ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム
【課題】レイヤ3アドレスの利用効率を向上させると共に、認証後の端末や業務ネットワークから認証ネットワークにアクセス可能とする。
【解決手段】ネットワークシステムは、第1のNWと、認証サーバと、認証サーバが所属する第2のNWと、少なくとも1つの第3のNWと、第1ないし第3のNWに所属するパケット転送装置であって、少なくとも第2のNW内への第1の転送経路テーブルと少なくとも第2,3のNW内への第2の転送経路テーブルとを格納する転送経路テーブル格納部と、検索転送経路テーブルとして、認証成功前に第1の転送経路テーブルを、認証成功後に第2の転送経路テーブルをそれぞれ決定する転送経路テーブル決定部と、を有するパケット転送装置と、を備える。
【解決手段】ネットワークシステムは、第1のNWと、認証サーバと、認証サーバが所属する第2のNWと、少なくとも1つの第3のNWと、第1ないし第3のNWに所属するパケット転送装置であって、少なくとも第2のNW内への第1の転送経路テーブルと少なくとも第2,3のNW内への第2の転送経路テーブルとを格納する転送経路テーブル格納部と、検索転送経路テーブルとして、認証成功前に第1の転送経路テーブルを、認証成功後に第2の転送経路テーブルをそれぞれ決定する転送経路テーブル決定部と、を有するパケット転送装置と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末から送信されるパケットの転送技術に関する。
【背景技術】
【0002】
端末がネットワークに所属する前に認証や検疫(以下、単に「認証」と呼ぶ)を行うネットワークシステムでは、セキュリティの観点から、認証を行うためのネットワーク(以下、単に「認証ネットワーク」と呼ぶ)と認証後に接続するネットワーク(端末が所属するネットワーク及び認証ネットワークとは異なるネットワーク(以下、「業務ネットワーク」と呼ぶ)との間で通信が行えないように、それぞれのネットワークの独立性を確保したいという要請があった。
【0003】
そこで、それぞれのネットワークに異なるVLAN(Virtual Local Area Network)を割り当て、認証成功後に端末が所属するVLANを移動させ、移動先のVLANで通信を許可する方式(ダイナミックVLAN方式)が提案されている。また、認証前後でVLANを移動させず、認証前には認証のための通信(レイヤ2における通信)のみを許可し、他の通信は一切許可しないとする方式(固定VLAN方式)が提案されている。しかし、ダイナミックVLAN方式では、認証前後において同一の端末に対して異なるIPアドレスを割り当てるため、IPアドレスの利用効率が低いという問題があった。また、固定VLAN方式では、認証前にレイヤ3における通信ができないという問題があった。
【0004】
そこで、それぞれのネットワークをVPN(Virtual Private Network)として構成し、各VPNにDHCP(Dynamic Host Configuration Protocol)サーバを設置し、認証成功後に端末が所属するVLANを移動させると共に、各DHCPサーバの情報を同期させ、認証前後において同一のIPアドレスを端末に割り当てる方法が提案されている(下記特許文献1)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−193231号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述した認証ネットワークと業務ネットワークとをVPNにより分離する技術では、認証後の端末が認証ネットワークにアクセスできなくなるという課題があった。したがって、例えば、認証後の端末について認証ネットワークに属するサーバ(認証サーバ)を用いて、定期的に検疫(例えば、ウィルス定義ファイルが最新であるか、オペレーティングシステムのバージョンが最新であるか等の検疫)を実行することができないという問題が発生する。この問題は、端末に限らず、業務ネットワークに属するサーバ(業務サーバ)等についても発生し得る。すなわち、認証ネットワークと業務ネットワークとをVPNにより分離するために業務サーバは認証ネットワークにアクセスできず、業務サーバについて認証サーバを用いた認証や検疫を実行できないという問題が発生する。また、DHCPサーバを複数台設置しなければならず、加えて、各DHCPサーバに互いに同期させるための特殊な機能を搭載させねばならず、ネットワークシステムの構築コストの上昇を招いていた。
【0007】
なお、上記問題は、IPアドレスに限らず、IPX(Internetwork Packet eXchange)アドレスなど、任意のレイヤ3アドレスを用いるパケットを転送する際に発生し得る。
【0008】
本発明は、ネットワークシステムにおけるレイヤ3アドレスの利用効率を向上させると共に、認証後の端末や業務ネットワークから認証ネットワークにアクセス可能とすることを目的とする。
【課題を解決するための手段】
【0009】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0010】
[適用例1] ネットワークシステムであって、第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバと、前記認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、前記第1ないし第3のネットワークに所属し、パケットを転送するパケット転送装置であって、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、を有するパケット転送装置と、を備える、ネットワークシステム。
【0011】
適用例1のネットワークシステムでは、認証サーバにより端末について認証成功と判定される前には、端末からのパケットについて、第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルを適用するので、端末からのパケットの第2のネットワーク(認証サーバ)へのパケットの転送を許容すると共に、第3のネットワークへの転送を抑制できる。また、認証成功と判定された後には、端末からのパケットについて、第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路情報群を適用するので、端末からのパケットの第2及び第3のネットワークへの転送を許容する。したがって、認証後の端末や第3のネットワークから認証サーバが所属する第2のネットワークへのアクセスを可能とする。加えて、端末に対してアドレス(レイヤ3アドレス)を複数付与する必要がないため、アドレスの利用効率を向上させることができる。なお、適用例1における「認証」とは、認証及び検疫を含む広い意味を有する。
【0012】
[適用例2] 適用例1に記載のネットワークシステムにおいて、さらに、パケットの送信元を識別する送信元識別子と前記検索転送経路テーブルとを対応付ける検索転送経路テーブル決定テーブルと、前記検索転送経路テーブル決定テーブルを更新するテーブル更新部と、を備え、前記転送経路テーブル決定部は、受信したパケットについて、前記検索転送経路テーブル決定テーブルに基づき前記検索転送経路テーブルを決定し、前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の前記送信元識別子と前記第1の転送経路テーブルとが対応付けられており、前記テーブル更新部は、前記認証サーバにより前記端末について認証成功と判定された後に、前記端末の前記送信元識別子と前記第2の転送経路テーブルとを対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【0013】
このような構成により、検索転送経路テーブル決定テーブルを参照することにより、認証成功前の端末からのパケットの転送経路を第1の転送経路テーブルから決定させることができ、認証成功後の端末からのパケットの転送経路を第2の転送経路テーブルから決定させることができる。
【0014】
[適用例3] 適用例1または適用例2に記載のネットワークシステムにおいて、前記第3のネットワークを複数備え、前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、前記認証サーバは、前記転送経路テーブル決定部に対して、前記認証処理の結果と前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークに関する情報とを通知し、前記転送経路テーブル決定部は、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定する、ネットワークシステム。
【0015】
このような構成により、認証成功後の端末からのパケットについて、接続を許可されたネットワークへの転送を許容すると共に、接続を許可されていないネットワークへの転送を抑制できる。
【0016】
[適用例4] 適用例2または適用例3に記載のネットワークシステムにおいて、前記パケットはIPパケットであり、前記送信元識別子は、MACアドレス及びIPアドレスのうち、少なくとも一方である、ネットワークシステム。
【0017】
このような構成により、レイヤ3での通信を実現するために用いられるIPアドレスや、レイヤ2での通信を実現するために用いられるMACアドレスを送信元識別子として利用できるので、これらの識別子とは別に送信元識別子を用いる構成に比べて、ネットワークシステムを容易に構築することができる。
【0018】
[適用例5] 適用例1ないし適用例4のいずれかに記載のネットワークシステムにおいて、前記転送経路テーブル決定部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記端末からのパケットに適用する前記検索転送経路テーブルとして、前記第2の転送経路テーブルから前記第1の転送経路テーブルに戻す、ネットワークシステム。
【0019】
このような構成により、認証が解除された端末からのパケットの転送の際に、第1の転送経路テーブルから転送経路を決定させることができるので、認証が解除された端末から第3のネットワークへのパケットの転送を抑制できる。
【0020】
[適用例6] 適用例3に記載のネットワークシステムにおいて、さらに、パケットの転送経路を決定する転送経路決定部と、前記転送経路テーブル格納部に格納されている転送経路テーブルを更新する転送経路テーブル更新部と、を備え、前記転送経路テーブル格納部は、前記第1の転送経路テーブルと前記第2の転送経路テーブルとに加えて、少なくとも前記第1のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第3の転送経路テーブルを格納し、前記転送経路テーブル決定部は、各第3のネットワークから前記第1及び第2のネットワークにパケットを転送する際に、前記検索転送経路テーブルとして前記第2の転送経路テーブルを決定し、前記第2のネットワークから前記第1のネットワークに前記パケットを転送する際に、前記検索転送経路テーブルとして前記第3の転送経路テーブルを決定し、前記転送経路テーブル更新部は、前記認証処理において前記認証サーバから前記端末にパケットを転送する際に、前記転送経路決定部により決定された前記端末へのパケットの経路情報である端末経路情報を、前記第3の転送経路テーブルに追加し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第3の転送経路テーブルから前記端末経路情報を取得し、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルに、前記端末経路情報をコピーする、ネットワークシステム。
【0021】
このような構成により、予め第2の転送経路テーブルに第1のネットワークを宛先とする転送経路(第1のネットワーク内の所定のデバイスを宛先とする転送経路)を設定しておくことを要しない。したがって、第3のネットワークに所属するデバイスから、第1のネットワークに所属する不特定の端末への通信を抑制でき、セキュリティを向上させることができる。
【0022】
[適用例7] 適用例6に記載のネットワークシステムにおいて、前記転送経路テーブル更新部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記第2の転送経路テーブルから前記端末経路情報を削除する、ネットワークシステム。
【0023】
このような構成により、認証が解除された端末からのパケットの転送の際に、第1の転送経路テーブルから転送経路を決定させることができるので、認証が解除された端末から第3のネットワークへのパケットの転送を抑制できる。
【0024】
[適用例8] 適用例2に記載のネットワークシステムにおいて、さらに、パケットの転送経路を決定する転送経路決定部を備え、前記第1の転送経路テーブルと前記第2の転送経路テーブルとは、統合転送経路テーブルとして構成され、前記検索転送経路テーブル決定テーブルは、前記送信元識別子と前記認証処理の結果と前記検索転送経路テーブルを示す検索転送経路テーブル識別子とを対応付け、前記統合転送経路テーブルは、前記第1の転送経路テーブル及び前記第2の転送経路テーブルに含まれる各経路情報と前記認証処理の結果と前記検索転送経路テーブル識別子とを対応付け、前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の送信元識別子と、前記認証処理が成功していない旨の情報と、前記検索転送経路テーブル識別子として前記第1の転送経路テーブルを示す識別子と、が対応付けられており、前記認証サーバは、前記テーブル更新部に対して、少なくとも前記認証記処理の結果を通知し、前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨を通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新し、前記転送経路テーブル決定部は、受信したパケットについて、前記パケットの送信元識別子に基づき、前記検索転送経路テーブル決定テーブルを参照して、前記認証処理の結果及び前記検索転送経路テーブル識別子を取得し、前記転送経路決定部は、前記転送経路テーブル決定部により取得された前記認証処理の結果及び前記検索転送経路テーブル識別子に基づき、前記統合転送経路テーブルを参照して、前記パケットについての転送経路を決定する、ネットワークシステム。
【0025】
このような構成により、第1の転送経路テーブル及び第2の転送経路テーブルを、それぞれ異なる転送経路テーブルとして格納する構成に比べて、同一デバイスへの転送経路を示す重複したエントリの記載を抑制でき、転送経路テーブル格納部の容量を抑制することができる。
【0026】
[適用例9] 適用例8に記載のネットワークシステムにおいて、前記第3のネットワークを複数備え、前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、前記認証サーバは、前記テーブル更新部に対して、前記認証処理の結果と、前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークと、を通知し、前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として、前記複数の第2の転送経路テーブルのうち前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【0027】
このような構成により、予め統合転送経路テーブルに第1のネットワークを宛先とする転送経路(第1のネットワーク内の所定のデバイスを宛先とする転送経路)を設定しておくことを要しない。したがって、第3のネットワークに所属するデバイスから、第1のネットワークに所属する不特定の端末への通信を抑制でき、セキュリティを向上させることができる。
【0028】
[適用例10] 適用例9に記載のネットワークシステムにおいて、さらに、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの組み合わせと、各組み合せを示す組み合わせ識別子と、を対応付ける組み合わせテーブルを備え、前記検索転送経路テーブル決定テーブル及び前記統合転送経路テーブルには、前記第2の転送経路テーブルについての前記検索転送経路テーブル識別子として、前記組み合わせ識別子が用いられ、前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルからなる組み合わせの組み合わせ識別子である許可組合せ識別子を、前記組み合わせテーブルから取得すると共に、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記許可組み合わせ識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【0029】
このような構成により、認証処理において、端末に対して複数のネットワークへの接続許可がされる場合において、許可されたネットワークに所属する所定のデバイスへのパケットに適用する検索転送経路テーブルを、統合転送経路テーブルにおいて簡易に指定(記述)することができ、転送経路テーブル格納部の容量を抑えることができる。
【0030】
[適用例11] 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置であって、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、を備える、パケット転送装置。
【0031】
適用例11のパケット転送装置では、認証サーバにより端末について認証成功と判定される前には、端末からのパケットについて、第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルを適用するので、端末からのパケットの第2のネットワーク(認証サーバ)へのパケットの転送を許容すると共に、第3のネットワークへの転送を抑制できる。また、認証成功と判定された後には、端末からのパケットについて、第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路情報群を適用するので、端末からのパケットの第2及び第3のネットワークへの転送を許容する。したがって、認証後の端末や第3のネットワークから認証サーバが所属する第2のネットワークへのアクセスを可能とする。加えて、端末に対してアドレス(レイヤ3アドレス)を複数付与する必要がないため、アドレスの利用効率を向上させることができる。なお、適用例1における「認証」とは、認証及び検疫を含む広い意味を有する。
【0032】
[適用例12] 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置を用いたパケット転送方法であって、(a)前記パケット転送装置において、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する工程と、(b)前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する工程と、を備えるパケット転送方法。
【0033】
適用例12のパケット転送方法では、認証サーバにより端末について認証成功と判定される前には、端末からのパケットについて、第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルを適用するので、端末からのパケットの第2のネットワーク(認証サーバ)へのパケットの転送を許容すると共に、第3のネットワークへの転送を抑制できる。また、認証成功と判定された後には、端末からのパケットについて、第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路情報群を適用するので、端末からのパケットの第2及び第3のネットワークへの転送を許容する。したがって、認証後の端末や第3のネットワークから認証サーバが所属する第2のネットワークへのアクセスを可能とする。加えて、端末に対してアドレス(レイヤ3アドレス)を複数付与する必要がないため、アドレスの利用効率を向上させることができる。なお、適用例1における「認証」とは、認証及び検疫を含む広い意味を有する。
【0034】
[適用例13] 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属するコンピュータを用いたパケットを転送するためのプログラムであって、前記コンピュータにおいて、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する機能と、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する機能と、を前記コンピュータに実現させるためのプログラム。
【0035】
適用例13のプログラムでは、認証サーバにより端末について認証成功と判定される前には、端末からのパケットについて、第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルを適用するので、端末からのパケットの第2のネットワーク(認証サーバ)へのパケットの転送を許容すると共に、第3のネットワークへの転送を抑制できる。また、認証成功と判定された後には、端末からのパケットについて、第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路情報群を適用するので、端末からのパケットの第2及び第3のネットワークへの転送を許容する。したがって、認証後の端末や第3のネットワークから認証サーバが所属する第2のネットワークへのアクセスを可能とする。加えて、端末に対してアドレス(レイヤ3アドレス)を複数付与する必要がないため、アドレスの利用効率を向上させることができる。なお、適用例1における「認証」とは、認証及び検疫を含む広い意味を有する。
【図面の簡単な説明】
【0036】
【図1】本発明の一実施例としてのネットワークシステムの構成を示す説明図。
【図2】図1に示すインタフェース役割種別テーブル152を示す説明図。
【図3】図1に示すVRF判定テーブル158の初期状態を示す説明図。
【図4】図1に示す端末VRFフォワーディングテーブル156の初期状態を示す説明図。
【図5】図1に示す認証後VRFフォワーディングテーブル154の初期状態を示す説明図。
【図6】端末の認証成功前後における転送経路を模式的に示す説明図。
【図7】ネットワークシステム10において実行されるパケット転送処理の手順を示すフローチャート。
【図8】第1端末11について認証成功後の端末VRFフォワーディングテーブル156を示す説明図。
【図9】第1端末11について認証成功後の認証後VRFフォワーディングテーブル154を示す説明図。
【図10】端末の認証成功後に実行されるVRF判定テーブルのエントリ追加処理の手順を示すフローチャート。
【図11】第1端末11の認証成功後に第1端末11についてのエントリが追加された後のVRF判定テーブル158を示す説明図。
【図12】パケット転送装置100において実行されるVRF判定テーブル158のエントリ削除処理の手順を示す説明図。
【図13】第2の実施例のネットワークシステム10aの構成を示す説明図。
【図14】第2の実施例のインタフェース役割種別テーブル152を示す説明図。
【図15】第2の実施例におけるVRF判定テーブルの初期状態を示す説明図。
【図16】第2の実施例における認証VRFフォワーディングテーブル154aの初期状態を示す説明図。
【図17】第2の実施例における第1業務VRFフォワーディングテーブル154bの初期状態を示す説明図。
【図18】第2の実施例における第2業務VRFフォワーディングテーブル154cの初期状態を示す説明図。
【図19】第2の実施例における第1端末11の認証成功前後の転送経路を模式的に示す説明図。
【図20】第2の実施例における第2端末12の認証成功前後の転送経路を模式的に示す説明図。
【図21】第2の実施例におけるパケット転送処理の手順を示すフローチャート。
【図22】第2の実施例におけるVRF判定テーブルのエントリ追加処理の手順を示すフローチャート。
【図23】第1端末11及び第2端末12の認証成功後にこれら2つの端末11,12についてのエントリが追加された後のVRF判定テーブル158を示す説明図。
【図24】第1端末11及び第2端末12の認証成功後の認証VRFフォワーディングテーブル154aを示す説明図。
【図25】第1端末11及び第2端末12の認証成功後の第1業務VRFフォワーディングテーブル154bを示す説明図。
【図26】第1端末11及び第2端末12の認証成功後の第2業務VRFフォワーディングテーブル154cを示す説明図。
【図27】第3の実施例のネットワークシステムの構成を示す説明図。
【図28】第3の実施例のVRF判定テーブル158を示す説明図。
【図29】第4の実施例における第1業務VRFフォワーディングテーブル154bの初期状態を示す説明図。
【図30】第4の実施例における第2業務VRFフォワーディングテーブル154cの初期状態を示す説明図。
【図31】第4の実施例におけるVRF判定テーブル158及びVRFフォワーディングテーブルへのエントリ追加処理の手順を示すフローチャート。
【図32】ステップS220実行後の第1業務VRFフォワーディングテーブル154bを示す説明図。
【図33】ステップS220実行後の第2業務VRFフォワーディングテーブル154cを示す説明図。
【図34】第4の実施例のエントリ削除処理の手順を示すフローチャート。
【図35】第5の実施例のネットワークシステムの構成を示す説明図。
【図36】第5の実施例のVRF判定テーブル158aを示す説明図。
【図37】第5の実施例の統合VRFフォワーディングテーブルを示す説明図。
【図38】第5の実施例のパケット転送処理の手順を示すフローチャートである。
【図39】認証成功前において第1端末11と認証サーバ191との間でパケットのやりとりがなされた後の統合VRFフォワーディングテーブル159を示す説明図。
【図40】第5の実施例におけるエントリ更新処理の手順を示すフローチャート。
【図41】第1端末11及び第2端末12の認証成功後にこれら2つの端末11,12についてのエントリが追加された後のVRF判定テーブル158aを示す説明図。
【図42】第1端末11及び第2端末12についての認証成功後の統合VRFフォワーディングテーブル159を示す説明図。
【図43】第5の実施例のエントリ削除処理の手順を示すフローチャート。
【発明を実施するための形態】
【0037】
以下、本発明を実施するための最良の形態を実施例に基づいて以下の順序で説明する。
A.第1の実施例:
A1.システム構成:
A2.認証成功前後における転送経路の変化の概要:
A3.端末認証時の動作:
A4.端末認証成功後のパケット転送処理:
A5.VRF判定テーブルのエントリ削除処理:
B.第2の実施例:
B1.システム構成:
B2.認証成功前後における転送経路の変化の概要:
B3.端末認証時の動作:
B4.端末認証成功後のパケット転送処理:
C.第3の実施例:
D.第4の実施例:
E.第5の実施例:
E1.システム構成:
E2.端末認証時の動作:
E3.端末認証成功後のパケット転送処理:
E4.エントリ削除処理:
F.変形例:
【0038】
A.第1の実施例:
A1.システム構成:
図1は、本発明の一実施例としてのネットワークシステムの構成を示す説明図である。このネットワークシステム10は、パケット転送装置100と、ユーザネットワーク170と、レイヤ2スイッチ171と、認証ネットワーク190と、認証サーバ191と、検疫サーバ192と、業務ネットワーク180と、業務サーバ181とを備えている。
【0039】
パケット転送装置100は、レイヤ3スイッチであり、OSI参照モデルにおける第3層(ネットワーク層)のパケットを転送する。なお、レイヤ3スイッチに代えて、ルーターを用いることもできる。また、本実施例では、第3層のパケットとしてIP(Internet Protocol)パケットを用いるが、IPパケットに代えて、IPX(Internetwork Packet eXchange)パケットを用いることもできる。なお、以下では、第3層のパケットを単に「パケット」とも呼ぶ。
【0040】
パケット転送装置100は、3つのインタフェース(第1インタフェース111,第2インタフェース112,第3インタフェース113)と、メモリ150と、認証処理部122と、経路制御部124と、パケット転送処理部126と、VRF判定制御部128とを備えている。
【0041】
第1インタフェース111は、ユーザネットワーク170を接続するインタフェースである。また、第2インタフェース112は認証ネットワーク190を、第3インタフェース113は業務ネットワーク180を、それぞれ接続するインタフェースである。これら3つのインタフェース111〜113は、いずれもVLANにおいてIPアドレスが割り当てられる論理的なインタフェースであるが、Ethernet(登録商標)等の物理的なインタフェースであってもよい。
【0042】
メモリ150は、インタフェース役割種別テーブル152と、認証後VRFフォワーディングテーブル154と、端末VRFフォワーディングテーブル156と、VRF判定テーブル158とを格納している。パケット転送装置100は、VRF(Virtual Routing and Forwarding:複数のフォワーディングテーブル(ルーティングテーブル)を保持し、各テーブルに従いパケットを転送する技術)を実現可能に構成されている。したがって、パケット転送装置100は、2つのフォワーディングテーブル(認証後VRFフォワーディングテーブル154及び端末VRFフォワーディングテーブル156)を備え、これらフォワーディングテーブル154,156に基づき、受信したパケットを転送する。なお、各テーブルの詳細については後述する。
【0043】
認証処理部122と、経路制御部124と、パケット転送処理部126と、VRF判定制御部128とは、いずれもメモリ150内に格納されているプログラムを、図示しないCPU(Central Processing Unit)が実行することにより実現される機能部である。なお、CPUに代えて、ASIC(Application Specific Integrated Circuit)を用いることもできる。
【0044】
認証処理部122は、認証前における端末と認証サーバ191及び検疫サーバ192との間の通信を仲介する。また、認証処理部122は、認証サーバ191や検疫サーバ192から受信する認証(認証及び検疫)の結果を、VRF判定制御部128に通知する。認証処理(認証及び検疫)の方式としては、例えば、IEEE802.1xに準拠した方式や、Web認証などを採用することもできる。
【0045】
経路制御部124は、認証後VRFフォワーディングテーブル154及び端末VRFフォワーディングテーブル156を管理することにより、パケットの転送経路を制御する。
【0046】
パケット転送処理部126は、各インタフェース111〜113が受信したパケットを、認証後VRFフォワーディングテーブル154及び端末VRFフォワーディングテーブル156に基づき転送する。
【0047】
VRF判定制御部128は、VRF判定テーブル158を管理すると共に、パケットを転送するための経路を、認証後VRFフォワーディングテーブル154及び端末VRFフォワーディングテーブル156のいずれのテーブルにて検索するかを決定する。
【0048】
ユーザネットワーク170は、端末(例えば、パーソナルコンピュータ)が所属し得るレイヤ3のネットワーク(VLAN)である。レイヤ2スイッチ171は、いわゆるスイッチングハブであり、ユーザネットワーク170における第2層(データリンク層)のフレームのスイッチングを行う。第1インタフェース111は、レイヤ2スイッチ171に物理的に接続されている。また、ユーザネットワーク170に所属する端末は、このレイヤ2スイッチ171に物理的に接続される。図1の例では、第1端末11がユーザネットワーク170に所属され得る。
【0049】
認証ネットワーク190は、認証サーバ191及び検疫サーバ192が所属するレイヤ3のネットワーク(VLAN)である。認証サーバ191は、ユーザネットワーク170に所属しようとする端末に対し、端末から受信した認証要素(ログイン名やパスワード等)に基づき認証を実行する。検疫サーバ192は、ユーザネットワーク170に所属しようとする端末に対し、検疫を行い、端末が所定のセキュリティポリシーに合致するか否かを判定する。セキュリティポリシーとしては、例えば、ウィルス定義ファイルが最新であるか、オペレーティングシステムのバージョンが最新であるか等を採用することができる。前述の認証サーバ191は、認証が成功し、かつ、端末がセキュリティポリシーに合致した場合に「認証成功」と判定して、認証成功の旨を認証処理部122に通知する。
【0050】
業務ネットワーク180は、業務サーバ181が所属するレイヤ3のネットワーク(VLAN)である。業務サーバ181は、認証成功後の端末がアクセスするサーバである。
【0051】
ここで、端末や各サーバやパケット転送装置100の各インタフェース111〜113には、予めIPアドレスが割り当てられている。具体的には、第1端末11には、10.0.0.1/32が割り当てられている。また、認証サーバ191には11.0.0.1/32が、検疫サーバ192には11.0.0.2/32が、業務サーバ181には12.0.0.1/32が、第1インタフェース111には10.0.0.10/24が、第2インタフェース112には11.0.0.11/24が、第3インタフェース113には12.0.0.12/24が、それぞれ割り当てられている。なお、上記各IPアドレスはCIDR(Classless Inter-Domain Routing)形式で表わしている。
【0052】
図2は、図1に示すインタフェース役割種別テーブル152を示す説明図である。インタフェース役割種別テーブル152は、パケット転送装置100が備える各インタフェース111〜113の役割種別を管理するテーブルである。インタフェース役割種別テーブル152では、「インタフェース番号」と「役割種別」とが対応付けられている。インタフェース番号フィールドは、各インタフェース111〜113を示す番号を示す。なお、本実施例では、第1インタフェース111のインタフェース番号として「IF1」が設定されている。同様に、第2インタフェース112のインタフェース番号として「IF2」が、第3インタフェース113のインタフェース番号として「IF3」が、それぞれ設定されている。役割種別フィールドは、各インタフェースの役割を示す。役割種別フィールドの値が「認証対象端末」とは、認証対象となる端末が所属するネットワークを接続するインタフェースであることを示す。役割種別フィールドの値が「認証前」とは、認証前の端末が通信可能なネットワークを接続するインタフェースであることを示す。役割種別フィールドの値が「認証後」とは、認証成功した場合にのみ端末が通信可能なネットワークに接続するインタフェースであることを示す。
【0053】
図2の例では、第1エントリにおいて、第1インタフェース111(IF1)に「認証対象端末」が対応付けられている。また、第2エントリにおいて第2インタフェース112(IF2)に「認証前」が、第3エントリにおいて第3インタフェース113(IF3)に「認証後」が、それぞれ対応付けられている。これら第1〜第3エントリは、システム管理者が、予め各インタフェース111〜113の役割を考慮して設定しておく。
【0054】
図3は、図1に示すVRF判定テーブル158の初期状態を示す説明図である。VRF判定テーブル158は、パケット転送装置100がパケットを受信した際に、パケットの転送経路を検索するVRFフォワーディングテーブルを決定するためのテーブルである。VRF判定テーブル158では、「インタフェース番号」と「判定種別」と「MACアドレス」と「VRFフォワーディングテーブル種別」とが対応付けられている。
【0055】
インタフェース番号フィールドは、前述のインタフェース役割種別テーブル152の「インタフェース番号」と同じである。判定種別フィールドとは、VRFフォワーディングテーブルを決定する際に、いずれのエントリを参照するかを決定するために用いられる要素(フィールド)である。判定種別フィールドの値が「MACアドレス」とは、パケットの送信元のMAC(Media Access Control)アドレスを用いて参照するエントリを決定することを示す。判定種別フィールドの値が「インタフェース」とは、パケットの送信元のMACアドレスに関わらず、パケットを受信したインタフェースを用いて参照するエントリを決定することを示す。MACアドレスフィールドは、判定種別が「MACアドレス」であるエントリにおいて、MACアドレスを指定するための要素である。VRFフォワーディングテーブルフィールドは、パケットの転送経路を検索するために用いるVRFフォワーディングテーブルを指定する。
【0056】
図3の例では、第1エントリにおいて、判定種別「MACアドレス」,MACアドレス「その他」及びVRFフォワーディングテーブル種別「端末VRFフォワーディングテーブル」が、それぞれ設定されている。MACアドレスが「その他」とは、判定種別フィールドが「MACアドレス」のエントリにおいて、MACアドレスフィールドの値として「他のエントリにおいて指定されているMACアドレスを除く他の全てのMACアドレス」が設定されていることを示す。また、第2エントリにおいて、判定種別「インタフェース」,MACアドレス「−」及びVRFフォワーディングテーブル種別「認証後VRFフォワーディングテーブル」が、それぞれ設定されている。MACアドレスが「−」とは、MACアドレスを参照しないことを示す。なお、第3エントリにおいて、第3インタフェース113(IF3)について各フィールドの値が設定されているが、判定種別,MACアドレス及びVRFフォワーディングテーブル種別の各フィールドの値は第2エントリと同じであるので、説明を省略する。
【0057】
初期状態においては、これら3つのエントリ(第1〜第3エントリ)がVRF判定テーブル158に設定されている。これら3つのエントリは、ネットワークシステム10の初期コンフィグレーションの際に、VRF判定制御部128により生成される。具体的には、VRF判定制御部128は、図2に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、VRF判定制御部128は、役割種別が「認証対象端末」であるインタフェースについて、判定種別を「MACアドレス」に、MACアドレスを「その他」に、VRFフォワーディングテーブル種別を「端末VRFフォワーディングテーブル」に、それぞれ設定したエントリをVRF判定テーブル158に追加する。また、VRF判定制御部128は、役割種別が「認証前」及び「認証後」であるインタフェースについて、判定種別を「インタフェース」に、MACアドレスを「−」に、VRFフォワーディングテーブル種別を「認証後VRFフォワーディングテーブル」に、それぞれ設定したエントリをVRF判定テーブル158に追加する。このようにして、VRF判定テーブル158に、図3に示す第1〜第3エントリが追加される。なお、VRF判定テーブル158のエントリは、後述するように、初期コンフィグレーションの後も追加され得る。
【0058】
図4は、図1に示す端末VRFフォワーディングテーブル156の初期状態を示す説明図である。端末VRFフォワーディングテーブル156は、認証成功前の端末から受信したパケットを転送する際に転送経路を検索するために用いられるテーブルである。端末VRFフォワーディングテーブル156では、「宛先IPアドレス」と「サブネットマスク長」と「出力インタフェース番号」と「ネクストホップ」とが対応付けられている。「宛先IPアドレス」及び「サブネットマスク長」とは、パケット転送装置100が受信したパケットのヘッダから得られる宛先IPアドレス及びサブネットマスク長を示す。「出力インタフェース番号」とは、受信したIPアドレスを転送(出力)するインタフェースを示す。「ネクストホップ」とは、パケットの具体的な送信先のMACアドレスを示す。なお、「ネクストホップ」フィールドに設定される値として、各装置のMACアドレスの他、「未定」が設定され得る。ネクストホップが「未定」とは、MACアドレスが解決されていないことを示す。
【0059】
図4の例では、第1エントリにおいて、宛先IPアドレス「10.0.0.10」,サブネットマスク長「24」,出力インタフェース番号「IF1」及びネクストホップ「未定」が設定されている。これは、宛先が「10.0.0.10/24」(つまり、ユーザネットワーク170内への)のパケットについては、第1インタフェース111に転送するが、具体的な宛先装置については「未定」であることを意味する。また、第2エントリにおいて、宛先IPアドレス「11.0.0.11」,サブネットマスク長「24」,出力インタフェース番号「IF2」及びネクストホップ「未定」が設定されている。これは、宛先が「11.0.0.11/24」(つまり、認証ネットワーク190内への)のパケットについては、第2インタフェース112に転送するが、具体的な宛先装置については「未定」であることを意味する。
【0060】
初期状態においては、これら2つのエントリ(第1,2エントリ)が端末VRFフォワーディングテーブル156に設定されている。これら2つのエントリは、ネットワークシステム10の初期コンフィグレーションの際に、経路制御部124により生成される。具体的には、経路制御部124は、図2に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、経路制御部124は、役割種別が「認証対象端末」及び「認証前」であるインタフェースについて、それぞれに設定されているIPアドレス,サブネットマスク及びインタフェース番号に基づき、「宛先IPアドレス」,「サブネットマスク長」及び「インタフェース番号」の各フィールドを記載し、ネクストホップを「未定」に記載したエントリを端末VRFフォワーディングテーブル156に追加する。このようにして、端末VRFフォワーディングテーブル156に、図4に示す第1,2エントリが追加される。なお、端末VRFフォワーディングテーブル156のエントリは、後述するように、初期コンフィグレーションの後も追加され得る。
【0061】
図5は、図1に示す認証後VRFフォワーディングテーブル154の初期状態を示す説明図である。認証後VRFフォワーディングテーブル154は、認証成功後の端末,認証サーバ191,検疫サーバ192及び業務サーバ181から受信したパケットを転送する際に、転送経路を検索するために用いられるテーブルである。認証後VRFフォワーディングテーブル154の各フィールドの意味は、端末VRFフォワーディングテーブル156(図4)の各フィールドの意味と同じであるので説明を省略する。また、図5における第1,2エントリは、前述の端末VRFフォワーディングテーブル156の第1,2エントリと同じであるので説明を省略する。
【0062】
図5の例では、第3エントリにおいて、宛先IPアドレス「12.0.0.12」,サブネットマスク長「24」,出力インタフェース番号「IF3」及びネクストホップ「未定」が設定されている。これは、宛先が「12.0.0.12/24」(つまり、業務ネットワーク180)のパケットについては、第3インタフェース113に転送するが、具体的な宛先装置については「未定」であることを意味する。
【0063】
初期状態においては、これら3つのエントリ(第1〜3エントリ)が認証後VRFフォワーディングテーブル154に設定されている。これら3つのエントリは、ネットワークシステム10の初期コンフィグレーションの際に、経路制御部124により生成される。具体的には、経路制御部124は、図2に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、経路制御部124は、いずれの役割種別が設定されているインタフェースについても、それぞれに設定されているIPアドレス,サブネットマスク及びインタフェース番号に基づき、「宛先IPアドレス」,「サブネットマスク長」及び「インタフェース番号」の各フィールドを記載し、ネクストホップを「未定」に記載したエントリを認証後VRFフォワーディングテーブル154に追加する。このようにして、認証後VRFフォワーディングテーブル154に、図5に示す第1〜3エントリが追加される。なお、認証後VRFフォワーディングテーブル154のエントリは、後述するように、初期コンフィグレーションの後も追加され得る。
【0064】
前述のユーザネットワーク170は、請求項における第1のネットワークに相当する。また、認証ネットワーク190は請求項における第2のネットワークに、業務ネットワーク180は請求項における第3のネットワークに、端末VRFフォワーディングテーブル156は請求項における第1の転送経路テーブルに、認証後VRFフォワーディングテーブル154は請求項における第2の転送経路テーブルに、VRF判定テーブル158は請求項における検索転送経路テーブル決定テーブルに、メモリ150は請求項における転送経路テーブル格納部に、VRF判定制御部128は請求項におけるテーブル更新部及び転送経路決定部に、経路制御部124は請求項における転送経路テーブル更新部に、それぞれ相当する。
【0065】
A2.認証成功前後における転送経路の変化の概要:
図6は、端末の認証成功前後における転送経路を模式的に示す説明図である。ネットワークシステム10では、上述した各テーブル154,156,158の初期状態の設定、及び後述のVRF判定テーブル158のエントリ追加処理やパケット転送処理を実行することにより、認証成功前の端末は認証ネットワーク190にのみアクセス可能とし、認証成功後の端末は業務ネットワーク180に加えて認証ネットワーク190にもアクセス可能となるように構成されている。まず、図6を用いて端末から送信されるパケットの転送経路の変化について概略を説明し、次に、パケット転送処理及びVRF判定テーブル158のエントリ追加処理の詳細について説明する。
【0066】
図6では、パケット転送装置100の各構成要素のうち、VRF判定テーブル158と、端末VRFフォワーディングテーブル156と、認証後VRFフォワーディングテーブル154とのみを表わし、他の構成要素は省略している。図6において、破線の矢印は認証成功前の第1端末11から送信されるパケットの転送経路を示している。また、実線の矢印は認証成功後の第1端末11から送信されるパケットの転送経路を、一点鎖線の矢印は認証成功前後における業務サーバ181から認証サーバ191及び検疫サーバ192へのパケットの転送経路を示す。
【0067】
認証成功前には、第1端末11からのパケットの転送経路は、VRF判定テーブル158に基づき、端末VRFフォワーディングテーブル156の中から検索され決定される。ここで、端末VRFフォワーディングテーブル156には、認証ネットワーク190内の装置への転送経路が記述されているため、破線の矢印に示すように、パケットは認証サーバ191及び検疫サーバ192へと転送される。なお、端末VRFフォワーディングテーブル156には業務ネットワーク180への転送経路は記述されていないため、認証成功前における第1端末11からのパケットは、業務ネットワーク180に転送されることはない。
【0068】
認証成功により、VRF判定テーブル158は更新され、第1端末11からのパケットの転送経路は、認証後VRFフォワーディングテーブル154の中から検索され決定される。ここで、認証後VRFフォワーディングテーブル154には、業務ネットワーク180及び認証ネットワーク190への転送経路が記述されているため、実線の矢印に示すように、認証成功後における第1端末11からのパケットは業務サーバ181や、認証サーバ191や、検疫サーバ192へと転送される。
【0069】
なお、業務ネットワーク180から認証ネットワーク190へのパケットの転送経路は、図示を省略しているがVRF判定テーブル158を参照し、第1端末11の成功の有無に関わらず、認証後VRFフォワーディングテーブル154の中から検索され決定される。
【0070】
A3.端末認証時の動作:
図7は、ネットワークシステム10において実行されるパケット転送処理の手順を示すフローチャートである。第1端末11がユーザネットワーク170に所属すると、第1端末11はパケット転送装置100に対し、認証サーバ191宛のパケット(例えば、ログイン名及びパスワードを含むパケット)を送信する。パケット転送装置100では、パケットを受信すると、パケット転送処理を開始する。なお、予めIPアドレスを割り当てずDHCP(Dynamic Host Configuration Protocol)によりIPアドレスを付与する構成においては、認証処理の一部としてDHCPによりIPアドレスが割り当てられた後、認証サーバ191に認証用のパケットを送信する場合にパケット転送処理を開始する。
【0071】
まず、VRF判定制御部128は、VRF判定テーブル158を参照して、到着したパケットの転送経路を検索するために使用するVRFフォワーディングテーブル(以下、「検索使用VRFフォワーディングテーブル」と呼ぶ)を決定する(ステップS105)。第1端末11の認証成功前におけるVRF判定テーブル158の設定内容は、図3に示す初期状態となっている。したがって、認証前の第1端末11からのパケットについては、インタフェース番号が「IF1」であり、判定種別が「MACアドレス」であり、MACアドレスが「その他」である第1エントリがヒットし、転送経路を検索するのに使用するVRFフォワーディングテーブルとして、端末VRFフォワーディングテーブル156が決定される。
【0072】
検索使用VRFフォワーディングテーブルが決定されると、パケット転送処理部126は、ステップS105で決定されたVRFフォワーディングテーブルを参照し、転送経路を検索し(ステップS110)、転送経路が見つかったか否かを判定する(ステップS115)。認証前の第1端末11からのパケットについては、検索使用VRFフォワーディングテーブルとして端末VRFフォワーディングテーブル156が決定されるので、パケット転送処理部126は、端末VRFフォワーディングテーブル156から転送経路を検索する。なお、このときの端末VRFフォワーディングテーブル156の設定内容は、図4に示す初期状態となっている。
【0073】
検索使用VRFフォワーディングテーブルにおける転送経路の検索は、いわゆるロンゲストマッチ検索と呼ばれる方法を用いて実行される。具体的には、検索使用VRFフォワーディングテーブルの各エントリのうち、宛先IPアドレスにおけるサブネットマスク長に示す上位ビットの値が、受信したパケットの宛先IPアドレスにおけるサブネットマスク長に示す上位ビットの値と一致するエントリを検索し、より多くのビットで一致したエントリを決定する。認証成功前の第1端末11から受信するパケットは、認証サーバ191(11.0.0.1/32)宛であるので、図4に示す第2エントリが見つかる。
【0074】
転送経路が見つかった場合(ステップS115:YES)、パケット転送処理部126は、見つかった転送経路におけるネクストホップが未定(未解決)であるか否かを判定し(ステップS120)、ネクストホップが未定の場合には、経路制御部124を制御して、ネクストホップを解決する(ステップS125)。図4に示す第2エントリでは、ネクストホップは「未定」であるので、パケット転送処理部126は、ネクストホップを解決する。ネクストホップの解決方法としては、経路制御部124がARP(Address Resolution Protocol)を実行して解決する方法を採用することができる。
【0075】
ステップS125の結果、認証サーバ191へのネクストホップが解決すると、経路制御部124は、ステップS105で決定されたVRFフォワーディングテーブルに解決したネクストホップの値を記述する新たなエントリを追加する(ステップS130)。
【0076】
図8は、第1端末11について認証成功後の端末VRFフォワーディングテーブル156を示す説明図である。図8では、第1端末11について認証及び検疫がいずれも成功した後の端末VRFフォワーディングテーブル156を示す。前述のように、第1端末11の認証成功前において実行されるパケット転送処理のステップS130の後には、図8に示す第3エントリ(認証サーバ191への具体的な転送経路)が追加される。なお、この時点では、第4エントリは追加されていない。図8の第3エントリに示すように、第1端末11の認証動作において追加される新たなエントリでは、宛先IPアドレスとして「11.0.0.1」(認証サーバ191のIPアドレス)が、サブネットマスク長として「32」が、出力インタフェース番号として「IF2」が、ネクストホップとして「認証サーバ(のMACアドレス)」が、それぞれ記述される。
【0077】
ステップS130において、VRFフォワーディングテーブルに新たなエントリ(転送経路)が追加されると、パケット転送処理部126は受信したパケットを、VRFフォワーディングテーブルに従って転送する(ステップS135)。こうして認証サーバ191宛のパケットは、図8に示す第3エントリに記述された転送経路に従い、認証サーバ191へと転送される。
【0078】
前述のステップS115において、転送経路が見つからない場合には、パケット転送処理部126は、受信したパケットを廃棄する(ステップS140)。また、前述のステップS120においてネクストホップが解決済みであった場合には、ステップS125,130を省略して、ステップS135を実行する。
【0079】
このようにして、認証用パケットが認証サーバ191に届くと、認証サーバ191において認証処理が実行され、認証サーバ191から第1端末11へと認証用のパケットが送信される。この場合も、上述したパケット転送処理に従いパケットが転送される。ステップS105では、図3のVRF判定テーブル158の第2エントリに従い、検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブル154が決定される。ステップS110では、第1端末11への転送経路として、図5に示す認証後VRFフォワーディングテーブル154の第1エントリが見つかるが、ネクストホップが未定であるので、ステップS125において第1端末11へのネクストホップが解決される。その後、認証が成功し、第1端末11から検疫サーバ192に検疫用のパケットが送信されると、図8に示す第4エントリが端末VRFフォワーディングテーブル156に追加される。
【0080】
図9は、第1端末11について認証成功後の認証後VRFフォワーディングテーブル154を示す説明図である。図9では、第1端末11について認証及び検疫がいずれも成功し、かつ、その後に第1端末11が業務サーバ181にアクセスした後の認証後VRFフォワーディングテーブル154を示す。前述のように、第1端末11へのネクストホップが解決された場合、ステップS130において、認証後VRFフォワーディングテーブル154に第4エントリが追加される。そして、ステップS135において、認証用のパケットが第1端末11へと転送される。なお、認証及び検疫が成功してから業務サーバ181にアクセスする前には、第5エントリは追加されていない。
【0081】
認証サーバ191による認証が成功すると、次に検疫サーバ192により検疫が実行される。検疫の手順については、上述した認証サーバ191による認証の手順と同じであるので、説明は省略する。認証及び検疫が成功した後において、端末VRFフォワーディングテーブル156には、図8に示すように、第1〜第4エントリが記述される。なお、認証サーバ191は、認証及び検疫が成功した場合に、認証(認証及び検疫)が成功した旨を認証処理部122に通知し、認証処理部122は認証成功の旨をVRF判定制御部128に通知する。
【0082】
図10は、端末の認証成功後に実行されるVRF判定テーブルのエントリ追加処理の手順を示すフローチャートである。端末の認証成功の後、VRF判定制御部128は、VRF判定テーブル158のエントリ追加処理を実行する。
【0083】
具体的には、VRF判定制御部128は、ユーザネットワーク170に所属した端末について認証(認証及び検疫)が成功するまで待機する(ステップS205)。認証成功の旨を認証処理部122から通知されると、VRF判定制御部128は、認証成功した端末について、認証後VRFフォワーディングテーブル154と対応付けるエントリを、VRF判定テーブル158に追加する(ステップS210)。
【0084】
図11は、第1端末11の認証成功後に第1端末11についてのエントリが追加された後のVRF判定テーブル158を示す説明図である。前述のように第1端末11の認証が成功した場合に、VRF判定制御部128は、図11に示す第4エントリを追加する。この第4エントリは、MACアドレスフィールド及びVRFフォワーディングテーブル種別フィールドの値が異なる点において第1エントリと異なり、他のフィールドの値は第1エントリと同じである。すなわち、第4エントリでは、MACアドレスフィールドに第1端末11のMACアドレスである「mac1」が設定され、VRFフォワーディングテーブル種別フィールドに認証後VRFフォワーディングテーブル154が設定されている。このように第1端末11の認証成功の後にVRF判定テーブル158に第4エントリが追加されることにより、第1端末11は、業務ネットワーク180内の業務サーバ181にアクセスできるようになる。
【0085】
A4.端末認証成功後のパケット転送処理:
認証成功後に、第1端末11から業務サーバ181にパケットを送信する場合の動作について説明する。この場合も、第1端末11からパケットを受信すると、パケット転送装置100において図7に示すパケット転送処理が実行される。ステップS105では、第1端末11(MACアドレス=mac1)からのパケットを受信するため、図11に示すVRF判定テーブル158の第4エントリに基づき、検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブル154が決定される。このケースにおいて、ステップS110を実行するでは、図9に示す認証後VRFフォワーディングテーブル154に第5エントリがない状態であるので、第3エントリが見つかる。第3エントリではネクストホップが未定であるので、ステップS125によりネクストホップが解決され、ステップS130により、認証後VRFフォワーディングテーブル154にネクストホップを「業務サーバ」とするエントリ(第5エントリ)が追加される。したがって、ステップS135では、端末VRFフォワーディングテーブル154の第5エントリに従い、第1端末11からのパケットが業務サーバ181に転送される。
【0086】
また、認証成功後の第1端末11は、認証成功前と同様に、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にアクセスできる。具体的には、第1端末11から認証サーバ191にパケットを送信する場合について説明する。この場合も、第1端末11からパケットを受信すると、パケット転送装置100において図7に示すパケット転送処理が実行される。ステップS105では、上述した業務サーバ181にアクセスする場合と同様に、検索使用VRFフォワーディングテーブルとして、認証後VRFフォワーディングテーブル154が決定される。ステップS110では、図9に示す認証後VRFフォワーディングテーブル154において、認証サーバ191への転送経路がない状態であるので、第2エントリが見つかる。第2エントリではネクストホップが未定であるので、ステップS125によりネクストホップが解決され、ステップS130により、認証後VRFフォワーディングテーブル154にネクストホップを「認証サーバ」とするエントリ(図示省略)が追加される。したがって、ステップS135では、この新たに追加されたエントリに従い、第1端末11からのパケットが認証サーバ191に転送される。
【0087】
このように、ユーザネットワーク170に所属する端末については、認証成功の前後のいずれにおいても、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にアクセスすることができる。したがって、例えば、ひとたび認証成功した端末についても、定期的に、或いは随時に認証や検疫を実行させることができるので、ネットワークシステム10におけるセキュリティを向上させることができる。
【0088】
なお、業務サーバ181から認証ネットワーク190(認証サーバ191及び検疫サーバ192)には、端末の認証成功の有無に関わらずアクセスすることができる。これは以下の理由による。図3,11に示すように、業務サーバ181からのパケットの転送経路検索に使用するVRFフォワーディングテーブルは、VRF判定テーブル158において認証後VRFフォワーディングテーブル154(第3エントリ)となるように設定されている。また、認証後VRFフォワーディングテーブル154には、図5,9に示すように、宛先IPアドレスとして、認証ネットワーク190が接続されている第2インタフェース112(IF2)のIPアドレスが設定されたエントリ(第2エントリ)が記述されている。したがって、ネクストホップを解決することにより、認証ネットワーク190内の装置(認証サーバ191及び検疫サーバ192)への転送経路を記述したエントリを追加することができるからである。
【0089】
A5.VRF判定テーブルのエントリ削除処理:
図12は、パケット転送装置100において実行されるVRF判定テーブル158のエントリ削除処理の手順を示す説明図である。端末の認証成功の後、VRF判定制御部128は、VRF判定テーブル158のエントリ削除処理を開始する。まず、VRF判定制御部128は、端末の認証解除を検出するまで待機する(ステップS305)。
【0090】
端末の認証が解除されるのは、例えば、ユーザが端末からログオフした場合や、認証成功後に定期的に実行される認証や検疫で失敗と判定されたケースなどである。これらの場合、認証処理部122は、認証失敗(認証解除)した端末のMACアドレスと、認証解除の旨をVRF判定制御部128に通知する。
【0091】
VRF判定制御部128は、端末の認証解除を検出すると、通知されたMACアドレスの端末についてのエントリをVRF判定テーブル158から削除する(ステップS310)。例えば、第1端末11の認証が解除された場合には、VRF判定制御部128は、図11に示すVRF判定テーブル158の第4エントリを削除する。その結果、VRF判定テーブル158は、図3に示す初期状態に戻る。
【0092】
したがって、その後、第1端末11がユーザネットワーク170に所属した場合には、VRF判定テーブル158(第1エントリ)に基づき、検索使用VRFフォワーディングテーブルとして、端末VRFフォワーディングテーブル156が決定されることとなる。それゆえ、第1端末11は、再度認証成功と判定されるまで、業務ネットワーク180(業務サーバ181)にはアクセスすることができない。なお、「ひとたび端末が認証された場合には、端末のログオフの後においても認証成功の状態を維持する」といったポリシーを採用するのであれば、上述したVRF判定テーブルのエントリ削除処理は省略することができる。
【0093】
以上説明したように、第1の実施例のネットワークシステム10では、認証成功前に、第1端末11からのパケットの検索使用VRFフォワーディングテーブルとして、端末VRFフォワーディングテーブル156を決定するようなエントリをVRF判定テーブル158に設定している。また、端末VRFフォワーディングテーブル156には、宛先IPアドレスフィールドに第1,2インタフェース111,112のIPアドレスを設定したエントリ(第1,2エントリ)が記述されている。したがって、認証成功前の端末は、ネクストホップを解決して、ユーザネットワーク170及び認証ネットワーク190(認証サーバ191及び検疫サーバ192)にアクセスすることができるが、業務ネットワーク180(業務サーバ181)にアクセスすることはできない。したがって、認証前の端末による業務サーバ181へのアクセスを抑制できる。
【0094】
また、認証成功後に、第1端末11からのパケットの検索使用VRFフォワーディングテーブルとして、認証後VRFフォワーディングテーブル154を決定するようなエントリをVRF判定テーブル158に追加するようにしている。加えて、認証後VRFフォワーディングテーブル154には、宛先IPアドレスフィールドに第2,3インタフェース112,113のIPアドレスが設定されたエントリ(第2,3エントリ)が記述されている。したがって、認証成功後の端末は、ネクストホップを解決して、業務ネットワーク180(業務サーバ181)にアクセスできることに加えて、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にもアクセスすることができる。したがって、例えば、認証成功後の端末についても、定期的に或いは随時に、認証サーバ191や検疫サーバ192による認証や検疫を実行することができる。
【0095】
また、ネットワークシステム10では、第1端末11に割り当てられたIPアドレスは1つであるので、第1端末11に対して、認証前後で異なるIPアドレスを割り当てる構成に比べて、IPアドレスの利用効率を向上させることができる。
【0096】
また、認証解除された場合には、VRF判定テーブル158において認証成功時に追加されたエントリを削除するだけで、認証解除された端末による業務ネットワーク180へのアクセスを抑制できる。したがって、簡易な構成により、認証結果に応じたアクセス制限を実現でき、ネットワークシステム10の構築コスト及び運用コストを抑制できる。
【0097】
B.第2の実施例:
B1.システム構成:
図13は、第2の実施例のネットワークシステム10aの構成を示す説明図である。第2の実施例のネットワークシステム10aは、以下の5点において第1の実施例のネットワークシステム10と異なり、他の構成は第1の実施例と同じである。すなわち、パケット転送装置100aが、第1〜3のインタフェース111〜113に加えて第4インタフェース114を備えている点と、認証後VRFフォワーディングテーブル154に代えて、認証VRFフォワーディングテーブル154aと第1業務VRFフォワーディングテーブル154bと第2業務VRFフォワーディングテーブル154cとを備えている点と、業務ネットワーク180に代えて、2つの業務ネットワーク(第1業務ネットワーク180a及び第2業務ネットワーク180b)を備えている点と、第1端末11に加えて第2端末12がユーザネットワーク170に所属し得る点と、認証サーバ191がアクセス許可テーブル193を備えている点とが、第1の実施例のネットワークシステム10との相違点である。
【0098】
第4インタフェース114は、第2業務ネットワーク180bを接続するインタフェースである。なお、第3インタフェース113に接続されたネットワークを第1業務ネットワーク180aと呼ぶ。これら2つの業務ネットワーク180a,180bは、いずれも、第1の実施例の業務ネットワーク180と同じ役割を有する。第1業務ネットワーク180aには、第1業務サーバ181aが所属しており、第2業務ネットワーク180bには、第2業務サーバ181bが所属している。
【0099】
第1の実施例と同様に、各端末やサーバやパケット転送装置100aの各インタフェースには、予めIPアドレスが割り当てられている。具体的には、第4インタフェース114には13.0.0.13/24が割り当てられている。また、第1業務サーバ181aには12.0.0.1/32が、第2業務サーバ181bには13.0.0.1/32が、第2端末12には10.0.0.2/32が、それぞれ割り当てられている。なお、第2端末12には、MACアドレスとして「mac2」が設定されている。
【0100】
認証VRFフォワーディングテーブル154aは、認証ネットワーク190に属する装置(認証サーバ191及び検疫サーバ192)から受信したパケットの転送経路を検索するために用いられるテーブルである。第1業務VRFフォワーディングテーブル154bは、第1業務ネットワーク180aに属する装置(第1業務サーバ181a)及び認証成功後の2つの端末11,12から受信したパケットの転送経路を検索するために用いられるテーブルである。第2業務VRFフォワーディングテーブル154cは、第2業務ネットワーク180bに属する装置(第2業務サーバ181b)及び認証成功後の第2端末12から受信したパケットの転送経路を検索するために用いられるテーブルである。
【0101】
図13に示すように、認証サーバ191が備えるアクセス許可テーブル193には、ユーザネットワーク170に所属し得る端末と、アクセスを許可するネットワークとが対応付けられている。具体的には、第1端末11には第1業務ネットワーク180aが対応付けられ、第2端末12には、第1業務ネットワーク180a及び第2業務ネットワーク180bが対応付けられている。このアクセス許可テーブル193は、ネットワークシステム10の初期コンフィグレーションの際に、ネットワーク管理者により設定される。
【0102】
図14は、第2の実施例のインタフェース役割種別テーブル152を示す説明図である。第2の実施例におけるインタフェース役割種別テーブル152は、第2エントリにおいて、役割種別「認証前」が設定されている点と、第3エントリにおいて役割種別「第1業務」が設定されている点と、第4エントリとして、インタフェース番号「IF4」及び役割種別「第2業務」が設定されている点とにおいて、図2に示す第1の実施例のインタフェース役割種別テーブル152と異なり、他の構成は、第1の実施例と同じである。
【0103】
図15は、第2の実施例におけるVRF判定テーブル158の初期状態を示す説明図である。第2の実施例における初期状態のVRF判定テーブル158は、第2エントリにおいて、VRFフォワーディングテーブル種別として「認証VRFフォワーディングテーブル」が設定されている点と、第3エントリにおいて、VRFフォワーディングテーブル種別として「第1業務VRFフォワーディングテーブル」が設定されている点と、第4エントリとして、インタフェース番号「IF4」,判定種別「インタフェース」,MACアドレス「−」及びVRFフォワーディングテーブル「第2業務VRFフォワーディングテーブル」が、それぞれ設定されている点において、図3に示す第1の実施例のVRF判定テーブル158と異なり、他の構成は第1の実施例と同じである。
【0104】
VRF判定テーブル158の初期状態における各エントリは、第1の実施例と同様に、インタフェース役割種別テーブル152に基づき作成される。具体的には、役割種別「認証前」のインタフェース(第2インタフェース112)に対しては、VRFフォワーディングテーブル種別として「認証VRFフォワーディングテーブル」が生成される。また、役割種別「第1業務」のインタフェースにはVRFフォワーディングテーブル種別「第1業務VRFフォワーディングテーブル」が、役割種別「第2業務」のインタフェースにはVRFフォワーディングテーブル種別「第2業務VRFフォワーディングテーブル」が、それぞれ設定される。
【0105】
第2の実施例における初期状態の端末VRFフォワーディングテーブル156は、図4に示す第1の実施例の端末VRFフォワーディングテーブル156と同じであるので、説明を省略する。
【0106】
図16は、第2の実施例における認証VRFフォワーディングテーブル154aの初期状態を示す説明図である。認証VRFフォワーディングテーブル154aの各フィールドは、他のVRFフォワーディングテーブルの各フィールドと同じである。初期状態の認証VRFフォワーディングテーブル154aは、第4エントリとして、宛先IPアドレス「13.0.0.13」,サブネットマスク長「24」,出力インタフェース番号「IF4」及びネクストホップ「未定」が設定されている点を除き、図5に示す第1の実施例における初期状態の認証後VRFフォワーディングテーブル154と同じである。この第4エントリは、第1〜3エントリと同様に、ネットワークシステム10aの初期コンフィグレーションの際に、経路制御部124により生成される。
【0107】
図17は、第2の実施例における第1業務VRFフォワーディングテーブル154bの初期状態を示す説明図である。初期状態の第1業務VRFフォワーディングテーブル154bは、図5に示す第1の実施例における初期状態の認証後VRFフォワーディングテーブル154と同じである。すなわち、宛先IPアドレスとして、ユーザネットワーク170に接続されたインタフェース(第1インタフェース111)のIPアドレスと、認証ネットワーク190に接続されたインタフェース(第2インタフェース112)のIPアドレスと、第1業務ネットワーク180aに接続されたインタフェース(第3インタフェース113)のIPアドレスとが記述されたエントリのみが、初期状態において設定されている。
【0108】
これらの初期状態における各エントリは、ネットワークシステム10aの初期コンフィグレーションの際に、経路制御部124により生成される。具体的には、インタフェース役割種別テーブル152における役割種別が「認証対象端末」,「認証前」及び「第1業務」であるインタフェースについて、各インタフェースに設定されているIPアドレス,サブネットマスク,インタフェース番号に基づき、宛先IPアドレスフィールド,サブネットマスク長フィールド,出力インタフェース番号フィールドの各値が設定され、ネクストホップフィールドを「未定」に設定されたエントリが生成される。
【0109】
図18は、第2の実施例における第2業務VRFフォワーディングテーブル154cの初期状態を示す説明図である。初期状態の第2業務VRFフォワーディングテーブル154cは、第3エントリとして、宛先IPアドレス「13.0.0.13」,サブネットマスク長「24」,出力インタフェース番号「IF4」及びネクストホップ「未定」が設定されている点において、図17に示す初期状態の第1業務VRFフォワーディングテーブル154bと異なり、他の構成は第1業務VRFフォワーディングテーブル154bと同じである。これらの初期状態における各エントリは、第1業務VRFフォワーディングテーブル154bと同様にして、ネットワークシステム10aの初期コンフィグレーションの際に、経路制御部124により生成される。
【0110】
本実施例では、第1業務ネットワーク180a及び第2業務ネットワーク180bは、請求項における第3のネットワークに相当する。また、認証VRFフォワーディングテーブル154aは請求項における第3の転送経路テーブルに、また、第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cは請求項における第2の転送経路テーブルに、それぞれ相当する。
【0111】
B2.認証成功前後における転送経路の変化の概要:
図19は、第2の実施例における第1端末11の認証成功前後の転送経路を模式的に示す説明図である。図20は、第2の実施例における第2端末12の認証成功前後の転送経路を模式的に示す説明図である。
【0112】
第2の実施例のネットワークシステム10aでは、上述した各テーブルの初期状態の設定、及び後述のVRF判定テーブル158のエントリ追加処理やパケット転送処理を実行することにより、認証成功前の端末はいずれも認証ネットワーク190にのみアクセス可能とすると共に、各端末11,12ごとに、認証成功後にアクセス可能なネットワーク(サーバ)を設定可能に構成されている。
【0113】
図19に示すように、認証成功前において、第1端末11からのパケットは、端末VRFフォワーディングテーブル156を検索して得られた転送経路を転送され、認証サーバ191及び検疫サーバ192に転送される。認証成功後において、第1端末11からのパケットは、第1業務VRFフォワーディングテーブル154bを検索して得られた転送経路を転送され、第1業務サーバ181aに転送される。また、認証成功後において、第1端末11からのパケットは、第1業務VRFフォワーディングテーブル154bを検索して得られた転送経路を転送され、認証サーバ191及び検疫サーバ192に転送される。なお、認証成功後において、第1端末11からのパケットは、第2業務サーバ181bに転送されないように構成されている。
【0114】
図20に示すように、認証成功前において、第2端末12からのパケットは、端末VRFフォワーディングテーブル156を検索して得られた転送経路を転送され、認証サーバ191及び検疫サーバ192に転送される。認証成功後において、第2端末12からのパケットは、第1業務VRFフォワーディングテーブル154bを検索して得られた転送経路を転送され、第1業務サーバ181aに転送される。また、認証成功後において、第2端末12からのパケットは、第2業務VRFフォワーディングテーブル154cを検索して得られた転送経路を転送され、第2業務サーバ181bに転送される。また、認証成功後において、第2端末12からのパケットは、第1業務VRFフォワーディングテーブル154bを検索して得られた転送経路を転送され、認証サーバ191及び検疫サーバ192に転送される。
【0115】
B3.端末認証時の動作:
図21は、第2の実施例におけるパケット転送処理の手順を示すフローチャートである。第2の実施例のパケット転送処理は、ステップS110に代えて、ステップS110aを実行する点において、第1の実施例のパケット転送処理(図7)と異なり、他の手順は第1の実施例と同じである。第2の実施例では、VRF判定テーブル158のVRFフォワーディング種別として複数のVRFフォワーディングテーブルを設定することを許容している。したがって、ステップS105において、到着したパケットの検索使用VRFフォワーディングテーブルとして複数のVRFフォワーディングテーブルが決定され得る。そこで、ステップS110aでは、転送経路を検索する際に、これら複数のVRFフォワーディングテーブルを順次参照するものとしている。
【0116】
なお、後述するように、端末認証時には、ステップS105において、検索使用VRFフォワーディングテーブルとして端末VRFフォワーディングテーブル156のみが決定されるので、端末認証時における動作(ステップS110aの実行結果)は第1の実施例と同じである。
【0117】
ここで、第2の実施例では、認証成功の際に、認証サーバ191から認証処理部122に通知される情報において、第1の実施例と異なる。具体的には、認証サーバ191は、認証及び検疫が成功した場合に、認証(認証及び検疫)が成功した旨に加えて、認証が成功した端末に対してアクセスが許可されているネットワークについての情報を認証処理部122に通知する。具体的には、認証サーバ191は、第1端末11の認証が成功した場合に、図13に示すアクセス許可テーブル193を参照し、アクセスが許可されたネットワークとして「第1業務ネットワーク」を認証成功の旨と共に認証処理部122に通知する。また、認証サーバ191は、第2端末12の認証が成功した場合に、アクセス許可テーブル193を参照し、アクセスが許可されたネットワークとして「第1業務ネットワーク及び第2業務ネットワーク」を認証成功の旨と共に認証処理部122に通知する。認証処理部122は、認証成功の旨と、アクセスが許可されたネットワークの情報を、VRF判定制御部128に通知する。
【0118】
図22は、第2の実施例におけるVRF判定テーブルのエントリ追加処理の手順を示すフローチャートである。第2の実施例のVRF判定テーブルのエントリ追加処理は、ステップS210に代えて、ステップS210aを実行する点において、図10に示す第1の実施例のVRF判定テーブルのエントリ追加処理と異なり、他の手順は第1の実施例と同じである。ステップS205を実行した後、VRF判定制御部128は、認証成功した端末について、アクセス許可されたネットワークからのパケットの検索使用VRFフォワーディングテーブルと対応付けるエントリを、VRF判定テーブル158に追加する(ステップS210a)。
【0119】
図23は、第1端末11及び第2端末12の認証成功後に、これら2つの端末11,12についてのエントリが追加された後のVRF判定テーブル158を示す説明図である。第1端末11にアクセス許可されたネットワークは、第1業務ネットワーク180aである。第1業務ネットワーク180aからのパケットの検索使用VRFフォワーディングテーブルは、第1業務VRFフォワーディングテーブル154bである(VRF判定テーブル158の第3エントリ参照)。したがって、第1端末11が認証成功した場合に、VRF判定制御部128は、インタフェース番号「IF1」,判定種別「MACアドレス」,MACアドレス「mac1」及びVRFフォワーディングテーブル種別「第1業務VRFフォワーディングテーブル」が設定されたエントリ(第5エントリ)をVRF判定テーブル158に追加する。
【0120】
また、第2端末12にアクセス許可されたネットワークは、第1業務ネットワーク180a及び2業務ネットワーク180bである。第1業務ネットワーク180aからのパケットの検索使用VRFフォワーディングテーブルは、第1業務VRFフォワーディングテーブル154bである(VRF判定テーブル158の第3エントリ参照)。第2業務ネットワーク180bからのパケットの検索使用VRFフォワーディングテーブルは、第2業務VRFフォワーディングテーブル154cである(VRF判定テーブル158の第4エントリ参照)。したがって、第2端末12が認証成功した場合に、VRF判定制御部128は、インタフェース番号「IF1」,判定種別「MACアドレス」,MACアドレス「mac2」及びVRFフォワーディングテーブル種別「第1業務VRFフォワーディングテーブル,第2業務VRFフォワーディングテーブル」が設定されたエントリ(第6エントリ)をVRF判定テーブル158に追加する。
【0121】
図24は、第1端末11及び第2端末12の認証成功後の認証VRFフォワーディングテーブル154aを示す説明図である。2つの端末11,12の認証動作において、認証サーバ191及び検疫サーバ192は、これら2つの端末11,12にパケットを送信する。この際に、各端末11,12へのネクストホップが解決され、第5,6エントリが追加される。
【0122】
B4.端末認証成功後のパケット転送処理:
認証成功後に、第1端末11から業務サーバ181にパケットを送信する場合のパケット転送処理について説明する。図21に示すステップS105では、図23に示すVRF判定テーブル158の第5エントリに基づき、検索使用VRFフォワーディングテーブルとして、第1業務VRFフォワーディングテーブル154bが決定される。
【0123】
図25は、第1端末11及び第2端末12の認証成功後の第1業務VRFフォワーディングテーブル154bを示す説明図である。図25では、第1端末11及び第2端末12について認証及び検疫がいずれも成功し、かつ、その後に第1端末11及び第2端末12が第1業務サーバ181aにアクセスした後の第1業務VRFフォワーディングテーブル154bを示す。第2端末12が第1業務サーバ181aにアクセスしておらず、第1端末11のみが第1業務サーバ181aにアクセスした後には、図17に示す初期状態から第4,5エントリが追加される。その後、第2端末12が第1業務サーバ181aにアクセスした場合に、第6エントリが追加される。
【0124】
図25に示すように、第1業務VRFフォワーディングテーブル154bの第3エントリには、宛先IPアドレスとして第3インタフェース113が設定されている。したがって、ステップS110aではこのエントリが発見され、さらに、第1業務サーバ181aへのネクストホップが解決され(ステップS125)、第5エントリが追加される(ステップS130)。したがって、この第1業務VRFフォワーディングテーブル154bの第5エントリに基づき、第1端末11から第1業務サーバ181aへとパケットが転送される(ステップS135)。なお、その後、第1業務サーバ181aから第1端末11へのパケットを転送する際に、第4エントリが追加される。
【0125】
ここで、図25に示す第1業務VRFフォワーディングテーブル154bには、宛先IPアドレスとして、第3インタフェース113に加えて、第2インタフェース112が設定されたエントリ(第2エントリ)が記述されている。したがって、認証成功後において、第1端末11は、第1業務ネットワーク180a(第1業務サーバ181a)に加えて、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にもアクセスすることができる。一方、第1業務VRFフォワーディングテーブル154bには、宛先IPアドレスとして、第4インタフェース114が設定されたエントリは記述されていない。したがって、認証成功後において、第1端末11は、第2業務ネットワーク180b(第2業務サーバ181b)にアクセスすることはできない。
【0126】
認証成功後に、第2端末12から第1業務サーバ181aにアクセスする場合のパケット転送処理について説明する。なお、前提として、上述した第1端末11から第1業務サーバ181aへのアクセスが既に実行されており、第1業務サーバ181aへのネクストホップが解決され、第1業務VRFフォワーディングテーブル154bに第5エントリが記述されているものとする。
【0127】
ステップS105では、図23に示すVRF判定テーブル158の第6エントリに基づき、検索使用VRFフォワーディングテーブルとして、第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cが決定される。ステップS110aでは、これら2つのVRFフォワーディングテーブル154a,154bが、この順序で参照され転送経路が検索される。このとき、第1業務VRFフォワーディングテーブル154b(図25)には、ネクストホップを第1業務サーバ181aとするエントリ(第5エントリ)が記述されているので、第2業務VRFフォワーディングテーブル154cを参照することなく、第1業務サーバ181aへの転送経路が見つかる。したがって、この第1業務VRFフォワーディングテーブル154bの第5エントリに基づき、第2端末12から第1業務サーバ181aへとパケットが転送される。
【0128】
次に、認証成功後に、第2端末12から第2業務サーバ181bにアクセスする場合のパケット転送処理について説明する。
【0129】
ステップS105では、上述した第1業務サーバ181aにアクセスする場合と同様に、検索使用VRFフォワーディングテーブルとして、第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cが決定される。ステップS110aでは、これら2つのVRFフォワーディングテーブル154a,154bが、この順序で参照され転送経路が検索される。
【0130】
図26は、第1端末11及び第2端末12の認証成功後の第2業務VRFフォワーディングテーブル154cを示す説明図である。図26では、第1端末11及び第2端末12について認証及び検疫がいずれも成功し、かつ、その後に第2端末12が第2業務サーバ181bにアクセスした後の第2業務VRFフォワーディングテーブル154cを示す。なお、第2端末12が最初に第2業務サーバ181bにアクセスする際には、第4,5エントリは記述されていない。
【0131】
図18,26に示すように、第2業務VRFフォワーディングテーブル154cには、宛先IPアドレスとして第4インタフェース114が設定されたエントリ(第3エントリ)が記述されている。一方、図17,25に示す第1業務VRFフォワーディングテーブル154bには、第4インタフェース114が設定されたエントリは記述されていない。したがって、ステップS110aでは、第1業務VRFフォワーディングテーブル154b,第2業務VRFフォワーディングテーブル154cの順序で参照され、第2業務VRFフォワーディングテーブル154cにおいて第3エントリが発見される。そして、第2業務サーバ181bへのネクストホップが解決され(ステップS125)、第2業務VRFフォワーディングテーブル154cに第5エントリが追加される。したがって、この第5エントリに基づき、第2端末12から第2業務サーバ181bへとパケットが転送される(ステップS135)。
【0132】
上述したように、図25に示す第1業務VRFフォワーディングテーブル154bには、宛先IPアドレスとして、第2インタフェース112が設定されたエントリ(第2エントリ)が記述されている。したがって、認証成功後において、第2端末12は、第1端末11と同様に、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にもアクセスすることができる。
【0133】
以上説明した第2の実施例のネットワークシステム10aは、第1の実施例のネットワークシステム10と同じ効果を有する。加えて、第1業務VRFフォワーディングテーブル154bでは、宛先IPアドレスとして第3インタフェース113を設定したエントリを記述し、第4インタフェース114を設定したエントリを記述せず、また、第2業務VRFフォワーディングテーブル154cでは、宛先IPアドレスとして第4インタフェース114を設定したエントリを記述し、第3インタフェース113を設定したエントリを記述しない構成を採用している。そして、VRF判定テーブル158において、第1端末11からのパケットの検索使用VRFフォワーディングテーブルとして第1業務VRFフォワーディングテーブル154bを設定したエントリを記述し、第2端末12からのパケットの検索使用VRFフォワーディングテーブルとして第1,2VRFフォワーディングテーブル154cを設定したエントリを記述する構成を採用している。このような構成により、第1端末11は第1業務ネットワーク180a(第1業務サーバ181a)にアクセスできるが、第2業務ネットワーク180b(第2業務サーバ181b)にはアクセスできないようにすることができる。また、第2端末12は、第1業務ネットワーク180a(第1業務サーバ181a)及び第2業務ネットワーク180b(第2業務サーバ181b)のいずれにもアクセスできるようにすることができる。
【0134】
加えて、第1業務VRFフォワーディングテーブル154bには、宛先IPアドレスとして第2インタフェース112を設定したエントリを記述しているので、認証成功後において、第1端末11及び第2端末12は、いずれも認証ネットワーク190(認証サーバ191及び検疫サーバ192)にアクセスすることができる。
【0135】
C.第3の実施例:
図27は、第3の実施例のネットワークシステムの構成を示す説明図である。第3の実施例のネットワークシステム10bは、ルータ172を備えている点と、アクセスネットワーク200を備えている点とにおいて第1の実施例と異なり、他の構成は第1の実施例と同じである。
【0136】
ルータ172は、レイヤ2スイッチ171とパケット転送装置100の第1インタフェース111とに接続されており、ユーザネットワーク170と、アクセスネットワーク200とをレイヤ3において接続する。アクセスネットワーク200は、ルータ172と第1インタフェース111との間に設けられたレイヤ3のネットワーク(VLAN)である。第1端末11には、予めIPアドレス「20.0.0.1/32」が割り当てられている。
【0137】
このように、第1端末11と第1インタフェース111とが、ルータ172を介して接続された場合、ルータ172から第1インタフェース111に届くパケット(レイヤ2フレーム)の送信元アドレス(MACアドレス)は、ルータ172のポートに割り当てられているMACアドレスとなる。したがって、パケット転送処理のステップS105において、送信元MACアドレスに基づき正しいパケットの送信元を判断することができない。そこで、第3の実施例では、送信元IPアドレスに基づきパケットの送信元を判断するように構成されている。
【0138】
図28は、第3の実施例のVRF判定テーブル158を示す説明図である。図28では、第1端末11について認証及び検疫がいずれも成功した後のVRF判定テーブル158を示す。第3の実施例のVRF判定テーブル158は、MACアドレスフィールドに代えて、IPアドレスフィールドが設けられている点において、第1の実施例のVRF判定テーブルと異なり、他の構成は第1の実施例と同じである。
【0139】
図28において第4エントリは、第1端末11について認証成功後に追加されたエントリである。この第4エントリでは、インタフェース番号「IF1」,判定種別「IPアドレス」,IPアドレス「20.0.0.1/32」及びVRFフォワーディングテーブル種別「認証後VRFフォワーディングテーブル」が設定されている。したがって、認証成功後に、第1端末11からパケットを受信した際には、パケットの送信元IPアドレスが「20.0.0.1/32」であるので、第4エントリに基づき、検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブルが決定される。
【0140】
以上説明した第3の実施例のネットワークシステム10bも、第1の実施例のネットワークシステム10と同様な効果を有する。加えて、VRF判定テーブル158において、第1端末11から送信されるパケットの検索使用VRFフォワーディングテーブルを決定するためのエントリにおいて、判定種別を「IPアドレス」とし、IPアドレスを「20.0.0.1/32」と設定するので、パケット転送装置100に到着したパケットの送信元をIPアドレスにより判断することができる。したがって、第1端末11が所属するネットワーク(VLAN)と、第1インタフェース111が所属するネットワーク(VLAN)が異なる場合においても、パケットの送信元を正確に判定することができる。
【0141】
D.第4の実施例:
第4の実施例のネットワークシステムは、初期状態における第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cにおいて、宛先IPアドレスとして第1インタフェース111(ユーザネットワーク170)が設定されたエントリがない点と、VRF判定テーブル158のエントリ追加に加えて、VRFフォワーディングテーブルのエントリ追加の処理を実行する点において、第2の実施例のネットワークシステム10aと異なり、他の構成は第2の実施例と同じである。
【0142】
第4の実施例のネットワークシステムでは、第1業務サーバ181a及び第2業務サーバ181bからアクセス可能な端末を、第1端末11ないし第2端末12に限定し、ユーザネットワーク170に所属する他の端末(図示省略)へのアクセスを抑制するように構成されている。
【0143】
図29は、第4の実施例における第1業務VRFフォワーディングテーブル154bの初期状態を示す説明図である。図30は、第4の実施例における第2業務VRFフォワーディングテーブル154cの初期状態を示す説明図である。図29に示すように、第4の実施例の第1業務VRFフォワーディングテーブル154bでは、第2の実施例とは異なり、初期状態において、宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリがない。同様に、図30に示すように、第2業務VRFフォワーディングテーブル154cにおいても、第2の実施例とは異なり、初期状態において、宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリがない。
【0144】
図31は、第4の実施例におけるVRF判定テーブル158及びVRFフォワーディングテーブルへのエントリ追加処理の手順を示すフローチャートである。ステップS205及びステップS210aは、第2の実施例のVRF判定テーブルのエントリ追加処理(図22)と同じである。端末の認証が成功し(ステップS205:YES)、認証成功した端末についてのエントリがVRF判定テーブル158に追加されると(ステップS210a)、経路制御部124は、認証成功した端末への転送経路を、認証VRFフォワーディングテーブル154aから検索する(ステップS215)。
【0145】
図24に示すように、第1端末11及び第2端末12が認証成功した後における認証VRFフォワーディングテーブル154aには、第1端末11への転送経路を示すエントリ(第5エントリ)及び第2端末12への転送経路を示すエントリ(第6エントリ)が記述されている。したがって、第1端末11及び第2端末12が認証成功した後においてステップS215を実行する場合、この認証VRFフォワーディングテーブル154aの第5,6エントリが見つかることとなる。
【0146】
認証成功した端末への転送経路が見つかると、経路制御部124は、見つかった転送経路を、VRF判定テーブル158において端末に対応付けられているVRFフォワーディングテーブルにコピーする(ステップS220)。
【0147】
図32は、ステップS220実行後の第1業務VRFフォワーディングテーブル154bを示す説明図である。図33は、ステップS220実行後の第2業務VRFフォワーディングテーブル154cを示す説明図である。
【0148】
図23に示すように、第1端末11及び第2端末12の認証成功後におけるVRF判定テーブル158では、第1端末11には第1業務VRFフォワーディングテーブル154bが対応付けられている。また、第2端末12には、第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cが対応付けられている。したがって、ステップS220実行後には、図32に示すように、第1業務VRFフォワーディングテーブル154bには第3,4エントリが追加され、第2業務VRFフォワーディングテーブル154cには図33に示す第3エントリが追加される。
【0149】
したがって、第1業務サーバ181aから第1端末11へのパケットについては、図32に示す第3エントリに基づきパケットが転送される。また、第1業務サーバ181aから第2端末12へのパケットについては、図32に示す第4エントリに基づきパケットが転送される。ここで、第1業務サーバ181aからユーザネットワーク170に所属する他の端末(図示省略)へのパケットについては、第1業務VRFフォワーディングテーブル154bに宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリがないのでARP解決することができず、転送経路が見つからずに廃棄される。
【0150】
また、第2業務サーバ181bから第2端末12へのパケットについては、図33に示す第2業務VRFフォワーディングテーブル154cの第3エントリに基づき、パケットが転送される。ここで、第2業務サーバ181bからユーザネットワーク170に所属する他の端末(図示省略)へのパケットについては、第2業務VRFフォワーディングテーブル154cに宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリがないのでARP解決することができず、転送経路が見つからずに廃棄される。
【0151】
図34は、第4の実施例のエントリ削除処理の手順を示すフローチャートである。第4の実施例のエントリ削除処理では、ステップS315を加えた点において、第1,2の実施例のVRF判定テーブルのエントリ削除処理(図12)と異なり、他の手順はVRF判定テーブルのエントリ削除処理と同じである。
【0152】
ステップS310において、認証解除された端末のエントリをVRF判定テーブル158から削除した後に、経路制御部124は、認証解除された端末への転送経路をVRFフォワーディングテーブルから削除する(ステップS315)。
【0153】
具体的には、2つの端末11,12が認証解除された場合、経路制御部124は、図32に示す第1業務VRFフォワーディングテーブル154bの第3,4エントリを削除し、また、図33に示す第2業務VRFフォワーディングテーブル154cの第3エントリを削除する。なお、これらの削除対象とするエントリは、認証処理部122から通知される認証を解除された端末に関する情報(IPアドレス等)に基づき決定される。
【0154】
なお、本実施例において、図32に示す第3,4エントリ及び図33に示す第3エントリは請求項における端末経路情報に相当する。
【0155】
以上説明した第4の実施例のネットワークシステムも、第1の実施例のネットワークシステム10と同様な効果を有する。加えて、第4の実施例のネットワークシステムでは、第1業務サーバ181a及び第2業務サーバ181bに、宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリ(転送経路)を初期状態において記述しないようにし、認証成功した端末についての転送経路のみ、認証VRFフォワーディングテーブル154aからコピーするようにしている。したがって、第1業務サーバ181a及び第2業務サーバ181bから第1端末11及び第2端末12へのパケットの転送を可能にすると共に、これら2つの業務サーバ181a,181bからユーザネットワーク170に属する他の端末(或いは認証成功前の端末11,12)へのパケットの転送を抑制することができる。それゆえ、2つの業務サーバ181a,181bからユーザネットワーク170に向かう通信におけるセキュリティを強化することができる。
【0156】
加えて、認証成功した端末についての転送経路を、認証VRFフォワーディングテーブル154aからコピーするようにしているので、第1業務サーバ181a及び第2業務サーバ181bから第1端末11及び第2端末12に最初にパケットを送信する際に、改めてネクストホップを解決せずに済む。したがって、第1端末11及び第2端末12は、認証成功後、迅速に第1業務サーバ181a又は第2業務サーバ181bとの通信を行うことができる。
【0157】
E.第5の実施例:
E1.システム構成:
図35は、第5の実施例のネットワークシステムの構成を示す説明図である。第5の実施例のネットワークシステム10cは、パケット転送装置100bが、認証VRFフォワーディングテーブル154aと第1業務VRFフォワーディングテーブル154bと第2業務VRFフォワーディングテーブル154cと端末VRFフォワーディングテーブル156とに代えて、統合VRFフォワーディングテーブル159を備えている点と、VRF判定テーブル158aの設定内容において、第2の実施例のネットワークシステム10a(図13)と異なり、他の構成は第2の実施例と同じである。
【0158】
第5の実施例では、パケット転送装置100bの各インタフェース111〜114や、各端末11,12や、各サーバ191,192,181a,181bへの各転送経路を、統合VRFフォワーディングテーブル159のエントリとして設定することにより、同一の転送経路を複数のテーブルに重複して記述することを避け、パケット転送装置100b内のメモリ150の容量を低減させるように構成されている。なお、第5の実施例のネットワークシステム10cは、転送経路を記述したテーブルとして、統合VRFフォワーディングテーブル159のみを備えているので、いわゆるVRF機能を有していない。しかしながら、統合VRFフォワーディングテーブル159において、転送経路を検索する際に参照するエントリの範囲をパケットの送信元に応じて変えることにより、仮想的にVRF機能を実現している。
【0159】
図36は、第5の実施例のVRF判定テーブル158aを示す説明図である。なお、図36では、初期状態におけるVRF判定テーブル158aを示す。このVRF判定テーブル158aは、VRFフォワーディングテーブル種別フィールドに代えて、認証有無フィールド及び仮想VRFフィールドを備えている点において、図15に示す第2の実施例のVRF判定テーブル158と異なり、他の構成は、第2の実施例と同じである。
【0160】
認証有無フィールドは、認証(認証及び検疫)が成功しているか否かを示す。この認証有無フィールドの値が「未」とは認証成功前であることを示し、「済み」とは認証成功済みであることを示す。なお、認証有無フィールドの値が「*」とは認証成功前及び認証成功済みのいずれでもよいことを示す。
【0161】
仮想VRFフィールドは、仮想的なVRF機能を実現するために用いられる仮想VRFフォワーディングテーブルを特定する。この仮想VRFフィールドの値が「第1業務」とは仮想的な第1業務VRFフォワーディングテーブル(第1業務仮想VRFフォワーディングテーブル)を示し、「第2業務」とは仮想的な第2業務VRFフォワーディングテーブル(第2業務仮想VRFフォワーディングテーブル)を示す。仮想VRFフィールドの値が「*」とは、第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよいことを示す。なお、第1業務仮想VRFフォワーディングテーブルは、第1業務ネットワーク180aからのパケットの転送経路を検索するために用いられる仮想的なVRFフォワーディングテーブルを意味し、第2業務仮想VRFフォワーディングテーブルは、第2業務ネットワーク180bからのパケットの転送経路を検索するために用いられる仮想的なVRFフォワーディングテーブルを意味する。
【0162】
図36に示すように、初期状態において、VRF判定テーブル158aには、図15に示すVRF判定テーブル158と同様に、第1〜4エントリが設定されている。なお、図36に示す各エントリにおけるインタフェース番号,判定種別及びMACアドレスの各フィールドには、図15に示すVRF判定テーブル158の各フィールドと同じ値が設定されているので、説明を省略する。VRF判定テーブル158aの初期状態における第1エントリには、認証有無フィールドに「未」が、仮想VRFフィールドに「*」が設定されている。また、第2エントリには認証有無「*」及び仮想VRF「*」が、第3エントリには認証有無「済み」及び仮想VRF「第1業務」が、第4エントリには認証有無「済み」及び仮想VRF「第2業務」が、それぞれ設定されている。
【0163】
これらの4つのエントリは、ネットワークシステム10cの初期コンフィグレーションの際に、VRF判定制御部128により生成される。具体的には、VRF判定制御部128は、図14に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、VRF判定制御部128は、役割種別が「認証対象端末」のインタフェース(第1インタフェース111)に対しては、認証有無を「未」に、仮想VRFを「*」に、それぞれ設定したエントリをVRF判定テーブル158aに追加する。また、VRF判定制御部128は、役割種別が「認証前」のインタフェース(第2インタフェース112)に対しては、認証有無及び仮想VRFを「*」に、それぞれ設定したエントリをVRF判定テーブル158aに追加する。また、VRF判定制御部128は、役割種別が「第1業務」のインタフェース(第3インタフェース113)に対しては、認証有無を「済み」に、仮想VRFを「第1業務」に、それぞれ設定したエントリをVRF判定テーブル158aに追加する。また、VRF判定制御部128は、役割種別が「第2業務」のインタフェース(第4インタフェース114)に対しては、認証有無を「済み」に、仮想VRFを「第2業務」に、それぞれ設定したエントリをVRF判定テーブル158aに追加する。
【0164】
上述した第2の実施例のVRF判定テーブル158aは、受信したパケットについて、インタフェース番号,判定種別及びMACアドレスに基づき、VRFフォワーディングテーブル種別の値(すなわち、検索使用VRFフォワーディングテーブル)を決定するのに用いられていた。これに対し、第5の実施例のVRF判定テーブル158aは、インタフェース番号,判定種別及びMACアドレスに基づき、認証の有無と、転送経路を検索するために用いる仮想VRFフォワーディングテーブル(以下、「検索使用仮想VRFフォワーディングテーブル」と呼ぶ)とを決定するのに用いられる。
【0165】
図37は、第5の実施例の統合VRFフォワーディングテーブル159を示す説明図である。なお、図37では、初期状態における統合VRFフォワーディングテーブル159を示す。この統合VRFフォワーディングテーブル159は、認証有無フィールド及び仮想VRFフィールドを備えている点において、第2の実施例の各VRFフォワーディングテーブル154a〜154cと異なり、他の構成は第2の実施例と同じである。
【0166】
統合VRFフォワーディングテーブル159の認証有無フィールド及び仮想VRFフィールドの意味は、図36に示すVRF判定テーブル158aの認証有無フィールド及び仮想VRFフィールドの意味と同じである。
【0167】
図37に示すように、統合VRFフォワーディングテーブル159には、初期状態において4つのエントリ(第1〜4エントリ)が設定されている。第1エントリには、認証有無「未」,仮想VRFフィールド「*」,IPアドレス「10.0.0.10」,サブネットマスク長「24」,出力インタフェース番号フィールド「IF1」及びネクストホップフィールド「未定」が、それぞれ設定されている。第2エントリには、認証有無「*」,仮想VRFフィールド「*」,IPアドレス「11.0.0.11」,サブネットマスク長「24」,出力インタフェース番号フィールド「IF2」及びネクストホップフィールド「未定」が、それぞれ設定されている。第3エントリには、認証有無「済み」,仮想VRFフィールド「第1業務」,IPアドレス「12.0.0.12」,サブネットマスク長「24」,出力インタフェース番号フィールド「IF3」及びネクストホップフィールド「未定」が、それぞれ設定されている。第4エントリには、認証有無「済み」,仮想VRFフィールド「第2業務」,IPアドレス「13.0.0.13」,サブネットマスク長「24」,出力インタフェース番号フィールド「IF4」及びネクストホップフィールド「未定」が、それぞれ設定されている。
【0168】
これらの4つのエントリは、ネットワークシステム10cの初期コンフィグレーションの際に、経路制御部124により生成される。具体的には、経路制御部124は、図14に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、経路制御部124は、役割種別が「認証対象端末」のインタフェース(第1インタフェース111)について、認証有無を「未」に、仮想VRFを「*」に、IPアドレスを「当該インタフェースに設定されているIPアドレス(10.0.0.10)」に、サブネットマスク長を「当該インタフェースに設定されているサブネットマスク長(24)」に、出力インタフェース番号を「当該インタフェースのインタフェース番号(IF1)」に、ネクストホップを「未定」に、それぞれ設定したエントリを作成する。また、経路制御部124は、役割種別が「認証前」のインタフェース(第2インタフェース112)について、認証有無を「*」に、仮想VRFを「*」に、IPアドレスを「当該インタフェースに設定されているIPアドレス(11.0.0.11)」に、サブネットマスク長を「当該インタフェースに設定されているサブネットマスク長(24)」に、出力インタフェース番号を「当該インタフェースのインタフェース番号(IF2)」に、ネクストホップを「未定」に、それぞれ設定したエントリを作成する。また、経路制御部124は、役割種別が「第1業務」のインタフェース(第3インタフェース113)について、認証有無を「済み」に、仮想VRFを「第1業務」に、IPアドレスを「当該インタフェースに設定されているIPアドレス(12.0.0.12)」に、サブネットマスク長を「当該インタフェースに設定されているサブネットマスク長(24)」に、出力インタフェース番号を「当該インタフェースのインタフェース番号(IF3)」に、ネクストホップを「未定」に、それぞれ設定したエントリを作成する。また、経路制御部124は、役割種別が「第2業務」のインタフェース(第4インタフェース114)について、認証有無を「済み」に、仮想VRFを「第2業務」に、IPアドレスを「当該インタフェースに設定されているIPアドレス(13.0.0.13)」に、サブネットマスク長を「当該インタフェースに設定されているサブネットマスク長(24)」に、出力インタフェース番号を「当該インタフェースのインタフェース番号(IF4)」に、ネクストホップを「未定」に、それぞれ設定したエントリを作成する。
【0169】
統合VRFフォワーディングテーブル159では、認証有無フィールド,仮想VRF,宛先IPアドレス及びサブネットマスク長を検索キーとして、出力インタフェース番号及びネクストホップ(経路情報)が検索される。なお、第5の実施例において、認証成功前後における転送経路の変化は、第2の実施例(図19,20参照)と同様である。
【0170】
E2.端末認証時の動作:
図38は、第5の実施例のパケット転送処理の手順を示すフローチャートである。まず、第1端末11について認証(認証及び検疫)を実行する場合のパケット転送処理について説明する。パケット転送装置100bでは、認証サーバ191宛の認証用のパケットを受信するとパケット転送処理が実行される。この第5の実施例のパケット転送処理は、ステップS105に代えてステップS105aを実行する点と、ステップS110に代えてステップS110bを実行する点と、ステップS130に代えてステップS130aを実行する点と、ステップS135に代えてステップS135aを実行する点と、において、図21に示す第2の実施例のパケット転送処理と異なり、他の手順は第2の実施例と同じである。
【0171】
まず、VRF判定制御部128は、受信したパケットの情報(受信したインタフェース及び送信元MACアドレス)に基づき、認証有無及び仮想VRFを、VRF判定テーブル158から取得する(ステップS105a)。例えば、第1端末11について認証を行う場合には、図36に示すインタフェース番号「IF1」,判定種別「MACアドレス」及びMACアドレス「その他」が設定されている第1エントリが見つかり、認証有無として「未」と、仮想VRFとして「*」とが取得される。
【0172】
次に、VRF判定制御部128は、ステップS105aで取得した認証有無の値と、仮想VRFの値とを含む検索キー(認証有無フィールド,仮想VRF,宛先IPアドレス及びサブネットマスク長)を用いて、統合VRFフォワーディングテーブル159から転送経路を検索する(ステップS110b)。
【0173】
第1端末11が認証用パケットを送信する際には、前述のステップS105aにおいて、認証有無「未」と仮想VRF「*」とが取得されており、これらの値と、認証サーバ191の宛先IPアドレス(11.0.0.1)及びサブネットマスク長(32)を検索キーとして統合VRFフォワーディングテーブル159が検索される。したがって、図37に示す統合VRFフォワーディングテーブル159の各エントリのうち、第1エントリが見つかることとなる(ステップS115:YES)。
【0174】
ここで、図37に示す統合VRFフォワーディングテーブル159の第1エントリでは、ネクストホップが解決されていないので、ネクストホップが解決される(ステップS120,S125)。経路制御部124は、ステップS125により解決されたネクストホップを含む転送経路のエントリを統合VRFフォワーディングテーブル159に追加する(ステップS130a)。
【0175】
図39は、認証成功前において第1端末11と認証サーバ191との間でパケットのやりとりがなされた後の統合VRFフォワーディングテーブル159を示す説明図である。上述のように、認証動作において、第1端末11から認証サーバ191に最初にパケットを送信する際にステップS130aが実行されると、図39に示す第5エントリが追加される。なお、この時点では、図39に示す第6エントリは追加されていない。
【0176】
第1端末11から認証サーバ191に最初にパケットを送信する際のステップS130aにおいて新たに追加されるエントリの認証有無フィールド及び仮想VRFフィールドの値は、ネクストホップを解決する際に用いられたインタフェースについてのエントリに設定されている認証有無フィールド及び仮想VRFフィールドの値が設定される。したがって、第5エントリでは、第2インタフェース112についてのエントリ(第2エントリ)における認証有無フィールドの値「*」と、仮想VRFフィールドの値「*」とが、それぞれ認証有無フィールド及び仮想VRFフィールドに設定されている。
【0177】
次に、パケット転送処理部126は、受信したパケットをVRFフォワーディングテーブルに従って転送する(ステップS135)。したがって、認証サーバ191宛のパケットは、図39の第5エントリに記述された転送経路に従い、認証サーバ191へと転送される。
【0178】
認証成功前において認証サーバ191から第1端末11にパケットが送信される際にもパケット転送処理が実行され、統合VRFフォワーディングテーブル159に図39に示す第6エントリが追加される。また、その後第1端末11について検疫が実行され、第2端末12について認証及び検疫が実行されると、統合VRFフォワーディングテーブル159に、検疫サーバ192及び第2端末12への転送経路をそれぞれ記述したエントリが追加される(図示省略)。
【0179】
なお、第2の実施例でも述べたように、第1端末11及び第2端末12について認証(認証及び検疫)が成功すると、認証処理部122は、認証成功の旨と、アクセスが許可されたネットワークの情報(第1端末11:第1業務ネットワーク180a,第2端末12:第1業務ネットワーク180a及び第2業務サーバ181b)を、VRF判定制御部128に通知する。
【0180】
図40は、第5の実施例におけるエントリ更新処理の手順を示すフローチャートである。第5の実施例のエントリ更新処理は、ステップS210aに代えてステップS210bを実行する点と、ステップS230を実行する点と、において図22に示す第2の実施例におけるVRF判定テーブルのエントリ追加処理と異なり、他の手順は第2の実施例と同じである。
【0181】
端末の認証成功を判定した場合(ステップS205:YES)、VRF判定制御部128は、認証成功した端末について、アクセス許可されたネットワークからのパケットの検索使用仮想VRFフォワーディングテーブルと対応付けるエントリを、VRF判定テーブル158に追加する(ステップS210b)。
【0182】
図41は、第1端末11及び第2端末12の認証成功後に、これら2つの端末11,12についてのエントリが追加された後のVRF判定テーブル158aを示す説明図である。第1端末11にアクセス許可されたネットワークは、第1業務ネットワーク180aである。第1業務ネットワーク180aからのパケットの検索使用仮想VRFフォワーディングテーブルは、第1業務仮想VRFフォワーディングテーブルである(VRF判定テーブル158aの第3エントリ参照)。したがって、第1端末11が認証成功した場合に、VRF判定制御部128は、インタフェース番号「IF1」,判定種別「MACアドレス」,MACアドレス「mac1」,認証有無「済み」及び仮想VRF「第1業務仮想VRFフォワーディングテーブル」が設定されたエントリ(第5エントリ)をVRF判定テーブル158に追加する。
【0183】
また、第2端末12にアクセス許可されたネットワークは、第1業務ネットワーク180a及び2業務ネットワーク180bである。第1業務ネットワーク180aからのパケットの検索使用仮想VRFフォワーディングテーブルは、第1業務VRFフォワーディングテーブル154bである(VRF判定テーブル158の第3エントリ参照)。また、第2業務ネットワーク180bからのパケットの検索使用仮想VRFフォワーディングテーブルは、第2業務仮想VRFフォワーディングテーブル154cである(VRF判定テーブル158の第4エントリ参照)。したがって、第2端末12が認証成功した場合に、VRF判定制御部128は、インタフェース番号「IF1」,判定種別「MACアドレス」,MACアドレス「mac2」,認証有無「済み」及び仮想VRF「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」が設定されたエントリ(第6エントリ)をVRF判定テーブル158に追加する。
【0184】
前述のステップS210bを実行した後、経路制御部124は、認証成功した端末についての統合VRFフォワーディングテーブル159のエントリを更新する(ステップS230)。具体的には、経路制御部124は、認証成功した端末についてのエントリにおいて、認証有無フィールドの値を「済み」に書き替え、仮想VRFフィールドの値を、アクセス許可されたネットワークからのパケットの検索使用仮想VRFフォワーディングテーブルを示す値に設定する。
【0185】
図42は、第1端末11及び第2端末12についての認証成功後の統合VRFフォワーディングテーブル159を示す説明図である。図42では、2つの端末11,12について認証成功し、その後、第1端末11及び第2端末12が第1業務サーバ181a及び第2業務サーバ181bにアクセスした後の統合VRFフォワーディングテーブル159を示す。
【0186】
認証成功前において、統合VRFフォワーディングテーブル159における第1端末11についてのエントリでは、図39の第6エントリに示すように、認証有無フィールドの値は「未」に、仮想VRFフィールドの値は「*」に、それぞれ設定されている。ステップS230では、この認証有無フィールドの値を、「未」から「済み」に書き換える。また第1端末11にアクセス許可されたネットワークは、第1業務ネットワーク180aであるので、図42の第6エントリに示すように、仮想VRFフィールドの値を「*」から「第1業務仮想VRFフォワーディングテーブル」に書き換える。
【0187】
また、第2端末12にアクセス許可されたネットワークは、第1業務ネットワーク180a及び第2業務ネットワーク180bである。第1,2業務ネットワーク180a,180bからのパケットの検索使用仮想VRFフォワーディングテーブルは、第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルである。この場合、図42の第8エントリに示すように、仮想VRFフィールドの値を「*」(いずれの仮想VRFフォワーディングテーブルでもよい)に書き換えることとなる。ただし認証成功前の仮想VRFの値も「*」であるので書き換えは行われない。なお、第8エントリでは、第6エントリと同様に、認証有無フィールドの値は、「未」から「済み」に書き換えられる。
【0188】
本実施例では、図42において、仮想VRFフィールドの値が「*」及び「第1業務」のエントリは、請求項における第1の転送経路テーブルに相当する。また、仮想VRFフィールドの値が「*」及び「第2業務」のエントリは、請求項における第2の転送経路テーブルに相当する。
【0189】
E3.端末認証成功後のパケット転送処理:
認証成功後に、第1端末11から第1業務サーバ181aにパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第5エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」,第1業務サーバ181aのIPアドレス(12.0.0.1/32)及びサブネットマスク長「32」を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、第9エントリがヒットし、この第9エントリの経路情報に基づき、パケットが転送される。
【0190】
ここで、統合VRFフォワーディングテーブル159から転送経路が検索される際に、検索キーに含まれる仮想VRFの値「第1業務仮想VRFフォワーディングテーブル」により、第4,10エントリは、宛先IPアドレスやサブネットマスク長を検索するまでもなく候補からはずれることとなる。第4,10エントリは、第4インタフェース114への転送経路及び第2業務サーバ181bへの転送経路を示す。したがって、これら転送経路については、第1端末11から第1業務サーバ181aへのパケットの転送経路を検索する際に、確実に経路情報を参照されることはない。この例からも理解できるように、すくなくとも仮想VRFフィールドの値が異なるエントリについては、確実に経路情報を参照されないようにすることができ、パケット転送装置100bはVRF機能を実現できる。
【0191】
認証成功後に、第1業務サーバ181aから第1端末11にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第3エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」と、第1端末11のIPアドレス(10.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、図42に示す第6エントリがヒットし、この第6エントリの経路情報に基づき、パケットが転送される。
【0192】
認証成功後に、第2端末12から第1業務サーバ181aにパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第6エントリから、認証有無「済み」,仮想VRF「*」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「*」と、第1業務サーバ181aのIPアドレス(12.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」であるので、図42に示す第9エントリがヒットし、この第9エントリの経路情報に基づき、パケットが転送される。
【0193】
認証成功後に、第1業務サーバ181aから第2端末12にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第3エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」と、第2端末12のIPアドレス(10.0.0.2/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。ここで、図42に示す統合VRFフォワーディングテーブル159の第8エントリでは、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」であるので、この第8エントリがヒットする。したがって、この第8エントリの経路情報に基づき、パケットが転送される。
【0194】
認証成功後に、第2端末12から第2業務サーバ181bにパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第6エントリから、認証有無「済み」,仮想VRF「*」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「*」と、第2業務サーバ181bのIPアドレス(13.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」であるので、図42に示す第10エントリがヒットし、この第10エントリの経路情報に基づき、パケットが転送される。
【0195】
認証成功後に、第2業務サーバ181bから第2端末12にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第4エントリから、認証有無「済み」,仮想VRF「第2業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第2業務仮想VRFフォワーディングテーブル」と、第2端末12のIPアドレス(10.0.0.2/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。ここで、図42に示す統合VRFフォワーディングテーブル159の第8エントリでは、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」であるので、この第8エントリがヒットする。したがって、この第8エントリの経路情報に基づき、パケットが転送される。
【0196】
認証成功後に、第1端末11から認証サーバ191にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第5エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」と、認証サーバ191のIPアドレス(11.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。ここで、図42に示す統合VRFフォワーディングテーブル159の第5エントリでは、認証有無フィールドの値が「*(認証成功前後のいずれでもよい)」であり、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」である。したがって、この第5エントリがヒットし、この第5エントリの経路情報に基づき、パケットが転送される。
【0197】
認証成功後に、認証サーバ191から第1端末11にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第2エントリから、認証有無「*」,仮想VRF「*」が取得される。ステップS110bでは、認証有無「*」,仮想VRF「*」と、第1端末11のIPアドレス(10.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、図42に示す第6エントリがヒットし、この第6エントリの経路情報に基づき、パケットが転送される。
【0198】
認証成功後に、第1端末11から、アクセス許可されていない第2業務ネットワーク180b内の第2業務サーバ181bにパケットを送信する場合について説明する。この場合、図41に示すVRF判定テーブル158aの第3エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」と、第2業務サーバ181bのIPアドレス(13.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。ここで、図42に示す第2業務サーバ181bへの転送経路を示す第10エントリでは、仮想VRFフィールドの値として「第2業務仮想VRFフォワーディングテーブル」のみが設定されている。したがって、この第10エントリはヒットせず、第1端末11から送信されたパケットは第2業務サーバ181bに転送されずに、廃棄される。
【0199】
E4.エントリ削除処理:
図43は、第5の実施例のエントリ削除処理の手順を示すフローチャートである。第5の実施例のエントリ削除処理は、ステップS315を実行する点において、図12に示す第1の実施例のVRF判定テーブル158のエントリ削除処理と異なり、他の手順は第1の実施例と同じである。
【0200】
図43に示すステップS310において、認証解除された端末についてのエントリをVRF判定テーブル158aから削除した後、経路制御部124は、認証解除された端末についてのエントリを統合VRFフォワーディングテーブル159から削除する。具体的には、第2端末12について認証解除された場合、図42に示す第8エントリが削除される。このように、VRF判定テーブル158aに加えて、統合VRFフォワーディングテーブル159からも認証解除された端末についてのエントリを削除することにより、認証解除された端末への転送経路が、他の装置への転送経路を検索する際に参照されることを抑制し、セキュリティを向上させるように構成されている。
【0201】
以上説明した第5の実施例のネットワークシステム10cは、第2の実施例のネットワークシステム10aと同じ効果を有する。加えて、各転送経路を統合VRFフォワーディングテーブル159のエントリに設定することにより、同一の転送経路を複数のテーブルに重複して記述することを避け、パケット転送装置100a内のメモリ容量を抑えることができる。
【0202】
また、端末について認証成功した場合に、当該端末と、VRF判定テーブル158aにおいて、アクセス許可されたネットワークからのパケットの検索使用仮想VRFフォワーディングテーブルとを対応付けるエントリを追加している。したがって、認証成功した端末からのパケットについて転送経路を検索する際に、仮想VRFフィールドの値が「検索使用仮想VRFフォワーディングテーブル」でない転送経路(すなわち、アクセス許可されていないネットワーク内の装置への転送経路)を参照されないようにすることができ、セキュリティを強化することができる。
【0203】
また、端末について認証成功した場合に、統合VRFフォワーディングテーブル159において、端末のエントリを更新し、アクセス許可されたネットワークからのパケットの検索使用仮想VRFフォワーディングテーブルと対応付ける。したがって、検索使用仮想VRFフォワーディングテーブルと対応付けられたネットワークに所属するサーバからのパケットのみを、認証成功した端末へ転送させることができ、他のネットワークに所属するサーバから認証成功した端末宛のパケットを廃棄することができる。それゆえ、ネットワークシステム10cのセキュリティを強化することができる。
【0204】
F.変形例:
なお、上記各実施例における構成要素の中の、独立クレームでクレームされた要素以外の要素は、付加的な要素であり、適宜省略可能である。また、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
【0205】
F1.変形例1:
第5の実施例では、VRF判定テーブル158a及び統合VRFフォワーディングテーブル159において、検索使用仮想VRFフォワーディングテーブルを示すために、「仮想VRF」フィールドを設けていたが、これに代えて、各仮想VRFフォワーディングテーブルに対応するフラグ(使用する又は使用しないを示すフラグ)を記述するフィールドを設けることもできる。このような構成においても、検索使用VRFフォワーディングテーブルに対応するフラグをそれぞれオン(「使用する」に設定)することにより、いずれの仮想VRFフォワーディングテーブルを検索使用VRFフォワーディングテーブルとするかを示すことができる。
【0206】
また、複数の仮想VRFフォワーディングテーブルを転送経路検索時において参照を許容する場合、参照を許容するテーブルの組み合わせ(グループ)について、各々対応するフラグを記述するフィールドを予め設けておき、これらフィールドの値(フラグのオン/オフ)により検索使用仮想VRFフォワーディングテーブルを示すこともできる。この構成においては、各テーブルの組み合わせと、どのフラグ(フィールド)を対応付けるのかを記述するテーブル(組み合わせテーブル)を設けておき、この組み合わせテーブルを参照して得られたフィールドのフラグをオンすることで、検索使用VRFフォワーディングテーブルを示すことができる。このような構成により、VRF判定テーブル158a及び統合VRFフォワーディングテーブル159において、エントリ数を低減させることができると共に、各仮想VRFフォワーディングテーブルに対応するフラグを設ける構成に比べて各エントリにおける情報量を減らすことができ、パケット転送装置が備えるメモリの容量を低減させることができる。
【0207】
F2.変形例2:
各実施例では、端末が認証動作として実行する処理は、認証処理と検疫処理とであったが、認証処理及び検疫処理のいずれか一方でもよい。すなわち、一般には、認証処理と検疫処理とのうち、少なくとも一方を実行するサーバを備える構成を、本発明のネットワークシステムに採用することができる。
【0208】
F3.変形例3:
パケットの送信元を識別するために使用する情報は、第1の実施例ではMACアドレスであり、第3の実施例ではIPアドレスであったが、本発明はこれらに限定されるものではない。例えば、MACアドレス及びIPアドレスの両方を用いて、パケットの送信元を識別することもできる。このような構成により、パケットの送信元をより正確に識別することができるため、IPアドレスの詐称やMACアドレスの詐称などの不正な行為による不正アクセスを抑制できる。また、レイヤ3パケットとして、IPパケットに代えてIPX(Internetwork Packet eXchange)パケットを用いる構成においては、IPアドレスに代えて、IPXのアドレスを用いてパケットの送信元を識別することができる。
【0209】
F4.変形例4:
各実施例では、各端末11,12に対して、予めIPアドレスが割り当てられていたが、これに代えて、DHCPに従いIPアドレスを動的に割り当てることもできる。この構成においても、上述した各実施例のネットワークシステムの効果を奏することができる。また、各実施例では端末が所属するネットワーク側のVLANを1つにできるので、DHCPサーバを1つ設置すればよく、また、DHCPサーバに特殊な機能を追加することがないので、複数台のDHCPサーバを設置し、かつ、DHCPサーバに特殊な機能を追加する構成に比べてネットワークシステム10,10a〜10cの構築コストを抑えられる。
【0210】
F5.変形例5:
各実施例では、フォワーディングテーブルの「ネクストホップ」フィールドに設定される値は、パケットの具体的な送信先のMACアドレスであったが、本発明はこれに限定されるものではない。具体的には、各フォワーディングテーブルとは別にARPテーブルを設ける構成とし、「ネクストホップ」フィールドには、ARPテーブルを参照する際のキーとなる宛先IPアドレスを設定することもできる。この構成では、パケット転送処理部126は、パケット転送処理のステップS125において、宛先IPアドレスをキーとして、ARPテーブルを検索してパケットの送信先となるMACアドレスを取得することができる。
【0211】
F6.変形例6:
各実施例では、各フォワーディングテーブルの初期状態の値は、インタフェース役割種別テーブル152に基づき、経路制御部124やVRF判定制御部128によって生成されていたが、本発明はこれに限定されるものではない。インタフェース役割種別テーブル152を備えない構成とし、ネットワーク管理者等が手動で設定することもできる。このような構成においても、各実施例のネットワークシステムと同様な効果を奏する。加えて、インタフェース役割種別テーブル152を備えないため、パケット転送装置100,100a,100bが備えるメモリの容量を低減でき、ネットワークシステム10,10a〜10cの構築コストを抑えることができる。
【0212】
F7.変形例7:
各実施例では、IPアドレスとして、IPv4を採用していたが、これに代えて、IPv6を採用することができる。かかる構成においても、各実施例のネットワークシステムと同様な効果を奏する。加えて、各実施例では端末が所属するネットワーク側のVLANを1つにできるので、パケット転送装置100からのRA(Router Advertisement)を1つだけにすることができ、同一の端末において2つのIPアドレスを生成することを抑制できる。
【0213】
F8.変形例8:
第1〜4の実施例では、VRF判定テーブル158において、認証前の任意の端末が利用するエントリ(例えば、図3に示す第1エントリ)を用意していたが、これに代えて、予めユーザネットワーク170に所属し得る端末について、それぞれVRFフォワーディングテーブル種別フィールドを「端末VRF」とするエントリを作成しておき、認証成功後に、認証成功した端末についてのエントリにおいてVRFフォワーディングテーブル種別フィールドを更新することもできる。
【0214】
F9.変形例9:
第1〜4の実施例では、端末11,12から送信されるパケットについて用いる検索使用VRFフォワーディングテーブルを決定するために、VRF判定テーブル158を用いていたが、VRF判定テーブルを用いずに決定することもできる。具体的には、例えば、第1の実施例のステップS105に代えて、パケット転送処理部126は、受信したパケットの送信元IPアドレスに基づき端末から送信されたパケットであるか否かを判定し、端末から送信されたパケットである場合に、認証処理部122に当該端末について認証が成功したか否かを問い合わせる。パケット転送処理部126は、認証成功の旨を通知された場合に検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブルを決定し、認証未成功の旨を通知された場合に検索使用VRFフォワーディングテーブルとして端末VRFフォワーディングテーブルを決定する。このような構成においても、各実施例のネットワークシステム10,10a〜10cと同じ効果を奏する。
【符号の説明】
【0215】
10,10a〜10c…ネットワークシステム、11…第1端末、12…第2端末、100,100a,100b…パケット転送装置、111…第1インタフェース、112…第2インタフェース、113…第3インタフェース、114…第4インタフェース、122…認証処理部、124…経路制御部、126…パケット転送処理部、128…VRF判定制御部、152…インタフェース役割種別テーブル、154…認証後VRFフォワーディングテーブル、154a…認証VRFフォワーディングテーブル、154b…第1業務VRFフォワーディングテーブル、154c…第2業務VRFフォワーディングテーブル、156…端末VRFフォワーディングテーブル、158…VRF判定テーブル、170…ユーザネットワーク、171…レイヤ2スイッチ、172…ルータ、180…業務ネットワーク、180a…第1業務ネットワーク、180b…第2業務ネットワーク、181…業務サーバ、181a…第1業務サーバ、181b…第2業務サーバ、190…認証ネットワーク、191…認証サーバ、192…検疫サーバ、193…アクセス許可テーブル、200…アクセスネットワーク
【技術分野】
【0001】
本発明は、端末から送信されるパケットの転送技術に関する。
【背景技術】
【0002】
端末がネットワークに所属する前に認証や検疫(以下、単に「認証」と呼ぶ)を行うネットワークシステムでは、セキュリティの観点から、認証を行うためのネットワーク(以下、単に「認証ネットワーク」と呼ぶ)と認証後に接続するネットワーク(端末が所属するネットワーク及び認証ネットワークとは異なるネットワーク(以下、「業務ネットワーク」と呼ぶ)との間で通信が行えないように、それぞれのネットワークの独立性を確保したいという要請があった。
【0003】
そこで、それぞれのネットワークに異なるVLAN(Virtual Local Area Network)を割り当て、認証成功後に端末が所属するVLANを移動させ、移動先のVLANで通信を許可する方式(ダイナミックVLAN方式)が提案されている。また、認証前後でVLANを移動させず、認証前には認証のための通信(レイヤ2における通信)のみを許可し、他の通信は一切許可しないとする方式(固定VLAN方式)が提案されている。しかし、ダイナミックVLAN方式では、認証前後において同一の端末に対して異なるIPアドレスを割り当てるため、IPアドレスの利用効率が低いという問題があった。また、固定VLAN方式では、認証前にレイヤ3における通信ができないという問題があった。
【0004】
そこで、それぞれのネットワークをVPN(Virtual Private Network)として構成し、各VPNにDHCP(Dynamic Host Configuration Protocol)サーバを設置し、認証成功後に端末が所属するVLANを移動させると共に、各DHCPサーバの情報を同期させ、認証前後において同一のIPアドレスを端末に割り当てる方法が提案されている(下記特許文献1)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−193231号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述した認証ネットワークと業務ネットワークとをVPNにより分離する技術では、認証後の端末が認証ネットワークにアクセスできなくなるという課題があった。したがって、例えば、認証後の端末について認証ネットワークに属するサーバ(認証サーバ)を用いて、定期的に検疫(例えば、ウィルス定義ファイルが最新であるか、オペレーティングシステムのバージョンが最新であるか等の検疫)を実行することができないという問題が発生する。この問題は、端末に限らず、業務ネットワークに属するサーバ(業務サーバ)等についても発生し得る。すなわち、認証ネットワークと業務ネットワークとをVPNにより分離するために業務サーバは認証ネットワークにアクセスできず、業務サーバについて認証サーバを用いた認証や検疫を実行できないという問題が発生する。また、DHCPサーバを複数台設置しなければならず、加えて、各DHCPサーバに互いに同期させるための特殊な機能を搭載させねばならず、ネットワークシステムの構築コストの上昇を招いていた。
【0007】
なお、上記問題は、IPアドレスに限らず、IPX(Internetwork Packet eXchange)アドレスなど、任意のレイヤ3アドレスを用いるパケットを転送する際に発生し得る。
【0008】
本発明は、ネットワークシステムにおけるレイヤ3アドレスの利用効率を向上させると共に、認証後の端末や業務ネットワークから認証ネットワークにアクセス可能とすることを目的とする。
【課題を解決するための手段】
【0009】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0010】
[適用例1] ネットワークシステムであって、第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバと、前記認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、前記第1ないし第3のネットワークに所属し、パケットを転送するパケット転送装置であって、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、を有するパケット転送装置と、を備える、ネットワークシステム。
【0011】
適用例1のネットワークシステムでは、認証サーバにより端末について認証成功と判定される前には、端末からのパケットについて、第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルを適用するので、端末からのパケットの第2のネットワーク(認証サーバ)へのパケットの転送を許容すると共に、第3のネットワークへの転送を抑制できる。また、認証成功と判定された後には、端末からのパケットについて、第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路情報群を適用するので、端末からのパケットの第2及び第3のネットワークへの転送を許容する。したがって、認証後の端末や第3のネットワークから認証サーバが所属する第2のネットワークへのアクセスを可能とする。加えて、端末に対してアドレス(レイヤ3アドレス)を複数付与する必要がないため、アドレスの利用効率を向上させることができる。なお、適用例1における「認証」とは、認証及び検疫を含む広い意味を有する。
【0012】
[適用例2] 適用例1に記載のネットワークシステムにおいて、さらに、パケットの送信元を識別する送信元識別子と前記検索転送経路テーブルとを対応付ける検索転送経路テーブル決定テーブルと、前記検索転送経路テーブル決定テーブルを更新するテーブル更新部と、を備え、前記転送経路テーブル決定部は、受信したパケットについて、前記検索転送経路テーブル決定テーブルに基づき前記検索転送経路テーブルを決定し、前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の前記送信元識別子と前記第1の転送経路テーブルとが対応付けられており、前記テーブル更新部は、前記認証サーバにより前記端末について認証成功と判定された後に、前記端末の前記送信元識別子と前記第2の転送経路テーブルとを対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【0013】
このような構成により、検索転送経路テーブル決定テーブルを参照することにより、認証成功前の端末からのパケットの転送経路を第1の転送経路テーブルから決定させることができ、認証成功後の端末からのパケットの転送経路を第2の転送経路テーブルから決定させることができる。
【0014】
[適用例3] 適用例1または適用例2に記載のネットワークシステムにおいて、前記第3のネットワークを複数備え、前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、前記認証サーバは、前記転送経路テーブル決定部に対して、前記認証処理の結果と前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークに関する情報とを通知し、前記転送経路テーブル決定部は、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定する、ネットワークシステム。
【0015】
このような構成により、認証成功後の端末からのパケットについて、接続を許可されたネットワークへの転送を許容すると共に、接続を許可されていないネットワークへの転送を抑制できる。
【0016】
[適用例4] 適用例2または適用例3に記載のネットワークシステムにおいて、前記パケットはIPパケットであり、前記送信元識別子は、MACアドレス及びIPアドレスのうち、少なくとも一方である、ネットワークシステム。
【0017】
このような構成により、レイヤ3での通信を実現するために用いられるIPアドレスや、レイヤ2での通信を実現するために用いられるMACアドレスを送信元識別子として利用できるので、これらの識別子とは別に送信元識別子を用いる構成に比べて、ネットワークシステムを容易に構築することができる。
【0018】
[適用例5] 適用例1ないし適用例4のいずれかに記載のネットワークシステムにおいて、前記転送経路テーブル決定部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記端末からのパケットに適用する前記検索転送経路テーブルとして、前記第2の転送経路テーブルから前記第1の転送経路テーブルに戻す、ネットワークシステム。
【0019】
このような構成により、認証が解除された端末からのパケットの転送の際に、第1の転送経路テーブルから転送経路を決定させることができるので、認証が解除された端末から第3のネットワークへのパケットの転送を抑制できる。
【0020】
[適用例6] 適用例3に記載のネットワークシステムにおいて、さらに、パケットの転送経路を決定する転送経路決定部と、前記転送経路テーブル格納部に格納されている転送経路テーブルを更新する転送経路テーブル更新部と、を備え、前記転送経路テーブル格納部は、前記第1の転送経路テーブルと前記第2の転送経路テーブルとに加えて、少なくとも前記第1のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第3の転送経路テーブルを格納し、前記転送経路テーブル決定部は、各第3のネットワークから前記第1及び第2のネットワークにパケットを転送する際に、前記検索転送経路テーブルとして前記第2の転送経路テーブルを決定し、前記第2のネットワークから前記第1のネットワークに前記パケットを転送する際に、前記検索転送経路テーブルとして前記第3の転送経路テーブルを決定し、前記転送経路テーブル更新部は、前記認証処理において前記認証サーバから前記端末にパケットを転送する際に、前記転送経路決定部により決定された前記端末へのパケットの経路情報である端末経路情報を、前記第3の転送経路テーブルに追加し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第3の転送経路テーブルから前記端末経路情報を取得し、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルに、前記端末経路情報をコピーする、ネットワークシステム。
【0021】
このような構成により、予め第2の転送経路テーブルに第1のネットワークを宛先とする転送経路(第1のネットワーク内の所定のデバイスを宛先とする転送経路)を設定しておくことを要しない。したがって、第3のネットワークに所属するデバイスから、第1のネットワークに所属する不特定の端末への通信を抑制でき、セキュリティを向上させることができる。
【0022】
[適用例7] 適用例6に記載のネットワークシステムにおいて、前記転送経路テーブル更新部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記第2の転送経路テーブルから前記端末経路情報を削除する、ネットワークシステム。
【0023】
このような構成により、認証が解除された端末からのパケットの転送の際に、第1の転送経路テーブルから転送経路を決定させることができるので、認証が解除された端末から第3のネットワークへのパケットの転送を抑制できる。
【0024】
[適用例8] 適用例2に記載のネットワークシステムにおいて、さらに、パケットの転送経路を決定する転送経路決定部を備え、前記第1の転送経路テーブルと前記第2の転送経路テーブルとは、統合転送経路テーブルとして構成され、前記検索転送経路テーブル決定テーブルは、前記送信元識別子と前記認証処理の結果と前記検索転送経路テーブルを示す検索転送経路テーブル識別子とを対応付け、前記統合転送経路テーブルは、前記第1の転送経路テーブル及び前記第2の転送経路テーブルに含まれる各経路情報と前記認証処理の結果と前記検索転送経路テーブル識別子とを対応付け、前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の送信元識別子と、前記認証処理が成功していない旨の情報と、前記検索転送経路テーブル識別子として前記第1の転送経路テーブルを示す識別子と、が対応付けられており、前記認証サーバは、前記テーブル更新部に対して、少なくとも前記認証記処理の結果を通知し、前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨を通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新し、前記転送経路テーブル決定部は、受信したパケットについて、前記パケットの送信元識別子に基づき、前記検索転送経路テーブル決定テーブルを参照して、前記認証処理の結果及び前記検索転送経路テーブル識別子を取得し、前記転送経路決定部は、前記転送経路テーブル決定部により取得された前記認証処理の結果及び前記検索転送経路テーブル識別子に基づき、前記統合転送経路テーブルを参照して、前記パケットについての転送経路を決定する、ネットワークシステム。
【0025】
このような構成により、第1の転送経路テーブル及び第2の転送経路テーブルを、それぞれ異なる転送経路テーブルとして格納する構成に比べて、同一デバイスへの転送経路を示す重複したエントリの記載を抑制でき、転送経路テーブル格納部の容量を抑制することができる。
【0026】
[適用例9] 適用例8に記載のネットワークシステムにおいて、前記第3のネットワークを複数備え、前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、前記認証サーバは、前記テーブル更新部に対して、前記認証処理の結果と、前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークと、を通知し、前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として、前記複数の第2の転送経路テーブルのうち前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【0027】
このような構成により、予め統合転送経路テーブルに第1のネットワークを宛先とする転送経路(第1のネットワーク内の所定のデバイスを宛先とする転送経路)を設定しておくことを要しない。したがって、第3のネットワークに所属するデバイスから、第1のネットワークに所属する不特定の端末への通信を抑制でき、セキュリティを向上させることができる。
【0028】
[適用例10] 適用例9に記載のネットワークシステムにおいて、さらに、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの組み合わせと、各組み合せを示す組み合わせ識別子と、を対応付ける組み合わせテーブルを備え、前記検索転送経路テーブル決定テーブル及び前記統合転送経路テーブルには、前記第2の転送経路テーブルについての前記検索転送経路テーブル識別子として、前記組み合わせ識別子が用いられ、前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルからなる組み合わせの組み合わせ識別子である許可組合せ識別子を、前記組み合わせテーブルから取得すると共に、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記許可組み合わせ識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【0029】
このような構成により、認証処理において、端末に対して複数のネットワークへの接続許可がされる場合において、許可されたネットワークに所属する所定のデバイスへのパケットに適用する検索転送経路テーブルを、統合転送経路テーブルにおいて簡易に指定(記述)することができ、転送経路テーブル格納部の容量を抑えることができる。
【0030】
[適用例11] 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置であって、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、を備える、パケット転送装置。
【0031】
適用例11のパケット転送装置では、認証サーバにより端末について認証成功と判定される前には、端末からのパケットについて、第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルを適用するので、端末からのパケットの第2のネットワーク(認証サーバ)へのパケットの転送を許容すると共に、第3のネットワークへの転送を抑制できる。また、認証成功と判定された後には、端末からのパケットについて、第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路情報群を適用するので、端末からのパケットの第2及び第3のネットワークへの転送を許容する。したがって、認証後の端末や第3のネットワークから認証サーバが所属する第2のネットワークへのアクセスを可能とする。加えて、端末に対してアドレス(レイヤ3アドレス)を複数付与する必要がないため、アドレスの利用効率を向上させることができる。なお、適用例1における「認証」とは、認証及び検疫を含む広い意味を有する。
【0032】
[適用例12] 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置を用いたパケット転送方法であって、(a)前記パケット転送装置において、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する工程と、(b)前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する工程と、を備えるパケット転送方法。
【0033】
適用例12のパケット転送方法では、認証サーバにより端末について認証成功と判定される前には、端末からのパケットについて、第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルを適用するので、端末からのパケットの第2のネットワーク(認証サーバ)へのパケットの転送を許容すると共に、第3のネットワークへの転送を抑制できる。また、認証成功と判定された後には、端末からのパケットについて、第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路情報群を適用するので、端末からのパケットの第2及び第3のネットワークへの転送を許容する。したがって、認証後の端末や第3のネットワークから認証サーバが所属する第2のネットワークへのアクセスを可能とする。加えて、端末に対してアドレス(レイヤ3アドレス)を複数付与する必要がないため、アドレスの利用効率を向上させることができる。なお、適用例1における「認証」とは、認証及び検疫を含む広い意味を有する。
【0034】
[適用例13] 第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属するコンピュータを用いたパケットを転送するためのプログラムであって、前記コンピュータにおいて、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する機能と、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する機能と、を前記コンピュータに実現させるためのプログラム。
【0035】
適用例13のプログラムでは、認証サーバにより端末について認証成功と判定される前には、端末からのパケットについて、第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルを適用するので、端末からのパケットの第2のネットワーク(認証サーバ)へのパケットの転送を許容すると共に、第3のネットワークへの転送を抑制できる。また、認証成功と判定された後には、端末からのパケットについて、第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路情報群を適用するので、端末からのパケットの第2及び第3のネットワークへの転送を許容する。したがって、認証後の端末や第3のネットワークから認証サーバが所属する第2のネットワークへのアクセスを可能とする。加えて、端末に対してアドレス(レイヤ3アドレス)を複数付与する必要がないため、アドレスの利用効率を向上させることができる。なお、適用例1における「認証」とは、認証及び検疫を含む広い意味を有する。
【図面の簡単な説明】
【0036】
【図1】本発明の一実施例としてのネットワークシステムの構成を示す説明図。
【図2】図1に示すインタフェース役割種別テーブル152を示す説明図。
【図3】図1に示すVRF判定テーブル158の初期状態を示す説明図。
【図4】図1に示す端末VRFフォワーディングテーブル156の初期状態を示す説明図。
【図5】図1に示す認証後VRFフォワーディングテーブル154の初期状態を示す説明図。
【図6】端末の認証成功前後における転送経路を模式的に示す説明図。
【図7】ネットワークシステム10において実行されるパケット転送処理の手順を示すフローチャート。
【図8】第1端末11について認証成功後の端末VRFフォワーディングテーブル156を示す説明図。
【図9】第1端末11について認証成功後の認証後VRFフォワーディングテーブル154を示す説明図。
【図10】端末の認証成功後に実行されるVRF判定テーブルのエントリ追加処理の手順を示すフローチャート。
【図11】第1端末11の認証成功後に第1端末11についてのエントリが追加された後のVRF判定テーブル158を示す説明図。
【図12】パケット転送装置100において実行されるVRF判定テーブル158のエントリ削除処理の手順を示す説明図。
【図13】第2の実施例のネットワークシステム10aの構成を示す説明図。
【図14】第2の実施例のインタフェース役割種別テーブル152を示す説明図。
【図15】第2の実施例におけるVRF判定テーブルの初期状態を示す説明図。
【図16】第2の実施例における認証VRFフォワーディングテーブル154aの初期状態を示す説明図。
【図17】第2の実施例における第1業務VRFフォワーディングテーブル154bの初期状態を示す説明図。
【図18】第2の実施例における第2業務VRFフォワーディングテーブル154cの初期状態を示す説明図。
【図19】第2の実施例における第1端末11の認証成功前後の転送経路を模式的に示す説明図。
【図20】第2の実施例における第2端末12の認証成功前後の転送経路を模式的に示す説明図。
【図21】第2の実施例におけるパケット転送処理の手順を示すフローチャート。
【図22】第2の実施例におけるVRF判定テーブルのエントリ追加処理の手順を示すフローチャート。
【図23】第1端末11及び第2端末12の認証成功後にこれら2つの端末11,12についてのエントリが追加された後のVRF判定テーブル158を示す説明図。
【図24】第1端末11及び第2端末12の認証成功後の認証VRFフォワーディングテーブル154aを示す説明図。
【図25】第1端末11及び第2端末12の認証成功後の第1業務VRFフォワーディングテーブル154bを示す説明図。
【図26】第1端末11及び第2端末12の認証成功後の第2業務VRFフォワーディングテーブル154cを示す説明図。
【図27】第3の実施例のネットワークシステムの構成を示す説明図。
【図28】第3の実施例のVRF判定テーブル158を示す説明図。
【図29】第4の実施例における第1業務VRFフォワーディングテーブル154bの初期状態を示す説明図。
【図30】第4の実施例における第2業務VRFフォワーディングテーブル154cの初期状態を示す説明図。
【図31】第4の実施例におけるVRF判定テーブル158及びVRFフォワーディングテーブルへのエントリ追加処理の手順を示すフローチャート。
【図32】ステップS220実行後の第1業務VRFフォワーディングテーブル154bを示す説明図。
【図33】ステップS220実行後の第2業務VRFフォワーディングテーブル154cを示す説明図。
【図34】第4の実施例のエントリ削除処理の手順を示すフローチャート。
【図35】第5の実施例のネットワークシステムの構成を示す説明図。
【図36】第5の実施例のVRF判定テーブル158aを示す説明図。
【図37】第5の実施例の統合VRFフォワーディングテーブルを示す説明図。
【図38】第5の実施例のパケット転送処理の手順を示すフローチャートである。
【図39】認証成功前において第1端末11と認証サーバ191との間でパケットのやりとりがなされた後の統合VRFフォワーディングテーブル159を示す説明図。
【図40】第5の実施例におけるエントリ更新処理の手順を示すフローチャート。
【図41】第1端末11及び第2端末12の認証成功後にこれら2つの端末11,12についてのエントリが追加された後のVRF判定テーブル158aを示す説明図。
【図42】第1端末11及び第2端末12についての認証成功後の統合VRFフォワーディングテーブル159を示す説明図。
【図43】第5の実施例のエントリ削除処理の手順を示すフローチャート。
【発明を実施するための形態】
【0037】
以下、本発明を実施するための最良の形態を実施例に基づいて以下の順序で説明する。
A.第1の実施例:
A1.システム構成:
A2.認証成功前後における転送経路の変化の概要:
A3.端末認証時の動作:
A4.端末認証成功後のパケット転送処理:
A5.VRF判定テーブルのエントリ削除処理:
B.第2の実施例:
B1.システム構成:
B2.認証成功前後における転送経路の変化の概要:
B3.端末認証時の動作:
B4.端末認証成功後のパケット転送処理:
C.第3の実施例:
D.第4の実施例:
E.第5の実施例:
E1.システム構成:
E2.端末認証時の動作:
E3.端末認証成功後のパケット転送処理:
E4.エントリ削除処理:
F.変形例:
【0038】
A.第1の実施例:
A1.システム構成:
図1は、本発明の一実施例としてのネットワークシステムの構成を示す説明図である。このネットワークシステム10は、パケット転送装置100と、ユーザネットワーク170と、レイヤ2スイッチ171と、認証ネットワーク190と、認証サーバ191と、検疫サーバ192と、業務ネットワーク180と、業務サーバ181とを備えている。
【0039】
パケット転送装置100は、レイヤ3スイッチであり、OSI参照モデルにおける第3層(ネットワーク層)のパケットを転送する。なお、レイヤ3スイッチに代えて、ルーターを用いることもできる。また、本実施例では、第3層のパケットとしてIP(Internet Protocol)パケットを用いるが、IPパケットに代えて、IPX(Internetwork Packet eXchange)パケットを用いることもできる。なお、以下では、第3層のパケットを単に「パケット」とも呼ぶ。
【0040】
パケット転送装置100は、3つのインタフェース(第1インタフェース111,第2インタフェース112,第3インタフェース113)と、メモリ150と、認証処理部122と、経路制御部124と、パケット転送処理部126と、VRF判定制御部128とを備えている。
【0041】
第1インタフェース111は、ユーザネットワーク170を接続するインタフェースである。また、第2インタフェース112は認証ネットワーク190を、第3インタフェース113は業務ネットワーク180を、それぞれ接続するインタフェースである。これら3つのインタフェース111〜113は、いずれもVLANにおいてIPアドレスが割り当てられる論理的なインタフェースであるが、Ethernet(登録商標)等の物理的なインタフェースであってもよい。
【0042】
メモリ150は、インタフェース役割種別テーブル152と、認証後VRFフォワーディングテーブル154と、端末VRFフォワーディングテーブル156と、VRF判定テーブル158とを格納している。パケット転送装置100は、VRF(Virtual Routing and Forwarding:複数のフォワーディングテーブル(ルーティングテーブル)を保持し、各テーブルに従いパケットを転送する技術)を実現可能に構成されている。したがって、パケット転送装置100は、2つのフォワーディングテーブル(認証後VRFフォワーディングテーブル154及び端末VRFフォワーディングテーブル156)を備え、これらフォワーディングテーブル154,156に基づき、受信したパケットを転送する。なお、各テーブルの詳細については後述する。
【0043】
認証処理部122と、経路制御部124と、パケット転送処理部126と、VRF判定制御部128とは、いずれもメモリ150内に格納されているプログラムを、図示しないCPU(Central Processing Unit)が実行することにより実現される機能部である。なお、CPUに代えて、ASIC(Application Specific Integrated Circuit)を用いることもできる。
【0044】
認証処理部122は、認証前における端末と認証サーバ191及び検疫サーバ192との間の通信を仲介する。また、認証処理部122は、認証サーバ191や検疫サーバ192から受信する認証(認証及び検疫)の結果を、VRF判定制御部128に通知する。認証処理(認証及び検疫)の方式としては、例えば、IEEE802.1xに準拠した方式や、Web認証などを採用することもできる。
【0045】
経路制御部124は、認証後VRFフォワーディングテーブル154及び端末VRFフォワーディングテーブル156を管理することにより、パケットの転送経路を制御する。
【0046】
パケット転送処理部126は、各インタフェース111〜113が受信したパケットを、認証後VRFフォワーディングテーブル154及び端末VRFフォワーディングテーブル156に基づき転送する。
【0047】
VRF判定制御部128は、VRF判定テーブル158を管理すると共に、パケットを転送するための経路を、認証後VRFフォワーディングテーブル154及び端末VRFフォワーディングテーブル156のいずれのテーブルにて検索するかを決定する。
【0048】
ユーザネットワーク170は、端末(例えば、パーソナルコンピュータ)が所属し得るレイヤ3のネットワーク(VLAN)である。レイヤ2スイッチ171は、いわゆるスイッチングハブであり、ユーザネットワーク170における第2層(データリンク層)のフレームのスイッチングを行う。第1インタフェース111は、レイヤ2スイッチ171に物理的に接続されている。また、ユーザネットワーク170に所属する端末は、このレイヤ2スイッチ171に物理的に接続される。図1の例では、第1端末11がユーザネットワーク170に所属され得る。
【0049】
認証ネットワーク190は、認証サーバ191及び検疫サーバ192が所属するレイヤ3のネットワーク(VLAN)である。認証サーバ191は、ユーザネットワーク170に所属しようとする端末に対し、端末から受信した認証要素(ログイン名やパスワード等)に基づき認証を実行する。検疫サーバ192は、ユーザネットワーク170に所属しようとする端末に対し、検疫を行い、端末が所定のセキュリティポリシーに合致するか否かを判定する。セキュリティポリシーとしては、例えば、ウィルス定義ファイルが最新であるか、オペレーティングシステムのバージョンが最新であるか等を採用することができる。前述の認証サーバ191は、認証が成功し、かつ、端末がセキュリティポリシーに合致した場合に「認証成功」と判定して、認証成功の旨を認証処理部122に通知する。
【0050】
業務ネットワーク180は、業務サーバ181が所属するレイヤ3のネットワーク(VLAN)である。業務サーバ181は、認証成功後の端末がアクセスするサーバである。
【0051】
ここで、端末や各サーバやパケット転送装置100の各インタフェース111〜113には、予めIPアドレスが割り当てられている。具体的には、第1端末11には、10.0.0.1/32が割り当てられている。また、認証サーバ191には11.0.0.1/32が、検疫サーバ192には11.0.0.2/32が、業務サーバ181には12.0.0.1/32が、第1インタフェース111には10.0.0.10/24が、第2インタフェース112には11.0.0.11/24が、第3インタフェース113には12.0.0.12/24が、それぞれ割り当てられている。なお、上記各IPアドレスはCIDR(Classless Inter-Domain Routing)形式で表わしている。
【0052】
図2は、図1に示すインタフェース役割種別テーブル152を示す説明図である。インタフェース役割種別テーブル152は、パケット転送装置100が備える各インタフェース111〜113の役割種別を管理するテーブルである。インタフェース役割種別テーブル152では、「インタフェース番号」と「役割種別」とが対応付けられている。インタフェース番号フィールドは、各インタフェース111〜113を示す番号を示す。なお、本実施例では、第1インタフェース111のインタフェース番号として「IF1」が設定されている。同様に、第2インタフェース112のインタフェース番号として「IF2」が、第3インタフェース113のインタフェース番号として「IF3」が、それぞれ設定されている。役割種別フィールドは、各インタフェースの役割を示す。役割種別フィールドの値が「認証対象端末」とは、認証対象となる端末が所属するネットワークを接続するインタフェースであることを示す。役割種別フィールドの値が「認証前」とは、認証前の端末が通信可能なネットワークを接続するインタフェースであることを示す。役割種別フィールドの値が「認証後」とは、認証成功した場合にのみ端末が通信可能なネットワークに接続するインタフェースであることを示す。
【0053】
図2の例では、第1エントリにおいて、第1インタフェース111(IF1)に「認証対象端末」が対応付けられている。また、第2エントリにおいて第2インタフェース112(IF2)に「認証前」が、第3エントリにおいて第3インタフェース113(IF3)に「認証後」が、それぞれ対応付けられている。これら第1〜第3エントリは、システム管理者が、予め各インタフェース111〜113の役割を考慮して設定しておく。
【0054】
図3は、図1に示すVRF判定テーブル158の初期状態を示す説明図である。VRF判定テーブル158は、パケット転送装置100がパケットを受信した際に、パケットの転送経路を検索するVRFフォワーディングテーブルを決定するためのテーブルである。VRF判定テーブル158では、「インタフェース番号」と「判定種別」と「MACアドレス」と「VRFフォワーディングテーブル種別」とが対応付けられている。
【0055】
インタフェース番号フィールドは、前述のインタフェース役割種別テーブル152の「インタフェース番号」と同じである。判定種別フィールドとは、VRFフォワーディングテーブルを決定する際に、いずれのエントリを参照するかを決定するために用いられる要素(フィールド)である。判定種別フィールドの値が「MACアドレス」とは、パケットの送信元のMAC(Media Access Control)アドレスを用いて参照するエントリを決定することを示す。判定種別フィールドの値が「インタフェース」とは、パケットの送信元のMACアドレスに関わらず、パケットを受信したインタフェースを用いて参照するエントリを決定することを示す。MACアドレスフィールドは、判定種別が「MACアドレス」であるエントリにおいて、MACアドレスを指定するための要素である。VRFフォワーディングテーブルフィールドは、パケットの転送経路を検索するために用いるVRFフォワーディングテーブルを指定する。
【0056】
図3の例では、第1エントリにおいて、判定種別「MACアドレス」,MACアドレス「その他」及びVRFフォワーディングテーブル種別「端末VRFフォワーディングテーブル」が、それぞれ設定されている。MACアドレスが「その他」とは、判定種別フィールドが「MACアドレス」のエントリにおいて、MACアドレスフィールドの値として「他のエントリにおいて指定されているMACアドレスを除く他の全てのMACアドレス」が設定されていることを示す。また、第2エントリにおいて、判定種別「インタフェース」,MACアドレス「−」及びVRFフォワーディングテーブル種別「認証後VRFフォワーディングテーブル」が、それぞれ設定されている。MACアドレスが「−」とは、MACアドレスを参照しないことを示す。なお、第3エントリにおいて、第3インタフェース113(IF3)について各フィールドの値が設定されているが、判定種別,MACアドレス及びVRFフォワーディングテーブル種別の各フィールドの値は第2エントリと同じであるので、説明を省略する。
【0057】
初期状態においては、これら3つのエントリ(第1〜第3エントリ)がVRF判定テーブル158に設定されている。これら3つのエントリは、ネットワークシステム10の初期コンフィグレーションの際に、VRF判定制御部128により生成される。具体的には、VRF判定制御部128は、図2に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、VRF判定制御部128は、役割種別が「認証対象端末」であるインタフェースについて、判定種別を「MACアドレス」に、MACアドレスを「その他」に、VRFフォワーディングテーブル種別を「端末VRFフォワーディングテーブル」に、それぞれ設定したエントリをVRF判定テーブル158に追加する。また、VRF判定制御部128は、役割種別が「認証前」及び「認証後」であるインタフェースについて、判定種別を「インタフェース」に、MACアドレスを「−」に、VRFフォワーディングテーブル種別を「認証後VRFフォワーディングテーブル」に、それぞれ設定したエントリをVRF判定テーブル158に追加する。このようにして、VRF判定テーブル158に、図3に示す第1〜第3エントリが追加される。なお、VRF判定テーブル158のエントリは、後述するように、初期コンフィグレーションの後も追加され得る。
【0058】
図4は、図1に示す端末VRFフォワーディングテーブル156の初期状態を示す説明図である。端末VRFフォワーディングテーブル156は、認証成功前の端末から受信したパケットを転送する際に転送経路を検索するために用いられるテーブルである。端末VRFフォワーディングテーブル156では、「宛先IPアドレス」と「サブネットマスク長」と「出力インタフェース番号」と「ネクストホップ」とが対応付けられている。「宛先IPアドレス」及び「サブネットマスク長」とは、パケット転送装置100が受信したパケットのヘッダから得られる宛先IPアドレス及びサブネットマスク長を示す。「出力インタフェース番号」とは、受信したIPアドレスを転送(出力)するインタフェースを示す。「ネクストホップ」とは、パケットの具体的な送信先のMACアドレスを示す。なお、「ネクストホップ」フィールドに設定される値として、各装置のMACアドレスの他、「未定」が設定され得る。ネクストホップが「未定」とは、MACアドレスが解決されていないことを示す。
【0059】
図4の例では、第1エントリにおいて、宛先IPアドレス「10.0.0.10」,サブネットマスク長「24」,出力インタフェース番号「IF1」及びネクストホップ「未定」が設定されている。これは、宛先が「10.0.0.10/24」(つまり、ユーザネットワーク170内への)のパケットについては、第1インタフェース111に転送するが、具体的な宛先装置については「未定」であることを意味する。また、第2エントリにおいて、宛先IPアドレス「11.0.0.11」,サブネットマスク長「24」,出力インタフェース番号「IF2」及びネクストホップ「未定」が設定されている。これは、宛先が「11.0.0.11/24」(つまり、認証ネットワーク190内への)のパケットについては、第2インタフェース112に転送するが、具体的な宛先装置については「未定」であることを意味する。
【0060】
初期状態においては、これら2つのエントリ(第1,2エントリ)が端末VRFフォワーディングテーブル156に設定されている。これら2つのエントリは、ネットワークシステム10の初期コンフィグレーションの際に、経路制御部124により生成される。具体的には、経路制御部124は、図2に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、経路制御部124は、役割種別が「認証対象端末」及び「認証前」であるインタフェースについて、それぞれに設定されているIPアドレス,サブネットマスク及びインタフェース番号に基づき、「宛先IPアドレス」,「サブネットマスク長」及び「インタフェース番号」の各フィールドを記載し、ネクストホップを「未定」に記載したエントリを端末VRFフォワーディングテーブル156に追加する。このようにして、端末VRFフォワーディングテーブル156に、図4に示す第1,2エントリが追加される。なお、端末VRFフォワーディングテーブル156のエントリは、後述するように、初期コンフィグレーションの後も追加され得る。
【0061】
図5は、図1に示す認証後VRFフォワーディングテーブル154の初期状態を示す説明図である。認証後VRFフォワーディングテーブル154は、認証成功後の端末,認証サーバ191,検疫サーバ192及び業務サーバ181から受信したパケットを転送する際に、転送経路を検索するために用いられるテーブルである。認証後VRFフォワーディングテーブル154の各フィールドの意味は、端末VRFフォワーディングテーブル156(図4)の各フィールドの意味と同じであるので説明を省略する。また、図5における第1,2エントリは、前述の端末VRFフォワーディングテーブル156の第1,2エントリと同じであるので説明を省略する。
【0062】
図5の例では、第3エントリにおいて、宛先IPアドレス「12.0.0.12」,サブネットマスク長「24」,出力インタフェース番号「IF3」及びネクストホップ「未定」が設定されている。これは、宛先が「12.0.0.12/24」(つまり、業務ネットワーク180)のパケットについては、第3インタフェース113に転送するが、具体的な宛先装置については「未定」であることを意味する。
【0063】
初期状態においては、これら3つのエントリ(第1〜3エントリ)が認証後VRFフォワーディングテーブル154に設定されている。これら3つのエントリは、ネットワークシステム10の初期コンフィグレーションの際に、経路制御部124により生成される。具体的には、経路制御部124は、図2に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、経路制御部124は、いずれの役割種別が設定されているインタフェースについても、それぞれに設定されているIPアドレス,サブネットマスク及びインタフェース番号に基づき、「宛先IPアドレス」,「サブネットマスク長」及び「インタフェース番号」の各フィールドを記載し、ネクストホップを「未定」に記載したエントリを認証後VRFフォワーディングテーブル154に追加する。このようにして、認証後VRFフォワーディングテーブル154に、図5に示す第1〜3エントリが追加される。なお、認証後VRFフォワーディングテーブル154のエントリは、後述するように、初期コンフィグレーションの後も追加され得る。
【0064】
前述のユーザネットワーク170は、請求項における第1のネットワークに相当する。また、認証ネットワーク190は請求項における第2のネットワークに、業務ネットワーク180は請求項における第3のネットワークに、端末VRFフォワーディングテーブル156は請求項における第1の転送経路テーブルに、認証後VRFフォワーディングテーブル154は請求項における第2の転送経路テーブルに、VRF判定テーブル158は請求項における検索転送経路テーブル決定テーブルに、メモリ150は請求項における転送経路テーブル格納部に、VRF判定制御部128は請求項におけるテーブル更新部及び転送経路決定部に、経路制御部124は請求項における転送経路テーブル更新部に、それぞれ相当する。
【0065】
A2.認証成功前後における転送経路の変化の概要:
図6は、端末の認証成功前後における転送経路を模式的に示す説明図である。ネットワークシステム10では、上述した各テーブル154,156,158の初期状態の設定、及び後述のVRF判定テーブル158のエントリ追加処理やパケット転送処理を実行することにより、認証成功前の端末は認証ネットワーク190にのみアクセス可能とし、認証成功後の端末は業務ネットワーク180に加えて認証ネットワーク190にもアクセス可能となるように構成されている。まず、図6を用いて端末から送信されるパケットの転送経路の変化について概略を説明し、次に、パケット転送処理及びVRF判定テーブル158のエントリ追加処理の詳細について説明する。
【0066】
図6では、パケット転送装置100の各構成要素のうち、VRF判定テーブル158と、端末VRFフォワーディングテーブル156と、認証後VRFフォワーディングテーブル154とのみを表わし、他の構成要素は省略している。図6において、破線の矢印は認証成功前の第1端末11から送信されるパケットの転送経路を示している。また、実線の矢印は認証成功後の第1端末11から送信されるパケットの転送経路を、一点鎖線の矢印は認証成功前後における業務サーバ181から認証サーバ191及び検疫サーバ192へのパケットの転送経路を示す。
【0067】
認証成功前には、第1端末11からのパケットの転送経路は、VRF判定テーブル158に基づき、端末VRFフォワーディングテーブル156の中から検索され決定される。ここで、端末VRFフォワーディングテーブル156には、認証ネットワーク190内の装置への転送経路が記述されているため、破線の矢印に示すように、パケットは認証サーバ191及び検疫サーバ192へと転送される。なお、端末VRFフォワーディングテーブル156には業務ネットワーク180への転送経路は記述されていないため、認証成功前における第1端末11からのパケットは、業務ネットワーク180に転送されることはない。
【0068】
認証成功により、VRF判定テーブル158は更新され、第1端末11からのパケットの転送経路は、認証後VRFフォワーディングテーブル154の中から検索され決定される。ここで、認証後VRFフォワーディングテーブル154には、業務ネットワーク180及び認証ネットワーク190への転送経路が記述されているため、実線の矢印に示すように、認証成功後における第1端末11からのパケットは業務サーバ181や、認証サーバ191や、検疫サーバ192へと転送される。
【0069】
なお、業務ネットワーク180から認証ネットワーク190へのパケットの転送経路は、図示を省略しているがVRF判定テーブル158を参照し、第1端末11の成功の有無に関わらず、認証後VRFフォワーディングテーブル154の中から検索され決定される。
【0070】
A3.端末認証時の動作:
図7は、ネットワークシステム10において実行されるパケット転送処理の手順を示すフローチャートである。第1端末11がユーザネットワーク170に所属すると、第1端末11はパケット転送装置100に対し、認証サーバ191宛のパケット(例えば、ログイン名及びパスワードを含むパケット)を送信する。パケット転送装置100では、パケットを受信すると、パケット転送処理を開始する。なお、予めIPアドレスを割り当てずDHCP(Dynamic Host Configuration Protocol)によりIPアドレスを付与する構成においては、認証処理の一部としてDHCPによりIPアドレスが割り当てられた後、認証サーバ191に認証用のパケットを送信する場合にパケット転送処理を開始する。
【0071】
まず、VRF判定制御部128は、VRF判定テーブル158を参照して、到着したパケットの転送経路を検索するために使用するVRFフォワーディングテーブル(以下、「検索使用VRFフォワーディングテーブル」と呼ぶ)を決定する(ステップS105)。第1端末11の認証成功前におけるVRF判定テーブル158の設定内容は、図3に示す初期状態となっている。したがって、認証前の第1端末11からのパケットについては、インタフェース番号が「IF1」であり、判定種別が「MACアドレス」であり、MACアドレスが「その他」である第1エントリがヒットし、転送経路を検索するのに使用するVRFフォワーディングテーブルとして、端末VRFフォワーディングテーブル156が決定される。
【0072】
検索使用VRFフォワーディングテーブルが決定されると、パケット転送処理部126は、ステップS105で決定されたVRFフォワーディングテーブルを参照し、転送経路を検索し(ステップS110)、転送経路が見つかったか否かを判定する(ステップS115)。認証前の第1端末11からのパケットについては、検索使用VRFフォワーディングテーブルとして端末VRFフォワーディングテーブル156が決定されるので、パケット転送処理部126は、端末VRFフォワーディングテーブル156から転送経路を検索する。なお、このときの端末VRFフォワーディングテーブル156の設定内容は、図4に示す初期状態となっている。
【0073】
検索使用VRFフォワーディングテーブルにおける転送経路の検索は、いわゆるロンゲストマッチ検索と呼ばれる方法を用いて実行される。具体的には、検索使用VRFフォワーディングテーブルの各エントリのうち、宛先IPアドレスにおけるサブネットマスク長に示す上位ビットの値が、受信したパケットの宛先IPアドレスにおけるサブネットマスク長に示す上位ビットの値と一致するエントリを検索し、より多くのビットで一致したエントリを決定する。認証成功前の第1端末11から受信するパケットは、認証サーバ191(11.0.0.1/32)宛であるので、図4に示す第2エントリが見つかる。
【0074】
転送経路が見つかった場合(ステップS115:YES)、パケット転送処理部126は、見つかった転送経路におけるネクストホップが未定(未解決)であるか否かを判定し(ステップS120)、ネクストホップが未定の場合には、経路制御部124を制御して、ネクストホップを解決する(ステップS125)。図4に示す第2エントリでは、ネクストホップは「未定」であるので、パケット転送処理部126は、ネクストホップを解決する。ネクストホップの解決方法としては、経路制御部124がARP(Address Resolution Protocol)を実行して解決する方法を採用することができる。
【0075】
ステップS125の結果、認証サーバ191へのネクストホップが解決すると、経路制御部124は、ステップS105で決定されたVRFフォワーディングテーブルに解決したネクストホップの値を記述する新たなエントリを追加する(ステップS130)。
【0076】
図8は、第1端末11について認証成功後の端末VRFフォワーディングテーブル156を示す説明図である。図8では、第1端末11について認証及び検疫がいずれも成功した後の端末VRFフォワーディングテーブル156を示す。前述のように、第1端末11の認証成功前において実行されるパケット転送処理のステップS130の後には、図8に示す第3エントリ(認証サーバ191への具体的な転送経路)が追加される。なお、この時点では、第4エントリは追加されていない。図8の第3エントリに示すように、第1端末11の認証動作において追加される新たなエントリでは、宛先IPアドレスとして「11.0.0.1」(認証サーバ191のIPアドレス)が、サブネットマスク長として「32」が、出力インタフェース番号として「IF2」が、ネクストホップとして「認証サーバ(のMACアドレス)」が、それぞれ記述される。
【0077】
ステップS130において、VRFフォワーディングテーブルに新たなエントリ(転送経路)が追加されると、パケット転送処理部126は受信したパケットを、VRFフォワーディングテーブルに従って転送する(ステップS135)。こうして認証サーバ191宛のパケットは、図8に示す第3エントリに記述された転送経路に従い、認証サーバ191へと転送される。
【0078】
前述のステップS115において、転送経路が見つからない場合には、パケット転送処理部126は、受信したパケットを廃棄する(ステップS140)。また、前述のステップS120においてネクストホップが解決済みであった場合には、ステップS125,130を省略して、ステップS135を実行する。
【0079】
このようにして、認証用パケットが認証サーバ191に届くと、認証サーバ191において認証処理が実行され、認証サーバ191から第1端末11へと認証用のパケットが送信される。この場合も、上述したパケット転送処理に従いパケットが転送される。ステップS105では、図3のVRF判定テーブル158の第2エントリに従い、検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブル154が決定される。ステップS110では、第1端末11への転送経路として、図5に示す認証後VRFフォワーディングテーブル154の第1エントリが見つかるが、ネクストホップが未定であるので、ステップS125において第1端末11へのネクストホップが解決される。その後、認証が成功し、第1端末11から検疫サーバ192に検疫用のパケットが送信されると、図8に示す第4エントリが端末VRFフォワーディングテーブル156に追加される。
【0080】
図9は、第1端末11について認証成功後の認証後VRFフォワーディングテーブル154を示す説明図である。図9では、第1端末11について認証及び検疫がいずれも成功し、かつ、その後に第1端末11が業務サーバ181にアクセスした後の認証後VRFフォワーディングテーブル154を示す。前述のように、第1端末11へのネクストホップが解決された場合、ステップS130において、認証後VRFフォワーディングテーブル154に第4エントリが追加される。そして、ステップS135において、認証用のパケットが第1端末11へと転送される。なお、認証及び検疫が成功してから業務サーバ181にアクセスする前には、第5エントリは追加されていない。
【0081】
認証サーバ191による認証が成功すると、次に検疫サーバ192により検疫が実行される。検疫の手順については、上述した認証サーバ191による認証の手順と同じであるので、説明は省略する。認証及び検疫が成功した後において、端末VRFフォワーディングテーブル156には、図8に示すように、第1〜第4エントリが記述される。なお、認証サーバ191は、認証及び検疫が成功した場合に、認証(認証及び検疫)が成功した旨を認証処理部122に通知し、認証処理部122は認証成功の旨をVRF判定制御部128に通知する。
【0082】
図10は、端末の認証成功後に実行されるVRF判定テーブルのエントリ追加処理の手順を示すフローチャートである。端末の認証成功の後、VRF判定制御部128は、VRF判定テーブル158のエントリ追加処理を実行する。
【0083】
具体的には、VRF判定制御部128は、ユーザネットワーク170に所属した端末について認証(認証及び検疫)が成功するまで待機する(ステップS205)。認証成功の旨を認証処理部122から通知されると、VRF判定制御部128は、認証成功した端末について、認証後VRFフォワーディングテーブル154と対応付けるエントリを、VRF判定テーブル158に追加する(ステップS210)。
【0084】
図11は、第1端末11の認証成功後に第1端末11についてのエントリが追加された後のVRF判定テーブル158を示す説明図である。前述のように第1端末11の認証が成功した場合に、VRF判定制御部128は、図11に示す第4エントリを追加する。この第4エントリは、MACアドレスフィールド及びVRFフォワーディングテーブル種別フィールドの値が異なる点において第1エントリと異なり、他のフィールドの値は第1エントリと同じである。すなわち、第4エントリでは、MACアドレスフィールドに第1端末11のMACアドレスである「mac1」が設定され、VRFフォワーディングテーブル種別フィールドに認証後VRFフォワーディングテーブル154が設定されている。このように第1端末11の認証成功の後にVRF判定テーブル158に第4エントリが追加されることにより、第1端末11は、業務ネットワーク180内の業務サーバ181にアクセスできるようになる。
【0085】
A4.端末認証成功後のパケット転送処理:
認証成功後に、第1端末11から業務サーバ181にパケットを送信する場合の動作について説明する。この場合も、第1端末11からパケットを受信すると、パケット転送装置100において図7に示すパケット転送処理が実行される。ステップS105では、第1端末11(MACアドレス=mac1)からのパケットを受信するため、図11に示すVRF判定テーブル158の第4エントリに基づき、検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブル154が決定される。このケースにおいて、ステップS110を実行するでは、図9に示す認証後VRFフォワーディングテーブル154に第5エントリがない状態であるので、第3エントリが見つかる。第3エントリではネクストホップが未定であるので、ステップS125によりネクストホップが解決され、ステップS130により、認証後VRFフォワーディングテーブル154にネクストホップを「業務サーバ」とするエントリ(第5エントリ)が追加される。したがって、ステップS135では、端末VRFフォワーディングテーブル154の第5エントリに従い、第1端末11からのパケットが業務サーバ181に転送される。
【0086】
また、認証成功後の第1端末11は、認証成功前と同様に、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にアクセスできる。具体的には、第1端末11から認証サーバ191にパケットを送信する場合について説明する。この場合も、第1端末11からパケットを受信すると、パケット転送装置100において図7に示すパケット転送処理が実行される。ステップS105では、上述した業務サーバ181にアクセスする場合と同様に、検索使用VRFフォワーディングテーブルとして、認証後VRFフォワーディングテーブル154が決定される。ステップS110では、図9に示す認証後VRFフォワーディングテーブル154において、認証サーバ191への転送経路がない状態であるので、第2エントリが見つかる。第2エントリではネクストホップが未定であるので、ステップS125によりネクストホップが解決され、ステップS130により、認証後VRFフォワーディングテーブル154にネクストホップを「認証サーバ」とするエントリ(図示省略)が追加される。したがって、ステップS135では、この新たに追加されたエントリに従い、第1端末11からのパケットが認証サーバ191に転送される。
【0087】
このように、ユーザネットワーク170に所属する端末については、認証成功の前後のいずれにおいても、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にアクセスすることができる。したがって、例えば、ひとたび認証成功した端末についても、定期的に、或いは随時に認証や検疫を実行させることができるので、ネットワークシステム10におけるセキュリティを向上させることができる。
【0088】
なお、業務サーバ181から認証ネットワーク190(認証サーバ191及び検疫サーバ192)には、端末の認証成功の有無に関わらずアクセスすることができる。これは以下の理由による。図3,11に示すように、業務サーバ181からのパケットの転送経路検索に使用するVRFフォワーディングテーブルは、VRF判定テーブル158において認証後VRFフォワーディングテーブル154(第3エントリ)となるように設定されている。また、認証後VRFフォワーディングテーブル154には、図5,9に示すように、宛先IPアドレスとして、認証ネットワーク190が接続されている第2インタフェース112(IF2)のIPアドレスが設定されたエントリ(第2エントリ)が記述されている。したがって、ネクストホップを解決することにより、認証ネットワーク190内の装置(認証サーバ191及び検疫サーバ192)への転送経路を記述したエントリを追加することができるからである。
【0089】
A5.VRF判定テーブルのエントリ削除処理:
図12は、パケット転送装置100において実行されるVRF判定テーブル158のエントリ削除処理の手順を示す説明図である。端末の認証成功の後、VRF判定制御部128は、VRF判定テーブル158のエントリ削除処理を開始する。まず、VRF判定制御部128は、端末の認証解除を検出するまで待機する(ステップS305)。
【0090】
端末の認証が解除されるのは、例えば、ユーザが端末からログオフした場合や、認証成功後に定期的に実行される認証や検疫で失敗と判定されたケースなどである。これらの場合、認証処理部122は、認証失敗(認証解除)した端末のMACアドレスと、認証解除の旨をVRF判定制御部128に通知する。
【0091】
VRF判定制御部128は、端末の認証解除を検出すると、通知されたMACアドレスの端末についてのエントリをVRF判定テーブル158から削除する(ステップS310)。例えば、第1端末11の認証が解除された場合には、VRF判定制御部128は、図11に示すVRF判定テーブル158の第4エントリを削除する。その結果、VRF判定テーブル158は、図3に示す初期状態に戻る。
【0092】
したがって、その後、第1端末11がユーザネットワーク170に所属した場合には、VRF判定テーブル158(第1エントリ)に基づき、検索使用VRFフォワーディングテーブルとして、端末VRFフォワーディングテーブル156が決定されることとなる。それゆえ、第1端末11は、再度認証成功と判定されるまで、業務ネットワーク180(業務サーバ181)にはアクセスすることができない。なお、「ひとたび端末が認証された場合には、端末のログオフの後においても認証成功の状態を維持する」といったポリシーを採用するのであれば、上述したVRF判定テーブルのエントリ削除処理は省略することができる。
【0093】
以上説明したように、第1の実施例のネットワークシステム10では、認証成功前に、第1端末11からのパケットの検索使用VRFフォワーディングテーブルとして、端末VRFフォワーディングテーブル156を決定するようなエントリをVRF判定テーブル158に設定している。また、端末VRFフォワーディングテーブル156には、宛先IPアドレスフィールドに第1,2インタフェース111,112のIPアドレスを設定したエントリ(第1,2エントリ)が記述されている。したがって、認証成功前の端末は、ネクストホップを解決して、ユーザネットワーク170及び認証ネットワーク190(認証サーバ191及び検疫サーバ192)にアクセスすることができるが、業務ネットワーク180(業務サーバ181)にアクセスすることはできない。したがって、認証前の端末による業務サーバ181へのアクセスを抑制できる。
【0094】
また、認証成功後に、第1端末11からのパケットの検索使用VRFフォワーディングテーブルとして、認証後VRFフォワーディングテーブル154を決定するようなエントリをVRF判定テーブル158に追加するようにしている。加えて、認証後VRFフォワーディングテーブル154には、宛先IPアドレスフィールドに第2,3インタフェース112,113のIPアドレスが設定されたエントリ(第2,3エントリ)が記述されている。したがって、認証成功後の端末は、ネクストホップを解決して、業務ネットワーク180(業務サーバ181)にアクセスできることに加えて、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にもアクセスすることができる。したがって、例えば、認証成功後の端末についても、定期的に或いは随時に、認証サーバ191や検疫サーバ192による認証や検疫を実行することができる。
【0095】
また、ネットワークシステム10では、第1端末11に割り当てられたIPアドレスは1つであるので、第1端末11に対して、認証前後で異なるIPアドレスを割り当てる構成に比べて、IPアドレスの利用効率を向上させることができる。
【0096】
また、認証解除された場合には、VRF判定テーブル158において認証成功時に追加されたエントリを削除するだけで、認証解除された端末による業務ネットワーク180へのアクセスを抑制できる。したがって、簡易な構成により、認証結果に応じたアクセス制限を実現でき、ネットワークシステム10の構築コスト及び運用コストを抑制できる。
【0097】
B.第2の実施例:
B1.システム構成:
図13は、第2の実施例のネットワークシステム10aの構成を示す説明図である。第2の実施例のネットワークシステム10aは、以下の5点において第1の実施例のネットワークシステム10と異なり、他の構成は第1の実施例と同じである。すなわち、パケット転送装置100aが、第1〜3のインタフェース111〜113に加えて第4インタフェース114を備えている点と、認証後VRFフォワーディングテーブル154に代えて、認証VRFフォワーディングテーブル154aと第1業務VRFフォワーディングテーブル154bと第2業務VRFフォワーディングテーブル154cとを備えている点と、業務ネットワーク180に代えて、2つの業務ネットワーク(第1業務ネットワーク180a及び第2業務ネットワーク180b)を備えている点と、第1端末11に加えて第2端末12がユーザネットワーク170に所属し得る点と、認証サーバ191がアクセス許可テーブル193を備えている点とが、第1の実施例のネットワークシステム10との相違点である。
【0098】
第4インタフェース114は、第2業務ネットワーク180bを接続するインタフェースである。なお、第3インタフェース113に接続されたネットワークを第1業務ネットワーク180aと呼ぶ。これら2つの業務ネットワーク180a,180bは、いずれも、第1の実施例の業務ネットワーク180と同じ役割を有する。第1業務ネットワーク180aには、第1業務サーバ181aが所属しており、第2業務ネットワーク180bには、第2業務サーバ181bが所属している。
【0099】
第1の実施例と同様に、各端末やサーバやパケット転送装置100aの各インタフェースには、予めIPアドレスが割り当てられている。具体的には、第4インタフェース114には13.0.0.13/24が割り当てられている。また、第1業務サーバ181aには12.0.0.1/32が、第2業務サーバ181bには13.0.0.1/32が、第2端末12には10.0.0.2/32が、それぞれ割り当てられている。なお、第2端末12には、MACアドレスとして「mac2」が設定されている。
【0100】
認証VRFフォワーディングテーブル154aは、認証ネットワーク190に属する装置(認証サーバ191及び検疫サーバ192)から受信したパケットの転送経路を検索するために用いられるテーブルである。第1業務VRFフォワーディングテーブル154bは、第1業務ネットワーク180aに属する装置(第1業務サーバ181a)及び認証成功後の2つの端末11,12から受信したパケットの転送経路を検索するために用いられるテーブルである。第2業務VRFフォワーディングテーブル154cは、第2業務ネットワーク180bに属する装置(第2業務サーバ181b)及び認証成功後の第2端末12から受信したパケットの転送経路を検索するために用いられるテーブルである。
【0101】
図13に示すように、認証サーバ191が備えるアクセス許可テーブル193には、ユーザネットワーク170に所属し得る端末と、アクセスを許可するネットワークとが対応付けられている。具体的には、第1端末11には第1業務ネットワーク180aが対応付けられ、第2端末12には、第1業務ネットワーク180a及び第2業務ネットワーク180bが対応付けられている。このアクセス許可テーブル193は、ネットワークシステム10の初期コンフィグレーションの際に、ネットワーク管理者により設定される。
【0102】
図14は、第2の実施例のインタフェース役割種別テーブル152を示す説明図である。第2の実施例におけるインタフェース役割種別テーブル152は、第2エントリにおいて、役割種別「認証前」が設定されている点と、第3エントリにおいて役割種別「第1業務」が設定されている点と、第4エントリとして、インタフェース番号「IF4」及び役割種別「第2業務」が設定されている点とにおいて、図2に示す第1の実施例のインタフェース役割種別テーブル152と異なり、他の構成は、第1の実施例と同じである。
【0103】
図15は、第2の実施例におけるVRF判定テーブル158の初期状態を示す説明図である。第2の実施例における初期状態のVRF判定テーブル158は、第2エントリにおいて、VRFフォワーディングテーブル種別として「認証VRFフォワーディングテーブル」が設定されている点と、第3エントリにおいて、VRFフォワーディングテーブル種別として「第1業務VRFフォワーディングテーブル」が設定されている点と、第4エントリとして、インタフェース番号「IF4」,判定種別「インタフェース」,MACアドレス「−」及びVRFフォワーディングテーブル「第2業務VRFフォワーディングテーブル」が、それぞれ設定されている点において、図3に示す第1の実施例のVRF判定テーブル158と異なり、他の構成は第1の実施例と同じである。
【0104】
VRF判定テーブル158の初期状態における各エントリは、第1の実施例と同様に、インタフェース役割種別テーブル152に基づき作成される。具体的には、役割種別「認証前」のインタフェース(第2インタフェース112)に対しては、VRFフォワーディングテーブル種別として「認証VRFフォワーディングテーブル」が生成される。また、役割種別「第1業務」のインタフェースにはVRFフォワーディングテーブル種別「第1業務VRFフォワーディングテーブル」が、役割種別「第2業務」のインタフェースにはVRFフォワーディングテーブル種別「第2業務VRFフォワーディングテーブル」が、それぞれ設定される。
【0105】
第2の実施例における初期状態の端末VRFフォワーディングテーブル156は、図4に示す第1の実施例の端末VRFフォワーディングテーブル156と同じであるので、説明を省略する。
【0106】
図16は、第2の実施例における認証VRFフォワーディングテーブル154aの初期状態を示す説明図である。認証VRFフォワーディングテーブル154aの各フィールドは、他のVRFフォワーディングテーブルの各フィールドと同じである。初期状態の認証VRFフォワーディングテーブル154aは、第4エントリとして、宛先IPアドレス「13.0.0.13」,サブネットマスク長「24」,出力インタフェース番号「IF4」及びネクストホップ「未定」が設定されている点を除き、図5に示す第1の実施例における初期状態の認証後VRFフォワーディングテーブル154と同じである。この第4エントリは、第1〜3エントリと同様に、ネットワークシステム10aの初期コンフィグレーションの際に、経路制御部124により生成される。
【0107】
図17は、第2の実施例における第1業務VRFフォワーディングテーブル154bの初期状態を示す説明図である。初期状態の第1業務VRFフォワーディングテーブル154bは、図5に示す第1の実施例における初期状態の認証後VRFフォワーディングテーブル154と同じである。すなわち、宛先IPアドレスとして、ユーザネットワーク170に接続されたインタフェース(第1インタフェース111)のIPアドレスと、認証ネットワーク190に接続されたインタフェース(第2インタフェース112)のIPアドレスと、第1業務ネットワーク180aに接続されたインタフェース(第3インタフェース113)のIPアドレスとが記述されたエントリのみが、初期状態において設定されている。
【0108】
これらの初期状態における各エントリは、ネットワークシステム10aの初期コンフィグレーションの際に、経路制御部124により生成される。具体的には、インタフェース役割種別テーブル152における役割種別が「認証対象端末」,「認証前」及び「第1業務」であるインタフェースについて、各インタフェースに設定されているIPアドレス,サブネットマスク,インタフェース番号に基づき、宛先IPアドレスフィールド,サブネットマスク長フィールド,出力インタフェース番号フィールドの各値が設定され、ネクストホップフィールドを「未定」に設定されたエントリが生成される。
【0109】
図18は、第2の実施例における第2業務VRFフォワーディングテーブル154cの初期状態を示す説明図である。初期状態の第2業務VRFフォワーディングテーブル154cは、第3エントリとして、宛先IPアドレス「13.0.0.13」,サブネットマスク長「24」,出力インタフェース番号「IF4」及びネクストホップ「未定」が設定されている点において、図17に示す初期状態の第1業務VRFフォワーディングテーブル154bと異なり、他の構成は第1業務VRFフォワーディングテーブル154bと同じである。これらの初期状態における各エントリは、第1業務VRFフォワーディングテーブル154bと同様にして、ネットワークシステム10aの初期コンフィグレーションの際に、経路制御部124により生成される。
【0110】
本実施例では、第1業務ネットワーク180a及び第2業務ネットワーク180bは、請求項における第3のネットワークに相当する。また、認証VRFフォワーディングテーブル154aは請求項における第3の転送経路テーブルに、また、第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cは請求項における第2の転送経路テーブルに、それぞれ相当する。
【0111】
B2.認証成功前後における転送経路の変化の概要:
図19は、第2の実施例における第1端末11の認証成功前後の転送経路を模式的に示す説明図である。図20は、第2の実施例における第2端末12の認証成功前後の転送経路を模式的に示す説明図である。
【0112】
第2の実施例のネットワークシステム10aでは、上述した各テーブルの初期状態の設定、及び後述のVRF判定テーブル158のエントリ追加処理やパケット転送処理を実行することにより、認証成功前の端末はいずれも認証ネットワーク190にのみアクセス可能とすると共に、各端末11,12ごとに、認証成功後にアクセス可能なネットワーク(サーバ)を設定可能に構成されている。
【0113】
図19に示すように、認証成功前において、第1端末11からのパケットは、端末VRFフォワーディングテーブル156を検索して得られた転送経路を転送され、認証サーバ191及び検疫サーバ192に転送される。認証成功後において、第1端末11からのパケットは、第1業務VRFフォワーディングテーブル154bを検索して得られた転送経路を転送され、第1業務サーバ181aに転送される。また、認証成功後において、第1端末11からのパケットは、第1業務VRFフォワーディングテーブル154bを検索して得られた転送経路を転送され、認証サーバ191及び検疫サーバ192に転送される。なお、認証成功後において、第1端末11からのパケットは、第2業務サーバ181bに転送されないように構成されている。
【0114】
図20に示すように、認証成功前において、第2端末12からのパケットは、端末VRFフォワーディングテーブル156を検索して得られた転送経路を転送され、認証サーバ191及び検疫サーバ192に転送される。認証成功後において、第2端末12からのパケットは、第1業務VRFフォワーディングテーブル154bを検索して得られた転送経路を転送され、第1業務サーバ181aに転送される。また、認証成功後において、第2端末12からのパケットは、第2業務VRFフォワーディングテーブル154cを検索して得られた転送経路を転送され、第2業務サーバ181bに転送される。また、認証成功後において、第2端末12からのパケットは、第1業務VRFフォワーディングテーブル154bを検索して得られた転送経路を転送され、認証サーバ191及び検疫サーバ192に転送される。
【0115】
B3.端末認証時の動作:
図21は、第2の実施例におけるパケット転送処理の手順を示すフローチャートである。第2の実施例のパケット転送処理は、ステップS110に代えて、ステップS110aを実行する点において、第1の実施例のパケット転送処理(図7)と異なり、他の手順は第1の実施例と同じである。第2の実施例では、VRF判定テーブル158のVRFフォワーディング種別として複数のVRFフォワーディングテーブルを設定することを許容している。したがって、ステップS105において、到着したパケットの検索使用VRFフォワーディングテーブルとして複数のVRFフォワーディングテーブルが決定され得る。そこで、ステップS110aでは、転送経路を検索する際に、これら複数のVRFフォワーディングテーブルを順次参照するものとしている。
【0116】
なお、後述するように、端末認証時には、ステップS105において、検索使用VRFフォワーディングテーブルとして端末VRFフォワーディングテーブル156のみが決定されるので、端末認証時における動作(ステップS110aの実行結果)は第1の実施例と同じである。
【0117】
ここで、第2の実施例では、認証成功の際に、認証サーバ191から認証処理部122に通知される情報において、第1の実施例と異なる。具体的には、認証サーバ191は、認証及び検疫が成功した場合に、認証(認証及び検疫)が成功した旨に加えて、認証が成功した端末に対してアクセスが許可されているネットワークについての情報を認証処理部122に通知する。具体的には、認証サーバ191は、第1端末11の認証が成功した場合に、図13に示すアクセス許可テーブル193を参照し、アクセスが許可されたネットワークとして「第1業務ネットワーク」を認証成功の旨と共に認証処理部122に通知する。また、認証サーバ191は、第2端末12の認証が成功した場合に、アクセス許可テーブル193を参照し、アクセスが許可されたネットワークとして「第1業務ネットワーク及び第2業務ネットワーク」を認証成功の旨と共に認証処理部122に通知する。認証処理部122は、認証成功の旨と、アクセスが許可されたネットワークの情報を、VRF判定制御部128に通知する。
【0118】
図22は、第2の実施例におけるVRF判定テーブルのエントリ追加処理の手順を示すフローチャートである。第2の実施例のVRF判定テーブルのエントリ追加処理は、ステップS210に代えて、ステップS210aを実行する点において、図10に示す第1の実施例のVRF判定テーブルのエントリ追加処理と異なり、他の手順は第1の実施例と同じである。ステップS205を実行した後、VRF判定制御部128は、認証成功した端末について、アクセス許可されたネットワークからのパケットの検索使用VRFフォワーディングテーブルと対応付けるエントリを、VRF判定テーブル158に追加する(ステップS210a)。
【0119】
図23は、第1端末11及び第2端末12の認証成功後に、これら2つの端末11,12についてのエントリが追加された後のVRF判定テーブル158を示す説明図である。第1端末11にアクセス許可されたネットワークは、第1業務ネットワーク180aである。第1業務ネットワーク180aからのパケットの検索使用VRFフォワーディングテーブルは、第1業務VRFフォワーディングテーブル154bである(VRF判定テーブル158の第3エントリ参照)。したがって、第1端末11が認証成功した場合に、VRF判定制御部128は、インタフェース番号「IF1」,判定種別「MACアドレス」,MACアドレス「mac1」及びVRFフォワーディングテーブル種別「第1業務VRFフォワーディングテーブル」が設定されたエントリ(第5エントリ)をVRF判定テーブル158に追加する。
【0120】
また、第2端末12にアクセス許可されたネットワークは、第1業務ネットワーク180a及び2業務ネットワーク180bである。第1業務ネットワーク180aからのパケットの検索使用VRFフォワーディングテーブルは、第1業務VRFフォワーディングテーブル154bである(VRF判定テーブル158の第3エントリ参照)。第2業務ネットワーク180bからのパケットの検索使用VRFフォワーディングテーブルは、第2業務VRFフォワーディングテーブル154cである(VRF判定テーブル158の第4エントリ参照)。したがって、第2端末12が認証成功した場合に、VRF判定制御部128は、インタフェース番号「IF1」,判定種別「MACアドレス」,MACアドレス「mac2」及びVRFフォワーディングテーブル種別「第1業務VRFフォワーディングテーブル,第2業務VRFフォワーディングテーブル」が設定されたエントリ(第6エントリ)をVRF判定テーブル158に追加する。
【0121】
図24は、第1端末11及び第2端末12の認証成功後の認証VRFフォワーディングテーブル154aを示す説明図である。2つの端末11,12の認証動作において、認証サーバ191及び検疫サーバ192は、これら2つの端末11,12にパケットを送信する。この際に、各端末11,12へのネクストホップが解決され、第5,6エントリが追加される。
【0122】
B4.端末認証成功後のパケット転送処理:
認証成功後に、第1端末11から業務サーバ181にパケットを送信する場合のパケット転送処理について説明する。図21に示すステップS105では、図23に示すVRF判定テーブル158の第5エントリに基づき、検索使用VRFフォワーディングテーブルとして、第1業務VRFフォワーディングテーブル154bが決定される。
【0123】
図25は、第1端末11及び第2端末12の認証成功後の第1業務VRFフォワーディングテーブル154bを示す説明図である。図25では、第1端末11及び第2端末12について認証及び検疫がいずれも成功し、かつ、その後に第1端末11及び第2端末12が第1業務サーバ181aにアクセスした後の第1業務VRFフォワーディングテーブル154bを示す。第2端末12が第1業務サーバ181aにアクセスしておらず、第1端末11のみが第1業務サーバ181aにアクセスした後には、図17に示す初期状態から第4,5エントリが追加される。その後、第2端末12が第1業務サーバ181aにアクセスした場合に、第6エントリが追加される。
【0124】
図25に示すように、第1業務VRFフォワーディングテーブル154bの第3エントリには、宛先IPアドレスとして第3インタフェース113が設定されている。したがって、ステップS110aではこのエントリが発見され、さらに、第1業務サーバ181aへのネクストホップが解決され(ステップS125)、第5エントリが追加される(ステップS130)。したがって、この第1業務VRFフォワーディングテーブル154bの第5エントリに基づき、第1端末11から第1業務サーバ181aへとパケットが転送される(ステップS135)。なお、その後、第1業務サーバ181aから第1端末11へのパケットを転送する際に、第4エントリが追加される。
【0125】
ここで、図25に示す第1業務VRFフォワーディングテーブル154bには、宛先IPアドレスとして、第3インタフェース113に加えて、第2インタフェース112が設定されたエントリ(第2エントリ)が記述されている。したがって、認証成功後において、第1端末11は、第1業務ネットワーク180a(第1業務サーバ181a)に加えて、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にもアクセスすることができる。一方、第1業務VRFフォワーディングテーブル154bには、宛先IPアドレスとして、第4インタフェース114が設定されたエントリは記述されていない。したがって、認証成功後において、第1端末11は、第2業務ネットワーク180b(第2業務サーバ181b)にアクセスすることはできない。
【0126】
認証成功後に、第2端末12から第1業務サーバ181aにアクセスする場合のパケット転送処理について説明する。なお、前提として、上述した第1端末11から第1業務サーバ181aへのアクセスが既に実行されており、第1業務サーバ181aへのネクストホップが解決され、第1業務VRFフォワーディングテーブル154bに第5エントリが記述されているものとする。
【0127】
ステップS105では、図23に示すVRF判定テーブル158の第6エントリに基づき、検索使用VRFフォワーディングテーブルとして、第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cが決定される。ステップS110aでは、これら2つのVRFフォワーディングテーブル154a,154bが、この順序で参照され転送経路が検索される。このとき、第1業務VRFフォワーディングテーブル154b(図25)には、ネクストホップを第1業務サーバ181aとするエントリ(第5エントリ)が記述されているので、第2業務VRFフォワーディングテーブル154cを参照することなく、第1業務サーバ181aへの転送経路が見つかる。したがって、この第1業務VRFフォワーディングテーブル154bの第5エントリに基づき、第2端末12から第1業務サーバ181aへとパケットが転送される。
【0128】
次に、認証成功後に、第2端末12から第2業務サーバ181bにアクセスする場合のパケット転送処理について説明する。
【0129】
ステップS105では、上述した第1業務サーバ181aにアクセスする場合と同様に、検索使用VRFフォワーディングテーブルとして、第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cが決定される。ステップS110aでは、これら2つのVRFフォワーディングテーブル154a,154bが、この順序で参照され転送経路が検索される。
【0130】
図26は、第1端末11及び第2端末12の認証成功後の第2業務VRFフォワーディングテーブル154cを示す説明図である。図26では、第1端末11及び第2端末12について認証及び検疫がいずれも成功し、かつ、その後に第2端末12が第2業務サーバ181bにアクセスした後の第2業務VRFフォワーディングテーブル154cを示す。なお、第2端末12が最初に第2業務サーバ181bにアクセスする際には、第4,5エントリは記述されていない。
【0131】
図18,26に示すように、第2業務VRFフォワーディングテーブル154cには、宛先IPアドレスとして第4インタフェース114が設定されたエントリ(第3エントリ)が記述されている。一方、図17,25に示す第1業務VRFフォワーディングテーブル154bには、第4インタフェース114が設定されたエントリは記述されていない。したがって、ステップS110aでは、第1業務VRFフォワーディングテーブル154b,第2業務VRFフォワーディングテーブル154cの順序で参照され、第2業務VRFフォワーディングテーブル154cにおいて第3エントリが発見される。そして、第2業務サーバ181bへのネクストホップが解決され(ステップS125)、第2業務VRFフォワーディングテーブル154cに第5エントリが追加される。したがって、この第5エントリに基づき、第2端末12から第2業務サーバ181bへとパケットが転送される(ステップS135)。
【0132】
上述したように、図25に示す第1業務VRFフォワーディングテーブル154bには、宛先IPアドレスとして、第2インタフェース112が設定されたエントリ(第2エントリ)が記述されている。したがって、認証成功後において、第2端末12は、第1端末11と同様に、認証ネットワーク190(認証サーバ191及び検疫サーバ192)にもアクセスすることができる。
【0133】
以上説明した第2の実施例のネットワークシステム10aは、第1の実施例のネットワークシステム10と同じ効果を有する。加えて、第1業務VRFフォワーディングテーブル154bでは、宛先IPアドレスとして第3インタフェース113を設定したエントリを記述し、第4インタフェース114を設定したエントリを記述せず、また、第2業務VRFフォワーディングテーブル154cでは、宛先IPアドレスとして第4インタフェース114を設定したエントリを記述し、第3インタフェース113を設定したエントリを記述しない構成を採用している。そして、VRF判定テーブル158において、第1端末11からのパケットの検索使用VRFフォワーディングテーブルとして第1業務VRFフォワーディングテーブル154bを設定したエントリを記述し、第2端末12からのパケットの検索使用VRFフォワーディングテーブルとして第1,2VRFフォワーディングテーブル154cを設定したエントリを記述する構成を採用している。このような構成により、第1端末11は第1業務ネットワーク180a(第1業務サーバ181a)にアクセスできるが、第2業務ネットワーク180b(第2業務サーバ181b)にはアクセスできないようにすることができる。また、第2端末12は、第1業務ネットワーク180a(第1業務サーバ181a)及び第2業務ネットワーク180b(第2業務サーバ181b)のいずれにもアクセスできるようにすることができる。
【0134】
加えて、第1業務VRFフォワーディングテーブル154bには、宛先IPアドレスとして第2インタフェース112を設定したエントリを記述しているので、認証成功後において、第1端末11及び第2端末12は、いずれも認証ネットワーク190(認証サーバ191及び検疫サーバ192)にアクセスすることができる。
【0135】
C.第3の実施例:
図27は、第3の実施例のネットワークシステムの構成を示す説明図である。第3の実施例のネットワークシステム10bは、ルータ172を備えている点と、アクセスネットワーク200を備えている点とにおいて第1の実施例と異なり、他の構成は第1の実施例と同じである。
【0136】
ルータ172は、レイヤ2スイッチ171とパケット転送装置100の第1インタフェース111とに接続されており、ユーザネットワーク170と、アクセスネットワーク200とをレイヤ3において接続する。アクセスネットワーク200は、ルータ172と第1インタフェース111との間に設けられたレイヤ3のネットワーク(VLAN)である。第1端末11には、予めIPアドレス「20.0.0.1/32」が割り当てられている。
【0137】
このように、第1端末11と第1インタフェース111とが、ルータ172を介して接続された場合、ルータ172から第1インタフェース111に届くパケット(レイヤ2フレーム)の送信元アドレス(MACアドレス)は、ルータ172のポートに割り当てられているMACアドレスとなる。したがって、パケット転送処理のステップS105において、送信元MACアドレスに基づき正しいパケットの送信元を判断することができない。そこで、第3の実施例では、送信元IPアドレスに基づきパケットの送信元を判断するように構成されている。
【0138】
図28は、第3の実施例のVRF判定テーブル158を示す説明図である。図28では、第1端末11について認証及び検疫がいずれも成功した後のVRF判定テーブル158を示す。第3の実施例のVRF判定テーブル158は、MACアドレスフィールドに代えて、IPアドレスフィールドが設けられている点において、第1の実施例のVRF判定テーブルと異なり、他の構成は第1の実施例と同じである。
【0139】
図28において第4エントリは、第1端末11について認証成功後に追加されたエントリである。この第4エントリでは、インタフェース番号「IF1」,判定種別「IPアドレス」,IPアドレス「20.0.0.1/32」及びVRFフォワーディングテーブル種別「認証後VRFフォワーディングテーブル」が設定されている。したがって、認証成功後に、第1端末11からパケットを受信した際には、パケットの送信元IPアドレスが「20.0.0.1/32」であるので、第4エントリに基づき、検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブルが決定される。
【0140】
以上説明した第3の実施例のネットワークシステム10bも、第1の実施例のネットワークシステム10と同様な効果を有する。加えて、VRF判定テーブル158において、第1端末11から送信されるパケットの検索使用VRFフォワーディングテーブルを決定するためのエントリにおいて、判定種別を「IPアドレス」とし、IPアドレスを「20.0.0.1/32」と設定するので、パケット転送装置100に到着したパケットの送信元をIPアドレスにより判断することができる。したがって、第1端末11が所属するネットワーク(VLAN)と、第1インタフェース111が所属するネットワーク(VLAN)が異なる場合においても、パケットの送信元を正確に判定することができる。
【0141】
D.第4の実施例:
第4の実施例のネットワークシステムは、初期状態における第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cにおいて、宛先IPアドレスとして第1インタフェース111(ユーザネットワーク170)が設定されたエントリがない点と、VRF判定テーブル158のエントリ追加に加えて、VRFフォワーディングテーブルのエントリ追加の処理を実行する点において、第2の実施例のネットワークシステム10aと異なり、他の構成は第2の実施例と同じである。
【0142】
第4の実施例のネットワークシステムでは、第1業務サーバ181a及び第2業務サーバ181bからアクセス可能な端末を、第1端末11ないし第2端末12に限定し、ユーザネットワーク170に所属する他の端末(図示省略)へのアクセスを抑制するように構成されている。
【0143】
図29は、第4の実施例における第1業務VRFフォワーディングテーブル154bの初期状態を示す説明図である。図30は、第4の実施例における第2業務VRFフォワーディングテーブル154cの初期状態を示す説明図である。図29に示すように、第4の実施例の第1業務VRFフォワーディングテーブル154bでは、第2の実施例とは異なり、初期状態において、宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリがない。同様に、図30に示すように、第2業務VRFフォワーディングテーブル154cにおいても、第2の実施例とは異なり、初期状態において、宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリがない。
【0144】
図31は、第4の実施例におけるVRF判定テーブル158及びVRFフォワーディングテーブルへのエントリ追加処理の手順を示すフローチャートである。ステップS205及びステップS210aは、第2の実施例のVRF判定テーブルのエントリ追加処理(図22)と同じである。端末の認証が成功し(ステップS205:YES)、認証成功した端末についてのエントリがVRF判定テーブル158に追加されると(ステップS210a)、経路制御部124は、認証成功した端末への転送経路を、認証VRFフォワーディングテーブル154aから検索する(ステップS215)。
【0145】
図24に示すように、第1端末11及び第2端末12が認証成功した後における認証VRFフォワーディングテーブル154aには、第1端末11への転送経路を示すエントリ(第5エントリ)及び第2端末12への転送経路を示すエントリ(第6エントリ)が記述されている。したがって、第1端末11及び第2端末12が認証成功した後においてステップS215を実行する場合、この認証VRFフォワーディングテーブル154aの第5,6エントリが見つかることとなる。
【0146】
認証成功した端末への転送経路が見つかると、経路制御部124は、見つかった転送経路を、VRF判定テーブル158において端末に対応付けられているVRFフォワーディングテーブルにコピーする(ステップS220)。
【0147】
図32は、ステップS220実行後の第1業務VRFフォワーディングテーブル154bを示す説明図である。図33は、ステップS220実行後の第2業務VRFフォワーディングテーブル154cを示す説明図である。
【0148】
図23に示すように、第1端末11及び第2端末12の認証成功後におけるVRF判定テーブル158では、第1端末11には第1業務VRFフォワーディングテーブル154bが対応付けられている。また、第2端末12には、第1業務VRFフォワーディングテーブル154b及び第2業務VRFフォワーディングテーブル154cが対応付けられている。したがって、ステップS220実行後には、図32に示すように、第1業務VRFフォワーディングテーブル154bには第3,4エントリが追加され、第2業務VRFフォワーディングテーブル154cには図33に示す第3エントリが追加される。
【0149】
したがって、第1業務サーバ181aから第1端末11へのパケットについては、図32に示す第3エントリに基づきパケットが転送される。また、第1業務サーバ181aから第2端末12へのパケットについては、図32に示す第4エントリに基づきパケットが転送される。ここで、第1業務サーバ181aからユーザネットワーク170に所属する他の端末(図示省略)へのパケットについては、第1業務VRFフォワーディングテーブル154bに宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリがないのでARP解決することができず、転送経路が見つからずに廃棄される。
【0150】
また、第2業務サーバ181bから第2端末12へのパケットについては、図33に示す第2業務VRFフォワーディングテーブル154cの第3エントリに基づき、パケットが転送される。ここで、第2業務サーバ181bからユーザネットワーク170に所属する他の端末(図示省略)へのパケットについては、第2業務VRFフォワーディングテーブル154cに宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリがないのでARP解決することができず、転送経路が見つからずに廃棄される。
【0151】
図34は、第4の実施例のエントリ削除処理の手順を示すフローチャートである。第4の実施例のエントリ削除処理では、ステップS315を加えた点において、第1,2の実施例のVRF判定テーブルのエントリ削除処理(図12)と異なり、他の手順はVRF判定テーブルのエントリ削除処理と同じである。
【0152】
ステップS310において、認証解除された端末のエントリをVRF判定テーブル158から削除した後に、経路制御部124は、認証解除された端末への転送経路をVRFフォワーディングテーブルから削除する(ステップS315)。
【0153】
具体的には、2つの端末11,12が認証解除された場合、経路制御部124は、図32に示す第1業務VRFフォワーディングテーブル154bの第3,4エントリを削除し、また、図33に示す第2業務VRFフォワーディングテーブル154cの第3エントリを削除する。なお、これらの削除対象とするエントリは、認証処理部122から通知される認証を解除された端末に関する情報(IPアドレス等)に基づき決定される。
【0154】
なお、本実施例において、図32に示す第3,4エントリ及び図33に示す第3エントリは請求項における端末経路情報に相当する。
【0155】
以上説明した第4の実施例のネットワークシステムも、第1の実施例のネットワークシステム10と同様な効果を有する。加えて、第4の実施例のネットワークシステムでは、第1業務サーバ181a及び第2業務サーバ181bに、宛先IPアドレスを第1インタフェース111(10.0.0.10/24)とするエントリ(転送経路)を初期状態において記述しないようにし、認証成功した端末についての転送経路のみ、認証VRFフォワーディングテーブル154aからコピーするようにしている。したがって、第1業務サーバ181a及び第2業務サーバ181bから第1端末11及び第2端末12へのパケットの転送を可能にすると共に、これら2つの業務サーバ181a,181bからユーザネットワーク170に属する他の端末(或いは認証成功前の端末11,12)へのパケットの転送を抑制することができる。それゆえ、2つの業務サーバ181a,181bからユーザネットワーク170に向かう通信におけるセキュリティを強化することができる。
【0156】
加えて、認証成功した端末についての転送経路を、認証VRFフォワーディングテーブル154aからコピーするようにしているので、第1業務サーバ181a及び第2業務サーバ181bから第1端末11及び第2端末12に最初にパケットを送信する際に、改めてネクストホップを解決せずに済む。したがって、第1端末11及び第2端末12は、認証成功後、迅速に第1業務サーバ181a又は第2業務サーバ181bとの通信を行うことができる。
【0157】
E.第5の実施例:
E1.システム構成:
図35は、第5の実施例のネットワークシステムの構成を示す説明図である。第5の実施例のネットワークシステム10cは、パケット転送装置100bが、認証VRFフォワーディングテーブル154aと第1業務VRFフォワーディングテーブル154bと第2業務VRFフォワーディングテーブル154cと端末VRFフォワーディングテーブル156とに代えて、統合VRFフォワーディングテーブル159を備えている点と、VRF判定テーブル158aの設定内容において、第2の実施例のネットワークシステム10a(図13)と異なり、他の構成は第2の実施例と同じである。
【0158】
第5の実施例では、パケット転送装置100bの各インタフェース111〜114や、各端末11,12や、各サーバ191,192,181a,181bへの各転送経路を、統合VRFフォワーディングテーブル159のエントリとして設定することにより、同一の転送経路を複数のテーブルに重複して記述することを避け、パケット転送装置100b内のメモリ150の容量を低減させるように構成されている。なお、第5の実施例のネットワークシステム10cは、転送経路を記述したテーブルとして、統合VRFフォワーディングテーブル159のみを備えているので、いわゆるVRF機能を有していない。しかしながら、統合VRFフォワーディングテーブル159において、転送経路を検索する際に参照するエントリの範囲をパケットの送信元に応じて変えることにより、仮想的にVRF機能を実現している。
【0159】
図36は、第5の実施例のVRF判定テーブル158aを示す説明図である。なお、図36では、初期状態におけるVRF判定テーブル158aを示す。このVRF判定テーブル158aは、VRFフォワーディングテーブル種別フィールドに代えて、認証有無フィールド及び仮想VRFフィールドを備えている点において、図15に示す第2の実施例のVRF判定テーブル158と異なり、他の構成は、第2の実施例と同じである。
【0160】
認証有無フィールドは、認証(認証及び検疫)が成功しているか否かを示す。この認証有無フィールドの値が「未」とは認証成功前であることを示し、「済み」とは認証成功済みであることを示す。なお、認証有無フィールドの値が「*」とは認証成功前及び認証成功済みのいずれでもよいことを示す。
【0161】
仮想VRFフィールドは、仮想的なVRF機能を実現するために用いられる仮想VRFフォワーディングテーブルを特定する。この仮想VRFフィールドの値が「第1業務」とは仮想的な第1業務VRFフォワーディングテーブル(第1業務仮想VRFフォワーディングテーブル)を示し、「第2業務」とは仮想的な第2業務VRFフォワーディングテーブル(第2業務仮想VRFフォワーディングテーブル)を示す。仮想VRFフィールドの値が「*」とは、第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよいことを示す。なお、第1業務仮想VRFフォワーディングテーブルは、第1業務ネットワーク180aからのパケットの転送経路を検索するために用いられる仮想的なVRFフォワーディングテーブルを意味し、第2業務仮想VRFフォワーディングテーブルは、第2業務ネットワーク180bからのパケットの転送経路を検索するために用いられる仮想的なVRFフォワーディングテーブルを意味する。
【0162】
図36に示すように、初期状態において、VRF判定テーブル158aには、図15に示すVRF判定テーブル158と同様に、第1〜4エントリが設定されている。なお、図36に示す各エントリにおけるインタフェース番号,判定種別及びMACアドレスの各フィールドには、図15に示すVRF判定テーブル158の各フィールドと同じ値が設定されているので、説明を省略する。VRF判定テーブル158aの初期状態における第1エントリには、認証有無フィールドに「未」が、仮想VRFフィールドに「*」が設定されている。また、第2エントリには認証有無「*」及び仮想VRF「*」が、第3エントリには認証有無「済み」及び仮想VRF「第1業務」が、第4エントリには認証有無「済み」及び仮想VRF「第2業務」が、それぞれ設定されている。
【0163】
これらの4つのエントリは、ネットワークシステム10cの初期コンフィグレーションの際に、VRF判定制御部128により生成される。具体的には、VRF判定制御部128は、図14に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、VRF判定制御部128は、役割種別が「認証対象端末」のインタフェース(第1インタフェース111)に対しては、認証有無を「未」に、仮想VRFを「*」に、それぞれ設定したエントリをVRF判定テーブル158aに追加する。また、VRF判定制御部128は、役割種別が「認証前」のインタフェース(第2インタフェース112)に対しては、認証有無及び仮想VRFを「*」に、それぞれ設定したエントリをVRF判定テーブル158aに追加する。また、VRF判定制御部128は、役割種別が「第1業務」のインタフェース(第3インタフェース113)に対しては、認証有無を「済み」に、仮想VRFを「第1業務」に、それぞれ設定したエントリをVRF判定テーブル158aに追加する。また、VRF判定制御部128は、役割種別が「第2業務」のインタフェース(第4インタフェース114)に対しては、認証有無を「済み」に、仮想VRFを「第2業務」に、それぞれ設定したエントリをVRF判定テーブル158aに追加する。
【0164】
上述した第2の実施例のVRF判定テーブル158aは、受信したパケットについて、インタフェース番号,判定種別及びMACアドレスに基づき、VRFフォワーディングテーブル種別の値(すなわち、検索使用VRFフォワーディングテーブル)を決定するのに用いられていた。これに対し、第5の実施例のVRF判定テーブル158aは、インタフェース番号,判定種別及びMACアドレスに基づき、認証の有無と、転送経路を検索するために用いる仮想VRFフォワーディングテーブル(以下、「検索使用仮想VRFフォワーディングテーブル」と呼ぶ)とを決定するのに用いられる。
【0165】
図37は、第5の実施例の統合VRFフォワーディングテーブル159を示す説明図である。なお、図37では、初期状態における統合VRFフォワーディングテーブル159を示す。この統合VRFフォワーディングテーブル159は、認証有無フィールド及び仮想VRFフィールドを備えている点において、第2の実施例の各VRFフォワーディングテーブル154a〜154cと異なり、他の構成は第2の実施例と同じである。
【0166】
統合VRFフォワーディングテーブル159の認証有無フィールド及び仮想VRFフィールドの意味は、図36に示すVRF判定テーブル158aの認証有無フィールド及び仮想VRFフィールドの意味と同じである。
【0167】
図37に示すように、統合VRFフォワーディングテーブル159には、初期状態において4つのエントリ(第1〜4エントリ)が設定されている。第1エントリには、認証有無「未」,仮想VRFフィールド「*」,IPアドレス「10.0.0.10」,サブネットマスク長「24」,出力インタフェース番号フィールド「IF1」及びネクストホップフィールド「未定」が、それぞれ設定されている。第2エントリには、認証有無「*」,仮想VRFフィールド「*」,IPアドレス「11.0.0.11」,サブネットマスク長「24」,出力インタフェース番号フィールド「IF2」及びネクストホップフィールド「未定」が、それぞれ設定されている。第3エントリには、認証有無「済み」,仮想VRFフィールド「第1業務」,IPアドレス「12.0.0.12」,サブネットマスク長「24」,出力インタフェース番号フィールド「IF3」及びネクストホップフィールド「未定」が、それぞれ設定されている。第4エントリには、認証有無「済み」,仮想VRFフィールド「第2業務」,IPアドレス「13.0.0.13」,サブネットマスク長「24」,出力インタフェース番号フィールド「IF4」及びネクストホップフィールド「未定」が、それぞれ設定されている。
【0168】
これらの4つのエントリは、ネットワークシステム10cの初期コンフィグレーションの際に、経路制御部124により生成される。具体的には、経路制御部124は、図14に示すインタフェース役割種別テーブル152を参照し、各インタフェース111〜113に対して設定されている役割種別を取得する。次に、経路制御部124は、役割種別が「認証対象端末」のインタフェース(第1インタフェース111)について、認証有無を「未」に、仮想VRFを「*」に、IPアドレスを「当該インタフェースに設定されているIPアドレス(10.0.0.10)」に、サブネットマスク長を「当該インタフェースに設定されているサブネットマスク長(24)」に、出力インタフェース番号を「当該インタフェースのインタフェース番号(IF1)」に、ネクストホップを「未定」に、それぞれ設定したエントリを作成する。また、経路制御部124は、役割種別が「認証前」のインタフェース(第2インタフェース112)について、認証有無を「*」に、仮想VRFを「*」に、IPアドレスを「当該インタフェースに設定されているIPアドレス(11.0.0.11)」に、サブネットマスク長を「当該インタフェースに設定されているサブネットマスク長(24)」に、出力インタフェース番号を「当該インタフェースのインタフェース番号(IF2)」に、ネクストホップを「未定」に、それぞれ設定したエントリを作成する。また、経路制御部124は、役割種別が「第1業務」のインタフェース(第3インタフェース113)について、認証有無を「済み」に、仮想VRFを「第1業務」に、IPアドレスを「当該インタフェースに設定されているIPアドレス(12.0.0.12)」に、サブネットマスク長を「当該インタフェースに設定されているサブネットマスク長(24)」に、出力インタフェース番号を「当該インタフェースのインタフェース番号(IF3)」に、ネクストホップを「未定」に、それぞれ設定したエントリを作成する。また、経路制御部124は、役割種別が「第2業務」のインタフェース(第4インタフェース114)について、認証有無を「済み」に、仮想VRFを「第2業務」に、IPアドレスを「当該インタフェースに設定されているIPアドレス(13.0.0.13)」に、サブネットマスク長を「当該インタフェースに設定されているサブネットマスク長(24)」に、出力インタフェース番号を「当該インタフェースのインタフェース番号(IF4)」に、ネクストホップを「未定」に、それぞれ設定したエントリを作成する。
【0169】
統合VRFフォワーディングテーブル159では、認証有無フィールド,仮想VRF,宛先IPアドレス及びサブネットマスク長を検索キーとして、出力インタフェース番号及びネクストホップ(経路情報)が検索される。なお、第5の実施例において、認証成功前後における転送経路の変化は、第2の実施例(図19,20参照)と同様である。
【0170】
E2.端末認証時の動作:
図38は、第5の実施例のパケット転送処理の手順を示すフローチャートである。まず、第1端末11について認証(認証及び検疫)を実行する場合のパケット転送処理について説明する。パケット転送装置100bでは、認証サーバ191宛の認証用のパケットを受信するとパケット転送処理が実行される。この第5の実施例のパケット転送処理は、ステップS105に代えてステップS105aを実行する点と、ステップS110に代えてステップS110bを実行する点と、ステップS130に代えてステップS130aを実行する点と、ステップS135に代えてステップS135aを実行する点と、において、図21に示す第2の実施例のパケット転送処理と異なり、他の手順は第2の実施例と同じである。
【0171】
まず、VRF判定制御部128は、受信したパケットの情報(受信したインタフェース及び送信元MACアドレス)に基づき、認証有無及び仮想VRFを、VRF判定テーブル158から取得する(ステップS105a)。例えば、第1端末11について認証を行う場合には、図36に示すインタフェース番号「IF1」,判定種別「MACアドレス」及びMACアドレス「その他」が設定されている第1エントリが見つかり、認証有無として「未」と、仮想VRFとして「*」とが取得される。
【0172】
次に、VRF判定制御部128は、ステップS105aで取得した認証有無の値と、仮想VRFの値とを含む検索キー(認証有無フィールド,仮想VRF,宛先IPアドレス及びサブネットマスク長)を用いて、統合VRFフォワーディングテーブル159から転送経路を検索する(ステップS110b)。
【0173】
第1端末11が認証用パケットを送信する際には、前述のステップS105aにおいて、認証有無「未」と仮想VRF「*」とが取得されており、これらの値と、認証サーバ191の宛先IPアドレス(11.0.0.1)及びサブネットマスク長(32)を検索キーとして統合VRFフォワーディングテーブル159が検索される。したがって、図37に示す統合VRFフォワーディングテーブル159の各エントリのうち、第1エントリが見つかることとなる(ステップS115:YES)。
【0174】
ここで、図37に示す統合VRFフォワーディングテーブル159の第1エントリでは、ネクストホップが解決されていないので、ネクストホップが解決される(ステップS120,S125)。経路制御部124は、ステップS125により解決されたネクストホップを含む転送経路のエントリを統合VRFフォワーディングテーブル159に追加する(ステップS130a)。
【0175】
図39は、認証成功前において第1端末11と認証サーバ191との間でパケットのやりとりがなされた後の統合VRFフォワーディングテーブル159を示す説明図である。上述のように、認証動作において、第1端末11から認証サーバ191に最初にパケットを送信する際にステップS130aが実行されると、図39に示す第5エントリが追加される。なお、この時点では、図39に示す第6エントリは追加されていない。
【0176】
第1端末11から認証サーバ191に最初にパケットを送信する際のステップS130aにおいて新たに追加されるエントリの認証有無フィールド及び仮想VRFフィールドの値は、ネクストホップを解決する際に用いられたインタフェースについてのエントリに設定されている認証有無フィールド及び仮想VRFフィールドの値が設定される。したがって、第5エントリでは、第2インタフェース112についてのエントリ(第2エントリ)における認証有無フィールドの値「*」と、仮想VRFフィールドの値「*」とが、それぞれ認証有無フィールド及び仮想VRFフィールドに設定されている。
【0177】
次に、パケット転送処理部126は、受信したパケットをVRFフォワーディングテーブルに従って転送する(ステップS135)。したがって、認証サーバ191宛のパケットは、図39の第5エントリに記述された転送経路に従い、認証サーバ191へと転送される。
【0178】
認証成功前において認証サーバ191から第1端末11にパケットが送信される際にもパケット転送処理が実行され、統合VRFフォワーディングテーブル159に図39に示す第6エントリが追加される。また、その後第1端末11について検疫が実行され、第2端末12について認証及び検疫が実行されると、統合VRFフォワーディングテーブル159に、検疫サーバ192及び第2端末12への転送経路をそれぞれ記述したエントリが追加される(図示省略)。
【0179】
なお、第2の実施例でも述べたように、第1端末11及び第2端末12について認証(認証及び検疫)が成功すると、認証処理部122は、認証成功の旨と、アクセスが許可されたネットワークの情報(第1端末11:第1業務ネットワーク180a,第2端末12:第1業務ネットワーク180a及び第2業務サーバ181b)を、VRF判定制御部128に通知する。
【0180】
図40は、第5の実施例におけるエントリ更新処理の手順を示すフローチャートである。第5の実施例のエントリ更新処理は、ステップS210aに代えてステップS210bを実行する点と、ステップS230を実行する点と、において図22に示す第2の実施例におけるVRF判定テーブルのエントリ追加処理と異なり、他の手順は第2の実施例と同じである。
【0181】
端末の認証成功を判定した場合(ステップS205:YES)、VRF判定制御部128は、認証成功した端末について、アクセス許可されたネットワークからのパケットの検索使用仮想VRFフォワーディングテーブルと対応付けるエントリを、VRF判定テーブル158に追加する(ステップS210b)。
【0182】
図41は、第1端末11及び第2端末12の認証成功後に、これら2つの端末11,12についてのエントリが追加された後のVRF判定テーブル158aを示す説明図である。第1端末11にアクセス許可されたネットワークは、第1業務ネットワーク180aである。第1業務ネットワーク180aからのパケットの検索使用仮想VRFフォワーディングテーブルは、第1業務仮想VRFフォワーディングテーブルである(VRF判定テーブル158aの第3エントリ参照)。したがって、第1端末11が認証成功した場合に、VRF判定制御部128は、インタフェース番号「IF1」,判定種別「MACアドレス」,MACアドレス「mac1」,認証有無「済み」及び仮想VRF「第1業務仮想VRFフォワーディングテーブル」が設定されたエントリ(第5エントリ)をVRF判定テーブル158に追加する。
【0183】
また、第2端末12にアクセス許可されたネットワークは、第1業務ネットワーク180a及び2業務ネットワーク180bである。第1業務ネットワーク180aからのパケットの検索使用仮想VRFフォワーディングテーブルは、第1業務VRFフォワーディングテーブル154bである(VRF判定テーブル158の第3エントリ参照)。また、第2業務ネットワーク180bからのパケットの検索使用仮想VRFフォワーディングテーブルは、第2業務仮想VRFフォワーディングテーブル154cである(VRF判定テーブル158の第4エントリ参照)。したがって、第2端末12が認証成功した場合に、VRF判定制御部128は、インタフェース番号「IF1」,判定種別「MACアドレス」,MACアドレス「mac2」,認証有無「済み」及び仮想VRF「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」が設定されたエントリ(第6エントリ)をVRF判定テーブル158に追加する。
【0184】
前述のステップS210bを実行した後、経路制御部124は、認証成功した端末についての統合VRFフォワーディングテーブル159のエントリを更新する(ステップS230)。具体的には、経路制御部124は、認証成功した端末についてのエントリにおいて、認証有無フィールドの値を「済み」に書き替え、仮想VRFフィールドの値を、アクセス許可されたネットワークからのパケットの検索使用仮想VRFフォワーディングテーブルを示す値に設定する。
【0185】
図42は、第1端末11及び第2端末12についての認証成功後の統合VRFフォワーディングテーブル159を示す説明図である。図42では、2つの端末11,12について認証成功し、その後、第1端末11及び第2端末12が第1業務サーバ181a及び第2業務サーバ181bにアクセスした後の統合VRFフォワーディングテーブル159を示す。
【0186】
認証成功前において、統合VRFフォワーディングテーブル159における第1端末11についてのエントリでは、図39の第6エントリに示すように、認証有無フィールドの値は「未」に、仮想VRFフィールドの値は「*」に、それぞれ設定されている。ステップS230では、この認証有無フィールドの値を、「未」から「済み」に書き換える。また第1端末11にアクセス許可されたネットワークは、第1業務ネットワーク180aであるので、図42の第6エントリに示すように、仮想VRFフィールドの値を「*」から「第1業務仮想VRFフォワーディングテーブル」に書き換える。
【0187】
また、第2端末12にアクセス許可されたネットワークは、第1業務ネットワーク180a及び第2業務ネットワーク180bである。第1,2業務ネットワーク180a,180bからのパケットの検索使用仮想VRFフォワーディングテーブルは、第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルである。この場合、図42の第8エントリに示すように、仮想VRFフィールドの値を「*」(いずれの仮想VRFフォワーディングテーブルでもよい)に書き換えることとなる。ただし認証成功前の仮想VRFの値も「*」であるので書き換えは行われない。なお、第8エントリでは、第6エントリと同様に、認証有無フィールドの値は、「未」から「済み」に書き換えられる。
【0188】
本実施例では、図42において、仮想VRFフィールドの値が「*」及び「第1業務」のエントリは、請求項における第1の転送経路テーブルに相当する。また、仮想VRFフィールドの値が「*」及び「第2業務」のエントリは、請求項における第2の転送経路テーブルに相当する。
【0189】
E3.端末認証成功後のパケット転送処理:
認証成功後に、第1端末11から第1業務サーバ181aにパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第5エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」,第1業務サーバ181aのIPアドレス(12.0.0.1/32)及びサブネットマスク長「32」を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、第9エントリがヒットし、この第9エントリの経路情報に基づき、パケットが転送される。
【0190】
ここで、統合VRFフォワーディングテーブル159から転送経路が検索される際に、検索キーに含まれる仮想VRFの値「第1業務仮想VRFフォワーディングテーブル」により、第4,10エントリは、宛先IPアドレスやサブネットマスク長を検索するまでもなく候補からはずれることとなる。第4,10エントリは、第4インタフェース114への転送経路及び第2業務サーバ181bへの転送経路を示す。したがって、これら転送経路については、第1端末11から第1業務サーバ181aへのパケットの転送経路を検索する際に、確実に経路情報を参照されることはない。この例からも理解できるように、すくなくとも仮想VRFフィールドの値が異なるエントリについては、確実に経路情報を参照されないようにすることができ、パケット転送装置100bはVRF機能を実現できる。
【0191】
認証成功後に、第1業務サーバ181aから第1端末11にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第3エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」と、第1端末11のIPアドレス(10.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、図42に示す第6エントリがヒットし、この第6エントリの経路情報に基づき、パケットが転送される。
【0192】
認証成功後に、第2端末12から第1業務サーバ181aにパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第6エントリから、認証有無「済み」,仮想VRF「*」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「*」と、第1業務サーバ181aのIPアドレス(12.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」であるので、図42に示す第9エントリがヒットし、この第9エントリの経路情報に基づき、パケットが転送される。
【0193】
認証成功後に、第1業務サーバ181aから第2端末12にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第3エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」と、第2端末12のIPアドレス(10.0.0.2/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。ここで、図42に示す統合VRFフォワーディングテーブル159の第8エントリでは、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」であるので、この第8エントリがヒットする。したがって、この第8エントリの経路情報に基づき、パケットが転送される。
【0194】
認証成功後に、第2端末12から第2業務サーバ181bにパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第6エントリから、認証有無「済み」,仮想VRF「*」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「*」と、第2業務サーバ181bのIPアドレス(13.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」であるので、図42に示す第10エントリがヒットし、この第10エントリの経路情報に基づき、パケットが転送される。
【0195】
認証成功後に、第2業務サーバ181bから第2端末12にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第4エントリから、認証有無「済み」,仮想VRF「第2業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第2業務仮想VRFフォワーディングテーブル」と、第2端末12のIPアドレス(10.0.0.2/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。ここで、図42に示す統合VRFフォワーディングテーブル159の第8エントリでは、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」であるので、この第8エントリがヒットする。したがって、この第8エントリの経路情報に基づき、パケットが転送される。
【0196】
認証成功後に、第1端末11から認証サーバ191にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第5エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」と、認証サーバ191のIPアドレス(11.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。ここで、図42に示す統合VRFフォワーディングテーブル159の第5エントリでは、認証有無フィールドの値が「*(認証成功前後のいずれでもよい)」であり、仮想VRFフィールドの値が「*(第1業務仮想VRFフォワーディングテーブル及び第2業務仮想VRFフォワーディングテーブルのいずれでもよい)」である。したがって、この第5エントリがヒットし、この第5エントリの経路情報に基づき、パケットが転送される。
【0197】
認証成功後に、認証サーバ191から第1端末11にパケットを送信する場合、図38に示すステップS105aにおいて、図41に示すVRF判定テーブル158aの第2エントリから、認証有無「*」,仮想VRF「*」が取得される。ステップS110bでは、認証有無「*」,仮想VRF「*」と、第1端末11のIPアドレス(10.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。この場合、図42に示す第6エントリがヒットし、この第6エントリの経路情報に基づき、パケットが転送される。
【0198】
認証成功後に、第1端末11から、アクセス許可されていない第2業務ネットワーク180b内の第2業務サーバ181bにパケットを送信する場合について説明する。この場合、図41に示すVRF判定テーブル158aの第3エントリから、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」が取得される。ステップS110bでは、認証有無「済み」,仮想VRF「第1業務仮想VRFフォワーディングテーブル」と、第2業務サーバ181bのIPアドレス(13.0.0.1/32)を検索キーとして、統合VRFフォワーディングテーブル159において転送経路が検索される。ここで、図42に示す第2業務サーバ181bへの転送経路を示す第10エントリでは、仮想VRFフィールドの値として「第2業務仮想VRFフォワーディングテーブル」のみが設定されている。したがって、この第10エントリはヒットせず、第1端末11から送信されたパケットは第2業務サーバ181bに転送されずに、廃棄される。
【0199】
E4.エントリ削除処理:
図43は、第5の実施例のエントリ削除処理の手順を示すフローチャートである。第5の実施例のエントリ削除処理は、ステップS315を実行する点において、図12に示す第1の実施例のVRF判定テーブル158のエントリ削除処理と異なり、他の手順は第1の実施例と同じである。
【0200】
図43に示すステップS310において、認証解除された端末についてのエントリをVRF判定テーブル158aから削除した後、経路制御部124は、認証解除された端末についてのエントリを統合VRFフォワーディングテーブル159から削除する。具体的には、第2端末12について認証解除された場合、図42に示す第8エントリが削除される。このように、VRF判定テーブル158aに加えて、統合VRFフォワーディングテーブル159からも認証解除された端末についてのエントリを削除することにより、認証解除された端末への転送経路が、他の装置への転送経路を検索する際に参照されることを抑制し、セキュリティを向上させるように構成されている。
【0201】
以上説明した第5の実施例のネットワークシステム10cは、第2の実施例のネットワークシステム10aと同じ効果を有する。加えて、各転送経路を統合VRFフォワーディングテーブル159のエントリに設定することにより、同一の転送経路を複数のテーブルに重複して記述することを避け、パケット転送装置100a内のメモリ容量を抑えることができる。
【0202】
また、端末について認証成功した場合に、当該端末と、VRF判定テーブル158aにおいて、アクセス許可されたネットワークからのパケットの検索使用仮想VRFフォワーディングテーブルとを対応付けるエントリを追加している。したがって、認証成功した端末からのパケットについて転送経路を検索する際に、仮想VRFフィールドの値が「検索使用仮想VRFフォワーディングテーブル」でない転送経路(すなわち、アクセス許可されていないネットワーク内の装置への転送経路)を参照されないようにすることができ、セキュリティを強化することができる。
【0203】
また、端末について認証成功した場合に、統合VRFフォワーディングテーブル159において、端末のエントリを更新し、アクセス許可されたネットワークからのパケットの検索使用仮想VRFフォワーディングテーブルと対応付ける。したがって、検索使用仮想VRFフォワーディングテーブルと対応付けられたネットワークに所属するサーバからのパケットのみを、認証成功した端末へ転送させることができ、他のネットワークに所属するサーバから認証成功した端末宛のパケットを廃棄することができる。それゆえ、ネットワークシステム10cのセキュリティを強化することができる。
【0204】
F.変形例:
なお、上記各実施例における構成要素の中の、独立クレームでクレームされた要素以外の要素は、付加的な要素であり、適宜省略可能である。また、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
【0205】
F1.変形例1:
第5の実施例では、VRF判定テーブル158a及び統合VRFフォワーディングテーブル159において、検索使用仮想VRFフォワーディングテーブルを示すために、「仮想VRF」フィールドを設けていたが、これに代えて、各仮想VRFフォワーディングテーブルに対応するフラグ(使用する又は使用しないを示すフラグ)を記述するフィールドを設けることもできる。このような構成においても、検索使用VRFフォワーディングテーブルに対応するフラグをそれぞれオン(「使用する」に設定)することにより、いずれの仮想VRFフォワーディングテーブルを検索使用VRFフォワーディングテーブルとするかを示すことができる。
【0206】
また、複数の仮想VRFフォワーディングテーブルを転送経路検索時において参照を許容する場合、参照を許容するテーブルの組み合わせ(グループ)について、各々対応するフラグを記述するフィールドを予め設けておき、これらフィールドの値(フラグのオン/オフ)により検索使用仮想VRFフォワーディングテーブルを示すこともできる。この構成においては、各テーブルの組み合わせと、どのフラグ(フィールド)を対応付けるのかを記述するテーブル(組み合わせテーブル)を設けておき、この組み合わせテーブルを参照して得られたフィールドのフラグをオンすることで、検索使用VRFフォワーディングテーブルを示すことができる。このような構成により、VRF判定テーブル158a及び統合VRFフォワーディングテーブル159において、エントリ数を低減させることができると共に、各仮想VRFフォワーディングテーブルに対応するフラグを設ける構成に比べて各エントリにおける情報量を減らすことができ、パケット転送装置が備えるメモリの容量を低減させることができる。
【0207】
F2.変形例2:
各実施例では、端末が認証動作として実行する処理は、認証処理と検疫処理とであったが、認証処理及び検疫処理のいずれか一方でもよい。すなわち、一般には、認証処理と検疫処理とのうち、少なくとも一方を実行するサーバを備える構成を、本発明のネットワークシステムに採用することができる。
【0208】
F3.変形例3:
パケットの送信元を識別するために使用する情報は、第1の実施例ではMACアドレスであり、第3の実施例ではIPアドレスであったが、本発明はこれらに限定されるものではない。例えば、MACアドレス及びIPアドレスの両方を用いて、パケットの送信元を識別することもできる。このような構成により、パケットの送信元をより正確に識別することができるため、IPアドレスの詐称やMACアドレスの詐称などの不正な行為による不正アクセスを抑制できる。また、レイヤ3パケットとして、IPパケットに代えてIPX(Internetwork Packet eXchange)パケットを用いる構成においては、IPアドレスに代えて、IPXのアドレスを用いてパケットの送信元を識別することができる。
【0209】
F4.変形例4:
各実施例では、各端末11,12に対して、予めIPアドレスが割り当てられていたが、これに代えて、DHCPに従いIPアドレスを動的に割り当てることもできる。この構成においても、上述した各実施例のネットワークシステムの効果を奏することができる。また、各実施例では端末が所属するネットワーク側のVLANを1つにできるので、DHCPサーバを1つ設置すればよく、また、DHCPサーバに特殊な機能を追加することがないので、複数台のDHCPサーバを設置し、かつ、DHCPサーバに特殊な機能を追加する構成に比べてネットワークシステム10,10a〜10cの構築コストを抑えられる。
【0210】
F5.変形例5:
各実施例では、フォワーディングテーブルの「ネクストホップ」フィールドに設定される値は、パケットの具体的な送信先のMACアドレスであったが、本発明はこれに限定されるものではない。具体的には、各フォワーディングテーブルとは別にARPテーブルを設ける構成とし、「ネクストホップ」フィールドには、ARPテーブルを参照する際のキーとなる宛先IPアドレスを設定することもできる。この構成では、パケット転送処理部126は、パケット転送処理のステップS125において、宛先IPアドレスをキーとして、ARPテーブルを検索してパケットの送信先となるMACアドレスを取得することができる。
【0211】
F6.変形例6:
各実施例では、各フォワーディングテーブルの初期状態の値は、インタフェース役割種別テーブル152に基づき、経路制御部124やVRF判定制御部128によって生成されていたが、本発明はこれに限定されるものではない。インタフェース役割種別テーブル152を備えない構成とし、ネットワーク管理者等が手動で設定することもできる。このような構成においても、各実施例のネットワークシステムと同様な効果を奏する。加えて、インタフェース役割種別テーブル152を備えないため、パケット転送装置100,100a,100bが備えるメモリの容量を低減でき、ネットワークシステム10,10a〜10cの構築コストを抑えることができる。
【0212】
F7.変形例7:
各実施例では、IPアドレスとして、IPv4を採用していたが、これに代えて、IPv6を採用することができる。かかる構成においても、各実施例のネットワークシステムと同様な効果を奏する。加えて、各実施例では端末が所属するネットワーク側のVLANを1つにできるので、パケット転送装置100からのRA(Router Advertisement)を1つだけにすることができ、同一の端末において2つのIPアドレスを生成することを抑制できる。
【0213】
F8.変形例8:
第1〜4の実施例では、VRF判定テーブル158において、認証前の任意の端末が利用するエントリ(例えば、図3に示す第1エントリ)を用意していたが、これに代えて、予めユーザネットワーク170に所属し得る端末について、それぞれVRFフォワーディングテーブル種別フィールドを「端末VRF」とするエントリを作成しておき、認証成功後に、認証成功した端末についてのエントリにおいてVRFフォワーディングテーブル種別フィールドを更新することもできる。
【0214】
F9.変形例9:
第1〜4の実施例では、端末11,12から送信されるパケットについて用いる検索使用VRFフォワーディングテーブルを決定するために、VRF判定テーブル158を用いていたが、VRF判定テーブルを用いずに決定することもできる。具体的には、例えば、第1の実施例のステップS105に代えて、パケット転送処理部126は、受信したパケットの送信元IPアドレスに基づき端末から送信されたパケットであるか否かを判定し、端末から送信されたパケットである場合に、認証処理部122に当該端末について認証が成功したか否かを問い合わせる。パケット転送処理部126は、認証成功の旨を通知された場合に検索使用VRFフォワーディングテーブルとして認証後VRFフォワーディングテーブルを決定し、認証未成功の旨を通知された場合に検索使用VRFフォワーディングテーブルとして端末VRFフォワーディングテーブルを決定する。このような構成においても、各実施例のネットワークシステム10,10a〜10cと同じ効果を奏する。
【符号の説明】
【0215】
10,10a〜10c…ネットワークシステム、11…第1端末、12…第2端末、100,100a,100b…パケット転送装置、111…第1インタフェース、112…第2インタフェース、113…第3インタフェース、114…第4インタフェース、122…認証処理部、124…経路制御部、126…パケット転送処理部、128…VRF判定制御部、152…インタフェース役割種別テーブル、154…認証後VRFフォワーディングテーブル、154a…認証VRFフォワーディングテーブル、154b…第1業務VRFフォワーディングテーブル、154c…第2業務VRFフォワーディングテーブル、156…端末VRFフォワーディングテーブル、158…VRF判定テーブル、170…ユーザネットワーク、171…レイヤ2スイッチ、172…ルータ、180…業務ネットワーク、180a…第1業務ネットワーク、180b…第2業務ネットワーク、181…業務サーバ、181a…第1業務サーバ、181b…第2業務サーバ、190…認証ネットワーク、191…認証サーバ、192…検疫サーバ、193…アクセス許可テーブル、200…アクセスネットワーク
【特許請求の範囲】
【請求項1】
ネットワークシステムであって、
第1のネットワークと、
前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバと、
前記認証サーバが所属する第2のネットワークと、
前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、
前記第1ないし第3のネットワークに所属し、パケットを転送するパケット転送装置であって、
少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、
を有するパケット転送装置と、
を備える、ネットワークシステム。
【請求項2】
請求項1に記載のネットワークシステムにおいて、さらに、
パケットの送信元を識別する送信元識別子と前記検索転送経路テーブルとを対応付ける検索転送経路テーブル決定テーブルと、
前記検索転送経路テーブル決定テーブルを更新するテーブル更新部と、
を備え、
前記転送経路テーブル決定部は、受信したパケットについて、前記検索転送経路テーブル決定テーブルに基づき前記検索転送経路テーブルを決定し、
前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の前記送信元識別子と前記第1の転送経路テーブルとが対応付けられており、
前記テーブル更新部は、前記認証サーバにより前記端末について認証成功と判定された後に、前記端末の前記送信元識別子と前記第2の転送経路テーブルとを対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【請求項3】
請求項1または請求項2に記載のネットワークシステムにおいて、
前記第3のネットワークを複数備え、
前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、
前記認証サーバは、前記転送経路テーブル決定部に対して、前記認証処理の結果と前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークに関する情報とを通知し、
前記転送経路テーブル決定部は、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定する、ネットワークシステム。
【請求項4】
請求項2または請求項3に記載のネットワークシステムにおいて、
前記パケットはIPパケットであり、
前記送信元識別子は、MACアドレス及びIPアドレスのうち、少なくとも一方である、ネットワークシステム。
【請求項5】
請求項1ないし請求項4のいずれかに記載のネットワークシステムにおいて、
前記転送経路テーブル決定部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記端末からのパケットに適用する前記検索転送経路テーブルとして、前記第2の転送経路テーブルから前記第1の転送経路テーブルに戻す、ネットワークシステム。
【請求項6】
請求項3に記載のネットワークシステムにおいて、さらに、
パケットの転送経路を決定する転送経路決定部と、
前記転送経路テーブル格納部に格納されている転送経路テーブルを更新する転送経路テーブル更新部と、
を備え、
前記転送経路テーブル格納部は、前記第1の転送経路テーブルと前記第2の転送経路テーブルとに加えて、少なくとも前記第1のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第3の転送経路テーブルを格納し、
前記転送経路テーブル決定部は、各第3のネットワークから前記第1及び第2のネットワークにパケットを転送する際に、前記検索転送経路テーブルとして前記第2の転送経路テーブルを決定し、前記第2のネットワークから前記第1のネットワークに前記パケットを転送する際に、前記検索転送経路テーブルとして前記第3の転送経路テーブルを決定し、
前記転送経路テーブル更新部は、前記認証処理において前記認証サーバから前記端末にパケットを転送する際に、前記転送経路決定部により決定された前記端末へのパケットの経路情報である端末経路情報を、前記第3の転送経路テーブルに追加し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第3の転送経路テーブルから前記端末経路情報を取得し、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルに、前記端末経路情報をコピーする、ネットワークシステム。
【請求項7】
請求項6に記載のネットワークシステムにおいて、
前記転送経路テーブル更新部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記第2の転送経路テーブルから前記端末経路情報を削除する、ネットワークシステム。
【請求項8】
請求項2に記載のネットワークシステムにおいて、さらに、
パケットの転送経路を決定する転送経路決定部を備え、
前記第1の転送経路テーブルと前記第2の転送経路テーブルとは、統合転送経路テーブルとして構成され、
前記検索転送経路テーブル決定テーブルは、前記送信元識別子と前記認証処理の結果と前記検索転送経路テーブルを示す検索転送経路テーブル識別子とを対応付け、
前記統合転送経路テーブルは、前記第1の転送経路テーブル及び前記第2の転送経路テーブルに含まれる各経路情報と前記認証処理の結果と前記検索転送経路テーブル識別子とを対応付け、
前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の送信元識別子と、前記認証処理が成功していない旨の情報と、前記検索転送経路テーブル識別子として前記第1の転送経路テーブルを示す識別子と、が対応付けられており、
前記認証サーバは、前記テーブル更新部に対して、少なくとも前記認証記処理の結果を通知し、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨を通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新し、
前記転送経路テーブル決定部は、受信したパケットについて、前記パケットの送信元識別子に基づき、前記検索転送経路テーブル決定テーブルを参照して、前記認証処理の結果及び前記検索転送経路テーブル識別子を取得し、
前記転送経路決定部は、前記転送経路テーブル決定部により取得された前記認証処理の結果及び前記検索転送経路テーブル識別子に基づき、前記統合転送経路テーブルを参照して、前記パケットについての転送経路を決定する、ネットワークシステム。
【請求項9】
請求項8に記載のネットワークシステムにおいて、
前記第3のネットワークを複数備え、
前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、
前記認証サーバは、前記テーブル更新部に対して、前記認証処理の結果と、前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークと、を通知し、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として、前記複数の第2の転送経路テーブルのうち前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【請求項10】
請求項9に記載のネットワークシステムにおいて、さらに、
前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの組み合わせと、各組み合せを示す組み合わせ識別子と、を対応付ける組み合わせテーブルを備え、
前記検索転送経路テーブル決定テーブル及び前記統合転送経路テーブルには、前記第2の転送経路テーブルについての前記検索転送経路テーブル識別子として、前記組み合わせ識別子が用いられ、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルからなる組み合わせの組み合わせ識別子である許可組合せ識別子を、前記組み合わせテーブルから取得すると共に、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記許可組み合わせ識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【請求項11】
第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置であって、
少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、
を備える、パケット転送装置。
【請求項12】
第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置を用いたパケット転送方法であって、
(a)前記パケット転送装置において、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する工程と、
(b)前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する工程と、
を備えるパケット転送方法。
【請求項13】
第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属するコンピュータを用いたパケットを転送するためのプログラムであって、
前記コンピュータにおいて、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する機能と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する機能と、
を前記コンピュータに実現させるためのプログラム。
【請求項1】
ネットワークシステムであって、
第1のネットワークと、
前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバと、
前記認証サーバが所属する第2のネットワークと、
前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、
前記第1ないし第3のネットワークに所属し、パケットを転送するパケット転送装置であって、
少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、
を有するパケット転送装置と、
を備える、ネットワークシステム。
【請求項2】
請求項1に記載のネットワークシステムにおいて、さらに、
パケットの送信元を識別する送信元識別子と前記検索転送経路テーブルとを対応付ける検索転送経路テーブル決定テーブルと、
前記検索転送経路テーブル決定テーブルを更新するテーブル更新部と、
を備え、
前記転送経路テーブル決定部は、受信したパケットについて、前記検索転送経路テーブル決定テーブルに基づき前記検索転送経路テーブルを決定し、
前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の前記送信元識別子と前記第1の転送経路テーブルとが対応付けられており、
前記テーブル更新部は、前記認証サーバにより前記端末について認証成功と判定された後に、前記端末の前記送信元識別子と前記第2の転送経路テーブルとを対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【請求項3】
請求項1または請求項2に記載のネットワークシステムにおいて、
前記第3のネットワークを複数備え、
前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、
前記認証サーバは、前記転送経路テーブル決定部に対して、前記認証処理の結果と前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークに関する情報とを通知し、
前記転送経路テーブル決定部は、前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルを、前記端末からのパケットに適用する前記検索転送経路テーブルとして決定する、ネットワークシステム。
【請求項4】
請求項2または請求項3に記載のネットワークシステムにおいて、
前記パケットはIPパケットであり、
前記送信元識別子は、MACアドレス及びIPアドレスのうち、少なくとも一方である、ネットワークシステム。
【請求項5】
請求項1ないし請求項4のいずれかに記載のネットワークシステムにおいて、
前記転送経路テーブル決定部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記端末からのパケットに適用する前記検索転送経路テーブルとして、前記第2の転送経路テーブルから前記第1の転送経路テーブルに戻す、ネットワークシステム。
【請求項6】
請求項3に記載のネットワークシステムにおいて、さらに、
パケットの転送経路を決定する転送経路決定部と、
前記転送経路テーブル格納部に格納されている転送経路テーブルを更新する転送経路テーブル更新部と、
を備え、
前記転送経路テーブル格納部は、前記第1の転送経路テーブルと前記第2の転送経路テーブルとに加えて、少なくとも前記第1のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第3の転送経路テーブルを格納し、
前記転送経路テーブル決定部は、各第3のネットワークから前記第1及び第2のネットワークにパケットを転送する際に、前記検索転送経路テーブルとして前記第2の転送経路テーブルを決定し、前記第2のネットワークから前記第1のネットワークに前記パケットを転送する際に、前記検索転送経路テーブルとして前記第3の転送経路テーブルを決定し、
前記転送経路テーブル更新部は、前記認証処理において前記認証サーバから前記端末にパケットを転送する際に、前記転送経路決定部により決定された前記端末へのパケットの経路情報である端末経路情報を、前記第3の転送経路テーブルに追加し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第3の転送経路テーブルから前記端末経路情報を取得し、前記複数の第2の転送経路テーブルのうち、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルに、前記端末経路情報をコピーする、ネットワークシステム。
【請求項7】
請求項6に記載のネットワークシステムにおいて、
前記転送経路テーブル更新部は、前記第1のネットワークに所属された前記端末が前記認証サーバにより認証が解除されると、前記第2の転送経路テーブルから前記端末経路情報を削除する、ネットワークシステム。
【請求項8】
請求項2に記載のネットワークシステムにおいて、さらに、
パケットの転送経路を決定する転送経路決定部を備え、
前記第1の転送経路テーブルと前記第2の転送経路テーブルとは、統合転送経路テーブルとして構成され、
前記検索転送経路テーブル決定テーブルは、前記送信元識別子と前記認証処理の結果と前記検索転送経路テーブルを示す検索転送経路テーブル識別子とを対応付け、
前記統合転送経路テーブルは、前記第1の転送経路テーブル及び前記第2の転送経路テーブルに含まれる各経路情報と前記認証処理の結果と前記検索転送経路テーブル識別子とを対応付け、
前記検索転送経路テーブル決定テーブルには、前記認証サーバにより前記端末について認証成功と判定される前に、予め、前記端末の送信元識別子と、前記認証処理が成功していない旨の情報と、前記検索転送経路テーブル識別子として前記第1の転送経路テーブルを示す識別子と、が対応付けられており、
前記認証サーバは、前記テーブル更新部に対して、少なくとも前記認証記処理の結果を通知し、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨を通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新し、
前記転送経路テーブル決定部は、受信したパケットについて、前記パケットの送信元識別子に基づき、前記検索転送経路テーブル決定テーブルを参照して、前記認証処理の結果及び前記検索転送経路テーブル識別子を取得し、
前記転送経路決定部は、前記転送経路テーブル決定部により取得された前記認証処理の結果及び前記検索転送経路テーブル識別子に基づき、前記統合転送経路テーブルを参照して、前記パケットについての転送経路を決定する、ネットワークシステム。
【請求項9】
請求項8に記載のネットワークシステムにおいて、
前記第3のネットワークを複数備え、
前記転送経路テーブル格納部は、互いに異なる前記第3のネットワークに所属する所定のデバイスへのパケットの経路情報と、前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報と、を含む複数の前記第2の転送経路テーブルを格納し、
前記認証サーバは、前記テーブル更新部に対して、前記認証処理の結果と、前記複数の第3のネットワークのうち接続を許可するネットワークである1つ以上の許可ネットワークと、を通知し、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記検索転送経路テーブル識別子として、前記複数の第2の転送経路テーブルのうち前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【請求項10】
請求項9に記載のネットワークシステムにおいて、さらに、
前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルの組み合わせと、各組み合せを示す組み合わせ識別子と、を対応付ける組み合わせテーブルを備え、
前記検索転送経路テーブル決定テーブル及び前記統合転送経路テーブルには、前記第2の転送経路テーブルについての前記検索転送経路テーブル識別子として、前記組み合わせ識別子が用いられ、
前記テーブル更新部は、前記認証サーバより前記端末について認証処理が成功した旨及び前記許可ネットワークを通知されると、前記許可ネットワークに所属する所定のデバイスへのパケットの経路情報を含む前記第2の転送経路テーブルからなる組み合わせの組み合わせ識別子である許可組合せ識別子を、前記組み合わせテーブルから取得すると共に、前記端末の送信元識別子と、前記認証処理が成功した旨の情報と、前記許可組み合わせ識別子と、を対応付けるように、前記検索転送経路テーブル決定テーブルを更新する、ネットワークシステム。
【請求項11】
第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置であって、
少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する転送経路テーブル格納部と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する転送経路テーブル決定部と、
を備える、パケット転送装置。
【請求項12】
第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属し、パケットを転送するパケット転送装置を用いたパケット転送方法であって、
(a)前記パケット転送装置において、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する工程と、
(b)前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する工程と、
を備えるパケット転送方法。
【請求項13】
第1のネットワークと、前記第1のネットワークに端末が所属した際に認証処理を実行する認証サーバが所属する第2のネットワークと、前記端末及び前記認証サーバが所属していない少なくとも1つの第3のネットワークと、に所属するコンピュータを用いたパケットを転送するためのプログラムであって、
前記コンピュータにおいて、少なくとも前記第2のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第1の転送経路テーブルと、少なくとも前記第2及び第3のネットワークに所属する所定のデバイスへのパケットの経路情報を含む第2の転送経路テーブルと、を格納する機能と、
前記認証サーバにより前記端末について認証成功と判定される前に、前記第1の転送経路テーブルを、前記端末からのパケットに適用する経路情報を検索する転送経路テーブルである検索転送経路テーブルとして決定し、前記認証サーバにより前記端末について認証成功と判定された後に、前記第2の転送経路テーブルを前記検索転送経路テーブルとして決定する機能と、
を前記コンピュータに実現させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42】
【図43】
【公開番号】特開2011−40928(P2011−40928A)
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願番号】特願2009−185580(P2009−185580)
【出願日】平成21年8月10日(2009.8.10)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願日】平成21年8月10日(2009.8.10)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
[ Back to top ]