JP2004247858A - Information providing system and information providing method - Google Patents

Information providing system and information providing method Download PDF

Info

Publication number
JP2004247858A
JP2004247858A JP2003033940A JP2003033940A JP2004247858A JP 2004247858 A JP2004247858 A JP 2004247858A JP 2003033940 A JP2003033940 A JP 2003033940A JP 2003033940 A JP2003033940 A JP 2003033940A JP 2004247858 A JP2004247858 A JP 2004247858A
Authority
JP
Japan
Prior art keywords
predetermined
packet
label
network
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003033940A
Other languages
Japanese (ja)
Inventor
Takayuki Fujino
貴之 藤野
Shoichiro Asano
正一郎 淺野
Shunji Abe
俊二 阿部
Takao Hakari
宇生 計
Ihei Cho
偉平 趙
Jun Matsukata
純 松方
Hirokazu Ishimatsu
宏和 石松
Takeshi Hashimoto
健 橋本
Shinya Tanaka
伸哉 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2003033940A priority Critical patent/JP2004247858A/en
Publication of JP2004247858A publication Critical patent/JP2004247858A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To enhance the immunity to attacks and the operating rate of an entire information providing service by localizing a damage of an information providing system due to an external access of illegitimate purpose via a broadband computer network. <P>SOLUTION: This information providing system includes: a plurality of server entities C<SB>1</SB>to C<SB>5</SB>to which the same network identifier is assigned and for providing a service S to users on a broadband network; and routers R<SB>1</SB>to R<SB>10</SB>each having an ordinary path control processing table for defining path control processing from one network on the broadband network to another network and a path control processing table for defining path control processing applied to information whose destination is the prescribed network identifier, the routers refering to the tables to carry out the path control processing thereby physically dividing objects in a prescribed unit to which the prescribed service S is provided. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、例えば広域コンピュータネットワーク上で稼動する情報提供システム及び情報提供方法に係り、特に外部からの不正目的のアクセスによるシステム被害を局所化することで、情報提供サービス全体の攻撃耐性の向上と稼働率の向上を図る情報提供システム及び情報提供方法に関する。
【0002】
【従来の技術】
従来、広域コンピュータネットワーク上では、複数のコンピュータにより構成される情報提供システムにより各種のサービスが提供されている。
【0003】
このような情報提供システムでは、1つのサービスを同じ機能を有する複数のコンピュータ(以下、「サーバ実体」と称する)により提供している。更に、1つのサービスには、当該サービスを特定するネットワーク識別子(以下、「代表アドレス」と称する)が割り当てられている。そして、このような構成の下、当該情報提供システムでは、そのサービス提供中に、1つのサーバ実体が何らかの原因で停止した場合であっても、広域コンピュータネットワークを介して代表アドレスに向けられたユーザトラヒックを、稼動中の別のサーバ実体に自動的に振り分けることで、サービス自体を継続して提供することを可能としている。
【0004】
例えば、従来の情報提供システムで用いられるL4スイッチでは、TCPやUDPのポート番号等といったパケットのトランスポート層のヘッダ情報を読取って、当該ヘッダ情報に基づきパケットを転送している。即ち、このL4スイッチでは、ポート番号で識別したアプリケーション種類に応じて優先制御やフィルタリング、複数のサーバ実体を接続した環境での負荷分散等を実現している。
【0005】
さらに、L7スイッチでは、URL等の第7層のヘッダ情報を基に、パケットの転送先を決めて転送処理をしている。即ち、このL7スイッチでは、アプリケーションそのものを認識してスイッチングする手法を採用することで、個々のアプリケーション毎に転送順位を設定することを可能としている。
【0006】
一方、DNS(domain name system)サーバが、クライアントであるDNSリゾルバに対してIPアドレスを返答する際に、一つの名前に対して登録してある複数のIPアドレスを順番に返答するDNSサーバの機能である「DNSラウンジロビン」が一般に知られている。このDNSラウンジロビンによれば、複数のサイトにサーバ実体を分散配置する時に、エンドユーザ側に対して順繰りに回したIPアドレスを返答することで、広域でサーバの負荷を分散できる。
【0007】
【発明が解決しようとする課題】
しかしながら、従来の技術では、外部からの不正目的のアクセスが代表アドレスに対して連続的に行われると、全てのサーバ実体が被害を受け、サービス提供が不可能になってしまう。それは、前述したように、従来技術に係る情報提供システムでは、上記不正目的のアクセスにより1つのサーバ実体が稼動不能になると、別のサーバ実体にトラヒックが自動的に振り分けられるためである。
【0008】
このように、従来技術に係る情報提供システムでは、上記の如き不正目的のアクセスにより機能を停止したサーバ実体をバックアップするために、別の稼動中のサーバ実体に当該不正目的のアクセスに係るトラヒックが振り分けられることから、連鎖的にシステム内の全てのサーバ実体が被害を受けてしまう。
【0009】
本発明は、上記問題に鑑みてなされたもので、その目的とするところは、広域コンピュータネットワーク上で複数のサーバ実体を分散配置して各サーバ実体にかかる負荷を分散しつつ所定のサービスを提供するような状況下において、当該広域コンピュータネットワークを介しての外部から不正目的のアクセスがなされることによるシステム被害、例えば、DDoS攻撃等の被害の影響を局所化することで、情報提供サービス全体の攻撃耐性の向上と稼働率の向上とを図る情報提供システム及び情報提供方法を提供することにある。
【0010】
【課題を解決するための手段】
上記目的を達成するために、請求項1の発明では、広域ネットワーク上で稼動する情報提供システムにおいて、所定のネットワーク識別子が割り当てられており、上記広域ネットワーク上の対象に所定のサービスを提供するための複数の情報提供手段と、上記広域ネットワーク上の一のネットワークから他のネットワークへの経路制御処理について定義した第1のテーブルと、上記所定のネットワーク識別子を送信先とする情報の経路制御処理について定義した第2のテーブルと、を少なくとも有しており、上記第1又は第2のテーブルのいずれかを参照して経路制御処理を行うことで、上記各情報提供手段が上記所定のサービスを提供する上記広域ネットワーク上の対象を所定単位で物理的に区分けするための経路制御手段と、を具備することを特徴とする情報提供システムが提供される。
【0011】
請求項2の発明では、上記第2のテーブルは、上記所定のネットワーク識別子を送信先とする情報に対して、所定のラベルの付加、除去、変更をするラベル処理を行った後、所定の送信先に送信する旨、或いは、所定のラベルが付加された情報に対して、更なるラベル処理を行った後、所定の送信先に送信する旨、を少なくとも定義していることを更に特徴とする請求項1に記載の情報提供システムが提供される。
【0012】
請求項3の発明では、上記所定のネットワーク識別子とはIPアドレスであり、上記経路制御処理手段は、上記所定のネットワーク識別子を送信先とするIPパケットを受信したときには、上記第2のテーブルを参照して、当該IPパケットの、IPアドレス、IPアドレスとポート番号の組合せ、IPアドレスとプロトコル番号の組合せ、の少なくともいずれかの情報に基づいて定められる更なるラベル処理を行った後、所定の送信先に送信する、ことを更に特徴とする請求項2に記載の情報提供システムが提供される。
【0013】
請求項4の発明では、広域ネットワーク上で稼動する情報提供システムにおいて、上記広域ネットワーク上の一のネットワークから他のネットワークへ送信すべきIPパケットを受信した場合には、第1のテーブルを参照して、当該IPパケットを当該他のネットワークに送信し、一方、所定のサービスに係る所定のIPアドレスを送信先とするIPパケットを受信した場合には、第2のテーブルを参照して、当該IPパケットの、IPアドレス、IPアドレスとポート番号の組合せ、IPアドレスとプロトコル番号の組合せ、の少なくともいずれかの情報に基づいて、当該IPパケットに対して、所定のラベルの付加、除去、変更をするラベル処理を行った後に所定の送信先に送信する、エッジルータと、上記ラベル処理がなされたIPパケットを受信した場合には、第3のテーブルを参照して、当該IPパケットに含まれる所定のラベルに基づいて定められる更なるラベル処理を行った後に所定の送信先に送信する、コアルータと、上記所定のサービスに係る所定のIPアドレスが割り当てられており、上記エッジルータ及びコアルータの少なくともいずれかを介してIPパケットを受信した場合には、当該IPパケットに基づいた所定の情報を当該IPパケットの送信元に送信する、複数のサーバ実体と、を有し、上記エッジルータ及びコアルータによる経路制御処理により、上記サーバ実体により所定のサービスを提供する上記広域ネットワーク上の対象を所定単位で物理的に区分けすることを特徴とする情報提供システムが提供される。
【0014】
請求項5の発明では、広域ネットワーク上で稼動する情報提供システムによる情報提供方法において、上記情報提供システムにより、上記広域ネットワーク上の一のネットワークから他のネットワークへ送信すべき情報を受信した場合には、第1のテーブルを参照して、当該情報を当該他のネットワークに送信するよう経路制御処理を行い、一方、所定のサービスに係る所定のネットワーク識別子を送信先とする情報を受信した場合には、第2のテーブルに基づく経路制御処理を行い、上記経路制御処理により、上記所定のサービスを提供する上記広域ネットワーク上の対象を所定単位で論理的に区分けする、ことを特徴とする情報提供方法が提供される。
【0015】
請求項6の発明では、上記第2のテーブルは、上記所定のネットワーク識別子を送信先とする情報に対して、所定のラベルの付加、除去、変更をするラベル処理を行った後、所定の送信先に送信する旨、或いは、所定のラベルが付加された情報に対して、更なるラベル処理を行った後、所定の送信先に送信する旨、を少なくとも定義していることを更に特徴とする請求項5に記載の情報提供方法が提供される。
【0016】
請求項7の発明では、上記所定のネットワーク識別子とはIPアドレスであり、上記情報提供システムにより、上記所定のネットワーク識別子を送信先とするIPパケットを受信したときには、上記第2のテーブルを参照して、当該IPパケットの、IPアドレス、IPアドレスとポート番号の組合せ、IPアドレスとプロトコル番号の組合せ、の少なくともいずれかの情報に基づいて、当該IPパケットに対して、所定のラベルの付加、除去、変更をするラベル処理を行った後、所定の送信先に送信することを更に特徴とする請求項6に記載の情報提供方法が提供される。
【0017】
請求項8の発明では、エッジルータ、コアルータ、及びサーバ実体を有し、広域ネットワーク上で稼動する情報提供システムによる方法であって、上記エッジルータにより、上記広域ネットワーク上の一のネットワークから他のネットワークへ送信すべきIPパケットを受信した場合には、第1のテーブルを参照して、当該IPパケットを当該他のネットワークに送信し、一方、所定のサービスに係る所定のIPアドレスを送信先とするIPパケットを受信した場合には、第2のテーブルを参照して、当該IPパケットの、IPアドレス、IPアドレスとポート番号の組合せ、IPアドレスとプロトコル番号の組合せ、の少なくともいずれかの情報に基づいて、当該IPパケットに対して、所定のラベルの付加、除去、変更をするラベル処理を行った後に所定の送信先に送信し、上記コアルータにより、上記ラベル処理がなされたIPパケットを受信した場合には、第3のテーブルを参照して、当該IPパケットに含まれる所定のラベルに基づいて定められる更なるラベル処理を行った後に所定の送信先に送信し、上記サーバ実体により、上記エッジルータ及びコアルータの少なくともいずれかを介してIPパケットを受信した場合には、当該IPパケットに基づいた所定の情報を当該IPパケットの送信元に送信する、ことを有し、上記エッジルータ及びコアルータによる経路制御処理により、上記サーバ実体により所定のサービスを提供する上記広域ネットワーク上の対象を所定単位で論理的に区分けすることを特徴とする情報提供方法が提供される。
【0018】
【発明の実施の形態】
以下、図面を参照して、本発明の実施形態について説明する。
【0019】
(第1実施形態)
先ず、図1乃至図6を参照しつつ、本発明の第1実施形態に係る情報提供システム及び情報提供方法について詳細に説明する。
【0020】
図1には、第1実施形態に係る情報提供システムの構成を示し説明する。
【0021】
この図1に示されるように、ネットワークN上には、複数のサーバ実体C乃至Cが分散配置されている。そして、ネットワークNの管理者が、複数のサーバ実体C乃至Cによって1つのサービスSを提供するために、当該サーバ実体C乃至Cには、同じネットワーク識別子identifierが予め割り当てられている。さらに、上記サーバ実体C乃至Cは、ルータR乃至R10を介して、それぞれ通信自在に接続されており、ルータR乃至R10を介して、外部のネットワークN乃至Nとも通信自在に接続されている。これらルータR乃至R10は、パケットをユーザが期待する送信先まで伝達する機能を有する。
【0022】
ルータR、R、R、R10はエッジルータであり、他はコアルータである。
【0023】
以上のほか、ネットワークN内には、所定の利用ユーザU、Uも存在しており、それぞれ二箇所のルータでトラヒックが収容されている。
【0024】
このように、本発明の第1実施形態に係る情報提供システムは、所定のルーティング・ポリシによって運営されるネットワーク、即ち自律システム(AS;Autonomous System)として構築されている。尚、ここでは、説明を簡略化するために、5個のサーバ実体C乃至Cと10個のルータR乃至R10とを図示しているが、一例にすぎず、この数に限定されないことは勿論である。
【0025】
尚、サーバ実体C1乃至C5は請求項に記載の情報提供手段の一例に相当し、ルータR1乃至R10は請求項記載の経路制御処理手段の一例に相当する。
【0026】
このような構成において、第1実施形態に係る情報提供システムでは、サービスSを利用するユーザを、ネットワークNに係る所定のルーティング・ポリシに従って、サーバ実体C乃至Cの数だけグルーピングしている。
【0027】
ここで、サービスSを利用するユーザとは、例えば、ネットワークN内部のユーザU及びユーザU、外部ネットワークN乃至N内に存在するユーザ等を意味している。この例では、前述したように、ネットワークN内に5つのサーバ実体C乃至Cが分散配置されているので、ネットワークN内のユーザU及びユーザU、ネットワークNのユーザ、ネットワークNのユーザ、ネットワークNのユーザ、といった区分けで5つにグルーピングする。
【0028】
即ち、各ユーザのトラフィックを、異なるサーバ実体C乃至Cに振り分けるようなグルーピングを行う。尚、ユーザの数がサーバ実体の数よりも多い場合も当然に想定されるが、その場合には、例えばサーバ実体の数等により所定の区分けを行い、各ユーザのトラフィックを振り分けることになる。
【0029】
次に、この情報処理システムでは、各サーバ実体C乃至Cに向けた各ユーザグループのトラヒックが、ネットワークNのどの資源を使用し、どの経路を通るかを決定する。この経路の決定は、ネットワークNのネットワーク資源に追う時点ネットワーク管理者等が自由に決定することができる。
【0030】
ここで、図2には、各サーバ実体C乃至Cに対して、ユーザグループが使用する経路を決定した様子を概念的に示し説明する。この第1実施形態に係る情報提供システムでは、ネットワークN内の各ルータR乃至R10により、サーバ実体C乃至Cが送信先であるパケットの経路制御処理と、送信先がサーバ実体C乃至Cでないパケットの経路制御処理とを分けて条件処理している。
【0031】
そして、このような条件処理を実現するために、各ルータR乃至R10は、詳細は後述するが、2つの経路制御処理テーブルを有している。
【0032】
この情報処理システムでは、図3のフローチャートに示されるように、ルータR乃至R10がパケットを受理すると(ステップS1)、当該パケットの送信先がサーバ実体C乃至Cであるか否かを判断する(ステップS2)。送信先がサーバ実体C乃至Cである場合は、通常の経路制御処理ではなく、ネットワーク管理者によって予め定められた経路(例えば、図2に点領域で示されている経路)に沿ってパケットを転送し(ステップS4)、一方、送信先がサーバ実体C乃至Cでない場合には、通常の経路制御処理を行う(ステップS3)。
【0033】
例えば、図2において、ネットワークN内のユーザUからサーバ実体C乃至C(ネットワーク識別子identifier)に向けたトラヒックは、予め定められた経路に沿って、即ちルータR,Rを介してパケット転送され、サーバ実体Cに到達し、他のサーバ実体C,C,C,Cには転送されない。一方、ユーザUからのサーバ実体C乃至C(ネットワーク識別子Identifier)以外、例えばネットワークN向けのトラヒックは、通常の経路制御処理によってネットワークNまでパケットが順次転送されることになる。
【0034】
以上の処理を実現するために、第1実施形態に係る情報提供システムでは、ネットワークN内にある全てのルータR乃至R10が、図4(a),(b)に示されるような2つの経路制御処理用テーブルを有するよう構成されている。
【0035】
即ち、図4(a)に示したのは、本来的に全てのルータR乃至R10が通常のパケット転送先を決定するための経路制御処理テーブルTである。この経路制御処理テーブルTでは、送信先識別子とパケット転送先の識別子とが関係付けられて定義されている。一方、図4(b)に示したのは、第1実施形態に係る情報提供システムで採用するサービスSに係る転送先の定義する経路制御処理テーブルTである。この経路制御処理テーブルTでは、サービスSに係るネットワーク識別子identifierに対応するパケット転送先の識別子のみが定義されている。ネットワーク識別子identifierに対応するパケット転送先の識別子は、各ルータR乃至R10が処理するグループのトラヒックとサービスSを提供するサーバ実体C乃至Cの位置に応じて設定されることになる。
【0036】
尚、上記テーブルT1は、請求項記載の第1のテーブルの一例に相当し、上記テーブルT2は、請求項記載の第2、第3のテーブルの一例に相当する。
【0037】
ここで、先に図3で示したルータR乃至R10の処理フローは、経路制御テーブル参照処理であるから、図5に示すような手順で2つの経路制御処理テーブルを順番に参照することによって達成される。以下、これを詳述する。尚、この一連の処理は、情報提供方法の一例にも相当するものである。
【0038】
ルータR乃至R10のいずれかがパケットを受理すると(ステップS11)、当該パケットのヘッダより送信先に係る情報を抽出する(ステップS12)。
【0039】
そして、ルータR乃至R10のいずれかは、サービスSに関する経路制御テーブル参照処理を行う(ステップS13)。即ち、送信先がサービスSに係るサーバ実体C乃至C(ネットワーク識別子identifier)であるか否かを判断する(ステップS13a)。そして、送信先がサーバ実体C乃至Cであると判断した場合には、先に図4(b)に示した経路制御処理テーブルTを参照して、対応するパケット転送先を特定し、当該転送先にパケットを転送する(ステップS13b)。一方、上記ステップS13aにて、送信先がサービスSに係るサーバ実体C乃至Cではないと判断した場合には、先に図4(a)に示した通常の経路制御処理テーブルTを参照して、対応するパケット転送先に当該パケットを転送する(ステップS14)。以上で、一連の処理を終了する。
【0040】
以上説明した一連のルーティング制御により、ネットワークNからサービスSへのトラヒックはサーバ実体Cだけに送られるようになり、ネットワークNからサービスSへのトラヒックはサーバ実体Cだけに送られるようになる。さらに、サービスS以外のトラヒックは、従来と同様に通常の経路制御処理が行われる。つまり、サービスSへのトラヒックに関する限り、図6に示すように、ユーザグループG乃至G毎に隔離することができる。
【0041】
以上説明したように、第1実施形態に係る情報提供システムによれば、同一のサービスを提供するサーバ実体C乃至Cに同一の代表アドレス(identifier)を割り当て、通常の経路制御処理テーブルTと上記代表アドレスに対応した経路制御処理テーブルTとを使い分けるルータR乃至R10により、ユーザトラフィックを各サーバ実体C乃至Cに振り分けることで負荷を分散しつつ、広域コンピュータネットワークを介しての外部からの不正目的のアクセスによるシステム被害(例えば、DDoS攻撃等)を局所化し、情報提供サービス全体の攻撃耐性の向上と稼働率の向上とを図ることができる。
【0042】
即ち、仮にネットワークN経由でコンピュータ犯罪者がサービスSに対して攻撃を仕掛けてきた場合であっても、サーバ実体Cは機能停止する可能性があるが、他のサーバ実体C乃至Cは、影響を受けることなく、通常通りサービスを提供し続けることができる。また、その場合、ネットワークN,N、ユーザU、ユーザUに対しては、ネットワークN経由の攻撃の影響を完全に隠蔽することができる。また、仮に複数のコンピュータ犯罪者が協力してサービスSに攻撃を仕掛けるとしても、ユーザグループ数のコンピュータ犯罪者が、ネットワーク管理者が独自に決めることができるユーザグループに必ず1名含まれていなければ全てのサーバ実体C乃至Cの全て対して攻撃を仕掛けることができない。これは、事実上不可能であることから、前述したような構成、作用の第1実施形態に係る情報提供システムのコンピュータ犯罪者への攻撃耐性は極めて高くなるといえる。
【0043】
(第2実施形態)
次に、図7乃至図13を参照しつつ、本発明の第2実施形態に係る情報提供システム及び情報提供方法について詳細に説明する。
【0044】
この第2実施形態では、広域IPネットワークにおいて、何等かのサーバ(DNSやWeb等)を構築する例を想定している。ここでは、サーバ実体に割り当てられるネットワーク識別子、即ち「代表アドレス」はIPアドレスとなる。IPアドレスは、IPv4であってもIPv6であっても良い。
【0045】
先ず、図7には第2実施形態に係る情報提供システムの構成を示し説明する。
【0046】
この図7に示されるように、ISP1上には、複数のサーバ実体C乃至Cが分散配置されている。そして、ISP1の管理者が、複数のサーバ実体C乃至Cによって1つのサービスSを提供するために、これらサーバ実体C乃至Cには、同じネットワーク識別子、即ち、同じ代表アドレスが予め割り当てられている。これらサーバ実体C乃至Cに割り当てられる代表アドレスは、ISP1が保持しているものであれば、いかなるものであってもよく、この第2実施形態では、例えば「136.187.1.1」という代表アドレスを使用する。
【0047】
サーバ実体C乃至Cは、ルータR乃至R10を介して、それぞれ通信自在に接続されており、更にルータR乃至R10を介して、外部のISP1乃至1とも通信自在に接続されている。これらルータR乃至R10は、IPパケットをユーザが期待する送信先まで伝達する機能を有するものである。サーバ実体C乃至C、ルータR乃至R10の数は、これに限定されるものではない。
【0048】
ISP1の外部のISP1乃至1は、AS番号を有している。これらISP1乃至1は、AS間で利用するプロトコルであるBGP(Border Gateway Protocol)に基づいてIPルーティングの経路情報を交換する。
【0049】
以上のほか、上記ISP1内には、所定の利用ユーザU、Uも存在しており、それぞれ二箇所のルータでトラヒックが収容されている。また、この利用ユーザU又はUは、ISP1に接続されている接続組織を意味する。尚、上記サーバ実体C乃至Cは請求項に記載の情報提供手段の一例に相当し、上記ルータR乃至R10は、請求項に記載の経路制御手段の一例に相当する。
【0050】
このような構成において、ISP1のネットワーク管理者は、各サーバ実体C乃至Cに対するユーザグループを構成する。即ち、例えば、サーバ実体CにはISP1の利用ユーザがアクセスし、サーバ実体CにはISP1の利用ユーザUがアクセスし、サーバ実体C3にはISP1の利用ユーザUがアクセスし、サーバ実体CにはISP1の利用ユーザがアクセスし、サーバ実体CにはISP1の利用ユーザがアクセスするように、ユーザグループを定義することになる。但し、ユーザグループは、この態様には限定されない。
【0051】
続いて、ユーザグループが各サーバ実体C乃至Cに到達するまでに通過すべき経路を決定し、そのような経路付け処理が行われるように各ルータR乃至R10にて所定の設定を行う。この設定は、各ルータR乃至R10に、該当ルータR乃至R10からサーバ実体C乃至Cまで、IP層によらないでパケット転送を行える機能を持たせることによって達成されることになる。
【0052】
具体的には、各ルータR乃至R10からサーバ実体C乃至Cまで物理的な専用線を設定する第1の手法と、各ルータR乃至R10において、IPアドレスによらないラベルを設定し、当該ラベルに準じたパケット転送処理を行えるように設定する第2の手法等を採用し得る。そして、後者の第2の手法を実現する方式としては、MPLS(multiprotocol label switching)、GMPLS(generalized multiprotocol label switching)、ATM(Asynchronous Transfer Mode)のVC(Virtual Channel)設定、等が挙げられる。
【0053】
ここで、MPLSとは、IPネットワークで使うカット・スルー方式のパケット転送技術であり、ラベル・スイッチング技術とも称される。このMPLSではIPパケット内にラベルという識別子を挿入し、当該ラベルと経路の対応を管理するIPネットワーク上のMPLS対応ノードがラベルによってパケットを高速転送することで、トラヒックの負荷分散等を実現する。ラベルは、シム・ヘッダと称されるMPLS専用のヘッダの形でIPパケットの第2層ヘッダと第3層ヘッダの間に挿入される。尚、MPLSにおいてパケットが配送される経路はLSP(Label Switch Path)と称される。GMPLSはMPLSのラベル配送の技術を光の波長やTDMにおけるタイムスロット等に拡張するものである。どちらの場合においても、CR−LDP等の明示的なLSP設定が可能なラベル配布プロトコルを使用してパケット配送に必要な情報の交換を行う。
【0054】
そして、ATMのVC設定とは、MPLSにおけるLSPをATMにおけるVCの機能で実現するものである。
【0055】
以下、MPLSを採用した第2実施形態の実装例について詳細に説明する。
【0056】
この例では、ルータR乃至Rは、それぞれMPLS機能を有しており、LSRとして動作することを前提としている。ここで、LSRとは、MPLSを解釈できるルータ(MPLSエッジルータ、MPLSコアルータ)をいう。
【0057】
ルータRは、送信先がIPアドレス136.187.1.1であるIPパケットについてはMPLSのラベルを付加し、ルータRに送信する。そして、それ以外のIPアドレスを送信先とするIPパケットについては、通常のAS内部で使用されるルーティングプロトコルであるIGP(Interior Gateway Protocol)によるルーティングに委ねるように設定を行っている。
【0058】
ここで、ルータRの有する経路制御処理テーブルは、図9(a),(b)に示される。これは、第1実施形態で説明した図4に対応するものである。
【0059】
図9(a)に示されるように、通常の経路制御処理テーブルは、IGP及びBGP(Border Gateway Protocol)によって得られたものであり、送信先とパケット転送先のIPアドレスが対応付けられている。
【0060】
一方、図9(b)に示されるように、MPLSのFIB(Forwarding Information Base)のうちFTN(FEC to NHLFE)は、何らかのラベル配布手順、例えばCR−LDP(Constraint−Based LDP)やRSVP−TE(Resource Reservation Protocol Traffic Engineering Extension)等によって得られたものである。
【0061】
CR−LDPは、LDPを拡張したものであり、プレフィックスベースと異なり、あるルータ間で個別にラベルパスを作る方式である。
【0062】
そして、RSVP−TEは、ラベル付与リクエストを隣接ルータに対して送信し、リクエストを受け取ったルータが、その内容に応じて該当のプレフィックス等にラベルを付与するものである。即ち、要求のあったプレフィックスに対してのみ個々にラベルを付与する方式である。
【0063】
FTNは、FEC(Forwarding Equivalence Class)とNHLFE(Next Hop Label Forwarding Entry)との関係を示すテーブルである。
【0064】
FECは、送信先のグループエントリの一つを示している。
【0065】
そして、NHLFEでは、ラベルが付加されていないパケットに所定のラベルを付加したり(コマンド:ラベルPUSH)、既にラベルが付加されているパケットのラベルを除去したり(コマンド:ラベルPOP)、ラベル付きパケットのラベルを交換したり(コマンド:ラベルSWAP)、とった内容を示している。
【0066】
例えば、図9(b)のFTNでは、FECには「136.187.1.1」とあるが、これは送信先アドレスが「136.187.1.1」であることを意味している。
【0067】
