JP2001352337A - 通信データ中継装置、及び方法 - Google Patents

通信データ中継装置、及び方法

Info

Publication number
JP2001352337A
JP2001352337A JP2001105992A JP2001105992A JP2001352337A JP 2001352337 A JP2001352337 A JP 2001352337A JP 2001105992 A JP2001105992 A JP 2001105992A JP 2001105992 A JP2001105992 A JP 2001105992A JP 2001352337 A JP2001352337 A JP 2001352337A
Authority
JP
Japan
Prior art keywords
domain
address
communication data
relay device
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001105992A
Other languages
English (en)
Inventor
Makoto Kubota
真 久保田
Naoki Oguchi
直樹 小口
Tetsuaki Tsuruoka
哲明 鶴岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2001105992A priority Critical patent/JP2001352337A/ja
Publication of JP2001352337A publication Critical patent/JP2001352337A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 (修正有) 【課題】セキュリティや保守の独立性を確保した上で、
ドメイン間を制限的に接続をすることを技術的課題とす
る。 【解決手段】中継装置であって、システムとしてのドメ
インを定義するドメイン定義部2と、2以上のドメイン
間における接続の可否を定義するドメイン間接続定義部
4と、通信データの中継先を決定する経路処理部と、異
なるドメイン間で通信データを中継するときに、その通
信データに保持された送信側ドメインにおける送信元ア
ドレスを中継先ドメインにおけるプロキシホストアドレ
スに変換するアドレス変換部7aと、宛先アドレスフィ
ールドに前記プロキシホストアドレスを有する通信デー
タを受信したときに、通信データに保持される送信元ド
メインにおける宛先アドレスを中継先ドメインにおける
アドレスに変換するアドレス逆変換部7bと、ドメイン
間接続定義部4の定義に従い、中継の可否を制御する制
御部とを備えたものである。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はパケットの中継装置
に関わり、特に、異なるパケットルーティング規則を持
つため、直接パケットが到達できない通信ネットワーク
同士の接続機能、アドレス変換機能に関する。
【0002】
【従来の技術】(ドメインの概念)従来、ネットワーク
層において、ドメインは以下のように定義されている。
[ドメイン]ドメインとは、ネットワーク層において共
通の経路制御ルールに従いパケットを送信可能な範囲で
ある。なお、異なる経路制御ルールを用いたエリア同士
間では、ドメイン間の中継機能を持つ中継装置を介さな
ければパケットは到達できない。
【0003】以下はそれぞれ異なるドメインの例であ
る。
【0004】企業内網とインターネット:企業内網では
Interior Gateway Protocol(IGP)を用いた独自の経路制
御が行われ、インターネットではExterior Gateway Pro
tocol(EGP)を用いた経路制御が行われる。一般的には企
業内網の経路情報はインターネットに配布されない。
【0005】IPv4ネットワークとIPv6ネットワーク:こ
れらは共通の通信メディアにおいて共存あるいは、隣接
可能である。しかし、IPv4ネットワークとIPv6ネットワ
ークとは、異なるネットワーク層アドレス体系を持つた
め、経路情報に互換性がない。このため、IPv4ネットワ
ークとIPv6ネットワークとは、異なる経路制御プロトコ
ルにより管理される。
【0006】IPネットワークとアップルトークネットワ
ーク:これらはネットワーク層プロトコルとして、各々
IP、アップルトーク(米国アップル・コンピュータ社の
プロトコル)を用いたネットワークである。これらのア
ドレス体系、経路情報に互換性は無い。このため、IPネ
ットワークとアップルトークネットワークとは、異なる
経路制御ルールにより管理される。 (同一ネットワーク層プロトコルにおけるドメイン)異
なるネットワーク層プロトコルで運用される各ネットワ
ークは、上記の例で示したように、経路情報に互換性が
ないために、異なるドメインに分割される。
【0007】一方、同一ネットワーク層プロトコルで運
用される複数のネットワークは、経路情報に互換性があ
るため、これらのネットワークを一つのドメインにまと
めることは原理的には可能である。しかし、実際には、
このようなネットワークが、意図的に複数のドメインに
分割されることがある。このように同一ネットワーク層
プロトコルで運用される複数のネットワークを複数のド
メインに分割する理由を以下に例示する。 (例1)独立に運用していた複数のネットワークを接続
すると、各ネットワーク内では一意であるように割り振
ったネットワーク層アドレスが一意性を失い、経路情報
が破綻する場合がある。このような事態を避けるため、
各ネットワークが別々のドメインとして定義され、定義
されたドメイン同士が接続される。このようにして、各
ドメイン内でネットワーク層アドレスを独立に割り振る
ことが可能になる。 (例2)あるネットワーク1について、外部ネットワー
クからの侵入に対するセキュリティを強化したい場合、
ネットワーク1と外部ネットワークとが、別々のドメイ
ンとして分割される。これにより、経路情報などのネッ
トワーク1内の情報を外部ネットワークから隠蔽できる
ので、外部ネットワークからのネットワーク1への接続
が遮断される。 (ネットワークの分割管理に対する要求)上記のような
理由により、組織内と組織外とは異なるドメインとして
分割されることが多い。一方、同一組織内では通信の到
達性が優先される。そのため、その組織内で共通の経路
制御ルールに従いネットワークが運用される場合が多
い。
【0008】しかし、同一組織内でも、異なる経路制御
ルールを用いる範囲を定義することで通信の到達性を制
限し、セキュリティや管理上の利便性を優先する場合が
ある。それは、例えば、同一企業グループ内における企
業間ネットワークを構築する場合、同一企業内の特にセ
キュリティを必要とする部門と他の部門とを接続する場
合、同一企業内の関連子会社間を接続する等の場合であ
る。 (従来の技術)上述のように、従来、ネットワークが同
一のネットワーク層プロトコルで運用される場合でも、
組織内ネットワークと組織外ネットワークとは異なるド
メインとして分割され、同一組織内は、通信の到達性を
優先して共通のドメインとされることが多い。従って、
同一ネットワーク層プロトコルが用いられているネット
ワーク上に必要なドメインは、組織内と組織外の高々二
つであった。
【0009】以下で、組織内のネットワークと組織外ネ
ットワークとを別のドメインとして管理する場合の、組
織内と組織外の間に位置する中継装置(以下中継装置1
と記す)におけるパケットの中継手順を記す。
【0010】まず、中継の前提条件を示す。 [条件1]組織内網の各ノード(通信装置)は、組織外
ノードの名前からそのノードのネットワーク層アドレス
を獲得する手段などにより、接続を希望する組織外ノー
ドのネットワーク層アドレスを獲得可能である。 [条件2]組織内網の各ノードは、組織内で交換する経
路情報に、組織内に割り振られたネットワーク層アドレ
ス以外を宛先とするパケットの経路中に中継装置1を含
める。すなわち、組織内網の各ノードは、組織外のノー
ドへの経路には中継装置1が含まれることを予め知って
いる。 [条件3]組織外網の各ノードは、組織内ノードの代理
ホストとなる中継装置1への経路情報を予め知ってい
る。この経路情報は、中継装置1の組織外網上のネット
ワーク層アドレスを宛先とする。
【0011】このような場合、中継装置1は、以下のよ
うに動作していた。 [動作1]第1は、中継装置1が、組織内から組織外の
ネットワーク層アドレスを宛先とするパケットを受信し
た場合である。この場合、まず、中継装置1は、このパ
ケットの送信元アドレスを組織内ノードの代理ホストと
して振舞うために中継装置1に用意したネットワーク層
アドレスに変換する。
【0012】ここでパケットのアドレスAをアドレスB
に変換するとは、パケットが保持すするアドレスAをア
ドレスBに書き換えることをいう(以下同様である)。
【0013】次に、中継装置1は、このパケットを組織
外に送信する。これにより、このパケットは、上記代理
ホストを送信元として送出される。 [動作2]第2は、中継装置1が組織外から組織内ノー
ドの代理ホスト用アドレスを宛先とするパケットを受信
した場合である。この場合、まず、中継装置1は、該パ
ケットに付与された宛先アドレスを代理ホスト用のネッ
トワーク層アドレスから組織内ノードのネットワーク層
アドレスに変換する。次に、中継装置1は、組織内にパ
ケットを中継する。これにより、このパケットは、組織
内ノードを宛先として組織内に中継される。
【0014】以上で組織内外の二つのドメインを分割す
