JP4630225B2 - 通信制御システム - Google Patents

通信制御システム Download PDF

Info

Publication number
JP4630225B2
JP4630225B2 JP2006135617A JP2006135617A JP4630225B2 JP 4630225 B2 JP4630225 B2 JP 4630225B2 JP 2006135617 A JP2006135617 A JP 2006135617A JP 2006135617 A JP2006135617 A JP 2006135617A JP 4630225 B2 JP4630225 B2 JP 4630225B2
Authority
JP
Japan
Prior art keywords
information
network
prefix
route
community
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006135617A
Other languages
English (en)
Other versions
JP2007306518A (ja
Inventor
直樹 小口
哲明 鶴岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006135617A priority Critical patent/JP4630225B2/ja
Priority to US11/602,688 priority patent/US7684339B2/en
Publication of JP2007306518A publication Critical patent/JP2007306518A/ja
Application granted granted Critical
Publication of JP4630225B2 publication Critical patent/JP4630225B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/42Centralised routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークを介しておこなわれる通信の制御をおこなう通信制御システムに関し、特に、企業網において一般に用いられているIGPなどの技術を利用しつつ、プレフィックスが変更された場合でも経路制御を効率的におこなうことができる通信制御システムに関する。
従来、複数のネットワーク間でデータ通信をおこなう場合には、ルータやゲートウェイなどの通信装置がネットワーク間におけるデータの中継処理をおこなっている。
図20は、複数のネットワーク間でおこなわれるデータ通信の例を示す図である。図20に示すように、複数のネットワーク間でおこなわれるデータ通信の例としては、ある企業のネットワーク(企業網1)とインターネット2a、他の企業との間で構築したエクストラネット2b、通信の実験用に一時的に設けられた実験網2cとの間のデータ通信などが挙げられる。
このように、企業網1を外部のネットワークと接続する場合には、特定のネットワークとの間でのみデータ通信をおこなえるように制限したいという要求がある。そのため、パケットのフィルタリングをおこなうルータが、端末装置の認証をおこなうサーバ装置により認証された端末装置にIPアドレスの割り当てをおこない、認証された端末装置以外の端末装置のパケットを棄却するサービス制御ネットワークが開示されている(特許文献1を参照)。
ところが、この方法は、ルータがIPアドレスの割り当てをおこなうものであり、アドレスの割り当てがネットワークの管理者によりなされたり、ルータ以外の装置によってなされる場合には、アドレスが割り当てられたことを効率的に検出することが難しいという問題がある。
一方、パケットの通信制御をおこなうためのプロトコルとしてIGP(Interior Gateway Protocol)が開発されている。このIGPでは、プレフィックス情報を含んだ経路情報をルータ間でやり取りする。ここでプレフィックスとは、パケットの送信宛て先となるネットワークアドレスである。
図21は、IGPを用いた従来のネットワークについて説明する図である。図21に示すように、このネットワークにおいては、IGPルータ3a〜3d間で配下にあるネットワークのプレフィックス情報を含んだ経路情報(RIP(Routing Information Protocol)メッセージ5)をやり取りしている。
そして、ネットワークの管理者は、ネットワーク管理サーバ4を用いて、転送を許可する経路情報の宛て先アドレスを登録したプレフィックスフィルタ5a,5c,5dを各IGPルータ3a〜3dに設定して経路情報のフィルタリングをおこなうことにより、各IGPルータ3a〜3dへの経路情報の配布を制御し、データ通信をおこなうネットワークを制限することができる。
なお、図21に示したプレフィックスフィルタ5a,5c,5dにおいては、デフォルトではすべての経路情報を破棄するように設定されている(「default deny」)。そして、所定のプレフックス「prefix」に対応する経路情報の通過を所定の通信インターフェース「IF」において許可する場合には、そのプレフィックスの情報と通信インターフェースの情報とがプレフィックスフィルタ5a,5c,5dに登録される(「permit prefix for IF」)。
ただし、この場合でも、ネットワークの構成を変更した場合には、管理者がプレフィックスフィルタ5a,5c,5dを再設定する必要があって管理に労力を要するという問題が残っている。特に、企業網の外部にあるネットワークにおいては、当該企業に断り無くネットワーク構成の変更がおこなわれる場合があり、そのような場合にはネットワークに新しく割り当てられたプレフィックスを管理者が把握するのは困難である。
また、ネットワークのプレフィックスの変更に影響を受けずに経路制御をおこなうことができる経路制御プロトコルとして、BGP(Border Gateway Protocol)がある。このBGPでは、RFC(Request For Comments)2547で導入された拡張コミュニティ属性を用いることで、経路情報を配布する配布先を特定のコミュニティに制限することができる。ここで、コミュニティとは、BGPルータ配下のグループ化されたネットワークの宛て先アドレスのことである。
図22は、BGPを用いた従来のネットワークについて説明する図である。図22に示すように、このネットワークにおいては、BGPルータ7a〜7c間で、配下にあるネットワークのプレフィックス情報を含んだ経路情報(BGPアップデートメッセージ8)をやり取りしている。
たとえば、BGPルータ7a〜7cは、あるコミュニティからBGPアップデートメッセージ8を受信した場合に、BGPアップデートメッセージ8にコミュニティ属性を付加したBGPアップデートメッセージ8を他のBGPルータ7a〜7cに送信する。ここで、このコミュニティ属性とは、コミュニティ属性フィルタ9a〜9cのエクスポートターゲット(Export target)ポリシに登録されているコミュニティ名(「10:1」など)の情報である。
また、BGPルータ7a〜7cは、BGPアップデートメッセージ8に含まれるコミュニティ属性をインポートターゲット(Import target)として設定し、どの経路からの経路情報を通過させるかを定義したコミュニティ属性フィルタを予め設定しておく。
このように、BGPを用いたネットワークでは、プレフィックスの情報の代わりにコミュニティ属性の情報を用いて経路情報の通過の可否に係る情報を登録したフィルタを設定するため、経路情報を配布する配布先の制限を容易におこなうことができる。
特開2003−134145号公報
しかしながら、上述したBGPを用いた従来技術では、コミュニティ属性を用いることによりネットワークのプレフィックスの変更に影響を受けない経路制御をおこなうことができるものの、BGPを企業網に導入しようとすると多大なコストがかかってしまうという問題があった。
すなわち、BGPは、プロバイダ間における通信など、大きな組織のネットワークをまたがって経路情報を配布するために設計されたプロトコルであり、企業網など単一の経路制御ポリシーを持つネットワークとはネットワークの管理単位が異なる。
そのため、企業網においては単一の経路制御ポリシーを持つネットワークに適したIGPによる運用が一般的となっており、BGPを利用するためにはIGPルータをBGPルータに入れ替える必要があるなど、多大なコストがかかってしまうという問題があった。
このようなことから、企業網において一般に用いられているIGPなどの技術を利用しつつ、ネットワークのプレフィックスが変更された場合でも経路制御を効率的におこなうことができる技術の開発が強く望まれていた。
本発明は、上述した従来技術による問題点を解消するためになされたものであり、企業網において一般に用いられているIGPなどの技術を利用しつつ、ネットワークのプレフィックスが変更された場合でも経路制御を効率的におこなうことができる通信制御システムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、宛先となるネットワークのアドレス(実施例におけるプレフィックスに対応する)と、該ネットワークへの経由通信装置の識別情報とからなる経路情報を含んだ経路メッセージを配布している第一のネットワーク、第二のネットワーク、第三のネットワークから構成され、第二のネットワークが第一のネットワークと第三のネットワークとの間の通信パケットを中継する形態の通信網において、一つ以上の通信装置(図1に示すIGPルータ10a,10c,10dに対応する)とサーバ(図1に示すコミュニティ管理サーバ20に対応する)とから構成される通信制御システムであって、第一と第二のネットワークに接続した通信装置が第一のネットワークから宛先ネットワークに対する経路情報を含む経路メッセージを受信する場合において第二のネットワーク内で同じ扱いをする宛先ネットワークアドレスの集合(実施例におけるコミュニティに対応する)を表す集合名と該集合に加える経路情報の追加ルールの定義(図3に示すコミュニティ定義テーブル24bに対応する)を記憶する記憶手段(図5に示すコミュニティ管理サーバ20の記憶部24に対応する)と、前記通信装置が第一のネットワークから受信した経路メッセージに含まれる宛先ネットワークアドレス、当該経路メッセージを受信した通信装置およびインタフェースの識別情報を通信装置から収集する収集手段(図5に示すコミュニティ管理サーバ20のプレフィックス検出部25cに対応する)と、前記記憶手段により記憶された集合名と該集合に加える経路情報の追加ルールと、前記収集手段により収集した情報から、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報(図4に示すプレフィックス管理テーブル24cに対応する)を作成する対応情報作成手段と、前記集合に含まれる経路情報の第三のネットワークへの経路配布規則(図2に示すポリシ定義テーブル24aに対応する)を集合に対する条件として受け付け、該経路配布規則を、前記対応情報作成手段で作成した対応情報に基づき、第二のネットワーク内に含まれる通信装置のインタフェースにおける経路情報のフィルタ条件(図6に示すフィルタ管理テーブル24dに対応する)に変換するフィルタ条件生成手段と、前記フィルタ条件生成手段により生成した経路情報のフィルタ条件を通信装置に設定する設定手段と、を備えたことを特徴とする。
また、本発明は、上記発明において、前記対応情報作成手段は、前記収集手段により経路情報が収集されてから所定の時間以上経過した場合、該経路情報から生成した、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を破棄することを特徴とする。
また、本発明は、上記発明において、前記設定手段は、第二のネットワークにおいて、第一のネットワークに接続された第一の通信装置から第三のネットワークに接続された第三の通信装置へと経路情報が送信される通信経路に第二の通信装置(図15に示す経由ルータ管理テーブル24fに登録される経由ルータに対応する)がある場合に、前記フィルタ条件生成手段により生成された経路情報のフィルタ条件を第二の通信装置に設定することを特徴とする。
また、本発明は、上記発明において、前記設定手段は宛先ネットワークアドレスの情報を送信することにより経路情報のフィルタ条件を通信装置に設定し、通信装置は受信した情報に基づいてユーザデータのパケットのフィルタリングをおこなうフィルタリング手段(図7に示すIGPルータ10cのパケットフィルタ部16に対応する)をさらに備えたことを特徴とする。
また、本発明は、上記発明において、前記通信装置とは別に設置され、宛先ネットワークアドレスを経路メッセージから検出する宛先ネットワークアドレス検出手段(実施例1におけるIGPルータ10cとは別に設けられたプレフィックス検出装置に対応する)をさらに備え、前記収集手段は、前記宛先ネットワークアドレス検出手段により検出された宛先ネットワークアドレスに係る情報と当該宛先ネットワークアドレスの情報を含んだ経路メッセージを受信した通信装置及び受信インタフェースの識別情報とを収集することを特徴とする。
また、本発明は、宛先となるネットワークのアドレスと、該ネットワークへの経由通信装置の識別情報とからなる経路情報を含んだ経路メッセージを配布している第一のネットワーク、第二のネットワーク、第三のネットワークから構成され、第二のネットワークが第一のネットワークと第三のネットワークとの間の通信パケットを中継する形態の通信網において、一つ以上の通信装置とサーバとから構成される通信制御システムが通信制御をおこなう通信制御方法であって、前記通信装置が第一のネットワークから受信した経路メッセージに含まれる宛先ネットワークアドレス、当該経路メッセージを受信した通信装置およびインタフェースの識別情報を通信装置から収集する収集工程と、第一と第二のネットワークに接続した通信装置が第一のネットワークから宛先ネットワークに対する経路情報を含む経路メッセージを受信する場合において第二のネットワーク内で同じ扱いをする宛先ネットワークアドレスの集合を表す集合名と該集合に加える経路情報の追加ルールのあらかじめ記憶された定義の情報と、前記収集工程により収集した情報から、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を作成する対応情報作成工程と、前記集合に含まれる経路情報の第三のネットワークへの経路配布規則を集合に対する条件として受け付け、該経路配布規則を、前記対応情報作成工程で作成した対応情報に基づき、第二のネットワーク内に含まれる通信装置のインタフェースにおける経路情報のフィルタ条件に変換するフィルタ条件生成工程と、前記フィルタ条件生成工程により生成した経路情報のフィルタ条件を通信装置に設定する設定工程と、を含んだことを特徴とする。
また、本発明は、宛先となるネットワークのアドレスと、該ネットワークへの経由通信装置の識別情報とからなる経路情報を含んだ経路メッセージを配布している第一のネットワーク、第二のネットワーク、第三のネットワークから構成され、第二のネットワークが第一のネットワークと第三のネットワークとの間の通信パケットを中継する形態の通信網において、一つ以上の通信装置とサーバとから構成される通信制御システムが通信制御をおこなう通信制御プログラムであって、前記通信装置が第一のネットワークから受信した経路メッセージに含まれる宛先ネットワークアドレス、当該経路メッセージを受信した通信装置およびインタフェースの識別情報を通信装置から収集する収集手順と、第一と第二のネットワークに接続した通信装置が第一のネットワークから宛先ネットワークに対する経路情報を含む経路メッセージを受信する場合において第二のネットワーク内で同じ扱いをする宛先ネットワークアドレスの集合を表す集合名と該集合に加える経路情報の追加ルールのあらかじめ記憶された定義の情報と、前記収集手順により収集した情報から、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を作成する対応情報作成手順と、前記集合に含まれる経路情報の第三のネットワークへの経路配布規則を集合に対する条件として受け付け、該経路配布規則を、前記対応情報作成手順で作成した対応情報に基づき、第二のネットワーク内に含まれる通信装置のインタフェースにおける経路情報のフィルタ条件に変換するフィルタ条件生成手順と、前記フィルタ条件生成手順により生成した経路情報のフィルタ条件を通信装置に設定する設定手順と、をコンピュータに実行させることを特徴とする。
本発明によれば、第一と第二のネットワークに接続した通信装置が第一のネットワークから宛先ネットワークに対する経路情報を含む経路メッセージを受信する場合において第二のネットワーク内で同じ扱いをする宛先ネットワークアドレスの集合を表す集合名と該集合に加える経路情報の追加ルールの定義を記憶し、通信装置が第一のネットワークから受信した経路メッセージに含まれる宛先ネットワークアドレス、当該経路メッセージを受信した通信装置およびインタフェースの識別情報を通信装置から収集し、記憶した集合名と該集合に加える経路情報の追加ルールと、収集した情報から、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を作成し、集合に含まれる経路情報の第三のネットワークへの経路配布規則を集合に対する条件として受け付け、該経路配布規則を、作成した対応情報に基づき、第二のネットワーク内に含まれる通信装置のインタフェースにおける経路情報のフィルタ条件に変換し、生成した経路情報のフィルタ条件を通信装置に設定することとしたので、企業網において一般に用いられているIGPなどの技術を利用しつつ、宛て先アドレスが変更された場合でも経路制御を効率的におこなうことができるという効果を奏する。
また、本発明によれば、経路情報が収集されてから所定の時間以上経過した場合、該経路情報から生成した、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を破棄することとしたので、古い情報を破棄することにより誤った情報に基づいて経路制御をおこなうことを防止することができるという効果を奏する。
また、本発明によれば、第二のネットワークにおいて、第一のネットワークに接続された第一の通信装置から第三のネットワークに接続された第三の通信装置へと経路情報が送信される通信経路に第二の通信装置がある場合に、生成された経路情報のフィルタ条件を第二の通信装置に設定することとしたので、ネットワーク内に無駄な経路情報が送信されることを抑制することができるという効果を奏する。
また、本発明によれば、通信装置は、送信された宛て先アドレスの情報を受信し、受信した情報に基づいて経路情報のフィルタリングをおこなうこととしたので、何らかの方法で宛て先アドレスの情報が第三者に流出してしまった場合でも、通信が許可されていないネットワークからユーザデータのパケットが該宛て先アドレスのネットワークに送信されることを防止することができるという効果を奏する。
また、本発明によれば、通信装置とは別に設置された装置が、宛て先アドレスを経路情報から検出し、当該装置により検出された宛て先アドレスに係る情報と当該宛て先アドレスの情報を含んだ経路情報を受信した通信装置の情報とを収集することとしたので、通信装置と宛て先アドレスの検出装置とを別装置とすることにより、宛て先アドレスの検出機能を持たない通信装置を利用することができるという効果を奏する。
以下に添付図面を参照して、本発明に係る通信制御システムの好適な実施例を詳細に説明する。
まず、本発明に係る通信制御処理の概念について説明する。図1は、本発明に係る通信制御処理の概念について説明する図である。図1には、コミュニティ名が「10:1」であるコミュニティ、および、コミュニティ名が「10:2」であるコミュニティを配下のネットワークとして有するIGPルータ10aと、コミュニティ名が「20:1」であるコミュニティを配下のネットワークとして有するIGPルータ10cと、コミュニティ名が「30:1」であるコミュニティを配下のネットワークとして有するIGPルータ10dと、IGPルータ10a,10c,10d間を接続する通信経路上にあるIGPルータ10bとが示されている。
ここで、コミュニティ「10:1」(以下では、コミュニティ名が「10:1」であるコミュニティをこのように呼ぶ。コミュニティ名が「10:2」、「20:1」、「30:1」であるコミュニティについても同様である。)は、プレフィックス「prefix1」、「prefix2」、「prefix3」、「prefix4」に対応する各ネットワークを含んでいる。
同様に、コミュニティ「10:2」は、プレフィックス「prefix5」、「prefix6」、「prefix7」、「prefix8」に対応する各ネットワークを含んでいる。コミュニティ「20:1」は、プレフィックス「prefixA1」、「prefixA2」に対応する各ネットワークを含んでいる。コミュニティ「30:1」は、プレフィックス「prefixB1」、「prefixB2」に対応する各ネットワークを含んでいる。
たとえば、コミュニティ「20:1」は、企業の販売部門が利用するネットワークに対応し、コミュニティ「30:1」は、企業の研究部門が利用するネットワークに対応し、コミュニティ「10:1」は、企業網外のエクストラネットに対応し、コミュニティ「10:2」は、通信実験をおこなう実験網に対応するものとする。
また、販売部門はエクストラネットを利用して通信をおこなうが、実験網を利用することはなく、研究部門は実験網を利用して通信をおこなうが、エクストラネットを利用することはないものとする。
このような場合に、エクストラネットの経路情報を研究部門が利用するネットワークに送信したり、実験網の経路情報を販売部門が利用するネットワークに送信したりすることは望ましくない。これは、経路情報は宛て先アドレスとなる情報を含んでいるため、むやみに経路情報を配布すると、経路情報の送信元のネットワーク構成や通信装置のアドレスが予想され、攻撃される可能性が生じるためである。
そのため、以下では、エクストラネットの経路情報は販売部門のネットワークにのみ配布し、実験網の経路情報は研究部門のネットワークのみに配布するなどして、経路情報の配布を制御することを考える。
図1に示すように、各IGPルータ10a〜10dには、コミュニティ管理サーバ20がネットワークを介して接続されている。このコミュニティ管理サーバ20は、経路情報の通過または廃棄条件を各IGPルータ10a〜10dに設定するサーバである。
具体的には、このコミュニティ管理サーバ20は、ネットワークの管理者からIGPルータ10a〜10dにおいて経路情報の配布を許可するコミュニティの設定を受け付け、受け付けた設定をポリシ定義テーブル24aとして記憶する。
図2は、ポリシ定義テーブル24aの一例を示す図である。図2に示すように、このポリシ定義テーブル24aは、ポリシ名および内容の情報を記憶している。ポリシ名は、設定された各ポリシを識別するための名称である。内容は、経路情報の配布を許可するコミュニティの設定内容である。ここで、「Put x to y」は、コミュニティ「x」からコミュニティ「y」への経路情報の配布を許可することを示す。
また、コミュニティ管理サーバ20は、各コミュニティが接続されているIGPルータ10a〜10dの通信インターフェースの情報の入力をネットワークの管理者から受け付け、受け付けた情報をコミュニティ定義テーブル24bとして記憶する。
図3は、コミュニティ定義テーブル24bの一例を示す図である。図3に示すように、このコミュニティ定義テーブル24bは、コミュニティ名および位置の情報を記憶している。コミュニティ名とは、定義されたコミュニティの名称である。位置とは、定義されたコミュニティが収容されているIGPルータ10a〜10dの通信インターフェースの情報である。
図3の例では、「ルータ1」はIGPルータ10aを指しており、IGPルータ10aの通信インターフェース「IF−0」にコミュニティ「10:1」が、IGPルータ10aの通信インターフェース「IF−1」にコミュニティ「10:2」が収容されていることを示している。
また、「ルータ3」はIGPルータ10cを指しており、IGPルータ10cの通信インターフェース「IF−1」にコミュニティ「20:1」が収容されていることを示している。また、「ルータ4」はIGPルータ10dを指しており、IGPルータ10dの通信インターフェース「IF−1」にコミュニティ「30:1」が収容されていることを示している。
以下の説明では、「ルータ1」、「ルータ2」、「ルータ3」、「ルータ4」は、それぞれIGPルータ10a、IGPルータ10b、IGPルータ10c、IGPルータ10dを指すものとする。
さらに、コミュニティ管理サーバ20は、各IGPルータ10a〜10dのプレフィックス検出部14a〜14cがRIPメッセージ30から検出したプレフィックスの情報を受信する。なお、この情報には、IGPルータ10a〜10dがどの通信インターフェースでRIPメッセージ30を受信したかを示す情報も含まれている。RIPメッセージ30は、宛先となるネットワークに対応するプレフィックスの情報と、該ネットワークへの経由IGPルータ10a〜10dの識別情報とからなる経路情報を含んでいる。
そして、コミュニティ管理サーバ20は、コミュニティ定義テーブル24bを参照し、プレフィックスが検出された通信インターフェースに対応するコミュニティを特定する。さらに、コミュニティ管理サーバ20は、特定したコミュニティとプレフィックスとの間の対応関係の情報をプレフィックス管理テーブル24cとして記憶する。
図4は、プレフィックス管理テーブル24cの一例を示す図である。図4に示すように、このプレフィックス管理テーブル24cには、コミュニティ名、プレフィックス、登録時刻の情報が登録される。
コミュニティ名は、各コミュニティの名称である。プレフィックスは、各コミュニティに含まれるサブネットに対応するプレフィックスの情報である。登録時刻は、コミュニティ名とプレフィックスとの対応関係の情報が登録された日時の情報である。
ここで、IGPルータ10a〜10dは、RIPメッセージ30から検出したプレフィックスの情報に変化があった場合に、そのプレフィックスの情報をコミュニティ管理サーバ20に送信する。そして、コミュニティ管理サーバ20は、IGPルータ10a〜10dからプレフィックスの情報を受信するたびにプレフィックス管理テーブル24cを更新する。
また、コミュニティ管理サーバ20は、プレフィックス管理テーブル24cを参照し、ポリシ定義テーブル24aにコミュニティ名が登録されたコミュニティに対応するプレフィックスを特定する。
そして、コミュニティ管理サーバ20は、コミュニティ定義テーブル24bからそのコミュニティ名に対応する通信インターフェースの位置の情報を検索し、位置の情報により特定されるIGPルータ10a〜10dの通信インターフェースにプレフィックスフィルタ19a〜19cを設定する処理をおこなう。
たとえば、図2に示したポリシ定義テーブル24aにおけるポリシ「Com1」の「Put 10:1 to 20:1」では、コミュニティ「10:1」からコミュニティ「20:1」へのRIPメッセージ30の送信が許可されている。
このような場合、コミュニティ管理サーバ20は、プレフィックス管理テーブル24cを参照し、RIPメッセージ30の送信元であるコミュニティ「10:1」に対応するプレフィックス「prefix1」、「prefix2」、「prefix3」、「prefix4」を検出する。
そして、コミュニティ管理サーバ20は、コミュニティ定義テーブル24bを参照し、RIPメッセージ30の送信先であるコミュニティ「20:1」に対応する位置「ルータ3,IF−1」を検出する。
その後、コミュニティ管理サーバ20は、検出された位置に対応するIGPルータ10c(「ルータ3」)の通信インターフェース「IF−1」に、プレフィックスが「prefix1」、「prefix2」、「prefix3」、「prefix4」であるRIPメッセージ30のみを通過させるプレフィックスフィルタ19bを設定する。
同様に、コミュニティ管理サーバ20は、コミュニティ定義テーブル24bを参照し、RIPメッセージ30の送信元であるコミュニティ「10:1」に対応する位置「ルータ1,IF−0」を検出する。
そして、コミュニティ管理サーバ20は、検出された位置に対応するIGPルータ10a(「ルータ1」)の通信インターフェース「IF−0」に、プレフィックスが「prefix1」、「prefix2」、「prefix3」、「prefix4」であるRIPメッセージ30のみを通過させるプレフィックスフィルタを設定する。
また、コミュニティ管理サーバ20は、ポリシ「Com1」の「Put 20:1 to 10:1」や、ポリシ「Com2」の「Put 10:2 to 30:1」、「Put 30:1 to 10:2」に対しても同様の処理をおこない、各IGPルータ10a,10c,10dに所定のプレフィックスを含んだ制御情報のみを通過させるプレフィックスフィルタを設定する。
このように、この通信制御処理では、コミュニティ管理サーバ20が、コミュニティとコミュニティに含まれるサブネットのプレフィックスとの間の対応関係の情報を常に更新しつつ管理し、経路情報の送信を許可するコミュニティの指定をネットワークの管理者から受け付けた場合に、上記対応関係の情報に基づいてプレフィックスフィルタ19a〜19cを各IGPルータ10a〜10dに設定するので、企業網において一般に用いられているIGPなどの技術を利用しつつ、プレフィックスが変更された場合でも経路制御を効率的におこなうことができる。
つぎに、実施例1に係るコミュニティ管理サーバ20の機能構成について説明する。図5は、実施例1に係るコミュニティ管理サーバ20の機能構成を示す図である。図5に示すように、このコミュニティ管理サーバ20は、通信処理部21、入力部22、表示部23、記憶部24、制御部25を有する。
通信処理部21は、各IGPルータ10a〜10dとの間で情報通信をおこなうネットワークインターフェースである。入力部22は、キーボードやマウスなどの入力デバイスである。表示部23は、ディスプレイなどの表示デバイスである。
記憶部24は、ハードディスク装置などの記憶デバイスである。この記憶部24は、ポリシ定義テーブル24a、コミュニティ定義テーブル24b、プレフィックス管理テーブル24c、フィルタ管理テーブル24dを記憶している。
ポリシ定義テーブル24a、コミュニティ定義テーブル24b、プレフィックス管理テーブル24cは、それぞれ図2、図3、図4で説明したテーブルである。フィルタ管理テーブル24dは、IGPルータ10a〜10dに設定するプレフィックスフィルタ19a〜19cの設定情報を記憶したデータである。
図6は、フィルタ管理テーブル24dの一例を示す図である。図6に示すように、このフィルタ管理テーブル24dは、ルータ名、インターフェース、フィルタルール、フィルタ生成ポリシの情報を記憶している。
ここで、ルータ名は、プレフィックスフィルタ19a〜19cを設定するルータの名称である。インターフェースは、各IGPルータ10a〜10dにおいて、プレフィックスフィルタ19a〜19cの設定対象となる通信インターフェースである。フィルタルールは、各通信インターフェースに設定されるフィルタリングのルールである。
デフォルトでは、すべての経路メッセージの通過が拒否に設定される(「All deny」)。そして、通過を許可されるプレフィックスの情報を含んだ経路情報がある場合には、そのプレフィックスの情報が登録される。たとえば、プレフィックス「prefixA1」の情報を含んだ経路情報の通過が許可される場合には、フィルタルールに「prefixA1 accept」が登録される。
フィルタ生成ポリシは、各フィルタルールの生成に関連したポリシ名の情報である。このフィルタ生成ポリシは、図2に示したポリシ定義テーブル24aに登録されたポリシ名に対応する情報である。
図5の説明に戻ると、制御部25は、コミュニティ管理サーバ24を全体制御する制御部であり、各機能部間のデータの授受などを司る。この制御部25は、ポリシ設定受付部25a、コミュニティ管理部25b、プレフィックス検出部25c、コミュニティ/プレフィックス変換部25d、フィルタ設定部25eを有する。
ポリシ設定受付部25aは、IGPルータ10a〜10dにおいて経路情報の配布を許可するコミュニティの設定情報の入力をネットワークの管理者から受け付け、受け付けた設定情報をポリシ定義テーブル24aとして記憶部24に記憶する処理部である。
コミュニティ管理部25bは、コミュニティと接続されているIGPルータ10a〜10dの通信インターフェースの情報の入力をネットワークの管理者から受け付け、受け付けた情報をコミュニティ定義テーブル24bとして記憶部24に記憶する処理部である。
プレフィックス検出部25cは、各IGPルータ10a〜10dが受信した経路情報に含まれているプレフィックスの情報とその経路情報を受信した通信インターフェースの情報とをIGPルータ10a〜10dから受信して、それらの情報をプレフィックス管理テーブル24cに登録する処理部である。
具体的には、プレフィックス検出部25cは、コミュニティ定義テーブル24bを参照し、IGPルータ10a〜10dから受信した通信インターフェースの情報を基にして、通信インターフェースに接続されているコミュニティのコミュニティ名を特定する。
そして、プレフィックス検出部25cは、特定したコミュニティ名に対応付けて、IGPルータ10a〜10dから受信したプレフィックスの情報をプレフィックス管理テーブル24cに登録する。また、プレフィックス検出部25cは、プレフィックスの情報の登録時刻の情報をプレフィックス管理テーブル24cに登録する。なお、プレフィックス検出部25cは、プレフィックスの情報を登録してから所定の時間が経過した場合には、その情報を破棄する。
コミュニティ/プレフィックス変換部25dは、フィルタ管理テーブル24dに各IGPルータ10a〜10dに設定するプレフィックスフィルタ19a〜19cの情報を登録する処理部である。
具体的には、コミュニティ/プレフィックス変換部25dは、ポリシ定義テーブル24aに登録された経路情報の配布を許可するコミュニティの情報を、プレフィックス管理テーブル24cを参照してプレフィックスの情報に変換し、フィルタ管理テーブル24dに登録されるフィルタルールおよびフィルタ生成ポリシの情報を生成する。
さらに、コミュニティ/プレフィックス変換部25dは、コミュニティ定義テーブル24bを参照して、フィルタルールを設定するIGPルータ10a〜10dおよび通信インターフェースを特定し、フィルタ管理テーブル24dに登録されるルータ名およびインターフェースの情報を生成する。そして、コミュニティ/プレフィックス変換部25dは、フィルタ管理テーブル24dにルータ名、インターフェース、フィルタルール、フィルタ生成ポリシの各情報を登録する。
フィルタ設定部25eは、フィルタ管理テーブル24dを参照し、プレフィックスフィルタ19a〜19cとして設定されるプレフィックスのフィルタルールの情報を各IGPルータ10a〜10dに送信し、IGPルータ10a〜10dにプレフィックスフィルタ19a〜19cを設定させる処理部である。
つぎに、IGPルータの機能構成について説明する。図7は、IGPルータ10cの機能構成を示す図である。なお、IGPルータ10a,10b,10dの機能構成はIGPルータ10cと同一であるので、ここではIGPルータ10cの機能構成について説明する。
図7に示すように、このIGPルータ10cは、通信インターフェース11a〜11c、記憶部12、構成定義部13、プレフィックス検出部14c、プレフィックス情報送信部15、パケットフィルタ部16、パケット中継処理部17、経路制御部18を有する。
通信インターフェース11a〜11cは、他の装置との間で通信をおこなうネットワークインターフェースである。記憶部12は、メモリなどの記憶デバイスである。この記憶部12は、プレフィックスフィルタテーブル12a、中継テーブル12b、検査パケットテーブル12c、パケットフィルタテーブル12dを有する。
プレフィックスフィルタテーブル12aは、プレフィックスによる経路情報のフィルタリングをおこなう場合のフィルタルールを記憶したデータである。図8は、プレフィックスフィルタテーブル12aの一例を示す図である。図8に示すように、このプレフィックスフィルタテーブル12aには、インターフェースおよびフィルタルールの情報が登録されている。
インターフェースは、経路情報やユーザデータの送受信をおこなう通信インターフェース11a,11bの名称の情報である。フィルタルールは、通信インターフェース11a,11bに設定された経路情報のフィルタリングのルールである。
ここで、フィルタルールには、デフォルトでは、すべての経路情報が通過拒否に設定される(「All deny」)。そして、通過を許可されるプレフィックスの情報を含んだ経路情報がある場合には、そのプレフィックスの情報が登録される。たとえば、プレフィックス「prefixA1」の情報を含んだ経路情報の通過が許可される場合には、フィルタルールに「prefixA1 accept」が登録される。
中継テーブル12bは、経路情報やユーザデータのパケットを転送する際の宛て先ネットワークとその宛て先ネットワークにパケットを転送するために用いる通信インターフェース11a,11bとの間の対応関係の情報を記憶したルーティングテーブルである。
検査パケットテーブル12cは、プレフィックスの検出をおこなうパケットの情報を記憶したデータである。図9は、検査パケットテーブル12cの一例を示す図である。図9に示すように、この検査パケットテーブル12cには、インターフェースおよび検査パケットの情報が登録されている。
インターフェースは、IGPルータ10cが有する通信インターフェース11a,11bの名称の情報である。検査パケットは、検査対象となるパケットの種類である。図9の例では、通信インターフェース「IF−0」および「IF−1」において、「経路情報」に含まれるプレフィックスの検出がおこなわれるように検査パケットが設定されている。
パケットフィルタテーブル12dは、プレフィックスによるユーザデータのパケットのフィルタリングをおこなう場合のフィルタルールを記憶したデータである。このパケットフィルタテーブル12dは、図8に示したプレフィックスフィルタテーブル12aと同様の構成となっており、通信インターフェース11a,11bの名称であるインターフェースおよび通信インターフェース11a,11bに設定されるフィルタルールの情報を記憶している。
構成定義部13は、コミュニティ管理サーバ20からプレフィックスの検査をおこなう検査パケットの情報や、通信インターフェース11a,11bに設定するフィルタルールの情報を通信インターフェース11cを介して受信して、受信した情報を検査パケットテーブル12cやプレフィックスフィルタテーブル12a、パケットフィルタテーブル12dに登録する処理部である。
プレフィックス検出部14cは、通信インターフェース11a,11bが受信した経路情報に含まれるプレフィックス、および、ユーザデータに含まれるプレフィックスを検出する検出部である。このプレフィックス検出部14cの機能は、近年多くのIGPルータに実装されるようになってきている。
具体的には、このプレフィックス検出部14cは、検査パケットテーブル12cに登録された検査パケットに含まれるプレフィックスを検出した場合に、検出したプレフィックスの情報を記憶しておく。
そして、プレフィックス検出部14cは、記憶していたプレフィックスの情報に含まれない新規のプレフィックスを検出した場合に、新規のプレフィックスの情報を含んだ要約レポートメッセージを生成する処理をおこなう。
図10は、要約レポートメッセージ40の一例を示す図である。図10に示すように、この要約レポートメッセージ40には、ルータ、メッセージ数、経路1受信IF、経路1プレフィックス、経路2受信IF、経路2プレフィックス、経路3受信IF、経路3プレフィックス、経路4受信IF、経路4プレフィックスの情報が登録されている。
ルータは、要約レポートメッセージ40を生成したIGPルータ10a〜10dを識別する識別情報である。メッセージ数は、要約レポートメッセージ40に含まれるプレフィックスの情報の数である。この例では、「4」つのプレフィックスの情報が要約レポートメッセージ40に含まれている。
経路1受信IF、経路2受信IF、経路3受信IF、経路4受信IFは、それぞれ各プレフィックスの情報を含んだ経路情報を受信した通信インターフェース11a,11bの情報である。経路1プレフィックス、経路2プレフィックス、経路3プレフィックス、経路4プレフィックスは、それぞれ経路情報に含まれていたプレフィックスの情報である。
図7の説明に戻ると、プレフィックス情報送信部15は、プレフィックス検出部14cにより要約レポートメッセージ40が生成された場合に、その要約レポートメッセージ40をコミュニティ管理サーバ20に送信する処理部である。
パケットフィルタ部16は、パケットフィルタテーブル12dを参照して、通信インターフェース11a,11bが受信したユーザデータのパケットのフィルタリングをおこなう処理部である。
パケット中継処理部17は、経路情報やユーザデータを通信インターフェース11a,11bが受信した場合に、中継テーブル12bを参照して、経路情報やユーザデータを転送する通信インターフェース11a,11bを判定し、経路情報やユーザデータを通信インターフェース11a,11bを介して送信する処理部である。なお、このパケット中継処理部17は、受信した経路情報が自装置宛ての経路情報であった場合には、その経路情報を経路制御部18に出力する。
経路制御部18は、他のIGPルータ10a,10b,10dとの間で経路情報やユーザデータをやり取りする場合の通信経路を制御する処理部である。この経路制御部18は、経路計算部18aおよびプレフィックスフィルタ部18bを有する。
経路計算部18aは、他のIGPルータ10a,10b,10dとの間で経路情報をやり取りし、その経路情報に基づいて中継テーブル12bに経路情報やユーザデータのパケットを転送する際の宛て先ネットワークとその宛て先ネットワークにパケットを転送するために用いる通信インターフェース11a,11bとの間の対応関係の情報を登録する。
また、経路計算部18aは、ネットワークの管理者が入力部(図示せず)を用いておこなった上記対応関係の設定情報を受け付けて、その設定情報を中継テーブル12bに登録することとしてもよい。
プレフィックスフィルタ部18bは、プレフィックスフィルタテーブル12aを参照し、プレフィックスフィルタテーブル12aに登録されたプレフィックス以外のプレフィックスの情報を含んだ経路情報を経路情報を運ぶメッセージ中から取り除くフィルタリング処理をおこなう処理部である。
つぎに、コミュニティ管理サーバ20がおこなう通信制御処理の処理手順について説明する。図11は、コミュニティ管理サーバ20がおこなう通信制御処理の処理手順を示すフローチャートである。
図11に示すように、まず、コミュニティ管理サーバ20のコミュニティ管理部25bは、ネットワークの管理者が入力部22を介して入力したコミュニティの設定を受け付ける(ステップS101)。具体的には、コミュニティ管理部25bは、コミュニティの名称と、そのコミュニティが収容されているIGPルータ10a〜10dの通信インターフェースの情報とを受け付け、それらの情報をコミュニティ定義テーブル24bに登録する。
続いて、ポリシ設定受付部25aは、ネットワークの管理者が入力部22を介して入力した経路情報のフィルタリングポリシの設定を受け付ける(ステップS102)。具体的には、ポリシ設定受付部25aは、ポリシの名称と、経路情報の配布を許可するコミュニティの情報とを受け付け、それらの情報をポリシ定義テーブル24aに登録する。
そして、プレフィックス検出部25cは、IGPルータ10a〜10dにプレフィックス情報を送信を開始するよう要求する(ステップS103)。ここで、プレフィックスの情報とは、図10で説明した要約レポートメッセージ40のことである。
その後、プレフィックス検出部25cは、IGPルータ10a〜10dからのプレフィックス情報の受信を待ち受ける(ステップS104)。続いて、プレフィックス検出部25cは、プレフィックス管理テーブル24cを参照し、プレフィックス管理テーブル24cに登録されたプレフィックスのうちタイムアウトしたプレフィックスがあるか否かを調べる(ステップS105)。
具体的には、プレフィックス検出部25cは、プレフィックス管理テーブル24cの登録時刻の情報を読み出して、プレフィックス管理テーブル24cに登録されてから所定の時間以上経過したプレフィックスがあるか否かを調べる。
そして、タイムアウトしたプレフィックスがある場合には(ステップS105,Yes)、プレフィックス検出部25cは、当該プレフィックスおよび登録時刻の情報をプレフィックス管理テーブル24cから削除する(ステップS106)。
さらに、プレフィックス検出部25cは、削除されたプレフィックスに対応する情報をIGPルータ10a〜10dのプレフィックスフィルタテーブル12aから削除させるため、プレフィックスの情報の削除を通知するフィルタ情報をIGPルータ10a〜10dに送信する(ステップS107)。
ここで、コミュニティ管理サーバ20は、フィルタ情報を送信する対象であるIGPルータ10a〜10dを、プレフィックス管理テーブル24cにおいて削除したプレフィックスに対応するコミュニティ名を調べ、そのコミュニティ名に対応するIGPルータ10a〜10dの通信インターフェースの情報をコミュニティ定義テーブル24bから調べることにより特定することができる。
ステップS105あるいはステップS107の後、プレフィックス検出部25cは、プレフィックス管理テーブル24cに登録されていない新規のプレフィックスの情報をIGPルータ10a〜10dから受信したか否かを調べる(ステップS108)。
そして、新規のプレフィックスの情報を受信していない場合には(ステップS108,No)、ステップS104に移行して、それ以後の処理を継続する。新規のプレフィックスの情報を受信した場合には(ステップS108,Yes)、プレフィックス検出部25cは、受信したプレフィックスの情報をプレフィックス管理テーブル24cに登録する(ステップS109)。
具体的には、プレフィックス検出部25cは、コミュニティ定義テーブル24bを参照し、IGPルータ10a〜10dから受信したプレフィックス情報からIGPルータ10a〜10dの通信インターフェースの情報を抽出し、抽出した情報に対応するコミュニティ名の情報を取得する。
そして、プレフィックス検出部25cは、プレフィックス管理テーブル24cにおいて、取得したコミュニティ名に対応付けて、プレフィックスと登録時刻の情報を登録する処理をおこなう。
その後、コミュニティ/プレフィックス変換部25dは、フィルタ管理テーブル24dにIGPルータ10a〜10dから新規に受信したプレフィックスの情報を登録する(ステップS110)。
具体的には、コミュニティ/プレフィックス変換部25dは、ポリシ定義テーブル24aに登録された経路情報の配布を許可するコミュニティの情報を、プレフィックス管理テーブル24cを参照してプレフィックスの情報に変換し、フィルタ管理テーブル24dに登録されるフィルタルールおよびフィルタ生成ポリシの情報を生成する。
さらに、コミュニティ/プレフィックス変換部25dは、コミュニティ定義テーブル24bを参照して、フィルタルールを設定するIGPルータ10a〜10dおよび通信インターフェースを特定し、フィルタ管理テーブル24dに登録されるルータ名およびインターフェースの情報を生成する。そして、コミュニティ/プレフィックス変換部25dは、フィルタ管理テーブル24dにルータ名、インターフェース、フィルタルール、フィルタ生成ポリシの各情報を登録する。
その後、フィルタ設定部25eは、フィルタ管理テーブル24dに情報が登録されたプレフィックスに対応する情報をIGPルータ10a〜10dのプレフィックスフィルタテーブル12aに登録させるため、フィルタ管理テーブル24dのルータ名により特定されるIGPルータ10a〜10dに、プレフィックスの情報の登録を通知するフィルタ情報を送信する(ステップS111)。
そして、プレフィックス検出部25cは、この通信制御処理を終了する入力をネットワークの管理者から受け付けたか否かを調べ(ステップS112)、通信制御処理を終了する入力を受け付けていない場合には(ステップS112,No)、ステップS104に移行してそれ以後の処理を継続する。通信制御処理を終了する入力を受け付けた場合には(ステップS112,Yes)、そのままこの通信制御処理を終了する。
つぎに、IGPルータ10cがおこなう通信制御処理の処理手順について説明する。図12は、IGPルータ10cがおこなう通信制御処理の処理手順を示すフローチャートである。
図12に示すように、まず、IGPルータ10cの構成定義部13は、コミュニティ管理サーバ20からのプレフィックス情報の送信要求を待ち受け(ステップS201)、プレフィックス情報の送信要求を受信したか否かを調べる(ステップS202)。
プレフィックス情報の送信要求を受信していない場合には(ステップS202,No)、ステップS201に移行して、構成定義部13は、プレフィックス情報の送信要求を待ち受ける。
プレフィックス情報の送信要求を受信した場合には(ステップS202,Yes)、プレフィックス検出部14cは、経路情報に含まれるプレフィックスの情報を検出するため、経路情報の監視を開始する(ステップS203)。
そして、プレフィックス情報送信部15は、コミュニティ管理サーバ20に送信するプレフィックス情報を生成する(ステップS204)。ここで、プレフィックスの情報とは、図10で説明した要約レポートメッセージ40のことである。
その後、プレフィックス情報送信部15は、コミュニティ管理サーバ20にプレフィックス情報を送信する(ステップS205)。そして、構成定義部13は、コミュニティ管理サーバ20からプレフィックスフィルタテーブル12aおよびパケットフィルタテーブル12bに登録するフィルタ情報の受信を待ち受け(ステップS206)、フィルタ情報を受信したか否かを調べる(ステップS207)。
フィルタ情報を受信していない場合には(ステップS207,No)、ステップS206に移行して、構成定義部13は、フィルタ情報の受信を待ち受ける。フィルタ情報を受信した場合には(ステップS207,Yes)、構成定義部13は、そのフィルタ情報に基づいて、プレフィックスフィルタテーブル12aおよびパケットフィルタテーブル12bにおけるフィルタルールの設定・更新をおこなう(ステップS208)。
その後、プレフィックス検出部14cは、この通信制御処理を終了する入力をネットワークの管理者から受け付けたか否かを調べ(ステップS209)、通信制御処理を終了する入力を受け付けていない場合には(ステップS209,No)、ステップS203に移行してそれ以後の処理を継続する。通信制御処理を終了する入力を受け付けた場合には(ステップS209,Yes)、そのままこの通信制御処理を終了する。
なお、ここでは、プレフィックス検出部14cおよびプレフィックス情報送信部15をIGPルータ10cに設けることとしたが、プレフィックス検出部14cおよびプレフィックス情報送信部15をIGPルータ10cとは別のプレフィックス検出装置に設けることにより、プレフィックス検出部14cおよびプレフィックス情報送信部15を持たない安価なIGPルータをそのまま用いることができる。
このプレフィックス検出装置は、プレフィックス検出部14cおよびプレフィックス情報送信部15を持たないIGPルータと接続され、コミュニティから経路情報を受信した場合に、経路情報に含まれるプレフィックスを検出する。そして、IGPルータは、プレフィックス検出装置から転送された経路情報を受信する。
また、この場合には、プレフィックス検出装置の記憶部には、検査パケットテーブル12cが記憶され、プレフィックス検出装置のプレフィックス情報送信部15は、検査パケットテーブル12cに登録された検査パケットに含まれるプレフィックスがプレフィックス検出部14cにより検出された場合に、検出されたプレフィックスの情報を含んだ要約レポートメッセージ40を生成し、その要約レポートメッセージをコミュニティ管理サーバ20に送信する。
上述してきたように、本実施例1では、コミュニティ管理サーバ20の記憶部24が、コミュニティと当該コミュニティに接続されたIGPルータ10a,10c,10dとの間の対応関係に係る情報をコミュニティ定義テーブル24bとして記憶し、プレフィックス検出部25cが、IGPルータ10a,10c,10dが受信した経路情報に含まれるプレフィックスに係る情報および当該IGPルータ10a,10c,10dの識別情報を収集し、さらに、コミュニティ定義テーブル24bに記憶した情報に基づいて、収集したプレフィックスに対応するコミュニティを検出し、ポリシ設定受付部25aが経路情報に対する送信可否の情報を経路情報の送信元のコミュニティの指定とともに受け付けた場合に、コミュニティ/プレフィックス変換部25dが、プレフィックス検出部25cにより検出されたコミュニティの情報に基づいて、指定を受け付けたコミュニティに対応するプレフィックスを判定し、フィルタ設定部25eが、判定の結果得られたプレフィックスの情報をIGPルータ10a,10c,10dに送信することとしたので、企業網において一般に用いられているIGPなどの技術を利用しつつ、ネットワークのプレフィックスが変更された場合でも経路制御を効率的におこなうことができる。
また、本実施例1では、プレフィックス検出部25cが、収集されてから所定の時間以上経過したプレフィックスの情報を破棄することとしたので、古い情報を破棄することにより誤った情報に基づいて経路制御をおこなうことを防止することができる。
また、本実施例1では、IGPルータ10cのパケットフィルタ部16が、コミュニティ管理サーバ20により送信されたプレフィックスの情報を受信し、受信した情報に基づいて経路情報のフィルタリングをおこなうこととしたので、何らかの方法で宛先アドレスの情報が第三者に流出してしまった場合でも、通信が許可されていないネットワークからユーザデータのパケットが該宛て先アドレスのネットワークに送信されることを防止することができる。
また、本実施例1では、IGPルータとは別に設置されたプレフィックス検出装置が、プレフィックスの情報を経路情報から検出し、コミュニティ管理サーバ20のプレフィックス検出部25cが、プレフィックス検出装置により検出されたプレフィックスの情報と当該プレフィックスの情報を含んだ経路情報を受信したIGPルータの情報とを収集することとしたので、IGPルータとプレフィックス検出装置とを別装置とすることにより、宛て先アドレスの検出機能を持たないIGPルータを利用することができる。
ところで、上記実施例1では、コミュニティに接続されたIGPルータ10a,10c,10dにプレフィックスフィルタ19a〜19cを設定することとしたが、コミュニティに接続されたIGPルータ10a,10c,10d間にあって、経路情報の中継をおこなうIGPルータ10bにプレフィックスフィルタを設定することとしてもよい。
そこで、本実施例2では、コミュニティに接続されたIGPルータ10a,10c,10d間にあるIGPルータ10bにプレフィックスフィルタを設定する場合について説明する。なお、以下では、実施例1と同様の装置や機能部には、実施例1と同一の符号を付すこととし、詳しい説明を省略する。
図13は、実施例2に係るコミュニティ管理サーバ50の機能構成を示す図である。図13に示すように、このコミュニティ管理サーバ50は、実施例1におけるコミュニティ管理サーバ20と同様に、通信処理部21、入力部22、表示部23、記憶部24、制御部25を有する。
ただし、実施例2におけるコミュニティ管理サーバ40の記憶部24は、実施例1で説明したポリシ定義テーブル24a、コミュニティ定義テーブル24b、プレフィックス管理テーブル24c、フィルタ管理テーブル24dに加えて、ルータIF管理テーブル24e、経由ルータ管理テーブル24fを記憶している。
ルータIF管理テーブル24eは、各IGPルータ10a〜10dが有する通信インターフェースに係る情報を登録したデータである。図14は、ルータIF管理テーブル24eの一例を示す図である。図14に示すように、このルータIF管理テーブル24eは、ルータ名、インターフェース名、インターフェースアドレスの情報が登録されている。
ルータ名は、各IGPルータ10a〜10dの名称の情報である。この例では、「ルータ1」、「ルータ2」、「ルータ3」、「ルータ4」は、図1に示したIGPルータ10a、IGPルータ10b、IGPルータ10c、IGPルータ10dをそれぞれ指している。インターフェース名は、IGPルータ10a〜10dが有する各通信インターフェースの名称である。インターフェースアドレスは、各通信インターフェースに割り当てられたアドレスの情報である。
図13の説明に戻ると、経由ルータ管理テーブル24fは、あるコミュニティから別のコミュニティに経路情報を送信する場合に経由するIGPルータ10a〜10dの情報を記憶したデータである。
図15は、経由ルータ管理テーブル24fの一例を示す図である。図15に示すように、この経由ルータ管理テーブル24fには、SRCコミュニティ、DSTコミュニティ、経由ルータ、インターフェースの情報が登録されている。
SRCコミュニティは、経路情報の送信元となるコミュニティのコミュニティ名である。DSTコミュニティは、経路情報の送信先となるコミュニティのコミュニティ名である。経由ルータは、SRCコミュニティとして登録されたコミュニティからDSTコミュニティとして登録されたコミュニティに経路情報が送信された場合に経由するIGPルータ10a〜10dのルータ名の情報である。インターフェースは、上記経路情報が送信された場合に経由するIGPルータ10a〜10dの通信インターフェースの情報である。
図13の説明に戻ると、制御部25は、実施例1で説明したポリシ設定受付部25a、コミュニティ管理部25b、プレフィックス検出部25c、コミュニティ/プレフィックス変換部25d、フィルタ設定部25eに加えて、経由ルータ検出部25fを有している。
経由ルータ検出部25fは、あるコミュニティから別のコミュニティに経路情報を送信する場合に経由するIGPルータ10a〜10dを検出する処理部である。具体的には、経由ルータ検出部25dは、図2に示したポリシ定義テーブル24aにおける経路情報の配布元のコミュニティをSRCコミュニティとし、経路情報の配布先のコミュニティをDSTコミュニティとして、DSTコミュニティを収容するIGPルータ10a〜10dからSRCコミュニティを収容するIGPルータ10a〜10dに向けたトレースルートを実行する。
ここで、トレースルートとは、パケットを所定の宛て先アドレスを有する通信装置に送信し、その途中でパケットが通過したIGPルータ10a〜10dの通信インターフェースに割り当てられたアドレスの情報を通知させる従来技術である。
図16は、このトレースルートについて説明する図であり、図17は、トレースルートの実行結果の一例を示す図である。図16には、コミュニティ「20:1」を収容するIGPルータ10cの通信インターフェース「IF−1」からコミュニテイ「10:1」を収容するIGPルータ10aの通信インターフェース「IF−0」に向けてのトレースルートが実行された例について示してある。
この例では、IGPルータ10cの通信インターフェース「IF−1」から送信されたパケットは、IGPルータ10bの通信インターフェース「IF−1」により受信され、さらに、IGPルータ10aの通信インターフェース「IF−2」により受信される。
この場合、図17に示すように、トレースルートの実行結果60として、IGPルータ10bの通信インターフェース「IF−1」のアドレス「10.25.170.1」、および、IGPルータ10aの通信インターフェース「IF−2」のアドレス「10.25.160.1」が得られる。
そして、経由ルータ検出部25fは、ルータIF管理テーブル24eを参照して、上述したようにして得られたアドレスの情報を、経由ルータ管理テーブル24fにおける経由ルータおよび通信インターフェースの情報に変換し、それらの情報を経由ルータ管理テーブル24fにSRCコミュニテイおよびDSTコミュニティに対応付けて登録する。
この場合、コミュニティ/プレフィックス変換部25dは、ポリシ定義テーブル24aに登録された経路情報の配布を許可するコミュニティの情報を、プレフィックス管理テーブル24cを参照してプレフィックスの情報に変換し、フィルタ管理テーブル24dに登録されるフィルタルールおよびフィルタ生成ポリシの情報を生成する。
さらに、コミュニティ/プレフィックス変換部25dは、経由ルータ管理テーブル24fを参照し、ポリシ定義テーブル24aに登録されたポリシに対応する経由ルータおよび通信インターフェースを特定し、フィルタ管理テーブル24dに登録されるルータ名およびインターフェースの情報を生成する。そして、コミュニティ/プレフィックス変換部25dは、フィルタ管理テーブル24dにルータ名、インターフェース、フィルタルール、フィルタ生成ポリシの各情報を登録する。
図18は、経由ルータのフィルタ情報を含んだフィルタ管理テーブル24dの一例を示す図である。ここで、「ルータ2」が、図1に示した経由ルータであるIGPルータ10bに対応している。図18において、たとえば、ポリシ定義テーブル24aのポリシ「Put 10:1 to 20:1」に関して、「ルータ3」(IGPルータ10c)の通信インターフェース「IF−1」に登録されたフィルタルールと同じフィルタルールが、「ルータ2」の通信インターフェース「IF−1」のフィルタルールとして登録される。
そして、フィルタ設定部25eは、フィルタ管理テーブル24dを参照し、プレフィックスのフィルタルールの情報を経由ルータを含む各IGPルータ10a〜10dに送信し、各IGPルータ10a〜10dにプレフィックスフィルタ19a〜19cを設定させ、経路情報およびユーザデータのフィルタリングを実行させる。
上述してきたように、本実施例2では、第1のコミュニティに接続された第1のIGPルータ10a,10c,10dから第2のコミュニティに接続された第2のIGPルータ10a,10c,10dへと経路情報が送信される通信経路に第3のIGPルータ10bがある場合に、通過が許可される経路情報のプレフィックスの情報を第3のIGPルータ10bに送信することとしたので、ネットワーク内に無駄な経路情報が送信されることを抑制することができる。
ところで、上記実施例で説明した通信制御処理は、あらかじめ用意されたプログラムをコンピュータで実行することによって実現することができる。そこで、以下では、図19を用いて、上記通信制御処理を実現するプログラムを実行するコンピュータの一例について説明する。
図19は、通信制御処理をおこなうコンピュータのハードウェア構成を示す図である。このコンピュータは、ユーザからのデータの入力を受け付ける入力装置100、情報を表示する表示装置101、各種プログラムを記録した記録媒体からプログラムを読み取る媒体読取装置102、ネットワークを介して他のコンピュータとの間でデータの授受をおこなうネットワークインターフェース103、RAM(Random Access Memory)104、ROM(Read Only Memory)105、CPU(Central Processing Unit)106およびHD(Hard Disk)107をバス108で接続して構成される。
そして、HD107は、コミュニティ管理サーバ20の機能と同様の機能を発揮するプログラム、すなわち、図18に示すポリシ設定受付プログラム107b、コミュニティ管理プログラム107c、プレフィックス検出プログラム107d、コミュニティ/プレフィックス変換プログラム107e、フィルタ設定プログラム107f、経由ルータ検出プログラム107gを記憶している。
なお、ポリシ設定受付プログラム107b、コミュニティ管理プログラム107c、プレフィックス検出プログラム107d、コミュニティ/プレフィックス変換プログラム107e、フィルタ設定プログラム107f、経由ルータ検出プログラム107gは、適宜統合または分散して記憶することとしてもよい。
そして、CPU106が、ポリシ設定受付プログラム107b、コミュニティ管理プログラム107c、プレフィックス検出プログラム107d、コミュニティ/プレフィックス変換プログラム107e、フィルタ設定プログラム107f、経由ルータ検出プログラム107gをHD107から読み出して実行することにより、ポリシ設定受付プロセス106a、コミュニティ管理プロセス106b、プレフィックス検出プロセス106c、コミュニティ/プレフィックス変換プロセス106d、フィルタ設定プロセス106e、経由ルータ検出プロセス106fが機能するようになる。
ここで、ポリシ設定受付プロセス106a、コミュニティ管理プロセス106b、プレフィックス検出プロセス106c、コミュニティ/プレフィックス変換プロセス106d、フィルタ設定プロセス106e、経由ルータ検出プロセス106fは、図5あるいは図13に示したポリシ設定受付部25a、コミュニティ管理部25b、プレフィックス検出部25c、コミュニティ/プレフィックス変換部25d、フィルタ設定部25e、図13に示した経由ルータ検出部25fに対応する。
また、HD107には、各種テーブル107aが記憶される。この各種テーブル107aは、図5あるいは図13に示したポリシ定義テーブル24a、コミュニティ定義テーブル24b、プレフィックス管理テーブル24c、フィルタ管理テーブル24d、図13に示したルータIF管理テーブル24e、経由ルータ管理テーブル24fに対応する。
そして、CPU106は、各種テーブル107aをHD107に記憶させるとともに、各種テーブル107aをHD107から読み出してRAM104に格納し、RAM104に格納された各種テーブル104aに基づいてデータ処理を実行する。
ところで、ポリシ設定受付プログラム107b、コミュニティ管理プログラム107c、プレフィックス検出プログラム107d、コミュニティ/プレフィックス変換プログラム107e、フィルタ設定プログラム107f、経由ルータ検出プログラム107gは、必ずしも最初からHD107に記憶させておく必要はない。
たとえば、コンピュータに挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、または、コンピュータの内外に備えられるハードディスクドライブ(HDD)などの「固定用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータに接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶しておき、コンピュータがこれらから各プログラムを読み出して実行するようにしてもよい。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、特許請求の範囲に記載した技術的思想の範囲内において種々の異なる実施例にて実施されてもよいものである。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。
この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(付記1)宛先となるネットワークのアドレスと、該ネットワークへの経由通信装置の識別情報とからなる経路情報を含んだ経路メッセージを配布している第一のネットワーク、第二のネットワーク、第三のネットワークから構成され、第二のネットワークが第一のネットワークと第三のネットワークとの間の通信パケットを中継する形態の通信網において、一つ以上の通信装置とサーバとから構成される通信制御システムであって、
第一と第二のネットワークに接続した通信装置が第一のネットワークから宛先ネットワークに対する経路情報を含む経路メッセージを受信する場合において第二のネットワーク内で同じ扱いをする宛先ネットワークアドレスの集合を表す集合名と該集合に加える経路情報の追加ルールの定義を記憶する記憶手段と、
前記通信装置が第一のネットワークから受信した経路メッセージに含まれる宛先ネットワークアドレス、当該経路メッセージを受信した通信装置およびインタフェースの識別情報を通信装置から収集する収集手段と、
前記記憶手段により記憶された集合名と該集合に加える経路情報の追加ルールと、前記収集手段により収集した情報から、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を作成する対応情報作成手段と、
前記集合に含まれる経路情報の第三のネットワークへの経路配布規則を集合に対する条件として受け付け、該経路配布規則を、前記対応情報作成手段で作成した対応情報に基づき、第二のネットワーク内に含まれる通信装置のインタフェースにおける経路情報のフィルタ条件に変換するフィルタ条件生成手段と、
前記フィルタ条件生成手段により生成した経路情報のフィルタ条件を通信装置に設定する設定手段と、
を備えたことを特徴とする通信制御システム。
(付記2)前記対応情報作成手段は、前記収集手段により経路情報が収集されてから所定の時間以上経過した場合、該経路情報から生成した、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を破棄することを特徴とする付記1に記載の通信制御システム。
(付記3)前記設定手段は、第二のネットワークにおいて、第一のネットワークに接続された第一の通信装置から第三のネットワークに接続された第三の通信装置へと経路情報が送信される通信経路に第二の通信装置がある場合に、前記フィルタ条件生成手段により生成された経路情報のフィルタ条件を第二の通信装置に設定することを特徴とする付記1または2に記載の通信制御システム。
(付記4)前記設定手段は宛先ネットワークアドレスの情報を送信することにより経路情報のフィルタ条件を通信装置に設定し、通信装置は受信した情報に基づいてユーザデータのパケットのフィルタリングをおこなうフィルタリング手段をさらに備えたことを特徴とする付記1、2または3に記載の通信制御システム。
(付記5)前記通信装置とは別に設置され、宛先ネットワークアドレスを経路メッセージから検出する宛先ネットワークアドレス検出手段をさらに備え、前記収集手段は、前記宛先ネットワークアドレス検出手段により検出された宛先ネットワークアドレスに係る情報と当該宛先ネットワークアドレスの情報を含んだ経路メッセージを受信した通信装置及び受信インタフェースの識別情報とを収集することを特徴とする付記1〜4のいずれか1つに記載の通信制御システム。
(付記6)宛先となるネットワークのアドレスと、該ネットワークへの経由通信装置の識別情報とからなる経路情報を含んだ経路メッセージを配布している第一のネットワーク、第二のネットワーク、第三のネットワークから構成され、第二のネットワークが第一のネットワークと第三のネットワークとの間の通信パケットを中継する形態の通信網において、一つ以上の通信装置とサーバとから構成される通信制御システムが通信制御をおこなう通信制御方法であって、
前記通信装置が第一のネットワークから受信した経路メッセージに含まれる宛先ネットワークアドレス、当該経路メッセージを受信した通信装置およびインタフェースの識別情報を通信装置から収集する収集工程と、
第一と第二のネットワークに接続した通信装置が第一のネットワークから宛先ネットワークに対する経路情報を含む経路メッセージを受信する場合において第二のネットワーク内で同じ扱いをする宛先ネットワークアドレスの集合を表す集合名と該集合に加える経路情報の追加ルールのあらかじめ記憶された定義の情報と、前記収集工程により収集した情報から、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を作成する対応情報作成工程と、
前記集合に含まれる経路情報の第三のネットワークへの経路配布規則を集合に対する条件として受け付け、該経路配布規則を、前記対応情報作成工程で作成した対応情報に基づき、第二のネットワーク内に含まれる通信装置のインタフェースにおける経路情報のフィルタ条件に変換するフィルタ条件生成工程と、
前記フィルタ条件生成工程により生成した経路情報のフィルタ条件を通信装置に設定する設定工程と、
を含んだことを特徴とする通信制御方法。
(付記7)宛先となるネットワークのアドレスと、該ネットワークへの経由通信装置の識別情報とからなる経路情報を含んだ経路メッセージを配布している第一のネットワーク、第二のネットワーク、第三のネットワークから構成され、第二のネットワークが第一のネットワークと第三のネットワークとの間の通信パケットを中継する形態の通信網において、一つ以上の通信装置とサーバとから構成される通信制御システムが通信制御をおこなう通信制御プログラムであって、
前記通信装置が第一のネットワークから受信した経路メッセージに含まれる宛先ネットワークアドレス、当該経路メッセージを受信した通信装置およびインタフェースの識別情報を通信装置から収集する収集手順と、
第一と第二のネットワークに接続した通信装置が第一のネットワークから宛先ネットワークに対する経路情報を含む経路メッセージを受信する場合において第二のネットワーク内で同じ扱いをする宛先ネットワークアドレスの集合を表す集合名と該集合に加える経路情報の追加ルールのあらかじめ記憶された定義の情報と、前記収集手順により収集した情報から、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を作成する対応情報作成手順と、
前記集合に含まれる経路情報の第三のネットワークへの経路配布規則を集合に対する条件として受け付け、該経路配布規則を、前記対応情報作成手順で作成した対応情報に基づき、第二のネットワーク内に含まれる通信装置のインタフェースにおける経路情報のフィルタ条件に変換するフィルタ条件生成手順と、
前記フィルタ条件生成手順により生成した経路情報のフィルタ条件を通信装置に設定する設定手順と、
をコンピュータに実行させることを特徴とする通信制御プログラム。
以上のように、本発明に係る通信制御システムは、企業網において一般に用いられているIGPなどの技術を利用しつつ、ネットワークのプレフィックスが変更された場合でも経路制御を効率的におこなうことが必要な通信制御システムに有用である。
本発明に係る通信制御処理の概念について説明する図である。 ポリシ定義テーブル24aの一例を示す図である。 コミュニティ定義テーブル24bの一例を示す図である。 プレフィックス管理テーブル24cの一例を示す図である。 実施例1に係るコミュニティ管理サーバ20の機能構成を示す図である。 フィルタ管理テーブル24dの一例を示す図である。 IGPルータ10cの機能構成を示す図である。 プレフィックスフィルタテーブル12aの一例を示す図である。 検査パケットテーブル12cの一例を示す図である。 要約レポートメッセージ40の一例を示す図である。 コミュニティ管理サーバ20がおこなう通信制御処理の処理手順を示すフローチャートである。 IGPルータ10cがおこなう通信制御処理の処理手順を示すフローチャートである。 実施例2に係るコミュニティ管理サーバ50の機能構成を示す図である。 ルータIF管理テーブル24eの一例を示す図である。 経由ルータ管理テーブル24fの一例を示す図である。 トレースルートについて説明する図である。 トレースルートの実行結果の一例を示す図である。 経由ルータのフィルタ情報を含んだフィルタ管理テーブル24dの一例を示す図である。 通信制御処理をおこなうコンピュータのハードウェア構成を示す図である。 複数のネットワーク間でおこなわれるデータ通信の例を示す図である。 IGPを用いた従来のネットワークについて説明する図である。 BGPを用いた従来のネットワークについて説明する図である。
符号の説明
1 企業網
2a インタネット
2b エクストラネット
2c 実験網
3a〜3d,10a〜10d IGPルータ
4 ネットワーク管理サーバ
5a〜5d,19a〜19c プレフィックスフィルタ
6,30 RIPメッセージ
7a〜7c BGPルータ
8 BGPアップデートメッセージ
9a〜9d コミュニティ属性フィルタ
11a〜11c 通信インターフェース
12 記憶部
12a プレフィックスフィルタテーブル
12b 中継テーブル
12c 検査パケットテーブル
12d パケットフィルタテーブル
13 構成定義部
14a〜14c プレフィックス検出部
15 情報転送部
16 パケットフィルタ部
17 パケット中継処理部
18 経路選択部
18a 経路計算部
18b プレフィックスフィルタ部
20,50 コミュニテイ管理サーバ
21 通信処理部
22 入力部
23 表示部
24 記憶部
24a ポリシ定義テーブル
24b コミュニティ定義テーブル
24c プレフィックス管理テーブル
24d フィルタ管理テーブル
24e ルータIF管理テーブル
24f 経由ルータ管理テーブル
25 制御部
25a ポリシ設定受付部
25b コミュニティ管理部
25c プレフィックス検出部
25d コミュニティ/プレフィックス変換部
25e フィルタ設定部
25f 経由ルータ検出部
40 要約レポートメッセージ
60 トレースルート実行結果

Claims (5)

  1. 宛先となるネットワークのアドレスと、該ネットワークへの経由通信装置の識別情報とからなる経路情報を含んだ経路メッセージを配布している第一のネットワーク、第二のネットワーク、第三のネットワークから構成され、第二のネットワークが第一のネットワークと第三のネットワークとの間の通信パケットを中継する形態の通信網において、一つ以上の通信装置とサーバとから構成される通信制御システムであって、
    第一と第二のネットワークに接続した通信装置が第一のネットワークから宛先ネットワークに対する経路情報を含む経路メッセージを受信する場合において第二のネットワーク内で同じ扱いをする宛先ネットワークアドレスの集合を表す集合名と該集合に加える経路情報の追加ルールの定義を記憶する記憶手段と、
    前記通信装置が第一のネットワークから受信した経路メッセージに含まれる宛先ネットワークアドレス、当該経路メッセージを受信した通信装置およびインタフェースの識別情報を通信装置から収集する収集手段と、
    前記記憶手段により記憶された集合名と該集合に加える経路情報の追加ルールと、前記収集手段により収集した情報から、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を作成する対応情報作成手段と、
    前記集合に含まれる経路情報の第三のネットワークへの経路配布規則を集合に対する条件として受け付け、該経路配布規則を、前記対応情報作成手段で作成した対応情報に基づき、第二のネットワーク内に含まれる通信装置のインタフェースにおける経路情報のフィルタ条件に変換するフィルタ条件生成手段と、
    前記フィルタ条件生成手段により生成した経路情報のフィルタ条件を通信装置に設定する設定手段と、
    を備えたことを特徴とする通信制御システム。
  2. 前記対応情報作成手段は、前記収集手段により経路情報が収集されてから所定の時間以上経過した場合、該経路情報から生成した、集合名と集合への追加ルールを満たす宛先ネットワークアドレスの対応情報を破棄することを特徴とする請求項1に記載の通信制御システム。
  3. 前記設定手段は、第二のネットワークにおいて、第一のネットワークに接続された第一の通信装置から第三のネットワークに接続された第三の通信装置へと経路情報が送信される通信経路に第二の通信装置がある場合に、前記フィルタ条件生成手段により生成された経路情報のフィルタ条件を第二の通信装置に設定することを特徴とする請求項1または2に記載の通信制御システム。
  4. 前記設定手段は宛先ネットワークアドレスの情報を送信することにより経路情報のフィルタ条件を通信装置に設定し、通信装置は受信した情報に基づいてユーザデータのパケットのフィルタリングをおこなうフィルタリング手段をさらに備えたことを特徴とする請求項1、2または3に記載の通信制御システム。
  5. 前記通信装置とは別に設置され、宛先ネットワークアドレスを経路メッセージから検出する宛先ネットワークアドレス検出手段をさらに備え、前記収集手段は、前記宛先ネットワークアドレス検出手段により検出された宛先ネットワークアドレスに係る情報と当該宛先ネットワークアドレスの情報を含んだ経路メッセージを受信した通信装置及び受信インタフェースの識別情報とを収集することを特徴とする請求項1〜4のいずれか1つに記載の通信制御システム。
JP2006135617A 2006-05-15 2006-05-15 通信制御システム Expired - Fee Related JP4630225B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006135617A JP4630225B2 (ja) 2006-05-15 2006-05-15 通信制御システム
US11/602,688 US7684339B2 (en) 2006-05-15 2006-11-21 Communication control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006135617A JP4630225B2 (ja) 2006-05-15 2006-05-15 通信制御システム

Publications (2)

Publication Number Publication Date
JP2007306518A JP2007306518A (ja) 2007-11-22
JP4630225B2 true JP4630225B2 (ja) 2011-02-09

Family

ID=38684998

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006135617A Expired - Fee Related JP4630225B2 (ja) 2006-05-15 2006-05-15 通信制御システム

Country Status (2)

Country Link
US (1) US7684339B2 (ja)
JP (1) JP4630225B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110044342A1 (en) * 2008-06-13 2011-02-24 Nec Europe Ltd Method for populating a forwarding information base of a router and router
US8693372B2 (en) * 2009-01-29 2014-04-08 Qualcomm Incorporated Methods and apparatus for forming, maintaining and/or using overlapping networks
KR101628803B1 (ko) * 2009-12-11 2016-06-09 에스케이텔레콤 주식회사 이동통신 시스템에서 통화 경로 오류 검출 장치 및 방법
EP2544417B1 (en) * 2010-03-05 2014-11-12 Nec Corporation Communication system, path control apparatus, packet forwarding apparatus and path control method
JP5440372B2 (ja) * 2010-05-13 2014-03-12 富士通株式会社 管理装置、管理プログラムおよび通信システム
JP5105124B2 (ja) * 2011-02-24 2012-12-19 Necアクセステクニカ株式会社 ルータ装置、プレフィクス管理にもとづくパケット制御方法およびプログラム
CN103916294B (zh) 2014-04-29 2018-05-04 华为技术有限公司 协议类型的识别方法和装置
CN106027396B (zh) * 2016-04-29 2019-09-06 新华三技术有限公司 一种路由控制方法、装置和系统
US20180331946A1 (en) * 2017-05-09 2018-11-15 vIPtela Inc. Routing network traffic based on performance
US11212210B2 (en) * 2017-09-21 2021-12-28 Silver Peak Systems, Inc. Selective route exporting using source type
US11968174B2 (en) * 2018-10-04 2024-04-23 Level 3 Communications, Llc Systems and methods for blocking spoofed traffic
CN109412942B (zh) * 2018-11-28 2020-12-29 网宿科技股份有限公司 云网传输路由方法和系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001292163A (ja) * 2000-04-04 2001-10-19 Fujitsu Ltd 通信データ中継装置
JP2004064182A (ja) * 2002-07-25 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> プライベート網間接続方法およびゲートウェイ制御装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3623680B2 (ja) 1999-01-11 2005-02-23 株式会社日立製作所 経路検証機能を備えるネットワークシステム、経路管理装置及び交換機
JP3895146B2 (ja) * 2001-10-22 2007-03-22 富士通株式会社 サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム
JP3699051B2 (ja) 2002-03-15 2005-09-28 株式会社エヌ・ティ・ティ・ドコモ 自律システム、通信制御方法、およびサーバ
US8064467B2 (en) * 2005-02-04 2011-11-22 Level 3 Communications, Llc Systems and methods for network routing in a multiple backbone network architecture
US20060291446A1 (en) * 2005-06-24 2006-12-28 Donald Caldwell Systems, methods, and devices for managing routing
US7606159B2 (en) * 2005-08-30 2009-10-20 Cisco Technology, Inc. Method and apparatus for updating best path based on real-time congestion feedback

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001292163A (ja) * 2000-04-04 2001-10-19 Fujitsu Ltd 通信データ中継装置
JP2004064182A (ja) * 2002-07-25 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> プライベート網間接続方法およびゲートウェイ制御装置

Also Published As

Publication number Publication date
US7684339B2 (en) 2010-03-23
US20070263548A1 (en) 2007-11-15
JP2007306518A (ja) 2007-11-22

Similar Documents

Publication Publication Date Title
JP4630225B2 (ja) 通信制御システム
CN109218281B (zh) 基于意图的网络安全策略修改
US7406534B2 (en) Firewall configuration validation
CN100484125C (zh) 对地址询问的回答方法和回答装置
US7769873B1 (en) Dynamically inserting filters into forwarding paths of a network device
US20070288613A1 (en) Providing support for responding to location protocol queries within a network node
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
CN103095676A (zh) 过滤系统以及过滤方法
US11652845B2 (en) Attack countermeasure determination apparatus, attack countermeasure determination method, and attack countermeasure determination program
JP2008116998A (ja) 端末装置管理システム、データ中継装置、ネットワーク間接続装置、および端末装置の検疫方法
JP2007128349A (ja) ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム
JP2009065294A (ja) データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
CN108900484A (zh) 一种访问权限信息的生成方法和装置
US20080168563A1 (en) Storage medium storing terminal identifying program terminal identifying apparatus, and mail system
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP6926734B2 (ja) 経路制御装置および経路制御方法
JP4391960B2 (ja) リソース管理装置、システムおよび方法
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JPH10154118A (ja) ネットワーク通信システム
CN116719868A (zh) 网络资产的识别方法、装置及设备
JP2006221327A (ja) 計算機システムおよびストレージ装置
JP2008283495A (ja) パケット転送システムおよびパケット転送方法
CN114978563A (zh) 一种封堵ip地址的方法及装置
JP4319609B2 (ja) 攻撃経路解析装置及び攻撃経路解析方法及びプログラム
Röthke A Test Framework for RPKI Prefix Validation in BGP Implementations

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090108

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101109

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101112

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees