令和6年度春期ネットワークスペシャリスト試験午後Ⅰ 問1

試験時間: 12:30 ～ 14:00（1時間30分）

問1 コンテンツ配信ネットワークに関する次の記述を読んで、設問1～3に答えよ。

D社は、ゲームソフトウェア開発会社で三つのゲーム（ゲーム$\alpha$、ゲーム$\beta$、ゲーム$\gamma$）をダウンロード販売している。D社のゲームはいずれも利用者の操作するゲーム端末上で動作し、ゲームの進捗データやスコアはゲーム端末内に暗号化して保存される。D社のゲームは世界中に利用者がおり、ゲーム本体及び公式ガイドのデータ（以下、両方をゲームファイルという）はインターネット経由で配信されている。

〔現状の配信方式〕

D社は、ゲームファイルの配信のためのデータセンターを所有している。 D社データセンターの構成を図1に示す。

図1 D社データセンターの構成（抜粋） （※図の内容：$\alpha, \beta, \gamma$の各配信サーバがL2SWに接続され、LB、ルータを経由してインターネットへ接続されている構成）

ゲーム端末は、インターネット経由でゲームごとにそれぞれ異なるURLにHTTPSでアクセスする。LBは、プライベートIPアドレスが設定されたHTTPの配信サーバにアクセスを振り分ける。また、①LBは配信サーバにHTTPアクセスによる死活監視を行い、動作が停止している配信サーバに対してはゲーム端末からのアクセスを振り分けない。

表1 ゲームファイルの配信に利用するIPアドレスとポート番号

内容	URL	LB (IPアドレス/ポート)	配信サーバ (所属セグメント/ポート)
ゲーム$\alpha$	`https://alpha.example.net/`	203.x.11.21 / 443	172.21.1.0/24 / 80
ゲーム$\beta$	`https://beta.example.net/`	203.x.11.21 / 443	172.22.1.0/24 / 80
ゲーム$\gamma$	`https://gamma.example.net/`	203.x.11.21 / 443	172.23.1.0/24 / 80

D社が導入しているLBのサーバ振分けアルゴリズムには、ラウンドロビン方式及び最少接続数方式がある。ラウンドロビン方式は、ゲーム端末からの接続を接続ごとに配信サーバに順次振り分ける方式である。最少接続数方式は、ゲーム端末からの接続をその時点で接続数が最も少ない配信サーバに振り分ける方式である。

D社のゲームファイル配信では、振り分け先の配信サーバの性能は同じだが、接続ごとに配信するゲームファイルのサイズに大きなばらつきがあり、配信に掛かる時間が変動する。各配信サーバへの同時接続数をなるべく均等にするために、LBの振分けアルゴリズムとして [　ア　] 方式を採用している。

ゲーム$\beta$の配信性能向上が必要になる場合には、表1中の所属セグメント [　イ　] にサーバを増設する。

〔配信方式の見直し〕

D社は、ゲームファイルの大容量化と利用者のグローバル化に伴い、ゲームファイルの配信をコンテンツ配信ネットワーク（以下、CDNという）事業者のE社のサービスで行うことにした。

E社CDNは、多数のキャッシュサーバを設置する配信拠点（以下、POPという）を複数もち、その中から、ゲーム端末のインターネット上の所在地に対して最適なPOPを配信元としてコンテンツを配信する。あるPOPが端末からアクセスを受けると、POP内でLBがキャッシュサーバにアクセスを振り分ける。E社CDNのキャッシュサーバにコンテンツが存在しない場合は、D社データセンターの配信サーバからE社CDNのキャッシュサーバにコンテンツが同期される。

配信方式の見直しプロジェクトはXさんが担当することになった。Xさんは、E社が提供している BGP anycast 方式 のPOP選択方法を調査した。XさんがE社からヒアリングした内容は次のとおりである。

E社BGP anycast方式では、同じアドレスブロックを同じAS番号を用いてシンガポールPOP及び東京POPの両方からBGPで経路広告する。
シンガポールPOPと東京POPの間は直接接続されていない。
ゲーム端末が接続するISPでは、E社ASの経路情報を複数の隣接したASから受信する。どの経路情報を採用するかはBGPの経路選択アルゴリズムで決定される。
ゲーム端末からのHTTPSリクエストのパケットは、決定された経路で隣接のASに転送される。

図2 BGP anycast 方式によるE社の経路広告イメージ （※図の内容：E社CDN内にシンガポールPOP(AS-E)と東京POP(AS-E)があり、トランジットISP(AS-F, AS-G)を経由してゲーム端末のISPと接続されている）

図2でIXは、レイヤー2ネットワーク相互接続点であり、接続された隣接のAS同士がBGPで直接接続することができる。 BGPでの経路選択では、LP (LOCAL_PREF) 属性については値が [　ウ　] 経路を優先し、MED (MULTI_EXIT_DISC) 属性については値が [　エ　] 経路を優先する。E社では、LP属性とMED属性が経路選択に影響を及ぼさないように設定している。これによって②E社のあるPOPからゲーム端末へのトラフィックの経路は、そのPOPのBGPルータが受け取るAS Path長によって選択される。

Xさんは、BGPのセキュリティ対策として何を行っているか、E社の担当者に確認した。E社BGPルータは、③隣接ASのBGPルータとMD5認証のための共通のパスワードを設定していると説明を受けた。また、④アドレスブロックやAS番号を偽った不正な経路情報を受け取らないための経路フィルタリングを行っていると説明があった。

〔配信拠点の保護〕

D社ではDDoS攻撃を受けることが何度かあった。そこでXさんは、コンテンツ配信サーバへのDDoS攻撃対策について、どのような対策を行っているかE社の担当者に確認したところ、E社では RFC 5635 の中で定義された Destination Address RTBH (Remote Triggered Black Hole) Filtering（以下、RTBH方式という）のDDoS遮断システムを導入しているとの回答があった。

図3 E社POPの概要（抜粋） （※図の内容：DDoS検知サーバ、L2SW、BGPルータ1～4、ISP、インターネット、LB、FWなどの接続構成）

E社のDDoS遮断システムは、RFC 3954で定義される NetFlow で得た情報を基にDDoS攻撃の宛先IPアドレスを割り出し、該当IPアドレスへの攻撃パケットを廃棄することで、ほかのIPアドレスへの通信に影響を与えないようにする。DDoS検知サーバは、E社POP内の各BGPルータとiBGPピアリングを行っている。

DDoS検知サーバは、検知したDDoS攻撃の宛先IPアドレスへのホスト経路を生成し、RTBH方式の対象であることを示すBGPコミュニティ属性を付与して各BGPルータに経路広告する。RTBH方式の対象であることを示すBGPコミュニティ属性が付いたホスト経路を受け取った各BGPルータは、そのホスト経路のネクストホップを廃棄用インタフェース宛てに設定することで、DDoS攻撃の宛先IPアドレス宛ての通信を廃棄する。

DDoS遮断システムの今後の開発予定をE社技術担当者に確認したところ、RFC 8955で定義される BGP Flowspec を用いる対策（以下、BGP Flowspec方式）をE社が提供する予定であることが分かった。 BGP Flowspec方式では、DDoS検知サーバからのiBGPピアリングで、DDoS攻撃の宛先IPアドレスだけでなく、DDoS攻撃の送信元IPアドレス、宛先ポート番号などを組み合わせてBGPルータに広告して該当の通信をフィルタリングすることができる。 Xさんは、⑤BGP Flowspec方式の方が有用であると考え、E社技術担当者に早期提供をするよう依頼した。

Xさんは、E社CDNとDDoS遮断システムを導入する計画を立て、計画はD社内で承認された。

設問1 〔現状の配信方式〕について答えよ。

(1) 本文中の下線①について、HTTPではなくICMP Echoで死活確認を行った場合のような問題があるか。50字以内で答えよ。 (2) 本文中 [　ア　] に入れる適切な字句を、本文中から選んで答えよ。また、本文中の [　イ　] に入れる適切なセグメントを、表1中から選んで答えよ。 (3) HTTPSに必要なサーバ証明書はどの装置にインストールされているか。必ず入っていなければならない装置を一つ選び、図1中の字句で答えよ。

設問2 〔配信方式の見直し〕について答えよ。

(1) 本文中の [　ウ　] 、 [　エ　] に入れる適切な字句を、“大きい”、“小さい” のいずれかから選んで答えよ。 (2) 本文中の下線②について、図2で AS-E 東京POP に AS-G からのHTTPSリクエストのパケットが届く場合、E社トラフィックはどちらの経路から配信されるか。途中通過する場所を、図2中の字句で答えよ。ここで、AS Path長以外は経路選択に影響せず、途中に無効な経路や経路フィルタリングはないものとする。 (3) 本文中の下線③の設定をすることで何を防いでいるか。“BGP”という字句を用いて10字以内で答えよ。 (4) 本文中の下線④について、フィルタリングせずに不正な経路を受け取った場合に、コンテンツ配信に与える悪影響を “不正な経路” という字句を用いて40字以内で答えよ。

設問3 〔配信拠点の保護〕について答えよ。

(1) 図3において、インターネットからBGPルータ1を経由してLB11にHTTPS Flood攻撃があったとき、FW1でフィルタリングする方式と比較したRTBH方式の長所は何か。30字以内で答えよ。 (2) 本文中の下線⑤について、RTBH方式と比較したBGP Flowspec方式の長所は何か。30字以内で答えよ。

問2 SD-WANによる拠点接続に関する次の記述を読んで、設問1～5に答えよ。

G社は、本社とデータセンター及び二つの支店をもつ企業である。G社では、業務拡大による支店の追加が計画されている。支店の追加によるネットワーク構成の変更について、SD-WAN を活用することで、設定作業を行いやすくするとともに WAN の冗長化も行うという改善方針が示された。そこで、情報システム部のJさんが担当としてアサインされた。

〔現状ネットワーク概要〕

G社の現状ネットワーク概要を次に示す。

G社には、データセンター、本社、支店V及び支店Wの四つの拠点がある。これらの拠点は、L社が提供する MPLS VPN（以下、L社VPNという）を介して相互に接続している。
各拠点のPCとサーバは、データセンターのプロキシサーバを経由してインターネットへアクセスする。
PE1～4は、L社VPNの顧客のネットワークを収容するために設置した、プロバイダエッジルータ（以下、PEルータという）である。
ルータ1～4は、拠点間を接続する機器であり、L社のPEルータと対向する [　ア　] エッジルータである。
L社のPEルータは、G社との間のBGPピアに as-override を設定している。

表1 本社のルータ2に届く支店Vの経路情報

	Prefix	AS PATH
as-override 設定無し	a	64500 65500
as-override 設定有り	a	b

注記：64500は、L社VPNのAS番号である。

表2 各拠点のIPアドレスとAS番号一覧

ネットワーク	IPアドレス	AS番号
データセンター	10.1.0.0/16	c
DMZ	x.y.z.0/28
本社	10.2.0.0/16	d
支店V	10.3.0.0/16	e
支店W	10.4.0.0/16	f

〔現状の経路制御概要〕

G社の現行の経路制御の概要を次に示す。

拠点内は、OSPFによって経路制御を行っている。
拠点間は、BGP4によって経路制御を行っている。
OSPFエリアは全てエリア0である。
ルータ1～4で二つのルーティングプロトコル間におけるルーティングを可能にするために、経路情報の [　イ　] をしている。このとき、一方のルーティングプロトコルで学習された経路がもう一方のルーティングプロトコルを介して③再び同じルーティングプロトコルに渡されることのないように経路フィルターが設定されている。
全拠点からインターネットへのhttp/https通信ができるように、 [　ウ　] のサブネットを宛先とする経路をOSPFで配布している。この経路情報は、途中BGP4を経由して、④3拠点（本社、支店V、支店W）のルータ及びL3SWに届く。
BGP4において、AS内部の経路交換は iBGP が用いられるのに対し、各拠点のルータとPEルータとの経路交換では [　エ　] が用いられる。
L社VPNと接続するために、AS番号65500が割り当てられている。このAS番号はインターネットに接続されることのないASのために予約されている番号の範囲に含まれる。このようなAS番号を [　オ　] AS番号という。

〔SD-WAN導入検討〕

Jさんは、SD-WANを取り扱っているネットワーク機器ベンダーK社の技術者に相談しながら検討することにした。K社がインターネット経由でクラウドサービスとして提供しているSD-WANコントローラーの活用を検討することにした。

K社のSD-WAN装置とSD-WANコントローラーの主な機能は次のとおり。

SD-WANコントローラーは、SD-WAN装置に対して独自プロトコルを利用して、オーバーレイ構築に必要な情報の収集と配布を行うことで、複数のSD-WAN装置を集中管理する。
アンダーレイネットワークとして、MPLS VPNとインターネット回線が利用可能である。
オーバーレイネットワークは、SD-WAN装置間のIPsecトンネルで構築される。
オーバーレイネットワークは、アプリケーショントラフィックを識別したルーティングを行う。このように、アプリケーショントラフィックを識別したルーティングを [　カ　] ルーティングという。
SD-WANコントローラーがSD-WAN装置に配布する主な情報は、SD-WAN装置ごとのオーバーレイの経路情報と、⑤IPsecトンネルを構築するために必要な情報の2種類がある。
SD-WAN装置は、VRF (Virtual Routing and Forwarding) による独立したルーティングインスタンス（以下、RIという）を複数もつ。
SD-WAN装置は、RFC 5880で規定された BFD (Bidirectional Forwarding Detection) 機能を有する。

Jさんは、K社のSD-WANをG社ネットワークへ導入する方法を検討し、実施する項目として次のとおりポイントをまとめた。

各拠点のルータをK社の提供するSD-WAN装置に置き換える。
拠点ごとに新規にインターネット接続回線を契約し、SD-WAN装置に接続する。
拠点のSD-WAN装置間に、インターネット経由とL社VPN経由でIPsecトンネルを設定する。
⑥拠点のSD-WAN装置のトンネルインタフェースで、BFDを有効化する。
全体的な経路制御はSD-WANコントローラーとSD-WAN装置で行う。

〔SD-WANトンネル検討〕

Jさんは、図2のネットワーク構成におけるSD-WAN装置間のIPsecトンネルの構成について検討した。

図3 Jさんが考えたSD-WAN装置間のIPsecトンネルの構成 （※図の内容：データセンター、本社、支店V、支店Wの各SD-WAN装置間で、L社VPN経由とインターネット経由のIPsecトンネルがフルメッシュに近い形で接続されている）

Jさんは、このIPsecトンネル構成を前提として、今後設計するSD-WANの動作を次のようにまとめた。

SD-WANコントローラーは、各拠点のSD-WAN装置から経路情報を受信し、それらにポリシーを適用して、全拠点のSD-WAN装置に経路情報をアドバタイズする。
このときアドバタイズされる経路情報は、SD-WAN装置にローカルに接続されたネットワーク情報とそれぞれのSD-WAN装置がもつTE情報である。
拠点間の通信は、⑦L社VPNを利用し、L社VPNが使えないときはインターネットを経由する。

設問1 本文中の [　ア　] ～ [　カ　] に入れる適切な字句を答えよ。

設問2 〔現行ネットワーク概要〕について答えよ。

(1) 本文中の下線①について、as-override設定の前後における経路情報の違いについて、表1中の a, b を埋めて表を完成させよ。 (2) 本文中の下線②について、G社現行ネットワークで用いられているAS番号は何か。表2中の c ～ f を埋めて表を完成させよ。

設問3 〔現行の経路制御概要〕について答えよ。

(1) 本文中の下線③について、経路フィルターによって防止することが可能な障害を20字以内で答えよ。 (2) 本文中の下線④について、3拠点のL3SWにこの経路情報が届いたときのOSPFのLSAのタイプを答えよ。また、支店VのL3SWにこのLSAが到達したとき、そのLSAを生成した機器は何か。図1中の機器名で答えよ。

設問4 〔SD-WAN導入検討〕について答えよ。

(1) 本文中の下線⑤について、SD-WANコントローラーから送られる情報を二つ挙げ、それぞれ25字以内で答えよ。 (2) 本文中の下線⑥について、トンネルインタフェースにBFDを設定する目的を、“IPsecトンネル”という用語を用いて35字以内で答えよ。

設問5 〔SD-WANトンネル検討〕について答えよ。

(1) 本文中の下線⑦について、通常時に本社のPCから支店VのPCへの通信が通過するTEはどれか。図3の字句で全て答えよ。 (2) (1)において支店VのL社VPN接続回線に障害があった場合、本社のPCから支店VのPCへの通信が通過するTEはどれか。図3の字句で全て答えよ。

問3 ローカルブレイクアウトによる負荷軽減に関する次の記述を読んで、設問に答えよ。

A社は、従業員300人の建築デザイン会社である。A社は、インターネット上のC社のSaaSを積極的に利用する方針にしている。A社情報システム部ネットワーク担当のBさんは、C社SaaS宛ての通信がHTTPSであることから、ネットワークの負荷軽減を目的に、各支社のPCからC社SaaS宛ての通信を、本社のプロキシサーバを利用せず直接インターネット経由で接続して利用できるようにする、ローカルブレイクアウト について検討することにした。

〔現在のA社のネットワーク構成〕

現在のA社のネットワーク構成を図1に示す。（※図の内容：東京本社にDMZ（DNS, プロキシなど）があり、IPsecトンネルで大阪支社などの各拠点と接続。PCはL2SW経由で接続。UTMが設置されている）

Bさんは、テスト用のPCとテスト用のUTMプロキシサーバを用意し、作成した PACファイル を利用することで、テスト用のPCからC社SaaS宛ての通信が、期待どおりに本社のプロキシサーバを利用せずに、テスト用のUTMプロキシサーバを利用することを確認した。⑥Bさんは各支社のPACファイルを作成した。

〔WPAD導入検討〕

WPAD は、 [　イ　] や [　ウ　] の機能を利用して、PACファイルの場所を配布するプロトコルである。PCやWebブラウザのWebプロキシ自動検出が有効になっていると、 [　イ　] サーバや [　ウ　] サーバと通信を行い、アプリケーションレイヤープロトコルの一つである [　エ　] を利用して [　エ　] サーバからPACファイルのダウンロードを試みる。

WPADの利用には、PCやWebブラウザのWebプロキシ自動検出を有効にするだけでよく、簡便である一方、悪意のある [　イ　] サーバや [　ウ　] サーバがあると⑦PCやWebブラウザが脅威にさらされる可能性がある。Bさんは、WPADは利用しないことにし、PCやWebブラウザのWebプロキシ自動検出を無効にすることにした。PCやWebブラウザにはPACファイルの [　オ　] を直接設定する。

設問1 〔現在のA社のネットワーク構成〕について答えよ。

(1) 本文中の [　ア　] に入れる適切な字句を答えよ（※注：の文脈から推測されるが、引用範囲に空欄アが見当たらないため、設問のみ記述）。 (2) 本文中の下線①について、本社のUTMと支社のUTMのペアで共有する鍵を何と呼ぶか答えよ。 (3) 本文中の下線②について、鍵は全て同じではなく、ペアごとに異なる値を設定することで得られる効果を、鍵の管理に着目して25字以内で答えよ。 (4) 本文中の下線③について、A社のVPNで利用しているトランスポートモードとした場合は元のIPパケット（元のIPヘッダーと元のIPペイロード）とESPトレーラの範囲を暗号化するのに対し、A社のVPNをトンネルモードとした場合はどの範囲を暗号化するか。図2中の字句で全て答えよ。 (5) 本文中の下線④について、IP Unnumbered設定とはどのような設定か。“IPアドレスの割当て”の字句を用いて30字以内で答えよ。 (6) 本文中の下線⑤について、中継するTCPパケットのIPフラグメントを防止するための設定を行わず、UTMでIPフラグメント処理が発生する場合、UTMにどのような影響があるか。10字以内で答えよ。

設問2 〔PACファイル導入検討〕について答えよ。

(1) 図4について、DMZにあるWebサーバにアクセスする際、プロキシサーバを利用する場合はプロキシサーバ名を答えよ。プロキシサーバを利用しない場合は“利用しない”と答えよ。 (2) 図4について、インターネット上にある https://www.example.com/foo/index.html にアクセスする際、プロキシサーバを利用する場合はプロキシサーバ名を答えよ。プロキシサーバを利用しない場合は“利用しない”と答えよ。 (3) 図4について、 isInNet(ip, “172.16.0.0”, “255.240.0.0”) のアドレス空間は、どこからどこまでか。最初のIPアドレスと最後のIPアドレスを答えよ。 (4) 図4について、変数 ip がプライベートIPアドレスの場合、戻り値を “DIRECT” にすることで得られる効果を、“負荷軽減”の字句を用いて20字以内で答えよ。 (5) 本文中の下線⑥について、PACファイルは支社ごとに用意する必要がある理由を25字以内で答えよ。

設問3 〔WPAD導入検討〕について答えよ。

(1) 本文中の [　イ　] ～ [　オ　] に入れる適切な字句を答えよ。 (2) 本文中の下線⑦について、どのような脅威があるか。25字以内で答えよ。

令和6年度 春期 ネットワークスペシャリスト試験 午後Ⅰ 問1