JP2012034259A - Tunnel termination system, tunnel termination method, tunnel termination controller, tunnel termination control method and program therefor - Google Patents
Tunnel termination system, tunnel termination method, tunnel termination controller, tunnel termination control method and program therefor Download PDFInfo
- Publication number
- JP2012034259A JP2012034259A JP2010173290A JP2010173290A JP2012034259A JP 2012034259 A JP2012034259 A JP 2012034259A JP 2010173290 A JP2010173290 A JP 2010173290A JP 2010173290 A JP2010173290 A JP 2010173290A JP 2012034259 A JP2012034259 A JP 2012034259A
- Authority
- JP
- Japan
- Prior art keywords
- tunnel
- processing
- tunnel termination
- processing device
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、IPsec(Security Architecture for Internet Protocol)を用いたトンネル終端技術に関する。 The present invention relates to a tunnel termination technique using IPsec (Security Architecture for Internet Protocol).
トンネル終端装置は、通信プロトコルとしてトンネリングプロトコルを用いてデータをカプセス化することで、対向するトンネル終端装置との間にトンネルを確立して、トンネル終端装置間を透過的に接続することができる。例えば、図6に示すように、センタ側トンネル終端装置(センタ拠点に配備したトンネル終端装置)に対して、アクセスネットワークに接続した多数の端末(トンネル終端装置)から同時に接続する形態がある(非特許文献1参照)。この接続形態を、Hub−Spoke型接続と呼ぶ。このHub−Spoke型接続では、各端末は、センタ側ネットワークに接続して通信を行う前に、センタ側トンネル終端装置との間で、IPsecのプロトコルに従って、トンネルを確立する。そして、各端末は、トンネルを用いてアクセスネットワークを透過し、センタ側ネットワークに接続することができる。 The tunnel termination device can encapsulate data using a tunneling protocol as a communication protocol, thereby establishing a tunnel with the opposing tunnel termination device and transparently connecting the tunnel termination devices. For example, as shown in FIG. 6, there is a form in which a number of terminals (tunnel termination devices) connected to the access network are simultaneously connected to the center side tunnel termination device (tunnel termination device deployed at the center site) (non- Patent Document 1). This connection form is referred to as a Hub-Spoke type connection. In this Hub-Spoke connection, each terminal establishes a tunnel with the center-side tunnel termination device according to the IPsec protocol before communicating with the center-side network. Each terminal can pass through the access network using a tunnel and connect to the center side network.
IPsecは、暗号技術を用いて、IP(Internet Protocol)パケット単位でデータの改竄防止や秘匿をすることができる。IPsecは、AH(Authentication Header)による完全性の保証および認証、ESP(Encapsulated Security Payload)によるデータの暗号化、およびIKE(Internet Key Exchange)等による鍵交換、の3つのプロトコルから構成されている。IKEには、RFC(Request for Comments)2409に規定されているIKEv1や、IKEv1の脆弱性を改善したIKEv2(非特許文献2参照)がある。 In IPsec, data can be prevented from being falsified or concealed in units of IP (Internet Protocol) packets using encryption technology. IPsec is composed of three protocols: integrity guarantee and authentication by AH (Authentication Header), data encryption by ESP (Encapsulated Security Payload), and key exchange by IKE (Internet Key Exchange) and the like. IKE includes IKEv1 defined in RFC (Request for Comments) 2409 and IKEv2 in which the vulnerability of IKEv1 is improved (see Non-Patent Document 2).
IPsecでは、トンネルを確立するために、まず、IKE(例えば、IKEv2)を用いて、データの交換方法および保護方法について合意が結ばれる。この手続は、IKE_SA_INITの交換(要求/応答)によって実行され、結ばれた合意のことをIKE SA(Security Association,セキュリティアソシエーション)と呼ぶ。なお、IKEv2には、暗号化やメッセージ認証を行うためのアルゴリズム等のパラメータ交渉、Diffie-Hellmanの仕組みを用いた暗号鍵/認証鍵の生成、IDパスワード等によるユーザ認証、IPアドレスの払出し等の機能が含まれている。次に、IKE_AUTHの交換(要求/応答)によって、送信するデータを保護するためのCHILD SAの確立と、相手の認証が行われる。その後、確立されたCHILD SAを用いて、送信するデータをESPまたはAHを用いて保護しつつ、確立したトンネルを介してデータの送受信が行われる。これらのSA(IKE SAおよびCHILD SA)は、トンネルが削除されるまでの間、データを送受信するセンタ側トンネル終端装置と端末との双方に保持されるものである。 In IPsec, in order to establish a tunnel, an agreement is first made on a data exchange method and a protection method using IKE (for example, IKEv2). This procedure is executed by the exchange (request / response) of IKE_SA_INIT, and the agreed agreement is referred to as IKE SA (Security Association). IKEv2 includes parameter negotiations such as algorithms for encryption and message authentication, generation of encryption keys / authentication keys using the Diffie-Hellman mechanism, user authentication using ID passwords, etc. Features are included. Next, establishment of CHILD SA for protecting data to be transmitted and authentication of the other party are performed by exchange (request / response) of IKE_AUTH. Thereafter, data is transmitted / received through the established tunnel while data to be transmitted is protected using ESP or AH using the established CHILD SA. These SAs (IKE SA and CHILD SA) are held in both the center-side tunnel terminating device and the terminal that transmit and receive data until the tunnel is deleted.
Hub−Spoke型接続では、センタ側トンネル終端装置で処理するトラフィックが増加し、そのセンタ側トンネル終端装置の転送能力が不足した状態になることが問題となる。この場合、センタ側トンネル終端装置をもう1台別に増設して、既設のセンタ側トンネル終端装置との間で負荷分散させることで、転送能力の不足を解消することが考えられる。 In the Hub-Spoke connection, there is a problem that the traffic processed by the center-side tunnel terminator increases and the transfer capability of the center-side tunnel terminator becomes insufficient. In this case, it is conceivable to solve the shortage of transfer capability by adding another center-side tunnel termination device and distributing the load with the existing center-side tunnel termination device.
しかしながら、IPsecを用いている場合、増設されたセンタ側トンネル終端装置は、端末との間で、新たにSAを生成しなければならない。すなわち、増設されたセンタ側トンネル終端装置と端末との間で、トンネルの新たな確立が必要となり、その際、一時的に通信が途絶するという問題がある。 However, when IPsec is used, the added center-side tunnel termination device must generate a new SA with the terminal. That is, there is a problem that a new tunnel needs to be established between the added center-side tunnel termination device and the terminal, and communication is temporarily interrupted at that time.
そこで、本発明は、通信を途絶することなしに、トンネル終端装置のスケールアウト(負荷分散のために、同じ機能を備える装置または部品の数を増加させること)を可能にする技術を提供することを課題とする。 Therefore, the present invention provides a technique that enables the scale-out of a tunnel termination device (increasing the number of devices or components having the same function for load distribution) without interrupting communication. Is an issue.
本発明は、パケットを送受信する端末との間で、IPsecを用いて前記端末ごとにトンネルを確立し、前記トンネルを終端する終端処理を実行するトンネル終端システムであって、前記トンネルを確立するための呼制御信号を含むパケットを、第3処理装置を経由して前記端末との間で送受信して、SAを前記端末との間に確立し、前記SAに基づいて終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶するとともに、前記トンネル終端情報を複製する第1処理装置と、前記第1処理装置によって複製された前記トンネル終端情報を取得し、当該トンネル終端情報に基づいて、前記第3処理装置を経由して前記端末から受信した前記パケットの終端処理を実行する第2処理装置と、前記端末から受信した前記パケットのヘッダ情報に基づいて、前記呼制御信号を含むパケットを前記第1処理装置に転送し、前記トンネルを通過してきたパケットを前記第2処理装置に転送する前記第3処理装置と、を備えることを特徴とする。 The present invention provides a tunnel termination system that establishes a tunnel for each of the terminals using IPsec with a terminal that transmits and receives a packet, and performs termination processing for terminating the tunnel, in order to establish the tunnel In order to establish a SA with the terminal and execute a termination process based on the SA by transmitting / receiving a packet including the call control signal to / from the terminal via the third processing device. Generating tunnel termination information to be used, storing the tunnel termination information in a storage unit, acquiring the tunnel termination information replicated by the first processing device and the first processing device, and replicating the tunnel termination information; A second processing device for performing termination processing of the packet received from the terminal via the third processing device based on the tunnel termination information; and the terminal The third processing device transfers the packet including the call control signal to the first processing device and transfers the packet passing through the tunnel to the second processing device based on the header information of the packet received from And.
