JP4758302B2 - ネットワークノード - Google Patents
ネットワークノード Download PDFInfo
- Publication number
- JP4758302B2 JP4758302B2 JP2006233196A JP2006233196A JP4758302B2 JP 4758302 B2 JP4758302 B2 JP 4758302B2 JP 2006233196 A JP2006233196 A JP 2006233196A JP 2006233196 A JP2006233196 A JP 2006233196A JP 4758302 B2 JP4758302 B2 JP 4758302B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information
- address
- processor
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 231
- 238000012546 transfer Methods 0.000 claims description 148
- 238000006243 chemical reaction Methods 0.000 claims description 50
- 230000004044 response Effects 0.000 claims description 49
- 230000004308 accommodation Effects 0.000 claims description 30
- 238000000034 method Methods 0.000 claims description 22
- 238000013519 translation Methods 0.000 claims description 10
- 238000001914 filtration Methods 0.000 claims description 6
- 238000005316 response function Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 44
- 230000005540 biological transmission Effects 0.000 description 39
- 238000010586 diagram Methods 0.000 description 20
- 238000012805 post-processing Methods 0.000 description 17
- 230000001629 suppression Effects 0.000 description 4
- MXBCYQUALCBQIJ-RYVPXURESA-N (8s,9s,10r,13s,14s,17r)-13-ethyl-17-ethynyl-11-methylidene-1,2,3,6,7,8,9,10,12,14,15,16-dodecahydrocyclopenta[a]phenanthren-17-ol;(8r,9s,13s,14s,17r)-17-ethynyl-13-methyl-7,8,9,11,12,14,15,16-octahydro-6h-cyclopenta[a]phenanthrene-3,17-diol Chemical compound OC1=CC=C2[C@H]3CC[C@](C)([C@](CC4)(O)C#C)[C@@H]4[C@@H]3CCC2=C1.C1CC[C@@H]2[C@H]3C(=C)C[C@](CC)([C@](CC4)(O)C#C)[C@@H]4[C@@H]3CCC2=C1 MXBCYQUALCBQIJ-RYVPXURESA-N 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークノード(以下、ノード)に係り、特に、パケットを転送するノードに装着可能な回線収容ボードおいて、パケットへの付加機能処理を実行し、さらに、ノードが送受信するトラフィック状況に応じてノード内データベースの更新を促すことが可能な回線収容ボードを備えるネットワークノードに関する。
ノードで受信したパケットに対する暗号化等の付加機能処理を実現する手段として、付加機能処理に特化したプロセッサを搭載する回線収容ボードを用いる方式が開示されている(例えば、特許文献1参照)。特許文献1では、ノードにて付加機能処理を適用すべきパケットが受信されると、回線制御モジュールに接続される第1のルーティングモジュールは、パケットを送信回線に向けて出力せず、機能実行モジュールに向けて出力する。機能実行モジュール内の機能アクセラレータは、入力されたパケットを加工し、加工後のパケットを機能実行モジュールに接続される第2のルーティングモジュールへ出力する。機能実行モジュールおよび接続される第2のルーティングモジュールは、加工後パケットが入力されると、加工後パケットのヘッダ情報に基づいて出力先情報の検索を実行し、検索結果として得られる送信先の回線制御モジュールに向けて加工後パケットを出力する。即ち、特許文献1のネットワークノードでは、第1及び第2のルーティングモジュールにおいて、入力パケットを加工する前のヘッダ情報に基づく出力先情報検索と、加工後パケットのヘッダ情報に基づく出力先情報検索とが実行されている。
端末は、ローカルなIP(Internet Protocol)ネットワーク内部で使用可能なプライベートIPアドレスを用いる場合がある。ノードにおいて、端末から送信されたパケットを外部のネットワークに転送する際の付加機能処理として、NAT(Network Address Translation)処理を適用する場合がある。NAT処理は、プライベートIPアドレスを他のネットワークと通信する為に必要なグローバルIPアドレスへ変換する。
パケットの出力先情報検索の検索キーに宛先アドレスと送信元アドレスとを用いる特許文献1に対し、ノードの経路検索部がパケットの経路情報を検索する為に必要な検索キーとして、パケットの宛先アドレスだけを用いる方式が開示されている(例えば、特許文献2参照)。
特開2002−281072号公報
特開2005−333220号公報
特許文献1では、機能実行モジュールにおいて、パケットの付加機能処理について述べられているが、ノードが送受信するトラフィック状況に応じた情報(例えば、フィルタ情報)の生成と、生成した情報の活用(例えば、生成した情報に基づくパケットフィルタリング)とについてはいずれも開示されていない。
また、特許文献1の機能実行モジュールは、装置制御を担当するメインプロセッサモジュールの負荷上昇抑制を視野に入れている。しかし、メインプロセッサモジュールでの負荷上昇を抑制する為に機能実行モジュールがパケットの付加機能処理を実行する場合においても、パケットは常に機能実行モジュールに接続された上記第2のルーティングモジュールを経由する。言い換えると、特許文献1のノードは、そのルーティングモジュールに一定の負荷が掛かる。従って、機能実行モジュールによる付加機能処理の実行だけでは、ノードを構成する全モジュールの負荷上昇を抑制することができない場合がある。
更に、特許文献1のノードが外部ネットワークへ送信するパケットに対してNATを適用することを想定した場合、以下のように、パケットの転送に用いるデータベースのリソース量は抑えにくい。
例えば、内部ネットワークから外部ネットワークへパケットを送信する場合、パケットの送信元アドレス変換が必要である。ノードにてNAT処理を実行する際、ルーティングモジュールは、加工後パケットに対する出力先情報検索に必要な情報(検索キー)として、アドレスを変換しない宛先アドレスとアドレス変換後の送信元アドレスとを少なくとも用いると考えられる。
また、ノードにおいて、外部ネットワークからのパケット受信時にNAT処理を実行する場合、受信パケットの宛先アドレスを変換する。例えば、グローバルIPアドレスをプライベートIPアドレスに変換する。このとき、ルーティングモジュールは、加工後パケットに対する出力先情報検索に必要な検索キーとして、アドレス変換後の宛先アドレスとアドレスを変換しない送信元アドレスとを少なくとも用いると考えられる。したがって、変換前、変換後のアドレスの組み合わせが多くなり、パケット転送に用いるデータベースのリソース量が多くなる。
リソース量を抑える手段として、例えば、特許文献2に記載の出力先情報検索方式が挙げられる。しかし、特許文献2に記載される出力先情報検索方式を特許文献1のノードに実装すると、プライベートIPアドレスを用いる端末から送信されるパケットを外部のネットワークに転送する前提では、NAT適用前パケットとNAT適用後パケットとの宛先アドレスが同一である為、上述の第2のルーティングモジュールは、パケットの宛先に基づき機能実行モジュールにパケットを転送する。したがって、ルーティングモジュールと機能実行モジュールとの間でパケットがループ状態に陥ることになる。
また、制御パケットへの応答や、攻撃パケットに対するノード内の装置制御部の急激な付加変動は、ノード全体の安定性を欠き、ネットワークの信頼性低下を招く可能性がある。
また、制御パケットへの応答や、攻撃パケットに対するノード内の装置制御部の急激な付加変動は、ノード全体の安定性を欠き、ネットワークの信頼性低下を招く可能性がある。
本発明は、以上の点に鑑み、ネットワークノードの回線を収容するボードにおいて、入力されるパケットを識別し、パケットの種別に応じたハンドリング(加工・応答・統計収集などの処理)を実行し、ハンドリングにより、ノードを構成する各モジュールがパケットをルーティング或いはハンドリングする為の負荷を抑制することを目的とする。また、本発明は、装置制御部の安定性を高めることを目的とする。
本発明は、パケット転送に必要なノード内のリソース量を抑えることを目的のひとつとする。また、本発明は、ノード内でパケットをループ状態に陥らせないことを目的のひとつとする。さらに、本発明は、プライベートアドレスとグローバルアドレスの変換を回線ボードで行い、パケット転送のためのデータベースのリソース量を抑えることを目的のひとつとする。
また、本発明は、トラヒック傾向に基づくパケットフィルタの更新をパケット転送部に促すことを目的のひとつとする。例えば、本発明は、ネットワークにおけるセキュリティが重要になっていることに鑑み、回線収容ボードを通過するトラフィック傾向を分析し、パケットフローの通過可否の決定に必要なパケットフィルタの更新をメインプロセッサモジュールに促すことを目的とする。
本発明は、回線収容ボードが、制御パケットに対する代理応答を行うことを目的のひとつとする。
本発明は、回線収容ボードが、制御パケットに対する代理応答を行うことを目的のひとつとする。
本発明では、上記課題を解決する為、回線制御モジュールとルーティングモジュール間のブリッジと、パケットのハンドリングに特化した拡張機能実行用プロセッサと、拡張機能の実行に必要な情報を格納する拡張機能用メモリ(ポリシーデータベース)とを回線収容ボード上に設ける。該拡張機能実行用プロセッサは該ブリッジに接続され、拡張機能用メモリは該拡張機能実行用プロセッサと接続される。
該ブリッジは、該回線制御モジュール/該ルーティングモジュールからパケットが入力されると、該パケットの識別を実行する。該ブリッジでは、パケット識別の結果により、該回線収容ボードで実現する拡張機能に応じて該パケットの出力方法が異なる。例えば、該回線収容ボードにおいて該パケットをハンドリングさせる必要がある場合、該ブリッジは該パケットを拡張機能実行用プロセッサに出力する。
また、該回線収容ボードに入力されるパケットの統計を収集する必要がある場合、パケット或いはパケットのコピーを該拡張機能実行用プロセッサに出力する。なお、コピーは該ブリッジにて生成されることができる。更に、該ブリッジは、入力されたパケットのハンドリング/統計収集を要しないと判断した場合、該パケットを該ルーティングモジュール/該回線収容モジュールに出力する。
該拡張機能実行用プロセッサは、入力された該パケットに対する加工・応答(ハンドリング)内容の決定に際し、ハンドリングに必要なコンテンツが格納されたデータベースを検索する。該拡張機能実行用プロセッサは、該パケットに対し、検索結果のコンテンツに示されるハンドリングを実行後、ハンドリング済のパケットを該ブリッジに向けて出力する(但し、該コンテンツが“該パケットの廃棄指示”である場合、該拡張機能実行用プロセッサは該パケットを廃棄する)。また、該拡張機能実行用プロセッサが該パケット/該コピーの統計収集を実行する場合、該パケット/該コピーのヘッダからフロー情報を抽出し、フロー毎の統計を収集する。その後、該拡張機能実行用プロセッサは、フロー情報が抽出された該パケットを該ブリッジに向けて出力する。因みに、フロー情報が抽出された該コピーは、該拡張機能実行用プロセッサにて廃棄される。
該拡張機能実行用プロセッサから該パケットを入力された該ブリッジは、上述したループの発生を防止する為、該パケット内の情報に基づき、該パケットを回線制御モジュール/ルーティングモジュールに向けて出力する。
該拡張機能実行用プロセッサは、該回線収容ボードにて該パケット/該コピーの統計を収集する際、該統計からトラフィックの傾向を分析する。傾向分析の結果、該拡張機能実行用プロセッサは、排除すべきパケットフローをノード内で廃棄させる為、ノード内パケットフィルタの更新に必要なフィルタ情報を生成する。この後、該拡張機能実行用プロセッサは、上述のメインプロセッサモジュールに向けて該フィルタ情報を出力する。該フィルタ情報を入力された該メインプロセッサモジュールは、該フィルタ情報に基づいてパケットフィルタの更新に必要なフィルタフローと該パケットフィルタ更新を要求する信号を発行する。
本発明の第1の解決手段によると、
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1及び/又は第2の回線収容部は、
