2018年9月11日火曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問2

いきなりインターネットVPN!

次はインターネットVPNについてです。これもネットワーク関連の仕事をしていると年に1回は設定する機会が訪れますが、いつも同じConfigを使いまわしているので、意外と仕組みを忘れてしまいがちです。講評にも「VPNやトンネリング技術について、ネットワーク技術者として正確に理解してもらいたい」とあります。これを機にもう1回復習します。

設問2.[インターネットVPN接続の検討]について、(1)、(2)に答えよ。


(1)本文中の下線①について、今回の構成では、トランスポートモードを選択している。選択した根拠をIPアドレスに着目して30字以内で述べよ。


これは難しい。正直、難解です。つーか、もっと良い方法あるよ!と言いたくなります。なぜなら、2つの用語(機能)を使って、合わせ技で暗号化する必要があるからです。
(仕事ではこの方法は、おそらく選ばないと思う。。)

まずは、IP in IPです。正直、今までほとんど耳にしたことのない言葉です。ただ、何となく、言葉の意味からも分かるように、IPパケットにIPヘッダを付けてカプセル化すると考えます。

次に、午後問に到達している方々はご存知、IPsecにはトランスポートモードとトンネルモードの2つの通信モードがあります。大きな違いは、「もとのパケットのIPヘッダが暗号化されるかどうか」です。トランスポートモードでは、パケットのもとのIPヘッダは変更されませんが、トンネルモードではパケットのもとのIPヘッダも暗号化します。

本文に戻ります。[インターネットVPN接続の検討]の章の初めに、「L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して…IP in  IPを用いてトンネルが構成される。このトンネルの通信をIPSecを用いて暗号化する」とあります。

つまり、既にグローバルIPアドレスでオリジナルIPパケットはカプセル化されています。
それを暗号化する際、トンネルモードだと、さらにVPN用の新規IPアドレスでカプセル化して、グローバルIPアドレスのヘッダ以降の全てを暗号化する必要があります。
(せっかく、IP in IPでグローバルアドレスのIPヘッダを付けているのに!)

それに対して、トランスポートモードだと、グローバルIPアドレスのIPヘッダは変更せず、オリジナルIPアドレスのヘッダ以降を暗号化します。
(文章で伝わるかな…。近日中に絵を付けます。待っててね!)

〇トランスポートモード
 IPヘッダ(グローバルIP)
  +ESPヘッダ
   +オリジナルIPヘッダ(プライベート)
    +IPペイロード

〇トンネルモード
 新規IPヘッダ
  +ESPヘッダ
   +IPヘッダ(グローバルIP)
    +オリジナルIPヘッダ(プライベート)
     +IPペイロード

言い換えると、既に、グローバルIPアドレスでの通信できる状態だから、このIPヘッダも含めてIPSecで暗号化しなくて良いってこと!
え~と。だから~。。もうやめます。
※だめだ。。説明が下手だ。。

 答え:暗号化対象の通信がグローバルIPアドレス間の通信だから


(2)本文中の下線②について、IP in IPで作成されたトンネルインターフェースのMTUの値を1,500とした場合、VPNルータで発生する処理を30字以内で述べよ。ここで、インターネットを含むすべてのインタフェースのMTUの値を1,500とする。


(1)にあるように、最初、オリジナルIPヘッダ(プライベート)+IPペイロードまでで、MTU1,500です。それにいろいろ付くので、1,500を超えます。こんな時は、過去問やっていると何回も出ていますが、ルータにて分割(フラグメント)します。ルータが忙しくなるので、負荷が上がります。
ただ、答えを見てびっくり。

 答え:フラグメントとリアセンブルの処理が発生する

なんですか「リアセンブル」って?
調べてみると、通信先のルータで、分割されたIPパケットが全て送信されたら、作り直す(組み立てる)処理を行っているらしい。う~ん。フラグメントだけで、半分点数もらえるのかな。

今回の感想

(1)は時間をかけてやっと解けたけど、実際のテストの時間内では解けなかっただろう。ただ、「グローバルIPアドレス」を使っているという点はかけたかも。(負け惜しみですね。)よーし。また明日もがんばろー!