CN1839592A - 包中继装置 - Google Patents
包中继装置 Download PDFInfo
- Publication number
- CN1839592A CN1839592A CNA038270587A CN03827058A CN1839592A CN 1839592 A CN1839592 A CN 1839592A CN A038270587 A CNA038270587 A CN A038270587A CN 03827058 A CN03827058 A CN 03827058A CN 1839592 A CN1839592 A CN 1839592A
- Authority
- CN
- China
- Prior art keywords
- address
- main frame
- bag
- group
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/185—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5069—Address allocation for group communication, multicast communication or broadcast communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1886—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with traffic restrictions for efficiency improvement, e.g. involving subnets or subdomains
Abstract
一种IP包中继装置,设置在网络间,使与属于特定组的主机有关的IP包通过,该IP包中继装置具有:列表,使主机具有的IP地址和用于识别该主机所属的组的组识别符对应;判定单元,通过参照前述列表判定从一个网络收到的且发往与另一网络连接的主机的IP包是否是与同一组有关的IP包;以及转发单元,把被判定为是与同一组有关的IP包的IP包中继到前述另一网络。
Description
技术领域
本申请涉及将通过通信网络所连接的任意主机虚拟分组并提供闭域网的技术。
背景技术
IP(Internet Protocol:网际协议)网络正在迅速普及。伴随该普及,IP网络也可以连接个人计算机(PC)以外的主机(例如可进行IP通信的家电产品等的设备)。迄今为止的高功能个人计算机(PC)开始了从主角的IP网络控制家电产品、或者在IP对应的家电产品间收发内容等的利用,可进行IP通信的设备(以下称为主机)的数量和种类增加,特别是,也可以连接以前不能连接的比PC功能低的主机。
由于主机数量增加,因而需要将主机分组来对多个主机进行简单管理,并且由于低功能主机增加,因而需要使用对主机负担少的简单方法来实现组间通信。分组的意义是,例如,具有在检索某主机的情况下缩小检索范围的效果,缩短检索所需要的处理量和时间,并且另一方面是对属于组的主机和不属于组的普通主机进行识别,从而具有以下意义:例如通过限制为只有成员才能从主机外部访问来确保安全性。
在现有技术中,一般,在由任意数量的IP主机构成某1组的情况下,属于组的主机作为组成员相互登记信息,并相互通信。在该情况下,属于组的所有主机需要以下手段。
1、属于相同组的成员的列表;
2、在上述成员列表内登记/删除主机的功能,以及在成员间共享/同步的功能;
3、根据成员列表进行用户认证的认证单元;
4、对来自成员列表内所包含的主机的通信和成员以外的主机进行识别的单元。
另外,作为与地址转换有关的资料,例如有非专利文献1和2。并且,作为与VPN有关的资料,例如有非专利文献3和4。
非专利文献1
RFC1631
非专利文献2
RFC2391
非专利文献3
NS2001-263(情報システム研究会NS)2002.3、複数ネツトワ一ク接统に適した分散型VPN のデザイン、田島佳武(NTT)
非专利文献4
NS2001-262(情報システム研究会NS)2002.3、仮想ネツトワ一キングサ一ビスプラツトフオ一ム(VNSP)におけるマルチVPNサ一ビスサ一ビス提供方式、岡大祐(NTT)、他
专利文献5
特开2001-268125号公报
现有技术具有以下问题:主机的安装成本高,并且主机数量没有可扩展性。第一,加入组的所有主机必须安装上述1~4的功能,特别是,对用户的认证或通信进行限制的功能是由防火墙或网关等专用机所实现的功能,安装成本非常高。把这种功能安装在通信/计算资源匮乏的便携电话、PDA(Personal Digital Assistance:个人数字助理)等的便携终端、冰箱、洗衣机、录放机等的网络家电通信中是困难的。
例如,由于针对接收到的各IP包检查是否是已认证的主机的处理与要接收的包数和成员数成比例地增大,因而主机中的处理负荷增大,具有无法扩展的问题。
第二,在该方法中,由于各主机间的通信以全网状发生,因而当主机数增加时,主机中的处理消息数与该主机数成比例地增加。例如,每当加入组的成员增减时,就必须在各主机中更新成员列表,然而由于该成员变更的消息被发送到所有主机,因而发送主机和接收主机的处理负荷都增大,具有无法扩展的问题。
如上所述,需要尽量不对主机产生负担并可进行扩展的分组技术。具体的要求条件有以下3点。
1、主机中的TCP/IP协议栈和现有应用程序完全不变更。
2、主机中的利用分组功能的应用程序只利用现有的TCP/IP功能;
3、只有经认证的主机才能访问组成员,即在主机看来好像是仅从已认证的主机发生通信。
并且,作为附加功能,期望的是满足以下要件。
1、自动执行组结构和成员登记。
2、对地址空间没有制约,可使用全局地址和专用地址双方。
3、由于IP地址和主机的对应在使用DHCP等时不是唯一的,因而具有IP地址以外的个体认证功能。
4、在主机中的应用程序中容易进行组判别。
发明内容
本发明的课题是即使组成员数等增加,也不使主机的处理负荷增大,实现在组内封闭的通信。
本发明是为了解决上述课题而提出的,本发明是一种包中继装置,位于本地网络和全局网络之间的边界,用于在由具有全局地址或专用地址的IP主机构成的IP网络中,选择任意主机进行分组,实现在组内封闭的通信,该包中继装置构成为具有:由IP地址和用于管理组的主机名构成,用于管理属于组的主机的列表;以及根据该列表识别作为组成员的主机和组外的主机并遮断来自组外的主机的通信的单元。
根据本发明,各主机自身没有必要具有成员列表等。因此,即使组成员数等增加,也不使主机的处理负荷增大,可实现在组内封闭的通信。
在上述包中继装置中,例如,还具有将全局地址和专用地址相互转换的转换装置。
这样,可进行专用网和全局网、以及专用网之间的通信。
在上述包中继装置中,例如,针对虚拟IP子网的虚拟专用地址(也称为虚拟IP地址)被分配给任意主机。
这样,可将主机组在IP子网中虚拟地进行分组。
在上述包中继装置中,例如,还具有将与其他包中继装置之间的通信加密的单元。
这样,可防止信息在中继路径上泄漏。
在上述包中继装置中,例如,还具有根据规定的隧道协议,使与其他包中继装置之间的隧道设定自动化的单元。
这样,可实现隧道设定的自动化。
在上述包中继装置中,例如,还具有根据虚拟组设定协议,使与其他包中继装置之间的组设定自动化的单元。
这样,可实现组设定的自动化。
在上述包中继装置中,例如,还具有根据虚拟组设定协议,使与其他包中继装置之间的属于组的成员设定自动化的单元。
这样,可实现成员设定的自动化。
在上述包中继装置中,例如,还具有通过在与其他包中继装置之间进行认证,确认是否能相互信赖的单元。
这样,可仅与可信赖的对方进行通信。
在上述包中继装置中,例如,包中继装置和主机不与其他主机连接,而是直接连接。
这样,可防止信息在包中继装置和主机之间的中继路径上泄漏。
在上述包中继装置中,例如,把非IP终端虚拟地作为IP主机来构建在其他主机看来像是存在于组内的虚拟IP主机。
这样,在与非IP终端之间也能进行通信。
在上述包中继装置中,例如,使主机的第2层地址(L2地址)作为主机固有的识别符(ID)与机器一一对应。
这样,即使主机移动、或者临时停止,从而根据DHCP使IP地址改变,也能使组成员看来像是相同的。
在上述包中继装置中,例如,使用虚拟第2层地址代替属于组的主机来应答ARP(Address Resolution Protocol:地址解析协议),在本地子网级中实现组内通信。
在上述包中继装置中,例如,不在网关中进行名称解析,而在DNS服务器中集中地解析名称,而且使用模式来描述实际地址和虚拟专用地址之间的转换。
这样,可削减地址转换所涉及的资源和处理时间。
本发明也能按如下确定。
一种IP包中继装置,设置在网络间,使与属于特定组的主机有关的IP包通过,该IP包中继装置具有:列表,使主机具有的IP地址和用于识别该主机所属的组的组识别符对应;判定单元,通过参照前述列表判定从一个网络收到的且发往与另一网络连接的主机的IP包是否是与同一组有关的IP包;以及转发单元,把被判定为是与同一组有关的IP包的IP包中继到前述另一网络。
这样,各主机自身没有必要具有成员列表等。因此,即使组成员数等增加,也不使主机的处理负荷增大,可实现在组内封闭的通信。
并且,在上述IP包中继装置中,例如,在与从前述一个网络收到的IP包的发送源地址和目的地地址对应的组是同一组的情况下,前述判定单元通过参照前述列表,判定为该IP包是与同一组有关的IP包。这示出了判定单元的判定基准的一例。
本发明的特征在于,由于对通信主机不施加变更,而将具有相同目标的任意主机进行安全且可扩展地分组,因而网关装置管理组,而且通过将实际IP地址和虚拟IP地址进行转换来虚拟地构建IP子网络,可根据IP地址识别组。
本发明的基本思想是使网关装置具有分组所需要的功能。即,为了满足上述要求条件,新设置连接属于组的主机之间的网关(=路由器)装置。该网关装置与现有的路由器、开关装置等一样具有连接物理划分的网络间的功能,对这些装置新追加了分组所需要的功能。这样将现有技术中主机所需要的所有功能安装在网关内,主机只需使用低功能且简单的TCP/IP协议栈就能实现分组通信。
通常为了降低主机功能,针对各主机通过不同的网关装置,即2台或2台以上的网关装置实现分组通信(参照图1)。
本发明的基本思想是,如果总结解决课题的手段,则把以下3种手段新配备在网关内。
1、访问限制功能:网关装置为了遮断从组成员外向作为组成员的主机的访问,具有组成员地址作为列表,根据该列表识别组成员,遮断或限制来自成员以外的通信。
2、可在主机中进行成员识别的功能:并且,该网关装置具有利用DNS来应答包含通信对方的组名的字符串,以使各组成员可使用标准的TCP/IP协议来参照组的功能。
3、组成员管理功能:并且,该网关装置具有对新加入组的主机进行认证并登记在组成员列表内的单元、以及当某主机脱离组成员时删除主机的功能。并且,为了使管理简单,可作为选项的是,具有在网关间使组及其成员信息同步的单元。
附图说明
图1是用于对第一实施方式的网络系统的概略结构进行说明的图。
图2是用于对第一实施方式的网络系统的概略结构进行说明的图。
图3是第一实施方式的网关的功能方框图。
图4是用于对网关的动作进行说明的流程图。
图5是用于对网关的动作进行说明的流程图。
图6是用于对网关的动作进行说明的顺序图。
图7是用于主要对第二实施方式的网络系统的概略结构进行说明的图。
图8是第二实施方式的网关的功能方框图。
图9是用于对网关的动作进行说明的流程图。
图10是用于对网关的动作进行说明的流程图。
图11是网关间设定协议的顺序图。
图12是网关GW-B保持的本地列表例。
图13是网关GW-B保持的全局列表例。
图14是包含个体识别符的本地列表例。
图15是网关BW-B保持的全局列表例。
图16是全局列表例。
图17是用于对第七实施方式的网关的动作进行说明的顺序图。
具体实施方式
以下,参照附图对作为本发明的第一实施方式的包含网关(也称为GW或网关装置)的网络系统进行说明。
(第一实施方式)
(网络系统的概要)
图1和图2是用于对本实施方式的网络系统的概略结构进行说明的图。
如图2所示,本实施方式的网络系统由本地网络A(以下称为本地网A)、本地网络B(以下称为本地网B)、以及互联网构成。本地网A和本地网B与成为分组对象的主机(这里是主机11~14和主机21~25)连接。另外,成为分组对象的主机数可采用适当的数量。
各主机是具有进行基于IP包的通信的功能的家电产品等的终端。为了进行该基于IP包的通信,各主机具有全局IP地址。这里,采用基于IPv4的IP地址。本地网A和互联网通过网关A1连接。并且,本地网B和互联网通过网关B1连接。
从本地网B经由互联网发往本地网A的IP包(即,发送源IP地址和目的地IP地址分别是与本地网B连接的主机的IP地址和与本地网A连接的主机的IP地址的IP包)到达网关A1。反之,从本地网A经由互联网发往本地网B的IP包(即,发送源IP地址和目的地IP地址分别是与本地网A连接的主机具有的IP地址和与本地网B连接的主机具有的IP地址的IP包)到达网关B1。
在本实施方式中,网关A1和B1对该到达的IP包执行后述的过滤处理等。这样,可实现在组内封闭的通信。以下,对该详情进行说明。
(网关的概略结构)
下面,参照附图对网关的概略结构进行说明。图3是网关的功能方框图。
网关A1(网关B1也一样)是设置在本地网络(例如本地网A或B)和全局网络(例如互联网)之间,用于在具有全局地址的IP主机所构成的IP网络中,选择任意主机进行分组,实现在组内封闭的通信的包中继装置。
具体地说,网关A1如图3所示,具有:包过滤部100、组成员列表管理部110、DNS处理部120、以及包收发部130。
包过滤部100接收从本地网B经由互联网发往本地网A的IP包(即,发送源IP地址和目的地IP地址分别是与本地网B连接的主机的IP地址和与本地网A连接的主机的IP地址的IP包)。包过滤部100向组成员列表管理部110询问该接收到的IP包是否与同一组有关(这里,与该接收到的IP包的发送源IP地址(SA)和目的地IP地址(DA)对应的组是否相同)。
当收到来自包过滤部100的询问时,组成员列表管理部110参照自己管理的组成员列表,判定与发送源IP地址和目的地IP地址对应的组是否相同。在组成员列表内记述了各主机(主机11~14和主机21~25)、该主机的IP地址以及该主机的域名的对应关系。另外,为了便于说明,在图3所示的组成员列表内记述了比图2所示的主机数少的数量的对应关系。
域名是将该主机名(mypc或tv等)和用于识别该主机所属的组的组识别信息(gr1或gr2等)用“.”连接而构成的。因此,组成员列表管理部110通过参照组成员列表,可知道与发送源IP地址和目的地IP地址对应的组(组识别信息)。然后,通过比较该判明的组(组识别信息),可判定两者是否相同。该判定结果被返回到包过滤部100。
当收到与发送源IP地址和目的地IP地址对应的组是相同的判定结果时,包过滤部100把该接收到的IP包转发给本地网A(目的地)。另一方面,当收到与发送源IP地址和目的地IP地址对应的组不是相同的判定结果时,包过滤部100不把该接收到的IP包转发给本地网A,而是例如废弃。
(组成员列表)
组成员列表可使用各种方法生成。例如,可考虑如下:在网络上新生成虚拟组gr1、gr2,然后登记属于该组的主机的IP地址和名称(这里是域名(DNS名)),最终获得存储有组及其成员的地址列表。图3示出了这样获得的组成员列表。
这些一系列作业是由网络管理者将管理终端串联连接,利用命令行界面手动设定在网关A1内。或者,可以使用管理设定用的远程设定协议(Telnet或HTTP等)来设定。例如,在利用HTTP的情况下,在网关A1中存在具有用于生成组的Web界面的组及其成员的登记/管理功能,某主机可以具有以下等的访问限制,即:通过在网关的登记画面中输入ID和密码进行认证,可进入登记用的Web页面。当在登记用的页面上输入组名时,可登记组,并且当针对现有的组名登记主机IP地址时,可定义作为属于组的成员的主机。这些登记步骤取决于用户界面的设计,这些是一例,只要组及其成员主机具有登记功能,其他登记方法也可以。
以上结果,可生成存储有主机的IP地址和DNS名以及主机所属的组名的组成员列表。
(域名登记)
下面,参照附图对网关的DNS动作进行说明。图4是用于对网关动作进行说明的流程图。
与上述一样,可针对各IP地址定义固有名称,并与刚才的组名一起定义适当的域名。例如,假定登记主机12是“mypc”这样的名称,并且该主机所属的组名是“g1”,则在网关中,把“mypc.g1”这样的DNS名分配给主机12的IP地址“133.100.51.3”。
例如当从在组内已登记完的主机接收到包含针对“mypc.g1”这样的DNS名的IP地址解析请求的IP包时(S100),网关A1向组成员列表管理部110询问该接收到的IP包的发送源IP地址(SA)是否存在于组成员列表内(S101)。结果,在该发送源IP地址(SA)不存在于组成员列表内的情况下(S101:否),网关A1返回应答作为通常的DNS请求(S102)。另一方面,在该发送源IP地址(SA)存在于组成员列表内的情况下(S101:是),网关A1把对应于(属于)该发送源IP地址(SA)的组存储为“A”(S103)。然后,网关A1判定要解析的主机是否存在于刚才存储的组“A”内(S104)。结果,在该主机不存在于组“A”内的情况下(S104:否),网关A1返回应答作为通常的DNS请求(S102)。另一方面,在该主机存在于组“A”内的情况下(S104:是),网关A1参照组成员列表,获得与“mypc.g1”这样的DNS名对应的IP地址“133.100.51.3”。网关A1把该解析的IP地址“133.100.51.3”存储为“IP”,并把DNS名“mypc.g1”存储为“Name”(S105)。
然后,网关A1判定来自主机的请求是否是DNS名的解析请求(S106)。结果,在来自主机的请求是DNS名的解析请求的情况下(S106:是),向请求源的主机应答DNS名(S107)。另一方面,在来自主机的请求不是DNS名的解析请求的情况下(S106:否),向请求源的主机应答IP地址(S108)。这里,由于来自主机的请求是IP地址的解析请求(S100、S106:否),因而网关A1向地址解析请求源的主机应答与DNS名“mypc.g1”对应的IP地址“133.100.51.3”(S108)。另外,当在S100中从主机接收到包含针对IP地址“133.100.51.3”的DNS名的解析请求的IP包的情况下,网关A1向DNS名的解析请求源的主机应答与该IP地址对应的DNS名“mypc.g1”(S107)。
另外,一般,基于组成员列表的DNS应答被限制成仅在本地网络侧有效。例如,认为被限制成,DNS请求的发送源IP地址存在于事先生成的成员列表内,而且仅受理对属于同一组的主机的请求。
以上结果,可定义存储有各IP地址的DNS名的组成员列表,并对与此对应的请求进行应答。
(访问限制)
下面,参照图5对利用上述结构的网关进行的用于实现在组内封闭的通信的动作进行说明。图5是用于对网关动作进行说明的流程图。
首先,以属于同一组gr1的主机11和主机22之间的通信为例进行说明。另外,在网关A1(网关B1也一样)的组成员列表内记述了主机11和主机22等具有的IP地址和这些主机的域名(由主机名和组识别符构成)的对应关系。
首先,假定主机22向主机11发送了IP包(即,发送源IP地址和目的地IP地址分别是主机22的IP地址和主机11的IP地址的IP包)。该IP包经由互联网到达网关A1。网关A1通过其包过滤部100接收该到达的包(S200)。包过滤部100向组成员列表管理部110询问该接收到的IP包是否与同一组有关(这里,与该接收到的IP包的发送源IP地址(SA)和目的地IP地址(DA)对应的组是否相同)(S201)。
当收到来自包过滤部100的询问时,组成员列表管理部110参照自己管理的组成员列表,判定与发送源IP地址和目的地IP地址对应的组是否相同(S202和S203)。在组成员列表内记述了各主机(主机11~14和主机21~25)、该主机具有的IP地址以及该主机的域名的对应关系(参照图3)。另外,为了便于说明,在图3所示的组成员列表内记述了比图2所示的主机数少的数量的对应关系。域名是将该主机名(mypc或tv等)和用于识别该主机所属的组的组识别信息(gr1或gr2等)用“.”连接而构成的。
因此,组成员列表管理部110通过参照组成员列表,可知道与发送源IP地址和目的地IP地址对应的组(这里全都是gr1)(S202:是)。然后,通过比较该判明的组(这里全都是gr1),可判定两者是否相同(S203:是)。该判定结果被返回到包过滤部100。另外,当在S202或S203中的判断是“否”时,该包被废弃(S205)。
这里,包过滤部100接收与发送源IP地址和目的地IP地址对应的组是相同的判定结果。当收到该判定结果时,包过滤部100把该接收到的IP包转发到本地网A(目的地)(S204)。这是与一般被称为过滤的处理相同的处理。
下面,以属于不同组的主机11(属于gr1)和主机21(属于gr2)之间的通信为例进行说明。
首先,假定主机21向主机11发送了IP包(即,发送源IP地址和目的地IP地址分别是主机21的IP地址和主机11的IP地址的IP包)。该IP包经由互联网到达网关A1。网关A1通过其包过滤部100接收该到达的包(S200)。包过滤部100向组成员列表管理部110询问该接收到的IP包是否与同一组有关(这里,与该接收到的IP包的发送源IP地址(SA)和目的地IP地址(DA)对应的组是否相同)(S201)。
当收到来自包过滤部100的询问时,组成员列表管理部110参照自己管理的组成员列表,判定与发送源IP地址和目的地IP地址对应的组是否相同(S202和S203)。在组成员列表内,针对各主机(主机11~14和主机21~25),记述了该主机具有的IP地址和该主机的域名的对应关系(参照图3)。另外,为了便于说明,在图3所示的组成员列表内记述了比图2所示的主机数少的数量的对应关系。域名是将该主机名(mypc或tv等)和用于识别该主机所属的组的组识别信息(gr1或gr2等)用“.”连接而构成的。
因此,组成员列表管理部110通过参照组成员列表,可知道与发送源IP地址和目的地IP地址对应的组(这里是gr1和gr2)(S202:是)。然后,通过比较该判明的组(这里是gr1和gr2),可判定两者是否相同(S203:是)。该判定结果被返回到包过滤部100。
这里,包过滤部100接收与发送源IP地址和目的地IP地址对应的组不是相同的判定结果。当收到该判定结果时,包过滤部100不把该接收到的IP包转发到本地网A,而是例如废弃(S205)。
如以上说明那样,根据本实施方式的网关装置,提供限制从组成员外访问的功能。即,本实施方式的网关装置通过参照组成员列表,判定从发送源主机收到的IP包是否是与同一组有关的IP包,并把被判定为是与同一组有关的IP包的IP包转发到目的地。另一方面,对于未被判定为是与同一组有关的IP包的IP包,不转发而是废弃。这样,本实施方式的网关装置可实现在组内封闭的通信。
另外,在从存储于组成员列表内的发送源以外收到包的情况下的相关动作要看网络管理者的策略而定。例如,对于这种包,也能废弃。或者,即使是这种包,对于目的地地址是特定的IP地址的包,也能不废弃,而照原样传送到主机。关于这些动作,可以另行记载在组成员列表内。
在上述实施方式中,说明了网关装置A1对从外部网络发往本地网络A的IP包进行过滤处理,然而本发明不限于此。例如,网关装置A1也可以对从本地网络A发往外部网络的IP包进行过滤处理。这样,虽然网关装置A1中的过滤处理等的负荷增大,但是不导入网关装置B1,只需使用网关装置A1,就能实现上述组内封闭的通信。
(组间通信的具体例)
使用顺序图对图4和图5所示的用于实现组间通信的一系列处理进行说明。图6是用于对网关动作进行说明的顺序图。
首先,假定在mypc想要与video通信的情况下,向网关GW-A发送DNS解析请求来获得video的IP地址82.5.218.4。然后,利用该IP地址把IP包从mypc发送到video来开始通信。在与此对应的应答包从video被发送到mypc的情况下,当网关GW-A接收到该包时,在转发到mypc前,检查组成员列表,当确认出mypc和video在同一组内时,把包转发到mypc。
这里,当从例如PC 2这样的未登记在组成员列表内的主机向mypc发送通信包,并到达网关GW-A时,网关GW-A检查该包的发送源地址(SA),由于PC 2不存在于列表内,因而废弃该包。这样,可遮断与组外的主机的通信,从而提高安全性。
(应答属于组的所有主机的具体例)
(组成员的IP地址一览)
网关不仅能应答所登记的主机名和其IP地址的对应,而且能应答组名和其所有成员。这在收到例如针对g1这样的组名的地址解析请求的情况下,可由网关把具有g1这样的组名的所有主机地址插入DNS应答消息中进行应答来实现。由于这种应答消息采用现有的DNS规格来确认,因而特别是即使不扩展DNS的功能,也能针对1个名称接收多个IP地址应答。
由于通过应用该功能,例如主机可获得属于自己所属的g1这样的组的所有成员的一览,因而例如,采用与现有的邮件列表的功能相同的功能,可实现把消息和文件发送给所有成员等的功能。
(第二实施方式)
下面,参照附图对作为本发明的第二实施方式的包含网关(也称为GW或网关装置)的网络系统进行说明。
在上述第一实施方式中,由于各主机的IP地址必须是全局地址,因而在现实中,在频繁使用专用IP地址的环境下不能利用。此外,某主机是否是组成员,除了利用DNS来确认组名以外,没有其他办法。
例如,当某主机属于授予文件读取权限的组和容许读写全控制的组这2个组时,在有从未知主机访问的情况下,如果不利用DNS来识别组,就不知道未知主机具有哪个权限。为了解决该问题,在网关装置中,新追加以下功能。
1、把不同的任意虚拟专用网络地址分配给各组,
2、把属于所分配的网络地址的虚拟IP地址分配给各组成员,将上述虚拟IP地址和实际IP地址在通信时相互转换的NAT(Network AddressTranslation:网络地址转换)功能。
(网络系统的概要)
图7是用于对本实施方式的网络系统的概略结构进行说明的图。
如图7所示,本实施方式的网络系统由敷设在自家的本地网络(以下称为自家网)、敷设在父母家的本地网络(以下称为父母家网)以及互联网构成。成为分组对象的主机与自家网和父母家网连接。例如,mypc等与自家网连接,video等与父母家网连接。在本实施方式中,从与自家网连接的主机和与父母家网连接的主机中取出4个主机(mypc、video等),将这些主机考虑为一个组。另外,成为分组对象的主机数可采用适当的数量。
各主机具有进行基于IP包的通信的功能。为了进行该基于IP包的通信,各主机具有本地IP地址。这里,采用基于IPv4的IP地址。自家网和互联网通过网关GW-A连接。并且,父母家网和互联网通过网关GW-B连接。
然而,在本实施方式中,与第一实施方式不同,由于各主机具有本地IP地址,因而自家网和父母家网的地址空间重合(参照图7)。例如,由于与自家网连接的mypc的主机、和与父母家网连接的video的主机具有同一本地IP地址192.168.0.5,因而地址空间重合。在这种环境下,在自家网和父母家网之间不能通信。此外,某主机是否是组成员,除了利用DNS来确认组名以外,没有其他办法。例如,当某主机属于授予文件读取权限的组和容许读写全控制的组这2个组时,在有从未知主机访问的情况下,如果不利用DNS来识别组,就不知道未知主机具有哪个权限。
在本实施方式中,网关GW-A和GW-B具有NAT转换功能。这样,可把本地以外的网络内存在的主机作为具有不同的别的地址的主机来看来像是本地主机。
例如,考虑以下情况,即:如图7所示,在自家的mypc主机具有192.168.0.5的实际地址,同样在父母家的video主机具有192.168.0.5的实际地址,mypc和video通过网关GW-A和GW-B进行通信。
在自家的mypc看来,video主机作为虚拟具有10.10.10.102的虚拟IP地址的主机登记在网关GW-A内,同样从父母家的video看来,mypc主机作为虚拟具有10.20.20.10的虚拟IP地址的主机登记在网关GW-B内。
最初,当mypc向网关GW-A询问video这样的具有DNS名的主机的IP地址时,网关GW-A使用作为虚拟IP地址的10.10.10.102(=V-VCR)地址进行应答。mypc把IP包发送到该虚拟IP地址V-VCR。这里,该包一定通过网关GW-A。因此,在网关GW-A中,知道的是:该目的地地址V-VCR是虚拟IP地址,实际上发给网关GW-B属下的主机video,以及mypc在网关GW-B属下的主机中具有10.20.20.10(=V-PC)的地址。
因此,在网关GW-A中,把发送源地址R-PC(192.168.0.5)转换成网关GW-B中的作为虚拟IP地址的V-PC(10.20.20.10),利用IP隧道把该包发送到网关GW-B。
在网关GW-B中,当接收到该包时,知道从网关GW-A收到的包使用虚拟IP地址。因此,网关GW-B把目的地地址V-VCR转换成实际地址192.168.0.5,把该包发送到video。
通过从video向mypc进行与以上步骤相反的转换,可使用虚拟IP地址在任意主机间进行通信。
另外,对此所需要的地址转换功能可基本上利用现有的NAPT功能。并且,网关间的IP隧道通信也能利用现有的PPPoverSSH和IPSec等各种办法。如果IP隧道通信利用SH和IPSec,则由于针对虚拟子网将网关GW-A和GW-B之间的通信加密,因而可防止通信内容在全局IP核心网间被窃听。
并且,关于主机和网关之间的连接,不构成以太网中的广播域,而是利用Point-to-Point(点对点)连接的L2网络,因而可遮断从组成员以外的连接。
(动作要件)
用于实现以上动作的要件如下。
1、在包发送时,在网关GW-A或GW-B中进行选择隧道(对置GW)的路由选择。路由选择使用目的地虚拟IP地址来决定对置GW(隧道)。
2、本地主机针对所属的各组以及各对置GW,具有不同的虚拟IP地址。该虚拟IP地址与利用该地址的对置GW被共享。
3、本地主机具有的虚拟IP地址和实际IP地址的转换在本地网关GW中进行管理。这是因为,在目的地网的网关GW中,只要知道发送源主机的虚拟IP就行,没有必要知道实际IP地址。
4、因此,在本地网关GW中,进行在本地主机中的虚拟IP地址和实际地址的转换。根据该要件,必须在GW中管理/维持以下2种列表,即:被称为全局列表的列表,其对所有组成员的虚拟IP地址及其DNS名进行管理;以及被称为本地列表的列表,其针对与本地连接的各主机,包含构成组的对置GW中的虚拟IP地址和对应GW编号。
例如,在图8中,网关GW-B中的全局列表示出video这样的本地主机(地址192.168.0.5)所属的2个组g1、g2中的与成员主机mypc、cam、video、note对应的虚拟IP地址。
该全局列表针对video以外的与网关GW-B连接的主机,也可以利用相同的列表。在该情况下,需要用于判定条目是与哪个本地主机相同的组成员的单元。例如,如果在本地列表内存储有与所属组(所属G的列)有关的识别符,则在全局列表内记述有主机属于DNS名的组,因而可识别组关系。结果,针对存储在全局列表内的主机,可判别是与哪个本地主机相同的组。
另外,除此以外,即使是针对各本地主机准备全局列表等的单元,也可以是相同的。同样,在本地列表内存储有与video有关的虚拟IP地址,在该情况下,针对各对置GW,利用不同的IP地址作为虚拟IP地址。该本地列表可以对video以外的主机的虚拟IP地址进行管理,只需把与主机有关的条目追加给列表就行。
(网关的概略结构)
下面,参照附图对网关的概略结构进行说明。图8是网关的功能方框图。
如图8所示,网关GW-B(网关GW-A也一样)具有:包收发部200、组成员列表管理部210、DNS处理部220、隧道处理部230、隧道设定管理部240、以及NAT处理部250。
全局IP网络和专用(本地)网络被该网关装置GW-B分离。由于在组间通信的包包含任意IP地址,因而在该状态下,不能把IP包发送到全局IP网络。这里,IP包经由设定在网关GW-A和GW-B之间的IP隧道(这是一例,可以是一些隧道)被收发。在该情况下,构成IP隧道的IP包的发送源/目的地地址全都必须是网关GW的地址。
因此,当接收到IP包时,网关GW-B通过其包收发部200将发往自己以外的包废弃。然后,网关GW根据目的地端口编号判断该接收到的包是发往自己的IP隧道包,还是发往自己的控制包。结果,在判断为该端口编号是IP隧道用的IP端口编号(或者协议编号)的情况下,通过隧道处理部230处理该接收到的IP包。
隧道处理部230终接由该接收到的IP包组构成的隧道。然后,隧道处理部230在该IP包组被加密的情况下,解除该加密,之后抽出由隧道运送的内侧的IP包。该处理是一例。概念上被称为IP-IP隧道等,是众所周知的方法。因此,取代上述IP隧道,可利用PPP、IPSec等各种隧道处理技术。
之后,从IP隧道所抽出的IP包由NAT处理部250重写包的发送目的地。这是因为,如上述要件所述,在收容目的地主机的本地网关GW中对目的地地址和虚拟IP地址的对应进行处理是基本的,因此本地网关GW中的NAT处理部250具有能担当该处理的唯一功能。
NAT处理部250根据接收到的IP包的对置GW(=隧道)和接收包的目的地地址,取得虚拟IP地址。NAT处理部250以该2个值为关键字(key),参照存储在组成员列表管理部210内的“本地列表”,求出目的地实际IP地址。然后,NAT处理部250将虚拟IP地址被重写成实际地址的IP包最终发送到本地网络侧。
在该例中,对根据上述要件,将NAT处理部250接收到的IP包的目的地IP地址转换成实际地址作了说明,然而也能考虑该方法以外的方法。由于网关在通信线路上存在发送侧和接收侧2对,因而把具有虚拟IP地址的包的目的地/发送源地址转换成实际地址的处理可以在其中任一网关的NAT处理部250中实现。因此,例如,如果在发送侧的网关中针对目的地地址通过NAT处理转换成实际IP地址,则在接收侧的网关中不需要NAT处理。然而,在该情况下,由于在发送侧的网关中必须知道目的地主机的实际IP地址,因而处理负荷增高。另外,在包发送时的与地址转换有关的处理也利用大致相同的功能块。
另外,包收发部200和DNS处理部220与第一实施方式中所说明的包收发部130和DNS处理部120一样执行功能。
(包接收时的具体动作)
假定属于网关GW-A的具有10.20.20.10这样的虚拟IP地址的mypc把包发送给video,即虚拟IP地址10.20.10.102,并且该包由网关GW-B接收。
网关GW-B通过以接收包的发送源地址为关键字检索全局列表(或者识别包的接收接口),知道使用隧道1,即对置GW编号1接收。此外,知道目的地地址是10.20.10.102。网关GW-B通过以这2个为关键字检索“本地列表”,知道目的地实际IP地址是192.168.0.5。据此,通过NAT转换部转换目的地地址,最终把接收包发送到本地网络,这样,网关GW-B的处理完成。
(包发送时的具体动作)
考虑以下情况:属于“g1”组的video主机利用该网关GW-B,与对置的不同网关GW-A属下的主机“mypc”通过虚拟IP网络进行通信。
最初,与通常的IP通信一样,利用DNS,根据DNS名求出IP地址。这里,假定本地主机把网关GW-B登记为DNS服务器,并且网关GW-B安装了地址解析单元(DNS服务器)。
网关GW-B通过包收发部把发往网关的DNS请求作为发往自己的包接收。包收发部把该接收包传送到DNS处理部。DNS处理部参照组成员列表中的全局列表,例如当想要与“g1”组的“mypc”主机进行通信时,获得10.20.20.1作为IP地址。主机“video”获得该地址作为DNS应答。然后,在video和mypc之间开始实际的数据通信。具体地说,video把通信包发送到mypc。
当从本地侧接收到该IP包时,网关GW-B参照存储在组成员列表管理部210内的“全局列表”,以目的地虚拟IP地址为关键字取得在发送该包时要利用的隧道编号。这里,由于具有192.168.0.5这样的IP地址的发送源主机video把包发送到目的地IP地址10.20.20.10的主机mypc,因而根据目的地IP地址(=虚拟IP地址)知道隧道编号是1。该隧道编号是为了使本地网络的某主机在不同的虚拟IP地址被分配给各虚拟网络的情况下,决定使用哪个虚拟IP地址而利用的。这里使用了隧道编号,然而当可找到在本质上与虚拟IP地址相当的目的地主机所属的网关GW,而且网关GW接收到包时,只要能识别发送源的虚拟IP地址和实际IP地址的对应,就可以使用任何编号。例如,可以是网关GW的全局地址或在本地管理的任意ID。
以这里求出的“隧道编号”和发送源的“实际IP地址”为关键字,参照本地列表,取得“虚拟IP地址”,把包的发送源地址转换成该虚拟IP地址,把该转换后的包通知给隧道处理部230,以便使用与隧道编号一致的隧道来发送。
在该例中,在隧道处理部230中根据隧道编号,利用预先设定的IP-IP隧道。另外,在本方法中,网关GW间的隧道单元可利用任意的现有技术,除了IP-IP隧道以外,还可以利用使用MPLS或Ether帧的L2级的隧道单元。在该情况下,可利用隧道编号作为隧道识别符。
通过以上手段,可从video向mypc进行利用虚拟IP地址的IP通信,通过该手段可实现使用虚拟IP地址的分组。
(网关中的各种信息的登记功能)
在网关GW-B中,必须生成全局列表和本地列表。这可使用例如命令行界面和telnet、或者Web界面和HTTP等,从远程主机对组成员列表管理部210进行设定来生成。
