【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1 No.4】
ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1(一部、加工あり)】
[EVPNの概要]
K社の情報システム部では、S課長から指示を受けたQ主任が、EVPNを用いたVXLANの技術検証を検討することになった。Q主任が調査したEVPNの概要を示す。
RFC 7432及びRFC 8365で規定されたEVPNは、RFC 4760で規定されたMP-BGP(Multiprotocol Extensions for BGP-4)を用いて、オーバーレイネットワークを制御するための情報を交換する。VXLANのネットワークにEVPNを適用した場合、コントロールプレーンにEVPNを用いてオーバーレイネットワークを制御して、データプレーンにVXLANを用いてイーサネットフレームを転送する。
図1の構成例に対してEVPNを適用した場合のEVPNの主な機能について、Q社がK社の現行のネットワークと比較して確認した内容を次に示す。
- 機能1:リモートVTEPに関する情報の学習について
現行のネットワークでは、VTEPは受信したVXLANパケットからリモートVTEPの情報を学習する。EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPのIPアドレス及びVNIなどの情報をあらかじめ学習する。 - リモートVTEPに接続されたサーバに関する情報の学習について
現行のネットワークでは、VTEPは受信したVXLANパケットから、リモートVTEPに接続されたサーバのMACアドレス、VNI及びリモートVTEPのIPアドレスの情報を学習する。EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPに接続されたサーバのMACアドレス、VNI及びリモートVTEPのIPアドレスなどの情報をあらかじめ学習する。 - サーバとの接続について
現行のネットワークでは、複数のVTEPとサーバの接続にリンクアグリゲーションを利用できない。EVPNを適用した場合、VTEPはMP-BGPを用いて、自身に接続されたサーバを識別するESI(Ethernet Segment Identifier)という識別子を交換できるようになる。同じESIを設定した論理インタフェースをもつ複数のVTEPは、サーバとの接続にリンクアグリゲーションを利用できる。
[新検証NWの設計]
Q主任は、現行の検証NWを基に、EVPNを用いたVXLANを検証するためのネットワーク(以下、新検証NWという)を設計することにした。新検証NWを図5に示す。
現行の検証NWから新検証NWに流用される設計を次に示す。
- 新検証NWのL3SW及びVMには、図3及び図4中のIPアドレス及びVLAN IDと同じ値を割り当てる。
- 物理サーバに接続するL3SWのポートには、タグVLANを設定する。
- L3SWの経路制御にOSPFを用いて、現行の検証NWと同じ設定にする。
- 新検証NWのVLAN、VXLAN及びVTEPを図4と同じ論理構成にする。
- L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32にVTEPを設定する。
- VTEPには、それぞれのL3SWのループバックインタフェースに割り当てるIPアドレスを使用する。
新検証NWに追加されるEVPNについての設計を次に示す。
- L3SWのEVPNを有効にする。
- L3SWにMP-BGPを設定して、ASを65001にする。
- ⑩L3SW01及びL3SW02をMP-BGPのルートリフレクタにして、L3SW01とL3SW02との間でiBGPピアリングを行う。
- L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32をルートリフレクタのクライアントにして、L3SW01及びL3SW02とiBGPピアリングを行う。
- iBGPのピアリングに使用するIPアドレスには、それぞれのL3SWのループバックインタフェースに割り当てるIPアドレスを使用する。
新検証NWにおける、現行の検証NWから変更される設計を次に示す。
- 現行の検証NWで用いていたIPマルチキャストルーティングについては、利用しない。
- VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にする。
- 物理サーバの二つのNICをアクティブ/アクティブ構成にして、リンクアグリゲーションを用いてL3SWに接続する。
Q主任は、EVPNの機能1〜3、図3〜5を参照して、新検証NWの設計及びEVPNの機能を、上司のS課長に説明した。2人の会話を次に示す。
Q主任:EVPNの技術検証を行うための新検証NWを設計しました。図5のとおり、L3SWにMP-BGPを設定して、EVPNを用いたVXLANを構成するための物理ネットワークを構築します。VLAN、VXLAN及びVTEPについては、図4と同じ論理構成を組みます。
S課長:新検証NWでEVPNをどのように利用するのか教えてください。
Q主任:EVPNの”機能1”では、L3SWのVTEPはMP-BGPを利用して、リモートVTEPの情報をあらかじめ学習します。BUMフレームを受信したVTEPは、学習したリモートVTEPの情報を参照して、VLAN IDに対応するVNIをもつ各リモートVTEPを宛先に転送できるようになります。VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にします。
S課長:IPマルチキャストルーティングを利用できないネットワークであっても拡張できるようになるのですね。ほかの機能についても説明してください。
Q主任:EVPNの”機能2”では、VTEPはMP-BGPを利用して、リモートVTEPに接続されたVMのMACアドレス、VNI及びリモートVTEPのIPアドレスをあらかじめ学習します。VTEPは、リモートVTEPに接続されたVM宛てのイーサネットフレームを、学習した情報を参照して転送します。”機能2”によって、BUMフレームのうちの(f)によるフラッディングの発生を低減できます。
S課長:ネットワーク負荷の軽減を期待できそうですね。ところで、図5中の物理サーバとL3SWの接続方法は、図3中の接続方法を異なるのですか。
Q主任:物理サーバとL3SWとの間は、⑪EVPNの”機能3”によって、リンクアグリゲーションを用いて接続します。同一の物理サーバに接続する2台のL3SWに作成するリンクアグリゲーションの論理インタフェースには、同一の物理サーバに接続されていることを識別させるために、同じ(g)を設定します。
S課長:新検証NWを使ってどのようなテストを実施するのか教えてください。
Q主任:VM同士の通信可否を確認します。
S課長:現行の検証NWから設定を変更するBUMフレームの転送についても、動作を確認してください。
Q主任:分かりました。⑫ARP要求フレームをカプセル化した全てのVXLANパケットをキャプチャして、宛先IPアドレスを確認します。
Q主任が検討した新検証NWの設計及びテストの内容は、情報システム部で承認された。Q主任はEVPNの技術検証のため、新検証NWの構築に着手した。
下線⑩について、ルートリフレクタを用いる利点を”iBGP”という字句を用いて25字以内で答えよ。また、図5中のL3SW01及びL3SW02をルートリフレクタとして冗長化するときに、ループを防止するために設定するIDの名称を答えよ。:(利点)iBGPピアの数を減らすことができる。(名称)クラスターID
「⑩L3SW01及びL3SW02をMP-BGPのルートリフレクタにして、L3SW01とL3SW02との間でiBGPピアリングを行う。」
BGPでは、経路情報を交換するルータ間でピアリングという論理的な接続構成を取ります。
なぜこのようなピアリングを行うかですが、BGPが信頼性を重視したルーティングプロトコルだからです。
OSPFでは、マルチキャストで同一セグメント上の他のルータと経路情報を交換しますが、相手のルータが信用できるかどうか分かりません。
BGPではピアリングで指定した相手とのみ経路情報を交換するので、信頼性を担保することができます。
そして、iBGPでのピアリングの場合は、受信した経路情報を他のルータに広報(アドバタイズ)しません。
理由はiBGPではAS番号が同じであり、経路情報がループしているかどうかを判断できないからです。
(eBGPの場合は他のルータとAS番号が異なり、受信したAS_PATHに自AS番号があればループを検知できます)
したがって、iBGPの場合はフルメッシュでのピアリングが必要になりますが、L3SWの台数が多いと設定が多く煩雑になります。
ルートリフレクタを使用することで、ルートリフレクタが経路情報をアドバタイズし、ルートリフレクタとのみピアリングすることで、iBGPピア数を減らすことができます。
ここで、唯一経路情報をアドバタイズするルートリフレクタですが、自身にクラスターIDを設定して、アドバタイズする経路情報にCLUSTER_LIST属性を付与します。
これにより、受信した経路情報に自身のクラスターIDがあった場合は当該経路情報を破棄することで、ループを防ぐことができます。
IPAの採点講評では「正答率が低かった。OSPFと同様に、BGPも様々な場面で利用されている重要なネットワーク技術である。BGPについても理解を深めてほしい。」とありました。
f:Unknown Unicast、g:ESI
「VTEPは、リモートVTEPに接続されたVM宛てのイーサネットフレームを、学習した情報を参照して転送します。”機能2”によって、BUMフレームのうちの(f)によるフラッディングの発生を低減できます。」
イーサネットフレームの種類にはユニキャストとBUMフレームがあり、フラッディングを伴うBUMフレームはBroadcast、Unknown Unicast、Multicastの3種類のフレームです。
このうち、Broadcast、Multicastは該当するVTEP全てに送信するためのフレームですので、そもそもフラッディングの低減を図るものではありません。
残りのUnknown Unicastは、MACアドレスを学習していない場合に送信するフレームであり、あらかじめMACアドレスを学習することでユニキャストのフレームとして送信することが可能となり、フラッディングの発生を低減できます。
「物理サーバとL3SWとの間は、⑪EVPNの”機能3”によって、リンクアグリゲーションを用いて接続します。同一の物理サーバに接続する2台のL3SWに作成するリンクアグリゲーションの論理インタフェースには、同一の物理サーバに接続されていることを識別させるために、同じ(g)を設定します。」
機能3の説明に「EVPNを適用した場合、VTEPはMP-BGPを用いて、自身に接続されたサーバを識別するESI(Ethernet Segment Identifier)という識別子を交換できるようになる。同じESIを設定した論理インタフェースをもつ複数のVTEPは、サーバとの接続にリンクアグリゲーションを利用できる。」とあり、L3SWの論理インタフェースに同じESIを設定することが分かります。
下線⑪について、現行の検証NWと比較したときの利点を25字以内で答えよ。:二つの回線の帯域を有効に利用できる。
「物理サーバとL3SWとの間は、⑪EVPNの”機能3”によって、リンクアグリゲーションを用いて接続します。」
現行の検証NWでは二つのNICはアクティブ/スタンバイでしたが、新検証NWでは「物理サーバの二つのNICをアクティブ/アクティブ構成にして、リンクアグリゲーションを用いてL3SWに接続する。」とあるように、アクティブ/アクティブに変更されます。
リンクアグリゲーションでは帯域の拡張と、冗長化による信頼性向上のメリットがありますが、アクティブ/アクティブにすることに限れば帯域の拡張が望めます。
ここで注意が必要なのが、リンクアグリゲーションによる回線の振り分けアルゴリズムによっては、束ねた二つの回線を常時使用できるとは限らないということです。
したがって、解答例のように帯域の有効利用とすべきでしょう。
下線⑫について、VTEPは宛先IPアドレスにセットするリモートVTEPのIPアドレスをどのように学習するか。20字以内で答えよ。:MP-BGPを用いて学習する。
「⑫ARP要求フレームをカプセル化した全てのVXLANパケットをキャプチャして、宛先IPアドレスを確認します。」
S課長の「現行の検証NWから設定を変更するBUMフレームの転送についても、動作を確認してください。」を受けての記述です。
BUMフレームについては、新検証NWでは「VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にする。」とあるので、宛先IPアドレスがマルチキャストからユニキャストに変わっていることを確認することが目的です。
問われているのはそのユニキャストIPアドレスをどのように学習するかですので、機能1の「EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPのIPアドレス及びVNIなどの情報をあらかじめ学習する。」の記述と、20字以内で簡潔に解答すると、MP-BGPを用いる学習となるでしょう。
下線⑫について、あるVLAN IDをセットされたARP要求フレームを、VTEPによってどのようなリモートVTEPに転送されるか。”VNI”という字句を用いて40字以内で答えよ。:VLAN IDに対応するVNIをもつ全てのリモートVTEP
VLAN ID、VTEP、VNIの関連が分かる箇所を探すと、図4に具体的に示されています。
これによると、VLAN IDに紐付けされているVNIの関係性が確認でき、L3SWのVTEPでは、VMから受信するVLAN IDと紐付くVNIをもつリモートVTEPに送信するようになっていることが分かります。
図4では、送信する際の宛先がマルチキャストIPアドレスになっていますが、新検証NWではここがユニキャストIPアドレスに変わっています。
問われているのはVTEPが転送するリモートVTEPですので、VLAN IDに紐付けされているVNIをもつVTEPとあることを示せばいいでしょう。