また、NHLFEには「ラベルPUSH、ラベル#136」とあるが、これは識別番号として136が割り当てられたラベルをパケットに付加することを意味している。これを「ラベル#136」と記述することにする。更に、NHLFEには「Forward=150.100.9.1」とあるが、これはラベル#136を付加したパケットの転送先のIPアドレスが150.100.9.1であることを意味している。
【0068】
尚、MPLSのFIBには、一般にラベルとNHLFEとの関係を示すILM(Incoming Label Mapping)も含まれるが、この例では説明の便宜上、当該ルータRにおいてはILMが設定されていないものとする。
【0069】
尚、図9(a)のテーブルは請求項記載の第1のテーブルの一例に相当し、図9(b)のテーブルは請求項記載の第2のテーブルの一例に相当する。
【0070】
同様に、ルータRの有する経路制御処理テーブルは、図10(a),(b)に示される。これは、第1実施形態で説明した図4に対応する。
【0071】
図10(a)に示されるように、通常の経路制御処理テーブルは、IGP及びBGP(Border Gateway Protocol)によって得られたものであり、送信先とパケット転送先のIPアドレスが対応付けられている。
【0072】
一方、図10(b)に示されるように、MPLSのILMは、送信されてきたパケットに貼られているラベルとNHLFEとの関係を示している。
【0073】
ここでも、NHLFEでは、ラベルが付加されていないパケットに所定のラベルを付加したり(コマンド:ラベルPUSH)、既にラベルが付加されているパケットのラベルを除去したり(コマンド:ラベルPOP)、ラベル付きパケットのラベルを交換したり(コマンド:ラベルSWAP)、とった内容を示している。
【0074】
例えば、図10(b)のILMでは、Incoming Labelには「#136」とあるが、これは受信したラベル付きパケットに付加されていたラベルの識別番号が136であることを意味している。
【0075】
また、ILMのNHLFEには「ラベルPOP、Forward=136.187.1.1」とあるが、これはラベル#136をパケットより除去した後に、IPアドレス136.187.1.1に転送することを意味している。この例では、ルータRにおいては説明の便宜上、FTNが設定されていないものとする。尚、図10(b)のテーブルは、請求項に記載の第3のテーブルの一例に相当する。
【0076】
次に図11(a),(b)を参照して、ラベル情報の付加について説明する。
【0077】
尚、この例では、ネットワークは、広域イーサネット専用線を使用しているものと仮定している。さて、図8のISP1からIPアドレス136.187.1.1に向けたフレームは、物理ヘッダ、IPヘッダ、IPデータを有している。
【0078】
そして、IPパケットは、ルータRにおいて図11に示されるようにラベル付けされる。すなわち、図11(a),(b)に示されるように、ラベル付け処理は、ネットワークメディアのレイヤ2ヘッダ中の上位プロトコルを示すTypeフィールド値をIPを示す0x0800からMPLSユニキャストパケットラベルを示す0x8847に書き換え、更にMPLSのラベル情報を包含するシム・ヘッダを挿入することによって行われる。なお、他のネットワーク媒体を使用する場合であっても、レイヤ2ヘッダのフォーマット及びフィールド値には違いはあるものの基本的に上位プロトコルを示す値がIPを示すものからMPLSユニキャストパケットラベルを示すものに書き換わる点に相違はない。
【0079】
一方で、図8のISP1から他の送信先、例えばISP1を経由してISP1(IPアドレス160.160.160.160)に向かうパケットについては、ラベル付け処理は行われない。従って、この場合、レイヤ2ヘッダのTypeフィールド値は書き換えられず、フィールド値は0x0800に維持される。
【0080】
以下、図9(a),(b)、及び図12のフローチャートを参照して、第2実施形態に係る情報提供システムにおけるルータR(MPLSエッジルータ)の経路制御テーブル参照処理について更に詳細に説明する。
【0081】
尚、この一例の処理は、情報提供方法の一例にも相当するものである。
【0082】
ルータRは、IPパケットをデータとして有する物理フレームを受理すると(ステップS21)、当該IPパケットの物理ヘッダのTypeフィールド値がIPを示す0x0800であるか否かを判断する(ステップS22)。このステップS22において、ルータRは、Typeフィールド値が0x0800ではないならば、エラーとしてIPパケットを破棄し(ステップS23)、本処理を終了する。
【0083】
一方、ルータRは、Typeフィールド値が0x0800であるならば、IPヘッダの送信先アドレスを抽出する(ステップS24)。そして、サービスSに関する経路制御テーブル参照処理に移行する(ステップS25)。
【0084】
即ち、ルータRは、送信先が代表アドレス「136.187.1.1」であるか否かを判断し(ステップS25a)、136.187.1.1である場合には、先に図9(b)に示したFIBを参照し、FTNの136.187.1.1に対応するNHLFEに従い、IPパケットのTypeフィールド値をMPLSユニキャストパケットラベルを示す0x8847に書き換えた後、シム・ヘッダとしてラベル情報を追加し、当該ラベル付きのIPパケットを転送し(ステップS25b)、本処理を終了する。
【0085】
一方、上記ステップS25aにて、送信先が136.187.1.1でない場合には、先に図9(a)に示した通常の経路制御テーブルを参照し、対応するパケット転送先にパケット転送処理を行い(ステップS26)、本処理を終了する。
【0086】
次に、図13のフローチャートを参照して、第2実施形態に係る情報提供システムにおけるルータR(MPLSコアルータ)の経路制御テーブル参照処理について更に詳細に説明する。尚、この一連の処理は、情報提供方法の一例にも相当するものである。
【0087】
ルータRは、IPパケットをデータとして有する物理フレームを受理すると(ステップS31)、当該IPパケットの物理ヘッダのTypeフィールド値がIPを示す0x0800であるか否かを判断する(ステップS32)。
【0088】
このステップS32において、ルータRは、Typeフィールド値がIPを示す0x0800ではないならば、Typeフィールド値がMPLSユニキャストパケットラベルを示す0x8847であるか否かを判断する(ステップS35)。
【0089】
そして、ステップ35にて、Typeフィールド値が0x8847でないならば、エラーとしてIPパケットを破棄し(ステップS36)、本処理を終了する。
【0090】
一方、ルータRは、Typeフィールド値が0x8847であるならば、サービスSに関する経路制御テーブル参照処理に移行する(ステップS37)。
【0091】
即ち、ルータRは、送信先がラベル#136であるか否かを判断する(ステップS37a)。ステップS37aにおいて、ラベル#137である場合、先に図10(b)に示したFIBを参照し、LIMのラベル#137に対応するNHLFEに従いIPパケットのラベル#137を除去した後、IPパケットをIPアドレス136.187.1.1に転送し(ステップS25b)、本処理を終了する。上記ステップS37aにて、送信先がラベル#137でない場合、エラーとしてIPパケットを破棄し(ステップS37b)、本処理を終了することになる。
【0092】
一方、上記ステップS32にて、送信先がTypeフィールド値がIPを示す0x0800であると判断した場合には、ルータRは、IPパケットよりIPヘッダの送信先アドレスを抽出し(ステップS33)、先に図10(a)に示した通常の経路制御テーブルを参照して、上記送信先アドレスに対応するパケット転送先にパケット転送処理を行い(ステップS34)、本処理を終了する。
【0093】
以上説明したように、第2実施形態によれば、同一のサービスを提供する複数のサーバ実体C乃至Cが分散配置された情報提供システムにおいて、例えばMPLS機能を有するMPLSエッジルータR、R、R、R10及びMPLSコアルータR、R、R、R、R、Rを多数配置し、当該ルータに通常の経路制御処理テーブルとMPLSのFIBとを持たせ、各ルータR乃至R10が当該テーブルによりIPパケットをサーバ実体C乃至Cに振り分けることで、負荷を分散しつつ、広域コンピュータネットワークを介しての外部からの不正目的のアクセスによるシステム被害(例えば、DDoS攻撃等)を局所化し、情報提供サービス全体の攻撃耐性の向上と稼働率の向上とを図ることができる。
【0094】
即ち、第2実施形態では、仮にISP1からDDoS攻撃があった場合、全てのトラヒックはサーバ実体Cへと集中する。その結果、サーバ実体Cはダウンするが、他のサーバ実体C乃至Cは、継続して動作することができる。また、サーバ実体Cのダウンは、ISP1のユーザ、ISP1のユーザ、ISP1内のユーザU、ユーザUからは分らない。さらに、仮にISP1からサーバ実体Cをダウンさせようとしても、ISP1からサーバ実体CにIPパケットを到達させることはできない。また、仮にIPソースルートを設定して150.100.7.1経由で136.187.1.1にパケットを到達させようとしても、ルータRは136.187.1.1のIP経由エントリを有しないため136.187.1.1へはパケットを到達させることはできないこととなる。
【0095】
(第3実施形態)
次に、図14乃至図21を参照しつつ、本発明の第3実施形態に係る情報提供システム及び情報提供方法について詳細に説明する。
【0096】
この第3実施形態では、第2実施形態と同様に、広域ネットワークであるISP1上で自律システムを構築する場合を考える。また、第2実施形態においては、一つのサービスに一つの代表アドレスが設定される例を示したが、第3実施形態では、一つの代表アドレスによって複数のサービスを提供し、各サービスについてDDoS攻撃によるサーバダウンの範囲を局所化する。即ち、広域コンピュータネットワーク上で複数のサーバ実体を分散配置して各サーバ実体にかかる負荷を分散しつつ所定のサービスを提供するような状況下において、当該広域コンピュータネットワークを介しての外部から不正目的のアクセスがなされることによるシステム被害、例えば、DDoS攻撃等の被害の影響を局所化することで、情報提供サービス全体の攻撃耐性の向上と稼働率の向上とを図ることに特徴を有する点は、前述した第1及び第2の実施形態と同様である。
【0097】
尚、本発明の第3実施形態に係る情報提供システムの構成は、先に第2実施形態として説明した図7と略同様であるので、ここでは図7を適宜参照しつつ、更に同一構成要素には同一符号を用いて説明する。各構成と、請求項との関係についても、第2実施形態で前述したのと略同様である。
【0098】
第3実施形態では、第2実施形態と同様に、ISP1のネットワーク管理者は、各サーバ実体に対するユーザグループを構成する。
【0099】
そして、第3実施形態では、例えば「ホームページ閲覧(HTTP)はサーバ実体Cを使用し、ファイルダウンロード(FTP)はサーバ実体Cを使用する」といった選択をすることもできる。つまり、同じ代表アドレスを使用しながらサービスによって使用するサーバ実体を変更することができる。
【0100】
ここで、図14には、図8と略同様である第3実施形態に係る情報提供システムの一部拡大図を示して説明する。
【0101】
図14に示されるように、ISP1のユーザに対して、ホームページ閲覧(HTTP)はサーバ実体C、ファイルダウンロード(FTP)はサーバ実体Cを選択するようにユーザトラヒックがグループ分けされる。次いで、ユーザグループが各サーバ実体C乃至Cに至までに通過する経路を決定し、そのような経路付け処理が行われるようにネットワークの設定を行う。それ以外のトラヒックについては、通常のIGPルーティングに委ねるべく設定を行う。
【0102】
以下、MPLSを採用した第3実施形態の実装例について詳細に説明する。
【0103】
この例では、ルータR乃至Rは、それぞれMPLS機能を有しており、LSRとして動作することを前提としている。ここで、LSRとは、MPLSを解釈できるルータ(MPLSエッジルータ、MPLSコアルータ)をいう。
【0104】
ここで、ルータRの有する経路制御処理テーブルは、図15(a),(b)に示される。これは、第1実施形態で説明した図4に対応するものである。
【0105】
図15(a)に示されるように、通常の経路制御処理テーブルは、IGP及びBGPによって得られたものであり、送信先とパケット転送先のIPアドレスが対応付けられている。そして、図15(b)に示されるように、MPLSのFIBのうちFTNは、何らかのラベル配布手順、例えばCR−LDPやRSVP−TEを拡張し、IPアドレスに加えてプロトコル番号、ポート番号を組み合せて得られる。先に説明した第2実施形態との違いは、このようなMPLSのFIBの持たせ方にある。即ち、先に説明した第2実施形態ではIPアドレスに対して1つのラベルが設定されているが、第3実施形態では、1つのプロトコルポートに対して1つのラベルが設定される。詳細には、HTTPではTCP/80を使用するため、1つのプロトコルポートに対して1つのラベルを設定する。これに対して、FTPではTCP/20、TCP/21両方を使用するために、2つのプロトコルポートに対して1つのラベルを設定する。
【0106】
例えば、図15(b)のFTNは、送信先アドレスが136.187.1.1でありプロトコルポートがTCP/80である場合には、ラベル#136を付加したパケットを、IPアドレス150.100.9.1に転送することを意味している。さらに、FTNの送信先アドレスが136.187.1.1でありプロトコルポートがTCP/20,TCP/21である場合には、ラベル#137を付加したパケットを、IPアドレス150.100.9.1に転送することを意味している。
【0107】
ここで、MPLSのFIBには、一般にラベルとNHLFEとの関係を示すILMも含まれるが、この例では、説明の便宜上、当該ルータRにおいてはILMが設定されていないものとする。尚、図15(a)のテーブルは請求項記載の第1のテーブルの一例に相当し、図15(b)のテーブルは請求項記載の第2のテーブルの一例に相当するものである。
【0108】
同様に、ルータRの有する経路制御処理テーブルは、図16(a),(b)に示される。これは、第1実施形態で説明した図4に対応するものである。
【0109】
図16(a)に示されるように、通常の経路制御処理テーブルは、IGP及びBGPによって得られたものであり、送信先とパケット転送先のIPアドレスが対応付けられている。一方、図16(b)に示されるように、MPLSのILMは、送信されてきたパケットに貼られているラベルとNHLFEとの関係を示している。例えば、図10(b)のILMでは、IPパケットに付加されたラベルが#136である場合には、当該ラベル#136を除去した後、IPアドレス136.187.1.1に転送することを意味している。更に、IPパケットに付加されたラベルが#137である場合には、当該ラベルを新たなラベル#237に変更した後に、IPアドレス150.100.7.2に転送することを意味している。
【0110】
ここでは、説明の便宜上、ルータRにおいては、FTNが設定されていないものとする。尚、図16(b)のテーブルは請求項記載の第3のテーブルの一例に相当するものである。
【0111】
同様に、ルータRの有する経路制御処理テーブルは、図17(a),(b)に示される。これは、第1実施形態で説明した図4に対応するものである。
【0112】
図17(a)に示されるように、通常の経路制御処理テーブルは、IGP及びBGPによって得られたものであり、送信先とパケット転送先のIPアドレスが対応付けられている。一方、図17(b)に示されるように、MPLSのILMは、送信されてきたパケットに貼られているラベルとNHLFEとの関係を示している。例えば、図17(b)のILMでは、IPパケットに付加されたラベルが#237である場合には、当該ラベル#237を除去した後、IPアドレス136.187.1.1に転送することを意味している。ここでは、説明の便宜上、ルータRにおいてはFTNが設定されていないものとする。尚、図17(b)のテーブルは請求項記載の第3のテーブルの一例に相当するものである。
【0113】
ここで、前述したようにIPアドレスに加えてプロトコル番号、ポート番号を基にラベルを配布するためには、既存のラベル配布手順を拡張する必要がある。
【0114】
以下、図18を参照して、CR−LDPを利用してラベルを配布する例を説明する。これは、本発明のラベル配布方法に相当するものである。
【0115】
CR−LDPでは、Downstream on Demand型ラベル配布方式と、Ordered LSP制御方式を組み合せる。尚、このDownstream on Demand型ラベル配布方式とはラベル付与要求のあったときのみラベルを割り付けるものである。
【0116】
この図18に示されるように、サーバ実体C(136.187.1.1,TCP/80)に対応するラベル配布は、ルータRが明示ルート(ER−Route)TLVによって明示的に通過するルータを指定(ルータR−ルータRの場合は直接接続なのでルータRのみが指定される)したラベル要求メッセージをルータRに送信し、ルータRがラベル割当てメッセージをルータRに返すことで行われる。
【0117】
これに対して、サーバ実体C(136.187.1.1,TCP20,TCP21)に対応するラベル配布は、ルータRが明示ルート(ER−Route)TLVによって通過すべきルータがルータRからルータRである旨が明示的に指定されたラベル要求メッセージをルータRに送信し、当該ルータRによって送信されたラベル割当てメッセージがルータRに到着することで行われることになる。
【0118】
ここで、このサーバ実体CのTCP/20にラベルが割り当てられるまでの詳細な手順は、図19に示される通りである。以下、これを詳述する。
【0119】
即ち、ルータRよりルータRに対してラベル要求メッセージにより136.187.1.1,TCP/20のラベルがリクエストされると(#1)、ルータRは、ルータRに対してラベル要求メッセージを転送し、136.187.1.1,TCP/20のラベルをリクエストする(#2)。ルータRは、ラベル#237を割り当て、ILMを図19に符号T10で示すような内容に設定する(#3)。即ち、ILMを、転送されたIPパケットにラベル#237が貼られている場合には、当該ラベル#237を剥がし、136.187.1.1に転送するような内容に設定する。
【0120】
続いて、ルータRは、ラベル#237の情報をラベル割当てメッセージによりルータRに送信する(#4)。ルータRは、ラベル割当てメッセージを受信すると、FEC136.187.1.1,TCP/20の出力ラベル#237に対して入力ラベル#137を割り当て、ILMを図19に符号T11で示すような内容に設定する(#5)。即ち、ルータRは、FIBのILMを、転送されたIPパケットにラベル#137が貼られている場合には、当該ラベル#137をラベル#237に変更し、150.100.7.2に転送するような内容に設定することとしている。
【0121】
次いで、ルータRは、ラベル#137の情報をラベル割当てメッセージによりルータRに返信する(#6)。ルータRは、ラベル割当てメッセージを受信すると、FTNを図19において符号T12で示すような内容に設定する。即ち、送信先のIPアドレスが136.187.1.1,TCP/20である場合には、ラベル#137を貼り、150.100.8.1に転送するような内容に設定する。以上により、サーバ実体CのTCP/20にラベルが割り当てられる。
【0122】
即ち、本発明の実施の形態に係るラベル配布方法では、エッジルータが少なくとも所定のIPアドレス、ポート番号により送信先が特定されるIPパケットに関するラベルをコアルータに対してラベル要求メッセージにより要求すると、コアルータが所定のラベルを割り当てて自己のILMの内容を設定し、当該ラベルの情報をラベル割当てメッセージによりエッジルータに送信する。エッジルータは、このラベル割当てメッセージを受信すると、上記IPパケットの少なくともIPアドレス及びポート番号と、ラベルとを対応付けるようにFTNの内容を設定する。尚、エッジルータが明示ルート(ER−Route)TLVによって通過すべきルータが存在する場合、ラベル要求メッセージによりその旨が示される。
【0123】
ところで、従来のCR−LDPでは、1つのラベルに対応するFECはIPプレフィックスだけとなっている。しかし、第3実施形態では、IPプレフィックスに加えて上位層(TCP,UDPのポート番号)を必要とするため、LDP,CR−LDP双方で共通して使用しているFEC TLV部分を拡張する。
【0124】
ここで、図20(a)は一般的なFEC TLVのフォーマットを示している。
【0125】
即ち、図20(a)に示されるように、一般的なFEC TLVのフォーマットのFEC記述フィールドには、以下の4種類が規定されている。
【0126】
0x01 ; ワイルドカード
0x02 ; IPプレフィックス
0x03 ; ホストアドレス
0x04 ; CR−LSP
そして、第3実施形態では、これらに加えて、新たにタイプ0x05(タイプ:ソケット)を定義する。このタイプ0x05のTLVフォーマットは、図20(b)に示される通りである。以上のような拡張により、CR−LDPを利用したアプリケーション別のラベル配布を可能としている。
【0127】
以下、図15(a),(b)、及び図21のフローチャートを参照して、第3実施形態に係る情報提供システムにおけるルータR(MPLSエッジルータ)の経路制御テーブル参照処理について更に詳細に説明する。
【0128】
先ず、ルータRは、IPパケットをデータとして有する物理フレームを受理すると(ステップS41)、当該IPパケットの物理ヘッダのTypeフィールド値がIPを示す0x0800であるか否かを判断する(ステップS42)。このステップS42において、ルータRは、Typeフィールド値が0x0800ではないならば、エラーとしてIPパケットを破棄し(ステップS43)、本処理を終了する。
【0129】
一方、ルータRは、Typeフィールド値が0x0800であるならば、IPヘッダの送信先アドレスを抽出する(ステップS44)。そして、サービスSに関する経路制御テーブル参照処理に移行する(ステップS45)。
【0130】
即ち、ルータRは、送信先が代表アドレス「136.187.1.1」であるか否かを判断し(ステップS45a)、136.187.1.1である場合には、ポート番号がTCP/80、TCP/20、TCP/21のいずれかであるかを判断する(ステップS45b)。そして、いずれでもない場合には、エラーとしてIPパケットを破棄し(ステップS45c)、本処理を終了する。一方、ポート番号がTCP/80、TCP/20、TCP/21のいずれかである場合には、先に図15(b)に示したFIBを参照し、FTNの136.187.1.1に対応するNHLFEに従い、IPパケットのTypeフィールド値をMPLSユニキャストパケットラベルを示す0x8847に書き換えた後、シム・ヘッダとしてラベル情報を追加し、当該ラベル付きのIPパケットを転送し(ステップS45d)、本処理を終了する。
【0131】
一方、上記ステップS45aにて、送信先が136.187.1.1でない場合には、先に図15(a)に示した通常の経路制御テーブルを参照し、対応するパケット転送先にパケット転送処理を行い(ステップS46)、本処理を終了する。
【0132】
以上説明したように、第3実施形態では、1つの代表アドレスが与えられた複数のサーバ実体C1乃至C5によって複数のサービス(例えば、ホームページ閲覧(HTTP)とファイルダウンロード(FTP)の如く)を提供し、各サービスについてDDoS攻撃によるサーバダウンの範囲を局所化することができる。
【0133】
即ち、第3実施形態では、仮にISP1からSmurf攻撃として知られる大量のICMPを使用したDDoS攻撃、或いは巨大なデータサイズを持つUDPを使用した攻撃があったとしても、各サーバ実体C乃至Cには指定のTCPポートを使用していない限りラベルが添付されないので、当該サーバ実体C乃至Cには影響がない。また、仮にISP1から正しく使用されているHTTPを使用したDDoS攻撃が行われたとしても、ダウンするのはHTTPサービスを提供しているサーバ実体Cだけであり、同じ代表アドレスでFTPサービスを提供するサーバ実体Cは何も影響のないまま正常にサービスを継続可能となる。
【0134】
また、第2実施形態と同様に、仮にサーバ実体C倒れたとしてもその影響範囲はISP1のユーザだけに限定されることとなる。
【0135】
以上、本発明の第1乃至第3の実施形態について説明したが、本発明はこれに限定されることなく、その趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、本発明は、例えば、電話音声をIPパケットに変換するVoIP技術を用いて中継交換する通話システムであるIP電話システムやオプティカルVPN等にも適用可能である。また、IPパケットのヘッダに含まれるTOS(type of service)に経路に関する情報を含め、当該情報に基づいて各ルータが経路制御処理を行うことによっても、同様の効果が得られる。
【0136】
【発明の効果】
以上詳述したように、本発明によれば、広域コンピュータネットワーク上で複数のサーバ実体を分散配置して各サーバ実体にかかる負荷を分散しつつ所定のサービスを提供するような状況下において、当該広域コンピュータネットワークを介しての外部から不正目的のアクセスがなされることによるシステム被害、例えば、DDoS攻撃等の被害の影響を局所化することで、情報提供サービス全体の攻撃耐性の向上と稼働率の向上とを図ることにある情報提供システム及び情報提供方法を提供することができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態に係る情報提供システムの構成を示す図である。
【図2】第1実施形態に係る情報提供システムにおいて、各サーバ実体C乃至Cに対して、ユーザグループが使用する経路を決定した様子を概念的に示す図である。
【図3】第1実施形態に係る情報提供システムによる経路制御処理の流れを示すフローチャートである。
【図4】(a)は第1実施形態に係る情報提供システムの各ルータR乃至R10が有する通常の経路制御処理テーブルを示す図であり、(b)はサービスSに係る転送先を定期する経路制御処理テーブルを示す図である。
【図5】第1実施形態に係る情報提供システムによる図4(a),(b)の2つの経路制御処理テーブル参照処理を示すフローチャートである。
【図6】第1実施形態に係る情報提供システムをユーザグループG乃至Gにより隔離した様子を示す図である。
【図7】第2実施形態に係る情報提供システムの構成を示す図である。
【図8】第2実施形態に係る情報提供システムの構成を示す図である。
【図9】(a)は第2実施形態に係る情報提供システムのルータRが有する通常の経路制御処理テーブルを示す図であり、(b)はサービスSに係る転送先を定期する経路制御処理テーブルを示す図である。
【図10】(a)は第2実施形態に係る情報提供システムのルータRが有する通常の経路制御処理テーブルを示す図であり、(b)はサービスSに係る転送先を定期する経路制御処理テーブルを示す図である。
【図11】第2実施形態に係る情報提供システムによるラベル情報の付加について説明するための図である。
【図12】第2実施形態に係る情報提供システムにおけるルータR(MPLSエッジルータ)の経路制御テーブル参照処理について更に詳細に説明するためのフローチャートである。
【図13】第2実施形態に係る情報提供システムにおけるルータR2(MPLSコアルータ)の経路制御テーブル参照処理について更に詳細に説明するためのフローチャートである。
【図14】図8と略同様である第3実施形態に係る情報提供システムの一部拡大図である。
【図15】(a)は第3実施形態に係る情報提供システムのルータRが有する通常の経路制御処理テーブルを示す図であり、(b)はサービスSに係る転送先を定期する経路制御処理テーブルを示す図である。
【図16】(a)は第3実施形態に係る情報提供システムのルータRが有する通常の経路制御処理テーブルを示す図であり、(b)はサービスSに係る転送先を定期する経路制御処理テーブルを示す図である。
【図17】(a)は第3実施形態に係る情報提供システムのルータRが有する通常の経路制御処理テーブルを示す図であり、(b)はサービスSに係る転送先を定期する経路制御処理テーブルを示す図である。
【図18】第3実施形態に係る情報提供システムによりCR−LDPを利用してラベルを配布する例を説明するための図である。
【図19】第3実施形態に係る情報提供システムにより、サーバ実体CのTCP/20にラベルが割り当てられるまでの詳細な手順を示す図である。
【図20】(a)は一般的なFEC TLVのフォーマットを示す図であり、(b)は新たにタイプ0x05(タイプ:ソケット)を定義したFEC TLVのフォーマットを示す図である。
【図21】第3実施形態に係る情報提供システムにおけるルータR(MPLSエッジルータ)の経路制御テーブル参照処理について更に詳細に説明するためのフローチャートである。
【符号の説明】
〜C サーバ実体
〜R10 ルータ
〜N ネットワーク
,U 利用ユーザ端末
〜G ユーザグループ
通常の経路制御処理テーブル
サービスSに関する経路制御処理テーブル[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an information providing system and an information providing method operating on, for example, a wide area computer network. In particular, the present invention relates to localization of system damage caused by unauthorized access from outside, thereby improving the attack resistance of the entire information providing service. The present invention relates to an information providing system and an information providing method for improving an operation rate.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, on a wide area computer network, various services are provided by an information providing system including a plurality of computers.
[0003]
In such an information providing system, one service is provided by a plurality of computers having the same function (hereinafter, referred to as “server entity”). Further, one service is assigned a network identifier (hereinafter, referred to as “representative address”) that specifies the service. Under such a configuration, in the information providing system, even if one server entity stops for some reason during the service provision, the user directed to the representative address via the wide area computer network By automatically distributing traffic to another running server entity, the service itself can be provided continuously.
[0004]
For example, an L4 switch used in a conventional information providing system reads header information of a transport layer of a packet, such as a TCP or UDP port number, and transfers the packet based on the header information. That is, the L4 switch realizes priority control and filtering, load distribution in an environment where a plurality of server entities are connected, and the like according to the application type identified by the port number.
[0005]
Further, in the L7 switch, based on header information of the seventh layer such as a URL, a transfer destination of a packet is determined and a transfer process is performed. That is, in the L7 switch, a transfer order can be set for each application by adopting a method of switching by recognizing the application itself.
[0006]
On the other hand, when a DNS (domain name system) server returns an IP address to a DNS resolver serving as a client, the DNS server functions to sequentially reply a plurality of IP addresses registered for one name. Is generally known as "DNS Lounge Robin". According to the DNS lounge robin, when the server entities are distributed and arranged at a plurality of sites, the load of the server can be distributed over a wide area by replying to the end user side with the IP address that has been sequentially turned.
[0007]
[Problems to be solved by the invention]
However, according to the conventional technology, if an unauthorized access from the outside is continuously performed on the representative address, all the server entities are damaged and the service cannot be provided. This is because, as described above, in the information providing system according to the related art, when one server entity becomes inoperable due to the unauthorized access, traffic is automatically distributed to another server entity.
[0008]
As described above, in the information providing system according to the related art, in order to back up the server entity that has stopped functioning due to the unauthorized access as described above, the traffic related to the unauthorized access is transmitted to another operating server entity. All the server entities in the system are damaged in a chain because they are distributed.
[0009]
The present invention has been made in view of the above problems, and an object of the present invention is to provide a predetermined service while distributing a load on each server entity by distributing a plurality of server entities on a wide area computer network. Under such circumstances, system damage due to unauthorized access from outside via the wide area computer network, for example, the effects of damages such as DDoS attacks, etc., can be An object of the present invention is to provide an information providing system and an information providing method for improving the attack resistance and the operation rate.
[0010]
[Means for Solving the Problems]
In order to achieve the above object, according to the first aspect of the present invention, in an information providing system operating on a wide area network, a predetermined network identifier is assigned to provide a predetermined service to an object on the wide area network. A plurality of information providing means, a first table defining a route control process from one network to another network on the wide area network, and a route control process for information having the predetermined network identifier as a destination. And at least the defined second table, and each of the information providing means provides the predetermined service by performing the route control processing with reference to either the first or the second table. Routing control means for physically dividing objects on the wide area network into predetermined units. Information providing system characterized the door is provided.
[0011]
According to the second aspect of the present invention, the second table performs label processing for adding, removing, and changing a predetermined label to information having the predetermined network identifier as a transmission destination, and then performs predetermined transmission. It is further characterized in that it is defined at least that transmission is to be performed first, or that information to which a predetermined label is added is subjected to further label processing and then transmitted to a predetermined transmission destination. An information providing system according to claim 1 is provided.
[0012]
In the invention according to claim 3, the predetermined network identifier is an IP address, and the route control processing means refers to the second table when receiving an IP packet having the predetermined network identifier as a destination. Then, after performing further label processing of the IP packet based on at least one of information of an IP address, a combination of an IP address and a port number, and a combination of an IP address and a protocol number, predetermined transmission is performed. The information providing system according to claim 2, wherein the information is transmitted first.
[0013]
According to the fourth aspect of the present invention, in an information providing system operating on a wide area network, when an IP packet to be transmitted from one network on the wide area network to another network is received, the first table is referred to. Then, when the IP packet is transmitted to the other network and an IP packet having a predetermined IP address related to a predetermined service as a destination is received, the IP packet is referred to the second table. A predetermined label is added, removed, or changed to the IP packet based on at least one of information of the IP address, the combination of the IP address and the port number, and the combination of the IP address and the protocol number. An edge router for transmitting to a predetermined destination after performing label processing, and an IP When receiving the packet, the core router refers to the third table, performs further label processing determined based on a predetermined label included in the IP packet, and transmits the packet to a predetermined destination. When a predetermined IP address related to the predetermined service is assigned and an IP packet is received via at least one of the edge router and the core router, predetermined information based on the IP packet is transmitted to the IP. A plurality of server entities to be transmitted to the source of the packet, and a route control process performed by the edge router and the core router to provide a predetermined service on the wide area network by the server entity in a predetermined unit. There is provided an information providing system characterized in that the information providing system is divided into groups.
[0014]
According to a fifth aspect of the present invention, in the information providing method by the information providing system operating on the wide area network, when the information providing system receives information to be transmitted from one network on the wide area network to another network, Refers to the first table, performs a route control process so as to transmit the information to the other network, and, on the other hand, receives information having a predetermined network identifier related to a predetermined service as a transmission destination. Performs a route control process based on a second table, and logically divides a target on the wide area network that provides the predetermined service by a predetermined unit by the route control process. A method is provided.
[0015]
In the invention according to claim 6, the second table performs label processing for adding, removing, or changing a predetermined label to information having the predetermined network identifier as a transmission destination, and then performs predetermined transmission. It is further characterized in that it is defined at least that transmission is to be performed first, or that information to which a predetermined label is added is subjected to further label processing and then transmitted to a predetermined transmission destination. An information providing method according to claim 5 is provided.
[0016]
In the invention of claim 7, the predetermined network identifier is an IP address, and when the information providing system receives an IP packet having the predetermined network identifier as a destination, the second table is referred to. Adding or removing a predetermined label to or from the IP packet based on at least one of the IP address, the combination of the IP address and the port number, and the combination of the IP address and the protocol number. The information providing method according to claim 6, further comprising transmitting a predetermined destination after performing a label process for changing.
[0017]
According to the invention of claim 8, there is provided a method by an information providing system having an edge router, a core router, and a server entity and operating on a wide area network. When an IP packet to be transmitted to the network is received, the IP packet is transmitted to the other network with reference to the first table, and a predetermined IP address related to a predetermined service is set as a transmission destination. When an IP packet to be received is received, the IP address, the combination of the IP address and the port number, and the combination of the IP address and the protocol number are stored in the second table with reference to the second table. Label processing for adding, removing, or changing a predetermined label to the IP packet based on the IP packet When the IP packet is transmitted to a predetermined destination after performing the above, and the above-mentioned IP packet subjected to the label processing is received by the above-mentioned core router, referring to the third table, based on the predetermined label included in the IP packet, After performing further label processing defined in the above, the packet is transmitted to a predetermined destination, and when the server entity receives an IP packet through at least one of the edge router and the core router, the Transmitting the predetermined information to the source of the IP packet, and performing a path control process by the edge router and the core router to provide a target on the wide area network for providing a predetermined service by the server entity in a predetermined unit. The information providing method is characterized in that the information providing method logically classifies the information.
[0018]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0019]
(1st Embodiment)
First, an information providing system and an information providing method according to a first embodiment of the present invention will be described in detail with reference to FIGS.
[0020]
FIG. 1 shows and describes the configuration of the information providing system according to the first embodiment.
[0021]
As shown in FIG. 1, the network N X Above, a plurality of server entities C 1 Or C 5 Are distributed. And network N X Administrator of a plurality of server entities C 1 Or C 5 To provide one service S by the server entity C 1 Or C 5 Are assigned the same network identifier "identifier" in advance. Further, the server entity C 1 Or C 5 Is the router R 1 Or R 10 Are communicably connected to each other via a router R 1 Or R 10 Through the external network N A Or N C Are also connected to communicate freely. These routers R 1 Or R 10 Has a function of transmitting a packet to a destination expected by a user.
[0022]
Router R 1 , R 4 , R 8 , R 10 Are edge routers and the others are core routers.
[0023]
In addition to the above, Network N X Within the predetermined user U 1 , U 2 And traffic is accommodated in two routers.
[0024]
As described above, the information providing system according to the first embodiment of the present invention is constructed as a network operated by a predetermined routing policy, that is, an autonomous system (AS). Here, in order to simplify the explanation, five server entities C 1 Or C 5 And 10 routers R 1 Or R 10 Is illustrated, but it is of course only an example, and it is a matter of course that the present invention is not limited to this number.
[0025]
The server entities C1 to C5 correspond to an example of an information providing unit described in the claims, and the routers R1 to R10 correspond to an example of a route control processing unit described in the claims.
[0026]
In such a configuration, in the information providing system according to the first embodiment, the user who uses the service S X Server entity C according to a predetermined routing policy according to 1 Or C 5 Grouped by the number of.
[0027]
Here, the user who uses the service S is, for example, the network N X Internal user U 1 And user U 2 , External network N A Or N C Means a user or the like that exists within. In this example, as described above, the network N X Within five server entities C 1 Or C 5 Are distributed, the network N X User U in 1 And user U 2 , Network N A Users, network N B Users, network N C The users are grouped into five groups.
[0028]
That is, the traffic of each user is transferred to a different server entity C. 1 Or C 5 Grouping such as sorting to. It is naturally assumed that the number of users is larger than the number of server entities. In this case, for example, predetermined classification is performed based on the number of server entities and the like, and traffic of each user is distributed.
[0029]
Next, in this information processing system, each server entity C 1 Or C 5 Traffic of each user group toward the network N X Determine which resource to use and which path to take. The determination of this route is performed by the network N X The network manager or the like at the time of following the network resources can be freely determined.
[0030]
Here, FIG. 2 shows each server entity C 1 Or C 5 In the following, a state in which a route used by a user group is determined will be conceptually shown and described. In the information providing system according to the first embodiment, the network N X Each router R in 1 Or R 10 , The server entity C 1 Or C 5 Is route control processing of the packet to which the transmission destination is, and the transmission destination is the server entity C. 1 Or C 5 The condition processing is separately performed from the path control processing of the packet that is not.
[0031]
Then, in order to realize such condition processing, each router R 1 Or R 10 Has two route control processing tables, which will be described in detail later.
[0032]
In this information processing system, as shown in the flowchart of FIG. 1 Or R 10 Receives the packet (step S1), the destination of the packet is the server entity C 1 Or C 5 Is determined (step S2). Destination is server entity C 1 Or C 5 If not, the packet is transferred along a route (for example, a route indicated by a dotted area in FIG. 2) predetermined by the network administrator instead of the normal route control process (step S4). , The transmission destination is server entity C 1 Or C 5 If not, a normal route control process is performed (step S3).
[0033]
For example, in FIG. X User U in 2 To server entity C 1 Or C 5 The traffic directed to (network identifier) is sent along a predetermined route, that is, the router R 8 , R 9 Is transferred through the server entity C 3 And another server entity C 1 , C 2 , C 4 , C 5 Will not be forwarded to On the other hand, user U 2 Server entity C from 1 Or C 5 Other than (network identifier Identifier), for example, network N A The traffic destined for the network N A Packets will be sequentially transferred to the server.
[0034]
In order to realize the above processing, in the information providing system according to the first embodiment, the network N X All routers R within 1 Or R 10 Is configured to have two routing control processing tables as shown in FIGS. 4 (a) and 4 (b).
[0035]
That is, FIG. 4A shows that essentially all routers R 1 Or R 10 Is a routing control processing table T for determining a normal packet transfer destination. 1 It is. This routing control processing table T 1 Defines a transmission destination identifier and a packet transfer destination identifier in association with each other. On the other hand, FIG. 4B illustrates a route control processing table T defined by a transfer destination for a service S employed in the information providing system according to the first embodiment. 2 It is. This path control processing table T 2 Defines only the packet transfer destination identifier corresponding to the network identifier "identifier" related to the service S. The identifier of the packet transfer destination corresponding to the network identifier "identifier" 1 Or R 10 Server entity C that provides service S and the traffic of the group that it processes 1 Or C 5 Will be set according to the position of.
[0036]
The table T1 corresponds to an example of a first table described in the claims, and the table T2 corresponds to an example of the second and third tables described in the claims.
[0037]
Here, the router R shown in FIG. 1 Or R 10 Is a route control table reference process, and is achieved by sequentially referring to two route control process tables in a procedure as shown in FIG. Hereinafter, this will be described in detail. Note that this series of processes corresponds to an example of an information providing method.
[0038]
Router R 1 Or R 10 Receives the packet (step S11), it extracts information on the destination from the header of the packet (step S12).
[0039]
And router R 1 Or R 10 Performs a routing control table reference process for the service S (step S13). That is, the transmission destination is the server entity C related to the service S. 1 Or C 5 It is determined whether or not the received information is (network identifier) (step S13a). And the transmission destination is server entity C 1 Or C 5 Is determined, the route control processing table T shown in FIG. 2 , The corresponding packet transfer destination is specified, and the packet is transferred to the transfer destination (step S13b). On the other hand, in step S13a, the transmission destination is the server entity C related to the service S. 1 Or C 5 If it is determined that it is not the normal path control processing table T shown in FIG. 1 To transfer the packet to the corresponding packet transfer destination (step S14). Thus, a series of processing ends.
[0040]
By a series of routing control described above, the network N A From server to service S is server entity C 1 Network N B From server to service S is server entity C 2 Only to be sent. Further, for the traffic other than the service S, a normal route control process is performed as in the conventional case. That is, as far as the traffic to the service S is concerned, as shown in FIG. 1 Or G 5 Can be isolated every time.
[0041]
As described above, according to the information providing system according to the first embodiment, the server entity C that provides the same service 1 Or C 5 Assigned the same representative address (identifier) to the normal routing control processing table T 1 And the routing control processing table T corresponding to the representative address. 2 Router R to use properly 1 Or R 10 Allows user traffic to be transmitted to each server entity C 1 Or C 5 By distributing the load, localization of system damage (for example, DDoS attacks, etc.) due to unauthorized access from the outside via a wide area computer network improves the attack resistance of the entire information providing service and the operating rate. Can be improved.
[0042]
That is, if the network N A Even if a computer criminal attacks the service S via the server, the server entity C 1 May stop functioning, but other server entity C 2 Or C 6 Can continue to provide services as usual without being affected. In that case, the network N B , N C , User U 1 , User U 2 For network N A It can completely hide the effects of attacks via the Internet. Further, even if a plurality of computer criminals cooperate to launch an attack on the service S, one computer criminals of the number of user groups must be included in a user group that can be independently determined by the network administrator. If all server entities C 1 Or C 5 Can't attack all of them. Since this is practically impossible, it can be said that the information providing system according to the first embodiment having the above-described configuration and operation has extremely high attack resistance against computer criminals.
[0043]
(2nd Embodiment)
Next, an information providing system and an information providing method according to a second embodiment of the present invention will be described in detail with reference to FIGS.
[0044]
In the second embodiment, it is assumed that some servers (DNS, Web, etc.) are constructed in a wide area IP network. Here, the network identifier assigned to the server entity, that is, the “representative address” is an IP address. The IP address may be IPv4 or IPv6.
[0045]
First, FIG. 7 shows and describes the configuration of an information providing system according to the second embodiment.
[0046]
As shown in FIG. X Above, a plurality of server entities C 1 Or C 5 Are distributed. And ISP1 X Administrator of a plurality of server entities C 1 Or C 5 In order to provide one service S by means of these server entities C 1 Or C 5 Are assigned the same network identifier, that is, the same representative address in advance. These server entities C 1 Or C 5 The representative address assigned to ISP1 X May be any as long as they hold, and in the second embodiment, for example, a representative address "136.187.1.1" is used.
[0047]
Server entity C 1 Or C 5 Is the router R 1 Or R 10 Are communicably connected to each other via the 1 Or R 10 Via an external ISP1 A Or 1 C Are also connected to communicate freely. These routers R 1 Or R 10 Has a function of transmitting an IP packet to a destination expected by a user. Server entity C 1 Or C 5 , Router R 1 Or R 10 Is not limited to this.
[0048]
ISP1 X ISP1 outside of A Or 1 C Has an AS number. These ISP1 A Or 1 C Exchanges IP routing information based on BGP (Border Gateway Protocol) which is a protocol used between ASs.
[0049]
In addition to the above, the ISP1 X Within the predetermined user U 1 , U 2 And traffic is accommodated in two routers. In addition, this user U 1 Or U 2 Is ISP1 X Means the connected organization connected to. The server entity C 1 Or C 5 Corresponds to an example of the information providing means described in the claims, and the router R 1 Or R 10 Corresponds to an example of a route control unit described in the claims.
[0050]
In such a configuration, ISP1 X The network administrator of each server entity C 1 Or C 5 Configure a user group for. That is, for example, the server entity C 1 ISP1 A User of the server accesses the server entity C 2 ISP1 X User U of 1 Accesses the server entity C3 and the ISP1 X User U of 2 Accesses the server entity C 4 ISP1 B User of the server accesses the server entity C 5 ISP1 C The user group is defined so that the user of the user accesses. However, the user group is not limited to this mode.
[0051]
Subsequently, the user group is defined as each server entity C 1 Or C 5 Is determined by determining the route to be passed before reaching the router R. 1 Or R 10 The predetermined setting is made with. This setting is made for each router R 1 Or R 10 And the corresponding router R 1 Or R 10 To server entity C 1 Or C 5 This is achieved by providing a function of performing packet transfer without depending on the IP layer.
[0052]
Specifically, each router R 1 Or R 10 To server entity C 1 Or C 5 A first method for setting up a physical leased line up to each router R 1 Or R 10 In the above, a second method or the like may be adopted in which a label that does not depend on the IP address is set and a setting is made so that packet transfer processing in accordance with the label can be performed. As a method for realizing the latter second technique, MPLS (multiprotocol label switching), GMPLS (generalized multiprotocol label switching), ATM (Asynchronous Transfer, etc.) are available.
[0053]
Here, MPLS is a packet transfer technology of a cut-through method used in an IP network, and is also called a label switching technology. In this MPLS, an identifier called a label is inserted into an IP packet, and an MPLS-compatible node on the IP network that manages the correspondence between the label and the route transfers the packet at a high speed by using the label, thereby realizing load distribution of traffic. The label is inserted between the layer 2 header and the layer 3 header of the IP packet in the form of an MPLS-specific header called a shim header. Note that a path through which a packet is delivered in MPLS is called an LSP (Label Switch Path). GMPLS is an extension of the MPLS label delivery technology to the wavelength of light and time slots in TDM. In either case, information necessary for packet delivery is exchanged using a label distribution protocol such as CR-LDP that allows explicit LSP setting.
[0054]
The ATM VC setting is to implement the LSP in the MPLS with the function of the VC in the ATM.
[0055]
Hereinafter, an implementation example of the second embodiment employing MPLS will be described in detail.
[0056]
In this example, router R 1 Or R 4 Have an MPLS function and operate on an LSR. Here, the LSR refers to a router (MPLS edge router, MPLS core router) that can interpret MPLS.
[0057]
Router R 1 Adds an MPLS label to an IP packet whose destination is the IP address 136.187.1.1, and 2 Send to Then, the setting is made so that the IP packet having the destination other than the IP address is subjected to the routing by the IGP (Interior Gateway Protocol) which is the routing protocol used in the normal AS.
[0058]
Where router R 1 (A) and (b) of FIG. This corresponds to FIG. 4 described in the first embodiment.
[0059]
As shown in FIG. 9A, the normal routing control processing table is obtained by IGP and BGP (Border Gateway Protocol), and the destination and the IP address of the packet transfer destination are associated with each other. .
[0060]
On the other hand, as shown in FIG. 9B, FTN (FEC to NHLFE) in the MPLS Forwarding Information Base (FIB) uses some label distribution procedure, for example, CR-LDP (Constraint-Based LDP) or RSVP-TE. (Resource Reservation Protocol Traffic Engineering Extension) or the like.
[0061]
CR-LDP is an extension of LDP, and differs from the prefix-based method in that a label path is individually created between certain routers.
[0062]
The RSVP-TE transmits a label assignment request to an adjacent router, and the router that has received the request assigns a label to a corresponding prefix or the like in accordance with the content of the request. That is, this is a method in which a label is individually assigned only to a prefix that has been requested.
[0063]
FTN is a table showing a relationship between FEC (Forwarding Equivalence Class) and NHLFE (Next Hop Label Forwarding Entry).
[0064]
The FEC indicates one of the destination group entries.
[0065]
In NHLFE, a predetermined label is added to a packet to which no label is added (command: label PUSH), a label of a packet to which a label is already added is removed (command: label POP), and a label is added. This shows the contents of the exchange of the label of the packet (command: label SWAP) and the contents taken.
[0066]
For example, in the FTN of FIG. 9B, the FEC indicates “136.187.1.1”, which means that the transmission destination address is “136.187.1.1”. .
[0067]
Further, the NHLFE has "label PUSH, label # 136", which means that a label to which 136 is assigned as an identification number is added to the packet. This will be described as “label # 136”. Further, NHLFE has "Forward = 150.100.9.1", which means that the IP address of the transfer destination of the packet to which the label # 136 is added is 150.100.9.1. I have.
[0068]
Note that the FILS of the MPLS generally includes an ILM (Incoming Label Mapping) indicating the relationship between the label and the NHLFE, but in this example, the router R is used for convenience of explanation. 1 It is assumed that the ILM has not been set.
[0069]
The table in FIG. 9A corresponds to an example of a first table described in claims, and the table in FIG. 9B corresponds to an example of a second table in claims.
[0070]
Similarly, router R 2 (A) and (b) of FIG. This corresponds to FIG. 4 described in the first embodiment.
[0071]
As shown in FIG. 10A, the normal routing control processing table is obtained by IGP and BGP (Border Gateway Protocol), and the destination and the IP address of the packet transfer destination are associated with each other. .
[0072]
On the other hand, as shown in FIG. 10B, the ILM of MPLS indicates the relationship between the label attached to the transmitted packet and NHLFE.
[0073]
Again, in NHLFE, a predetermined label is added to a packet to which no label is added (command: label PUSH), a label of a packet to which a label is already added is removed (command: label POP), and a label is added. The contents of the attached packet are exchanged (command: label SWAP), and the contents taken are shown.
[0074]
For example, in the ILM of FIG. 10B, the Incoming Label indicates “# 136”, which means that the identification number of the label added to the received labeled packet is 136.
[0075]
In addition, the label “POP, Forward = 136.187.1.1” is written in the NHLFE of the ILM. This is to remove the label # 136 from the packet and then transfer the packet to the IP address 136.187.1.1. Means In this example, router R 2 In, for convenience of explanation, it is assumed that FTN is not set. The table in FIG. 10B corresponds to an example of a third table described in the claims.
[0076]
Next, addition of label information will be described with reference to FIGS.
[0077]
In this example, it is assumed that the network uses a wide area Ethernet dedicated line. Now, ISP1 in FIG. A The frame directed to the IP address 136.187.1.1 has a physical header, an IP header, and IP data.
[0078]
Then, the IP packet is transmitted to the router R 1 Are labeled as shown in FIG. That is, as shown in FIGS. 11A and 11B, in the labeling process, the Type field value indicating the upper layer protocol in the layer 2 header of the network media indicates the MPLS unicast packet label from 0x0800 indicating IP. This is performed by rewriting to 0x8847, and further inserting a shim header containing MPLS label information. Even when other network media are used, although the format and the field value of the layer 2 header are different, the value indicating the upper protocol basically indicates the MPLS unicast packet label from the value indicating the IP. There is no difference in rewriting.
[0079]
On the other hand, ISP1 in FIG. A To another destination, eg, ISP1 X Via ISP1 B The labeling process is not performed on the packet destined for (IP address 160.160.160.160). Therefore, in this case, the Type field value of the layer 2 header is not rewritten, and the field value is maintained at 0x0800.
[0080]
Hereinafter, the router R in the information providing system according to the second embodiment will be described with reference to FIGS. 9A and 9B and the flowchart of FIG. 1 (MPLS edge router) routing control table reference processing will be described in further detail.
[0081]
Note that the processing of this example also corresponds to an example of an information providing method.
[0082]
Router R 1 Receives the physical frame having the IP packet as data (step S21), and determines whether or not the Type field value of the physical header of the IP packet is 0x0800 indicating IP (step S22). In this step S22, the router R 1 If the Type field value is not 0x0800, the IP packet is discarded as an error (step S23), and the process ends.
[0083]
On the other hand, router R 1 Extracts the destination address of the IP header if the Type field value is 0x0800 (step S24). Then, the process shifts to a route control table reference process for the service S (step S25).
[0084]
That is, router R 1 Determines whether the transmission destination is the representative address "136.187.1.1" (step S25a). If the transmission destination is 136.187.1.1, the process proceeds to FIG. 9B. Referring to the indicated FIB, in accordance with the NHLFE corresponding to 136.187.1.1 of FTN, the Type field value of the IP packet is rewritten to 0x8847 indicating the MPLS unicast packet label, and then the label information is added as a shim header. Then, the IP packet with the label is transferred (step S25b), and the process ends.
[0085]
On the other hand, if it is determined in step S25a that the transmission destination is not 136.187.1.1, the packet is forwarded to the corresponding packet forwarding destination by referring to the normal routing control table shown in FIG. The process is performed (step S26), and the process ends.
[0086]
Next, referring to the flowchart of FIG. 13, the router R in the information providing system according to the second embodiment will be described. 2 The process of referring to the routing control table of the (MPLS core router) will be described in further detail. Note that this series of processes corresponds to an example of an information providing method.
[0087]
Router R 2 Receives a physical frame having an IP packet as data (step S31), and determines whether the Type field value of the physical header of the IP packet is 0x0800 indicating IP (step S32).
[0088]
In this step S32, the router R 2 If the Type field value is not 0x0800 indicating the IP, it determines whether the Type field value is 0x8847 indicating the MPLS unicast packet label (step S35).
[0089]
If the value of the Type field is not 0x8847 at step 35, the IP packet is discarded as an error (step S36), and the process ends.
[0090]
On the other hand, router R 2 If the Type field value is 0x8847, the process proceeds to the routing control table reference process for the service S (step S37).
[0091]
That is, router R 2 Determines whether the destination is label # 136 (step S37a). If it is label # 137 in step S37a, referring to the FIB shown in FIG. 10B first, after removing label # 137 of the IP packet according to NHLFE corresponding to label # 137 of the LIM, the IP packet is The IP address is transferred to 136.187.1.1 (step S25b), and the process ends. If the destination is not label # 137 in step S37a, the IP packet is discarded as an error (step S37b), and the process ends.
[0092]
On the other hand, if the destination is determined to be 0x0800 indicating the IP in step S32, the router R 2 Extracts the transmission destination address of the IP header from the IP packet (step S33), and refers to the normal routing table shown in FIG. A packet transfer process is performed (step S34), and this process ends.
[0093]
As described above, according to the second embodiment, a plurality of server entities C that provide the same service 1 Or C 5 In an information providing system in which is distributed and arranged, for example, an MPLS edge router R having an MPLS function 1 , R 4 , R 8 , R 10 And MPLS core router R 2 , R 3 , R 5 , R 6 , R 7 , R 9 Are arranged, and the router is provided with a normal routing control processing table and an MPLS FIB. 1 Or R 10 Sends the IP packet to the server entity C using the table 1 Or C 5 By distributing the load, localization of system damage (for example, DDoS attacks) due to unauthorized access from the outside via a wide area computer network is performed while distributing the load. The rate can be improved.
[0094]
That is, in the second embodiment, ISP1 A If there is a DDoS attack from, all traffic will be sent to server entity C 1 Concentrate on As a result, the server entity C 1 Goes down, but the other server entity C 2 Or C 5 Can operate continuously. In addition, server entity C 1 Down the ISP1 B User, ISP1 C User, ISP1 X User U in 1 , User U 2 I don't know. Furthermore, if ISP1 B To server entity C 1 ISP1 B To server entity C 1 Cannot reach the IP packet. Further, even if an IP source route is set to make a packet reach 136.187.1.1 through 150.100.7.1, the router R 2 Does not have an entry via IP of 136.187.1.1, the packet cannot reach 136.187.1.1.
[0095]
(Third embodiment)
Next, an information providing system and an information providing method according to a third embodiment of the present invention will be described in detail with reference to FIGS.
[0096]
In the third embodiment, as in the second embodiment, the ISP 1 X Consider the case of building an autonomous system on the above. In the second embodiment, one representative address is set for one service. However, in the third embodiment, a plurality of services are provided by one representative address, and a DDoS attack is performed on each service. Localizes the range of server down due to. That is, in a situation where a plurality of server entities are distributed and arranged on the wide area computer network and a predetermined service is provided while distributing the load on each server entity, an unauthorized purpose from outside via the wide area computer network may be used. Is characterized by improving the attack resistance of the entire information providing service and the operating rate by localizing the effects of system damage caused by access to the information, for example, the damage of DDoS attacks and the like. This is the same as the first and second embodiments described above.
[0097]
The configuration of the information providing system according to the third embodiment of the present invention is substantially the same as that of FIG. 7 described above as the second embodiment. Will be described using the same reference numerals. The relationship between each configuration and the claims is substantially the same as that described in the second embodiment.
[0098]
In the third embodiment, the ISP 1 X The network administrator configures a user group for each server entity.
[0099]
In the third embodiment, for example, “Web page browsing (HTTP) is performed by server entity C. 1 And file download (FTP) is performed on server entity C 4 To use. " That is, the server entity used by the service can be changed while using the same representative address.
[0100]
Here, FIG. 14 illustrates a partially enlarged view of the information providing system according to the third embodiment, which is substantially similar to FIG.
[0101]
As shown in FIG. A Homepage browsing (HTTP) is performed by server entity C 1 , File download (FTP) is server entity C 4 The user traffic is grouped so as to select. Next, the user group is assigned to each server entity C. 1 Or C 5 Is determined, and the network is set so that such a routing process is performed. For other traffic, settings are made so as to be left to normal IGP routing.
[0102]
Hereinafter, an implementation example of the third embodiment employing MPLS will be described in detail.
[0103]
In this example, router R 1 Or R 4 Have an MPLS function and operate on an LSR. Here, the LSR refers to a router (MPLS edge router, MPLS core router) that can interpret MPLS.
[0104]
Where router R 1 (A) and (b) of FIG. This corresponds to FIG. 4 described in the first embodiment.
[0105]
As shown in FIG. 15A, the normal routing control processing table is obtained by IGP and BGP, and the destination and the IP address of the packet transfer destination are associated with each other. Then, as shown in FIG. 15B, the FTN in the MPLS FIB extends some label distribution procedure, for example, CR-LDP or RSVP-TE, and combines a protocol number and a port number in addition to an IP address. Obtained. The difference from the second embodiment described above lies in the manner in which the MPLS FIB is provided. That is, in the second embodiment described above, one label is set for the IP address, but in the third embodiment, one label is set for one protocol port. In detail, one label is set for one protocol port because TCP / 80 is used in HTTP. On the other hand, in the FTP, one label is set for two protocol ports in order to use both TCP / 20 and TCP / 21.
[0106]
For example, when the transmission destination address is 136.187.1.1 and the protocol port is TCP / 80, the FTN in FIG. 15B transmits the packet with the label # 136 added to the IP address 150.100. .9.1. Further, when the transmission destination address of the FTN is 136.187.1.1 and the protocol ports are TCP / 20 and TCP / 21, the packet to which the label # 137 is added is sent to the IP address 150.100.9. 1 means to be transferred.
[0107]
Here, the FILS of the MPLS generally includes the ILM indicating the relationship between the label and the NHLFE, but in this example, for convenience of explanation, the router R 1 It is assumed that the ILM has not been set. The table in FIG. 15A corresponds to an example of a first table described in claims, and the table in FIG. 15B corresponds to an example of a second table in claims.
[0108]
Similarly, router R 2 16A and 16B show the route control processing table included in. This corresponds to FIG. 4 described in the first embodiment.
[0109]
As shown in FIG. 16A, the normal routing control processing table is obtained by IGP and BGP, and the transmission destination and the IP address of the packet transfer destination are associated with each other. On the other hand, as shown in FIG. 16B, the ILM of MPLS indicates the relationship between the label attached to the transmitted packet and NHLFE. For example, in the ILM of FIG. 10B, when the label added to the IP packet is # 136, it is necessary to remove the label # 136 and transfer the packet to the IP address 136.187.1.1. Means. Further, when the label added to the IP packet is # 137, it means that the label is changed to a new label # 237 and then transferred to the IP address 150.100.7.2.
[0110]
Here, for convenience of explanation, the router R 2 In, it is assumed that FTN is not set. The table shown in FIG. 16B corresponds to an example of a third table described in the claims.
[0111]
Similarly, router R 3 (A) and (b) of FIG. This corresponds to FIG. 4 described in the first embodiment.
[0112]
As shown in FIG. 17A, the normal routing control processing table is obtained by IGP and BGP, and the transmission destination and the packet transfer destination IP address are associated with each other. On the other hand, as shown in FIG. 17B, the ILM of MPLS indicates the relationship between the label attached to the transmitted packet and NHLFE. For example, in the ILM of FIG. 17B, if the label added to the IP packet is # 237, it is necessary to remove the label # 237 and transfer the packet to the IP address 136.187.1.1. Means. Here, for convenience of explanation, the router R 3 In, it is assumed that FTN is not set. The table shown in FIG. 17B corresponds to an example of a third table described in the claims.
[0113]
Here, as described above, in order to distribute the label based on the protocol number and the port number in addition to the IP address, it is necessary to extend the existing label distribution procedure.
[0114]
Hereinafter, an example of distributing labels using CR-LDP will be described with reference to FIG. This corresponds to the label distribution method of the present invention.
[0115]
In the CR-LDP, a Downstream on Demand type label distribution method and an Ordered LSP control method are combined. In this Downstream on Demand type label distribution system, labels are assigned only when a label assignment request is issued.
[0116]
As shown in FIG. 18, the server entity C 1 Label distribution corresponding to (136.187.1.1, TCP / 80) is performed by router R 1 Designates a router that explicitly passes through an explicit route (ER-Route) TLV (router R 1 -Router R 2 Is a direct connection, so router R 2 Only) is sent to the router R 2 To the router R 2 Sends a label assignment message to router R 1 It is done by returning to.
[0117]
In contrast, server entity C 4 The label distribution corresponding to (136.187.1.1, TCP20, TCP21) is performed by the router R. 1 The router that should pass through the explicit route (ER-Route) TLV is router R 2 From router R 3 The router R sends a label request message explicitly designated as 3 To the router R 3 The label assignment message sent by 1 It will be done by arriving at.
[0118]
Here, this server entity C 4 The detailed procedure until a label is assigned to TCP / 20 is as shown in FIG. Hereinafter, this will be described in detail.
[0119]
That is, router R 1 More router R 2 When a label of 136.187.1.1, TCP / 20 is requested by the label request message (# 1), the router R 2 Is the router R 3 And transmits a label request message to request a label of 136.187.1.1, TCP / 20 (# 2). Router R 3 Assigns the label # 237 and sets the ILM to the symbol T in FIG. 10 (# 3). In other words, if the label # 237 is affixed to the transferred IP packet, the ILM is set so that the label # 237 is peeled off and transferred to 136.187.1.1.
[0120]
Then, router R 3 Sends the information of label # 237 to the router R 2 (# 4). Router R 2 Receives the label assignment message, assigns the input label # 137 to the output label # 237 of FEC 136.187.1.1, TCP / 20, and sets the ILM to T in FIG. 11 (# 5). That is, router R 2 Is such that when the label # 137 is attached to the transferred IP packet, the label # 137 is changed to the label # 237, and the FIB ILM is transferred to 150.100.7.2. It is set to.
[0121]
Then, router R 2 Transmits the information of label # 137 to the router R by the label assignment message. 1 (# 6). Router R 1 Receives the label assignment message, sets the FTN to the code T in FIG. 12 Set as shown in. That is, when the IP address of the transmission destination is 136.187.1.1 and TCP / 20, the content is set such that the label # 137 is attached and the content is transferred to 150.100.8.1. As described above, the server entity C 4 Is assigned a label to TCP / 20.
[0122]
That is, in the label distribution method according to the embodiment of the present invention, when the edge router requests a label for an IP packet whose transmission destination is specified by at least a predetermined IP address and a port number from the core router by a label request message, the core router Assigns a predetermined label, sets the contents of its own ILM, and transmits the information of the label to the edge router by a label assignment message. When receiving the label assignment message, the edge router sets the contents of the FTN so that at least the IP address and port number of the IP packet are associated with the label. When there is a router to be passed by the edge router by the explicit route (ER-Route) TLV, the fact is indicated by the label request message.
[0123]
By the way, in the conventional CR-LDP, the FEC corresponding to one label is only the IP prefix. However, in the third embodiment, since an upper layer (TCP and UDP port numbers) is required in addition to the IP prefix, the FEC TLV portion commonly used by both LDP and CR-LDP is extended.
[0124]
Here, FIG. 20A shows a general FEC TLV format.
[0125]
That is, as shown in FIG. 20A, the following four types are defined in the FEC description field of the general FEC TLV format.
[0126]
0x01; wild card
0x02; IP prefix
0x03: Host address
0x04; CR-LSP
In the third embodiment, in addition to these, a new type 0x05 (type: socket) is defined. The type 0x05 TLV format is as shown in FIG. The above-described extension enables label distribution for each application using CR-LDP.
[0127]
Hereinafter, the router R in the information providing system according to the third embodiment will be described with reference to FIGS. 15A and 15B and the flowchart of FIG. 1 (MPLS edge router) routing control table reference processing will be described in further detail.
[0128]
First, router R 1 Receives the physical frame having the IP packet as data (step S41), and determines whether or not the Type field value of the physical header of the IP packet is 0x0800 indicating IP (step S42). In this step S42, the router R 1 If the Type field value is not 0x0800, the IP packet is discarded as an error (step S43), and the process ends.
[0129]
On the other hand, router R 1 Extracts the destination address of the IP header if the Type field value is 0x0800 (step S44). Then, the process shifts to a route control table reference process for the service S (step S45).
[0130]
That is, router R 1 Determines whether the transmission destination is the representative address "136.187.1.1" (step S45a). If the transmission destination is 136.187.1.1, the port numbers are TCP / 80 and TCP. / 20 or TCP / 21 (step S45b). If neither is the case, the IP packet is discarded as an error (step S45c), and the process ends. On the other hand, when the port number is one of TCP / 80, TCP / 20, and TCP / 21, the FIB shown in FIG. 15B is referred to, and the FTN is set to 136.187.1.1. After rewriting the Type field value of the IP packet to 0x8847 indicating the MPLS unicast packet label according to the corresponding NHLFE, label information is added as a shim header, and the labeled IP packet is transferred (step S45d). The process ends.
[0131]
On the other hand, if it is determined in step S45a that the transmission destination is not 136.187.1.1, the packet is forwarded to the corresponding packet destination by referring to the normal routing control table shown in FIG. The process is performed (Step S46), and the process ends.
[0132]
As described above, in the third embodiment, a plurality of services (for example, homepage browsing (HTTP) and file download (FTP)) are provided by a plurality of server entities C1 to C5 given one representative address. However, the range of server down due to the DDoS attack can be localized for each service.
[0133]
That is, in the third embodiment, if ISP1 A Even if there is a DDoS attack using a large amount of ICMP known as a Smurf attack or an attack using UDP having a huge data size, each server entity C 1 Or C 5 Is not attached unless the specified TCP port is used, the server entity C 1 Or C 5 Has no effect. Also, if ISP1 A Even if a DDoS attack using HTTP that has been used correctly from is performed, the server entity C that provides the HTTP service will go down. 1 Server entity C that provides the FTP service with the same representative address 4 Can continue the service normally without any influence.
[0134]
Also, as in the second embodiment, if the server entity C 1 Even if you fall, the affected area is ISP1 A Of users.
[0135]
The first to third embodiments of the present invention have been described above. However, the present invention is not limited to the embodiments, and it is needless to say that various improvements and modifications can be made without departing from the gist of the present invention. . For example, the present invention can be applied to an IP telephone system, an optical VPN, or the like, which is a communication system that performs relay switching using VoIP technology for converting telephone voice into IP packets. A similar effect can be obtained by including information on a path in TOS (type of service) included in the header of the IP packet and performing a path control process based on the information and by each router.
[0136]
【The invention's effect】
As described above in detail, according to the present invention, in a situation where a plurality of server entities are distributed and arranged on a wide area computer network and a predetermined service is provided while distributing the load on each server entity, By localizing the system damage caused by unauthorized access from outside via a wide area computer network, for example, the effects of damages such as DDoS attacks, it is possible to improve the attack resistance of the entire information provision service and improve the operation rate. It is possible to provide an information providing system and an information providing method for improving the information.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of an information providing system according to a first embodiment of the present invention.
FIG. 2 is a diagram illustrating each server entity C in the information providing system according to the first embodiment; 1 Or C 5 FIG. 5 is a diagram conceptually showing a state in which a route used by a user group is determined for the user.
FIG. 3 is a flowchart illustrating a flow of a route control process performed by the information providing system according to the first embodiment.
FIG. 4A shows each router R of the information providing system according to the first embodiment; 1 Or R 10 FIG. 7B is a diagram illustrating a normal routing control processing table included in FIG. 5B, and FIG. 7B is a diagram illustrating a routing control processing table for periodically setting a transfer destination related to the service S;
FIG. 5 is a flowchart showing two route control process table reference processes of FIGS. 4A and 4B by the information providing system according to the first embodiment.
FIG. 6 shows an information providing system according to the first embodiment as a user group G; 1 Or G 5 FIG.
FIG. 7 is a diagram illustrating a configuration of an information providing system according to a second embodiment.
FIG. 8 is a diagram illustrating a configuration of an information providing system according to a second embodiment.
FIG. 9A illustrates a router R of the information providing system according to the second embodiment; 1 FIG. 7B is a diagram illustrating a normal routing control processing table included in FIG. 5B, and FIG. 7B is a diagram illustrating a routing control processing table for periodically setting a transfer destination related to the service S;
FIG. 10A shows a router R of the information providing system according to the second embodiment; 2 FIG. 7B is a diagram illustrating a normal routing control processing table included in FIG. 5B, and FIG. 7B is a diagram illustrating a routing control processing table for periodically setting a transfer destination related to the service S;
FIG. 11 is a diagram illustrating the addition of label information by the information providing system according to the second embodiment.
FIG. 12 shows a router R in the information providing system according to the second embodiment. 1 It is a flowchart for demonstrating the routing control table reference process of (MPLS edge router) in further detail.
FIG. 13 is a flowchart for explaining in more detail a routing control table reference process of a router R2 (MPLS core router) in the information providing system according to the second embodiment.
FIG. 14 is a partially enlarged view of an information providing system according to a third embodiment, which is substantially similar to FIG.
FIG. 15A shows a router R of the information providing system according to the third embodiment; 1 FIG. 7B is a diagram illustrating a normal routing control processing table included in FIG. 5B, and FIG. 7B is a diagram illustrating a routing control processing table for periodically setting a transfer destination related to the service S;
FIG. 16A illustrates a router R of an information providing system according to a third embodiment; 2 FIG. 7B is a diagram illustrating a normal routing control processing table included in FIG. 5B, and FIG. 7B is a diagram illustrating a routing control processing table for periodically setting a transfer destination related to the service S;
FIG. 17A shows a router R of the information providing system according to the third embodiment; 3 FIG. 7B is a diagram illustrating a normal routing control processing table included in FIG. 5B, and FIG. 7B is a diagram illustrating a routing control processing table for periodically setting a transfer destination related to the service S;
FIG. 18 is a diagram illustrating an example in which a label is distributed using CR-LDP by the information providing system according to the third embodiment.
FIG. 19 is a diagram illustrating a server entity C by the information providing system according to the third embodiment. 4 FIG. 11 is a diagram showing a detailed procedure until a label is assigned to TCP / 20 of FIG.
20A is a diagram showing a general FEC TLV format, and FIG. 20B is a diagram showing a FEC TLV format in which type 0x05 (type: socket) is newly defined.
FIG. 21 shows a router R in the information providing system according to the third embodiment. 1 It is a flowchart for demonstrating the routing control table reference process of (MPLS edge router) further in detail.
[Explanation of symbols]
C 1 ~ C 5 Server entity
R 1 ~ R 10 Router
N A ~ N X network
U 1 , U 2 User terminal
G 1 ~ G 5 User group
T 1 Normal routing control processing table
T 2 Routing control processing table for service S

Claims (8)

広域ネットワーク上で稼動する情報提供システムにおいて、所定のネットワーク識別子が割り当てられており、上記広域ネットワーク上の対象に所定のサービスを提供するための複数の情報提供手段と、
上記広域ネットワーク上の一のネットワークから他のネットワークへの経路制御処理について定義した第1のテーブルと、上記所定のネットワーク識別子を送信先とする情報の経路制御処理について定義した第2のテーブルと、を少なくとも有しており、上記第1又は第2のテーブルのいずれかを参照して経路制御処理を行うことで、上記各情報提供手段が上記所定のサービスを提供する上記広域ネットワーク上の対象を所定単位で物理的に区分けするための経路制御手段と、
を具備することを特徴とする情報提供システム。In an information providing system operating on a wide area network, a predetermined network identifier is assigned, and a plurality of information providing means for providing a predetermined service to an object on the wide area network,
A first table that defines a route control process from one network to another network on the wide area network, a second table that defines a route control process of information having the predetermined network identifier as a destination, By performing a route control process with reference to either the first or second table, whereby each of the information providing means can provide an object on the wide area network for providing the predetermined service. A path control means for physically dividing in predetermined units,
An information providing system comprising: 上記第2のテーブルは、上記所定のネットワーク識別子を送信先とする情報に対して、所定のラベルの付加、除去、変更をするラベル処理を行った後、所定の送信先に送信する旨、或いは、所定のラベルが付加された情報に対して、更なるラベル処理を行った後、所定の送信先に送信する旨、を少なくとも定義していることを更に特徴とする請求項1に記載の情報提供システム。The second table indicates that after performing label processing for adding, removing, and changing a predetermined label to the information having the predetermined network identifier as a transmission destination, the information is transmitted to a predetermined transmission destination, or 2. The information according to claim 1, further comprising: performing at least label processing on the information to which a predetermined label is added, and then transmitting the information to a predetermined destination. Offer system. 上記所定のネットワーク識別子とはIPアドレスであり、
上記経路制御処理手段は、上記所定のネットワーク識別子を送信先とするIPパケットを受信したときには、上記第2のテーブルを参照して、当該IPパケットの、IPアドレス、IPアドレスとポート番号の組合せ、IPアドレスとプロトコル番号の組合せ、の少なくともいずれかの情報に基づいて定められる更なるラベル処理を行った後、所定の送信先に送信する、
ことを更に特徴とする請求項2に記載の情報提供システム。The predetermined network identifier is an IP address,
The route control processing means, when receiving an IP packet having the predetermined network identifier as a destination, refers to the second table, and describes an IP address of the IP packet, a combination of the IP address and the port number, After performing further label processing determined based on at least one of the information of the combination of the IP address and the protocol number, the packet is transmitted to a predetermined destination.
The information providing system according to claim 2, further comprising: 広域ネットワーク上で稼動する情報提供システムにおいて、上記広域ネットワーク上の一のネットワークから他のネットワークへ送信すべきIPパケットを受信した場合には、第1のテーブルを参照して、当該IPパケットを当該他のネットワークに送信し、一方、所定のサービスに係る所定のIPアドレスを送信先とするIPパケットを受信した場合には、第2のテーブルを参照して、当該IPパケットの、IPアドレス、IPアドレスとポート番号の組合せ、IPアドレスとプロトコル番号の組合せ、の少なくともいずれかの情報に基づいて、当該IPパケットに対して、所定のラベルの付加、除去、変更をするラベル処理を行った後に所定の送信先に送信する、エッジルータと、
上記ラベル処理がなされたIPパケットを受信した場合には、第3のテーブルを参照して、当該IPパケットに含まれる所定のラベルに基づいて定められる更なるラベル処理を行った後に所定の送信先に送信する、コアルータと、
上記所定のサービスに係る所定のIPアドレスが割り当てられており、上記エッジルータ及びコアルータの少なくともいずれかを介してIPパケットを受信した場合には、当該IPパケットに基づいた所定の情報を当該IPパケットの送信元に送信する、複数のサーバ実体と、
を有し、上記エッジルータ及びコアルータによる経路制御処理により、上記サーバ実体により所定のサービスを提供する上記広域ネットワーク上の対象を所定単位で物理的に区分けすることを特徴とする情報提供システム。In the information providing system operating on the wide area network, when an IP packet to be transmitted from one network on the wide area network to another network is received, the IP packet is referred to by referring to the first table. When transmitting to another network and receiving an IP packet destined to a predetermined IP address related to a predetermined service, the IP address and the IP address of the IP packet are referred to the second table. Based on at least one of the combination of an address and a port number and the combination of an IP address and a protocol number, a predetermined label is added to, removed from, or changed from the IP packet, and then a predetermined label is processed. An edge router that sends to the destination of the
When the IP packet subjected to the label processing is received, a predetermined destination is determined after performing further label processing determined based on a predetermined label included in the IP packet with reference to the third table. To the core router,
When a predetermined IP address related to the predetermined service is assigned and an IP packet is received through at least one of the edge router and the core router, predetermined information based on the IP packet is transmitted to the IP packet. Multiple server entities to send to the sender of the
An information providing system, comprising: physically dividing a target on the wide area network, which provides a predetermined service by the server entity, by a predetermined unit by a route control process by the edge router and the core router. 広域ネットワーク上で稼動する情報提供システムによる情報提供方法において、
上記情報提供システムにより、
上記広域ネットワーク上の一のネットワークから他のネットワークへ送信すべき情報を受信した場合には、第1のテーブルを参照して、当該情報を当該他のネットワークに送信するよう経路制御処理を行い、
一方、所定のサービスに係る所定のネットワーク識別子を送信先とする情報を受信した場合には、第2のテーブルに基づく経路制御処理を行い、
上記経路制御処理により、上記所定のサービスを提供する上記広域ネットワーク上の対象を所定単位で論理的に区分けする、
ことを特徴とする情報提供方法。In an information providing method by an information providing system operating on a wide area network,
With the above information providing system,
When information to be transmitted from one network on the wide area network to another network is received, a route control process is performed to transmit the information to the other network with reference to the first table,
On the other hand, when the information having the predetermined network identifier related to the predetermined service as the transmission destination is received, a route control process based on the second table is performed,
By the route control processing, objects on the wide area network that provide the predetermined service are logically divided in predetermined units,
An information providing method, comprising: 上記第2のテーブルは、上記所定のネットワーク識別子を送信先とする情報に対して、所定のラベルの付加、除去、変更をするラベル処理を行った後、所定の送信先に送信する旨、或いは、所定のラベルが付加された情報に対して、更なるラベル処理を行った後、所定の送信先に送信する旨、を少なくとも定義していることを更に特徴とする請求項5に記載の情報提供方法。The second table indicates that after performing label processing for adding, removing, and changing a predetermined label to the information having the predetermined network identifier as a transmission destination, the information is transmitted to a predetermined transmission destination, or 6. The information according to claim 5, further defining that after further label processing is performed on the information to which a predetermined label is added, the information is transmitted to a predetermined destination. Delivery method. 上記所定のネットワーク識別子とはIPアドレスであり、
上記情報提供システムにより、上記所定のネットワーク識別子を送信先とするIPパケットを受信したときには、上記第2のテーブルを参照して、当該IPパケットの、IPアドレス、IPアドレスとポート番号の組合せ、IPアドレスとプロトコル番号の組合せ、の少なくともいずれかの情報に基づいて、当該IPパケットに対して、所定のラベルの付加、除去、変更をするラベル処理を行った後、所定の送信先に送信することを更に特徴とする請求項6に記載の情報提供方法。The predetermined network identifier is an IP address,
When the information providing system receives an IP packet having the predetermined network identifier as a destination, the IP packet, the combination of the IP address and the port number, and the IP address of the IP packet are referred to by referring to the second table. Based on at least one of the combination of an address and a protocol number, perform a label process for adding, removing, or changing a predetermined label on the IP packet, and then transmit the IP packet to a predetermined destination. The information providing method according to claim 6, further comprising: エッジルータ、コアルータ、及びサーバ実体を有し、広域ネットワーク上で稼動する情報提供システムによる方法であって、
上記エッジルータにより、
上記広域ネットワーク上の一のネットワークから他のネットワークへ送信すべきIPパケットを受信した場合には、第1のテーブルを参照して、当該IPパケットを当該他のネットワークに送信し、
一方、所定のサービスに係る所定のIPアドレスを送信先とするIPパケットを受信した場合には、第2のテーブルを参照して、当該IPパケットの、IPアドレス、IPアドレスとポート番号の組合せ、IPアドレスとプロトコル番号の組合せ、の少なくともいずれかの情報に基づいて、当該IPパケットに対して、所定のラベルの付加、除去、変更をするラベル処理を行った後に所定の送信先に送信し、
上記コアルータにより、
上記ラベル処理がなされたIPパケットを受信した場合には、第3のテーブルを参照して、当該IPパケットに含まれる所定のラベルに基づいて定められる更なるラベル処理を行った後に所定の送信先に送信し、
上記サーバ実体により、
上記エッジルータ及びコアルータの少なくともいずれかを介してIPパケットを受信した場合には、当該IPパケットに基づいた所定の情報を当該IPパケットの送信元に送信する、
ことを有し、上記エッジルータ及びコアルータによる経路制御処理により、上記サーバ実体により所定のサービスを提供する上記広域ネットワーク上の対象を所定単位で論理的に区分けすることを特徴とする情報提供方法。An edge router, a core router, and a method by an information providing system having a server entity and operating on a wide area network,
With the above edge router,
When an IP packet to be transmitted from one network on the wide area network to another network is received, the IP packet is transmitted to the other network with reference to the first table,
On the other hand, when an IP packet having a predetermined IP address related to a predetermined service as a destination is received, an IP address, a combination of an IP address and a port number, Based on at least one of the information of the combination of the IP address and the protocol number, adding a predetermined label to the IP packet, performing label processing for removing and changing the packet, and transmitting the IP packet to a predetermined destination;
With the above core router,
When the IP packet subjected to the label processing is received, a predetermined destination is determined after performing further label processing determined based on a predetermined label included in the IP packet with reference to the third table. Send to
By the above server entity,
When receiving an IP packet via at least one of the edge router and the core router, transmitting predetermined information based on the IP packet to a source of the IP packet;
An information providing method, wherein a target on the wide area network for providing a predetermined service by the server entity is logically divided into predetermined units by a path control process by the edge router and the core router.
JP2003033940A 2003-02-12 2003-02-12 Information providing system and information providing method Pending JP2004247858A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003033940A JP2004247858A (en) 2003-02-12 2003-02-12 Information providing system and information providing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003033940A JP2004247858A (en) 2003-02-12 2003-02-12 Information providing system and information providing method

Publications (1)

Publication Number Publication Date
JP2004247858A true JP2004247858A (en) 2004-09-02

Family

ID=33019769

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003033940A Pending JP2004247858A (en) 2003-02-12 2003-02-12 Information providing system and information providing method

Country Status (1)

Country Link
JP (1) JP2004247858A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009278235A (en) * 2008-05-13 2009-11-26 Nippon Telegr & Teleph Corp <Ntt> Communication system, control node, transfer node, service processing node, and communication method
JP2018060493A (en) * 2016-10-03 2018-04-12 ジャパンモード株式会社 Problem solution supporting system, problem solution supporting method, and problem solution supporting program
JP2018082317A (en) * 2016-11-16 2018-05-24 日本電信電話株式会社 Routing system and routing method
CN110519773A (en) * 2019-07-16 2019-11-29 中国航空无线电电子研究所 A kind of air net survivability evaluation method

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009278235A (en) * 2008-05-13 2009-11-26 Nippon Telegr & Teleph Corp <Ntt> Communication system, control node, transfer node, service processing node, and communication method
JP4599429B2 (en) * 2008-05-13 2010-12-15 日本電信電話株式会社 Communication system and communication method
JP2018060493A (en) * 2016-10-03 2018-04-12 ジャパンモード株式会社 Problem solution supporting system, problem solution supporting method, and problem solution supporting program
JP2018082317A (en) * 2016-11-16 2018-05-24 日本電信電話株式会社 Routing system and routing method
CN110519773A (en) * 2019-07-16 2019-11-29 中国航空无线电电子研究所 A kind of air net survivability evaluation method
CN110519773B (en) * 2019-07-16 2022-03-25 中国航空无线电电子研究所 Aviation network survivability evaluation method

Similar Documents

Publication Publication Date Title
De Ghein MPLS fundamentals
US7948986B1 (en) Applying services within MPLS networks
US7260648B2 (en) Extension of address resolution protocol (ARP) for internet protocol (IP) virtual networks
US7990888B2 (en) System and methods for network reachability detection
US8467411B1 (en) Service-specific forwarding in an LDP-RSVP hybrid network
US7136374B1 (en) Transport networks supporting virtual private networks, and configuring such networks
EP3588857B1 (en) Using multiple ethernet virtual private network (evpn) routes for corresponding service interfaces of a subscriber interface
EP2713567B1 (en) Maintaining load balancing after service application with a network device
US8085776B2 (en) Methods and systems for a distributed provider edge
US20050265308A1 (en) Selection techniques for logical grouping of VPN tunnels
US20040177157A1 (en) Logical grouping of VPN tunnels
EP2698951A1 (en) MPL P node replacement using a link state protocol controlled ethernet network
EP1811728B1 (en) Method, system and device of traffic management in a multi-protocol label switching network
Farrel The Internet and its protocols: A comparative approach
EP1816789A1 (en) A method and system for controlling the selection of the transmitting path for the media flow in the next generation network
US7280534B2 (en) Managed IP routing services for L2 overlay IP virtual private network (VPN) services
US7742477B1 (en) Interconnectivity between autonomous systems
JP5426024B2 (en) Connecting the inner MPLS label and the outer MPLS label
Semeria et al. Rfc 2547bis: bgp/mpls vpn fundamentals
CN113328934A (en) Service-based transport classes for mapping services to tunnels
JP2004247858A (en) Information providing system and information providing method
Cisco Cisco IOS Configuration Guide Master Index Release 12.1
Cisco Cisco IOS Switching Services Configuration Guide Release 12.1
Cisco Cisco IOS Profiled Release 12.0(23)S System Testing for Service Provider/IP Backbone Customer June 2003
Aye Analysis of Multiprotocol Label Switching on Virtual Private Network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060201

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071009

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071023

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20071112

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080610