JP6666863B2 - System, method and program for forming virtual closed network - Google Patents
System, method and program for forming virtual closed network Download PDFInfo
- Publication number
- JP6666863B2 JP6666863B2 JP2017015223A JP2017015223A JP6666863B2 JP 6666863 B2 JP6666863 B2 JP 6666863B2 JP 2017015223 A JP2017015223 A JP 2017015223A JP 2017015223 A JP2017015223 A JP 2017015223A JP 6666863 B2 JP6666863 B2 JP 6666863B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- name resolution
- network
- address
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、端末を収容するネットワーク上に前記端末が所属するグループ毎の仮想閉域網を形成するシステムに関する。 The present invention relates to a system for forming a virtual closed network for each group to which a terminal belongs on a network accommodating the terminal.
現在、多様な端末がネットワークに接続するIoT(Internet of Thing)に関する検討が様々な標準化団体等で議論されている。IoTネットワークでは、多様な端末が接続する事から、端末種別毎の通信の頻度や帯域の振れ幅が大きく、個々の端末の挙動(バースト的なトラヒックの送出、監視カメラによる広帯域の占有等)によって、他の正常なサービス利用が阻害される懸念がある。また、同一仕様の端末が数多く分散して配置されるため、それらの端末のセキュリティの脆弱性を付いた攻撃が行われた場合にネットワーク全体への影響が非常に大きい。 At present, various standardization organizations are discussing the Internet of Things (IoT) in which various terminals are connected to a network. In the IoT network, since various terminals are connected, the frequency of communication and the fluctuation of the bandwidth for each terminal type are large, and the behavior of each terminal (burst traffic transmission, occupation of a wide band by a monitoring camera, etc.) However, there is a concern that the use of other normal services will be hindered. Also, since many terminals having the same specifications are distributed and arranged, an attack with security vulnerabilities of those terminals has a great effect on the entire network.
これらの課題を解決するためには、個々のIoTサービス毎にVPN(Virtual Private Network)等の閉域網を構築し、サービス間での相互干渉を防止する手法が一般的である。 In order to solve these problems, it is general to construct a closed network such as a VPN (Virtual Private Network) for each IoT service and prevent mutual interference between services.
しかし、VPN技術による閉域網には以下に述べるような問題点がある(非特許文献1、2参照)。 However, the closed network using the VPN technology has the following problems (see Non-Patent Documents 1 and 2).
1.端末に機能追加が必要である。 1. The terminal needs additional functions.
多様な端末が簡易にネットワークに接続できるようにするためには,端末にはネットワークに接続するための必要最低限の機能を具備するだけでIoTネットワークに接続できる事が望ましい。しかし、VPNの場合は、トンネル制御のための機能を具備する必要があり、任意の端末が自由にネットワークに接続できる、というIoTの理念から乖離している。 In order to allow various terminals to easily connect to the network, it is desirable that the terminals have only the minimum necessary functions for connecting to the network and can be connected to the IoT network. However, in the case of VPN, it is necessary to provide a function for tunnel control, which deviates from the IoT philosophy that any terminal can freely connect to the network.
また、IoT端末はネットワークに定常的に接続するため、サービス提供のコスト削減の観点から、必要となるマシンリソースは小さく、消費電力が少ない事が望ましい。しかし、IPSec等のVPN技術の実装は高コストであり、かつ消費電力やマシンリソースも大きい。 Further, since the IoT terminal is constantly connected to the network, it is desirable that the required machine resources are small and the power consumption is small from the viewpoint of cost reduction of service provision. However, implementation of VPN technology such as IPSec is expensive, and power consumption and machine resources are large.
2.ネットワーク側でもトンネル制御のための機能追加が必要である。 2. The network side also needs to add a function for tunnel control.
また、IoT固有の課題として、以下に述べるような問題点がある。 In addition, as a problem unique to the IoT, there is a problem as described below.
定期的なバーストトラヒックへの対処:IoTの様な機械端末では、ネットワークの接続が特定のタイミング(例:毎時0分,毎分0秒)に集中する事が多い。その様な定期的なバーストトラヒックに対して、サーバや通信路の輻輳が発生しやすい。 Dealing with periodic burst traffic: In machine terminals such as IoT, network connections are often concentrated at specific timings (eg, 0 minutes per hour, 0 seconds per minute). Congestion of servers and communication paths is likely to occur for such periodic burst traffic.
