專利名稱:包中繼裝置的制作方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及將通過通信網(wǎng)絡(luò)所連接的任意主機(jī)虛擬分組并提供閉域網(wǎng)的技術(shù)���。
背景技術(shù):
IP(Internet Protocol網(wǎng)際協(xié)議)網(wǎng)絡(luò)正在迅速普及��。伴隨該普及�����,IP網(wǎng)絡(luò)也可以連接個(gè)人計(jì)算機(jī)(PC)以外的主機(jī)(例如可進(jìn)行IP通信的家電產(chǎn)品等的設(shè)備)��。迄今為止的高功能個(gè)人計(jì)算機(jī)(PC)開始了從主角的IP網(wǎng)絡(luò)控制家電產(chǎn)品����、或者在IP對(duì)應(yīng)的家電產(chǎn)品間收發(fā)內(nèi)容等的利用�����,可進(jìn)行IP通信的設(shè)備(以下稱為主機(jī))的數(shù)量和種類增加���,特別是���,也可以連接以前不能連接的比PC功能低的主機(jī)。
由于主機(jī)數(shù)量增加���,因而需要將主機(jī)分組來對(duì)多個(gè)主機(jī)進(jìn)行簡(jiǎn)單管理�����,并且由于低功能主機(jī)增加��,因而需要使用對(duì)主機(jī)負(fù)擔(dān)少的簡(jiǎn)單方法來實(shí)現(xiàn)組間通信���。分組的意義是���,例如,具有在檢索某主機(jī)的情況下縮小檢索范圍的效果�����,縮短檢索所需要的處理量和時(shí)間���,并且另一方面是對(duì)屬于組的主機(jī)和不屬于組的普通主機(jī)進(jìn)行識(shí)別�,從而具有以下意義例如通過限制為只有成員才能從主機(jī)外部訪問來確保安全性�。
在現(xiàn)有技術(shù)中,一般�����,在由任意數(shù)量的IP主機(jī)構(gòu)成某1組的情況下�,屬于組的主機(jī)作為組成員相互登記信息,并相互通信�����。在該情況下,屬于組的所有主機(jī)需要以下手段�����。
1�����、屬于相同組的成員的列表����;2��、在上述成員列表內(nèi)登記/刪除主機(jī)的功能���,以及在成員間共享/同步的功能�;3�、根據(jù)成員列表進(jìn)行用戶認(rèn)證的認(rèn)證單元;4��、對(duì)來自成員列表內(nèi)所包含的主機(jī)的通信和成員以外的主機(jī)進(jìn)行識(shí)別的單元����。
另外��,作為與地址轉(zhuǎn)換有關(guān)的資料��,例如有非專利文獻(xiàn)1和2����。并且�,作為與VPN有關(guān)的資料,例如有非專利文獻(xiàn)3和4�����。
非專利文獻(xiàn)1RFC1631非專利文獻(xiàn)2RFC2391非專利文獻(xiàn)3NS2001-263(情報(bào)システム研究會(huì)NS)2002.3�����、複數(shù)ネツトワ一ク接統(tǒng)に適した分散型VPN のデザイン�����、田島佳武(NTT)非專利文獻(xiàn)4NS2001-262(情報(bào)システム研究會(huì)NS)2002.3��、仮想ネツトワ一キングサ一ビスプラツトフオ一ム(VNSP)におけるマルチVPNサ一ビスサ一ビス提供方式��、岡大祐(NTT)、他專利文獻(xiàn)5特開2001-268125號(hào)公報(bào)現(xiàn)有技術(shù)具有以下問題主機(jī)的安裝成本高��,并且主機(jī)數(shù)量沒有可擴(kuò)展性���。第一����,加入組的所有主機(jī)必須安裝上述1~4的功能�����,特別是�,對(duì)用戶的認(rèn)證或通信進(jìn)行限制的功能是由防火墻或網(wǎng)關(guān)等專用機(jī)所實(shí)現(xiàn)的功能�,安裝成本非常高。把這種功能安裝在通信/計(jì)算資源匱乏的便攜電話����、PDA(Personal Digital Assistance個(gè)人數(shù)字助理)等的便攜終端、冰箱�、洗衣機(jī)、錄放機(jī)等的網(wǎng)絡(luò)家電通信中是困難的��。
例如���,由于針對(duì)接收到的各IP包檢查是否是已認(rèn)證的主機(jī)的處理與要接收的包數(shù)和成員數(shù)成比例地增大��,因而主機(jī)中的處理負(fù)荷增大����,具有無法擴(kuò)展的問題。
第二�����,在該方法中�,由于各主機(jī)間的通信以全網(wǎng)狀發(fā)生,因而當(dāng)主機(jī)數(shù)增加時(shí)��,主機(jī)中的處理消息數(shù)與該主機(jī)數(shù)成比例地增加�����。例如�����,每當(dāng)加入組的成員增減時(shí)����,就必須在各主機(jī)中更新成員列表����,然而由于該成員變更的消息被發(fā)送到所有主機(jī)��,因而發(fā)送主機(jī)和接收主機(jī)的處理負(fù)荷都增大��,具有無法擴(kuò)展的問題�。
如上所述,需要盡量不對(duì)主機(jī)產(chǎn)生負(fù)擔(dān)并可進(jìn)行擴(kuò)展的分組技術(shù)��。具體的要求條件有以下3點(diǎn)��。
1����、主機(jī)中的TCP/IP協(xié)議棧和現(xiàn)有應(yīng)用程序完全不變更。
2�、主機(jī)中的利用分組功能的應(yīng)用程序只利用現(xiàn)有的TCP/IP功能;3����、只有經(jīng)認(rèn)證的主機(jī)才能訪問組成員�,即在主機(jī)看來好像是僅從已認(rèn)證的主機(jī)發(fā)生通信。
并且���,作為附加功能���,期望的是滿足以下要件��。
1���、自動(dòng)執(zhí)行組結(jié)構(gòu)和成員登記。
2��、對(duì)地址空間沒有制約��,可使用全局地址和專用地址雙方���。
3��、由于IP地址和主機(jī)的對(duì)應(yīng)在使用DHCP等時(shí)不是唯一的����,因而具有IP地址以外的個(gè)體認(rèn)證功能�。
4、在主機(jī)中的應(yīng)用程序中容易進(jìn)行組判別��。
發(fā)明內(nèi)容
本發(fā)明的課題是即使組成員數(shù)等增加,也不使主機(jī)的處理負(fù)荷增大�����,實(shí)現(xiàn)在組內(nèi)封閉的通信�����。
本發(fā)明是為了解決上述課題而提出的���,本發(fā)明是一種包中繼裝置�,位于本地網(wǎng)絡(luò)和全局網(wǎng)絡(luò)之間的邊界��,用于在由具有全局地址或?qū)S玫刂返腎P主機(jī)構(gòu)成的IP網(wǎng)絡(luò)中�����,選擇任意主機(jī)進(jìn)行分組��,實(shí)現(xiàn)在組內(nèi)封閉的通信��,該包中繼裝置構(gòu)成為具有由IP地址和用于管理組的主機(jī)名構(gòu)成�����,用于管理屬于組的主機(jī)的列表�;以及根據(jù)該列表識(shí)別作為組成員的主機(jī)和組外的主機(jī)并遮斷來自組外的主機(jī)的通信的單元。
根據(jù)本發(fā)明�,各主機(jī)自身沒有必要具有成員列表等。因此����,即使組成員數(shù)等增加,也不使主機(jī)的處理負(fù)荷增大��,可實(shí)現(xiàn)在組內(nèi)封閉的通信�。
在上述包中繼裝置中,例如��,還具有將全局地址和專用地址相互轉(zhuǎn)換的轉(zhuǎn)換裝置�。
這樣,可進(jìn)行專用網(wǎng)和全局網(wǎng)��、以及專用網(wǎng)之間的通信��。
在上述包中繼裝置中���,例如��,針對(duì)虛擬IP子網(wǎng)的虛擬專用地址(也稱為虛擬IP地址)被分配給任意主機(jī)�。
這樣,可將主機(jī)組在IP子網(wǎng)中虛擬地進(jìn)行分組����。
在上述包中繼裝置中,例如���,還具有將與其他包中繼裝置之間的通信加密的單元���。
這樣,可防止信息在中繼路徑上泄漏�����。
在上述包中繼裝置中���,例如���,還具有根據(jù)規(guī)定的隧道協(xié)議,使與其他包中繼裝置之間的隧道設(shè)定自動(dòng)化的單元����。
這樣,可實(shí)現(xiàn)隧道設(shè)定的自動(dòng)化��。
在上述包中繼裝置中,例如�����,還具有根據(jù)虛擬組設(shè)定協(xié)議�����,使與其他包中繼裝置之間的組設(shè)定自動(dòng)化的單元����。
這樣����,可實(shí)現(xiàn)組設(shè)定的自動(dòng)化。
在上述包中繼裝置中����,例如,還具有根據(jù)虛擬組設(shè)定協(xié)議�����,使與其他包中繼裝置之間的屬于組的成員設(shè)定自動(dòng)化的單元����。
這樣�,可實(shí)現(xiàn)成員設(shè)定的自動(dòng)化���。
在上述包中繼裝置中����,例如�����,還具有通過在與其他包中繼裝置之間進(jìn)行認(rèn)證�,確認(rèn)是否能相互信賴的單元。
這樣�,可僅與可信賴的對(duì)方進(jìn)行通信。
在上述包中繼裝置中��,例如�,包中繼裝置和主機(jī)不與其他主機(jī)連接,而是直接連接��。
這樣���,可防止信息在包中繼裝置和主機(jī)之間的中繼路徑上泄漏��。
在上述包中繼裝置中����,例如,把非IP終端虛擬地作為IP主機(jī)來構(gòu)建在其他主機(jī)看來像是存在于組內(nèi)的虛擬IP主機(jī)�。
這樣,在與非IP終端之間也能進(jìn)行通信���。
在上述包中繼裝置中,例如��,使主機(jī)的第2層地址(L2地址)作為主機(jī)固有的識(shí)別符(ID)與機(jī)器一一對(duì)應(yīng)��。
這樣��,即使主機(jī)移動(dòng)�、或者臨時(shí)停止,從而根據(jù)DHCP使IP地址改變��,也能使組成員看來像是相同的����。
在上述包中繼裝置中,例如�����,使用虛擬第2層地址代替屬于組的主機(jī)來應(yīng)答ARP(Address Resolution Protocol地址解析協(xié)議),在本地子網(wǎng)級(jí)中實(shí)現(xiàn)組內(nèi)通信����。
在上述包中繼裝置中,例如����,不在網(wǎng)關(guān)中進(jìn)行名稱解析,而在DNS服務(wù)器中集中地解析名稱����,而且使用模式來描述實(shí)際地址和虛擬專用地址之間的轉(zhuǎn)換。
這樣����,可削減地址轉(zhuǎn)換所涉及的資源和處理時(shí)間。
本發(fā)明也能按如下確定��。
一種IP包中繼裝置�,設(shè)置在網(wǎng)絡(luò)間,使與屬于特定組的主機(jī)有關(guān)的IP包通過��,該IP包中繼裝置具有列表,使主機(jī)具有的IP地址和用于識(shí)別該主機(jī)所屬的組的組識(shí)別符對(duì)應(yīng)���;判定單元�,通過參照前述列表判定從一個(gè)網(wǎng)絡(luò)收到的且發(fā)往與另一網(wǎng)絡(luò)連接的主機(jī)的IP包是否是與同一組有關(guān)的IP包����;以及轉(zhuǎn)發(fā)單元,把被判定為是與同一組有關(guān)的IP包的IP包中繼到前述另一網(wǎng)絡(luò)�����。
這樣�����,各主機(jī)自身沒有必要具有成員列表等�。因此���,即使組成員數(shù)等增加����,也不使主機(jī)的處理負(fù)荷增大�����,可實(shí)現(xiàn)在組內(nèi)封閉的通信。
并且�,在上述IP包中繼裝置中,例如����,在與從前述一個(gè)網(wǎng)絡(luò)收到的IP包的發(fā)送源地址和目的地地址對(duì)應(yīng)的組是同一組的情況下,前述判定單元通過參照前述列表�,判定為該IP包是與同一組有關(guān)的IP包。這示出了判定單元的判定基準(zhǔn)的一例���。
