JP2005136739A - Data relay method, data relay device and data relay system - Google Patents

Data relay method, data relay device and data relay system Download PDF

Info

Publication number
JP2005136739A
JP2005136739A JP2003371157A JP2003371157A JP2005136739A JP 2005136739 A JP2005136739 A JP 2005136739A JP 2003371157 A JP2003371157 A JP 2003371157A JP 2003371157 A JP2003371157 A JP 2003371157A JP 2005136739 A JP2005136739 A JP 2005136739A
Authority
JP
Japan
Prior art keywords
data relay
path
data
logical
logical path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003371157A
Other languages
Japanese (ja)
Inventor
Shuichi Saito
秀一 斉藤
Shinichi Taguchi
信一 田口
Michiaki Saito
道明 斎藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Furukawa Electric Co Ltd
Original Assignee
Furukawa Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Furukawa Electric Co Ltd filed Critical Furukawa Electric Co Ltd
Priority to JP2003371157A priority Critical patent/JP2005136739A/en
Publication of JP2005136739A publication Critical patent/JP2005136739A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To improve the relay performance of data relay, by executing data relay by using the other logical path, even if communication using one logical path is disconnected due to any failure. <P>SOLUTION: A predetermined SA is decided from among a plurality of SAs established in a backbone network 10 based on preset selector information, and the data relay of a data frame is executed between an IPsec device 20 at a center side and IPsec devices 31 to 34 of the other party, by using the decided SA. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、たとえばVPN(Virtual Private Network)などの仮想ネットワークによって構築されるバックボーンネットワークと特定ユーザのネットワーク間に論理的パスを確立して、データ中継を行うデータ中継方法、データ中継装置、データ中継システムに関するものである。   The present invention relates to a data relay method, a data relay device, and a data relay that perform data relay by establishing a logical path between a backbone network constructed by a virtual network such as VPN (Virtual Private Network) and a network of a specific user. It is about the system.

従来のVPNでは、TCP/IP(Transmission Control Protocol/Internet Protocol)にセキュリティ機能を付加するIPsec(IP security protocol)を用いて、IP層での通信におけるセキュリティを確保するものがある。   Some conventional VPNs use IPsec (IP security protocol), which adds a security function to TCP / IP (Transmission Control Protocol / Internet Protocol), to ensure security in communication at the IP layer.

このIPsecを用いてデータ中継を行うためには、仮想ネットワーク上に設けた少なくとも2台のIPsecを用いたデータ中継装置(以下、「IPsec装置」という)間で、TCP/IPで通信できる環境条件が必要であり、このIPsec装置間で論理的パスを確立し、特定のネットワークから取り込んだデータを暗号化して、相手のIPsec装置と通信していた。このようなデータ中継では、IPsec装置がお互いに1対1で論理的パスを確立するので、データを複数経路に割り振る負荷分散を行うことには適していなかった。   In order to perform data relay using this IPsec, an environmental condition in which communication using TCP / IP is possible between at least two IPsec data relay devices (hereinafter referred to as “IPsec devices”) provided on the virtual network. Therefore, a logical path is established between the IPsec devices, data captured from a specific network is encrypted, and communication is performed with the other IPsec device. In such a data relay, since IPsec apparatuses establish a logical path on a one-to-one basis, it is not suitable for load distribution in which data is allocated to a plurality of paths.

ところが、近年のインターネットVPN環境下では、たとえば特許文献1に示すように、センター側のIPsec装置が2本の回線リソース(異なるインターフェース)を有し、それぞれのインターフェースにIPアドレス(グローバルアドレス)を割り当てて、このインターフェースごとに相手の特定ネットワーク(拠点)に接続されているIPsec装置と論理的パスを確立して、データ中継を行うものが用いられるようになってきた。   However, under the recent Internet VPN environment, for example, as shown in Patent Document 1, the IPsec device on the center side has two line resources (different interfaces), and an IP address (global address) is assigned to each interface. For this reason, a device that establishes a logical path with an IPsec device connected to a specific network (base) of each other for each interface and relays data has been used.

特開平8−321845号公報JP-A-8-321845

しかしながら、このIPsec装置では、たとえば一方の論理的パスが確立された物理回線に障害が発生した際には、その回線に接続された拠点との通信が途絶えることとなる場合があり、データ中継の中継性能が劣化するという問題があった。   However, in this IPsec device, for example, when a failure occurs in a physical line in which one logical path is established, communication with a base connected to that line may be interrupted, and data relay There was a problem that the relay performance deteriorated.

本発明は、上記問題に鑑みてなされたものであって、一方の論理的パスを用いた通信が、たとえば障害などによって途絶えた場合でも、他方の論理的パスを使用してデータ中継を行うことで、データ中継の中継性能を向上させることができるデータ中継方法、データ中継装置およびデータ中継システムを提供することを目的とする。   The present invention has been made in view of the above problems, and even when communication using one logical path is interrupted due to a failure, for example, data relay is performed using the other logical path. An object of the present invention is to provide a data relay method, a data relay device, and a data relay system that can improve the relay performance of data relay.

上述した課題を解決し、目的を達成するために、本発明にかかるデータ中継方法は、仮想ネットワークによって構築されるバックボーンネットワークに設けられたデータ中継装置を介して、特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継方法において、前記特定ユーザのネットワーク間で複数の論理的パスを確立するパス確立工程と、予め設定された選択情報に基づいて、前記論理的パスのうちから、前記データ中継を行うための論理的パスを決定するパス決定工程と、前記決定された論理的パスを用いてデータ中継を行うデータ中継工程と、を含むことを特徴とする。   In order to solve the above-described problems and achieve the object, the data relay method according to the present invention is a data relay between networks of a specific user via a data relay device provided in a backbone network constructed by a virtual network. In a data relay method for establishing a logical path for data relay and performing data relay, a path establishing step for establishing a plurality of logical paths between the networks of the specific user, and based on selection information set in advance, A path determination step for determining a logical path for performing the data relay from among logical paths, and a data relay step for performing data relay using the determined logical path, To do.

また、請求項2にかかるデータ中継方法は、上記発明において、前記設定された選択情報に基づいて、前記論理的パスの状態を管理する管理工程を、さらに含み、前記パス決定工程では、前記論理的パスの状態に基づいて、論理的パスを決定することを特徴とする。   The data relay method according to claim 2 further includes a management step of managing the state of the logical path based on the set selection information in the invention, wherein in the path determination step, The logical path is determined based on the state of the physical path.

また、請求項3にかかるデータ中継方法は、上記発明において、前記設定された選択情報を通知する通知工程を、さらに含み、前記データ中継工程では、前記通知に応じて送信されるデータを、前記決定された論理的パスを用いてデータ中継することを特徴とする。   In addition, the data relay method according to claim 3 further includes a notification step of notifying the set selection information in the above invention, wherein the data relay step includes transmitting data transmitted in response to the notification Data relay is performed using the determined logical path.

また、請求項4にかかるデータ中継装置は、仮想ネットワークによって構築されるバックボーンネットワークに設けられるとともに、特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継装置において、前記特定ユーザのネットワーク間で複数の論理的パスを確立するパス確立手段と、予め設定された選択情報を記憶する記憶手段と、前記記憶された選択情報に基づいて、前記論理的パスのうちから、前記データ中継を行うための論理的パスを決定するパス決定手段と、前記決定された論理的パスを用いてデータ中継を行うデータ中継手段と、を備えたことを特徴とする。   The data relay apparatus according to claim 4 is provided in a backbone network constructed by a virtual network, and establishes a logical path for data relay between networks of specific users to perform data relay The path establishment means for establishing a plurality of logical paths between the networks of the specific user, storage means for storing preset selection information, and based on the stored selection information, Among them, the apparatus includes a path determination unit that determines a logical path for performing the data relay, and a data relay unit that performs data relay using the determined logical path.

また、請求項5にかかるデータ中継装置は、仮想ネットワークによって構築されるバックボーンネットワークに設けられるとともに、特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継装置において、前記特定ユーザのネットワーク間で前記論理的パスを確立するパス確立手段と、同一ネットワーク内の他のデータ中継装置が確立する論理的パスと、前記パス確立手段が確立する論理的パスの予め設定された優先順位の情報を記憶する記憶手段と、前記記憶された優先順位の情報に基づいて、データ中継を行うデータ中継手段と、を備えたことを特徴とする。   The data relay device according to claim 5 is provided in a backbone network constructed by a virtual network, and establishes a logical path for data relay between networks of specific users and performs data relay The path establishment means for establishing the logical path between the networks of the specific user, the logical path established by another data relay device in the same network, and the logical path established by the path establishment means in advance It is characterized by comprising storage means for storing information on the set priority order and data relay means for performing data relay based on the stored priority order information.

また、請求項6にかかるデータ中継装置は、仮想ネットワークによって構築されるバックボーンネットワークに設けられるとともに、特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継装置において、前記特定ユーザのネットワーク間で複数の前記論理的パスを確立するパス確立手段と、同一ネットワーク内の他のデータ中継装置が確立する論理的パスと、前記パス確立手段が確立する論理的パスの予め設定された優先順位の情報を記憶する記憶手段と、前記記憶された優先順位の情報に基づいて、前記論理的パスのうちから、前記データ中継を行うための論理的パスを決定するパス決定手段と、前記決定された論理的パスを用いてデータ中継を行うデータ中継手段と、を備えたことを特徴とする。   The data relay device according to claim 6 is provided in a backbone network constructed by a virtual network, and establishes a logical path for data relay between networks of specific users and performs data relay A path establishing means for establishing a plurality of the logical paths between the networks of the specific user, a logical path established by another data relay apparatus in the same network, and a logical path established by the path establishing means Storage means for storing information on preset priorities, and a path for determining a logical path for performing the data relaying from the logical paths based on the stored priority information And a data relay means for relaying data using the determined logical path. That.

また、請求項7にかかるデータ中継装置は、上記発明において、前記予め設定された優先順位の情報を、前記特定ユーザのネットワークに通知する通知手段を、さらに備えたことを特徴とする。   According to a seventh aspect of the present invention, in the above invention, the data relay device further comprises notification means for notifying the predetermined user's network of the information on the priority order set in advance.

また、請求項8にかかるデータ中継システムは、仮想ネットワークによって構築されるバックボーンネットワークと特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継システムにおいて、前記バックボーンネットワークに請求項4〜7のいずれか一つに記載のデータ中継装置を、備え、予め設定された所定情報に基づいて、データ中継を行うための論理的パスを決定することを特徴とする。   The data relay system according to claim 8 is a data relay system that performs data relay by establishing a logical path for data relay between a backbone network constructed by a virtual network and a network of a specific user. A data relay apparatus according to any one of claims 4 to 7 is provided in a network, and a logical path for performing data relay is determined based on predetermined information set in advance.

本発明にかかるデータ中継方法は、予め設定された選択情報に基づいて、複数の論理的パスの中から論理的パスを決定し、この論理的パスを用いてデータ中継を行うので、一方の論理的パスを用いた通信が、たとえば障害などによって途絶えた場合でも、他方の論理的パスを使用してデータ中継を行うことで、データ中継の中継性能を向上させることができるという効果を奏する。   In the data relay method according to the present invention, a logical path is determined from a plurality of logical paths based on selection information set in advance, and data relay is performed using this logical path. Even if communication using the target path is interrupted due to a failure, for example, data relay is performed using the other logical path, so that the relay performance of data relay can be improved.

本発明にかかるデータ中継装置は、記憶手段に予め設定されて記憶された選択情報に基づいて、パス決定手段が論理的パスを決定し、データ中継手段がこの論理的パスを使用してデータ中継を行うので、一方の論理的パスを用いた通信が、たとえば障害などによって途絶えた場合でも、他方の論理的パスを使用してデータ中継を行うことで、データ中継の中継性能を向上させることができるという効果を奏する。   In the data relay device according to the present invention, the path determination unit determines a logical path based on the selection information preset and stored in the storage unit, and the data relay unit uses this logical path to perform data relay. Therefore, even if communication using one logical path is interrupted due to a failure, for example, data relay using the other logical path can improve the relay performance of data relay. There is an effect that can be done.

本発明にかかるデータ中継システムは、請求項4〜7のいずれか一つに記載のデータ中継装置を備え、予め設定された所定情報に基づいて、論理的パスを決定し、この論理的パスを用いてデータ中継を行うので、一方の論理的パスを用いた通信が、たとえば障害などによって途絶えた場合でも、他方の論理的パスを使用してデータ中継を行うことで、データ中継の中継性能を向上させることができるという効果を奏する。   A data relay system according to the present invention includes the data relay device according to any one of claims 4 to 7, determines a logical path based on predetermined information set in advance, and determines the logical path. Therefore, even if communication using one logical path is interrupted due to a failure, for example, data relay is performed using the other logical path. There is an effect that it can be improved.

以下に、本発明にかかるデータ中継方法、データ中継装置およびデータ中継システムの実施の形態を図1〜図19の図面に基づいて詳細に説明する。なお、本発明は、これらの実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲で種々の変更実施の形態が可能である。   Embodiments of a data relay method, a data relay device, and a data relay system according to the present invention will be described below in detail with reference to the drawings of FIGS. The present invention is not limited to these embodiments, and various modifications can be made without departing from the scope of the present invention.

(実施の形態1)
図1は、本発明にかかるデータ中継システムの実施の形態1の構成を示すシステム構成図である。図において、インターネットなどのバックボーンネットワーク10には、本発明にかかるセンター側のIPsec装置20と、各特定ネットワーク(この実施の形態では、A〜D拠点側の各ネットワーク)に接続されるIPsec装置31〜34がそれぞれ接続されている。このシステムでは、センター側と拠点側で、IPsecの論理的パス(以下、「SA」という。SA:Security Association)を、複数確立してセンター側と拠点側との間でのデータ中継を可能にしている。 (Embodiment 1)
FIG. 1 is a system configuration diagram showing the configuration of the data relay system according to the first embodiment of the present invention. In the figure, a backbone network 10 such as the Internet includes a center side IPsec apparatus 20 according to the present invention and an IPsec apparatus 31 connected to each specific network (each network on the A to D base side in this embodiment). To 34 are respectively connected. In this system, a plurality of IPsec logical paths (hereinafter referred to as “SA”; SA: Security Association) are established between the center side and the site side to enable data relay between the center side and the site side. ing.

すなわち、この実施の形態では、IPsec装置20は、2つのインターフェースを有し、それぞれにIPアドレス(グローバルアドレス)“#1”、“#2”が割り当てられている。そして、この実施の形態では、IPsec装置20が、A〜D拠点側の各ネットワークに対して、IPアドレス“#1”にも、“#2”にもSAを確立させておく。ただし、このSAを確立させただけでは、上述の背景技術に示したように、TCP/IPの通信においては、一方の通信しか有効にならないので、負荷分散を機能させることはできない。   In other words, in this embodiment, the IPsec apparatus 20 has two interfaces, and IP addresses (global addresses) “# 1” and “# 2” are assigned to the two interfaces, respectively. In this embodiment, the IPsec apparatus 20 establishes SAs for both the IP addresses “# 1” and “# 2” for each of the networks at the A to D bases. However, only by establishing this SA, as shown in the background art described above, only one communication is effective in TCP / IP communication, and load distribution cannot be functioned.

そこで、この実施の形態では、このIPsecの負荷分散を機能させるために、通常のTCP/IPの経路情報とは別に、IPsec装置20の内部にIPsec負荷分散用の後述するセレクタ情報テーブルに負荷分散フラグ情報を新たに備える。そして、この実施の形態では、データを中継する際に、このセレクタ情報テーブルに予め設定、記憶されている選択情報であるセレクタ情報に基づいて、送信の宛先を切り換えて、データの中継制御を行う。   Therefore, in this embodiment, in order to make this IPsec load distribution function, load distribution is performed in a selector information table (to be described later) for IPsec load distribution in the IPsec apparatus 20 separately from the normal TCP / IP route information. Flag information is newly provided. In this embodiment, when data is relayed, the transmission destination is switched based on selector information that is selection information that is preset and stored in the selector information table to perform data relay control. .

図2は、図1に示したセンター側のIPsec装置20の構成を示す構成図である。この図において、IPsec装置20は、従来のIPsec装置が通常備える、経路情報管理テーブル21、経路検索部22、中継経路決定部23、IPsec処理部24、フレーム中継処理部25を備えるとともに、予め設定されたセレクタ情報を記憶するセレクタ情報テーブル26と、SAの確立または未確立の状態を記憶するSA状態管理テーブル27と、SAの状態を管理するSA管理部28と、SAの状態に基づいて、宛先ごとの負荷分散処理を行う負荷分散処理部29とを備える。   FIG. 2 is a configuration diagram showing the configuration of the center side IPsec apparatus 20 shown in FIG. In this figure, the IPsec device 20 includes a route information management table 21, a route search unit 22, a relay route determination unit 23, an IPsec processing unit 24, and a frame relay processing unit 25 that are normally provided in a conventional IPsec device, and are set in advance. Based on the selector information table 26 for storing the selected selector information, the SA state management table 27 for storing the established or unestablished state of the SA, the SA management unit 28 for managing the state of the SA, and the state of the SA. A load distribution processing unit 29 that performs load distribution processing for each destination.

経路情報管理テーブル21は、図3に示すように、送信先ネットワークのIPアドレス、この実施の形態では、全てのネットワークのIPアドレスと、このアドレスに対応する送信インターフェースのIPアドレス、この実施の形態では、IPアドレス“#1”を記憶している。また、経路検索部22は、中継用のフレームに対する経路情報を検索し、その検索結果に基づいて、中継経路決定部23が中継経路の決定を行う。   As shown in FIG. 3, the route information management table 21 includes an IP address of a destination network, in this embodiment, an IP address of all networks, and an IP address of a transmission interface corresponding to this address. Then, the IP address “# 1” is stored. The route search unit 22 searches for route information for the relay frame, and the relay route determination unit 23 determines the relay route based on the search result.

セレクタ情報テーブル26は、図4〜図7に示すように、図2に示したA拠点〜D拠点に向けたそれぞれのセレクタ情報を記憶するテーブルを有している。それぞれのセレクタ情報テーブルのエントリ項目は、同一なので、ここでは代表して図4のA拠点に向けたセレクタ情報テーブルの場合を説明する。図4において、セレクタ情報テーブルのエントリ項目としては、送信インターフェースのIPアドレス、この実施の形態では、“#1”、“#2”に対して、それぞれ送信元ネットワークのIPアドレス、この実施の形態では、センター側ネットワークのIPアドレスと、送信先ネットワークのIPアドレス、この実施の形態では、A拠点のネットワークのIPアドレスと、セレクタ番号、この実施の形態では、“1”、“1”と、ピア番号“1”、“2”と、負荷分散フラグ、この実施の形態では、“対象”、“対象”が記憶されている。このセレクタ情報テーブル26は、たとえば初期設定の段階で、操作者などによって、図示しないキーボードなどの入力手段を用いて、予め各エントリ項目が入力されて、記憶されている。   As shown in FIGS. 4 to 7, the selector information table 26 has a table for storing respective selector information for the A base to the D base shown in FIG. 2. Since the entry items of the respective selector information tables are the same, here, the case of the selector information table directed to the site A in FIG. 4 will be described as a representative. In FIG. 4, as an entry item of the selector information table, the IP address of the transmission interface, in this embodiment, “# 1” and “# 2”, respectively, the IP address of the transmission source network, this embodiment Then, the IP address of the center side network, the IP address of the destination network, in this embodiment, the IP address of the network of the A base and the selector number, in this embodiment, “1”, “1”, Peer numbers “1” and “2”, a load distribution flag, and “target” and “target” in this embodiment are stored. In the selector information table 26, for example, at the initial setting stage, each entry item is previously input and stored by an operator or the like using an input unit such as a keyboard (not shown).

なお、この実施の形態では、A拠点に向けたセレクタ情報のうち、セレクタ番号は、“1”、“1”に、またピア番号は、“1”、“2”に設定されているが、B拠点に向けたセレクタ情報においては、セレクタ情報は、“2”、“2”に、またピア番号は、“3”、“4”に、C拠点に向けたセレクタ情報においては、セレクタ情報は、“3”、“3”に、またピア番号は、“5”、“6”に、D拠点に向けたセレクタ情報においては、セレクタ情報は、“4”、“4”に、またピア番号は、“7”、“8”にそれぞれ設定されている。   In this embodiment, among the selector information for the A site, the selector number is set to “1” and “1”, and the peer number is set to “1” and “2”. In the selector information for the B site, the selector information is “2” and “2”, the peer numbers are “3” and “4”, and in the selector information for the C site, the selector information is , “3”, “3”, and the peer number is “5”, “6”. In the selector information for the D site, the selector information is “4”, “4”, and the peer number. Are set to “7” and “8”, respectively.

また、SA状態管理テーブル27は、図8に示すように、A〜Dのそれぞれの拠点向けに対して、それぞれ2つのSAの確立が可能なので、2つのSA番号と、1つのセレクタ番号と、2つのピア番号と、SAの状態を示す状態情報が記憶している。ここで、SA番号は、セレクタ番号とピア番号の組み合わせによる番号で、この実施の形態では、ピア番号と同一の番号が付記されている。また、セレクタ番号は、送信元ネットワークと送信先ネットワークの組み合わせによる番号で、上述した“1”〜“4”の番号が付記され、ピア番号は、SAを確立する宛先のIPネットワークにより、上述した“1”〜“8”の番号が付記されている。また、状態の情報は、設定されるSAの“確立”または“未確立”を示す情報が付記されている。   Further, as shown in FIG. 8, the SA state management table 27 can establish two SAs for each of the sites A to D, so two SA numbers, one selector number, Two peer numbers and state information indicating the SA state are stored. Here, the SA number is a combination of a selector number and a peer number, and in this embodiment, the same number as the peer number is added. The selector number is a combination of the transmission source network and the transmission destination network, the numbers “1” to “4” described above are appended, and the peer number is determined according to the destination IP network that establishes the SA. Numbers “1” to “8” are appended. In addition, the status information includes information indicating “established” or “not established” of the SA to be set.

このような構成におけるIPsec装置のデータ中継動作を、図9のフローチャートに基づいて説明する。図9において、センタ側IPsec装置20において、フレーム中継処理部25が、接続されているネットワークからデータフレームを取り込むと、フレーム中継処理を開始し(ステップ101)、中継経路決定部23は、経路検索部22に対し、取り込んだデータの経路検索を行わせ(ステップ102)、中継先の経路情報があるかどうか判断する(ステップ103)。   The data relay operation of the IPsec device having such a configuration will be described with reference to the flowchart of FIG. In FIG. 9, in the center side IPsec apparatus 20, when the frame relay processing unit 25 fetches a data frame from the connected network, frame relay processing is started (step 101), and the relay route determination unit 23 performs route search. The unit 22 is made to search the route of the fetched data (step 102), and determines whether there is route information of the relay destination (step 103).

ここで、中継先の経路情報が検索されない場合には、このデータフレームを破棄し(ステップ104)、また中継先の経路情報が検索された場合には、中継経路決定部23は、中継経路の決定を行うとともに(ステップ105)、IPsec処理部24にセレクタ情報の検索指示を与え、IPsec処理部24がセレクタ情報テーブル26内のセレクト情報の検索を実行する(ステップ106)。そして、セレクタ情報テーブル26内のセレクト情報に適合するものがあるかどうか判断する(ステップ107)。   If the relay destination route information is not searched, the data frame is discarded (step 104). If the relay destination route information is searched, the relay route determination unit 23 In addition to making the determination (step 105), the IPsec processing unit 24 is instructed to search for selector information, and the IPsec processing unit 24 searches for select information in the selector information table 26 (step 106). Then, it is determined whether there is any information that matches the select information in the selector information table 26 (step 107).

ここで、適合するセレクタ情報がない場合には、前記中継経路決定部23で決定した経路情報に基づいて、送信インターフェース及び宛先を指定してフレームの送信を行う(ステップ113)。また、適合するセレクタ情報がある場合には、そのセレクタ情報が負荷分散対象かどうか、宛先の拠点向けセレクタ情報テーブルを検索し(ステップ108)、負荷分散対象でない場合には、IPsec処理部24によるデータの暗号化の処理を行なって(ステップ112)、フレーム送信を行う(ステップ113)。また、このフレームが負荷分散対象の場合には、次にSAが2本確立しているかどうか判断する(ステップ109)。宛先の拠点とのSAが2本確立しているかどうか判断することで、いずれの回線にも障害が発生していないことを検出する。   If there is no suitable selector information, the frame is transmitted by designating the transmission interface and the destination based on the route information determined by the relay route determination unit 23 (step 113). If there is suitable selector information, the selector information table for the destination base is searched to determine whether the selector information is a load distribution target (step 108). Data encryption processing is performed (step 112), and frame transmission is performed (step 113). If this frame is a load distribution target, it is next determined whether two SAs have been established (step 109). By determining whether two SAs have been established with the destination base, it is detected that no failure has occurred in any of the lines.

ここで、いずれかの回線に障害が発生してSAが未確立の状態にある場合には、負荷分散処理を行なわずに、IPsec処理部24によるデータの暗号化の処理を行なって(ステップ112)、フレーム送信を行う(ステップ113)。また、SAが2本確立している場合には、負荷分散処理の対象と判断して、負荷分散処理部29による負荷分散処理を実行する(ステップ110)。次に、中継経路決定部23による中継経路の再決定を行ない(ステップ111)、さらにIPsec処理部24によるデータの暗号化の処理を行なって(ステップ112)、フレーム送信を行う(ステップ113)。なお、中継経路決定部23による中継経路の再決定を行なう際には、たとえばハッシュ関数による計算を行い、その計算結果からデータ中継を行うSAの中継経路を決定しても良いし、または予め設定したSAの中継経路を用いても良いし、取り込まれるフレームに対して、異なるSAを交互に用いるように設定しても良い。   Here, when a failure occurs in any of the lines and the SA is in an unestablished state, data encryption processing is performed by the IPsec processing unit 24 without performing load distribution processing (step 112). ), Frame transmission is performed (step 113). If two SAs are established, it is determined that the load distribution process is to be performed, and the load distribution process by the load distribution processing unit 29 is executed (step 110). Next, the relay route determination unit 23 re-determines the relay route (step 111), and the IPsec processing unit 24 performs data encryption processing (step 112) to transmit a frame (step 113). When the relay route determination unit 23 performs redetermination of the relay route, for example, calculation using a hash function may be performed, and the SA relay route for data relay may be determined from the calculation result, or may be set in advance. The SA relay route may be used, or different SAs may be used alternately for the captured frames.

このように、この実施の形態では、予め設定されたセレクタ情報に基づいて、複数のSAの中から所定のSAを決定し、このSAを用いて相手先のIPsec装置との間でデータフレームのデータ中継を行うので、TCP/IPの経路情報管理テーブルでは、どのフレームも送信インターフェース#1を介して中継するものとなっていたものを、もう一方の送信インターフェース#2を介して中継することが可能となる。したがって、この実施の形態では、たとえば一方のSAを用いた通信が、障害などによって途絶えた場合でも、他方のSAを使用してデータ中継を行うことができ、これによりデータ中継の冗長構成が実現できるとともに、データ中継の中継性能を向上できる。   As described above, in this embodiment, a predetermined SA is determined from a plurality of SAs based on selector information set in advance, and data frames are exchanged with the other IPsec apparatus using this SA. Since data relay is performed, in the TCP / IP route information management table, any frame that was relayed via the transmission interface # 1 can be relayed via the other transmission interface # 2. It becomes possible. Therefore, in this embodiment, for example, even when communication using one SA is interrupted due to a failure or the like, data relay can be performed using the other SA, thereby realizing a redundant configuration of data relay. In addition, the relay performance of data relay can be improved.

(実施の形態2)
図2は、本発明にかかるデータ中継システムの実施の形態2の構成を示すシステム構成図である。この実施の形態において、実施の形態1と異なる点は、センタ側のIPsec装置を2台設け、それぞれのIPsec装置20,40の送信インターフェースは1つの構成からなっている。また、このIPsec装置20,40は、両者が正常にデータ中継の機能を実行する通常状態の時に、いずれのIPsec装置が優先的にデータ中継を行うかがA〜Dの拠点毎に設定されている。 (Embodiment 2)
FIG. 2 is a system configuration diagram showing the configuration of Embodiment 2 of the data relay system according to the present invention. This embodiment is different from the first embodiment in that two center side IPsec devices are provided, and the transmission interfaces of the respective IPsec devices 20 and 40 have one configuration. In addition, the IPsec devices 20 and 40 are set for each of the bases A to D to determine which IPsec device preferentially relays data in a normal state in which both perform the data relay function normally. Yes.

各IPsec装置20,40は、A〜Dの拠点に対して設定される優先度を、自装置内の経路情報管理テーブルに予め設定、記憶させておき、さらにこの経路情報管理テーブルの経路情報を経路制御プロトコル、たとえばRIP(Routing Information Protocol)やBGP(Border Gateway Protocol)を用いて広告し、複数のデータ中継装置間で経路情報を共有させるように構成する。   Each of the IPsec devices 20 and 40 previously sets and stores the priority set for the bases A to D in the route information management table in the own device, and further stores the route information in the route information management table. A route control protocol, for example, RIP (Routing Information Protocol) or BGP (Border Gateway Protocol) is used for advertisement, and the route information is shared among a plurality of data relay apparatuses.

この実施の形態では、個々のIPsec装置においては、負荷分散の機能を示さない(すなわち、この実施の形態では、図2に示した構成のうち、負荷分散処理部29を除いた構成となる)が、複数のIPsec装置が組み合わされてセンター側のネットワークに接続されることで、負荷分散の機能を実行することができる。すなわち、IPsec装置20,40の送信インターフェースのIPアドレスが“#1”と“#2”に設定されている場合に、図11及び図12にこのIPsec装置20,40が備える経路情報管理テーブルの構成の一例を示す。IPsec装置20の経路情報管理テーブルは、図11に示すように、送信先ネットワークであるA〜D拠点毎に送信インターフェースのIPアドレス、この実施の形態では、全て“#1”と、対応する優先度の情報、この実施の形態では、A拠点とB拠点に対しては“優先”の情報、C拠点とD拠点に対しては、“非優先”の情報が記憶されている。また、IPsec装置40の経路情報管理テーブルは、図12に示すように、送信先ネットワークであるA〜D拠点毎に送信インターフェースのIPアドレス、この実施の形態では、全て“#2”と、対応する優先度の情報、この実施の形態では、IPsec装置とは逆に、A拠点とB拠点に対しては“非優先”の情報、C拠点とD拠点に対しては、“優先”の情報が記憶されている。   In this embodiment, the individual IPsec devices do not exhibit the load distribution function (that is, in this embodiment, the configuration shown in FIG. 2 is the configuration excluding the load distribution processing unit 29). However, the load balancing function can be executed by combining a plurality of IPsec devices and connecting them to the network on the center side. That is, when the IP addresses of the transmission interfaces of the IPsec devices 20 and 40 are set to “# 1” and “# 2”, the path information management table of the IPsec devices 20 and 40 shown in FIGS. An example of the configuration is shown. As shown in FIG. 11, the route information management table of the IPsec apparatus 20 has an IP address of the transmission interface for each of the A to D bases that are the transmission destination networks. In this embodiment, all of them are “# 1” and the corresponding priority. In this embodiment, “priority” information is stored for the A and B sites, and “non-priority” information is stored for the C and D sites. Further, as shown in FIG. 12, the route information management table of the IPsec device 40 corresponds to the IP address of the transmission interface for each of the A to D bases that are the transmission destination networks, and in this embodiment, all correspond to “# 2”. In this embodiment, contrary to the IPsec device, “non-priority” information for the A and B sites, and “priority” information for the C and D sites. Is remembered.

また、それぞれのIPsec装置20,40のセレクタ情報テーブルは、図13〜図16に示すように、実施の形態1と同様のエントリ項目から構成されており、異なる点は、IPsec装置20と40毎にこれらのエントリ項目が設定されて点である。また、ピア番号は、それぞれのIPsec装置20と40毎に設定されており、負荷分散フラグは全て“対象外”が記憶されている。これらのA〜D拠点に向けたセレクタ情報テーブルは、IPsec装置20,40ともに同一の内容が記憶されている。   Further, as shown in FIGS. 13 to 16, the selector information tables of the respective IPsec devices 20 and 40 are composed of the same entry items as those in the first embodiment, and are different in each IPsec device 20 and 40. These entry items are set in the point. Further, the peer number is set for each of the IPsec devices 20 and 40, and all of the load distribution flags are stored as “not applicable”. The same information is stored in the selector information tables for these A to D bases in both the IPsec apparatuses 20 and 40.

さらに、IPsec装置20のSA状態管理テーブルは、図17に示すように、A〜Dのそれぞれの拠点向けに対して、それぞれ1つのSAの確立が可能なので、1つずつのSA番号と、セレクタ番号と、ピア番号と、SAの状態を示す状態情報が記憶している。   Furthermore, as shown in FIG. 17, the SA state management table of the IPsec apparatus 20 can establish one SA for each of the bases A to D. Therefore, each SA number and selector A number, a peer number, and status information indicating the SA status are stored.

またさらに、経路情報の広告を行うフレームは、図19に示すような構成からなっている。この図19では、RIPで用いるフレームの構成の一例を代表して示す。図19において、RIPのフレームには、先頭からMACヘッダ、IPヘッダ、UDPが付与されており、その後にRIPヘッダ及びRIPデータが連なって構成されている。また、RIPデータは、宛先ネットワークのIPアドレスが格納される宛先ネットワークの領域と、全て“0”の情報が格納される2つのmust be zeroの領域と、メトリックの領域から構成されている。この実施の形態では、メトリックの領域を用いて、各宛先ネットワークに対して、優先度を規定している。この実施の形態では、同じ宛先ネットワークの情報を受信した場合には、メトリック領域の値の小さい情報を優先している。   Furthermore, a frame for advertising route information has a configuration as shown in FIG. FIG. 19 representatively shows an example of a frame configuration used in RIP. In FIG. 19, an RIP frame is provided with a MAC header, an IP header, and UDP from the beginning, and thereafter, the RIP header and RIP data are connected. The RIP data includes a destination network area in which the IP address of the destination network is stored, two must be zero areas in which all “0” information is stored, and a metric area. In this embodiment, a priority is defined for each destination network using a metric area. In this embodiment, when information on the same destination network is received, priority is given to information having a small value in the metric area.

このRIPのフレームは、センター側のネットワークの各端末装置などにも取り込まれており、この端末装置は、この経路情報に基づいて、優先度の高いIPsec装置を選択して、各拠点へのデータフレームを送信することができる。   This RIP frame is also captured in each terminal device of the center side network, and this terminal device selects an IPsec device having a high priority based on this route information, and transmits data to each base. A frame can be transmitted.

このような構成におけるIPsec装置のデータ中継動作では、図9に示したフローチャートにおいて、データが全て負荷分散対象ではないので(ステップ108でNoとなるので)、IPsec処理部での暗号化処理に移行されることになり(ステップ112)、中継経路決定部で最初に経路情報管理テーブルの内容から検索された経路情報に基づいて、フレーム送信が行われることとなる。   In the data relay operation of the IPsec device having such a configuration, since not all data is load distribution target in the flowchart shown in FIG. 9 (No in step 108), the process proceeds to the encryption processing in the IPsec processing unit. Thus, the frame transmission is performed based on the route information first retrieved from the contents of the route information management table by the relay route determination unit (step 112).

このように、この実施の形態では、予め経路情報の中に、各拠点向けに対応させて優先度の情報を設定しておき、この情報に基づいて、センター側のネットワークから送信されるデータフレームをIPsec装置でデータ中継するので、宛先である拠点毎に優先度をつけてデータフレームを、対応するIPsec装置に負荷分散させて送信することが可能となる。したがって、この実施の形態では、たとえば一方のIPsec装置で確立されたSAを用いた通信が、障害などによって途絶えた場合でも、他方のIPsec装置で確立されたSAを使用してデータ中継を行うことができ、これによりデータ中継の冗長構成が実現できるとともに、データ中継の中継性能を向上できる。   As described above, in this embodiment, priority information is set in advance in the route information so as to correspond to each base, and based on this information, a data frame transmitted from the network on the center side is set. Since the data is relayed by the IPsec apparatus, it is possible to assign a priority to each destination base and transmit the data frame with load distribution to the corresponding IPsec apparatus. Therefore, in this embodiment, for example, even when communication using the SA established in one IPsec apparatus is interrupted due to a failure or the like, data relay is performed using the SA established in the other IPsec apparatus. As a result, a redundant configuration of data relay can be realized, and the relay performance of data relay can be improved.

また、本発明は、これら実施例に限定されるものではなく、たとえば複数の送信インターフェースを備えたIPsec装置を、複数組み合わせることも可能である。この場合には、1つのIPsec装置内での負荷分散が可能となるとともに、複数の組み合わされたIPsec装置間での負荷分散も可能となるので、さらにデータ中継の冗長性が向上するとともに、データ中継の中継性能を向上できる。   Further, the present invention is not limited to these embodiments, and for example, a plurality of IPsec devices having a plurality of transmission interfaces can be combined. In this case, load distribution within one IPsec device is possible, and load distribution among a plurality of combined IPsec devices is also possible, so that the redundancy of data relay is further improved and data Relay performance can be improved.

本発明にかかるデータ中継システムの実施の形態1の構成を示すシステム構成図である。1 is a system configuration diagram showing a configuration of a first embodiment of a data relay system according to the present invention. 図1に示したセンター側のIPsec装置の構成を示す構成図である。It is a block diagram which shows the structure of the IPsec apparatus of the center side shown in FIG. 図2に示した経路情報管理テーブルの構成の一例を示す構成図である。FIG. 3 is a configuration diagram illustrating an example of a configuration of a route information management table illustrated in FIG. 2. 図2に示したセレクタ情報テーブルのうちのA拠点に向けたセレクタ情報テーブルの構成の一例を示す構成図である。It is a block diagram which shows an example of a structure of the selector information table toward A base | sauce among the selector information tables shown in FIG. 同じく、セレクタ情報テーブルのうちのB拠点に向けたセレクタ情報テーブルの構成の一例を示す構成図である。Similarly, it is a block diagram which shows an example of a structure of the selector information table toward B base in the selector information table. 同じく、セレクタ情報テーブルのうちのC拠点に向けたセレクタ情報テーブルの構成の一例を示す構成図である。Similarly, it is a block diagram which shows an example of a structure of the selector information table toward C base | sauce among selector information tables. 同じく、セレクタ情報テーブルのうちのD拠点に向けたセレクタ情報テーブルの構成の一例を示す構成図である。Similarly, it is a block diagram showing an example of a configuration of a selector information table directed to a D site in the selector information table. 同じく、SA状態管理テーブルの構成の一例を示す構成図である。Similarly, it is a block diagram which shows an example of a structure of SA state management table. 図1に示したIPsec装置のデータ中継動作を説明するためのフローチャートである。2 is a flowchart for explaining a data relay operation of the IPsec apparatus shown in FIG. 本発明にかかるデータ中継システムの実施の形態2の構成を示すシステム構成図である。It is a system block diagram which shows the structure of Embodiment 2 of the data relay system concerning this invention. 図9に示したIPsec装置の経路情報管理テーブルの構成の一例を示す構成図である。It is a block diagram which shows an example of a structure of the routing information management table of the IPsec apparatus shown in FIG. 同じく、経路情報管理テーブルの構成の他例を示す構成図である。Similarly, it is a block diagram which shows the other example of a structure of a path | route information management table. 図9に示したIPsec装置のセレクタ情報テーブルのうちのA拠点に向けたセレクタ情報テーブルの構成の一例を示す構成図である。It is a block diagram which shows an example of a structure of the selector information table toward A base | substrate among the selector information tables of the IPsec apparatus shown in FIG. 同じく、セレクタ情報テーブルのうちのB拠点に向けたセレクタ情報テーブルの構成の一例を示す構成図である。Similarly, it is a block diagram which shows an example of a structure of the selector information table toward B base in the selector information table. 同じく、セレクタ情報テーブルのうちのC拠点に向けたセレクタ情報テーブルの構成の一例を示す構成図である。Similarly, it is a block diagram which shows an example of a structure of the selector information table toward C base | sauce among selector information tables. 同じく、セレクタ情報テーブルのうちのD拠点に向けたセレクタ情報テーブルの構成の一例を示す構成図である。Similarly, it is a block diagram showing an example of a configuration of a selector information table directed to a D site in the selector information table. 同じく、SA状態管理テーブルの構成の一例を示す構成図である。Similarly, it is a block diagram which shows an example of a structure of SA state management table. 同じく、SA状態管理テーブルの構成の他例を示す構成図である。Similarly, it is a block diagram which shows the other example of a structure of SA state management table. 図9に示したデータ中継システムで用いるRIPのフレーム構成を示すフレーム構成図である。FIG. 10 is a frame configuration diagram showing a frame configuration of RIP used in the data relay system shown in FIG. 9.

符号の説明Explanation of symbols

10 バックボーンネットワーク
20,31〜34,40 IPsec装置
21 経路情報管理テーブル
22 経路検索部
23 中継経路決定部
24 IPsec処理部
25 フレーム中継処理部
26 セレクタ情報テーブル
27 SA状態管理テーブル
28 SA管理部
29 負荷分散処理部 DESCRIPTION OF SYMBOLS 10 Backbone network 20,31-34,40 IPsec apparatus 21 Path information management table 22 Path search part 23 Relay route determination part 24 IPsec processing part 25 Frame relay processing part 26 Selector information table 27 SA state management table 28 SA management part 29 Load Distributed processing section

Claims (8)

仮想ネットワークによって構築されるバックボーンネットワークに設けられたデータ中継装置を介して、特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継方法において、
前記特定ユーザのネットワーク間で複数の論理的パスを確立するパス確立工程と、
予め設定された選択情報に基づいて、前記論理的パスのうちから、前記データ中継を行うための論理的パスを決定するパス決定工程と、
前記決定された論理的パスを用いてデータ中継を行うデータ中継工程と、
を含むことを特徴とするデータ中継方法。 In a data relay method for establishing a logical path for data relay between specific user networks via a data relay device provided in a backbone network constructed by a virtual network and performing data relay,
Establishing a plurality of logical paths between the networks of the specific users;
A path determination step for determining a logical path for performing the data relay out of the logical paths based on selection information set in advance;
A data relay step of relaying data using the determined logical path;
A data relay method comprising: 前記データ中継方法は、前記設定された選択情報に基づいて、前記論理的パスの状態を管理する管理工程を、
さらに含み、前記パス決定工程では、前記論理的パスの状態に基づいて、論理的パスを決定することを特徴とする請求項1に記載のデータ中継方法。 The data relay method includes a management step of managing the state of the logical path based on the set selection information.
The data relay method according to claim 1, further comprising: determining a logical path based on a state of the logical path in the path determining step. 前記データ中継方法は、前記設定された選択情報を通知する通知工程を、
さらに含み、前記データ中継工程では、前記通知に応じて送信されるデータを、前記決定された論理的パスを用いてデータ中継することを特徴とする請求項1に記載のデータ中継方法。 The data relay method includes a notification step of notifying the set selection information.
The data relay method according to claim 1, further comprising: in the data relay step, data transmitted in response to the notification is relayed using the determined logical path. 仮想ネットワークによって構築されるバックボーンネットワークに設けられるとともに、特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継装置において、
前記特定ユーザのネットワーク間で複数の論理的パスを確立するパス確立手段と、
予め設定された選択情報を記憶する記憶手段と、
前記記憶された選択情報に基づいて、前記論理的パスのうちから、前記データ中継を行うための論理的パスを決定するパス決定手段と、
前記決定された論理的パスを用いてデータ中継を行うデータ中継手段と、
を備えたことを特徴とするデータ中継装置。 In a data relay apparatus that is provided in a backbone network constructed by a virtual network and establishes a logical path for data relay between networks of specific users and performs data relay,
Path establishing means for establishing a plurality of logical paths between the networks of the specific users;
Storage means for storing selection information set in advance;
Path determining means for determining a logical path for performing the data relay out of the logical paths based on the stored selection information;
Data relay means for relaying data using the determined logical path;
A data relay device comprising: 仮想ネットワークによって構築されるバックボーンネットワークに設けられるとともに、特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継装置において、
前記特定ユーザのネットワーク間で前記論理的パスを確立するパス確立手段と、
同一ネットワーク内の他のデータ中継装置が確立する論理的パスと、前記パス確立手段が確立する論理的パスの予め設定された優先順位の情報を記憶する記憶手段と、
前記記憶された優先順位の情報に基づいて、データ中継を行うデータ中継手段と、
を備えたことを特徴とするデータ中継装置。 In a data relay apparatus that is provided in a backbone network constructed by a virtual network and establishes a logical path for data relay between networks of specific users and performs data relay,
Path establishment means for establishing the logical path between the networks of the specific users;
Storage means for storing logical paths established by other data relay devices in the same network, and information on preset priorities of logical paths established by the path establishment means;
Data relay means for relaying data based on the stored priority information;
A data relay device comprising: 仮想ネットワークによって構築されるバックボーンネットワークに設けられるとともに、特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継装置において、
前記特定ユーザのネットワーク間で複数の前記論理的パスを確立するパス確立手段と、
同一ネットワーク内の他のデータ中継装置が確立する論理的パスと、前記パス確立手段が確立する論理的パスの予め設定された優先順位の情報を記憶する記憶手段と、
前記記憶された優先順位の情報に基づいて、前記論理的パスのうちから、前記データ中継を行うための論理的パスを決定するパス決定手段と、
前記決定された論理的パスを用いてデータ中継を行うデータ中継手段と、
を備えたことを特徴とするデータ中継装置。 In a data relay apparatus that is provided in a backbone network constructed by a virtual network and establishes a logical path for data relay between networks of specific users and performs data relay,
Path establishment means for establishing a plurality of the logical paths between the networks of the specific users;
Storage means for storing logical paths established by other data relay devices in the same network, and information on preset priorities of logical paths established by the path establishment means;
Path determining means for determining a logical path for performing the data relay out of the logical paths based on the stored priority information;
Data relay means for relaying data using the determined logical path;
A data relay device comprising: 前記データ中継装置は、
前記予め設定された優先順位の情報を、前記特定ユーザのネットワークに通知する通知手段を、
さらに備えたことを特徴とする請求項4〜6のいずれか一つに記載のデータ中継装置。 The data relay device
A notification means for notifying the information of the preset priority to the network of the specific user;
The data relay device according to any one of claims 4 to 6, further comprising: 仮想ネットワークによって構築されるバックボーンネットワークと特定ユーザのネットワーク間でデータ中継用の論理的パスを確立して、データ中継を行うデータ中継システムにおいて、
前記バックボーンネットワークに請求項4〜7のいずれか一つに記載のデータ中継装置を、
備え、予め設定された所定情報に基づいて、データ中継を行うための論理的パスを決定することを特徴とするデータ中継システム。 In a data relay system that relays data by establishing a logical path for data relay between a backbone network constructed by a virtual network and a network of a specific user,
The data relay device according to any one of claims 4 to 7 is provided in the backbone network.
A data relay system comprising: determining a logical path for performing data relay based on predetermined information set in advance.
JP2003371157A 2003-10-30 2003-10-30 Data relay method, data relay device and data relay system Pending JP2005136739A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003371157A JP2005136739A (en) 2003-10-30 2003-10-30 Data relay method, data relay device and data relay system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003371157A JP2005136739A (en) 2003-10-30 2003-10-30 Data relay method, data relay device and data relay system

Publications (1)

Publication Number Publication Date
JP2005136739A true JP2005136739A (en) 2005-05-26

Family

ID=34647938

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003371157A Pending JP2005136739A (en) 2003-10-30 2003-10-30 Data relay method, data relay device and data relay system

Country Status (1)

Country Link
JP (1) JP2005136739A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008301072A (en) * 2007-05-30 2008-12-11 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
JP2012034259A (en) * 2010-08-02 2012-02-16 Nippon Telegr & Teleph Corp <Ntt> Tunnel termination system, tunnel termination method, tunnel termination controller, tunnel termination control method and program therefor
JP2012177942A (en) * 2012-06-07 2012-09-13 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
US20140304503A1 (en) * 2009-11-25 2014-10-09 Security First Corp. Systems and methods for securing data in motion
JP2015515210A (en) * 2012-03-30 2015-05-21 ホアウェイ・テクノロジーズ・カンパニー・リミテッド Improved IPsec communication performance and security against eavesdropping
WO2015181931A1 (en) * 2014-05-29 2015-12-03 三菱電機株式会社 Management device, management method, and program
US9871770B2 (en) 2004-10-25 2018-01-16 Security First Corp. Secure data parser method and system

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9871770B2 (en) 2004-10-25 2018-01-16 Security First Corp. Secure data parser method and system
US11178116B2 (en) 2004-10-25 2021-11-16 Security First Corp. Secure data parser method and system
US9992170B2 (en) 2004-10-25 2018-06-05 Security First Corp. Secure data parser method and system
US9985932B2 (en) 2004-10-25 2018-05-29 Security First Corp. Secure data parser method and system
US9935923B2 (en) 2004-10-25 2018-04-03 Security First Corp. Secure data parser method and system
US9906500B2 (en) 2004-10-25 2018-02-27 Security First Corp. Secure data parser method and system
JP2008301072A (en) * 2007-05-30 2008-12-11 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
US20140304503A1 (en) * 2009-11-25 2014-10-09 Security First Corp. Systems and methods for securing data in motion
US9516002B2 (en) * 2009-11-25 2016-12-06 Security First Corp. Systems and methods for securing data in motion
JP2015039213A (en) * 2009-11-25 2015-02-26 セキュリティー ファースト コープ. Systems and methods for securing data in motion
JP2012034259A (en) * 2010-08-02 2012-02-16 Nippon Telegr & Teleph Corp <Ntt> Tunnel termination system, tunnel termination method, tunnel termination controller, tunnel termination control method and program therefor
JP2015515210A (en) * 2012-03-30 2015-05-21 ホアウェイ・テクノロジーズ・カンパニー・リミテッド Improved IPsec communication performance and security against eavesdropping
JP2012177942A (en) * 2012-06-07 2012-09-13 Ricoh Co Ltd Encryption communication line restoration method, encryption communications device, and encryption communication system
WO2015181931A1 (en) * 2014-05-29 2015-12-03 三菱電機株式会社 Management device, management method, and program

Similar Documents

Publication Publication Date Title
US10778564B2 (en) Proxy of routing protocols to redundant controllers
US9954769B2 (en) Inter-domain fast reroute methods and network devices
US20190007312A1 (en) Techniques for routing and forwarding between multiple virtual routers implemented by a single device
EP3399703B1 (en) Method for implementing load balancing, apparatus, and network system
US20040210892A1 (en) Dynamic routing on networks
US20070086363A1 (en) Switch meshing using multiple directional spanning trees
CN101326762A (en) Constructing and implementing backup paths in autonomous systems
US20130151445A1 (en) Method and System for Survival of Data Plane Through a Total Control Plane Failure
EP3989512A1 (en) Method for controlling traffic forwarding, device, and system
KR101323852B1 (en) Virtual Firewall system and the control method for using based on commonness security policy
US10530873B1 (en) Techniques for optimizing EVPN-IRB for IPv6-enabled data centers with top-of-rack deployments
CN101692654B (en) Method, system and equipment for HUB-Spoken networking
JP3587633B2 (en) Network communication method and apparatus
US20150012664A1 (en) Routing data based on a naming service
JP2005136739A (en) Data relay method, data relay device and data relay system
CN108289044B (en) Data forwarding method, link state method for determining static route and network equipment
Cisco OSPF Sham-Link Support for MPLS VPN
EP3883196B1 (en) Utilizing domain segment identifiers for inter-domain shortest path segment routing
JP2004274112A (en) Route switching device
Cisco Configuring OSPF
US8135834B1 (en) Method and system for causing intra-AS network traffic to be more evenly balanced
JP4044007B2 (en) Route information management method and route information management device
JP4357310B2 (en) Communication method and communication apparatus for simultaneous connection to a plurality of networks
KR100431207B1 (en) Exteranet ip-vpn service provinding methode in mpls based network
JP2004282252A (en) Access management apparatus for network apparatus