JP2003134153A - Intra-ip-vpn access control system and method - Google Patents
Intra-ip-vpn access control system and methodInfo
- Publication number
- JP2003134153A JP2003134153A JP2001327231A JP2001327231A JP2003134153A JP 2003134153 A JP2003134153 A JP 2003134153A JP 2001327231 A JP2001327231 A JP 2001327231A JP 2001327231 A JP2001327231 A JP 2001327231A JP 2003134153 A JP2003134153 A JP 2003134153A
- Authority
- JP
- Japan
- Prior art keywords
- network side
- vpn
- network
- packet
- edge router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、同一VPN内部で
もパケットフィルタリングを可能にしたIP−VPN内
アクセス制御システムおよび方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an intra-IP-VPN access control system and method capable of packet filtering even within the same VPN.
【0002】[0002]
【従来の技術】IP−VPNサービスは、公衆IPネッ
トワークをベースに、ユーザグループに閉じた環境(V
PN:Virtual Private Networ
k)で複数のサブネットワーク間を結ぶサービスであ
る。2. Description of the Related Art An IP-VPN service is based on a public IP network and is an environment (V
PN: Virtual Private Network
In k), it is a service that connects a plurality of sub-networks.
【0003】IP−VPNのネットワークは、図1のよ
うにIP−VPNサービスを利用する顧客のサブネット
ワークであるIP網と、サブネットワーク間を接続する
転送網からなる。転送網とIP網はエッジルータと呼ば
れるネットワーク機器によって接続される。転送網は、
エッジルータとエッジルータ間を接続する転送ルータか
ら構成される。As shown in FIG. 1, the IP-VPN network is composed of an IP network which is a sub-network of customers who use the IP-VPN service, and a transfer network which connects the sub-networks. The transfer network and the IP network are connected by a network device called an edge router. The transfer network is
It consists of edge routers and forwarding routers that connect the edge routers.
【0004】IP網から発せられたIPパケットは、送
信元のホストが所属するIP網に接続されたエッジルー
タにおいてトンネリングされ、宛先に応じたエッジルー
タヘ直接、もしくは転送ルータを介して間接的に転送さ
れる。転送されたIPパケットは、転送先のエッジルー
タにおいてトンネリングが解かれ、宛先のホストヘ到達
する。転送網におけるトンネリングの際に、VPN毎の
識別子(以降、VPN識別子と略す)が付与される。転
送網では、VPN識別子の異なるIP網間は転送を行わ
ないことで、閉域性を確保する。転送網におけるトンネ
リングを実現する技術として、MPLS(Multi
Protocol Label Swicthing)
やGMN−CL(Connectionless ne
tworking technorogies for
Global Mega−media Networ
ks)などが挙げられる。An IP packet transmitted from an IP network is tunneled at an edge router connected to the IP network to which a source host belongs, and is directly transferred to an edge router corresponding to a destination or indirectly via a transfer router. It The transferred IP packet is untunneled at the transfer destination edge router and reaches the destination host. At the time of tunneling in the transfer network, an identifier for each VPN (hereinafter abbreviated as VPN identifier) is given. In the transfer network, the closed nature is secured by not transferring between IP networks having different VPN identifiers. MPLS (Multi) is a technology for realizing tunneling in a transport network.
(Protocol Label Switching)
And GMN-CL (Connectionless ne
forking technologies for
Global Mega-media Network
ks) and the like.
【0005】エッジルータは転送網とIP網の双方に接
続されるため、転送網側インタフェース(以降、I/F
と略す)とIP網側I/Fを各々物理的に少なくとも一
つ以上備える。物理的なI/Fは一つ以上の論理的なI
/Fとして利用される場合もある。論理的なI/Fを実
現する技術として、ATM(Asynchronous
Transfer Mode)におけるVP(Vir
tual Path)/VC(Virtual Cha
nnel)などが挙げられる。以降でI/Fとは、特に
記述の無い限り論理的なI/Fを指す。Since the edge router is connected to both the transfer network and the IP network, the transfer network side interface (hereinafter, I / F) is used.
And each IP network side I / F are physically provided. Physical I / F is one or more logical I / F
It may be used as / F. ATM (Asynchronous) is a technology for realizing a logical I / F.
VP (Vir) in Transfer Mode
true Path) / VC (Virtual Cha)
nnel) and the like. Hereinafter, I / F refers to a logical I / F unless otherwise specified.
【0006】エッジルータの各転送網側I/Fは、転送
網内でI/Fを一意に特定できる転送網アドレスが割当
てられる。[0006] Each transfer network side I / F of the edge router is assigned a transfer network address that can uniquely identify the I / F within the transfer network.
【0007】エッジルータの各IP網側I/Fは、一つ
のVPNに接続される。接続されるVPNのVPN識別
子を、以降ではIP網側I/Fに対応したVPN識別子
と呼ぶ。Each IP network side I / F of the edge router is connected to one VPN. The VPN identifier of the connected VPN is hereinafter referred to as a VPN identifier corresponding to the IP network side I / F.
【0008】エッジルータは、転送網側I/Fからパケ
ットを受信した場合にはIP網側I/Fから送信し、I
P網側I/Fからパケットを受信した場合には転送網側
I/Fから送信する。エッジルータは、下記の二種類の
ルーティング機能を持つ。一つはIP網側I/Fから受
信したパケットをどの転送網アドレスヘ送信するかを判
断するルーティング機能(ルーティング機能A)、もう
一つは、転送網側I/Fから受信したパケットをどのI
P網側I/Fから送信するかを判断するルーティング機
能(ルーティング機能B)である。When the edge router receives a packet from the transfer network side I / F, the edge router transmits it from the IP network side I / F,
When the packet is received from the P network side I / F, it is transmitted from the transfer network side I / F. The edge router has the following two types of routing functions. One is a routing function (routing function A) that determines to which transfer network address the packet received from the IP network side I / F is to be sent, and the other is which packet is received from the transfer network side I / F. I
This is a routing function (routing function B) for determining whether to transmit from the P network side I / F.
【0009】ルーティング機能Aの判断に用いるルーテ
ィングテーブルは、IP網側I/Fに対応したVPN識
別子と宛先IPアドレスをキーに、送信すべきエッジル
ータ、もしくは転送ルータを指す転送網アドレスを特定
できる構造を持つ。ルーティング機能Bの判断に用いる
ルーティングテーブルは、パケットに付与されているV
PN識別子と宛先IPアドレスをキーに、送信すべきI
P網側I/Fを特定できる構造を持つ。The routing table used for the determination of the routing function A can specify the transfer network address indicating the edge router or the transfer router to be transmitted, using the VPN identifier corresponding to the IP network side I / F and the destination IP address as keys. Have a structure. The routing table used for the judgment of the routing function B is the V added to the packet.
I that should be transmitted using the PN identifier and the destination IP address as keys
It has a structure that can specify the P network side I / F.
【0010】転送網では、VPN識別子の異なるIP網
間は転送を行わないため、VPN間通信を行うことが出
来ない。そのため、VPN間通信はIP網側に配置され
るゲートウェイ装置(以降、GWと略す)を介して実現
される。GWは、VPNと外部ネットワークの境界とな
り、一般にパケットフィルタリングやアドレス変換の機
能を備える。GWはVPNのIP網と外部ネットワーク
のIP網の双方に接続されるため、VPN側I/Fと外
部ネットワーク側I/Fを各々少なくとも一つ以上備え
る。GWの各I/FはVPN側I/F、外部ネットワー
ク側I/Fとも、一つのVPNに対応付けられる。対応
付けられるVPNのVPN識別子を、以降ではI/Fに
対応したVPN識別子と呼ぶ。GWのパケットフィルタ
リング機能で用いられるフィルタリングルールは、I/
Fに対応したVPN識別子と発信元/送信先IPアドレ
ス、発信元/送信先ポート番号等をキーとして、受信し
たパケットの通過の可否を決定できる構造を持つ。Since the transfer network does not transfer between IP networks having different VPN identifiers, inter-VPN communication cannot be performed. Therefore, the inter-VPN communication is realized via a gateway device (hereinafter, abbreviated as GW) arranged on the IP network side. The GW serves as a boundary between the VPN and the external network and generally has a packet filtering function and an address conversion function. Since the GW is connected to both the VPN IP network and the external network IP network, it has at least one VPN side I / F and at least one external network side I / F. Each I / F of the GW, both the VPN side I / F and the external network side I / F, are associated with one VPN. The VPN identifier of the associated VPN is hereinafter referred to as the VPN identifier corresponding to the I / F. The filtering rule used in the packet filtering function of GW is I /
A VPN identifier corresponding to F, a source / destination IP address, a source / destination port number, etc. are used as keys to determine whether or not a received packet can pass.
【0011】VPN#1とVPN#2間の通信は、パケ
ットをまず、VPN#1からGWを介して外部ネットワ
ークヘ転送し、次に外部ネットワークからGWを介して
VPN#2へ転送することで実現される。VPN間通信
におけるアクセス制御は、GWのフィルタリングルール
を変更することによって行われる。この際、互いにVP
N間通信を行う複数VPNは、ネットワーク空間、およ
び、アドレス体系が同一の外部ネットワークに接続され
ている必要がある。また、互いにVPN間通信を行わな
いVPN間では、外部ネットワークのネットワーク空
間、および、アドレス体系が異なっていても構わない。
GWに接続される外部ネットワークは一つ、もしくは、
複数となる。Communication between the VPN # 1 and the VPN # 2 is performed by first transferring the packet from the VPN # 1 to the external network via the GW, and then transferring the packet from the external network to the VPN # 2 via the GW. Will be realized. Access control in inter-VPN communication is performed by changing the filtering rule of the GW. At this time,
A plurality of VPNs that perform N-to-N communication must be connected to a network space and an external network having the same address system. In addition, the network space of the external network and the address system may be different between the VPNs that do not communicate with each other.
There is one external network connected to the GW, or
There will be multiple.
【0012】[0012]
【発明が解決しようとする課題】GWは、VPN間のア
クセス制御によってVPN間通信を可能にするが、VP
N内部のサブネットワーク間でのアクセス制御を行うこ
とはできない。このため従来技術では、サブネットワー
ク間でアクセス制御を行うためにはVPNを分け、一つ
のサブネットワークを一つのVPNに割当てる必要があ
る。GWはVPN毎にI/Fが必要であるため、従来技
術ではGWの有限な物理I/F、および論理I/Fを大
量に消費することとなり、一つのGW装置で実質的に収
容可能なVPN数が大幅に減少してしまう問題点があ
る。The GW enables the communication between VPNs by controlling the access between the VPNs.
Access control cannot be performed between sub-networks inside N. Therefore, in the conventional technique, it is necessary to divide VPNs and allocate one sub-network to one VPN in order to perform access control between the sub-networks. Since the GW requires an I / F for each VPN, the conventional technology consumes a large amount of the finite physical I / F and logical I / F of the GW, and can be substantially accommodated by one GW device. There is a problem that the number of VPNs is greatly reduced.
【0013】本発明の目的は、一つのGW装置で収容可
能なVPN数を減少させること無く、VPN内部のサブ
ネットワーク間のアクセス制御を実現し、IP−VPN
サービスにおいてよりきめ細かなアクセス制御機能を提
供することにある。An object of the present invention is to realize access control between sub-networks inside a VPN without reducing the number of VPNs that can be accommodated by one GW device, and to realize IP-VPN.
To provide more detailed access control functions for services.
【0014】[0014]
【課題を解決するための手段】本発明は、サブネットワ
ーク収容エッジルータとアクセス制御用エッジルータを
有することにより、同一VPN内部でもパケットフィル
タリングを可能にしたIP−VPN内アクセス制御シス
テムであって、前記サブネットワーク収容エッジルータ
は、IP網側I/Fから受信したパケットを制御対象V
PN識別子を付与して、アクセス制御用エッジルータに
割り当てられた転送網アドレスへ送信する手段を有し、
前記アクセス制御用エッジルータは、転送網側I/Fか
ら受信した制御対象VPN識別子が付与されたパケット
を、IP網側I/Fからゲートウェイ装置のVPN側I
/Fへ送信する手段と、ゲートウェイ装置の外部ネット
ワーク側I/Fから送信され、IP網側I/Fから受信
したパケットを、折り返し用VPN識別子を付与して、
自身の転送網アドレスへ送信する手段と、転送網側I/
Fから受信した折り返し用VPN識別子が付与されたパ
ケットをIP網側I/Fからゲートウェイ装置の外部ネ
ットワーク側I/Fへ送信する手段と、を有することを
特徴とする。これにより、これまではVPNの外側の外
部ネットワークにパケットを送らなければ、GWによる
フィルタリングができないという問題を、外部ネットワ
ークに送ることなしに、パケットフィルタリングを可能
にすることができる。The present invention is an access control system in an IP-VPN, which has a sub-network accommodating edge router and an access control edge router to enable packet filtering even in the same VPN. The sub-network accommodating edge router controls the packet received from the IP network side I / F to the control target V.
It has a means for giving a PN identifier and transmitting it to the transfer network address assigned to the access control edge router,
The access control edge router transfers the packet to which the control target VPN identifier is received from the transfer network side I / F from the IP network side I / F to the VPN side I of the gateway device.
/ F, and a packet sent from the external network side I / F of the gateway device and received from the IP network side I / F, with a return VPN identifier,
A means for transmitting to its own transfer network address, and a transfer network side I /
And a means for transmitting the packet to which the return VPN identifier is received from F from the IP network side I / F to the external network side I / F of the gateway device. As a result, it is possible to enable packet filtering without sending to the external network, which is a problem in which filtering by the GW cannot be performed until now until the packet is sent to the external network outside the VPN.
【0015】[0015]
【発明の実施の形態】以下、本発明の実施の一形態を説
明する。図2は、本発明のIP−VPN内アクセス制御
装置を示す構成図である。図2において、200と30
0はサブネットワーク(IP網)、20と30はサブネ
ットワーク200、300内の端末、500は転送網、
1000はアクセス制御用エッジルータ、2000と3
000はサブネットワーク収容エッジルータ、4000
はGW装置、1101と1102と2101と3101
はエッジルータのIP網側I/F、1201と2201
と3201はエッジルータの転送網側I/F、1110
と2110と3110はエッジルータのIP網ルーティ
ングテーブル、1210と2210と3210はエッジ
ルータの転送網ルーティングテーブル、4101はGW
装置のVPN側I/F、4102は外部ネットワーク側
I/F、4100はパケットフィルタリングルールであ
る。BEST MODE FOR CARRYING OUT THE INVENTION An embodiment of the present invention will be described below. FIG. 2 is a block diagram showing an IP-VPN internal access control device of the present invention. In FIG. 2, 200 and 30
0 is a sub-network (IP network), 20 and 30 are terminals in the sub-networks 200 and 300, 500 is a transfer network,
1000 is an edge router for access control, and 2000 and 3
000 is a sub-network accommodating edge router
Is a GW device, 1101, 1102, 2101 and 3101
Is the IP network side I / F of the edge router, 1201 and 2201
And 3201 are transfer network side I / Fs 1110 of the edge router.
And 2110 and 3110 are IP network routing tables of edge routers, 1210, 2210 and 3210 are forwarding network routing tables of edge routers, and 4101 is GW.
The device VPN side I / F, 4102 is an external network side I / F, and 4100 is a packet filtering rule.
【0016】サブネットワーク200とサブネットワー
ク300は、VPN識別子が“#1”である同一のVP
Nに収容されている。サブネットワーク収容エッジルー
タ2000、3000のIP網側I/F2101、31
01とアクセス制御用エッジルータ1000のIP網側
I/F1101とGW装置のVPN側I/F4101と
GW装置の外部ネットワーク側I/F4102に対応し
たVPN識別子は“#1”とする。アクセス制御用エッ
ジルータ1000で用いる折返し用VPN識別子は“#
0”とし、IP網側I/F1102に対応したVPN識
別子は“#0”とする。本発明のサブネットワーク収容
エッジルータとアクセス制御用エッジルータは、従来の
ルータをサブネットワーク収容エッジルータとアクセス
制御用エッジルータの2種類の目的で使用できるような
設定を行うことによって実現することもできる。The sub-network 200 and the sub-network 300 are the same VP whose VPN identifier is "# 1".
It is housed in N. Subnetwork accommodating edge router 2000, 3000 IP network side I / F 2101, 31
01, the IP network side I / F 1101 of the access control edge router 1000, the VPN side I / F 4101 of the GW apparatus, and the external network side I / F 4102 of the GW apparatus are “# 1”. The return VPN identifier used in the access control edge router 1000 is “#
0 ", and the VPN identifier corresponding to the IP network side I / F 1102 is"# 0 ". The subnetwork accommodating edge router and the access control edge router of the present invention access the conventional router as a subnetwork accommodating edge router and access. It can also be realized by making settings so that the control edge router can be used for two purposes.
【0017】本実施の形態は「GW4000」と、「転
送ルータ(転送網500は、エッジルータとエッジルー
タ間を接続する転送ルータから構成される。)」と、
「IP網側I/F1101と、IP網側I/F1102
と、転送網側I/F1201を備えたアクセス制御用エ
ッジルータ1000」と、「IP網側I/F2101、
3101と、転送網側I/F2201、3201を備え
たサブネットワーク収容エッジルータ2000、300
0」からなる。「GW」と「転送ルータ」は、前述の従
来技術と同様の機能を備える。In the present embodiment, "GW4000", "transfer router (transfer network 500 is composed of an edge router and a transfer router connecting the edge routers"),
“IP network side I / F 1101 and IP network side I / F 1102
Access edge router 1000 provided with transfer network side I / F 1201 "," IP network side I / F 2101,
3101 and the sub-network accommodating edge routers 2000 and 300 including the transfer network side I / Fs 2201 and 3201.
It consists of "0". The “GW” and the “forwarding router” have the same functions as those of the above-mentioned conventional technology.
【0018】アクセス制御用ルータ1000の“IP網
側I/F1101”は、対応するVPN識別子をVPN
内部のアクセス制御を行うVPNの識別子(以降、制御
対象VPN識別子と略す)とし(図2では“#1”)、
GW4000の、対応するVPN識別子(図2では“#
1”)が同じVPN網側I/F4101と接続される。The "IP network side I / F 1101" of the access control router 1000 uses the corresponding VPN identifier as a VPN.
As an identifier of a VPN for performing internal access control (hereinafter, abbreviated as a control target VPN identifier) (“# 1” in FIG. 2),
The corresponding VPN identifier of the GW 4000 (“#” in FIG. 2)
1 ″) is connected to the same VPN network side I / F 4101.
【0019】アクセス制御用ルータ1000の“IP網
側I/F1102”は、対応するVPN識別子を仮想的
に用意した識別子(以降、折返し用VPN識別子と略
す)とし(図2では“#0”)、GW4000の、制御
対象VPNの識別子(図2では“#1”)に対応した外
部ネットワーク側I/F4102と接続される。The "IP network side I / F 1102" of the access control router 1000 uses a corresponding VPN identifier as a virtually prepared identifier (hereinafter referred to as a return VPN identifier) ("# 0" in FIG. 2). , GW 4000 is connected to the external network side I / F 4102 corresponding to the identifier of the VPN to be controlled (“# 1” in FIG. 2).
【0020】アクセス制御用エッジルータ1000は、
従来技術のエッジルータに加えて、“転送網側I/F1
201から受信し、かつ制御対象VPN識別子が付与さ
れたパケットを、強制的にIP網側I/F1101から
送信する手段”と、“転送網側I/F1201から受信
し、かつ折返し用VPN識別子が付与されたパケット
を、強制的にIP網側I/F1102から送信する手
段”と、“IP網側I/F1101から受信したパケッ
トを、制御対象VPN識別子を付与して、その宛先に合
った転送網アドレスヘ送信する手段”と、“IP網側I
/F1102から受信したパケットを、折返し用VPN
識別子を付与して、自身の転送網アドレスヘ送信する手
段”からなる。The access control edge router 1000 is
In addition to the edge router of the prior art, "transfer network side I / F1
"Means for forcibly transmitting from the IP network side I / F 1101 a packet received from 201 and to which the control target VPN identifier is added" and "a packet received from the transfer network side I / F 1201 and having a return VPN identifier "A means for forcibly transmitting the assigned packet from the IP network side I / F 1102" and "a packet received from the IP network side I / F 1101 is given a control target VPN identifier and transferred in accordance with its destination. "Means for sending to network address" and "IP network side I
VPN for returning the packet received from the / F1102
Means for sending an identifier to the transfer network address of itself ".
【0021】サブネットワーク収容ルータ2000、3
000の“IP網側I/F2101、3101”は、対
応するVPN識別子を制御対象VPN識別子とし(図2
では“#1”)、制御対象VPNのサブネットワーク2
00、300と接続される。サブネットワーク収容エッ
ジルータ2000、3000は、従来技術のエッジルー
タに加えて、“IP網側I/F2101、3101から
受信したパケットを、制御対象VPN識別子を付与し
て、アクセス制御用エッジルータ1000に割当てられ
た転送網アドレスヘ送信する手段”からなる。Subnetwork accommodating routers 2000, 3
“IP network side I / F 2101, 3101” of 000 uses the corresponding VPN identifier as the control target VPN identifier (see FIG.
Then “# 1”), subnetwork 2 of the VPN to be controlled
00 and 300 are connected. The sub-network accommodating edge routers 2000 and 3000 add the control target VPN identifier to the packets received from the IP network side I / Fs 2101 and 3101 in addition to the edge routers of the prior art, and provide the access control edge router 1000 with the packets. Means for transmitting to the assigned transport network address ".
【0022】例えば、サブネットワーク200から、V
PN内の他のサブネットワーク300ヘ送信されたパケ
ットは、サブネットワーク収容エッジルータ2000か
らアクセス制御用エッジルータ1000、GW4000
へと送信され、GW4000でパケットフィルタリング
処理が行われる。GW4000で通過を禁止されたパケ
ットは、この時点で破棄される。GW4000で通過を
許可されたパケットは、一度アクセス制御用エッジルー
タ1000を介してGW4000へ再度送信される。パ
ケットはさらにGW4000からアクセス制御用エッジ
ルータ1000に送信され、アクセス制御用エッジルー
タ1000は、宛先のサブネットワーク300を収容し
ているサブネットワーク収容エッジルータ3000ヘパ
ケットを送信する。VPN内部のサブネットワーク20
0、300間の通信を、強制的にGW4000を通過さ
せることで、アクセス制御が実現される。For example, from the sub-network 200, V
The packet transmitted to the other sub-network 300 in the PN is transmitted from the sub-network accommodating edge router 2000 to the access control edge router 1000, GW 4000.
The packet filtering process is performed by the GW 4000. The packet whose passage is prohibited by the GW 4000 is discarded at this point. The packet permitted to pass by the GW 4000 is once again transmitted to the GW 4000 via the access control edge router 1000. The packet is further transmitted from the GW 4000 to the access control edge router 1000, and the access control edge router 1000 transmits the packet to the subnetwork accommodating edge router 3000 accommodating the destination subnetwork 300. Subnetwork 20 inside VPN
Access control is realized by forcibly passing the communication between 0 and 300 through the GW 4000.
【0023】以下、本発明の実施例について詳細に説明
する。サブネットワーク収容エッジルータ2000は、
IP網側I/F2101からパケットを受信すると、転
送網ルーティングテーブル2210によって送信先の転
送網アドレスを決定し、転送網側I/F2201からパ
ケットを送信する。サブネットワーク収容エッジルータ
2000は、転送網側I/F2201からパケットを受
信すると、IP網ルーティングテーブル2110によっ
て送信するIP網側I/Fを決定し、IP網側I/F2
101、もしくは図2に非記述の他のIP網側I/Fか
らパケットを送信する。転送網ルーティングテーブル2
210は、IP網側I/F2101から受信した全ての
パケットの送信先をアクセス制御用エッジルータ100
0の転送網側I/Fである1201に割当てられた転送
網アドレスとして定義する。IP網ルーティングテーブ
ル2110は、既存技術と同様に、パケットに付与され
ているVPN識別子と宛先IPアドレスに応じて、送信
すべきIP網側I/Fを定義する。サブネットワーク収
容エッジルータ3000は、サブネットワーク収容エッ
ジルータ2000と同様の動作、設定とする。The embodiments of the present invention will be described in detail below. The subnetwork accommodating edge router 2000 is
Upon receiving a packet from the IP network side I / F 2101, the transfer network routing table 2210 determines the transfer network address of the transmission destination, and the transfer network side I / F 2201 transmits the packet. Upon receiving the packet from the transfer network side I / F 2201, the sub network accommodating edge router 2000 determines the IP network side I / F to be transmitted by the IP network routing table 2110, and the IP network side I / F 2
101 or another IP network side I / F not described in FIG. 2 transmits a packet. Transport network routing table 2
Reference numeral 210 designates the destination of all packets received from the IP network side I / F 2101 as the access control edge router 100.
It is defined as a transfer network address assigned to 1201 which is the transfer network side I / F of 0. The IP network routing table 2110 defines the IP network side I / F to be transmitted according to the VPN identifier and the destination IP address given to the packet, as in the existing technology. The sub-network accommodating edge router 3000 has the same operation and setting as the sub-network accommodating edge router 2000.
【0024】アクセス制御用エッジルータ1000は、
IP網側I/F1101からパケットを受信すると、転
送網ルーティングテーブル1210によって送信先の転
送網アドレスを決定し、転送網側I/F1201からパ
ケットを送信する。アクセス制御用エッジルータ100
0は、転送網側I/F1201からパケットを受信する
と、IP網ルーティングテーブル1110によって送信
するIP網側I/Fを決定し、IP網側I/F110
1、IP網側I/F1102、図2に非記述の他のIP
網側I/Fからパケットを送信する。転送網ルーティン
グテーブル1210は、パケットを、対応するVPN識
別子が“#1”であるIP網側I/F1101から受信
し、かつ、宛先IPアドレスが端末20のIPアドレス
であればサブネットワーク収容エッジルータ2000の
転送網側I/F2201の転送網アドレスヘ、宛先IP
アドレスが端末30のIPアドレスであればサブネット
ワーク収容エッジルータ3000の転送網側I/F32
01の転送網アドレスヘ送信するものとして定義し、パ
ケットを、対応するVPN識別子が“#0”であるIP
網側I/F1102から受信した場合には、アクセス制
御用エッジルータ1000自身の転送網側I/F120
1の転送網アドレスヘ送信するものとして定義する。I
P網ルーティングテーブル1110は、パケットに付与
されたVPN識別子が“#1”であれば全てIP網側I
/F1101から、“#0”であれば全てIP網側I/
F1102からパケットを送信するものとして定義す
る。The access control edge router 1000 is
When a packet is received from the IP network side I / F 1101, the transfer network routing table 1210 determines the transfer network address of the destination, and the transfer network side I / F 1201 transmits the packet. Access control edge router 100
When receiving a packet from the transfer network side I / F 1201, 0 determines the IP network side I / F to be transmitted by the IP network routing table 1110, and the IP network side I / F 110.
1, IP network side I / F 1102, other IP not described in FIG.
A packet is transmitted from the network side I / F. The forwarding network routing table 1210 receives a packet from the IP network side I / F 1101 whose corresponding VPN identifier is “# 1”, and if the destination IP address is the IP address of the terminal 20, the subnetwork accommodating edge router. 2000 transfer network side I / F 2201 transfer network address to destination IP
If the address is the IP address of the terminal 30, the transfer network side I / F 32 of the sub-network accommodating edge router 3000
The packet is defined to be transmitted to the transport network address of 01, and the packet is an IP whose corresponding VPN identifier is "# 0".
When received from the network side I / F 1102, the transfer network side I / F 120 of the access control edge router 1000 itself
It is defined to be transmitted to one transfer network address. I
In the P network routing table 1110, if the VPN identifier given to the packet is “# 1”, the IP network side I
From the / F1101, if it is "# 0", all the IP network side I /
It is defined as transmitting a packet from F1102.
【0025】GW装置4000は、VPN側I/F41
01からパケットを受信すると、パケットフィルタリン
グルール4100によってパケット通過の可否を決定
し、許可されれば外部ネットワーク側I/F4102か
らパケットを送信する。逆に、外部ネットワーク側I/
F4102からパケットを受信した場合も、パケットフ
ィルタリングルール4100によってパケット通過の可
否を決定し、許可されればVPN側I/F4101から
パケットを送信する。The GW device 4000 has a VPN side I / F 41.
When the packet is received from 01, the packet filtering rule 4100 determines whether or not the packet can pass, and if permitted, the packet is transmitted from the external network side I / F 4102. Conversely, I / on the external network side
Even when the packet is received from the F4102, the packet filtering rule 4100 determines whether or not the packet can pass, and if permitted, the packet is transmitted from the VPN side I / F 4101.
【0026】ここで、端末20から端末30への通信を
例に挙げる。下記の表記の意味は、矢印がパケットの転
送経路を指し、途中の( )は経路を判断するルーティ
ングテーブルを指し、{ }は通過拒否を判断するパケ
ットフィルタリングルールを指している。また、=>は
自身の転送網アドレスへの転送を表す。Here, communication from the terminal 20 to the terminal 30 will be described as an example. The following notation means that an arrow indicates a packet transfer route, () in the middle indicates a routing table for determining a route, and {} indicates a packet filtering rule for determining passage refusal. Further, => represents transfer to its own transfer network address.
【0027】端末20→サブネットワーク収容エッジル
ータ2000のIP網側I/F2101→(転送網ルー
ティングテーブル2210)→転送網側I/F2201
→アクセス制御用エッジルータ1000の転送網側I/
F1201→(IP網ルーティングテーブル1110)
→IP網側I/F1101→GW装置のVPN側I/F
4101→{パケットフィルタリングルール4100}
→外部ネットワーク側I/F4102→アクセス制御用
エッジルータ1000のIP網側I/F1102→(転
送網ルーティングテーブル1210)→転送網側I/F
1201=>転送網側I/F1201→(IP網ルーテ
ィングテーブル1110)→IP網側I/F1102→
GW装置の外部ネットワーク側I/F4102→{パケ
ットフィルタリングルール4100}→VPN側I/F
4101→アクセス制御用エッジルータ1000のIP
網側I/F1101→(転送網ルーティングテーブル1
210)→転送網側I/F1201→サブネットワーク
収容エッジルータ3000の転送網側I/F3201→
(IP網ルーティングテーブル3110)→IP網側I
/F3101→端末30
以上のように、VPN識別子が“#1”であるサブネッ
トワーク200内の端末20から同一のVPN識別子
“#1”を有するサブネットワーク300内の端末30
へパケットを転送することができる。Terminal 20 → IP network side I / F 2101 of the sub-network accommodating edge router 2000 → (forwarding network routing table 2210) → forwarding network side I / F 2201
→ Transfer network side I / of the access control edge router 1000
F1201 → (IP network routing table 1110)
→ IP network side I / F 1101 → GW side VPN side I / F
4101 → {packet filtering rule 4100}
→ external network side I / F 4102 → IP network side I / F 1102 of the access control edge router 1000 → (transfer network routing table 1210) → transfer network side I / F
1201 => transfer network side I / F 1201 → (IP network routing table 1110) → IP network side I / F 1102 →
External network side I / F 4102 of GW device → {packet filtering rule 4100} → VPN side I / F
4101 → IP of access control edge router 1000
Network side I / F 1101 → (Transfer network routing table 1
210) → transfer network side I / F 1201 → transfer network side I / F 3201 of the sub-network accommodating edge router 3000 →
(IP network routing table 3110) → IP network side I
/ F3101 → terminal 30 As described above, the terminal 30 in the sub-network 300 having the same VPN identifier “# 1” from the terminal 20 in the sub-network 200 having the VPN identifier “# 1”
Packets can be forwarded to.
【0028】以上、本発明者によってなされた発明を、
前記実施例に基づき具体的に説明したが、本発明は、前
記実施例に限定されるものではなく、その要旨を逸脱し
ない範囲において種々変更可能であることは勿論であ
る。As described above, the invention made by the present inventor is
Although the specific description has been given based on the above-described embodiments, the present invention is not limited to the above-described embodiments, and it goes without saying that various modifications can be made without departing from the scope of the invention.
【0029】[0029]
【発明の効果】本発明によるアクセス制御用エッジルー
タは、VPN内のサブネットワーク間の通信であっても
GWを通過させる。このアクセス制御用エッジルータを
用いることで、一つのGW装置で収容可能なVPN数を
減少させること無く、VPN内部のサブネットワーク間
のアクセス制御が可能となる。これにより、IP−VP
Nサービスにおいて、よりきめ細かなアクセス制御機能
を提供することができる。The edge router for access control according to the present invention allows the GW to pass even in the communication between the sub-networks within the VPN. By using this access control edge router, access control between sub-networks inside the VPN becomes possible without reducing the number of VPNs that can be accommodated by one GW device. As a result, IP-VP
The N service can provide a more detailed access control function.
【図1】IP−VPNサービスのネットワーク構成(従
来技術)を示す図である。FIG. 1 is a diagram showing a network configuration (prior art) of an IP-VPN service.
【図2】IP−VPN内アクセス制御装置(本発明の実
施例)を示す図である。FIG. 2 is a diagram showing an IP-VPN access control device (embodiment of the present invention).
20,30…端末
200,300…サブネットワーク
1000…アクセス制御用エッジルータ
2000,3000…サブネットワーク収容エッジルー
タ
4000…ゲートウェイ装置(GW)
1201,2201,3201…エッジルータの転送網
側I/F
1101,1102,2101,3101…エッジルー
タのIP網側I/F
1110,2110,3110…IP網ルーティングテ
ーブル
1210,2210,3210…転送網ルーティングテ
ーブル
4100…パケットフィルタリングルール
4101…ゲートウェイ装置(GW)のVPN側I/F
4102…ゲートウェイ装置(GW)の外部ネットワー
ク側I/F20, 30 ... Terminals 200, 300 ... Sub network 1000 ... Access control edge router 2000, 3000 ... Sub network accommodating edge router 4000 ... Gateway device (GW) 1201, 201, 3201 ... Transfer network side I / F 1101 of edge router , 1102, 2101, 3101 ... IP network side I / F of edge router 1110, 2110, 3110 ... IP network routing table 1210, 2210, 3210 ... Transfer network routing table 4100 ... Packet filtering rule 4101 ... VPN of gateway device (GW) Side I / F 4102 ... External network side I / F of gateway device (GW)
Claims (2)
クセス制御用エッジルータを有することにより、同一V
PN内部でもパケットフィルタリングを可能にしたIP
−VPN内アクセス制御システムであって、 前記サブネットワーク収容エッジルータは、 IP網側I/Fから受信したパケットを制御対象VPN
識別子を付与して、アクセス制御用エッジルータに割り
当てられた転送網アドレスへ送信する手段を有し、 前記アクセス制御用エッジルータは、 転送網側I/Fから受信した制御対象VPN識別子が付
与されたパケットを、IP網側I/Fからゲートウェイ
装置のVPN側I/Fへ送信する手段と、 ゲートウェイ装置の外部ネットワーク側I/Fから送信
され、IP網側I/Fから受信したパケットを、折り返
し用VPN識別子を付与して、自身の転送網アドレスへ
送信する手段と、 転送網側I/Fから受信した折り返し用VPN識別子が
付与されたパケットをIP網側I/Fからゲートウェイ
装置の外部ネットワーク側I/Fへ送信する手段と、を
有することを特徴とするアクセス制御システム。1. The same V by having an edge router for accommodating a sub-network and an edge router for access control.
IP that enables packet filtering inside the PN
-In-VPN access control system, wherein the sub-network accommodating edge router receives the packet received from the IP network side I / F from the control target VPN.
The access control edge router has means for giving an identifier and transmitting it to the forwarding network address assigned to the access control edge router. The access control edge router is provided with the control target VPN identifier received from the forwarding network side I / F. Means for transmitting a packet from the IP network side I / F to the VPN side I / F of the gateway device, and a packet transmitted from the external network side I / F of the gateway device and received from the IP network side I / F, A means for adding a return VPN identifier and transmitting it to its own transfer network address, and a packet received from the transfer network side I / F and provided with the return VPN identifier from the IP network side I / F to the outside of the gateway device. And a means for transmitting to the network side I / F.
クセス制御用エッジルータを有することにより、同一V
PN内部でもパケットフィルタリングを可能にしたIP
−VPN内アクセス制御方法であって、 前記サブネットワーク収容エッジルータは、 IP網側I/Fから受信したパケットを制御対象VPN
識別子を付与して、アクセス制御用エッジルータに割り
当てられた転送網アドレスへ送信し、 前記アクセス制御用エッジルータは、 転送網側I/Fから受信した制御対象VPN識別子が付
与されたパケットを、IP網側I/Fからゲートウェイ
装置のVPN側I/Fへ送信し、 ゲートウェイ装置の外部ネットワーク側I/Fから送信
され、IP網側I/Fから受信したパケットを、折り返
し用VPN識別子を付与して、自身の転送網アドレスへ
送信し、 転送網側I/Fから受信した折り返し用VPN識別子が
付与されたパケットを強制的にIP網側I/Fから送信
することを特徴とするアクセス制御方法。2. The same V by having an edge router for accommodating a sub-network and an edge router for access control.
IP that enables packet filtering inside the PN
-In-VPN access control method, wherein the sub-network accommodating edge router receives a packet received from the IP network side I / F as a control target VPN.
An identifier is added and transmitted to the transfer network address assigned to the access control edge router, and the access control edge router receives the packet to which the control target VPN identifier is received from the transfer network side I / F, A packet sent from the IP network side I / F to the gateway apparatus VPN side I / F, transmitted from the gateway apparatus external network side I / F, and received from the IP network side I / F is given a return VPN identifier. Then, the packet is sent to its own transfer network address, and the packet with the return VPN identifier received from the transfer network side I / F is forcibly sent from the IP network side I / F. Method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001327231A JP2003134153A (en) | 2001-10-25 | 2001-10-25 | Intra-ip-vpn access control system and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001327231A JP2003134153A (en) | 2001-10-25 | 2001-10-25 | Intra-ip-vpn access control system and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003134153A true JP2003134153A (en) | 2003-05-09 |
Family
ID=19143492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001327231A Pending JP2003134153A (en) | 2001-10-25 | 2001-10-25 | Intra-ip-vpn access control system and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003134153A (en) |
-
2001
- 2001-10-25 JP JP2001327231A patent/JP2003134153A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190007312A1 (en) | Techniques for routing and forwarding between multiple virtual routers implemented by a single device | |
| JP4110671B2 (en) | Data transfer device | |
| US7079544B2 (en) | Apparatus and method for interworking between MPLS network and non-MPLS network | |
| US7574522B2 (en) | Communication data relay system | |
| EP2974133B1 (en) | Method and system for controlling an underlying physical network by a software defined network | |
| KR100308593B1 (en) | How to Route Packet-Switched Traffic | |
| US7379465B2 (en) | Tunneling scheme optimized for use in virtual private networks | |
| US6189042B1 (en) | LAN internet connection having effective mechanism to classify LAN traffic and resolve address resolution protocol requests | |
| JP4692258B2 (en) | Router device and communication system | |
| US20040213272A1 (en) | Layer 2 switching device | |
| EP1475942A2 (en) | Address Resolution in IP Internetworking Layer 2 point-to-point connections | |
| JP2005269500A (en) | Packet transfer instrument | |
| JP2002530939A (en) | How to Manage Internet Protocol Connection Oriented Services | |
| KR20040107379A (en) | Apparatus and method for implementing vlan bridging and a vpn in a distributed architecture router | |
| JP2001237876A (en) | Buildup method for ip virtual private network and the ip virtual private network | |
| US20090225660A1 (en) | Communication device and operation management method | |
| US6771645B1 (en) | Packet relaying apparatus | |
| JP4011528B2 (en) | Network virtualization system | |
| JPH10190715A (en) | Network switching system | |
| Cisco | Layer 3 Protocols over ATM | |
| KR20070035815A (en) | Apparatus for control of virtual lan and method thereof | |
| Cisco | Layer 3 Protocols over ATM | |
| KR100431207B1 (en) | Exteranet ip-vpn service provinding methode in mpls based network | |
| JP2003134153A (en) | Intra-ip-vpn access control system and method | |
| JP4111226B2 (en) | Communications system |