JP5398410B2 - ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム - Google Patents
ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム Download PDFInfo
- Publication number
- JP5398410B2 JP5398410B2 JP2009185580A JP2009185580A JP5398410B2 JP 5398410 B2 JP5398410 B2 JP 5398410B2 JP 2009185580 A JP2009185580 A JP 2009185580A JP 2009185580 A JP2009185580 A JP 2009185580A JP 5398410 B2 JP5398410 B2 JP 5398410B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- authentication
- transfer
- packet
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Description
A.第1の実施例:
A1.システム構成:
A2.認証成功前後における転送経路の変化の概要:
A3.端末認証時の動作:
A4.端末認証成功後のパケット転送処理:
A5.VRF判定テーブルのエントリ削除処理:
B.第2の実施例:
B1.システム構成:
B2.認証成功前後における転送経路の変化の概要:
B3.端末認証時の動作:
B4.端末認証成功後のパケット転送処理:
C.第3の実施例:
D.第4の実施例:
E.第5の実施例:
E1.システム構成:
E2.端末認証時の動作:
E3.端末認証成功後のパケット転送処理:
E4.エントリ削除処理:
F.変形例:
A1.システム構成:
図1は、本発明の一実施例としてのネットワークシステムの構成を示す説明図である。このネットワークシステム10は、パケット転送装置100と、ユーザネットワーク170と、レイヤ2スイッチ171と、認証ネットワーク190と、認証サーバ191と、検疫サーバ192と、業務ネットワーク180と、業務サーバ181とを備えている。
図6は、端末の認証成功前後における転送経路を模式的に示す説明図である。ネットワークシステム10では、上述した各テーブル154,156,158の初期状態の設定、及び後述のVRF判定テーブル158のエントリ追加処理やパケット転送処理を実行することにより、認証成功前の端末は認証ネットワーク190にのみアクセス可能とし、認証成功後の端末は業務ネットワーク180に加えて認証ネットワーク190にもアクセス可能となるように構成されている。まず、図6を用いて端末から送信されるパケットの転送経路の変化について概略を説明し、次に、パケット転送処理及びVRF判定テーブル158のエントリ追加処理の詳細について説明する。
図7は、ネットワークシステム10において実行されるパケット転送処理の手順を示すフローチャートである。第1端末11がユーザネットワーク170に所属すると、第1端末11はパケット転送装置100に対し、認証サーバ191宛のパケット(例えば、ログイン名及びパスワードを含むパケット)を送信する。パケット転送装置100では、パケットを受信すると、パケット転送処理を開始する。なお、予めIPアドレスを割り当てずDHCP(Dynamic Host Configuration Protocol)によりIPアドレスを付与する構成においては、認証処理の一部としてDHCPによりIPアドレスが割り当てられた後、認証サーバ191に認証用のパケットを送信する場合にパケット転送処理を開始する。
認証成功後に、第1端末11から業務サーバ181にパケットを送信する場合の動作について説明する。この場合も、第1端末11からパケットを受信すると、パケット転送装置100において図7に示すパケット転送処理が実行される。ステップS105では、第1端末11(MACアドレス=mac1)からのパケットを受信するため、図11に示すVRF判定テーブル158の第4エントリに基づき、検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブル154が決定される。このケースにおいて、ステップS110を実行するでは、図9に示す認証後VRFフォワーディングテーブル154に第5エントリがない状態であるので、第3エントリが見つかる。第3エントリではネクストホップが未定であるので、ステップS125によりネクストホップが解決され、ステップS130により、認証後VRFフォワーディングテーブル154にネクストホップを「業務サーバ」とするエントリ(第5エントリ)が追加される。したがって、ステップS135では、端末VRFフォワーディングテーブル154の第5エントリに従い、第1端末11からのパケットが業務サーバ181に転送される。
図12は、パケット転送装置100において実行されるVRF判定テーブル158のエントリ削除処理の手順を示す説明図である。端末の認証成功の後、VRF判定制御部128は、VRF判定テーブル158のエントリ削除処理を開始する。まず、VRF判定制御部128は、端末の認証解除を検出するまで待機する(ステップS305)。
B1.システム構成:
図13は、第2の実施例のネットワークシステム10aの構成を示す説明図である。第2の実施例のネットワークシステム10aは、以下の5点において第1の実施例のネットワークシステム10と異なり、他の構成は第1の実施例と同じである。すなわち、パケット転送装置100aが、第1〜3のインタフェース111〜113に加えて第4インタフェース114を備えている点と、認証後VRFフォワーディングテーブル154に代えて、認証VRFフォワーディングテーブル154aと第1業務VRFフォワーディングテーブル154bと第2業務VRFフォワーディングテーブル154cとを備えている点と、業務ネットワーク180に代えて、2つの業務ネットワーク(第1業務ネットワーク180a及び第2業務ネットワーク180b)を備えている点と、第1端末11に加えて第2端末12がユーザネットワーク170に所属し得る点と、認証サーバ191がアクセス許可テーブル193を備えている点とが、第1の実施例のネットワークシステム10との相違点である。
図19は、第2の実施例における第1端末11の認証成功前後の転送経路を模式的に示す説明図である。図20は、第2の実施例における第2端末12の認証成功前後の転送経路を模式的に示す説明図である。
