SD-WANによる拠点接続に関する次の記述を読んで,設問に答えよ。
G社は,本社とデータセンター及び二つの支店をもつ企業である。G社では,業務拡大による支店の追加が計画されている。支店の追加によるネットワーク構成の変更についてSD-WANを活用することで,設定作業を行いやすくするとともにWANの冗長化も行うという改善方針が示された。そこで,情報システム部のJさんが設計担当としてアサインされ,対応することになった。G社の現行ネットワーク構成を図1に示す。
図1 G社の現行ネットワーク構成(抜粋)
〔現行ネットワーク概要〕
G社の現行ネットワーク概要を次に示す。
・G社には,データセンター,本社,支店V及び支店Wの四つの拠点がある。これらの拠点は,L社が提供するMPLS VPN(以下,L社VPNという)を介して相互に接続している。
・各拠点のPCとサーバは,データセンターのプロキシサーバを経由してインターネットへアクセスする。
・データセンターのFWは,パケットフィルタリングによるアクセス制御を行っている。
・PE1〜4は,L社VPNの顧客のネットワークを収容するために設置した,プロバイダエッジルータ(以下,PEルータという)である。
・ルータ1〜4は,拠点間を接続する機器であり,L社のPEルータと対向するアエッジルータである。
・L社のPEルータは,G社との間のBGPピアにas-overrideを設定している。この設定によって,G社の複数の拠点で同一のAS番号を用いる構成が可能になっている。一般に,PEルータにおけるas-override設定の有無によって,経路情報交換の処理をする際にやり取りされる経路情報が異なったものとなる。例えば,本社のルータ2に届く支店Vの経路情報は,①as-override設定の有無で表1となる。②G社現行ネットワークで利用している各拠点のIPアドレスとAS番号を表2に示す。
表1 本社のルータ2に届く支店Vの経路情報
表2 各拠点のIPアドレスとAS番号一覧
〔現行の経路制御概要〕
G社の現行の経路制御の概要を次に示す。
・拠点内は,OSPFによって経路制御を行っている。
・拠点間は,BGP4によって経路制御を行っている。
・OSPFエリアは全てエリア0である。
・ルータ1〜4で二つのルーティングプロトコル間におけるルーティングを可能にするために,経路情報の イ をしている。このとき,一方のルーティングプロトコルで学習された経路がもう一方のルーティングプロトコルを介して③再び同じルーティングプロトコルに渡されることのないように経路フィルターが設定されている。
・全拠点からインターネットへのhttp/https通信ができるように, ウ のサブネットを宛先とする経路をOSPFで配布している。この経路情報は,途中BGP4を経由して,④3拠点(本社,支店V,支店W)のルータ及びL3SWに届く。
・BGP4において,AS内部の経路交換はBGPが用いられるのに対し,各拠点のルータとPEルータとの経路交換では エ が用いられる。
・L社VPNと接続するために,AS番号65500が割り当てられている。このAS番号はインターネットに接続されることのないASのために予約されている番号の範囲に含まれる。このようなAS番号を オ AS番号という。
・L社VPNのAS番号は64500である。
〔SD-WAN導入検討〕
Jさんは,SD-WANを取り扱っているネットワーク機器ベンダーK社の技術者に相談しながら検討することにした。また,K社がインターネット経由でクラウドサービスとして提供しているSD-WANコントローラーの活用を検討することにした。
K社のSD-WAN装置とSD-WANコントローラーの主な機能を次に示す。
・SD-WANコントローラーは,SD-WAN装置に対して独自プロトコルを利用して,オーバーレイ構築に必要な情報の収集と配布を行うことで,複数のSD-WAN装置を集中管理する。
・アンダーレイネットワークとして,MPLSVPNとインターネット回線が利用可能である。
・オーバーレイネットワークは,SD-WAN装置間のIPsecトンネルで構築される。IPsecトンネルの確立ではSD-WAN装置のIPアドレスが用いられる。IPsecトンネルの端点をTE(Tunnel Endpoint)と呼ぶ。
・オーバーレイネットワークは,アプリケーショントラフィックを識別したルーティングを行う。このように,アプリケーショントラフィックを識別したルーティングを カ ルーティングという。
・SD-WANコントローラーがSD-WAN装置に配布する主な情報は,SD-WAN装置ごとのオーバーレイの経路情報と,⑤IPsecトンネルを構築するために必要な情報の2種類がある。
・SD-WANコントローラーとSD-WAN装置間の通信はTLSで保護される。
・SD-WAN装置は,VRF(Virtual Routing and Forwarding)による独立したルーティングインスタンス(以下,RIという)を複数もつ。そのうちの一つのRIはコントロールプレーンで用いられ,他のRIはデータプレーンで用いられる。
・SD-WAN装置は,RFC5880で規定されたBFD(Bidirectional Forwarding Detection)機能を有する。
Jさんは,K社のSD-WANをG社ネットワークへ導入する方法を検討し,実施する項目として次のとおりポイントをまとめた。
・各拠点のルータをK社の提供するSD-WAN装置に置き換える。各拠点のSD-WAN装置を2台構成とする冗長化は次フェーズで検討する。
・SD-WAN装置の設定については,K社がクラウドサービスとして利用者に提供するSD-WANコントローラーで集中管理する。
・拠点ごとに新規にインターネット接続回線を契約し,SD-WAN装置に接続する。
・拠点のSD-WAN装置間に,インターネット経由とL社VPN経由でIPsecトンネルを設定する。
・⑥拠点のSD-WAN装置のトンネルインタフェースで,BFDを有効化する。
・全体的な経路制御はSD-WANコントローラーとSD-WAN装置で行う。
・PCからインターネットへのアクセスは現行のままデータセンターのプロキシサーバ経由とし,各拠点から直接インターネットアクセスできるようにすることは次フェーズで検討する。
Jさんが検討した,G社のSD-WAN装置導入後のネットワーク構成を図2に示す。
図2 G社のSD-WAN装置導入後のネットワーク構成(抜粋)
〔SD-WANトンネル検討〕
Jさんは,図2のネットワーク構成におけるSD-WAN装置間のIPsecトンネルの構成について検討した。Jさんが考えたSD-WAN装置間のIPsecトンネルの構成を図3に示す。
図3 Jさんが考えたSD-WAN装置間のIPsecトンネルの構成
Jさんは,このIPsecトンネルの構成を前提として,今後設計するSD-WANの動作を次のようにまとめた。
・SD-WANコントローラーは,各拠点のSD-WAN装置から経路情報を受信し,それらにポリシーを適用して,全拠点のSD-WAN装置に経路情報をアドバタイズする。
・このときアドバタイズされる経路情報は,SD-WAN装置にローカルに接続されたネットワーク情報とそれぞれのSD-WAN装置がもつTE情報である。
・拠点間の通信は,⑦L社VPNを優先的に利用し,L社VPNが使えないときはインターネットを経由する。
Jさんは,これらの検討結果を基に報告を行い,SD-WAN導入の方針が承認された。
設問1 本文中の ア 〜 カ に入れる適切な字句を答えよ。
解答・解説
解答例
XXX
解説
ー
設問2 〔現行ネットワーク概要〕について答えよ。
(1)本文中の下線①について,as-override設定の前後における経路情報の違いについて,表1中の a , b を埋めて表を完成させよ。
解答・解説
解答例
XXX
解説
ー
(2)本文中の下線②について,G社現行ネットワークで用いられているAS番号は何か。表2中の c 〜 f を埋めて表を完成させよ。
解答・解説
解答例
XXX
解説
ー
設問3 〔現行の経路制御概要〕について答えよ。
(1)本文中の下線③について,経路フィルターによって防止することが可能な障害を20字以内で答えよ。
解答・解説
解答例
XXX
解説
ー
(2)本文中の下線④について,3拠点のL3SWにこの経路情報が届いたときのOSPFのLSAのタイプを答えよ。また,支店VのL3SW3にこのLSAが到達したとき,そのLSAを生成した機器は何か。図1中の機器名で答えよ。
解答・解説
解答例
XXX
解説
ー
設問4 〔SD-WAN導入検討〕について答えよ。
(1)本文中の下線⑤について,SD-WANコントローラーから送られる情報を二つ挙げ,それぞれ25字以内で答えよ。
解答・解説
解答例
XXX
解説
ー
(2)本文中の下線⑥について,トンネルインタフェースにBFDを設定する目的を,“IPsecトンネル”という用語を用いて35字以内で答えよ。
解答・解説
解答例
XXX
解説
ー
設問5 〔SD-WANトンネル検討〕について答えよ。
(1)本文中の下線⑦について,通常時に本社のPCから支店VのPCへの通信が通過するTEはどれか。図3中の字句で全て答えよ。
解答・解説
解答例
XXX
解説
ー
(2)(1)において支店VのL社VPN接続回線に障害があった場合,本社のPCから支店VのPCへの通信が通過するTEはどれか。図3中の字句で全て答えよ。
解答・解説
解答例
XXX
解説
ー
IPA公開情報
出題趣旨
公開前
採点講評
公開前