專利名稱:包中繼裝置的制作方法
技術領域:
本申請涉及將通過通信網(wǎng)絡所連接的任意主機虛擬分組并提供閉域網(wǎng)的技術。
背景技術:
IP(Internet Protocol網(wǎng)際協(xié)議)網(wǎng)絡正在迅速普及。伴隨該普及,IP網(wǎng)絡也可以連接個人計算機(PC)以外的主機(例如可進行IP通信的家電產(chǎn)品等的設備)。迄今為止的高功能個人計算機(PC)開始了從主角的IP網(wǎng)絡控制家電產(chǎn)品、或者在IP對應的家電產(chǎn)品間收發(fā)內容等的利用,可進行IP通信的設備(以下稱為主機)的數(shù)量和種類增加,特別是,也可以連接以前不能連接的比PC功能低的主機。
由于主機數(shù)量增加,因而需要將主機分組來對多個主機進行簡單管理,并且由于低功能主機增加,因而需要使用對主機負擔少的簡單方法來實現(xiàn)組間通信。分組的意義是,例如,具有在檢索某主機的情況下縮小檢索范圍的效果,縮短檢索所需要的處理量和時間,并且另一方面是對屬于組的主機和不屬于組的普通主機進行識別,從而具有以下意義例如通過限制為只有成員才能從主機外部訪問來確保安全性。
在現(xiàn)有技術中,一般,在由任意數(shù)量的IP主機構成某1組的情況下,屬于組的主機作為組成員相互登記信息,并相互通信。在該情況下,屬于組的所有主機需要以下手段。
1、屬于相同組的成員的列表;2、在上述成員列表內登記/刪除主機的功能,以及在成員間共享/同步的功能;3、根據(jù)成員列表進行用戶認證的認證單元;4、對來自成員列表內所包含的主機的通信和成員以外的主機進行識別的單元。
另外,作為與地址轉換有關的資料,例如有非專利文獻1和2。并且,作為與VPN有關的資料,例如有非專利文獻3和4。
非專利文獻1RFC1631非專利文獻2RFC2391非專利文獻3NS2001-263(情報システム研究會NS)2002.3、複數(shù)ネツトワ一ク接統(tǒng)に適した分散型VPN のデザイン、田島佳武(NTT)非專利文獻4NS2001-262(情報システム研究會NS)2002.3、仮想ネツトワ一キングサ一ビスプラツトフオ一ム(VNSP)におけるマルチVPNサ一ビスサ一ビス提供方式、岡大祐(NTT)、他專利文獻5特開2001-268125號公報現(xiàn)有技術具有以下問題主機的安裝成本高,并且主機數(shù)量沒有可擴展性。第一,加入組的所有主機必須安裝上述1~4的功能,特別是,對用戶的認證或通信進行限制的功能是由防火墻或網(wǎng)關等專用機所實現(xiàn)的功能,安裝成本非常高。把這種功能安裝在通信/計算資源匱乏的便攜電話、PDA(Personal Digital Assistance個人數(shù)字助理)等的便攜終端、冰箱、洗衣機、錄放機等的網(wǎng)絡家電通信中是困難的。
例如,由于針對接收到的各IP包檢查是否是已認證的主機的處理與要接收的包數(shù)和成員數(shù)成比例地增大,因而主機中的處理負荷增大,具有無法擴展的問題。
第二,在該方法中,由于各主機間的通信以全網(wǎng)狀發(fā)生,因而當主機數(shù)增加時,主機中的處理消息數(shù)與該主機數(shù)成比例地增加。例如,每當加入組的成員增減時,就必須在各主機中更新成員列表,然而由于該成員變更的消息被發(fā)送到所有主機,因而發(fā)送主機和接收主機的處理負荷都增大,具有無法擴展的問題。
如上所述,需要盡量不對主機產(chǎn)生負擔并可進行擴展的分組技術。具體的要求條件有以下3點。
1、主機中的TCP/IP協(xié)議棧和現(xiàn)有應用程序完全不變更。
2、主機中的利用分組功能的應用程序只利用現(xiàn)有的TCP/IP功能;3、只有經(jīng)認證的主機才能訪問組成員,即在主機看來好像是僅從已認證的主機發(fā)生通信。
并且,作為附加功能,期望的是滿足以下要件。
1、自動執(zhí)行組結構和成員登記。
2、對地址空間沒有制約,可使用全局地址和專用地址雙方。
3、由于IP地址和主機的對應在使用DHCP等時不是唯一的,因而具有IP地址以外的個體認證功能。
4、在主機中的應用程序中容易進行組判別。
發(fā)明內容
本發(fā)明的課題是即使組成員數(shù)等增加,也不使主機的處理負荷增大,實現(xiàn)在組內封閉的通信。
本發(fā)明是為了解決上述課題而提出的,本發(fā)明是一種包中繼裝置,位于本地網(wǎng)絡和全局網(wǎng)絡之間的邊界,用于在由具有全局地址或專用地址的IP主機構成的IP網(wǎng)絡中,選擇任意主機進行分組,實現(xiàn)在組內封閉的通信,該包中繼裝置構成為具有由IP地址和用于管理組的主機名構成,用于管理屬于組的主機的列表;以及根據(jù)該列表識別作為組成員的主機和組外的主機并遮斷來自組外的主機的通信的單元。
根據(jù)本發(fā)明,各主機自身沒有必要具有成員列表等。因此,即使組成員數(shù)等增加,也不使主機的處理負荷增大,可實現(xiàn)在組內封閉的通信。
在上述包中繼裝置中,例如,還具有將全局地址和專用地址相互轉換的轉換裝置。
這樣,可進行專用網(wǎng)和全局網(wǎng)、以及專用網(wǎng)之間的通信。
在上述包中繼裝置中,例如,針對虛擬IP子網(wǎng)的虛擬專用地址(也稱為虛擬IP地址)被分配給任意主機。
這樣,可將主機組在IP子網(wǎng)中虛擬地進行分組。
在上述包中繼裝置中,例如,還具有將與其他包中繼裝置之間的通信加密的單元。
這樣,可防止信息在中繼路徑上泄漏。
在上述包中繼裝置中,例如,還具有根據(jù)規(guī)定的隧道協(xié)議,使與其他包中繼裝置之間的隧道設定自動化的單元。
這樣,可實現(xiàn)隧道設定的自動化。
在上述包中繼裝置中,例如,還具有根據(jù)虛擬組設定協(xié)議,使與其他包中繼裝置之間的組設定自動化的單元。
這樣,可實現(xiàn)組設定的自動化。
在上述包中繼裝置中,例如,還具有根據(jù)虛擬組設定協(xié)議,使與其他包中繼裝置之間的屬于組的成員設定自動化的單元。
這樣,可實現(xiàn)成員設定的自動化。
在上述包中繼裝置中,例如,還具有通過在與其他包中繼裝置之間進行認證,確認是否能相互信賴的單元。
這樣,可僅與可信賴的對方進行通信。
在上述包中繼裝置中,例如,包中繼裝置和主機不與其他主機連接,而是直接連接。
這樣,可防止信息在包中繼裝置和主機之間的中繼路徑上泄漏。
在上述包中繼裝置中,例如,把非IP終端虛擬地作為IP主機來構建在其他主機看來像是存在于組內的虛擬IP主機。
這樣,在與非IP終端之間也能進行通信。
在上述包中繼裝置中,例如,使主機的第2層地址(L2地址)作為主機固有的識別符(ID)與機器一一對應。
這樣,即使主機移動、或者臨時停止,從而根據(jù)DHCP使IP地址改變,也能使組成員看來像是相同的。
在上述包中繼裝置中,例如,使用虛擬第2層地址代替屬于組的主機來應答ARP(Address Resolution Protocol地址解析協(xié)議),在本地子網(wǎng)級中實現(xiàn)組內通信。
在上述包中繼裝置中,例如,不在網(wǎng)關中進行名稱解析,而在DNS服務器中集中地解析名稱,而且使用模式來描述實際地址和虛擬專用地址之間的轉換。
這樣,可削減地址轉換所涉及的資源和處理時間。
本發(fā)明也能按如下確定。
一種IP包中繼裝置,設置在網(wǎng)絡間,使與屬于特定組的主機有關的IP包通過,該IP包中繼裝置具有列表,使主機具有的IP地址和用于識別該主機所屬的組的組識別符對應;判定單元,通過參照前述列表判定從一個網(wǎng)絡收到的且發(fā)往與另一網(wǎng)絡連接的主機的IP包是否是與同一組有關的IP包;以及轉發(fā)單元,把被判定為是與同一組有關的IP包的IP包中繼到前述另一網(wǎng)絡。
這樣,各主機自身沒有必要具有成員列表等。因此,即使組成員數(shù)等增加,也不使主機的處理負荷增大,可實現(xiàn)在組內封閉的通信。
并且,在上述IP包中繼裝置中,例如,在與從前述一個網(wǎng)絡收到的IP包的發(fā)送源地址和目的地地址對應的組是同一組的情況下,前述判定單元通過參照前述列表,判定為該IP包是與同一組有關的IP包。這示出了判定單元的判定基準的一例。
本發(fā)明的特征在于,由于對通信主機不施加變更,而將具有相同目標的任意主機進行安全且可擴展地分組,因而網(wǎng)關裝置管理組,而且通過將實際IP地址和虛擬IP地址進行轉換來虛擬地構建IP子網(wǎng)絡,可根據(jù)IP地址識別組。
本發(fā)明的基本思想是使網(wǎng)關裝置具有分組所需要的功能。即,為了滿足上述要求條件,新設置連接屬于組的主機之間的網(wǎng)關(=路由器)裝置。該網(wǎng)關裝置與現(xiàn)有的路由器、開關裝置等一樣具有連接物理劃分的網(wǎng)絡間的功能,對這些裝置新追加了分組所需要的功能。這樣將現(xiàn)有技術中主機所需要的所有功能安裝在網(wǎng)關內,主機只需使用低功能且簡單的TCP/IP協(xié)議棧就能實現(xiàn)分組通信。
通常為了降低主機功能,針對各主機通過不同的網(wǎng)關裝置,即2臺或2臺以上的網(wǎng)關裝置實現(xiàn)分組通信(參照圖1)。
本發(fā)明的基本思想是,如果總結解決課題的手段,則把以下3種手段新配備在網(wǎng)關內。
1、訪問限制功能網(wǎng)關裝置為了遮斷從組成員外向作為組成員的主機的訪問,具有組成員地址作為列表,根據(jù)該列表識別組成員,遮斷或限制來自成員以外的通信。
2、可在主機中進行成員識別的功能并且,該網(wǎng)關裝置具有利用DNS來應答包含通信對方的組名的字符串,以使各組成員可使用標準的TCP/IP協(xié)議來參照組的功能。
3、組成員管理功能并且,該網(wǎng)關裝置具有對新加入組的主機進行認證并登記在組成員列表內的單元、以及當某主機脫離組成員時刪除主機的功能。并且,為了使管理簡單,可作為選項的是,具有在網(wǎng)關間使組及其成員信息同步的單元。
圖1是用于對第一實施方式的網(wǎng)絡系統(tǒng)的概略結構進行說明的圖。
圖2是用于對第一實施方式的網(wǎng)絡系統(tǒng)的概略結構進行說明的圖。
圖3是第一實施方式的網(wǎng)關的功能方框圖。
圖4是用于對網(wǎng)關的動作進行說明的流程圖。
圖5是用于對網(wǎng)關的動作進行說明的流程圖。
圖6是用于對網(wǎng)關的動作進行說明的順序圖。
圖7是用于主要對第二實施方式的網(wǎng)絡系統(tǒng)的概略結構進行說明的圖。
圖8是第二實施方式的網(wǎng)關的功能方框圖。
圖9是用于對網(wǎng)關的動作進行說明的流程圖。
圖10是用于對網(wǎng)關的動作進行說明的流程圖。
圖11是網(wǎng)關間設定協(xié)議的順序圖。
圖12是網(wǎng)關GW-B保持的本地列表例。
圖13是網(wǎng)關GW-B保持的全局列表例。
圖14是包含個體識別符的本地列表例。
圖15是網(wǎng)關BW-B保持的全局列表例。
圖16是全局列表例。
圖17是用于對第七實施方式的網(wǎng)關的動作進行說明的順序圖。
具體實施例方式
以下,參照附圖對作為本發(fā)明的第一實施方式的包含網(wǎng)關(也稱為GW或網(wǎng)關裝置)的網(wǎng)絡系統(tǒng)進行說明。
(第一實施方式)(網(wǎng)絡系統(tǒng)的概要)圖1和圖2是用于對本實施方式的網(wǎng)絡系統(tǒng)的概略結構進行說明的圖。
如圖2所示,本實施方式的網(wǎng)絡系統(tǒng)由本地網(wǎng)絡A(以下稱為本地網(wǎng)A)、本地網(wǎng)絡B(以下稱為本地網(wǎng)B)、以及互聯(lián)網(wǎng)構成。本地網(wǎng)A和本地網(wǎng)B與成為分組對象的主機(這里是主機11~14和主機21~25)連接。另外,成為分組對象的主機數(shù)可采用適當?shù)臄?shù)量。
各主機是具有進行基于IP包的通信的功能的家電產(chǎn)品等的終端。為了進行該基于IP包的通信,各主機具有全局IP地址。這里,采用基于IPv4的IP地址。本地網(wǎng)A和互聯(lián)網(wǎng)通過網(wǎng)關A1連接。并且,本地網(wǎng)B和互聯(lián)網(wǎng)通過網(wǎng)關B1連接。
從本地網(wǎng)B經(jīng)由互聯(lián)網(wǎng)發(fā)往本地網(wǎng)A的IP包(即,發(fā)送源IP地址和目的地IP地址分別是與本地網(wǎng)B連接的主機的IP地址和與本地網(wǎng)A連接的主機的IP地址的IP包)到達網(wǎng)關A1。反之,從本地網(wǎng)A經(jīng)由互聯(lián)網(wǎng)發(fā)往本地網(wǎng)B的IP包(即,發(fā)送源IP地址和目的地IP地址分別是與本地網(wǎng)A連接的主機具有的IP地址和與本地網(wǎng)B連接的主機具有的IP地址的IP包)到達網(wǎng)關B1。
在本實施方式中,網(wǎng)關A1和B1對該到達的IP包執(zhí)行后述的過濾處理等。這樣,可實現(xiàn)在組內封閉的通信。以下,對該詳情進行說明。
(網(wǎng)關的概略結構)
下面,參照附圖對網(wǎng)關的概略結構進行說明。圖3是網(wǎng)關的功能方框圖。
網(wǎng)關A1(網(wǎng)關B1也一樣)是設置在本地網(wǎng)絡(例如本地網(wǎng)A或B)和全局網(wǎng)絡(例如互聯(lián)網(wǎng))之間,用于在具有全局地址的IP主機所構成的IP網(wǎng)絡中,選擇任意主機進行分組,實現(xiàn)在組內封閉的通信的包中繼裝置。
具體地說,網(wǎng)關A1如圖3所示,具有包過濾部100、組成員列表管理部110、DNS處理部120、以及包收發(fā)部130。
包過濾部100接收從本地網(wǎng)B經(jīng)由互聯(lián)網(wǎng)發(fā)往本地網(wǎng)A的IP包(即,發(fā)送源IP地址和目的地IP地址分別是與本地網(wǎng)B連接的主機的IP地址和與本地網(wǎng)A連接的主機的IP地址的IP包)。包過濾部100向組成員列表管理部110詢問該接收到的IP包是否與同一組有關(這里,與該接收到的IP包的發(fā)送源IP地址(SA)和目的地IP地址(DA)對應的組是否相同)。
當收到來自包過濾部100的詢問時,組成員列表管理部110參照自己管理的組成員列表,判定與發(fā)送源IP地址和目的地IP地址對應的組是否相同。在組成員列表內記述了各主機(主機11~14和主機21~25)、該主機的IP地址以及該主機的域名的對應關系。另外,為了便于說明,在圖3所示的組成員列表內記述了比圖2所示的主機數(shù)少的數(shù)量的對應關系。
域名是將該主機名(mypc或tv等)和用于識別該主機所屬的組的組識別信息(gr1或gr2等)用“.”連接而構成的。因此,組成員列表管理部110通過參照組成員列表,可知道與發(fā)送源IP地址和目的地IP地址對應的組(組識別信息)。然后,通過比較該判明的組(組識別信息),可判定兩者是否相同。該判定結果被返回到包過濾部100。
當收到與發(fā)送源IP地址和目的地IP地址對應的組是相同的判定結果時,包過濾部100把該接收到的IP包轉發(fā)給本地網(wǎng)A(目的地)。另一方面,當收到與發(fā)送源IP地址和目的地IP地址對應的組不是相同的判定結果時,包過濾部100不把該接收到的IP包轉發(fā)給本地網(wǎng)A,而是例如廢棄。
(組成員列表)組成員列表可使用各種方法生成。例如,可考慮如下在網(wǎng)絡上新生成虛擬組gr1、gr2,然后登記屬于該組的主機的IP地址和名稱(這里是域名(DNS名)),最終獲得存儲有組及其成員的地址列表。圖3示出了這樣獲得的組成員列表。
這些一系列作業(yè)是由網(wǎng)絡管理者將管理終端串聯(lián)連接,利用命令行界面手動設定在網(wǎng)關A1內。或者,可以使用管理設定用的遠程設定協(xié)議(Telnet或HTTP等)來設定。例如,在利用HTTP的情況下,在網(wǎng)關A1中存在具有用于生成組的Web界面的組及其成員的登記/管理功能,某主機可以具有以下等的訪問限制,即通過在網(wǎng)關的登記畫面中輸入ID和密碼進行認證,可進入登記用的Web頁面。當在登記用的頁面上輸入組名時,可登記組,并且當針對現(xiàn)有的組名登記主機IP地址時,可定義作為屬于組的成員的主機。這些登記步驟取決于用戶界面的設計,這些是一例,只要組及其成員主機具有登記功能,其他登記方法也可以。
以上結果,可生成存儲有主機的IP地址和DNS名以及主機所屬的組名的組成員列表。
(域名登記)下面,參照附圖對網(wǎng)關的DNS動作進行說明。圖4是用于對網(wǎng)關動作進行說明的流程圖。
與上述一樣,可針對各IP地址定義固有名稱,并與剛才的組名一起定義適當?shù)挠蛎?。例如,假定登記主機12是“mypc”這樣的名稱,并且該主機所屬的組名是“g1”,則在網(wǎng)關中,把“mypc.g1”這樣的DNS名分配給主機12的IP地址“133.100.51.3”。
例如當從在組內已登記完的主機接收到包含針對“mypc.g1”這樣的DNS名的IP地址解析請求的IP包時(S100),網(wǎng)關A1向組成員列表管理部110詢問該接收到的IP包的發(fā)送源IP地址(SA)是否存在于組成員列表內(S101)。結果,在該發(fā)送源IP地址(SA)不存在于組成員列表內的情況下(S101否),網(wǎng)關A1返回應答作為通常的DNS請求(S102)。另一方面,在該發(fā)送源IP地址(SA)存在于組成員列表內的情況下(S101是),網(wǎng)關A1把對應于(屬于)該發(fā)送源IP地址(SA)的組存儲為“A”(S103)。然后,網(wǎng)關A1判定要解析的主機是否存在于剛才存儲的組“A”內(S104)。結果,在該主機不存在于組“A”內的情況下(S104否),網(wǎng)關A1返回應答作為通常的DNS請求(S102)。另一方面,在該主機存在于組“A”內的情況下(S104是),網(wǎng)關A1參照組成員列表,獲得與“mypc.g1”這樣的DNS名對應的IP地址“133.100.51.3”。網(wǎng)關A1把該解析的IP地址“133.100.51.3”存儲為“IP”,并把DNS名“mypc.g1”存儲為“Name”(S105)。
然后,網(wǎng)關A1判定來自主機的請求是否是DNS名的解析請求(S106)。結果,在來自主機的請求是DNS名的解析請求的情況下(S106是),向請求源的主機應答DNS名(S107)。另一方面,在來自主機的請求不是DNS名的解析請求的情況下(S106否),向請求源的主機應答IP地址(S108)。這里,由于來自主機的請求是IP地址的解析請求(S100、S106否),因而網(wǎng)關A1向地址解析請求源的主機應答與DNS名“mypc.g1”對應的IP地址“133.100.51.3”(S108)。另外,當在S100中從主機接收到包含針對IP地址“133.100.51.3”的DNS名的解析請求的IP包的情況下,網(wǎng)關A1向DNS名的解析請求源的主機應答與該IP地址對應的DNS名“mypc.g1”(S107)。
另外,一般,基于組成員列表的DNS應答被限制成僅在本地網(wǎng)絡側有效。例如,認為被限制成,DNS請求的發(fā)送源IP地址存在于事先生成的成員列表內,而且僅受理對屬于同一組的主機的請求。
以上結果,可定義存儲有各IP地址的DNS名的組成員列表,并對與此對應的請求進行應答。
(訪問限制)下面,參照圖5對利用上述結構的網(wǎng)關進行的用于實現(xiàn)在組內封閉的通信的動作進行說明。圖5是用于對網(wǎng)關動作進行說明的流程圖。
首先,以屬于同一組gr1的主機11和主機22之間的通信為例進行說明。另外,在網(wǎng)關A1(網(wǎng)關B1也一樣)的組成員列表內記述了主機11和主機22等具有的IP地址和這些主機的域名(由主機名和組識別符構成)的對應關系。
首先,假定主機22向主機11發(fā)送了IP包(即,發(fā)送源IP地址和目的地IP地址分別是主機22的IP地址和主機11的IP地址的IP包)。該IP包經(jīng)由互聯(lián)網(wǎng)到達網(wǎng)關A1。網(wǎng)關A1通過其包過濾部100接收該到達的包(S200)。包過濾部100向組成員列表管理部110詢問該接收到的IP包是否與同一組有關(這里,與該接收到的IP包的發(fā)送源IP地址(SA)和目的地IP地址(DA)對應的組是否相同)(S201)。
當收到來自包過濾部100的詢問時,組成員列表管理部110參照自己管理的組成員列表,判定與發(fā)送源IP地址和目的地IP地址對應的組是否相同(S202和S203)。在組成員列表內記述了各主機(主機11~14和主機21~25)、該主機具有的IP地址以及該主機的域名的對應關系(參照圖3)。另外,為了便于說明,在圖3所示的組成員列表內記述了比圖2所示的主機數(shù)少的數(shù)量的對應關系。域名是將該主機名(mypc或tv等)和用于識別該主機所屬的組的組識別信息(gr1或gr2等)用“.”連接而構成的。
因此,組成員列表管理部110通過參照組成員列表,可知道與發(fā)送源IP地址和目的地IP地址對應的組(這里全都是gr1)(S202是)。然后,通過比較該判明的組(這里全都是gr1),可判定兩者是否相同(S203是)。該判定結果被返回到包過濾部100。另外,當在S202或S203中的判斷是“否”時,該包被廢棄(S205)。
這里,包過濾部100接收與發(fā)送源IP地址和目的地IP地址對應的組是相同的判定結果。當收到該判定結果時,包過濾部100把該接收到的IP包轉發(fā)到本地網(wǎng)A(目的地)(S204)。這是與一般被稱為過濾的處理相同的處理。
下面,以屬于不同組的主機11(屬于gr1)和主機21(屬于gr2)之間的通信為例進行說明。
首先,假定主機21向主機11發(fā)送了IP包(即,發(fā)送源IP地址和目的地IP地址分別是主機21的IP地址和主機11的IP地址的IP包)。該IP包經(jīng)由互聯(lián)網(wǎng)到達網(wǎng)關A1。網(wǎng)關A1通過其包過濾部100接收該到達的包(S200)。包過濾部100向組成員列表管理部110詢問該接收到的IP包是否與同一組有關(這里,與該接收到的IP包的發(fā)送源IP地址(SA)和目的地IP地址(DA)對應的組是否相同)(S201)。
當收到來自包過濾部100的詢問時,組成員列表管理部110參照自己管理的組成員列表,判定與發(fā)送源IP地址和目的地IP地址對應的組是否相同(S202和S203)。在組成員列表內,針對各主機(主機11~14和主機21~25),記述了該主機具有的IP地址和該主機的域名的對應關系(參照圖3)。另外,為了便于說明,在圖3所示的組成員列表內記述了比圖2所示的主機數(shù)少的數(shù)量的對應關系。域名是將該主機名(mypc或tv等)和用于識別該主機所屬的組的組識別信息(gr1或gr2等)用“.”連接而構成的。
因此,組成員列表管理部110通過參照組成員列表,可知道與發(fā)送源IP地址和目的地IP地址對應的組(這里是gr1和gr2)(S202是)。然后,通過比較該判明的組(這里是gr1和gr2),可判定兩者是否相同(S203是)。該判定結果被返回到包過濾部100。
這里,包過濾部100接收與發(fā)送源IP地址和目的地IP地址對應的組不是相同的判定結果。當收到該判定結果時,包過濾部100不把該接收到的IP包轉發(fā)到本地網(wǎng)A,而是例如廢棄(S205)。
如以上說明那樣,根據(jù)本實施方式的網(wǎng)關裝置,提供限制從組成員外訪問的功能。即,本實施方式的網(wǎng)關裝置通過參照組成員列表,判定從發(fā)送源主機收到的IP包是否是與同一組有關的IP包,并把被判定為是與同一組有關的IP包的IP包轉發(fā)到目的地。另一方面,對于未被判定為是與同一組有關的IP包的IP包,不轉發(fā)而是廢棄。這樣,本實施方式的網(wǎng)關裝置可實現(xiàn)在組內封閉的通信。
另外,在從存儲于組成員列表內的發(fā)送源以外收到包的情況下的相關動作要看網(wǎng)絡管理者的策略而定。例如,對于這種包,也能廢棄?;蛘?,即使是這種包,對于目的地地址是特定的IP地址的包,也能不廢棄,而照原樣傳送到主機。關于這些動作,可以另行記載在組成員列表內。
在上述實施方式中,說明了網(wǎng)關裝置A1對從外部網(wǎng)絡發(fā)往本地網(wǎng)絡A的IP包進行過濾處理,然而本發(fā)明不限于此。例如,網(wǎng)關裝置A1也可以對從本地網(wǎng)絡A發(fā)往外部網(wǎng)絡的IP包進行過濾處理。這樣,雖然網(wǎng)關裝置A1中的過濾處理等的負荷增大,但是不導入網(wǎng)關裝置B1,只需使用網(wǎng)關裝置A1,就能實現(xiàn)上述組內封閉的通信。
