JP5715476B2 - Mapping server control method and mapping server - Google Patents

Mapping server control method and mapping server Download PDF

Info

Publication number
JP5715476B2
JP5715476B2 JP2011097065A JP2011097065A JP5715476B2 JP 5715476 B2 JP5715476 B2 JP 5715476B2 JP 2011097065 A JP2011097065 A JP 2011097065A JP 2011097065 A JP2011097065 A JP 2011097065A JP 5715476 B2 JP5715476 B2 JP 5715476B2
Authority
JP
Japan
Prior art keywords
identifier
lisp
host
mapping
tunneling router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011097065A
Other languages
Japanese (ja)
Other versions
JP2012231225A (en
Inventor
力 佐々木
力 佐々木
敦士 田上
敦士 田上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2011097065A priority Critical patent/JP5715476B2/en
Publication of JP2012231225A publication Critical patent/JP2012231225A/en
Application granted granted Critical
Publication of JP5715476B2 publication Critical patent/JP5715476B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、LISPネットワークにおけるマッピングサーバ制御方法及びマッピングサーバに関し、特に、通知要求元に応じた通知可否の判断を下すことで、マッピング情報の拡散範囲の制御を行うことのできるマッピングサーバ制御方法及びマッピングサーバに関する。   The present invention relates to a mapping server control method and mapping server in a LISP network, and in particular, a mapping server control method capable of controlling the diffusion range of mapping information by determining whether notification is possible according to the notification request source, and Regarding the mapping server.

現在、インターネットの経路数削減等を目的として、IETF(Internet Engineering Task Force )で標準化が進められているLISP(Locator/ID Separation Protocol)では、ホスト識別のためのIDとルーティングのためのLocatorを分離し、ホスト間の通信にホスト識別子(以下、EIDと呼ぶ;Endpoint ID)を、コア網では位置識別子(以下、RLOCと呼ぶ;Routing Locator)を使用することで、コア網の経路数を削減すること等ができる。LISPについては以下の非特許文献1に開示されているが、概略は次の通りである。   Currently, LISP (Locator / ID Separation Protocol), which is being standardized by the Internet Engineering Task Force (IETF) for the purpose of reducing the number of Internet routes, separates the ID for host identification and the Locator for routing. By using a host identifier (hereinafter referred to as EID; Endpoint ID) for communication between hosts and a location identifier (hereinafter referred to as RLOC; Routing Locator) in the core network, the number of paths in the core network is reduced. Can do so. The LISP is disclosed in Non-Patent Document 1 below, but the outline is as follows.

図5に典型的なLISPネットワークの構成例を示す。LISPはトンネルベースのプロトコルであり、コア網上に構築したLISPトンネルでLISPサイト間を接続する。EIDとRLOCのマッピングは、マッピングサーバ(LISP-MS(Map Server))を用いて交換することができる。このため、予めLISPサイトの出入口に配置されるトンネリングルータxTR(Ingress or Egress Tunnel Router)は、自サイト内のEID(の集合orプレフィックス)とxTR自身がもつRLOCをペアにして、LISP-MSに登録する。当該マッピングサーバ(LISP-MS)については以下の非特許文献2に開示されている。   FIG. 5 shows a typical LISP network configuration example. LISP is a tunnel-based protocol that connects LISP sites with a LISP tunnel built on the core network. The mapping between EID and RLOC can be exchanged using a mapping server (LISP-MS (Map Server)). For this reason, the tunneling router xTR (Ingress or Egress Tunnel Router), which is placed in advance at the entrance / exit of the LISP site, pairs the ELOC (set or prefix) in its own site with the RLOC of the xTR itself to the LISP-MS. sign up. The mapping server (LISP-MS) is disclosed in Non-Patent Document 2 below.

あるLISPサイトに対して通信を行おうとする別のLISPサイトのxTRは、LISP-MSに対してEIDをキーとしてマッピング情報の通知要求を行う。登録や通知要求時にはNonce(ハッシュキーのようなもの)などを用いた簡単な認証も行われる。   The xTR of another LISP site that wants to communicate with a LISP site makes a mapping information notification request to LISP-MS using EID as a key. Simple authentication using Nonce (something like a hash key) is also performed when requesting registration or notification.

例えば図5では、LISPサイト10,20及び30内にそれぞれEID10,20及び30のホストが存在し、各LISPサイトはそれぞれゲートウェイルータ(トンネルルータ)としてのxTR10,20及び30を介してコア網に接続される。各xTR10,20及び30は自身の位置識別子RLOC10,20及び30をサイト内のホスト識別子EID10,20及び30と対応づけて、矢印(10)、(20)及び(30)として示すようにマッピングサーバLISP-MSに予め登録しておく。   For example, in FIG. 5, there are hosts with EIDs 10, 20, and 30 in LISP sites 10, 20, and 30, respectively. Each LISP site is connected to the core network via xTR 10, 20, and 30 as gateway routers (tunnel routers). Connected. Each xTR 10, 20 and 30 maps its own location identifier RLOC10, 20 and 30 to the host identifier EID 10, 20 and 30 in the site, as shown by arrows (10), (20) and (30). Register with LISP-MS in advance.

図5において、例えばEID10のホストからEID20のホストにパケットを送信する場合、(a)に示すようにホストEID10は、内側ヘッダが「送信元(src)EID10、宛先(dst)EID20」のパケットを送信する。当該パケットは(b)に示すようにRLOC10のxTRに到達した時点でカプセル化されて、外側ヘッダとして「送信元(src)RLOC10、宛先(dst)RLOC20」を付与され、コア網を転送されてRLOC20のxTRに到達する。当該外側ヘッダ付与の際に、LISP-MSに対して管理しているマッピング情報の必要部分を参照してxTRに通知するよう要求を行う。さらに(c)に示すように、RLOC20のxTRに到達した時点で当該パケットはデカプセル化され、LISPサイト20内を転送されてEID20のホストに到達する。   In FIG. 5, for example, when a packet is transmitted from a host of EID10 to a host of EID20, as shown in (a), the host EID10 is a packet whose inner header is `` source (src) EID10, destination (dst) EID20 '' Send. The packet is encapsulated when it reaches xTR of RLOC10 as shown in (b), and is given `` source (src) RLOC10, destination (dst) RLOC20 '' as the outer header, transferred to the core network Reach RLOC20 xTR. When assigning the outer header, a request is made to notify the xTR by referring to the necessary part of the mapping information managed for the LISP-MS. Further, as shown in (c), when the packet reaches the RTR20 xTR, the packet is decapsulated, transferred within the LISP site 20, and reaches the host of the EID20.

LISPネットワークではこのように、各LISPサイト内のホストはEIDのみを用いて通信が可能である。EIDにはLISPとは独立の従来の通常のIPアドレスも利用可能であるので、各LISPサイト内のホストは何ら変更を加えることなく通信が可能となる。RLOCもIPアドレスであるが、EIDとは分離して設定することができるので、コア網の経路数を削減できる等の利点がある。   In the LISP network, the hosts in each LISP site can communicate using only EID. A conventional ordinary IP address independent of LISP can also be used for EID, so hosts in each LISP site can communicate without any changes. RLOC is also an IP address, but since it can be set separately from EID, it has the advantage of reducing the number of core network paths.

Locator/ID Separation Protocol (LISP), http://tools.ietf.org/html/draft-ietf-lisp-09Locator / ID Separation Protocol (LISP), http://tools.ietf.org/html/draft-ietf-lisp-09 LISP Map Server, http://tools.ietf.org/html/draft-ietf-lisp-ms-06LISP Map Server, http://tools.ietf.org/html/draft-ietf-lisp-ms-06

LISPはトンネルベースのプロトコルであるため、簡易的なVPN(Virtual Private Network)などへの応用も期待される。例えば、図5のLISPサイト10及び20の間で(b)のようにトンネル化してVPNを構築することができる。しかし、通常の手法でマッピングサーバを運用してVPNなどを構築しようとすると、次のような課題が生ずる。すなわち、マッピング登録や参照のときの認証は基本的にマッピングサーバへの攻撃(偽造・改ざん)などへの措置のためであって、LISPマッピングの参照許可範囲の制御などの目的は含まれない。よって通常では、登録されたLISPマッピング情報は、誰でも参照可能な状態となってしまっている。   Since LISP is a tunnel-based protocol, it is expected to be applied to simple VPN (Virtual Private Network). For example, a VPN can be constructed by forming a tunnel between the LISP sites 10 and 20 in FIG. 5 as shown in (b). However, the following issues arise when attempting to build a VPN or the like by operating a mapping server by a normal method. That is, the authentication at the time of mapping registration and reference is basically a measure against an attack (forgery / falsification) on the mapping server, and does not include the purpose of controlling the reference permission range of the LISP mapping. Therefore, normally, the registered LISP mapping information is in a state where anyone can refer to it.

そして、マッピング情報が誰でも参照可能であるということは、LISPを用いて簡易的にVPNなどを構築する場合に、誰でも当該VPNに参加できてしまうことを意味している。VPNは当事者間できちんと閉じた状態で運用する必要があるので、上記のように無制限にマッピング情報を参照可能であると、VPNとして正常に運用することができない。   The fact that anyone can refer to the mapping information means that anyone can participate in the VPN when a VPN or the like is simply constructed using LISP. Since VPN must be operated in a closed state between the parties, if the mapping information can be referenced without limitation as described above, it cannot be operated normally as a VPN.

例えば、LISPサイト10及び20の間で(b)のように閉じたVPNを構築しようとする場合には、矢印(30)に示すやりとりには制限が必要となる。すなわち、当該VPNには参加しないLISPサイト30からは、RLOC30及びEID30の登録は許可するが、要求に応じてLISPサイト10及び20のマッピング情報をマッピングサーバが参照して通知することは禁止する必要がある。しかしながら通常のマッピングサーバの運用方式では、LISPサイト10及び20に関するマッピング情報もLISPサイト30の参照要求に応じて通知してしまうため、閉じたVPNが構築できない。以上VPNを例として説明したが、VPN用途に限らず、マッピング情報を無制限に通知してしまうことはセキュリティ等の観点から問題となりうる。   For example, when trying to construct a closed VPN as shown in (b) between the LISP sites 10 and 20, the exchange indicated by the arrow (30) is restricted. That is, registration of RLOC30 and EID30 is permitted from the LISP site 30 that does not participate in the VPN, but it is necessary to prohibit the mapping server from referring to the mapping information of the LISP sites 10 and 20 upon request. There is. However, in a normal mapping server operation method, mapping information related to the LISP sites 10 and 20 is also notified in response to a reference request from the LISP site 30, so a closed VPN cannot be constructed. The VPN has been described above as an example, but it is not limited to the VPN application, and reporting mapping information without limitation can be a problem from the viewpoint of security and the like.

本発明の目的は、上記の従来技術の課題を解決し、マッピング情報の通知要求に対する返信を通知要求元のトンネリングルータに応じて適宜制御することのできる、マッピングサーバの制御方法及びマッピングサーバを提供することにある。   An object of the present invention is to provide a mapping server control method and a mapping server that solve the above-described problems of the prior art and can appropriately control a reply to a mapping information notification request according to a tunneling router that is a notification request source There is to do.

上記の目的を達成するため、本発明は、コア網内では位置識別子にてルーティングが行われ、前記コア網にトンネリングルータを介して下層ネットワークとして接続する各LISPサイト内ではホスト識別子にてルーティングが行われるLISPネットワークにおける、位置識別子とホスト識別子との対応づけをマッピング情報として保持するマッピングサーバの制御方法において、前記LISPネットワークを構成する複数のLISPサイトを所与のグループに分けて、各LISPサイト内のホスト識別子と共に記憶するステップと、各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該LISPサイト内のホスト識別子とを対応づけた登録を受け付けるステップと、ホスト識別子の一致をキーとして、前記共に記憶されたグループ及びホスト識別子と、前記対応づけて登録された位置識別子及びホスト識別子と、を対応づけてマッピング情報を作成するステップと、送信元のトンネリングルータの位置識別子と宛先ホストのホスト識別子とが記載された当該トンネリングルータからの通知要求を受けて、前記マッピング情報を参照して、当該トンネリングルータの位置識別子と前記宛先ホストのホスト識別子とが同一のグループに属する場合には、当該同一のグループ内において前記宛先ホストのホスト識別子に前記マッピング情報により対応する位置識別子を当該トンネリングルータに通知し、同一のグループに属さない場合には通知しないステップとを備えることを特徴とする。   In order to achieve the above object, according to the present invention, routing is performed by a location identifier in a core network, and routing is performed by a host identifier in each LISP site connected to the core network as a lower layer network through a tunneling router. In a method for controlling a mapping server that holds a mapping between a location identifier and a host identifier as mapping information in a LISP network to be performed, a plurality of LISP sites constituting the LISP network are divided into given groups, and each LISP site And a step of receiving a registration in which the location identifier of the tunneling router is associated with the host identifier in the LISP site from the tunneling router of each LISP site, and the match of the host identifier as a key , The group and host stored together The step of creating mapping information by associating the identifier with the registered location identifier and host identifier, and the tunneling in which the location identifier of the source tunneling router and the host identifier of the destination host are described In response to a notification request from a router, if the location identifier of the tunneling router and the host identifier of the destination host belong to the same group with reference to the mapping information, the destination host in the same group A location identifier corresponding to the host identifier by the mapping information is notified to the tunneling router, and not belonging to the same group.

また本発明は、コア網内では位置識別子にてルーティングが行われ、前記コア網にトンネリングルータを介して下層ネットワークとして接続する各LISPサイト内ではホスト識別子にてルーティングが行われるLISPネットワークにおける、位置識別子とホスト識別子との対応づけをマッピング情報として保持するマッピングサーバにおいて、前記LISPネットワークを構成する複数のLISPサイトを所与のグループに分けて、各LISPサイト内のホスト識別子と共に記憶するグループ分け部と、各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該LISPサイト内のホスト識別子とを対応づけた登録を受け付ける登録受付部と、ホスト識別子の一致をキーとして、前記共に記憶されたグループ及びホスト識別子と、前記対応づけて登録された位置識別子及びホスト識別子と、を対応づけてマッピング情報を作成するマッピング情報作成部と、送信元のトンネリングルータの位置識別子と宛先ホストのホスト識別子とが記載された当該トンネリングルータからの通知要求を受けて、前記マッピング情報を参照して、当該トンネリングルータの位置識別子と前記宛先ホストのホスト識別子とが同一のグループに属する場合には、当該同一のグループ内において前記宛先ホストのホスト識別子に前記マッピング情報により対応する位置識別子を当該トンネリングルータに通知し、同一のグループに属さない場合には通知しない判断通知部とを備えることを特徴とする。   Further, the present invention provides a location in a LISP network in which routing is performed by a location identifier in the core network, and routing is performed by a host identifier in each LISP site connected to the core network as a lower layer network via a tunneling router. In a mapping server that holds the correspondence between identifiers and host identifiers as mapping information, a grouping unit that divides a plurality of LISP sites constituting the LISP network into given groups and stores them together with host identifiers in each LISP site And a registration accepting unit that accepts a registration in which the location identifier of the tunneling router and the host identifier in the LISP site are associated with each other from the tunneling router of each LISP site, and the host identifier match as a key. Corresponding to the group and host identifier A mapping information creation unit that creates mapping information by associating the registered location identifier and host identifier, and a notification from the tunneling router in which the location identifier of the source tunneling router and the host identifier of the destination host are described. In response to the request, with reference to the mapping information, if the location identifier of the tunneling router and the host identifier of the destination host belong to the same group, the host identifier of the destination host in the same group A determination notifying unit that notifies a corresponding location identifier to the tunneling router based on the mapping information and does not notify when it does not belong to the same group is provided.

本発明によれば、通知要求を行うトンネリングルータに応じてマッピング情報の対応部分の通知の可否を判断することで、マッピング情報の拡散範囲を適切に制御することができる。   According to the present invention, it is possible to appropriately control the spreading range of mapping information by determining whether or not the corresponding part of the mapping information can be notified according to the tunneling router that makes the notification request.

本発明を説明するためのLISPネットワークの例と構築されるVPNの例とを示す図である。It is a figure which shows the example of the LISP network for demonstrating this invention, and the example of VPN constructed | assembled. マッピングサーバの機能ブロック図である。It is a functional block diagram of a mapping server. マッピングサーバの制御方法の手順を示す図である。It is a figure which shows the procedure of the control method of a mapping server. マッピングサーバが仮想化されて当該マッピングサーバ上にて複数の仮想計算機が運用されている場合の、当該マッピングサーバの一例としての機能ブロック図である。FIG. 3 is a functional block diagram as an example of the mapping server when the mapping server is virtualized and a plurality of virtual machines are operated on the mapping server. LISPネットワークの典型的な構成例と、当該ネットワーク上で従来技術に係るマッピングサーバを運用した場合の問題点とを説明する図である。It is a figure explaining the typical structural example of a LISP network, and the problem at the time of operating the mapping server which concerns on a prior art on the said network.

以下、図面を参照して本発明を詳細に説明する。図1は、本発明を説明するために用いるLISPネットワークの例と、当該LISPネットワーク上に本発明に係るマッピング情報通知の制御を利用して構築するVPNの例とを示している。すなわち、上層ネットワークとしてのコア網には本発明に係るマッピングサーバ5(LISP-MS)が配置されている。当該コア網に対して、下層ネットワークとしての各LISPサイト1〜4がそれぞれ、各トンネリングルータ6(xTR1〜4)を介して接続している。   Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 shows an example of a LISP network used for explaining the present invention, and an example of a VPN constructed using the mapping information notification control according to the present invention on the LISP network. That is, the mapping server 5 (LISP-MS) according to the present invention is arranged in the core network as the upper layer network. The LISP sites 1 to 4 as the lower layer networks are connected to the core network via the tunneling routers 6 (xTR1 to 4), respectively.

前述の通り、コア網内では位置識別子RLOCを用いてルーティングが行われ、各LISPサイト内ではホスト識別子EIDを用いてルーティングが行われる。LISPサイト1〜4内のホストにはそれぞれホスト識別子EID1〜4が予め与えられている。コア網と各LISPサイト1〜4との境界にはそれぞれトンネリングルータxTR1〜4が配置され、それぞれ位置識別子RLOC1〜4が予め与えられている。   As described above, routing is performed using the location identifier RLOC in the core network, and routing is performed using the host identifier EID in each LISP site. Host identifiers EID1 to EID4 are assigned in advance to the hosts in the LISP sites 1 to 4, respectively. Tunneling routers xTR1 to xTR4 are respectively arranged at the boundaries between the core network and the LISP sites 1 to 4, and position identifiers RLOC1 to RLOC4 are given in advance.

本発明はこのような図1の構成のLISPネットワークにおいて、LISPサイト1と2との間に閉じたVPN1を、LISPサイト3と4との間に閉じたVPN2を構築できるようにする場合を例として説明する。なお当該構成は説明のための例であり、構築するVPNの数は2つに限定されるわけではなく、また各VPNに参加するLISPネットワークの数も2つに限定されるわけではない。共に任意の数を設定することができる。   The present invention is an example in which the VPN 1 closed between the LISP sites 1 and 2 and the VPN 2 closed between the LISP sites 3 and 4 can be constructed in the LISP network configured as shown in FIG. Will be described. Note that this configuration is an example for explanation, and the number of VPNs to be built is not limited to two, and the number of LISP networks participating in each VPN is not limited to two. Both can be set to an arbitrary number.

なお、各LISPサイト内のEIDとは一般に、当該LISPサイト内の1つ以上のホストを表すIDとし、IPアドレス及び/又はプレフィクスをリストアップしたものとする。また、コア網と各LISPサイトとの間にトンネリングルータxTRは複数配置されていてもよいが、以下ではまず基本実施形態として、1つのLISPサイトにつき1つのxTRが配置されている場合について説明を行う。   It should be noted that the EID in each LISP site is generally an ID representing one or more hosts in the LISP site, and an IP address and / or prefix is listed. A plurality of tunneling routers xTR may be arranged between the core network and each LISP site, but in the following, as a basic embodiment, a case where one xTR is arranged for one LISP site will be described first. Do.

図2は、本発明のマッピングサーバ5の機能ブロック図であり、各トンネリングルータ6(各xTR)との関係を含めて描かれている。マッピングサーバ5は、グループ分け部51、登録受付部52、マッピング情報作成部53及び判断通知部54を備える。グループ分け部51には、図1のような各VPNに参加するEIDが予めVPNのIDによりグループ分けされて記憶されている。登録受付部52は、各トンネリングルータ6(xTR)よりその位置識別子RLOCとそのLISPサイト内のEIDとを対応づけた登録を受け付ける。   FIG. 2 is a functional block diagram of the mapping server 5 of the present invention, which includes the relationship with each tunneling router 6 (each xTR). The mapping server 5 includes a grouping unit 51, a registration receiving unit 52, a mapping information creating unit 53, and a determination notifying unit 54. In the grouping unit 51, EIDs participating in each VPN as shown in FIG. 1 are stored in advance grouped by VPN IDs. The registration accepting unit 52 accepts registration in which the location identifier RLOC is associated with the EID in the LISP site from each tunneling router 6 (xTR).

マッピング情報作成部53は、グループ分け部51に前記記憶された情報(VPNのIDとEIDとの対応)と登録受付部52で前記登録された情報(RLOCとEIDとの対応)とに基づき、EIDの一致をキーとして、VPNのID、EID及びRLOCを対応づけてマッピング情報を作成する。判断通知部54は、パケットをカプセル化してコア網内を転送させるため、宛先LISPサイトのxTRのRLOCの通知を要求する送信元LISPサイトの各トンネリングルータ6(xTR)に対して、当該通知の許可又は禁止を判断し、許可した場合には当該RLOCを通知し、禁止した場合には当該RLOCを通知しない。   The mapping information creating unit 53 is based on the information stored in the grouping unit 51 (correspondence between VPN ID and EID) and the information registered in the registration receiving unit 52 (correspondence between RLOC and EID). Using the EID match as a key, mapping information is created by associating the VPN ID, EID, and RLOC. The decision notifying unit 54 encapsulates the packet and transfers it within the core network, so that the notification is sent to each tunneling router 6 (xTR) of the source LISP site that requests the notification of the RTR of the xTR of the destination LISP site. Judgment of permission or prohibition is made. When the permission is granted, the RLOC is notified, and when the permission is prohibited, the RLOC is not notified.

図3に、本発明のマッピングサーバ5の制御方法の手順を示す。図3において手順(1)〜(3)がグループ分け部51、登録受付部52及びマッピング情報作成部53によるマッピング情報の作成までの手順である。手順(4-1)〜(4-3)及び(5-1)〜(5-3)は、判断通知部54による、作成されたマッピング情報を参照しての判断通知の手順の例であり、それぞれ返信する例と、返信を拒否する例とを示している。なお、共に手順(3)の後に実施可能となる手順(4-1)〜(4-3)と手順(5-1)〜(5-3)とは、順序を問わない。   FIG. 3 shows the procedure of the control method of the mapping server 5 of the present invention. In FIG. 3, procedures (1) to (3) are procedures until creation of mapping information by the grouping unit 51, the registration receiving unit 52, and the mapping information creating unit 53. Procedures (4-1) to (4-3) and (5-1) to (5-3) are examples of judgment notification procedures by the judgment notification unit 54 with reference to the created mapping information. , An example of replying and an example of rejecting a reply are shown. Note that the order of the procedures (4-1) to (4-3) and the procedures (5-1) to (5-3) that can be performed after the procedure (3) is not limited.

各手順を順次説明する前の前提として、図1でも説明したように、各トンネリングルータ6(xTR1〜4)はインターネットコア網接続としての自身のRLOCをIPアドレスとして持っており、自身のLISPサイト内のEIDもIPアドレス又はプレフィクスとして持っている。マッピングサーバ5も各LISPサイト内のEIDを予め把握している。さらに図1では説明していなかった前提として、マッピングサーバ5と各トンネリングルータ6(xTR1〜4)との間ではそれぞれ、EID1〜4に対応するAD1〜4(認証データ;Authentication Data)を予め共有している。   As a precondition before each step is explained in sequence, each tunneling router 6 (xTR1 to 4) has its own RLOC as an IP address as an IP address as explained in Fig. 1, and its own LISP site. The EID is also an IP address or prefix. The mapping server 5 also grasps EID in each LISP site in advance. Furthermore, as a premise not explained in FIG. 1, AD1 to 4 (authentication data) corresponding to EID1 to 4 are shared in advance between the mapping server 5 and each tunneling router 6 (xTR1 to 4). doing.

手順(1)では、グループ分け部51が、どのEID及び対応するADが、どのVPNのグループに属するかを予め定義し、記憶しておく。当該定義は図示するようにEID、AD及びVPNのグループIDを対応づけたテーブル形式にて行うことができ、VPN1には(EID1,AD1)及び(EID2,AD2)が属し、VPN2には(EID3,AD3)及び(EID4,AD4)が属するものとして定義されている。なお、同一LISPサイト内のEIDは同一VPNグループに属するよう定義する。   In procedure (1), the grouping unit 51 predefines and stores which EID and corresponding AD belong to which VPN group. As shown in the figure, this definition can be done in the form of a table in which EID, AD, and VPN group IDs are associated, and (EID1, AD1) and (EID2, AD2) belong to VPN1, and (EID3 , AD3) and (EID4, AD4) are defined as belonging. Note that EIDs in the same LISP site are defined to belong to the same VPN group.

手順(2)では、各トンネリングルータ6(xTR1〜4)が、自身のRLOCと自身のLISPサイト内のEIDとを対応づけて、登録受付部52に対して登録する。当該登録の際に、EIDに対応するADを用いて認証が行われる。   In step (2), each tunneling router 6 (xTR1 to 4) registers its RLOC and EID in its own LISP site in association with the registration accepting unit 52. At the time of registration, authentication is performed using AD corresponding to EID.

「EID1, AD1, RLOC1」として図示するように、xTR1はホスト識別子EID1に対する認証データAD1を用いて、当該EID1に対応する位置識別子RLOC1を登録受付部52に登録する。他のトンネリングルータxTR2〜xTR3も同様に、図示するような各自の登録を行う。   As illustrated as “EID1, AD1, RLOC1”, xTR1 registers the location identifier RLOC1 corresponding to EID1 in the registration receiving unit 52 using the authentication data AD1 for the host identifier EID1. Similarly, other tunneling routers xTR2 to xTR3 perform their own registration as shown in the figure.

手順(3)では、手順(2)でEID-AD間の認証が成功した登録の情報を用いて、マッピング情報作成部53がマッピング情報を作成する。すなわち、手順(1)で予め設定してあるVPNの各グループのEIDに対して、手順(2)で登録されたEID-RLOC対応を結びつけることにより、VPNのグループIDと、当該VPNに参加するEIDと、当該EIDに対応するRLOCと、を対応づけた情報としてマッピング情報を作成する。   In step (3), the mapping information creating unit 53 creates mapping information using the registration information that has been successfully authenticated between EID and AD in step (2). In other words, by joining the EID-RLOC correspondence registered in step (2) to the EID of each VPN group preset in step (1), join the VPN group ID and the VPN Mapping information is created as information in which EID is associated with RLOC corresponding to the EID.

例えば手順(2)でxTR1より登録された「EID1-RLOC1」については、EID1をキーとして手順(1)でのグループ分け情報を参照することで、EID1が属しているVPN1が見つかり、マッピング情報として、図示するように「VPN1, EID1, RLOC1」が得られる。同様にして、xTR3〜xTR4の各登録情報にてEIDをキーとしてグループ分け情報を参照して結び付けを行い、各マッピング情報として「VPN1, EID2, RLOC2」、「VPN2, EID3, RLOC3」及び「VPN2, EID4, RLOC4」が得られる。こうして、マッピング情報全体としては図示するようなテーブル形式の情報が作成される。   For example, for `` EID1-RLOC1 '' registered from xTR1 in step (2), VPN1 to which EID1 belongs is found by referring to the grouping information in step (1) using EID1 as a key, and as mapping information As shown in the figure, “VPN1, EID1, RLOC1” is obtained. Similarly, the registration information of xTR3 to xTR4 is linked by referring to the grouping information using EID as a key, and each mapping information includes "VPN1, EID2, RLOC2," "VPN2, EID3, RLOC3" and "VPN2 , EID4, RLOC4 ”. In this way, information in a table format as shown in the figure is created as the entire mapping information.

手順(4-1)〜(4-3)はxTRからのマッピング情報通知要求(Map-request)に対して判断通知部54が通知を許可して返信する例である。(4-1)ではxTR1が内側ヘッダが「送信元EID1, 宛先EID2」のパケットをコア網にて転送するための外側ヘッダを付加するため、判断通知部54に外側ヘッダとして用いるマッピング情報の通知を求めている。このため図示するように、宛先EID2と、自身のRLOC1とを判断通知部54に伝える。   Steps (4-1) to (4-3) are examples in which the determination notification unit 54 permits the notification and returns a mapping information notification request (Map-request) from xTR. In (4-1), since xTR1 adds an outer header for transferring the packet with the inner header “source EID1, destination EID2” in the core network, the notification of mapping information used as the outer header is sent to the judgment notifying unit 54. Seeking. Therefore, as shown in the figure, the destination EID2 and its own RLOC1 are transmitted to the determination notification unit 54.

(4-2)にて判断通知部54は、通知要求元xTR1の位置識別子RLOC1をキーとして、作成されたマッピング情報を参照し、エントリ「VPN1, EID1, RLOC1」を発見する。従って、通知要求元のxTR1はVPN1に属していることが分かる。次に、マッピング情報におけるVPN1内にて、xTR1から要求された宛先EID2を検索して、存在するか否かを調べる。すると、エントリ「VPN1, EID2, RLOC2」が見つかるので、通知要求元xTR1と宛先のEID2のホストとは同じグループVPN1に属していることがわかる。よって、返信してもよいと判断する。そして、当該見つけた宛先EID2に対応する位置識別子の情報として、(4-3)にてマッピング情報「EID2-RLOC2」を返信する。   In (4-2), the determination notification unit 54 refers to the created mapping information using the location identifier RLOC1 of the notification request source xTR1 as a key, and finds the entry “VPN1, EID1, RLOC1”. Therefore, it can be seen that xTR1 of the notification request source belongs to VPN1. Next, the destination EID2 requested from xTR1 is searched in VPN1 in the mapping information to check whether it exists. Then, since the entry “VPN1, EID2, RLOC2” is found, it can be seen that the notification request source xTR1 and the destination EID2 host belong to the same group VPN1. Therefore, it is determined that a reply may be made. Then, mapping information “EID2-RLOC2” is returned in (4-3) as the position identifier information corresponding to the found destination EID2.

(4-3)の後、不図示の手順にて、xTR1は外側ヘッダ「送信元RLOC1、宛先RLOC2」を作成して前記パケットをカプセル化する。また、xTR1はさらに、当該通知されたマッピング情報「EID2-RLOC2」をキャッシュとして保持してもよい。   After (4-3), xTR1 creates an outer header “source RLOC1, destination RLOC2” and encapsulates the packet in a procedure not shown. Further, xTR1 may further hold the notified mapping information “EID2-RLOC2” as a cache.

手順(5-1)〜(5-3)はxTRからのマッピング情報通知要求に対して判断通知部54が通知を許可しない例である。(5-1)では、xTR3が内側ヘッダが「送信元EID3, 宛先EID2」のパケットを前記と同様にカプセル化するため、判断通知部54にマッピング情報の通知を求めている。そして図示するように、宛先EID2と、自身のRLOC3とを判断通知部54に伝える。   Steps (5-1) to (5-3) are examples in which the determination notifying unit 54 does not permit notification of a mapping information notification request from xTR. In (5-1), since xTR3 encapsulates a packet whose inner header is “transmission source EID3, destination EID2” in the same manner as described above, the determination notification unit 54 is requested to notify the mapping information. Then, as shown in the figure, the destination EID2 and its own RLOC3 are transmitted to the determination notification unit 54.

(5-2)にて判断通知部54は、通知要求元xTR3の位置識別子RLOC3をキーとして、作成されたマッピング情報を参照し、エントリ「VPN2, EID3, RLOC3」を発見することにより、通知要求元のxTR3はVPN2に属していると知る。次に、マッピング情報におけるVPN2内にて、xTR3から要求された宛先EID2を検索し、VPN2内にEID2は存在しないことを知る。すなわち、通知要求元xTR3と宛先のEID2のホストとは別グループに属することがわかる。よって返信してはならないと判断し、(5-3)ではマッピング情報を返信しない、又は代わりにnegative map-replyを返信する。   In (5-2), the decision notification unit 54 refers to the created mapping information using the location identifier RLOC3 of the notification request source xTR3 as a key, and finds the entry “VPN2, EID3, RLOC3”, thereby requesting the notification. Know that the original xTR3 belongs to VPN2. Next, the destination EID2 requested from xTR3 is searched in VPN2 in the mapping information, and it is found that EID2 does not exist in VPN2. That is, it can be seen that the notification request source xTR3 and the host of the destination EID2 belong to different groups. Therefore, it is determined that it should not be returned, and in (5-3), mapping information is not returned, or instead negative map-reply is returned.

negative map-replyは、xTR3により対応するRLOCの通知を要求されたEID2が、LISPサイト内のアドレスとして存在しないことを表している(上述の通り実際には存在するが、本発明の目的により、対応するRLOCの通知を禁止する必要があるため、便宜上negative map-replyの返信を利用することができる)。よってnegative map-reply返信を受けた場合でも、返信無しであった場合でも、(5-3)の後の不図示の手順にてxTR3はLISPを利用しない通常のインターネット向けの通信と判断する。   The negative map-reply indicates that EID2 requested to notify the corresponding RLOC by xTR3 does not exist as an address in the LISP site (although it exists as described above, for the purposes of the present invention, Since it is necessary to prohibit notification of the corresponding RLOC, a negative map-reply reply can be used for convenience). Therefore, even if a negative map-reply reply is received or no reply is received, xTR3 determines that the communication is for normal Internet not using LISP in the procedure (not shown) after (5-3).

当該判断の後、EID2がローカルアドレスの場合には、宛先なしとしてxTR3は前記パケットを破棄することになる。仮にEID2がグローバルアドレスであった場合は、xTR3は外側ヘッダを付与せずに前記パケットを転送することとなるが、インターネット上で対象とするEID2の経路は存在しないので、当該パケットはどこかのルータで破棄されることとなる。偶然グローバルアドレスとしてEID2を利用しているホストに到達することがあったとしても、当該ホストはLISPサイト2内のローカルアドレスEID2のホストではない。なおVPNを構築する場合には通常、EIDはローカルアドレスである。   After this determination, if EID2 is a local address, xTR3 discards the packet as having no destination. If EID2 is a global address, xTR3 will forward the packet without adding an outer header, but there is no target EID2 route on the Internet. It will be destroyed at the router. Even if a host that uses EID2 as a global address is accidentally reached, the host is not the host of local address EID2 in LISP site 2. When building a VPN, EID is usually a local address.

なおまた、xTR1〜xTR4とは別の、マッピング情報に記載されていない無関係のxTR5(位置識別子はRLOC5とする)などが参照を行った場合も、RLOC5がマッピング情報内に存在しないので、手順(5-1)〜(5-3)とほぼ同様にして通知は拒否される。   In addition, when irrelevant xTR5 (location identifier is RLOC5) that is not described in the mapping information other than xTR1 to xTR4 is referenced, RLOC5 does not exist in the mapping information. Notification is rejected in substantially the same manner as in (5-1) to (5-3).

以上のように、本発明の基本実施形態によれば、図1に示す例のような閉じたVPNを構築することができる。なお、実際にVPNとしてホスト間で通信を行うためには、必要に応じて暗号化及び/又は認証などの処理を行うが、公知の各種の手法を利用すればよいので説明を省略する。認証については図3で説明したようなLISPのADを利用してもよい。本発明はその好適な一例として、閉じたVPNを構築するための前処理に関するものである。本発明はVPNに限らず、LISPネットワークにおけるEIDとRLOCとのマッピング情報の拡散範囲の制御、すなわち本発明の効果を必要とする任意の対象に適用することができる。   As described above, according to the basic embodiment of the present invention, a closed VPN such as the example shown in FIG. 1 can be constructed. In order to actually perform communication between hosts as a VPN, processing such as encryption and / or authentication is performed as necessary. However, since various known methods may be used, description thereof will be omitted. For authentication, LISP AD as described in FIG. 3 may be used. The present invention relates to pre-processing for constructing a closed VPN as a preferred example. The present invention is not limited to VPN, but can be applied to control of the diffusion range of mapping information between EID and RLOC in a LISP network, that is, any object that requires the effects of the present invention.

以下それぞれ(A)〜(E)として、基本実施形態に対する各種の追加的実施形態や、基本実施形態における補足事項などを説明する。当該説明においても、好適な対象としてVPN構築を想定して説明する。   Hereinafter, various additional embodiments to the basic embodiment, supplementary items in the basic embodiment, and the like will be described as (A) to (E). In this description, a VPN construction is assumed as a suitable target.

(A)xTRが複数のRLOCを持っている場合
基本実施形態で説明したxTR1が単一のRLOC1ではなく、RLOC1-1及びRLOC1-2の2個を持っている場合を例として説明する。xTR1は手順(2)の登録の際に、両方のRLOCを登録すればよい。ADはEIDに紐付いており、またRLOCはリストとして登録すればよいので、同じAD1を用いて「EID1, {RLOC1-1, RLOC1-2}」として登録すればよい。 (A) When xTR has a plurality of RLOCs A case where xTR1 described in the basic embodiment has two RLOC1-1 and RLOC1-2 instead of a single RLOC1 will be described as an example. xTR1 may register both RLOCs when registering in step (2). Since AD is associated with EID and RLOC may be registered as a list, it is only necessary to register as “EID1, {RLOC1-1, RLOC1-2}” using the same AD1.

手順(3)のマッピング情報作成では、「VPN1, EID1, RLOC1-1」及び「VPN1, EID1, RLOC1-2」として作成してもよいし、「VPN1, EID1, {RLOC1-1, RLOC1-2}」として作成してもよい。手順(4-1)でxTR1が通知要求を行う場合には、どちらのIPアドレス(RLOC1-1又はRLOC1-2)を用いてもよく、xTR1自身は手順(4-2)でVPN1に属すると判断される。また別のトンネリングルータ、例えばxTR2がEID1のRLOCの通知要求を行う場合には、リスト{RLOC1-1, RLOC1-2}を返信すればよい。   In creating the mapping information in step (3), it may be created as “VPN1, EID1, RLOC1-1” and “VPN1, EID1, RLOC1-2”, or “VPN1, EID1, {RLOC1-1, RLOC1-2”. } ". When xTR1 makes a notification request in step (4-1), either IP address (RLOC1-1 or RLOC1-2) may be used, and xTR1 itself belongs to VPN1 in step (4-2). To be judged. When another tunneling router, for example, xTR2 makes an RLOC notification request for EID1, the list {RLOC1-1, RLOC1-2} may be returned.

なお、複数のRLOCの例として、上記説明のxTR1ではなく、LISPサイト1にxTR1-1及びxTR1-2のように物理的に2台のトンネリングルータが存在してそれぞれRLOC1-1及びRLOC1-2を割り当てられている場合もあるが、上記と同様の処理でよい。xTR1-1及びxTR1-2はそれぞれ上記登録を行ってもよく、片方のxTRが両者のRLOCを登録してもよい。   As an example of a plurality of RLOCs, instead of xTR1 described above, there are two tunneling routers physically at LISP site 1 such as xTR1-1 and xTR1-2, and RLOC1-1 and RLOC1-2 respectively. May be assigned, but the same processing as described above may be used. Each of xTR1-1 and xTR1-2 may perform the above registration, and one xTR may register both RLOCs.

(B)異なるVPNで同じアドレスを使う場合(アドレスが重複する場合)
基本実施形態の説明においてEID1=EID3であった場合を例として、EID3をEID1に置き換えて説明する。この場合、手順(1)での設定の「EID3, AD3, VPN2」の部分が、「EID1, AD3, VPN2」となる。すなわち手順(1)では同じEID1に対して、「EID1, AD1, VPN1」及び「EID1, AD3, VPN3」が定義されることとなる。 (B) When using the same address in different VPNs (when addresses overlap)
In the description of the basic embodiment, the case where EID1 = EID3 is taken as an example, and EID3 is replaced with EID1. In this case, the “EID3, AD3, VPN2” portion of the setting in step (1) becomes “EID1, AD3, VPN2”. That is, in the procedure (1), “EID1, AD1, VPN1” and “EID1, AD3, VPN3” are defined for the same EID1.

手順(2)では、xTR1及びxTR3は前述と同様のADにてそれぞれ、「EID1, AD1, RLOC1」及び「EID1, AD3, RLOC3」として登録を行う。手順(3)では対応するマッピング情報としてそれぞれ、「VPN1, EID1, RLOC1」及び「VPN2, EID1, RLOC3」が作成される。   In procedure (2), xTR1 and xTR3 are registered as “EID1, AD1, RLOC1” and “EID1, AD3, RLOC3”, respectively, in the same AD as described above. In step (3), “VPN1, EID1, RLOC1” and “VPN2, EID1, RLOC3” are created as corresponding mapping information.

当該マッピング情報に対して、例えばxTR2が宛先EID1に対するRLOCの通知要求を行ったとする。判断通知部54は通知要求元のxTR2の位置識別子RLOC2によって、当該xTR2がVPN1に所属していることがわかるので、xTR2にRLOC1を返信することができる。その他返信拒否となる場合も含めて、同様にして正常に運用できる。   Assume that xTR2 makes an RLOC notification request to destination EID1 for the mapping information. Since the determination notifying unit 54 knows that xTR2 belongs to VPN1 by the location identifier RLOC2 of the notification request source xTR2, it can return RLOC1 to xTR2. It can be operated normally in the same way, including cases where other replies are rejected.

(C)1つのxTR配下に複数のVPNがある場合
当該複数のVPN間にてアドレス帯の競合が生じたり、異なるVPN間で通信できてしまうため、VPNの要件を満足できない。よって本発明の基本実施形態においてはこのような場合は想定しない。 (C) When there are multiple VPNs under one xTR, address band contention may occur between the multiple VPNs, or communication between different VPNs will not be possible, so the VPN requirements cannot be satisfied. Therefore, such a case is not assumed in the basic embodiment of the present invention.

なお、手順(1)におけるグループ分け部51によるグループ分けとは、通常の意味でのグループ分けであり、1つのLISPサイト内のEIDが複数のVPNグループに同時に属することはない。すなわち、1つのLISPサイト内のEIDは同一の1つのVPNグループに属する。よって基本実施形態では自動的に当該(C)のような場合は排除される。   The grouping by the grouping unit 51 in the procedure (1) is a grouping in a normal sense, and EIDs in one LISP site do not belong to a plurality of VPN groups at the same time. That is, EIDs in one LISP site belong to the same VPN group. Therefore, in the basic embodiment, the case (C) is automatically excluded.

(D)ITR(Ingress Tunnel Router)によるMap-request(マッピング情報通知要求)の返信をETR(Egress Tunnel Router)が行う場合
手順(4-1)〜(4-3)(当該手順ではITR=xTR1、ETR=xTR2)がどう変更されるかを例として説明する。(4-1)及び(4-2)は基本実施形態と同様に行ったのち、(4-3)に代えて次のようにする。すなわち、(4-2)でマッピングサーバが返信許可判断を下すと、(4-3)のようにマッピングサーバ5から直接xTR1に返信するのではなく、マッピングサーバは通知要求をxTR2に転送し、当該xTR2が保有RLOC2をxTR1に返信してもよい。なおその後さらに、キャッシングモードの場合には、xTR2からxTR1への返信においても、マッピングサーバ5を経由してもよい。 (D) When ETR (Egress Tunnel Router) returns Map-request (mapping information notification request) by ITR (Ingress Tunnel Router) Procedure (4-1) to (4-3) (In this procedure, ITR = xTR1 , ETR = xTR2) will be described as an example. (4-1) and (4-2) are performed in the same manner as in the basic embodiment, and then replaced with (4-3) as follows. That is, when the mapping server makes a reply permission determination in (4-2), the mapping server forwards the notification request to xTR2 instead of directly returning from the mapping server 5 to xTR1 as in (4-3). The xTR2 may return the owned RLOC2 to xTR1. Furthermore, after that, in the case of the caching mode, the reply from xTR2 to xTR1 may also pass through the mapping server 5.

(E)マッピングサーバ5が仮想化されている場合
図4に、マッピングサーバ5が仮想化され、マッピングサーバ5上で複数の仮想計算機が各々マッピングサーバとして稼働している場合の機能ブロック図の例を示す。マッピングサーバ5は仮想化され、VPN1を管理する仮想計算機5Aと、VPN2を管理する仮想計算機5Bと、切替部7とを含む。切替部7は各仮想計算機5A及び5Bにつき異なる仮想インタフェース及びアドレスを管理することで、VPN1に参加するxTR1及びxTR2を仮想計算機5Aと接続させ、VPN2に参加するxTR3及びxTR4を仮想計算機5Bと接続させる。 (E) When mapping server 5 is virtualized Figure 4 shows an example of a functional block diagram when mapping server 5 is virtualized and multiple virtual machines are operating as mapping servers on mapping server 5. Indicates. The mapping server 5 is virtualized and includes a virtual computer 5A that manages VPN1, a virtual computer 5B that manages VPN2, and a switching unit 7. The switching unit 7 manages different virtual interfaces and addresses for the respective virtual machines 5A and 5B, thereby connecting xTR1 and xTR2 participating in VPN1 with virtual machine 5A, and connecting xTR3 and xTR4 participating in VPN2 with virtual machine 5B. Let

上記のような排他的な切替接続を行うために、予め手順(1)と類似の情報が切替部7に設定されているものとする。切替部7を経由することで、xTR1及びxTR2は仮想計算機5Aに対してのみ登録や参照を行い、xTR3及びxTR4は仮想計算機5Bに対してのみ登録や参照を行う。   In order to perform the exclusive switching connection as described above, it is assumed that information similar to the procedure (1) is set in the switching unit 7 in advance. By passing through the switching unit 7, xTR1 and xTR2 register and refer only to the virtual machine 5A, and xTR3 and xTR4 register and refer only to the virtual machine 5B.

仮想計算機5A内のグループ分け部51A乃至判断通知部54Aと、仮想計算機5B内のグループ分け部51B乃至判断通知部54Bとは、それぞれ類似の参照番号を付しているように、図2に示すグループ分け部51乃至判断通知部54に対応する処理を行う。処理における差異点としては、切替部7によってxTRのアクセスを振り分けるので、各仮想計算機内では単一のVPNグループを設定すればよい点が挙げられる。しかし、マッピングサーバ5全体としては基本実施形態と同様の効果が得られると共に、仮想化の利点として管理が容易になる等の効果がある。   As shown in FIG. 2, the grouping unit 51A through the determination notification unit 54A in the virtual machine 5A and the grouping unit 51B through the determination notification unit 54B in the virtual machine 5B are given similar reference numbers, respectively. Processing corresponding to the grouping unit 51 to the determination notification unit 54 is performed. As a difference in processing, since the switching unit 7 distributes xTR access, a single VPN group may be set in each virtual machine. However, the mapping server 5 as a whole has the same effects as the basic embodiment, and has the advantage of easy management as an advantage of virtualization.

すなわち、手順(1)ではグループ分け部51Aで(EID1,AD1)及び(EID2,AD2)が単一のVPN1に設定され、またこれとは独立にグループ分け部51Bで(EID3,AD3)及び(EID4,AD4)が単一のVPN2に設定される。手順(2)では切替部7によって各xTRの所属VPNグループ毎に対応する仮想計算機に切り替えて登録が行われる。ここでは、仮に切替部7を経由しないルートによって、別VPNグループの仮想計算機にxTRが登録しようとしたとしても、ADが共有されていないため登録はできない。   That is, in the procedure (1), (EID1, AD1) and (EID2, AD2) are set to a single VPN1 in the grouping unit 51A, and (EID3, AD3) and ( EID4, AD4) is set to a single VPN2. In step (2), the switching unit 7 switches to the virtual machine corresponding to each VPN group to which each xTR belongs and performs registration. Here, even if xTR tries to register with a virtual machine in another VPN group by a route that does not pass through the switching unit 7, registration is not possible because AD is not shared.

手順(3)ではマッピング情報作成部51Aで単一グループのVPN1に対して、マッピング情報「VPN1, EID1, RLOC1」及び「VPN1, EID2, RLOC2」が作成され、マッピング情報作成部51Bで単一グループのVPN2に対してマッピング情報「VPN2, EID3, RLOC3」及び「VPN2, EID4, RLOC4」が作成される。   In step (3), mapping information creation unit 51A creates mapping information "VPN1, EID1, RLOC1" and "VPN1, EID2, RLOC2" for single group VPN1, and mapping information creation unit 51B creates a single group. Mapping information “VPN2, EID3, RLOC3” and “VPN2, EID4, RLOC4” are created for VPN2.

こうして、各xTRからのマッピング情報通知要求に対しても、基本実施形態と同様の通知許可又は禁止が可能となる。仮に、切替部7を経由しないルートによってVPN2に属するxTR3がVPN1を管理する仮想計算機5Aに通知要求を出したとしても、仮想計算機5Aのマッピング情報内にはxTR3の保有するRLOC3のエントリが見つからないため、返信は拒否される。   In this way, it is possible to permit or prohibit notification similar to the basic embodiment even for mapping information notification requests from each xTR. Even if xTR3 belonging to VPN2 sends a notification request to virtual machine 5A managing VPN1 by a route that does not pass through switching unit 7, the entry of RLOC3 held by xTR3 is not found in the mapping information of virtual machine 5A Therefore, the reply is rejected.

以上、本発明によれば、通知要求を行うトンネリングルータに応じてマッピング情報の必要部分の通知の可否を判断することで、マッピング情報の拡散範囲を制御することができる。当該制御により、LISPネットワークにおけるセキュリティ強化や、きちんと閉じた形で運用されるVPNの実現などを行うことができる。   As described above, according to the present invention, it is possible to control the spreading range of mapping information by determining whether or not notification of a necessary portion of mapping information is possible according to the tunneling router that makes a notification request. With this control, it is possible to strengthen security in a LISP network and to implement a VPN that operates properly in a closed form.

5…マッピングサーバ、51…グループ分け部、52…登録受付部、53…マッピング情報作成部、54…判断通知部、6…トンネリングルータ   5 ... Mapping server, 51 ... Grouping unit, 52 ... Registration acceptance unit, 53 ... Mapping information creation unit, 54 ... Judgment notification unit, 6 ... Tunneling router

Claims (4)

コア網内では位置識別子にてルーティングが行われ、前記コア網にトンネリングルータを介して下層ネットワークとして接続する各LISPサイト内ではホスト識別子にてルーティングが行われるLISPネットワークにおける、位置識別子とホスト識別子との対応づけをマッピング情報として保持するマッピングサーバの制御方法において、
前記LISPネットワークを構成する複数のLISPサイトを所与のグループに分けて、各LISPサイト内のホスト識別子と共に記憶するステップと、
各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該LISPサイト内のホスト識別子とを対応づけた登録を受け付けるステップと、
ホスト識別子の一致をキーとして、前記共に記憶されたグループ及びホスト識別子と、前記対応づけて登録された位置識別子及びホスト識別子と、を対応づけてマッピング情報を作成するステップと、
送信元のトンネリングルータの位置識別子と宛先ホストのホスト識別子とが記載された当該トンネリングルータからの通知要求を受けて、前記マッピング情報を参照して、当該トンネリングルータの位置識別子と前記宛先ホストのホスト識別子とが同一のグループに属する場合には、当該同一のグループ内において前記宛先ホストのホスト識別子に前記マッピング情報により対応する位置識別子を当該トンネリングルータに通知し、同一のグループに属さない場合には通知しないステップとを備え
前記記憶するステップでは、前記複数のLISPサイトを、同一グループに属するホスト間のみにて互いの通信を許可するための所与のグループに分けて、各LISPサイト内のホスト識別子と、当該ホスト識別子に対応し予め各LISPサイトのトンネリングルータと共有された認証データと共に記憶し、
前記登録を受け付けるステップでは、各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該各LISPサイト内のホスト識別子と対応づけた登録を、当該ホスト識別子に対応する前記共有された認証データによる認証を経てから受け付けることを特徴とするマッピングサーバの制御方法。 In the LISP network in which routing is performed by the location identifier in the core network, and routing is performed by the host identifier in each LISP site connected to the core network as a lower layer network via a tunneling router, the location identifier and the host identifier In the control method of the mapping server that holds the mapping of
Dividing a plurality of LISP sites constituting the LISP network into a given group and storing them together with a host identifier in each LISP site;
A step of accepting a registration in which the location identifier of the tunneling router is associated with the host identifier in the LISP site from the tunneling router of each LISP site;
Creating mapping information by associating the group identifier and host identifier stored together with the registered location identifier and host identifier, using the match of the host identifier as a key;
In response to a notification request from the tunneling router in which the location identifier of the source tunneling router and the host identifier of the destination host are written, the location information of the tunneling router and the host of the destination host are referenced with reference to the mapping information When the identifier belongs to the same group, the location identifier corresponding to the host identifier of the destination host in the same group is notified to the tunneling router by the mapping information, and when the identifier does not belong to the same group And a step not to notify ,
In the storing step, the plurality of LISP sites are divided into given groups for permitting mutual communication only between hosts belonging to the same group, a host identifier in each LISP site, and the host identifier Corresponding with the authentication data shared in advance with the tunneling router of each LISP site,
In the step of accepting the registration, from the tunneling router of each LISP site, the registration that associates the location identifier of the tunneling router with the host identifier in the LISP site is based on the shared authentication data corresponding to the host identifier. A method for controlling a mapping server, wherein the mapping server is received after authentication . 前記マッピングサーバは前記所与のグループ毎に仮想計算機に分けて運用され、
前記記憶するステップでは各グループに対応する仮想計算機が、当該グループに対応する各LISPサイト内のホスト識別子を記憶し、
前記登録を受け付けるステップでは、前記トンネリングルータの位置識別子に対応づけられたLISPサイト内のホスト識別子を前記記憶している仮想計算機が、前記位置識別子を対応づけて登録し、
前記マッピング情報を作成するステップでは、各仮想計算機が前記対応づけて登録した情報を各マッピング情報として作成し、
前記通知する又は通知しないステップでは、前記送信元のトンネリングルータに対して、当該トンネリングルータの位置識別子をマッピング情報内に保持している仮想計算機が、当該マッピング情報を参照して前記通知する又は通知しないことを特徴とする請求項1に記載のマッピングサーバの制御方法。 The mapping server is operated separately for each given group in virtual machines,
In the storing step, a virtual machine corresponding to each group stores a host identifier in each LISP site corresponding to the group,
In the step of accepting the registration, the virtual machine storing the host identifier in the LISP site associated with the location identifier of the tunneling router registers the location identifier in association with each other,
In the step of creating the mapping information, each virtual computer creates the information registered in association with each other as mapping information,
In the step of notifying or notifying, the virtual machine that holds the location identifier of the tunneling router in the mapping information is notified or notified to the source tunneling router with reference to the mapping information. 2. The mapping server control method according to claim 1, wherein the mapping server control method is not performed. 前記所与のグループがLISPサイト間でのVPN構築のためのグループであることを特徴とする請求項1または2に記載のマッピングサーバの制御方法。 3. The mapping server control method according to claim 1, wherein the given group is a group for establishing a VPN between LISP sites. コア網内では位置識別子にてルーティングが行われ、前記コア網にトンネリングルータを介して下層ネットワークとして接続する各LISPサイト内ではホスト識別子にてルーティングが行われるLISPネットワークにおける、位置識別子とホスト識別子との対応づけをマッピング情報として保持するマッピングサーバにおいて、
前記LISPネットワークを構成する複数のLISPサイトを所与のグループに分けて、各LISPサイト内のホスト識別子と共に記憶するグループ分け部と、
各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該LISPサイト内のホスト識別子とを対応づけた登録を受け付ける登録受付部と、
ホスト識別子の一致をキーとして、前記共に記憶されたグループ及びホスト識別子と、前記対応づけて登録された位置識別子及びホスト識別子と、を対応づけてマッピング情報を作成するマッピング情報作成部と、
送信元のトンネリングルータの位置識別子と宛先ホストのホスト識別子とが記載された当該トンネリングルータからの通知要求を受けて、前記マッピング情報を参照して、当該トンネリングルータの位置識別子と前記宛先ホストのホスト識別子とが同一のグループに属する場合には、当該同一のグループ内において前記宛先ホストのホスト識別子に前記マッピング情報により対応する位置識別子を当該トンネリングルータに通知し、同一のグループに属さない場合には通知しない判断通知部とを備え
前記グループ分け部では、前記複数のLISPサイトを、同一グループに属するホスト間のみにて互いの通信を許可するための所与のグループに分けて、各LISPサイト内のホスト識別子と、当該ホスト識別子に対応し予め各LISPサイトのトンネリングルータと共有された認証データと共に記憶し、
前記登録受付部では、各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該各LISPサイト内のホスト識別子と対応づけた登録を、当該ホスト識別子に対応する前記共有された認証データによる認証を経てから受け付けることを特徴とするマッピングサーバ。 In the LISP network in which routing is performed by the location identifier in the core network, and routing is performed by the host identifier in each LISP site connected to the core network as a lower layer network via a tunneling router, the location identifier and the host identifier In the mapping server that holds the mapping of as mapping information,
Dividing a plurality of LISP sites constituting the LISP network into a given group, and storing together with a host identifier in each LISP site;
From the tunneling router of each LISP site, a registration accepting unit that accepts registration in which the location identifier of the tunneling router is associated with the host identifier in the LISP site;
A mapping information creating unit that creates mapping information by associating the group identifier and host identifier stored together with the location identifier and host identifier registered in association with each other using the match of the host identifier as a key,
In response to a notification request from the tunneling router in which the location identifier of the source tunneling router and the host identifier of the destination host are written, the location information of the tunneling router and the host of the destination host are referenced with reference to the mapping information When the identifier belongs to the same group, the location identifier corresponding to the host identifier of the destination host in the same group is notified to the tunneling router by the mapping information, and when the identifier does not belong to the same group A decision notifying section that does not notify ,
The grouping unit divides the plurality of LISP sites into given groups for permitting mutual communication only between hosts belonging to the same group, a host identifier in each LISP site, and the host identifier Corresponding with the authentication data shared in advance with the tunneling router of each LISP site,
In the registration accepting unit, from the tunneling router of each LISP site, the registration associated with the location identifier of the tunneling router and the host identifier in the LISP site is authenticated by the shared authentication data corresponding to the host identifier. Mapping server characterized by accepting after passing through .
JP2011097065A 2011-04-25 2011-04-25 Mapping server control method and mapping server Active JP5715476B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011097065A JP5715476B2 (en) 2011-04-25 2011-04-25 Mapping server control method and mapping server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011097065A JP5715476B2 (en) 2011-04-25 2011-04-25 Mapping server control method and mapping server

Publications (2)

Publication Number Publication Date
JP2012231225A JP2012231225A (en) 2012-11-22
JP5715476B2 true JP5715476B2 (en) 2015-05-07

Family

ID=47432450

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011097065A Active JP5715476B2 (en) 2011-04-25 2011-04-25 Mapping server control method and mapping server

Country Status (1)

Country Link
JP (1) JP5715476B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105591799B (en) * 2015-07-28 2018-12-25 新华三技术有限公司 A kind of quick recovery method and equipment of MS server

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4622835B2 (en) * 2005-12-07 2011-02-02 株式会社日立製作所 Virtual computer system and network communication method thereof
JP4207078B2 (en) * 2006-10-11 2009-01-14 村田機械株式会社 Relay server
JP4803116B2 (en) * 2007-05-31 2011-10-26 富士ゼロックス株式会社 Virtual network connection device and program
CN102025589B (en) * 2009-09-18 2015-04-01 中兴通讯股份有限公司 Method and system for realizing virtual private network
CN102025591B (en) * 2009-09-18 2013-12-18 中兴通讯股份有限公司 Method and system for implementing virtual private network

Also Published As

Publication number Publication date
JP2012231225A (en) 2012-11-22

Similar Documents

Publication Publication Date Title
US11362986B2 (en) Resolution of domain name requests in heterogeneous network environments
US20230082172A1 (en) Providing extendible network capabilities for managed computer networks
WO2019201043A1 (en) Network communication method, system and device, and storage medium
TW522684B (en) MAC address-based communication restricting method
JP2020162146A (en) System and method for distributed flow state p2p setup in virtual networks
US20190182155A1 (en) Distributed Network Sharing And Traffic Isolation
US9654340B2 (en) Providing private access to network-accessible services
US8224931B1 (en) Managing use of intermediate destination computing nodes for provided computer networks
US8560646B1 (en) Managing communications using alternative packet addressing
US8683023B1 (en) Managing communications involving external nodes of provided computer networks
US9654482B2 (en) Overcoming circular dependencies when bootstrapping an RPKI site
CN105490995B (en) A kind of method and apparatus that NVE E-Packets in NVO3 networks
JP6364106B2 (en) Method, system and computer-readable medium for routing Diameter messages in a Diameter signaling router
US10439993B2 (en) Mapping system assisted key refreshing
JP6206508B2 (en) Packet transfer device, control device, communication system, communication method, and program
TW201138380A (en) Methods and apparatus for distribution of IP layer routing information in peer-to-peer overlay networks
JP4628938B2 (en) Data communication system, terminal device and VPN setting update method
WO2017107871A1 (en) Access control method and network device
JP2023502578A (en) Group-based policy for inter-domain traffic
CN115442184A (en) Access system and method, access server, system and storage medium
EP2276206B1 (en) A method, device and communication system for managing and inquiring mapping information
JP5715476B2 (en) Mapping server control method and mapping server
CN101043410B (en) Method and system for realizing mobile VPN service
Dayananda et al. Architecture for inter-cloud services using IPsec VPN
JP2012244497A (en) Mapping server and method of controlling the same

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141203

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150313

R150 Certificate of patent or registration of utility model

Ref document number: 5715476

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150