平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ 問1 ネットワークの再構築 設問3
平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ問題
目次
解答
(1) b:20 c:100
(2) 合致するエントリの中から最もプレフィクス長が長いエントリを優先する
(3) 優先制御の処理による負荷
(4) 本社の新型ルータが各営業所の新型ルータのIPアドレスを保持し通知する動作
解説
(1)
b
RT2の配下に10.1.16.0/24と10.1.31.0/24のサブネットが存在するので、この範囲での集約ルートを考えます。10.1.16.0/24と10.1.31.0/24は下記のように20ビット目まで共通のビットパターンです。
16 = 0001 0000
31 = 0001 1111
そのため、現在のサブネットマスク/24を共通部分の20ビットの部分まで左にずらして10.1.16.0/20の集約ルートが求まります。
※ はっきり言って、問題文図2のネットワーク構成のアドレッシングを行うのはナンセンス。あとの問題のロンゲストマッチ(最長一致検索)につなげたいんだろうけど、こんなアドレッシングを提案したら怒られるでしょ、普通。
c
試験用に8Mbpsのトラフィックを発生させるのに必要なパケット数を計算します。表で示されているパケットの1組あたりビット数は下記の通りです。
(40*10+520*5+1400*5)*8=80000=8*104ビット
8Mbpのトラフィックを発生させるには、
8*106*/8*104=100
より、100組送信すればよいことがわかります。
(2)
図2の変なアドレッシングは、ロンゲストマッチ(最長一致検索)を問題にしたいからなんでしょうか・・・それにしても、こんなアドレッシングはダメでしょう。それは、置いておいて・・・
パケットをルーティングするとき、パケットの送信先IPアドレスに合致するルーティングテーブルのエントリを検索します。そのときのルールがロンゲストマッチ(最長一致検索)です。
ルーティングテーブルを検索するとき、各ルート情報エントリのサブネットマスクのビット数まで送信先IPアドレスと一致するかをチェックします。一致すれば、そのルート情報をルーティングするために利用できます。一致しなければそのルート情報のエントリは利用できません。
ここで、複数のルート情報が一致するとき、より多くのサブネットマスクのビット数まで一致しているルート情報の方が優先されます。サブネットマスクのビット数がより長いということは、詳細なルート情報であると考えられます。ルーティングを行うときには、より多く一致しているルート情報、つまりより詳細なルート情報にしたがってルーティングを行おうというルールがロンゲストマッチ(最長一致検索)です。
この図では、送信先IPアドレス192.168.1.1に一致するルーティングテーブルのルート情報エントリを検索している様子を示しています。各エントリのサブネットマスクのビット数まで送信先IPアドレスと一致するかどうかをチェックすると、192.168.0.0/16と192.168.1.0/24のルート情報が該当します。このとき、よりサブネットマスクのビット数が多い、つまりより詳細な192.168.1.0/24のルート情報にしたがってパケットはルーティングされることになります。
では、問題の構成で考えてみましょう。
RT1に10.1.20.1あてのパケットが届くと、ルーティングテーブルに合致するエントリが存在するかをチェックします。この場合、10.1.16.0/20と10.1.20.0/24の両方のエントリに合致しますが、よりサブネットマスクのビット数(プレフィクス長)が長い10.1.20.0/24のエントリを優先して、RT3へ転送することになります。
解答としてはこのようなロンゲストマッチのルールに基づいて、40字以内でまとめます。
(3)
下線部③の直前に優先制御についての記述があります。IP電話のパケットもインターネットVPN経由で転送します。IP電話の通信は遅延に敏感な性質があるので、優先制御でIP電話のパケットを優先して転送することが必要になってくるでしょう。そのためのルータの処理負荷を考えることも必要です。
※ 全国に10ヶ所も拠点があるようなけっこうな規模のネットワークなのに、インターネットVPNでIP電話ですか・・・これも、あんまりよろしくないような。なんかこの問は机上の空論感が思いっきりします。
(4)
これは、いわゆるDMVPN(Dynamic Multipoint VPN)機能についての問題です。
下線部④でいっていることは、インターネット接続で固定IPの割り当てを受けない契約にするということですね。固定IPを利用しないのであれば、インターネット接続の月額料金が安くなります。
IPSec VPNを利用して拠点間の接続を行う場合、対向のVPNゲートウェイのIPアドレスはIPSecのカプセル化時に付加される転送用のIPヘッダの送信先IPアドレスとなります。このIPアドレスがころころと変わってしまっては困るので、スタティックに設定することが多いです。そのため、IPSec VPNを構築するときには、固定IPを利用できるインターネット接続サービスを利用します。
拠点間でフルメッシュの接続を行いたいときは、拠点間でそれぞれ対向のVPNゲートウェイのIPアドレスをスタティックに設定しなければいけません。すると、拠点が増えれば増えるほど、設定や管理上の負荷が大きくなってしまいます。
そこで、インターネットVPN(IPSec VPN)で、拠点間のSAの確立を自動化するDMVPN機能が考えられています。DMVPNでは、ハブ拠点を中心としたスター型の構成において、必要に応じてスポーク拠点間のSAを確立することでフルメッシュの接続が可能になります。
DMVPNの仕組みはかなり複雑で、この問題は難しいです。ですが、新型ルータがどのようにSAを確立するかについての以下の問題文の記述をよく読んで、動作の仕組みを考えればなんとか解答できるでしょう。
続いて、RT2とRT3のSAの確立及び切断を検証した。RT1~RT3の動作は、次の通りである。RT1とRT2間およびRT1とRT3間にSAを確立した後に、(①)RT1はRT3に対して、RT2のIPアドレスとRT2へ転送すべきあて先ネットワークアドレスを通知する。また、(②)RT1はRT2に対して、RT3のIPアドレスRT3へ転送すべきあて先ネットワークアドレスを通知する。(③)RT2及びRT3は、RT1から受け取ったIPアドレスとあて先ネットワークアドレスを、経路表エントリに登録する。(④)RT2は、RT3あてのIPパケットの検知を契機に、SAを確立してもよい。RT2とRT3間の通信が一定時間なければ、SAは切断される。
説明の都合上、問題の記述に下線を引いています。この記述に沿って、図で考えます。
RT2およびRT3は本社のRT1とのSAを確立すると、それぞれのIPアドレスとネットワークアドレスを通知します(この部分は、特に問題文では記述されていません)。
本社のRT1はその情報を保持したうえで、RT2にはRT3の情報、RT3にはRT2の情報といったように、それぞれの拠点に対して別の拠点のルータのIPアドレスおよびネットワークアドレスを通知します(①、②)。
拠点のルータは、受け取った情報をルーティングテーブルに登録します。このとき、拠点間のエントリのネクストホップは、本社のRT1ではなく、その拠点のルータのIPアドレスになっています(③)。
そして、拠点間の通信を行う際には、ルーティングテーブルから直接目的の拠点にパケットを転送します。このとき、ダイナミックにSAを確立します(④)。
問題文の仕組みでは、拠点のルータのIPアドレスとその配下のネットワークアドレスを一緒に通知しているように書かれていますが、実際の動作は拠点のルータのIPアドレスを解決するためのNHRP(Next Hop Resolution Protocol)とネットワークアドレスを通知するためのルーティングプロトコルを組み合わせて利用します。一番のポイントは、拠点のルータ同士がお互いのIPアドレスをどうやって学習するかということなので、IPアドレスに注目して、新型ルータの機能を40字でまとめます。
参考URL
- IPアドレッシングを基本から復習しましょ! その14
http://www.n-study.com/network/2007/01/ip_14.html - VPN(DMVPN その1)
http://atnetwork.info/ccnp4/vpn27.html