JP5670279B2 - Virtual network control device, virtual network control method, virtual network control system, and program - Google Patents
Virtual network control device, virtual network control method, virtual network control system, and program Download PDFInfo
- Publication number
- JP5670279B2 JP5670279B2 JP2011175272A JP2011175272A JP5670279B2 JP 5670279 B2 JP5670279 B2 JP 5670279B2 JP 2011175272 A JP2011175272 A JP 2011175272A JP 2011175272 A JP2011175272 A JP 2011175272A JP 5670279 B2 JP5670279 B2 JP 5670279B2
- Authority
- JP
- Japan
- Prior art keywords
- tunnel
- virtual network
- predetermined
- network control
- connection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ユーザ端末と所定の装置で送受信されるトラフィックを所定の装置で中継する技術に関するものであり、特に、仮想ネットワークを利用してトラフィックの中継を行う技術に関連するものである。 The present invention relates to a technology for relaying traffic transmitted and received between a user terminal and a predetermined device using a predetermined device, and particularly to a technology for relaying traffic using a virtual network.
従来から、ユーザ端末のトラフィックを中継して検疫やトラフィック監視を行う方法が知られている。そのような方法としては、例えば、DC(データセンタ)側のネットワーク内の通信経路上にプロキシ装置を設置してパケットの監視や検閲を行ったり、ネットワーク内のスイッチのミラーポートによって複製したパケットを監視装置等が取得して、パケットの監視や検閲を行うという方法がある。これらの装置は、例えば特定LAN上の定点に設けられ、そこで受信するトラフィックの監視等を行っている。 Conventionally, a method of performing quarantine and traffic monitoring by relaying traffic of a user terminal is known. As such a method, for example, a proxy device is installed on a communication path in a network on the DC (data center) side to monitor or censor packets, or to copy a packet copied by a mirror port of a switch in the network. There is a method in which a monitoring device or the like acquires and performs packet monitoring or censoring. These devices are provided at a fixed point on a specific LAN, for example, and monitor received traffic.
しかし、クラウド化の進展によるサーバの分散配置や、端末の可搬性の向上により、通信先や通信するネットワークが多様化しつつあり、従来のように特定LAN上の定点に設けられたトラフィック中継監視装置等を利用したのでは、個々のユーザ端末のトラフィック監視を行うことが困難になりつつある。すなわち、このような分散環境下では、トラフィック情報を取得する装置を特定のネットワーク内の経路上に設置するだけでは、保守等に必要な情報を取得することが難しいという問題があった。 However, due to the distributed arrangement of servers due to the progress of cloud computing and the improvement of portability of terminals, the communication destinations and networks to communicate are diversifying, and the traffic relay monitoring device provided at a fixed point on a specific LAN as in the past Etc., it is becoming difficult to monitor the traffic of individual user terminals. That is, in such a distributed environment, there is a problem that it is difficult to acquire information necessary for maintenance or the like simply by installing a device that acquires traffic information on a route in a specific network.
オーバーレイネットワークを集約するサーバにおいて、トラフィック量等の監視を行うことは従来でも可能であった。しかし、特定クライアントの通信は特定の集約サーバのみで監視可能なので、特殊な装置を要する監視方法などにおいては、各クライアントの通信の監視を行うために、全ての集約サーバにおいて特殊な装置を導入する必要があり、これは非現実的であるという問題があった。 It has been possible in the past to monitor the amount of traffic in a server that aggregates overlay networks. However, because specific client communication can be monitored only by a specific aggregation server, in a monitoring method that requires a special device, a special device is introduced in every aggregation server in order to monitor the communication of each client. There was a problem that it was necessary and this was unrealistic.
本発明は上記の点に鑑みてなされたものであり、ユーザ端末と通信対象装置との間の通信トラフィックの経路を、分析や監視等を行う所定の装置を経由するように迂回させる技術を提供することを目的とする。 The present invention has been made in view of the above points, and provides a technique for detouring a route of communication traffic between a user terminal and a communication target device so as to pass through a predetermined device that performs analysis, monitoring, and the like. The purpose is to do.
上記の課題を解決するために、本発明は、トンネル接続装置とトンネル終端装置との間に設定されるトンネルにより構成される仮想ネットワークを制御するための仮想ネットワーク制御装置であって、所定のトンネル終端装置の位置情報を記憶する記憶手段と、所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するための指示通知手段と、を備えることを特徴とする仮想ネットワーク制御装置として構成される。 In order to solve the above-described problem, the present invention provides a virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device. Storage means for storing the location information of the termination device, an instruction to establish a tunnel between the predetermined tunnel connection device and the predetermined tunnel termination device indicated by the location information, and transmission / reception by the predetermined tunnel connection device And an instruction notification means for notifying the predetermined tunnel connection device of a detour instruction including identification information for identifying data to be detoured to the predetermined tunnel termination device. Configured as a virtual network control device.
前記迂回指示は、前記所定のトンネル接続装置においてデータのカプセリングを行う際に、データに付されていたアドレスを仮想アドレスに付け替える指示を含むように構成することができる。また、前記所定のトンネル終端装置は、前記所定のトンネル接続装置の通信をブリッジするトンネル終端装置としてもよい。 The bypass instruction may be configured to include an instruction to replace an address attached to data with a virtual address when performing data encapsulation in the predetermined tunnel connection device. The predetermined tunnel termination device may be a tunnel termination device that bridges communication of the predetermined tunnel connection device.
例えば、前記所定のトンネル終端装置には監視装置が接続されており、その場合、当該所定のトンネル終端装置は、トンネルにて受信したカプセリングされたデータをデカプセリングし、当該デカプセリングされたデータを前記監視装置に送信する。 For example, a monitoring device is connected to the predetermined tunnel termination device. In this case, the predetermined tunnel termination device decapsulates the encapsulated data received in the tunnel, and the decapsulated data is received. Transmit to the monitoring device.
また、前記迂回指示は、前記所定のトンネル接続装置が、前記所定のトンネル終端装置以外のトンネル終端装置と予めトンネルを確立している状態で、当該トンネルを通して通知されるようにしてもよい。 In addition, the detour instruction may be notified through the tunnel in a state where the predetermined tunnel connection device has previously established a tunnel with a tunnel terminal device other than the predetermined tunnel terminal device.
また、前記トンネル終端装置をハブにして複数のトンネル接続装置により既に仮想ネットワークが確立されている場合において、前記迂回指示は、当該複数のトンネル接続装置に対して通知されるようにしてもよい。 In addition, when a virtual network has already been established by a plurality of tunnel connection devices using the tunnel termination device as a hub, the bypass instruction may be notified to the plurality of tunnel connection devices.
また、本発明は、トンネル接続装置とトンネル終端装置との間に設定されるトンネルにより構成される仮想ネットワークを制御するための仮想ネットワーク制御装置が実行する仮想ネットワーク制御方法であって、所定のトンネル終端装置の位置情報を記憶手段に記憶するステップと、所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するステップと、を備えることを特徴とする仮想ネットワーク制御方法として構成することもできる。 The present invention also relates to a virtual network control method executed by a virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device, the predetermined tunnel Storing the location information of the termination device in the storage means, an instruction for establishing a tunnel between the predetermined tunnel connection device and the predetermined tunnel termination device indicated by the location information, and the predetermined tunnel connection device And a step of notifying the predetermined tunnel connection device of a detour instruction including identification information for identifying data to be detoured by the predetermined tunnel termination device among data transmitted and received by the virtual network. It can also be configured as a control method.
また、本発明は、トンネル接続装置とトンネル終端装置との間に設定されるトンネルにより構成される仮想ネットワークを制御するための仮想ネットワーク制御装置と、監視装置が接続された所定のトンネル終端装置とを備える仮想ネットワーク制御システムであって、前記仮想ネットワーク制御装置は、前記所定のトンネル終端装置の位置情報を記憶する記憶手段と、所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するための指示通知手段と、を備え、前記所定のトンネル終端装置は、トンネルにて受信したカプセリングされたデータをデカプセリングし、当該デカプセリングされたデータを前記監視装置に送信することを特徴とする仮想ネットワーク制御システムとして構成することもできる。 The present invention also provides a virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device, and a predetermined tunnel termination device to which a monitoring device is connected. A virtual network control system comprising: storage means for storing position information of the predetermined tunnel termination device; a predetermined tunnel connection device; and the predetermined tunnel indicated by the position information. A detour instruction including an instruction to establish a tunnel with an end device and identification information for identifying data to be detoured by the predetermined tunnel end device among data transmitted and received by the predetermined tunnel connection device; Instruction notifying means for notifying the tunnel connection device of the predetermined tunnel termination device, Decapsulates the encapsulated data received in tunnels, it is also possible to configure the decapsulated data as a virtual network control system and transmits to the monitoring apparatus.
また、本発明は、コンピュータを、上記仮想ネットワーク制御装置の各手段として機能させるためのプログラムとして構成することもできる。 The present invention can also be configured as a program for causing a computer to function as each means of the virtual network control device.
本発明によれば、ユーザ端末と通信対象装置との間の通信トラフィックの経路を、分析や監視等を行う所定の装置を経由するように迂回させる技術を提供することが可能となる。 ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to provide the technique of detouring the path | route of the communication traffic between a user terminal and a communication object apparatus so that it may pass along the predetermined | prescribed apparatus which performs analysis, monitoring, etc.
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。 Embodiments of the present invention will be described below with reference to the drawings. The embodiment described below is only an example, and the embodiment to which the present invention is applied is not limited to the following embodiment.
<仮想ネットワークシステムについて>
まず、本発明の実施の形態で用いる仮想ネットワークシステムの基本的な構成及び機能について説明しておく。
<Virtual network system>
First, the basic configuration and function of the virtual network system used in the embodiment of the present invention will be described.
(システム構成)
図1に仮想ネットワークシステム1の基本的な構成図を示す。図1に示すとおり、仮想ネットワークシステム1は、仮想ネットワーク制御装置10、トンネル接続装置20、及びトンネル終端装置30がIPネットワーク40(例えば、インターネット)に接続されて構成されている。図1に示す例では、トンネル接続装置20にユーザ端末50(クライアント機器)が接続されている。また、トンネル終端装置30には、サーバや他のユーザ端末等が接続される。なお、図1には、代表として、1つのトンネル終端装置30、及び1つのトンネル接続装置20を示しているが、実際にはそれぞれ複数の装置が存在してよい。また、トンネル接続装置20とトンネル終端装置30との間でトンネルを構築することにより、仮想ネットワークが構成されるので、トンネル接続装置20とトンネル終端装置30を備えるシステムを仮想ネットワークシステムと称してもよい。
(System configuration)
FIG. 1 shows a basic configuration diagram of the
仮想ネットワーク制御装置10は、トンネル接続装置20やトンネル終端装置30に仮想ネットワーク構築・変更の指示等を行うための装置である。トンネル接続装置20は、トンネル終端装置30とトンネル接続を行う装置である。トンネル終端装置30は、1つ又は複数のトンネル接続装置20との間のトンネルを終端する装置である。同じトンネル終端装置30に接続されたトンネル接続装置同士の間で仮想ネットワークを形成する。以下、各装置についてより詳しく説明する。
The virtual
図2に、仮想ネットワーク制御装置10の機能構成図を示す。図2に示すように、仮想ネットワーク制御装置10は、仮想ネットワーク構築・変更指示受付部11、構成情報格納部12、対装置通信部13、位置情報登録部14、位置情報格納部15、指示通知部16を有する。
FIG. 2 shows a functional configuration diagram of the virtual
仮想ネットワーク構築・変更指示受付部11は、例えば、仮想ネットワーク制御装置10とネットワーク接続された外部装置(例えば、Webブラウザ端末、NW監視システム等)から仮想ネットワーク構築や変更に係る指示を受信し、当該指示に基づいて仮想ネットワーク構成情報を構成情報格納部12に格納する等の機能を備える。構成情報格納部12に格納される仮想ネットワーク構成情報は、例えば、どのトンネル接続装置とどのトンネル終端装置を、どのプロトコル種別で接続するかの情報を含む。すなわち、構成情報格納部12は、構成情報として、例えば、トンネル接続装置の識別情報、トンネル終端装置の識別情報、及びプロトコル種別を対応付けたテーブルを格納する。また、後述する各装置の設定情報として必要な情報も保持している。
The virtual network construction / change
対装置通信部13は、トンネル接続装置20、及びトンネル終端装置30と通信を行うための機能部である。
The
位置情報登録部14は、トンネル終端装置30から、当該トンネル終端装置30の識別情報と位置情報(例えば、現時点でのトンネル終端装置30のIPアドレス)を含む位置登録要求を受信し、当該トンネル終端装置30の位置情報を位置情報格納部15に格納する。なお、識別情報は、トンネル終端装置30の位置によらずにトンネル終端装置30を識別可能な情報である。
The location
位置情報格納部15には、予め各トンネル終端装置30の識別情報が格納(登録)されており、位置情報登録部14は、トンネル終端装置30から受信する識別情報が既に位置情報格納部15に格納されているものであることを確認した後に、当該識別情報に対応付けて位置情報を位置情報格納部15に格納する。位置情報登録部14は、トンネル接続装置20についても同様に位置情報の登録を行ってもよい。また、例えば、トンネル終端装置30の位置情報がほぼ固定である場合等には、トンネル終端装置30の位置情報の登録をシステム管理者が行ってもよい。
The location
指示通知部16は、構成情報格納部12に格納された構成情報に基づいて、構成情報に係る仮想ネットワークを構成するトンネル接続装置20に対し、トンネル接続装置20からの要求に応じてトンネル接続のための設定情報を通知するとともに、構成情報に係る仮想ネットワークを構成するトンネル終端装置30に対して、接続に来るトンネル接続装置の識別情報やプロトコル種別等の設定情報を送信する機能部である。また、指示通知部16は、仮想ネットワーク構成変更指示をトンネル終端装置30に送信する機能も備える。
Based on the configuration information stored in the configuration
なお、本実施の形態では、外部から指示を受けるための機能部と、装置に指示を出す機能部を同一の装置に設けているが、これらを別々のモジュール(別々の装置)として実現してもよい。 In this embodiment, a functional unit for receiving an instruction from the outside and a functional unit for issuing an instruction to the device are provided in the same device, but these are realized as separate modules (separate devices). Also good.
本実施の形態に係る仮想ネットワーク制御装置10(後述する仮想ネットワーク制御装置104も同様)は、CPU、記憶装置等からなるコンピュータに、仮想ネットワーク制御装置10の各機能部の機能を実現するためのプログラムを実行させることにより実現できる。当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。
The virtual
図3に、トンネル接続装置20の機能構成図を示す。なお、図3は、一例として、トンネル接続装置20とユーザ端末50が別々の装置であり、これらがネットワーク接続される場合の例を示している。
FIG. 3 shows a functional configuration diagram of the
図3に示すように、トンネル接続装置20は、対仮想ネットワーク制御装置通信部21、設定部23、データ格納部24、トンネル接続通信部25を有する。また、トンネル接続通信部25は、トンネル構築部251とプロトコル処理部252を含む。
As illustrated in FIG. 3, the
対仮想ネットワーク制御装置通信部21は、仮想ネットワーク制御装置10との間で通信を行うための機能部である。
The virtual network control
設定部23は、トンネル接続装置20の起動時(トンネル接続装置20の電源をONにしたときなど)に、仮想ネットワーク制御装置10に対してトンネル設定情報要求を送信し、仮想ネットワーク制御装置10から要求したトンネル設定情報を受信して、受信したトンネル設定情報に基づきトンネル通信のための設定を行う機能部である。また、設定部23が、予め定められた規則に基づく時間にトンネル設定情報要求を仮想ネットワーク制御装置10に送信する機能を備えてもよい。例えば、設定部23が、タイマーを備え、予め定めた一定時間間隔で(例えば毎日同じ時間に)トンネル設定情報要求を送信してもよいし、トンネル設定情報要求による問い合わせを行って更新がなければ徐々に時間間隔を広げてトンネル設定情報要求の送信を行うこととしてもよい。予め定められた規則に基づく時間は、これらに限られるわけではなく、他の規則に基づく時間を採用してもよい。また、これらの規則は、トンネル接続装置20に予め設定されるものである。
The setting
対仮想ネットワーク制御装置通信部21には、仮想ネットワーク制御装置10のアドレス情報が予め設定してある。また、設定部23は、トンネル経由(プロトコル処理部251経由)で、トンネル終端装置30から設定変更指示を受信し、設定変更指示に含まれる設定情報により設定を行ったり、設定変更指示に従って仮想ネットワーク制御装置10から設定情報を取得する機能も備える。
The virtual network control
トンネル設定情報には、トンネルの接続先となるトンネル終端装置30の位置情報(アドレス)、トンネルを生成するために必要な秘密情報(初期共有鍵等)等のパラメータ値、トンネルを構成するプロトコル種別(後述する、L2、L3、L4等)を含む。これらの他、暗号の種別、トンネルのQoS情報等を含めてもよい。
The tunnel setting information includes position information (address) of the
また、「トンネル設定情報に基づきトンネル接続のための設定を行う」とは、設定情報にて指示されたトンネルを実現できるようにするための設定を行うことである。例えば、指示されたプロトコル種別に対応するトンネル用のプログラム(各種別毎にプログラムがデータ格納部24に格納されているものとする。プロトコル処理部252に対応する。)を起動するとともに、トンネル接続先アドレスやパラメータ値をトンネル構築部251等が参照できるようにデータ格納部24に格納したりする。なお、これは一例に過ぎない。
Further, “perform setting for tunnel connection based on tunnel setting information” means performing setting for realizing a tunnel instructed by the setting information. For example, a tunnel program corresponding to the instructed protocol type (assuming that the program is stored in the
データ格納部24には、各プロトコル種別に対応付けて各トンネル用のプログラムが格納されるとともに、トンネル設定情報に含まれていたトンネルの接続先やパラメータ値が格納される。
The
なお、上記のように、プロトコル種別毎にモジュールとしてプロトコル処理部252に対応するプログラムを起動する他(この場合も設定情報に応じて機能を切り替えることに相当する)、複数プロトコル種別の機能を有するプログラム(プロトコル処理部252)を起動しておき、設定情報に応じて機能を切り替えるようにしてもよい。また、プロトコル種別毎にプロトコル処理用のハードウェア回路を備えておき、設定情報に応じて回路を切り替えるように構成してもよい。
As described above, in addition to starting a program corresponding to the
トンネル接続通信部25におけるトンネル構築部251は、トンネルの接続先位置情報及びパラメータ値をデータ格納部16から読み出して、接続先のトンネル終端装置30に対してトンネル接続要求を送信することにより、トンネル終端装置との間にトンネルを構築する処理を行う。また、プロトコル処理部252は、ユーザ端末50が送受信するデータをカプセリング/デカプセリング、暗号化/復号化する等のトンネル通信のプロトコル処理を行う機能部である。トンネルを構築するとは、装置内部では、トンネル接続先との間のパケット通信においてカプセリング/デカプセリング、暗号化/復号化を行うための情報を設定しておくことである。
The
なお、トンネル接続装置20は、ユーザ端末50が通信対象サーバ等とトンネルを経由しないで通信する場合において、特別な処理を行わずに、パケットを素通しさせる機能も備えている。
The
トンネル接続装置20は、コンピュータ(CPU、メモリ等を含む構成を有する通信装置を含む)に、トンネル接続通信部25、設定部23に対応するプログラムを実行させることにより実現できる。
The
当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。 The program may be installed in a computer from a recording medium such as a portable memory, or may be downloaded from a server on the network.
図3では、ユーザ端末50とトンネル接続装置20とを接続した構成を示しているが、これは一例に過ぎない。図4に示すように、ユーザ端末50内にドライバとしてトンネル接続装置20の機能を備える形態としてもよい。この場合、ユーザ端末50をトンネル接続装置と呼んでもよい。
Although FIG. 3 shows a configuration in which the
本実施の形態では、図3に示すトンネル接続装置20は、ユーザによって所望の場所に持ち運び可能な装置を想定している。また、このときのユーザ端末50は、一般的なPC等の端末のほか、Webカメラ、家電機器等でもよい。
In the present embodiment, it is assumed that
図5に、トンネル終端装置30の機能構成図を示す。
FIG. 5 shows a functional configuration diagram of the
図5に示すように、トンネル終端装置30は、対仮想ネットワーク制御装置通信部31、登録要求部32、設定部33、仮想ネットワーク構成変更制御部34、データ格納部35、トンネル終端通信部36を有する。トンネル終端通信部36は、トンネル構築部361とプロトコル処理部362を含む。
As shown in FIG. 5, the
対仮想ネットワーク制御装置通信部31は、仮想ネットワーク制御装置10との間で通信を行うための機能部である。
The virtual network control
登録要求部32は、トンネル終端装置30が起動されたときや、ネットワークに接続されたとき等に、位置登録要求を仮想ネットワーク制御装置10に送信する機能部である。この位置登録要求により仮想ネットワーク制御装置10において位置登録がなされる、なお、トンネル終端装置30について自動的な登録を行わない場合、登録要求部32を備えなくてもよい。また、トンネル接続装置20についてもトンネル終端装置30と同様の登録要求部を備え、位置登録を行うこととしてもよい。
The
設定部33は、仮想ネットワーク制御装置10からトンネル接続情報(設定情報)を受信して、受信したトンネル接続情報に基づきトンネル接続のための設定を行う機能部である。対仮想ネットワーク制御装置通信部31には、仮想ネットワーク制御装置10のアドレス情報が予め設定してある。
The setting
トンネル接続情報には、トンネル終端装置30に対して接続に来るトンネル接続装置20の識別情報(もしくは位置情報)、トンネルを生成するために必要な秘密情報(初期共有鍵等)等のパラメータ値、トンネルを構成するプロトコル種別(後述する、L2、L3、L4等)を含む。これらの他、暗号の種別やトンネルのQoS情報等を含めてもよい。
The tunnel connection information includes parameter values such as identification information (or location information) of the
また、「トンネル接続情報に基づきトンネル接続のための設定を行う」とは、指示されたトンネルを接続できるようにするための設定を行うことである。例えば、指示されたプロトコル種別に対応するトンネル用のプログラム(各種別毎にプログラムがデータ格納部35に格納されているものとする。プロトコル処理部362に対応する。)を起動するとともに、接続に来るトンネル接続装置の識別情報(もしくは位置情報)やパラメータ値をトンネル構築部361等が参照できるようにデータ格納部35に格納したりする。なお、これは一例に過ぎない。
Also, “perform setting for tunnel connection based on tunnel connection information” means setting for enabling connection of the instructed tunnel. For example, a tunnel program corresponding to the instructed protocol type (assuming that each type of program is stored in the
データ格納部35には、各プロトコル種別に対応付けて各トンネル用のプログラムが格納されるとともに、接続に来るトンネル接続装置の情報やパラメータ値が格納される。
In the
なお、上記のように、プロトコル種別毎にモジュールとしてプロトコル処理部362に対応するプログラムを起動する他(この場合も設定情報に応じて機能を切り替えることに相当する)、複数プロトコル種別の機能を有するプログラム(プロトコル処理部362)を起動しておき、設定情報に応じて機能を切り替えるようにしてもよい。また、プロトコル種別毎にプロトコル処理用のハードウェア回路を備えておき、設定情報に応じて回路を切り替えるように構成してもよい。
As described above, in addition to starting a program corresponding to the
トンネル終端通信部36におけるトンネル構築部361は、トンネル接続装置の識別情報(もしくは位置情報)や、各種パラメータ値をデータ格納部35から読み出すとともに、トンネル接続要求を受信したことに応じて、トンネル接続要求元が、通知されているトンネル接続装置であることを確認し、そのトンネル接続装置との間にトンネルを構築する処理等を行う。また、プロトコル処理部362は、送受信するデータをカプセリング/デカプセリングする等のトンネル通信のための処理を行う。
The
また、トンネル終端通信部36は、トンネル接続したトンネル接続装置の識別情報(位置情報でもよい)のテーブルを作成し、データ格納部35に格納する機能も有する。
The tunnel
仮想ネットワーク構成変更制御部34は、既に仮想ネットワーク構築が済み、仮想ネットワークでのトンネル通信可能な状態において、仮想ネットワーク制御装置10から、新たな仮想ネットワークの構成情報を含む仮想ネットワーク構成変更指示を受信したときに、既に構築されているトンネルを通じて、トンネル接続されている各トンネル接続装置に対して、新たな仮想ネットワークの構成に基づくトンネル設定情報等を送信する機能部である。仮想ネットワーク構成変更指示には、例えば、変更後の仮想ネットワークの構成における、トンネル終端装置の識別情報(もしくは位置情報)、当該トンネル終端装置に接続されるトンネル接続装置の識別情報(もしくは位置情報)のテーブル、プロトコル種別、その他の必要なパラメータ値が含まれる。
The virtual network configuration
仮想ネットワーク構成変更制御部34は、受信した仮想ネットワーク構成変更指示に含まれるテーブルと、現在自分がトンネルを確立しているトンネル接続装置の識別情報(もしくは位置情報)のテーブルとを比較し、指示(設定情報)を送るべきトンネル接続装置を決定する。例えば、構成変更により自分以外のトンネル終端装置への接続を行うべきトンネル接続装置が現在トンネル接続されていれば、そのトンネル終端装置に指示(設定情報)を送るべきと判断する。送信する指示には、新規にトンネル接続を行う場合と同様の設定情報が含まれ、これを受信したトンネル接続装置は、設定情報に従って、設定を行う。なお、上記のような処理のほか、構成変更指示として、トンネル経由で指示(設定情報)を送るべきトンネル接続装置の識別情報(もしくは位置情報等)を含む指示を受信し、それに基づき該当のトンネル接続装置に指示を送ることとしてもよい。
The virtual network configuration
また、トンネル終端装置30は、自身が用いるプロトコル種別を変更する場合には、指示に従って当該プロトコルのプロトコル処理機能を起動し、設定を行い、接続を待つ。
Further, when changing the protocol type used by itself, the
また、送信する指示を、設定情報ではなく、仮想ネットワーク制御装置10に対してトンネル設定情報要求を送ることを指示する命令としてもよい。これを受けたトンネル接続装置20は、仮想ネットワーク制御装置10から設定情報を受けて設定を行う。
Further, the instruction to transmit may be an instruction instructing the virtual
トンネル終端装置30は、コンピュータ(CPU、メモリ等を含む構成を有する通信装置を含む)に、トンネル終端通信部36、設定部33、登録部32、仮想ネットワーク構成変更制御部34に対応するプログラムを実行させることにより実現できる。
The
当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。 The program may be installed in a computer from a recording medium such as a portable memory, or may be downloaded from a server on the network.
(システムの動作例)
次に、仮想ネットワークシステム1の基本的な動作例を説明する。最初に、仮想ネットワーク制御装置10が、外部装置から仮想ネットワーク構築指示を受けてから、仮想ネットワークが構築されるまでの処理手順例を図6のシーケンス図を参照して説明する。
(System operation example)
Next, a basic operation example of the
まず、仮想ネットワークを管理する管理者等が仮想ネットワーク構築を外部装置(Webブラウザ端末等)のユーザインターフェース(Web画面等)から指示すると、仮想ネットワーク構築指示(仮想ネットワーク構成情報を含む)が仮想ネットワーク制御装置10に送られる(ステップ1)。 First, when an administrator who manages a virtual network instructs virtual network construction from a user interface (such as a Web screen) of an external device (such as a Web browser terminal), the virtual network construction instruction (including virtual network configuration information) is issued. It is sent to the control device 10 (step 1).
仮想ネットワーク構築指示を受信した仮想ネットワーク制御装置10の仮想ネットワーク構築・変更指示受付部11は、仮想ネットワーク構築指示に含まれる仮想ネットワークの構成情報を構成情報格納部12に格納する(ステップ2)。
The virtual network construction / change
仮想ネットワーク制御装置10の指示通知部16は、構成情報に基づいて、該当するトンネル終端装置30に対し、接続に来るトンネル接続装置の識別情報(もしくは位置情報)を、プロトコル種別や各種のパラメータ値等とともに送信する(ステップ3)。なお、トンネル終端装置30への構成指示通知は、このタイミングである必要はなく、他のタイミングでもよい。例えば、トンネル接続装置20への設定情報通知後でもよい。仮想ネットワーク制御装置10から情報を受け取った設定部33は、情報の格納、設定を行う(ステップ4)。なお、本例では、トンネル終端装置30の位置情報は、識別情報とともにトンネル終端装置設置時に位置情報格納部15に予め登録されているものとする。
Based on the configuration information, the
ここで、トンネル接続装置20が起動されると、トンネル接続装置20は、仮想ネットワーク制御装置10にトンネル設定情報要求を送信する(ステップ5)。トンネル設定情報要求にはトンネル接続装置20の識別情報が含まれる。
Here, when the
トンネル設定情報要求を受信した仮想ネットワーク制御装置10において、指示通知部16は、トンネル設定情報要求に応じて、構成情報格納部12からトンネル接続装置20に対応するトンネル設定情報を読み出し(ステップ6)、当該トンネル接続装置20に送信する(ステップ7)。
In the virtual
トンネル設定情報を受信したトンネル接続装置20は、当該設定情報に基づいて設定を行うとともに、トンネル接続通信部25におけるトンネル構築部251によりトンネル接続要求をトンネル終端装置30に送信する(ステップ8)。トンネル接続装置20とトンネル終端装置30は、それぞれ仮想ネットワーク制御装置10から受信した情報を用いてトンネル(仮想パスと呼んでもよい)を生成する(ステップ9)。
The
なお、トンネルで用いるプロトコルの種別によって必要であれば、トンネル終端装置30のトンネル終端通信部36におけるトンネル構築部362は、トンネル接続要求の送信元であるトンネル接続装置20に仮想ネットワーク上での位置情報を払い出す。例えば、後述するL3モードの場合、仮想ネットワーク上での位置情報として仮想のIPアドレス(仮想アドレス)を払い出す。
Note that if necessary depending on the type of protocol used in the tunnel, the
なお、上記の例は1つのトンネル接続装置20について説明しているが、1つのトンネル終端装置30に接続されるトンネル接続装置20は一般には複数であり、各々のトンネル接続装置20が同様にしてトンネル構築を行う。
Although the above example describes one
複数のトンネル接続装置20がトンネル構築を行った場合の例を図7に示す。図7では、端末側の構成として、トンネル接続装置20とユーザ端末50が接続された構成と、トンネル接続装置20の機能がユーザ端末50内に配備された構成が示されている。
An example in which a plurality of
図7に示す構成において、トンネルが生成された後、トンネル接続装置20は、例えば、ユーザ端末50が送出するパケットをキャプチャし、トンネルのプロトコルに従ってパケットを選別して仮想ヘッダを付けてカプセリングと暗号化を行い、トンネルを通じてトンネル終端装置30に送信する。
In the configuration shown in FIG. 7, after the tunnel is generated, the
トンネル終端装置30はトンネル接続装置20からトンネルを通じてパケットを受け取ると、パケットのヘッダ情報に従ってパケットの転送を行う。転送先としては、トンネル終端装置30と同じネットワーク内、もしくはそのネットワークからルーティングされうるネットワーク内にあるサーバ等と、他のトンネル接続装置20の2通りが存在する。
When the
トンネル終端装置30がパケットをサーバに転送する場合はカプセリングを解除し、トンネル接続装置20に転送を行う場合はカプセリング解除後、当該トンネル接続装置20向けにカプセリングを再度行う。トンネル接続装置20は、トンネル終端装置30から受け取ったパケットのカプセリングを解除し、当該パケットをユーザ端末50に転送する。
When the
トンネル終端装置30とトンネル接続装置20とで仮想ネットワークが構成され、サーバやユーザ端末50は、この仮想ネットワークに接続されている。
The
次に、図8のシーケンス図を参照して、仮想ネットワークが構築された後に、構成変更を行う場合の基本的な処理手順を説明する。 Next, with reference to the sequence diagram of FIG. 8, a basic processing procedure in the case of changing the configuration after the virtual network is constructed will be described.
トンネル終端装置30-トンネル接続装置20間のトンネリング接続が確立され、仮想ネットワークが構成された後、システム管理者等により、外部装置から仮想ネットワーク構成変更指示がなされたものとすると、仮想ネットワーク構成変更指示は仮想ネットワーク制御装置10に通知される(ステップ11)。仮想ネットワーク構成変更指示には、変更後の仮想ネットワーク構成情報が含まれる。
When a tunneling connection between the
そして、仮想ネットワーク制御装置10の指示通知部16は、仮想ネットワーク構成変更指示をトンネル終端装置30に通知する(ステップ12)。なお、仮想ネットワーク制御装置10の指示通知部16からは、変更後の仮想ネットワークの構成に応じて、仮想ネットワーク構成変更指示(設定情報)が別のトンネル終端装置にも送られる。
Then, the
仮想ネットワーク構成変更指示を受信したトンネル終端装置30において、仮想ネットワーク構成変更制御部34が、指示された構成情報に含まれるトンネル接続装置のテーブルと、現在自分とトンネル接続を確立しているトンネル接続装置のテーブルを比較し、例えば、構成情報に含まれるトンネル接続装置のうち、トンネル接続を確立しているトンネル接続装置を選択することにより、これを設定変更指示を送るべき装置と判断し(ステップ13)、送るべきと判断されたトンネル接続装置20に対してトンネルを通して指示を伝達する(ステップ14)。前述したように、このような判断を行うことに変えて、トンネル経由で指示を送るべきトンネル接続装置を仮想ネットワーク構成変更指示に含めてもよい。
In the
設定変更指示を受信したトンネル接続装置20は、指示に含まれる設定情報に基づき設定(切り替え)を行う(ステップ15)。また、前述したように、設定変更指示として、仮想ネットワーク制御装置10にアクセスすることを命令することでもよい。この場合、図8に示すように、トンネル接続装置20は、設定情報要求を仮想ネットワーク制御装置10に送信し(ステップ21)、仮想ネットワーク制御装置10の指示通知部16は、当該トンネル接続装置20についての設定変更有無を構成情報格納部12を参照して確認し(ステップ22)、変更があると判断したら、変更後の設定情報をトンネル接続装置20に送信する(ステップ23)。そして、トンネル接続装置20は設定を行う(ステップ24)。
The
また、現在いずれのトンネル終端装置30にも接続されていない停止中のトンネル接続装置20は、別途起動時や予め定められた規則に基づく時間に仮想ネットワーク制御装置10にアクセスして構成情報を問い合わせに行く。このときも、上記のステップ21〜24と同様の動作が行われる。
In addition, the stopped
このトンネル接続装置20に対してトンネル終端装置30のトンネル内からの信号で制御する方法をインバウンド・シグナリングと呼ぶことができる。一方、仮想ネットワーク制御装置10からトンネル終端装置30、トンネル接続装置20に直接指示を行う方法をメタシグナリングと呼ぶ。
A method of controlling the
仮想ネットワークシステム1では以上のような構成と手順によりトンネル終端装置30を仮想的なハブとしてトンネル接続装置20に関連付けられたユーザ端末50(クライアント)間でネットワークが構成される。
In the
(トンネル通信の具体例)
本実施の形態の技術で構築される仮想ネットワークでは、L2〜L4までの様々なレイヤのプロトコルを扱うことができる。例えば、これはトンネル接続装置20、トンネル終端装置30が扱うべきレイヤの設定に応じて送受信するパケットのうちカプセリング部位を切り替え、また各レイヤにおける仮想のアドレス(L2であればMACアドレス、L3であればIPアドレス)を持っているかのように振舞うことで実現される。以下、一例としてL3モードにおけるカプセリング方法の具体例を以下に示す。なお、以下の通信は、主に、トンネル接続通信部25のプロトコル処理部252、トンネル終端通信部36のプロトコル処理部362の機能により行われるものである。
(Specific example of tunnel communication)
The virtual network constructed by the technology of the present embodiment can handle various layers of protocols from L2 to L4. For example, this is done by switching the encapsulation part of packets to be transmitted / received according to the setting of the layer to be handled by the
使用するプロトコルの種別がL3である場合(L3モードと呼ぶ)についての動作例を図9〜図11を参照して説明する。各図において、MACrtはルータのMACアドレスであり、MACvnsはトンネル終端装置30のMACアドレスである。
An operation example when the type of protocol to be used is L3 (referred to as L3 mode) will be described with reference to FIGS. In each figure, MACrt is the MAC address of the router, and MACvns is the MAC address of the
図9は、ユーザ端末50からサーバ60への通信の例を示す図である。L3モードでは、トンネル接続装置20はトンネル終端装置30から割り当てられた仮想IPアドレス(本例では172.16.050)を持つ。
FIG. 9 is a diagram illustrating an example of communication from the
図9に示すアドレスを有するEtherフレームがユーザ端末50から送信される(ステップ101)。 An Ether frame having the address shown in FIG. 9 is transmitted from the user terminal 50 (step 101).
フレームを受信したトンネル接続装置20は、ユーザ端末50のMACアドレスを学習する(記憶装置にIPアドレスとともに保持しておく)(ステップ102)。また、トンネル接続装置20は、ユーザ端末50からキャプチャしたフレームのうち、仮想IPアドレス宛(仮想ネットワーク用のIPアドレス宛)のものを選別し、トンネルを通してトンネル終端装置30に転送を行う。
The
仮想IPアドレス宛のフレームを選別する処理例を図10に示す。なお、図10に示す例では、通信手段の例としてソケットを用いて通信を行う例が示されている。また、図10に示すように、トンネル接続装置20は、仮想ネットワーク用のアドレスとして予め定めたIPアドレス群(例えば、仮想IPアドレス群であるが、それに限られない)を記録した経路表を保持している。
An example of processing for selecting a frame addressed to a virtual IP address is shown in FIG. In the example illustrated in FIG. 10, an example in which communication is performed using a socket is illustrated as an example of the communication unit. Further, as shown in FIG. 10, the
図10に示すように、トンネル接続装置20は、ユーザ端末50から受信したフレームのMACアドレスを記憶し、経路表を参照して、宛先IPアドレスが仮想IPアドレス群に含まれるものであれば(宛先IP判定Yes)、送信元IPアドレスを、トンネル接続装置20に割り当てられた仮想IPアドレスに書き換えて、トンネル転送を行う。なお、図10の例では、メタ情報等を記述する仮想NWヘッダ(VNヘッダ)を付しているが、このヘッダは必須ではない。仮想NWヘッダは、例えば、鍵交換などに用いられるコントロールパケットの識別などに用いられる。宛先IPアドレスが仮想IPアドレス群に含まれるものでなければ(宛先IP判定No)、トンネル経由でなく、通常のLANセグメントへ送信される。
As shown in FIG. 10, the
上記のとおり、図9においてトンネル転送する際に、トンネル接続装置20は、キャプチャしたフレームのうちL3パケット(本例ではIPパケット)に相当する部分を切り出し、L3アドレスを仮想IPアドレスに付け替えた上でトンネル終端装置30に送付する(S103〜S105)。
As described above, when performing tunnel transfer in FIG. 9, the
カプセリングされたパケットを受け取ったトンネル終端装置30は復号化/デカプセリングを行い(ステップ106)、カプセル化されていたパケットの送信先IPアドレスに応じてサーバ60やその仮想IPアドレスを持つ他のトンネル接続装置20に向けて送信を行う(ステップ107)。
Upon receiving the encapsulated packet, the
サーバ60からユーザ端末50への通信の例を図11に示す。図11に示すように、基本的にユーザ端末50からサーバ60への通信の逆の処理が行われる。すなわち、トンネル終端装置30は、サーバ60から送出されたフレームをキャプチャし(ステップ201)、キャプチャしたフレームのうちL3パケットに相当する部分を切り出し暗号化/カプセリングを行って(ステップ202)、トンネル接続装置20に転送する(ステップ203)。これを受信したトンネル接続装置20は、復号化/デカプセリングの後(ステップ204)、送信先IPアドレスを仮想IPアドレスからユーザ端末50の実アドレスに付け替えを行い(ステップ205)、あたかもサーバ60から直接ユーザ端末50に送信されたかのようにパケットを送出する(ステップ206)。他のトンネル接続装置20からトンネル終端装置30が受信したフレームについても同様の処理でユーザ端末50に送信できる。
An example of communication from the
<接続の切り替えやトラフィック経路の切り替えを行う実施形態>
以下、例えば監視装置においてトラフィックの取得等を行うために、接続の切り替えやトラフィック経路の切り替えを行う実施の形態を説明する。本実施の形態では、上述した仮想ネットワークシステムの技術を用いており、以下で説明する各トンネル接続装置、各トンネル終端装置、及び仮想ネットワーク接続装置は、それぞれ、上述したトンネル接続装置20、トンネル終端装置30、及び仮想ネットワーク接続装置10の機能を含むものとする。また、以下では、トンネル接続装置がサーバや端末に接続される場合の例を示すが、上述したように、トンネル接続装置の機能をドライバとしてサーバや端末にインストールした形態を用いてもよい。更に、以下の例では、L3モードにて仮想ネットワークの通信を行うことを想定しているが、トンネル通信のレイヤはこれに限られるわけではない。
<Embodiment for switching connection and switching traffic route>
Hereinafter, an embodiment in which connection switching or traffic path switching is performed in order to perform traffic acquisition or the like in a monitoring device will be described. In the present embodiment, the technology of the virtual network system described above is used, and each tunnel connection device, each tunnel termination device, and the virtual network connection device described below are respectively the
ただし、仮想アドレスをつけるL3モードを採用することで、複数の異なるネットワークに所属する複数のクライアントのパケットを1つのトンネル終端装置セグメント(トンネル終端装置セグメントの詳細は後述する)で扱うことが出来るようになるという効果がある。 However, by adopting L3 mode with virtual addresses, it is possible to handle packets of multiple clients belonging to multiple different networks in one tunnel termination unit segment (details of tunnel termination unit segments will be described later). There is an effect of becoming.
(システム構成)
図12に、本実施の形態に係るシステム構成例を示す。図12に示すように、このシステムは、IPネットワーク100(例えば、インターネット、閉域網)に、トンネル接続装置101、トンネル終端装置102、トンネル接続装置103、仮想ネットワーク制御装置104、トンネル終端装置セグメント105、及びサーバ106が接続される構成を有する。トンネル接続装置101にはサーバ107が接続され、トンネル接続装置103にはエンドユーザのユーザ端末200が接続される。本例では、トンネル接続装置103とユーザ端末200は、ユーザが所属する任意のLAN(オフィス、自宅、出張先等)に属している。
(System configuration)
FIG. 12 shows a system configuration example according to the present embodiment. As shown in FIG. 12, this system includes a
トンネル終端装置セグメント105には、トラフィック取得時に用いられるトンネル終端装置301、監視装置302、スイッチ303、デフォルトGW(以下、DGW)ルータ304が備えられる。スイッチ303はミラーポート等を有する一般的なスイッチであり、DGWルータ304は一般的なNATルータである。なお、監視装置302は一例に過ぎず、トンネル終端装置セグメント105に備えられる装置は監視装置302に限られない。監視装置302の他に、トラフィックの分析装置や検閲を行う装置など、あるトラフィックのパケットの情報を入力とする様々な装置を備えることができる。
The tunnel
図12に示すシステムにおいて、トンネル接続装置101を導入し仮想ネットワークに参加しているサーバ107とユーザ端末200との接続には、トンネル終端装置102経由での仮想ネットワーク(トンネル)接続(点線矢印)が用いられる。仮想ネットワークに参加していないサーバ106とユーザ端末200との接続には仮想ネットワーク接続を用いず、通常のIP接続を用いる(実線の矢印)。
In the system shown in FIG. 12, a virtual network (tunnel) connection (dotted line arrow) via the
図12に示す構成において、仮想ネットワーク制御装置104は、監視装置302の接続されたトラヒック終端装置301のアドレスを位置情報格納部(15)に記憶している。この記憶するための処理は、事前にシステム管理者が行ってもよいし、前述したトラヒック終端装置による登録処理にて行ってもよい。
In the configuration shown in FIG. 12, the virtual
(動作例1:仮想ネットワークに参加していないサーバとの通信トラフィックの取得)
動作例1として、仮想ネットワークに参加していないサーバ106との通信トラフィックの取得時における動作を図13〜図16を参照して説明する。動作例1では、サーバ106とユーザ端末200との間のトラフィック経路をトンネル終端装置セグメント105に迂回させることにより、監視装置302がトラフィックを取得する。以下、その手順を説明する。
(Operation Example 1: Acquisition of communication traffic with a server not participating in the virtual network)
As an operation example 1, an operation at the time of acquiring communication traffic with the
図13は、トラフィック取得前の状態を示す図である。図13に示す状態では、トンネル接続装置を用いていない仮想ネットワーク非参加のサーバ106(以下、通信対象サーバ106と呼ぶ)とユーザ端末200間の通信において、ユーザ端末200に接続されたトンネル接続装置103は特別な処理は行わずパケットを素通しする。そのため、ユーザ端末200と通信対象サーバ106はトンネル接続装置103が無い場合と同じように通信を行っている。
FIG. 13 is a diagram illustrating a state before traffic acquisition. In the state shown in FIG. 13, the tunnel connection device connected to the
この状態から、通信対象サーバ106への通信のトラフィックのみを取得するために、図14にステップ301として示すように、例えばネットワーク管理者から仮想ネットワーク制御装置104に指示が投入されたとする。この指示は、ユーザ端末200に接続されたトンネル接続装置103とトンネル終端装置セグメント105におけるトンネル終端装置301との間でトンネル接続することを示す指示(構成情報)である。この指示の内容は仮想ネットワーク制御装置104の構成情報格納部12に格納される。また、上記の指示には、トラフィック情報を取得するべき通信対象サーバ106の宛先アドレスも含まれており、このアドレスは、以下で説明するトンネル接続装置103に送信される設定情報(設定変更指示、迂回指示などと呼んでもよい)に含められる。なお、このアドレスは、トンネル接続装置103が送受信するデータのうち、トンネル終端装置301に迂回させるデータを識別する識別情報である。また、トンネル接続装置103に送信される設定情報(迂回指示)に含まれるレイヤの情報がL3である場合、当該L3とする旨の指示は、トンネル接続装置でのカプセリングの際にアドレスを仮想アドレスに付け替える指示に相当する。
In this state, it is assumed that, for example, a network administrator inputs an instruction to the virtual
指示に基づき、構成変更の指示(上記トンネル接続のための設定情報)が仮想ネットワーク制御装置104からトンネル接続装置103とトンネル終端装置301に伝達される。前述したように、指示の伝達方式は、インバウンドシグナリングとメタシグナリングの2つの方式がある。
Based on the instruction, a configuration change instruction (setting information for tunnel connection) is transmitted from the virtual
現在の状態で、もし、トンネル接続装置103とトンネル終端装置102がトンネル接続されている場合、仮想ネットワーク構成情報を保持する仮想ネットワーク制御装置104は、そのことを把握しており、トンネル接続装置103とトンネル終端装置301とをトンネル接続させるための構成変更指示をトンネル終端装置102に送信する(図14のステップ302)。また、構成変更指示(設定情報)は、トンネル接続先であるトンネル終端装置301にも送られる(ステップ303)。そして、トンネル終端装置102が、トンネル経由で(インバウンドシグナリング)で設定変更指示をトンネル接続装置103に送信し、トンネル接続装置103は設定を行う(ステップ304)。トンネル終端装置301でも設定が行われる。
In the current state, if the
トンネル接続装置103がいずれのトンネル終端装置ともトンネル接続されていない場合、メタシグナリングが行われる。すなわち、トンネル接続装置103は、例えば前述した契機(一定時間間隔等)で仮想ネットワーク制御装置104に問い合わせ(設定情報要求)を行うことにより(ステップ311)、トンネル終端装置301との間のトンネル接続のための設定情報を取得し、設定を行う(ステップ312)。
When the
トンネル接続装置103での設定においては、通信対象サーバ106の宛先アドレスが記憶手段(経路表)に格納され、通信対象サーバ106への通信の選別に用いられる。
In the setting in the
その後、図15に示すように、トンネル接続装置103はまず、トンネル終端装置セグメント105におけるトンネル終端装置301との間でトンネル接続を確立する(ステップ401)。このとき、トンネル終端装置301からトンネル接続装置103に、トンネル終端装置セグメント105セグメント内のアドレス(すなわち仮想アドレス)が払い出される(ステップ402)。
Thereafter, as shown in FIG. 15, the
トンネル接続装置103とトンネル終端装置301との間でトンネル接続がされると、トンネル接続装置103はユーザ端末200から送信されるパケットのうち通信対象サーバ106向けのものを選別し、送信元アドレスをトンネル終端装置301から払い出されたトンネル終端装置セグメント105内のアドレス(仮想アドレス)に付け替える。その上でトンネリング処理を行うために暗号化・カプセリングを施した上でトンネル終端装置301に向けて送出する(図16のステップ501)。
When a tunnel connection is established between the
トンネル終端装置301は、トンネル接続装置103からパケットを受け取ると、デカプセリング・復号化を行い、デカプセリング・復号化されたパケットは、トンネル終端装置セグメント105に設置された途中のスイッチ303を経由して、DGWルータ304から送出される(ステップ502)。なお、トンネル終端装置301は、トンネル接続装置103配下のユーザ端末200の通信をブリッジする装置となる。上記のパケットはスイッチ303のミラーポート等により複製され、監視装置302に入力される(ステップ503)。なお、監視装置302が、FW機器などのパケットの経路上に設けられるタイプの機器の場合は、ミラーポートに接続されず経路上に直接設置される。
When the
通信対象サーバ106は、トンネル終端装置セグメント105のDGWルータ304からパケットを受け取り、応答パケットを当該DGWルータ304に返す。トンネル終端装置301は、トンネル終端装置セグメント105から送出したパケットの送信元アドレスを、自分のインタフェースで解決するARPへの応答を送出しているため(ARP代理応答)、DGWルータ304は通信対象サーバ106から受け取った応答パケットをトンネル終端装置301に向けて送信する(ステップ504)。監視装置302は、この応答パケットも取得できるが、例えばユーザ端末200から通信対象サーバ106への通信のトラフィックのみを監視対象とした場合は応答パケットを取得しなくてもよい。
The
そして、トンネル終端装置301は、トンネル接続装置103からパケットを受け取ったときとは逆にトンネル接続装置103にパケットを送り返し(ステップ505)、トンネル接続装置103は宛先アドレスを仮想アドレスからユーザ端末200のものに書き換えてユーザ端末200に送信を行う。
Then, the
(動作例2:仮想ネットワークに参加しているサーバとの通信トラフィックの取得)
次に動作例2として、仮想ネットワークに参加しているサーバ107との通信トラフィックの取得時における動作を図17〜図20を参照して説明する。
動作例2では、サーバ107とユーザ端末200との間のトンネル終端装置102を経由したトラフィック経路を、トンネル終端装置セグメント105に迂回させることにより、監視装置302がトラフィックを取得する。以下、その手順を説明する。
(Operation example 2: Acquisition of communication traffic with servers participating in the virtual network)
Next, as operation example 2, an operation at the time of acquiring communication traffic with the
In the second operation example, the
図17は、トラフィック取得前の状態を示す図である。図17に示す状態では、トンネル終端装置102を経由した仮想ネットワークにて、サーバ107とユーザ端末200との間の通信が行われている。なお、本例において、通信対象サーバ107に接続されるトンネル接続装置101は、例えば、複数のトンネル接続装置を備えるなどにより、複数の仮想ネットワーク面と通信することができる機能を有する。
FIG. 17 is a diagram illustrating a state before traffic acquisition. In the state shown in FIG. 17, communication between the
この状態から、通信対象サーバ107への通信のトラフィックのみを取得するために、図18にステップ601として示すように、例えばネットワーク管理者から仮想ネットワーク制御装置104に指示が投入されたとする。この指示は、ユーザ端末200に接続されたトンネル接続装置103とトンネル終端装置セグメント105におけるトンネル終端装置301との間でトンネル接続することを示す指示(構成情報)である。この指示には、トラフィック情報を取得するべき通信対象サーバ107の宛先アドレスも含まれており、このアドレスは、以下で説明するトンネル接続装置103に送信される設定情報(設定変更指示)に含められる。また、もし、トンネル接続装置101とトンネル終端装置301との間でトンネルが未設定である場合には、トンネル接続装置101とトンネル終端装置301との間でトンネル接続を行うことを示す指示も含むが、本例では、トンネル接続装置101とトンネル終端装置301との間でトンネルは接続済であるとする。指示の内容は仮想ネットワーク制御装置104の構成情報格納部12に格納される。
In this state, in order to acquire only communication traffic to the
本例では、トンネル接続装置103がトンネル終端装置102とトンネル接続されているため、インバウンドシグナリングを行う。すなわち、仮想ネットワーク構成情報を保持する仮想ネットワーク制御装置104は、トンネル接続装置103がトンネル終端装置102とトンネル接続されていること(すなわち、仮想ネットワーク構成)を把握しており、トンネル接続装置103とトンネル終端装置301とをトンネル接続させるための構成変更指示をトンネル終端装置102に送信する(図18のステップ602)。また、構成変更指示は、トンネル接続先であるトンネル終端装置301にも送られる(ステップ603)。
そして、トンネル終端装置102が、トンネル経由で(インバウンドシグナリングで)設定変更指示をトンネル接続装置103に送信し、トンネル接続装置103は設定を行う(ステップ604)。トンネル接続装置103での設定においては、通信対象サーバ107の宛先アドレスが記憶手段(経路表)に格納され、通信対象サーバ107への通信の選別に用いられる。なお、トンネル終端装置301でも設定が行われる。
In this example, since the
Then, the
その後、図19に示すように、トンネル接続装置103はトンネル終端装置102との接続を切断し(ステップ701)、トンネル終端装置セグメント105におけるトンネル終端装置301との間でトンネル接続を確立する(ステップ702)。このとき、トンネル終端装置301からトンネル接続装置103に、トンネル終端装置セグメント105セグメント内のアドレス(すなわち仮想アドレス)が払い出される(ステップ703)。
Thereafter, as shown in FIG. 19, the
トンネル接続装置103とトンネル終端装置301との間でトンネル接続が確立されると、トンネル接続装置103はユーザ端末200から送信されるパケットのうち通信対象サーバ107向けのものを選別し、送信元アドレスをトンネル終端装置301から払い出されたトンネル終端装置セグメント105内のアドレス(仮想アドレス)に付け替える。その上でトンネリング処理を行うために暗号化・カプセリングを施した上でトンネル終端装置301に向けて送出する。このようにして、ユーザ端末200は当該トンネル終端装置301を経由して仮想ネットワーク上の通信対象サーバ107と通信を行うようになる(図20のステップ801で示す)。
When the tunnel connection is established between the
この際、トンネル終端装置301は仮想ネットワーク上を流れるパケットを、デカプセリングされた状態で複製し、DGWルータ304等適当な宛先に向けセグメント内に出力する(ステップ802)。そしてこの際、途中のスイッチ303のミラーポートにおいて当該パケットをさらに複製し、監視装置302に伝達する(ステップ803)。これにより、ユーザ端末200と通信対象サーバ107間の通信トラフィックを取得できる。
At this time, the
なお、動作例1と動作例2のいずれの場合も、インバウンドシグナリングを行う状態のときには、トンネル終端装置102に、1つのユーザ側トンネル接続装置103が接続される例を示したが、トンネル終端装置102に複数のトンネル接続装置がトンネル接続され仮想ネットワークを構成する場合もある。すなわち、トンネル終端装置102をハブとして複数のトンネル接続装置により仮想ネットワークが確立している場合がある。その場合には、設定情報(迂回指示)を、各トンネルを経由して複数のトンネル接続装置に送信することができる。これにより、複数の特定のユーザ端末のトラフィックを迂回させて監視等を行うことができる。この場合、例えば、どのトンネル接続装置に迂回指示を送信するかを示す情報は、仮想ネットワーク制御装置104からトンネル終端装置102に送られる設定変更指示に含められ、トンネル終端装置102は当該情報に示される複数のトンネル接続装置に迂回指示を送信することができる。
In both cases of the operation example 1 and the operation example 2, when inbound signaling is performed, one user side
<実施の形態のまとめ、効果>
上記のように本実施の形態では、ユーザ端末にインストールされたドライバソフトウェア、もしくはユーザ端末に接続されたトンネル接続装置において取得を行いたいトラフィックを選別し、分析や監視などを行うサーバを備えたネットワーク(トンネル終端装置セグメント)に転送を行う。
<Summary of Embodiment, Effect>
As described above, in the present embodiment, the driver software installed in the user terminal or the network including a server that selects and analyzes traffic to be acquired in the tunnel connection device connected to the user terminal Transfer to (Tunnel Terminator Segment).
この際、動作例1、動作例2で説明したように、仮想ネットワークに既に参加しているサーバ向けの通信と、それ以外のサーバ向けの通信で通信の中継方法を変える。動作例1のように、仮想ネットワーク外に向かうトラフィックを取得する場合には、転送を受けたトンネル終端装置側においてユーザ端末の通信をブリッジすることにより対象サーバと通信を行い、このトラフィックを取得する。また、動作例2で説明したように、仮想トンネル終端装置内の通信を取得する場合には、トラフィック取得用のトンネル終端装置に接続を切り替え、仮想ネットワーク内のトラフィックを複製して出力することによってトラフィックを取得する。 At this time, as described in the operation example 1 and the operation example 2, the communication relay method is changed between communication for servers already participating in the virtual network and communication for other servers. When acquiring traffic going out of the virtual network as in Operation Example 1, communication is performed with the target server by bridging the communication of the user terminal on the side of the tunnel terminating device that has received the transfer, and this traffic is acquired. . Further, as described in the operation example 2, when communication in the virtual tunnel termination device is acquired, the connection is switched to the tunnel termination device for traffic acquisition, and the traffic in the virtual network is copied and output. Get traffic.
これにより、クライアント機器(ユーザ端末)がどこのネットワークから通信を行っている場合でも、特定宛先向けの通信のみを切り分けて監視を行うことができる。また、オーバーレイネットワーク上でのトラフィック監視を行う場合において、全ての集約サーバに監視機器を導入せずとも特定クライアントの通信のみを切り分けることができる。 As a result, regardless of the network from which the client device (user terminal) is communicating, only the communication for the specific destination can be separated and monitored. In addition, when performing traffic monitoring on the overlay network, it is possible to isolate only the communication of a specific client without introducing monitoring devices to all the aggregation servers.
すなわち、本実施の形態で説明した技術を用いることにより、トラフィック情報を取得する機能を特定通信経路上DCに設置できない場合であっても、インターネット等のネットワーク上に流れるトラフィック情報の取得が可能となる。この方式では、ユーザ端末の操作者に自分のトラフィックが中継されているか否かを気付かれることがない。また、トラフィック監視機能をASP的に提供することも可能となる。なお、中継したトラフィックをいかなる方法で取得して分析・監視・検疫等を行うかについては特定の方法に限定されない。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
In other words, by using the technology described in this embodiment, it is possible to acquire traffic information flowing on a network such as the Internet even when a function for acquiring traffic information cannot be installed in a DC on a specific communication path. Become. In this method, the operator of the user terminal does not notice whether or not his / her traffic is being relayed. It is also possible to provide a traffic monitoring function in an ASP manner. Note that the method by which the relayed traffic is acquired and analyzed, monitored, quarantined, etc. is not limited to a specific method.
The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
1 仮想ネットワークシステム
10 仮想ネットワーク制御装置
20 トンネル接続装置
30 トンネル終端装置
40 IPネットワーク
50 ユーザ端末
60 サーバ
11 仮想NW構築指示受付部
12 構成情報格納部
13 対装置通信部
14 位置情報登録部
15 位置情報格納部
16 指示通知部
21 対仮想NW制御装置通信部
23 設定部
24 データ格納部
25 トンネル接続通信部
251 トンネル構築部
252 プロトコル処理部
31 対仮想NW制御装置通信部
32 登録要求部
33 設定部
34 仮想NW構成変更制御部
35 データ格納部
36 トンネル終端通信部
361 トンネル構築部
362 プロトコル処理部
100 IPネットワーク
101、103 トンネル接続装置
102、301 トンネル終端装置
104 仮想ネットワーク制御装置
105 トンネル終端装置セグメント
106、107 サーバ
200 ユーザ端末
302 監視装置
303 スイッチ
304 DGWルータ
DESCRIPTION OF
Claims (11)
所定のトンネル終端装置の位置情報を記憶する記憶手段と、
所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するための指示通知手段と、を備え、
前記迂回指示は、前記所定のトンネル接続装置においてデータのカプセリングを行う際に、データに付されていたアドレスを仮想アドレスに付け替える指示を含み、当該仮想アドレスは、前記所定のトンネル終端装置が含まれるセグメントから払い出される
ことを特徴とする仮想ネットワーク制御装置。 A virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device,
Storage means for storing position information of a predetermined tunnel termination device;
Of the instruction to establish a tunnel between the predetermined tunnel connection device and the predetermined tunnel termination device indicated by the location information, and the data transmitted and received by the predetermined tunnel connection device, the predetermined tunnel connection device An instruction notification means for notifying the predetermined tunnel connection device of a detour instruction including identification information for identifying data to be detoured ,
The detour instruction includes an instruction to replace an address attached to data with a virtual address when data encapsulation is performed in the predetermined tunnel connection device, and the virtual address includes the predetermined tunnel termination device A virtual network control device which is paid out from a segment .
所定のトンネル終端装置の位置情報を記憶する記憶手段と、
所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するための指示通知手段と、を備え、
前記迂回指示は、前記所定のトンネル接続装置においてデータのカプセリングを行う際に、データに付されていたアドレスを仮想アドレスに付け替える指示を含み、当該仮想アドレスは、当該仮想アドレスを宛先とするデータが前記所定のトンネル終端装置にルーティングされるように払い出される
ことを特徴とする仮想ネットワーク制御装置。 A virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device,
Storage means for storing position information of a predetermined tunnel termination device;
Of the instruction to establish a tunnel between the predetermined tunnel connection device and the predetermined tunnel termination device indicated by the location information, and the data transmitted and received by the predetermined tunnel connection device, the predetermined tunnel connection device An instruction notification means for notifying the predetermined tunnel connection device of a detour instruction including identification information for identifying data to be detoured ,
The detour instruction includes an instruction to replace an address attached to data with a virtual address when performing data encapsulation in the predetermined tunnel connection device, and the virtual address includes data whose destination is the virtual address. A virtual network control device which is paid out so as to be routed to the predetermined tunnel termination device.
ことを特徴とする請求項1又は2に記載の仮想ネットワーク制御装置。 The virtual network control device according to claim 1, wherein the predetermined tunnel termination device is a tunnel termination device that bridges communication of the predetermined tunnel connection device.
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の仮想ネットワーク制御装置。 A monitoring device is connected to the predetermined tunnel termination device. The predetermined tunnel termination device decapsulates the encapsulated data received in the tunnel, and transmits the decapsulated data to the monitoring device. The virtual network control device according to claim 1, wherein the virtual network control device is a virtual network control device.
ことを特徴とする請求項1ないし4のうちいずれか1項に記載の仮想ネットワーク制御装置。 The detour instruction is notified through the tunnel in a state where the predetermined tunnel connection device has previously established a tunnel with a tunnel termination device other than the predetermined tunnel termination device. 5. The virtual network control device according to claim 1.
ことを特徴とする請求項1ないし5のうちいずれか1項に記載の仮想ネットワーク制御装置。 The detour instruction is notified to the plurality of tunnel connection devices when a virtual network is already established by a plurality of tunnel connection devices with the tunnel termination device as a hub. 6. The virtual network control device according to claim 1.
所定のトンネル終端装置の位置情報を記憶手段に記憶するステップと、
所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するステップと、を備え、
前記迂回指示は、前記所定のトンネル接続装置においてデータのカプセリングを行う際に、データに付されていたアドレスを仮想アドレスに付け替える指示を含み、当該仮想アドレスは、前記所定のトンネル終端装置が含まれるセグメントから払い出される
ことを特徴とする仮想ネットワーク制御方法。 A virtual network control method executed by a virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device,
Storing location information of a predetermined tunnel termination device in a storage means;
Of the instruction to establish a tunnel between the predetermined tunnel connection device and the predetermined tunnel termination device indicated by the location information, and the data transmitted and received by the predetermined tunnel connection device, the predetermined tunnel connection device Notifying the predetermined tunnel connection device of a detour instruction including identification information for identifying data to be detoured , and
The detour instruction includes an instruction to replace an address attached to data with a virtual address when data encapsulation is performed in the predetermined tunnel connection device, and the virtual address includes the predetermined tunnel termination device A virtual network control method characterized by being paid out from a segment .
所定のトンネル終端装置の位置情報を記憶手段に記憶するステップと、
所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するステップと、を備え、
前記迂回指示は、前記所定のトンネル接続装置においてデータのカプセリングを行う際に、データに付されていたアドレスを仮想アドレスに付け替える指示を含み、当該仮想アドレスは、当該仮想アドレスを宛先とするデータが前記所定のトンネル終端装置にルーティングされるように払い出される
ことを特徴とする仮想ネットワーク制御方法。 A virtual network control method executed by a virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device,
Storing location information of a predetermined tunnel termination device in a storage means;
Of the instruction to establish a tunnel between the predetermined tunnel connection device and the predetermined tunnel termination device indicated by the location information, and the data transmitted and received by the predetermined tunnel connection device, the predetermined tunnel connection device Notifying the predetermined tunnel connection device of a detour instruction including identification information for identifying data to be detoured , and
The detour instruction includes an instruction to replace an address attached to data with a virtual address when performing data encapsulation in the predetermined tunnel connection device, and the virtual address includes data whose destination is the virtual address. The virtual network control method, wherein the virtual network is paid out so as to be routed to the predetermined tunnel terminating device .
前記仮想ネットワーク制御装置は、
前記所定のトンネル終端装置の位置情報を記憶する記憶手段と、
所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するための指示通知手段と、を備え、
前記所定のトンネル終端装置は、トンネルにて受信したカプセリングされたデータをデカプセリングし、当該デカプセリングされたデータを前記監視装置に送信する仮想ネットワーク制御システムであり、
前記迂回指示は、前記所定のトンネル接続装置においてデータのカプセリングを行う際に、データに付されていたアドレスを仮想アドレスに付け替える指示を含み、当該仮想アドレスは、前記所定のトンネル終端装置が含まれるセグメントから払い出される
ことを特徴とする仮想ネットワーク制御システム。 Virtual network control system comprising a virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device, and a predetermined tunnel termination device to which a monitoring device is connected Because
The virtual network control device is:
Storage means for storing position information of the predetermined tunnel termination device;
Of the instruction to establish a tunnel between the predetermined tunnel connection device and the predetermined tunnel termination device indicated by the location information, and the data transmitted and received by the predetermined tunnel connection device, the predetermined tunnel connection device An instruction notification means for notifying the predetermined tunnel connection device of a detour instruction including identification information for identifying data to be detoured,
The predetermined tunnel termination device is a virtual network control system for decapsulating the encapsulated data received in the tunnel and transmitting the decapsulated data to the monitoring device ;
The detour instruction includes an instruction to replace an address attached to data with a virtual address when data encapsulation is performed in the predetermined tunnel connection device, and the virtual address includes the predetermined tunnel termination device A virtual network control system characterized by being paid out from a segment .
前記仮想ネットワーク制御装置は、
前記所定のトンネル終端装置の位置情報を記憶する記憶手段と、
所定のトンネル接続装置と前記位置情報で示された前記所定のトンネル終端装置との間でトンネルを確立する指示と、前記所定のトンネル接続装置が送受信するデータのうち、前記所定のトンネル終端装置に迂回させるデータを識別する識別情報とを含む迂回指示を、前記所定のトンネル接続装置に通知するための指示通知手段と、を備え、
前記所定のトンネル終端装置は、トンネルにて受信したカプセリングされたデータをデカプセリングし、当該デカプセリングされたデータを前記監視装置に送信する仮想ネットワーク制御システムであり、
前記迂回指示は、前記所定のトンネル接続装置においてデータのカプセリングを行う際に、データに付されていたアドレスを仮想アドレスに付け替える指示を含み、当該仮想アドレスは、当該仮想アドレスを宛先とするデータが前記所定のトンネル終端装置にルーティングされるように払い出される
ことを特徴とする仮想ネットワーク制御システム。 Virtual network control system comprising a virtual network control device for controlling a virtual network configured by a tunnel set between a tunnel connection device and a tunnel termination device, and a predetermined tunnel termination device to which a monitoring device is connected Because
The virtual network control device is:
Storage means for storing position information of the predetermined tunnel termination device;
Of the instruction to establish a tunnel between the predetermined tunnel connection device and the predetermined tunnel termination device indicated by the location information, and the data transmitted and received by the predetermined tunnel connection device, the predetermined tunnel connection device An instruction notification means for notifying the predetermined tunnel connection device of a detour instruction including identification information for identifying data to be detoured,
The predetermined tunnel termination device is a virtual network control system for decapsulating the encapsulated data received in the tunnel and transmitting the decapsulated data to the monitoring device ;
The detour instruction includes an instruction to replace an address attached to data with a virtual address when performing data encapsulation in the predetermined tunnel connection device, and the virtual address includes data whose destination is the virtual address. A virtual network control system, which is paid out so as to be routed to the predetermined tunnel termination device .
The program for functioning a computer as each means of the virtual network control apparatus of any one of Claims 1 thru | or 6.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011175272A JP5670279B2 (en) | 2011-08-10 | 2011-08-10 | Virtual network control device, virtual network control method, virtual network control system, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011175272A JP5670279B2 (en) | 2011-08-10 | 2011-08-10 | Virtual network control device, virtual network control method, virtual network control system, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013038715A JP2013038715A (en) | 2013-02-21 |
JP5670279B2 true JP5670279B2 (en) | 2015-02-18 |
Family
ID=47887868
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011175272A Active JP5670279B2 (en) | 2011-08-10 | 2011-08-10 | Virtual network control device, virtual network control method, virtual network control system, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5670279B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101572689B1 (en) | 2014-01-06 | 2015-11-27 | (주)구름네트웍스 | Apparatus for Virtualizing a Network Interface and Method thereof |
JP6256110B2 (en) * | 2014-03-04 | 2018-01-10 | 富士通株式会社 | Packet processing system and packet processing method |
WO2016017737A1 (en) * | 2014-07-31 | 2016-02-04 | 日本電気株式会社 | Switch, overlay network system, communication method, and program |
JP6512990B2 (en) | 2015-08-05 | 2019-05-15 | アラクサラネットワークス株式会社 | Transfer device and transfer system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006050433A (en) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | Traffic monitoring apparatus, communication network traffic monitoring system and monitoring method |
JP4589263B2 (en) * | 2006-04-10 | 2010-12-01 | 日本電信電話株式会社 | Voice monitoring recording system |
JP4244356B2 (en) * | 2006-08-31 | 2009-03-25 | 日本電信電話株式会社 | Traffic analysis and control system |
JP4816572B2 (en) * | 2007-05-30 | 2011-11-16 | 富士ゼロックス株式会社 | Virtual network connection system and apparatus |
-
2011
- 2011-08-10 JP JP2011175272A patent/JP5670279B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013038715A (en) | 2013-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6785376B2 (en) | IoT device connectivity, discovery, networking | |
US9184981B2 (en) | System and apparatus for distributed mobility management based network layer virtual machine mobility protocol | |
JP5641444B2 (en) | Network system and network redundancy method | |
JP5590262B2 (en) | Information system, control device, virtual network providing method and program | |
JP5648926B2 (en) | Network system, controller, and network control method | |
WO2011087085A1 (en) | Calculator, network connection switching method, and program | |
KR20140027455A (en) | Centralized system for routing ethernet packets over an internet protocol network | |
JP2005167435A (en) | Vrrp technology sustaining confidentiality of vr | |
KR20140099598A (en) | Method for providing service of mobile vpn | |
JP5367764B2 (en) | Virtual network system, configuration change method, tunnel connection apparatus, and program | |
WO2014132967A1 (en) | Communication system, switch, control apparatus, control channel configuration method and program | |
JP5670279B2 (en) | Virtual network control device, virtual network control method, virtual network control system, and program | |
JP2008118561A (en) | Network setting method, network system, and relay device | |
JP5437518B2 (en) | Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program | |
JP4011528B2 (en) | Network virtualization system | |
Balan et al. | LISP Optimisation of Mobile Data Streaming in Connected Societies | |
Gibb et al. | Initial thoughts on custom network processing via waypoint services | |
Owada et al. | An Implementation of layer 2 overlay mesh network and edge computing platform for IoT | |
WO2014119602A1 (en) | Control apparatus, switch, communication system, switch control method and program | |
JP2012170008A (en) | Relay server and relay communication system | |
JP2011019007A (en) | Method, device, system and program for avoiding network address overlap | |
JP6575883B1 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND CONTROL PROGRAM | |
JP4470641B2 (en) | VPN management server, VPN setting system, method, and program for VPN management server | |
JP2016149701A (en) | Network system and packet transfer method | |
JP6256110B2 (en) | Packet processing system and packet processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140121 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140821 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140902 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141104 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141125 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141217 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5670279 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |