【0001】
【発明の属する技術分野】
本発明は、ブロードバンドサービス等において、複数のユーザとネットワークとの間に設置され、信号の切り分けを行うネットワーク集線装置に関するものである。
【0002】
【従来の技術】
各家庭に光ケーブル等でインターネット通信を提供するブロードバンドサービス[広域イーサネット(登録商標)通信サービス]が行われている。ブロードバンドサービスを実現するためには、複数のユーザとネットワークとの間にネットワーク集線装置を設置して、信号の切り分けを行う必要がある。
このネットワーク集線装置では、ユーザ通信のセキュリティを守るために仮想LAN(VLAN)を設定することがある。このVLANは、ユーザに識別子ID(VLANID)を設定して、同じVLANIDの通信のみ交換を許容するという方式である。このVLAN設定のために、ネットワーク集線装置は、規格で決められた最大数(4096)のVLANをサポートする必要がある。
【0003】
【発明が解決しようとする課題】
このように多数のVLANをサポートするために、対応するネットワーク集線装置は非常に高価である。
一方、20程度のポートを持ち、VLAN数も256程度に制限されている小規模なスイッチは存在するが、そのポート数の制約のため、ブロードバンド向けではない。
【0004】
そこで、本発明は、小規模なスイッチを組み合わせることにより、より大規模なブロードバンドサービスが提供できるネットワーク集線装置を実現することを目的とする。
【0005】
【課題を解決するための手段】
本発明のネットワーク集線装置は、それぞれが小規模LAN用スイッチを備える複数の回線モジュールと、同じく小規模LAN用スイッチを備え、ダウンリンク側で前記複数の回線モジュールとつながり、アップリンク側でネットワークの上位回線とつながる1つの制御モジュールとを有し、前記複数の回線モジュールのスイッチと、制御モジュールのスイッチとで構成される2層のスイッチ構造を有するものである(請求項1)。
【0006】
前記の構成によれば、2層のスイッチ構造を有するので、1層のスイッチ構造でネットワーク集線装置を実現する場合に比べてモジュールの数は増えるが、1モジュールあたりのポート数を格段に減らすことができる。したがって、簡単な構成の安価なモジュールを使用することができ、ネットワーク集線装置全体を安価でシンプルに実現することができる。なお、3層以上の構造にすることは、スイッチングの時間遅れが1層ごとに加わっていくので好ましくない。
【0007】
このことを具体的に説明する。インターネットを利用するサービスとしては、次の3つに大別できる。(1)ホームページの閲覧やファイル転送に利用するベストエフォート型のサービス、(2)リアルタイムでの操作に対応したInterractive型のサービス(遠隔監視カメラの操作等)、(3) インターネット電話、テレビ電話等の個人対個人の通信や、インターネット放送のような低遅延型サービス。特に、前記(3)に関しては、遅延に対して厳しい要求があり、一装置あたり2ミリ秒以下に抑えなければならない。集線装置のスイッチは、これらの低遅延型サービスのパケットは最優先で転送するが、一般の安価なスイッチでは、その保証値は1ミリ秒くらいである。したがって、スイッチを3層積むと2ミリ秒の遅延時間を保証するのが難しくなる。よって、スイッチング転送時間と、1モジュールあたりの規模とを考慮して、2層で実現するのが最適となる。
【0008】
簡単な構成のモジュールは、具体的には、1モジュール当たりのデータ転送速度/ポートと、ポート数との積が2.6Gbps以下のものであることが好ましい(請求項2)。
ネットワーク集線装置は、ポートごとのVLAN(請求項3)、ユーザごとのVLAN(請求項4)又はユーザの中のグルーピングされた単位でのVLAN(請求項6)で運用する。ポートごとのVLAN、ユーザごとのVLANでは、ダウンリンクポート間のフレームの折り返し転送を禁止するので、ユーザ間で通信内容が漏れる等の不測の事態を防止でき、セキュリティを高めることができる。グループ単位でのVLANでは、グループ外に通信内容が漏れる等の不測の事態を防止でき、セキュリティを高めることができる。
【0009】
なお、回線モジュールを前記ユーザごとのVLANモードで運用する場合、制御モジュールは、当該VLANを無視したポート間スイッチング(例えばポートごとのVLAN)を行ってもよい(請求項5)。これは、同一ユーザが複数のポートを占有することはないので、同一の回線モジュール又は複数の回線モジュールをまたがって折り返し転送が行われることはない。したがって、制御モジュールではユーザ別を意識したスイッチングを行う必要はないからである。
【0010】
また、回線モジュールが、エンドユーザの中のグルーピングされた単位でVLAN(仮想LAN)を張って運用する場合は(請求項6)、同じグループ内であればダウンリンクポート同士のフレームの折り返し転送を許容することが可能である(請求項7)。グループ内であればセキュリティの問題は起こらないとの想定に立った措置で、これにより、グループ内のデータの直接転送が可能となり、グループ内でプライベートな通信ができる。
【0011】
制御モジュールは、回線モジュールを前記グルーピングされたVLANモードで運用する場合、同様にグルーピングされたVLAN機能を備え、回線モジュール及び制御モジュールは、同じVLAN内であればダウンリンクポート同士のフレームの折り返し転送を許容することが好ましい。これは、同じグループ内であれば、回線モジュールをまたがったフレームの折り返し転送が行われることがあるので、この場合は、制御モジュールでの折り返し転送が必要になるからである。
【0012】
なお、管理用データ通信のセキュリティ確保のため、中央処理装置により、管理用データ通信のための専用のVLANを張ることとしてもよい(請求項8)。
【0013】
【発明の実施の形態】
以下、本発明の実施の形態を、添付図面を参照しながら詳細に説明する。
図1は、本発明のネットワーク集線装置1の構成を示すブロック図である。ネットワーク集線装置1は、16の回線モジュールCM1〜CM16(代表するときは回線モジュールCMという)と、1つの制御モジュールCTと、1つの制御モジュール予備系CT′を有している。制御モジュール予備系CT′の装備はフェールセーフのためであるので、ネットワーク集線装置1の規模によっては、ない場合もある。
【0014】
各回線モジュールCMは、光PHY回路を通して各家庭やオフィスにつながるダウンリンクポートDLPを複数(16〜20)持ち、PHY回路を通して制御モジュールCTにつながるアップリンクポートULPを2ポート(うち1つは予備)持っている。光PHY回路のデータ転送速度は上限100Mbpsである。ポート数は16なので、ポートあたりのデータ転送速度と、ポート数との積は、1回線モジュールあたり1.6Gbpsとなる。この積が2.6Gbps以下であれば、シンプルで安価な回線モジュールを構成することができるといえる。
【0015】
ここで、「ダウンリンクポート」とは、当該モジュールにおいてユーザに近い方(下流)の入出力ポートをいい、「アップリンクポート」は、ネットワークに近い方(上流)の入出力ポートをいう。
制御モジュールCTは、16のダウンリンクポートDLPを持ち、インターネットなどのネットワークにつながるギガアップリンクポートULPを2ポート持っている。ギガアップリンクポートULPは、データ転送速度が1Gbps以上ある光PHY回路を通している。なお、制御モジュールCTは4つの100MbpsポートULP′を持っているが、100MbpsポートULP′はオプションであり、ギガアップリンクポートULPと同時に運用することもできる。
【0016】
回線モジュールCM及び制御モジュールCTは、それぞれレイヤー2のMACブリッジとして動作するイーサネット(登録商標)規格のイーサスイッチESWを有している。
ここで使用するレイヤー2のイーサスイッチESWは、小規模LANで使用されるような安価なスイッチで、ポート数は24前後、対応できるVLAN(Virtual LAN;仮想LAN)数は256程度である。
【0017】
回線モジュールCMには全体の管理を行うCPU10が具備され、制御モジュールCTには全体の管理を行うCPU20が具備され、これらのCPU10,2はCPU制御バス30を通して互いに接続されている。
回線モジュールCMのアップリンクポートULPは、制御モジュールCTのダウンリンクポートDLPと接続されている。
この回線モジュールCMと制御モジュールCTとの間の接続は、MIIインターフェイス信号と10/100BASE−TXのイーサネット(登録商標)信号との変換をするPHY回路を通して行われる。この接続によりネットワーク集線装置1内部に擬似的なイーサネット(登録商標)回線を構成している。これにより、各回線モジュールCMは、個別のスイッチとして動作することが可能となる。
【0018】
以上のネットワーク集線装置1を全体としてみると、アップリンクポートULPが2つあり、1枚の回線モジュールCMあたり16〜20ポート、全部で256〜320ポートのダウンリンクポートDLPを持ったスイッチシステムとして機能することができる。
ネットワーク集線装置1は、以下の2種類のVLANをサポートする。
(1)ポートベースVLAN 物理ポート単位でのフレーム転送を行う。
【0019】
(2)タグベースVLAN(IEEE 802.1Q) VLAN識別子(「VLANID」又は「VLANタグ」ともいう)に示されているVLANに転送先のポートが含まれているか否かで、転送を限定する。エンドユーザ別VLANと、ISP別タグベースVLANとがある。
以下、ポートベースVLAN、タグベースVLANを説明する。
図2は、ポートベースVLANの運用状態を説明するための図である。ポートと回線が1対1に対応している。
【0020】
ポートベースVLANでは、回線モジュールCMのイーサスイッチESWは、各ダウンリンクポートDLPからアップリンクポートULPへのイーサフレームの転送を行う。制御モジュールCTは、各ダウンリンクポートDLPから、ネットワークにつながるギガアップリンクポートULPに対して、イーサフレームの転送を行う。
ネットワークから来るフレームに対しては、制御モジュールCTは、MACフレームを読み込み、所定のダウンリンクポートDLPに転送する。回線モジュールCMも、同様に、MACフレームを読み込み、所定のダウンリンクポートDLPに転送する。
【0021】
回線モジュールCM、制御モジュールCTとも、ダウンリンクポートDLP同士のフレームの折り返し転送は行わない。
このような運用を行うことで、ダウンリンクポートDLPは、アップリンク、したがってネットワークとだけ通信を行うこととなり、ダウンリンク間の直接の通信は抑制される。ただしユーザ間の通信をしようと思えば、ネットワークにつながる上位のサーバなどを通して行えることはもちろんである。
【0022】
したがって、ブロードバンドサービスで必要なユーザのセキュリティを確保しつつ、上位のサーバは、ユーザの通信管理をすることができる。
タグベースVLANのうち、エンドユーザ別VLANでは、エンドユーザごとにVLANタグを割り付ける。したがって、1つのダウンリンクポートDLPがマンションなどにつながる場合、ダウンリンクポートDLPに、入居者に応じた複数のVLANタグが設定されることがある。
【0023】
図3は、エンドユーザ別VLANの運用状態を説明するための図である。1つのポートにタグで区別された1又は複数の回線が対応している。
回線モジュールCM及び制御モジュールCTのエンドユーザ別VLANの運用を詳述すると、以下のようになる。
回線モジュールCMは、1つのダウンリンクポートDLPに1又は複数のVLANを設定できる。ただし1つのVLANタグは、複数のダウンリンクポートDLPに割り当てられることはなく、1つのダウンリンクポートDLPにのみ割り当てられる(この点で次のISP別タグベースVLANと異なる)。
【0024】
回線モジュールCMは、1つの回線モジュールCMあたり、最大256のVLANを設定できる容量を持っている。
回線モジュールCMの各ポートに付与するVLANIDは、例えば表1のように設定される。Nは0以上の任意の数、ただしN+256が4095を超えない。
【0025】
【表1】
【0026】
VLANIDの設定内容は、表2のとおりとなる。回線モジュールCMをフル実装した場合、実効VLAN数は、VLANID=0,4095を除き、4094となる。
【0027】
【表2】
【0028】
回線モジュールCMのあるダウンリンクポートDLPに注目すると、当該ダウンリンクポートDLPにVLANIDが割り当てられている場合、回線モジュールCMは、フレームのVLANIDを見て当該ダウンリンクポートDLPが所属しているVLANと同じVLANなら転送し、当該ダウンリンクポートDLPが所属しているVLANに該当しなければ廃棄する。またタグのないフレームは、廃棄する。
【0029】
そのダウンリンクポートDLPにタグが割り当てられていない場合、タグのないフレームがくれば、所定のタグを付して転送する。タグ付きフレームがくれば、タグを削除し転送する(このフレームはアップリンクポートULPで削除される)。
ダウンリンクポートDLP同士のフレームの折り返し転送は行われない。
回線モジュールCMのアップリンクポートULPは、サポートされているすべてのVLANが所属するように設定される。サポートされていないVLANに所属するフレームがくれば削除する。タグなしフレームが来たときも削除する。
【0030】
制御モジュールCTは、ポートベースVLANとして動作する。
前記のように、VLANタグを各回線モジュールCMごとに分担することによって、1つの回線モジュールCMでは256程度のVLANしかサポートできなくても、装置全体として4096のVLAN、従ってエンドユーザをサポートできる。
タグベースVLANの変形として、ISP別タグベースVLANがある。これは、回線モジュールCMは、1つのダウンリンクポートDLPに1又は複数のVLANを設定できるとともに、1つのタグを、複数のダウンリンクポートDLP及び回線モジュールCMに割り当てることができるという形態である。したがって、ダウンリンクポートDLP又は回線モジュールCMが違っても同一のVLANグループとなることを許可する。ネットワーク集線装置1全体で最大256のVLANがサポートできる。
【0031】
図4は、ISP別タグベースVLANの運用状態を説明するための図である。回線はグループ分けされ、グループ内であれば、折り返し転送も可能になっている。
ISPとはインターネットサービスプロバイダの意味であるが、これは一例であって、VLANタグをグルーピングするものであれば、何でもよい。例えば、友人どうしのグループ、同じサークルのグループなどでまとめてもよい。
【0032】
回線モジュールCM及び制御モジュールCTのISP別タグベースVLANの運用を詳述すると、以下のようになる。
回線モジュールCMは、ダウンリンクポートDLPに来るフレームを見て、サポートされているVLANと同じVLANなら転送し、それ以外のタグの付いたVLANやタグの付いていないVLANならば廃棄する。ダウンリンクポートDLP同士のフレームの折り返しは、所属するVLANタグが同一であれば転送を許可する、という設定ができる。もちろんダウンリンクポートDLP同士のフレームの折り返しは一切禁止するという設定をしてもよい。
【0033】
制御モジュールCTは、タグベースVLANとして動作する。これは、所属するVLANタグ(ISP)が同一であれば折り返しを許可するという設定をした場合、異なる回線モジュールCM間で同一のVLANタグの付いたフレームを折り返し転送する場合があるが、このときは制御モジュールCTで折り返しをさせる必要があるからである。
制御モジュールCTは、ダウンリンク側に接続されている回線モジュールCMがサポートしている全てのVLANをサポートする。すなわち、制御モジュールCTは、ダウンリンクポートDLPに来るフレームを見てサポートされているVLANと同じVLANなら転送し、サポートされているVLANに該当しなければ廃棄する。またタグのないフレームは、廃棄する。アップリンクポートULPでのフレーム処理は、VLANタグを見ないポートベースVLANとして運用することができる。
【0034】
制御モジュールCTのダウンリンクポートDLP同士のフレームの折り返し転送は、所属するVLANが同一という条件で、タグ付きフレームの転送を許可するという設定ができる。これが前述した制御モジュールCTで折り返しをさせるケースに該当する。もちろん、ダウンリンクポートDLP同士のフレームの転送をいかなる場合も禁止するという設定も可能である。
以上のように、ISP別タグベースVLANでは、同一VLANIDを持っているユーザ間では直接のデータ転送を許容することにより、グループ内のプライベートな通信の便宜に供することができる。グループ外に対しては、セキュリティを保つことができる。