本發(fā)明的特征在于�,由于對(duì)通信主機(jī)不施加變更�,而將具有相同目標(biāo)的任意主機(jī)進(jìn)行安全且可擴(kuò)展地分組,因而網(wǎng)關(guān)裝置管理組��,而且通過將實(shí)際IP地址和虛擬IP地址進(jìn)行轉(zhuǎn)換來虛擬地構(gòu)建IP子網(wǎng)絡(luò)�,可根據(jù)IP地址識(shí)別組。
本發(fā)明的基本思想是使網(wǎng)關(guān)裝置具有分組所需要的功能����。即,為了滿足上述要求條件�,新設(shè)置連接屬于組的主機(jī)之間的網(wǎng)關(guān)(=路由器)裝置。該網(wǎng)關(guān)裝置與現(xiàn)有的路由器、開關(guān)裝置等一樣具有連接物理劃分的網(wǎng)絡(luò)間的功能��,對(duì)這些裝置新追加了分組所需要的功能�。這樣將現(xiàn)有技術(shù)中主機(jī)所需要的所有功能安裝在網(wǎng)關(guān)內(nèi),主機(jī)只需使用低功能且簡(jiǎn)單的TCP/IP協(xié)議棧就能實(shí)現(xiàn)分組通信��。
通常為了降低主機(jī)功能�����,針對(duì)各主機(jī)通過不同的網(wǎng)關(guān)裝置�����,即2臺(tái)或2臺(tái)以上的網(wǎng)關(guān)裝置實(shí)現(xiàn)分組通信(參照?qǐng)D1)�。
本發(fā)明的基本思想是,如果總結(jié)解決課題的手段��,則把以下3種手段新配備在網(wǎng)關(guān)內(nèi)���。
1、訪問限制功能網(wǎng)關(guān)裝置為了遮斷從組成員外向作為組成員的主機(jī)的訪問�����,具有組成員地址作為列表,根據(jù)該列表識(shí)別組成員��,遮斷或限制來自成員以外的通信���。
2��、可在主機(jī)中進(jìn)行成員識(shí)別的功能并且����,該網(wǎng)關(guān)裝置具有利用DNS來應(yīng)答包含通信對(duì)方的組名的字符串���,以使各組成員可使用標(biāo)準(zhǔn)的TCP/IP協(xié)議來參照組的功能��。
3���、組成員管理功能并且,該網(wǎng)關(guān)裝置具有對(duì)新加入組的主機(jī)進(jìn)行認(rèn)證并登記在組成員列表內(nèi)的單元�、以及當(dāng)某主機(jī)脫離組成員時(shí)刪除主機(jī)的功能。并且��,為了使管理簡(jiǎn)單����,可作為選項(xiàng)的是���,具有在網(wǎng)關(guān)間使組及其成員信息同步的單元。
圖1是用于對(duì)第一實(shí)施方式的網(wǎng)絡(luò)系統(tǒng)的概略結(jié)構(gòu)進(jìn)行說明的圖��。
圖2是用于對(duì)第一實(shí)施方式的網(wǎng)絡(luò)系統(tǒng)的概略結(jié)構(gòu)進(jìn)行說明的圖���。
圖3是第一實(shí)施方式的網(wǎng)關(guān)的功能方框圖�����。
圖4是用于對(duì)網(wǎng)關(guān)的動(dòng)作進(jìn)行說明的流程圖�����。
圖5是用于對(duì)網(wǎng)關(guān)的動(dòng)作進(jìn)行說明的流程圖�。
圖6是用于對(duì)網(wǎng)關(guān)的動(dòng)作進(jìn)行說明的順序圖�����。
圖7是用于主要對(duì)第二實(shí)施方式的網(wǎng)絡(luò)系統(tǒng)的概略結(jié)構(gòu)進(jìn)行說明的圖��。
圖8是第二實(shí)施方式的網(wǎng)關(guān)的功能方框圖���。
圖9是用于對(duì)網(wǎng)關(guān)的動(dòng)作進(jìn)行說明的流程圖�。
圖10是用于對(duì)網(wǎng)關(guān)的動(dòng)作進(jìn)行說明的流程圖����。
圖11是網(wǎng)關(guān)間設(shè)定協(xié)議的順序圖。
圖12是網(wǎng)關(guān)GW-B保持的本地列表例����。
圖13是網(wǎng)關(guān)GW-B保持的全局列表例。
圖14是包含個(gè)體識(shí)別符的本地列表例�����。
圖15是網(wǎng)關(guān)BW-B保持的全局列表例�����。
圖16是全局列表例�����。
圖17是用于對(duì)第七實(shí)施方式的網(wǎng)關(guān)的動(dòng)作進(jìn)行說明的順序圖����。
具體實(shí)施例方式
以下,參照附圖對(duì)作為本發(fā)明的第一實(shí)施方式的包含網(wǎng)關(guān)(也稱為GW或網(wǎng)關(guān)裝置)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行說明���。
(第一實(shí)施方式)(網(wǎng)絡(luò)系統(tǒng)的概要)圖1和圖2是用于對(duì)本實(shí)施方式的網(wǎng)絡(luò)系統(tǒng)的概略結(jié)構(gòu)進(jìn)行說明的圖�。
如圖2所示,本實(shí)施方式的網(wǎng)絡(luò)系統(tǒng)由本地網(wǎng)絡(luò)A(以下稱為本地網(wǎng)A)�����、本地網(wǎng)絡(luò)B(以下稱為本地網(wǎng)B)�、以及互聯(lián)網(wǎng)構(gòu)成。本地網(wǎng)A和本地網(wǎng)B與成為分組對(duì)象的主機(jī)(這里是主機(jī)11~14和主機(jī)21~25)連接��。另外���,成為分組對(duì)象的主機(jī)數(shù)可采用適當(dāng)?shù)臄?shù)量�。
各主機(jī)是具有進(jìn)行基于IP包的通信的功能的家電產(chǎn)品等的終端����。為了進(jìn)行該基于IP包的通信,各主機(jī)具有全局IP地址����。這里,采用基于IPv4的IP地址��。本地網(wǎng)A和互聯(lián)網(wǎng)通過網(wǎng)關(guān)A1連接���。并且��,本地網(wǎng)B和互聯(lián)網(wǎng)通過網(wǎng)關(guān)B1連接���。
從本地網(wǎng)B經(jīng)由互聯(lián)網(wǎng)發(fā)往本地網(wǎng)A的IP包(即,發(fā)送源IP地址和目的地IP地址分別是與本地網(wǎng)B連接的主機(jī)的IP地址和與本地網(wǎng)A連接的主機(jī)的IP地址的IP包)到達(dá)網(wǎng)關(guān)A1�����。反之�����,從本地網(wǎng)A經(jīng)由互聯(lián)網(wǎng)發(fā)往本地網(wǎng)B的IP包(即���,發(fā)送源IP地址和目的地IP地址分別是與本地網(wǎng)A連接的主機(jī)具有的IP地址和與本地網(wǎng)B連接的主機(jī)具有的IP地址的IP包)到達(dá)網(wǎng)關(guān)B1���。
在本實(shí)施方式中,網(wǎng)關(guān)A1和B1對(duì)該到達(dá)的IP包執(zhí)行后述的過濾處理等���。這樣����,可實(shí)現(xiàn)在組內(nèi)封閉的通信。以下��,對(duì)該詳情進(jìn)行說明�����。
(網(wǎng)關(guān)的概略結(jié)構(gòu))
下面���,參照附圖對(duì)網(wǎng)關(guān)的概略結(jié)構(gòu)進(jìn)行說明���。圖3是網(wǎng)關(guān)的功能方框圖。
網(wǎng)關(guān)A1(網(wǎng)關(guān)B1也一樣)是設(shè)置在本地網(wǎng)絡(luò)(例如本地網(wǎng)A或B)和全局網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))之間��,用于在具有全局地址的IP主機(jī)所構(gòu)成的IP網(wǎng)絡(luò)中�����,選擇任意主機(jī)進(jìn)行分組�,實(shí)現(xiàn)在組內(nèi)封閉的通信的包中繼裝置。
具體地說��,網(wǎng)關(guān)A1如圖3所示���,具有包過濾部100�����、組成員列表管理部110����、DNS處理部120���、以及包收發(fā)部130���。
包過濾部100接收從本地網(wǎng)B經(jīng)由互聯(lián)網(wǎng)發(fā)往本地網(wǎng)A的IP包(即,發(fā)送源IP地址和目的地IP地址分別是與本地網(wǎng)B連接的主機(jī)的IP地址和與本地網(wǎng)A連接的主機(jī)的IP地址的IP包)�。包過濾部100向組成員列表管理部110詢問該接收到的IP包是否與同一組有關(guān)(這里,與該接收到的IP包的發(fā)送源IP地址(SA)和目的地IP地址(DA)對(duì)應(yīng)的組是否相同)�����。
當(dāng)收到來自包過濾部100的詢問時(shí)�,組成員列表管理部110參照自己管理的組成員列表,判定與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組是否相同���。在組成員列表內(nèi)記述了各主機(jī)(主機(jī)11~14和主機(jī)21~25)�、該主機(jī)的IP地址以及該主機(jī)的域名的對(duì)應(yīng)關(guān)系。另外��,為了便于說明��,在圖3所示的組成員列表內(nèi)記述了比圖2所示的主機(jī)數(shù)少的數(shù)量的對(duì)應(yīng)關(guān)系���。
域名是將該主機(jī)名(mypc或tv等)和用于識(shí)別該主機(jī)所屬的組的組識(shí)別信息(gr1或gr2等)用“.”連接而構(gòu)成的���。因此,組成員列表管理部110通過參照組成員列表�����,可知道與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組(組識(shí)別信息)����。然后,通過比較該判明的組(組識(shí)別信息)�,可判定兩者是否相同。該判定結(jié)果被返回到包過濾部100��。
當(dāng)收到與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組是相同的判定結(jié)果時(shí)����,包過濾部100把該接收到的IP包轉(zhuǎn)發(fā)給本地網(wǎng)A(目的地)。另一方面,當(dāng)收到與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組不是相同的判定結(jié)果時(shí)��,包過濾部100不把該接收到的IP包轉(zhuǎn)發(fā)給本地網(wǎng)A���,而是例如廢棄��。
(組成員列表)組成員列表可使用各種方法生成��。例如,可考慮如下在網(wǎng)絡(luò)上新生成虛擬組gr1�、gr2,然后登記屬于該組的主機(jī)的IP地址和名稱(這里是域名(DNS名))�����,最終獲得存儲(chǔ)有組及其成員的地址列表����。圖3示出了這樣獲得的組成員列表。
這些一系列作業(yè)是由網(wǎng)絡(luò)管理者將管理終端串聯(lián)連接��,利用命令行界面手動(dòng)設(shè)定在網(wǎng)關(guān)A1內(nèi)�����。或者�����,可以使用管理設(shè)定用的遠(yuǎn)程設(shè)定協(xié)議(Telnet或HTTP等)來設(shè)定����。例如,在利用HTTP的情況下���,在網(wǎng)關(guān)A1中存在具有用于生成組的Web界面的組及其成員的登記/管理功能�,某主機(jī)可以具有以下等的訪問限制��,即通過在網(wǎng)關(guān)的登記畫面中輸入ID和密碼進(jìn)行認(rèn)證�����,可進(jìn)入登記用的Web頁面�����。當(dāng)在登記用的頁面上輸入組名時(shí)����,可登記組���,并且當(dāng)針對(duì)現(xiàn)有的組名登記主機(jī)IP地址時(shí),可定義作為屬于組的成員的主機(jī)���。這些登記步驟取決于用戶界面的設(shè)計(jì)�,這些是一例����,只要組及其成員主機(jī)具有登記功能,其他登記方法也可以�����。
