JP2001274831A - アクセスゲートウェイ - Google Patents
アクセスゲートウェイInfo
- Publication number
- JP2001274831A JP2001274831A JP2000082653A JP2000082653A JP2001274831A JP 2001274831 A JP2001274831 A JP 2001274831A JP 2000082653 A JP2000082653 A JP 2000082653A JP 2000082653 A JP2000082653 A JP 2000082653A JP 2001274831 A JP2001274831 A JP 2001274831A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- computer
- connection
- packet
- computer terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 配下の複数のコンピュータ端末がそれぞれ個
別に接続先を設定したときのアドレス重複の問題を解決
する。コンピュータ端末のセキュリテイ確保を可能とす
る。 【解決手段】 宅内系コンピュータ端末間でのみ通信す
る場合は前記端末接続用ポート間でのみパケットを転送
し、コンピュータ端末が外部接続要求を送信した場合に
は、このコンピュータ端末からのパケットはアクセスポ
ート側にのみ転送し、アクセスポートからこのコンピュ
ータ端末宛のパケットはこのコンピュータ端末が接続さ
れる前記端末接続用ポートにのみ転送する。
別に接続先を設定したときのアドレス重複の問題を解決
する。コンピュータ端末のセキュリテイ確保を可能とす
る。 【解決手段】 宅内系コンピュータ端末間でのみ通信す
る場合は前記端末接続用ポート間でのみパケットを転送
し、コンピュータ端末が外部接続要求を送信した場合に
は、このコンピュータ端末からのパケットはアクセスポ
ート側にのみ転送し、アクセスポートからこのコンピュ
ータ端末宛のパケットはこのコンピュータ端末が接続さ
れる前記端末接続用ポートにのみ転送する。
Description
【0001】
【発明の属する技術分野】本発明は、ADSL(Asymmet
ric Digital Subscriber Line)のようなコンピュータ通
信をサポートするアクセス系と接続し、配下に接続され
ている複数のコンピュータ端末の通信先を端末毎に設定
する装置に利用する。
ric Digital Subscriber Line)のようなコンピュータ通
信をサポートするアクセス系と接続し、配下に接続され
ている複数のコンピュータ端末の通信先を端末毎に設定
する装置に利用する。
【0002】
【従来の技術】近年、CATV網にケーブルモデムを接
続してユーザ宅にコンピュータ通信用のイーサネットイ
ンタフェースを提供し、ユーザがコンピュータ端末を使
って通信できる環境を構築したり、電話回線を利用して
同様にイーサネット(登録商標)インタフェースを提供
するADSL用モデムを接続することによりコンピュー
タ通信をサポートするシステムが開発されている。この
ようなシステムでは通常、各ユーザが接続する相手先
(サービスプロバイダ:ISPあるいはNSPと呼ばれ
る)は一つに固定されている。
続してユーザ宅にコンピュータ通信用のイーサネットイ
ンタフェースを提供し、ユーザがコンピュータ端末を使
って通信できる環境を構築したり、電話回線を利用して
同様にイーサネット(登録商標)インタフェースを提供
するADSL用モデムを接続することによりコンピュー
タ通信をサポートするシステムが開発されている。この
ようなシステムでは通常、各ユーザが接続する相手先
(サービスプロバイダ:ISPあるいはNSPと呼ばれ
る)は一つに固定されている。
【0003】一方、同一宅内に複数のユーザが存在し、
リピータハブ等を設置して複数のコンピュータ端末を使
用している場合には、各ユーザの希望接続先が異なるこ
とが想定される。また、単一ユーザの場合でも用途によ
って接続先の変更(例えば、プライベートにはインター
ネット、仕事では会社のネットワークに接続先を変更)
を希望することが想定される。
リピータハブ等を設置して複数のコンピュータ端末を使
用している場合には、各ユーザの希望接続先が異なるこ
とが想定される。また、単一ユーザの場合でも用途によ
って接続先の変更(例えば、プライベートにはインター
ネット、仕事では会社のネットワークに接続先を変更)
を希望することが想定される。
【0004】
【発明が解決しようとする課題】しかし、従来のシステ
ムではそのような場合に、宅内の他のコンピュータ端末
と接続先ネットワークのコンピュータ端末の使用アドレ
スが重複することにより通信に支障をきたす可能性があ
る。
ムではそのような場合に、宅内の他のコンピュータ端末
と接続先ネットワークのコンピュータ端末の使用アドレ
スが重複することにより通信に支障をきたす可能性があ
る。
【0005】また、ユーザのコンピュータ端末がリピー
タハブ等により接続されている場合には、宅内ネットワ
