できるようにするために、G社SaaSでは送信元IPアドレスの制限を行わない」とあります。
 出張先のPCからのアクセスログはG社SaaS側にしか残らないため、そちらで取得するしかありません。