SDN【応用情報技術者試験 平成29年度 秋期 午後 問5(ネットワーク)設問1、2】

応用情報技術者試験 平成29年度 秋期 午後 問5(ネットワーク)設問1、2

問5 SDN(Software-Defined Networking)を利用したネットワーク設計に関する次の記述を読んで、設問1〜4に答えよ。

 T社は、中小企業向けにIaaSを提供する会社である。国内2か所にデータセンタをもち、約100社の顧客にサービスを提供している。T社では、既存のデータセンタが手狭になってきたので、データセンタを新設することになった。

 新設するデータセンタ(以下、新データセンタという)では、複数顧客の仮想サーバを一つの物理サーバに配備するマルチテナント方式を採用する。ネットワークについても、ソフトウェアによって仮想的なネットワークを構築する技術であるSDNを用いて、顧客ごとに独立した仮想ネットワークを迅速かつ柔軟に構築することを目指している。T社ネットワークサービス部のS君が、SDNを用いた仮想ネットワークの検証を行うことになった。

【検証対象の仮想ネットワーク】

 検証対象は、図1に示す二つの顧客のネットワーク構成を想定した仮想ネットワークである。顧客Y、ZのLANともに、同じネットワークアドレス192.168.0.0/24が利用されている。

f:id:aolaniengineer:20200621162513p:plain

【新データセンタの検証環境構築】

 S君は、新データセンタに設置予定の物理L2SW、物理サーバ、SDNコントローラを利用して検証環境を構築した。S君が構築した検証環境の構成を図2に示す。各物理サーバには仮想化ソフトウェアをインストールして、複数の仮想サーバ・FWと一つの仮想L2SWを定義した。仮想サーバや仮想FWは仮想L2SWに接続し、仮想L2SWの1番ポートは物理L2SWに接続する。仮想L2SW及び物理L2SWは、SDNコントローラで定義したルールに従って、イーサネットフレーム内の送信元MACアドレスと宛先MACアドレスに応じて、イーサネットフレームをL2SWのどのポートに転送するかを制御する。

f:id:aolaniengineer:20200621163039p:plain

 S君は、図1に示す二つの顧客のネットワークを図2の環境で構成するために、各顧客のサーバとFWを表1のように割り当てた。

f:id:aolaniengineer:20200621163215p:plain

 表1の割当てを行った図2の検証環境において、顧客YのPCから顧客YのAPサーバにアクセスする場合、FWとAPサーバの間を流れるAPサーバ向けイーサネットフレームの送信元MACアドレスは(a:ccc)、宛先MACアドレスは(b:aaa)となる。

a:cccb:aaa

顧客YのPCから顧客YのAPサーバへのアクセスの経路は、図1からFW経由となることが分かります。

表1のとおりFWの仮想MACアドレスにはLAN側とWAN側の二つあるのですが、図1から分かるように、インターネットつまり外部側がWAN側で、内部側がLAN側になります。

したがって、FWからAPサーバへのイーサネットフレームについて、送信元MACアドレスはFWのLAN側である「ccc」、宛先MACアドレスはAPサーバの「aaa」となります。

 同一顧客のネットワーク内の機器が相互に通信できるように、物理L2SW及び仮想L2SWのネットワーク情報をSDNコントローラに設定した。物理L2SW#1の通信制御テーブルの内容を表2に示す。

 新データセンタに設置する物理L2SW及び仮想L2SWは、各ポートから入力されたイーサネットフレームに対して、通信制御テーブルの項番1から順に判定条件の評価を行い、判定条件にマッチしたルールが存在した場合には、アクションに記載された内容に従って処理を行う。

 例えば、顧客YのDBサーバからAPサーバ向けのイーサネットフレームが、物理L2SW#1の(c:13)番ポートに入力されると、通信制御テーブルの項番(d:3)のルールにマッチし、イーサネットフレームが物理L2SW#1の9番ポートに転送される。同様に仮想L2SW#1でも、MACアドレスによる通信制御が行われ、APサーバにイーサネットフレームが届く。

f:id:aolaniengineer:20200621163548p:plain

c:13

表1から、顧客YのDBサーバは仮想サーバ#9、APサーバは仮想サーバ#1であり、図2から、DBサーバからAPサーバへの通信は、物理L2SW#1の13番ポートから入力し、9番ポートから出力されることが分かります。

d3

表2の物理L2SW#1の通信制御テーブルにて、送信元MACアドレスが「bbb」(DBサーバ)、宛先MACアドレスが「aaa」(APサーバ)である項番3の判定条件にマッチして、アクション「Forward9」に従って9番ポートに転送されることになります。

 各L2SWにおいてイーサネットフレーム内のMACアドレスを用いた通信制御を行うことによって、顧客Yと顧客ZのサーバのIPアドレスが同一であっても、それぞれの顧客の通信を区別することができる。

【物理サーバ故障時の検証】

 S君は、物理サーバの故障に備えた仮想サーバの冗長化の検証を行うために、物理サーバ#1の故障時に、物理サーバ#1で動作していたAPサーバを物理サーバ#2に自動的に移動させる設定を行った。物理サーバ#2に移動させたAPサーバは仮想L2SW#2の2番ポートに接続する。

 また、①物理サーバ#1が故障して、APサーバの移動を完了した場合に物理L2SW及び仮想L2SWの通信制御テーブルのルールを自動的に変更する設定をSDNコントローラに行った。

 S君は、物理L2SW故障時に備えた冗長化や通信速度の検証なども行い、仮想ネットワークに検証作業を完了した。

【出典:応用情報技術者試験 平成29年度 秋期 午後 問5(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_ap_pm_qs.pdf