また、本発明は、パケットを送受信する端末との間で、IPsecを用いて前記端末ごとにトンネルを確立し、前記トンネルを終端する終端処理を実行するトンネル終端システムにおいて用いられるトンネル終端方法であって、前記トンネル終端システムが、前記端末から受信した前記パケットのヘッダ情報に基づいて、前記トンネルを確立するための呼制御信号を含むパケットを第1処理ステップに送信し、前記トンネルを通過してきたパケットを第2処理ステップに送信する第3処理ステップと、前記呼制御信号を含むパケットを、前記第3処理ステップを経由して前記端末との間で送受信して、SAを前記端末との間に確立し、前記SAに基づいて終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶するとともに、前記トンネル終端情報を複製する第1処理ステップと、前記第1処理ステップによって複製された前記トンネル終端情報を取得し、当該トンネル終端情報に基づいて、前記第3処理ステップを経由して前記端末から受信した前記パケットの終端処理を実行する第2処理ステップと、を実行することを特徴とする。 The present invention also relates to a tunnel termination method used in a tunnel termination system that establishes a tunnel for each terminal using IPsec and performs termination processing to terminate the tunnel with a terminal that transmits and receives packets. Then, the tunnel termination system transmits a packet including a call control signal for establishing the tunnel to the first processing step based on the header information of the packet received from the terminal, and has passed through the tunnel. A third processing step for transmitting a packet to the second processing step; and a packet including the call control signal is transmitted to and received from the terminal via the third processing step, and an SA is transmitted to the terminal. And generates tunnel termination information used to execute termination processing based on the SA, and the tunnel termination information is A first processing step of storing in the storage unit and replicating the tunnel termination information; acquiring the tunnel termination information replicated by the first processing step; and the third processing step based on the tunnel termination information And a second processing step of executing termination processing of the packet received from the terminal via the terminal.
このような構成によれば、トンネル終端システムは、第1処理装置によって生成されたトンネル終端情報に基づいて、第2処理装置においてトンネルを終端する終端処理を実行することができる。すなわち、従来では、第1処理装置と端末との間で確立したトンネルのトンネル終端情報は、第1処理装置以外の装置、例えば、第2処理装置に適用できなかった。しかし、本発明では、第2処理装置は、第1処理装置によって複製されたトンネル終端情報を取得し、当該トンネル終端情報によって終端されるトンネルを通過してきたパケットを第3処理装置を介して受信するので、そのトンネルを終端する終端処理を実行することができる。すなわち、このトンネル終端システムは、トンネルを確立した第1処理装置とは別の第2処理装置によってトンネルを終端することができる。したがって、第2処理装置がIPsecを用いて新たに端末との間にトンネルを確立する必要はないため、通信を途絶することなしに、第2処理装置のスケールアウトを可能にすることができる。 According to such a configuration, the tunnel termination system can execute termination processing for terminating the tunnel in the second processing device based on the tunnel termination information generated by the first processing device. That is, conventionally, the tunnel termination information of the tunnel established between the first processing device and the terminal cannot be applied to devices other than the first processing device, for example, the second processing device. However, in the present invention, the second processing device acquires the tunnel termination information duplicated by the first processing device, and receives the packet that has passed through the tunnel terminated by the tunnel termination information via the third processing device. Therefore, termination processing for terminating the tunnel can be executed. That is, this tunnel termination system can terminate the tunnel by a second processing device different from the first processing device that established the tunnel. Therefore, since it is not necessary for the second processing device to newly establish a tunnel with the terminal using IPsec, it is possible to scale out the second processing device without interrupting communication.
本発明は、パケットを送受信する端末との間で、IPsecを用いて前記端末ごとにトンネルを確立し、前記トンネルを終端する終端処理を実行するトンネル終端システムであって、前記トンネルを確立するための呼制御信号を含むパケットを、第3処理装置を経由して前記端末との間で送受信して、SAを前記端末との間に確立し、前記SAに基づいて終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶するとともに、前記トンネル終端情報を複製し、前記トンネルを通過してきたパケットの転送先を指示する指示情報を送信する第1処理装置と、前記第1処理装置によって複製された前記トンネル終端情報を取得し、当該トンネル終端情報に基づいて、前記第3処理装置を経由して前記端末から受信した前記パケットの終端処理を実行する2以上の第2処理装置と、前記端末から受信した前記パケットのヘッダ情報に基づいて、前記呼制御信号を含むパケットを前記第1処理装置に転送し、前記第1処理装置から受信した前記指示情報に基づいて前記トンネルを通過してきたパケットを前記第2処理装置に転送する前記第3処理装置と、を備え、前記第1処理装置が、前記トンネル終端情報を2以上の前記第2処理装置のいずれか1つに複製するとともに、当該トンネル終端情報に基づいて終端処理するパケットの前記転送先を、当該トンネル終端情報を複製した前記第2処理装置とすることを示す前記指示情報を前記第3処理装置に送信することを特徴とする。 The present invention provides a tunnel termination system that establishes a tunnel for each of the terminals using IPsec with a terminal that transmits and receives a packet, and performs termination processing for terminating the tunnel, in order to establish the tunnel In order to establish a SA with the terminal and execute a termination process based on the SA by transmitting / receiving a packet including the call control signal to / from the terminal via the third processing device. First processing apparatus that generates tunnel termination information to be used, stores the tunnel termination information in a storage unit, duplicates the tunnel termination information, and transmits instruction information indicating a transfer destination of a packet that has passed through the tunnel And acquiring the tunnel termination information duplicated by the first processing device, and based on the tunnel termination information, passing through the third processing device and the end Based on header information of the packet received from the terminal, the packet including the call control signal is transferred to the first processing device based on two or more second processing devices that perform termination processing on the packet received from the terminal. And a third processing device for transferring a packet that has passed through the tunnel to the second processing device based on the instruction information received from the first processing device, wherein the first processing device includes the tunnel The second processing device that replicates termination information to any one of two or more of the second processing devices, and duplicates the tunnel termination information as the transfer destination of the packet to be terminated based on the tunnel termination information. The instruction information indicating that is transmitted to the third processing device.
このような構成によれば、トンネル終端システムは、最も負荷が集中すると考えられる第2処理装置を独立の機能として、第1処理装置において生成したトンネル終端情報に基づいてパケットの終端処理を実行する構成を備えている。すなわち、第2処理装置は、第1処理装置によって複製されたトンネル終端情報を取得し、当該トンネル終端情報によって終端されるトンネルを通過してきたパケットを第3処理装置を介して受信するので、そのトンネルを終端する終端処理を実行することができる。つまり、このトンネル終端システムは、トンネルを確立した第1処理装置とは別の第2処理装置によってトンネルを終端することができる。したがって、第2処理装置がIPsecを用いて新たに端末との間にトンネルを確立する必要はないため、トンネル終端システムは、第2処理装置を2以上並列に備えて(スケールアウト化して)、いずれかの第2処理装置にトンネル終端情報を複製して終端処理を担当させることによって、通信を途絶することなしに、トンネル終端システムのスケールアウトを可能にする。 According to such a configuration, the tunnel termination system executes packet termination processing based on the tunnel termination information generated in the first processing device, with the second processing device considered to be the most concentrated load as an independent function. It has a configuration. That is, the second processing device acquires the tunnel termination information copied by the first processing device, and receives the packet that has passed through the tunnel terminated by the tunnel termination information via the third processing device. Termination processing for terminating the tunnel can be executed. That is, this tunnel termination system can terminate the tunnel by a second processing device different from the first processing device that has established the tunnel. Therefore, since it is not necessary for the second processing device to newly establish a tunnel with the terminal using IPsec, the tunnel termination system includes two or more second processing devices in parallel (scaled out), By replicating the tunnel termination information to any of the second processing devices and taking charge of termination processing, the tunnel termination system can be scaled out without interrupting communication.
