平成15年度テクニカルエンジニア(ネットワーク)午後Ⅱ問1
問1 全杜ネットワークの再構築に関する次の記述を読んで、設問1~5に答えよ。
Y社は、本社と3か所に営業所をもつ、建築材の卸売業者である。従業員は200名で、本社に150名、各営業所に10~20名が勤務している。Y社では、現在、図1に示すネットワークを構築して業務に利用している。本社のDMZにDNSサーバ、Webサーバ及びメールサーバを設置して、これらをインターネットに公開している。
本杜と各営業所間は、FRサービスを利用して接続されている。また、本社から1.5Mbpsの専用線でISP1を経由してインターネットに接続されている。本社及び各営業所からのWebサーバの閲覧などによるインターネットの利用は、社内LANに設置されたプロキシサーバを経由して行われている。各営業所の従業員は、各自のPCからFR網を経由して、社内LANに設置された社内メールサーバと業務サーバを利用している。
最近、全杜的にインターネットの利用が増大したので、時問帯によっては応答時間が長く感じられるようになった。特に、各営業所では、インターネットの利用だけでなく、社内メールサーバや業務サーバを利用する際の応答時間も長くなり、不満が多くなってきた。
この問題の原因は、ISP1への接続回線やFR網を利用するための回線の帯域不足にあると判断されたので、ネットワーク運用管理責任者のH課長は、担当者のK君に次の3点の改善目標を示し、改善案の検討を指示した。
・インターネットの利用における応答時間の改善
・各営業所から社内メールサーバや業務サーバを利用する際の応答時間の改善
・ネットワークの利用における費用の削減
K君は、FTTHとして普及が始まっている光接続サービスや、ADSLサービスを利用したネットワークの再構築が改善策として最適であると考え、改善方針を次の3点にまとめてSI業者のM氏に提案を求めた。
・インターネットヘの接続は、光接続サービスやADSLサービスを利用して広帯域化する。
・本杜と各営業所間の接続には、インターネットVPN(以下、VPNという)を利用する。
・ISPへの接続回線やISPのネットワークに障害が発生しても、Y社でのインターネットの利用やVPNの使用が継続できるようにする。
M氏は、K君の改善方針を基に、次のような提案を行った。
〔ネットワークの概要〕
(1)インターネットヘの接続
光接続サービスやADSLサービスを利用するとともに、障害が発生してもインターネットの利用が継続できるようにするために、二つの異なったISPへの接続(以下、マルチホーミングという)を行うことにした。これには、マルチホーミング専用装置(以下、MHという)を利用することにした。
(2)本社と各営業所間の接続
MHがもつ機能によって、ADSLの2回線を束ね、IPsecを使用してVPNトンネルを構成することにした。これによって、本社と各営業所間の接続にインターネットを利用した場合でも、MHを使用すれば、安全性が確保できるとともに信頼性も高められる。
上記(1)、(2)によって広帯域化され、ネットワークの利用における費用の削減も実現できることになった。図2に、M氏が提案したネットワーク構成を示す。
本社と各営業所に導入するMHは、次のような機能をもっている。
①NAT機能
ISP側に転送される(以下、アウトバウンドという)パケットの送信元アドレス及びISP側から転送される(以下、インバウンドという)パケットのあて先アドレスを、NATテーブルを参照して変換する。
②ルート障害対策機能
pingコマンドを発行して応答の有無を確認する方法(以下、ping確認という)によってルートの障害を検知し、正常なルートだけを使用する。
③アウトバウンドトラフィックの振り分け機能
ISP側の二つのポートに対して、セション単位にアウトバウンドトラフィックを振り分けることで、回線の負荷分散を行う。振り分け比率は、任意に設定できる。
④インバウンドトラフィックの振り分け機能
振り分けには、DNS機能を利用する。具体的には、登録された複数のIPアドレスを交互に回答するラウンドロビン機能を利用して、インバウンドトラフィックを二つのルートに振り分ける。
⑤VPN機能
MH問で、二つのISPとの接続回線を束ねて一つのVPNトンネルを構成することで、回線の負荷分散を同時に行う。
以上に示したように、MHは、マルチホーミングとVPN機能を併せもっている。アウトバウンド処理では、アウトバウンドパケットを解析し、必要に応じてVPN機能を働かせる。WN機能を働かせない場合には、アウトバウンドトラフィックの振り分け機能を働かせる。これらの機能にルート障害対策機能を組み合わせることによって、インターネットの利用やWNの使用が継続できるようにすることが可能になる。本提案では、図2中のMH-1のWN機能は働かせないが、MH-2のVPN機能は働かせる。また、既存のDNSサーバは使用せず、MH-1に内蔵されたDNS機能を使用する。
〔MHの設定と動作の概要〕
(1)IPアドレスとNATテーブルの設定
図3に,MH-1とサーバに設定されるIPアドレスを示す。図3に示したように,MH-1と公開されるサーバには,ISP1から割り当てられたIPアドレスに加え,ISP2から割り当てられるIPアドレスも付与する。
