JP5790775B2 - ルーティング方法およびネットワーク伝送装置 - Google Patents

ルーティング方法およびネットワーク伝送装置 Download PDF

Info

Publication number
JP5790775B2
JP5790775B2 JP2013542795A JP2013542795A JP5790775B2 JP 5790775 B2 JP5790775 B2 JP 5790775B2 JP 2013542795 A JP2013542795 A JP 2013542795A JP 2013542795 A JP2013542795 A JP 2013542795A JP 5790775 B2 JP5790775 B2 JP 5790775B2
Authority
JP
Japan
Prior art keywords
address
network
format
routing
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013542795A
Other languages
English (en)
Other versions
JPWO2013069161A1 (ja
Inventor
武仲 正彦
正彦 武仲
国一 松本
国一 松本
四ノ宮 大輔
大輔 四ノ宮
高橋 裕
裕 高橋
弘亮 坂井
弘亮 坂井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2013069161A1 publication Critical patent/JPWO2013069161A1/ja
Application granted granted Critical
Publication of JP5790775B2 publication Critical patent/JP5790775B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/15Interconnection of switching modules

Description

本発明はルーティング方法およびネットワーク伝送装置に関する。
現在、LAN(Local Area Network)やイントラネットなどの組織内ネットワークの多くは、インターネットなどの広域ネットワークに接続されている。物理的に離れた複数の組織内ネットワークを、仮想プライベートネットワーク(VPN:Virtual Private Network)などの通信技術を用いて、広域ネットワークを介して接続することもある。
セキュリティの観点から、組織内ネットワークと広域ネットワークとの境界に、ファイアウォール(プロキシサーバと呼ぶものを含む)を設けることがある。ファイアウォールには、ウィルスや機密情報などを検出するため、通信の内容を検査するレイヤ7(アプリケーション層)のプロトコル処理を行うものもある。ただし、高レイヤのプロトコル処理を行うファイアウォールは、負荷が高くなりやすい。また、大規模な組織内ネットワークの通信を、1カ所のファイアウォールに集約して検査しようとすると、ファイアウォールの負荷が高くなり、通信の遅延が大きくなることがある。
なお、DNS(Domain Name System)の逆引き問い合わせによりパケットのIP(Internet Protocol)アドレスからドメイン名を検索し、検索したドメイン名とドメイン名ルーティングテーブルとに基づいて、当該パケットをルーティングするルータが提案されている。また、ホワイトリストに登録されているIPアドレスを含むパケットを、ホワイトリスト用サーバに転送し、ホワイトリストに登録されていないIPアドレスを含むパケットを、通常サーバに転送するロードバランサが提案されている。
特開2005-223449号公報 特開2010-45617号公報
ところで、広域ネットワークを介して提供されるサービスには、著名なWeb検索サービスや著名なソフトウェアベンダのアップデートサービスなど、信頼性の高いサービスも含まれる。そこで、通信を検査する負荷を軽減するため、信頼できるサービスに関するパケットとそれ以外のパケットとで転送経路を変える(例えば、前者はファイアウォールを迂回し後者はファイアウォールを経由するように転送する)ことが考えられる。しかし、このような転送経路の制御を、通信装置でどのように実現すればよいかが問題となる。
例えば、サービスの中には、クライアントからのアクセスを動的にキャッシュサーバに誘導するものがある。各サービスで利用され得るキャッシュサーバを事前に特定することは難しいため、各パケットに含まれる低レイヤのアドレス(例えば、IPアドレス)のみから、当該パケットが信頼できるサービスに関するものかを判断することは難しい。
また、サービスを提供する事業者とキャッシュサーバを運営する事業者とが異なることがある。この場合、各パケットに含まれる低レイヤのアドレスから、逆引き問い合わせによって高レイヤのアドレス(例えば、ドメイン名を含むホスト名)を検索しても、その高レイヤのアドレスのドメインはキャッシュサーバの事業者を示すに過ぎないことがある。このため、逆引き問い合わせの結果からサービスの信頼性を判断することも難しい。
また、パケットを振り分ける通信装置において、高レイヤのプロトコル処理(例えば、レイヤ7のHTTP(Hypertext Transfer Protocol)処理)を行って、パケットの内容からオリジナルの高レイヤのアドレスを抽出する方法が考えられる。しかし、この方法では、高機能な通信装置を使用することになり、コストや負荷の点で不利となる。
一側面では、本発明は、サービスの信頼性に応じてパケットの転送経路を変えることが容易に実現できるルーティング方法およびネットワーク伝送装置を提供することを目的とする。
一側面によれば、第1および第2のネットワークに接続されたネットワーク伝送装置におけるルーティング方法が提供される。ルーティング方法では、クライアントから第1の形式のアドレスにより、アドレス解決の問い合わせを受信したとき、第1の形式のアドレスに基づき、第1のネットワークへの直接のルーティングの可否を判断する。第1のネットワークへの直接のルーティングが可能と判断した場合は、第1のネットワークに第1の形式のアドレスのアドレス解決を問い合わせ、第1のネットワークへの直接のルーティングが可能と判断しなかった場合は、第2のネットワークに第1の形式のアドレスのアドレス解決を問い合わせる。アドレス解決の問い合わせにより第1のネットワークまたは第2のネットワークより取得した第2の形式のアドレスを含むアドレス回答を、クライアントに送信する。第1のネットワークにアドレス解決を問い合わせた場合は、取得したアドレス回答に含まれる第2の形式のアドレスを宛先とするパケットは第1のネットワークに転送されるようにルーティングテーブルを設定する。第2のネットワークにアドレス解決を問い合わせた場合は、取得したアドレス回答に含まれる第2の形式のアドレスを宛先とするパケットは第2のネットワークに転送されるようにルーティングテーブルを設定する。
また、一側面によれば、第1および第2のネットワークに接続されたネットワーク伝送装置におけるルーティング方法が提供される。ルーティング方法では、アドレス解決の問い合わせを行ったクライアントに転送される、クライアントが指定した第1の形式のアドレスと回答である第2の形式のアドレスとを含むアドレス回答を取得する。アドレス回答に含まれる第1の形式のアドレスに基づき、第1のネットワークへの直接のルーティングの可否を判断する。第1のネットワークへの直接のルーティングが可能と判断した場合は、アドレス回答に含まれる第2の形式のアドレスを宛先とするパケットが第1のネットワークに転送されるようにルーティングテーブルを設定する。第1のネットワークへの直接のルーティングが可能と判断しなかった場合は、アドレス回答に含まれる第2の形式のアドレスを宛先とするパケットが第2のネットワークに転送されるようにルーティングテーブルを設定する。
また、一側面によれば、第1および第2のネットワークに接続可能なネットワーク伝送装置が提供される。ネットワーク伝送装置は、記憶部と制御部とを有する。記憶部は、ルーティングテーブルを記憶する。制御部は、クライアントから第1の形式のアドレスによりアドレス解決の問い合わせを受け付けたとき、第1の形式のアドレスに基づき第1のネットワークへの直接のルーティングの可否を判断し、第1のネットワークへの直接のルーティングが可能と判断した場合は第1のネットワークに第1の形式のアドレスのアドレス解決を問い合わせ、第1のネットワークへの直接のルーティングが可能と判断しなかった場合は第2のネットワークに第1の形式のアドレスのアドレス解決を問い合わせ、第1のネットワークまたは第2のネットワークから第2の形式のアドレスを含むアドレス回答を取得し、第1のネットワークにアドレス解決を問い合わせた場合はアドレス回答に含まれる第2の形式のアドレスを宛先とするパケットは第1のネットワークに転送されるようにルーティングテーブルを設定し、第2のネットワークにアドレス解決を問い合わせた場合はアドレス回答に含まれる第2の形式のアドレスを宛先とするパケットは第2のネットワークに転送されるようにルーティングテーブルを設定する。
また、一側面によれば、第1および第2のネットワークに接続可能なネットワーク伝送装置が提供される。ネットワーク伝送装置は、記憶部と制御部とを有する。記憶部は、ルーティングテーブルを記憶する。制御部は、アドレス解決の問い合わせを行ったクライアントに転送されるクライアントが指定した第1の形式のアドレスと回答である第2の形式のアドレスとを含むアドレス回答を取得し、アドレス回答に含まれる第1の形式のアドレスに基づき第1のネットワークへの直接のルーティングの可否を判断し、第1のネットワークへの直接のルーティングが可能と判断した場合はアドレス回答に含まれる第2の形式のアドレスを宛先とするパケットが第1のネットワークに転送されるようにルーティングテーブルを設定し、第1のネットワークへの直接のルーティングが可能と判断しなかった場合はアドレス回答に含まれる第2の形式のアドレスを宛先とするパケットが第2のネットワークに転送されるようにルーティングテーブルを設定する。
サービスの信頼性に応じてパケットの転送経路を変えることが容易に実現できる。
本発明の上記および他の目的、特徴および利点は本発明の例として好ましい実施の形態を表す添付の図面と関連した以下の説明により明らかになるであろう。
第1の実施の形態のネットワーク伝送装置を示す図である。 第2の実施の形態のネットワーク伝送装置を示す図である。 第3の実施の形態の通信システムを示す図である。 ルータのハードウェア例を示すブロック図である。 第3の実施の形態のソフトウェア構成例を示すブロック図である。 DNSパケットのフォーマット例を示す図である。 第3の実施の形態のルータ制御を示すフローチャートである。 第3の実施の形態のDNS処理例を示す図である。 第3の実施の形態のパケット転送例を示す図である。 第3の実施の形態の通信シーケンス例を示す第1の図である。 第3の実施の形態の通信シーケンス例を示す第2の図である。 第4の実施の形態のソフトウェア構成例を示すブロック図である。 第4の実施の形態のルータ制御を示すフローチャートである。 第4の実施の形態のDNS処理例を示す図である。 第4の実施の形態の通信シーケンス例を示す図である。 他の通信シーケンス例を示す図である。 他のパケット転送例を示す図である。
以下、本実施の形態を図面を参照して説明する。
[第1の実施の形態]
図1は、第1の実施の形態のネットワーク伝送装置を示す図である。第1の実施の形態のネットワーク伝送装置10は、クライアント3から受信したパケットを、ネットワーク4,5に転送する通信装置である。
ネットワーク伝送装置10は、例えば、クライアント3の属するLANからネットワーク4への出口に位置するルータである。ネットワーク伝送装置10は、レイヤ3(例えば、IP層)以下またはレイヤ4(例えば、TCP(Transmission Control Protocol)層)以下のプロトコル処理を行い、レイヤ7(アプリケーション層)のプロトコル処理を行わないルータでもよい。
クライアント3は、例えば、ユーザが使用する端末装置としてのコンピュータである。ネットワーク4は、例えば、インターネットなどの広域ネットワークである。ネットワーク5は、例えば、ファイアウォールを備えるLANやイントラネットである。ネットワーク伝送装置10とネットワーク5は、ネットワーク4に形成したVPNを介して接続されてもよい。例えば、クライアント3が送信したパケットが、ネットワーク5を迂回してネットワーク4に直接転送されるか、または、ネットワーク5を経由してネットワーク4に転送される。
ネットワーク伝送装置10は、記憶部11、制御部12および送信部13を有する。
記憶部11は、ルーティングテーブル11aを記憶する。記憶部11は、RAM(Random Access Memory)などの揮発性記憶装置でもよいし、フラッシュメモリなどの不揮発性記憶装置でもよい。ルーティングテーブル11aは、パケットの宛先アドレス(後述する第2の形式のアドレス)に基づいて当該パケットをネットワーク4,5の何れに転送するか判断するときに参照される。ルーティングテーブル11aには、ネットワーク4に転送されるパケットの宛先アドレスを記載してもよいし(ホワイトリスト方式)、ネットワーク5に転送されるパケットの宛先アドレスを記載してもよい(ブラックリスト方式)。
制御部12は、DNSなどのアドレス解決システムを利用したアドレス解決を処理し、アドレス解決の結果を用いてルーティングテーブル11aを設定する。制御部12は、CPU(Central Processing Unit)などのプロセッサとプログラムを記憶するメモリとを用いて実装してもよいし、ハードウェアロジックとして実装してもよい。
制御部12は、クライアント3から、第1の形式のアドレス(例えば、ドメイン名を含むホスト名)が指定されたアドレス解決の問い合わせを取得する。第1の形式のアドレスは、例えば、クライアント3で実行されるWebブラウザから入力される。制御部12は、アドレス解決の問い合わせで指定された第1の形式のアドレスが、ネットワーク4へ直接ルーティングしてよい(例えば、ネットワーク5を経由しなくてよい)アドレスか判断する。直接ルーティングが可能なアドレスは、例えば、信頼できるサービスを示すアドレスである。直接ルーティングの可否は、予め用意された信頼できる第1の形式のアドレスのリストを参照して判断してもよいし(ホワイトリスト方式)、予め用意された信頼できない第1の形式のアドレスのリストを参照して判断してもよい(ブラックリスト方式)。
制御部12は、ネットワーク4への直接ルーティングが可能と判断した場合はネットワーク4に問い合わせ、ネットワーク4への直接ルーティングが可能と判断しなかった場合はネットワーク5に問い合わせることで、第1の形式のアドレスに対応する第2の形式のアドレス(例えば、IPアドレス)を取得する。制御部12は、第2の形式のアドレスを含むアドレス回答をクライアント3に転送するよう制御する。アドレス回答を受信したクライアント3は、以降、第2の形式のアドレスを宛先アドレスとして用いてパケットを送信することができる。
このとき、制御部12は、ネットワーク4への問い合わせによって取得した第2の形式のアドレスを、信頼できる通信相手のアドレスと判定し、ネットワーク5への問い合わせによって取得した第2の形式のアドレスを、信頼できる通信相手でないアドレスと判定する。そして、制御部12は、判定結果に基づいて、ルーティングテーブル11aを設定する。例えば、ルーティングテーブル11aがホワイトリスト方式である場合、制御部12は、信頼できる通信相手の第2の形式のアドレス(ネットワーク4から取得した第2の形式のアドレス)を、ルーティングテーブル11aに登録する。
送信部13は、記憶部11に記憶されたルーティングテーブル11aと、各パケットに宛先アドレスとして含まれる第2の形式のアドレスとに応じて、クライアント3から受信する各パケットを転送する。送信部13は、信頼できる通信相手と判定された第2の形式のアドレス(ネットワーク4に問い合わせて取得した第2の形式のアドレス)を含むパケットをネットワーク4に転送する。一方、送信部13は、信頼できる通信相手と判定されなかった第2の形式のアドレス(ネットワーク5に問い合わせて取得した第2の形式のアドレス)を含むパケットをネットワーク5に転送する。
例えば、信頼できる通信相手宛てのパケットは、ネットワーク5を迂回してネットワーク4に転送され、信頼できる通信相手宛てでないパケットは、ネットワーク5を経由してネットワーク4に転送される。ネットワーク5では、例えば、ファイアウォールによりパケットの内容が検査され、不適切な内容のパケットが遮断される。ネットワーク伝送装置10とネットワーク5とが仮想ネットワーク技術を用いて接続されている場合、例えば、ネットワーク伝送装置10は、信頼できる通信相手宛てのパケットをカプセル化せずにネットワーク4に転送し、信頼できる通信相手宛てでないパケットをカプセル化してネットワーク5に転送する。
第1の実施の形態のネットワーク伝送装置10によれば、サービスの信頼性に応じてパケットの転送経路を変えることが容易になる。ネットワーク伝送装置10では、高レイヤの第1の形式のアドレスを用いて、ネットワーク4への直接ルーティングを許容するサービスを指定することができる。よって、低レイヤの第2の形式のアドレスのみを用いる場合と異なり、クライアント3からのアクセスを動的にキャッシュサーバに誘導するサービスに対しても有効となる。
また、ネットワーク伝送装置10は、各パケットに対してレイヤ7のHTTP処理などの高レイヤのプロトコル処理を行わなくてよく、レイヤ3以下またはレイヤ4以下のプロトコル処理のみ行うものであってもよい。よって、ネットワーク伝送装置10のプロトコル処理の負荷を軽減でき、また、ネットワーク伝送装置10として高コストな通信装置を使用しなくてもよい。
また、クライアント3からネットワーク4へのパケットのうち、信頼できる通信相手宛てのパケットはネットワーク5に設けたファイアウォールを迂回し、それ以外のパケットはファイアウォールを通過するよう、ネットワーク伝送装置10を運用することもできる。この場合、クライアント3からネットワーク4への全てのパケットをファイアウォールに転送する場合と比べて、ファイアウォールの負荷を軽減することができる。
[第2の実施の形態]
次に、第2の実施の形態を説明する。第1の実施の形態との差異を中心に説明し、第1の実施の形態と同様の事項については説明を省略する。
図2は、第2の実施の形態のネットワーク伝送装置を示す図である。第2の実施の形態のネットワーク伝送装置20は、記憶部21、制御部22および送信部23を有する。記憶部21、制御部22および送信部23は、それぞれ前述の記憶部11、制御部12および送信部13に対応する。
記憶部21は、ルーティングテーブル21aを記憶する。
制御部22は、クライアント3が送信したアドレス解決の問い合わせを、ネットワーク4またはネットワーク5(好ましくは、ネットワーク5)に転送するよう制御する。また、制御部22は、アドレス解決の問い合わせに対応するアドレス回答を、クライアント3に転送するよう制御する。アドレス回答には、クライアント3が指定した第1の形式のアドレス(例えば、ドメイン名を含むホスト名)と、問い合わせに対する回答である第2の形式のアドレス(例えば、IPアドレス)とが含まれている。
制御部22は、アドレス回答に含まれる第1の形式のアドレスが、ネットワーク4へ直接ルーティングしてよい(例えば、ネットワーク5を経由しなくてよい)アドレスか判断する。直接ルーティングが可能なアドレスは、例えば、信頼できるサービスを示すアドレスである。直接ルーティングの可否は、予め用意された第1の形式のアドレスに関するホワイトリストまたはブラックリストを参照して判断してもよい。制御部22は、ネットワーク4への直接ルーティングが可能と判断した場合は、アドレス回答に含まれる第2の形式のアドレスを信頼できる通信相手のアドレスと判定し、ネットワーク4への直接ルーティングが可能と判断しなかった場合は、第2の形式のアドレスを信頼できる通信相手でないアドレスと判定する。
そして、制御部22は、判定結果に基づいてルーティングテーブル21aを設定する。例えば、ルーティングテーブル21aがホワイトリスト方式の場合、制御部22は、信頼できる通信相手の第2の形式のアドレス(直接ルーティングが可能と判断した第1の形式のアドレスに対応するもの)を、ルーティングテーブル21aに登録する。
送信部23は、記憶部21に記憶されたルーティングテーブル21aと、各パケットに宛先アドレスとして含まれる第2の形式のアドレスとに応じて、クライアント3から受信する各パケットを転送する。送信部23は、信頼できる通信相手と判定された第2の形式のアドレス(直接ルーティングが可能と判断した第1の形式のアドレスに対応するもの)を含むパケットをネットワーク4に転送する。一方、送信部23は、信頼できる通信相手と判定されなかった第2の形式のアドレス(直接ルーティングが可能と判断しなかった第1の形式のアドレスに対応するもの)を含むパケットをネットワーク5に転送する。
第2の実施の形態のネットワーク伝送装置20によれば、第1の実施の形態と同様、サービスの信頼性に応じてパケットの転送経路を変えることが容易になる。すなわち、ネットワーク伝送装置20は、クライアント3からのアクセスを動的にキャッシュサーバに誘導するサービスに対しても有効となる。また、ネットワーク伝送装置20のプロトコル処理の負荷を軽減でき、また、ネットワーク伝送装置20として高コストな通信装置を使用しなくてもよい。また、信頼できる通信相手宛てのパケットはネットワーク5に設けたファイアウォールを迂回し、それ以外のパケットはファイアウォールを通過するよう、ネットワーク伝送装置20を運用することもできる。
[第3の実施の形態]
図3は、第3の実施の形態の通信システムを示す図である。第3の実施の形態は、本社と支社を含む企業のイントラネットが、インターネットに接続されている例を考える。
第3の実施の形態の通信システムは、支社LAN31、本社LAN32およびインターネット33を含む。支社LAN31と本社LAN32は、それぞれインターネット33に接続されている。支社LAN31は、クライアント41,42およびルータ100を備える。本社LAN32は、クライアント43、ファイルサーバ44、ファイアウォール51およびDNSサーバ52を備える。インターネット33は、DNSサーバ53,54、Webサーバ61,62およびキャッシュサーバ63,64を備える。
クライアント41,42,43は、ユーザが使用する端末装置としてのコンピュータである。クライアント41,42,43は、Webブラウザを用いて、インターネット33のWebサーバ61,62やキャッシュサーバ63,64にアクセスできる。また、クライアント41,42は、インターネット33経由でファイルサーバ44にアクセスでき、クライアント43はファイルサーバ44にアクセスできる。ファイルサーバ44は、本社や支社の業務に使用されるファイルを保持するサーバコンピュータである。
ファイアウォール51は、支社LAN31および本社LAN32を含むイントラネットとインターネット33の間の通信を監視する通信装置である。ファイアウォール51は、例えば、アプリケーション層のプロトコル処理を行い、ウィルスや機密情報などの不正な内容を含む通信を検出する。ファイアウォール51は、プロキシサーバと呼ばれるものであってもよい。ここで、支社LAN31と本社LAN32とは、インターネット33上に形成したVPN(いわゆるインターネットVPN)で接続されている。後述するように、支社LAN31とインターネット33との間のパケットは、所定の信頼できるサービスに関するパケットを除いて、本社LAN32のファイアウォール51を経由する。
DNSサーバ52,53,54は、ホスト名とIPアドレスとの対応関係を管理するサーバコンピュータである。DNSサーバ52,53,54は、完全修飾ドメイン名(FQDN:Full Qualified Domain Name)を含むDNS要求(リクエスト)を受信し、FQDNに対応するIPアドレスを含むDNS応答(レスポンス)を返信する。FQDNは、ドメイン名を含むホスト名である。DNSサーバ52,53,54は、指定されたFQDNのアドレス解決を担当していない場合、他のDNSサーバに問い合わせる。例えば、DNSサーバ52は、クライアント41からWebサーバ62のIPアドレスの問い合わせを受けたとき、DNSサーバ54に問い合わせることがある。なお、DNSサーバ53は支社LAN31の近くに位置し、DNSサーバ54は本社LAN32の近くに位置する。
Webサーバ61,62は、検索サービスやソフトウェア更新サービスなどのサービスを提供するサーバコンピュータである。Webサーバ61,62は、例えば、クライアント41,42,43からのHTTPアクセスに応じて、HTML(HyperText Markup Language)文書やソフトウェアプログラムなどのファイルを送信する。キャッシュサーバ63,64は、Webサーバ61に記憶されたファイルの複製を保持するサーバコンピュータである。クライアント41,42,43からWebサーバ61へのアクセスが、キャッシュサーバ63,64に誘導されることがある。なお、キャッシュサーバ63は支社LAN31の近くに位置し、キャッシュサーバ64は本社LAN32の近くに位置する。
Webサーバ61,62およびキャッシュサーバ63,64には、互いに異なるFQDNとIPアドレスが付与される。Webサーバ61を用いてサービスを提供する事業者とキャッシュサーバ63,64を運用する事業者とは、異なっていてもよい。よって、Webサーバ61のFQDNに含まれるドメイン名とキャッシュサーバ63,64のFQDNに含まれるドメイン名とは、異なることがある。ここで、Webサーバ61に対するアクセスを、以下のような方法で、キャッシュサーバ63,64に誘導することができる。
Webサーバ61を担当するDNSサーバに、Webサーバ61のFQDNの別名(CNAME)として、キャッシュサーバ63,64のドメイン名を登録しておく。Webサーバ61を担当するDNSサーバは、Webサーバ61のFQDNを含むDNS要求を受信すると、別名として自ドメインでないドメイン名が登録されているため、キャッシュサーバ63,64を担当するDNSサーバにDNS要求を転送する。キャッシュサーバ63,64を担当するDNSサーバは、DNS要求の送信元のIPアドレスを用いて送信元に物理的に近いキャッシュサーバを検索し、キャッシュサーバのIPアドレスを返信する。
クライアント41,42,43には、Webサーバ61のFQDNに対応するIPアドレスとして、各クライアントに近いキャッシュサーバのIPアドレスが通知される。クライアント41,42,43は、以降、Webサーバ61に代えて、各クライアントに近いキャッシュサーバにアクセスすることになる。これにより、Webサーバ61およびキャッシュサーバ63,64の負荷を分散させることができる。
なお、このようなキャッシュサービスの一例として、Akamaiが挙げられる。キャッシュサービスは、次の文献にも記載されている。ホワイトペーパ「アカマイのアプリケーション高速化サービス:インターネットをビジネス対応アプリケーション・デリバリー・プラットフォームに変える」,Akamai Technologies,2009年。ホワイトペーパ「アカマイによるウェブインフラの効率性向上 オンラインチャンネル戦略」,Akamai Technologies,2009年。米国特許第6108703号明細書および第6553413号明細書。
ルータ100は、支社LAN31とインターネット33との境界に位置し、本社LAN32およびインターネット33と通信を行う。ルータ100は、各パケットに対し、IP層以下またはTCP層以下のプロトコル処理を行えばよく、アプリケーション層のプロトコル処理を行わなくてよい。また、ルータ100は、ファイアウォール機能を備えていなくてよい。ルータ100は、クライアント41,42からインターネット33へ送信されるパケットのうち、所定の信頼できるサービスに関するパケットを、ファイアウォール51を迂回して直接インターネット33に転送する。一方、ルータ100は、それ以外のパケットを、インターネットVPNを用いてファイアウォール51に転送する。
本社LAN32側では、ファイアウォール51がVPNを終端してもよいし、他の通信装置がVPNを終端してもよい。本社LAN32と支社LAN31との間の通信は、ファイアウォール51を経由するようにしてもよいし、経由しないようにしてもよい。
なお、第3の実施の形態において、本社LAN32は、第1の実施の形態のネットワーク5の一例であり、インターネット33は、第1の実施の形態のネットワーク4の一例である。また、ルータ100は、第1の実施の形態のネットワーク伝送装置10の一例であり、クライアント41,42は、第1の実施の形態のクライアント3の一例である。
図4は、ルータのハードウェア例を示すブロック図である。ルータ100は、CPU101、RAM102、メモリ103、管理インタフェース104、LANインタフェース105およびWAN(Wide Area Network)インタフェース106を有する。
CPU101は、プログラムに従ってパケットを処理するプロセッサである。CPU101は、メモリ103からプログラムや制御用データを読み出してRAM102に展開する。RAM102は、CPU101が使用するプログラムや制御用データの一部または全部を一時的に記憶する揮発性メモリである。メモリ103は、プログラムや制御用データを記憶する不揮発性メモリであり、例えば、フラッシュメモリである。なお、ルータ100は、RAM102やメモリ103に代えて、他の種類の記憶装置を備えていてもよい。
管理インタフェース104は、管理用のクライアントと接続できる管理ポートを備える通信インタフェースである。LANインタフェース105は、支社LAN31の他の通信装置(例えば、レイヤ2スイッチ)と接続できるLANポートを備える通信インタフェースである。WANインタフェース106は、インターネット33と接続できるWANポートを備える通信インタフェースである。LANインタフェース105およびWANインタフェース106は、CPU101の制御に従って、パケットを転送する。
なお、第3の実施の形態では、ルーティングを含むIP層のプロトコル処理をソフトウェアで実行することとしたが、ハードウェアで実行してもよい。以下に説明するルータ100の機能の少なくとも一部を、ハードウェアロジックとして実装することもできる。
図5は、第3の実施の形態のソフトウェア構成例を示すブロック図である。ルータ100は、FQDNリスト記憶部110、管理部120、DNS処理部130、IPアドレス抽出部140、ルーティングテーブル記憶部150およびルーティング部160を有する。FQDNリスト記憶部110およびルーティングテーブル記憶部150は、RAM102またはメモリ103上に確保する記憶領域として実装できる。管理部120、DNS処理部130、IPアドレス抽出部140およびルーティング部160は、CPU101が実行するプログラムのモジュールとして実装できる。
FQDNリスト記憶部110は、FQDNリストを記憶する。FQDNリストは、信頼できるサービスを、FQDNを用いて指定したホワイトリストである。FQDNリストでは、FQDNを指定するにあたって、ワイルドカード(*)を使用してもよい。例えば、FQDNリストに“*.aaa.bbb”と記載されている場合、“www.aaa.bbb”はFQDNリストに登録されているFQDNと判断される。
管理部120は、管理者の使用するクライアントから入力されるコマンドに応じて、ルータ100の設定を変更する。コマンドは、管理インタフェース104またはLANインタフェース105から入力される。管理部120は、FQDNリストにFQDNを追加するコマンドやFQDNリストからFQDNを削除するコマンドを受け付け、FQDNリスト記憶部110に記憶されたFQDNリストを更新する。
DNS処理部130は、クライアント41,42とDNSサーバ52,53,54の間で、DNS要求やDNS応答を転送するDNSリレー機能を実現する。DNSリレー機能により、ルータ100は、クライアント41,42からDNSサーバとして認識される。DNS処理部130は、リクエスト受付部131、転送先判定部132、インターネット転送部133およびイントラネット転送部134を有する。
リクエスト受付部131は、クライアント41,42からDNS要求を受け付け、インターネット33または本社LAN32から取得したDNS応答を返信する。転送先判定部132は、DNS要求に含まれるFQDNが、FQDNリスト記憶部110に記憶されたFQDNリストに登録されたものか、すなわち、信頼できるサービスのFQDNであるか判断する。転送先判定部132は、登録されたFQDNである場合、インターネット33に転送すると判定し、それ以外の場合、本社LAN32に転送すると判定する。
インターネット転送部133は、転送先判定部132の判定結果に従って、DNS要求をインターネット33のDNSサーバ(例えば、DNSサーバ53)に転送し、当該DNSサーバからDNS応答を取得する。また、インターネット転送部133は、DNS応答をIPアドレス抽出部140に出力する。イントラネット転送部134は、転送先判定部132の判定結果に従って、DNS要求を本社LAN32のDNSサーバ52に転送し、DNSサーバ52からDNS応答を取得する。
IPアドレス抽出部140は、インターネット33および本社LAN32のうちインターネット33から取得したDNS応答のみ、DNS処理部130から取得する。IPアドレス抽出部140は、問い合わせへの回答であるIPアドレスをDNS応答から抽出し、抽出したIPアドレスを、信頼できる通信相手のIPアドレスとしてルーティングテーブル記憶部150に記憶されたルーティングテーブルに書き込む。
ルーティングテーブル記憶部150は、ルーティングテーブルを記憶する。ルーティングテーブルは、支社LAN31および本社LAN32の外で使用されるIPアドレスのうち、信頼できる通信相手のIPアドレスを指定したホワイトリストである。なお、第3の実施の形態では、FQDNリストおよびルーティングテーブルを、ホワイトリストと定義したが、信頼できないアドレスを記載するブラックリストとしてもよい。
ルーティング部160は、パケットに宛先アドレスとして含まれるIPアドレスに基づいて、各パケットのルーティングを行う。ルーティング部160は、クライアント41,42からインターネット33へ伝送されるパケットの転送先を判定するとき、ルーティングテーブル記憶部150に記憶されたルーティングテーブルを参照する。ルーティング部160は、ルーティングテーブルに登録されたIPアドレス(信頼できる通信相手)宛てのパケットを、インターネット33に直接転送する。一方、ルーティング部160は、ルーティングテーブルに登録されていないIPアドレス(信頼できる通信相手でないもの)宛てのパケットを、インターネットVPNを用いて本社LAN32に転送する。
なお、インターネット33からクライアント41,42へ返信されるパケットの転送経路(復路)は、原則として、クライアント41,42からインターネット33へのパケットの転送経路(往路)と同じになる。ルーティング部160は、本社LAN32に送信するパケットは、インターネットVPNのカプセル化を行い、また、本社LAN32から取得するパケットは、インターネットVPNのデカプセル化(カプセル化の解除)を行う。すなわち、ルーティング部160は、インターネットVPNを終端する。
図6は、DNSパケットのフォーマット例を示す図である。DNSパケットは、IPヘッダ、UDP(User Datagram Protocol)ヘッダ、DNSヘッダおよび本文を含む。DNS要求としてのDNSパケットの本文は、質問(Query)セクションを含む。DNS応答としてのDNSパケットの本文は、質問セクション、回答(Answer)セクション、権限(Authority)セクションおよび追加(Additional)セクションを含む。
DNSヘッダは、ID(Identifier)、フラグ、質問レコード数、回答レコード数、権限レコード数および追加レコード数を含む。IDは、DNSトランザクションを識別するための16ビット(2バイト)の識別子であり、DNS要求とそれに対応するDNS応答とで同じ値が用いられる。フラグは、DNS要求かDNS応答かを区別するためのビットを含む制御用ビットの集合である。質問レコード数は、質問セクションに含まれるレコードの数を示す。回答レコード数は、回答セクションに含まれるレコードの数を示す。権限レコード数は、権限セクションに含まれるレコードの数を示す。追加レコード数は、追加セクションに含まれるレコードの数を示す。
質問セクションの各レコードは、ホスト名、タイプおよびクラスを含む。ホスト名は、問い合わせ対象のFQDNである。タイプは、回答としてどのような情報が要求されているかを示す。FQDNが示す装置のIPアドレスを問い合わせる正引き問い合わせでは、タイプ=“A”が指定される。クラスは、インターネットを示す“IN”が指定される。
回答セクションの各レコードは、ホスト名、タイプ、クラス、有効時間(TTL:Time To Live)、データ長およびアドレスを含む。ホスト名は、回答セクションのアドレスをもつ装置のFQDNである。キャッシュサーバ63,64のIPアドレスが回答される場合など、質問セクションのホスト名と回答セクションのホスト名とが一致しない場合がある。タイプおよびクラスの意味は、質問セクションと同様である。TTLは、アドレス解決の結果の有効時間であり、有効時間が経過するまではアドレス解決の結果をキャッシュしておくことが許容される。データ長は、アドレスの欄のバイト数を示す。アドレスは、問い合わせに対する回答であり、例えば、IPアドレスである。
権限セクションのレコードは、回答セクションのホスト名を管理する権限のあるDNSサーバのFQDNを含む。追加セクションのレコードは、上記以外の追加情報を含み、例えば、権限セクションに記載されたDNSサーバのIPアドレスを含む。
図7は、第3の実施の形態のルータ制御を示すフローチャートである。ここでは、クライアント41がDNS要求を送信した場合を考える。
(ステップS11)リクエスト受付部131は、DNS要求を受け付ける。
(ステップS12)転送先判定部132は、DNS要求からFQDNを抽出し、抽出したFQDNとFQDNリスト記憶部110に記憶されたFQDNリストとを照合する。転送先判定部132は、DNS要求から抽出したFQDNがFQDNリストにマッチするか(FQDNリストに登録されているものか)判断する。マッチする場合、信頼できるサービスのFQDNであると判断し、処理をステップS13に進める。マッチしない場合、信頼できるサービスのFQDNではないと判断し、処理をステップS17に進める。
(ステップS13)インターネット転送部133は、DNS要求をインターネット33のDNSサーバ(例えば、DNSサーバ53)に転送する。
(ステップS14)インターネット転送部133は、DNS要求に対応するDNS応答を、インターネット33のDNSサーバ(例えば、DNSサーバ53)から取得する。
(ステップS15)IPアドレス抽出部140は、DNS応答からIPアドレスを抽出し、信頼できる通信相手のIPアドレスであると判断する。
(ステップS16)IPアドレス抽出部140は、ルーティングテーブル記憶部150に記憶されたルーティングテーブルに、抽出したIPアドレスを登録する。そして、処理をステップS19に進める。なお、利用するキャッシュサーバが変わる場合など、サービスとIPアドレスの対応関係が変化する場合を考慮して、登録してから一定時間経過したIPアドレスは、ルーティングテーブルから削除するようにしてもよい。
(ステップS17)イントラネット転送部134は、DNS要求を本社LAN32のDNSサーバ52に転送する。DNS要求としてのDNSパケットは、ルータ100と本社LAN32との間で、インターネットVPN用にカプセル化されて伝送される。
(ステップS18)イントラネット転送部134は、DNS要求に対応するDNS応答を、本社LAN32のDNSサーバ52から取得する。DNS応答としてのDNSパケットは、DNS要求と同様、インターネットVPN用にカプセル化されて伝送される。なお、本社LAN32から取得したDNS応答に含まれるIPアドレスは、信頼できる通信相手のIPアドレスではないと判断され、ルーティングテーブルに登録されない。
(ステップS19)リクエスト受付部131は、インターネット33または本社LAN32から取得したDNS応答を、DNS要求を送信したクライアント41に転送する。なお、インターネット33にDNS要求を転送したとき、上記のステップS15,S16の処理とステップS19の処理とは、並列に実行してもよいし、逆順に実行してもよい。
図8は、第3の実施の形態のDNS処理例を示す図である。ここでは、クライアント41がDNSによりアドレス解決を行うとき(DNSフェーズ)を考える。また、ルータ100のFQDNリスト111に、“*.aaa.bbb”が登録されているとする。
クライアント41が“www.aaa.bbb”を指定したDNS要求を送信すると、ルータ100は、指定されたFQDNがFQDNリスト111に登録されていることを確認する。すると、ルータ100は、当該FQDNを信頼できると判断し、DNS要求をインターネット33のDNSサーバ53に転送する。ルータ100は、DNSサーバ53から“65.xxx.xxx.130”を含むDNS応答を受信すると、当該IPアドレスを信頼できると判定し、ルーティングテーブル151に登録する。また、ルータ100は、受信したDNS応答をクライアント41に転送する。
クライアント41が“www.ccc.ddd”を指定したDNS要求を送信すると、ルータ100は、指定されたFQDNがFQDNリスト111に登録されていないことを確認する。すると、ルータ100は、指定されたFQDNを信頼できないと判断し、DNS要求を本社LAN32のDNSサーバ52に転送する。DNSサーバ52は、例えば、インターネット33のDNSサーバ54に問い合わせて、IPアドレスを検索する。ルータ100は、DNSサーバ52から“74.xxx.xxx.172”を含むDNS応答を受信し、受信したDNS応答をクライアント41に転送する。このとき、当該IPアドレスは信頼できないと判定され、ルーティングテーブル151に登録されない。
図9は、第3の実施の形態のパケット転送例を示す図である。ここでは、クライアント41が上記のアドレス解決の結果を用いて、インターネット33に対してパケットを送信するとき(パケット転送フェーズ)を考える。また、ルータ100のルーティングテーブル151には、“65.xxx.xxx.130”が登録されているとする。
クライアント41が“65.xxx.xxx.130”を宛先に指定したパケットを送信すると、ルータ100は、宛先のIPアドレスがルーティングテーブル151に登録されていることを確認する。すると、ルータ100は、当該IPアドレスを信頼できると判断し、パケットを、ファイアウォール51を迂回するようにインターネット33に直接転送する。パケットは、例えば、宛先であるキャッシュサーバ63に転送される。
クライアント41が“74.xxx.xxx.172”を宛先に指定したパケットを送信すると、ルータ100は、宛先のIPアドレスがルーティングテーブル151に登録されていないことを確認する。すると、ルータ100は、当該IPアドレスを信頼できないと判断し、パケットを、インターネットVPN用にカプセル化して(インターネット33を経由して)本社LAN32のファイアウォール51に転送する。パケットは、例えば、ファイアウォール51で検査された後、宛先であるWebサーバ62に転送される。
図10は、第3の実施の形態の通信シーケンス例を示す第1の図である。ここでは、Webサーバ61により提供されるサービスが信頼できるサービスに指定されており、クライアント41が当該サービスを利用する場合を考える。ただし、クライアント41からのアクセスは、支社LAN31に近いキャッシュサーバ63に誘導される。
クライアント41がWebサーバ61のFQDNを指定したDNS要求を送信すると、当該DNS要求は、本社LAN32を迂回して、支社LAN31に近いDNSサーバ53に転送される。前述のようなキャッシュサービスの方法を用いて、DNSサーバ53は、支社LAN31に近いキャッシュサーバ63のIPアドレスを検索し、当該IPアドレスを含むDNS応答をクライアント41に返信する。
クライアント41は、キャッシュサーバ63のIPアドレスを、DNS要求で指定したFQDNに対応するIPアドレスであると認識し、当該IPアドレスを宛先アドレスとして含むパケットを送信する。クライアント41が送信するこのパケットは、本社LAN32を迂回して、キャッシュサーバ63に転送される。
図11は、第3の実施の形態の通信シーケンス例を示す第2の図である。ここでは、Webサーバ62により提供されるサービスが信頼できるサービスに指定されておらず、クライアント41が当該サービスを利用する場合を考える。ただし、Webサーバ62へのアクセスは、ファイアウォール51で遮断されないものとする。
クライアント41がWebサーバ62のFQDNを指定したDNS要求を送信すると、当該DNS要求は、インターネットVPNおよび本社LAN32を経由して、本社LAN32に近いDNSサーバ54に転送される。DNSサーバ54は、Webサーバ62のIPアドレスを検索し、当該IPアドレスを含むDNS応答を、本社LAN32およびインターネットVPNを経由してクライアント41に返信する。
クライアント41は、DNS応答からWebサーバ62のIPアドレスを抽出し、当該IPアドレスを宛先アドレスとして含むパケットを送信する。クライアント41が送信するこのパケットは、インターネットVPNおよび本社LAN32のファイアウォール51を経由して、Webサーバ62に転送される。
第3の実施の形態の通信システムによれば、サービスの信頼性に応じてパケットの転送経路を変えることが容易になる。ルータ100では、ドメイン名を含むホスト名を用いて信頼できるサービスを指定することができる。よって、IPアドレスのみを用いる場合と異なり、クライアント41,42のアクセスがキャッシュサーバ63,64に誘導され得る場合でも、信頼できるサービスに関するパケットか否か適切に判断できる。
また、ルータ100は、各パケットに対してアプリケーション層のプロトコル処理を行わなくてよく、IP層以下またはTCP層以下のプロトコル処理のみ行うものであってもよい。よって、ルータ100のプロトコル処理の負荷を軽減でき、また、ルータ100として高コストな通信装置を使用しなくてもよい。
また、クライアント41,42からインターネット33へのパケットのうち、信頼できるサービスのパケットはイントラネットのファイアウォール51を迂回し、それ以外のパケットはファイアウォール51を通過するように、転送経路が制御される。よって、クライアント41,42からインターネット33へのパケットの全てをファイアウォール51に転送する場合と比べて、ファイアウォール51の負荷を軽減できる。
[第4の実施の形態]
次に、第4の実施の形態を説明する。第3の実施の形態との差異を中心に説明し、第3の実施の形態と同様の事項については説明を省略する。第4の実施の形態の通信システムは、図3と同様のシステム構成として実現できる。ただし、第3の実施の形態のルータ100に代えて、以下に説明するルータ100aが用いられる。
図12は、第4の実施の形態のソフトウェア構成例を示すブロック図である。ルータ100aは、第3の実施の形態のルータ100のDNS処理部130に代えて、DNS処理部170を有する。DNS処理部170は、リクエスト受付部171、イントラネット転送部172および質問判定部173を有する。
リクエスト受付部171は、クライアント41,42からDNS要求を受け付け、本社LAN32から取得したDNS応答を返信する。イントラネット転送部172は、リクエスト受付部171で受け付けたDNS要求を、本社LAN32のDNSサーバ52に転送し、DNS要求に対するDNS応答をDNSサーバ52から取得する。
質問判定部173は、イントラネット転送部172で取得したDNS応答から、クライアント41,42が指定したFQDN(質問セクションのホスト名)を抽出する。質問判定部173は、抽出したFQDNがFQDNリスト記憶部110に記憶されたFQDNリストに登録されたものか、すなわち、信頼できるサービスのFQDNであるか判断する。質問判定部173は、登録されたFQDNである場合、DNS応答をIPアドレス抽出部140に出力し、それ以外の場合、IPアドレス抽出部140に出力しない。
なお、第4の実施の形態では、DNS要求を本社LAN32のDNSサーバ52に転送するようにしたが、他の所定のDNSサーバに転送するようにしてもよい。
図13は、第4の実施の形態のルータ制御を示すフローチャートである。ここでは、クライアント41がDNS要求を送信した場合を考える。
(ステップS21)リクエスト受付部171は、DNS要求を受け付ける。
(ステップS22)イントラネット転送部172は、DNS要求を本社LAN32のDNSサーバ52に転送する。DNS要求としてのDNSパケットは、ルータ100と本社LAN32との間で、インターネットVPN用にカプセル化されて伝送される。
(ステップS23)イントラネット転送部172は、DNS要求に対応するDNS応答を、本社LAN32のDNSサーバ52から取得する。DNS応答としてのDNSパケットは、DNS要求と同様、インターネットVPN用にカプセル化されて伝送される。
(ステップS24)質問判定部173は、DNS応答からFQDNを抽出し、抽出したFQDNとFQDNリスト記憶部110に記憶されたFQDNリストとを照合する。質問判定部173は、DNS応答から抽出したFQDNがFQDNリストにマッチするか(FQDNリストに登録されているものか)判断する。マッチする場合、信頼できるサービスのFQDNであると判断し、処理をステップS25に進める。マッチしない場合、信頼できるサービスのFQDNではないと判断し、処理をステップS27に進める。
(ステップS25)IPアドレス抽出部140は、DNS応答からIPアドレスを抽出し、信頼できる通信相手のIPアドレスであると判断する。
(ステップS26)IPアドレス抽出部140は、ルーティングテーブル記憶部150に記憶されたルーティングテーブルに、抽出したIPアドレスを登録する。なお、信頼できないFQDNに対応するIPアドレスは、ルーティングテーブルに登録されない。
(ステップS27)リクエスト受付部171は、DNS応答を、DNS要求を送信したクライアント41に転送する。なお、上記のステップS24〜S26の処理とステップS27の処理とは、並列に実行してもよいし、逆順に実行してもよい。
図14は、第4の実施の形態のDNS処理例を示す図である。ここでは、クライアント41がDNSによりアドレス解決を行うとき(DNSフェーズ)を考える。また、ルータ100aのFQDNリスト111に、“*.aaa.bbb”が登録されているとする。
クライアント41が“www.aaa.bbb”を指定したDNS要求を送信すると、ルータ100aは、DNS要求を本社LAN32のDNSサーバ52に転送する。ルータ100aは、DNSサーバ52から、DNS要求で指定されたFQDNと“65.xxx.xxx.131”とを含むDNS応答を受信し、受信したDNS応答をクライアント41に転送する。このとき、ルータ100aは、DNS応答に含まれるFQDNがFQDNリスト111に登録されていることを確認し、当該FQDNを信頼できると判断する。すると、ルータ100aは、DNS応答に含まれるIPアドレスを信頼できると判定し、当該IPアドレスをルーティングテーブル151に登録する。
クライアント41が“www.ccc.ddd”を指定したDNS要求を送信すると、ルータ100aは、DNS要求を本社LAN32のDNSサーバ52に転送する。ルータ100aは、DNSサーバ52から、DNS要求で指定されたFQDNと“74.xxx.xxx.172”とを含むDNS応答を受信し、受信したDNS応答をクライアント41に転送する。このとき、ルータ100aは、DNS応答に含まれるFQDNがFQDNリスト111に登録されていないことを確認し、当該FQDNを信頼できないと判断する。すると、ルータ100aは、DNS応答に含まれるIPアドレスを信頼できないと判定し、当該IPアドレスをルーティングテーブル151に登録しない。
なお、クライアント41が上記のアドレス解決の結果を用いてパケットを送信するとき(パケット転送フェーズ)のルーティングは、第3の実施の形態の図9と同様である。
図15は、第4の実施の形態の通信シーケンス例を示す図である。ここでは、Webサーバ61により提供されるサービスが信頼できるサービスに指定されており、クライアント41が当該サービスを利用する場合を考える。ただし、クライアント41からのアクセスは、本社LAN32に近いキャッシュサーバ64に誘導される。
クライアント41がWebサーバ61のFQDNを指定したDNS要求を送信すると、当該DNS要求は、インターネットVPNおよび本社LAN32のDNSサーバ52を経由して、本社LAN32に近いDNSサーバ54に転送される。前述のようなキャッシュサービスの方法を用いて、DNSサーバ54は、本社LAN32に近いキャッシュサーバ64のIPアドレスを検索し、当該IPアドレスを含むDNS応答を、DNSサーバ52およびインターネットVPNを経由してクライアント41に返信する。
クライアント41は、キャッシュサーバ64のIPアドレスを、DNS要求で指定したFQDNに対応するIPアドレスであると認識し、当該IPアドレスを宛先アドレスとして含むパケットを送信する。クライアント41が送信するこのパケットは、本社LAN32を迂回して、キャッシュサーバ64に転送される。
第4の実施の形態の通信システムによれば、第3の実施の形態と同様、サービスの信頼性に応じてパケットの転送経路を変えることが容易になる。ルータ100aでは、ドメイン名を含むホスト名を用いて信頼できるサービスを指定することができ、信頼できるサービスに関するパケットか否かを適切に判断できる。また、ルータ100aは、ルータ100aのプロトコル処理の負荷を軽減でき、また、ルータ100aとして高コストな通信装置を使用しなくてもよい。また、信頼できるサービスのパケットがファイアウォール51を迂回するように転送経路を制御でき、ファイアウォール51の負荷を軽減できる。
次に、第3および第4の実施の形態と異なる他の通信システムの例を挙げる。
図16は、他の通信シーケンス例を示す図である。
支社LAN31に設けたルータ210が、クライアント41,42からインターネット33へのパケットを、宛先アドレスに関係なく全てファイアウォール51に転送する通信システムが考えられる(A)。この通信システムでは、ルータ210の負荷が軽減される一方、本社LAN32のファイアウォール51の負荷が大きくなってしまう。
また、支社LAN31に、ファイアウォール51と同様の機能をもつファイアウォール220を設け、クライアント41,42からインターネット33へのパケットを、ファイアウォール51に転送せずに処理する通信システムも考えられる(B)。この通信システムでは、ファイアウォール51の負荷が軽減される一方、支社毎にファイアウォール220のような高機能な通信装置を設けることになり、コストの点で不利となる。
図17は、他のパケット転送例を示す図である。
支社LAN31に、レイヤ7のプロトコル処理を行うルータ230を設け、ルータ230が、HTTPセッションなどのレイヤ7のセッションからFQDNを抽出し、FQDNの信頼性に応じてルーティングを行う通信システムが考えられる(A)。この通信システムでは、サービスの信頼性の判断が容易になる一方、ルータ230の負荷が大きくなり、また、支社毎に高機能な通信装置を設けることになるためコストの点で不利となる。
また、支社LAN31に設けたルータ240が、各パケットの宛先アドレスであるIPアドレスを、DNSの逆引き問い合わせによってFQDNに変換し、変換されたFQDNの信頼性に応じて当該パケットのルーティングを行う通信システムが考えられる(B)。この通信システムは、DNSの正引き問い合わせに対しキャッシュサーバのIPアドレスが返される場合のように、正引き問い合わせで指定したFQDNと逆引き問い合わせにより取得されるFQDNとが一致しない場合、転送経路を適切に制御できない。
これに対し、第3および第4の実施の形態の通信システムによれば、前述のように、ルータ100,100aがサービスの信頼性に応じてパケットの転送経路を適切に制御できる。また、本社LAN32のファイアウォール51の負荷を軽減でき、また、ルータ100,100aとして低コストの通信装置を使用できる。
上記については単に本発明の原理を示すものである。更に、多数の変形や変更が当業者にとって可能であり、本発明は上記に示し、説明した正確な構成および応用例に限定されるものではなく、対応する全ての変形例および均等物は、添付の請求項およびその均等物による本発明の範囲とみなされる。
3 クライアント
4,5 ネットワーク
10,20 ネットワーク伝送装置
11,21 記憶部
11a,21a ルーティングテーブル
12,22 制御部
13,23 送信部

Claims (8)

  1. 第1および第2のネットワークに接続されたネットワーク伝送装置におけるルーティング方法であって、
    クライアントから第1の形式のアドレスにより、アドレス解決の問い合わせを受信したとき、前記第1の形式のアドレスに基づき、前記第1のネットワークへの直接のルーティングの可否を判断し、
    前記第1のネットワークへの直接のルーティングが可能と判断した場合は、前記第1のネットワークに前記第1の形式のアドレスのアドレス解決を問い合わせ、前記第1のネットワークへの直接のルーティングが可能と判断しなかった場合は、前記第2のネットワークに前記第1の形式のアドレスのアドレス解決を問い合わせ、
    前記アドレス解決の問い合わせにより前記第1のネットワークまたは前記第2のネットワークより取得した第2の形式のアドレスを含むアドレス回答を、前記クライアントに送信し、
    前記第1のネットワークに前記アドレス解決を問い合わせた場合は、取得した前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットは、前記第2のネットワークを迂回して前記第1のネットワークに転送されるようにルーティングテーブルを設定し、
    前記第2のネットワークに前記アドレス解決を問い合わせた場合は、取得した前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットの少なくとも一部前記第2のネットワークを経由して前記第1のネットワークに転送されるように前記ルーティングテーブルを設定する、
    ルーティング方法。
  2. 前記クライアントから受信するパケットに宛先として含まれる第2の形式のアドレスと前記ルーティングテーブルとに応じて当該パケットを転送する、請求項1記載のルーティング方法。
  3. 1または複数の第1の形式のアドレスを示す情報を記憶する記憶部を参照して、前記アドレス解決の問い合わせで指定された前記第1の形式のアドレスが前記第1のネットワークへの直接のルーティングが可能なアドレスか判断する、請求項1記載のルーティング方法。
  4. 第1および第2のネットワークに接続されたネットワーク伝送装置におけるルーティング方法であって、
    クライアントから第1の形式のアドレスにより、アドレス解決の問い合わせを受信したとき、前記第1の形式のアドレスに基づき、前記第1のネットワークへの直接のルーティングの可否を判断し、
    前記第1のネットワークへの直接のルーティングが可能と判断した場合は、前記第1のネットワークに前記第1の形式のアドレスのアドレス解決を問い合わせ、前記第1のネットワークへの直接のルーティングが可能と判断しなかった場合は、前記第2のネットワークに前記第1の形式のアドレスのアドレス解決を問い合わせ、
    前記アドレス解決の問い合わせにより前記第1のネットワークまたは前記第2のネットワークより取得した第2の形式のアドレスを含むアドレス回答を、前記クライアントに送信し、
    前記第1のネットワークに前記アドレス解決を問い合わせた場合は、取得した前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットは前記第1のネットワークに転送されるようにルーティングテーブルを設定し、
    前記第2のネットワークに前記アドレス解決を問い合わせた場合は、取得した前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットは、前記第1のネットワーク上に形成した仮想ネットワークを経由して前記第2のネットワークに転送されるように前記ルーティングテーブルを設定する、
    ルーティング方法。
  5. 第1および第2のネットワークに接続されたネットワーク伝送装置におけるルーティング方法であって、
    アドレス解決の問い合わせを行ったクライアントに転送される、前記クライアントが指定した第1の形式のアドレスと回答である第2の形式のアドレスとを含むアドレス回答を取得し、
    前記アドレス回答に含まれる前記第1の形式のアドレスに基づき、前記第1のネットワークへの直接のルーティングの可否を判断し、
    前記第1のネットワークへの直接のルーティングが可能と判断した場合は、前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットが前記第1のネットワークに転送されるようにルーティングテーブルを設定し、
    前記第1のネットワークへの直接のルーティングが可能と判断しなかった場合は、前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットが前記第2のネットワークに転送されるように前記ルーティングテーブルを設定する、
    ルーティング方法。
  6. 前記クライアントから受信するパケットに宛先として含まれる第2の形式のアドレスと前記ルーティングテーブルとに応じて当該パケットを転送する、請求項記載のルーティング方法。
  7. 第1および第2のネットワークに接続可能なネットワーク伝送装置であって、
    ルーティングテーブルを記憶する記憶部と、
    クライアントから第1の形式のアドレスによりアドレス解決の問い合わせを受け付けたとき、前記第1の形式のアドレスに基づき前記第1のネットワークへの直接のルーティングの可否を判断し、前記第1のネットワークへの直接のルーティングが可能と判断した場合は前記第1のネットワークに前記第1の形式のアドレスのアドレス解決を問い合わせ、前記第1のネットワークへの直接のルーティングが可能と判断しなかった場合は前記第2のネットワークに前記第1の形式のアドレスのアドレス解決を問い合わせ、前記第1のネットワークまたは前記第2のネットワークから第2の形式のアドレスを含むアドレス回答を取得し、前記第1のネットワークに前記アドレス解決を問い合わせた場合は前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットは前記第2のネットワークを迂回して前記第1のネットワークに転送されるようにルーティングテーブルを設定し、前記第2のネットワークに前記アドレス解決を問い合わせた場合は前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットの少なくとも一部は前記第2のネットワークを経由して前記第1のネットワークに転送されるように前記ルーティングテーブルを設定する制御部と、
    を有するネットワーク伝送装置。
  8. 第1および第2のネットワークに接続可能なネットワーク伝送装置であって、
    ルーティングテーブルを記憶する記憶部と、
    アドレス解決の問い合わせを行ったクライアントに転送される前記クライアントが指定した第1の形式のアドレスと回答である第2の形式のアドレスとを含むアドレス回答を取得し、前記アドレス回答に含まれる前記第1の形式のアドレスに基づき前記第1のネットワークへの直接のルーティングの可否を判断し、前記第1のネットワークへの直接のルーティングが可能と判断した場合は前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットが前記第1のネットワークに転送されるようにルーティングテーブルを設定し、前記第1のネットワークへの直接のルーティングが可能と判断しなかった場合は前記アドレス回答に含まれる前記第2の形式のアドレスを宛先とするパケットが前記第2のネットワークに転送されるように前記ルーティングテーブルを設定する制御部と、
    を有するネットワーク伝送装置。
JP2013542795A 2011-11-11 2011-11-11 ルーティング方法およびネットワーク伝送装置 Active JP5790775B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2011/076116 WO2013069161A1 (ja) 2011-11-11 2011-11-11 ルーティング方法およびネットワーク伝送装置

Publications (2)

Publication Number Publication Date
JPWO2013069161A1 JPWO2013069161A1 (ja) 2015-04-02
JP5790775B2 true JP5790775B2 (ja) 2015-10-07

Family

ID=48288818

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013542795A Active JP5790775B2 (ja) 2011-11-11 2011-11-11 ルーティング方法およびネットワーク伝送装置

Country Status (3)

Country Link
US (2) US9313130B2 (ja)
JP (1) JP5790775B2 (ja)
WO (1) WO2013069161A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5979307B2 (ja) 2013-03-29 2016-08-24 富士通株式会社 通信制御装置,通信制御方法,通信システム,プログラム,記録媒体
US9264400B1 (en) * 2013-12-02 2016-02-16 Trend Micro Incorporated Software defined networking pipe for network traffic inspection
TWI513239B (zh) * 2014-09-03 2015-12-11 Hon Hai Prec Ind Co Ltd 網路設備及其進行路由轉發的方法
US10088328B1 (en) 2016-01-05 2018-10-02 Open Invention Network Llc Navigation application providing supplemental navigation information
US20180077204A1 (en) * 2016-09-15 2018-03-15 Takeru Inoue Information processing terminal, communication system, information processing method, and recording medium
JP7077697B2 (ja) * 2018-03-19 2022-05-31 株式会社リコー 経路制御装置、経路制御方法、およびプログラム
US10742595B2 (en) 2018-04-20 2020-08-11 Pulse Secure, Llc Fully qualified domain name-based traffic control for virtual private network access control
JP6766110B2 (ja) * 2018-09-20 2020-10-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 制御装置、制御方法、及びプログラム
US11115387B2 (en) * 2019-02-04 2021-09-07 Cisco Technology, Inc. Method for policy-driven, classifying, and routing traffic using the domain name system
US11477028B2 (en) 2019-04-15 2022-10-18 Pulse Secure, Llc Preventing account lockout through request throttling
US10798051B1 (en) * 2019-05-23 2020-10-06 At&T Intellectual Property I, L.P. Filtering and organizing process for domain name system query collection
US11057340B2 (en) 2019-07-19 2021-07-06 Vmware, Inc. Per-application split-tunneled UDP proxy
US10992579B2 (en) 2019-07-19 2021-04-27 Vmware, Inc. Per-application split-tunneled proxy
US11190480B2 (en) * 2019-07-19 2021-11-30 Vmware, Inc. Transparently proxying connections based on hostnames
US11929980B1 (en) * 2023-05-22 2024-03-12 Uab 360 It Sharing domain name service resources in a mesh network

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4008049B2 (ja) * 1995-03-20 2007-11-14 富士通株式会社 アドレス送信装置、アドレス送信方法およびアドレス送信システム
US5905872A (en) * 1996-11-05 1999-05-18 At&T Corp. Method of transferring connection management information in world wideweb requests and responses
US6108703A (en) 1998-07-14 2000-08-22 Massachusetts Institute Of Technology Global hosting system
US6324585B1 (en) * 1998-11-19 2001-11-27 Cisco Technology, Inc. Method and apparatus for domain name service request resolution
US6480508B1 (en) * 1999-05-12 2002-11-12 Westell, Inc. Router-based domain name system proxy agent using address translation
US7027582B2 (en) * 2001-07-06 2006-04-11 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for resolving an entity identifier into an internet address using a domain name system (DNS) server and an entity identifier portability database
US20040139170A1 (en) * 2003-01-15 2004-07-15 Ming-Teh Shen Method and apparatus for management of shared wide area network connections
JP3896361B2 (ja) * 2004-02-12 2007-03-22 株式会社東芝 通信経路設定装置、通信経路設定方法および通信経路設定プログラム
US7620732B2 (en) * 2003-11-18 2009-11-17 Kabushiki Kaisha Toshiba Apparatus for and method of setting communication path
JP3902597B2 (ja) 2004-02-03 2007-04-11 Necアクセステクニカ株式会社 ルータ及びスタティックドメインネームルーティング
JP2007526689A (ja) * 2004-02-19 2007-09-13 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 第1のコンピュータ・ネットワークから第2のコンピュータ・ネットワークへの通信セッションの起動
US20060031394A1 (en) * 2004-04-20 2006-02-09 Tazuma Stanley K Apparatus and methods for transparent handling of browser proxy configurations in a network gateway device
US20060059551A1 (en) 2004-09-13 2006-03-16 Utstarcom Inc. Dynamic firewall capabilities for wireless access gateways
US7730187B2 (en) * 2006-10-05 2010-06-01 Limelight Networks, Inc. Remote domain name service
US8935748B2 (en) * 2007-10-31 2015-01-13 Microsoft Corporation Secure DNS query
JP4931881B2 (ja) 2008-08-13 2012-05-16 日本電信電話株式会社 ホワイトリストを利用したサーバ割り当てシステムおよびその方法
US8910270B2 (en) * 2009-01-20 2014-12-09 Microsoft Corporation Remote access to private network resources from outside the network
US8103795B2 (en) * 2009-07-09 2012-01-24 International Business Machines Corporation TCP/IP host name resolution on a private network
US8966033B2 (en) * 2009-08-17 2015-02-24 At&T Intellectual Property I, L.P. Integrated proximity routing for content distribution
CN102014482A (zh) * 2009-09-04 2011-04-13 株式会社日立制作所 无线通信系统和方法
TWI388165B (zh) * 2009-11-02 2013-03-01 Ind Tech Res Inst 無線通訊系統、其封包交換的繞送方法、使用該繞送方法的室內基地台
US8560598B2 (en) * 2009-12-22 2013-10-15 At&T Intellectual Property I, L.P. Integrated adaptive anycast for content distribution
US9628439B2 (en) * 2010-08-12 2017-04-18 Donald E. Eastlake, III Systems and methods for managing network address information
US8694642B2 (en) * 2010-10-21 2014-04-08 Opendns, Inc. Selective proxying in domain name systems
US20120173760A1 (en) * 2010-12-30 2012-07-05 International Business Machines Corporation Domain name resolution for a hybrid cloud cluster
US9059884B2 (en) * 2011-01-20 2015-06-16 Openwave Mobility, Inc. Routing of IP traffic directed at domain names using DNS redirection
US9319377B2 (en) * 2011-10-26 2016-04-19 Hewlett-Packard Development Company, L.P. Auto-split DNS
US9515988B2 (en) * 2011-10-26 2016-12-06 Aruba Networks, Inc. Device and method for split DNS communications

Also Published As

Publication number Publication date
JPWO2013069161A1 (ja) 2015-04-02
US20160191387A1 (en) 2016-06-30
US10009271B2 (en) 2018-06-26
US20140211807A1 (en) 2014-07-31
WO2013069161A1 (ja) 2013-05-16
US9313130B2 (en) 2016-04-12

Similar Documents

Publication Publication Date Title
JP5790775B2 (ja) ルーティング方法およびネットワーク伝送装置
US7228359B1 (en) Methods and apparatus for providing domain name service based on a client identifier
US6857009B1 (en) System and method for network access without reconfiguration
US7624142B2 (en) System and method for processing packets according to user specified rules governed by a syntax
US8898331B2 (en) Method, network and computer program for processing a content request
US8090843B2 (en) Creating a public identity for an entity on a network
JP4902635B2 (ja) 接続転送
US20050229243A1 (en) Method and system for providing Web browsing through a firewall in a peer to peer network
US10069792B2 (en) Geolocation via internet protocol
EP2357570A1 (en) System and method for network access without reconfiguration
US20170034174A1 (en) Method for providing access to a web server
US20090254658A1 (en) Access control device, and access control method
US7072979B1 (en) Wide area load balancing of web traffic
JP2004080487A (ja) パケット転送装置、パケット転送方法解決サーバ、dnsサーバ、ネットワークシステム及びプログラム
US7305479B1 (en) Methods and apparatus for delivery of content requests within a content delivery network
JP2011077804A (ja) 通信装置およびその通信方法
JP2011077804A5 (ja)
US7564848B2 (en) Method for the establishing of connections in a communication system
JP6007644B2 (ja) 通信装置、プログラムおよびルーティング方法
WO2017097092A1 (zh) 缓存集群服务的处理方法及系统
US6981056B1 (en) Wide area load balancing of web traffic
US20100023620A1 (en) Access controller
JP5488094B2 (ja) 通信装置、ネットワークアクセス方法およびコンピュータプログラム
RU2706866C1 (ru) Способы, устройства, машиночитаемые носители и системы для установления сертифицированных соединений с терминалами в локальной сети
JP5137201B2 (ja) ユーザ認証型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150414

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150615

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150707

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150720

R150 Certificate of patent or registration of utility model

Ref document number: 5790775

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150