企業ネットワークの統合

D社は，本社及び三つの支社を国内にもつ中堅の商社である。D社の社内システムは，クラウドサービス事業者であるG社の仮想サーバでWebシステムとして構築されており，本社及び支社内のPCからインターネット経由で利用されている。このたびD社は，グループ企業のE社を吸収合併することになり，E社のネットワークをD社のネットワークに接続（以下，ネットワーク統合という）するための検討を行うことになった。

D社の現行のネットワークの概要を次に示す。
（1）PCは，G社VPC（Virtual Private Cloud）内にある仮想サーバにインターネットを経由してアクセスし，社内システムを利用する。VPCとは，クラウド内に用意されたプライベートな仮想ネットワークである。
（2）本社と支社間は，広域イーサネットサービス網（以下，広域イーサ網という）で接続している。
（3）PCからインターネットを経由して他のサイトにアクセスするために，ファイアウォール（以下，FWという）のNAPT機能を利用する。
（4）PCからインターネットを経由してVPC内部にアクセスするために，G社が提供している仮想的なIPsec VPNサーバ（以下，VPC GWという）を利用する。
（5）FWとVPC GWの間にIPsecトンネルが設定されており，PCからVPCへのアクセスは，FWとVPC GWの間に設定されたIPsecトンネルを経由する。
（6）社内のネットワークの経路制御には，OSPFを利用しており，OSPFプロトコルを設定している機器は，ルータ，レイヤ3スイッチ（以下，L3SWという）及びFWである。
（7）本社のLANのOSPFエリアは0であり，支社1～3のLAN及び広域イーサ網のOSPFエリアは1である。
（8）FWにはインターネットへの静的デフォルト経路を設定しており，①全社のOSPFエリアからインターネットへのアクセスを可能にするための設定が行われている。

D社の現行のネットワーク構成を図1に示す。

D社の現行のネットワークにおける各セグメントのIPアドレスを表1に示す。

G社は，クラウドサービス利用者のためにインターネットからアクセス可能なサービスポータルサイト（以下，サービスポータルという）を公開しており，クラウドサービス利用者はサービスポータルにアクセスすることによってVPC GWの設定ができる。D社では，VPC GWとFWに次の項目を設定している。

• VPC GW設定項目：VPC内仮想セグメントのアドレス（192.168.1.0/24），IPsec VPN認証用の事前a，FWの外部アドレス（t.u.v.5），D社内ネットワークアドレス（172.16.0.0/16，172.17.0.0/16）
• FW設定項目：VPC内仮想セグメントのアドレス（192.168.1.0/24），IPsec VPN認証用の事前a，VPC GWの外部アドレス（x.y.z.1），D社内ネットワークアドレス（172.16.0.0/16，172.17.0.0/16）

OSPFは，リンクステート型のルーティングプロトコルである。OSPFルータは，隣接するルータ同士でリンクステートアドバタイズメント（以下，LSAという）と呼ばれる情報を交換することによって，ネットワーク内のリンク情報を集め，ネットワークトポロジのデータベースLSDB（Link State Database）を構築する。LSAには幾つかの種別があり，それぞれのTypeが定められている。例えば，bLSAと呼ばれるType1のLSAは，OSPFエリア内のbに関する情報であり，その情報には，cと呼ばれるメトリック値などが含まれている。また，Type2のLSAは，ネットワークLSAと呼ばれる。OSPFエリア内の各ルータは，集められたLSAの情報を基にして，dアルゴリズムを用いた最短経路計算を行って，ルーティングテーブルを動的に作成する。さらに，OSPFには，②複数の経路情報を一つに集約する機能（以下，経路集約機能という）がある。D社では，支社へのネットワーク経路を集約することを目的として，③特定のネットワーク機器で経路集約機能を設定している（以下，この集約設定を支社ネットワーク集約という）。支社ネットワーク集約がされた状態で，本社のL3SW4の経路テーブルを見ると，a～gのそれぞれを宛先とする経路（以下，支社個別経路という）が一つに集約された，e/16を宛先とする経路が確認できる。また，D社では，支社ネットワーク集約によって意図しない④ルーティングループが発生してしまうことを防ぐための設定を行っているが，その設定の結果，表2に示すOSPF経路が生成され，ルーティングループが防止される。 注記 Null0はパケットを捨てることを示す。 D社とE社のネットワーク統合を実現するために，情報システム部のFさんが検討することになった。Fさんは，E社の現行のネットワークについての情報を集め，次のようにまとめた。

• E社のオフィスは，本社1拠点だけである。
• E社の本社は，D社の支社1と同一ビル内の別フロアにオフィスを構えている。
• E社の社内システム（以下，E社社内システムという）は，クラウドサービス事業者であるH社のVPC内にある仮想サーバ上でWebシステムとして構築されている。
• E社のPCは，インターネットVPNを介して，E社社内システムにアクセスしている。
• E社のネットワークの経路制御はOSPFで行っており全体がOSPFエリア0である。
• E社のネットワークのIPアドレスブロックは，172.18.0.0/16を利用している。

情報システム部は，Fさんの調査を基にして，E社のネットワークをD社に統合するための次の方針を立てた。
（1）ネットワーク統合後の早急な業務の開始が必要なので，現行ネットワークからの構成変更は最小限とする。
（2）E社のネットワークとD社の支社1ネットワークを同一ビル内のフロアの間で接続する（以下，この接続をフロア間接続という）。
（3）フロア間接続のために，D社の支社1のL3SW1とE社のL3SW6の間に新規サブネットを作成する。当該新規サブネット部分のアドレスは，E社のIPアドレスブロックから新たに割り当てる。新規サブネット部分のOSPFエリアは0とする。
（4）両社のOSPFを一つのルーティングドメインとする。
（5）H社VPC内の仮想サーバはG社VPCに移設し，統合後の全社から利用する。
（6）E社がこれまで利用してきたインターネット接続回線及びH社VPCについては契約を解除する。

Fさんの考えた統合後のネットワーク構成を図2に示す。

Fさんは，両社間の接続について更に検討を行い，課題を次のとおりまとめた。

• フロア間を接続しただけでは，OSPFエリア0がOSPFエリア1によって二つに分断されたエリア構成となる。そのため，フロア間接続を行っても⑤E社のネットワークからの通信が到達できないD社内のネットワーク部分が生じ，E社からインターネットへのアクセスもできない。
• 下線⑤の問題を解決するために，⑥NW機器のOSPF関連の追加の設定（以下，フロア間OSPF追加設定という）を行う必要がある。
• フロア間接続及びフロア間OSPF追加設定を行った場合，D社側のOSPFエリア0とE社側のOSPFエリア0は両方合わせて一つのOSPFエリア0となる。このとき，フロア間OSPF追加設定を行う2台の機器はいずれもエリア境界ルータである。また，OSPFエリアの構成としては，OSPFエリア0とOSPFエリア1がこれらの2台のエリア境界ルータで並列に接続された形となる。その結果，D社ネットワークで行われていた支社ネットワーク集約の効果がなくなり，本社のOSPFエリア0のネットワーク内に支社個別経路が現れてしまう。それを防ぐためには，⑦ネットワーク機器への追加の設定が必要である。
• E社のネットワークセグメントから仮想サーバへのアクセスを可能とするためには，FWとVPC GWに対してE社のアドレスを追加で設定することが必要である。

これらの課題の対応で，両社のネットワーク全体の経路制御が行えるようになることを報告したところ，検討結果が承認され，ネットワーク統合プロジェクトリーダにFさんが任命された。