JP2010062618A - ゲートウェイ装置、経路制御方法およびそのプログラム - Google Patents
ゲートウェイ装置、経路制御方法およびそのプログラム Download PDFInfo
- Publication number
- JP2010062618A JP2010062618A JP2008223301A JP2008223301A JP2010062618A JP 2010062618 A JP2010062618 A JP 2010062618A JP 2008223301 A JP2008223301 A JP 2008223301A JP 2008223301 A JP2008223301 A JP 2008223301A JP 2010062618 A JP2010062618 A JP 2010062618A
- Authority
- JP
- Japan
- Prior art keywords
- gateway device
- address
- termination
- route
- establishment request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】VPN等に用いられるゲートウェイ装置を冗長化するとき、通信の信頼性を向上させ、かつ、コストを削減する。
【解決手段】冗長化するゲートウェイ装置10に同じ終端アドレスを割り当てる。そして、主系ゲートウェイ装置は、待機系ゲートウェイ装置への経路よりも低いコストの経路情報を広告する。この後、主系ゲートウェイ装置の障害等により、待機系ゲートウェイ装置を経由する経路が選択されると、この待機系ゲートウェイ装置は端末装置20との間に新たなIPsecトンネルを確立する。そして、このゲートウェイ装置10は、自身が広告する経路情報のコストを最小値にする。また、このゲートウェイ装置10に他の終端アドレスが割り当てられていたときは、この終端アドレスをシャットダウンし、この終端アドレスに関する経路情報を削除する。
【選択図】図2
【解決手段】冗長化するゲートウェイ装置10に同じ終端アドレスを割り当てる。そして、主系ゲートウェイ装置は、待機系ゲートウェイ装置への経路よりも低いコストの経路情報を広告する。この後、主系ゲートウェイ装置の障害等により、待機系ゲートウェイ装置を経由する経路が選択されると、この待機系ゲートウェイ装置は端末装置20との間に新たなIPsecトンネルを確立する。そして、このゲートウェイ装置10は、自身が広告する経路情報のコストを最小値にする。また、このゲートウェイ装置10に他の終端アドレスが割り当てられていたときは、この終端アドレスをシャットダウンし、この終端アドレスに関する経路情報を削除する。
【選択図】図2
Description
本発明は、トンネル終端装置(以下、端末装置と呼ぶ)がトンネル終端ゲートウェイ装置(以下、ゲートウェイ装置)に対して、IPsec(Internet Protocol security)やL2TP(layer 2 tunneling protocol)等のトンネリングプロトコルを用いてVPN(Virtual Private Network)を構築する場合における、ゲートウェイ装置の冗長化技術に関する。
IPネットワークにおいて、ゲートウェイ装置を冗長化する方法として、以下の2つの方法がある。
(1)VRRP(Virtual Router Redundancy Protocol)を用いる方法
このVRRPは、同じプレフィックスのネットワーク内に複数のゲートウェイ装置を設置し、VRRPグループを構成する。そして、そのVRRPグループのゲートウェイ装置間で同じ仮想IPアドレスおよび仮想MACアドレス(Media Access Control address)を設定するものである。ここで、これらのうち1台のゲートウェイ装置を、通常時ACT(アクティブ)ゲートウェイ装置として動作する主系ゲートウェイ装置とする。また、その他N台のゲートウェイ装置を、通常時SBY(スタンバイ)ゲートウェイ装置として待機する待機系ゲートウェイ装置とする。この状態で、主系ゲートウェイ装置が故障した場合、待機系ゲートウェイ装置のうち最も優先度の高いゲートウェイ装置が、主系ゲートウェイ装置に替わってACTゲートウェイ装置に切り替わり、残ったN-1台の待機系ゲートウェイ装置が、SBYゲートウェイ装置となる(非特許文献1参照)。
このVRRPは、同じプレフィックスのネットワーク内に複数のゲートウェイ装置を設置し、VRRPグループを構成する。そして、そのVRRPグループのゲートウェイ装置間で同じ仮想IPアドレスおよび仮想MACアドレス(Media Access Control address)を設定するものである。ここで、これらのうち1台のゲートウェイ装置を、通常時ACT(アクティブ)ゲートウェイ装置として動作する主系ゲートウェイ装置とする。また、その他N台のゲートウェイ装置を、通常時SBY(スタンバイ)ゲートウェイ装置として待機する待機系ゲートウェイ装置とする。この状態で、主系ゲートウェイ装置が故障した場合、待機系ゲートウェイ装置のうち最も優先度の高いゲートウェイ装置が、主系ゲートウェイ装置に替わってACTゲートウェイ装置に切り替わり、残ったN-1台の待機系ゲートウェイ装置が、SBYゲートウェイ装置となる(非特許文献1参照)。
(2)ダイナミックルーティングを用いる方法
このダイナミックルーティングの例としては、OSPF(Open Shortest Path First)、BGP(Border Gateway Protocol)を用いたルーティングが挙げられる。ダイナミックルーティングを用いる場合、IPネットワーク内に配置した複数のゲートウェイ装置において、主系ゲートウェイ装置N台分のトンネル終端アドレスを、待機系ゲートウェイ装置から、各主系ゲートウェイ装置よりも優先度を下げて経路広告を行う。このようにすることで、主系ゲートウェイ装置が故障した場合、より優先度の高い待機系ゲートウェイ装置への経路情報をもとにルーティングが行われる。よって、主系ゲートウェイ装置に替わってこの待機系ゲートウェイ装置がACTゲートウェイ装置となる。つまり、N台の主系ゲートウェイ装置に対して、1台の待機系ゲートウェイ装置を用いてゲートウェイ装置の冗長化を実現できる(非特許文献2,3参照)。
Virtual Router Redundancy Protocol、RFC2338、[online]、[平成20年8月12日検索]、インターネット、<URL: http://www.ietf.org/rfc/rfc2338.txt?number=2338 > OSPF Version 2、RFC2328、[online]、[平成20年8月12日検索]、インターネット、<URL: http://www.ietf.org/rfc/rfc2328.txt?number=2328 > Protection of BGP Sessions via the TCP MD5 Signature Option、RFC2385、[online]、[平成20年8月12日検索]、インターネット、<URL: http://www.ietf.org/rfc/rfc2385.txt?number=2385>
このダイナミックルーティングの例としては、OSPF(Open Shortest Path First)、BGP(Border Gateway Protocol)を用いたルーティングが挙げられる。ダイナミックルーティングを用いる場合、IPネットワーク内に配置した複数のゲートウェイ装置において、主系ゲートウェイ装置N台分のトンネル終端アドレスを、待機系ゲートウェイ装置から、各主系ゲートウェイ装置よりも優先度を下げて経路広告を行う。このようにすることで、主系ゲートウェイ装置が故障した場合、より優先度の高い待機系ゲートウェイ装置への経路情報をもとにルーティングが行われる。よって、主系ゲートウェイ装置に替わってこの待機系ゲートウェイ装置がACTゲートウェイ装置となる。つまり、N台の主系ゲートウェイ装置に対して、1台の待機系ゲートウェイ装置を用いてゲートウェイ装置の冗長化を実現できる(非特許文献2,3参照)。
