問題解説: Network 実技1
問題文
この問題の世界では172.20.0.0/16はインターネットで使われるアドレスで、ISPから割り当てられるものとする。192.168.0.0/16はプライベートIPアドレスである。
ある企業に東京本部と大阪支部があり、大阪支部はISPから172.20.1.1、東京本部には172.20.2.1がそれぞれISPから割り当てられている。またどちらもそれぞれルータ osaka , tokyo でNAPTして使用している。
事前準備
VNCサーバにSSHしたら、そこからPCfumidaiにSSHしてください。アクセス情報は以下の通り。
・IPアドレス:192.168.0.10
・ユーザー名:admin
・パスワード:password
このPCfumidaiはルータosaka配下に設置されたPCで、もう一つのIPアドレス192.168.10.1が割り当てられている。
まず疎通確認として、CloudflareのPublicDNS1.1.1.1にtracerouteして下さい。大体以下のようになればOK。
[admin@fumidai:~]%traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
1 gateway (192.168.10.254) 1.220 ms 1.138 ms 1.110 ms
2 172.20.1.254 (172.20.1.254) 1.299 ms 1.290 ms 1.298 ms
以下省略STEP1. GREトンネル開通
現時点では、大阪支部と東京本部では別々にNATしているため、大阪支部から東京にあるサーバにアクセスすることはできない。
これを解決するため、各ルータで拠点間VPNを張る必要がある。(上図紫の部分)
今回は、拠点間VPNの一つであるGRE TunnelをルータosakaにSSHして設定してください。(ルータtokyoの設定は不要)
アクセス情報、および設定要件は以下の通り。
・IPアドレス:192.168.10.254
・ユーザー名:gre
・パスワード:tunnel
・enableパスワード:tunnel
要件
・プロトコル:GRE
・IPアドレス:192.168.100.1/24
・tunnel送信元アドレス:172.20.1.1
・tunnel宛先アドレス:172.20.2.1
・MTU:1400byte
STEP2. default route切替
GRE Tunnelの設定ができましたら、次は、大阪支部から外部へのパケットがすべて東京本部を経由するようにルータosakaに設定してください。
回答項目
以下の内容を回答してください。
・ STEP1で入力したコンフィグ
・ PCfumidaiから東京本部のサーバ192.168.20.1へのtracerouteの結果のコピペ
・ STEP2で入力したコンフィグ
・ 1.1.1.1へtracerouteした結果のコピペ
・ show running-configのコピペ
ゴール
ゴール (STEP1)
拠点間VPNの一つであるGRE Tunnelをルーターosaka側に設定する
ゴール (STEP2)
大阪支部から外部へのパケットがすべて東京本部を経由するようにルーターosakaに設定する
トラブルの概要
GREトンネルの構築とデフォルトルートの切り替え
解説
GRE(Generic Routing Encapsulation)は、トンネルプロトコルの1つです。トンネルプロトコルにはLayer2トンネリングのL2F、PPTP、L2TPと、Layer3トンネリングのGRE、IPsecなどがあります。このトンネリングとは、あるトラフィックを別のプロトコルでカプセル化して伝送する技術のことです。パケットのカプセル化とその解除はトンネルの両端の機器で行うため、両端の機器が直結しているように見えます。GREトンネリングでは、任意のプロトコルのパケットをIPトンネル内でカプセル化しています。GREトンネリングを行なう両端のルータで、あるトラフィックに対するカプセル化とその解除を行います。
(ネットワークエンジニアとして(https://www.infraexpert.com/study/rp8gre.htm)より)
今回はCiscoのルータでGREトンネルを一から張ってもらい、デフォルトルートを切り替える問題でした。
STEP1はトンネルインターフェースのIPアドレス、GREトンネルの送信元・送信先アドレス、プロトコルとMTUを要件に従って設定するだけで完了します。
STEP2はデフォルトルートの切り替えですが、それだけではGREトンネルでカプセル化されたパケットの経路情報がなくなるため、そのためのスタティックルートを別途設定する必要があります。
解答例
STEP1.
interface Tunnel0
ip address 192.168.100.1 255.255.255.0
tunnel source 172.20.1.1
tunnel destination 172.20.2.1
ip mtu 1400
tunnel mode gre ip[admin@fumidai:~]%traceroute 192.168.20.1
traceroute to 192.168.20.1 (192.168.20.1), 30 hops max, 60 byte packets
1 gateway (192.168.10.254) 1.766 ms 1.706 ms 1.706 ms
2 192.168.100.2 (192.168.100.2) 2.638 ms 2.633 ms 2.640 ms
3 192.168.20.1 (192.168.20.1) 2.875 ms 2.845 ms 2.793 ms
[admin@fumidai:~]%STEP2.
no ip route 0.0.0.0 0.0.0.0 172.20.1.254
ip route 0.0.0.0 0.0.0.0 192.168.100.2
ip route 172.20.2.1 255.255.255.255 172.20.1.254[admin@fumidai:~]%traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
1 gateway (192.168.10.254) 0.753 ms 0.722 ms 0.704 ms
2 192.168.100.2 (192.168.100.2) 0.891 ms 0.875 ms 0.817 ms
3 172.20.2.254 (172.20.2.254) 1.389 ms 1.365 ms 1.338 ms
以下省略送られてきた解答の中にこれかこれに準ずる内容が含まれていたら得点としています。
講評
今回は1次予選ということで、競技ではあるもののどちらかというとハンズオンセミナーのようなイベントで出されそうな問題を意識して作りました。
その中でSTEP1はそこそこのレベル、STEP2は発展レベルの問題という感覚だったのですが、STEP1まで解けたチームがおよそ6割、STEP2まで完答したチームがおよそ3割程度だったので、思ったよりも解けていた印象でした。
今回はすべてIPv4を用いての問題でしたが、このようなトンネリング技術はIPv6移行技術としてもよく用いられる技術であるためこの機会にぜひ勉強してみてください。