ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2(一部、加工あり)】
問2 SD-WANによる拠点接続に関する次の記述を読んで、設問に答えよ。
G社は、本社とデータセンター及び二つの支店をもつ企業である。G社では、業務拡大による支店の追加が計画されている。支店の追加によるネットワーク構成の変更について、SD-WANを活用することで、設定作業を行いやすくするとともにWANの冗長化も行うという改善方針が示された。そこで、情報システム部のJさんが設計担当としてアサインされ、対応することになった。G社の現行ネットワーク構成を図1に示す。
[現行ネットワーク概要]
G社の現行ネットワーク概要を次に示す。
- G社には、データセンター、本社、支店V及び支店Wの四つの拠点がある。これらの拠点は、L社が提供するMPLS VPN(以下、L社VPNという)を介して相互に接続している。
- 各拠点のPCとサーバは、データセンターのプロキシサーバを経由してインターネットへアクセスする。
- データセンターのFWは、パケットフィルタリングによるアクセス制御を行っている。
- PE1〜4は、L社VPNの顧客のネットワークを収容するために設置した、プロバイダエッジルータ(以下、PEルータという)である。
- ルータ1〜4は、拠点間を接続する機器であり、L社のPEルータと対向する(ア)エッジルータである。
- L社のPEルータは、G社との間のBGPピアにas-overrideを設定している。この設定によって、G社の複数の拠点で同一のAS番号を用いる構成が可能になっている。一般に、PEルータにおけるas-override設定の有無によって、経路情報交換の処理をする際にやり取りされる経路情報が異なったものとなる。例えば、本社のルータ2に届く支店Vの経路情報は、①as-override設定の有無で表1となる。②G社現行ネットワークで利用している各拠点のIPアドレスとAS番号を表2に示す。
[現行の経路制御概要]
G社の現行の経路制御の概要を次に示す。
- 拠点内は、OSPFによって経路制御を行っている。
- 拠点間は、BGP4によって経路制御を行っている。
- OSPFエリアは全てエリア0である。
- ルータ1〜4で二つのルーティングプロトコル間におけるルーティングを可能にするために、経路情報の(イ)をしている。このとき、一方のルーティングプロトコルで学習された経路がもう一方のルーティングプロトコルを介して③再び同じルーティングプロトコルに渡されることのないように経路フィルターが設定されている。
- 全拠点からインターネットへのhttp/https通信ができるように、(ウ)のサブネットを宛先とする経路をOSPFで配布している。この経路情報は、途中BGP4を経由して、④3拠点(本社、支店V、支店W)のルータ及びL3SWに届く。
- BGP4において、AS内部の経路交換はiBGPが用いられるのに対し、各拠点のルータとPEルータとの経路交換では(エ)が用いられる。
- L社VPNと接続するために、AS番号65500が割り当てられている。このAS番号はインターネットに接続されることのないASのために予約されている番号の範囲に含まれる。このようなAS番号を(オ)AS番号という。
- L社VPNのAS番号は64500である。
[SD-WAN導入検討]
Jさんは、SD-WANを取り扱っているネットワーク機器ベンダーK社の技術者に相談しながら検討することにした。また、K社がインターネット経由でクラウドサービスとして提供しているSD-WANコントローラーの活用を検討することにした。
K社のSD-WAN装置とSD-WANコントローラーの主な機能を次に示す。
- SD-WANコントローラーは、SD-WAN装置に対して独自プロトコルを利用して、オーバーレイ構築に必要な情報の収集と配布を行うことで、複数のSD-WAN装置を集中管理する。
- アンダーレイネットワークとして、MPLS VPNとインターネット回線が利用可能である。
- オーバーレイネットワークは、SD-WAN装置間のIPsecトンネルで構築される。IPsecトンネルの確立ではSD-WAN装置のIPアドレスが用いられる。IPsecトンネルの端点をTE(Tunnel Endpoint)と呼ぶ。
- オーバーレイネットワークは、アプリケーショントラフィックを識別したルーティングを行う。このように、アプリケーショントラフィックを識別したルーティングを(カ)ルーティングという。
- SD-WANコントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsecトンネルを構築するために必要な情報の2種類がある。
- SD-WANコントローラーとSD-WAN装置間の通信はTLSで保護される。
- SD-WAN装置は、VRF(Virtual Routing and Forwarding)による独立したルーティングインスタンス(以下、RIという)を複数もつ。そのうちの一つのRIはコントロールプレーンで用いられ、他のRIはデータプレーンで用いられる。
- SD-WAN装置は、RFC 5880で規定されたBFD(Bidirectional Forwarding Detection)機能を有する。
Jさんは、K社のSD-WANをG社ネットワークへ導入する方法を検討し、実施する項目として次のとおりポイントをまとめた。
- 各拠点のルータをK社の提供するSD-WAN装置に置き換える。各拠点のSD-WAN装置を2台構成とする冗長化は次フェーズで検討する。
- SD-WAN装置の設定については、K社がクラウドサービスとして利用者に提供するSD-WANコントローラーで集中管理する。
- 拠点ごとに新規にインターネット接続回線を契約し、SD-WAN装置に接続する。
- 拠点のSD-WAN装置間に、インターネット経由とL社VPN経由でIPsecトンネルを設定する。
- ⑥拠点のSD-WAN装置間のトンネルインタフェースで、BFDを有効化する。
- 全体的な経路制御はSD-WANコントローラーとSD-WAN装置間で行う。
- PCからインターネットへのアクセスは現行のままデータセンターのプロキシサーバ経由とし、各拠点から直接インターネットアクセスできるようにすることは次フェーズで検討する。
Jさんが検討した、G社のSD-WAN装置導入後のネットワーク構成を図2に示す。
[SD-WANトンネル検討]
Jさんは、図2のネットワーク構成におけるSD-WAN装置間のIPsecトンネルの構成について検討した。Jさんが考えたSD-WAN装置間のIPsecトンネルの構成を図3に示す。
Jさんは、このIPsecトンネルの構成を前提として、今後設計するSD-WANの動作を次のようにまとめた。
- SD-WANコントローラーは、各拠点のSD-WAN装置から経路情報を受信し、それらにポリシーを適用して、全拠点のSD-WAN装置に経路情報をアドバタイズする。
- このときアドバタイズされる経路情報は、SD-WAN装置にローカルに接続されたネットワーク情報とそれぞれのSD-WAN装置がもつTE情報である。
- 拠点間の通信は、⑦L社VPNを優先的に利用し、L社VPNが使えないときはインターネットを経由する。
Jさんは、これらの検討結果を基に報告を行い、SD-WAN導入の方針が承認された。
前回は設問3でOSPFのLSAという、多くの受験者が苦手とする分野を掘り下げました。今回はいよいよ、この問題の主役である「SD-WAN」の具体的な機能に迫る【設問4】を解説します。
SD-WANがどのようにして拠点間のトンネルを構築し、そして回線の安定性をどのように確保しているのか。その核心に触れる内容です。特に、設問4(2)で登場する「BFD」は、【採点講評】で正答率が低かったと指摘された重要技術。ここでしっかりと理解を深め、確実な得点源にしていきましょう!
この記事で学べること
- 令和6年度 NW試験 午後1 問2【設問4】の考え方と解答の導き方
- SD-WANコントローラーがIPsecトンネルを自動構築する仕組み
- 【重要】高速障害検知技術「BFD」の目的とメリット
SD-WANの心臓部!コントローラーの役割
設問に入る前に、SD-WANの基本的な仕組みを思い出しておきましょう。
SD-WAN環境では、「SD-WANコントローラー」と呼ばれる司令塔が、各拠点に設置された「SD-WAN装置」を集中管理します 。管理者はコントローラーを操作するだけで、全拠点の装置に設定を反映させたり、状態を監視したりできます。
拠点間の通信は、MPLS VPNやインターネットといった物理的な回線(アンダーレイ)の上に、IPsecトンネルによる仮想的なネットワーク(オーバーレイ)を構築して行われます 。このIPsecトンネルの構築や管理を自動化してくれるのが、コントローラーの大きな役割の一つです。
(図2のような、コントローラーが各装置を管理する構成をイメージしてください)
この基本構造を頭に入れて、設問を見ていきましょう。
【設問4】SD-WANの仕組みを解き明かす
(1) コントローラーが配る「魔法の情報」とは?
本文中の下線⑤について、SD-WANコントローラーから送られる情報を二つ挙げ、それぞれ25字以内で答えよ。
本文の下線⑤の箇所には、「SD-WAN コントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsec トンネルを構築するために必要な情報の2種類がある」 と書かれています。
問題が問うているのは、この「IPsecトンネルを構築するために必要な情報」とは具体的に何か?ということです。
ここで、基本的なIPsecトンネル(サイト間VPN)を手動で設定する場面を想像してみてください。何の情報が必要でしょうか?
- 通信相手の特定: どのルータとトンネルを張るのか?そのためには、相手のグローバルIPアドレスなど、対向装置のIPアドレスが必要です。
- 安全な通信の確立: 通信を暗号化したり、正しい相手かを確認したりするためには、お互いだけが知っている秘密の情報が必要です。一般的には「事前共有鍵(PSK)」や「電子証明書」などが使われますが、これらをまとめて「認証や暗号化のための鍵情報」と考えることができます。
SD-WANでは、これらの情報を管理者が一台一台の装置に手で設定する代わりに、コントローラーが自動で各装置に配布してくれます。これにより、設定の手間が大幅に削減され、人為的なミスも防げるわけですね。
この2つの要素を、25字以内という字数制限に合わせてまとめると、解答例のようになります。
- IPsec トンネル確立のためのIPアドレス
- IPsecトンネル確立のための鍵情報
これらが、コントローラーから送られる「魔法の情報」の正体です。
(2) なぜBFDが必要なの?【差がつくポイント】
本文中の下線⑥について、トンネルインタフェースにBFDを設定する目的を、”IPsecトンネル”という用語を用いて35字以内で答えよ。
この問題は、【採点講評】で「正答率が低かった」と指摘されています 。しかし、ネットワークの安定性を考える上で非常に重要な技術なので、この機会に絶対にマスターしましょう!
従来の障害検知の課題
まず、なぜわざわざBFD (Bidirectional Forwarding Detection) という特別な仕組みが必要なのでしょうか。
従来のルーティングプロトコル(OSPFやBGPなど)にも、HelloパケットやKeepaliveといった仕組みで対向ルータが正常に稼働しているかを確認する機能はあります。しかし、これらの検知時間は数秒から数十秒かかるのが一般的です。
また、IPsecトンネルはあくまで仮想的なインターフェースです。その下にある物理回線(アンダーレイ)でパケットロスが多発したり、通信が不安定になったりしても、IPsecトンネルのインターフェース自体は「UP」状態のままで、ルータがすぐに障害を認識できないケースがあります。
これでは、通信が不安定になっているのに気づかず、その経路を使い続けてしまい、アプリケーションの品質が著しく低下する、といった事態になりかねません。
BFDによる高速な解決策
BFDは、こうした課題を解決するために生まれました。その名の通り、「双方向のパケット転送(Forwarding)が正常に行われているか」を検知(Detection)することに特化したプロトコルです。
SD-WANでは、MPLSとインターネットなど複数の回線を束ねて利用します。BFDを使って各IPsecトンネルの状態を常時高速に監視することで、「インターネット回線の品質が落ちたから、即座にMPLS回線経由に切り替えよう」といった、インテリジェントで高速な経路制御が実現できるのです。
したがって、BFDを設定する目的は、これらの要素を「IPsecトンネル」という言葉を使って35字以内にまとめることで導き出せます。
解答例: IPsec トンネルに障害があった場合の検出を高速にする。
まさに、BFDの役割を的確に表した解答ですね。
採点講評から学ぶ「安定稼働への意識」
【採点講評】には、「BFDのような障害検知のための技術はネットワークを安定的に稼働させるために役に立つ技術である。障害検知の手法や関連知識を広く身に付けておくことは重要である」 とあります。
ネットワークを「つなぐ」だけでなく、「つなぎ続ける」こと、つまり高可用性を実現することが、ネットワークエンジニアに求められる重要なスキルです。BFDの知識は、まさにそのスキルレベルを測る一つの指標と言えるでしょう。
まとめ
今回は、SD-WANの裏側を支える重要な技術について学びました。
- SD-WANコントローラー: IPsecトンネル構築に必要なIPアドレスや鍵情報を各装置に自動配布し、設定を簡素化する。
- BFD: IPsecトンネルの状態をミリ秒単位で高速に監視し、障害検知を迅速化することで、ネットワーク全体の安定性と可用性を向上させる。
SD-WANは単に便利で楽ができるだけでなく、BFDのような技術を組み合わせることで、従来のWANよりも可用性の高いネットワークを構築できるという大きなメリットがあります。
さて、次はいよいよ最後の設問【設問5】です。SD-WANが実際にどのように通信経路を切り替えるのか、具体的なシナリオに沿って見ていきましょう!