る中継装置1の動作を述べた。
【0015】しかし、組織内外の定義以外に、組織内に
も複数のドメインを定義したい場合がある。このような
場合、従来の中継装置は、組織内と組織外という区分以
外のドメインを認識できなかった。そのため、多数のド
メイン(またはネットワーク)が、上記[条件1]から
[条件3]における組織としての条件を満たす場合で
も、中継装置は、これらのドメイン対ごとに接続ルール
を決定し、その接続ルールに従いドメイン間のパケット
の中継を行うような動作はできなかった。
【0016】
【発明が解決しようとする課題】本発明はこのような従
来の技術の問題点に鑑みてなされたものであり、多数の
ドメイン(またはネットワーク)が、上記[条件1]か
ら[条件3]における組織としての条件を満たす場合、
これらのドメインを定義・管理し、セキュリティや保守
の独立性を確保した上で、ドメイン間の制限的な接続機
能を提供することを技術的課題とする。
【0017】
【課題を解決するための手段】本発明は前記課題を解決
するために、以下の手段を採用した。
【0018】本発明は、各々1以上の通信装置を接続し
た、そのような2以上のネットワークを中継する通信デ
ータ中継装置であって、ネットワークにアクセスするた
めの2以上のインターフェース部と、1以上のネットワ
ークを接続したシステムとしてのドメインを定義するド
メイン定義部と、2以上のドメイン間における接続の可
否を定義するドメイン間接続定義部と、通信データの中
継先を決定する経路処理部と、異なるドメイン間で通信
データを中継するときに、その通信データに保持された
送信側ドメインにおける送信元アドレスを中継先ドメイ
ンにおけるプロキシホストアドレスに変換するアドレス
変換部と、宛先アドレスフィールドに前記プロキシホス
トアドレスを有する通信データを受信したときに、通信
データに保持される送信元ドメインにおける宛先アドレ
スを中継先ドメインにおけるアドレスに変換するアドレ
ス逆変換部と、ドメイン間接続定義部の定義に従い、2
以上のドメイン間における中継の可否を制御する制御部
とを備えたものである。
【0019】ここで、ドメインとは、1以上のネットワ
ークを接続したシステムであって、本通信データ中継措
置が中継する対象をいう。中継の可否を制御するとは、
例えば、ドメイン間接続定義部の定義に従って、ドメイ
ン間の接続が許可されている場合には中継し、ドメイン
間の接続が許可されていない場合には中継しないことを
いう。
【0020】送信側ドメインとは、中継装置によって中
継される2つのドメインのうち、送信側に位置するドメ
インをいう。また、中継先ドメインとは、中継装置によ
って中継される2つのドメインのうち、宛先側に位置す
るドメインをいう。
【0021】また、ドメイン定義部は、ドメインを、そ
のドメインに接続されるインターフェース部を識別する
情報によって定義してもよい。
【0022】また、ドメイン定義部を、各ドメインごと
に、そのドメインに含まれるネットワークを識別するア
ドレス(またはそのドメインに含まれるネットワークに
接続される通信装置を識別するアドレス)によって定義
してもよい。
【0023】また、制御部は、通信データを受信したイ
ンターフェース部に対応付けられるドメインと、その通
信データの送信元アドレスへの経路に接続されるインタ
ーフェースユニットに対応付けられるドメインとが、異
なる場合に、その通信データを廃棄してもよい。
【0024】
【発明の実施の形態】以下、本発明の好適な実施の形態
を図面を参照して説明する。 (第1実施形態)本発明の第1実施形態を図1から図8
の図面に基づいて説明する。
【0025】図1は、本実施形態に係るネットワークの
構成図であり、図2は、複数のネットワークを接続する
中継装置1のハードウェア構成図であり、図3は、この
中継装置1の機能構成図であり、図4は、図2に示した
中継装置1のCPU14で実行される制御プログラムの
フローチャートであり、図5から図8は、この制御プロ
グラムを実行する際にCPU14が使用するテーブルの
データ構造を示す図である。 <ネットワーク構成>図1に、第1実施形態に係るネッ
トワークの構成図を示す。このネットワークは、サービ
スプロバイダの提供する企業外ネットワークISP−1
(以下ISP−1と略す、ISP−2も同様)と、中継
装置1に中継される企業内ネットワークLAN−1(以
下LAN−1と略す、LAN−2も同様)及びLAN−
2と、インターネットとを含んでいる。 [ISP−1]ISP−1は、サービスプロバイダが提
供する企業外ネットワークである。ISP−1のネット
ワークを識別するネットワークアドレスは、140.2.100.
0/24である。ISP−1には、ルータAを介してインタ
ーネットが接続されている。このルータAは、ISP−
1において、アドレス140.2.100.180によって識別され
る。 [ISP−2]ISP−2は、サービスプロバイダが提
供する企業外ネットワークである。ISP−2のネット
ワークを識別するネットワークアドレスは、200.2.100.
0/24である。ISP−2も、ルータC2を介してインタ
ーネットに接続されている。 [LAN−1]LAN−1は、関連会社1の企業内ネッ
トワークである。LAN−1のネットワークを識別する
ネットワークアドレスは、133.160.5.0/24である。LA
N−1は、ISP−1経由でインターネットに接続され
ている。 [LAN−2]LAN−2は、関連会社2の企業内ネッ
トワークである。LAN−2のネットワークを識別する
ネットワークアドレスは、10.25.60.0/24である。LA
N−2は、ルータC1を介してISP−2に接続されて
いる。このISP−2は、関連会社2が独自に契約した
サービスプロバイダが提供するネットワークである。
【0026】また、ルータC1は、LAN−2におい
て、アドレス10.25.60.180によって識別される。さら
に、LAN−2は、ISP−2を経由してインターネッ
トに接続されている。
【0027】中継装置1は、ドメイン間を接続するため
の論理インターフェース(インターフェース部に相当)
として、IF−0、IF−1、及びIF−2を備えてい
る。上記ネットワークに対して、中継装置1では、以下
のようなドメインが定義されている。 [ドメインA]ドメインAは、ISP−1及びインター
ネットからなる。また、ドメインAは、論理インターフ
ェースIF−0を介して中継される。IF−0のネット
ワークISP−1におけるアドレスは、140.2.100.1で
ある。 [ドメインB]ドメインBは、LAN−1からなる。ま
た、ドメインBは、論理インターフェースIF−1を介
して中継される。IF−1のネットワークLAN−1に
おけるアドレスは、133.160.5.1である。 [ドメインC]ドメインCは、LAN−2からなる。た
だし、上述のようにLAN−2はインターネットに接続
されている。また、ドメインCは、論理インターフェー
スIF−2を介して中継される。IF−2のネットワー
クLAN−2におけるアドレスは、10.25.60.1である。
【0028】本第1実施形態では、中継装置1経由の通
信の接続ポリシを以下のように想定する。 (1)関連会社1(LAN−1)からISP−1への接
続、及びISP−1経由でのインターネットへの接続は
許可される。 (2)関連会社1(LAN−1)から関連会社2(LA
N−2)への接続は許可される。 (3)他のドメイン間接続は全て非許可とする。以下、
このような接続を実現する中継装置1の構成と、その処
理とについて説明する。 <中継装置1のハードウェア構成>図2に本実施形態に
係る中継装置1のハードウェア構成図を示す。
【0029】この中継装置1は、制御プログラムやデー
タを記憶するメモリ13と、メモリ13に記憶された制
御プログラムを実行するCPU14(制御部に相当)
と、CPU14から制御されて他の通信装置と通信する
複数の物理インターフェース15a、15b、15c等
とを備えている。
【0030】メモリ13は、CPU14が実行する制御
プログラムやCPU14が処理するデータを記憶する。
【0031】CPU14は、メモリ13に記憶された制
御プログラムを実行し、中継装置1としての機能を提供
する。
【0032】物理インターフェース15a、15b、1
5cは、CPU14からの指令により通信データをネッ
トワーク10に送出し、またはネットワークから通信デ
ータを受信する。 <機能構成>図3に中継装置1の機能構成を示す。中継
装置1の機能は、メモリ13に記憶されるドメイン定義
テーブル2(ドメイン定義部に相当)、ドメイン間接続
定義テーブル4(ドメイン間接続定義部に相当)、アド
レス変換テーブル7、及び経路情報テーブル10(経路
情報記憶部に相当)と、CPU14の制御プログラムと
して実行されるドメイン定義手段2a、ドメイン間接続
判定手段4a、アドレス変換手段7a及びアドレス逆変
換手段7bによって提供される。 [ドメイン定義テーブル2]ドメイン定義テーブル2
は、ドメインと1以上の論理インタフェースIF−0等
とを対応付けるテーブルである。論理インターフェース
とは、中継装置1の制御プログラムが各ドメインと通信
する際のインターフェースの識別情報である。本第1実
施形態では、論理インターフェースは、図2に示した物
理インターフェース15a、15bまたは15cのいず
れかを通じてドメインに接続される論理的な端子を示し
ている。
【0033】図5に図1のネットワーク構成に対するド
メイン定義テーブル2の設定内容を示す。図5のよう
に、ドメインA、B及びCは、各々通信の論理インター
フェース番号IF−0、IF−1及びIF−2によって
定義される。すなわち、中継装置1は、論理インターフ
ェースIF−0、IF−1及びIF−2を介する通信デ
ータを、各々ドメインA、B及びCに含まれるノードと
の通信データとして中継する。 [ドメイン間接続定義テーブル4]ドメイン間接続定義
テーブル4には、複数のドメインのうち、任意の一組の
ドメイン毎の通信可否、及び通信が許可されているドメ
イン間の接続時に用いられるアドレス変換手法が定義さ
れる。ドメイン間接続定義テーブル4は、ドメイン定義
手段2aを用いて設定される。
【0034】図6に、図1のネットワークにおけるドメ
イン間接続定義テーブル4の定義を示す。
【0035】図6で、「N]はNAT(IP Network Addres
s Translator)を施して接続を許可することを示す。NA
Tとはアドレス変換機能の一種である。
【0036】中継装置1が、例えば、一つのドメインA
から他のドメインBへのパケット(これをパケット1と
する)を中継するときに、中継装置1は、NATによ
り、送信元のIPアドレス(これをA1とする)をドメ
インBに属する中継装置1上のIPアドレス(これをB
1とする)に置き換えて、パケット1を中継する。
【0037】また、中継装置1が、上記パケット1への
応答である、ドメインBから上記IPアドレスB1へ宛
てたパケット2を受信したときに、中継装置1は、NA
Tにより、宛先のIPアドレスB1をドメインAに属す
るアドレスA1(パケット1の送信元)に置き換えて、
パケット2を中継する。
【0038】このようにして、ドメインBにおいて、中
継装置1は、ドメインBに属するIPアドレスを有する
ホストに対してプロキシとして振舞う。
【0039】図6で、「×」は接続非許可を示す。ま
た、「−」はパケットのフォワード処理による通常の接
続(同一ドメイン内接続)を示す。 [アドレス変換テーブル7]アドレス変換テーブル7
は、送信元ドメインにおけるアドレス変換前の送信元の
IPアドレスと、宛先ドメインにおけるアドレス変換後
のIPアドレスとを対応付けるテーブルである。図7
に、本実施形態におけるアドレス変換テーブル7の登録
内容の例を示す。 [経路情報テーブル10]経路情報テーブル10には、
宛先IPアドレスから、そのIPアドレス宛てパケット
が次にフォワードされるべきアドレス(次ホップアドレ
スという)とそのパケットが送出されるべき論理インタ
ーフェースとの対への対応付けが定義される。この経路
情報テーブル10を参照して、中継先を決定するCPU
14の機能が経路処理部に相当する。
【0040】図8に、本実施形態における経路情報テー
ブル10の構成を示す。図8のように、この経路情報テ
ーブル10は、宛先IPアドレス、ネットマスク、次ホ
ップノードのIPアドレス(中継先に相当)、及び送信
論理インターフェースが含まれている。
【0041】図8において、「次ホップノードのIPアド
レス」における「−」は、宛先ネットワークが物理イン
タフェース15a等から直接到達可能であることを示
す。
【0042】また、図8において、「宛先IPアドレス」
を「0.0.0.0」とするエントリは、デフォルトルートを
示している。このデフォルトルートとは、経路情報テー
ブル10を検索した結果、宛先IPアドレスが他のいず
れのエントリにも合致しないパケットに対する中継先を
示す。
【0043】なお、ISP-1に接続されたインターネット
とISP-2に接続されたインターネットの両方を中継装置
1が意識すると経路情報が混乱する。そこで、中継装置
1はドメインCの経路情報として、LAN-2の経路情報の
みを認識するように設定される。
【0044】また、中継装置1は、中継装置1に接続さ
れた全ドメイン(ドメインA,B,C)の情報を、経路
情報テーブル10のように予め知っているものとする。
また、ドメイン間接続定義テーブル4では、ドメインB
からドメインAへの通信及びドメインBからドメインC
への通信を許可している。この場合、ドメインBは、中
継装置1から経路情報テーブル10を経路情報として得
ることにより、予めドメインA、Cの経路情報を知って
いるものとする。 [ドメイン定義手段2a]ドメイン定義手段2aは、論
理インタフェースIF−0、IF−1、IF−2等とド
メインとを対応付けるドメイン定義テーブル2、及びド
メイン間の接続を定義するドメイン間接続定義テーブル
4を定義する際に使用される。このドメイン定義手段2
aは、制御プログラムの一機能であり、ユーザがネット
ワークを介して中継装置1のCPU14にログインする
と実行される。ドメイン定義手段2aは、起動される
と、ネットワークを介してユーザの端末画面に不図示の
ドメイン定義テーブル設定画面及び不図示のドメイン間
接続定義テーブル設定画面を表示し、ユーザに設定を促
す。 [ドメイン間接続判定手段4a]ドメイン間接続判定手
段4aは、複数のドメインのうち、任意の一組のドメイ
ン毎の通信可否を判定し、接続時に用いるアドレス変換
手法を決定する。ドメイン間接続判定手段4aは、CP
U14で実行される制御プログラムの機能として実現さ
れる。 [アドレス変換手段7a]アドレス変換手段7aは、ア
ドレス変換テーブル7に基づいて、パケットを中継する
ときに、パケットヘッダ内の送信元アドレスを変換す
る。
【0045】変換前の送信元アドレスがアドレス変換テ
ーブル7に定義されていない場合には、アドレス変換手
段7aは、その送信元アドレスに対する定義をアドレス
変換テーブル7に追加する。
【0046】すなわち、アドレス変換手段7aは、送信
元ドメインから到着したパケットの送信元アドレスに対
し、宛先側ドメインで使用可能な、本装置でプールして
ある宛先ドメイン内のアドレスを対応付ける。
【0047】さらに、アドレス変換手段7aは、送信元
ホストから宛先ホストへ中継するための変換規則とし
て、このアドレスの対応付けをアドレス変換テーブル7
に書き込む。
【0048】ここで、送信元ホストとは、中継されるパ
ケットの送信元アドレスを有するホストである。また、
宛先ホストとは、中継されるパケットの宛先アドレスを
有するホストである。 [アドレス逆変換手段7b]アドレス逆変換手段7b
は、パケットをアドレス変換テーブル7に記述された方
向と逆方向にパケットを送信するときに、パケットヘッ
ダに保持される宛先アドレスを送信元ドメインにおける
プロキシホストのアドレスから宛先ドメインにおいて使
用可能なアドレスに変換する。
【0049】すなわち、アドレス逆変換手段7bは、変
換後IPアドレスのフィールドの値がそのパケットに保
持された宛先アドレスフィールドの値と同一のエントリ
をアドレス変換テーブル7において検索する。そして、
アドレス逆変換手段7bは、パケットの宛先フィールド
をそのエントリに含まれる変換前IPアドレスと置き換
える。
【0050】アドレス変換手段7aは、CPU14で実
行される制御プログラムの機能として実現される。 [パケット受信手段8]パケット受信手段8は、論理イ
ンターフェースIF−0、IF−1、IF−2等を監視
し、パケットを受信する。パケット受信手段8は、CP
U14で実行される制御プログラムの機能として実現さ
れる。 [パケット送信手段9]パケット送信手段9は、経路情
報テーブル10を参照し、論理インターフェースIF−
0、IF−1、またはIF−2を通じてパケットの送信
を指令する。パケット送信手段9は、CPU14で実行
される制御プログラムの機能として実現される。
【0051】以上の手段を用いた動作について、以下に
示す。
【0052】中継装置1がネットワーク層パケットを受
信すると、中継装置1は、アドレス変換手段7aによっ
て、アドレス変換テーブル7を検索する。アドレス変換
テーブル7に、その送信元アドレスが存在した場合は、
中継装置1は、アドレス変換テーブル7に登録された変
換前アドレス/変換後アドレスに従い、送信元アドレス
を変換する。
【0053】アドレス変換テーブル7に、その送信元ア
ドレスが存在しない場合には、中継装置1は、逆アドレ
ス変換手段7bを使用する。すなわち、中継装置1は、
アドレス変換テーブル7において、変換後IPアドレス
のフィールドの値がパケットに保持された宛先アドレス
フィールドの値と同一のエントリを検索する。
【0054】そのようなエントリが存在した場合には、
中継装置1は、このパケットを応答パケットであると判
断する。そして、中継装置1は、アドレス逆変換を行
う。すなわち、パケットの宛先アドレスフィールドの値
を、上記エントリに保持された変換前IPアドレスで置
き換える。
【0055】変換前情報と、変換後情報を置き替えて検
索しても、アドレスがアドレス変換テーブル7で検出で
きない場合には、中継装置1は、このパケットの送信元
から受信先へのドメインをまたがる通信はまだ行われた
ことが無いと判断する。そこで、中継装置1は、本パケ
ットがドメインをまたがる通信かどうかを調べる。先
ず、中継装置1は、フレームに付帯する情報(送信元ア
ドレス/宛先アドレスや受信論理インタフェース、送信
論理インタフェース等)に基づき送信元ドメインと宛先
ドメインとを決定する。
【0056】送信元ドメインと宛先ドメインが異なる場
合は、中継装置1は、ドメイン間接続判定手段4aによ
り、ドメイン間接続定義テーブル4を参照し、宛先ドメ
インへ中継するかどうか、及びどのアドレス変換手法を
用いるかを決定する。この結果に基づき、中継装置1
は、変換前の送信元アドレス、変換後の送信元アドレス
の対応関係をアドレス変換テーブル7へ登録する。
【0057】以上の動作により、中継装置1に接続され
た異なる様々なドメイン間の中継が可能となる。 <作用・効果>図4のフローチャートに、この中継装置
1の動作を示す。中継装置1のCPU14は、メモリ1
3に記憶した制御プログラムを実行し、中継装置1の機
能を提供する。
【0058】まず、ドメインB上のホストb(IPアドレ
ス133.160.5.2)から、ドメインC上にあるホストc(I
Pアドレス10.25.60.99)にパケットを中継する際の処理
について説明する。ドメインBからドメインCへの接続
については、ドメイン間接続定義テーブル4によりNAT
処理を施して接続することが許可されているため(図
6)、本パケットの処理は以下のようになる。
【0059】1.{送信元IPアドレス、宛先IPアドレス}
の対を{133.160.5.2、10.25.60.99}とするパケットに
ついて、中継装置1は、パケットの宛先IPアドレスが中
継装置1の論理インタフェースと対応する場合、本パケ
ットが中継装置1宛であると判断し、該論理インタフェ
ースでパケットを受信する。しかし、本動作例ではパケ
ットの宛先IPアドレスが中継装置1の論理インタフェー
スと対応しない。そのため、中継装置1は、フレームを
受信した物理インタフェース上の、フォワード可能な論
理インタフェースIF−1からパケットを受信する(ス
テップS1、以下S1と略す)。
【0060】2.次に中継装置1は、 アドレス変換テー
ブル7中で、パケットの送信元IPアドレス「133.160.5.
2」が変換前IPアドレスと一致するエントリを検索す
る。この検索がヒットした場合(S2の判定でヒットの
場合)、中継装置1はパケットの送信元IPアドレスをア
ドレス変換テーブル7中の変換後IPアドレス「10.25.6
0.2」で置換する(S3)。
【0061】3. 中継装置1は、経路情報テーブル10
から宛先IPアドレス「10.25.60.99」をキーとして検索
する(経路選択処理)。その結果、中継装置1は、送信
論理インタフェースとしてIF−2を獲得するととも
に、本パケットを次に送る宛先ノードはIF−2から直
接到達可能であることを知る(S4)。以上の結果、中
継装置1は、このIF−2を介して、宛先ノードに対し
パケットを送信する(S5)。
【0062】4. アドレス変換テーブル7の検索がヒッ
トしなかった場合(S2の判定でミスヒットの場合)、
中継装置1は、アドレス変換テーブル7において、変換
後IPアドレスのフィールドの値がパケットに保持され
た宛先アドレスフィールドの値と同一のエントリを検索
する(S6)。
【0063】5. このパケットは返信パケットではない
ので、アドレス変換テーブル7の変換後IPアドレスの
フィールドの値がパケットに保持された宛先アドレスフ
ィールドの値と同一であるようなエントリの検索はヒッ
トしない(S6の判定でミスヒットの場合)。
【0064】そこで、このパケットに指定のドメインを
またがる通信はまだ行われていないことが分かる。その
場合、中継装置1は、このパケットにドメインをまたが
る宛先が指定されているか否かを以下のように調べる。
【0065】まず、中継装置1は、装置内の経路情報テ
ーブル10を宛先IPアドレス「10.25.60.99」をキーと
して検索する(経路選択処理)。その結果、中継装置1
は、送信論理インタフェースとしてIF−2を獲得する
とともに、本パケットを次に送る宛先ノードはIF−2
から直接到達可能であることを知る(S7)。
【0066】6. 次に、中継装置1は、ドメイン定義テ
ーブル2を参照することにより、受信論理インタフェー
スIF−1と送信論理インタフェースIF−2に対応す
るドメインとして、送信ドメインBと受信ドメインCを
獲得する(S8)。
【0067】7.次に中継装置1は、受信ドメインと送信
ドメインとが同一か否かを判定する(S9)。受信ドメ
インと送信ドメインとが異なる場合には(S9の判定で
NOの場合)、中継装置1は、このパケットがドメインを
またがるものであると判断する。
【0068】そこで、中継装置1は、ドメイン間接続定
義テーブル4を参照して(S10)、ドメインBからド
メインCへの接続の可否を判定する(S11)。本実施
例では、ドメインBからドメインCへの接続ポリシはNA
Tによる接続であるため(S11)、中継装置1は、本
パケットに対してNAT処理を施す(S12)。次に、中
継装置1は、アドレス変換テーブル7に変換前アドレス
と変換後アドレスの対応を登録し(S13)、その後、
本論理インタフェースIF−2から送信する(S5)。
【0069】以上の手順により、中継装置1はドメイン
BからドメインCへのパケットの中継を行う。なお、S
9の判定で、受信ドメインと送信ドメインとが一致する
場合には(S9の判定でYESの場合)、中継装置1は、
送信論理インターフェースからそのままパケットを送出
する(S5)。
【0070】次に、このパケットに対する応答パケット
がホストcから帰ってきたときの動作を示す。
【0071】8. {送信元IPアドレス、宛先IPアドレ
ス}の対を{10.25.60.99、10.25.60.2}とするパケッ
トについて、パケットの宛先IPアドレスが中継装置1の
論理インタフェースと対応する場合には、中継装置1
は、本パケットが中継装置1宛であると判断し、該論理
インタフェースでパケットを受信する。しかし、受信し
たパケットの宛先IPアドレスが中継装置1の論理インタ
フェースと対応しないため、中継装置1は、フレームを
受信した物理インタフェース上の、フォワード可能な論
理インタフェースIF−2からパケットを受信する(S
1)。
【0072】9. 次に中継装置1は、アドレス変換手段
7aにより、アドレス変換テーブル7中で、パケットの
送信元IPアドレス「10.25.60.99」が変換前IPアドレス
と一致するエントリを検索する(S2)。
【0073】この場合、検索はヒットしないため、中継
装置1は、アドレス変換テーブル7において、変換後I
Pアドレスのフィールドの値がパケットに保持された宛
先アドレスフィールドの値と同一のエントリを検索する
(S6)。この2回目の検索はヒットするので、中継装
置1は、検索結果に従い、パケットの宛先IPアドレスフ
ィールド(値は「10.25.60.2」)をアドレス変換テーブ
ル7中の変換前IPアドレスのフィールド(値は「133.16
0.5.2」)で置換する(S15)。
【0074】10. 次に中継装置1は、装置内の経路情報
テーブル10から宛先IPアドレス「133.160.5.2」をキ
ーとして検索する(経路選択処理)。その結果送信先の
論理インタフェースとしてIF−1を獲得するととも
に、本パケットを次に送る宛先ノードはIF−1から直
接到達可能であることを知る(S4)。さらに、中継装
置1は、このIF−1を介して、パケットの送信処理を
行う(S5)。
【0075】以上の処理により、ドメインCからドメイ
ンBへのパケットの中継を行う。
【0076】以上の(1)〜(10)の動作をすることに
より、中継装置1は、ドメインBからドメインCへの通
信を可能とする。
【0077】なお、ドメインBがドメインA、Cの経路
情報を知っているものとすることは先に述べたが、これ
は以下のa)またはb)のいずれかにより実現される。 a)中継装置1が、以下の11.(A)〜(C)の基準に基づ
き、経路情報を各ドメインと交換している。 b)各ドメイン内で、経路情報を以下の11.(A)〜(C)の
基準に基づき設定している。 11. ドメイン間の接続定義がドメイン間接続定義テーブ
ル4のような設定の場合、ドメイン定義テーブル2にて
定義されている各ドメインA、B、Cに必要な経路情報
の決定基準を以下に示す。
【0078】A)ドメインAの経路情報の決定基準:ド
メインAからの接続を許可するドメインは、ドメインA
のみであるため、経路情報テーブル10に登録された経
路情報のうちでドメインAに通知される経路情報は、送
信論理インタフェースがIF−0である経路情報のみで
ある。なお、中継装置1はドメインAとは経路情報の交
換が可能である。
【0079】B)ドメインBの経路情報の決定基準:ド
メインBからの接続を許可するドメインは、ドメイン
A,C、及びドメインB自身であるため、経路情報テー
ブル10に登録された経路情報のうちでドメインBに通
知される経路情報は、基本的に経路情報テーブル10の
すべてである。但し、インターネット上の全経路情報を
企業内ネットワーク内に流すと、情報量が多くなって、
経路情報テーブル10が破綻する。そこで、企業内ネッ
トワークには企業外の情報としては、デフォルトルート
(宛先IPアドレス=0.0.0.0のエントリ)の情報のみが
通常流される。なお、中継装置1はドメインBとは経路
情報の交換が可能である。
【0080】C)ドメインCの経路情報の決定基準:ド
メインCは独自にインターネットと接続しており、ドメ
インA上のインターネットとドメインCに接続されたイ
ンターネットの両方を中継装置1が意識すると経路情報
が混乱する。そのため、中継装置1はドメインCとは経
路情報を交換せずに、ドメインCへの経路情報を静的に
設定する。
【0081】以上により、ドメイン間接続定義テーブル
4で設定したようなドメイン間の接続が可能となる。 <論理インターフェースの変形>上記第1実施形態で
は、中継装置1は、論理インターフェースIF−0、I
F−1、またはIF−2を介して各ドメインと対応付け
られた。しかし、本発明の実施は、このような構成に
は、限定されない。例えば、論理インターフェースIF
−0等を介さず、直接物理インターフェース15a、1
5b、または15cを各ドメインに対応付けてもよい。
この場合は、物理インターフェースがインターフェース
部に相当する。
【0082】このように、物理インターフェース15
a、15b、または15cを各ドメインに対応付けた場
合、フレームを受信した物理インタフェースでパケット
を受信し、送信元のドメインを決定する。 <アドレス変換の変形>上記第1実施形態では図7のよ
うに、アドレス変換テーブル7に変換前IPアドレスと
変換後IPアドレスとを登録した。しかし、本発明の実
施は、アドレス変換テーブル7の構成には限定されな
い。例えば、アドレス変換テーブル7の構成として、パ
ケットヘッダの情報、送受信論理インターフェースに係
る情報、送受信物理インターフェースに係る情報、ある
いは、送受信ドメインに係る情報等を含めてもよい。
【0083】また、上記実施形態では、アドレス変換手
段7aは、送信元ドメインから到着したパケットの送信
元アドレスに対し、宛先側ドメインで使用可能な、本装
置でプールしてある宛先ドメイン内のアドレスを対応付
ける。これに代えて、アドレス変換手段7aが、送信元
ドメインから到着したパケットのヘッダ情報に対し、宛
先側ドメインで使用可能な、本装置でプールしてあるネ
ットワーク層/トランスポート層のヘッダ情報を対応付
けるようにしてもよい。例えば、以下のようなアドレス
変換手段NAPTなどを用いてもよい。 A)アドレス変換時には、パケットの「送信元IPアドレ
ス、送信元ポート番号、宛先IPアドレス、宛先ポート番
号、IPヘッダ中の上位プロトコル番号、変換後送信元
IPアドレス、変換後送信元ポート番号」の組をアドレス
変換テーブル7に記憶し、「送信元IPアドレス、送信元
ポート番号、宛先IPアドレス、宛先ポート番号、IPヘ
ッダ中の上位プロトコル番号」の組がパケットのそれと
一致するエントリを検索して、パケットの「送信元IPア
ドレス、送信元ポート番号」をアドレス変換テーブル7
中の「変換後送信元IPアドレス、変換後送信元ポート番
号」で置換して論理インタフェースからパケットを送信
する。 B)アドレス逆変換時には、パケットの「宛先IPアドレ
ス、宛先ポート番号、送信元IPアドレス、送信元ポート
番号、IPヘッダ中の上位プロトコル番号」がアドレス
変換テーブル7中の「変換後送信元IPアドレス、変換後
送信元ポート番号、宛先IPアドレス、宛先ポート番号、
IPヘッダ中の上位プロトコル番号」の組と一致するエ
ントリを探して、ヒットした場合にパケットの「宛先IP
アドレス、宛先ポート番号」をアドレス変換テーブル7
中の「送信元IPアドレス、送信元ポート番号」で置換し
て論理インタフェースからパケットを送信する。 <その他の変形例>上記第1実施形態では、ネットワー
ク層のアドレスとして、IPアドレスを用いるネットワ
ークにおいて本発明を実施する例を説明した。しかし、
本発明の実施は、IPによるネットワークに限定される
ものではない。例えば、IPXを用いたネットワークの
中継においても本発明を実施をできる。
【0084】上記第1実施形態では、ドメインと各論理
インターフェースIF−0等を対応付けるドメイン定義
テーブル2を使用した。しかし、本発明の実施は、ドメ
インを定義する情報の構造には限定されない。例えば、
テーブルではなく、論理インタフェースごとにドメイン
を識別する情報を1以上列記する構造体に、ドメインを
定義する情報を保持してもよい。
【0085】上記第1実施形態では、ドメイン間接続判
定手段4a、アドレス変換手段7a及びアドレス逆変換
手段7bをCPU14の制御プログラムとして構成し
た。しかし、本発明の実施は、このような構成には限定
されない。例えば、これらの処理を実行する専用LSI
を用いてもよい。
【0086】上記実施形態では、ドメイン定義テーブル
2及びドメイン間接続定義テーブル4の内容を定義する
ため、ドメイン定義手段2aを用いた。しかし、本発明
の実施において、ドメイン定義手段2aは必須の構成要
素ではない。例えば、中継装置1が、特定のノード(サ
ーバ)のハードディスク上からドメイン定義テーブル2
及びドメイン間接続定義テーブル4の内容を読み取るよ
うにすれば、ドメイン定義手段2aは使用しなくてもよ
い。 (第2実施形態)上記第1実施形態では、ドメイン定義
テーブル2を各ドメインと、そのドメインに接続される
論理インターフェースIF−0等とによって定義した。
本第2実施形態では、ドメイン定義テーブル2を各ドメ
インと、そのドメインに含まれるネットワークのアドレ
スとによって定義する例を示す。
【0087】図9は、この場合のドメイン定義テーブル
2の定義例である。これら以外の構成については、第2
実施形態は、第1実施形態と同様である。そのため、他
の構成については、図1から図4あるいは図6から図8
の図面を参照して説明する。 <構成>図9にドメイン定義テーブル2の定義例を示
す。図9のように本第2実施形態では、ドメイン定義テ
ーブル2は、IPアドレス、ネットマスク、及びドメイ
ンを識別する情報を有している。例えば、ドメインA
は、IPアドレスが140.2.100.0でネットマスクが255.2
55.255.0であるネットワークを有している。ドメインが
複数のネットワークを含む場合には、この関係(そのネ
ットワークのIPアドレス、ネットマスク、及びドメイ
ンAを識別する情報)がドメイン定義テーブル2に列記
される。
【0088】また、図9の最下段において、IPアドレ
スが0.0.0.0であるエントリが定義されている。これ
は、この定義部分より上段のエントリで定義されたIP
アドレスのいずれにも該当しないパケットのアドレス
は、すべてドメインAに属することを意味する。 <作用・効果>上記のように本第2実施形態は、ドメイ
ン定義テーブル2の構成以外は、第1実施形態と同様で
あるので、中継装置1の処理は、図4によって示され
る。以下、中継装置1の処理を説明する。
【0089】1. 第2実施形態においても、中継装置1
は、第1実施形態の1.から5.までと同様の処理を実行す
る。
【0090】2. ただし、第2実施形態では、第1実施
形態の6.のように論理インタフェースによりドメインを
認識する代わりに、中継装置1は、パケットの送信元IP
アドレスと宛先IPアドレスとから、送信元ドメインBと
宛先ドメインCを得る(S8)。
【0091】3. さらに、中継装置1は、第1実施形態
の7.から10.までと同様の処理を実行する。
【0092】なお、第1実施形態と同様、ドメインBは
ドメインA、Cの経路情報を知っているものとする。こ
れは以下のc)またはd)のいずれかにより実現され
る。 c)中継装置1が、以下の12.(A)〜(C)の基準に基づ
き、経路情報を各ドメインと交換している。 d)各ドメイン内で、経路情報を以下の12.(A)〜(C)の
基準に基づき設定している。
【0093】12. ドメイン間の接続定義がドメイン間接
続定義テーブル4のような設定の場合、ドメイン定義テ
ーブル2にて定義されている各ドメインA、B、Cに必
要な経路情報の決定基準は以下の通りである。
【0094】A)ドメインAの経路情報の決定基準:ド
メインAからの接続を許可するドメインは、ドメインA
のみであるため、経路情報テーブル10に登録された経
路情報のうちでドメインAに通知される経路情報は、宛
先IPアドレスがドメインAに含まれる経路情報のみであ
る。なお、中継装置1はドメインAとは経路情報の交換
が可能である。
【0095】B)ドメインBの経路情報の決定基準:ド
メインBからの接続を許可するドメインは、ドメイン
A、C、及びドメインB自身であるため、経路情報テー
ブル10に登録された経路情報のうちでドメインBに通
知される経路情報は、基本的には経路情報テーブル10
の全てである。但し、インターネット上の全経路情報を
企業内ネットワーク内に流すと、情報量が多くなり、経
路情報テーブル10が破綻する。そこで、企業内ネット
ワークには企業外の情報としては、デフォルトルート
(宛先IPアドレス=0.0.0.0のエントリ)の情報のみが
通常流される。なお、中継装置1はドメインBとは経路
情報の交換が可能である。
【0096】C)ドメインCの経路情報:ドメインCは
独自にインターネットと接続しており、ドメインA上の
インターネットとドメインCに接続されたインターネッ
トの両方を中継装置1が意識すると経路情報が混乱す
る。そこで、中継装置1はドメインCとは経路情報を交
換せずにドメインCへの経路情報を静的に設定する。
【0097】以上により、第1実施形態と同様に、制限
的なドメイン間の接続が可能となる。 <認証サーバとドメイン接続機能の組み合わせ>上記で
説明した制限的にドメイン間を接続する中継装置1を認
証サーバと組み合わせて使用することにより、さらにセ
キュリティを確保したドメイン間の制限的な接続が可能
になる。
【0098】図10に、このようなネットワークの構成
図を示す。
【0099】ドメインを異にする関連会社1のネットワ
ーク31と関連会社2のネットワーク32とは、上記第
2実施形態(または上記第1実施形態)に示した中継装
置1によって接続されている。ただし、ネットワーク3
1とネットワーク32とは、異なるドメインに分割さ
れ、通常、各関連会社1、2は、互いに他の関連会社へ
の経路情報を持たない。
【0100】ここで、関連会社1から関連会社2に出向中
のユーザ30bが、セキュリティを確保した上で、関連
会社1のネットワーク31内のノードにアクセスするた
めのネットワークの接続方法を説明する。
【0101】本来、このユーザはネットワーク31上の
ユーザ30aとしてネットワーク31内のノード33に
経路35によりアクセスしていた。しかし、現在は、こ
のユーザは関連会社2のネットワーク32上のユーザ3
0bとして接続されている。
【0102】この場合、ユーザ30bは、関連会社2上
の認証サーバ34に認証36を依頼する。ユーザ30b
が認証36に成功した場合、サーバ34は、中継装置1
がネットワーク31上のノード33の代理として振る舞
うネットワーク層アドレスAを動的に作成するように中
継装置1に依頼する。サーバ34は、その作成されたネ
ットワーク層アドレスAをユーザ30bに通知する。こ
のネットワーク層アドレスAは、中継装置1によってネ
ットワーク31上のノード33のアドレスに変換され
る。
【0103】従って、ユーザ30bは、この中継装置1
上に動的に作成されたネットワーク層アドレスAに接続
することにより、経路37により関連会社1上のネット
ワーク31との通信可能となる。
【0104】一方、上記認証が成功しない場合には、中
継装置1上のアドレスが通知されないので、ネットワー
ク31のセキュリティが確保される。
【0105】このように、本第2実施形態の中継装置1
と認証サーバ34とを組み合わせることにより、多数の
ネットワーク間で、セキュリティを確保した接続が実現
される。なお、この認証サーバ34と第1実施形態の中
継装置1とを組み合わせても、作用及び効果は本第2実
施形態の場合と同様である。 <その他の変形例>上記第2実施形態では、IPアドレ
スとネットマスクとによって、ドメインに含まれるネッ
トワークを指定することで、ドメイン定義テーブル2を
定義した。しかし、本発明の実施は、このようなドメイ
ン定義テーブル2のネットワークの指定の仕方には限定
されない。例えば、IPアドレスの上限値と下限値によ
り各ドメインに含まれるネットワークを指定してもよ
い。各ドメインに含まれるすべてのノードのIPアドレ
スを列記することでドメインを定義してもよい。
【0106】上記第2実施形態では、ネットワーク層プ
ロトコルとして、IPを使用するネットワークに本発明
を適用する例を示した。しかし、本発明の実施は、中継
装置においてアドレス変換が可能なネットワーク層であ
ればネットワーク層プロトコルの種類には限定されな
い。
【0107】上記第2実施形態では、ドメイン間接続判
定手段4a、アドレス変換手段7a及びアドレス逆変換
手段7bをCPU14の制御プログラムとして構成し
た。しかし、本発明の実施は、このような構成には限定
されない。例えば、これらの処理を実行する専用LSI
を用いてもよい。 (第3実施形態)上記第1実施形態においては、ドメイ
ン定義テーブル2を各ドメインと、そのドメインに接続
される論理インターフェースIF−0、IF−1、IF
−2等とによって定義することで、ドメイン間の制限的
な接続を可能にする例を示した。本第3実施形態におい
ては、このようなドメイン定義テーブル2を用いたドメ
イン間のパケットの中継において、不正なパケットを検
出し、これを廃棄する処理の例を示す。
【0108】図11は、本第3実施形態に係るネットワ
ーク構成図であり、図12は、第3実施形態におけるド
メイン間接続定義テーブル4の設定例であり、図13
は、この場合の中継装置1の機能構成図であり、図14
は、第3実施形態における中継装置1の処理を示すフロ
ーチャートである。第3実施形態の他の構成は、第1実
施形態と同様であるので、同一の構成については同一の
符号を付して、その説明を省略する。 <構成>図11に示すように、第1実施形態の場合と異
なり、ドメインCは独自にインターネットへの接続経路
を持たず、ドメインBと同様にISP−1経由でインタ
ーネット接続されている。
【0109】図12に、この接続ポリシに対するドメイ
ン間接続定義テーブル4の設定を示す。図12のよう
に、ドメインAは、ドメインA自身に対してのみ送信可
能であり、ドメインBは、ドメインB自身の他、ドメイ
ンA及びCに対して送信可能であり、ドメインCは、ド
メインC自身の他、ドメインAに対して送信可能であ
る。
【0110】ここで、仮にドメインBからドメインAに
対し、送信元をドメインCとするパケットが流れた場
合、このパケットは不正パケットであるにも関わらず、
誤ってアドレス変換されてドメインAに送信されてしま
う恐れがある。これを防ぐために、第1実施形態で説明
した処理に加えて、中継装置1が、パケットを受信した
論理インタフェースに対応付けられるドメインと、経路
情報テーブル10によってパケットの送信元アドレスへ
の経路に接続されるインターフェースユニットに対応付
けられるドメインが異なるかどうかを判別する処理を実
行する。そして、この2つのドメインが異なる場合に
は、中継装置1が、そのパケットを廃棄するパケットフ
ィルタ手段12を制御プログラムに備えている。
【0111】経路情報テーブル10は、従来、パケット
の宛先アドレスをそのエントリ中のネットマスクにより
マスクした値と、そのエントリ中の宛先IPアドレスと
が一致するエントリを求め、そのエントリから次ホップ
ノードのアドレスや送信インターフェースを得る場合に
使用される。
【0112】一方、本実施形態の中継装置1では、上記
のような使用方法に加え、経路情報テーブル10の中か
ら、パケットの送信元アドレスをエントリ中のネットマ
スクによりマスクした値と、そのエントリ中の宛先IP
アドレスとが一致するエントリを求め、そのエントリか
ら送信エントリを得る場合に経路情報テーブル10を使
用する。
【0113】図13に、本第3実施形態における機能構
成図を示す。図13の構成は、パケットフィルタ手段1
2が追加されている点を除いて、第1実施形態の機能構
成(図3)と同様である。すなわち、本実施形態では、
パケット受信手段8が受信したパケットを中継する前
に、パケットフィルタ手段12が、不正パケットを廃棄
する。 <作用・効果>図14に、中継装置1のパケットフィル
タ手段12の処理を示す。ここでは、上述のようにドメ
インBに属するノードからドメインAに属するノードに
宛てたパケットが不正であった場合を想定する。このパ
ケットには、ドメインCに属するノードのアドレスが送
信元アドレスとして誤って設定されており、ドメインB
から論理インターフェースIF−1を介して中継装置1
に転送されたものと仮定する。
【0114】1. 中継装置1は、受信パケットの送信元I
Pアドレスを経路情報テーブル10から検索して、そのI
Pアドレスに対応する論理インタフェースIF−0等を
獲得する(S20)。
【0115】この場合、送信元ノードは、ドメインCに
属するので、中継装置1は、経路情報テーブル10から
論理インタフェースIF−2を獲得する。
【0116】2.一方、中継装置1は、第1実施形態で示
したドメイン定義テーブル2(図5)を参照して、上記
論理インタフェースIF−2に対応するドメインCを獲
得する(S21)。
【0117】3. 次に、中継装置1は、このパケットを
実際に受信した論理インタフェースIF−1が属するド
メインBをドメイン定義テーブル2から求める(S2
2)。
【0118】4.次に、中継装置1は、S21で求めた結
果とS22で求めた結果とが一致するか否かを判定する
(S23)。この結果が一致する場合には、このパケッ
トは、アドレス変換手段へ渡される。
【0119】一方、この結果が一致しない場合には、本
パケットはパケットの送信元ドメインが、送信元である
べきドメインとは異なるドメインから送信された不正な
パケットであるので、中継装置1は、これを廃棄する
(S25)。
【0120】以上により、送信元IPアドレスとして不正
な値を持つパケットを、誤って中継することを回避する
ことができる。 <変形例>上記第3実施形態では、ドメイン間接続判定
手段4a、アドレス変換手段7a、アドレス逆変換手段
7b、及びパケットフィルタ手段12をCPU14の制
御プログラムとして構成した。しかし、本発明の実施
は、このような構成には限定されない。例えば、これら
の処理を実行する専用LSIを用いてもよい。
【0121】
【発明の効果】以上説明したように、本発明によれば、
ネットワーク間を中継する通信データ中継装置におい
て、1以上のネットワークを接続したシステムとしての
ドメインを定義するドメイン定義部と、複数のドメイン
間における接続の可否を定義するドメイン間接続定義部
とを備え、ドメイン間接続定義部の定義に従い複数のド
メイン間における中継の可否を制御するので、セキュリ
ティや保守の独立性を確保した上でドメイン間を接続す
ることができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態におけるネットワーク構
成図。
【図2】中継装置1のハードウェア構成図。
【図3】中継装置1の機能構成図。
【図4】中継装置1の処理を示すフローチャート。
【図5】ドメイン定義テーブル2の構造を例示する図。
【図6】ドメイン間接続定義テーブル4の構造を例示す
る図。
【図7】アドレス変換テーブルの構造7を例示する図。
【図8】経路情報テーブル10の構造を例示する図。
【図9】ドメイン定義テーブル2の構造を例示する図。
【図10】認証サーバと中継装置1との組み合わせによ
るネットワークの構成図。
【図11】第3実施形態のネットワーク構成図。
【図12】ドメイン間接続定義テーブル4の構造を例示
する図。
【図13】第3実施形態の中継装置1の機能構成図。
【図14】パケットフィルタ手段12の処理を示すフロ
ーチャート。
【符号の説明】
2 ドメイン定義テーブル 4 ドメイン間接続定義テーブル 7 アドレス変換テーブル 10 経路制御テーブル 13 メモリ 14 CPU
───────────────────────────────────────────────────── フロントページの続き (72)発明者 鶴岡 哲明 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 Fターム(参考) 5K030 HC14 HD03 HD07 HD09 5K033 CB09 DB19 EC04

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】1以上の通信装置を接続した、そのような
    2以上のネットワーク間を中継する通信データ中継装置
    であって、 前記ネットワークにアクセスするための2以上のインタ
    ーフェース部と、 1以上のネットワークを接続したシステムとしてのドメ
    インを定義するドメイン定義部と、 2以上のドメイン間における接続の可否を定義するドメ
    イン間接続定義部と、 通信データの中継先を決定する経路処理部と、第1のド
    メインから第2のドメインへ通信データを中継するとき
    に、前記通信データの送信元アドレスとして保持された
    第1のドメインに属する第1のアドレスを前記第2のド
    メインにおける当該中継装置に係る第2のアドレスに変
    換するアドレス変換部と、 宛先アドレスとして前記第2のドメインに属する第2の
    アドレスを有する通信データを受信したときに、その宛
    先アドレスを前記第2のアドレスから前記第1のアドレ
    スに変換するアドレス逆変換部と、 前記ドメイン間接続定義部の定義に従い2以上のドメイ
    ン間における中継の可否を制御する制御部とを備えた通
    信データ中継装置。
  2. 【請求項2】前記ドメイン定義部は、ドメインを、その
    ドメインに接続されるインターフェース部を識別する情
    報によって定義する請求項1記載の通信データ中継装
    置。
  3. 【請求項3】前記制御部は、通信データを受信したイン
    ターフェース部に対応付けられるドメイン(または通信
    データを受信したインターフェース部)と、その通信デ
    ータの送信元アドレスが属するドメイン(またはその通
    信データの送信元アドレスが属するドメインに対応付け
    られるインターフェース部)とが、異なる通信データを
    廃棄する請求項1記載の通信データ中継装置。
  4. 【請求項4】前記ドメイン定義部は、各ドメインごと
    に、そのドメインに含まれるネットワークを識別するア
    ドレス(またはそのドメインに含まれるネットワークに
    接続される通信装置を識別するアドレス)によって定義
    される請求項1記載の通信データ中継装置。
  5. 【請求項5】各々1以上の通信装置に接続された、その
    ような2以上のネットワークを中継する通信データ中継
    方法であって、 1以上のネットワークを接続したシステムとしてのドメ
    インを定義するドメイン定義部を検索する手順と、 2以上のドメイン間の接続の可否を定義するドメイン間
    接続定義部を検索する手順と、 通信データの中継先を決定する手順と、 第1のドメインから第2のドメインへ通信データを中継
    するときに、前記通信データの送信元アドレスとして保
    持された第1のドメインに属する第1のアドレスを前記
    第2のドメインにおける当該中継装置に係る第2のアド
    レスに変換する手順と、 宛先アドレスとして前記第2のドメインに属する第2の
    アドレスを有する通信データを受信したときに、その宛
    先アドレスを前記第2のアドレスから前記第1のアドレ
    スに変換する手順とを備え、 前記ドメイン間接続定義部の検索結果に従い2以上のド
    メイン間における中継の可否を制御する通信データ中継
    方法。
JP2001105992A 2000-04-04 2001-04-04 通信データ中継装置、及び方法 Pending JP2001352337A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001105992A JP2001352337A (ja) 2000-04-04 2001-04-04 通信データ中継装置、及び方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000-102701 2000-04-04
JP2000102701 2000-04-04
JP2001105992A JP2001352337A (ja) 2000-04-04 2001-04-04 通信データ中継装置、及び方法

Publications (1)

Publication Number Publication Date
JP2001352337A true JP2001352337A (ja) 2001-12-21

Family

ID=26589463

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001105992A Pending JP2001352337A (ja) 2000-04-04 2001-04-04 通信データ中継装置、及び方法

Country Status (1)

Country Link
JP (1) JP2001352337A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009290262A (ja) * 2008-05-27 2009-12-10 Oki Electric Ind Co Ltd ゲートウェイ装置
JP2010161468A (ja) * 2009-01-06 2010-07-22 Fuji Xerox Co Ltd 端末装置、中継装置及びプログラム
US9705791B2 (en) 2014-06-03 2017-07-11 Fujitsu Limited Route setting device and route setting method
JP2017175412A (ja) * 2016-03-24 2017-09-28 日本電気株式会社 通信装置及び方法
JP2022510067A (ja) * 2019-11-12 2022-01-26 スラック テクノロジーズ, インコーポレイテッド 外部共有通信リソースに関連付けられた認可
JP2022160690A (ja) * 2016-04-22 2022-10-19 株式会社リコー ネットワーク機器、入出力装置、ネットワークシステム、プログラム

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009290262A (ja) * 2008-05-27 2009-12-10 Oki Electric Ind Co Ltd ゲートウェイ装置
JP2010161468A (ja) * 2009-01-06 2010-07-22 Fuji Xerox Co Ltd 端末装置、中継装置及びプログラム
US8478870B2 (en) 2009-01-06 2013-07-02 Fuji Xerox Co., Ltd. Terminal apparatus, relay apparatus, processing method, recording medium, and data signal
US9705791B2 (en) 2014-06-03 2017-07-11 Fujitsu Limited Route setting device and route setting method
JP2017175412A (ja) * 2016-03-24 2017-09-28 日本電気株式会社 通信装置及び方法
WO2017164015A1 (ja) * 2016-03-24 2017-09-28 日本電気株式会社 通信装置及び方法
JP2022160690A (ja) * 2016-04-22 2022-10-19 株式会社リコー ネットワーク機器、入出力装置、ネットワークシステム、プログラム
JP7396411B2 (ja) 2016-04-22 2023-12-12 株式会社リコー ネットワーク機器、入出力装置、ネットワークシステム、プログラム、方法
JP2022510067A (ja) * 2019-11-12 2022-01-26 スラック テクノロジーズ, インコーポレイテッド 外部共有通信リソースに関連付けられた認可
JP7132425B2 (ja) 2019-11-12 2022-09-06 スラック テクノロジーズ, エルエルシー 外部共有通信リソースに関連付けられた認可

Similar Documents

Publication Publication Date Title
US6934763B2 (en) Communication data relay system and method of controlling connectability between domains
US7574522B2 (en) Communication data relay system
US9253149B2 (en) Method for providing an internal server with a shared public IP address
EP1303106B1 (en) Address translation method
US7894438B2 (en) Device and method for communicating with a legacy device, network or application
US20080002663A1 (en) Virtual network interface card loopback fastpath
US20050086385A1 (en) Passive connection backup
KR20090041407A (ko) 네트워크를 액세스하기 위해 인터페이스를 식별하고 선택하기 위한 방법 및 디바이스
US20040194106A1 (en) Name/address translation device
US8917629B2 (en) Method and apparatus for detecting devices on a local area network
US20060268863A1 (en) Transparent address translation methods
KR20120055694A (ko) 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
US20090285206A1 (en) Network system and data transfer method
JP6007644B2 (ja) 通信装置、プログラムおよびルーティング方法
US20060215649A1 (en) Network address converting apparatus using SSW tree
US20090290590A1 (en) Forwarding packets in a gateway performing network address translation (nat)
JP2001352337A (ja) 通信データ中継装置、及び方法
KR100433621B1 (ko) 사설 인터넷의 단대단 서비스를 위한 다중 계층 인터넷프로토콜 및 상기 다중 계층 인터넷 프로토콜 패킷의송/수신 방법
CN116248595B (zh) 一种云内网与物理网通信的方法、装置、设备以及介质
JP2002217941A (ja) ネットワークアドレス再割り当て方法及びルータ
US10924397B2 (en) Multi-VRF and multi-service insertion on edge gateway virtual machines
US20210352004A1 (en) Multi-vrf and multi-service insertion on edge gateway virtual machines
Cisco Configuring Network Address Translation
Cisco Configuring Network Address Translation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060822

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081209

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090303

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091110