IoTネットワークでは、端末数が膨大で広範囲に散らばっているため、全ての端末を保守者が現地で維持メンテする事が困難である。 In the IoT network, since the number of terminals is enormous and scattered over a wide area, it is difficult for a maintenance person to maintain all the terminals on site.
以上の議論より、以下の要件を設定した。 Based on the above discussion, the following requirements were set.
要件1:サービス毎のトラヒックの相互干渉の防止。通信の頻度や帯域の振れ幅が異なる多様な端末を同一ネットワークに収容し、かつ、サービス間での相互干渉を防止できる事。 Requirement 1: prevention of mutual interference of traffic for each service. Various terminals with different communication frequencies and bandwidth fluctuations can be accommodated in the same network, and mutual interference between services can be prevented.
要件2:端末への追加実装が不要。端末には要件1を実現するための固有の追加機能の実装が不要である事(ネットワークに接続するための必要最低限の機能のみを具備するだけでよい事)。 Requirement 2: No additional implementation on the terminal is required. It is not necessary for the terminal to implement a unique additional function for realizing the requirement 1 (only the minimum necessary function for connecting to the network is required).
要件3:ネットワークへの追加実装が不要。ネットワーク側においても、要件1を実現するための固有の追加機能の実装が不要である事。 Requirement 3: No additional implementation on the network is required. It is not necessary for the network to implement additional functions specific to fulfill requirement 1.
要件4:バーストトラヒックの抑止。定期的なバーストトラヒックによるトラヒックの輻輳を抑止する事ができる事。 Requirement 4: Suppression of burst traffic. The ability to suppress traffic congestion due to periodic burst traffic.
要件5:端末の保守運用の簡素化。端末が正常な動作を行わなくなった場合の保守運用稼働が低減化されている事。 Requirement 5: Simplify terminal maintenance and operation. The maintenance operation when the terminal stops operating normally is reduced.
本発明は上記事情に鑑みてなされたものであり、その目的とするところは、上記要件を満たしIoTに適した仮想閉域網の形成システム及び方法並びに提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a virtual closed area network forming system and method that satisfies the above requirements and is suitable for IoT.
上記目的を達成するために、本願発明は、1以上の端末を収容するネットワーク上に前記端末が所属するグループ毎の仮想閉域網を形成する仮想閉域網の形成システムであって、前記各グループに対応して設けられ且つ自身のグループに所属する端末に名前解決サービスを提供するグループ毎の名前解決サーバと、端末に払い出すL3(Layer 3)アドレスと当該端末が属するグループ用の名前解決サーバのL3アドレスとを含む構成情報を端末毎に保持するとともにネットワークに接続しようとする端末に当該端末の構成情報を配布する構成情報配布サーバと、端末・ネットワーク間のトラヒックの中継及びパケットフィルタリングを行う中継装置と、を前記ネットワーク側に配置し、前記中継装置は、宛先及び送信元のL3アドレスの組が、構成情報配布サーバが配布した端末のL3アドレスと、該端末の属するグループ用の名前解決サーバが名前解決して該端末に応答したL3アドレスとの組であるトラフィックのみを通過させるよう動的にフィルタリング設定を行うことを特徴とする。 In order to achieve the above object, the present invention is a virtual closed network forming system for forming a virtual closed network for each group to which the terminal belongs on a network accommodating one or more terminals , A name resolution server for each group provided correspondingly and providing a name resolution service to terminals belonging to its own group, an L3 (Layer 3) address to be paid out to the terminal, and a name resolution server for the group to which the terminal belongs. A configuration information distribution server that holds configuration information including an L3 address for each terminal and distributes the configuration information of the terminal to a terminal to be connected to a network, and a relay that relays traffic between the terminal and the network and performs packet filtering And the relay device are arranged on the network side, and the relay device has a set of a destination and a source L3 address, And L3 address configuration information distribution server distributes terminal dynamically filtered to name resolution server for group of the said terminal passes only traffic is a set of the L3 address in response to the terminal and name resolution The setting is performed.
本発明によれば、ネットワークに流入する端末のトラヒックは、当該端末の属するグループ毎に管理される名前解決サービスが応答したL3アドレス宛てのもののみとなるので、グループ間でのトラヒックの相互干渉を防止できる。また、端末として、構成情報配布サービスを利用した端末構成を行う一般的なものをそのまま用いることができる。また、名前解決サーバ及び構成情報配布サーバにおける各種データの管理によりトラヒック等をネットワーク側で一括して制御できるので、端末の保守運用を簡素化することができる。 According to the present invention, since the traffic of the terminal flowing into the network is only addressed to the L3 address to which the name resolution service managed for each group to which the terminal belongs, the mutual interference of traffic between the groups can be reduced. Can be prevented. In addition, a general terminal that performs a terminal configuration using a configuration information distribution service can be used as it is. In addition, since traffic and the like can be controlled collectively on the network side by managing various data in the name resolution server and the configuration information distribution server, maintenance and operation of terminals can be simplified.
まず、本発明の目指す世界観について図1のネットワーク図を参照して説明する。本発明は、多様なIoT端末が、個々のサービス毎に相互干渉せずに共存できるネットワークの実現を目指すものである。 First, the world view aimed at by the present invention will be described with reference to the network diagram of FIG. The present invention aims to realize a network in which various IoT terminals can coexist without interfering with each other for each service.
本発明では、まずIoT端末10をトラヒックグループに分類する。ネットワーク200には、CPE(宅内通信設備:Customer Premises Equipment)の一部機能を仮想化した仮想CPE100を配置する。仮想CPE100は、グループ毎に仮想閉域網300を形成する。仮想CPE100は、複数の仮想閉域網300を形成することができる。なお図1では、各仮想CPE100はそれぞれ1つの仮想閉域網300を形成している。仮想閉域網300は、個々のトラヒックがグループ毎に独立しており、混ざり合う事が無い。仮想CPE100は、自身が対応する1つ以上のグループに属するIoT端末10に、CPEの一部機能を提供する。ネットワーク200側は、通常のパケット転送のみでよい。IoT端末10自身は、自分がどのトラヒックグループに属しているのかは意識しない、すなわちネットワーク200側でトラヒック制御を行う。
In the present invention, the
ここで、図1は概念図である点に留意されたい。したがって、ネットワーク200の形態は不問である。すなわち、ネットワーク200は、1つ以上物理網により形成されていてもよいし、1つ以上の仮想網により形成されていてもよいし、1つ以上の物理網と仮想網の組み合わせであってもよい。また、物理網は、固定網であっても移動網であってもよいし、これらの組み合わせであってもよい。また、IoT端末10を収容するためのアクセス回線の形態も不問である。
Here, it should be noted that FIG. 1 is a conceptual diagram. Therefore, the form of the network 200 does not matter. That is, the network 200 may be formed by one or more physical networks, may be formed by one or more virtual networks, or may be a combination of one or more physical networks and virtual networks. Good. Further, the physical network may be a fixed network, a mobile network, or a combination thereof. Also, the form of the access line for accommodating the