図21は、第2の実施例におけるパケット転送処理の手順を示すフローチャートである。第2の実施例のパケット転送処理は、ステップS110に代えて、ステップS110aを実行する点において、第1の実施例のパケット転送処理(図7)と異なり、他の手順は第1の実施例と同じである。第2の実施例では、VRF判定テーブル158のVRFフォワーディング種別として複数のVRFフォワーディングテーブルを設定することを許容している。したがって、ステップS105において、到着したパケットの検索使用VRFフォワーディングテーブルとして複数のVRFフォワーディングテーブルが決定され得る。そこで、ステップS110aでは、転送経路を検索する際に、これら複数のVRFフォワーディングテーブルを順次参照するものとしている。
認証成功後に、第1端末11から業務サーバ181にパケットを送信する場合のパケット転送処理について説明する。図21に示すステップS105では、図23に示すVRF判定テーブル158の第5エントリに基づき、検索使用VRFフォワーディングテーブルとして、第1業務VRFフォワーディングテーブル154bが決定される。
図27は、第3の実施例のネットワークシステムの構成を示す説明図である。第3の実施例のネットワークシステム10bは、ルータ172を備えている点と、アクセスネットワーク200を備えている点とにおいて第1の実施例と異なり、他の構成は第1の実施例と同じである。
第4の実施例のネットワークシステムは、初期状態における第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cにおいて、宛先IPアドレスとして第1インタフェース111(ユーザネットワーク170)が設定されたエントリがない点と、VRF判定テーブル158のエントリ追加に加えて、VRFフォワーディングテーブルのエントリ追加の処理を実行する点において、第2の実施例のネットワークシステム10aと異なり、他の構成は第2の実施例と同じである。
E1.システム構成:
図35は、第5の実施例のネットワークシステムの構成を示す説明図である。第5の実施例のネットワークシステム10cは、パケット転送装置100bが、認証VRFフォワーディングテーブル154aと第1業務VRFフォワーディングテーブル154bと第2業務VRFフォワーディングテーブル154cと端末VRFフォワーディングテーブル156とに代えて、統合VRFフォワーディングテーブル159を備えている点と、VRF判定テーブル158aの設定内容において、第2の実施例のネットワークシステム10a(図13)と異なり、他の構成は第2の実施例と同じである。
図38は、第5の実施例のパケット転送処理の手順を示すフローチャートである。まず、第1端末11について認証(認証及び検疫)を実行する場合のパケット転送処理について説明する。パケット転送装置100bでは、認証サーバ191宛の認証用のパケットを受信するとパケット転送処理が実行される。この第5の実施例のパケット転送処理は、ステップS105に代えてステップS105aを実行する点と、ステップS110に代えてステップS110bを実行する点と、ステップS130に代えてステップS130aを実行する点と、ステップS135に代えてステップS135aを実行する点と、において、図21に示す第2の実施例のパケット転送処理と異なり、他の手順は第2の実施例と同じである。
認証成功後に、第1端末11から第1業務サーバ181aにパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第5エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」,第1業務サーバ181aのIPアドレス(12.0.0.1/32)及びサブネットマスク長「32」を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、第9エントリがヒットし、この第9エントリの経路情報に基づき、パケットが転送される。
図43は、第5の実施例のエントリ削除処理の手順を示すフローチャートである。第5の実施例のエントリ削除処理は、ステップS315を実行する点において、図12に示す第1の実施例のVRF判定テーブル158のエントリ削除処理と異なり、他の手順は第1の実施例と同じである。
なお、上記各実施例における構成要素の中の、独立クレームでクレームされた要素以外の要素は、付加的な要素であり、適宜省略可能である。また、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
第5の実施例では、VRF判定テーブル158a及び統合VRFフォワーディングテーブル159において、検索使用仮想VRFフォワーディングテーブルを示すために、「仮想VRF」フィールドを設けていたが、これに代えて、各仮想VRFフォワーディングテーブルに対応するフラグ(使用する又は使用しないを示すフラグ)を記述するフィールドを設けることもできる。このような構成においても、検索使用VRFフォワーディングテーブルに対応するフラグをそれぞれオン(「使用する」に設定)することにより、いずれの仮想VRFフォワーディングテーブルを検索使用VRFフォワーディングテーブルとするかを示すことができる。
各実施例では、端末が認証動作として実行する処理は、認証処理と検疫処理とであったが、認証処理及び検疫処理のいずれか一方でもよい。すなわち、一般には、認証処理と検疫処理とのうち、少なくとも一方を実行するサーバを備える構成を、本発明のネットワークシステムに採用することができる。
パケットの送信元を識別するために使用する情報は、第1の実施例ではMACアドレスであり、第3の実施例ではIPアドレスであったが、本発明はこれらに限定されるものではない。例えば、MACアドレス及びIPアドレスの両方を用いて、パケットの送信元を識別することもできる。このような構成により、パケットの送信元をより正確に識別することができるため、IPアドレスの詐称やMACアドレスの詐称などの不正な行為による不正アクセスを抑制できる。また、レイヤ3パケットとして、IPパケットに代えてIPX(Internetwork Packet eXchange)パケットを用いる構成においては、IPアドレスに代えて、IPXのアドレスを用いてパケットの送信元を識別することができる。
各実施例では、各端末11,12に対して、予めIPアドレスが割り当てられていたが、これに代えて、DHCPに従いIPアドレスを動的に割り当てることもできる。この構成においても、上述した各実施例のネットワークシステムの効果を奏することができる。また、各実施例では端末が所属するネットワーク側のVLANを1つにできるので、DHCPサーバを1つ設置すればよく、また、DHCPサーバに特殊な機能を追加することがないので、複数台のDHCPサーバを設置し、かつ、DHCPサーバに特殊な機能を追加する構成に比べてネットワークシステム10,10a〜10cの構築コストを抑えられる。
各実施例では、フォワーディングテーブルの「ネクストホップ」フィールドに設定される値は、パケットの具体的な送信先のMACアドレスであったが、本発明はこれに限定されるものではない。具体的には、各フォワーディングテーブルとは別にARPテーブルを設ける構成とし、「ネクストホップ」フィールドには、ARPテーブルを参照する際のキーとなる宛先IPアドレスを設定することもできる。この構成では、パケット転送処理部126は、パケット転送処理のステップS125において、宛先IPアドレスをキーとして、ARPテーブルを検索してパケットの送信先となるMACアドレスを取得することができる。
各実施例では、各フォワーディングテーブルの初期状態の値は、インタフェース役割種別テーブル152に基づき、経路制御部124やVRF判定制御部128によって生成されていたが、本発明はこれに限定されるものではない。インタフェース役割種別テーブル152を備えない構成とし、ネットワーク管理者等が手動で設定することもできる。このような構成においても、各実施例のネットワークシステムと同様な効果を奏する。加えて、インタフェース役割種別テーブル152を備えないため、パケット転送装置100,100a,100bが備えるメモリの容量を低減でき、ネットワークシステム10,10a〜10cの構築コストを抑えることができる。
各実施例では、IPアドレスとして、IPv4を採用していたが、これに代えて、IPv6を採用することができる。かかる構成においても、各実施例のネットワークシステムと同様な効果を奏する。加えて、各実施例では端末が所属するネットワーク側のVLANを1つにできるので、パケット転送装置100からのRA(Router Advertisement)を1つだけにすることができ、同一の端末において2つのIPアドレスを生成することを抑制できる。
第1〜4の実施例では、VRF判定テーブル158において、認証前の任意の端末が利用するエントリ(例えば、図3に示す第1エントリ)を用意していたが、これに代えて、予めユーザネットワーク170に所属し得る端末について、それぞれVRFフォワーディングテーブル種別フィールドを「端末VRF」とするエントリを作成しておき、認証成功後に、認証成功した端末についてのエントリにおいてVRFフォワーディングテーブル種別フィールドを更新することもできる。
第1〜4の実施例では、端末11,12から送信されるパケットについて用いる検索使用VRFフォワーディングテーブルを決定するために、VRF判定テーブル158を用いていたが、VRF判定テーブルを用いずに決定することもできる。具体的には、例えば、第1の実施例のステップS105に代えて、パケット転送処理部126は、受信したパケットの送信元IPアドレスに基づき端末から送信されたパケットであるか否かを判定し、端末から送信されたパケットである場合に、認証処理部122に当該端末について認証が成功したか否かを問い合わせる。パケット転送処理部126は、認証成功の旨を通知された場合に検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブルを決定し、認証未成功の旨を通知された場合に検索使用VRFフォワーディングテーブルとして端末VRFフォワーディングテーブルを決定する。このような構成においても、各実施例のネットワークシステム10,10a〜10cと同じ効果を奏する。
Claims (13)
- ネットワークシステムであって、
第1のネットワークと、
前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバと、
前記認証サーバが所属する第2のネットワークと、
前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、
前記第1ないし第3のネットワークに所属し、パケットを転送するパケット転送装置であって、
前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、
を有するパケット転送装置と、
を備える、ネットワークシステム。 - 請求項1に記載のネットワークシステムにおいて、さらに、
パケットの送信元を識別する送信元識別子と前記検索転送経路テーブルとを対応付ける検索転送経路テーブル決定テーブルと、
前記検索転送経路テーブル決定テーブルを更新するテーブル更新部と、
を備え、
前記転送経路テーブル決定部は、受信したパケットについて、前記検索転送経路テーブル決定テーブルに基づき前記検索転送経路テーブルを決定し、
前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の前記送信元識別子と前記第1の転送経路テーブルとが対応付けられており、
前記テーブル更新部は、前記認証サーバにより前記端末について認証成功と判定された後に、前記端末の前記送信元識別子と前記第2の転送経路テーブルとを対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。 - 請求項1または請求項2に記載のネットワークシステムにおいて、
前記第3のネットワークを複数備え、
前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、
前記認証サーバは、前記転送経路テーブル決定部に対して、前記認証処理の結果と前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークに関する情報とを通知し、
前記転送経路テーブル決定部は、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定する、ネットワークシステム。 - 請求項2に記載のネットワークシステムにおいて、
前記パケットはIPパケットであり、
前記送信元識別子は、MACアドレス及びIPアドレスのうち、少なくとも一方である、ネットワークシステム。 - 請求項1ないし請求項4のいずれかに記載のネットワークシステムにおいて、
前記転送経路テーブル決定部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記端末からのパケットに適用する前記検索転送経路テーブルとして、前記第2の転送経路テーブルから前記第1の転送経路テーブルに戻す、ネットワークシステム。 - 請求項3に記載のネットワークシステムにおいて、さらに、
パケットの転送経路を決定する転送経路決定部と、
前記転送経路テーブル格納部に格納されている転送経路テーブルを更新する転送経路テーブル更新部と、
を備え、
前記転送経路テーブル格納部は、前記第1の転送経路テーブルと前記第2の転送経路テーブルとに加えて、少なくとも前記第1のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第3の転送経路テーブルを格納し、
前記転送経路テーブル決定部は、各第3のネットワークから前記第1及び第2のネットワークにパケットを転送する際に、前記検索転送経路テーブルとして前記第2の転送経路テーブルを決定し、前記第2のネットワークから前記第1のネットワークに前記パケットを転送する際に、前記検索転送経路テーブルとして前記第3の転送経路テーブルを決定し、
前記転送経路テーブル更新部は、前記認証処理において前記認証サーバから前記端末にパケットを転送する際に、前記転送経路決定部により決定された前記端末へのパケットの経路情報である端末経路情報を、前記第3の転送経路テーブルに追加し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第3の転送経路テーブルから前記端末経路情報を取得し、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルに、前記端末経路情報をコピーする、ネットワークシステム。 - 請求項6に記載のネットワークシステムにおいて、
前記転送経路テーブル更新部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記第2の転送経路テーブルから前記端末経路情報を削除する、ネットワークシステム。 - 請求項2に記載のネットワークシステムにおいて、さらに、
パケットの転送経路を決定する転送経路決定部を備え、
前記第1の転送経路テーブルと前記第2の転送経路テーブルとは、統合転送経路テーブルとして構成され、
前記検索転送経路テーブル決定テーブルは、前記送信元識別子と前記認証処理の結果と前記検索転送経路テーブルを示す検索転送経路テーブル識別子とを対応付け、
前記統合転送経路テーブルは、前記第1の転送経路テーブル及び前記第2の転送経路テーブルに含まれる各経路情報と前記認証処理の結果と前記検索転送経路テーブル識別子とを対応付け、
前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の送信元識別子と、前記認証処理が成功していない旨の情報と、前記検索転送経路テーブル識別子として前記第1の転送経路テーブルを示す識別子と、が対応付けられており、
前記認証サーバは、前記テーブル更新部に対して、少なくとも前記認証記処理の結果を通知し、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨を通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新し、
前記転送経路テーブル決定部は、受信したパケットについて、前記パケットの送信元識別子に基づき、前記検索転送経路テーブル決定テーブルを参照して、前記認証処理の結果及び前記検索転送経路テーブル識別子を取得し、
前記転送経路決定部は、前記転送経路テーブル決定部により取得された前記認証処理の結果及び前記検索転送経路テーブル識別子に基づき、前記統合転送経路テーブルを参照して、前記パケットについての転送経路を決定する、ネットワークシステム。 - 請求項8に記載のネットワークシステムにおいて、
前記第3のネットワークを複数備え、
前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、
前記認証サーバは、前記テーブル更新部に対して、前記認証処理の結果と、前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークと、を通知し、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として、前記複数の第2の転送経路テーブルのうち前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。 - 請求項9に記載のネットワークシステムにおいて、さらに、
前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの組み合わせと、各組み合せを示す組み合わせ識別子と、を対応付ける組み合わせテーブルを備え、
前記検索転送経路テーブル決定テーブル及び前記統合転送経路テーブルには、前記第2の転送経路テーブルについての前記検索転送経路テーブル識別子として、前記組み合わせ識別子が用いられ、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルからなる組み合わせの組み合わせ識別子である許可組合せ識別子を、前記組み合わせテーブルから取得すると共に、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記許可組み合わせ識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。 - 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置であって、
少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、
を備える、パケット転送装置。 - 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置を用いたパケット転送方法であって、
(a)前記パケット転送装置において、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する工程と、
(b)前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する工程と、
を備えるパケット転送方法。 - 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属するコンピュータを用いたパケットを転送するためのプログラムであって、
前記コンピュータにおいて、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する機能と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する機能と、
を前記コンピュータに実現させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009185580A JP5398410B2 (ja) | 2009-08-10 | 2009-08-10 | ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム |
US12/835,261 US20110032939A1 (en) | 2009-08-10 | 2010-07-13 | Network system, packet forwarding apparatus, and method of forwarding packets |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009185580A JP5398410B2 (ja) | 2009-08-10 | 2009-08-10 | ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011040928A JP2011040928A (ja) | 2011-02-24 |
JP5398410B2 true JP5398410B2 (ja) | 2014-01-29 |
Family
ID=43534808
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009185580A Active JP5398410B2 (ja) | 2009-08-10 | 2009-08-10 | ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20110032939A1 (ja) |
JP (1) | JP5398410B2 (ja) |
Families Citing this family (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2410698B1 (en) * | 2010-07-19 | 2014-05-07 | Alcatel Lucent | A method for routing and associated routing device and destination device |
JP5398787B2 (ja) * | 2011-06-22 | 2014-01-29 | アラクサラネットワークス株式会社 | 仮想ネットワーク接続方法、ネットワークシステム及び装置 |
JP5613193B2 (ja) * | 2012-04-05 | 2014-10-22 | 日本電信電話株式会社 | ポーリング試験装置およびポーリング試験方法 |
US10255089B2 (en) * | 2012-07-31 | 2019-04-09 | Ca, Inc. | Self-deleting virtual machines |
JP5865277B2 (ja) * | 2013-02-04 | 2016-02-17 | アラクサラネットワークス株式会社 | 認証スイッチまたはネットワークシステム |
US10749711B2 (en) | 2013-07-10 | 2020-08-18 | Nicira, Inc. | Network-link method useful for a last-mile connectivity in an edge-gateway multipath system |
US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
US9560525B2 (en) * | 2014-06-18 | 2017-01-31 | At&T Intellectual Property I, Lp | System and method for unified authentication in communication networks |
US10498652B2 (en) | 2015-04-13 | 2019-12-03 | Nicira, Inc. | Method and system of application-aware routing with crowdsourcing |
US10135789B2 (en) | 2015-04-13 | 2018-11-20 | Nicira, Inc. | Method and system of establishing a virtual private network in a cloud service for branch networking |
US10425382B2 (en) | 2015-04-13 | 2019-09-24 | Nicira, Inc. | Method and system of a cloud-based multipath routing protocol |
US11265249B2 (en) * | 2016-04-22 | 2022-03-01 | Blue Armor Technologies, LLC | Method for using authenticated requests to select network routes |
US10187299B2 (en) * | 2016-04-22 | 2019-01-22 | Blackridge Technology Holdings, Inc. | Method for using authenticated requests to select network routes |
US10057162B1 (en) * | 2016-06-27 | 2018-08-21 | Amazon Technologies, Inc. | Extending Virtual Routing and Forwarding at edge of VRF-aware network |
US10129144B1 (en) * | 2016-06-27 | 2018-11-13 | Amazon Technologies, Inc. | Extending virtual routing and forwarding using source identifiers |
US10992568B2 (en) | 2017-01-31 | 2021-04-27 | Vmware, Inc. | High performance software-defined core network |
US11252079B2 (en) | 2017-01-31 | 2022-02-15 | Vmware, Inc. | High performance software-defined core network |
US20200036624A1 (en) | 2017-01-31 | 2020-01-30 | The Mode Group | High performance software-defined core network |
US20180219765A1 (en) | 2017-01-31 | 2018-08-02 | Waltz Networks | Method and Apparatus for Network Traffic Control Optimization |
US10992558B1 (en) | 2017-11-06 | 2021-04-27 | Vmware, Inc. | Method and apparatus for distributed data network traffic optimization |
US11121962B2 (en) | 2017-01-31 | 2021-09-14 | Vmware, Inc. | High performance software-defined core network |
US11706127B2 (en) | 2017-01-31 | 2023-07-18 | Vmware, Inc. | High performance software-defined core network |
US10778528B2 (en) | 2017-02-11 | 2020-09-15 | Nicira, Inc. | Method and system of connecting to a multipath hub in a cluster |
US10523539B2 (en) | 2017-06-22 | 2019-12-31 | Nicira, Inc. | Method and system of resiliency in cloud-delivered SD-WAN |
US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
US10959098B2 (en) | 2017-10-02 | 2021-03-23 | Vmware, Inc. | Dynamically specifying multiple public cloud edge nodes to connect to an external multi-computer node |
US10999165B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Three tiers of SaaS providers for deploying compute and network infrastructure in the public cloud |
US11089111B2 (en) | 2017-10-02 | 2021-08-10 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
US11102032B2 (en) | 2017-10-02 | 2021-08-24 | Vmware, Inc. | Routing data message flow through multiple public clouds |
US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
JP7234699B2 (ja) * | 2019-03-05 | 2023-03-08 | ブラザー工業株式会社 | アプリケーションプログラムおよび情報処理装置 |
US11252105B2 (en) | 2019-08-27 | 2022-02-15 | Vmware, Inc. | Identifying different SaaS optimal egress nodes for virtual networks of different entities |
US11611507B2 (en) | 2019-10-28 | 2023-03-21 | Vmware, Inc. | Managing forwarding elements at edge nodes connected to a virtual network |
US11489783B2 (en) | 2019-12-12 | 2022-11-01 | Vmware, Inc. | Performing deep packet inspection in a software defined wide area network |
US11394640B2 (en) | 2019-12-12 | 2022-07-19 | Vmware, Inc. | Collecting and analyzing data regarding flows associated with DPI parameters |
US11722925B2 (en) | 2020-01-24 | 2023-08-08 | Vmware, Inc. | Performing service class aware load balancing to distribute packets of a flow among multiple network links |
US11477127B2 (en) | 2020-07-02 | 2022-10-18 | Vmware, Inc. | Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN |
US11709710B2 (en) | 2020-07-30 | 2023-07-25 | Vmware, Inc. | Memory allocator for I/O operations |
US11444865B2 (en) | 2020-11-17 | 2022-09-13 | Vmware, Inc. | Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN |
US11575600B2 (en) | 2020-11-24 | 2023-02-07 | Vmware, Inc. | Tunnel-less SD-WAN |
US11929903B2 (en) | 2020-12-29 | 2024-03-12 | VMware LLC | Emulating packet flows to assess network links for SD-WAN |
US11792127B2 (en) | 2021-01-18 | 2023-10-17 | Vmware, Inc. | Network-aware load balancing |
US11388086B1 (en) | 2021-05-03 | 2022-07-12 | Vmware, Inc. | On demand routing mesh for dynamically adjusting SD-WAN edge forwarding node roles to facilitate routing through an SD-WAN |
US11729065B2 (en) | 2021-05-06 | 2023-08-15 | Vmware, Inc. | Methods for application defined virtual network service among multiple transport in SD-WAN |
US11489720B1 (en) | 2021-06-18 | 2022-11-01 | Vmware, Inc. | Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics |
US11375005B1 (en) | 2021-07-24 | 2022-06-28 | Vmware, Inc. | High availability solutions for a secure access service edge application |
US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6282193B1 (en) * | 1998-08-21 | 2001-08-28 | Sonus Networks | Apparatus and method for a remote access server |
US7421077B2 (en) * | 1999-01-08 | 2008-09-02 | Cisco Technology, Inc. | Mobile IP authentication |
US6456701B1 (en) * | 2000-06-16 | 2002-09-24 | Bell Canada | Network-centric control of access to transceivers |
US7539155B1 (en) * | 2000-08-15 | 2009-05-26 | Michael Holloway | Centralized feature platform in a packetized network |
US20080301776A1 (en) * | 2001-02-14 | 2008-12-04 | Weatherford Sidney L | System method for providing secure access to a communications network |
US20030061503A1 (en) * | 2001-09-27 | 2003-03-27 | Eyal Katz | Authentication for remote connections |
US7469294B1 (en) * | 2002-01-15 | 2008-12-23 | Cisco Technology, Inc. | Method and system for providing authorization, authentication, and accounting for a virtual private network |
US7283529B2 (en) * | 2003-03-07 | 2007-10-16 | International Business Machines Corporation | Method and system for supporting a dedicated label switched path for a virtual private network over a label switched communication network |
US7624431B2 (en) * | 2003-12-04 | 2009-11-24 | Cisco Technology, Inc. | 802.1X authentication technique for shared media |
KR100600733B1 (ko) * | 2004-02-19 | 2006-07-14 | 엘지전자 주식회사 | 동영상 스트리밍 홈 네트워크 시스템 및 그 동작방법 |
DE602004017912D1 (de) * | 2004-06-24 | 2009-01-02 | Telecom Italia Spa | Puterprogramm dafür |
US7570636B2 (en) * | 2004-06-29 | 2009-08-04 | Damaka, Inc. | System and method for traversing a NAT device for peer-to-peer hybrid communications |
JP5062967B2 (ja) * | 2005-06-01 | 2012-10-31 | アラクサラネットワークス株式会社 | ネットワークアクセス制御方法、およびシステム |
US8751649B2 (en) * | 2005-06-07 | 2014-06-10 | Extreme Networks | Port management system |
US7801030B1 (en) * | 2005-09-16 | 2010-09-21 | Cisco Technology, Inc. | Technique for using OER with an ECT solution for multi-homed spoke-to-spoke sites |
JP4546382B2 (ja) * | 2005-10-26 | 2010-09-15 | 株式会社日立製作所 | 機器検疫方法、および、機器検疫システム |
US8042154B2 (en) * | 2005-11-07 | 2011-10-18 | Cisco Technology, Inc. | Allowing network access for proxy mobile IP cases for nodes that do not support CHAP authentication |
US20080022392A1 (en) * | 2006-07-05 | 2008-01-24 | Cisco Technology, Inc. | Resolution of attribute overlap on authentication, authorization, and accounting servers |
US20080028445A1 (en) * | 2006-07-31 | 2008-01-31 | Fortinet, Inc. | Use of authentication information to make routing decisions |
JP4773987B2 (ja) * | 2007-02-01 | 2011-09-14 | アラクサラネットワークス株式会社 | 端末所属切換システム |
US8326958B1 (en) * | 2009-01-28 | 2012-12-04 | Headwater Partners I, Llc | Service activation tracking system |
US8291468B1 (en) * | 2009-03-30 | 2012-10-16 | Juniper Networks, Inc. | Translating authorization information within computer networks |
-
2009
- 2009-08-10 JP JP2009185580A patent/JP5398410B2/ja active Active
-
2010
- 2010-07-13 US US12/835,261 patent/US20110032939A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20110032939A1 (en) | 2011-02-10 |
JP2011040928A (ja) | 2011-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5398410B2 (ja) | ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム | |
JP6648308B2 (ja) | パケット伝送 | |
US8532108B2 (en) | Layer 2 seamless site extension of enterprises in cloud computing | |
US6754716B1 (en) | Restricting communication between network devices on a common network | |
US8619779B2 (en) | Scalable architecture for enterprise extension in a cloud topology | |
JP5662133B2 (ja) | Ipsecとipv6近隣要請の競合解消方法及びそのシステム | |
JP4931888B2 (ja) | 転送装置、転送方法、およびコンピュータプログラム | |
JP3581589B2 (ja) | 通信ネットワークシステムおよび通信ネットワークシステムにおけるサービス管理方法 | |
WO2017114362A1 (zh) | 一种报文转发方法、装置和系统 | |
US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
US20110090911A1 (en) | Method and apparatus for transparent cloud computing with a virtualized network infrastructure | |
WO2015117337A1 (zh) | 网络规则条目的设置方法及装置 | |
CN107046506B (zh) | 一种报文处理方法、流分类器和业务功能实例 | |
JP3813571B2 (ja) | 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム | |
US20210211404A1 (en) | Dhcp snooping with host mobility | |
WO2016108140A1 (en) | Ccn fragmentation gateway | |
US10855733B2 (en) | Method and system for inspecting unicast network traffic between end points residing within a same zone | |
US8954601B1 (en) | Authentication and encryption of routing protocol traffic | |
US20230283589A1 (en) | Synchronizing dynamic host configuration protocol snoop information | |
Scott et al. | Addressing the Scalability of Ethernet with MOOSE | |
JP2006033206A (ja) | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム | |
JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
US8893271B1 (en) | End node discovery and tracking in layer-2 of an internet protocol version 6 network | |
JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
JP5350333B2 (ja) | パケット中継装置及びネットワークシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111124 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121204 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130131 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131001 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131022 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5398410 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |