【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2 設問2】BGP-as-override
ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2(一部、加工あり)】
問2 SD-WANによる拠点接続に関する次の記述を読んで、設問に答えよ。
G社は、本社とデータセンター及び二つの支店をもつ企業である。G社では、業務拡大による支店の追加が計画されている。支店の追加によるネットワーク構成の変更について、SD-WANを活用することで、設定作業を行いやすくするとともにWANの冗長化も行うという改善方針が示された。そこで、情報システム部のJさんが設計担当としてアサインされ、対応することになった。G社の現行ネットワーク構成を図1に示す。
[現行ネットワーク概要]
G社の現行ネットワーク概要を次に示す。
- G社には、データセンター、本社、支店V及び支店Wの四つの拠点がある。これらの拠点は、L社が提供するMPLS VPN(以下、L社VPNという)を介して相互に接続している。
- 各拠点のPCとサーバは、データセンターのプロキシサーバを経由してインターネットへアクセスする。
- データセンターのFWは、パケットフィルタリングによるアクセス制御を行っている。
- PE1〜4は、L社VPNの顧客のネットワークを収容するために設置した、プロバイダエッジルータ(以下、PEルータという)である。
- ルータ1〜4は、拠点間を接続する機器であり、L社のPEルータと対向する(ア)エッジルータである。
- L社のPEルータは、G社との間のBGPピアにas-overrideを設定している。この設定によって、G社の複数の拠点で同一のAS番号を用いる構成が可能になっている。一般に、PEルータにおけるas-override設定の有無によって、経路情報交換の処理をする際にやり取りされる経路情報が異なったものとなる。例えば、本社のルータ2に届く支店Vの経路情報は、①as-override設定の有無で表1となる。②G社現行ネットワークで利用している各拠点のIPアドレスとAS番号を表2に示す。
[現行の経路制御概要]
G社の現行の経路制御の概要を次に示す。
- 拠点内は、OSPFによって経路制御を行っている。
- 拠点間は、BGP4によって経路制御を行っている。
- OSPFエリアは全てエリア0である。
- ルータ1〜4で二つのルーティングプロトコル間におけるルーティングを可能にするために、経路情報の(イ)をしている。このとき、一方のルーティングプロトコルで学習された経路がもう一方のルーティングプロトコルを介して③再び同じルーティングプロトコルに渡されることのないように経路フィルターが設定されている。
- 全拠点からインターネットへのhttp/https通信ができるように、(ウ)のサブネットを宛先とする経路をOSPFで配布している。この経路情報は、途中BGP4を経由して、④3拠点(本社、支店V、支店W)のルータ及びL3SWに届く。
- BGP4において、AS内部の経路交換はiBGPが用いられるのに対し、各拠点のルータとPEルータとの経路交換では(エ)が用いられる。
- L社VPNと接続するために、AS番号65500が割り当てられている。このAS番号はインターネットに接続されることのないASのために予約されている番号の範囲に含まれる。このようなAS番号を(オ)AS番号という。
- L社VPNのAS番号は64500である。
[SD-WAN導入検討]
Jさんは、SD-WANを取り扱っているネットワーク機器ベンダーK社の技術者に相談しながら検討することにした。また、K社がインターネット経由でクラウドサービスとして提供しているSD-WANコントローラーの活用を検討することにした。
K社のSD-WAN装置とSD-WANコントローラーの主な機能を次に示す。
- SD-WANコントローラーは、SD-WAN装置に対して独自プロトコルを利用して、オーバーレイ構築に必要な情報の収集と配布を行うことで、複数のSD-WAN装置を集中管理する。
- アンダーレイネットワークとして、MPLS VPNとインターネット回線が利用可能である。
- オーバーレイネットワークは、SD-WAN装置間のIPsecトンネルで構築される。IPsecトンネルの確立ではSD-WAN装置のIPアドレスが用いられる。IPsecトンネルの端点をTE(Tunnel Endpoint)と呼ぶ。
- オーバーレイネットワークは、アプリケーショントラフィックを識別したルーティングを行う。このように、アプリケーショントラフィックを識別したルーティングを(カ)ルーティングという。
- SD-WANコントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsecトンネルを構築するために必要な情報の2種類がある。
- SD-WANコントローラーとSD-WAN装置間の通信はTLSで保護される。
- SD-WAN装置は、VRF(Virtual Routing and Forwarding)による独立したルーティングインスタンス(以下、RIという)を複数もつ。そのうちの一つのRIはコントロールプレーンで用いられ、他のRIはデータプレーンで用いられる。
- SD-WAN装置は、RFC 5880で規定されたBFD(Bidirectional Forwarding Detection)機能を有する。
Jさんは、K社のSD-WANをG社ネットワークへ導入する方法を検討し、実施する項目として次のとおりポイントをまとめた。
- 各拠点のルータをK社の提供するSD-WAN装置に置き換える。各拠点のSD-WAN装置を2台構成とする冗長化は次フェーズで検討する。
- SD-WAN装置の設定については、K社がクラウドサービスとして利用者に提供するSD-WANコントローラーで集中管理する。
- 拠点ごとに新規にインターネット接続回線を契約し、SD-WAN装置に接続する。
- 拠点のSD-WAN装置間に、インターネット経由とL社VPN経由でIPsecトンネルを設定する。
- ⑥拠点のSD-WAN装置間のトンネルインタフェースで、BFDを有効化する。
- 全体的な経路制御はSD-WANコントローラーとSD-WAN装置間で行う。
- PCからインターネットへのアクセスは現行のままデータセンターのプロキシサーバ経由とし、各拠点から直接インターネットアクセスできるようにすることは次フェーズで検討する。
Jさんが検討した、G社のSD-WAN装置導入後のネットワーク構成を図2に示す。
[SD-WANトンネル検討]
Jさんは、図2のネットワーク構成におけるSD-WAN装置間のIPsecトンネルの構成について検討した。Jさんが考えたSD-WAN装置間のIPsecトンネルの構成を図3に示す。
Jさんは、このIPsecトンネルの構成を前提として、今後設計するSD-WANの動作を次のようにまとめた。
- SD-WANコントローラーは、各拠点のSD-WAN装置から経路情報を受信し、それらにポリシーを適用して、全拠点のSD-WAN装置に経路情報をアドバタイズする。
- このときアドバタイズされる経路情報は、SD-WAN装置にローカルに接続されたネットワーク情報とそれぞれのSD-WAN装置がもつTE情報である。
- 拠点間の通信は、⑦L社VPNを優先的に利用し、L社VPNが使えないときはインターネットを経由する。
Jさんは、これらの検討結果を基に報告を行い、SD-WAN導入の方針が承認された。
前回は設問1で、ネットワークの基本的な用語について確認しました。今回は【設問2】に挑戦します。ここでは、BGPの経路制御における非常に重要かつ実践的な概念である「as-override」がテーマとなります。
「なぜこんな設定が必要なの?」「AS PATHってどうやって変わるの?」といった疑問をスッキリ解消できるよう、丁寧に解説していきますので、ぜひ最後までお付き合いください!
この記事で学べること
- 令和6年度 NW試験 午後1 問2【設問2】の考え方と解答の導き方
- BGPの基本的なループ防止機能(AS PATH属性)
- MPLS VPN環境でよく使われる as-override の役割と仕組み
【設問2】BGPの経路制御、その裏側を覗いてみよう!
設問2は、G社の現行ネットワークにおけるBGPの動作に関する問題です。特に、複数の拠点で同じAS番号を利用するために鍵となる「as-override」の理解が問われています。
(1) as-overrideでAS PATHはどう変わる?
まずは設問2(1)から見ていきましょう。
本文中の下線①について、as-override 設定の前後における経路情報の違いについて、表1中の(a)、(b)を埋めて表を完成させよ。
この問題を解くには、まずBGPの基本的なルールから理解する必要があります。
BGPの鉄則:AS PATHによるループ防止
BGPは、インターネットのような巨大なネットワークで経路情報を交換するためのプロトコルです。その際、経路情報がネットワーク内を無限に巡ってしまう「ルーティングループ」を防ぐための仕組みを持っています。
その仕組みが「AS PATH属性」です。 BGPルータは、ある経路情報を受け取ると、その経路がどのASを通過してきたかのリスト(AS PATH)を確認します。そして、もしAS PATHの中に自分自身のAS番号が含まれていたら、「この経路は一周して戻ってきたな」と判断し、その経路を受け入れずに破棄します。 これがBGPの基本的なループ防止機能です。
なぜ as-override が必要なのか?
このルール、通常は非常に有効なのですが、G社のような構成では少し困ったことが起きます。 G社は、L社VPNに接続するために、全拠点で共通のプライベートAS番号「65500」を利用しています 。
ここで、「as-override設定が無い」と仮定して、支店Vから本社へ経路が伝わる様子を考えてみましょう。
- 支店V(AS 65500)が、自身のネットワーク「10.3.0.0/16」の経路情報を広告します。
- その経路情報をL社VPN(AS 64500)のPEルータが受信します。このとき、AS PATHの先頭に自身のAS番号を追加するので、AS PATHは [64500, 65500] となります。
- L社VPN網を経由して、この経路情報が本社(AS 65500)のルータ2に届きます。
- 本社のルータ2は、受け取った経路情報のAS PATH [64500, 65500] を確認します。すると… 自身のAS番号である「65500」が含まれています!
- ループ防止機能が働き、ルータ2はこの経路を破棄してしまいます。結果、本社と支店Vは通信できません。
これでは困りますね。そこで登場するのが as-override です。
as-override は、プロバイダ側(L社)のPEルータで設定する機能です。この設定を有効にすると、PEルータは顧客から受け取った経路情報に含まれるAS番号(この場合は支店Vの65500)を、自身のAS番号(L社の64500)に書き換えてから他の拠点に広告します。
では、「as-override設定が有る」(G社の実際の構成)場合を見てみましょう。
- 支店V(AS 65500)が経路情報を広告します。
- L社VPNのPEルータが受信し、as-override機能により、AS PATH中の支店VのAS番号(65500)を、自身のAS番号(64500)に上書きします。
- L社VPN網を経由して、この経路情報が本社(AS 65500)のルータ2に届きます。このとき、AS PATHは [64500, 64500] となっています。
- 本社のルータ2は、AS PATH [64500, 64500] を確認します。今度は自身のAS番号「65500」が含まれていないので、無事に経路情報を受け入れることができます。
解答を導く
この理解を基に、表1を完成させましょう。
- (a):経路情報は支店Vのものなので、プレフィックスは「10.3.0.0/16」です 。
- (b):
- as-override 設定無しの場合、AS PATHは「64500 65500」となります。
- as-override 設定有り(G社の現行構成)の場合、AS PATHは「64500 64500」となります。
よって、解答は a: 10.3.0.0/16、b: 64500 64500 となります。
(2) G社のAS番号は何番?
続いて設問2(2)です。これは、(1)の理解があれば簡単なサービス問題です。
本文中の下線②について、G社現行ネットワークで用いられているAS番号は何か。表2中の(c) ~ (f) を埋めて表を完成させよ。
本文から、G社のAS番号に関する記述を探しましょう。
- 「L社のPEルータは、G社との間のBGPピアにas-override を設定している。この設定によって、G社の複数の拠点で同一のAS番号を用いる構成が可能になっている。」
- 「L社VPNと接続するために、AS番号65500が割り当てられている。」
これらの記述から、G社はデータセンター、本社、支店V、支店Wの全拠点で、共通のAS番号「65500」を使っていることが分かります。 as-override を使うことで、本来ならループと見なされてしまうこの構成が実現できているわけですね。
したがって、表2の (c)~(f) に入るAS番号はすべて「65500」となります。
出題趣旨と採点講評から学ぶべきこと
この設問は、【出題趣趣】にある「SD-WAN導入に当たって必要となるIPネットワーク設計と構築に必要となる基本的なスキル」を試す、まさに中核的な問題です。
as-override は、MPLS VPNを利用する多くの企業で実際に使われている技術です。
- なぜ、全拠点で同じAS番号を使いたいのか? (プライベートAS番号の節約、管理の簡素化など)
- その場合にBGPの標準機能では何が問題になるのか? (AS PATHによるループ検知)
- その問題をどう解決するのか? (as-overrideによるAS PATHの書き換え)
この一連の流れを論理的に理解しているかどうかが問われています。単に用語を暗記するだけでなく、その技術が「なぜ必要とされ、どのように問題を解決するのか」という背景まで含めて学習することが、応用力を身につける上で非常に重要です。
まとめ
今回は、BGPの経路制御におけるas-overrideの役割について掘り下げました。
- BGPの基本: AS PATHに自AS番号が含まれる経路はループと見なし破棄する。
- 課題: 全拠点で同一のAS番号を使いたい場合、このループ防止機能が通信を阻害してしまう。
- 解決策: プロバイダ側の as-override 機能で、顧客のAS番号をプロバイダのAS番号に書き換えてもらうことで、ループ検知を回避する。
この仕組みを理解することで、G社のネットワーク構成の意図が明確に見えてきたのではないでしょうか。 ネットワーク技術の学習は、こうした「なぜ?」を一つ一つ解き明かしていく面白さがあります。
次回は【設問3】に進み、OSPFの経路制御とLSAタイプについて解説していきます。お楽しみに!