ークに接続されている総てのコンピュータ端末に対して
外部からのパケットが届くことになり、セキュリテイ上
の問題がある。
タハブ等により接続されている場合には、宅内ネットワ
ークに接続されている総てのコンピュータ端末に対して
外部からのパケットが届くことになり、セキュリテイ上
の問題がある。
【0006】従来のシステム構成およびプロトコル構造
の一例を図3に示す。図3(1)は、ADSLシステム
にリピータハブを介して接続されたコンピュータ端末の
例を示している。図中、符号2−11〜14はコンピュ
ータ端末、符号2−2はリピータハブ、符号2−3はA
DSLモデム(ATUと呼ばれる)、符号2−4はDS
LAMと呼ばれるADSLの終端装置、符号2−5はB
ASと呼ばれるアクセスサーバ、符号2−61および2
−62はISPあるいは企業LANなどのネットワー
ク、符号2−7はコンピュータ端末である。
の一例を図3に示す。図3(1)は、ADSLシステム
にリピータハブを介して接続されたコンピュータ端末の
例を示している。図中、符号2−11〜14はコンピュ
ータ端末、符号2−2はリピータハブ、符号2−3はA
DSLモデム(ATUと呼ばれる)、符号2−4はDS
LAMと呼ばれるADSLの終端装置、符号2−5はB
ASと呼ばれるアクセスサーバ、符号2−61および2
−62はISPあるいは企業LANなどのネットワー
ク、符号2−7はコンピュータ端末である。
【0007】ATUとDSLAMの間はppp-over-ATM(p
pp:Point-to-Point Protocol)と呼ばれる標準的な伝送
方式あるいはIP-over-ATMによりIPパケットが転送さ
れる。図3(2)のプロトコル構造はppp-over-ATMの場
合の例を示している。ATUは変復調機能およびプロト
コル変換機能(ppp-over-ATMの場合はppp処理機能
等)を有し、DSLAMはATUを収容する装置で変復
調機能を具備しており、BASはppp終端処理機能あ
るいは認証機能を有している。
pp:Point-to-Point Protocol)と呼ばれる標準的な伝送
方式あるいはIP-over-ATMによりIPパケットが転送さ
れる。図3(2)のプロトコル構造はppp-over-ATMの場
合の例を示している。ATUは変復調機能およびプロト
コル変換機能(ppp-over-ATMの場合はppp処理機能
等)を有し、DSLAMはATUを収容する装置で変復
調機能を具備しており、BASはppp終端処理機能あ
るいは認証機能を有している。
【0008】一般にこのようなシステムではユーザの通
信プロトコルとしてはIPプロトコルが中心であり、ユ
ーザのコンピュータ端末2−11〜2−14からのIP
パケットはATU2−3とBAS2−5間に張られるA
TM回線上を転送され、BAS2−5からネットワーク
2−61あるいは2−62までは同様にATMを利用し
たIP通信用の専用線等により転送される。BAS2−
5はユーザからの認証情報にしたがってネットワーク2
−61あるいは2−62の接続先を設定する。
信プロトコルとしてはIPプロトコルが中心であり、ユ
ーザのコンピュータ端末2−11〜2−14からのIP
パケットはATU2−3とBAS2−5間に張られるA
TM回線上を転送され、BAS2−5からネットワーク
2−61あるいは2−62までは同様にATMを利用し
たIP通信用の専用線等により転送される。BAS2−
5はユーザからの認証情報にしたがってネットワーク2
−61あるいは2−62の接続先を設定する。
【0009】すなわち、どのネットワークと接続するか
は接続時のユーザ認証情報によって指定される。このと
き、コンピュータ端末2−11〜2−14のIPアドレ
スやDNSサーバ情報、ルータ情報等が接続先から指定
される。
は接続時のユーザ認証情報によって指定される。このと
き、コンピュータ端末2−11〜2−14のIPアドレ
スやDNSサーバ情報、ルータ情報等が接続先から指定
される。
【0010】このように、宅内ネットワークで複数のコ
ンピュータ端末を使用する場合には、安価なリピータハ
ブ2−2により接続されることが一般的と想定される。
リピータハブ2−2ではポートA〜E間で総てのイーサ
ネットパケットが転送される。そのため、宅内ネットワ
ークにリピータハブ2−2により接続される他のコンピ
ュータ端末が外部と接続されないでローカルで使用され
る場合、あるいは別の相手先ネットワークと接続される
場合、そのコンピュータ端末が使用するIPアドレスと
先のコンピュータ端末が接続したネットワーク内のコン
ピュータ端末のアドレスとが重複し、通信に支障をきた
す可能性がある。
ンピュータ端末を使用する場合には、安価なリピータハ
ブ2−2により接続されることが一般的と想定される。
リピータハブ2−2ではポートA〜E間で総てのイーサ
ネットパケットが転送される。そのため、宅内ネットワ
ークにリピータハブ2−2により接続される他のコンピ
ュータ端末が外部と接続されないでローカルで使用され
る場合、あるいは別の相手先ネットワークと接続される
場合、そのコンピュータ端末が使用するIPアドレスと
先のコンピュータ端末が接続したネットワーク内のコン
