JP2017163437A - 通信装置および通信方法 - Google Patents

通信装置および通信方法 Download PDF

Info

Publication number
JP2017163437A
JP2017163437A JP2016047754A JP2016047754A JP2017163437A JP 2017163437 A JP2017163437 A JP 2017163437A JP 2016047754 A JP2016047754 A JP 2016047754A JP 2016047754 A JP2016047754 A JP 2016047754A JP 2017163437 A JP2017163437 A JP 2017163437A
Authority
JP
Japan
Prior art keywords
packet
interface
network
unit
specific identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016047754A
Other languages
English (en)
Other versions
JP6636832B2 (ja
Inventor
知将 笹本
Tomomasa Sasamoto
知将 笹本
賢介 猪野
Kensuke Ino
賢介 猪野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2016047754A priority Critical patent/JP6636832B2/ja
Priority to US15/412,228 priority patent/US20170264461A1/en
Publication of JP2017163437A publication Critical patent/JP2017163437A/ja
Application granted granted Critical
Publication of JP6636832B2 publication Critical patent/JP6636832B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】エッジルータが受信したユーザからのパケットを、コアネットワークに接続されたDPI装置に転送するための技術を提供する。
【解決手段】トンネリングプロトコルを使用する2台のネットワーク装置のうち、ユーザを収容するネットワーク装置において、トンネリングプロトコルのヘッダ内識別子を、ネットワーク運用管理者による設定により一意に決定し、決定した識別子にてパケットをカプセル化して送信する機能を備え、DPI装置と接続する他方のネットワーク装置において、デカプセル処理を実施し、トンネリングプロトコルヘッダ内の識別子から出力先インタフェースに対応する識別子に変換し、変換結果を内部制御タグとしてデカプセル化したパケットに付与し、パケット転送処理を実施するハードウェアに転送する機能を備える。
【選択図】 図1

Description

本発明は、ネットワークに接続されパケットを転送する通信装置および通信方法に関する。
ネットワークトラフィックの多様化により、ネットワーク上を流れるパケットをパケットのペイロード情報も含めて詳細に検査するニーズが高まっており、DPI(Deep Packet Inspection)装置の導入が進められている。DPI装置は、ユーザが送信したオリジナル形式のパケットを検査することを目的とした専用の装置であり、DPI装置にパケットを送信するためのネットワーク装置をDPI装置に接続し、ネットワーク装置において、ポートミラーリング機能を動作させ、DPI装置にミラーリングしたパケットを転送して検査を実施する手法が一般的である。
一方、ネットワーク上の各回線に設置すると高コストとなるアプリケーション識別装置を、大規模ネットワーク上で共有し、アプリケーション単位の制御を共有のアプリケーション識別装置へ転送するためのネットワーク構成が特許文献1に記載されている。特許文献1は、複数のパケットヘッダ識別制御部がステアリングポリシに合致するフローを抽出してアプリケーション識別接続インタフェースから転送したパケットを、アプリケーション識別装置に送信するパケットの中継を専用に行う中継装置を介してアプリケーション識別装置に送信する構成としたことで、アプリケーション識別装置の共用化を実現している。
特開2015-162693号公報
特許文献1に記載された発明には、大規模ネットワーク上でアプリケーション識別装置を共有するネットワーク構成の一例が示されている。
一方、本発明は、ユーザを収容するアクセスネットワークとコアネットワークを有し、アクセスネットワークとコアネットワークはコアネットワークのエッジ部分に設けられたエッジルータを介して接続されるネットワーク構成において、エッジルータが受信したユーザからのパケットを、コアネットワークに接続されたDPI装置に転送するための技術を提供することを目的とする。
上記課題を解決するために、本発明においては、一例としてネットワークとパケットの送受信およびパケットに対する処理を行い、経路テーブルに基づいて転送処理を行う通信装置において、予めトンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報が入力されると、前記パケットに対する処理を行う際に参照する情報記憶部および経路テーブルに前記トンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報を設定しておき、受信したパケットをデカプセルしたパケットが有するトンネリングプロトコルの識別子が特定の識別子の場合には、パケットのヘッダ部分に内部制御用のタグを付与し、内部制御用のタグから経路テーブルに設定されたトンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報を読み出して、設定された出力インタフェースへ内部制御用のタグを削除した前記パケットを転送するようにしたものである。
本発明によれば、ユーザを収容するアクセスネットワークとコアネットワークから構成され、アクセスネットワークとコアネットワークはコアネットワークのエッジ部分に設けられたエッジルータを介して接続されるネットワーク構成において、エッジルータが受信したユーザからのパケットを、コアネットワークに接続されたDPI装置に転送するための技術を提供することができる。
上記以外の課題、及び構成は、以下の実施形態の説明により明らかにされる。
本発明の一実施例におけるネットワークの構成例を示す図である。 本発明の一実施例におけるエッジルータおよびゲートウェイルータの構成を示す図である。 本発明の一実施例におけるゲートウェイルータとDPI装置におけるインタフェースを示す図である。 エッジルータにおけるDPI検査対象パケットを検出するためのアクセスリストの例を示す図である。 エッジルータにおけるDPI検査対象パケットフローに対する出力ポリシー例を示す図である。 運用管理者によるゲートウェイルータからDPI装置への出力先インタフェースを設定するための設定情報の入力イメージである。 ゲートウェイルータにおける変換情報記憶部のフォーマットの例を示す図である。 ゲートウェイルータが受信する、カプセル化されたパケットのフォーマット例を示す図である。 ゲートウェイルータのパケット操作部でデカプセル化されたパケットのフォーマット例を示す図である。 ゲートウェイルータゲートウェイルータがデカプセル化後に送信するパケットのフォーマット例を示す図である。 エッジルータにおける、コアネットワークの出力先VRFの設定例を示す図である。 エッジルータにおける変換情報記憶部のフォーマット例を示す図である。 エッジルータで受信する、カプセル化されたパケットのフォーマット例を示す図である。 エッジルータのパケット操作部でデカプセル化されたパケットのフォーマット例を示す図である。 エッジルータにおける、アクセスリストの例を示す図である。 エッジルータにおける、出力ポリシーの例を示す図である。 ゲートウェイルータにおける、DPI装置への出力先インタフェース設定例を示す図である。 ゲートウェイルータにおける、変換情報記憶部のフォーマット例を示す図である。 エッジルータにおける、アクセスネットワークへの出力先VRFの設定例を示す図である。 エッジルータにおける、変換情報記憶部のフォーマット例を示す図である。 第2の実施例の本発明の一実施例におけるネットワーク構成を示す図である。
以下、図を用いて本発明を実施する形態の例を説明する。ただし、本発明は本実施形態に限定されるものではない。また、実質的に同一な箇所には同じ符号を付与し、説明を繰り返さないこととする。
本発明の第1の実施例について、図を用いて以下に説明する。
図1は、本発明の一実施例におけるネットワークの構成例を示す図である。
本実施例のネットワークは、コアネットワークN200とユーザを収容するアクセスネットワークN100、N300がコアネットワークのエッジ位置に設置されたエッジルータA101、エッジルータB102を介して接続されている。また、DPI装置10は、ゲートウェイルータ103に直接接続され、ゲートウェイルータ103を介してコアネットワークN200に接続されている。
本実施例は、図1に示すようなネットワーク構成において、エッジルータが受信したユーザからのパケット、またはユーザへ送信するパケットを、コアネットワークに接続されたDPI装置に転送し、DPI装置において検査済のパケットをコアネットワークを介してユーザが送信したパケットの宛先、またはユーザ宛に送信できるようにするものである。
ここで、図1に示すゲートウェイルータ103において、エッジルータA101から上りトンネルT20、および、下りトンネルT30を経由して送信されたパケットをデカプセル化した際に得られるパケットは、アクセスネットワークN100に属するユーザが送信したオリジナル形式のパケット、あるいは、コアネットワークN200を経由してエッジルータA101宛に送信されたパケットであり、これらのパケットには、アクセスネットワークN100に属するユーザに応じたVLAN(Virtual Local Area Network)タグ、あるいは、コアネットワークN200内にて付与されたVLANタグが付与されていることが想定される。加えて、DPI装置10は、その特性上、ユーザが送信したオリジナルのパケットを受信する必要があり、また、ユーザが送信したパケットの宛先に対して、オリジナルのパケットを送信する必要がある。
即ち、上り回線L20、および、下り回線L30が接続されたゲートウェイルータ103のインタフェースは、アクセスポートインタフェース以外のインタフェースを指定できないことを意味する。このため、アクセスネットワークN100において、複数のVLANを使用してユーザを収容する環境においては、宛先MACアドレスフィールド、および、VLANタグを参照して、受信パケットと同一VLANを出力先と判定してパケット転送処理を行う既存のレイヤ2パケット転送方式を用いた場合、ゲートウェイルータ103は、受信したパケットに対して、VLANタグの追加、および、付け替え処理を伴わずにDPI装置10に対してパケットを送信することができないため、ユーザが送信した形式、即ち、オリジナルパケットをDPI装置10に転送できない課題(課題(1))がある。