IP-IP隧道、或者提供相同功能的L2级隧道也能同样利用telnet和HTTP对隧道设定管理部进行远程设定。
下面,参照附图对网关GW-A和网关B之间的通信进行更详细地说明。
以下,以下列情况为例进行说明,即:如图7所示,与自家网连接的主机mypc(实际IP地址192.168.0.5(=R-PC)和虚拟IP地址10.20.20.10)和与父母家网连接的主机video(实际IP地址192.168.0.5(=R-VCR)和虚拟IP地址10.10.10.102)通过网关GW-A和GW-B进行通信。
另外,在网关GW-B保持的全局列表内记述了mypc(域名:mypc.g1)和其虚拟IP地址10.20.20.10(=V-PC)的对应关系(参照图8)。同样,在网关GW-A保持的全局列表内记述了video(域名:省略)和其虚拟IP地址10.10.10.102(V-VCR)的对应关系。各网关保持这种全局列表的结果,例如,在与自家网连接的主机mypc看来,与父母家网连接的主机video像是虚拟具有V-VCR地址的主机。同样,在与父母家网连接的主机video看来,与自家网连接的主机mypc像是虚拟具有V-PC地址的主机。
(网关GW-A的地址解析)
如图7所示,主机mypc向网关GW-A询问具有DNS名“video”的主机的IP地址(S300)。网关GW-A通过DNS处理部220接收该请求。DNS处理部220向组成员列表管理部210询问与域名“video”对应的IP地址。
在组成员列表管理部210管理的组成员列表内记述了各主机的域名、虚拟IP地址以及对置GW(隧道编号)的对应关系。域名是将主机名(mypc或video等)和用于识别该主机所属的组的组识别信息(g1或g2)用“.”连接而构成的。
因此,组成员列表管理部210通过参照组成员列表,可知道有从DNS处理部220询问的与域名“video”对应的虚拟IP地址V-VCR。该判明的虚拟IP地址V-VCR被返回到解析请求源的主机mypc(S301)。主机mypc接收来自网关GW-A的虚拟IP地址V-VCR。
(主机mypc的发送处理)
主机mypc把发送源IP地址和目的地IP地址分别是主机mypc的实际IP地址192.168.0.5(=R-PC)和刚才解析的虚拟IP地址V-VCR的IP包作为发往主机video的IP包来生成和发送(S302)。
(网关GW-A的地址转换处理和传送处理)
来自主机MYPC的IP包一定通过网关GW-A。网关GW-A通过其NAT处理部接收该IP包。NAT处理部向组成员列表管理部210询问与该接收到的IP包的目的地IP地址(刚才解析的主机video的虚拟IP地址V-VCR)对应的隧道编号。在组成员列表管理部210管理的全局列表内记述了各主机的域名、虚拟IP地址以及对置GW(隧道编号)的对应关系。
因此,组成员列表管理部210通过参照全局列表,可知道与目的地IP地址(刚才解析的主机video的虚拟IP地址V-VCR)对应的对置GW(隧道编号)。
并且,在组成员列表管理部210管理的本地列表内记述了主机video的实际IP地址R-VCR、对置GW以及虚拟IP地址V-VCR的对应关系。
因此,组成员列表管理部210通过参照本地列表,可知道与刚才判明的对置GW(隧道编号)和该接收到的IP包的发送源IP地址(mypc的实际IP地址R-PC)对应的虚拟IP地址V-PC。该判明的虚拟IP地址V-PC被返回到NAT处理部250。
当接收到该虚拟IP地址V-PC时,NAT处理部250把该接收到的IP包的发送源IP地址(MyPc的实际IP地址R-PC)转换成该判明的虚拟IP地址V-PC(S303)。
然后,NAT处理部250把该转换后的IP包通知给隧道处理部230,以便使用与刚才判明的对置GW(隧道编号)一致的隧道来发送。当接收到来自NAT处理部250的通知时,隧道处理部230通过该隧道发送该转换后的IP包(S304)。
如上所述,主机mypc发送发往主机video的IP包,网关GW-A对该发往主机video的IP包进行地址转换,并对该转换后的IP包进行中继。
(网关GW-B的地址转换处理和传送处理)
下面,参照附图对网关GW-B的地址转换处理进行详细说明。图9是用于对网关GW-B的地址转换处理和传送处理进行说明的流程图。
网关GW-B通过包收发部200接收在S304中由网关GW-A中继的发往主机video的IP包(S3050)。此时,把接收到该包的隧道编号存储为“B”(SS3051)。包收发部向组成员列表管理部210询问与该接收到的IP包的目的地地址V-VCR对应的对置GW。在全局列表内记述了虚拟IP地址和对置GW的对应关系。因此,组成员列表管理部210通过参照全局列表,可知道与该接收到的IP包的目的地地址V-VCR对应的对置GW。
并且,在本地列表内记述了主机的实际IP地址、对置GW以及虚拟IP地址的对应关系。
因此,组成员列表管理部210通过参照本地列表,可知道与刚才判明的对置GW(隧道编号“B”)和该接收到的IP包的目的地IP地址(虚拟IP地址V-VCR)对应的实际IP地址R-VCR。这意味着对应条目存在于本地列表内(S3053:是)。该判明的实际IP地址R-VCR被发送到NAT处理部。另外,在对应条目不存在于本地列表内的情况下(S3053:否),该IP包被废弃(S3056)。
NAT处理部250把该接收到的IP包的目的地IP地址(虚拟IP地址V-VCR)转换(置换)成该判明的实际IP地址R-VCR(S3054)。然后,NAT处理部把该转换后的IP包发送到父母家网(S3055)。
如上所述,网关GW-B对发往主机video的IP包进行中继。
(主机video的发送处理)
如图7所示,主机video把发送源IP地址和目的地IP地址分别是主机video的实际IP地址R-VCR和虚拟IP地址V-PC(接收IP包的发送源IP地址)的IP包作为发往主机mypc的IP包(应答包)来生成和发送(S306)。
(网关GW-B的地址转换处理和传送处理)
下面,参照图7对网关GW-B的地址转换处理(S307)进行详细说明。
来自主机video的IP包一定通过网关GW-B。网关GW-B接收该IP包(S3070)。网关GW-B判定该接收到的IP包的目的地IP地址(DA)是否存在于全局列表内(S3071)。当该目的地IP地址(DA)不存在于全局列表内时(S3071:否),该IP包被废弃(S3072)。
另一方面,当该目的地IP地址(DA)存在于全局列表内时(S3071:是),从全局列表中读出与该接收到的IP包的目的地IP地址(主机mypc的虚拟IP地址V-PC)对应的对置GW(隧道编号),将其存储为“A”(S3072)。
然后,从本地列表中检索与刚才存储的“A”和在S1080中接收到的IP包的发送源IP地址(video的实际IP地址R-VCR)对应的条目(S3073)。结果,当对应条目不存在于本地列表内时(S3074:否),该IP包被废弃(S3072)。
另一方面,当对应条目存在于本地列表内时(S3074:是),把在S3070中接收到的IP包的发送源IP地址(video的实际IP地址R-VCR)转换(置换)成该条目中的虚拟IP地址(即,与刚才存储的“A”和在S3070中接收到的IP包的发送源IP地址(video的实际IP地址R-VCR)对应的虚拟IP地址V-VCR)(S3075)。该转换后的IP包通过隧道“A”被发送(S3076)。
如上所述,主机video发送发往主机mypc的IP包,网关GW-B对该发往主机mypc的IP包进行地址转换,并对该转换后的IP包进行中继。
(网关GW-A的地址转换处理和传送处理)
下面,对网关GW-A的接收处理进行说明。
网关GW-A通过包收发部200接收在S3076中由网关GW-B中继的发往主机mypc的IP包。包收发部200向组成员列表管理部210询问与该接收到的IP包的发送源地址V-VCR对应的对置GW。在全局列表内记述了虚拟IP地址和对置GW的对应关系。因此,组成员列表管理部210通过参照全局列表,可知道与该接收到的IP包的发送源地址V-VCR对应的对置GW。
然后,组成员列表管理部210参照本地列表。在本地列表内记述了主机的实际IP地址、对置GW以及虚拟IP地址的对应关系。因此,组成员列表管理部210通过参照本地列表,可知道与刚才判明的对置GW(隧道编号)和该接收到的IP包的目的地IP地址(虚拟IP地址V-PC)对应的实际IP地址R-PC。该判明的实际IP地址R-PC被发送到NAT处理部250。
NAT处理部250把该接收到的IP包的目的地IP地址(虚拟IP地址V-PC)转换成该判明的实际IP地址R-PC(S308)。然后,NAT处理部250把该转换后的IP包发送到自家网(S309)。
如上所述,网关GW-A对发往主机PC的IP包进行中继。
(第三实施方式)
下面,参照附图对作为本发明的第三实施方式的包含网关(也称为GW或网关装置)的网络系统进行说明。
在上述第二实施方式中,网关间隧道连接和全局/本地列表生成必须由网络管理者手动设定。在本实施方式中,参照附图对用于使该设定自动化的单元进行说明。这里,作为这种单元,对使用在网关间收发这些设定信息的协议的例子进行说明。图11是基于该协议的处理的顺序图。
以下,网关GW-B是主导,考虑用于生成包含属于网关GW-B的主机video和属于网关GW-C的PDA这样的名称的主机的组g3的协议。
1、(网关间的认证)
首先,利用现有的认证方法(例如利用ID和密码等的认证方法),认证是否是在网关间能相互信赖的GW(S400)。在网关间进行认证是一般期望的处理,然而在没有必要的情况下,也能省略该步骤(选项)。
2、然后,网关GW-B在假定不知道属于网关GW-C的主机时,为了知道该主机,向网关GW-C请求主机一览(或者使用某个关键字检索该主机)(S401)。该步骤在假定网关GW-B知道该主机名称的情况下,也能省略(选项)。当接收到来自网关GW-B的一览请求时,网关GW-C向请求源的网关GW-B应答存在于自己属下的主机一览(包含PDA这样的主机名)(S403)。
3、网关GW-B根据来自网关GW-C的主机一览,知道在网关GW-C属下存在具有PDA这样的主机名的主机。生成包含该主机PDA和存在于自己属下的video的新的组g3,可通过在网关GW-B中针对video名称的主机,新生成新的组g3用的条目来实现。同时,网关GW-B自身生成对自己来说适合于分配给组g3的虚拟网络地址。这里,新生成10.22.0.0/24这样的网络。
然后,为了在网关GW-C中也生成该新生成的组g3,把组登记请求发送到网关GW-C(S404)。接收到该请求的网关GW-C把ACK返回到网关GW-B(S405),并选择生成在本地合适的组名。这里,分配g11的组名,也同时分配10.50.0.0/24的网络地址。
另外,这里,网关GW-B和GW-C选择了不同组名,然而可以在两网关间选择生成相同的名称。在该情况下,考虑通过以下实现协议,即:重复请求/应答来相互选择唯一的组名,或者在相互发送的消息中输入合适名称的一览,从中进行选择。
4、网关GW-B向网关GW-C请求把虚拟IP地址分配给作为属于组g3的主机的具有名称video的主机(S406)。网关GW-C在供组g11使用而生成的地址空间10.50.0.0上,分配10.50.0.10的地址供PDA.g11使用,并向网关GW-B应答该地址(S407)。接收到该应答的网关GW-B在本地列表条目内新生成video.g3这样的名称的10.50.0.10的虚拟IP地址(参照图12)。
5、最后,网关GW-B从10.22.0.0/24的地址空间把10.22.0.3的地址新分配给PDA.g3,并新追加给全局列表条目(参照图13),把该地址作为虚拟IP地址通知给网关GW-C(S408)。接收到该地址的网关GW-C把该条目新追加给现有的本地列表。网关GW-C在生成该列表时,向网关GW-B应答Ack消息(S409)。
另外,从S400到S409的步骤是一例。例如,步骤4和5可以调换顺序。并且,上述步骤可以使用一条消息发送多个。并且,作为传送层,可使用现有的所有协议。可以利用HTTP和SIP。并且,消息格式可使用XML按照SOAP进行封装,并根据这些传送协议进行运送。
并且,关于隧道连接,也能包含在该协议内,只要在网关间认证成立后,就能在开始通信前的任意时刻生成隧道。并且,在把主机作为组成员新追加给已实际存在的组的情况下,省略步骤3。并且,在该实现例中示出了在2对网关间的设定,然而并不特别限于2对,通过在任意网关间使该协议动作,可在任意数量的网关间使组及其成员的设定自动化。
(第四实施方式)
下面,参照附图对作为本发明的第四实施方式的包含网关(也称为GW或网关装置)的网络系统进行说明。
在本实施方式中,不能使用基于IP的通信功能的装置(非IP终端)与网关GW连接。该非IP终端具有通过收发来自网关GW的某种文本形式或二进制形式的指令而受到控制的功能。
在这种情况下,与分配虚拟IP地址一样,在网关GW中虚拟生成虚拟IP主机,把虚拟IP地址分配给该虚拟IP主机,并且该虚拟IP主机终接来自外部的TCP/IP通信,这样,可利用TCP/IP网络来实现指令收发。
例如,远程主机利用telnet和HTTP等现有协议来传送指令,在网关GW中终接telnet和HTTP,抽出指令部分,再发送到非IP主机,这样,可从远程主机进行好像与IP主机进行通信的控制/通信。
只要网关GW按照该非IP终端的数量分配虚拟IP地址,就能按照专用IP地址的数量收容非IP终端,并可完全同样地实现分组。
(第五实施方式)
下面,参照附图对作为本发明的第五实施方式的包含网关(也称为GW或网关装置)的网络系统进行说明。
通常,在本地网络中,由于DHCP(Dynamic Host ConfigurationProtocol:动态主机配置协议)等IP地址自动分配协议进行动作,因而分配给主机的IP地址不限于相同。在这种环境下,IP地址作为识别IP主机个体的ID是不适当的。
在本发明中,通信目的地的IP地址是虚拟地址,实际IP地址被隐蔽。这是通过在本地列表中将实际地址和虚拟IP地址进行映射来实现的。这样,即使实际地址变化,只要能维持个体和虚拟IP地址的映射,就不受由这种DHCP等引起的实际IP地址变化的影响。
例如,当在网关GW中利用基于MAC地址的个体识别时,可维持个体和虚拟IP地址的映射,而与实际IP地址无关。这可通过把MAC地址的字段追加给网关GW中的本地列表条目来实现(参照图14)。这样,即使实际地址变化,只要在本地列表中总是看MAC地址来识别个体,就能取得上述效果。
例如,video名称的个体可使用MAC地址aa:bb:cc:dd:ee:ff唯一识别。这只要在网关GW和video的通信时使用以太网(Ether),就能通过ARP应答等取得该值,并且只要输入到本地列表内就能实现。
例如,即使利用DHCP,或者IP地址分配变化而使实际地址变化,MAC地址也不变,因而可以根据该值管理维持该表的值。
(第六实施方式)
下面,参照附图对作为本发明的第六实施方式的包含网关(也称为GW或网关装置)的网络系统进行说明。
当虚拟组由属于完全不同网络的主机构成时,名称和虚拟IP地址、以及虚拟IP地址和实际地址的对应没有模式。然而,例如在将属于子网的所有主机构成为虚拟组的情况下,由于转换具有规则,因而可大幅削减条目数。
这里,DNS名的管理不在网关中进行,而是向利用DNS中继等的现有方法进行一元管理的系统询问。把要询问的DNS服务器的地址预先提供给网关GW。然后,在全局列表内记载有从域名到实际地址的转换模式、以及从实际地址到虚拟IP地址的转换模式(参照图15)。
该表中的“*”意味着任意值,并意味着将与该值匹配的数据照原样利用。例如,当假定向DNS服务器询问video.d1的IP地址,并且该应答是192.168.0.17时,意味着符合全局列表的第1个,此时的虚拟IP地址被转换成10.20.20.17。
通过具有这种列表,在把连续的地址空间登记在列表内的情况下,可大幅削减用于检索列表的处理时间和用于构成列表的资源。
(第七实施方式)
下面,参照附图对作为本发明的第七实施方式的包含网关(也称为GW或网关装置)的网络系统进行说明。
网关可虚拟告知主机,某组虚拟地存在于相同的子网内。在迄今为止的例子中,当访问组时,在主机看来像是一定通过网关。根据本实施方式,可看起来像是在以太网的L2级中属于相同子网。
现在,考虑以下情况,即:假定g1组的主机存在2个,各自实际上属于不同的远程网关,在网关GW-B中,使作为相同的本地子网的192.168.0.0/24的网络内存在的video主机按照属于相同子网的方式进行通信。
假定把虚拟第2层地址的字段新追加给在迄今为止的实施方式中所利用的全局列表,并把第2层地址a1:b1:c1:d1:e1:f1和a2:b2:c2:d2:e2:f2分别分配给mypc和cam,以便与其他主机不同(参照图16)。并且,与迄今为止一样分配虚拟IP地址,然而这里分配与主机video相同的子网地址。
如图17所示,在开始从cam向mypc发送IP包之前,发送ARP请求(S500),然而对此,网关GW-B按照取代mypc而利用虚拟的mypc的方式,使用地址a1:b1:c1:d1:e1:f1对ARP请求进行应答(S501)。此时,参照图16所示的全局列表。这样,由于cam把握了mypc的第2层地址,因而实际上开始在L2层把IP包发送到网关GW-B(S502)。
网关GW-B在接收到L2包时,参照全局列表,由于识别出发往目的地a1:b1:c1:d1:e1:f1的L2包在网关GW-A中作为mypc虚拟存在,因而可将其终接。以下通过与迄今为止相同的处理,把IP包传送到网关GW-A(S503)。网关GW-A与上述实施方式一样,接收该IP包来进行地址转换,并把该转换后的IP包传送到自己属下的mypc(S504)。
并且,当把来自mypc的包从网关GW-B发送到cam时,与迄今为止的实施方式一样结束地址转换,当最终发送到本地网络时,附上作为发送源第2层地址的a1:b1:c1:d1:e1:f1,把L2包发送到L2网络上的mypc。
以上结果,网关可提供使任意主机作为虚拟地属于同一子网的主机进行通信的功能。
(变形例)
在上述实施方式中,对IP地址是基于IPv4的地址作了说明,然而本发明不限于此。例如,也能使用基于IPv6的地址。在该情况下,取代IPv4的专用地址,可通过利用IPv6的地区本地地址来实现。例如,如果把上述实施方式的“专用(地址)”重读为“地区本地(地址)”,则处理步骤和处理方法完全相同,在实施本发明时,没有必要考虑IPv4和IPv6的不同。另外,全局地址对于IPv4和IPv6具有相同意义。
本发明可在不背离其精神或主要特征的情况下,采用其他各种形式实施。因此,上述实施方式在所有方面只不过是例示,不作限定性解释。
产业上的可利用性
根据本发明,不使通信/计算资源匮乏的主机(例如,便携电话、PDA(Personal Digital Assistance:个人数字助理)等的便携终端、冰箱、洗衣机、录像机等的网络家电)的处理负荷增大,即可实现在组内封闭的通信。
Claims (15)
1.一种包中继装置,位于本地网络和全局网络之间的边界,用于在由具有全局地址的IP主机构成的IP网络中,选择任意主机进行分组,实现在组内封闭的通信,该包中继装置具有:
由IP地址和用于管理组的主机名构成的、用于管理属于组的主机的列表;以及
根据该列表识别作为组成员的主机和组外的主机并遮断来自组外的主机的通信的单元。
2.根据权利要求1所述的包中继装置,还具有将全局地址和专用地址相互转换的转换装置。
3.根据权利要求2所述的包中继装置,针对虚拟IP子网的虚拟专用地址被分配给任意主机。
4.根据权利要求2或3所述的包中继装置,还具有将与其他包中继装置之间的通信加密的单元。
5.根据权利要求2至4中的任意一项所述的包中继装置,还具有根据规定的隧道协议,使与其他包中继装置之间的隧道设定自动化的单元。
6.根据权利要求2至5中的任意一项所述的包中继装置,还具有根据虚拟组设定协议,使与其他包中继装置之间的组设定自动化的单元。
7.根据权利要求2至6中的任意一项所述的包中继装置,还具有根据虚拟组设定协议,使与其他包中继装置之间的属于组的成员设定自动化的单元。
8.根据权利要求5至7中的任意一项所述的包中继装置,还具有通过在与其他包中继装置之间进行认证,确认是否能相互信赖的单元。
9.根据权利要求2或3所述的包中继装置,包中继装置和主机不与其他主机连接,而是直接连接。
10.根据权利要求3所述的包中继装置,把非IP终端虚拟地作为IP主机来构建在其他主机看来像是存在于组内的虚拟IP主机。
11.根据权利要求3所述的包中继装置,使主机的第2层地址作为主机固有的识别符与机器一一对应。
12.根据权利要求3所述的包中继装置,使用虚拟第2层地址代替属于组的主机来应答ARP,在本地子网级中实现组内通信。
13.根据权利要求1至3中的任意一项所述的包中继装置,不在网关中进行名称解析,而在DNS服务器中集中地解析名称,而且使用模式来描述实际地址和虚拟专用地址之间的转换。
14.一种IP包中继装置,设置在网络间,使与属于特定组的主机有关的IP包通过,该IP包中继装置具有:
列表,使主机具有的IP地址和用于识别该主机所属的组的组识别符对应;
判定单元,通过参照前述列表判定从一个网络收到的且发往与另一网络连接的主机的IP包是否是与同一组有关的IP包;以及
转发单元,把被判定为是与同一组有关的IP包的IP包中继到前述另一网络。
15.根据权利要求14所述的IP包中继装置,在与从前述一个网络收到的IP包的发送源地址和目的地地址对应的组是同一组的情况下,前述判定单元通过参照前述列表,判定为该IP包是与同一组有关的IP包。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2003/011623 WO2005027438A1 (ja) | 2003-09-11 | 2003-09-11 | パケット中継装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1839592A true CN1839592A (zh) | 2006-09-27 |
Family
ID=34308211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA038270587A Pending CN1839592A (zh) | 2003-09-11 | 2003-09-11 | 包中继装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070081530A1 (zh) |
| EP (1) | EP1667382A4 (zh) |
| JP (1) | JPWO2005027438A1 (zh) |
| CN (1) | CN1839592A (zh) |
| WO (1) | WO2005027438A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102859970A (zh) * | 2010-04-23 | 2013-01-02 | 思科技术公司 | 被表示为互联网协议地址的值 |
| CN104243632A (zh) * | 2014-10-13 | 2014-12-24 | 三星电子(中国)研发中心 | 使非ip设备接入虚拟ip网络的方法和系统 |
| WO2020061853A1 (en) * | 2018-09-26 | 2020-04-02 | Siemens Aktiengesellschaft | Web-architecture based on client-controlled cap configuration |
Families Citing this family (103)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1758649B (zh) * | 2004-10-05 | 2010-04-28 | 华为技术有限公司 | 版本不同的网间互联协议网络互通的方法 |
| US20060140190A1 (en) * | 2004-12-23 | 2006-06-29 | Alcatel | Method and apparatus for configuring a communication path |
| JP4722615B2 (ja) * | 2005-08-10 | 2011-07-13 | パナソニックシステムネットワークス株式会社 | 通信方法及び通信装置 |
| JP4712481B2 (ja) * | 2005-08-10 | 2011-06-29 | パナソニックシステムネットワークス株式会社 | 通信方法および装置 |
| US7930346B2 (en) * | 2005-08-24 | 2011-04-19 | Microsoft Corporation | Security in peer to peer synchronization applications |
| US7539216B2 (en) * | 2005-11-16 | 2009-05-26 | Cable Television Laboratories, Inc. | Method and system of determining last hop device addresses |
| JP4580865B2 (ja) * | 2005-11-30 | 2010-11-17 | 株式会社東芝 | 電話システム及びこの電話システムのチャネル捕捉方法 |
| US20070233844A1 (en) * | 2006-03-29 | 2007-10-04 | Murata Kikai Kabushiki Kaisha | Relay device and communication system |
| US20090059848A1 (en) * | 2006-07-14 | 2009-03-05 | Amit Khetawat | Method and System for Supporting Large Number of Data Paths in an Integrated Communication System |
| JP4222397B2 (ja) | 2006-09-12 | 2009-02-12 | 村田機械株式会社 | 中継サーバ |
| JP4629639B2 (ja) * | 2006-09-29 | 2011-02-09 | 富士通株式会社 | パケット中継装置 |
| US8249081B2 (en) * | 2006-09-29 | 2012-08-21 | Array Networks, Inc. | Dynamic virtual private network (VPN) resource provisioning using a dynamic host configuration protocol (DHCP) server, a domain name system (DNS) and/or static IP assignment |
| DE602007012475D1 (de) * | 2006-10-11 | 2011-03-24 | Murata Machinery Ltd | Relaisserver |
| TW200822633A (en) * | 2006-11-03 | 2008-05-16 | Hon Hai Prec Ind Co Ltd | Network device and packet forwarding method thereof |
| US7852861B2 (en) * | 2006-12-14 | 2010-12-14 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method |
| US7840701B2 (en) * | 2007-02-21 | 2010-11-23 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method |
| US8667095B2 (en) * | 2007-11-09 | 2014-03-04 | Cisco Technology, Inc. | Local auto-configuration of network devices connected to multipoint virtual connections |
| US8953486B2 (en) * | 2007-11-09 | 2015-02-10 | Cisco Technology, Inc. | Global auto-configuration of network devices connected to multipoint virtual connections |
| JP5025449B2 (ja) * | 2007-12-21 | 2012-09-12 | 三菱電機株式会社 | 中継通信システム |
| KR101499551B1 (ko) * | 2008-03-31 | 2015-03-18 | 삼성전자주식회사 | 원격 접속을 고려하여 네트워크 주소 충돌을 해결하는 UPnP 장치 및 그 방법 |
| EP2314019A4 (en) * | 2008-07-31 | 2011-09-07 | Juma Technology Corp | METHOD FOR RESOLVING ADDRESS CONFLICTS BETWEEN DISPARATE NETWORKS IN A NETWORK MANAGEMENT SYSTEM |
| JP5012738B2 (ja) * | 2008-09-04 | 2012-08-29 | 村田機械株式会社 | 中継サーバ、中継通信システム |
| US20110040858A1 (en) * | 2009-08-13 | 2011-02-17 | Qualcomm Incorporated | Location determination during network address lookup |
| US20110110377A1 (en) * | 2009-11-06 | 2011-05-12 | Microsoft Corporation | Employing Overlays for Securing Connections Across Networks |
| US9716672B2 (en) | 2010-05-28 | 2017-07-25 | Brocade Communications Systems, Inc. | Distributed configuration management for virtual cluster switching |
| US9270486B2 (en) | 2010-06-07 | 2016-02-23 | Brocade Communications Systems, Inc. | Name services for virtual cluster switching |
| US8867552B2 (en) | 2010-05-03 | 2014-10-21 | Brocade Communications Systems, Inc. | Virtual cluster switching |
| US9769016B2 (en) | 2010-06-07 | 2017-09-19 | Brocade Communications Systems, Inc. | Advanced link tracking for virtual cluster switching |
| US9608833B2 (en) | 2010-06-08 | 2017-03-28 | Brocade Communications Systems, Inc. | Supporting multiple multicast trees in trill networks |
| US9628293B2 (en) | 2010-06-08 | 2017-04-18 | Brocade Communications Systems, Inc. | Network layer multicasting in trill networks |
| US9806906B2 (en) | 2010-06-08 | 2017-10-31 | Brocade Communications Systems, Inc. | Flooding packets on a per-virtual-network basis |
| US9807031B2 (en) | 2010-07-16 | 2017-10-31 | Brocade Communications Systems, Inc. | System and method for network configuration |
| US9143480B2 (en) * | 2011-01-10 | 2015-09-22 | Secure Global Solutions, Llc | Encrypted VPN connection |
| JP5589866B2 (ja) * | 2011-01-24 | 2014-09-17 | 富士通株式会社 | アドレス変換方法、アドレス変換代理応答方法、アドレス変換装置及びアドレス変換代理応答装置 |
| US9736085B2 (en) | 2011-08-29 | 2017-08-15 | Brocade Communications Systems, Inc. | End-to end lossless Ethernet in Ethernet fabric |
| US9699117B2 (en) | 2011-11-08 | 2017-07-04 | Brocade Communications Systems, Inc. | Integrated fibre channel support in an ethernet fabric switch |
| US9450870B2 (en) | 2011-11-10 | 2016-09-20 | Brocade Communications Systems, Inc. | System and method for flow management in software-defined networks |
| JP5874354B2 (ja) * | 2011-11-30 | 2016-03-02 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
| JP5874356B2 (ja) * | 2011-11-30 | 2016-03-02 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
| US9742693B2 (en) | 2012-02-27 | 2017-08-22 | Brocade Communications Systems, Inc. | Dynamic service insertion in a fabric switch |
| US9154416B2 (en) | 2012-03-22 | 2015-10-06 | Brocade Communications Systems, Inc. | Overlay tunnel in a fabric switch |
| US9020888B1 (en) | 2012-04-04 | 2015-04-28 | Nectar Services Corp. | Data replicating systems and data replication methods |
| US10277464B2 (en) | 2012-05-22 | 2019-04-30 | Arris Enterprises Llc | Client auto-configuration in a multi-switch link aggregation |
| WO2013177289A1 (en) * | 2012-05-23 | 2013-11-28 | Brocade Communications Systems, Inc. | Layer-3 overlay gateways |
| EP2863665B1 (en) * | 2012-06-19 | 2020-12-09 | LG Electronics Inc. | Location update method for terminal supporting multiple radio access technologies |
| US9008095B2 (en) * | 2012-10-02 | 2015-04-14 | Cisco Technology, Inc. | System and method for hardware-based learning of internet protocol addresses in a network environment |
| US9246998B2 (en) * | 2012-10-16 | 2016-01-26 | Microsoft Technology Licensing, Llc | Load balancer bypass |
| US8948181B2 (en) | 2012-10-23 | 2015-02-03 | Cisco Technology, Inc. | System and method for optimizing next-hop table space in a dual-homed network environment |
| US9401872B2 (en) | 2012-11-16 | 2016-07-26 | Brocade Communications Systems, Inc. | Virtual link aggregations across multiple fabric switches |
| US9253140B2 (en) | 2012-11-20 | 2016-02-02 | Cisco Technology, Inc. | System and method for optimizing within subnet communication in a network environment |
| US9413691B2 (en) | 2013-01-11 | 2016-08-09 | Brocade Communications Systems, Inc. | MAC address synchronization in a fabric switch |
| US9548926B2 (en) | 2013-01-11 | 2017-01-17 | Brocade Communications Systems, Inc. | Multicast traffic load balancing over virtual link aggregation |
| US9565099B2 (en) | 2013-03-01 | 2017-02-07 | Brocade Communications Systems, Inc. | Spanning tree in fabric switches |
| US9401818B2 (en) | 2013-03-15 | 2016-07-26 | Brocade Communications Systems, Inc. | Scalable gateways for a fabric switch |
| US9912612B2 (en) | 2013-10-28 | 2018-03-06 | Brocade Communications Systems LLC | Extended ethernet fabric switches |
| JP2015095698A (ja) * | 2013-11-11 | 2015-05-18 | セイコーエプソン株式会社 | 通信制御サーバーおよびサービス提供システム |
| KR102013862B1 (ko) * | 2014-01-13 | 2019-08-23 | 한국전자통신연구원 | 네트워크 연속성 보장 방법 및 장치 |
| US10017195B2 (en) * | 2014-01-27 | 2018-07-10 | Mitsubishi Electric Corporation | Communication device, train network system, and network setting method |
| US9548873B2 (en) | 2014-02-10 | 2017-01-17 | Brocade Communications Systems, Inc. | Virtual extensible LAN tunnel keepalives |
| US10581758B2 (en) | 2014-03-19 | 2020-03-03 | Avago Technologies International Sales Pte. Limited | Distributed hot standby links for vLAG |
| US10476698B2 (en) | 2014-03-20 | 2019-11-12 | Avago Technologies International Sales Pte. Limited | Redundent virtual link aggregation group |
| JP6368127B2 (ja) * | 2014-04-09 | 2018-08-01 | キヤノン株式会社 | 通信装置、制御方法、及びプログラム |
| US10063473B2 (en) | 2014-04-30 | 2018-08-28 | Brocade Communications Systems LLC | Method and system for facilitating switch virtualization in a network of interconnected switches |
| US9800471B2 (en) | 2014-05-13 | 2017-10-24 | Brocade Communications Systems, Inc. | Network extension groups of global VLANs in a fabric switch |
| US10616108B2 (en) | 2014-07-29 | 2020-04-07 | Avago Technologies International Sales Pte. Limited | Scalable MAC address virtualization |
| US9729580B2 (en) | 2014-07-30 | 2017-08-08 | Tempered Networks, Inc. | Performing actions via devices that establish a secure, private network |
| US9807007B2 (en) | 2014-08-11 | 2017-10-31 | Brocade Communications Systems, Inc. | Progressive MAC address learning |
| US9699029B2 (en) | 2014-10-10 | 2017-07-04 | Brocade Communications Systems, Inc. | Distributed configuration management in a switch group |
| US9628407B2 (en) | 2014-12-31 | 2017-04-18 | Brocade Communications Systems, Inc. | Multiple software versions in a switch group |
| US9626255B2 (en) | 2014-12-31 | 2017-04-18 | Brocade Communications Systems, Inc. | Online restoration of a switch snapshot |
| US10003552B2 (en) | 2015-01-05 | 2018-06-19 | Brocade Communications Systems, Llc. | Distributed bidirectional forwarding detection protocol (D-BFD) for cluster of interconnected switches |
| US9942097B2 (en) | 2015-01-05 | 2018-04-10 | Brocade Communications Systems LLC | Power management in a network of interconnected switches |
| US9667538B2 (en) * | 2015-01-30 | 2017-05-30 | Telefonaktiebolget L M Ericsson (Publ) | Method and apparatus for connecting a gateway router to a set of scalable virtual IP network appliances in overlay networks |
| US9807005B2 (en) | 2015-03-17 | 2017-10-31 | Brocade Communications Systems, Inc. | Multi-fabric manager |
| US10038592B2 (en) | 2015-03-17 | 2018-07-31 | Brocade Communications Systems LLC | Identifier assignment to a new switch in a switch group |
| JP6378121B2 (ja) * | 2015-03-20 | 2018-08-22 | 株式会社Nttドコモ | ゲートウェイ装置及び通信方法 |
| US10579406B2 (en) | 2015-04-08 | 2020-03-03 | Avago Technologies International Sales Pte. Limited | Dynamic orchestration of overlay tunnels |
| US10439929B2 (en) | 2015-07-31 | 2019-10-08 | Avago Technologies International Sales Pte. Limited | Graceful recovery of a multicast-enabled switch |
| US10171303B2 (en) | 2015-09-16 | 2019-01-01 | Avago Technologies International Sales Pte. Limited | IP-based interconnection of switches with a logical chassis |
| US9912614B2 (en) | 2015-12-07 | 2018-03-06 | Brocade Communications Systems LLC | Interconnection of switches based on hierarchical overlay tunneling |
| WO2017111404A1 (ko) * | 2015-12-23 | 2017-06-29 | 주식회사 케이티 | 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템 |
| KR101821794B1 (ko) * | 2015-12-23 | 2018-03-08 | 주식회사 케이티 | 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템 |
| US9729581B1 (en) | 2016-07-01 | 2017-08-08 | Tempered Networks, Inc. | Horizontal switch scalability via load balancing |
| JP6790622B2 (ja) * | 2016-09-08 | 2020-11-25 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
| US10237090B2 (en) | 2016-10-28 | 2019-03-19 | Avago Technologies International Sales Pte. Limited | Rule-based network identifier mapping |
| JP2018093492A (ja) * | 2016-11-30 | 2018-06-14 | 株式会社Lte−X | 通信方法および中継装置 |
| US10547535B2 (en) * | 2016-12-22 | 2020-01-28 | Mitsubishi Electric Corporation | Relay device, display device, connection information transmission method, and network configuration display method |
| JP6666863B2 (ja) * | 2017-01-31 | 2020-03-18 | 日本電信電話株式会社 | 仮想閉域網の形成システム及び方法並びにプログラム |
| JP6986354B2 (ja) * | 2017-02-24 | 2021-12-22 | 株式会社ソラコム | 通信システム及び通信方法 |
| JP7321235B2 (ja) * | 2017-02-24 | 2023-08-04 | 株式会社ソラコム | 通信システム及び通信方法 |
| JP6446494B2 (ja) * | 2017-03-23 | 2018-12-26 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | エッジノード装置、リソース制御方法、及びプログラム |
| JP6640800B2 (ja) * | 2017-08-04 | 2020-02-05 | Necプラットフォームズ株式会社 | ネットワーク装置、ネットワークシステム、ネットワーク接続方法及びネットワーク接続プログラム |
| US11218485B1 (en) * | 2017-12-12 | 2022-01-04 | Berryville Holdings, LLC | Systems and methods for providing transparent simultaneous access to multiple secure enclaves |
| US10069726B1 (en) | 2018-03-16 | 2018-09-04 | Tempered Networks, Inc. | Overlay network identity-based relay |
| US10116539B1 (en) | 2018-05-23 | 2018-10-30 | Tempered Networks, Inc. | Multi-link network gateway with monitoring and dynamic failover |
| US10158545B1 (en) | 2018-05-31 | 2018-12-18 | Tempered Networks, Inc. | Monitoring overlay networks |
| DE102020203031B3 (de) * | 2020-03-10 | 2021-06-02 | BSH Hausgeräte GmbH | Vorrichtung und Verfahren zur Steuerung des Zugriffs auf ein Elektrogerät |
| US10911418B1 (en) | 2020-06-26 | 2021-02-02 | Tempered Networks, Inc. | Port level policy isolation in overlay networks |
| US11070594B1 (en) | 2020-10-16 | 2021-07-20 | Tempered Networks, Inc. | Applying overlay network policy based on users |
| US10999154B1 (en) | 2020-10-23 | 2021-05-04 | Tempered Networks, Inc. | Relay node management for overlay networks |
| US11683286B2 (en) * | 2021-11-18 | 2023-06-20 | Cisco Technology, Inc. | Anonymizing server-side addresses |
| US11601395B1 (en) * | 2021-12-22 | 2023-03-07 | Uab 360 It | Updating parameters in a mesh network |
| US11799830B2 (en) | 2021-12-29 | 2023-10-24 | Uab 360 It | Access control in a mesh network |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5550816A (en) * | 1994-12-29 | 1996-08-27 | Storage Technology Corporation | Method and apparatus for virtual switching |
| JP3514279B2 (ja) * | 1997-02-21 | 2004-03-31 | 日本電信電話株式会社 | 相手選択型アドレス解決方法及びその装置 |
| US6167052A (en) * | 1998-04-27 | 2000-12-26 | Vpnx.Com, Inc. | Establishing connectivity in networks |
| JPH11331254A (ja) * | 1998-05-18 | 1999-11-30 | Nippon Telegr & Teleph Corp <Ntt> | グループ通信装置 |
| JP2000059357A (ja) * | 1998-08-07 | 2000-02-25 | Nippon Telegr & Teleph Corp <Ntt> | 閉域グループ通信システム,管理サーバ装置および通信端末,ならびにそれらのプログラム記憶媒体 |
| JP2001333099A (ja) * | 2000-05-23 | 2001-11-30 | Mitsubishi Electric Corp | 閉域通信管理装置、閉域通信システムおよびその管理方法 |
| US20020186698A1 (en) * | 2001-06-12 | 2002-12-12 | Glen Ceniza | System to map remote lan hosts to local IP addresses |
| KR100485801B1 (ko) * | 2002-03-07 | 2005-04-28 | 삼성전자주식회사 | 서로 다른 사설망에 존재하는 네트워크장치들 간의직접접속을 제공하는 망접속장치 및 방법 |
| KR100474485B1 (ko) * | 2002-03-11 | 2005-03-09 | 삼성전자주식회사 | 홈네트워크내의 독립망기기 제어장치 및 방법 |
| WO2004107683A1 (ja) * | 2003-05-29 | 2004-12-09 | Nec Corporation | パケット中継装置及びパケット中継方法並びにプログラム |
| US7483374B2 (en) * | 2003-08-05 | 2009-01-27 | Scalent Systems, Inc. | Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing |
-
2003
- 2003-09-11 WO PCT/JP2003/011623 patent/WO2005027438A1/ja active Application Filing
- 2003-09-11 US US10/571,577 patent/US20070081530A1/en not_active Abandoned
- 2003-09-11 EP EP03818656A patent/EP1667382A4/en not_active Withdrawn
- 2003-09-11 CN CNA038270587A patent/CN1839592A/zh active Pending
- 2003-09-11 JP JP2005508916A patent/JPWO2005027438A1/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102859970A (zh) * | 2010-04-23 | 2013-01-02 | 思科技术公司 | 被表示为互联网协议地址的值 |
| CN102859970B (zh) * | 2010-04-23 | 2016-06-15 | 思科技术公司 | 访问非互联网协议中心资源的方法和装置 |
| CN104243632A (zh) * | 2014-10-13 | 2014-12-24 | 三星电子(中国)研发中心 | 使非ip设备接入虚拟ip网络的方法和系统 |
| WO2020061853A1 (en) * | 2018-09-26 | 2020-04-02 | Siemens Aktiengesellschaft | Web-architecture based on client-controlled cap configuration |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2005027438A1 (ja) | 2006-11-24 |
| WO2005027438A1 (ja) | 2005-03-24 |
| EP1667382A4 (en) | 2006-10-04 |
| US20070081530A1 (en) | 2007-04-12 |
| EP1667382A1 (en) | 2006-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1839592A (zh) | 包中继装置 | |
| CN1163029C (zh) | 数据网络用户进行数据交换的方法及其网络系统 | |
| CN1198433C (zh) | 带有防火墙和网络地址转换的音频-视频电话 | |
| CN101060464A (zh) | 地址变换装置、消息处理方法及网络系统 | |
| CN1829195A (zh) | 分组转发装置 | |
| CN1630259A (zh) | 内部代理装置、移动路由器、通信系统以及通信方法 | |
| CN1525709A (zh) | 名称解析服务器和分组传送设备 | |
| CN1503526A (zh) | 地址转换装置和地址转换规则的管理方法 | |
| CN1647489A (zh) | 能够连接到具有本地地址域的网络的方法及系统 | |
| CN1817013A (zh) | 终端和通信系统 | |
| CN1855825A (zh) | 计算机系统 | |
| CN101043411A (zh) | 混合网络中实现移动vpn的方法及系统 | |
| CN101047587A (zh) | 一种非无线局域网终端访问外部网络的系统及方法 | |
| CN1551583A (zh) | 数据包通信装置 | |
| CN1305289A (zh) | 按规定的策略在多服务器实施ip数据报发送的方法和系统 | |
| CN1701573A (zh) | 远程访问虚拟专用网络中介方法和中介装置 | |
| CN1682499A (zh) | 内容分发系统 | |
| CN1859332A (zh) | 一种采用数据同步处理电子邮件的系统、装置及方法 | |
| CN1525711A (zh) | 用于在不同的专用网的网络设备之间支持通信的网关 | |
| CN1890945A (zh) | 用于横越防火墙和网络地址转换(nat)设置的通信系统 | |
| CN1615635A (zh) | 移动节点,路由器,服务器和根据ip版本6(ipv6)协议的移动通信的方法 | |
| CN1578273A (zh) | 移动终端,控制设备,归属代理和分组通信方法 | |
| CN101064866A (zh) | 一种短信的路由寻址方法及系统 | |
| CN1765081A (zh) | 用于集中分配地址与端口号的方法和系统 | |
| CN1627853A (zh) | 用于合作信息管理系统的合作信息管理设备及网关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |