【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1 設問2】BGP
ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1(一部、加工あり)】
[配信方式の見直し]
D社は、ゲームファイルの大容量化と利用者のグローバル化に伴い、ゲームファイルの配信をコンテンツ配信ネットワーク(以下、CDNという)事業者のE社のサービスで行うことにした。
E社CDNは、多数のキャッシュサーバを設置する配信拠点(以下、POPという)を複数もち、その中から、ゲーム端末のインターネット上の所在地に対して最適なPOPを配信元としてコンテンツを配信する。
あるPOPが端末からアクセスを受けると、POP内でLBがキャッシュサーバにアクセスを振り分ける。E社CDNのキャッシュサーバにコンテンツが存在しない場合は、D社データセンターの配信サーバからE社CDNのキャッシュサーバにコンテンツが同期される。
配信方式の見直しプロジェクトはXさんが担当することになった。Xさんは、E社が提供しているBGP anycast方式のPOP選択方法を調査した。XさんがE社からヒアリングした内容は次のとおりである。
E社BGP anycast方式では、同じアドレスブロックを同じAS番号を用いてシンガポールPOP及び東京POPの両方からBGPで経路広告する。シンガポールPOPと東京POPの間は直接接続されていない。ゲーム端末が接続するISPでは、E社ASの経路情報を複数の隣接したASから受信する。どの経路情報を採用するかはBGPの経路選択アルゴリズムで決定される。ゲーム端末からのHTTPSリクエストのパケットは、決定された経路で隣接のASに転送される。
BGP anyast方式によるE社の経路広告イメージを図2に示す。
図2でIXは、レイヤー2ネットワーク相互接続点であり、接続された隣接のAS同士がBGPで直接接続することができる。
BGPでの経路選択では、LP(LOCAL_PREF)属性については値が(ウ)経路を優先し、MED(MULTI_EXIT_DISC)属性については値が(エ)経路を優先する。E社では、LP属性とMED属性が経路選択に影響を及ぼさないように設定している。これによって②E社のあるPOPからゲーム端末へのトラフィックの経路は、そのPOPのBGPルータが受け取るAS Path長によって選択される。
Xさんは、BGPのセキュリティ対策として何を行っているか、E社の担当者に確認した。E社BGPルータは、③隣接ASのBGPルータとMD5認証のための共通のパスワードを設定していると説明を受けた。また、④アドレスブロックやAS番号を偽った不正な経路情報を受け取らないための経路フィルタリングを行っていると説明があった。
今回は、ネットワークスペシャリスト試験の令和6年度春期 午後1 問1の中から、特にBGPに関する知識が問われる【設問2】に焦点を当てて、じっくりと解説していきます。
この問題は、CDN(コンテンツ配信ネットワーク)を題材に、BGPの経路制御やセキュリティ対策といった、現代のネットワークに不可欠なテーマが盛り込まれています。【出題趣旨】や【採点講評】で指摘されているポイントも踏まえながら、解答に至る思考プロセスを一緒に辿っていきましょう!
なぜ今、BGPとCDNが重要なのか?
Webサービスがグローバル化する現代において、世界中のユーザーに快適にコンテンツを届けるため、CDNの利用はもはや当たり前になっています。そして、そのCDNの根幹を支える技術がBGP (Border Gateway Protocol) です。BGPを理解することは、インターネットがどのように動いているかを理解することに他なりません。本問は、その重要性を再認識させてくれる良問と言えるでしょう。
【設問2 (1)】BGP経路選択の基本!LPとMEDをマスターしよう
まずは、BGPの経路選択における重要な2つのパス属性、LOCAL_PREF (LP) と MED (MULTI_EXIT_DISC) についての問題です。
設問 BGPでの経路選択では、LP (LOCAL_PREF) 属性については値が (ウ) 経路を優先し、MED (MULTI_EXIT_DISC) 属性については値が (エ) 経路を優先する。
解答 (ウ) 大きい、(エ) 小さい
この問題、シンプルですが非常に重要です。【採点講評】でも「正答率がやや低く、BGPの基本を正しく理解していないと思われる解答が多かった」と指摘されています。この機会に完璧にマスターしましょう!
- LOCAL_PREF (LP) とは?
- 役割
自分のAS (組織) から出ていくトラフィックの「出口」を決めるための属性です。 - ルール
値が大きい方を優先します。 - イメージ
あなたの会社が東京と大阪にインターネットへの接続点を持っているとします。通常はメインの東京から通信させたい場合、東京側の経路に高いLP値 (例: 200) を設定し、大阪側には低いLP値 (例: 100) を設定します。こうすることで、AS内のルータは皆、東京出口を優先するようになります。まさに「ローカル (自分の組織内) での好み (Preference)」を決める属性です。
- 役割
- MED (MULTI_EXIT_DISC) とは?
- 役割
隣のASに対して、自分のASに入ってくるトラフィックの「入口」を「提案」するための属性です。「この入口から入ってきてくれると嬉しいな」と伝えるイメージです。 - ルール
値が小さい方を優先します。IGPのメトリック (コスト) に似ていますね。 - イメージ
あなたの会社 (AS) が、とあるISPと複数の接続点を持っているとします。そのISPからのトラフィックを、より帯域の広い接続点で受けたい場合、その接続点で広告する経路に低いMED値 (例: 10) を付けてISPに渡します。ISP側は、より低いMED値のついた経路を優先してくれる「可能性」があります (あくまで隣接ASのポリシー次第です)。
- 役割
ポイント: 「LPは大きい方、MEDは小さい方」と呪文のように覚えてしまいましょう!そして、LPは「出口」を決め、MEDは「入口」を提案するもの、という役割の違いをしっかり理解しておくことが大切です。
【設問2 (2)】AnycastとBGP経路の非対称性を読み解く
次に、Anycast環境におけるBGPの経路選択に関する問題です。
設問 本文中の下線②について、図2でAS-E東京 POPにAS-GからのHTTPS リクエストのパケットが届く場合、E社トラフィックはどちらの経路から配信されるか。途中通過する場所を、図2中の字句で答えよ。ここで、AS Path長以外は経路選択に影響せず、途中に無効な経路や経路フィルタリングはないものとする。
解答 IX
この問題の鍵は、BGPの経路は非対称であるという大原則を理解しているか、という点にあります。
- 思考のステップ
- 「行き」の経路を把握する
- 問題文から、ゲーム端末 (AS-G) からのHTTPSリクエストは、東京POP (AS-E) に届いています。これは、BGP Anycastによって、AS-Gから見て東京POPへの経路がネットワーク的に最も近いと判断された結果です。
- 問われているのは「帰り」の経路
- 設問が聞いているのは、「E社トラフィック」、つまり東京POPからゲーム端末への応答パケットの経路です。インターネットでは、「行き」と「帰り」で全く違う道を通ることは日常茶飯事です。
- 東京POPのルータの視点で考える
- 東京POPのルータは、宛先であるゲーム端末の所属する「AS-G」への経路をどこから学習しているでしょうか?図2を見ると、2つの可能性があります。
- 経路A: IX を経由して AS-G から直接学習する経路
- 経路B: AS-F (トランジットISP) を経由して学習する経路
- 東京POPのルータは、宛先であるゲーム端末の所属する「AS-G」への経路をどこから学習しているでしょうか?図2を見ると、2つの可能性があります。
- AS Path長を比較する
- BGPの最も基本的な経路選択ルールは、経由するASの数が少ない「AS Path長」が短い経路を優先するというものです。
- 経路A (IX経由): AS-E -> IX -> AS-G
- 経由するASは AS-G のみです (IXはASではないためカウントしません)。
- AS Pathは [AS-G] となり、長さは1です。
- 経路B (AS-F経由): AS-E -> AS-F -> AS-G
- 経由するASは AS-F と AS-G です。
- AS Pathは [AS-F, AS-G] となり、長さは2です。
- 結論
- AS Path長が 1 と 2 では、より短い 1 の経路が選ばれます。したがって、応答パケットは IX を通過します。
- 「行き」の経路を把握する
【設問2 (3)】BGPピアの認証:MD5認証の役割
BGPの基本的なセキュリティ対策についての問題です。