ピュータ端末のアドレスとが重複し、通信に支障をきた
す可能性がある。
【0011】総てのコンピュータ端末がグローバルなI
Pアドレスを使用していればこのような問題は発生しな
いが、申請手続きの簡単なプライベートIPアドレスが
使用されるケースが多いので重複が発生する可能性があ
る。例えば、コンピュータ端末2−11がネットワーク
2−61に接続され、コンピュータ端末2−12がロー
カルで使用されているとき、ネットワーク2−61内の
コンピュータ端末2−7とコンピュータ端末2−12が
同じIPアドレスを使用した場合には、コンピュータ端
末2−11はコンピュータ端末2−7、2−12を識別
することができないため通信が混乱することになる。
Pアドレスを使用していればこのような問題は発生しな
いが、申請手続きの簡単なプライベートIPアドレスが
使用されるケースが多いので重複が発生する可能性があ
る。例えば、コンピュータ端末2−11がネットワーク
2−61に接続され、コンピュータ端末2−12がロー
カルで使用されているとき、ネットワーク2−61内の
コンピュータ端末2−7とコンピュータ端末2−12が
同じIPアドレスを使用した場合には、コンピュータ端
末2−11はコンピュータ端末2−7、2−12を識別
することができないため通信が混乱することになる。
【0012】また、接続先からのパケットが外部と接続
していないコンピュータ端末あるいはローカルで使用す
る用途のコンピュータ端末にも届くことになり、セキュ
リテイが保てないという問題がある。
していないコンピュータ端末あるいはローカルで使用す
る用途のコンピュータ端末にも届くことになり、セキュ
リテイが保てないという問題がある。
【0013】このような従来のシステム構成では、宅内
で複数のコンピュータ端末が使用される状況で、各々の
コンピュータ端末の接続先が異なる場合や外部と接続し
ないコンピュータ端末が存在する場合には、アドレスの
重複により通信に支障をきたすという問題がある。ま
た、宅内系のコンピュータ端末がリピータハブ等で接続
される場合に、接続先からのパケットが総てのコンピュ
ータ端末に届くことになり、セキュリテイが保てないと
いう問題がある。
で複数のコンピュータ端末が使用される状況で、各々の
コンピュータ端末の接続先が異なる場合や外部と接続し
ないコンピュータ端末が存在する場合には、アドレスの
重複により通信に支障をきたすという問題がある。ま
た、宅内系のコンピュータ端末がリピータハブ等で接続
される場合に、接続先からのパケットが総てのコンピュ
ータ端末に届くことになり、セキュリテイが保てないと
いう問題がある。
【0014】本発明は、このような背景に行われたもの
であって、配下の複数のコンピュータ端末がそれぞれ個
別に接続先を設定したときのアドレス重複の問題を解決
することができるアクセスゲートウェイを提供すること
を目的とする。本発明は、コンピュータ端末のセキュリ
テイ確保を可能とするアクセスゲートウェイを提供する
ことを目的とする。
であって、配下の複数のコンピュータ端末がそれぞれ個
別に接続先を設定したときのアドレス重複の問題を解決
することができるアクセスゲートウェイを提供すること
を目的とする。本発明は、コンピュータ端末のセキュリ
テイ確保を可能とするアクセスゲートウェイを提供する
ことを目的とする。
【0015】
【課題を解決するための手段】本発明はアクセスゲート
ウェイであって、複数のコンピュータ端末を収容する端
末接続用ポートと、外部アクセス装置を収容するアクセ
スポートと、前記端末接続用ポート間でパケットを転送
するブリッジ接続手段と、前記端末接続用ポートと前記
アクセスポートとの間でパケットを転送する外部接続手
段とを備え、前記コンピュータ端末の外部接続要求にし
たがって前記ブリッジ接続手段に接続された当該コンピ
ュータ端末を前記外部接続手段に切替接続する手段を備
えたことを特徴とする。
ウェイであって、複数のコンピュータ端末を収容する端
末接続用ポートと、外部アクセス装置を収容するアクセ
スポートと、前記端末接続用ポート間でパケットを転送
するブリッジ接続手段と、前記端末接続用ポートと前記
アクセスポートとの間でパケットを転送する外部接続手
段とを備え、前記コンピュータ端末の外部接続要求にし
たがって前記ブリッジ接続手段に接続された当該コンピ
ュータ端末を前記外部接続手段に切替接続する手段を備
えたことを特徴とする。
【0016】前記アクセスポートが他のアクセスゲート
ウェイの前記端末接続用ポートに接続された多段構成と
することもできる。
ウェイの前記端末接続用ポートに接続された多段構成と
することもできる。
【0017】すなわち、宅内系コンピュータ端末間での
み通信する場合は前記端末接続用ポート間でのみパケッ
トを転送し、コンピュータ端末が外部接続要求を送信し
た場合には、このコンピュータ端末からのパケットはア
クセスポート側にのみ転送し、アクセスポートからこの
コンピュータ端末宛のパケットはこのコンピュータ端末
が接続される前記端末接続用ポートにのみ転送すること
を主要な特徴とする。
み通信する場合は前記端末接続用ポート間でのみパケッ
トを転送し、コンピュータ端末が外部接続要求を送信し
た場合には、このコンピュータ端末からのパケットはア
クセスポート側にのみ転送し、アクセスポートからこの
コンピュータ端末宛のパケットはこのコンピュータ端末
が接続される前記端末接続用ポートにのみ転送すること
を主要な特徴とする。
【0018】本発明によれば、配下の複数のコンピュー
タ端末のそれぞれに個別に接続先を設定したときのアド
レス重複の問題を解決すると共に、コンピュータ端末の
セキュリテイ確保が可能となる。
タ端末のそれぞれに個別に接続先を設定したときのアド
レス重複の問題を解決すると共に、コンピュータ端末の
セキュリテイ確保が可能となる。
【0019】また、本発明のアクセスゲートウェイを多
段接続することにより、収容するコンピュータ端末数を
増加させることができる。したがって、端末接続用ポー
ト数は所定数のアクセスゲートウェイをあらかじめ複数
用意しておくことにより、コンピュータ端末数の増加に
即座に対応することができる。
段接続することにより、収容するコンピュータ端末数を
増加させることができる。したがって、端末接続用ポー
ト数は所定数のアクセスゲートウェイをあらかじめ複数
用意しておくことにより、コンピュータ端末数の増加に
即座に対応することができる。
【0020】
【発明の実施の形態】本発明実施例のアクセスゲートウ
ェイの構成を図1および図2を参照して説明する。図1
は本発明実施例のアクセスゲートウェイの全体構成図で
ある。図2は本発明実施例の多段接続されたアクセスゲ
ートウェイを示す図である。
ェイの構成を図1および図2を参照して説明する。図1
は本発明実施例のアクセスゲートウェイの全体構成図で
ある。図2は本発明実施例の多段接続されたアクセスゲ
ートウェイを示す図である。
【0021】本発明はアクセスゲートウェイであって、
図1に示すように、複数のコンピュータ端末2−11〜
2−14を収容する端末接続用ポートA〜Dのイーサネ
ットインタフェース部1−3と、外部アクセス装置とし
てのATU2−3を収容するアクセスポートEのイーサ
ネットインタフェース部1−4と、端末接続用ポートA
〜D間でパケットを転送するブリッジ接続または端末接
続用ポートA〜DとアクセスポートEとの間でパケット
を転送する外部接続の双方の接続形態を実現できるパケ
ットフィルタリング処理部1−5とを備え、ユーザイン
タフェース処理部1−2により受け付けられるコンピュ
ータ端末2−11〜2−14の外部接続要求にしたがっ
てパケットフィルタリング処理部1−5はブリッジ接続
された当該コンピュータ端末2−11〜2−14を外部
接続に切替接続することを特徴とする。
図1に示すように、複数のコンピュータ端末2−11〜
2−14を収容する端末接続用ポートA〜Dのイーサネ
ットインタフェース部1−3と、外部アクセス装置とし
てのATU2−3を収容するアクセスポートEのイーサ
ネットインタフェース部1−4と、端末接続用ポートA
〜D間でパケットを転送するブリッジ接続または端末接
続用ポートA〜DとアクセスポートEとの間でパケット
を転送する外部接続の双方の接続形態を実現できるパケ
ットフィルタリング処理部1−5とを備え、ユーザイン
タフェース処理部1−2により受け付けられるコンピュ
ータ端末2−11〜2−14の外部接続要求にしたがっ
てパケットフィルタリング処理部1−5はブリッジ接続
された当該コンピュータ端末2−11〜2−14を外部
接続に切替接続することを特徴とする。
【0022】また、図2に示すように、アクセスゲート
ウェイ3−1のアクセスポートEが他のアクセスゲート
ウェイ1−1の端末接続用ポートAに接続された構成と
することもできる。
ウェイ3−1のアクセスポートEが他のアクセスゲート
ウェイ1−1の端末接続用ポートAに接続された構成と
することもできる。
【0023】本発明実施例のアクセスゲートウェイを詳
細に説明する。図1の符号1−1は本発明によるアクセ
スゲートウェイである。符号1−2はコンピュータ端末
からの外部ネットワークヘの接続要求を受け付けるため
のユーザインタフェース処理部、符号1−3は端末接続
用ポート(マルチポート)A〜Dの宅内側イーサネット
インタフェース部、符号1−4はATU側アクセスポー
トEのイーサネットインタフェース部、符号1−5はパ
ケットフィルタリング処理部である。
細に説明する。図1の符号1−1は本発明によるアクセ
スゲートウェイである。符号1−2はコンピュータ端末
からの外部ネットワークヘの接続要求を受け付けるため
のユーザインタフェース処理部、符号1−3は端末接続
用ポート(マルチポート)A〜Dの宅内側イーサネット
インタフェース部、符号1−4はATU側アクセスポー
トEのイーサネットインタフェース部、符号1−5はパ
ケットフィルタリング処理部である。
【0024】以下にその動作概要を説明する。いずれの
コンピュータ端末2−11〜2−14も外部と接続され
ていない状況では、アクセスゲートウェイ1−1は端末
接続用ポートA〜D間をブリッジ接続し、相互にイーサ
ネットパケットを転送する。
コンピュータ端末2−11〜2−14も外部と接続され
ていない状況では、アクセスゲートウェイ1−1は端末
接続用ポートA〜D間をブリッジ接続し、相互にイーサ
ネットパケットを転送する。
【0025】ユーザインタフェース処理部1−2は、コ
ンピュータ端末2−11〜2−14からのアクセスを受
け付け、外部ネットワークヘの接続要求を検出する。こ
こで、例えば、ユーザ端末2−11から外部への接続要
求があった場合には、ユーザインタフェース処理部1−
2では接続要求を受け付けたコンピュータ端末2−11
のMACアドレスを検知し、パケットフィルタリング処
理部1−5に通知する。以降は、パケットフィルタリン
グ処理部1−5によってイーサネットパケットのMAC
アドレスによるフィルタリングを行い、コンピュータ端
末2−11のイーサネットパケットはATU2−3側の
アクセスポートEへのみ転送し、他の宅内ネットワーク
側の端末接続用ポートB〜Dには転送しないようにす
る。
ンピュータ端末2−11〜2−14からのアクセスを受
け付け、外部ネットワークヘの接続要求を検出する。こ
こで、例えば、ユーザ端末2−11から外部への接続要
求があった場合には、ユーザインタフェース処理部1−
2では接続要求を受け付けたコンピュータ端末2−11
のMACアドレスを検知し、パケットフィルタリング処
理部1−5に通知する。以降は、パケットフィルタリン
グ処理部1−5によってイーサネットパケットのMAC
アドレスによるフィルタリングを行い、コンピュータ端
末2−11のイーサネットパケットはATU2−3側の
アクセスポートEへのみ転送し、他の宅内ネットワーク
側の端末接続用ポートB〜Dには転送しないようにす
る。
【0026】また、他の端末接続用ポートB〜Dに接続
されているコンピュータ端末2−12〜14からコンピ
ュータ端末2−11宛のパケットも端末接続用ポートA
には転送しないようにフィルタリングを行う。その他の
宛先のパケットは端末接続用ポートAにも転送される
が、コンピュータ端末2−11で廃棄される。
されているコンピュータ端末2−12〜14からコンピ
ュータ端末2−11宛のパケットも端末接続用ポートA
には転送しないようにフィルタリングを行う。その他の
宛先のパケットは端末接続用ポートAにも転送される
が、コンピュータ端末2−11で廃棄される。
【0027】これにより、コンピュータ端末2−11は
外部接続要求を行った後はローカル(宅内側)ネットワ
ークから隠蔽されることになり、もしネットワーク2−
61内のコンピュータ端末2−7とコンピュータ端末2
−12が同じIPアドレスを使用した場合でも、コンピ
ュータ端末2−12からのパケットはコンピュータ端末
2−11に届かず、また、コンピュータ端末2−7から
のパケットもコンピュータ端末2−12に届かないため
通信が混乱することはなくなる。さらに、ネットワーク
2−61からのパケットが外部接続していないコンピュ
ータ端末2−12〜14に届かないため、これらのセキ
ュリテイを確保することが可能となる。
外部接続要求を行った後はローカル(宅内側)ネットワ
ークから隠蔽されることになり、もしネットワーク2−
61内のコンピュータ端末2−7とコンピュータ端末2
−12が同じIPアドレスを使用した場合でも、コンピ
ュータ端末2−12からのパケットはコンピュータ端末
2−11に届かず、また、コンピュータ端末2−7から
のパケットもコンピュータ端末2−12に届かないため
通信が混乱することはなくなる。さらに、ネットワーク
2−61からのパケットが外部接続していないコンピュ
ータ端末2−12〜14に届かないため、これらのセキ
ュリテイを確保することが可能となる。
【0028】次に、アクセスゲートウェイの詳細構成に
ついて説明する。ユーザインタフェース処理部1−2の
構成としてHTTPサーバを利用することにより、汎用
的なユーザインタフェースを提供できる。コンピュータ
端末2−11〜2−14から一般的なWWWクライアン
トアプリケーションによるアクセスがあったときにイン
タフェース画面を提供し、外部ネットワークへの接続要
求を受け付ける。このとき、要求元端末のMACアドレ
スを検知し、パケットフィルタリング処理部1−5に通
知する。
ついて説明する。ユーザインタフェース処理部1−2の
構成としてHTTPサーバを利用することにより、汎用
的なユーザインタフェースを提供できる。コンピュータ
端末2−11〜2−14から一般的なWWWクライアン
トアプリケーションによるアクセスがあったときにイン
タフェース画面を提供し、外部ネットワークへの接続要
求を受け付ける。このとき、要求元端末のMACアドレ
スを検知し、パケットフィルタリング処理部1−5に通
知する。
【0029】パケットフィルタリング処理部1−5で
は、このMACアドレスとポート情報(受信動作時に検
出)を用いて、以降の送受信パケットに対してMACア
ドレスによるフィルタリング処理を行う。なお、ユーザ
インタフェース処理部1−2とパケットフィルタリング
処理部1−5は、汎用的なCPUに実装することが可能
である。
は、このMACアドレスとポート情報(受信動作時に検
出)を用いて、以降の送受信パケットに対してMACア
ドレスによるフィルタリング処理を行う。なお、ユーザ
インタフェース処理部1−2とパケットフィルタリング
処理部1−5は、汎用的なCPUに実装することが可能
である。
【0030】上記の例は、端末接続用ポートA〜D配下
に1台のコンピュータ端末が接続されている場合の実施
例であるが、適用領域によってはポート数以上のコンピ
ュータ端末が設置される可能性がある。このような場合
に、本発明によるゲートウェイを多段に接続することに
より対応可能である。図2に具体的な構成例を示す。図
中、符号3−1は本発明による多段接続(カスケード接
続)用のアクセスゲートウェイであり、符号3−2はコ
ンピュータ端末2−11〜2−14からの外部ネットワ
ークヘの接続要求の受け付けを代理処理するためのユー
ザインタフェース処理部、符号3−3はパケットフィル
タリング処理部である。
に1台のコンピュータ端末が接続されている場合の実施
例であるが、適用領域によってはポート数以上のコンピ
ュータ端末が設置される可能性がある。このような場合
に、本発明によるゲートウェイを多段に接続することに
より対応可能である。図2に具体的な構成例を示す。図
中、符号3−1は本発明による多段接続(カスケード接
続)用のアクセスゲートウェイであり、符号3−2はコ
ンピュータ端末2−11〜2−14からの外部ネットワ
ークヘの接続要求の受け付けを代理処理するためのユー
ザインタフェース処理部、符号3−3はパケットフィル
タリング処理部である。
【0031】以下にその動作概要を説明する。アクセス
ゲートウェイ3−1および1−1の配下のいずれのコン
ピュータ端末2−11〜2−17も外部と接続されてい
ない状況では、アクセスゲートウェイ3−1の端末接続
用ポートA〜DおよびアクセスポートEおよびアクセス
ゲートウェイ1−1の端末接続用ポートA〜D間をブリ
ッジ接続し、相互にイーサネットパケットを転送する。
コンピュータ端末2−11〜2−14からの外部接続要
求があった場合には、ユーザインタフェース処理部3−
2では、コンピュータ端末2−11〜2−14からのア
クセスを代理で受け付け、アクセスゲートウェイ1−1
のユーザインタフェース処理部1−2に中継する。ここ
で、例えば、コンピュータ端末2−11から外部への接
続要求があった場合には、アクセスゲートウェイ3−1
のユーザインタフェース処理部3−2では接続要求を受
け付けたコンピュータ端末2−11のMACアドレスと
IPアドレスを検知し、パケットフィルタリング処理部
3−3に通知すると共に接続要求をアクセスゲートウェ
イ1−1のユーザインタフェース処理部1−2に転送す
る。
ゲートウェイ3−1および1−1の配下のいずれのコン
ピュータ端末2−11〜2−17も外部と接続されてい
ない状況では、アクセスゲートウェイ3−1の端末接続
用ポートA〜DおよびアクセスポートEおよびアクセス
ゲートウェイ1−1の端末接続用ポートA〜D間をブリ
ッジ接続し、相互にイーサネットパケットを転送する。
コンピュータ端末2−11〜2−14からの外部接続要
求があった場合には、ユーザインタフェース処理部3−
2では、コンピュータ端末2−11〜2−14からのア
クセスを代理で受け付け、アクセスゲートウェイ1−1
のユーザインタフェース処理部1−2に中継する。ここ
で、例えば、コンピュータ端末2−11から外部への接
続要求があった場合には、アクセスゲートウェイ3−1
のユーザインタフェース処理部3−2では接続要求を受
け付けたコンピュータ端末2−11のMACアドレスと
IPアドレスを検知し、パケットフィルタリング処理部
3−3に通知すると共に接続要求をアクセスゲートウェ
イ1−1のユーザインタフェース処理部1−2に転送す
る。
【0032】以降は、ゲートウェイ3−1ではパケット
フィルタリング処理部3−3によってイーサネットパケ
ットのMACアドレスによるフィルタリングを行い、コ
ンピュータ端末2−11のイーサネットパケットはAT
U2−3側のアクセスポートEへのみ転送し、他の宅内
ネットワーク側の端末接続用ポートB〜Dには転送しな
いようにする。また、他の端末接続用ポートB〜Dに接
続されているコンピュータ端末2−12〜14からコン
ピュータ端末2−11宛のパケットも端末接続用ポート
Aには転送しないようにフィルタリングを行う。
フィルタリング処理部3−3によってイーサネットパケ
ットのMACアドレスによるフィルタリングを行い、コ
ンピュータ端末2−11のイーサネットパケットはAT
U2−3側のアクセスポートEへのみ転送し、他の宅内
ネットワーク側の端末接続用ポートB〜Dには転送しな
いようにする。また、他の端末接続用ポートB〜Dに接
続されているコンピュータ端末2−12〜14からコン
ピュータ端末2−11宛のパケットも端末接続用ポート
Aには転送しないようにフィルタリングを行う。
【0033】なお、カスケード接続の場合には、コンピ
ュータ端末2−12〜14のパケットはEポートには転
送される。アクセスゲートウェイ1−1においては、前
記の実施例と同様の動作により、コンピュータ端末2−
11のイーサネットパケットはATU2−3側のアクセ
スポートEへのみ転送し、他の宅内ネットワーク側の端
末接続用ポートB〜Dには転送しないようにする。ま
た、他の端末接続用ポートB〜Dに接続されているコン
ピュータ端末2−15〜17からコンピュータ端末2−
11宛のパケットも端末接続用ポートAには転送しない
ようにフィルタリングを行う。その他の宛先のパケット
は端末接続用ポートAにも転送される。
ュータ端末2−12〜14のパケットはEポートには転
送される。アクセスゲートウェイ1−1においては、前
記の実施例と同様の動作により、コンピュータ端末2−
11のイーサネットパケットはATU2−3側のアクセ
スポートEへのみ転送し、他の宅内ネットワーク側の端
末接続用ポートB〜Dには転送しないようにする。ま
た、他の端末接続用ポートB〜Dに接続されているコン
ピュータ端末2−15〜17からコンピュータ端末2−
11宛のパケットも端末接続用ポートAには転送しない
ようにフィルタリングを行う。その他の宛先のパケット
は端末接続用ポートAにも転送される。
【0034】このように、カスケード接続されたシステ
ム構成においても、コンピュータ端末2−11は外部接
続要求を行った後はローカル(宅内側)ネットワークか
ら隠蔽されることになり、もしネットワーク2−61内
のコンピュータ端末2−7とコンピュータ端末2−12
が同じIPアドレスを使用した場合においても、コンピ
ュータ端末2−12からのパケットはコンピュータ端末
2−11に届かず、またコンピュータ端末2−7からの
パケットもコンピュータ端末2−12に届かないため通
信が混乱することはなくなる。なお、単独動作とカスケ
ード接続動作の切り替えをスイッチにより設定すること
により同一のハードウェアにより、いずれのモードにも
適用可能となる。すべてのポートをカスケード接続する
ことにより、ポート数×ポート数のコンピュータ端末台
数を収容可能である。
ム構成においても、コンピュータ端末2−11は外部接
続要求を行った後はローカル(宅内側)ネットワークか
ら隠蔽されることになり、もしネットワーク2−61内
のコンピュータ端末2−7とコンピュータ端末2−12
が同じIPアドレスを使用した場合においても、コンピ
ュータ端末2−12からのパケットはコンピュータ端末
2−11に届かず、またコンピュータ端末2−7からの
パケットもコンピュータ端末2−12に届かないため通
信が混乱することはなくなる。なお、単独動作とカスケ
ード接続動作の切り替えをスイッチにより設定すること
により同一のハードウェアにより、いずれのモードにも
適用可能となる。すべてのポートをカスケード接続する
ことにより、ポート数×ポート数のコンピュータ端末台
数を収容可能である。
【0035】上記の例では、ユーザインタフェース処理
部1−2の構成としてHTTPサーバを利用し、ユーザ
がWWWクライアントアプリケーションにより外部接続
要求するシステムについて説明したが、コンピュータ端
末からの外部接続要求がppp-over-Ethernetのパケット
直接アクセス系に対して送られるシステム構成法もあ
る。このとき、ユーザインタフェース処理部1−2では
イーサネットパケットのヘッダ領域のプロトコル情報部
分をチェックすることにより、パケットフィルタリング
処理部1−5の動作を実行させることが可能である。そ
の場合には、カスケード接続されたゲートウェイでは独
立に外部接続要求を検出することが可能となるため、代
理処理は不要となる。
部1−2の構成としてHTTPサーバを利用し、ユーザ
がWWWクライアントアプリケーションにより外部接続
要求するシステムについて説明したが、コンピュータ端
末からの外部接続要求がppp-over-Ethernetのパケット
直接アクセス系に対して送られるシステム構成法もあ
る。このとき、ユーザインタフェース処理部1−2では
イーサネットパケットのヘッダ領域のプロトコル情報部
分をチェックすることにより、パケットフィルタリング
処理部1−5の動作を実行させることが可能である。そ
の場合には、カスケード接続されたゲートウェイでは独
立に外部接続要求を検出することが可能となるため、代
理処理は不要となる。
【0036】外部接続の切断のタイミングについては、
接続のときと同様にWWWクライアントアプリケーショ
ンによる切断要求を受け付けるか、あるいは外部との通
信パケットのモニタにより、パケットが一定時間発生し
ないときに切断し、フィルタリング動作を解除する。
接続のときと同様にWWWクライアントアプリケーショ
ンによる切断要求を受け付けるか、あるいは外部との通
信パケットのモニタにより、パケットが一定時間発生し
ないときに切断し、フィルタリング動作を解除する。
【0037】
【発明の効果】以上説明したように、本発明によれば、
配下の複数のコンピュータ端末がそれぞれ個別に接続先
を設定したときのアドレス重複の問題を解決することが
できる。また、コンピュータ端末のセキュリテイ確保を
可能とすることができる。
配下の複数のコンピュータ端末がそれぞれ個別に接続先
を設定したときのアドレス重複の問題を解決することが
できる。また、コンピュータ端末のセキュリテイ確保を
可能とすることができる。
【図1】本発明実施例のアクセスゲートウェイの全体構
成図。
成図。
【図2】本発明実施例の多段に接続されたアクセスゲー
トウェイを示す図。
トウェイを示す図。
【図3】従来のADSLシステムにリピータハブを介し
て接続されたコンピュータ端末の例を示す図。
て接続されたコンピュータ端末の例を示す図。
1−1、3−1 アクセスゲートウェイ 1−2、3−2 ユーザインタフェース処理部 1−3、1−4 イーサネットインタフェース部 1−5、3−3 パケットフィルタリング処理部 2−2 リピータハブ 2−3 ATU 2−4 DSLAM 2−5 BAS 2−7、2−11〜2−17 コンピュータ端末 2−61、2−62 ネットワーク A〜D 端末接続用ポート E アクセスポート
Claims (2)
- 【請求項1】 複数のコンピュータ端末を収容する端末
接続用ポートと、 外部アクセス装置を収容するアクセスポートと、 前記端末接続用ポート間でパケットを転送するブリッジ
接続手段と、 前記端末接続用ポートと前記アクセスポートとの間でパ
ケットを転送する外部接続手段とを備え、 前記コンピュータ端末の外部接続要求にしたがって前記
ブリッジ接続手段に接続された当該コンピュータ端末を
前記外部接続手段に切替接続する手段を備えたことを特
徴とするアクセスゲートウェイ。 - 【請求項2】 前記アクセスポートが他のアクセスゲー
トウェイの前記端末接続用ポートに接続された請求項1
記載のアクセスゲートウェイ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000082653A JP2001274831A (ja) | 2000-03-23 | 2000-03-23 | アクセスゲートウェイ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000082653A JP2001274831A (ja) | 2000-03-23 | 2000-03-23 | アクセスゲートウェイ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001274831A true JP2001274831A (ja) | 2001-10-05 |
Family
ID=18599427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000082653A Pending JP2001274831A (ja) | 2000-03-23 | 2000-03-23 | アクセスゲートウェイ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001274831A (ja) |
-
2000
- 2000-03-23 JP JP2000082653A patent/JP2001274831A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8751617B2 (en) | Method and device for identifying and selecting an interface to access a network | |
| US7489700B2 (en) | Virtual access router | |
| US20050086385A1 (en) | Passive connection backup | |
| US7512688B2 (en) | PPPoE network system that can distribute connection requests from PPPoE client terminals to specific PPPoE servers | |
| JP2007104440A (ja) | パケット伝送システム、トンネリング装置およびパケット伝送方法 | |
| WO2011097179A2 (en) | Method and apparatus for detecting devices on a local area network | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| Cisco | Troubleshooting Dialup Connections | |
| Cisco | Overview of IBM Networking | |
| Cisco | Bridging and IBM Networking Overview | |
| Cisco | Bridging and IBM Networking Overview | |
| Cisco | Bridging and IBM Networking Overview | |
| JP2001274831A (ja) | アクセスゲートウェイ | |
| JPH10173708A (ja) | 簡易ルーチング方式 | |
| JP2005072701A (ja) | インタフェース提供装置 | |
| US8626945B2 (en) | Method for transparently exchanging data packets | |
| JP2001136202A (ja) | Tcp/ipにおけるコネクション設定方法および方式 | |
| WO2024103738A1 (zh) | 一种ip地址的配置方法及相关设备 |