【0035】
なお、ネットワークを介して離れたネットワーク集線装置1間で、管理用のデータを通信する場合がある。ここで、「管理用のデータ」には、例えばコマンドによる制御を行うためのtelnet通信、装置の状態監視や設定に使用するSNMP(Simple Network Management Protocol)、装置のファームウェア(program)更新に使用するFTP(File Transfer Protocol)などがある。この管理用のデータ通信のセキュリティを確保するために、ネットワーク集線装置1間で管理のためのタグベースVLANを張ることができれば好ましい。なお、この管理用のタグベースVLANは、ユーザの通信にまで広げる意図はないので、ネットワーク集線装置1とその上位との間でVLANを張ることができればよい。以下、管理用のタグベースVLANについて説明する。
【0036】
制御モジュールCTは、そのアップリンクポートULPに上位から管理用タグの付いたフレームが入ってきたら取り込み、CPU20のポート(CPUポートという)に転送する。CPUポートは、当該CPUポートに入ってきたフレームのタグを読み、管理用としてサポートしているVLANタグと同じタグなら通過させ、サポートされているVLANに該当しなければ廃棄する。
これにより、ユーザに対しては、どのような形態でVLANを提供しているかにかかわらず、管理用データ転送を管理用VLAN内に閉じ込めることができ、管理用データのセキュリティを確保することができる。
【0037】
以上で、本発明の実施の形態を説明したが、本発明の実施は、前記の形態に限定されるものではなく、本発明の範囲内で種々の変更を施すことが可能である。
【0038】
【発明の効果】
以上のように本発明によれば、それぞれが小規模LAN用スイッチを備える複数の回線モジュールと、同じく小規模LAN用スイッチを備え、ダウンリンク側で前記複数の回線モジュールとつながり、アップリンク側でネットワークの上位回線とつながる1つの制御モジュールとを用いて、前記複数の回線モジュールCMのスイッチと、制御モジュールのスイッチとで構成される2層のスイッチ構造のネットワーク集線装置を作ることができる。1層のスイッチ構造でネットワーク集線装置を実現する場合に比べてモジュールの数は増えるが、1モジュールあたりのポート数を格段に減らすことができる。したがって、簡単な構成の安価なモジュールを使用することができ、装置全体を安価でシンプルに実現することができる。
【図面の簡単な説明】
【図1】本発明のネットワーク集線装置1の構成を示すブロック図である。
【図2】ポートベースVLANの運用状態を説明するための図である。
【図3】エンドユーザ別VLANの運用状態を説明するための図である。
【図4】ISP別タグベースVLANの運用状態を説明するための図である。
【符号の説明】
1 ネットワーク集線装置
10,20 CPU
30 制御バス
CM 回線モジュール
CT 制御モジュール
CT′制御モジュール予備系
DLP ダウンリンクポート
ESW イーサスイッチ
ULP アップリンクポート[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a network concentrator that is installed between a plurality of users and a network in a broadband service or the like and that separates signals.
[0002]
[Prior art]
2. Description of the Related Art A broadband service [wide area Ethernet (registered trademark) communication service] for providing Internet communication to each home using an optical cable or the like is performed. In order to realize a broadband service, it is necessary to install a network concentrator between a plurality of users and a network to separate signals.
In this network concentrator, a virtual LAN (VLAN) may be set in order to protect the security of user communication. This VLAN is a system in which an identifier ID (VLANID) is set for a user, and exchange is allowed only for communication of the same VLANID. For this VLAN setting, the network concentrator needs to support the maximum number (4096) of VLANs determined by the standard.
[0003]
[Problems to be solved by the invention]
To support such a large number of VLANs, corresponding network concentrators are very expensive.
On the other hand, there is a small switch having about 20 ports and the number of VLANs is also limited to about 256, but is not for broadband because of the limitation of the number of ports.
[0004]
Therefore, an object of the present invention is to realize a network concentrator that can provide a larger-scale broadband service by combining small-scale switches.
[0005]
[Means for Solving the Problems]
The network concentrator of the present invention includes a plurality of line modules each including a small-scale LAN switch, and also includes a small-scale LAN switch, is connected to the plurality of line modules on the downlink side, and is connected to the network on the uplink side. It has one control module connected to an upper line, and has a two-layer switch structure including switches of the plurality of line modules and switches of the control module.
[0006]
According to the above configuration, since the switch has a two-layer structure, the number of modules is increased as compared with a case where a network concentrator is realized by a one-layer switch structure, but the number of ports per module is significantly reduced. Can be. Therefore, an inexpensive module having a simple configuration can be used, and the entire network concentrator can be realized inexpensively and simply. Note that a structure having three or more layers is not preferable because switching time delay is added for each layer.
[0007]
This will be described specifically. Services using the Internet can be broadly divided into the following three. (1) Best-effort service used for browsing websites and transferring files, (2) Interactive service (operation of remote monitoring camera, etc.) corresponding to real-time operation, (3) Internet telephone, videophone, etc. Low-latency services such as personal-to-person communication and Internet broadcasting. In particular, with regard to the above (3), there is a strict requirement for delay, and it must be suppressed to 2 ms or less per device. The switch of the line concentrator transfers these low-latency type service packets with the highest priority, but the guaranteed value is about 1 millisecond with a general inexpensive switch. Therefore, it is difficult to guarantee a delay time of 2 milliseconds when three switches are stacked. Therefore, it is optimal to realize the two layers in consideration of the switching transfer time and the scale per module.
[0008]
Specifically, the module having a simple configuration preferably has a product of the data transfer rate / port per module and the number of ports of 2.6 Gbps or less (claim 2).
The network concentrator operates in a VLAN for each port (Claim 3), a VLAN for each user (Claim 4), or a VLAN in a group of users (Claim 6). In a VLAN for each port and a VLAN for each user, return transfer of frames between downlink ports is prohibited, so that an unexpected situation such as leakage of communication contents between users can be prevented, and security can be improved. In the VLAN on a group basis, an unexpected situation such as leakage of communication contents outside the group can be prevented, and security can be improved.
[0009]
When the line module is operated in the VLAN mode for each user, the control module may perform inter-port switching (for example, VLAN for each port) ignoring the VLAN (claim 5). In this case, since the same user does not occupy a plurality of ports, the loopback transfer is not performed across the same line module or a plurality of line modules. Therefore, it is not necessary for the control module to perform switching conscious of each user.
[0010]
Further, when the line module operates by setting up a VLAN (virtual LAN) in a grouped unit in the end user (claim 6), the loopback transfer of the frame between the downlink ports is performed within the same group. It is possible to allow (claim 7). This is a measure based on the assumption that no security problem will occur within the group. This allows direct transfer of data within the group and private communication within the group.
[0011]
When the control module operates the line module in the grouped VLAN mode, the control module has a similarly grouped VLAN function. If the line module and the control module are in the same VLAN, the loopback transfer of the frame between the downlink ports is performed. Is preferably allowed. This is because, within the same group, loopback transfer of a frame across line modules may be performed, and in this case, loopback transfer by the control module is required.
[0012]
In order to secure the security of the management data communication, the central processing unit may set up a dedicated VLAN for the management data communication (claim 8).
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
FIG. 1 is a block diagram showing a configuration of a network device 1 of the present invention. The network concentrator 1 has 16 line modules CM1 to CM16 (referred to as a line module CM), one control module CT, and one control module standby system CT '. Since the control module spare system CT 'is provided for fail-safe, it may not be provided depending on the scale of the network concentrator 1.
[0014]
Each line module CM has a plurality of downlink ports DLP (16 to 20) connected to each home or office through an optical PHY circuit, and two uplink ports ULP connected to the control module CT through a PHY circuit (one of which is a spare port). )have. The data transfer rate of the optical PHY circuit has an upper limit of 100 Mbps. Since the number of ports is 16, the product of the data transfer rate per port and the number of ports is 1.6 Gbps per line module. If this product is 2.6 Gbps or less, it can be said that a simple and inexpensive line module can be constructed.
[0015]
Here, “downlink port” refers to an input / output port closer to the user (downstream) in the module, and “uplink port” refers to an input / output port closer to the network (upstream).
The control module CT has 16 downlink ports DLP, and has two giga uplink ports ULP connected to a network such as the Internet. The giga uplink port ULP passes through an optical PHY circuit having a data transfer rate of 1 Gbps or more. Although the control module CT has four 100 Mbps ports ULP ', the 100 Mbps port ULP' is optional and can be operated simultaneously with the giga uplink port ULP.
[0016]
Each of the line module CM and the control module CT has an Ethernet (registered trademark) standard Ethernet switch ESW that operates as a layer 2 MAC bridge.
The layer 2 Ethernet switch ESW used here is an inexpensive switch used in a small-scale LAN. The number of ports is around 24, and the number of compatible VLANs (Virtual LAN; virtual LAN) is about 256.
[0017]
The line module CM is provided with a CPU 10 for performing overall management, and the control module CT is provided with a CPU 20 for performing overall management. These CPUs 10 and 2 are connected to each other through a CPU control bus 30.
The uplink port ULP of the line module CM is connected to the downlink port DLP of the control module CT.
The connection between the line module CM and the control module CT is made through a PHY circuit that converts between an MII interface signal and a 10/100 BASE-TX Ethernet (registered trademark) signal. This connection forms a pseudo Ethernet (registered trademark) line inside the network device 1. Thus, each line module CM can operate as an individual switch.
[0018]
Looking at the above network concentrator 1 as a whole, as a switch system having two uplink ports ULP, 16 to 20 ports per line module CM, and a total of 256 to 320 downlink ports DLP. Can work.
The network device 1 supports the following two types of VLANs.
(1) Port-based VLAN Frame transfer is performed for each physical port.
[0019]
(2) Tag-based VLAN (IEEE 802.1Q) Transfer is limited depending on whether or not a VLAN indicated by a VLAN identifier (also referred to as “VLANID” or “VLAN tag”) includes a transfer destination port. . There is a VLAN for each end user and a tag-based VLAN for each ISP.
Hereinafter, the port-based VLAN and the tag-based VLAN will be described.
FIG. 2 is a diagram for explaining the operation state of the port-based VLAN. Ports and lines have a one-to-one correspondence.
[0020]
In the port-based VLAN, the Ethernet switch ESW of the line module CM transfers an Ethernet frame from each downlink port DLP to the uplink port ULP. The control module CT transfers an Ethernet frame from each downlink port DLP to a giga uplink port ULP connected to the network.
For frames coming from the network, the control module CT reads the MAC frame and forwards it to the predetermined downlink port DLP. Similarly, the line module CM reads the MAC frame and transfers it to a predetermined downlink port DLP.
[0021]
Neither the line module CM nor the control module CT performs the loopback transfer of the frame between the downlink ports DLP.
By performing such operations, the downlink port DLP communicates only with the uplink, and thus with the network, and direct communication between downlinks is suppressed. However, if you want to communicate between users, you can, of course, do so through a higher-level server connected to the network.
[0022]
Therefore, the upper-level server can manage the communication of the user while ensuring the security of the user required for the broadband service.
Among the tag-based VLANs, in the VLAN for each end user, a VLAN tag is assigned to each end user. Therefore, when one downlink port DLP leads to a condominium or the like, a plurality of VLAN tags corresponding to the occupants may be set in the downlink port DLP.
[0023]
FIG. 3 is a diagram for explaining the operation state of the VLAN for each end user. One port corresponds to one or a plurality of lines distinguished by a tag.
The operation of the VLAN for each end user of the line module CM and the control module CT will be described in detail below.
The line module CM can set one or more VLANs for one downlink port DLP. However, one VLAN tag is not assigned to a plurality of downlink ports DLP, but is assigned to only one downlink port DLP (this is different from the next ISP-based tag-based VLAN).
[0024]
The line module CM has a capacity to set a maximum of 256 VLANs per line module CM.
The VLAN ID assigned to each port of the line module CM is set, for example, as shown in Table 1. N is any number greater than or equal to 0, provided that N + 256 does not exceed 4095.
[0025]
[Table 1]
[0026]
Table 2 shows the setting contents of VLANID. When the line module CM is fully mounted, the effective number of VLANs is 4094 except for VLANID = 0,4095.
[0027]
[Table 2]
[0028]
Focusing on a downlink port DLP having a line module CM, if a VLANID is assigned to the downlink port DLP, the line module CM looks at the VLANID of the frame and determines the VLAN to which the downlink port DLP belongs. If it is the same VLAN, it is transferred, and if it does not correspond to the VLAN to which the downlink port DLP belongs, it is discarded. Frames without tags are discarded.
[0029]
If no tag is assigned to the downlink port DLP, and a frame without a tag arrives, a predetermined tag is attached and transferred. When a tagged frame arrives, the tag is deleted and transferred (this frame is deleted at the uplink port ULP).
The return transfer of the frame between the downlink ports DLP is not performed.
The uplink port ULP of the line module CM is set so that all supported VLANs belong. If a frame belonging to an unsupported VLAN comes, it is deleted. Also delete when untagged frames come.
[0030]
The control module CT operates as a port-based VLAN.
As described above, by sharing the VLAN tag for each line module CM, even if one line module CM can support only about 256 VLANs, the entire apparatus can support 4096 VLANs, and thus end users.
As a modification of the tag-based VLAN, there is a tag-based VLAN for each ISP. This is a form in which the line module CM can set one or a plurality of VLANs for one downlink port DLP and can assign one tag to the plurality of downlink ports DLP and the line module CM. Therefore, the same VLAN group is permitted even if the downlink port DLP or the line module CM is different. Up to 256 VLANs can be supported by the entire network concentrator 1.
[0031]
FIG. 4 is a diagram for explaining the operation state of the ISP-based tag-based VLAN. Lines are divided into groups, and loopback transfer is possible within the group.
The ISP means an Internet service provider, but this is an example, and any ISP can be used as long as it groups VLAN tags. For example, a group of friends, a group of the same circle, etc. may be put together.
[0032]
The operation of the tag-based VLAN for each ISP of the line module CM and the control module CT will be described in detail below.
The line module CM sees the frame coming to the downlink port DLP and transfers the same VLAN as the supported VLAN, and discards any other tagged VLAN or untagged VLAN. For the return of the frame between the downlink ports DLP, it is possible to set that the transfer is permitted if the belonging VLAN tag is the same. Of course, a setting may be made such that the return of frames between the downlink ports DLP is completely prohibited.
[0033]
The control module CT operates as a tag-based VLAN. This is because, if the setting is made such that the return is permitted if the belonging VLAN tags (ISP) are the same, a frame with the same VLAN tag may be transferred between different line modules CM in a return manner. Is required to be turned back by the control module CT.
The control module CT supports all VLANs supported by the line module CM connected on the downlink side. That is, the control module CT sees the frame coming to the downlink port DLP and transfers if it is the same VLAN as the supported VLAN, and discards if it does not correspond to the supported VLAN. Frames without tags are discarded. The frame processing in the uplink port ULP can be operated as a port-based VLAN that does not see a VLAN tag.
[0034]
In the loop-back transfer of frames between the downlink ports DLP of the control module CT, a setting can be made such that the transfer of tagged frames is permitted under the condition that the belonging VLANs are the same. This corresponds to the case where the control module CT makes a turn back. Of course, it is possible to set to prohibit the transfer of the frame between the downlink ports DLP in any case.
As described above, in the tag-based VLAN for each ISP, by allowing direct data transfer between users having the same VLAN ID, it is possible to provide convenience of private communication within a group. Security can be maintained outside the group.
[0035]
In some cases, management data may be communicated between the network devices 1 separated from each other via a network. Here, the “management data” is used for, for example, telnet communication for performing control by a command, SNMP (Simple Network Management Protocol) used for monitoring and setting the status of the device, and firmware (program) updating of the device. FTP (File Transfer Protocol) and the like. In order to secure the security of the data communication for management, it is preferable that a tag-based VLAN for management can be established between the network devices 1. Since the management tag-based VLAN is not intended to be extended to user communication, it is only necessary that a VLAN can be established between the network device 1 and its upper layer. Hereinafter, a tag-based VLAN for management will be described.
[0036]
When a frame with a management tag enters the uplink port ULP from above, the control module CT captures the frame and transfers it to the port of the CPU 20 (referred to as a CPU port). The CPU port reads the tag of the frame that has entered the CPU port, passes the tag if it is the same as the VLAN tag supported for management, and discards the tag if it does not correspond to the supported VLAN.
Thus, the management data transfer can be confined within the management VLAN regardless of what form of VLAN the user is provided, and the security of the management data can be ensured. .
[0037]
The embodiments of the present invention have been described above. However, the embodiments of the present invention are not limited to the above embodiments, and various modifications can be made within the scope of the present invention.
[0038]
【The invention's effect】
As described above, according to the present invention, a plurality of line modules each including a small-scale LAN switch, and also including a small-scale LAN switch, are connected to the plurality of line modules on the downlink side, and are connected on the uplink side. By using one control module connected to the upper line of the network, a network concentrator having a two-layer switch structure including switches of the plurality of line modules CM and switches of the control module can be manufactured. Although the number of modules increases as compared with the case where a network concentrator is realized with a single-layer switch structure, the number of ports per module can be significantly reduced. Therefore, an inexpensive module having a simple configuration can be used, and the entire apparatus can be realized inexpensively and simply.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a network device 1 of the present invention.
FIG. 2 is a diagram for explaining an operation state of a port-based VLAN.
FIG. 3 is a diagram for explaining an operation state of a VLAN for each end user.
FIG. 4 is a diagram for explaining an operation state of a tag-based VLAN for each ISP.
[Explanation of symbols]
1 Network Concentrator 10, 20 CPU
30 control bus CM line module CT control module CT 'control module standby DLP downlink port ESW Ethernet switch ULP uplink port