Virtual Router Redundancy Protocol、RFC2338、[online]、[平成20年8月12日検索]、インターネット、<URL: http://www.ietf.org/rfc/rfc2338.txt?number=2338 > OSPF Version 2、RFC2328、[online]、[平成20年8月12日検索]、インターネット、<URL: http://www.ietf.org/rfc/rfc2328.txt?number=2328 > Protection of BGP Sessions via the TCP MD5 Signature Option、RFC2385、[online]、[平成20年8月12日検索]、インターネット、<URL: http://www.ietf.org/rfc/rfc2385.txt?number=2385>
しかし、前記したVRRPでは、主系ゲートウェイ装置と待機系ゲートウェイ装置とを異なるプレフィックス内に設置できないという問題点がある。よって、例えば、全国にVPNサービスを展開する通信キャリアが、主系ゲートウェイ装置と待機系ゲートウェイ装置とを拠点を分けて配置するといったことができない。つまり、災害発生時等により、主系ゲートウェイ装置と待機系ゲートウェイ装置の両方のゲートウェイ装置が被害をこうむる可能性がある。また、ダイナミックルーティングを利用して、N台の主系ゲートウェイ装置に対して、1台の待機系ゲートウェイ装置を用いるようにした場合、この待機系ゲートウェイ装置に対するSBYゲートウェイ装置は存在しない。よって、この待機系ゲートウェイ装置に障害が発生した場合、通信が停止してしまうおそれがある。ここで、主系ゲートウェイ装置それぞれに対し1台の待機系ゲートウェイ装置を用意することも考えられるが、ネットワーク内に2N個のゲートウェイ装置を用意しなければならなくなり、コストが高くなる。
さらに、前記したダイナミックルーティングを利用してゲートウェイ装置の冗長化を行った場合、主系ゲートウェイ装置と待機系ゲートウェイ装置とは互いに状態監視を行わない。このため、主系ゲートウェイ装置の障害発生後、復旧すると、待機系ゲートウェイ装置系への経路が、この主系ゲートウェイ装置への経路に振り戻ってしまうという問題がある。つまり、この主系ゲートウェイ装置は、待機系ゲートウェイ装置系よりも優先度の高い経路情報を広告しているので、この主系ゲートウェイ装置が復旧すれば、この主系ゲートウェイ装置へ経路が振り戻ってしまう。このような経路の振り戻しは、通信の瞬断等を招くおそれがある。また、主系ゲートウェイ装置が不安定にリブートを引き起こすような場合、経路が主系ゲートウェイ装置と待機系ゲートウェイ装置との間で何度も切り替わり、通信が極めて不安定になる。
本発明は、前記した問題を解決し、ゲートウェイ装置を冗長化する場合の通信の信頼性を向上させ、かつ、コストを削減することを目的とする。
前記した課題を解決するため請求項1に記載の発明は、OSPF(Open Shortest Path First)またはBGP(Border Gateway Protocol)を用いたダイナミックルーティングにより経路制御され、同じ終端アドレスを保持するゲートウェイ装置を複数備えるネットワークにおけるゲートウェイ装置であって、自身のゲートウェイ装置の保持する1以上の終端アドレスごとに、自身のゲートウェイ装置経由で当該終端アドレスへ接続するときの経路およびその優先度を記憶する記憶部と、自身のゲートウェイ装置の保持する終端アドレスと、この自身のゲートウェイ装置経由で終端アドレスへ接続する経路情報の優先度とを含む経路情報を、ネットワーク内へ広告する経路情報広告部と、ネットワーク経由で、端末装置からトンネル確立要求を受け付ける接続処理部とを備え、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じとき、経路情報広告部は、その終端アドレスへ接続する経路の優先度を、この終端アドレスに関する他のいずれの経路情報よりも高くなるよう変更した経路情報をネットワークへ広告することを特徴とする。
請求項5に記載の発明は、OSPFまたはBGPを用いたダイナミックルーティングにより経路制御され、同じ終端アドレスを保持するゲートウェイ装置を複数備えるネットワークにおいて、自身のゲートウェイ装置の保持する1以上の終端アドレスごとに、自身のゲートウェイ装置経由で当該終端アドレスへ接続するときの経路およびその優先度を記憶する記憶部を備えるゲートウェイ装置が、自身のゲートウェイ装置の保持する終端アドレスと、この自身のゲートウェイ装置経由で終端アドレスへ接続する経路情報の優先度とを含む経路情報を、ネットワーク内へ広告するステップと、ネットワーク経由で、端末装置からトンネル確立要求を受け付けるステップと、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じとき、その終端アドレスへ接続する経路の優先度を、この終端アドレスに関する他のいずれの経路情報よりも高くなるよう変更した経路情報を広告するステップとを実行することを特徴とする。
このようにすることで、主系ゲートウェイ装置に障害等が発生すると、ネットワーク内の経路制御により、この主系ゲートウェイ装置と同じ終端アドレスを持ち、この主系ゲートウェイ装置の次に優先度の高い待機系ゲートウェイ装置への経路が選択される。そして、端末装置は、この待機系ゲートウェイ装置へ新たなトンネル確立要求を送信する。待機系ゲートウェイ装置は、この端末装置からのトンネル確立要求を機に、自身と同じ終端アドレスを持つ主系ゲートウェイ装置に障害等が発生したことを知る。そして、この待機系ゲートウェイ装置が、この端末装置との間にトンネルを確立し、ACTゲートウェイ装置となるとき、自身が広告していた経路情報の優先度を、他のいずれの経路情報の優先度よりも、高くしてネットワーク内へ広告する。これにより、この障害が発生した主系ゲートウェイ装置について復旧したとき、この経路の振り戻しが起こらないようにできる。また、ゲートウェイ装置は、1以上の終端アドレスを保持する。そして、その終端アドレスごとに、自身のゲートウェイ装置経由で当該終端アドレスへ接続する経路の優先度を記憶し、その終端アドレスおよび優先度を含む経路情報をネットワーク内に広告する。よって、ゲートウェイ装置は、複数の主系ゲートウェイ装置のSBYゲートウェイ装置となることができる。また、この待機系ゲートウェイ装置以外のゲートウェイ装置にも同じ終端アドレスで、この待機系ゲートウェイ装置よりも優先度を低く設定しておけば、この待機系ゲートウェイ装置に障害が発生したときのSBYゲートウェイ装置となることができる。
請求項2に記載の発明は、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスに、トンネル確立要求の宛先となる終端アドレス以外の終端アドレスがあるとき、接続処理部は、トンネル確立要求の宛先となる終端アドレス以外の終端アドレスをシャットダウンし、経路情報広告部は、そのトンネル確立要求の宛先となる終端アドレス以外の終端アドレスに関する経路情報を削除するよう指示する情報を、ネットワークへ広告することを特徴とする。
請求項4に記載の発明は、請求項3に記載のゲートウェイ装置において、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスに、トンネル確立要求の宛先となる終端アドレスの属するアドレスグループ以外の終端アドレスがあるとき、接続処理部は、トンネル確立要求の宛先となる終端アドレスの属するアドレスグループ以外の終端アドレスをシャットダウンし、経路情報広告部は、そのトンネル確立要求の宛先となる終端アドレス以外の属するアドレスグループ以外の終端アドレスに関する経路情報を削除するよう指示する情報を、ネットワークへ広告することを特徴とする。
請求項6に記載の発明は、請求項5に記載の経路制御方法において、ゲートウェイ装置は、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスに、トンネル確立要求の宛先となる終端アドレス以外の終端アドレスがあるとき、トンネル確立要求の宛先となる終端アドレス以外の終端アドレスをシャットダウンするステップと、そのトンネル確立要求の宛先となる終端アドレス以外の終端アドレスに関する経路情報を削除するよう指示する情報を、ネットワークへ広告するステップとを実行することを特徴とする。
請求項8に記載の経路制御方法は、請求項7に記載の経路制御方法において、ゲートウェイ装置が、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスに、トンネル確立要求の宛先となる終端アドレスの属するアドレスグループ以外の終端アドレスがあるとき、接続処理部は、トンネル確立要求の宛先となる終端アドレスの属するアドレスグループ以外の終端アドレスをシャットダウンするステップと、そのトンネル確立要求の宛先となる終端アドレス以外の属するアドレスグループ以外の終端アドレスに関する経路情報を削除するよう指示する情報を、ネットワークへ広告するステップとを実行することを特徴とする。
このようにすることで、複数の主系ゲートウェイ装置のSBYゲートウェイ装置であったゲートウェイ装置が、端末装置とトンネルを確立し、ACTゲートウェイ装置となったとき、他の主系ゲートウェイ装置のSBYゲートウェイ装置とならないようにできる。つまり、自身のゲートウェイ装置は、他の終端アドレスに関する経路情報を削除するように指示するので、この終端アドレスを保持する他の主系ゲートウェイ装置に障害が発生した場合でも、自身のゲートウェイ装置への経路が選択されることはない。また、この障害の発生した主系ゲートウェイ装置とトンネルを確立していた端末装置が、自身のゲートウェイ装置にトンネル確立要求を送信してきたとしても、この他の終端アドレスについてはシャットダウンしているので、この端末装置とのトンネルを確立しないようにできる。
請求項3に記載の発明は、請求項1に記載のゲートウェイ装置における記憶部が、1以上の終端アドレスの属するアドレスグループの情報をさらに含み、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じとき、経路情報広告部は、その終端アドレスの属するアドレスグループ内の各終端アドレスへ接続する経路の優先度を、このアドレスグループ以外の終端アドレスに関するいずれの経路情報よりも高くなるよう変更した経路情報をネットワークへ広告することを特徴とする。
請求項7に記載の発明は、請求項5に記載の経路制御方法において、記憶部が、1以上の終端アドレスの属するアドレスグループの情報をさらに含み、ゲートウェイ装置は、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じとき、その終端アドレスの属するアドレスグループ内の各終端アドレスへ接続する経路の優先度を、このアドレスグループ以外の終端アドレスに関するいずれの経路情報よりも高くなるよう変更した経路情報をネットワークへ広告することを特徴とする。
このようにすることで、待機系ゲートウェイ装置は、同じアドレスグループのいずれかの終端アドレスについてのトンネル確立要求の受信を機に、そのアドレスグループ内の終端アドレスへ接続する経路の優先度をまとめて、他のいずれの経路情報よりも高くなるよう変更し、ACTゲートウェイ装置になる。よって、複数のVPNを提供する主系ゲートウェイ装置に障害が発生し、各VPNの経路が待機系ゲートウェイ装置への経路の切り替わった後、この主系ゲートウェイ装置が復旧した場合でも、その経路それぞれについて復旧後のゲートウェイ装置への経路の振り戻るのを防止できる。
請求項9に記載の発明は、請求項5ないし請求項8のいずれか1項に記載の経路制御方法を、コンピュータに実行させるためのプログラムである。
このようなプログラムによれば、コンピュータに請求項5ないし請求項8のいずれか1項に記載の経路制御方法を実行させることができる。
本発明によれば、ゲートウェイ装置を冗長化する場合の通信の信頼性を向上させ、かつ、コストを削減することができる。
以下、本発明を実施するための最良の形態(以下、実施の形態という)について説明する。まず、図1および図2を用いて、本実施の形態のゲートウェイ装置(GW装置)を含むネットワークの経路制御について説明する。図1および図2は、本実施の形態のゲートウェイ装置を含むシステムの構成例を示した図である。
ここでは、図1に示すようにシステムは、端末装置20と、複数のゲートウェイ装置10が設置されるネットワーク30とを含む。そして、端末装置20同士が、IPsecトンネルによりゲートウェイ装置10経由で接続し、VPNを構成する場合を例に説明する。なお、このネットワーク30は、OSPFで経路制御が行われるネットワークである。
ここで、ゲートウェイ装置10にはそれぞれ、論理アドレスによりIPsec終端アドレス(終端アドレス)が割り当てられる。ここでは、ネットワーク30内において同じ終端アドレスを持つゲートウェイ装置10を複数用意しておく。
そして、ゲートウェイ装置10は、ネットワーク30に対して、この終端アドレスについてOSPFコスト(コスト)を含む経路情報を広告する。なお、このOSPFコストは、当該終端アドレス宛の経路のコストを示した値であり、ネットワーク30内のルータ(図示省略)が、当該終端アドレス宛のパケットの経路の選択を行う際に参照する値である。ここでは、ネットワーク30において同じ終端アドレスに対する経路が複数あったとき、そのコストができるだけ小さい経路が選択される。つまり、経路情報に含まれるコストは、ネットワーク30における経路選択の優先度として参照される。よって、同じ終端アドレスを保持するゲートウェイ装置10がコストの異なる経路情報を広告することで、VPNを構成するときの経路を冗長化できる。
例えば、ゲートウェイ装置10Aは、エリアA(例えば、東京)に設置され、ゲートウェイ装置10Bは、エリアB(例えば、大阪)に設置され、ゲートウェイ装置10Cは、エリアC(例えば、名古屋)に設置される。また、このゲートウェイ装置10Dは、エリアD(例えば、札幌)に設置され、ゲートウェイ装置10Eは、エリアE(例えば、福岡)に設置される。このようにゲートウェイ装置10をそれぞれ別拠点に設置することで、ある拠点に災害が発生したときに、複数のゲートウェイ装置10が一挙に被害をこうむることがなくなる。
ゲートウェイ装置10A,10B,10Cは、主系ゲートウェイ装置であり、ゲートウェイ装置10D,10Eは、待機系ゲートウェイ装置である。なお、本実施の形態でコストとして用いる値は、ダイナミックルーティングにおける経路選択時の優先度となるメトリックやリンクコスト(コスト)の値である。このコストは、ゲートウェイ装置10において任意の値を設定可能である。ここでは、例えば、ゲートウェイ装置10Aは、終端アドレス「A」、コスト「100」を設定した経路情報を広告する。また、ゲートウェイ装置10Bは、終端アドレス「B」、コスト「100」を設定した経路情報を広告する。さらに、ゲートウェイ装置10Cは、終端アドレス「C」、コスト「100」の経路情報を広告する。また、ゲートウェイ装置10Dは、終端アドレス「A」、「B」、「C」それぞれについて、それぞれコスト「200」を設定した経路情報を広告する。さらに、ゲートウェイ装置10Eは、終端アドレス「A」、「B」、「C」それぞれについて、コスト「300」を設定した経路情報を広告する。このように同じ終端アドレスについてコストの値に差を設けることで、ネットワーク30内でその経路が選択される優先度を設けることができる。
つまり、ネットワーク30内において、経路情報に示されるコストに基づき、終端アドレス「A」宛の経路は、ゲートウェイ装置10Aへの経路>ゲートウェイ装置10Dへの経路>ゲートウェイ装置10Eへの経路という優先順位で選択される。また、終端アドレス「B」宛の経路は、ゲートウェイ装置10Bへの経路>ゲートウェイ装置10Dへの経路>ゲートウェイ装置10Eへの経路という優先順位で選択される。さらに、終端アドレス「C」宛の経路は、ゲートウェイ装置10Cへの経路>ゲートウェイ装置10Dへの経路>ゲートウェイ装置10Eへの経路という優先順位で選択される。つまり、ゲートウェイ装置10D,10Eはそれぞれ、ゲートウェイ装置10A,10B,10CのSBYゲートウェイ装置として機能し、このゲートウェイ装置10Dに障害が発生した際には、ゲートウェイ装置10EがSBYゲートウェイ装置として機能するようにできる。つまり、同じ終端アドレスのゲートウェイ装置10を冗長化することができる。
なお、主系ゲートウェイ装置に設定するコストの値は、このダイナミックルーティングにおいて設定可能な最小値よりも大きな値としておく。これは、本実施の形態において主系ゲートウェイ装置に障害が発生し、待機系ゲートウェイ装置への経路切り替えが行われると、この待機系ゲートウェイ装置は、コストを最小値にした経路情報を広告する。ここで、この障害が発生した主系ゲートウェイ装置のコストも最小値であると、この主系ゲートウェイ装置が復旧したときに、この主系ゲートウェイ装置への経路の振り戻しが発生するおそれがあるからである。
端末装置20は、ネットワーク30経由で終端アドレス「A」、「B」、「C」に対してIPsecトンネルを確立可能であり、通常時はネットワーク30内のOSPFコスト制御により選択されたゲートウェイ装置10との間でIPsecトンネルを確立する。例えば、端末装置20は、終端アドレス「A」についてゲートウェイ装置10Aとの間でIPsecトンネルを確立し、グループAのVPNを構成する。また、同様にグループBの端末装置20は、終端アドレス「B」についてゲートウェイ装置10Bとの間で、IPsecトンネルを確立し、グループBのVPNを構成する。さらに、グループCの端末装置20は、終端アドレス「C」についてゲートウェイ装置10Cとの間で、IPsecトンネルを確立し、グループCのVPNを構成する。
次に、このようなシステム構成において、ゲートウェイ装置10Bに障害が発生したときのネットワーク30における経路制御について、図2を用いて説明する。
ゲートウェイ装置10Bに障害が発生すると、ネットワーク30内で終端アドレス「B」宛の経路は、ゲートウェイ装置10D宛の経路に切り替わる。つまり、ゲートウェイ装置10Dが終端アドレス「B」のACTゲートウェイ装置になる。そして、端末装置20は、このゲートウェイ装置10Dとの間のIPsecトンネル確立のため、このゲートウェイ装置10Dは、端末装置20から終端アドレス「B」宛のパケットを受信する。これを機に、ゲートウェイ装置10Dは、終端アドレス「B」の経路情報のコストを「200」から「1(最小)」に変更し、終端アドレス「A」、「C」をシャットダウンする。また、この終端アドレス「A」、「C」の経路情報を削除する。これより、グループBの端末装置20は、ゲートウェイ装置10Dと接続し、VPNを構築することになる。また、ゲートウェイ装置10Dは、終端アドレス「B」の経路情報のコストを「200」から「1」に変更する。つまり、経路制御における優先度を最高にする。よって、ゲートウェイ装置10Bが復旧したとしても、このゲートウェイ装置10Bへの経路の振り戻しが起こらない。また、終端アドレス「A」、「C」をシャットダウンすることで、このゲートウェイ装置10Dが、ゲートウェイ装置10A,10CのSBYゲートウェイ装置にならなくて済む。
次に、図3を用いて、このようなゲートウェイ装置10の構成を詳細に説明する。図3は、図1および図2のゲートウェイ装置の構成を示したブロック図である。
ゲートウェイ装置10は、前記したOSPFにより、ネットワーク30内へ経路情報の広告等を行う通信装置である。また、このゲートウェイ装置10は、端末装置20同士を接続しVPNを構成するときのゲートウェイとして機能する。このゲートウェイ装置10の機能は、入出力インタフェース部11と、処理部12と、記憶部13と、ネットワークインタフェース部14とに分けられる。
入出力インタフェース部11は、このゲートウェイ装置10への設定情報の入力等を受け付ける。ここでの設定情報とは、このゲートウェイ装置10の終端アドレスや、広告する経路情報に付加するコスト等を含むものである。例えば、このゲートウェイ装置10を終端アドレス「A」に関する主系ゲートウェイ装置としたい場合、そのコストを、同じ終端アドレス「A」を持つ他のゲートウェイ装置10よりも低く設定しておく。一方、このゲートウェイ装置10を終端アドレス「A」に関する待機系ゲートウェイ装置としたい場合、同じ終端アドレス「A」を持つ他のゲートウェイ装置10よりも高いコストを設定しておけばよい。
処理部12は、端末装置20との間でIPsecトンネルを確立し、データの転送を行ったり、ネットワーク30内に経路情報の広告をしたりする。このような処理部12は、経路情報広告部121と、接続処理部122と、経路制御部123とを備える。
経路情報広告部121は、ネットワークインタフェース部14経由でネットワーク30内へ経路情報の広告を行う。ここで広告する経路は、自身のゲートウェイ装置10に設定された終端アドレスおよびその終端アドレス宛の経路のコストとを含む。なお、このコストはネットワーク30において、その終端アドレス宛の経路を選択するときの優先度として参照される。
この経路情報広告部121は、優先度変更部1211を備える。この優先度変更部1211は、後記する接続処理部122により、端末装置20から、自身の保持する終端アドレス宛のトンネル確立要求を受け付けたとき、記憶部13に記憶される自身のゲートウェイ装置10の終端アドレス宛の経路の優先度を最高値に変更する。ここでは、自身のゲートウェイ装置10の保持するいずれかの終端アドレスについてSBYゲートウェイ装置からACTゲートウェイ装置になるとき、そのACTゲートウェイ装置の終端アドレスについてコスト(OSPFコスト)を最小値に変更する。そして、経路情報広告部121は、このコスト変更後の経路情報をネットワーク30内に広告する。これにより、経路の振り戻しを抑制できる。また、経路情報広告部121は、終端アドレス宛の経路の優先度を最高値に変更した終端アドレス以外の終端アドレスに関する経路情報を削除するよう指示する情報を、ネットワーク30へ広告する。これにより、自身のゲートウェイ装置10がACTゲートウェイ装置になったとき、他のゲートウェイ装置のSBYゲートウェイ装置にならないで済む。
接続処理部122は、図1の端末装置20からのトンネル確立要求に基づき、この端末装置20との間の接続処理を実行する。例えば、接続処理部122は、グループAの端末装置20から、IKE(Internet Key Exchange)によりIPsecトンネル確立要求を受け付けると、この端末装置20との間でIPsecトンネルを確立する。また、この接続処理部122は、受け付けたトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置10の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスに、このトンネル確立要求の宛先となる終端アドレス以外の終端アドレスがあるとき終端アドレス以外の終端アドレスをシャットダウンする。
経路制御部123は、記憶部13の経路情報131(後記)を参照して、端末装置20から受信したパケット等の転送処理等を行う。
記憶部13は、経路情報131を記憶する。この経路情報131は、自身のゲートウェイ装置10の保持する終端アドレス、その終端アドレス宛の経路のコスト(優先度)を示した情報である。この経路情報131の情報は、入出力インタフェース部11経由で入力される設定情報により設定される。なお、自身のゲートウェイ装置10が端末装置20とIPsecトンネルを確立したときには、この記憶部13には、そのIPsecトンネルに関するセキュリティポリシやセキュリティアソシエーションの結果等が記憶される。この情報は、端末装置20間で確立されたIPsecトンネルを用いて暗号化パケットの転送を行う際に参照される。
ネットワークインタフェース部14は、端末装置20からトンネル確立要求を受け付けたり、経路情報広告部121から出力される経路情報をネットワーク30へ広告したりする。また、端末装置20との間でパケットの送受信を行う。
処理部12は、このゲートウェイ装置10が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。さらに、記憶部13は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体から構成される。なお、ゲートウェイ装置10をプログラム実行処理により実現する場合、記憶部13には、このゲートウェイ装置10の機能を実現するためのプログラムが格納される。
次に、図1〜図3を参照しつつ、図4を用いて、待機系ゲートウェイ装置であるゲートウェイ装置10の処理手順を説明する。図4は、図3のゲートウェイ装置の処理手順を示したフローチャートである。
ここでは、図1のネットワーク30内の各ゲートウェイ装置10は、経路情報広告部121により、自身の保持する終端アドレスと、その終端アドレス宛の経路のコストとを含む経路情報を広告済みであるものとする。そして、このような経路情報の広告により、ネットワーク30内において、最もコストが小さい経路が選択され、端末装置20はその経路によりゲートウェイ装置10との間でIPsecトンネルを確立しているものとする。つまり、端末装置20は、主系ゲートウェイ装置との接続を確立し、VPNを構成しているものとする。ここでは、この主系ゲートウェイ装置に障害が発生し、経路制御により、この待機系ゲートウェイ装置系への経路が選択され、端末装置20は、この待機系ゲートウェイ装置へ新たなIPsecトンネル確立要求を送信する場合を例に説明する。
待機系ゲートウェイ装置であるゲートウェイ装置10の接続処理部122は、端末装置20から新たなIPsecトンネル確立要求を受信すると(S1)、このIPsecトンネル確立要求に含まれるアドレスを終端アドレスとするIPsecトンネルを端末装置20との間に確立する(S2)。つまり、待機系ゲートウェイ装置が、端末装置20から、自身の保持する終端アドレスと同じ終端アドレスを含むIPsecトンネル確立要求を受信すると、この終端アドレスの主系ゲートウェイ装置に障害が発生したことを知ることができる。
そして、このゲートウェイ装置10の接続処理部122は、このIPsecトンネル確立要求を受け入れて、この端末装置20とのIPsecトンネルを確立する(S3)。これにより、待機系ゲートウェイ装置は、ACTゲートウェイ装置となる。
また、ゲートウェイ装置10の経路情報広告部121は、経路情報131のうち、このIPsecトンネル確立要求の宛先である終端アドレスに関する経路情報のコストを、最小値に変更する。つまり、ネットワーク30において、この終端アドレス宛の経路が選択される優先度を最高値にする。そして、この経路情報広告部121は、このコストを変更した経路情報をネットワーク30内に広告する(S3)。また、障害が発生した主系ゲートウェイ装置の障害復旧後、この主系ゲートウェイ装置への経路の振り戻しが発生しないようにできる。
この後、ゲートウェイ装置10の接続処理部122は、記憶部13に記憶される経路情報131に示される終端アドレスのうち、当該IPsecトンネルを確立した終端アドレス以外のアドレスをシャットダウンする(S4)。つまり、接続処理部122は、ネットワークインタフェース部14の当該終端アドレスに関するポートをシャットダウンする。
次に、図1〜図3を参照しつつ、図5を用いて、ゲートウェイ装置10の処理手順の例を説明する。図5は、図3のゲートウェイ装置の処理手順を例示した図である。ここでは、図1のグループBの端末装置20とIPsecトンネルを確立し、通信を行っていたゲートウェイ装置10Bに障害が発生し、ゲートウェイ装置10Dへ経路を切り替える場合を例に説明する。
まず、ネットワーク30はOSPFによる経路制御により、グループBの端末装置20はそれぞれ、終端アドレス「B」について、ゲートウェイ装置10B経由の経路が選択され、このゲートウェイ装置10BとのIPsecトンネルを確立しているものとする。
グループBの端末装置20はそれぞれ、ゲートウェイ装置10Bに対し暗号化通信用のESPパケットを送信し、ゲートウェイ装置10Bは、この暗号化パケットの復号および転送処理を実行する(S11)。
そして、このゲートウェイ装置10Bに障害が発生すると(S12)、ネットワーク30において優先経路への自動切り替えが行われる(S13)。つまり、ネットワーク30において、同じ終端アドレスアドレス(終端アドレス「A」)について2番目の優先経路である、ゲートウェイ装置10Dへの経路が選択される。
そして、このゲートウェイ装置10Dは、このグループBの端末装置20から、ESPパケットを受信する。また、同様に、ゲートウェイ装置10Dは、このグループBの端末装置20から、IPsecトンネルの死活状況を監視するライブネス監視用のIKEパケットを受信する(S14)。しかし、このゲートウェイ装置10Dの接続処理部122は、受信したESPパケットの復号鍵(CHILD_SA)を保持していないため、このESPパケットを破棄する。また、接続処理部122は、受信したIKEパケットの復号鍵(IKE_SA)を保持していないため、このIKEパケットも破棄する(S15)。
これにより、グループBの端末装置20は、今までグループBのVPNで用いていたゲートウェイ装置10Bに障害が発生したことを知ることができる。
しばらくして、グループBの端末装置20は、ライブネス監視の満了により、IPsecトンネル(トンネル)の切断要求となるDeleteのIKEパケットをゲートウェイ装置10Dへ送信する(S16)。ここでもゲートウェイ装置10Dの接続処理部122は、受信したIKEパケットの復号鍵(IKE_SA)を保持していないため、このIKEパケットも破棄する(S17)。
このような処理の後、ゲートウェイ装置10Dの接続処理部122は、グループBの端末装置20からIKEによりトンネル確立要求(IKE_SA_INIT_req)を受信し(S18)、トンネル確立要求を受諾し、端末装置20へその応答を返す(S19)。つまり、IKEにより端末装置20へトンネル確立応答(IKE_SA_INIT_res)を返す(S20)。そして、グループBの端末装置20からIKEにより認証要求(IKE_AUTH_req)を受信し(S21)、認証要求を受諾し、端末装置20へその応答を返す(S22)。つまり、IKEにより端末装置20へ認証応答(IKE_SA_AUTH_res)を返す(S23)。
このようにして、ゲートウェイ装置10Dの接続処理部122は、グループBの端末装置20との間でIKE_SAおよびCHILD_SAを確立し、IPsecトンネルを確
そして、ゲートウェイ装置10Dの接続処理部122は、端末装置20からCHILD_SAで暗号化されたESPパケットを受信し(S24)、このESPパケットを復号化し、転送処理を行う(S25)。ここで、ゲートウェイ装置10Dの接続処理部122において、端末装置20から送信されたESPパケットが復号できたことを契機に、ACTゲートウェイ装置であるゲートウェイ装置10Bに障害が発生したと判断する。そして、自身が終端アドレス「B」のACTゲートウェイ装置になるため、ゲートウェイ装置10Dの優先度変更部1211は、終端アドレス「B」のコストを、最優先となる「1」に変更したことを伝えるLS Updateパケットを送信する(S26)。これにより、この終端アドレス「B」について、コスト「100」が設定されたゲートウェイ装置10Bよりも、コスト「1」が設定されたゲートウェイ装置10Dがネットワーク30内の全領域で優先経路となる。よって、ゲートウェイ装置10Bが復旧したときも、このゲートウェイ装置10Dの経路が優先経路となるので、ゲートウェイ装置10Bの経路への切り戻しを抑制できる。
そして、このゲートウェイ装置10Dの接続処理部122は、終端アドレス「A」と「C」のアドレスをシャットダウンする。そして、ゲートウェイ装置10Dは、当該ゲートウェイ装置10Dから広告していた終端アドレス「A」、「C」の経路情報を削除したことを伝えるLS Updateパケットをネットワーク30内へ送信する(S27)。これにより、ゲートウェイ装置10Dは、ゲートウェイ装置10A,10Cの1番優先のSBYゲートウェイ装置を辞退し、かわりにゲートウェイ装置10Eがゲートウェイ装置10A,10C,10Dの1番優先のSBYゲートウェイ装置になる。
このようにすることで、ゲートウェイ装置10は互いの状態を監視しなくても、端末装置20からのIPsecトンネル確立要求の受信を契機に、ACTゲートウェイ装置の故障を検知し、自身がSBYゲートウェイ装置からACTゲートウェイ装置に切り替わることができる。
なお、前記した実施の形態において、各ゲートウェイ装置10は、複数の終端アドレスを用いて、複数のVPNを提供するゲートウェイ装置であってもよい。この場合の実施の形態を、適宜図3を参照しつつ、図6および図7を用いて説明する。前記した実施の形態と同様の構成要素は、同じ符号を付して説明を省略する。図6および図7は、本実施の形態のゲートウェイ装置を含むシステムの構成例を示した図である。
