JP6191259B2 - ネットワーク分離方法及びネットワーク分離装置 - Google Patents
ネットワーク分離方法及びネットワーク分離装置 Download PDFInfo
- Publication number
- JP6191259B2 JP6191259B2 JP2013123168A JP2013123168A JP6191259B2 JP 6191259 B2 JP6191259 B2 JP 6191259B2 JP 2013123168 A JP2013123168 A JP 2013123168A JP 2013123168 A JP2013123168 A JP 2013123168A JP 6191259 B2 JP6191259 B2 JP 6191259B2
- Authority
- JP
- Japan
- Prior art keywords
- relay
- network
- packet
- unit
- selection unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Description
外部からの不正なアクセスを防止するためのファイヤーウォールなどのセキュリティを設定する一方で、企業では、社員や企業の了承を得て企業のネットワークにアクセスが可能なユーザからのアクセスを、ファイヤーウォールでブロックしないように設定する。この設定において、企業側が、ファイヤーウォールでブロックしないユーザを間違えて設定した場合、予期せぬユーザが企業のネットワークにアクセスができる状態となってしまう。換言すると、中継装置は、企業のネットワークセキュリティで予期せぬ設定がされていると、意図しないパケットが入力された場合、パケットをそのまま流してしまうという問題がある。
図1は、第1の実施形態に係る中継装置の例を説明する図である。図1の中継装置100は、LAN側のネットワークとWAN側のネットワークとを中継する装置である。中継装置100は、選択部101、第1の仮想ルータ102、第2の仮想ルータ103を有する。選択部101は、アプリケーション層で動作するプログラムである。選択部101は、第1の仮想ルータ102と第2の仮想ルータ103に入力されたデータについて中継してもよいかを判定する。選択部は、中継の対象と判定したパケットを選択し、仮想ルータ間の中継処理を行う。第1・第2の仮想ルータは、中継装置100内に仮想的に作成されたルータであり、ネットワーク層の処理を用いてルーティング処理を行う。第1の仮想ルータ102は、LAN側とのインターフェースとしてパケットの送受信をする。第2の仮想ルータ103は、WAN側とのインターフェースとしてパケットの送受信をする。よって、LAN側のネットワークから入力されるデータは、第1の仮想ルータ102によって受信され、選択部101に転送され、その後、中継対象と判定されれば、第2の仮想ルータ103からWAN側のネットワークに送信される。逆に、WAN側のネットワークから入力されるデータは、第2の仮想ルータ103によって受信され、選択部101に転送され、その後、選択部で中継対象に選択されれば、第1の仮想ルータ102からLAN側のネットワークに送信される。中継装置100を通るデータは、第1及び第2の仮想ルータを有することにより、LAN側のネットワークとWAN側のネットワークとを分離している。なお、選択部101も、仮想的に動作する装置であってもよい。
なお、実施形態は上記に限られるものではなく、様々に変形可能である。以下にその例を述べる。
12 メモリ
13 バス
14 外部記憶装置
15 ネットワーク接続装置
16 入力装置
17 出力装置
18 媒体駆動装置
19 可搬記憶媒体
100 中継装置
101 選択部
102 第1の仮想ルータ
103 第2の仮想ルータ
200 中継装置
201 選択部
202 第1の仮想ルータ
203 第2の仮想ルータ
204 物理IF
205 VPN制御部
206 第1のルーティング情報
207 VPN処理部
208 第2のルーティング情報
210 起点装置
220 VPNトンネル
Claims (5)
- 第1のネットワークと第2のネットワークとの間の通信を中継する中継装置において使用されるネットワーク分離方法であって、
前記第1のネットワークに接続された装置に関する情報を示す第1のルーティング情報を有する第1の中継部は、ネットワーク層での処理を中断した後に、前記第1のネットワークから前記第2のネットワーク中の装置宛のパケットを選択部に出力し、
前記第2のネットワークに接続された装置に関する情報を示す第2のルーティング情報を有する第2の中継部は、ネットワーク層での処理を中断した後に、前記第2のネットワークから前記第1のネットワーク中の装置宛のパケットを前記選択部に出力し、
前記選択部は、前記第1の中継部から入力されたパケットから、予め作成されたアプリケーション層の中継ルールに該当する第1の中継パケットを選択して前記第2の中継部に出力し、
前記第2の中継部は、前記第1の中継パケットを前記第2のルーティング情報に登録されている装置に中継し、
前記選択部は、前記第2の中継部から入力されたパケットから、前記中継ルールに該当する第2の中継パケットを選択して前記第1の中継部に出力し、
前記第1の中継部は、前記第2の中継パケットを前記第1のルーティング情報に登録されている装置に中継する
ことを特徴とするネットワーク分離方法。 - 前記選択部は、前記中継ルールに従って、
予め登録されたアドレスを含むパケット、暗号化されたパケット、個人情報が含まれていないパケットのうち、少なくとも1つを通過させる
ことを特徴とする請求項1記載のネットワーク分離方法。 - 前記中継装置は、前記第2のネットワークに属し、かつVPN(Virtual Private Network)の起点となる起点装置と前記第2の中継部との間をVPNで接続し、
前記第2の中継部は、前記起点装置から前記第1のネットワーク宛のパケットを受信すると、受信パケットを前記選択部に出力する
ことを特徴とする請求項1記載のネットワーク分離方法。 - 第1のネットワークと第2のネットワークの間を中継するパケットを選択する選択部と、
前記第1のネットワークに接続された装置に関する情報を示す第1のルーティング情報を備え、ネットワーク層での処理を中断した後に、前記第1のネットワークから前記第2のネットワーク中の装置宛のパケットを前記選択部に出力する第1の中継部と、
前記第2のネットワークに接続された装置に関する情報を示す第2のルーティング情報を備え、ネットワーク層での処理を中断した後に、前記第2のネットワークから前記第1のネットワーク中の装置宛のパケットを前記選択部に出力する第2の中継部と、を備え、
前記選択部は、アプリケーション層の中継ルールを保持し、前記第1の中継部から入力されたパケットから前記中継ルールに該当する第1の中継パケットを選択し、前記第1の中継パケットを、前記第2の中継部に出力し、
前記第2の中継部は、前記第1の中継パケットを前記第2のルーティング情報に登録されている装置に中継し、
前記選択部は、前記第2の中継部から入力されたパケットから前記中継ルールに該当する第2の中継パケットを選択し、前記第2の中継パケットを、前記第1の中継部に出力し、
前記第1の中継部は、前記第2の中継パケットを前記第1のルーティング情報に登録されている装置に中継する
ことを特徴とするネットワーク分離装置。 - 前記選択部は、前記中継ルールに従って、
予め登録されたアドレスを含むパケット、暗号化されたパケット、個人情報が含まれていないパケットのうち、少なくとも1つを通過させる
ことを特徴とする請求項4記載のネットワーク分離装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013123168A JP6191259B2 (ja) | 2013-06-11 | 2013-06-11 | ネットワーク分離方法及びネットワーク分離装置 |
US14/217,843 US9473401B2 (en) | 2013-06-11 | 2014-03-18 | Network separation method and network separation device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013123168A JP6191259B2 (ja) | 2013-06-11 | 2013-06-11 | ネットワーク分離方法及びネットワーク分離装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014241511A JP2014241511A (ja) | 2014-12-25 |
JP6191259B2 true JP6191259B2 (ja) | 2017-09-06 |
Family
ID=52005435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013123168A Active JP6191259B2 (ja) | 2013-06-11 | 2013-06-11 | ネットワーク分離方法及びネットワーク分離装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US9473401B2 (ja) |
JP (1) | JP6191259B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10110643B2 (en) * | 2016-10-14 | 2018-10-23 | Genband Us Llc | Common media platform for various distributed telecommunication components |
US20190116119A1 (en) * | 2017-10-17 | 2019-04-18 | Huawei Technologies Co., Ltd. | Inter-vrf routing using normal network operation model |
EP3691207A1 (de) * | 2019-01-31 | 2020-08-05 | Siemens Aktiengesellschaft | Verfahren zum betrieb eines kommunikationssystems mit redundanten routern und router |
US11463312B2 (en) * | 2021-01-21 | 2022-10-04 | Cisco Technology, Inc. | Secure onboarding of network devices |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11225154A (ja) | 1998-02-09 | 1999-08-17 | Matsushita Electric Ind Co Ltd | 集線/変換装置のルーティング方式 |
US7099957B2 (en) | 2001-08-23 | 2006-08-29 | The Directtv Group, Inc. | Domain name system resolution |
JP3714549B2 (ja) * | 2002-02-15 | 2005-11-09 | 日本電信電話株式会社 | ゲートウェイ装置及びそれによる通信方法 |
KR100485769B1 (ko) | 2002-05-14 | 2005-04-28 | 삼성전자주식회사 | 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법 |
US20040255037A1 (en) | 2002-11-27 | 2004-12-16 | Corvari Lawrence J. | System and method for authentication and security in a communication system |
US7633909B1 (en) * | 2002-12-20 | 2009-12-15 | Sprint Spectrum L.P. | Method and system for providing multiple connections from a common wireless access point |
US7260841B2 (en) | 2003-02-27 | 2007-08-21 | Nortel Networks Limited | System and method for maintaining access to content in an encrypted network environment |
EP1635502B1 (en) | 2003-06-19 | 2019-05-22 | Nippon Telegraph And Telephone Corporation | Session control server and communication system |
US7401355B2 (en) * | 2004-04-30 | 2008-07-15 | Sun Microsystems | Firewall load balancing using a single physical device |
US8146145B2 (en) * | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
JP4575219B2 (ja) * | 2005-04-12 | 2010-11-04 | 株式会社東芝 | セキュリティゲートウェイシステムとその方法およびプログラム |
CN101273337B (zh) * | 2005-10-06 | 2010-10-06 | 三菱电机株式会社 | 终端装置和服务器装置以及指令装置 |
US20080076425A1 (en) | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
US7660265B2 (en) * | 2006-10-27 | 2010-02-09 | International Business Machines Corporation | Network packet inspection and forwarding |
US8112491B1 (en) * | 2009-01-16 | 2012-02-07 | F5 Networks, Inc. | Methods and systems for providing direct DMA |
US8613072B2 (en) | 2009-02-26 | 2013-12-17 | Microsoft Corporation | Redirection of secure data connection requests |
US20100272115A1 (en) | 2009-04-22 | 2010-10-28 | Rajesh Ramankutty | Gateway-based management in a communication network |
KR101215191B1 (ko) | 2009-09-18 | 2012-12-24 | 엔이씨 유럽 리미티드 | 통신 시스템과 통신 제어 방법 |
JP2011077769A (ja) * | 2009-09-30 | 2011-04-14 | Fujifilm Corp | Vpnシステムおよびその動作制御方法 |
TWI543564B (zh) | 2011-02-15 | 2016-07-21 | Zte股份有限公司 | 固定式行動匯流網路中之網際網路協定映射解析 |
EP2744298A4 (en) | 2011-09-30 | 2015-07-08 | Nec Corp | COMMUNICATION SYSTEM, COMMUNICATION PROCEDURE AND COMMUNICATION PROGRAM |
US9143529B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Modifying pre-existing mobile applications to implement enterprise security policies |
US9788188B2 (en) | 2012-12-14 | 2017-10-10 | Ibasis, Inc. | Method and system for hub breakout roaming |
-
2013
- 2013-06-11 JP JP2013123168A patent/JP6191259B2/ja active Active
-
2014
- 2014-03-18 US US14/217,843 patent/US9473401B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US9473401B2 (en) | 2016-10-18 |
JP2014241511A (ja) | 2014-12-25 |
US20140362866A1 (en) | 2014-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5161262B2 (ja) | トンネル情報に基づきアドレス指定衝突を解決する方法及びシステム | |
US8811397B2 (en) | System and method for data communication between a user terminal and a gateway via a network node | |
JP5871063B2 (ja) | マルチテナントシステム、スイッチ、コントローラ、及びパケット転送方法 | |
JP2012516112A (ja) | ネットワークの外部からのプライベートネットワークリソースへのリモートアクセス | |
JP6191259B2 (ja) | ネットワーク分離方法及びネットワーク分離装置 | |
CN108141409B (zh) | 通信系统、地址通知装置、通信控制装置、终端、通信方法以及程序 | |
JP6162821B2 (ja) | リモートメンテナンスシステム | |
CN105490995A (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
JP2015177430A (ja) | トンネルエンドポイント装置、通信装置、通信システム、通信方法及びプログラム | |
CN107948104A (zh) | 一种网络地址转换环境中报文转发的方法及交换设备 | |
JP2016143076A (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
JP5601067B2 (ja) | 中継装置 | |
JP6229368B2 (ja) | アクセス制御方法、アクセス制御システム及びアクセス制御装置 | |
KR101378313B1 (ko) | 오픈플로우(OpenFlow)를 이용하여 사용자 단말 장치와 로컬 호스트 사이의 통신을 지원하기 위한 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
JP6200033B2 (ja) | 中継装置、中継方法及び中継プログラム | |
JP4827868B2 (ja) | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 | |
KR101363338B1 (ko) | 오픈플로우(OpenFlow)를 이용하여 사용자 단말 장치 사이의 통신을 지원하기 위한 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
JP5893546B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
KR101382620B1 (ko) | 가상사설망을 구성하는 장치 및 방법 | |
JP2016143911A (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
KR102039583B1 (ko) | 기지국장치 및 기지국장치의 동작 방법 | |
JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
WO2016121881A1 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
WO2016013118A1 (ja) | 中継装置、ネットワークシステム、及びネットワークシステムの制御方法 | |
JP5370013B2 (ja) | 通信中継装置、通信中継プログラム、及び通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160310 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170116 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170131 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170313 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170711 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170724 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6191259 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |