10-1 インターネットを利用したシステム
第10章
午後問題の対策
10-1 インターネットを利用したシステム10-2 無線LANを利用したシステム10-3 IPテレフォニーシステム10-4 ロードバランス10-5 検疫ネットワーク10-6 高可用性ネットワーク10-7 システムのバックアップ
CONTENTS
午後問題の対策
第10 章
489
10-4 ロードバランス
第10章
午後問題の対策
SECTION
10-4 ロードバランス
サーバ負荷分散の方式
Webサーバなど企業のシステムを構成するサーバには、大きな負荷がかかります。特に大規模なオンラインショッピングなどインターネット上のユーザにサービスを提供するためのサーバには大きな負荷がかかります。大きな負荷を処理するためには、次のような対策を考えます。
・サーバの処理能力を向上させる・サーバを複数台導入して負荷分散を行う
単純にサーバを複数台導入しただけでは、負荷分散を実現することはできません。複数台のサーバで負荷分散を行うためには、次のような方式があります。
・DNSラウンドロビン方式・負荷分散装置(ロードバランサ)
上記の負荷分散の方式について、システム構成と負荷分散の仕組みについて解説します。
DNSラウンドロビン方式による負荷分散
(1)基本的なシステム構成 DNSラウンドロビン方式でサーバの負荷分散を行うには、次の機器が必要です。
・DNSサーバ・負荷分散するサーバ群
DNSラウンドロビン方式でサーバの負荷分散を行うときの基本的なシステム構成は次の図のようになります。 サーバはWebサーバを想定しています。サーバ1、サーバ2、サーバ3の3台のWebサーバでwww.example.comへのWebアクセスを負荷分散するものとします。 DNSサーバのゾーンファイルには、名前解決のためのAレコードを登録します。同じwww.example.comというホスト名に対するAレコードを複数設定することができます。同じホスト名に対するAレコードが複数あれば、DNSサーバはラウンドロビン
490
第10章 午後問題の対策
491
10-4 ロードバランス
第10章
午後問題の対策
で登録されているIPアドレスを順番に応答します。そこで、www.example.comへのWebアクセスを負荷分散するために、Aレコードを三つ登録します。
サーバ1192.168.1.1サーバ1
192.168.1.1
DNSサーバ
サーバ2192.168.1.2サーバ2
192.168.1.2
サーバ3192.168.1.3サーバ3
192.168.1.3
DNSゾーンファイル
www.example.com IN A 192.168.1.1www.example.com IN A 192.168.1.2www.example.com IN A 192.168.1.3
図 DNSラウンドロビン方式のシステム構成
※ 図では、説明のためWebサーバのIPアドレスとしてプライベートアドレスを利用しています。インターネットに公開しているWebサーバの負荷分散であれば、WebサーバのIPアドレスとしてグローバルアドレスを利用します。
(2)DNSラウンドロビン方式の通信フロー DNSラ ウ ン ド ロ ビ ン 方 式 で、PC1とPC2の 複 数 の ク ラ イ ア ン トPCか らwww.example.comへのWebアクセスを負荷分散する際の通信フローを考えます。
① PC1がDNSサーバに対してwww.example.comのDNSリクエストを送信する② DNSサーバは、DNSリプライとしてwww.example.comのIPアドレス192.168.1.1を
返答する③ PC1はサーバ1(192.168.1.1)へWebアクセスを行う④ PC2がDNSサーバに対してwww.example.comのDNSリクエストを送信する⑤ DNSサーバは、DNSリプライとしてwww.example.comのIPアドレス192.168.1.2を
返答する⑥ PC2はサーバ2(192.168.1.2)へWebアクセスを行う
サーバ1192.168.1.1
DNSサーバ
サーバ2192.168.1.2
サーバ3192.168.1.3
DNSゾーンファイル
www.example.com IN A 192.168.1.1www.example.com IN A 192.168.1.2www.example.com IN A 192.168.1.3
PC1
PC2⑤DNSリプライ192.168.1.2
③HTTP
⑥HTTP
①DNSリクエストwww.example.com
④DNSリクエストwww.example.com
②DNSリプライ192.168.1.1
www.example.comのDNSリクエストに対して、Aレコードを順番(ラウンドロビン)に返答する
図 DNSラウンドロビン方式の通信フロー
このようにDNSラウンドロビン方式は、DNSサーバでの名前解決の仕組みを用いたサーバの負荷分散を行います。
(3)DNSラウンドロビン方式のメリットとデメリット DNSラウンドロビン方式での負荷分散は、「特別な専用装置が不要」というメリットがあります。複数のサーバを設置して、DNSサーバのゾーンファイルを編集すれば負荷分散が可能です。そのため、低コストでシンプルな負荷分散が可能です。 一方、「効率的な負荷分散ができない」、「サーバの障害を検知できない」というデメリットがあります。 ラウンドロビン方式では、効率的な負荷分散ができない可能性があります。実際のサーバの負荷を考慮せずに、DNSリプライとして順番にAレコードのIPアドレスを返すだけなので、サーバの負荷に偏りが生じることがあります。 また、サーバがダウンした場合、DNSサーバ側ではそのサーバダウンを検出できません。DNSサーバのゾーンファイルからそのサーバのAレコードを削除しなければ、ダウンしたサーバのIPアドレスを返してしまいます。この場合、ダウンしたIPアドレスのDNSリプライを受信したクライアントPCはWebアクセスができなくなります。 より効率的な負荷分散を行うためには、専用の負荷分散装置(ロードバランサ)の導入が必要です。
492
第10章 午後問題の対策
493
10-4 ロードバランス
第10章
午後問題の対策
負荷分散装置による負荷分散
(1)基本的なシステム構成 負荷分散装置でサーバの負荷分散を行うためには、次の機器が必要です。
・負荷分散装置・負荷分散するサーバ群・DNSサーバ
負荷分散装置でサーバの負荷分散を行うときの基本的なシステム構成は次の図のようになります。
サーバ1192.168.1.1サーバ1
192.168.1.1
DNSサーバ
サーバ2192.168.1.2サーバ2
192.168.1.2
サーバ3192.168.1.3サーバ3
192.168.1.3
DNSゾーンファイルwww.example.com IN A 192.168.1.100
SLB
www.example.comの仮想IP192.168.1.100
SLB(Server Load Balancer):負荷分散装置
図 負荷分散装置のシステム構成
サーバ1、サーバ2、サーバ3の3台のWebサーバでwww.example.comへのWebアクセスを負荷分散するものとします。負荷分散装置は、スイッチのように複数のイーサネットポートを持ち、負荷分散するサーバ群を集約して接続します。負荷分散装置には、www.example.comの 仮 想IPア ド レ ス を 設 定 し ま す。DNSサ ー バ に はwww.example.comのAレコードとして負荷分散装置の仮想IPアドレスを登録しておきます。
※ 負荷分散装置は、「アプリケーションスイッチ」、「L4/L7スイッチ」などとも呼びます。
(2)負荷分散装置の通信フロー 負荷分散装置で、PC1とPC2の複数のクライアントPCからwww.example.comへのWebアクセスを負荷分散する際の通信フローを考えます。
① PC1がDNSサーバに対してwww.example.comのDNSリクエストを送信する② DNSサーバは、DNSリプライとしてwww.example.comのIPアドレス192.168.1.100
を返答する③ PC1はSLB(192.168.1.100)へWebアクセスを行う④ SLBが192.168.1.100へのWebアクセスを負荷分散アルゴリズムによって実サーバで
あるサーバ1を選択⑤ SLBはサーバ1へWebアクセスを転送する⑥ PC2がDNSサーバに対してwww.example.comのDNSリクエストを送信する⑦ DNSサーバは、DNSリプライとしてwww.example.comのIPアドレス192.168.1.100
を返答する⑧ PC2はSLB(192.168.1.100)へWebアクセスを行う⑨ SLBが192.168.1.100へのWebアクセスを負荷分散アルゴリズムによって実サーバで
あるサーバ2を選択⑩ SLBはサーバ2へWebアクセスを転送する
DNSゾーンファイルwww.example.com IN A 192.168.1.100
サーバ1192.168.1.1サーバ1
192.168.1.1
DNSサーバ
サーバ2192.168.1.2サーバ2
192.168.1.2
サーバ3192.168.1.3サーバ3
192.168.1.3
PC1
③HTTP
⑤HTTP
④サーバ1を選択
①DNSリクエストwww.example.com
②DNSリプライ192.168.1.100
SLB
www.example.comの仮想IP192.168.1.100
図 PC1からのWebアクセス
494
第10章 午後問題の対策
495
10-4 ロードバランス
第10章
午後問題の対策
DNSゾーンファイル
www.example.com IN A 192.168.1.100
⑧サーバ2を選択⑤DNSリクエストwww.example.com SLB
サーバ1192.168.1.1サーバ1
192.168.1.1
DNSサーバ
サーバ2192.168.1.2サーバ2
192.168.1.2
サーバ3192.168.1.3サーバ3
192.168.1.3
PC2⑥DNSリプライ192.168.1.100
⑩HTTP
⑦HTTP
www.example.comの仮想IP192.168.1.100
www.example.comの仮想IP192.168.1.100
図 PC2からのWebアクセス
このような通信フローをもう少し詳細に考えます。負荷分散装置はクライアントPCからのWebアクセスを実サーバへ転送します。このような動作はIPアドレスの変換によって実現します。
DNSゾーンファイル
www.example.comの仮想IP192.168.1.100
サーバ1192.168.1.1サーバ1
192.168.1.1
サーバ3192.168.1.3サーバ3
192.168.1.3
サーバ2192.168.1.2サーバ2
192.168.1.2PC110.1.1.1
SLB
①②
③
④
HTTP
HTTP
HTTPHTTP
あて先IP:192.168.1.100送信元IP:10.1.1.1あて先ポート:80送信元ポート:10000
あて先IP:10.1.1.1送信元IP:192.168.1.100あて先ポート:10000送信元ポート:80
あて先IP:10.1.1.1送信元IP:192.168.1.1あて先ポート:10000送信元ポート:80
あて先IP:192.168.1.1送信元IP:10.1.1.1あて先ポート:80送信元ポート:10000
図 負荷分散装置でのIPアドレス変換
クライアントPCからwww.example.comへのWebアクセスのパケット①のアドレス情報は次のとおりです。
・あて先IPアドレス:192.168.1.100(負荷分散装置の仮想IPアドレス)・送信元IPアドレス:10.1.1.1・あて先ポート番号:80・送信元ポート番号:10000(ランダムポート)
これが負荷分散装置に届き、負荷分散装置でサーバ1を選択すると、パケット②としてサーバ1へ転送します。そのときのアドレス情報は次のとおりです。
・あて先IPアドレス:192.168.1.1(サーバ1のIPアドレス)・送信元IPアドレス:10.1.1.1・あて先ポート番号:80・送信元ポート番号:10000(ランダムポート)
負荷分散装置で送信先IPアドレスを仮想IPアドレスからサーバ1の実IPアドレスへ変換します。そして、サーバ1は応答としてパケット③を返します。パケット③のアドレス情報は次のようになります。
・あて先IPアドレス:10.1.1.1・送信元IPアドレス:192.168.1.1(サーバ1のIPアドレス)・あて先ポート番号:10000(ランダムポート)・送信元ポート番号:80
パケット③は負荷分散装置を経由します。負荷分散装置はパケット③のIPアドレスを次のように変換してパケット④としてPC1へ転送します。
・あて先IPアドレス:10.1.1.1・送信元IPアドレス:192.168.1.100(負荷分散装置の仮想IPアドレス)・あて先ポート番号:10000(ランダムポート)・送信元ポート番号:80
このように負荷分散装置では、IPアドレスの変換を行うことでクライアントPCからのWebアクセスを実サーバへ振り分けています。
496
第10章 午後問題の対策
497
10-4 ロードバランス
第10章
午後問題の対策
午後問題の演習(1)
設問の解説
問題文より、DMZもプライベートIPアドレスを利用していて、FW-1aまたはFW-1bでNATによる変換を行っていることが分かります。つまり、IPアドレスを書き換える機器はFW-1aとFW-1bです。また、負荷分散装置はサーバにアクセスを振り分ける際、負荷分散装置の仮想IPアドレスとサーバの実IPアドレスを変換します。LB-1a、LB-1bもIPアドレスを書き換える機器です。
解答
FW-1a、FW-1b、LB-1a、LB-1b
負荷分散アルゴリズム
負荷分散装置が実サーバを選択するときに使う主な負荷分散アルゴリズムは次のとおりです。
・ラウンドロビン:実サーバに順番に振り分ける・重み付け:実サーバに対して設定している重みに応じて振り分ける・サーバのセッション数:最もセッション数が少ない実サーバに振り分ける・IPアドレス/ポート番号:送信元IPアドレス/ポート番号に基づいて振り分ける・ HTTPヘッダ/ URL / Cookie:HTTPヘッダやURL、Cookieに基づいて振り分け
る
負荷分散装置によって、どのような負荷分散アルゴリズムを利用できるかが異なり
LANの冗長化と負荷分散
問 題
〔Z社のネットワークシステム〕 機械の保守サービスを行っているZ社では、ネットワークシステムを業務システムの共通基盤として利用している。稼働している業務システムには、Webサーバとアプリケーションサーバ(以下、APサーバという)を使った“ポータルシステム”や、在庫管理サーバを使った“在庫管理システム”などがある。現在のネットワークシステムを図1に示す。
図1 現在のネットワークシステム(抜粋)
APサーバb
APサーバa
Webサーバb
LB-1bLB-1aFW-1b
L2SW-1a L2SW-1b
L2SW-2a L2SW-2b
L3SW-1a
L2SW-4a
L3SW-1b
L2SW-3a L2SW-3b
FW-1a
FW-2bFW-2a
Webサーバa
在庫管理サーバa
在庫管理サーバb
Z社データセンタ
Z社各拠点(東日本)…設問の関係上接続の一部を表示していない。
FW:ファイアウォールL2SW:レイヤ2スイッチL3SW:レイヤ3スイッチ LB:負荷分散装置
マルチホーム接続機器群
L2SW 広域イーサネットサービス網a
Z社各拠点(西日本)…L2SW 広域イーサネット
サービス網b L2SW-4b
インターネット
データセンタ内のLANは冗長化され、マルチホーム接続機器群によってインターネットに接続されている。マルチホーム接続機器群は、マルチホーム接続を行うための機器とDNSサーバから構成されている。 L3SWはVRRP(Virtual Router Redundancy Protocol)を利用して二重化されている。LBと2組のFWはアクティブスタンバイ方式によって二重化されている。 サーバの収容ゾーンは、2組のFWによってDMZと内部ゾーンに分けられて
いる。いずれのゾーンもプライベートIPアドレスを使用しており、インターネットとDMZの間の通信では、FW-1a又はFW-1bがNATを用いてIPアドレスを変換する。
設 問
図1中の機器のうち、ポータルシステムの通信においてTCP/IPヘッダのIPアドレスを書き換える機器が四つ(2組)ある。それらをすべて答えよ。ただし、マルチホーム接続機器群とサーバは除く。
(テクニカルエンジニア(ネットワーク)試験 平成20年度午後Ⅱ 問2改題)
498
第10章 午後問題の対策
499
10-4 ロードバランス
第10章
午後問題の対策
ます。
(1)サーバの状態監視 また、負荷分散装置では、実サーバの状態を監視することができます。これも製品によってどのような仕組みでサーバの状態を監視しているかは異なります。主なものは次のとおりです。
・ pingによる監視:負荷分散装置から定期的に実サーバに対してpingを実行してサーバの状態を監視する
・ TCPによる監視:負荷分散装置から定期的に実サーバに対してTCPコネクションを確立することでサーバの状態を監視する
・ HTTP GETメソッドによる監視:負荷分散装置から定期的に実サーバに対してHTTP GETメソッドを発行してサーバの状態を監視する
サーバの状態監視は、OSI参照モデルの階層に基づいて考えることが重要です。
OSI参照モデル 状態監視方法
ネットワーク層 ping
トランスポート層 TCP
アプリケーション層 HTTP GETメソッド
表 サーバの状態監視方法とOSI参照モデルの階層
pingによる状態監視でサーバが正常だと判断しても、必ずしもWebアクセスが可能とは限りません。pingによってIP通信可能であることを確認しても、Webサーバのアプリケーションが正常に動作していなければそのサーバへのWebアクセスはできません。より正確なサーバの状態を監視するには、アプリケーション層レベルでの監視方法が必要です。
(2)負荷分散装置のメリットとデメリット 負荷分散装置によるサーバの負荷分散のメリットは、次のとおりです。
・効率的な負荷分散が可能・サーバの状態監視が可能・拡張性が高い
負荷分散装置では単純なラウンドロビンだけでなく、HTTPメッセージの中身など
さまざまな情報を基に効率的な負荷分散が可能です。そして、サーバの状態を監視することができます。障害が発生したサーバを即座に切り離して、ほかの適切なサーバへと分散させることができます。これにより、可用性の向上を期待できます。 また、新しくサーバを追加する場合、追加するサーバの処理能力に応じた適切な負荷分散が可能です。トラフィックの増大に応じて、柔軟にサーバの追加を検討できるので、将来の拡張性が高いシステム構成とすることが可能です。 一方、デメリットは次のとおりです。
・専用の負荷分散装置が必要・ 効率的な負荷分散を行うためにはサーバのトラフィック計測など、細かなチューニ
ングが必要
負荷分散装置によるサーバの負荷分散は、当然ながら専用の負荷分散装置が必要です。比較的高価な機器なので、コストがかかります。また、効率的な負荷分散を行うためには、トラフィック量を計測したり、個々のサーバの処理能力を考えた負荷分散装置の設定を行わなければいけません。トラフィック量やサーバの処理能力は、システムによってケースバイケースなので、負荷分散装置を適切に設定するのは簡単ではありません。
例題 ロードバランサ(負荷分散装置)
ロードバランサの基本機能はどれか。
ア SSLの通信で送受信されるデータの暗号化及び復号を高速に行い、Webサーバの負担を減らす。
イ 業務アプリケーションごとに必要な回線帯域を割り当てて伝送する。ウ クライアントからの要求が特定のサーバに集中しないように、複数のサーバに振
り分ける。エ 複数の回線を仮想的に1本の回線として扱い、信頼性の向上と伝送帯域幅の拡大を
実現する。
(テクニカルエンジニア(ネットワーク)試験 平成20年度午前 問9)
解説
ア SSLの処理を高速化するための機器はSSLアクセラレータです。ロードバランサ
(負荷分散装置)にSSLアクセラレータの機能が組み込まれているものもあります
が、本来は別物です。
イ QoSに関する説明です。
500
第10章 午後問題の対策
501
10-4 ロードバランス
第10章
午後問題の対策
ウ 正しい記述です。
エ マルチリンクに関する説明です。
以上より、正解はウです。
午後問題の演習(2)
サーバを、本社のLANに接続して、3台のeSVRに必要な情報を設定した。その後で、あらかじめ作業を依頼していた営業所のY君とともに、PC-x1とPC-y1から各eSVRにpingコマンドを発行し、正常応答を確認した。次に、PC-x1とPC-ylから各eSVRに接続して、eシステムが正常に利用できることを確認した。eシステムが利用できたので、P君はLBを本社のLANに接続して、DNSとLBに必要な情報を設定した。Y君にPC-y1からLB経由でeシステムを利用してもらったところ、eシステムの開始画面がPC-y1に表示されず、eシステムが利用できなかった。P君は、障害の原因究明のために、本社のLANにトラフィックモニタを接続して、通信データを収集した。収集した通信データのフレームの中から抽出した、eシステム接続に関連するフレームのアドレス情報を、表1に示す。
表1 eシステム接続に関連するフレームのアドレス情報
収集したフレームのアドレス情報から、eSVR1からPC-y1にパケットが返送されているにもかかわらず、①PC-y1で処理が継続されないという問題が発見できた。P君は、各eSVRのネットワーク設定情報の設定間違いが原因と判断し、設定情報を変更したところ、PC-y1からeシステムが利用できるようになった。P君は、営業所からLB経由でeシステムが利用できれば、本社のPC-x1からも問題なく利用できると考えていたが、PC-x1からのeシステム利用でも、PC-y1と同様の障害が発生してしまった。再度、トラフィックモニタで通信データを収集した。eSVR1から返送されたフレームのアドレス情報は表2のとおりであり、変更が不十分であったことが判明した。P君は、各eSVRのネットワーク設定情報を追加変更して障害を解決した。
表2 eSVR1から返送されたフレームのアドレス情報
設 問
(1) 表1中の a 〜 d に入れる適切なMACアドレス又はIPアドレスを、図中の表記を用いて答えよ。
(2) 本文中の下線①の原因を、受信したパケットに着目して、30字以内で述べよ。
ネットワークシステムの増強
問 題
H社では、社員の業務スキル向上のためにPCのブラウザから利用できるeラーニングシステム(以下、eシステムという)を導入して、一部の部署で活用してきた。その結果、eシステムの活用効果を確認できたので、研修コースを拡充して全社に展開することにした。各コースのコンテンツは、文字、図表、音声及び動画を使って作成されている。eシステムは、全社員が利用することになるので、eシステムのサーバ(以下、eSVRという)を複数台の構成にして、負荷分数値置(以下、LBという)で処理を振り分けることにした。H社のネットワーク構成を、図に示す。本社と営業所のネットワークのIPアドレスは、サブネットを設定せず、それぞれクラスAとクラスBが用いられている。
図 H社のネットワーク構成(抜粋)
〔eシステムの増強〕 まず、P君は、検証環境で動作テスト実施済の2台のeSVRと1台のファイル
502
第10章 午後問題の対策
503
10-4 ロードバランス
第10章
午後問題の対策
設問1の解説
(1) 次の図は、問題の表1にまとめられているフレームについて図に表したものです。
DMAC:ルータ2SMAC:PCy1MACDIP:10.10.0.1SIP:172.16.0.1
DMAC:HRTMACSMAC:SVR1MACDIP:172.16.0.1SIP:10.10.10.1
①
② ③
LB
仮想IP:10.10.0.1実IP:10.10.10.128
LBMAC
ルータ1
IP-VPN
ルータ2
PC-y1からeラーニングシステムへアクセス
PC-y1
SVR3
10.10.10.3SVR3MAC
10.10.16.1HRTMAC
172.16.0.1PCy1MAC
SVR2
10.10.10.2SVR2MAC
SVR1
10.10.10.1SVR1MAC
図3 PC-y1からeラーニングシステムへのアクセス
PC-y1か らeラ ー ニ ン グ シ ス テ ム に ア ク セ ス す る と き に は、LBの 仮 想IP 10.10.0.1宛てです。PC-y1から送信されたフレームはルーティングされて本社ルータ1から本社LANへ転送されます。これが表の項番1のフレームです。元のフレームのIPヘッダの情報は変更されません。イーサネットヘッダの情報は、送信元MACアドレスがルータ1のHRTMAC、あて先MACアドレスがLBのLBMACです。つまり、aはHRTMAC、bはLBMACです。
LBに転送されたフレームは、LBでIPアドレスの変換が行われます。LBでIPアドレスの変換が行われたのが表1の項番2のフレームです。LBのサーバ選択アルゴリズムによって、eSVR1が選択されると、あて先IPアドレスがLBの仮想IP
10.10.0.1からeSVRの10.10.10.1に変換されます。ソースNATを利用していないので、送信元IPアドレスは変更されずPC-y1の172.16.0.1のままです。そして、あて先IPアドレスがeSVR1のIPアドレス 10.10.10.1に変換されたので、あて先MACアドレスは対応するSVR1MACです。つまり、cはSVR1MAC、dは172.16.0.1です。
(2) PC-y1がeラーニングシステムにアクセスするときに送信したフレームのIPアドレス情報は、
あて先IPアドレス:10.10.0.1 送信元IPアドレス:172.16.0.1
です。 一方、eSVR1からの戻りフレーム(表1の項番3)のIPアドレス情報は、
あて先IPアドレス:172.16.0.1 送信元IPアドレス:10.10.10.1
です。 PC-y1は通信相手として10.10.0.1を指定したはずなのに、その応答が10.10.10.1か
ら返ってきています。指定したIPアドレスから応答が返ってきていないので、アプリケーションで処理を継続することができません。
先にも述べましたがLB経由で通信をするときには、実サーバからの戻りパケットをLBへ転送するようにしなければいけません。実サーバeSVR1から別サブネットのPC-y1へパケットを送信するときにLBへ転送するためには、eSVR1のデフォルトゲートウェイのIPアドレスとしてLBのIPアドレス 10.10.10.128を指定する必要があります。これは、他のeSVR2、eSVR3でも同様です。
(3) 二度目の障害の対策として変更した、eSVRのネットワーク情報を、10字以内で答えよ。
(ネットワークスペシャリスト試験 平成21年度午後I 問3改題)
504
第10章 午後問題の対策
505
10-4 ロードバランス
第10章
午後問題の対策
LB
仮想IP:10.10.0.1実IP:10.10.10.128
LBMAC
ルータ1
SVR3
10.10.10.3SVR3MAC
10.10.16.1HRTMAC
SVR2
10.10.10.2SVR2MAC
デフォルトゲートウェイ=10.10.10.128営業所のPCからのアクセスに対する返事をLBへ転送するため
SVR1
10.10.10.1SVR1MAC
営業所ネットワーク
図4 eSVRのデフォルトゲートウェイの設定
(3) 本社内のPCからeラーニングシステムにアクセスしたとき、eSVRからの戻りパケットがLBを経由しないことが障害の原因です。営業所のPCからのアクセスしたとき、eSVRは戻りパケットをLBへ送信するために、デフォルトゲートウェイをLBのIPアドレスにしています。
しかし、本社内のPCとeSVRが同一サブネットになっていると、戻りパケットはデフォルトゲートウェイ(LB)経由ではなく直接送信してしまいます。
10.128.1.1/8
DMAC:LBMACSMAC:PCx1MACDIP:10.10.0.1SIP:10.128.1.1
10.0.0.0/8
PC-x1 LB SVR1フレーム
DMAC:PCx1MACSMAC:SVR1MACDIP:10.128.1.1SIP:10.10.10.1
フレーム
DMAC:PCx1MACSMAC:SVR1MACDIP:10.128.1.1SIP:10.10.10.1
フレーム
DMAC:SVR1MACSMAC:LBMACDIP:10.10.10.1SIP:10.128.1.1
LBであて先IPアドレスを実サーバeSVR1へ変換
フレーム
はじめに指定したIPアドレス10.10.0.1と異なるIPアドレス10.10.10.1から返事を受け取った
10.128.1.1は同一サブネット上なので、デ フ ォ ル トゲートウェイ(LB)は転送せず、直接送信する
仮想IP:10.10.0.1実IP:10.10.10.128
10.10.10.1/8DGW:10.10.10.128
図5 eSVRのサブネットマスクが正しくないときの本社PCからのアクセス
問題の図の構成図では、本社PCとeSVRが同一サブネットのように書かれていますが、実際にはeSVRから見て本社PCは別サブネットになるようにしなければいけません。そのために、eSVRのサブネットマスクを/8ではなく/24などに変更しておく必要があります。
10.128.1.1/8
DMAC:LBMACSMAC:PCx1MACDIP:10.10.0.1SIP:10.128.1.1
10.0.0.0/8
PC-x1 LB SVR1フレーム
DMAC:PCx1MACSMAC:LBMACDIP:10.128.1.1SIP:10.10.0.1
フレーム
DMAC:LBMACSMAC:SVR1MACDIP:10.128.1.1SIP:10.10.10.1
フレーム
DMAC:SVR1MACSMAC:LBMACDIP:10.10.10.1SIP:10.128.1.1
LBであて先IPアドレスを実サーバeSVR1へ変換
LBで送信元IPアドレスをLBの仮想IPへ変換
フレーム
10.10.10.1/24DGW:10.10.10.128
10.128.1.1は別サブネットな の で 、 デフォルトゲートウェイ(LB)へ転送
仮想IP:10.10.0.1実IP:10.10.10.128
10.10.10.0/24
図6 eSVRのサブネットマスクが正しいときの本社PCからのアクセス
解答
(1)[a]HRTMAC
[b]LBMAC
[c]SVR1MAC
[d]172.16.0.1
(2)通信相手でないサーバからのパケットを受信したこと
(3)サブネットマスク