JP4648182B2 - パケット中継システム - Google Patents
パケット中継システム Download PDFInfo
- Publication number
- JP4648182B2 JP4648182B2 JP2005364658A JP2005364658A JP4648182B2 JP 4648182 B2 JP4648182 B2 JP 4648182B2 JP 2005364658 A JP2005364658 A JP 2005364658A JP 2005364658 A JP2005364658 A JP 2005364658A JP 4648182 B2 JP4648182 B2 JP 4648182B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- request
- path
- relay
- filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012545 processing Methods 0.000 claims description 141
- 238000001914 filtration Methods 0.000 claims description 139
- 238000000034 method Methods 0.000 claims description 101
- 230000008569 process Effects 0.000 claims description 93
- 230000005540 biological transmission Effects 0.000 claims description 73
- 238000010276 construction Methods 0.000 claims description 14
- 238000006467 substitution reaction Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 12
- 238000012546 transfer Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 101001046686 Homo sapiens Integrin alpha-M Proteins 0.000 description 5
- 101000935040 Homo sapiens Integrin beta-2 Proteins 0.000 description 5
- 102100022338 Integrin alpha-M Human genes 0.000 description 5
- 101000962498 Macropis fulvipes Macropin Proteins 0.000 description 5
- 239000000470 constituent Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 1
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 1
- 102100039558 Galectin-3 Human genes 0.000 description 1
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 1
- 101150115300 MAC1 gene Proteins 0.000 description 1
- 101150051246 MAC2 gene Proteins 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
パケット中継装置10は、ネットワークに配置されるルータなどのノードであって、テーブル管理部T、パス構築部11、パケット受信部12−1、宛先決定部13、フィルタ状態判別部14、フィルタ処理部15a、フィルタ処理依頼部16a、フィルタ代行処理部17b、フィルタ返信部18b、ポートデコード部19a、パケット更新部12−2、パケット送信部12−3から構成される。なお、図1と同じ構成要素には同一符号を付けて説明は省略する。
パケット中継装置10は、通常のフィルタ処理を行った上で、フィルタ結果がpermit(中継許可)であれば、ヘッダ情報の更新処理を行ってパケット送信し、フィルタ結果がdeny(中継禁止)であればパケットを廃棄する。
パケット中継装置10は、フィルタ処理依頼部16aの動作によって、依頼先ノード宛に依頼パス経由でパケットを送信する。ただしこの場合、宛先決定部13で求めた宛先情報を、フィルタ状態判別部14で求めた依頼先情報(依頼側宛先ポート及び依頼パス識別子)で上書きして送信する。
パケット中継装置10は、フィルタ代行処理部17bの動作によって、パケット中の各種ヘッダ及びパケット中に埋め込まれた依頼パス識別子を使ってパケットフィルタ処理を行う。
パケット中継装置10は、ポートデコード部19aにより依頼時の受信ポート情報をデコードした上で、マルチキャスト中継の場合は、パケット更新部12−2によりマルチキャスト時のパケット複製、レイヤ3中継時のヘッダ更新、レイヤ2中継時のDynamic Filteringなどを行い、宛先決定部13が導出した宛先にもとづきパケットを送信する。
いま、ノードR1が、ポートP1a−1から、下記の情報を持つIPパケットを受信したものとする。
(パケット受信部12−1)
パケット受信部12−1は、受信VLAN−IDの決定と、中継レイヤの判別を行う。
受信パケットが、VLANタグ無しパケットであれば、ポートVLANテーブルT1−1を参照して受信VLANを決定し、VLANタグありパケットであればパケット中のVLAN−IDを受信VLANと認識する。ここではポートVLANテーブルT1−1のP1a−1エントリを参照した結果、受信VLAN−ID=1と認識する。
パケットの宛先MACアドレス及びIPアドレスを参照して、中継レイヤを以下の(1)、(2)のように識別する。
宛先MACアドレス=01:00:5e:0x:xx:xx:IPマルチキャスト
宛先MACアドレス≠01:00:5e:0x:xx:xx:レイヤ2マルチキャスト
01:00:5e:0x:xx:xxは、上位25ビットが、16進で固定値“01:00:5e:0”であることを示す。
宛先MACアドレス=自装置MAC時:IPユニキャスト
宛先MACアドレス≠自装置MAC時:レイヤ2ユニキャスト
なお、宛先MACアドレスがマルチキャストかどうかは、MACアドレスの上位8ビット目=1か否かで判別する。ここではノードR1の自装置MACアドレス=MAC−1とし、IPユニキャストの処理対象が認識されたものとする。
レイヤ3の宛先決定部13により宛先を決定する。ルーティングテーブルT3−1及びARPテーブルT4−1の検索の結果、次ホップノード=ノードR3と認識し、各種送信パラメタ(宛先ポート、送信VLAN−ID、宛先MAC)を獲得する。
フィルタ状態判別テーブルT6−1の検索の結果、2番目のエントリにヒットし、フィルタ依頼不要と判別する。もしもフィルタ結果=denyであれば、パケットを廃棄する。
パケット更新部12−2は、IP/MACのヘッダ更新を行い、パケット送信部12−3は、ヘッダ更新されたIPパケットをノードR3宛に送信する。
(A)ノードR1にてフィルタを依頼するフロー:
いま、ノードR1が、ポートP1b−2から、下記IPパケットを受信したものとする。
(パケット受信部12−1)
受信VLAN−ID=2と認識し、VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1b−2が該当VLANに所属するため、受信対象として認識する。また、IPユニキャストの処理対象と認識する。
レイヤ3の宛先決定部13により宛先を決定する。ルーティングテーブルT3−1及びARPテーブルT4−1の検索の結果、次ホップノード=ノードR3と認識し、各種送信パラメタ(宛先ポート、送信VLAN−ID、宛先MAC)を獲得する。
フィルタ状態判別テーブルT6−1の検索の結果、4番目のエントリにヒットし、フィルタ依頼要と判別する。また依頼先ノード情報(宛先ポート=P1c、送信VLAN−ID=VLAN−p1)とヘッダ操作情報(タグ挿入)を獲得する(P1cは依頼側宛先ポートであり、VLAN−p1は依頼パス識別子である)。
フィルタ状態判別テーブルT6−1から得られた情報にしたがい、パケットに、フィルタ依頼用パスの識別子を挿入する。具体的には、パケット中にVLAN−p1をVLANタグとして挿入する(パケットフォーマットは後述する)。
フィルタ状態判別テーブルT6−1から得られた情報にしたがい、宛先ポートP1cからパケットを送信する。
ノードR2は、ポートP2cから、下記IPパケットを受信する。
・送信元MAC=端末t9、宛先MAC=MAC−1、VLAN−ID=VLAN−p1(タグVLAN)、宛先IP=サーバ21
(パケット受信部12−1)
受信VLAN−ID=VLAN−p1と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP2cが該当VLANに所属するため、受信対象として認識する。レイヤ2ユニキャスト処理対象と認識する。
レイヤ2の宛先決定部13により宛先を決定する。この場合、学習テーブルT5−2の検索を行うがミスヒットするので、さらにVLANメンバテーブルT2−2を参照し、宛先ポート群情報を得る。
フィルタ状態判別テーブルT6−2の検索の結果、1番目のエントリにヒットし、フィルタ代行要と判別する。フィルタ代行要と判別した時点で、宛先決定部13で得られた宛先情報は全て無効化される。また返信先ノード情報(宛先ポート=P2c、送信VLAN−ID=VLAN−q1)とヘッダ操作情報(タグ置換)を獲得する(P2cは代行側宛先ポートであり、VLAN−q1は返信パス識別子である)。
フィルタ代行処理部17bは、フィルタのキーとして受信ポート番号(P2c)は使用せず、依頼用VLANのVLAN−ID(VLAN−p1)を使って、フィルタテーブルT7−2の検索を行う。フィルタテーブルT7−2の検索により、3エントリ目にヒットするので、フィルタ結果=permitと判断する。
フィルタ返信部18bは、フィルタ状態判別テーブルT6−2から得られた情報にしたがい、パケット中のVLANタグ中のVLAN−IDを、VLAN−q1で置換する(VLAN−p1を削除してVLAN−q1を挿入する)。
フィルタ状態判別テーブルT6−2から得られた情報にしたがい、宛先ポートP2cからパケットを送信する(通常のレイヤ2中継と異なり、Dynamic Filteringを行わない)。
ノードR1は、ポートP1cから、下記IPパケットを受信する。
・送信元MAC=端末t9、宛先MAC=MAC−1、VLAN−ID=VLAN−q1(タグVLAN)、宛先IP=サーバ21
(パケット受信部12−1)
受信VLAN−ID=VLAN−q1と認識する。VLANメンバテーブルを受信VLAN−IDで参照し、受信ポートP1cが該当VLANに所属するため、受信対象として認識する。IPユニキャスト処理対象と認識する。
レイヤ3の宛先決定部13により宛先を決定する。ルーティングテーブルT3−1及びARPテーブルT4−1の検索の結果、次ホップノード=ノードR3と認識し、各種送信パラメタ(宛先ポート、送信VLAN−ID、宛先MAC)を獲得する。
フィルタ状態判別テーブルT6−1の検索の結果、1番目のエントリにヒットし、フィルタ代行済と判別する。また、ヘッダ操作情報(タグ削除)を獲得する。
ポートデコードテーブルT8−1を返信用VLAN−ID値であるVLAN−q1により参照し、受信ポート番号P1b−2を得る。
パケット更新部12−2は、フィルタ状態判別テーブルT6−1から得られた情報にしたがい、パケット中のフィルタ返信用VLANタグ(VLAN−q1)を削除した後、中継レイヤに応じたヘッダ更新を行い、パケット送信部12−3によってパケットが送信される。
(A)ノードR1にてフィルタを依頼するフロー
いま、ノードR1が、ポートP1b−2から、下記IPパケットを受信したものとする。
(パケット受信部12−1)
受信VLAN−ID=2と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1b−2が該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
宛先決定部13は、マルチキャスト用ルーティングテーブルを検索する。図18はマルチキャスト用ルーティングテーブルを示す図である。マルチキャスト用ルーティングテーブルT9−1の検索の結果、宛先ポート=P1c、P1d、P1b−1、P1b−2それぞれへの出力時の中継レイヤの情報を獲得する。また、レイヤ3中継時には送信VLAN−IDも獲得する。なお、マルチキャスト用ルーティングテーブルT9−1もテーブル管理部Tで管理されるテーブルである。
フィルタ依頼要と判別し、宛先決定部13により獲得した各種送信パラメタ情報は消滅し、フィルタ状態判別テーブルT6−1の検索により獲得した依頼先ノード情報で上書きされる。
VLAN−p1をIDとしたVLANタグ付きパケットをノードR2に送信する。
(B)ノードR2にてフィルタ処理を代行するフロー
ノードR2は、ポートP2cから、下記IPパケットを受信する。
(パケット受信部12−1)
受信VLAN−ID=VLAN−p1と認識する。VLANメンバテーブルT2−2を受信VLAN−IDで参照し、受信ポートP2cが該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
第1の実施の形態と同様に、フィルタ代行処理を行い、ノードR1にパケットを返信する。
ノードR1は、ポートP1cから、下記IPパケットを受信する。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLAN−ID=VLAN−q1(タグVLAN)、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=VLAN−q1と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1cが該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
マルチキャスト用ルーティングテーブルT9−1の検索の結果、宛先ポート=P1c、P1d、P1b−1、それぞれへの出力時の中継レイヤ、及びレイヤ3中継時には送信VLAN−IDも獲得する。
フィルタ状態判別テーブルT6−1の検索の結果、1番目のエントリにヒットし、フィルタ代行済と判別する。また、ヘッダ操作情報を獲得する。
ポートデコードテーブルT8−1を返信用VLAN−ID値であるVLAN−q1により参照、受信ポート番号P1b−2を得る。
パケット更新部12−2は、まずフィルタ状態判別テーブルT6−1から得られた情報にしたがい、パケット中のフィルタ返信用VLANタグを削除する。以降の処理は、返信用VLAN−ID値から受信ポートをデコードする以外は、通常のパケット中継の更新処理と同じである。
フィルタのキーは、(受信ポート、送信ポート、送信元MAC)とする。図4に示したフィルタテーブルT0−1において、ネットワーク管理者は、ノードR1のエントリ不足を認識し、ノードR1において(受信ポート=ポートP1b−2、送信ポート=ポートP1d)のパケットに関し、ノードR2でパケットフィルタ処理を代行させるようなシステム構築を考えたものと想定する。
パス構築部11による設定は、まず、ノードR1とノードR2の間に、(受信ポートP1b−2、送信ポートP1d、中継レイヤ=レイヤ3)を対応付けたフィルタ依頼用VLAN及び返信用VLANを構築する。また、VLANメンバテーブルは、第2の実施の形態で使用したVLANメンバテーブルT2−1、T2−2と同じものを使い、フィルタ状態判別テーブルT6a−1、T6a−2は、第2の実施の形態で使用したフィルタ状態判別テーブルT6−1、T6−2に対し、送信ポートが追加されたテーブルとなる。また、代行済み時に関する連想データには、受信VLAN−ID値に対応する宛先情報を、ヘッダ更新のレイヤ情報も格納する。
(A)ノードR1にてフィルタ処理を依頼するフロー
いま、ノードR1が、ポートP1b−2から、下記IPパケットを受信したものとする。
(パケット受信部12−1)
受信VLAN−ID=2と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1b−2が該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
マルチキャスト用ルーティングテーブルT9−1の検索の結果、宛先ポート=P1c、P1d、P1b−1、P1b−2、それぞれへの出力時の中継レイヤ、及びレイヤ3中継時には送信VLAN−IDの各情報を獲得する。
宛先決定部13で求まった各送信ポートと受信ポートの対によりフィルタ状態判別テーブルT6a−1を検索し、(受信ポート=P1b−2、送信ポート=P1d)についてフィルタ依頼要と判別される。
ノードR2への転送に先立ち、パケットの複製及びDynamic Filtering処理を行う。その結果、P1c、P1d、P1b−1宛のパケットが3つ生成される。
・P1d宛パケット:フィルタ処理依頼部16a及びパケット送信部12−3での処理を実行する。
第2の実施の形態と同様に、VLAN−p1をIDとしたVLANタグ付きパケットをノードR2に送信する。
ノードR2は、ポートP2cから、下記IPパケットを受信する。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLAN−ID=VLAN−p1(タグVLAN)、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=VLAN−p1と認識する。VLANメンバテーブルT2−2を受信VLAN−IDで参照し、受信ポートP2cが該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
第1の実施の形態と同様に、フィルタ代行処理を行い、ノードR1にパケットを返信する。
ノードR1は、ポートP1cから、下記IPパケットを受信する。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLAN−ID=VLAN−q1(タグVLAN)、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=VLAN−q1と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1cが該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
マルチキャスト用ルーティングテーブルT9−1の検索の結果、宛先ポート=P1c、P1d、P1b−1、それぞれへの出力時の中継レイヤ、及びレイヤ3中継時には送信VLAN−IDの各情報を獲得する。
フィルタ状態判別テーブルT6a−1の検索の結果、1番目のエントリにヒットし、フィルタ代行済と判別される。この時点で宛先決定部13により獲得した各種送信パラメタ情報は消滅し、フィルタ状態判別テーブルT6a−1の検索により獲得した依頼先ノード情報で上書きされる。
パケット更新部12−2は、まずフィルタ状態判別テーブルT6a−1から得られた情報にしたがい、パケット中のフィルタ返信用VLANタグを削除する。次に、フィルタ状態判別テーブルT6a−1がレイヤ3パケットであることを示しているので、ヘッダ更新を行った上で、パケット送信部12−3は、パケットを送信する。以上の動作により、別ノードへのフィルタ依頼が可能となる。
(1)パス構築部11では、VLANタグを使って依頼パス及び返信パスを構築していたが、IPトンネルのように、その他のトンネルプロトコルを使ったパスであってもよい。また、パスのID値は、既存のプロトコルヘッダに埋め込まず、独自ヘッダに埋め込む形でもよい。
受信パケットのフィルタ処理を他装置へ依頼して代行させる際に、代行候補へフィルタ処理を代行させるパケットを送信するための依頼パスを構築し、かつ代行候補でフィルタ処理が代行された後のパケットを受信するための返信パスを構築するパス構築部と、受信パケットに対して、他装置へフィルタ処理を代行させるための依頼要、不要、または代行済のいずれかを判別し、依頼要であれば、代行装置へパケットを送信する際の依頼側宛先ポートと、前記依頼パスの識別子と、を取得するフィルタ状態依頼元判別部と、パケットに依頼パス識別子を挿入して、フィルタ処理依頼パケットを生成するフィルタ処理依頼部と、前記依頼側宛先ポートから代行装置へ向けて、前記フィルタ処理依頼パケットの送信処理を行う依頼元送信部と、フィルタ処理代行パケットを受信して、前記フィルタ処理代行パケットが前記フィルタ状態依頼元判別部によってフィルタ処理が代行済と判別された場合は、パケットに挿入されている返信パス識別子を削除し、ヘッダ情報を更新してパケット中継を行うパケット更新部と、から構成される依頼元パケット中継装置と、
前記依頼パス識別子が挿入された前記フィルタ処理依頼パケットを受信した場合に、フィルタ処理の代行要、不要を判別し、代行要であれば、前記依頼元パケット中継装置へパケットを送信する際の代行側宛先ポートと、前記返信パス識別子と、を取得するフィルタ状態代行側判別部と、受信パケットのフィルタ処理の条件が設定された代行側フィルタテーブルと、フィルタ処理の代行を行う場合、前記依頼パス識別子をキーにして、前記代行側フィルタテーブルを検索し、前記フィルタ処理依頼パケットが中継許可か廃棄かを判別するフィルタ代行処理部と、中継許可の場合、前記フィルタ処理依頼パケットから前記依頼パス識別子を削除して、前記返信パス識別子を挿入して前記フィルタ処理代行パケットを生成するフィルタ返信部と、前記代行側宛先ポートから前記依頼元パケット中継装置へ向けて、前記フィルタ処理代行パケットの折り返し送信処理を行う代行側送信部と、から構成される代行側パケット中継装置と、
を有することを特徴とするパケット中継システム。
受信パケットのフィルタ処理を他装置へ依頼して代行させる際に、代行候補へフィルタ処理を代行させるパケットを送信するための依頼パスを構築し、かつ代行候補でフィルタ処理が代行された後のパケットを受信するための返信パスを構築するパス構築部と、
受信パケットに対して、他装置へフィルタ処理を代行させるための依頼要、不要、または代行済のいずれかを判別し、依頼要であれば、代行装置へパケットを送信する際の依頼側宛先ポートと、前記依頼パスの識別子と、を取得するフィルタ状態依頼元判別部と、
パケットに依頼パス識別子を挿入して、フィルタ処理依頼パケットを生成するフィルタ処理依頼部と、
前記依頼側宛先ポートから代行装置へ向けて、前記フィルタ処理依頼パケットの送信処理を行う依頼元送信部と、
前記依頼パス識別子が挿入された前記フィルタ処理依頼パケットを受信した場合に、フィルタ処理の代行要、不要を判別し、代行要であれば、前記依頼元パケット中継装置へパケットを送信する際の代行側宛先ポートと、返信パス識別子と、を取得するフィルタ状態代行側判別部と、
受信パケットのフィルタ処理の条件が設定された代行側フィルタテーブルと、
フィルタ処理の代行を行う場合、前記依頼パス識別子をキーにして、前記代行側フィルタテーブルを検索し、前記フィルタ処理依頼パケットが中継許可か廃棄かを判別するフィルタ代行処理部と、
中継許可の場合、前記フィルタ処理依頼パケットから前記依頼パス識別子を削除して、前記返信パス識別子を挿入してフィルタ処理代行パケットを生成するフィルタ返信部と、
前記代行側宛先ポートから前記依頼元パケット中継装置へ向けて、前記フィルタ処理代行パケットの折り返し送信処理を行う代行側送信部と、
前記フィルタ処理代行パケットを受信し、前記フィルタ処理代行パケットが前記フィルタ状態依頼元判別部によってフィルタ処理が代行済と判別された場合は、パケットに挿入されている前記返信パス識別子を削除し、ヘッダ情報を更新してパケット中継を行うパケット更新部と、
を有することを特徴とするパケット中継装置。
1a 依頼元パケット中継装置
11 パス構築部
14a フィルタ状態依頼元判別部
16a フィルタ処理依頼部
12−2 パケット更新部
12a 依頼元送信部
1b 代行側パケット中継装置
12b 代行側送信部
14b フィルタ状態代行側判別部
17b フィルタ代行処理部
18b フィルタ返信部
T7−2 代行側フィルタテーブル
P1 依頼パス
Q1 返信パス
p1 依頼パス識別子
q1 返信パス識別子
Claims (9)
- パケットの中継処理を行うパケット中継システムにおいて、
受信パケットのフィルタ処理を他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とが対応付けて記憶された記憶部と、受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築するパス構築部と、受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別するフィルタ状態判別部と、判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成するフィルタ処理依頼部と、前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信する依頼元送信部と、を備える中継装置と、
前記依頼パスを介して、前記中継装置から前記依頼パケットを受信する受信部と、受信した前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かを判別するフィルタ代行処理部と、前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子を削除し、前記返信パスの識別子を挿入して返信パケットを生成するフィルタ返信部と、前記返信パスを介して、前記中継装置に前記返信パケットを送信する代行側送信部と、を備える他の中継装置と、
を備えることを特徴とするパケット中継システム。 - 前記中継装置は、前記返信パケットを受信した場合、前記返信パスの識別子をデコードして、フィルタ処理依頼前の受信パケットの最初の受信ポート番号を求めるポートデコード部をさらに有することを特徴とする請求項1記載のパケット中継システム。
- 前記パス構築部は、前記依頼パス及び前記返信パスとして、VLANによるパスまたはIPトンネルによるパスを構築することを特徴とする請求項1記載のパケット中継システム。
- 前記フィルタ処理依頼部は、前記依頼パスの識別子の他に、少なくともパケットの受信時間を含むログ情報を挿入して前記依頼パケットを生成し、前記フィルタ返信部は、前記返信パスの識別子の他に、少なくとも前記依頼パケットの受信時間を含むログ情報を挿入して前記返信パケットを生成することを特徴とする請求項1記載のパケット中継システム。
- 前記他の中継装置でのフィルタ代行処理によってパケットが廃棄された場合、廃棄されたフィルタリング定義をネットワーク管理者が認識できるように、前記フィルタ返信部は、前記返信パスの識別子の他に、前記フィルタ代行処理部が、受信パケットのフィルタ処理の条件が設定されたフィルタテーブルを検索した際にヒットしたエントリ番号も挿入して前記返信パケットを生成することを特徴とする請求項1記載のパケット中継システム。
- 前記フィルタ処理依頼部は、マルチキャストパケットの受信時には、パケットを複製し、複製したパケットに前記依頼パスの識別子を付けて、各パケットの送信ポート毎に前記他の中継装置へ処理依頼を行うことを特徴とする請求項1記載のパケット中継システム。
- 受信パケットのフィルタ処理を他の中継装置へ代行させる中継装置において、
受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とが対応付けて記憶された記憶部と、
受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築するパス構築部と、
受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別するフィルタ状態判別部と、
判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成するフィルタ処理依頼部と、
前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信する依頼元送信部と、
前記他の中継装置によって、前記依頼パスを介した前記依頼パケットが受信され、受信された前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かが判別され、前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子が削除され、前記返信パスの識別子が挿入されて返信パケットが生成され、前記返信パスを介して送信された前記返信パケットを受信する受信部と、
を有することを特徴とする中継装置。 - パケットの中継処理をコンピュータに実行させるパケット中継処理プログラムにおいて、
前記コンピュータに、
受信パケットのフィルタ処理を他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とを対応付けて記憶し、
受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築し、
受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別し、
判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成し、
前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信し、
前記依頼パスを介して、前記中継装置から前記依頼パケットを受信し、
受信した前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かを判別し、
前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子を削除し、前記返信パスの識別子を挿入して返信パケットを生成し、
前記返信パスを介して、前記中継装置に前記返信パケットを送信する、
処理を実行させることを特徴とするパケット中継処理プログラム。 - パケット中継方法において、
受信パケットのフィルタ処理を他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とを対応付けて記憶し、
受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築し、
受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別し、
判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成し、
前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信し、
前記依頼パスを介して、前記中継装置から前記依頼パケットを受信し、
受信した前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かを判別し、
前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子を削除し、前記返信パスの識別子を挿入して返信パケットを生成し、
前記返信パスを介して、前記中継装置に前記返信パケットを送信する、
ことを特徴とするパケット中継方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005364658A JP4648182B2 (ja) | 2005-12-19 | 2005-12-19 | パケット中継システム |
US11/407,234 US7489682B2 (en) | 2005-12-19 | 2006-04-20 | Packet relay system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005364658A JP4648182B2 (ja) | 2005-12-19 | 2005-12-19 | パケット中継システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007173925A JP2007173925A (ja) | 2007-07-05 |
JP4648182B2 true JP4648182B2 (ja) | 2011-03-09 |
Family
ID=38173394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005364658A Expired - Fee Related JP4648182B2 (ja) | 2005-12-19 | 2005-12-19 | パケット中継システム |
Country Status (2)
Country | Link |
---|---|
US (1) | US7489682B2 (ja) |
JP (1) | JP4648182B2 (ja) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8179871B2 (en) * | 2006-03-29 | 2012-05-15 | Samsung Electronics Co., Ltd. | Method and system for channel access control for transmission of video information over wireless channels |
US8325686B2 (en) * | 2006-04-20 | 2012-12-04 | Samsung Electronics Co., Ltd. | Method and system for channel time allocation and access control in wireless network for high-definition video transmission |
US7792124B2 (en) * | 2007-04-01 | 2010-09-07 | Cisco Technology, Inc. | Data forwarding in a layer three satellite network |
US8767631B2 (en) * | 2007-09-25 | 2014-07-01 | Samsung Electronics Co., Ltd. | Method and system for alternate wireless channel selection for uplink and downlink data communication |
US20090240801A1 (en) * | 2008-03-22 | 2009-09-24 | Jonathan Rhoads | Computer data network filter |
JP4973598B2 (ja) * | 2008-05-27 | 2012-07-11 | 沖電気工業株式会社 | ゲートウェイ装置 |
EP2237515B1 (en) * | 2009-04-01 | 2011-12-07 | Nokia Siemens Networks OY | Method and device for reordering filters |
JP5310262B2 (ja) * | 2009-05-27 | 2013-10-09 | 日本電気株式会社 | サーバ装置、伝送システム及びそれらに用いるgreカプセル化転送方法 |
CN102577275B (zh) * | 2009-09-10 | 2016-05-04 | 日本电气株式会社 | 中继控制设备、中继控制***、中继控制方法 |
WO2011052729A1 (ja) * | 2009-10-30 | 2011-05-05 | ソフトバンクBb株式会社 | パケット中継装置、パケット中継方法およびプログラム |
US8630288B2 (en) * | 2010-05-17 | 2014-01-14 | Fujitsu Limited | Hierarchical isolated learning and flooding for metro ethernet bridging domains |
US9806835B2 (en) | 2012-02-09 | 2017-10-31 | Marvell International Ltd. | Clock synchronization using multiple network paths |
JP5795290B2 (ja) * | 2012-08-10 | 2015-10-14 | 日本電信電話株式会社 | マルチキャストパケット転送システムおよび方法 |
JP6949466B2 (ja) * | 2016-08-24 | 2021-10-13 | Necプラットフォームズ株式会社 | 中継装置、通信システム、中継方法、及び中継用プログラム |
CN112640370B (zh) * | 2018-08-13 | 2023-05-09 | 交互数字专利控股公司 | 用于多播分组的层2转发的方法和装置 |
JP7306020B2 (ja) * | 2019-03-29 | 2023-07-11 | 株式会社デンソー | 中継装置 |
CN112104744B (zh) * | 2020-03-30 | 2022-09-09 | 厦门网宿有限公司 | 流量代理方法、服务器及存储介质 |
CN114827260B (zh) * | 2022-04-13 | 2023-08-25 | 度小满科技(北京)有限公司 | 一种数据传输方法及相关装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001249866A (ja) * | 2000-03-06 | 2001-09-14 | Fujitsu Ltd | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード |
JP2002271415A (ja) * | 2001-03-12 | 2002-09-20 | Hitachi Ltd | プロキシサーバ・システム、および、その通信方法 |
JP2002359637A (ja) * | 2001-03-27 | 2002-12-13 | Fujitsu Ltd | パケット中継処理装置 |
JP2005295268A (ja) * | 2004-03-31 | 2005-10-20 | Fujitsu Ltd | 階層型パケット処理システム、中継装置、サーバ、その方法、及びそのプログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0697965A (ja) | 1992-09-14 | 1994-04-08 | Hitachi Ltd | ルータにおける中継制御方式 |
JP4079764B2 (ja) | 2002-12-20 | 2008-04-23 | Necインフロンティア株式会社 | ルータ装置 |
US20040162992A1 (en) * | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
US7362763B2 (en) * | 2003-09-04 | 2008-04-22 | Samsung Electronics Co., Ltd. | Apparatus and method for classifying traffic in a distributed architecture router |
-
2005
- 2005-12-19 JP JP2005364658A patent/JP4648182B2/ja not_active Expired - Fee Related
-
2006
- 2006-04-20 US US11/407,234 patent/US7489682B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001249866A (ja) * | 2000-03-06 | 2001-09-14 | Fujitsu Ltd | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード |
JP2002271415A (ja) * | 2001-03-12 | 2002-09-20 | Hitachi Ltd | プロキシサーバ・システム、および、その通信方法 |
JP2002359637A (ja) * | 2001-03-27 | 2002-12-13 | Fujitsu Ltd | パケット中継処理装置 |
JP2005295268A (ja) * | 2004-03-31 | 2005-10-20 | Fujitsu Ltd | 階層型パケット処理システム、中継装置、サーバ、その方法、及びそのプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20070140273A1 (en) | 2007-06-21 |
JP2007173925A (ja) | 2007-07-05 |
US7489682B2 (en) | 2009-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4648182B2 (ja) | パケット中継システム | |
CN112189323B (zh) | 使用安全分段标识符进行分段路由 | |
WO2012077603A1 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
US7855955B2 (en) | Method for managing frames in a global-area communications network, corresponding computer-readable storage medium and tunnel endpoint | |
JP4182977B2 (ja) | ネットワークシステム、ラーニングブリッジノード、ラーニング方法及びそのプログラム | |
US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
US20160212048A1 (en) | Openflow service chain data packet routing using tables | |
JP3717836B2 (ja) | ダイナミック・ロード・バランサ | |
US7873038B2 (en) | Packet processing | |
US8054833B2 (en) | Packet mirroring | |
WO2019005949A1 (en) | GATEWAY OF SEGMENT ROUTING | |
US20180131590A1 (en) | Method and apparatus for tracing paths in service function chains | |
US9917794B2 (en) | Redirection IP packet through switch fabric | |
WO2015074394A1 (zh) | 一种报文转发方法及装置 | |
US10848457B2 (en) | Method and system for cross-zone network traffic between different zones using virtual network identifiers and virtual layer-2 broadcast domains | |
JP2019009596A (ja) | 車載通信装置、通信制御方法および通信制御プログラム | |
US10855733B2 (en) | Method and system for inspecting unicast network traffic between end points residing within a same zone | |
US7835341B2 (en) | Packet communication apparatus | |
US20160006684A1 (en) | Communication system, control apparatus, communication method, and program | |
US20210014253A1 (en) | Device and method for intrusion detection in a communications network | |
Cisco | Configuring Source-Route Bridging | |
Cisco | Configuring Source-Route Bridging | |
Cisco | Configuring Source-Route Bridging | |
Cisco | Configuring Source-Route Bridging | |
Cisco | Configuring Source-Route Bridging |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080416 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100422 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100511 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100701 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100928 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101117 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101207 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101209 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131217 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4648182 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |