JP4648182B2 - パケット中継システム - Google Patents

パケット中継システム Download PDF

Info

Publication number
JP4648182B2
JP4648182B2 JP2005364658A JP2005364658A JP4648182B2 JP 4648182 B2 JP4648182 B2 JP 4648182B2 JP 2005364658 A JP2005364658 A JP 2005364658A JP 2005364658 A JP2005364658 A JP 2005364658A JP 4648182 B2 JP4648182 B2 JP 4648182B2
Authority
JP
Japan
Prior art keywords
packet
request
path
relay
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005364658A
Other languages
English (en)
Other versions
JP2007173925A (ja
Inventor
真 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005364658A priority Critical patent/JP4648182B2/ja
Priority to US11/407,234 priority patent/US7489682B2/en
Publication of JP2007173925A publication Critical patent/JP2007173925A/ja
Application granted granted Critical
Publication of JP4648182B2 publication Critical patent/JP4648182B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、パケット中継システムに関し、特にパケットのフィルタ処理を行ってパケット中継通信を行うパケット中継システムに関する。
近年、ブロードバンドネットワークの普及や無線技術の進歩に伴って、映像や音楽などの様々なアプリケーションが利用できるようになり、ネットワーク運用の重要性はますます増加している。この反面、情報通信ネットワークは、絶えず不正アクセスなどの攻撃にさらされており、ネットワークセキュリティの向上が求められている。
通常、ネットワークを不正アクセスから守る機構としては、フィルタリング機能が一般に用いられている。これは、ネットワーク上を送られてきたパケットを検査して、通過させるかどうかを判断し、不正なパケットを見つけた場合には廃棄することでセキュリティを確保する仕組みである。また、フィルタリングを行うことで、不要なパケットが中継されなくなるので、トラフィックの軽減を図ることも可能になる。
パケット中継装置(ルータなど)にフィルタ設定を行う場合、例えば、プロトコル毎のフィルタ設定(HTTP(Hypertext Transfer Protocol)のパケットのみ許可するなど)、パケットの受信ポートや送信元端末のアドレスなどを条件としたフィルタ設定などを行って、レイヤ2〜4の情報を用いてパケット単位でのフィルタ処理が行われる。
パケット中継装置は、通常、固定容量のフィルタテーブルを有し、フィルタテーブル上に設定されたフィルタ・ルールのパラメータ情報と、パケットヘッダ情報とのマッチングによりフィルタ処理を実施する。
図22はフィルタテーブルを持つルータを示す図である。フィルタ処理の簡単な例を示している。ルータ100は、フィルタテーブル110を有する。フィルタテーブル110には、受信ポート、送信元MAC(Media Access Control)アドレス、フィルタ結果の項目がある。
ここで、ルータ100は、端末5から送信されたパケットをポートP11で受信したとすると、この場合は、フィルタテーブル110からフィルタ結果がpermitと設定されているので、所定の宛先へパケットを中継送信する。また、パケットをポートP12で受信した場合は、フィルタテーブル110からフィルタ結果がdenyと設定されているので、ルータ100でこのパケットは廃棄される。
従来のパケットフィルタ技術としては、ルータ内の複数のネットワークインタフェースがそれぞれ分散してフィルタ処理とルーティング処理を行う技術が提案されている(例えば、特許文献1)。
特開平6−97965号公報(段落番号〔0008〕〜〔0012〕,第1図)
ネットワーク上に配置されたルータでは、上述のようなフィルタテーブル110を使ってフィルタ処理を行うが、近年のネットワークの巨大化・複雑化に伴い、設定したいフィルタのルールやエントリ数は増加してきているため、装置のテーブル容量が不足するケースが増えつつある。
テーブル容量不足の対策としては、単純にはメモリ増設があるが、これは追加設備コストを招くことになる。また、別の対策としては、テーブルリソースに空きがある別ルータにフィルタ設定を行い、その別ルータにパケットを転送して、フィルタ処理を代行させる手法が考えられる。
図23はフィルタ処理を別ルータに依頼してパケット中継を行う場合の図である。ルータ100で端末6へパケット中継する際に、ルータ100でフィルタ処理を実行できない場合、ルータ100は、パケット転送経路上のルータ101にフィルタ処理を依頼する。そして、ルータ101において、フィルタ結果が通過可能であると判断されると、ルータ101から最終宛先である端末6までパケットを送信する。
しかし、この方法では、フィルタの依頼先ルータ101が、最終宛先端末6までの経路上にあるルータに限定されるので、フィルタ処理の依頼可否がネットワーク・トポロジの転送経路によって制限を受けてしまうといった問題があった(ルータ101が依頼元ルータ100に近接していても、ルータ101と端末6がネットワーク上接続していなければ、ルータ101にフィルタ処理を依頼できない)。
また、ルータ101にフィルタ処理を依頼して、フィルタ結果が中継可能と判断されたならば、一旦依頼元ルータ100へパケットを返信して、元の依頼元ルータ100から最終宛先である端末6までパケットを送信するようにすることも考えられる。
しかし、従来のパケット中継ネットワークにおいては、フィルタ処理を代行するルータ101では、依頼元ルータ100の固有情報によるフィルタができなかった。すなわち、パケットのフィルタ処理では、フィルタのキーとして、フィルタ設定対象の装置上の固有情報であるパケットの受信元/送信先のポート番号などが必要であるが、レイヤ2、3の機能にはこれら装置固有情報を他ルータへ転送する機能がないため、従来のパケット中継方式では、依頼元ノード固有情報によるフィルタができなかった。
また、従来のパケット中継ネットワークでは、フィルタ処理代行側のルータ101から依頼元ルータ100へパケットの折り返しができないといった問題があった。すなわち、フィルタ処理を他ルータに依頼する際には、受信パケットヘッダを書き換えずにルータ101に転送できる必要があるが、レイヤ2、3の機能には、パケットの経路上にないルータ宛にパケットを転送する機能はない。
仮に、強制的に転送及びフィルタ依頼ができたとしても、その場合、ルータ101は、受信パケットのMAC−DAが自局宛でないため、レイヤ2中継を行い、受信ポートに折り返すことになる。
通常、レイヤ2中継処理フローでは、受信ポート=送信ポートの場合、パケットLoop防止を目的としたDynamic Filtering機能によりパケット廃棄がなされてしまうため、ルータ100においてもDynamic Filteringが働き、結局、依頼元ルータ100への折り返しができないことになる。
一方、上記の従来技術(特開平6−97965号公報)は、ルータ内のフィルタリングテーブルによって、フィルタ処理を行っているが、テーブル容量が不足して、フィルタ処理を該当ルータで実行不可能になった場合の対策については何ら考慮されてはいない。
本発明はこのような点に鑑みてなされたものであり、自ノードでフィルタ処理ができない場合に、他ノードでのフィルタ処理を実行可能にしてパケット転送を行うことで、パケット中継の通信品質の向上を図ったパケット中継システムを提供することを目的とする。
上記課題を解決するために、パケットの中継処理を行うパケット中継システムが提供される。パケット中継システムは、受信パケットのフィルタ処理を他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とが対応付けて記憶された記憶部と、受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築するパス構築部と、受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別するフィルタ状態判別部と、判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成するフィルタ処理依頼部と、前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信する依頼元送信部と、を備える中継装置と、前記依頼パスを介して、前記中継装置から前記依頼パケットを受信する受信部と、受信した前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かを判別するフィルタ代行処理部と、前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子を削除し、前記返信パスの識別子を挿入して返信パケットを生成するフィルタ返信部と、前記返信パスを介して、前記中継装置に前記返信パケットを送信する代行側送信部と、を備える他の中継装置とを備える。
パスをあらかじめ構築して、パスの識別子をフィルタ代行処理のキーにし、他の中継装置にフィルタ処理を依頼して、パケット中継を行うことにより、誤認識のないフィルタ代行処理が可能になる。
以下、本発明の実施の形態を図面を参照して説明する。図1はパケット中継システムの原理図である。パケット中継システム1は、依頼元パケット中継装置1aと代行側パケット中継装置1bを有し、パケットのフィルタ処理を行ってネットワーク上でパケットの中継通信を行うシステムである。
なお、説明の都合上、依頼元パケット中継装置1aと代行側パケット中継装置1bとをそれぞれ別々に示しているが、実際にはネットワーク上の1つのノード(ルータなど)が、依頼元パケット中継装置1aと代行側パケット中継装置1bの両方の機能を有しているものであってもよい。
依頼元パケット中継装置1aは、パス構築部11、フィルタ状態依頼元判別部14a、フィルタ処理依頼部16a、依頼元送信部12a、パケット更新部12−2、ポートデコード部19aから構成される。
パス構築部11は、受信パケットのフィルタ処理を他装置へ依頼して代行させる際に、代行候補へフィルタ処理を代行させるパケットを送信するための依頼パスP1をあらかじめ構築し、かつ代行候補でフィルタ処理が代行された後のパケットを受信するための返信パスQ1をあらかじめ構築する。
フィルタ状態依頼元判別部14aは、受信パケットに対して、他装置へフィルタ処理を代行させるための依頼要、不要、または代行済のいずれかを判別する。このとき、依頼要であれば、代行装置(代行側パケット中継装置1b)へパケットを送信する際の依頼側宛先ポートと、依頼パスP1の識別子(p1とする)とを取得する。
フィルタ処理依頼部16aは、フィルタ処理対象のパケットに依頼パス識別子p1を挿入して、フィルタ処理依頼パケットを生成する。依頼元送信部12aは、依頼側宛先ポートから代行装置へ向けて、フィルタ処理依頼パケットの送信処理を行う。
パケット更新部12−2は、受信パケットがフィルタ状態依頼元判別部14aによってフィルタ処理が代行済と判別された場合は、パケットに挿入されている返信パス識別子(q1とする)を削除し、ヘッダ情報を更新して通常のパケット中継を行う。
代行側パケット中継装置1bは、フィルタ状態代行側判別部14b、代行側フィルタテーブルT7−2、フィルタ代行処理部17b、フィルタ返信部18b、代行側送信部12bから構成される。
フィルタ状態代行側判別部14bは、依頼パス識別子p1が挿入されたフィルタ処理代行パケットを受信した場合に、フィルタ処理の代行要、不要を判別する。このとき、代行要であれば、依頼元パケット中継装置1aへパケットを送信する際の代行側宛先ポートと、返信パス識別子(q1とする)とを取得する。
代行側フィルタテーブルT7−2は、受信パケットのフィルタ処理の条件(フィルタ・ルール)が設定される。フィルタ代行処理部17bは、フィルタ処理の代行を行う場合、依頼パス識別子p1をキーにして、代行側フィルタテーブルT7−2を検索し、フィルタ処理依頼パケットが中継許可か廃棄かを判別する。
フィルタ返信部18bは、中継許可の場合、フィルタ処理依頼パケットから依頼パス識別子p1を削除して、返信パス識別子q1を挿入してフィルタ処理代行パケットを生成する。代行側送信部12bは、代行側宛先ポートから依頼元パケット中継装置1aへ向けて、フィルタ処理代行パケットの折り返し送信処理を行う。
次に依頼元パケット中継装置1aと代行側パケット中継装置1bの機能を有するパケット中継装置の構成について説明する。図2はパケット中継装置の構成を示す図である。
パケット中継装置10は、ネットワークに配置されるルータなどのノードであって、テーブル管理部T、パス構築部11、パケット受信部12−1、宛先決定部13、フィルタ状態判別部14、フィルタ処理部15a、フィルタ処理依頼部16a、フィルタ代行処理部17b、フィルタ返信部18b、ポートデコード部19a、パケット更新部12−2、パケット送信部12−3から構成される。なお、図1と同じ構成要素には同一符号を付けて説明は省略する。
テーブル管理部Tは、図1に示した代行側フィルタテーブルT7−2を含み、また、代行側フィルタテーブルT7−2以外にも、フィルタ処理やパケット中継処理に必要な各種のテーブルを保存管理する(保存管理される具体的なテーブルは図5〜図10に示す)。パケット受信部12−1は、パケットの受信処理を行う。宛先決定部13は、受信パケットの次ノードへ中継するための宛先を決定する(レイヤ2またはレイヤ3の宛先決定処理を基本に行うが、TCPやUDPのポート番号に応じて宛先を決める形態であってもよい)。
フィルタ状態判別部14は、図1に示したフィルタ状態依頼元判別部14aとフィルタ状態代行側判別部14bを含む。自装置がフィルタ処理を周辺装置に依頼する側になった場合は、フィルタ状態依頼元判別部14aの機能が動作し、自装置がフィルタ処理を代行する側になった場合は、フィルタ状態代行側判別部14bの機能が動作する。
ポートデコード部19aは、代行フィルタ処理後に返信されてきたパケットが、元々どのポートで受信したものであったのかを知るために、返信用パス識別子にもとづいて、受信ポート番号をデコードする。パケット送信部12−3は、図1に示した依頼元送信部12aと代行側送信部12bを含み、パケットの送信処理を行う。
なお、パケット更新部12−2においては、パケットの中継パターンがマルチキャストであれば、パケットの複製を行った後に、レイヤ3中継情報に関するヘッダ更新を行い、レイヤ2中継情報に関しては、宛先ポートと受信ポートとが一致する場合は、そのパケットは廃棄する処理を行う(このような処理を行うフィルタリングを以降Dynamic Filteringと呼ぶ)。
ここで、パケット中継装置10は、パス構築部11によって、事前に依頼パスP1及び返信パスQ1を構築しておく。その後、パケットを受信すると、宛先を決定し、フィルタ状態判別部14によって、該当パケットに関する以下に示す(a)〜(d)の処理を実行する。
(a)他ノードへのフィルタ処理の依頼が不要な場合:
パケット中継装置10は、通常のフィルタ処理を行った上で、フィルタ結果がpermit(中継許可)であれば、ヘッダ情報の更新処理を行ってパケット送信し、フィルタ結果がdeny(中継禁止)であればパケットを廃棄する。
(b)他ノードへのフィルタ処理の依頼が必要な場合:
パケット中継装置10は、フィルタ処理依頼部16aの動作によって、依頼先ノード宛に依頼パス経由でパケットを送信する。ただしこの場合、宛先決定部13で求めた宛先情報を、フィルタ状態判別部14で求めた依頼先情報(依頼側宛先ポート及び依頼パス識別子)で上書きして送信する。
(c)フィルタ処理の代行を行う場合:
パケット中継装置10は、フィルタ代行処理部17bの動作によって、パケット中の各種ヘッダ及びパケット中に埋め込まれた依頼パス識別子を使ってパケットフィルタ処理を行う。
そして、フィルタ結果がpermit(中継許可)であれば、フィルタ返信部18bにより、依頼元ノード宛に返信パス経由でパケットを送信する。ただしこの場合、宛先決定部13で求めた宛先情報を、フィルタ状態判別部14で求めた返信先情報(代行側宛先ポート及び返信パス識別子)で上書きして送信する。
また、フィルタ結果がdeny(中継禁止)であれば、パケットを廃棄する(フィルタ代行処理した結果、不正パケットであると認識した場合は、依頼元へわざわざ返信せずに、代行装置側で廃棄する)。
(d)他ノードでフィルタ代行処理されたパケットを受信した場合:
パケット中継装置10は、ポートデコード部19aにより依頼時の受信ポート情報をデコードした上で、マルチキャスト中継の場合は、パケット更新部12−2によりマルチキャスト時のパケット複製、レイヤ3中継時のヘッダ更新、レイヤ2中継時のDynamic Filteringなどを行い、宛先決定部13が導出した宛先にもとづきパケットを送信する。
次にパケット中継システム1を適用したネットワーク構成の一例を説明する。図3はネットワーク構成を示す図である。ネットワーク2は、ノードR1〜R5と、ユーザVLAN(Virtual Local Area Network)1〜5と、サーバ21、22とから構成される。
構成機器の接続関係は、端末t1〜t3と端末t4〜t6は、ユーザVLAN1に含まれ、端末t1〜t3は、ノードR1のポート番号P1a−1のポート(以下、ポートP1a−1と記す)と接続し、端末t4〜t6は、ノードR1のポートP1a−2と接続する。
端末t7、t8と端末t9は、ユーザVLAN2に含まれ、端末t7、t8は、ノードR1のポートP1b−1と接続し、端末t9は、ノードR1のポートP1b−2と接続する。端末t10は、ユーザVLAN4に含まれ、端末t10は、ノードR2のポートP2aと接続する。
ユーザVLAN3は、ノードR1のポートP1dと接続し、また、ノードR3、R4と接続する。ユーザVLAN5は、ノードR2のポートP2dと接続し、また、ノードR5と接続する。サーバ21は、ノードR3と接続し、サーバ22は、ノードR5と接続する。ノードR1のポートP1cとノードR2のポートP2cが接続する。なお、ユーザVLAN1〜5のVLAN−IDはそれぞれ、VLAN−ID=1〜5である。
一方、ノードR1〜R5はそれぞれ、パケット中継装置10の機能を有しており、またこの例では、フィルタ処理の依頼元をノードR1とし、フィルタ処理を代行するのがノードR2とする。
ノードR1のパス構築部11は、事前に、ノードR1のポートP1cとノードR2のポートP2cをつなぐパスに依頼パス(依頼VLAN)を設定し、また、そのパスに返信パス(返信VLAN)を設定する(依頼パス及び返信パスとして、独立なVLANを構築したが、依頼用と返信用で同じパスを共用してもよい)。
また、依頼VLANのVLAN−IDはp1、返信VLANのVLAN−IDはq1とし、以下、依頼VLAN−p1、返信VLAN−q1とも表記する(依頼VLAN及び返信VLANに付けるID値は、ネットワーク内に存在するVLANのIDと重複しないID値を選択する)。
なお、ネットワーク2内のすべてのVLANはIEEE802.1Qで規定するものであり、ユーザVLAN1はタグ無しのポートVLAN(ポート番号によってVLANを識別)であり、依頼VLAN−p1、返信VLAN−q1はタグVLAN(VLAN−IDによってVLANを識別)で運用するものとする。また、ネットワーク2に表記したポートP1b−2等のパケット中継用のポートは、物理ポートでもよいし、リンクアグリゲーション等によりいくつかの物理ポートを束ねた論理ポートであってもよい。
ここで、ノードR1〜R5は、すべて同機能スペックを有し、また、ブルータ機能を有するものとする。すなわち、パケットの宛先MACアドレスが自装置MACアドレスと一致する場合はレイヤ3(IP:Internet Protocol)、不一致の場合はレイヤ2にてパケットの中継を行うものとする。MACアドレスについては、ノードR1はMAC1、ノードR2はMAC2とする(ノードをブルータとしたのは一例であり、レイヤ2、3のどちらかの機能のみ有する装置であってもよい)。
次にフィルタ処理依頼元ノードのフィルタテーブルと、ネットワーク2で行うフィルタ処理の定義の想定について説明する。図4はフィルタテーブルを示す図である。フィルタテーブルT0−1は、ノードR1でフィルタ処理を依頼する前のフィルタ条件が示されたフィルタテーブルであり、受信ポート、受信VLAN−ID、送信元MAC(アドレス)、フィルタ結果の項目から構成される。
ノードR1は、受信したパケットの受信ポート、受信VLAN−ID、送信元MACをキーにして、フィルタテーブルT0−1を検索し、該当パケットが中継可能か廃棄かを判別する。
例えば、受信パケットの受信ポート=P1a−1、受信VLAN−ID=1、送信元MAC=端末t1ならば、フィルタ結果=permitなので、このパケットは中継する。また、受信パケットの受信ポート=P1a−1、受信VLAN−ID=1であっても、送信元MACが端末t1〜t3のいずれでもない場合は、フィルタ結果=denyなので、このパケットは廃棄する。
ここで、ノードR1の収容端末数が多く、フィルタ定義数がフィルタテーブルT0−1に収まりきらず(図では、ポートP1b−2に関する受信パケットのフィルタ定義をするためのエントリがテーブル上足りないとする)、一方でノードR2の収容端末が少なく、ノードR2のフィルタテーブルには空きがあるとして、ノードR1のポートP1b−2から受信したパケットを、ノードR2でフィルタ処理を代行させることを想定とする。
次にノードR1、R2それぞれのテーブル管理部Tで管理される各種のテーブルについて説明する。図5〜図7はテーブルを示す図である。図5〜図7では、ノードR1において、ネットワーク2でパケット中継及びフィルタ処理を行う際に必要なテーブルを示している。これらのテーブルは、ノードR1のテーブル管理部Tで保存管理される。
テーブルの概要を説明すると、ポートVLANテーブルT1−1は、受信ポートと受信VLAN−IDの対応関係を示すテーブルである(VLANタグが付加されていないパケットから、受信VLANを認識する際に参照するテーブルである)。
VLANメンバテーブルT2−1は、受信VLAN−IDに対応する受信ポートグループを示すテーブルであり、各VLANに対してメンバとなるポート番号を括り付けるテーブルである。図では、VLAN−p1とVLAN−q1をキーとするエントリが追加されている。
ルーティングテーブルT3−1は、宛先IPアドレスに対する次ホップIPアドレスの関係を示すテーブルであり、ARP(Address Resolution Protocol)テーブルT4−1は、IPアドレスからMACアドレスを求めるためのテーブルである。また、学習テーブルT5−1は、受信VLAN−IDと宛先MACアドレスから宛先ポートを求めるテーブルである。
フィルタ状態判別テーブルT6−1は、受信パケットに関するフィルタ処理の依頼要、不要、代行要、代行済の判別、及び依頼先情報/返信先情報を格納するテーブルである。図では、VLAN−p1、VLAN−q1に関するエントリが追加されている。
フィルタテーブルT7−1は、フィルタ処理の定義が設定されたテーブルであり、ポートデコードテーブルT8−1は、フィルタ代行後、返信パケットを受信したノードR1が、受信ポートをP1b−2としたDynamic Filteringを行うためのテーブルであり、返信時のVLAN−IDを元の受信ポートに対応付けるためのテーブルである。
図8〜図10はテーブルを示す図である。図8〜図10では、ノードR2において、ネットワーク2でパケット中継及びフィルタ処理を行う際に必要なテーブルを示している。これらのテーブルは、ノードR2のテーブル管理部Tで保存管理される。
ノードR2のフィルタテーブルT7−2(図1で示した代行側フィルタテーブルT7−2に該当)は、本来のノードR2で行うフィルタ定義の他に、ノードR1の代行用のフィルタ定義(代行用エントリ)が記載されている。
また、ノードR2がフィルタ処理の代行を行う場合、ノード固有情報(受信ポート番号など)でフィルタテーブルT7−2を検索するのではなく、依頼用VLANのIDをフィルタのキーとして検索するようにVLAN−p1を設定する。その他のテーブルの概略はノードR1と同じなので説明は省略する。なお、上記で示したノードR1、R2で管理される各種テーブルの設定値は、ネットワーク管理者からコマンド操作によって任意に与えることが可能である。
次にネットワーク2上でパス構築(VLAN設定)及びテーブル設定が完了した後のノードR1、R2の動作について説明する。図11は中継ノードの処理フローを示す図である。(A)〜(C)は、フィルタ処理を依頼・代行させるフローであり、(A)はノードR1にてフィルタを依頼するフロー、(B)はノードR2にてフィルタを代行するフロー、(C)はノードR1にて代行パケットを本来の宛先に送信するフローである。また、(D)は、ノードR1にてフィルタ処理を行うフローである。
最初に、ノードR1内で通常のフィルタ処理を行う(D)の場合について、構成要素毎に動作を説明する。
いま、ノードR1が、ポートP1a−1から、下記の情報を持つIPパケットを受信したものとする。
・送信元MAC=端末t1、宛先MAC=MAC−1(ユニキャスト)、VLANタグ無し、宛先IP=サーバ21
(パケット受信部12−1)
パケット受信部12−1は、受信VLAN−IDの決定と、中継レイヤの判別を行う。
・受信VLAN−ID決定:
受信パケットが、VLANタグ無しパケットであれば、ポートVLANテーブルT1−1を参照して受信VLANを決定し、VLANタグありパケットであればパケット中のVLAN−IDを受信VLANと認識する。ここではポートVLANテーブルT1−1のP1a−1エントリを参照した結果、受信VLAN−ID=1と認識する。
また、VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1a−1が該当VLAN(VLAN−ID=1)に所属するため、受信対象パケットとして認識する。もしもメンバ以外のポートから受信した場合はパケットを廃棄する。
・中継レイヤ判別:
パケットの宛先MACアドレス及びIPアドレスを参照して、中継レイヤを以下の(1)、(2)のように識別する。
(1)宛先MACアドレスがマルチキャストを示す場合
宛先MACアドレス=01:00:5e:0x:xx:xx:IPマルチキャスト
宛先MACアドレス≠01:00:5e:0x:xx:xx:レイヤ2マルチキャスト
01:00:5e:0x:xx:xxは、上位25ビットが、16進で固定値“01:00:5e:0”であることを示す。
(2)宛先MACアドレスがマルチキャストでない場合
宛先MACアドレス=自装置MAC時:IPユニキャスト
宛先MACアドレス≠自装置MAC時:レイヤ2ユニキャスト
なお、宛先MACアドレスがマルチキャストかどうかは、MACアドレスの上位8ビット目=1か否かで判別する。ここではノードR1の自装置MACアドレス=MAC−1とし、IPユニキャストの処理対象が認識されたものとする。
(宛先決定部13)
レイヤ3の宛先決定部13により宛先を決定する。ルーティングテーブルT3−1及びARPテーブルT4−1の検索の結果、次ホップノード=ノードR3と認識し、各種送信パラメタ(宛先ポート、送信VLAN−ID、宛先MAC)を獲得する。
(フィルタ状態判別部14)
フィルタ状態判別テーブルT6−1の検索の結果、2番目のエントリにヒットし、フィルタ依頼不要と判別する。もしもフィルタ結果=denyであれば、パケットを廃棄する。
(パケット更新部12−2、パケット送信部12−3)
パケット更新部12−2は、IP/MACのヘッダ更新を行い、パケット送信部12−3は、ヘッダ更新されたIPパケットをノードR3宛に送信する。
次に第1の実施の形態として、ユニキャスト中継時にフィルタ処理の依頼及び代行を行う場合の図11の(A)〜(C)の動作について順に構成要素毎に説明する。
(A)ノードR1にてフィルタを依頼するフロー:
いま、ノードR1が、ポートP1b−2から、下記IPパケットを受信したものとする。
・送信元MAC=端末t9、宛先MAC=MAC−1(ユニキャスト)、VLANタグ無し、宛先IP=サーバ21
(パケット受信部12−1)
受信VLAN−ID=2と認識し、VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1b−2が該当VLANに所属するため、受信対象として認識する。また、IPユニキャストの処理対象と認識する。
(宛先決定部13)
レイヤ3の宛先決定部13により宛先を決定する。ルーティングテーブルT3−1及びARPテーブルT4−1の検索の結果、次ホップノード=ノードR3と認識し、各種送信パラメタ(宛先ポート、送信VLAN−ID、宛先MAC)を獲得する。
(フィルタ状態判別部14)
フィルタ状態判別テーブルT6−1の検索の結果、4番目のエントリにヒットし、フィルタ依頼要と判別する。また依頼先ノード情報(宛先ポート=P1c、送信VLAN−ID=VLAN−p1)とヘッダ操作情報(タグ挿入)を獲得する(P1cは依頼側宛先ポートであり、VLAN−p1は依頼パス識別子である)。
この時点で宛先決定部13により獲得した各種送信パラメタ(宛先ポート、送信VLAN−ID、宛先MAC)の情報は消滅し、フィルタ状態判別テーブルT6−1の検索により獲得した上記の依頼先ノード情報で上書きされる。
(フィルタ処理依頼部16a)
フィルタ状態判別テーブルT6−1から得られた情報にしたがい、パケットに、フィルタ依頼用パスの識別子を挿入する。具体的には、パケット中にVLAN−p1をVLANタグとして挿入する(パケットフォーマットは後述する)。
(パケット送信部12−3)
フィルタ状態判別テーブルT6−1から得られた情報にしたがい、宛先ポートP1cからパケットを送信する。
(B)ノードR2にてフィルタ処理を代行するフロー:
ノードR2は、ポートP2cから、下記IPパケットを受信する。
・送信元MAC=端末t9、宛先MAC=MAC−1、VLAN−ID=VLAN−p1(タグVLAN)、宛先IP=サーバ21
(パケット受信部12−1)
受信VLAN−ID=VLAN−p1と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP2cが該当VLANに所属するため、受信対象として認識する。レイヤ2ユニキャスト処理対象と認識する。
(宛先決定部13)
レイヤ2の宛先決定部13により宛先を決定する。この場合、学習テーブルT5−2の検索を行うがミスヒットするので、さらにVLANメンバテーブルT2−2を参照し、宛先ポート群情報を得る。
(フィルタ状態判別部14)
フィルタ状態判別テーブルT6−2の検索の結果、1番目のエントリにヒットし、フィルタ代行要と判別する。フィルタ代行要と判別した時点で、宛先決定部13で得られた宛先情報は全て無効化される。また返信先ノード情報(宛先ポート=P2c、送信VLAN−ID=VLAN−q1)とヘッダ操作情報(タグ置換)を獲得する(P2cは代行側宛先ポートであり、VLAN−q1は返信パス識別子である)。
したがって、この時点で宛先決定部13により獲得した各種送信パラメタ情報は消滅し、フィルタ状態判別テーブルT6−2の検索により獲得した返信先ノード情報で上書きされる。
(フィルタ代行処理部17b)
フィルタ代行処理部17bは、フィルタのキーとして受信ポート番号(P2c)は使用せず、依頼用VLANのVLAN−ID(VLAN−p1)を使って、フィルタテーブルT7−2の検索を行う。フィルタテーブルT7−2の検索により、3エントリ目にヒットするので、フィルタ結果=permitと判断する。
ここで、もしも、ノードR2で受信した際のポート番号(P2c)をフィルタ代行処理のキーにしてしまうと、受信ポート番号(P2c)から受信したパケットのノードR2における本来のフィルタ処理ができなくなってしまう。したがって、ノードR2では、ノードR1のフィルタ処理の代行を行う場合は、フィルタのキーとして受信ポート番号(P2c)は使用せず、VLAN−ID(VLAN−p1)を使って、フィルタテーブルT7−2の検索を行うことで、ノードR1のフィルタ代行処理を実現可能とする。
(フィルタ返信部18b)
フィルタ返信部18bは、フィルタ状態判別テーブルT6−2から得られた情報にしたがい、パケット中のVLANタグ中のVLAN−IDを、VLAN−q1で置換する(VLAN−p1を削除してVLAN−q1を挿入する)。
(パケット送信部12−3)
フィルタ状態判別テーブルT6−2から得られた情報にしたがい、宛先ポートP2cからパケットを送信する(通常のレイヤ2中継と異なり、Dynamic Filteringを行わない)。
(C)ノードR1にて代行パケットを本来の宛先に送信するフロー:
ノードR1は、ポートP1cから、下記IPパケットを受信する。
・送信元MAC=端末t9、宛先MAC=MAC−1、VLAN−ID=VLAN−q1(タグVLAN)、宛先IP=サーバ21
(パケット受信部12−1)
受信VLAN−ID=VLAN−q1と認識する。VLANメンバテーブルを受信VLAN−IDで参照し、受信ポートP1cが該当VLANに所属するため、受信対象として認識する。IPユニキャスト処理対象と認識する。
(宛先決定部13)
レイヤ3の宛先決定部13により宛先を決定する。ルーティングテーブルT3−1及びARPテーブルT4−1の検索の結果、次ホップノード=ノードR3と認識し、各種送信パラメタ(宛先ポート、送信VLAN−ID、宛先MAC)を獲得する。
(フィルタ状態判別部14)
フィルタ状態判別テーブルT6−1の検索の結果、1番目のエントリにヒットし、フィルタ代行済と判別する。また、ヘッダ操作情報(タグ削除)を獲得する。
(ポートデコード部19a)
ポートデコードテーブルT8−1を返信用VLAN−ID値であるVLAN−q1により参照し、受信ポート番号P1b−2を得る。
(パケット更新部12−2、パケット送信部12−3)
パケット更新部12−2は、フィルタ状態判別テーブルT6−1から得られた情報にしたがい、パケット中のフィルタ返信用VLANタグ(VLAN−q1)を削除した後、中継レイヤに応じたヘッダ更新を行い、パケット送信部12−3によってパケットが送信される。
以上の動作によって、別ノードにおけるフィルタ処理後にパケット中継伝送を行うことが可能になる。また、依頼先ノード情報及び返信先ノード情報で上書きされたパケットの通信をノードR1、R2間で行うので、フィルタ処理の依頼・代行時には、Dynamic Filtering機能が働くことがなく、ノードR2からノードR1へ折り返し送信されても、フィルタ処理されたパケットの廃棄がノードR1で行われることはない。
なお、上記の動作内容をパケット中継装置の動作フローチャートとしてまとめた図を図12、図13に示す。図中の(A)〜(C)は図11の(A)〜(C)に該当する。詳細は上述したので説明は省略する。
次にフィルタ処理依頼なしの場合とフィルタ処理依頼ありの場合とにおけるパケットの流れについて説明する。図14はフィルタ処理依頼なしの場合のパケットの流れを示す図である。フィルタ処理依頼なしの場合、ノードR1からノードR3宛にパケットを送信する際は、パケットにはMAC_DA(MAC宛先アドレス)、MAC_SA(MAC送信元アドレス)を含むヘッダ情報が挿入され、このパケットがノードR1→ノードR3へ流れる。
図15はフィルタ処理依頼ありの場合のパケットの流れを示す図である。ノードR1からノードR2へフィルタ処理を依頼し、ノードR2から返信されたパケットをノードR3へ送信する場合を示している。
ノードR1からノードR2へフィルタ処理を依頼する際は、パケットにVLAN−ID=VLAN−p1を挿入して送信する。ノードR2でフィルタ代行処理をしてノードR1へ返信する際は、パケットからVLAN−p1を削除してVLAN−q1を挿入して送信する。ノードR1からノードR3宛にパケットを送信する際は、VLAN−q1を削除して、通常のMAC_DA、MAC_SAを含むヘッダ情報が挿入されたパケットを送信する。
次にパケットフォーマットについて説明する。図16はパケットフォーマットを示す図である。元パケットは、FCS(Frame Check Sequence)、L3データ、Frame Type、MAC DA/SAから構成される。
フィルタ処理の依頼時パケットは、Frame TypeとMAC DA/SAの間に4バイトのVLANタグが挿入される。このVLANタグには、VLAN−p1のVLAN−IDが含まれる。
フィルタ処理代行後の返信時パケットは、Frame TypeとMAC DA/SAの間に4バイトのVLANタグが挿入される。このVLANタグには、VLAN−q1のVLAN−IDが含まれる。
なお、VLANタグは、VLAN−ID(12ビット)、CFI(Canonical Format Indicator:1ビット)、Priority(3ビット)、TPID(T0g protocol identifier:16ビット)から構成される。
図17はパケットフォーマットを示す図である。ノードR1において受信したパケットがすでにVLANタグが挿入されている場合には、元のVLANタグの手前に重ねる形で、フィルタ処理を代行させるためのVLANタグを図に示すように挿入する(VLANタグが2段挿入された形になる)。
次に第2の実施の形態として、マルチキャスト中継時におけるフィルタ処理の依頼及び代行の動作について図11の(A)〜(C)の順に説明する。
(A)ノードR1にてフィルタを依頼するフロー
いま、ノードR1が、ポートP1b−2から、下記IPパケットを受信したものとする。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLANタグ無し、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=2と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1b−2が該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
(宛先決定部13)
宛先決定部13は、マルチキャスト用ルーティングテーブルを検索する。図18はマルチキャスト用ルーティングテーブルを示す図である。マルチキャスト用ルーティングテーブルT9−1の検索の結果、宛先ポート=P1c、P1d、P1b−1、P1b−2それぞれへの出力時の中継レイヤの情報を獲得する。また、レイヤ3中継時には送信VLAN−IDも獲得する。なお、マルチキャスト用ルーティングテーブルT9−1もテーブル管理部Tで管理されるテーブルである。
(フィルタ状態判別部14)
フィルタ依頼要と判別し、宛先決定部13により獲得した各種送信パラメタ情報は消滅し、フィルタ状態判別テーブルT6−1の検索により獲得した依頼先ノード情報で上書きされる。
(フィルタ処理依頼部16a、パケット送信部12−3)
VLAN−p1をIDとしたVLANタグ付きパケットをノードR2に送信する。
(B)ノードR2にてフィルタ処理を代行するフロー
ノードR2は、ポートP2cから、下記IPパケットを受信する。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLAN−ID=VLAN−p1(タグVLAN)、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=VLAN−p1と認識する。VLANメンバテーブルT2−2を受信VLAN−IDで参照し、受信ポートP2cが該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
(宛先決定部13、フィルタ状態判別部14、フィルタ代行処理部17b、フィルタ返信部18b、パケット送信部12−3)
第1の実施の形態と同様に、フィルタ代行処理を行い、ノードR1にパケットを返信する。
(C)ノードR1にて代行パケットを本来の宛先に送信するフロー
ノードR1は、ポートP1cから、下記IPパケットを受信する。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLAN−ID=VLAN−q1(タグVLAN)、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=VLAN−q1と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1cが該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
(宛先決定部13)
マルチキャスト用ルーティングテーブルT9−1の検索の結果、宛先ポート=P1c、P1d、P1b−1、それぞれへの出力時の中継レイヤ、及びレイヤ3中継時には送信VLAN−IDも獲得する。
(フィルタ状態判別部14)
フィルタ状態判別テーブルT6−1の検索の結果、1番目のエントリにヒットし、フィルタ代行済と判別する。また、ヘッダ操作情報を獲得する。
(ポートデコード部19a)
ポートデコードテーブルT8−1を返信用VLAN−ID値であるVLAN−q1により参照、受信ポート番号P1b−2を得る。
(パケット更新部12−2、パケット送信部12−3)
パケット更新部12−2は、まずフィルタ状態判別テーブルT6−1から得られた情報にしたがい、パケット中のフィルタ返信用VLANタグを削除する。以降の処理は、返信用VLAN−ID値から受信ポートをデコードする以外は、通常のパケット中継の更新処理と同じである。
すなわち、宛先ポートP1c、P1d、P1b−1、P1b−2へマルチキャストするためにパケットを複製した後、宛先決定部13でレイヤ3中継と判別したP1c、P1d宛成分については、IP/MACのヘッダ更新を行い、パケット送信部12−3によりパケットを送信する。
また、レイヤ2中継と判別したP1b−1、P1b−2宛成分については、ポートデコード部19aで得られた受信ポートP1b−2と送信ポートの比較を行い、結果が一致した場合はパケットを廃棄し、不一致時はパケット送信部12−3によりパケットをそのまま送信する(Dynamic Filtering処理)。以上の動作により、別ノードへのフィルタ処理依頼・代行が可能になる。
次に第3の実施の形態として、フィルタのキーを受信ポート、送信ポート、送信元MACとした際の動作について説明する(送信ポートをあらたなフィルタキーとして含めている)。なお、想定フローはマルチキャスト中継とする。また、マルチキャスト中継時のパケット複製は、第2の実施の形態では、折り返し後のノードR1で行っていたが、第3の実施の形態では折り返し前で行うこととする(パケット複製した後にノードR2へ送信してフィルタ処理を依頼する)。
(行いたいフィルタ定義の想定)
フィルタのキーは、(受信ポート、送信ポート、送信元MAC)とする。図4に示したフィルタテーブルT0−1において、ネットワーク管理者は、ノードR1のエントリ不足を認識し、ノードR1において(受信ポート=ポートP1b−2、送信ポート=ポートP1d)のパケットに関し、ノードR2でパケットフィルタ処理を代行させるようなシステム構築を考えたものと想定する。
なお、図19にはノードR1のフィルタ状態判別テーブルT6a−1、フィルタテーブルT7a−1を示し、図20にはノードR2のフィルタ状態判別テーブルT6a−2、フィルタテーブルT7a−2を示す。テーブルは基本的には図5〜図10と同じであり、差分のみ図19、図20に示してある。
(ネットワーク管理者による事前設定)
パス構築部11による設定は、まず、ノードR1とノードR2の間に、(受信ポートP1b−2、送信ポートP1d、中継レイヤ=レイヤ3)を対応付けたフィルタ依頼用VLAN及び返信用VLANを構築する。また、VLANメンバテーブルは、第2の実施の形態で使用したVLANメンバテーブルT2−1、T2−2と同じものを使い、フィルタ状態判別テーブルT6a−1、T6a−2は、第2の実施の形態で使用したフィルタ状態判別テーブルT6−1、T6−2に対し、送信ポートが追加されたテーブルとなる。また、代行済み時に関する連想データには、受信VLAN−ID値に対応する宛先情報を、ヘッダ更新のレイヤ情報も格納する。
一方、ポートデコードテーブルは不要とする。ポートデコードテーブルが不要な理由は、第3の実施の形態では、マルチキャスト時のパケット複製及びDynamic Filteringを行うのが依頼先ノードR2への転送前であり、ノードR2からの返信後に受信ポートをデコードする必要がないためである。
次にノードR2のフィルタテーブルT7a−2に対し、フィルタ代行処理用の設定を行う。ここでは、本来ノード固有情報である受信ポート、送信ポートの代わりに、依頼用VLAN−p1をフィルタのキーとして設定する。図中でVLAN−p1をキーとするエントリが上記コマンドにより追加されたエントリである。
次に運用時のパケット処理フローについて説明する。
(A)ノードR1にてフィルタ処理を依頼するフロー
いま、ノードR1が、ポートP1b−2から、下記IPパケットを受信したものとする。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLANタグ無し、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=2と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1b−2が該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
(宛先決定部13)
マルチキャスト用ルーティングテーブルT9−1の検索の結果、宛先ポート=P1c、P1d、P1b−1、P1b−2、それぞれへの出力時の中継レイヤ、及びレイヤ3中継時には送信VLAN−IDの各情報を獲得する。
(フィルタ状態判別部14)
宛先決定部13で求まった各送信ポートと受信ポートの対によりフィルタ状態判別テーブルT6a−1を検索し、(受信ポート=P1b−2、送信ポート=P1d)についてフィルタ依頼要と判別される。
(パケット更新部12−2)
ノードR2への転送に先立ち、パケットの複製及びDynamic Filtering処理を行う。その結果、P1c、P1d、P1b−1宛のパケットが3つ生成される。
・P1c、P1b−1宛パケット:フィルタ、ヘッダ更新の後に送信される。
・P1d宛パケット:フィルタ処理依頼部16a及びパケット送信部12−3での処理を実行する。
(フィルタ処理依頼部16a、パケット送信部12−3)
第2の実施の形態と同様に、VLAN−p1をIDとしたVLANタグ付きパケットをノードR2に送信する。
(B)ノードR2にてフィルタ処理を代行するフロー
ノードR2は、ポートP2cから、下記IPパケットを受信する。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLAN−ID=VLAN−p1(タグVLAN)、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=VLAN−p1と認識する。VLANメンバテーブルT2−2を受信VLAN−IDで参照し、受信ポートP2cが該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
(宛先決定部13、フィルタ状態判別部14、フィルタ代行処理部17b、フィルタ返信部18b、パケット送信部12−3)
第1の実施の形態と同様に、フィルタ代行処理を行い、ノードR1にパケットを返信する。
(C)ノードR1にて代行パケットを本来の宛先に送信するフロー
ノードR1は、ポートP1cから、下記IPパケットを受信する。
送信元MAC=端末t9、宛先MAC=01.00.5e.1.2.3、VLAN−ID=VLAN−q1(タグVLAN)、送信元IP=IP_端末t9、宛先IP=235.1.2.3(IPマルチキャスト)
(パケット受信部12−1)
受信VLAN−ID=VLAN−q1と認識する。VLANメンバテーブルT2−1を受信VLAN−IDで参照し、受信ポートP1cが該当VLANに所属するため、受信対象として認識する。宛先MACアドレスから、IPマルチキャスト処理対象と認識する。
(宛先決定部13)
マルチキャスト用ルーティングテーブルT9−1の検索の結果、宛先ポート=P1c、P1d、P1b−1、それぞれへの出力時の中継レイヤ、及びレイヤ3中継時には送信VLAN−IDの各情報を獲得する。
(フィルタ状態判別部14)
フィルタ状態判別テーブルT6a−1の検索の結果、1番目のエントリにヒットし、フィルタ代行済と判別される。この時点で宛先決定部13により獲得した各種送信パラメタ情報は消滅し、フィルタ状態判別テーブルT6a−1の検索により獲得した依頼先ノード情報で上書きされる。
また、ヘッダ操作情報を獲得する。フィルタ状態判別テーブルT6a−1から、このパケットは、フロー(A)にて複製されたパケットのうち、ポートP1d宛のレイヤ3パケットであること、及び送信VLAN−ID値も認識する。
(パケット更新部12−2、パケット送信部12−3)
パケット更新部12−2は、まずフィルタ状態判別テーブルT6a−1から得られた情報にしたがい、パケット中のフィルタ返信用VLANタグを削除する。次に、フィルタ状態判別テーブルT6a−1がレイヤ3パケットであることを示しているので、ヘッダ更新を行った上で、パケット送信部12−3は、パケットを送信する。以上の動作により、別ノードへのフィルタ依頼が可能となる。
次に第1〜第3の実施の形態における追加内容について以下の(1)〜(4)について説明する。
(1)パス構築部11では、VLANタグを使って依頼パス及び返信パスを構築していたが、IPトンネルのように、その他のトンネルプロトコルを使ったパスであってもよい。また、パスのID値は、既存のプロトコルヘッダに埋め込まず、独自ヘッダに埋め込む形でもよい。
図21は独自ヘッダを有するパケットフォーマットを示す図である。元パケットをカプセル化して、独自ヘッダ、IPヘッダ、MACヘッダが付加されている。このように、フィルタ処理依頼元ノードとフィルタ処理代行側ノード間に確立するパスにレイヤ3以上のトンネルプロトコルを使うことにより、フィルタ処理依頼元ノードとフィルタ処理代行側ノード間に他ルータが存在しても本発明の適用が可能となり、適用対象のネットワーク形態を広めることができる(フィルタ処理依頼元ノードとフィルタ処理代行側ノード間に、VLANパスを確立する場合には、フィルタ処理依頼元ノードとフィルタ処理代行側ノードとの間には、他ルータなどのノードが存在しないことが必要であるが、トンネリングの場合には、他ルータなどのノードの存在が許容される)。
(2)フィルタ処理依頼部16aは、依頼パス識別子の他に、少なくともパケットの受信時間を含むログ情報も挿入してフィルタ処理依頼パケットを生成してもよい。同様に、フィルタ返信部18bは、返信パス識別子の他に、少なくともフィルタ処理依頼パケットの受信時間を含むログ情報も挿入してフィルタ処理代行パケットを生成してもよい。時間情報が挿入されたヘッダフォーマットを図21の独自ヘッダフォーマットパターン2に示す。このような時間情報が記されることで、ネットワーク管理に使用することが可能になる。
(3)フィルタ返信部18bは、返信パス識別子の他に、フィルタ代行処理部17bが代行側フィルタテーブルT7−2を検索した際にヒットしたエントリ番号も挿入してフィルタ処理代行パケットを生成してもよい。このようにすることで、代行側パケット中継装置でのフィルタ代行処理によってパケットが廃棄された場合、廃棄されたフィルタリング定義をネットワーク管理者が認識することが可能になる。
(4)第1〜第3の実施の形態において、ノードR1のフィルタエントリが不足し、ノードR2へフィルタ処理を依頼する場合、ノードR1のフィルタ状態依頼元判別部14a及びテーブル管理部Tでは、一連のソフトウェア・プログラムによって、自律的にフィルタエントリの不足を察知し、テーブルが空いているノード及び使われてないパスの番号(VLAN−ID値など)を見つけて、各ノードのテーブル設定を行うものである(ネットワーク管理者によるマニュアル設定も可)。
(付記1) パケットの中継通信を行うパケット中継システムにおいて、
受信パケットのフィルタ処理を他装置へ依頼して代行させる際に、代行候補へフィルタ処理を代行させるパケットを送信するための依頼パスを構築し、かつ代行候補でフィルタ処理が代行された後のパケットを受信するための返信パスを構築するパス構築部と、受信パケットに対して、他装置へフィルタ処理を代行させるための依頼要、不要、または代行済のいずれかを判別し、依頼要であれば、代行装置へパケットを送信する際の依頼側宛先ポートと、前記依頼パスの識別子と、を取得するフィルタ状態依頼元判別部と、パケットに依頼パス識別子を挿入して、フィルタ処理依頼パケットを生成するフィルタ処理依頼部と、前記依頼側宛先ポートから代行装置へ向けて、前記フィルタ処理依頼パケットの送信処理を行う依頼元送信部と、フィルタ処理代行パケットを受信して、前記フィルタ処理代行パケットが前記フィルタ状態依頼元判別部によってフィルタ処理が代行済と判別された場合は、パケットに挿入されている返信パス識別子を削除し、ヘッダ情報を更新してパケット中継を行うパケット更新部と、から構成される依頼元パケット中継装置と、
前記依頼パス識別子が挿入された前記フィルタ処理依頼パケットを受信した場合に、フィルタ処理の代行要、不要を判別し、代行要であれば、前記依頼元パケット中継装置へパケットを送信する際の代行側宛先ポートと、前記返信パス識別子と、を取得するフィルタ状態代行側判別部と、受信パケットのフィルタ処理の条件が設定された代行側フィルタテーブルと、フィルタ処理の代行を行う場合、前記依頼パス識別子をキーにして、前記代行側フィルタテーブルを検索し、前記フィルタ処理依頼パケットが中継許可か廃棄かを判別するフィルタ代行処理部と、中継許可の場合、前記フィルタ処理依頼パケットから前記依頼パス識別子を削除して、前記返信パス識別子を挿入して前記フィルタ処理代行パケットを生成するフィルタ返信部と、前記代行側宛先ポートから前記依頼元パケット中継装置へ向けて、前記フィルタ処理代行パケットの折り返し送信処理を行う代行側送信部と、から構成される代行側パケット中継装置と、
を有することを特徴とするパケット中継システム。
(付記2) 前記依頼元パケット中継装置は、前記フィルタ処理代行パケットを受信した場合、前記返信パス識別子をデコードして、フィルタ処理依頼前の受信パケットの最初の受信ポート番号を求めるポートデコード部をさらに有することを特徴とする付記1記載のパケット中継システム。
(付記3) 前記パス構築部は、前記依頼パス及び前記返信パスとして、VLANによるパスまたはIPトンネルによるパスを構築することを特徴とする付記1記載のパケット中継システム。
(付記4) 前記フィルタ処理依頼部は、前記依頼パス識別子の他に、少なくともパケットの受信時間を含むログ情報を挿入して前記フィルタ処理依頼パケットを生成し、前記フィルタ返信部は、前記返信パス識別子の他に、少なくとも前記フィルタ処理依頼パケットの受信時間を含むログ情報を挿入して前記フィルタ処理代行パケットを生成することを特徴とする付記1記載のパケット中継システム。
(付記5) 前記代行側パケット中継装置でのフィルタ代行処理によってパケットが廃棄された場合、廃棄されたフィルタリング定義をネットワーク管理者が認識できるように、前記フィルタ返信部は、前記返信パス識別子の他に、前記フィルタ代行処理部が前記代行側フィルタテーブルを検索した際にヒットしたエントリ番号も挿入して前記フィルタ処理代行パケットを生成することを特徴とする付記1記載のパケット中継システム。
(付記6) パケットの中継通信を行うパケット中継装置において、
受信パケットのフィルタ処理を他装置へ依頼して代行させる際に、代行候補へフィルタ処理を代行させるパケットを送信するための依頼パスを構築し、かつ代行候補でフィルタ処理が代行された後のパケットを受信するための返信パスを構築するパス構築部と、
受信パケットに対して、他装置へフィルタ処理を代行させるための依頼要、不要、または代行済のいずれかを判別し、依頼要であれば、代行装置へパケットを送信する際の依頼側宛先ポートと、前記依頼パスの識別子と、を取得するフィルタ状態依頼元判別部と、
パケットに依頼パス識別子を挿入して、フィルタ処理依頼パケットを生成するフィルタ処理依頼部と、
前記依頼側宛先ポートから代行装置へ向けて、前記フィルタ処理依頼パケットの送信処理を行う依頼元送信部と、
前記依頼パス識別子が挿入された前記フィルタ処理依頼パケットを受信した場合に、フィルタ処理の代行要、不要を判別し、代行要であれば、前記依頼元パケット中継装置へパケットを送信する際の代行側宛先ポートと、返信パス識別子と、を取得するフィルタ状態代行側判別部と、
受信パケットのフィルタ処理の条件が設定された代行側フィルタテーブルと、
フィルタ処理の代行を行う場合、前記依頼パス識別子をキーにして、前記代行側フィルタテーブルを検索し、前記フィルタ処理依頼パケットが中継許可か廃棄かを判別するフィルタ代行処理部と、
中継許可の場合、前記フィルタ処理依頼パケットから前記依頼パス識別子を削除して、前記返信パス識別子を挿入してフィルタ処理代行パケットを生成するフィルタ返信部と、
前記代行側宛先ポートから前記依頼元パケット中継装置へ向けて、前記フィルタ処理代行パケットの折り返し送信処理を行う代行側送信部と、
前記フィルタ処理代行パケットを受信し、前記フィルタ処理代行パケットが前記フィルタ状態依頼元判別部によってフィルタ処理が代行済と判別された場合は、パケットに挿入されている前記返信パス識別子を削除し、ヘッダ情報を更新してパケット中継を行うパケット更新部と、
を有することを特徴とするパケット中継装置。
(付記7) 前記フィルタ処理代行パケットを受信した場合、前記返信パス識別子をデコードして、フィルタ処理依頼前の受信パケットの最初の受信ポート番号を求めるポートデコード部をさらに有することを特徴とする付記6記載のパケット中継装置。
(付記8) 前記パス構築部は、前記依頼パス及び前記返信パスとして、VLANによるパスまたはIPトンネルによるパスを構築することを特徴とする付記6記載のパケット中継装置。
(付記9) 前記フィルタ処理依頼部は、前記依頼パス識別子の他に、少なくともパケットの受信時間を含むログ情報も挿入して前記フィルタ処理依頼パケットを生成し、前記フィルタ返信部は、前記返信パス識別子の他に、少なくとも前記フィルタ処理依頼パケットの受信時間を含むログ情報も挿入して前記フィルタ処理代行パケットを生成することを特徴とする付記6記載のパケット中継装置。
(付記10) フィルタ代行処理によってパケットが廃棄された場合、廃棄されたフィルタリング定義をネットワーク管理者が認識できるように、前記フィルタ返信部は、前記返信パス識別子の他に、前記フィルタ代行処理部が前記代行側フィルタテーブルを検索した際にヒットしたエントリ番号も挿入して前記フィルタ処理代行パケットを生成することを特徴とする付記6記載のパケット中継装置。
パケット中継システムの原理図である。 パケット中継装置の構成を示す図である。 ネットワーク構成を示す図である。 フィルタテーブルを示す図である。 テーブルを示す図である。 テーブルを示す図である。 テーブルを示す図である。 テーブルを示す図である。 テーブルを示す図である。 テーブルを示す図である。 中継ノードの処理フローを示す図である。 パケット中継装置の動作フローチャートを示す図である。 パケット中継装置の動作フローチャートを示す図である。 フィルタ処理依頼なしの場合のパケットの流れを示す図である。 フィルタ処理依頼ありの場合のパケットの流れを示す図である。 パケットフォーマットを示す図である。 パケットフォーマットを示す図である。 マルチキャスト用ルーティングテーブルを示す図である。 フィルタ状態判別テーブルとフィルタテーブルを示す図である。 フィルタ状態判別テーブルとフィルタテーブルを示す図である。 独自ヘッダを有するパケットフォーマットを示す図である。 フィルタテーブルを持つルータを示す図である。 フィルタ処理を別ルータに依頼してパケット中継を行う場合の図である。
符号の説明
1 パケット中継システム
1a 依頼元パケット中継装置
11 パス構築部
14a フィルタ状態依頼元判別部
16a フィルタ処理依頼部
12−2 パケット更新部
12a 依頼元送信部
1b 代行側パケット中継装置
12b 代行側送信部
14b フィルタ状態代行側判別部
17b フィルタ代行処理部
18b フィルタ返信部
T7−2 代行側フィルタテーブル
P1 依頼パス
Q1 返信パス
p1 依頼パス識別子
q1 返信パス識別子

Claims (9)

  1. パケットの中継処理を行うパケット中継システムにおいて、
    受信パケットのフィルタ処理を他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とが対応付けて記憶された記憶部と、受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築するパス構築部と、受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別するフィルタ状態判別部と、判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成するフィルタ処理依頼部と、前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信する依頼元送信部と、を備える中継装置と、
    前記依頼パスを介して、前記中継装置から前記依頼パケットを受信する受信部と、受信した前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かを判別するフィルタ代行処理部と、前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子を削除し、前記返信パスの識別子を挿入して返信パケットを生成するフィルタ返信部と、前記返信パスを介して、前記中継装置に前記返信パケットを送信する代行側送信部と、を備える他の中継装置と、
    を備えることを特徴とするパケット中継システム。
  2. 前記中継装置は、前記返信パケットを受信した場合、前記返信パスの識別子をデコードして、フィルタ処理依頼前の受信パケットの最初の受信ポート番号を求めるポートデコード部をさらに有することを特徴とする請求項1記載のパケット中継システム。
  3. 前記パス構築部は、前記依頼パス及び前記返信パスとして、VLANによるパスまたはIPトンネルによるパスを構築することを特徴とする請求項1記載のパケット中継システム。
  4. 前記フィルタ処理依頼部は、前記依頼パスの識別子の他に、少なくともパケットの受信時間を含むログ情報を挿入して前記依頼パケットを生成し、前記フィルタ返信部は、前記返信パスの識別子の他に、少なくとも前記依頼パケットの受信時間を含むログ情報を挿入して前記返信パケットを生成することを特徴とする請求項1記載のパケット中継システム。
  5. 前記他の中継装置でのフィルタ代行処理によってパケットが廃棄された場合、廃棄されたフィルタリング定義をネットワーク管理者が認識できるように、前記フィルタ返信部は、前記返信パスの識別子の他に、前記フィルタ代行処理部が、受信パケットのフィルタ処理の条件が設定されたフィルタテーブルを検索した際にヒットしたエントリ番号も挿入して前記返信パケットを生成することを特徴とする請求項1記載のパケット中継システム。
  6. 前記フィルタ処理依頼部は、マルチキャストパケットの受信時には、パケットを複製し、複製したパケットに前記依頼パスの識別子を付けて、各パケットの送信ポート毎に前記他の中継装置へ処理依頼を行うことを特徴とする請求項1記載のパケット中継システム。
  7. 受信パケットのフィルタ処理を他の中継装置へ代行させる中継装置において、
    受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とが対応付けて記憶された記憶部と、
    受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築するパス構築部と、
    受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別するフィルタ状態判別部と、
    判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成するフィルタ処理依頼部と、
    前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信する依頼元送信部と、
    前記他の中継装置によって、前記依頼パスを介した前記依頼パケットが受信され、受信された前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かが判別され、前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子が削除され、前記返信パスの識別子が挿入されて返信パケットが生成され、前記返信パスを介して送信された前記返信パケットを受信する受信部と、
    を有することを特徴とする中継装置。
  8. パケットの中継処理をコンピュータに実行させるパケット中継処理プログラムにおいて、
    前記コンピュータに、
    受信パケットのフィルタ処理を他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とを対応付けて記憶し、
    受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築し、
    受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別し、
    判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成し、
    前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信し、
    前記依頼パスを介して、前記中継装置から前記依頼パケットを受信し、
    受信した前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かを判別し、
    前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子を削除し、前記返信パスの識別子を挿入して返信パケットを生成し、
    前記返信パスを介して、前記中継装置に前記返信パケットを送信する、
    処理を実行させることを特徴とするパケット中継処理プログラム。
  9. パケット中継方法において、
    受信パケットのフィルタ処理を他の中継装置へ代行させる依頼パケットを送信する依頼パスの識別子と、該受信パケットのフィルタ処理の条件とを対応付けて記憶し、
    受信パケットのフィルタ処理を前記他の中継装置へ代行させる依頼パケットを送信する依頼パスを構築し、前記他の中継装置で該フィルタ処理が代行された後の返信パケットを受信する返信パスを構築し、
    受信パケットについて、前記他の中継装置へフィルタ処理を代行させる依頼が必要か否かを判別し、
    判別により、依頼が必要であれば、受信パケットに前記依頼パスの識別子を挿入して依頼パケットを生成し、
    前記依頼パスを介して、前記他の中継装置に前記依頼パケットを送信し、
    前記依頼パスを介して、前記中継装置から前記依頼パケットを受信し、
    受信した前記依頼パケットに挿入された前記依頼パスの識別子に対応するフィルタ処理の条件が中継許可か否かを判別し、
    前記フィルタ処理の条件が中継許可の場合、前記依頼パケットから前記依頼パスの識別子を削除し、前記返信パスの識別子を挿入して返信パケットを生成し、
    前記返信パスを介して、前記中継装置に前記返信パケットを送信する、
    ことを特徴とするパケット中継方法。
JP2005364658A 2005-12-19 2005-12-19 パケット中継システム Expired - Fee Related JP4648182B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005364658A JP4648182B2 (ja) 2005-12-19 2005-12-19 パケット中継システム
US11/407,234 US7489682B2 (en) 2005-12-19 2006-04-20 Packet relay system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005364658A JP4648182B2 (ja) 2005-12-19 2005-12-19 パケット中継システム

Publications (2)

Publication Number Publication Date
JP2007173925A JP2007173925A (ja) 2007-07-05
JP4648182B2 true JP4648182B2 (ja) 2011-03-09

Family

ID=38173394

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005364658A Expired - Fee Related JP4648182B2 (ja) 2005-12-19 2005-12-19 パケット中継システム

Country Status (2)

Country Link
US (1) US7489682B2 (ja)
JP (1) JP4648182B2 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8179871B2 (en) * 2006-03-29 2012-05-15 Samsung Electronics Co., Ltd. Method and system for channel access control for transmission of video information over wireless channels
US8325686B2 (en) * 2006-04-20 2012-12-04 Samsung Electronics Co., Ltd. Method and system for channel time allocation and access control in wireless network for high-definition video transmission
US7792124B2 (en) * 2007-04-01 2010-09-07 Cisco Technology, Inc. Data forwarding in a layer three satellite network
US8767631B2 (en) * 2007-09-25 2014-07-01 Samsung Electronics Co., Ltd. Method and system for alternate wireless channel selection for uplink and downlink data communication
US20090240801A1 (en) * 2008-03-22 2009-09-24 Jonathan Rhoads Computer data network filter
JP4973598B2 (ja) * 2008-05-27 2012-07-11 沖電気工業株式会社 ゲートウェイ装置
EP2237515B1 (en) * 2009-04-01 2011-12-07 Nokia Siemens Networks OY Method and device for reordering filters
JP5310262B2 (ja) * 2009-05-27 2013-10-09 日本電気株式会社 サーバ装置、伝送システム及びそれらに用いるgreカプセル化転送方法
CN102577275B (zh) * 2009-09-10 2016-05-04 日本电气株式会社 中继控制设备、中继控制***、中继控制方法
WO2011052729A1 (ja) * 2009-10-30 2011-05-05 ソフトバンクBb株式会社 パケット中継装置、パケット中継方法およびプログラム
US8630288B2 (en) * 2010-05-17 2014-01-14 Fujitsu Limited Hierarchical isolated learning and flooding for metro ethernet bridging domains
US9806835B2 (en) 2012-02-09 2017-10-31 Marvell International Ltd. Clock synchronization using multiple network paths
JP5795290B2 (ja) * 2012-08-10 2015-10-14 日本電信電話株式会社 マルチキャストパケット転送システムおよび方法
JP6949466B2 (ja) * 2016-08-24 2021-10-13 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法、及び中継用プログラム
CN112640370B (zh) * 2018-08-13 2023-05-09 交互数字专利控股公司 用于多播分组的层2转发的方法和装置
JP7306020B2 (ja) * 2019-03-29 2023-07-11 株式会社デンソー 中継装置
CN112104744B (zh) * 2020-03-30 2022-09-09 厦门网宿有限公司 流量代理方法、服务器及存储介质
CN114827260B (zh) * 2022-04-13 2023-08-25 度小满科技(北京)有限公司 一种数据传输方法及相关装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001249866A (ja) * 2000-03-06 2001-09-14 Fujitsu Ltd ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
JP2002271415A (ja) * 2001-03-12 2002-09-20 Hitachi Ltd プロキシサーバ・システム、および、その通信方法
JP2002359637A (ja) * 2001-03-27 2002-12-13 Fujitsu Ltd パケット中継処理装置
JP2005295268A (ja) * 2004-03-31 2005-10-20 Fujitsu Ltd 階層型パケット処理システム、中継装置、サーバ、その方法、及びそのプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0697965A (ja) 1992-09-14 1994-04-08 Hitachi Ltd ルータにおける中継制御方式
JP4079764B2 (ja) 2002-12-20 2008-04-23 Necインフロンティア株式会社 ルータ装置
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
US7362763B2 (en) * 2003-09-04 2008-04-22 Samsung Electronics Co., Ltd. Apparatus and method for classifying traffic in a distributed architecture router

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001249866A (ja) * 2000-03-06 2001-09-14 Fujitsu Ltd ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
JP2002271415A (ja) * 2001-03-12 2002-09-20 Hitachi Ltd プロキシサーバ・システム、および、その通信方法
JP2002359637A (ja) * 2001-03-27 2002-12-13 Fujitsu Ltd パケット中継処理装置
JP2005295268A (ja) * 2004-03-31 2005-10-20 Fujitsu Ltd 階層型パケット処理システム、中継装置、サーバ、その方法、及びそのプログラム

Also Published As

Publication number Publication date
US20070140273A1 (en) 2007-06-21
JP2007173925A (ja) 2007-07-05
US7489682B2 (en) 2009-02-10

Similar Documents

Publication Publication Date Title
JP4648182B2 (ja) パケット中継システム
CN112189323B (zh) 使用安全分段标识符进行分段路由
WO2012077603A1 (ja) コンピュータシステム、コントローラ、及びネットワーク監視方法
US7855955B2 (en) Method for managing frames in a global-area communications network, corresponding computer-readable storage medium and tunnel endpoint
JP4182977B2 (ja) ネットワークシステム、ラーニングブリッジノード、ラーニング方法及びそのプログラム
US20110032939A1 (en) Network system, packet forwarding apparatus, and method of forwarding packets
US20160212048A1 (en) Openflow service chain data packet routing using tables
JP3717836B2 (ja) ダイナミック・ロード・バランサ
US7873038B2 (en) Packet processing
US8054833B2 (en) Packet mirroring
WO2019005949A1 (en) GATEWAY OF SEGMENT ROUTING
US20180131590A1 (en) Method and apparatus for tracing paths in service function chains
US9917794B2 (en) Redirection IP packet through switch fabric
WO2015074394A1 (zh) 一种报文转发方法及装置
US10848457B2 (en) Method and system for cross-zone network traffic between different zones using virtual network identifiers and virtual layer-2 broadcast domains
JP2019009596A (ja) 車載通信装置、通信制御方法および通信制御プログラム
US10855733B2 (en) Method and system for inspecting unicast network traffic between end points residing within a same zone
US7835341B2 (en) Packet communication apparatus
US20160006684A1 (en) Communication system, control apparatus, communication method, and program
US20210014253A1 (en) Device and method for intrusion detection in a communications network
Cisco Configuring Source-Route Bridging
Cisco Configuring Source-Route Bridging
Cisco Configuring Source-Route Bridging
Cisco Configuring Source-Route Bridging
Cisco Configuring Source-Route Bridging

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080416

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100422

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100701

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101207

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101209

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4648182

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees