【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2 設問1】SD-WAN

ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2

【出典：ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2（一部、加工あり）】

問2 SD-WANによる拠点接続に関する次の記述を読んで、設問に答えよ。

 G社は、本社とデータセンター及び二つの支店をもつ企業である。G社では、業務拡大による支店の追加が計画されている。支店の追加によるネットワーク構成の変更について、SD-WANを活用することで、設定作業を行いやすくするとともにWANの冗長化も行うという改善方針が示された。そこで、情報システム部のJさんが設計担当としてアサインされ、対応することになった。G社の現行ネットワーク構成を図1に示す。

[現行ネットワーク概要]
 G社の現行ネットワーク概要を次に示す。

• G社には、データセンター、本社、支店V及び支店Wの四つの拠点がある。これらの拠点は、L社が提供するMPLS VPN（以下、L社VPNという）を介して相互に接続している。
• 各拠点のPCとサーバは、データセンターのプロキシサーバを経由してインターネットへアクセスする。
• データセンターのFWは、パケットフィルタリングによるアクセス制御を行っている。
• PE1〜4は、L社VPNの顧客のネットワークを収容するために設置した、プロバイダエッジルータ（以下、PEルータという）である。
• ルータ1〜4は、拠点間を接続する機器であり、L社のPEルータと対向する（ア）エッジルータである。
• L社のPEルータは、G社との間のBGPピアにas-overrideを設定している。この設定によって、G社の複数の拠点で同一のAS番号を用いる構成が可能になっている。一般に、PEルータにおけるas-override設定の有無によって、経路情報交換の処理をする際にやり取りされる経路情報が異なったものとなる。例えば、本社のルータ2に届く支店Vの経路情報は、①as-override設定の有無で表1となる。②G社現行ネットワークで利用している各拠点のIPアドレスとAS番号を表2に示す。

[現行の経路制御概要]
 G社の現行の経路制御の概要を次に示す。

• 拠点内は、OSPFによって経路制御を行っている。
• 拠点間は、BGP4によって経路制御を行っている。
• OSPFエリアは全てエリア0である。
• ルータ1〜4で二つのルーティングプロトコル間におけるルーティングを可能にするために、経路情報の（イ）をしている。このとき、一方のルーティングプロトコルで学習された経路がもう一方のルーティングプロトコルを介して③再び同じルーティングプロトコルに渡されることのないように経路フィルターが設定されている。
• 全拠点からインターネットへのhttp/https通信ができるように、（ウ）のサブネットを宛先とする経路をOSPFで配布している。この経路情報は、途中BGP4を経由して、④3拠点（本社、支店V、支店W）のルータ及びL3SWに届く。
• BGP4において、AS内部の経路交換はiBGPが用いられるのに対し、各拠点のルータとPEルータとの経路交換では（エ）が用いられる。
• L社VPNと接続するために、AS番号65500が割り当てられている。このAS番号はインターネットに接続されることのないASのために予約されている番号の範囲に含まれる。このようなAS番号を（オ）AS番号という。
• L社VPNのAS番号は64500である。

[SD-WAN導入検討]
 Jさんは、SD-WANを取り扱っているネットワーク機器ベンダーK社の技術者に相談しながら検討することにした。また、K社がインターネット経由でクラウドサービスとして提供しているSD-WANコントローラーの活用を検討することにした。
 K社のSD-WAN装置とSD-WANコントローラーの主な機能を次に示す。

• SD-WANコントローラーは、SD-WAN装置に対して独自プロトコルを利用して、オーバーレイ構築に必要な情報の収集と配布を行うことで、複数のSD-WAN装置を集中管理する。
• アンダーレイネットワークとして、MPLS VPNとインターネット回線が利用可能である。
• オーバーレイネットワークは、SD-WAN装置間のIPsecトンネルで構築される。IPsecトンネルの確立ではSD-WAN装置のIPアドレスが用いられる。IPsecトンネルの端点をTE（Tunnel Endpoint）と呼ぶ。
• オーバーレイネットワークは、アプリケーショントラフィックを識別したルーティングを行う。このように、アプリケーショントラフィックを識別したルーティングを（カ）ルーティングという。
• SD-WANコントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsecトンネルを構築するために必要な情報の2種類がある。
• SD-WANコントローラーとSD-WAN装置間の通信はTLSで保護される。
• SD-WAN装置は、VRF（Virtual Routing and Forwarding）による独立したルーティングインスタンス（以下、RIという）を複数もつ。そのうちの一つのRIはコントロールプレーンで用いられ、他のRIはデータプレーンで用いられる。
• SD-WAN装置は、RFC 5880で規定されたBFD（Bidirectional Forwarding Detection）機能を有する。

 Jさんは、K社のSD-WANをG社ネットワークへ導入する方法を検討し、実施する項目として次のとおりポイントをまとめた。

• 各拠点のルータをK社の提供するSD-WAN装置に置き換える。各拠点のSD-WAN装置を2台構成とする冗長化は次フェーズで検討する。
• SD-WAN装置の設定については、K社がクラウドサービスとして利用者に提供するSD-WANコントローラーで集中管理する。
• 拠点ごとに新規にインターネット接続回線を契約し、SD-WAN装置に接続する。
• 拠点のSD-WAN装置間に、インターネット経由とL社VPN経由でIPsecトンネルを設定する。
• ⑥拠点のSD-WAN装置間のトンネルインタフェースで、BFDを有効化する。
• 全体的な経路制御はSD-WANコントローラーとSD-WAN装置間で行う。
• PCからインターネットへのアクセスは現行のままデータセンターのプロキシサーバ経由とし、各拠点から直接インターネットアクセスできるようにすることは次フェーズで検討する。

 Jさんが検討した、G社のSD-WAN装置導入後のネットワーク構成を図2に示す。

[SD-WANトンネル検討]
 Jさんは、図2のネットワーク構成におけるSD-WAN装置間のIPsecトンネルの構成について検討した。Jさんが考えたSD-WAN装置間のIPsecトンネルの構成を図3に示す。

 Jさんは、このIPsecトンネルの構成を前提として、今後設計するSD-WANの動作を次のようにまとめた。

• SD-WANコントローラーは、各拠点のSD-WAN装置から経路情報を受信し、それらにポリシーを適用して、全拠点のSD-WAN装置に経路情報をアドバタイズする。
• このときアドバタイズされる経路情報は、SD-WAN装置にローカルに接続されたネットワーク情報とそれぞれのSD-WAN装置がもつTE情報である。
• 拠点間の通信は、⑦L社VPNを優先的に利用し、L社VPNが使えないときはインターネットを経由する。

 Jさんは、これらの検討結果を基に報告を行い、SD-WAN導入の方針が承認された。

今回は、令和6年度 春期 ネットワークスペシャリスト試験 午後1 問2 を題材に、近年注目のSD-WAN技術と、その根幹を支えるネットワークの基礎知識について、設問1を解きながら徹底解説していきます。

この問題は、SD-WANという比較的新しい技術をテーマにしつつも、BGPやOSPFといった普遍的なネットワーク技術の深い理解を問う、非常に良質な問題です。単なる暗記ではなく、「なぜそうなるのか」という原理を理解することが合格への近道です。

さっそく、問題の核心に迫っていきましょう！

この記事で学べること

• 令和6年度 NW試験 午後1 問2【設問1】の考え方と解答の導き方
• SD-WANを支えるBGP、OSPFなどの基礎的なルーティング技術
• 現場で使われる実践的なネットワーク用語の知識

---

G社のネットワーク課題：まずは現状を整理しよう

問題を解く前に、まずはG社がどのようなネットワーク構成で、どんな課題を抱えているのかを把握することが重要です。本文の情報をリスト形式で簡潔にまとめてみましょう。

• 現在の構成
  • データセンター、本社、支店V、支店Wの4拠点をL社のMPLS VPNで相互接続している。
  • インターネットへのアクセスは、全拠点のPC・サーバがデータセンターにあるプロキシサーバを経由する。
  • 拠点間の経路制御はBGP4、拠点内の経路制御はOSPFを使用している。
• 課題と改善方針
  • 業務拡大による支店の追加が計画されている。
  • SD-WANを活用して、ネットワーク構成変更の設定作業を容易にし、同時にWAN回線の冗長化も実現したい。

つまり、従来のMPLS VPNを中心とした構成から、より柔軟で可用性の高いSD-WANへ移行しよう、というお話ですね。この全体像を頭に入れておくと、各設問の意図が理解しやすくなります。

---

【設問1】ネットワークの基本用語を確実に押さえよう！

設問1は、本文中の空欄(ア)～(カ)を埋める、基本的な知識を問う問題です。一つ一つ丁寧におさらいしていきましょう。

L社のPEルータと対向する(ア) エッジルータ

解答：カスタマー

これはサービス問題ですね！通信事業者のネットワークと顧客のネットワークの境界に置かれるルータに関する用語です。

• PE (Provider Edge) ルータ: 通信事業者（プロバイダ）側 に設置されるエッジルータ。
• CE (Customer Edge) ルータ: 顧客（カスタマー）側 に設置され、PEルータと接続するルータ。

本文には「ルータ1~4は、拠点間を接続する機器であり、L社のPEルータと対向する」とあります。L社（プロバイダ）のPEルータと対向するG社（顧客）側のルータなので、(ア) はカスタマーとなります。CEルータ、カスタマーエッジルータとも呼ばれます。

---

経路情報の(イ)をしている

解答：再配布

G社のネットワークでは、拠点間を繋ぐプロトコルとしてBGPを、拠点内のプロトコルとしてOSPFを使用しています 。このように、異なるルーティングプロトコルが稼働するネットワーク間で経路情報を交換し、相互に通信できるようにする仕組みを「経路の再配布（redistribution）」と呼びます。

本文の「二つのルーティングプロトコル間におけるルーティングを可能にするために、経路情報の(イ)をしている」という記述 から、この仕組みを指していることが分かります。

経路の再配布は非常に便利な機能ですが、設定を誤ると意図しない経路が広告されたり、ルーティングループが発生したりする原因にもなります。本文中で触れられている「経路フィルター」は、こうした問題を防ぐための重要な設定です。

---

(ウ)のサブネットを宛先とする経路をOSPFで配布

解答：DMZ

この空欄を解く鍵は、インターネットへの通信フローを理解することです。 本文には「各拠点のPCとサーバは、データセンターのプロキシサーバを経由してインターネットへアクセスする」とあります。

つまり、本社や支店のPCがインターネットにアクセスしたい場合、その通信はまずデータセンターにあるプロキシサーバに送られる必要があります。

図1を見ると、このプロキシサーバはDMZ (DeMilitarized Zone) と呼ばれるセグメントに設置されています。

全拠点からこのプロキシサーバへ正しく通信を届け、インターネットアクセスを実現するためには、「インターネット宛の通信は、まずDMZへ送れ」という経路情報を全拠点に知らせる必要があります。本文では、そのために「(ウ)のサブネットを宛先とする経路をOSPFで配布している」 と記述されているため、(ウ)はDMZとなります。

一般的に、これはデフォルトルート（0.0.0.0/0）をデータセンターのプロキシサーバやFWに向けることで実現されます。

---

経路交換では(エ) が用いられる

解答：eBGP

BGPには2つの種類があります。

• iBGP (Internal BGP)：同一のAS (自律システム) 内で経路情報を交換するために使われる。
• eBGP (External BGP)：異なるAS 間で経路情報を交換するために使われる。

本文のG社ネットワークでは、以下のAS番号が使われています。

• G社のAS番号: 65500
• L社VPNのAS番号: 64500

G社のルータとL社のPEルータは、異なるAS番号（65500と64500）に属しています。したがって、これらのルータ間での経路交換には eBGP が用いられます。

---

このようなAS番号を (オ) AS番号という

解答：プライベート

IPアドレスにグローバルアドレスとプライベートアドレスがあるように、AS番号にも「グローバルAS番号」と「プライベートAS番号」が存在します。

本文には、「インターネットに接続されることのないASのために予約されている番号の範囲に含まれる」と明確なヒントがあります。これがまさにプライベートAS番号の特徴です。

プライベートAS番号は、特定の通信事業者網内や企業内など、閉じたネットワークでのみ利用され、インターネット全体に経路情報が広がることはありません。G社がL社VPNとの接続に利用しているAS番号65500は、このプライベートAS番号の範囲（64512～65535）に含まれています。

---

アプリケーショントラフィックを識別したルーティングを(カ) ルーティングという

解答：ポリシーベース

いよいよSD-WANの核心に触れる用語です。 SD-WANの大きな特徴の一つが、通信をIPアドレスやポート番号だけでなく、アプリケーションの種類（例：Microsoft 365, Salesforce, YouTubeなど）で識別し、そのアプリケーションに最適な経路を動的に選択できる点です。

本文の「アプリケーショントラフィックを識別したルーティング」 という説明は、まさにこの機能を指しています。このような、事前に定められた方針（ポリシー）に基づいて経路を決定する仕組みを「ポリシーベースルーティング（PBR）」と呼びます。

これにより、「重要な基幹業務アプリは高品質なMPLS VPNへ、Web会議やクラウドアプリへの通信は安価なインターネット回線へ」といった、柔軟できめ細やかなトラフィック制御が可能になります。

---

出題趣旨と採点講評から学ぶべきこと

最後に、この問題の【出題趣旨】と【採点講評】を見てみましょう。

• 【出題趣旨】: SD-WANを導入・活用するには、その動作原理や基盤となっているIPネットワーク技術（BGP, OSPFなど）に関する理解が必要である、ということを問うています 。
• 【採点講評】: 全体の正答率は平均的だったとされています 。これは、設問1で問われたような基本用語は、多くの受験者が確実に得点できたことを意味します。

ここから分かるのは、新しい技術（SD-WAN）を学ぶ上でも、結局は盤石な基礎知識が何よりも重要だということです。CE/PE、再配布、eBGP、プライベートASといった用語は、ネットワークを語る上での共通言語です。これらの意味を正確に理解し、説明できるようになっておくことが、合格への第一歩と言えるでしょう。

まとめ

今回は、令和6年度ネットワークスペシャリスト試験 午後1 問2の設問1を解説しました。

• （ア）カスタマー: プロバイダ(PE)と対になる顧客(CE)側のルータ。
• （イ）再配布: OSPFとBGPなど、異なるルーティングプロトコル間で経路を交換する仕組み。
• （ウ）DMZ: プロキシサーバが置かれ、インターネットアクセスの経由点となるセグメント。
• （エ）eBGP: 異なるAS間で経路交換を行うためのBGP。
• （オ）プライベート: インターネットに接続されない閉域網で利用されるAS番号。
• （カ）ポリシーベース: アプリケーションを識別し、方針に基づいて経路を選択するSD-WANの主要機能。

一見すると複雑な問題文ですが、設問1で問われているのはネットワークの基本的な用語ばかりです。こうした基礎を一つ一つ固めていくことが、より複雑な設問2以降を解くための土台となります。

次回以降の記事で、設問2以降の解説も行っていきますので、ぜひ続けて学習していきましょう！