WO2013069161A1

WO2013069161A1 - ルーティング方法およびネットワーク伝送装置

Info

Publication number: WO2013069161A1
Application number: PCT/JP2011/076116
Authority: WO
Inventors: 武仲　正彦; 国一松本; 四ノ宮　大輔; 高橋　裕; 弘亮坂井
Original assignee: 富士通株式会社
Priority date: 2011-11-11
Filing date: 2011-11-11
Publication date: 2013-05-16
Also published as: US20160191387A1; US10009271B2; US9313130B2; JPWO2013069161A1; US20140211807A1; JP5790775B2

Abstract

　サービスの信頼性に応じてパケットの転送経路を変えることを容易に実現する。　アドレス解決の問い合わせで指定された第１の形式のアドレスが、ネットワーク（４）への直接のルーティングが可能なアドレスか否か判断する。可能と判断した場合、アドレス解決の問い合わせにより取得された第２の形式のアドレスを宛先とするパケットがネットワーク（４）に転送されるように、ルーティングテーブル（１１ａ）を設定する。可能と判断しなかった場合、取得された第２の形式のアドレスを宛先とするパケットがネットワーク（５）に転送されるように、ルーティングテーブル（１１ａ）を設定する。

Description

ルーティング方法およびネットワーク伝送装置

　本発明はルーティング方法およびネットワーク伝送装置に関する。

　現在、ＬＡＮ（Local Area Network）やイントラネットなどの組織内ネットワークの多くは、インターネットなどの広域ネットワークに接続されている。物理的に離れた複数の組織内ネットワークを、仮想プライベートネットワーク（ＶＰＮ：Virtual Private Network）などの通信技術を用いて、広域ネットワークを介して接続することもある。

　セキュリティの観点から、組織内ネットワークと広域ネットワークとの境界に、ファイアウォール（プロキシサーバと呼ぶものを含む）を設けることがある。ファイアウォールには、ウィルスや機密情報などを検出するため、通信の内容を検査するレイヤ７（アプリケーション層）のプロトコル処理を行うものもある。ただし、高レイヤのプロトコル処理を行うファイアウォールは、負荷が高くなりやすい。また、大規模な組織内ネットワークの通信を、１カ所のファイアウォールに集約して検査しようとすると、ファイアウォールの負荷が高くなり、通信の遅延が大きくなることがある。

　なお、ＤＮＳ（Domain Name System）の逆引き問い合わせによりパケットのＩＰ（Internet Protocol）アドレスからドメイン名を検索し、検索したドメイン名とドメイン名ルーティングテーブルとに基づいて、当該パケットをルーティングするルータが提案されている。また、ホワイトリストに登録されているＩＰアドレスを含むパケットを、ホワイトリスト用サーバに転送し、ホワイトリストに登録されていないＩＰアドレスを含むパケットを、通常サーバに転送するロードバランサが提案されている。

特開2005-223449号公報特開2010-45617号公報

　ところで、広域ネットワークを介して提供されるサービスには、著名なＷｅｂ検索サービスや著名なソフトウェアベンダのアップデートサービスなど、信頼性の高いサービスも含まれる。そこで、通信を検査する負荷を軽減するため、信頼できるサービスに関するパケットとそれ以外のパケットとで転送経路を変える（例えば、前者はファイアウォールを迂回し後者はファイアウォールを経由するように転送する）ことが考えられる。しかし、このような転送経路の制御を、通信装置でどのように実現すればよいかが問題となる。

　例えば、サービスの中には、クライアントからのアクセスを動的にキャッシュサーバに誘導するものがある。各サービスで利用され得るキャッシュサーバを事前に特定することは難しいため、各パケットに含まれる低レイヤのアドレス（例えば、ＩＰアドレス）のみから、当該パケットが信頼できるサービスに関するものかを判断することは難しい。

　また、サービスを提供する事業者とキャッシュサーバを運営する事業者とが異なることがある。この場合、各パケットに含まれる低レイヤのアドレスから、逆引き問い合わせによって高レイヤのアドレス（例えば、ドメイン名を含むホスト名）を検索しても、その高レイヤのアドレスのドメインはキャッシュサーバの事業者を示すに過ぎないことがある。このため、逆引き問い合わせの結果からサービスの信頼性を判断することも難しい。

　また、パケットを振り分ける通信装置において、高レイヤのプロトコル処理（例えば、レイヤ７のＨＴＴＰ（Hypertext Transfer Protocol）処理）を行って、パケットの内容からオリジナルの高レイヤのアドレスを抽出する方法が考えられる。しかし、この方法では、高機能な通信装置を使用することになり、コストや負荷の点で不利となる。

　一側面では、本発明は、サービスの信頼性に応じてパケットの転送経路を変えることが容易に実現できるルーティング方法およびネットワーク伝送装置を提供することを目的とする。

　一側面によれば、第１および第２のネットワークに接続されたネットワーク伝送装置におけるルーティング方法が提供される。ルーティング方法では、クライアントから第１の形式のアドレスにより、アドレス解決の問い合わせを受信したとき、第１の形式のアドレスに基づき、第１のネットワークへの直接のルーティングの可否を判断する。第１のネットワークへの直接のルーティングが可能と判断した場合は、第１のネットワークに第１の形式のアドレスのアドレス解決を問い合わせ、第１のネットワークへの直接のルーティングが可能と判断しなかった場合は、第２のネットワークに第１の形式のアドレスのアドレス解決を問い合わせる。アドレス解決の問い合わせにより第１のネットワークまたは第２のネットワークより取得した第２の形式のアドレスを含むアドレス回答を、クライアントに送信する。第１のネットワークにアドレス解決を問い合わせた場合は、取得したアドレス回答に含まれる第２の形式のアドレスを宛先とするパケットは第１のネットワークに転送されるようにルーティングテーブルを設定する。第２のネットワークにアドレス解決を問い合わせた場合は、取得したアドレス回答に含まれる第２の形式のアドレスを宛先とするパケットは第２のネットワークに転送されるようにルーティングテーブルを設定する。

　また、一側面によれば、第１および第２のネットワークに接続されたネットワーク伝送装置におけるルーティング方法が提供される。ルーティング方法では、アドレス解決の問い合わせを行ったクライアントに転送される、クライアントが指定した第１の形式のアドレスと回答である第２の形式のアドレスとを含むアドレス回答を取得する。アドレス回答に含まれる第１の形式のアドレスに基づき、第１のネットワークへの直接のルーティングの可否を判断する。第１のネットワークへの直接のルーティングが可能と判断した場合は、アドレス回答に含まれる第２の形式のアドレスを宛先とするパケットが第１のネットワークに転送されるようにルーティングテーブルを設定する。第１のネットワークへの直接のルーティングが可能と判断しなかった場合は、アドレス回答に含まれる第２の形式のアドレスを宛先とするパケットが第２のネットワークに転送されるようにルーティングテーブルを設定する。

　また、一側面によれば、第１および第２のネットワークに接続可能なネットワーク伝送装置が提供される。ネットワーク伝送装置は、記憶部と制御部とを有する。記憶部は、ルーティングテーブルを記憶する。制御部は、クライアントから第１の形式のアドレスによりアドレス解決の問い合わせを受け付けたとき、第１の形式のアドレスに基づき第１のネットワークへの直接のルーティングの可否を判断し、第１のネットワークへの直接のルーティングが可能と判断した場合は第１のネットワークに第１の形式のアドレスのアドレス解決を問い合わせ、第１のネットワークへの直接のルーティングが可能と判断しなかった場合は第２のネットワークに第１の形式のアドレスのアドレス解決を問い合わせ、第１のネットワークまたは第２のネットワークから第２の形式のアドレスを含むアドレス回答を取得し、第１のネットワークにアドレス解決を問い合わせた場合はアドレス回答に含まれる第２の形式のアドレスを宛先とするパケットは第１のネットワークに転送されるようにルーティングテーブルを設定し、第２のネットワークにアドレス解決を問い合わせた場合はアドレス回答に含まれる第２の形式のアドレスを宛先とするパケットは第２のネットワークに転送されるようにルーティングテーブルを設定する。

　また、一側面によれば、第１および第２のネットワークに接続可能なネットワーク伝送装置が提供される。ネットワーク伝送装置は、記憶部と制御部とを有する。記憶部は、ルーティングテーブルを記憶する。制御部は、アドレス解決の問い合わせを行ったクライアントに転送されるクライアントが指定した第１の形式のアドレスと回答である第２の形式のアドレスとを含むアドレス回答を取得し、アドレス回答に含まれる第１の形式のアドレスに基づき第１のネットワークへの直接のルーティングの可否を判断し、第１のネットワークへの直接のルーティングが可能と判断した場合はアドレス回答に含まれる第２の形式のアドレスを宛先とするパケットが第１のネットワークに転送されるようにルーティングテーブルを設定し、第１のネットワークへの直接のルーティングが可能と判断しなかった場合はアドレス回答に含まれる第２の形式のアドレスを宛先とするパケットが第２のネットワークに転送されるようにルーティングテーブルを設定する。

　サービスの信頼性に応じてパケットの転送経路を変えることが容易に実現できる。
　本発明の上記および他の目的、特徴および利点は本発明の例として好ましい実施の形態を表す添付の図面と関連した以下の説明により明らかになるであろう。

第１の実施の形態のネットワーク伝送装置を示す図である。第２の実施の形態のネットワーク伝送装置を示す図である。第３の実施の形態の通信システムを示す図である。ルータのハードウェア例を示すブロック図である。第３の実施の形態のソフトウェア構成例を示すブロック図である。ＤＮＳパケットのフォーマット例を示す図である。第３の実施の形態のルータ制御を示すフローチャートである。第３の実施の形態のＤＮＳ処理例を示す図である。第３の実施の形態のパケット転送例を示す図である。第３の実施の形態の通信シーケンス例を示す第１の図である。第３の実施の形態の通信シーケンス例を示す第２の図である。第４の実施の形態のソフトウェア構成例を示すブロック図である。第４の実施の形態のルータ制御を示すフローチャートである。第４の実施の形態のＤＮＳ処理例を示す図である。第４の実施の形態の通信シーケンス例を示す図である。他の通信シーケンス例を示す図である。他のパケット転送例を示す図である。

　以下、本実施の形態を図面を参照して説明する。
　［第１の実施の形態］
　図１は、第１の実施の形態のネットワーク伝送装置を示す図である。第１の実施の形態のネットワーク伝送装置１０は、クライアント３から受信したパケットを、ネットワーク４，５に転送する通信装置である。

　ネットワーク伝送装置１０は、例えば、クライアント３の属するＬＡＮからネットワーク４への出口に位置するルータである。ネットワーク伝送装置１０は、レイヤ３（例えば、ＩＰ層）以下またはレイヤ４（例えば、ＴＣＰ（Transmission Control Protocol）層）以下のプロトコル処理を行い、レイヤ７（アプリケーション層）のプロトコル処理を行わないルータでもよい。

　クライアント３は、例えば、ユーザが使用する端末装置としてのコンピュータである。ネットワーク４は、例えば、インターネットなどの広域ネットワークである。ネットワーク５は、例えば、ファイアウォールを備えるＬＡＮやイントラネットである。ネットワーク伝送装置１０とネットワーク５は、ネットワーク４に形成したＶＰＮを介して接続されてもよい。例えば、クライアント３が送信したパケットが、ネットワーク５を迂回してネットワーク４に直接転送されるか、または、ネットワーク５を経由してネットワーク４に転送される。

　ネットワーク伝送装置１０は、記憶部１１、制御部１２および送信部１３を有する。
　記憶部１１は、ルーティングテーブル１１ａを記憶する。記憶部１１は、ＲＡＭ（Random Access Memory）などの揮発性記憶装置でもよいし、フラッシュメモリなどの不揮発性記憶装置でもよい。ルーティングテーブル１１ａは、パケットの宛先アドレス（後述する第２の形式のアドレス）に基づいて当該パケットをネットワーク４，５の何れに転送するか判断するときに参照される。ルーティングテーブル１１ａには、ネットワーク４に転送されるパケットの宛先アドレスを記載してもよいし（ホワイトリスト方式）、ネットワーク５に転送されるパケットの宛先アドレスを記載してもよい（ブラックリスト方式）。

　制御部１２は、ＤＮＳなどのアドレス解決システムを利用したアドレス解決を処理し、アドレス解決の結果を用いてルーティングテーブル１１ａを設定する。制御部１２は、ＣＰＵ（Central Processing Unit）などのプロセッサとプログラムを記憶するメモリとを用いて実装してもよいし、ハードウェアロジックとして実装してもよい。

　制御部１２は、クライアント３から、第１の形式のアドレス（例えば、ドメイン名を含むホスト名）が指定されたアドレス解決の問い合わせを取得する。第１の形式のアドレスは、例えば、クライアント３で実行されるＷｅｂブラウザから入力される。制御部１２は、アドレス解決の問い合わせで指定された第１の形式のアドレスが、ネットワーク４へ直接ルーティングしてよい（例えば、ネットワーク５を経由しなくてよい）アドレスか判断する。直接ルーティングが可能なアドレスは、例えば、信頼できるサービスを示すアドレスである。直接ルーティングの可否は、予め用意された信頼できる第１の形式のアドレスのリストを参照して判断してもよいし（ホワイトリスト方式）、予め用意された信頼できない第１の形式のアドレスのリストを参照して判断してもよい（ブラックリスト方式）。

　制御部１２は、ネットワーク４への直接ルーティングが可能と判断した場合はネットワーク４に問い合わせ、ネットワーク４への直接ルーティングが可能と判断しなかった場合はネットワーク５に問い合わせることで、第１の形式のアドレスに対応する第２の形式のアドレス（例えば、ＩＰアドレス）を取得する。制御部１２は、第２の形式のアドレスを含むアドレス回答をクライアント３に転送するよう制御する。アドレス回答を受信したクライアント３は、以降、第２の形式のアドレスを宛先アドレスとして用いてパケットを送信することができる。

　このとき、制御部１２は、ネットワーク４への問い合わせによって取得した第２の形式のアドレスを、信頼できる通信相手のアドレスと判定し、ネットワーク５への問い合わせによって取得した第２の形式のアドレスを、信頼できる通信相手でないアドレスと判定する。そして、制御部１２は、判定結果に基づいて、ルーティングテーブル１１ａを設定する。例えば、ルーティングテーブル１１ａがホワイトリスト方式である場合、制御部１２は、信頼できる通信相手の第２の形式のアドレス（ネットワーク４から取得した第２の形式のアドレス）を、ルーティングテーブル１１ａに登録する。

　送信部１３は、記憶部１１に記憶されたルーティングテーブル１１ａと、各パケットに宛先アドレスとして含まれる第２の形式のアドレスとに応じて、クライアント３から受信する各パケットを転送する。送信部１３は、信頼できる通信相手と判定された第２の形式のアドレス（ネットワーク４に問い合わせて取得した第２の形式のアドレス）を含むパケットをネットワーク４に転送する。一方、送信部１３は、信頼できる通信相手と判定されなかった第２の形式のアドレス（ネットワーク５に問い合わせて取得した第２の形式のアドレス）を含むパケットをネットワーク５に転送する。

　例えば、信頼できる通信相手宛てのパケットは、ネットワーク５を迂回してネットワーク４に転送され、信頼できる通信相手宛てでないパケットは、ネットワーク５を経由してネットワーク４に転送される。ネットワーク５では、例えば、ファイアウォールによりパケットの内容が検査され、不適切な内容のパケットが遮断される。ネットワーク伝送装置１０とネットワーク５とが仮想ネットワーク技術を用いて接続されている場合、例えば、ネットワーク伝送装置１０は、信頼できる通信相手宛てのパケットをカプセル化せずにネットワーク４に転送し、信頼できる通信相手宛てでないパケットをカプセル化してネットワーク５に転送する。

　第１の実施の形態のネットワーク伝送装置１０によれば、サービスの信頼性に応じてパケットの転送経路を変えることが容易になる。ネットワーク伝送装置１０では、高レイヤの第１の形式のアドレスを用いて、ネットワーク４への直接ルーティングを許容するサービスを指定することができる。よって、低レイヤの第２の形式のアドレスのみを用いる場合と異なり、クライアント３からのアクセスを動的にキャッシュサーバに誘導するサービスに対しても有効となる。

　また、ネットワーク伝送装置１０は、各パケットに対してレイヤ７のＨＴＴＰ処理などの高レイヤのプロトコル処理を行わなくてよく、レイヤ３以下またはレイヤ４以下のプロトコル処理のみ行うものであってもよい。よって、ネットワーク伝送装置１０のプロトコル処理の負荷を軽減でき、また、ネットワーク伝送装置１０として高コストな通信装置を使用しなくてもよい。

　また、クライアント３からネットワーク４へのパケットのうち、信頼できる通信相手宛てのパケットはネットワーク５に設けたファイアウォールを迂回し、それ以外のパケットはファイアウォールを通過するよう、ネットワーク伝送装置１０を運用することもできる。この場合、クライアント３からネットワーク４への全てのパケットをファイアウォールに転送する場合と比べて、ファイアウォールの負荷を軽減することができる。

　［第２の実施の形態］
　次に、第２の実施の形態を説明する。第１の実施の形態との差異を中心に説明し、第１の実施の形態と同様の事項については説明を省略する。

　図２は、第２の実施の形態のネットワーク伝送装置を示す図である。第２の実施の形態のネットワーク伝送装置２０は、記憶部２１、制御部２２および送信部２３を有する。記憶部２１、制御部２２および送信部２３は、それぞれ前述の記憶部１１、制御部１２および送信部１３に対応する。

　記憶部２１は、ルーティングテーブル２１ａを記憶する。
　制御部２２は、クライアント３が送信したアドレス解決の問い合わせを、ネットワーク４またはネットワーク５（好ましくは、ネットワーク５）に転送するよう制御する。また、制御部２２は、アドレス解決の問い合わせに対応するアドレス回答を、クライアント３に転送するよう制御する。アドレス回答には、クライアント３が指定した第１の形式のアドレス（例えば、ドメイン名を含むホスト名）と、問い合わせに対する回答である第２の形式のアドレス（例えば、ＩＰアドレス）とが含まれている。

　制御部２２は、アドレス回答に含まれる第１の形式のアドレスが、ネットワーク４へ直接ルーティングしてよい（例えば、ネットワーク５を経由しなくてよい）アドレスか判断する。直接ルーティングが可能なアドレスは、例えば、信頼できるサービスを示すアドレスである。直接ルーティングの可否は、予め用意された第１の形式のアドレスに関するホワイトリストまたはブラックリストを参照して判断してもよい。制御部２２は、ネットワーク４への直接ルーティングが可能と判断した場合は、アドレス回答に含まれる第２の形式のアドレスを信頼できる通信相手のアドレスと判定し、ネットワーク４への直接ルーティングが可能と判断しなかった場合は、第２の形式のアドレスを信頼できる通信相手でないアドレスと判定する。

　そして、制御部２２は、判定結果に基づいてルーティングテーブル２１ａを設定する。例えば、ルーティングテーブル２１ａがホワイトリスト方式の場合、制御部２２は、信頼できる通信相手の第２の形式のアドレス（直接ルーティングが可能と判断した第１の形式のアドレスに対応するもの）を、ルーティングテーブル２１ａに登録する。

　送信部２３は、記憶部２１に記憶されたルーティングテーブル２１ａと、各パケットに宛先アドレスとして含まれる第２の形式のアドレスとに応じて、クライアント３から受信する各パケットを転送する。送信部２３は、信頼できる通信相手と判定された第２の形式のアドレス（直接ルーティングが可能と判断した第１の形式のアドレスに対応するもの）を含むパケットをネットワーク４に転送する。一方、送信部２３は、信頼できる通信相手と判定されなかった第２の形式のアドレス（直接ルーティングが可能と判断しなかった第１の形式のアドレスに対応するもの）を含むパケットをネットワーク５に転送する。

　第２の実施の形態のネットワーク伝送装置２０によれば、第１の実施の形態と同様、サービスの信頼性に応じてパケットの転送経路を変えることが容易になる。すなわち、ネットワーク伝送装置２０は、クライアント３からのアクセスを動的にキャッシュサーバに誘導するサービスに対しても有効となる。また、ネットワーク伝送装置２０のプロトコル処理の負荷を軽減でき、また、ネットワーク伝送装置２０として高コストな通信装置を使用しなくてもよい。また、信頼できる通信相手宛てのパケットはネットワーク５に設けたファイアウォールを迂回し、それ以外のパケットはファイアウォールを通過するよう、ネットワーク伝送装置２０を運用することもできる。

　［第３の実施の形態］
　図３は、第３の実施の形態の通信システムを示す図である。第３の実施の形態は、本社と支社を含む企業のイントラネットが、インターネットに接続されている例を考える。

　第３の実施の形態の通信システムは、支社ＬＡＮ３１、本社ＬＡＮ３２およびインターネット３３を含む。支社ＬＡＮ３１と本社ＬＡＮ３２は、それぞれインターネット３３に接続されている。支社ＬＡＮ３１は、クライアント４１，４２およびルータ１００を備える。本社ＬＡＮ３２は、クライアント４３、ファイルサーバ４４、ファイアウォール５１およびＤＮＳサーバ５２を備える。インターネット３３は、ＤＮＳサーバ５３，５４、Ｗｅｂサーバ６１，６２およびキャッシュサーバ６３，６４を備える。

　クライアント４１，４２，４３は、ユーザが使用する端末装置としてのコンピュータである。クライアント４１，４２，４３は、Ｗｅｂブラウザを用いて、インターネット３３のＷｅｂサーバ６１，６２やキャッシュサーバ６３，６４にアクセスできる。また、クライアント４１，４２は、インターネット３３経由でファイルサーバ４４にアクセスでき、クライアント４３はファイルサーバ４４にアクセスできる。ファイルサーバ４４は、本社や支社の業務に使用されるファイルを保持するサーバコンピュータである。

　ファイアウォール５１は、支社ＬＡＮ３１および本社ＬＡＮ３２を含むイントラネットとインターネット３３の間の通信を監視する通信装置である。ファイアウォール５１は、例えば、アプリケーション層のプロトコル処理を行い、ウィルスや機密情報などの不正な内容を含む通信を検出する。ファイアウォール５１は、プロキシサーバと呼ばれるものであってもよい。ここで、支社ＬＡＮ３１と本社ＬＡＮ３２とは、インターネット３３上に形成したＶＰＮ（いわゆるインターネットＶＰＮ）で接続されている。後述するように、支社ＬＡＮ３１とインターネット３３との間のパケットは、所定の信頼できるサービスに関するパケットを除いて、本社ＬＡＮ３２のファイアウォール５１を経由する。

　ＤＮＳサーバ５２，５３，５４は、ホスト名とＩＰアドレスとの対応関係を管理するサーバコンピュータである。ＤＮＳサーバ５２，５３，５４は、完全修飾ドメイン名（ＦＱＤＮ：Full Qualified Domain Name）を含むＤＮＳ要求（リクエスト）を受信し、ＦＱＤＮに対応するＩＰアドレスを含むＤＮＳ応答（レスポンス）を返信する。ＦＱＤＮは、ドメイン名を含むホスト名である。ＤＮＳサーバ５２，５３，５４は、指定されたＦＱＤＮのアドレス解決を担当していない場合、他のＤＮＳサーバに問い合わせる。例えば、ＤＮＳサーバ５２は、クライアント４１からＷｅｂサーバ６２のＩＰアドレスの問い合わせを受けたとき、ＤＮＳサーバ５４に問い合わせることがある。なお、ＤＮＳサーバ５３は支社ＬＡＮ３１の近くに位置し、ＤＮＳサーバ５４は本社ＬＡＮ３２の近くに位置する。

　Ｗｅｂサーバ６１，６２は、検索サービスやソフトウェア更新サービスなどのサービスを提供するサーバコンピュータである。Ｗｅｂサーバ６１，６２は、例えば、クライアント４１，４２，４３からのＨＴＴＰアクセスに応じて、ＨＴＭＬ（HyperText Markup Language）文書やソフトウェアプログラムなどのファイルを送信する。キャッシュサーバ６３，６４は、Ｗｅｂサーバ６１に記憶されたファイルの複製を保持するサーバコンピュータである。クライアント４１，４２，４３からＷｅｂサーバ６１へのアクセスが、キャッシュサーバ６３，６４に誘導されることがある。なお、キャッシュサーバ６３は支社ＬＡＮ３１の近くに位置し、キャッシュサーバ６４は本社ＬＡＮ３２の近くに位置する。

　Ｗｅｂサーバ６１，６２およびキャッシュサーバ６３，６４には、互いに異なるＦＱＤＮとＩＰアドレスが付与される。Ｗｅｂサーバ６１を用いてサービスを提供する事業者とキャッシュサーバ６３，６４を運用する事業者とは、異なっていてもよい。よって、Ｗｅｂサーバ６１のＦＱＤＮに含まれるドメイン名とキャッシュサーバ６３，６４のＦＱＤＮに含まれるドメイン名とは、異なることがある。ここで、Ｗｅｂサーバ６１に対するアクセスを、以下のような方法で、キャッシュサーバ６３，６４に誘導することができる。

　Ｗｅｂサーバ６１を担当するＤＮＳサーバに、Ｗｅｂサーバ６１のＦＱＤＮの別名（ＣＮＡＭＥ）として、キャッシュサーバ６３，６４のドメイン名を登録しておく。Ｗｅｂサーバ６１を担当するＤＮＳサーバは、Ｗｅｂサーバ６１のＦＱＤＮを含むＤＮＳ要求を受信すると、別名として自ドメインでないドメイン名が登録されているため、キャッシュサーバ６３，６４を担当するＤＮＳサーバにＤＮＳ要求を転送する。キャッシュサーバ６３，６４を担当するＤＮＳサーバは、ＤＮＳ要求の送信元のＩＰアドレスを用いて送信元に物理的に近いキャッシュサーバを検索し、キャッシュサーバのＩＰアドレスを返信する。

　クライアント４１，４２，４３には、Ｗｅｂサーバ６１のＦＱＤＮに対応するＩＰアドレスとして、各クライアントに近いキャッシュサーバのＩＰアドレスが通知される。クライアント４１，４２，４３は、以降、Ｗｅｂサーバ６１に代えて、各クライアントに近いキャッシュサーバにアクセスすることになる。これにより、Ｗｅｂサーバ６１およびキャッシュサーバ６３，６４の負荷を分散させることができる。

　なお、このようなキャッシュサービスの一例として、Ａｋａｍａｉが挙げられる。キャッシュサービスは、次の文献にも記載されている。ホワイトペーパ「アカマイのアプリケーション高速化サービス：インターネットをビジネス対応アプリケーション・デリバリー・プラットフォームに変える」，Akamai Technologies，２００９年。ホワイトペーパ「アカマイによるウェブインフラの効率性向上　オンラインチャンネル戦略」，Akamai Technologies，２００９年。米国特許第６１０８７０３号明細書および第６５５３４１３号明細書。

　ルータ１００は、支社ＬＡＮ３１とインターネット３３との境界に位置し、本社ＬＡＮ３２およびインターネット３３と通信を行う。ルータ１００は、各パケットに対し、ＩＰ層以下またはＴＣＰ層以下のプロトコル処理を行えばよく、アプリケーション層のプロトコル処理を行わなくてよい。また、ルータ１００は、ファイアウォール機能を備えていなくてよい。ルータ１００は、クライアント４１，４２からインターネット３３へ送信されるパケットのうち、所定の信頼できるサービスに関するパケットを、ファイアウォール５１を迂回して直接インターネット３３に転送する。一方、ルータ１００は、それ以外のパケットを、インターネットＶＰＮを用いてファイアウォール５１に転送する。

　本社ＬＡＮ３２側では、ファイアウォール５１がＶＰＮを終端してもよいし、他の通信装置がＶＰＮを終端してもよい。本社ＬＡＮ３２と支社ＬＡＮ３１との間の通信は、ファイアウォール５１を経由するようにしてもよいし、経由しないようにしてもよい。

　なお、第３の実施の形態において、本社ＬＡＮ３２は、第１の実施の形態のネットワーク５の一例であり、インターネット３３は、第１の実施の形態のネットワーク４の一例である。また、ルータ１００は、第１の実施の形態のネットワーク伝送装置１０の一例であり、クライアント４１，４２は、第１の実施の形態のクライアント３の一例である。

　図４は、ルータのハードウェア例を示すブロック図である。ルータ１００は、ＣＰＵ１０１、ＲＡＭ１０２、メモリ１０３、管理インタフェース１０４、ＬＡＮインタフェース１０５およびＷＡＮ（Wide Area Network）インタフェース１０６を有する。

　ＣＰＵ１０１は、プログラムに従ってパケットを処理するプロセッサである。ＣＰＵ１０１は、メモリ１０３からプログラムや制御用データを読み出してＲＡＭ１０２に展開する。ＲＡＭ１０２は、ＣＰＵ１０１が使用するプログラムや制御用データの一部または全部を一時的に記憶する揮発性メモリである。メモリ１０３は、プログラムや制御用データを記憶する不揮発性メモリであり、例えば、フラッシュメモリである。なお、ルータ１００は、ＲＡＭ１０２やメモリ１０３に代えて、他の種類の記憶装置を備えていてもよい。

　管理インタフェース１０４は、管理用のクライアントと接続できる管理ポートを備える通信インタフェースである。ＬＡＮインタフェース１０５は、支社ＬＡＮ３１の他の通信装置（例えば、レイヤ２スイッチ）と接続できるＬＡＮポートを備える通信インタフェースである。ＷＡＮインタフェース１０６は、インターネット３３と接続できるＷＡＮポートを備える通信インタフェースである。ＬＡＮインタフェース１０５およびＷＡＮインタフェース１０６は、ＣＰＵ１０１の制御に従って、パケットを転送する。

　なお、第３の実施の形態では、ルーティングを含むＩＰ層のプロトコル処理をソフトウェアで実行することとしたが、ハードウェアで実行してもよい。以下に説明するルータ１００の機能の少なくとも一部を、ハードウェアロジックとして実装することもできる。

　図５は、第３の実施の形態のソフトウェア構成例を示すブロック図である。ルータ１００は、ＦＱＤＮリスト記憶部１１０、管理部１２０、ＤＮＳ処理部１３０、ＩＰアドレス抽出部１４０、ルーティングテーブル記憶部１５０およびルーティング部１６０を有する。ＦＱＤＮリスト記憶部１１０およびルーティングテーブル記憶部１５０は、ＲＡＭ１０２またはメモリ１０３上に確保する記憶領域として実装できる。管理部１２０、ＤＮＳ処理部１３０、ＩＰアドレス抽出部１４０およびルーティング部１６０は、ＣＰＵ１０１が実行するプログラムのモジュールとして実装できる。

　ＦＱＤＮリスト記憶部１１０は、ＦＱＤＮリストを記憶する。ＦＱＤＮリストは、信頼できるサービスを、ＦＱＤＮを用いて指定したホワイトリストである。ＦＱＤＮリストでは、ＦＱＤＮを指定するにあたって、ワイルドカード（＊）を使用してもよい。例えば、ＦＱＤＮリストに“＊．ａａａ．ｂｂｂ”と記載されている場合、“ｗｗｗ．ａａａ．ｂｂｂ”はＦＱＤＮリストに登録されているＦＱＤＮと判断される。

　管理部１２０は、管理者の使用するクライアントから入力されるコマンドに応じて、ルータ１００の設定を変更する。コマンドは、管理インタフェース１０４またはＬＡＮインタフェース１０５から入力される。管理部１２０は、ＦＱＤＮリストにＦＱＤＮを追加するコマンドやＦＱＤＮリストからＦＱＤＮを削除するコマンドを受け付け、ＦＱＤＮリスト記憶部１１０に記憶されたＦＱＤＮリストを更新する。

　ＤＮＳ処理部１３０は、クライアント４１，４２とＤＮＳサーバ５２，５３，５４の間で、ＤＮＳ要求やＤＮＳ応答を転送するＤＮＳリレー機能を実現する。ＤＮＳリレー機能により、ルータ１００は、クライアント４１，４２からＤＮＳサーバとして認識される。ＤＮＳ処理部１３０は、リクエスト受付部１３１、転送先判定部１３２、インターネット転送部１３３およびイントラネット転送部１３４を有する。

　リクエスト受付部１３１は、クライアント４１，４２からＤＮＳ要求を受け付け、インターネット３３または本社ＬＡＮ３２から取得したＤＮＳ応答を返信する。転送先判定部１３２は、ＤＮＳ要求に含まれるＦＱＤＮが、ＦＱＤＮリスト記憶部１１０に記憶されたＦＱＤＮリストに登録されたものか、すなわち、信頼できるサービスのＦＱＤＮであるか判断する。転送先判定部１３２は、登録されたＦＱＤＮである場合、インターネット３３に転送すると判定し、それ以外の場合、本社ＬＡＮ３２に転送すると判定する。

　インターネット転送部１３３は、転送先判定部１３２の判定結果に従って、ＤＮＳ要求をインターネット３３のＤＮＳサーバ（例えば、ＤＮＳサーバ５３）に転送し、当該ＤＮＳサーバからＤＮＳ応答を取得する。また、インターネット転送部１３３は、ＤＮＳ応答をＩＰアドレス抽出部１４０に出力する。イントラネット転送部１３４は、転送先判定部１３２の判定結果に従って、ＤＮＳ要求を本社ＬＡＮ３２のＤＮＳサーバ５２に転送し、ＤＮＳサーバ５２からＤＮＳ応答を取得する。

　ＩＰアドレス抽出部１４０は、インターネット３３および本社ＬＡＮ３２のうちインターネット３３から取得したＤＮＳ応答のみ、ＤＮＳ処理部１３０から取得する。ＩＰアドレス抽出部１４０は、問い合わせへの回答であるＩＰアドレスをＤＮＳ応答から抽出し、抽出したＩＰアドレスを、信頼できる通信相手のＩＰアドレスとしてルーティングテーブル記憶部１５０に記憶されたルーティングテーブルに書き込む。

　ルーティングテーブル記憶部１５０は、ルーティングテーブルを記憶する。ルーティングテーブルは、支社ＬＡＮ３１および本社ＬＡＮ３２の外で使用されるＩＰアドレスのうち、信頼できる通信相手のＩＰアドレスを指定したホワイトリストである。なお、第３の実施の形態では、ＦＱＤＮリストおよびルーティングテーブルを、ホワイトリストと定義したが、信頼できないアドレスを記載するブラックリストとしてもよい。

　ルーティング部１６０は、パケットに宛先アドレスとして含まれるＩＰアドレスに基づいて、各パケットのルーティングを行う。ルーティング部１６０は、クライアント４１，４２からインターネット３３へ伝送されるパケットの転送先を判定するとき、ルーティングテーブル記憶部１５０に記憶されたルーティングテーブルを参照する。ルーティング部１６０は、ルーティングテーブルに登録されたＩＰアドレス（信頼できる通信相手）宛てのパケットを、インターネット３３に直接転送する。一方、ルーティング部１６０は、ルーティングテーブルに登録されていないＩＰアドレス（信頼できる通信相手でないもの）宛てのパケットを、インターネットＶＰＮを用いて本社ＬＡＮ３２に転送する。

　なお、インターネット３３からクライアント４１，４２へ返信されるパケットの転送経路（復路）は、原則として、クライアント４１，４２からインターネット３３へのパケットの転送経路（往路）と同じになる。ルーティング部１６０は、本社ＬＡＮ３２に送信するパケットは、インターネットＶＰＮのカプセル化を行い、また、本社ＬＡＮ３２から取得するパケットは、インターネットＶＰＮのデカプセル化（カプセル化の解除）を行う。すなわち、ルーティング部１６０は、インターネットＶＰＮを終端する。

　図６は、ＤＮＳパケットのフォーマット例を示す図である。ＤＮＳパケットは、ＩＰヘッダ、ＵＤＰ（User Datagram Protocol）ヘッダ、ＤＮＳヘッダおよび本文を含む。ＤＮＳ要求としてのＤＮＳパケットの本文は、質問（Query）セクションを含む。ＤＮＳ応答としてのＤＮＳパケットの本文は、質問セクション、回答（Answer）セクション、権限（Authority）セクションおよび追加（Additional）セクションを含む。

　ＤＮＳヘッダは、ＩＤ（Identifier）、フラグ、質問レコード数、回答レコード数、権限レコード数および追加レコード数を含む。ＩＤは、ＤＮＳトランザクションを識別するための１６ビット（２バイト）の識別子であり、ＤＮＳ要求とそれに対応するＤＮＳ応答とで同じ値が用いられる。フラグは、ＤＮＳ要求かＤＮＳ応答かを区別するためのビットを含む制御用ビットの集合である。質問レコード数は、質問セクションに含まれるレコードの数を示す。回答レコード数は、回答セクションに含まれるレコードの数を示す。権限レコード数は、権限セクションに含まれるレコードの数を示す。追加レコード数は、追加セクションに含まれるレコードの数を示す。

　質問セクションの各レコードは、ホスト名、タイプおよびクラスを含む。ホスト名は、問い合わせ対象のＦＱＤＮである。タイプは、回答としてどのような情報が要求されているかを示す。ＦＱＤＮが示す装置のＩＰアドレスを問い合わせる正引き問い合わせでは、タイプ＝“Ａ”が指定される。クラスは、インターネットを示す“ＩＮ”が指定される。

　回答セクションの各レコードは、ホスト名、タイプ、クラス、有効時間（ＴＴＬ：Time To Live）、データ長およびアドレスを含む。ホスト名は、回答セクションのアドレスをもつ装置のＦＱＤＮである。キャッシュサーバ６３，６４のＩＰアドレスが回答される場合など、質問セクションのホスト名と回答セクションのホスト名とが一致しない場合がある。タイプおよびクラスの意味は、質問セクションと同様である。ＴＴＬは、アドレス解決の結果の有効時間であり、有効時間が経過するまではアドレス解決の結果をキャッシュしておくことが許容される。データ長は、アドレスの欄のバイト数を示す。アドレスは、問い合わせに対する回答であり、例えば、ＩＰアドレスである。

　権限セクションのレコードは、回答セクションのホスト名を管理する権限のあるＤＮＳサーバのＦＱＤＮを含む。追加セクションのレコードは、上記以外の追加情報を含み、例えば、権限セクションに記載されたＤＮＳサーバのＩＰアドレスを含む。

　図７は、第３の実施の形態のルータ制御を示すフローチャートである。ここでは、クライアント４１がＤＮＳ要求を送信した場合を考える。
　（ステップＳ１１）リクエスト受付部１３１は、ＤＮＳ要求を受け付ける。

　（ステップＳ１２）転送先判定部１３２は、ＤＮＳ要求からＦＱＤＮを抽出し、抽出したＦＱＤＮとＦＱＤＮリスト記憶部１１０に記憶されたＦＱＤＮリストとを照合する。転送先判定部１３２は、ＤＮＳ要求から抽出したＦＱＤＮがＦＱＤＮリストにマッチするか（ＦＱＤＮリストに登録されているものか）判断する。マッチする場合、信頼できるサービスのＦＱＤＮであると判断し、処理をステップＳ１３に進める。マッチしない場合、信頼できるサービスのＦＱＤＮではないと判断し、処理をステップＳ１７に進める。

　（ステップＳ１３）インターネット転送部１３３は、ＤＮＳ要求をインターネット３３のＤＮＳサーバ（例えば、ＤＮＳサーバ５３）に転送する。
　（ステップＳ１４）インターネット転送部１３３は、ＤＮＳ要求に対応するＤＮＳ応答を、インターネット３３のＤＮＳサーバ（例えば、ＤＮＳサーバ５３）から取得する。

　（ステップＳ１５）ＩＰアドレス抽出部１４０は、ＤＮＳ応答からＩＰアドレスを抽出し、信頼できる通信相手のＩＰアドレスであると判断する。
　（ステップＳ１６）ＩＰアドレス抽出部１４０は、ルーティングテーブル記憶部１５０に記憶されたルーティングテーブルに、抽出したＩＰアドレスを登録する。そして、処理をステップＳ１９に進める。なお、利用するキャッシュサーバが変わる場合など、サービスとＩＰアドレスの対応関係が変化する場合を考慮して、登録してから一定時間経過したＩＰアドレスは、ルーティングテーブルから削除するようにしてもよい。

　（ステップＳ１７）イントラネット転送部１３４は、ＤＮＳ要求を本社ＬＡＮ３２のＤＮＳサーバ５２に転送する。ＤＮＳ要求としてのＤＮＳパケットは、ルータ１００と本社ＬＡＮ３２との間で、インターネットＶＰＮ用にカプセル化されて伝送される。

　（ステップＳ１８）イントラネット転送部１３４は、ＤＮＳ要求に対応するＤＮＳ応答を、本社ＬＡＮ３２のＤＮＳサーバ５２から取得する。ＤＮＳ応答としてのＤＮＳパケットは、ＤＮＳ要求と同様、インターネットＶＰＮ用にカプセル化されて伝送される。なお、本社ＬＡＮ３２から取得したＤＮＳ応答に含まれるＩＰアドレスは、信頼できる通信相手のＩＰアドレスではないと判断され、ルーティングテーブルに登録されない。

　（ステップＳ１９）リクエスト受付部１３１は、インターネット３３または本社ＬＡＮ３２から取得したＤＮＳ応答を、ＤＮＳ要求を送信したクライアント４１に転送する。なお、インターネット３３にＤＮＳ要求を転送したとき、上記のステップＳ１５，Ｓ１６の処理とステップＳ１９の処理とは、並列に実行してもよいし、逆順に実行してもよい。

　図８は、第３の実施の形態のＤＮＳ処理例を示す図である。ここでは、クライアント４１がＤＮＳによりアドレス解決を行うとき（ＤＮＳフェーズ）を考える。また、ルータ１００のＦＱＤＮリスト１１１に、“＊．ａａａ．ｂｂｂ”が登録されているとする。

　クライアント４１が“ｗｗｗ．ａａａ．ｂｂｂ”を指定したＤＮＳ要求を送信すると、ルータ１００は、指定されたＦＱＤＮがＦＱＤＮリスト１１１に登録されていることを確認する。すると、ルータ１００は、当該ＦＱＤＮを信頼できると判断し、ＤＮＳ要求をインターネット３３のＤＮＳサーバ５３に転送する。ルータ１００は、ＤＮＳサーバ５３から“６５．ｘｘｘ．ｘｘｘ．１３０”を含むＤＮＳ応答を受信すると、当該ＩＰアドレスを信頼できると判定し、ルーティングテーブル１５１に登録する。また、ルータ１００は、受信したＤＮＳ応答をクライアント４１に転送する。

　クライアント４１が“ｗｗｗ．ｃｃｃ．ｄｄｄ”を指定したＤＮＳ要求を送信すると、ルータ１００は、指定されたＦＱＤＮがＦＱＤＮリスト１１１に登録されていないことを確認する。すると、ルータ１００は、指定されたＦＱＤＮを信頼できないと判断し、ＤＮＳ要求を本社ＬＡＮ３２のＤＮＳサーバ５２に転送する。ＤＮＳサーバ５２は、例えば、インターネット３３のＤＮＳサーバ５４に問い合わせて、ＩＰアドレスを検索する。ルータ１００は、ＤＮＳサーバ５２から“７４．ｘｘｘ．ｘｘｘ．１７２”を含むＤＮＳ応答を受信し、受信したＤＮＳ応答をクライアント４１に転送する。このとき、当該ＩＰアドレスは信頼できないと判定され、ルーティングテーブル１５１に登録されない。

　図９は、第３の実施の形態のパケット転送例を示す図である。ここでは、クライアント４１が上記のアドレス解決の結果を用いて、インターネット３３に対してパケットを送信するとき（パケット転送フェーズ）を考える。また、ルータ１００のルーティングテーブル１５１には、“６５．ｘｘｘ．ｘｘｘ．１３０”が登録されているとする。

　クライアント４１が“６５．ｘｘｘ．ｘｘｘ．１３０”を宛先に指定したパケットを送信すると、ルータ１００は、宛先のＩＰアドレスがルーティングテーブル１５１に登録されていることを確認する。すると、ルータ１００は、当該ＩＰアドレスを信頼できると判断し、パケットを、ファイアウォール５１を迂回するようにインターネット３３に直接転送する。パケットは、例えば、宛先であるキャッシュサーバ６３に転送される。

　クライアント４１が“７４．ｘｘｘ．ｘｘｘ．１７２”を宛先に指定したパケットを送信すると、ルータ１００は、宛先のＩＰアドレスがルーティングテーブル１５１に登録されていないことを確認する。すると、ルータ１００は、当該ＩＰアドレスを信頼できないと判断し、パケットを、インターネットＶＰＮ用にカプセル化して（インターネット３３を経由して）本社ＬＡＮ３２のファイアウォール５１に転送する。パケットは、例えば、ファイアウォール５１で検査された後、宛先であるＷｅｂサーバ６２に転送される。

　図１０は、第３の実施の形態の通信シーケンス例を示す第１の図である。ここでは、Ｗｅｂサーバ６１により提供されるサービスが信頼できるサービスに指定されており、クライアント４１が当該サービスを利用する場合を考える。ただし、クライアント４１からのアクセスは、支社ＬＡＮ３１に近いキャッシュサーバ６３に誘導される。

　クライアント４１がＷｅｂサーバ６１のＦＱＤＮを指定したＤＮＳ要求を送信すると、当該ＤＮＳ要求は、本社ＬＡＮ３２を迂回して、支社ＬＡＮ３１に近いＤＮＳサーバ５３に転送される。前述のようなキャッシュサービスの方法を用いて、ＤＮＳサーバ５３は、支社ＬＡＮ３１に近いキャッシュサーバ６３のＩＰアドレスを検索し、当該ＩＰアドレスを含むＤＮＳ応答をクライアント４１に返信する。

　クライアント４１は、キャッシュサーバ６３のＩＰアドレスを、ＤＮＳ要求で指定したＦＱＤＮに対応するＩＰアドレスであると認識し、当該ＩＰアドレスを宛先アドレスとして含むパケットを送信する。クライアント４１が送信するこのパケットは、本社ＬＡＮ３２を迂回して、キャッシュサーバ６３に転送される。

　図１１は、第３の実施の形態の通信シーケンス例を示す第２の図である。ここでは、Ｗｅｂサーバ６２により提供されるサービスが信頼できるサービスに指定されておらず、クライアント４１が当該サービスを利用する場合を考える。ただし、Ｗｅｂサーバ６２へのアクセスは、ファイアウォール５１で遮断されないものとする。

　クライアント４１がＷｅｂサーバ６２のＦＱＤＮを指定したＤＮＳ要求を送信すると、当該ＤＮＳ要求は、インターネットＶＰＮおよび本社ＬＡＮ３２を経由して、本社ＬＡＮ３２に近いＤＮＳサーバ５４に転送される。ＤＮＳサーバ５４は、Ｗｅｂサーバ６２のＩＰアドレスを検索し、当該ＩＰアドレスを含むＤＮＳ応答を、本社ＬＡＮ３２およびインターネットＶＰＮを経由してクライアント４１に返信する。

　クライアント４１は、ＤＮＳ応答からＷｅｂサーバ６２のＩＰアドレスを抽出し、当該ＩＰアドレスを宛先アドレスとして含むパケットを送信する。クライアント４１が送信するこのパケットは、インターネットＶＰＮおよび本社ＬＡＮ３２のファイアウォール５１を経由して、Ｗｅｂサーバ６２に転送される。

　第３の実施の形態の通信システムによれば、サービスの信頼性に応じてパケットの転送経路を変えることが容易になる。ルータ１００では、ドメイン名を含むホスト名を用いて信頼できるサービスを指定することができる。よって、ＩＰアドレスのみを用いる場合と異なり、クライアント４１，４２のアクセスがキャッシュサーバ６３，６４に誘導され得る場合でも、信頼できるサービスに関するパケットか否か適切に判断できる。

　また、ルータ１００は、各パケットに対してアプリケーション層のプロトコル処理を行わなくてよく、ＩＰ層以下またはＴＣＰ層以下のプロトコル処理のみ行うものであってもよい。よって、ルータ１００のプロトコル処理の負荷を軽減でき、また、ルータ１００として高コストな通信装置を使用しなくてもよい。

　また、クライアント４１，４２からインターネット３３へのパケットのうち、信頼できるサービスのパケットはイントラネットのファイアウォール５１を迂回し、それ以外のパケットはファイアウォール５１を通過するように、転送経路が制御される。よって、クライアント４１，４２からインターネット３３へのパケットの全てをファイアウォール５１に転送する場合と比べて、ファイアウォール５１の負荷を軽減できる。

　［第４の実施の形態］
　次に、第４の実施の形態を説明する。第３の実施の形態との差異を中心に説明し、第３の実施の形態と同様の事項については説明を省略する。第４の実施の形態の通信システムは、図３と同様のシステム構成として実現できる。ただし、第３の実施の形態のルータ１００に代えて、以下に説明するルータ１００ａが用いられる。

　図１２は、第４の実施の形態のソフトウェア構成例を示すブロック図である。ルータ１００ａは、第３の実施の形態のルータ１００のＤＮＳ処理部１３０に代えて、ＤＮＳ処理部１７０を有する。ＤＮＳ処理部１７０は、リクエスト受付部１７１、イントラネット転送部１７２および質問判定部１７３を有する。

　リクエスト受付部１７１は、クライアント４１，４２からＤＮＳ要求を受け付け、本社ＬＡＮ３２から取得したＤＮＳ応答を返信する。イントラネット転送部１７２は、リクエスト受付部１７１で受け付けたＤＮＳ要求を、本社ＬＡＮ３２のＤＮＳサーバ５２に転送し、ＤＮＳ要求に対するＤＮＳ応答をＤＮＳサーバ５２から取得する。

　質問判定部１７３は、イントラネット転送部１７２で取得したＤＮＳ応答から、クライアント４１，４２が指定したＦＱＤＮ（質問セクションのホスト名）を抽出する。質問判定部１７３は、抽出したＦＱＤＮがＦＱＤＮリスト記憶部１１０に記憶されたＦＱＤＮリストに登録されたものか、すなわち、信頼できるサービスのＦＱＤＮであるか判断する。質問判定部１７３は、登録されたＦＱＤＮである場合、ＤＮＳ応答をＩＰアドレス抽出部１４０に出力し、それ以外の場合、ＩＰアドレス抽出部１４０に出力しない。

　なお、第４の実施の形態では、ＤＮＳ要求を本社ＬＡＮ３２のＤＮＳサーバ５２に転送するようにしたが、他の所定のＤＮＳサーバに転送するようにしてもよい。
　図１３は、第４の実施の形態のルータ制御を示すフローチャートである。ここでは、クライアント４１がＤＮＳ要求を送信した場合を考える。

　（ステップＳ２１）リクエスト受付部１７１は、ＤＮＳ要求を受け付ける。
　（ステップＳ２２）イントラネット転送部１７２は、ＤＮＳ要求を本社ＬＡＮ３２のＤＮＳサーバ５２に転送する。ＤＮＳ要求としてのＤＮＳパケットは、ルータ１００と本社ＬＡＮ３２との間で、インターネットＶＰＮ用にカプセル化されて伝送される。

　（ステップＳ２３）イントラネット転送部１７２は、ＤＮＳ要求に対応するＤＮＳ応答を、本社ＬＡＮ３２のＤＮＳサーバ５２から取得する。ＤＮＳ応答としてのＤＮＳパケットは、ＤＮＳ要求と同様、インターネットＶＰＮ用にカプセル化されて伝送される。

　（ステップＳ２４）質問判定部１７３は、ＤＮＳ応答からＦＱＤＮを抽出し、抽出したＦＱＤＮとＦＱＤＮリスト記憶部１１０に記憶されたＦＱＤＮリストとを照合する。質問判定部１７３は、ＤＮＳ応答から抽出したＦＱＤＮがＦＱＤＮリストにマッチするか（ＦＱＤＮリストに登録されているものか）判断する。マッチする場合、信頼できるサービスのＦＱＤＮであると判断し、処理をステップＳ２５に進める。マッチしない場合、信頼できるサービスのＦＱＤＮではないと判断し、処理をステップＳ２７に進める。

　（ステップＳ２５）ＩＰアドレス抽出部１４０は、ＤＮＳ応答からＩＰアドレスを抽出し、信頼できる通信相手のＩＰアドレスであると判断する。
　（ステップＳ２６）ＩＰアドレス抽出部１４０は、ルーティングテーブル記憶部１５０に記憶されたルーティングテーブルに、抽出したＩＰアドレスを登録する。なお、信頼できないＦＱＤＮに対応するＩＰアドレスは、ルーティングテーブルに登録されない。

　（ステップＳ２７）リクエスト受付部１７１は、ＤＮＳ応答を、ＤＮＳ要求を送信したクライアント４１に転送する。なお、上記のステップＳ２４～Ｓ２６の処理とステップＳ２７の処理とは、並列に実行してもよいし、逆順に実行してもよい。

　図１４は、第４の実施の形態のＤＮＳ処理例を示す図である。ここでは、クライアント４１がＤＮＳによりアドレス解決を行うとき（ＤＮＳフェーズ）を考える。また、ルータ１００ａのＦＱＤＮリスト１１１に、“＊．ａａａ．ｂｂｂ”が登録されているとする。

　クライアント４１が“ｗｗｗ．ａａａ．ｂｂｂ”を指定したＤＮＳ要求を送信すると、ルータ１００ａは、ＤＮＳ要求を本社ＬＡＮ３２のＤＮＳサーバ５２に転送する。ルータ１００ａは、ＤＮＳサーバ５２から、ＤＮＳ要求で指定されたＦＱＤＮと“６５．ｘｘｘ．ｘｘｘ．１３１”とを含むＤＮＳ応答を受信し、受信したＤＮＳ応答をクライアント４１に転送する。このとき、ルータ１００ａは、ＤＮＳ応答に含まれるＦＱＤＮがＦＱＤＮリスト１１１に登録されていることを確認し、当該ＦＱＤＮを信頼できると判断する。すると、ルータ１００ａは、ＤＮＳ応答に含まれるＩＰアドレスを信頼できると判定し、当該ＩＰアドレスをルーティングテーブル１５１に登録する。

　クライアント４１が“ｗｗｗ．ｃｃｃ．ｄｄｄ”を指定したＤＮＳ要求を送信すると、ルータ１００ａは、ＤＮＳ要求を本社ＬＡＮ３２のＤＮＳサーバ５２に転送する。ルータ１００ａは、ＤＮＳサーバ５２から、ＤＮＳ要求で指定されたＦＱＤＮと“７４．ｘｘｘ．ｘｘｘ．１７２”とを含むＤＮＳ応答を受信し、受信したＤＮＳ応答をクライアント４１に転送する。このとき、ルータ１００ａは、ＤＮＳ応答に含まれるＦＱＤＮがＦＱＤＮリスト１１１に登録されていないことを確認し、当該ＦＱＤＮを信頼できないと判断する。すると、ルータ１００ａは、ＤＮＳ応答に含まれるＩＰアドレスを信頼できないと判定し、当該ＩＰアドレスをルーティングテーブル１５１に登録しない。

　なお、クライアント４１が上記のアドレス解決の結果を用いてパケットを送信するとき（パケット転送フェーズ）のルーティングは、第３の実施の形態の図９と同様である。
　図１５は、第４の実施の形態の通信シーケンス例を示す図である。ここでは、Ｗｅｂサーバ６１により提供されるサービスが信頼できるサービスに指定されており、クライアント４１が当該サービスを利用する場合を考える。ただし、クライアント４１からのアクセスは、本社ＬＡＮ３２に近いキャッシュサーバ６４に誘導される。

　クライアント４１がＷｅｂサーバ６１のＦＱＤＮを指定したＤＮＳ要求を送信すると、当該ＤＮＳ要求は、インターネットＶＰＮおよび本社ＬＡＮ３２のＤＮＳサーバ５２を経由して、本社ＬＡＮ３２に近いＤＮＳサーバ５４に転送される。前述のようなキャッシュサービスの方法を用いて、ＤＮＳサーバ５４は、本社ＬＡＮ３２に近いキャッシュサーバ６４のＩＰアドレスを検索し、当該ＩＰアドレスを含むＤＮＳ応答を、ＤＮＳサーバ５２およびインターネットＶＰＮを経由してクライアント４１に返信する。

　クライアント４１は、キャッシュサーバ６４のＩＰアドレスを、ＤＮＳ要求で指定したＦＱＤＮに対応するＩＰアドレスであると認識し、当該ＩＰアドレスを宛先アドレスとして含むパケットを送信する。クライアント４１が送信するこのパケットは、本社ＬＡＮ３２を迂回して、キャッシュサーバ６４に転送される。

　第４の実施の形態の通信システムによれば、第３の実施の形態と同様、サービスの信頼性に応じてパケットの転送経路を変えることが容易になる。ルータ１００ａでは、ドメイン名を含むホスト名を用いて信頼できるサービスを指定することができ、信頼できるサービスに関するパケットか否かを適切に判断できる。また、ルータ１００ａは、ルータ１００ａのプロトコル処理の負荷を軽減でき、また、ルータ１００ａとして高コストな通信装置を使用しなくてもよい。また、信頼できるサービスのパケットがファイアウォール５１を迂回するように転送経路を制御でき、ファイアウォール５１の負荷を軽減できる。

　次に、第３および第４の実施の形態と異なる他の通信システムの例を挙げる。
　図１６は、他の通信シーケンス例を示す図である。
　支社ＬＡＮ３１に設けたルータ２１０が、クライアント４１，４２からインターネット３３へのパケットを、宛先アドレスに関係なく全てファイアウォール５１に転送する通信システムが考えられる（Ａ）。この通信システムでは、ルータ２１０の負荷が軽減される一方、本社ＬＡＮ３２のファイアウォール５１の負荷が大きくなってしまう。

　また、支社ＬＡＮ３１に、ファイアウォール５１と同様の機能をもつファイアウォール２２０を設け、クライアント４１，４２からインターネット３３へのパケットを、ファイアウォール５１に転送せずに処理する通信システムも考えられる（Ｂ）。この通信システムでは、ファイアウォール５１の負荷が軽減される一方、支社毎にファイアウォール２２０のような高機能な通信装置を設けることになり、コストの点で不利となる。

　図１７は、他のパケット転送例を示す図である。
　支社ＬＡＮ３１に、レイヤ７のプロトコル処理を行うルータ２３０を設け、ルータ２３０が、ＨＴＴＰセッションなどのレイヤ７のセッションからＦＱＤＮを抽出し、ＦＱＤＮの信頼性に応じてルーティングを行う通信システムが考えられる（Ａ）。この通信システムでは、サービスの信頼性の判断が容易になる一方、ルータ２３０の負荷が大きくなり、また、支社毎に高機能な通信装置を設けることになるためコストの点で不利となる。

　また、支社ＬＡＮ３１に設けたルータ２４０が、各パケットの宛先アドレスであるＩＰアドレスを、ＤＮＳの逆引き問い合わせによってＦＱＤＮに変換し、変換されたＦＱＤＮの信頼性に応じて当該パケットのルーティングを行う通信システムが考えられる（Ｂ）。この通信システムは、ＤＮＳの正引き問い合わせに対しキャッシュサーバのＩＰアドレスが返される場合のように、正引き問い合わせで指定したＦＱＤＮと逆引き問い合わせにより取得されるＦＱＤＮとが一致しない場合、転送経路を適切に制御できない。

　これに対し、第３および第４の実施の形態の通信システムによれば、前述のように、ルータ１００，１００ａがサービスの信頼性に応じてパケットの転送経路を適切に制御できる。また、本社ＬＡＮ３２のファイアウォール５１の負荷を軽減でき、また、ルータ１００，１００ａとして低コストの通信装置を使用できる。

　上記については単に本発明の原理を示すものである。更に、多数の変形や変更が当業者にとって可能であり、本発明は上記に示し、説明した正確な構成および応用例に限定されるものではなく、対応する全ての変形例および均等物は、添付の請求項およびその均等物による本発明の範囲とみなされる。

　３　クライアント
　４，５　ネットワーク
　１０，２０　ネットワーク伝送装置
　１１，２１　記憶部
　１１ａ，２１ａ　ルーティングテーブル
　１２，２２　制御部
　１３，２３　送信部

Claims

　第１および第２のネットワークに接続されたネットワーク伝送装置におけるルーティング方法であって、
　クライアントから第１の形式のアドレスにより、アドレス解決の問い合わせを受信したとき、前記第１の形式のアドレスに基づき、前記第１のネットワークへの直接のルーティングの可否を判断し、
　前記第１のネットワークへの直接のルーティングが可能と判断した場合は、前記第１のネットワークに前記第１の形式のアドレスのアドレス解決を問い合わせ、前記第１のネットワークへの直接のルーティングが可能と判断しなかった場合は、前記第２のネットワークに前記第１の形式のアドレスのアドレス解決を問い合わせ、
　前記アドレス解決の問い合わせにより前記第１のネットワークまたは前記第２のネットワークより取得した第２の形式のアドレスを含むアドレス回答を、前記クライアントに送信し、
　前記第１のネットワークに前記アドレス解決を問い合わせた場合は、取得した前記アドレス回答に含まれる前記第２の形式のアドレスを宛先とするパケットは前記第１のネットワークに転送されるようにルーティングテーブルを設定し、
　前記第２のネットワークに前記アドレス解決を問い合わせた場合は、取得した前記アドレス回答に含まれる前記第２の形式のアドレスを宛先とするパケットは前記第２のネットワークに転送されるように前記ルーティングテーブルを設定する、
　ルーティング方法。
　前記クライアントから受信するパケットに宛先として含まれる第２の形式のアドレスと前記ルーティングテーブルとに応じて当該パケットを転送する、請求の範囲第１項記載のルーティング方法。
　前記第１のネットワークに問い合わせて取得した前記第２の形式のアドレスを宛先とするパケットは、前記第２のネットワークを迂回するように前記第１のネットワークに転送され、前記第２のネットワークに問い合わせて取得した前記第２の形式のアドレスを宛先とするパケットの少なくとも一部は、前記第２のネットワークを経由して前記第１のネットワークに転送される、請求の範囲第１項記載のルーティング方法。
　前記第２のネットワークへは、前記第１のネットワーク上に形成した仮想ネットワークを経由してパケットを転送する、請求の範囲第１項記載のルーティング方法。
　１または複数の第１の形式のアドレスを示す情報を記憶する記憶部を参照して、前記アドレス解決の問い合わせで指定された第１の形式のアドレスが前記第１のネットワークへの直接のルーティングが可能なアドレスか判断する、請求の範囲第１項記載のルーティング方法。
　第１および第２のネットワークに接続されたネットワーク伝送装置におけるルーティング方法であって、
　アドレス解決の問い合わせを行ったクライアントに転送される、前記クライアントが指定した第１の形式のアドレスと回答である第２の形式のアドレスとを含むアドレス回答を取得し、
　前記アドレス回答に含まれる前記第１の形式のアドレスに基づき、前記第１のネットワークへの直接のルーティングの可否を判断し、
　前記第１のネットワークへの直接のルーティングが可能と判断した場合は、前記アドレス回答に含まれる前記第２の形式のアドレスを宛先とするパケットが前記第１のネットワークに転送されるようにルーティングテーブルを設定し、
　前記第１のネットワークへの直接のルーティングが可能と判断しなかった場合は、前記アドレス回答に含まれる前記第２の形式のアドレスを宛先とするパケットが前記第２のネットワークに転送されるように前記ルーティングテーブルを設定する、
　ルーティング方法。
　前記クライアントから受信するパケットに宛先として含まれる第２の形式のアドレスと前記ルーティングテーブルとに応じて当該パケットを転送する、請求の範囲第６項記載のルーティング方法。
　第１および第２のネットワークに接続可能なネットワーク伝送装置であって、
　ルーティングテーブルを記憶する記憶部と、
　クライアントから第１の形式のアドレスによりアドレス解決の問い合わせを受け付けたとき、前記第１の形式のアドレスに基づき前記第１のネットワークへの直接のルーティングの可否を判断し、前記第１のネットワークへの直接のルーティングが可能と判断した場合は前記第１のネットワークに前記第１の形式のアドレスのアドレス解決を問い合わせ、前記第１のネットワークへの直接のルーティングが可能と判断しなかった場合は前記第２のネットワークに前記第１の形式のアドレスのアドレス解決を問い合わせ、前記第１のネットワークまたは前記第２のネットワークから第２の形式のアドレスを含むアドレス回答を取得し、前記第１のネットワークに前記アドレス解決を問い合わせた場合は前記アドレス回答に含まれる前記第２の形式のアドレスを宛先とするパケットは前記第１のネットワークに転送されるようにルーティングテーブルを設定し、前記第２のネットワークに前記アドレス解決を問い合わせた場合は前記アドレス回答に含まれる前記第２の形式のアドレスを宛先とするパケットは前記第２のネットワークに転送されるように前記ルーティングテーブルを設定する制御部と、
　を有するネットワーク伝送装置。
　第１および第２のネットワークに接続可能なネットワーク伝送装置であって、
　ルーティングテーブルを記憶する記憶部と、
　アドレス解決の問い合わせを行ったクライアントに転送される前記クライアントが指定した第１の形式のアドレスと回答である第２の形式のアドレスとを含むアドレス回答を取得し、前記アドレス回答に含まれる前記第１の形式のアドレスに基づき前記第１のネットワークへの直接のルーティングの可否を判断し、前記第１のネットワークへの直接のルーティングが可能と判断した場合は前記アドレス回答に含まれる前記第２の形式のアドレスを宛先とするパケットが前記第１のネットワークに転送されるようにルーティングテーブルを設定し、前記第１のネットワークへの直接のルーティングが可能と判断しなかった場合は前記アドレス回答に含まれる前記第２の形式のアドレスを宛先とするパケットが前記第２のネットワークに転送されるように前記ルーティングテーブルを設定する制御部と、
　を有するネットワーク伝送装置。