以上結(jié)果����,可生成存儲(chǔ)有主機(jī)的IP地址和DNS名以及主機(jī)所屬的組名的組成員列表��。
(域名登記)下面��,參照附圖對(duì)網(wǎng)關(guān)的DNS動(dòng)作進(jìn)行說明��。圖4是用于對(duì)網(wǎng)關(guān)動(dòng)作進(jìn)行說明的流程圖����。
與上述一樣��,可針對(duì)各IP地址定義固有名稱����,并與剛才的組名一起定義適當(dāng)?shù)挠蛎?����。例如���,假定登記主機(jī)12是“mypc”這樣的名稱����,并且該主機(jī)所屬的組名是“g1”�,則在網(wǎng)關(guān)中,把“mypc.g1”這樣的DNS名分配給主機(jī)12的IP地址“133.100.51.3”�����。
例如當(dāng)從在組內(nèi)已登記完的主機(jī)接收到包含針對(duì)“mypc.g1”這樣的DNS名的IP地址解析請(qǐng)求的IP包時(shí)(S100)���,網(wǎng)關(guān)A1向組成員列表管理部110詢問該接收到的IP包的發(fā)送源IP地址(SA)是否存在于組成員列表內(nèi)(S101)��。結(jié)果�����,在該發(fā)送源IP地址(SA)不存在于組成員列表內(nèi)的情況下(S101否)�,網(wǎng)關(guān)A1返回應(yīng)答作為通常的DNS請(qǐng)求(S102)。另一方面����,在該發(fā)送源IP地址(SA)存在于組成員列表內(nèi)的情況下(S101是),網(wǎng)關(guān)A1把對(duì)應(yīng)于(屬于)該發(fā)送源IP地址(SA)的組存儲(chǔ)為“A”(S103)���。然后����,網(wǎng)關(guān)A1判定要解析的主機(jī)是否存在于剛才存儲(chǔ)的組“A”內(nèi)(S104)�����。結(jié)果�,在該主機(jī)不存在于組“A”內(nèi)的情況下(S104否)����,網(wǎng)關(guān)A1返回應(yīng)答作為通常的DNS請(qǐng)求(S102)�。另一方面�,在該主機(jī)存在于組“A”內(nèi)的情況下(S104是),網(wǎng)關(guān)A1參照組成員列表����,獲得與“mypc.g1”這樣的DNS名對(duì)應(yīng)的IP地址“133.100.51.3”。網(wǎng)關(guān)A1把該解析的IP地址“133.100.51.3”存儲(chǔ)為“IP”���,并把DNS名“mypc.g1”存儲(chǔ)為“Name”(S105)�����。
然后���,網(wǎng)關(guān)A1判定來自主機(jī)的請(qǐng)求是否是DNS名的解析請(qǐng)求(S106)。結(jié)果��,在來自主機(jī)的請(qǐng)求是DNS名的解析請(qǐng)求的情況下(S106是)�����,向請(qǐng)求源的主機(jī)應(yīng)答DNS名(S107)����。另一方面����,在來自主機(jī)的請(qǐng)求不是DNS名的解析請(qǐng)求的情況下(S106否)����,向請(qǐng)求源的主機(jī)應(yīng)答IP地址(S108)。這里����,由于來自主機(jī)的請(qǐng)求是IP地址的解析請(qǐng)求(S100、S106否)���,因而網(wǎng)關(guān)A1向地址解析請(qǐng)求源的主機(jī)應(yīng)答與DNS名“mypc.g1”對(duì)應(yīng)的IP地址“133.100.51.3”(S108)�。另外�,當(dāng)在S100中從主機(jī)接收到包含針對(duì)IP地址“133.100.51.3”的DNS名的解析請(qǐng)求的IP包的情況下,網(wǎng)關(guān)A1向DNS名的解析請(qǐng)求源的主機(jī)應(yīng)答與該IP地址對(duì)應(yīng)的DNS名“mypc.g1”(S107)��。
另外���,一般���,基于組成員列表的DNS應(yīng)答被限制成僅在本地網(wǎng)絡(luò)側(cè)有效���。例如����,認(rèn)為被限制成,DNS請(qǐng)求的發(fā)送源IP地址存在于事先生成的成員列表內(nèi)���,而且僅受理對(duì)屬于同一組的主機(jī)的請(qǐng)求����。
以上結(jié)果�����,可定義存儲(chǔ)有各IP地址的DNS名的組成員列表�,并對(duì)與此對(duì)應(yīng)的請(qǐng)求進(jìn)行應(yīng)答。
(訪問限制)下面�,參照?qǐng)D5對(duì)利用上述結(jié)構(gòu)的網(wǎng)關(guān)進(jìn)行的用于實(shí)現(xiàn)在組內(nèi)封閉的通信的動(dòng)作進(jìn)行說明。圖5是用于對(duì)網(wǎng)關(guān)動(dòng)作進(jìn)行說明的流程圖�。
首先,以屬于同一組gr1的主機(jī)11和主機(jī)22之間的通信為例進(jìn)行說明��。另外�����,在網(wǎng)關(guān)A1(網(wǎng)關(guān)B1也一樣)的組成員列表內(nèi)記述了主機(jī)11和主機(jī)22等具有的IP地址和這些主機(jī)的域名(由主機(jī)名和組識(shí)別符構(gòu)成)的對(duì)應(yīng)關(guān)系。
首先�����,假定主機(jī)22向主機(jī)11發(fā)送了IP包(即���,發(fā)送源IP地址和目的地IP地址分別是主機(jī)22的IP地址和主機(jī)11的IP地址的IP包)���。該IP包經(jīng)由互聯(lián)網(wǎng)到達(dá)網(wǎng)關(guān)A1。網(wǎng)關(guān)A1通過其包過濾部100接收該到達(dá)的包(S200)�。包過濾部100向組成員列表管理部110詢問該接收到的IP包是否與同一組有關(guān)(這里,與該接收到的IP包的發(fā)送源IP地址(SA)和目的地IP地址(DA)對(duì)應(yīng)的組是否相同)(S201)�。
當(dāng)收到來自包過濾部100的詢問時(shí),組成員列表管理部110參照自己管理的組成員列表���,判定與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組是否相同(S202和S203)�。在組成員列表內(nèi)記述了各主機(jī)(主機(jī)11~14和主機(jī)21~25)�、該主機(jī)具有的IP地址以及該主機(jī)的域名的對(duì)應(yīng)關(guān)系(參照?qǐng)D3)。另外�����,為了便于說明,在圖3所示的組成員列表內(nèi)記述了比圖2所示的主機(jī)數(shù)少的數(shù)量的對(duì)應(yīng)關(guān)系����。域名是將該主機(jī)名(mypc或tv等)和用于識(shí)別該主機(jī)所屬的組的組識(shí)別信息(gr1或gr2等)用“.”連接而構(gòu)成的����。
因此,組成員列表管理部110通過參照組成員列表�,可知道與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組(這里全都是gr1)(S202是)。然后�,通過比較該判明的組(這里全都是gr1),可判定兩者是否相同(S203是)��。該判定結(jié)果被返回到包過濾部100����。另外,當(dāng)在S202或S203中的判斷是“否”時(shí)��,該包被廢棄(S205)���。
這里�����,包過濾部100接收與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組是相同的判定結(jié)果�����。當(dāng)收到該判定結(jié)果時(shí)�����,包過濾部100把該接收到的IP包轉(zhuǎn)發(fā)到本地網(wǎng)A(目的地)(S204)�。這是與一般被稱為過濾的處理相同的處理。
下面��,以屬于不同組的主機(jī)11(屬于gr1)和主機(jī)21(屬于gr2)之間的通信為例進(jìn)行說明����。
首先,假定主機(jī)21向主機(jī)11發(fā)送了IP包(即��,發(fā)送源IP地址和目的地IP地址分別是主機(jī)21的IP地址和主機(jī)11的IP地址的IP包)�。該IP包經(jīng)由互聯(lián)網(wǎng)到達(dá)網(wǎng)關(guān)A1。網(wǎng)關(guān)A1通過其包過濾部100接收該到達(dá)的包(S200)��。包過濾部100向組成員列表管理部110詢問該接收到的IP包是否與同一組有關(guān)(這里�����,與該接收到的IP包的發(fā)送源IP地址(SA)和目的地IP地址(DA)對(duì)應(yīng)的組是否相同)(S201)。
當(dāng)收到來自包過濾部100的詢問時(shí)����,組成員列表管理部110參照自己管理的組成員列表,判定與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組是否相同(S202和S203)���。在組成員列表內(nèi),針對(duì)各主機(jī)(主機(jī)11~14和主機(jī)21~25)����,記述了該主機(jī)具有的IP地址和該主機(jī)的域名的對(duì)應(yīng)關(guān)系(參照?qǐng)D3)。另外��,為了便于說明����,在圖3所示的組成員列表內(nèi)記述了比圖2所示的主機(jī)數(shù)少的數(shù)量的對(duì)應(yīng)關(guān)系。域名是將該主機(jī)名(mypc或tv等)和用于識(shí)別該主機(jī)所屬的組的組識(shí)別信息(gr1或gr2等)用“.”連接而構(gòu)成的����。
因此,組成員列表管理部110通過參照組成員列表�,可知道與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組(這里是gr1和gr2)(S202是)。然后��,通過比較該判明的組(這里是gr1和gr2),可判定兩者是否相同(S203是)����。該判定結(jié)果被返回到包過濾部100。
這里����,包過濾部100接收與發(fā)送源IP地址和目的地IP地址對(duì)應(yīng)的組不是相同的判定結(jié)果。當(dāng)收到該判定結(jié)果時(shí)�����,包過濾部100不把該接收到的IP包轉(zhuǎn)發(fā)到本地網(wǎng)A�,而是例如廢棄(S205)。
如以上說明那樣�����,根據(jù)本實(shí)施方式的網(wǎng)關(guān)裝置��,提供限制從組成員外訪問的功能�。即,本實(shí)施方式的網(wǎng)關(guān)裝置通過參照組成員列表�����,判定從發(fā)送源主機(jī)收到的IP包是否是與同一組有關(guān)的IP包,并把被判定為是與同一組有關(guān)的IP包的IP包轉(zhuǎn)發(fā)到目的地�。另一方面,對(duì)于未被判定為是與同一組有關(guān)的IP包的IP包�����,不轉(zhuǎn)發(fā)而是廢棄���。這樣����,本實(shí)施方式的網(wǎng)關(guān)裝置可實(shí)現(xiàn)在組內(nèi)封閉的通信����。
另外�,在從存儲(chǔ)于組成員列表內(nèi)的發(fā)送源以外收到包的情況下的相關(guān)動(dòng)作要看網(wǎng)絡(luò)管理者的策略而定。例如���,對(duì)于這種包�����,也能廢棄���?��;蛘撸词故沁@種包����,對(duì)于目的地地址是特定的IP地址的包,也能不廢棄��,而照原樣傳送到主機(jī)����。關(guān)于這些動(dòng)作,可以另行記載在組成員列表內(nèi)����。
在上述實(shí)施方式中,說明了網(wǎng)關(guān)裝置A1對(duì)從外部網(wǎng)絡(luò)發(fā)往本地網(wǎng)絡(luò)A的IP包進(jìn)行過濾處理���,然而本發(fā)明不限于此�。例如��,網(wǎng)關(guān)裝置A1也可以對(duì)從本地網(wǎng)絡(luò)A發(fā)往外部網(wǎng)絡(luò)的IP包進(jìn)行過濾處理���。這樣�,雖然網(wǎng)關(guān)裝置A1中的過濾處理等的負(fù)荷增大,但是不導(dǎo)入網(wǎng)關(guān)裝置B1��,只需使用網(wǎng)關(guān)裝置A1��,就能實(shí)現(xiàn)上述組內(nèi)封閉的通信����。
(組間通信的具體例)使用順序圖對(duì)圖4和圖5所示的用于實(shí)現(xiàn)組間通信的一系列處理進(jìn)行說明。圖6是用于對(duì)網(wǎng)關(guān)動(dòng)作進(jìn)行說明的順序圖�。
首先,假定在mypc想要與video通信的情況下�,向網(wǎng)關(guān)GW-A發(fā)送DNS解析請(qǐng)求來獲得video的IP地址82.5.218.4����。然后,利用該IP地址把IP包從mypc發(fā)送到video來開始通信���。在與此對(duì)應(yīng)的應(yīng)答包從video被發(fā)送到mypc的情況下�,當(dāng)網(wǎng)關(guān)GW-A接收到該包時(shí)���,在轉(zhuǎn)發(fā)到mypc前�,檢查組成員列表,當(dāng)確認(rèn)出mypc和video在同一組內(nèi)時(shí)���,把包轉(zhuǎn)發(fā)到mypc���。
這里,當(dāng)從例如PC 2這樣的未登記在組成員列表內(nèi)的主機(jī)向mypc發(fā)送通信包�,并到達(dá)網(wǎng)關(guān)GW-A時(shí),網(wǎng)關(guān)GW-A檢查該包的發(fā)送源地址(SA)�����,由于PC 2不存在于列表內(nèi)����,因而廢棄該包。這樣��,可遮斷與組外的主機(jī)的通信����,從而提高安全性。
(應(yīng)答屬于組的所有主機(jī)的具體例)(組成員的IP地址一覽)網(wǎng)關(guān)不僅能應(yīng)答所登記的主機(jī)名和其IP地址的對(duì)應(yīng)�,而且能應(yīng)答組名和其所有成員。這在收到例如針對(duì)g1這樣的組名的地址解析請(qǐng)求的情況下,可由網(wǎng)關(guān)把具有g(shù)1這樣的組名的所有主機(jī)地址插入DNS應(yīng)答消息中進(jìn)行應(yīng)答來實(shí)現(xiàn)�����。由于這種應(yīng)答消息采用現(xiàn)有的DNS規(guī)格來確認(rèn)�,因而特別是即使不擴(kuò)展DNS的功能,也能針對(duì)1個(gè)名稱接收多個(gè)IP地址應(yīng)答�����。
由于通過應(yīng)用該功能�����,例如主機(jī)可獲得屬于自己所屬的g1這樣的組的所有成員的一覽�����,因而例如��,采用與現(xiàn)有的郵件列表的功能相同的功能�����,可實(shí)現(xiàn)把消息和文件發(fā)送給所有成員等的功能�。
(第二實(shí)施方式)下面,參照附圖對(duì)作為本發(fā)明的第二實(shí)施方式的包含網(wǎng)關(guān)(也稱為GW或網(wǎng)關(guān)裝置)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行說明���。
在上述第一實(shí)施方式中���,由于各主機(jī)的IP地址必須是全局地址,因而在現(xiàn)實(shí)中�����,在頻繁使用專用IP地址的環(huán)境下不能利用�����。此外�����,某主機(jī)是否是組成員����,除了利用DNS來確認(rèn)組名以外,沒有其他辦法��。
例如���,當(dāng)某主機(jī)屬于授予文件讀取權(quán)限的組和容許讀寫全控制的組這2個(gè)組時(shí)��,在有從未知主機(jī)訪問的情況下����,如果不利用DNS來識(shí)別組,就不知道未知主機(jī)具有哪個(gè)權(quán)限�����。為了解決該問題��,在網(wǎng)關(guān)裝置中�����,新追加以下功能���。
1�、把不同的任意虛擬專用網(wǎng)絡(luò)地址分配給各組��,2�、把屬于所分配的網(wǎng)絡(luò)地址的虛擬IP地址分配給各組成員,將上述虛擬IP地址和實(shí)際IP地址在通信時(shí)相互轉(zhuǎn)換的NAT(Network AddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換)功能����。
(網(wǎng)絡(luò)系統(tǒng)的概要)圖7是用于對(duì)本實(shí)施方式的網(wǎng)絡(luò)系統(tǒng)的概略結(jié)構(gòu)進(jìn)行說明的圖。
如圖7所示���,本實(shí)施方式的網(wǎng)絡(luò)系統(tǒng)由敷設(shè)在自家的本地網(wǎng)絡(luò)(以下稱為自家網(wǎng))�、敷設(shè)在父母家的本地網(wǎng)絡(luò)(以下稱為父母家網(wǎng))以及互聯(lián)網(wǎng)構(gòu)成��。成為分組對(duì)象的主機(jī)與自家網(wǎng)和父母家網(wǎng)連接���。例如�,mypc等與自家網(wǎng)連接�����,video等與父母家網(wǎng)連接����。在本實(shí)施方式中,從與自家網(wǎng)連接的主機(jī)和與父母家網(wǎng)連接的主機(jī)中取出4個(gè)主機(jī)(mypc�����、video等)�,將這些主機(jī)考慮為一個(gè)組���。另外,成為分組對(duì)象的主機(jī)數(shù)可采用適當(dāng)?shù)臄?shù)量���。
各主機(jī)具有進(jìn)行基于IP包的通信的功能�。為了進(jìn)行該基于IP包的通信��,各主機(jī)具有本地IP地址�����。這里��,采用基于IPv4的IP地址��。自家網(wǎng)和互聯(lián)網(wǎng)通過網(wǎng)關(guān)GW-A連接���。并且�,父母家網(wǎng)和互聯(lián)網(wǎng)通過網(wǎng)關(guān)GW-B連接�。
然而,在本實(shí)施方式中��,與第一實(shí)施方式不同���,由于各主機(jī)具有本地IP地址�����,因而自家網(wǎng)和父母家網(wǎng)的地址空間重合(參照?qǐng)D7)���。例如,由于與自家網(wǎng)連接的mypc的主機(jī)���、和與父母家網(wǎng)連接的video的主機(jī)具有同一本地IP地址192.168.0.5���,因而地址空間重合。在這種環(huán)境下�,在自家網(wǎng)和父母家網(wǎng)之間不能通信。此外����,某主機(jī)是否是組成員,除了利用DNS來確認(rèn)組名以外���,沒有其他辦法�。例如����,當(dāng)某主機(jī)屬于授予文件讀取權(quán)限的組和容許讀寫全控制的組這2個(gè)組時(shí)�����,在有從未知主機(jī)訪問的情況下�����,如果不利用DNS來識(shí)別組����,就不知道未知主機(jī)具有哪個(gè)權(quán)限�。
在本實(shí)施方式中,網(wǎng)關(guān)GW-A和GW-B具有NAT轉(zhuǎn)換功能�����。這樣��,可把本地以外的網(wǎng)絡(luò)內(nèi)存在的主機(jī)作為具有不同的別的地址的主機(jī)來看來像是本地主機(jī)���。
例如�����,考慮以下情況���,即如圖7所示��,在自家的mypc主機(jī)具有192.168.0.5的實(shí)際地址���,同樣在父母家的video主機(jī)具有192.168.0.5的實(shí)際地址��,mypc和video通過網(wǎng)關(guān)GW-A和GW-B進(jìn)行通信�����。
在自家的mypc看來����,video主機(jī)作為虛擬具有10.10.10.102的虛擬IP地址的主機(jī)登記在網(wǎng)關(guān)GW-A內(nèi),同樣從父母家的video看來����,mypc主機(jī)作為虛擬具有10.20.20.10的虛擬IP地址的主機(jī)登記在網(wǎng)關(guān)GW-B內(nèi)。
最初�����,當(dāng)mypc向網(wǎng)關(guān)GW-A詢問video這樣的具有DNS名的主機(jī)的IP地址時(shí),網(wǎng)關(guān)GW-A使用作為虛擬IP地址的10.10.10.102(=V-VCR)地址進(jìn)行應(yīng)答�。mypc把IP包發(fā)送到該虛擬IP地址V-VCR。這里���,該包一定通過網(wǎng)關(guān)GW-A���。因此,在網(wǎng)關(guān)GW-A中�,知道的是該目的地地址V-VCR是虛擬IP地址,實(shí)際上發(fā)給網(wǎng)關(guān)GW-B屬下的主機(jī)video�,以及mypc在網(wǎng)關(guān)GW-B屬下的主機(jī)中具有10.20.20.10(=V-PC)的地址。
因此�����,在網(wǎng)關(guān)GW-A中��,把發(fā)送源地址R-PC(192.168.0.5)轉(zhuǎn)換成網(wǎng)關(guān)GW-B中的作為虛擬IP地址的V-PC(10.20.20.10)�,利用IP隧道把該包發(fā)送到網(wǎng)關(guān)GW-B。
在網(wǎng)關(guān)GW-B中��,當(dāng)接收到該包時(shí)�,知道從網(wǎng)關(guān)GW-A收到的包使用虛擬IP地址。因此,網(wǎng)關(guān)GW-B把目的地地址V-VCR轉(zhuǎn)換成實(shí)際地址192.168.0.5����,把該包發(fā)送到video。
通過從video向mypc進(jìn)行與以上步驟相反的轉(zhuǎn)換��,可使用虛擬IP地址在任意主機(jī)間進(jìn)行通信�。
另外,對(duì)此所需要的地址轉(zhuǎn)換功能可基本上利用現(xiàn)有的NAPT功能�。并且,網(wǎng)關(guān)間的IP隧道通信也能利用現(xiàn)有的PPPoverSSH和IPSec等各種辦法����。如果IP隧道通信利用SH和IPSec��,則由于針對(duì)虛擬子網(wǎng)將網(wǎng)關(guān)GW-A和GW-B之間的通信加密����,因而可防止通信內(nèi)容在全局IP核心網(wǎng)間被竊聽。
并且�����,關(guān)于主機(jī)和網(wǎng)關(guān)之間的連接�����,不構(gòu)成以太網(wǎng)中的廣播域,而是利用Point-to-Point(點(diǎn)對(duì)點(diǎn))連接的L2網(wǎng)絡(luò)���,因而可遮斷從組成員以外的連接�����。
(動(dòng)作要件)用于實(shí)現(xiàn)以上動(dòng)作的要件如下�����。
1�����、在包發(fā)送時(shí)�����,在網(wǎng)關(guān)GW-A或GW-B中進(jìn)行選擇隧道(對(duì)置GW)的路由選擇�����。路由選擇使用目的地虛擬IP地址來決定對(duì)置GW(隧道)�。
2、本地主機(jī)針對(duì)所屬的各組以及各對(duì)置GW��,具有不同的虛擬IP地址����。該虛擬IP地址與利用該地址的對(duì)置GW被共享。
3�、本地主機(jī)具有的虛擬IP地址和實(shí)際IP地址的轉(zhuǎn)換在本地網(wǎng)關(guān)GW中進(jìn)行管理。這是因?yàn)?����,在目的地網(wǎng)的網(wǎng)關(guān)GW中�,只要知道發(fā)送源主機(jī)的虛擬IP就行,沒有必要知道實(shí)際IP地址��。
4�����、因此��,在本地網(wǎng)關(guān)GW中����,進(jìn)行在本地主機(jī)中的虛擬IP地址和實(shí)際地址的轉(zhuǎn)換。根據(jù)該要件��,必須在GW中管理/維持以下2種列表�����,即被稱為全局列表的列表����,其對(duì)所有組成員的虛擬IP地址及其DNS名進(jìn)行管理;以及被稱為本地列表的列表����,其針對(duì)與本地連接的各主機(jī),包含構(gòu)成組的對(duì)置GW中的虛擬IP地址和對(duì)應(yīng)GW編號(hào)���。
例如�����,在圖8中����,網(wǎng)關(guān)GW-B中的全局列表示出video這樣的本地主機(jī)(地址192.168.0.5)所屬的2個(gè)組g1�、g2中的與成員主機(jī)mypc�、cam��、video����、note對(duì)應(yīng)的虛擬IP地址。
該全局列表針對(duì)video以外的與網(wǎng)關(guān)GW-B連接的主機(jī)�����,也可以利用相同的列表���。在該情況下����,需要用于判定條目是與哪個(gè)本地主機(jī)相同的組成員的單元����。例如,如果在本地列表內(nèi)存儲(chǔ)有與所屬組(所屬G的列)有關(guān)的識(shí)別符���,則在全局列表內(nèi)記述有主機(jī)屬于DNS名的組,因而可識(shí)別組關(guān)系����。結(jié)果��,針對(duì)存儲(chǔ)在全局列表內(nèi)的主機(jī)�����,可判別是與哪個(gè)本地主機(jī)相同的組�。
另外�����,除此以外�����,即使是針對(duì)各本地主機(jī)準(zhǔn)備全局列表等的單元�����,也可以是相同的���。同樣���,在本地列表內(nèi)存儲(chǔ)有與video有關(guān)的虛擬IP地址��,在該情況下����,針對(duì)各對(duì)置GW����,利用不同的IP地址作為虛擬IP地址。該本地列表可以對(duì)video以外的主機(jī)的虛擬IP地址進(jìn)行管理����,只需把與主機(jī)有關(guān)的條目追加給列表就行。
(網(wǎng)關(guān)的概略結(jié)構(gòu))下面��,參照附圖對(duì)網(wǎng)關(guān)的概略結(jié)構(gòu)進(jìn)行說明�����。圖8是網(wǎng)關(guān)的功能方框圖�。
如圖8所示,網(wǎng)關(guān)GW-B(網(wǎng)關(guān)GW-A也一樣)具有包收發(fā)部200�����、組成員列表管理部210、DNS處理部220��、隧道處理部230�����、隧道設(shè)定管理部240�����、以及NAT處理部250�。
全局IP網(wǎng)絡(luò)和專用(本地)網(wǎng)絡(luò)被該網(wǎng)關(guān)裝置GW-B分離�����。由于在組間通信的包包含任意IP地址�����,因而在該狀態(tài)下��,不能把IP包發(fā)送到全局IP網(wǎng)絡(luò)�����。這里,IP包經(jīng)由設(shè)定在網(wǎng)關(guān)GW-A和GW-B之間的IP隧道(這是一例���,可以是一些隧道)被收發(fā)��。在該情況下�����,構(gòu)成IP隧道的IP包的發(fā)送源/目的地地址全都必須是網(wǎng)關(guān)GW的地址�����。
因此�����,當(dāng)接收到IP包時(shí)��,網(wǎng)關(guān)GW-B通過其包收發(fā)部200將發(fā)往自己以外的包廢棄���。然后,網(wǎng)關(guān)GW根據(jù)目的地端口編號(hào)判斷該接收到的包是發(fā)往自己的IP隧道包��,還是發(fā)往自己的控制包�。結(jié)果���,在判斷為該端口編號(hào)是IP隧道用的IP端口編號(hào)(或者協(xié)議編號(hào))的情況下,通過隧道處理部230處理該接收到的IP包���。
隧道處理部230終接由該接收到的IP包組構(gòu)成的隧道。然后�,隧道處理部230在該IP包組被加密的情況下,解除該加密�����,之后抽出由隧道運(yùn)送的內(nèi)側(cè)的IP包�。該處理是一例。概念上被稱為IP-IP隧道等��,是眾所周知的方法�����。因此�����,取代上述IP隧道�,可利用PPP、IPSec等各種隧道處理技術(shù)。
之后����,從IP隧道所抽出的IP包由NAT處理部250重寫包的發(fā)送目的地。這是因?yàn)?��,如上述要件所述���,在收容目的地主機(jī)的本地網(wǎng)關(guān)GW中對(duì)目的地地址和虛擬IP地址的對(duì)應(yīng)進(jìn)行處理是基本的,因此本地網(wǎng)關(guān)GW中的NAT處理部250具有能擔(dān)當(dāng)該處理的唯一功能�����。
NAT處理部250根據(jù)接收到的IP包的對(duì)置GW(=隧道)和接收包的目的地地址���,取得虛擬IP地址����。NAT處理部250以該2個(gè)值為關(guān)鍵字(key)����,參照存儲(chǔ)在組成員列表管理部210內(nèi)的“本地列表”,求出目的地實(shí)際IP地址���。然后����,NAT處理部250將虛擬IP地址被重寫成實(shí)際地址的IP包最終發(fā)送到本地網(wǎng)絡(luò)側(cè)。
在該例中�����,對(duì)根據(jù)上述要件��,將NAT處理部250接收到的IP包的目的地IP地址轉(zhuǎn)換成實(shí)際地址作了說明����,然而也能考慮該方法以外的方法�。由于網(wǎng)關(guān)在通信線路上存在發(fā)送側(cè)和接收側(cè)2對(duì),因而把具有虛擬IP地址的包的目的地/發(fā)送源地址轉(zhuǎn)換成實(shí)際地址的處理可以在其中任一網(wǎng)關(guān)的NAT處理部250中實(shí)現(xiàn)���。因此�����,例如���,如果在發(fā)送側(cè)的網(wǎng)關(guān)中針對(duì)目的地地址通過NAT處理轉(zhuǎn)換成實(shí)際IP地址���,則在接收側(cè)的網(wǎng)關(guān)中不需要NAT處理。然而���,在該情況下��,由于在發(fā)送側(cè)的網(wǎng)關(guān)中必須知道目的地主機(jī)的實(shí)際IP地址�,因而處理負(fù)荷增高�����。另外����,在包發(fā)送時(shí)的與地址轉(zhuǎn)換有關(guān)的處理也利用大致相同的功能塊。
另外����,包收發(fā)部200和DNS處理部220與第一實(shí)施方式中所說明的包收發(fā)部130和DNS處理部120一樣執(zhí)行功能。
(包接收時(shí)的具體動(dòng)作)假定屬于網(wǎng)關(guān)GW-A的具有10.20.20.10這樣的虛擬IP地址的mypc把包發(fā)送給video�,即虛擬IP地址10.20.10.102,并且該包由網(wǎng)關(guān)GW-B接收�����。
網(wǎng)關(guān)GW-B通過以接收包的發(fā)送源地址為關(guān)鍵字檢索全局列表(或者識(shí)別包的接收接口),知道使用隧道1�,即對(duì)置GW編號(hào)1接收。此外�,知道目的地地址是10.20.10.102。網(wǎng)關(guān)GW-B通過以這2個(gè)為關(guān)鍵字檢索“本地列表”�����,知道目的地實(shí)際IP地址是192.168.0.5�����。據(jù)此,通過NAT轉(zhuǎn)換部轉(zhuǎn)換目的地地址,最終把接收包發(fā)送到本地網(wǎng)絡(luò)����,這樣,網(wǎng)關(guān)GW-B的處理完成���。
(包發(fā)送時(shí)的具體動(dòng)作)考慮以下情況屬于“g1”組的video主機(jī)利用該網(wǎng)關(guān)GW-B����,與對(duì)置的不同網(wǎng)關(guān)GW-A屬下的主機(jī)“mypc”通過虛擬IP網(wǎng)絡(luò)進(jìn)行通信����。
最初�,與通常的IP通信一樣��,利用DNS�����,根據(jù)DNS名求出IP地址����。這里,假定本地主機(jī)把網(wǎng)關(guān)GW-B登記為DNS服務(wù)器�,并且網(wǎng)關(guān)GW-B安裝了地址解析單元(DNS服務(wù)器)。
網(wǎng)關(guān)GW-B通過包收發(fā)部把發(fā)往網(wǎng)關(guān)的DNS請(qǐng)求作為發(fā)往自己的包接收�。包收發(fā)部把該接收包傳送到DNS處理部。DNS處理部參照組成員列表中的全局列表��,例如當(dāng)想要與“g1”組的“mypc”主機(jī)進(jìn)行通信時(shí)�,獲得10.20.20.1作為IP地址。主機(jī)“video”獲得該地址作為DNS應(yīng)答�����。然后��,在video和mypc之間開始實(shí)際的數(shù)據(jù)通信。具體地說��,video把通信包發(fā)送到mypc�。
當(dāng)從本地側(cè)接收到該IP包時(shí),網(wǎng)關(guān)GW-B參照存儲(chǔ)在組成員列表管理部210內(nèi)的“全局列表”�,以目的地虛擬IP地址為關(guān)鍵字取得在發(fā)送該包時(shí)要利用的隧道編號(hào)。這里��,由于具有192.168.0.5這樣的IP地址的發(fā)送源主機(jī)video把包發(fā)送到目的地IP地址10.20.20.10的主機(jī)mypc��,因而根據(jù)目的地IP地址(=虛擬IP地址)知道隧道編號(hào)是1����。該隧道編號(hào)是為了使本地網(wǎng)絡(luò)的某主機(jī)在不同的虛擬IP地址被分配給各虛擬網(wǎng)絡(luò)的情況下,決定使用哪個(gè)虛擬IP地址而利用的�����。這里使用了隧道編號(hào)��,然而當(dāng)可找到在本質(zhì)上與虛擬IP地址相當(dāng)?shù)哪康牡刂鳈C(jī)所屬的網(wǎng)關(guān)GW��,而且網(wǎng)關(guān)GW接收到包時(shí)�����,只要能識(shí)別發(fā)送源的虛擬IP地址和實(shí)際IP地址的對(duì)應(yīng)�����,就可以使用任何編號(hào)���。例如����,可以是網(wǎng)關(guān)GW的全局地址或在本地管理的任意ID���。
以這里求出的“隧道編號(hào)”和發(fā)送源的“實(shí)際IP地址”為關(guān)鍵字����,參照本地列表�����,取得“虛擬IP地址”�,把包的發(fā)送源地址轉(zhuǎn)換成該虛擬IP地址,把該轉(zhuǎn)換后的包通知給隧道處理部230�,以便使用與隧道編號(hào)一致的隧道來發(fā)送。
在該例中,在隧道處理部230中根據(jù)隧道編號(hào)�,利用預(yù)先設(shè)定的IP-IP隧道。另外����,在本方法中,網(wǎng)關(guān)GW間的隧道單元可利用任意的現(xiàn)有技術(shù)����,除了IP-IP隧道以外,還可以利用使用MPLS或Ether幀的L2級(jí)的隧道單元��。在該情況下����,可利用隧道編號(hào)作為隧道識(shí)別符。
通過以上手段����,可從video向mypc進(jìn)行利用虛擬IP地址的IP通信,通過該手段可實(shí)現(xiàn)使用虛擬IP地址的分組���。
(網(wǎng)關(guān)中的各種信息的登記功能)在網(wǎng)關(guān)GW-B中,必須生成全局列表和本地列表�。這可使用例如命令行界面和telnet、或者Web界面和HTTP等,從遠(yuǎn)程主機(jī)對(duì)組成員列表管理部210進(jìn)行設(shè)定來生成��。
IP-IP隧道�、或者提供相同功能的L2級(jí)隧道也能同樣利用telnet和HTTP對(duì)隧道設(shè)定管理部進(jìn)行遠(yuǎn)程設(shè)定。
下面���,參照附圖對(duì)網(wǎng)關(guān)GW-A和網(wǎng)關(guān)B之間的通信進(jìn)行更詳細(xì)地說明�。
以下�����,以下列情況為例進(jìn)行說明���,即如圖7所示����,與自家網(wǎng)連接的主機(jī)mypc(實(shí)際IP地址192.168.0.5(=R-PC)和虛擬IP地址10.20.20.10)和與父母家網(wǎng)連接的主機(jī)video(實(shí)際IP地址192.168.0.5(=R-VCR)和虛擬IP地址10.10.10.102)通過網(wǎng)關(guān)GW-A和GW-B進(jìn)行通信�。
另外,在網(wǎng)關(guān)GW-B保持的全局列表內(nèi)記述了mypc(域名mypc.g1)和其虛擬IP地址10.20.20.10(=V-PC)的對(duì)應(yīng)關(guān)系(參照?qǐng)D8)�����。同樣�,在網(wǎng)關(guān)GW-A保持的全局列表內(nèi)記述了video(域名省略)和其虛擬IP地址10.10.10.102(V-VCR)的對(duì)應(yīng)關(guān)系�。各網(wǎng)關(guān)保持這種全局列表的結(jié)果�����,例如����,在與自家網(wǎng)連接的主機(jī)mypc看來,與父母家網(wǎng)連接的主機(jī)video像是虛擬具有V-VCR地址的主機(jī)��。同樣����,在與父母家網(wǎng)連接的主機(jī)video看來,與自家網(wǎng)連接的主機(jī)mypc像是虛擬具有V-PC地址的主機(jī)�。
(網(wǎng)關(guān)GW-A的地址解析)如圖7所示,主機(jī)mypc向網(wǎng)關(guān)GW-A詢問具有DNS名“video”的主機(jī)的IP地址(S300)��。網(wǎng)關(guān)GW-A通過DNS處理部220接收該請(qǐng)求���。DNS處理部220向組成員列表管理部210詢問與域名“video”對(duì)應(yīng)的IP地址����。
在組成員列表管理部210管理的組成員列表內(nèi)記述了各主機(jī)的域名�、虛擬IP地址以及對(duì)置GW(隧道編號(hào))的對(duì)應(yīng)關(guān)系�����。域名是將主機(jī)名(mypc或video等)和用于識(shí)別該主機(jī)所屬的組的組識(shí)別信息(g1或g2)用“.”連接而構(gòu)成的。
因此��,組成員列表管理部210通過參照組成員列表�����,可知道有從DNS處理部220詢問的與域名“video”對(duì)應(yīng)的虛擬IP地址V-VCR�。該判明的虛擬IP地址V-VCR被返回到解析請(qǐng)求源的主機(jī)mypc(S301)。主機(jī)mypc接收來自網(wǎng)關(guān)GW-A的虛擬IP地址V-VCR����。
(主機(jī)mypc的發(fā)送處理)主機(jī)mypc把發(fā)送源IP地址和目的地IP地址分別是主機(jī)mypc的實(shí)際IP地址192.168.0.5(=R-PC)和剛才解析的虛擬IP地址V-VCR的IP包作為發(fā)往主機(jī)video的IP包來生成和發(fā)送(S302)。
(網(wǎng)關(guān)GW-A的地址轉(zhuǎn)換處理和傳送處理)來自主機(jī)MYPC的IP包一定通過網(wǎng)關(guān)GW-A��。網(wǎng)關(guān)GW-A通過其NAT處理部接收該IP包�����。NAT處理部向組成員列表管理部210詢問與該接收到的IP包的目的地IP地址(剛才解析的主機(jī)video的虛擬IP地址V-VCR)對(duì)應(yīng)的隧道編號(hào)����。在組成員列表管理部210管理的全局列表內(nèi)記述了各主機(jī)的域名�、虛擬IP地址以及對(duì)置GW(隧道編號(hào))的對(duì)應(yīng)關(guān)系��。
因此�,組成員列表管理部210通過參照全局列表,可知道與目的地IP地址(剛才解析的主機(jī)video的虛擬IP地址V-VCR)對(duì)應(yīng)的對(duì)置GW(隧道編號(hào))����。
并且,在組成員列表管理部210管理的本地列表內(nèi)記述了主機(jī)video的實(shí)際IP地址R-VCR����、對(duì)置GW以及虛擬IP地址V-VCR的對(duì)應(yīng)關(guān)系。
因此�����,組成員列表管理部210通過參照本地列表����,可知道與剛才判明的對(duì)置GW(隧道編號(hào))和該接收到的IP包的發(fā)送源IP地址(mypc的實(shí)際IP地址R-PC)對(duì)應(yīng)的虛擬IP地址V-PC。該判明的虛擬IP地址V-PC被返回到NAT處理部250���。
當(dāng)接收到該虛擬IP地址V-PC時(shí)��,NAT處理部250把該接收到的IP包的發(fā)送源IP地址(MyPc的實(shí)際IP地址R-PC)轉(zhuǎn)換成該判明的虛擬IP地址V-PC(S303)��。
然后���,NAT處理部250把該轉(zhuǎn)換后的IP包通知給隧道處理部230����,以便使用與剛才判明的對(duì)置GW(隧道編號(hào))一致的隧道來發(fā)送���。當(dāng)接收到來自NAT處理部250的通知時(shí),隧道處理部230通過該隧道發(fā)送該轉(zhuǎn)換后的IP包(S304)��。
如上所述�����,主機(jī)mypc發(fā)送發(fā)往主機(jī)video的IP包�����,網(wǎng)關(guān)GW-A對(duì)該發(fā)往主機(jī)video的IP包進(jìn)行地址轉(zhuǎn)換�����,并對(duì)該轉(zhuǎn)換后的IP包進(jìn)行中繼����。
(網(wǎng)關(guān)GW-B的地址轉(zhuǎn)換處理和傳送處理)下面�,參照附圖對(duì)網(wǎng)關(guān)GW-B的地址轉(zhuǎn)換處理進(jìn)行詳細(xì)說明����。圖9是用于對(duì)網(wǎng)關(guān)GW-B的地址轉(zhuǎn)換處理和傳送處理進(jìn)行說明的流程圖。
網(wǎng)關(guān)GW-B通過包收發(fā)部200接收在S304中由網(wǎng)關(guān)GW-A中繼的發(fā)往主機(jī)video的IP包(S3050)�����。此時(shí)�,把接收到該包的隧道編號(hào)存儲(chǔ)為“B”(SS3051)。包收發(fā)部向組成員列表管理部210詢問與該接收到的IP包的目的地地址V-VCR對(duì)應(yīng)的對(duì)置GW�����。在全局列表內(nèi)記述了虛擬IP地址和對(duì)置GW的對(duì)應(yīng)關(guān)系�。因此,組成員列表管理部210通過參照全局列表�,可知道與該接收到的IP包的目的地地址V-VCR對(duì)應(yīng)的對(duì)置GW。
并且�����,在本地列表內(nèi)記述了主機(jī)的實(shí)際IP地址、對(duì)置GW以及虛擬IP地址的對(duì)應(yīng)關(guān)系���。
因此�����,組成員列表管理部210通過參照本地列表�����,可知道與剛才判明的對(duì)置GW(隧道編號(hào)“B”)和該接收到的IP包的目的地IP地址(虛擬IP地址V-VCR)對(duì)應(yīng)的實(shí)際IP地址R-VCR。這意味著對(duì)應(yīng)條目存在于本地列表內(nèi)(S3053是)���。該判明的實(shí)際IP地址R-VCR被發(fā)送到NAT處理部���。另外,在對(duì)應(yīng)條目不存在于本地列表內(nèi)的情況下(S3053否)����,該IP包被廢棄(S3056)。
NAT處理部250把該接收到的IP包的目的地IP地址(虛擬IP地址V-VCR)轉(zhuǎn)換(置換)成該判明的實(shí)際IP地址R-VCR(S3054)����。然后,NAT處理部把該轉(zhuǎn)換后的IP包發(fā)送到父母家網(wǎng)(S3055)��。
如上所述,網(wǎng)關(guān)GW-B對(duì)發(fā)往主機(jī)video的IP包進(jìn)行中繼���。
(主機(jī)video的發(fā)送處理)如圖7所示����,主機(jī)video把發(fā)送源IP地址和目的地IP地址分別是主機(jī)video的實(shí)際IP地址R-VCR和虛擬IP地址V-PC(接收IP包的發(fā)送源IP地址)的IP包作為發(fā)往主機(jī)mypc的IP包(應(yīng)答包)來生成和發(fā)送(S306)��。
(網(wǎng)關(guān)GW-B的地址轉(zhuǎn)換處理和傳送處理)下面�,參照?qǐng)D7對(duì)網(wǎng)關(guān)GW-B的地址轉(zhuǎn)換處理(S307)進(jìn)行詳細(xì)說明。
來自主機(jī)video的IP包一定通過網(wǎng)關(guān)GW-B�。網(wǎng)關(guān)GW-B接收該IP包(S3070)。網(wǎng)關(guān)GW-B判定該接收到的IP包的目的地IP地址(DA)是否存在于全局列表內(nèi)(S3071)����。當(dāng)該目的地IP地址(DA)不存在于全局列表內(nèi)時(shí)(S3071否),該IP包被廢棄(S3072)��。
另一方面��,當(dāng)該目的地IP地址(DA)存在于全局列表內(nèi)時(shí)(S3071是)�����,從全局列表中讀出與該接收到的IP包的目的地IP地址(主機(jī)mypc的虛擬IP地址V-PC)對(duì)應(yīng)的對(duì)置GW(隧道編號(hào)),將其存儲(chǔ)為“A”(S3072)��。
然后�,從本地列表中檢索與剛才存儲(chǔ)的“A”和在S1080中接收到的IP包的發(fā)送源IP地址(video的實(shí)際IP地址R-VCR)對(duì)應(yīng)的條目(S3073)。結(jié)果����,當(dāng)對(duì)應(yīng)條目不存在于本地列表內(nèi)時(shí)(S3074否),該IP包被廢棄(S3072)�����。
另一方面���,當(dāng)對(duì)應(yīng)條目存在于本地列表內(nèi)時(shí)(S3074是)�����,把在S3070中接收到的IP包的發(fā)送源IP地址(video的實(shí)際IP地址R-VCR)轉(zhuǎn)換(置換)成該條目中的虛擬IP地址(即,與剛才存儲(chǔ)的“A”和在S3070中接收到的IP包的發(fā)送源IP地址(video的實(shí)際IP地址R-VCR)對(duì)應(yīng)的虛擬IP地址V-VCR)(S3075)�����。該轉(zhuǎn)換后的IP包通過隧道“A”被發(fā)送(S3076)���。
如上所述���,主機(jī)video發(fā)送發(fā)往主機(jī)mypc的IP包�,網(wǎng)關(guān)GW-B對(duì)該發(fā)往主機(jī)mypc的IP包進(jìn)行地址轉(zhuǎn)換�,并對(duì)該轉(zhuǎn)換后的IP包進(jìn)行中繼。
(網(wǎng)關(guān)GW-A的地址轉(zhuǎn)換處理和傳送處理)下面�,對(duì)網(wǎng)關(guān)GW-A的接收處理進(jìn)行說明。
網(wǎng)關(guān)GW-A通過包收發(fā)部200接收在S3076中由網(wǎng)關(guān)GW-B中繼的發(fā)往主機(jī)mypc的IP包����。包收發(fā)部200向組成員列表管理部210詢問與該接收到的IP包的發(fā)送源地址V-VCR對(duì)應(yīng)的對(duì)置GW。在全局列表內(nèi)記述了虛擬IP地址和對(duì)置GW的對(duì)應(yīng)關(guān)系��。因此�����,組成員列表管理部210通過參照全局列表���,可知道與該接收到的IP包的發(fā)送源地址V-VCR對(duì)應(yīng)的對(duì)置GW���。
然后,組成員列表管理部210參照本地列表��。在本地列表內(nèi)記述了主機(jī)的實(shí)際IP地址、對(duì)置GW以及虛擬IP地址的對(duì)應(yīng)關(guān)系��。因此����,組成員列表管理部210通過參照本地列表,可知道與剛才判明的對(duì)置GW(隧道編號(hào))和該接收到的IP包的目的地IP地址(虛擬IP地址V-PC)對(duì)應(yīng)的實(shí)際IP地址R-PC����。該判明的實(shí)際IP地址R-PC被發(fā)送到NAT處理部250。
NAT處理部250把該接收到的IP包的目的地IP地址(虛擬IP地址V-PC)轉(zhuǎn)換成該判明的實(shí)際IP地址R-PC(S308)�����。然后����,NAT處理部250把該轉(zhuǎn)換后的IP包發(fā)送到自家網(wǎng)(S309)。
如上所述����,網(wǎng)關(guān)GW-A對(duì)發(fā)往主機(jī)PC的IP包進(jìn)行中繼�����。
(第三實(shí)施方式)下面,參照附圖對(duì)作為本發(fā)明的第三實(shí)施方式的包含網(wǎng)關(guān)(也稱為GW或網(wǎng)關(guān)裝置)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行說明�����。
在上述第二實(shí)施方式中���,網(wǎng)關(guān)間隧道連接和全局/本地列表生成必須由網(wǎng)絡(luò)管理者手動(dòng)設(shè)定���。在本實(shí)施方式中,參照附圖對(duì)用于使該設(shè)定自動(dòng)化的單元進(jìn)行說明�。這里,作為這種單元���,對(duì)使用在網(wǎng)關(guān)間收發(fā)這些設(shè)定信息的協(xié)議的例子進(jìn)行說明��。圖11是基于該協(xié)議的處理的順序圖�����。
以下�,網(wǎng)關(guān)GW-B是主導(dǎo)�,考慮用于生成包含屬于網(wǎng)關(guān)GW-B的主機(jī)video和屬于網(wǎng)關(guān)GW-C的PDA這樣的名稱的主機(jī)的組g3的協(xié)議。
1���、(網(wǎng)關(guān)間的認(rèn)證)首先��,利用現(xiàn)有的認(rèn)證方法(例如利用ID和密碼等的認(rèn)證方法)��,認(rèn)證是否是在網(wǎng)關(guān)間能相互信賴的GW(S400)�����。在網(wǎng)關(guān)間進(jìn)行認(rèn)證是一般期望的處理���,然而在沒有必要的情況下����,也能省略該步驟(選項(xiàng))�。
2、然后�,網(wǎng)關(guān)GW-B在假定不知道屬于網(wǎng)關(guān)GW-C的主機(jī)時(shí),為了知道該主機(jī)���,向網(wǎng)關(guān)GW-C請(qǐng)求主機(jī)一覽(或者使用某個(gè)關(guān)鍵字檢索該主機(jī))(S401)�����。該步驟在假定網(wǎng)關(guān)GW-B知道該主機(jī)名稱的情況下�,也能省略(選項(xiàng))���。當(dāng)接收到來自網(wǎng)關(guān)GW-B的一覽請(qǐng)求時(shí)��,網(wǎng)關(guān)GW-C向請(qǐng)求源的網(wǎng)關(guān)GW-B應(yīng)答存在于自己屬下的主機(jī)一覽(包含PDA這樣的主機(jī)名)(S403)��。
3���、網(wǎng)關(guān)GW-B根據(jù)來自網(wǎng)關(guān)GW-C的主機(jī)一覽,知道在網(wǎng)關(guān)GW-C屬下存在具有PDA這樣的主機(jī)名的主機(jī)�。生成包含該主機(jī)PDA和存在于自己屬下的video的新的組g3,可通過在網(wǎng)關(guān)GW-B中針對(duì)video名稱的主機(jī)��,新生成新的組g3用的條目來實(shí)現(xiàn)����。同時(shí),網(wǎng)關(guān)GW-B自身生成對(duì)自己來說適合于分配給組g3的虛擬網(wǎng)絡(luò)地址�����。這里���,新生成10.22.0.0/24這樣的網(wǎng)絡(luò)���。
然后�,為了在網(wǎng)關(guān)GW-C中也生成該新生成的組g3���,把組登記請(qǐng)求發(fā)送到網(wǎng)關(guān)GW-C(S404)����。接收到該請(qǐng)求的網(wǎng)關(guān)GW-C把ACK返回到網(wǎng)關(guān)GW-B(S405)�,并選擇生成在本地合適的組名。這里�����,分配g11的組名�����,也同時(shí)分配10.50.0.0/24的網(wǎng)絡(luò)地址��。
另外�����,這里,網(wǎng)關(guān)GW-B和GW-C選擇了不同組名��,然而可以在兩網(wǎng)關(guān)間選擇生成相同的名稱�。在該情況下����,考慮通過以下實(shí)現(xiàn)協(xié)議,即重復(fù)請(qǐng)求/應(yīng)答來相互選擇唯一的組名�����,或者在相互發(fā)送的消息中輸入合適名稱的一覽���,從中進(jìn)行選擇�����。
4����、網(wǎng)關(guān)GW-B向網(wǎng)關(guān)GW-C請(qǐng)求把虛擬IP地址分配給作為屬于組g3的主機(jī)的具有名稱video的主機(jī)(S406)���。網(wǎng)關(guān)GW-C在供組g11使用而生成的地址空間10.50.0.0上�����,分配10.50.0.10的地址供PDA.g11使用��,并向網(wǎng)關(guān)GW-B應(yīng)答該地址(S407)���。接收到該應(yīng)答的網(wǎng)關(guān)GW-B在本地列表?xiàng)l目?jī)?nèi)新生成video.g3這樣的名稱的10.50.0.10的虛擬IP地址(參照?qǐng)D12)���。
5、最后�,網(wǎng)關(guān)GW-B從10.22.0.0/24的地址空間把10.22.0.3的地址新分配給PDA.g3,并新追加給全局列表?xiàng)l目(參照?qǐng)D13)�����,把該地址作為虛擬IP地址通知給網(wǎng)關(guān)GW-C(S408)�。接收到該地址的網(wǎng)關(guān)GW-C把該條目新追加給現(xiàn)有的本地列表。網(wǎng)關(guān)GW-C在生成該列表時(shí)�����,向網(wǎng)關(guān)GW-B應(yīng)答Ack消息(S409)�。
另外,從S400到S409的步驟是一例����。例如����,步驟4和5可以調(diào)換順序����。并且���,上述步驟可以使用一條消息發(fā)送多個(gè)�。并且�����,作為傳送層�����,可使用現(xiàn)有的所有協(xié)議����。可以利用HTTP和SIP��。并且,消息格式可使用XML按照SOAP進(jìn)行封裝����,并根據(jù)這些傳送協(xié)議進(jìn)行運(yùn)送。
并且�,關(guān)于隧道連接,也能包含在該協(xié)議內(nèi)�����,只要在網(wǎng)關(guān)間認(rèn)證成立后���,就能在開始通信前的任意時(shí)刻生成隧道�。并且�,在把主機(jī)作為組成員新追加給已實(shí)際存在的組的情況下,省略步驟3�。并且,在該實(shí)現(xiàn)例中示出了在2對(duì)網(wǎng)關(guān)間的設(shè)定��,然而并不特別限于2對(duì)����,通過在任意網(wǎng)關(guān)間使該協(xié)議動(dòng)作,可在任意數(shù)量的網(wǎng)關(guān)間使組及其成員的設(shè)定自動(dòng)化���。
(第四實(shí)施方式)下面�,參照附圖對(duì)作為本發(fā)明的第四實(shí)施方式的包含網(wǎng)關(guān)(也稱為GW或網(wǎng)關(guān)裝置)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行說明。
在本實(shí)施方式中�,不能使用基于IP的通信功能的裝置(非IP終端)與網(wǎng)關(guān)GW連接。該非IP終端具有通過收發(fā)來自網(wǎng)關(guān)GW的某種文本形式或二進(jìn)制形式的指令而受到控制的功能���。
在這種情況下�����,與分配虛擬IP地址一樣����,在網(wǎng)關(guān)GW中虛擬生成虛擬IP主機(jī)�����,把虛擬IP地址分配給該虛擬IP主機(jī)����,并且該虛擬IP主機(jī)終接來自外部的TCP/IP通信�,這樣,可利用TCP/IP網(wǎng)絡(luò)來實(shí)現(xiàn)指令收發(fā)�����。
例如,遠(yuǎn)程主機(jī)利用telnet和HTTP等現(xiàn)有協(xié)議來傳送指令����,在網(wǎng)關(guān)GW中終接telnet和HTTP,抽出指令部分�����,再發(fā)送到非IP主機(jī)��,這樣����,可從遠(yuǎn)程主機(jī)進(jìn)行好像與IP主機(jī)進(jìn)行通信的控制/通信。
只要網(wǎng)關(guān)GW按照該非IP終端的數(shù)量分配虛擬IP地址�,就能按照專用IP地址的數(shù)量收容非IP終端,并可完全同樣地實(shí)現(xiàn)分組�。
(第五實(shí)施方式)下面,參照附圖對(duì)作為本發(fā)明的第五實(shí)施方式的包含網(wǎng)關(guān)(也稱為GW或網(wǎng)關(guān)裝置)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行說明��。
通常���,在本地網(wǎng)絡(luò)中��,由于DHCP(Dynamic Host ConfigurationProtocol動(dòng)態(tài)主機(jī)配置協(xié)議)等IP地址自動(dòng)分配協(xié)議進(jìn)行動(dòng)作����,因而分配給主機(jī)的IP地址不限于相同。在這種環(huán)境下�,IP地址作為識(shí)別IP主機(jī)個(gè)體的ID是不適當(dāng)?shù)摹?br>
在本發(fā)明中,通信目的地的IP地址是虛擬地址�����,實(shí)際IP地址被隱蔽�����。這是通過在本地列表中將實(shí)際地址和虛擬IP地址進(jìn)行映射來實(shí)現(xiàn)的����。這樣��,即使實(shí)際地址變化����,只要能維持個(gè)體和虛擬IP地址的映射,就不受由這種DHCP等引起的實(shí)際IP地址變化的影響�。
例如��,當(dāng)在網(wǎng)關(guān)GW中利用基于MAC地址的個(gè)體識(shí)別時(shí)��,可維持個(gè)體和虛擬IP地址的映射�,而與實(shí)際IP地址無關(guān)�。這可通過把MAC地址的字段追加給網(wǎng)關(guān)GW中的本地列表?xiàng)l目來實(shí)現(xiàn)(參照?qǐng)D14)。這樣���,即使實(shí)際地址變化����,只要在本地列表中總是看MAC地址來識(shí)別個(gè)體����,就能取得上述效果。
例如���,video名稱的個(gè)體可使用MAC地址aa:bb:cc:dd:ee:ff唯一識(shí)別��。這只要在網(wǎng)關(guān)GW和video的通信時(shí)使用以太網(wǎng)(Ether)��,就能通過ARP應(yīng)答等取得該值�,并且只要輸入到本地列表內(nèi)就能實(shí)現(xiàn)�����。
例如,即使利用DHCP����,或者IP地址分配變化而使實(shí)際地址變化,MAC地址也不變�����,因而可以根據(jù)該值管理維持該表的值��。
(第六實(shí)施方式)下面��,參照附圖對(duì)作為本發(fā)明的第六實(shí)施方式的包含網(wǎng)關(guān)(也稱為GW或網(wǎng)關(guān)裝置)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行說明���。
當(dāng)虛擬組由屬于完全不同網(wǎng)絡(luò)的主機(jī)構(gòu)成時(shí)���,名稱和虛擬IP地址、以及虛擬IP地址和實(shí)際地址的對(duì)應(yīng)沒有模式�����。然而����,例如在將屬于子網(wǎng)的所有主機(jī)構(gòu)成為虛擬組的情況下,由于轉(zhuǎn)換具有規(guī)則�����,因而可大幅削減條目數(shù)�����。
這里��,DNS名的管理不在網(wǎng)關(guān)中進(jìn)行���,而是向利用DNS中繼等的現(xiàn)有方法進(jìn)行一元管理的系統(tǒng)詢問�。把要詢問的DNS服務(wù)器的地址預(yù)先提供給網(wǎng)關(guān)GW����。然后,在全局列表內(nèi)記載有從域名到實(shí)際地址的轉(zhuǎn)換模式�、以及從實(shí)際地址到虛擬IP地址的轉(zhuǎn)換模式(參照?qǐng)D15)。
該表中的“*”意味著任意值��,并意味著將與該值匹配的數(shù)據(jù)照原樣利用。例如�����,當(dāng)假定向DNS服務(wù)器詢問video.d1的IP地址�,并且該應(yīng)答是192.168.0.17時(shí),意味著符合全局列表的第1個(gè)���,此時(shí)的虛擬IP地址被轉(zhuǎn)換成10.20.20.17��。
通過具有這種列表�����,在把連續(xù)的地址空間登記在列表內(nèi)的情況下����,可大幅削減用于檢索列表的處理時(shí)間和用于構(gòu)成列表的資源�。
(第七實(shí)施方式)下面,參照附圖對(duì)作為本發(fā)明的第七實(shí)施方式的包含網(wǎng)關(guān)(也稱為GW或網(wǎng)關(guān)裝置)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行說明�。
網(wǎng)關(guān)可虛擬告知主機(jī),某組虛擬地存在于相同的子網(wǎng)內(nèi)��。在迄今為止的例子中�,當(dāng)訪問組時(shí)��,在主機(jī)看來像是一定通過網(wǎng)關(guān)。根據(jù)本實(shí)施方式���,可看起來像是在以太網(wǎng)的L2級(jí)中屬于相同子網(wǎng)����。
現(xiàn)在���,考慮以下情況��,即假定g1組的主機(jī)存在2個(gè)���,各自實(shí)際上屬于不同的遠(yuǎn)程網(wǎng)關(guān),在網(wǎng)關(guān)GW-B中����,使作為相同的本地子網(wǎng)的192.168.0.0/24的網(wǎng)絡(luò)內(nèi)存在的video主機(jī)按照屬于相同子網(wǎng)的方式進(jìn)行通信。
假定把虛擬第2層地址的字段新追加給在迄今為止的實(shí)施方式中所利用的全局列表��,并把第2層地址a1:b1:c1:d1:e1:f1和a2:b2:c2:d2:e2:f2分別分配給mypc和cam���,以便與其他主機(jī)不同(參照?qǐng)D16)���。并且��,與迄今為止一樣分配虛擬IP地址����,然而這里分配與主機(jī)video相同的子網(wǎng)地址���。
如圖17所示��,在開始從cam向mypc發(fā)送IP包之前��,發(fā)送ARP請(qǐng)求(S500)���,然而對(duì)此,網(wǎng)關(guān)GW-B按照取代mypc而利用虛擬的mypc的方式�,使用地址a1:b1:c1:d1:e1:f1對(duì)ARP請(qǐng)求進(jìn)行應(yīng)答(S501)。此時(shí)���,參照?qǐng)D16所示的全局列表�����。這樣�,由于cam把握了mypc的第2層地址,因而實(shí)際上開始在L2層把IP包發(fā)送到網(wǎng)關(guān)GW-B(S502)�。
網(wǎng)關(guān)GW-B在接收到L2包時(shí),參照全局列表����,由于識(shí)別出發(fā)往目的地a1:b1:c1:d1:e1:f1的L2包在網(wǎng)關(guān)GW-A中作為mypc虛擬存在����,因而可將其終接。以下通過與迄今為止相同的處理����,把IP包傳送到網(wǎng)關(guān)GW-A(S503)。網(wǎng)關(guān)GW-A與上述實(shí)施方式一樣��,接收該IP包來進(jìn)行地址轉(zhuǎn)換�,并把該轉(zhuǎn)換后的IP包傳送到自己屬下的mypc(S504)。
并且��,當(dāng)把來自mypc的包從網(wǎng)關(guān)GW-B發(fā)送到cam時(shí)���,與迄今為止的實(shí)施方式一樣結(jié)束地址轉(zhuǎn)換����,當(dāng)最終發(fā)送到本地網(wǎng)絡(luò)時(shí),附上作為發(fā)送源第2層地址的a1:b1:c1:d1:e1:f1���,把L2包發(fā)送到L2網(wǎng)絡(luò)上的mypc��。
以上結(jié)果�,網(wǎng)關(guān)可提供使任意主機(jī)作為虛擬地屬于同一子網(wǎng)的主機(jī)進(jìn)行通信的功能�����。
(變形例)在上述實(shí)施方式中��,對(duì)IP地址是基于IPv4的地址作了說明����,然而本發(fā)明不限于此。例如���,也能使用基于IPv6的地址�。在該情況下�����,取代IPv4的專用地址��,可通過利用IPv6的地區(qū)本地地址來實(shí)現(xiàn)。例如����,如果把上述實(shí)施方式的“專用(地址)”重讀為“地區(qū)本地(地址)”,則處理步驟和處理方法完全相同����,在實(shí)施本發(fā)明時(shí),沒有必要考慮IPv4和IPv6的不同�����。另外���,全局地址對(duì)于IPv4和IPv6具有相同意義。
本發(fā)明可在不背離其精神或主要特征的情況下����,采用其他各種形式實(shí)施。因此����,上述實(shí)施方式在所有方面只不過是例示,不作限定性解釋����。
產(chǎn)業(yè)上的可利用性根據(jù)本發(fā)明�,不使通信/計(jì)算資源匱乏的主機(jī)(例如�����,便攜電話��、PDA(Personal Digital Assistance個(gè)人數(shù)字助理)等的便攜終端����、冰箱、洗衣機(jī)���、錄像機(jī)等的網(wǎng)絡(luò)家電)的處理負(fù)荷增大��,即可實(shí)現(xiàn)在組內(nèi)封閉的通信�����。
權(quán)利要求
1.一種包中繼裝置�����,位于本地網(wǎng)絡(luò)和全局網(wǎng)絡(luò)之間的邊界�����,用于在由具有全局地址的IP主機(jī)構(gòu)成的IP網(wǎng)絡(luò)中�����,選擇任意主機(jī)進(jìn)行分組����,實(shí)現(xiàn)在組內(nèi)封閉的通信,該包中繼裝置具有由IP地址和用于管理組的主機(jī)名構(gòu)成的�、用于管理屬于組的主機(jī)的列表;以及根據(jù)該列表識(shí)別作為組成員的主機(jī)和組外的主機(jī)并遮斷來自組外的主機(jī)的通信的單元���。
2.根據(jù)權(quán)利要求1所述的包中繼裝置,還具有將全局地址和專用地址相互轉(zhuǎn)換的轉(zhuǎn)換裝置��。
3.根據(jù)權(quán)利要求2所述的包中繼裝置����,針對(duì)虛擬IP子網(wǎng)的虛擬專用地址被分配給任意主機(jī)。
4.根據(jù)權(quán)利要求2或3所述的包中繼裝置�,還具有將與其他包中繼裝置之間的通信加密的單元。
5.根據(jù)權(quán)利要求2至4中的任意一項(xiàng)所述的包中繼裝置�����,還具有根據(jù)規(guī)定的隧道協(xié)議,使與其他包中繼裝置之間的隧道設(shè)定自動(dòng)化的單元���。
6.根據(jù)權(quán)利要求2至5中的任意一項(xiàng)所述的包中繼裝置�����,還具有根據(jù)虛擬組設(shè)定協(xié)議��,使與其他包中繼裝置之間的組設(shè)定自動(dòng)化的單元�����。
7.根據(jù)權(quán)利要求2至6中的任意一項(xiàng)所述的包中繼裝置��,還具有根據(jù)虛擬組設(shè)定協(xié)議��,使與其他包中繼裝置之間的屬于組的成員設(shè)定自動(dòng)化的單元�����。
8.根據(jù)權(quán)利要求5至7中的任意一項(xiàng)所述的包中繼裝置��,還具有通過在與其他包中繼裝置之間進(jìn)行認(rèn)證�,確認(rèn)是否能相互信賴的單元。
9.根據(jù)權(quán)利要求2或3所述的包中繼裝置���,包中繼裝置和主機(jī)不與其他主機(jī)連接��,而是直接連接���。
10.根據(jù)權(quán)利要求3所述的包中繼裝置,把非IP終端虛擬地作為IP主機(jī)來構(gòu)建在其他主機(jī)看來像是存在于組內(nèi)的虛擬IP主機(jī)�。
11.根據(jù)權(quán)利要求3所述的包中繼裝置,使主機(jī)的第2層地址作為主機(jī)固有的識(shí)別符與機(jī)器一一對(duì)應(yīng)��。
12.根據(jù)權(quán)利要求3所述的包中繼裝置�����,使用虛擬第2層地址代替屬于組的主機(jī)來應(yīng)答ARP��,在本地子網(wǎng)級(jí)中實(shí)現(xiàn)組內(nèi)通信���。
13.根據(jù)權(quán)利要求1至3中的任意一項(xiàng)所述的包中繼裝置,不在網(wǎng)關(guān)中進(jìn)行名稱解析��,而在DNS服務(wù)器中集中地解析名稱,而且使用模式來描述實(shí)際地址和虛擬專用地址之間的轉(zhuǎn)換�����。
14.一種IP包中繼裝置����,設(shè)置在網(wǎng)絡(luò)間,使與屬于特定組的主機(jī)有關(guān)的IP包通過����,該IP包中繼裝置具有列表,使主機(jī)具有的IP地址和用于識(shí)別該主機(jī)所屬的組的組識(shí)別符對(duì)應(yīng)��;判定單元����,通過參照前述列表判定從一個(gè)網(wǎng)絡(luò)收到的且發(fā)往與另一網(wǎng)絡(luò)連接的主機(jī)的IP包是否是與同一組有關(guān)的IP包;以及轉(zhuǎn)發(fā)單元�,把被判定為是與同一組有關(guān)的IP包的IP包中繼到前述另一網(wǎng)絡(luò)。
15.根據(jù)權(quán)利要求14所述的IP包中繼裝置���,在與從前述一個(gè)網(wǎng)絡(luò)收到的IP包的發(fā)送源地址和目的地地址對(duì)應(yīng)的組是同一組的情況下���,前述判定單元通過參照前述列表�����,判定為該IP包是與同一組有關(guān)的IP包�。
全文摘要
一種IP包中繼裝置�,設(shè)置在網(wǎng)絡(luò)間,使與屬于特定組的主機(jī)有關(guān)的IP包通過���,該IP包中繼裝置具有列表���,使主機(jī)具有的IP地址和用于識(shí)別該主機(jī)所屬的組的組識(shí)別符對(duì)應(yīng);判定單元���,通過參照前述列表判定從一個(gè)網(wǎng)絡(luò)收到的且發(fā)往與另一網(wǎng)絡(luò)連接的主機(jī)的IP包是否是與同一組有關(guān)的IP包����;以及轉(zhuǎn)發(fā)單元��,把被判定為是與同一組有關(guān)的IP包的IP包中繼到前述另一網(wǎng)絡(luò)����。
文檔編號(hào)H04L12/66GK1839592SQ03827058
公開日2006年9月27日 申請(qǐng)日期2003年9月11日 優(yōu)先權(quán)日2003年9月11日
發(fā)明者野村祐士, 山根慎治, 宇式一雅, 黑瀨義敏, 深沢光規(guī) 申請(qǐng)人:富士通株式會(huì)社