JP2002084302A - ネットワークによる通信方法及び装置 - Google Patents
ネットワークによる通信方法及び装置Info
- Publication number
- JP2002084302A JP2002084302A JP2000270778A JP2000270778A JP2002084302A JP 2002084302 A JP2002084302 A JP 2002084302A JP 2000270778 A JP2000270778 A JP 2000270778A JP 2000270778 A JP2000270778 A JP 2000270778A JP 2002084302 A JP2002084302 A JP 2002084302A
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication
- virtual
- data links
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Communication Control (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 RS毎の独立したプロトコル処理を実現し、
独立した複数の仮想ネットワークを実現することが可能
な仮想ネットワークによる通信方法及び装置を提供す
る。 【解決手段】 本発明は、OSやサービスレイヤが物理
データリンク上に構成される複数の仮想データリンクを
個別に認識し、仮想データリンク間を独立に中継する。
独立した複数の仮想ネットワークを実現することが可能
な仮想ネットワークによる通信方法及び装置を提供す
る。 【解決手段】 本発明は、OSやサービスレイヤが物理
データリンク上に構成される複数の仮想データリンクを
個別に認識し、仮想データリンク間を独立に中継する。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワークによ
る通信方法及び装置に係り、特に、単独の計算機、ある
いは、ネットワークで接続された複数台からなる計算
機、あるいは、インターネットに接続された計算機で構
成されたシステムにおけるネットワークによる通信方法
及び装置に関する。
る通信方法及び装置に係り、特に、単独の計算機、ある
いは、ネットワークで接続された複数台からなる計算
機、あるいは、インターネットに接続された計算機で構
成されたシステムにおけるネットワークによる通信方法
及び装置に関する。
【0002】
【従来の技術】データリンク層においては、Ether
net(登録商標)(イーサネット(登録商標))やA
TMなどのように、一つの物理媒体の上に仮想的なデー
タリンクを複数構成する技術が実現されている。
net(登録商標)(イーサネット(登録商標))やA
TMなどのように、一つの物理媒体の上に仮想的なデー
タリンクを複数構成する技術が実現されている。
【0003】Ethernetでは、IEEE802.1Q規格により、伝
送するEthernetのフレームに仮想データリンク(仮想L
AN:VLAN)の識別子となるタグという数字を保持
させ、一つの物理媒体上に仮想的に複数のEthernetのネ
ットワークを構成できる。Ehternetフレームを中継する
Ethernetスイッチでは、スイッチの各ポートに割り当て
られているVLANid(VLAN識別子)に応じて、
送られてきたEthernetフレームを転送するかどうかを決
定する。これにより、スイッチに接続された機器は所属
するVLAN以外のフレームを受信することはない。
送するEthernetのフレームに仮想データリンク(仮想L
AN:VLAN)の識別子となるタグという数字を保持
させ、一つの物理媒体上に仮想的に複数のEthernetのネ
ットワークを構成できる。Ehternetフレームを中継する
Ethernetスイッチでは、スイッチの各ポートに割り当て
られているVLANid(VLAN識別子)に応じて、
送られてきたEthernetフレームを転送するかどうかを決
定する。これにより、スイッチに接続された機器は所属
するVLAN以外のフレームを受信することはない。
【0004】ATMでは、「Virtual Path(VP)」や「Vi
rtual Connection(VC)」という概念で、機器の対の通信
接続を、一つの物理媒体上に複数実現することができ
る。ネットワーク層やトランスポート層では、IP(Int
ernet Protocol) のIPアドレスや、TCP(Transport
Control Protocol)や、UDP(User Datagram Protoco
l)のポート番号をチェックして、ネットワークの一部分
に帰着する通信の中継を制限したり、ネットワークの一
部分に帰着する通信以外すべての中継を制限したり、ま
た、一部の通信の帯域を制御して、通信品質を変更する
ことができる。これは、ルータのソフトウェアや、ホス
トOS上の「ipfirewall」、「dummynet」のようなシス
テムで実現されている。アプリケーション層でも、IP
のIPアドレスやTCPやUDPのポート番号によっ
て、ネットワークの一部分に帰着する通信を制限したり
することができる。これは、「TCPwrapper 」のよう
なソフトウェアで実現されている。x-kernel(N.C Hutch
inscm and L.L Peterson."The x-kernel: An Architec
ture for Implementing Network Protocols", IEEE Tra
nsaction on Software Engineering, 17(1): 64-76, 1
991)や、Scout(D Mosberger and L.L. Peterson. "Maki
ng Paths Explicit in the Scout Operating System",
In proceeding of OSDI '96, 1996)といったOSでは、
OS内の処理のモジュール化は行われている。また、Ec
lipse (J.bruno, E. Gabber, B. Ozden, and A. Silber
schatz, "TheEclipse Operating System: Providing Qu
ality of Serice via Reservation Domains", In Proce
edings of the USENIX 1998 Annual Technical Confere
nce,New Orleans, Louisiana, June 1998)においては、
“Reservation Space ”(RS)という概念で、OS内
部の計算資源の実時間性の確保が実現されている。
rtual Connection(VC)」という概念で、機器の対の通信
接続を、一つの物理媒体上に複数実現することができ
る。ネットワーク層やトランスポート層では、IP(Int
ernet Protocol) のIPアドレスや、TCP(Transport
Control Protocol)や、UDP(User Datagram Protoco
l)のポート番号をチェックして、ネットワークの一部分
に帰着する通信の中継を制限したり、ネットワークの一
部分に帰着する通信以外すべての中継を制限したり、ま
た、一部の通信の帯域を制御して、通信品質を変更する
ことができる。これは、ルータのソフトウェアや、ホス
トOS上の「ipfirewall」、「dummynet」のようなシス
テムで実現されている。アプリケーション層でも、IP
のIPアドレスやTCPやUDPのポート番号によっ
て、ネットワークの一部分に帰着する通信を制限したり
することができる。これは、「TCPwrapper 」のよう
なソフトウェアで実現されている。x-kernel(N.C Hutch
inscm and L.L Peterson."The x-kernel: An Architec
ture for Implementing Network Protocols", IEEE Tra
nsaction on Software Engineering, 17(1): 64-76, 1
991)や、Scout(D Mosberger and L.L. Peterson. "Maki
ng Paths Explicit in the Scout Operating System",
In proceeding of OSDI '96, 1996)といったOSでは、
OS内の処理のモジュール化は行われている。また、Ec
lipse (J.bruno, E. Gabber, B. Ozden, and A. Silber
schatz, "TheEclipse Operating System: Providing Qu
ality of Serice via Reservation Domains", In Proce
edings of the USENIX 1998 Annual Technical Confere
nce,New Orleans, Louisiana, June 1998)においては、
“Reservation Space ”(RS)という概念で、OS内
部の計算資源の実時間性の確保が実現されている。
【0005】
【発明が解決しようとする課題】しかしながら、仮想デ
ータリンクは、ルータやホストのプロトコル処理ソフト
ウェアでは、通常の物理データリンクと同様に扱われる
ので、従来のプロトコル処理ソフトウェアでは、ネット
ワーク層の処理ソフトウェアから、区別無く全ての仮想
データリンク及び物理データリンクにアクセスすること
ができる。従って、仮想データリンク毎に異なる特性
(通信品質やセキュリティレベル)を用意して、上位層
のプロトコルやアプリケーションからそれらのデータリ
ンクを区別して利用することはできない。
ータリンクは、ルータやホストのプロトコル処理ソフト
ウェアでは、通常の物理データリンクと同様に扱われる
ので、従来のプロトコル処理ソフトウェアでは、ネット
ワーク層の処理ソフトウェアから、区別無く全ての仮想
データリンク及び物理データリンクにアクセスすること
ができる。従って、仮想データリンク毎に異なる特性
(通信品質やセキュリティレベル)を用意して、上位層
のプロトコルやアプリケーションからそれらのデータリ
ンクを区別して利用することはできない。
【0006】また、上位層での通信制限は、IPアドレ
スやポート番号により、仮想的にネットワークを構成し
ていると考えることができ、仮想ネットワークに帰着す
る通信を区別して使用する。しかし、これらの技術で
は、通信の起点・終点の情報に応じて通信の制限をする
だけで、それらに対してルータやホスト上の計算資源が
独立して割り付けられているわけではない。
スやポート番号により、仮想的にネットワークを構成し
ていると考えることができ、仮想ネットワークに帰着す
る通信を区別して使用する。しかし、これらの技術で
は、通信の起点・終点の情報に応じて通信の制限をする
だけで、それらに対してルータやホスト上の計算資源が
独立して割り付けられているわけではない。
【0007】「x-kernel」、「Scout 」、「Eclipse 」
といったOSが実現しているのは、OSの処理のモジュ
ール化やそのグループ化であるが、これらは仮想ネット
ワークと連携しておらず、ネットワークは共有してい
る。また、処理モジュールが概念的に仮想ネットワーク
毎に分離しているわけではない。
といったOSが実現しているのは、OSの処理のモジュ
ール化やそのグループ化であるが、これらは仮想ネット
ワークと連携しておらず、ネットワークは共有してい
る。また、処理モジュールが概念的に仮想ネットワーク
毎に分離しているわけではない。
【0008】本発明は、上記の点に鑑みなされたもの
で、ホスト、ルータやスイッチなどのネットワーク機器
において、複数の仮想データリンクや物理データリンク
を関連付けてグループ化し、そのグループ内の仮想デー
タリンク及び物理データリンクに使用する「処理プロト
コル」、「計算資源」、「アプリケーション」を割り付
けてグループ化する。この「データリンク」と「処理プ
ロトコル」、「計算資源」、「アプリケーション」のグ
ループを“Resource Space”(リソーススペース:R
S)と呼ぶ。このRS毎の独立したプロトコル処理を実
現し、独立した複数の仮想ネットワークを実現すること
が可能なネットワークによる通信方法及び装置を提供す
ることを目的とする。
で、ホスト、ルータやスイッチなどのネットワーク機器
において、複数の仮想データリンクや物理データリンク
を関連付けてグループ化し、そのグループ内の仮想デー
タリンク及び物理データリンクに使用する「処理プロト
コル」、「計算資源」、「アプリケーション」を割り付
けてグループ化する。この「データリンク」と「処理プ
ロトコル」、「計算資源」、「アプリケーション」のグ
ループを“Resource Space”(リソーススペース:R
S)と呼ぶ。このRS毎の独立したプロトコル処理を実
現し、独立した複数の仮想ネットワークを実現すること
が可能なネットワークによる通信方法及び装置を提供す
ることを目的とする。
【0009】また、本発明の目的は、通信の発信元や送
信先のIPアドレスやポート番号といった上位層の情報
に応じて通信をRSに割り付けることにより、上位層の
情報に応じて通信を適当な仮想ネットワークに割り付け
ることが可能なネットワークによる通信方法及び装置を
提供することである。
信先のIPアドレスやポート番号といった上位層の情報
に応じて通信をRSに割り付けることにより、上位層の
情報に応じて通信を適当な仮想ネットワークに割り付け
ることが可能なネットワークによる通信方法及び装置を
提供することである。
【0010】
【課題を解決するための手段】図1は、本発明の原理を
説明するための図である。
説明するための図である。
【0011】本発明(請求項1)は、インターネットや
プライベートネットワークを介して接続されたネットワ
ークによる通信方法において、OSやサービスレイヤで
実現する物理データリンク上に構成される複数の仮想デ
ータリンクを個別に認識し(ステップ1)、仮想データ
リンク間を独立に中継する(ステップ2)。
プライベートネットワークを介して接続されたネットワ
ークによる通信方法において、OSやサービスレイヤで
実現する物理データリンク上に構成される複数の仮想デ
ータリンクを個別に認識し(ステップ1)、仮想データ
リンク間を独立に中継する(ステップ2)。
【0012】本発明(請求項2)は、仮想データリンク
間を独立に中継する際に、ネットワーク層やトランスポ
ート層の上位層の情報により通信を区別し、定められた
仮想データリンクに中継する。
間を独立に中継する際に、ネットワーク層やトランスポ
ート層の上位層の情報により通信を区別し、定められた
仮想データリンクに中継する。
【0013】本発明(請求項3)は、仮想ネットワーク
と、装置内部の資源とをグループ化して、該装置内の資
源を仮想ネットワークに独立に割り付ける。
と、装置内部の資源とをグループ化して、該装置内の資
源を仮想ネットワークに独立に割り付ける。
【0014】本発明(請求項4)は、インターネットや
プライベートネットワークを介して接続されたネットワ
ークによる通信方法において、複数の仮想データリンク
や物理データリンを関連付けてグループ化したOS内の
処理モジュールをRSとし、RS毎に独立したプロトコ
ル処理を行う。
プライベートネットワークを介して接続されたネットワ
ークによる通信方法において、複数の仮想データリンク
や物理データリンを関連付けてグループ化したOS内の
処理モジュールをRSとし、RS毎に独立したプロトコ
ル処理を行う。
【0015】本発明(請求項5)は、通信の発信元や送
信元のIPアドレスやポート番号を含む上位層の情報に
応じて、通信をRSに割り付けることにより、該上位層
の情報に応じて通信を適当な仮想ネットワークに割り付
ける。
信元のIPアドレスやポート番号を含む上位層の情報に
応じて、通信をRSに割り付けることにより、該上位層
の情報に応じて通信を適当な仮想ネットワークに割り付
ける。
【0016】本発明(請求項6)は、インターネットや
プライベートネットワークを介して接続されたネットワ
ークによる通信装置であって、OSやサービスレイヤで
実現する物理データリンク上に構成される複数の仮想デ
ータリンクを個別に認識する認識手段400と、仮想デ
ータリンク間を独立に中継する中継手段300とを有す
る。
プライベートネットワークを介して接続されたネットワ
ークによる通信装置であって、OSやサービスレイヤで
実現する物理データリンク上に構成される複数の仮想デ
ータリンクを個別に認識する認識手段400と、仮想デ
ータリンク間を独立に中継する中継手段300とを有す
る。
【0017】本発明(請求項7)は、中継手段300に
おいて、ネットワーク層やトランスポート層の上位層の
情報により通信を区別し、定められた仮想データリンク
に中継する手段を含む。
おいて、ネットワーク層やトランスポート層の上位層の
情報により通信を区別し、定められた仮想データリンク
に中継する手段を含む。
【0018】本発明(請求項8)は、仮想ネットワーク
と、装置内部の資源とをグループ化して、該装置内の資
源を仮想ネットワークに独立に割り付ける手段を有す
る。
と、装置内部の資源とをグループ化して、該装置内の資
源を仮想ネットワークに独立に割り付ける手段を有す
る。
【0019】本発明(請求項9)は、インターネットや
プライベートネットワークを介して接続されたネットワ
ークによる通信装置であって、複数の仮想データリンク
や物理データリンクを関連付けてグループ化したOS内
の処理モジュールであるRSを有し、RS毎に独立した
プロトコル処理を行う。
プライベートネットワークを介して接続されたネットワ
ークによる通信装置であって、複数の仮想データリンク
や物理データリンクを関連付けてグループ化したOS内
の処理モジュールであるRSを有し、RS毎に独立した
プロトコル処理を行う。
【0020】本発明(請求項10)は、通信の発信元や
送信元のIPアドレスやポート番号を含む上位層の情報
に応じて、通信をRSに割り付けることにより、該上位
層の情報に応じて通信を適当な仮想ネットワークに割り
付ける手段を有する。
送信元のIPアドレスやポート番号を含む上位層の情報
に応じて、通信をRSに割り付けることにより、該上位
層の情報に応じて通信を適当な仮想ネットワークに割り
付ける手段を有する。
【0021】本発明(請求項11)は、RSにおいて、
RS毎のポインタの集合であるポインタ表と、アプリケ
ーションのプロセスに付与されているRS毎に一意に付
与されるRS識別子(RSID)に基づいて、ポインタ
表を検索して呼び出されるシステムコール処理ルーチン
と、システムコール処理ルーチンの属するRSに基づい
て特定され、該RSから特定される仮想インタフェース
を介してパケットを処理し、処理したパケットをネット
ワークに出力するプロトコル処理ルーチンとを有する。
RS毎のポインタの集合であるポインタ表と、アプリケ
ーションのプロセスに付与されているRS毎に一意に付
与されるRS識別子(RSID)に基づいて、ポインタ
表を検索して呼び出されるシステムコール処理ルーチン
と、システムコール処理ルーチンの属するRSに基づい
て特定され、該RSから特定される仮想インタフェース
を介してパケットを処理し、処理したパケットをネット
ワークに出力するプロトコル処理ルーチンとを有する。
【0022】上記のように、本発明は、一つの物理ネッ
トワーク上に仮想的に複数のネットワークを構成し、各
々の仮想ネットワークにそれぞれ異なるセキュリティレ
ベルや通信品質を割り当てることにより、ホストやルー
タ、スイッチ等で複数のセキュリティレベルや通信品質
を利用することが可能となる。
トワーク上に仮想的に複数のネットワークを構成し、各
々の仮想ネットワークにそれぞれ異なるセキュリティレ
ベルや通信品質を割り当てることにより、ホストやルー
タ、スイッチ等で複数のセキュリティレベルや通信品質
を利用することが可能となる。
【0023】また、スイッチ等の機器で接続された機器
に対する仮想ネットワークの割当を制限することによ
り、ホストやネットワークに対して特定のセキュリティ
レベルや通信品質の利用を制限することが可能である。
に対する仮想ネットワークの割当を制限することによ
り、ホストやネットワークに対して特定のセキュリティ
レベルや通信品質の利用を制限することが可能である。
【0024】また、本発明により、“Ethernet VLAN ”
や“ATM VC”のような仮想データリンクを利用していな
いネットワークを流れる通信を上記で実現した様々なセ
キュリティレベルや通信品質の仮想ネットワークに振り
分けることが可能となる。さらに、本発明では、上記で
実現したセキュリティレベルや通信品質の仮想ネットワ
ークに応じて、独立したプロトコル処理やアプリケーシ
ョンの実行が可能になる。これにより、例えば、特定の
通信品質の仮想ネットワークのみで稼働するアプリケー
ションを実現したり、特定のセキュリティレベルではI
Pレベルで中継し、他のセキュリティレベルでは、アプ
リケーション層で中継したりといった細かい制御を実現
したりすることが可能になる。
や“ATM VC”のような仮想データリンクを利用していな
いネットワークを流れる通信を上記で実現した様々なセ
キュリティレベルや通信品質の仮想ネットワークに振り
分けることが可能となる。さらに、本発明では、上記で
実現したセキュリティレベルや通信品質の仮想ネットワ
ークに応じて、独立したプロトコル処理やアプリケーシ
ョンの実行が可能になる。これにより、例えば、特定の
通信品質の仮想ネットワークのみで稼働するアプリケー
ションを実現したり、特定のセキュリティレベルではI
Pレベルで中継し、他のセキュリティレベルでは、アプ
リケーション層で中継したりといった細かい制御を実現
したりすることが可能になる。
【0025】
【発明の実施の形態】まず、以下の説明で用いる、仮想
データリンク、仮想ネットワーク、仮想インタフェース
の用語を定義する。
データリンク、仮想ネットワーク、仮想インタフェース
の用語を定義する。
【0026】仮想データリンク(Virtual Datalink: VD
L)は、単一の物理ネットワークセグメント内での一つの
通信クラスであり、1つのVDLは、それを識別する何
らかの識別子が必要になる。識別子の候補としては、次
のようなものが考えられる。
L)は、単一の物理ネットワークセグメント内での一つの
通信クラスであり、1つのVDLは、それを識別する何
らかの識別子が必要になる。識別子の候補としては、次
のようなものが考えられる。
【0027】・802.1Q VLAN tag:この場
合、一つのVLANidを割り当てられた一セグメント
が一つのVDLとなる。
合、一つのVLANidを割り当てられた一セグメント
が一つのVDLとなる。
【0028】・IPのネットワークアドレスとネットマ
スクの組:この場合、物理インタフェースには複数のI
Pアドレスが付与され、一つのアドレスが一つのVDL
を表す。
スクの組:この場合、物理インタフェースには複数のI
Pアドレスが付与され、一つのアドレスが一つのVDL
を表す。
【0029】・source port (ソースポート)番号:こ
の場合、source port 番号の特定の範囲が一つのVDL
を表す。TCPのセッションを開く時に、VDLに応じ
て適当なsource port を付けたり、UDPのパケット送
出の際に適当なsource port を付ける。仮想ネットワー
ク(Virtual Network: VNET) は、複数のVDLを接
続して構築される仮想的なネットワークであり、接続す
る2つのVDLで、その識別子が同じである必要はな
い。仮想ネットワークは、ルータやゲートウェイを越え
て複数のデータリンクに跨がるネットワークの概念であ
る。単一の物理ネットワーク上には複数の仮想ネットワ
ークが存在し得る。
の場合、source port 番号の特定の範囲が一つのVDL
を表す。TCPのセッションを開く時に、VDLに応じ
て適当なsource port を付けたり、UDPのパケット送
出の際に適当なsource port を付ける。仮想ネットワー
ク(Virtual Network: VNET) は、複数のVDLを接
続して構築される仮想的なネットワークであり、接続す
る2つのVDLで、その識別子が同じである必要はな
い。仮想ネットワークは、ルータやゲートウェイを越え
て複数のデータリンクに跨がるネットワークの概念であ
る。単一の物理ネットワーク上には複数の仮想ネットワ
ークが存在し得る。
【0030】仮想インタフェース(Virtual Datalink In
terface:VDI) は、一つの仮想ネットワーク(VNE
T)へのOS内部でのインタフェースである。
terface:VDI) は、一つの仮想ネットワーク(VNE
T)へのOS内部でのインタフェースである。
【0031】次に、仮想ネットワークを図面を用いて説
明する。
明する。
【0032】図3は、本発明の仮想ネットワークを説明
するための図である。
するための図である。
【0033】同図では、組織内ネットワーク上におい
て、3つの仮想ネットワーク(vnet0,vent1,vnet2)が重
なっている。各物理データリンク上では、仮想ネットワ
ーク(VET)が仮想データリンク(VDL)として区
別されており、区別されたままルータなどで中継される
ことで複数の物理データリンクにわたる仮想ネットワー
ク(VNET)を構成している。
て、3つの仮想ネットワーク(vnet0,vent1,vnet2)が重
なっている。各物理データリンク上では、仮想ネットワ
ーク(VET)が仮想データリンク(VDL)として区
別されており、区別されたままルータなどで中継される
ことで複数の物理データリンクにわたる仮想ネットワー
ク(VNET)を構成している。
【0034】このように一つの物理的なネットワークの
上に、複数の仮想ネットワークが重なって存在するよう
に見え、多重化された仮想ネットワークの空間を構成す
る。仮想データリンクとして802.1Q VLANを
使う場合を考えると、仮想ネットワーク(VNET)中
全域で、VLANtag id(VLANタグ識別子)が一
意である必要はない。中継するルータの両側で異なるta
g idを用いていても構わない。ここで必要なのは、同
一仮想ネットワーク(VNET)を構成する別物理デー
タリンクの仮想データリンク(VDL)間で、tag id
の対応付けが正しく行われることである。つまり、例え
ば、vnet0 を構成するvdl00 とvdl10について、vdll00
のtag idが10で、vdl10 のtag idが25であっも
構わないということである。
上に、複数の仮想ネットワークが重なって存在するよう
に見え、多重化された仮想ネットワークの空間を構成す
る。仮想データリンクとして802.1Q VLANを
使う場合を考えると、仮想ネットワーク(VNET)中
全域で、VLANtag id(VLANタグ識別子)が一
意である必要はない。中継するルータの両側で異なるta
g idを用いていても構わない。ここで必要なのは、同
一仮想ネットワーク(VNET)を構成する別物理デー
タリンクの仮想データリンク(VDL)間で、tag id
の対応付けが正しく行われることである。つまり、例え
ば、vnet0 を構成するvdl00 とvdl10について、vdll00
のtag idが10で、vdl10 のtag idが25であっも
構わないということである。
【0035】同図の仮想ネットワークでは、インターネ
ットへ接続しているルータGは、vnet0 にしかアクセス
できない。ルータBは、通常のファイアウォールを構成
するフィルタリングルータで、インターネットから内部
への直接のアクセスを排除するために、vnet0 の外部か
ら通信を遮断している。このファイアウォールセグメン
ト上に外部からのアクセスのために用意されたゲートウ
ェイAでは、アプリケーションゲートウェイがvent0 か
らvnet2 への中継を行っている。これにより、以後内部
ネットワークにアクセスする際には、vnet2 を通ってア
クセスすることになり、例え、遠隔ログインを繰り返し
ても、内部ネットワークではその通信の起点が外部にあ
るものと判断できる。
ットへ接続しているルータGは、vnet0 にしかアクセス
できない。ルータBは、通常のファイアウォールを構成
するフィルタリングルータで、インターネットから内部
への直接のアクセスを排除するために、vnet0 の外部か
ら通信を遮断している。このファイアウォールセグメン
ト上に外部からのアクセスのために用意されたゲートウ
ェイAでは、アプリケーションゲートウェイがvent0 か
らvnet2 への中継を行っている。これにより、以後内部
ネットワークにアクセスする際には、vnet2 を通ってア
クセスすることになり、例え、遠隔ログインを繰り返し
ても、内部ネットワークではその通信の起点が外部にあ
るものと判断できる。
【0036】次に、ホストやルータ内部でのOS(Oper
ating System) の処理について説明する。
ating System) の処理について説明する。
【0037】図4は、本発明のOS内部の処理を説明す
るための図である。
るための図である。
【0038】各仮想ネットワーク(VNET)に応じて
ホストやルータ内部での処理を変更するために、ホスト
やルータ内部のOSにおいて、独立な処理モジュールの
グループと、それらの複数モジュールグループ間の切替
機構が必要になる。OS内の処理モジュールのグループ
をResource Space(RS)と呼ぶ。RSの実体は、処理
モジュール中の関数及び、処理モジュール毎のローカル
な状態を保持するデータを集めたもので、各々のRS
は、識別子(RSID)を持つ。この処理モジュールと
は、IPやTCPのプロトコル処理プログラムや、exec
()、open()といったシステムコールを受けてOS内部で
実際の処理をするシステムコール関数の処理プログラム
である。
ホストやルータ内部での処理を変更するために、ホスト
やルータ内部のOSにおいて、独立な処理モジュールの
グループと、それらの複数モジュールグループ間の切替
機構が必要になる。OS内の処理モジュールのグループ
をResource Space(RS)と呼ぶ。RSの実体は、処理
モジュール中の関数及び、処理モジュール毎のローカル
な状態を保持するデータを集めたもので、各々のRS
は、識別子(RSID)を持つ。この処理モジュールと
は、IPやTCPのプロトコル処理プログラムや、exec
()、open()といったシステムコールを受けてOS内部で
実際の処理をするシステムコール関数の処理プログラム
である。
【0039】各仮想インタフェース(VDI)は、同図
中、パケット分別器(packet classifier )で分別され
ることにより具現化される(同図中、vent0 やvnet1 の
楕円)。IPアドレスやポート番号といった上位層の情
報に応じた仮想ネットワークへの振り分けは、分別の対
象として上位層の情報を使うことにより、このパケット
分別器の分別により実現される。
中、パケット分別器(packet classifier )で分別され
ることにより具現化される(同図中、vent0 やvnet1 の
楕円)。IPアドレスやポート番号といった上位層の情
報に応じた仮想ネットワークへの振り分けは、分別の対
象として上位層の情報を使うことにより、このパケット
分別器の分別により実現される。
【0040】各仮想インタフェース(VDI)には、対
応するRSIDが決まっており、受け取ったパケットに
対してRSIDを付属情報として張り付けてOS内部で
の処理を進める。
応するRSIDが決まっており、受け取ったパケットに
対してRSIDを付属情報として張り付けてOS内部で
の処理を進める。
【0041】アプリケーション(同図中一番上の楕円)
側から見ると、各プロセスにRSIDが付いており、シ
ステムコールを発呼してOS内部に処理が移った段階
で、RSIDに応じた処理プログラムが呼び出される。
側から見ると、各プロセスにRSIDが付いており、シ
ステムコールを発呼してOS内部に処理が移った段階
で、RSIDに応じた処理プログラムが呼び出される。
【0042】これにより、例えば、“exec()”に対し
て、“setuid”できない“exec処理ルーチン”を用意し
ておいて、通信クラスに応じて“setuid”を禁止するこ
となどが可能になる。
て、“setuid”できない“exec処理ルーチン”を用意し
ておいて、通信クラスに応じて“setuid”を禁止するこ
となどが可能になる。
【0043】次に、OS内部の詳細な構造について説明
する。
する。
【0044】図5は、本発明の多重通信クラス実装時の
OS内部の構成を示す図である。同図において、右半分
の木構造は、プロトコル処理階層及びシステムコールの
概念的な構造を表している。同図中左半分の斜字体の各
モジュールは、プロトコル処理モジュール(pIP0 ,
pTCP0 )やプロコトル依存データ(dIP0 ,dT
CP0 )、システムコール処理ルーチン(open0 ,exec
0 など)といった処理実体の構造を表している。
OS内部の構成を示す図である。同図において、右半分
の木構造は、プロトコル処理階層及びシステムコールの
概念的な構造を表している。同図中左半分の斜字体の各
モジュールは、プロトコル処理モジュール(pIP0 ,
pTCP0 )やプロコトル依存データ(dIP0 ,dT
CP0 )、システムコール処理ルーチン(open0 ,exec
0 など)といった処理実体の構造を表している。
【0045】各RSは、これらのモジュールの集合とし
て実現されるので、RSの実体は、プロトコル処理モジ
ュール/データ、システムコール処理ルーチンへのポイ
ンタの集合(同図中、RSn のポインタ表)となる。
て実現されるので、RSの実体は、プロトコル処理モジ
ュール/データ、システムコール処理ルーチンへのポイ
ンタの集合(同図中、RSn のポインタ表)となる。
【0046】プロトコル処理モジュールについては、プ
ロトコル依存のデータ(例えば、IPモジュールでは、
IP forwarding するかどうかの変数など) を必要に応
じてRS毎に独立にすることにより、同一のプロトコル
処理モジュールを使いながら、RSにより処理を変える
ことも可能である。例えば、同一のIP処理モジュール
pIP0 を用いて、あるVNETではIP forwarding
を許すが、他のVNETでは許さないといったことの実
現が可能である。
ロトコル依存のデータ(例えば、IPモジュールでは、
IP forwarding するかどうかの変数など) を必要に応
じてRS毎に独立にすることにより、同一のプロトコル
処理モジュールを使いながら、RSにより処理を変える
ことも可能である。例えば、同一のIP処理モジュール
pIP0 を用いて、あるVNETではIP forwarding
を許すが、他のVNETでは許さないといったことの実
現が可能である。
【0047】ネットワークから入ってきたパケットは、
パケット分別器で分別され、仮想インタフェース(VD
I:vnet0 等)に渡される。VDIは、RSに対応付け
られているので、ここでRSのポインタ表へのポインタ
がパケットの管理情報として付加されて、以後の処理に
渡される。RSが決まれば、処理モジュールの表(RS
のポインタ表)が確定するので、以後の処理は、RSの
関数とデータを使って進められる。一方、ネットワーク
にパケットを送出する場合には、プロセスに付加されて
いるRSIDを使って進められる。一方、ネットワーク
にパケットを送出する場合には、プロセスに付加されて
いるRSIDをもとにRSのポインタ表を見つけて、R
S毎に処理の切替を実現する。
パケット分別器で分別され、仮想インタフェース(VD
I:vnet0 等)に渡される。VDIは、RSに対応付け
られているので、ここでRSのポインタ表へのポインタ
がパケットの管理情報として付加されて、以後の処理に
渡される。RSが決まれば、処理モジュールの表(RS
のポインタ表)が確定するので、以後の処理は、RSの
関数とデータを使って進められる。一方、ネットワーク
にパケットを送出する場合には、プロセスに付加されて
いるRSIDを使って進められる。一方、ネットワーク
にパケットを送出する場合には、プロセスに付加されて
いるRSIDをもとにRSのポインタ表を見つけて、R
S毎に処理の切替を実現する。
【0048】
【実施例】以下、図面と共に本発明の実施例を説明す
る。
る。
【0049】OS内部の処理について説明する。
【0050】図6は、本発明の一実施例の通信装置の構
成を示す。
成を示す。
【0051】同図に示す装置は、アプリケーション10
0、システムコール200、OS300、及びパケット
分別器400から構成される。
0、システムコール200、OS300、及びパケット
分別器400から構成される。
【0052】アプリケーション100は、プロセス10
1、102、103、104を有する。
1、102、103、104を有する。
【0053】OS300は、RS310,320を有
し、それぞれのRS310,320は、プロトコル・処
理ルーチン311、321とシステムコール・処理ルー
チン312、322を有する。なお、同図では、説明の
簡単化のため、RS310,320の2つのRSのみ示
してあるが、n個のRSが存在する。
し、それぞれのRS310,320は、プロトコル・処
理ルーチン311、321とシステムコール・処理ルー
チン312、322を有する。なお、同図では、説明の
簡単化のため、RS310,320の2つのRSのみ示
してあるが、n個のRSが存在する。
【0054】パケット分別器(packet classifier) 40
0は、ネットワークからのパケットの入力を受け、各プ
ロトコル階層のヘッダ情報などを用いて、適切な仮想イ
ンタフェース(同図中、vnet0 、vnet1 )に分別する。
分別のための規則は、ルール表410の形で当該パケッ
ト分別器400が保持している。このルール表410
は、OSの構成時に決定され、システムコール200を
通じてアプリケーション100からの制御で変更が可能
である。特定のRS310,320中のシステムコール
処理ルーチン312、322を、このルール表410が
変更できないものにしておくことで(同図中のRS32
0のpktctl' ルーチン)、ルール表410の制御が不可
能なRSを作ることが可能であり、このRS320上で
稼働するアプリケーション100(プロセス)について
ルール表410の変更を禁止することができる。
0は、ネットワークからのパケットの入力を受け、各プ
ロトコル階層のヘッダ情報などを用いて、適切な仮想イ
ンタフェース(同図中、vnet0 、vnet1 )に分別する。
分別のための規則は、ルール表410の形で当該パケッ
ト分別器400が保持している。このルール表410
は、OSの構成時に決定され、システムコール200を
通じてアプリケーション100からの制御で変更が可能
である。特定のRS310,320中のシステムコール
処理ルーチン312、322を、このルール表410が
変更できないものにしておくことで(同図中のRS32
0のpktctl' ルーチン)、ルール表410の制御が不可
能なRSを作ることが可能であり、このRS320上で
稼働するアプリケーション100(プロセス)について
ルール表410の変更を禁止することができる。
【0055】パケット分別器400で仮想インタフェー
スに分別されたパケット(vnet0,vent1)は、その仮想イ
ンタフェースに対応するRS310,320のプロトコ
ル処理ルーチン(TCP,UDEP,IP,rt等)3
11、321に渡される。プロトコル処理ルーチン31
1、321は、IP,TCP,UDP等のプロトコルの
実際の処理をするルーチンである。このプロトコル処理
ルーチン311、321は、RS310、320毎に保
持するポインタ表313、323で管理されており、プ
ロトコル処理ルーチン間の関係もこの表で決定する。
スに分別されたパケット(vnet0,vent1)は、その仮想イ
ンタフェースに対応するRS310,320のプロトコ
ル処理ルーチン(TCP,UDEP,IP,rt等)3
11、321に渡される。プロトコル処理ルーチン31
1、321は、IP,TCP,UDP等のプロトコルの
実際の処理をするルーチンである。このプロトコル処理
ルーチン311、321は、RS310、320毎に保
持するポインタ表313、323で管理されており、プ
ロトコル処理ルーチン間の関係もこの表で決定する。
【0056】アプリケーション100からの処理要求
は、システムコール200を介して処理される。システ
ムコール200の引数として、RSIDが渡される場合
は、システムコール処理ルーチン(open,exec
等)312、322が呼び出される前に、そのプロセス
が指定されたRSの処理を使ってよいかどうかの許可表
330を検索し、権限を調べる。RSIDが渡されない
場合は、プロセスに付与されているRSIDを用いる。
システムコール処理ルーチン312、322は、RSI
DをもってRS対応表340検索し、該当するRSのポ
インタ表313、323を獲得することで、当該ポイン
タ表313、323に指し示されているシステムコール
処理ルーチン(open,exec等)312、322
を呼び出す。
は、システムコール200を介して処理される。システ
ムコール200の引数として、RSIDが渡される場合
は、システムコール処理ルーチン(open,exec
等)312、322が呼び出される前に、そのプロセス
が指定されたRSの処理を使ってよいかどうかの許可表
330を検索し、権限を調べる。RSIDが渡されない
場合は、プロセスに付与されているRSIDを用いる。
システムコール処理ルーチン312、322は、RSI
DをもってRS対応表340検索し、該当するRSのポ
インタ表313、323を獲得することで、当該ポイン
タ表313、323に指し示されているシステムコール
処理ルーチン(open,exec等)312、322
を呼び出す。
【0057】以下に、上記の構成における処理を説明す
る。
る。
【0058】アプリケーション100からネットワーク
やディスク等の周辺機器に対する読み書きの処理は、シ
ステムコール200を通じて行われる。システムコール
は、アプリケーションとOS内部の処理の切り替えを行
うインタフェースである。
やディスク等の周辺機器に対する読み書きの処理は、シ
ステムコール200を通じて行われる。システムコール
は、アプリケーションとOS内部の処理の切り替えを行
うインタフェースである。
【0059】図7は、本発明の一実施例のシステムコー
ルの処理を示すフローチャートである。同図に示す処理
は、ソケットやファイルのオープン、読出し要求、書込
み要求など全てのシステムコールの処理に共通する。
ルの処理を示すフローチャートである。同図に示す処理
は、ソケットやファイルのオープン、読出し要求、書込
み要求など全てのシステムコールの処理に共通する。
【0060】まず、アプリケーション100がシステム
コール200を呼び出す(ステップ101)。次に、R
SIDが引数に指定されているかを確認し(ステップ1
02)、指定されていない場合には、アプリケーション
100のプロセスに付与されているRSIDを調べ(ス
テップ103)、RSIDから該当のRSのポインタ表
(313、323)を特定し、システムコール処理ルー
チン(312、322)を呼び出す(ステップ10
5)。指定されている場合には、許可表330でそのプ
ロセスに許可されているRSかを判定し(ステップ10
4)、RSIDから該当のRSのポインタ表(313、
323)を特定し、システムコール処理ルーチン(31
2、322)を呼び出す(ステップ105)。
コール200を呼び出す(ステップ101)。次に、R
SIDが引数に指定されているかを確認し(ステップ1
02)、指定されていない場合には、アプリケーション
100のプロセスに付与されているRSIDを調べ(ス
テップ103)、RSIDから該当のRSのポインタ表
(313、323)を特定し、システムコール処理ルー
チン(312、322)を呼び出す(ステップ10
5)。指定されている場合には、許可表330でそのプ
ロセスに許可されているRSかを判定し(ステップ10
4)、RSIDから該当のRSのポインタ表(313、
323)を特定し、システムコール処理ルーチン(31
2、322)を呼び出す(ステップ105)。
【0061】次に、ネットワークから入力されたパケッ
トの処理について説明する。
トの処理について説明する。
【0062】図8は、本発明の一実施例のネットワーク
からの入力処理のフローチャートである。
からの入力処理のフローチャートである。
【0063】ネットワークからパケット分別器400に
パケットが到着すると(ステップ201)、データリン
ク層、ネットワーク層、トランスポート層などのヘッダ
を見て、ルール表410を検索する(ステップ20
2)。検索した結果該当するものがあれば(ステップ2
03,Yes))、該当したルールに対する仮想インタ
フェースを用い(ステップ204)、該当するものがな
ければ(ステップ203、No)、デフォルトの仮想イ
ンタフェースを用いる(ステップ205)。次に、仮想
インターフェースを通じてRSのポインタ表(313、
323)を設定し、プロトコル処理ルーチン(311、
321)にパケットデータを渡す(ステップ206)。
プロトコル処理ルーチン(311、321)は、RSの
プロトコルスタックに応じてパケットを処理し(ステッ
プ207)、アプリケーション100の読出し(システ
ムコール)を待つ(ステップ208)。
パケットが到着すると(ステップ201)、データリン
ク層、ネットワーク層、トランスポート層などのヘッダ
を見て、ルール表410を検索する(ステップ20
2)。検索した結果該当するものがあれば(ステップ2
03,Yes))、該当したルールに対する仮想インタ
フェースを用い(ステップ204)、該当するものがな
ければ(ステップ203、No)、デフォルトの仮想イ
ンタフェースを用いる(ステップ205)。次に、仮想
インターフェースを通じてRSのポインタ表(313、
323)を設定し、プロトコル処理ルーチン(311、
321)にパケットデータを渡す(ステップ206)。
プロトコル処理ルーチン(311、321)は、RSの
プロトコルスタックに応じてパケットを処理し(ステッ
プ207)、アプリケーション100の読出し(システ
ムコール)を待つ(ステップ208)。
【0064】上記の流れで処理されたデータは、読出し
のシステムコール200を通じてアプリケーション10
0に渡される。
のシステムコール200を通じてアプリケーション10
0に渡される。
【0065】次に、アプリケーション100からネット
ワークに書き出されたデータの処理について説明する。
ワークに書き出されたデータの処理について説明する。
【0066】図9は、本発明の一実施例のネットワーク
への出力処理のフローチャートである。
への出力処理のフローチャートである。
【0067】システムコール200などを通じてデータ
が書き込まれ(ステップ301)、システムコール処理
ルーチン(312、322)の属するRS310、32
0から、プロトコル処理ルーチン(311、321)が
特定されると(ステップ302)、プロトコル処理ルー
チン(311、321)でデータを処理し(ステップ3
03)、RS310、320から特定される仮想インタ
フェースを通じてデータ(パケット)をネットワークに
送出する(ステップ304)。
が書き込まれ(ステップ301)、システムコール処理
ルーチン(312、322)の属するRS310、32
0から、プロトコル処理ルーチン(311、321)が
特定されると(ステップ302)、プロトコル処理ルー
チン(311、321)でデータを処理し(ステップ3
03)、RS310、320から特定される仮想インタ
フェースを通じてデータ(パケット)をネットワークに
送出する(ステップ304)。
【0068】上記の処理において、データはシステムコ
ール200を通じてOS300内の処理ルーチンに渡さ
れ、プロトコル処理を通ってネットワークに送出され
る。
ール200を通じてOS300内の処理ルーチンに渡さ
れ、プロトコル処理を通ってネットワークに送出され
る。
【0069】上述のように、本発明では、OSやサービ
スレイヤで、通信トポロジを管理すると共に、仮想デー
タリンクを個別認識し、独立に中継することにより、通
信の起点に応じてアクセス制御を行うことができ、ネッ
トワークのセキュリティを容易に高めることが可能とな
る。
スレイヤで、通信トポロジを管理すると共に、仮想デー
タリンクを個別認識し、独立に中継することにより、通
信の起点に応じてアクセス制御を行うことができ、ネッ
トワークのセキュリティを容易に高めることが可能とな
る。
【0070】なお、本発明は、上記の実施例に限定され
ることなく、特許請求の範囲内において種々変更・応用
が可能である。
ることなく、特許請求の範囲内において種々変更・応用
が可能である。
【0071】
【発明の効果】上述のように、本発明によれば、一つの
物理ネットワーク上にセキュリティレベルや通信品質の
異なる複数の仮想的なネットワークを構成し、それらの
仮想ネットワーク毎に適切なプロトコル処理やアプリケ
ーション実行が可能になる。これにより、例えば、イン
ターネットに晒された比較的危険なネットワークや、社
内の多数のユーザがアクセスするネットワーク、部署内
のユーザだけがアクセスするネットワーク、一人のユー
ザだけがアクセスするネットワークといった複数のセキ
ュリティレベルに応じた仮想ネットワークを用意し、そ
れぞれに稼働させるアプリケーションを制限したり、通
信の中継方法をIP層の中継やアプリケーション層の中
継など多様に使い分けることにより、ネットワークに対
するセキュリティをきめ細かに制御することが可能にな
る。
物理ネットワーク上にセキュリティレベルや通信品質の
異なる複数の仮想的なネットワークを構成し、それらの
仮想ネットワーク毎に適切なプロトコル処理やアプリケ
ーション実行が可能になる。これにより、例えば、イン
ターネットに晒された比較的危険なネットワークや、社
内の多数のユーザがアクセスするネットワーク、部署内
のユーザだけがアクセスするネットワーク、一人のユー
ザだけがアクセスするネットワークといった複数のセキ
ュリティレベルに応じた仮想ネットワークを用意し、そ
れぞれに稼働させるアプリケーションを制限したり、通
信の中継方法をIP層の中継やアプリケーション層の中
継など多様に使い分けることにより、ネットワークに対
するセキュリティをきめ細かに制御することが可能にな
る。
【0072】また、これらの仮想ネットワークの提供を
スイッチ等のネットワーク機器側から制御することも可
能となる。これにより、初心者から上級者に至るまでの
様々な技術のユーザに応じた、適切なインターネットア
クセス及びイントラネットアクセスを提供することがで
きる。
スイッチ等のネットワーク機器側から制御することも可
能となる。これにより、初心者から上級者に至るまでの
様々な技術のユーザに応じた、適切なインターネットア
クセス及びイントラネットアクセスを提供することがで
きる。
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明の仮想ネットワークを説明するための図
である。
である。
【図4】本発明のOS内部の処理を説明するための図で
ある。
ある。
【図5】本発明の多重通信実装時のOS内部の構成図で
ある。
ある。
【図6】本発明の一実施例の通信装置の構成図である。
【図7】本発明の一実施例のシステムコールの処理を示
すフローチャートである。
すフローチャートである。
【図8】本発明の一実施例のネットワークからの入力処
理のフローチャートである。
理のフローチャートである。
【図9】本発明の一実施例のネットワークへの出力処理
のフローチャートである。
のフローチャートである。
100 アプリケーション 101、102、103、104 プロセス 200 システムコール 300 OS,中継手段 310,320 RS(Resource Space) 311,321 プロトコル処理ルーチン 312,322 システムコール処理ルーチン 330 許可表 340 RS対応表 400 認識手段、パケット分別器 410 ルール表
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 29/04 (72)発明者 明石 修 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 佐藤 孝治 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 山崎 憲一 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 菅原 俊治 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B089 GA04 GB01 HB19 KA04 KB03 KB06 KF06 KG05 KG08 5B098 GA02 GA04 GC01 5K030 HC01 HC13 HD03 LB05 5K033 BA04 CB08 CC01 DA05 DB18 5K034 JJ24 KK21 KK27 KK28
Claims (11)
- 【請求項1】 インターネットやプライベートネットワ
ークを介して接続されたネットワークによる通信方法に
おいて、 OS(オペレーティングシステム)やサービスレイヤが
物理データリンク上に構成される複数の仮想データリン
クを個別に認識し、 前記仮想データリンク間を独立に中継することを特徴と
するネットワークによる通信方法。 - 【請求項2】 前記仮想データリンク間を独立に中継す
る際に、 ネットワーク層やトランスポート層の上位層の情報によ
り通信を区別し、定められた仮想データリンクに中継す
る請求項1記載のネットワークによる通信方法。 - 【請求項3】 前記仮想ネットワークと、装置内部の資
源とをグループ化して、該装置内の資源を仮想ネットワ
ークに独立に割り付ける請求項1記載のネットワークに
よる通信方法。 - 【請求項4】 インターネットやプライベートネットワ
ークを介して接続されたネットワークによる通信方法に
おいて、 複数の仮想データリンクや物理データリンを関連付けて
グループ化したOS内の処理モジュールをリソーススペ
ース(以下、RS)とし、 前記RS毎に独立したプロトコル処理を行うことを特徴
とするネットワークによる通信方法。 - 【請求項5】 通信の発信元や送信元のIPアドレスや
ポート番号を含む上位層の情報に応じて、通信を前記R
Sに割り付けることにより、該上位層の情報に応じて通
信を適当な仮想ネットワークに割り付ける請求項4記載
のネットワークによる通信方法。 - 【請求項6】 インターネットやプライベートネットワ
ークを介して接続されたネットワークによる通信装置で
あって、 OS(オペレーティングシステム)やサービスレイヤで
実現する物理データリンク上に構成される複数の仮想デ
ータリンクを個別に認識する認識手段と、前記仮想デー
タリンク間を独立に中継する中継手段とを有することを
特徴とす るネットワークによる通信装置。 - 【請求項7】 前記中継手段は、 ネットワーク層やトランスポート層の上位層の情報によ
り通信を区別し、定められた仮想データリンクに中継す
る手段を含む請求項6記載のネットワークによる通信装
置。 - 【請求項8】 前記仮想ネットワークと、装置内部の資
源とをグループ化して、該装置内の資源を仮想ネットワ
ークに独立に割り付ける手段を有する請求項6記載のネ
ットワークによる通信装置。 - 【請求項9】 インターネットやプライベートネットワ
ークを介して接続されたネットワークによる通信装置で
あって、 複数の仮想データリンクや物理データリンを関連付けて
グループ化したOS内の処理モジュールであるリソース
スペース(以下、RS)を有し、 前記RS毎に独立したプロトコル処理を行うことを特徴
とするネットワークによる通信装置。 - 【請求項10】 通信の発信元や送信元のIPアドレス
やポート番号を含む上位層の情報に応じて、通信を前記
RSに割り付けることにより、該上位層の情報に応じて
通信を適当な仮想ネットワークに割り付ける手段を有す
る請求項9記載のネットワークによる通信装置。 - 【請求項11】 前記RSは、 前記RS毎のポインタの集合であるポインタ表と、 アプリケーションのプロセスに付与されている前記RS
毎に一意に付与されるRS識別子(RSID)に基づい
て、前記ポインタ表を検索して呼び出されるシステムコ
ール処理ルーチンと、 前記システムコール処理ルーチンの属するRSに基づい
て特定され、該RSから特定される仮想インタフェース
を介してパケットを処理し、処理したパケットをネット
ワークに出力するプロトコル処理ルーチンとを有する請
求項9記載のネットワークによる通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000270778A JP2002084302A (ja) | 2000-09-06 | 2000-09-06 | ネットワークによる通信方法及び装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000270778A JP2002084302A (ja) | 2000-09-06 | 2000-09-06 | ネットワークによる通信方法及び装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002084302A true JP2002084302A (ja) | 2002-03-22 |
Family
ID=18757157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000270778A Pending JP2002084302A (ja) | 2000-09-06 | 2000-09-06 | ネットワークによる通信方法及び装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002084302A (ja) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007158870A (ja) * | 2005-12-07 | 2007-06-21 | Hitachi Ltd | 仮想計算機システム及びそのネットワーク通信方法 |
| JP2009267625A (ja) * | 2008-04-23 | 2009-11-12 | Ntt Docomo Inc | 仮想ネットワークシステム、仮想ネットワーク構築方法 |
| JP2009303275A (ja) * | 2003-03-06 | 2009-12-24 | Microsoft Corp | 仮想ネットワーク・トポロジの生成 |
| US7669235B2 (en) | 2004-04-30 | 2010-02-23 | Microsoft Corporation | Secure domain join for computing devices |
| US7684964B2 (en) | 2003-03-06 | 2010-03-23 | Microsoft Corporation | Model and system state synchronization |
| US7689676B2 (en) | 2003-03-06 | 2010-03-30 | Microsoft Corporation | Model-based policy application |
| US7711121B2 (en) | 2000-10-24 | 2010-05-04 | Microsoft Corporation | System and method for distributed management of shared computers |
| US7778422B2 (en) | 2004-02-27 | 2010-08-17 | Microsoft Corporation | Security associations for devices |
| US7792931B2 (en) | 2003-03-06 | 2010-09-07 | Microsoft Corporation | Model-based system provisioning |
| US7797147B2 (en) | 2005-04-15 | 2010-09-14 | Microsoft Corporation | Model-based system monitoring |
| US7941309B2 (en) | 2005-11-02 | 2011-05-10 | Microsoft Corporation | Modeling IT operations/policies |
| JP2012526410A (ja) * | 2009-05-04 | 2012-10-25 | アルカテル−ルーセント | 仮想ネットワーク内で先験的な知識なしにアドミッションを制御しデータフローにリソースを割り当てる方法 |
| US8489728B2 (en) | 2005-04-15 | 2013-07-16 | Microsoft Corporation | Model-based system monitoring |
| US8549513B2 (en) | 2005-06-29 | 2013-10-01 | Microsoft Corporation | Model-based virtual system provisioning |
| JP2013219536A (ja) * | 2012-04-09 | 2013-10-24 | Nippon Telegr & Teleph Corp <Ntt> | 転送装置、仮想ネットワークシステム、転送装置における転送方法及び転送装置プログラム |
| JP2013539881A (ja) * | 2010-10-13 | 2013-10-28 | パルテック・クラスター・コンペテンス・センター・ゲゼルシャフト・ミット・ベシュレンクテル・ハフツング | 計算タスクを処理するためのコンピュータクラスタ構成、およびそれを動作させるための方法 |
-
2000
- 2000-09-06 JP JP2000270778A patent/JP2002084302A/ja active Pending
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7711121B2 (en) | 2000-10-24 | 2010-05-04 | Microsoft Corporation | System and method for distributed management of shared computers |
| US7739380B2 (en) | 2000-10-24 | 2010-06-15 | Microsoft Corporation | System and method for distributed management of shared computers |
| US7890951B2 (en) | 2003-03-06 | 2011-02-15 | Microsoft Corporation | Model-based provisioning of test environments |
| US7684964B2 (en) | 2003-03-06 | 2010-03-23 | Microsoft Corporation | Model and system state synchronization |
| US7689676B2 (en) | 2003-03-06 | 2010-03-30 | Microsoft Corporation | Model-based policy application |
| JP2009303275A (ja) * | 2003-03-06 | 2009-12-24 | Microsoft Corp | 仮想ネットワーク・トポロジの生成 |
| US8122106B2 (en) | 2003-03-06 | 2012-02-21 | Microsoft Corporation | Integrating design, deployment, and management phases for systems |
| US7792931B2 (en) | 2003-03-06 | 2010-09-07 | Microsoft Corporation | Model-based system provisioning |
| US7886041B2 (en) | 2003-03-06 | 2011-02-08 | Microsoft Corporation | Design time validation of systems |
| US7890543B2 (en) | 2003-03-06 | 2011-02-15 | Microsoft Corporation | Architecture for distributed computing system and automated design, deployment, and management of distributed applications |
| KR101143648B1 (ko) | 2003-03-06 | 2012-05-09 | 마이크로소프트 코포레이션 | 가상 네트워크 토폴로지 발생을 위한 방법, 컴퓨터, 및 컴퓨터 판독가능 기록매체 |
| US7778422B2 (en) | 2004-02-27 | 2010-08-17 | Microsoft Corporation | Security associations for devices |
| US7669235B2 (en) | 2004-04-30 | 2010-02-23 | Microsoft Corporation | Secure domain join for computing devices |
| US7797147B2 (en) | 2005-04-15 | 2010-09-14 | Microsoft Corporation | Model-based system monitoring |
| US8489728B2 (en) | 2005-04-15 | 2013-07-16 | Microsoft Corporation | Model-based system monitoring |
| US10540159B2 (en) | 2005-06-29 | 2020-01-21 | Microsoft Technology Licensing, Llc | Model-based virtual system provisioning |
| US9811368B2 (en) | 2005-06-29 | 2017-11-07 | Microsoft Technology Licensing, Llc | Model-based virtual system provisioning |
| US8549513B2 (en) | 2005-06-29 | 2013-10-01 | Microsoft Corporation | Model-based virtual system provisioning |
| US9317270B2 (en) | 2005-06-29 | 2016-04-19 | Microsoft Technology Licensing, Llc | Model-based virtual system provisioning |
| US7941309B2 (en) | 2005-11-02 | 2011-05-10 | Microsoft Corporation | Modeling IT operations/policies |
| JP2007158870A (ja) * | 2005-12-07 | 2007-06-21 | Hitachi Ltd | 仮想計算機システム及びそのネットワーク通信方法 |
| JP4622835B2 (ja) * | 2005-12-07 | 2011-02-02 | 株式会社日立製作所 | 仮想計算機システム及びそのネットワーク通信方法 |
| JP2009267625A (ja) * | 2008-04-23 | 2009-11-12 | Ntt Docomo Inc | 仮想ネットワークシステム、仮想ネットワーク構築方法 |
| JP2012526410A (ja) * | 2009-05-04 | 2012-10-25 | アルカテル−ルーセント | 仮想ネットワーク内で先験的な知識なしにアドミッションを制御しデータフローにリソースを割り当てる方法 |
| JP2013539881A (ja) * | 2010-10-13 | 2013-10-28 | パルテック・クラスター・コンペテンス・センター・ゲゼルシャフト・ミット・ベシュレンクテル・ハフツング | 計算タスクを処理するためのコンピュータクラスタ構成、およびそれを動作させるための方法 |
| JP2017216000A (ja) * | 2010-10-13 | 2017-12-07 | パルテック・クラスター・コンペテンス・センター・ゲゼルシャフト・ミット・ベシュレンクテル・ハフツングPartec Cluster Competence Center Gmbh | 計算タスクを処理するためのコンピュータクラスタ構成、およびそれを動作させるための方法 |
| US10142156B2 (en) | 2010-10-13 | 2018-11-27 | Partec Cluster Competence Center Gmbh | Computer cluster arrangement for processing a computation task and method for operation thereof |
| US10951458B2 (en) | 2010-10-13 | 2021-03-16 | Partec Cluster Competence Center Gmbh | Computer cluster arrangement for processing a computation task and method for operation thereof |
| US11934883B2 (en) | 2010-10-13 | 2024-03-19 | Partec Cluster Competence Center Gmbh | Computer cluster arrangement for processing a computation task and method for operation thereof |
| JP2013219536A (ja) * | 2012-04-09 | 2013-10-24 | Nippon Telegr & Teleph Corp <Ntt> | 転送装置、仮想ネットワークシステム、転送装置における転送方法及び転送装置プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819663B (zh) | 一种实现虚拟网络功能服务链的方法和装置 | |
| US5732071A (en) | ATM bridge device and ATM bridging scheme for realizing efficient ATM bridge interconnection | |
| EP3493508B1 (en) | Separation of control plane function and forwarding plane function of broadband remote access server | |
| US5684800A (en) | Method for establishing restricted broadcast groups in a switched network | |
| US9729441B2 (en) | Service function bundling for service function chains | |
| US6279035B1 (en) | Optimizing flow detection and reducing control plane processing in a multi-protocol over ATM (MPOA) system | |
| JP4076586B2 (ja) | マルチレイヤ・ネットワーク要素用のシステムおよび方法 | |
| EP0381365B1 (en) | A system and method for interconnecting applications across different networks of data processing systems | |
| JP2002084302A (ja) | ネットワークによる通信方法及び装置 | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| US7869442B1 (en) | Method and apparatus for specifying IP termination in a network element | |
| US8274973B2 (en) | Virtual service domains | |
| JP2001053789A (ja) | コンピュータネットワークにおける多層広帯域準備のためのシステム | |
| CN108289061B (zh) | 基于sdn的业务链拓扑系统 | |
| CN112804112B (zh) | 一种sd-wan网络环境中多云访问的方法 | |
| CA2317460C (en) | Providing desired service policies to subscribers accessing internet | |
| WO2021022806A1 (zh) | 一种网络业务集中处理的网络系统、方法及通信设备 | |
| US20220070091A1 (en) | Open fronthaul network system | |
| CA2266072C (en) | Packet filtering in connection-based switching networks | |
| CN102377645B (zh) | 交换芯片及其实现方法 | |
| CN110650092A (zh) | 一种数据处理的方法和装置 | |
| AU2004237319A1 (en) | Method for the priority classification of frames | |
| WO2022166465A1 (zh) | 一种报文处理方法及相关装置 | |
| Cisco | Cisco IOS Bridging and IBM Networking Configuration Guide Release 12.1 | |
| Cisco | Configuring Source-Route Bridging |