本発明は、パケットを送受信する端末との間で、IPsecを用いて前記端末ごとに第3処理装置を経由して、トンネルを確立するための呼制御信号を含むパケットを送受信して、SAを前記端末との間に確立し、前記SAに基づいて終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶するとともに、前記トンネル終端情報を複製し、前記トンネルを通過してきたパケットの転送先を指示する指示情報を送信するトンネル終端制御装置と、前記トンネル終端制御装置によって複製された前記トンネル終端情報を取得し、当該トンネル終端情報に基づいて、前記第3処理装置を経由して前記端末から受信した前記パケットの終端処理を実行する2以上の第2処理装置と、前記端末から受信した前記パケットのヘッダ情報に基づいて、前記呼制御信号を含むパケットを前記トンネル終端制御装置に転送し、前記トンネル終端制御装置から受信した前記指示情報に基づいて前記トンネルを通過してきたパケットを前記第2処理装置に転送する前記第3処理装置と、によって構成されるトンネル終端システムにおいて用いられる前記トンネル終端制御装置であって、前記呼制御信号を含むパケットを、前記第3処理装置を経由して前記端末との間で送受信し、前記トンネルを終端する終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶する呼処理部と、2以上の前記第2処理装置からそれぞれの処理負荷の値を取得する負荷監視部と、前記第2処理装置から取得した処理負荷の値同士を比較し、最小の処理負荷の値を有する前記第2処理装置を決定する割当部と、前記割当部によって決定された前記第2処理装置に、前記記憶部の前記トンネル終端情報を複製するトンネル終端情報複製部と、当該トンネル終端情報に基づいて終端処理するパケットの前記転送先を、当該トンネル終端情報を複製された前記第2処理装置とすることを示す前記指示情報を前記第3処理装置に送信するフロー制御指示部と、を備えることを特徴とする。 The present invention transmits / receives a packet including a call control signal for establishing a tunnel to / from a terminal that transmits / receives a packet via the third processing device for each terminal using IPsec. The tunnel termination information established with the terminal and used to execute termination processing based on the SA is generated, the tunnel termination information is stored in a storage unit, and the tunnel termination information is duplicated, A tunnel termination control device that transmits instruction information that instructs a transfer destination of a packet that has passed through a tunnel; and the tunnel termination control device that is replicated by the tunnel termination control device, acquires the tunnel termination information based on the tunnel termination information, and Two or more second processing devices for performing termination processing of the packet received from the terminal via three processing devices, and before receiving from the terminal Based on the header information of the packet, the packet including the call control signal is transferred to the tunnel termination control device, and the packet that has passed through the tunnel based on the instruction information received from the tunnel termination control device is A tunnel termination control device used in a tunnel termination system configured by the third processing device to be transferred to a processing device, wherein the packet including the call control signal is routed through the third processing device. A call processing unit for transmitting / receiving data to / from a terminal, generating tunnel termination information used for terminating the tunnel, and storing the tunnel termination information in a storage unit; and two or more second processes A load monitoring unit that acquires each processing load value from the apparatus and a processing load value acquired from the second processing apparatus are compared with each other. An allocating unit that determines the second processing device having the minimum processing load value, and a tunnel termination information duplicating unit that replicates the tunnel termination information in the storage unit to the second processing device determined by the allocating unit. And a flow for transmitting the instruction information indicating that the transfer destination of the packet to be terminated based on the tunnel termination information is the second processing device copied with the tunnel termination information to the third processing device A control instruction unit.
また、本発明は、パケットを送受信する端末との間で、IPsecを用いて前記端末ごとに第3処理装置を経由して、トンネルを確立するための呼制御信号を含むパケットを送受信して、SAを前記端末との間に確立し、前記SAに基づいて終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶するとともに、前記トンネル終端情報を複製し、前記トンネルを通過してきたパケットの転送先を指示する指示情報を送信するトンネル終端制御装置と、前記トンネル終端制御装置によって複製された前記トンネル終端情報を取得し、当該トンネル終端情報に基づいて、前記第3処理装置を経由して前記端末から受信した前記パケットの終端処理を実行する2以上の第2処理装置と、前記端末から受信した前記パケットのヘッダ情報に基づいて、前記呼制御信号を含むパケットを前記トンネル終端制御装置に転送し、前記トンネル終端制御装置から受信した前記指示情報に基づいて前記トンネルを通過してきたパケットを前記第2処理装置に転送する第3処理装置と、によって構成されるトンネル終端システムにおいて用いられる前記トンネル終端制御装置のトンネル終端制御方法であって、前記トンネル終端制御装置が、前記呼制御信号を含むパケットを、前記第3処理装置を経由して前記端末との間で送受信し、前記パケットに終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶する呼処理ステップと、2以上の前記第2処理装置からそれぞれの処理負荷の値を取得する負荷監視ステップと、前記第2処理装置から取得した処理負荷の値同士を比較し、最小の処理負荷の値を有する前記第2処理装置を決定する割当ステップと、前記割当ステップによって決定された前記第2処理装置に、前記記憶部の前記トンネル終端情報を複製するトンネル終端情報複製ステップと、当該トンネル終端情報に基づいて終端処理するパケットの前記転送先を、当該トンネル終端情報を複製された前記第2処理装置とすることを示す前記指示情報を前記第3処理装置に送信するフロー制御指示ステップと、を実行することを特徴とする。 In addition, the present invention transmits / receives a packet including a call control signal for establishing a tunnel to / from a terminal that transmits / receives a packet via the third processing device for each terminal using IPsec, An SA is established with the terminal, tunnel termination information used to execute termination processing based on the SA is generated, the tunnel termination information is stored in a storage unit, and the tunnel termination information is replicated. A tunnel termination control device that transmits instruction information indicating a transfer destination of a packet that has passed through the tunnel, and the tunnel termination information copied by the tunnel termination control device is acquired, based on the tunnel termination information, Two or more second processing devices that perform termination processing of the packet received from the terminal via the third processing device, and received from the terminal Based on the header information of the packet, the packet including the call control signal is transferred to the tunnel termination control device, and the packet that has passed through the tunnel based on the instruction information received from the tunnel termination control device is A tunnel termination control method of the tunnel termination control device used in a tunnel termination system configured by a third processing device transferred to a second processing device, wherein the tunnel termination control device includes the call control signal A call that transmits / receives a packet to / from the terminal via the third processing device, generates tunnel termination information used to perform termination processing on the packet, and stores the tunnel termination information in a storage unit A processing step and a load monitoring step of acquiring a value of each processing load from two or more second processing devices An allocation step of comparing the processing load values acquired from the second processing device to determine the second processing device having the minimum processing load value; and the second processing device determined by the allocation step A tunnel termination information duplicating step for duplicating the tunnel termination information in the storage unit; and a transfer destination of a packet to be terminated based on the tunnel termination information, and the second processing device in which the tunnel termination information is duplicated. And a flow control instruction step for transmitting the instruction information indicating that the instruction information is to be transmitted to the third processing apparatus.
このような構成によれば、トンネル終端システムを構成するトンネル終端制御装置は、第2処理装置の処理負荷の値を取得して、最小の処理負荷の値を有する第2処理装置に、終端処理を実行させる制御を行うことができる。すなわち、第2処理装置の負荷分散を図ることができる。したがって、このようなトンネル終端制御装置を備えたトンネル終端システムは、通信を途絶することなしに、トンネル終端システムのスケールアウトを可能にする。 According to such a configuration, the tunnel termination control device constituting the tunnel termination system obtains the processing load value of the second processing device, and terminates the second processing device having the minimum processing load value. Control can be performed. That is, load distribution of the second processing apparatus can be achieved. Therefore, the tunnel termination system including such a tunnel termination control device enables the tunnel termination system to be scaled out without interrupting communication.
本発明は、前記トンネル終端制御装置は、さらに、前記処理負荷の閾値を記憶している前記記憶部を備え、前記割当部が、前記第2処理装置から取得した処理負荷の値が前記閾値を超えているか否かを判定し、前記処理負荷の値が前記閾値を超えていると判定した場合、前記最小の処理負荷の値を有する前記第2処理装置を変更先として決定し、前記トンネル終端情報複製部は、前記処理負荷の値が前記閾値を超えていると判定された前記第2処理装置が確立しているトンネルの一部について、その一部のトンネルのトンネル終端情報を前記変更先に複製し、前記フロー制御指示部は、複製した当該トンネル終端情報に基づいて終端処理するパケットの転送先を、当該トンネル終端情報を複製した前記第2処理装置とする前記指示情報を前記第3処理装置に送信することを特徴とする。 In the present invention, the tunnel termination control device further includes the storage unit storing the threshold value of the processing load, and the allocation unit acquires the processing load value acquired from the second processing device as the threshold value. If it is determined whether the processing load value exceeds the threshold, the second processing device having the minimum processing load value is determined as a change destination, and the tunnel termination point is determined. The information duplicating unit, for a part of the tunnel established by the second processing apparatus that has been determined that the value of the processing load exceeds the threshold, changes the tunnel termination information of the part of the tunnel to the change destination And the flow control instruction unit sets the instruction information as the second processing device that replicates the tunnel termination information as a transfer destination of a packet to be terminated based on the replicated tunnel termination information. And transmits to the third processing unit.