次に、本実施の形態に係る仮想閉域網の形成システムについて図2を参照して説明する。仮想CPE100は、図2に示すように、構成情報配布サービスを提供するDHCP(Dynamic Host Configuration Protocol)プロセス110と、グループ毎に形成され当該グループに属するIoT端末10に名前解決サービスを提供する1つ以上のDNS(Domain Name System)プロセス120と、IoT端末10とネットワーク200間のトラヒックを中継するゲートウェイ130とを備えている。
Next, a virtual closed network forming system according to the present embodiment will be described with reference to FIG. As shown in FIG. 2, the
DHCPプロセス110は、図2に示すように、IoT端末10に払い出すL3アドレスと当該IoT端末が属するグループ用のDNSサーバのL3アドレスとを含む構成情報111をIoT端末10毎に保持する。なお、本実施形態では、L3アドレスの一例としてIPv6アドレスを用いる。また、IoT端末10を識別する情報としては、IoT端末10のL2アドレスであるMAC(Media Access Control)アドレスを用いる。
As shown in FIG. 2, the
DHCPプロセス110は、IoT端末10がネットワーク200に接続しようとする際に、当該IoT端末10からの要求に応じて、当該IoT端末10を識別し、当該IoT端末10用に保持している構成情報111を応答する。IoT端末10は、受信した構成情報111に基づき、自身のL3アドレス及び名前解決の際に用いるDNSサーバを設定する。
When the
図3にDNSプロセス120の構成図を示す。DNSプロセス120は、図3に示すように、名前解決処理部121と、ゾーンファイル122と、TTL(Time To Live)調整部123とを備えている。
FIG. 3 shows a configuration diagram of the
名前解決処理部121は、IoT端末10からの名前解決要求(DNSクエリ)に対してゾーンファイル122を参照して名前解決処理を行い、要求元にIoT端末10に応答する。ゾーンファイル122は、仮想CPE100が対応する1つ以上のグループについてのゾーン情報を有している。このゾーン情報にはTTLが含まれる。また、IoT端末10への応答にはTTLが含まれる。TTL調整部123については後述する。
The name
図4にゲートウェイ130の構成図を示す。ゲートウェイ130は、図4に示すように、IoT端末10側とネットワーク200側との間でパケットを中継するパケット中継部131を備えている。パケット中継部131は、フィルタリング処理部132と、フィルタ設定部134とを備えている。フィルタリング処理部132は、フィルタリング処理部132により動的に設定された通過トラヒック情報133を保持しており、この通過トラヒック情報133に合致するトラヒックのみを通過させ、他のトラヒックは廃棄する。フィルタ設定部134は、DHCPプロセス110が配布した構成情報111及びDNSプロセス120がIoT端末10に応答した応答情報に基づき、前記通過トラヒック情報133を動的に設定する。通過トラヒック情報133は、図4に示すように、宛先のL3アドレスと送信元のL3アドレスの組を含む。
FIG. 4 shows a configuration diagram of the
また、ゲートウェイ130は、図4に示すように、廃棄トラヒック集約部135を備えている。廃棄トラヒック集約部135は、フィルタリング処理部132で廃棄したトラヒックについての各種情報を集約し、所定の端末管理サイトに通知する。
The
本実施の形態に係る仮想閉域網の形成システムは、図2に示すように、以下のポイントを有している。 The virtual closed network forming system according to the present embodiment has the following points as shown in FIG.
ポイント1:ゲートウェイにおける動的なトラヒックフィルタ設定
ポイント2:ゲートウェイにおける廃棄トラック関連情報の収集
ポイント3:応答ドメインの限定によるトラヒックグループの区別
ポイント4:名前解決応答におけるTTLの変更によるクエリ集中の回避
ポイント5:CPEを仮想化する事による保守運用性向上
以下に上記各ポイントについて詳述する。
Point 1: Dynamic traffic filter setting at the gateway Point 2: Collection of discard track related information at the gateway Point 3: Differentiation of traffic groups by limiting response domains Point 4: Avoidance of query concentration due to TTL change in name resolution response Points 5: Improvement of maintenance operability by virtualizing CPE Each of the above points will be described in detail below.
[ポイント1:ゲートウェイにおける動的なトラヒックフィルタ設定]
まず、図2に示すように、DHCPプロセス110に予めIoT端末10のL2アドレスと、当該IoT端末10が接続するトラヒックグループのテーブルを保持しておき、IoT端末10からのDHCP要求に対して、IoT端末のL3アドレスとDNSプロセス120のL3アドレスを回答する(ステップ(1))。IoT端末10がDHCPによる回答に係るDNSプロセス120に対してDNSクエリを送信すると(ステップ(2))、当該DNSプロセス120が応答する(ステップS(3))。IoT端末10は、DNS応答に係るL3アドレスを宛先アドレスとし、且つ、DHCP応答に係るL3アドレスを送信元アドレスとしたユーザ通信を行う。
[Point 1: Dynamic traffic filter setting at the gateway]
First, as shown in FIG. 2, the L2 address of the
そして、上記ポイント1は、ゲートウェイ130において、前記ステップ(1)とステップ(3)の情報からパケットフィルタを設定し、該当する通信のみを許容することである。
The point 1 is that the
このようにポイント1では、仮想CPE100のゲートウェイ130にて動的なトラヒックフィルタを設定し、個々のトラヒックグループへの振り分けを実施する事で、サービス毎(グループ毎)のトラヒックの相互干渉を防止できる。また、上記のトラヒックグループへの接続の可否は上記ゲートウェイ130にて一元的に管理するため、個々のIoT端末10やネットワーク200では固有機能の具備が不要である。以上より、上記要件1、2、3が解決される。
In this way, at point 1, by setting a dynamic traffic filter in the
[ポイント2:ゲートウェイにおける廃棄トラック関連情報の収集]
次に、上記ポイント2について説明する。上記ポイント2は、ゲートウェイ130において、廃棄トラヒックのデータを集約して仮想CPE100から所定の端末管理サイトに報告し、IoT端末10の保守運用に活用するものである。データ集約は、例えば通信データ(端末L3アドレス、通信内容)など端末保守での活用に有用なものを対象とすればよい。これらのデータは所謂ビッグデータとして、ビッグデータ解析に利用できる。また、保守管理の内容としては、例えば、遠隔での復旧操作、(必要に応じて)現地交換を実施、統計的な分析(セキュリティ攻撃の分析等)などが挙げられる。また、不正な動作を行っているIoT端末10の検知を行う事で、不正端末の傾向分析を行うこともできる。このようにポイント2により、上記要件5が解決される。
[Point 2: Collection of discarded truck related information at the gateway]
Next, point 2 will be described. The point 2 is that the
[ポイント3:応答ドメインの限定による、トラヒックグループの区別]
次に、上記ポイント3について図5を参照して説明する。IoT端末10は、人間の機械端末の操作とは異なり、名前解決の問い合わせドメインのバリエーションは限定的であると想定される。このため、本システムでは、下位プロキシでは、それぞれ特定のドメインのみの応答を行うDNSプロセスが複数設定される事を許容する(図5ではDNSプロセス1,DNSプロセス2)。各々のDNSプロセス120には、L3アドレスである所定のIPv6アドレスを付与する事とする。個々のIoT端末10は、DHCP応答にてそれぞれのIoT端末10の用途に適したDNSプロセス120のL3アドレスが通知され、そのL3アドレスに対して名前解決要求を送出する事とする。
[Point 3: Differentiating traffic groups by limiting response domains]
Next, point 3 will be described with reference to FIG. Unlike the operation of the human machine terminal, the
このようにポイント3では、個々のサービスに適したDNSプロセス120を提供する事で、個別端末が接続できる通信相手を限定する事ができる。以上より、上記要件1,2,3が解決できる。
In this way, at point 3, by providing the
[ポイント4:名前解決応答におけるTTLの変更によるクエリ集中の回避]
次に、上記ポイント4について図6及び図7を参照して説明する。図6はIoT端末のDNSクエリとTTLの関係を説明する図、図7はTTL調整方法について説明する図である。図6において、横軸は時間、縦軸はクエリ量を示す。図6に示すように、IoT端末10は、一定の間隔で繰り返しDNSクエリを送出するケースが多い。
[Point 4: Avoiding Query Concentration by Changing TTL in Name Resolution Response]
Next, the point 4 will be described with reference to FIGS. FIG. 6 is a diagram for explaining the relationship between the DNS query of the IoT terminal and TTL, and FIG. 7 is a diagram for explaining a TTL adjustment method. In FIG. 6, the horizontal axis represents time, and the vertical axis represents query volume. As shown in FIG. 6, the
このようなケースにおいて、一定間隔でのDNSクエリの集中を回避するために、DNSプロセス120のTTL調整部123は、ドメイン単位でクエリ推移を記録し、ドメインのキャッシュ保持時間(TTL)と定期クエリ間隔の大小関係を判別する。そして、この大小関係に応じて、図7に示すようなTTLの変更を行う事で、クエリ集中の回避と、クエリ総数の削減を実現する。
In such a case, in order to avoid concentration of DNS queries at regular intervals, the
図7において、横軸は時間であり、横軸から上方に延びる矢印はIoT端末10において名前解決を行うタイミングを示す。また、横軸上の長方形はIoT端末10においてTTLにより設定されたキャッシュ保持期間を示す。また、横軸下方の三角形は名前解決についてDNSプロセス120にDNSクエリを送信するタイミングを示す。
In FIG. 7, the horizontal axis represents time, and an arrow extending upward from the horizontal axis indicates the timing at which the
図7(a)はTTL>定期クエリ間隔の場合を示す。この場合「通常時」は、各IoT端末10のDNSクエリは定期的に送出され、これによりトラヒックが集中することになる。そこで、TTL調整部123はTTLを意図的に減算又は加算する。TTL調整部123は、加減算とクエリ分散の変化を繰り返し学習する事で、加減算幅を最適に変更する。この減算処理によれば、図7(a)に示すように、通常時では各IoT端末10が同じタイミングでDNSクエリを送出するところ、このタイミングがずれるのでトラヒック集中を回避できる。一方、加算処理によれば、図7(a)に示すように、DNSクエリの総数を削減することができる。
FIG. 7A shows the case of TTL> periodic query interval. In this case, in the “normal time”, the DNS query of each
図7(b)はTTL<定期クエリ間隔の場合を示す。この場合「通常時」は、DNSクエリは各IoT端末10において名前解決を行うタイミングで毎回送出され、クエリ総数が大きくなる。そこで、TTL調整部123はTTLを意図的に加算(延長)する。TTL調整部123は、延長とクエリ減少の変化を繰り返し学習する事で、延長幅を最適に変更する。この加算処理によれば、図7(b)に示すように、DNSクエリの総数を削減することができる。
FIG. 7B shows a case where TTL <the regular query interval. In this case, in the "normal time", the DNS query is sent out each time the name resolution is performed in each
このようにポイント4では、TTLを変更させる事で、定期的なクエリ要求に対するバーストトラヒックを低減させ、耐性を向上させることができる。以上より上記要件4を解決する。 As described above, at the point 4, by changing the TTL, it is possible to reduce the burst traffic for the periodic query request and improve the tolerance. As described above, the above requirement 4 is solved.
[ポイント5:CPEを仮想化する事による保守運用性向上]
次に、上記ポイント5について図2を参照して説明する。本システムにおけるCPEは、図2に示すような構成情報111が必要であり、これらの維持管理が必要となる。本システムでは、ネットワーク200側において、すなわち仮想CPE100において一括で管理するので、保守運用性の向上と、管理権限の厳格化(悪意のあるユーザが任意の操作をできないようにする)を実現する。このようにポイント5により、上記要件5を解決する。
[Point 5: Improvement of maintenance and operability by virtualizing CPE]
Next, the point 5 will be described with reference to FIG. The CPE in this system requires the
以上本発明の一実施の形態について詳述したが本発明はこれに限定されるものではない。例えば、上記実施の形態では構成情報配布サービスとしてDHCPを例示し、名前解決サービスとしてDNSを例示したが、それぞれ他のプロトコルであっても本発明を実施できる。また、上記実施の形態ではL3アドレスとしてIPv6、L2アドレスとしてMACアドレスを例示したが、それぞれ他のプロトコルに係るアドレスであっても本発明を実施できる。また、本実施の形態ではIoT端末について説明したが、その他の端末であっても本発明を実施できる。 Although the embodiment of the present invention has been described in detail, the present invention is not limited to this. For example, in the above-described embodiment, the configuration information distribution service is exemplified by DHCP, and the name resolution service is exemplified by DNS. However, the present invention can be implemented with other protocols. Further, in the above-described embodiment, the IPv6 is used as the L3 address and the MAC address is used as the L2 address. However, the present invention can be applied to addresses related to other protocols. Further, although the embodiment has been described with respect to the IoT terminal, the present invention can be implemented with other terminals.
10…IoT端末
100…仮想CPE
110…DHCPプロセス
111…構成情報
120…DNSプロセス
121…名前解決処理部
122…ゾーンファイル
123…TTL調整部123
130…ゲートウェイ
131…パケット中継部
132…フィルタリング処理部
133…通過トラヒック情報
134…フィルタ設定部
135…廃棄トラヒック集約部
200…ネットワーク
10
110
130
Claims (7)
前記各グループに対応して設けられ且つ自身のグループに所属する端末に名前解決サービスを提供するグループ毎の名前解決サーバと、端末に払い出すL3アドレスと当該端末が属するグループ用の名前解決サーバのL3アドレスとを含む構成情報を端末毎に保持するとともにネットワークに接続しようとする端末に当該端末の構成情報を配布する構成情報配布サーバと、端末・ネットワーク間のトラヒックの中継及びパケットフィルタリングを行う中継装置と、を前記ネットワーク側に配置し、
前記中継装置は、宛先及び送信元のL3アドレスの組が、構成情報配布サーバが配布した端末のL3アドレスと、該端末の属するグループ用の名前解決サーバが名前解決して該端末に応答したL3アドレスとの組であるトラフィックのみを通過させるよう動的にフィルタリング設定を行う
ことを特徴とする仮想閉域網の形成システム。 A virtual closed network forming system for forming a virtual closed network for each group to which the terminal belongs on a network accommodating one or more terminals,
A name resolution server for each group provided for each group and providing a name resolution service to a terminal belonging to the own group; an L3 address to be paid out to the terminal; and a name resolution server for the group to which the terminal belongs. A configuration information distribution server that holds configuration information including an L3 address for each terminal and distributes the configuration information of the terminal to a terminal to be connected to a network, and a relay that relays traffic between the terminal and the network and performs packet filtering And a device, disposed on the network side,
The relay device is configured such that the set of the destination and source L3 addresses is the L3 address of the terminal distributed by the configuration information distribution server , and the name resolution server for the group to which the terminal belongs is the name resolution server that has responded to the terminal after resolving the name. A virtual closed network forming system, wherein a filtering setting is dynamically made so as to pass only a traffic paired with an address.
ことを特徴とする請求項1記載の仮想閉域網の形成システム。 The virtual closed network forming system according to claim 1, wherein the relay device includes a discarded traffic collection unit that aggregates information on discarded traffic.
ことを特徴とする請求項1又は2記載の仮想閉域網の形成システム。 The virtual closed network forming system according to claim 1, wherein the name resolution server resolves only a predetermined domain name corresponding to its own group. 4.
ことを特徴とする請求項1乃至3何れか1項記載の仮想閉域網の形成システム。 The said name resolution server was equipped with the TTL adjustment part which adjusts TTL of the domain which concerns on the said name resolution for every domain based on the interval of the name resolution request from a terminal. The Claims 1 thru | or 3 characterized by the above-mentioned. A virtual closed network forming system according to claim 1.
ことを特徴とする請求項1乃至4何れか1項記載の仮想閉域網の形成システム。 The method according to any one of claims 1 to 4, wherein the name resolution server, the configuration information distribution server, and the relay device are arranged as a virtual CPE virtualized as a process on a device on a network side. Virtual closed network formation system.
前記各グループに対応して設けられ且つ自身のグループに所属する端末に名前解決サービスを提供するグループ毎の名前解決サーバと、端末に払い出すL3アドレスと当該端末が属するグループ用の名前解決サーバのL3アドレスとを含む構成情報を端末毎に保持するとともにネットワークに接続しようとする端末に当該端末の構成情報を配布する構成情報配布サーバと、端末・ネットワーク間のトラヒックの中継及びパケットフィルタリングを行う中継装置と、を前記ネットワーク側に配置し、
前記端末が、前記ネットワークへの接続の際に前記構成情報配布サーバから受信した構成情報に基づき自身のL3アドレス及び自身が利用する名前解決サーバのL3アドレスを設定するステップと、
前記端末が、設定した名前解決サーバに名前解決要求を行うステップと、
名前解決サーバが、要求元の端末に名前解決応答を送信するステップと、
前記中継装置が、宛先及び送信元のL3アドレスの組が、前記端末に設定されたL3アドレスと、前記名前解決サーバが名前解決して該端末に応答したL3アドレスとの組であるトラフィックのみを通過させるよう動的にフィルタリング設定を行うステップとを備えた
ことを特徴とする仮想閉域網の形成方法。 A method of forming a virtual closed network for forming a virtual closed network for each group to which the terminal belongs on a network accommodating one or more terminals,
A name resolution server for each group provided for each group and providing a name resolution service to a terminal belonging to the own group; an L3 address to be paid out to the terminal; and a name resolution server for the group to which the terminal belongs. A configuration information distribution server that holds configuration information including an L3 address for each terminal and distributes the configuration information of the terminal to a terminal to be connected to a network, and a relay that relays traffic between the terminal and the network and performs packet filtering And a device, disposed on the network side,
A step in which the terminal sets its own L3 address and the L3 address of a name resolution server used by the terminal based on configuration information received from the configuration information distribution server when connecting to the network;
The terminal making a name resolution request to the set name resolution server,
A name resolution server sending a name resolution response to the requesting terminal;
The relay device, destination and source L3 address set includes a L3 address set to the terminal, the traffic only the name resolution server is set of the L3 address in response to the terminal and name resolution Dynamically setting the filtering so as to pass the data.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017015223A JP6666863B2 (en) | 2017-01-31 | 2017-01-31 | System, method and program for forming virtual closed network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017015223A JP6666863B2 (en) | 2017-01-31 | 2017-01-31 | System, method and program for forming virtual closed network |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018125647A JP2018125647A (en) | 2018-08-09 |
JP6666863B2 true JP6666863B2 (en) | 2020-03-18 |
Family
ID=63109036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017015223A Active JP6666863B2 (en) | 2017-01-31 | 2017-01-31 | System, method and program for forming virtual closed network |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6666863B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10348570B1 (en) * | 2018-08-30 | 2019-07-09 | Accenture Global Solutions Limited | Dynamic, endpoint configuration-based deployment of network infrastructure |
JP7349967B2 (en) * | 2020-09-25 | 2023-09-25 | デジタル・アドバタイジング・コンソーシアム株式会社 | Information processing equipment, programs and systems |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1667382A4 (en) * | 2003-09-11 | 2006-10-04 | Fujitsu Ltd | Packet relay device |
JP4827868B2 (en) * | 2008-03-11 | 2011-11-30 | 日本電信電話株式会社 | Network connection control system, network connection control program, and network connection control method |
JP5955811B2 (en) * | 2013-05-23 | 2016-07-20 | 日本電信電話株式会社 | Management device, management system, management method, and management program |
-
2017
- 2017-01-31 JP JP2017015223A patent/JP6666863B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018125647A (en) | 2018-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11025588B2 (en) | Identify assets of interest in enterprise using popularity as measure of importance | |
Mortier et al. | Control and understanding: Owning your home network | |
US7590733B2 (en) | Dynamic address assignment for access control on DHCP networks | |
EP2415224B1 (en) | Methods and apparatus for routing data to nodes | |
US9686289B2 (en) | Access enforcement at a wireless access point | |
US20200137021A1 (en) | Using intent to access in discovery protocols in a network for analytics | |
US20200137115A1 (en) | Smart and selective mirroring to enable seamless data collection for analytics | |
US20070022211A1 (en) | Packet transfer system, communication network, and packet transfer method | |
US20130094363A1 (en) | Method, network device, and network system for processing data service | |
CN112703717B (en) | Unique identity of endpoints of a cross-layer 3network | |
RU2006143768A (en) | AROMATIC RESTRICTION OF THE NETWORK VIOLENT | |
US10285038B2 (en) | Method and system for discovering user equipment in a network | |
EP3815325A1 (en) | Dynamic segmentation management | |
JP6666863B2 (en) | System, method and program for forming virtual closed network | |
EP3010209A1 (en) | Docsis provisioning of point-to-point ethernet | |
US20070033641A1 (en) | Distributed Network Security System | |
CN115885502A (en) | Diagnosing intermediate network nodes | |
JP6044020B2 (en) | Data packet processing method, system, and device | |
US11134099B2 (en) | Threat response in a multi-router environment | |
CN110830317B (en) | Internet access behavior management system, equipment and method | |
Hock et al. | Design, implementation and monitoring of the firewall system for a DNS server protection | |
Stanek et al. | Characteristics of real open SIP-Server traffic | |
CN113612697A (en) | Message forwarding control method and device, network equipment and wireless network system | |
Deri et al. | An architecture for distributing and enforcing iot security at the network edge | |
Taniguchi et al. | Design and evaluation of a proxy-based monitoring system for openflow networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181204 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190814 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190821 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191009 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200221 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6666863 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |