JP5350333B2 - パケット中継装置及びネットワークシステム - Google Patents

パケット中継装置及びネットワークシステム Download PDF

Info

Publication number
JP5350333B2
JP5350333B2 JP2010146115A JP2010146115A JP5350333B2 JP 5350333 B2 JP5350333 B2 JP 5350333B2 JP 2010146115 A JP2010146115 A JP 2010146115A JP 2010146115 A JP2010146115 A JP 2010146115A JP 5350333 B2 JP5350333 B2 JP 5350333B2
Authority
JP
Japan
Prior art keywords
network
packet
terminal
gateway
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010146115A
Other languages
English (en)
Other versions
JP2012010235A (ja
Inventor
哲 大久保
信司 野崎
英洋 福島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2010146115A priority Critical patent/JP5350333B2/ja
Publication of JP2012010235A publication Critical patent/JP2012010235A/ja
Application granted granted Critical
Publication of JP5350333B2 publication Critical patent/JP5350333B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、パケット中継装置及びネットワークシステムに関する。
IP(Internet Protocol)ネットワークにおいて、送信端末から送信されるIPパケットを、送信端末の状態や送信パケットに含まれる情報(宛先IPアドレスなど)を基に、中継先ネットワークを選択する技術が存在する。中継先ネットワークを選択する技術の例としては、認証ネットワークシステムを実現するダイナミックVLAN(Virtual Local Area Network)が挙げられる。
認証ネットワークシステムとは、端末が認証や検疫(以下、単に「認証」)を行うネットワーク(以下、単に「認証ネットワーク」)と、端末が認証を行った後(以下、単に「認証後」)に接続するネットワーク(以下、単に「業務ネットワーク」)を有し、認証が済んだ端末(以下、単に「認証済み端末」)のみが業務ネットワークへのアクセスを許可され、認証が済んでいない端末(以下、単に「未認証端末」)による不正アクセスを防止するネットワークシステムである。
ダイナミックVLANは、認証ネットワークと業務ネットワークそれぞれを異なるVLANで構成し、端末の認証状態に応じて、端末の所属VLANを変更し、端末の送信パケットの中継先ネットワークを切り替える技術である。ダイナミックVLANでは、認証前後で端末の所属VLANが変更されるため、認証前後で端末に対して異なるサブネットのIPアドレスを付与する必要がある。そのため、認証前後でサブネットを分けるため、IPアドレスの利用効率が低くなる。
ダイナミックVLANに対し、認証前後で同じIPアドレスを付与する方法が、特許文献1に記されている。それは、認証ネットワークと業務ネットワークをそれぞれVPN(Virtual Private Network)として構成し、各VPN内で端末が所属するVLANのIPサブネットを同一にすることで実現する。端末に付与するIPアドレスは、各VPNに設置されたDHCP(Dynamic Host Configuration Protocol)サーバがVPN間で同期することで、端末が認証前後で付与されるIPアドレスが同一のものとなるようにしている。
特開2008−193231号公報
特許文献1の技術では、ダイナミックVLANでは可能であった認証済み端末による認証ネットワークへのアクセスができなくなるという課題がある。そのため、例えば、認証ネットワークに存在する検疫システム(例えば、ウィルス対策ソフトやオペレーティングシステムのアップデートを行うシステム)を、業務ネットワーク側から利用することができず、業務ネットワーク側にも同等のシステムを用意する必要が生じる。また、特許文献1では、互いに同期する特殊な機能を備えたDHCPサーバを複数台設置する必要がある。
本発明は、以上の点に鑑み、ダイナミックVLANにおける認証前後でのIPサブネットの変更を不要とし、認証後でも検疫ネットワークへのアクセスを可能とすることを目的とする。
また、本発明は、端末が所属するネットワークを変更せずに、認証前後でパケットが中継されるネットワークを切り替えることが可能とし、認証前後でIPアドレスの変更を不要とし、IPアドレスの利用効率を向上させ、認証後であっても認証ネットワークへのアクセスが可能とすることを目的のひとつとする。
L3(Layer3)スイッチのゲートウェイのMAC(Media Access Control)アドレスの取得のために端末が送信するARP(Address Resolution Protocol)要求に対し、L2(Layer2)スイッチが、L2スイッチのMACアドレスをARP応答として端末に送信する。これにより、端末が所属サブネット外に通信するためにゲートウェイ経由となるパケットの、宛先MACアドレスがL2スイッチのMACアドレスとなり、L2スイッチは受信したパケットの宛先MACアドレスのみで、ゲートウェイ宛かを判定可能となる。L2スイッチは、宛先MACアドレスがL2スイッチとなるパケットを受信した場合に、端末の認証状態に応じて、中継先のネットワークを変更する。未認証端末のパケットは、認証ネットワークのL3スイッチのゲートウェイ宛に中継し、認証済み端末のパケットは、業務ネットワークのL3スイッチのゲートウェイ宛に中継する。ここでのL3スイッチは、ネットワーク単位に独立したルーティングテーブルを持つことが可能な装置で、端末からの送信パケットを受信したL3スイッチは、受信したゲートウェイのネットワークのルーティングテーブルに従いパケットを中継する。認証ネットワークのルーティングテーブルには、業務ネットワーク宛の経路を持たせないことで、未認証端末からの業務ネットワーク宛のパケットはL3スイッチ上で宛先不明として廃棄し、業務ネットワークのルーティングテーブルには、認証ネットワーク宛および業務ネットワーク宛の経路を持たせ、認証済み端末から認証ネットワーク宛または業務ネットワーク宛どちらのパケットが送信されても、それぞれのネットワークへL3スイッチが中継することを可能とする。L2スイッチがゲートウェイの代理として、中継先を切り替えることで、端末は認証前後で、属するIPサブネットを変更せずに済む。
認証ネットワークおよび業務ネットワークから端末ネットワーク宛のパケットに関しては、認証ネットワークおよび業務ネットワークのL3スイッチのルーティングテーブルに端末ネットワーク宛の経路を持たせることで、L3スイッチが端末ネットワークに中継し、L2スイッチを経由して端末へと送らせる。
本発明の第1の解決手段によると、
端末が所属する第1のネットワークと、認証サーバが所属する第2のネットワークと、認証後の前記端末がアクセス可能なサーバが所属するひとつ以上の第3のネットワークとを備えたネットワークシステムにおいて、前記第1乃至第3のネットワークのそれぞれに所属するパケット中継装置であって、
前記第1乃至第3のネットワークに対応する複数のインタフェースと、
前記第1乃至第3のネットワークの識別情報と、対応するネットワークのゲートウェイのアドレス情報と、該ゲートウェイにパケットを送信するための出力インタフェース情報及び/又は出力先アドレス情報を含む出力情報とが保存されるゲートウェイ管理テーブルと、
認証後の前記端末のアドレス情報に対応して、該認証により通信が許可された前記第3のネットワークの識別情報と出力情報とが少なくとも保存される中継テーブルと、
前記中継テーブルに従い、前記第3のネットワークへの通信が許可されていない前記第1のネットワークに所属する前記端末からのパケットを受信した場合は前記第2のネットワークのゲートウェイへ中継し、前記第3のネットワークへの通信が許可されている前記端末からのパケットを受信した場合は前記第3のネットワークのゲートウェイへ中継するパケット処理部と
を備え、
前記ゲートウェイ管理テーブルに保存された前記第3のネットワークに対応する出力情報が、前記中継テーブルの前記第3のネットワークに対応する出力情報に保存されるパケット中継装置が提供される。
本発明の第2の解決手段によると、
上述のパケット中継装置である第1のパケット中継装置と、
前記第1のパケット中継装置と前記第1乃至第3のネットワークでそれぞれ接続される第2のパケット中継装置と、
を備え、
前記第2のパケット中継装置が、
前記第1及び第2及び第3のネットワークにおけるゲートウェイとして機能し、
前記第1のネットワークへの転送経路を持つ第1の転送経路テーブルを有し、前記第1の転送経路テーブルを前記第1のネットワークで受信したパケットの転送処理に使用し、
前記第1のネットワーク及び前記第2のネットワークへの転送経路を持つ第2の転送経路テーブルを有し、前記第2の転送経路テーブルを前記第2のネットワークで受信したパケットの転送処理に使用し、
前記第1のネットワーク及び前記第2のネットワーク及びひとつ以上の前記第3のネットワークへの転送経路を持つひとつ以上の第3の転送経路テーブルを有し、前記第3の転送経路テーブルを前記第3のネットワークで受信したパケットの転送処理に使用し、
前記第1のパケット中継装置が、前記第1のネットワークに所属する前記端末からの前記第1のネットワーク以外に所属する機器への送信パケットを受信すると、前記中継テーブルに従いパケットを前記第2又は第3のネットワークへ中継し、
前記第2のパケット中継装置が、前記第2又は第3のネットワークに所属する機器からの前記第1のネットワークに所属する前記端末への送信パケットを受信すると、前記第2の転送経路テーブル及び第3の転送経路テーブルのいずれかに従って、前記パケットを前記第1のネットワークへ中継するネットワークシステムが提供される。
本発明によると、ダイナミックVLANにおける認証前後でのIPサブネットの変更を不要とし、認証後でも検疫ネットワークへのアクセスを可能とすることができる。
また、本発明によると、端末が所属するネットワークを変更せずに、認証前後でパケットが中継されるネットワークを切り替えることが可能となり、認証前後でIPアドレスの変更を不要とし、IPアドレスの利用効率を向上させ、認証後であっても認証ネットワークへのアクセスが可能となる。
第1の実施の形態におけるネットワーク構成図。 第1の実施の形態で使用するパケットフォーマット。 第1の実施の形態におけるL2スイッチ内部構造の説明図。 第1の実施の形態におけるL2スイッチ内で保持されるデータの説明図。 第1の実施の形態におけるL2スイッチのパケット受信フロー。 第1の実施の形態におけるL3スイッチのルーティングテーブルの説明図。 第2の実施の形態におけるネットワーク構成図。 第2の実施の形態におけるL2スイッチ内で保持されるデータの説明図。 第2の実施の形態における追加のルーティングテーブルの説明図。
1.第1の実施の形態
本実施例では、認証ネットワークシステムを実現する場合の動作例を示す。
図1は、本実施例を説明するためのネットワーク構成図を示している。
図1のネットワークは、端末111とDHCPサーバ(アドレス割当サーバ、ネットワーク情報設定サーバ)141が所属する端末ネットワーク101と、認証サーバ142が所属する認証ネットワーク102と、業務サーバ143が所属する業務ネットワーク103の3つのネットワークを含む。L2スイッチ121とL3スイッチ131は、前記3つのネットワークにまたがって所属する。
端末ネットワーク101は、例えば、IPサブネット10.0.0.0/8のVLAN「10」で構成され、端末111とL2スイッチ121のインタフェース121−1が接続され、L2スイッチ121のインタフェース121−2とL3スイッチ131のインタフェース131−1が接続され、L3スイッチ131のインタフェース131−4とDHCPサーバ141が接続される。
認証ネットワーク102は、例えば、IPサブネット20.0.0.0/8のVLAN「20」で構成され、L2スイッチ121のインタフェース121−3とL3スイッチ131のインタフェース131−2が接続され、L3スイッチ131のインタフェース131−5と認証サーバ142が接続される。
業務ネットワーク103は、例えば、IPサブネット30.0.0.0/8のVLAN「30」で構成され、L2スイッチ121のインタフェース121−4とL3スイッチ131のインタフェース131−3が接続され、L3スイッチ131のインタフェース131−6と業務サーバ143が接続される。
各機器のMACアドレス(以下、単にMACと記すこともある)については、例えば、端末111はMAC111、L2スイッチ121はMAC121、L3スイッチ131はMAC131、DHCPサーバ141はMAC141、認証サーバ142はMAC142、業務サーバ143はMAC143と表記する。また、IPアドレス(以下、単にIPと記すこともある)は、端末111は、動的に割り当てられ、例えばDHCPサーバは「10.0.0.4」、認証サーバは「20.0.0.4」、業務サーバは「30.0.0.4」が割り当てられている。L2スイッチ121およびL3スイッチ131は、VLAN単位にIPアドレスを割り当てられ、例えばL2スイッチ121は、VLAN「20」で「20.0.0.2」、L3スイッチ131は、VLAN「10」で「10.0.0.3」、VLAN「20」で「20.0.0.3」、VLAN「30」で「30.0.0.3」が割り当てられている。
図1における点線矢印は、認証前の端末111が通信可能な、端末ネットワーク101以外のネットワークの機器との通信の通信経路を表している。実線矢印は、認証後の端末111が通信可能な、端末ネットワーク101以外のネットワークの機器との通信の通信経路を現している。
図1のL3スイッチ131は、端末ネットワーク101、認証ネットワーク102、業務ネットワーク103のそれぞれで独立したルーティング空間を持つ機能を持っている。この機能はVRF(Virtual Routing and Forwarding)と呼ばれる機能で、既知の技術として、一般の機器に実装されている。
図2は、本実施例で通信に利用するパケットの主要なフィールドのみを記載したフォーマットである。
各パケットに共通するフィールドは同じ符号を付している。宛先MAC211はL2通信における送信先装置のMACアドレス、送信元MAC212はL2通信における送信元装置のMACアドレス、ソースMAC221はARP要求元装置のMACアドレス、ソースIP222はARP要求元装置のIPアドレス、ターゲットIP223はMACアドレスを調べる対象装置のIPアドレス、ターゲットMAC224はターゲットIP223に対するMACアドレスを格納するフィールドである。また、クライアントMAC231はDHCP要求を出す装置のMACアドレス、クライアントIP232はDHCPによって割り当てられるIPアドレス、ゲートウェイIP233はDHCPによって配布されるゲートウェイのIPアドレスを格納するフィールドである。送信元IP213はL3通信における送信元装置のIPアドレス、宛先IP214はL3通信における送信先装置のIPアドレス、L2認証データ251は端末111がL2スイッチ121に送る認証に必要なアカウント情報、L2認証結果252はL2スイッチ121が端末111に返す認証結果、サーバ認証データ261はL2スイッチ121が認証サーバ142に送る認証に必要なアカウント情報、サーバ認証結果262は認証サーバ142がL2スイッチ121に送る認証結果、を格納するフィールドとなっている。
以上を前提として、以下認証ネットワークシステムについて述べる。
図3は、L2スイッチ121の内部構造を示している。
L2スイッチ121は、インタフェース311−i(i:1〜nの整数)と、パケット送受信部312と、FDB学習部313と、パケット種別判定部314と、パケット処理部と、主記憶(主記憶部)331とを有する。パケット処理部は、フォワーディング部321と、CPU部322と、ネットワーク間中継部323と、ゲートウェイ処理部324とを有する。主記憶331は、MACテーブル332と、GW管理テーブル333と、中継テーブル334とを有する。
各インタフェース311−iで受信したパケットは、パケット送受信部312を介し、FDB学習部313に送られる。FDB学習部313は、受信パケットの情報でMACテーブル332を更新し、パケット種別判定部314に受信パケットを送る。パケット種別判定部314は、受信したパケットの情報に応じて、フォワーディング部321、CPU部323、ネットワーク間中継部323、ゲートウェイ処理部324のいずれかへ受信パケットを送る。
フォワーディング部321は主記憶331上に記憶されるMACテーブル332の内容を参照・更新しながらパケット送受信部312を介してパケットを送信する。CPU部322は主記憶331上に記憶されるGW(GateWay、ゲートウェイ)管理テーブル333や中継テーブル334の内容を参照・更新し、パケット送受信部312を介してパケットを送信する。ネットワーク間中継部323は、主記憶331上に記憶される中継テーブル334の内容を参照し、パケット送受信部312を介してパケットを送信する。ゲートウェイ処理部324は、受信したDHCPパケットまたはARPパケットの内容をもとに、GW管理テーブル333を参照・更新し、フォワーディング部321経由もしくは直接、パケット送受信部312を介してパケットを送信する。図3における実線矢印はパケットの流れを示し、点線矢印は主記憶331の参照・更新を示している。
図4は、L2スイッチ121が主記憶331に持つ各種テーブルの内容である。
図4(a)に示すMACテーブル410は、MACテーブル332の内容に相当し、パケットを受信したインタフェースのVLANと受信したパケットの宛先MAC211に応じて、送信先のインタフェースを決定するテーブルである。初期状態ではMACテーブル410には登録エントリはない。例えば、MACテーブル410は、VLANの識別子411と宛先MACアドレス412と、出力インタフェースの識別子413とが対応して記憶される。
図4(b)に示すGW管理テーブル420は、GW管理テーブル333の内容に相当し、各ネットワークにおけるL2スイッチ121が属するVLANを表すゲートウェイVLANの識別子421と、ゲートウェイVLAN421でのゲートウェイのIPアドレスを表すゲートウェイIP422と、ゲートウェイVLAN421のゲートウェイと接続するインタフェースを表す出力インタフェースの識別子423と、ゲートウェイVLAN421のゲートウェイのMACアドレスを表す出力MAC424を含むエントリ配列で構成される。
初期状態は、VLAN「10」、「20」、「30」の各ネットワークにおけるゲートウェイのIPアドレスとして、L3スイッチ131の各VLANのIPアドレスが設定される。それは、図4(b)に表記した値になり、第2エントリは、VLAN「20」のL3スイッチ131のIPアドレスが20.0.0.3であるため、ゲートウェイVLAN421を「20」、ゲートウェイIP422が「20.0.0.3」と設定される。同様に第3エントリも設定される。ここで、「不定」となっているものは、動的に解決されることを示している。括弧内の値は、以降の処理の中で更新された後の値を表している。第1エントリは、VLAN「10」についてのエントリなので、ゲートウェイVLAN421を「10」、ゲートウェイIP422を「10.0.0.3」と設定してもよいが、本実施例では、DHCPによって動的にゲートウェイのIPアドレスを決定するため、「不定」としている。
図4(c)に示す中継テーブル430は、中継テーブル334の内容に相当し、端末を識別するMACアドレスを示す送信元MAC431と、端末がゲートウェイ宛に送信したパケットの中継先VLANを表す出力VLANの識別子432と、送信するインタフェースを表す出力インタフェースの識別子433と、宛先ゲートウェイのMACアドレスを表す出力MAC434を含むテーブルである。初期状態としては、登録エントリはない。
次にL3スイッチについて説明する。
L3スイッチ131は、既知技術によって実現されている装置を用いることができる。そのため、詳細な動作の説明は省くものとする。L3スイッチ131は、VRF機能を有する装置で、端末ネットワーク101、認証ネットワーク102、業務ネットワーク103それぞれで独立したルーティング空間を持っているものとする。また、各ルーティング空間において、パケットの中継先として他のルーティング空間を指定することができる。
図6に、各ルーティング空間におけるルーティングテーブルを示している。
各ルーティングテーブル(転送経路テーブル)は、宛先IPアドレス、マスク長、出力VLANの識別子を含むエントリを有する。
ルーティングテーブル610は、端末ネットワーク101におけるルーティングテーブルを示しており、初期状態で端末111が所属するネットワーク宛の経路として第1エントリのみが存在する。
ルーティングテーブル620は、認証ネットワーク102におけるルーティングテーブルを示しており、初期状態で第2エントリまでが存在する。第1エントリは、端末ネットワーク101宛、第2エントリは、認証ネットワーク102宛の経路を示す。
ルーティングテーブル630は、業務ネットワーク103におけるルーティングテーブルを示しており、初期状態で第3エントリまでが存在する。第1エントリは、端末ネットワーク101宛、第2エントリは、認証ネットワーク102宛、第3エントリは、業務ネットワーク103宛の経路を示す。
各ルーティングテーブルは、10.0.0.0/8宛の出力先が同じになるように設定されている。L3スイッチ131は、受信したパケットを受信したネットワークのルーティングテーブルに従い、パケットを中継するものとする。なお、中継に際しては、ARPによって隣接装置のMACアドレスの解決を行い、隣接装置へと中継を行うものとする。
(IPアドレスの取得)
まず、端末111がIPアドレスを取得するため、宛先MAC211を「FF:FF:FF:FF:FF:FF」、送信元MAC212を「MAC111」(端末111のMACアドレス)、クライアントMAC231をMAC111のDHCP要求パケットを送信する。L2スイッチ121は、前記DHCP要求パケットをインタフェース121−1で受信する。
図5は、L2スイッチ121におけるパケット受信時の処理フローである。
図5のフローにおいて、二重線の項目はネットワーク間中継部323、点線の項目はゲートウェイ処理部324で処理されることを示す。
DHCP要求パケットを受信したL2スイッチ121は、まずFDB(ForwardingDataBase)学習511の処理で、MACテーブル410に、受信したインタフェース121−1の識別子を出力インタフェース413のフィールドに、そのインタフェースが所属するVLANの識別子「10」を入力VLAN411のフィールドに、受信パケットの送信元MAC212を宛先MAC412のフィールドとしたエントリを登録する。FDB学習511の処理は、FDB学習部313で行われる。なお、パケットを受信したインタフェースの所属するVLANを、以降、受信VLANと表現する。登録した結果が図4(a)MACテーブル410の第1エントリの内容となる。続いて、パケット種別判定512へ進む。
パケット種別判定512は、パケット種別判定部314で行われる。パケット種別判定512では、個別の処理を要するパケットに応じて処理を分岐する。個別の処理を要するパケットは予め定められ、例えば、パケット内の適宜の識別子により判別できる。DHCP要求パケットの場合、個別の処理は必要ではないので、「その他」として、フォワーディング部321で処理されるFDB検索送信513へ進む。FDB検索送信513では、受信VLANとパケットの宛先MAC211をキーに、入力VLAN411と宛先MAC412が一致するエントリをMACテーブル410から検索する。この時点では、第1エントリのみなので、DHCP要求パケットの宛先MAC211が「FF:FF:FF:FF:FF:FF」に一致するエントリはないので、受信したインタフェース以外の受信VLANに属するインタフェース全てから受信パケットを送信する処理(以降、フラッディング)を行う。本実施例では、インタフェース121−2からDHCP要求パケットを送信する。インタフェース121−2から送信されたDHCP要求パケットは、L3スイッチ131がインタフェース131−1で受信する。
インタフェース131−1でDHCP要求パケットを受信したL3スイッチ131は、パケットの宛先MAC211がMAC131(L3スイッチ131のMACアドレス)でないため、ルーティングテーブルを参照せず、受信VLAN内で中継する。本例では、インタフェース131−4に中継し、DHCPサーバ141がDHCP要求パケットを受信する。
DHCP要求パケットを受信したDHCPサーバ141は、宛先MAC211を「MAC111」、送信元MAC212を「MAC141」(DHCPサーバ141のMACアドレス)、クライアントIP232を「10.0.0.1」(端末111に割り当てるIPアドレス)、ゲートウェイIP233を「10.0.0.3」(ゲートウェイのIPアドレス)のDHCP応答パケットを送信する。DHCP応答パケットは、インタフェース131−4でL3スイッチ131が受信する。
DHCP応答パケットを受信したL3スイッチ131は、DHCP要求パケット受信と同じく受信VLAN内でパケット中継を行う。結果、インタフェース131−1からDHCP応答パケットを送信する。DHCP応答パケットは、インタフェース121−2でL2スイッチ121が受信する。
DHCP応答パケットを受信したL2スイッチ121は、FDB学習511にてMACテーブル410を更新する(図4、511)。更新した結果、図4(a)の第2のエントリが作成される。続いて、パケット種別判定512にて、受信パケットがDHCP応答パケットであるため「DHCP応答」へと進み、ゲートウェイ取得521を行う。ゲートウェイ取得521では、ゲートウェイ処理部324が、DHCP応答パケットに含まれるゲートウェイIP233の値で、GW管理テーブル420のゲートウェイVLAN421が受信VLAN「10」に一致する第1エントリの「不定」となっているゲートウェイIP422を更新する。
ゲートウェイ取得521後、FDB検索送信513に進み、MACテーブル410の入力VLAN411が受信パケットの受信VLAN「10」であるエントリの中で、パケットの宛先MAC211と一致する宛先MAC412を持つエントリがあるか検索する。この時点で、第1のエントリが一致するので、一致したエントリの出力インタフェース413が示すインタフェースより、受信パケットを送信する。この場合、MACテーブル410の第1エントリとなるので、インタフェース121−1からDHCP応答パケットを送信する。インタフェース121−1から送信されたDHCP応答パケットは、端末111が受信する。
DHCP応答パケットを受信した端末111は、DHCP応答パケットのクライアントIP232から端末111のIPアドレスを10.0.0.1に設定する。また、ゲートウェイのIPアドレスとしてゲートウェイIP233(10.0.0.3)を記憶する。
(L2スイッチのテーブル更新)
以上で、DHCPによる端末111のIPアドレス割り当てが完了するまでを記述したが、L2スイッチ121は、端末111のDHCPによるIPアドレス割当と並行して、または先行して、GW管理テーブル420の出力インタフェース423および出力MAC424と、中継テーブル430を更新する。その更新処理について、以下述べる。
L2スイッチ121は、GW管理テーブル420の第2エントリのゲートウェイVLAN421「20」のVLANネットワークにおいて、宛先MAC211を「FF:FF:FF:FF:FF:FF」(ブロードキャストアドレス)、送信元MAC212を「MAC121」(自装置のMACアドレス)、ソースMAC221を「MAC121」、ソースIP222を「20.0.0.2」、ターゲットIP223を「20.0.0.3」(ゲートウェイIP422に記憶されたIPアドレス)となるARP要求パケット(MACアドレス情報取得要求)を送信する。この場合、VLAN「20」に所属するインタフェース121−3よりARP要求パケットが送信される。ARP要求パケットは、インタフェース131−2でL3スイッチ131が受信し、応答として、宛先MAC211を「MAC121」、送信元MAC212を「MAC131」、ソースIP222を「20.0.0.3」、ターゲットIP223を「20.0.0.3」、ターゲットMAC224を「MAC131」(自装置のMACアドレス)とするARP応答パケット(MACアドレス情報取得応答)をインタフェース131−2から送信する。
L2スイッチ121は、パケット種別判定512で自宛ARP応答と判断し、ゲートウェイARP受信541の処理を行う。ゲートウェイARP受信541では、GW管理テーブル420の中で、ゲートウェイVLAN421が受信VLAN「20」で、ゲートウェイIP422が受信パケットのターゲットIP223またはソースIP222に一致するエントリを探し出す。ターゲットIP223、ソースIP222のどちらに一致するかで異なる処理を行う。この場合、第2エントリがターゲットIP223と一致するので、第2エントリに対し、ARP応答パケットを受信したインタフェース121−3を出力インタフェース423に、ARP応答パケットのターゲットMAC224の値を出力MAC424に設定する。
同様に、第3エントリに対しては、インタフェース121−4よりARP要求パケットを送信し、受信したARP応答パケットの受信インタフェースとターゲットMAC224を第3エントリに反映させる。以上の処理でGW管理テーブル420をL2スイッチ121は更新する。また、これらの2つのARP応答パケット受信時に、FDB学習512で、MACテーブル410の第3および第4のエントリが作成される。第1エントリについても、ゲートウェイIP422の値がDHCP応答パケット受信により確定した後、第2および第3エントリと同様に更新される。ゲートウェイARP受信541で、受信パケットのソースIP222がゲートウェイIP422と一致する場合についての処理は、後述する。
続いて、未認証の端末が通信を許可されるネットワークである認証ネットワーク102のVLAN「20」に対応するGW管理テーブル420の第2エントリの値が確定されることで、中継テーブル430の第1エントリに認証ネットワーク102宛のエントリを作成する。この場合、任意の端末を表す値として「00:00:00:00:00:00」を送信元MAC431に設定し、出力VLAN432と出力インタフェース433と出力MAC434に、GW管理テーブル420の第2エントリのゲートウェイVLAN421、出力インタフェース423、出力MAC424を設定する。
(未認証端末からのアクセス)
次に、端末111による業務ネットワーク103へのアクセスを説明する。この時点では端末111は、認証が済んでいないので、未認証状態である。未認証状態では、業務ネットワーク103にはアクセスできず、認証ネットワーク102のみにアクセス可能である。
端末111は、異なるサブネットワークである業務ネットワーク103へデータパケットを送るために、ゲートウェイのMACアドレスの取得を行う。そのために、端末111は、宛先MAC211を「FF:FF:FF:FF:FF:FF」、送信元MAC212を「MAC111」(端末111のMACアドレス)、ソースMAC221を「MAC111」、ソースIP222を「10.0.0.1」、ターゲットIP223を「10.0.0.3」(DHCPによって配布されたゲートウェイIPアドレス)であるARP要求パケットを送信する。ARP要求パケットは、インタフェース121−1で、L2スイッチ121が受信する。
ARP要求パケットを受信したL2スイッチ121は、FDB学習511を行うが、MACテーブル410に既にMAC111のエントリがあるので、ここではテーブルの更新は行わない。続くパケット種別判定512で、受信パケットがARP要求パケットであるので「ARP要求」に進み、ゲートウェイ判定551を行う。ゲートウェイ判定551では、ゲートウェイ処理部324が、ARP要求パケットのソースIP222またはターゲットIP223が、GW管理テーブル420のゲートウェイVLAN421が受信VLAN「10」に一致する第1エントリのゲートウェイIP422と一致するか調べる。この場合、ターゲットIP223がIPアドレス「10.0.0.3」で一致するので「ターゲットIP一致」に進み、ゲートウェイARP応答552を行う。ゲートウェイARP応答552では、ターゲットMAC224をMAC121(L2スイッチ121のMACアドレス)とするARP応答パケットを、ARP要求パケットを受信したインタフェースから送信する。この場合、宛先MAC211を「MAC111」、送信元MAC212を「MAC121」、ソースIP222を「10.0.0.3」、ターゲットIP223を「10.0.0.3」、ターゲットMAC224を「MAC121」であるARP応答パケットを、インタフェース121−1から送信する。ARP応答パケットは、端末111が受信する。もし、ゲートウェイ判定551で「不一致」となった場合は、FDB検索送信513に進み、ARP要求パケットの宛先MAC211に一致するエントリがないとして、受信VLAN「10」でフラッディングが行われる。
ARP応答パケットを受信した端末111は、ゲートウェイのMACアドレスを受信パケットのターゲットMAC224から「MAC121」と記憶する。端末111は、業務サーバ143宛の通信として、宛先MAC211を記憶した「MAC121」とし、送信元MAC212を「MAC111」、送信元IP213を「10.0.0.1」、宛先IP214を「30.0.0.4」(業務サーバ143のIPアドレス)であるデータパケットを送信する。業務サーバ143のIPアドレスは、端末111に予め記憶されることができる。データパケットは、インタフェース121−1で、L2スイッチ121が受信する。
データパケットを受信したL2スイッチ121は、パケット種別判定512で、データパケットの宛先MAC211がL2スイッチのMACアドレス「MAC121」であるため、「自宛MAC」へと進み、ネットワーク間中継561を行う。ネットワーク間中継561では、ネットワーク間中継部323が、データパケットの送信元MAC212と一致する送信元MAC431のエントリを中継テーブル430より検索する。送信元MAC431が一致するエントリがない場合は、送信元MAC431が「00:00:00:00:00:00」のエントリが一致したとみなす。ここでのデータパケットの場合、第1エントリに一致したとみなす。そして、L2スイッチ121は、データパケットの宛先MAC211を、一致エントリの出力MAC434の値「MAC131」に更新して、一致エントリの出力インタフェース433のインタフェース121−3から送信する。宛先MAC211をMAC131となったデータパケットは、インタフェース131−2でL3スイッチ131が受信する。本実施例では、第1エントリの中継先を認証ネットワーク102に対応するVLAN「20」としたが、中継せずに廃棄する実装でもよい。その場合、例えば、出力インタフェース433が「不定」であれば廃棄することとして、第1エントリの出力インタフェース433を「不定」にしておく。
データパケットを受信したL3スイッチ131は、データパケットの宛先MAC211がL3スイッチ131のMACアドレス「MAC131」であるため、受信すべきパケットであると判定する。そして、パケットの宛先IP214をキーとして、ルーティングテーブル620を検索する。データパケットの宛先IP214「30.0.0.4」に一致する経路がルーティングテーブル620に存在しないので、L3スイッチ131は、受信したパケットを、宛先不明として廃棄する。
以上のように、未認証状態では、端末111から業務サーバ143宛の通信は、L3スイッチ131で廃棄されるため、端末111と業務ネットワーク103の間での通信は成り立たない。
(端末の認証)
次に、未認証状態である端末111が、認証サーバ142へアクセスする場合の動作を記述する。
まず、端末111は、宛先MAC211を「MAC121」、送信元MAC212を「MAC111」、送信元IP213を「10.0.0.1」、宛先IP214を「20.0.0.4」(認証サーバのIPアドレス)であるデータパケットを送信する。認証サーバのIPアドレスは、端末111に予め記憶されることができる。認証サーバ142宛のデータパケットは、前述の業務サーバ143宛のデータパケットと同じ手順で、L2スイッチ121が中継し、L3スイッチ131が受信する。
L3スイッチ131において、ルーティングテーブル620には、宛先IP214「20.0.0.4」に一致する経路として、第2エントリが存在するので、L3スイッチ131は、認証ネットワーク102にてARPによって、認証サーバ142のMACアドレスを取得し、インタフェース131−5から認証サーバ142へデータパケットを送信し、認証サーバ142がデータパケットを受信する。
以上より、端末111から認証サーバ142への通信が成立する。
反対に、認証サーバ142から端末111宛のデータパケットは、宛先MAC211を「MAC131」、送信元MAC212を「MAC142」、送信元IP213を「20.0.0.4」、宛先IP214を「10.0.0.1」となり、L3スイッチ131がインタフェース131−5で受信する。L3スイッチ131は、ルーティングテーブル620に従い、「10.0.0.1」宛の経路として第1エントリの出力VLAN623「10」にてARPによって、端末111のMACアドレスを取得する。この時のARPは、L2スイッチ121を中継して、行われる。このL3スイッチ131が送信するARP要求パケットは、ソースMAC221が「MAC131」、ソースIP222が「10.0.0.3」となるため、そのまま端末111に中継した場合、受信した端末111が、IPアドレスが「10.0.0.3」であるゲートウェイのMACアドレスを「MAC131」として記憶し直してしまい、端末111がゲートウェイ宛に送るパケットをL2スイッチ121が正しく他ネットワークへ中継することができなくなる。そのため、L2スイッチ121は、L3スイッチ131のARPパケット中継において、次のような処理を行う。
まず、L3スイッチ131は、VLAN「10」でARPを行うため、VLAN「10」に属するインタフェースからARP要求パケットを送信する。この場合、インタフェース131−4が含まれるが、応答端末がないので省略する。インタフェース131−1から送信されるARP要求パケットは、宛先MAC211が「FF:FF:FF:FF:FF:FF」、送信元MAC212が「MAC131」(L3スイッチ131のMACアドレス)、ソースMAC221が「MAC131」、ソースIP222が「10.0.0.3」、ターゲットIP223が「10.0.0.1」となり、L2スイッチ121がインタフェース121−2にて、受信する。L2スイッチ121では、ゲートウェイ判定551にて、ソースIP222「10.0.0.3」がGW管理テーブル420で、受信VLAN「10」である第1エントリのゲートウェイIP422「10.0.0.3」と一致するため、ソースIP一致へと進み、ゲートウェイARP送信553の処理を行う。
ゲートウェイARP送信553では、受信したARP要求パケットのうち、送信元MAC212を「MAC121」、ソースMAC221を「MAC121」のようにL2スイッチ121の情報に書き換え、受信VLAN「10」でフラッディングする。フラッディングによって、インタフェース121−1から書き換えられたARP要求パケットは送信され、端末111が受信する。
ARP要求パケットを受信した端末111は、宛先MAC211を「MAC121」、送信元MAC212を「MAC111」、ソースIP222を「10.0.0.3」、ターゲットIP223を「10.0.0.1」、ターゲットMAC224を「MAC111」とするARP応答パケットを送信する。ARP応答パケットを受信したL2スイッチ121は、自宛ARP応答と判断し、ゲートウェイARP受信541の処理を行う。ゲートウェイARP受信541では、前述のようにGW管理テーブル420で、受信VLAN「10」のエントリで、受信パケットのターゲットIP223「10.0.0.1」に対応するエントリを探すが、存在しないため、ソースIP222「10.0.0.3」に一致するゲートウェイIP422のエントリを探す。この場合、第1エントリが該当するため、ゲートウェイARP受信541の処理で「後述」としていた処理を行う。ソースIP222と一致した場合、ゲートウェイARP受信541では、受信したARP応答パケットのうち、宛先MAC211を一致エントリの出力MAC424「MAC131」に書き換え、一致エントリの出力インタフェース423「インタフェース121−2」から、書き換えたARP応答パケットを送信する。インタフェース121−2から送信されたARP応答パケットは、L3スイッチ131がインタフェース131−1で受信し、L3スイッチ131はARP応答パケットのターゲットIP223「10.0.0.1」とターゲットMAC224「MAC111」から、IPアドレス「10.0.0.1」の装置のMACアドレスを「MAC111」と記憶する。
以上のように、L2スイッチ121が、L3スイッチ131の端末111に対するARPパケットの中継処理に手を加えることで、L3スイッチ131が端末111のMACアドレスを正しく記憶し、端末111のゲートウェイのMACアドレスが意図しない値に更新されないようにできる。
ARPによって端末111のMACアドレスを取得したL3スイッチ131は、データパケットを宛先MAC211を「MAC111」に書き換えインタフェース131−1より送信する。前記データパケットはL2スイッチ121がインタフェース121−2で受信する。L2スイッチ121は、パケット種別判定512で「その他」と判定し、FDB検索送信513を行い、検索で一致した第1エントリの内容から、インタフェース121−1からデータパケットを送信する。前記データパケットは、端末111が受信する。以上のように、認証サーバ142から端末111宛への通信が成立し、未認証状態である端末と認証ネットワーク102との間での通信が成立する。
次に認証処理における動作を示す。
未認証状態である端末111は、業務ネットワーク103へのアクセスを行うために、宛先MAC211を「MACL2」(L2認証要求および応答を示す)、送信元MAC212を「MAC111」、L2認証データ251にユーザ名やパスワードなどのアカウント情報を入れたL2認証要求パケットを送信する。前記L2認証要求パケットを受信したL2スイッチ121は、パケット種別判定512で「L2認証要求」へ進み、認証要求571の処理を行う。認証要求571では、例えばCPU部322が宛先MAC211を「MAC142」(認証サーバ142のMACアドレス)、送信元MAC212を「MAC121」、送信元IP213を「20.0.0.2」(L2スイッチのVLAN「20」でのIPアドレス)、宛先IP214を「20.0.0.4」(認証サーバ142のIPアドレス)、サーバ認証データ261に端末111のMACアドレス「MAC111」とユーザ名やパスワードなどのアカウント情報を入れたサーバ認証要求パケットをインタフェース121−3より送信する。
サーバ認証要求パケットを受信したL3スイッチ131は、ネットワーク外への通信でないため、受信VLAN内でサーバ認証要求パケットを、認証サーバ142に中継する。認証サーバ142は受信したサーバ認証要求パケットに対し、宛先MAC211を「MAC121」、送信元MAC212を「MAC142」、送信元IP213を「20.0.0.4」、宛先IP214を「20.0.0.2」、サーバ認証結果に「認証許可」を示すデータと、許可した端末を示す端末111のMACアドレス「MAC111」と、認証後のアクセス先VLAN「30」を入れたサーバ認証応答パケットを送信する。L3スイッチ131は、ルーティングテーブルを参照せずにインタフェース131−2に前記サーバ認証応答パケットを中継する。
L2スイッチ121は、パケット種別判定512にて、「サーバ認証応答」へと進み、認証処理572を行う。認証処理572では、サーバ認証応答パケット内のサーバ認証結果262の内容が「認証許可」であるため、サーバ認証結果262に含まれる端末のMACアドレス「MAC111」、認証後のアクセス先VLAN「30」を、中継テーブルの第2エントリの送信元MAC431と、出力VLAN432に設定する。また、第2エントリの出力VLAN432に一致するゲートウェイVLAN421のGW管理テーブル420のエントリの、出力インタフェース423「121−4」を出力インタフェース433に、出力MAC424「MAC131」を出力MAC434に設定する。そして、宛先MAC211を「MACL2」(L2認証要求および応答を示す)、送信元MAC212を「MAC121」、L2認証結果252に「認証許可」を示すデータを入れたL2認証応答パケットをインタフェース121−1より送信する。送信したL2認証応答パケットは、端末111が受信し、端末111は、業務ネットワーク103へのアクセスが可能となったと判断する。
以上で述べた認証処理によって、L2スイッチ121の中継テーブル430に新たなエントリが作成され、端末111から業務ネットワーク103宛のアクセスが可能となる。
(認証済端末のアクセス)
次に、認証済みとなった端末111による業務サーバ143へのアクセスについて記述する。
端末111は、業務サーバ143へアクセスするためにゲートウェイのMACアドレスを取得する必要があるが、すでに取得済みであるので、宛先MAC211を「MAC121」、送信元MAC212を「MAC111」、送信元IP213を「10.0.0.1」、宛先IP214を30.0.0.4(業務サーバ143のIPアドレス)となるデータパケットを送信する。前記データパケットは、インタフェース121−1で、L2スイッチ121が受信する。
前記データパケットを受信したL2スイッチ121は、ネットワーク間中継561にて、中継テーブル430に第2エントリとして送信元MAC431を「MAC111」とするエントリがあるため、データパケットの宛先MAC211を、中継テーブル430の第2エントリの出力MAC434「MAC131」に書き換え、出力インタフェース433のインタフェース「121−4」より、データパケットを送信する。宛先MAC211を「MAC131」のデータパケットは、インタフェース131−3で、L3スイッチ131が受信する。
宛先MAC211をMAC131のデータパケットを受信したL3スイッチ131は、ルーティングテーブル630に従い、中継する。ルーティングテーブル630には、ルーティングテーブル620と異なり、業務サーバ143宛の経路があるため、廃棄せずに中継する。結果、端末111からの業務サーバ143宛の通信が成立する。業務サーバ143が端末111に対し、データパケットを送信した場合は、宛先IP214を「10.0.0.1」のデータパケットをL3スイッチ131がルーティングテーブル630に従い、VLAN「10」にてARPによって、端末111のMACアドレスを取得し、端末111へデータパケットを中継する。
以上のように、認証済みとなった端末111と業務サーバ143との間の通信が成立する。
一方、認証済み端末111が認証サーバ142へのアクセスを行う場合、業務サーバ143へのアクセスと同じように、L3スイッチ131のルーティングテーブル630に、認証ネットワーク102宛の経路があるため、正しく中継される。また、認証サーバ142から端末111へは、未認証状態の時と同様に処理され、端末111に正しく中継される。
以上に示したとおり、未認証状態であった端末111は、認証ネットワーク102のみにアクセスが許され、業務ネットワーク103へはアクセスできないが、認証済み状態となった端末111は、業務ネットワーク103へアクセスが可能となり、かつ認証ネットワーク102へのアクセスも継続して行うことができる。また、認証状態が変更される際において、ダイナミックVLANのようにIPアドレスの変更を必要としないため、認証前後で端末を収容するサブネットを分ける必要がなく、IPアドレスの利用効率を向上させることが可能となる。
2.第2の実施の形態
第1の実施の形態は、業務ネットワークを1つとした場合であるが、端末によって認証後にアクセス可能なネットワークを分離する構成が考えられる。
本実施例では、第1の実施の形態の構成に、認証後にアクセス可能なネットワークとして、例えば開発ネットワーク104が追加された構成について、端末111が認証後にアクセス可能となるネットワークを、業務ネットワーク103のみにする場合と、開発ネットワーク104のみにする場合と、業務ネットワーク103および開発ネットワーク104にする場合について記述する。なお、業務ネットワーク103、開発ネットワーク104以外にも適宜のネットワークであってもよいし、2つに限らず適宜の複数のネットワークがあってもよい。
本実施例の説明においては、第1の実施の形態との差分のみを記述する。
図7は、図1のネットワーク構成に開発ネットワーク104と統合ネットワーク105を追加したネットワーク構成図である。
開発ネットワーク104は、IPサブネット40.0.0.0/8のVLAN「40」で構成され、L2スイッチ121のインタフェース121−5とL3スイッチ131のインタフェース131−7が接続され、L3スイッチ131のインタフェース131−8と開発サーバ144が接続される。
統合ネットワーク105は、IPサブネット50.0.0.0/8のVLAN「50」で構成され、L2スイッチ121のインタフェース121−6とL3スイッチ131のインタフェース131−9が接続される。
図8は、第1の実施の形態のGW管理テーブル420に、第2の実施の形態用のエントリを追加したものである。図8のGW管理テーブル820のゲートウェイVLAN421とゲートウェイIP422には、第4エントリには、開発ネットワーク104のVLANとゲートウェイのIPアドレスが、第5エントリは、統合ネットワーク105のVLANとゲートウェイのIPアドレスがそれぞれ設定される。第1の実施の形態の第2および第3エントリの出力インタフェース423と出力MAC424の解決時に、第4および第5エントリの出力インタフェース423と出力MAC424も解決される。
図9は、第2の実施の形態におけるL3スイッチ131の開発ネットワーク104におけるルーティングテーブル910と、統合ネットワーク105におけるルーティングテーブル920を表している。
ルーティングテーブル910の第1エントリは、端末111が属するネットワーク宛、第2エントリは、認証サーバ142が属するネットワーク宛、第3エントリは、開発サーバ144が属するネットワーク宛の経路を示す。
ルーティングテーブル920の第1エントリは、端末111が属するネットワーク宛、第2エントリは、認証サーバ142が属するネットワーク宛、第3エントリは、業務サーバ143が属するネットワーク宛、第4エントリは、開発サーバ144が属するネットワーク宛の経路を示す。
まず、端末111が認証後に業務ネットワーク103だけアクセス可能とする場合は、第1の実施の形態と同じため、省略する。
次に、端末111が認証後に開発ネットワーク104だけアクセス可能とする場合について記述する。
第1の実施の形態における認証サーバ142が返すサーバ認証応答パケット内のサーバ認証結果262において、認証後アクセス先VLANを「40」として返すようにする。結果、L2スイッチ121の中継先VLANが「40」となり、L3スイッチ131のVLAN「40」でのルーティングにて、ルーティングテーブル910に応じた中継がなされる。ルーティングテーブル910に登録された経路のみに中継されるため、開発ネットワーク104のみが認証後にアクセス可能なネットワークとして追加される。
最後に、端末111が認証後に業務ネットワーク103および開発ネットワーク104の複数のネットワークへアクセス可能とする場合。
第1の実施の形態における認証サーバ142が返すサーバ認証応答パケット内のサーバ認証結果262において、認証後アクセス先VLANを「50」として返すようにする。結果、L2スイッチ121の中継先VLANが「50」となり、L3スイッチ131のVLAN「50」でのルーティングにて、ルーティングテーブル920に応じた中継がなされる。ルーティングテーブル920に登録された経路のみに中継されるため、業務ネットワーク103および開発ネットワーク104が認証後にアクセス可能なネットワークとして追加される。
以上のように、L3スイッチ131が個別のルーティングテーブルを作成し、L2スイッチ121が適切なルーティング空間に中継することで、端末によって、認証後にアクセス可能なネットワークを変更することが可能である。
本発明は、例えば、認証ネットワークに利用可能である。
101 端末ネットワーク
102 認証ネットワーク
103 業務ネットワーク
104 開発ネットワーク
105 統合ネットワーク
111 端末
121 L2スイッチ
121−1、121−2、121−3、121−4、121−5、121−6 L2スイッチのインタフェース
131 L3スイッチ
131−1、131−2、131−3、131−4、131−5、131−6、131−7、131−8、131−9 L3スイッチのインタフェース
141 DHCPサーバ
142 認証サーバ
143 業務サーバ
144 開発サーバ
211 宛先MAC
212 送信元MAC
213 送信元IP
214 宛先IP
221 ソースMAC
222 ソースIP
223 ターゲットIP
224 ターゲットMAC
231 クライアントMAC
232 クライアントIP
233 ゲートウェイIP
241 IPデータ
251 L2認証データ
252 L2認証結果
261 サーバ認証データ
262 サーバ認証結果
311−i インタフェース
312 パケット送受信部
313 FDB学習部
314 パケット種別判定部
321 フォワーディング部
322 CPU部
323 ネットワーク間中継部
324 ゲートウェイ処理部
331 主記憶
332, 410 MACテーブル
411 入力VLAN
412 宛先MAC
413 出力インタフェース
333、420、910 GW管理テーブル
421 ゲートウェイVLAN
422 ゲートウェイIP
423 出力インタフェース
424 出力MAC
334、430 中継テーブル
431 送信元MAC
432 出力VLAN
433 出力インタフェース
434 出力MAC
511 FDB学習
512 パケット種別判定
513 FDB検索送信
521 ゲートウェイ取得
541 ゲートウェイARP受信
551 ゲートウェイ判定
552 ゲートウェイARP応答
561 ネットワーク間中継
571 認証要求
572 認証処理
710、720、730、1010、1020 ルーティングテーブル
711、721、731、1011、1021 宛先IP
712、722、732、1012、1022 マスク長
713、723、733、1013、1023 出力VLAN

Claims (9)

  1. 端末が所属する第1のネットワークと、認証サーバが所属する第2のネットワークと、認証後の前記端末がアクセス可能なサーバが所属するひとつ以上の第3のネットワークとを備えたネットワークシステムにおいて、前記第1乃至第3のネットワークのそれぞれに所属するパケット中継装置であって、
    前記第1乃至第3のネットワークに対応する複数のインタフェースと、
    前記第1乃至第3のネットワークの識別情報と、対応するネットワークのゲートウェイのアドレス情報と、該ゲートウェイにパケットを送信するための出力インタフェース情報及び/又は出力先アドレス情報を含む出力情報とが保存されるゲートウェイ管理テーブルと、
    認証後の前記端末のアドレス情報に対応して、該認証により通信が許可された前記第3のネットワークの識別情報と出力情報とが少なくとも保存される中継テーブルと、
    前記中継テーブルに従い、前記第3のネットワークへの通信が許可されていない前記第1のネットワークに所属する前記端末からのパケットを受信した場合は前記第2のネットワークのゲートウェイへ中継し、前記第3のネットワークへの通信が許可されている前記端末からのパケットを受信した場合は前記第3のネットワークのゲートウェイへ中継するパケット処理部と
    を備え、
    前記ゲートウェイ管理テーブルに保存された前記第3のネットワークに対応する出力情報が、前記中継テーブルの前記第3のネットワークに対応する出力情報に保存され、
    前記パケット処理部は、
    前記第1のネットワークに所属する機器から、該第1のネットワークに所属する前記端末に向けて送信される前記第1のネットワークのゲートウェイのアドレス情報を受信した場合に、第1のネットワークの識別子に対応して、該第1のネットワークのゲートウェイのアドレス情報を前記ゲートウェイ管理テーブルに登録するパケット中継装置。
  2. 前記パケット処理部は、
    ゲートウェイのアドレス情報に対するMACアドレス情報取得要求を、前記端末から受信し、該ゲートウェイのアドレス情報が前記ゲートウェイ管理テーブルに保存されている場合、自パケット中継装置のMACアドレスを前記端末に応答として送信し、
    前記端末が該応答に含まれるパケット中継装置のMACアドレスを宛先として送信した前記第1のネットワーク以外のネットワークへ送信するためのパケットを受信し、
    該パケットの宛先MACアドレスが、自パケット中継装置のMACアドレスである場合に、前記第2または第3のネットワークへ送信するパケットと判別し、前記中継テーブルに従いパケットを中継する請求項1に記載のパケット中継装置。
  3. 端末が所属する第1のネットワークと、認証サーバが所属する第2のネットワークと、認証後の前記端末がアクセス可能なサーバが所属するひとつ以上の第3のネットワークとを備えたネットワークシステムにおいて、前記第1乃至第3のネットワークのそれぞれに所属するパケット中継装置であって、
    前記第1乃至第3のネットワークに対応する複数のインタフェースと、
    前記第1乃至第3のネットワークの識別情報と、対応するネットワークのゲートウェイのアドレス情報と、該ゲートウェイにパケットを送信するための出力インタフェース情報及び/又は出力先アドレス情報を含む出力情報とが保存されるゲートウェイ管理テーブルと、
    認証後の前記端末のアドレス情報に対応して、該認証により通信が許可された前記第3のネットワークの識別情報と出力情報とが少なくとも保存される中継テーブルと、
    前記中継テーブルに従い、前記第3のネットワークへの通信が許可されていない前記第1のネットワークに所属する前記端末からのパケットを受信した場合は前記第2のネットワークのゲートウェイへ中継し、前記第3のネットワークへの通信が許可されている前記端末からのパケットを受信した場合は前記第3のネットワークのゲートウェイへ中継するパケット処理部と
    を備え、
    前記ゲートウェイ管理テーブルに保存された前記第3のネットワークに対応する出力情報が、前記中継テーブルの前記第3のネットワークに対応する出力情報に保存され、
    前記パケット処理部は、
    前記ゲートウェイ管理テーブルに保存される前記第1乃至第3のネットワークの各ゲートウェイのアドレス情報に対するMACアドレス情報取得要求を前記第1乃至第3のネットワークでそれぞれ送信し、ゲートウェイのMACアドレス情報を含む、前記MACアドレス情報取得要求の応答をそれぞれ受信し、受信した前記インタフェースの識別子と、受信した応答に含まれるゲートウェイのMACアドレス情報とを出力情報として、前記ゲートウェイ管理テーブルを更新するパケット中継装置。
  4. 前記パケット処理部は、
    前記第2のネットワークに所属する前記認証サーバから、前記第1のネットワークに所属する前記端末のアドレス情報と通信を許可するネットワークの識別情報を含み、認証結果を該端末に送信するパケットを受信した場合は、前記端末のアドレス情報と通信を許可するネットワークの識別情報を取り出して前記中継テーブルに登録する請求項1に記載のパケット中継装置。
  5. 端末が所属する第1のネットワークと、認証サーバが所属する第2のネットワークと、認証後の前記端末がアクセス可能なサーバが所属するひとつ以上の第3のネットワークとを備えたネットワークシステムにおいて、前記第1乃至第3のネットワークのそれぞれに所属するパケット中継装置であって、
    前記第1乃至第3のネットワークに対応する複数のインタフェースと、
    前記第1乃至第3のネットワークの識別情報と、対応するネットワークのゲートウェイのアドレス情報と、該ゲートウェイにパケットを送信するための出力インタフェース情報及び/又は出力先アドレス情報を含む出力情報とが保存されるゲートウェイ管理テーブルと、
    認証後の前記端末のアドレス情報に対応して、該認証により通信が許可された前記第3のネットワークの識別情報と出力情報とが少なくとも保存される中継テーブルと、
    前記中継テーブルに従い、前記第3のネットワークへの通信が許可されていない前記第1のネットワークに所属する前記端末からのパケットを受信した場合は前記第2のネットワークのゲートウェイへ中継し、前記第3のネットワークへの通信が許可されている前記端末からのパケットを受信した場合は前記第3のネットワークのゲートウェイへ中継するパケット処理部と
    を備え、
    前記ゲートウェイ管理テーブルに保存された前記第3のネットワークに対応する出力情報が、前記中継テーブルの前記第3のネットワークに対応する出力情報に保存され、
    前記パケット処理部は、
    前記第1のネットワークのゲートウェイから、要求元MACアドレス情報として該ゲートウェイの装置のMACアドレスを含む、前記端末のアドレス情報に対するMACアドレス情報取得要求を受信した場合に、該MAC情報取得要求に含まれる要求元MACアドレス情報を自パケット中継装置のMACアドレス情報へと書き換え、前記端末に送信するパケット中継装置。
  6. 前記パケット処理部は、
    MACアドレス情報取得要求を受信した前記端末から応答として送信されるMACアドレス情報取得応答を受信した場合に、該MACアドレス情報取得応答に含まれる宛先MACアドレス情報を前記ゲートウェイの装置のMACアドレス情報に書き換え、前記ゲートウェイに送信する請求項に記載のパケット中継装置。
  7. 端末が所属する第1のネットワークと、認証サーバが所属する第2のネットワークと、認証後の前記端末がアクセス可能なサーバが所属するひとつ以上の第3のネットワークとを備えたネットワークシステムにおいて、前記第1乃至第3のネットワークのそれぞれに所属する第1のパケット中継装置と、
    前記第1のパケット中継装置と前記第1乃至第3のネットワークでそれぞれ接続される第2のパケット中継装置と、
    を備え、
    第1のパケット中継装置が、
    前記第1乃至第3のネットワークに対応する複数のインタフェースと、
    前記第1乃至第3のネットワークの識別情報と、対応するネットワークのゲートウェイのアドレス情報と、該ゲートウェイにパケットを送信するための出力インタフェース情報及び/又は出力先アドレス情報を含む出力情報とが保存されるゲートウェイ管理テーブルと、
    認証後の前記端末のアドレス情報に対応して、該認証により通信が許可された前記第3のネットワークの識別情報と出力情報とが少なくとも保存される中継テーブルと、
    前記中継テーブルに従い、前記第3のネットワークへの通信が許可されていない前記第1のネットワークに所属する前記端末からのパケットを受信した場合は前記第2のネットワークのゲートウェイへ中継し、前記第3のネットワークへの通信が許可されている前記端末からのパケットを受信した場合は前記第3のネットワークのゲートウェイへ中継するパケット処理部と
    を備え、
    前記ゲートウェイ管理テーブルに保存された前記第3のネットワークに対応する出力情報が、前記中継テーブルの前記第3のネットワークに対応する出力情報に保存され、
    前記第2のパケット中継装置が、
    前記第1及び第2及び第3のネットワークにおけるゲートウェイとして機能し、
    前記第1のネットワークへの転送経路を持つ第1の転送経路テーブルを有し、前記第1の転送経路テーブルを前記第1のネットワークで受信したパケットの転送処理に使用し、
    前記第1のネットワーク及び前記第2のネットワークへの転送経路を持つ第2の転送経路テーブルを有し、前記第2の転送経路テーブルを前記第2のネットワークで受信したパケットの転送処理に使用し、
    前記第1のネットワーク及び前記第2のネットワーク及びひとつ以上の前記第3のネットワークへの転送経路を持つひとつ以上の第3の転送経路テーブルを有し、前記第3の転送経路テーブルを前記第3のネットワークで受信したパケットの転送処理に使用し、
    前記第1のパケット中継装置が、前記第1のネットワークに所属する前記端末からの前記第1のネットワーク以外に所属する機器への送信パケットを受信すると、前記中継テーブルに従いパケットを前記第2又は第3のネットワークへ中継し、
    前記第2のパケット中継装置が、前記第2又は第3のネットワークに所属する機器からの前記第1のネットワークに所属する前記端末への送信パケットを受信すると、前記第2の転送経路テーブル及び第3の転送経路テーブルのいずれかに従って、前記パケットを前記第1のネットワークへ中継するネットワークシステム。
  8. 前記第1のネットワークに所属する認証されていない未認証端末からの前記第1のネットワーク以外のネットワーク宛の第1パケットを受信した前記第1のパケット中継装置が、前記第2のネットワークで第1パケットを前記第2のパケット中継装置へ送信し、
    第1パケットを受信した第2のパケット中継装置は、
    第1パケットの宛先アドレスへの転送経路が、前記第2の転送経路テーブルに存在する場合は、前記転送経路に従って第1パケットを送信し、存在しない場合は、第1パケットを廃棄し、
    前記第1のネットワークに所属する認証された認証済み端末からの前記第1のネットワーク以外のネットワーク宛の第2パケットを受信した前記第1のパケット中継装置が、前記第3のネットワークで第2パケットを前記第2のパケット中継装置へ送信し、
    第2パケットを受信した第2のパケット中継装置は、
    第2パケットの宛先アドレスへの転送経路が、前記第3の転送経路テーブルに存在する場合は、該転送経路に従って第2パケットを送信し、存在しない場合は、第2パケットを廃棄する請求項に記載のネットワークシステム。
  9. 前記第3のネットワークは、第1サーバが所属するネットワークであり、
    前記ネットワークシステムは、
    第2サーバが所属する第4のネットワークと、
    第1サーバ及び第2サーバの双方にアクセスするための第5ネットワークと
    をさらに有し、
    前記端末は、前記第3及び第4のネットワークのいずれか又は双方にアクセス可能か認証され、
    前記第2のパケット中継装置は、
    前記第4のネットワークへの転送経路を持つ第4の転送経路テーブルを有し、前記第4の転送経路テーブルを前記第4のネットワークで受信したパケットの転送処理に使用し、
    前記第3及び4のネットワークの双方への転送経路を持つ第5の転送経路テーブルを有し、前記第5の転送経路テーブルを前記第5のネットワークで受信したパケットの転送処理に使用し、
    前記第1のパケット中継装置は、
    前記第3及び第4のネットワークへの通信の一方が許可されている前記端末からのパケットを受信した場合は、対応する前記第3及び第4のネットワークへ中継し、
    前記第3及び第4のネットワークへの通信の双方が許可されている前記端末からのパケットを受信した場合は、前記第5のネットワークへ中継する請求項に記載のネットワークシステム。
JP2010146115A 2010-06-28 2010-06-28 パケット中継装置及びネットワークシステム Active JP5350333B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010146115A JP5350333B2 (ja) 2010-06-28 2010-06-28 パケット中継装置及びネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010146115A JP5350333B2 (ja) 2010-06-28 2010-06-28 パケット中継装置及びネットワークシステム

Publications (2)

Publication Number Publication Date
JP2012010235A JP2012010235A (ja) 2012-01-12
JP5350333B2 true JP5350333B2 (ja) 2013-11-27

Family

ID=45540243

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010146115A Active JP5350333B2 (ja) 2010-06-28 2010-06-28 パケット中継装置及びネットワークシステム

Country Status (1)

Country Link
JP (1) JP5350333B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104283858B (zh) 2013-07-09 2018-02-13 华为技术有限公司 控制用户终端接入的方法、装置及***
CN111628968B (zh) * 2020-04-23 2022-07-12 新华三技术有限公司合肥分公司 认证方法、装置、认证***以及网络设备
JP7320152B1 (ja) * 2023-03-16 2023-08-02 Kddi株式会社 情報処理装置及び情報処理方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3570349B2 (ja) * 2000-06-30 2004-09-29 日本電気株式会社 ルーティング装置及びそれに用いる仮想私設網方式
JP2007288748A (ja) * 2006-04-20 2007-11-01 Yamaha Corp スイッチングハブ、ルータおよび仮想lanシステム
JP4852379B2 (ja) * 2006-09-06 2012-01-11 アラクサラネットワークス株式会社 パケット通信装置
JP2008271242A (ja) * 2007-04-20 2008-11-06 Nippon Telegraph & Telephone East Corp ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム

Also Published As

Publication number Publication date
JP2012010235A (ja) 2012-01-12

Similar Documents

Publication Publication Date Title
JP7004405B2 (ja) 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法
CN109155799B (zh) 经由层三通信的子网扩展
US7382778B2 (en) Link layer emulation
US9860079B2 (en) Redirecting packets for egress from an autonomous system using tenant specific routing and forwarding tables
US20190007312A1 (en) Techniques for routing and forwarding between multiple virtual routers implemented by a single device
CN109076006B (zh) 基于覆盖网络的多租户虚拟专用网络
JP5398410B2 (ja) ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム
US10298519B2 (en) Virtual network
US8989187B2 (en) Method and system of scaling a cloud computing network
JPWO2005027438A1 (ja) パケット中継装置
CN107094110B (zh) 一种dhcp报文转发方法及装置
US10848457B2 (en) Method and system for cross-zone network traffic between different zones using virtual network identifiers and virtual layer-2 broadcast domains
CN105591907B (zh) 一种路由获取方法和装置
EP3598705B1 (en) Routing control
US11621917B2 (en) Transparent multiplexing of IP endpoints
JP4852379B2 (ja) パケット通信装置
US10855733B2 (en) Method and system for inspecting unicast network traffic between end points residing within a same zone
US20060268863A1 (en) Transparent address translation methods
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
WO2014132958A1 (ja) 通信システム、制御装置、通信方法およびプログラム
JP5350333B2 (ja) パケット中継装置及びネットワークシステム
CN108768845B (zh) 一种多归属主机路由同步方法及装置
JP4615435B2 (ja) ネットワーク中継装置
US11902166B2 (en) Policy based routing in extranet networks
US10812446B1 (en) Dynamic host configuration across multiple sites in software defined access networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120308

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130620

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130806

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130821

R150 Certificate of patent or registration of utility model

Ref document number: 5350333

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250