また、同様に図1に示すエッジルータA101において、アクセスネットワークN100、および、コアネットワークN200からパケットを受信する際に、VRF(Virtual Routing and Forwarding)を使用するインタフェースでパケットを受信していた場合、エッジルータA101は、ゲートウェイルータ103から上りトンネルT20、および、下りトンネルT30を経由して送信されたパケットを、エッジルータA101がゲートウェイルータ103とトンネル接続しているインタフェースで受信する。しかし、エッジルータA101は、受信したパケットに対してデカプセル処理を実施してルーティング処理を実施する際に、アクセスネットワークN100、および、コアネットワークN200から受信したインタフェースと異なるインタフェース、即ち、上りトンネルT20、および、下りトンネルT30のインタフェースでパケットを受信しているため、アクセスネットワークN100、および、コアネットワークN200からパケットを受信したときの受信VRFの情報が欠損する。このため、エッジルータA101において、DPI検査対象パケットに対してVRFを用いたルーティング処理が実施できない課題(課題(2))がある。
以下、上記課題(1)(2)を解決し、図1に示すようなネットワーク構成において、エッジルータが受信したユーザからのパケット、またはユーザへ送信するパケットを、コアネットワークに接続されたDPI装置に転送し、DPI装置において検査済のパケットをコアネットワークを介してユーザが送信したパケットの宛先、またはユーザ宛に送信する本実施例の構成、動作について説明する。
エッジルータA101はユーザ1、および、ユーザ4をアクセスネットワークN100に収容し、エッジルータB102はユーザ2、および、ユーザ3をアクセスネットワークN300に収容するものとする。
ゲートウェイルータ103は、上り回線L20、および、下り回線L30によりDPI装置10と直接接続する。DPI装置10は、ユーザが送信したオリジナル形式のパケットを検査することを目的とした専用の装置である。そのため、コアネットワークN200からエッジルータA101に収容するユーザ宛に送信されるパケット、および、エッジルータA101に収容するユーザが送信するパケットを、ゲートウェイルータ103を介してDPI装置と送受信するときには、ゲートウェイルータ103の上り回線L20、および、下り回線L30を接続するインタフェースは、VLANタグの追加、または付け替えを行わないインタフェースとする必要がある。
上り回線L20は、アクセスネットワークN100からコアネットワークN200の方向へ転送されるパケットをDPI装置10が受信、または、コアネットワークN200からアクセスネットワークN100の方向へ転送されるパケットをDPI装置10が送信する回線を示すものであり、下り回線L30は、コアネットワークN200からアクセスネットワークN100の方向へ転送されるパケットをDPI装置10が受信、または、アクセスネットワークN100からコアネットワークN200の方向へ転送されるパケットをDPI装置10が送信する回線を示すものである。
また、ゲートウェイルータ103は、エッジルータA101とトンネリングプロトコルを使用して上りトンネルT20、および、下りトンネルT30により接続する。本実施例では、接続に用いるトンネリングプロトコルは、便宜上VXLAN(Virtual eXtensible Local Area Network)プロトコルを使用するものとして説明するが、あくまで一例であり、使用するトンネリングプロトコルに制限は無く、他のトンネリングプロトコルを使用してもよい。また、使用するVXLANプロトコルの詳細動作は割愛する。
加えて、上りトンネルT20、および、下りトンネルT30は論理的に多重化可能で、1回線内に複数のトンネルを同時に収容する構成としてもよい。なお、上りトンネルT20は、アクセスネットワークN100からコアネットワークN200の方向へ送信されるパケットを通過させるトンネルを示すものであり、下りトンネルT30は、コアネットワークN200からアクセスネットワークN100の方向へ送信されるパケットを通過させるトンネルを示すものである。
図1において、アクセスネットワークN100に収容されるユーザ1からアクセスネットワークN300に収容されるユーザ2にパケットを送信した際のパケットフローをF12で示し、アクセスネットワークN300に収容されるユーザ3からアクセスネットワークN100に収容されるユーザ4にパケットを送信した際のパケットフローをF34で示している。
DPI装置10が検査対象とするパケットは、パケットフローF12のうち、エッジルータA101がアクセスネットワークN100から受信したパケット、および、パケットフローF34のうち、エッジルータ101がユーザ4へ送信するパケットである。
図2は、本発明の一実施例におけるエッジルータおよびゲートウェイルータの構成を示す図である。
図2には、エッジルータA101、エッジルータB102、および、ゲートウェイルータ103の内部構造を示し、特に記載が無い場合、エッジルータA101、エッジルータB102、およびゲートウェイルータ103を総称して、エッジルータ/ゲートウェイルータ100と記載する。
エッジルータ/ゲートウェイルータ100は、ネットワーク運用管理者による装置設定の変更や運用情報等を取得するためのユーザインタフェース(図示せず)、および、各種ネットワークプロトコル処理を行う機能を備える装置制御部110を有し、装置制御部110とバス接続されるパケット転送ハードウェア120を有し、パケット転送ハードウェア120とバス接続されるネットワークインタフェース部A130、および、ネットワークインタフェース部B140を有する。
ネットワークインタフェース部A130およびネットワークインタフェース部B140には、エッジルータA101においては、ユーザ1を収容する回線、および、上りトンネルT20と下りトンネルT30に使用する回線を収容し、ゲートウェイルータ103においては、上りトンネルT20と下りトンネルT30に使用する回線を収容する。
また、ネットワークインタフェース部A130およびネットワークインタフェース部B140は、エッジルータA101においては、コアネットワークN200に接続される回線、および、ユーザ4を収容する回線を収容しているものとし、ゲートウェイルータ103においては、上り回線L20、および、
下り回線L30を収容しているものとする。
図3は、ゲートウェイルータ、および、DPI装置における、回線が接続されるインタフェースの説明図である。
ゲートウェイルータ103において、上りトンネルT20はインタフェースI21に接続され、上り回線L20はインタフェースI22に接続される。また、下りトンネルT30はインタフェースI31に接続され、下り回線L30はインタフェースI32に接続される。DPI装置10において、上り回線L20はインタフェースI23に接続され、下り回線L30はインタフェースI33に接続される。
図2に戻り、便宜上、本実施例、および、図2の記載においては、装置制御部110および装置制御部110に接続されるパケット転送ハードウェアの数は1であるが、クロスバスイッチ等を用いることにより、複数のパケット転送ハードウェアを、装置制御部110、あるいは、装置制御部110を含む複数の装置制御部に接続することも可能である。
また、同様に、パケット転送ハードウェアに接続されるネットワークインタフェース部についても、接続数の制限は無い。
パケット転送ハードウェア120は、送受信するパケットの出力先を検索するパケット検索部121と、パケット検索部121が検索対象とする経路テーブル122と、パケット検索部121の検索結果により決定された転送先へパケットを転送するパケット転送部123を有する。
