JP2012231225A - マッピングサーバの制御方法及びマッピングサーバ - Google Patents
マッピングサーバの制御方法及びマッピングサーバ Download PDFInfo
- Publication number
- JP2012231225A JP2012231225A JP2011097065A JP2011097065A JP2012231225A JP 2012231225 A JP2012231225 A JP 2012231225A JP 2011097065 A JP2011097065 A JP 2011097065A JP 2011097065 A JP2011097065 A JP 2011097065A JP 2012231225 A JP2012231225 A JP 2012231225A
- Authority
- JP
- Japan
- Prior art keywords
- identifier
- lisp
- host
- mapping
- mapping information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】LISPネットワークにおいて、VPN構築等に好適な、マッピング情報の通知要求を行うトンネリングルータに応じて通知可否を下せるマッピングサーバ制御方法を提供する。
【解決手段】手順(1)マッピングサーバ5(LISP-MS)では、予め各LISPサイト毎のEIDをグループ分けしておく。手順(2)各トンネリングルータ6(xTR)は、自身の位置識別子RLOCと自身のLISPサイト内のホスト識別子EIDとを対応づけてLISP-MSに登録する。手順(3)LISP-MSはグループID、EID、RLOCを対応づけてマッピング情報を作成する。通知要求に対しては、マッピング情報を参照して、要求元xTRのRLOCと宛先ホストのEIDとが同一グループに属する場合には、宛先RLOCを通知するが[手順(4-1)〜(4-3)]、同一グループに属さない場合には通知しない[手順(5-1)〜(5-3)]。
【選択図】図3
【解決手段】手順(1)マッピングサーバ5(LISP-MS)では、予め各LISPサイト毎のEIDをグループ分けしておく。手順(2)各トンネリングルータ6(xTR)は、自身の位置識別子RLOCと自身のLISPサイト内のホスト識別子EIDとを対応づけてLISP-MSに登録する。手順(3)LISP-MSはグループID、EID、RLOCを対応づけてマッピング情報を作成する。通知要求に対しては、マッピング情報を参照して、要求元xTRのRLOCと宛先ホストのEIDとが同一グループに属する場合には、宛先RLOCを通知するが[手順(4-1)〜(4-3)]、同一グループに属さない場合には通知しない[手順(5-1)〜(5-3)]。
【選択図】図3
Description
本発明は、LISPネットワークにおけるマッピングサーバ制御方法及びマッピングサーバに関し、特に、通知要求元に応じた通知可否の判断を下すことで、マッピング情報の拡散範囲の制御を行うことのできるマッピングサーバ制御方法及びマッピングサーバに関する。
現在、インターネットの経路数削減等を目的として、IETF(Internet Engineering Task Force )で標準化が進められているLISP(Locator/ID Separation Protocol)では、ホスト識別のためのIDとルーティングのためのLocatorを分離し、ホスト間の通信にホスト識別子(以下、EIDと呼ぶ;Endpoint ID)を、コア網では位置識別子(以下、RLOCと呼ぶ;Routing Locator)を使用することで、コア網の経路数を削減すること等ができる。LISPについては以下の非特許文献1に開示されているが、概略は次の通りである。
図5に典型的なLISPネットワークの構成例を示す。LISPはトンネルベースのプロトコルであり、コア網上に構築したLISPトンネルでLISPサイト間を接続する。EIDとRLOCのマッピングは、マッピングサーバ(LISP-MS(Map Server))を用いて交換することができる。このため、予めLISPサイトの出入口に配置されるトンネリングルータxTR(Ingress or Egress Tunnel Router)は、自サイト内のEID(の集合orプレフィックス)とxTR自身がもつRLOCをペアにして、LISP-MSに登録する。当該マッピングサーバ(LISP-MS)については以下の非特許文献2に開示されている。
あるLISPサイトに対して通信を行おうとする別のLISPサイトのxTRは、LISP-MSに対してEIDをキーとしてマッピング情報の通知要求を行う。登録や通知要求時にはNonce(ハッシュキーのようなもの)などを用いた簡単な認証も行われる。
例えば図5では、LISPサイト10,20及び30内にそれぞれEID10,20及び30のホストが存在し、各LISPサイトはそれぞれゲートウェイルータ(トンネルルータ)としてのxTR10,20及び30を介してコア網に接続される。各xTR10,20及び30は自身の位置識別子RLOC10,20及び30をサイト内のホスト識別子EID10,20及び30と対応づけて、矢印(10)、(20)及び(30)として示すようにマッピングサーバLISP-MSに予め登録しておく。
図5において、例えばEID10のホストからEID20のホストにパケットを送信する場合、(a)に示すようにホストEID10は、内側ヘッダが「送信元(src)EID10、宛先(dst)EID20」のパケットを送信する。当該パケットは(b)に示すようにRLOC10のxTRに到達した時点でカプセル化されて、外側ヘッダとして「送信元(src)RLOC10、宛先(dst)RLOC20」を付与され、コア網を転送されてRLOC20のxTRに到達する。当該外側ヘッダ付与の際に、LISP-MSに対して管理しているマッピング情報の必要部分を参照してxTRに通知するよう要求を行う。さらに(c)に示すように、RLOC20のxTRに到達した時点で当該パケットはデカプセル化され、LISPサイト20内を転送されてEID20のホストに到達する。
LISPネットワークではこのように、各LISPサイト内のホストはEIDのみを用いて通信が可能である。EIDにはLISPとは独立の従来の通常のIPアドレスも利用可能であるので、各LISPサイト内のホストは何ら変更を加えることなく通信が可能となる。RLOCもIPアドレスであるが、EIDとは分離して設定することができるので、コア網の経路数を削減できる等の利点がある。
Locator/ID Separation Protocol (LISP), http://tools.ietf.org/html/draft-ietf-lisp-09
LISP Map Server, http://tools.ietf.org/html/draft-ietf-lisp-ms-06
LISPはトンネルベースのプロトコルであるため、簡易的なVPN(Virtual Private Network)などへの応用も期待される。例えば、図5のLISPサイト10及び20の間で(b)のようにトンネル化してVPNを構築することができる。しかし、通常の手法でマッピングサーバを運用してVPNなどを構築しようとすると、次のような課題が生ずる。すなわち、マッピング登録や参照のときの認証は基本的にマッピングサーバへの攻撃(偽造・改ざん)などへの措置のためであって、LISPマッピングの参照許可範囲の制御などの目的は含まれない。よって通常では、登録されたLISPマッピング情報は、誰でも参照可能な状態となってしまっている。
そして、マッピング情報が誰でも参照可能であるということは、LISPを用いて簡易的にVPNなどを構築する場合に、誰でも当該VPNに参加できてしまうことを意味している。VPNは当事者間できちんと閉じた状態で運用する必要があるので、上記のように無制限にマッピング情報を参照可能であると、VPNとして正常に運用することができない。
例えば、LISPサイト10及び20の間で(b)のように閉じたVPNを構築しようとする場合には、矢印(30)に示すやりとりには制限が必要となる。すなわち、当該VPNには参加しないLISPサイト30からは、RLOC30及びEID30の登録は許可するが、要求に応じてLISPサイト10及び20のマッピング情報をマッピングサーバが参照して通知することは禁止する必要がある。しかしながら通常のマッピングサーバの運用方式では、LISPサイト10及び20に関するマッピング情報もLISPサイト30の参照要求に応じて通知してしまうため、閉じたVPNが構築できない。以上VPNを例として説明したが、VPN用途に限らず、マッピング情報を無制限に通知してしまうことはセキュリティ等の観点から問題となりうる。
本発明の目的は、上記の従来技術の課題を解決し、マッピング情報の通知要求に対する返信を通知要求元のトンネリングルータに応じて適宜制御することのできる、マッピングサーバの制御方法及びマッピングサーバを提供することにある。
上記の目的を達成するため、本発明は、コア網内では位置識別子にてルーティングが行われ、前記コア網にトンネリングルータを介して下層ネットワークとして接続する各LISPサイト内ではホスト識別子にてルーティングが行われるLISPネットワークにおける、位置識別子とホスト識別子との対応づけをマッピング情報として保持するマッピングサーバの制御方法において、前記LISPネットワークを構成する複数のLISPサイトを所与のグループに分けて、各LISPサイト内のホスト識別子と共に記憶するステップと、各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該LISPサイト内のホスト識別子とを対応づけた登録を受け付けるステップと、ホスト識別子の一致をキーとして、前記共に記憶されたグループ及びホスト識別子と、前記対応づけて登録された位置識別子及びホスト識別子と、を対応づけてマッピング情報を作成するステップと、送信元のトンネリングルータの位置識別子と宛先ホストのホスト識別子とが記載された当該トンネリングルータからの通知要求を受けて、前記マッピング情報を参照して、当該トンネリングルータの位置識別子と前記宛先ホストのホスト識別子とが同一のグループに属する場合には、当該同一のグループ内において前記宛先ホストのホスト識別子に前記マッピング情報により対応する位置識別子を当該トンネリングルータに通知し、同一のグループに属さない場合には通知しないステップとを備えることを特徴とする。
また本発明は、コア網内では位置識別子にてルーティングが行われ、前記コア網にトンネリングルータを介して下層ネットワークとして接続する各LISPサイト内ではホスト識別子にてルーティングが行われるLISPネットワークにおける、位置識別子とホスト識別子との対応づけをマッピング情報として保持するマッピングサーバにおいて、前記LISPネットワークを構成する複数のLISPサイトを所与のグループに分けて、各LISPサイト内のホスト識別子と共に記憶するグループ分け部と、各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該LISPサイト内のホスト識別子とを対応づけた登録を受け付ける登録受付部と、ホスト識別子の一致をキーとして、前記共に記憶されたグループ及びホスト識別子と、前記対応づけて登録された位置識別子及びホスト識別子と、を対応づけてマッピング情報を作成するマッピング情報作成部と、送信元のトンネリングルータの位置識別子と宛先ホストのホスト識別子とが記載された当該トンネリングルータからの通知要求を受けて、前記マッピング情報を参照して、当該トンネリングルータの位置識別子と前記宛先ホストのホスト識別子とが同一のグループに属する場合には、当該同一のグループ内において前記宛先ホストのホスト識別子に前記マッピング情報により対応する位置識別子を当該トンネリングルータに通知し、同一のグループに属さない場合には通知しない判断通知部とを備えることを特徴とする。
本発明によれば、通知要求を行うトンネリングルータに応じてマッピング情報の対応部分の通知の可否を判断することで、マッピング情報の拡散範囲を適切に制御することができる。
以下、図面を参照して本発明を詳細に説明する。図1は、本発明を説明するために用いるLISPネットワークの例と、当該LISPネットワーク上に本発明に係るマッピング情報通知の制御を利用して構築するVPNの例とを示している。すなわち、上層ネットワークとしてのコア網には本発明に係るマッピングサーバ5(LISP-MS)が配置されている。当該コア網に対して、下層ネットワークとしての各LISPサイト1〜4がそれぞれ、各トンネリングルータ6(xTR1〜4)を介して接続している。
前述の通り、コア網内では位置識別子RLOCを用いてルーティングが行われ、各LISPサイト内ではホスト識別子EIDを用いてルーティングが行われる。LISPサイト1〜4内のホストにはそれぞれホスト識別子EID1〜4が予め与えられている。コア網と各LISPサイト1〜4との境界にはそれぞれトンネリングルータxTR1〜4が配置され、それぞれ位置識別子RLOC1〜4が予め与えられている。
本発明はこのような図1の構成のLISPネットワークにおいて、LISPサイト1と2との間に閉じたVPN1を、LISPサイト3と4との間に閉じたVPN2を構築できるようにする場合を例として説明する。なお当該構成は説明のための例であり、構築するVPNの数は2つに限定されるわけではなく、また各VPNに参加するLISPネットワークの数も2つに限定されるわけではない。共に任意の数を設定することができる。
なお、各LISPサイト内のEIDとは一般に、当該LISPサイト内の1つ以上のホストを表すIDとし、IPアドレス及び/又はプレフィクスをリストアップしたものとする。また、コア網と各LISPサイトとの間にトンネリングルータxTRは複数配置されていてもよいが、以下ではまず基本実施形態として、1つのLISPサイトにつき1つのxTRが配置されている場合について説明を行う。
図2は、本発明のマッピングサーバ5の機能ブロック図であり、各トンネリングルータ6(各xTR)との関係を含めて描かれている。マッピングサーバ5は、グループ分け部51、登録受付部52、マッピング情報作成部53及び判断通知部54を備える。グループ分け部51には、図1のような各VPNに参加するEIDが予めVPNのIDによりグループ分けされて記憶されている。登録受付部52は、各トンネリングルータ6(xTR)よりその位置識別子RLOCとそのLISPサイト内のEIDとを対応づけた登録を受け付ける。
マッピング情報作成部53は、グループ分け部51に前記記憶された情報(VPNのIDとEIDとの対応)と登録受付部52で前記登録された情報(RLOCとEIDとの対応)とに基づき、EIDの一致をキーとして、VPNのID、EID及びRLOCを対応づけてマッピング情報を作成する。判断通知部54は、パケットをカプセル化してコア網内を転送させるため、宛先LISPサイトのxTRのRLOCの通知を要求する送信元LISPサイトの各トンネリングルータ6(xTR)に対して、当該通知の許可又は禁止を判断し、許可した場合には当該RLOCを通知し、禁止した場合には当該RLOCを通知しない。
図3に、本発明のマッピングサーバ5の制御方法の手順を示す。図3において手順(1)〜(3)がグループ分け部51、登録受付部52及びマッピング情報作成部53によるマッピング情報の作成までの手順である。手順(4-1)〜(4-3)及び(5-1)〜(5-3)は、判断通知部54による、作成されたマッピング情報を参照しての判断通知の手順の例であり、それぞれ返信する例と、返信を拒否する例とを示している。なお、共に手順(3)の後に実施可能となる手順(4-1)〜(4-3)と手順(5-1)〜(5-3)とは、順序を問わない。
各手順を順次説明する前の前提として、図1でも説明したように、各トンネリングルータ6(xTR1〜4)はインターネットコア網接続としての自身のRLOCをIPアドレスとして持っており、自身のLISPサイト内のEIDもIPアドレス又はプレフィクスとして持っている。マッピングサーバ5も各LISPサイト内のEIDを予め把握している。さらに図1では説明していなかった前提として、マッピングサーバ5と各トンネリングルータ6(xTR1〜4)との間ではそれぞれ、EID1〜4に対応するAD1〜4(認証データ;Authentication Data)を予め共有している。
手順(1)では、グループ分け部51が、どのEID及び対応するADが、どのVPNのグループに属するかを予め定義し、記憶しておく。当該定義は図示するようにEID、AD及びVPNのグループIDを対応づけたテーブル形式にて行うことができ、VPN1には(EID1,AD1)及び(EID2,AD2)が属し、VPN2には(EID3,AD3)及び(EID4,AD4)が属するものとして定義されている。なお、同一LISPサイト内のEIDは同一VPNグループに属するよう定義する。
手順(2)では、各トンネリングルータ6(xTR1〜4)が、自身のRLOCと自身のLISPサイト内のEIDとを対応づけて、登録受付部52に対して登録する。当該登録の際に、EIDに対応するADを用いて認証が行われる。
「EID1, AD1, RLOC1」として図示するように、xTR1はホスト識別子EID1に対する認証データAD1を用いて、当該EID1に対応する位置識別子RLOC1を登録受付部52に登録する。他のトンネリングルータxTR2〜xTR3も同様に、図示するような各自の登録を行う。
手順(3)では、手順(2)でEID-AD間の認証が成功した登録の情報を用いて、マッピング情報作成部53がマッピング情報を作成する。すなわち、手順(1)で予め設定してあるVPNの各グループのEIDに対して、手順(2)で登録されたEID-RLOC対応を結びつけることにより、VPNのグループIDと、当該VPNに参加するEIDと、当該EIDに対応するRLOCと、を対応づけた情報としてマッピング情報を作成する。
例えば手順(2)でxTR1より登録された「EID1-RLOC1」については、EID1をキーとして手順(1)でのグループ分け情報を参照することで、EID1が属しているVPN1が見つかり、マッピング情報として、図示するように「VPN1, EID1, RLOC1」が得られる。同様にして、xTR3〜xTR4の各登録情報にてEIDをキーとしてグループ分け情報を参照して結び付けを行い、各マッピング情報として「VPN1, EID2, RLOC2」、「VPN2, EID3, RLOC3」及び「VPN2, EID4, RLOC4」が得られる。こうして、マッピング情報全体としては図示するようなテーブル形式の情報が作成される。
手順(4-1)〜(4-3)はxTRからのマッピング情報通知要求(Map-request)に対して判断通知部54が通知を許可して返信する例である。(4-1)ではxTR1が内側ヘッダが「送信元EID1, 宛先EID2」のパケットをコア網にて転送するための外側ヘッダを付加するため、判断通知部54に外側ヘッダとして用いるマッピング情報の通知を求めている。このため図示するように、宛先EID2と、自身のRLOC1とを判断通知部54に伝える。
(4-2)にて判断通知部54は、通知要求元xTR1の位置識別子RLOC1をキーとして、作成されたマッピング情報を参照し、エントリ「VPN1, EID1, RLOC1」を発見する。従って、通知要求元のxTR1はVPN1に属していることが分かる。次に、マッピング情報におけるVPN1内にて、xTR1から要求された宛先EID2を検索して、存在するか否かを調べる。すると、エントリ「VPN1, EID2, RLOC2」が見つかるので、通知要求元xTR1と宛先のEID2のホストとは同じグループVPN1に属していることがわかる。よって、返信してもよいと判断する。そして、当該見つけた宛先EID2に対応する位置識別子の情報として、(4-3)にてマッピング情報「EID2-RLOC2」を返信する。
(4-3)の後、不図示の手順にて、xTR1は外側ヘッダ「送信元RLOC1、宛先RLOC2」を作成して前記パケットをカプセル化する。また、xTR1はさらに、当該通知されたマッピング情報「EID2-RLOC2」をキャッシュとして保持してもよい。
手順(5-1)〜(5-3)はxTRからのマッピング情報通知要求に対して判断通知部54が通知を許可しない例である。(5-1)では、xTR3が内側ヘッダが「送信元EID3, 宛先EID2」のパケットを前記と同様にカプセル化するため、判断通知部54にマッピング情報の通知を求めている。そして図示するように、宛先EID2と、自身のRLOC3とを判断通知部54に伝える。
(5-2)にて判断通知部54は、通知要求元xTR3の位置識別子RLOC3をキーとして、作成されたマッピング情報を参照し、エントリ「VPN2, EID3, RLOC3」を発見することにより、通知要求元のxTR3はVPN2に属していると知る。次に、マッピング情報におけるVPN2内にて、xTR3から要求された宛先EID2を検索し、VPN2内にEID2は存在しないことを知る。すなわち、通知要求元xTR3と宛先のEID2のホストとは別グループに属することがわかる。よって返信してはならないと判断し、(5-3)ではマッピング情報を返信しない、又は代わりにnegative map-replyを返信する。
negative map-replyは、xTR3により対応するRLOCの通知を要求されたEID2が、LISPサイト内のアドレスとして存在しないことを表している(上述の通り実際には存在するが、本発明の目的により、対応するRLOCの通知を禁止する必要があるため、便宜上negative map-replyの返信を利用することができる)。よってnegative map-reply返信を受けた場合でも、返信無しであった場合でも、(5-3)の後の不図示の手順にてxTR3はLISPを利用しない通常のインターネット向けの通信と判断する。
当該判断の後、EID2がローカルアドレスの場合には、宛先なしとしてxTR3は前記パケットを破棄することになる。仮にEID2がグローバルアドレスであった場合は、xTR3は外側ヘッダを付与せずに前記パケットを転送することとなるが、インターネット上で対象とするEID2の経路は存在しないので、当該パケットはどこかのルータで破棄されることとなる。偶然グローバルアドレスとしてEID2を利用しているホストに到達することがあったとしても、当該ホストはLISPサイト2内のローカルアドレスEID2のホストではない。なおVPNを構築する場合には通常、EIDはローカルアドレスである。
なおまた、xTR1〜xTR4とは別の、マッピング情報に記載されていない無関係のxTR5(位置識別子はRLOC5とする)などが参照を行った場合も、RLOC5がマッピング情報内に存在しないので、手順(5-1)〜(5-3)とほぼ同様にして通知は拒否される。
以上のように、本発明の基本実施形態によれば、図1に示す例のような閉じたVPNを構築することができる。なお、実際にVPNとしてホスト間で通信を行うためには、必要に応じて暗号化及び/又は認証などの処理を行うが、公知の各種の手法を利用すればよいので説明を省略する。認証については図3で説明したようなLISPのADを利用してもよい。本発明はその好適な一例として、閉じたVPNを構築するための前処理に関するものである。本発明はVPNに限らず、LISPネットワークにおけるEIDとRLOCとのマッピング情報の拡散範囲の制御、すなわち本発明の効果を必要とする任意の対象に適用することができる。
以下それぞれ(A)〜(E)として、基本実施形態に対する各種の追加的実施形態や、基本実施形態における補足事項などを説明する。当該説明においても、好適な対象としてVPN構築を想定して説明する。
(A)xTRが複数のRLOCを持っている場合
基本実施形態で説明したxTR1が単一のRLOC1ではなく、RLOC1-1及びRLOC1-2の2個を持っている場合を例として説明する。xTR1は手順(2)の登録の際に、両方のRLOCを登録すればよい。ADはEIDに紐付いており、またRLOCはリストとして登録すればよいので、同じAD1を用いて「EID1, {RLOC1-1, RLOC1-2}」として登録すればよい。
基本実施形態で説明したxTR1が単一のRLOC1ではなく、RLOC1-1及びRLOC1-2の2個を持っている場合を例として説明する。xTR1は手順(2)の登録の際に、両方のRLOCを登録すればよい。ADはEIDに紐付いており、またRLOCはリストとして登録すればよいので、同じAD1を用いて「EID1, {RLOC1-1, RLOC1-2}」として登録すればよい。
手順(3)のマッピング情報作成では、「VPN1, EID1, RLOC1-1」及び「VPN1, EID1, RLOC1-2」として作成してもよいし、「VPN1, EID1, {RLOC1-1, RLOC1-2}」として作成してもよい。手順(4-1)でxTR1が通知要求を行う場合には、どちらのIPアドレス(RLOC1-1又はRLOC1-2)を用いてもよく、xTR1自身は手順(4-2)でVPN1に属すると判断される。また別のトンネリングルータ、例えばxTR2がEID1のRLOCの通知要求を行う場合には、リスト{RLOC1-1, RLOC1-2}を返信すればよい。
なお、複数のRLOCの例として、上記説明のxTR1ではなく、LISPサイト1にxTR1-1及びxTR1-2のように物理的に2台のトンネリングルータが存在してそれぞれRLOC1-1及びRLOC1-2を割り当てられている場合もあるが、上記と同様の処理でよい。xTR1-1及びxTR1-2はそれぞれ上記登録を行ってもよく、片方のxTRが両者のRLOCを登録してもよい。
(B)異なるVPNで同じアドレスを使う場合(アドレスが重複する場合)
基本実施形態の説明においてEID1=EID3であった場合を例として、EID3をEID1に置き換えて説明する。この場合、手順(1)での設定の「EID3, AD3, VPN2」の部分が、「EID1, AD3, VPN2」となる。すなわち手順(1)では同じEID1に対して、「EID1, AD1, VPN1」及び「EID1, AD3, VPN3」が定義されることとなる。
基本実施形態の説明においてEID1=EID3であった場合を例として、EID3をEID1に置き換えて説明する。この場合、手順(1)での設定の「EID3, AD3, VPN2」の部分が、「EID1, AD3, VPN2」となる。すなわち手順(1)では同じEID1に対して、「EID1, AD1, VPN1」及び「EID1, AD3, VPN3」が定義されることとなる。
手順(2)では、xTR1及びxTR3は前述と同様のADにてそれぞれ、「EID1, AD1, RLOC1」及び「EID1, AD3, RLOC3」として登録を行う。手順(3)では対応するマッピング情報としてそれぞれ、「VPN1, EID1, RLOC1」及び「VPN2, EID1, RLOC3」が作成される。
当該マッピング情報に対して、例えばxTR2が宛先EID1に対するRLOCの通知要求を行ったとする。判断通知部54は通知要求元のxTR2の位置識別子RLOC2によって、当該xTR2がVPN1に所属していることがわかるので、xTR2にRLOC1を返信することができる。その他返信拒否となる場合も含めて、同様にして正常に運用できる。
(C)1つのxTR配下に複数のVPNがある場合
当該複数のVPN間にてアドレス帯の競合が生じたり、異なるVPN間で通信できてしまうため、VPNの要件を満足できない。よって本発明の基本実施形態においてはこのような場合は想定しない。
当該複数のVPN間にてアドレス帯の競合が生じたり、異なるVPN間で通信できてしまうため、VPNの要件を満足できない。よって本発明の基本実施形態においてはこのような場合は想定しない。
なお、手順(1)におけるグループ分け部51によるグループ分けとは、通常の意味でのグループ分けであり、1つのLISPサイト内のEIDが複数のVPNグループに同時に属することはない。すなわち、1つのLISPサイト内のEIDは同一の1つのVPNグループに属する。よって基本実施形態では自動的に当該(C)のような場合は排除される。
(D)ITR(Ingress Tunnel Router)によるMap-request(マッピング情報通知要求)の返信をETR(Egress Tunnel Router)が行う場合
手順(4-1)〜(4-3)(当該手順ではITR=xTR1、ETR=xTR2)がどう変更されるかを例として説明する。(4-1)及び(4-2)は基本実施形態と同様に行ったのち、(4-3)に代えて次のようにする。すなわち、(4-2)でマッピングサーバが返信許可判断を下すと、(4-3)のようにマッピングサーバ5から直接xTR1に返信するのではなく、マッピングサーバは通知要求をxTR2に転送し、当該xTR2が保有RLOC2をxTR1に返信してもよい。なおその後さらに、キャッシングモードの場合には、xTR2からxTR1への返信においても、マッピングサーバ5を経由してもよい。
手順(4-1)〜(4-3)(当該手順ではITR=xTR1、ETR=xTR2)がどう変更されるかを例として説明する。(4-1)及び(4-2)は基本実施形態と同様に行ったのち、(4-3)に代えて次のようにする。すなわち、(4-2)でマッピングサーバが返信許可判断を下すと、(4-3)のようにマッピングサーバ5から直接xTR1に返信するのではなく、マッピングサーバは通知要求をxTR2に転送し、当該xTR2が保有RLOC2をxTR1に返信してもよい。なおその後さらに、キャッシングモードの場合には、xTR2からxTR1への返信においても、マッピングサーバ5を経由してもよい。
(E)マッピングサーバ5が仮想化されている場合
図4に、マッピングサーバ5が仮想化され、マッピングサーバ5上で複数の仮想計算機が各々マッピングサーバとして稼働している場合の機能ブロック図の例を示す。マッピングサーバ5は仮想化され、VPN1を管理する仮想計算機5Aと、VPN2を管理する仮想計算機5Bと、切替部7とを含む。切替部7は各仮想計算機5A及び5Bにつき異なる仮想インタフェース及びアドレスを管理することで、VPN1に参加するxTR1及びxTR2を仮想計算機5Aと接続させ、VPN2に参加するxTR3及びxTR4を仮想計算機5Bと接続させる。
図4に、マッピングサーバ5が仮想化され、マッピングサーバ5上で複数の仮想計算機が各々マッピングサーバとして稼働している場合の機能ブロック図の例を示す。マッピングサーバ5は仮想化され、VPN1を管理する仮想計算機5Aと、VPN2を管理する仮想計算機5Bと、切替部7とを含む。切替部7は各仮想計算機5A及び5Bにつき異なる仮想インタフェース及びアドレスを管理することで、VPN1に参加するxTR1及びxTR2を仮想計算機5Aと接続させ、VPN2に参加するxTR3及びxTR4を仮想計算機5Bと接続させる。
上記のような排他的な切替接続を行うために、予め手順(1)と類似の情報が切替部7に設定されているものとする。切替部7を経由することで、xTR1及びxTR2は仮想計算機5Aに対してのみ登録や参照を行い、xTR3及びxTR4は仮想計算機5Bに対してのみ登録や参照を行う。
仮想計算機5A内のグループ分け部51A乃至判断通知部54Aと、仮想計算機5B内のグループ分け部51B乃至判断通知部54Bとは、それぞれ類似の参照番号を付しているように、図2に示すグループ分け部51乃至判断通知部54に対応する処理を行う。処理における差異点としては、切替部7によってxTRのアクセスを振り分けるので、各仮想計算機内では単一のVPNグループを設定すればよい点が挙げられる。しかし、マッピングサーバ5全体としては基本実施形態と同様の効果が得られると共に、仮想化の利点として管理が容易になる等の効果がある。
すなわち、手順(1)ではグループ分け部51Aで(EID1,AD1)及び(EID2,AD2)が単一のVPN1に設定され、またこれとは独立にグループ分け部51Bで(EID3,AD3)及び(EID4,AD4)が単一のVPN2に設定される。手順(2)では切替部7によって各xTRの所属VPNグループ毎に対応する仮想計算機に切り替えて登録が行われる。ここでは、仮に切替部7を経由しないルートによって、別VPNグループの仮想計算機にxTRが登録しようとしたとしても、ADが共有されていないため登録はできない。
手順(3)ではマッピング情報作成部51Aで単一グループのVPN1に対して、マッピング情報「VPN1, EID1, RLOC1」及び「VPN1, EID2, RLOC2」が作成され、マッピング情報作成部51Bで単一グループのVPN2に対してマッピング情報「VPN2, EID3, RLOC3」及び「VPN2, EID4, RLOC4」が作成される。
こうして、各xTRからのマッピング情報通知要求に対しても、基本実施形態と同様の通知許可又は禁止が可能となる。仮に、切替部7を経由しないルートによってVPN2に属するxTR3がVPN1を管理する仮想計算機5Aに通知要求を出したとしても、仮想計算機5Aのマッピング情報内にはxTR3の保有するRLOC3のエントリが見つからないため、返信は拒否される。
以上、本発明によれば、通知要求を行うトンネリングルータに応じてマッピング情報の必要部分の通知の可否を判断することで、マッピング情報の拡散範囲を制御することができる。当該制御により、LISPネットワークにおけるセキュリティ強化や、きちんと閉じた形で運用されるVPNの実現などを行うことができる。
5…マッピングサーバ、51…グループ分け部、52…登録受付部、53…マッピング情報作成部、54…判断通知部、6…トンネリングルータ
Claims (5)
- コア網内では位置識別子にてルーティングが行われ、前記コア網にトンネリングルータを介して下層ネットワークとして接続する各LISPサイト内ではホスト識別子にてルーティングが行われるLISPネットワークにおける、位置識別子とホスト識別子との対応づけをマッピング情報として保持するマッピングサーバの制御方法において、
前記LISPネットワークを構成する複数のLISPサイトを所与のグループに分けて、各LISPサイト内のホスト識別子と共に記憶するステップと、
各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該LISPサイト内のホスト識別子とを対応づけた登録を受け付けるステップと、
ホスト識別子の一致をキーとして、前記共に記憶されたグループ及びホスト識別子と、前記対応づけて登録された位置識別子及びホスト識別子と、を対応づけてマッピング情報を作成するステップと、
送信元のトンネリングルータの位置識別子と宛先ホストのホスト識別子とが記載された当該トンネリングルータからの通知要求を受けて、前記マッピング情報を参照して、当該トンネリングルータの位置識別子と前記宛先ホストのホスト識別子とが同一のグループに属する場合には、当該同一のグループ内において前記宛先ホストのホスト識別子に前記マッピング情報により対応する位置識別子を当該トンネリングルータに通知し、同一のグループに属さない場合には通知しないステップとを備えることを特徴とするマッピングサーバの制御方法。 - 前記マッピングサーバは前記所与のグループ毎に仮想計算機に分けて運用され、
前記記憶するステップでは各グループに対応する仮想計算機が、当該グループに対応する各LISPサイト内のホスト識別子を記憶し、
前記登録を受け付けるステップでは、前記トンネリングルータの位置識別子に対応づけられたLISPサイト内のホスト識別子を前記記憶している仮想計算機が、前記位置識別子を対応づけて登録し、
前記マッピング情報を作成するステップでは、各仮想計算機が前記対応づけて登録した情報を各マッピング情報として作成し、
前記通知する又は通知しないステップでは、前記送信元のトンネリングルータに対して、当該トンネリングルータの位置識別子をマッピング情報内に保持している仮想計算機が、当該マッピング情報を参照して前記通知する又は通知しないことを特徴とする請求項1に記載のマッピングサーバの制御方法。 - 前記記憶するステップでは、前記複数のLISPサイトを、同一グループに属するホスト間のみにて互いの通信を許可するための所与のグループに分けて、各LISPサイト内のホスト識別子と、当該ホスト識別子に対応し予め各LISPサイトのトンネリングルータと共有された認証データと共に記憶し、
前記登録を受け付けるステップでは、各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該各LISPサイト内のホスト識別子と対応づけた登録を、当該ホスト識別子に対応する前記共有された認証データによる認証を経てから受け付けることを特徴とする請求項1または2に記載のマッピングサーバの制御方法。 - 前記所与のグループがLISPサイト間でのVPN構築のためのグループであることを特徴とする請求項3に記載のマッピングサーバの制御方法。
- コア網内では位置識別子にてルーティングが行われ、前記コア網にトンネリングルータを介して下層ネットワークとして接続する各LISPサイト内ではホスト識別子にてルーティングが行われるLISPネットワークにおける、位置識別子とホスト識別子との対応づけをマッピング情報として保持するマッピングサーバにおいて、
前記LISPネットワークを構成する複数のLISPサイトを所与のグループに分けて、各LISPサイト内のホスト識別子と共に記憶するグループ分け部と、
各LISPサイトのトンネリングルータより、当該トンネリングルータの位置識別子と当該LISPサイト内のホスト識別子とを対応づけた登録を受け付ける登録受付部と、
ホスト識別子の一致をキーとして、前記共に記憶されたグループ及びホスト識別子と、前記対応づけて登録された位置識別子及びホスト識別子と、を対応づけてマッピング情報を作成するマッピング情報作成部と、
送信元のトンネリングルータの位置識別子と宛先ホストのホスト識別子とが記載された当該トンネリングルータからの通知要求を受けて、前記マッピング情報を参照して、当該トンネリングルータの位置識別子と前記宛先ホストのホスト識別子とが同一のグループに属する場合には、当該同一のグループ内において前記宛先ホストのホスト識別子に前記マッピング情報により対応する位置識別子を当該トンネリングルータに通知し、同一のグループに属さない場合には通知しない判断通知部とを備えることを特徴とするマッピングサーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011097065A JP5715476B2 (ja) | 2011-04-25 | 2011-04-25 | マッピングサーバの制御方法及びマッピングサーバ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011097065A JP5715476B2 (ja) | 2011-04-25 | 2011-04-25 | マッピングサーバの制御方法及びマッピングサーバ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012231225A true JP2012231225A (ja) | 2012-11-22 |
| JP5715476B2 JP5715476B2 (ja) | 2015-05-07 |
Family
ID=47432450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011097065A Active JP5715476B2 (ja) | 2011-04-25 | 2011-04-25 | マッピングサーバの制御方法及びマッピングサーバ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5715476B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591799A (zh) * | 2015-07-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种ms服务器的快速恢复方法和设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007158870A (ja) * | 2005-12-07 | 2007-06-21 | Hitachi Ltd | 仮想計算機システム及びそのネットワーク通信方法 |
| JP2008098881A (ja) * | 2006-10-11 | 2008-04-24 | Murata Mach Ltd | 中継サーバ |
| JP2008301165A (ja) * | 2007-05-31 | 2008-12-11 | Fuji Xerox Co Ltd | 仮想ネットワーク接続装置及びプログラム |
| WO2011032472A1 (zh) * | 2009-09-18 | 2011-03-24 | 中兴通讯股份有限公司 | 虚拟专用网络的实现方法及系统 |
| WO2011032473A1 (zh) * | 2009-09-18 | 2011-03-24 | 中兴通讯股份有限公司 | 虚拟专用网络的实现方法及系统 |
-
2011
- 2011-04-25 JP JP2011097065A patent/JP5715476B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007158870A (ja) * | 2005-12-07 | 2007-06-21 | Hitachi Ltd | 仮想計算機システム及びそのネットワーク通信方法 |
| JP2008098881A (ja) * | 2006-10-11 | 2008-04-24 | Murata Mach Ltd | 中継サーバ |
| JP2008301165A (ja) * | 2007-05-31 | 2008-12-11 | Fuji Xerox Co Ltd | 仮想ネットワーク接続装置及びプログラム |
| WO2011032472A1 (zh) * | 2009-09-18 | 2011-03-24 | 中兴通讯股份有限公司 | 虚拟专用网络的实现方法及系统 |
| WO2011032473A1 (zh) * | 2009-09-18 | 2011-03-24 | 中兴通讯股份有限公司 | 虚拟专用网络的实现方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591799A (zh) * | 2015-07-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种ms服务器的快速恢复方法和设备 |
| CN105591799B (zh) * | 2015-07-28 | 2018-12-25 | 新华三技术有限公司 | 一种ms服务器的快速恢复方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5715476B2 (ja) | 2015-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7004405B2 (ja) | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 | |
| US11362986B2 (en) | Resolution of domain name requests in heterogeneous network environments | |
| WO2019201043A1 (zh) | 网络通信方法、系统、设备及存储介质 | |
| US20190182155A1 (en) | Distributed Network Sharing And Traffic Isolation | |
| CN107332812B (zh) | 网络访问控制的实现方法及装置 | |
| TW522684B (en) | MAC address-based communication restricting method | |
| Ahmed et al. | IPv6 neighbor discovery protocol specifications, threats and countermeasures: a survey | |
| US9654340B2 (en) | Providing private access to network-accessible services | |
| US8683023B1 (en) | Managing communications involving external nodes of provided computer networks | |
| US8560646B1 (en) | Managing communications using alternative packet addressing | |
| US20140233569A1 (en) | Distributed Gateway in Virtual Overlay Networks | |
| US9654482B2 (en) | Overcoming circular dependencies when bootstrapping an RPKI site | |
| CN105490995B (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
| US10439993B2 (en) | Mapping system assisted key refreshing | |
| JP4628938B2 (ja) | データ通信システム、端末装置およびvpn設定更新方法 | |
| JP2017147733A (ja) | DiameterシグナリングルータにおいてDiameterメッセージをルーティングするための方法、システムおよびコンピュータ読取可能媒体 | |
| JP2017212759A (ja) | パケット転送装置、制御装置、通信システム、通信方法及びプログラム | |
| CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
| CN115442184B (zh) | 一种接入系统及方法、接入服务器、系统及存储介质 | |
| JP2023502578A (ja) | ドメイン間トラフィックのグループベースのポリシー | |
| EP2276206B1 (en) | A method, device and communication system for managing and inquiring mapping information | |
| CN102780701A (zh) | 访问控制方法和设备 | |
| CN101043410B (zh) | 实现移动vpn业务的方法及系统 | |
| JP5715476B2 (ja) | マッピングサーバの制御方法及びマッピングサーバ | |
| Dayananda et al. | Architecture for inter-cloud services using IPsec VPN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140227 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141203 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150202 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150218 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150313 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5715476 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |