通信装置、通信システム、通信経路切り替え方法、及び通信経路切り替えプログラム
【課題】 レイヤ3の正常性をICMPやルーティングプロトコルを利用せずに監視し、レイヤ2の切り替えにおける余計なトラフィックを削減する。
【解決手段】 通信装置1010が、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、IPsec通信の状態を監視するIPsec監視手段112と、IPsec監視手段112が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブル113から自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段111とを備えることで、上述した本発明の課題を解決することができる。
【解決手段】 通信装置1010が、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、IPsec通信の状態を監視するIPsec監視手段112と、IPsec監視手段112が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブル113から自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段111とを備えることで、上述した本発明の課題を解決することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、レイヤ2トンネリングプロトコルを用いた通信に関し、特に、レイヤ2トンネリングプロトコルによる接続を冗長化した場合の、経路切り替え技術に関する。
【背景技術】
【0002】
ネットワークにおいて、通信のセキュリティを確保するための手段の1つとして、トンネリングと呼ばれる技術がある。トンネリングは、通信を行いたい通信プロトコルで記述されたパケットを、別の通信プロトコルのパケットで包んでカプセル化し、該他の通信プロトコルのデータとして送信する技術である。
【0003】
そして、このトンネリングを応用した技術として、レイヤ2トンネリングプロトコルとしてL2TP(Layer 2 Tunneling Protocol)やEtherIPと呼ばれる技術がある。
【0004】
レイヤ2トンネリングプロトコルは、インターネット上で、2点間を接続してデータ通信を行うPPP(point to
point protocol)やイーサ(MAC)フレームを上位層の各プロトコルで定められたフォーマットでカプセル化し、送信を行う。
【0005】
レイヤ2トンネリングプロトコルは、OSI参照モデルの第2層であるデータリンク層(レイヤ2)に属するイーサ(MAC)フレームを、OSI参照モデルの第3層であるネットワーク層(レイヤ3)に属するIPや各プロトコルで定められたフォーマットでカプセル化する。すなわち、レイヤ2トンネリングプロトコルは、レイヤ3ネットワークにおいてレイヤ2トンネルを用いて通信行っている。以下、このような通信をレイヤ2トンネル通信と称する。
【0006】
ここで、背景技術による、レイヤ3ネットワーク上でのレイヤ2トンネルの冗長構成について図11を参照して説明する。
【0007】
図11において、ルータ9101とルータ9102の経路にIP通信障害があった場合、ルータ9101は、ルータ9103向けのレイヤ3経路にバックアップを行い、合わせてレイヤ2トンネルもバックアップ経路を利用して通信が行われる。
【0008】
しかしながら、上述のような背景技術によるバックアップ切り替え処理においては、レイヤ3上でのトンネルを利用したレイヤ2ネットワークは、常に接続が行われている通常のイーサネットのレイヤ2ネットワークと異なり、レイヤ2の冗長化プロトコルが利用できないという制限がある。
【0009】
すなわち、背景技術によるレイヤ3通信を制御するルータによるレイヤ2トンネル機能では、レイヤ3とレイヤ2が別々のプロトコルで経路変更を行うため、レイヤ3の冗長切り替えの後に、レイヤ2の冗長切り替えが行われ、レイヤ2の切り替えが完了するまでに時間がかかる課題があった。
【0010】
また、レイヤ3の経路切り替え方法によっては、レイヤ2ネットワークが分断され、正しくレイヤ2のプロトコルが動作しないことにより、レイヤ2の冗長化は行わない場合や、安価なスイッチングハブの利用によりレイヤ2のプロトコルが利用できない状態において、スイッチングハブのMACアドレス保持時間が経過するまで、レイヤ2の経路が切り替わらないといった課題があった。
【0011】
この課題を解決する技術として、ICMPやOSPF Hello等を利用してIP通信異常を検出する技術が、特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】特開2008−172636号公報
【発明の概要】
【発明が解決しようとする課題】
【0013】
特許文献1に開示の技術は、レイヤ3の監視を行うために、ICMPやOSPF等のルーティングプロトコルを利用するため、ルータ間のネットワークに余分なトラフィックを送信する。そのため、従量制で課金されるようなネットワークでは利用しない際にも監視用のICMPやOSPFのHelloパケットによる課金がされてしまうという課題があった。
【0014】
(発明の目的)
本発明の目的は、上述の課題を解決し、レイヤ3の正常性をICMPやルーティングプロトコルを利用せずに監視し、レイヤ2の切り替えにおける余計なトラフィックを削減することができる通信装置、通信システム、通信経路切り替え方法、及び通信経路切り替えプログラムを提供することである。
【課題を解決するための手段】
【0015】
本発明の第1の通信装置は、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、IPsec通信の状態を監視するIPsec監視手段と、IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段とを備える。
【0016】
本発明の第2の通信装置は、対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置であって、複数の通信装置を冗長化して備え、各通信装置が、IPsec通信の状態を監視するIPsec監視手段と、IPsec監視手段がIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して対向拠点に送信するブリッジ制御手段とを備える。
【0017】
本発明の第1の通信経路切り替え方法は、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、IPsec通信の状態を監視し、現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信する。
【0018】
本発明の第2の通信経路切り替え方法は、対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、冗長化構成の複数の通信装置で、IPsec通信の状態を監視し、IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して対向拠点に送信する。
【0019】
本発明の第1の通信経路切り替えプログラムは、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、通信装置に、IPsec通信の状態を監視する処理と、現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信する処理と、を実行させる。
【0020】
本発明の第2の通信経路切り替えプログラムは、対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、冗長化構成の複数の通信装置に、IPsec通信の状態を監視する処理と、IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して対向拠点に送信する処理と、を実行させる。
【0021】
本発明の第1の通信システムは、レイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して互いに接続される複数の拠点を含む通信システムであって、拠点の通信装置が、IPsec通信の状態を監視するIPsec監視手段と、IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段とを備える。
【発明の効果】
【0022】
本発明によれば、レイヤ3の正常性をICMPやルーティングプロトコルを利用せずに監視し、レイヤ2の切り替えにおける余計なトラフィックを削減することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の第1の実施の形態による通信システムの構成を示すブロック図である。
【図2】本発明の第1の実施の形態によるIPsecの接続性を検出する例を示す図である。
【図3】本発明の第1の実施の形態によるルータの構成を示すブロック図である。
【図4】本発明の第1の実施の形態によるIPsec通信の異常を検知した場合の動作を示す図である。
【図5】本発明の第1の実施の形態によるブリッジテーブルの構成例を示す図である。
【図6】本発明の第1の実施の形態による通信システムの動作を示すフローチャートである。
【図7】本発明の第1の実施の形態によるMACアドレス再学習の様子を示す図である。
【図8】本発明の第2の実施の形態による通信システムの構成を示すブロック図である。
【図9】本発明の第3の実施の形態による通信システムの構成を示すブロック図である。
【図10】本発明の最小限の構成を示すブロック図である。
【図11】背景技術による通信システムの構成を示すブロック図である。
【発明を実施するための形態】
【0024】
本発明の上記及び他の目的、特徴及び利点を明確にすべく、添付した図面を参照しながら、本発明の実施形態を以下に詳述する。なお、上述の本願発明の目的のほか、他の技術的課題、その技術的課題を解決する手段及びその作用効果についても、以下の実施形態による開示によって明らかとなるものである。
【0025】
なお、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
【0026】
(第1の実施の形態)
図1は、本発明の第1の実施の形態による通信システム100の構成を示すブロック図である。
【0027】
図1を参照すると、本実施の形態による通信システム100は、インターネット上において、IPsec(Security
Architecture for Internet Protocol)等のレイヤ3の暗号化通信経路上で、レイヤ2をトンネルする構成となっている。
【0028】
ルータ101は、IP通信の到達性が確保されたインターネット701を介してルータ102及びルータ103に接続し、それぞれに対して、IPsecによる暗号化通信を行う。
【0029】
また暗号化通信経路上では、L2TPv3(Layer Two Tunneling Protocol Version 3)やEtherIP等のレイヤ2トンネリングプロトコルを利用して、拠点601と拠点602のLANが同一ネットワークセグメントとして接続されている。
【0030】
拠点601から拠点602への経路は、ルータ102宛とルータ103宛の2つの経路を有しており、正常時はトンネル501を利用した正常時経路にて通信し、正常時の経路に異常があった場合(IPsec通信が切断された場合)は、トンネル502を利用した異常時経路を利用する。なお、トンネル501、502は、レイヤ2トンネルである。
【0031】
図2は、IPsecの接続性を検出する例を示している。ルータ101は、ルータ102とのIPsec通信の正常性をikeのdpd−keepalive等を利用して常時監視する監視機能11を有する。より詳細には、監視機能11は、後述するIPsec監視手段112が有する機能である。
【0032】
図3は、ルータ101内部の、レイヤ2トンネル通信を実施するための構成を示すブロック図である。
【0033】
インタフェース01は、拠点601のLANに接続するためのイーサネットインタフェースである。
【0034】
インタフェース02及びインタフェース03は、ルータ102又はルータ103とレイヤ3暗号化通信を終端する仮想インタフェースを示す。
【0035】
インタフェース04は、インターネット701に接続するための物理インタフェースを示している。
【0036】
インタフェース05は、レイヤ2トンネル通信を行う仮想インタフェースを示している。
【0037】
また、ルータ101は、図2で示した監視機能11を制御するIPsec監視手段112と、レイヤ2トンネルを実現するブリッジ制御手段111と、ブリッジインタフェースのインタフェース01と、インタフェース05に学習されるMACアドレスを記録するブリッジテーブル113を備える。
【0038】
図4は、IPsec監視手段112が監視機能11によってルータ102とのIPsec通信の異常を検知した場合の動作を示す図である。
【0039】
IPsec監視手段112が、監視機能11によってルータ102とのIPsec通信の異常を検知した場合、ブリッジ制御手段111が、ルータ101のブリッジテーブル113の情報に基づき、所定のMACフレームをスイッチングハブ401に送信する。
【0040】
ここで、図5を参照すると、図5は、ルータ101のブリッジテーブル113及びスイッチングハブ401のブリッジテーブル413の構成例を示す図である。
【0041】
ブリッジテーブル113は、インタフェースとMACアドレスとを関連付けて格納しており、ブリッジテーブル413は、ポート番号とMACアドレスを関連付けて格納している。
【0042】
図4の場合、IPsec通信異常が検知された後、ブリッジ制御手段111は、拠点601に存在するクライアントの情報として、ブリッジテーブル113のインタフェース01に学習されているMACアドレスを送信元MACアドレスとするMACフレームを、スイッチングハブ401に対して送信する。
【0043】
図5の例では、インタフェース01に紐付くMACアドレスはMAC(201)とMAC(202)であるので、ブリッジ制御手段111は、MAC(201)、MAC(202)を送信元MACアドレスとするMACフレームをスイッチングハブ401に対して送信する。
【0044】
スイッチングハブ401は、該MACフレームを受信すると、ポート42にMAC(201)とMAC(202)を学習させる。この結果、図5に示すように、ブリッジテーブル413の対応関係が更新される。
【0045】
本発明は、上述のような構成により、OSI参照モデルのレイヤ3ネットワーク(IP層)上でIPsecの暗号化通信を行い、レイヤ2(MAC層)フレームを透過的に転送する、レイヤ2トンネル(L2TPv3やEtherIP)において、IPsec通信に必要な、IPsec SA(Security Association)と呼ばれる論理的なコネクションを監視する。
【0046】
該監視により、ICMPを利用した経路監視を行うのではなく、IPsec SAの論理的なコネクションの有無を監視し、IPsec SAの消失、すなわち論理的なコネクションの切断を検出することを契機に、接続するスイッチングハブ等のブリッジテーブルを更新することで、レイヤ2の切り替えを実施することを特徴としている。
【0047】
図1において、ルータ101はルータ102との間で、レイヤ2トンネリングを実施するにあたり、IPsec等における暗号化通信を行っている。このIPsecによる暗号化通信を行う際のパラメータ監視等を用いた異常検知を契機に、通信経路をルータ103側に切り替えると同時に、クライアント201およびクライアント202を送信元アドレスとする、レイヤ2のブロードキャストパケットをトンネル502側に送信する。
【0048】
これにより、スイッチングハブ401の通信ポート41に登録されていた、クライアント201及びクライアント202のMACアドレスを通信ポート42に登録し、レイヤ2の通信経路を切り替えることができる。
【0049】
このようにして、本願発明では、レイヤ3通信を行うためのIPsec状態に連動して、レイヤ2の経路変更を実現しているので、スイッチングハブ401のブリッジテーブルのMACアドレスの保持時間切れを待つことなく、レイヤ2の経路切り替え時間を短縮できる。
【0050】
(第1の実施の形態の動作の説明)
次に、本実施の形態によるクラスタシステム100の動作について、図面を参照して詳細に説明する。
【0051】
図1において、ルータ101はルータ102とルータ103に対して、インターネット701を介して、IPsecによるレイヤ3の通信が可能な状態である。
【0052】
また、トンネル501及びトンネル502にて、レイヤ2フレームを透過的に転送できるレイヤ2トンネルが構築されていることで、拠点601のクライアント201及びクライアント202は、拠点602のサーバ301及びサーバ302と、同一のネットワークセグメントにて通信ができる。
【0053】
ルータ101は、通常はルータ102との接続を利用して通信を行い(正常時経路)、IPsec監視手段112が該正常時経路の異常を検出した場合に、ルータ103との接続を利用して通信をバックアップする(異常時経路)、冗長化構成をとっている。
【0054】
以降の動作概略について、図6のフローチャートを参照しながら説明する。
【0055】
前提として、クライアント201又はクライアント202は、サーバ301又はサーバ302とレイヤ2通信を行う場合、正常時はルータ101、ルータ102間のトンネル501を通り、スイッチングハブ401を経由して通信を行う。一方、異常時には、ルータ101、ルータ103間のトンネル502を通り、スイッチングハブ401を経由して通信を行う。
【0056】
また、スイッチングハブ401は、正常時、ポート41にMAC(201,202)、ポート43にMAC(301)、ポート44にMAC(302)、が学習されている。
【0057】
図6を参照すると、まず、IPsec監視手段112が、監視機能11を用いて、dpd−keepalive等でルータ102とのIPsec疎通状態を監視する(ステップS601)。
【0058】
なお、ルータ101とルータ102間の通信の監視としてIPsecセッションの状態を監視する理由は、以下のとおりである。
【0059】
すなわち、レイヤ2トンネリングを行う場合は、レイヤ3通信が可能であることが必要だが、本実施の形態の構成では、インターネット等の公衆網を利用することを前提にしているため、IPsecによる暗号化通信上で、レイヤ3通信を行う。
【0060】
そのため、IPsec通信のセッションが正常であることが重要であり、IPsecセッションの異常を検出することによって、レイヤ3の経路切り替えが行われ、異常時経路に切り替わり、レイヤ2の通信もトンネル502を利用する。
【0061】
IPsec監視手段112は、ルータ101とルータ102間のIPsecセッションの異常を検出すると(ステップS602”YES”)、次いで、拠点602への経路をルータ103宛に変更する旨の決定をする(ステップS603)
次いで、IPsec監視手段112は、ブリッジ制御手段111に対して、拠点602への経路変更を通知する(ステップS604)。
【0062】
次いで、該通知を受けたブリッジ制御手段111が、ブリッジテーブル113から、インタフェース01に学習されているMACアドレスを抽出する(ステップS605)。
【0063】
次いで、ブリッジ制御手段111は、抽出したMACアドレスを送信元アドレスとしたMACフレームを生成し、レイヤ2トンネリングプロトコルにてカプセル化し、トンネル502に該MACフレームを送信する。(ステップS606)。ここでは、送信元MACアドレスをMAC(201)、MAC(202)としたMACフレームが送信される。
【0064】
なお、ブリッジ制御手段111が送信するMACフレームは、宛先MACアドレスを特定しないブロードキャストアドレス宛でもよいが、ネットワークへの負荷を考慮すると、ルータ101のブリッジテーブル113にて、宛先のインタフェース05に学習されているMACアドレスを送信先とするユニキャストアドレスでもよい。
【0065】
次いで、スイッチングハブ401が、ポート42から該MACフレームを受信する(ステップS607)。
【0066】
次いで、スイッチングハブ401は、図7に示すように、MACフレームの送信元MACアドレスであるMAC(201)及びMAC(202)を、ポート42に再学習する(ステップS608)。
【0067】
本動作により、IPsec接続状態を元に、接続するスイッチングハブ401のブリッジテーブルの更新を行うことが可能となる。
【0068】
なお、本動作がない場合は、サーバ301及び、サーバ302からクライアント201及びクライアント202への通信を行う際に、クライアント201及びクライアント202側からの通信によって、スイッチングハブ401のブリッジテーブルが更新されるか、ブリッジテーブルのMACアドレス保護時間が経過するまで、通信をすることができない。
【0069】
その理由は、IPsecセッションに異常が発生した場合、スイッチングハブ401では、異なるレイヤのため該通信異常が通知されず、MACアドレスの学習状態に変更がないためである。
【0070】
(第1の実施の形態による効果)
本実施の形態によれば、IPsec接続状態を示すSA情報を元に接続するスイッチングハブのブリッジテーブルの更新を行うことにより、既存のレイヤ2の経路切り替えを行うプロトコルを利用せずにレイヤ2の切り替えが可能になる。
【0071】
そのため、レイヤ2の冗長化プロトコルだけでは経路切り替えが難しい、ルータでのレイヤ2トンネルを用いた構成において、レイヤ3の状態監視で余分なトラフィックを必要とする課題を解決する。
【0072】
なお、本発明の課題を解決できる最小限の構成を図10に示す。ルータ等の通信機器である通信装置1010が、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、IPsec通信の状態を監視するIPsec監視手段112と、IPsec監視手段112が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブル113から自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段111とを備えることで、上述した本発明の課題を解決することができる。
【0073】
(第2の実施の形態)
次に、本発明の第2の実施の形態にについて説明を行う。
【0074】
図8は、本実施の形態による通信システム100の構成を示すブロック図である。本実施の形態では、基本的な構成は第1の実施の形態と同様であるが、多対地の接続をする場合において、さらに工夫している。
【0075】
なお、対地とは、ルータなどで接続先の個数を表す時に用いられる単位であり、多対地は、接続先が多数あることを意味する。
【0076】
図8を参照すると、ルータ101は、拠点602に接続するためにルータ102とルータ103の2台のルータと冗長構成をとり、また、ルータ101は、拠点603と接続するためにルータ104とルータ105の2台のルータと冗長構成をとる、多対地接続となっている。
【0077】
このため、ルータ101内部では、拠点602とレイヤ2接続するためのインタフェース05に加え、拠点603とレイヤ2接続する為のインタフェース06を持つ。
【0078】
また、ルータ101は、各拠点と、当該拠点にレイヤ2接続するためのブリッジインタフェースの情報を関連付けて格納する経路情報格納手段114を備える。
【0079】
また、ルータ101のIPsec監視手段112は、拠点602と拠点603の双方の正常時経路の対向ルータに対して、dpd−keepalive等による監視を実施している。
【0080】
例えば監視機能11にてIPsec通信の異常を検出した場合、IPsec監視手段112は、拠点602に対する経路をブリッジ制御手段111に通知する。通知を受けたブリッジ制御手段111は、経路情報格納手段114から、拠点602の経路に対応するブリッジインタフェース情報を抽出する。
【0081】
拠点602に対するブリッジインタフェースはインタフェース05のため、ブリッジ制御手段111は、インタフェース05を経由して、インタフェース01に学習されているMACアドレスを送信元にしたMACフレームを送信する。なお、インタフェース01に学習されているMACアドレスは、ブリッジテーブル113から取得する。
【0082】
そして、該MACフレームを受信した拠点602のスイッチングハブ401のブリッジテーブル413は、MACフレームの送信元MACアドレスを、ポート42に再学習する。
【0083】
(第2の実施の形態による効果)
このように、本実施の形態では、IPsecの対向毎の接続情報と、レイヤ2のブリッジ接続先の情報を対に管理しているので、複数の接続先が存在する際に、全てのインタフェースに対して余分なトラフィックを流すことなく、必要な接続先のみ経路冗長の高速化が図れるという効果が得られる。
【0084】
(第3の実施の形態)
次に、本発明の第3の実施の形態にについて説明を行う。
【0085】
図9は、本実施の形態による通信システム100の構成を示すブロック図である。本実施の形態では、拠点601および、拠点602の双方でVRRP(RFC3768)等の機器冗長が行われる場合においてさらに工夫されている。
【0086】
ルータ101は、前述のようなIPsecの監視機能によって、IPsec通信の異常を検出すると、本構成の場合は、ルータ101のインタフェース01側に、インタフェース01に学習されたMACアドレスを送信元とするMACフレームを送信する。
【0087】
送信されたMACフレームは、ルータ104とルータ103を経由して、スイッチングハブ401のポート42に到達するためこれまでの冗長構成と同じく、レイヤ2の切り替え時間を短縮することが可能となる。
【0088】
(第3の実施の形態による効果)
本実施の形態よれば、拠点においてルータの冗長化を行った場合でも、本発明を適用することができる。
【0089】
以上、好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
【0090】
なお、以上の構成要素の任意の組み合わせ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
【0091】
また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。
【0092】
また、本発明の方法およびコンピュータプログラムには複数の手順を順番に記載してあるが、その記載の順番は複数の手順を実行する順番を限定するものではない。このため、本発明の方法およびコンピュータプログラムを実施する時には、その複数の手順の順番は内容的に支障しない範囲で変更することができる。
【0093】
また、本発明の方法およびコンピュータプログラムの複数の手順は個々に相違するタイミングで実行されることに限定されない。このため、ある手順の実行中に他の手順が発生すること、ある手順の実行タイミングと他の手順の実行タイミングとの一部ないし全部が重複していること、等でもよい。
【0094】
さらに、上記実施形態の一部又は全部は、以下の付記のようにも記載されうるが、これに限定されない。
【0095】
(付記1)
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信装置。
【0096】
(付記2)
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置であって、
複数の通信装置を冗長化して備え、
各通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段がIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信装置。
【0097】
(付記3)
前記通信装置の冗長化構成が、VRRPにより実現されていることを特徴とする付記2に記載の通信装置。
【0098】
(付記4)
前記対向拠点が複数ある場合、
前記IPsec監視手段は、
対向拠点毎に、IPsec通信の状態を監視し、
前記ブリッジ制御手段は、
IPsec通信の異常を検知した経路に係る前記対向拠点に、前記MACアドレスを送信することを特徴とする付記1から付記3の何れか1項に記載の通信装置。
【0099】
(付記5)
対向拠点毎に、対応するインタフェースを関連付けて登録する経路情報格納手段を備えることを特徴とする付記4に記載の通信装置。
【0100】
(付記6)
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、
IPsec通信の状態を監視し、
現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信する
ことを特徴とする通信経路切り替え方法。
【0101】
(付記7)
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、
冗長化構成の複数の通信装置で、
IPsec通信の状態を監視し、
IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信する
ことを特徴とする通信経路切り替え方法。
【0102】
(付記8)
前記通信装置の冗長化構成が、VRRPにより実現されていることを特徴とする付記7に記載の通信経路切り替え方法。
【0103】
(付記9)
前記対向拠点が複数ある場合、
対向拠点毎に、IPsec通信の状態を監視し、
IPsec通信の異常を検知した経路に係る前記対向拠点に、前記MACアドレスを送信することを特徴とする付記6から付記8の何れか1項に記載の通信経路切り替え方法。
【0104】
(付記10)
前記通信装置が、
対向拠点毎に、対応するインタフェースを関連付けて経路情報として登録することを特徴とする付記9に記載の通信経路切り替え方法。
【0105】
(付記11)
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、
前記通信装置に、
IPsec通信の状態を監視する処理と、
現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信する処理と、を実行させることを特徴とする通信経路切り替えプログラム。
【0106】
(付記12)
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、
冗長化構成の複数の通信装置に、
IPsec通信の状態を監視する処理と、
IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信する処理と、を実行させることを特徴とする通信経路切り替えプログラム。
【0107】
(付記13)
前記通信装置の冗長化構成が、VRRPにより実現されていることを特徴とする付記12に記載の通信経路切り替えプログラム。
【0108】
(付記14)
前記対向拠点が複数ある場合、
対向拠点毎に、IPsec通信の状態を監視し、
IPsec通信の異常を検知した経路に係る前記対向拠点に、前記MACアドレスを送信することを特徴とする付記11から付記13の何れか1項に記載の通信経路切り替えプログラム。
【0109】
(付記15)
前記通信装置に、
対向拠点毎に、対応するインタフェースを関連付けて経路情報として登録する処理を実行させることを特徴とする付記14に記載の通信経路切り替えプログラム。
【0110】
(付記16)
レイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して互いに接続される複数の拠点を含む通信システムであって、
前記拠点の通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信システム。
【0111】
(付記17)
レイヤ2トンネリングプロトコルを用いた通信経路を介して互いに接続される複数の拠点を含む通信システムであって、
前記拠点が冗長化構成の複数の通信装置を備え、
各通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段がIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信システム。
【符号の説明】
【0112】
01〜06:インタフェース
11、12:監視機能
100:通信システム
101〜105:ルータ
111:ブリッジ制御手段
112:IPsec監視手段
113:ブリッジテーブル
114:経路情報格納手段
201、202:クライアント
401:スイッチングハブ
413:ブリッジテーブル
501、502:トンネル
601〜603:拠点
701:インターネット
1010:通信装置
【技術分野】
【0001】
本発明は、レイヤ2トンネリングプロトコルを用いた通信に関し、特に、レイヤ2トンネリングプロトコルによる接続を冗長化した場合の、経路切り替え技術に関する。
【背景技術】
【0002】
ネットワークにおいて、通信のセキュリティを確保するための手段の1つとして、トンネリングと呼ばれる技術がある。トンネリングは、通信を行いたい通信プロトコルで記述されたパケットを、別の通信プロトコルのパケットで包んでカプセル化し、該他の通信プロトコルのデータとして送信する技術である。
【0003】
そして、このトンネリングを応用した技術として、レイヤ2トンネリングプロトコルとしてL2TP(Layer 2 Tunneling Protocol)やEtherIPと呼ばれる技術がある。
【0004】
レイヤ2トンネリングプロトコルは、インターネット上で、2点間を接続してデータ通信を行うPPP(point to
point protocol)やイーサ(MAC)フレームを上位層の各プロトコルで定められたフォーマットでカプセル化し、送信を行う。
【0005】
レイヤ2トンネリングプロトコルは、OSI参照モデルの第2層であるデータリンク層(レイヤ2)に属するイーサ(MAC)フレームを、OSI参照モデルの第3層であるネットワーク層(レイヤ3)に属するIPや各プロトコルで定められたフォーマットでカプセル化する。すなわち、レイヤ2トンネリングプロトコルは、レイヤ3ネットワークにおいてレイヤ2トンネルを用いて通信行っている。以下、このような通信をレイヤ2トンネル通信と称する。
【0006】
ここで、背景技術による、レイヤ3ネットワーク上でのレイヤ2トンネルの冗長構成について図11を参照して説明する。
【0007】
図11において、ルータ9101とルータ9102の経路にIP通信障害があった場合、ルータ9101は、ルータ9103向けのレイヤ3経路にバックアップを行い、合わせてレイヤ2トンネルもバックアップ経路を利用して通信が行われる。
【0008】
しかしながら、上述のような背景技術によるバックアップ切り替え処理においては、レイヤ3上でのトンネルを利用したレイヤ2ネットワークは、常に接続が行われている通常のイーサネットのレイヤ2ネットワークと異なり、レイヤ2の冗長化プロトコルが利用できないという制限がある。
【0009】
すなわち、背景技術によるレイヤ3通信を制御するルータによるレイヤ2トンネル機能では、レイヤ3とレイヤ2が別々のプロトコルで経路変更を行うため、レイヤ3の冗長切り替えの後に、レイヤ2の冗長切り替えが行われ、レイヤ2の切り替えが完了するまでに時間がかかる課題があった。
【0010】
また、レイヤ3の経路切り替え方法によっては、レイヤ2ネットワークが分断され、正しくレイヤ2のプロトコルが動作しないことにより、レイヤ2の冗長化は行わない場合や、安価なスイッチングハブの利用によりレイヤ2のプロトコルが利用できない状態において、スイッチングハブのMACアドレス保持時間が経過するまで、レイヤ2の経路が切り替わらないといった課題があった。
【0011】
この課題を解決する技術として、ICMPやOSPF Hello等を利用してIP通信異常を検出する技術が、特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】特開2008−172636号公報
【発明の概要】
【発明が解決しようとする課題】
【0013】
特許文献1に開示の技術は、レイヤ3の監視を行うために、ICMPやOSPF等のルーティングプロトコルを利用するため、ルータ間のネットワークに余分なトラフィックを送信する。そのため、従量制で課金されるようなネットワークでは利用しない際にも監視用のICMPやOSPFのHelloパケットによる課金がされてしまうという課題があった。
【0014】
(発明の目的)
本発明の目的は、上述の課題を解決し、レイヤ3の正常性をICMPやルーティングプロトコルを利用せずに監視し、レイヤ2の切り替えにおける余計なトラフィックを削減することができる通信装置、通信システム、通信経路切り替え方法、及び通信経路切り替えプログラムを提供することである。
【課題を解決するための手段】
【0015】
本発明の第1の通信装置は、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、IPsec通信の状態を監視するIPsec監視手段と、IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段とを備える。
【0016】
本発明の第2の通信装置は、対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置であって、複数の通信装置を冗長化して備え、各通信装置が、IPsec通信の状態を監視するIPsec監視手段と、IPsec監視手段がIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して対向拠点に送信するブリッジ制御手段とを備える。
【0017】
本発明の第1の通信経路切り替え方法は、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、IPsec通信の状態を監視し、現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信する。
【0018】
本発明の第2の通信経路切り替え方法は、対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、冗長化構成の複数の通信装置で、IPsec通信の状態を監視し、IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して対向拠点に送信する。
【0019】
本発明の第1の通信経路切り替えプログラムは、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、通信装置に、IPsec通信の状態を監視する処理と、現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信する処理と、を実行させる。
【0020】
本発明の第2の通信経路切り替えプログラムは、対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、冗長化構成の複数の通信装置に、IPsec通信の状態を監視する処理と、IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して対向拠点に送信する処理と、を実行させる。
【0021】
本発明の第1の通信システムは、レイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して互いに接続される複数の拠点を含む通信システムであって、拠点の通信装置が、IPsec通信の状態を監視するIPsec監視手段と、IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段とを備える。
【発明の効果】
【0022】
本発明によれば、レイヤ3の正常性をICMPやルーティングプロトコルを利用せずに監視し、レイヤ2の切り替えにおける余計なトラフィックを削減することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の第1の実施の形態による通信システムの構成を示すブロック図である。
【図2】本発明の第1の実施の形態によるIPsecの接続性を検出する例を示す図である。
【図3】本発明の第1の実施の形態によるルータの構成を示すブロック図である。
【図4】本発明の第1の実施の形態によるIPsec通信の異常を検知した場合の動作を示す図である。
【図5】本発明の第1の実施の形態によるブリッジテーブルの構成例を示す図である。
【図6】本発明の第1の実施の形態による通信システムの動作を示すフローチャートである。
【図7】本発明の第1の実施の形態によるMACアドレス再学習の様子を示す図である。
【図8】本発明の第2の実施の形態による通信システムの構成を示すブロック図である。
【図9】本発明の第3の実施の形態による通信システムの構成を示すブロック図である。
【図10】本発明の最小限の構成を示すブロック図である。
【図11】背景技術による通信システムの構成を示すブロック図である。
【発明を実施するための形態】
【0024】
本発明の上記及び他の目的、特徴及び利点を明確にすべく、添付した図面を参照しながら、本発明の実施形態を以下に詳述する。なお、上述の本願発明の目的のほか、他の技術的課題、その技術的課題を解決する手段及びその作用効果についても、以下の実施形態による開示によって明らかとなるものである。
【0025】
なお、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
【0026】
(第1の実施の形態)
図1は、本発明の第1の実施の形態による通信システム100の構成を示すブロック図である。
【0027】
図1を参照すると、本実施の形態による通信システム100は、インターネット上において、IPsec(Security
Architecture for Internet Protocol)等のレイヤ3の暗号化通信経路上で、レイヤ2をトンネルする構成となっている。
【0028】
ルータ101は、IP通信の到達性が確保されたインターネット701を介してルータ102及びルータ103に接続し、それぞれに対して、IPsecによる暗号化通信を行う。
【0029】
また暗号化通信経路上では、L2TPv3(Layer Two Tunneling Protocol Version 3)やEtherIP等のレイヤ2トンネリングプロトコルを利用して、拠点601と拠点602のLANが同一ネットワークセグメントとして接続されている。
【0030】
拠点601から拠点602への経路は、ルータ102宛とルータ103宛の2つの経路を有しており、正常時はトンネル501を利用した正常時経路にて通信し、正常時の経路に異常があった場合(IPsec通信が切断された場合)は、トンネル502を利用した異常時経路を利用する。なお、トンネル501、502は、レイヤ2トンネルである。
【0031】
図2は、IPsecの接続性を検出する例を示している。ルータ101は、ルータ102とのIPsec通信の正常性をikeのdpd−keepalive等を利用して常時監視する監視機能11を有する。より詳細には、監視機能11は、後述するIPsec監視手段112が有する機能である。
【0032】
図3は、ルータ101内部の、レイヤ2トンネル通信を実施するための構成を示すブロック図である。
【0033】
インタフェース01は、拠点601のLANに接続するためのイーサネットインタフェースである。
【0034】
インタフェース02及びインタフェース03は、ルータ102又はルータ103とレイヤ3暗号化通信を終端する仮想インタフェースを示す。
【0035】
インタフェース04は、インターネット701に接続するための物理インタフェースを示している。
【0036】
インタフェース05は、レイヤ2トンネル通信を行う仮想インタフェースを示している。
【0037】
また、ルータ101は、図2で示した監視機能11を制御するIPsec監視手段112と、レイヤ2トンネルを実現するブリッジ制御手段111と、ブリッジインタフェースのインタフェース01と、インタフェース05に学習されるMACアドレスを記録するブリッジテーブル113を備える。
【0038】
図4は、IPsec監視手段112が監視機能11によってルータ102とのIPsec通信の異常を検知した場合の動作を示す図である。
【0039】
IPsec監視手段112が、監視機能11によってルータ102とのIPsec通信の異常を検知した場合、ブリッジ制御手段111が、ルータ101のブリッジテーブル113の情報に基づき、所定のMACフレームをスイッチングハブ401に送信する。
【0040】
ここで、図5を参照すると、図5は、ルータ101のブリッジテーブル113及びスイッチングハブ401のブリッジテーブル413の構成例を示す図である。
【0041】
ブリッジテーブル113は、インタフェースとMACアドレスとを関連付けて格納しており、ブリッジテーブル413は、ポート番号とMACアドレスを関連付けて格納している。
【0042】
図4の場合、IPsec通信異常が検知された後、ブリッジ制御手段111は、拠点601に存在するクライアントの情報として、ブリッジテーブル113のインタフェース01に学習されているMACアドレスを送信元MACアドレスとするMACフレームを、スイッチングハブ401に対して送信する。
【0043】
図5の例では、インタフェース01に紐付くMACアドレスはMAC(201)とMAC(202)であるので、ブリッジ制御手段111は、MAC(201)、MAC(202)を送信元MACアドレスとするMACフレームをスイッチングハブ401に対して送信する。
【0044】
スイッチングハブ401は、該MACフレームを受信すると、ポート42にMAC(201)とMAC(202)を学習させる。この結果、図5に示すように、ブリッジテーブル413の対応関係が更新される。
【0045】
本発明は、上述のような構成により、OSI参照モデルのレイヤ3ネットワーク(IP層)上でIPsecの暗号化通信を行い、レイヤ2(MAC層)フレームを透過的に転送する、レイヤ2トンネル(L2TPv3やEtherIP)において、IPsec通信に必要な、IPsec SA(Security Association)と呼ばれる論理的なコネクションを監視する。
【0046】
該監視により、ICMPを利用した経路監視を行うのではなく、IPsec SAの論理的なコネクションの有無を監視し、IPsec SAの消失、すなわち論理的なコネクションの切断を検出することを契機に、接続するスイッチングハブ等のブリッジテーブルを更新することで、レイヤ2の切り替えを実施することを特徴としている。
【0047】
図1において、ルータ101はルータ102との間で、レイヤ2トンネリングを実施するにあたり、IPsec等における暗号化通信を行っている。このIPsecによる暗号化通信を行う際のパラメータ監視等を用いた異常検知を契機に、通信経路をルータ103側に切り替えると同時に、クライアント201およびクライアント202を送信元アドレスとする、レイヤ2のブロードキャストパケットをトンネル502側に送信する。
【0048】
これにより、スイッチングハブ401の通信ポート41に登録されていた、クライアント201及びクライアント202のMACアドレスを通信ポート42に登録し、レイヤ2の通信経路を切り替えることができる。
【0049】
このようにして、本願発明では、レイヤ3通信を行うためのIPsec状態に連動して、レイヤ2の経路変更を実現しているので、スイッチングハブ401のブリッジテーブルのMACアドレスの保持時間切れを待つことなく、レイヤ2の経路切り替え時間を短縮できる。
【0050】
(第1の実施の形態の動作の説明)
次に、本実施の形態によるクラスタシステム100の動作について、図面を参照して詳細に説明する。
【0051】
図1において、ルータ101はルータ102とルータ103に対して、インターネット701を介して、IPsecによるレイヤ3の通信が可能な状態である。
【0052】
また、トンネル501及びトンネル502にて、レイヤ2フレームを透過的に転送できるレイヤ2トンネルが構築されていることで、拠点601のクライアント201及びクライアント202は、拠点602のサーバ301及びサーバ302と、同一のネットワークセグメントにて通信ができる。
【0053】
ルータ101は、通常はルータ102との接続を利用して通信を行い(正常時経路)、IPsec監視手段112が該正常時経路の異常を検出した場合に、ルータ103との接続を利用して通信をバックアップする(異常時経路)、冗長化構成をとっている。
【0054】
以降の動作概略について、図6のフローチャートを参照しながら説明する。
【0055】
前提として、クライアント201又はクライアント202は、サーバ301又はサーバ302とレイヤ2通信を行う場合、正常時はルータ101、ルータ102間のトンネル501を通り、スイッチングハブ401を経由して通信を行う。一方、異常時には、ルータ101、ルータ103間のトンネル502を通り、スイッチングハブ401を経由して通信を行う。
【0056】
また、スイッチングハブ401は、正常時、ポート41にMAC(201,202)、ポート43にMAC(301)、ポート44にMAC(302)、が学習されている。
【0057】
図6を参照すると、まず、IPsec監視手段112が、監視機能11を用いて、dpd−keepalive等でルータ102とのIPsec疎通状態を監視する(ステップS601)。
【0058】
なお、ルータ101とルータ102間の通信の監視としてIPsecセッションの状態を監視する理由は、以下のとおりである。
【0059】
すなわち、レイヤ2トンネリングを行う場合は、レイヤ3通信が可能であることが必要だが、本実施の形態の構成では、インターネット等の公衆網を利用することを前提にしているため、IPsecによる暗号化通信上で、レイヤ3通信を行う。
【0060】
そのため、IPsec通信のセッションが正常であることが重要であり、IPsecセッションの異常を検出することによって、レイヤ3の経路切り替えが行われ、異常時経路に切り替わり、レイヤ2の通信もトンネル502を利用する。
【0061】
IPsec監視手段112は、ルータ101とルータ102間のIPsecセッションの異常を検出すると(ステップS602”YES”)、次いで、拠点602への経路をルータ103宛に変更する旨の決定をする(ステップS603)
次いで、IPsec監視手段112は、ブリッジ制御手段111に対して、拠点602への経路変更を通知する(ステップS604)。
【0062】
次いで、該通知を受けたブリッジ制御手段111が、ブリッジテーブル113から、インタフェース01に学習されているMACアドレスを抽出する(ステップS605)。
【0063】
次いで、ブリッジ制御手段111は、抽出したMACアドレスを送信元アドレスとしたMACフレームを生成し、レイヤ2トンネリングプロトコルにてカプセル化し、トンネル502に該MACフレームを送信する。(ステップS606)。ここでは、送信元MACアドレスをMAC(201)、MAC(202)としたMACフレームが送信される。
【0064】
なお、ブリッジ制御手段111が送信するMACフレームは、宛先MACアドレスを特定しないブロードキャストアドレス宛でもよいが、ネットワークへの負荷を考慮すると、ルータ101のブリッジテーブル113にて、宛先のインタフェース05に学習されているMACアドレスを送信先とするユニキャストアドレスでもよい。
【0065】
次いで、スイッチングハブ401が、ポート42から該MACフレームを受信する(ステップS607)。
【0066】
次いで、スイッチングハブ401は、図7に示すように、MACフレームの送信元MACアドレスであるMAC(201)及びMAC(202)を、ポート42に再学習する(ステップS608)。
【0067】
本動作により、IPsec接続状態を元に、接続するスイッチングハブ401のブリッジテーブルの更新を行うことが可能となる。
【0068】
なお、本動作がない場合は、サーバ301及び、サーバ302からクライアント201及びクライアント202への通信を行う際に、クライアント201及びクライアント202側からの通信によって、スイッチングハブ401のブリッジテーブルが更新されるか、ブリッジテーブルのMACアドレス保護時間が経過するまで、通信をすることができない。
【0069】
その理由は、IPsecセッションに異常が発生した場合、スイッチングハブ401では、異なるレイヤのため該通信異常が通知されず、MACアドレスの学習状態に変更がないためである。
【0070】
(第1の実施の形態による効果)
本実施の形態によれば、IPsec接続状態を示すSA情報を元に接続するスイッチングハブのブリッジテーブルの更新を行うことにより、既存のレイヤ2の経路切り替えを行うプロトコルを利用せずにレイヤ2の切り替えが可能になる。
【0071】
そのため、レイヤ2の冗長化プロトコルだけでは経路切り替えが難しい、ルータでのレイヤ2トンネルを用いた構成において、レイヤ3の状態監視で余分なトラフィックを必要とする課題を解決する。
【0072】
なお、本発明の課題を解決できる最小限の構成を図10に示す。ルータ等の通信機器である通信装置1010が、対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、IPsec通信の状態を監視するIPsec監視手段112と、IPsec監視手段112が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブル113から自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段111とを備えることで、上述した本発明の課題を解決することができる。
【0073】
(第2の実施の形態)
次に、本発明の第2の実施の形態にについて説明を行う。
【0074】
図8は、本実施の形態による通信システム100の構成を示すブロック図である。本実施の形態では、基本的な構成は第1の実施の形態と同様であるが、多対地の接続をする場合において、さらに工夫している。
【0075】
なお、対地とは、ルータなどで接続先の個数を表す時に用いられる単位であり、多対地は、接続先が多数あることを意味する。
【0076】
図8を参照すると、ルータ101は、拠点602に接続するためにルータ102とルータ103の2台のルータと冗長構成をとり、また、ルータ101は、拠点603と接続するためにルータ104とルータ105の2台のルータと冗長構成をとる、多対地接続となっている。
【0077】
このため、ルータ101内部では、拠点602とレイヤ2接続するためのインタフェース05に加え、拠点603とレイヤ2接続する為のインタフェース06を持つ。
【0078】
また、ルータ101は、各拠点と、当該拠点にレイヤ2接続するためのブリッジインタフェースの情報を関連付けて格納する経路情報格納手段114を備える。
【0079】
また、ルータ101のIPsec監視手段112は、拠点602と拠点603の双方の正常時経路の対向ルータに対して、dpd−keepalive等による監視を実施している。
【0080】
例えば監視機能11にてIPsec通信の異常を検出した場合、IPsec監視手段112は、拠点602に対する経路をブリッジ制御手段111に通知する。通知を受けたブリッジ制御手段111は、経路情報格納手段114から、拠点602の経路に対応するブリッジインタフェース情報を抽出する。
【0081】
拠点602に対するブリッジインタフェースはインタフェース05のため、ブリッジ制御手段111は、インタフェース05を経由して、インタフェース01に学習されているMACアドレスを送信元にしたMACフレームを送信する。なお、インタフェース01に学習されているMACアドレスは、ブリッジテーブル113から取得する。
【0082】
そして、該MACフレームを受信した拠点602のスイッチングハブ401のブリッジテーブル413は、MACフレームの送信元MACアドレスを、ポート42に再学習する。
【0083】
(第2の実施の形態による効果)
このように、本実施の形態では、IPsecの対向毎の接続情報と、レイヤ2のブリッジ接続先の情報を対に管理しているので、複数の接続先が存在する際に、全てのインタフェースに対して余分なトラフィックを流すことなく、必要な接続先のみ経路冗長の高速化が図れるという効果が得られる。
【0084】
(第3の実施の形態)
次に、本発明の第3の実施の形態にについて説明を行う。
【0085】
図9は、本実施の形態による通信システム100の構成を示すブロック図である。本実施の形態では、拠点601および、拠点602の双方でVRRP(RFC3768)等の機器冗長が行われる場合においてさらに工夫されている。
【0086】
ルータ101は、前述のようなIPsecの監視機能によって、IPsec通信の異常を検出すると、本構成の場合は、ルータ101のインタフェース01側に、インタフェース01に学習されたMACアドレスを送信元とするMACフレームを送信する。
【0087】
送信されたMACフレームは、ルータ104とルータ103を経由して、スイッチングハブ401のポート42に到達するためこれまでの冗長構成と同じく、レイヤ2の切り替え時間を短縮することが可能となる。
【0088】
(第3の実施の形態による効果)
本実施の形態よれば、拠点においてルータの冗長化を行った場合でも、本発明を適用することができる。
【0089】
以上、好ましい実施の形態をあげて本発明を説明したが、本発明は必ずしも、上記実施の形態に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
【0090】
なお、以上の構成要素の任意の組み合わせ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
【0091】
また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。
【0092】
また、本発明の方法およびコンピュータプログラムには複数の手順を順番に記載してあるが、その記載の順番は複数の手順を実行する順番を限定するものではない。このため、本発明の方法およびコンピュータプログラムを実施する時には、その複数の手順の順番は内容的に支障しない範囲で変更することができる。
【0093】
また、本発明の方法およびコンピュータプログラムの複数の手順は個々に相違するタイミングで実行されることに限定されない。このため、ある手順の実行中に他の手順が発生すること、ある手順の実行タイミングと他の手順の実行タイミングとの一部ないし全部が重複していること、等でもよい。
【0094】
さらに、上記実施形態の一部又は全部は、以下の付記のようにも記載されうるが、これに限定されない。
【0095】
(付記1)
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信装置。
【0096】
(付記2)
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置であって、
複数の通信装置を冗長化して備え、
各通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段がIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信装置。
【0097】
(付記3)
前記通信装置の冗長化構成が、VRRPにより実現されていることを特徴とする付記2に記載の通信装置。
【0098】
(付記4)
前記対向拠点が複数ある場合、
前記IPsec監視手段は、
対向拠点毎に、IPsec通信の状態を監視し、
前記ブリッジ制御手段は、
IPsec通信の異常を検知した経路に係る前記対向拠点に、前記MACアドレスを送信することを特徴とする付記1から付記3の何れか1項に記載の通信装置。
【0099】
(付記5)
対向拠点毎に、対応するインタフェースを関連付けて登録する経路情報格納手段を備えることを特徴とする付記4に記載の通信装置。
【0100】
(付記6)
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、
IPsec通信の状態を監視し、
現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信する
ことを特徴とする通信経路切り替え方法。
【0101】
(付記7)
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、
冗長化構成の複数の通信装置で、
IPsec通信の状態を監視し、
IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信する
ことを特徴とする通信経路切り替え方法。
【0102】
(付記8)
前記通信装置の冗長化構成が、VRRPにより実現されていることを特徴とする付記7に記載の通信経路切り替え方法。
【0103】
(付記9)
前記対向拠点が複数ある場合、
対向拠点毎に、IPsec通信の状態を監視し、
IPsec通信の異常を検知した経路に係る前記対向拠点に、前記MACアドレスを送信することを特徴とする付記6から付記8の何れか1項に記載の通信経路切り替え方法。
【0104】
(付記10)
前記通信装置が、
対向拠点毎に、対応するインタフェースを関連付けて経路情報として登録することを特徴とする付記9に記載の通信経路切り替え方法。
【0105】
(付記11)
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、
前記通信装置に、
IPsec通信の状態を監視する処理と、
現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信する処理と、を実行させることを特徴とする通信経路切り替えプログラム。
【0106】
(付記12)
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、
冗長化構成の複数の通信装置に、
IPsec通信の状態を監視する処理と、
IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信する処理と、を実行させることを特徴とする通信経路切り替えプログラム。
【0107】
(付記13)
前記通信装置の冗長化構成が、VRRPにより実現されていることを特徴とする付記12に記載の通信経路切り替えプログラム。
【0108】
(付記14)
前記対向拠点が複数ある場合、
対向拠点毎に、IPsec通信の状態を監視し、
IPsec通信の異常を検知した経路に係る前記対向拠点に、前記MACアドレスを送信することを特徴とする付記11から付記13の何れか1項に記載の通信経路切り替えプログラム。
【0109】
(付記15)
前記通信装置に、
対向拠点毎に、対応するインタフェースを関連付けて経路情報として登録する処理を実行させることを特徴とする付記14に記載の通信経路切り替えプログラム。
【0110】
(付記16)
レイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して互いに接続される複数の拠点を含む通信システムであって、
前記拠点の通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信システム。
【0111】
(付記17)
レイヤ2トンネリングプロトコルを用いた通信経路を介して互いに接続される複数の拠点を含む通信システムであって、
前記拠点が冗長化構成の複数の通信装置を備え、
各通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段がIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信システム。
【符号の説明】
【0112】
01〜06:インタフェース
11、12:監視機能
100:通信システム
101〜105:ルータ
111:ブリッジ制御手段
112:IPsec監視手段
113:ブリッジテーブル
114:経路情報格納手段
201、202:クライアント
401:スイッチングハブ
413:ブリッジテーブル
501、502:トンネル
601〜603:拠点
701:インターネット
1010:通信装置
【特許請求の範囲】
【請求項1】
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信装置。
【請求項2】
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置であって、
複数の通信装置を冗長化して備え、
各通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段がIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信装置。
【請求項3】
前記通信装置の冗長化構成が、VRRPにより実現されていることを特徴とする請求項2に記載の通信装置。
【請求項4】
前記対向拠点が複数ある場合、
前記IPsec監視手段は、
対向拠点毎に、IPsec通信の状態を監視し、
前記ブリッジ制御手段は、
IPsec通信の異常を検知した経路に係る前記対向拠点に、前記MACアドレスを送信することを特徴とする請求項1から請求項3の何れか1項に記載の通信装置。
【請求項5】
対向拠点毎に、対応するインタフェースを関連付けて登録する経路情報格納手段を備えることを特徴とする請求項4に記載の通信装置。
【請求項6】
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、
IPsec通信の状態を監視し、
現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信する
ことを特徴とする通信経路切り替え方法。
【請求項7】
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、
冗長化構成の複数の通信装置で、
IPsec通信の状態を監視し、
IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信する
ことを特徴とする通信経路切り替え方法。
【請求項8】
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、
前記通信装置に、
IPsec通信の状態を監視する処理と、
現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信する処理と、を実行させることを特徴とする通信経路切り替えプログラム。
【請求項9】
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、
冗長化構成の複数の通信装置に、
IPsec通信の状態を監視する処理と、
IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信する処理と、を実行させることを特徴とする通信経路切り替えプログラム。
【請求項10】
レイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して互いに接続される複数の拠点を含む通信システムであって、
前記拠点の通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信システム。
【請求項1】
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置であって、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信装置。
【請求項2】
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置であって、
複数の通信装置を冗長化して備え、
各通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段がIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信装置。
【請求項3】
前記通信装置の冗長化構成が、VRRPにより実現されていることを特徴とする請求項2に記載の通信装置。
【請求項4】
前記対向拠点が複数ある場合、
前記IPsec監視手段は、
対向拠点毎に、IPsec通信の状態を監視し、
前記ブリッジ制御手段は、
IPsec通信の異常を検知した経路に係る前記対向拠点に、前記MACアドレスを送信することを特徴とする請求項1から請求項3の何れか1項に記載の通信装置。
【請求項5】
対向拠点毎に、対応するインタフェースを関連付けて登録する経路情報格納手段を備えることを特徴とする請求項4に記載の通信装置。
【請求項6】
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、
IPsec通信の状態を監視し、
現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信する
ことを特徴とする通信経路切り替え方法。
【請求項7】
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置の通信経路切り替え方法であって、
冗長化構成の複数の通信装置で、
IPsec通信の状態を監視し、
IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信する
ことを特徴とする通信経路切り替え方法。
【請求項8】
対向拠点とレイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、
前記通信装置に、
IPsec通信の状態を監視する処理と、
現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して前記対向拠点に送信する処理と、を実行させることを特徴とする通信経路切り替えプログラム。
【請求項9】
対向拠点とレイヤ2トンネリングプロトコルを用いた通信経路を介して接続される拠点の通信装置上で動作する通信経路切り替えプログラムであって、
冗長化構成の複数の通信装置に、
IPsec通信の状態を監視する処理と、
IPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、他の通信装置を介して前記対向拠点に送信する処理と、を実行させることを特徴とする通信経路切り替えプログラム。
【請求項10】
レイヤ2トンネリングプロトコルを用いた冗長化構成の通信経路を介して互いに接続される複数の拠点を含む通信システムであって、
前記拠点の通信装置が、
IPsec通信の状態を監視するIPsec監視手段と、
前記IPsec監視手段が現用経路のIPsec通信の異常を検知した場合に、ブリッジテーブルから自装置のイーサネットインタフェースに関連付くMACアドレスを抽出し、当該MACアドレスを、予備経路を介して対向拠点に送信するブリッジ制御手段と
を備えることを特徴とする通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2012−231368(P2012−231368A)
【公開日】平成24年11月22日(2012.11.22)
【国際特許分類】
【出願番号】特願2011−99217(P2011−99217)
【出願日】平成23年4月27日(2011.4.27)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(000197366)NECアクセステクニカ株式会社 (1,236)
【Fターム(参考)】
【公開日】平成24年11月22日(2012.11.22)
【国際特許分類】
【出願日】平成23年4月27日(2011.4.27)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(000197366)NECアクセステクニカ株式会社 (1,236)
【Fターム(参考)】
[ Back to top ]