また、本発明は、前記トンネル終端制御装置は、さらに、前記処理負荷の閾値を記憶している前記記憶部を備え、前記割当ステップでは、前記第2処理装置から取得した処理負荷の値が前記閾値を超えているか否かを判定し、前記処理負荷の値が前記閾値を超えていると判定した場合、前記最小の処理負荷の値を有する前記第2処理装置を変更先として決定し、前記トンネル終端情報複製ステップでは、前記処理負荷の値が前記閾値を超えていると判定された前記第2処理装置が確立しているトンネルの一部について、その一部のトンネルのトンネル終端情報を前記変更先に複製し、前記フロー制御指示ステップでは、複製した当該トンネル終端情報に基づいて終端処理するパケットの転送先を、当該トンネル終端情報を複製した前記第2処理装置とする前記指示情報を前記第3処理装置に送信することを特徴とする。 Further, according to the present invention, the tunnel termination control device further includes the storage unit that stores a threshold value of the processing load. In the assignment step, the value of the processing load acquired from the second processing device is It is determined whether or not a threshold value is exceeded, and when it is determined that the processing load value exceeds the threshold value, the second processing device having the minimum processing load value is determined as a change destination, In the tunnel termination information duplicating step, for a part of the tunnel established by the second processing apparatus determined that the value of the processing load exceeds the threshold, the tunnel termination information of the part of the tunnel is stored in the tunnel termination information replication step. In the flow control instruction step, the transfer destination of the packet to be terminated based on the copied tunnel termination information is changed to the second process in which the tunnel termination information is duplicated. The instruction information for the device and transmits to the third processing unit.
このような構成によれば、トンネル終端制御装置は、第2処理装置の処理負荷の値を取得して、取得した処理負荷の値が閾値を超えているか否かを判定し、取得した処理負荷の値が閾値を超えている場合には、終端処理の一部を、別の第2処理装置に変更することができる。すなわち、第2処理装置の負荷分散を図ることができる。したがって、このようなトンネル終端制御装置を備えたトンネル終端システムは、通信を途絶することなしに、トンネル終端システムのスケールアウトを可能にする。 According to such a configuration, the tunnel termination control device acquires the processing load value of the second processing device, determines whether or not the acquired processing load value exceeds a threshold, and acquires the acquired processing load. When the value of exceeds the threshold value, a part of the termination process can be changed to another second processing apparatus. That is, load distribution of the second processing apparatus can be achieved. Therefore, the tunnel termination system including such a tunnel termination control device enables the tunnel termination system to be scaled out without interrupting communication.
また、本発明は、トンネル終端制御方法を、コンピュータである前記トンネル終端制御装置に実行させるためのプログラムとした。このようなプログラムをインストールされたコンピュータは、このプログラムに基づいた機能を実現することができる。 In the present invention, the tunnel termination control method is a program for causing the tunnel termination control device, which is a computer, to execute. A computer in which such a program is installed can realize functions based on this program.
本発明によれば、通信を途絶することなしに、トンネル終端装置のスケールアウトを可能にする技術を提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the technique which enables the scale-out of a tunnel termination apparatus can be provided, without interrupting communication.
本発明を実施するための形態(以降、「本実施形態」と称す。)について、適宜図面を参照しながら詳細に説明する。なお、本実施形態では、Hub−Spoke型接続の形態を例として、IPsecにおいてIKEv2を用いてトンネルを確立する場合について説明する。 A mode for carrying out the present invention (hereinafter referred to as “the present embodiment”) will be described in detail with reference to the drawings as appropriate. In the present embodiment, a case of establishing a tunnel using IKEv2 in IPsec will be described by taking an example of a Hub-Spoke type connection.
まず、センタ側トンネル終端システム(トンネル終端システム)のスケールアウトを実現するために、センタ側トンネル終端システム(図6に示すセンタ側トンネル終端装置に相当)を以下のような構成とした。その構成例について、図1を用いて説明する。
図1に示すように、アクセスネットワーク30に接続している端末(トンネル終端装置)20(20A,20B,20C)は、センタ側トンネル終端システム10との間で呼制御信号を送受してトンネルを確立し、そのトンネルを介して、センタ側ネットワーク31に向けて主信号(トンネルを通過するデータ)を送信する。ここでは、端末20のいずれかの中、端末20Aがセンタ側トンネル終端システム10との間でパケットを送受信するケースで説明する。
First, in order to realize the scale-out of the center side tunnel termination system (tunnel termination system), the center side tunnel termination system (corresponding to the center side tunnel termination device shown in FIG. 6) has the following configuration. An example of the configuration will be described with reference to FIG.
As shown in FIG. 1, terminals (tunnel termination devices) 20 (20A, 20B, 20C) connected to the
まず、端末20Aは、センタ側トンネル終端システム10との間で、呼制御信号の交換、すなわち、IKE_SA_INITの交換およびIKE_AUTHの交換を行って、トンネルを確立する。そして、端末20Aは、確立したトンネルを介して、主信号を、センタ側ネットワーク31に向けて送信する。
この際、センタ側トンネル終端システム10の処理の中で、最も負荷が集中する処理は、主信号をESPヘッダでカプセル化またはカプセル化解除を実行する処理、および、パケットのペイロードの暗号化または復号化を実行する処理、すなわち、終端処理と考えられる。そこで、その終端処理を実行する装置のスケールアウト化を図れるようにする。
First, the
At this time, among the processes of the center side
つまり、センタ側トンネル終端システム10を、以下の3つの装置で構成する。
1つ目の装置は、第1処理装置11である。第1処理装置11は、トンネルを確立するための呼制御信号を含むパケットを、第3処理装置13を経由して端末20Aとの間で送受信し、トンネルを終端する終端処理を実行するために用いるトンネル終端情報を生成する。そして、第1処理装置11は、トンネル終端情報を記憶部(後記)に記憶し、トンネルの確立、維持、解除を行う。トンネル終端情報とは、SAで決まった共有秘密鍵やSPI(Security Parameters Index)等である。そして、第1処理装置11は、生成したトンネル終端情報を、トンネルの収容を指定した第2処理装置12(後記)に複製する。また、第1処理装置11は、第3処理装置13(後記)に対して、トンネルを通過する主信号を、当該第2処理装置12に転送するように指示する。
That is, the center side
The first device is the
2つ目の装置は、第2処理装置12である。第2処理装置12は、第1処理装置11によって複製されたトンネル終端情報を取得し、そのトンネル終端情報に基づいて、第3処理装置13を経由して受信する主信号に対して終端処理を実行する。そして、第2処理装置12を増設することで、終端処理の処理能力を増加させることができる。
The second device is the
3つ目の装置は、第3処理装置13である。第3処理装置13は、IPヘッダ、プロトコル番号、IPアドレス、ポート番号等を識別して、呼制御信号を第1処理装置11に転送し、主信号を第2処理装置12へ転送する。第3処理装置13は、OpenFlowよって転送処理を実行している。OpenFlowは、フロー制御の一種であって、MACアドレス、IPアドレス、ポート番号等の組み合わせによって決定される一連の通信を「フロー」として定義し、フロー単位での経路制御を実現する。
The third device is the
なお、センタ側トンネル終端システム10の第1処理装置11と第2処理装置12との双方には、同一のIPアドレスを設定する。これは、第1処理装置11によって生成されたトンネル終端情報を、第2処理装置12に複製して動作できるようにするためである。また、第1処理装置11と第2処理装置12との双方に、同一のIPアドレスを設定しても、第3処理装置13によって、パケットの転送先を振り分けているので、IPアドレスの重複にともなうネットワーク上の問題は起きない。ただし、第3処理装置13は、第1処理装置11および第2処理装置12の物理インタフェースのMACアドレスが異なっているので、パケットの宛先MACアドレスを書き替える処理を実行する。
このようにして、センタ側トンネル終端システム10は、3つの装置で構成される。
Note that the same IP address is set in both the
In this way, the center-side
次に、最も処理が集中すると考えられる第2処理装置12のスケールアウトを行った場合の構成について、図2を用いて説明する。なお、図1と同じ場合には、同じ符号を付し、説明を省略する。
図2のセンタ側トンネル終端システム10aにおいて、図1と異なる点は、第2処理装置12(12A,12B)が2台となり、第3処理装置13,14がアクセスネットワーク30側(端末側)およびセンタ側ネットワーク31側(センタ側)に備えられたことである。この理由は、センタ側ネットワーク31から見てセンタ側トンネル終端システム10aの第1処理装置11および第2処理装置12を区別しないためである。また、第1処理装置11は、第2処理装置12(12A,12B)のいずれにトンネルを確立するかを決定し、その決定に基づいて、第2処理装置12(12A,12B)にトンネル終端情報を複製する。また、第1処理装置11は、トンネル終端情報を複製した第2処理装置12に当該トンネル終端情報によって終端するトンネルを通過するパケットを転送するための指示情報(以降、フロー制御指示情報とも称す。)を、第3処理装置13,14に送信する。
なお、図2では、第2処理装置12を2台しか記載していないが、2台に限られず、処理負荷の状態に応じて台数を変更しても構わない。
Next, the configuration when the
In the center-side
In FIG. 2, only two
図2に示す構成において、第1処理装置11は、各第2処理装置12(12A,12B)から、それぞれの処理負荷(例えば、CPU(Central Processing Unit)使用率やインタフェース利用率)の情報を取得する。そして、第1処理装置11は、取得した処理負荷の値が、予め設定してある閾値を超えているか否かを判定する。例えば、第1処理装置11は、第2処理装置12Aから取得した処理負荷の値が閾値を超えていると判定したものとする。この場合、第1処理装置11は、第2処理装置12Aが確立(収容)しているトンネルの中から、そのトンネル数の内の所定の割合のトンネルを選定し、その選定したトンネルに関するトンネル終端情報を、第2処理装置12Bに複製する。すなわち、第1処理装置11は、第2処理装置12Aから第2処理装置12Bへ、トンネルの収容変更を行う。ただし、第2処理装置12Aに収容済みのトンネル数に対して収容変更するトンネル数の割合は、処理負荷の値が大きくなるに応じて、大きくなるようにしても構わない。