ここでは、図6に示すように、主系ゲートウェイ装置であるゲートウェイ装置10Bは、終端アドレスB1,B2,B3を保持し、それぞれコスト「100」の経路情報を広告している。これにより、ゲートウェイ装置10Bは、グループB1,B2,B3というVPNを提供しているものとする。また、ゲートウェイ装置10Dは、待機系ゲートウェイ装置として、終端アドレスB1,B2,B3について、それぞれコスト「200」の経路情報を広告している。さらに、ゲートウェイ装置10Eは、待機系ゲートウェイ装置として、終端アドレスB1,B2,B3についてそれぞれコスト「300」の経路情報を広告している。なお、グループB1,B2,B3を同じグループBとして扱うため、ゲートウェイ装置10B,10C,10Dにおいて、この終端アドレスB1,B2,B3は、同じアドレスグループに属する終端アドレスとして設定されているものとする。その他の条件は、前記した図1および図2と同じなので説明を省略する。そして、ゲートウェイ装置10は、新たなIPsecトンネルの確立受け付けたとき、このトンネル確立要求の宛先となる終端アドレスが、自身のゲートウェイ装置10の保持するいずれかの終端アドレスと同じとき、その終端アドレスの属するアドレスグループ内の各終端アドレスへ接続する経路の優先度を、このアドレスグループ以外の終端アドレスに関するいずれの経路情報よりも高くなるよう変更した経路情報をネットワーク30へ広告する。
例えば、ゲートウェイ装置10Bに障害が発生したとき(図7参照)、ネットワーク30の経路制御により、終端アドレスB1,B2,B3宛の経路は、ゲートウェイ装置10D経由の経路に切り替わる。そして、ゲートウェイ装置10Dは、終端アドレスB1,B2,B3のいずれかを宛先とするIPsecトンネルの確立要求を受信することになる。ここで、ゲートウェイ装置10Dが、例えば、グループB2の端末装置20から、終端アドレスB2を宛先とするIPsecトンネルの確立要求を受信したとする。この場合、ゲートウェイ装置10Dの経路情報広告部121(図3参照)は、この終端アドレスB2について、コストを「200」から「1」に変更した経路情報を広告し、また、この終端アドレスB2と同じアドレスグループの終端アドレスB1,B3についても、コストを「200」から「1」に変更した経路情報を広告する。つまり、ゲートウェイ装置10の経路情報広告部121は、ある終端アドレスを宛先とするIPsecトンネルの確立要求を受信したとき、その終端アドレスの属するアドレスグループ内のすべての終端アドレスについても、コストを最小(つまり優先度を最高値)にした経路情報を広告する。そして、ゲートウェイ装置10の接続処理部122は、そのアドレスグループ以外の終端アドレスについてシャットダウンし、経路情報を削除するようにする。例えば、ゲートウェイ装置10Dは、終端アドレスA,Cについてアドレスをシャットダウンし、その終端アドレスA,Cの経路情報を削除するようにする。このようにすることで、複数のVPNを提供しているゲートウェイ装置10について、このゲートウェイ装置10に障害が発生し、その後復旧した場合でも、このゲートウェイ装置10への経路の振り戻しを防止できる。なお、この各終端アドレスの属するアドレスグループの情報は、図3の経路情報131に設定されているものとする。
また、前記した実施の形態において、ゲートウェイ装置10は、端末装置20との間で用いるトンネリングプロトコルはIPsecとしたが、L2TP(Layer 2 Tunneling Protocol)であってもよい。また、ネットワーク30において用いられるダイナミックルーティングプロトコルは、OSPFとしたが、BGPであってもよい。この場合、経路情報の優先度の変更は、例えば、BGPメッセージのMED(Multi-Exit-Discriminator)属性の値を変更することにより行われる。なお、MEDの値はその値が小さい程、優先的に選択されるので、優先度を最高にするときには、その値を最も小さい値にすればよい。また、ゲートウェイ装置10は、終端アドレス宛の優先度を変更するとき、および終端アドレスへの経路を削除するときには、Updateメッセージを送信する。
なお、ゲートウェイ装置10が、Radius認証を用いている場合もある。このような場合、ゲートウェイ装置10がSBYゲートウェイ装置からACTゲートウェイ装置になり、端末装置20から新たなIPsec確立要求を受信したとき、このゲートウェイ装置10経由で接続されるRadiusサーバ(課金Radiusサーバ、図示省略)へAccounting‐Onを送出する。このようにすることで、このゲートウェイ装置10との間でIPsecトンネルを確立していた端末装置20が、Radiusサーバに、二重ログインしたと認識されることを避けることができる。
本実施の形態に係るゲートウェイ装置10は、前記したような処理を実行させるプログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、インターネット等のネットワークを通して提供することも可能である。
10(10A,10B,10C,10D,10E) ゲートウェイ装置(GW装置)
11 入出力インタフェース部
12 処理部
13 記憶部
14 ネットワークインタフェース部
20 端末装置
30 ネットワーク
121 経路情報広告部
122 接続処理部
123 経路制御部
131 経路情報
1211 優先度変更部
11 入出力インタフェース部
12 処理部
13 記憶部
14 ネットワークインタフェース部
20 端末装置
30 ネットワーク
121 経路情報広告部
122 接続処理部
123 経路制御部
131 経路情報
1211 優先度変更部
Claims (9)
- OSPF(Open Shortest Path First)またはBGP(Border Gateway Protocol)を用いたダイナミックルーティングにより経路制御され、同じ終端アドレスを保持するゲートウェイ装置を複数備えるネットワークにおける前記ゲートウェイ装置であって、
自身のゲートウェイ装置の保持する1以上の終端アドレスごとに、前記自身のゲートウェイ装置経由で当該終端アドレスへ接続するときの経路およびその優先度を記憶する記憶部と、
前記自身のゲートウェイ装置の保持する終端アドレスと、この自身のゲートウェイ装置経由で前記終端アドレスへ接続する経路情報の優先度とを含む経路情報を、前記ネットワーク内へ広告する経路情報広告部と、
ネットワーク経由で端末装置からトンネル確立要求を受け付ける接続処理部とを備え、
前記受け付けたトンネル確立要求の宛先となる終端アドレスが、前記自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じとき、
前記経路情報広告部は、その終端アドレスへ接続する経路の優先度を、この終端アドレスに関する他のいずれの経路情報よりも高くなるよう変更した経路情報を前記ネットワークへ広告することを特徴とするゲートウェイ装置。 - 前記受け付けたトンネル確立要求の宛先となる終端アドレスが、前記自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスのうち、前記トンネル確立要求の宛先となる終端アドレス以外の終端アドレスがあるとき、
前記接続処理部は、前記トンネル確立要求の宛先となる終端アドレス以外の終端アドレスをシャットダウンし、
前記経路情報広告部は、そのトンネル確立要求の宛先となる終端アドレス以外の終端アドレスに関する経路情報を削除するよう指示する情報を、前記ネットワークへ広告することを特徴とする請求項1に記載のゲートウェイ装置。 - 前記記憶部は、前記1以上の終端アドレスの属するアドレスグループの情報をさらに含み、
前記受け付けたトンネル確立要求の宛先となる終端アドレスが、前記自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じとき、
前記経路情報広告部は、その終端アドレスの属するアドレスグループ内の各終端アドレスへ接続する経路の優先度を、このアドレスグループ以外の終端アドレスに関するいずれの経路情報よりも高くなるよう変更した経路情報を前記ネットワークへ広告することを特徴とする請求項1に記載のゲートウェイ装置。 - 前記受け付けたトンネル確立要求の宛先となる終端アドレスが、前記自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスのうち、前記トンネル確立要求の宛先となる終端アドレスの属するアドレスグループ以外の終端アドレスがあるとき、
前記接続処理部は、前記トンネル確立要求の宛先となる終端アドレスの属するアドレスグループ以外の終端アドレスをシャットダウンし、
前記経路情報広告部は、そのトンネル確立要求の宛先となる終端アドレス以外の属するアドレスグループ以外の終端アドレスに関する経路情報を削除するよう指示する情報を、前記ネットワークへ広告することを特徴とする請求項3に記載のゲートウェイ装置。 - OSPF(Open Shortest Path First)またはBGP(Border Gateway Protocol)を用いたダイナミックルーティングにより経路制御され、同じ終端アドレスを保持するゲートウェイ装置を複数備えるネットワークにおいて、前記自身のゲートウェイ装置の保持する1以上の終端アドレスごとに、前記自身のゲートウェイ装置経由で当該終端アドレスへ接続するときの経路およびその優先度を記憶する記憶部を備える前記ゲートウェイ装置が、
自身のゲートウェイ装置の保持する終端アドレスと、この自身のゲートウェイ装置経由で前記終端アドレスへ接続する経路情報の優先度とを含む経路情報を、前記ネットワーク内へ広告するステップと、
ネットワーク経由で端末装置からトンネル確立要求を受け付けるステップと、
前記受け付けたトンネル確立要求の宛先となる終端アドレスが、前記自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じとき、
その終端アドレスへ接続する経路の優先度を、この終端アドレスに関する他のいずれの経路情報よりも高くなるよう変更した経路情報を広告するステップとを実行することを特徴とする経路制御方法。 - 前記ゲートウェイ装置は、
前記受け付けたトンネル確立要求の宛先となる終端アドレスが、前記自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスのうち、前記トンネル確立要求の宛先となる終端アドレス以外の終端アドレスがあるとき、
前記トンネル確立要求の宛先となる終端アドレス以外の終端アドレスをシャットダウンするステップと、
そのトンネル確立要求の宛先となる終端アドレス以外の終端アドレスに関する経路情報を削除するよう指示する情報を、前記ネットワークへ広告するステップとを実行することを特徴とする請求項5に記載の経路制御方法。 - 前記記憶部は、前記1以上の終端アドレスの属するアドレスグループの情報をさらに含み、
前記ゲートウェイ装置は、
前記受け付けたトンネル確立要求の宛先となる終端アドレスが、前記自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じとき、
その終端アドレスの属するアドレスグループ内の各終端アドレスへ接続する経路の優先度を、このアドレスグループ以外の終端アドレスに関するいずれの経路情報よりも高くなるよう変更した経路情報を前記ネットワークへ広告することを特徴とする請求項5に記載の経路制御方法。 - 前記ゲートウェイ装置は、
前記受け付けたトンネル確立要求の宛先となる終端アドレスが、前記自身のゲートウェイ装置の保持するいずれかの終端アドレスと同じ場合において、そのゲートウェイ装置の保持する終端アドレスのうち、前記トンネル確立要求の宛先となる終端アドレスの属するアドレスグループ以外の終端アドレスがあるとき、
前記接続処理部は、前記トンネル確立要求の宛先となる終端アドレスの属するアドレスグループ以外の終端アドレスをシャットダウンするステップと、
そのトンネル確立要求の宛先となる終端アドレス以外の属するアドレスグループ以外の終端アドレスに関する経路情報を削除するよう指示する情報を、前記ネットワークへ広告するステップとを実行することを特徴とする請求項7に記載の経路制御方法。 - 請求項5ないし請求項8のいずれか1項に記載の経路制御方法を、コンピュータに実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008223301A JP4922267B2 (ja) | 2008-09-01 | 2008-09-01 | ゲートウェイ装置、経路制御方法およびそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008223301A JP4922267B2 (ja) | 2008-09-01 | 2008-09-01 | ゲートウェイ装置、経路制御方法およびそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010062618A true JP2010062618A (ja) | 2010-03-18 |
| JP4922267B2 JP4922267B2 (ja) | 2012-04-25 |
Family
ID=42188999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008223301A Expired - Fee Related JP4922267B2 (ja) | 2008-09-01 | 2008-09-01 | ゲートウェイ装置、経路制御方法およびそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4922267B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012023513A (ja) * | 2010-07-14 | 2012-02-02 | Nec Infrontia Corp | ネットワークシステム、ルータ装置及びそれらに用いる冗長化方法 |
| CN102711234A (zh) * | 2012-05-22 | 2012-10-03 | 中兴通讯股份有限公司 | 主备vrrp设备间同步arp表的方法及vrrp设备 |
| JP2012213033A (ja) * | 2011-03-31 | 2012-11-01 | Mitsubishi Electric Corp | Vpn装置及び管理装置及び通信方法及びプログラム |
| JP2014509798A (ja) * | 2011-03-18 | 2014-04-21 | アルカテル−ルーセント | 地理的冗長ゲートウェイでのフェイルオーバー復元のためのシステムおよび方法 |
| CN106936683A (zh) * | 2015-12-31 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种实现隧道配置的方法及装置 |
| CN110178345A (zh) * | 2016-05-31 | 2019-08-27 | 交互数字Ce专利控股公司 | 用于提供备用链路的方法和设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11261561A (ja) * | 1998-03-06 | 1999-09-24 | Nec Corp | 二重化された接続機器を備えたネットワークシステムと接続障害回避方法 |
| JP2004266823A (ja) * | 2003-02-14 | 2004-09-24 | Matsushita Electric Ind Co Ltd | ネットワーク接続装置、およびネットワーク接続切替方法 |
-
2008
- 2008-09-01 JP JP2008223301A patent/JP4922267B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11261561A (ja) * | 1998-03-06 | 1999-09-24 | Nec Corp | 二重化された接続機器を備えたネットワークシステムと接続障害回避方法 |
| JP2004266823A (ja) * | 2003-02-14 | 2004-09-24 | Matsushita Electric Ind Co Ltd | ネットワーク接続装置、およびネットワーク接続切替方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012023513A (ja) * | 2010-07-14 | 2012-02-02 | Nec Infrontia Corp | ネットワークシステム、ルータ装置及びそれらに用いる冗長化方法 |
| JP2014509798A (ja) * | 2011-03-18 | 2014-04-21 | アルカテル−ルーセント | 地理的冗長ゲートウェイでのフェイルオーバー復元のためのシステムおよび方法 |
| JP2014509797A (ja) * | 2011-03-18 | 2014-04-21 | アルカテル−ルーセント | 地理的冗長ゲートウェイでセッションを復元するシステムおよび方法 |
| JP2012213033A (ja) * | 2011-03-31 | 2012-11-01 | Mitsubishi Electric Corp | Vpn装置及び管理装置及び通信方法及びプログラム |
| CN102711234A (zh) * | 2012-05-22 | 2012-10-03 | 中兴通讯股份有限公司 | 主备vrrp设备间同步arp表的方法及vrrp设备 |
| CN102711234B (zh) * | 2012-05-22 | 2018-03-27 | 中兴通讯股份有限公司 | 主备vrrp设备间同步arp表的方法及vrrp设备 |
| CN106936683A (zh) * | 2015-12-31 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种实现隧道配置的方法及装置 |
| CN106936683B (zh) * | 2015-12-31 | 2019-09-17 | 北京网御星云信息技术有限公司 | 一种实现隧道配置的方法及装置 |
| CN110178345A (zh) * | 2016-05-31 | 2019-08-27 | 交互数字Ce专利控股公司 | 用于提供备用链路的方法和设备 |
| US20200213248A1 (en) * | 2016-05-31 | 2020-07-02 | Interdigital Ce Patent Holdings | Method and device for providing a backup link |
| US10855624B2 (en) * | 2016-05-31 | 2020-12-01 | Interdigital Ce Patent Holdings | Method and device for providing a backup link |
| CN110178345B (zh) * | 2016-05-31 | 2021-06-29 | 交互数字Ce专利控股公司 | 用于提供备用链路的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4922267B2 (ja) | 2012-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7609619B2 (en) | Active-active data center using RHI, BGP, and IGP anycast for disaster recovery and load distribution | |
| US9954769B2 (en) | Inter-domain fast reroute methods and network devices | |
| US7769886B2 (en) | Application based active-active data center network using route health injection and IGP | |
| US8825867B2 (en) | Two level packet distribution with stateless first level packet distribution to a group of servers and stateful second level packet distribution to a server within the group | |
| US8432791B1 (en) | Network route injections | |
| TWI429241B (zh) | 用於重新路由網際網路封包之系統,方法及程式 | |
| TWI461030B (zh) | 在快速重新路由條件下之資源保留協定訊務工程平穩重新啟動 | |
| US8296839B2 (en) | VPN discovery server | |
| US7849127B2 (en) | Method and apparatus for a distributed control plane | |
| US20090296568A1 (en) | Edge Node Redundant System | |
| JP2020522925A (ja) | Ipsecの地理的冗長性のための分離した制御プレーンおよびデータプレーンの同期 | |
| JP7176095B2 (ja) | 通信方法、通信機器、および通信システム | |
| JP7306642B2 (ja) | ループ回避通信方法、ループ回避通信デバイスおよびループ回避通信システム | |
| JP4922267B2 (ja) | ゲートウェイ装置、経路制御方法およびそのプログラム | |
| JP2005130228A (ja) | As間の経路制御を行う通信装置およびその経路制御方法 | |
| US20150109954A1 (en) | Topology discovery based on sctp/x2 snooping | |
| US9256660B2 (en) | Reconciliation protocol after ICR switchover during bulk sync | |
| JPWO2016121293A1 (ja) | ネットワーク中継装置、ゲートウェイ冗長化システム、プログラム、および冗長化方法 | |
| WO2009105983A1 (zh) | 边界网关协议分布式系统中邻居迁移的方法和系统 | |
| Thorat et al. | Rapid recovery from link failures in software-defined networks | |
| US9537761B2 (en) | IP address allocation in split brain ICR scenario | |
| US8923312B2 (en) | OSPF nonstop routing synchronization nack | |
| CN118433088A (zh) | 以太网虚拟私有网络中的bum业务的快速重路由 | |
| WO2012088909A1 (zh) | 一种vpn路由更新方法及装置 | |
| JP2011166245A (ja) | ネットワークシステム、ゲートウェイ装置切替方法、第1のトンネル終端ゲートウェイ装置および第2のトンネル終端ゲートウェイ装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100721 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110811 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110928 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111108 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111228 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120124 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120203 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4922267 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150210 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |