JP2004193878A - ネットワークシステム、ルータ装置、ノード装置、パケット転送方法及びプログラム - Google Patents

ネットワークシステム、ルータ装置、ノード装置、パケット転送方法及びプログラム Download PDF

Info

Publication number
JP2004193878A
JP2004193878A JP2002358334A JP2002358334A JP2004193878A JP 2004193878 A JP2004193878 A JP 2004193878A JP 2002358334 A JP2002358334 A JP 2002358334A JP 2002358334 A JP2002358334 A JP 2002358334A JP 2004193878 A JP2004193878 A JP 2004193878A
Authority
JP
Japan
Prior art keywords
packet
router
virtual router
address
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002358334A
Other languages
English (en)
Other versions
JP3689083B2 (ja
Inventor
Kazutaka Yamamoto
一隆 山本
Yasuhiro Katsube
泰弘 勝部
Shigeo Matsuzawa
茂雄 松澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002358334A priority Critical patent/JP3689083B2/ja
Publication of JP2004193878A publication Critical patent/JP2004193878A/ja
Application granted granted Critical
Publication of JP3689083B2 publication Critical patent/JP3689083B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】カスタマに提供するグローバルアドレスをできる限り確保し、またセキュリティの向上を図り得るネットワークシステムの提供。
【解決手段】ネットワーク101の境界に設置されるルータ装置140a内に、この境界ルータ装置140aが受け取った共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを当該独自のアドレス体系で他の境界ルータ装置まで転送する機能と、前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する機能とを具備する第1仮想ルータ111a,第2仮想ルータ113aを設けている。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、IP(インターネットプロトコル)を用いたネットワークにおけるネットワークシステム、ルータ装置、ノード装置、パケット転送方法及びプログラムに関する。
【0002】
【従来の技術】
IP(インターネットプロトコル)を用いたネットワークであるインターネットの利用が急速に普及している。インターネットを構成する要素として、ISP(Internet Service Provider)、IX(Internet Exchange)がある。
【0003】
ISPは、個人や企業といった顧客(カスタマ)を対象にインターネットへの接続サービスやWebやメールといったアプリケーションのサービスを提供する事業者である。
【0004】
またIXは、ISP同士が自社のネットワークと別のISPのネットワークを相互接続するための接続ポイントを用意した事業者である。
【0005】
ISPは、複数のルータと呼ばれる装置やサービスを提供する端末(Webサーバ、メールサーバなど)が接続されることにより実現されている。ルータ及びルータに接続される端末を含め全ての機器は、その機器を特定するための識別子としてIPアドレスを持ち、各IPアドレスは、各機器から他の機器にデータを転送する時に使用される。
【0006】
ルータ装置は、カスタマにより付加されたIPアドレスを用いてルーティングテーブルを検索することで、データ(パケット)の次の転送先(Next Hop)を決定する。このように各ルータ装置がパケット転送(フォワーディング)を行うことで、最終的な宛先に到達する。ルータ装置間では、RIP、OSPF、BGPなどのルーティングプロトコルによってルーティング情報を交換し、ルーティングテーブルを作成し、更新している。
【0007】
前述のIPアドレスは、その数に限りがあるため、インターネットに接続する機器が増大するにつれ、固有な識別子として使えるIPアドレスが枯渇するという問題が生じる。
【0008】
この問題の対処として、ISPやIXでは、インターネット上で固有な識別子として使えるアドレス(グローバルアドレス)の無駄使いを省くために、企業内やISP内など限定した範囲でのみで使用するプライベートアドレスを利用する場合がある。ただし、プライベートアドレスのルーティング情報をインターネットに伝達させてしまうと、アドレスの重複が生じる可能性があり、インターネットのルーティング情報に不都合が生じる虞があるので、外部のネットワークと接する境界ルータ装置上でルーティングプロトコルのフィルタリングなどを使用し、アドレスごとにプライベートアドレスを外部には伝達しないような設定を行わなければならない。
【0009】
また現在のインターネットの別の問題として、セキュリティに関する問題がある。悪意のある第三者が、ISPや企業内のルータやホストのセキュリティホールをついて不正侵入し、サービスやシステムを停止させたり、再起動させてしまうなどの攻撃を仕掛けてくる可能性がある。
【0010】
このような攻撃は、攻撃対象のルータやホストのIPアドレスを元に仕掛けるものである。従来のインターネットのネットワークの構成では、tracerouteなどのコマンドでデータが通過するルータのIPアドレスを知ることが可能である。逆に言うと、このコマンドを使用すれば、悪意のある第三者もISPやIX内のルータやホストのIPアドレスを知ることができ、そこをつかれ攻撃を受けるという危険がある。
【0011】
また、イサーネットのようなネットワーク同士を接続することができ、且つ、MAC(Media Access Control)層において定義されるフレームレベルでの転送処理を行うことができるルータ装置、及びフレーム転送方法が知られている(例えば、特許文献1参照。)。
【0012】
さらに、この種のIPネットワークシステムにおいて、パケットが発生したときHop by Hopのルーティング処理を行わず、瞬時にショートカットVCを張り、既存のATM機器との親和性を良くし、IPサブネットを無駄に使わないようにしたものが知られている(例えば、特許文献2参照。)。
【0013】
またさらに、この種のIPネットワークシステムにおいて、セキュリティー処理を統合するものも知られている(例えば、特許文献3参照。)。
【0014】
【特許文献1】
特許第3272280号明細書
【0015】
【特許文献2】
特開平11−68789号公報
【0016】
【特許文献3】
特開2000−4255
【0017】
【発明が解決しようとする課題】
以上のように、従来のISPやIXのネットワークでは、組織内のネットワークにグローバルアドレスを使用した場合には、その分だけカスタマに提供するアドレス数を減らしてしまっていた。
【0018】
一方、組織内でプライベートアドレスを使用してカスタマに提供するアドレス数をより多く確保する場合には、組織の外部へは内部のプライベートアドレスで構成されたネットワークのルーティング情報を伝達させないため、境界ルータ装置によって経路フィルタをアドレスごとに設定する必要があった。
【0019】
また、いずれのケースもISPやIX内のネットワーク構成やノードに付与したIPアドレスが外部に知られ、外部からセキュリティホールを狙われ攻撃される虞があった。
【0020】
本発明の目的は、カスタマに提供するグローバルアドレスをできる限り確保し、またセキュリティの向上を図り得るネットワークシステム、ルータ装置、ノード装置、パケット転送方法及びプログラムを提供することにある。
【0021】
【課題を解決するための手段】
上記課題を解決するために本発明に係るネットワークシステムは、互いに接続されるネットワーク同士の境界に設置されるルータ装置内に第1,第2仮想ルータを設けてなるネットワークシステムであって、
前記第1仮想ルータ及び第2仮想ルータは、
一の前記境界ルータ装置が受け取った共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを当該独自のアドレス体系で前記一の境界ルータ装置から他の境界ルータ装置まで転送する機能と、
前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する機能と
を有することを特徴とする。
【0022】
上記課題を解決するために本発明に係るルータ装置は、ネットワークシステムを構成するネットワーク同士の境界に設置されるルータ装置において、
共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを前記ネットワークシステム内に転送する機能と、前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する機能とを有する仮想ルータを具備することを特徴とする。
【0023】
上記課題を解決するために本発明に係るパケット転送方法は、ネットワークシステムを構成するネットワーク同士の境界におけるパケット転送方法において、
共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを前記ネットワークシステム内に転送するステップと、
前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送するステップとを有することを特徴とする。
【0024】
上記課題を解決するために本発明に係るパケット転送プログラムは、ネットワークシステムを構成するネットワーク同士の境界に設置されるコンピュータに、
前記コンピュータが受けた共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを前記ネットワークシステム内に転送する手順と、
前記コンピュータが受けた前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する手順と
を実行させる。
【0025】
上記課題を解決するために本発明に係るネットワークシステムは、互いに接続されるネットワーク同士の境界に設置されるルータ装置内及び外部のノード装置内夫々に、共通のアドレス体系で動作する第1仮想ルータと、システム内部独自のアドレス体系で動作する第2仮想ルータを設けてなるネットワークシステムであって、
前記第1仮想ルータ及び第2仮想ルータは、
前記共通のアドレス体系のパケットを前記独自のアドレス体系のパケットにカプセル化し、該カプセル化したパケットを前記独自のアドレス体系で、他の前記境界ルータ装置又は前記ノード装置へ転送する機能と、
前記独自のアドレス体系でカプセル化され転送されたパケットを前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを前記共通のアドレス体系で転送する機能とを有することを特徴とする。
【0026】
本発明によれば、システム内部ではパケットをシステム独自のアドレス体系で転送処理し、システム外部では共通のアドレス体系で転送処理するので、使用する共通のアドレス体系のアドレスを節約することができる。
【0027】
また本発明によれば、システム内部ではパケットのカプセル化により転送し、システム外部にはパケットを非カプセル化して転送するようにしているので、独自のアドレス体系のアドレスをシステム外部に伝達させないため、ルーティングプロトコルによる経路フィルタを設定する必要はなく、また悪意のある第三者による不正侵入を未然に防止することが可能となる。
【0028】
【発明の実施の形態】
以下、図面を参照しながら本発明の実施形態を説明する。
【0029】
(第1の実施形態)
図1は本発明のネットワークシステムにおいて、IXを実現するための一構成例を示す。
【0030】
ネットワーク102aは、一つのISPを構成するネットワークであり、ルータ140aなどの装置が存在しており、ネットワーク102aが一つの自律システム(AS)を構成している。
【0031】
同様にネットワーク102nは、一つのISPを構成するネットワークであり、ルータ140nなどの装置が存在しており、ネットワーク102aとは独立に管理されたASを構成している。
【0032】
ネットワーク101は、ISP間を接続するIXとして提供されるネットワークであり、ネットワーク102aとネットワーク102nとを接続している。
【0033】
ネットワーク101内には、エッジルータ110a、コアルータ120及びエッジルータ110nが存在する。
【0034】
エッジルータ110aは、IX101とISP102aとの境界に位置するルータ装置であり、ネットワーク102aのルータ140aからコアルータ120へのパケット転送と、コアルータ120からルータ140aへのパケット転送とを行う。またエッジルータ110aは、内部に仮想ルータ111aと仮想ルータ113aとを持ち、それぞれが論理的に独立して動作している。
【0035】
仮想ルータ111aは、インタフェース112aを介してルータ140aに、インタフェース115aを介して論理的に仮想ルータ111nに接続されており、ルータ140aや仮想ルータ111nとの間の通信を可能とするグローバルアドレス(全てのインターネットで共通のアドレス体系に従う一意なアドレス)が収容されるインタフェースのいずれかに最低1つ付加されている。
【0036】
また仮想ルータ111aは、ルータ140aとの間で例えばOSPFのようなIGPによる情報のやり取りにより、ネットワーク102a内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル130aに記憶する。
【0037】
さらに仮想ルータ111aは、仮想ルータ111nとの間で、例えばBGPのようなAS間ルーティングプロトコルによる情報のやりとりにより、ネットワーク102n内のホストやルータにパケットを転送するために必要となる次のルータ、すなわち、この場合には、仮想ルータ111nを求め、その結果をルーティングテーブル130aに記憶する。
【0038】
