企業ネットワークの統合に関する次の記述を読んで,設問1〜4に答えよ。
D社は,本社及び三つの支社を国内にもつ中堅の商社である。D社の社内システムは,クラウドサービス事業者であるG社の仮想サーバでWebシステムとして構築されており,本社及び支社内のPCからインターネット経由で利用されている。このたびD社は,グループ企業のE社を吸収合併することになり,E社のネットワークをD社のネットワークに接続(以下,ネットワーク統合という)するための検討を行うことになった。
〔D社の現行のネットワークの概要〕
D社の現行のネットワークの概要を次に示す。
(1)PCは,G社VPC(Virtual Private Cloud)内にある仮想サーバにインターネットを経由してアクセスし,社内システムを利用する。VPCとは,クラウド内に用意されたプライベートな仮想ネットワークである。
(2)本社と支社間は,広域イーサネットサービス網(以下,広域イーサ網という)で接続している。
(3)PCからインターネットを経由して他のサイトにアクセスするために,ファイアウォール(以下,FWという)のNAPT機能を利用する。
(4)PCからインターネットを経由してVPC内部にアクセスするために,G社が提供している仮想的なIPsec VPNサーバ(以下,VPC GWという)を利用する。
(5)FWとVPC GWの間にIPsecトンネルが設定されており,PCからVPCへのアクセスは,FWとVPC GWの間に設定されたIPsecトンネルを経由する。
(6)社内のネットワークの経路制御には,OSPFを利用しており,OSPFプロトコルを設定している機器は,ルータ,レイヤ3スイッチ(以下,L3SWという)及びFWである。
(7)本社のLANのOSPFエリアは0であり,支社1〜3のLAN及び広域イーサ網のOSPFエリアは1である。
(8)FWにはインターネットへの静的デフォルト経路を設定しており,①全社のOSPFエリアからインターネットへのアクセスを可能にするための設定が行われている。
D社の現行のネットワーク構成を図1に示す。
図1 D社の現行のネットワーク構成
D社の現行のネットワークにおける各セグメントのIPアドレスを表1に示す。
表1 D社の現行のネットワークにおける各セグメントのIPアドレス
G社は,クラウドサービス利用者のためにインターネットからアクセス可能なサービスポータルサイト(以下,サービスポータルという)を公開しており,クラウドサービス利用者はサービスポータルにアクセスすることによってVPC GWの設定ができる。D社では,VPC GWとFWに次の項目を設定している。
・VPC GW設定項目:VPC内仮想セグメントのアドレス(192.168.1.0/24),IPsec VPN認証用の事前 a ,FWの外部アドレス(t.u.v.5),D社内ネットワークアドレス(172.16.0.0/16,172.17.0.0/16)
・FW設定項目:VPC内仮想セグメントのアドレス(192.168.1.0/24),IPsec VPN認証用の事前 a ,VPC GWの外部アドレス(x.y.z.1),D社内ネットワークアドレス(172.16.0.0/16,172.17.0.0/16)
〔OSPFによる経路制御〕
OSPFは,リンクステート型のルーティングプロトコルである。OSPFルータは,隣接するルータ同士でリンクステートアドバタイズメント(以下,LSAという)と呼ばれる情報を交換することによって,ネットワーク内のリンク情報を集め,ネットワークトポロジのデータベースLSDB(Link State Database)を構築する。LSAには幾つかの種別があり,それぞれのTypeが定められている。例えば, b LSAと呼ばれるType1のLSAは,OSPFエリア内の b に関する情報であり,その情報には, c と呼ばれるメトリック値などが含まれている。また,Type2のLSAは,ネットワークLSAと呼ばれる。OSPFエリア内の各ルータは,集められたLSAの情報を基にして, d アルゴリズムを用いた最短経路計算を行って,ルーティングテーブルを動的に作成する。さらに,OSPFには,②複数の経路情報を一つに集約する機能(以下,経路集約機能という)がある。D社では,支社へのネットワーク経路を集約することを目的として,③ある特定のネットワーク機器で経路集約機能を設定している(以下,この集約設定を支社ネットワーク集約という)。支社ネットワーク集約がされた状態で,本社のL3SWの経路テーブルを見ると,a〜gのそれぞれを宛先とする経路(以下,支社個別経路という)が一つに集約された, e /16を宛先とする経路が確認できる。また,D社では,支社ネットワーク集約によって意図しない④ルーティングループが発生してしまうことを防ぐための設定を行っているが,その設定の結果,表2に示すOSPF経路が生成され,ルーティングループが防止される。
表2 ルーティングループを防ぐOSPF経路
〔D社とE社のネットワーク統合の検討〕
D社とE社のネットワーク統合を実現するために,情報システム部のFさんが検討することになった。Fさんは,E社の現行のネットワークについての情報を集め,次のようにまとめた。
・E社のオフィスは,本社1拠点だけである。
・E社の本社は,D社の支社1と同一ビル内の別フロアにオフィスを構えている。
・E社の社内システム(以下,E社社内システムという)は,クラウドサービス事業者であるH社のVPC内にある仮想サーバ上でWebシステムとして構築されている。
・E社のPCは,インターネットVPNを介して,E社社内システムにアクセスしている。
・E社のネットワークの経路制御はOSPFで行っており全体がOSPFエリア0である。
・E社のネットワークのIPアドレスブロックは,172.18.0.0/16を利用している。
情報システム部は,Fさんの調査を基にして,E社のネットワークをD社に統合するための次の方針を立てた。
(1)ネットワーク統合後の早急な業務の開始が必要なので,現行ネットワークからの構成変更は最小限とする。
(2)E社のネットワークとD社の支社1ネットワークを同一ビルのフロアの間で接続する(以下,この接続をフロア間接続という)。
(3)フロア間接続のために,D社の支社1のL3SW1とE社のL3SW6の間に新規サブネットを作成する。当該新規サブネット部分のアドレスは,E社のIPアドレスブロックから新たに割り当てる。新規サブネット部分のOSPFエリアは0とする。
(4)両社のOSPFを一つのルーティングドメインとする。
(5)H社VPC内の仮想サーバはG社VPCに移設し,統合後の全社から利用する。
(6)E社がこれまで利用してきたインターネット接続回線及びH社VPCについては契約を解除する。
Fさんの考えた統合後のネットワーク構成を図2に示す。
図2 Fさんの考えた統合後のネットワーク構成
Fさんは,両社間の接続について更に検討を行い,課題を次のとおりまとめた。
・フロア間を接続しただけでは,OSPFエリア0がOSPFエリア1によって二つに分断されたエリア構成となる。そのため,フロア間接続を行っても⑤E社のネットワークからの通信が到達できないD社内のネットワーク部分が生じ,E社からインターネットへのアクセスもできない。
・下線⑤の問題を解決するために,⑥NW機器のOSPF関連の追加の設定(以下,フロア間OSPF追加設定という)を行う必要がある。
・フロア間接続及びフロア間OSPF追加設定を行った場合,D社側のOSPFエリア0とE社側のOSPFエリア0は両方合わせて一つのOSPFエリア0となる。このとき,フロア間OSPF追加設定を行う2台の機器はいずれもエリア境界ルータである。また,OSPFエリアの構成としては,OSPFエリア0とOSPFエリア1がこれらの2台のエリア境界ルータで並列に接続された形となる。その結果,D社ネットワークで行われていた支社ネットワーク集約の効果がなくなり,本社のOSPFエリア0のネットワーク内に支社個別経路が現れてしまう。それを防ぐためには,⑦ネットワーク機器への追加の設定が必要である。