設問 本文中の下線③の設定をすることで何を防いでいるか。”BGP”という字句を用いて10字以内で答えよ。 (下線③: 隣接ASのBGP ルータとMD5認証のための共通のパスワードを設定している)
解答 不正なBGP接続
- 解説
- BGPは、ルータ同士がTCPポート179で「ピア」と呼ばれる接続を確立し、経路情報を交換します。
- もし、ここに何の認証もなければ、悪意のある第三者が正規のBGPルータになりすまして、勝手にピアを確立し、偽の経路情報を流し込むことができてしまいます。
- MD5認証は、事前にBGPルータ間で共有したパスワード(共通鍵)を使って、TCP通信のパケットが正当な相手から来たものであることを確認する仕組みです。
- これにより、パスワードを知らない第三者からのピア確立要求を拒否し、「不正なBGP接続」を防ぐことができます。これはBGPセキュリティの第一歩となる重要な設定です。
【設問2 (4)】経路フィルタリングの重要性:経路ハイジャックを防ぐ
BGPの最も深刻な脅威の一つである「経路ハイジャック」とその対策に関する問題です。
設問 本文中の下線④について、フィルタリングせずに不正な経路を受け取った場合に、コンテンツ配信に与える悪影響を”不正な経路”という字句を用いて40字以内で答えよ。 (下線④: アドレスブロックやAS番号を偽った不正な経路情報を受け取らないための経路フィルタリング)
解答 不正な経路に含まれるアドレスブロックへのコンテンツ配信ができなくなる。
この問題、【採点講評】によると「トラフィックの向きを逆方向に考えた誤答が多かった」とのこと。ここが最大のポイントです。
- 何が起きるのか?(経路ハイジャックのシナリオ)
- 偽の広告
悪意のある攻撃者 (AS-Xとします) が、D社のゲーム配信に使われているIPアドレスブロック (例: 203.x.11.0/24) を、「このIPアドレスは私のAS-Xから行けますよ!」とBGPでインターネットに広告します。これが「不正な経路」です。 - 不正経路の学習
インターネット上の多くのISP (図2のAS-Gなど) は、基本的にBGPで広告された経路を信じてしまうため、この不正な経路を学習してしまいます。 - トラフィックの乗っ取り
ゲーム端末がD社のコンテンツ (https://alpha.example.net/) にアクセスしようとします。端末が所属するAS-Gは、宛先IPアドレス (203.x.11.21) への経路として、正規のE社への経路ではなく、攻撃者AS-Xへの不正な経路を選択してしまいます。 - 影響
結果として、ユーザーからのアクセスはすべて攻撃者のネットワークに吸い込まれてしまいます。正規のD社/E社のサーバには通信が一切届かなくなり、「コンテンツ配信ができなくなる」という深刻な事態に陥ります。
- 偽の広告
- トラフィックの向きを正しく理解しよう
- この問題で重要なのは、「E社が不正な経路を受け取る」ことの影響ではなく、「インターネット全体が不正な経路を受け取った」結果、「E社に向かうトラフィックが乗っ取られる」という流れを理解することです。
- だからこそ、各ISPは隣接ASから受け取る経路情報が本当に正しいものか検証する「経路フィルタリング」が極めて重要になるのです。
- 発展的な対策
- 【採点講評】では IRR や経路ハイジャック対策についても触れられています。現在では、IRR (Internet Routing Registry) というデータベースでIPアドレスとAS番号の対応関係を登録し、それを基にフィルタリングを行ったり、さらに強力な RPKI (Resource Public Key Infrastructure) という電子署名を用いた仕組みで経路広告の正当性を検証する対策が普及しつつあります。興味のある方はぜひ調べてみてください。
まとめ
いかがでしたでしょうか。【設問2】は、BGPの経路選択の基本から、Anycast環境での挙動、そしてセキュリティ対策まで、ネットワークエンジニアとして必須の知識が詰まった問題でした。
- LPは大きく、MEDは小さく優先
- BGPの経路は非対称
- AS Path長が短い経路が基本
- MD5認証で不正なピア接続を防ぐ
- 経路フィルタリングでハイジャックを防ぐ
これらのポイントをしっかり押さえて、日々の学習や実務に活かしていきましょう!
最後までお読みいただき、ありがとうございました。次回の解説もお楽しみに!
