ルータの更改

A 社は, 従業員 800 人の建設機械販売会社である。大阪本社のほか, 東京に支社を構えている。大阪本社と東京支社間は, 広域イーサネットサービス網と IPsec VPN の冗長構成（以下, WAN という）で接続されている。A 社のネットワーク（以下, A 社 NW という）はインターネットと接続している。また, WAN を経由してプライベートクラウドである C 社の SaaS（以下, C 社 SaaS という）と接続している。
A 社 NW の一部を構成するルータのメーカーサポートが終了するので, A 社情報システム部はルータの更改プロジェクトを立ち上げ, ネットワーク担当の B さんが担当することになった。

現在の A 社 NW を図 1 に示す。

現在の A 社 NW の概要を次に示す。

• A 社の従業員は, 内部ネットワークの PC を利用して, インターネットやサーバセグメント内のサーバ群及び C 社 SaaS と通信し, 業務を行っている。
• A 社 NW では, 動的経路制御の一つである OSPF を利用している。
• IPsec VPN は DMVPN（Dynamic Multipoint VPN）を用いて広域イーサネットと同様のフルメッシュトポロジを実現している。また, IPsec VPN は, 次に示すように広域イーサネット網と同様の経路制御を行っている。
• A 社 NW の OSPF のエリアは, エリア ID が 0.0.0.0 と表記される, a エリアだけで構成されている。
• FW10, R10, R11, L3SW10, R20, R21, R30, R31 の各機器が OSPF ルータとして動作している。
• OSPF ルータにはループバックインタフェースが作成され, ループバック IP アドレスが設定されている。ループバック IP アドレスは, OSPF ルータを識別する b ID として利用されている。
• OSPF の経路交換をしないインタフェースは, パッシブインタフェースとして設定されている。
• OSPF の経路交換をするインタフェースでは, ①OSPF のネイバー認証を行うことで, 安全に経路交換をするようにしている。
• OSPF のコスト設定によって, 通常は広域イーサネット網を利用して通信し, 広域イーサネット網で通信できない場合は IPsec VPN を利用して通信する設計にしている。OSPF ルータの各インタフェースにおける OSPF のコスト設定を表 1 に示す。

• FW10 は, インターネットに向けたデフォルトルートを設定しており, OSPF にインターネット向けのデフォルトルートの配布を行っている。
• FW10 はインターネットと接続し, NAPT によって IP アドレスとポート番号の変換を行っている。
• R30, R31 と C 社 SaaS は eBGP で接続し, 経路交換を行っている。eBGP 接続は認証を行うことで, 安全に経路交換をするようにしている。
• ②R30, R31 は, eBGP で経路広告する際に AS_PATH プリペンド設定をしている。通常は R30 を利用して通信し, R30 を利用して通信できない場合は R31 を利用して通信する設計にしている。
• R30, R31 は, eBGP の経路を OSPF に再配布を行っている。
• R30, R31 は, OSPF の経路を eBGP に再配布し, 経路広告している。
• R30, R31 は, eBGP の経路を OSPF に, OSPF の経路を eBGP にそれぞれ再配布を行っていることから, 経路情報のループを防止するために, eBGP 接続でプレフィックスリストによる経路フィルタリングを行っている。
• R20, R21 の内部ネットワークと接続するインタフェースでは, PC に設定するデフォルトルートのネクストホップに相当する, c の可用性を向上するために, VRRP が動作している。
• VRRP のプライオリティの値は R20 を 105 に, R21 を 100 に設定している。
• VRRP はプリエンプトを設定し, プライオリティの値が大きいルータが常にマスターになるように制御している。また, ③プリエンプトディレイを設定し,プライオリティの値が高いルータの電源をオンにした際や再起動した際などは, 一定時間が経過した後にマスターに状態遷移するように制御している。

更改対象のルータは, 図 1 中の R10, R11, R20, R21, R30, R31 である。A 社情報システム部の D 課長は, 次の方針に従ってルータ更改手順を作成するように B さんに指示した。

• 更改対象のルータは, 同じルータメーカーの後継機種と交換を行う。後継機種は, 更改対象のルータから取得した設定内容で動作することが保証されている。
• 更改対象のルータを停止しても業務影響がないよう, あらかじめ設定変更によって通信が更改対象のルータを迂回するようにしてからルータを停止し, 交換作業を行う。
• 交換作業後は, 必要な確認を行った後に, 設定変更によって通信の迂回を解除する。

B さんは方針に従って, ネットワークシミュレーターを使って動作確認をしながら, ルータ更改手順を作成した。ネットワークシミュレーターはメーカーから提供されているソフトウェア製品であり, A 社 NW と同等の環境を PC で仮想的に再現できる。 B さんは, R10 を後継機種の新しい R10（以下, 新 R10 という）に更改する手順を作成した。B さんは, ④更改手順実施中に業務影響がないことを確認する方法として, 内部ネットワークの PC から継続して ping コマンドを実行することにした。また, 継続して ping コマンドの結果が正常で, パケットロスが確認されなければ業務影響がないと判断することにした。B さんが作成した R10 の更改手順を表 2 に示す。 注記 各項番の作業内容を実施するたびに, 継続して実行している ping コマンドの状況を確認する。

B さんは R11, R20, R21, R30, R31 についてもそれぞれの更改手順を作成した。ネットワークシミュレーターを使って, 継続して ping コマンドを実行しながらそれぞれの更改手順を実施し, ping コマンドの結果が正常でパケットロスがないことを確認した。更改手順に問題がないことを確認できたので, B さんは更改手順書としてまとめた。B さんは作成した更改手順書を D 課長に提出し, 承認された。