・E社のネットワークセグメントから仮想サーバへのアクセスを可能とするためには,FWとVPC GWに対してE社のアドレスを追加で設定することが必要である。
これらの課題の対応で,両社のネットワーク全体の経路制御が行えるようになることを報告したところ,検討結果が承認され,ネットワーク統合プロジェクトリーダにFさんが任命された。
設問1 本文中の a 〜 e に入れる適切な字句を答えよ。
解答・解説
解答例
a:共有鍵
b:ルータ
c:コスト
d:ダイクストラ
e:172.16.0.0
解説
ー
設問2 本文中の下線①について,設定の内容を25字以内で述べよ。
解答・解説
解答例
OSPF へデフォルトルートを導入する。
解説
ー
設問3 〔OSPFによる経路制御〕について,(1)〜(4)に答えよ。
(1)本文中の下線②について,この機能を使って経路を集約する目的を25字以内で述べよ。
解答・解説
解答例
ルーティングテーブルサイズを小さくする。
解説
ー
(2)本文中の下線③について,経路集約を設定している機器を図1中の機器名で答えよ。
解答・解説
解答例
ルータ
解説
ー
(3)本文中の下線④について,ルーティングループが発生する可能性があるのは,どの機器とどの機器の間か。二つの機器を図1中の機器名で答えよ。
解答・解説
解答例
ルータ と FW の間
解説
ー
(4)表2中の f , g に入れる適切な字句を答えよ。
解答・解説
解答例
f:ルータ
g:172.16.0.0/16
解説
ー
設問4 〔D社とE社のネットワーク統合の検討〕について,(1)〜(3)に答えよ。
(1)本文中の下線⑤について,到達できないD社内ネットワーク部分を図2中のa〜1の記号で全て答えよ。
解答・解説
解答例
h,i,j,k,l
解説
ー
(2)本文中の下線⑥について,フロア間OSPF追加設定を行う必要がある二つの機器を答えよ。また,その設定内容を25字以内で述べよ。
解答・解説
解答例
機器:ルータ,L3SW1
設定内容:OSPF 仮想リンクの接続設定を行う。
解説
ー
(3)本文中の下線⑦について,設定が必要なネットワーク機器を答えよ。また,その設定内容を40字以内で述べよ。
解答・解説
解答例
機器:L3SW1
設定内容:OSPF エリア1の支社個別経路を 172.16.0.0/16 に集約する。
解説
ー
IPA公開情報
出題趣旨
OSPF は,IP ネットワークにおいて動的経路制御を行うためのルーティングプロトコルとして多く使われている。動的経路制御を利用した環境において安定したネットワーク運用を行うためには,ルーティングプロトコルを正しく理解することが重要である。また,近年において,クラウド内環境と企業内環境間を VPN で接続して,クラウド環境を自社内環境と同様に利用する形態もよく見られる。
本問では,OSPF プロトコルによるルーティング設計と IPsec トンネリングによるクラウド接続を題材に,ネットワーク設計と構築に必要な基本的スキルを問う。
採点講評
問 2 では,企業におけるネットワーク統合を題材に,OSPF を利用した経路制御の基本について出題した。全体として,正答率は低かった。
設問 2 は,正答率が低かった。OSPF でのデフォルト経路の取扱いは,企業内ネットワークからインターネットを利用するような一般的なネットワーク構成において必要な基本事項なので,よく理解してほしい。設問 4(2)は,正答率が低かった。OSPF 仮想リンクは,初期構築段階では想定外であったネットワーク統合 を後から行う場合などに役立つもので,OSPF ネットワーク設計の柔軟性を増すための有用な技術である。そ の動作原理や活用パターンについて是非理解してほしい。
設問 4(3)は,正答率が低かった。特に,エリアボーダルータ(ABR)ではないルータを誤って解答する例が多く見られた。OSPF ルータの種別とその見分け方,種別ごとの役割と動作を正しく理解した上で,本文中に示された ABR におけるネットワーク集約に関する記述をきちんと読み取り,正答を導き出してほしい。
