問題
本文中の下線⑤について、中継するTCPパケットのIPフラグメントを防止するための設定を行わず、UTMでIPフラグメント処理が発生する場合、UTMにどのような影響があるか。10字以内で答えよ。
A社は、従業員300人の建築デザイン会社である。東京本社のほか、大阪、名古屋、仙台、福岡の4か所の支社を構えている。本社には100名、各支社には50名の従業員が勤務している。
A社は、インターネット上のC社のSaaS(以下、C社SaaSという)を積極的に利用する方針にしている。A社情報システム部ネットワーク担当のBさんは、C社SaaS宛ての通信がHTTPSであることから、ネットワークの負荷軽減を目的に、各支社のPCからC社SaaS宛ての通信を、本社のプロキシサーバを利用せず直接インターネット経由で接続して利用できるようにする、ローカルブレイクアウトについて検討することにした。
〔現在のA社のネットワーク構成〕
現在のA社のネットワーク構成を図1に示す。
現在のA社のネットワーク構成の概要を次に示す。
- 本社及び各支社はIPsec VPN機能をもつUTMでインターネットに接続している。
- プロキシサーバは、従業員が利用するPCのHTTP通信、HTTPS通信をそれぞれ中継する。プロキシサーバではセキュリティ対策として各種ログを取得している。
- DMZ及び内部ネットワークではプライベートIPアドレスを利用している。
- PCには、DHCPを利用してIPアドレスの割当てを行っている。
- PCが利用するサーバは、全て本社のDMZに設置されている。
- A社からインターネット向けの通信については、本社のUTMでNAPTによるIPアドレスとポート番号の変換をしている。
〔現在のA社のVPN構成〕
A社は、UTMのIPsec VPN機能を利用して、本社をハブ、各支社をスポークとするハブアンドスポーク型のVPNを構成している。本社と各支社との間のVPNは、IP in IPトンネリング(以下、IP-IPという)でカプセル化し、さらにIPsecを利用して暗号化することでIP-IP over IPsecインタフェースを構成し、2拠点間をトンネル接続している。本社のUTMと支社のUTMのペアではIPsecで暗号化するために同じ鍵を共有している。この鍵はペアごとに異なる値が設定されている。
VPNを構成するために、本社と各支社のUTMには固定のグローバルIPアドレスを割り当てている。IP-IP over IPsecインタフェースでは、IP Unnumbered 設定が行われている。また、⑤IP-IP over IPsecインタフェースでは、中継するTCPパケットのIPフラグメントを防止するための設定が行われている。
2024年度(令和6年度)春期 ネットワークスペシャリスト試験 午後Ⅰより引用・改変
・
・
・
・
・
・
答え 転送負荷の増大
・出題のポイント
IP-IP over IPsecインタフェースにおいて、中継するTCPパケットのIPフラグメントを防止するための設定を行わず、UTMでIPフラグメント処理が発生する場合に、UTMに起きる影響について問うています。
・IPフラグメントとは
IPフラグメントとは、送信しようとするIPパケットのサイズが、ネットワークの途中で通過できる最大のサイズ(MTU: Maximum Transmission Unit)よりも大きい場合に発生する、パケットの分割現象です。
ルータは、パケットのサイズが自身の出力インターフェースのMTUよりも大きい場合に、パケットを分割(フラグメント化)します。この際、分割された各フラグメントには、元のパケットに関する情報(識別子、フラグメントオフセットなど)が記録されます。
分割されたフラグメントは、それぞれ独立したIPパケットとしてネットワークを転送されます。これらのフラグメントが途中のルータでさらにMTUよりも大きい場合は、そのルータが再度フラグメント化が発生します(再フラグメント化)。
これらのフラグメントを元のIPパケットに再構成するのは、最終的な宛先ホストのIPプロトコルスタックの役割です。宛先ホストは、同じ識別子を持つすべてのフラグメントを受信し、フラグメントオフセットの情報に基づいて元の順序に並べ替え、再結合します。
・IPsecにおけるIPフラグメントの発生
IPsecでは、パケットを暗号化し、認証するためのヘッダーやトレーラーを追加します。トンネルモードの場合、元のIPパケット全体がカプセル化されるため、さらに外側のIPヘッダーが付与されます。これらの追加ヘッダーによって、IPsecトンネルを通るパケットのサイズは、元のTCPパケットよりも大きくなります。
IPsecのオーバーヘッドによってパケットサイズがMTUを超過すると、ルーターはパケットを分割(フラグメント化)することになります。
TCPは通常、Path MTU Discovery (PMTUD)という仕組みを利用して、送信元ホストから宛先ホストまでの経路で最も小さいMTUを検出し、それ以下のサイズでパケットを送信します。これにより、経路途中でフラグメント(パケットが途中で分断されてしまう事象)が発生するのを防ぎます。
しかし、IPsecトンネルが介在する場合、以下の理由でPMTUDが正常に機能しないことがあります。
- ICMPメッセージの遮断:
- PMTUDは、経路上のルーターがパケットサイズが大きすぎる場合に送信するICMP “Fragmentation Needed and Don’t Fragment (DF) bit Set” メッセージに依存しています。ファイアウォールやネットワーク設定によっては、これらのICMPメッセージがIPsecトンネルの途中で遮断されてしまうことがあります。
- トンネルインターフェースのMTU設定:
- IPsecトンネルインターフェース自体のMTU設定が、物理インターフェースのMTUよりも小さい場合があります。この場合、カプセル化後のパケットがトンネルインターフェースのMTUを超過し、フラグメントが発生します。
・IPフラグメントによって生じる問題
IPフラグメントが発生すると以下のような問題が発生します。
- 処理負荷の増加: ルータや宛先ホストは、フラグメント化や再構成といった追加の処理を行う必要があり、CPUリソースを消費します。特に、大量のフラグメントが発生すると、これらの処理がボトルネックとなり、ネットワーク全体のパフォーマンスを低下させる可能性があります。
- 遅延の増加: パケットが複数のフラグメントに分割されると、すべてのフラグメントが宛先に到着するまで元のデータを復元できないため、遅延が増加します。また、フラグメントが途中で失われた場合、再送処理が発生し、さらなる遅延を招きます。
- スループットの低下: フラグメント化されたパケットは、ヘッダー情報が重複するため、同じデータ量を送信するのに必要な総バイト数が増加し、実質的なスループットが低下します。
- 信頼性の低下: 一つのフラグメントが失われると、元のパケット全体を再送する必要があります。これは、小さな損失が大きな再送を引き起こすため、ネットワークの信頼性を低下させる要因となります。特に、信頼性の低いネットワーク環境では、フラグメント損失のリスクが高まります。
- 再構成の失敗: 宛先ホストがすべてのフラグメントを時間内に受信できない場合、再構成がタイムアウトし、パケットが破棄されることがあります。
・解の導出
以上の解説により、解答は、「転送負荷の増大」です。