第4回 大規模ネットワークに新規ルータを増設するには？
（OSPF：問題提起編）

草場 英仁
三井物産セキュアディレクション株式会社

中村　光宏
サイバーディフェンス研究所
上級分析官
2008/7/7

今回の概要：
新入社員の坂本さんへ課せられたタスクは、大規模ネットワークのルーティングプロトコル、OSPFを用いて、新規部署のルータを追加することだった。

　プロローグ

「今日からお世話になります、坂本恵美です。よろしくお願いします！」

　まだスーツに着られているような新人さんです。小柄な女性社員が守屋部長代理に引き連れられてやって来ました。

「斉藤君、新入社員研修を終えたばかりの坂本さんだ。君の後輩として指導よろしく頼むよ」

「よろしくお願いします、センパイ！」

　やぁ、どうも。とか、とにかく返事を返しました。ついに僕にも直属の後輩ができたようです。取りあえず空いているデスクに坂本さんの席を作ります。しかし、初めての配属がネットワーク管理チームなんていいのかな。

「斉藤センパイ、私の希望どおりネットワーク管理に配属されてうれしいです！」

　“センパイ”は高校時代の部活を思い出してこそばゆいから、やめてとお願いしつつ、ここが第1希望だなんてどういう人なんだろう。

「学生時代からネットワークの仕事に就きたくて、資格も頑張っていろいろ取ったんですよ！」

　あ、その資格、自分も持ってないやつだ……。これはひょっとしたら立場が危ういぞ?!

　トラブル発生

「――坂本さん、そんなわけでこの部署はヘルプデスクとしてトラブルシューティングもするけど、基本はいかに安定した社内ネットワークを提供するかが使命なんだ」

　神妙な顔でうなずきながら話を聞きます。希望した部署がこんな少人数の部隊だとは思わなかったけど、斉藤センパイ……いえ、斉藤さんも優しそうだし、早く仕事を覚えなくちゃ！　斉藤さん、ちょっと頼りない感じだけど、こういう人が実は腕利きなのかしら。

　ちょっと罰当たりな感想を抱きつつ、自分に与えられたデスクの整理をします。一生懸命勉強したネットワークの知識を生かして、一人前になるんだから。

「斉藤君、ちょっと」

　上司の守屋さんがセンパイを呼んでいます。早速仕事?!

　2人はプリントアウトした資料を並べて相談しています。自分も参加したいなあ……。

「あの、坂本さんちょっといいですか」

　相談を終えた斉藤さんが自分の隣に座ります。ネットワーク構成図と数枚の資料を広げて説明が始まりました。

「坂本さんも聞いてるかもしれないけど、今度新しく営業八課ができるんだ。そこでネットワークの拡張計画を立てていたんだよ」

　本当に仕事の話です。メモを取りながら聞き逃さないように気を付けます。斉藤さんがいうには、現在の社内ネットワークのバックボーンは、ルーティングをOSPFという大規模ネットワーク用のルーティング・プロトコル（参照：大規模で複雑なネットワークでの運用に堪えるOSPF）に任せているそうです。

　そこで部署増設に伴い、新規ルータを導入して、新しいルーティングテーブルを伝播する作業が必要になったということです。OSPFを用いたネットワークを構築したことはありませんが、見聞きした知識だけはあります。

参照記事： ルーティング・プロトコルの役割を理解する ルーティングにおける「経路情報」を管理する「ルーティング・プロトコル」の仕組みや運用法を解説しています

「その仕事、わたしにやらせてください！」

　斉藤さんはちょっと驚いた顔をしましたが、すぐによしよしというようにうなずきます。

「守屋さんからも勉強がてら坂本さんに任せるようにいわれたんだよ。機材はもう設置済みだから、設定を考えてくれるかな」

　もちろん二つ返事で引き受けます。

「あ、少し席を外すけど、実際にネットワークにつなぐときは僕に一声掛けてね」

　目でハイと答えて、早速仕事に取り掛かります。設定を考えるに当たって、社内の既存ネットワークのOSPFのテンプレートや、部署の書架にそろえられている書籍を参考にするよう指示されました。まずは新規ルータ（Router_3）とネットワークを含めたトポロジを整理します。

図1　社内ネットワークのルーティングトポロジ

　新規ルータ（Router_3）でバックボーン側のエリアの設定と、新しいネットワークのセグメントのエリアを設定して……、相互でルーティングテーブルを交換することにすればいいよね。なんとか新規ネットワークと既存ネットワークがダイナミックルーティングされるコンフィグレーションを作成しました。

　設定しなければならない主な項目は以下のとおりです。

1. インターフェイスのOSPF設定
2. OSPFグローバル設定

　セグメント情報やIPアドレス、エリア情報以外の設定は、すでに導入済みのルータ（Router_1）を参考にすることにしました。

　参考書籍で確認しながら、頭を整理していきます。OSPFはリンクステート型プロトコルで、RIPのようなディスタンスベクタ型プロトコルとは異なるのよね。その特徴は、OSPFルータ間でさまざまなタイプのパケットを交換し合い、互いのOSPFで管理するテーブル（トポロジテーブル、ネイバテーブル、SPFツリー、ルーティングテーブル）を教え合う方式だってこと。ちなみにディスタンスベクタ型だと、自分のルーティングテーブルに隣のルータのルーティングテーブルを追加していく、と。

　OSPFルータは、OSPFプロトコルが実装する独自のアルゴリズムで計算を行って、ネットワークのマップを作成し、最良のルーティングテーブルを生成するからルーティングループが発生しにくいのがいいところ。特にエリア間のルータ（ASBR＝AS境界ルータ）では、外部の経路と内部の経路を明確に理解しながら管理するので、RIPで管理するネットワークのようなループがめったに発生しないのよね。

　今回はOSPFのプライオリティやコストに注意して、新しいエリアが持つセグメント情報がほかのネットワークと重複していないことも確認したし……、既存のOSPFのデータベースに悪影響は及ぼさない……、はず！

「できたっ！」

　わたしってやっぱりこの仕事が向いているのかな、と思いつつ斉藤さんを探します。サーバ室に行っても、デスクに戻っても姿が見えません。出先表を見ると、守屋部長代理は外出中か……。

　うーん、ここはテストということで設定しちゃってもいいかな。いいよね！　1人でうなずいて、新しいルータをバックボーンに接続します。すぐにルーティングテーブルの交換が始まるはずです。

「あれれれ？」

　ルーティングテーブルの交換が始まらない……みたいです。

「おかしいなあ」

　つい、独り言がついて出ます。と、ネットワーク管理チームのデスクで電話が鳴っています。

「はい、ネットワー……え、ネットの調子が悪いんですか？！」

　弱り目にたたり目。最悪なことに、既存ネットワークに影響が発生したようです。各部署から「つながったりつながらなくなったりする」との電話がジャンジャンかかってきます。ひとまず、「調査中です！」と電話を切って、実際にバックボーン（Router_2）のルーティングテーブルを見てみます。

　……どうやら一定間隔でルーティングテーブルが消えたり増えたりしているようです。OSPFのリンクステート状態と伝播をおかしくしてしまったみたいです。

「ま、まずいわよね、これは……」

　とにかくこの状況を解決しなければならないのですが、こうなると怖くてどこを触っていいのかも分かりません。そこに『坂本さん大丈夫？』と社内メッセンジャーのウィンドウが開きました。斉藤さんの助け舟です！　『すいません、手に負えません〜』

---

　と、ここまでの問題をご理解いただけましたでしょうか？ 気になる大規模ネットワークの経路制御をするためのネットワークプロトコル、OSPFを使った解決編は次回お送りします。お楽しみに。

Profile

草場　英仁 （くさば　ひでかず） サイバーディフェンス研究所 大手システム会社からベンチャー企業を経てサイバーディフェンス研究所に参加。ルータ開発やファイヤーウォール開発、apacheや*BSDなどのOSS開発を経験しその後ISMSコンサルなど、ハッキング技術からセキュリティマネジメントまで幅広い知識と経験を有する。 Exploit作成や手動でのペネトレーションテストなど、ツールではない本物の技術にこだわり、官公庁や企業へのハッキング教育、ペネトレーションテストに従事。その他大学で非常勤講師などを勤める傍らセキュリティ関連を中心に執筆多数。 中村　光宏（なかむら　みつひろ） サイバーディフェンス研究所 5年間のネットワーク管理と3年間のシステム設計の経験を踏まえてサイバーディフェンスに参加。その後、独自の手法によるペネトレーションテストを開発。過去に、大型ポータルサイト等含め、あらゆる環境のウェブサイトでペネトレーションテストを実施。国内有数の診断技術と実績を誇るとともに、その知識はセキュリティマネジメントにも及ぶ。その他、セキュリティに限らず3DCGムービーやFlashコンテンツ制作等を手掛け、そこからハッキング技術に応用できるテクニックを得られるケースもあるとか。

Wiresharkでトラブルハック 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）