JP2001313663A - 排他的論理ネットワークアクセス制御方法及び装置 - Google Patents
排他的論理ネットワークアクセス制御方法及び装置Info
- Publication number
- JP2001313663A JP2001313663A JP2000132093A JP2000132093A JP2001313663A JP 2001313663 A JP2001313663 A JP 2001313663A JP 2000132093 A JP2000132093 A JP 2000132093A JP 2000132093 A JP2000132093 A JP 2000132093A JP 2001313663 A JP2001313663 A JP 2001313663A
- Authority
- JP
- Japan
- Prior art keywords
- network interface
- logical
- virtual
- virtual network
- physical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 論理ネットワーク単位での制御を実現し、複
数のVPN/VLAN技術を統一的に扱うことを可能に
する方法及び装置を提供する。 【解決手段】 論理ネットワークを抽象化する仮想ネッ
トワークインターフェースを提供し、物理ネットワーク
インターフェースと仮想ネットワークインターフェース
と論理ネットワークとの対応を決定し、物理ネットワー
クインターフェースと仮想ネットワークインターフェー
スとに対応付けられたパケットのみを送受信し、仮想ネ
ットワークインターフェースと物理ネットワークインタ
ーフェースとの間でやり取りされるパケットを制御す
る。
数のVPN/VLAN技術を統一的に扱うことを可能に
する方法及び装置を提供する。 【解決手段】 論理ネットワークを抽象化する仮想ネッ
トワークインターフェースを提供し、物理ネットワーク
インターフェースと仮想ネットワークインターフェース
と論理ネットワークとの対応を決定し、物理ネットワー
クインターフェースと仮想ネットワークインターフェー
スとに対応付けられたパケットのみを送受信し、仮想ネ
ットワークインターフェースと物理ネットワークインタ
ーフェースとの間でやり取りされるパケットを制御す
る。
Description
【0001】
【発明の属する技術分野】本発明は、複数の論理ネット
ワークを収容するネットワーク中継ノードにおいて、そ
の中継ノードを利用する複数の論理ネットワークに対し
て各々排他的な制御を可能にする方法及び装置に関する
ものである。
ワークを収容するネットワーク中継ノードにおいて、そ
の中継ノードを利用する複数の論理ネットワークに対し
て各々排他的な制御を可能にする方法及び装置に関する
ものである。
【0002】
【従来の技術】通信網の構成例を図1に示す。この中
で、特定多数で利用する一つのネットワークに対して不
特定の他者からのアクセスを制限し、それら特定多数で
構成するグループ内で情報を共有すると同時に第三者へ
の情報漏洩を防止することが、ネットワークを利用する
際の重要な要求になってきている。このような要求を満
たす主な技術として次の二つがある。
で、特定多数で利用する一つのネットワークに対して不
特定の他者からのアクセスを制限し、それら特定多数で
構成するグループ内で情報を共有すると同時に第三者へ
の情報漏洩を防止することが、ネットワークを利用する
際の重要な要求になってきている。このような要求を満
たす主な技術として次の二つがある。
【0003】その1は、特定の情報のみを通過させ、そ
れ以外の情報の通過を禁止するフィルタリング技術であ
る。例えば次のようなものがある。・パケットヘッダー
に含まれる送出元アドレス、宛先アドレス等のネットワ
ークレベルの情報を参照して選択するもの。・有害なW
WWページへのアクセスを禁止するためにURLによる
選択を行うような、アプリケーションレベルの識別子を
参照して情報を選択するもの。・電子メールサーバにお
けるウィルスチェックのように、情報本体を参照して情
報の選択を行うもの。
れ以外の情報の通過を禁止するフィルタリング技術であ
る。例えば次のようなものがある。・パケットヘッダー
に含まれる送出元アドレス、宛先アドレス等のネットワ
ークレベルの情報を参照して選択するもの。・有害なW
WWページへのアクセスを禁止するためにURLによる
選択を行うような、アプリケーションレベルの識別子を
参照して情報を選択するもの。・電子メールサーバにお
けるウィルスチェックのように、情報本体を参照して情
報の選択を行うもの。