MH-1は、図3に示すようなポート構成をもち、P1とP2のそれぞれに対して、NAT機能を独立に設定することが可能である。本提案では、既存環境に極力影響を与えないで導入できるようにするために、P1でのNAT機能を働かせない透過モードを利用して、P2だけでNAT機能を働かせる。MH-1に内蔵されたDNS機能は、P1とP2に設定されるIPアドレスで利用できる。既存のDNSサーバに設定されていたIPアドレスをそのまま利用するために、P1にはIP1-1が設定される。MH-1では透過モードが利用され、P0とP1が同一のIPアドレスになるので、P0にはIP1-1が設定される。
表1に,P2におけるNATテーブルの設定内容を示す。
P2でのアドレス変換は、表1の設定に従って次の手順で行われる。パケットがP2から出力されるときに、送信元IPアドレスがNATテーブルのアドレス1に存在する場合には、同一行のアドレス2に変換される。存在しない場合には、P2に設定されたIPアドレスに変換される。一方、パケットがP2に入力されるときに、あて先IPアドレスがNATテーブルのアドレス2に存在する場合には、同一行のアドレス1に変換される。また、P2に設定されたIPアドレスの場合には、DNS機能を利用するパケットを除いて、ポート番号に基づいてプライベートIPアドレスに変換される。それ以外の場合には、MH-1によって廃棄される。
図3に示したWebサーバからISPに送信されるパケットが、P1から転送される場合には、送信元アドレスが( a )になる。また、P2から転送される場合には表1の設定によって、( b )になる。MHを導入してアウトバウンドトラフィックの振り分けだけを目的にする場合には、(a)MH-1に図3に示したIPアドレスを付与して表1の設定を行うことで、図1に示した既存のDNSサーバの設定を変更しないでそのまま利用できる。しかし、その場合には、(b)Y社から転送される電子メールの受信がISPのポリシによって拒否されるという問題が発生する可能性がある。この問題を発生させないようにするためには、既存のDNSサーバの設定を変更する必要がある。本提案では、インバウンドトラフィックの振り分けも目的にするので、既存のDNSサーバを使用する方法は行わないことにした。
(2)pingコマンドのあて先の設定
MHは、ping確認によってルートの障害を検知する。MH-1では、アウトバウンドのルートの障害を検知するために、pingコマンドのあて先として、ISP側のポートことに、接続先のISPのエッジルータを設定する。しかし、(c)MH-2に対してpingコマンドのあて先にエッジルータを設定しても、VPNのルートの障害を検知できないので、pingコマンドのあて先に違う場所を設定する。
(3)DNS機能の設定
インバウンドトラフィックの振り分けは、MH-1のNAT機能とDNS機能によって行われる。図3において、P1又はP2のどちらかのルートに障害が発生しても、DNS機能は正常なルートから利用されなければならない。そのため、JPドメインを管理するDNSサーバには、MH-1に内蔵されたDNS機能を利用するためのIPアドレスを基に、登録データの変更が必要になる。また、DNS機能が回答するホストアドレスも、ISP1とISP2の両方を経由して接続されるものでなければならない。この回答を行うために、Web.サーバとメールサーバに対して、図3に示したように、ISP2経由で接続されるときのIPアドレスを割り当てる必要がある。これらの設定によって、MH-1に内蔵されたDNS機能では、インバウンドのルート障害対策機能を実現させるごとができる。図4に、図2のネットワーク構成に移行するためのMH-1に内蔵されたDNS機能の設定内容の一部を示す。
(4)VPN機能の設定
図5に、MH-2を利用してVPNを構成するための本杜と各営業所の接続構成を示す。MH-2では、透過モードと内蔵されたDNS機能は使用しない。
VPNは、本社に設置するMH-2と各営業所に設置するMH-2との間で設定される。表2に、本社に設置するMH-2のYPN機能の設定を、表3に、金沢営業所に設置するMH-2のVPN機能の設定を示す。表2、3では、二つのISPとの接続回線を束ねて一つのVPNトンネルを構成する設定を示している。
MH-2は、アウトバウンドパケットのあて先ネットワークアドレスが、表2、3中の対象欄のネットワークアドレスと一致する場合に、IPsec形式への変換を施して接続先のMH-2に対してパケットを転送する。
IPsecには、セキュリティトビスを実施するために、( c )とSPI1(SecurityParameterIndex)という概念が導入されている。図5において、ある営業所のPCから本社の業務サーバヘの通信が開始されると、その営業所のMH-2は、自身がもつかぎ管理機能によって( c )とSPIを取得する。さらに、これらの情報に基づいてIPsec形式に変換を施したパケットを、本社のMH-2あてに転送する。パケットを受信した本社のMH-2は、パケット中のSPIに基づいて、復号処理を行う。IPsec通信で必要になるかぎは、本社とある営業所のMH-2間で共有される。共有のためのかぎ交換方式には、事前に設定する方式とRFC2409に明記された( d )による交換方式があるが、本提案では、事前に設定する方式を採用することにした。
K君がまとめたネットワークの再構築案の説明を受けた月課長は、社内手続を経て、K君に社内ネットワークの再構築を指示した。H課長の指示を受け、K君は、M氏の会杜にネットワークの再構築を発注した。
〔ネットワークの移行〕
(1)関連機器の設置と設定
まず、M氏の会社の作業者は、関連機器の設置と設定及び既存のDNSサーパとインターネット接続用のルータの撤去を行った。その後、MH-1をファイアウォールのISP側のポートに直結した。ファイアウォールのポートがオートネゴシエーションモードであったので、MH-1の各ポートもこれに合わせてオートネゴシエーションモードにした。しかし、MH-1を稼働させたところ、MH-1のファイアウォール側のポートのリンクランプが点灯しなかった。そこで、作業者は、ケーブルとMH-1のポートを調べたが問題は発見できなかった。試行錯誤の末、速度の不一致が原因であると推定して対策を施した結果、問題は解決できた。
MH-1の設定は、社内L舳に設置されている1台のPCを使用して行われた。すべての設定が完了した後にMH-1のモニタ画面で確認したところ、ISPへのルートは正常と認識されていた。
次に、作業者は、本社と各営業所でFR網接続用のルータをLANから取り外し、MH-2や関連機器の設置と設定を行った。本社のMH-2の設定は、MH-1を設定したPCを使用して行われた。また、各営業所のMH-2の設定は、その営業所に設置されている1台のPCを使用して行われた。
(2)各機器の動作確認
関連機器の設置と設定が完了した後、作業者は、表4に示す動作確認の方針に従って、各機能の動作確認を行った。
まず、作業者は、アウトバウンドの動作確認を、MH-1を設定したPCを使用して行った。表4中の①、②の確認は、一方のISPへのルートと対になるルートのMH-1のISP側のポートに接続されているLANケーブルを外して行った。両方のポートからのインターネットの利用が正常に行えることを確認した後に、両方のポートにLANケーブルを接続して、アウトバウンドトラフィックの振り分け動作を表4中の①について確認した。MH-1のログで振り分け状態を調べたところ、トラフィックは振り分けられていたが、ポートごとに送受信された累積データ量は、設定された比率と大きく異なっていたので、(d)運用開始後に再度確認することにした。
次に、作業者は、VPNの動作確認を、各営業所のPCの設定を変更しないで、業務サーバや社内メールサーバの利用及び社外のWebサーバの閲覧が可能かどうかを検証する方法で行った。
その後、作業者は、インバゥンドの動作確認を、VPNの動作を確認レたPCを使用して行った。表4中の⑥の確認は、(e)PCのプロキシサーハを利用する設定を外し、ブラウザに本社のWebサーバのIPアドレスを直接入力して行った。さらに、PCにISP1のDNSサーバのIPアドレスを設定し、ブラウザに本杜のWebサーバのURLを入力して行った。
すべてのテストが計画どおり完了し、ネットワークは無事に移行できた。
設間1 本文中の( a )~( d )に入れる適切な字句を答えよ。
設問2 インターネットヘのアウトバウンドに関する次の問いに答えよ。
(1)本文中の下線(a)の場合には、社内LANからのインターネットの利用によって発生するパケットが、MH-1によってどのように転送され、MH-1のどこに返送されてくるか。50字以内で述べよ。
(2)本文中の下線(b)の問題は、P2側からISPに送信された場合に発生する。その理由を、70字以内で述べよ。
設問3 インターネットからのインバウンドに関する次の問いに答えよ。
(1)図4中の( ア )~( エ )に入れる適切な記号を答えよ。
(2)インバウンドヒおけるルート障害対策機能を実現するために、DNS機能はどのように動作するか。50字以内で述べよ。
設問4 VPNに関する次の問いに答えよ。
(1)本文中の下線(c)の理由を、50字以内で述べよ。また、MH-2のpingコマンドのあて先をどこに設定すべきか。25字以内で述べよ。
(2)表3中の( オ )~( キ )に入れる適切な記号を答えよ。
設問5 ネットワークの移行に関する次の問いに答えよ。
(1)M氏の会社の作業者は、MH-1を稼働させたときにリンクランプが点灯しなかった問題に対して、どのような対策を施したか。50字以内で述べよ。
(2)本文中の下線(d)を行ったところ、ポートごとに送受信された累積データ量は、設定した比率に近い値になった。最初に調べたときに、設定された比率と大きく異なった原因を、60字以内で述べよ。
(3)本文中の下線(e)の手順によって、インバウンドの動作確認を行うことができる理由を、70字以内で述べよ。
この問題の解答と詳細解説はGene製作のテクニカルエンジニア(ネットワーク)平成15,16,17年度分
午後問題完全解説集!
詳細はこちら→//www.n-study.com/library/2006/05/post.html