なお、第1処理装置11は、トンネル終端情報とそのトンネル終端情報の複製先の第2処理装置12とを関連付けて後記するトンネル終端情報DB116に記憶している。そして、第2処理装置12Aから第2処理装置12Bへトンネルの収容変更を行った場合には、第2処理装置12Aから当該トンネルのトンネル終端情報を削除する。また、前記削除にともなって、第1処理装置11は、トンネル終端情報とそのトンネル終端情報の複製先の第2処理装置12との関連付けを解除する。
そして、第1処理装置11は、トンネルの収容変更に基づいて、第3処理装置13,14にフロー制御指示情報を送信して、主信号が第2処理装置12Bを経由するように変更する。
In the configuration shown in FIG. 2, the
The
Then, the
ここで、第1処理装置11、第2処理装置12、第3処理装置13の各機能について、図3を用いて説明する(適宜、図2参照)。
図3に示すように、第1処理装置11は、呼処理部111、負荷監視部112、割当部113、トンネル終端情報複製部114、およびフロー制御指示部115を備える。第1処理装置11は、図示しないCPUおよびメインメモリによって構成される処理部とアプリケーションプログラム等を記憶する記憶部とで構成される。処理部は、記憶部に記憶されているアプリケーションプログラムをメインメモリに展開して、呼処理部111、負荷監視部112、割当部113、トンネル終端情報複製部114、およびフロー制御指示部115、を具現化する。また、トンネル終端情報DB116および負荷の閾値117は、記憶部に記憶される。
Here, each function of the
As illustrated in FIG. 3, the
呼処理部111は、端末20との間で呼制御信号を送受信し、トンネル終端情報を生成し、記憶部のトンネル終端情報DB116に記憶し、トンネル確立、維持、解除に関する呼処理を実行する。トンネル終端情報DB116は、トンネル終端情報とそのトンネル終端情報の複製先の第2処理装置12とを関連付けて記憶している。
負荷監視部112は、各第2処理装置12から、周期的または管理者の指示に応じて、処理負荷の状態(処理負荷の値)を取得する。
割当部113は、負荷監視部112から、各第2処理装置12の処理負荷の値を取得する。そして、割当部113は、第2処理装置から取得した処理負荷の値同士を比較し、最も処理負荷の値の小さい第2処理装置12にトンネルの収容を割当てる(決定する)。
また、トンネルの収容変更を行う場合には、割当部113は、取得した処理負荷の値が負荷の閾値117を超えているか否かを判定する。そして、割当部113は、処理負荷の値が負荷の閾値117を超えていると判定した第2処理装置12に対して、当該第2処理装置12が収容しているトンネルの中から、そのトンネル数の内の所定の割合のトンネルを対象として、負荷が最も低い他の第2処理装置12を変更先として割当てる(決定する)。
The
The
The allocating
When the tunnel accommodation is changed, the allocating
トンネル終端情報複製部114は、割当部113によって変更先として割当てた第2処理装置12に対して、変更対象となったトンネルのトンネル終端情報を複製する。
フロー制御指示部115は、割当てによって収容したトンネルを介して主信号が通過するように、第3処理装置13に、フロー制御指示情報を送信する。具体的には、フロー制御指示部115は、複製したトンネル終端情報に基づいて終端処理するパケットの転送先を、当該トンネル終端情報を複製された第2処理装置とすることを示すフロー制御指示情報(指示情報)を第3処理装置に送信する。
The tunnel termination
The flow
第2処理装置12は、図示しないCPUおよびメインメモリによって構成される処理部とアプリケーションプログラム等を記憶する記憶部とで構成される。処理部は、記憶部に記憶されているアプリケーションプログラムをメインメモリに展開して、トンネルを終端する終端処理を実行する終端処理部121を具現化する。
第2処理装置12の終端処理部121は、第1処理装置11によって複製されたトンネル終端情報を取得し、そのトンネル終端情報に基づいて、終端処理を実行する。具体的には、主信号にESPヘッダを追加してカプセル化する処理や、ESPヘッダを削除してカプセル化解除する処理を実行する。また、第2処理装置12は、トンネル終端情報に含まれる共有秘密鍵に基づいて、パケットのペイロードに格納されるデータの暗号化および復号化を実行する。
The
The
第3処理装置13は、第1処理装置11からフロー制御指示情報を受信する。そして、第3処理装置13のフロー制御部131(後記)は、IPヘッダ、プロトコル番号、IPアドレス、ポート番号等(パケットのヘッダ情報)を識別して、呼処理信号を含むパケットを第1処理装置11に転送し、当該フロー制御指示情報に基づいて、第1処理装置11によってトンネルの収容を割当てられた第2処理装置12に主信号を転送する。
具体的には、第3処理装置13は、パケットを送受信するフロースイッチ(不図示)と、そのフロースイッチを制御する制御部(不図示)とで構成されるフロー制御部131を備える。制御部は、図示しないCPUおよびメインメモリによって構成される処理部とアプリケーションプログラム等を記憶する記憶部とで構成される。処理部は、記憶部に記憶されているアプリケーションプログラムをメインメモリに展開して、その機能を具現化する。フロースイッチは、制御部から通知されるフローエントリを保持するフローテーブルを備えている。そのフローエントリには、受信したパケットを識別するためのレイヤ2〜レイヤ4の情報と、この情報に合致するパケットに対する処理が記述されている。そして、フロースイッチは、このフローエントリに基づいて、受信したパケットに対して、指定した物理ポートから送信すること、MACアドレスを書替えること、等の処理を実行する。
The
Specifically, the
次に、本実施形態においてトンネルを確立するシーケンス例について、図4を用いて説明する(適宜、図2、図3参照)。図4において、S1〜S11で表した一連のステップは、端末20Aと第2処理装置12Aとの間でトンネルを確立するシーケンス例を表している。また、S21〜S31で表した一連のステップは、端末20Bと第2処理装置12Bとの間でトンネルを確立するシーケンス例を表している。
Next, a sequence example for establishing a tunnel in the present embodiment will be described with reference to FIG. 4 (see FIGS. 2 and 3 as appropriate). In FIG. 4, a series of steps represented by S1 to S11 represents a sequence example for establishing a tunnel between the terminal 20A and the
まず、端末20Aが、主信号をセンタ側ネットワーク31へ送信するために、トンネル確立要求を行う(S1)。具体的には、端末20Aは、第3処理装置(端末側)13のフロー制御部131を経由して第1処理装置11の呼処理部111との間で、IKE_SA_INIT要求およびIKE_SA_INIT応答を送受信する(S2,S3)。次に、端末20Aは、第3処理装置(端末側)13のフロー制御部131を経由して第1処理装置11の呼処理部111との間で、IKE_AUTH要求およびIKE_AUTH応答を送受信する(S4,S5)。そして、端末20Aおよび第1処理装置11の呼処理部111は、それぞれトンネル終端情報を生成する(S6,S7;終端情報生成)。
First, the
第1処理装置11の負荷監視部112は、各第2処理装置12から処理負荷の状態に関する情報を取得し、割当部113が最小の処理負荷となっている第2処理装置12Aにトンネルの収容を割当てる(S8)。次に、第1処理装置11のトンネル終端情報複製部114は、トンネルの収容を割当てた第2処理装置12Aに、トンネル終端情報を複製する(S9)。また、第1処理装置11のフロー制御指示部115は、各第3処理装置13,14に、フロー制御指示情報を送信する(S10,S11;フロー制御指示)。そして、端末20Aと第2処理装置12Aとの間でトンネルが確立され、主信号をESPヘッダでカプセル化したパケット(ESPパケット)が送受信される(S12)。
The
次に、端末20Bが、主信号をセンタ側ネットワーク31へ送信するために、トンネル確立要求を行う(S21)。具体的には、端末20Bは、第3処理装置(端末側)13のフロー制御部131を経由して第1処理装置11の呼処理部111との間で、IKE_SA_INIT要求およびIKE_SA_INIT応答を送受信する(S22,S23)。次に、端末20Bは、第3処理装置(端末側)13のフロー制御部131を経由して第1処理装置11の呼処理部111との間で、IKE_AUTH要求およびIKE_AUTH応答を送受信する(S24,S25)。そして、端末20Bおよび第1処理装置11の呼処理部111は、それぞれトンネル終端情報を生成する(S26,S27;終端情報生成)。
Next, the terminal 20B makes a tunnel establishment request in order to transmit the main signal to the center side network 31 (S21). Specifically, the terminal 20B transmits / receives an IKE_SA_INIT request and an IKE_SA_INIT response to / from the
第1処理装置11の負荷監視部112は、各第2処理装置12から処理負荷の状態に関する情報を取得し、割当部113が最小の処理負荷となっている第2処理装置12Bにトンネルの収容を割当てる(S28)。次に、第1処理装置11のトンネル終端情報複製部114は、トンネルの収容を割当てた第2処理装置12Bに、トンネル終端情報を複製する(S29)。また、第1処理装置11のフロー制御指示部115は、各第3処理装置13,14に、フロー制御指示情報を送信する(S30,S31;フロー制御指示)。そして、端末20Bと第2処理装置12Bとの間でトンネルが確立され、主信号をESPヘッダでカプセル化したパケット(ESPパケット)が送受信される(S32)。
The
図5は、端末20Aと第2処理装置12Aとの間のトンネルを、端末20Aと第2処理装置12Bとの間に収容変更するシーケンス例を表している。
端末20Aと第2処理装置12Aとの間でトンネルが確立され、主信号(ESPパケット)が送受信されている(S41)。第1処理装置11の負荷監視部112が第2処理装置12Aから負荷情報(処理負荷の値)を取得する(S42;負荷監視)。次に、第1処理装置11の割当部113は、取得した第2処理装置12Aの処理負荷の値と、負荷の閾値117とを比較して、処理負荷の値が閾値を超えていると判定したものとする(S43;閾値超過検出)。第1処理装置11の割当部113は、第2処理装置12Aが収容している端末20Aとの間のトンネルを、処理負荷が最小となっている第2処理装置12Bに収容変更することを決定する(S44)。
FIG. 5 shows a sequence example in which the tunnel between the terminal 20A and the
A tunnel is established between the terminal 20A and the
次に、第1処理装置11のトンネル終端情報複製部114は、トンネルの収容を割当てた第2処理装置12Bに、トンネル終端情報を複製する(S45)。また、第1処理装置11のフロー制御指示部115は、各第3処理装置13,14に、フロー制御指示情報を送信する(S46,S47;フロー制御指示)。第1処理装置11の呼処理部111は、第2処理装置12Aから収容変更に決定されたトンネル終端情報を削除する(S48)。そして、端末20Aと第2処理装置12Bとの間でトンネルが確立され、主信号をESPヘッダでカプセル化したパケット(ESPパケット)が送受信される(S49)。
Next, the tunnel termination
以上、本実施形態で説明したセンタ側トンネル終端システム10aは、第1処理装置11、第2処理装置12、および第3処理装置13を備える。第1処理装置11は、トンネル終端情報を生成する。また、第1処理装置11は、第2処理装置12にトンネル終端情報を複製し、第3処理装置13にフロー制御指示情報を送信する。第2処理装置12は、第1処理装置11によって複製されたトンネル終端情報に基づいて、トンネルを確立する。第3処理装置13は、受信したパケットのヘッダを識別して、呼処理信号を含むパケットを第1処理装置11に転送し、第1処理装置11によってトンネルの収容を割当てられた第2処理装置12に主信号を転送する。従来では、第1処理装置11と端末20との間で確立したトンネルのトンネル終端情報は、第1処理装置11以外の装置、例えば、第2処理装置12に適用できなかった。しかし、本実施形態では、第2処理装置12は、第1処理装置11によって複製されたトンネル終端情報を取得し、当該トンネル終端情報によって終端されるトンネルを通過してきたパケットを第3処理装置13を介して受信するので、そのトンネルを終端する終端処理を実行することができる。すなわち、センタ側トンネル終端システム10aは、トンネルを確立した第1処理装置11とは別の第2処理装置12によってトンネルを終端することができる。したがって、第2処理装置12がIPsecを用いて新たに端末との間にトンネルを確立する必要はない。
このような構成を備えているため、センタ側トンネル終端システム10aは、トンネルを新たに確立するために通信を途絶することなしに、第2処理装置12のスケールアウトを行うことが可能となる。
As described above, the center-side
With such a configuration, the center-side
また、センタ側トンネル終端システム10aは、第1処理装置11によって、動的にトンネルの収容替えを実行できるので、第2処理装置12を、N+m方式(現用N/予備mの方式;例えば、m<N)で実現することができる。そのため、センタ側トンネル終端システム10aは、センタ側トンネル終端装置を1+1方式(現用1/予備1の方式)で複数台(例えば、N台)で構成する場合に比べて、低コストで実現できる。
Also, since the center side
また、センタ側トンネル終端システム10aは、呼制御信号を処理する第1処理装置11と、主信号を処理する第2処理装置12および第3処理装置13とが分離しているので、例えば、確立済みのトンネルの主信号の送受信に影響を与えることなく、第1処理装置11の機能追加やリブートが可能となる。
Further, the center side
また、本実施形態において説明した、第1処理装置11は、一般的なコンピュータに、前記した各処理のプログラムを実行させることで実現することができる。このプログラムは、通信回線を介して提供することが可能であるし、CD−ROM(Compact Disc-Read Only Memory)等の記録媒体に書き込んで配布することも可能である。
Further, the
10,10a センタ側トンネル終端システム(トンネル終端システム)
11 第1処理装置(トンネル終端制御装置)
12 第2処理装置
13 第3処理装置
20 端末
30 アクセスネットワーク
31 センタ側ネットワーク
111 呼処理部
112 負荷監視部
113 割当部
114 トンネル終端情報複製部
115 フロー制御指示部
116 トンネル終端情報DB
117 負荷の閾値(処理負荷の閾値)
10, 10a Center side tunnel termination system (tunnel termination system)
11 First processing device (tunnel end control device)
12
117 Load threshold (processing load threshold)
Claims (8)
前記トンネルを確立するための呼制御信号を含むパケットを、第3処理装置を経由して前記端末との間で送受信して、SA(Security Association)を前記端末との間に確立し、前記SAに基づいて終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶するとともに、前記トンネル終端情報を複製する第1処理装置と、
前記第1処理装置によって複製された前記トンネル終端情報を取得し、当該トンネル終端情報に基づいて、前記第3処理装置を経由して前記端末から受信した前記パケットの終端処理を実行する第2処理装置と、
前記端末から受信した前記パケットのヘッダ情報に基づいて、前記呼制御信号を含むパケットを前記第1処理装置に転送し、前記トンネルを通過してきたパケットを前記第2処理装置に転送する前記第3処理装置と、
を備えることを特徴とするトンネル終端システム。 A tunnel termination system that establishes a tunnel for each terminal using IPsec (Security Architecture for Internet Protocol) with a terminal that transmits and receives packets, and executes termination processing to terminate the tunnel,
A packet including a call control signal for establishing the tunnel is transmitted / received to / from the terminal via a third processing device, and an SA (Security Association) is established with the terminal, and the SA Generating a tunnel termination information to be used for executing termination processing based on the first processing device, storing the tunnel termination information in a storage unit, and replicating the tunnel termination information;
A second process for acquiring the tunnel termination information copied by the first processing device and executing termination processing of the packet received from the terminal via the third processing device based on the tunnel termination information; Equipment,
Based on the header information of the packet received from the terminal, the packet including the call control signal is transferred to the first processing device, and the packet that has passed through the tunnel is transferred to the second processing device. A processing device;
A tunnel termination system comprising:
前記トンネルを確立するための呼制御信号を含むパケットを、第3処理装置を経由して前記端末との間で送受信して、SAを前記端末との間に確立し、前記SAに基づいて終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶するとともに、前記トンネル終端情報を複製し、前記トンネルを通過してきたパケットの転送先を指示する指示情報を送信する第1処理装置と、
前記第1処理装置によって複製された前記トンネル終端情報を取得し、当該トンネル終端情報に基づいて、前記第3処理装置を経由して前記端末から受信した前記パケットの終端処理を実行する2以上の第2処理装置と、
前記端末から受信した前記パケットのヘッダ情報に基づいて、前記呼制御信号を含むパケットを前記第1処理装置に転送し、前記第1処理装置から受信した前記指示情報に基づいて前記トンネルを通過してきたパケットを前記第2処理装置に転送する前記第3処理装置と、
を備え、
前記第1処理装置は、前記トンネル終端情報を2以上の前記第2処理装置のいずれか1つに複製するとともに、当該トンネル終端情報に基づいて終端処理するパケットの前記転送先を、当該トンネル終端情報を複製した前記第2処理装置とすることを示す前記指示情報を前記第3処理装置に送信する
ことを特徴とするトンネル終端システム。 A tunnel termination system that establishes a tunnel for each of the terminals using IPsec with a terminal that transmits and receives packets, and executes termination processing to terminate the tunnel,
A packet including a call control signal for establishing the tunnel is transmitted / received to / from the terminal via a third processing device, an SA is established with the terminal, and termination is performed based on the SA. Generate tunnel termination information used to execute processing, store the tunnel termination information in a storage unit, duplicate the tunnel termination information, and indicate instruction information that indicates a transfer destination of a packet that has passed through the tunnel. A first processing device to transmit;
The tunnel termination information duplicated by the first processing device is acquired, and based on the tunnel termination information, the termination processing of the packet received from the terminal via the third processing device is executed. A second processing device;
Based on the header information of the packet received from the terminal, the packet including the call control signal is transferred to the first processing device, and passes through the tunnel based on the instruction information received from the first processing device. The third processing device for transferring the received packet to the second processing device;
With
The first processing device copies the tunnel termination information to any one of the two or more second processing devices, and sets the transfer destination of a packet to be terminated based on the tunnel termination information as the tunnel termination information. A tunnel termination system, wherein the instruction information indicating that the second processing apparatus has copied information is transmitted to the third processing apparatus.
前記トンネル終端システムは、
前記端末から受信した前記パケットのヘッダ情報に基づいて、前記トンネルを確立するための呼制御信号を含むパケットを第1処理ステップに送信し、前記トンネルを通過してきたパケットを第2処理ステップに送信する第3処理ステップと、
前記呼制御信号を含むパケットを、前記第3処理ステップを経由して前記端末との間で送受信して、SAを前記端末との間に確立し、前記SAに基づいて終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶するとともに、前記トンネル終端情報を複製する第1処理ステップと、
前記第1処理ステップによって複製された前記トンネル終端情報を取得し、当該トンネル終端情報に基づいて、前記第3処理ステップを経由して前記端末から受信した前記パケットの終端処理を実行する第2処理ステップと、
を実行することを特徴とするトンネル終端方法。 A tunnel termination method used in a tunnel termination system for performing a termination process for terminating a tunnel by establishing a tunnel for each terminal using IPsec with a terminal that transmits and receives a packet,
The tunnel termination system is:
Based on the header information of the packet received from the terminal, a packet including a call control signal for establishing the tunnel is transmitted to the first processing step, and a packet passing through the tunnel is transmitted to the second processing step. A third processing step,
A packet including the call control signal is transmitted / received to / from the terminal via the third processing step, an SA is established with the terminal, and termination processing is performed based on the SA. A first processing step of generating tunnel termination information to be used for storing the tunnel termination information in a storage unit and replicating the tunnel termination information;
A second process for acquiring the tunnel termination information copied in the first processing step and executing the termination process of the packet received from the terminal via the third processing step based on the tunnel termination information; Steps,
The tunnel termination method characterized by performing.
前記呼制御信号を含むパケットを、前記第3処理装置を経由して前記端末との間で送受信し、前記トンネルを終端する終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶する呼処理部と、
2以上の前記第2処理装置からそれぞれの処理負荷の値を取得する負荷監視部と、
前記第2処理装置から取得した処理負荷の値同士を比較し、最小の処理負荷の値を有する前記第2処理装置を決定する割当部と、
前記割当部によって決定された前記第2処理装置に、前記記憶部の前記トンネル終端情報を複製するトンネル終端情報複製部と、
当該トンネル終端情報に基づいて終端処理するパケットの前記転送先を、当該トンネル終端情報を複製された前記第2処理装置とすることを示す前記指示情報を前記第3処理装置に送信するフロー制御指示部と、
を備えることを特徴とするトンネル終端制御装置。 A packet including a call control signal for establishing a tunnel is transmitted / received to / from a terminal that transmits / receives a packet via a third processing device for each terminal using IPsec. The tunnel termination information that is established in between and used to execute termination processing based on the SA is generated, the tunnel termination information is stored in the storage unit, and the tunnel termination information is duplicated and passed through the tunnel. A tunnel termination control device that transmits instruction information for instructing a transfer destination of the received packet, and the tunnel termination information replicated by the tunnel termination control device. The third processing device is configured to acquire the tunnel termination information based on the tunnel termination information. Two or more second processing devices for performing termination processing of the packet received from the terminal via the terminal, and the packet received from the terminal Based on the header information, the packet including the call control signal is transferred to the tunnel termination control device, and the packet that has passed through the tunnel based on the instruction information received from the tunnel termination control device is transmitted to the second processing device. A tunnel termination control device used in a tunnel termination system comprising:
A packet including the call control signal is transmitted / received to / from the terminal via the third processing device, and tunnel termination information used to perform termination processing for terminating the tunnel is generated, and the tunnel termination is performed. A call processing unit for storing information in the storage unit;
A load monitoring unit that acquires the value of each processing load from two or more second processing devices;
An assigning unit that compares the processing load values acquired from the second processing device and determines the second processing device having the minimum processing load value;
A tunnel termination information replication unit that replicates the tunnel termination information of the storage unit to the second processing device determined by the allocation unit;
A flow control instruction for transmitting the instruction information indicating that the transfer destination of the packet to be terminated based on the tunnel termination information is the second processing device copied with the tunnel termination information to the third processing device And
A tunnel termination control device comprising:
前記処理負荷の閾値を記憶している前記記憶部を備え、
前記割当部は、前記第2処理装置から取得した処理負荷の値が前記閾値を超えているか否かを判定し、前記処理負荷の値が前記閾値を超えていると判定した場合、前記最小の処理負荷の値を有する前記第2処理装置を変更先として決定し、
前記トンネル終端情報複製部は、前記処理負荷の値が前記閾値を超えていると判定された前記第2処理装置が確立しているトンネルの一部について、その一部のトンネルのトンネル終端情報を前記変更先に複製し、
前記フロー制御指示部は、複製した当該トンネル終端情報に基づいて終端処理するパケットの転送先を、当該トンネル終端情報を複製した前記第2処理装置とする前記指示情報を前記第3処理装置に送信する
ことを特徴とする請求項4に記載のトンネル終端制御装置。 The tunnel termination control device further includes:
The storage unit storing a threshold value of the processing load;
The allocating unit determines whether or not the value of the processing load acquired from the second processing apparatus exceeds the threshold, and determines that the value of the processing load exceeds the threshold, the minimum Determining the second processing device having a processing load value as a change destination;
The tunnel termination information duplicating unit, for a part of the tunnel established by the second processing apparatus determined that the value of the processing load exceeds the threshold value, transmits tunnel termination information of the part of the tunnel. Duplicate to the change destination,
The flow control instruction unit transmits the instruction information to the third processing device, with the transfer destination of the packet to be terminated based on the duplicated tunnel termination information as the second processing device that duplicates the tunnel termination information. The tunnel termination control device according to claim 4, wherein:
前記トンネル終端制御装置は、
前記呼制御信号を含むパケットを、前記第3処理装置を経由して前記端末との間で送受信し、前記パケットに終端処理を実行するために用いるトンネル終端情報を生成し、そのトンネル終端情報を記憶部に記憶する呼処理ステップと、
2以上の前記第2処理装置からそれぞれの処理負荷の値を取得する負荷監視ステップと、
前記第2処理装置から取得した処理負荷の値同士を比較し、最小の処理負荷の値を有する前記第2処理装置を決定する割当ステップと、
前記割当ステップによって決定された前記第2処理装置に、前記記憶部の前記トンネル終端情報を複製するトンネル終端情報複製ステップと、
当該トンネル終端情報に基づいて終端処理するパケットの前記転送先を、当該トンネル終端情報を複製された前記第2処理装置とすることを示す前記指示情報を前記第3処理装置に送信するフロー制御指示ステップと、
を実行することを特徴とするトンネル終端制御方法。 A packet including a call control signal for establishing a tunnel is transmitted / received to / from a terminal that transmits / receives a packet via a third processing device for each terminal using IPsec. The tunnel termination information that is established in between and used to execute termination processing based on the SA is generated, the tunnel termination information is stored in the storage unit, and the tunnel termination information is duplicated and passed through the tunnel. A tunnel termination control device that transmits instruction information for instructing a transfer destination of the received packet, and the tunnel termination information replicated by the tunnel termination control device. The third processing device is configured to acquire the tunnel termination information based on the tunnel termination information. Two or more second processing devices for performing termination processing of the packet received from the terminal via the terminal, and the packet received from the terminal Based on the header information, the packet including the call control signal is transferred to the tunnel termination control device, and the packet that has passed through the tunnel based on the instruction information received from the tunnel termination control device is transmitted to the second processing device. A tunnel termination control method of the tunnel termination control device used in a tunnel termination system configured by a third processing device that transfers to
The tunnel termination control device is:
A packet including the call control signal is transmitted / received to / from the terminal via the third processing device, tunnel termination information used to perform termination processing on the packet is generated, and the tunnel termination information is A call processing step stored in a storage unit;
A load monitoring step of acquiring values of respective processing loads from two or more second processing devices;
An allocation step of comparing the processing load values acquired from the second processing device and determining the second processing device having the minimum processing load value;
A tunnel termination information duplication step of duplicating the tunnel termination information of the storage unit to the second processing device determined by the allocation step;
A flow control instruction for transmitting the instruction information indicating that the transfer destination of the packet to be terminated based on the tunnel termination information is the second processing device copied with the tunnel termination information to the third processing device Steps,
The tunnel termination control method characterized by performing this.
前記処理負荷の閾値を記憶している前記記憶部を備え、
前記割当ステップでは、前記第2処理装置から取得した処理負荷の値が前記閾値を超えているか否かを判定し、前記処理負荷の値が前記閾値を超えていると判定した場合、前記最小の処理負荷の値を有する前記第2処理装置を変更先として決定し、
前記トンネル終端情報複製ステップでは、前記処理負荷の値が前記閾値を超えていると判定された前記第2処理装置が確立しているトンネルの一部について、その一部のトンネルのトンネル終端情報を前記変更先に複製し、
前記フロー制御指示ステップでは、複製した当該トンネル終端情報に基づいて終端処理するパケットの転送先を、当該トンネル終端情報を複製した前記第2処理装置とする前記指示情報を前記第3処理装置に送信する
ことを特徴とする請求項6に記載のトンネル終端制御方法。 The tunnel termination control device further includes:
The storage unit storing a threshold value of the processing load;
In the allocating step, it is determined whether or not the value of the processing load acquired from the second processing device exceeds the threshold value. When it is determined that the value of the processing load exceeds the threshold value, Determining the second processing device having a processing load value as a change destination;
In the tunnel termination information replication step, the tunnel termination information of a part of the tunnels is established for a part of the tunnels established by the second processing device that is determined that the value of the processing load exceeds the threshold value. Duplicate to the change destination,
In the flow control instruction step, the instruction information is transmitted to the third processing device, where the transfer destination of the packet to be terminated based on the copied tunnel termination information is the second processing device that duplicates the tunnel termination information. The tunnel termination control method according to claim 6, wherein:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010173290A JP5457972B2 (en) | 2010-08-02 | 2010-08-02 | Tunnel termination system, tunnel termination method, tunnel termination control device, tunnel termination control method and program thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010173290A JP5457972B2 (en) | 2010-08-02 | 2010-08-02 | Tunnel termination system, tunnel termination method, tunnel termination control device, tunnel termination control method and program thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012034259A true JP2012034259A (en) | 2012-02-16 |
| JP5457972B2 JP5457972B2 (en) | 2014-04-02 |
Family
ID=45847114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010173290A Expired - Fee Related JP5457972B2 (en) | 2010-08-02 | 2010-08-02 | Tunnel termination system, tunnel termination method, tunnel termination control device, tunnel termination control method and program thereof |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5457972B2 (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005136739A (en) * | 2003-10-30 | 2005-05-26 | Furukawa Electric Co Ltd:The | Data relay method, data relay device and data relay system |
| US7117530B1 (en) * | 1999-12-07 | 2006-10-03 | Watchguard Technologies, Inc. | Tunnel designation system for virtual private networks |
| US20070113275A1 (en) * | 2005-11-15 | 2007-05-17 | Nortel Networks Limited | IP security with seamless roaming and load balancing |
| JP2011188320A (en) * | 2010-03-10 | 2011-09-22 | Kddi R & D Laboratories Inc | Method of transferring session between gateway and sip server, management apparatus, and program |
-
2010
- 2010-08-02 JP JP2010173290A patent/JP5457972B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7117530B1 (en) * | 1999-12-07 | 2006-10-03 | Watchguard Technologies, Inc. | Tunnel designation system for virtual private networks |
| JP2005136739A (en) * | 2003-10-30 | 2005-05-26 | Furukawa Electric Co Ltd:The | Data relay method, data relay device and data relay system |
| US20070113275A1 (en) * | 2005-11-15 | 2007-05-17 | Nortel Networks Limited | IP security with seamless roaming and load balancing |
| JP2011188320A (en) * | 2010-03-10 | 2011-09-22 | Kddi R & D Laboratories Inc | Method of transferring session between gateway and sip server, management apparatus, and program |
Non-Patent Citations (1)
| Title |
|---|
| JPN6013043339; Nuopponen, A.,: 'IPsec clustering' Master thesis , 2002, Helsinki University of Technology * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5457972B2 (en) | 2014-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3785412B1 (en) | Dynamic scaling of virtual private network connections | |
| CN107210929B (en) | Load balancing for internet protocol security tunnels | |
| US10630784B2 (en) | Facilitating a secure 3 party network session by a network device | |
| US10897509B2 (en) | Dynamic detection of inactive virtual private network clients | |
| US8418244B2 (en) | Instant communication with TLS VPN tunnel management | |
| US20100138649A1 (en) | Transmission of packet data over a network with security protocol | |
| JP2006121510A (en) | Encryption communications system | |
| WO2006010648A2 (en) | Methods, apparatuses and computer-readable media for secure communication by establishing multiple secure connections | |
| CN101501663A (en) | Approach for securely deploying network devices | |
| CN110191052B (en) | Cross-protocol network transmission method and system | |
| CN110808834B (en) | Quantum key distribution method and quantum key distribution system | |
| JP2018504645A (en) | IPSec acceleration method, apparatus and system | |
| JP2015177430A (en) | Tunnel endpoint device, communication device, communication system, communication method and program | |
| JP5464232B2 (en) | Secure communication system and communication apparatus | |
| WO2018098630A1 (en) | X2 service transmission method, and network apparatus | |
| WO2019165235A1 (en) | Secure encrypted network tunnels using osi layer 2 protocol | |
| JP5457972B2 (en) | Tunnel termination system, tunnel termination method, tunnel termination control device, tunnel termination control method and program thereof | |
| KR101730403B1 (en) | Method of managing network route and network entity enabling the method | |
| JP3929969B2 (en) | COMMUNICATION SYSTEM, SERVER, TERMINAL DEVICE, COMMUNICATION METHOD, PROGRAM, AND STORAGE MEDIUM | |
| JP2003069597A (en) | LARGE-SCALE IPSec VPN CONSTRUCTION METHOD, LARGE-SCALE IPSec VPN SYSTEM AND PROGRAM, AND KEY SHARING INFORMATION PROCESSING DEVICE | |
| US10432583B1 (en) | Routing agent platform with a 3-tier architecture for diameter communication protocol in IP networks | |
| WO2023175705A1 (en) | Communication control device, communication device, communication control system, communication control method, and program | |
| JP5321707B2 (en) | Communications system | |
| CN114268499A (en) | Data transmission method, device, system, equipment and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121031 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130201 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130826 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130903 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131028 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140110 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5457972 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |