JP2007288748A - スイッチングハブ、ルータおよび仮想lanシステム - Google Patents

スイッチングハブ、ルータおよび仮想lanシステム Download PDF

Info

Publication number
JP2007288748A
JP2007288748A JP2006116947A JP2006116947A JP2007288748A JP 2007288748 A JP2007288748 A JP 2007288748A JP 2006116947 A JP2006116947 A JP 2006116947A JP 2006116947 A JP2006116947 A JP 2006116947A JP 2007288748 A JP2007288748 A JP 2007288748A
Authority
JP
Japan
Prior art keywords
packet
switching hub
virtual
router
routing information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006116947A
Other languages
English (en)
Inventor
Yujiro Kishi
裕次郎 岸
Ryota Hirose
良太 広瀬
Kazuki Okamoto
和樹 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yamaha Corp
Original Assignee
Yamaha Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yamaha Corp filed Critical Yamaha Corp
Priority to JP2006116947A priority Critical patent/JP2007288748A/ja
Publication of JP2007288748A publication Critical patent/JP2007288748A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】分割された仮想セグメント間で効率よく的確に、且つ、セキュリティを維持しながらパケット転送を行うことのできるスイッチングハブを提供する。
【解決手段】接続した複数の端末装置を複数の仮想セグメントに分割する仮想LAN機能を備えたスイッチングハブであって、上位装置からルーティング情報を受信する制御部と、前記複数の仮想セグメントの1つに属する端末装置から受信したパケットが他のネットワーク宛であった場合、その宛先IPアドレスがどの端末装置のものであるかを前記ルーティング情報に基づいて判断し、その宛先IPアドレスが他の仮想セグメントに属する端末装置宛のものである場合には、このパケットを前記上位装置に転送することなく内部で転送するスイッチング部と、を備えた。
【選択図】図1

Description

この発明は、1つのスイッチングハブ内に複数の仮想セグメントを設定した仮想LANにおいて効率的且つ安全にパケット転送を行うスイッチングハブ、ルータおよび仮想LANシステムに関する。
仮想LANとは、論理的な接続形態を物理的な接続形態から分離して仮想的なセグメントを構築したネットワーク形態であり、1つのネットワーク機器で複数のセグメントを管理したい場合や複数のネットワーク機器で1つのセグメントを共有したい場合等に用いられる。このうち、1つのネットワーク機器で複数のセグメントを管理したい場合には、内部でセグメントを分割することのできるレイヤ2スイッチを用いて構築される。レイヤ2スイッチとは、データリンク層(第2層)でパケットの宛先を判断してパケット転送を行なう機器であり、スイッチングハブがこれにあたる。
レイヤ2スイッチ内でセグメントを分割すると、これら分割されたセグメント相互間のデータ転送は、上位レイヤ(ネットワーク層)装置の役割となり、同じレイヤ2スイッチ内でパケットを転送する場合でも、ルータ等の上位レイヤ機器を経由して行うことになる。
しかし、同じレイヤ2スイッチ内のパケット転送を上位レイヤ装置を経由して行うと、上記レイヤ装置へのトラフィック増大につながり、上位レイヤ装置の処理負担が増大するうえ通信の輻輳の原因にもなる。
そこで、同じレイヤ2スイッチ内の分割されたセグメント相互間のパケット転送は、上位レイヤ装置を経由せずにレイヤ2スイッチ内部で行うようにしたものが提案されている(たとえば、特許文献1)。この文献のレイヤ2スイッチでは、接続されている端末からアドレス解決要求パケット(ARPパケット)や近隣探索要求パケット(NDPパケット)またはその返信パケットをスヌーピングしてIPアドレス,MACアドレス,ポートの対応関係を学習しておき、レイヤ2スイッチ内の分割されたセグメント間で送受されるパケットを上位レイヤ装置を経由せずに内部で直接転送するものである。
特開2005−217715号公報
ところで、レイヤ2スイッチ内部でセグメントを分割する仮想LANは、たとえば各セグメント間のデータ送受信を制限することによってセキュリティを維持するため等の目的をもって構築されるものである。
しかし、上記特許文献1の装置では、端末装置(ホスト)間で送受されるパケットをスヌーピングしてIPアドレス,MACアドレス,物理ポート番号の対応関係を学習し、学習したIPアドレス,MACアドレス,ポートの対応関係に基づいて自由にパケット転送が行われるため、上記セキュリティが維持できないという問題点があった。
この発明は、分割された仮想セグメント間で効率よく的確に、且つ、セキュリティを維持しながらパケット転送を行うことのできるスイッチングハブ、ルータ、仮想LANシステムを提供することを目的とする。
(1)この発明は、接続した複数の端末装置を複数の仮想セグメントに分割する仮想LAN機能を備えたスイッチングハブであって、上位装置からルーティング情報を受信する制御部と、前記複数の仮想セグメントの1つに属する端末装置から受信したパケットの宛先を前記ルーティング情報に基づいて判断し、その宛先が他の仮想セグメントに属する端末装置宛のものである場合には、このパケットを前記上位装置に転送することなく内部で転送するスイッチング部と、を備えたことを特徴とする。
(2)この発明は、上記発明において、前記制御部は、前記上位装置から、前記複数の仮想セグメント間の転送を許可するパケットを選別するためのパケット選別情報をさらに受信し、前記スイッチング部は、前記受信したパケットの種類が前記パケット選別情報により前記複数の仮想セグメント間の転送が許可されている場合のみ、このパケットを内部で転送することを特徴とする。
(3)この発明は、ルーティング情報を記憶する記憶手段と、前記ルーティング情報が変更される毎に、または、一定時間毎に前記記憶手段に記憶しているルーティング情報を下位に接続しているスイッチングハブに転送する手段と、を備えたことを特徴とする。
(4)この発明は、ルーティング情報および前記セグメント間の転送を許可するパケットを選別するためのパケット選別情報を記憶する記憶手段と、前記ルーティング情報またはパケット選別情報が変更される毎に、または、一定時間毎に前記記憶手段に記憶しているルーティング情報およびパケット選別情報を下位に接続しているスイッチングハブに転送する手段と、を備えたことを特徴とする。
(5)この発明は、(3)に記載のルータに、(1)に記載のスイッチングハブを接続して構成したことを特徴とする。
(6)この発明は、(4)に記載のルータに、(2)に記載のスイッチングハブを接続して構成したことを特徴とする。
この発明によれば、ルータ等の上位装置からルーティング情報を受信し、このルーティング情報に基づいて内部の仮想セグメント間でパケットを転送することにより、ARPパケット等の送受信が行われていない状況であっても全体のルーティング情報を把握することができ、的確なパケット転送をすることができる。また、ネットワーク設定が変更された場合でも、上位装置からルーティング情報が送信されてくるため、その変更に的確に対応することができる。
また、この発明によれば、ルータ等の上位装置からセグメント間転送を許可するパケットを選別するためのパケット選別情報を受信して、仮想セグメント間を転送するパケットを選別するようにしたことにより、仮想LAN機能を用いてセグメントを分割した趣旨に沿ったセキュリティ設定でパケットの転送を規制することができる。ここで、パケット選別情報とは、たとえば、たとえば未使用のプロトコルを用いたパケット,未使用ポート宛のパケットを排除する情報やICMPパケットのうちエコー要求およびその応答のみ許可する等の情報である。
図面を参照してこの発明の実施形態について説明する。図1はこの発明の実施形態であるスイッチングハブの概略構成図である。また、図2は該スイッチングハブの物理的な接続形態を示す図である。
図1において、スイッチングハブ1は、複数の下位ポート12、アップリンクポート13、スイッチング部10、制御部11を有している。複数の下位ポート12には、それぞれパーソナルコンピュータ等の端末装置(ホスト)3が接続される。アップリンクポート13には、上位装置であるルータ2が接続される。
なお、この実施形態では、アップリンクポート13を通常のポート(下位ポート12)と別に設けているが、アップリンクポート13は必須の構成ではない。
スイッチング部10は、高速LSIで構成され、上記下位ポート12、アップリンクポート13から入力されたパケットを所定の宛先ポートへ転送する。どのポートへ転送するかは、Ethernet(登録商標)の場合、そのパケットに付された宛先MACアドレスに基づいて決定する。また、このスイッチング部10は、仮想LAN設定情報記憶部101およびパケット転送設定情報記憶部102を有している。仮想LAN設定情報記憶部101には、前記複数の下位ポートに接続されている複数の端末装置3を複数の仮想セグメントに分割するための仮想LAN設定情報が記憶されている。また、パケット転送設定情報記憶部102には、仮想セグメント間の転送を許可するパケットを選別するためのパケット選別情報および転送アドレス書換情報が記憶されている。このパケット転送設定情報の詳細については後述する。
制御部11は、マイクロコンピュータで構成され、スイッチング部10の上記パケット転送機能を設定する。また制御部11は、半導体メモリで構成される記憶部110を有している。この記憶部110には、上位装置であるルータ2から送られてきたネットワーク設定情報が記憶される。ネットワーク設定情報は、各セグメントのルーティング情報およびセグメント間セキュリティ設定情報を含む情報である。制御部11は、このネットワーク設定情報に基づいて前記パケット転送設定情報を作成し、スイッチング部10に設定する。
図2において、アップリンクポート13にはルータ2が接続され、複数の下位ポート12にはそれぞれ端末装置3が接続されている。複数の端末装置3は、仮想LAN設定により、複数の仮想セグメントに分割されている。セグメント分割は、物理ポート番号、MACアドレス、上位プロトコル等(これらに限定されない)に基づく分割条件にしたがって行われ、その分割の設定は、仮想LAN設定情報記憶部101に記憶されている。ルータ2は、複数のネットワーク(セグメント)間のパケット転送を制御する装置であり、記憶部20に各ネットワークのIPアドレス、ルーティング情報、セキュリティ設定等を記憶している。ルーティング情報は、IPアドレス−MACアドレス対応テーブル、IPアドレス変換情報、プロトコル変換情報等からなる。また、セキュリティ設定とは、たとえば未使用のプロトコル,ポートの遮断、入力/出力フィルタリング、ICMP選別(エコー要求/応答のみ許可)等である。異なるネットワーク間のパケット転送は、通常、ルータ2を経由して行われ、このときルータ2はパケットの始点MACアドレスおよび宛先MACアドレスを書き換える。
上記のように構成されたスイッチングハブ1は、制御部11が、ルータ2から受信したネットワーク設定情報に基づいてパケット転送設定情報を作成し、このパケット転送設定情報をスイッチング部10に設定する。
スイッチング部10は、下位ポート12から受信したパケットの宛先MACアドレスを読み取り、そのアドレスがルータ2のアドレスであるかを判断する。受信したパケットの宛先MACアドレスがルータ2のものでなければ、同じスイッチングハブ内の同じセグメントの端末装置宛であるため、通常のスイッチングハブの動作として無条件にそのパケットを該当の物理ポート12に転送する。受信したパケットの宛先MACアドレスがルータ2のものであった場合には、このパケットの宛先IPアドレスを読み取る。読み取った宛先IPアドレスが同じスイッチングハブ内の異なるセグメントに属する端末装置宛であった場合には、パケット選別情報に基づきこのパケットの転送を許可してよいかを判断し、転送が許可されたパケットの場合には、宛先MACアドレスをルータ2のMACアドレスから目的の端末装置のMACアドレスに書き換えて、このパケットを該当の物理ポート12に転送(内部転送)する。目的の端末装置のMACアドレスは、ルータ2から送られてきたルーティング情報に基づいて作成された転送アドレス書換情報に含まれている。
図3、図4のフローチャートを参照して、ルータ2およびスイッチングハブ1の動作について説明する。
図3(A)はルータ2の動作を示すフローチャートである。ルーティング情報およびセグメント間セキュリティ設定情報を含むネットワーク設定情報が変更されるごとに(S1)、そのセグメントに属するスイッチングハブに対してこのネットワーク設定を転送する(S2)。仮想LANにより複数のセグメントを有するスイッチングハブ1に対しては、それぞれのセグメントに関するネットワーク設定情報を送信する。
同図(B)は、スイッチングハブ1の制御部11のフローチャートである。ルータ2からスイッチング部10を介してネットワーク設定情報を受信すると(S3)、このネットワーク設定情報を記憶部110に書き込んで情報を更新する(S4)。このなかから、パケット転送の設定に関わる情報を抜き出してパケット転送設定情報を作成してスイッチング部10のパケット転送設定情報記憶部102に設定する(S5)。
図4はスイッチングハブ1のスイッチング部10の動作を示すフローチャートである。同図(A)は、アップリンクポート13を介してルータ2からネットワーク設定情報を受信したときの動作を示すフローチャートである。ルータ2からネットワーク設定情報を受信すると(S10)、このネットワーク設定情報を制御部11に転送する(S11)。
同図(B)は、制御部11からパケット転送設定情報を受信したときの動作を示すフローチャートである。制御部11からパケット転送設定情報を受信すると(S12)、このパケット転送設定情報をパケット転送設定情報記憶部102に書き込む(S13)。
次に、同図(C)は、複数の下位ポート12のいずれかからパケットを受信したときのスイッチング部10の動作を示すフローチャートである。いずれかの下位ポート12からパケットを受信すると(S20)、そのパケットに書き込まれている宛先MACアドレスを読み取ってチェックする(S21)。この宛先MACアドレスがルータのMACアドレスでない場合には、同一セグメント内の他の端末装置に転送すべきパケットであると判断されるため、通常のスイッチングハブの動作としてSAT(Source Address Table)を参照して該当の下位ポート12にこのパケットを転送する(S23)。MACアドレスをチェックした結果、ルータ2宛のパケットすなわち発信元端末装置が他のネットワーク(セグメント)に属する端末装置に宛てたパケットであった場合には、このパケットの宛先IPアドレスを読み取ってチェックする(S24)。このIPアドレスがこのスイッチングハブ1に接続されている端末装置のものでない場合には(S25でNO)、このパケットをルータ2に転送する(S26)。
一方、このパケットの宛先IPアドレスがこのスイッチングハブ1の他の仮想セグメントに属する端末装置のものであった場合には、このパケットの種類等に基づいて内部転送が許可されたパケットであるかを判断する(S27)。この判断に前記パケット選別情報を用いる。内部転送が許可されたパケットであれば(S28でYES)、このパケットの宛先MACアドレスを目的の端末装置のものに書き換えて(S29)、該当の下位ポート12に転送する(S30)。もし、内部転送が許可されていないパケットであれば(S28でNO)、これを破棄する(S31)。
図3(B)および図4の各動作は、所定の時間毎にそれぞれ繰り返し実行される動作であり、最初に該当の情報(パケット)を受信ているか否かを判断し、該当の情報を受信したときのみメインの処理が実行される。
なお、内部の他の仮想セグメント宛のパケットであって内部転送が許可されていないものについてもルータ2に転送するようにしてもよい。
なお、この実施形態では、同じスイッチングハブの(内部の)他のセグメント宛のパケットであっても転送がパケット選別情報に基づいて転送を許可されたパケットのみを選別して内部転送するようにしているが、内部の他のセグメント宛のパケットは無条件に転送を許可するように設定することも可能である。
なお、図3、図4の処理動作は一例であり、本発明はこの処理動作に限定されるものではない。
この発明の実施形態であるスイッチングハブの概略構成図 同スイッチングハブの接続形態を示す図 同スイッチングハブの制御部およびルータの動作を示すフローチャート 同スイッチングハブのスイッチング部の動作を示すフローチャート
符号の説明
1…スイッチングハブ
2…ルータ
3…端末装置(ホスト)
10…スイッチング部
11…制御部
12…下位ポート
13…アップリンクポート
101…仮想LAN設定情報記憶部
102…パケット転送設定情報記憶部
110…ネットワーク設定情報記憶部

Claims (6)

  1. 接続した複数の端末装置を複数の仮想セグメントに分割する仮想LAN機能を備えたスイッチングハブであって、
    上位装置からルーティング情報を受信する制御部と、
    前記複数の仮想セグメントの1つに属する端末装置から受信したパケットの宛先を前記ルーティング情報に基づいて判断し、その宛先が他の仮想セグメントに属する端末装置宛のものである場合には、このパケットを前記上位装置に転送することなく内部で転送するスイッチング部と、
    を備えたスイッチングハブ。
  2. 前記制御部は、前記上位装置から、前記複数の仮想セグメント間の転送を許可するパケットを選別するためのパケット選別情報をさらに受信し、
    前記スイッチング部は、前記受信したパケットの種類が前記パケット選別情報により前記複数の仮想セグメント間の転送が許可されている場合のみ、このパケットを内部で転送する請求項1に記載のスイッチングハブ。
  3. ルーティング情報を記憶する記憶手段と、
    前記ルーティング情報が変更される毎に、または、一定時間毎に前記記憶手段に記憶しているルーティング情報を下位に接続しているスイッチングハブに転送する手段と、
    を備えたルータ。
  4. ルーティング情報および前記セグメント間の転送を許可するパケットを選別するためのパケット選別情報を記憶する記憶手段と、
    前記ルーティング情報またはパケット選別情報が変更される毎に、または、一定時間毎に前記記憶手段に記憶しているルーティング情報およびパケット選別情報を下位に接続しているスイッチングハブに転送する手段と、
    を備えたルータ。
  5. 請求項3に記載のルータに、請求項1に記載のスイッチングハブを接続して構成した仮想LANシステム。
  6. 請求項4に記載のルータに、請求項2に記載のスイッチングハブを接続して構成した仮想LANシステム。
JP2006116947A 2006-04-20 2006-04-20 スイッチングハブ、ルータおよび仮想lanシステム Pending JP2007288748A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006116947A JP2007288748A (ja) 2006-04-20 2006-04-20 スイッチングハブ、ルータおよび仮想lanシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006116947A JP2007288748A (ja) 2006-04-20 2006-04-20 スイッチングハブ、ルータおよび仮想lanシステム

Publications (1)

Publication Number Publication Date
JP2007288748A true JP2007288748A (ja) 2007-11-01

Family

ID=38760063

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006116947A Pending JP2007288748A (ja) 2006-04-20 2006-04-20 スイッチングハブ、ルータおよび仮想lanシステム

Country Status (1)

Country Link
JP (1) JP2007288748A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011130983A1 (zh) * 2010-04-23 2011-10-27 华为技术有限公司 本地路由实现方法及系统、网络设备
JP2012010235A (ja) * 2010-06-28 2012-01-12 Alaxala Networks Corp パケット中継装置及びネットワークシステム
CN102365845A (zh) * 2010-04-23 2012-02-29 华为技术有限公司 本地路由实现方法及系统、网络设备
JP2012130084A (ja) * 2012-03-30 2012-07-05 Fujitsu Ltd フレーム中継装置、経路学習プログラム、および経路学習方法
CN110612450A (zh) * 2017-05-15 2019-12-24 埃佩多夫股份公司 实验室仪器、实验室仪器网络和用于对实验室样品进行工作的方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011130983A1 (zh) * 2010-04-23 2011-10-27 华为技术有限公司 本地路由实现方法及系统、网络设备
CN102365845A (zh) * 2010-04-23 2012-02-29 华为技术有限公司 本地路由实现方法及系统、网络设备
CN104602220A (zh) * 2010-04-23 2015-05-06 华为技术有限公司 本地路由实现方法及系统、网络设备
JP2012010235A (ja) * 2010-06-28 2012-01-12 Alaxala Networks Corp パケット中継装置及びネットワークシステム
JP2012130084A (ja) * 2012-03-30 2012-07-05 Fujitsu Ltd フレーム中継装置、経路学習プログラム、および経路学習方法
CN110612450A (zh) * 2017-05-15 2019-12-24 埃佩多夫股份公司 实验室仪器、实验室仪器网络和用于对实验室样品进行工作的方法
JP2020520793A (ja) * 2017-05-15 2020-07-16 エッペンドルフ アクチェンゲゼルシャフト 実験機器、実験機器ネットワークおよび実験サンプルを取り扱うための方法
JP7299843B2 (ja) 2017-05-15 2023-06-28 エッペンドルフ・ソシエタス・エウロパエア 実験機器、実験機器ネットワークおよび実験サンプルを取り扱うための方法

Similar Documents

Publication Publication Date Title
US9923812B2 (en) Triple-tier anycast addressing
JP6581277B2 (ja) データパケット転送
JP6004405B2 (ja) コントローラでネットワークパケット転送を管理するシステム及び方法
US8780836B2 (en) Network system, controller, and network control method
JP5493926B2 (ja) インタフェース制御方式、インタフェース制御方法、及びインタフェース制御用プログラム
US9215175B2 (en) Computer system including controller and plurality of switches and communication method in computer system
JP4500806B2 (ja) ルータ・ポートを構成する方法および装置
JP6846891B2 (ja) 仮想ルータクラスタ、データ転送方法および装置
WO2014136864A1 (ja) パケット書換装置、制御装置、通信システム、パケット送信方法及びプログラム
JP5458038B2 (ja) フロースイッチ、フロー制御システムおよびフロー制御方法
EP2648376A1 (en) Address resolution protocol (arp) table entry configuration method and device
WO2012081631A1 (ja) スイッチング装置、その上位装置、ネットワーク及びパケット転送方法
JP2006295937A (ja) スイッチの入力ポートにおけるフレームフィルタリング
JP2007288748A (ja) スイッチングハブ、ルータおよび仮想lanシステム
KR100827143B1 (ko) 패킷 스위치 장비 및 그 방법
US10523629B2 (en) Control apparatus, communication system, communication method, and program
JP6191191B2 (ja) スイッチ装置及びスイッチ装置の制御方法
JP2006197051A (ja) ネットワーク通信制御装置およびネットワーク通信制御方法
JP2009239836A (ja) スイッチングハブ
US20070008970A1 (en) Packet data router apparatus and method
WO2018230608A1 (ja) 通信システム、通信制御装置、スイッチ装置、通信制御方法、及び、記録媒体
JP2007129283A (ja) データ転送装置
JP2009296441A (ja) ネットワークシステム、ネットワーク端末装置、及びlanスイッチ
JP2004120642A (ja) ルータ装置、及び転送制御方法
KR100772182B1 (ko) 라우터 및 그의 외부 트래픽과 내부 트래픽을 구분한IPv4 패킷 처리 방법