【ネスぺ対策】インターネット層まとめ

本稿ではIPA試験で必要とされる知識をまとめます。

目次

IPアドレス

IPv4におけるクラスと先頭ビットの対応を述べよ
スクロールできます
クラス先頭ビットアドレス範囲
A00.0.0.0/8~127.255.255.255/8
B10128.0.0.0/16~191.255.255.255/16
C110192.0.0.0/24~223.255.255.255/24
D1110224.0.0.0/32~239.255.255.255/32
E1111240.0.0.0/32~255.255.255.255/32
IPv4のクラス

クラスと先頭ビットの関係さえおさえておけば,アドレス範囲は計算で求めることができる。

IPv4におけるアドレスの型とアドレスの形式の対応を述べよ
スクロールできます
アドレスの型先頭ビットIPv4表記
未指定IPv4では定義されないIPv4では定義されない
ループバック0111 1111通常は127.0.0.1
マルチキャスト1110
※クラスD
224.0.0.0/32~239.255.255.255/32
※クラスD
ブロードキャストホスト部のビットが全て1ホスト部のビットが全て1
ユニキャスト上記以外上記以外
IPv4のアドレス型と先頭ビット形式
IPv6におけるアドレスの型と先頭ビットの対応を述べよ
スクロールできます
アドレスの型先頭ビットIPv6表記
未指定00...0::0/128
ループバック00...1::1/128
マルチキャスト1111 1111ff00::/8
リンクローカル1111 1110 10fe80::/10
ユニークローカル1111 110fc00::/7
※ 実態としては後半のfd00::/7が用いられる
グローバルユニキャスト上記以外上記以外
IPv6のアドレス型と先頭ビット形式
IPv4とIPv6のアドレス空間はそれぞれ何bitか。

IPv4は32bit,IPv6は128bit。なお,IPv6のアドレス空間がIPv4のアドレス空間の4倍であることから,IPv6のDNSレコードはIPv4のDNSレコードであるAレコードを4つ並べたAAAAレコードとなる。

IPv6におけるリンクローカルとユニークローカルの違いを説明せよ。

リンクローカルはルーターを超えない範囲,ユニークローカルはルーターは超えるが同一LAN内の通信を行うためのアドレス。IPv6ではリンクローカルアドレスが必須で付与されるため,ルーターを超えない同一セグメントであればネットワークに接続しなくても通信可能である。IPv6におけるユニークローカルアドレスは,IPv4におけるプライベートアドレスに相当する。

IPv4とIPv6の共存技術の三分類とその概要を述べよ
  • トンネリング
    • IPv6パケットをIPv4パケットでカプセル化する。6to4/ISATAP/Teredoなど。
  • デュアルスタック
    • 単一機器にIPv4とIPv6という仕様の異なるプロトコルスタックを共存させて使い分ける。
  • トランスレータ
    • トランスレータ機能をもつハードウェアを使用して相互変換を行う方式。Proxy/NAT-PT/TRT方式など。
NAT越えを説明せよ。

NATの外部から内部に接続することができないという問題を解決すること。NATはIPv4の枯渇を防ぐために開発されたグローバルアドレスとプライベートアドレスを一対一に対応付ける技術であり,基本的には内側から外側への接続のみを想定していた。NAPTも同様の思想で,一つのグローバルアドレスに対して複数のプライベートアドレスを対応付けるためにポート番号を用いるものである。しかし,最近では外側から内側への接続を行うことが多くなってきたため,NAPT越えを行う必要が出てきている。本質的には,IPv6を用いることでIPアドレスの枯渇問題が実質的に解決されるため,トンネリング・デュアルスタック・トランスレータといったIPv4とIPv6の共存技術もNAT越えに分類される。他にも,NAT越えにはアプリケーション側でNAPT変換テーブルを作成する技術などが利用される。

IPv6でパケットを中継するルータの負荷が軽減される理由は何か

ヘッダのチェックサムが削除されたため。

IPv4射影アドレスを簡単に説明し,図示せよ

IPv4射影アドレスとは,IPv4アドレスをIPv6アドレスとして表現したアドレスのことを指す。

IPv4射影アドレスの可視化
TTLは何ヘッダに含まれるか

IPヘッダ。tracerouteの仕組みを理解しておけば,TTLがIPヘッダに含まれることは容易に理解できる。

IPv6で0を省略できるのはどのような場合か
  • 0で始まる場合(後ろの0は省略できない)
    • 01AB→1AB
  • 全てが0(:0000:)の場合
    • :0000:→:0:
  • :0000:が連続する場合(一箇所だけ)
    • 1111:0000:0000:4444→1111::4444
IPv6の拡張ヘッダとは

40byteの基本ヘッダとデータ部の間に挿入される最小0byteのヘッダのこと。IPv4ではTCP/IPとは分離されていたESPヘッダやICMPv6ヘッダ,フラグメントヘッダ,ルーティングヘッダなどが定義されている。

IPsecやPPTPの典型的な問題点とその解決方法を述べよ

IPsecやPPTPのヘッダにはポート番号が設定できないため,NAPTを通過することができない。この問題を解決するため,以下の解決策が用いられる。

  • NATトラバーサル:UDPでカプセル化する
  • VPNパススルー:ESPヘッダ中のSPI(Security Parameter Index)を元に判別
tracerouteで表示されるIPアドレスは何を表すか

経由したL3デバイスのIPアドレス。例えば,L2 over IPで構成されたルータはL2デバイスとして機能するためtracerouteでは表示されない。

各拠点を直接結んで他の拠点を経由しない構成のことを何と呼ぶか

フルメッシュ構成。逆に,一つのデバイスが一元管理する構成をハブアンドスポーク構成と呼ぶ。これらはIPsec VPNの代表的な構成の二つである。

ルータによるIPパケットの分割処理の欠点を述べよ。また,その対策をアルゴリズムとともに述べ,IPv6での扱いを述べよ

欠点は以下の二つ。

  • ルータの処理が重くなること
  • 分割された断片の一つが失われるだけで元のIPデータグラムの全てが失われてしまうこと。

一般には,経路MTU探索を用いて経路上で分割処理が必要とならない最大のMTUを求めておき,始点ホスト側でIPデータグラムをあらかじめ分割することで,ルータによる分割処理を防止する。経路MTU探索は,IPヘッダ中の分割禁止フラグを1に設定して,ICMP到達不能メッセージが返答されればその中のMTUの値を用い,正常に通信できれば初回に用いたMTUの値を用いるというものである。また,IPv6では分割処理は始点ホスト側でのみ行われ,経路MTU探索は実装がほぼ必須の機能になっている。加えて,IPv6では最小のMTUが1280byteと定められているため,経路MTU探索を行わずとも始点ホスト側でIPデータグラムを1280byte単位で分割してから送信してもよいことになっている。

MACテーブル/ARPテーブルとその更新方法について説明せよ。

MACテーブルはMACアドレスとポートの対応,ARPテーブルはIPアドレスとMACアドレスの対応を記録するテーブルである。MACテーブルに宛先MACアドレスがない場合は,すべてのポートからフレームを送信するフラッディングを行う。ARPテーブルに宛先IPアドレスがない場合は,ARP要求をブロードキャストで送信する。なお,フラッディングは「仕方なく全ポートに向けて送信する」というニュアンスで,ブロードキャストは「意図的に全ポートに向けて送信する」というニュアンスである。ブロードキャストは「ブロードキャストアドレス」に対する意図的な通信であることに注意する。

ルーティング

ルーティングプロトコルをまとめよ。
スクロールできます
プロトコル下位プロトコル方式適応範囲ループの検出
RIPUDP距離ベクトル組織内なし
OSPFIPリンク状態組織内あり
EIGRPRTP距離ベクトル
リンク状態
組織内あり
EGPIP距離ベクトル対外接続なし
BGPTCP経路ベクトル対外接続あり
ルーティングプロトコルまとめ

ルーティングプロトコルで勘違いしやすいのはEGPである。ルーティングプロトコルは組織内のIGP(Interior Gateway Protocol)とEGP(Exterior Gateway Protocol)に分かれ,RIPやOSPFはIGPに分類される。EIGRP(Enhanced Interior Gateway Routing Protocol)はRIPとOSPFのいいとこ取りをしたプロトコルで,メトリックにはデフォルトで帯域幅の逆数と遅延の和に比例した値を利用する。

一方で,EGPでは主にBGP(Border Gateway Protocol)が利用されるが,EGPにはEGPという名前のプロトコルも存在する。IGPの対義語としてのEGPと,EGPを実現するプロトコルとしてのEGPの両者が混在しているのである。上の表におけるEGPは後者であり,初期のインターネットで利用されていたAS間のルーティングプロトコルである。しかし,経路情報の収束が遅いことや管理者が経路を任意に指定できないこと,クラスを使わないIPアドレスの割り当てと経路情報の集成を行うCIDR(Classless Inter-Domain Routing)に対応していないことなどから,現在ではBGPの利用が主流になっている。

IBGPの概要/起こり得る問題とその対策/対策を打つことによる問題とその対策を説明せよ。

BGPのうちAS内のBGPルータで経路情報をやり取りするものをIBGP,AS間のBGPルータで経路情報をやりとりするものをEBGPと呼ぶ。IBGPではループを防ぐために他のIBGPルータから受信した情報を他のIBGPルータに送らないスプリットホライズンという対策を打つが,AS内にIBGPルータ数が多い場合には必要なセッションが膨大になってしまうため,他のIBGPルータから受信した情報をループを発生させることなく転送するルートリフレクションという仕組みを利用する。

LSAの種類をまとめよ
スクロールできます
名前範囲概要
ルータLSAエリア内部全てのルータが作成する。
IPアドレスやコストの情報が含まれる。
ネットワークLSAエリア内部DRが生成する。
ルータの接続情報が含まれる。
AS境界ルータLSAエリア内部ABRが作成する。
AS境界ルータIDとそこに到達するためのコストのペアが含まれる。
サマリーLSAエリア内部と
バックボーンエリア
ABRが作成する。
他のエリアの情報の要約情報が含まれる。
AS外部LSAOSPFドメイン全体ABRが作成する。
ASの外側にあるネットワークアドレスが含まれる。
LSAのまとめ

LSA(Link State Advertisement)とは,OSPFにおいて周囲のルータの接続状態を配信するために隣接ルータ間で交換されるパケットのことを指す。

BGPルータ同士が送り合う五つのメッセージを述べよ
  • OPEN:セッション開始
  • KEEPALIVE:定期的に送信される生存確認
  • UPDATE:経路の追加や削除が発生した場合に送信
  • NOTIFICATION:セッションの切断やエラー通知
  • ROUTE-REFRESH:経路情報の要求
IGPとEGPはどちらの方が大切か

AS間の情報をやりとりするEGPの方が大切。このことから,EGPの一つであるBGPではTCPが利用され,IGPの一つであるRIPやOSPFではUDPが利用されることが分かる。OSPFではマルチキャストを利用して不特定多数のOSPFルータと経路交換を行うのに対し,BGPではピアリングと呼ばれる論理的な接続を行ったルータにTCPポートの179番で接続する。

BGPの二つの分類を述べよ。また,それらのBGP間でやり取りされる経路情報とBGP内でやり取りされる経路情報の差異を述べよ。

BGPには,異なるAS間で利用されるeBGPと同一AS内で利用されるiBGPがある。eBGPとiBGP間でやり取りされる経路情報は,NEXT_HOPを自分の情報に書き換える。eBGPとiBGP間でやり取りを行うということは,そのルータは異なるASへの窓口として機能しているということであり,NEXT_HOPを書き換えることで異なるASへの接続先を明示することができるからである。一方で,iBGP内でやり取りされる経路情報は,NEXT_HOPを自分の情報に書き換えない。iBGP内でやり取りを行う際は,必ずしも自分を経由する経路が最適であるという保証はなく,NEXT_HOPを書き換えることで最適でない経路を設定してしまうことに繋がりかねないからである。iBGP内で適切な経路をNEXT_HOPに指定するためには,静的に運用者が設定するか,特定のルータに自分の情報でNEXT_HOPを書き換える設定を行う必要がある。

BGPのパスアトリビュートを述べよ
  • AS_PATH:経由してきたAS番号の並び
  • NEXT_HOP:宛先ネットワークアドレスに向かうためのIPアドレス
  • MULTI_EXIT_DISC:eBGPピアに対して通知する優先度
  • LOCAL_PREF:iBGPに通知する優先度

BGPはそもそも複数のASを結ぶ間で利用されるプロトコルであるため,NEXT_HOPの対象はネットワーク「アドレス」である点に注意する。iBGPのようにAS内でBGPが使われている理由は,役割の階層化の結果BGPにもAS内で動作する機能を持たせた方が都合がよいからである。

OSPFでコストが同じ経路はどのような扱いになるか

負荷分散される。STPではMACアドレスを参照してルートスイッチを定めるため,混同しないように注意が必要。

エリアとASについて説明せよ

ASの中にエリアが複数存在する。ネットワークを複数のエリアに分割する理由は,ルータの負荷分散や処理速度向上。

AS番号の長さを述べよ。

当初は16bit(2オクテット)で管理していたが,需要増加による枯渇が予想されたため32bit(4オクテット)まで拡張されることになった。なお,日本のAS番号はJPNIC(Japan Network Information Center)が管理している。

距離ベクトル型とパスベクトル型の違いを述べよ

前者では経由するルータの数しかわからないのに対し,後者では経由するAS番号が分かるためループの判別が可能になる。

経路選択の互換性について述べよ

あるルーティングプロトコルで学習した経路情報を異なるルーティングプロトコルで通知するためには,ルート再配布を行う必要がある。例えば,OSPFとスタティックルートは混在させることはできないため,OSPFでスタティックルートを再配布する必要がある。

自分の存在を通知するためのメッセージをOSPF/VRRP/BGPのそれぞれに対して答えよ
  • OSPF:Helloパケット
  • VRRP:VRRPアドバタイズメント(広告)
  • BGP:キープアライブ
BGPでは静的経路情報と動的経路情報にはどのような違いがあるか

静的経路情報の方が動的経路情報よりも優先される

OSPFとBGPを併用した場合の経路選択の優先度について説明せよ
スクロールできます
プロトコル優先度
直接接続0
スタティックルート1
BGP20
OSPF110
RIP120
ルーティングプロトコルの優先度

値が小さい方が優先される。IGPよりもEGPの方が大切であることから,OSPFよりBGPの方が優先度の値が小さいことが理解できる。なお,この優先度のことをアドミニストレーティブディスタンスとよぶ。

MPLSの二種類のラベルを説明せよ
  • 転送用ラベル:MPLS網内の全てのルータで交換される
  • 識別用ラベル:MPLS網内では保持し続ける
OSPFのDRとBDRを選出する単位は何か

セグメント。OSPFのエリア単位ではないため注意。また,BDRのBはBoarderではなくBackupであるため,BDRがなくてもOSPFは動作する。

RIPの欠点を述べよ

経路に障害が発生した場合などに経路の迂回路を見つけるのに時間がかかる点。これは,定期的な経路情報の交換であるレギュラーアップデートを30sごとに行うことや,レギュラーアップデートが届かなかった場合に無効の判断に180s要すること,さらにはルーティングテーブルから無効な経路を削除する前に行うガベージコレクションに120sかかることなどに起因している。加えて,RIPではネットワークの回線速度を考慮せずにホップ数だけで経路を決定するため,最適な経路を選べない可能性もある。

スプリットホライズンを説明せよ。また,それで対応できないネットワーク構造を述べよ。

経路情報を教えられたインタフェースには経路情報を流さないことで,RIPの無限カウント,すなわち輻輳を防ぐ。しかし,ループ構造がある場合には輻輳を防ぐことはできない。

スタブエリアを説明せよ

出口が一つのOSPFエリアのことを指す。出口が一意に定まるため,外部情報を伝える必要がないという特徴がある。

シムヘッダを説明せよ

MPLSのラベルがないデータリンクに対して,IPヘッダの前に付与するヘッダ。例えば,イーサネットにはMPLSラベルを付与するフィールドが定義されていないため,シムヘッダを付与する必要がある。なお,シム(shim)とはくさびという意味であり,MPLSの動作に対してクリティカルに必要となる情報を差し込むというイメージで理解すればよい。

フローモードとパケットモードを説明せよ。

最適経路が複数存在するときの分散方法はECMP(Equal Cost Multi-path)と呼ばれているが,パケットごとに経路を選択する方法をパケットモード,送信元IPアドレスと宛先IPアドレスごとに経路を選択する方法をフローモードとよぶ。パケットモードの方が経路の偏りが少ないが,フローモードの方が通信品質への影響は少なくなるため,通常はフローモードが利用される。

スクロールできます
単位特徴
パケットモードパケット偏りが少ない
フローモード送信元IP/宛先IPのペア品質への影響が少ない
フローモードとパケットモード
BGPのタイプと最適経路の選択方法の対応を説明せよ。
スクロールできます
タイプ属性内容
2AS_PATH経由してきたAS番号
3NEXT_HOP宛先ネットワークへのネクストホップ
4MEDeBGPピアに通知する,自身のAS内に存在する宛先ネットワークアドレスの優先度
5LOCAL_PREFiBGPピアに通知する,外部のASに存在する宛先ネットワークアドレスの優先度
フローモードとパケットモード

これらの属性を用いて,BGPでは下記の順番で上から一つの最適経路を求める。

  • NEXT_HOPに到達できること
  • LOCAL_PREFが最大であること
  • 自分自身(networkコマンド)で生成したパスであること
  • AS_PATHが最短であること
  • ORIGINが最小であること(自身のAS内部で生成 < 外部で生成 < 生成元が不明)
  • MEDが最小であること

なお,「iBGPよりもeBGPを優先」「ルータIDが最小」といったような覚えるべき内容ではない部分は省略している。

「経路情報」と言われたときにどのようなテーブルを思い浮かべればよいか
  • 宛先IPアドレス
  • ネクストホップ

宛先IPアドレスが頻繁に変わるのであれば,デフォルトルートにFWや中継地点のルータを設定することで,当該IPアドレスの変更に伴う設定変更箇所を一か所に寄せることができる。

RIPngを簡単に説明せよ。

RIP2をIPv6に対応させたプロトコル。

フォワーディングテーブルとルーティングテーブルの違いを説明せよ。
  • フォワーディングテーブル(転送表):MACアドレスと転送するインタフェースの対応表
  • ルーティングテーブル(経路制御表):IPアドレスと転送するインタフェースの対応表
代表的な三つのテーブルを説明せよ。
  • Macアドレステーブル:Macアドレス・ポートの対応表
  • ルーティングテーブル:ネットワーク・Next Hop・インタフェースの対応表
  • ARPテーブル:IPアドレス・Macアドレスの対応表
転送表の自己学習を説明せよ。

送信元MacアドレスからMacアドレスとポートの対応表を学習する。なお,転送表に宛先Macアドレスが存在しない場合は全てのポートから通信を送出する。

種々の通信とプロトコル

GARPの目的を二つ述べよ
  • DHCPにおける自アドレスと重複するIPアドレスの検知
    • もしいずれかの端末からARP応答があればそのIPアドレスに重複があるということ
  • フェールオーバー時のARPテーブル更新
    • 主系サーバから仮想IPアドレスを引き継いだ待機系サーバがGARPを利用する。ちなみにフェールオーバーとは主系のサーバがダウンしたときに自動的に待機系のサーバに切り替える仕組みのことを指し,システムの可用性を高めるための冗長化の一つである。
VRRPのフェールオーバー時にGARPする理由を仕組みと併せて説明せよ

スレーブのMACアドレスを更新するため。ARPでは要求でも応答でもL2機器のMACアドレステーブルを更新する仕様となっているため,GARPのターゲットIPアドレスに自身のIPアドレス(VRRPでは仮想IPアドレス),ターゲットMACアドレスに自身のMACアドレスを格納すればよい。なお,要求ではなくいきなり応答を送ってもよい。「マスタのMACアドレスが返ってくるのでは」と思うかもしれないが,フェールオーバー時はそもそもマスタがダウンしているため,MACアドレスは返ってこない。

レイヤ3スイッチでVLANを構築する場合,全てのセグメントにICMPパケットは届くか

届く。ICMPはレイヤ3(もしくはレイヤ4)のプロトコルであるため。

マルチキャストをユニキャストで実現しようとするとどのような問題が生じるか

サーバとマルチキャストグループに配信するNW機器の間の通信で大きな帯域を使ってしまうという問題。

マルチキャスト通信のIPアドレスとMACアドレスはどのように決定されるか
  • IPアドレス:クラスD(1110...)
  • MACアドレス:上位3byteは01-00-5eで固定して,下位3byteはIPアドレスの2byte目〜4byte目を使う。その際,3byte目の最初の1bitは0にする。
DHCPの動作をメッセージ名に沿って説明せよ
  • DHCP DISCOVER:クライアントがDHCPサーバを探すためのブロードキャスト
  • DHCP OFFER:IPアドレスやサブネットマスクなどを提案するためのユニキャスト
  • DHCP REQUEST:オファーの内容を受理したことを伝えるブロードキャスト
  • DHCP ACK:IPアドレスやサブネットマスクなどの最終通知

注意するべきなのは,DHCPサーバが複数存在する場合があるためDISCOVERと REQUESTがブロードキャストであるという点。これにより,DHCPサーバが同一セグメントに存在しない場合はDHCPが機能しないことが分かる。これを解決するのがDHCPリレーエージェントで,ルータがDHCPへの通信を中継してくれる機能である。

DHCPスヌーピングで防ごうとしている不正はなにか
  • 不正なIPアドレスを払い出すこと
  • 固定IPアドレスを割り当てること
DHCPスヌーピングのセキュリティ機能を二つ答えよ
  • 正規のDHCPサーバが接続されるポートを指定する機能
  • 正規のDHCPサーバからIPアドレスを割り当てたPCだけを通信させる機能
DHCPリレーエージェントのgiaddrフィールドの役割を述べよ

払い出すIPアドレスのサブネットを識別すること。giaddrはgateway IP Addressの略称であり,DHCPブロードキャストを受信したインタフェースのIPアドレスを格納するDHCPパケットのフィールドである。

マルチキャストの仕組みを説明せよ

マルチキャスト通信を行うためには,

  1. 端末が所属したいグループ(=マルチキャストアドレス)を管理する
  2. グループ宛の通信をルーティングする
  3. マルチキャスト通信を受け取る送信元IPを指定する

必要がある。1.はL3装置↔︎端末間でIGMPというプロトコルで実現する。なお,L3装置↔︎端末の間に位置するスイッチでグループと端末のMACアドレスの対応関係を学習するが,この機能はIGMPスヌーピングと呼ばれている。2.はL3装置↔︎L3装置間でPIM(Protocol Independent Multicast)というプロトコルで実現する。3.はSSM(Source Specific Multicast)というプロトコルで実現するが,端末側がIGMPv3に対応している必要がある。

PIMにはSM(Sparse Mode)とDM(Dense Mode)があるが,SMが利用されDMはあまり利用されない。

ICMPの二種類のタイプと代表的な通信プログラムを述べよ

QueryとError。Queryを用いた通信プログラムにはpingやtracerouteがある。

ICMPの5つのメッセージタイプとその意味を述べよ
  • Echo reply(0):pingやtracerouteで用いられるエコー応答
  • Destination Unreachable(3):ネットワークやホストに到達できない
  • Redirect(5):ネットワークやホストに最適経路を通知する
  • Echo Request(8):pingやtracerouteで用いられるエコー要求
  • Time Exceeded(11):TTLの値が超過やパケットの再構築処理中のタイムアウト

特に,Destination UnreachableにはHost UnreachableやPort Unreachableが含まれる。

冗長化・暗号化

ポートVLANとタグVLANの関係を述べよ

ポートVLANを拡張し,IEEE802.1Qで標準化されたものがタグVLAN。ポートVLANでは使用するVLANの数だけポートが必要となるが,タグVLANではトランクポートと呼ばれる一つの物理ポートを利用して複数のVLANを構成することができる。

VLANのパケットを書け

VLANはデータリンク層の技術のため,データリンク層を流れるイーサネットのフレームを書けばよい。その際,オプションで送信元MACアドレスとタイプの間に4byteの802.1QVLANタグが挿入されることに注意する。

802.1QVLANタグを書け

CFIはCanonical Format Indicatorの頭文字をとった略称でアドレス形式を表すが,覚えなくてもよい。

VRRPメッセージの通信形態とプライオリティ値について説明せよ
  • 通信形態:宛先が仮想IPアドレスのマルチキャスト通信
  • プライオリティ値:大きい方が優先
VRRPメッセージの代表的な項目を述べよ
  • VRRPグループID
  • プライオリティ値
  • 仮想IPアドレス
VRRPでFWを冗長化する欠点を述べよ

切り替え時にステートフルセッション機能の引継ぎが上手くなされないこと。

ループバックアドレスを二種類説明せよ
  1. 自分自身を指すアドレス。いわゆるlocalhost。
  2. ループバックインタフェースに紐づけたIPアドレス。
ループバックインターフェースとVIP(仮想IPアドレス)を併せて使う典型例を述べよ

通常,ホストにはNICに紐づくインタフェースに加えて,localhost向けの通信を受け付けるループバックインタフェースという仮想的なインタフェースが存在する。このループバックインタフェースは外部からの通信を受け付けることが可能であるため,2つ目のインタフェースとして利用することができる。

これを踏まえると,サーバが冗長化されており,自IPアドレスとは異なるVIPアドレス向けのパケットを受理したい場合に,ループバックインターフェースとVIPを併せて使い,疑似的にVIP向けのパケットを受理することができる。ただし,このままではARPに反応してしまうため,VIPが重複しているとしてエラー判定されてしまう。そこで,ループバックインターフェースがARPに反応しない設定を行う必要がある。

WAN高速化装置(WAS)が故障した際に必要となる機能を二つ述べよ
  • 自動的にケーブル接続と同じ状態になる機能
  • 対向側の故障を検知して高速化機能を停止した上で,通信を継続する機能

二つ目に関しては,WASは代理応答・キャッシュ蓄積・データ圧縮などにより対向側とペアで動作するため,片方のWASが故障してしまったら正常に動作しないことが背景にある。

WASのキャッシュ機能と代理応答機能が効果的なのはどのような場合か

ラウンドトリップ時間が大きい場合。ただし,ラウンドトリップ時間とはTCPコネクションにおけるパケットの往復時間である。

ロードバランサでは送信元IPアドレスの書き換えを行うか

行う。行わないと戻りパケットの送信元IPアドレスがロードバランサではなくサーバとなってしまうため,クライアントに戻ってきたとしてもロードバランサのIPアドレスとの不一致でパケットが破棄されてしまう。この問題を解決するため,ロードバランサではソースNATを用いて送信元IPアドレスをロードバランサのものに書き換える。その際には,クライアントのIPアドレスの情報をHTTPヘッダのX-Forwarded-Forで保持しておく必要がある。なお,戻りのパケットをロードバランサを介さずにサーバから直接返すことも可能であり,そのような機能をDSR(Direct Server Return)と呼ぶ。

ESPのポート番号は何か。

ない。ポート番号が存在しないため,NAPTができない。

GREには暗号化機能がないがメリットは何か。

ブロードキャストやマルチキャストのフレームをカプセル化できること。そのため,ブロードキャストやマルチキャストをカプセル化できないIPsecでGREのカプセル化が利用されることがある。具体的には,OSPFのHelloパケットはマルチキャスト通信となるため,インターネットVPN上を実現するIPsecでHelloパケットを交換することができない。そこで,GREでカプセル化することでOSPFの通信を実現することができる。この形式をGRE over IPsecと呼ぶ。

IPsecとOSPFを併用する際の注意点は何か。

IPsecはマルチキャスト通信を通さないため,OSPFの通信を行うことができない点。マルチキャスト通信を通すためには,GREでIPsecをカプセル化するGRE over IPsecを利用する。

シェアはこちらからお願いします!

コメント

コメントする

※ Please enter your comments in Japanese to distinguish from spam.

目次