平成15年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問1設問1解答と解説
目次
解答
【a】 IP1-2
【b】 IP2-2
【c】 SA
【d】 IKE
解説
【a】【b】はマルチホーミング専用装置を通過するパケットのIPアドレスに関する問題です。一言でマルチホーミング専用装置といってもその機能は多く、Y社の構成でもいろいろな使い方がされています。問題文をしっかり読んで、動作イメージを正確に把握することが問題を解くポイントになりそうです。
そもそも「マルチホーミング」とは、複数のISPを同時に利用してインターネットに接続することを言います。これによりISP接続が冗長化され、信頼性の向上、負荷分散による帯域の有効活用などのメリットがあります。
基本的にマルチホーミング実現のためにはBGP-4でISPと接続する必要があり、BGP-4のノウハウが無い一般企業にとっては敷居が高いといわれています。そこでマルチホーミング専用装置ではBGP-4を用いることなく手軽にマルチホーミングができるよういろいろと工夫がなされています。単純な冗長構成だけでなく、特定の割合でロードバランスを実施したり、回線負荷を考慮して動的にISPを選択したりすることができるものもあります。
問題文にあるように、Y社が導入するMHは以下の機能を持っています。
① NAT機能
② ルート障害対策機能
③ アウトバウンドトラフィックの振り分け機能
④ インバウンドトラフィックの振り分け機能
⑤ VPN機能
このそれぞれの機能について問題文で若干説明をしていますが、この説明文だけでは、具体的な動作をイメージすることは難しいかもしれません。日ごろの経験がものを言うところでしょう。特に②~④はマルチホーム専用装置に特有の機能なので、以下に解説します。
② ルート障害対策機能
pingコマンドを発行して応答の有無を確認する方法(以下、ping確認という)によってルートの障害を検知し、正常なルートだけを使用する。
MHはISP1とISP2の機器(PEなど)に対して常時pingを打っており、pingがNGになったISPは使用しないようにすることができます。これにより正常なルートだけが使用されることになります。
ISP側の二つのポートに対して、セション単位にアウトバウンドトラフィックを振り分けることで、回線の負荷分散を行う。振り分け比率は、任意に設定できる。
アウトバウンドトラフィックはセッション数や使用帯域など、機器の仕様によっていろいろな手法で振り分けが可能です。Y社が検討した機器は振り分けの比率が任意に設定できるため、以下の様にインターネット接続速度が異なっていても、回線速度にあわせた負荷分散が可能です。
④ インバウンドトラフィックの振り分け機能
振り分けには、DNS機能を利用する。具体的には、登録された複数のIPアドレスを交互に回答するラウンドロビン機能を利用して、インバウンドトラフィックを二つのルートに振り分ける。
MHはDNS機能を内蔵しています。これを利用することで、インバウンドトラフィックに対しても振り分けが可能になります。例えばY社のようにISP-1とISP-2の両方からグローバルアドレスを割り当ててもらっている場合、MHは名前解決のリクエストに対し、ISP-1のアドレスを回答するか、ISP-2のアドレスを回答するかで、インバウンドトラフィックの経路を指定することができます。なぜなら、インバウンドのトラフィックは、ISP-1から割り当てられたアドレスに対してアクセスするときは必ずISP-1を経由し、ISP-2から割り当てられたアドレスに対してアクセスするときは必ずISP-2を経由するからです。
ここで問題に戻ります。MH-1のポートは、P1は透過モードですが、P2はNAT機能を働かせています。【a】【b】はこのそれぞれの場合においてのパケット転送イメージが正しく理解できているかが問われる問題です。
P1、P2におけるパケット転送については〔MHの設定と動作の概要〕で次の通り記載されています。
P1に関する記述
MH-1では透過モードが利用され、P0とP1が同一のIPアドレスになるので、P0にはIP1-1が設定される。
P0とP1が同一のアドレスになると言うのは特徴的ですが、NATを使用しないため通常のIPルーティングがなされます。
P2に関する記述
P2でのアドレス変換は、表1の設定に従って次の手順で行われる。パケットがP2から出力されるときに、送信元IPアドレスがNATテーブルのアドレス1に存在する場合には、同一行のアドレス2に変換される。存在しない場合には、P2に設定されたIPアドレスに変換される。一方、パケットがP2に入力されるときに、あて先IPアドレスがNATテーブルのアドレス2に存在する場合には、同一行のアドレス1に変換される。また、P2に設定されたIPアドレスの場合には、DNS機能を利用するパケットを除いて、ポート番号に基づいてプライベートIPアドレスに変換される。それ以外の場合には、MH-1によって廃棄される。
非常に分かりづらい記述ですが、ここを理解しないとこの後の問題が正答できません。文章理解力が問われるような問題ですね。MH-1ではさまざまな動作をさせているため説明が複雑になっていますが、1つ1つ分けて考えるとシンプルになります。まずアドレスが「NATテーブルに存在する場合」と「存在しない場合」に分けて考えて見ましょう。
表1を見て分かるように、NAT変換テーブルに存在しているのは公開サーバのアドレスだけです。MH-1では公開サーバが、ISP-1、ISP-2のどちらから割り振られたアドレスでもアクセスできるようにNATを使用しています。例えばWebサーバは、インターネットからIP1-2とIP2-2のどちらのアドレスでもアクセスが可能です。しかし実際にサーバに割り当てられているアドレスはIP1-2だけです。MH-1で表1のNATを設定することにより、インターネット側からみると、WebサーバはあたかもIP1-2とIP2-2の両方のアドレスが振られているように見えるというわけです。
NATテーブルに存在しない場合の通信というのは、単純なIPマスカレードをイメージすればよいでしょう。P2を経由してLANからインターネットにアクセスする際に、ポート番号に基づいて動的にアドレス変換されます。
【a】【b】で問われているアウトバウンドのパケット転送を図にすると以下の通りです。
以上より、【a】には「IP1-2」が、【b】には「IP2-2」が当てはまることが分かります。
【c】【d】はIPsecに関する問題です。IPsecは複雑なプロトコルで覚えるべき用語も多いですが、出題頻度が高いため確実に理解しておきましょう。
【c】には「SA」が当てはまります。IPsecでは仮想的なトンネルのことを「SA(Security Association)」といい、そのトンネルを識別するためのIDを「SPI(Security Parameters Index)」といいます。VPN機器が一度に複数のトンネルを構築した場合でもSPIでトンネルを区別することができます。SAとSPIはセットで覚えておきましょう。
また、IPsecでは制御用と通信用のSAが別々に構築され、制御用のSAを「ISAKMP SA(アイサカンプ エスエー)」、通信用のSAを「IPsec SA」といいます。実際のトラフィックはIPsec SAを流れることになります。
【d】はIPsecで使用される鍵交換方式に関する問題です。
IPsecで使用する鍵交換プロトコルといえば「IKE(Internet Key Exchange)」ですね。IKEはIPsecの中核となる重要なプロトコルです。IKEの役割は暗号鍵の交換だけでなく、他にも基本的な機能として、SAの自動生成や、相互認証などがあります。また、自動的に生成した暗号鍵を一定期間毎に動的に作り変えるなどの機能があり、暗号化通信の安全性をより高めることができます。
この問題では詳細な知識は問われていませんが、IPsecについてはより深いところまで復習しておいて損はないでしょう。平成16年度問題の午後Ⅱ問1の解説では詳細を記載しているので参照してください。