サイトアイコン やさしいネットワークとセキュリティ

【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2 設問4】SD-WANコントローラー-BFD

湊 コウ

ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2

【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2(一部、加工あり)】

問2 SD-WANによる拠点接続に関する次の記述を読んで、設問に答えよ。

 G社は、本社とデータセンター及び二つの支店をもつ企業である。G社では、業務拡大による支店の追加が計画されている。支店の追加によるネットワーク構成の変更について、SD-WANを活用することで、設定作業を行いやすくするとともにWANの冗長化も行うという改善方針が示された。そこで、情報システム部のJさんが設計担当としてアサインされ、対応することになった。G社の現行ネットワーク構成を図1に示す。


[現行ネットワーク概要]
 G社の現行ネットワーク概要を次に示す。


[現行の経路制御概要]
 G社の現行の経路制御の概要を次に示す。

[SD-WAN導入検討]
 Jさんは、SD-WANを取り扱っているネットワーク機器ベンダーK社の技術者に相談しながら検討することにした。また、K社がインターネット経由でクラウドサービスとして提供しているSD-WANコントローラーの活用を検討することにした。
 K社のSD-WAN装置とSD-WANコントローラーの主な機能を次に示す。


 Jさんは、K社のSD-WANをG社ネットワークへ導入する方法を検討し、実施する項目として次のとおりポイントをまとめた。

 Jさんが検討した、G社のSD-WAN装置導入後のネットワーク構成を図2に示す。


[SD-WANトンネル検討]
 Jさんは、図2のネットワーク構成におけるSD-WAN装置間のIPsecトンネルの構成について検討した。Jさんが考えたSD-WAN装置間のIPsecトンネルの構成を図3に示す。


 Jさんは、このIPsecトンネルの構成を前提として、今後設計するSD-WANの動作を次のようにまとめた。


 Jさんは、これらの検討結果を基に報告を行い、SD-WAN導入の方針が承認された。

前回は設問3でOSPFのLSAという、多くの受験者が苦手とする分野を掘り下げました。今回はいよいよ、この問題の主役である「SD-WAN」の具体的な機能に迫る【設問4】を解説します。

SD-WANがどのようにして拠点間のトンネルを構築し、そして回線の安定性をどのように確保しているのか。その核心に触れる内容です。特に、設問4(2)で登場する「BFD」は、【採点講評】で正答率が低かったと指摘された重要技術。ここでしっかりと理解を深め、確実な得点源にしていきましょう!

この記事で学べること

SD-WANの心臓部!コントローラーの役割

設問に入る前に、SD-WANの基本的な仕組みを思い出しておきましょう。

SD-WAN環境では、「SD-WANコントローラー」と呼ばれる司令塔が、各拠点に設置された「SD-WAN装置」を集中管理します 。管理者はコントローラーを操作するだけで、全拠点の装置に設定を反映させたり、状態を監視したりできます。

拠点間の通信は、MPLS VPNやインターネットといった物理的な回線(アンダーレイ)の上に、IPsecトンネルによる仮想的なネットワーク(オーバーレイ)を構築して行われます 。このIPsecトンネルの構築や管理を自動化してくれるのが、コントローラーの大きな役割の一つです。

(図2のような、コントローラーが各装置を管理する構成をイメージしてください)

この基本構造を頭に入れて、設問を見ていきましょう。

【設問4】SD-WANの仕組みを解き明かす

(1) コントローラーが配る「魔法の情報」とは?

本文中の下線⑤について、SD-WANコントローラーから送られる情報を二つ挙げ、それぞれ25字以内で答えよ。

本文の下線⑤の箇所には、「SD-WAN コントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsec トンネルを構築するために必要な情報の2種類がある」 と書かれています。

問題が問うているのは、この「IPsecトンネルを構築するために必要な情報」とは具体的に何か?ということです。

ここで、基本的なIPsecトンネル(サイト間VPN)を手動で設定する場面を想像してみてください。何の情報が必要でしょうか?

  1. 通信相手の特定: どのルータとトンネルを張るのか?そのためには、相手のグローバルIPアドレスなど、対向装置のIPアドレスが必要です。
  2. 安全な通信の確立: 通信を暗号化したり、正しい相手かを確認したりするためには、お互いだけが知っている秘密の情報が必要です。一般的には「事前共有鍵(PSK)」や「電子証明書」などが使われますが、これらをまとめて「認証や暗号化のための鍵情報」と考えることができます。

SD-WANでは、これらの情報を管理者が一台一台の装置に手で設定する代わりに、コントローラーが自動で各装置に配布してくれます。これにより、設定の手間が大幅に削減され、人為的なミスも防げるわけですね。

この2つの要素を、25字以内という字数制限に合わせてまとめると、解答例のようになります。

これらが、コントローラーから送られる「魔法の情報」の正体です。

(2) なぜBFDが必要なの?【差がつくポイント】

本文中の下線⑥について、トンネルインタフェースにBFDを設定する目的を、”IPsecトンネル”という用語を用いて35字以内で答えよ。

この問題は、【採点講評】で「正答率が低かった」と指摘されています 。しかし、ネットワークの安定性を考える上で非常に重要な技術なので、この機会に絶対にマスターしましょう!

従来の障害検知の課題

まず、なぜわざわざBFD (Bidirectional Forwarding Detection) という特別な仕組みが必要なのでしょうか。

従来のルーティングプロトコル(OSPFやBGPなど)にも、HelloパケットやKeepaliveといった仕組みで対向ルータが正常に稼働しているかを確認する機能はあります。しかし、これらの検知時間は数秒から数十秒かかるのが一般的です。

また、IPsecトンネルはあくまで仮想的なインターフェースです。その下にある物理回線(アンダーレイ)でパケットロスが多発したり、通信が不安定になったりしても、IPsecトンネルのインターフェース自体は「UP」状態のままで、ルータがすぐに障害を認識できないケースがあります。

これでは、通信が不安定になっているのに気づかず、その経路を使い続けてしまい、アプリケーションの品質が著しく低下する、といった事態になりかねません。

BFDによる高速な解決策

BFDは、こうした課題を解決するために生まれました。その名の通り、「双方向のパケット転送(Forwarding)が正常に行われているか」を検知(Detection)することに特化したプロトコルです。

SD-WANでは、MPLSとインターネットなど複数の回線を束ねて利用します。BFDを使って各IPsecトンネルの状態を常時高速に監視することで、「インターネット回線の品質が落ちたから、即座にMPLS回線経由に切り替えよう」といった、インテリジェントで高速な経路制御が実現できるのです。

したがって、BFDを設定する目的は、これらの要素を「IPsecトンネル」という言葉を使って35字以内にまとめることで導き出せます。

解答例: IPsec トンネルに障害があった場合の検出を高速にする。

まさに、BFDの役割を的確に表した解答ですね。

採点講評から学ぶ「安定稼働への意識」

【採点講評】には、「BFDのような障害検知のための技術はネットワークを安定的に稼働させるために役に立つ技術である。障害検知の手法や関連知識を広く身に付けておくことは重要である」 とあります。

ネットワークを「つなぐ」だけでなく、「つなぎ続ける」こと、つまり高可用性を実現することが、ネットワークエンジニアに求められる重要なスキルです。BFDの知識は、まさにそのスキルレベルを測る一つの指標と言えるでしょう。

まとめ

今回は、SD-WANの裏側を支える重要な技術について学びました。

SD-WANは単に便利で楽ができるだけでなく、BFDのような技術を組み合わせることで、従来のWANよりも可用性の高いネットワークを構築できるという大きなメリットがあります。

さて、次はいよいよ最後の設問【設問5】です。SD-WANが実際にどのように通信経路を切り替えるのか、具体的なシナリオに沿って見ていきましょう!

モバイルバージョンを終了