【0004】また、その2は、論理ネットワークが利用
する物理的な線を不特定多数で利用しながら、その上を
流れる特定の情報に特定の識別子を付与するか又は特定
の鍵によって暗号化することにより、同一の物理的線上
にある複数の論理的ネットワーク間で特定の情報を排他
的に利用する技術である。例えば次のようなものがあ
る。
する物理的な線を不特定多数で利用しながら、その上を
流れる特定の情報に特定の識別子を付与するか又は特定
の鍵によって暗号化することにより、同一の物理的線上
にある複数の論理的ネットワーク間で特定の情報を排他
的に利用する技術である。例えば次のようなものがあ
る。
【0005】・ATM(非同期転送モード)では各セル
(情報の単位)のヘッダーにVPI/VCIの値を付与
し、ATMセルレベルでVC(論理チャネル)を分離す
る。ATMセルの中継ノードはこのVC毎にセルの経路
制御を行い、無関係の論理的線への情報の漏洩を防ぐ。
これにより、中継ノードの設定を変更することができな
ければ、第三者は情報を見ることができない。・IEE
E802.1Q VLAN(仮想LAN)におけるタグ付き
VLANでは、イーサネットフレームにVLANタグ値
を付与し、イーサネット(登録商標)フレームレベルで
論理チャネルを分離し、情報の漏洩を防ぐ。・IETF
で標準化が行われているMPLS(マルチプロトコルラ
ベルスイッチング)では、IPパケットの一部にラベル
を付与し、IPレベルで論理チャネルを分離し、情報の
漏洩を防ぐ。・IPSEC(IPセキュリティプロトコ
ル)ではIPパケットをESP(インキャプスレイティ
ングセキュリティペイロード)によって暗号化する。そ
のため、パケットが漏洩しても共有鍵を持たないホスト
は復号化できないので、情報の漏洩を防ぐことができ
る。即ち、共有鍵を保持しているホスト間で実質的に論
理チャネルを張っていることになる。
(情報の単位)のヘッダーにVPI/VCIの値を付与
し、ATMセルレベルでVC(論理チャネル)を分離す
る。ATMセルの中継ノードはこのVC毎にセルの経路
制御を行い、無関係の論理的線への情報の漏洩を防ぐ。
これにより、中継ノードの設定を変更することができな
ければ、第三者は情報を見ることができない。・IEE
E802.1Q VLAN(仮想LAN)におけるタグ付き
VLANでは、イーサネットフレームにVLANタグ値
を付与し、イーサネット(登録商標)フレームレベルで
論理チャネルを分離し、情報の漏洩を防ぐ。・IETF
で標準化が行われているMPLS(マルチプロトコルラ
ベルスイッチング)では、IPパケットの一部にラベル
を付与し、IPレベルで論理チャネルを分離し、情報の
漏洩を防ぐ。・IPSEC(IPセキュリティプロトコ
ル)ではIPパケットをESP(インキャプスレイティ
ングセキュリティペイロード)によって暗号化する。そ
のため、パケットが漏洩しても共有鍵を持たないホスト
は復号化できないので、情報の漏洩を防ぐことができ
る。即ち、共有鍵を保持しているホスト間で実質的に論
理チャネルを張っていることになる。
【0006】上記のその1及び2は相互補完的であり、
これらを組合せたサービスが考えられる。例えば、AT
Mの各VCに対して論理ネットワークを割当て、それぞ
れの論理ネットワークからのパケットに対してファイヤ
ウォールで利用されているパケットフィルタリングを適
用するというように、その2の技術で提供する論理ネッ
トワークに対して、その1の技術で提供するアクセス制
御を組合せることによって、より高いセキュリティを持
つサービスを提供することが可能になる。
これらを組合せたサービスが考えられる。例えば、AT
Mの各VCに対して論理ネットワークを割当て、それぞ
れの論理ネットワークからのパケットに対してファイヤ
ウォールで利用されているパケットフィルタリングを適
用するというように、その2の技術で提供する論理ネッ
トワークに対して、その1の技術で提供するアクセス制
御を組合せることによって、より高いセキュリティを持
つサービスを提供することが可能になる。
【0007】このようなサービスを提供する場合におい
ては、特に運用コストの観点から、一つの中継ノード上
で、異なる管理ポリシーを持つ複数の論理ネットワーク
に対して、それぞれの管理ポリシーに合致したフィルタ
リング技術を用いてサービスを提供するすることが望ま
れる。しかし、このようなサービスを既存のオペレーテ
ィングシステム上で行う場合、ユーザーのアクセス権限
を論理ネットワーク毎に設定することができず、物理的
ネットワークに対して設定することになる。更に、多様
なVPN(仮想閉域網)/VLAN技術を統一的に扱う
手法が存在せず、一つ一つのVPN/VLAN技術に対
して個別に対応せざるを得なかった。
ては、特に運用コストの観点から、一つの中継ノード上
で、異なる管理ポリシーを持つ複数の論理ネットワーク
に対して、それぞれの管理ポリシーに合致したフィルタ
リング技術を用いてサービスを提供するすることが望ま
れる。しかし、このようなサービスを既存のオペレーテ
ィングシステム上で行う場合、ユーザーのアクセス権限
を論理ネットワーク毎に設定することができず、物理的
ネットワークに対して設定することになる。更に、多様
なVPN(仮想閉域網)/VLAN技術を統一的に扱う
手法が存在せず、一つ一つのVPN/VLAN技術に対
して個別に対応せざるを得なかった。
【0008】
【発明が解決しようとする課題】本発明の目的は、上記
の問題点に鑑み、論理ネットワーク単位での制御を実現
し、複数のVPN/VLAN技術を統一的に扱うことを
可能にする方法及び装置を提供することにある。
の問題点に鑑み、論理ネットワーク単位での制御を実現
し、複数のVPN/VLAN技術を統一的に扱うことを
可能にする方法及び装置を提供することにある。
【0009】
【課題を解決するための手段】本発明の排他的論理ネッ
トワークアクセス制御方法は、論理ネットワークを抽象
化する仮想ネットワークインターフェースを提供するス
テップ、物理ネットワークインターフェースと仮想ネッ
トワークインターフェースと論理ネットワークとの対応
を決定するステップ、物理ネットワークインターフェー
スと仮想ネットワークインターフェースとに対応付けら
れたパケットのみを送受信するステップ、及び、仮想ネ
ットワークインターフェースと物理ネットワークインタ
ーフェースとの間でやり取りされるパケットを制御する
ステップを含むことを特徴とする。
トワークアクセス制御方法は、論理ネットワークを抽象
化する仮想ネットワークインターフェースを提供するス
テップ、物理ネットワークインターフェースと仮想ネッ
トワークインターフェースと論理ネットワークとの対応
を決定するステップ、物理ネットワークインターフェー
スと仮想ネットワークインターフェースとに対応付けら
れたパケットのみを送受信するステップ、及び、仮想ネ
ットワークインターフェースと物理ネットワークインタ
ーフェースとの間でやり取りされるパケットを制御する
ステップを含むことを特徴とする。
【0010】また、本発明の排他的論理ネットワークア
クセス制御装置は、論理ネットワークを抽象化する仮想
ネットワークインターフェースを提供する手段、物理ネ
ットワークインターフェースと仮想ネットワークインタ
ーフェースと論理ネットワークとの対応を決定する手
段、物理ネットワークインターフェースと仮想ネットワ
ークインターフェースとに対応付けられたパケットのみ
を送受信する手段、及び、仮想ネットワークインターフ
ェースと物理ネットワークインターフェースとの間でや
り取りされるパケットを制御する手段を具えることを特
徴とする。
クセス制御装置は、論理ネットワークを抽象化する仮想
ネットワークインターフェースを提供する手段、物理ネ
ットワークインターフェースと仮想ネットワークインタ
ーフェースと論理ネットワークとの対応を決定する手
段、物理ネットワークインターフェースと仮想ネットワ
ークインターフェースとに対応付けられたパケットのみ
を送受信する手段、及び、仮想ネットワークインターフ
ェースと物理ネットワークインターフェースとの間でや
り取りされるパケットを制御する手段を具えることを特
徴とする。
【0011】このような本発明においては、ネットワー
ク中継ノードは、複数の物理ネットワークインターフェ
ースを持ち、それらを用いて複数のネットワークに接続
されている。中継ノード内ではVPN/VLAN技術を
用いて論理チャネル(例えばATMの場合はVC、IP
SECの場合はSAのような仮想的な通信チャネル)が
提供されており、これらの論理チャネルの集合が論理ネ
ットワークを構成している。論理ネットワークは、中継
ノード上では物理ネットワークインターフェース又はV
PN/VLAN技術に依存する論理チャネルの識別子に
よって識別される。
ク中継ノードは、複数の物理ネットワークインターフェ
ースを持ち、それらを用いて複数のネットワークに接続
されている。中継ノード内ではVPN/VLAN技術を
用いて論理チャネル(例えばATMの場合はVC、IP
SECの場合はSAのような仮想的な通信チャネル)が
提供されており、これらの論理チャネルの集合が論理ネ
ットワークを構成している。論理ネットワークは、中継
ノード上では物理ネットワークインターフェース又はV
PN/VLAN技術に依存する論理チャネルの識別子に
よって識別される。
【0012】次に、論理ネットワーク即ち論理チャネル
の集合を抽象化するために仮想ネットワークインターフ
ェース層を中継ノード内に設ける。論理ネットワーク一
つに対して一つの仮想ネットワークインターフェースを
設ける。一つの論理チャネルの情報には、同一の物理ネ
ットワークインターフェース内で一意となる識別子を一
つ割当て、物理ネットワークインターフェースは、論理
チャネルの情報とその識別子とのマッピング情報を保持
する。仮想ネットワークインターフェースは、仮想ネッ
トワークと物理ネットワークインターフェースと物理ネ
ットワークインターフェースが持つ論理チャネルの識別
子とのマッピング情報を保持する。
の集合を抽象化するために仮想ネットワークインターフ
ェース層を中継ノード内に設ける。論理ネットワーク一
つに対して一つの仮想ネットワークインターフェースを
設ける。一つの論理チャネルの情報には、同一の物理ネ
ットワークインターフェース内で一意となる識別子を一
つ割当て、物理ネットワークインターフェースは、論理
チャネルの情報とその識別子とのマッピング情報を保持
する。仮想ネットワークインターフェースは、仮想ネッ
トワークと物理ネットワークインターフェースと物理ネ
ットワークインターフェースが持つ論理チャネルの識別
子とのマッピング情報を保持する。
【0013】論理ネットワークを構成する際、それに対
応する仮想ネットワークインターフェースを作成し、各
種マッピング情報を設定する。仮想ネットワークインタ
ーフェースは、物理ネットワークインターフェースから
対応する論理ネットワークのパケットだけを送受信し、
受け取ったパケットに対してのみ仮想ネットワークイン
ターフェースに対するアクセス制御を実施する。それ
故、この仮想インターフェースを制御することによって
論理ネットワークに対して制御を行うことができ、更
に、その仮想インターフェースにマッピングされている
物理インターフェース内の論理チャネルを統一的に扱う
ことができる。
応する仮想ネットワークインターフェースを作成し、各
種マッピング情報を設定する。仮想ネットワークインタ
ーフェースは、物理ネットワークインターフェースから
対応する論理ネットワークのパケットだけを送受信し、
受け取ったパケットに対してのみ仮想ネットワークイン
ターフェースに対するアクセス制御を実施する。それ
故、この仮想インターフェースを制御することによって
論理ネットワークに対して制御を行うことができ、更
に、その仮想インターフェースにマッピングされている
物理インターフェース内の論理チャネルを統一的に扱う
ことができる。
【0014】
【発明の実施の形態】次に本発明の実施例を説明する。
図2は本発明によるシステムソフトウェアの構成例を示
す図である。システムソフトウェア100の構成要素とし
て、各ネットワークインターフェースの機能を実現する
物理ネットワークインターフェース、VPN/VLAN
の実装(論理ネットワーク)を抽象化する仮想ネットワ
ークインターフェース、物理ネットワークインターフェ
ースと仮想ネットワークインターフェースとVP値との
結び付きを規定するマッピングテーブル10、及び、アク
セス制御を行うアクセス制御処理部11を具える。物理ネ
ットワークインターフェース及び仮想ネットワークイン
ターフェースは図示していないCPU、メモリー等を含
み、マッピングテーブル10は図示していないメモリー等
を含み、アクセス制御処理部11は図示していないCPU
等を含む。
図2は本発明によるシステムソフトウェアの構成例を示
す図である。システムソフトウェア100の構成要素とし
て、各ネットワークインターフェースの機能を実現する
物理ネットワークインターフェース、VPN/VLAN
の実装(論理ネットワーク)を抽象化する仮想ネットワ
ークインターフェース、物理ネットワークインターフェ
ースと仮想ネットワークインターフェースとVP値との
結び付きを規定するマッピングテーブル10、及び、アク
セス制御を行うアクセス制御処理部11を具える。物理ネ
ットワークインターフェース及び仮想ネットワークイン
ターフェースは図示していないCPU、メモリー等を含
み、マッピングテーブル10は図示していないメモリー等
を含み、アクセス制御処理部11は図示していないCPU
等を含む。
【0015】RNIは、内部に、各物理ネットワークイ
ンターフェース内で一意となる識別子VP値と使用され
るVPN/VLAN技術によって規定される識別子との
対応テーブルを具える。マッピングテーブル10には、物
理ネットワークインターフェースと仮想ネットワークイ
ンターフェースとVP値との対応関係が保持されてい
る。即ち、システムソフトウェア100は、排他的論理ネ
ットワークアクセス制御装置である。
ンターフェース内で一意となる識別子VP値と使用され
るVPN/VLAN技術によって規定される識別子との
対応テーブルを具える。マッピングテーブル10には、物
理ネットワークインターフェースと仮想ネットワークイ
ンターフェースとVP値との対応関係が保持されてい
る。即ち、システムソフトウェア100は、排他的論理ネ
ットワークアクセス制御装置である。
【0016】図3は上記の実施例の動作を示すフローチ
ャートを示す。先ず、物理ネットワークインターフェー
スRNI1及びRNI2に対して、利用する論理ネット
ワーク毎に論理チャネル及びVP値を設定する(ステッ
プS11)。次に、利用したい論理ネットワークの分だけ
仮想ネットワークインターフェースを作成し(ステップ
S12)、マッピングテーブル10に物理ネットワークイン
ターフェースと仮想ネットワークインターフェースとV
P値とを設定する(ステップS13)。更に、アクセス制
御処理部11に、仮想ネットワークインターフェースに対
して行いたいアクセス制御ルールを設定する(ステップ
S14)。
ャートを示す。先ず、物理ネットワークインターフェー
スRNI1及びRNI2に対して、利用する論理ネット
ワーク毎に論理チャネル及びVP値を設定する(ステッ
プS11)。次に、利用したい論理ネットワークの分だけ
仮想ネットワークインターフェースを作成し(ステップ
S12)、マッピングテーブル10に物理ネットワークイン
ターフェースと仮想ネットワークインターフェースとV
P値とを設定する(ステップS13)。更に、アクセス制
御処理部11に、仮想ネットワークインターフェースに対
して行いたいアクセス制御ルールを設定する(ステップ
S14)。
【0017】システムソフトウェア100は、物理ネット
ワークインターフェースRNI1又はRNI2がパケッ
トを受け取ると(ステップS15)、マッピングテーブル
10の情報に従って適切な仮想ネットワークインターフェ
ースVNI1、VNI2又はVNI3にパケットを渡す
(ステップS16)。仮想ネットワークインターフェース
VNI1、VNI2及びVNI3では、物理ネットワー
クインターフェースRNI1又はRNI2から受け取っ
たパケットに対し、アクセス制御処理部11が個々の仮想
ネットワークインターフェース用に指示されたアクセス
制御ルールに基づいてパケットを処理する(ステップS
17)。その後、仮想ネットワークインターフェースVN
I1、VNI2及びVNI3は、アクセス制御の結果に
従い、物理ネットワークインターフェースRNI1及び
RNI2から受け取ったパケットを、マッピングテーブ
ル10の情報に基づいて適切な物理ネットワークインター
フェースRNI1又はRNI2に渡す(ステップS1
8)。これら一連の処理を終了した後、システムソフト
ウェア100は通常の処理を行うことができる(ステップ
S19)。
ワークインターフェースRNI1又はRNI2がパケッ
トを受け取ると(ステップS15)、マッピングテーブル
10の情報に従って適切な仮想ネットワークインターフェ
ースVNI1、VNI2又はVNI3にパケットを渡す
(ステップS16)。仮想ネットワークインターフェース
VNI1、VNI2及びVNI3では、物理ネットワー
クインターフェースRNI1又はRNI2から受け取っ
たパケットに対し、アクセス制御処理部11が個々の仮想
ネットワークインターフェース用に指示されたアクセス
制御ルールに基づいてパケットを処理する(ステップS
17)。その後、仮想ネットワークインターフェースVN
I1、VNI2及びVNI3は、アクセス制御の結果に
従い、物理ネットワークインターフェースRNI1及び
RNI2から受け取ったパケットを、マッピングテーブ
ル10の情報に基づいて適切な物理ネットワークインター
フェースRNI1又はRNI2に渡す(ステップS1
8)。これら一連の処理を終了した後、システムソフト
ウェア100は通常の処理を行うことができる(ステップ
S19)。
【0018】図4は上記実施例の処理のタイムチャート
である。システムソフトウェア100において、物理ネッ
トワークインターフェースRNI1及びRNI2に対し
て論理チャネル及びVP値を設定する。次に、仮想ネッ
トワークインターフェースを作成し、既に設定した論理
チャネル及びVP値の情報に基づいて仮想ネットワーク
インターフェースとの対応付けを行い、マッピングテー
ブル10に書込む。
である。システムソフトウェア100において、物理ネッ
トワークインターフェースRNI1及びRNI2に対し
て論理チャネル及びVP値を設定する。次に、仮想ネッ
トワークインターフェースを作成し、既に設定した論理
チャネル及びVP値の情報に基づいて仮想ネットワーク
インターフェースとの対応付けを行い、マッピングテー
ブル10に書込む。
【0019】各論理ネットワーク毎のアクセス制御ルー
ルとそれに対応する仮想ネットワークインターフェース
名をアクセス制御処理部11に対して設定する。物理ネッ
トワークインターフェースRNI1及びRNI2は、パ
ケットを受け取った後、マッピングテーブル10を参照
し、受け取ったパケットを適切な仮想ネットワークイン
ターフェースVNI1、VNI2又はVNI3に渡す。
アクセス制御処理部11は、仮想ネットワークインターフ
ェースVNI1、VNI2及びVNI3が持つパケット
に対して、既に設定されているアクセス制御ルールに基
づいてアクセス制御を行う。
ルとそれに対応する仮想ネットワークインターフェース
名をアクセス制御処理部11に対して設定する。物理ネッ
トワークインターフェースRNI1及びRNI2は、パ
ケットを受け取った後、マッピングテーブル10を参照
し、受け取ったパケットを適切な仮想ネットワークイン
ターフェースVNI1、VNI2又はVNI3に渡す。
アクセス制御処理部11は、仮想ネットワークインターフ
ェースVNI1、VNI2及びVNI3が持つパケット
に対して、既に設定されているアクセス制御ルールに基
づいてアクセス制御を行う。
【0020】アクセス制御処理が終了した後、送信すべ
きパケットは仮想ネットワークインターフェースVNI
1、VNI2及びVNI3から物理ネットワークインタ
ーフェースRNI1及びRNI2に渡される。物理ネッ
トワークインターフェースRNI1及びRNI2は、仮
想ネットワークインターフェースVNI1、VNI2及
びVNI3から受け取ったパケットをネットワーク上に
転送する。
きパケットは仮想ネットワークインターフェースVNI
1、VNI2及びVNI3から物理ネットワークインタ
ーフェースRNI1及びRNI2に渡される。物理ネッ
トワークインターフェースRNI1及びRNI2は、仮
想ネットワークインターフェースVNI1、VNI2及
びVNI3から受け取ったパケットをネットワーク上に
転送する。
【0021】
【発明の効果】上記のように、本発明によれば、複数の
論理ネットワークを収容するネットワーク中継ノードに
おいて、その中継ノードを利用する複数の論理ネットワ
ークに対してそれぞれ排他的な制御が可能になる。
論理ネットワークを収容するネットワーク中継ノードに
おいて、その中継ノードを利用する複数の論理ネットワ
ークに対してそれぞれ排他的な制御が可能になる。
【図1】 通信網の構成例を示す図である。
【図2】 本発明によるシステムソフトウェアの構成例
を示す図である。
を示す図である。
【図3】 本発明の実施例の動作を示すフローチャート
を示す。
を示す。
【図4】 本発明の実施例の処理のタイムチャートであ
る。
る。
10 マッピングテーブル 11 アクセス制御処理部 100 システムソフトウェア RNI 物理ネットワークインターフェース VNI 仮想ネットワークインターフェース
Claims (2)
- 【請求項1】 ネットワーク中継ノードにおける排他的
論理ネットワークアクセス制御方法において、論理ネッ
トワークを抽象化する仮想ネットワークインターフェー
スを提供するステップ、物理ネットワークインターフェ
ースと仮想ネットワークインターフェースと論理ネット
ワークとの対応を決定するステップ、物理ネットワーク
インターフェースと仮想ネットワークインターフェース
とに対応付けられたパケットのみを送受信するステッ
プ、及び、仮想ネットワークインターフェースと物理ネ
ットワークインターフェースとの間でやり取りされるパ
ケットを制御するステップを含むことを特徴とする排他
的論理ネットワークアクセス制御方法。 - 【請求項2】 ネットワーク中継ノードにおける排他的
論理ネットワークアクセス制御装置において、論理ネッ
トワークを抽象化する仮想ネットワークインターフェー
スを提供する手段、物理ネットワークインターフェース
と仮想ネットワークインターフェースと論理ネットワー
クとの対応を決定する手段、物理ネットワークインター
フェースと仮想ネットワークインターフェースとに対応
付けられたパケットのみを送受信する手段、及び、仮想
ネットワークインターフェースと物理ネットワークイン
ターフェースとの間でやり取りされるパケットを制御す
る手段を具えることを特徴とする排他的論理ネットワー
クアクセス制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000132093A JP2001313663A (ja) | 2000-05-01 | 2000-05-01 | 排他的論理ネットワークアクセス制御方法及び装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000132093A JP2001313663A (ja) | 2000-05-01 | 2000-05-01 | 排他的論理ネットワークアクセス制御方法及び装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001313663A true JP2001313663A (ja) | 2001-11-09 |
Family
ID=18640859
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000132093A Pending JP2001313663A (ja) | 2000-05-01 | 2000-05-01 | 排他的論理ネットワークアクセス制御方法及び装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001313663A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003098880A1 (fr) * | 2002-05-20 | 2003-11-27 | Fujitsu Limited | Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau |
| JP2006339927A (ja) * | 2005-06-01 | 2006-12-14 | Nec Commun Syst Ltd | ルーティング装置及びそれに用いるルーティング方法並びにそのプログラム |
| JP2009506617A (ja) * | 2005-08-23 | 2009-02-12 | ネトロノーム システムズ インク | セキュア伝送情報を処理するシステムおよび方法 |
| JP2011239452A (ja) * | 2003-03-06 | 2011-11-24 | Microsoft Corp | 仮想ネットワーク・トポロジの生成 |
| US8489728B2 (en) | 2005-04-15 | 2013-07-16 | Microsoft Corporation | Model-based system monitoring |
| JP2015128325A (ja) * | 2015-03-05 | 2015-07-09 | 株式会社日立製作所 | 仮想ネットワーク管理サーバ及びエッジルータ |
| JP2021168483A (ja) * | 2009-04-01 | 2021-10-21 | ニシラ, インコーポレイテッド | 仮想スイッチを実現し且つ管理する方法及び装置 |
-
2000
- 2000-05-01 JP JP2000132093A patent/JP2001313663A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003098880A1 (fr) * | 2002-05-20 | 2003-11-27 | Fujitsu Limited | Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau |
| US7450584B2 (en) | 2002-05-20 | 2008-11-11 | Fujitsu Limited | Network repeater apparatus, network repeater method and network repeater program |
| JP2011239452A (ja) * | 2003-03-06 | 2011-11-24 | Microsoft Corp | 仮想ネットワーク・トポロジの生成 |
| US8489728B2 (en) | 2005-04-15 | 2013-07-16 | Microsoft Corporation | Model-based system monitoring |
| JP2006339927A (ja) * | 2005-06-01 | 2006-12-14 | Nec Commun Syst Ltd | ルーティング装置及びそれに用いるルーティング方法並びにそのプログラム |
| JP2009506617A (ja) * | 2005-08-23 | 2009-02-12 | ネトロノーム システムズ インク | セキュア伝送情報を処理するシステムおよび方法 |
| JP2021168483A (ja) * | 2009-04-01 | 2021-10-21 | ニシラ, インコーポレイテッド | 仮想スイッチを実現し且つ管理する方法及び装置 |
| JP7228315B2 (ja) | 2009-04-01 | 2023-02-24 | ニシラ, インコーポレイテッド | 仮想ネットワークを実装する方法、媒体、コンピュータプログラム、コンピューティングデバイス |
| JP7483074B2 (ja) | 2009-04-01 | 2024-05-14 | ニシラ, インコーポレイテッド | 仮想スイッチを実現し且つ管理する方法及び装置 |
| JP2015128325A (ja) * | 2015-03-05 | 2015-07-09 | 株式会社日立製作所 | 仮想ネットワーク管理サーバ及びエッジルータ |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2595357B1 (en) | Method performed in a network device and system for packet handling | |
| US6167052A (en) | Establishing connectivity in networks | |
| US7486674B2 (en) | Data mirroring in a service | |
| US7031297B1 (en) | Policy enforcement switching | |
| EP1408656B1 (en) | Method and device for transparent LAN services | |
| AU2002327757A1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device | |
| US7869442B1 (en) | Method and apparatus for specifying IP termination in a network element | |
| EP3138243A1 (en) | Network service insertion | |
| US7643496B1 (en) | Application specified steering policy implementation | |
| US20030210696A1 (en) | System and method for routing across segments of a network switch | |
| JP2001249866A (ja) | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード | |
| CN114244626A (zh) | 一种基于MACSec网络的报文处理方法和装置 | |
| JP2001313663A (ja) | 排他的論理ネットワークアクセス制御方法及び装置 | |
| US7680115B2 (en) | Internet protocol based encryptor/decryptor bypass device | |
| US7840712B2 (en) | Hybrid internet protocol encryptor/decryptor bypass device | |
| WO2004114605A1 (fr) | Procede d'isolation securise de services de reseau ethernet | |
| JP2005057693A (ja) | ネットワーク仮想化システム | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuration Guide Master Index Cisco IOS Release 11.3 | |
| Cisco | Catalyst 6000 and Cisco 7600 Supervisor Engine and MSFC - Cisco IOS Release 12.2(9)YO | |
| Cisco | Configuring Interface Characteristics | |
| JP2004088658A (ja) | パケット転送装置及びパケット処理方法 | |
| RU2319313C2 (ru) | Способ реализации защитного изолирования сервисов сети ethernet | |
| Gross et al. | RFC 8926: Geneve: Generic Network Virtualization Encapsulation | |
| WO2008074368A1 (en) | Processing of unicast ethernet frames |