平成29年秋期試験午後問題 問5
問5 ネットワーク
⇱問題PDF
SDN(Software-Defined Networking)を利用したネットワーク設計に関する次の記述を読んで,設問1~4に答えよ。
SDN(Software-Defined Networking)を利用したネットワーク設計に関する次の記述を読んで,設問1~4に答えよ。
広告
T社は,中小企業向けにIaaSを提供する会社である。国内2か所にデータセンタをもち,約100社の顧客にサービスを提供している。T社では,既存のデータセンタが手狭になってきたので,データセンタを新設することになった。
新設するデータセンタ(以下,新データセンタという)では,複数顧客の仮想サーバを一つの物理サーバに配備するマルチテナント方式を採用する。ネットワークについても,ソフトウェアによって仮想的なネットワークを構築する技術であるSDNを用いて,顧客ごとに独立した仮想ネットワークを迅速かつ柔軟に構築することを目指している。T社ネットワークサービス部のS君が,SDNを用いた仮想ネットワークの検証を行うことになった。
〔検証対象の仮想,ネットワーク〕
検証対象は,図1に示す二つの顧客のネットワーク構成を想定した仮想ネットワークである。顧客Y,ZのLANともに,同じネットワークアドレス192.168.0.0/24が利用されている。〔新データセンタの検証環境構築〕
S君は,新データセンタに設置予定の物理L2SW,物理サーバ,SDNコントローラーを利用して検証環境を構築した。S君が構築した検証環境の構成を図2に示す。各物理サーバには仮想化ソフトウェアをインストールして,複数の仮想サーバ・FWと一つの仮想L2SWを定義した。仮想サーバや仮想FWは仮想L2SWに接続し,仮想L2SWの1番ポートは物理L2SWに接続する。仮想,L2SW及び物理L2SWは,SDNコントローラーで定義したルールに従って,イーサネットフレーム内の送信元MACアドレスと宛先MACアドレスに応じて,イーサネットフレームをL2SWのどのポートに転送するかを制御する。 S君は,図1に示す二つの顧客のネットワークを図2の環境で構成するために,各顧客のサーバとFWを表1のように割り当てた。 表1の割当てを行った図2の検証環境において,顧客YのPCから顧客YのAPサーバにアクセスする場合,FWとAPサーバの間を流れるAPサーバ向けイーサネットフレームの送信元MACアドレスはa,宛先MACアドレスはbとなる。
同一顧客のネットワーク内の機器が相互に通信できるように,物理L2SW及び仮想L2SWのネットワーク情報をSDNコントローラーに設定した。物理L2SW#1の通信制御テーブルの内容を表2に示す。
新データセンタに設置する物理L2SW及び仮想L2SWは,各ポートから入力されたイーサネットフレームに対して,通信制御テーブルの項番1から順に判定条件の評価を行い,判定条件にマッチしたルールが存在した場合には,アクションに記載された内容に従って処理を行う。
例えば,顧客YのDBサーバからAPサーバ向けのイーサネットフレームが,物理L2SW#1のc番ポートに入力されると,通信制御テーブルの項番dのルールにマッチし,イーサネットフレームが物理L2SW#1の9番ポートに転送される。同様に仮想L2SW#1でも,MACアドレスによる通信制御が行われ,APサーバにイーサネットフレームが届く。 各L2SWにおいてイーサネットフレーム内のMACアドレスを用いた通信制御を行うことによって,顧客Yと顧客ZのサーバのIPアドレスが同一であっても,それぞれの顧客の通信を区別することができる。
〔物理サーバ故障時の検証〕
S君は,物理サーバの故障に備えた仮想サーバの冗長化の検証を行うために,物理サーバ#1の故障時に,物理サーバ#1で動作していたAPサーバを物理サーバ#2に自動的に移動させる設定を行った。物理サーバ#2に移動させたAPサーバは仮想L2SW#2の2番ポートに接続する。
また,①物理サーバ#1が故障して,APサーバの移動を完了した場合に物理L2SW及び仮想L2SWの通信制御テーブルのルールを自動的に変更する設定をSDNコントローラーに行った。
S君は,物理L2SW故障時に備えた冗長化や通信速度の検証なども行い,仮想ネットワークの検証作業を完了した。
新設するデータセンタ(以下,新データセンタという)では,複数顧客の仮想サーバを一つの物理サーバに配備するマルチテナント方式を採用する。ネットワークについても,ソフトウェアによって仮想的なネットワークを構築する技術であるSDNを用いて,顧客ごとに独立した仮想ネットワークを迅速かつ柔軟に構築することを目指している。T社ネットワークサービス部のS君が,SDNを用いた仮想ネットワークの検証を行うことになった。
〔検証対象の仮想,ネットワーク〕
検証対象は,図1に示す二つの顧客のネットワーク構成を想定した仮想ネットワークである。顧客Y,ZのLANともに,同じネットワークアドレス192.168.0.0/24が利用されている。〔新データセンタの検証環境構築〕
S君は,新データセンタに設置予定の物理L2SW,物理サーバ,SDNコントローラーを利用して検証環境を構築した。S君が構築した検証環境の構成を図2に示す。各物理サーバには仮想化ソフトウェアをインストールして,複数の仮想サーバ・FWと一つの仮想L2SWを定義した。仮想サーバや仮想FWは仮想L2SWに接続し,仮想L2SWの1番ポートは物理L2SWに接続する。仮想,L2SW及び物理L2SWは,SDNコントローラーで定義したルールに従って,イーサネットフレーム内の送信元MACアドレスと宛先MACアドレスに応じて,イーサネットフレームをL2SWのどのポートに転送するかを制御する。 S君は,図1に示す二つの顧客のネットワークを図2の環境で構成するために,各顧客のサーバとFWを表1のように割り当てた。 表1の割当てを行った図2の検証環境において,顧客YのPCから顧客YのAPサーバにアクセスする場合,FWとAPサーバの間を流れるAPサーバ向けイーサネットフレームの送信元MACアドレスはa,宛先MACアドレスはbとなる。
同一顧客のネットワーク内の機器が相互に通信できるように,物理L2SW及び仮想L2SWのネットワーク情報をSDNコントローラーに設定した。物理L2SW#1の通信制御テーブルの内容を表2に示す。
新データセンタに設置する物理L2SW及び仮想L2SWは,各ポートから入力されたイーサネットフレームに対して,通信制御テーブルの項番1から順に判定条件の評価を行い,判定条件にマッチしたルールが存在した場合には,アクションに記載された内容に従って処理を行う。
例えば,顧客YのDBサーバからAPサーバ向けのイーサネットフレームが,物理L2SW#1のc番ポートに入力されると,通信制御テーブルの項番dのルールにマッチし,イーサネットフレームが物理L2SW#1の9番ポートに転送される。同様に仮想L2SW#1でも,MACアドレスによる通信制御が行われ,APサーバにイーサネットフレームが届く。 各L2SWにおいてイーサネットフレーム内のMACアドレスを用いた通信制御を行うことによって,顧客Yと顧客ZのサーバのIPアドレスが同一であっても,それぞれの顧客の通信を区別することができる。
〔物理サーバ故障時の検証〕
S君は,物理サーバの故障に備えた仮想サーバの冗長化の検証を行うために,物理サーバ#1の故障時に,物理サーバ#1で動作していたAPサーバを物理サーバ#2に自動的に移動させる設定を行った。物理サーバ#2に移動させたAPサーバは仮想L2SW#2の2番ポートに接続する。
また,①物理サーバ#1が故障して,APサーバの移動を完了した場合に物理L2SW及び仮想L2SWの通信制御テーブルのルールを自動的に変更する設定をSDNコントローラーに行った。
S君は,物理L2SW故障時に備えた冗長化や通信速度の検証なども行い,仮想ネットワークの検証作業を完了した。
広告
設問1
本文中のa,bに入れる適切な字句を,表1中の字句を用いて答えよ。
解答例・解答の要点
a:ccc
b:aaa
b:aaa
解説
図2内の仮想サーバ・FWに表1で示されている仮想MACアドレスを記入すると以下のようになります。〔a,bについて〕物理ルータが顧客YのPCから送信された通信パケットを受信すると、顧客YのFWのWAN側インタフェースにイーサネットフレームを転送します。FWはパケットの検査を行い、その後、LAN側のインタフェースからAPサーバにフレームとして転送します。つまり送信元MACアドレスは顧客YのFWのLAN側、宛先MACアドレスは顧客YのAPサーバになっているはずです。したがってaには顧客YのFWのLAN側の仮想MACアドレスであるccc、bには顧客YのAPサーバの仮想MACアドレスであるaaaが入ります。
∴a=ccc
b=aaa
広告
設問2
本文中のc,dに入れる適切な数値を答えよ。
解答例・解答の要点
c:13
d:3
d:3
解説
〔cについて〕顧客YのDBサーバは物理サーバ#2に、APサーバは物理サーバ#1に配置されています。物理サーバ#2から物理L2SW#1へのフレームは、仮想L2SW#2の1番ポートから送出され、物理L2SW#1の13番ポートがそれを受信します。
∴c=13〔dについて〕
顧客YのDBサーバからAPサーバへの通信なので、送信元のMACアドレスは「bbb」、宛先MACアドレスは「aaa」です。通信制御テーブルの上から順に調べていくと項番3で初めて送信元/宛先MACアドレスが一致します。このため項番3のアクション"Forward 9"に従い、フレームは物理L2SW#1の9番ポートに転送されることになります。
∴d=3
広告
設問3
表2について,(1),(2)に答えよ。
- 表2中のe,fに入れる適切な字句を答えよ。
- 表2中の項番9~13は,同一顧客内のサーバやFWがイーサネットフレームを用いて通信を行うために必要な情報を収集可能とするためのルールである。顧客Y,ZのサーバやFWが収集する情報とは何か。20字以内で答えよ。
解答例・解答の要点
- e:8
f:13
- サーバやFWのMACアドレス (14文字)
解説
- 〔eについて〕
項番7のルールでは送信元MACアドレスが「ddd」、宛先MACアドレスが「eee」の場合の転送先を指定しています。dddは顧客ZのWebサーバ、eeeは顧客ZのFWのLAN側インタフェースですから、期待すべき通信経路は次のようになります。つまり物理サーバ#2からのフレームを受信した物理L2SW#1は、8番ポートに転送することになります。
∴e=8
〔fについて〕
項番8のルールでは送信元MACアドレスが「eee」、宛先MACアドレスが「ddd」の場合の転送先を指定しています。期待すべき通信経路はeの場合と逆向きになります。つまり物理L2SW#2からのフレームを受信した物理L2SW#1は、13番ポートに転送することになります。
∴f=13 - 通信制御テーブルの注記に「"any"とは,対象が全てのMACアドレスであることを示す」と説明されています。すなわちブロードキャスト通信です。
項番9~13のルールでは、物理サーバ#1~3に配置されている顧客Yのサーバ・FWから発せられた(送信元MACアドレスがaaa,bbb,cccの)ブロードキャストフレームが物理サーバ#1~3だけに転送されるように制御をしています。同様に、物理サーバ#2,3に配置されている顧客Zのサーバ・FWから発せられた(送信元MACアドレスがddd,eeeの)ブロードキャストフレームは物理サーバ#2,3だけに転送されるように制御しています。
ブロードキャストを使用し、通信に必要な情報を取得すると言えばARPリクエストが頭に浮かびます。同一セグメント間の機器同士がイーサネットフレームを使って通信を行う際には、通信開始に先立ちARPによって送信相手のMACアドレスを取得します。これらより、項番9~13によって収集可能となる情報とは、同一顧客内のサーバ・FWのMACアドレスと分かります。
∴サーバやFWのMACアドレス
広告
設問4
本文中の下線①について,(1),(2)に答えよ。
- 物理サーバ#1の故障時,物理L2SW#1の通信制御テーブルのルールのうちAPサーバを物理サーバ#2に移動させた場合に適用されなくなるルールはどれか。表2中の項番で全て答えよ。
- 物理サーバ#1の故障時,変更が必要となる物理L2SW#1の通信制御テーブルのルールはどれか。項番9,10,11以外のルールを表2中の項番で答えよ。また,変更後のアクションの内容を表2のアクションの表記に倣って答えよ。
解答例・解答の要点
- 1,3
- 項番:5
内容:Forward 13
解説
- 障害を契機にして顧客YのAPサーバが物理サーバ#2上に移動すると、顧客YのAPサーバ(aaa)・DBサーバ(bbb)が同一物理サーバ上に配置することになります。これにより両機器間の通信が物理L2SW#1を経由しなくなるので、通信制御テーブル中の「aaa→bbb」および「bbb→aaa」のルールは適用されなくなります。
したがって項番1および項番3が適切です。
∴1,3 - APサーバが物理サーバ#2に移動したことにより、aaaとbbbの通信は物理L2SW#1を経由しなくなりますが、cccとaaaの通信は故障前と同様に物理L2SW#1を経由します。aaaが配置される物理サーバが変わったので、cccからaaaに送出されたフレームの転送先も適切に変更しなければなりません。
cccからaaaへのフレームは項番5のルールで制御されます。故障前は物理サーバ#1への転送のために9番ポートに転送(Forward 9)していましたが、移動完了後は物理サーバ#2への転送になります。物理L2SW#1のポートのうち物理サーバ#2と接続されているのは13番ポートなので、「項番5」のアクションをForward 9から「Forward 13」に変更する設定を適用します。
∴項番:5
内容:Forward 13
広告
広告