JP4429758B2 - Communication apparatus and network system - Google Patents

Communication apparatus and network system Download PDF

Info

Publication number
JP4429758B2
JP4429758B2 JP2004035957A JP2004035957A JP4429758B2 JP 4429758 B2 JP4429758 B2 JP 4429758B2 JP 2004035957 A JP2004035957 A JP 2004035957A JP 2004035957 A JP2004035957 A JP 2004035957A JP 4429758 B2 JP4429758 B2 JP 4429758B2
Authority
JP
Japan
Prior art keywords
packet
icmp
icmpv6
communication
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004035957A
Other languages
Japanese (ja)
Other versions
JP2005229330A (en
Inventor
基行 滝澤
泰弘 白崎
茂雄 松澤
直紀 江坂
丈士 石原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
NTT Communications Corp
Fujitsu Telecom Networks Ltd
Original Assignee
Toshiba Corp
NTT Communications Corp
Fujitsu Telecom Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, NTT Communications Corp, Fujitsu Telecom Networks Ltd filed Critical Toshiba Corp
Priority to JP2004035957A priority Critical patent/JP4429758B2/en
Publication of JP2005229330A publication Critical patent/JP2005229330A/en
Application granted granted Critical
Publication of JP4429758B2 publication Critical patent/JP4429758B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ICMP(Internet Control Message Prottocol:インターネット制御メッセージ・プロトコル)パケット又はICMPv6パケットを用いて通知する機能を有する通信装置及び該通信装置を含むネットワークシステムに関する。   The present invention relates to a communication apparatus having a function of notifying using an ICMP (Internet Control Message Protocol) packet or an ICMPv6 packet, and a network system including the communication apparatus.

IP(Internet Protocol)ネットワークに於いては、データ通信に付随する各種の情報の送受信や、エラー情報の通知手段として、ICMPを用いることが知られている。このICMPは、IPv4及びIPv6に於いても用いるものであり、IPv4に於いてはICMP、IPv6に於いてはICMPv6(Internet Control Message Prottocol for IPv6)が用いられる。ICMP/ICMPv6は、エラー通知や通信状態の診断の為のIP層の上位プロトコルに相当し、IPv4に適用されるICMPはRFC(Request For Comments)792、IPv6に適用されるICMPv6はRFC2463で、それぞれ定義されている。このICMP/ICMPv6は、宛先の応答確認、宛先到達不能、経路変更、時間超過、パケットサイズ過大等の通知の役割を有するものである。   In an IP (Internet Protocol) network, it is known to use ICMP as a means for transmitting / receiving various information accompanying data communication and for notifying error information. This ICMP is also used in IPv4 and IPv6. ICMP is used in IPv4, and ICMPv6 (Internet Control Message Protocol for IPv6) is used in IPv6. ICMP / ICMPv6 corresponds to an upper layer protocol of the IP layer for error notification and communication state diagnosis, ICMP applied to IPv4 is RFC (Request For Comments) 792, and ICMPv6 applied to IPv6 is RFC 2463, respectively. Is defined. ICMP / ICMPv6 has a role of notification of destination response confirmation, destination unreachability, route change, time excess, packet size excess, and the like.

例えば、パケットサイズ過大の通知は、IPv4ネットワークでは、ルータ等の通信装置がフラグメントの機能を有する場合に、パケットサイズ過大のパケットは、フラグメント処理により中継送出するから、この問題は生じない場合もあるが、フラグメントをオフに設定して、フラグメント処理を行わない構成とすることも知られている。又IPv6ネットワークに於いては、ルータ等の通信装置は、フラグメント処理は許容されていないものである。従って、リンクによってはパケットサイズが過大の場合に、パケットを廃棄処理することになる。   For example, in the case of an IPv4 network, when a communication device such as a router has a fragment function, an excessive packet size packet is relayed and transmitted by fragment processing in an IPv4 network, so this problem may not occur. However, it is also known that the fragment processing is not performed by setting the fragment to off. In the IPv6 network, fragment processing is not permitted for communication devices such as routers. Therefore, depending on the link, when the packet size is excessive, the packet is discarded.

又ICMP/ICMPv6パケットを送信するルータ等の通信装置は、例えば、パケットサイズ過大を通知する時に、元のデータパケットの全部又は一部を付加するもので、ICMPの場合は、元のデータパケットのIPヘッダ+64ビット分、ICMPv6の場合は、最小のMTU(Maximum Transmission Unit)値分(一般的には、1280バイト)の元のデータパケットが付加される。 Also, a communication device such as a router that transmits an ICMP / ICMPv6 packet adds, for example, all or a part of the original data packet when notifying an excessive packet size. In the case of ICMPv6 for IP header + 64 bits, an original data packet corresponding to the minimum MTU (Maximum Transmission Unit) value (generally, 1280 bytes) is added.

このようなパケットサイズ過大(Packet Too Big)の場合に、経路MTU発見プロトコル(Path MTU Discavery Protocol)(IPv4はRFC1191,IPv6はRFC1981で定義)によって、宛先までのMTUの最小値の経路を探索して、再送処理を行うことができる。   In the case of such an excessive packet size (Packet Too Big), the route of the minimum value of the MTU to the destination is searched by the route MTU discovery protocol (IPv4 is defined by RFC1191 and IPv6 is defined by RFC1981). Thus, retransmission processing can be performed.

又サーバ障害復旧通知装置をルータに設けて、ICMPの宛先到達不能メッセージに基づいて、アクセスできなかったクライアントを検出し、又クライアントからサーバへの応答IPパケットがない時に、サーバが障害発生中と判定して、サーバにアクセスできなかったクライアントを検出する手段が知られている(例えば、特許文献1参照)。
特開2003−50752号公報 A server failure recovery notification device is provided in the router to detect a client that could not be accessed based on an ICMP destination unreachable message, and when there is no response IP packet from the client to the server, Means for determining and detecting a client that could not access the server is known (see, for example, Patent Document 1).
JP 2003-50752 A

一般的なブリッジ装置やレイヤ2スイッチは、データ転送に於いてIPレイヤの処理を行わず、更に装置自身もIPアドレス等のネットワークアドレスを持たない為、ICMP/ICMPv6の処理も行わないものである。この為に、MTUサイズ等のパラメータ変化やレイヤ2スイッチによるフィルタリング動作により、パケットが廃棄されても、そのパケットの送信元では、この状態を認識する手段がなく、従って、通信相手がいないと判断することになる。   General bridge devices and layer 2 switches do not perform IP layer processing in data transfer, and also do not have ICMP / ICMPv6 processing because the device itself does not have a network address such as an IP address. . For this reason, even if a packet is discarded due to a parameter change such as MTU size or a filtering operation by the layer 2 switch, there is no means for recognizing this state at the transmission source of the packet, and therefore it is determined that there is no communication partner. Will do.

又図15に示すように、IP端末211,215との間を、トンネリング終端装置212、中継装置213、トンネリング終端装置214を介して接続したネットワークシステムに於いて、トンネリング終端装置212,214は、IP端末211,215からのパケットをカプセル化して、中継装置213を介して相手トンネリング終端装置に対して転送し、又カプセルを外してIP端末211,215に対して転送する。   As shown in FIG. 15, in the network system in which the IP terminals 211 and 215 are connected via the tunneling termination device 212, the relay device 213, and the tunneling termination device 214, the tunneling termination devices 212 and 214 are Packets from the IP terminals 211 and 215 are encapsulated and transferred to the partner tunneling terminating device via the relay device 213, and the capsules are removed and transferred to the IP terminals 211 and 215.

この場合、中継装置213は、トンネリング処理されたパケットを中継転送し、異常を検出した時に、そのパケットを廃棄し、送信元に通知するものであるが、この通知は、トンネリング終端装置212,214までであり、送信元のIP端末へは転送されない。即ち、ICMP/ICMPv6による通信が行われるのは、トンネリングプロトコルの下位のIPレイヤがベースであって、ICMP/ICMPv6による異常通知はトンネリング終端装置までとなる。従って、再送処理を行うことができず、通信が正常に実行されない場合が生じる問題がある。   In this case, the relay device 213 relays and forwards the tunneled packet, and when it detects an abnormality, the relay device 213 discards the packet and notifies the transmission source. And is not transferred to the source IP terminal. That is, the communication by ICMP / ICMPv6 is based on the lower IP layer of the tunneling protocol, and the abnormality notification by ICMP / ICMPv6 reaches the tunneling termination device. Therefore, there is a problem that retransmission processing cannot be performed and communication may not be performed normally.

又図16に示すように、ネットワーク225,226間にアドレス変換装置222を設けて、IP端末221,224間の通信を行う場合、例えば、ネットワーク226内の中継装置223に於いて、パケットを中継伝送する際に、異常検出により、そのパケットを廃棄すると、ICMP/ICMPv6に従って、そのパケットの送信元のIP端末221に通知を行うことになるが、アドレス変換装置222に於いて的確なアドレス変換ができないので、送信元のIP端末221へ転送されない場合が生じる。特に、アドレス変換に、IPレイヤの上位プロトコル情報やTCP/UDPのポート番号を参照している場合には、ICMP/ICMPv6パケットの的確なアドレス変換を行うことができないので、送信元のIP端末へ通知できない問題がある。   As shown in FIG. 16, when an address translation device 222 is provided between the networks 225 and 226 to perform communication between the IP terminals 221 and 224, for example, the packet is relayed by the relay device 223 in the network 226. When the packet is discarded due to anomaly detection during transmission, the packet is sent to the IP terminal 221 that is the transmission source of the packet in accordance with ICMP / ICMPv6. Since this is not possible, there is a case where the data is not transferred to the IP terminal 221 that is the source. In particular, when referring to the upper layer protocol information of the IP layer and the TCP / UDP port number for address conversion, it is not possible to perform accurate address conversion of the ICMP / ICMPv6 packet. There is a problem that cannot be notified.

又前述のサーバ障害復旧通知装置をルータに設ける手段は、トンネリング処理を行う中継伝送やアドレス変換処理等を含む場合は、前述のように、中継経路に於ける異常発生時の通知を送信元に通知できないものである。   In addition, when the means for providing the server failure recovery notification device described above in the router includes relay transmission for performing tunneling processing, address conversion processing, etc., as described above, the notification at the time of occurrence of an abnormality in the relay route is used as the transmission source. It cannot be notified.

本発明は、前述の従来の問題点を解決することを目的とし、各種の通信環境に於ける通信異常発生検出時に、送信元の装置に対して通信異常発生イベント情報を通知可能とするものである。 An object of the present invention is to solve the above-described conventional problems, and to enable notification of communication abnormality occurrence event information to a transmission source device when a communication abnormality occurrence is detected in various communication environments. is there.

本発明の通信装置は、装置間のデータ転送処理を行う通信装置であって、レイヤ2プロトコルにより前記装置間のデータ転送処理を行うレイヤ2転送処理部と、通信異常発生の情報を、ICMP/ICMPv6パケットにより前記データの送信元の装置へ通知する為のICMP/ICMPv6処理部とを含む構成を有するものである。   A communication apparatus according to the present invention is a communication apparatus that performs data transfer processing between apparatuses, a layer 2 transfer processing unit that performs data transfer processing between the apparatuses using a layer 2 protocol, and information on occurrence of a communication abnormality as ICMP / And an ICMP / ICMPv6 processing unit for notifying the data transmission source device by an ICMPv6 packet.

又各リンク対応の最大転送可能サイズを示すMTU値を保持したMTU情報保持部と、ICMP/ICMPv6パケットを送出するICMP/ICMPv6処理部と、前記データのサイズが前記MTU情報保持部に保持されたMTU値を超えた時に、通信異常発生の情報として、最大サイズ超過情報を含むICMP/ICMPv6パケットを、前記ICMP/ICMPv6処理部から前記データの送信元の装置へ送出させるレイヤ2転送処理部とを含む構成を有するものである。   Also, an MTU information holding unit holding an MTU value indicating the maximum transferable size corresponding to each link, an ICMP / ICMPv6 processing unit for sending an ICMP / ICMPv6 packet, and the size of the data are held in the MTU information holding unit A layer 2 transfer processing unit for sending an ICMP / ICMPv6 packet including the maximum size excess information as information on occurrence of communication abnormality from the ICMP / ICMPv6 processing unit to the data transmission source device when the MTU value is exceeded It has the composition which includes.

又転送するデータに対するフィルタリング処理を行う為の情報を保持したフィルタリング情報保持部と、ICMP/ICMPv6パケットを送出するICMP/ICMPv6処理部と、前記データが前記フィルタリング情報保持部に保持された情報に従って破棄された時に、前記データの送信元に前記ICMP/ICMPv6処理部からデータ廃棄情報を含むICMP/ICMPv6パケットを送出させるレイヤ2転送処理部とを含む構成を有するものである。   Also, a filtering information holding unit that holds information for performing filtering processing on the data to be transferred, an ICMP / ICMPv6 processing unit that sends out an ICMP / ICMPv6 packet, and the data is discarded according to the information held in the filtering information holding unit And a layer 2 transfer processing unit for sending an ICMP / ICMPv6 packet including data discard information from the ICMP / ICMPv6 processing unit to the data transmission source.

又装置間のデータをトンネリングプロトコルにより転送するトンネリング終端部と、通信異常発生の情報を転送するカプセル化されたICMP/ICMPv6パケットのヘッダ内情報を基に送信元の装置を判定して、該装置へ転送できるように変換処理を行うICMP/ICMPv6変換部とを含む構成を有するものである。   Further, a tunneling termination unit that transfers data between devices using a tunneling protocol, and a transmission source device are determined based on information in the header of an encapsulated ICMP / ICMPv6 packet that transfers information on the occurrence of communication abnormality. And an ICMP / ICMPv6 conversion unit that performs conversion processing so that it can be transferred to the network.

各リンク対応の最大転送可能サイズを示すMTU値を保持したMTU情報保持部と、通信異常発生の情報を、ICMP/ICMPv6パケットによりデータの送信元の装置へ通知する為のICMP/ICMPv6処理部と、前記データの送信元の装置に対するリンクのMTU値を、前記ICMP/ICMPv6パケットのサイズが超えている時に、該ICMP/ICMPv6パケットを、前記MTU値を超えないようにフラグメント処理して送出するフラグメント処理部とを含む構成を有するものである。   An MTU information holding unit holding an MTU value indicating a maximum transferable size corresponding to each link, and an ICMP / ICMPv6 processing unit for notifying information on occurrence of communication abnormality to an apparatus that is a data transmission source by an ICMP / ICMPv6 packet; When the size of the ICMP / ICMPv6 packet exceeds the MTU value of the link to the data transmission source device, the ICMP / ICMPv6 packet is fragmented and sent so as not to exceed the MTU value. And a processing unit.

装置間のデータを暗号化及び復号化する暗号処理部と、暗号化されたデータをカプセル化して送出し、受信したデータをデカプセル化するトンネリング終端部と、通信異常発生の情報を送信元の装置へ通知する為のICMP/ICMPv6パケットのサイズがリンクの最大転送可能サイズを超えている時にフラグメント処理を行って送出し、且つフラグメント処理されたパケットを受信して元のパケットに合体するフラグメント処理部と、前記暗号処理部により復号化されたパケットを解析して前記データの送信元の装置を判定して該装置へICMP/ICMPv6パケットを送出するICMP/ICMPv6変換部とを含む構成を有するものである。   An encryption processing unit that encrypts and decrypts data between devices, a tunneling termination unit that encapsulates and sends the encrypted data, and decapsulates the received data; Fragment processing unit that performs fragment processing when the size of the ICMP / ICMPv6 packet for notification to the link exceeds the maximum transferable size of the link, sends the fragmented packet, and merges it with the original packet And an ICMP / ICMPv6 conversion unit that analyzes the packet decrypted by the encryption processing unit, determines the device that is the source of the data, and sends an ICMP / ICMPv6 packet to the device. is there.

ネットワークアドレスの変換を行うアドレス変換部と、通信異常発生の情報を通知する為のICMP/ICMPv6パケット内のデータを解析して該パケットの転送先の装置を判定するICMP/ICMPv6データ解析部と、前記ICMP/ICMPv6パケットを前記転送先の装置へ送出する為の変換を行うICMP/ICMPv6変換部とを含む構成を有するものである。   An address conversion unit for converting a network address, an ICMP / ICMPv6 data analysis unit for analyzing data in an ICMP / ICMPv6 packet for notifying information on occurrence of a communication abnormality and determining a transfer destination device of the packet; And an ICMP / ICMPv6 conversion unit that performs conversion for sending the ICMP / ICMPv6 packet to the transfer destination apparatus.

又本発明のネットワークシステムは、装置間のデータ転送処理を行う通信装置を含み、この通信装置は、前記装置間のデータ転送処理を行うレイヤ2転送処理部と、通信異常発生を、ICMP/ICMPv6パケットにより前記データの送信元の装置へ通知する為のICMP/ICMPv6処理部とを含む構成を有するものである。   The network system of the present invention also includes a communication device that performs data transfer processing between devices. This communication device includes a layer 2 transfer processing unit that performs data transfer processing between the devices, and an occurrence of communication abnormality in ICMP / ICMPv6. And an ICMP / ICMPv6 processing unit for notifying the data transmission source device by a packet.

又ネットワークシステムに於ける通信装置は、データのカプセル化及びデカプセル化を行うトンネリング終端部と、通信異常発生の情報を通知する為のICMP/ICMPv6パケットを、該パケット内のデータを解析して転送先の装置を判定し、該装置へ送出する為のアドレス変換処理を行うICMP/ICMPv6変換部とを含む構成を有するものである。   Also, the communication device in the network system analyzes the data in the packet and transfers the tunneling termination unit for encapsulating and decapsulating the data and the ICMP / ICMPv6 packet for notifying the information of the occurrence of the communication abnormality. It has a configuration including an ICMP / ICMPv6 conversion unit that determines an earlier device and performs an address conversion process for sending to the device.

ネットワークシステムに於ける通信装置は、装置間のデータを暗号化及び復号化する暗号処理部と、暗号化されたデータをカプセル化して送出し、且つ受信したデータをデカプセル化するトンネリング終端部と、通信異常発生の情報を送信元の装置へ通知する為のICMP/ICMPv6パケットのサイズが前記送信元の装置に対するリンクの最大転送可能サイズを超えている時にフラグメント処理を行って送出し、且つフラグメント処理されたパケットを受信して元のパケットに合体するフラグメント処理部と、前記暗号処理部により復号化されたパケットを解析して前記データの送信元の装置を判定して該装置へICMP/ICMPv6パケットを送出するICMP/ICMPv6変換部とを含む構成を有するものである。   A communication device in a network system includes: an encryption processing unit that encrypts and decrypts data between devices; a tunneling termination unit that encapsulates and transmits encrypted data; and decapsulates received data; Fragment processing is performed when the size of the ICMP / ICMPv6 packet for notifying the transmission source device of the information on the occurrence of communication abnormality exceeds the maximum transferable size of the link to the transmission source device. A fragment processing unit that receives the received packet and merges it with the original packet, and analyzes the packet decrypted by the encryption processing unit to determine the device that is the source of the data and sends an ICMP / ICMPv6 packet to the device And an ICMP / ICMPv6 conversion unit for sending the message.

通信経路中に、トンネリング処理やプロトコル変換が行われても、通信異常発生時は、データ送信元に確実に通知することが可能となり、再送時には的確なパラメータによりデータ送信を行うことができるから、信頼性の高いネットワークを提供することができる。   Even if tunneling processing or protocol conversion is performed in the communication path, it is possible to reliably notify the data transmission source when a communication abnormality occurs, and data can be transmitted with accurate parameters at the time of retransmission. A highly reliable network can be provided.

本発明の通信装置は、図1を参照して説明すると、通信端末31,32等の装置間のデータ転送処理を行う通信装置33であって、レイヤ2プロトコルにより装置間のデータ転送処理を行うレイヤ2転送処理部35と、通信異常発生の情報を、ICMP/ICMPv6パケットにより、データの送信元の装置へ通知する為のICMP/ICMPv6処理部34とを含み、パケット不達等の通信異常発生の情報を、送信元の通信端末等のデータ送受信を行う装置へ通知する。   Referring to FIG. 1, the communication device of the present invention is a communication device 33 that performs data transfer processing between devices such as communication terminals 31 and 32, and performs data transfer processing between devices using a layer 2 protocol. Includes a layer 2 transfer processing unit 35 and an ICMP / ICMPv6 processing unit 34 for notifying information of occurrence of communication abnormality to the data transmission source device by an ICMP / ICMPv6 packet. Is sent to a device that performs data transmission / reception, such as a communication terminal of the transmission source.

又本発明のネットワークシステムは、通信端末31,32等の装置間でデータの転送処理を行う通信装置33を含み、この通信装置33は、装置間のデータ転送処理を行う通信装置であって、レイヤ2プロトコルにより装置間のデータ転送処理を行うレイヤ2転送処理部35と、通信異常発生の情報を、ICMP/ICMPv6パケットにより前記データの送信元の装置へ通知する為のICMP/ICMPv6処理部34とを含む構成を有し、パケット不達等の通信異常発生の情報を、送信元の通信端末等のデータ送受信を行う装置へ通知する。   The network system of the present invention includes a communication device 33 that performs data transfer processing between devices such as the communication terminals 31 and 32. The communication device 33 is a communication device that performs data transfer processing between devices. A layer 2 transfer processing unit 35 that performs data transfer processing between devices using a layer 2 protocol, and an ICMP / ICMPv6 processing unit 34 for notifying information on the occurrence of communication abnormality to the device that has transmitted the data using an ICMP / ICMPv6 packet And information on the occurrence of communication abnormality such as packet failure is notified to a device that performs data transmission / reception such as a communication terminal of the transmission source.

図1は、本発明の実施例1の説明図であり、通信端末31,32間を、ネットワークを含むレイヤ2プロトコルにより処理する通信装置33を介して接続したネットワークシステムを示し、レイヤ2転送処理部35を有する通信装置33に、ICMP/ICMPv6処理部34を設けた場合を示す。即ち、従来のレイヤ2プロトコル処理装置の機能を有する通信装置に対して、ICMP/ICMPv6処理部34の機能を設ける。   FIG. 1 is an explanatory diagram of Embodiment 1 of the present invention, showing a network system in which communication terminals 31 and 32 are connected via a communication device 33 that processes a layer 2 protocol including a network. The case where the ICMP / ICMPv6 processing unit 34 is provided in the communication device 33 having the unit 35 is shown. That is, the function of the ICMP / ICMPv6 processing unit 34 is provided for the communication apparatus having the function of the conventional layer 2 protocol processing apparatus.

データを送受信する装置としての通信端末31,32間は、レイヤ2転送処理部35の機能によって従来例と同様にパケットの転送処理を行う。このパケットの転送処理過程に於いて、パケット廃棄等の通信異常のイベントが発生すると、ICMP/ICMPv6処理部34は、廃棄等を行ったパケットの送信元の通信端末に対してICMP/ICMPv6パケットを送信し、イベント情報を通知する。それにより、送信元の通信端末は、送信先の通信端末にパケットが到着しない点と、その理由とを認識できるから、再送処理等を行うことができる。尚、通信装置33は、ネットワークシステムの規模に応じて、データを送受信する装置間に複数設けるものである。   Between the communication terminals 31 and 32 as devices for transmitting and receiving data, a packet transfer process is performed by the function of the layer 2 transfer processing unit 35 as in the conventional example. When a communication abnormality event such as packet discard occurs in the packet transfer process, the ICMP / ICMPv6 processing unit 34 sends an ICMP / ICMPv6 packet to the communication terminal that has transmitted the discarded packet. Send and notify event information. As a result, the transmission source communication terminal can recognize the point that the packet does not arrive at the transmission destination communication terminal and the reason thereof, and can perform retransmission processing or the like. A plurality of communication devices 33 are provided between devices that transmit and receive data according to the scale of the network system.

図2は、本発明の実施例2の説明図であり、データを送受信する装置としての通信端末41,42間を、ネットワークを含むレイヤ2プロトコルにより処理する通信装置43を介して接続したネットワークシステムに於いて、レイヤ2転送処理部45を有する通信装置43に,ICMP/ICMPv6処理部44とMTU情報保持部46とを設ける。この場合、通信端末41側のリンクの最大転送可能サイズを示すMTU値と、通信端末42側のリンクの最大転送可能サイズを示すMTU値とが相違し、例えば、通信端末41側のリンクのMTU値は1500バイト、通信端末42側のリンクのMTU値は1450バイトとすると、MTU情報保持部46は、それぞれのリンク対応のMTU情報を保持するものである。   FIG. 2 is an explanatory diagram of Embodiment 2 of the present invention, in which a network system in which communication terminals 41 and 42 as devices for transmitting and receiving data are connected via a communication device 43 that processes using a layer 2 protocol including a network. In the communication apparatus 43 having the layer 2 transfer processing unit 45, an ICMP / ICMPv6 processing unit 44 and an MTU information holding unit 46 are provided. In this case, the MTU value indicating the maximum transferable size of the link on the communication terminal 41 side is different from the MTU value indicating the maximum transferable size of the link on the communication terminal 42 side. For example, the MTU of the link on the communication terminal 41 side is different. When the value is 1500 bytes and the MTU value of the link on the communication terminal 42 side is 1450 bytes, the MTU information holding unit 46 holds MTU information corresponding to each link.

例えば、通信端末41から通信端末42へデータ転送を行う場合、通信装置43のレイヤ2転送処理部45は、転送先を決定し、MTU情報保持部46を参照して、転送先のMTU情報を抽出する。そして、パケットサイズが、転送先のMTU値を超えているか否かを判定し、例えば、通信端末41から1500バイトのパケットを送出すると、通信端末42側のリンクのMTU値は1450バイトであるから、転送先のリンクのMTU値を超えていることになり、ICMP/ICMPv6処理部44に通知し、このICMP/ICMPv6処理部44は、送信元の通信端末41へのICMP/ICMPv6パケットを作成して送出する。   For example, when data is transferred from the communication terminal 41 to the communication terminal 42, the layer 2 transfer processing unit 45 of the communication device 43 determines the transfer destination and refers to the MTU information holding unit 46 to obtain the MTU information of the transfer destination. Extract. Then, it is determined whether or not the packet size exceeds the transfer destination MTU value. For example, when a packet of 1500 bytes is transmitted from the communication terminal 41, the MTU value of the link on the communication terminal 42 side is 1450 bytes. Therefore, the ICMP / ICMPv6 processing unit 44 notifies the ICMP / ICMPv6 processing unit 44, and the ICMP / ICMPv6 processing unit 44 creates an ICMP / ICMPv6 packet to the communication terminal 41 of the transmission source. And send it out.

この場合のパケットサイズ過大の通知は、例えば、ICMP Destination Unreachable(Type3)の“Fragmentation Needed and DF Set”(Code4)、又はICMPv6 Packet Too Big(Type2)を送信する。それにより、送信元の通信端末41は、通信異常発生の原因を認識できるから、パケットサイズを小さくして再送することになる。   In this case, notification of an excessive packet size includes, for example, “Fragment Needed and DF Set” (Code 4) or ICMPv6 Packet Too Big (Type 2) of ICMP Destination Unreachable (Type 3). As a result, the communication terminal 41 of the transmission source can recognize the cause of the communication abnormality, and retransmits the packet with a reduced packet size.

図3は、本発明の実施例3の説明図であり、データを送受信する装置としての通信端末51,52間を、ネットワークを含むレイヤ2プロトコルにより処理する通信装置53を介して接続したネットワークシステムに於いて、レイヤ2転送処理部55を有する通信装置53に、ICMP/ICMPv6処理部54とフィルタリング情報保持部56とを設ける。この場合の通信装置53は、フィルタリング処理を行うもので、フィルタリング情報保持部56に、フィルタリングの為の情報を保持している。   FIG. 3 is an explanatory diagram of Embodiment 3 of the present invention, in which communication terminals 51 and 52 as devices for transmitting and receiving data are connected via a communication device 53 that processes using a layer 2 protocol including a network. In the communication apparatus 53 having the layer 2 transfer processing unit 55, an ICMP / ICMPv6 processing unit 54 and a filtering information holding unit 56 are provided. In this case, the communication device 53 performs filtering processing, and the filtering information holding unit 56 holds information for filtering.

通信装置53は、パケットを受信すると、レイヤ2転送処理部55により転送先を決定し、且つフィルタリング情報保持部56に保持されたフィルタリング情報と、受信したパケットとを比較し、例えば、フィルタリング処理によりこのパケットを破棄する等のイベントが発生すると、ICMP/ICMPv6処理部54に通知し、このICMP/ICMPv6処理部54から、送信元の通信端末に対してICMP/ICMPv6パケットの送出処理を行う。   When receiving the packet, the communication device 53 determines the transfer destination by the layer 2 transfer processing unit 55 and compares the filtering information held in the filtering information holding unit 56 with the received packet. When an event such as discarding of this packet occurs, the ICMP / ICMPv6 processing unit 54 is notified, and the ICMP / ICMPv6 processing unit 54 sends out an ICMP / ICMPv6 packet to the transmission source communication terminal.

このフィルタリング処理によるパケット廃棄発生の通知は、例えば、ICMP Destination Unreachable(Type3)の“Communication Administratively Prohibited”(Code13)、又はICMPv6 Destination Unreachable(Type1)の“Communication with Destination Administratively Prohibited”(Code1)を送信する。それにより、送信元の通信端末は、通信異常発生の情報として、宛先到達不能と、その理由とを認識できるから、無駄な再送処理の繰り返しを回避できる。   The packet discard occurrence notification by the filtering process is performed by, for example, “Communication Administratively Prohibited” (Code 13) of ICMP Destination Unreachable (Type 3), or “Date of Destination Unatable” (IC 13) of ICMPv6 Destination Unreachable (Type 1). . As a result, the transmission source communication terminal can recognize the destination unreachable and the reason thereof as information on the occurrence of the communication abnormality, and thus avoid unnecessary repetition of retransmission processing.

図4は、本発明の実施例4の説明図であり、データを送受信する装置としてのIP端末61,65間を、通信装置としての機能を含むトンネリング終端装置62,64と中継装置63とを介して接続したネットワークシステムを示し、通信装置に相当するトンネリング終端装置62は、トンネリング終端部67とICMP/ICMPv6変換部66とを含む構成を有する。又このトンネリング終端装置62と同様に、トンネリング終端装置64にもICMP/ICMPv6変換部66を設ける。   FIG. 4 is an explanatory diagram of a fourth embodiment of the present invention, in which tunneling termination devices 62 and 64 including a function as a communication device and a relay device 63 are connected between IP terminals 61 and 65 as devices for transmitting and receiving data. A tunneling termination device 62 corresponding to a communication device has a configuration including a tunneling termination unit 67 and an ICMP / ICMPv6 conversion unit 66. Similarly to the tunneling termination device 62, the tunneling termination device 64 is provided with an ICMP / ICMPv6 conversion unit 66.

IP端末61,65間ではIP又はIPv6による通信が行われることになり、トンネリング終端装置62,64は、IP/IPv6通信のデータに、カプセル化ヘッダ等を付加してカプセル化し、元のデータをトンネリング処理するもので、例えば、IP端末61,65等の装置間にレイヤ3トンネリングプロトコルを構成して通信を行うものである。このトンネリングされたパケットに対しては、下位レイヤのトランスポートとして、IP/IPv6のプロトコルが使用される。中継装置63は、例えば、IPレイヤを処理するルータ装置等に相当する。   IP or IPv6 communication is performed between the IP terminals 61 and 65, and the tunneling termination devices 62 and 64 encapsulate the original data by adding an encapsulation header or the like to the IP / IPv6 communication data. For example, a layer 3 tunneling protocol is configured between devices such as the IP terminals 61 and 65 to perform communication. For this tunneled packet, the IP / IPv6 protocol is used as the transport of the lower layer. The relay device 63 corresponds to, for example, a router device that processes the IP layer.

例えば、IP端末61からIP端末65へデータ転送を行う場合、トンネリング終端装置62のトンネリング終端部67によりカプセル化して送出する。中継装置63は、カプセル化したパケットを中継送出し、トンネリング終端装置64によりデカプセル化して、IP端末65へ送出する。この時、中継装置63に於いてパケット廃棄等のイベントが発生すると、中継装置63は、トンネリング終端装置62に対してICMP/ICMPv6パケットを送出してイベント情報の通知を行う。   For example, when data is transferred from the IP terminal 61 to the IP terminal 65, the data is encapsulated by the tunneling termination unit 67 of the tunneling termination device 62 and transmitted. The relay device 63 relays and transmits the encapsulated packet, decapsulates it by the tunneling termination device 64, and transmits it to the IP terminal 65. At this time, when an event such as packet discard occurs in the relay device 63, the relay device 63 sends an ICMP / ICMPv6 packet to the tunneling termination device 62 to notify the event information.

ICMP/ICMPv6パケットは、トンネリングレイヤの下位のIPレイヤをベースとしている為、そのままでは、実際の送信元のIP端末61へは到達できない。そこで、ICMP/ICMPv6パケットを受信したトンネリング終端装置62は、ICMP/ICMPv6変換部66により、IP端末61へ転送できるように変換して送出する。それにより、送信元のIP端末61は、宛先到達不能と、その理由とを認識できる。   Since the ICMP / ICMPv6 packet is based on the lower IP layer of the tunneling layer, it cannot reach the actual IP terminal 61 as it is. Therefore, the tunneling termination device 62 that has received the ICMP / ICMPv6 packet converts it so that it can be transferred to the IP terminal 61 by the ICMP / ICMPv6 converter 66 and sends it out. Thereby, the source IP terminal 61 can recognize the destination unreachable and the reason.

図5は、図4に於ける中継装置63から送出されるICMP/ICMPv6パケットの説明図であり、返送されるICMP/ICMPv6パケット71は、トンネリング終端装置62から受信したパケット72を付加した構成となり、このパケット72は、元のIPパケット73に、トンネリングの為のトンネルヘッダ74を付加した構成を有する。トンネリング終端装置は、トンネルヘッダ74内のトンネリング用セッションID等の情報や、元のIPパケット内のIPv4/IPv6アドレス情報、TCP/UDPのポート番号等の情報を参照して、ICMP/ICMPv6パケットの変換処理を行い、送信元のIP端末61に送出することになる。   FIG. 5 is an explanatory diagram of the ICMP / ICMPv6 packet sent from the relay device 63 in FIG. 4. The ICMP / ICMPv6 packet 71 sent back has a configuration in which the packet 72 received from the tunneling termination device 62 is added. The packet 72 has a configuration in which a tunnel header 74 for tunneling is added to the original IP packet 73. The tunneling termination device refers to information such as the tunneling session ID in the tunnel header 74, IPv4 / IPv6 address information in the original IP packet, TCP / UDP port number, etc. Conversion processing is performed and the data is sent to the source IP terminal 61.

又一般的な暗号化プロトコルでは、鍵交換等の交渉が完了した後、実際のデータ転送時に、共通鍵暗号化方式に従って暗号化したデータを転送するものであり、この場合の暗号化処理を行った装置は、装置自身が行った暗号化データを元のデータに戻す復号化処理を行うことができる場合が一般的である。前述のトンネリングプロトコルが暗号化を伴うプロトコルの場合、トンネリング終端装置62は、装置自身が行った暗号化データを含むICMP/ICMPv6パケット71を受信すると、暗号化されている元のIPパケット73を復号化して、その内部データを参照し、ICMP/ICMPv6パケットの変換を行うことができる。   In general encryption protocol, after negotiation of key exchange is completed, the data encrypted according to the common key encryption method is transferred at the time of actual data transfer. Generally, a device that can perform a decryption process for returning encrypted data performed by the device itself to the original data. When the tunneling protocol described above is a protocol involving encryption, when the tunneling termination device 62 receives an ICMP / ICMPv6 packet 71 including encrypted data performed by the device itself, the tunneling termination device 62 decrypts the original IP packet 73 that has been encrypted. It is possible to convert the ICMP / ICMPv6 packet by referring to the internal data.

又中継装置63(図4参照)から元のデータを含めてICMP/ICMPv6パケットを返送する際に、最大転送可能サイズを超えている為に、図6に示すように、暗号化されたパケットの一部が欠落した状態で返送されることがある。尚、暗号化されたパケット82は、元のIPパケット83を暗号化してトンネルヘッダを付加した構成を有し、MTU値等による制約によって、ICMP/ICMPv6パケットには、前述のように、一部欠落したパケットが付加されることになる。この場合、総てのデータを復元できないことになり、又欠落した部分84に、パケットの安全性を保証する認証情報等の情報が含まれている場合があり、暗号化データを元に戻す復号処理を正常に行うことが困難となる。この時は、トンネリング終端装置62は、本来行うべき復号化処理の一部を省略し、復元できたデータ内のアドレス情報等の必要な情報のみを参照して、ICMP/ICMPv6パケットの変換を行うことによって、送信元の装置へ、通信異常発生の原因を通知することができる。   Also, when returning an ICMP / ICMPv6 packet including the original data from the relay device 63 (see FIG. 4), the maximum transferable size is exceeded, so as shown in FIG. May be returned with some missing. Note that the encrypted packet 82 has a configuration in which the original IP packet 83 is encrypted and a tunnel header is added, and the ICMP / ICMPv6 packet includes a part of the ICMP / ICMPv6 packet as described above due to restrictions due to the MTU value or the like. Missing packets are added. In this case, all data cannot be restored, and the missing portion 84 may include information such as authentication information that guarantees the safety of the packet. It becomes difficult to perform processing normally. At this time, the tunneling termination device 62 omits a part of the decoding process that should be originally performed, refers to only necessary information such as address information in the restored data, and converts the ICMP / ICMPv6 packet. As a result, the cause of the communication abnormality can be notified to the transmission source device.

図7は、本発明の実施例5の説明図であり、データの送受信を行う装置としての通信端末91,92間の中継装置93に、ICMP/ICMPv6処理部94とフラグメント処理部95とMTU情報保持部96とを設け、例えば、通信端末91から通信端末92へのデータ転送時に転送エラー等のイベントが発生して、ICMP/ICMPv6処理部94により、送信元の通信端末91へICMP/ICMPv6パケットを送出することになるが、MTU情報保持部96を参照して、返送するICMP/ICMPv6パケットのサイズが通信端末91側のリンクのMTU値を超えたと判定すると、フラグメント処理部95により、MTU値を超えないサイズにフラグメント処理を行って返送する。これにより、送信元の通信端末91は、フラグメント処置されたICMP/ICMPv6パケットを受信して合体して、先に送信したパケットを復元し、通信異常のパケットの識別と、原因の識別とを行うことができる。   FIG. 7 is an explanatory diagram of the fifth embodiment of the present invention, in which an ICMP / ICMPv6 processing unit 94, a fragment processing unit 95, and MTU information are added to the relay device 93 between the communication terminals 91 and 92 as devices for transmitting and receiving data. For example, an event such as a transfer error occurs when data is transferred from the communication terminal 91 to the communication terminal 92, and the ICMP / ICMPv6 processing unit 94 sends an ICMP / ICMPv6 packet to the transmission source communication terminal 91. When the size of the ICMP / ICMPv6 packet to be returned exceeds the MTU value of the link on the communication terminal 91 side with reference to the MTU information holding unit 96, the fragment processing unit 95 causes the MTU value to be transmitted. Perform fragment processing to a size that does not exceed, and send it back. As a result, the transmission source communication terminal 91 receives and merges the fragmented ICMP / ICMPv6 packet, restores the previously transmitted packet, identifies the packet with the communication abnormality, and identifies the cause. be able to.

図8は、本発明の実施例6の説明図であり、データの送受信を行う装置としてのIP端末101,105間を、トンネリング終端装置102,104と中継装置103とを含むネットワークにより接続して、データ通信を行うネットワークシステムを示し、トンネリング終端装置104内は図示を省略しているが、トンネリング終端装置102と同様に、フラグメント処理部106と、トンネリング終端部107と、暗号処理部108と、ICMP/ICMPv6変換部109とを備えている。   FIG. 8 is an explanatory diagram of Embodiment 6 of the present invention, in which IP terminals 101 and 105 as devices for transmitting and receiving data are connected by a network including tunneling termination devices 102 and 104 and a relay device 103. , Which shows a network system for performing data communication, and the inside of the tunneling termination device 104 is omitted, but, like the tunneling termination device 102, a fragment processing unit 106, a tunneling termination unit 107, an encryption processing unit 108, An ICMP / ICMPv6 conversion unit 109 is provided.

IP端末101,105間では、IPv4又はIPv6によるデータ通信が行われるものであり、トンネリング終端装置102,104に於いて暗号化したパケットのトンネリング処理を行う。このパケットが中継装置103に於いてMTU超過サイズ等のイベント発生により廃棄される場合、中継装置103は、送信元方向のトンネリング終端装置102に対してICMP/ICMPv6パケットを送信して、イベント情報通知を行う。この場合に、ICMP/ICMPv6パケットのサイズがリンクのMTU値を超えると、中継装置103は、フラグメント処理して送出する。トンネリング終端装置102は、フラグメント処理部106により、分割されたICMP/ICMPv6パケットを合体して元のパケットに復元し、トンネリング終端部107に於いて終端処理を行い、暗号処理部108に於いて復号化し、復号されたデータの中身を解析して、ICMP/ICMPv6パケットの宛先を決定し、ICMP/ICMPv6変換部109に於いて、相手先アドレスのICMP/ICMPv6パケットを作成して送信元のIP端末101へ送出する。従って、通信異常発生の原因を送信元のIP端末101が認識できることになる。   Data communication by IPv4 or IPv6 is performed between the IP terminals 101 and 105, and tunneling processing of encrypted packets is performed in the tunneling termination devices 102 and 104. When this packet is discarded due to an event such as an MTU excess size in the relay apparatus 103, the relay apparatus 103 transmits an ICMP / ICMPv6 packet to the tunneling termination apparatus 102 in the transmission source direction to notify the event information. I do. In this case, when the size of the ICMP / ICMPv6 packet exceeds the MTU value of the link, the relay apparatus 103 performs fragment processing and sends it out. The tunneling termination device 102 combines the divided ICMP / ICMPv6 packets by the fragment processing unit 106 to restore the original packets, performs the termination processing in the tunneling termination unit 107, and decrypts it in the encryption processing unit 108. The destination of the ICMP / ICMPv6 packet is determined, the ICMP / ICMPv6 conversion unit 109 creates the ICMP / ICMPv6 packet of the destination address, and the source IP terminal 101. Therefore, the source IP terminal 101 can recognize the cause of the communication abnormality.

図9は、本発明の実施例7の説明図であり、データを送受信する装置としての通信端末111,112間を、通信装置113を介して接続したネットワークシステムを示し、通信装置113は、ICMP/ICMPv6変換部114とアドレス変換処理部115とを備えており、通信端末111と通信端末112との間でデータ通信を行う際に、アドレス学習テーブル等を備えたアドレス変換処理部115により、例えば、通信端末111のアドレスAと通信装置113のアドレスCと通信端末112のアドレスBとについて、通信端末111からの送信先アドレスCを、通信端末112のアドレスBに変換して中継送出し、通信端末112からの送信元アドレスBを、通信装置113のアドレスCに変換して転送する。又通信端末111から通信端末112へ、通信異常発生のイベントに従ってICMP/ICMPv6パケットが送信された場合、ICMP/ICMPv6変換部114に於いてICMP又はICMPv6の変換を行って、通信端末112へICMP/ICMPv6パケットを送信する。それにより、通信異常発生の情報を送信元の装置へ通知することができる。   FIG. 9 is an explanatory diagram of Embodiment 7 of the present invention, and shows a network system in which communication terminals 111 and 112 as devices for transmitting and receiving data are connected via a communication device 113. The communication device 113 is an ICMP. / ICMPv6 conversion unit 114 and address conversion processing unit 115, and when performing data communication between the communication terminal 111 and the communication terminal 112, the address conversion processing unit 115 including an address learning table, for example, For the address A of the communication terminal 111, the address C of the communication device 113, and the address B of the communication terminal 112, the destination address C from the communication terminal 111 is converted into the address B of the communication terminal 112 and relayed and transmitted. The source address B from the terminal 112 is converted into the address C of the communication device 113 and transferred. When an ICMP / ICMPv6 packet is transmitted from the communication terminal 111 to the communication terminal 112 in accordance with the event of occurrence of communication abnormality, the ICMP / ICMPv6 conversion unit 114 performs ICMP / ICMPv6 conversion and sends the ICMP / ICMPv6 to the communication terminal 112. An ICMPv6 packet is transmitted. Thereby, information on the occurrence of communication abnormality can be notified to the transmission source device.

図10は、本発明の実施例8の説明図であり、データを送受信する装置としての通信端末121,122間を、通信装置123を介して接続したネットワークシステムを示し、通信装置123は、ICMP/ICMPv6変換部124とICMP/ICMPv6データ解析部125とアドレス変換処理部126とを備えており、図9に示す実施例と同様に、アドレス変換を行って、通信端末121,122間のデータ通信を行う場合を示す。   FIG. 10 is an explanatory diagram of Embodiment 8 of the present invention, showing a network system in which communication terminals 121 and 122 as devices for transmitting and receiving data are connected via a communication device 123. The communication device 123 is an ICMP. / ICMPv6 conversion unit 124, ICMP / ICMPv6 data analysis unit 125, and address conversion processing unit 126, and performs address conversion and data communication between communication terminals 121 and 122 as in the embodiment shown in FIG. The case where is performed is shown.

例えば、通信端末121から通信端末122へICMP/ICMPv6パケットが送信される場合、ICMP/ICMPv6データ解析部125に於いて、ICMP/ICMPv6パケット内のデータを解析し、このICMP/ICMPv6パケットの転送先を決定する。そして、ICMP/ICMPv6変換部124は、ICMP/ICMPv6変換を行って、通信端末122へICMP/ICMPv6パケットを送信する。それにより、通信異常発生の情報を送信元の装置へ通知することができる。   For example, when an ICMP / ICMPv6 packet is transmitted from the communication terminal 121 to the communication terminal 122, the ICMP / ICMPv6 data analysis unit 125 analyzes the data in the ICMP / ICMPv6 packet and forwards the ICMP / ICMPv6 packet. To decide. Then, the ICMP / ICMPv6 conversion unit 124 performs ICMP / ICMPv6 conversion and transmits an ICMP / ICMPv6 packet to the communication terminal 122. Thereby, information on the occurrence of communication abnormality can be notified to the transmission source device.

図11は、本発明の実施例9の説明図であり、データを送受信する装置としての通信端末131,132間を、通信装置133を介して接続したネットワークシステムを示し、通信装置133は、ICMP/ICMPv6変換部134とアドレス変換処理部135とアドレス・ポート情報保持部136とを備え、通信装置133のアドレス変換処理部135により、通信装置131,132間のデータ通信に於けるアドレスについて変換処理する。   FIG. 11 is an explanatory diagram of Embodiment 9 of the present invention, showing a network system in which communication terminals 131 and 132 as devices for transmitting and receiving data are connected via a communication device 133. The communication device 133 is an ICMP. / ICMPv6 conversion unit 134, address conversion processing unit 135, and address / port information holding unit 136, and the address conversion processing unit 135 of the communication device 133 converts the address in the data communication between the communication devices 131 and 132. To do.

例えば、通信端末131から通信端末132へデータを送信する時に、通信端末132に於いて通信異常等を検出した場合、通信端末132は、受信した元のデータをパケット内に付加したICMP/ICMPv6パケットを、送信元の通信端末131へ送出する。通信装置133は、このICMP/ICMPv6パケットに付加された元のデータのネットワークアドレス、ポート番号等に基づいて、アドレス・ポート情報保持部136を参照し、ICMP/ICMPv6パケットの転送先の通信端末131を決定し、ICMP/ICMPv6変換部134により、ICMP/ICMPv6パケットの変換を行い、通信端末131へ変換したICMP/ICMPv6パケットを送信する。それにより、通信異常発生の情報を送信元の装置へ通知することができる。   For example, when data is transmitted from the communication terminal 131 to the communication terminal 132, when the communication terminal 132 detects a communication abnormality or the like, the communication terminal 132 adds the received original data to the packet in an ICMP / ICMPv6 packet. Is transmitted to the communication terminal 131 of the transmission source. The communication device 133 refers to the address / port information holding unit 136 based on the network address, port number, etc. of the original data added to the ICMP / ICMPv6 packet, and communicates with the communication terminal 131 to which the ICMP / ICMPv6 packet is transferred. The ICMP / ICMPv6 conversion unit 134 converts the ICMP / ICMPv6 packet, and transmits the converted ICMP / ICMPv6 packet to the communication terminal 131. Thereby, information on the occurrence of communication abnormality can be notified to the transmission source device.

図12は、本発明の実施例10の説明図であり、データを送受信する装置としての通信端末141,142間を、VPNエッジ装置144,145を含むVPN(Virtual Path Network;仮想私設網)143を介して接続したネットワークシステムを示す。VPN143は、通信事業者によって提供されるサービスであり、通信端末141,142間で、レイヤ2ネットワークを実現している。又VPNエッジ装置144,145は、VPN143の通信端末141,142側の転送処理を行う装置であり、VPNプロトコルを用いて転送処理を行うものである。又VPN143は、例えば、VLAN(Virtual Local Area Network),EoMPLS(Ethernet over Multi Protocol Label Switching)等のプロトコルによりデータの転送を行うものである。   FIG. 12 is an explanatory diagram of the tenth embodiment of the present invention. A VPN (Virtual Path Network) 143 including VPN edge devices 144 and 145 is provided between the communication terminals 141 and 142 as devices for transmitting and receiving data. The network system connected via is shown. The VPN 143 is a service provided by a communication carrier and realizes a layer 2 network between the communication terminals 141 and 142. The VPN edge devices 144 and 145 are devices that perform transfer processing on the communication terminals 141 and 142 side of the VPN 143, and perform transfer processing using the VPN protocol. The VPN 143 performs data transfer by using a protocol such as VLAN (Virtual Local Area Network) or EoMPLS (Ethernet over Multi Protocol Label Switching).

VPNプロトコルにより、VPN143内を転送するフレーム(パケット)に、ラベルやタグを付加するものであり、それによって、フレーム(パケット)の長さは長くなる。この為にVPN143の転送を許可する最大長を超える場合があり、最大長を超える場合は転送できないので、送信元の例えば通信端末141へICMPパケットによりサイズ超過を通知する。それにより、送信元の通信端末141は、サイズ超過とならない長さでデータを送出することになる。   A label or a tag is added to a frame (packet) transferred in the VPN 143 by the VPN protocol, whereby the length of the frame (packet) is increased. For this reason, there is a case where the maximum length permitted to transfer the VPN 143 may be exceeded, and when the maximum length is exceeded, the transfer cannot be performed. Therefore, the communication terminal 141 of the transmission source is notified of the excess size by an ICMP packet. As a result, the communication terminal 141 as the transmission source transmits data with a length that does not exceed the size.

又セキュリティの理由等により、VPNエッジ装置に於いてMAC(Media Access Control)アドレス等によるフィルタリング処理を行う場合がある。その場合に、例えば、VPNエッジ装置145に於いて通信端末141から通信端末142に対して転送するパケットを廃棄すると、VPNエッジ装置145は、送信元の通信端末141に対してICMP/ICMPv6パケットにより、パケット廃棄を通知する。それにより、送信元の通信端末141は、パケット不到達とその理由とを知ることができる。   For security reasons, the VPN edge device may perform a filtering process using a MAC (Media Access Control) address or the like. In this case, for example, when the packet transferred from the communication terminal 141 to the communication terminal 142 is discarded in the VPN edge device 145, the VPN edge device 145 sends an ICMP / ICMPv6 packet to the communication terminal 141 of the transmission source. , Notify packet discard. Thereby, the communication terminal 141 of the transmission source can know the packet non-arrival and the reason.

図13は、本発明の実施例11の説明図であり、データを送受信する装置としての通信端末151,152間を、レイヤ3VPN153を介して接続したネットワークシステムを示し、154はトンネル中継装置、155,156はトンネルエッジ装置を示す。レイヤ3VPN153は、通信端末からのIPv4又はIPv6パケットをトンネリングプロトコルに従ってカプセル化して転送処理を行うもので、トンネリングプロトコルとしては、MPLS(Multi Protocol Label Switching)、L2TP(Layer2 Tunneling Protocol)、IPsec(IP Security)等を用いることができる。   FIG. 13 is an explanatory diagram of Embodiment 11 of the present invention, showing a network system in which communication terminals 151 and 152 as devices for transmitting and receiving data are connected via a layer 3 VPN 153, 154 is a tunnel relay device, 155 , 156 denote tunnel edge devices. Layer 3 VPN 153 encapsulates an IPv4 or IPv6 packet from a communication terminal according to a tunneling protocol and performs a transfer process. As a tunneling protocol, MPLS (Multi Protocol Label Switching), L2TP (Layer2 Tunneling Protocol), IPsec (IP Secur) ) Etc. can be used.

トンネルエッジ装置155,156は、通信端末151,152とレイヤ3VPN153との間に位置し、通信端末151,152からのIP/IPv6パケットをトンネリングプロトコルによりカプセル化して、レイヤ3VPN153により転送する。トンネル中継装置154は、カプセル化されたパケットを中継転送するもので、パケットの中のデータについては全く触れないことになる。   The tunnel edge devices 155 and 156 are located between the communication terminals 151 and 152 and the layer 3 VPN 153, encapsulate IP / IPv6 packets from the communication terminals 151 and 152 by the tunneling protocol, and transfer them by the layer 3 VPN 153. The tunnel relay device 154 relays and transfers the encapsulated packet, and does not touch the data in the packet at all.

例えば、通信端末151から通信端末152へパケットを転送する時に、トンネル中継装置154に於いてMTU超過を検出すると、トンネル中継装置154は、宛先アドレスをトンネルエッジ装置155としたICMP/ICMPv6パケットを送信する。トンネルエッジ装置155は、カプセリングを解除して、トンネルのセッションIDやMPLSラベル値又はカプセル化パケットの内部の元のデータのIP/IPv6アドレスを基に、MTU超過を通知すべき通信端末を決定する。この時、トンネリングプロトコルにIPsecを用いた場合は、トンネリングプロトコル終端時に、暗号文の復号化(平文化)も行う。転送先を決定したトンネルエッジ装置155は、改めて、その転送先をアドレスとしてICMP/ICMPv6パケットを送信する。これにより、送信元の通信端末151は、通信異常発生の原因を認識することが可能となる。   For example, when a packet is transferred from the communication terminal 151 to the communication terminal 152, if the MTU excess is detected in the tunnel relay device 154, the tunnel relay device 154 transmits an ICMP / ICMPv6 packet with the destination address being the tunnel edge device 155. To do. The tunnel edge device 155 cancels the encapsulation, and determines the communication terminal to notify the MTU excess based on the session ID of the tunnel, the MPLS label value, or the IP / IPv6 address of the original data inside the encapsulated packet. . At this time, when IPsec is used as the tunneling protocol, the ciphertext is decrypted (plain culture) at the end of the tunneling protocol. The tunnel edge device 155 that has determined the transfer destination transmits an ICMP / ICMPv6 packet again using the transfer destination as an address. As a result, the communication terminal 151 of the transmission source can recognize the cause of the communication abnormality.

図14は、本発明の実施例12の説明図であり、IPv6ネットワーク167のIPv6端末161と、IPv6ネットワーク168のIPv6端末162とを、IPv4インターネット163を介して接続したネットワークシステムを示し、164はIPv4ルータ、165,166はIPv4−IPv6トランスレータを示す。   FIG. 14 is an explanatory diagram of Embodiment 12 of the present invention, and shows a network system in which an IPv6 terminal 161 of an IPv6 network 167 and an IPv6 terminal 162 of an IPv6 network 168 are connected via an IPv4 Internet 163. IPv4 routers 165 and 166 denote IPv4-IPv6 translators.

IPv6端末161がIPv6端末162へIPv6パケットを転送する時、IPv4インターネット163のIPv4ルータ164がMTU超過を検出した場合、IPv4ルータ164は、宛先アドレスがIPv4−IPv6トランスレータ165宛を示すICMPパケットを送出する。IPv4−IPv6トランスレータ165は、そのパケットのIPアドレス又はTCP/UDPのポート番号等を参照して、MTU超過を通知すべき通信端末を決定する。転送先を決定したIPv4−IPv6トランスレータ165は、その転送先をアドレスとしてICMPv6パケットを、送信元のIPv6端末161へ送信する。これにより、送信元のIPv6端末161は、通信異常発生の原因を認識することが可能となる。   When the IPv6 router 161 detects an MTU excess when the IPv6 terminal 161 transfers an IPv6 packet to the IPv6 terminal 162, the IPv4 router 164 sends an ICMP packet indicating that the destination address is addressed to the IPv4-IPv6 translator 165. To do. The IPv4-IPv6 translator 165 refers to the IP address of the packet, the TCP / UDP port number, or the like to determine a communication terminal to be notified of MTU excess. The IPv4-IPv6 translator 165 that has determined the transfer destination transmits an ICMPv6 packet to the source IPv6 terminal 161 with the transfer destination as an address. As a result, the source IPv6 terminal 161 can recognize the cause of the communication abnormality.

本発明の実施例1の説明図である。It is explanatory drawing of Example 1 of this invention. 本発明の実施例2の説明図である。It is explanatory drawing of Example 2 of this invention. 本発明の実施例3の説明図である。It is explanatory drawing of Example 3 of this invention. 本発明の実施例4の説明図である。It is explanatory drawing of Example 4 of this invention. ICMP/ICMPv6パケットの説明図である。It is explanatory drawing of an ICMP / ICMPv6 packet. 一部欠落データが付加されたパケットの説明図である。It is explanatory drawing of the packet to which some missing data was added. 本発明の実施例5の説明図である。It is explanatory drawing of Example 5 of this invention. 本発明の実施例6の説明図である。It is explanatory drawing of Example 6 of this invention. 本発明の実施例7の説明図である。It is explanatory drawing of Example 7 of this invention. 本発明の実施例8の説明図である。It is explanatory drawing of Example 8 of this invention. 本発明の実施例9の説明図である。It is explanatory drawing of Example 9 of this invention. 本発明の実施例10の説明図である。It is explanatory drawing of Example 10 of this invention. 本発明の実施例11の説明図である。It is explanatory drawing of Example 11 of this invention. 本発明の実施例12の説明図である。It is explanatory drawing of Example 12 of this invention. トンネリング転送のネットワークシステムの説明図である。It is explanatory drawing of the network system of tunneling transfer. 従来のネットワークシステムの説明図である。It is explanatory drawing of the conventional network system.

符号の説明Explanation of symbols

31,41,51,32,42,52 通信端末
33,43,53 通信装置
34,44,54 ICMP/ICMPv6処理部
35,45,55 レイヤ2転送処理部
46 MTU情報保持部
56 フィルタリング情報保持部 31, 41, 51, 32, 42, 52 Communication terminal 33, 43, 53 Communication device 34, 44, 54 ICMP / ICMPv6 processing unit 35, 45, 55 Layer 2 transfer processing unit 46 MTU information holding unit 56 Filtering information holding unit

Claims (4)

装置間のデータ転送処理を行う通信装置に於いて、
前記装置間のデータをトンネリングプロトコルによりカプセル化及びデカプセル化を行って転送制御処理を行うトンネリング終端部と、
通信異常イベント発生の情報を転送するカプセル化されたICMP/ICMPv6パケットのヘッダ内情報を基に送信元の装置を判定し、該送信元の装置へ前記通信異常イベント発生の情報を転送する為の変換処理を行うICMP/ICMPv6変換部と
を含む構成を有することを特徴とする通信装置。 In a communication device that performs data transfer processing between devices,
A tunneling termination unit that performs transfer control processing by encapsulating and decapsulating data between the devices by a tunneling protocol;
The header information of the encapsulated transfer information of the communication abnormality event occurrence ICMP / ICMPv6 packets to determine device source based, for transferring the information of the communication abnormality event occurrence to the transmission source unit A communication apparatus comprising: an ICMP / ICMPv6 conversion unit that performs conversion processing. 装置間のデータ転送処理を行う通信装置に於いて、
前記装置間のデータを暗号化及び復号化する暗号処理部と、
該暗号処理部により暗号化されたデータをトンネリングプロトコルによりカプセル化して送出し、受信したデータをデカプセル化して前記暗号処理部へ転送するトンネリング終端部と、
通信異常イベント発生の情報を送信元の装置へ通知する為のICMP/ICMPv6パケットのサイズがリンクの最大転送可能サイズを超えている時にフラグメント処理を行って送出し、且つフラグメント処理されたパケットを受信して元のパケットに合体するフラグメント処理部と、
前記暗号処理部により復号化されたパケットを解析して前記データの送信元の装置を判定し、判定した送信元の該装置へICMP/ICMPv6パケットを送出するICMP/ICMPv6変換部と
を含む構成を有することを特徴とする通信装置。 In a communication device that performs data transfer processing between devices,
An encryption processing unit for encrypting and decrypting data between the devices;
A tunneling termination unit that encapsulates and transmits the data encrypted by the cryptographic processing unit using a tunneling protocol, decapsulates the received data, and transfers the data to the cryptographic processing unit;
When the ICMP / ICMPv6 packet size for notifying the transmission source event information to the transmission source device exceeds the maximum transferable size of the link, fragment processing is performed and the fragment processed packet is received. A fragment processing unit that merges into the original packet,
A configuration including an ICMP / ICMPv6 conversion unit that analyzes a packet decrypted by the encryption processing unit to determine a device that is a transmission source of the data, and that sends an ICMP / ICMPv6 packet to the determined transmission source device. A communication device comprising: 装置間のデータ転送処理を行う複数の通信装置を含むネットワークシステムに於いて、In a network system including a plurality of communication devices that perform data transfer processing between devices,
前記通信装置は、トンネリングプロトコルにより前記データのカプセル化及びデカプセル化を行うトンネリング終端部と、通信異常イベント発生の情報を通知する為のICMP/ICMPv6パケットを、該パケット内のデータを解析して転送先の装置を判定し、判定した転送先の装置へ送出する為のアドレス変換処理を行うICMP/ICMPv6変換部とを含む構成を有するThe communication apparatus analyzes the data in the packet and transfers the ICMP / ICMPv6 packet for notifying the information of the occurrence of the communication abnormal event, and the tunneling termination unit that encapsulates and decapsulates the data by the tunneling protocol. An ICMP / ICMPv6 conversion unit that performs address conversion processing for determining the destination device and sending the determined device to the destination device
ことを特徴とするネットワークシステム。A network system characterized by this. 装置間のデータ転送処理を行う複数の通信装置を含むネットワークシステムに於いて、In a network system including a plurality of communication devices that perform data transfer processing between devices,
前記通信装置は、前記装置間のデータを暗号化及び復号化する暗号処理部と、暗号化されたデータをトンネルプロトコルによりカプセル化して送出し、且つ受信したデータをデカプセル化するトンネリング終端部と、通信異常イベント発生の情報を送信元の装置へ通知する為のICMP/ICMPv6パケットのサイズが、前記送信元の装置に対するリンクの最大転送可能サイズを超えている時にフラグメント処理を行って送出し、且つフラグメント処理されたパケットを受信して元のパケットに合体するフラグメント処理部と、前記暗号処理部により復号化されたパケットを解析して前記データの送信元の装置を判定し、判定した送信元の装置を転送先の装置としてICMP/ICMPv6パケットを送出するICMP/ICMPv6変換部とを含む構成を有するThe communication device includes an encryption processing unit that encrypts and decrypts data between the devices, a tunneling termination unit that encapsulates and transmits the encrypted data using a tunnel protocol, and decapsulates the received data; When the size of the ICMP / ICMPv6 packet for notifying the information on the occurrence of the communication abnormal event to the transmission source device exceeds the maximum transferable size of the link to the transmission source device, the fragment processing is performed and transmitted. Fragment processing unit that receives the fragmented packet and merges it with the original packet, and analyzes the packet decrypted by the encryption processing unit to determine the device that is the source of the data, ICMP / ICMPv6 conversion that sends ICMP / ICMPv6 packet with device as destination device It has a configuration that includes a door
ことを特徴とするネットワークシステム。A network system characterized by this.
JP2004035957A 2004-02-13 2004-02-13 Communication apparatus and network system Expired - Lifetime JP4429758B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004035957A JP4429758B2 (en) 2004-02-13 2004-02-13 Communication apparatus and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004035957A JP4429758B2 (en) 2004-02-13 2004-02-13 Communication apparatus and network system

Publications (2)

Publication Number Publication Date
JP2005229330A JP2005229330A (en) 2005-08-25
JP4429758B2 true JP4429758B2 (en) 2010-03-10

Family

ID=35003706

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004035957A Expired - Lifetime JP4429758B2 (en) 2004-02-13 2004-02-13 Communication apparatus and network system

Country Status (1)

Country Link
JP (1) JP4429758B2 (en)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4660346B2 (en) * 2005-10-17 2011-03-30 株式会社東芝 BRIDGE DEVICE AND BRIDGE DEVICE CONTROL METHOD
JP4776330B2 (en) * 2005-10-17 2011-09-21 株式会社東芝 BRIDGE DEVICE AND BRIDGE DEVICE CONTROL METHOD
JP4735202B2 (en) * 2005-11-15 2011-07-27 Kddi株式会社 Mobile terminal and program for selecting routing protocol for ad hoc network
JP4647481B2 (en) * 2005-12-19 2011-03-09 三菱電機株式会社 Encrypted communication device
CN101656660A (en) * 2008-08-19 2010-02-24 华为技术有限公司 Method, device and system for carrying MPLS messages in PON
KR101359369B1 (en) 2012-09-17 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network using ICMPv6 Node Information Query
KR101359373B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network
KR101359371B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host using packet generated in network
KR101359372B1 (en) 2013-12-12 2014-02-07 (주)넷맨 Method for checking and searching activity state of host in network using DHC Internet Protocol Version 6 packet
US10644976B2 (en) 2015-05-18 2020-05-05 Denso Corporation Relay apparatus
JP6540488B2 (en) * 2015-05-18 2019-07-10 株式会社デンソー Relay device

Also Published As

Publication number Publication date
JP2005229330A (en) 2005-08-25

Similar Documents

Publication Publication Date Title
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
CN107852359B (en) Security system, communication control method, and computer program
CN102377629B (en) Method and device for communicating with server in IMS (IP multimedia subsystem) core network by using terminal to pass through private network as well as network system
US7684414B2 (en) System and method for using performance enhancing proxies with IP-layer encryptors
EP2777217B1 (en) Protocol for layer two multiple network links tunnelling
US7177272B2 (en) System and method for optimizing link throughput in response to non-congestion-related packet loss
US20050138369A1 (en) Secure transport of multicast traffic
JP2007533172A (en) Virtual private network with fake server
JP4429758B2 (en) Communication apparatus and network system
CN114631297B (en) Method and network device for multipath communication
CN104168173A (en) Method and device for terminal to achieve private network traversal to be in communication with server in IMS core network and network system
CN112600802B (en) SRv6 encrypted message and SRv6 message encryption and decryption methods and devices
US7346926B2 (en) Method for sending messages over secure mobile communication links
Savola Mtu and fragmentation issues with in-the-network tunneling
JPWO2013179551A1 (en) TRANSMISSION DEVICE, RECEPTION DEVICE, COMMUNICATION SYSTEM, TRANSMISSION METHOD, AND RECEPTION METHOD
JP2001156841A (en) Encryption device, enciphering device, and deciphering device
CN106161386B (en) Method and device for realizing IPsec (Internet protocol Security) shunt
JP2002271417A (en) Tunneling device
JP4764394B2 (en) Data relay system, data relay method, and data relay device
JP3632167B2 (en) Cryptographic communication device
WO2023159346A1 (en) Communication devices and methods therein for facilitating ipsec communications
EP4436109A1 (en) Key distribution over ip/udp
WO2022069024A1 (en) Methods and apparatuses for providing communication between a server and a client device via a proxy node
Eastlake 3rd et al. Transparent Interconnection of Lots of Links (TRILL): RBridge Channel Header Extension
JP2006033350A (en) Proxy secure router apparatus and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090714

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090903

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091215

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091216

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121225

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4429758

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131225

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term