JP5986044B2 - Network system, communication control method, communication control apparatus, and program - Google Patents
Network system, communication control method, communication control apparatus, and program Download PDFInfo
- Publication number
- JP5986044B2 JP5986044B2 JP2013139224A JP2013139224A JP5986044B2 JP 5986044 B2 JP5986044 B2 JP 5986044B2 JP 2013139224 A JP2013139224 A JP 2013139224A JP 2013139224 A JP2013139224 A JP 2013139224A JP 5986044 B2 JP5986044 B2 JP 5986044B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- communication data
- processing unit
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 1083
- 238000000034 method Methods 0.000 title claims description 24
- 238000012545 processing Methods 0.000 claims description 260
- 238000012546 transfer Methods 0.000 claims description 103
- 230000005641 tunneling Effects 0.000 claims description 31
- 230000006870 function Effects 0.000 description 65
- 238000005538 encapsulation Methods 0.000 description 51
- 238000010586 diagram Methods 0.000 description 39
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 26
- 230000005856 abnormality Effects 0.000 description 21
- 230000005540 biological transmission Effects 0.000 description 21
- 239000002775 capsule Substances 0.000 description 14
- 238000001914 filtration Methods 0.000 description 11
- 101150080773 tap-1 gene Proteins 0.000 description 11
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 102100022210 COX assembly mitochondrial protein 2 homolog Human genes 0.000 description 1
- 101000900446 Homo sapiens COX assembly mitochondrial protein 2 homolog Proteins 0.000 description 1
- 101000826116 Homo sapiens Single-stranded DNA-binding protein 3 Proteins 0.000 description 1
- 102100023008 Single-stranded DNA-binding protein 3 Human genes 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークシステム、通信制御方法、通信制御装置、およびプログラムに関する。 The present invention relates to a network system, a communication control method, a communication control apparatus, and a program.
従来、ユーザ宅において、PC(Personal Computer)等のIP(Internet Protocol)装置や、家電製品やセンサ装置などの非IP装置が接続されたホームネットワーク(HNW:Home NetWork)の構築が普及している。このようなHNWは、一般的に同一セグメントのLAN(Local Area Network)で構築され、IPブロードキャストやIPマルチキャストによって接続機器を発見するUPnP(Universal Plug and Play)や、DLNA(Digital Living Network Alliance)などを容易に適用させることができる。 2. Description of the Related Art Conventionally, construction of a home network (HNW: Home Network) in which an IP (Internet Protocol) device such as a PC (Personal Computer) or a non-IP device such as a home appliance or a sensor device is connected is popular in a user's home. . Such an HNW is generally constructed by a LAN (Local Area Network) of the same segment, and UPnP (Universal Plug and Play) for discovering connected devices by IP broadcast or IP multicast, DLNA (Digital Living Network Alliance), etc. Can be easily applied.
さらに、近年、HNWにおける新たなサービスを実現するためにHGW(Home Gateway)が利用されている。例えば、HGWは、OSGi(Open Services Gateway initiative)等を利用した制御プログラムが組み込まれ、HNW上の家電製品やセンサ装置を制御するサービスを実現する。これにより、ユーザ又はサービス提供者は、遠隔からHNW上の装置を制御することができるようになる。 Further, in recent years, HGW (Home Gateway) is used to realize a new service in HNW. For example, the HGW incorporates a control program using OSGi (Open Services Gateway initiative) or the like, and realizes a service for controlling home appliances and sensor devices on the HNW. As a result, the user or service provider can remotely control the device on the HNW.
しかしながら、HNWによって提供されるサービスは、年々、高性能化、多機能化されており、提供されるサービスの数も増加している。そのため、HGWに求められるハード・ソフトの性能や機能の要求条件が年々高まっている。HGWは、1つの装置として構成され、ユーザ宅に設置される場合が多い。そのため、設置されているHGWが高い要求条件に対応できなければ、ユーザは、要求条件を満たすスペックを備えたHGWに交換する必要があり、ユーザにとって大きな負担となってしまう。 However, the services provided by the HNW are becoming more sophisticated and multifunctional year by year, and the number of services provided is also increasing. For this reason, requirements for hardware and software performance and functions required for the HGW are increasing year by year. The HGW is often configured as a single device and installed in a user's home. For this reason, if the installed HGW cannot cope with high requirements, the user needs to replace the HGW with specifications that satisfy the requirements, which is a heavy burden on the user.
そのような問題を解決するための技術として、例えば下記非特許文献1には、HNW内の非IP装置(例えば、家電装置やセンサ装置など)の処理及び制御をユーザ宅内のHGWに実行させず、インターネットを介して接続されたクラウド側でプロトコル変換などを実行させる技術が開示されている。かかる技術は、上述した構成により、HNWに提供されるHGWの機能や性能に関するリソースを容易に拡充することができ、HNWに対して種々のサービスを提供することができる。
As a technique for solving such a problem, for example, in Non-Patent
しかしながら、上述した従来技術では、ユーザがHNWを十分に利用できない場合があった。 However, in the conventional technology described above, there are cases where the user cannot sufficiently use the HNW.
そこで、本願に係る技術は、上述した従来技術の問題に鑑みてなされたものであって、ユーザがHNWを十分に利用することを可能にすることを目的とする。 Therefore, the technology according to the present application has been made in view of the above-described problems of the conventional technology, and an object thereof is to allow a user to fully use the HNW.
上述した課題を解決し、目的を達成するため、本願に係るネットワークシステムは、例えば、第1の外部ネットワークと通信可能な、第1のネットワーク内の第1の通信制御装置と、少なくとも第2の外部ネットワークと通信可能な、第2のネットワーク内の第2の通信制御装置とを備えるネットワークシステムであって、前記第1の通信制御装置は、前記第1のネットワーク内の機器が前記第1の外部ネットワークを介して通信可能な機器との間で送受信する通信データを中継し、前記第1のネットワーク内の機器が前記第2のネットワーク内の機器または前記第2の外部ネットワークを介して通信可能な機器との間で送受信する通信データを、前記第2の通信制御装置との間に設定した仮想的な通信路を介して中継し、前記第2の通信制御装置は、前記第2のネットワーク内の機器が前記第2の外部ネットワークを介して通信可能な機器との間で送受信する通信データを中継し、前記第2のネットワーク内の機器が前記第1のネットワーク内の機器または前記第1の外部ネットワークを介して通信可能な機器との間で送受信する通信データを、前記第1の通信制御装置との間に設定した前記通信路を介して中継することを特徴とする。 In order to solve the above-described problems and achieve the object, a network system according to the present application includes, for example, a first communication control device in a first network capable of communicating with a first external network, and at least a second A network system comprising a second communication control device in a second network capable of communicating with an external network, wherein the first communication control device is configured such that a device in the first network is the first communication device. Relays communication data to and from devices that can communicate via an external network so that devices in the first network can communicate via devices in the second network or the second external network Communication data to be transmitted / received to / from a remote device is relayed via a virtual communication path set between the second communication control device and the second communication control device. The apparatus relays communication data transmitted and received between devices in the second network and devices capable of communicating via the second external network, and the devices in the second network are connected to the first network. Relaying communication data transmitted / received to / from a device in the network or a device communicable via the first external network via the communication path set with the first communication control device. It is characterized by.
本発明によれば、ユーザがHNWを十分に活用することができる。 According to the present invention, the user can fully utilize the HNW.
(第1の実施形態)
まず、本発明の第1の実施形態について、図面を参照しながら説明する。
(First embodiment)
First, a first embodiment of the present invention will be described with reference to the drawings.
図1は、第1の実施形態におけるネットワークシステム1の構成の一例を示すシステム構成図である。ネットワークシステム1は、例えば図1に示すように、ユーザ宅内に構築されたホームネットワーク(RHNW:Real Home Network)2と、データセンタ(DC:Data Center)13内に設けられた複数のVHNW(Virtual Home Network)3−1,2,3・・・とを有する。
FIG. 1 is a system configuration diagram illustrating an example of a configuration of a
DC13内に設けられたそれぞれのVHNW3は、それぞれのユーザ宅毎に構築される。ユーザ宅のRHNW2に設けられたHGW22は、IPv6インターネットGWの機能を有し、IPv6のアクセス網10を介して、当該ユーザ宅に割り当てられたVHNW3内のVHGW(Virtual Home Gateway)32と接続される。それぞれのVHNW3内のVHGW32は、IPv4インターネットGWの機能を有する。また、それぞれのVHNW3内のVHGW32は、IPv6インターネットGWの機能、または、IPv6アクセス網との間で通信を行う機能のうち、少なくともいずれかの機能を有する。
Each VHNW 3 provided in the
RHNW2には、HGW22の他、通信制御装置200および1つ以上の機器21(機器21−1,2)が接続される。それぞれの機器21−1や2は、例えばエアコンや、テレビ、PC等の情報家電機器である。また、それぞれのVHNW3には、VHGW32の他、通信制御装置300および1つ以上の機器31が接続される。機器31は、例えば、仮想ストレージサーバや、RHNW2内のそれぞれの機器21の動作を管理する仮想アプリケーションサーバ等である。
In addition to the
DC13内に設けられている機器31は、仮想化技術を用いて、物理的な計算機リソースが各ユーザに割り当てられることにより実現される。そのため、ユーザの要求があった場合、計算機リソースの増減や機能の追加等は、DC13内に設けられた豊富な物理リソースを用いて容易に行うことができる。
The
また、RHNW2内の通信制御装置200と、対応するVHNW3内の通信制御装置300とは、対向する終端装置として仮想的な通信路11を設定する。当該仮想的な通信路11は、例えばL2−VPN(Layer 2 − Virtual Private Network)の技術を用いて設定される。RHNW2とVHNW3とが、通信制御装置200および通信制御装置300を介して、レイヤ2でトンネル接続されることにより、RHNW2とVHNW3とが同一セグメントに属することになる。これにより、ユーザ宅内のRHNW2と、遠隔拠点にあるDC13内のVHNW3とは、同一セグメントのHNW100として利用することができる。
Further, the
また、RHNW2内の機器21とVHNW3内の機器31とが通信する場合、その通信データはアクセス網10やインターネット網を通過することになる。アクセス網10やインターネット網は、オープンネットワークである場合があるため、通信データがアクセス網10やインターネット網を通過する場合、漏えいや改ざん等のセキュリティ上の脅威にさらされる。そこで、本実施形態におけるネットワークシステム1では、RHNW2とVHNW3の間に、通信制御装置200および通信制御装置300を終端とするVPNを設定し、VPNを介して通信データを送受信する。これにより、アクセス網10やインターネット網を介して構築されたHNW100内の通信のセキュリティを高めることができる。
When the
なお、通信制御装置200は、例えばレイヤ2トンネルを終端するために1つのIPv6アドレスを持つ以外は、レイヤ2スイッチおよびパケットフィルタとして動作する。また、通信制御装置200はIPv6を用いてレイヤ2トンネル通信を行うと同時に、RHNW2およびDC13内のVHNW3のMAC(Media Access Control layer)層ブロードキャストドメイン内にある機器とIPv6インターネット間の通信をレイヤ2スイッチとして通過させる。これにより、MAC層ブロードキャストドメイン内にある機器等が、RHNW2内のHGW22経由でIPv6インターネットと通信することが可能となる。
Note that the
また、通信制御装置200は、HGW22とMAC層ブロードキャストドメイン内にある機器等との間のIPv4による通信を遮断し、IPv4インターネットの通信がRHNW2内のHGW22経由で行われることを防ぐ。これにより、IPv4インターネットとの通信は、DC13内のVHNW3に設けられたVHGW32経由で行われる。
Further, the
次に、RHNW2内に設けられた通信制御装置200の詳細について説明する。図2は、第1の実施形態における通信制御装置200の機能構成の一例を示すブロック図である。本実施形態における通信制御装置200は、例えば図2に示すように、LAN通信部201、トンネリング処理部202、判別部203、転送処理部204、およびWAN通信部205を有する。
Next, details of the
LAN通信部201は、RHNW2内の機器21から通信データを受信した場合に、受信した通信データを転送処理部204へ送る。また、LAN通信部201は、転送処理部204から通信データを受け取った場合に、受け取った通信データをRHNW2内の機器21へ送信する。
When receiving communication data from the
WAN通信部205は、トンネリング処理部202または転送処理部204から通信データを受け取った場合に、受け取った通信データをHGW22へ送信する。また、WAN通信部205は、HGW22から通信データを受信した場合に、受信した通信データがカプセル化されていれば、当該通信データをトンネリング処理部202へ送る。一方、受信した通信データがカプセル化されていなければ、WAN通信部205は、受信した通信データを転送処理部204へ送る。
When the
判別部203は、転送処理部204が通信データを受け取った場合に、当該通信データのヘッダに含まれている情報を判別し、当該通信データのカプセル化またはデカプセル化の必要性の有無および出力先を判断する。
When the
トンネリング処理部202は、WAN通信部205からカプセル化された通信データを受け取った場合に、当該通信データについてデカプセル化し、デカプセル化した通信データを転送処理部204へ送る。また、転送処理部204からカプセル化されていない通信データを受け取った場合、トンネリング処理部202は、当該通信データについてカプセル化の処理を施し、処理後の通信データをWAN通信部205へ送る。
When receiving the encapsulated communication data from the
なお、本実施形態において、トンネリング処理部202は、カプセル化の処理に加えて暗号化の処理を行い、デカプセル化の処理に加えて復号化の処理も行う。これにより、本実施形態のトンネリング処理部202は、対向する通信制御装置300との間でL2−VPNの通信路11を設定する。
In the present embodiment, the
転送処理部204は、LAN通信部201またはWAN通信部205から通信データを受け取った場合に、判別部203によってカプセル化が必要と判断されていれば、当該通信データをトンネリング処理部202へ送る。一方、LAN通信部201またはWAN通信部205から受け取った通信データについて、判別部203によってカプセル化が不要と判断されていれば、転送処理部204は、当該通信データをLAN通信部201またはWAN通信部205のうち、判別部203が判断した出力先へ送る。転送処理部204は、トンネリング処理部202から通信データを受け取った場合に、受け取った通信データを、LAN通信部201またはWAN通信部205のうち、判別部203が決定した出力先へ送る。
When the
図3は、第1の実施形態における通信制御装置200のハードウェア構成の一例を概念的に示す。本実施形態における通信制御装置200は、L2−VPN処理部210、Bridge211、Eth0、Eth1、およびEth2を有する。Bridge211はソフトウェアスイッチ、Eth0〜2は物理ネットワークインターフェイスであり、Tap0は、Bridge211に設けられる仮想的なインターフェイスである。
FIG. 3 conceptually shows an example of the hardware configuration of the
なお、LAN通信部201の機能は、例えばEth2により実現され、トンネリング処理部202の機能は、例えばL2−VPN処理部210により実現され、判別部203および転送処理部204の機能は、例えばBridge211により実現され、WAN通信部205の機能は、例えばEth0およびEth1により実現される。
Note that the function of the
Eth2は、RHNW2内のLANにケーブル等を介して接続される物理インターフェイスである。Eth0およびEth1は、ケーブル等を介してHGW22に接続される物理インターフェイスである。また、Eth0には、アクセス網10やインターネット網で用いられるIPv6グローバルアドレスが割り当てられ、アクセス網10やインターネット網を介して受信する通信データの中で、当該アドレス宛て以外の通信データを遮断するIPフィルタリングの機能が設けられる。また、Eth1には、IPv4の通信データを全て遮断するIPフィルタリングの機能が設けられる。
Eth2 is a physical interface connected to the LAN in the RHNW2 via a cable or the like. Eth0 and Eth1 are physical interfaces connected to the
なお、本実施形態において、通信制御装置200は、HGW22に接続されるWAN側のインターフェイスとして2つの物理的なインターフェイス(Eth0およびEth1)を有するが、本発明はこれに限られず、Eth0およびEth1の機能を1つの仮想スイッチで構成して、1つの物理インターフェイスでHGW22に接続されてもよい。
In the present embodiment, the
L2−VPN処理部210は、対向する通信制御装置300内のL2−VPN装置との間でL2−VPNの通信路11を設定する。なお、Eth0には、HGW22のRA(Router Advertisement)等から取得したIPv6グローバルアドレスが割り当てられ、L2−VPN処理部210は、このアドレスを用いて、対向する通信制御装置300内のL2−VPN装置との間で設定されたL2−VPNの通信路11を終端する。
The L2-
L2−VPN処理部210の具体的な処理としては、例えば、Tap0を介して通信データを受け付けた場合に、L2−VPN処理部210は、受け付けた通信データについてカプセル化および暗号化の処理を行う。そして、L2−VPN処理部210は、カプセル化および暗号化の処理を行った通信データを、Eth0を介してHGW22へ送信する。また、L2−VPN処理部210は、Eth0を介して通信データを受け付けた場合に、受け付けた通信データについてデカプセル化および復号化の処理を行う。そして、L2−VPN処理部210は、デカプセル化および復号化の処理を行った通信データを、Tap0を介してBridge211へ送る。
As specific processing of the L2-
なお、本実施形態において、L2−VPN処理部210はブリッジモードで動作し、IPルーティングは行わない。また、L2−VPN処理部210は、L2−VPNの手順に従ってレイヤ2トンネルを設定した後、Tap0に到着したイーサネット(登録商標)フレームを全てカプセル化してDC13側の対向L2−VPN装置へ転送する。また、L2−VPN処理部210は、DC13側の対向L2−VPN装置から届いたパケットからイーサネットフレームを取り出し、Tap0へ転送する。また、Bridge211は、レイヤ2スイッチとして機能し、MACアドレスを学習してイーサネットフレームの転送を行う。
In this embodiment, the L2-
図4は、第1の実施形態において通信制御装置200によって転送される通信データの経路の一例をまとめた表である。本実施形態の通信制御装置200が有するBridge211のMACアドレス学習機能、および、Eth1のIPフィルタリング機能により、通信データは、例えば図4に示すような経路で転送される。なお、図4において、入力ポートにある「Tap*(Eth*)」の記載は、Eth*を介して受信した通信データが、Tap*から入力されることを示しており、出力ポートにある「Tap*(Eth*)」の記載は、Tap*から出力した通信データが、Eth*を介して送信されることを示している。
FIG. 4 is a table summarizing examples of paths of communication data transferred by the
例えば、宛先MACアドレスが「機器21」であれば、Bridge211は、MACアドレス学習機能により、受け取った通信データをEth2から出力する。図4の1行目には、このときの転送経路が示されている。図4の1行目は、例えばRHNW2内の機器21同士の通信における通信データの転送経路を示している。
For example, if the destination MAC address is “
また、宛先MACアドレスが「HGW22」であれば、Bridge211は、MACアドレス学習機能により、受け取った通信データをEth1から出力する。図4の2行目には、このときの転送経路が示されている。図4の2行目は、例えばRHNW2内の機器21とHGW22との通信、または、RHNW2内の機器21によるHGW22を介したIPv6インターネット通信における通信データの転送経路を示している。
If the destination MAC address is “HGW22”, the
また、宛先MACアドレスが「機器31」であれば、Bridge211は、MACアドレス学習機能により、受け取った通信データをTap0から出力する。図4の4行目には、このときの転送経路が示されている。Tap0へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化が施され、Eth0を介してHGW22へ出力される。図4の4行目は、例えばRHNW2内の機器21とVHNW3内の機器31との同一セグメント内通信における通信データの転送経路を示している。
If the destination MAC address is “
また、宛先MACアドレスが「VHGW32」であれば、Bridge211は、MACアドレス学習機能により、受け取った通信データをTap0から出力する。図4の6行目には、このときの転送経路が示されている。図4の6行目は、例えばRHNW2内の機器21とVHNW3内のVHGW32との通信、または、RHNW2内の機器21による、VHNW3内のVHGW32を介したIPv4インターネット通信における通信データの転送経路を示している。なお、本実施形態では、RHNW2内の機器21によるIPv4インターネット通信は、RHNW2内のHGW22ではなく、VHNW3内のVHGW32を経由して行われる。
If the destination MAC address is “VHGW32”,
また、宛先MACアドレスが「機器31」であれば、Bridge211は、MACアドレス学習機能により、受け取った通信データをTap0から出力する。図4の8行目には、このときの転送経路が示されている。図4の8行目は、例えばVHNW3内の機器31とRHNW2内のHGW22との通信、または、VHNW3内の機器31による、RHNW2内のHGW22を介したIPv6インターネット通信における通信データの転送経路を示している。なお、本実施形態では、VHNW3内の機器31によるIPv6インターネット通信は、VHNW3内のVHGW32ではなく、RHNW2内のHGW22を経由して行われる。
If the destination MAC address is “
なお、Bridge211は、宛先MACアドレスがMACアドレステーブルにない通信データに対しては、MACアドレス学習をして適切なインターフェイスから出力する。その他の通信経路を制御するため、例えば、Bridge211は、IPv6アドレスを持たないWAN側のインターフェイス(Eth1)において、インバウンド/アウトバウンド双方向のIPv4トラフィックやアウトバンドからのARPを全てドロップする。また、Bridge211は、IPv6フィルタ機能を用いて、Eth0をMACアドレスのソースとするイーサフレーム全てをEth1でドロップする。これにより、通信データは図4に記載のような経路をとるよう制御されることとなる。
Note that
なお、通信制御装置200は、トンネル終端アドレスをHGW22からのRAによるIPv6ステートレスアドレス自動設定または静的設定によって取得する。トンネル終端アドレスはRHNW2内の他のIPv6機器が取得するIPv6アドレスの同じプレフィクスを持つ(すなわち同じサブネットに属する)。
The
また、トンネル終端アドレスからのパケットがHGW22のLAN側のレイヤ2スイッチを経由して通信制御装置200のIPv6アドレスを持たないWAN側のインターフェース(Eth1)に入るとループが発生するため、当該インタフェース(Eth1)において送信元のMACアドレスがEth0であるトラフィック全てをフィルタリングしてループを防止する。
In addition, when a packet from the tunnel end address enters the WAN-side interface (Eth1) that does not have the IPv6 address of the
また、本実施形態のネットワークシステム1では、IPv4およびIPv6アドレスを用いて通信を行う機器21はRHNW2内においては全て通信制御装置200のLAN側インタフェース(Eth2)に接続されなければならない。もしHGW22のLAN側インターフェイスと通信制御装置200のEth1との間に機器21が接続された場合には、その機器21は、DHCPでIPv4アドレスが払出されないため、IPv4通信を行うことができなくなる。また、RHNW2内の機器21は、VHNW3内にあるVHGW32からのレイヤ2トンネルを経由するDHCPアドレス自動設定または静的設定によって、IPv4アドレスを取得する。以上の通り説明した、各インターフェイスでのフィルタリングは、Bridge211ではなく直接各インターフェイスに設定されるものであってもよい。
In the
次に、VHNW3内に設けられた通信制御装置300の詳細について説明する。図5は、第1の実施形態における通信制御装置300の機能構成の一例を示すブロック図である。本実施形態における通信制御装置300は、例えば図5に示すように、LAN通信部301、トンネリング処理部302、判別部303、転送処理部304、およびWAN通信部305を有する。
Next, details of the
LAN通信部301は、VHNW3内の機器31から通信データを受信した場合に、受信した通信データを転送処理部304へ送る。また、LAN通信部301は、転送処理部304から通信データを受け取った場合に、受け取った通信データをVHNW3内の機器31へ送信する。
When the
WAN通信部305は、トンネリング処理部302または転送処理部304から通信データを受け取った場合に、受け取った通信データをVHGW32へ送信する。また、WAN通信部305は、VHGW32から通信データを受信した場合に、受信した通信データがカプセル化されていれば、当該通信データをトンネリング処理部302へ送る。一方、受信した通信データがカプセル化されていなければ、WAN通信部305は、受信した通信データを転送処理部304へ送る。
When the
判別部303は、転送処理部304が通信データを受け取った場合に、当該通信データのヘッダに含まれている情報を判別し、当該通信データのカプセル化またはデカプセル化の必要性の有無および出力先を判断する。
When the
トンネリング処理部302は、WAN通信部305からカプセル化された通信データを受け取った場合に、当該通信データについてデカプセル化し、デカプセル化した通信データを転送処理部304へ送る。また、転送処理部304からカプセル化されていない通信データを受け取った場合、トンネリング処理部302は、当該通信データについてカプセル化の処理を施し、処理後の通信データをWAN通信部305へ送る。
When the
なお、本実施形態において、トンネリング処理部302は、カプセル化の処理に加えて暗号化の処理を行い、デカプセル化の処理に加えて復号化の処理も行う。これにより、本実施形態のトンネリング処理部302は、対向する通信制御装置200内のトンネリング処理部202との間でL2−VPNの通信路11を設定する。
In the present embodiment, the
転送処理部304は、LAN通信部301またはWAN通信部305から通信データを受け取った場合に、判別部303によってカプセル化が必要と判断されていれば、当該通信データをトンネリング処理部302へ送る。一方、LAN通信部301またはWAN通信部305から受け取った通信データについて、判別部303によってカプセル化が不要と判断されていれば、転送処理部304は、当該通信データをLAN通信部301またはWAN通信部305のうち、判別部303が判断した出力先へ送る。転送処理部304は、トンネリング処理部302から通信データを受け取った場合に、受け取った通信データを、LAN通信部301またはWAN通信部305のうち、判別部303が決定した出力先へ送る。
When the
図6は、第1の実施形態における通信制御装置300のハードウェア構成の一例を概念的に示す。本実施形態における通信制御装置300は、L2−VPN処理部310、Bridge311、Eth00、Eth01、およびEth02を有する。Tap00は、Bridge311に設けられた仮想的なインターフェイスである。また、Eth00には、アクセス網10やインターネット網で用いられるIPv6グローバルアドレスが割り当てられ、アクセス網10やインターネット網を介して受信する通信データの中で、当該アドレス宛て以外の通信データを遮断するIPフィルタリングの機能が設けられる。また、Eth01には、IPv6の通信データを全て遮断するIPフィルタリングの機能が設けられる。
FIG. 6 conceptually shows an example of the hardware configuration of the
なお、LAN通信部301の機能は、例えばEth02により実現され、トンネリング処理部302の機能は、例えばL2−VPN処理部310により実現され、判別部303および転送処理部304の機能は、例えばBridge311により実現され、WAN通信部305の機能は、例えばEth00およびEth01により実現される。
Note that the function of the
Eth02は、VHNW3内のLANにケーブル等を介して接続される物理インターフェイスである。Eth00およびEth01は、ケーブル等を介してVHGW32に接続される物理インターフェイスである。
Eth02 is a physical interface connected to the LAN in VHNW3 via a cable or the like. Eth00 and Eth01 are physical interfaces connected to the
L2−VPN処理部310は、対向する通信制御装置200内のL2−VPN処理部210との間でL2−VPNの通信路11を設定する。なお、Eth00には、VHGW32のRA等から取得したIPv6グローバルアドレスが割り当てられ、L2−VPN処理部310は、このアドレスを用いて、対向するL2−VPN処理部210との間で設定したL2−VPNの通信路11を終端する。
The L2-
L2−VPN処理部310の具体的な処理としては、例えば、Tap00を介して通信データを受け付けた場合に、受け付けた通信データについてカプセル化および暗号化の処理を行う。そして、L2−VPN処理部310は、カプセル化および暗号化の処理を行った通信データを、Eth00を介してVHGW32へ送信する。また、L2−VPN処理部310は、Eth00を介して通信データを受け付けた場合に、受け付けた通信データについてデカプセル化および復号化の処理を行う。そして、L2−VPN処理部310は、デカプセル化および復号化の処理を行った通信データを、Tap00を介してBridge311へ送る。
As specific processing of the L2-
なお、本実施形態において、L2−VPN処理部310はブリッジモードで動作し、IPルーティングは行わない。また、L2−VPN処理部310は、トンネル終端アドレスへのパケットのみをリスンし、L2−VPNの手順に従ってレイヤ2トンネルを設定した後、Tap00に到着したイーサネットフレームを全てカプセル化してRHNW2側のL2−VPN処理部210へ転送する。また、L2−VPN処理部310は、RHNW2側のL2−VPN処理部210から届いたパケットからイーサネットフレームを取り出し、Tap00へ転送する。
In this embodiment, the L2-
図7は、第1の実施形態において通信制御装置300によって転送される通信データの経路の一例をまとめた表である。本実施形態の通信制御装置300が有するBridge311のMACアドレス学習機能、および、Eth01のIPフィルタリング機能により、通信データは、例えば図7に示すような経路で転送される。なお、図7において、入力ポートにある「Tap**(Eth**)」の記載は、Eth**を介して受信した通信データが、Tap**から入力されることを示しており、出力ポートにある「Tap**(Eth**)」の記載は、Tap**から出力した通信データが、Eth**を介して送信されることを示している。
FIG. 7 is a table summarizing examples of paths of communication data transferred by the
例えば、宛先MACアドレスが「機器31」であれば、Bridge311は、MACアドレス学習機能により、受け取った通信データをEth02から出力する。図7の1行目には、このときの転送経路が示されている。図7の1行目は、例えばVHNW3内の機器31同士の通信における通信データの転送経路を示している。
For example, if the destination MAC address is “
また、宛先MACアドレスが「VHGW32」であれば、Bridge311は、MACアドレス学習機能により、受け取った通信データをEth01から出力する。図7の2行目には、このときの転送経路が示されている。図7の2行目は、例えばVHNW3内の機器31とVHGW32との通信、または、VHNW3内の機器31によるVHGW32を介したIPv4インターネット通信における通信データの転送経路を示している。
If the destination MAC address is “VHGW32”, the
また、宛先MACアドレスが「機器21」であれば、Bridge311は、MACアドレス学習機能により、受け取った通信データをTap00へ出力する。図7の4行目には、このときの転送経路が示されている。Tap00へ出力された通信データは、L2−VPN処理部310によりカプセル化および暗号化が施され、Eth00を介してVHGW32へ出力される。図7の4行目は、例えばVHNW3内の機器31とRHNW2内の機器21との同一セグメント内通信における通信データの転送経路を示している。
If the destination MAC address is “
また、宛先MACアドレスが「HGW22」であれば、Bridge311は、MACアドレス学習機能により、受け取った通信データをTap00へ出力する。図7の6行目には、このときの転送経路が示されている。図7の6行目は、例えばVHNW3内の機器31とRHNW2内のHGW22との通信、または、VHNW3内の機器31による、RHNW2内のHGW22を介したIPv6インターネット通信における通信データの転送経路を示している。
If the destination MAC address is “HGW22”, the
また、宛先MACアドレスが「機器21」であれば、Bridge311は、MACアドレス学習機能により、受け取った通信データをTap00へ出力する。図7の8行目には、このときの転送経路が示されている。図7の8行目は、例えばRHNW2内の機器21とVHNW3内のVHGW32との通信、または、RHNW2内の機器21による、VHNW3内のVHGW32を介したIPv4インターネット通信における通信データの転送経路を示している。
If the destination MAC address is “
なお、Bridge311は、宛先MACアドレスがMACアドレステーブルにない通信データに対しては、MACアドレス学習をして適切なインターフェイスから出力する。その他の通信経路を制御するため、Bridge311は、例えば、IPv6アドレスを持たないWAN側のインターフェイス(Eth01)において、インバウンド/アウトバウンド双方向のIPv6トラフィックやアウトバンドからのARPを全てドロップする。また、Bridge311は、フィルタ機能を用いて、Eth00をMACアドレスのソースとするイーサフレーム全てをEth01でドロップする。これにより、通信データは図7に記載のような経路をとるよう制御されることとなる。
The
上記説明から明らかなように、Bridge311は、レイヤ2スイッチとして機能し、LAN側インターフェイス(Eth02)に接続した機器31からのRHNW2やIPv6インターネットとの間の通信データを、レイヤ2トンネル経由で、対向するRHNW2内のL2−VPN処理部210へ転送する。
As is clear from the above description, the
図8は、第1の実施形態において、RHNW2内の機器21およびVHNW3内の機器31が通信を行う場合の通信データの流れを説明するための概念図である。図8では、特に、RHNW2内の機器21がIPv6インターネットを介して通信を行う場合と、VHNW3内の機器31がIPv4インターネットを介して通信を行う場合と、RHNW2内の機器21とVHNW3内の機器31とが通信路11を介して通信を行う場合とがそれぞれ示されている。
FIG. 8 is a conceptual diagram for explaining the flow of communication data when the
なお、図8には4種類のIPアドレスを区別するために別々の記号が図示されている。ただし、同一の記号が付された機器のアドレスについては、プレフィックスは同じであるが、アドレス自体は異なっている。 In FIG. 8, different symbols are shown to distinguish four types of IP addresses. However, for the addresses of the devices with the same symbol, the prefix is the same, but the address itself is different.
RHNW2内の機器21がIPv6インターネットを介して通信を行う場合は、例えば図8に示すように、通信制御装置200は、機器21から送信された通信データを、HGW22およびアクセス網10を介してIPv6インターネットへ送信する。この場合のBridge211の制御は、図4に示した表の2行目に示されている。
When the
また、HGW22およびアクセス網10を介してIPv6インターネットから通信データを受信した場合、通信制御装置200は、受信した通信データを機器21へ送信する。この場合のBridge211の制御は、図4に示した表の3行目に示されている。
When communication data is received from the IPv6 Internet via the
また、RHNW2内の機器21とVHNW3内の機器31とが通信路11を介して通信を行う場合、通信制御装置200は、機器21から送信された通信データを、通信制御装置300との間でアクセス網10上に設定しているL2−VPNの通信路11を介して通信制御装置300へ送信する。通信制御装置300は、通信路11を介して受信した通信データを機器31へ送る。この場合のBridge211の制御は、図4に示した表の4行目に示されており、Bridge311の制御は、図7の5行目に示されている。
In addition, when the
また、通信制御装置300は、機器31から送信された通信データを、通信路11を介して通信制御装置200へ送信する。通信制御装置200は、通信路11を介して受信した通信データを機器21へ送る。この場合のBridge211の制御は、図4に示した表の5行目に示されており、Bridge311の制御は、図7の4行目に示されている。
In addition, the
また、VHNW3内の機器31がIPv4インターネットを介して通信を行う場合、通信制御装置300は、機器31から送信された通信データを、VHGW32およびアクセス網10を介してIPv4インターネットへ送信する。この場合のBridge311の制御は、図7に示した表の2行目に示されている。
When the
また、VHGW32およびアクセス網10を介してIPv4インターネットから通信データを受信した場合、通信制御装置300は、受信した通信データを機器31へ送信する。この場合のBridge311の制御は、図7に示した表の3行目に示されている。
When communication data is received from the IPv4 Internet via the
図9は、第1の実施形態において、RHNW2内の機器21がIPv4インターネットを介して通信を行う場合の通信データの流れを説明するための概念図である。
FIG. 9 is a conceptual diagram for explaining the flow of communication data when the
通信制御装置200は、機器21から送信された通信データを、通信制御装置300との間でアクセス網10上に設定している通信路11を介して通信制御装置300へ送信する。通信制御装置300は、通信路11を介して受信した通信データを、VHGW32およびアクセス網10を介してIPv4インターネットへ送信する。この場合のBridge211の制御は、図4に示した表の6行目に示されており、Bridge311の制御は、図7の9行目に示されている。
The
また、VHGW32およびアクセス網10を介してIPv4インターネットから通信データを受信した場合、通信制御装置300は、受信した通信データを、通信路11を介して通信制御装置200へ送信する。通信制御装置200は、通信路11を介して受信した通信データを機器21へ送る。この場合のBridge211の制御は、図4に示した表の7行目に示されており、Bridge311の制御は、図7の8行目に示されている。
When communication data is received from the IPv4 Internet via the
図10は、第1の実施形態において、VHNW3内の機器31がIPv6インターネットを介して通信を行う場合の通信データの流れを説明するための概念図である。
FIG. 10 is a conceptual diagram for explaining a flow of communication data when the
通信制御装置300は、機器31から送信された通信データを、通信制御装置200との間でアクセス網10上に設定しているL2−VPNの通信路11を介して通信制御装置200へ送信する。通信制御装置200は、通信路11を介して受信した通信データを、HGW22およびアクセス網10を介してIPv6インターネットへ送信する。この場合のBridge211の制御は、図4に示した表の9行目に示されており、Bridge311の制御は、図7の6行目に示されている。
The
また、HGW22およびアクセス網10を介してIPv6インターネットから通信データを受信した場合、通信制御装置200は、受信した通信データを、通信路11を介して通信制御装置300へ送信する。通信制御装置300は、通信路11を介して受信した通信データを機器31へ送る。この場合のBridge211の制御は、図4に示した表の8行目に示されており、Bridge311の制御は、図7の7行目に示されている。なお、通信路11はインターネット網を介して構築されるものであってもよい。
When communication data is received from the IPv6 Internet via the
また、第1の実施形態におけるネットワークシステム1の他の例として、ネットワークシステム1は、例えば図11のように構成されてもよい。図11は、複数のRHNW2をiDC(インターネットデータセンタ)に設けられたNAPTで集約する構成の一例を説明するための概念図である。ネットワークシステム1は、例えば図11に示すように、DC13側のVHNW3をユーザ毎に作成し、IPv4NAPTの機能(大規模NATの機能)をユーザ間で共用するようにしてもよい。また、この場合、NAT装置とVPN装置とは別個に構成されることになる。なお、図11中のvSwitchは例えば仮想スイッチのことである。
As another example of the
以上、本発明の第1の実施形態について説明した。 The first embodiment of the present invention has been described above.
上記説明から明らかなように、本実施形態のネットワークシステム1によれば、ユーザがHNW100を十分に活用することができる。
As is clear from the above description, according to the
(第2の実施形態)
次に、本発明の第2の実施形態について、図面を参照しながら説明する。第1の実施形態におけるネットワークシステム1では、RHNW2内の機器21およびVHNW3内の機器31と、IPv6インターネットとの通信は、RHNW2内のHGW22を経由し、IPv4インターネットとの通信は、VHNW3内のVHGW32を経由して行われるが、本実施形態におけるネットワークシステム1では、IPv6インターネットとの通信、および、IPv4インターネットとの通信のいずれも、VHNW3内のVHGW32を経由して行われる点が異なる。つまり、RHNW2およびVHNW3は、VHGW32からIPv4アドレスおよびIPv6プレフィックスを受けることとなる。
(Second Embodiment)
Next, a second embodiment of the present invention will be described with reference to the drawings. In the
図12は、第2の実施形態における通信制御装置200のハードウェア構成の一例を概念的に示す。本実施形態における通信制御装置200は、L2−VPN処理部210、Bridge211、Eth0、およびEth2を有する。なお、本実施形態における通信制御装置300については、以下に説明する点を除き、図6に示した第1の実施形態における通信制御装置300と同様の構成であるため、説明を省略する。
FIG. 12 conceptually shows an example of the hardware configuration of the
図13は、第2の実施形態において、RHNW2内の機器21がIPv4およびIPv6インターネットを介して通信を行う場合の通信データの流れを説明するための概念図である。
FIG. 13 is a conceptual diagram for explaining a flow of communication data when the
本実施形態のネットワークシステム1では、まず、機器21が、IPv6インターネットへの通信データ(例えば、送信元MACアドレスが「機器21」であり、かつ、宛先MACアドレスが「VHGW32」である通信データ)を通信制御装置200へ送る。通信制御装置200のBridge211は、Eth2を介してIPv6インターネットへの通信データを機器21から受け取り、受け取った通信データをTap0からL2−VPN処理部210へ送る。
In the
L2−VPN処理部210は、Tap0を介して受け取った通信データを、カプセル化および暗号化してEth0を介してHGW22へ送る。HGW22は、通信制御装置200から受け取った通信データを、アクセス網10やインターネット網上にL2−VPN処理部210とL2−VPN処理部310との間に設定された通信路11を介してVHGW32へ送信する。
The L2-
VHGW32は、通信路11を介してHGW22から通信データを受信し、受信した通信データを通信制御装置300へ送る。通信制御装置300のL2−VPN処理部310は、Eth00を介してVHGW32から受け取った通信データについてデカプセル化および復号化の処理を施して、Tap00からBridge311へ送る。Bridge311は、Tap00を介して受け取った通信データを、Eth01を介してVHGW32へ送る。VHGW32は、通信制御装置300から受け取った通信データをIPv6インターネットへ送信する。
The
また、VHGW32は、IPv6インターネットを介して機器21宛の通信データを受信した場合に、受信した通信データの送信元MACアドレスを「VHGW32」とし、宛先MACアドレスを「機器21」として通信制御装置300へ送る。通信制御装置300のBridge311は、Eth01を介してVHGW32から受け取った通信データを、Tap00を介してL2−VPN処理部310へ送る。
Further, when the
L2−VPN処理部310は、Tap00を介して受け取った通信データに、カプセル化および暗号化の処理を施して、Eth00を介してVHGW32へ送る。VHGW32は、通信制御装置300から受け取った通信データを、通信路11を介してHGW22へ送信する。
The L2-
HGW22は、通信路11を介してVHGW32から通信データを受信し、受信した通信データを通信制御装置200へ送る。通信制御装置200のL2−VPN処理部210は、Eth0を介してHGW22から受け取った通信データについてデカプセル化および復号化の処理を施して、Tap0からBridge211へ送る。Bridge211は、Tap0を介して受け取った通信データを、Eth2を介して機器21へ送る。
The
以上、本発明の第2の実施形態について説明した。 The second embodiment of the present invention has been described above.
(第3の実施形態)
次に、本発明の第3の実施形態について、図面を参照しながら説明する。第1の実施形態におけるネットワークシステム1では、RHNW2内の機器21とVHNW3内の機器31との間で送受信される通信データ、RHNW2内の機器21とIPv4インターネットとの間で送受信される通信データ、および、VHNW3内の機器31とIPv6インターネットとの間で送受信される通信データのいずれもが、L2−VPN処理部210およびL2−VPN処理部310の間に設定されたL2−VPNの通信路11を介してやり取りされる。
(Third embodiment)
Next, a third embodiment of the present invention will be described with reference to the drawings. In the
それに対し、本実施形態のネットワークシステム1では、RHNW2内の機器21とVHNW3内の機器31との間で送受信される通信データについては、L2−VPN処理部210およびL2−VPN処理部310の間に設定されたL2−VPNの通信路11を介してやり取りされるが、RHNW2内の機器21とIPv4インターネットとの間で送受信される通信データ、および、VHNW3内の機器31とIPv6インターネットとの間で送受信される通信データについては、暗号化を行わないもう1つの通信路12を介してやり取りされる点が第1の実施形態とは異なる。
On the other hand, in the
図14は、第3の実施形態における通信制御装置200のハードウェア構成の一例を概念的に示す。本実施形態における通信制御装置200は、L2−VPN処理部210、Bridge211、カプセリング処理部212、Eth0、Eth1、およびEth2を有する。Tap0およびTap1は、Bridge211に設けられた仮想的なインターフェイスである。なお、以下に説明する点を除き、図14において、図3と同じ符号を付した構成は、図3における構成と同一または同様の機能を有するため説明を省略する。
FIG. 14 conceptually shows an example of the hardware configuration of the
カプセリング処理部212は、Tap1を介してBridge211から受け取った通信データをカプセル化し、カプセル化した通信データを、Eth0を介してHGW22へ送る。HGW22は、カプセリング処理部212によってカプセル化された通信データを、通信路12を介してVHGW32へ送信する。また、カプセリング処理部212は、Eth0を介してHGW22から受け取った通信データをデカプセル化し、デカプセル化した通信データを、Tap1を介してBridge211へ送る。カプセリング処理部212は、通信データの暗号化の処理は行わない。
The encapsulation processing unit 212 encapsulates the communication data received from the
本実施形態におけるBridge211は、通信データの宛先MACアドレスがVHNW3内の「機器31」または「VHGW32」である場合に、MACアドレス学習機能やIPフィルタにより、Eth0を介して通信データをVHNW3へ送信するが、その際、送信元または宛先のIPアドレスに基づいて、Tap0を介してL2−VPN処理部210にカプセル化および暗号化させるか、Tap1を介してカプセリング処理部212にカプセル化させるかを判別する。
The
例えば、Eth2側からの通信データであって(このような通信データの送信元IPアドレスはHNW100の内部のアドレスである)、通信データの宛先MACアドレスがVHNW3内の「機器31」である場合、Bridge211は、Tap0を介してL2−VPN処理部210に通信データをカプセル化および暗号化させる。一方、通信データの送信元IPアドレスがHNW100の外部のアドレスである場合、Bridge211は、Tap1を介してカプセリング処理部212に通信データをカプセル化させる。
For example, in the case of communication data from the Eth2 side (the source IP address of such communication data is an internal address of the HNW 100) and the destination MAC address of the communication data is “
また、例えば、通信データの宛先MACアドレスがVHNW3内の「VHGW32」あり、かつ、通信データの宛先IPアドレスがHNW100の内部のアドレス、つまりVHGW32のIPアドレスである場合、Bridge211は、Tap0を介してL2−VPN処理部210に通信データをカプセル化および暗号化させる。一方、通信データの宛先IPアドレスがHNW100の外部のアドレスである場合、Bridge211は、Tap1を介してカプセリング処理部212に通信データをカプセル化させる。
For example, when the destination MAC address of the communication data is “VHGW32” in the VHNW3 and the destination IP address of the communication data is an internal address of the HNW100, that is, the IP address of the VHGW32, the
図15は、第3の実施形態において通信制御装置200によって転送される通信データの経路の一例をまとめた表である。本実施形態の通信制御装置200が有するBridge211のMACアドレス学習機能、並びに、Tap0、Tap1、およびEth1のIPフィルタリング機能により、通信データは、例えば図15に示すような経路で転送される。
FIG. 15 is a table summarizing examples of paths of communication data transferred by the
例えば、Eth2側からの通信データであって(このような通信データの送信元IPアドレスは内部アドレスである)、宛先MACアドレスが「機器31」であれば、Bridge211は、Tap0へ通信データを出力する。図15の4行目には、このときの転送経路が示されている。Tap0へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化され、Eth0を介してHGW22へ出力される。HGW22は、L2−VPN処理部210によってカプセル化および暗号化された通信データを、通信路11を介してVHGW32へ送信する。図15の4行目は、例えばRHNW2内の機器21とVHNW3内の機器31との同一セグメント内通信における通信データの転送経路を示している。
For example, if the communication data is from the Eth2 side (the source IP address of such communication data is an internal address) and the destination MAC address is “
また、宛先MACアドレスが「VHGW32」であり、かつ、通信データの宛先IPアドレスが内部アドレス、つまりVHGW32のIPアドレスである場合、Bridge211は、Tap0へ通信データを出力する。図15の6行目には、このときの転送経路が示されている。Tap0へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化され、Eth0を介してHGW22へ出力される。HGW22は、L2−VPN処理部210によってカプセル化および暗号化された通信データを、通信路11を介してVHGW32へ送信する。図15の6行目は、例えばRHNW2内の機器21とVHGW32との通信における通信データの転送経路を示している。
If the destination MAC address is “VHGW32” and the destination IP address of the communication data is an internal address, that is, the IP address of VHGW32,
また、通信データの宛先IPアドレスが外部アドレスであれば、Bridge211は、Tap1へ通信データを出力する。図15の7行目には、このときの転送経路が示されている。Tap1へ出力された通信データは、カプセリング処理部212によりカプセル化され、Eth0を介してHGW22へ出力される。HGW22は、カプセリング処理部212によってカプセル化された通信データを、通信路12を介してVHGW32へ送信する。図15の7行目は、例えばRHNW2内の機器21がIPv4インターネット通信における通信データの転送経路を示している。
If the destination IP address of the communication data is an external address,
また、Eth1側からの通信データであって(このような通信データの送信元MACアドレスはHGW22のMACアドレスである)、宛先MACアドレスが「機器31」であり、かつ、通信データの送信元IPアドレスが内部アドレス、つまりHGW22のIPアドレスであれば、Bridge211は、Tap0へ通信データを出力する。図15の10行目には、このときの転送経路が示されている。Tap0へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化され、Eth0を介してHGW22へ出力される。HGW22は、L2−VPN処理部210によってカプセル化および暗号化された通信データを、通信路11を介してVHGW32へ送信する。図15の10行目は、例えばHGW22とVHNW3内の機器31との通信における通信データの転送経路を示している。
Further, it is communication data from the Eth1 side (the source MAC address of such communication data is the MAC address of the HGW 22), the destination MAC address is “
また、通信データの送信元IPアドレスが外部アドレスであれば、Bridge211は、Tap1へ通信データを出力する。図15の10行目には、このときの転送経路が示されている。Tap1へ出力された通信データは、カプセリング処理部212によりカプセル化され、Eth0を介してHGW22へ出力される。HGW22は、カプセリング処理部212によってカプセル化された通信データを、通信路12を介してVHGW32へ送信する。図15の11行目は、例えばVHNW3内の機器31がIPv6インターネット通信における通信データの転送経路を示している。
If the source IP address of the communication data is an external address,
Bridge211は、図15に示したように通信データの経路を制御する結果、Tap0において、同一セグメントのHNW100内の通信を通過させ、外部NWとの通信(RHNW2とIPv4インターネットとの通信やVHNW3とIPv6インターネットとの通信)を遮断する。また、Bridge211は、Tap1において、同一セグメントのHNW100内の通信を遮断し、外部NWとの通信を通過させる。
As a result of controlling the communication data path as shown in FIG. 15,
なお、同一セグメントのHNW100内の通信とは、例えば、MACアドレス学習済みの宛先MACアドレス宛ての通信、宛先IPアドレスがプライベートIPアドレスの通信、宛先IPアドレスがリンクローカルアドレスの通信、宛先IPアドレスが同一セグメントNW内のプレフィックスである通信が考えられる。また、その他の通信としては、例えば、マルチキャストアドレス、ブロードキャストアドレス、Windows(登録商標)が搭載するAutoIP機能で割当てられたアドレス「169.254.0.0〜169.254.255.255」が宛先となる通信、SSDP等のように、宛先IPアドレスが「239.255.255.255」であり、宛先ポート番号が1900番のマルチキャスト通信等が考えられる。
The communication within the
図16は、第3の実施形態における通信制御装置300のハードウェア構成の一例を概念的に示す。VHNW3は、L2−VPN処理部310、Bridge311、カプセリング処理部312、Eth00、Eth01、およびEth02を有する。Tap00およびTap01は、Bridge311に設けられた仮想的なインターフェイスである。なお、以下に説明する点を除き、図16において、図6と同じ符号を付した構成は、図6における構成と同一または同様の機能を有するため説明を省略する。
FIG. 16 conceptually shows an example of the hardware configuration of the
カプセリング処理部312は、Tap01を介してBridge311から受け取った通信データをカプセル化し、カプセル化した通信データを、Eth00を介してVHGW32へ送る。VHGW32は、カプセリング処理部312によってカプセル化された通信データを、通信路12を介してHGW22へ送信する。また、カプセリング処理部312は、Eth00を介してVHGW32から受け取った通信データをデカプセル化し、デカプセル化した通信データを、Tap01を介してBridge311へ送る。カプセリング処理部312は、通信データの暗号化の処理は行わない。
The
本実施形態におけるBridge311は、通信データの宛先MACアドレスがRHNW2内の「機器21」または「HGW22」である場合に、MACアドレス学習機能やIPフィルタにより、Eth00を介して通信データをRHNW2へ送信するが、その際、送信元または宛先のIPアドレスに基づいて、Tap00を介してL2−VPN処理部310にカプセル化および暗号化させるか、Tap01を介してカプセリング処理部312にカプセル化させるかを判別する。
The
例えば、Eth02側からの通信データであって(このような通信データの送信元IPアドレスはHNW100の内部のアドレスである)、通信データの宛先MACアドレスがRHNW2内の「機器21」ある場合、Bridge311は、Tap00を介してL2−VPN処理部310に通信データをカプセル化および暗号化させる。一方、通信データの送信元IPアドレスがHNW100の外部のアドレスである場合、Bridge311は、Tap01を介してカプセリング処理部312に通信データをカプセル化させる。
For example, when the communication data is from the Eth02 side (the transmission source IP address of such communication data is an internal address of the HNW 100) and the destination MAC address of the communication data is “
また、例えば、通信データの宛先MACアドレスがRHNW2内の「HGW22」あり、かつ、通信データの宛先IPアドレスがHNW100の内部のアドレス、つまりHGW22のIPアドレスである場合、Bridge311は、Tap00を介してL2−VPN処理部310に通信データをカプセル化および暗号化させる。一方、通信データの宛先IPアドレスがHNW100の外部のアドレスである場合、Bridge311は、Tap01を介してカプセリング処理部312に通信データをカプセル化させる。
For example, when the destination MAC address of the communication data is “HGW22” in the RHNW2 and the destination IP address of the communication data is an internal address of the HNW100, that is, the IP address of the HGW22, the
図17は、第3の実施形態において通信制御装置300によって転送される通信データの経路の一例をまとめた表である。本実施形態の通信制御装置300が有するBridge311は、のMACアドレス学習機能、並びに、Tap00、Tap01、およびEth01のIPフィルタリング機能により、通信データは、例えば図17に示すような経路で転送される。
FIG. 17 is a table summarizing examples of paths of communication data transferred by the
例えば、Eth02側からの通信データであって(このような通信データの送信元IPアドレスは内部アドレスである)、宛先MACアドレスが「機器21」であれば、Bridge311は、当該通信データをTap00へ出力する。図17の4行目には、このときの転送経路が示されている。Tap00へ出力された通信データは、L2−VPN処理部310によりカプセル化および暗号化され、Eth00を介してVHGW32へ出力される。VHGW32は、L2−VPN処理部310によってカプセル化および暗号化された通信データを、通信路11を介してHGW22へ送信する。図17の4行目は、例えばVHNW3内の機器31とRHNW2内の機器21との同一セグメント内通信における通信データの転送経路を示している。
For example, if it is communication data from the Eth02 side (the transmission source IP address of such communication data is an internal address) and the destination MAC address is “
また、宛先MACアドレスが「HGW22」であり、かつ、通信データの宛先IPアドレスが内部アドレス、つまりHGW22のIPアドレスである場合、Bridge311は、当該通信データをTap00へ出力する。図17の6行目には、このときの転送経路が示されている。Tap00へ出力された通信データは、L2−VPN処理部310によりカプセル化および暗号化され、Eth00を介してVHGW32へ出力される。VHGW32は、L2−VPN処理部310によってカプセル化および暗号化された通信データを、通信路11を介してHGW22へ送信する。図17の6行目は、例えばVHNW3内の機器31とHGW22との通信における通信データの転送経路を示している。
When the destination MAC address is “HGW22” and the destination IP address of the communication data is an internal address, that is, the IP address of the
また、通信データの宛先IPアドレスが外部アドレスであれば、Bridge311は、当該通信データをTap01へ出力する。図17の7行目には、このときの転送経路が示されている。Tap01へ出力された通信データは、カプセリング処理部312によりカプセル化され、Eth00を介してVHGW32へ出力される。VHGW32は、カプセリング処理部312によってカプセル化された通信データを、通信路12を介してHGW22へ送信する。図17の7行目は、例えばVHNW3内の機器31がIPv6インターネット通信における通信データの転送経路を示している。
If the destination IP address of the communication data is an external address,
また、Eth02側からの通信データであって(このような通信データの送信元IPアドレスは内部アドレスである)、宛先MACアドレスが「機器21」であれば、Bridge311は、当該通信データをTap00へ出力する。図17の10行目には、このときの転送経路が示されている。Tap00へ出力された通信データは、L2−VPN処理部310によりカプセル化および暗号化され、Eth00を介してVHGW32へ出力される。VHGW32は、L2−VPN処理部310によってカプセル化および暗号化された通信データを、通信路11を介してHGW22へ送信する。図17の10行目は、例えばVHGW32とRHNW2内の機器21との通信における通信データの転送経路を示している。
If the communication data is from the Eth02 side (the transmission source IP address of such communication data is an internal address) and the destination MAC address is “
また、通信データの送信元IPアドレスが外部アドレスであれば、Bridge311は、当該通信データをTap01へ出力する。図17の11行目には、このときの転送経路が示されている。Tap01へ出力された通信データは、カプセリング処理部312によりカプセル化され、Eth00を介してVHGW32へ出力される。VHGW32は、カプセリング処理部312によってカプセル化された通信データを、通信路12を介してHGW22へ送信する。図17の11行目は、例えばRHNW2内の機器21がIPv4インターネット通信における通信データの転送経路を示している。
If the source IP address of the communication data is an external address,
ここで、IPv4またはIPv6インターネットとの通信データについては、もともとオープンネットワークを介してやり取りされる通信データであるため、HNW100内を通過するときだけ秘匿化する必要はない。そのため、本実施形態における通信制御装置200および通信制御装置300は、RHNW2内の機器21とVHNW3内の機器31との間の通信については、L2−VPNの通信路11を介して通信データを送受信することでセキュリティを保つ一方、IPv4またはIPv6インターネットとの通信データについては、暗号化を行わずにカプセル化された通信データを通信路12を介して送受信する。
Here, since the communication data with the IPv4 or IPv6 Internet is originally communication data exchanged through the open network, it is not necessary to conceal it only when passing through the
これにより、本実施形態のネットワークシステム1は、通信データの過度な秘匿化を防止することで、通信制御装置200や通信制御装置300の処理負荷を軽減することができると共に、通信帯域の低下を抑えることができる。
Thereby, the
以上、本発明の第3の実施形態について説明した。 Heretofore, the third embodiment of the present invention has been described.
(第4の実施形態)
次に、本発明の第4の実施形態について、図面を参照しながら説明する。本実施形態では、第3の実施形態における通信制御装置200および通信制御装置300の一部の機能を、OpenFlow(参考:http://www.openflow.org/)等のSDN(Software-Defined Network)を用いて実現している点が異なる。
(Fourth embodiment)
Next, a fourth embodiment of the present invention will be described with reference to the drawings. In the present embodiment, some of the functions of the
図18は、第4の実施形態における通信制御装置200のハードウェア構成の一例を概念的に示す。本実施形態における通信制御装置200は、L2−VPN処理部210、カプセリング処理部212、SDN−SW213、Eth0、Eth1、およびEth2を有する。port1〜4は、SDN−SW213に設けられた仮想的なインターフェイスである。なお、以下に説明する点を除き、図18において、図14と同じ符号を付した構成は、図14における構成と同一または同様の機能を有するため説明を省略する。また、例えば、直接接続されているEth1とPort1や、Eth2とPort2は、それぞれ1つのインターフェイスとして扱ってもよい。なお、SDN−SWとは、SDNに対応したスイッチのことであり、例えば、OpenFlowを適用する場合は、OpenFlowに対応したスイッチが用いられる。
FIG. 18 conceptually shows an example of the hardware configuration of the
L2−VPN処理部210は、port3を介して通信データを受け付けた場合に、受け付けた通信データについてカプセル化および暗号化の処理を行う。そして、L2−VPN処理部210は、カプセル化および暗号化の処理を行った通信データを、Eth0を介してHGW22へ送信する。HGW22は、L2−VPN処理部210によってカプセル化および暗号化された通信データを、通信路11を介してVHGW32へ送信する。また、L2−VPN処理部210は、Eth0を介して通信データを受け付けた場合に、受け付けた通信データについてデカプセル化および復号化の処理を行う。そして、L2−VPN処理部210は、デカプセル化および復号化の処理を行った通信データを、port3を介してSDN−SW213へ送る。
When the L2-
カプセリング処理部212は、port4を介してSDN−SW213から受け取った通信データをカプセル化し、カプセル化した通信データを、Eth0を介してHGW22へ送る。HGW22は、カプセリング処理部212によってカプセル化された通信データを、通信路12を介してVHGW32へ送信する。また、カプセリング処理部212は、Eth0を介してHGW22から受け取った通信データをデカプセル化し、デカプセル化した通信データを、port4を介してSDN−SW213へ送る。
The encapsulation processing unit 212 encapsulates the communication data received from the SDN-
図19は、第4の実施形態においてSDN−SW213に設定されるフローテーブルの一例を示す。本実施形態において、図19に例示したフローテーブルは、例えばDC13内に設けられたSDNコントローラから配布される。SDN−SW213は、SDNコントローラから配布されたフローテーブルに従って通信データを制御する。また、このフローテーブルによる制御の他にMACアドレス学習に相当するフローテーブルをSDNコントローラに適宜問合せて配布されることを前提とする。
FIG. 19 shows an example of a flow table set in the SDN-
例えば、図19に示したフローテーブルの4行目には、port2を介してEth2から通信データを受け取った場合に、受け取った通信データの宛先MACアドレスが「機器31」または宛先IPアドレスが同一セグメント内のアドレスであれば、SDN−SW213は、受け取った通信データをport3へ出力する制御が示されている。Port3へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化され、Eth0を介してHGW22へ出力される。HGW22は、L2−VPN処理部210によってカプセル化および暗号化された通信データを、通信路11を介してVHGW32へ送信する。これは、例えばRHNW2内の機器21とVHNW3内の機器31との同一セグメント内通信の制御を示している。
For example, in the fourth line of the flow table shown in FIG. 19, when communication data is received from Eth2 via
また、フローテーブルの6行目には、port2を介してEth2から通信データを受け取った場合に、受け取った通信データの宛先MACアドレスが「VHGW32」であり、かつ、宛先IPアドレスがHNW100の内部のアドレス(すなわちVHGW32のアドレス)であれば、SDN−SW213は、受け取った通信データをport3へ出力する制御が示されている。port3へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化され、Eth0を介してHGW22へ出力される。HGW22は、L2−VPN処理部210によってカプセル化および暗号化された通信データを、通信路11を介してVHGW32へ送信する。これは、例えばRHNW2内の機器21とVHGW32との通信の制御を示している。
In the sixth line of the flow table, when communication data is received from Eth2 via
また、フローテーブルの7行目には、port2を介してEth2から通信データを受け取った場合に、受け取った通信データの宛先MACアドレスが「VHGW32」であり、かつ、宛先IPアドレスがHNW100の外部のアドレスであれば、SDN−SW213は、受け取った通信データをport4へ出力する制御が示されている。port4へ出力された通信データは、カプセリング処理部212によりカプセル化され、Eth0を介してHGW22へ出力される。HGW22は、カプセリング処理部212によってカプセル化された通信データを、通信路12を介してVHGW32へ送信する。これは、例えばRHNW2内の機器21がIPv4インターネット通信を行う場合の制御を示している。
In the seventh row of the flow table, when communication data is received from Eth2 via
また、フローテーブルの9行目には、port1を介してEth1から通信データを受け取った場合に、受け取った通信データの宛先MACアドレスが「機器31」であり、かつ、送信元IPアドレスがHNW100の内部のアドレス(すなわちHGW22のアドレス)であれば、SDN−SW213は、受け取った通信データをport3へ出力する制御が示されている。port3へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化され、Eth0を介してHGW22へ出力される。HGW22は、L2−VPN処理部210によってカプセル化および暗号化された通信データを、通信路11を介してVHGW32へ送信する。これは、例えばHGW22とVHNW3内の機器31との通信の制御を示している。
In the ninth line of the flow table, when communication data is received from Eth1 via
また、フローテーブルの10行目には、port1を介してEth1から通信データを受け取った場合に、受け取った通信データの宛先MACアドレスが「機器31」であり、かつ、送信元IPアドレスがHNW100の外部のアドレスであれば、SDN−SW213は、受け取った通信データをport4へ出力する制御が示されている。port4へ出力された通信データは、カプセリング処理部212によりカプセル化され、Eth0を介してHGW22へ出力される。HGW22は、カプセリング処理部212によってカプセル化された通信データを、通信路12を介してVHGW32へ送信する。これは、例えばVHNW3内の機器31がIPv6インターネット通信を行う場合の制御を示している。
In the 10th line of the flow table, when communication data is received from Eth1 via
なお、SDN−SW213は、フローテーブルに記載されている情報に該当しない通信データについては、対処方法を、例えばRHNW2やVHNW3内に設けられたSDNコントローラに問い合わせ、必要に応じてフローテーブルを取得するようにしてもよい。または、そのような通信データについては、ドロップするよう明示的に制御するフローテーブルを、初期段階で、または必要に応じて、設定してもよい。
Note that the SDN-
図20は、第4の実施形態において通信制御装置200によって転送される通信データの経路の一例をまとめた表である。SDN−SW213が、図19に示したフローテーブルに従って通信データの経路を制御することにより、通信データは例えば図20に示すような経路で転送されることになる。
FIG. 20 is a table summarizing examples of paths of communication data transferred by the
図21は、第4の実施形態における通信制御装置300のハードウェア構成の一例を概念的に示す。本実施形態における通信制御装置300は、L2−VPN処理部310、カプセリング処理部312、SDN−SW313、Eth00、Eth01、およびEth02を有する。port01〜04は、SDN−SW313に設けられた仮想的なインターフェイスである。なお、以下に説明する点を除き、図21において、図16と同じ符号を付した構成は、図16における構成と同一または同様の機能を有するため説明を省略する。
FIG. 21 conceptually shows an example of the hardware configuration of the
L2−VPN処理部310は、port03を介して通信データを受け付けた場合に、受け付けた通信データについてカプセル化および暗号化の処理を行う。そして、L2−VPN処理部310は、カプセル化および暗号化の処理を行った通信データを、Eth00を介してVHGW32へ送信する。VHGW32は、L2−VPN処理部310によってカプセル化および暗号化された通信データを、通信路11を介してHGW22へ送信する。また、L2−VPN処理部310は、Eth00を介して通信データを受け付けた場合に、受け付けた通信データについてデカプセル化および復号化の処理を行う。そして、L2−VPN処理部310は、デカプセル化および復号化の処理を行った通信データを、port03を介してSDN−SW313へ送る。
When the L2-
カプセリング処理部312は、port04を介してSDN−SW313から受け取った通信データをカプセル化し、カプセル化した通信データを、Eth00を介してVHGW32へ送る。VHGW32は、カプセリング処理部312によってカプセル化された通信データを、通信路12を介してHGW22へ送信する。また、カプセリング処理部312は、Eth00を介してVHGW32から受け取った通信データをデカプセル化し、デカプセル化した通信データを、port04を介してSDN−SW313へ送る。
The
図22は、第4の実施形態においてSDN−SW313に設定されるフローテーブルの一例を示す。本実施形態において、図22に例示したフローテーブルは、例えばDC13内に設けられたSDNコントローラから配布される。SDN−SW313は、SDNコントローラから配布されたフローテーブルに従って通信データを制御する。
FIG. 22 shows an example of a flow table set in the SDN-
例えば、図22に示したフローテーブルの4行目には、port02を介してEth02から通信データを受け取った場合に、受け取った通信データの宛先MACアドレスが「機器21」または宛先IPアドレスが同一セグメント内のアドレスであれば、SDN−SW313は、受け取った通信データをport03へ出力する制御が示されている。port03へ出力された通信データは、L2−VPN処理部310によりカプセル化および暗号化され、Eth00を介してVHGW32へ出力される。VHGW32は、L2−VPN処理部310によってカプセル化および暗号化された通信データを、通信路11を介してHGW22へ送信する。これは、例えばVHNW3内の機器31とRHNW2内の機器21との同一セグメント内通信の制御を示している。
For example, in the fourth line of the flow table shown in FIG. 22, when communication data is received from Eth02 via port 02, the destination MAC address of the received communication data is “
また、フローテーブルの6行目には、port02を介してEth02から通信データを受け取った場合に、受け取った通信データの宛先MACアドレスが「HGW22」であり、かつ、宛先IPアドレスがHNW100の内部のアドレス(すなわちHGW22のアドレス)であれば、SDN−SW313は、受け取った通信データをport03へ出力する制御が示されている。port03へ出力された通信データは、L2−VPN処理部310によりカプセル化および暗号化され、Eth00を介してVHGW32へ出力される。VHGW32は、L2−VPN処理部310によってカプセル化および暗号化された通信データを、通信路11を介してHGW22へ送信する。これは、例えばVHNW3内の機器31とHGW22との通信の制御を示している。
In the sixth line of the flow table, when communication data is received from Eth02 via port02, the destination MAC address of the received communication data is “HGW22”, and the destination IP address is within the HNW100. If it is an address (that is, the address of the HGW 22), the SDN-
また、フローテーブルの7行目には、port02を介してEth02から通信データを受け取った場合に、受け取った通信データの宛先MACアドレスが「HGW22」であり、かつ、宛先IPアドレスがHNW100の外部のアドレスであれば、SDN−SW313は、受け取った通信データをport04へ出力する制御が示されている。port04へ出力された通信データは、カプセリング処理部312によりカプセル化され、Eth00を介してVHGW32へ出力される。VHGW32は、カプセリング処理部312によってカプセル化された通信データを、通信路12を介してHGW22へ送信する。これは、例えばVHNW3内の機器31がIPv6インターネット通信を行う場合の制御を示している。
In the seventh line of the flow table, when communication data is received from Eth02 via port02, the destination MAC address of the received communication data is “HGW22” and the destination IP address is outside the HNW100. If it is an address, the SDN-
また、フローテーブルの9行目には、port01を介してEth01から受け取った通信データの宛先MACアドレスが「機器21」であり、かつ、送信元IPアドレスがHNW100の内部のアドレス(すなわちVHGW32のアドレス)であれば、SDN−SW313は、受け取った通信データをport03へ出力する制御が示されている。port03へ出力された通信データは、L2−VPN処理部310によりカプセル化および暗号化され、Eth00を介してVHGW32へ出力される。VHGW32は、L2−VPN処理部310によってカプセル化および暗号化された通信データを、通信路11を介してHGW22へ送信する。これは、例えばVHGW32とRHNW2内の機器21との通信の制御を示している。
In the ninth line of the flow table, the destination MAC address of the communication data received from Eth01 via port01 is “
また、フローテーブルの10行目には、port01を介してEth01から受け取った通信データの送信元MACアドレスが「VHGW32」であり、かつ、宛先MACアドレスが「機器21」であり、かつ、送信元IPアドレスがHNW100の外部のアドレスであれば、SDN−SW313は、受け取った通信データをport04へ出力する制御が示されている。port04へ出力された通信データは、カプセリング処理部312によりカプセル化され、Eth00を介してVHGW32へ出力される。VHGW32は、カプセリング処理部312によってカプセル化された通信データを、通信路12を介してHGW22へ送信する。これは、例えばRHNW2内の機器21がIPv4インターネット通信を行う場合の制御を示している。
In the 10th line of the flow table, the transmission source MAC address of communication data received from Eth01 via port01 is “VHGW32”, the destination MAC address is “
なお、SDN−SW313は、フローテーブルに記載されている情報に該当しない通信データについては、対処方法を、例えばRHNW2やVHNW3内に設けられたSDNコントローラに問い合わせ、必要に応じてフローテーブルを取得するようにしてもよい。または、そのような通信データについては、ドロップするよう明示的に制御するフローテーブルを、初期段階で、または必要に応じて、設定してもよい。
For communication data that does not correspond to the information described in the flow table, the SDN-
図23は、第4の実施形態において通信制御装置300によって転送される通信データの経路の一例をまとめた表である。SDN−SW313が、図22に示したフローテーブルに従って通信データの経路を制御することにより、通信データは例えば図23に示すような経路で転送されることになる。
FIG. 23 is a table summarizing examples of paths of communication data transferred by the
上記した第4の実施形態では、通信路11および通信路12のいずれかを介して、RHNW2内の通信機器とVHNW3内の通信機器との間の通信データが転送されるが、本発明はこれに限られず、1つの通信路を介してRHNW2内の通信機器とVHNW3内の通信機器との間の通信データが転送されるようにしてもよい。例えば、通信路をL2−VPNの通信路11のみとする場合、通信制御装置200では入力ポートおよび出力ポートに設定されているport4をport3に置き換えればよく、通信制御装置300では入力ポートおよび出力ポートに設定されているport04をport03に置き換えればよい。これにより、第1の実施形態に示した構成をSDNにより実現することができる。
In the fourth embodiment described above, communication data between the communication device in the RHNW2 and the communication device in the VHNW3 is transferred via either the
以上、本発明の第4の実施形態について説明した。 Heretofore, the fourth embodiment of the present invention has been described.
(第5の実施形態)
次に、本発明の第5の実施形態について、図面を参照しながら説明する。本実施形態におけるネットワークシステム1と、第1の実施形態におけるネットワークシステム1とは、主に以下の点が異なる。すなわち、本実施形態における通信制御装置300には、VHNW3内を流れる通信データについて、セキュリティ上の脅威があるか否かを判定するセキュリティチェック、またはさらにセキュリティ上の脅威があると判定した場合に脅威の駆除を行う機能が設けられる。また、本実施形態の通信制御装置200には、VHNW3を介さずにRHNW2内でやり取りされる通信データについて、セキュリティチェックが必要か否かを判定する機能が設けられる。そして、通信制御装置200によってセキュリティチェックが必要と判定された通信データについては、一旦VHNW3内で通信制御装置300によってセキュリティチェックが行われる。
(Fifth embodiment)
Next, a fifth embodiment of the present invention will be described with reference to the drawings. The
図24は、第5の実施形態における通信制御装置200の機能構成の一例を示すブロック図である。本実施形態における通信制御装置200は、例えば図24に示すように、LAN通信部201、トンネリング処理部202、判別部203、転送処理部204、WAN通信部205、および判定部206を有する。なお、以下に説明する点を除き、図24において、図2と同じ符号を付した構成は、図2における構成と同一または同様の機能を有するため説明を省略する。
FIG. 24 is a block diagram illustrating an example of a functional configuration of the
判定部206は、転送処理部204から受け取った通信データに含まれている情報に基づいてセキュリティチェックを行う必要のある通信データか否かを判定する。判定部206は、例えば、レイヤ1〜4程度の情報に基づいてセキュリティチェックを行う必要がある通信データか否かを判定する。ここでは、少なくとも通常はVHNW3を経由しないRHNW2内の通信データまたはRHNW2とIPv6インターネットの間の通信データを特定して、判定部205に判定させる。その他の通信データについては、判定部205の判定を省略してもよい。
The
具体的には、通信制御装置200内のメモリに予め保存されている、IPアドレスやポート番号等のホワイト・ブラック・グレーリスト等の情報と、通信データのヘッダ内の情報とを突き合わせることにより、判定部206は、セキュリティチェックの要否を判定する。例えば、判定部206は、通信データの送信元や送信先などの情報が、メモリに保存されているホワイトリストに該当する場合には、セキュリティチェックが不要と判定する。また、判定部206は、通信データの送信元や送信先などの情報が、メモリに保存されているメモリに保存されているホワイトリストに該当しない場合や、メモリに保存されているグレーリストに該当する場合には、セキュリティチェックが必要と判定する。なお、通信データの送信元や送信先などの情報が、メモリに保存されているブラックリストに該当する場合には、判定部206は、その時点で通信データを破棄してもよい。
Specifically, by matching information such as IP address and port number, such as white, black, and greylist, which is stored in advance in the memory in the
セキュリティ上の脅威があるか否かを判定するセキュリティチェックでは、ペイロードの中身を解析する必要がある場合があり、高い処理能力が必要となる。そのため、通信制御装置200では、セキュリティチェックが必要か否かを判定する簡易な処理にとどめ、処理負荷の軽減を図っている。
In the security check for determining whether there is a security threat, it may be necessary to analyze the contents of the payload, which requires high processing capability. Therefore, in the
判定部206は、セキュリティチェックが不要と判定した通信データについては、転送処理部204へ返す。また、セキュリティチェックが必要と判定した通信データについては、通信データのヘッダ等にフラグを埋め込み、トンネリング処理部202へ渡す。つまり、このフラグは通常の転送処理による出力先への転送とは異なる出力先へ転送する通信データであることを示すものでもある。
The
本実施形態における通信制御装置200のハードウェア構成の一例を概念的に示す図は、例えば図3と同様である。判定部206の機能は、例えばBridge211に組み込まれている、または接続されている図示しないアプリケーションにより実現されるが以下ではこのアプリケーションをBridge211と表記して説明する。
A diagram conceptually showing an example of a hardware configuration of the
本実施形態におけるBridge211は、VHNW3を通過しない通信データについて、セキュリティチェックを行う必要があるか否かを判定する。そして、セキュリティチェックを行う必要があると判定した場合、Bridge211は、通信データに所定のフラグを埋め込む。そして、Bridge211は、フラグを埋め込んだ通信データを、Tap0を介してL2−VPN処理部210へ送る。Tap0へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化され、Eth0を介してHGW22へ出力される。HGW22は、L2−VPNの通信路11を介して通信データをVHNW3内の通信制御装置300へ送信する。
The
そして、VHNW3内の通信制御装置300によってセキュリティ上の脅威があるか否かが判定され、セキュリティ上の脅威がないと判定された通信データ、あるいは、セキュリティ上の脅威を取り除かれた通信データは、再び通信路11を介してEth0からL2−VPN処理部210へ戻される。L2−VPN処理部210は、戻ってきた通信データをデカプセル化および復号化してTap0を介してBridge211へ送る。Bridge211は、セキュリティ上の脅威がないと判定された、あるいは、セキュリティ上の脅威が取り除かれた通信データを、本来の送信先へ転送する。
Then, it is determined whether or not there is a security threat by the
図25は、第5の実施形態において通信制御装置200によって転送される通信データの経路の一例をまとめた表である。本実施形態の通信制御装置200が有するBridge211のMACアドレス学習機能、および、Eth1のIPフィルタリング機能により、通信データは、例えば図25に示すような経路で転送される。なお、セキュリティチェックの要否判断に基づく制御は、図25の1〜9行目の制御である。10〜16行目までの制御は、図4に示した制御と同様であるため、その説明は省略する。
FIG. 25 is a table summarizing examples of paths of communication data transferred by the
例えば、宛先MACアドレスが「機器21」であれば、Bridge211は、MACアドレス学習機能により、受け取った通信データの出力ポートをEth2と判別する。そして、Bridge211は、通信データのセキュリティチェックが不要と判定すれば、通信データをEth2から出力する。図25の1行目には、この場合の転送経路が示されている。図25の1行目は、例えばRHNW2内の機器21同士で送受信される通信データについて、セキュリティチェックが不要と判定された場合の通信データの転送経路を示している。
For example, if the destination MAC address is “
一方、通信データのセキュリティチェックが必要と判定すれば、Bridge211は、通信データをTap0へ出力する。図25の2行目には、この場合の転送経路が示されている。Tap0へ出力された通信データは、L2−VPN処理部210によりカプセル化および暗号化が施され、Eth0を介してHGW22へ出力される。図25の2行目は、例えばRHNW2内の機器21同士で送受信される通信データについて、セキュリティチェックが必要と判定された場合の通信データの転送経路を示している。
On the other hand, if it is determined that a security check of the communication data is necessary, the
また、図25の3行目には、VHNW3内の通信制御装置300によってセキュリティ上の脅威がないと判定された通信データ、あるいは、セキュリティ上の脅威を取り除かれた通信データの転送経路が示されている。
The third line in FIG. 25 shows a transfer path of communication data that has been determined by the
また、図25の4〜6行目には、RHNW2内の機器21からHGW22へ送信される通信データにおいて、セキュリティチェックが不要と判断された通信データ、セキュリティチェックが必要と判定された通信データ、通信制御装置300によってセキュリティ上の脅威がないと判定された通信データ、あるいは、セキュリティ上の脅威を取り除かれた通信データの転送経路がそれぞれ示されている。
25, the communication data transmitted from the
また、図25の7〜9行目には、HGW22からRHNW2内の機器21へ送信される通信データにおいて、セキュリティチェックが不要と判断された通信データ、セキュリティチェックが必要と判定された通信データ、通信制御装置300によってセキュリティ上の脅威がないと判定された通信データ、あるいは、セキュリティ上の脅威を取り除かれた通信データの転送経路がそれぞれ示されている。
25, the communication data transmitted from the
図26は、第5の実施形態における通信制御装置300の機能構成の一例を示すブロック図である。本実施形態における通信制御装置300は、例えば図26に示すように、LAN通信部301、トンネリング処理部302、判別部303、転送処理部304、WAN通信部305、およびセキュリティチェック部306を有する。なお、以下に説明する点を除き、図26において、図5と同じ符号を付した構成は、図5における構成と同一または同様の機能を有するため説明を省略する。
FIG. 26 is a block diagram illustrating an example of a functional configuration of the
セキュリティチェック部306は、転送処理部304から受け取った通信データに含まれている情報に基づいてセキュリティ上の脅威があるか否かを判定するセキュリティチェックを行う。セキュリティチェック部306は、例えば、レイヤ1〜7までの全てのレイヤを対象としてチェックする。上位レイヤの解析には、例えばIPS(Intrusion Prevention System)、SPI(Stateful Packet Inspection)やWAF(Web Application Firewall)、DPI(Deep Packet Inspection)などの技術を適用することができる。この場合、通信制御装置300に割り当てられた記憶領域には、SPI、WAF、DPI等に必要なパターン情報やウィルス・マルウェア定義パターンなどを記憶しておく。
The
セキュリティチェック部306は、セキュリティチェックの結果、異常なしと判定した場合、通信データに含まれているフラグを削除してRHNW2に返す。一方、セキュリティチェックの結果、異常ありと判定した場合、セキュリティチェック部306は、セキュリティ処理を施してセキュリティ上の脅威を取り除き、異常なしと判定される通信データにして通信を継続するか、あるいは、その時点で通信データを破棄したり、その通信データの送信元からの受信を拒否するように設定する命令を所定のFW(FireWall)、例えばRHGW22やVHGW32内のFWに通知する等の処理を行う。
When it is determined that there is no abnormality as a result of the security check, the
本実施形態における通信制御装置300のハードウェア構成の一例を概念的に示す図は、例えば図6と同様である。セキュリティチェック部306の機能は、例えばBridge311に組み込まれている、または接続されている図示しないアプリケーションにより実現される。もしくは、通信制御装置300の外部の図示しない装置上で動作するものであってもよい。
A diagram conceptually showing an example of the hardware configuration of the
図27は、第5の実施形態において通信制御装置300によって転送される通信データの経路の一例をまとめた表である。本実施形態の通信制御装置200が有するBridge311のMACアドレス学習機能、および、Eth01のIPフィルタリング機能により、通信データは、例えば図27に示すような経路で転送される。
FIG. 27 is a table summarizing examples of paths of communication data transferred by the
例えば、宛先MACアドレスが「機器31」であり、かつ、セキュリティチェックの結果「異常なし」と判定された通信データ(セキュリティ上の脅威がないと判定された通信データ、あるいは、セキュリティ上の脅威を取り除かれた通信データ)であれば、Bridge311は、当該通信データをEth02へ出力する。図27の1行目には、このときの転送経路が示されている。図27の1行目は、例えば、VHNW3内の機器31同士で送受信される通信データにおいて、セキュリティチェックの結果が「異常なし」となった場合の通信データの転送経路を示している。
For example, if the destination MAC address is “
また、図27の2〜3行目には、VHNW3内の機器31がVHGW32との間で送受信する通信データにおいて、セキュリティチェックの結果が「異常なし」となった場合の転送経路が示されている。また、図27の4〜5行目には、VHNW3内の機器31とRHNW2内の機器21との間で送受信される通信データにおいて、セキュリティチェックの結果が「異常なし」となった場合の転送経路が示されている。
The second to third lines in FIG. 27 show the transfer path when the result of the security check is “no abnormality” in the communication data transmitted / received to / from the VHGW 32 by the
また、図27の6〜7行目には、VHNW3内の機器31がRHNW2内のHGW22との間で送受信する通信データにおいて、セキュリティチェックの結果が「異常なし」となった場合の転送経路が示されている。また、図27の8〜9行目には、RHNW2内の機器21がVHGW32との間で送受信される通信データにおいて、セキュリティチェックの結果が「異常なし」となった場合の転送経路が示されている。
In the sixth to seventh lines in FIG. 27, the transfer path when the security check result is “no abnormality” in the communication data transmitted / received between the
また、図27の10行目には、RHNW2内の機器21同士で送受信される通信データであって、セキュリティチェックが必要と判定された通信データについて、セキュリティチェックの結果が「異常なし」となった場合の転送経路が示されている。また、図27の11〜12行目には、RHNW2内の機器21がIPv6インターネットを介して送受信する通信データであって、セキュリティチェックが必要と判定された通信データについて、セキュリティチェックの結果が「異常なし」となった場合の転送経路が示されている。
In the 10th line in FIG. 27, the communication data transmitted / received between the
なお、セキュリティチェックの結果が「異常あり」となった通信データについては、Bridge311は、セキュリティ処理を施してセキュリティ上の脅威を取り除き、異常なしと判定される通信データにして通信を継続するか、あるいは、その時点で通信データを破棄したり、その通信データの送信元からの受信を拒否するように設定する命令を所定のFWに通知する等の処理を行う。
For communication data whose security check result is “abnormal”, the
ここで、RHNW2内の機器21がIPv6インターネットを介して送受信する通信データであって、セキュリティチェックが必要と判定された通信データの流れについて、図28および図29を用いて説明する。図28は、第5の実施形態において、RHNW2内の機器21からIPv6インターネットへ送信される通信データの流れを説明するための概念図である。
Here, the flow of communication data that is determined by the
まず、RHNW2内の機器21は、宛先MACアドレスが「HGW22」であり、かつ、宛先IPアドレスが外部のNWである通信データを通信制御装置200へ送る(S10)。通信制御装置200のBridge211は、機器21から送られた通信データを、Eth2を介して受け取る。そして、Bridge211は、当該通信データについてセキュリティチェックを行う必要があると判定した場合、当該通信データのヘッダ等にフラグを付けて、当該通信データを、Tap0を介してL2−VPN処理部210へ送る(図25に示した表の5行目参照)。
First, the
L2−VPN処理部210は、Tap0を介して受け取った通信データにカプセル化および暗号化の処理を施し、処理後の通信データを、Eth0を介してHGW22へ出力する(S11)。HGW22は、通信制御装置200から受け取った通信データを、通信路11を介してVHGW32へ送信する(S12)。
The L2-
次に、VHGW32は、通信路11を介して受け取った通信データを通信制御装置300へ送る(S13)。通信制御装置300のL2−VPN処理部310は、Eth00を介して受け取った通信データについて、デカプセル化および復号化の処理を施し、処理後の通信データを、Tap00を介してBridge311へ送る。
Next, the
Bridge311は、Tap00を介して受け取った通信データについてセキュリティチェックを行う。セキュリティチェックの結果が「異常なし」である場合、Bridge311は、Tap00を介して受け取った通信データからフラグを除去し、フラグを除去した通信データを、Tap00を介してL2−VPN処理部310へ返す(図27に示した表の11行目参照)。
L2−VPN処理部310は、Tap00を介して戻された通信データについてカプセル化および暗号化の処理を施し、処理後の通信データを、Eth00を介してVHGW32へ送る(S14)。VHGW32は、通信制御装置300から受け取った通信データを、通信路11を介してHGW22へ送る(S15)。HGW22は、受け取った通信データを通信制御装置200へ送る(S16)。
The L2-
通信制御装置200内のL2−VPN処理部210は、Eth0を介して受け取った通信データについて、デカプセル化および復号化の処理を施し、処理後の通信データを、Tap0を介してBridge211へ送る。Bridge211は、Tap0を介して受け取った通信データを、Eth1を介してHGW22へ送る(図25に示した表の6行目参照)(S17)。HGW22は、通信制御装置200から受け取った通信データをIPv6インターネットへ送信する(S18)。
The L2-
図29は、第5の実施形態において、IPv6インターネットからRHNW2内の機器21へ送信される通信データの流れを説明するための概念図である。
FIG. 29 is a conceptual diagram for explaining a flow of communication data transmitted from the IPv6 Internet to the
まず、HGW22は、IPv6インターネットから機器21宛の通信データを受け取った場合に(S20)、送信元MACアドレスを「HGW22」、送信元IPアドレスを外部のNWとし、かつ、宛先MACアドレスを「機器21」とする通信データを通信制御装置200へ送る(S21)。通信制御装置200内のBridge211は、Eth1を介して受け取った通信データについてセキュリティチェックを行う必要があると判定した場合、当該通信データのヘッダ等にフラグを付けて、当該通信データを、Tap0を介してL2−VPN処理部210へ送る(図25に示した表の8行目参照)。
First, when the
L2−VPN処理部210は、Tap0を介して受け取った通信データにカプセル化および暗号化の処理を施し、処理後の通信データを、Eth0を介してHGW22へ出力する(S22)。HGW22は、通信制御装置200から受け取った通信データを通信路11を介してVHGW32へ送信する(S23)。
The L2-
次に、VHGW32は、通信路11を介して受け取った通信データを通信制御装置300へ送る(S24)。通信制御装置300のL2−VPN処理部310は、Eth00を介して受け取った通信データについて、デカプセル化および復号化の処理を施し、処理後の通信データを、Tap00を介してBridge311へ送る。
Next, the
Bridge311は、Tap00を介して受け取った通信データについてセキュリティチェックを行う。セキュリティチェックの結果「異常なし」と判定された場合(セキュリティ上の脅威がないと判定された場合、あるいは、セキュリティ上の脅威が取り除かれた場合)、Bridge311は、Tap00を介して受け取った通信データからフラグを除去し、フラグを除去した通信データを、Tap00を介してL2−VPN処理部310へ返す(図27に示した表の12行目参照)。
L2−VPN処理部310は、Tap00を介して戻された通信データについてカプセル化および暗号化の処理を施し、処理後の通信データを、Eth00を介してVHGW32へ送る(S25)。VHGW32は、通信制御装置300から受け取った通信データを、通信路11を介してHGW22へ送る(S26)。HGW22は、受け取った通信データを通信制御装置200へ送る(S27)。
The L2-
通信制御装置200内のL2−VPN処理部210は、Eth0を介して受け取った通信データについて、デカプセル化および復号化の処理を施し、処理後の通信データを、Tap0を介してBridge211へ送る。Bridge211は、Tap0を介して受け取った通信データを、Eth2を介して機器21へ送る(図25に示した表の9行目参照)(S28)。
The L2-
ここで、Bridge211側では、内部セグメントNW内の通信データ、例えばRHNW2内の通信データはセキュアであるとみなして、RHNW2と外部のNWとの通信データのみをセキュリティチェックの対象としてもよい。また、RHNW2とVHNW3の間はL2−VPNのみを構築していたが、カプセリングのみのトンネルである通信路12を併用してもよい。この場合、RHNW2内の通信データをセキュリティチェックにかける場合はL2−VPNである通信路11を経由させ、外部のNWとの通信をセキュリティチェックにかける場合はカプセリングによるトンネルである通信路12を経由させることとなる。また、VHNW3側では、例えば機器31と外部のNWとの通信データのみをセキュリティチェックにかける場合、通信データの宛先IPアドレスや送信元IPアドレスに基づいて、セキュリティチェックにかける通信データであるか否かを確認すればよい。
Here, on the
以上、本発明の第5の実施形態について説明した。 The fifth embodiment of the present invention has been described above.
(第6の実施形態)
次に、本発明の第6の実施形態について、図面を参照しながら説明する。本実施形態は、第4の実施形態と第5の実施形態とを組み合わせたものである。
(Sixth embodiment)
Next, a sixth embodiment of the present invention will be described with reference to the drawings. The present embodiment is a combination of the fourth embodiment and the fifth embodiment.
図30は、第6の実施形態における通信制御装置200のハードウェア構成の一例を概念的に示す。本実施形態における通信制御装置200は、L2−VPN処理部210、カプセリング処理部212、SDN−SW213、判定処理部214、Eth0、Eth1、およびEth2を有する。port1〜7は、SDN−SW213に設けられた仮想的なインターフェイスである。なお、以下に説明する点を除き、図30において、図18と同じ符号を付した構成は、図18における構成と同一または同様の機能を有するため説明を省略する。
FIG. 30 conceptually shows an example of the hardware configuration of the
判定処理部214は、port5を介して通信データを受け取った場合に、当該通信データに含まれている情報に基づいてセキュリティチェックを行う必要のある通信データか否かを判定する。判定処理部214は、例えば、レイヤ1〜4程度の情報に基づいてセキュリティチェックを行う必要がある通信データか否かを判定する。
When receiving the communication data via the port 5, the
判定処理部214は、セキュリティチェックが不要と判定した通信データについては、port6を介してSDN−SW213へ送る。また、セキュリティチェックが必要と判定した通信データについては、判定処理部214は、port7へ送る。
The
図31は、第6の実施形態においてSDN−SW213に設定されるフローテーブルの一例を示す。なお、図31には、RHNW2内の機器21同士の通信や機器21によるIPv6インターネット通信のように、VHNW3を経由しない通信データについてのフローテーブルが示されている。これ以外の通信(VHNW3を経由する通信)についてのフローテーブルは、図19に示した表と同様であるため図示および説明を省略する。
FIG. 31 shows an example of a flow table set in the SDN-
例えば、図31に示したフローテーブルの1〜4行目には、RHNW2内の機器21同士で送受信される通信データ(すなわち、Eth2から入力され、宛先MACアドレスが「機器21」である通信データ)の制御について示されている。1行目には、port2を介してEth2から通信データを受け取った場合に、SDN−SW213は、受け取った通信データをport5へ出力する制御が示されている。port5へ出力された通信データは、判定処理部214によってセキュリティチェックの要否が判定される。
For example, in the first to fourth lines of the flow table shown in FIG. 31, communication data transmitted / received between the
また、フローテーブルの2行目には、port6を介して通信データを受信した場合、SDN−SW213は、受信した通信データを、port2を介してEth2へ送る制御が示されている。また、フローテーブルの3行目には、port7を介して通信データを受信した場合、SDN−SW213は、受信した通信データを、port3を介してL2−VPN処理部210へ送る制御が示されている。
In the second row of the flow table, when communication data is received via port 6, SDN-
また、フローテーブルの3行目には、port3を介してL2−VPN処理部210から受け取った通信データの宛先MACアドレスが「機器21」であれば、SDN−SW213は、受け取った通信データをport2へ出力する制御が示されている。これは、例えばRHNW2内の機器21同士で送受信される通信データが、通信制御装置300によるセキュリティチェックの結果、「異常なし」と判定されてRHNW2へ戻された場合の制御を示している。
In the third line of the flow table, if the destination MAC address of the communication data received from the L2-
また、フローテーブルの4〜9行目には、RHNW2内の機器21とHGW22との間で送受信される通信データ(すなわち、Eth2から入力され、宛先MACアドレスが「HGW22」である通信データ)の制御について示されている。
In the fourth to ninth lines of the flow table, communication data transmitted / received between the
また、フローテーブルの10〜13行目には、RHNW2内のHGW22と機器21との間で送受信される通信データ(すなわち、Eth1から入力され、宛先MACアドレスが「機器21」である通信データ)の制御について示されている。
Further, in the 10th to 13th lines of the flow table, communication data transmitted / received between the
SDN−SW213が、図31に示したように通信データの転送を行うことにより、通信データは、例えば図32に示すように転送される。図32は、第6の実施形態において通信制御装置200によって転送される通信データの経路の一例をまとめた表である。
When the SDN-
図33は、第6の実施形態における通信制御装置300のハードウェア構成の一例を概念的に示す。本実施形態における通信制御装置300は、L2−VPN処理部310、カプセリング処理部312、SDN−SW313、セキュリティチェック処理部314、Eth00、Eth01、およびEth02を有する。port01〜06は、SDN−SW313に設けられた仮想的なインターフェイスである。なお、以下に説明する点を除き、図33において、図21と同じ符号を付した構成は、図21における構成と同一または同様の機能を有するため説明を省略する。
FIG. 33 conceptually shows an example of the hardware configuration of the
セキュリティチェック処理部314は、port05を介して通信データを受け取った場合に、当該通信データに含まれている情報に基づいてセキュリティチェックを行う。セキュリティチェック処理部314は、例えば、レイヤ1〜7までの全てのレイヤを対象としてセキュリティチェックを行う。セキュリティチェック処理部314は、セキュリティチェックの結果「異常なし」と判定した通信データ(セキュリティ上の脅威がないと判定された通信データ、あるいは、セキュリティ上の脅威を取り除かれた通信データは)については、port06を介してSDN−SW313へ返す。また、セキュリティチェックの結果「異常あり」と判定した通信データ(セキュリティ上の脅威を取り除くことができた通信データを除く)については、その通信データを破棄する。
When the security
図34は、第6の実施形態においてSDN−SW313に設定されるフローテーブルの一例を示す。なお、図34には、RHNW2内の機器21同士の通信や機器21によるIPv6インターネット通信のように、VHNW3を経由しない通信データについてのフローテーブルが示されている。これ以外の通信(VHNW3を経由する通信)についてのフローテーブルは、図19に示した表と同様であるため説明を省略する。
FIG. 34 shows an example of a flow table set in the SDN-
例えば、図34に示したフローテーブルの1行目には、port01〜04から入力された通信データについては、SDN−SW313は、全てport05へ出力する制御が示されている。これは、port01〜04から入力された通信データについては、全てセキュリティチェック処理部314にセキュリティチェックさせることを示している。
For example, in the first row of the flow table shown in FIG. 34, the SDN-
また、フローテーブルの2〜7行目には、port06から入力される通信データの制御について示されている。port06から入力される通信データは、セキュリティチェック処理部314によるセキュリティチェックの結果「異常なし」と判定されたものである。
The second to seventh lines of the flow table show control of communication data input from port06. The communication data input from the port 06 is determined as “no abnormality” as a result of the security check by the security
例えば、フローテーブルの3行目には、port06から入力される通信データの宛先MACアドレスが「HGW22」であり、かつ、宛先IPアドレスが「外部」であれば、SDN−SW313は、受け取った通信データをport04へ出力する制御が示されている。これは、例えばRHNW2内の機器21からIPv6インターネットへ送信される通信データが、通信制御装置300によるセキュリティチェックの結果「異常なし」と判定された後に、通信路12を介してRHNW2へ戻される場合の制御を示している。
For example, on the third line of the flow table, if the destination MAC address of the communication data input from port 06 is “HGW22” and the destination IP address is “external”, the SDN-
また、フローテーブルの4行目には、port06から入力される通信データの宛先MACアドレスが「機器21」であり、かつ、送信元IPアドレスが「内部」であれば、SDN−SW313は、受け取った通信データをport03へ出力する制御が示されている。これは、例えばHNW100内の機器21や機器31等が機器21との間で送受信する通信データについて、通信制御装置300によるセキュリティチェックの結果「異常なし」と判定されて通信路11を介してRHNW2へ戻される場合の制御を示している。
On the fourth line of the flow table, if the destination MAC address of the communication data input from port 06 is “
また、フローテーブルの6行目には、port06から入力される通信データの宛先MACアドレスが「機器31」であれば、SDN−SW313は、受け取った通信データをport02へ出力する制御が示されている。これは、例えば機器31宛の通信データが、通信制御装置300によるセキュリティチェックの結果「異常なし」と判定されて宛先の機器31へ転送される場合の制御を示している。
Further, the sixth line of the flow table shows a control in which the SDN-
また、フローテーブルの最下行には、フローテーブルに記述されている通信データ以外の通信データについては、SDN−SW313は、通信データを破棄することにより通信を遮断する制御が示されている。なお、SDN−SW313は、フローテーブルに記載されている情報に該当しない通信データについては、対処方法を、例えばVHNW3内に設けられたSDNコントローラに問い合わせるようにしてもよい。
In the bottom row of the flow table, for communication data other than the communication data described in the flow table, SDN-
SDN−SW313が、図34に示したように通信データの転送を行うことにより、通信データは、例えば図35に示すように転送される。図35は、第6の実施形態において通信制御装置300によって転送される通信データの経路の一例をまとめた表である。
When the SDN-
ここで、SDN−SW213側では、内部セグメントNW内の通信データ、例えばRHNW2内の通信データはセキュアであるとみなして、RHNW2と外部のNWとの通信データのみをセキュリティチェックの対象としてもよい。また、RHNW2とVHNW3の間はL2−VPNのみを構築していたが、カプセリングのみのトンネルである通信路12を併用してもよい。この場合、RHNW2内の通信データをセキュリティチェックにかける場合はL2−VPNである通信路11を経由させ、外部のNWとの通信をセキュリティチェックにかける場合はカプセリングによるトンネルである通信路12を経由させることとなる。また、SDN−SW313を通る任意の通信データのうち、選択的に通信データをセキュリティチェックする場合は、port05に出力させる通信データの条件をフローテーブルに登録することになる。また、VHNW3側では、例えば機器31と外部のNWとの通信データのみをセキュリティチェックにかける場合、通信データの宛先IPアドレスや送信元IPアドレスに基づいて、port05に出力させる通信データの条件をフローテーブルに登録することになる。また、SDN−SW213側でセキュリティチェックの要否判定することなく、RHNW2内の通信データ、RHNW2と外部のNWとの通信データ、またはこの両方をセキュリティチェックにかけることとしてもよい。
Here, on the SDN-
以上、本発明の第6の実施形態について説明した。 The sixth embodiment of the present invention has been described above.
以上、本発明をいくつかの実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に多様な変更または改良を加えることが可能であることが当業者には明らかである。また、そのような変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。 As mentioned above, although this invention was demonstrated using some embodiment, the technical scope of this invention is not limited to the range as described in the said embodiment. It will be apparent to those skilled in the art that various modifications or improvements can be made to the above-described embodiment. In addition, it is apparent from the scope of the claims that the embodiments added with such changes or improvements can be included in the technical scope of the present invention.
例えば、上記した第5または第6の実施形態について、例えば、同一セッションの通信データについては、通信開始から所定数または所定期間内の通信データについて、セキュリティチェックの結果「異常なし」と判定された場合には、それ以降の通信データについては、セキュリティチェックを省略するようにしてもよい。この場合、通信制御装置200または通信制御装置300がセッション開始から通信データ数や経過時間を計測して、上限に到達しない間の通信データに対してセキュリティチェックを行わないようにする。また、信頼できる通信先との間で送受信される通信データについては、セキュリティチェックを省略するようにしてもよい。また、同一セグメント内の通信については、安全であるとみなしてセキュリティチェックを省略するようにしてもよい。この場合、通信制御装置200または通信制御装置300がこの信頼できる通信先情報や同一セグメントNW内の通信データであること識別できるアドレス等の情報を記憶しておき、宛先や送信元が記憶している情報に該当する場合は、その通信データに対してセキュリティチェックを行わないようにする。
For example, in the fifth or sixth embodiment described above, for communication data of the same session, for example, a predetermined number or a predetermined period of communication data from the start of communication is determined as “no abnormality” as a result of the security check. In this case, the security check may be omitted for communication data after that. In this case, the
また、上記した第6の実施形態では、RHNW2とVHNW3の間に通信路11と通信路12の2つの通信路を設定するが、本発明はこれに限られず、RHNW2とVHNW3の間の通信は、全て暗号化された通信路11を介して行われてもよい。
Further, in the above-described sixth embodiment, two
また、上記した第3、第4、または第6の実施形態において、カプセリング処理部212およびカプセリング処理部312は、通信データのカプセリングを行い、通信データの暗号化は行わないが、本発明はこれに限られない。例えば、カプセリング処理部212およびカプセリング処理部312は、カプセル化の対象となる通信データ内の一部の情報を秘匿化してカプセル化してもよい。通信データ内の一部の情報とは、例えば、送信元MACアドレスや宛先MACアドレス、送信元IPアドレス、送信元ポート番号等である。また、秘匿化の対象は、送信元MACアドレスや宛先MACアドレス等の情報の一部(上位/下位数ビットなど)であってもよい。秘匿化とは、例えば、転置式暗号や換字式暗号などのように処理負荷が低い処理により実現するのが望ましい。また、上記した実施形態において、IPv6とIPv4の扱いを対称にしてもよい。例えば、IPv4インターネットGWをRHNW2側に、IPv6インターネットGWをVHNW3側に配置することとしてもよく、カプセリングやL2−VPNはIPv4通信によって実現してもよい。また、用途によっては、L2−VPNに限らずL3以上のVPNによって実現してもよく、カプセリング処理は、L2やL3レベルでのカプセリングを行うこととしてもよい。
In the third, fourth, or sixth embodiment described above, the encapsulation processing unit 212 and the
1 ネットワークシステム
100 HNW
10 アクセス網
11 通信路
13 DC
2 RHNW
200 通信制御装置
3 VHNW
300 通信制御装置
1
10
2 RHNW
200 Communication control device 3 VHNW
300 Communication control device
Claims (8)
前記第1の通信制御装置は、
前記第1のネットワーク内を流れる通信データが所定条件に該当するか否かを判定する判定部と、
前記判定部によって、前記第1のネットワーク内を流れる通信データが前記所定条件に該当すると判定された場合に、当該通信データを前記第2の通信制御装置との間に設定した仮想的な通信路を介して前記第2のネットワークへ送信する第1の経路制御部と、
を有し、
前記第1のネットワーク内の機器が前記第1の外部ネットワークを介して通信可能な機器との間で送受信する通信データを中継し、
前記第1のネットワーク内の機器が前記第2のネットワーク内の機器または前記第2の外部ネットワークを介して通信可能な機器との間で送受信する通信データを、前記通信路を介して中継し、
前記第2の通信制御装置は、
前記第2のネットワーク内を流れる通信データに基づいてセキュリティ上の脅威の有無を判定するセキュリティ判定部と、
前記第1の経路制御部によって前記第2のネットワークへ送信された通信データについて、前記セキュリティ判定部が、セキュリティ上の脅威があると判定した場合に、当該通信データの通信相手との通信を拒否するように設定する命令を前記第1のネットワーク内、または前記第2のネットワーク内の所定の機器に通知する第2の経路制御部と、
を有し、
前記第2のネットワーク内の機器が前記第2の外部ネットワークを介して通信可能な機器との間で送受信する通信データを中継し、
前記第2のネットワーク内の機器が前記第1のネットワーク内の機器または前記第1の外部ネットワークを介して通信可能な機器との間で送受信する通信データを、前記通信路を介して中継することを特徴とするネットワークシステム。 A network comprising a first communication control device in a first network capable of communicating with a first external network, and a second communication control device in a second network capable of communicating with at least a second external network A system,
The first communication control device includes:
A determination unit for determining whether communication data flowing in the first network satisfies a predetermined condition;
When the determination unit determines that the communication data flowing in the first network meets the predetermined condition, a virtual communication path in which the communication data is set between the second communication control device A first path control unit for transmitting to the second network via
Have
Relaying communication data transmitted and received between a device in the first network and a device capable of communicating via the first external network;
The communication data transmitted and received between the first device in the network in the second network device or the second communication apparatus capable via an external network, relayed through the front Symbol communications path And
The second communication control device includes:
A security determination unit for determining presence or absence of a security threat based on communication data flowing in the second network;
When the security determination unit determines that there is a security threat for communication data transmitted to the second network by the first route control unit, the communication data is rejected from communication with the communication partner. A second path control unit for notifying a predetermined device in the first network or the second network of an instruction to set to
Have
Relaying communication data transmitted and received between devices in the second network and devices capable of communicating via the second external network;
The communication data transmitted and received between said second device in the network in the first network device or the first communication apparatus capable via an external network, relayed through the front Symbol communications path A network system characterized by
前記第1のネットワーク内を流れる通信データに含まれている少なくとも一部の情報について、セキュリティ上の脅威の有無を判定すべき通信データに該当する値のリストを予め有しており、
前記リストに含まれている情報を含む、あるいは、前記リストに含まれている情報に類似する情報を含む通信データを、前記所定条件に該当する通信データと判定することを特徴とする請求項1または2に記載のネットワークシステム。 The determination unit
For at least a part of information included in the communication data flowing in the first network, a list of values corresponding to the communication data to be determined whether there is a security threat is included in advance.
Including the information contained in the list, or claim 1, wherein the determining the communication data including information similar to the information contained in the list, the communication data corresponding to the predetermined condition Or the network system of 2.
前記第2の通信制御装置との間に、前記通信路を設定する第1のトンネリング処理部と、
前記第1のネットワーク内を流れる通信データの宛先が、少なくとも前記第1の外部ネットワークを介して通信可能な機器、前記第2のネットワーク内の機器、または前記第2の外部ネットワークを介して通信可能な機器のいずれであるかを判別する第1の判別部と、
前記第1の判別部によって、前記第1のネットワーク内を流れる通信データの宛先が、前記第1の外部ネットワークを介して通信可能な機器であると判別された場合に、当該宛先に従って当該通信データを前記第1の外部ネットワークへ送信し、
前記第1の判別部によって、前記第1のネットワーク内を流れる通信データの宛先が、前記第2のネットワーク内の機器、または、前記第2の外部ネットワークを介して通信可能な機器であると判別された場合に、当該通信データを前記第1のトンネリング処理部が設定した前記通信路を介して前記第2のネットワークへ送信する第1の転送処理部と
を有し、
前記第2の通信制御装置は、
前記第1の通信制御装置との間に、前記通信路を設定する第2のトンネリング処理部と、
前記第2のネットワーク内を流れる通信データの宛先が、少なくとも前記第2の外部ネットワークを介して通信可能な機器、前記第1のネットワーク内の機器、または前記第1の外部ネットワークを介して通信可能な機器のいずれであるかを判別する第2の判別部と、
前記第2の判別部によって、前記第2のネットワーク内を流れる通信データの宛先が、前記第2の外部ネットワークを介して通信可能な機器であると判別された場合に、当該宛先に従って当該通信データを前記第2の外部ネットワークへ送信し、
前記第2の判別部によって、前記第2のネットワーク内を流れる通信データの宛先が、前記第1のネットワーク内の機器、または、前記第1の外部ネットワークを介して通信可能な機器であると判別された場合に、当該通信データを前記第2のトンネリング処理部が設定した前記通信路を介して前記第1のネットワークへ送信する第2の転送処理部と
を有することを特徴とする請求項1に記載のネットワークシステム。 The first communication control device includes:
A first tunneling processing unit for setting the communication path with the second communication control device;
The destination of communication data flowing in the first network can communicate via at least a device capable of communicating via the first external network, a device within the second network, or the second external network. A first discriminating unit for discriminating which of the devices is a device,
When the first determination unit determines that the destination of the communication data flowing in the first network is a device that can communicate via the first external network, the communication data according to the destination To the first external network,
The first determination unit determines that the destination of communication data flowing in the first network is a device in the second network or a device capable of communicating via the second external network. And a first transfer processing unit that transmits the communication data to the second network via the communication path set by the first tunneling processing unit,
The second communication control device includes:
A second tunneling processing unit for setting the communication path with the first communication control device;
Communication the second destination of the communication data flowing through the network, via at least the second communication apparatus capable via an external network, the device of the previous SL in the first network or the first external network, A second determination unit for determining which of the possible devices;
When the second determination unit determines that the destination of the communication data flowing in the second network is a device that can communicate via the second external network, the communication data according to the destination To the second external network,
The second determination unit determines that the destination of communication data flowing in the second network is a device in the first network or a device capable of communicating via the first external network. And a second transfer processing unit configured to transmit the communication data to the first network via the communication path set by the second tunneling processing unit. The network system described in 1.
前記第1の通信制御装置が、
前記第1のネットワーク内を流れる通信データが所定条件に該当するか否かを判定する工程と、
前記所定条件に該当するか否かを判定する工程によって、前記第1のネットワーク内を流れる通信データが前記所定条件に該当すると判定された場合に、当該通信データを前記第2の通信制御装置との間に設定した仮想的な通信路を介して前記第2のネットワークへ送信する工程と、
前記第1のネットワーク内の機器が前記第1の外部ネットワークを介して通信可能な機器との間で送受信する通信データを中継する工程と、
前記第1のネットワーク内の機器が前記第2のネットワーク内の機器または前記第2の外部ネットワークを介して通信可能な機器との間で送受信する通信データを、前記通信路を介して中継する工程と
を実行し、
前記第2の通信制御装置が、
前記第2のネットワーク内を流れる通信データに基づいてセキュリティ上の脅威の有無を判定する工程と、
前記送信する工程によって前記第2のネットワークへ送信された通信データについて、前記セキュリティ上の脅威の有無を判定する工程が、セキュリティ上の脅威があると判定した場合に、当該通信データの通信相手との通信を拒否するように設定する命令を前記第1のネットワーク内、または前記第2のネットワーク内の所定の機器に通知する工程と、
前記第2のネットワーク内の機器が前記第2の外部ネットワークを介して通信可能な機器との間で送受信する通信データを中継する工程と、
前記第2のネットワーク内の機器が前記第1のネットワーク内の機器または前記第1の外部ネットワークを介して通信可能な機器との間で送受信する通信データを、前記第1の通信制御装置との間に設定した前記通信路を介して中継する工程と
を実行することを特徴とする通信制御方法。 A first communication control unit in a first network connected to a first external network; a second in a second network connected to the first external network and the second external network; A communication control method in a network system comprising a communication control device,
The first communication control device is
Determining whether communication data flowing in the first network satisfies a predetermined condition;
If it is determined in the step of determining whether or not the predetermined condition is satisfied, communication data flowing in the first network is determined to satisfy the predetermined condition, the communication data is transferred to the second communication control device. Transmitting to the second network via a virtual communication path set during
Relaying communication data transmitted and received between a device in the first network and a device capable of communicating via the first external network;
The communication data transmitted and received between the first device in the network in the second network device or the second communication apparatus capable via an external network, relayed through the front Symbol communications path And performing the process
The second communication control device is
Determining the presence or absence of a security threat based on communication data flowing in the second network;
For the communication data transmitted to the second network by the transmitting step, when the step of determining the presence or absence of the security threat determines that there is a security threat, the communication partner of the communication data A step of notifying a predetermined device in the first network or the second network of an instruction to set to refuse communication of the first network;
Relaying communication data transmitted and received between devices in the second network and devices communicable via the second external network;
Communication data transmitted and received between a device in the second network and a device communicable via the device in the first network or the first external network with the first communication control device And a step of relaying through the communication path set in between.
前記第1のネットワーク内を流れる通信データが所定条件に該当するか否かを判定する判定部と、
前記判定部によって、前記第1のネットワーク内を流れる通信データが前記所定条件に該当すると判定された場合に、当該通信データを前記通信路を介して前記第2のネットワークへ送信する第1の経路制御部と、
を有し、
前記第1のネットワーク内の機器が前記第1の外部ネットワークを介して通信可能な機器との間で送受信する通信データを中継し、
前記第1のネットワーク内の機器が前記第2のネットワーク内の機器または前記第2の外部ネットワークを介して通信可能な機器との間で送受信する通信データを、前記第2のネットワーク内の中継装置との間に設定した仮想的な通信路を介して中継することを特徴とする通信制御装置。 Can communicate with a first external network, provided in the first network, capable of communicating with at least a second external network, a relay device in the second network, the second network A security determination unit that determines the presence or absence of a security threat based on communication data flowing through the first network, and a virtual communication path set between the first network and the second network. For communication data transmitted from the second network to the second network, when the security determination unit determines that there is a security threat, the communication data is set to be refused communication with the communication partner. A second route control unit for notifying a predetermined device in the first network or the second network of a command; A communication control apparatus for communicating with relay device,
A determination unit for determining whether communication data flowing in the first network satisfies a predetermined condition;
A first route for transmitting the communication data to the second network via the communication path when the determination unit determines that the communication data flowing in the first network satisfies the predetermined condition A control unit;
Have
Relaying communication data transmitted and received between a device in the first network and a device capable of communicating via the first external network;
A relay device in the second network for communication data transmitted / received between a device in the first network and a device in the second network or a device communicable via the second external network A communication control device that relays via a virtual communication path set between and.
前記第2のネットワーク内を流れる通信データに基づいてセキュリティ上の脅威の有無を判定するセキュリティ判定部と、
前記通信路を介して、前記中継装置から前記第2のネットワークへ送信された通信データについて、前記セキュリティ判定部が、セキュリティ上の脅威があると判定した場合に、当該通信データの通信相手との通信を拒否するように設定する命令を前記第1のネットワーク内、または前記第2のネットワーク内の所定の機器に通知する第1の経路制御部と、
を有し、
前記第2のネットワーク内の機器が前記第2の外部ネットワークを介して通信可能な機器との間で送受信する通信データを中継し、
前記第2のネットワーク内の機器が前記第1のネットワーク内の機器または前記第1の外部ネットワークを介して通信可能な機器との間で送受信する通信データを、前記第1のネットワーク内の中継装置との間に設定した仮想的な通信路を介して中継することを特徴とする通信制御装置。 Capable of communicating with at least a second external network, provided in a second network, which can communicate with a first external network, a TsugiSo location within the first network, the first network A determination unit that determines whether or not communication data that flows through the first network satisfies a predetermined condition, and the communication unit that determines that the communication data that flows through the first network meets the predetermined condition. Communication with a relay device having a second path control unit that transmits data to the second network via a virtual communication path set between the first network and the second network A communication control device,
A security determination unit for determining presence or absence of a security threat based on communication data flowing in the second network;
With respect to communication data transmitted from the relay device to the second network via the communication path, when the security determination unit determines that there is a security threat, communication with the communication partner of the communication data A first path control unit for notifying a predetermined device in the first network or the second network of an instruction to set to refuse communication;
Have
Relaying communication data transmitted and received between devices in the second network and devices capable of communicating via the second external network;
A relay device in the first network for communication data transmitted / received by a device in the second network to / from a device in the first network or a device communicable via the first external network A communication control device that relays via a virtual communication path set between and.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013139224A JP5986044B2 (en) | 2013-07-02 | 2013-07-02 | Network system, communication control method, communication control apparatus, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013139224A JP5986044B2 (en) | 2013-07-02 | 2013-07-02 | Network system, communication control method, communication control apparatus, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015012594A JP2015012594A (en) | 2015-01-19 |
JP5986044B2 true JP5986044B2 (en) | 2016-09-06 |
Family
ID=52305337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013139224A Expired - Fee Related JP5986044B2 (en) | 2013-07-02 | 2013-07-02 | Network system, communication control method, communication control apparatus, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5986044B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017150621A1 (en) * | 2016-03-02 | 2017-09-08 | 日本電気株式会社 | Network system, terminal, sensor data collection method, and program |
JP7125317B2 (en) * | 2018-09-28 | 2022-08-24 | アズビル株式会社 | UNAUTHORIZED ACCESS MONITORING DEVICE AND METHOD |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3700671B2 (en) * | 2002-04-10 | 2005-09-28 | 横河電機株式会社 | Security management system |
JP2005277498A (en) * | 2004-03-23 | 2005-10-06 | Fujitsu Ltd | Communication system |
JP5893546B2 (en) * | 2012-11-30 | 2016-03-23 | 日本電信電話株式会社 | Network system, communication control method, communication control apparatus, and communication control program |
JP6075871B2 (en) * | 2013-05-09 | 2017-02-08 | 日本電信電話株式会社 | Network system, communication control method, communication control apparatus, and communication control program |
-
2013
- 2013-07-02 JP JP2013139224A patent/JP5986044B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2015012594A (en) | 2015-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Durand et al. | Dual-stack lite broadband deployments following IPv4 exhaustion | |
JP4780477B2 (en) | Tunneling device, tunnel frame distribution method used therefor, and program therefor | |
US9762484B2 (en) | Role based router functionality | |
US20100121946A1 (en) | Method and device for identifying and selecting an interface to access a network | |
US20140181248A1 (en) | Simple Remote Access Through Firewalls For Networked Devices and Applications | |
US8688842B2 (en) | Methods, apparatuses, system, and related computer program product for user equipment access | |
EP2489171A1 (en) | Apparatus, logic and method for providing a translation mechanism in a network environment | |
JPWO2006120751A1 (en) | Peer-to-peer communication method and system enabling incoming and outgoing calls | |
US11677717B2 (en) | Unified network service that connects multiple disparate private networks and end user client devices operating on separate networks | |
JP7095102B2 (en) | Systems and methods for creating group networks between network devices | |
JP2007104440A (en) | Packet transmission system, its method, and tunneling device | |
US8146144B2 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
US9088542B2 (en) | Firewall traversal driven by proximity | |
JP2009010606A (en) | Tunnel connection system, tunnel control server, tunnel connecting device, and tunnel connection method | |
JP5986044B2 (en) | Network system, communication control method, communication control apparatus, and program | |
JP4746978B2 (en) | Local network and remote network operation method, software module, and gateway | |
Abdulla | Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms | |
Bhatia et al. | Bidirectional forwarding detection (BFD) on link aggregation group (LAG) interfaces | |
JP2006191205A (en) | Communication apparatus, communication method, and communication system | |
KR101712922B1 (en) | Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same | |
US12107827B2 (en) | Unified network service that connects multiple disparate private networks and end user client devices operating on separate networks | |
US12101295B2 (en) | Internet protocol security (IPSec) tunnel using anycast at a distributed cloud computing network | |
Menachi et al. | Scalable, hierarchical, Ethernet transport network architecture (HETNA) | |
JP5453941B2 (en) | Communication control device | |
Pandya | Transmission control protocol/internet protocol packet analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150805 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160414 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A132 Effective date: 20160510 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160704 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160802 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160804 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5986044 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |