IP-VPN（MPLS・ラベル・PEルータ）、IPsec【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3 No.1】

ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3 No.1

【出典：ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3（一部、加工あり）】

問3　企業内ネットワーク再構築に関する次の記述を読んで、設問1～4に答えよ。

　D社は、東京の本社、名古屋支店及び大阪支店の3拠点にオフィスを構える出版会社である。D社の社内ネットワークは、3拠点をそれぞれ専用線で結ぶWANと、拠点内LANで構成されている。各拠点内の業務にはそれぞれ拠点内の業務サーバを使用し、全社的な業務には本社の業務サーバを使用している。また、各拠点では本社のプロキシサーバを経由してインターネットを利用している。D社の現行ネットワーク構成を図1に示す。

　D社では、拠点間で利用しているルータの更改時期を迎えたことから、将来を見据えてWAN構成を見直すことになり、情報システム部のEさんが検討することになった。

【WAN構成の検討】

• WAN構成の見直し方針案
  Eさんは、WAN構成の見直しについてコストも含めて検討し、次の方針案を立てた。
  • IP-VPNを利用して3拠点間を接続する。
  • IP-VPNへのアクセス回線は、安価なイーサネット回線サービスを利用する。
  • 通常時は拠点間通信にIP-VPNを用いるが、IP-VPNの障害時にはインターネットVPNをバックアップ回線として用いる。
  • インターネットVPNは、FWに備わるIPsec方式のVPN機能を用いる。
  • 名古屋支店と大阪支店には、インターネットVPN専用のインターネット回線を敷設し、FWを設置する。
  • 各拠点からのインターネットアクセスには、これまでと同様に本社のプロキシサーバ経由で行う。
• IP-VPN及びIPsecの概要
  Eさんは、方針案のIP-VPN及びIPsecについて調査し、その結果を次のようにまとめた。
  • IP-VPN
    • IP-VPNは、通信事業者が運営する閉域IPネットワーク（以下、事業者閉域IP網という）を利用者のトラフィック交換に提供するサービスである。
    • IP-VPNは、①事業者閉域IP網内で複数の利用者のトラフィックを中継するのに、RFC3031で規定された方式が用いられる。
    • 利用者のネットワークと事業者閉域IP網との接続点において、利用者が設置するCE（Customer Edge）ルータから送られたパケットは、通信事業者のPE（Provider Edge）ルータで（ア：ラベル）と呼ばれる短い固定長のタグ情報が付与される。
    • 事業者閉域IP網内では、②タグ情報を参照して中継され、（ア：ラベル）は対向側の（イ：PEルータ）で取り除かれる。
  • IPsec
    • IPsecは、暗号技術を利用してノード間通信を行うためのプロトコルであり、IPパケット通信の完全性・機密性を確保する。
    • IPsecは、OSI基本参照モデルの（ウ：ネットワーク）レイヤで動作する。
    • 3拠点間には、バックアップ回線として3本のIPsecトンネルが必要である。

　これらの検討を基に、Eさんが考えたD社のネットワーク構成を、図2に示す。

①について、IP-VPNサービス提供のために事業者閉域IP網内で用いられるパケット転送技術を答えよ。：MPLS

　IP-VPNについて簡単に整理すると以下のようになります。

• 通信事業者のIP閉域網を経由して拠点間をVPN接続するもの
• 専用線より低コストでの構築・運用が可能。ただし、回線を複数ユーザで共有するため、通信速度の保証などは行われない場合が多い
• インターネットを利用するインターネットVPNよりセキュリティや品質面で優位
• IP-VPNで用いられるパケット転送技術は、「MPLS（Multi Protocol Label Switching）」で、RFC3031で規定されている。
• IP-VPNで利用者のネットワークに設置され、事業者閉域IP網との接続点になる機器をCE（Customer Edge）ルータという。
• IP-VPNで事業者閉域IP網に設置され、利用者ネットワークとの接続点になる機器をPE（Provider Edge）ルータという。PEルータでMPLSで使用するラベルの付与、除去を行う。
• IP-VPNで事業者閉域IP網内で複数の利用者を識別するため、PEルータで付与、除去される短い固定長のタグ情報をラベルという。
• 接続構成は「企業内LANーCEルータ（企業側）ーPEルータ（事業者側）ー事業者回線網」

ア：ラベル

　前の説明より、PEルータで付与する短い固定長のタグ情報はラベルです。

②について、事業者閉域IP網内の利用者トラフィック中継処理において、タグ情報を利用する目的を、25字以内で述べよ。：利用者ごとのトラフィックを区別するため。

　すぐに正解が思い浮かぶので逆に不安になってしまいますが、このような問題は多いですよね。
　25字という文字数だとキーワードは２〜３個程度を想定します。ここで外せないのは「複数の利用者」「区別」でしょうか。
　本文では「IP-VPNは、通信事業者が運営する事業者閉域IP網を利用者のトラフィック交換に提供するサービスである」とありますので「トラフィック」もあった方がいいですね。
　これらを組み合わせて正解を導くのは、実際に何問も解いて慣れていくしかないですね。

イ：PEルータ

　前の説明より、ラベルを付与したり取り除いたりするのはPEルータです。

ウ：ネットワーク

　IPsec（IP Security Protocol）の詳細まで理解できていなくても、IPとあるのでネットワークレイヤと分かります。