第1又は第2のネットワークに接続される回線を収容するための回線インタフェースと、
予め定められた前記拡張機能を実行するための情報が予め記憶される記憶部と、
入力されるパケットに含まれる情報と、前記記憶部に記憶された情報とに基づき前記拡張機能を実行するプロセッサと、
パケットの入力元毎に該パケットの出力先が予め設定され、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサから入力されたパケットを、該設定に従い、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサのいずれかに出力するブリッジと
を有し、
前記回線インタフェースから受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記回線インタフェースから受信された該パケットが前記パケット転送部に入力される前に前記拡張機能が実行される、及び/又は、
前記パケット転送部から受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記パケット転送部により転送された該パケットが前記回線インタフェースから出力される前に前記拡張機能が実行される前記ネットワークノードが提供される。
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1及び/又は第2の回線収容部は、
第1又は第2のネットワークに接続される回線を収容するための回線インタフェースと、
予め定められた前記拡張機能を実行するための情報が予め記憶される記憶部と、
入力されるパケットに含まれる情報と、前記記憶部に記憶された情報とに基づき前記拡張機能を実行するプロセッサと、
パケットの入力元毎に該パケットの出力先が予め設定され、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサから入力されたパケットを、該設定に従い、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサのいずれかに出力するブリッジと
を有し、
前記回線インタフェースから受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記回線インタフェースから受信された該パケットが前記パケット転送部に入力される前に前記拡張機能が実行される、及び/又は、
前記パケット転送部から受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記パケット転送部により転送された該パケットが前記回線インタフェースから出力される前に前記拡張機能が実行される前記ネットワークノードが提供される。
本発明の第2の解決手段によると、
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
外部ネットワークに接続するための第1の回線収容部と、
内部ネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1の回線収容部は、
外部ネットワークに接続される回線を収容するための回線インタフェースと、
内部ネットワーク内でのプライベートアドレスと、該プライベートアドレスに対応する外部ネットワークでのグローバルアドレスとが記憶されたアドレス変換テーブルと、
前記拡張機能として、前記アドレス変換テーブルを参照してプライベートアドレスとグローバルアドレスとを変換するプロセッサと
を有し、
前記転送データベースは、記憶される宛先アドレスに外部ネットワークのグローバルアドレスと、対応する出力先情報に前記第1の回線収容部の識別子とが用いられ、及び、記憶される宛先アドレスに内部ネットワークのプライベートアドレスと、対応する出力先情報に前記第2の回線収容部の識別子とが用いられ、
前記プロセッサは、
前記回線インタフェースを介して、宛先アドレスにグローバルアドレスを用いた内部ネットワーク宛てのパケットが入力される際、
入力されたパケットの該宛先アドレスに基づき前記アドレス変換テーブルを参照し、対応するプライベートアドレスを取得し、入力されたパケットの宛先アドレスを取得されたプライベートアドレスに書き換えて、前記パケット転送部に出力し、
前記パケット転送部は、宛先アドレスがプライベートアドレスに書き換えられた入力パケットの該宛先アドレスに基づき、前記転送データベースを参照し、対応する出力先情報に従い該入力パケットを前記第2の回線収容部に出力し、
前記第2の回線収容部は、該パケットを内部ネットワークに出力する前記ネットワークノードが提供される。
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
外部ネットワークに接続するための第1の回線収容部と、
内部ネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1の回線収容部は、
外部ネットワークに接続される回線を収容するための回線インタフェースと、
内部ネットワーク内でのプライベートアドレスと、該プライベートアドレスに対応する外部ネットワークでのグローバルアドレスとが記憶されたアドレス変換テーブルと、
前記拡張機能として、前記アドレス変換テーブルを参照してプライベートアドレスとグローバルアドレスとを変換するプロセッサと
を有し、
前記転送データベースは、記憶される宛先アドレスに外部ネットワークのグローバルアドレスと、対応する出力先情報に前記第1の回線収容部の識別子とが用いられ、及び、記憶される宛先アドレスに内部ネットワークのプライベートアドレスと、対応する出力先情報に前記第2の回線収容部の識別子とが用いられ、
前記プロセッサは、
前記回線インタフェースを介して、宛先アドレスにグローバルアドレスを用いた内部ネットワーク宛てのパケットが入力される際、
入力されたパケットの該宛先アドレスに基づき前記アドレス変換テーブルを参照し、対応するプライベートアドレスを取得し、入力されたパケットの宛先アドレスを取得されたプライベートアドレスに書き換えて、前記パケット転送部に出力し、
前記パケット転送部は、宛先アドレスがプライベートアドレスに書き換えられた入力パケットの該宛先アドレスに基づき、前記転送データベースを参照し、対応する出力先情報に従い該入力パケットを前記第2の回線収容部に出力し、
前記第2の回線収容部は、該パケットを内部ネットワークに出力する前記ネットワークノードが提供される。
本発明の第3の解決手段によると、
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースと、パケットのフロー情報に対応して、パケットの廃棄指示又は優先度の変更指示を含むポリシー情報が記憶されたパケットフィルタデータベースとを有し、入力されたパケットの宛先アドレスに基づき前記転送データベースを参照して対応する出力先情報を取得し、及び、該パケットのフロー情報に基づき前記パケットフィルタデータベースを参照して対応するポリシー情報を取得し、取得された出力先情報及びポリシー情報に従い、パケットを前記第1及び第2の回線収容部に転送する又はパケットを廃棄するパケット転送部と
を備え、
前記第1の回線収容部は、
第1のネットワークに接続される回線を収容するための回線インタフェースと、
パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報が記憶されるフロー統計テーブルと、
前記拡張機能として、パケットのフロー情報毎の前記統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを変更するプロセッサと
を有し、
前記プロセッサは、
前記回線インタフェースを介してパケットが入力される際、入力されたパケットのフロー情報に基づき、前記フロー統計テーブルの該当するフロー情報に対応する統計情報を増加し、
該統計情報が予め定められた閾値を超えるフロー情報を識別し、該フロー情報と予め定められたポリシー情報とを含む、前記パケットフィルタデータベースを更新するためのフィルタ情報を生成して出力する前記ネットワークノードが提供される。
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースと、パケットのフロー情報に対応して、パケットの廃棄指示又は優先度の変更指示を含むポリシー情報が記憶されたパケットフィルタデータベースとを有し、入力されたパケットの宛先アドレスに基づき前記転送データベースを参照して対応する出力先情報を取得し、及び、該パケットのフロー情報に基づき前記パケットフィルタデータベースを参照して対応するポリシー情報を取得し、取得された出力先情報及びポリシー情報に従い、パケットを前記第1及び第2の回線収容部に転送する又はパケットを廃棄するパケット転送部と
を備え、
前記第1の回線収容部は、
第1のネットワークに接続される回線を収容するための回線インタフェースと、
パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報が記憶されるフロー統計テーブルと、
前記拡張機能として、パケットのフロー情報毎の前記統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを変更するプロセッサと
を有し、
前記プロセッサは、
前記回線インタフェースを介してパケットが入力される際、入力されたパケットのフロー情報に基づき、前記フロー統計テーブルの該当するフロー情報に対応する統計情報を増加し、
該統計情報が予め定められた閾値を超えるフロー情報を識別し、該フロー情報と予め定められたポリシー情報とを含む、前記パケットフィルタデータベースを更新するためのフィルタ情報を生成して出力する前記ネットワークノードが提供される。
本発明の第4の解決手段によると、
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1の回線収容部は、
第1のネットワークに接続される回線を収容するための回線インタフェースと、
ゲートウェイを担うノードのIPアドレスと、該ノードのMACアドレスとが対応して記憶されたテーブルと、
前記拡張機能を実行するプロセッサと
を有し、
前記プロセッサは、
前記回線インタフェースを介して、第1のネットワーク内の端末から、ゲートウェイを担うノードのIPアドレスを含むMACアドレス取得要求を受信し、
受信されたMACアドレス取得要求に含まれる該ゲートウェイを担うノードのIPアドレスに基づき前記テーブルを参照し、対応するMACアドレスを取得し、
取得されたMACアドレスを含むMACアドレス取得応答を、前記回線インタフェースを介して、前記端末に送信する前記ネットワークノードが提供される。
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1の回線収容部は、
第1のネットワークに接続される回線を収容するための回線インタフェースと、
ゲートウェイを担うノードのIPアドレスと、該ノードのMACアドレスとが対応して記憶されたテーブルと、
前記拡張機能を実行するプロセッサと
を有し、
前記プロセッサは、
前記回線インタフェースを介して、第1のネットワーク内の端末から、ゲートウェイを担うノードのIPアドレスを含むMACアドレス取得要求を受信し、
受信されたMACアドレス取得要求に含まれる該ゲートウェイを担うノードのIPアドレスに基づき前記テーブルを参照し、対応するMACアドレスを取得し、
取得されたMACアドレスを含むMACアドレス取得応答を、前記回線インタフェースを介して、前記端末に送信する前記ネットワークノードが提供される。
本発明によると、ネットワークノードの回線を収容するボードにおいて、入力されるパケットを識別し、パケットの種別に応じたハンドリング(加工・応答・統計収集などの処理)を実行し、ハンドリングにより、ノードを構成する各モジュールがパケットをルーティング或いはハンドリングする為の負荷を抑制することができる。また、本発明によると、装置制御部の安定性を高めることができる。
本発明によると、パケット転送に必要なノード内のリソース量を抑えることができる。また、本発明によると、ノード内でパケットをループ状態に陥らせないことができる。さらに、本発明によると、プライベートアドレスとグローバルアドレスの変換を回線ボードで行い、パケット転送のためのデータベースのリソース量を抑えることができる。また、ブリッジが入力されるパケットを識別することにより、ルーティングモジュールと拡張機能実行用プロセッサとの間でパケットがループ状態に陥ることを回避でき、且つルーティングモジュールがパケットの転送する際に用いるデータベースのリソース量を、例えば特許文献1の装置より抑制できる。
本発明によると、トラヒック傾向に基づくパケットフィルタの更新をパケット転送部に促すことができる。例えば、本発明によると、ネットワークにおけるセキュリティが重要になっていることに鑑み、回線収容ボードを通過するトラフィック傾向を分析し、パケットフローの通過可否の決定に必要なパケットフィルタの更新をメインプロセッサモジュールに促すことができる。
本発明によると、拡張機能実行用プロセッサにより、回線収容ボードに入力されたトラフィックの分析が可能になり、分析結果に基づき上述したフィルタ情報を生成することが可能である。拡張機能実行用プロセッサがフィルタ情報を上述のメインプロセッサモジュールへ出力することにより、メインプロセッサモジュールはフィルタ情報を用いてノード内のパケットフィルタを動的に更新可能である。
本発明によると、回線収容ボードが、制御パケットに対する代理応答を行うことができる。また、ブリッジが通常のパケット転送では送信できないパケットを認識すると、パケットを拡張機能実行用プロセッサに出力する。この後、拡張機能実行用プロセッサがメインプロセッサモジュールの代わりにパケットに対する応答を実行することにより、メインプロセッサモジュールの負荷を低減できる。
以上から、本発明により、ネットワークノードを構成する各モジュールに対し、パケットあたりの転送負荷の上昇が抑制できると共に、装置動作の安定性が維持できる。また、パケットフィルタの動的更新によって、ネットワークの安定性も維持可能になる。
1.第1の実施の形態
1−1. システム構成
以下、第1の実施の形態について図面を参照して説明する。ここでは、ノードの拡張機能処理として、NATに関して述べる。但し、適用する装置、パケットの種類はこれらに限られない。
1−1. システム構成
以下、第1の実施の形態について図面を参照して説明する。ここでは、ノードの拡張機能処理として、NATに関して述べる。但し、適用する装置、パケットの種類はこれらに限られない。
図1は、ノード装置(ネットワークノード)を構成するブロック図である。
ノード装置10は、装置制御部(制御部)20と、パケット転送部30と、回線収容ボード(第2の回線収容部)40と、機能拡張ボード(第1の回線収容部)50とを備える。また、ノード装置10は、信号線L7を介して管理端末15と接続される。なお、図1の例では、回線収容ボード40と機能拡張ボード50は、それぞれひとつずつ図示しているが、それぞれ複数備えてもよい。また、複数の機能拡張ボード50がそれぞれ異なる機能を実行してもよい。
ノード装置10は、装置制御部(制御部)20と、パケット転送部30と、回線収容ボード(第2の回線収容部)40と、機能拡張ボード(第1の回線収容部)50とを備える。また、ノード装置10は、信号線L7を介して管理端末15と接続される。なお、図1の例では、回線収容ボード40と機能拡張ボード50は、それぞれひとつずつ図示しているが、それぞれ複数備えてもよい。また、複数の機能拡張ボード50がそれぞれ異なる機能を実行してもよい。
図3は、装置制御部20の構成図である。
装置制御部20は、装置制御プロセッサ21と装置制御用メモリ22とを有する。装置制御プロセッサ21は、パケットを他のネットワーク装置へ転送する為に必要な、後述するパケット転送用データベースや、パケット転送可否を決定するための、後述するパケットフィルタへ、信号線L1を介してアクセスする。また、装置制御プロセッサ21は、他のネットワーク装置に送信すべき制御パケットの発行や、他のネットワーク装置から受信した制御パケットに応じた動作を実行する。装置制御用メモリ22の用途として、例えば、パケット転送部30内のパケット転送用データベース32とパケットフィルタ33とに設定する情報の保持等が挙げられる。
装置制御部20は、装置制御プロセッサ21と装置制御用メモリ22とを有する。装置制御プロセッサ21は、パケットを他のネットワーク装置へ転送する為に必要な、後述するパケット転送用データベースや、パケット転送可否を決定するための、後述するパケットフィルタへ、信号線L1を介してアクセスする。また、装置制御プロセッサ21は、他のネットワーク装置に送信すべき制御パケットの発行や、他のネットワーク装置から受信した制御パケットに応じた動作を実行する。装置制御用メモリ22の用途として、例えば、パケット転送部30内のパケット転送用データベース32とパケットフィルタ33とに設定する情報の保持等が挙げられる。
装置制御部20は、機能拡張ボード50のブリッジ及びプロセッサに接続される。装置制御部20は、所望のタイミングで、機能拡張ボード50のプロセッサに予め定められた拡張機能を設定する。また、装置制御部20は、拡張機能を実行するための情報を機能拡張ボード50の記憶部に記憶する。また、装置制御部20は、拡張機能に応じた、パケットの入力元毎の出力先をブリッジに設定する。
なお、拡張機能は、例えば、プライベートアドレスとグローバルアドレスを変換するアドレス変換機能、パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを変更するフィルタ更新機能、及び、前記回線インタフェースを介して端末から受信したパケットに対して、前記プロセッサが応答する代理応答機能とすることができるが、これらに限られず、パケット転送機能以外の適宜の機能であってもよい。なお、フィルタ更新機能、代理応答機能については、後に別の実施の形態として説明する。
図4は、パケット転送部30の構成図である。
パケット転送部30は、パケット転送用プロセッサ31と、パケット転送用データベース(転送データベース)32と、パケットフィルタ(パケットフィルタデータベース)33とを有する。パケット転送において、パケット転送用プロセッサ31は、パケットが入力されると、パケットを宛先に向けて出力する。詳述すると、パケット転送用プロセッサ31は、パケットの送信回線を決定する為に、パケット転送用データベース32を検索する。
パケット転送部30は、パケット転送用プロセッサ31と、パケット転送用データベース(転送データベース)32と、パケットフィルタ(パケットフィルタデータベース)33とを有する。パケット転送において、パケット転送用プロセッサ31は、パケットが入力されると、パケットを宛先に向けて出力する。詳述すると、パケット転送用プロセッサ31は、パケットの送信回線を決定する為に、パケット転送用データベース32を検索する。
図12に、パケット転送用データベース32の構成例を示す。
パケット転送用データベース32は、例えば、宛先アドレスと、宛先アドレスに対応する出力インタフェース情報(出力先情報)とが対応して記憶される。ここで、出力インタフェース情報は、例えば、回線収容ボード40、機能拡張ボード50を指し、さらに、各ボードが有するポートのポート情報を含んでも良い。
パケット転送用データベース32は、例えば、宛先アドレスと、宛先アドレスに対応する出力インタフェース情報(出力先情報)とが対応して記憶される。ここで、出力インタフェース情報は、例えば、回線収容ボード40、機能拡張ボード50を指し、さらに、各ボードが有するポートのポート情報を含んでも良い。
パケット転送用データベース32の検索において、パケット転送用プロセッサ31は、入力したパケットに記載の宛先アドレスから検索キーを生成し、検索キーとパケット転送用データベース32における検索キーとの比較要素(テーブルに記憶された宛先アドレス)との一致比較を実行する。一致比較の結果、検索キーと一致する比較要素が存在する場合、パケット転送用データベース32から比較要素に対応する検索結果(出力インタフェース情報)を取得する。その後、パケット転送用プロセッサ31は、検索結果として得られた送信インタフェースに向けてパケットを出力する。
図13に、パケットフィルタ33の構成例を示す。
パケットフィルタ33は、例えば、送信元アドレス、宛先アドレス、送信元ポート番号、宛先ポート番号の組み合わせと、その組み合わせに対応するポリシー情報とを含む。尚、パケット転送用プロセッサ31によるパケットフィルタ33の検索は、パケット転送用データベース32の検索と同様の方法で実行され、ポリシー情報が取得される。パケット転送用プロセッサ31は、取得されたポリシー情報に応じた処理を実行する。ポリシー情報は、例えば、パケットの転送可否を示す。また、パケットの廃棄指示、優先度変更などの情報であってもよい。
パケットフィルタ33は、例えば、送信元アドレス、宛先アドレス、送信元ポート番号、宛先ポート番号の組み合わせと、その組み合わせに対応するポリシー情報とを含む。尚、パケット転送用プロセッサ31によるパケットフィルタ33の検索は、パケット転送用データベース32の検索と同様の方法で実行され、ポリシー情報が取得される。パケット転送用プロセッサ31は、取得されたポリシー情報に応じた処理を実行する。ポリシー情報は、例えば、パケットの転送可否を示す。また、パケットの廃棄指示、優先度変更などの情報であってもよい。
また、パケット転送用プロセッサ31は、ノード装置10宛の制御パケットが信号線L2或いは信号線L3から入力されると、信号線L5経由で制御パケットを装置制御部20に出力する。
図5は、回線収容ボード40の構成図である。
回線収容ボード40内の回線インタフェース60−1は、収容する各回線から受信したパケットをパケット転送部30に向けて出力し、パケット転送部30から入力されたパケットを出力先情報検索結果に記載のインタフェースから送信する。
回線収容ボード40内の回線インタフェース60−1は、収容する各回線から受信したパケットをパケット転送部30に向けて出力し、パケット転送部30から入力されたパケットを出力先情報検索結果に記載のインタフェースから送信する。
図2は、機能拡張ボード50の構成図である。
機能拡張ボード50は、回線インタフェース60−2と、ブリッジ51と、拡張機能実行用プロセッサ(プロセッサ)52と、拡張機能用メモリ(記憶部)53とを有する。本実施の形態の拡張機能用メモリ53には、例えば、NAT処理に必要なアドレス変換テーブル5301を構成する。
機能拡張ボード50は、回線インタフェース60−2と、ブリッジ51と、拡張機能実行用プロセッサ(プロセッサ)52と、拡張機能用メモリ(記憶部)53とを有する。本実施の形態の拡張機能用メモリ53には、例えば、NAT処理に必要なアドレス変換テーブル5301を構成する。
図14に、アドレス変換テーブル5301の構成図を示す。
アドレス変換テーブル5301は、機能拡張ボード50で送受信されるパケットヘッダ情報(送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号の組み合わせ)と、パケットのIPアドレスを変換する為の変換後のIPアドレスおよびパケットのポート番号を変換する為のポート番号とが対応して記憶される。例えば、送信元IPアドレスがプライベートIPアドレスであり、検索結果のIPアドレスがグローバルIPアドレスである。また、宛先IPアドレスがグローバルIPアドレスであり、検索結果のIPアドレスがプライベートIPアドレスである。
アドレス変換テーブル5301は、機能拡張ボード50で送受信されるパケットヘッダ情報(送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号の組み合わせ)と、パケットのIPアドレスを変換する為の変換後のIPアドレスおよびパケットのポート番号を変換する為のポート番号とが対応して記憶される。例えば、送信元IPアドレスがプライベートIPアドレスであり、検索結果のIPアドレスがグローバルIPアドレスである。また、宛先IPアドレスがグローバルIPアドレスであり、検索結果のIPアドレスがプライベートIPアドレスである。
機能拡張ボード50へ入力されるパケットにNAT処理を適用するか否かに関しては、ノード装置10の管理者が管理端末15から設定することができる。NAT処理の適用要否情報は、信号線L7を介して管理端末15から装置制御用プロセッサ21へ入力される。装置制御用プロセッサ21は、適用要否情報を信号線L4と信号線L6とに出力する。信号線L4から適用要否情報を入力された拡張機能実行用プロセッサ52は、適用要否情報を記録する。また、信号線L6から適用要否情報を入力されたブリッジ51も適用要否情報を記録する。尚、適用要否情報の設定は、管理者が任意のタイミングで変更可能とする。
ブリッジ51は、パケットが入力されると、パケットが入力前に他のブロックで実行されたハンドリング内容とパケットの入力元とに応じて、出力先を決定する。
ブリッジ51は、パケットが入力されると、パケットが入力前に他のブロックで実行されたハンドリング内容とパケットの入力元とに応じて、出力先を決定する。
1−2. ブリッジの動作
図6は、ブリッジ51におけるパケットの出力先を決定するための処理フローである。本実施の形態では、機能拡張ボード50にてNAT処理を適用する場合について述べる。
ブリッジ51は、パケットが入力されると(ステップ700)、パケットがパケット転送部30から入力されたか否かを判断する(ステップ701)。例えば、信号線L3から入力されていれば、パケット転送部30から入力されたと判断する。パケットがパケット転送部30から入力された場合(ステップ701、Yes)、ブリッジ51はパケットを信号線L501経由で拡張機能実行用プロセッサ52へ出力する(ステップ703)。
図6は、ブリッジ51におけるパケットの出力先を決定するための処理フローである。本実施の形態では、機能拡張ボード50にてNAT処理を適用する場合について述べる。
ブリッジ51は、パケットが入力されると(ステップ700)、パケットがパケット転送部30から入力されたか否かを判断する(ステップ701)。例えば、信号線L3から入力されていれば、パケット転送部30から入力されたと判断する。パケットがパケット転送部30から入力された場合(ステップ701、Yes)、ブリッジ51はパケットを信号線L501経由で拡張機能実行用プロセッサ52へ出力する(ステップ703)。
一方、パケットがパケット転送部30から入力されていない場合(ステップ701、No)、ブリッジ51は、回線インタフェース60−2から入力されたか否かを判断する(ステップ704)。例えば、パケットが信号線L503を介して入力されていれば、回線インタフェース60−2から入力されたと判断する。パケットが回線インタフェース60−2から入力された場合(ステップ704、Yes)、ブリッジ51はパケットを拡張機能実行用プロセッサ52へ出力する(ステップ703)。
パケットの入力元がパケット転送部30と回線インタフェース60−2との何れでも無い場合(ステップ704、No)、ブリッジ51は、パケットが拡張機能実行用プロセッサ52から入力されたと判断し、パケットが外部ネットワークからノード装置10へ送信されたかものか否かを判断する(ステップ705)。このとき、ブリッジ51は、パケットに記載される情報(例えば、出力先情報)に基づき、ステップ705を実行する。パケットが内部ネットワークから送信されたパケットである場合、又は、出力先情報が付加されている場合、ブリッジ51は拡張機能実行用プロセッサ52によりハンドリングされた入力パケットを、回線インタフェース60−2へ出力する(ステップ706)。また、パケットが外部ネットワークから受信されたパケットである場合、又は、出力先情報が付加されていない場合、ブリッジ51は拡張機能実行用プロセッサ52によりハンドリングされた入力パケットを、パケット転送部30へ向けて出力する(ステップ707)。
以上の処理により、回線インタフェース60−2から入力したパケット(第1のパケット)は拡張機能実行用プロセッサ52に転送され、及び、拡張機能実行用プロセッサ52により拡張機能が実行され返信された第1のパケットはパケット転送部30に転送される。また、パケット転送部30から入力したパケット(第2のパケット)は拡張機能実行用プロセッサ52に転送され、及び、拡張機能実行用プロセッサ52により拡張機能が実行され返信された第2のパケットは回線インタフェース60−2に転送される。このようなパケットの入力元毎の出力先は、例えば、拡張機能実行用プロセッサ52で実行する拡張機能に応じて、装置制御部20により設定されることができる。
図7は、ネットワークを伝送する可変長パケットのフォーマットの例を示す説明図である。
ネットワークを伝送するパケット800は、ヘッダ810とペイロード850とを含む。ヘッダ810は、L2ヘッダ820と、L3ヘッダ830と、L4ヘッダ840とを含む。L2ヘッダ820は、パケット800のL3プロトコルや伝送する回線媒体などを含むタイプ821と、パケット800を転送すべきネットワーク装置の物理アドレスである宛先MACアドレス822と、パケット800を他のネットワークに送信するネットワーク装置の物理アドレスである送信元MACアドレス823とを含む。また、L3ヘッダ830は、パケット800の送信優先度等が含まれるL3制御情報831と、パケット800の宛先を示す宛先IPアドレス832と、パケット800の送信元を示す送信元IPアドレス833とを含む。更に、L4ヘッダ840は、通信の信頼性を確保する為に必要なL4制御情報841と、パケットが宛先のネットワーク装置に望むサービスを示す宛先ポート番号842と、パケット800のフローを識別する為に必要な送信元ポート番号843とを含む。
ネットワークを伝送するパケット800は、ヘッダ810とペイロード850とを含む。ヘッダ810は、L2ヘッダ820と、L3ヘッダ830と、L4ヘッダ840とを含む。L2ヘッダ820は、パケット800のL3プロトコルや伝送する回線媒体などを含むタイプ821と、パケット800を転送すべきネットワーク装置の物理アドレスである宛先MACアドレス822と、パケット800を他のネットワークに送信するネットワーク装置の物理アドレスである送信元MACアドレス823とを含む。また、L3ヘッダ830は、パケット800の送信優先度等が含まれるL3制御情報831と、パケット800の宛先を示す宛先IPアドレス832と、パケット800の送信元を示す送信元IPアドレス833とを含む。更に、L4ヘッダ840は、通信の信頼性を確保する為に必要なL4制御情報841と、パケットが宛先のネットワーク装置に望むサービスを示す宛先ポート番号842と、パケット800のフローを識別する為に必要な送信元ポート番号843とを含む。
図8は、本実施の形態における接続状態の例である。
以下、上記を踏まえた上で、ノード装置10から外部ネットワークに送信するパケット(送信パケット)と、ノード装置10が外部ネットワークから受信するパケット(受信パケット)とへ対するノード装置10におけるNAT処理を説明する。本実施の形態では、図8に示すように、機能拡張ボード50が外部ネットワークと接続される回線を収容し、回線収容ボード40は内部ネットワークに接続する回線を収容することを前提とする。なお、図8では、装置制御部20とパケット転送部30は省略している。
以下、上記を踏まえた上で、ノード装置10から外部ネットワークに送信するパケット(送信パケット)と、ノード装置10が外部ネットワークから受信するパケット(受信パケット)とへ対するノード装置10におけるNAT処理を説明する。本実施の形態では、図8に示すように、機能拡張ボード50が外部ネットワークと接続される回線を収容し、回線収容ボード40は内部ネットワークに接続する回線を収容することを前提とする。なお、図8では、装置制御部20とパケット転送部30は省略している。
1−3. 送信パケットに対するNAT処理
まず、外部ネットワークへ送信する際の処理について説明する。
回線収容ボード40の回線インタフェース60−1は、内部ネットワークに属するネットワーク装置から送信されたパケット800を受信すると、パケット800を信号線L2に出力する。このパケットの宛先は、例えば外部ネットワークの装置であり、グローバルIPアドレスを用いている。また、送信元のIPアドレスは、例えば、端末のプライベートIPアドレスを用いている。
まず、外部ネットワークへ送信する際の処理について説明する。
回線収容ボード40の回線インタフェース60−1は、内部ネットワークに属するネットワーク装置から送信されたパケット800を受信すると、パケット800を信号線L2に出力する。このパケットの宛先は、例えば外部ネットワークの装置であり、グローバルIPアドレスを用いている。また、送信元のIPアドレスは、例えば、端末のプライベートIPアドレスを用いている。
信号線L2からパケット800を入力されたパケット転送用プロセッサ31は、パケット転送用データベース32に格納されるパケット800の出力先情報を検索する為の検索キー(出力先検索キー)と、パケットフィルタ33に格納されるパケット800へ適用すべきポリシー情報を得る為の検索キー(ポリシー検索キー)とを生成する。例えば、出力先検索キーは、入力パケットの宛先アドレスを含む。また、例えば、ポリシー検索キーは、入力パケットの送信元アドレス、宛先アドレス、宛先ポート番号、送信元ポート番号を含む。また、出力先検索キーをパケット転送用データベース32と一致比較させる為のコマンド(出力先検索コマンド)と、ポリシー検索キーをパケットフィルタ33と一致比較させる為のコマンド(ポリシー検索コマンド)とを生成する。この後、パケット転送用プロセッサ31は、信号線L301へ出力先検索キーと出力先検索コマンドを出力し、パケット転送用データベース32を検索する。パケット転送用プロセッサ31は、信号線L302にポリシー検索キーとポリシー検索コマンドとを出力し、パケットフィルタ33を検索する。尚、出力先検索キーやポリシー検索キーに一致比較される条件を設定するデバイスとして、例えば、特許文献2などで述べられているCAM(Content Addressable Memory)を用いて良い。
上記検索の結果として、パケット転送用データベース32からパケット800に対する出力先情報(IPアドレス、ポート番号)が得られ、パケットフィルタ33からパケット800に対するポリシー情報が得られる。ポリシー情報として、例えばパケット800に対する送信優先度の変更指示や廃棄指示が挙げられる。ポリシー情報として送信優先度の変更が指示される場合、変更を指示する情報と変更後の送信優先度とが得られる。また、ポリシー情報として廃棄が指示される場合、パケット転送用プロセッサ31はパケットを廃棄する。また、ポリシー情報として送信優先度が指示される場合、パケット転送用プロセッサ31はパケットのL3制御情報831の優先度を、得られた送信優先度に変更する。ポリシー情報として廃棄が指示されない場合、パケット転送用プロセッサ31は、パケット800に、得られた出力先情報910を付加し、出力先情報付パケット900を信号線L3に出力する。なお、ノード装置10は、内部ネットワークに送信する場合は信号線L2へ出力し、外部ネットワークに送信する場合は信号線L3へ出力する。ここでは、入力パケットは、外部ネットワーク宛てであるので、信号線L3に出力される。
機能拡張ボード50では、図6のフローチャートに従い、ブリッジ51が信号線L3から入力された出力先情報付パケット900を信号線L501に出力する。信号線L501から出力先情報付パケット900を入力された拡張機能実行用プロセッサ52は、出力先情報付パケット900の送信元IPアドレス833−1(ここではプライベートIPアドレス)を変換する為、出力先情報付パケット900のL3ヘッダ830から検索キー(変換用検索キー)を生成する。例えば、変換用検索キーは、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。拡張機能実行用プロセッサ52は、生成された検索キーに基づき、上述のアドレス変換テーブル5301を検索する。拡張機能実行用プロセッサ52は、アドレス変換テーブル5301を検索する際、変換用検索キーと変換に必要な検索コマンド(変換情報検索コマンド)とを信号線L502へ出力する。アドレス変換テーブル5301は、パケット転送用データベース32と同様の方法で検索される。
拡張機能実行用プロセッサ52は、変換すべき(変換後の)送信元IPアドレス833−2(ここではグローバルIPアドレス)が検索結果として得られる場合、得られた送信元IPアドレス833−2を用いて出力先情報付パケット900の送信元IPアドレス833を書き換える。
プライベートIPアドレスを用いる複数の端末から送信されるパケットフローが同一のグローバルIPアドレスを送信元アドレスとして共有する場合、パケットフローを識別する為、送信元ポート番号843を変換することができる。例えば、フロー毎に異なる送信元ポート番号843を割り当てる必要がある。これは、NAPT(Network Address Port Translation)と呼ばれている。拡張機能実行用プロセッサ52がNAPTを実行する場合、変換用検索キーを生成する際、L3ヘッダ830とL4ヘッダ840とを用いる。このとき、上記アドレス変換テーブル5301には、宛先IPアドレス832と送信元IPアドレス833とに加え、少なくとも宛先ポート番号842と送信元ポート番号843とが設定されていなければならない。送信パケットのフロー情報とフローに対応する変換情報(例えば、送信元IPアドレスおよび送信元ポート番号)とがアドレス変換テーブル5301に設定されていない場合、アドレス変換テーブル5301検索時において、変換情報は示されない。このとき、拡張機能実行用プロセッサ52は、フローに対応する変換情報を割り当てた後、フローと変換情報とをアドレス変換テーブル5301に設定する。尚、ポート番号の数が有限である為、アドレス変換テーブル5301に設定されたフローと変換情報は一定時間後に消去しても良い。
拡張機能実行用プロセッサ52は、アドレス変換テーブル5301の検索結果として得られる送信元ポート番号843−2(グローバルIPアドレス用ポート番号)を用い、出力先情報付パケット900の送信元ポート番号843をポート変換前の送信元ポート番号843−1(プライベートIPアドレス用ポート番号)から変換する。なお、ポート番号変換は、上述した送信元IPアドレス833の変換と同時に実行することができる。この後、拡張機能実行用プロセッサ52は、送信元IPアドレス833と送信元ポート番号843とを変換した出力先情報付パケット900を信号線L501に出力する。
信号線L501から出力先情報付パケット900を入力されたブリッジ51は、例えば、上述の図6のフローチャートに従い、出力先情報付パケット900を信号線L503に出力する。その後、信号線L503から出力先情報付パケット900を入力された回線インタフェース60−2は、出力先情報付パケット900から出力先情報901を除去する。このときパケットはパケット800の状態になる。また、回線インタフェース60−2は、パケット800を出力先情報901に記載の回線から送信する。
なお、拡張機能実行用プロセッサ52は、上述の処理以外にも、プライベートアドレスとグローバルアドレスを変換する適宜の処理を用いても良い。
なお、拡張機能実行用プロセッサ52は、上述の処理以外にも、プライベートアドレスとグローバルアドレスを変換する適宜の処理を用いても良い。
1−4. 受信パケットに対するNAT処理
次に、外部ネットワークからパケットを受信する際の処理について説明する。
機能拡張ボード50の回線インタフェース60−2は、外部ネットワークに属するネットワーク装置から送信されたパケット800を受信すると、パケット800を信号線L503に出力する。このパケットの宛先は、例えば内部ネットワークの装置であり、ここではグローバルIPアドレスを用いている。
次に、外部ネットワークからパケットを受信する際の処理について説明する。
機能拡張ボード50の回線インタフェース60−2は、外部ネットワークに属するネットワーク装置から送信されたパケット800を受信すると、パケット800を信号線L503に出力する。このパケットの宛先は、例えば内部ネットワークの装置であり、ここではグローバルIPアドレスを用いている。
信号線L503からパケット800を入力されたブリッジ51は、図6のフローチャートに従い、パケット800を信号線L501へ出力する。信号線L501からパケット800を入力された拡張機能実行用プロセッサ52は、パケット800の宛先IPアドレス832−2(グローバルIPアドレス)を変換する為、パケット800のL3ヘッダ830から変換用検索キーを生成する。例えば、変換用検索キーは、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。拡張機能実行用プロセッサ52は、生成された検索キーに基づき、上述のアドレス変換テーブル5301を検索する。なお、機能拡張ボード50において上述のNAPTを実行する場合、拡張機能実行用プロセッサ52は、上述と同様に変換用検索キーを生成する要素として、L3ヘッダ830とL4ヘッダ840とを用いる。拡張機能実行用プロセッサ52は、アドレス変換テーブル5301を検索する際、変換用検索キーと変換情報検索コマンドとを信号線L502へ出力する。
変換すべき宛先IPアドレス832−1(プライベートIPアドレス)が検索結果として得られる場合、拡張機能実行用プロセッサ52は宛先IPアドレス832−1を用いてパケット800の宛先IPアドレス832を書き換える。
また、NAPTを実行する場合、拡張機能実行用プロセッサ52は、アドレス変換テーブル5301の検索結果として得られる宛先ポート番号842−1(プライベートIPアドレス用ポート番号)を用い、パケット800の宛先ポート番号842をポート変換前の宛先ポート番号842−2(グローバルIPアドレス用ポート番号)から変換する。なお、ポート番号変換は、上述した宛先IPアドレス832の変換と同時に実行することができる。拡張機能実行用プロセッサ52は、上記の変換動作を実行後、パケット800を信号線L501に出力する。
受信パケットのフロー情報とフローに対応する変換情報(宛先IPアドレスおよび宛先ポート番号)とがアドレス変換テーブル5301に設定されていない場合、アドレス変換テーブル5301検索時において、変換情報は示されない。このとき、拡張機能実行用プロセッサ52は、受信パケットを外部ネットワークからの攻撃と判断し、受信パケットを廃棄することができる。但し、受信パケットがIPネットワーク上の障害通知等に用いられるICMP(Internet Control Message Protocol)パケットである場合、拡張機能実行用プロセッサ52はICMPパケットを廃棄しないで信号線L501に出力する。ICMPパケットは、例えば装置制御部20でハンドリングされる。
信号線L501からパケット800を入力されたブリッジ51は、図6のフローチャートに従い、パケット800を信号線L3に出力する。
信号線L3からパケット800を入力されたパケット転送用プロセッサ31は、パケット転送用データベース32やパケットフィルタ33を検索する。なお、パケット転送用プロセッサ31による検索動作は、既に述べているものと同様であるので、ここでは省略する。なお、ここでは出力先情報として内部ネットワークに対応した回線インタフェース60−1が得られる。パケット転送用プロセッサ31は、上記検索動作の後、出力先情報付パケット900を信号線L2へ出力する。
信号線L3からパケット800を入力されたパケット転送用プロセッサ31は、パケット転送用データベース32やパケットフィルタ33を検索する。なお、パケット転送用プロセッサ31による検索動作は、既に述べているものと同様であるので、ここでは省略する。なお、ここでは出力先情報として内部ネットワークに対応した回線インタフェース60−1が得られる。パケット転送用プロセッサ31は、上記検索動作の後、出力先情報付パケット900を信号線L2へ出力する。
信号線L2から出力先情報付パケット900を入力された回線インタフェース60−1は、出力先情報付パケット900から出力先情報901を除去する。このときパケットはパケット800の状態になる。また、回線インタフェース60−1は、パケット800を出力先情報901に記載の回線から送信する。
本実施の形態により、パケット転送用データベース32のリソース量を抑制可能なNAT/NAPT機能を提供可能である。本実施の形態では特に触れなかったが、パケットヘッダへ対する拡張機能は、IPアドレスの変換などを実行するNAT/NAPT機能に拘らず、入力パケットにIPヘッダを付加するIPトンネリングやIPsecを適用しても良い。
なお、拡張機能実行用プロセッサ52は、上述の処理以外にも、プライベートアドレスとグローバルアドレスを変換する適宜の処理を用いても良い。
なお、拡張機能実行用プロセッサ52は、上述の処理以外にも、プライベートアドレスとグローバルアドレスを変換する適宜の処理を用いても良い。
図19、図20は、転送データベースのリソース抑制の説明図である。
図中、「Apri」は、内部ネットワーク内の端末Aのプライベートアドレスであり、「A’glo」は、「Apri」に対応するグローバルアドレスである。また、「Bglo」は、外部ネットワークの端末Bのグローバルアドレスである。矢印付き実線は、外部ネットワークへのパケットを示し、一方、矢印付き破線は、内部ネットワークへのパケットを示す。
図中、「Apri」は、内部ネットワーク内の端末Aのプライベートアドレスであり、「A’glo」は、「Apri」に対応するグローバルアドレスである。また、「Bglo」は、外部ネットワークの端末Bのグローバルアドレスである。矢印付き実線は、外部ネットワークへのパケットを示し、一方、矢印付き破線は、内部ネットワークへのパケットを示す。
図19(a)は、例えば、従来の装置のようにNAT処理を実行するプロセッサと回線インタフェースが、パケット転送部を介して接続される場合の構成例である。この場合、パケット転送部の転送テーブルには、CPUへ転送するためのエントリと、インタフェースへ転送するためのエントリを設定する必要がある(図19(b))。さらに、外部ネットワークへ送信する際には宛先アドレスはグローバルアドレスであるため、宛先アドレスのみで転送テーブルを構成することが困難である。仮に、宛先アドレスだけで構成すると、例えば、宛先アドレスが外部ネットワークの装置のグローバルアドレスに対応して、出力先をプロセッサとすると、プロセッサからのパケットも再度プロセッサに転送させることになり、ループ状態に陥る。したがって、送信元アドレス及び宛先アドレスに対応して、出力先情報を記憶することになる。
図20は、本実施の形態のパケットの流れ及び転送データベースの例である。本実施の形態では、機能拡張ボード50(図20のIF−2)でNAT処理が実行されるため、パケット転送部では、外部ネットワークの装置宛てのパケットは機能拡張ボード50に出力し、内部ネットワークの装置宛てのパケットは回線インタフェースボード40(図20のIF−1)に出力すればよい。したがって、転送テーブルは、少なくとも、宛先アドレスに対応して出力先情報を記憶すればよい。さらに、プロセッサへ転送するためのエントリも不要である。
図20(b)に示すように、本実施の形態の転送データベースは、一例として、記憶される宛先アドレスに外部ネットワークのグローバルアドレスと、対応する出力先情報に機能拡張ボード50の識別子とが用いられ、及び、記憶される宛先アドレスに内部ネットワークのプライベートアドレスと、対応する出力先情報に回線インタフェースボードの識別子とが用いられる。
2.第2の実施の形態
2−1. システム構成
本実施の形態は、ノードの拡張機能処理として、パケット統計収集を契機とするトラフィック傾向の分析に基づいたパケットフィルタの更新に関して述べる。本実施の形態では、第1の実施の形態と同様に、機能拡張ボード50が外部ネットワークと接続される回線を収容し、回線収容ボード40は内部ネットワークに接続する回線を収容することを前提とする(例えば図8参照)。但し、本実施の形態では、内部ネットワークで用いられるIPアドレスはグローバルIPアドレスとし、機能拡張ボード50でパケットに対するNATおよびNAPT処理を実行しないものとして説明する。なお、内部ネットワークでプライベートIPアドレスを用いる場合、上述の第1の実施の形態と組み合わせることにより、NAT処理等を実行するようにしてもよい。
2−1. システム構成
本実施の形態は、ノードの拡張機能処理として、パケット統計収集を契機とするトラフィック傾向の分析に基づいたパケットフィルタの更新に関して述べる。本実施の形態では、第1の実施の形態と同様に、機能拡張ボード50が外部ネットワークと接続される回線を収容し、回線収容ボード40は内部ネットワークに接続する回線を収容することを前提とする(例えば図8参照)。但し、本実施の形態では、内部ネットワークで用いられるIPアドレスはグローバルIPアドレスとし、機能拡張ボード50でパケットに対するNATおよびNAPT処理を実行しないものとして説明する。なお、内部ネットワークでプライベートIPアドレスを用いる場合、上述の第1の実施の形態と組み合わせることにより、NAT処理等を実行するようにしてもよい。
図15は、フロー統計テーブル5302の構成図を示す。
本実施の形態の拡張機能用メモリ53には、パケットフロー毎の統計収集に必要なフロー統計テーブル5302を記憶する。図15に例示されるフロー統計テーブル5302は、機能拡張ボード50で送受信されるパケットフロー(例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号の組み合わせ)と、パケットフローの統計情報とを含む。統計情報は、例えば、所定時間内におけるパケットの受信数を示す。ノード装置10の他の構成は、上述の第1の実施の形態と同様である。
本実施の形態の拡張機能用メモリ53には、パケットフロー毎の統計収集に必要なフロー統計テーブル5302を記憶する。図15に例示されるフロー統計テーブル5302は、機能拡張ボード50で送受信されるパケットフロー(例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号の組み合わせ)と、パケットフローの統計情報とを含む。統計情報は、例えば、所定時間内におけるパケットの受信数を示す。ノード装置10の他の構成は、上述の第1の実施の形態と同様である。
2−2. ブリッジの動作
図9は、パケットの入力元/パケットの複製を生成する要否に対するブリッジ51の動作を示すフローチャートである。
本実施の形態では、機能拡張ボード50内のブリッジ51は、図9のフローチャートに従い、ブリッジ51に入力されるパケットに対するハンドリング方法を決定する。
図9は、パケットの入力元/パケットの複製を生成する要否に対するブリッジ51の動作を示すフローチャートである。
本実施の形態では、機能拡張ボード50内のブリッジ51は、図9のフローチャートに従い、ブリッジ51に入力されるパケットに対するハンドリング方法を決定する。
ブリッジ51は、パケットが入力されると(ステップ700)、パケットの入力元がパケット転送部30或いは回線インタフェース60−2であるか否か識別する(ステップ701、ステップ704)。パケットの入力元がパケットの入力元がパケット転送部30或いは回線インタフェース60−2の何れでもない場合、ステップ705に移る。なお、ステップ705〜707に関しては、上述の第1の実施の形態と同様である為、ここでは省略する。
一方、パケットの入力元がパケットの入力元がパケット転送部30或いは回線インタフェース60−2の何れかである場合、ブリッジ51はパケットのコピーを生成する要否を判断する(ステップ702)。
パケットのコピーを生成する要否は、例えば、ノード装置10の管理者が管理端末15から予め設定する。コピーの生成要否情報は、信号線L7を介して装置制御用プロセッサ21へ入力される。装置制御用プロセッサ21は、生成要否情報を信号線L4と信号線L6とに出力する。信号線L4から生成要否情報を入力された拡張機能実行用プロセッサ52は生成要否情報を記録する。また、信号線L6から生成要否情報を入力されたブリッジ51も生成要否情報を記録する。尚、生成要否情報の設定は、管理者が任意のタイミングで変更可能とする。
パケットのコピーを生成する設定が為されている場合(ステップ702、Yes)、ブリッジ51は、パケットのコピーを生成し(ステップ708)、コピーを信号線L501経由で拡張機能実行用プロセッサ52に向けて出力する(ステップ709)。その後、ブリッジ51は、パケットの入力元がパケット転送部30であるか否かを判断する(ステップ710)。ステップ710の結果、ブリッジ51は、パケットの入力元がパケット転送部30である場合には(ステップ710、Yes)、パケットを回線インタフェース60−2へ向けて出力する(ステップ711)。一方、ブリッジ51は、パケットの入力元がパケット転送部30ではない(すなわち、回線インタフェース60−2である)場合には(ステップ710、No)、パケットをパケット転送部30へ向けて出力する(ステップ712)。
ブリッジ51にパケットのコピーを生成する設定が為されていない場合(ステップ702、No)、ブリッジ51はパケットを信号線L501経由で拡張機能実行用プロセッサ52に向けて出力する(ステップ703)。
ブリッジ51にパケットのコピーを生成する設定が為されていない場合(ステップ702、No)、ブリッジ51はパケットを信号線L501経由で拡張機能実行用プロセッサ52に向けて出力する(ステップ703)。
以上の処理により、回線インタフェース60−2から入力した第1のパケットがプロセッサ52に転送され、及び、プロセッサ52により拡張機能が実行され返信された第1のパケットがパケット転送部30に転送される。また、パケット転送部30から入力した第2のパケットは回線インタフェース60−2に転送される。
2−3. 統計収集及びフィルタ更新処理
パケット統計収集を契機とするトラフィック傾向の分析には、パケット/コピーの統計情報から攻撃フローを検出する為に用いられる「時間当たりの閾値」が予め設定される。閾値は、例えば、管理者が管理端末15から設定する。信号線L7から閾値を入力された装置制御用プロセッサ21は、閾値を信号線L4に出力する。信号線L4から閾値を入力された拡張機能実行用プロセッサ52は閾値を適宜のメモリに記録する。
パケット統計収集を契機とするトラフィック傾向の分析には、パケット/コピーの統計情報から攻撃フローを検出する為に用いられる「時間当たりの閾値」が予め設定される。閾値は、例えば、管理者が管理端末15から設定する。信号線L7から閾値を入力された装置制御用プロセッサ21は、閾値を信号線L4に出力する。信号線L4から閾値を入力された拡張機能実行用プロセッサ52は閾値を適宜のメモリに記録する。
上記を踏まえた上で、受信パケットへ対し、ノード装置10におけるトラフィック分析に基づくパケットフィルタの更新に関して、以下説明する。
機能拡張ボード50内の回線インタフェース60−2は、外部ネットワークから送信されたパケット800を受信すると、パケット800を信号線L503に出力する。
機能拡張ボード50内の回線インタフェース60−2は、外部ネットワークから送信されたパケット800を受信すると、パケット800を信号線L503に出力する。
信号線L503からパケット800を入力されたブリッジ51は、図9のフローチャートに従い、パケット800のコピーを生成するか否かを判断する。コピーを生成する場合、ブリッジ51は、生成したコピーを信号線L501に出力し、パケット800を信号線L3へ出力する。また、コピーを生成しない場合、ブリッジ51は、パケット800を信号線L501に出力する。
図17は、統計情報の収集のフローチャートである。
拡張機能実行用プロセッサ52は、信号線L501からパケット800/コピーを入力すると(ステップ101)、パケット800/コピーが属するフロー毎の統計を収集する為、パケット800/コピーのヘッダ810からパケットフローの識別に必要な検索キー(フロー検索キー)を生成する(ステップ103)。フロー検索キーは、例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。拡張機能実行用プロセッサ52は、上述したフロー統計テーブル5302を検索する際、フロー検索キーとパケットフロー毎の統計収集に必要な検索コマンド(フロー検索コマンド)とを信号線L502に出力する。
拡張機能実行用プロセッサ52は、信号線L501からパケット800/コピーを入力すると(ステップ101)、パケット800/コピーが属するフロー毎の統計を収集する為、パケット800/コピーのヘッダ810からパケットフローの識別に必要な検索キー(フロー検索キー)を生成する(ステップ103)。フロー検索キーは、例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。拡張機能実行用プロセッサ52は、上述したフロー統計テーブル5302を検索する際、フロー検索キーとパケットフロー毎の統計収集に必要な検索コマンド(フロー検索コマンド)とを信号線L502に出力する。
フロー統計テーブル5302は、パケット転送用データベース32と同様の方法で検索される。フロー統計テーブル5302からパケットフローの統計値を検索結果として読み出せる場合(フロー検索キーに一致するエントリがある場合)、拡張機能実行用プロセッサ52は、統計値を例えば1だけ増分し、1だけ増分した統計値を読み出したアドレスに書き戻す(ステップ105)。すなわち、受信パケット数を計測する。このとき、拡張機能実行用プロセッサ52にコピーが入力される場合、拡張機能実行用プロセッサ52は統計情報が収集されたコピーを廃棄する。また、拡張機能実行用プロセッサ52にパケット800が入力される場合、拡張機能実行用プロセッサ52は統計情報が収集されたパケット800を信号線L501に出力する。信号線L501からパケット800を入力されたブリッジは、図9のフローチャートに従い、パケット800を信号線L3に出力する。信号線L3からパケット800を入力されたパケット転送用プロセッサ31におけるハンドリングに関しては、上述の第1の実施の形態と同様である為、ここでは省略する。
パケット80/コピーのフロー情報とフローに対応する統計情報とがフロー統計テーブル5302に設定されていない場合、フロー統計テーブル5302検索の際、統計情報は示されない。このとき、拡張機能実行用プロセッサ52は、フローに対応する初期化済み統計情報(例えば0)を割り当てた後、フローと初期化済み統計情報とをフロー統計テーブル5302に設定する。
図18は、パケットフィルタ更新の処理のフローチャートである。
拡張機能実行用プロセッサ52は、例えば一定時間毎にフロー統計テーブル5302を検査(ポーリング)する(ステップ111)。ポーリングの結果、或るフローの統計情報が設定された閾値を越える場合(ステップ113、Yes)、拡張機能実行用プロセッサ52は、そのフロー情報のパケットを外部ネットワークからの攻撃と判断する。この後、拡張機能実行用プロセッサ52は、そのフローが攻撃フローであることを示す情報(フィルタ情報)を生成し(ステップ115)、フィルタ情報(攻撃情報)を信号線L4を介して装置制御用プロセッサ21に出力する(ステップ117)。フィルタ情報は、例えば、閾値を超えた統計情報に対応する送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。なお、拡張機能実行用プロセッサ52は、一定時間毎に、フロー統計テーブル5302の統計情報をリセットしても良い。
拡張機能実行用プロセッサ52は、例えば一定時間毎にフロー統計テーブル5302を検査(ポーリング)する(ステップ111)。ポーリングの結果、或るフローの統計情報が設定された閾値を越える場合(ステップ113、Yes)、拡張機能実行用プロセッサ52は、そのフロー情報のパケットを外部ネットワークからの攻撃と判断する。この後、拡張機能実行用プロセッサ52は、そのフローが攻撃フローであることを示す情報(フィルタ情報)を生成し(ステップ115)、フィルタ情報(攻撃情報)を信号線L4を介して装置制御用プロセッサ21に出力する(ステップ117)。フィルタ情報は、例えば、閾値を超えた統計情報に対応する送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。なお、拡張機能実行用プロセッサ52は、一定時間毎に、フロー統計テーブル5302の統計情報をリセットしても良い。
装置制御用プロセッサ21は、パケットフィルタを更新する(ステップ119)。具体的には、信号線L4からフィルタ情報を入力された装置制御用プロセッサ21は、装置制御用メモリ22にアクセスして、パケットフィルタ33の空きアドレスを調査する。この後、装置制御用プロセッサ21は、フィルタ情報に基づいてパケットフィルタ33の更新に必要なフィルタフローとパケットフィルタ更新を要求する信号(フィルタ更新要求)とを生成し、フィルタフローとフィルタ更新要求とを信号線L1に出力する。なお、フィルタフローは、例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。また、フィルタ更新要求は空きアドレスを含む。
信号線L1からフィルタフローとフィルタ更新要求とを入力されたパケット転送用プロセッサ31は、フィルタフローとパケットフィルタ33への書き込みに必要なコマンドとを生成し、信号線L302へ出力する。例えば、パケットフィルタ33において、入力されたフィルタフローに対応するポリシー情報が「パケット廃棄」に書き換えられる。なお、装置制御用プロセッサ21がパケットフィルタ33を更新する以外にも、拡張機能実行用プロセッサ52が直接パケットフィルタ33を更新してもよい。
本実施の形態により、受信パケットへのトラフィック分析に基づくパケットフィルタ33の更新が実現可能になる。
本実施の形態により、受信パケットへのトラフィック分析に基づくパケットフィルタ33の更新が実現可能になる。
3.第3の実施の形態
3−1. システム構成
本実施の形態では、ノードの拡張機能として、拡張機能実行用プロセッサ52が装置制御用プロセッサ21の代わりに応答すること(代理応答)について述べる。本実施の形態では、代理応答として、内部ネットワークに属する端末が外部のネットワークと通信する際、端末から送信されるパケットが通過する「ゲートウェイ(複数の異なるネットワークを接続するネットワーク装置)」のMACアドレスを得るために必要なARP(Address Resolution Protocol)ついて述べる。
3−1. システム構成
本実施の形態では、ノードの拡張機能として、拡張機能実行用プロセッサ52が装置制御用プロセッサ21の代わりに応答すること(代理応答)について述べる。本実施の形態では、代理応答として、内部ネットワークに属する端末が外部のネットワークと通信する際、端末から送信されるパケットが通過する「ゲートウェイ(複数の異なるネットワークを接続するネットワーク装置)」のMACアドレスを得るために必要なARP(Address Resolution Protocol)ついて述べる。
図11は、本実施の形態における接続状態の例である。
本実施の形態では、図11に示すように、機能拡張ボード50を内部ネットワークに接続し、回線収容ボード40を外部ネットワークに接続する。尚、本実施の形態で用いるIPアドレスは、内部ネットワーク、外部ネットワークともにグローバルIPアドレスとするものとして説明する。なお、例えば、回線収容ボード40を第1の実施の形態の機能拡張ボード50としてNAT処理を実行するようにして、内部ネットワークではプライベートアドレスを用いてもよい。なお、図11では、回線収容ボード40、機能拡張ボード50以外の構成については省略している。
本実施の形態では、図11に示すように、機能拡張ボード50を内部ネットワークに接続し、回線収容ボード40を外部ネットワークに接続する。尚、本実施の形態で用いるIPアドレスは、内部ネットワーク、外部ネットワークともにグローバルIPアドレスとするものとして説明する。なお、例えば、回線収容ボード40を第1の実施の形態の機能拡張ボード50としてNAT処理を実行するようにして、内部ネットワークではプライベートアドレスを用いてもよい。なお、図11では、回線収容ボード40、機能拡張ボード50以外の構成については省略している。
図16は、後段処理情報テーブル5303の構成図である。
本実施の形態の拡張機能用メモリ53には、拡張機能実行用プロセッサ52へ入力されたパケット800に適用すべき後段処理の決定に必要な後段処理情報テーブル5303を記憶する。図16に例示される後段処理情報テーブル5303は、機能拡張ボード50で受信されるパケット800のL2ヘッダ成分(例えば、宛先MACアドレス)およびペイロード850の成分(例えば、装置IPアドレス)と、パケット800に適用すべき後段処理情報(例えば、装置MACアドレス)とを含む。なお、ノード装置10の他の構成は、上述の第1の実施の形態と同様である。
本実施の形態の拡張機能用メモリ53には、拡張機能実行用プロセッサ52へ入力されたパケット800に適用すべき後段処理の決定に必要な後段処理情報テーブル5303を記憶する。図16に例示される後段処理情報テーブル5303は、機能拡張ボード50で受信されるパケット800のL2ヘッダ成分(例えば、宛先MACアドレス)およびペイロード850の成分(例えば、装置IPアドレス)と、パケット800に適用すべき後段処理情報(例えば、装置MACアドレス)とを含む。なお、ノード装置10の他の構成は、上述の第1の実施の形態と同様である。
パケット800の送信元端末は、パケット800を外部ネットワーク装置に向けて送信する際、ノード装置10の装置MACアドレスを知っておく必要がある。送信元端末は、ノード装置10の装置MACアドレスを取得する為、MACアドレスの取得申請(ARP要求)パケットを送信する。このとき、送信元端末は、ARP要求パケットの宛先MACアドレス822に格納する情報として、ARP要求パケットを内部ネットワークの全ネットワーク装置に向けて送信する為のブロードキャストアドレスを用いる。ここで、ARP要求パケットのペイロード850には、上述したゲートウェイを担うノード装置10の装置IPアドレスが用いられる。また、タイプ821には、ARP要求を示すコードが記述される。
ARP要求パケットを受信したノード装置10は、ARP要求パケットに記載の装置IPアドレスと対応付けられる装置MACアドレスを送信元端末へ通知する。この通知をARP応答と呼ぶ。ARP応答を示すパケットのタイプ821には、ARP応答を示すコードが記述される。
ARP応答パケットを受信した送信元端末は、ゲートウェイのMACアドレスとして、ノード装置10の装置MACアドレスを登録する。その後、送信元端末は、パケット800を外部ネットワーク装置に向けて送信する際、宛先MACアドレスにノード装置10の装置MACアドレスを用いる。
上述した代理応答の要否は、例えば、ノード装置10の管理者が管理端末15を用いて予め設定する。代理応答要否情報は、信号線L7を介して装置制御用プロセッサ21へ入力される。装置制御用プロセッサ21は、代理応答要否情報を信号線L6に出力する。また、装置制御用プロセッサ21は、上述したゲートウェイのIPアドレスに対応する装置MACアドレスと、代理応答要否情報とを信号線L4に出力する。信号線L4から代理応答要否情報と装置MACアドレスとを入力された拡張機能実行用プロセッサ52は、入力情報に基づいて後段処理情報テーブル5303を更新する。また、信号線L6から代理応答要否情報を入力されたブリッジ51は代理応答要否情報を記録する。尚、代理応答要否情報の設定は、管理者が任意のタイミングで変更可能とする。
3−2. ブリッジの動作
図10は、応答が必要なパケット/応答パケットに対するブリッジ51の動作を示すフローチャートである。機能拡張ボード50において代理応答を実行する設定が為されている場合、機能拡張ボード50のブリッジ51は、図10のフローチャートに従い、ブリッジ51へ入力されるパケットに対するハンドリング方法を決定する。
図10は、応答が必要なパケット/応答パケットに対するブリッジ51の動作を示すフローチャートである。機能拡張ボード50において代理応答を実行する設定が為されている場合、機能拡張ボード50のブリッジ51は、図10のフローチャートに従い、ブリッジ51へ入力されるパケットに対するハンドリング方法を決定する。
ブリッジ51は、パケットが入力されると(ステップ700)、パケットの入力元がパケット転送部30或いは回線インタフェース60−2であるか否かを識別する(ステップ701及びステップ704)。パケットの入力元がパケット転送部30である場合(ステップ701、Yes)、ブリッジ51はパケットを信号線L503経由で回線インタフェース60−2へ向けて出力する(ステップ706)。また、パケットの入力元が回線インタフェース60−2である場合(ステップ704、Yes)、ブリッジ51は、パケットを信号線L501経由で拡張機能実行用プロセッサ52へ向けて出力する(ステップ703)。
一方、パケットの入力元が、パケット転送部30或いは回線インタフェース60−2のいずれでもない(すなわち拡張機能実行用プロセッサ52である)場合(ステップ701及び704のいずれもNo)、ブリッジ51は、パケットに付加される出力先情報910に記載の送信指示情報を識別する(ステップ713)。ここで、出力先情報910は、拡張機能実行用プロセッサ52で付加される。なお、詳細は後述する。このとき、ブリッジ51は、送信指示情報に基づき、内部ネットワークへの送信指示である場合は上述のステップ706を実行し、出力先情報が内部ネットワークへの送信指示でない場合は上述したステップ707を実行する。ステップ707では、ブリッジ51は、パケットをパケット転送部に向けて出力する。なお、拡張機能実行用プロセッサ52は、ステップ706或いはステップ707を実行する際、パケットに付加された出力先情報910を廃棄する。
機能拡張ボード50において代理応答を実行する設定が為されていない場合、ブリッジ51は、信号線L503から入力されたパケットをL3に出力し、信号線L3から入力されたパケットをL503に出力する。
以上の処理により、回線インタフェース60−2から入力したパケットがプロセッサ52に転送され、及び、プロセッサ52により拡張機能が実行され返信されたパケットが回線インタフェース60−2に転送される。
3−3. 代理応答処理
上記のことを踏まえた上で、ノードの拡張機能処理として、拡張機能実行用プロセッサ52による代理応答に関して、以下説明する。
ノード装置10−1の機能拡張ボード50において、回線インタフェース60−2は、内部ネットワークに属する端末から送信されたARP要求パケットを受信すると、ARP要求パケットを信号線L503に出力する。ARP要求パケットは、上述の通り、宛先アドレスとしてのブロードキャストアドレスと、ノード装置10のIPアドレスと、ARP要求を示すコードとを含む。
上記のことを踏まえた上で、ノードの拡張機能処理として、拡張機能実行用プロセッサ52による代理応答に関して、以下説明する。
ノード装置10−1の機能拡張ボード50において、回線インタフェース60−2は、内部ネットワークに属する端末から送信されたARP要求パケットを受信すると、ARP要求パケットを信号線L503に出力する。ARP要求パケットは、上述の通り、宛先アドレスとしてのブロードキャストアドレスと、ノード装置10のIPアドレスと、ARP要求を示すコードとを含む。
信号線L503からARP要求パケットを入力されたブリッジ51は、図10のフローチャートに従い、ARP要求パケットを信号線L501に出力する。信号線L501からARP要求パケットを入力された拡張機能実行用プロセッサ52は、ARP要求に対する代理応答処理を実行する。
例えば、拡張機能実行用プロセッサ52は、ARP要求パケットに適用すべき後段処理を決定する為、ARP要求パケットのL2ヘッダ820(例えば宛先アドレス)と、ペイロード850内に含まれるノード装置10のIPアドレスとを含む、後段処理の取得に必要な検索キー(後段処理検索キー)を生成し、上述した後段処理情報テーブル5303を検索する。例えば、拡張機能実行用プロセッサ52は、後段処理情報テーブル5303を検索する際、後段処理検索キーとARP要求パケットに適用すべき後段処理の検索に必要な検索コマンド(後段処理検索コマンド)とを信号線L502へ出力する。
後段処理検索キーに一致するエントリがあることにより、後段処理情報テーブル5303からノード装置10の装置MACアドレスを検索結果として得られる場合、拡張機能実行用プロセッサ52は、ARP要求パケットに対する応答としてARP応答パケットを生成する。ここでは、検索結果として得られた装置MACアドレスをペイロード850に格納する。また、タイプ821にはARP応答を示すコードが記述される。このとき、拡張機能実行用プロセッサ52は、ARP要求パケットを廃棄する。また、拡張機能実行用プロセッサ52は、ARP応答パケットに付加する出力先情報910を生成する。例えば、出力先情報910には、ARP応答パケットを内部ネットワークに向けて送信すべき旨を記載する。例えば、ARP要求に含まれる送信元アドレス(端末のアドレス)を記載しても良い。この後、拡張機能実行用プロセッサ52は、出力先情報910が付加されたARP応答パケットを信号線L501に出力する。信号線L501から出力先情報が付加されたARP応答パケットが入力されたブリッジ51は、出力先情報910の記載内容に基づき、ARP応答パケットを信号線L503に出力する(上述のステップ706に相当)。このとき、ブリッジ51は、上述したように、出力先情報910を廃棄する。なお、代理応答処理は、上述の例以外にも適宜の手段を用いても良い。
一方、後段処理検索キーに一致するエントリがないことにより、後段処理情報テーブル5303からノード装置10の装置MACアドレスを検索結果として得られない場合、拡張機能実行用プロセッサ52は、ARP要求パケットに付加する出力先情報910を生成する。ここでは、出力先情報910には、ARP要求パケットをパケット転送部30に向けて送信すべき旨を記載する。この後、拡張機能実行用プロセッサ52は、出力先情報910が付加されたARP要求パケットを信号線L501に出力する。信号線L501から出力先情報が付加されたARP要求パケットを入力されたブリッジ51は、出力先情報910の記載内容に基づき、ARP要求パケットを信号線L3に出力する(上述のステップ706に相当)。このとき、ブリッジ51は、上述したように、出力先情報910を廃棄する。尚、信号線L3からARP要求パケットを入力されたパケット転送用プロセッサ31は、ARP要求パケットを信号線L5経由で装置制御用プロセッサ21に向けて出力しても良い。
本実施の形態により、機能拡張ボードにおいてARP要求パケット等の制御パケットがハンドリング可能となり、装置制御部20の急激な負荷率変動を抑制できる。即ち、ノード装置10の安定動作が見込まれ、ネットワークの高信頼化が期待できる。
本実施の形態では特に触れなかったが、入力パケットに対する応答は、ARP応答だけに拘らず、認証等を要求するユーザのパケット(セッション要求)への応答(セッション応答)に適用しても良い。尚、セッション応答の一例として、ユーザの端末に対するグローバルIPアドレスの払い出しが挙げられる。
4.付記
以上の説明から明らかなように、本発明によれば、ネットワークノードの拡張機能として実現する機能により、ブリッジ・プロセッサ・メモリの機能を再構成可能な機能拡張ボードを提供できる。
以上の説明から明らかなように、本発明によれば、ネットワークノードの拡張機能として実現する機能により、ブリッジ・プロセッサ・メモリの機能を再構成可能な機能拡張ボードを提供できる。
上述のようなノードの構成によれば、例えば、NAT、統計の基づくパケットフィルタの更新、代理応答等の所望の拡張機能を同じ構成で実現できる。また、装置制御部により拡張機能に応じて、必要な情報、処理プログラム、ブリッジの動作を機能拡張ボードに、設定できる。また、拡張機能に応じて、必要な情報、処理プログラム、ブリッジの動作があらかじめ機能拡張ボードに設定され、これらのボードを脱着することで、所望の拡張機能を有するネットワークノードを構成できる。
本発明は、拡張機能を実行可能な回線収容ボードを用いるネットワークノードへ適用可能である。
10 ノード装置
15 管理端末
20 装置制御部
21 装置制御プロセッサ
22 装置制御用メモリ
30 パケット転送部
31 パケット転送用プロセッサ
32 パケット転送用データベース
33 パケットフィルタ
40 回線収容ボード
50 機能拡張ボード
51 ブリッジ
52 拡張機能実行用プロセッサ
53 拡張機能用メモリ
5301 アドレス変換テーブル
5302 フロー統計テーブル
5303 後段処理情報テーブル
60 回線インタフェース
800 パケット
900 出力先情報付パケット
15 管理端末
20 装置制御部
21 装置制御プロセッサ
22 装置制御用メモリ
30 パケット転送部
31 パケット転送用プロセッサ
32 パケット転送用データベース
33 パケットフィルタ
40 回線収容ボード
50 機能拡張ボード
51 ブリッジ
52 拡張機能実行用プロセッサ
53 拡張機能用メモリ
5301 アドレス変換テーブル
5302 フロー統計テーブル
5303 後段処理情報テーブル
60 回線インタフェース
800 パケット
900 出力先情報付パケット
Claims (17)
- 受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1及び/又は第2の回線収容部は、
第1又は第2のネットワークに接続される回線を収容するための回線インタフェースと、
予め定められた前記拡張機能を実行するための情報が予め記憶される記憶部と、
入力されるパケットに含まれる情報と、前記記憶部に記憶された情報とに基づき前記拡張機能を実行するプロセッサと、
パケットの入力元毎に該パケットの出力先が予め設定され、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサから入力されたパケットを、該設定に従い、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサのいずれかに出力するブリッジと
を有し、
前記回線インタフェースから受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記回線インタフェースから受信された該パケットが前記パケット転送部に入力される前に前記拡張機能が実行される、及び/又は、
前記パケット転送部から受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記パケット転送部により転送された該パケットが前記回線インタフェースから出力される前に前記拡張機能が実行される前記ネットワークノード。 - 前記ブリッジ及び前記プロセッサに接続される制御部
をさらに備え、
前記制御部は、所望のタイミングで
前記プロセッサに、予め定められた前記拡張機能を設定し、
該拡張機能を実行するための情報を前記記憶部に記憶し、
該拡張機能に応じた、パケットの入力元毎の出力先を前記ブリッジに設定する請求項1に記載のネットワークノード。 - 前記拡張機能は、
プライベートアドレスとグローバルアドレスを変換するアドレス変換機能、
パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを変更するフィルタ更新機能、及び、
前記回線インタフェースを介して端末から受信したパケットに対して、前記プロセッサが応答する代理応答機能
のいずれかである請求項1に記載のネットワークノード。 - 前記ブリッジに、パケットの入力元毎の出力先を設定する制御部
をさらに備え
前記拡張機能は、前記プロセッサがプライベートアドレスとグローバルアドレスを変換するアドレス変換機能であり、
前記ブリッジは、前記制御部により、
前記回線インタフェースから入力した第1のパケットを前記プロセッサに転送し、及び、該プロセッサにより拡張機能が実行され返信された前記第1のパケットを前記パケット転送部に転送するように設定され、及び、
前記パケット転送部から入力した第2のパケットを前記プロセッサに転送し、及び、該プロセッサにより拡張機能が実行され返信された前記第2のパケットを前記回線インタフェースに転送するように設定される請求項1に記載のネットワークノード。 - 前記第1の回線収容部は、外部ネットワークに接続され、
前記第2の回線収容部は、内部ネットワークに接続され、
前記記憶部は、内部ネットワーク内でのプライベートアドレスと、該プライベートアドレスに対応する外部ネットワークでのグローバルアドレスとが記憶されたアドレス変換テーブルを有し、
前記転送データベースは、記憶される宛先アドレスに外部ネットワークのグローバルアドレスと、対応する出力先情報に前記第1の回線収容部の識別子とが用いられ、及び、記憶される宛先アドレスに内部ネットワークのプライベートアドレスと、対応する出力先情報に前記第2の回線収容部の識別子とが用いられ、
前記プロセッサは、
前記回線インタフェースを介して、宛先アドレスにグローバルアドレスを用いた内部ネットワーク宛てのパケットが入力される際、
入力されたパケットの該宛先アドレスに基づき前記アドレス変換テーブルを参照し、対応するプライベートアドレスを取得し、入力されたパケットの宛先アドレスを取得したプライベートアドレスに書き換えて、前記パケット転送部に向けて出力し、
前記パケット転送部は、宛先アドレスがプライベートアドレスに書き換えられた入力パケットの該宛先アドレスに基づき、前記転送データベースを参照し、対応する出力先情報に従い該入力パケットを前記第2の回線収容部に出力し、
前記第2の回線収容部は、該パケットを内部ネットワークに出力する請求項4に記載のネットワークノード。 - 前記ブリッジに、パケットの入力元毎の出力先を設定する制御部
をさらに備え、
前記拡張機能は、前記プロセッサが、パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを策定するフィルタ更新機能であり、
前記ブリッジは、前記制御部により、
前記回線インタフェースから入力した第1のパケットを前記プロセッサに転送し、及び、該プロセッサにより拡張機能が実行され返信された前記第1のパケットを前記パケット転送部に転送するように設定され、及び、
前記パケット転送部から入力した第2のパケットを前記回線インタフェースに転送するように設定された請求項1に記載のネットワークノード。 - 前記ブリッジに、パケットの入力元毎の出力先を設定する制御部
をさらに備え、
前記拡張機能は、前記プロセッサが、パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを策定するフィルタ更新機能であり、
前記ブリッジは、前記制御部により、
前記回線インタフェースから入力した第1のパケットを複製し、該複製を前記プロセッサに転送し、及び、入力した第1のパケットを前記パケット転送部に転送するように設定され、及び、
前記パケット転送部から入力した第2のパケットを前記回線インタフェースに転送するように設定された請求項1に記載のネットワークノード。 - 前記パケット転送部は、パケットのフロー情報に対応して、パケットの廃棄指示又は優先度の変更指示を含むポリシー情報が記憶されたパケットフィルタデータベースをさらに有し、該パケットのフロー情報に基づき前記パケットフィルタデータベースを参照して対応するポリシー情報を取得し、前記転送データベースの出力先情報及び取得されたポリシー情報に従い、パケットを前記第1及び第2の回線収容部に転送し又はパケットを廃棄し、
前記記憶部は、パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報が記憶されるフロー統計テーブルを有し、
前記プロセッサは、
前記回線インタフェースを介してパケットが入力される際、入力されたパケットのフロー情報に基づき、前記フロー統計テーブルの該当するフロー情報に対応する統計情報を増加し、
該統計情報が予め定められた閾値を超えるフロー情報を識別し、該フロー情報と予め定められたポリシー情報とを含むフィルタ情報を生成して、前記制御部に出力し、
前記制御部は、前記プロセッサからフィルタ情報が入力される際、該フィルタ情報に従い、前記パケットフィルタデータベースのフロー情報とポリシー情報とを更新する請求項6又は7に記載のネットワークノード。 - 前記ブリッジに、パケットの入力元毎の出力先を設定する制御部
をさらに備え、
前記拡張機能は、前記プロセッサが、前記回線インタフェースを介して端末から受信した所定のパケットに対して、前記プロセッサが応答する代理応答処理であり、
前記ブリッジは、前記制御部により、
前記回線インタフェースから入力された前記所定のパケットを前記プロセッサに出力し、及び、該プロセッサにより拡張機能が実行され返信された前記端末に対する応答の為のパケットを、前記回線インタフェースに出力するように設定された請求項1に記載のネットワークノード。 - 前記記憶部は、ゲートウェイを担うノードのIPアドレスと、該ノードのMACアドレスとが対応して記憶されたテーブルを有し、
前記プロセッサは、
前記回線インタフェースを介して、第1のネットワーク内の端末から、ゲートウェイを担うノードのIPアドレスを含むMACアドレス取得要求を受信し、
受信されたMACアドレス取得要求に含まれる該ゲートウェイを担うノードのIPアドレスに基づき前記テーブルを参照し、対応するMACアドレスを取得し、
取得されたMACアドレスを含むMACアドレス取得応答を、前記回線インタフェースを介して、前記端末に向けて送信する請求項9に記載のネットワークノード。 - 前記パケット転送部は、
パケットのヘッダ情報と、該ヘッダ情報に対応する該パケットの転送可否を示すポリシー情報とを格納するパケットフィルタデータベースをさらに有し、
入力されるパケットのヘッダ情報に基づき、前記パケットフィルタデータベースを参照して、対応するポリシー情報を取得し、該ポリシー情報に基づいてパケットを廃棄又は出力する請求項1に記載のネットワークノード。 - 前記パケット転送部は、
前記制御部からの指示に従い、前記転送データベースと前記パケットフィルタデータベースとに情報を設定し、及び、該転送データベースと該パケットフィルタデータベースとを検索する為のパケット転送用プロセッサを有することを特徴とする請求項2に記載のネットワークノード。 - 前記制御部に接続され、前記ネットワークノードの管理者により操作される管理端末により、前記第1の回線収容部で実行する前記拡張機能と、該拡張機能を実行するための前記情報とが、任意のタイミングで前記制御部に入力され、前記第1の回線収容部に設定される請求項2に記載のネットワークノード。
- 前記ブリッジが、
前記回線インタフェースから入力されたパケットを複製し、
複製されたパケットを前記プロセッサに出力し、及び、入力されたパケットを前記パケット転送部に出力する請求項1に記載のネットワークノード。 - 前記プロセッサが、
設定された該拡張機能に基づいて、パケット又は該パケットの複製を加工し、
加工済みの該パケット又は該複製を、前記ブリッジに出力することを特徴とする請求項1に記載のネットワークノード。 - 前記記憶部が、
パケットのヘッダ情報又は該パケットの複製のヘッダ情報と、該ヘッダ情報に対応する拡張機能を実行するための前記情報とを格納することを特徴とする請求項1に記載のネットワークノード。 - 前記プロセッサが、
前記記憶部に、前記制御部からの指示に従い、拡張機能を実行するための前記情報を設定し、
パケットのヘッダ情報又は該パケットの複製のヘッダ情報を検索キーとして前記記憶部を検索し、
検索結果として得られる情報に基づいて、前記拡張機能を実行することを特徴とする請求項16に記載のネットワークノード。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006233196A JP4758302B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワークノード |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006233196A JP4758302B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワークノード |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008060763A JP2008060763A (ja) | 2008-03-13 |
| JP4758302B2 true JP4758302B2 (ja) | 2011-08-24 |
Family
ID=39243039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006233196A Active JP4758302B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワークノード |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4758302B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8638790B2 (en) * | 2008-06-23 | 2014-01-28 | Qualcomm Incorporated | Method and apparatus for managing data services in a multi-processor computing environment |
| JP2010287189A (ja) * | 2009-06-15 | 2010-12-24 | Canon Inc | 情報処理装置、その制御方法、及びプログラム |
| EP2596604A4 (en) * | 2010-07-23 | 2016-06-08 | Nec Corp | COMMUNICATION SYSTEM, NODE, STATISTICAL DATA COLLECTION DEVICE, STATISTICAL DATA COLLECTION METHOD, AND PROGRAM |
| JP5522071B2 (ja) * | 2011-02-02 | 2014-06-18 | 日立金属株式会社 | エッジ中継装置、エッジ中継装置の冗長システム、広域ネットワークシステム、及び、エッジ中継装置用のフレーム転送方法 |
| US10164913B2 (en) * | 2013-01-16 | 2018-12-25 | Cfph, Llc | Router for performing NAT and/or PAT translations |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4221864B2 (ja) * | 1999-01-12 | 2009-02-12 | ヤマハ株式会社 | ルータ |
| JP4023281B2 (ja) * | 2002-10-11 | 2007-12-19 | 株式会社日立製作所 | パケット通信装置及びパケットスイッチ |
| JP4157403B2 (ja) * | 2003-03-19 | 2008-10-01 | 株式会社日立製作所 | パケット通信装置 |
| JP4332079B2 (ja) * | 2004-07-01 | 2009-09-16 | 株式会社日立製作所 | モジュール型パケット通信ノード装置 |
| JP4369351B2 (ja) * | 2004-11-30 | 2009-11-18 | 株式会社日立製作所 | パケット転送装置 |
-
2006
- 2006-08-30 JP JP2006233196A patent/JP4758302B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008060763A (ja) | 2008-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200228433A1 (en) | Computer-readable recording medium including monitoring program, programmable device, and monitoring method | |
| US8971342B2 (en) | Switch and flow table controlling method | |
| US10623314B2 (en) | Switch system, and monitoring centralized control method | |
| JP5862706B2 (ja) | ネットワークシステム、及びネットワークフロー追跡方法 | |
| EP3905590A1 (en) | System and method for obtaining network topology, and server | |
| JP5660198B2 (ja) | ネットワークシステム、及びスイッチ方法 | |
| JP2005244408A (ja) | ネットワーク・セグメントが互いに異なる複数のネットワークに接続されたゲートウェイ装置、およびipパケットを転送するためのプログラムおよび方法 | |
| RU2517411C1 (ru) | Способ управления соединениями в межсетевом экране | |
| KR20040095632A (ko) | 분산 구조 라우터의 포워딩 테이블 조합 장치 및 방법 | |
| US20180367431A1 (en) | Heavy network flow detection method and software-defined networking switch | |
| US7269661B2 (en) | Method using receive and transmit protocol aware logic modules for confirming checksum values stored in network packet | |
| JP4758302B2 (ja) | ネットワークノード | |
| CN109088957B (zh) | Nat规则管理的方法、装置和设备 | |
| CN112887229A (zh) | 一种会话信息同步方法及装置 | |
| US20050265340A1 (en) | Network address-port translation apparatus and method | |
| US20130336327A1 (en) | Network system, packet processing method and recording medium | |
| JP5961745B2 (ja) | 通信装置またはパケット転送方法 | |
| WO2024109262A1 (zh) | 一种信息处理方法及装置、存储介质 | |
| US7864800B2 (en) | Communication system, auxiliary device and communication method | |
| JP4638849B2 (ja) | 機能分散型通信装置および経路制御方法 | |
| US9455911B1 (en) | In-band centralized control with connection-oriented control protocols | |
| US20200213356A1 (en) | Malware inspection support system and malware inspection support method | |
| JP2006165603A (ja) | データ転送装置 | |
| JPH0934816A (ja) | 大規模ipネットワーク | |
| JP4480605B2 (ja) | ネットワーク、ルータ装置及びそれらに用いるプライベートアドレス間通信方法並びにそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090709 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110322 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110510 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110531 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110602 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4758302 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140610 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |