SDN【応用情報技術者試験 平成29年度 秋期 午後 問5(ネットワーク)設問3、4】

応用情報技術者試験 平成29年度 秋期 午後 問5(ネットワーク)設問3、4

問5 SDN(Software-Defined Networking)を利用したネットワーク設計に関する次の記述を読んで、設問1〜4に答えよ。

 T社は、中小企業向けにIaaSを提供する会社である。国内2か所にデータセンタをもち、約100社の顧客にサービスを提供している。T社では、既存のデータセンタが手狭になってきたので、データセンタを新設することになった。

 新設するデータセンタ(以下、新データセンタという)では、複数顧客の仮想サーバを一つの物理サーバに配備するマルチテナント方式を採用する。ネットワークについても、ソフトウェアによって仮想的なネットワークを構築する技術であるSDNを用いて、顧客ごとに独立した仮想ネットワークを迅速かつ柔軟に構築することを目指している。T社ネットワークサービス部のS君が、SDNを用いた仮想ネットワークの検証を行うことになった。

【検証対象の仮想ネットワーク】

 検証対象は、図1に示す二つの顧客のネットワーク構成を想定した仮想ネットワークである。顧客Y、ZのLANともに、同じネットワークアドレス192.168.0.0/24が利用されている。

f:id:aolaniengineer:20200621162513p:plain

【新データセンタの検証環境構築】

 S君は、新データセンタに設置予定の物理L2SW、物理サーバ、SDNコントローラを利用して検証環境を構築した。S君が構築した検証環境の構成を図2に示す。各物理サーバには仮想化ソフトウェアをインストールして、複数の仮想サーバ・FWと一つの仮想L2SWを定義した。仮想サーバや仮想FWは仮想L2SWに接続し、仮想L2SWの1番ポートは物理L2SWに接続する。仮想L2SW及び物理L2SWは、SDNコントローラで定義したルールに従って、イーサネットフレーム内の送信元MACアドレスと宛先MACアドレスに応じて、イーサネットフレームをL2SWのどのポートに転送するかを制御する。

f:id:aolaniengineer:20200621163039p:plain

 S君は、図1に示す二つの顧客のネットワークを図2の環境で構成するために、各顧客のサーバとFWを表1のように割り当てた。

f:id:aolaniengineer:20200621163215p:plain

 表1の割当てを行った図2の検証環境において、顧客YのPCから顧客YのAPサーバにアクセスする場合、FWとAPサーバの間を流れるAPサーバ向けイーサネットフレームの送信元MACアドレスはccc、宛先MACアドレスはaaaとなる。

 同一顧客のネットワーク内の機器が相互に通信できるように、物理L2SW及び仮想L2SWのネットワーク情報をSDNコントローラに設定した。物理L2SW#1の通信制御テーブルの内容を表2に示す。

 新データセンタに設置する物理L2SW及び仮想L2SWは、各ポートから入力されたイーサネットフレームに対して、通信制御テーブルの項番1から順に判定条件の評価を行い、判定条件にマッチしたルールが存在した場合には、アクションに記載された内容に従って処理を行う。

 例えば、顧客YのDBサーバからAPサーバ向けのイーサネットフレームが、物理L2SW#1の13番ポートに入力されると、通信制御テーブルの項番3のルールにマッチし、イーサネットフレームが物理L2SW#1の9番ポートに転送される。同様に仮想L2SW#1でも、MACアドレスによる通信制御が行われ、APサーバにイーサネットフレームが届く。

f:id:aolaniengineer:20200621163548p:plain

e8

項番7は、判定条件のMACアドレスと表1から、仮想サーバ#16から仮想FW#4への通信であることが分かります。

この通信について、図2から、物理L2SW#1では8番ポートに転送することが分かります。

f13

項番8は、判定条件のMACアドレスと表1から、前問とは逆である仮想FW#4から仮想サーバ#16への通信であることが分かります。

この通信について、図2から、物理L2SW#1では13番ポートに転送することが分かります。

表2中の項番9〜13は、同一顧客内のサーバやFWがイーサネットフレームを用いて通信を行うために必要な情報を収集可能とするためのルールである。顧客Y、ZのサーバやFWが収集する情報とは何か。20字以内で答えよ。:サーバやFWのMACアドレス

項番9〜13の判定条件は、宛先MACアドレスが「any」となっていることからブロードキャスト通信であることが分かります。

ブロードキャスト通信の代表格であるARPリクエストは、各機器が同一LAN内への通信に先立ち、IPアドレスからMACアドレスを問合せるものです。

したがって、サーバやFWが収集する情報とは、それらのMACアドレスになります。

 各L2SWにおいてイーサネットフレーム内のMACアドレスを用いた通信制御を行うことによって、顧客Yと顧客ZのサーバのIPアドレスが同一であっても、それぞれの顧客の通信を区別することができる。

【物理サーバ故障時の検証】

 S君は、物理サーバの故障に備えた仮想サーバの冗長化の検証を行うために、物理サーバ#1の故障時に、物理サーバ#1で動作していたAPサーバを物理サーバ#2に自動的に移動させる設定を行った。物理サーバ#2に移動させたAPサーバは仮想L2SW#2の2番ポートに接続する。

 また、①物理サーバ#1が故障して、APサーバの移動を完了した場合に物理L2SW及び仮想L2SWの通信制御テーブルのルールを自動的に変更する設定をSDNコントローラに行った。

①について、物理サーバ#1の故障時、物理L2SW#1の通信制御テーブルのルールのうちAPサーバを物理サーバ#2に移動させた場合に適用されなくなるルールはどれか。表2の項番で全て答えよ。:1、3

「物理L2SW#1の通信制御テーブルで適用されなくなるルール」とは、物理L2SW#1を経由しなくなる通信ということです。

APサーバが物理サーバ#2に移動することで、元々物理サーバ#2にあるDBサーバとAPサーバの通信は物理L2SW#1を経由しなくなります。

したがって、「APサーバ(aaa)→DBサーバ(bbb)」「DBサーバ(bbb)→APサーバ(aaa)」のルールが適用されなくなります。

設問と図2の構成を注意深く見ないと、APサーバのMACアドレスの適用ルールを全て挙げてしまうことになりますので、落ち着いて考えましょう。

①について、物理サーバ#1の故障時、変更が必要となる物理L2SW#1の通信制御テーブルのルールはどれか。項番9、10、11以外のルールを表2中の項番で答えよ。また、変更後のアクションの内容を表2のアクションの表記に倣って答えよ。:5/Forward 13

「物理L2SW#1の通信制御テーブルで変更が必要となるルール」とは、物理L2SW#1を経由する通信でAPサーバを宛先とする通信になります。

表2から項番5のルールがそれに該当し、図2の構成で、APサーバ向けの通信を物理サーバ#2が接続されている13番ポートに転送すればよいことが分かります。

 S君は、物理L2SW故障時に備えた冗長化や通信速度の検証なども行い、仮想ネットワークに検証作業を完了した。

【出典:応用情報技術者試験 平成29年度 秋期 午後 問5(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_ap_pm_qs.pdf