GRE over IPsec、IP-VPN【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3 No.2】

ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3 No.2

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3(一部、加工あり)】

【冗長化ルーティングの検討】
 図2のネットワーク構成で拠点間通信を行う場合、正常時は(エ:IP-VPN)を利用するが、(エ:IP-VPN)の障害時は(オ:インターネットVPN)に切り替える必要がある。Eさんはそのための方策の検討を行い、次のルーティング方式を考えた。

  • 各拠点間のIPsecトンネル及び各拠点内LANのルーティングは、OSPFを利用する。
  • 各拠点間のIPsecトンネル接続では、③GRE over IPsecを利用する
  • CEルータでもある各拠点のL3SWは、IP-VPN側で隣接するPEルータとBGP4で経路交換する。具体的には、各拠点のL3SWは、自拠点の経路情報をPEルータに広告するとともに、④PEルータから経路情報を受信する

 この方式で、本社、名古屋支店、大阪支店のL3SWからそれぞれの別拠点への経路の冗長化を行う。各拠点のL3SWは、⑤複数のルーティングプロトコルから得た同一宛先への異なる経路情報から、適切な経路を選択する

エ:IP-VPN、オ:インターネットVPN

 本文に「通常時は拠点間通信にIP-VPNを用いるが、IP-VPNの障害時にはインターネットVPNをバックアップ回線として用いる」とあることから明らかですね。

③について、GRE over IPsecを利用する目的を、25字以内で述べよ。:OSPFのマルチキャスト通信を通すため。

 IPsecトンネルを通過するデータについては、各拠点間のバックアップ回線という記述以外には、直前に「各拠点間のIPsecトンネル及び各拠点内LANのルーティングは。OSPFを利用する。」とあります。
 ここでOSPF(Open Shortest Path First)を利用する際のやり取りするデータを考えると、リンクステートの情報交換にマルチキャスト(224.0.0.5、224.0.0.6)を使うことが特徴です。
 IPsecはユニキャストしか利用できないので、マルチキャストを利用するにはユニキャストで扱えるようにカプセル化する必要があります。
 そのカプセル化で用いるのがGRE(Generic Routing Encapsulation)になります。
 GREはマルチキャストもカプセル化できますが暗号化機能がないため、GRE over IPsecによって暗号化した上でマルチキャストを送信することが可能になります。
 インターネット環境でOSPFを利用するネットワークでは、GRE over IPsecが必須の機能になります。

④について、各拠点のCEルータが受信する経路情報を、15字以内で答えよ。:ほかの拠点への経路情報

 L3SWがIP-VPN経由で通信するには、他拠点の経路情報を把握する必要があります。
 L3SWからPEルータに広告された「自拠点の経路情報」はIP-VPN内のPEルータで共有され、それぞれ接続されたCEルータに対して、他拠点の経路情報として送信されます。
 したがってCEルータが受信する経路情報は、他拠点の経路情報です。

⑤について、Eさんが検討したルーティング方式において、L3SWでの経路の優先選択の考え方を、25字以内で述べよ。:BGP4から得られた経路を優先する。

 L3SWが扱うルーティングプロトコルは、IP-VPN側ではBGP4、インターネットVPN側ではOSPFです。
 通常時はIP-VPNを用いるため、BGP4から得られた経路情報を優先させます。
 L3SWにはルーティングプロトコルごとの優先度をAD(Administrative Distance)値として保持していて、デフォルトでは例えばOSPFよりBGP4の方が優先度が高くなります。
 経路情報の決定においては、実際には経路情報の粒度(ロンゲストマッチ)なども関係してきますが、本問題ではそこまで問われていません。