ネットワークインタフェース部A130は、パケットを送受信するインタフェースであるパケット送受信インタフェース部131と、ネットワーク運用管理者により設定される情報を記憶する変換情報記憶部132と、送受信するパケットを解析するプロセッサであるパケット解析プロセッサ133を有する。パケット解析プロセッサ133は、プロセッサの代替としてASIC(Application Specific Integration Circuit)、および、FPGA(Field Programmable Gate Array)を使用することも可能である。
パケット解析プロセッサ133は、送受信するパケットのヘッダ情報を解析するパケット解析部134と、パケット解析部134により解析されたパケットのヘッダを、プロトコル、および、ネットワーク運用管理者の設定する情報に従って処理するパケット操作部135を有する。
以降、本実施例では、図1のF12で示すフローに焦点を当て、ユーザ1からユーザ2に対して送信されたパケットを図1に示す各装置で受信した際の詳細動作を説明する。
まず、図1のユーザ1から送信されたパケットは、ユーザを収容するエッジルータA101で受信される。
エッジルータA101のパケット解析部134は、受信したパケットがDPI検査対象パケット、即ちDPI装置へ転送すべきパケットであることを識別する。検査対象パケットの識別方法の詳細については本実施例では割愛するが、識別方法の一例としてはアクセスリストによりパケット条件を指定して識別する方法が挙げられる。
図4は、エッジルータにおいてDPI検査対象パケットの識別に用いるアクセスリストの例を示す図である。
本実施例では図4に示すアクセスリストA400を、ユーザ1からのパケットを受信するインタフェースに適用し、パケット解析部134において検査対象パケットを識別するものとしてパケットフローに対する以降の処理を説明する。
図5は、エッジルータにおけるDPI検査対象パケットに対する出力ポリシーの例を示す図である。
パケット操作部135は、アクセスリストA400に合致したパケットに対して、図5に示すネットワーク運用管理者の設定する出力ポリシーP500に従い、VXLANプロトコルによるカプセル化を実施する。カプセル化処理では、本実施例においては例としてVXLANヘッダ中のVNI(VXLAN Network Identifier)値を10に設定してカプセル化を実施する。
パケット解析プロセッサ133は、この処理によりカプセル化したパケットを、パケット転送ハードウェア120に転送する。
パケット転送ハードウェア120は、経路テーブル122に従いパケット転送処理を行い、ネットワークインタフェース部B140から上りトンネルT20にパケットを転送する。
上りトンネルT20に出力されたパケットは、コアネットワークN200を経由し、ゲートウェイルータ103に到達する。
ここで、図6と図7について説明する。
図6に示すC600は、ゲートウェイルータ103のネットワーク運用管理者による、DPI装置への出力先インタフェースを設定するための設定情報の入力イメージである。本設定C600により、受信パケット中のVNI値と、上り回線L20に対応する出力先インタフェースI22の紐付けを実施する。なお、設定例C600は本実施例における一例であり、本形式以外の設定形式であっても、受信パケットのVNI値と出力先インタフェースが紐付けされる設定形式であればよい。
図6に示す設定が実施されると、ゲートウェイルータ103の装置制御部110は、内部バスを経由してパケット解析プロセッサ133に設定情報を伝達する。
図7は、ゲートウェイルータにおける変換情報記憶部のフォーマットの例を示す図である。
パケット解析プロセッサ133は、例えば図7に示すP700のフォーマットで、変換情報記憶部132に設定情報を記憶する。P700は受信VNI値と内部識別子の組み合わせにより構成される。本実施例では、内部識別子はインタフェースI22に対応する値Xを使用するものとする。なお、Xは、インタフェースI22のみに対応する内部的なVLANIDである。
ゲートウェイルータ103の装置制御部110は、C600により設定された受信パケット中のVNI値と、上り回線L20に対応する出力先インタフェースI22の対応を示す設定情報を、パケット転送ハードウェア120の経路テーブル122にも伝達し、経路テーブル120にも図6に示す設定を実施する。
ここで、パケットフローF12の説明に戻る。
図8は、ゲートウェイルータが受信するカプセル化されたパケットのフォーマットを示す図である。
上りトンネルT20を経由してゲートウェイルータ103に到達したパケットは、パケット送受信インタフェース部131にて、図8に示すフォーマットで受信する。パケット解析部134は、パケット解析の結果、VXLANフォーマットのパケットを受信したことにより、受信したパケットがデカプセル化対象であることを識別する。
受信したパケットがデカプセル化対象であることを識別したパケット解析プロセッサ133は、パケット操作部135にて、受信パケットのデカプセル処理を実施する。このデカプセル処理の際、パケット操作部135は変換情報記憶部132を参照する。このとき、受信VNI値が10である場合には、受信VNI値から出力先インタフェースの内部VLANIDであるXへの変換処理を実施し、さらにXをVLANIDとする内部制御タグを生成する。内部制御タグは、IEEE802.1Qにて規定される形式のVLANタグである必要はなく、パケット転送ハードウェア120において、入力VLANIDがXであることを認識できる形式であればよい。パケット操作部135は、生成した内部制御タグを、デカプセル処理を実施したパケットのMACアドレスフィールドとVLANタグフィールドの間に付与する。
図9は、ゲートウェイルータのパケット操作部でデカプセル化されたパケットのフォーマット例を示す図である。
例えば、パケット操作部135が生成した内部制御タグをデカプセル処理を実施したパケットのMACアドレスフィールドとVLANタグフィールドの間に付与することにより、受信したパケットは図9に示すパケット形式となる。
図9に示すパケットは、ネットワークインタフェース部A130により、内部バスを経由してパケット転送ハードウェア120が備えるパケット検索部121に転送される。
パケット検索部121は、受信したパケットの宛先MACアドレスフィールドを参照し、受信パケットがレイヤ2転送対象のパケットであることを識別する。これは、デカプセルしたパケットは、アクセスネットワークN100にてユーザ1がエッジルータA101に送信したパケットであるため、宛先MACアドレスがエッジルータA101となっている、即ち、ゲートウェイルータ103宛ではないと判断するためである。
パケット検索部121は、レイヤ2転送を実施するために、経路テーブル122を検索対象として、パケットが入力されたインタフェースのVLANID、および、同VLANIDが属する出力先インタフェースの検索を実施する。この処理において、パケットが入力されたインタフェースのVLANIDは、ネットワークインタフェース部A130のパケット操作処理により挿入された1段目のVLANタグのVLANIDであるXであると認識される。即ち、パケット検索部121はVLANID=Xに属するインタフェースの検索を実施する。経路テーブル122には、図6で説明したXはインタフェースI22のみに対応する内部的なVLANIDであるという設定情報が反映されており、検索結果としてインタフェースI22が返される。この検索結果を元に、パケット検索部121はパケット転送部123へとパケットを転送する。
パケット転送部123は、パケットの出力先インタフェースが上り回線L20であることを認識する。この時、インタフェースI22はアクセスポートインタフェースであるため、パケットに付与されている先頭のVLANタグ、即ち、内部制御タグを削除した後、内部パスを経由して、上り回線L20が収容されているネットワークインタフェース部B140へパケットを転送する。
図10は、ゲートウェイルータのインタフェースI22から送信されるパケットのフォーマットを示す図である。
ネットワークインタフェース部B140は、上り回線L20からパケットを送信する。このときのパケットのフォーマットは、図10に示すフォーマットとなり、ユーザ1が送信したオリジナルのパケットと同じ形式となる。
以上の手続きにより、ユーザ1から送信されたパケットは、オリジナルの形式を保持したままDPI装置10に到達可能となり、課題(1)は解決される。
DPI装置10に到達したパケットは、DPI装置10が持つ機能により検査され、オリジナル形式を保持したまま下り回線L30から送信され、ゲートウェイルータ103のインタフェースI32にて受信後、再度VXLANカプセル化される。このとき、VXLANヘッダ中のVNI値は、DPI装置10により検査前と同じ10を使用してカプセル化を実施する。カプセル化されたパケットは、インタフェースI21から再度上りトンネルT20を経由して、エッジルータA101に向けて送信される。
次に、エッジルータにおいて、DPI検査対象パケットに対してVRFを用いたルーティング処理を行うための構成および動作について説明する。
図11は、ネットワーク運用管理者によるエッジルータにおける、コアネットワーク、またはアクセスネットワークの出力先VRFを設定するための設定情報の入力イメージである。
図11に示すC601は、エッジルータA101のネットワーク運用管理者による、コアネットワークN200へのVRF転送設定例である。本設定C601により、受信パケット中のVNI値と、コアネットワークN200への出力時における出力先VRF番号の紐付けを実施する。なお、設定例C601は本実施例における一例であり、本形式以外の設定形式であっても、受信パケットのVNI値と出力先VRF番号が紐付けされる設定形式であればよい。
図11に示す設定が実施されると、エッジルータA101の装置制御部110は、内部バスを経由してパケット解析プロセッサ133に設定情報を伝達する。
図12は、エッジルータにおける変換情報記憶部のフォーマット例を示す図である。
パケット解析プロセッサ133は、図12に示すP701のフォーマットで変換情報記憶部132に設定情報を記憶する。P701は受信VNI値と内部識別子の組み合わせにより構成される。本実施例では、内部識別子はVRF10に対応する値Yを使用するものとする。なお、Yは、VRF10に属する内部的なVLANIDである。
エッジルータA101の装置制御部110は、C601により設定された受信パケット中のVNI値と出力先VRF番号の対応を示す設定情報を、パケット転送ハードウェア120の経路テーブル122にも伝達し、経路テーブル120にも図11に示す設定を実施する。
ここで、パケットフローF12の説明に戻る。
図13は、エッジルータで受信する、カプセル化されたパケットのフォーマットを示す図である。
上りトンネルT20を経由してエッジルータA101に到達したパケットは、パケット送受信インタフェース部131にて、図13に示すフォーマットで受信する。
パケット解析部134は、パケット解析の結果、VXLANフォーマットのパケットを受信したことにより、受信したパケットがデカプセル化対象であることを識別する。
受信したパケットがデカプセル化対象であることを識別したパケット解析プロセッサ133は、パケット操作部135にて、受信パケットのデカプセル処理を実施する。このデカプセル処理の際、パケット操作部135は変換情報記憶部132を参照する。このとき、受信VNI値から出力VRF番号に属する内部VLAN番号であるYへの変換処理を実施し、さらにYをVLANIDとする内部制御タグを生成する。内部制御タグは、IEEE802.1Qにて規定される形式のVLANタグである必要はなく、パケット転送ハードウェア120において、入力VLANがYであることを認識できる形式であればよい。パケット操作部135は、生成した内部制御タグを、デカプセル処理を実施したパケットのMACアドレスフィールドとVLANタグフィールドの間に付与する。
図14は、エッジルータのパケット操作部でデカプセル化されたパケットのフォーマット例を示す図である。
パケット操作部135が、生成した内部制御タグを、デカプセル処理を実施したパケットのMACアドレスフィールドとVLANタグフィールドの間に付与する処理により、受信したパケットは図14に示すパケット形式となる。
内部制御タグを付与する処理に加え、パケット操作部135は、パケットの宛先MACアドレスフィールドをエッジルータA101のMACアドレスに変更する。
パケット解析プロセッサ133は、内部バスを経由してパケット転送ハードウェア120が備えるパケット検索部121に受信したパケットを、転送する。
パケット検索部121は、受信したパケットの宛先MACアドレスフィールドを参照し、受信パケットがレイヤ3転送対象のパケットであることを識別する。これは、パケット操作部135の処理により、宛先MACアドレスがエッジルータA101となっているためである。
パケット検索部121は、レイヤ3転送を実施するために、経路テーブル122を検索対象として、パケットが入力されたインタフェースのVLANID、および、宛先IPアドレスから、レイヤ3経路、および、出力先インタフェースの検索を実施する。この処理において、パケットが入力されたインタフェースのVLANIDは、パケット操作部135のパケット操作処理により挿入された1段目のVLANIDであるYであると認識される。即ち、パケット検索部121はVLANID=Yに属するVRF番号10の経路を検索対象とし、出力先インタフェースの検索を実施する。前述のとおり、YはVRF10に対応する内部的なVLANIDであるため、検索結果としてVRF番号10における出力先インタフェースが返される。この検索結果を元に、パケット検索部121はパケット転送部123へとパケットを転送する。
パケット転送部123は、パケットの出力先インタフェースが、コアネットワークN200への出力先インタフェースであることを認識する。この時、コアネットワークN200への出力先インタフェースは、アクセスポートインタフェース、またはトランクポートインタフェースである。コアネットワークN200への出力先インタフェースがアクセスポートインタフェースの場合、パケット中の先頭のVLANタグ、即ち、内部制御タグを削除した後、内部パスを経由して、コアネットワークN200に接続する回線が収容されているネットワークインタフェース部B140へパケットを転送する。コアネットワークN200への出力先インタフェースがトランクポートインタフェースの場合、先頭のVLANタグ、即ち、内部制御タグを削除した後、出力先インタフェースが扱うVLANタグを付与し、内部パスを経由して、コアネットワークN200に接続する回線が収容されているネットワークインタフェース部B140へパケットを転送する。
ネットワークインタフェース部B140は、コアネットワークN200に接続する回線からパケットを送信する。
以上の手続きにより、ユーザ1から送信されたパケットは、DPI装置10を経由して再度エッジルータA101にて受信した際に、VRF10でコアネットワークN200に転送され、課題(2)は解決される。
エッジルータA101に着目した場合、パケットフローF12はアクセスネットワークN100からコアネットワークN200の方向にパケットを転送する上りパケットフローであるのに対し、パケットフローF34は、コアネットワークN200からアクセスネットワークN100の方向にパケットを転送する下りパケットフローである。即ち、パケットフローF34は、下りトンネルT30を使用すること、および、上り回線L20と下り回線L30上のパケット転送方向が逆であることを除き、パケットフローF12と差分が無く、パケットフローF12と同等の方式が適用可能である。
パケットフローF34に関する処理については、パケットフローF12と同様の処理となるため、以下にて図面の説明のみ行い、詳細は割愛する。
図15は、エッジルータにおいてDPI検査対象パケットの識別に用いるアクセスリストの例を示す図である。
本実施例では図15に示すアクセスリストA401を、ユーザ3からのパケットを受信するインタフェース、即ち、コアネットワークN200に接続するインタフェースに適用し、パケット解析部134において検査対象パケットを識別する。
図16は、エッジルータにおけるDPI検査対象パケットに対する出力ポリシーの例を示す図である。パケット操作部135は、アクセスリストA401に合致したパケットに対して、図16に示すネットワーク運用管理者の設定する出力ポリシーP501に従い、VXLANヘッダ中のVNI値を20に設定してカプセル化を実施する。
図17に示すC602は、ゲートウェイルータ103のネットワーク運用管理者による、DPI装置への出力先インタフェースを設定するための設定情報の入力イメージ例である。本設定C602により、受信パケット中のVNI値と、下り回線L30に対応する出力先インタフェースI32の紐付けを実施する。なお、設定例C602は本実施例における一例であり、本形式以外の設定形式であっても、受信パケットのVNI値と出力先インタフェースが紐付けされる設定形式であればよい。
図17に示す設定が実施されると、ゲートウェイルータ103の装置制御部110は、内部バスを経由してパケット解析プロセッサ133に設定情報を伝達する。
図18は、ゲートウェイルータにおける変換情報記憶部のフォーマットの例を示す図である。
パケット解析プロセッサ133は、例えば図18に示すP702のフォーマットで、変換情報記憶部132に設定情報を記憶する。P702は受信VNI値と内部識別子の組み合わせにより構成される。本実施例では、内部識別子はインタフェースI32に対応する値Zを使用するものとする。なお、前記Zは、インタフェースI32のみに対応する内部的なVLANIDである。
図19に示すC603は、エッジルータA101のネットワーク運用管理者による、アクセスネットワークN100へのVRF転送設定例である。本設定C603により、受信パケット中のVNI値と、アクセスネットワークN100への出力時における出力先VRF番号の紐付けを実施する。なお、前記設定例C603は本実施例における一例であり、本形式以外の設定形式であっても、受信パケットのVNI値と出力先VRF番号が紐付けされる設定形式であればよい。
図19に示す設定が実施されると、エッジルータA101の装置制御部110は、内部バスを経由してパケット解析プロセッサ133に設定情報を伝達する。
図20は、エッジルータにおける変換情報記憶部のフォーマット例を示す図である。
パケット解析プロセッサ133は、図20に示すP703のフォーマットで変換情報記憶部132に設定情報を記憶する。P703は受信VNI値と内部識別子の組み合わせにより構成される。本実施例では、内部識別子はVRF10に対応する値Yを使用するものとする。なお、前記Yは、VRF10に属する内部的なVLANIDである。
エッジルータA101の装置制御部110は、C603により設定された受信パケット中のVNI値と出力先VRF番号の対応を示す設定情報を、パケット転送ハードウェア120の経路テーブル122にも伝達し、経路テーブル120にも図19に示す設定を実施する。
本実施例によれば、ネットワーク内に専用の装置を設けることなく、エッジルータと、ゲートウェイルータを用いて、エッジルータが受信したユーザからのパケットを、コアネットワークに接続された共用のDPI装置に転送し、共用のDPI装置において検査済のパケットをコアネットワークを介してユーザが送信したパケットの宛先、またはユーザ宛に送信することができる。
本発明の第2の実施例について、図を用いて以下に説明する。
図21は本発明の第2の実施形態例を示す図である。
エッジルータC104は、ネットワークN400aにユーザ1とユーザ2を収容し、ネットワークN500aにユーザ3とユーザ4を収容する。
エッジルータD105は、ネットワークN400bにユーザ5とユーザ6を収容し、ネットワークN500bにユーザ7とユーザ8を収容する。
エッジルータC104、および、エッジルータD105の内部構成は、第1の実施例で示したように図2に示す構成とする。
エッジルータC104とエッジルータD105間は、コアネットワークN200を介してトンネリングプロトコルを使用してトンネルT50で接続される。
パケットフローF15は、ユーザ1からユーザ5にパケットを送信した際のフローを示し、パケットフローF48は、ユーザ4からユーザ8にパケットを送信した際のフローを示している。
エッジルータC104は、ネットワークN400b宛のパケットをネットワークN400aから受信した場合、トンネルT50にパケットを出力する際に、レイヤ2トンネリングプロトコルを使用し、パケットをカプセル化して出力するものとする。また、エッジルータC104は、ネットワークN500b宛のパケットをネットワークN500aから受信した場合、トンネルT50にパケットを出力する際に、レイヤ3トンネリングプロトコルを使用し、パケットをカプセル化して出力するものとする。
図21に示すネットワークシステムにおいて、第1の実施例に示す本発明をエッジルータD105に適用することにより、エッジルータD105においてカプセル化されたパケットを受信した際に、カプセル化されたパケット中のトンネリングプロトコル識別子から出力先インタフェースへの変換処理を行い、出力先インタフェースを強制的に指定することが可能となる。詳細な処理は第1の実施例に記載済みのため割愛する。
エッジルータD105は、第1の実施例を適用することで、カプセル化されたパケット中のトンネリングプロトコル識別子から出力先インタフェースへの変換処理を行い、出力先インタフェースを強制的に指定したレイヤ2転送処理、およびトンネリングプロトコル識別子から出力VRFへの変換処理を行い、VRF経路に従ったレイヤ3転送処理が可能となる。
1 ユーザ1
2 ユーザ2
3 ユーザ3
4 ユーザ4
5 ユーザ5
6 ユーザ6
7 ユーザ7
8 ユーザ8
10 DPI装置10
F12 パケットフローF12
F15 パケットフローF15
L20 上り回線20
T20 上りトンネル20
I21 インタフェースI21
I21 インタフェースI22
I21 インタフェースI23
L30 下り回線30
T30 下りトンネル30
F31 パケットフローF31
I31 インタフェースI31
I32 インタフェースI32
I33 インタフェースI33
F34 パケットフローF34
F48 パケットフローF48
T50 トンネルT50
100 エッジルータ/ゲートウェイルータ
N100 アクセスネットワークN100
101 エッジルータA101
102 エッジルータB102
103 ゲートウェイルータ103
104 エッジルータC104
105 エッジルータD105
110 装置制御部
120 パケット転送ハードウェア
121 パケット検索部
122 経路テーブル
123 パケット転送部
130 ネットワークインタフェース部A
131 パケット送受信インタフェース部
132 変換情報記憶部
133 パケット解析プロセッサ
134 パケット解析部
135 パケット操作部
140 ネットワークインタフェース部B
N200 コアネットワークN200
N300 アクセスネットワークN300
A400 アクセスリストA400
N400a アクセスネットワークN400a
N400b アクセスネットワークN400b
A401 アクセスリストA401
P500 出力ポリシーP500
N500a アクセスネットワークN500a
N500b アクセスネットワークN500b
P501 出力ポリシーP501
C600 出力先インタフェース設定例C600
C601 出力先インタフェース設定例C601
C602 出力先インタフェース設定例C602
P700 変換情報記憶部132フォーマットP700
P701 変換情報記憶部132フォーマットP701
P702 変換情報記憶部132フォーマットP702

Claims (8)

  1. ネットワーク上でパケットの送受信を行う通信装置であって、
    ネットワークとパケットの送受信およびパケットに対する処理を行う複数のネットワークインタフェース部と、
    前記ネットワークインタフェース部から出力されたパケットに対し、経路テーブルに基づいて転送処理を行う1つ以上のパケット転送部と、通信装置の各部を制御する制御部とを有し、
    予めトンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報が入力されると、前記制御部は前記ネットワークインタフェース部の情報記憶部および前記パケット転送部の経路テーブルに前記トンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報を設定しておき、
    前記ネットワークインタフェース部は、受信したパケットをデカプセルしたパケットが有するトンネリングプロトコルの識別子が前記特定の識別子の場合には、前記パケットのヘッダ部分に内部制御用のタグを付与して前記パケット転送部に出力し、
    前記パケット転送部は、前記内部制御用のタグから経路テーブルに設定された前記トンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報を読み出して、設定された出力インタフェースへ前記内部制御用のタグを削除した前記パケットを転送することを特徴とする通信装置。
  2. 前記特定の識別子は、前記通信装置に予め設定されている検出条件を満たすパケットに対して、予め設定されたポリシーに基づき前記通信装置の出力インタフェースと対応づけられているものであることを特徴とする請求項1に記載の通信装置。
  3. 前記トンネリングプロトコルはVXLANプロトコルであり、前記特定の識別子はVNIであることを特徴とする請求項1に記載の通信装置。
  4. 前記特定の識別子と対応づける出力先インタフェースの情報は、VRFと関連付けられたインタフェース情報であることを特徴とする請求項3に記載の通信装置。
  5. ネットワークとパケットの送受信およびパケットに対する処理を行い、経路テーブルに基づいて転送処理を行う通信装置における通信方法であって、
    予めトンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報が入力されると、前記パケットに対する処理を行う際に参照する情報記憶部および前記経路テーブルに前記トンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報を設定しておき、
    受信したパケットをデカプセルしたパケットが有するトンネリングプロトコルの識別子が前記特定の識別子の場合には、前記パケットのヘッダ部分に内部制御用のタグを付与し、前記内部制御用のタグから経路テーブルに設定された前記トンネリングプロトコルの特定の識別子と、出力先インタフェースとの対応情報を読み出して、設定された出力インタフェースへ前記内部制御用のタグを削除した前記パケットを転送することを特徴とする通信方法。
  6. 前記特定の識別子は、予め設定されている検出条件を満たすパケットに対して、予め設定されたポリシーに基づき前記通信装置の出力インタフェースと対応づけられているものであることを特徴とする請求項5に記載の通信方法。
  7. 前記トンネリングプロトコルはVXLANプロトコルであり、前記特定の識別子はVNIであることを特徴とする請求項5に記載の通信方法。
  8. 前記特定の識別子と対応づける出力先インタフェースの情報は、VRFと関連付けられたインタフェース情報であることを特徴とする請求項7に記載の通信方法。
JP2016047754A 2016-03-11 2016-03-11 通信システムおよび通信方法 Active JP6636832B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016047754A JP6636832B2 (ja) 2016-03-11 2016-03-11 通信システムおよび通信方法
US15/412,228 US20170264461A1 (en) 2016-03-11 2017-01-23 Communication apparatus and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016047754A JP6636832B2 (ja) 2016-03-11 2016-03-11 通信システムおよび通信方法

Publications (2)

Publication Number Publication Date
JP2017163437A true JP2017163437A (ja) 2017-09-14
JP6636832B2 JP6636832B2 (ja) 2020-01-29

Family

ID=59788700

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016047754A Active JP6636832B2 (ja) 2016-03-11 2016-03-11 通信システムおよび通信方法

Country Status (2)

Country Link
US (1) US20170264461A1 (ja)
JP (1) JP6636832B2 (ja)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9064216B2 (en) * 2012-06-06 2015-06-23 Juniper Networks, Inc. Identifying likely faulty components in a distributed system
US9356866B1 (en) * 2014-01-10 2016-05-31 Juniper Networks, Inc. Receive packet steering for virtual networks
US10063473B2 (en) * 2014-04-30 2018-08-28 Brocade Communications Systems LLC Method and system for facilitating switch virtualization in a network of interconnected switches

Also Published As

Publication number Publication date
JP6636832B2 (ja) 2020-01-29
US20170264461A1 (en) 2017-09-14

Similar Documents

Publication Publication Date Title
US10615997B2 (en) In-vehicle gateway device
US20160359745A1 (en) Method and Apparatus for Forwarding Packet
US20210075838A1 (en) Control Method, Apparatus, Computer Program, Computer-Readable Medium and Method for Communicating Data in an Industrial Network
US6041166A (en) Virtual network architecture for connectionless LAN backbone
US8861547B2 (en) Method, apparatus, and system for packet transmission
US20210392084A1 (en) Transmission Of Packets Over A TSN Aware Network
CN109120492B (zh) 一种存储单元、源交换机、报文转发方法及镜像系统
US9973444B2 (en) Relay system and switching device
WO2017203902A1 (ja) ゲートウェイ装置、車載ネットワークシステム、転送方法及びプログラム
KR20070027523A (ko) 액세스 네트워크 시스템 및 가입자국 장치와 네트워크종단장치
KR20160122226A (ko) 통신 시스템, 제어 장치, 통신 제어 방법 및 프로그램
EP3032782B1 (en) Packet transmission method and apparatus
CN111133701B (zh) 用于时间敏感网络的可靠直通交换
JP5267065B2 (ja) 通信装置およびネットワーク試験方法
CN108259297B (zh) 一种报文处理方法及装置
WO2020088379A1 (zh) 一种业务流处理方法及装置
JP6636832B2 (ja) 通信システムおよび通信方法
CN112910791B (zh) 导流系统及其方法
CN112653628B (zh) 一种erspan的方法和网络设备
CN112737889B (zh) 流量处理方法、流量监控方法、装置、系统及存储介质
WO2018210311A1 (zh) 以太总线交换机、以太总线架构以及数据通讯方法
US20160127271A1 (en) Relay System and Switching Device
CN112910790B (zh) 导流系统及其方法
CN214799523U (zh) 导流系统
Nykänen EVPN in Private Cellular Networks

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160314

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170120

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170126

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20180223

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20180314

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180712

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190524

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190611

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190806

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191219

R150 Certificate of patent or registration of utility model

Ref document number: 6636832

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250