Comments
Description
Transcript
午後問題の対策
11-1 インターネットを利用したシステム 第 章 11 11 午後問題の対策 第 章 午後問題の対策 CONTENTS 11-1 インターネットを利用したシステム 11-2 無線LANを利用したシステム 11-3 IPテレフォニーシステム 11-4 ロードバランス 11-5 検疫ネットワーク 11-6 高可用性ネットワーク 11-7 システムのバックアップ SECTION 第11章 午後問題の対策 高可用性ネットワーク 第 章 11-6 11-6 高可用性ネットワーク 冗長化 11 可用性とは トワーク機器やサーバを導入します。しかし、どんなに信頼性が高いネットワーク機 器やサーバを導入したとしても障害が発生する可能性をゼロにすることはできません。 ユーザがいつでも利用したいときにネットワークやシステムを利用できることを そこで、可用性を高めるためには冗長化も考えます。たとえネットワークやシステ 「可用性が高い」と言います。可用性の考える際の基準として、稼働率を考えます。 ムの一部に障害が発生したとしても、ユーザがネットワークやシステムを利用し続け 稼働率は、ネットワークやシステムが機能している確率で表されます。 られるようにネットワーク機器やサーバなどを複数台導入します。ネットワーク機器 稼働率は、平均故障間隔(MTBF:Mean Time Between Failure)と平均修理時間 やサーバの冗長化の簡単な例を示しているのが次の図です。 (MTTR:Mean Time To Repair)から計算します。MTBFは故障してから次の故障 までの平均の時間で、MTTRは故障を修復するまでに要する平均の時間です。稼働 率は、次の計算式から求められます。 スイッチ ルータ 稼働率(A)=MTBF /(MTBF+MTTR) スイッチ をまとめたものです。 99.999% 99.99% 99.9% 99% ルータ スイッチ スイッチ スイッチ 停止時間 ルータ ルータ スイッチ 32秒 5分15秒 52分34秒 8時間46分 3日15時間36分 どのくらいのシステムの稼働率を確保するかは、ネットワークやシステムの目的に 応じて異なります。金融機関やインターネット上でBtoBのサービスを提供している 場合などは、可能な限り高い稼働率が求められます。高い可用性を実現しているネッ トワークを高可用性(HighAvailability:HA)ネットワークと呼びます。 556 ルータ スイッチ 表 稼働率と年間の停止時間 99.9999% スイッチ 冗長化 次の表は1年を365日で考えて、稼働率に応じたネットワークやシステムの停止時間 稼働率 ルータ 図 ネットワーク機器やサーバの冗長化の例 上図の冗長化していない構成であれば、クライアントPCとサーバの間のどこか一 つでも障害が発生すると、クライアントPCとサーバ間の通信ができなくなります。 スイッチやルータなどのネットワーク機器やサーバを冗長化することで、障害が発生 したとしてもクライアントPCとサーバ間の通信を継続することができるようになり ます。 ただし、単純に複数のネットワーク機器やサーバを導入すればよいわけではありま せん。冗長化する機器に応じて、適切な冗長化プロトコルや機能を利用する必要があ ります。主な冗長化プロトコルおよび機能は、次の表のとおりです。 557 午後問題の対策 高可用性ネットワークを構築するためには、障害が発生しにくい信頼性の高いネッ 第11章 午後問題の対策 11-6 高可用性ネットワーク スパニングツリーは、レイヤ2スイッチの冗長化を行う際に利用するプロトコルで スパニングツリー スイッチ す。すなわち、レイヤ2の冗長化プロトコルです。スパニングツリーによって、同一 VRRP ルータ VLAN内でのイーサネットフレームの転送経路を冗長化します。次の図は、スパニン ルーティングプロトコル ルータ グツリーによる同一VLAN内におけるイーサネットフレームの転送経路の切り替えの クラスタ サーバ 例です。正常時は、PC1とPC2間のイーサネットフレームは、 スイッチを冗長化するときには、スパニングツリーを利用します。また、ルータを L2-SW1−①−L2-SW2 冗長化するときにはルーティングプロトコルやVRRPが必要です。ルーティングプロ という経路で転送されています。ここで①の経路に障害が発生すると、PC1とPC2間 トコルによって、特定のネットワークへのルートに障害が発生しても自動的に切り替 のイーサネットフレームは えることができます。VRRPはクライアントPCおよびサーバに対するデフォルトゲー トウェイの切り替えを行います。 L2-SW1−②−L2-SW3−③−L2-SW2 クラスタは複数のサーバをまとめて、障害発生時のサーバの切り替えや正常時の負 という経路で転送されます。スパニングツリーでは、ルートブリッジの方向にイーサ 荷分散を実現するための機能です。 ネットフレームが転送されていくことに注意してください。 スイッチ VRRP VRRP ルータ ルータ 【正常時】 クラスタ L2-SW3 スイッチ スイッチ ルータ スパニングツリー ルータ L2-SW3 ② ② L2-SW1 スイッチ スイッチ 【①の経路障害時】 スイッチ PC1 L2-SW2 スパニングツリー ③ L2-SW1 ③ ① ① ①の経路に 障害発生 PC1 L2-SW2 ルーティングプロトコル 図 冗長化プロトコルと機能 冗長化プロトコルの特徴 ネットワークスペシャリスト試験では、特にネットワークの冗長化プロトコルであ る「スパニングツリー」、「VRRP」、「ルーティングプロトコル」が重要です。これら の冗長化プロトコルは、単独ではなく組み合わせて利用します。どのように組み合わ せるかは、各冗長化プロトコルの目的とデータの転送経路をきちんと把握することが ポイントです。 ※特にスパニングツリーとVRRPを組み合わせたときに、データの転送経路をきち んと把握することが重要です。 558 PC2 PC2 図 スパニングツリーのイーサネットフレーム転送 (2)VRRP VRRPはレイヤ3の冗長化プロトコルであり、デフォルトゲートウェイの冗長化に 利用されます。クライアントPCが他のネットワークあてにIPパケットを送信すると き、デフォルトゲートウェイに転送します。デフォルトゲートウェイがダウンしても、 クライアントPCでデフォルトゲートウェイの設定を変更することなく、切り替えら れるようにするためのプロトコルがVRRPです。次の図は、VRRPでのデフォルト 559 11 午後問題の対策 対象 冗長化プロトコル、機能 第 章 (1)スパニングツリー 表 冗長化プロトコルと機能 第11章 午後問題の対策 11-6 高可用性ネットワーク (3)ルーティングプロトコル ルータがIPパケットをルーティングする際には、ルーティングテーブルを利用しま す。受信したIPパケットに対するルーティングテーブル上のルート情報を検索して、 マスター 適切な転送先にIPパケットを転送します。ルーティングテーブル上に該当するルート ルータ1 仮想 ルータ PC1 デフォルトゲートウェイ: 仮想ルータ 情報がなければ、IPパケットをルーティングできません。ルータ間でルーティングプ 他のネットワーク り、ネットワークに障害が発生した場合でも、IPパケットのルーティングを継続する バックアップ ことができます。 PC1 デフォルトゲートウェイ: 仮想ルータ 簡単な例として、次の図のような企業の拠点間のWAN接続を冗長化しているネッ トワーク構成を考えます。 ルータ1 仮想 ルータ ることができます。また、ネットワークに障害が発生したとき、ルーティングプロト コルによって自動的にルーティングテーブルを書き換えることができます。これによ ルータ2 ルータ1に障害発生 【ルータ1障害時】 ロトコルを利用すれば、自動的にルーティングテーブルに必要なルート情報を登録す ルータ1 ルーティングテーブル 他のネットワーク ルータ2 マスター 拠点1 NW ネクストホップ 192.168.2.0/24 ルータ3 WAN1 拠点内LAN ルータ1 拠点2 ルータ3 192.168.2.0/24 図 VRRPによるデフォルトゲートウェイ切り替え L3-SW WAN2 VRRPでは、複数のルータで仮想ルータを定義します。クライアントPCのデフォ ルトゲートウェイの設定は、仮想ルータのIPアドレスを設定します。ルータは、マス タルータとバックアップルータに役割が分かれます。この例では、ルータ1がマスタ ルータでルータ2がバックアップルータです。クライアントPCが他のネットワークに IPパケットを送信するときは、マスタルータであるルータ1へ転送し、ルータ1がルー ティングします。 マスタルータであるルータ1に障害が発生すると、バックアップルータだったルー タ2が新しいマスタルータになります。クライアントPCのデフォルトゲートウェイの 設定をまったく変更することなく、引き続き、新しいマスタルータのルータ2がクラ イアントPCからの他のネットワークあてのIPパケットをルーティングすることがで きます。 上記のようにVRRPでは、クライアントPCからの他のネットワークあてのIPパケッ トがマスタルータへ転送されていくことに注意してください。 560 NW ネクストホップ 192.168.2.0/24 ルータ1 ルータ2 ルータ4 L3-SW ルーティングテーブル NW ネクストホップ 192.168.2.0/24 ルータ1 ルータ2 ルーティングテーブル 図 正常時のルーティング 拠点1内のLANから拠点2の192.168.2.0/24のネットワークへのIPパケットのルーティ ングに注目します。WAN1がプライマリ回線として、正常時にWAN1を経由してIP パケットがルーティングされるものとします。このときL3-SWやルータ1、ルータ2な ど 拠 点1内 の ル ー テ ィ ン グ を 行 う ネ ッ ト ワ ー ク 機 器 の ル ー テ ィ ン グ テ ー ブ ル に 192.168.2.0/24のルート情報が登録されていなければなりません。ルータやL3-SW間 561 11 午後問題の対策 【正常時】 第 章 ゲートウェイ切り替えの例です。 第11章 午後問題の対策 11-6 高可用性ネットワーク ルート情報を自動的に登録することができます。 冗長化プロトコルの組み合わせ 11 (1)スパニングツリーとVRRPの組み合わせ 現在、多くの企業LANはレイヤ2スイッチ(L2-SW)とレイヤ3スイッチ(L3-SW)で L3-SW−ルータ1−WAN1−ルータ3 構成しています。ユーザが利用するクライアントPCは、L2-SWと接続することで企 という経路でIPパケットがルーティングされます。このようにWAN1の経路でルー 業LANに参加します。L3-SWは、クライアントPCを接続しているL2-SWを集約して、 ティングされるようにルーティングテーブルにルート情報を登録するには、ルーティ ルーティングを行います。そのため、クライアントPCに設定するデフォルトゲート ングプロトコルのメトリックを利用します。そして、プライマリ回線であるWAN1 ウェイはL3-SWとなります。 に障害が発生すると、ルーティングプロトコルによって自動的にルーティングテーブ 企業LANの可用性を向上させるには、次の図のように主にL3-SWを冗長化します。 ルを書き換えることができます。 ルータ1 ルーティングテーブル 拠点1 NW ネクストホップ 192.168.2.0/24 ルータ2 ルータ1 ネクストホップ 192.168.2.0/24 ルータ2 L3-SW2 拠点2 ルータ3 192.168.2.0/24 PC2 WAN2 ルータ2 ルータ4 このようにL3-SWを冗長化したネットワーク構成では、スパニングツリーとVRRP を組み合わせて利用します。L3-SWはL2-SWの機能も含んでいるので、L2-SWがルー プ構成になります。そのため、スパニングツリーが必要です。 L3-SW ルーティングテーブル NW ネクストホップ 192.168.2.0/24 ルータ4 ルータ2 ルーティングテーブル 図 WAN1障害時のルーティング WAN1に障害が発生すると、L3-SWのルーティングテーブルの192.168.2.0/24に対 するネクストホップがルータ2に書き換わります。ルータ1やルータ2のルーティング テ ー ブ ル の ル ー ト 情 報 も 更 新 さ れ ま す。 そ の 結 果、 拠 点1のLANか ら 拠 点2の 192.168.2.0/24まで、 L3-SW−ルータ2−WAN2−ルータ4 という経路でIPパケットがルーティングされるようになります。 562 L2-SW2 LANバックボーン 図 企業LANにおける冗長化 L3-SW NW L3-SW1 PC1 WAN1 拠点内LAN L2-SW1 ※ただし、VLANの設定に依存します。VLANの設定によっては、ループ構成にな らずにスパニングツリーが不要な場合もあります。上記の図では、各スイッチ間 の接続はすべて同一VLANとしているので、ループ構成となりスパニングツリー が必要です。 また、クライアントPCのデフォルトゲートウェイとなるL3-SWが複数導入されて いるので、デフォルトゲートウェイを切り替えるためのVRRPが必要です。 (2)スパニングツリーとVRRPを組み合わせたときの転送経路 スパニングツリーとVRRPを組み合わせたネットワーク構成でのイーサネットフ レームの転送経路を考えます。転送経路を考えるときには、前に解説した次の2点に 注意します。 563 午後問題の対策 正常時には、拠点1のLANから拠点2の192.168.2.0/24まで、 第 章 でルーティングプロトコルを利用すれば、ルーティングテーブルに192.168.2.0/24の 第11章 午後問題の対策 11-6 高可用性ネットワーク ・クライアントPCからの他のネットワークあてのIPパケットをマスタルータへ転送 スパニングツリーのルートブリッジとVRRPのマスタルータを一致させることがポイ VRRP ルートブリッジ マスタールータ ① L2-SW1 また、他のネットワークあてのIPパケットの転送経路を最適なものにするためには、 内部SW1 内部 ルータ1 LANバックボーン PC1 ② ントです。 これらのことをもう少し掘り下げて考えます。L3-SWには、内部にルータが含まれ ています。また、内部にVLANごとの仮想的なスイッチも含まれることになります。 L3-SW内部のルータ、スイッチを考慮したネットワーク構成が次の図です。 L2-SW1 内部SW1 内部 ルータ1 LANバックボーン PC1 デフォルト ゲートウェイ 仮想ルータ ③ L2-SW2 ④ 内部SW2 内部 ルータ2 セカンダリ VRRP ルートブリッジ バックアップルータ ルートポート 指定ポート 非指定ポート (ブロック) L3-SW2 図 L3-SW1をスパニングツリールートブリッジとVRRPマスタルータにする場合 L2-SW2 内部SW2 PC2 L2-SW1、L2-SW2、内部SW1、 内部SW2間の接続は同一VLAN 内部 ルータ2 L3-SW2 図 L3-SWの内部構成を考慮したネットワーク構成 こ こ で ス パ ニ ン グ ツ リ ー の ル ー ト ブ リ ッ ジ をL3-SW1の 内 部SW1と し た 場 合、 VRRPのマスタルータはL3-SW1の内部ルータ1にします。その際、スパニングツリー のポートの役割やクライアントPCでのデフォルトゲートウェイの設定をまとめたも のが次の図です。 仮想 ルータ ⑤ PC2 L3-SW1 11 L3-SW1 デフォルト ゲートウェイ 仮想ルータ 午後問題の対策 する 第 章 ・スパニングツリーではルートブリッジの方向にイーサネットフレームを転送する スパニングツリーのルートブリッジとVRRPのマスタルータを一致させると、クラ イアントPCから他のネットワークあてにIPパケットを送信するとき、最短経路でマ スタルータまで転送できます。たとえば、PC1から他のネットワークあてにIPパケッ トを送信するときの経路は、 L2-SW1−①−内部SW1(ルートブリッジ)−内部ルータ1(VRRPマスタルータ) です。ところが、スパニングツリーのルートブリッジとVRRPのマスタルータが一致 していないと、 「図 ルートブリッジとマスタルータが一致しない場合」のようにク ライアントPCから他のネットワークあてにIPパケットを送信すると、 L2-SW1−②−内部SW2(ルートブリッジ)−⑤−内部SW1 −内部ルータ1(VRRPマスタルータ) というようにVRRPのマスタルータまで最短経路ではない経路で転送されてしまい、 効率が悪くなります。 なお、同じVLAN内のクライアントPC同士の通信の場合は、VRRPは関係しません (図 クライアントPC間の転送経路) 。スパニングツリーのルートブリッジを中心と した転送経路でIPパケットが転送されます。たとえば、L3-SW1の内部SW1がルート ブリッジとして、クライアントPC1からクライアントPC2へIPパケットを送信した場 564 565 第11章 午後問題の対策 11-6 高可用性ネットワーク (3)障害発生時の経路 L3-SW1 セカンダリ VRRP ルートブリッジ マスタールータ ① 内部SW1 ④ 内部SW2 内部 ルータ2 PC2 VRRP ルートブリッジ ルートポート バックアップルータ 指定ポート L3-SW2 非指定ポート(ブロック) ③ 内部SW1 内部 ルータ2 VRRP セカンダリ ルートブリッジ バックアップルータ ルートポート 指定ポート L3-SW2 非指定ポート (ブロック) L2-SW1−②−内部SW2−⑤−内部SW1(ルートブリッジ) −内部ルータ1(VRRPマスタルータ) 内部 ルータ1 LANバックボーン PC1 ② 仮想 ルータ ⑤ 内部SW2 るL3-SW1内の内部SW1に転送できないので、 VRRP ルートブリッジ マスタールータ ① ④ L2-SW1とL3-SW1間の接続である①に障害が発生すると、直接ルートブリッジであ L3-SW1 デフォルト ゲートウェイ 仮想ルータ ③ L2-SW2 仮想 ルータ 図 ①に障害発生時のPC1から他のネットワークあてのIPパケットの転送経路 図 ルートブリッジとマスタルータが一致していない場合 PC2 ② L2-SW2 デフォルト ゲートウェイ 仮想ルータ 内部 ルータ1 LANバックボーン デフォルト ゲートウェイ 仮想ルータ 仮想 ルータ ③ L2-SW1 内部SW1 ⑤ ⑤ L2-SW2 VRRP ルートブリッジ マスタールータ PC1 LANバックボーン ② PC2 ① L2-SW1 内部 ルータ1 PC1 デフォルト ゲートウェイ 仮想ルータ L3-SW1 デフォルト ゲートウェイ 仮想ルータ という経路で、PC1から他のネットワークあてのIPパケットが転送されます。なお、 VRRPの制御情報であるVRRP Advertisementは、内部SW1と内部SW2間の接続の⑤ を通じて転送されるので、①に障害が発生してもVRRPマスタルータには影響しませ ん。また、①で障害が発生しているときのPC1からPC2あてのIPパケットの転送経路 は、次の図のようにルートブリッジを中心として、 ④ 内部SW2 内部 ルータ2 VRRP セカンダリ ルートブリッジ バックアップルータ ルートポート 指定ポート 非指定ポート(ブロック) L2-SW1−②−内部SW2−⑤−内部SW1(ルートブリッジ)−③−L2-SW2 という経路で転送されます。 L3-SW2 図 クライアントPC間の転送経路 566 567 午後問題の対策 PC1から他のネットワークあてのIPパケットの転送経路は、次の図のようになります。 スパニングツリールートブリッジと VRRP マスタールータが一致していない L2-SW1 11 L2-SW1とL3-SW1間の接続の①に障害が発生したときの転送経路を考えます。 L2-SW1−①−内部SW1(ルートブリッジ)−③−L2-SW2 デフォルト ゲートウェイ 仮想ルータ 第 章 合の転送経路は次のとおりです。 第11章 午後問題の対策 11-6 高可用性ネットワーク L2-SW1 内部SW1 ディスク 装置 内部 ルータ1 LANバックボーン PC1 ② デフォルト ゲートウェイ 仮想ルータ ③ L2-SW2 PC2 仮想 ルータ ⑤ DNS サーバ ディスク 装置 テープ 装置 グループウェア サーバ ④ 内部SW2 VRRP セカンダリ ルートブリッジ バックアップルータ ルートポート 指定ポート 非指定ポート(ブロック) L3-SW2 午後問題の演習(1) ネットワークの冗長化(1) 問 題 F社は、化学製品を取り扱う専門商社である。F社のシステム企画部は、5年 前にサーバ、ディスク装置及びテープ装置からなるサーバの標準構成を定めて、 社内の共通システムとして、DNS、業務システム及びグループウェアを構築し た。また、社内ネットワークを構築し、共通システムと社内ネットワークの運 用管理を行ってきた。 F社には10の部署があり、部署ごとに独自の部門システムを運用してきた。 各部署は、システム企画部が定めたサーバの標準構成を用いて、部門システム を構築した。 〔社内システムの状況〕 社内システム構成を、図1に示す。 ディスク 装置 テープ 装置 業務 サーバ テープ 装置 ① ② L3-SW1 172.16.0.0/24 ④ 内部 ルータ2 図 ①に障害発生時のPC1からPC2へのIPパケットの転送経路 568 11 マシンルーム VRRP ルートブリッジ マスタールータ 午後問題の対策 ① 第 章 L3-SW1 デフォルト ゲートウェイ 仮想ルータ 部署1 L3-SW2 ⑤ 部署10 L2-SW1 PC … PC 172.16.1.0/24 ③ 部門 サーバ1 テープ 装置 … ディスク 装置 L2-SW10 PC … PC 172.16.10.0/24 部門 サーバ10 テープ 装置 ディスク 装置 L3-SW:レイヤ3スイッチ L2-SW:レイヤ2スイッチ 172.16.0.0/24∼172.16.10.0/24:IPアドレス ①∼⑤:経路番号 図1 社内システム構成(抜粋) 社内ネットワークは、マシンルームに設置した2台のL3-SWと部署ごとに設 置したL2-SWから構成されていた。L3-SWとL2-SWの間は部署ごとにVLANを 設定し、スパニングツリープロトコルによって二重の経路をもたせていた。L3SWは、VRRP(Virtual Router Redundancy Protocol)を利用して冗長化してお り、通常はL3-SW1をマスタに設定し、稼働系としていた。業務上、ある部署の PCから他部署の部門サーバヘのアクセスは不要なので、L3-SWの定義で部署間 のルーティングは抑止していた。 共通システムの各サーバは、同じIPアドレスをもつ二つのLANインタフェー スで、一つのVLANに収容されていた。二つのLANインタフェースは、サーバ のOSの機能によって、通常は、L3-SW1側が稼働系、L3-SW2側は待機系となっ ていた。そして、稼働系に障害が発生した場合には、自動的に待機系に切り替 わるようになっていた(以下、この機能をマルチパス機能という)。 部門サーバには、外付けのディスク装置とデータバックアップのためのテー プ装置を接続し、日次での差分バックアップと、週次でのフルバックアップを 取る運用としていた。 社内システムが稼働して数年がたち、システム企画部に対して、部門サーバ の処理能力やディスク装置の容量が足りないという声が寄せられるようになっ 569 第11章 午後問題の対策 タ復旧において、バックアップが正常に取られていなかったために、データが 消失する事故も発生した。 これらの状況から、システム企画部では、現在の社内システム構成を見直し、 新社内システムを構築することを決定した。その準備段階として、システム企 両部のH主任は、部下のT君に社内システムの現状を調査するように指示した。 されていることから、部署1VLANでのスパニングツリールートブリッジと VRRPマスタルータが一致していると考えることができます。部署1VLAN、マ シンルームVLAN、VRRP、スパニングツリーを組み合わせた接続の詳細を図に すると、次のようになります。 業務サーバ 〜以下、省略〜 稼働系 ① 設 問 〔社内システムの状況〕の図1について、(1)、(2)に答えよ。 (1)部署1に設置されたPCに設定するデフォルトゲートウェイを、40字以内で 具体的に述べよ。 (2)部署1に設置されたPCから業務サーバヘのアクセスにおいて、L2-SW1から 業務サーバまでの経路が④①であったとする。そのとき、経路④が障害と なった場合の経路の変化を、図1中の経路番号を用いて40字以内で述べよ。 (テクニカルエンジニア(ネットワーク)試験 平成18年度午後Ⅱ 問2設問2改題) 設問の解説 (1)VRRPでデフォルトゲートウェイを冗長化したとき、クライアントPCのデフォ ルトゲートウェイにはVRRPで定義した仮想IPアドレスを設定します。 (2)問題文の構成では、VLANをどのように定義しているかは明示されていません。 VLANの構成を推測すると、④⑤の接続はポートVLANで同じ部署1のVLANで す。また、③は部署1〜部署10の各部署のVLANを束ねるトランク(タグVLAN) であることが推測できます。つまり、部署1のVLANは③④⑤でループ構成に 待機系 ② 内部SW2-2 内部SW1-2 VRRPマスター 内部ルータ1 ルートブリッジ 内部SW1-1 VRRP 仮想ルータ ③ L3-SW1 ④ 内部ルータ2 VRRP バックアップ 内部SW2-1 セカンダリ ルートブリッジ L3-SW2 ⑤ マシンルームVLAN (172.16.0.0/24) の SW 部署 1VLAN (172.16.1.0/24) の SW ルートポート 指定ポート 非指定ポート (ブロック) L2-SW1 ※L3-SW内部について、スパニン グツリーのポートは考慮してい ません。 PC ※部署1、マシンルームVLANで共 通のVRRPマスター/バックアッ デフォルトゲートウェイ プとして考えています 仮想ルータ 図 VLAN、スパニングツリー、VRRPの詳細な構成 ここで④の経路に障害が発生すると、L2-SW1から直接ルートブリッジであるL3SW1の内部SW1-1に転送できません。そのため、次の図のような転送経路になります。 なっているので、スパニングツリーが必要です。 また、①②の接続はマシンルームのVLANです。マシンルームのVLANが③の トランクで多重化されているかどうかは問題文に記されている情報だけでは判断 がつきません。ただ、マシンルームVLANには、スイッチが存在せず、すべての サーバは複数NICのマルチパス機能で冗長化しているので③のトランク接続にマ シンルームVLANを多重化する意味はあまりありません。ここでは、マシンルー ムのVLANは③のトランクでは多重化していないものとします。 570 571 11 午後問題の対策 停止も目立つようになってきた。さらに、ある部署では、ディスク障害時のデー また、PCから業務サーバあてのIPパケットは、正常時には④①の経路で転送 第 章 てきた。また、サーバの老朽化が進み、ハードウェア障害などによるサービス 11-6 高可用性ネットワーク 第11章 午後問題の対策 11-6 高可用性ネットワーク 内部ルータ1 ルートブリッジ 内部SW1-1 簡単にいえば、目的のネットワークまでの距離を数値化したものがメトリックです。 距離といっても、物理的な距離ではなく、ネットワーク的に計測した距離です。 内部SW2-2 内部SW1-2 VRRPマスター です。メトリックによって学習したルート情報が最適であるかどうかを決定します。 待機系 ② VRRP 仮想ルータ ③ L3-SW1 ルーティングプロトコルによって、ネットワーク的な距離、すなわちメトリックの 内部ルータ2 VRRP バックアップ 考え方が異なります。RIPの場合、 目的のネットワークに到達するまでに経由するルー 内部SW2-1 セカンダリ ルートブリッジ 達するための累積コストをメトリックとしています。コストは、通常、ネットワーク L3-SW2 ⑤ ④ L2-SW1 マシンルームVLAN (172.16.0.0/24)の SW 部署 1VLAN(172.16.1.0/24) の SW PC ルートポート 指定ポート デフォルトゲートウェイ 非指定ポート (ブロック) 仮想ルータ タの台数をメトリックとしています。一方、OSPFの場合、目的のネットワークに到 の速度から自動的に計算されます。ルータの各インタフェースの速度に応じてコスト が計算されます。基本的なOSPFコストは、100 /速度(Mビット/秒)で計算されま す。ルート情報を受け取ったインタフェースのコストが加算されて、目的のネット ワークまでの累積コストが分かります。 【RIP】 RIP ルート情報 192.168.1.0./24メトリック:1 ルータ1 ルータ2 図 経路④障害発生時の転送経路 解答 192.168.1.0./24までの距離=1 間にルータが1台ある 【OSPF】 ルート情報を受信したイン タフェースのコストを加算 (1)L3-SW1とL3-SW2で動作しているVRRPで定義した仮想IPアドレス OSPF ルート情報 192.168.1.0./24メトリック:1 (2)L2-SW1と業務サーバ間の経路が④①から⑤③①に切り替わる ルーティングプロトコルによる経路の切り替え ルーティングプロトコルを利用して、ネットワークに障害が発生したときでもルー ティングを継続させるためには、さまざまな方法があります。ここでは、下記の二つ 192.168.1.0/24 ルータ1 ルータ2 192.168.1.0/24 OSPFコスト=1 192.168.1.0./24までの距離=2 100Mビット/秒のネットワーク二つ分 図 ルーティングプロトコルによるメトリックの考え方 の方法について、具体的に解説します。 ・メトリックの調整 ・ロンゲストマッチの利用 572 ※RIPのメトリックの加算はベンダによって異なります。他のルータに送信すると きにメトリックに1を加算する場合もあれば、他のルータからルート情報を受信 したときにメトリックに1を加算することもあります。上の図では、他のルータ 573 11 午後問題の対策 稼働系 ① メトリックは、ルーティングプロトコルで交換するルート情報に含まれている情報 第 章 (1)メトリックの調整 業務サーバ 第11章 午後問題の対策 11-6 高可用性ネットワーク 目的のネットワークまでの距離を示していることに注目してください。目的のネット ワークまでの最短経路とは、最も距離が短い経路です。つまり、メトリックの値が最 小のルート情報が最短経路としてルーティングテーブルに登録されるようになりま す。 メトリックを利用して、障害発生時に経路を切り替える具体的な例として、下記の ネットワーク構成を考えます。 を最適と判断してルーティングテーブルに登録します。 ここで、プライマリ回線のWAN1に障害が発生して使えなくなると、ルータ1はルー タ3から受信した10.2.1.0/24のルート情報を削除します。また、L3-SWやルータ2に ルータ1を経由する10.2.1.0/24のルート情報が使えなくなったことを通知します。こ のことによって、L3-SWやルータ2はルータ1から受信した10.2.1.0/24のルート情報を 削除します。 ルータ1 ルーティングテーブル ルータ1 ルーティングテーブル NW 10.2.1.0/24 NW ネクストホップ メトリック ルータ3 2 拠点1 NW 10.2.1.0/24 ルータ1 3 ルータ1 10.2.1.0/24 メトリック2 拠点2 WAN1 (プライマリ) ネクストホップ メトリック 10.2.1.0/24 ルータ1 3 10.2.1.0/24 10.2.1.0/24メトリック1 ルータ1 10.2.1.0/24 使えない L3-SW L3-SW 拠点内LAN NW ルータ3 2 L3-SW ルーティングテーブル WAN1 (プライマリ) ネクストホップ メトリック ルータ3 拠点1 拠点2 L3-SW ルーティングテーブル ネクストホップ メトリック 10.2.1.0/24 WAN2 (バックアップ) ルータ2 バックアップ回線側で受信 するルートのメトリック加算 を通常よりも多く(+10)する ルータ 2 は 10.2.1.0/24 の最適ルート としてルータ 1 から受信したルート情 報を採用する 拠点内LAN ルータ4 ルータ3 10.2.1.0/24メトリック1 WAN2 (バックアップ) ルータ2 ルータ4 10.2.1.0/24メトリック1 10.2.1.0/24メトリック1 NW NW ネクストホップ メトリック 10.2.1.0/24 ルータ1 3 10.2.1.0/24 ルータ4 11 ルータ2 ルーティングテーブル 図 ネットワーク構成の例 この図では、ルーティングプロトコルにOSPFを利用しています。WAN1をプライ マリ回線、WAN2をバックアップ回線としています。バックアップ回線に接続され ているルータ2では、ルータ4から受信する10.2.1.0/24のルート情報のメトリック値の 10.2.1.0/24 ネクストホップ メトリック 10.2.1.0/24 ルータ1 3 10.2.1.0/24 ルータ4 11 ルータ2 ルーティングテーブル 図 WAN1障害発生時(1) ルータ2は、ルータ4から学習した10.2.1.0/24が最適ルートとなり、ルーティングテー ブルに登録されます。そして、ルータ2からL3-SWとルータ1に10.2.1.0/24のルート情 報を送信します。これにより、L3-SW、ルータ1のルーティングテーブルが書き換わっ て、10.2.1.0/24のネクストホップがルータ2になります。 加算を通常よりも大きくします。 プライマリ回線に接続されているルータ1は、拠点2の10.2.1.0/24のルート情報を拠 574 575 11 午後問題の対策 このようにルーティングプロトコルによって、メトリックの考え方は異なるものの、 タ4の両方から受信します。メトリックを比較して、ルータ1から受信したルート情報 第 章 点1内にも送信します。そのため、ルータ2は10.2.1.0/24のルート情報をルータ1とルー にルート情報を送信するときに加算する場合を考えています。 第11章 午後問題の対策 11-6 高可用性ネットワーク IP ネクストホップ メトリック 10.2.1.0/24 ルータ2 12 拠点1 NW 192.168.1.0/24 拠点2 ネクストホップ メトリック 10.2.1.0/24 ルータ2 12 S0/0 WAN1 (プライマリ) L3-SW ルーティングテーブル ルータ1 ルータ3 10.2.1.0/24 10.2.1.0/24メトリック1 L3-SW 拠点内LAN 10.2.1.0/24メトリック1 NW 192.168.0.0/16 S0/0 192.168.1.0/24 S0/0 192.168.2.0/24 S0/0 192.168.3.0/24 S0/0 192.168.4.0/24 S0/0 192.168.4.0/24 ルータ4 ネクストホップ メトリック 192.168.0.0/16、192/168.1.0/24のルー ト情報が「192.168.1.1」と一致する。一 致するビット数が多い192.168.1.0/24の ルート情報を利用する ルータ1 ルーティングテーブル NW 図 WAN1障害発生時(2) ネクストホップ メトリック 10.2.1.0/24 ルータ3 2 10.2.0.0/16 ルータ2 3 拠点1 WAN1 (プライマリ) ルータがIPパケットをルーティングするとき、ルーティングテーブル上の該当する ルート情報を検索します。そのときの検索方法がロンゲストマッチです。IPパケット ルータ1 10.2.1.0/24 メトリック2 拠点内LAN の送信先IPアドレスに一致するルート情報が複数存在するとき、最も一致するビット 数が多いルート情報を優先します(図 ロンゲストマッチの例)。 L3-SW ンゲストマッチを利用して障害発生時に経路を切り替えるためには、バックアップ回 線を通じて、集約ルートを送信します。「図 ロンゲストマッチによる経路切り替え のネットワーク構成例」で考えます。 ルータ4は10.2.1.0/24ではなく、集約して10.2.0.0/16をルータ2に送信します。この とき、ルータ2から拠点1のルータ1、L3-SWにも集約ルート10.2.0.0/16が送信されます。 その結果、ルータ1、ルータ2、L3-SWのルーティングテーブルには、10.2.1.0/24と 10.2.0.0/16のルート情報が登録されます。 実際に拠点1のPCから10.2.1.0/24あてにIPパケットが送信されると、ロンゲストマッ L3-SW ルーティングテーブル NW ネクストホップ メトリック 10.2.1.0/24 ルータ1 3 10.2.0.0/16 ルータ2 3 拠点2 ルータ3 10.2.1.0/24 10.2.1.0/24メトリック1 WAN2 (バックアップ) ロンゲストマッチにより、集約されたルート情報は優先度が低いルート情報という ことになります。これを利用して障害発生時に経路を切り替えることができます。ロ ルート情報のサブネ ットマスクのビット 数までをチェック 図 ロンゲストマッチの例 10.2.1.0/24 ルータ4 11 ルータ2 ルーティングテーブル (2)ロンゲストマッチの利用 S0/1 ルータ1 ルーティングテーブル 192.168.2.0/24 192.168.3.0/24 WAN2 (バックアップ) ルータ2 10.2.1.0/24 メトリック11 11 あて先IPアドレス 192.168.1.1 午後問題の対策 NW 第 章 ルータ1 ルーティングテーブル ルータ2 10.2.0.0/16 メトリック2 ルータ4 10.2.0.0/16メトリック1 バックアップ回線では、 集約ルートを送信する NW ネクストホップ メトリック 10.2.1.0/24 ルータ1 3 10.2.0.0/16 ルータ4 2 ルータ2 ルーティングテーブル 図 ロンゲストマッチによる経路切り替えのネットワーク構成例 チによって10.2.1.0/24のルート情報に基づいてルーティングされます。 576 577 第11章 午後問題の対策 11-6 高可用性ネットワーク ルータ3から受信した10.2.1.0/24のルート情報を削除し、L3-SWやルータ2へ通知しま 第 章 ここで、プライマリ回線のWAN1に障害が発生した場合を考えます。ルータ1は 午後問題の演習(2) 11 午後問題の対策 す。その結果、ルータ1、ルータ2、L3-SWのルーティングテーブルには10.2.0.0/16の ネットワークの冗長化(2) ルート情報のみが残ります。 問 題 ルータ1 ルーティングテーブル NW ネクストホップ メトリック 10.2.1.0/24 ルータ3 2 10.2.0.0/16 ルータ2 3 拠点1 拠点2 WAN1 (プライマリ) ルータ1 拠点内LAN L3-SW L3-SW ルーティングテーブル NW ネクストホップ メトリック 10.2.1.0/24 ルータ1 3 10.2.0.0/16 ルータ2 3 ルータ3 10.2.1.0/24 WAN2 (バックアップ) ルータ2 ルータ4 NW ネクストホップ メトリック 10.2.1.0/24 ルータ1 3 10.2.0.0/16 ルータ4 2 ルータ2 ルーティングテーブル X社は、家具やインテリアの製造及び販売を行う企業であり、東京本社、名 古屋営業所、大阪営業所及び静岡工場の計四つの拠点がある。各拠点LANは、 広域イーサネットサービス網(以下、広域イーサ網という)にレイヤ3スイッチ (以下、L3SWという)で接続されている。広域イーサ網の回線速度は、各拠点 ともに5Mビット/秒である。各拠点には、販売管理サーバ(以下、HKという) があり、グループウェアによる情報共有を行っている。工場には、設計管理サー バ(以下、SKという)があり、本社と工場で共用している。また、IP電話によ る社内電話システムが構築されている。 現在、X社の情報システム部では、拠点間の接続を二重化することを計画し ている。計画では、主回線にインターネットVPNを使用して、回線速度を約 50Mビット/秒に高速化するとともにコスト削減を図る。バックアップ回線に は広域イーサ網を使用するが、回線速度は最低限の業務に必要なトラフィック である0.5Mビット/秒にする。拠点間の接続を二重化したときのX社のネット ワーク構成を、図1に示す。 工場 HK SK VPN装置 L2SW L3SW PC … PC L2SW VPN装置 インター ネット L3SW HK L2SW L2SW … 図 WAN1障害発生時 10.2.0.0/16の集約ルートであっても、10.2.1.0/24あてのIPパケットのルーティング を行うことができます。集約ルートを利用して、拠点1からバックアップ回線の PC … PC 大阪 営業所 ように設計しなければなりません。また、OSPFで集約を行うためには、エリア の設計も考慮する必要があります。 IP電話機 … IP電話機 HK L2SW WAN2を通じて10.2.1.0/24あてのIPパケットをルーティングすることができます。 ※ただし、集約ルートの設定を行うためには、あらかじめIPアドレスを集約可能な 本社 IP電話交換機 PC … PC VPN装置 L3SW IP電話機 … IP電話機 PC … PC 広域 イーサ網 VPN装置 L3SW PC … PC IP電話機 … IP電話機 HK 名古屋 営業所 L2SW IP電話機 … IP電話機 L2SW:レイヤ2スイッチ 注 L3SW及びL2SWの物理ポートの通信速度は、すべて100Mビット/秒である。 図1 拠点間の接続を二重化したときのX社のネットワーク構成(抜粋) X社では、拠点間の接続を二重化した後に、SK及び本社以外のHKを本社へ 移設して管理を一元化する計画であり、ネットワーク構成の変更案をU君が取 578 579 第11章 午後問題の対策 11-6 高可用性ネットワーク 第 章 りまとめた。 11 本社以外のHKのIPアドレスは変更しても問題ないと思うわ。 に説明しているときの会話である。 〔ネットワーク構成の変更案の説明〕 U君:インターネットVPNは、イーサネットフレームを中継する方式を使い ます。VPN装置を使って、私設の広域イーサ網を構築するとお考えく ださい。各拠点のL3SWでは、経路制御プロトコルとしてOSPFを動作 させます。OSPFでは、 と呼ばれるメトリックを扱います。 ア L3SWでは、物理ポートの通信速度から計算された値がメトリックの デフォルト値になりますが、拠点間の経路選択を適切に行うために、 ①各拠点のL3SWのポートの一つにはデフォルト値よりも大きな値を 設定しておきます。 O主任:インターネットVPNは、IPパケットを中継する方式では駄目なのかし ら。 U君:OSPFを 使 用 す る 場 合 に は、L3SW相 互 がOSI基 本 参 照 モ デ ル の 層によって通信できる必要があるので、IPパケットを中継 イ する方式では駄目です。OSPFでのブロードキャスト可能なネットワー クにおける経路制御用の通信はIPマルチキャストであり、IPアドレス a の先頭バイトの値が であるクラスDのIPアドレスが使われ ています。 O主任:インターネットVPNと広域イーサ網間で負荷分散を行って、通常時に も広域イーサ網を活用する工夫はできないかしら。 U君:HKとPC間及びSKとPC間の通信は、トラフィックのバースト率が高く、 高トラフィック時には約10Mビット/秒の帯域を必要とするので、今 回の構成では効果のある負荷分散を行うことは困難です。 O主任:ところで、SKの移設はどうするの。工場側は、アプリケーションソフ トの都合があって、SKのIPアドレスを変更するのは容易でないと言っ ているわよ。 U君:SKのIPアドレスは変更しません。L2SW配下のSKとPCは、10.2.1.0/24 のネットワークに接続されています。SKのIPアドレスは、10.2.1.200で あり、PCのIPアドレスは、10.2.1.1〜10.2.1.100の範囲であるので、SK のIPアドレスを含む10.2.1. /25のアドレス空間を工場の b LANから分離して、新しいネットワークセグメントとして本社の L3SWに設置します。本社以外のHKは、IPアドレスを変更して本社の L3SWに接続します。 O主任:回線速度による経路選択や、 の長さが異なるネットワーク ウ 間で経路制御ができるOSPFを使ったネットワークならではの設計ね。 580 午後問題の対策 次は、ネットワーク構成の変更案について、情報システム部のU君がO主任 〜以下、省略〜 設 問 (1)本文中の (2)本文中の 〜 に入れる適切な字句を答えよ。 ウ 、 に入れる適切な数値を答えよ。 b (3)本文中の下線①を行うのは、デフォルト値のままでは何の情報が反映され ていないからか。25字以内で述べよ。また、大きな値を設定するポートを 答えよ。 ア a (テクニカルエンジニア(ネットワーク)試験 平成20年度午後Ⅰ 問4改題) 設問(1)の解説 空欄ア OSPFのメトリックはコストです。コストは各インタフェースの速度から自動的に 計算されます。 空欄イ OSPFなどのルーティングプロトコルは、同じネットワーク上に接続されていて、 データリンク層レベルで直接通信可能なルータ間で動作します。※BGPは例外です。 空欄ウ OSPFはサブネットマスクの長さが異なるネットワーク間で経路制御可能なクラス レスルーティングプロトコルです。 解答 ア:コスト イ:データリンク ウ:サブネットマスク 設問(2)の解説 空欄a OSPFで利用するマルチキャストアドレスは224.0.0.5と224.0.0.6です。 581 第11章 午後問題の対策 11-6 高可用性ネットワーク 定により、正常時にはプライマリ回線を最適ルートとしてルーティングテーブルに登 SKのIPアドレスは10.2.1.200でこの範囲を含む/25のネットワークアドレスを考える 録されるようにします。 解答 解答 反映されていない情報:拠点間の通信網の実質的な通信速度の情報 ポート:広域イーサ網に接続するポート a:224 b:128 設問(3)の解説 ファイアウォールのステートフルフェールオーバー 各拠点のL3SWは広域イーサ網およびインターネットVPNで次の図のような接続が インターネット接続の信頼性を高めるために、ファイアウォールの冗長化がありま 行われています。 す。単純に複数台のファイアウォールをネットワークに設置するだけでは、ファイア ウォール障害時に、自動的にファイアウォールを切り替えて通信を継続させることは 工場 プライマリ回線 約50Mビット/秒 L3SW 本社 L3SW できません。 ファイアウォールでは、内部ネットワークからインターネット向けの通信を通過す る際にパケットの内容を確認して、その戻りパケットのみを許可するステートフルパ インターネットVPN ケットインスペクションの機能を備えているものがあります。また、ファイアウォー ルで内部のプライベートアドレスとグローバルアドレスのアドレス変換を行うことも 大阪営業所 名古屋営業所 広域イーサ L3SW バックアップ回線 0.5Mビット/秒 L3SW 100Mビット/秒 図 拠点間の接続 インターネットVPNがプライマリ回線であり、通信速度は約50Mビット/秒です。 また、広域イーサ網がバックアップ回線であり、通信速度は0.5Mビット/秒です。 しかし、インターネットVPNや広域イーサ網に接続するL3SWの物理ポートはすべて 100Mビット/秒です。 OSPFのコストはルータやレイヤ3スイッチのポートの通信速度に応じて計算され るので、デフォルトではプライマリ回線とバックアップ回線の実質的な通信速度が一 切反映されず、各L3SWのOSPFコストは同じ値になります。このままでは、意図し たように冗長化できません。この場合、バックアップ回線である広域イーサ網経由で 受信するルート情報のコストをデフォルトより大きくします。そのためには、L3SW の広域イーサ網に接続されているポートでOSPFコストを大きく設定します。この設 582 11 午後問題の対策 と、10.2.1.128/25です。 第 章 空欄b あります。 ファイアウォールを切り替えて継続的に通信を行うために、このような通信セッ ションの情報を引き継がなければいけません。ステートフルフェールオーバーの機能 によって、ファイアウォールで管理している通信セッションの情報を予備のファイア ウォールに引き継いで、 ファイアウォール障害時に通信を継続させることができます。 ステートフルフェールオーバーを行うためには、ファイアウォール同士を専用の フェールオーバーケーブルで接続します。あるいは、ファイアウォール同士でフェー ルオーバー専用のイーサネットインタフェースを指定して接続します。このような ファイアウォール間の接続をフェールオーバーリンクと呼びます。フェールオーバー リンク上で、ファイアウォールの動作が正常に行われているかどうかを確認します。 フェールオーバーリンクで接続されたファーアウォールは、アクティブ/スタンバ イの役割を分担します。アクティブのファイアウォールがパケットを処理します。ま た、アクティブのファイアウォールからスタンバイのファイアウォールへ、次のよう な通信セッションの情報が継続的に渡されていきます。 ・NAT変換テーブル ・TCP接続状態 583 第11章 午後問題の対策 11-6 高可用性ネットワーク 11 アクティブ ・ARPテーブル IPアドレス: 10.1.1.1 MAC:FW1 内部ルータ IPアドレス: 100.100.100.100 MAC:FW2 内部ルータ IPアドレス: 10.1.1.1 MAC:FW1 (アクティブ時) アクティブ インターネット フェールオーバー リンク インターネット フェールオーバーリンク上でファイアウォールの 状態監視と通信セッションの情報をやり取りする スタンバイ ↓ アクティブ 外部ルータ IPアドレス: 100.100.100.100 MAC:FW2 (スタンバイ時) アクティブのファイアウォールに障害が発生すると、新しくア クティブになる。IPアドレス/MACアドレス、通信セッション の情報を引き継いで、継続的にアプリケーションの通信が可能 外部ルータ スタンバイ フェールオーバー リンク 午後問題の対策 内部LAN アクティブのファイアウォールを 経由して通信を行う 内部LAN 第 章 ・UDP接続状態 図 ステートフルフェールオーバーの動作 なお、このようなファイアウォールのステートフルフェールオーバーの仕組みは標 準化されているものではありません。ファイアウォール機器の機器ベンダによって、 図 フェイルオーバーリンクでファイアウォールを相互接続 アクティブのファイアウォールに障害が発生すると、スタンバイのファイアウォー ルが新しいアクティブとなります。このとき、アクティブのファイアウォールのIPア ドレス/MACアドレスの情報も引き継ぎます。ファイアウォールのIPアドレスは、 サーバなどのデフォルトゲートウェイになっていたり、他のルータから見てネクスト 動作の仕組みが若干異なることがあるので注意してください。ここでの解説のステー トフルフェールオーバーの仕組みは、Cisco Systems社のファイアウォール機器の仕 組みに基づいています。 午後問題の演習(3) ホップアドレスになっています。アクティブルータのIPアドレス/MACアドレスをス タンバイのファイアウォールが引き継ぐことで、それまでの通信のパケットは新しく アクティブになったファイアウォールへと転送されることになります。そして、新し くアクティブになったファイアウォールにはそれまでの通信セッションの情報が保持 されているので、継続的にアプリケーションの通信ができます。 584 ネットワークの冗長化(3) 問 題 〔見直し後のネットワーク構成〕 G氏の助言を受け、H君は現在のFWを、IDSの機能をもった機種に置き換え ることにした。また,FWの障害に備え、2台による構成にした。 見直し後のネットワーク構成を図2に示す。 585 第11章 午後問題の対策 11-6 高可用性ネットワーク 第 章 設問(1)の解説 11 イアウォールFW1/FW2と同一セグメントに接続されています。内部LANのPCや Webサーバ/DBサーバのデフォルトゲートウェイとしてファイアウォールのIPアド レスが設定されているはずです。同様にDMZ上のDNSサーバやRPサーバもFW1/ FW2と同一セグメントに接続されています。DNSサーバやRPサーバのデフォルトゲー 図2 見直し後のネットワーク構成(抜粋) 新たに導入したFWは、通過パケットのTCPヘッダのシーケンス番号をセッ ションログとして保管しておき、パケットの到着順序に矛盾がないか確認する、 ステートフルパケットインスペクションの機能をもっている。ステートフルパ ケットインスペクションでは、LAN側から送信したバケットとWAN側から到 着したパケットが矛盾した場合、パケットを遮断し、不正アクセスを防止する。 さらに、このFWは、1台のFWが故障したときでも処理を中断させることなく、 もう1台のFWで処理を継続させる、ステートフルフェールオーバーの機能も備 えている。 ステートフルフェールオーバーを利用するため、2台のFWをネットワークに 接続し,さらにFW同士をケーブルで接続した。通常はFW1だけが機能してい トウェイもファイアウォールのIPアドレスが設定されているはずです。また、イン ターネットに接続するルータがDMZや内部LANへとパケットを転送するときのネク ストホップはファイアウォールのIPアドレスになるはずです。そして、ファイア ウォールにパケットを転送するためには、ARPでファイアウォールのIPアドレスに 対するMACアドレスを取得します。PCや各サーバでのデフォルトゲートウェイおよ びルータでのネクストホップアドレスについてまとめたものが、次の図です。 DMZ、内部向けのルート のネクストホップF13 ルータ スイッチ 合には、それまで稼働していないFW2が自動的に処理を引き継ぐ設定とした。 営業部員はSSLを実装したRPサーバを経由して、Webサーバにアクセスし営業 支援システムを利用する。この設定によって、②営業部員は、FWが切り替わっ たことを意識せずに営業支援システムを継続利用できるようになった。ただ し、FW2からFW1に管理情報を自動的に複製していないので、FWを切り戻す ときは、手動の作業を必要とする設定にした。したがって、この切り戻し時、 営業部員は営業支援システムを継続利用できないことになる。 FW1 F11 フェール オーバー リンク F12 DMZ FW2 DNSサーバ スイッチ F1i FW1のIPアドレス (i=1∼3) スイッチ Webサーバ 設 問 〔見直し後のネットワーク構成〕について、(1)~(3)に答えよ。 (1)FWの切替が発生した場合に、FW1からFW2に引き継がれる情報を、0SI基 本参照モデルの第3層以下から二つ挙げ、それぞれ10字以内で答えよ。 (2)本文中の下線②の実現に必要な管理情報を、45字以内で具体的に述べよ。 (3)実 際にFWの故障による切替が発生したとき、修理完了後にFW2からFW1 に手動で切り戻す際に必要な運用上の留意点を、40字以内で述べよ。 (ネットワークスペシャリスト試験 平成22年度午後Ⅰ 問3改題) 586 F13 PC PC RPサーバ デフォルトゲートウェイF るが、管理情報をFW1からFW2に一定間隔で複製し、FW1に障害が発生した場 12 DBサーバ デフォルトゲートウェイ F11 図 ファイアウォールのIPアドレスをデフォルトゲートウェイ/ネクストホップで利用 ステートフルフェールオーバーによってファイアウォールを切り替えたときには、 通信セッションの情報だけでなく、IPアドレス/MACアドレスも引き継ぐ必要があり ます。FW1からFW2に切り替わったときには、図のF11 ~ F13のIPアドレスとそれに 587 午後問題の対策 図2のネットワーク構成を見ると、内部のLANのPCやWebサーバ/DBサーバはファ 第11章 午後問題の対策 11-6 高可用性ネットワーク インターネット テーブルを変更する必要なしにFW2経由の通信ができるようになります。 フェール オーバー リンク F13 FW1 F11 F12 スイッチ 営業支援シス テムの通信 モバイル 端末 スイッチ ルータ 通信セッションの 情報 FW1 モバイル端末 ↑ ↓ Webサーバ FW1に障害が発生すると、 FW1のIPアドレス/MACア ドレスを引き継ぐ F13 FW2 モバイル端末 ↑ ↓ Webサーバ スイッチ 通信セッションの情報 FW2 F12 F11 11 通信セッションの情報 午後問題の対策 イの設定変更なしにFW2経由の通信ができます。同様に、ルータでもルーティング 第 章 伴うMACアドレスをFW2に引き継ぐことで、PCや各サーバのデフォルトゲートウェ DNSサーバ RPサーバ スイッチ Webサーバ PC スイッチ PC スイッチ 図 IPアドレス/MACアドレスの引き継ぎ ステートフルフェールオーバーによって、それまでFW1を経由していた通信セッ ションの情報も引き継がれますが、通信セッションの情報は切り替え時にFW2に渡し ているわけではありません。定期的にFW1からFW2へ渡されています。また、通信 セッションの情報はOSI参照モデルで考えると、トランスポート層以上の情報です。 DBサーバ 図 FW1─FW2間の通信セッション情報の引き渡し このようにFW1-FW2間で現在有効な通信セッションの情報を引き渡すことで、営 業部員はFWが切り替わったことを意識せずに、営業支援システムを継続的に利用で きます。また、同時に前の設問(1)で考えたようにIPアドレスとMACアドレスも FW2へ引き継がれています。 OSI参照モデルの第3層以下でなおかつ、FW切り替え時に引き継がれる情報を解答す るので、IPアドレスとMACアドレスになります。 解答 IPアドレス MACアドレス 設問(2)の解説 外出先の営業部員は、インターネットに接続されたモバイル端末から、RPサーバ 経由で内部LANのWebサーバにアクセスして、営業支援システムを利用することが できます。その際、FW1ではモバイル端末とWebサーバとの間の通信セッションの 情報が保持されることになります。この通信セッションの情報をフェイルオーバーリ ンク経由でFW2に渡します。 588 インターネット モバイル 端末 ルータ スイッチ 通信セッションの情報 営業支援シス テムの通信 FW1 モバイル端末 ↑ ↓ Webサーバ FW2 モバイル端末 ↑ ↓ Webサーバ スイッチ 通信セッションの情報 RPサーバ スイッチ Webサーバ FW1の通信セッションの情報によっ て、モバイル端末とWebサーバ間 の通信を継続させることができる PC DNSサーバ PC DBサーバ 図 FW切り替え時の営業支援システムの通信 589 第11章 午後問題の対策 FW切り替え時の通信セッションの情報に注目して、45文字以内で解答をまとめる と、「切り替わる前のFW1で保持していた、モバイル端末との接続のセッションログ 情報」となります。 解答 切り替わる前のFW1で保持していた、モバイル端末との接続のセッションログ情報 設問(3)の解説 問題文の次の記述に注目します。 「ただし、FW2からFW1に管理情報を自動的に複製していないので、FWを切り戻す ときは、手動の作業を必要とする設定にした。したがって、この切り戻し時、営業部 員は営業支援システムを継続利用できないことになる。」 FWを切り戻すときには、営業支援システムを継続的に利用できずに、いったん通 信が切断されることになります。そのため、FWを切り戻して元のFW1経由で通信さ せるためには、次のような運用上の留意点が必要になります。 ・営業支援システムが利用されていない時間帯を見計らって切り戻す ・営業支援システムの利用を一時制限して切り戻す 解答 営業支援システムの利用を一時制限して、切り戻し作業を行う 590