問1 データセンターのネットワークの検討に関する次の記述を読んで、設問に答えよ。
K社は国内にデータセンターを所有する大手EC事業者である。データセンターのネットワークには、VXLAN(Virtual eXtensible Local Area Network)を利用している。K社の情報システム部は、ネットワークの拡張性を向上させるためにEVPN(Ethernet VPN)の適用を計画しており、EVPNを用いたVXLANの技術検証を行うことを検討している。
[VXLANの概要]
RFC 7348で規定されたVXLANでは、VXLANヘッダー内の( a )ビットのVNI(VXLAN Network Identifier)を用いて、約1,677万個のレイヤー2のオーバーレイネットワークをレイヤー( b )のネットワーク上に構成できる。VXLANトンネルの端点であるVTEP(VXLAN Tunnel End Point)は、VXLANのカプセル化及びカプセル化の解除を行う。VTEP及びVXLANトンネルの構成例を図1に示す。
図1中のL3SWのVTEPは、サーバから受信したイーサネットフレームに、VXLANヘッダー、( c )ヘッダー及びIPv4ヘッダーを付加したIPパケット(以下、VXLANパケットという)を、宛先のVTEP(以下、リモートVTEPという)に転送する。転送されるVXLANパケットの送信元及び宛先には、各VTEPに割り当てられたIPアドレスを利用する。VXLANパケットの構造を図2に示す。
VTEPは、イーサネットフレームの宛先に応じてVXLANパケットの宛先を決定するための情報として、リモートVTEPから受信したVXLANパケットから次の情報を組み合わせて学習する。
•①リモートVTEPに接続されたサーバのMACアドレス
•②VXLANトンネルのVNI
•③リモートVTEPのIPアドレス
K社の現行のネットワークでは、VTEPは、自身に接続されたサーバからリモートVTEPに接続されたサーバ宛てのイーサネットフレームを、次の方式を選択して転送する。
•イーサネットフレームが、VTEPによって学習されているサーバ宛てのユニキャストの場合には、図2中のIPv4ヘッダーの宛先IPアドレスに、リモートVTEPのIPアドレスをセットして転送する。
•④イーサネットフレームが、BUM(Broadcast、Unknown Unicast、Multicast)フレームの場合には、図2中のIPv4ヘッダーの宛先IPアドレスに、IPマルチキャストのグループアドレスをセットして転送する。
[現行の検証ネットワーク]
K社は、現行のネットワークの維持管理のために、検証ネットワーク(以下、検証NWという)を構築している。現行の検証NWを図3に示す。
図3の概要を次に示す。
•物理サーバに接続するL3SWのポートには、タグVLANを設定している。
•物理サーバの二つのNICはアクティブ/スタンバイ構成であり、L3SW11、L3SW21及びL3SW31に接続するNICをアクティブにしている。
•L3SWの経路制御にはOSPFを用いている。
•L3SWは、OSPFで交換するLSA(Link State Advertisement)の情報から( d )というデータベースを作成する。次に、( d )を基に、それぞれのL3SWを根とする( e )ツリーを作成して、ルーティングテーブルに経路情報を登録する。
•⑤LSAに含まれるルータIDには、それぞれのL3SWのループバックインタフェースに割り当てたIPアドレスを使用している。
•⑥OSPFのECMP(Equal-Cost Multipath)によって、トラフィックを負荷分散している。
•PIM-SM(Protocol Independent Multicast – Sparse Mode)によるIPマルチキャストルーティングを用いており、L3SW01及びL3SW02にIPマルチキャストのランデブーポイントを設定している。
現行の検証NWのVLAN、VXLAN及びVTEPを図4に示す。
図4の概要を次に示す。
•図3の物理ネットワーク上に、VXLANトンネルを論理的に構成している。
•L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32にVTEPを設定している。
•⑦VTEPのIPアドレスには、それぞれのL3SWのループバックインタフェースに割り当てたIPアドレスを使用している。
•VTEPのBUMフレームの転送には、IPマルチキャストを用いる設定にしている。
•VTEPでは、図4中の“VXLANのカプセル化に用いる対応表”に示す次の三つの情報を対応させてカプセル化を行っている。
- 受信したイーサネットフレームの“VLAN ID”
- VXLANトンネルの“VNI”
- BUMフレームを転送するときに使うIPマルチキャストの“グループアドレス”
レイヤー2のネットワークにおけるVM11及びVM23と各VMの通信可否を表1に示す。
[現行の検証NWにおけるVTEPの動作]
図4中のVM11とVM31のARP通信におけるVTEPの動作を、次に示す。
(1) L3SW11のVTEPでは、⑧VM11から受信したVM31のMACアドレスを問い合わせるARP要求フ
レームに対してVXLANのカプセル化を行い、IPマルチキャストのグループアドレスを宛先にして、グループに参加する全てのリモートVTEPに転送する。
(2) L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32のVTEPでは、受信したVXLANパケットのカプセル化を解除して、対応するVLANにARP要求フレームをブロードキャストする。
(3) L3SW31のVTEPでは、⑨VM31から受信したARP応答フレームに対して、VXLANのカプセル化を行い、L3SW11のVTEP宛てに転送する。
(4) L3SW11のVTEPでは、受信したVXLANパケットのカプセル化を解除して、VM11宛てにARP応答フレームを転送する。
(1)~(4)の動作完了後に確認できる、L3SW11及びL3SW31が学習したVXLANについての情報を、表2に示す。
