JP4236364B2 - 通信データ中継装置 - Google Patents
通信データ中継装置 Download PDFInfo
- Publication number
- JP4236364B2 JP4236364B2 JP2000102702A JP2000102702A JP4236364B2 JP 4236364 B2 JP4236364 B2 JP 4236364B2 JP 2000102702 A JP2000102702 A JP 2000102702A JP 2000102702 A JP2000102702 A JP 2000102702A JP 4236364 B2 JP4236364 B2 JP 4236364B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- relay
- address
- destination
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2535—Multiple local networks, e.g. resolving potential IP address conflicts
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
【発明の属する技術分野】
本発明は、ネットワークの中継装置に関する。
【0002】
【従来の技術】
(ドメインの概念)
従来からルーティングドメインとは、1以上のネットワークからなり、一つ以上の互いに協調する経路制御プロトコルにより管理され、その経路情報によりネットワーク層パケットが到達可能な範囲と定義されていた。例えば、インターネットはさまざまな経路制御プロトコルが動作している複数のネットワークから構成されている。このため、インターネットは1つのルーティングドメインである(以下ルーティングドメインを単にドメインと省略する)。
【0003】
今日まで、多くの企業が自社の情報インフラとしてインターネットの技術を用いた企業内網を構築してきた。こうしたネットワークにおいては、企業の秘密を守るため、あるいは外部からの妨害を避けるため、インターネットとの間にファイアウォール装置が配置されていた。このファイアウォール装置により、インターネットとの間の通信が監視・制限されていた。こうしたネットワークではセキュリティ上の理由から、企業内網の内部経路をインターネットに配布しないのが一般的であった。また、IPv4アドレスが不足しているため、企業内網でプライベートアドレスを用いるのが一般的であった。
【0004】
プライベートアドレスは企業ユーザが自由に利用できるインタネットアドレスの範囲である。しかし、インターネットにこれらの経路を配布することは禁止されていた。そのため、プライベートアドレスを使用する企業内網は、インターネットとは直接通信できなかった。したがって、企業内網はインターネットとは独立したドメインである。
【0005】
こうした企業内網が、インターネットと通信するためにはNAT(IP Network Address Translator)装置を使用する必要があった。NAT装置は、プライベートアドレスを持つパケットをグローバルアドレスで経路制御されるインターネットに通すために、両ドメイン境界においてパケットに付されたプライベートアドレスをグローバルアドレスに変換する。
【0006】
さらに、企業内網構成の複雑化、ルータ機能の多様化に対応するため、ルータ装置がNAT機能を持つようになった(以下これをNATルータという)。このようなルータ装置は、二つのドメインを管理することができた。
【0007】
このような状況において、プライベートアドレスによるドメイン(以下プライベートアドレスドメインという)からグローバルアドレスによるドメイン(以下グローバルアドレスドメインという)への通信は、以下のように行われていた。
【0008】
すなわち、プライベートアドレスドメイン内の各ルータにおいて、宛先アドレスが企業内網内部以外であるパケットを全てNATルータへ送信するように、デフォルト経路が設定された。これにより、グローバルアドレスドメイン宛のパケットをドメイン境界に置かれた中継装置(以下ドメイン境界中継装置という)に送ることが可能であった。
【0009】
中継装置は、プライベートアドレスドメインの経路情報をグローバルアドレスドメインへ流さないが、グローバルアドレスドメインから得た経路情報をプライベートアドレスドメインへ流す。これにより、プライベートアドレスドメイン内の各ホスト(ノード)は、グローバルアドレスドメイン宛のパケットを中継装置に送ることが可能であった。
【0010】
ドメイン境界中継装置は、グローバルアドレスドメインから受け取った経路情報から、グローバルアドレスドメイン内の次ホップルータを知る(実際には、中継装置において、デフォルトルートとして外部ルータが指定してされている場合もある)。こうして、ドメイン境界中継装置は、グローバルアドレスドメインへ向いたインタフェースへパケットを中継できた。このとき、実際にはドメイン境界中継装置は、中継する前にパケットのアドレスを変換した。
【0011】
アドレス変換にはいくつかの方法があった。例えば、まず、ドメイン境界に置かれた中継装置がグローバルアドレスをいくつかプールしておく。このドメイン境界中継装置は、到着したパケットのプライベートアドレスである送信元アドレスをプールしてあるグローバルアドレスの一つと置きかえる(以下このアドレスをエイリアスアドレスという)。
【0012】
次に、このドメイン境界中継装置が、あたかもグローバルアドレスドメイン内の送信ホストであるかのように送信する。このとき、ドメイン境界中継装置は、置き換えた送信元アドレスとそのエイリアスアドレスの対応を記録する。そして、ドメイン境界中継装置が、グローバルアドレスドメインから送信したパケットに対する応答トラフィックを受信したとき、プライベートアドレスドメイン内の本来の送信ホストへ中継する。
【0013】
また、プライベートアドレスドメインからグローバルアドレスドメインへ送信したパケットに対する応答パケットが返ってきた場合、宛先アドレスは上記エイリアスアドレスである。つまり、グローバルアドレスドメインにおいてはパケットの送信元が中継装置のエイリアスアドレスである。このため、ドメイン境界中継装置は、先のプライベートアドレスとグローバルアドレスとの変換テーブルを参照し、パケットの宛先アドレスをプライベートアドレスドメインの送信元アドレスに変換できる。こうして、ドメイン境界中継装置は、返信パケットをプライベートアドレスドメインへ接続されたインタフェースへと中継する。
【0014】
以上のようなアドレス変換機能により両ドメイン間の通信が可能であった。フォワード方向の通信では宛先ドメインにおける経路テーブルが必要であった。一方、プライベートアドレスとグローバルアドレスの変換テーブルにフォワード方向パケットを受信したインタフェースも併せて記録しておけば、中継装置は、バックワードのパケットをその受信インターフェースへ転送すればよい。その際、送信元ドメインの経路情報を検索し、プライベートアドレスドメインにおける次ホップルータを決定し、上記インターフェースへ転送する。
【0015】
従来、ドメイン境界中継装置は、複数のルーティングプロトコルを終端する経路制御プログラムとただ一つの経路テーブルを有していた。なお、ここでいう経路テーブルとはパケット中継時に出力インタフェースと次ホップルータとを決定するために検索するテーブルを指す。
【0016】
従来の中継装置は、このような複数のルーティングプロトコルによって知り得た経路情報を相互に混合するか否かという管理上の制御を行っていた。しかし、相互に混合する場合、従来の中継装置では、このような複数のルーティングプロトコルから知り得た経路情報を全て同一の経路テーブルに書き込んでいた。つまり、プライベートアドレスドメインとグローバルアドレスドメイン境界の中継装置は、各ドメインから知り得た経路情報を一つのテーブル内で管理していた。
(Lucent Technologies社のIP Navigatorの例)
図19にLucent Technologies社のIP Navigatorの処理概要を示す。IP Navigatorは複数のルーティングテーブルをサポートする通信プログラムであった。IP navigatorはISP(Internet Sevice Provider)向けのMPLS(MultiProtocol Label Switching)プロトコルを実装する中継装置(以下ルータという)上で動作した。
【0017】
このIP navigatorは、LSR(ラベル・スイッチ・ルータ)において、複数の経路テーブル毎に、各ルータ間を接続するLSP(ラベル・スイッチ・パス)を対応付けることでISP(インターネット・サービス・プロバイダ)ネットワークをパーティションに分割した。そして、IP navigatorは、それぞれのパーティションを企業ユーザなどにプライベートネットワークとして提供することを目的としていた。この方式では複数のドメインに対してそれぞれ経路テーブルを持った。ただし、この方式では、任意の組み合わせのドメインが互いにアドレス変換機能を介して、通信することはできなかった。
(IPv6ルータの実装)
現在まで、代表的なネットワーク層プロトコルとしてIPプロトコル(IPversion4、以下IPv4という)が用いられてきた。さらに、IPアドレスの枯渇に対応するため、IPプロトコルの新バージョン(IPversion6、以下IPv6という)が登場した。今日、IPv4とIPv6とは混在している。一般的には、このIPv4のドメインとIPv6のドメインとは、アドレス変換装置を用いて互いに通信する。両ドメインに対応するルータとして、IPv4経路テーブルを持つIPv4ドメインとIPv6の経路テーブルを持つIPv6ドメインとをアドレス変換により通信可能とするものがあった(株式会社日立製作所NR60など)。
【0018】
このようなルータは、IPv4,v6という二つのドメインに対しては複数の経路テーブルを持ち、両者の間でアドレス変換による通信が可能であった。しかし、ユーザがIPアドレス空間にさらにドメインを定義し、二つ以上のドメイン間をアドレス変換によって自由に接続することはできなかった。
(片方向NAT)
図20に片方向NATの概要を示す。片方向NATは、プライベートアドレスとグローバルアドレスのように、ドメイン1の経路情報をドメイン2に配布できないという条件下で通信を実現した。ドメイン1はドメイン2への経路を知り得るので、ドメイン1は、ドメイン2宛のパケットを中継可能である。
【0019】
NAT装置は、通過するパケットの送信元アドレスをドメイン2へ向いた自装置インタフェースのエイリアスアドレスに変換する。NAT装置は、アドレスを変換したパケットをドメイン2に送出するとともに、そのエイリアスアドレスと変換前の送信元アドレスを記憶する。
【0020】
これによりドメイン2内の受信ホストは、そのエイリアスアドレスに向けて応答パケットを送信する。すなわち、ドメイン2はドメイン1への経路は知らないが変換されたNAT装置のエイリアスアドレスへは返信可能である。
【0021】
さらに、NAT装置は、このエイリアスアドレスで受信したパケットを記憶しておいたドメイン1側の本来の送信元アドレスへ向けて再送信する。
この場合、NAT装置の経路テーブルはドメイン1とドメイン2とを混合したテーブルであった。ドメイン2からドメイン1宛のパケットをフォワーディングインタフェースで受けてしまうと経路テーブルを参照しフォワードされる可能性があった。このため、不正パケットに対するフィルタが必要であった。
(両方向NAT)
図21に両方向NATの概要を示す。両方向NATは、IPv4ドメインとIPv6ドメインのように、ドメイン1の経路情報もドメイン2の経路情報もお互いに交換できないという条件下で通信を実現した。ドメイン1内のホストがドメイン2内のホストへ通信を開始するとき、ドメイン1内のホストは通信に先だってDNSによる名前解決を実行する。
【0022】
ドメイン1内の解決要求はドメイン1内のDNSサーバを経由しNAT装置上の変換サーバでドメイン2内の解決要求に変換される。ドメイン2のDNSサーバから解決応答が戻ってくると、NAT装置はプールしてあるドメイン1とドメイン2とに向いたそれぞれのエイリアスアドレスを各インタフェースに設定する。そしてNAT装置は、ドメイン1の問い合わせホストにはこのドメイン1側のエイリアスアドレスを通知する。NAT装置は各エイリアスアドレスとドメイン2から受け取った解決アドレスの対応を記録しておく。
【0023】
送信ホストはNAT装置のドメイン1側のエイリアスアドレスへ向けてパケットを送信する。NAT装置は上記の対応を用いてヘッダの送信先アドレスを、解決応答によりドメイン2のDNSから得たアドレスに、送信元アドレスをドメイン2側のエイリアスアドレスに変更する。この場合、IPv4、v6のように全くアドレス体系が異なる場合は問題ない。しかし、両ドメインがIPv4アドレス空間の一部であるような構成において、NAT装置がエイリアスアドレス以外のインタフェースアドレスで悪意のあるパケットを受信した場合、フィルタが正しく設定されていないと、NAT装置は、このパケットをフォワードする可能性があった。
(アプリケーションゲートウェイ)
アプリケーションゲートウェイを使用してもドメインを分離可能であった。図22にアプリケーションゲートウェイの概要を示す。
【0024】
アプリケーションゲートウェイでは、一旦ゲートウェイ上のアプリケーションプログラム40がドメイン1からの通信を終端し、データを受け取る。さらに、このアプリケーションプログラム40は、ドメイン2側のコネクション上に再度データを送信する。この方式では、エンドホストが使うアプリケーションに対応したアプリケーションプログラム40をゲートウェイ上にも用意する必要があった。また、この方式では、処理が重いという問題点があった。
【0025】
(複数ドメインに対応したアドレス変換装置)
複数ドメインに対応した中継装置も提案されている。ただ、従来の中継装置には、単一の経路テーブルが備えられていた。また、ドメイン間でアドレス変換ポリシに合致しないパケットが通過しないようにフィルタが用いられていた。単純な設定では、このような中継装置も利用できた。しかし、従来の中継装置では、管理ドメインが多数になると処理が複雑になった。また、全パケットについてドメイン間通信の判定を行う必要があった。
(問題点)
NAT等のアドレス変換の手法によれば、フォワード方向のパケット転送では、中継装置は、アドレス変換処理を施した後、経路テーブルを検索して転送を行う。中継装置は、パケットの送受信アドレスに対してフィルタを設定することで、パケットの中継の可否を判断してしていた。一方でバックワード方向のパケットに対しては、グローバルアドレスドメインに対し中継装置があたかも送信元ホストであるかのように振舞う。そして、中継装置は、エンドホストとして、中継装置にプールされていたグローバルアドレス宛のパケットを終端していた。
【0026】
同様に、グローバルアドレスドメインから到着したプライベートアドレスドメイン宛のパケットに対して、中継装置は、パケットフィルタによりドメイン間での中継判定を行っていた。このため、万が一プライベートアドレスドメイン宛の悪意のあるパケットが中継装置に到着した場合、フィルタが正しく設定されていないと、中継装置は唯一の経路テーブルを参照し、プライベートアドレスドメインにフォワードしてしまう可能性があった。これは予期せぬ不特定多数のパケットをインターネットから受信してしまう可能性を示しており、セキュリティホールとなり得た。
【0027】
また、複数のドメインに接続可能な中継装置において、各ドメインが同一プライベートアドレス空間を採用した場合を想定する。この場合、中継装置が、各ドメインから得られた経路情報を一つの経路テーブルに書き込んでしまうと、経路テーブルに矛盾が生じる。
【0028】
上記のような問題に対してパケットフィルタにより、グローバルアドレスドメインからのパケットをフォワードしないよう制限することも可能であった。しかし、管理可能なドメイン数が増加すると設定が複雑になった。
【0029】
例えば、パケットフィルタでは、入力インターフェース、出力インターフェース、送信元アドレス、宛先アドレスやL4ポート番号等をキーとしてパケットの中継を制限可能であった。しかし、多くのインターフェースを持つルータでドメインを多数接続した場合、ドメインの組み合わせ毎にフィルタ条件を設定するのは煩雑であった。また、このような構成の中継装置では、設定ミスを誘発する可能性があった。さらに、このような複雑なフィルタ処理は、中継装置の負荷となり、高速な中継処理が困難であった。
【0030】
【発明が解決しようとする課題】
本発明はこのような従来の技術の問題点に鑑みてなされたものであり、複数のドメイン間をアドレス変換によって中継する中継装置において、ドメイン間、ドメイン内通信が混在している場合にも、ドメイン間では複雑なフィルタを設定せずにセキュリティを確保した通信を実行し、ドメイン内においては高速にパケットを中継することを技術的課題とする。
【0031】
【課題を解決するための手段】
本発明は前記課題を解決するために、以下の手段を採用した。
すなわち、本発明は、1以上のネットワークを接続した、そのような2以上のドメイン間を中継する通信データ中継装置であって、中継元のドメインが中継先のドメインへの経路情報を有している場合、
ネットワークにアクセスするための2以上のインターフェース部と、
1以上のネットワークからなるドメインを定義するドメイン定義部と、
ドメイン間における通信の可否を定義するドメイン間通信定義部と、
通信データの中継先を示す経路情報を前記ドメインごと区分して記憶する経路情報記憶部と、
通信データの中継を制御する中継制御部とを備えたものである。この通信データ中継装置において、中継制御部は、同一ドメイン内の中継においてはそのドメインに対応する経路情報記憶部を参照して通信データの中継を制御し、異なるドメイン間の中継においては前記ドメイン間通信定義部の定義に従い中継の可否を判定する。
【0032】
この通信データ中継装置は、中継先ドメインに対する宛先アドレス検索部をさらに備え、中継元のドメインが中継先のドメインへの経路情報を有していない場合に、宛先アドレス検索部は、中継元のドメイン内の送信元通信装置からの要求に対してその中継先のドメイン内の宛先アドレスを検索し、その宛先アドレスに対応付けられる中継元ドメイン内の中継アドレスを送信元通信装置へ通知する。
【0033】
中継制御部は、中継アドレス宛の通信データを中継先ドメインの宛先アドレスへ中継することができる。
この宛先アドレス検索部とは、例えば通信装置のネットワーク上の名称からそのアドレスを検索するものをいう。この宛先アドレス検索部は、他の通信装置に宛先アドレスの検索を依頼するものであってもよい。
【0034】
この通信データ中継装置は、通信データを処理する通信データ処理装置を接続したドメインへの経路制御情報記憶部をさらに備え、
前記中継制御部は、通信データの中継を制御するときに、この通信データ処理装置に通信データを処理させ、処理された通信データを中継するようにしてもよい。ここで、通信データ処理装置とは、例えば通信データの内容をチェックする装置である。
【0035】
【発明の実施の形態】
以下、本発明の好適な実施の形態を図面を参照して説明する。
(第1実施形態)
以下、本発明の第1実施形態を図1から図12の図面に基いて説明する。
【0036】
図1は第1実施形態におけるネットワーク構成図であり、図2は図1に示したルータ3のハードウェア構成図であり、図3は、このルータ3の機能構成図であり、図4及び図5は、図2に示したCPU14で実行される制御プログラムの処理を示すフローチャートであり、図6から図12はCPU14が取り扱うデータのデータ構造を示す図である。
<ネットワークの構成>
図1に第1実施形態におけるネットワーク構成図を示す。図1のように、本実施形態においては、ルータ3がイントラネットA、イントラネットB、イントラネットC、及びインターネットを接続している。図1のようにルータ3は、各ネットワークを論理的なインターフェースde0、de1、de2、及び、de3を介して接続する(インターフェース部に相当)。
【0037】
イントラネットAのプライベートアドレスは、10.25.165.0/24である。イントラネットAは、単独でドメイン1を構成している。イントラネットAは、ルータ3のインターフェースde1に接続されている。このイントラネットAは、ルータ3においてアドレス変換されることにより、インターネットと接続可能である。
【0038】
イントラネットBのプライベートアドレスは、192.168.0.0/16である。このイントラネットBには、通信装置192.168.5.1が接続されている。イントラネットBは、ルータ3のインターフェースde2に接続されている。このイントラネットBもルータ3を介してインターネットと接続可能である。
【0039】
イントラネットCのプライベートアドレスは、192.172.0.0/16である。イントラネットCは、ルータ3のインターフェースde3に接続されている。このイントラネットCもルータ3を介してインターネットと接続可能である。また、上記イントラネットBとイントラネットCとは、ドメイン2を構成する。
【0040】
インターネットは、グローバルアドレスでアクセスされる。また、インターネットには、ネットワーク4と、ネットワーク5とが接続されている。さらに、インターネットは、ルータ3のインターフェースde0に接続されている。
【0041】
ネットワーク4のグローバルアドレスは、100.10.5.0/24である。また、ネットワーク4には、通信装置100.10.5.2が接続されている。
ネットワーク5のグローバルアドレスは、150.10.23.0/24である。また、ネットワーク5には、通信装置150.10.23.5が接続されている。
【0042】
以上のインターネット、ネットワーク4及びネットワーク5は、ドメイン0を構成している。
図1に示した各ドメインは相互にネットワーク層での到達性がない独立した経路制御を行っている。さらに本実施形態においては、ドメイン2からドメイン0及び1に対して、アドレス変換を行うことで接続が許可されている。また、ドメイン1からドメイン2への通信は許可されていない。ドメイン1からドメイン0へは、アドレス変換を行うことで接続が許可されている。
<ルータ3のハードウェア構成>
図2に本実施形態に係るルータ3のハードウェア構成図を示す。
【0043】
このルータ3は、制御プログラムやデータを記憶するメモリ13と、メモリ13に記憶された制御プログラムを実行するCPU14と、CPU14から制御されて他の通信装置と通信する複数の物理インターフェース15a、15b、15cとを備えている。
【0044】
メモリ13は、CPU14が実行する制御プログラムやCPU14が処理するデータを記憶する。
CPU14は、メモリ13に記憶された制御プログラムを実行し、中継装置1としての機能を提供する。
【0045】
物理インターフェース15a、15b、15cは、CPU14からの指令により通信データをネットワーク10に送出し、またはネットワークから通信データを受信する。
<機能構成>
図3にルータ3の機能の構成図を示す。CPU14は、中継制御プログラム31と経路制御プログラム30とを実行することによりルータ3の機能を提供する。また、中継制御プログラム部分は、CPUによらず、ハードウェアにより構成してもよい。
【0046】
中継制御プログラム31は、パケット受信部28、経路検索部25、ドメイン間通信判定部26、アドレス変換部27、及びパケット送信部29からなる。この中継制御プログラム31を実行するCPU14が中継制御部に相当する。
【0047】
一方、CPU14は、上記中継制御プログラム31とは、別に経路制御プログラム30を実行している。これにより、CPU14は、他の通信装置及び他のルータとの間で経路情報を交換する。
[宛先ドメイン経路テーブル20]
宛先ドメイン経路テーブル20は、宛先ネットワークに対応する送信先インタフェース(以下送信インターフェースという)を登録したテーブルである。
【0048】
図8、図9及び図10に、各々ドメイン0、ドメイン1及びドメイン2を宛先とする宛先ドメイン経路テーブル20の例を示す。本実施形態において、宛先ドメイン経路テーブル20は、例えば、図8に示すように宛先ネットワークのアドレス、次ホップゲートウェイのアドレス、及びその宛先ネットワークに対応する送信インターフェースを識別する情報を有している。
【0049】
また、図8、図9及び図10に示すように、本実施形態では宛先ドメイン経路テーブル20は、宛先ドメインごとに独立したテーブル構造を有する。
CPU14は、パケットを中継する際に宛先ドメイン経路テーブル20を参照し、出力インターフェースを決定する。
[受信インターフェースドメイン経路テーブル21]
受信インターフェースドメイン経路テーブル21は、パケットを受信したインターフェース(以下受信インターフェースという)に対応するドメインの経路情報を格納する。この受信インターフェースドメイン経路テーブル21と上記宛先ドメイン経路テーブル20とが経路情報記憶部に相当する。
[ドメイン定義テーブル22]
ドメイン定義テーブル22は、各インタフェースに対応するドメインを定義したテーブルである(ドメイン定義部に相当)。図6に本実施形態におけるドメイン定義テーブル22の定義例を示す。
【0050】
図6のように、本実施形態においては、ドメイン定義テーブル22はインターフェースを識別する情報(インターフェース番号)とドメインを識別する情報(ドメイン番号)とを有している。例えば、インターフェース番号de0に対応するドメインは、ドメイン0である。
【0051】
なお、インターフェースとしては、物理的なインターフェースだけでなく、論理的なインターフェースを登録してもよい。
[ドメイン間通信定義テーブル23]
ドメイン間通信定義テーブル23は、ドメイン定義テーブル22で定義した各ドメインに対して、他のドメインとの接続の可否を定義したテーブルである(ドメイン間通信定義部に相当)。図7に本実施形態におけるドメイン間通信定義テーブル23の定義例を示す。
【0052】
図7のように、ドメイン間通信定義テーブル23は、送信元ドメイン->宛先ドメインの指定、そのドメイン間の通信の可否、及び、変換ルール(アドレス変換の方式)の組み合わせからなるレコードで構成される。本実施形態における設定では、例えば、ドメイン0からドメイン1及びドメイン2への通信は許可されない。また、ドメイン2からドメイン0及び1への通信は許可され、かつ、変換ルールとしてNATが適用される。
[アドレス変換テーブル24]
アドレス変換テーブル24は、アドレス変換前後の情報を対にしたレコードからなるテーブルである。図11に本実施形態におけるアドレス変換テーブル24の例を示す。
【0053】
図11のように、アドレス変換テーブル24は変換前後の送信元アドレス、宛先アドレス及び送受信インターフェースを1組にしたレコードから構成される。これらの情報は、送信元から宛先へのパケットが中継装置1を最初に通過するときに設定される。その後、2つ目以降のパケットの通信においては、アドレス変換テーブル24が参照される。
[経路検索部25]
経路検索部25は、パケットの宛先アドレスをキーとして、経路テーブルを検索する。
[ドメイン間通信判定部26]
ドメイン間通信判定部26は、パケットヘッダ情報やネームサービス(通信装置のホスト名称に対応するアドレスを示すプログラム)等を用いて、宛先の通信装置がどのドメインに属するか判定する。
[アドレス変換部27]
アドレス変換部27は、ドメイン間通信判定部26から、変換前後の情報(送信元アドレス、宛先アドレス)を受ける。この情報に従い、アドレス変換部27は、パケットのヘッダ内容を変換する。
[パケット受信部28]
パケット受信部28は、物理インターフェース15a等を監視する。そして、パケット受信部28は、物理インターフェース15a等に接続したネットワークからパケットを受信する。
[パケット送信部29]
パケット送信部29は、物理インターフェース15a等を制御し、物理インターフェース15a等に接続したネットワークへパケットを送信する。
[経路制御プログラム30]
経路制御プログラム30は、経路制御プロトコルを実行する。すなわち、経路制御プログラム30は、ドメイン内に流れる経路情報102を受信し、受信した経路情報102に合わせて自ルータの経路テーブルを変更する。また、経路制御プログラム30は、自ルータから同一ドメイン内の他ルータへのネットワーク到達性情報や接続コスト等を経路情報102に入れて、他ルータへ配布する。本実施形態では経路制御プログラム30はドメイン毎に個別用意する。各経路制御プログラム30は、各々対応するドメインと経路情報を交換する。その結果得られたドメインごとの経路情報は、宛先ドメインごとに宛先ドメイン経路テーブル20に保存される。
【0054】
なお、経路制御プロトコルとしては、RIP(Routing Information Protocol、インターネットに関するドキュメントRFC1058参照)、OSPF(Open Shortest Path First、RFC1131参照)等が知られている。
<機能概要>
以下図3に従い、ルータ3の機能概要を説明する。
(1)ルータ3はパケット受信部28により宛先ホストを指定されたパケット100を受信する。
(2)まず、経路検索部25は、受信インタフェースが属するドメインへの経路テーブル(受信インターフェースドメイン経路テーブル21)を検索する。受信インターフェースドメイン経路テーブル21の検索がヒットした場合、経路検索部25は、ドメイン内ルーティングとして中継する。すなわち、経路検索部25はパケット送信部29に指示し、出力インタフェースにパケットを出力させる。
【0055】
受信インタフェースドメイン経路テーブル21の検索がヒットしない場合、(3)以下に示す手順が実行される。
(3)ドメイン間通信判定部26は、受信したパケットのヘッダ情報、受信インタフェースなどをキーとしてアドレス変換テーブルを順引き、逆引きで検索する。 順引き、逆引きのどちらかで検索がヒットした場合は、ドメイン間通信判定部26は、アドレス変換手段にパケットを渡す。
【0056】
検索がヒットしない場合、ドメイン間通信判定部26は、パケットのヘッダ情報、宛先ドメイン経路テーブル20及びドメイン定義テーブル22から受信したパケットの宛先アドレスがどのドメインに属するかを調べる。次に、ドメイン間通信判定部26は、ドメイン定義テーブル22に登録された受信インターフェースが属するドメインを調べる。次に、ドメイン間通信判定部26は、ドメイン間通信定義テーブル23を参照し、受信インタフェースが属するドメインと宛先ドメインとの間の通信の可否を判断する。なお、ドメイン間通信定義テーブル23にはアドレス変換ルールも示されている。
(4)ドメイン間通信判定部は、受信インタフェースが属するドメインと宛先ドメインとの通信が可能な場合は、宛先ドメイン経路テーブル20を参照するよう経路検索部25に通知する。
(5)経路検索部25は、ドメイン間通信判定部26から起動され、宛先ドメイン経路テーブル20を検索する。この検索では、パケットヘッダ情報の宛先アドレスをキーとして使用する。
(6)アドレス変換部27はパケットに対しドメイン間通信定義テーブル24に記された変換ルールに従いパケットヘッダ情報を変換する。
(7)パケット送信部29は、検索された出力インタフェースにパケットを出力する。
(8)経路制御プログラム30は各ドメイン毎に起動し、各ドメインへの宛先ドメイン経路テーブル20及び受信インターフェースドメイン経路テーブル21を修正する。
<通常処理>
以下に、本実施形態におけるネットワーク間の接続条件を示す。
[接続条件1]イントラネットA(10.25.165.0)はルータ3によりアドレス変換されることでインタネットと通信可能である。
[接続条件2]イントラネットB(192.168.0.0)はルータ3を通してブランチオフィスであるイントラネットC(192.172.0.0)と接続される。
[接続条件3]イントラネットB,Cは共にルータ3を介してインターネットに接続可能である。
【0057】
図4及び図5に上記接続を実現するための中継制御プログラム31の処理を示す。この中継制御プログラム31は、CPU14において実行される。
まず、順方向の通信(送信元通信装置から宛先通信装置へのパケット送信)に対する処理を説明する。
(1)ルータ3でのパケット受信
今、ルータ3が、インターフェースde2を介して、ドメイン2に属するネットワーク192.168.100.0からパケットを受信した場合の処理を説明する。このパケットの宛先アドレスは、100.10.5.2、送信元アドレスは、192.168.5.1である。
(2)自局宛てパケット判定
まず、ルータ3のCPU14は、このパケットがルータ3そのものへ宛てられた(以下自局宛てという。自局宛を自ノード宛ともいう)パケットか否かを判定する(ステップS1、以下S1と略す)。自局宛てパケットは、ルータ3自身への通信パケットととして処理される(S3)。
【0058】
本実施形態では、自局宛てパケットは、ルータ3への環境設定パケットである。この環境設定パケットは、ネットワーク管理者がルータ3にリモートログインすることで発せられる。ルータ3の環境設定そのものに関する説明は省略する。
【0059】
今、パケットは、環境設定パケットではないため、S2の判定は、Noである。従って、CPU14は、処理をドメイン内通信判定(S4)に進める。
(3)ドメイン内通信判定
次に、CPU14は、このパケットが同一ドメイン内の宛先に宛てられているか否かを判定する(S4)。この判定では受信インタフェースが属するドメイン宛の宛先経路テーブル(受信インターフェースドメイン経路テーブル21)を検索する。その検索がヒットした場合は(S5の判定でYesの場合)、受信インターフェースに対応する送信元ドメインと宛先ドメインとが同一であることを意味する。すなわち、同一ドメイン内でパケットを中継すればよい(S6)。
【0060】
ヒットしなかった場合(S5の判定でNoの場合)は、ドメイン間通信判定部26に処理を渡す(S7)。この例では、同一ドメイン内の通信でないため、CPU14は制御をS7の処理に進める。
(4)ドメイン間通信判定部26、アドレス変換部27、及びパケット送信部29の処理
ドメイン間通信判定部26では、受信したパケットの宛先アドレス、送信元アドレスをキーとして図11のアドレス変換テーブル24を検索する。アドレス変換テーブル24の検索がヒットした場合は(S8の判定でYesの場合)、検索結果とともにパケットがアドレス変換部27に送られる(S9)。これは順方向通信でアドレス変換すべきパケットであることを示している。アドレス変換部27では、与えられた検索結果を元にパケットのヘッダを書き換える。また、CPU14は、アドレス変換テーブル24(図11)から送信インターフェースを求める。
【0061】
次に、CPU14は、パケット送信部29に制御を移し、パケットを上記送信インターフェースからネットワークに送信する(S11)。
この検索がヒットしない場合は(S8の判定でNoの場合)、CPU14は、図5に示す処理に制御を移す。すなわち、CPU14は、パケットの宛先アドレスをアドレス変換テーブル24における変換後の送信元アドレスとして、パケットの送信元アドレスをアドレス変換テーブル24における変換後の宛先アドレスとして、アドレス変換テーブル24を検索する(S12)。
【0062】
ここで、検索がヒットした場合は(S13の判定でYesの場合)、CPU14は、パケットが順方向通信に対する応答通信(逆方向通信)のパケットであると判断する。そこで、CPU14は、検索された内容と共にパケットをアドレス変換部27に渡す。さらにCPU14は、アドレス逆変換を指示する(S14)。その結果、CPU14は、パケットの宛先をアドレス変換テーブルにおける変換前の送信元アドレスに書き換える。また、CPU14は、アドレス変換テーブル24から返信先インターフェース(図11の受信インターフェース)を求める。
【0063】
次に、CPU14は、パケット送信部29に制御を移し、パケットを上記送信インターフェースからネットワークに送信する(S16)。
どちらにもヒットしない場合は(S13の判定でNoの場合)、CPU14は、ドメインをまたがる通信を行うかどうかを判断する(S17及びS18の処理)。これは新たにドメイン間通信を開始する場合に必要な処理である。
【0064】
すなわち、CPU14は、宛先アドレスをキーとして宛先ドメイン経路テーブル20の全体を検索して、送信インターフェースを求める。
今、宛先アドレスが、100.10.5.2であるので、CPU14は、送信インターフェースとしてde0を得る。次にCPU14は、この送信インターフェースをキーとしてドメイン定義テーブル22を検索して宛先ドメインを求める。今、送信インターフェースがde0であるので、CPU14は、宛先ドメインとしてドメイン0を得る。さらに、CPU14は、受信インターフェースをキーとして、ドメイン定義テーブル22を検索する。CPU14は、パケットを受信したインタフェース番号とドメイン定義テーブル22(図6)とから、CPU14は、送信元ドメインとしてドメイン2を得る(S17)。
【0065】
次に、CPU14は、得られた送信元ドメイン及び宛先ドメインをキーとして、図7のドメイン間通信定義テーブル23を検索する(S18)。
今、この検索はヒットするので(S19でYesの場合)、両ドメインの接続が許可されていることが分かる。また、NATによるアドレス変換が指定されていることが分かる。
【0066】
本実施例形態で実現するNATでは送信元アドレスのみが変換される。この変換には、宛先ドメインごとにプールされているIPアドレスが使用される
このとき、CPU14は、図11のアドレス変換テーブル24に、変換前のアドレスと変換後のアドレスを対応させて登録する(S20)。
【0067】
また、CPU14は、受信インターフェース、送信インターフェースもアドレス変換テーブル24に登録する(S21)。
次に、CPU14は、パケット送信部29に制御を移し、パケットを上記送信インターフェースからネットワークに送信する(S22)。
【0068】
S18の判定において、2つのドメイン間の接続が不許可の場合は(S19の判定でNoの場合)、CPU14は、パケットを廃棄する(S23)。
<効果>
以上によれば順方向、逆方向ともにドメイン間通信判定部26により許可されたパケットのみが宛先ドメイン経路テーブル24を参照可能となるため、悪意のあるパケットを誤って中継してしまうことを回避できる。
【0069】
また、本実施形態のルータ3では、宛先ドメインごとに経路テーブルを分離し、かつ、パケットを受信した段階で受信インタフェースドメイン経路テーブル21を優先的に参照する。このため、受信インタフェースに対応するドメイン宛のパケット(同一ドメイン内の宛先に対するパケット)に対しては、経路テーブルの検索は、そのドメインに対応する経路テーブル(受信インタフェースドメイン経路テーブル21)に限定される。その結果、同一ドメイン宛パケットの中継が効率化される。
【0070】
一方、インターネットからイントラネットに侵入する悪意のあるパケットを排除するためのドメイン間通信判定部26の処理は、上記のような同一ドメイン宛以外のパケットに対して実行すればよい。
<変形例>
上記第1実施形態においては、宛先ドメイン経路テーブル20と受信インターフェース経路テーブル21とが異なるテーブルとして構成された。しかし、本発明の実施は、このような構成に限定されるものではない。例えば、受信インターフェース経路テーブル21を宛先ドメイン経路テーブル20の一部として構成してもよい。ただし、上記第1実施形態と同様に、宛先ドメイン経路テーブル20は、各宛先ドメイン毎に論理的に独立したテーブル構造を有するものとする。
【0071】
この場合は、パケット受信部でパケットを受信した際、パケットを受信したインターフェースをキーとして、ドメイン定義テーブルを検索し、受信ドメインを決定し、適するドメイン経路テーブルを選択する。
【0072】
上記第1実施形態では、経路制御プログラム30は、各宛先ドメイン毎に個別に用意した。しかし、本発明の実施は、このような構成には、限定されない。例えば、1つの経路制御プログラム30(経路制御プロトコルを実行するCPU14上の1つのプロセス)を備えてもよい。その場合、このプログラムが宛先ドメインごとに経路情報を交換する処理を順次繰り返すようにすればよい。
【0073】
上記第1実施形態では、ルータ3は、論理的なインターフェースde0、de1、またはde2をドメインに対応付けた 。しかし、本発明の実施は、このような構成には、限定されない。例えば、論理的なインターフェースde0等を使用せず、直接物理インターフェース15a、15b、または15cを各ドメインに対応付けてもよい。この場合は、物理インターフェース15a等がインターフェース部に相当する。
【0074】
上記実施形態においては、宛先ドメイン経路テーブル20は、図8から図10のように宛先ドメインごとに分離して構成した。しかし、本発明の実施は、このような構成に限定されない。例えば、図12に示したように単一のテーブルで宛先ドメイン経路テーブル20を構成しても、テーブルを構成するレコードが宛先ドメインごとに分離されていればよい。
【0075】
上記実施形態の中継装置1では、ドメイン間で最初に通信されるパケットの宛先アドレスに基づき、全ての宛先ドメイン経路テーブルの全体を検索して出力インターフェースを求めた。そして、その出力インターフェースから宛先ドメインを決定し、送信元ドメインと宛先ドメインとのドメイン間の接続の可否を判定した(図5のS17及びS18の処理)。しかし、本発明の実施はこのような処理手順には限定されない。すなわち、宛先ドメイン経路テーブル間で、アドレスに重複がある場合を考慮し、S18の処理を先に行てもよい。まず、ドメイン間通信定義テーブル23を検索し、通信が許可されている受信ドメインを決定しておく。そして、そのような通信が許可されているドメインの経路テーブルのみを検索し、出力インターフェースを求めることも可能である(図5においてS18の処理を先に実行し、S17の処理を後から実行することに相当する)。
(第2実施形態)
図13から図17を参照して、本発明の第2実施形態を説明する。図13は、本実施形態のネットワーク構成図であり、図14は本実施形態に係るルータ3の機能構成図であり、図15は、ルータ3のCPU14で実行されるアドレス事前登録部25の処理を示すフローチャートであり、図16はアドレス事前登録部25の処理結果を示す図であり、図17はルータ3のCPU14で実行される中継制御プログラム31の処理を示す図である。
【0076】
上記第1実施形態では、宛先ドメイン経路テーブル20及び受信インターフェースドメイン経路テーブル21を備えたルータ3を説明した。この場合、上記第1実施形態では、ドメイン2においては、ドメイン0への経路が既知であった。
【0077】
本実施形態では、ルータ3に接続される2つのドメインにおいて互いに相手の経路が不明である場合の中継処理を説明する。ただし、送信元ドメインは相手ドメインのホスト名から相手ドメイン内のアドレスを知る手段があるものとする。他の構成及び作用については、第1形態と同様であるので、同一の構成については、同一の符号を付してその説明を省略する。また、必要に応じて図1から図12の図面を参照する。
<構成>
図13に本実施形態に係るネットワーク構成図を示す。本実施形態では、互いに相手への経路が不明なドメイン0とドメイン2とを接続するルータ3を説明する。
【0078】
図13のようにドメイン0には、sub1.0の名称で示されるネットワーク4が含まれている。また、ネットワーク4には、ホスト名n0.sub1.0のホストが接続されている。このホストn0.sub1.0のアドレスは、100.10.5.2である。
【0079】
また、ドメイン2には、アドレス192.168.5.1で示されるホストが接続されている。ドメイン0とドメイン2とは、互いに相手ドメインへの経路が不明である。ただし、本実施形態では、ドメイン2のホスト192.168.5.1は、宛先ホストのホスト名n0.sub1.0を知っているものとする。
【0080】
このような場合、本実施形態においては、送信元ホスト192.168.5.1は、ルータ3に対して宛先の名称に対応するアドレスを問い合わせることができる。
図14に本実施形態におけるルータ3の機能構成を示す。図14の構成は、アドレス変換事前登録部25(アドレス検索部に相当)が追加されている点で、図3に示した第1実施形態の構成と相違する。
【0081】
アドレス変換事前登録部25は、事前にアドレス変換テーブル24に変換前後の情報を登録する機能を有する。
<アドレス変換事前登録部25における処理>
以下、送信元ホスト192.168.5.1が、ルータ3に宛先のホスト名称に対応する宛先アドレスを問い合わせた場合の処理を説明する。
【0082】
図15にルータ3のCPU14が実行するアドレス変換事前登録部25の処理を示す。まず、CPU14は、ネームサービス(RFC921)を実行する不図示のサーバにその宛先のホスト名称n0.sub1.0に対応するドメイン0内のアドレスを問い合わせる(S41)。その結果、CPU14は、宛先ホストのアドレス100.10.5.2を得る。
【0083】
次に、CPU14は、宛先ホストのドメイン番号0に基づき、宛先ドメインごとに区分された宛先ドメイン経路テーブル20を検索し、出力インターフェースde0を求める(S42)。
【0084】
次にCPU14は、上記第1実施形態と同様に受信インターフェースde2の属するドメイン2を求める(S43)。
次にCPU14は、2つドメイン間の接続可否(ドメイン2からドメイン0への接続可否)をドメイン間通信定義テーブル23に従って判定する(S44)。2つのドメイン間の通信が認められない場合(S44の判定でNoの場合)、ルータ3は、その旨を送信元192.168.5.1へ通知する(S45)。
【0085】
一方、ドメイン2からドメイン0への通信が認められる場合(S44の判定でYesの場合)、CPU14は、予めプールしておいたドメイン2におけるエイリアスアドレス192.168.5.2を求める(S46)(以下、このエイリアスアドレスを受信インターフェースアドレスと呼ぶ)。また、CPU14は、予めプールしておいたドメイン0におけるエイリアスアドレス120.10.4.2を求める(以下、このエイリアスアドレスを送信インターフェースアドレスと呼ぶ)。
【0086】
そして、CPU14は、送信元アドレス192.168.5.1、受信インターフェースアドレス192.168.5.2、受信インターフェースde2、送信インターフェースアドレス120.10.4.2、宛先アドレス100.10.5.2、送信インターフェースde0をアドレス変換テーブル24に登録する(S47)。この登録された結果を図16に示す。
【0087】
次に、ルータ3は、送信元192.168.5.1に対し、本受信インタフェースアドレス192.168.5.2を予め通知する(S48)。これによって、送信元192.168.5.1は、その受信インタフェースアドレス192.168.5.2にパケットを送信すれば、所望の宛先ホストn0.sub1.0にパケットを送信できることを知る。
【0088】
以上の処理は、通信に先だって、送信元192.168.5.1とルータ3との間で実行される。このような設定の後、上記受信インターフェースアドレス192.168.5.2宛のパケットを受信したルータ3は、アドレス変換テーブル24に従い、宛先をアドレス100.10.5.2に変換し、出力インターフェースde0から送信する。この結果パケットは、ドメイン2からドメイン0に中継される。
<受信インターフェースアドレスによる接続処理>
図17に受信インターフェースアドレスによる接続処理のフローチャートを示す。この処理は、ルータ3のCPU14が、中継制御プログラム31として実行する。
(1)パケット受信
今、ルータ3が、インターフェースde2を介して、ドメイン2に属するネットワーク192.168.0.0からパケットを受信した場合の処理を説明する。このパケットの宛先アドレスは、192.168.5.2(上記受信インターフェースアドレス)、送信元アドレスは、192.168.5.1である。
(2)自局宛てパケット判定
まず、ルータ3のCPU14は、このパケットが自局宛てパケットか否かを判定する(S1)。
【0089】
本実施形態で、自局宛てパケットとは、ルータ3自身へのへの環境設定パケット、または上記通知した受信インターフェースアドレス宛のパケットである。
今、パケットは、受信インターフェースアドレス宛のパケットであるため、S2の判定は、Yesである。従って、CPU14は、制御をS31以下の処理に進める。
(3)自局あてパケット処理
次に、CPU14は、送信元アドレス192.168.5.1と宛先アドレス192.168.5.2とをキーにしてアドレス変換テーブル24を検索する(S31)。
【0090】
上記2つのアドレスの組み合わせは、アドレス変換テーブル24に登録済みであるので(図16参照)、この検索はヒットする(S32の判定でYesとなる)。そこでCPU14は、S33以下の処理に制御を進める。
【0091】
すなわち、CPU14は、アドレス変換部27を実行する(S33)。その結果、受信インターフェースアドレス192.168.5.2に対応するドメイン0内の宛先アドレス100.10 5.2及び送信インターフェースde0が求められる。
【0092】
次にCPU14は、パケット送信部29を実行し、上記宛先100.10 5.2に送信インターフェースde0からパケットを送信する。
(4)パケット返信処理
上記宛先100.10 5.2からの返信パケットの処理は、第1実施形態で説明した図5のフローチャートのS12からS16の処理と同様であるので、その説明を省略する。
【0093】
以上のように互いに経路情報を交換しない2つのドメイン間に対しても、ルータ3にアドレス変換事前登録部25を備えることで本発明の実施は可能である。
また、本実施形態のルータ3では、宛先ドメイン経路テーブル20を宛先ドメインごとに分離して構成する。従って、複数のドメイン間でプライベートアドレスが重複する場合でも、アドレス事前登録部25は、適切な出力インターフェースを宛先ドメイン経路テーブル20から求めることができる。
<変形例>
上記第2実施形態においては、互いに経路情報を交換しない2つのドメイン間を接続するルータ3を説明した。しかし、本発明の実施は、このようなドメイン間の接続に限定されない。すなわち、中継される2つのドメインの一方のみが、他方への経路情報を有していない場合にも本発明は同様に実施できる。つまり、中継先ドメインへの経路情報を有していないドメインから中継先へ通信する場合に、第2実施形態で説明したルータ3は、上記同様にパケットを中継できる。
(第3実施形態)
上記第1実施形態では、宛先ドメイン経路テーブル20及び受信インターフェースドメイン経路テーブル21を備えたルータ3を説明した。
【0094】
本実施形態では、上記第1実施形態の構成おいて、アドレス変換部27の提供する機能の一部(コンテンツチェック)を他のドメイン上のサーバ(通信データ処理装置に相当)に実行させるルータ3について説明する。
【0095】
図18を参照して、本発明の第3実施形態を説明する。図18は、本実施形態に係るルータ3の機能構成図である。図18は、サーバドメイン経路テーブル31及びコンテンツチェックサーバ32が付加されている点で第1実施形態の図3と相違する。他の構成及び作用については、第1実施形態及び第2実施形態と同様であり、同一の構成については、同一の符号を付してその説明を省略する。また、必要に応じて、図1から図17の図面を参照する。
【0096】
図18のように、本実施形態のルータ3のCPU14は、サーバへの経路情報を保持するサーバドメイン経路テーブル31を備えている。CPU14は、このサーバドメイン経路テーブル31を検索する。この検索結果に従い、CPU14は中継するパケットのアドレスをコンテンツチェックサーバ32宛に変換して送信する。次にCPU14は、コンテンツチェックが終わったパケットを受信する。次にCPU14は、そのパケットをアドレス逆変換し、本来の宛先ドメインへアドレス変換する。
【0097】
このようにコンテンツチェックをコンテンツチェックサーバ32に実行させることにより、ルータ3の負荷が低減され、高速な中継処理が実現される。
【0098】
【発明の効果】
以上説明したように、本発明によれば、1以上のネットワークを接続した、そのような2以上のドメイン間を中継する通信データ中継装置であって、
1以上のネットワークからなるドメインを定義するドメイン定義部と、
ドメイン間における通信の可否を定義するドメイン間通信定義部と、
通信データの中継先を示す経路情報を前記ドメインごと区分して記憶する経路情報記憶部とを備え、同一ドメイン内の中継においてはそのドメインに対応する経路情報記憶部を参照して通信データの中継を制御し、異なるドメイン間の中継においては前記ドメイン間通信定義部の定義に従い中継の可否を判定する。従って、ドメイン間、ドメイン内通信が混在している場合にも、ドメイン内においては高速にパケットを中継し、ドメイン間では複雑なフィルタを設定せずにセキュリティを確保した通信を実行することができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態におけるネットワーク構成図
【図2】本発明の第1実施形態におけるルータのハードウェア構成図
【図3】本発明の第1実施形態におけるルータの機能構成図
【図4】制御プログラムの処理を示すフローチャート(1)
【図5】制御プログラムの処理を示すフローチャート(2)
【図6】ドメイン定義テーブルのデータ構造を示す図
【図7】ドメイン間通信定義テーブルのデータ構造を示す図
【図8】宛先ドメイン経路テーブルのデータ構造を示す図(1)
【図9】宛先ドメイン経路テーブルのデータ構造を示す図(2)
【図10】経路テーブルのデータ構造を示す図(3)
【図11】アドレス変換テーブルのデータ構造を示す図
【図12】実際の経路テーブルのデータ構造例を示す図
【図13】本発明の第2実施形態におけるネットワーク構成図
【図14】本発明の第2実施形態におけるルータの機能構成図
【図15】アドレス事前登録部の処理を示すフローチャート
【図16】アドレス事前登録部によるアドレス変換テーブルへの登録結果
【図17】受信インターフェースアドレスによる中継処理を示すフローチャート
【図18】本発明の第3実施形態におけるルータの機能構成図
【図19】従来技術LSP(ラベル・スイッチ・パス)の概要
【図20】従来技術片方向NATの概要
【図21】従来技術両方向NATの概要
【図22】従来技術アプリケーションゲートウェイの概要
【符号の説明】
3 ルータ
13 CPU1
14 メモリ
15a 物理インターフェース
15b 物理インターフェース
15c 物理インターフェース
20 宛先ドメイン経路テーブル
21 受信インターフェース経路テーブル
22 ドメイン定義テーブル
23 ドメイン間通信定義テーブル
24 アドレス変換テーブル
Claims (3)
- 1以上のネットワークからなる、そのような2以上のドメイン間を中継する通信データ中継装置であって、中継元のドメインが中継先のドメインへの経路情報を有している場合、
前記ネットワークにアクセスするための2以上のインターフェース部と、
1以上のネットワークからなるドメインを定義するドメイン定義部と、
ドメイン間における通信の可否を定義するドメイン間通信定義部と、
通信データの中継先を示す経路情報を前記ドメインごと区分して記憶する経路情報記憶部と、
通信データの中継を制御する中継制御部とを備え、
前記中継制御部は、同一ドメイン内の中継においてはそのドメインに対応する経路情報記憶部を参照して通信データの中継を制御し、異なるドメイン間の中継においては前記ドメイン間通信定義部の定義に従い中継の可否を判定する通信データ中継装置。 - 前記通信データ中継装置は中継先ドメインに対する宛先アドレス検索部をさらに備え、中継元のドメインが中継先のドメインへの経路情報を有していない場合に、
前記宛先アドレス検索部は、中継元のドメイン内の送信元通信装置からの要求に対してその中継先のドメインへの宛先アドレスを検索し、その宛先アドレスに対応付けられる中継元ドメイン内の中継アドレスを送信元通信装置へ通知し、
前記中継制御部は、前記中継アドレス宛の通信データを前記中継先ドメインの宛先アドレスへ中継する請求項1記載の通信データ中継装置。 - 通信データを処理する通信データ処理装置を接続したドメインへの経路制御情報記憶部をさらに備え、
前記中継制御部は、通信データの中継を制御するときに、前記通信データ処理装置に通信データを処理させ、処理された通信データを中継する請求項1記載のの通信データ中継装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000102702A JP4236364B2 (ja) | 2000-04-04 | 2000-04-04 | 通信データ中継装置 |
US09/825,178 US7574522B2 (en) | 2000-04-04 | 2001-04-03 | Communication data relay system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000102702A JP4236364B2 (ja) | 2000-04-04 | 2000-04-04 | 通信データ中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2001292163A JP2001292163A (ja) | 2001-10-19 |
JP4236364B2 true JP4236364B2 (ja) | 2009-03-11 |
Family
ID=18616532
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000102702A Expired - Fee Related JP4236364B2 (ja) | 2000-04-04 | 2000-04-04 | 通信データ中継装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7574522B2 (ja) |
JP (1) | JP4236364B2 (ja) |
Families Citing this family (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7054328B2 (en) * | 2001-07-23 | 2006-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Signal transfer point with internet protocol capability within a telecommunications network |
US7586940B1 (en) * | 2001-07-24 | 2009-09-08 | Cisco Technology, Inc. | Forwarding packets in a gateway performing network address translation (NAT) |
KR100424457B1 (ko) * | 2001-08-29 | 2004-03-26 | 삼성전자주식회사 | 디지털 가입자 회선 가입자측 단말장치의 인터넷 프로토콜패킷 필터링방법 |
JP2003087297A (ja) * | 2001-09-13 | 2003-03-20 | Toshiba Corp | パケット転送装置およびパケット転送方法 |
US7039052B2 (en) * | 2001-09-19 | 2006-05-02 | International Business Machines Corporation | Selective routing of multi-recipient communications |
US7533183B1 (en) * | 2001-12-28 | 2009-05-12 | Nortel Networks Limited | Central control of multiple address domains within a router |
US7356031B1 (en) * | 2002-02-01 | 2008-04-08 | Cisco Technology, Inc. | Inter-v4 realm routing |
JP2004040476A (ja) * | 2002-07-03 | 2004-02-05 | Mitsubishi Electric Corp | アドレス変換装置 |
JP2004120534A (ja) * | 2002-09-27 | 2004-04-15 | Matsushita Electric Ind Co Ltd | ルータと中継装置、フォワーディング方法 |
US7760729B2 (en) * | 2003-05-28 | 2010-07-20 | Citrix Systems, Inc. | Policy based network address translation |
US7924725B2 (en) * | 2003-11-10 | 2011-04-12 | Nortel Networks Limited | Ethernet OAM performance management |
US20050198352A1 (en) * | 2004-02-23 | 2005-09-08 | Nokia Corporation | Automated data migration |
WO2005101217A1 (ja) * | 2004-04-14 | 2005-10-27 | Nippon Telegraph And Telephone Corporation | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 |
US20050271047A1 (en) * | 2004-06-02 | 2005-12-08 | Huonder Russell J | Method and system for managing multiple overlapping address domains |
US8462808B2 (en) * | 2004-09-02 | 2013-06-11 | Brother Kogyo Kabushiki Kaisha | Information server and communication apparatus |
EP1672849B1 (fr) * | 2004-12-16 | 2011-10-19 | France Telecom | Procédé d'exploitation d'un réseau informatique local relié à un réseau distant privé par un tunnel IPsec |
US7535926B1 (en) * | 2005-01-07 | 2009-05-19 | Juniper Networks, Inc. | Dynamic interface configuration for supporting multiple versions of a communication protocol |
JP4482465B2 (ja) * | 2005-02-09 | 2010-06-16 | 株式会社エヌ・ティ・ティ・ドコモ | 中継装置、端末装置、通信システムおよび通信制御方法 |
CN1878126A (zh) * | 2005-06-07 | 2006-12-13 | 华为技术有限公司 | 通信网络中实现信令代理的方法 |
US8966113B2 (en) * | 2006-03-03 | 2015-02-24 | Cisco Technology, Inc. | Technique for dynamically restoring original TE-LSP attributes for interdomain TE-LSPs |
JP4630225B2 (ja) * | 2006-05-15 | 2011-02-09 | 富士通株式会社 | 通信制御システム |
US7983164B2 (en) * | 2006-12-01 | 2011-07-19 | Electronics And Telecommunications Research Institute | Apparatus and method for merging internet traffic mirrored from multiple links |
WO2008111206A1 (ja) | 2007-03-15 | 2008-09-18 | Fujitsu Limited | 中継ノード |
WO2008129637A1 (ja) * | 2007-04-12 | 2008-10-30 | Fujitsu Limited | シグナリング装置及びシグナリング方法 |
US7924810B2 (en) * | 2007-06-21 | 2011-04-12 | Hewlett-Packard Development Company, L.P. | Method and computing system for controlling access |
US8028090B2 (en) * | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
JP5051238B2 (ja) * | 2007-11-13 | 2012-10-17 | 富士通株式会社 | 制御代理装置 |
JP4667473B2 (ja) * | 2008-01-15 | 2011-04-13 | 日本電信電話株式会社 | データ中継装置、データ中継方法およびデータ中継プログラム |
US20100124220A1 (en) * | 2008-11-18 | 2010-05-20 | Morris Robert P | Method And Systems For Incrementally Resolving A Host Name To A Network Address |
JP5672779B2 (ja) * | 2010-06-08 | 2015-02-18 | ソニー株式会社 | 送信制御装置、および送信制御方法 |
KR101300245B1 (ko) * | 2010-12-03 | 2013-08-26 | 한국전자통신연구원 | 프로세스 통신을 지원하는 서버 및 그의 동작 방법 |
WO2012094602A1 (en) * | 2011-01-07 | 2012-07-12 | Interdigital Patent Holdings, Inc. | Client and server group sso with local openid |
US9716619B2 (en) | 2011-03-31 | 2017-07-25 | NextPlane, Inc. | System and method of processing media traffic for a hub-based system federating disparate unified communications systems |
CN102959906B (zh) * | 2011-04-08 | 2015-04-15 | 华为技术有限公司 | 多归属站点内主机的路由选择方法和装置 |
JP5440574B2 (ja) * | 2011-08-31 | 2014-03-12 | ブラザー工業株式会社 | ノード装置、情報通信方法及びプログラム |
US20130308496A1 (en) * | 2012-05-21 | 2013-11-21 | Broadcom Corporation | System and Method for Generic Multi-Domain Network Pruning |
JP6127618B2 (ja) * | 2013-03-15 | 2017-05-17 | 株式会社リコー | 情報処理装置、情報処理システム、中継方法およびプログラム |
US20140359457A1 (en) * | 2013-05-30 | 2014-12-04 | NextPlane, Inc. | User portal to a hub-based system federating disparate unified communications systems |
KR20150006747A (ko) * | 2013-07-09 | 2015-01-19 | 한국전자통신연구원 | 식별자/위치자 분리 환경에서의 패킷 포워딩 방법 및 장치 |
JP6340875B2 (ja) * | 2014-03-31 | 2018-06-13 | 沖電気工業株式会社 | 中継装置 |
US9819573B2 (en) * | 2014-09-11 | 2017-11-14 | Microsoft Technology Licensing, Llc | Method for scalable computer network partitioning |
US10210347B2 (en) * | 2015-06-22 | 2019-02-19 | Symantec Corporation | Techniques for managing privacy of a network communication |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5493607A (en) * | 1992-04-21 | 1996-02-20 | Boston Technology | Multi-system network addressing |
JP3446047B2 (ja) | 1994-07-26 | 2003-09-16 | 日本電信電話株式会社 | マルチメディアサービスアクセス方法及びマルチメディアサービスアクセス方式 |
US5684800A (en) * | 1995-11-15 | 1997-11-04 | Cabletron Systems, Inc. | Method for establishing restricted broadcast groups in a switched network |
US7272625B1 (en) * | 1997-03-10 | 2007-09-18 | Sonicwall, Inc. | Generalized policy server |
US6345299B2 (en) * | 1997-11-26 | 2002-02-05 | International Business Machines Corporation | Distributed security system for a communication network |
JP3859369B2 (ja) * | 1998-09-18 | 2006-12-20 | 株式会社東芝 | メッセージ中継装置及び方法 |
US6192051B1 (en) * | 1999-02-26 | 2001-02-20 | Redstone Communications, Inc. | Network router search engine using compressed tree forwarding table |
US6952401B1 (en) * | 1999-03-17 | 2005-10-04 | Broadcom Corporation | Method for load balancing in a network switch |
US7139838B1 (en) * | 1999-10-21 | 2006-11-21 | Nortel Networks Limited | Apparatus and method of distributing routing information |
US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
US6615273B1 (en) * | 2000-01-20 | 2003-09-02 | Lucent Technologies Inc. | Method for performing enhanced target identifier (TID) address resolution |
-
2000
- 2000-04-04 JP JP2000102702A patent/JP4236364B2/ja not_active Expired - Fee Related
-
2001
- 2001-04-03 US US09/825,178 patent/US7574522B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US7574522B2 (en) | 2009-08-11 |
JP2001292163A (ja) | 2001-10-19 |
US20020023152A1 (en) | 2002-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4236364B2 (ja) | 通信データ中継装置 | |
JP7004405B2 (ja) | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 | |
EP1164754B1 (en) | Methods and arrangements in a telecommunications system | |
CA2412096C (en) | Method and arrangement for handling information packets via user selectable relay nodes | |
JP5645139B2 (ja) | ネットワークシステム、コントローラ、ネットワーク制御方法 | |
US7886062B2 (en) | Packet relaying method and packet relaying system | |
US20060056420A1 (en) | Communication apparatus selecting a source address | |
JP4766976B2 (ja) | ノード間接続方法及び装置 | |
JP2004364141A (ja) | Ipアドレス変換装置およびパケット転送装置 | |
CN115150312B (zh) | 一种路由方法及设备 | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
WO2006131057A1 (fr) | Procédé et appareil d’implémentation du proxy de signalisation | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061113 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081114 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081202 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081216 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121226 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121226 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131226 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |