情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

　今回は、「SDNにおけるTCPコネクション確立の通信フロー」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問2」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問2

問1　SDNとクラウドの活用に関する次の記述を読んで、設問1〜4に答えよ。

（略） 

（略）

・OFSは、IPアドレス、MACアドレスなどのパケット識別子（Match Field、以下、MFという）を使ったパケット識別条件と、識別されたパケットの処理（以下、Actionという）の組合せ（以下、エントリという）を、OFS内の管理テーブルで管理する。

（略）

（略）

【新工場LANの運用の調査】

　新工場LANの運用について、ベンダからは次のような提案があった。

・OFSを使って、図1中の工場の外部NW、DMZ、内部NWに対応した、仮想的なレイヤ2ネットワーク（以下、仮想NWという）を構成する。

・仮想NW間の通信は、新FWを経由させる。新FWとOFSはトランク接続し、仮想NWに対応したVLAN IDを定義する。

・現行FWのフィルタリング機能とNAT機能を、新FWに移行する。

 

　機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される場合の、新工場LANの論理構成と通信シーケンス例を、図4に示す。

 

　図4中の⑤のパケットヘッダは、転送する複数の装置によってそれぞれ書き換えられる。図4中のパケット⑥、⑬〜⑯のヘッダ情報を、表3に示す。

　図4は、「機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される」場合の通信シーケンスとのことで、具体的には、RT1→新FW→LB→Web-A1のパケットの流れになることを念頭において、それぞれを確認していきます。

　まず、①〜④（外部NWにおけるARPシーケンス）で、RT1が新FWのIPアドレスのARPリクエストを行い、MACアドレスを取得します。

　⑤〜⑥で、RT1が新FWにSYNパケットを転送します。

　次に、⑦〜⑫（DMZにおけるARPシーケンス（1））で、新FWがLBのIPアドレスのARPリクエストを行い、MACアドレスを取得します。

　⑬〜⑭で、新FWがLBにSYNパケットを転送します。

　そして、⑮の前（DMZにおけるARPシーケンス（2））で、LBがWeb-A1のIPアドレスのARPリクエストを行い、MACアドレスを取得して、⑮〜⑯で、LBがWeb-A1にSYNパケットを転送することになります。

け：v2、さ：m2

　⑬は、新FWがSYNパケットをOFS1に転送するものです。

　したがって、VLAN IDはv2、宛先MACアドレスはLBのm2になります。

こ：なし

　⑭は、OFS1がSYNパケットをLBに転送するものです。

　したがって、VLAN IDは「なし」になります。

し：m3、す：i4

　⑮、⑯は、LBがWeb-A1にSYNパケットを転送するものです。

　したがって、宛先MACアドレスはm3、宛先IPアドレスはi4になります。

　図4中の通信シーケンスに関する、OFCとOFSの動作を、次に示す。

・OFCには、次のような仮想NWの構成に関する構成情報が登録されている。

-OFS1の外部NWの構成要素：p1、p7(v1)

-OFS1のDMZの構成要素：p4、p5、p6、p7(v2)

（ⅰ）ブロードキャスト通信に関するPacket-Inメッセージを受信したとき、OFCは、これらの構成情報を基に、OFSにPacket-Outメッセージを使った指示を行う。

（ⅰ）のPacket-Outメッセージによって送出されたパケットを、図4中の①〜⑯から選び、①〜⑯の記号で全て答えよ。：②、⑧、⑨、⑩

　ブロードキャスト通信に関するPacket-inメッセージということは、図4中の通信シーケンスでは、ARP Requestパケットが該当します。

　したがって、ARP Requestパケットを受信したOFCが、OFSに送信するPacket-outメッセージによるARP Replyパケット②⑧⑨⑩が該当することなります。

-OFCは、ARPを利用して、ユニキャスト通信に対応したエントリをOFSに登録させる。そのために、図4中の通信シーケンスが始まる前に、（ⅱ）OFCは、ARP RequestとARP ReplyをOFCに通知するためのエントリを、OFS1に登録させる。

（ⅱ）について、エントリに含まれるパケット識別条件を、表2中のMFを用いて、30字以内で述べよ。：ETH_TYPEがARPのイーサネットタイプに等しい。

　ARP RequestとARP Replyのパケット識別条件が問われています。

　表2中のMFでARPに関連するものを探すと、ETH_TYPE（イーサネットタイプ）が該当します。

　イーサネットタイプは上位層のプロトコルを識別するための16進数の番号で、例えば、「0800」はIP、「0806」はARPとなります。

　したがって、ARPパケットを識別するのに、ETH_TYPE（イーサネットタイプ）を利用すれば良さそうです。

-（ⅲ）図4では、二つのユニキャスト通信について、エントリ登録の通信シーケンスがそれぞれ示されている。Flow-Mod（1）によって登録されるエントリを表4に、Flow-Mod（2）によって登録されるエントリを表5に、それぞれ示す。

【出典：ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1（一部、加工あり）】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf

（ⅲ）について、表4のエントリに対応するユニキャスト通信を、20字以内で答えよ。：外部NW内のRT-1と新FWの通信

　Flow-Mod(1) は、図4中のRT1から新FWへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1ではRT1、新FWの外部NWのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。

　そして、表4のエントリ1、2は、それぞれRT-1から新FWへの通信、新FWからRT-1への通信を示しています。

　したがって、表4のエントリに対応するユニキャスト通信は、外部NWのRT-1と新FWの通信を示しています。

せ：p6、そ：なし、た：m1、ち：m2

　Flow-Mod(2) は、図4中の新FWからLBへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1では新FW、LBのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。

　そして、表5のエントリ2は、新FWからLBへの通信を示していることが分かります。

　したがって、エントリ1は、LBから新FWへの通信を示すものになります。

表5中のエントリ1のActionを答えよ：Push-VLAN、Set-Field VLAN_VID=v2、Output(p7)

　LBから新FWへの通信を示すActionですので、VLAN IDとしてv2をセットし、ポートp7から出力することを示せば良いことになります。