この結果、仮想ルータ111aは、ルータ140aや仮想ルータ111nから転送されたパケットの宛先からルーティングテーブル130aを検索し、次の転送先がルータ140aの場合には、インタフェース112aにパケットを出力し、次の転送先が仮想ルータ111nの場合には、インタフェース115aに出力する。
【0039】
インタフェース112aは、仮想ルータ111aから出力されたパケットにデータリンクヘッダの付加、データリンクフレームのルータ140aへの出力及び、ルータ140aから転送されたパケットのデータリンクヘッダの削除と仮想ルータ111aへの転送を行う。データリンクレイヤとしてはEthernet(R)、ATM(Asynchronous Transfer Mode)、POS(Packet over SONET)などが考えられる。
【0040】
ここで、インタフェース112aでは、Ethernet(R)などのマルチアクセスインタフェース(一つのインタフェースで複数のルータと接続)の場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェース(一つのインタフェースで一つのルータと接続)の場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0041】
インタフェース115aは、IX101内のネットワークを仮想的なトンネル150とみたて、それを介して仮想ルータ111nとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース(トンネルインタフェース)である。
【0042】
この論理インタフェースには、トンネル150の出口が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル150の出口が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0043】
仮想ルータ111aより出力され仮想ルータ111nへ転送するパケットについては、次の転送先となる仮想ルータ111nに収容されるインタフェースに付加されたグローバルアドレスからトンネル対応テーブル130aを検索する。これにより、仮想ルータ113nに収容されるインタフェースに付加されたアドレスを求め、求めたアドレスからカプセル情報を作成し、その後に、パケットの先頭にトンネル情報を付加したカプセル化パケットを作成し、仮想ルータ113aにパケットを転送する。
【0044】
一方、仮想ルータ113aより転送されたカプセル化パケットは、カプセル情報の削除後、仮想ルータ111aに転送する。
【0045】
仮想ルータ113aは、インタフェース114aを介してコアルータ120に接続されており、コアルータ120との間の通信を可能とするIX101内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0046】
仮想ルータ113aは、コアルータ120との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、IX101内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル131aに記憶する。
【0047】
また、仮想ルータ113aでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース115aに出力する。
【0048】
このように、仮想ルータ113aは、インタフェース115aから入力されたパケットの宛先からルーティングテーブル131aを検索し、次の転送先がコアルータ120の場合には、インタフェース114aにパケットを出力する。また、インタフェース114aから入力されたカプセル化パケットはインタフェース115aに出力する。
【0049】
インタフェース114aは、112aと同様の処理を行うものであり、接続先がコアルータ120となる。
【0050】
ここで、インタフェース112aでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずIX101内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、IX101内で一意なアドレスが付加される場合と付加されない場合がある。
【0051】
エッジルータ110nは、IX101とISP102nの境界に位置するルータ装置であり、ルータ140nからコアルータ120へのパケット転送とコアルータ120からルータ140nへのパケット転送とを行う。
【0052】
エッジルータ110nは、エッジルータ110aと同様に内部に仮想ルータ111nと仮想ルータ113nとを持ち、それぞれが論理的に独立して動作している。
【0053】
仮想ルータ111nは、インタフェース112nを介してルータ140nに、インタフェース115nを介して論理的に仮想ルータ111aに接続されており、ルータ140nや仮想ルータ111aとの間の通信を可能とするグローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0054】
また仮想ルータ111nは、仮想ルータ111a同様に、ルータ140nとの間でOSPFのようなAS内ルーティングプロトコル(IGP)による情報のやり取り、仮想ルータ111aとの間でBGPのようなAS間ルーティングプロトコルによる情報のやりとりを行い、ルーティング情報をルーティングテーブル130nに記憶する。
【0055】
さらに仮想ルータ111nは、ルーティングテーブル130nをもとに、ルータ140nや仮想ルータ113nから転送されたパケットの宛先から次の転送先がルータ140nの場合には、インタフェース112nにパケットを出力し、次の転送先が仮想ルータ111aの場合には、インタフェース115nに出力する。
【0056】
インタフェース112nは、インタフェース112aと同様の処理を行うものであり、接続先がルータ140bとなる。
【0057】
ここで、インタフェース112nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェースの場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0058】
インタフェース115nは、インタフェース115aと同様にトンネル150を介して仮想ルータ111aとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース、すなわちトンネルインタフェースである。
【0059】
この論理インタフェースにはトンネル150が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル150が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0060】
仮想ルータ111nより入力され仮想ルータ111aへ出力するパケットについては、トンネル対応テーブル132nの情報をもとに、パケットの先頭にトンネル情報を付加して仮想ルータ113nにパケットを出力する。一方、仮想ルータ113nより入力されたパケットはカプセル情報の削除後、仮想ルータ111nに出力する。
【0061】
仮想ルータ113nは、インタフェース114nを介してコアルータ120に接続されており、コアルータ120との間の通信を可能とするIX101内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0062】
仮想ルータ113aは、コアルータ120との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、IX101内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル131nに記憶する。
【0063】
また、仮想ルータ113nでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース115nに出力する。
【0064】
このように、仮想ルータ113nは、インタフェース115nから転送されたパケットの宛先からルーティングテーブル131nを検索し、次の転送先がコアルータ120の場合には、インタフェース114nにパケットを出力する。また、インタフェース114nから転送されたカプセル化パケットはインタフェース115nに出力する。
【0065】
インタフェース114nは、112aと同様の処理を行うものであり、接続先がコアルータ120となる。
【0066】
ここで、インタフェース112nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずIX101内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、IX101内で一意なアドレスが付加される場合と付加されない場合がある。
【0067】
コアルータ120は、IX101内に位置するルータ装置であり、仮想ルータ113aから仮想ルータ113nへのパケット転送と仮想ルータ113nからルータ113aへのパケット転送を行う。
【0068】
またコアルータ120は、インタフェース121aを介して仮想ルータ113aに接続されており、インタフェース121nを介して仮想ルータ113nに接続されている。IX101内の他のルータとの間の通信を可能とするため、IX101内で一意なアドレスがそれぞれのインタフェースに最低1つ付加されている。
【0069】
さらにコアルータ120は、仮想ルータ113aや仮想ルータ113nとの間で、OSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、IX101内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル122に記憶する。
【0070】
この結果、コアルータ120はインタフェース121aから転送されたパケットの宛先からルーティングテーブル122を検索し、次の転送先が仮想ルータ113nの場合には、インタフェース121nにパケットを出力する。同様にインタフェース121nから転送されたパケットの宛先からルーティングテーブル122を検索し、次の転送先が仮想ルータ113aの場合には、インタフェース121aにパケットを出力する。
【0071】
インタフェース121aとインタフェース121nとは、インタフェース112aと同様の処理を行うものであり、接続先がそれぞれ仮想ルータ113a、仮想ルータ113nとなる。
【0072】
ここで、インタフェース121a、インタフェース121nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずIX101内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、IX101内で一意なアドレスが付加される場合と付加されない場合がある。
【0073】
トンネル150は、仮想ルータ111aと仮想ルータ111nとが論理的に直接接続しているようにみせる仮想リンクである。仮想ルータ111aから仮想ルータ111nに転送されるパケットは、グローバルアドレス体系のパケットがインタフェース115aでIX101内のアドレス体系のパケットにカプセル化され、IX101内のネットワークを仮想ルータ113nまで転送され、インタフェース115nでカプセル化パケットが再び元のパケットに非カプセル化され仮想ルータ111nに到達する。仮想ルータ111nから仮想ルータ111aへのパケット転送も同様である。
【0074】
このように仮想ルータ111aと仮想ルータ111n間ではトンネル150を介して、IX内のネットワークを意識することなく、お互いに通信が可能となっている。
【0075】
図2はルーティングテーブル130aを詳細に示したものである。このテーブルはISP102a、ISP102nのネットワークやホストのアドレスや仮想ルータ111nのアドレスなど、グローバルアドレス空間の経路テーブルである。
【0076】
このテーブルでは、最終的な宛先アドレス、又は宛先アドレスを含むネットワークのアドレスと、そこへ到達するために転送する次のルータのアドレス、実際に転送するために使用する出力インタフェースの組が一つのセットとして記憶される。
【0077】
パケットを転送する際にはパケットの宛先アドレスを検索キーとして、ルーティングテーブル130aの宛先アドレス欄を検索する。
【0078】
検索により、合致する欄が見つかった時は、対応する次のルータアドレスと出力インタフェースを求め、出力インタフェースにパケットを渡す。
【0079】
検索により、合致する欄が見つからなかった時には、エラーメッセージを作成し転送元に送り返す。
【0080】
一例として、ルータ140nに付加されている宛先アドレスG140nに対する次の転送先は仮想ルータ111nのインタフェース115nのアドレスG115nで、出力先インタフェースはインタフェース115aと記憶される。
【0081】
図3はルーティングテーブル131aを詳細に示したものである。このテーブルは、IX内部の独自アドレス体系で構成されたネットワークの経路テーブルであり、ルーティングテーブル130a同様に最終的な宛先アドレス、又は宛先アドレスを含むネットワークのアドレスと、そこへ到達するために転送する次のルータのアドレス、実際に転送するために使用する出力インタフェースの組が一つのセットとして記憶される。パケットを転送する際にはパケットの宛先アドレスを検索キーとして、ルーティングテーブル130aの宛先アドレス欄を検索する。
【0082】
検索により合致する欄が見つかった時は、対応する次のルータアドレスと出力インタフェースを求め、出力インタフェースにパケットを渡す。
【0083】
検索により合致する欄が見つからなかった時には、エラーメッセージを作成し転送元に送り返す。
【0084】
一例として、仮想ルータ131nに付加されている宛先アドレスp114nに対する次の転送先はコアルータ120のインタフェース121aのアドレスp121aで、出力先インタフェースはインタフェース114aと記憶される。
【0085】
図4はトンネル対応テーブル132aを詳細に示したものである。このトンネル対応テーブルは、グローバルアドレスのパケットをIX101内部のアドレス体系のパケットにカプセル化する際に参照されるテーブルである。
【0086】
パケットをカプセル化する際には、仮想ルータ111aから転送されたパケットの次の転送先ルータのアドレスをキーとして、トンネル出口アドレス欄を検索する。
【0087】
検索により合致する欄が見つかった時は、対応するカプセル化アドレスを宛先アドレスとしたカプセル情報を作成、パケットに付加して、仮想ルータ131aに転送する。
【0088】
検索により合致する欄が見つからなかった時には、エラーとして仮想ルータ111aに送り返す。
【0089】
一例として、トンネル出口アドレスとなる仮想ルータ111nのインタフェース115nのアドレスG115nに対応するカプセル化アドレスとして仮想ルータ113nのインタフェース114nのアドレスp114nが記憶される。
【0090】
このトンネル出口アドレスとカプセル化アドレスの対応関係の情報はあらかじめ設定する方法とトンネル情報交換用のプロトコルを使用し、エッジルータ110aとエッジルータ110n間でお互いの対応関係情報を交換する方法とが考えられる。
【0091】
図5の501は、ルータ140aからルータ140nへ送信する場合のパケットを示したものである。パケットヘッダの宛先アドレスとしてルータ140nのアドレスG140n、送信元アドレスとしてルータ140aのアドレスG140aが設定されている。アドレスG140a、アドレス140nは共にグローバルアドレスである。
【0092】
図6の601は、インタフェース115aでパケット501に付加されるトンネル情報の一例である。宛先アドレスとして仮想ルータ113nに収容されるいずれかのインタフェースに付加されたアドレスが付加される。送信元アドレスとして仮想ルータ113aに収容されるいずれかのインタフェースに付加されたアドレスが付加される。また、このトンネル情報が付加されたパケットがカプセル化パケットであることを示すプロトコルIDも設定する。
【0093】
この例では宛先アドレスとして仮想ルータ113nのインタフェース114nのアドレスp114n、送信元アドレスとして仮想ルータ113aのインタフェース114aのアドレスp114aが設定されている。
【0094】
図7の701は、パケット501をトンネル情報601でカプセル化したパケットを示している。
【0095】
ここで図8のフローチャートを用いて、本ネットワークシステムを利用したIX101において、ISP102aのルータ140aから転送されたパケット501をISP102nのルータ140nへ転送する際の動作例を説明する。
【0096】
グローバルアドレスのパケット501が、ルータ140aから転送され、仮想ルータ111aに到達すると、仮想ルータ111aではパケット501の宛先アドレスG140nをもとにルーティングテーブル130aを検索し、次の転送先ルータのアドレスと出力インタフェースを求める(S101)。
【0097】
この場合、宛先アドレスG140nの次の転送先アドレスは、G115nで出力インタフェースがトンネル150を形成するインタフェース115aであることがわかり、パケット501をインタフェース115aに出力する(S102)。
【0098】
出力インタフェースがトンネル150を形成するインタフェース115aでない場合には、パケット501はその出力インタフェースから転送される(S103)。
【0099】
インタフェース115aでは、仮想ルータ111aから入力したパケット501の次転送先ルータのアドレスG115nをもとに、図3のトンネル対応テーブル132aのトンネル出口アドレス欄を検索する。
【0100】
この検索の結果、カプセル化アドレスが仮想ルータ113nのインタフェースアドレスp114nであることがわかり、この情報をもとに、トンネル情報601を作成する。このトンネル情報では、宛先アドレスをp114n、送信元アドレスを仮想ルータ113aに収容されるいずれかのインタフェースのアドレス、すなわち、この例の場合にはインタフェース114aのアドレスp114aに設定する。プロトコルIDにカプセル化されたパケットであることを示すIDを設定する。
【0101】
また作成したトンネル情報で、パケット501をカプセル化して、パケット701を作成し、仮想ルータ113aに出力する(S104)。
【0102】
すなわち、以上の処理においてインタフェース115aでは、パケット501からIX101内で通用するアドレス体系のパケット701が生成され、IX内をトンネル情報601に基づいて転送されることになるため、仮想ルータ111aの上流、つまりISP102aなどにはIX内部のネットワーク構成を認識させないことが可能となる。
【0103】
仮想ルータ113aでは、インタフェース115aから入力したパケット701の宛先アドレスp114nをもとに、ルーティングテーブル131aの宛先アドレス欄を検索する。この検索の結果、宛先アドレスp114nに対応する次の転送先ルータのアドレスがp121aで、出力インタフェースが114aであることがわかり、パケット701をインタフェース114aに出力する(S105)。
【0104】
コアルータ120でも同様にルーティングテーブル122を検索し、パケット701の次転送ルータを調べ転送する。
【0105】
このようにして、パケット701は、IX101内部のネットワークの中を転送され、仮想ルータ113nまで到達する(S106)。
【0106】
仮想ルータ113nでは、自身が収容するインタフェースのアドレスが宛先アドレスであるパケット701を受信し、そのプロトコルIDから、これがカプセル化されたパケットであるかどうかを調査する(S107)。
【0107】
カプセル化されたパケットである場合、インタフェース115nへ出力する(S109)。
【0108】
カプセル化されたパケットでない場合は、IX内のネットワークで閉じた通信で仮想ルータ113nの上位層、つまりTCPやUDPなどで処理されるパケットであるため、仮想ルータ113n内の適切な上位層に処理を委ねる(S108)。
【0109】
インタフェース115nでは、パケット701のトンネル情報部分601を取り除き、パケット501の状態に戻し、仮想ルータ111nへ出力する(S110)。
【0110】
仮想ルータ111nではパケット501の宛先アドレスG140nをもとにルーティングテーブル130nを参照し、次の転送先ルータ140n、この場合、最終宛先へパケット501を転送する(S111)。
【0111】
上記のように処理されてパケット501は、ISP102aのルータ140aからISP102nのルータ140nへ転送される。
【0112】
以上のように、本実施形態では、IX101内の仮想ルータ111aに収容されるインタフェースと仮想ルータ111nに収容されるインタフェースにはグローバルアドレスが付加されるが、それ以外のルータのインタフェースにはIX内部独自のアドレスを付加しネットワークが構成されることから、使用するグローバルアドレスを節約することができる。この使用するグローバルアドレスを節約することは、特に、IX内のネットワークの規模が大きくなり、内部のネットワークに位置するルータの数が増加したシステムの場合、非常に有効となる。
【0113】
また、本実施形態では、IX内部をパケットのカプセル化により転送し、IX外部にはパケットを非カプセル化して転送する技術を用いることにより、エッジルータにおいて、IX内部のアドレスをIX外部に伝達させないため、ルーティングプロトコルによる経路フィルタを設定する必要はない。
【0114】
さらに本実施形態では、IX内部のネットワーク構成、使用しているIPアドレスをIX外部のISPに対して隠すことが可能となるので、悪意のある第三者による不正侵入を未然に防止することが可能となる。
【0115】
(第2の実施形態)
図9は本発明のネットワークシステムにおいて、ISPを実現するための一構成例を示す。
【0116】
ネットワーク901は、一つのISPを構成するネットワークであり、インターネット902と接続を行っており、カスタマ903へインターネット接続サービスを提供する。ISP901内にはエッジルータ910a、エッジルータ910b、エッジルータ910n、コアルータ920、アプリケーションサーバ960、監視装置961などが存在する。
【0117】
エッジルータ910aは、ISP901とカスタマ903の境界に位置するルータ装置であり、カスタマ903からコアルータ920へのパケット転送とコアルータ920からカスタマ903へのパケット転送を行う。
【0118】
またエッジルータ910aは、第1の実施形態におけるエッジルータと同様に、内部に仮想ルータ911aと仮想ルータ913aを持ち、それぞれが論理的に独立して動作している。
【0119】
仮想ルータ911aは、インタフェース912aを介してカスタマ903に、インタフェース915aを介して論理的に仮想ルータ911bや仮想ルータ911nに接続されており、カスタマ903や仮想ルータ911b、仮想ルータ911nとの間の通信を可能とするグローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0120】
また仮想ルータ911aは、カスタマ903にISP901が保持しているグローバルアドレスを貸与することによって、通信を可能にしている。どのアドレスをどのインタフェース経由で貸与したのかをルーティングテーブル930aに記憶する。
【0121】
さらに、仮想ルータ911aは、仮想ルータ911nとの間で、例えばI−BGPのようなAS内ルーティングプロトコルによる情報のやりとりにより、仮想ルータ911nが得たインターネット902内のホストやルータにパケットを転送するために必要となる次のルータ、すなわち、この場合には、仮想ルータ911nの情報を求め、その結果をルーティングテーブル930aに記憶する。
【0122】
同様に、仮想ルータ911aは、仮想ルータ911bとの間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやりとりにより、仮想ルータ911bが得たISP901内のホストやルータにパケットを転送するために必要となる次のルータ、すなわち、この場合には、仮想ルータ911nの情報を求め、その結果をルーティングテーブル930aに記憶する。
【0123】
この結果、仮想ルータ911aは、カスタマ903や仮想ルータ911b、仮想ルータ911nなどから転送されたパケットの宛先からルーティングテーブル930aを検索し、次の転送先がカスタマ903の場合には、インタフェース912aにパケットを出力し、次の転送先が仮想ルータ911bや仮想ルータ911nの場合には、インタフェース915aに出力する。
【0124】
インタフェース912aは、仮想ルータ911aから出力されたパケットにデータリンクヘッダの付加、データリンクフレームのカスタマ903への出力及び、カスタマ903から転送されたパケットのデータリンクヘッダの削除と仮想ルータ911aへの転送を行う。データリンクレイヤとしてはEthernet(R)、ATM、POSなどが考えられる。
【0125】
ここで、インタフェース912aでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェースの場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0126】
インタフェース915aは、ISP901内のネットワークを仮想的なトンネル950とみたて、それを介して仮想ルータ911bや仮想ルータ911nとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース、すなわち、トンネルインタフェースである。
【0127】
この論理インタフェースにはトンネル950の出口が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル950の出口が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0128】
仮想ルータ911aより入力された仮想ルータ911nへ出力するパケットについては、次の転送先となる仮想ルータ911nに収容されるインタフェースに付加されたグローバルアドレスからトンネル対応テーブル930aを検索することで、仮想ルータ913nに収容されるインタフェースに付加されたアドレスを求め、求めたアドレスからカプセル情報を作成後、パケットの先頭にトンネル情報を付加したカプセル化パケットを作成し、仮想ルータ913aにパケットを出力する。
【0129】
仮想ルータ911aより入力された仮想ルータ911bへ出力するパケットについても同様に、次の転送先となる仮想ルータ911bに収容されるインタフェースに付加されたグローバルアドレスからトンネル対応テーブル930aを検索することで、仮想ルータ913bに収容されるインタフェースに付加されたアドレスを求め、求めたアドレスからカプセル情報を作成後、パケットの先頭にトンネル情報を付加したカプセル化パケットを作成し、仮想ルータ913aパケットを出力する。
【0130】
一方、仮想ルータ913aより入力されたカプセル化パケットはカプセル情報の削除後、仮想ルータ911aに出力する。
【0131】
仮想ルータ913aは、インタフェース914aを介してコアルータ920に接続されており、コアルータ920との間の通信を可能とするISP901内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0132】
仮想ルータ913aは、コアルータ920との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、ISP901内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル931aに記憶する。
【0133】
また、仮想ルータ913aでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース915aに出力する。
【0134】
このように、仮想ルータ913aは、インタフェース915aから入力されたパケットの宛先からルーティングテーブル931aを検索し、次の転送先がコアルータ920の場合には、インタフェース914aにパケットを出力する。また、インタフェース914aから入力されたカプセル化パケットはインタフェース915aに出力する。
【0135】
インタフェース914aは、912aと同様の処理を行うものであり、接続先がコアルータ920となる。ここで、インタフェース912aでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずISP901内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、ISP901内で一意なアドレスが付加される場合と付加されない場合がある。
【0136】
エッジルータ910bは、ISP901内に存在するアプリケーションサーバ960と接続するルータ装置であり、アプリケーションサーバ960からコアルータ920へのパケット転送とコアルータ920からアプリケーションサーバ960へのパケット転送を行う。
【0137】
また、エッジルータ910bは、エッジルータ910aと同様に内部に仮想ルータ911nと仮想ルータ913nを持ち、それぞれが論理的に独立して動作している。
【0138】
この例では、エッジルータ910bは、ISP901内に存在する監視装置961と接続するルータ装置であり、監視装置961から各監視対象へのパケット転送と各監視対象から監視装置961へのパケット転送を行う。
【0139】
仮想ルータ911bは、インタフェース912bを介してアプリケーションサーバ960に、インタフェース915nを介して論理的に仮想ルータ911aや仮想ルータ911bに接続されており、アプリケーションサーバ960や仮想ルータ911a、仮想ルータ911nとの間の通信を可能とするグローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0140】
また仮想ルータ911bは、仮想ルータ911aや仮想ルータ911nとの間でOSPFのようなAS内ルーティングプロトコルによる情報のやりとりを行い、ルーティング情報をルーティングテーブル930bに記憶する。
【0141】
さらに仮想ルータ911bは、ルーティングテーブル930bをもとに、アプリケーションサーバ960や仮想ルータ913nから転送されたパケットの宛先から次の転送先がアプリケーションサーバ960の場合には、インタフェース912bにパケットを出力し、次の転送先が仮想ルータ911aや仮想ルータ911nの場合には、インタフェース915bに出力する。
【0142】
インタフェース912bは、インタフェース912aと同様の処理を行うものであり、接続先がアプリケーションサーバ960となる。ここで、インタフェース912bでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェースの場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0143】
インタフェース915bは、インタフェース915aと同様にトンネル950を介して仮想ルータ911aや仮想ルータ911nとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース、すなわち、トンネルインタフェースである。この論理インタフェースにはトンネル950の出口が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル950の出口が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0144】
仮想ルータ911bより入力された仮想ルータ911aや仮想ルータ911nへ出力するパケットについては、トンネル対応テーブル932bの情報をもとに、パケットの先頭にトンネル情報を付加して仮想ルータ913bにパケットを出力する。
【0145】
一方、仮想ルータ913bより入力されたパケットはカプセル情報の削除後、仮想ルータ911bに出力する。
【0146】
仮想ルータ913bは、インタフェース914bを介してコアルータ920に接続されており、インタフェース916bを介して監視装置961に接続されている。コアルータ920や監視装置961との間の通信を可能とするISP901内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0147】
また仮想ルータ913bは、コアルータ920との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、ISP901内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル931bに記憶する。
【0148】
さらに、仮想ルータ913bでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース915bに出力する。
【0149】
このように、仮想ルータ913bは、インタフェース915bから入力されたパケットの宛先からルーティングテーブル931bを検索し、次の転送先がコアルータ920の場合には、インタフェース914bにパケットを出力し、次の転送先が監視装置961の場合には、インタフェース916bにパケットを出力する。また、インタフェース914bから入力されたカプセル化パケットはインタフェース915bに出力する。
【0150】
インタフェース914b、インタフェース916bは、インタフェース912aと同様の処理を行うものであり、接続先がコアルータ920や監視装置961となる。
【0151】
ここで、インタフェース914b、インタフェース916bでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずISP901内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、ISP901内で一意なアドレスが付加される場合と付加されない場合がある。
【0152】
また、エッジルータ910bは、NAT(Network Address Translation)機構935を有する。これは一例として、監視装置961がアプリケーションサーバ960に接続しようとする場合、アプリケーションサーバ960にはグローバルアドレスが付加され、監視装置961にはISP内独自アドレスが付加されていて、お互いが異なるアドレス体系であるため普通に通信ができないといった問題を解決する機構である。
【0153】
NAT機構935は、アプリケーションサーバ960から監視装置961との通信は仮想ルータ911bのある特定の通信ポート宛ての通信に見せるようにアドレス変換する機能、監視装置961からアプリケーションサーバ960との通信は仮想ルータ913bのある特定の通信ポート宛ての通信に見せるようにアドレス変換する機能、仮想ルータ911bと仮想ルータ913bでのアドレス変換を対応させる機能の3つの機能からなる。これら機能により、ISP901内でアドレス体系の異なる監視装置961とアプリケーションサーバ960が通信を可能にしている。
【0154】
エッジルータ910nは、ISP901とインターネット902の境界に位置するルータ装置であり、インターネット902側の境界ルータ装置と940と接続し、ルータ940からコアルータ920へのパケット転送とコアルータ920からへのルータ940へのパケット転送を行う。
【0155】
またエッジルータ910nは、エッジルータ910a同様に内部に仮想ルータ911nと仮想ルータ913nを持ち、それぞれが論理的に独立して動作している。
【0156】
仮想ルータ911nは、インタフェース912nを介してルータ940に、インタフェース915nを介して論理的に仮想ルータ911aや仮想ルータ911bに接続されており、ルータ940や仮想ルータ911aとの間の通信を可能とするグローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0157】
また仮想ルータ911nはルータ940との間でBGPのようなAS間ルーティングプロトコルによる情報のやり取り、仮想ルータ911aや仮想ルータ911bとの間でOSPFのようなAS内ルーティングプロトコルによる情報のやりとりを行い、ルーティング情報をルーティングテーブル930nに記憶する。
【0158】
さらに仮想ルータ911nは、ルーティングテーブル930nをもとに、ルータ940や仮想ルータ913nから転送されたパケットの宛先から次の転送先がルータ940の場合には、インタフェース912nにパケットを出力し、次の転送先が仮想ルータ911aや仮想ルータ911bの場合には、インタフェース915nに出力する。
【0159】
インタフェース912nは、インタフェース912aと同様の処理を行うものであり、接続先がルータ940となる。ここで、インタフェース912nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずグローバルアドレスを付加され、POSなどのポイントポイントインタフェースの場合には、グローバルアドレスが付加される場合と付加されない場合がある。
【0160】
インタフェース915nは、インタフェース915aと同様にトンネル950を介して仮想ルータ911aとの間でパケットのやり取りの時に使用するカプセル情報の付加及び削除を行う論理インタフェース、すなわち、トンネルインタフェースである。
【0161】
この論理インタフェースには、トンネル950の出口が複数用意され、複数のルータと接続する場合には、必ずグローバルアドレスを付加され、トンネル950の出口が一つで、一つのルータと接続する場合には、グローバルアドレスが付加される場合と付加されない場合がる。
【0162】
仮想ルータ911nより入力された仮想ルータ911aや仮想ルータ911bへ出力するパケットについては、トンネル対応テーブル932nの情報をもとに、パケットの先頭にトンネル情報を付加して仮想ルータ913nにパケットを出力する。
【0163】
一方、仮想ルータ913nより入力されたパケットは、カプセル情報の削除後、仮想ルータ911nに出力する。
【0164】
仮想ルータ913nは、インタフェース914nを介してコアルータ920に接続されており、コアルータ920との間の通信を可能とするISP901内で一意なアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0165】
仮想ルータ913aは、コアルータ920との間で、例えばOSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、ISP901内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル931nに記憶する。
【0166】
また、仮想ルータ913nでは、自身のインタフェースに付加されたアドレス宛てのパケットのうち、プロトコルID等でそれがカプセル化されたパケットであると判明したものについては、インタフェース915nに出力する。
【0167】
このように、仮想ルータ913nは、インタフェース915nから転送されたパケットの宛先からルーティングテーブル931nを検索し、次の転送先がコアルータ920の場合には、インタフェース914nにパケットを出力する。また、インタフェース914nから転送されたカプセル化パケットはインタフェース915nに出力する。
【0168】
インタフェース914nは、インタフェース912aと同様の処理を行うものであり、接続先がコアルータ920となる。ここで、インタフェース914nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずISP901内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、ISP901内で一意なアドレスが付加される場合と付加されない場合がある。
【0169】
コアルータ920は、ISP901内に位置するルータ装置であり、仮想ルータ913aから仮想ルータ913bや仮想ルータ913nへのパケット転送と仮想ルータ913bから仮想ルータ913aや仮想ルータ913nへのパケット転送と仮想ルータ913nから仮想ルータ913aや仮想ルータ913bへのパケット転送を行う。
【0170】
コアルータ920は、インタフェース921aを介して仮想ルータ913aに接続されており、インタフェース921bを介して仮想ルータ913bに接続されており、インタフェース921nを介して仮想ルータ913nに接続されている。ISP901内の他のルータとの間の通信を可能とするため、ISP901内で一意なアドレスがそれぞれのインタフェースに最低1つ付加されている。
【0171】
コアルータ920は、仮想ルータ913aや仮想ルータ913b、仮想ルータ913nとの間で、OSPFのようなAS内ルーティングプロトコルによる情報のやり取りにより、ISP901内のルータやホストにパケットを転送するための次のルータ情報を求め、その結果をルーティングテーブル922に記憶する。
【0172】
この結果、コアルータ920はインタフェース921aから転送されたパケットの宛先からルーティングテーブル922を検索し、次の転送先が仮想ルータ913nの場合には、インタフェース921nにパケットを出力する。
【0173】
同様にインタフェース921bやインタフェース921nから転送されたパケットの宛先からルーティングテーブル922を検索し、次の転送先に従ったインタフェースへパケットを出力する。
【0174】
インタフェース921a、インタフェース921b、インタフェース921nは、インタフェース912aと同様の処理を行うものであり、接続先がそれぞれ仮想ルータ913a、仮想ルータ913b、仮想ルータ913nとなる。ここで、インタフェース921a、インタフェース921b、インタフェース121nでは、Ethernet(R)などのマルチアクセスインタフェースの場合には、必ずISP901内で一意なアドレスが付加され、POSなどのポイントポイントインタフェースの場合には、ISP901内で一意なアドレスが付加される場合と付加されない場合がある。
【0175】
トンネル950は、仮想ルータ911aと仮想ルータ911nとが論理的に直接接続しているようにみせる仮想リンクである。
【0176】
仮想ルータ911aから仮想ルータ911nに転送されるパケットは、グローバルアドレス体系のパケットがインタフェース915aでISP901内のアドレス体系のパケットにカプセル化され、ISP901内のネットワークを仮想ルータ913nまで転送され、インタフェース915nでカプセル化パケットが再び元のパケットに非カプセル化され仮想ルータ911nに到達する。
【0177】
仮想ルータ911nから仮想ルータ911aへのパケット転送も同様である。
【0178】
このように仮想ルータ911aと仮想ルータ911n間ではトンネル950を介して、ISP901内のネットワークを意識することなく、お互いに通信が可能となっている。
【0179】
仮想ルータ911aと仮想ルータ911bとの間、仮想ルータ911nと仮想ルータ911bとの間についても、同様にトンネル950により、お互いが直接接続されたようにみえる。
【0180】
アプリケーションサーバ960は、ISP901内に設置され、カスタマ903に提供するメールサーバやWebサーバとして使用される。そのためISP901外部から接続できるように、グローバルアドレスが収容されるインタフェースのいずれかに最低1つ付加されている。
【0181】
監視装置961は、ISP901内の機器の状態を監視するための機器であり、収容されるインタフェースのいずれかにISP901内で一意なアドレスが最低1つ付加されている。
【0182】
図10はルーティングテーブル930aを詳細に示したものである。このテーブルは、第1の実施形態で説明した図2のルーティングテーブルと同様に、グローバルアドレス空間の経路テーブルであり、最終的な宛先アドレス、又は宛先アドレスを含むネットワークのアドレスと、そこへ到達するために転送する次のルータのアドレス、実際に転送するために使用する出力インタフェースの組が一つのセットとして記憶される。パケットを転送する際にはパケットの宛先アドレスを検索キーとして、ルーティングテーブル930aの宛先アドレス欄を検索する。
【0183】
検索により合致する欄が見つかった時は、対応する次のルータアドレスと出力インタフェースを求め、出力インタフェースにパケットを渡す。
【0184】
検索により合致する欄が見つからなかった時には、エラーメッセージを作成し転送元に送り返す。
【0185】
一例として、ルータ940nに付加されている宛先アドレスG940に対する次の転送先は仮想ルータ911nのインタフェース915nのアドレスG915nで、出力先インタフェースはインタフェース915aと記憶される。
【0186】
図11は、ルーティングテーブル931aを詳細に示したものである。このテーブルは第1の実施形態で説明した図3のルーティングテーブルと同様に、ISP内部の独自アドレス体系で構成されたネットワークの経路テーブルであり、ルーティングテーブル930a同様に最終的な宛先アドレス、又は宛先アドレスを含むネットワークのアドレスと、そこへ到達するために転送する次のルータのアドレス、実際に転送するために使用する出力インタフェースの組が一つのセットとして記憶される。パケットを転送する際にはパケットの宛先アドレスを検索キーとして、ルーティングテーブル930aの宛先アドレス欄を検索する。
【0187】
検索により合致する欄が見つかった時は、対応する次のルータアドレスと出力インタフェースを求め、出力インタフェースにパケットを渡す。
【0188】
検索により合致する欄が見つからなかった時には、エラーメッセージを作成し転送元に送り返す。
【0189】
一例として、仮想ルータ931nに付加されている宛先アドレスp914nに対する次の転送先はコアルータ920のインタフェース921aのアドレスp921aで、出力先インタフェースはインタフェース914aと記憶される。
【0190】
図12はトンネル対応テーブル932aを詳細に示したものである。トンネル対応テーブルは第1の実施形態で説明した図4のトンネル対応テーブルと同様にグローバルアドレスのパケットをISP901内部のアドレス体系のパケットにカプセル化する際に参照されるテーブルである。
【0191】
パケットをカプセル化する際には、仮想ルータ911aから入力されたパケットの次の転送先ルータのアドレスをキーとして、トンネル出口アドレス欄を検索する。
【0192】
検索により合致する欄が見つかった時は、対応するカプセル化アドレスを宛先アドレスとしたカプセル情報を作成、パケットに付加して、仮想ルータ931aに出力する。
【0193】
検索により合致する欄が見つからなかった時には、エラーとして仮想ルータ911aに送り返す。
【0194】
一例として、トンネル出口アドレスとなる仮想ルータ911nのインタフェース915nのアドレスG915nに対応するカプセル化アドレスとして仮想ルータ913nのインタフェース914nのアドレスp914nが記憶される。
【0195】
このトンネル出口アドレスとカプセル化アドレスの対応関係の情報はあらかじめ設定する方法とトンネル情報交換用のプロトコルを使用し、エッジルータ間でお互いの対応関係情報を交換する方法とが考えられる。
【0196】
図13の1301は、カスタマ903からアプリケーションサーバ960へ送信する場合のパケットを示したものである。パケットヘッダの宛先アドレスとしてアプリケーションサーバ960のアドレスG960、送信元アドレスとしてカスタマ903のアドレスG903が設定されている。アドレスG960、アドレスG903は共にグローバルアドレスである。
【0197】
図14の1401は、インタフェース915aでパケット1301に付加されるトンネル情報の一例である。宛先アドレスとして仮想ルータ913bに収容されるいずれかのインタフェースに付加されたアドレスが付加される。送信元アドレスとして仮想ルータ913aに収容されるいずれかのインタフェースに付加されたアドレスが付加される。また、このトンネル情報が付加されたパケットがカプセル化パケットであることを示すプロトコルIDも設定する。
【0198】
この例では宛先アドレスとして仮想ルータ913bのインタフェース914bのアドレスp914b、送信元アドレスとして仮想ルータ913aのインタフェース914aのアドレスp914aが設定されている。
【0199】
図15の1501は、パケット1301をトンネル情報1401でカプセル化したパケットを示している。
【0200】
ここで図16のフローチャートを用いて、本ネットワークシステムを利用したISP901において、カスタマ903がアプリケーションサーバ960に接続する際の動作例を説明する。
【0201】
グローバルアドレスのパケット1301がカスタマ903から転送され、仮想ルータ911aに到達すると、仮想ルータ911aではパケット1301の宛先アドレスG960をもとにルーティングテーブル930aを検索し、次の転送先ルータのアドレスと出力インタフェースを求める(S201)。
【0202】
この場合、宛先アドレスG960の次の転送先アドレスはG915bで出力インタフェースがトンネル950を形成するインタフェース915aであることがわかり、パケット1301をインタフェース915aに出力する(S202)。
【0203】
出力インタフェースがトンネル950を形成するインタフェース915aでない場合には、パケット1301はその出力インタフェースから転送される(S203)。
【0204】
インタフェース915aでは、仮想ルータ911aから入力したパケット1301の次転送先ルータのアドレスG915bをもとにトンネル対応テーブル932aのトンネル出口アドレス欄を検索する。検索の結果、カプセル化アドレスが仮想ルータ913bのインタフェースアドレスp914bであることがわかり、この情報をもとにトンネル情報1401を作成する。トンネル情報では、宛先アドレスをp914b、送信元アドレスを仮想ルータ913aに収容されるいずれかのインタフェースのアドレス、すなわち、この例の場合は、インタフェース914aのアドレスp914aに設定する。またプロトコルIDにカプセル化されたパケットであることを示すIDを設定する。作成したトンネル情報でパケット1301をカプセル化して、パケット1501を作成し、仮想ルータ913aに出力する(S204)。
【0205】
すなわち、インタフェース915aにおいて、パケット1301からISP901内で通用するアドレス体系のパケット1501が生成され、ISP内をトンネル情報1401に基づいて転送されることになるため、仮想ルータ911aの上流、つまりカスタマ903などには、ISP内部のネットワーク構成を認識させないことが可能となる。
【0206】
仮想ルータ913aでは、インタフェース915aから入力したパケット1501の宛先アドレスp914bをもとに、ルーティングテーブル931aの宛先アドレス欄を検索する。この検索の結果、宛先アドレスp914bに対応する次の転送先ルータのアドレスがp921aで、出力インタフェースが914aであることがわかり、パケット1501をインタフェース914aに出力する(S205)。
【0207】
コアルータ920でも、同様にルーティングテーブル922を検索し、パケット1501の次転送ルータを調べ転送する。
【0208】
このようにして、パケット1501はISP901内部のネットワークの中を転送され、仮想ルータ913bまで到達する(S206)。
【0209】
仮想ルータ913bでは、自身が収容するインタフェースのアドレスが宛先アドレスであるパケット1501を受信し、そのプロトコルIDから、これがカプセル化されたパケットであるかどうかを調査する(S207)。
【0210】
カプセル化されたパケットである場合、インタフェース915bへ出力する(S209)。
【0211】
カプセル化されたパケットでない場合は、ISP内のネットワークで閉じた通信で仮想ルータ913bの上位層、つまりTCPやUDPなどで処理されるパケットであるため、仮想ルータ913b内の適切な上位層に処理を委ねる(S208)。
【0212】
インタフェース915bでは、パケット1501のトンネル情報部分1401を取り除き、パケット1301の状態に戻し、仮想ルータ911bへ出力する(S210)。
【0213】
仮想ルータ911bではパケット1301の宛先アドレスG960をもとにルーティングテーブル930bを参照し、次の転送先アプリケーションサーバ960、すなわち、この場合には、最終宛先へパケット1301を転送する(S211)。
【0214】
こうしてパケット1301はカスタマ903からアプリケーションサーバ960へ転送される。
【0215】
逆にアプリケーションサーバ960からカスタマ903へのパケットの流れについては、前述の動作とは逆で、インタフェース915bでのカプセル化、インタフェース915aでの非カプセル化が行われ、転送される。
【0216】
以上のように、本実施形態では、ISP901内の仮想ルータ911a、仮想ルータ911b、仮想ルータ911nに収容されるインタフェースとアプリケーションサーバ960に収容されるインタフェースにはグローバルアドレスが付加されるが、それ以外のルータのインタフェースにはISP内部独自のアドレスを付加しネットワークが構成されることから、ISPが使用するグローバルアドレスを節約することができ、カスタマに割り当てるグローバルアドレスを増やすことができる。このようなグローバルアドレスの節約は、特に、ISP内のネットワークの規模が大きくなり、内部のネットワークに位置するルータの数が増加したシステムにおいては、非常に有効となる。
【0217】
また、本実施形態においては、ISP内部をパケットのカプセル化により転送し、ISP外部にはパケットを非カプセル化して転送する技術を用いることにより、エッジルータにおいて、ISP内部のアドレスをISP外部に伝達させないため、ルーティングプロトコルによる経路フィルタを設定する必要はない。
【0218】
さらに本実施形態においては、メールサーバやWebサーバなどサービス提供するためにISP外部からの接続を許す機器以外のISP内部のネットワーク構成、使用しているIPアドレスをISP外部のネットワークやカスタマに隠すことを可能とし、悪意ある第三者からの攻撃の可能性を低く抑えることができる。
【0219】
(第3の実施形態)
第3の実施形態として、本発明のネットワークシステムにおいて、第1の実施形態で説明したIXや第2の実施形態で説明したISPのエッジルータで、内部に3つの独立して動作する仮想ルータを持つ場合の構成例について説明する。
【0220】
図17はISPの接続を実現するための一構成例を示す。
【0221】
ネットワーク 1702aは、一つのISPを構成するネットワークであり、エッジルータ1710a、エッジルータ1710bやコアルータ1720bなどの装置が存在しており、ネットワーク1702aが一つのASを構成している。
【0222】
ネットワーク 1702nは、一つのISPを構成するネットワークであり、エッジルータ1710nやコアルータなどの装置が存在しており、ネットワーク1702nが一つのASを構成している。
【0223】
ネットワーク1701は、ISP1702aとISP1702n接続するIXとして提供されるネットワークであり、コアルータ1720a、仮想ルータ1716a、仮想ルータ1713nが存在する。
【0224】
エッジルータ1710bは、第1の実施形態や第2の実施形態で説明したエッジルータと同じ構成をとり、同じ動作を行う。
【0225】
仮想ルータ1711bが収容するインタフェースのいずれかに最低1つのグローバルアドレスが付加され、仮想ルータ1713bが収容するインタフェースのいずれかに最低1つのISP1702a内で一意なアドレスが付加される。仮想ルータはそれぞれのアドレス体系のルーティングテーブルを有し、宛先アドレスをもとに次の転送先ルータのアドレス、出力インタフェースを求め、パケット転送を行う。
【0226】
インタフェース1715bは、仮想ルータ1711bと仮想ルータ1713bとの間に存在し、仮想ルータ1711bから入力したパケットの宛先アドレスをキーにトンネル対応テーブルを参照し、トンネル情報を作成、付加することでパケットのカプセル化を行い、仮想ルータ1713bに出力する。また、仮想ルータ1713bから入力したカプセル化パケットを非カプセル化し、仮想ルータ1711bに出力する。
【0227】
以上のようにして、ISP1702a内部を外部と異なるISP1702a独自のアドレス体系でパケット転送を行う。
【0228】
第3の実施形態では、エッジルータ1710aにおいて内部に仮想ルータ1711a、仮想ルータ1713a、仮想ルータ1716aを持ち、それぞれが論理的に独立して動作している。
【0229】
仮想ルータ1711aが収容するインタフェースのいずれかに最低1つのグローバルアドレスが付加され、仮想ルータ1713aが収容するインタフェースのいずれかに最低1つのISP1702a内で一意なアドレスが付加される。
【0230】
同様に、仮想ルータ1716aでは、収容されるインタフェースのいずれかに最低1つIX1701で一意なアドレスが付加される。仮想ルータはそれぞれのアドレス体系のルーティングテーブルを有し、宛先アドレスをもとに次の転送先ルータのアドレス、出力インタフェースを求め、パケット転送を行う。
【0231】
インタフェース1715aは、仮想ルータ1711aと仮想ルータ1713aとの間に存在し、仮想ルータ1711aから入力したパケットの宛先アドレスをキーにトンネル対応テーブルを参照し、トンネル情報を作成、付加することでパケットのカプセル化を行い、仮想ルータ1713aに出力する。また、仮想ルータ1713aから入力したカプセル化パケットを非カプセル化し、仮想ルータ1711aに出力する。
【0232】
このようにして、ISP1702a内部をグローバルアドレスとは異なるISP1702a独自のアドレス体系でのパケット転送している。
【0233】
同様に、インタフェース1717aは仮想ルータ1711aと仮想ルータ1716aとの間に存在し、仮想ルータ1711aから入力したパケットの宛先アドレスをキーにトンネル対応テーブルを参照し、トンネル情報を作成、付加することでパケットのカプセル化を行い、仮想ルータ1716aに出力する。また、仮想ルータ1716aから入力したカプセル化パケットを非カプセル化し、仮想ルータ1711aに出力する。このようにして、IX1701内部をグローバルアドレスとは異なるIX1701独自のアドレス体系でのパケット転送している。
【0234】
エッジルータ1710nは、第1の実施形態や第2の実施形態で説明したエッジルータと同じ構成をとり、同じ動作をする。
【0235】
仮想ルータ1711nが収容するインタフェースのいずれかに最低1つのグローバルアドレスが付加され、仮想ルータ1713nが収容するインタフェースのいずれかに最低1つのIX1701内で一意なアドレスが付加される。仮想ルータはそれぞれのアドレス体系のルーティングテーブルを有し、宛先アドレスをもとに次の転送先ルータのアドレス、出力インタフェースを求め、パケット転送を行う。
【0236】
インタフェース1715nは、仮想ルータ1711nと仮想ルータ1713nとの間に存在し、仮想ルータ1711nから入力したパケットの宛先アドレスをキーにトンネル対応テーブルを参照し、トンネル情報を作成、付加することでパケットのカプセル化を行い、仮想ルータ1713nに出力する。また、仮想ルータ1713nから入力したカプセル化パケットを非カプセル化し、仮想ルータ1711nに出力する。
【0237】
以上のようにして、IX1701内部を外部と異なるIX1701独自のアドレス体系でパケット転送を行う。
【0238】
図18の1801はホスト1703aからホスト1703nへ送信する場合のパケットを示したものである。パケットヘッダの宛先アドレスとしてホスト1703nのアドレスG1703n、送信元アドレスとしてホスト1703aのアドレスG1703aが設定されている。アドレスG1703a、アドレスG1703nは共にグローバルアドレスである。
【0239】
図19の1901は、インタフェース1715bにおいて、パケット1801をISP1702a内のネットワークに転送するため、トンネル情報を付加しカプセル化したパケットである。
【0240】
図20の2001は、インタフェース1717aでパケット1801に付加されるトンネル情報の一例である。宛先アドレスとして仮想ルータ1713nに収容されるいずれかのインタフェースに付加されたアドレスが付加される。送信元アドレスとして仮想ルータ1716aに収容されるいずれかのインタフェースに付加されたアドレスが付加される。また、このトンネル情報が付加されたパケットがカプセル化パケットであることを示すプロトコルIDも設定する。
【0241】
この例では宛先アドレスとして仮想ルータ1713nのインタフェースに付加されたアドレスp1713n、送信元アドレスとして仮想ルータ1716aのインタフェースに付加されたアドレスp1714aが設定されている。
【0242】
図21の2101は、パケット1801をトンネル情報2001でカプセル化したパケットを示している。
【0243】
ここで図22のフローチャートを用いて、この実施形態におけるホスト1703aからホスト1703nへのパケット転送について、エッジルータ1710aの動作例を説明する。
【0244】
本実施形態においては、第1の実施形態や第2の実施形態と同様に、ホスト1703aから転送されたパケット1801はISP1702aのエッジルータ1710bのインタフェース1715bにおいて、ISP1702aの内部のアドレス体系にカプセル化されたパケット1901として、エッジルータ1710aの仮想ルータ1713aまで転送される。
【0245】
仮想ルータ1713aでは、受信したパケット1901のプロトコルIDから、これがカプセル化されたパケットであるかどうかを調査する。(S301)。
【0246】
カプセル化されたパケットである場合、インタフェース915bへ出力する。
【0247】
カプセル化されたパケットでない場合は、ISP1702a内のネットワークで閉じた通信で仮想ルータ1713aの上位層、つまりTCPやUDPなどで処理されるパケットであるため、仮想ルータ1713a内の適切な上位層に処理を委ねる(S302)。
【0248】
インタフェース1715aでは、パケット1901のトンネル情報部分を取り除き、パケット1801の状態に戻し、仮想ルータ1711aへ出力する(S303)。
【0249】
仮想ルータ1711aでは、受信したパケット1801の宛先アドレスから、自分宛てのパケットであるかどうかを調査する。(S304)。
【0250】
自分宛てのパケットである場合は、グローバルアドレス空間での通信で、仮想ルータ1711aの上位層、つまりTCPやUDPなどで処理されるパケットであるため、仮想ルータ1713a内の適切な上位層に処理を委ねる(S305)。
【0251】
自分宛てのパケットでない場合は、仮想ルータ1711aはパケット1801の宛先アドレスをキーに自身が有するルーティングテーブルを検索し、次の転送先ルータのアドレスと出力インタフェースを調査する(S306)。
【0252】
この場合、次の転送先ルータのアドレスは仮想ルータ1711nのアドレスG1711nで出力インタフェースは1717aとなり(S307)、仮想ルータ1711aはインタフェース1717aにパケット1801を出力する。
【0253】
出力インタフェースが異なる場合は、そのインタフェースからパケット1801を転送する(S308)。
【0254】
インタフェース1717aでは仮想ルータ1711aから入力したパケット1801の次転送先ルータのアドレスG1711nをもとに自身が有するトンネル対応テーブルを検索する。検索の結果、カプセル化アドレスは仮想ルータ1713nのインタフェースに付加されたアドレスp1713nであることがわかり、この情報をもとにトンネル情報2001を作成する。トンネル情報では、宛先アドレスをp1713b、送信元アドレスを仮想ルータ1716aに収容されるいずれかのインタフェースのアドレスに設定する。またプロトコルIDにカプセル化されたパケットであることを示すIDを設定する。作成したトンネル情報でパケット1801をカプセル化して、パケット2101を作成し、仮想ルータ1716aに出力する(S309)。
【0255】
つまり、インタフェース1717aにおいて、パケット1801からIX1701内で通用するアドレス体系のパケット2101が生成され、IX内をトンネル情報2001に基づいて転送されることになるため、仮想ルータ1711aの上流、つまりカスタマ1703やISP1702a内のルータなどにはIX1701内部のネットワーク構成を認識させないことが可能となる。
【0256】
仮想ルータ1716aはパケット2101の宛先アドレスをキーに自身が有するルーティングテーブルを検索し、次の転送先ルータのアドレスと出力インタフェースを調査する。この場合、次の転送先ルータはコアルータ1720aであり、パケット2101は転送される(S310)。
【0257】
以上のように、本実施形態ではISPの接続部のエッジルータに仮想ルータを3つ導入することにより、IXにおけるネットワークでのグローバルアドレスの使用をなくすことが可能となり、第1の実施形態、第2の実施形態より更にグローバルアドレスの使用を節約することができる。
【0258】
(第4の実施形態)
第4の実施形態は、本発明のネットワークシステムにおいて、第1の実施形態で説明したIXの内部ネットワークにおいてMulti Protocol Label Switching(MPLS)網を使用した場合である。
【0259】
第1の実施形態において、図1のトンネル150はIX101外部から送信されたグローバルアドレス体系のパケットをIX101内のアドレス体系のヘッダを付加したパケットにカプセル化することで実現していたが、この実施形態ではIX101内部のネットワークをMPLS網で構築し、LSP(Label Switched Path)を設定することでトンネル150を実現する。
【0260】
インタフェース115aにおいて、仮想ルータ111aより出力された仮想ルータ111nへ転送するパケットについては、次の転送先となる仮想ルータ111nに対応するラベル情報を作成し、パケットの先頭にラベル情報を付加したカプセル化パケットを作成し、仮想ルータ113aにパケットを出力する。一方、仮想ルータ113aより転送されたカプセル化パケットはラベル情報の削除後、仮想ルータ111aに出力する。
【0261】
また、仮想ルータ113aにおいて、IX101内部のネットワークに特化した仮想ルータ113nまで転送するためのラベルで、パケットを二重にカプセル化し転送する方法もある。また、この場合、出口となる仮想ルータ113nの前のコアルータ120において、二重にカプセル化したラベルのうち、IX101内部のネットワークに特化したラベルを取り除いて、仮想ルータ113nに転送する方法と、仮想ルータ113nにおいて、二重にカプセル化したラベルのうち、IX101内部のネットワークに特化したラベルを取り除く方法とがある。
【0262】
IX101外部から送信されたグローバルアドレス体系のパケットにMPLSのラベルを付加し、IX101内部のネットワークをラベル転送することで、第1の実施形態と同様の効果を実現する。
【0263】
(第5の実施形態)
第5の実施形態は、本発明のネットワークシステムにおいて、第2の実施形態で説明したISPの内部ネットワークにおいてMPLS網を使用した場合である。
【0264】
第2の実施形態において、図9のトンネル950はISP901外部から送信されたグローバルアドレス体系のパケットにISを901内のアドレス体系のヘッダを付加したパケットにカプセル化することで実現していたが、この実施形態ではISP901内部のネットワークをMPLS網で構築し、LSPを設定することでトンネル950を実現する。
【0265】
インタフェース915aにおいて、仮想ルータ911aより出力された仮想ルータ911nへ転送するパケットについては、次の転送先となる仮想ルータ911nに対応するラベル情報を作成し、パケットの先頭にラベル情報を付加したカプセル化パケットを作成し、仮想ルータ913aにパケットを出力する。一方、仮想ルータ913aより転送されたカプセル化パケットはラベル情報の削除後、仮想ルータ911aに出力する。
【0266】
また、仮想ルータ913aにおいて、ISP901内部のネットワークに特化した仮想ルータ913nまで転送するためのラベルで、パケットを二重にカプセル化し転送する方法もある。また、この場合、出口となる仮想ルータ913nの前のコアルータ920において、二重にカプセル化したラベルのうち、ISP901内部のネットワークに特化したラベルを取り除いて、仮想ルータ913nに転送する方法と、仮想ルータ913nにおいて、二重にカプセル化したラベルのうち、ISP901内部のネットワークに特化したラベルを取り除く方法とがある。
【0267】
ISP901外部から送信されたグローバルアドレス体系のパケットにMPLSのラベルを付加し、ISP901内部のネットワークをラベル転送することで、第2の実施形態と同様の効果を実現する。
【0268】
(第6の実施形態)
第6の実施形態は、本発明のネットワークシステムにおいて、第3の実施形態で説明したISP接続部においてMPLS網を使用した場合である。
【0269】
第3の実施形態において、ISP接続部1701はISP1702aやISP1702nから送信されたグローバルアドレス体系のパケットをISP接続部のアドレス体系のヘッダを付加したパケットにカプセル化することでトンネルを実現していたが、この実施形態ではISP接続部1701内部のネットワークをMPLS網で構築し、LSPを設定することでトンネルを実現する。
【0270】
インタフェース1717aにおいて、仮想ルータ1711aより出力された仮想ルータ1711nへ転送するパケットについては、次の転送先となる仮想ルータ1711nに対応するラベル情報を作成し、パケットの先頭にラベル情報を付加したカプセル化パケットを作成し、仮想ルータ1716aにパケットを出力する。一方、仮想ルータ1716aより転送されたカプセル化パケットはラベル情報の削除後、仮想ルータ1711aに出力する。
【0271】
また、仮想ルータ1716aにおいて、IX接続部1701内部のネットワークに特化した仮想ルータ1713nまで転送するためのラベルで、パケットを二重にカプセル化し転送する方法もある。また、この場合、出口となる仮想ルータ1713nの前のコアルータ1720aにおいて、二重にカプセル化したラベルのうち、ISP接続部1701内部のネットワークに特化したラベルを取り除いて、仮想ルータ1713nに転送する方法と、仮想ルータ1713nにおいて、二重にカプセル化したラベルのうち、ISP接続部1701内部のネットワークに特化したラベルを取り除く方法とがある。
【0272】
ISP接続部1701の外部から送信されたグローバルアドレス体系のパケットにMPLSのラベルを付加し、ISP接続部1701の内部のネットワークをラベル転送することで、第3の実施形態と同様の効果を実現する。
【0273】
さらに、本発明に係るルータ装置の構成としては一又は複数のコンピュータ又はこれらコンピュータの一部の機能により構成することができる。
【0274】
また図8、図16及び図22のフローが実施される方法又はプログラムを、コンピュータ等により実行するソフトウエアとして構成とすることもできる。
【0275】
【発明の効果】
以上述べたように本発明によれば、ISPやIXが組織内に外部とは独立したIPアドレス空間のネットワークを導入することにより、境界ルータ装置での煩雑なルーティングプロトコルのフィルタを設定することなく、組織内で使用するグローバルアドレスの数を減らし、カスタマに提供するグローバルアドレスをできる限り確保すると共に、組織内のネットワーク構成や使用しているIPアドレスを外部に通知させないようにしセキュリティの向上を図り得るネットワークシステム、ルータ装置、ノード装置、パケット転送方法及びプログラムを提供できるものである。
【図面の簡単な説明】
【図1】本発明の第1実施形態のネットワークシステムにおけるIXを実現するための一構成例を示す図。
【図2】同実施形態におけるルーティングテーブルを詳細に示す図。
【図3】同実施形態におけるルーティングテーブルを詳細に示す図。
【図4】同実施形態におけるトンネル対応テーブルを詳細に示す図。
【図5】同実施形態におけるパケット例を示す図。
【図6】同実施形態におけるトンネル情報の一例を示す図。
【図7】同実施形態におけるカプセル化したパケットを示す図。
【図8】同実施形態のパケットのルータ140への転送動作例を示すフローチャート。
【図9】本発明の第2実施形態のネットワークシステムにおけるISPを実現するための一構成例を示す図。
【図10】同実施形態におけるルーティングテーブルを詳細に示す図。
【図11】同実施形態におけるルーティングテーブルを詳細に示す図。
【図12】同実施形態におけるトンネル対応テーブルを詳細に示す図。
【図13】同実施形態におけるパケットを示す図。
【図14】同実施形態におけるトンネル情報の一例を示す図。
【図15】同実施形態におけるカプセル化したパケットを示す図。
【図16】同実施形態のネットワークシステムにおける動作例を示すフローチャート。
【図17】本発明の第3実施形態のネットワークシステムにおけるISPの接続を実現するための一構成例を示す図。
【図18】同実施形態におけるパケットを示す図。
【図19】同実施形態におけるカプセル化したパケットを示す図。
【図20】同実施形態におけるトンネル情報の一例を示す図。
【図21】同実施形態におけるカプセル化したパケットを示す図。
【図22】同実施形態におけるエッジルータの動作例を示すフローチャート。
【符号の説明】
101…ネットワーク(IX)、102a,102n…ネットワーク(ISP)、140a,140n…ルータ、110a,110n…エッジルータ、111a,111n…仮想ルータ、112a,112n…インタフェース、113a,113n…仮想ルータ、114a,114n…インタフェース、115a,115n…インタフェース、120…コアルータ、121a,121n…インタフェース、122…ルーティングテーブル、130a,130n…ルーティングテーブル、131a,131n…ルーティングテーブル、132a,132n…トンネル対応テーブル、150…トンネル、501…パケット、601…トンネル情報、701…カプセル化したパケット。

Claims (8)

  1. 互いに接続されるネットワーク同士の境界に設置されるルータ装置内に第1,第2仮想ルータを設けてなるネットワークシステムであって、
    前記第1仮想ルータ及び第2仮想ルータは、
    一の前記境界ルータ装置が受け取った共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを当該独自のアドレス体系で前記一の境界ルータ装置から他の境界ルータ装置まで転送する機能と、
    前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する機能と
    を有することを特徴とするネットワークシステム。
  2. ネットワークシステムを構成するネットワーク同士の境界に設置されるルータ装置において、
    共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを前記ネットワークシステム内に転送する機能と、前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する機能とを有する仮想ルータを具備することを特徴とするルータ装置。
  3. ネットワークシステムを構成するネットワーク同士の境界におけるパケット転送方法において、
    共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを前記ネットワークシステム内に転送するステップと、
    前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送するステップとを有することを特徴とするパケット転送方法。
  4. ネットワークシステムを構成するネットワーク同士の境界に設置されるコンピュータに、
    前記コンピュータが受けた共通のアドレス体系のパケットを、システム内部独自のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを前記ネットワークシステム内に転送する手順と、
    前記コンピュータが受けた前記独自のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系でシステム外部へ転送する手順と
    を実行させるためのパケット転送プログラム。
  5. 互いに接続されるネットワーク同士の境界に設置されるルータ装置内及び外部のノード装置と通信を可能とする内部に設置するノード装置に、共通のアドレス体系で動作する第1仮想ルータと、システム内部独自のアドレス体系で動作する第2仮想ルータを設けてなるネットワークシステムであって、
    前記第1仮想ルータ及び第2仮想ルータは、
    前記共通のアドレス体系のパケットを前記独自のアドレス体系のパケットにカプセル化し、該カプセル化したパケットを前記独自のアドレス体系で、他の前記境界ルータ装置又は前記ノード装置へ転送する機能と、
    前記独自のアドレス体系でカプセル化され転送されたパケットを前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを前記共通のアドレス体系で転送する機能とを有することを特徴とするネットワークシステム。
  6. 互いに接続されるネットワーク同士の境界に設置され、共通のアドレス体系で動作する第1仮想ルータと、システム内部独自のアドレス体系で動作する第2仮想ルータを設けてなるルータ装置との連係するノード装置において、
    共通のアドレス体系で動作する第1仮想ルータと、システム内部独自のアドレス体系で動作する第2仮想ルータとを備え、これら第1,第2仮想ルータは、前記共通のアドレス体系のパケットを前記独自のアドレス体系のパケットにカプセル化し、該カプセル化したパケットを前記独自のアドレス体系で、他の前記境界ルータ装置又は前記ノード装置へ転送する機能を有し、
    前記境界ルータ装置装置内又は前記ノード装置内の仮想ルータ間をつなぐ論理インタフェースを備え、当該論理インタフェースは、前記独自のアドレス体系でカプセル化され転送されたパケットを前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを前記共通のアドレス体系で転送する機能を有することを特徴とするノード装置。
  7. 前記境界ルータ装置内部に、前記第1,第2仮想ルータの他に、前記共通のアドレス体系で動作する第3仮想ルータと、この第3仮想ルータにつながれ且つ前記ネットワークシステムの外部にあるネットワークシステム間で共通のアドレス体系で動作する第4仮想ルータとを有し、
    前記第3仮想ルータ及び第4仮想ルータは、
    一の前記境界ルータ装置が受け取った前記共通のアドレス体系のパケットを、前記ネットワークシステムの外部にあるネットワークシステム間で共通のアドレス体系のパケットにカプセル化し、当該カプセル化したパケットを当該共通のアドレス体系で前記一の境界ルータ装置から他の境界ルータ装置まで転送する機能と、前記ネットワークシステムの外部にあるネットワークシステム間で共通のアドレス体系でカプセル化され転送されたパケットを、前記共通のアドレス体系のパケットに非カプセル化し、該非カプセル化したパケットを、当該共通のアドレス体系で前記システム外部へ転送する機能とを有することを特徴とする請求項1又は5記載のネットワークシステム。
  8. 前記独自のアドレス体系で構築されたネットワーク部分をMulti Protocol Label Switching網で構築したことを特徴とする請求項1、5又は7のいずれか一項記載のネットワークシステム。
JP2002358334A 2002-12-10 2002-12-10 ネットワークシステム及びノード装置 Expired - Fee Related JP3689083B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002358334A JP3689083B2 (ja) 2002-12-10 2002-12-10 ネットワークシステム及びノード装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002358334A JP3689083B2 (ja) 2002-12-10 2002-12-10 ネットワークシステム及びノード装置

Publications (2)

Publication Number Publication Date
JP2004193878A true JP2004193878A (ja) 2004-07-08
JP3689083B2 JP3689083B2 (ja) 2005-08-31

Family

ID=32758080

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002358334A Expired - Fee Related JP3689083B2 (ja) 2002-12-10 2002-12-10 ネットワークシステム及びノード装置

Country Status (1)

Country Link
JP (1) JP3689083B2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010004088A (ja) * 2008-06-18 2010-01-07 Nec Corp 通信システム、ネットワーク装置及びそれらに用いるネットワーク接続方法
WO2010119738A1 (ja) * 2009-04-16 2010-10-21 日本電気株式会社 アドレス共有システム
WO2013035604A1 (ja) * 2011-09-05 2013-03-14 横河電機株式会社 パケット転送装置及び無線通信システム
JP2021184604A (ja) * 2015-01-30 2021-12-02 ニシラ, インコーポレイテッド 複数のルーティング構成要素を用いる論理ルータ
US11533256B2 (en) 2015-08-11 2022-12-20 Nicira, Inc. Static route configuration for logical router
US11539574B2 (en) 2016-08-31 2022-12-27 Nicira, Inc. Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP
US11593145B2 (en) 2015-10-31 2023-02-28 Nicira, Inc. Static route types for logical routers

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010004088A (ja) * 2008-06-18 2010-01-07 Nec Corp 通信システム、ネットワーク装置及びそれらに用いるネットワーク接続方法
WO2010119738A1 (ja) * 2009-04-16 2010-10-21 日本電気株式会社 アドレス共有システム
US8717884B2 (en) 2009-04-16 2014-05-06 Nec Corporation Address-sharing system
WO2013035604A1 (ja) * 2011-09-05 2013-03-14 横河電機株式会社 パケット転送装置及び無線通信システム
JP2013070360A (ja) * 2011-09-05 2013-04-18 Yokogawa Electric Corp パケット転送装置及び無線通信システム
US9350651B2 (en) 2011-09-05 2016-05-24 Yokogawa Electric Corporation Packet forwarding device and wireless communication system
JP2021184604A (ja) * 2015-01-30 2021-12-02 ニシラ, インコーポレイテッド 複数のルーティング構成要素を用いる論理ルータ
JP7153774B2 (ja) 2015-01-30 2022-10-14 ニシラ, インコーポレイテッド 複数のルーティング構成要素を用いる論理ルータ
US11799800B2 (en) 2015-01-30 2023-10-24 Nicira, Inc. Logical router with multiple routing components
US11533256B2 (en) 2015-08-11 2022-12-20 Nicira, Inc. Static route configuration for logical router
US11593145B2 (en) 2015-10-31 2023-02-28 Nicira, Inc. Static route types for logical routers
US11539574B2 (en) 2016-08-31 2022-12-27 Nicira, Inc. Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP

Also Published As

Publication number Publication date
JP3689083B2 (ja) 2005-08-31

Similar Documents

Publication Publication Date Title
CN107911258B (zh) 一种基于sdn网络的安全资源池的实现方法及系统
US10367736B2 (en) Extended tag networking
US7693048B1 (en) Enhanced internal router redundancy
EP3072264B1 (en) Method for performing network service insertion
US7379465B2 (en) Tunneling scheme optimized for use in virtual private networks
US20180123874A1 (en) Ip mpls pop virtualization and fault tolerant virtual router
EP1480380B1 (en) Data mirroring
JP4744723B2 (ja) マルチプロトコル冗長ルータプロトコルサポート方法及び装置
Lasserre et al. Framework for data center (DC) network virtualization
US7260648B2 (en) Extension of address resolution protocol (ARP) for internet protocol (IP) virtual networks
EP1062784B1 (en) Providing secure access to network services
US20060146832A1 (en) Method and system for transporting data using pseudowire circuits over a bridged network
EP1475942A2 (en) Address Resolution in IP Internetworking Layer 2 point-to-point connections
JP2003051844A (ja) ユーザ通信装置,エッジデバイス,及びパケットの中継方法
EP2548346B1 (en) Packet node for applying service path routing at the mac layer
JP2001237876A (ja) Ip仮想プライベート網の構築方法及びip仮想プライベート網
US7643496B1 (en) Application specified steering policy implementation
WO2021093463A1 (zh) 报文转发的方法、第一网络设备以及第一设备组
JP3689083B2 (ja) ネットワークシステム及びノード装置
JP2001249866A (ja) ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
US7269639B1 (en) Method and system to provide secure in-band management for a packet data network
JP4011528B2 (ja) ネットワーク仮想化システム
KR100431207B1 (ko) 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법
WO2024001821A1 (zh) 一种加密信息的分发方法及相关装置
WO2023185502A1 (zh) 流量回注方法及防护系统

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050208

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050609

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090617

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees