【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2 設問5】SD-WAN
ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問2(一部、加工あり)】
問2 SD-WANによる拠点接続に関する次の記述を読んで、設問に答えよ。
G社は、本社とデータセンター及び二つの支店をもつ企業である。G社では、業務拡大による支店の追加が計画されている。支店の追加によるネットワーク構成の変更について、SD-WANを活用することで、設定作業を行いやすくするとともにWANの冗長化も行うという改善方針が示された。そこで、情報システム部のJさんが設計担当としてアサインされ、対応することになった。G社の現行ネットワーク構成を図1に示す。
[現行ネットワーク概要]
G社の現行ネットワーク概要を次に示す。
- G社には、データセンター、本社、支店V及び支店Wの四つの拠点がある。これらの拠点は、L社が提供するMPLS VPN(以下、L社VPNという)を介して相互に接続している。
- 各拠点のPCとサーバは、データセンターのプロキシサーバを経由してインターネットへアクセスする。
- データセンターのFWは、パケットフィルタリングによるアクセス制御を行っている。
- PE1〜4は、L社VPNの顧客のネットワークを収容するために設置した、プロバイダエッジルータ(以下、PEルータという)である。
- ルータ1〜4は、拠点間を接続する機器であり、L社のPEルータと対向する(ア)エッジルータである。
- L社のPEルータは、G社との間のBGPピアにas-overrideを設定している。この設定によって、G社の複数の拠点で同一のAS番号を用いる構成が可能になっている。一般に、PEルータにおけるas-override設定の有無によって、経路情報交換の処理をする際にやり取りされる経路情報が異なったものとなる。例えば、本社のルータ2に届く支店Vの経路情報は、①as-override設定の有無で表1となる。②G社現行ネットワークで利用している各拠点のIPアドレスとAS番号を表2に示す。
[現行の経路制御概要]
G社の現行の経路制御の概要を次に示す。
- 拠点内は、OSPFによって経路制御を行っている。
- 拠点間は、BGP4によって経路制御を行っている。
- OSPFエリアは全てエリア0である。
- ルータ1〜4で二つのルーティングプロトコル間におけるルーティングを可能にするために、経路情報の(イ)をしている。このとき、一方のルーティングプロトコルで学習された経路がもう一方のルーティングプロトコルを介して③再び同じルーティングプロトコルに渡されることのないように経路フィルターが設定されている。
- 全拠点からインターネットへのhttp/https通信ができるように、(ウ)のサブネットを宛先とする経路をOSPFで配布している。この経路情報は、途中BGP4を経由して、④3拠点(本社、支店V、支店W)のルータ及びL3SWに届く。
- BGP4において、AS内部の経路交換はiBGPが用いられるのに対し、各拠点のルータとPEルータとの経路交換では(エ)が用いられる。
- L社VPNと接続するために、AS番号65500が割り当てられている。このAS番号はインターネットに接続されることのないASのために予約されている番号の範囲に含まれる。このようなAS番号を(オ)AS番号という。
- L社VPNのAS番号は64500である。
[SD-WAN導入検討]
Jさんは、SD-WANを取り扱っているネットワーク機器ベンダーK社の技術者に相談しながら検討することにした。また、K社がインターネット経由でクラウドサービスとして提供しているSD-WANコントローラーの活用を検討することにした。
K社のSD-WAN装置とSD-WANコントローラーの主な機能を次に示す。
- SD-WANコントローラーは、SD-WAN装置に対して独自プロトコルを利用して、オーバーレイ構築に必要な情報の収集と配布を行うことで、複数のSD-WAN装置を集中管理する。
- アンダーレイネットワークとして、MPLS VPNとインターネット回線が利用可能である。
- オーバーレイネットワークは、SD-WAN装置間のIPsecトンネルで構築される。IPsecトンネルの確立ではSD-WAN装置のIPアドレスが用いられる。IPsecトンネルの端点をTE(Tunnel Endpoint)と呼ぶ。
- オーバーレイネットワークは、アプリケーショントラフィックを識別したルーティングを行う。このように、アプリケーショントラフィックを識別したルーティングを(カ)ルーティングという。
- SD-WANコントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsecトンネルを構築するために必要な情報の2種類がある。
- SD-WANコントローラーとSD-WAN装置間の通信はTLSで保護される。
- SD-WAN装置は、VRF(Virtual Routing and Forwarding)による独立したルーティングインスタンス(以下、RIという)を複数もつ。そのうちの一つのRIはコントロールプレーンで用いられ、他のRIはデータプレーンで用いられる。
- SD-WAN装置は、RFC 5880で規定されたBFD(Bidirectional Forwarding Detection)機能を有する。
Jさんは、K社のSD-WANをG社ネットワークへ導入する方法を検討し、実施する項目として次のとおりポイントをまとめた。
- 各拠点のルータをK社の提供するSD-WAN装置に置き換える。各拠点のSD-WAN装置を2台構成とする冗長化は次フェーズで検討する。
- SD-WAN装置の設定については、K社がクラウドサービスとして利用者に提供するSD-WANコントローラーで集中管理する。
- 拠点ごとに新規にインターネット接続回線を契約し、SD-WAN装置に接続する。
- 拠点のSD-WAN装置間に、インターネット経由とL社VPN経由でIPsecトンネルを設定する。
- ⑥拠点のSD-WAN装置間のトンネルインタフェースで、BFDを有効化する。
- 全体的な経路制御はSD-WANコントローラーとSD-WAN装置間で行う。
- PCからインターネットへのアクセスは現行のままデータセンターのプロキシサーバ経由とし、各拠点から直接インターネットアクセスできるようにすることは次フェーズで検討する。
Jさんが検討した、G社のSD-WAN装置導入後のネットワーク構成を図2に示す。
[SD-WANトンネル検討]
Jさんは、図2のネットワーク構成におけるSD-WAN装置間のIPsecトンネルの構成について検討した。Jさんが考えたSD-WAN装置間のIPsecトンネルの構成を図3に示す。
Jさんは、このIPsecトンネルの構成を前提として、今後設計するSD-WANの動作を次のようにまとめた。
- SD-WANコントローラーは、各拠点のSD-WAN装置から経路情報を受信し、それらにポリシーを適用して、全拠点のSD-WAN装置に経路情報をアドバタイズする。
- このときアドバタイズされる経路情報は、SD-WAN装置にローカルに接続されたネットワーク情報とそれぞれのSD-WAN装置がもつTE情報である。
- 拠点間の通信は、⑦L社VPNを優先的に利用し、L社VPNが使えないときはインターネットを経由する。
Jさんは、これらの検討結果を基に報告を行い、SD-WAN導入の方針が承認された。
ついに、令和6年度 春期 午後1 問2 の解説シリーズも最終回を迎えました!最後を飾るのは【設問5】です。これまでの設問で学んできたBGP、OSPF、そしてSD-WANの様々な機能を総動員し、実際の通信がどのように流れるのかを読み解く、まさに集大成となる問題です。
SD-WANの真価である「インテリジェントな経路制御」と「高い可用性」がどのように実現されるのか、具体的なシナリオを通して体感していきましょう!
この記事で学べること
- 令和6年度 NW試験 午後1 問2【設問5】の考え方と解答の導き方
- SD-WANにおけるポリシーベースの経路選択の仕組み
- 障害発生時の自動的な経路切り替え(フェイルオーバー)の具体的なフロー
最終問題を解くための「2つのカギ」
設問5に挑む前に、問題を解くために絶対に押さえておくべき「2つのカギ」を本文と図から見つけ出しましょう。
カギ1:通信の「ルール」
本文の最後の方に、SD-WAN導入後の動作をまとめた記述があります。その中に、非常に重要な一文があります。
⑦L社VPNを優先的に利用し、L社VPNが使えないときはインターネットを経由する。
これが、G社のSD-WANにおける通信経路選択の絶対的なルール(ポリシー)です。通常時はL社VPN、障害時はインターネット。このシンプルなルールがすべての基本となります。
カギ2:通信経路の「地図」
もう一つのカギは、SD-WAN装置間のIPsecトンネル構成を示した図3です 。この図の読み方が分からないと、問題を解くことはできません。
- 実線: L社VPNを経由するIPsecトンネル
- 破線: インターネットを経由するIPsecトンネル
- TE (Tunnel Endpoint): IPsecトンネルの入口と出口を示す点 。通信は、必ずこのTEを通過します。
この「ルール」と「地図」を手に、設問に挑戦しましょう!
【設問5】SD-WANの経路選択を追跡せよ!
(1) 通常時の通信が通過するTEはどれ?
本文中の下線⑦について、通常時に本社のPCから支店VのPCへの通信が通過するTEはどれか。図3中の字句で全て答えよ。
ステップ1:シナリオの確認
- 通信元: 本社のPC (SD-WAN装置2の配下)
- 通信先: 支店VのPC (SD-WAN装置3の配下)
- 状況: 通常時(障害なし)
ステップ2:ルールの適用
「カギ1」で確認したルールを適用します。通常時は「L社VPNを優先的に利用する」でしたね 。 ということは、通信は図3の実線で示されたIPsecトンネルを通ることになります。
ステップ3:地図(図3)で経路を追跡
- 本社PCからの通信は、まずSD-WAN装置2に到着します。
- SD-WAN装置2は、支店V(装置3)への通信なので、優先経路であるL社VPN(実線)のトンネルを選択します。
- 図3で、装置2から装置3へ向かう実線のトンネルを見てください。その入口、つまり通信が出ていく点のTEは「TE023」です。
- パケットはL社VPN上のトンネルを通過し、支店VのSD-WAN装置3に到着します。
- そのトンネルの出口、つまり通信が入ってくる点のTEは「TE032」です。
- SD-WAN装置3は、パケットを支店VのPCへ転送します。
したがって、この通信が通過するTEは、入口と出口の「TE023」と「TE032」の二つです 。
(2) 障害発生!バックアップ経路を通過するTEは?
(1) において、支店VのL社VPN接続回線に障害があった場合、本社のPCから支店VのPCへの通信が通過するTEはどれか。図3中の字句で全て答えよ。
ステップ1:シナリオの確認
- 通信元: 本社のPC (SD-WAN装置2の配下)
- 通信先: 支店VのPC (SD-WAN装置3の配下)
- 状況: 支店VのL社VPN回線に障害が発生
ステップ2:ルールの適用
ここで再び「カギ1」のルールです。「L社VPNが使えないときはインターネットを経由する」でしたね 。 SD-WAN装置は、設問4で学んだBFDなどを使ってL社VPN回線の障害を高速に検知し、自動的にバックアップ経路へ通信を切り替えます。 つまり、今度の通信は図3の破線で示されたIPsecトンネルを通ります。
ステップ3:地図(図3)で経路を追跡
- 本社PCからの通信は、同じくSD-WAN装置2に到着します。
- SD-WAN装置2は、L社VPN経由の経路が使えないことを検知し、バックアップ経路であるインターネット(破線)のトンネルを選択します。
- 図3で、装置2から装置3へ向かう破線のトンネルを見てください。その入口のTEは「TE123」です。
- パケットはインターネット上のトンネルを通過し、支店VのSD-WAN装置3に到着します。
- そのトンネルの出口のTEは「TE132」です。
したがって、障害時の通信が通過するTEは「TE123」と「TE132」となります 。
💡SD-WANの賢さ
この一連の流れが、SD-WANの最大のメリットです。障害を自動で検知し、瞬時にバックアップ経路に切り替えることで、利用者は通信が途切れたことにほとんど気づくことなく、業務を継続できます。これを手動でやろうとすると大変ですよね!
シリーズ全体のまとめ:新旧技術の融合を理解する
この令和6年度午後1問2は、SD-WANという現代的なテーマを扱いながらも、その根底にあるBGPやOSPFといった普遍的なネットワーク技術の深い理解を問う、非常にバランスの取れた良問でした。
- 設問1, 2, 3: 従来のネットワーク技術(CE/PE, BGP, OSPF, 再配布, LSA)の正確な知識が問われました。
- 設問4: SD-WANを構成する要素技術(コントローラーの役割, BFD)の理解が問われました。
- 設問5: 上記すべての知識を総動員し、SD-WANがポリシーに基づいてどのように経路を制御するかを読み解く、実践的な応用力が試されました。
【出題趣旨】にもあるように、SD-WANを正しく導入・活用するためには、その便利な機能の裏側で動いているIPネットワーク技術の原理原則を理解していることが不可欠です。この問題を通して、新しい技術を学ぶ上でも、盤石な基礎知識こそが最も重要であることを再認識できたのではないでしょうか。
この解説シリーズが、皆さんの合格への一助となれば幸いです。最後までお読みいただき、ありがとうございました!これからも一緒に学習を頑張っていきましょう!
