やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

トップ > ネットワークスペシャリスト > IP-VPN(MPLS・ラベル・PEルータ)、IPsec【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3-1】

IP-VPN(MPLS・ラベル・PEルータ)、IPsec【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3-1】

ネットワークスペシャリスト ネットワークスペシャリスト-午後解説

 情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

 今回は、「IP-VPN(MPLS・ラベル・PEルータ)、IPsec」を取り上げた「ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3-1」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3-1

問3 企業内ネットワーク再構築に関する次の記述を読んで、設問1~4に答えよ。

 D社は、東京の本社、名古屋支店及び大阪支店の3拠点にオフィスを構える出版会社である。D社の社内ネットワークは、3拠点をそれぞれ専用線で結ぶWANと、拠点内LANで構成されている。各拠点内の業務にはそれぞれ拠点内の業務サーバを使用し、全社的な業務には本社の業務サーバを使用している。また、各拠点では本社のプロキシサーバを経由してインターネットを利用している。D社の現行ネットワーク構成を図1に示す。

f:id:aolaniengineer:20200724044833p:plain

 

 D社では、拠点間で利用しているルータの更改時期を迎えたことから、将来を見据えてWAN構成を見直すことになり、情報システム部のEさんが検討することになった。

 

【WAN構成の検討

(1)WAN構成の見直し方針案

 Eさんは、WAN構成の見直しについてコストも含めて検討し、次の方針案を立てた。

・IP-VPNを利用して3拠点間を接続する。

・IP-VPNへのアクセス回線は、安価なイーサネット回線サービスを利用する。

・通常時は拠点間通信にIP-VPNを用いるが、IP-VPNの障害時にはインターネットVPNをバックアップ回線として用いる。

・インターネットVPNは、FWに備わるIPsec方式のVPN機能を用いる。

・名古屋支店と大阪支店には、インターネットVPN専用のインターネット回線を敷設し、FWを設置する。

・各拠点からのインターネットアクセスには、これまでと同様に本社のプロキシサーバ経由で行う。

(2)IP-VPN及びIPsecの概要

 Eさんは、方針案のIP-VPN及びIPsecについて調査し、その結果を次のようにまとめた。

(ⅰ)IP-VPN

・IP-VPNは、通信事業者が運営する閉域IPネットワーク(以下、事業者閉域IP網という)を利用者のトラフィック交換に提供するサービスである。

・IP-VPNは、①事業者閉域IP網内で複数の利用者のトラフィックを中継するのに、RFC3031で規定された方式が用いられる。

①について、IP-VPNサービス提供のために事業者閉域IP網内で用いられるパケット転送技術を答えよ。:MPLS

 IP-VPNについて簡単に整理すると以下のようになります。

  • 通信事業者のIP閉域網を経由して拠点間をVPN接続するもの
  • 専用線より低コストでの構築・運用が可能。ただし、回線を複数ユーザで共有するため、通信速度の保証などは行われない場合が多い
  • インターネットを利用するインターネットVPNよりセキュリティや品質面で優位
  • IP-VPNで用いられるパケット転送技術は、「MPLSMulti Protocol Label Switching」で、RFC3031で規定されている。
  • IP-VPNで利用者のネットワークに設置され、事業者閉域IP網との接続点になる機器をCE(Customer Edge)ルータという。
  • IP-VPNで事業者閉域IP網に設置され、利用者ネットワークとの接続点になる機器をPE(Provider Edge)ルータという。PEルータでMPLSで使用するラベルの付与、除去を行う。
  • IP-VPNで事業者閉域IP網内で複数の利用者を識別するため、PEルータで付与、除去される短い固定長のタグ情報をラベルという。
  • 接続構成は「企業内LANーCEルータ(企業側)ーPEルータ(事業者側)ー事業者回線網」

・利用者のネットワークと事業者閉域IP網との接続点において、利用者が設置するCE(Customer Edge)ルータから送られたパケットは、通信事業者のPE(Provider Edge)ルータで(ア:ラベル)と呼ばれる短い固定長のタグ情報が付与される。

ア:ラベル

 上の説明より、PEルータで付与する短い固定長のタグ情報はラベルです。

・事業者閉域IP網内では、②タグ情報を参照して中継され、(ア:ラベル)は対向側の(イ:PEルータ)で取り除かれる。

②について、事業者閉域IP網内の利用者トラフィック中継処理において、タグ情報を利用する目的を、25字以内で述べよ。:利用者ごとのトラフィックを区別するため。

 すぐに正解が思い浮かぶので逆に不安になってしまいますが、このような問題は多いですよね。

 25字という文字数だとキーワードは2〜3個程度を想定します。ここで外せないのは「複数の利用者」「区別」でしょうか。

 本文では「IP-VPNは、通信事業者が運営する事業者閉域IP網を利用者のトラフィック交換に提供するサービスである」とありますので「トラフィック」もあった方がいいですね。

 これらを組み合わせて正解を導くのは、実際に何問も解いて慣れていくしかないですね。

イ:PEルータ

 上の説明より、ラベルを付与したり取り除いたりするのはPEルータです。

(ⅱ)IPsec

・IPsecは、暗号技術を利用してノード間通信を行うためのプロトコルであり、IPパケット通信の完全性・機密性を確保する。

・IPsecは、OSI基本参照モデルの(ウ:ネットワーク)レイヤで動作する。

ウ:ネットワーク

 IPsec(IP Security Protocol)の詳細まで理解できていなくても、IPとあるのでネットワークレイヤと分かります。

・3拠点間には、バックアップ回線として3本のIPsecトンネルが必要である。

 これらの検討を基に、Eさんが考えたD社のネットワーク構成を、図2に示す。

f:id:aolaniengineer:20200724045407p:plain

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問3(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_2/2018h30a_nw_pm1_qs.pdf