[EVPNの概要]
K社の情報システム部では、S課長から指示を受けたQ主任が、EVPNを用いたVXLANの技術検証を検討することになった。Q主任が調査したEVPNの概要を示す。
RFC 7432及びRFC 8365で規定されたEVPNは、RFC 4760で規定されたMP-BGP(Multiprotocol Extensions for BGP-4)を用いて、オーバーレイネットワークを制御するための情報を交換する。VXLANのネットワークにEVPNを適用した場合、コントロールプレーンにEVPNを用いてオーバーレイネットワークを制御して、データプレーンにVXLANを用いてイーサネットフレームを転送する。
図1の構成例に対してEVPNを適用した場合のEVPNの主な機能について、Q主任がK社の現行のネットワークと比較して確認した内容を次に示す。
機能1:リモートVTEPに関する情報の学習について
現行のネットワークでは、VTEPは受信したVXLANパケットからリモートVTEPの情報を学習する。EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPのIPアドレス及びVNIなどの情報をあらかじめ学習する。
機能2:リモートVTEPに接続されたサーバに関する情報の学習について
現行のネットワークでは、VTEPは受信したVXLANパケットから、リモートVTEPに接続されたサーバのMACアドレス、VNI及びリモートVTEPのIPアドレスの情報を学習する。EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPに接続されたサーバのMACアドレス、VNI及びリモートVTEPのIPアドレスなどの情報をあらかじめ学習する。
機能3:サーバとの接続について
現行のネットワークでは、複数のVTEPとサーバの接続にリンクアグリゲーションを利用できない。EVPNを適用した場合、VTEPはMP-BGPを用いて、自身に接続されたサーバを識別するESI(Ethernet Segment Identifier)という識別子を交換できるようになる。同じESIを設定した論理インタフェースをもつ複数のVTEPは、サーバとの接続にリンクアグリゲーションを利用できる。
[新検証NWの設計]
Q主任は、現行の検証NWを基に、EVPNを用いたVXLANを検証するためのネットワーク(以下、新検証NWという)を設計することにした。新検証NWを図5に示す。
現行の検証NWから新検証NWに流用される設計を次に示す。
•新検証NWのL3SW及びVMには、図3及び図4中のIPアドレス及びVLAN IDと同じ値を割り当てる。
•物理サーバに接続するL3SWのポートには、タグVLANを設定する。
•L3SWの経路制御にOSPFを用いて、現行の検証NWと同じ設定にする。
•新検証NWのVLAN、VXLAN及びVTEPを図4と同じ論理構成にする。
•L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32にVTEPを設定する。
•VTEPには、それぞれのL3SWのループバックインタフェースに割り当てるIPアドレスを使用する。
新検証NWに追加されるEVPNについての設計を次に示す。
•L3SWのEVPNを有効にする。
•L3SWにMP-BGPを設定して、ASを65001にする。
•⑩L3SW01及びL3SW02をMP-BGPのルートリフレクタにして、L3SW01とL3SW02との間でiBGPピアリングを行う。
•L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32をルートリフレクタのクライアントにして、L3SW01及びL3SW02とiBGPピアリングを行う。
•iBGPのピアリングに使用するIPアドレスには、それぞれのL3SWのループバックインタフェースに割り当てるIPアドレスを使用する。
新検証NWにおける、現行の検証NWから変更される設計を次に示す。
•現行の検証NWで用いていたIPマルチキャストルーティングについては、利用しない。
•VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にする。
•物理サーバの二つのNICをアクティブ/アクティブ構成にして、リンクアグリゲーションを用いてL3SWに接続する。
Q主任は、EVPNの機能1~3、図3~5を参照して、新検証NWの設計及びEVPNの機能を、上司のS課長に説明した。2人の会話を次に示す。
Q主任:EVPNの技術検証を行うための新検証NWを設計しました。図5のとおり、L3SWにMP-BGPを設定して、EVPNを用いたVXLANを構成するための物理ネットワークを構築します。VLAN、VXLAN及びVTEPについては、図4と同じ論理構成を組みます。
S課長:新検証NWでEVPNをどのように利用するのか教えてください。
Q主任:EVPNの“機能1”では、L3SWのVTEPはMP-BGPを利用して、リモートVTEPの情報をあらかじめ学習します。BUMフレームを受信したVTEPは、学習したリモートVTEPの情報を参照して、VLAN IDに対応するVNIをもつ各リモートVTEPを宛先に転送できるようになります。VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にします。
S課長:IPマルチキャストルーティングを利用できないネットワークであっても拡張できるようになるのですね。ほかの機能についても説明してください。
Q主任:EVPNの“機能2”では、VTEPはMP-BGPを利用して、リモートVTEPに接続されたVMのMACアドレス、VNI及びリモートVTEPのIPアドレスをあらかじめ学習します。VTEPは、リモートVTEPに接続されたVM宛てのイーサネットフレームを、学習した情報を参照して転送します。“機能2”によって、BUMフレームのうちの( f )によるフラッディングの発生を低減できます。
S課長:ネットワーク負荷の軽減を期待できそうですね。ところで、図5中の物理サーバとL3SWの接続方法は、図3中の接続方法と異なるのですか。
Q主任:物理サーバとL3SWとの間は、⑪EVPNの“機能3”によって、リンクアグリゲーションを用いて接続します。同一の物理サーバに接続する2台のL3SWに作成するリンクアグリゲーションの論理インタフェースには、同一の物理サーバに接続されていることを識別させるために、同じ( g )を設定します。
S課長:新検証NWを使ってどのようなテストを実施するのか教えてください。
Q主任:VM同士の通信可否を確認します。
S課長:現行の検証NWから設定を変更するBUMフレームの転送についても、動作を確認してください。
Q主任:分かりました。⑫ARP要求フレームをカプセル化した全てのVXLANパケットをキャプチャして、宛先IPアドレスを確認します。
Q主任が検討した新検証NWの設計及びテスト内容は、情報システム部で承認された。Q主任はEVPNの技術検証の実施のため、新検証NWの構築に着手した。
設問1
[VXLANの概要]について答えよ。
本文、図1及び図2中の( a )〜( c )に入れる適切な字句又は数値を答えよ。
a:24
b:3
c:UDP
(a)VXLANヘッダー内のビット数について
石田先生問題文の該当箇所はこちらです。
VXLANでは、VXLANヘッダー内の( a )ビットのVNI(VXLAN Network Identifier)を用いて、約1,677万個のレイヤー2のオーバーレイネットワークを構成できる。
VXLANのVNI(VXLAN Network Identifier)は 24ビット で構成されており、2²⁴ = 16,777,216通り の識別子を持つことが可能です。
(b)VXLANを構成する下位のネットワークのレイヤについて
石田先生問題文の該当箇所はこちらです。
約1,677万個のレイヤー2のオーバーレイネットワークをレイヤー( b )のネットワーク上に構成できる。
VXLANは「レイヤー2のオーバーレイネットワーク」を「レイヤー3のIPネットワーク」上に構成する技術です。
つまり、L3ネットワーク(IP)上にL2ネットワークを仮想的に載せる仕組みです。
そのため、(b)に入る数値は「3」となります。
(c)VXLANパケットでIPヘッダーとVXLANヘッダーの間に挿入されるヘッダーについて
図2の構造
IPv4ヘッダー → (c)ヘッダー → VXLANヘッダー → イーサネットフレーム
VXLANでは、L2フレームをL3でトンネリングする際、VXLANヘッダーをUDPカプセル化で運ぶ仕様です(RFC 7348)。
このため、VXLANヘッダーの直前には UDPヘッダー が入ります。
本文中の下線①〜③について、それぞれの情報が図2中のどのヘッダー又はイーサネットフレームに含まれるか。図2中の字句を用いて答えよ。
①イーサネットフレーム
②VXLANヘッダー
③IPv4ヘッダー
この設問は、VXLANパケットを構成する各情報(①〜③)が、図2のどの部分に格納されるかを問う問題です。
図2の構造
IPv4ヘッダー → (c)ヘッダー → VXLANヘッダー → イーサネットフレーム
① リモートVTEPに接続されたサーバのMACアドレス
→ VXLANカプセル化された“元の”イーサネットフレームの宛先MACアドレスを指します。
つまり:イーサネットフレーム内に含まれます。
② VXLANトンネルのVNI
→ VNIは「VXLANヘッダー」に含まれており、通信する仮想ネットワークを識別します。
つまり:VXLANヘッダー内です。
③ リモートVTEPのIPアドレス
→ VXLANパケットは、リモートVTEP(トンネル終端)のIPアドレスに向けて送信されます。
これは「IPv4ヘッダー」の宛先IPアドレスに含まれます。
つまり:IPv4ヘッダー内です。
本文中の下線④について、宛先IPアドレスをIPマルチキャストのグループアドレスにして転送する目的を、45字以内で答えよ。
同じレイヤー2のネットワークをもつ全てのリモートVTEPに転送するため
この設問では、下線④にある「BUMフレーム(Broadcast, Unknown Unicast, Multicast)」の宛先IPアドレスにIPマルチキャストのグループアドレスを使用する理由を問うています。
石田先生ブロードキャストではなくマルチキャストになる理由はこのようになります。
ブロードキャストは同一セグメント内のすべての端末に送ってしまうため、別のVNIにも届いてしまいます。
今回は同一セグメントの別VNIの端末だけに送りたいため、ブロードキャストは適さないということになります。
VXLANにおいて、BUMトラフィックは以下のように処理されますね。
- BUMフレームはどのVTEPに送ればいいか分からない(未知)。
- そのため、IPマルチキャストを使ってVNIに対応したリモートVTEP全体に一斉配信する必要がある。
- VTEP同士が同じマルチキャストグループに属していれば、BUMトラフィックを効率よく広報できる。
BUMフレームについて確認しておきましょう。
BUMは以下の3つのフレームを指します。
| 種類 | 説明 |
|---|---|
| Broadcast | 全端末に届ける必要がある(例:ARP要求) |
| Unknown Unicast | 宛先MACアドレスの学習がまだできていない場合に送られる |
| Multicast | 特定グループに属する端末に届ける必要がある |
これらは「どこに送ってよいかわからない or 多数に届けたい」ため、通常のユニキャストでは処理できないという特徴があります。
VXLANにおけるBUMフレームの扱いについても確認しましょう。
VXLANでは、L2ネットワークをL3ネットワーク上に仮想的に構築します。
BUMトラフィックを他のVTEPに届けるには、次のような処理をします。
- VTEPがBUMフレームを受信
- VXLANカプセル化を行う
- IPv4ヘッダーの宛先に「マルチキャストアドレス」を設定
- そのグループに属する他のVTEPすべてに配信
なぜマルチキャストアドレスを使うのでしょうか?
マルチキャストの利点は以下のとおりです。
- 一度の送信で複数のVTEPに届けられる(ブロードキャストと異なり、効率的)
- VNIごとにグループアドレスを設定できる → 同じVNIを共有するVTEPだけが受信
- 無関係なVTEPには不要なトラフィックを送らず、ネットワーク負荷を抑制
石田先生図と対応づけて理解しましょう。
例えば、図4の「VXLANのカプセル化に用いる対応表」では、
- VLAN 110(VM11)=VNI 10010 → グループアドレス:239.0.0.1
- このVNIに関わるVTEP(L3SW11、L3SW31など)は、239.0.0.1にマルチキャスト参加しており、
- ARP要求(Broadcast)はすべての参加VTEPに届く
石田先生これらをまとめると、解答例のようになります。
設問2
[現行の検証ネットワーク]について答えよ。
本文中の( d )、( e )に入れる適切な字句を答えよ。
d:LSDB
e:最短経路
石田先生問題文の該当箇所はこちらです。
L3SWは、OSPFで交換するLSA(Link State Advertisement)の情報から( d )というデータベースを作成する。次に、( d )を基に、それぞれのL3SWを根とする( e )ツリーを作成して、ルーティングテーブルに経路情報を登録する。
(d)に入る字句:「LSDB」
OSPF(Open Shortest Path First)はリンクステート型のルーティングプロトコルで、ネットワーク中のすべてのルータが自分の状態(リンク情報)をLSAとして送信・受信します。
これらLSAを元に、LSDB(Link State Database)という共通のデータベースを構築します。
つまり、各L3SWはLSDBをまず作成します。
(e)に入る字句:「最短経路」
OSPFは、LSDBをもとにダイクストラ法(SPF:Shortest Path First)を用いて、「自分を根(ルート)」とする最短経路ツリー(SPT)を作成し、その結果をルーティングテーブルに反映します。
したがって、空欄(e)にはこの最短経路を表す語句が入ります。
石田先生このあたりはOSPFの基本動作に関する知識を問う典型的な問題です。しっかりと押さえておきましょう。
本文中の下線⑤について、K社においてルータIDは、OSPFのネットワーク内で何を識別するものか。20字以内で答えよ。
OSPFが動作する各L3SW
この設問は、OSPFにおけるルータIDの役割について問うものです。
石田先生問題文の該当箇所はこちらです。
⑤LSAに含まれるルータIDには、それぞれのL3SWのループバックインタフェースに割り当てたIPアドレスを使用している。
OSPFにおいてルータID(Router ID)は、OSPFルータを一意に識別するためのIDであり、一般に「32ビットのIPアドレス形式」で表現されます。
ルータIDはOSPFの制御情報(LSAなど)に含まれていて、ネットワーク上のどのルータから送られた情報かを識別するのに使用されます。
したがって、K社のネットワークでは、OSPFを実行している各L3SWごとに固有のルータIDが必要となる、という文脈です。
ルータIDについて復習しましょう。
OSPFにおけるルータID(Router ID)とは、そのルータをネットワーク内で一意に識別するための番号(識別子)です。
- 形式:IPv4のアドレス形式(例:192.168.1.1)
- 役割:OSPFで送受信するLSA(リンクステート広告)などにこのルータIDを含め、「どのルータから来た情報か」を判断するために使われます。
本文中の⑤では、
「LSAに含まれるルータIDには、それぞれのL3SWのループバックインタフェースに割り当てたIPアドレスを使用している。」
とあります。
つまり、K社の各L3SWはOSPFを動作させるルータとしてルータIDを持ち、他のスイッチやルータから見て誰なのかを識別するためのIDとなっています。
ルータIDの決まり方を確認しましょう。
OSPFでは、ルータIDは以下のルールで決定されます。
- 管理者が明示的に設定していればそれを使う(router-id コマンドなど)
- そうでなければ、ループバックインタフェースの中で最も大きいIPアドレスが使われる
- それもなければ、物理インタフェースに設定された中で最も大きいIPアドレス
つまり、安定していてOSPFが常に使えるように、多くのネットワークでは「ループバックインタフェースのIPアドレス」をルータIDとして使うのが一般的です。
ループバックインタフェースが選ばれる理由についてまとめましょう。
| 理由 | 内容 |
|---|---|
| 安定性 | 物理ポートのようにリンクダウンしないため、常に有効 |
| 一意性 | 管理者が任意に割り当てられるので重複しにくい |
| 再現性 | 設定すれば毎回確実にそのIDを使える |
石田先生よって解答は「OSPFが動作する各L3SW」となります。
これは、「ネットワーク内で誰が誰なのか」をOSPFの中で識別するためのL3SWごとの識別子という意味です。
本文中の下線⑥について、ECMPを用いるために必要となる設計を、“経路”と“コスト”という字句を用いて45字以内で答えよ。
複数ある経路のそれぞれの経路について、コストの合計値を同じ値にする。
この設問では、OSPFにおけるECMP(Equal-Cost Multi-Path)を正しく動作させるための設計条件について問われています。
ECMPとは何でしょうか?
Equal-Cost Multi-Pathとは、名前の通り「コストが同じ複数の経路」が存在する場合に、その複数の経路を並行して使って通信を分散させる技術です。
OSPFなどのルーティングプロトコルで、コストが同じ複数の経路が存在する場合に、それらの経路を並列に使ってトラフィックを分散させます。
たとえば、A → B に行くための経路が2本あって、どちらも「コスト 20」なら、どちらか1本だけを使うのではなく、2本とも使って通信の負荷を分散するのがECMPの考えです。
- OSPFでは“コスト”=リンクの重みであり、基本的に回線帯域に応じて決まります(帯域が広いとコストが小さい)。
- ECMPが機能するには、複数経路の合計コストが一致していなければならないのが前提条件です。
OSPFにおける「コスト」とは何でしょうか?
OSPFでは、リンクの帯域などからリンクコストを計算し、合計値が小さい経路=より好ましい経路と判断されます。
コストの合計値は、経路上のすべてのリンクのコストの合計です。
デフォルトでは、帯域幅から以下のように計算されます。
コスト = 100 Mbps ÷ リンク帯域(Mbps)
たとえば……
- 100 Mbpsの回線 → コスト 1
- 10 Mbpsの回線 → コスト 10
それでは、ECMPを使うために必要な設計はどうなるでしょうか?
重要なのは、同じ宛先に対して複数の経路が存在していても、それらの合計コストが一致していないとECMPは有効にならない。
つまり、設計段階で以下をそろえる必要があるということです。
- 経由するすべてのリンクのコスト合計が一致していること
- 経路上に極端に遅いリンクが含まれていないこと(コストが高くなるため)
- OSPFルータ側でECMPを許容する設定が有効になっていること(最大使用経路数の上限など)
K社のケースに当てはめるとどうなるでしょう?
K社ではOSPFを使っており、L3SW間に複数の経路が存在します。
ECMPを有効にするために、管理者は以下を意識してネットワークを構成していると考えられます。
- 同じ宛先に複数経路がある場合でも、各経路の合計コストが同じになるように回線の帯域やリンクの設計を調整
- そうすることで、トラフィックを分散して、ネットワークの負荷を軽減する設計となっている
石田先生よって解答は「複数ある経路のそれぞれの経路について、コストの合計値を同じ値にする。」となります。
この解答のポイントとして、下記を押さえておきましょう。
- 経路ごとにコスト合計が等しいこと(Equal-Costの前提)
- ECMPが機能するために必要な設計要件
本文中の下線⑦について、VTEPのIPアドレスに物理インタフェースのIPアドレスではなく、ループバックインタフェースのIPアドレスを使用するのはなぜか。45字以内で答えよ。
一つの物理インタフェースに障害があってもVTEPとして動作できるから
この設問は、VXLANネットワークにおけるVTEP(VXLAN Tunnel Endpoint)にループバックインタフェースのIPアドレスを使う理由を問うものです。
石田先生問題文の該当箇所はこちらです。
⑦VTEPのIPアドレスには、それぞれのL3SWのループバックインタフェースに割り当てたIPアドレスを使用している。
ループバックインタフェースの特徴をまとめましょう。
| 特徴 | 説明 |
|---|---|
| 常にUP状態 | 物理インタフェースのリンク状態に依存しない |
| 冗長性 | 複数の経路を通じて到達できる |
| 安定性 | インタフェースが落ちない限りIPが変わらない |
物理インタフェースでなく、ループバックを使う理由について確認しましょう。
VXLANでは、VTEPのIPアドレスがカプセル化の送信元/宛先になるため、このアドレスが安定していないと、通信断や学習情報の破棄が発生してしまいます。
物理インタフェースのIPアドレスを使っていた場合、その物理リンクがダウンすると……
- そのIPアドレスが到達不能に → VTEPとして機能しない
- VXLANトンネルが切断される
こうした状況が発生してしまいます。
一方で、ループバックIPアドレスなら、物理リンクが1つ故障しても別経路があれば到達可能です。
石田先生解答する上で、押さえておきたいポイントはここです。
- 「なぜ物理IPではダメか?」→「障害時にVTEPが動作できなくなるから」
- 「なぜループバックならよいか?」→「経路に依存せず安定して動作できるから」
補足としてこのような知識も覚えておきましょう。
OSPFやBGPなどルーティングプロトコルのネイバー形成でも、ループバックIPの使用が一般的です(同様の理由)。
VXLANのトンネル終端(VTEP)の信頼性・冗長性を高める設計の一環として、ループバックIPの使用は模範的なやり方です。
表1中の( ア )〜( カ )に入れる適切な通信可否を、表1の凡例に倣い“○”又は“×”で答えよ。
ア:×
イ:×
ウ:×
エ:×
オ:○
カ:×
この設問は、表1中のVM間レイヤ2通信の可否(○か×)を問うものです。
石田先生問題の前提を整理しましょう。
表1では、各VM(VM11、VM23など)と他VMとのレイヤ2ネットワークによる通信可否を示しています。
現行の検証NWでは、VXLAN上で同じVNIを使っていれば通信可能です。
通信可否は主に以下の情報から判断します。図4中の「VXLANのカプセル化に用いる対応表」より、各VMのVLAN/VNI/グループアドレスは次のように対応しています。
| VM | VLAN | VNI | グループアドレス |
|---|---|---|---|
| VM11 | 110 | 10010 | 239.0.0.1 |
| VM12 | 120 | 10020 | 239.0.0.2 |
| VM13 | 130 | 10030 | 239.0.0.3 |
| VM21 | 110 | 10010 | 239.0.0.1 |
| VM22 | 120 | 10020 | 239.0.0.2 |
| VM23 | 130 | 10030 | 239.0.0.3 |
| VM31 | 110 | 10010 | 239.0.0.1 |
| VM32 | 120 | 10020 | 239.0.0.2 |
| VM33 | 130 | 10030 | 239.0.0.3 |
このように、同じVNIに属していれば同じL2ネットワークとみなされ、通信可能(○)です。
それでは各通信の可否を判断しましょう。
ア:VM11 ↔ VM12
- VM11:VNI 10010
- VM12:VNI 10020
→ VNIが違う → ×
イ:VM11 ↔ VM13
- VM11:VNI 10010
- VM13:VNI 10030
→ ×
ウ:VM11 ↔ VM23
- VM11:VNI 10010
- VM23:VNI 10030
→ ×
エ:VM12 ↔ VM13
- VM12:VNI 10020
- VM13:VNI 10030
→ ×
オ:VM21 ↔ VM11
- 両方とも VNI 10010
→ ○
カ:VM22 ↔ VM23
- VM22:VNI 10020
- VM23:VNI 10030
→ ×
設問3
[現行の検証NWにおけるVTEPの動作]について答えよ。
本文中の下線⑧について、VXLANパケットの宛先IPアドレスを答えよ。
239.0.0.1
この設問は、下線⑧のARP要求フレームをカプセル化したVXLANパケットの宛先IPアドレスを答えるものです。
石田先生問題文の該当箇所はこちらです。
(1) L3SW11のVTEPでは、⑧VM11から受信したVM31のMACアドレスを問い合わせるARP要求フレームに対してVXLANのカプセル化を行い、IPマルチキャストのグループアドレスを宛先にして、グループに参加する全てのリモートVTEPに転送する。
つまり、BUMトラフィック(Broadcast)としてARP要求がIPマルチキャスト転送されます。
VM11のVNIとグループアドレスを確認しましょう。
図4「VXLANのカプセル化に用いる対応表」より
| VM | VLAN | VNI | グループアドレス |
|---|---|---|---|
| VM11 | 110 | 10010 | 239.0.0.1 |
よって答えが導き出されます。
本文中の下線⑨の動作について、L3SW31がL3SW11のVTEP宛てに転送するために、L3SW11からARP要求フレームを含むVXLANパケットを受信したときに学習する情報を、45字以内で答えよ。
VM11のMACアドレス、VNI及びL3SW11のVTEPのIPアドレス
この設問では、VXLANの学習動作に関する下線⑨の内容を踏まえて、L3SW31がL3SW11宛てにVXLANパケットを送るために必要な学習情報を答える問題です。
石田先生問題文の該当箇所はこちらです。
(3) L3SW31のVTEPでは、⑨VM31から受信したARP応答フレームに対して、VXLANのカプセル化を行い、L3SW11のVTEP宛てに転送する。
ここで注目すべきは、L3SW31がL3SW11のVTEP宛てにユニキャスト送信するためには、事前に何を学習している必要があるか?という点です。
この学習は、以前にL3SW11から受信したVXLANパケットから行われます。
VXLANにおける学習の仕組みは、本文の記述からわかります。
VTEPは、受信したVXLANパケットから以下の3つを組み合わせて学習します。
- リモートVTEPに接続されたサーバのMACアドレス
- VXLANトンネルのVNI
- リモートVTEPのIPアドレス
それではL3SW31が学習した内容はどうなるでしょうか?
L3SW31がL3SW11からVXLANパケットを受信した際に、次の情報を学習しています。
- VM11のMACアドレス(イーサネットフレームの送信元MAC)
- VNI(VXLANヘッダーに含まれる)
- L3SW11のVTEPのIPアドレス(IPv4ヘッダーの送信元IP)
よって答えが導き出されます。
石田先生ここで「動的MAC学習」について復習しておきましょう。
動的MAC学習(Dynamic MAC Learning)は、ネットワーク機器(L2SWやVTEPなど)がフレームを受信したときに、その送信元MACアドレスを自動的に記録する仕組みです。
従来のL2スイッチでの動作は下記のようになります。
- 送信元MACアドレスと受信ポートの対応をMACアドレステーブルに登録
- 以後、その宛先MACアドレス宛ての通信が来たら、登録済みのポートにフレームを転送する
VXLANでは、VTEPが以下のように学習情報を拡張して保持します。
| 学習項目 | 説明 |
|---|---|
| MACアドレス | VXLANフレーム内の送信元MAC |
| VNI | VXLANヘッダーに含まれるネットワーク識別子 |
| 対向VTEP IPアドレス | VXLANカプセルの送信元IP(=リモートVTEPのIP) |
VXLANにおける学習動作の流れ(例)を見てみましょう。
- L3SW11(VTEP)がARP要求をVXLANで送信
- 宛先:マルチキャスト(全VTEPへ)
- L3SW31(VTEP)が受信し、VXLANパケットを解除
- このときL3SW31は以下の情報を記録する
| 情報 | 内容(例) |
|---|---|
| MAC | VM11のMACアドレス |
| VNI | 10010 |
| 対向VTEP IP | L3SW11のループバックIP(例:192.0.2.11) |
この学習があることで、次にVM31 → VM11 の通信が発生した際に、ユニキャストでVXLANパケットを送信できるようになります。
石田先生「VXLANにおける対向VTEP情報のテーブル構成」についてもおさらいしましょう。
VXLAN対応スイッチやルータ(VTEP)は、MAC-VTEPマッピングテーブルを内部に保持します。
このテーブルは、学習や制御プレーンからの情報で構築されます。
[主なテーブル項目]
| フィールド名 | 内容 |
|---|---|
| MACアドレス | 宛先となる仮想マシンのMACアドレス |
| VNI | 該当するオーバーレイネットワーク(VLANに相当) |
| リモートVTEP IP | そのMACアドレスが存在するリモートVTEPのIPアドレス |
テーブルの役割は?
このMAC-VTEPマッピングテーブルを参照することで、
- 通常のユニキャスト通信が可能になる(トンネルの宛先を明示できる)
- 不要なマルチキャストの使用を減らすことができる
- トンネル間の効率的な通信が実現できる
ここにEVPNを導入すると、これらの情報はMP-BGPを使って事前に交換され、静的に構築されるようになります。
つまり、EVPN導入前は「動的MAC学習」で自動構築、EVPN導入後は「制御プレーンでの事前同期」が行われるという違いがあります。
まとめると……
| 項目 | 内容 |
|---|---|
| 動的MAC学習 | 受信したVXLANパケットからMAC・VNI・VTEP IPを自動学習 |
| 対向VTEP情報のテーブル | ユニキャスト転送のための「MAC-VNI-VTEP IP」対応表を内部保持 |
| EVPNとの違い | EVPNではこのテーブルをMP-BGPであらかじめ作成する(動的学習不要) |
石田先生このあたりを理解しておくと、VXLANやEVPNの挙動をより深く掴めるようになります。
表2中の( キ )〜( コ )に入れる適切な字句を、図3及び図4中の字句を用いて答えよ。
キ:10010
ク:10.0.0.31
ケ:10010
コ:10.0.0.11
この設問は、表2におけるVXLANの学習情報(キ〜コ)を、図3・図4に基づいて埋める問題です。
何を問う問題か、前提を整理しましょう。
表2は、ARP通信完了後にVTEPが学習した情報を示すものです。
該当箇所は、VXLANの学習における3つの要素です。
- 宛先VMのMACアドレス
- VNI(VXLAN Network Identifier)
- 対向VTEPのIPアドレス
図の参照すべき箇所をまとめましょう。
図3では……
- L3SW11のループバックIP:10.0.0.11
- L3SW31のループバックIP:10.0.0.31
図4(VMとVNI、グループアドレスの対応)では……
| VM | VLAN | VNI | グループアドレス |
|---|---|---|---|
| VM11 | 110 | 10010 | 239.0.0.1 |
| VM31 | 110 | 10010 | 239.0.0.1 |
つまり、VM11 と VM31 は同じVNI(10010)に所属しています。
表2の状況も見てみましょう。
この表は、
- L3SW11 が VM31 宛てのARP応答を受けたあとに学習した内容
- L3SW31 が VM11 宛てのARP要求を受けたあとに学習した内容
を示しています。
よって答えが導き出されます。
● キ:VNI(L3SW11が学習したVM31のVNI)
→ VM31はVNI 10010
キ:10010
● ク:リモートVTEPのIP(=L3SW31のループバックIP)
→ 図3より L3SW31 のループバックIPは 10.0.0.31
ク:10.0.0.31
● ケ:VNI(L3SW31が学習したVM11のVNI)
→ VM11もVNI 10010
ケ:10010
● コ:リモートVTEPのIP(=L3SW11のループバックIP)
→ 図3より L3SW11 のループバックIPは 10.0.0.11
コ:10.0.0.11
設問4
[新検証NWの設計]について答えよ。
本文中の下線⑩について、ルートリフレクタを用いる利点を“iBGP”という字句を用いて25字以内で答えよ。また、図5中のL3SW01及びL3SW02をルートリフレクタとして冗長化するときに、ループを防止するために設定するIDの名称を答えよ。
利点:iBGPピアの数を減らすことができる。
名称:クラスターID
この設問は、EVPNネットワークにおけるルートリフレクタの利点と、それに関連するループ防止設定(クラスターID)について問うものです。
まずは利点について整理しましょう。
BGPでは、iBGP(同一AS内のBGP)では原則「フルメッシュ接続」が必要です。
つまり全ノード同士でピア関係を結ぶ必要があるということです。
これにより、ノード数の増加とともに爆発的にピア数が増えるというスケーラビリティの課題に直面します。
そこで導入されるのがルートリフレクタ(Route Reflector)です。
中央にルートリフレクタを配置して、各ノードはそのクライアントとして1対1で接続すればよくなります。
→ ピア数の削減が可能になります。
続いてループ防止に使う設定の名称について見ていきましょう。
そもそもなぜループが発生するのでしょうか?
ルートリフレクタが複数存在する構成(冗長構成)では、同じ経路情報が別々のリフレクタから複数回反射されてしまい、ルーティングループが起きる可能性があります。
それを防ぐために使うのがCluster ID(クラスターID)です。
- 同一クラスターに属するルートリフレクタに、同じCluster IDを設定
- ルートリフレクタは、自分のクラスターIDを経路情報に埋め込む(Cluster List)
- 同じクラスターIDが含まれる経路情報を再反射しないように制御する
本文中の( f )、( g )に入れる適切な字句を、本文中の字句を用いて答えよ。
f:Unknown Unicast
g:ESI
この設問は、VXLAN上でEVPNを導入した際に削減できるトラフィック(f)と、リンクアグリゲーション構成で同一物理サーバを識別するためのID(g)を本文から抜き出す問題です。
(f)に入る字句の解説
石田先生該当文の要約(本文のQ主任の発言)はこうです。
EVPNの“機能2”によって、BUMフレームのうちの( f )によるフラッディングの発生を低減できる。
BUMとは、下記の頭文字を取ったものです。
- B:Broadcast
- U:Unknown Unicast ← これが今回の対象
- M:Multicast
EVPN導入の効果(機能2)についても見てみましょう。
通常、VXLANでは「Unknown Unicast」は、送信先MACアドレスが分からないため、マルチキャストでフラッディングされます。
しかしEVPNでは、MP-BGPで事前にMACアドレスとVTEP情報を学習できるのです。
→ Unknown Unicastをフラッディングせずに直接ユニキャスト転送できる。
(g)に入る字句の解説
石田先生該当文の要約(Q主任の発言)はこうです。
同一の物理サーバに接続する2台のL3SWに作成するリンクアグリゲーションの論理インタフェースには、…同じ( g )を設定します。
対応するEVPNの「機能3」について見てみましょう。
EVPNでは、ESI(Ethernet Segment Identifier)という識別子を使って、「この物理サーバはどのVTEPに接続されているか」を他のVTEPに通知できます。
同じ物理サーバに接続されている複数のインタフェースに同じESIを設定することで、EVPNのマルチホーミングとロードバランシングが可能になります。
本文中の下線⑪について、現行の検証NWと比較したときの利点を25字以内で答えよ。
二つの回線の帯域を有効に利用できる。
この設問は、下線⑪における「アクティブ/アクティブ構成+リンクアグリゲーション」の利点について、現行の「アクティブ/スタンバイ構成」と比較して答える問題です。
下線⑪の「リンクアグリゲーション(LAG)を使ったアクティブ/アクティブ構成」について、現行NWとの比較を通じて詳しく説明します。
現行ネットワーク(図3)の構成:アクティブ/スタンバイについて見ていきましょう。
[特徴]
- サーバにはNIC(ネットワークカード)が2つ
- 片方のNICだけが常時通信に使用される(アクティブ)
- もう片方は予備(スタンバイ)として待機
- 障害時のみスタンバイNICがアクティブに切り替わる
[問題点]
- 通常時は回線の片方しか使われない
- もう1本の回線(スタンバイ)は待機するだけで帯域が無駄になる
- 結果としてネットワークリソースを有効活用できない
続いて、新検証NW(図5)の構成:アクティブ/アクティブ+リンクアグリゲーション(LAG)について見ていきましょう。
[特徴]
- サーバ側のNICが両方とも通信に使用される
- 2本のリンクをまとめて1つの論理リンク(リンクアグリゲーション/LAG)として扱う
- L3SW側も、EVPNの「機能3」(ESIの共有)によりこの構成が可能
[メリット]
- 両方の回線を同時に使える
- 合計帯域を2倍に増やすことができる
- 負荷分散が可能
- 複数のセッションやフローを分けて、片方の回線に偏らせずに通信できる
- 耐障害性も維持
- どちらかの回線が切れても、もう一方がそのまま使える
- EVPNが複数VTEPを1つのES(Ethernet Segment)として扱えるようにする
- 同じ物理サーバにつながるL3SWに同じESIを設定して制御
石田先生「有効に利用できる」という表現には以下の意味が含まれています。
- 回線を待機させず、使いながら冗長化もできる
- リンクの物理的な帯域を論理的にも活用できる
- スタンバイの浪費を防げる
つまり、従来の「障害対策のために使っていなかったリソース」が、日常的に通信に活かせるというのがこの回答の本質です。
本文中の下線⑫について、VTEPは宛先IPアドレスにセットするリモートVTEPのIPアドレスをどのように学習するか。20字以内で答えよ。
MP-BGPを用いて学習する。
この設問は、EVPNを導入した新検証NWにおいて、VTEPがVXLANパケットの宛先IP(リモートVTEPのIPアドレス)をどのように知るかを問うものです。
下線⑫の「VTEPがリモートVTEPのIPアドレスをどのように学習するか」について、従来のVXLANとの比較や、EVPNでのMP-BGPを使った学習の仕組みを含めて詳しく解説します。
まずは従来のVXLANにおける学習方法(EVPNなし)を見ていきましょう。
従来のVXLANでは、VTEPが相手のVTEP情報を学習するには、
- 受信したVXLANパケットを解析
- そのパケットの中から以下の情報を抽出・学習
というやり方を行っていました。
| 項目 | 説明 |
|---|---|
| 宛先MACアドレス | イーサネットフレームの宛先MAC |
| VNI | VXLANヘッダーに含まれる識別子 |
| 送信元VTEPのIPアドレス | IPヘッダーの送信元IP |
この仕組みを動的MAC学習と呼びます。
[問題点]
- 最初の通信はマルチキャスト(フラッディング)になる(無駄が多い)
- ネットワーク規模が大きくなると、フラッディングの制御が難しい
EVPN導入後の学習方法も見てみましょう。
そもそもEVPNとは、VXLANの制御プレーンを強化する技術です。
RFC 7432 / RFC 8365で定義されており、MP-BGP(Multiprotocol BGP)を使って、VTEP間で必要な情報を事前に交換します。
MP-BGPにより、以下の情報がVTEP間でやり取りされます。
| 情報の種類 | 説明 |
|---|---|
| MACアドレス | 宛先VMのMACアドレス |
| VNI | 該当するVXLANネットワーク識別子 |
| IPアドレス | 接続しているリモートVTEPのIPアドレス |
| ESI | 同一物理サーバを識別するEthernet Segment ID(機能3) |
これにより、VTEPはVXLANパケットの宛先IP(=リモートVTEP)をMP-BGP経由であらかじめ知っているので、フラッディングせずにユニキャストで送信できます。
下線⑫の状況に対応させるとどうなるでしょうか?
本文では、
Q主任:ARP要求フレームをカプセル化した全てのVXLANパケットをキャプチャして、宛先IPアドレスを確認します。
これは、EVPN導入後、VTEPが「あらかじめMP-BGPで学習したリモートVTEPのIPアドレス」を参照して、ARP要求をマルチキャストでなくユニキャストで送るようになったことを確認しようとしている場面です。
よって答えが導き出されます。
石田先生補足としてMP-BGPのルートタイプを確認しておきましょう。
EVPNでは、MP-BGPの以下のルートタイプが使われます。
| Type | 内容 |
|---|---|
| Type 2 | MAC/IPアドレスの広告(最もよく使う) |
| Type 3 | インクルーシブマルチキャストルート(マルチキャスト関連) |
| Type 5 | IP Prefixルート(L3ルーティング用) |
本問の文脈では、主にType 2(MAC/IPアドレスルート)が使用されます。
本文中の下線⑫について、あるVLAN IDをセットされたARP要求フレームは、VTEPによってどのようなリモートVTEPに転送されるか。“VNI”という字句を用いて40字以内で答えよ。
VLAN IDに対応するVNIをもつ全てのリモートVTEP
この設問は、EVPN導入後におけるARP要求フレームのVXLANユニキャスト転送先の決定方法について問うものです。
設問【下線⑫】に関する「ARP要求がどのリモートVTEPに転送されるか」というテーマについて、VXLANとEVPNの仕組みを踏まえながら詳しく解説します。
問題の前提を整理しましょう。
ARP要求フレームを受け取ったVTEPは、それをカプセル化して、どのVTEP宛に送信するのか? という点を、「VNI」というキーワードを用いて、40字以内で答えるという問題です。
VXLANにおけるVNIの役割について確認しましょう。
VNI(VXLAN Network Identifier)とは?
- VXLANで仮想的なL2ネットワークを区別するためのID
- VLANでいうところのVLAN IDの代わりになる識別子
- VXLANではこのVNIをもとに、どの仮想ネットワークに属する通信かを判断します
EVPN導入前:VXLAN単独時の動作をおさらいしましょう。
ARP要求はBroadcast(BUM)扱いであるため、 宛先IPアドレスをマルチキャストグループアドレスにして送信していました。
つまり VNIごとに参加VTEP全体へマルチキャストフラッディングをします。
学習情報がないため、すべての候補に送るしかなかったのです。
それではEVPN導入後の動作はどうなるでしょう?
EVPNを使うと、事前にMP-BGPでVNIごとに参加しているVTEPの情報が学習済みになります。
そのため、ARP要求を受けたVTEPは、ARPフレームのVLAN IDをVNIに変換し、そのVNIに所属する全てのリモートVTEPを特定して、それぞれに対してユニキャストでVXLANパケットを送るという動きになります。
つまりVLAN IDに対応するVNIをもつ全てのリモートVTEPに対して、ARP要求をマルチキャストではなくユニキャストで送信するわけです。
図4より
| VM | VLAN | VNI | グループアドレス |
|---|---|---|---|
| VM11 | 110 | 10010 | 239.0.0.1 |
| VM21 | 110 | 10010 | 239.0.0.1 |
| VM31 | 110 | 10010 | 239.0.0.1 |
この例で、VM11からARP要求が出た場合……
- VLAN 110 → VNI 10010
- MP-BGPで、VNI 10010 に所属するVTEPがどれかを事前学習済み
したがって:L3SW11のVTEPは、L3SW21・L3SW31などのVNI 10010に所属する他のVTEPを宛先としてマルチキャストではなくユニキャストでVXLANパケットを送ることになります。
