JP2018056849A - 通信制御方法、通信制御装置及びコンピュータプログラム - Google Patents

通信制御方法、通信制御装置及びコンピュータプログラム Download PDF

Info

Publication number
JP2018056849A
JP2018056849A JP2016192223A JP2016192223A JP2018056849A JP 2018056849 A JP2018056849 A JP 2018056849A JP 2016192223 A JP2016192223 A JP 2016192223A JP 2016192223 A JP2016192223 A JP 2016192223A JP 2018056849 A JP2018056849 A JP 2018056849A
Authority
JP
Japan
Prior art keywords
route
network
specific
communication
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016192223A
Other languages
English (en)
Other versions
JP6416839B2 (ja
Inventor
麻穂子 田村
Mahoko Tamura
麻穂子 田村
良尚 栗原
Yoshinao KURIHARA
良尚 栗原
一希 大戸
Kazuki Oto
一希 大戸
賢斗 池田
Kento Ikeda
賢斗 池田
紘志 迫田
Hiroshi Sakoda
紘志 迫田
孝則 水口
Takanori Mizuguchi
孝則 水口
泰弘 畑谷
Yasuhiro Hataya
泰弘 畑谷
和希 佐藤
Kazuki Sato
和希 佐藤
要 西塚
Kaname Nishizuka
要 西塚
知広 木村
Tomohiro Kimura
知広 木村
真士 櫻田
Shinji Sakurada
真士 櫻田
今日子 藤原
Kyoko Fujiwara
今日子 藤原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2016192223A priority Critical patent/JP6416839B2/ja
Priority to EP17855890.4A priority patent/EP3499814A4/en
Priority to US16/332,657 priority patent/US11582142B2/en
Priority to PCT/JP2017/033913 priority patent/WO2018061935A1/ja
Publication of JP2018056849A publication Critical patent/JP2018056849A/ja
Application granted granted Critical
Publication of JP6416839B2 publication Critical patent/JP6416839B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/306Route determination based on the nature of the carried application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】特定の装置からインターネットへのトラヒックに対する引き込みを容易に行うこと。
【解決手段】インターネットを構成する特定のネットワークと、特定のネットワークと接続する特定の装置を収容する第1ネットワークと、特定のネットワークと第1ネットワークとの間に設けられた第2ネットワークと、特定のネットワークと第1ネットワークとの間で送信されるパケットに基づいて所定の処理を行う処理部と、を含む通信システムにおいて、経路制御をする通信制御方法であって第1ネットワークから特定のネットワークに向かう経路を第2ネットワークにおいて分岐させるように定めた第1の経路情報により分岐させ、分岐させた経路の第1経路を、処理部を経由する経路にし、分岐させた経路の第2経路を、特定のネットワークに向かう経路にするように経路を制御する通信経路設定過程を通信システムの経路設定部に実施させる通信制御方法。
【選択図】図1

Description

本発明は、IP通信における経路引き込み技術に関する。
インターネットの拡大に伴い、不祥事発生時の企業サイトへのアクセス集中やDDoS(Distributed Denial of Service)攻撃に代表されるような一時的なトラヒック増の発生が顕在化しており、企業ネットワーク等のインターネット利用者網の可用性確保に問題を与えている(例えば、特許文献1参照)。このような一時的なバーストトラヒックからユーザ網を守るための手段として、ユーザ網の外にトラヒックをオフロードするためのCDN(Content Delivery Network)や、クラウド型DDoS防御サービス等のネットワークサービスが一般化している。
これらのネットワークサービスは、DNS(Domain Name System)や、BGP(Border Gateway Protocol)を利用し、本来インターネット利用者網内の特定の装置に向かうべきトラヒックをネットワークサービス提供事業者網に意図的に引き込み、網内に配備された攻撃緩和装置等にトラヒックを充てることによりサービスを実現している。
DNSを利用した引き込みの場合には、ユーザのホスト名に相対するIPアドレスをサービス提供事業者網内に設置したNAT(Network Address Translation)やプロキシのIPアドレスにマップし、事業者網へトラヒックを誘導する。BGPを利用した引き込みの場合には、より詳細な経路を優先的に選択するBGPの仕組みを利用し、ユーザが通常広告しているより細かいアドレスブロックを経路広告することによってサービス事業者網へトラヒックを引き込んでいる。
上述の事業者網でのネットワークオフロードを目的としたDNS及びBGPによる引き込みとは異なるが、網内に到達したトラヒックを意図的に通常の経路とは異なる方向に誘導する手法としてPBR(Policy-Based Routing)がある。PBRでは、対象トラヒックが通過するルータのインタフェースに、対象トラヒックにマッチするようポリシーを指定し、同一ルータに所属する任意の別インタフェースへ転送するよう指示することが可能である。
特開2014−229982号公報
DNSを利用した引き込み手法においては、実際の送信先であるユーザホストとの間にサービス事業者のNATやプロキシが介在する際に、送信先、送信元のアドレスをサービス事業者のアドレスに変換する。このため、送信先に到達するパケットの送信元はサービス事業者となり、この通信に対する戻りも自ずとサービス事業者網に引込まれることになる。このように、ユーザからのインターネットへのトラヒックもサービス事業者網に引き込むことが可能である。それに対して、元のアドレス情報がNATやプロキシによって隠蔽されるため、ユーザ側でのアクセス解析が困難になる。また、トラヒックの誘導がDNSの名前解決に依存しているため、DNSを利用せずにユーザのIPアドレスを直接指定してアクセスするトラヒックに対しては無効である。
これに対し、BGPによる引き込みは、ユーザのIPアドレスをそのまま利用するため、オリジナルのアドレス情報が不明となる点やIPアドレスを直接指定するアクセスに対して無効となるという問題はない。ただし、BGPによる経路制御がトラヒックの送信先に対してのみ有効であるため、ユーザからのインターネットへのトラヒックをサービス事業者網に引き込むことができない。したがって、この手法をステートフルファイアーウォールのような通信の双方向を意識したネットワークサービスへ利用することが困難であり、ネットワークサービス事業者が提供可能なサービスの制約となっている。
DNS及びBGPによるいずれの手法も不特定多数のインターネットから特定の装置宛てのアクセスに対するトラヒック引き込み手法であり、特定の装置から不特定多数のインターネットへのトラヒックに対する引き込みはできない。
また、PBRを用いて特定トラヒックを誘導する手法であるが、PBRでは該当トラヒックが通過するインタフェースにポリシーを設定する必要があるため、多拠点もしくは動的な設定変更が困難である。
上記のように、従来の技術では、特定の装置から不特定多数のインターネットへのトラヒックに対する引き込みを容易に行うことができないという問題があった。
上記事情に鑑み、本発明は、特定の装置からインターネットへのトラヒックに対する引き込みを容易に行うことができる技術の提供を目的としている。
本発明の一態様は、インターネットを構成する特定のネットワークと、前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、前記特定のネットワークと前記第1ネットワークとの間で送信されるパケットに基づいて所定の処理を行う処理部と、を含む通信システムにおいて、経路制御をする通信制御方法であって、前記第1ネットワークから前記特定のネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた第1の経路情報により分岐させ、分岐させた経路の第1経路を、前記処理部を経由する経路にし、分岐させた経路の第2経路を、前記特定のネットワークに向かう経路にするように経路を制御する通信経路設定過程を前記通信システムの経路設定部に実施させる通信制御方法である。
本発明の一態様は、上記の通信制御方法であって、前記処理部は、前記特定のネットワーク及び前記第1ネットワーク以外のネットワークに収容されており、前記第1経路を介して前記特定のネットワークに向かう通信が前記処理部に向かうように前記経路設定部が制御する過程をさらに含む。
本発明の一態様は、上記の通信制御方法であって、前記通信経路設定過程において、前記特定のネットワークと前記第1ネットワークとの間の経路を制御する第1の経路制御プロトコルを利用して、以下に示す第1の経路情報を前記経路設定部が出力させる過程をさらに含み、前記第1の経路情報には、前記特定の装置からの通信の少なくとも一部が前記第1経路に設けられた中継装置に転送されるように転送先を指定する情報が含まれている。
本発明の一態様は、上記の通信制御方法であって、前記第1経路の一部の経路においてトンネルを形成するように前記経路設定部が制御する過程をさらに含み、前記処理部を経由する通信のパケットは、前記トンネルを経由して転送される。
本発明の一態様は、上記の通信制御方法であって、前記処理部が設けられたネットワークには、前記特定の装置からの通信の少なくとも一部の引き込み先が複数備えられ、前記引き込み先毎にトンネルを形成するように前記経路設定部が制御する過程をさらに含む。
本発明の一態様は、上記の通信制御方法であって、前記通信経路設定過程において、前記特定のネットワークから前記第1ネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた第2の経路情報により分岐させ、分岐させた経路の第3経路を、前記処理部を経由する経路にし、分岐させた経路の第4経路を、前記第1ネットワークに向かう経路にするように経路を制御する制御過程をさらに含む。
本発明の一態様は、上記の通信制御方法であって、前記制御過程において、前記第3経路を、前記処理部を経由して前記特定の装置のアドレスを含む所定のアドレス空間に向かう経路にし、前記第4経路を、前記第1ネットワークのアドレス空間から前記所定のアドレス空間が除かれた前記第1ネットワークに向かう経路にするように経路を制御する。
本発明の一態様は、上記の通信制御方法であって、前記第3経路を介して前記特定の装置に向かう通信が前記処理部に向かうように前記経路設定部が制御する過程をさらに含む。
本発明の一態様は、上記の通信制御方法であって、前記通信経路設定過程において、前記特定のネットワークと前記第1ネットワークとの間の経路を制御する第2の経路制御プロトコルを利用して、次に示す第2の経路情報及び第3の経路情報を前記経路設定部が出力させる過程をさらに含み、第2の経路情報には、前記第1ネットワークのアドレス空間を示すアドレス情報が含まれ、第3の経路情報には、前記第1ネットワークのアドレス空間より狭くなるように設定された所定のアドレス空間を示すアドレス情報が含まれている、請求項6から8のいずれか一項に記載の通信制御方法。
本発明の一態様は、インターネットを構成する特定のネットワークと、前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、前記特定のネットワークと前記第1ネットワークとの間で送信されるパケットに基づいて所定の処理を行う処理部と、を含む通信システムにおいて、経路制御をする通信制御装置であって、前記第1ネットワークから前記特定のネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により分岐させ、分岐させた経路の第1経路を、前記処理部を経由する経路にし、分岐させた経路の第2経路を、前記特定のネットワークに向かう経路にするように経路を制御する経路設定部を備える通信制御装置である。
本発明の一態様は、インターネットを構成する特定のネットワークと、前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、前記特定のネットワークと前記第1ネットワークとの間で送信されるパケットに基づいて所定の処理を行う処理部と、を含む通信システムのコンピュータに、前記第1ネットワークから前記特定のネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により分岐させ、分岐させた経路の第1経路を、前記処理部を経由する経路にし、分岐させた経路の第2経路を、前記特定のネットワークに向かう経路にするように経路を制御する通信経路設定ステップを実行させるためのコンピュータプログラムである。
本発明により、特定の装置からインターネットへのトラヒックに対する引き込みを容易に行うことが可能となる。
本実施形態に係る通信システム1の構成図である。 ASY210内の処理の流れを示すフローチャートである。 本実施形態に係る通信システム1による下り経路における対策機能の動作を示すシーケンス図である。 本実施形態に係る通信システム1による下り経路における対策機能を起動中の通信経路を示す説明図である。 本実施形態に係る通信システム1による上り経路における対策機能の動作を示すシーケンス図である。 本実施形態に係る通信システム1による上り経路における対策機能を起動中の通信経路を示す説明図である。 変形例における通信システム1による上り経路における対策機能を起動中の通信経路を示す説明図である。
以下、本発明の一実施形態を、図面を参照しながら説明する。
図1は、本実施形態に係る通信システム1の構成図である。図1に示す通信システム1には、AS(Autonomous System:自律システム)X110、ASY210、ASZ310及びネットワーク400(特定のネットワーク)が含まれている。ネットワーク400は、インターネットを構成する特定のネットワークであり1又は複数の自律システムにより構成される。ネットワーク400は、例えばルータ401を備えて構成されており、ネットワーク400が備える他のルータ(不図示)間で経路情報が共有される。
ASX110、ASY210及びASZ310のそれぞれは、自律システム(AS)である。ASX110、ASY210及びASZ310のそれぞれには、ネットワーク100(第1ネットワーク)、ネットワーク200及びネットワーク300(第2ネットワーク)が対応づけられている。
ここで、ASX110に対応するネットワーク100は、ネットワークアドレス(プレフィクス)「10.0.0.0/21」で識別されるものとする。ネットワーク100内にネットワーク101が設けられており、ネットワーク101は、ネットワークアドレス(プレフィクス)「10.0.0.0/24」で識別されるものとする。
ASX110は、ルータ111及び対象装置120(特定の装置)を備える。
対象装置120は、例えば攻撃的なトラヒックを成す通信の送信先にあたる被攻撃対象の通信装置である。また、対象装置120は、例えばネットワーク400に向けて通信を行う通信装置である。対象装置120は、ネットワーク101内のIPアドレス(ネットワークアドレス)が割り付けられており、例えば、そのアドレスが「10.0.0.1」で識別されるものとする。
ルータ111は、ネットワーク100が備える他のルータ(不図示)間で経路情報を共有し、ASX110内の通信の経路制御を実施する。ルータ111は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ111は、論理パスL13を介してASZ310に接続される。ルータ111は、対象装置120宛てのトラヒックを対象装置120に転送し、対象装置120から送信されたトラヒックをASZ310に転送する。
ASZ310は、ルータ311及びルータ312を備える。ルータ311及びルータ312のそれぞれは、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ311は、論理パスL34を介してネットワーク400のルータ401に接続される。また、ルータ311は、論理パスL23を介してASY210に接続される。
ルータ312は、論理パスL13を介してASX110に接続される。また、ルータ312は、論理パスを成すトンネルT23を介してASY210に接続される。なお、トンネルT23は、ASY210とASZ310との間でIPパケットを透過的に中継させるものであり、例えば、カプセル化されたIPパケットを中継する方式(例えば、GRE:Generic Routing Encapsulation)で構成されてもよい。ルータ312は、メインルーティングテーブルと、サービス提供装置222に対応するVRF(Virtual Routing and Forwarding)テーブルを有する。
なお、ルータ312のVRFテーブルには、対象装置120からのパケットがASY210に流れるようにデフォルトルートに「ルータ212」、対象装置120宛てのパケットが対象装置120に転送されるように「ルータ111」をそれぞれ指定するように設定されているものとする。対象装置120宛ての経路の指定方法としては、ルータ312のメインルーティングテーブルから該当する対象装置120の経路を動的にコピー、もしくは静的に設定することが考えられる。
ルータ311及びルータ312の各ルータは、互いに経路情報を共有し、ASZ310内の通信の経路制御を実施する。
ASY210は、ルータ211、ルータ212、通信制御装置221、及びサービス提供装置222(処理部)を備える。ルータ211とルータ212は、外部のネットワークであるネットワーク300に接続されており、接続先のネットワーク300に対応するASZ310に対して経路情報を広告する。例えば、ルータ211は、論理パスL23を介してASZ310に接続される。ルータ212は、論理パスを成すトンネルT23を介してASZ310に接続される。
なお、ルータ212には、サービス提供装置222にパケットが流れるようにデフォルトルートに「サービス提供装置222」、対象装置120宛てのパケットが対象装置120に転送されるように「ルータ312」をそれぞれ指定するようにルーティングテーブルが設定されているものとする。ここで、サービス提供装置222がL3装置の場合には、デフォルトルートがサービス提供装置222と設定されるが、サービス提供装置222がL2装置の場合には、デフォルトルートにサービス提供装置222の先にあるルータが設定される。なお、図1では、ルータ211とルータ212を分けて構成した場合を示しているが、一体の装置で構成することを制限するものではなく、ネットワーク200内の接続は図示する以外の構成にしてもよい。
通信制御装置221は、通信システム1における通信経路を制御して、対象装置120宛ての攻撃的なトラヒックによる影響を軽減させるように制御する。また、通信制御装置221は、通信システム1における通信経路を制御して、対象装置120からネットワーク400へのトラヒックを自ネットワークに引き込むように制御する。
例えば、通信制御装置221は、経路設定部2211及び通信制御部2212を備える。経路設定部2211は、ネットワーク400からネットワーク101に向かう通信の経路(以下「下り経路」という。)と、ネットワーク101からネットワーク400に向かう通信の経路(以下「上り経路」という。)の設定を行う。
具体的には、経路設定部2211は、ネットワーク400とネットワーク101との間の通信経路にあるネットワーク300において、上り経路を分岐させるようにASZ310を制御する。経路設定部2211は、分岐させた経路の第1経路を、ASY210が備えるルータ212に向かう経路にする。また、経路設定部2211は、分岐させた経路の第2経路を、ルータ311を介して、ネットワーク400に向かう経路にする。経路設定部2211は、上記のように定めた経路情報(第1の経路情報)を利用して、上り経路を動的に制御する。例えば、経路設定部2211は、上り経路においてBGP Flowspec(第1の経路制御プロトコル)を利用する。
また、経路設定部2211は、第1経路の一部の経路においてトンネルを形成するように制御する。具体的には、経路設定部2211は、ルータ212に対してトンネルを形成するように制御する。これにより、ルータ212と、ルータ312との間にトンネルが形成される。
また、経路設定部2211は、ネットワーク400とネットワーク101との間の通信経路にあるネットワーク300において、下り経路を分岐させるようにASZ310を制御する。経路設定部2211は、分岐させた経路の第3経路を、対象装置120に向かう経路にする。また、経路設定部2211は、分岐させた経路の第4経路を、ネットワーク101のアドレス空間から対象装置120のアドレス空間が除かれたネットワーク101に向かう経路にする。すなわち、経路設定部2211は、第4経路を、ネットワーク101のアドレス空間(10.0.0.0/24)から対象装置120のアドレス空間(10.0.0.1)を除いた残りのアドレス空間のいずれかに向かう経路にする。経路設定部2211は、上記のように定めた経路情報を利用して、下り経路を動的に制御する。
例えば、経路設定部2211は、下り経路においてBGP(第2の経路制御プロトコル)を利用する。BGPを利用した手法としては、段落0007に記載の公知の技術(例えば、特開2014−229982号公報に記載の技術)が用いられてもよいし、上記のようにBGPを利用して、分岐させた経路の第3経路が所定のアドレス空間に割り付けられた対象装置120に向かう経路、分岐させた経路の第4経路がネットワーク101のアドレス空間から対象装置120のアドレス空間を除いたネットワーク101のアドレス空間に向かう経路とする技術が用いられてもよい。
前記第3経路には、前記所定のアドレス空間に向かう通信を制限するサービス提供装置222が設けられており、予め定められた制約条件を満たす場合に前記第3経路を介して前記所定のアドレス空間に向かう通信をサービス提供装置222により制限し、前記制約条件を満たさない場合に前記第3経路を介して前記所定のアドレス空間に向かう通信を許可するように、通信制御部2212は、サービス提供装置222を制御する。
サービス提供装置222は、ASY210に設けられており、ASZ310から引き込んだパケットに対して所定の処理を行う。所定の処理の一例として、例えばWebフィルタリング、アンチウイルス、アンチスパム及びIDS(Intrusion Detection System)/IPS(Intrusion Prevention System)等のセキュリティ処理が挙げられる。ここで、セキュリティ処理による処理の一例として、サービス提供装置222は、所定の条件に従い通信を制限する。サービス提供装置222は、予め定められた制約条件を満たす場合に、対象装置120に向かう通信を制限し、制約条件を満たさない場合に、対象装置120に向かう通信を許可する。
サービス提供装置222における上記の処理は、通信制御装置221からの制御に応じて実施されるように構成してもよい。サービス提供装置222は、例えばUTM(Unified Threat Management)であってもよいし、ステートフルファイアーウォール、トランスペアレントキャッシュ、DPI(Deep Packet Inspection)、URLフィルタ及びWPA等の何れかの機能を有していてもよい。本実施形態では、サービス提供装置222が、所定の処理としてセキュリティ処理を行う場合を例に説明する。
次に、ASY210内の処理について説明する。図2は、ASY210内の処理の流れを示すフローチャートである。
通信制御装置221は、ASX110において検出された通信状態をそれぞれ指定するデータと、サービス提供装置222において検出された通信状態をそれぞれ指定するデータと、を取得する(ステップS10)。通信制御装置221は、取得したデータによりASX110の通信状態を判定する(ステップS20)。
ステップS20の判定において、異常なトラヒックが検出され、かつ、対策機能が起動していない場合、通信制御装置221は、サービス提供装置222とASZ310における通信経路の状態を制御して対策機能を起動させる(ステップS20−起動)。対策機能の起動方法の詳細については後述する(ステップS30)。サービス提供装置222は、上り経路又は下り経路においてASZ310を経て供給されるパケットをそれぞれ判定し、判定結果に応じてセキュリティ処理を行う(ステップS40)。例えば、下り経路においては、サービス提供装置222は、予め定められた制約条件を満たす場合に当該パケットを制限し、制約条件を満たさない場合に当該パケットを許可するというフィルタ処理を実施する。
一方、対策機能が起動中にあり、ステップS20の判定において、異常なトラヒックが検出され続けている場合、ステップS40の処理により、通信制御装置221は、対策機能を継続させる(ステップS20−継続)。
さらに、対策機能が起動中にあり、ステップS20の判定において、異常なトラヒックが検出されなくなった場合、通信制御装置221は、起動中の対策機能を解除させて(ステップS20−終了)、通信経路を、対策機能を起動させる前の平常時の状態に戻し、サービス提供装置222による処理を終了させる(ステップS50)。
上記の手順により、通信システム1は、攻撃的な通信のトラヒックを軽減させることができる。なお、上記の手順では、平常時と対策時を切り替える手順を含めているが、恒常的に対策を実施することを制限するものではない。
次に、図3及び図4を参照して、通信システム1による下り経路における対策機能について説明する。図3は、本実施形態に係る通信システム1による下り経路における対策機能の動作を示すシーケンス図である。
(平常時の通信パスの設定)
最初に平常時の通信パスが設定される。ASX110は、ASZ310に経路情報M21A1を広告する。ASX110が広告する経路情報M21A1は、例えばプレフィクスに「10.0.0.0/21」、ASパス(AS−PATH)に「X」、ネクストホップ(Next−hop)に「ルータ111」をそれぞれ指定するデータを含む。ASZ310は、経路情報M21A1の受信に応じて、ASZ310内で経路情報を共有するとともに、ネットワーク400に経路情報M21A2を広告する。
ASZ310が広告する経路情報M21A2は、例えばプレフィクスに「10.0.0.0/21」、ASパスに「ZX」、ネクストホップに「ルータ311」をそれぞれ指定するデータを含む。なお、ASパスで指定する「X」、「Y」、「Z」のそれぞれは、ASX110、ASY210、ASZ310を示す。例えば、上記のように「ZX」と記載したASパスは、「X」、「Z」の順にリスト化されるものとする。以下の説明においても同様とする。
ネットワーク400内のルータは、上記の経路情報M21A2を取得して、保持している経路情報を更新する。
(対策機能を起動させるパス設定)
通信制御装置221は、ルータ211又はサービス提供装置222を制御して、経路情報M32DFを生成させる。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「YX」、ネクストホップに「ルータ211」をそれぞれ指定するデータを含む。さらに、通信制御装置221は、経路情報M24DFを生成する。例えば、経路情報M24DFは、プレフィクスに「10.0.0.0/24」、ASパスに「YX」、ネクストホップに「ルータ111」をそれぞれ指定するデータを含む。上記のASパスの指定において、「X」をASパスの先頭につけることで、ASX110側からASパスを広告することなく、対策用のパスを設定する。
そして、通信制御装置221は、経路情報M32DFと経路情報M24DFとをルータ211からASZ310に広告させる。
なお、上記の経路情報M32DFには、プレフィクスに例えば「10.0.0.1/32」と指定した所定のアドレス空間を示すアドレス情報が含まれ、所定のアドレス空間がネットワーク101(又はネットワーク100)のアドレス空間より狭くなるように設定される。経路情報M24DFには、ネットワーク101(又はネットワーク100)のアドレス空間を示すアドレス情報が含まれている。経路情報M24DFに、さらに経路情報M32DFが優先的に選択されるようにする情報を含むように構成してもよい。
ASZ310は、経路情報M32DFと経路情報M24DFの受信に応じて、ASZ310内で経路情報を共有するとともに、ネットワーク400に経路情報M24DF1を広告する。例えば、経路情報M24DF1は、プレフィクスに「10.0.0.0/24」、ASパスに「ZYX」、ネクストホップに「ルータ311」をそれぞれ指定するデータを含む。
ネットワーク400内のルータは、上記の経路情報M24DF1を取得して、保持している経路情報を更新する。
(ネットワーク400から受信するパケットの転送)
図4は、本実施形態に係る通信システム1による下り経路における対策機能を起動中の通信経路を示す説明図である。図3と図4を参照して説明する。
ASZ310は、ネットワーク400のルータ401からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ケースA1:対象装置120宛の攻撃的な通信ではないパケットを、ASZ310が受信した場合について
ASZ310は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32Aを受信した場合に、受信したパケットP32AをASY210に転送する。ASY210は、パケットP32Aを取得してサービス提供装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的な通信のパケットではないと判定された場合、サービス提供装置222は、トンネルT23を介して、ASZ310にパケットP32Aを転送する。ASZ310は、論理パスL13を介して、ASX110にパケットP32Aを転送する。ASX110は転送されたパケットP32Aを取得して、対象装置120がパケットP32Aを受信する。
ケースA1D:対象装置120宛の攻撃的な通信のパケットを、ASZ310が受信した場合について
ASZ310は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32DDAを受信した場合に、上記のケースA1の場合と同様に、受信したパケットP32DDAをASY210に転送する。ASY210は、パケットP32DDAを取得してサービス提供装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的なパケットであると判定された場合、サービス提供装置222は、当該パケットP32DDAを破棄する。
ケースA3:対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットを、ASZ310が受信した場合について
ASZ310は、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Aを受信した場合に、受信したパケットP24AをASX110に転送する。ASX110は転送されたパケットP24Aを取得する。
ケースA4:「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットを、ASZ310が受信した場合について
ASZ310は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Aを受信した場合に、受信したパケットP21AをASX110に転送する。ASX110は転送されたパケットP21Aを取得する。
上記のとおり、上記の実施形態の通信システム1は、下り経路において以下の2つの経路についてBGPを利用して経路広告する。
1.ネクストホップを、サービス提供装置222又はASY210のIPアドレスを指定した、「/32」(対象装置120のIPアドレス)の経路。
2.ASパスにASX110を追加し、ネクストホップをASX110のルータ112のIPアドレスを指定した「/24(対象装置120を含む、プレフィクスを「/24」以上で指定するIPアドレス空間)」の経路。
次に、図5及び図6を参照して、通信システム1による上り経路における対策機能について説明する。図5は、本実施形態に係る通信システム1による上り経路における対策機能の動作を示すシーケンス図である。
(平常時の通信パスの設定)
最初に平常時の通信パスが設定される。ネットワーク400は、ASZ310に経路情報M34A1を広告する。ASZ310は、経路情報M34A1の受信に応じて、ASZ310内で経路情報を共有するとともに、ASX110に経路情報M34A2を広告する。ASX110内のルータは、上記の経路情報M34A2を取得して、保持している経路情報を更新する。
(対策機能を起動させるパス設定)
通信制御装置221は、ルータ211又はサービス提供装置222を制御して、経路情報FS1を生成させる。経路情報FS1は、ルータ212への転送対象となるパケットを指定するデータを含む。例えば、経路情報FS1は、送信元IPアドレス(srcIP)、送信先IPアドレス(dst IP)、送信元ポート番号(src Port)、送信先ポート番号(dst Port)のいずれか又はこれらの組み合わせで指定が可能である。このようにして、上り経路における対策用のパスを設定する。そして、通信制御装置221は、経路情報FS1をルータ211からASZ310に広告させる。ASZ310は、経路情報FS1の受信に応じて、ASZ310内で経路情報を共有する。
(ネットワーク100から受信するパケットの転送)
図6は、本実施形態に係る通信システム1による上り経路における対策機能を起動中の通信経路を示す説明図である。図5と図6を参照して説明する。
ASZ310は、ネットワーク100のルータ111からパケットを受信すると、当該パケットの送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号のいずれか又はこれらの組み合わせに応じて以下に示すように転送処理をする。なお、図5及び図6の説明では、ASZ310が、受信したパケットの送信元IPアドレスに応じて転送処理を行う場合について説明する。
ケースB1:経路情報で転送が指定されていないパケット(送信元IPアドレスが対象装置120でないパケット)を、ASZ310が受信した場合について
ASZ310は、送信元IPアドレスが対象装置120でないパケットPAを受信した場合には、通常の経路(メインルーティングテーブルに従った経路)でパケットPAをネットワーク400に転送する。ネットワーク400は転送されたパケットPAを取得して、送信先の装置がパケットPAを受信する。
ケースB2:経路情報で転送が指定されているパケット(送信元IPアドレスが対象装置120のパケット)を、ASZ310が受信した場合について
ASZ310は、送信元IPアドレスが対象装置120のパケットPA1を受信した場合には、受信したパケットPA1をVRFに転送する。VRFは、VRFルーティングテーブルに従って、転送されたパケットPA1をASY210に転送する。ASY210は、パケットPA1を取得してサービス提供装置222においてセキュリティ処理を行う。
セキュリティ処理の結果、正当なパケット(例えば、攻撃的な通信のパケットではないパケット)と判定された場合、サービス提供装置222は、パケットPA1をルータ211に転送する。なお、正当なパケット(例えば、攻撃的な通信のパケットではないパケット)と判定されなかった場合、サービス提供装置222はパケットPA1を破棄する。ルータ211は、論理パスL23を介して、ASZ310にパケットPA1を転送する。ASZ310は転送されたパケットPA1を取得して、取得したパケットPA1をネットワーク400に転送する。ネットワーク400は転送されたパケットPA1を取得して、送信先の装置がパケットPA1を受信する。
以上のように構成された通信システム1によれば、特定の装置からインターネットへのトラヒックに対する引き込みを容易に行うことができる。具体的には、BGP Flowspecの機能を利用して、通信制御装置221が、対象装置120からの通信をASZ310に向かうように経路広告を行う。これにより、特定の装置からインターネットへのトラヒックに対する引き込みを容易に行うことが可能になる。
また、DNSにNATやプロキシを組み合わせて利用した時の課題であったオリジナルのIPアドレスの透過性を確保、ユーザIPアドレスを指定した直接アクセスへの対策が可能になる。また、BGP利用では実現できなかったユーザからインターネットに向かうトラヒックの引き込み、DNS及びBGPのいずれを利用しても実現できなかった特定の装置からインターネット向けの通信の引き込みが可能になる。
この透過的、かつ、双方向で引き込んだトラヒック経路上であればステートフルファイアーウォール等の通信の双方向を意識する装置の導入が可能であり、あたかもユーザ網内の当該ホストに対してインラインで装置を組み込むのと同様の構成をユーザ網外で実現することができる。すなわち、現状ユーザ宅内に配備することでしか利用できなかった装置やサービスをユーザ網外のネットワーク上への展開が可能になり、ユーザにとっては宅内に装置を持たない利点を享受できるとともに物理的な宅内工事から解放されるという利点がある。
また、通信システム1では、下り経路において2つの経路を設けたことにより、上記図3に示すように通信経路を指定する経路制御が可能となる。このように、通信システム1は、ASX110におけるルータの設定変更を必要とすることなく、低遅延のDDoS対策サービスの提供を可能にする。これにより、通信システム1は、通信システムの利便性を高めることができる。
<変形例>
通信システム1において、トラヒックのループを回避するために、ルータ312にて上位ルータ(例えば、ルータ311)に接続するインタフェースにおいてBGP Flowspecで広告された経路が有効とならないようにフィルタを設定してもよい。
図1では、対象装置120が一台であるが、対象装置120は複数台であってもよい。
通信制御装置221は、通信制御部2212を備えないように構成されてもよい。
本実施形態では、対象装置120のネットワークが一つのASである場合を例に説明したが、対象装置120のネットワークはASでなくてもよい。
本実施形態では、ASY210と、ASZ310と、がそれぞれ独立のASである場合を例に説明したが、ASY210と、ASZ310とが一つのASとして構成されてもよい。
本実施形態では、各ルータ(例えば、ルータ、VR及びVRF)のルーティングテーブルが静的に設定されている場合を例に説明したが、各ルータのルーティングテーブルは動的に設定されてもよい。
本実施形態では、対策機能の起動条件として、異常なトラヒックが検出され、かつ、対策機能が起動していない場合に起動させる構成を示したが、対策機能の起動条件はこれに限定される必要はない。例えば、通信制御装置221が外部API(Application Programming Interface)を備えている場合には、API経由での外部プログラムからの起動指示を対策機能の起動条件としてもよいし、手動による起動指示を対策機能の起動条件としてもよい。これにより、必ずしも異常なトラヒックが検出された場合に限らず、正常トラヒックに対しても対策機能の起動が可能になる。
サービス提供装置222は、所定の処理として、セキュリティ処理以外の処理を行うように構成されてもよい。例えば、サービス提供装置222は、トランスペアレントキャッシュの処理を行ってもよいし、WPAの処理を行ってもよい。サービス提供装置222がトランスペアレントキャッシュの処理を行う場合、サービス提供装置222は対象装置120と、ネットワーク400との間でキャッシュ装置として機能する。また、サービス提供装置222がWPAの処理を行う場合、サービス提供装置222は対象装置120と、ネットワーク400との間で行われる通信の少なくとも一部の通信におけるパケットを暗号化する装置として機能する。
上記のように、サービス提供装置222は、セキュリティ以外の用途に利用することができる。これにより、利便性を向上させることができる。
通信システム1において、サービス提供装置222は、ASY210内に複数台備えられてもよい。このように構成される場合、ASY210内においてサービス提供装置222毎に一台のルータ212、又は、一台のバーチャルルータが備えられる。ASY210内においてサービス提供装置222毎に一台のルータ212、又は、一台のバーチャルルータが備えられることに応じて、ASZ310内において、ルータ212毎、又は、バーチャルルータ毎に対応付けられたルータ312、又は、バーチャルルータが備えられる。そして、対応付けられたルータ間はそれぞれ、トンネルで接続される。図7に具体的な構成を示す。なお、図7では、ASY210内及びASZ310内にバーチャルルータが備えられる場合を例に説明する。
図7は、変形例における通信システム1による上り経路における対策機能を起動中の通信経路を示す説明図である。図7に示すように、ASY210は、ルータ211、ルータ212、通信制御装置221、及び複数のサービス提供装置222−1、222−2を備える。ここで、ルータ212は複数のVR(バーチャルルータ)212−1及び212−2を有する。ASZ310は、ルータ311及びルータ312を備える。ここで、ルータ312は複数のVRF312−1及び312−2を有する。VR212−1と、VRF312−1は、トンネルT23−1を介して接続される。VR212−2と、VRF312−2は、トンネルT23−2を介して接続される。
VR212−1のルーティングテーブルには、対象装置120からのパケットがサービス提供装置222−1に流れるようにデフォルトルートに「サービス提供装置222−1」、対象装置120宛てのパケットが対象装置120に転送されるように「ルータ312」をそれぞれ指定するように設定されているものとする。また、VR212−2のルーティングテーブルには、対象装置120からのパケットがサービス提供装置222−2に流れるようにデフォルトルートに「サービス提供装置222−2」、対象装置120宛てのパケットが対象装置120に転送されるように「ルータ312」をそれぞれ指定するように設定されているものとする。
VRF312−1のルーティングテーブルには、対象装置120からのパケットがASY210に流れるようにデフォルトルートに「ルータ212」、対象装置120宛てのパケットが対象装置120に転送されるように「ルータ111」をそれぞれ指定するように設定されているものとする。また、VRF312−2のルーティングテーブルには、対象装置120からのパケットがASY210に流れるようにデフォルトルートに「ルータ212」、対象装置120宛てのパケットが対象装置120に転送されるように「ルータ111」をそれぞれ指定するように設定されているものとする。
ここで、経路情報FS1には、送信元IPアドレスが対象装置120である場合には、VRF312−1にパケットを転送することが示されているものとする。この場合、ルータ312は、ネットワーク100のルータ111から、対象装置120からのパケットPを受信すると、受信したパケットPをVRF312−1に転送する。VRF312−1は、ルーティングテーブルに従って、トンネルT23−1を介して、パケットPをVR212−1に転送する。VR212−1は、転送されたパケットPをサービス提供装置222−1においてセキュリティ処理を行う。
セキュリティ処理の結果、正当なパケット(例えば、攻撃的な通信のパケットではないパケット)と判定された場合、サービス提供装置222−1は、パケットPをルータ211に転送する。なお、正当なパケット(例えば、攻撃的な通信のパケットではないパケット)と判定されなかった場合、サービス提供装置222−1はパケットPを破棄する。ルータ211は、論理パスL23を介して、ASZ310にパケットPを転送する。ASZ310は転送されたパケットPを取得して、取得したパケットPをネットワーク400に転送する。ネットワーク400は転送されたパケットPを取得して、送信先の装置がパケットPを受信する。
このように構成されることによって、同一の対象装置120から異なるサービス提供装置を利用することができる。例えば、1つのサービス提供装置(例えば、サービス提供装置222−1)がDPIの機能を有する装置であり、別のサービス提供装置(例えば、サービス提供装置222−2)がWPAの機能を有する装置である場合に、必要に応じて同一の対象装置120からそれぞれのサービス提供装置を利用することによってそれぞれのサービスを利用することができる。
なお、サービス提供装置222−2を利用する際には、経路情報FS1においてVRF312−2への転送を指定すればよい。
上述した実施形態における機能をコンピュータで実現するようにしても良い。その場合、この機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現しても良い。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでも良い。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。なお、通信システム1を構成する各処理部は専用のハードウェアにより実現されるものであってもよい。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
100、200、300、400…ネットワーク, 110…ASX, 210…ASY, 310…ASZ, 111、211、212、311、312、401…ルータ, 120…対象装置, 221…通信制御装置, 2211…経路設定部, 2212…通信制御部2212, 222、222−1、222−2…サービス提供装置, 212−1、212−2…VR, 312−1、312−2…VRF
本発明の一態様は、上記の通信制御方法であって、前記通信経路設定過程において、前記特定のネットワークと前記第1ネットワークとの間の経路を制御する第2の経路制御プロトコルを利用して、次に示す第2の経路情報及び第3の経路情報を前記経路設定部が出力させる過程をさらに含み、第2の経路情報には、前記第1ネットワークのアドレス空間を示すアドレス情報が含まれ、第3の経路情報には、前記第1ネットワークのアドレス空間より狭くなるように設定された所定のアドレス空間を示すアドレス情報が含まれている。

Claims (11)

  1. インターネットを構成する特定のネットワークと、
    前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、
    前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、
    前記特定のネットワークと前記第1ネットワークとの間で送信されるパケットに基づいて所定の処理を行う処理部と、
    を含む通信システムにおいて、経路制御をする通信制御方法であって、
    前記第1ネットワークから前記特定のネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた第1の経路情報により分岐させ、
    分岐させた経路の第1経路を、前記処理部を経由する経路にし、
    分岐させた経路の第2経路を、前記特定のネットワークに向かう経路にするように経路を制御する通信経路設定過程
    を前記通信システムの経路設定部に実施させる通信制御方法。
  2. 前記処理部は、前記特定のネットワーク及び前記第1ネットワーク以外のネットワークに収容されており、
    前記第1経路を介して前記特定のネットワークに向かう通信が前記処理部に向かうように前記経路設定部が制御する過程をさらに含む、請求項1に記載の通信制御方法。
  3. 前記通信経路設定過程において、
    前記特定のネットワークと前記第1ネットワークとの間の経路を制御する第1の経路制御プロトコルを利用して、以下に示す第1の経路情報を前記経路設定部が出力させる過程をさらに含み、
    前記第1の経路情報には、前記特定の装置からの通信の少なくとも一部が前記第1経路に設けられた中継装置に転送されるように転送先を指定する情報が含まれている、請求項1又は2に記載の通信制御方法。
  4. 前記第1経路の一部の経路においてトンネルを形成するように前記経路設定部が制御する過程をさらに含み、前記処理部を経由する通信のパケットは、前記トンネルを経由して転送される、請求項1から3のいずれか一項に記載の通信制御方法。
  5. 前記処理部が設けられたネットワークには、前記特定の装置からの通信の少なくとも一部の引き込み先が複数備えられ、
    前記引き込み先毎にトンネルを形成するように前記経路設定部が制御する過程をさらに含む、請求項1から4のいずれか一項に記載の通信制御方法。
  6. 前記通信経路設定過程において、
    前記特定のネットワークから前記第1ネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた第2の経路情報により分岐させ、
    分岐させた経路の第3経路を、前記処理部を経由する経路にし、
    分岐させた経路の第4経路を、前記第1ネットワークに向かう経路にするように経路を制御する制御過程をさらに含む、請求項1から5のいずれか一項に記載の通信制御方法。
  7. 前記制御過程において、前記第3経路を、前記処理部を経由して前記特定の装置のアドレスを含む所定のアドレス空間に向かう経路にし、
    前記第4経路を、前記第1ネットワークのアドレス空間から前記所定のアドレス空間が除かれた前記第1ネットワークに向かう経路にするように経路を制御する、請求項6に記載の通信制御方法。
  8. 前記第3経路を介して前記特定の装置に向かう通信が前記処理部に向かうように前記経路設定部が制御する過程をさらに含む、請求項7に記載の通信制御方法。
  9. 前記通信経路設定過程において、
    前記特定のネットワークと前記第1ネットワークとの間の経路を制御する第2の経路制御プロトコルを利用して、次に示す第2の経路情報及び第3の経路情報を前記経路設定部が出力させる過程をさらに含み、
    第2の経路情報には、前記第1ネットワークのアドレス空間を示すアドレス情報が含まれ、第3の経路情報には、前記第1ネットワークのアドレス空間より狭くなるように設定された所定のアドレス空間を示すアドレス情報が含まれている、請求項6から8のいずれか一項に記載の通信制御方法。
  10. インターネットを構成する特定のネットワークと、
    前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、
    前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、
    前記特定のネットワークと前記第1ネットワークとの間で送信されるパケットに基づいて所定の処理を行う処理部と、
    を含む通信システムにおいて、経路制御をする通信制御装置であって、
    前記第1ネットワークから前記特定のネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により分岐させ、
    分岐させた経路の第1経路を、前記処理部を経由する経路にし、
    分岐させた経路の第2経路を、前記特定のネットワークに向かう経路にするように経路を制御する経路設定部
    を備える通信制御装置。
  11. インターネットを構成する特定のネットワークと、
    前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、
    前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、
    前記特定のネットワークと前記第1ネットワークとの間で送信されるパケットに基づいて所定の処理を行う処理部と、
    を含む通信システムのコンピュータに、
    前記第1ネットワークから前記特定のネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により分岐させ、
    分岐させた経路の第1経路を、前記処理部を経由する経路にし、
    分岐させた経路の第2経路を、前記特定のネットワークに向かう経路にするように経路を制御する通信経路設定ステップ
    を実行させるためのコンピュータプログラム。
JP2016192223A 2016-09-29 2016-09-29 通信制御方法、通信制御装置及びコンピュータプログラム Active JP6416839B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2016192223A JP6416839B2 (ja) 2016-09-29 2016-09-29 通信制御方法、通信制御装置及びコンピュータプログラム
EP17855890.4A EP3499814A4 (en) 2016-09-29 2017-09-20 COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL DEVICE AND COMPUTER PROGRAM
US16/332,657 US11582142B2 (en) 2016-09-29 2017-09-20 Communication control method, communication control device, and computer program
PCT/JP2017/033913 WO2018061935A1 (ja) 2016-09-29 2017-09-20 通信制御方法、通信制御装置及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016192223A JP6416839B2 (ja) 2016-09-29 2016-09-29 通信制御方法、通信制御装置及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2018056849A true JP2018056849A (ja) 2018-04-05
JP6416839B2 JP6416839B2 (ja) 2018-10-31

Family

ID=61760761

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016192223A Active JP6416839B2 (ja) 2016-09-29 2016-09-29 通信制御方法、通信制御装置及びコンピュータプログラム

Country Status (4)

Country Link
US (1) US11582142B2 (ja)
EP (1) EP3499814A4 (ja)
JP (1) JP6416839B2 (ja)
WO (1) WO2018061935A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019182141A1 (ja) 2018-03-23 2019-09-26 株式会社Nttドコモ 基地局及び基地局による送信方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006180280A (ja) * 2004-12-22 2006-07-06 Fujitsu Ltd セキュア通信システム、および通信経路選択装置
JP2015032932A (ja) * 2013-08-01 2015-02-16 日本電信電話株式会社 キャリア網における経路制御システム及び方法
JP2015231059A (ja) * 2014-06-03 2015-12-21 富士通株式会社 経路設定装置及び経路設定方法
WO2016148224A1 (ja) * 2015-03-19 2016-09-22 日本電気株式会社 制御装置、通信システム、ネットワーク機能提供装置、通信装置、通信方法及びプログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7301952B2 (en) * 2000-04-06 2007-11-27 The Distribution Systems Research Institute Terminal-to-terminal communication connection control method using IP transfer network
US7225270B2 (en) 2000-10-17 2007-05-29 Cisco Technology, Inc. Selective diversion and injection of communication traffic
US7002927B2 (en) * 2001-08-01 2006-02-21 International Business Machines Corporation Self-scaling network
US7389537B1 (en) * 2001-10-09 2008-06-17 Juniper Networks, Inc. Rate limiting data traffic in a network
CN100414532C (zh) 2003-04-09 2008-08-27 思科技术公司 用于通信流量的选择性转移和注入的方法和装置
US8478516B2 (en) * 2010-05-17 2013-07-02 Fujitsu Limited Method and system for providing navigation assistance on a mobile device
US8619780B1 (en) * 2010-09-30 2013-12-31 Amazon Technologies, Inc. Processing packet routing information
JP5771832B2 (ja) * 2012-02-14 2015-09-02 株式会社日立製作所 伝送システム、管理計算機、及び論理パス構築方法
JP2014229982A (ja) 2013-05-20 2014-12-08 日本電信電話株式会社 攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム
JP6134622B2 (ja) * 2013-09-24 2017-05-24 株式会社日立製作所 通信システム及び時刻同期方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006180280A (ja) * 2004-12-22 2006-07-06 Fujitsu Ltd セキュア通信システム、および通信経路選択装置
JP2015032932A (ja) * 2013-08-01 2015-02-16 日本電信電話株式会社 キャリア網における経路制御システム及び方法
JP2015231059A (ja) * 2014-06-03 2015-12-21 富士通株式会社 経路設定装置及び経路設定方法
WO2016148224A1 (ja) * 2015-03-19 2016-09-22 日本電気株式会社 制御装置、通信システム、ネットワーク機能提供装置、通信装置、通信方法及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KITADA HIROYUKI ET AL: "implementation and evaluation of service function chaining method", IEICI TECHNICAL REPORT, vol. 114, no. 139, JPN6017047556, 10 July 2014 (2014-07-10), pages 113 - 116, XP055596805 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019182141A1 (ja) 2018-03-23 2019-09-26 株式会社Nttドコモ 基地局及び基地局による送信方法

Also Published As

Publication number Publication date
EP3499814A1 (en) 2019-06-19
EP3499814A4 (en) 2020-02-19
US20210306253A1 (en) 2021-09-30
US11582142B2 (en) 2023-02-14
WO2018061935A1 (ja) 2018-04-05
JP6416839B2 (ja) 2018-10-31

Similar Documents

Publication Publication Date Title
JP4231766B2 (ja) As間の経路制御を行う通信装置および通信方法。
US7032031B2 (en) Edge adapter apparatus and method
JP7439137B2 (ja) ラベルを使用してネットワークトラフィックをルーティングするためのシステムおよび方法
US8225400B2 (en) Security overlay network
US9887913B2 (en) CCN name chaining
US11677717B2 (en) Unified network service that connects multiple disparate private networks and end user client devices operating on separate networks
Krishnan et al. Security concerns with IP tunneling
Durand et al. BGP operations and security
US11128491B2 (en) Network layer performance and security provided by a distributed cloud computing network
US8839352B2 (en) Firewall security between network devices
JP6416839B2 (ja) 通信制御方法、通信制御装置及びコンピュータプログラム
CN108270671B (zh) 一种用于对分组执行服务的设备及其方法
Greenhalgh et al. Using Routing and Tunneling to Combat DoS Attacks.
JP5977860B1 (ja) 通信制御方法、通信制御装置及びプログラム
CN112787940A (zh) 一种多级vpn加密传输方法、系统、设备及存储介质
Durand et al. RFC 7454: BGP operations and security
Ee et al. Simplifying Access Control in Enterprise Networks
Hoagland Internet Engineering Task Force (IETF) S. Krishnan Request for Comments: 6169 Ericsson Category: Informational D. Thaler

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180207

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180807

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180821

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181002

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181004

R150 Certificate of patent or registration of utility model

Ref document number: 6416839

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250