JP3689083B2 - Network system and node device - Google Patents
Network system and node device Download PDFInfo
- Publication number
- JP3689083B2 JP3689083B2 JP2002358334A JP2002358334A JP3689083B2 JP 3689083 B2 JP3689083 B2 JP 3689083B2 JP 2002358334 A JP2002358334 A JP 2002358334A JP 2002358334 A JP2002358334 A JP 2002358334A JP 3689083 B2 JP3689083 B2 JP 3689083B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- router
- virtual router
- interface
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、IP(インターネットプロトコル)を用いたネットワークにおけるネットワークシステム及びノード装置に関する。
【0002】
【従来の技術】
IP(インターネットプロトコル)を用いたネットワークであるインターネットの利用が急速に普及している。インターネットを構成する要素として、ISP(Internet Service Provider)、IX(Internet Exchange)がある。
【0003】
ISPは、個人や企業といった顧客(カスタマ)を対象にインターネットへの接続サービスやWebやメールといったアプリケーションのサービスを提供する事業者である。
【0004】
またIXは、ISP同士が自社のネットワークと別のISPのネットワークを相互接続するための接続ポイントを用意した事業者である。
【0005】
ISPは、複数のルータと呼ばれる装置やサービスを提供する端末(Webサーバ、メールサーバなど)が接続されることにより実現されている。ルータ及びルータに接続される端末を含め全ての機器は、その機器を特定するための識別子としてIPアドレスを持ち、各IPアドレスは、各機器から他の機器にデータを転送する時に使用される。
【0006】
ルータ装置は、カスタマにより付加されたIPアドレスを用いてルーティングテーブルを検索することで、データ(パケット)の次の転送先(Next Hop)を決定する。このように各ルータ装置がパケット転送(フォワーディング)を行うことで、最終的な宛先に到達する。ルータ装置間では、RIP、OSPF、BGPなどのルーティングプロトコルによってルーティング情報を交換し、ルーティングテーブルを作成し、更新している。
【0007】
前述のIPアドレスは、その数に限りがあるため、インターネットに接続する機器が増大するにつれ、固有な識別子として使えるIPアドレスが枯渇するという問題が生じる。
【0008】
この問題の対処として、ISPやIXでは、インターネット上で固有な識別子として使えるアドレス(グローバルアドレス)の無駄使いを省くために、企業内やISP内など限定した範囲でのみで使用するプライベートアドレスを利用する場合がある。ただし、プライベートアドレスのルーティング情報をインターネットに伝達させてしまうと、アドレスの重複が生じる可能性があり、インターネットのルーティング情報に不都合が生じる虞があるので、外部のネットワークと接する境界ルータ装置上でルーティングプロトコルのフィルタリングなどを使用し、アドレスごとにプライベートアドレスを外部には伝達しないような設定を行わなければならない。
【0009】
また現在のインターネットの別の問題として、セキュリティに関する問題がある。悪意のある第三者が、ISPや企業内のルータやホストのセキュリティホールをついて不正侵入し、サービスやシステムを停止させたり、再起動させてしまうなどの攻撃を仕掛けてくる可能性がある。
【0010】
このような攻撃は、攻撃対象のルータやホストのIPアドレスを元に仕掛けるものである。従来のインターネットのネットワークの構成では、tracerouteなどのコマンドでデータが通過するルータのIPアドレスを知ることが可能である。逆に言うと、このコマンドを使用すれば、悪意のある第三者もISPやIX内のルータやホストのIPアドレスを知ることができ、そこをつかれ攻撃を受けるという危険がある。
【0011】
また、イサーネットのようなネットワーク同士を接続することができ、且つ、MAC(Media Access Control)層において定義されるフレームレベルでの転送処理を行うことができるルータ装置、及びフレーム転送方法が知られている(例えば、特許文献1参照。)。
【0012】
さらに、この種のIPネットワークシステムにおいて、パケットが発生したときHop by Hopのルーティング処理を行わず、瞬時にショートカットVCを張り、既存のATM機器との親和性を良くし、IPサブネットを無駄に使わないようにしたものが知られている(例えば、特許文献2参照。)。
【0013】
またさらに、この種のIPネットワークシステムにおいて、セキュリティー処理を統合するものも知られている(例えば、特許文献3参照。)。
【0014】
【特許文献1】
特許第3272280号明細書
【0015】
【特許文献2】
特開平11−68789号公報
【0016】
【特許文献3】
特開2000−4255
【0017】
【発明が解決しようとする課題】
以上のように、従来のISPやIXのネットワークでは、組織内のネットワークにグローバルアドレスを使用した場合には、その分だけカスタマに提供するアドレス数を減らしてしまっていた。
【0018】
一方、組織内でプライベートアドレスを使用してカスタマに提供するアドレス数をより多く確保する場合には、組織の外部へは内部のプライベートアドレスで構成されたネットワークのルーティング情報を伝達させないため、境界ルータ装置によって経路フィルタをアドレスごとに設定する必要があった。
【0019】
また、いずれのケースもISPやIX内のネットワーク構成やノードに付与したIPアドレスが外部に知られ、外部からセキュリティホールを狙われ攻撃される虞があった。
【0020】
本発明の目的は、カスタマに提供するグローバルアドレスをできる限り確保し、またセキュリティの向上を図り得るネットワークシステム及びノード装置を提供することにある。
【0021】
【課題を解決するための手段】
上記課題を解決するために本発明に係るネットワークシステムは、互いに接続されるネットワーク同士の境界に設置されるルータ装置内に第1,第2仮想ルータを設けてなるネットワークシステムであって、
前記第1仮想ルータ及び第2仮想ルータは、
一の前記境界ルータ装置が受け取った共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを当該独自のアドレス体系で前記一の境界ルータ装置から他の境界ルータ装置まで転送する機能と、
前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する機能と
を有することを特徴とする。
【0025】
上記課題を解決するために本発明に係るネットワークシステムは、互いに接続されるネットワーク同士の境界に設置されるルータ装置内及び外部のノード装置内夫々に、共通のアドレス体系で動作する第1仮想ルータと、システム内部独自のアドレス体系で動作する第2仮想ルータを設けてなるネットワークシステムであって、
前記第1仮想ルータ及び第2仮想ルータは、
前記共通のアドレス体系のパケットを前記独自のアドレス体系のパケットにカプセル化し、該カプセル化したパケットを前記独自のアドレス体系で、他の前記境界ルータ装置又は前記ノード装置へ転送する機能と、
前記独自のアドレス体系でカプセル化され転送されたパケットを前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを前記共通のアドレス体系で転送する機能とを有することを特徴とする。
【0026】
本発明によれば、システム内部ではパケットをシステム独自のアドレス体系で転送処理し、システム外部では共通のアドレス体系で転送処理するので、使用する共通のアドレス体系のアドレスを節約することができる。
【0027】
また本発明によれば、システム内部ではパケットのカプセル化により転送し、システム外部にはパケットを非カプセル化して転送するようにしているので、独自のアドレス体系のアドレスをシステム外部に伝達させないため、ルーティングプロトコルによる経路フィルタを設定する必要はなく、また悪意のある第三者による不正侵入を未然に防止することが可能となる。
【0028】
【発明の実施の形態】
以下、図面を参照しながら本発明の実施形態を説明する。
【0029】
(第1の実施形態)
図1は本発明のネットワークシステムにおいて、IXを実現するための一構成例を示す。
【0030】
ネットワーク102aは、一つのISPを構成するネットワークであり、ルータ140aなどの装置が存在しており、ネットワーク102aが一つの自律システム(AS)を構成している。
【0031】
同様にネットワーク102nは、一つのISPを構成するネットワークであり、ルータ140nなどの装置が存在しており、ネットワーク102aとは独立に管理されたASを構成している。
【0032】
ネットワーク101は、ISP間を接続するIXとして提供されるネットワークであり、ネットワーク102aとネットワーク102nとを接続している。
【0033】
ネットワーク101内には、エッジルータ110a、コアルータ120及びエッジルータ110nが存在する。
【0034】
エッジルータ110aは、IX101とISP102aとの境界に位置するルータ装置であり、ネットワーク102aのルータ140aからコアルータ120へのパケット転送と、コアルータ120からルータ140aへのパケット転送とを行う。またエッジルータ110aは、内部に仮想ルータ111aと仮想ルータ113aとを持ち、それぞれが論理的に独立して動作している。
【0035】
仮想ルータ111aは、インタフェース112aを介してルータ140aに、インタフェース115aを介して論理的に仮想ルータ111nに接続されており、ルータ140aや仮想ルータ111nとの間の通信を可能とするグローバルアドレス(全てのインターネットで共通のアドレス体系に従う一意なアドレス)が収容されるインタフェースのいずれかに最低1つ付加されている。
【0036】
また仮想ルータ111aは、ルータ140aとの間で例えばOSPFのようなIGPによる情報のやり取りにより、ネットワーク102a内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル130aに記憶する。
【0037】
さらに仮想ルータ111aは、仮想ルータ111nとの間で、例えばBGPのようなAS間ルーティングプロトコルによる情報のやりとりにより、ネットワーク102n内のホストやルータにパケットを転送するために必要となる次のルータ、すなわち、この場合には、仮想ルータ111nを求め、その結果をルーティングテーブル130aに記憶する。
【0038】
この結果、仮想ルータ111aは、ルータ140aや仮想ルータ111nから転送されたパケットの宛先からルーティングテーブル130aを検索し、次の転送先がルータ140aの場合には、インタフェース112aにパケットを出力し、次の転送先が仮想ルータ111nの場合には、インタフェース115aに出力する。
【0039】
インタフェース112aは、仮想ルータ111aから出力されたパケットにデータリンクヘッダの付加、データリンクフレームのルータ140aへの出力及び、ルータ140aから転送されたパケットのデータリンクヘッダの削除と仮想ルータ111aへの転送を行う。データリンクレイヤとしてはEthernet(R)、ATM(Asynchronous Transfer Mode)、POS(Packet over SONET)などが考えられる。
【0040】
ここで、インタフェース112aでは、Ethernet(R)などのマルチアクセスインタフェース(一つのインタフェースで複数のルータと接続)の場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェース(一つのインタフェースで一つのルータと接続)の場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0041】
インタフェース115aは、IX101内のネットワークを仮想的なトンネル150とみたて、それを介して仮想ルータ111nとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース(トンネルインタフェース)である。
【0042】
この論理インタフェースには、トンネル150の出口が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル150の出口が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0043】
仮想ルータ111aより出力され仮想ルータ111nへ転送するパケットについては、次の転送先となる仮想ルータ111nに収容されるインタフェースに付加されたグローバルアドレスからトンネル対応テーブル130aを検索する。これにより、仮想ルータ113nに収容されるインタフェースに付加されたアドレスを求め、求めたアドレスからカプセル情報を作成し、その後に、パケットの先頭にトンネル情報を付加したカプセル化パケットを作成し、仮想ルータ113aにパケットを転送する。
【0044】
一方、仮想ルータ113aより転送されたカプセル化パケットは、カプセル情報の削除後、仮想ルータ111aに転送する。
【0045】
仮想ルータ113aは、インタフェース114aを介してコアルータ120に接続されており、コアルータ120との間の通信を可能とするIX101内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0046】
仮想ルータ113aは、コアルータ120との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、IX101内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル131aに記憶する。
【0047】
また、仮想ルータ113aでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース115aに出力する。
【0048】
このように、仮想ルータ113aは、インタフェース115aから入力されたパケットの宛先からルーティングテーブル131aを検索し、次の転送先がコアルータ120の場合には、インタフェース114aにパケットを出力する。また、インタフェース114aから入力されたカプセル化パケットはインタフェース115aに出力する。
【0049】
インタフェース114aは、112aと同様の処理を行うものであり、接続先がコアルータ120となる。
【0050】
ここで、インタフェース112aでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずIX101内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、IX101内で一意なアドレスが付加される場合と付加されない場合がある。
【0051】
エッジルータ110nは、IX101とISP102nの境界に位置するルータ装置であり、ルータ140nからコアルータ120へのパケット転送とコアルータ120からルータ140nへのパケット転送とを行う。
【0052】
エッジルータ110nは、エッジルータ110aと同様に内部に仮想ルータ111nと仮想ルータ113nとを持ち、それぞれが論理的に独立して動作している。
【0053】
仮想ルータ111nは、インタフェース112nを介してルータ140nに、インタフェース115nを介して論理的に仮想ルータ111aに接続されており、ルータ140nや仮想ルータ111aとの間の通信を可能とするグローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0054】
また仮想ルータ111nは、仮想ルータ111a同様に、ルータ140nとの間でOSPFのようなAS内ルーティングプロトコル(IGP)による情報のやり取り、仮想ルータ111aとの間でBGPのようなAS間ルーティングプロトコルによる情報のやりとりを行い、ルーティング情報をルーティングテーブル130nに記憶する。
【0055】
さらに仮想ルータ111nは、ルーティングテーブル130nをもとに、ルータ140nや仮想ルータ113nから転送されたパケットの宛先から次の転送先がルータ140nの場合には、インタフェース112nにパケットを出力し、次の転送先が仮想ルータ111aの場合には、インタフェース115nに出力する。
【0056】
インタフェース112nは、インタフェース112aと同様の処理を行うものであり、接続先がルータ140bとなる。
【0057】
ここで、インタフェース112nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェースの場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0058】
インタフェース115nは、インタフェース115aと同様にトンネル150を介して仮想ルータ111aとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース、すなわちトンネルインタフェースである。
【0059】
この論理インタフェースにはトンネル150が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル150が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0060】
仮想ルータ111nより入力され仮想ルータ111aへ出力するパケットについては、トンネル対応テーブル132nの情報をもとに、パケットの先頭にトンネル情報を付加して仮想ルータ113nにパケットを出力する。一方、仮想ルータ113nより入力されたパケットはカプセル情報の削除後、仮想ルータ111nに出力する。
【0061】
仮想ルータ113nは、インタフェース114nを介してコアルータ120に接続されており、コアルータ120との間の通信を可能とするIX101内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0062】
仮想ルータ113aは、コアルータ120との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、IX101内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル131nに記憶する。
【0063】
また、仮想ルータ113nでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース115nに出力する。
【0064】
このように、仮想ルータ113nは、インタフェース115nから転送されたパケットの宛先からルーティングテーブル131nを検索し、次の転送先がコアルータ120の場合には、インタフェース114nにパケットを出力する。また、インタフェース114nから転送されたカプセル化パケットはインタフェース115nに出力する。
【0065】
インタフェース114nは、112aと同様の処理を行うものであり、接続先がコアルータ120となる。
【0066】
ここで、インタフェース112nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずIX101内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、IX101内で一意なアドレスが付加される場合と付加されない場合がある。
【0067】
コアルータ120は、IX101内に位置するルータ装置であり、仮想ルータ113aから仮想ルータ113nへのパケット転送と仮想ルータ113nからルータ113aへのパケット転送を行う。
【0068】
またコアルータ120は、インタフェース121aを介して仮想ルータ113aに接続されており、インタフェース121nを介して仮想ルータ113nに接続されている。IX101内の他のルータとの間の通信を可能とするため、IX101内で一意なアドレスがそれぞれのインタフェースに最低1つ付加されている。
【0069】
さらにコアルータ120は、仮想ルータ113aや仮想ルータ113nとの間で、OSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、IX101内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル122に記憶する。
【0070】
この結果、コアルータ120はインタフェース121aから転送されたパケットの宛先からルーティングテーブル122を検索し、次の転送先が仮想ルータ113nの場合には、インタフェース121nにパケットを出力する。同様にインタフェース121nから転送されたパケットの宛先からルーティングテーブル122を検索し、次の転送先が仮想ルータ113aの場合には、インタフェース121aにパケットを出力する。
【0071】
インタフェース121aとインタフェース121nとは、インタフェース112aと同様の処理を行うものであり、接続先がそれぞれ仮想ルータ113a、仮想ルータ113nとなる。
【0072】
ここで、インタフェース121a、インタフェース121nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずIX101内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、IX101内で一意なアドレスが付加される場合と付加されない場合がある。
【0073】
トンネル150は、仮想ルータ111aと仮想ルータ111nとが論理的に直接接続しているようにみせる仮想リンクである。仮想ルータ111aから仮想ルータ111nに転送されるパケットは、グローバルアドレス体系のパケットがインタフェース115aでIX101内のアドレス体系のパケットにカプセル化され、IX101内のネットワークを仮想ルータ113nまで転送され、インタフェース115nでカプセル化パケットが再び元のパケットに非カプセル化され仮想ルータ111nに到達する。仮想ルータ111nから仮想ルータ111aへのパケット転送も同様である。
【0074】
このように仮想ルータ111aと仮想ルータ111n間ではトンネル150を介して、IX内のネットワークを意識することなく、お互いに通信が可能となっている。
【0075】
図2はルーティングテーブル130aを詳細に示したものである。このテーブルはISP102a、ISP102nのネットワークやホストのアドレスや仮想ルータ111nのアドレスなど、グローバルアドレス空間の経路テーブルである。
【0076】
このテーブルでは、最終的な宛先アドレス、又は宛先アドレスを含むネットワークのアドレスと、そこへ到達するために転送する次のルータのアドレス、実際に転送するために使用する出力インタフェースの組が一つのセットとして記憶される。
【0077】
パケットを転送する際にはパケットの宛先アドレスを検索キーとして、ルーティングテーブル130aの宛先アドレス欄を検索する。
【0078】
検索により、合致する欄が見つかった時は、対応する次のルータアドレスと出力インタフェースを求め、出力インタフェースにパケットを渡す。
【0079】
検索により、合致する欄が見つからなかった時には、エラーメッセージを作成し転送元に送り返す。
【0080】
一例として、ルータ140nに付加されている宛先アドレスG140nに対する次の転送先は仮想ルータ111nのインタフェース115nのアドレスG115nで、出力先インタフェースはインタフェース115aと記憶される。
【0081】
図3はルーティングテーブル131aを詳細に示したものである。このテーブルは、IX内部の独自アドレス体系で構成されたネットワークの経路テーブルであり、ルーティングテーブル130a同様に最終的な宛先アドレス、又は宛先アドレスを含むネットワークのアドレスと、そこへ到達するために転送する次のルータのアドレス、実際に転送するために使用する出力インタフェースの組が一つのセットとして記憶される。パケットを転送する際にはパケットの宛先アドレスを検索キーとして、ルーティングテーブル130aの宛先アドレス欄を検索する。
【0082】
検索により合致する欄が見つかった時は、対応する次のルータアドレスと出力インタフェースを求め、出力インタフェースにパケットを渡す。
【0083】
検索により合致する欄が見つからなかった時には、エラーメッセージを作成し転送元に送り返す。
【0084】
一例として、仮想ルータ131nに付加されている宛先アドレスp114nに対する次の転送先はコアルータ120のインタフェース121aのアドレスp121aで、出力先インタフェースはインタフェース114aと記憶される。
【0085】
図4はトンネル対応テーブル132aを詳細に示したものである。このトンネル対応テーブルは、グローバルアドレスのパケットをIX101内部のアドレス体系のパケットにカプセル化する際に参照されるテーブルである。
【0086】
パケットをカプセル化する際には、仮想ルータ111aから転送されたパケットの次の転送先ルータのアドレスをキーとして、トンネル出口アドレス欄を検索する。
【0087】
検索により合致する欄が見つかった時は、対応するカプセル化アドレスを宛先アドレスとしたカプセル情報を作成、パケットに付加して、仮想ルータ131aに転送する。
【0088】
検索により合致する欄が見つからなかった時には、エラーとして仮想ルータ111aに送り返す。
【0089】
一例として、トンネル出口アドレスとなる仮想ルータ111nのインタフェース115nのアドレスG115nに対応するカプセル化アドレスとして仮想ルータ113nのインタフェース114nのアドレスp114nが記憶される。
【0090】
このトンネル出口アドレスとカプセル化アドレスの対応関係の情報はあらかじめ設定する方法とトンネル情報交換用のプロトコルを使用し、エッジルータ110aとエッジルータ110n間でお互いの対応関係情報を交換する方法とが考えられる。
【0091】
図5の501は、ルータ140aからルータ140nへ送信する場合のパケットを示したものである。パケットヘッダの宛先アドレスとしてルータ140nのアドレスG140n、送信元アドレスとしてルータ140aのアドレスG140aが設定されている。アドレスG140a、アドレス140nは共にグローバルアドレスである。
【0092】
図6の601は、インタフェース115aでパケット501に付加されるトンネル情報の一例である。宛先アドレスとして仮想ルータ113nに収容されるいずれかのインタフェースに付加されたアドレスが付加される。送信元アドレスとして仮想ルータ113aに収容されるいずれかのインタフェースに付加されたアドレスが付加される。また、このトンネル情報が付加されたパケットがカプセル化パケットであることを示すプロトコルIDも設定する。
【0093】
この例では宛先アドレスとして仮想ルータ113nのインタフェース114nのアドレスp114n、送信元アドレスとして仮想ルータ113aのインタフェース114aのアドレスp114aが設定されている。
【0094】
図7の701は、パケット501をトンネル情報601でカプセル化したパケットを示している。
【0095】
ここで図8のフローチャートを用いて、本ネットワークシステムを利用したIX101において、ISP102aのルータ140aから転送されたパケット501をISP102nのルータ140nへ転送する際の動作例を説明する。
【0096】
グローバルアドレスのパケット501が、ルータ140aから転送され、仮想ルータ111aに到達すると、仮想ルータ111aではパケット501の宛先アドレスG140nをもとにルーティングテーブル130aを検索し、次の転送先ルータのアドレスと出力インタフェースを求める(S101)。
【0097】
この場合、宛先アドレスG140nの次の転送先アドレスは、G115nで出力インタフェースがトンネル150を形成するインタフェース115aであることがわかり、パケット501をインタフェース115aに出力する(S102)。
【0098】
出力インタフェースがトンネル150を形成するインタフェース115aでない場合には、パケット501はその出力インタフェースから転送される(S103)。
【0099】
インタフェース115aでは、仮想ルータ111aから入力したパケット501の次転送先ルータのアドレスG115nをもとに、図3のトンネル対応テーブル132aのトンネル出口アドレス欄を検索する。
【0100】
この検索の結果、カプセル化アドレスが仮想ルータ113nのインタフェースアドレスp114nであることがわかり、この情報をもとに、トンネル情報601を作成する。このトンネル情報では、宛先アドレスをp114n、送信元アドレスを仮想ルータ113aに収容されるいずれかのインタフェースのアドレス、すなわち、この例の場合にはインタフェース114aのアドレスp114aに設定する。プロトコルIDにカプセル化されたパケットであることを示すIDを設定する。
【0101】
また作成したトンネル情報で、パケット501をカプセル化して、パケット701を作成し、仮想ルータ113aに出力する(S104)。
【0102】
すなわち、以上の処理においてインタフェース115aでは、パケット501からIX101内で通用するアドレス体系のパケット701が生成され、IX内をトンネル情報601に基づいて転送されることになるため、仮想ルータ111aの上流、つまりISP102aなどにはIX内部のネットワーク構成を認識させないことが可能となる。
【0103】
仮想ルータ113aでは、インタフェース115aから入力したパケット701の宛先アドレスp114nをもとに、ルーティングテーブル131aの宛先アドレス欄を検索する。この検索の結果、宛先アドレスp114nに対応する次の転送先ルータのアドレスがp121aで、出力インタフェースが114aであることがわかり、パケット701をインタフェース114aに出力する(S105)。
【0104】
コアルータ120でも同様にルーティングテーブル122を検索し、パケット701の次転送ルータを調べ転送する。
【0105】
このようにして、パケット701は、IX101内部のネットワークの中を転送され、仮想ルータ113nまで到達する(S106)。
【0106】
仮想ルータ113nでは、自身が収容するインタフェースのアドレスが宛先アドレスであるパケット701を受信し、そのプロトコルIDから、これがカプセル化されたパケットであるかどうかを調査する(S107)。
【0107】
カプセル化されたパケットである場合、インタフェース115nへ出力する(S109)。
【0108】
カプセル化されたパケットでない場合は、IX内のネットワークで閉じた通信で仮想ルータ113nの上位層、つまりTCPやUDPなどで処理されるパケットであるため、仮想ルータ113n内の適切な上位層に処理を委ねる(S108)。
【0109】
インタフェース115nでは、パケット701のトンネル情報部分601を取り除き、パケット501の状態に戻し、仮想ルータ111nへ出力する(S110)。
【0110】
仮想ルータ111nではパケット501の宛先アドレスG140nをもとにルーティングテーブル130nを参照し、次の転送先ルータ140n、この場合、最終宛先へパケット501を転送する(S111)。
【0111】
上記のように処理されてパケット501は、ISP102aのルータ140aからISP102nのルータ140nへ転送される。
【0112】
以上のように、本実施形態では、IX101内の仮想ルータ111aに収容されるインタフェースと仮想ルータ111nに収容されるインタフェースにはグローバルアドレスが付加されるが、それ以外のルータのインタフェースにはIX内部独自のアドレスを付加しネットワークが構成されることから、使用するグローバルアドレスを節約することができる。この使用するグローバルアドレスを節約することは、特に、IX内のネットワークの規模が大きくなり、内部のネットワークに位置するルータの数が増加したシステムの場合、非常に有効となる。
【0113】
また、本実施形態では、IX内部をパケットのカプセル化により転送し、IX外部にはパケットを非カプセル化して転送する技術を用いることにより、エッジルータにおいて、IX内部のアドレスをIX外部に伝達させないため、ルーティングプロトコルによる経路フィルタを設定する必要はない。
【0114】
さらに本実施形態では、IX内部のネットワーク構成、使用しているIPアドレスをIX外部のISPに対して隠すことが可能となるので、悪意のある第三者による不正侵入を未然に防止することが可能となる。
【0115】
(第2の実施形態)
図9は本発明のネットワークシステムにおいて、ISPを実現するための一構成例を示す。
【0116】
ネットワーク901は、一つのISPを構成するネットワークであり、インターネット902と接続を行っており、カスタマ903へインターネット接続サービスを提供する。ISP901内にはエッジルータ910a、エッジルータ910b、エッジルータ910n、コアルータ920、アプリケーションサーバ960、監視装置961などが存在する。
【0117】
エッジルータ910aは、ISP901とカスタマ903の境界に位置するルータ装置であり、カスタマ903からコアルータ920へのパケット転送とコアルータ920からカスタマ903へのパケット転送を行う。
【0118】
またエッジルータ910aは、第1の実施形態におけるエッジルータと同様に、内部に仮想ルータ911aと仮想ルータ913aを持ち、それぞれが論理的に独立して動作している。
【0119】
仮想ルータ911aは、インタフェース912aを介してカスタマ903に、インタフェース915aを介して論理的に仮想ルータ911bや仮想ルータ911nに接続されており、カスタマ903や仮想ルータ911b、仮想ルータ911nとの間の通信を可能とするグローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0120】
また仮想ルータ911aは、カスタマ903にISP901が保持しているグローバルアドレスを貸与することによって、通信を可能にしている。どのアドレスをどのインタフェース経由で貸与したのかをルーティングテーブル930aに記憶する。
【0121】
さらに、仮想ルータ911aは、仮想ルータ911nとの間で、例えばI-BGPのようなAS内ルーティングプロトコルによる情報のやりとりにより、仮想ルータ911nが得たインターネット902内のホストやルータにパケットを転送するために必要となる次のルータ、すなわち、この場合には、仮想ルータ911nの情報を求め、その結果をルーティングテーブル930aに記憶する。
【0122】
同様に、仮想ルータ911aは、仮想ルータ911bとの間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやりとりにより、仮想ルータ911bが得たISP901内のホストやルータにパケットを転送するために必要となる次のルータ、すなわち、この場合には、仮想ルータ911nの情報を求め、その結果をルーティングテーブル930aに記憶する。
【0123】
この結果、仮想ルータ911aは、カスタマ903や仮想ルータ911b、仮想ルータ911nなどから転送されたパケットの宛先からルーティングテーブル930aを検索し、次の転送先がカスタマ903の場合には、インタフェース912aにパケットを出力し、次の転送先が仮想ルータ911bや仮想ルータ911nの場合には、インタフェース915aに出力する。
【0124】
インタフェース912aは、仮想ルータ911aから出力されたパケットにデータリンクヘッダの付加、データリンクフレームのカスタマ903への出力及び、カスタマ903から転送されたパケットのデータリンクヘッダの削除と仮想ルータ911aへの転送を行う。データリンクレイヤとしてはEthernet(R)、ATM、POSなどが考えられる。
【0125】
ここで、インタフェース912aでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェースの場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0126】
インタフェース915aは、ISP901内のネットワークを仮想的なトンネル950とみたて、それを介して仮想ルータ911bや仮想ルータ911nとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース、すなわち、トンネルインタフェースである。
【0127】
この論理インタフェースにはトンネル950の出口が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル950の出口が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0128】
仮想ルータ911aより入力された仮想ルータ911nへ出力するパケットについては、次の転送先となる仮想ルータ911nに収容されるインタフェースに付加されたグローバルアドレスからトンネル対応テーブル930aを検索することで、仮想ルータ913nに収容されるインタフェースに付加されたアドレスを求め、求めたアドレスからカプセル情報を作成後、パケットの先頭にトンネル情報を付加したカプセル化パケットを作成し、仮想ルータ913aにパケットを出力する。
【0129】
仮想ルータ911aより入力された仮想ルータ911bへ出力するパケットについても同様に、次の転送先となる仮想ルータ911bに収容されるインタフェースに付加されたグローバルアドレスからトンネル対応テーブル930aを検索することで、仮想ルータ913bに収容されるインタフェースに付加されたアドレスを求め、求めたアドレスからカプセル情報を作成後、パケットの先頭にトンネル情報を付加したカプセル化パケットを作成し、仮想ルータ913aパケットを出力する。
【0130】
一方、仮想ルータ913aより入力されたカプセル化パケットはカプセル情報の削除後、仮想ルータ911aに出力する。
【0131】
仮想ルータ913aは、インタフェース914aを介してコアルータ920に接続されており、コアルータ920との間の通信を可能とするISP901内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0132】
仮想ルータ913aは、コアルータ920との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、ISP901内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル931aに記憶する。
【0133】
また、仮想ルータ913aでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース915aに出力する。
【0134】
このように、仮想ルータ913aは、インタフェース915aから入力されたパケットの宛先からルーティングテーブル931aを検索し、次の転送先がコアルータ920の場合には、インタフェース914aにパケットを出力する。また、インタフェース914aから入力されたカプセル化パケットはインタフェース915aに出力する。
【0135】
インタフェース914aは、912aと同様の処理を行うものであり、接続先がコアルータ920となる。ここで、インタフェース912aでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずISP901内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、ISP901内で一意なアドレスが付加される場合と付加されない場合がある。
【0136】
エッジルータ910bは、ISP901内に存在するアプリケーションサーバ960と接続するルータ装置であり、アプリケーションサーバ960からコアルータ920へのパケット転送とコアルータ920からアプリケーションサーバ960へのパケット転送を行う。
【0137】
また、エッジルータ910bは、エッジルータ910aと同様に内部に仮想ルータ911nと仮想ルータ913nを持ち、それぞれが論理的に独立して動作している。
【0138】
この例では、エッジルータ910bは、ISP901内に存在する監視装置961と接続するルータ装置であり、監視装置961から各監視対象へのパケット転送と各監視対象から監視装置961へのパケット転送を行う。
【0139】
仮想ルータ911bは、インタフェース912bを介してアプリケーションサーバ960に、インタフェース915nを介して論理的に仮想ルータ911aや仮想ルータ911bに接続されており、アプリケーションサーバ960や仮想ルータ911a、仮想ルータ911nとの間の通信を可能とするグローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0140】
また仮想ルータ911bは、仮想ルータ911aや仮想ルータ911nとの間でOSPFのようなAS内ルーティングプロトコルによる情報のやりとりを行い、ルーティング情報をルーティングテーブル930bに記憶する。
【0141】
さらに仮想ルータ911bは、ルーティングテーブル930bをもとに、アプリケーションサーバ960や仮想ルータ913nから転送されたパケットの宛先から次の転送先がアプリケーションサーバ960の場合には、インタフェース912bにパケットを出力し、次の転送先が仮想ルータ911aや仮想ルータ911nの場合には、インタフェース915bに出力する。
【0142】
インタフェース912bは、インタフェース912aと同様の処理を行うものであり、接続先がアプリケーションサーバ960となる。ここで、インタフェース912bでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェースの場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0143】
インタフェース915bは、インタフェース915aと同様にトンネル950を介して仮想ルータ911aや仮想ルータ911nとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース、すなわち、トンネルインタフェースである。この論理インタフェースにはトンネル950の出口が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル950の出口が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0144】
仮想ルータ911bより入力された仮想ルータ911aや仮想ルータ911nへ出力するパケットについては、トンネル対応テーブル932bの情報をもとに、パケットの先頭にトンネル情報を付加して仮想ルータ913bにパケットを出力する。
【0145】
一方、仮想ルータ913bより入力されたパケットはカプセル情報の削除後、仮想ルータ911bに出力する。
【0146】
仮想ルータ913bは、インタフェース914bを介してコアルータ920に接続されており、インタフェース916bを介して監視装置961に接続されている。コアルータ920や監視装置961との間の通信を可能とするISP901内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0147】
また仮想ルータ913bは、コアルータ920との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、ISP901内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル931bに記憶する。
【0148】
さらに、仮想ルータ913bでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース915bに出力する。
【0149】
このように、仮想ルータ913bは、インタフェース915bから入力されたパケットの宛先からルーティングテーブル931bを検索し、次の転送先がコアルータ920の場合には、インタフェース914bにパケットを出力し、次の転送先が監視装置961の場合には、インタフェース916bにパケットを出力する。また、インタフェース914bから入力されたカプセル化パケットはインタフェース915bに出力する。
【0150】
インタフェース914b、インタフェース916bは、インタフェース912aと同様の処理を行うものであり、接続先がコアルータ920や監視装置961となる。
【0151】
ここで、インタフェース914b、インタフェース916bでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずISP901内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、ISP901内で一意なアドレスが付加される場合と付加されない場合がある。
【0152】
また、エッジルータ910bは、NAT(Network Address Translation)機構935を有する。これは一例として、監視装置961がアプリケーションサーバ960に接続しようとする場合、アプリケーションサーバ960にはグローバルアドレスが付加され、監視装置961にはISP内独自アドレスが付加されていて、お互いが異なるアドレス体系であるため普通に通信ができないといった問題を解決する機構である。
【0153】
NAT機構935は、アプリケーションサーバ960から監視装置961との通信は仮想ルータ911bのある特定の通信ポート宛ての通信に見せるようにアドレス変換する機能、監視装置961からアプリケーションサーバ960との通信は仮想ルータ913bのある特定の通信ポート宛ての通信に見せるようにアドレス変換する機能、仮想ルータ911bと仮想ルータ913bでのアドレス変換を対応させる機能の3つの機能からなる。これら機能により、ISP901内でアドレス体系の異なる監視装置961とアプリケーションサーバ960が通信を可能にしている。
【0154】
エッジルータ910nは、ISP901とインターネット902の境界に位置するルータ装置であり、インターネット902側の境界ルータ装置と940と接続し、ルータ940からコアルータ920へのパケット転送とコアルータ920からへのルータ940へのパケット転送を行う。
【0155】
またエッジルータ910nは、エッジルータ910a同様に内部に仮想ルータ911nと仮想ルータ913nを持ち、それぞれが論理的に独立して動作している。
【0156】
仮想ルータ911nは、インタフェース912nを介してルータ940に、インタフェース915nを介して論理的に仮想ルータ911aや仮想ルータ911bに接続されており、ルータ940や仮想ルータ911aとの間の通信を可能とするグローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0157】
また仮想ルータ911nはルータ940との間でBGPのようなAS間ルーティングプロトコルによる情報のやり取り、仮想ルータ911aや仮想ルータ911bとの間でOSPFのようなAS内ルーティングプロトコルによる情報のやりとりを行い、ルーティング情報をルーティングテーブル930nに記憶する。
【0158】
さらに仮想ルータ911nは、ルーティングテーブル930nをもとに、ルータ940や仮想ルータ913nから転送されたパケットの宛先から次の転送先がルータ940の場合には、インタフェース912nにパケットを出力し、次の転送先が仮想ルータ911aや仮想ルータ911bの場合には、インタフェース915nに出力する。
【0159】
インタフェース912nは、インタフェース912aと同様の処理を行うものであり、接続先がルータ940となる。ここで、インタフェース912nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェースの場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0160】
インタフェース915nは、インタフェース915aと同様にトンネル950を介して仮想ルータ911aとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース、すなわち、トンネルインタフェースである。
【0161】
この論理インタフェースには、トンネル950の出口が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル950の出口が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がる。
【0162】
仮想ルータ911nより入力された仮想ルータ911aや仮想ルータ911bへ出力するパケットについては、トンネル対応テーブル932nの情報をもとに、パケットの先頭にトンネル情報を付加して仮想ルータ913nにパケットを出力する。
【0163】
一方、仮想ルータ913nより入力されたパケットは、カプセル情報の削除後、仮想ルータ911nに出力する。
【0164】
仮想ルータ913nは、インタフェース914nを介してコアルータ920に接続されており、コアルータ920との間の通信を可能とするISP901内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0165】
仮想ルータ913aは、コアルータ920との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、ISP901内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル931nに記憶する。
【0166】
また、仮想ルータ913nでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース915nに出力する。
【0167】
このように、仮想ルータ913nは、インタフェース915nから転送されたパケットの宛先からルーティングテーブル931nを検索し、次の転送先がコアルータ920の場合には、インタフェース914nにパケットを出力する。また、インタフェース914nから転送されたカプセル化パケットはインタフェース915nに出力する。
【0168】
インタフェース914nは、インタフェース912aと同様の処理を行うものであり、接続先がコアルータ920となる。ここで、インタフェース914nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずISP901内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、ISP901内で一意なアドレスが付加される場合と付加されない場合がある。
【0169】