(組間通信的具體例)使用順序圖對圖4和圖5所示的用于實現(xiàn)組間通信的一系列處理進行說明。圖6是用于對網(wǎng)關動作進行說明的順序圖。
首先,假定在mypc想要與video通信的情況下,向網(wǎng)關GW-A發(fā)送DNS解析請求來獲得video的IP地址82.5.218.4。然后,利用該IP地址把IP包從mypc發(fā)送到video來開始通信。在與此對應的應答包從video被發(fā)送到mypc的情況下,當網(wǎng)關GW-A接收到該包時,在轉發(fā)到mypc前,檢查組成員列表,當確認出mypc和video在同一組內時,把包轉發(fā)到mypc。
這里,當從例如PC 2這樣的未登記在組成員列表內的主機向mypc發(fā)送通信包,并到達網(wǎng)關GW-A時,網(wǎng)關GW-A檢查該包的發(fā)送源地址(SA),由于PC 2不存在于列表內,因而廢棄該包。這樣,可遮斷與組外的主機的通信,從而提高安全性。
(應答屬于組的所有主機的具體例)(組成員的IP地址一覽)網(wǎng)關不僅能應答所登記的主機名和其IP地址的對應,而且能應答組名和其所有成員。這在收到例如針對g1這樣的組名的地址解析請求的情況下,可由網(wǎng)關把具有g1這樣的組名的所有主機地址插入DNS應答消息中進行應答來實現(xiàn)。由于這種應答消息采用現(xiàn)有的DNS規(guī)格來確認,因而特別是即使不擴展DNS的功能,也能針對1個名稱接收多個IP地址應答。
由于通過應用該功能,例如主機可獲得屬于自己所屬的g1這樣的組的所有成員的一覽,因而例如,采用與現(xiàn)有的郵件列表的功能相同的功能,可實現(xiàn)把消息和文件發(fā)送給所有成員等的功能。
(第二實施方式)下面,參照附圖對作為本發(fā)明的第二實施方式的包含網(wǎng)關(也稱為GW或網(wǎng)關裝置)的網(wǎng)絡系統(tǒng)進行說明。
在上述第一實施方式中,由于各主機的IP地址必須是全局地址,因而在現(xiàn)實中,在頻繁使用專用IP地址的環(huán)境下不能利用。此外,某主機是否是組成員,除了利用DNS來確認組名以外,沒有其他辦法。
例如,當某主機屬于授予文件讀取權限的組和容許讀寫全控制的組這2個組時,在有從未知主機訪問的情況下,如果不利用DNS來識別組,就不知道未知主機具有哪個權限。為了解決該問題,在網(wǎng)關裝置中,新追加以下功能。
1、把不同的任意虛擬專用網(wǎng)絡地址分配給各組,2、把屬于所分配的網(wǎng)絡地址的虛擬IP地址分配給各組成員,將上述虛擬IP地址和實際IP地址在通信時相互轉換的NAT(Network AddressTranslation網(wǎng)絡地址轉換)功能。
(網(wǎng)絡系統(tǒng)的概要)圖7是用于對本實施方式的網(wǎng)絡系統(tǒng)的概略結構進行說明的圖。
如圖7所示,本實施方式的網(wǎng)絡系統(tǒng)由敷設在自家的本地網(wǎng)絡(以下稱為自家網(wǎng))、敷設在父母家的本地網(wǎng)絡(以下稱為父母家網(wǎng))以及互聯(lián)網(wǎng)構成。成為分組對象的主機與自家網(wǎng)和父母家網(wǎng)連接。例如,mypc等與自家網(wǎng)連接,video等與父母家網(wǎng)連接。在本實施方式中,從與自家網(wǎng)連接的主機和與父母家網(wǎng)連接的主機中取出4個主機(mypc、video等),將這些主機考慮為一個組。另外,成為分組對象的主機數(shù)可采用適當?shù)臄?shù)量。
各主機具有進行基于IP包的通信的功能。為了進行該基于IP包的通信,各主機具有本地IP地址。這里,采用基于IPv4的IP地址。自家網(wǎng)和互聯(lián)網(wǎng)通過網(wǎng)關GW-A連接。并且,父母家網(wǎng)和互聯(lián)網(wǎng)通過網(wǎng)關GW-B連接。
然而,在本實施方式中,與第一實施方式不同,由于各主機具有本地IP地址,因而自家網(wǎng)和父母家網(wǎng)的地址空間重合(參照圖7)。例如,由于與自家網(wǎng)連接的mypc的主機、和與父母家網(wǎng)連接的video的主機具有同一本地IP地址192.168.0.5,因而地址空間重合。在這種環(huán)境下,在自家網(wǎng)和父母家網(wǎng)之間不能通信。此外,某主機是否是組成員,除了利用DNS來確認組名以外,沒有其他辦法。例如,當某主機屬于授予文件讀取權限的組和容許讀寫全控制的組這2個組時,在有從未知主機訪問的情況下,如果不利用DNS來識別組,就不知道未知主機具有哪個權限。
在本實施方式中,網(wǎng)關GW-A和GW-B具有NAT轉換功能。這樣,可把本地以外的網(wǎng)絡內存在的主機作為具有不同的別的地址的主機來看來像是本地主機。
例如,考慮以下情況,即如圖7所示,在自家的mypc主機具有192.168.0.5的實際地址,同樣在父母家的video主機具有192.168.0.5的實際地址,mypc和video通過網(wǎng)關GW-A和GW-B進行通信。
在自家的mypc看來,video主機作為虛擬具有10.10.10.102的虛擬IP地址的主機登記在網(wǎng)關GW-A內,同樣從父母家的video看來,mypc主機作為虛擬具有10.20.20.10的虛擬IP地址的主機登記在網(wǎng)關GW-B內。
最初,當mypc向網(wǎng)關GW-A詢問video這樣的具有DNS名的主機的IP地址時,網(wǎng)關GW-A使用作為虛擬IP地址的10.10.10.102(=V-VCR)地址進行應答。mypc把IP包發(fā)送到該虛擬IP地址V-VCR。這里,該包一定通過網(wǎng)關GW-A。因此,在網(wǎng)關GW-A中,知道的是該目的地地址V-VCR是虛擬IP地址,實際上發(fā)給網(wǎng)關GW-B屬下的主機video,以及mypc在網(wǎng)關GW-B屬下的主機中具有10.20.20.10(=V-PC)的地址。
因此,在網(wǎng)關GW-A中,把發(fā)送源地址R-PC(192.168.0.5)轉換成網(wǎng)關GW-B中的作為虛擬IP地址的V-PC(10.20.20.10),利用IP隧道把該包發(fā)送到網(wǎng)關GW-B。
在網(wǎng)關GW-B中,當接收到該包時,知道從網(wǎng)關GW-A收到的包使用虛擬IP地址。因此,網(wǎng)關GW-B把目的地地址V-VCR轉換成實際地址192.168.0.5,把該包發(fā)送到video。
通過從video向mypc進行與以上步驟相反的轉換,可使用虛擬IP地址在任意主機間進行通信。
另外,對此所需要的地址轉換功能可基本上利用現(xiàn)有的NAPT功能。并且,網(wǎng)關間的IP隧道通信也能利用現(xiàn)有的PPPoverSSH和IPSec等各種辦法。如果IP隧道通信利用SH和IPSec,則由于針對虛擬子網(wǎng)將網(wǎng)關GW-A和GW-B之間的通信加密,因而可防止通信內容在全局IP核心網(wǎng)間被竊聽。
并且,關于主機和網(wǎng)關之間的連接,不構成以太網(wǎng)中的廣播域,而是利用Point-to-Point(點對點)連接的L2網(wǎng)絡,因而可遮斷從組成員以外的連接。
(動作要件)用于實現(xiàn)以上動作的要件如下。
1、在包發(fā)送時,在網(wǎng)關GW-A或GW-B中進行選擇隧道(對置GW)的路由選擇。路由選擇使用目的地虛擬IP地址來決定對置GW(隧道)。
2、本地主機針對所屬的各組以及各對置GW,具有不同的虛擬IP地址。該虛擬IP地址與利用該地址的對置GW被共享。
3、本地主機具有的虛擬IP地址和實際IP地址的轉換在本地網(wǎng)關GW中進行管理。這是因為,在目的地網(wǎng)的網(wǎng)關GW中,只要知道發(fā)送源主機的虛擬IP就行,沒有必要知道實際IP地址。
4、因此,在本地網(wǎng)關GW中,進行在本地主機中的虛擬IP地址和實際地址的轉換。根據(jù)該要件,必須在GW中管理/維持以下2種列表,即被稱為全局列表的列表,其對所有組成員的虛擬IP地址及其DNS名進行管理;以及被稱為本地列表的列表,其針對與本地連接的各主機,包含構成組的對置GW中的虛擬IP地址和對應GW編號。
例如,在圖8中,網(wǎng)關GW-B中的全局列表示出video這樣的本地主機(地址192.168.0.5)所屬的2個組g1、g2中的與成員主機mypc、cam、video、note對應的虛擬IP地址。
該全局列表針對video以外的與網(wǎng)關GW-B連接的主機,也可以利用相同的列表。在該情況下,需要用于判定條目是與哪個本地主機相同的組成員的單元。例如,如果在本地列表內存儲有與所屬組(所屬G的列)有關的識別符,則在全局列表內記述有主機屬于DNS名的組,因而可識別組關系。結果,針對存儲在全局列表內的主機,可判別是與哪個本地主機相同的組。
另外,除此以外,即使是針對各本地主機準備全局列表等的單元,也可以是相同的。同樣,在本地列表內存儲有與video有關的虛擬IP地址,在該情況下,針對各對置GW,利用不同的IP地址作為虛擬IP地址。該本地列表可以對video以外的主機的虛擬IP地址進行管理,只需把與主機有關的條目追加給列表就行。
(網(wǎng)關的概略結構)下面,參照附圖對網(wǎng)關的概略結構進行說明。圖8是網(wǎng)關的功能方框圖。
如圖8所示,網(wǎng)關GW-B(網(wǎng)關GW-A也一樣)具有包收發(fā)部200、組成員列表管理部210、DNS處理部220、隧道處理部230、隧道設定管理部240、以及NAT處理部250。
全局IP網(wǎng)絡和專用(本地)網(wǎng)絡被該網(wǎng)關裝置GW-B分離。由于在組間通信的包包含任意IP地址,因而在該狀態(tài)下,不能把IP包發(fā)送到全局IP網(wǎng)絡。這里,IP包經(jīng)由設定在網(wǎng)關GW-A和GW-B之間的IP隧道(這是一例,可以是一些隧道)被收發(fā)。在該情況下,構成IP隧道的IP包的發(fā)送源/目的地地址全都必須是網(wǎng)關GW的地址。
因此,當接收到IP包時,網(wǎng)關GW-B通過其包收發(fā)部200將發(fā)往自己以外的包廢棄。然后,網(wǎng)關GW根據(jù)目的地端口編號判斷該接收到的包是發(fā)往自己的IP隧道包,還是發(fā)往自己的控制包。結果,在判斷為該端口編號是IP隧道用的IP端口編號(或者協(xié)議編號)的情況下,通過隧道處理部230處理該接收到的IP包。
隧道處理部230終接由該接收到的IP包組構成的隧道。然后,隧道處理部230在該IP包組被加密的情況下,解除該加密,之后抽出由隧道運送的內側的IP包。該處理是一例。概念上被稱為IP-IP隧道等,是眾所周知的方法。因此,取代上述IP隧道,可利用PPP、IPSec等各種隧道處理技術。
之后,從IP隧道所抽出的IP包由NAT處理部250重寫包的發(fā)送目的地。這是因為,如上述要件所述,在收容目的地主機的本地網(wǎng)關GW中對目的地地址和虛擬IP地址的對應進行處理是基本的,因此本地網(wǎng)關GW中的NAT處理部250具有能擔當該處理的唯一功能。
NAT處理部250根據(jù)接收到的IP包的對置GW(=隧道)和接收包的目的地地址,取得虛擬IP地址。NAT處理部250以該2個值為關鍵字(key),參照存儲在組成員列表管理部210內的“本地列表”,求出目的地實際IP地址。然后,NAT處理部250將虛擬IP地址被重寫成實際地址的IP包最終發(fā)送到本地網(wǎng)絡側。
在該例中,對根據(jù)上述要件,將NAT處理部250接收到的IP包的目的地IP地址轉換成實際地址作了說明,然而也能考慮該方法以外的方法。由于網(wǎng)關在通信線路上存在發(fā)送側和接收側2對,因而把具有虛擬IP地址的包的目的地/發(fā)送源地址轉換成實際地址的處理可以在其中任一網(wǎng)關的NAT處理部250中實現(xiàn)。因此,例如,如果在發(fā)送側的網(wǎng)關中針對目的地地址通過NAT處理轉換成實際IP地址,則在接收側的網(wǎng)關中不需要NAT處理。然而,在該情況下,由于在發(fā)送側的網(wǎng)關中必須知道目的地主機的實際IP地址,因而處理負荷增高。另外,在包發(fā)送時的與地址轉換有關的處理也利用大致相同的功能塊。
另外,包收發(fā)部200和DNS處理部220與第一實施方式中所說明的包收發(fā)部130和DNS處理部120一樣執(zhí)行功能。
(包接收時的具體動作)假定屬于網(wǎng)關GW-A的具有10.20.20.10這樣的虛擬IP地址的mypc把包發(fā)送給video,即虛擬IP地址10.20.10.102,并且該包由網(wǎng)關GW-B接收。
網(wǎng)關GW-B通過以接收包的發(fā)送源地址為關鍵字檢索全局列表(或者識別包的接收接口),知道使用隧道1,即對置GW編號1接收。此外,知道目的地地址是10.20.10.102。網(wǎng)關GW-B通過以這2個為關鍵字檢索“本地列表”,知道目的地實際IP地址是192.168.0.5。據(jù)此,通過NAT轉換部轉換目的地地址,最終把接收包發(fā)送到本地網(wǎng)絡,這樣,網(wǎng)關GW-B的處理完成。
(包發(fā)送時的具體動作)考慮以下情況屬于“g1”組的video主機利用該網(wǎng)關GW-B,與對置的不同網(wǎng)關GW-A屬下的主機“mypc”通過虛擬IP網(wǎng)絡進行通信。
最初,與通常的IP通信一樣,利用DNS,根據(jù)DNS名求出IP地址。這里,假定本地主機把網(wǎng)關GW-B登記為DNS服務器,并且網(wǎng)關GW-B安裝了地址解析單元(DNS服務器)。
網(wǎng)關GW-B通過包收發(fā)部把發(fā)往網(wǎng)關的DNS請求作為發(fā)往自己的包接收。包收發(fā)部把該接收包傳送到DNS處理部。DNS處理部參照組成員列表中的全局列表,例如當想要與“g1”組的“mypc”主機進行通信時,獲得10.20.20.1作為IP地址。主機“video”獲得該地址作為DNS應答。然后,在video和mypc之間開始實際的數(shù)據(jù)通信。具體地說,video把通信包發(fā)送到mypc。
當從本地側接收到該IP包時,網(wǎng)關GW-B參照存儲在組成員列表管理部210內的“全局列表”,以目的地虛擬IP地址為關鍵字取得在發(fā)送該包時要利用的隧道編號。這里,由于具有192.168.0.5這樣的IP地址的發(fā)送源主機video把包發(fā)送到目的地IP地址10.20.20.10的主機mypc,因而根據(jù)目的地IP地址(=虛擬IP地址)知道隧道編號是1。該隧道編號是為了使本地網(wǎng)絡的某主機在不同的虛擬IP地址被分配給各虛擬網(wǎng)絡的情況下,決定使用哪個虛擬IP地址而利用的。這里使用了隧道編號,然而當可找到在本質上與虛擬IP地址相當?shù)哪康牡刂鳈C所屬的網(wǎng)關GW,而且網(wǎng)關GW接收到包時,只要能識別發(fā)送源的虛擬IP地址和實際IP地址的對應,就可以使用任何編號。例如,可以是網(wǎng)關GW的全局地址或在本地管理的任意ID。
以這里求出的“隧道編號”和發(fā)送源的“實際IP地址”為關鍵字,參照本地列表,取得“虛擬IP地址”,把包的發(fā)送源地址轉換成該虛擬IP地址,把該轉換后的包通知給隧道處理部230,以便使用與隧道編號一致的隧道來發(fā)送。
在該例中,在隧道處理部230中根據(jù)隧道編號,利用預先設定的IP-IP隧道。另外,在本方法中,網(wǎng)關GW間的隧道單元可利用任意的現(xiàn)有技術,除了IP-IP隧道以外,還可以利用使用MPLS或Ether幀的L2級的隧道單元。在該情況下,可利用隧道編號作為隧道識別符。
通過以上手段,可從video向mypc進行利用虛擬IP地址的IP通信,通過該手段可實現(xiàn)使用虛擬IP地址的分組。
(網(wǎng)關中的各種信息的登記功能)在網(wǎng)關GW-B中,必須生成全局列表和本地列表。這可使用例如命令行界面和telnet、或者Web界面和HTTP等,從遠程主機對組成員列表管理部210進行設定來生成。
IP-IP隧道、或者提供相同功能的L2級隧道也能同樣利用telnet和HTTP對隧道設定管理部進行遠程設定。
下面,參照附圖對網(wǎng)關GW-A和網(wǎng)關B之間的通信進行更詳細地說明。
以下,以下列情況為例進行說明,即如圖7所示,與自家網(wǎng)連接的主機mypc(實際IP地址192.168.0.5(=R-PC)和虛擬IP地址10.20.20.10)和與父母家網(wǎng)連接的主機video(實際IP地址192.168.0.5(=R-VCR)和虛擬IP地址10.10.10.102)通過網(wǎng)關GW-A和GW-B進行通信。
另外,在網(wǎng)關GW-B保持的全局列表內記述了mypc(域名mypc.g1)和其虛擬IP地址10.20.20.10(=V-PC)的對應關系(參照圖8)。同樣,在網(wǎng)關GW-A保持的全局列表內記述了video(域名省略)和其虛擬IP地址10.10.10.102(V-VCR)的對應關系。各網(wǎng)關保持這種全局列表的結果,例如,在與自家網(wǎng)連接的主機mypc看來,與父母家網(wǎng)連接的主機video像是虛擬具有V-VCR地址的主機。同樣,在與父母家網(wǎng)連接的主機video看來,與自家網(wǎng)連接的主機mypc像是虛擬具有V-PC地址的主機。
(網(wǎng)關GW-A的地址解析)如圖7所示,主機mypc向網(wǎng)關GW-A詢問具有DNS名“video”的主機的IP地址(S300)。網(wǎng)關GW-A通過DNS處理部220接收該請求。DNS處理部220向組成員列表管理部210詢問與域名“video”對應的IP地址。
在組成員列表管理部210管理的組成員列表內記述了各主機的域名、虛擬IP地址以及對置GW(隧道編號)的對應關系。域名是將主機名(mypc或video等)和用于識別該主機所屬的組的組識別信息(g1或g2)用“.”連接而構成的。
因此,組成員列表管理部210通過參照組成員列表,可知道有從DNS處理部220詢問的與域名“video”對應的虛擬IP地址V-VCR。該判明的虛擬IP地址V-VCR被返回到解析請求源的主機mypc(S301)。主機mypc接收來自網(wǎng)關GW-A的虛擬IP地址V-VCR。
(主機mypc的發(fā)送處理)主機mypc把發(fā)送源IP地址和目的地IP地址分別是主機mypc的實際IP地址192.168.0.5(=R-PC)和剛才解析的虛擬IP地址V-VCR的IP包作為發(fā)往主機video的IP包來生成和發(fā)送(S302)。
(網(wǎng)關GW-A的地址轉換處理和傳送處理)來自主機MYPC的IP包一定通過網(wǎng)關GW-A。網(wǎng)關GW-A通過其NAT處理部接收該IP包。NAT處理部向組成員列表管理部210詢問與該接收到的IP包的目的地IP地址(剛才解析的主機video的虛擬IP地址V-VCR)對應的隧道編號。在組成員列表管理部210管理的全局列表內記述了各主機的域名、虛擬IP地址以及對置GW(隧道編號)的對應關系。
因此,組成員列表管理部210通過參照全局列表,可知道與目的地IP地址(剛才解析的主機video的虛擬IP地址V-VCR)對應的對置GW(隧道編號)。
并且,在組成員列表管理部210管理的本地列表內記述了主機video的實際IP地址R-VCR、對置GW以及虛擬IP地址V-VCR的對應關系。
因此,組成員列表管理部210通過參照本地列表,可知道與剛才判明的對置GW(隧道編號)和該接收到的IP包的發(fā)送源IP地址(mypc的實際IP地址R-PC)對應的虛擬IP地址V-PC。該判明的虛擬IP地址V-PC被返回到NAT處理部250。
當接收到該虛擬IP地址V-PC時,NAT處理部250把該接收到的IP包的發(fā)送源IP地址(MyPc的實際IP地址R-PC)轉換成該判明的虛擬IP地址V-PC(S303)。
然后,NAT處理部250把該轉換后的IP包通知給隧道處理部230,以便使用與剛才判明的對置GW(隧道編號)一致的隧道來發(fā)送。當接收到來自NAT處理部250的通知時,隧道處理部230通過該隧道發(fā)送該轉換后的IP包(S304)。
如上所述,主機mypc發(fā)送發(fā)往主機video的IP包,網(wǎng)關GW-A對該發(fā)往主機video的IP包進行地址轉換,并對該轉換后的IP包進行中繼。
(網(wǎng)關GW-B的地址轉換處理和傳送處理)下面,參照附圖對網(wǎng)關GW-B的地址轉換處理進行詳細說明。圖9是用于對網(wǎng)關GW-B的地址轉換處理和傳送處理進行說明的流程圖。
網(wǎng)關GW-B通過包收發(fā)部200接收在S304中由網(wǎng)關GW-A中繼的發(fā)往主機video的IP包(S3050)。此時,把接收到該包的隧道編號存儲為“B”(SS3051)。包收發(fā)部向組成員列表管理部210詢問與該接收到的IP包的目的地地址V-VCR對應的對置GW。在全局列表內記述了虛擬IP地址和對置GW的對應關系。因此,組成員列表管理部210通過參照全局列表,可知道與該接收到的IP包的目的地地址V-VCR對應的對置GW。
并且,在本地列表內記述了主機的實際IP地址、對置GW以及虛擬IP地址的對應關系。
因此,組成員列表管理部210通過參照本地列表,可知道與剛才判明的對置GW(隧道編號“B”)和該接收到的IP包的目的地IP地址(虛擬IP地址V-VCR)對應的實際IP地址R-VCR。這意味著對應條目存在于本地列表內(S3053是)。該判明的實際IP地址R-VCR被發(fā)送到NAT處理部。另外,在對應條目不存在于本地列表內的情況下(S3053否),該IP包被廢棄(S3056)。
NAT處理部250把該接收到的IP包的目的地IP地址(虛擬IP地址V-VCR)轉換(置換)成該判明的實際IP地址R-VCR(S3054)。然后,NAT處理部把該轉換后的IP包發(fā)送到父母家網(wǎng)(S3055)。
如上所述,網(wǎng)關GW-B對發(fā)往主機video的IP包進行中繼。
(主機video的發(fā)送處理)如圖7所示,主機video把發(fā)送源IP地址和目的地IP地址分別是主機video的實際IP地址R-VCR和虛擬IP地址V-PC(接收IP包的發(fā)送源IP地址)的IP包作為發(fā)往主機mypc的IP包(應答包)來生成和發(fā)送(S306)。
(網(wǎng)關GW-B的地址轉換處理和傳送處理)下面,參照圖7對網(wǎng)關GW-B的地址轉換處理(S307)進行詳細說明。
來自主機video的IP包一定通過網(wǎng)關GW-B。網(wǎng)關GW-B接收該IP包(S3070)。網(wǎng)關GW-B判定該接收到的IP包的目的地IP地址(DA)是否存在于全局列表內(S3071)。當該目的地IP地址(DA)不存在于全局列表內時(S3071否),該IP包被廢棄(S3072)。
另一方面,當該目的地IP地址(DA)存在于全局列表內時(S3071是),從全局列表中讀出與該接收到的IP包的目的地IP地址(主機mypc的虛擬IP地址V-PC)對應的對置GW(隧道編號),將其存儲為“A”(S3072)。
然后,從本地列表中檢索與剛才存儲的“A”和在S1080中接收到的IP包的發(fā)送源IP地址(video的實際IP地址R-VCR)對應的條目(S3073)。結果,當對應條目不存在于本地列表內時(S3074否),該IP包被廢棄(S3072)。
另一方面,當對應條目存在于本地列表內時(S3074是),把在S3070中接收到的IP包的發(fā)送源IP地址(video的實際IP地址R-VCR)轉換(置換)成該條目中的虛擬IP地址(即,與剛才存儲的“A”和在S3070中接收到的IP包的發(fā)送源IP地址(video的實際IP地址R-VCR)對應的虛擬IP地址V-VCR)(S3075)。該轉換后的IP包通過隧道“A”被發(fā)送(S3076)。
如上所述,主機video發(fā)送發(fā)往主機mypc的IP包,網(wǎng)關GW-B對該發(fā)往主機mypc的IP包進行地址轉換,并對該轉換后的IP包進行中繼。
(網(wǎng)關GW-A的地址轉換處理和傳送處理)下面,對網(wǎng)關GW-A的接收處理進行說明。
網(wǎng)關GW-A通過包收發(fā)部200接收在S3076中由網(wǎng)關GW-B中繼的發(fā)往主機mypc的IP包。包收發(fā)部200向組成員列表管理部210詢問與該接收到的IP包的發(fā)送源地址V-VCR對應的對置GW。在全局列表內記述了虛擬IP地址和對置GW的對應關系。因此,組成員列表管理部210通過參照全局列表,可知道與該接收到的IP包的發(fā)送源地址V-VCR對應的對置GW。
然后,組成員列表管理部210參照本地列表。在本地列表內記述了主機的實際IP地址、對置GW以及虛擬IP地址的對應關系。因此,組成員列表管理部210通過參照本地列表,可知道與剛才判明的對置GW(隧道編號)和該接收到的IP包的目的地IP地址(虛擬IP地址V-PC)對應的實際IP地址R-PC。該判明的實際IP地址R-PC被發(fā)送到NAT處理部250。
NAT處理部250把該接收到的IP包的目的地IP地址(虛擬IP地址V-PC)轉換成該判明的實際IP地址R-PC(S308)。然后,NAT處理部250把該轉換后的IP包發(fā)送到自家網(wǎng)(S309)。
如上所述,網(wǎng)關GW-A對發(fā)往主機PC的IP包進行中繼。
(第三實施方式)下面,參照附圖對作為本發(fā)明的第三實施方式的包含網(wǎng)關(也稱為GW或網(wǎng)關裝置)的網(wǎng)絡系統(tǒng)進行說明。
在上述第二實施方式中,網(wǎng)關間隧道連接和全局/本地列表生成必須由網(wǎng)絡管理者手動設定。在本實施方式中,參照附圖對用于使該設定自動化的單元進行說明。這里,作為這種單元,對使用在網(wǎng)關間收發(fā)這些設定信息的協(xié)議的例子進行說明。圖11是基于該協(xié)議的處理的順序圖。
以下,網(wǎng)關GW-B是主導,考慮用于生成包含屬于網(wǎng)關GW-B的主機video和屬于網(wǎng)關GW-C的PDA這樣的名稱的主機的組g3的協(xié)議。
1、(網(wǎng)關間的認證)首先,利用現(xiàn)有的認證方法(例如利用ID和密碼等的認證方法),認證是否是在網(wǎng)關間能相互信賴的GW(S400)。在網(wǎng)關間進行認證是一般期望的處理,然而在沒有必要的情況下,也能省略該步驟(選項)。
2、然后,網(wǎng)關GW-B在假定不知道屬于網(wǎng)關GW-C的主機時,為了知道該主機,向網(wǎng)關GW-C請求主機一覽(或者使用某個關鍵字檢索該主機)(S401)。該步驟在假定網(wǎng)關GW-B知道該主機名稱的情況下,也能省略(選項)。當接收到來自網(wǎng)關GW-B的一覽請求時,網(wǎng)關GW-C向請求源的網(wǎng)關GW-B應答存在于自己屬下的主機一覽(包含PDA這樣的主機名)(S403)。
3、網(wǎng)關GW-B根據(jù)來自網(wǎng)關GW-C的主機一覽,知道在網(wǎng)關GW-C屬下存在具有PDA這樣的主機名的主機。生成包含該主機PDA和存在于自己屬下的video的新的組g3,可通過在網(wǎng)關GW-B中針對video名稱的主機,新生成新的組g3用的條目來實現(xiàn)。同時,網(wǎng)關GW-B自身生成對自己來說適合于分配給組g3的虛擬網(wǎng)絡地址。這里,新生成10.22.0.0/24這樣的網(wǎng)絡。
然后,為了在網(wǎng)關GW-C中也生成該新生成的組g3,把組登記請求發(fā)送到網(wǎng)關GW-C(S404)。接收到該請求的網(wǎng)關GW-C把ACK返回到網(wǎng)關GW-B(S405),并選擇生成在本地合適的組名。這里,分配g11的組名,也同時分配10.50.0.0/24的網(wǎng)絡地址。
另外,這里,網(wǎng)關GW-B和GW-C選擇了不同組名,然而可以在兩網(wǎng)關間選擇生成相同的名稱。在該情況下,考慮通過以下實現(xiàn)協(xié)議,即重復請求/應答來相互選擇唯一的組名,或者在相互發(fā)送的消息中輸入合適名稱的一覽,從中進行選擇。
4、網(wǎng)關GW-B向網(wǎng)關GW-C請求把虛擬IP地址分配給作為屬于組g3的主機的具有名稱video的主機(S406)。網(wǎng)關GW-C在供組g11使用而生成的地址空間10.50.0.0上,分配10.50.0.10的地址供PDA.g11使用,并向網(wǎng)關GW-B應答該地址(S407)。接收到該應答的網(wǎng)關GW-B在本地列表條目內新生成video.g3這樣的名稱的10.50.0.10的虛擬IP地址(參照圖12)。
5、最后,網(wǎng)關GW-B從10.22.0.0/24的地址空間把10.22.0.3的地址新分配給PDA.g3,并新追加給全局列表條目(參照圖13),把該地址作為虛擬IP地址通知給網(wǎng)關GW-C(S408)。接收到該地址的網(wǎng)關GW-C把該條目新追加給現(xiàn)有的本地列表。網(wǎng)關GW-C在生成該列表時,向網(wǎng)關GW-B應答Ack消息(S409)。
另外,從S400到S409的步驟是一例。例如,步驟4和5可以調換順序。并且,上述步驟可以使用一條消息發(fā)送多個。并且,作為傳送層,可使用現(xiàn)有的所有協(xié)議??梢岳肏TTP和SIP。并且,消息格式可使用XML按照SOAP進行封裝,并根據(jù)這些傳送協(xié)議進行運送。
并且,關于隧道連接,也能包含在該協(xié)議內,只要在網(wǎng)關間認證成立后,就能在開始通信前的任意時刻生成隧道。并且,在把主機作為組成員新追加給已實際存在的組的情況下,省略步驟3。并且,在該實現(xiàn)例中示出了在2對網(wǎng)關間的設定,然而并不特別限于2對,通過在任意網(wǎng)關間使該協(xié)議動作,可在任意數(shù)量的網(wǎng)關間使組及其成員的設定自動化。
(第四實施方式)下面,參照附圖對作為本發(fā)明的第四實施方式的包含網(wǎng)關(也稱為GW或網(wǎng)關裝置)的網(wǎng)絡系統(tǒng)進行說明。
在本實施方式中,不能使用基于IP的通信功能的裝置(非IP終端)與網(wǎng)關GW連接。該非IP終端具有通過收發(fā)來自網(wǎng)關GW的某種文本形式或二進制形式的指令而受到控制的功能。
在這種情況下,與分配虛擬IP地址一樣,在網(wǎng)關GW中虛擬生成虛擬IP主機,把虛擬IP地址分配給該虛擬IP主機,并且該虛擬IP主機終接來自外部的TCP/IP通信,這樣,可利用TCP/IP網(wǎng)絡來實現(xiàn)指令收發(fā)。
例如,遠程主機利用telnet和HTTP等現(xiàn)有協(xié)議來傳送指令,在網(wǎng)關GW中終接telnet和HTTP,抽出指令部分,再發(fā)送到非IP主機,這樣,可從遠程主機進行好像與IP主機進行通信的控制/通信。
只要網(wǎng)關GW按照該非IP終端的數(shù)量分配虛擬IP地址,就能按照專用IP地址的數(shù)量收容非IP終端,并可完全同樣地實現(xiàn)分組。
(第五實施方式)下面,參照附圖對作為本發(fā)明的第五實施方式的包含網(wǎng)關(也稱為GW或網(wǎng)關裝置)的網(wǎng)絡系統(tǒng)進行說明。
通常,在本地網(wǎng)絡中,由于DHCP(Dynamic Host ConfigurationProtocol動態(tài)主機配置協(xié)議)等IP地址自動分配協(xié)議進行動作,因而分配給主機的IP地址不限于相同。在這種環(huán)境下,IP地址作為識別IP主機個體的ID是不適當?shù)摹?br>
在本發(fā)明中,通信目的地的IP地址是虛擬地址,實際IP地址被隱蔽。這是通過在本地列表中將實際地址和虛擬IP地址進行映射來實現(xiàn)的。這樣,即使實際地址變化,只要能維持個體和虛擬IP地址的映射,就不受由這種DHCP等引起的實際IP地址變化的影響。
例如,當在網(wǎng)關GW中利用基于MAC地址的個體識別時,可維持個體和虛擬IP地址的映射,而與實際IP地址無關。這可通過把MAC地址的字段追加給網(wǎng)關GW中的本地列表條目來實現(xiàn)(參照圖14)。這樣,即使實際地址變化,只要在本地列表中總是看MAC地址來識別個體,就能取得上述效果。
例如,video名稱的個體可使用MAC地址aa:bb:cc:dd:ee:ff唯一識別。這只要在網(wǎng)關GW和video的通信時使用以太網(wǎng)(Ether),就能通過ARP應答等取得該值,并且只要輸入到本地列表內就能實現(xiàn)。
例如,即使利用DHCP,或者IP地址分配變化而使實際地址變化,MAC地址也不變,因而可以根據(jù)該值管理維持該表的值。
(第六實施方式)下面,參照附圖對作為本發(fā)明的第六實施方式的包含網(wǎng)關(也稱為GW或網(wǎng)關裝置)的網(wǎng)絡系統(tǒng)進行說明。
當虛擬組由屬于完全不同網(wǎng)絡的主機構成時,名稱和虛擬IP地址、以及虛擬IP地址和實際地址的對應沒有模式。然而,例如在將屬于子網(wǎng)的所有主機構成為虛擬組的情況下,由于轉換具有規(guī)則,因而可大幅削減條目數(shù)。
這里,DNS名的管理不在網(wǎng)關中進行,而是向利用DNS中繼等的現(xiàn)有方法進行一元管理的系統(tǒng)詢問。把要詢問的DNS服務器的地址預先提供給網(wǎng)關GW。然后,在全局列表內記載有從域名到實際地址的轉換模式、以及從實際地址到虛擬IP地址的轉換模式(參照圖15)。
該表中的“*”意味著任意值,并意味著將與該值匹配的數(shù)據(jù)照原樣利用。例如,當假定向DNS服務器詢問video.d1的IP地址,并且該應答是192.168.0.17時,意味著符合全局列表的第1個,此時的虛擬IP地址被轉換成10.20.20.17。
通過具有這種列表,在把連續(xù)的地址空間登記在列表內的情況下,可大幅削減用于檢索列表的處理時間和用于構成列表的資源。
(第七實施方式)下面,參照附圖對作為本發(fā)明的第七實施方式的包含網(wǎng)關(也稱為GW或網(wǎng)關裝置)的網(wǎng)絡系統(tǒng)進行說明。
網(wǎng)關可虛擬告知主機,某組虛擬地存在于相同的子網(wǎng)內。在迄今為止的例子中,當訪問組時,在主機看來像是一定通過網(wǎng)關。根據(jù)本實施方式,可看起來像是在以太網(wǎng)的L2級中屬于相同子網(wǎng)。
現(xiàn)在,考慮以下情況,即假定g1組的主機存在2個,各自實際上屬于不同的遠程網(wǎng)關,在網(wǎng)關GW-B中,使作為相同的本地子網(wǎng)的192.168.0.0/24的網(wǎng)絡內存在的video主機按照屬于相同子網(wǎng)的方式進行通信。
假定把虛擬第2層地址的字段新追加給在迄今為止的實施方式中所利用的全局列表,并把第2層地址a1:b1:c1:d1:e1:f1和a2:b2:c2:d2:e2:f2分別分配給mypc和cam,以便與其他主機不同(參照圖16)。并且,與迄今為止一樣分配虛擬IP地址,然而這里分配與主機video相同的子網(wǎng)地址。
如圖17所示,在開始從cam向mypc發(fā)送IP包之前,發(fā)送ARP請求(S500),然而對此,網(wǎng)關GW-B按照取代mypc而利用虛擬的mypc的方式,使用地址a1:b1:c1:d1:e1:f1對ARP請求進行應答(S501)。此時,參照圖16所示的全局列表。這樣,由于cam把握了mypc的第2層地址,因而實際上開始在L2層把IP包發(fā)送到網(wǎng)關GW-B(S502)。
網(wǎng)關GW-B在接收到L2包時,參照全局列表,由于識別出發(fā)往目的地a1:b1:c1:d1:e1:f1的L2包在網(wǎng)關GW-A中作為mypc虛擬存在,因而可將其終接。以下通過與迄今為止相同的處理,把IP包傳送到網(wǎng)關GW-A(S503)。網(wǎng)關GW-A與上述實施方式一樣,接收該IP包來進行地址轉換,并把該轉換后的IP包傳送到自己屬下的mypc(S504)。
并且,當把來自mypc的包從網(wǎng)關GW-B發(fā)送到cam時,與迄今為止的實施方式一樣結束地址轉換,當最終發(fā)送到本地網(wǎng)絡時,附上作為發(fā)送源第2層地址的a1:b1:c1:d1:e1:f1,把L2包發(fā)送到L2網(wǎng)絡上的mypc。
以上結果,網(wǎng)關可提供使任意主機作為虛擬地屬于同一子網(wǎng)的主機進行通信的功能。
(變形例)在上述實施方式中,對IP地址是基于IPv4的地址作了說明,然而本發(fā)明不限于此。例如,也能使用基于IPv6的地址。在該情況下,取代IPv4的專用地址,可通過利用IPv6的地區(qū)本地地址來實現(xiàn)。例如,如果把上述實施方式的“專用(地址)”重讀為“地區(qū)本地(地址)”,則處理步驟和處理方法完全相同,在實施本發(fā)明時,沒有必要考慮IPv4和IPv6的不同。另外,全局地址對于IPv4和IPv6具有相同意義。
本發(fā)明可在不背離其精神或主要特征的情況下,采用其他各種形式實施。因此,上述實施方式在所有方面只不過是例示,不作限定性解釋。
產(chǎn)業(yè)上的可利用性根據(jù)本發(fā)明,不使通信/計算資源匱乏的主機(例如,便攜電話、PDA(Personal Digital Assistance個人數(shù)字助理)等的便攜終端、冰箱、洗衣機、錄像機等的網(wǎng)絡家電)的處理負荷增大,即可實現(xiàn)在組內封閉的通信。
權利要求
1.一種包中繼裝置,位于本地網(wǎng)絡和全局網(wǎng)絡之間的邊界,用于在由具有全局地址的IP主機構成的IP網(wǎng)絡中,選擇任意主機進行分組,實現(xiàn)在組內封閉的通信,該包中繼裝置具有由IP地址和用于管理組的主機名構成的、用于管理屬于組的主機的列表;以及根據(jù)該列表識別作為組成員的主機和組外的主機并遮斷來自組外的主機的通信的單元。
2.根據(jù)權利要求1所述的包中繼裝置,還具有將全局地址和專用地址相互轉換的轉換裝置。
3.根據(jù)權利要求2所述的包中繼裝置,針對虛擬IP子網(wǎng)的虛擬專用地址被分配給任意主機。
4.根據(jù)權利要求2或3所述的包中繼裝置,還具有將與其他包中繼裝置之間的通信加密的單元。
5.根據(jù)權利要求2至4中的任意一項所述的包中繼裝置,還具有根據(jù)規(guī)定的隧道協(xié)議,使與其他包中繼裝置之間的隧道設定自動化的單元。
6.根據(jù)權利要求2至5中的任意一項所述的包中繼裝置,還具有根據(jù)虛擬組設定協(xié)議,使與其他包中繼裝置之間的組設定自動化的單元。
7.根據(jù)權利要求2至6中的任意一項所述的包中繼裝置,還具有根據(jù)虛擬組設定協(xié)議,使與其他包中繼裝置之間的屬于組的成員設定自動化的單元。
8.根據(jù)權利要求5至7中的任意一項所述的包中繼裝置,還具有通過在與其他包中繼裝置之間進行認證,確認是否能相互信賴的單元。
9.根據(jù)權利要求2或3所述的包中繼裝置,包中繼裝置和主機不與其他主機連接,而是直接連接。
10.根據(jù)權利要求3所述的包中繼裝置,把非IP終端虛擬地作為IP主機來構建在其他主機看來像是存在于組內的虛擬IP主機。
11.根據(jù)權利要求3所述的包中繼裝置,使主機的第2層地址作為主機固有的識別符與機器一一對應。
12.根據(jù)權利要求3所述的包中繼裝置,使用虛擬第2層地址代替屬于組的主機來應答ARP,在本地子網(wǎng)級中實現(xiàn)組內通信。
13.根據(jù)權利要求1至3中的任意一項所述的包中繼裝置,不在網(wǎng)關中進行名稱解析,而在DNS服務器中集中地解析名稱,而且使用模式來描述實際地址和虛擬專用地址之間的轉換。
14.一種IP包中繼裝置,設置在網(wǎng)絡間,使與屬于特定組的主機有關的IP包通過,該IP包中繼裝置具有列表,使主機具有的IP地址和用于識別該主機所屬的組的組識別符對應;判定單元,通過參照前述列表判定從一個網(wǎng)絡收到的且發(fā)往與另一網(wǎng)絡連接的主機的IP包是否是與同一組有關的IP包;以及轉發(fā)單元,把被判定為是與同一組有關的IP包的IP包中繼到前述另一網(wǎng)絡。
15.根據(jù)權利要求14所述的IP包中繼裝置,在與從前述一個網(wǎng)絡收到的IP包的發(fā)送源地址和目的地地址對應的組是同一組的情況下,前述判定單元通過參照前述列表,判定為該IP包是與同一組有關的IP包。
全文摘要
一種IP包中繼裝置,設置在網(wǎng)絡間,使與屬于特定組的主機有關的IP包通過,該IP包中繼裝置具有列表,使主機具有的IP地址和用于識別該主機所屬的組的組識別符對應;判定單元,通過參照前述列表判定從一個網(wǎng)絡收到的且發(fā)往與另一網(wǎng)絡連接的主機的IP包是否是與同一組有關的IP包;以及轉發(fā)單元,把被判定為是與同一組有關的IP包的IP包中繼到前述另一網(wǎng)絡。
文檔編號H04L12/66GK1839592SQ03827058
公開日2006年9月27日 申請日期2003年9月11日 優(yōu)先權日2003年9月11日
發(fā)明者野村祐士, 山根慎治, 宇式一雅, 黑瀨義敏, 深沢光規(guī) 申請人:富士通株式會社