IPsecトンネル設定（NHRP、OSPFプライオリティ)【ネットワークスペシャリスト試験平成30年度秋期午後1 問3 No.3】

湊コウ

3年前

ネットワークスペシャリスト試験平成30年度秋期午後1 問3 No.3

【出典：ネットワークスペシャリスト試験平成30年度秋期午後1 問3（一部、加工あり）】

【拠点追加の場合のIPsecトンネル接続追加の検討】
　Eさんは、IPsecトンネル接続の追加について、今後拠点が追加になった場合を想定した検討を始めた。図2のような⑥フルメッシュのIPsecトンネルのネットワーク構成に、追加拠点向けIPsecトンネルを手動で追加設定するネットワーク拡張方式は望ましくないと考え、ネットワーク機器ベンダの技術者に改善案を相談した。その結果、FWのIPsec方式のVPN機能のオプションである、IPsecトンネルを動的に確立する機能（以下、自動トンネル機能という）を活用した方式を提案された。そこで、Eさんは、その方式を前提として次の設計方針を立てた。

本社をハブ拠点、支店の２拠点をスポーク拠点とするハブアンドスポーク構成とし、ハブ拠点とスポーク拠点間のIPsecトンネルを従来どおり固定的に設定する。
スポーク拠点間IPsecトンネル（以下、S-Sトンネルという）については、拠点間のトラフィックの発生に応じてトンネルを動的に確立させる。
S-Sトンネルは、一定時間トラフィックがなければ自動的に切断するようにする。
動的にS-Sトンネルを確立するために、NHRP（Next Hop Resolution Protocol）を用いる。

　NHRPは、IPsecトンネル確立に必要な対向側IPアドレス情報を、トンネル確立時に動的に得るのに利用される。IPsecトンネルの確立は、スポーク拠点間での通信の発生を契機にして行われる。例えば、名古屋支店内のPCから大阪支店内のサーバへの通信が行われる場合、⑦名古屋支店のFW3はNGRPによって得られた情報を利用してS-Sトンネルを確立する。このように、自動トンネル機能を利用すれば、フルメッシュ構成のトンネルを手動で設定する必要がない。
　Eさんは、それまでの設計方針をまとめ、ネットワーク機器ベンダの技術者に確認を依頼した。ネットワーク機器ベンダの技術者からは、OSPFと自動トンネル機能を組み合わせて利用する場合の留意点の指摘があった。その指摘の内容は、”スポークとなる機器がOSPFの代表ルータに選出されてしまうと、スポーク拠点間のIPsecトンネルが解放されなくなってしまうので、それを防ぐために、スポークとなる機器のOSPFに追加の設定が必要になる”というものであった。そこで、Eさんは、防止策として⑧追加すべき設定内容を定めた。
　その後、Eさんが考えたネットワーク構成が情報システム部で承認され、Eさんを構築プロジェクトリーダとして、WANの再構築が開始された。

⑥について、望ましくない理由を、30字以内で述べよ。：新拠点追加のときに全拠点の設定変更が必要になるから。

　拠点が追加される度に手動設定する方式は、感覚的に手間がかかるので望ましくないと考えられますが、回答の書き方に迷うかもしれません。
　IPsecトンネルの設定には、対向する拠点間で設定が必要になります。
　フルメッシュの場合には、全拠点で、追加される新拠点に関する設定追加が必要になります。
　なお、フルメッシュの他には、本社を中心（ハブ）としたハブアンドスポーク構成がありますが、ハブアンドスポーク構成の場合、拠点追加による設定変更が必要なのは本社のみです。

⑦について、NHRPから得られる情報を、25字以内で答えよ。：大阪支店のFW2のグローバルIPアドレス

　本文に「NHRPは、IPsecトンネル確立に必要な対向側IPアドレス情報を、トンネル確立時に動的に得るのに利用される」とあるので、すぐに分かると思います。
　名古屋支店のFW3が得る情報は、通信先の大阪支店のFW2のIPアドレス情報です。
　さらにそのIPアドレスはインターネットで通信するグローバルIPアドレスです。

⑧について、追加設定が必要な機器を、図2中の機器名で全て答えよ。また、追加すべきOSPFの設定を、25字以内で述べよ。：（機器）FW2、FW3（設定）OSPFのプライオリティを0に設定する。

　本文の「スポークとなる機器がOSPFの代表ルータに選出されてしまうと、スポーク拠点間のIPsecトンネルが解放されなくなってしまうので、それを防ぐために、スポークとなる機器のOSPFに追加の設定が必要になる」とあるように、必要なのはスポークとなる機器がOSPFの代表ルータに選出されないための設定になります。
　OSPFの代表ルータの選出について以下に整理します。