コアルータ920は、ISP901内に位置するルータ装置であり、仮想ルータ913aから仮想ルータ913bや仮想ルータ913nへのパケット転送と仮想ルータ913bから仮想ルータ913aや仮想ルータ913nへのパケット転送と仮想ルータ913nから仮想ルータ913aや仮想ルータ913bへのパケット転送を行う。
【0170】
コアルータ920は、インタフェース921aを介して仮想ルータ913aに接続されており、インタフェース921bを介して仮想ルータ913bに接続されており、インタフェース921nを介して仮想ルータ913nに接続されている。ISP901内の他のルータとの間の通信を可能とするため、ISP901内で一意なアドレスがそれぞれのインタフェースに最低1つ付加されている。
【0171】
コアルータ920は、仮想ルータ913aや仮想ルータ913b、仮想ルータ913nとの間で、OSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、ISP901内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル922に記憶する。
【0172】
この結果、コアルータ920はインタフェース921aから転送されたパケットの宛先からルーティングテーブル922を検索し、次の転送先が仮想ルータ913nの場合には、インタフェース921nにパケットを出力する。
【0173】
同様にインタフェース921bやインタフェース921nから転送されたパケットの宛先からルーティングテーブル922を検索し、次の転送先に従ったインタフェースへパケットを出力する。
【0174】
インタフェース921a、インタフェース921b、インタフェース921nは、インタフェース912aと同様の処理を行うものであり、接続先がそれぞれ仮想ルータ913a、仮想ルータ913b、仮想ルータ913nとなる。ここで、インタフェース921a、インタフェース921b、インタフェース121nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずISP901内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、ISP901内で一意なアドレスが付加される場合と付加されない場合がある。
【0175】
トンネル950は、仮想ルータ911aと仮想ルータ911nとが論理的に直接接続しているようにみせる仮想リンクである。
【0176】
仮想ルータ911aから仮想ルータ911nに転送されるパケットは、グローバルアドレス体系のパケットがインタフェース915aでISP901内のアドレス体系のパケットにカプセル化され、ISP901内のネットワークを仮想ルータ913nまで転送され、インタフェース915nでカプセル化パケットが再び元のパケットに非カプセル化され仮想ルータ911nに到達する。
【0177】
仮想ルータ911nから仮想ルータ911aへのパケット転送も同様である。
【0178】
このように仮想ルータ911aと仮想ルータ911n間ではトンネル950を介して、ISP901内のネットワークを意識することなく、お互いに通信が可能となっている。
【0179】
仮想ルータ911aと仮想ルータ911bとの間、仮想ルータ911nと仮想ルータ911bとの間についても、同様にトンネル950により、お互いが直接接続されたようにみえる。
【0180】
アプリケーションサーバ960は、ISP901内に設置され、カスタマ903に提供するメールサーバやWebサーバとして使用される。そのためISP901外部から接続できるように、グローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0181】
監視装置961は、ISP901内の機器の状態を監視するための機器であり、収容されるインタフェースのいずれかにISP901内で一意なアドレスが最低1つ付加されている。
【0182】
図10はルーティングテーブル930aを詳細に示したものである。このテーブルは、第1の実施形態で説明した図2のルーティングテーブルと同様に、グローバルアドレス空間の経路テーブルであり、最終的な宛先アドレス、又は宛先アドレスを含むネットワークのアドレスと、そこへ到達するために転送する次のルータのアドレス、実際に転送するために使用する出力インタフェースの組が一つのセットとして記憶される。パケットを転送する際にはパケットの宛先アドレスを検索キーとして、ルーティングテーブル930aの宛先アドレス欄を検索する。
【0183】
検索により合致する欄が見つかった時は、対応する次のルータアドレスと出力インタフェースを求め、出力インタフェースにパケットを渡す。
【0184】
検索により合致する欄が見つからなかった時には、エラーメッセージを作成し転送元に送り返す。
【0185】
一例として、ルータ940nに付加されている宛先アドレスG940に対する次の転送先は仮想ルータ911nのインタフェース915nのアドレスG915nで、出力先インタフェースはインタフェース915aと記憶される。
【0186】
図11は、ルーティングテーブル931aを詳細に示したものである。このテーブルは第1の実施形態で説明した図3のルーティングテーブルと同様に、ISP内部の独自アドレス体系で構成されたネットワークの経路テーブルであり、ルーティングテーブル930a同様に最終的な宛先アドレス、又は宛先アドレスを含むネットワークのアドレスと、そこへ到達するために転送する次のルータのアドレス、実際に転送するために使用する出力インタフェースの組が一つのセットとして記憶される。パケットを転送する際にはパケットの宛先アドレスを検索キーとして、ルーティングテーブル930aの宛先アドレス欄を検索する。
【0187】
検索により合致する欄が見つかった時は、対応する次のルータアドレスと出力インタフェースを求め、出力インタフェースにパケットを渡す。
【0188】
検索により合致する欄が見つからなかった時には、エラーメッセージを作成し転送元に送り返す。
【0189】
一例として、仮想ルータ931nに付加されている宛先アドレスp914nに対する次の転送先はコアルータ920のインタフェース921aのアドレスp921aで、出力先インタフェースはインタフェース914aと記憶される。
【0190】
図12はトンネル対応テーブル932aを詳細に示したものである。トンネル対応テーブルは第1の実施形態で説明した図4のトンネル対応テーブルと同様にグローバルアドレスのパケットをISP901内部のアドレス体系のパケットにカプセル化する際に参照されるテーブルである。
【0191】
パケットをカプセル化する際には、仮想ルータ911aから入力されたパケットの次の転送先ルータのアドレスをキーとして、トンネル出口アドレス欄を検索する。
【0192】
検索により合致する欄が見つかった時は、対応するカプセル化アドレスを宛先アドレスとしたカプセル情報を作成、パケットに付加して、仮想ルータ931aに出力する。
【0193】
検索により合致する欄が見つからなかった時には、エラーとして仮想ルータ911aに送り返す。
【0194】
一例として、トンネル出口アドレスとなる仮想ルータ911nのインタフェース915nのアドレスG915nに対応するカプセル化アドレスとして仮想ルータ913nのインタフェース914nのアドレスp914nが記憶される。
【0195】
このトンネル出口アドレスとカプセル化アドレスの対応関係の情報はあらかじめ設定する方法とトンネル情報交換用のプロトコルを使用し、エッジルータ間でお互いの対応関係情報を交換する方法とが考えられる。
【0196】
図13の1301は、カスタマ903からアプリケーションサーバ960へ送信する場合のパケットを示したものである。パケットヘッダの宛先アドレスとしてアプリケーションサーバ960のアドレスG960、送信元アドレスとしてカスタマ903のアドレスG903が設定されている。アドレスG960、アドレスG903は共にグローバルアドレスである。
【0197】
図14の1401は、インタフェース915aでパケット1301に付加されるトンネル情報の一例である。宛先アドレスとして仮想ルータ913bに収容されるいずれかのインタフェースに付加されたアドレスが付加される。送信元アドレスとして仮想ルータ913aに収容されるいずれかのインタフェースに付加されたアドレスが付加される。また、このトンネル情報が付加されたパケットがカプセル化パケットであることを示すプロトコルIDも設定する。
【0198】
この例では宛先アドレスとして仮想ルータ913bのインタフェース914bのアドレスp914b、送信元アドレスとして仮想ルータ913aのインタフェース914aのアドレスp914aが設定されている。
【0199】
図15の1501は、パケット1301をトンネル情報1401でカプセル化したパケットを示している。
【0200】
ここで図16のフローチャートを用いて、本ネットワークシステムを利用したISP901において、カスタマ903がアプリケーションサーバ960に接続する際の動作例を説明する。
【0201】
グローバルアドレスのパケット1301がカスタマ903から転送され、仮想ルータ911aに到達すると、仮想ルータ911aではパケット1301の宛先アドレスG960をもとにルーティングテーブル930aを検索し、次の転送先ルータのアドレスと出力インタフェースを求める(S201)。
【0202】
この場合、宛先アドレスG960の次の転送先アドレスはG915bで出力インタフェースがトンネル950を形成するインタフェース915aであることがわかり、パケット1301をインタフェース915aに出力する(S202)。
【0203】
出力インタフェースがトンネル950を形成するインタフェース915aでない場合には、パケット1301はその出力インタフェースから転送される(S203)。
【0204】
インタフェース915aでは、仮想ルータ911aから入力したパケット1301の次転送先ルータのアドレスG915bをもとにトンネル対応テーブル932aのトンネル出口アドレス欄を検索する。検索の結果、カプセル化アドレスが仮想ルータ913bのインタフェースアドレスp914bであることがわかり、この情報をもとにトンネル情報1401を作成する。トンネル情報では、宛先アドレスをp914b、送信元アドレスを仮想ルータ913aに収容されるいずれかのインタフェースのアドレス、すなわち、この例の場合は、インタフェース914aのアドレスp914aに設定する。またプロトコルIDにカプセル化されたパケットであることを示すIDを設定する。作成したトンネル情報でパケット1301をカプセル化して、パケット1501を作成し、仮想ルータ913aに出力する(S204)。
【0205】
すなわち、インタフェース915aにおいて、パケット1301からISP901内で通用するアドレス体系のパケット1501が生成され、ISP内をトンネル情報1401に基づいて転送されることになるため、仮想ルータ911aの上流、つまりカスタマ903などには、ISP内部のネットワーク構成を認識させないことが可能となる。
【0206】
仮想ルータ913aでは、インタフェース915aから入力したパケット1501の宛先アドレスp914bをもとに、ルーティングテーブル931aの宛先アドレス欄を検索する。この検索の結果、宛先アドレスp914bに対応する次の転送先ルータのアドレスがp921aで、出力インタフェースが914aであることがわかり、パケット1501をインタフェース914aに出力する(S205)。
【0207】
コアルータ920でも、同様にルーティングテーブル922を検索し、パケット1501の次転送ルータを調べ転送する。
【0208】
このようにして、パケット1501はISP901内部のネットワークの中を転送され、仮想ルータ913bまで到達する(S206)。
【0209】
仮想ルータ913bでは、自身が収容するインタフェースのアドレスが宛先アドレスであるパケット1501を受信し、そのプロトコルIDから、これがカプセル化されたパケットであるかどうかを調査する(S207)。
【0210】
カプセル化されたパケットである場合、インタフェース915bへ出力する(S209)。
【0211】
カプセル化されたパケットでない場合は、ISP内のネットワークで閉じた通信で仮想ルータ913bの上位層、つまりTCPやUDPなどで処理されるパケットであるため、仮想ルータ913b内の適切な上位層に処理を委ねる(S208)。
【0212】
インタフェース915bでは、パケット1501のトンネル情報部分1401を取り除き、パケット1301の状態に戻し、仮想ルータ911bへ出力する(S210)。
【0213】
仮想ルータ911bではパケット1301の宛先アドレスG960をもとにルーティングテーブル930bを参照し、次の転送先アプリケーションサーバ960、すなわち、この場合には、最終宛先へパケット1301を転送する(S211)。
【0214】
こうしてパケット1301はカスタマ903からアプリケーションサーバ960へ転送される。
【0215】
逆にアプリケーションサーバ960からカスタマ903へのパケットの流れについては、前述の動作とは逆で、インタフェース915bでのカプセル化、インタフェース915aでの非カプセル化が行われ、転送される。
【0216】
以上のように、本実施形態では、ISP901内の仮想ルータ911a、仮想ルータ911b、仮想ルータ911nに収容されるインタフェースとアプリケーションサーバ960に収容されるインタフェースにはグローバルアドレスが付加されるが、それ以外のルータのインタフェースにはISP内部独自のアドレスを付加しネットワークが構成されることから、ISPが使用するグローバルアドレスを節約することができ、カスタマに割り当てるグローバルアドレスを増やすことができる。このようなグローバルアドレスの節約は、特に、ISP内のネットワークの規模が大きくなり、内部のネットワークに位置するルータの数が増加したシステムにおいては、非常に有効となる。
【0217】
また、本実施形態においては、ISP内部をパケットのカプセル化により転送し、ISP外部にはパケットを非カプセル化して転送する技術を用いることにより、エッジルータにおいて、ISP内部のアドレスをISP外部に伝達させないため、ルーティングプロトコルによる経路フィルタを設定する必要はない。
【0218】
さらに本実施形態においては、メールサーバやWebサーバなどサービス提供するためにISP外部からの接続を許す機器以外のISP内部のネットワーク構成、使用しているIPアドレスをISP外部のネットワークやカスタマに隠すことを可能とし、悪意ある第三者からの攻撃の可能性を低く抑えることができる。
【0219】
(第3の実施形態)
第3の実施形態として、本発明のネットワークシステムにおいて、第1の実施形態で説明したIXや第2の実施形態で説明したISPのエッジルータで、内部に3つの独立して動作する仮想ルータを持つ場合の構成例について説明する。
【0220】
図17はISPの接続を実現するための一構成例を示す。
【0221】
ネットワーク 1702aは、一つのISPを構成するネットワークであり、エッジルータ1710a、エッジルータ1710bやコアルータ1720bなどの装置が存在しており、ネットワーク1702aが一つのASを構成している。
【0222】
ネットワーク 1702nは、一つのISPを構成するネットワークであり、エッジルータ1710nやコアルータなどの装置が存在しており、ネットワーク1702nが一つのASを構成している。
【0223】
ネットワーク1701は、ISP1702aとISP1702n接続するIXとして提供されるネットワークであり、コアルータ1720a、仮想ルータ1716a、仮想ルータ1713nが存在する。
【0224】
エッジルータ1710bは、第1の実施形態や第2の実施形態で説明したエッジルータと同じ構成をとり、同じ動作を行う。
【0225】
仮想ルータ1711bが収容するインタフェースのいずれかに最低1つのグローバルアドレスが付加され、仮想ルータ1713bが収容するインタフェースのいずれかに最低1つのISP1702a内で一意なアドレスが付加される。仮想ルータはそれぞれのアドレス体系のルーティングテーブルを有し、宛先アドレスをもとに次の転送先ルータのアドレス、出力インタフェースを求め、パケット転送を行う。
【0226】
インタフェース1715bは、仮想ルータ1711bと仮想ルータ1713bとの間に存在し、仮想ルータ1711bから入力したパケットの宛先アドレスをキーにトンネル対応テーブルを参照し、トンネル情報を作成、付加することでパケットのカプセル化を行い、仮想ルータ1713bに出力する。また、仮想ルータ1713bから入力したカプセル化パケットを非カプセル化し、仮想ルータ1711bに出力する。
【0227】
以上のようにして、ISP1702a内部を外部と異なるISP1702a独自のアドレス体系でパケット転送を行う。
【0228】
第3の実施形態では、エッジルータ1710aにおいて内部に仮想ルータ1711a、仮想ルータ1713a、仮想ルータ1716aを持ち、それぞれが論理的に独立して動作している。
【0229】
仮想ルータ1711aが収容するインタフェースのいずれかに最低1つのグローバルアドレスが付加され、仮想ルータ1713aが収容するインタフェースのいずれかに最低1つのISP1702a内で一意なアドレスが付加される。
【0230】
同様に、仮想ルータ1716aでは、収容されるインタフェースのいずれかに最低1つIX1701で一意なアドレスが付加される。仮想ルータはそれぞれのアドレス体系のルーティングテーブルを有し、宛先アドレスをもとに次の転送先ルータのアドレス、出力インタフェースを求め、パケット転送を行う。
【0231】
インタフェース1715aは、仮想ルータ1711aと仮想ルータ1713aとの間に存在し、仮想ルータ1711aから入力したパケットの宛先アドレスをキーにトンネル対応テーブルを参照し、トンネル情報を作成、付加することでパケットのカプセル化を行い、仮想ルータ1713aに出力する。また、仮想ルータ1713aから入力したカプセル化パケットを非カプセル化し、仮想ルータ1711aに出力する。
【0232】
このようにして、ISP1702a内部をグローバルアドレスとは異なるISP1702a独自のアドレス体系でのパケット転送している。
【0233】
同様に、インタフェース1717aは仮想ルータ1711aと仮想ルータ1716aとの間に存在し、仮想ルータ1711aから入力したパケットの宛先アドレスをキーにトンネル対応テーブルを参照し、トンネル情報を作成、付加することでパケットのカプセル化を行い、仮想ルータ1716aに出力する。また、仮想ルータ1716aから入力したカプセル化パケットを非カプセル化し、仮想ルータ1711aに出力する。このようにして、IX1701内部をグローバルアドレスとは異なるIX1701独自のアドレス体系でのパケット転送している。
【0234】
エッジルータ1710nは、第1の実施形態や第2の実施形態で説明したエッジルータと同じ構成をとり、同じ動作をする。
【0235】
仮想ルータ1711nが収容するインタフェースのいずれかに最低1つのグローバルアドレスが付加され、仮想ルータ1713nが収容するインタフェースのいずれかに最低1つのIX1701内で一意なアドレスが付加される。仮想ルータはそれぞれのアドレス体系のルーティングテーブルを有し、宛先アドレスをもとに次の転送先ルータのアドレス、出力インタフェースを求め、パケット転送を行う。
【0236】
インタフェース1715nは、仮想ルータ1711nと仮想ルータ1713nとの間に存在し、仮想ルータ1711nから入力したパケットの宛先アドレスをキーにトンネル対応テーブルを参照し、トンネル情報を作成、付加することでパケットのカプセル化を行い、仮想ルータ1713nに出力する。また、仮想ルータ1713nから入力したカプセル化パケットを非カプセル化し、仮想ルータ1711nに出力する。
【0237】
以上のようにして、IX1701内部を外部と異なるIX1701独自のアドレス体系でパケット転送を行う。
【0238】
図18の1801はホスト1703aからホスト1703nへ送信する場合のパケットを示したものである。パケットヘッダの宛先アドレスとしてホスト1703nのアドレスG1703n、送信元アドレスとしてホスト1703aのアドレスG1703aが設定されている。アドレスG1703a、アドレスG1703nは共にグローバルアドレスである。
【0239】
図19の1901は、インタフェース1715bにおいて、パケット1801をISP1702a内のネットワークに転送するため、トンネル情報を付加しカプセル化したパケットである。
【0240】
図20の2001は、インタフェース1717aでパケット1801に付加されるトンネル情報の一例である。宛先アドレスとして仮想ルータ1713nに収容されるいずれかのインタフェースに付加されたアドレスが付加される。送信元アドレスとして仮想ルータ1716aに収容されるいずれかのインタフェースに付加されたアドレスが付加される。また、このトンネル情報が付加されたパケットがカプセル化パケットであることを示すプロトコルIDも設定する。
【0241】
この例では宛先アドレスとして仮想ルータ1713nのインタフェースに付加されたアドレスp1713n、送信元アドレスとして仮想ルータ1716aのインタフェースに付加されたアドレスp1714aが設定されている。
【0242】
図21の2101は、パケット1801をトンネル情報2001でカプセル化したパケットを示している。
【0243】
ここで図22のフローチャートを用いて、この実施形態におけるホスト1703aからホスト1703nへのパケット転送について、エッジルータ1710aの動作例を説明する。
【0244】
本実施形態においては、第1の実施形態や第2の実施形態と同様に、ホスト1703aから転送されたパケット1801はISP1702aのエッジルータ1710bのインタフェース1715bにおいて、ISP1702aの内部のアドレス体系にカプセル化されたパケット1901として、エッジルータ1710aの仮想ルータ1713aまで転送される。
【0245】
仮想ルータ1713aでは、受信したパケット1901のプロトコルIDから、これがカプセル化されたパケットであるかどうかを調査する。(S301)。
【0246】
カプセル化されたパケットである場合、インタフェース915bへ出力する。
【0247】
カプセル化されたパケットでない場合は、ISP1702a内のネットワークで閉じた通信で仮想ルータ1713aの上位層、つまりTCPやUDPなどで処理されるパケットであるため、仮想ルータ1713a内の適切な上位層に処理を委ねる(S302)。
【0248】
インタフェース1715aでは、パケット1901のトンネル情報部分を取り除き、パケット1801の状態に戻し、仮想ルータ1711aへ出力する(S303)。
【0249】
仮想ルータ1711aでは、受信したパケット1801の宛先アドレスから、自分宛てのパケットであるかどうかを調査する。(S304)。
【0250】
自分宛てのパケットである場合は、グローバルアドレス空間での通信で、仮想ルータ1711aの上位層、つまりTCPやUDPなどで処理されるパケットであるため、仮想ルータ1713a内の適切な上位層に処理を委ねる(S305)。
【0251】
自分宛てのパケットでない場合は、仮想ルータ1711aはパケット1801の宛先アドレスをキーに自身が有するルーティングテーブルを検索し、次の転送先ルータのアドレスと出力インタフェースを調査する(S306)。
【0252】
この場合、次の転送先ルータのアドレスは仮想ルータ1711nのアドレスG1711nで出力インタフェースは1717aとなり(S307)、仮想ルータ1711aはインタフェース1717aにパケット1801を出力する。
【0253】
出力インタフェースが異なる場合は、そのインタフェースからパケット1801を転送する(S308)。
【0254】
インタフェース1717aでは仮想ルータ1711aから入力したパケット1801の次転送先ルータのアドレスG1711nをもとに自身が有するトンネル対応テーブルを検索する。検索の結果、カプセル化アドレスは仮想ルータ1713nのインタフェースに付加されたアドレスp1713nであることがわかり、この情報をもとにトンネル情報2001を作成する。トンネル情報では、宛先アドレスをp1713b、送信元アドレスを仮想ルータ1716aに収容されるいずれかのインタフェースのアドレスに設定する。またプロトコルIDにカプセル化されたパケットであることを示すIDを設定する。作成したトンネル情報でパケット1801をカプセル化して、パケット2101を作成し、仮想ルータ1716aに出力する(S309)。
【0255】
つまり、インタフェース1717aにおいて、パケット1801からIX1701内で通用するアドレス体系のパケット2101が生成され、IX内をトンネル情報2001に基づいて転送されることになるため、仮想ルータ1711aの上流、つまりカスタマ1703やISP1702a内のルータなどにはIX1701内部のネットワーク構成を認識させないことが可能となる。
【0256】
仮想ルータ1716aはパケット2101の宛先アドレスをキーに自身が有するルーティングテーブルを検索し、次の転送先ルータのアドレスと出力インタフェースを調査する。この場合、次の転送先ルータはコアルータ1720aであり、パケット2101は転送される(S310)。
【0257】
以上のように、本実施形態ではISPの接続部のエッジルータに仮想ルータを3つ導入することにより、IXにおけるネットワークでのグローバルアドレスの使用をなくすことが可能となり、第1の実施形態、第2の実施形態より更にグローバルアドレスの使用を節約することができる。
【0258】
(第4の実施形態)
第4の実施形態は、本発明のネットワークシステムにおいて、第1の実施形態で説明したIXの内部ネットワークにおいてMulti Protocol Label Switching(MPLS)網を使用した場合である。
【0259】
第1の実施形態において、図1のトンネル150はIX101外部から送信されたグローバルアドレス体系のパケットをIX101内のアドレス体系のヘッダを付加したパケットにカプセル化することで実現していたが、この実施形態ではIX101内部のネットワークをMPLS網で構築し、LSP(Label Switched Path)を設定することでトンネル150を実現する。
【0260】
インタフェース115aにおいて、仮想ルータ111aより出力された仮想ルータ111nへ転送するパケットについては、次の転送先となる仮想ルータ111nに対応するラベル情報を作成し、パケットの先頭にラベル情報を付加したカプセル化パケットを作成し、仮想ルータ113aにパケットを出力する。一方、仮想ルータ113aより転送されたカプセル化パケットはラベル情報の削除後、仮想ルータ111aに出力する。
【0261】
また、仮想ルータ113aにおいて、IX101内部のネットワークに特化した仮想ルータ113nまで転送するためのラベルで、パケットを二重にカプセル化し転送する方法もある。また、この場合、出口となる仮想ルータ113nの前のコアルータ120において、二重にカプセル化したラベルのうち、IX101内部のネットワークに特化したラベルを取り除いて、仮想ルータ113nに転送する方法と、仮想ルータ113nにおいて、二重にカプセル化したラベルのうち、IX101内部のネットワークに特化したラベルを取り除く方法とがある。
【0262】
IX101外部から送信されたグローバルアドレス体系のパケットにMPLSのラベルを付加し、IX101内部のネットワークをラベル転送することで、第1の実施形態と同様の効果を実現する。
【0263】
(第5の実施形態)
第5の実施形態は、本発明のネットワークシステムにおいて、第2の実施形態で説明したISPの内部ネットワークにおいてMPLS網を使用した場合である。
【0264】
第2の実施形態において、図9のトンネル950はISP901外部から送信されたグローバルアドレス体系のパケットにISを901内のアドレス体系のヘッダを付加したパケットにカプセル化することで実現していたが、この実施形態ではISP901内部のネットワークをMPLS網で構築し、LSPを設定することでトンネル950を実現する。
【0265】
インタフェース915aにおいて、仮想ルータ911aより出力された仮想ルータ911nへ転送するパケットについては、次の転送先となる仮想ルータ911nに対応するラベル情報を作成し、パケットの先頭にラベル情報を付加したカプセル化パケットを作成し、仮想ルータ913aにパケットを出力する。一方、仮想ルータ913aより転送されたカプセル化パケットはラベル情報の削除後、仮想ルータ911aに出力する。
【0266】
また、仮想ルータ913aにおいて、ISP901内部のネットワークに特化した仮想ルータ913nまで転送するためのラベルで、パケットを二重にカプセル化し転送する方法もある。また、この場合、出口となる仮想ルータ913nの前のコアルータ920において、二重にカプセル化したラベルのうち、ISP901内部のネットワークに特化したラベルを取り除いて、仮想ルータ913nに転送する方法と、仮想ルータ913nにおいて、二重にカプセル化したラベルのうち、ISP901内部のネットワークに特化したラベルを取り除く方法とがある。
【0267】
ISP901外部から送信されたグローバルアドレス体系のパケットにMPLSのラベルを付加し、ISP901内部のネットワークをラベル転送することで、第2の実施形態と同様の効果を実現する。
【0268】
(第6の実施形態)
第6の実施形態は、本発明のネットワークシステムにおいて、第3の実施形態で説明したISP接続部においてMPLS網を使用した場合である。
【0269】
第3の実施形態において、ISP接続部1701はISP1702aやISP1702nから送信されたグローバルアドレス体系のパケットをISP接続部のアドレス体系のヘッダを付加したパケットにカプセル化することでトンネルを実現していたが、この実施形態ではISP接続部1701内部のネットワークをMPLS網で構築し、LSPを設定することでトンネルを実現する。
【0270】
インタフェース1717aにおいて、仮想ルータ1711aより出力された仮想ルータ1711nへ転送するパケットについては、次の転送先となる仮想ルータ1711nに対応するラベル情報を作成し、パケットの先頭にラベル情報を付加したカプセル化パケットを作成し、仮想ルータ1716aにパケットを出力する。一方、仮想ルータ1716aより転送されたカプセル化パケットはラベル情報の削除後、仮想ルータ1711aに出力する。
【0271】
また、仮想ルータ1716aにおいて、IX接続部1701内部のネットワークに特化した仮想ルータ1713nまで転送するためのラベルで、パケットを二重にカプセル化し転送する方法もある。また、この場合、出口となる仮想ルータ1713nの前のコアルータ1720aにおいて、二重にカプセル化したラベルのうち、ISP接続部1701内部のネットワークに特化したラベルを取り除いて、仮想ルータ1713nに転送する方法と、仮想ルータ1713nにおいて、二重にカプセル化したラベルのうち、ISP接続部1701内部のネットワークに特化したラベルを取り除く方法とがある。
【0272】
ISP接続部1701の外部から送信されたグローバルアドレス体系のパケットにMPLSのラベルを付加し、ISP接続部1701の内部のネットワークをラベル転送することで、第3の実施形態と同様の効果を実現する。
【0273】
さらに、本発明に係るルータ装置の構成としては一又は複数のコンピュータ又はこれらコンピュータの一部の機能により構成することができる。
【0274】
また図8、図16及び図22のフローが実施される方法又はプログラムを、コンピュータ等により実行するソフトウエアとして構成とすることもできる。
【0275】
【発明の効果】
以上述べたように本発明によれば、ISPやIXが組織内に外部とは独立したIPアドレス空間のネットワークを導入することにより、境界ルータ装置での煩雑なルーティングプロトコルのフィルタを設定することなく、組織内で使用するグローバルアドレスの数を減らし、カスタマに提供するグローバルアドレスをできる限り確保すると共に、組織内のネットワーク構成や使用しているIPアドレスを外部に通知させないようにしセキュリティの向上を図り得るネットワークシステム及びノード装置を提供できるものである。
【図面の簡単な説明】
【図1】本発明の第1実施形態のネットワークシステムにおけるIXを実現するための一構成例を示す図。
【図2】同実施形態におけるルーティングテーブルを詳細に示す図。
【図3】同実施形態におけるルーティングテーブルを詳細に示す図。
【図4】同実施形態におけるトンネル対応テーブルを詳細に示す図。
【図5】同実施形態におけるパケット例を示す図。
【図6】同実施形態におけるトンネル情報の一例を示す図。
【図7】同実施形態におけるカプセル化したパケットを示す図。
【図8】同実施形態のパケットのルータ140への転送動作例を示すフローチャート。
【図9】本発明の第2実施形態のネットワークシステムにおけるISPを実現するための一構成例を示す図。
【図10】同実施形態におけるルーティングテーブルを詳細に示す図。
【図11】同実施形態におけるルーティングテーブルを詳細に示す図。
【図12】同実施形態におけるトンネル対応テーブルを詳細に示す図。
【図13】同実施形態におけるパケットを示す図。
【図14】同実施形態におけるトンネル情報の一例を示す図。
【図15】同実施形態におけるカプセル化したパケットを示す図。
【図16】同実施形態のネットワークシステムにおける動作例を示すフローチャート。
【図17】本発明の第3実施形態のネットワークシステムにおけるISPの接続を実現するための一構成例を示す図。
【図18】同実施形態におけるパケットを示す図。
【図19】同実施形態におけるカプセル化したパケットを示す図。
【図20】同実施形態におけるトンネル情報の一例を示す図。
【図21】同実施形態におけるカプセル化したパケットを示す図。
【図22】同実施形態におけるエッジルータの動作例を示すフローチャート。
【符号の説明】
101…ネットワーク(IX)、102a,102n…ネットワーク(ISP)、140a,140n…ルータ、110a,110n…エッジルータ、111a,111n…仮想ルータ、112a,112n…インタフェース、113a,113n…仮想ルータ、114a,114n…インタフェース、115a,115n…インタフェース、120…コアルータ、121a,121n…インタフェース、122…ルーティングテーブル、130a,130n…ルーティングテーブル、131a,131n…ルーティングテーブル、132a,132n…トンネル対応テーブル、150…トンネル、501…パケット、601…トンネル情報、701…カプセル化したパケット。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network system in a network using IP (Internet Protocol). as well as Node equipment In place Related.
[0002]
[Prior art]
The use of the Internet, which is a network using IP (Internet Protocol), is rapidly spreading. There are ISP (Internet Service Provider) and IX (Internet Exchange) as elements constituting the Internet.
[0003]
The ISP is a provider that provides Internet connection services and application services such as Web and mail to customers (customers) such as individuals and companies.
[0004]
IX is a business operator who has prepared a connection point for ISPs to mutually connect their own network and another ISP's network.
[0005]
An ISP is realized by connecting a plurality of devices called routers and terminals (Web server, mail server, etc.) that provide services. All devices including a router and a terminal connected to the router have an IP address as an identifier for specifying the device, and each IP address is used when data is transferred from each device to another device.
[0006]
The router device searches the routing table using the IP address added by the customer to determine the next transfer destination (Next Hop) of the data (packet). In this way, each router device performs packet forwarding (forwarding) to reach the final destination. Between router devices, routing information is exchanged by a routing protocol such as RIP, OSPF, BGP, etc., and a routing table is created and updated.
[0007]
Since the number of the aforementioned IP addresses is limited, there is a problem that the IP addresses that can be used as unique identifiers are exhausted as the number of devices connected to the Internet increases.
[0008]
To deal with this problem, ISPs and IX use private addresses that are used only within a limited range, such as within a company or ISP, in order to avoid wasting addresses (global addresses) that can be used as unique identifiers on the Internet. There is a case. However, if routing information of private addresses is transmitted to the Internet, address duplication may occur, and there is a risk of inconvenience in Internet routing information, so routing on the border router device that contacts the external network Protocol filtering must be used so that private addresses are not transmitted to the outside for each address.
[0009]
Another problem with the current Internet is security. There is a possibility that a malicious third party may intrude through the security holes of ISPs and routers and hosts in enterprises, and perform attacks such as stopping or restarting services and systems.
[0010]
Such an attack is based on the IP address of the router or host to be attacked. In a conventional Internet network configuration, it is possible to know the IP address of a router through which data passes with a command such as traceroute. In other words, if this command is used, a malicious third party can also know the IP address of the router or host in the ISP or IX, and there is a danger of being attacked.
[0011]
Also known is a router device and a frame transfer method that can connect networks such as Ethernet and can perform transfer processing at a frame level defined in a MAC (Media Access Control) layer. (For example, refer to Patent Document 1).
[0012]
Furthermore, in this type of IP network system, when a packet is generated, the Hop by Hop routing process is not performed, a shortcut VC is instantly created, the compatibility with existing ATM devices is improved, and the IP subnet is wasted. There is a known one (see, for example, Patent Document 2).
[0013]
Furthermore, in this type of IP network system, there is also known one that integrates security processing (see, for example, Patent Document 3).
[0014]
[Patent Document 1]
Japanese Patent No. 3272280
[0015]
[Patent Document 2]
Japanese Patent Laid-Open No. 11-68789
[0016]
[Patent Document 3]
JP2000-4255
[0017]
[Problems to be solved by the invention]
As described above, in the conventional ISP or IX network, when the global address is used for the network in the organization, the number of addresses provided to the customer is reduced accordingly.
[0018]
On the other hand, when securing a larger number of addresses to be provided to customers using private addresses in the organization, the routing router of the network composed of internal private addresses is not transmitted to the outside of the organization. It was necessary to set a route filter for each address by the device.
[0019]
In either case, the network configuration in the ISP or IX and the IP address assigned to the node are known to the outside, and there is a risk of being attacked by targeting a security hole from the outside.
[0020]
An object of the present invention is to secure a global address provided to a customer as much as possible and to improve security. as well as Node equipment Place It is to provide.
[0021]
[Means for Solving the Problems]
In order to solve the above problems, a network system according to the present invention is a network system in which first and second virtual routers are provided in a router device installed at a boundary between networks connected to each other.
The first virtual router and the second virtual router are:
The packet of the common address system received by the one border router device is encapsulated into a packet of the address system unique to the system, and the encapsulated packet is transferred from the one border router device to the other by the unique address system. The function to transfer to the border router device,
A function of decapsulating the packet encapsulated and transferred by the unique address system into a packet of the common address system and transferring the decapsulated packet to the outside of the system by the common address system;
It is characterized by having.
[0025]
In order to solve the above problems, a network system according to the present invention includes a first virtual router that operates in a common address system in a router device installed at a boundary between networks connected to each other and in an external node device. And a network system provided with a second virtual router that operates in an internal address system unique to the system,
The first virtual router and the second virtual router are:
A function of encapsulating the packet of the common address system in the packet of the unique address system, and forwarding the encapsulated packet to the other border router device or the node device in the unique address system;
And a function of decapsulating the packet encapsulated and transferred by the unique address system into a packet of the common address system and transferring the unencapsulated packet by the common address system.
[0026]
According to the present invention, packets are transferred in the system using a system-specific address system and transferred outside the system using a common address system, so that addresses of the common address system used can be saved.
[0027]
Also, according to the present invention, the packet is transferred inside the system by encapsulating the packet, and the packet is unencapsulated and transferred outside the system, so that the address of the unique address system is not transmitted outside the system. It is not necessary to set a route filter based on the routing protocol, and unauthorized intrusion by a malicious third party can be prevented in advance.
[0028]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0029]
(First embodiment)
FIG. 1 shows an example of a configuration for realizing IX in the network system of the present invention.
[0030]
The
[0031]
Similarly, the
[0032]
The
[0033]
In the
[0034]
The
[0035]
The
[0036]
Further, the
[0037]
Further, the
[0038]
As a result, the
[0039]
The
[0040]
Here, in the case of a multi-access interface such as Ethernet (R) (connected to a plurality of routers with one interface), a global address is always added to the
[0041]
The
[0042]
In this logical interface, a plurality of exits of the
[0043]
For packets that are output from the
[0044]
On the other hand, the encapsulated packet transferred from the
[0045]
The
[0046]
The
[0047]
The
[0048]
In this manner, the
[0049]
The
[0050]
Here, in the case of a multi-access interface such as Ethernet (R), the
[0051]
The edge router 110n is a router device located at the boundary between the
[0052]
As with the
[0053]
The
[0054]
Similarly to the
[0055]
Further, based on the routing table 130n, the
[0056]
The
[0057]
Here, in the case of a multi-access interface such as Ethernet (R), a global address is always added to the
[0058]
The
[0059]
In this logical interface, a plurality of
[0060]
For a packet input from the
[0061]
The
[0062]
The
[0063]
Further, the
[0064]
As described above, the
[0065]
The
[0066]
Here, in the case of a multi-access interface such as Ethernet (R), an
[0067]
The
[0068]
The
[0069]
Further, the
[0070]
As a result, the
[0071]
The
[0072]
Here, in the
[0073]
The
[0074]
As described above, the
[0075]
FIG. 2 shows the routing table 130a in detail. This table is a route table in the global address space such as the addresses of the networks and hosts of the
[0076]
In this table, the final destination address, or the network address including the destination address, the address of the next router to be transferred to reach the destination address, and the set of output interfaces to be used for actual transfer are set as one set. Is remembered as
[0077]
When transferring a packet, the destination address column of the routing table 130a is searched using the destination address of the packet as a search key.
[0078]
When a matching column is found by the search, the next corresponding router address and output interface are obtained, and the packet is passed to the output interface.
[0079]
If no matching field is found by the search, an error message is created and sent back to the transfer source.
[0080]
As an example, the next transfer destination for the destination address G140n added to the
[0081]
FIG. 3 shows the routing table 131a in detail. This table is a route table of a network configured by a unique address system inside the IX. Like the routing table 130a, the final destination address or the network address including the destination address, and transferred to reach the destination address. The next router address and the set of output interfaces used for actual forwarding are stored as one set. When transferring a packet, the destination address column of the routing table 130a is searched using the destination address of the packet as a search key.
[0082]
When a matching field is found by the search, the next corresponding router address and output interface are obtained, and the packet is passed to the output interface.
[0083]
If no matching field is found by the search, an error message is created and sent back to the transfer source.
[0084]
As an example, the next transfer destination for the destination address p114n added to the
[0085]
FIG. 4 shows the tunnel correspondence table 132a in detail. This tunnel correspondence table is a table that is referred to when encapsulating a global address packet into an IX101 internal address system packet.
[0086]
When encapsulating a packet, the tunnel exit address field is searched using the address of the next transfer destination router of the packet transferred from the
[0087]
When a matching field is found by the search, capsule information with the corresponding encapsulated address as the destination address is created, added to the packet, and transferred to the
[0088]
When no matching column is found by the search, an error is sent back to the
[0089]
As an example, the address p114n of the
[0090]
The correspondence information between the tunnel exit address and the encapsulated address can be set in advance, and the correspondence information can be exchanged between the
[0091]
[0092]
601 in FIG. 6 is an example of tunnel information added to the
[0093]
In this example, the address p114n of the
[0094]
[0095]
Here, an operation example when the
[0096]
When the
[0097]
In this case, the next transfer destination address after the destination address G140n is G115n, and the output interface is found to be the
[0098]
If the output interface is not the
[0099]
The
[0100]
As a result of this search, it is found that the encapsulated address is the interface address p114n of the
[0101]
Further, the
[0102]
That is, in the above-described processing, the
[0103]
The
[0104]
Similarly, the
[0105]
In this way, the
[0106]
The
[0107]
If it is an encapsulated packet, it is output to the
[0108]
If the packet is not an encapsulated packet, it is a packet processed by the upper layer of the
[0109]
The
[0110]
The
[0111]
The
[0112]
As described above, in this embodiment, a global address is added to the interface accommodated in the
[0113]
Further, in this embodiment, by using a technique for transferring the inside of IX by encapsulating the packet and decapsulating the packet outside the IX, the edge router does not transmit the address inside the IX to the outside of the IX. Therefore, there is no need to set a route filter by a routing protocol.
[0114]
Furthermore, in this embodiment, since it is possible to hide the network configuration inside IX and the IP address being used from the ISP outside IX, it is possible to prevent unauthorized intrusion by a malicious third party. It becomes possible.
[0115]
(Second Embodiment)
FIG. 9 shows an example of a configuration for realizing the ISP in the network system of the present invention.
[0116]
The
[0117]
The
[0118]
Similarly to the edge router in the first embodiment, the
[0119]
The
[0120]
The
[0121]
Furthermore, the
[0122]
Similarly, the
[0123]
As a result, the
[0124]
The
[0125]
Here, in the case of a multi-access interface such as Ethernet (R), a global address is always added to the
[0126]
The
[0127]
In this logical interface, a plurality of exits of the
[0128]
For a packet output to the
[0129]
Similarly, for the packet output to the
[0130]
On the other hand, the encapsulated packet input from the
[0131]
The
[0132]
The
[0133]
Also, the
[0134]
In this way, the
[0135]
The interface 914a performs the same processing as that of 912a, and the connection destination is the
[0136]
The
[0137]
Similarly to the
[0138]
In this example, the
[0139]
The
[0140]
The
[0141]
Furthermore, based on the routing table 930b, the
[0142]
The
[0143]
Similar to the
[0144]
For packets output from the
[0145]
On the other hand, the packet input from the virtual router 913b is output to the
[0146]
The virtual router 913b is connected to the
[0147]
Further, the virtual router 913b obtains the next router information for transferring the packet to the router or host in the
[0148]
Further, the virtual router 913b outputs, to the
[0149]
As described above, the virtual router 913b searches the routing table 931b from the destination of the packet input from the
[0150]
The
[0151]
Here, in the
[0152]
Further, the
[0153]
The
[0154]
The edge router 910n is a router device located at the boundary between the
[0155]
Similarly to the
[0156]
The
[0157]
The
[0158]
Further, based on the routing table 930n, the
[0159]
The
[0160]
Similarly to the
[0161]
In this logical interface, a plurality of exits of the
[0162]
For packets that are input from the
[0163]
On the other hand, the packet input from the
[0164]
The
[0165]
The
[0166]
Also, the
[0167]
As described above, the
[0168]
The
[0169]
The
[0170]
The
[0171]
The
[0172]
As a result, the
[0173]
Similarly, the routing table 922 is searched from the destination of the packet transferred from the
[0174]
The
[0175]
The
[0176]
As for the packet transferred from the
[0177]
The same applies to packet transfer from the
[0178]
As described above, the
[0179]
Similarly, between the
[0180]
The
[0181]
The
[0182]
FIG. 10 shows the routing table 930a in detail. Similar to the routing table of FIG. 2 described in the first embodiment, this table is a route table in the global address space, and reaches the final destination address or network address including the destination address. Thus, the address of the next router to be transferred and the set of output interfaces to be used for actual transfer are stored as one set. When transferring a packet, the destination address column of the routing table 930a is searched using the destination address of the packet as a search key.
[0183]
When a matching field is found by the search, the next corresponding router address and output interface are obtained, and the packet is passed to the output interface.
[0184]
If no matching field is found by the search, an error message is created and sent back to the transfer source.
[0185]
As an example, the next transfer destination for the destination address G940 added to the router 940n is the address G915n of the
[0186]
FIG. 11 shows the routing table 931a in detail. Similar to the routing table of FIG. 3 described in the first embodiment, this table is a network routing table configured with an ISP's unique address system. Like the routing table 930a, this table is the final destination address or destination. The address of the network including the address, the address of the next router to be transferred to reach the address, and the set of output interfaces to be used for actual transfer are stored as one set. When transferring a packet, the destination address column of the routing table 930a is searched using the destination address of the packet as a search key.
[0187]
When a matching field is found by the search, the next corresponding router address and output interface are obtained, and the packet is passed to the output interface.
[0188]
If no matching field is found by the search, an error message is created and sent back to the transfer source.
[0189]
As an example, the next transfer destination for the destination address p914n added to the
[0190]
FIG. 12 shows the tunnel correspondence table 932a in detail. The tunnel correspondence table is a table referred to when encapsulating a global address packet into an address system packet inside the
[0191]
When encapsulating a packet, the tunnel exit address field is searched using the address of the next transfer destination router of the packet input from the
[0192]
When a matching field is found by the search, capsule information with the corresponding encapsulated address as the destination address is created, added to the packet, and output to the
[0193]
When a matching column is not found by the search, an error is sent back to the
[0194]
As an example, the address p914n of the
[0195]
The correspondence information between the tunnel exit address and the encapsulated address can be set in advance, or the mutual information can be exchanged between edge routers using a protocol for exchanging tunnel information.
[0196]
[0197]
1401 in FIG. 14 is an example of tunnel information added to the
[0198]
In this example, the address p914b of the
[0199]
15 indicates a packet in which the
[0200]
Here, an operation example when the
[0201]
When the
[0202]
In this case, it is found that the next transfer destination address of the destination address G960 is G915b and the output interface is the
[0203]
If the output interface is not the
[0204]
The
[0205]
That is, in the
[0206]
The
[0207]
Similarly, the
[0208]
In this way, the
[0209]
The virtual router 913b receives the
[0210]
If the packet is encapsulated, it is output to the
[0211]
If it is not an encapsulated packet, it is a packet processed by the upper layer of the virtual router 913b, that is, TCP, UDP, etc. by communication closed in the network within the ISP, and therefore processed by an appropriate upper layer in the virtual router 913b. (S208).
[0212]
The
[0213]
The
[0214]
In this way, the
[0215]
On the other hand, the packet flow from the
[0216]
As described above, in this embodiment, global addresses are added to the interfaces accommodated in the
[0217]
In this embodiment, the internal address of the ISP is transferred to the outside of the ISP at the edge router by using a technique for transferring the inside of the ISP by encapsulating the packet and decapsulating the packet outside the ISP. Therefore, there is no need to set a route filter by a routing protocol.
[0218]
Furthermore, in this embodiment, in order to provide a service such as a mail server or a Web server, the network configuration inside the ISP other than the device that allows connection from outside the ISP, and the IP address used are hidden from the network outside the ISP and customers. And the possibility of an attack from a malicious third party can be kept low.
[0219]
(Third embodiment)
As a third embodiment, in the network system of the present invention, there are three independently operated virtual routers in the IX described in the first embodiment and the ISP edge router described in the second embodiment. A configuration example in the case of having it will be described.
[0220]
FIG. 17 shows a configuration example for realizing ISP connection.
[0221]
The
[0222]
The
[0223]
The
[0224]
The
[0225]
At least one global address is added to any of the interfaces accommodated by the
[0226]
The
[0227]
As described above, the packet is transferred inside the
[0228]
In the third embodiment, the
[0229]
At least one global address is added to any of the interfaces accommodated by the
[0230]
Similarly, in the
[0231]
The
[0232]
In this way, packets are transferred in the
[0233]
Similarly, the interface 1717a exists between the
[0234]
The edge router 1710n has the same configuration as the edge router described in the first embodiment or the second embodiment, and performs the same operation.
[0235]
At least one global address is added to any of the interfaces accommodated by the virtual router 1711n, and an address unique within at least one
[0236]
The
[0237]
As described above, packet transfer is performed inside the
[0238]
[0239]
1901 in FIG. 19 is a packet that is encapsulated with tunnel information added to transfer the
[0240]
20 in FIG. 20 is an example of tunnel information added to the
[0241]
In this example, the address p1713n added to the interface of the
[0242]
[0243]
Here, an example of the operation of the
[0244]
In this embodiment, as in the first and second embodiments, the
[0245]
The
[0246]
If it is an encapsulated packet, it is output to the
[0247]
If it is not an encapsulated packet, it is a packet processed by the upper layer of the
[0248]
The
[0249]
The
[0250]
If it is a packet addressed to itself, it is a packet processed by the upper layer of the
[0251]
If the packet is not addressed to itself, the
[0252]
In this case, the address of the next transfer destination router is the address G1711n of the virtual router 1711n, the output interface is 1717a (S307), and the
[0253]
If the output interface is different, the
[0254]
The interface 1717a searches the tunnel correspondence table of itself based on the address G1711n of the next transfer destination router of the
[0255]
That is, in the interface 1717a, a
[0256]
The
[0257]
As described above, in this embodiment, it is possible to eliminate the use of global addresses in the network in IX by introducing three virtual routers in the edge router of the ISP connection unit. The use of a global address can be saved even more than in the second embodiment.
[0258]
(Fourth embodiment)
In the network system of the present invention, the fourth embodiment is a case where a Multi Protocol Label Switching (MPLS) network is used in the internal network of IX described in the first embodiment.
[0259]
In the first embodiment, the
[0260]
For the packet transferred to the
[0261]
There is also a method in which the
[0262]
An effect similar to that of the first embodiment is realized by adding an MPLS label to a packet having a global address system transmitted from the outside of the
[0263]
(Fifth embodiment)
The fifth embodiment is a case where an MPLS network is used in the internal network of the ISP described in the second embodiment in the network system of the present invention.
[0264]
In the second embodiment, the
[0265]
In the
[0266]
In addition, there is a method in which the
[0267]
An effect similar to that of the second embodiment is realized by adding an MPLS label to a packet having a global address system transmitted from the outside of the
[0268]
(Sixth embodiment)
The sixth embodiment is a case where an MPLS network is used in the ISP connection unit described in the third embodiment in the network system of the present invention.
[0269]
In the third embodiment, the
[0270]
For the packet transferred to the virtual router 1711n output from the
[0271]
Further, there is a method in which the
[0272]
The same effect as that of the third embodiment is realized by adding an MPLS label to a packet having a global address system transmitted from the outside of the
[0273]
Furthermore, the configuration of the router device according to the present invention can be configured by one or a plurality of computers or functions of a part of these computers.
[0274]
Further, the method or program in which the flows of FIGS. 8, 16, and 22 are implemented may be configured as software executed by a computer or the like.
[0275]
【The invention's effect】
As described above, according to the present invention, an ISP or IX introduces a network having an IP address space that is independent from the outside in the organization, so that a complicated routing protocol filter in the border router device is not set. Reduce the number of global addresses used in the organization, secure as many global addresses as possible to be provided to customers, and improve security by preventing external notification of the network configuration in the organization and the IP addresses used. Get network system as well as Node equipment Place It can be provided.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating a configuration example for realizing IX in a network system according to a first embodiment of this invention.
FIG. 2 is a diagram showing in detail a routing table in the embodiment.
FIG. 3 is a diagram showing in detail a routing table in the embodiment.
FIG. 4 is a diagram showing in detail a tunnel correspondence table in the embodiment.
FIG. 5 is a view showing an example of a packet in the embodiment.
FIG. 6 is a view showing an example of tunnel information in the embodiment.
FIG. 7 is a view showing an encapsulated packet in the embodiment.
FIG. 8 is a flowchart showing an example of an operation for transferring the packet to the router 140 according to the embodiment;
FIG. 9 is a diagram showing a configuration example for realizing ISP in the network system according to the second embodiment of this invention;
FIG. 10 is a diagram showing in detail a routing table in the embodiment.
FIG. 11 is a diagram showing in detail a routing table in the embodiment;
FIG. 12 is a view showing in detail a tunnel correspondence table in the embodiment;
FIG. 13 is a view showing a packet in the embodiment.
FIG. 14 is a diagram showing an example of tunnel information in the embodiment.
FIG. 15 is a view showing an encapsulated packet in the embodiment;
FIG. 16 is an exemplary flowchart illustrating an operation example in the network system according to the embodiment;
FIG. 17 is a diagram showing a configuration example for realizing ISP connection in a network system according to a third embodiment of the present invention;
FIG. 18 is a view showing a packet in the embodiment;
FIG. 19 is a view showing an encapsulated packet in the embodiment;
FIG. 20 is a diagram showing an example of tunnel information in the embodiment.
FIG. 21 is a view showing an encapsulated packet in the embodiment;
FIG. 22 is a flowchart showing an operation example of the edge router in the embodiment;
[Explanation of symbols]
DESCRIPTION OF
Claims (5)
前記第1仮想ルータ及び第2仮想ルータは、
一の前記境界ルータ装置が受け取った共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを当該独自のアドレス体系で前記一の境界ルータ装置から他の境界ルータ装置まで転送する機能と、
前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する機能と
を有することを特徴とするネットワークシステム。A network system in which first and second virtual routers are provided in a router device installed at a boundary between networks connected to each other,
The first virtual router and the second virtual router are:
The packet of the common address system received by the one border router device is encapsulated into a packet of the address system unique to the system, and the encapsulated packet is transferred from the one border router device to the other by the unique address system. The function to transfer to the border router device,
A function of decapsulating the packet encapsulated and transferred by the unique address system into a packet of the common address system and transferring the decapsulated packet to the outside of the system by the common address system. A network system characterized by
前記第1仮想ルータ及び第2仮想ルータは、
前記共通のアドレス体系のパケットを前記独自のアドレス体系のパケットにカプセル化し、該カプセル化したパケットを前記独自のアドレス体系で、他の前記境界ルータ装置又は前記ノード装置へ転送する機能と、
前記独自のアドレス体系でカプセル化され転送されたパケットを前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを前記共通のアドレス体系で転送する機能とを有することを特徴とするネットワークシステム。The first virtual router that operates with a common address system in the router device installed inside the router device installed at the boundary between the networks connected to each other and the internal node device that enables communication with the external node device, and the system internal unique A network system provided with a second virtual router that operates in the address system of
The first virtual router and the second virtual router are:
A function of encapsulating the packet of the common address system in the packet of the unique address system, and forwarding the encapsulated packet to the other border router device or the node device in the unique address system;
A network having a function of decapsulating a packet encapsulated and transferred by the unique address system into a packet of the common address system, and transferring the unencapsulated packet by the common address system. system.
共通のアドレス体系で動作する第1仮想ルータと、システム内部独自のアドレス体系で動作する第2仮想ルータとを備え、これら第1,第2仮想ルータは、前記共通のアドレス体系のパケットを前記独自のアドレス体系のパケットにカプセル化し、該カプセル化したパケットを前記独自のアドレス体系で、他の前記境界ルータ装置又は前記ノード装置へ転送する機能を有し、
前記境界ルータ装置装置内又は前記ノード装置内の仮想ルータ間をつなぐ論理インタフェースを備え、当該論理インタフェースは、前記独自のアドレス体系でカプセル化され転送されたパケットを前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを前記共通のアドレス体系で転送する機能を有することを特徴とするノード装置。A node device that is installed at the boundary between networks connected to each other, and that links a first virtual router that operates with a common address system and a router device that includes a second virtual router that operates with an internal address system unique to the system. In
A first virtual router that operates with a common address system and a second virtual router that operates with an internal address system unique to the system, and these first and second virtual routers send packets of the common address system to the original Having a function of encapsulating the packet into a packet of the address system, and transferring the encapsulated packet to the other border router device or the node device with the unique address system,
A logical interface that connects virtual routers in the border router device or the node device is provided. The logical interface encapsulates and transfers packets encapsulated in the unique address system to packets in the common address system. A node device having a function of encapsulating and transferring the unencapsulated packet by the common address system.
前記第3仮想ルータ及び第4仮想ルータは、
一の前記境界ルータ装置が受け取った前記共通のアドレス体系のパケットを、前記ネットワークシステムの外部にあるネットワークシステム間で共通のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを当該共通のアドレス体系で前記一の境界ルータ装置から他の境界ルータ装置まで転送する機能と、
前記ネットワークシステムの外部にあるネットワークシステム間で共通のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系で前記システム外部へ転送する機能と
を有することを特徴とする請求項1又は2記載のネットワークシステム。In addition to the first and second virtual routers, a third virtual router that operates in the common address system, and a network system that is connected to the third virtual router and is outside the network system. A fourth virtual router that operates with a common address system,
The third virtual router and the fourth virtual router are:
The packet of the common address system received by one border router device is encapsulated into a packet of a common address system between network systems outside the network system, and the encapsulated packet is encapsulated in the common address system And the function of transferring from one border router device to another border router device,
Packets encapsulated and transferred with a common address system between network systems outside the network system are decapsulated into packets with the common address system, and the unencapsulated packets are transmitted with the common address system. network system according to claim 1 or 2 characterized in that it has a function of transferring to the outside of the system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002358334A JP3689083B2 (en) | 2002-12-10 | 2002-12-10 | Network system and node device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002358334A JP3689083B2 (en) | 2002-12-10 | 2002-12-10 | Network system and node device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004193878A JP2004193878A (en) | 2004-07-08 |
| JP3689083B2 true JP3689083B2 (en) | 2005-08-31 |
Family
ID=32758080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002358334A Expired - Fee Related JP3689083B2 (en) | 2002-12-10 | 2002-12-10 | Network system and node device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3689083B2 (en) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5125793B2 (en) * | 2008-06-18 | 2013-01-23 | 日本電気株式会社 | COMMUNICATION SYSTEM, NETWORK DEVICE, AND NETWORK CONNECTION METHOD USED FOR THEM |
| WO2010119738A1 (en) * | 2009-04-16 | 2010-10-21 | 日本電気株式会社 | Address-sharing system |
| JP5477426B2 (en) * | 2011-09-05 | 2014-04-23 | 横河電機株式会社 | Packet transfer apparatus and wireless communication system |
| US9647883B2 (en) | 2014-03-21 | 2017-05-09 | Nicria, Inc. | Multiple levels of logical routers |
| US9787605B2 (en) * | 2015-01-30 | 2017-10-10 | Nicira, Inc. | Logical router with multiple routing components |
| US10230629B2 (en) | 2015-08-11 | 2019-03-12 | Nicira, Inc. | Static route configuration for logical router |
| US10095535B2 (en) | 2015-10-31 | 2018-10-09 | Nicira, Inc. | Static route types for logical routers |
| US10153973B2 (en) | 2016-06-29 | 2018-12-11 | Nicira, Inc. | Installation of routing tables for logical router in route server mode |
| US10454758B2 (en) | 2016-08-31 | 2019-10-22 | Nicira, Inc. | Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP |
| CN114760167A (en) * | 2020-12-29 | 2022-07-15 | 华为技术有限公司 | Message forwarding method, device and network system |
-
2002
- 2002-12-10 JP JP2002358334A patent/JP3689083B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004193878A (en) | 2004-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3815308B1 (en) | Segment routing using security segment identifiers | |
| CN107911258B (en) | SDN network-based security resource pool implementation method and system | |
| JP4231766B2 (en) | A communication apparatus and a communication method for performing path control between ASs. | |
| JP4744723B2 (en) | Multi-protocol redundant router protocol support method and apparatus | |
| CN107682284B (en) | Method and network device for sending message | |
| US7853714B1 (en) | Providing services for multiple virtual private networks | |
| US8155122B2 (en) | Linking autonomous systems with dual premise routing domains | |
| US7447901B1 (en) | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network | |
| US7260648B2 (en) | Extension of address resolution protocol (ARP) for internet protocol (IP) virtual networks | |
| US7693048B1 (en) | Enhanced internal router redundancy | |
| EP3823225B1 (en) | Communication method and communication device | |
| US7898966B1 (en) | Discard interface for diffusing network attacks | |
| CN112688888B (en) | Improved port mirroring on EVPN VXLAN | |
| EP1475942A2 (en) | Address Resolution in IP Internetworking Layer 2 point-to-point connections | |
| JP2001326693A (en) | Communication system and method for controlling communication, and control program recording medium | |
| CN108092934A (en) | Safety service system and method | |
| JP3689083B2 (en) | Network system and node device | |
| US6966003B1 (en) | System and method for switching security associations | |
| CN114827269A (en) | Message transmission method and device | |
| CN102144375A (en) | Communication system and communication controller | |
| WO2021093463A1 (en) | Packet forwarding method, first network device, and first device group | |
| Varga et al. | Deterministic networking (DetNet) data plane: IP over IEEE 802.1 time-sensitive networking (TSN) | |
| US7269639B1 (en) | Method and system to provide secure in-band management for a packet data network | |
| JP4011528B2 (en) | Network virtualization system | |
| US11595301B2 (en) | Method and system for implementing L3VPN based on two-dimensional routing protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050208 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050411 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050531 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050609 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090617 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |