【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2 No.3】

ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2

【出典：ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2（一部、加工あり）】

[SD-WAN導入検討]
 Jさんは、SD-WANを取り扱っているネットワーク機器ベンダーK社の技術者に相談しながら検討することにした。また、K社がインターネット経由でクラウドサービスとして提供しているSD-WANコントローラーの活用を検討することにした。
 K社のSD-WAN装置とSD-WANコントローラーの主な機能を次に示す。

• SD-WANコントローラーは、SD-WAN装置に対して独自プロトコルを利用して、オーバーレイ構築に必要な情報の収集と配布を行うことで、複数のSD-WAN装置を集中管理する。
• アンダーレイネットワークとして、MPLS VPNとインターネット回線が利用可能である。
• オーバーレイネットワークは、SD-WAN装置間のIPsecトンネルで構築される。IPsecトンネルの確立ではSD-WAN装置のIPアドレスが用いられる。IPsecトンネルの端点をTE（Tunnel Endpoint）と呼ぶ。
• オーバーレイネットワークは、アプリケーショントラフィックを識別したルーティングを行う。このように、アプリケーショントラフィックを識別したルーティングを（カ）ルーティングという。
• SD-WANコントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsecトンネルを構築するために必要な情報の2種類がある。
• SD-WANコントローラーとSD-WAN装置間の通信はTLSで保護される。
• SD-WAN装置は、VRF（Virtual Routing and Forwarding）による独立したルーティングインスタンス（以下、RIという）を複数もつ。そのうちの一つのRIはコントロールプレーンで用いられ、他のRIはデータプレーンで用いられる。
• SD-WAN装置は、RFC 5880で規定されたBFD（Bidirectional Forwarding Detection）機能を有する。

 Jさんは、K社のSD-WANをG社ネットワークへ導入する方法を検討し、実施する項目として次のとおりポイントをまとめた。

• 各拠点のルータをK社の提供するSD-WAN装置に置き換える。各拠点のSD-WAN装置を2台構成とする冗長化は次フェーズで検討する。
• SD-WAN装置の設定については、K社がクラウドサービスとして利用者に提供するSD-WANコントローラーで集中管理する。
• 拠点ごとに新規にインターネット接続回線を契約し、SD-WAN装置に接続する。
• 拠点のSD-WAN装置間に、インターネット経由とL社VPN経由でIPsecトンネルを設定する。
• ⑥拠点のSD-WAN装置間のトンネルインタフェースで、BFDを有効化する。
• 全体的な経路制御はSD-WANコントローラーとSD-WAN装置間で行う。
• PCからインターネットへのアクセスは現行のままデータセンターのプロキシサーバ経由とし、各拠点から直接インターネットアクセスできるようにすることは次フェーズで検討する。

 Jさんが検討した、G社のSD-WAN装置導入後のネットワーク構成を図2に示す。

カ：ポリシーベース

「このように、アプリケーショントラフィックを識別したルーティングを（カ）ルーティングという。」
 経路制御（ルーティング）は、基本的にはルータのルーティングテーブルに従ってパケットを転送しますが、管理者が意図して経路制御したい場合に用いるのがポリシーベースルーティングです。
 ポリシーベースルーティングでは、「送信元アドレス、プロトコル、ポート番号、パケットサイズ、入力I/F」などの情報に基づきルーティングを行うことができます。
 設問のようにアプリケーショントラフィックはポート番号で識別しますが、もっと細かく対象パケットを指定して経路制御することが可能です。

下線⑤について、SD-WANコントローラーから送られる情報を二つ挙げ、それぞれ25字以内で答えよ。：IPsecトンネル確立のためのIPアドレス/IPsecトンネル確立のための鍵情報

「SD-WANコントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsecトンネルを構築するために必要な情報の2種類がある。」
 SD-WANやオーバーレイとありますが、本設問ではIPsecに関する内容が問われているようで、IPsecで必要となる情報を解答します。
 一つは問題文に「オーバーレイネットワークは、SD-WAN装置間のIPsecトンネルで構築される。IPsecトンネルの確立ではSD-WAN装置のIPアドレスが用いられる。IPsecトンネルの端点をTE（Tunnel Endpoint）と呼ぶ。」とあるように、IPsecトンネル確立のIPアドレスです。
 もう一つは、IPsecが暗号化通信を実現するためのプロトコルであることから、TE間で共有する暗号鍵が思い浮かぶといいでしょう。

下線⑥について、トンネルインタフェースにBFDを設定する目的を、”IPsecトンネル”という用語を用いて35字以内で答えよ。：IPsecトンネルに障害があった場合の検出を高速にする。

「⑥拠点のSD-WAN装置間のトンネルインタフェースで、BFDを有効化する。」
 BFDは、問題文に「SD-WAN装置は、RFC 5880で規定されたBFD（Bidirectional Forwarding Detection）機能を有する。」とあり、直訳すると双方向フォワーディング検出です。
 ルータ間のパスの状態を確認し、高速に障害検知してルーティングプロトコルに通知します。
 BFDは、ルータ間にL2スイッチなどが存在し、リンクステータスが伝わらない障害が発生した場合に効果的な機能です。
 IPsecではTE間で定期的にキープアライブをやり取りして状態を把握しますが、この間隔は10秒〜数十秒となります。
 これに対しBFDでは、1秒以下でやり取りするため障害検出を高速にすることが可能となります。
 IPAの採点講評には「正答率が低かった。BFDのような障害検知のための技術はネットワークを安定的に稼働させるために役に立つ技術である。障害検知の手法や関連知識を広く身に付けておくことは重要である。」とありました。