【0001】
【発明の属する技術分野】
本発明は、インターネット電話が可能なネットワークにおいてパケット中継に用いられるネットワーク機器に係り、特に、あるネットワークにあるエンドポイントがブロードキャストドメインの異なるネットワークにあるゲートキーパの接続サービスを利用する際に好適なネットワーク機器に関するものである。
【0002】
【従来の技術】
VIOP(Voice Over IP)とは、IP(Internet Protocol)による音声通信のことである。以下では、一般に使用されているインターネット電話という呼称で記載する。
【0003】
インターネット電話において電話機に相当するパソコン等の音声機能付きの端末をエンドポイントと呼ぶ。エンドポイントから他のエンドポイントへのインターネット電話の接続をサービスする機器をゲートキーパと呼ぶ。エンドポイントがゲートキーパから接続サービスを受けるためには、予めゲートキーパにエンドポイントを特定する情報を登録しておく必要がある。この登録は、端末が起動されたとき若しくは端末をエンドポイントとして動作させるソフトウェアが起動されたときに行われるので、エンドポイントとゲートキーパとの間で取り交わされるシーケンスを初期登録シーケンスと呼ぶ。初期登録シーケンスとして、例えば、ITU−T H.323勧告が知られている。以下では、この勧告をH.323と呼ぶ。H.323に準拠したエンドポイントをH.323エンドポイント、H.323に準拠したゲートキーパをH.323ゲートキーパと呼ぶことがある。また、添付図面においては、エンドポイントをEP、ゲートキーパをGKと略記する。
【0004】
H.323における初期登録シーケンスには、2通りの方式がある。まず、第一の方式では、初期登録シーケンスを開始する以前に予めエンドポイントにゲートキーパのIPアドレスが設定してあり、エンドポイントはこのIPアドレスを宛先としたユニキャストによりゲートキーパに登録のためのパケットを送信する。第二の方式では、エンドポイントは初期登録シーケンスを開始する以前にはゲートキーパのIPアドレスを知っておらず、ゲートキーパのIPアドレスを調べる(ゲートキーパを探索する)ために探索パケットと呼ばれるパケットをマルチキャストで送信する。この探索パケットを受信したゲートキーパは、そのゲートキーパのIPアドレスをエンドポイントに応答して通知する。これにより、エンドポイントはゲートキーパのIPアドレスを知ることができたので、このIPアドレスを宛先としたユニキャストによりゲートキーパに登録のためのパケットを送信することができる。
【0005】
エンドポイントからゲートキーパに登録する種々の情報の中には、エイリアスアドレス(alias address)及び呼制御アドレスの2つのアドレスがある。エイリアスアドレス(別名アドレスとも、或いは単にエイリアスとも呼ばれる)には様々の規格・種類がある。このうち、E.164は、内線電話番号のようなもので、数字のみで記述される。H.323IDは、英数字で記述される。Eメールアドレス形式は、Eメールで使用されるアドレス形式である。URLアドレス形式は、URLで使用されるアドレス形式である。これらのエイリアスアドレスのいずれかをゲートキーパに登録しておくことで、ゲートキーパからエイリアスアドレスによる接続サービスを受けることができる。例えば、Eメールアドレスが登録してあれば、そのEメールアドレス宛の電話接続要求がエンドポイントに届くようになる。
【0006】
第一の方式では、エンドポイントに予めゲートキーパのIPアドレスを手動操作により設定しておく必要がある。エンドポイントである端末を初めてネットワークに接続したときに、そのネットワークから利用可能なゲートキーパのIPアドレスを、手動操作により設定するのはユーザにとって負担が大きい。その点、第二の方式では、初期登録シーケンスによる自動探索が行われるので、ユーザには負担がなく、好適である。
【0007】
しかし、第二の方式では、マルチキャストによってゲートキーパを探索しているため、エンドポイントとゲートキーパのブロードキャストドメインが同一であることが必要である。それは、ブロードキャストドメインが異なるネットワークに対してはマルチキャストのパケットを中継できず、探索が成功しないからである。従って、あるネットワークにあるエンドポイントがブロードキャストドメインの異なるネットワークにあるゲートキーパの接続サービスを利用することはできない。しかしながら、ひとつのブロードキャストドメインに全てのエンドポイント及びゲートキーパを収容しようとすると、そのブロードキャストドメインを持つネットワークの規模が膨大になる。このような大規模ネットワークを運用することは事実上不可能である。
【0008】
また、第一、第二の方式によらず、ゲートキーパのIPアドレスをユーザが人為的に知り得た場合、そのユーザはエンドポイントにゲートキーパのIPアドレスを手動操作により設定すれば、初期登録シーケンスを行うことができる。一般に、ゲートキーパは、ユーザを制限することなく初期登録シーケンスを受理するので、本来は接続サービスを受ける権利のない不当(不正)なユーザでもこのゲートキーパに対してエンドポイントの初期登録が可能になり、不正利用を防止しにくい。
【0009】
【特許文献1】
特開2001−313676号公報
【0010】
【発明が解決しようとする課題】
本発明は、ネットワーク間に設けられるネットワーク機器に新規な機能を持たせることにより、前述した諸問題を解決すると共に、インターネット電話の利便性、安全性、確実性をより高めようとするものである。具体的な目論見は、次のとおりである。
【0011】
1)異なるブロードキャストドメインを持つネットワークにも探索パケットを中継し、同一ブロードキャストドメイン以外においても自動探索できるようにする。これにより、探索の範囲が広がり、異なるブロードキャストドメインのゲートキーパからの接続サービスを受けられるようになる。
【0012】
2)エンドポイントのMACアドレスに基づいてエンドポイントの正当性を認定し、不当なエンドポイントには接続サービスを拒否できるようにする。これにより、エンドポイントのモバイビリティ(機動性)とセキュリティが向上する。
【0013】
3)エンドポイントのMACアドレスに基づいて、初期登録するゲートキーパの割振りを行うようにする。これにより、エンドポイントを移動させたときなどにおいても、所定のゲートキーパに初期登録させることができるようになる。また、エンドポイントへIPアドレスをダイナミックに付与するDHCP(Dynamic Host Configuration Protocol)などの環境においても問題がなくなる。
【0014】
4)ゲートキーパを常用系と待機系に二重化し、常用系のゲートキーパの稼働状態を監視し、常用系のゲートキーパがダウンしたとき待機系のゲートキーパに切り替えるようにする。
【0015】
5)エンドポイントの利用をユーザ単位で制御し、同一のエンドポイントにおいてもユーザ毎に利用制限できるようにする。これにより、確実性の高いユーザ認証を実現することができる。
【0016】
即ち、本発明の目的は、上記課題を解決し、あるネットワークにあるエンドポイントがブロードキャストドメインの異なるネットワークにあるゲートキーパの接続サービスを利用する際に好適なネットワーク機器を提供することにある。
【0017】
【課題を解決するための手段】
上記目的を達成するために本発明は、エンドポイントが存在しているネットワークと、このネットワークとはブロードキャストドメインを異にし接続サービスを行うゲートキーパが存在しているネットワークとの間に設けられるネットワーク機器であって、ゲートキーパのアドレスを予め記憶しており、エンドポイントがゲートキーパを探索するためにマルチキャストで送信した探索パケットを受信したとき、前記記憶しているゲートキーパのアドレスを前記エンドポイントに対して応答するものである。
【0018】
2つ以上のゲートキーパのアドレスを予め記憶しており、これらゲートキーパに対して接続サービスが可能な状態かどうか問い合わせ、接続サービスが可能なゲートキーパのアドレスを応答してもよい。
【0019】
また、本発明は、エンドポイントが存在しているネットワークと、このネットワークとはブロードキャストドメインを異にし接続サービスを行うゲートキーパが存在しているネットワークとの間に設けられるネットワーク機器であって、ゲートキーパのアドレスを予め記憶しており、エンドポイントがゲートキーパを探索するためにマルチキャストで送信した探索パケットを受信したとき、この探索パケットの宛先を前記記憶しているゲートキーパのアドレスに書き替えてユニキャストで送信するものである。
【0020】
接続サービスを利用できる正当なエンドポイントのアドレスを予め記憶しており、前記探索パケットを送信したエンドポイントのアドレスが前記記憶している正当なエンドポイントのアドレスでないときには、探索を拒否してもよい。
【0021】
【発明の実施の形態】
以下、本発明の一実施形態を添付図面に基づいて詳述する。
【0022】
図1に示されるように、本発明に係るネットワーク機器101は、エンドポイント(EP1)102が存在しているネットワーク103と、このネットワーク103とはブロードキャストドメインを異にし接続サービスを行うゲートキーパ(GK1)104が存在しているネットワーク105との間に設けられる。このネットワーク機器101は、1乃至複数のゲートキーパ104のIPアドレス107をメモリ108に予め記憶しており、エンドポイント102がゲートキーパ104を探索するためにマルチキャストで送信した探索パケット106を受信したとき、ゲートキーパ104の代わりに応答パケット111を送信することにより、メモリ108に記憶しているゲートキーパ104のIPアドレス107をエンドポイント102に対して応答するようになっている。
【0023】
このネットワーク機器101は、接続サービスを利用できる1乃至複数の正当なエンドポイント102のMACアドレス109をメモリ108に予め記憶しており、探索パケット106を送信したエンドポイント102のMACアドレス(探索パケットに記載されている送信元MACアドレス)110がメモリ108に記憶している正当なエンドポイント102のMACアドレス109でないときには、探索を拒否し、探索パケット106を送信したエンドポイント102に対して探索を拒否する旨を通知するようになっている。
【0024】
メモリ108には、1つのMACアドレス109に対応して2つのゲートキーパ104のIPアドレス107が記憶されているが、これについては後に説明する。
【0025】
図1のネットワークの動作を説明すると、まず、エンドポイント102が自アドレスを送信元MACアドレス110とするマルチキャストの探索パケット106(メッセージ名:GRQ)を送信する。ITU−Tの標準では、宛先IPアドレスを224.0.1.41としたものがマルチキャストのパケットとなる。この探索パケット106を受信したネットワーク機器101は、探索パケット106から送信元MACアドレス110を抽出すると共にメモリ108を参照し、送信元MACアドレス110に一致するMACアドレス109を探し出して、対応するゲートキーパ104のIPアドレス107を読み出す。ネットワーク機器101は、このIPアドレス107を応答パケット111(メッセージ名:GCF)に格納してエンドポイント102宛に送信する。これにより、エンドポイント102は、接続サービを受けることのできるゲートキーパ104のIPアドレス107(GK1)を獲得するので、その後は、このIPアドレス107を宛先としたユニキャストによりゲートキーパ104に登録のためのパケットを送信することができる。
【0026】
送信元MACアドレス110に一致するMACアドレス109がメモリ108になかったときは、ネットワーク機器101は、エンドポイント102が不当であると判定して、探索を拒否するパケット(図示せず)(メッセージ名:GRJ)をエンドポイント102宛に送信する。
【0027】
このように、ネットワーク機器101がゲートキーパ104の代わりに代理応答をするので、エンドポイント102は、自身とは異なるブロードキャストドメインのゲートキーパ104との間で初期登録シーケンスを交わし、接続サービスを受けられるようになる。
【0028】
また、ネットワーク機器101がエンドポイント102のMACアドレス110に基づいてエンドポイント102の正当性を認定し、不当なエンドポイント102には接続サービスを拒否するので、不当な端末ハードウェアによる接続サービスの利用を阻止することができる。
【0029】
次に、ゲートキーパ探索の別の形態を説明する。
【0030】
図2のネットワーク構成は図1と同じであり、メモリ108は図示省略したが図1と同じとする。図2において、ネットワーク機器101は、1乃至複数のゲートキーパ104のIPアドレス107をメモリ108に予め記憶しており、エンドポイント102がゲートキーパ104を探索するためにマルチキャストで送信した探索パケット106を受信したとき、この探索パケット106の宛先をメモリ108に記憶しているゲートキーパ104のIPアドレス107に書き替えてユニキャストの探索パケット112とし、この探索パケット112をゲートキーパ側のネットワーク105に送信するようになっている。
【0031】
図2のネットワークの動作を説明すると、まず、エンドポイント102が自アドレスを送信元MACアドレス110とするマルチキャストの探索パケット106(メッセージ名:GRQ)を送信する。この探索パケット106を受信したネットワーク機器101は、メモリ108を参照し、送信元MACアドレス110に一致するMACアドレス109を探し出して、対応するゲートキーパ104のIPアドレス107を読み出す。ネットワーク機器101は、探索パケット106の宛先IPアドレスである224.0.1.41をゲートキーパ104のIPアドレス107であるGK1に書き替えてユニキャストの探索パケット112とし、この探索パケット112(メッセージ名:GRQ)をゲートキーパ側のネットワーク105に送信する。このとき、UDP(User Datagram Protocol)のポート番号114も変更する。
【0032】
探索パケット112を受信したゲートキーパ104は、自身のIPアドレス107を格納した応答パケット113(メッセージ名:GCF)を送信する。ネットワーク機器101は、この応答パケット113をエンドポイント102に中継する。これにより、エンドポイント102は、接続サービを受けることのできるゲートキーパ104のIPアドレス107を獲得するので、その後は、このIPアドレス107を宛先としたユニキャストによりゲートキーパ104に登録のためのパケットを送信することができる。
【0033】
送信元MACアドレス110に一致するMACアドレス109がメモリ108になければ、ネットワーク機器101は、前記と同様、探索を拒否する。
【0034】
このように、ネットワーク機器101が探索パケット106をゲートキーパ104宛のユニキャストの探索パケット112に変更して中継するので、エンドポイント102は、自身とはブロードキャストドメインの異なるネットワーク105に存在するゲートキーパ104との間で初期登録シーケンスを交わし、接続サービスを受けられるようになる。
【0035】
次に、二重化について説明する。
【0036】
図1において、メモリ108には、1つのエンドポイント102のMACアドレス109に対応して2つのゲートキーパ104のIPアドレス107が記憶されている。ネットワーク機器101は、これら2つのゲートキーパ104を、いずれか一方は常用系に、他方は待機系に適宜切り替えることができる。このメモリ108を用いた別のネットワークを図3により説明する。
【0037】
図3に示されるように、4つのゲートキーパ104(GK1,GK1’,GK2,GK2’)がIP網上に存在している。ネットワーク機器101は、1つのエンドポイント102(EP1)に対応してゲートキーパ104(GK1,GK1’)のIPアドレス107を記憶し、別のエンドポイント102(EP2)に対応してゲートキーパ104(GK2,GK2’)のIPアドレス107を記憶している。仮に、ゲートキーパGK1を常用系、ゲートキーパGK1’を待機系とする。
【0038】
ネットワーク機器101は、常用系のゲートキーパGK1に対してキープアライブポーリングによる問い合わせを行うことにより稼働状態を監視する。キープアライブポーリングには、ICMPにおけるPingによる応答確認により、ゲートキーパGK1が稼働しているかいないか調べる方法、ネットワーク機器101自身をダミーのエンドポイントとして動作させ、初期登録シーケンスのパケット(RRQ,RCF)のやり取りができるかどうか調べる方法などがある。この監視により、常用系のゲートキーパGK1がシステムダウンしたことを検知したとき、待機系のゲートキーパGK1’を常用系に切り替える。これより後は、探索パケット106を送信してきたエンドポイント102に対して代理応答するIPアドレス107又はユニキャストの探索パケット112の宛先とするIPアドレス107をシステムダウンした元常用系のゲートキーパGK1から新規な常用系のゲートキーパGK1’のものにする。
【0039】
このように、複数のゲートキーパ104のIPアドレス107を予め記憶しておき、接続サービスが可能な状態のゲートキーパ104のIPアドレス107がエンドポイント102に通知されるようにしたので、インターネット電話システム全体の信頼性を高めることができる。
【0040】
次に、ユーザ認証に関する別の実施形態について説明する。
【0041】
図1又は図2のネットワーク機器101は、接続サービスを利用できる正当なエンドポイント102のMACアドレス109を予め記憶しており、探索パケット106を送信したエンドポイント102のMACアドレス110が正当なエンドポイント102のMACアドレス109でないときには、探索を拒否した。しかし、次の実施形態ではMACアドレス109はゲートキーパ104(GK1,GK1’)との対応付けのみに使用し、認証にはエイリアスアドレスを用いるものとする。
【0042】
エンドポイント102となる端末で実行されるインターネット電話のソフトウェアでは、相手をコールする接続サービスをゲートキーパ104から受けようとするとき、ユーザに対してユーザ自身のエイリアスアドレスの入力を要求するものとする。ユーザが例えば、H.323IDを入力すると、エンドポイント102は接続サービスを要求するパケットに認証用エイリアスアドレスとしてH.323IDを格納してをゲートキーパ104宛に送信する。このパケットを受信したネットワーク機器101は、ゲートキーパ104に中継する前に、認証用エイリアスアドレスが正当かどうか判別し、正当であれば中継を行うが、不当であれば中継を拒否する。正当かどうかの判別は、ネットワーク機器101自身が行う必要はなく、認証サーバに依頼してもよい。
【0043】
図4に示したネットワークでは、IP網上に存在する認証サーバ(Radius)121が認証用エイリアスアドレスの正当性を判別するようになっている。以下、その手順を説明する。
【0044】
H.323では、H.323エンドポイント122とH.323ゲートキーパ124との間で、これまで説明した探索シーケンスの終了後、端末をゲートキーパに登録したり、ゲートキーパからエンドポイントへ通信の許可を出したりするためのH.225レジストレーションシーケンスを行い、その後、エイリアスアドレスの登録のためにH.323エンドポイント122からエイリアスアドレスを格納したパケットを送信している。そこで、ネットワーク機器101は、H.225レジストレーションシーケンスに使用される制御パケット(メッセージ名:RAS)をフックする。次いで、H.323エンドポイントが送信したデータパケット(メッセージ名:RRQ)をフックする(ステップS1)。
【0045】
このデータパケットには、登録しようとしているエイリアスアドレス(H.323ID、Eメールアドレス、E.164など)が格納されているので、ネットワーク機器101は、エイリアスアドレスを1種類乃至複数種類抽出し、認証用エイリアスアドレスとする。この認証用エイリアスアドレスを格納した認証問い合わせパケットを認証サーバ121に送信する(ステップS2)。
【0046】
認証サーバ121は、受信した認証用エイリアスアドレスと予め記憶しているエイリアスアドレスとの比較により認証を行い、その認証結果をネットワーク機器101に通知する(ステップS3)。
【0047】
認証結果がOKであれば、ネットワーク機器101はフックしておいた制御パケット(RAS)及びデータパケット(RRQ)をH.323ゲートキーパ124に中継する。その後、H.323エンドポイント122とH.323ゲートキーパ124との間で行われるシーケンスは、従来どおりであり、ネットワーク機器101は単なる中継を行う。認証結果がNGであれば、ネットワーク機器101はH.323エンドポイント122に対して認証結果がNGであることを通知するパケット(メッセージ名:RRJ)を送信する。
【0048】
この実施形態では、認証にエイリアスアドレスを用いた。認証にMACアドレスを用いた場合、端末の正当性をチェックできたが、その端末をどのユーザが使っても正当性があることになる。つまり、MACアドレスでの認証は、厳密にはユーザ認証ではなく、端末認証となる。エイリアスアドレスで認証をすることにより、ユーザの正当性をチェックでき、セキュリティが向上する。
【0049】
本発明が適用されるネットワーク機器101として、エンドポイント102が直接接続されているLANスイッチやハブがある。これらのネットワーク機器1を管理しているIP網上のネットワーク管理装置123(図3,図4)において、接続サービスを利用できるエンドポイント102のMACアドレス109と、そのMACアドレス109に対応するゲートキーパ104のIPアドレス107とをリストにして一元管理し、ネットワーク管理装置123からネットワーク機器101に対してリストを配布することでネットワーク機器101のメモリ108にMACアドレス109及びIPアドレス107を記憶させるとよい。ネットワーク管理装置123が設置されていないネットワークではネットワーク機器101に直接入力してメモリ108の内容を設定するようにしてもよい。ネットワーク管理装置123が設置されているネットワークでも、ネットワーク管理装置123がダウンしているときにはネットワーク機器101に直接入力してメモリ108の内容を設定するようにしてもよい。上記リストは、複数設置されたネットワーク機器101のうちのひとつが一元管理するようにしてもよい。
【0050】
認証サーバ121は、Radiusに限らず、LDAP、Active Directoryなどでもよい。
【0051】
図1、図2の実施形態では、エンドポイント102とゲートキーパ104との対応付けのために、エンドポイント102についてはMACアドレス109を用いた。また、エンドポイント102の認証にMACアドレス109を用いた。従って、パケットを中継するときに送信元MACアドレスを書き替えてしまうルータ等のレイヤ3ネットワーク機器がエンドポイント102とゲートキーパ104との間に存在する場合、そのレイヤ3ネットワーク機器よりエンドポイント102側に本発明のネットワーク機器101を設置するとよい。例えば、ネットワークのエッジ部分(ルータを介して他のネットワークに繋がる部分)に本発明のネットワーク機器101を設置する。これにより、送信元MACアドレスが書き替えられる以前の段階でエンドポイント102とゲートキーパ104との対応付け及びエンドポイント102の認証が確実にできる。
【0052】
エイリアスアドレスを用いたユーザ認証においては、パケットがレイヤ3ネットワーク機器を経由してもエイリアスアドレスは不変であるから、本発明のネットワーク機器101の設置場所に制約はない。また、エイリアスアドレスを用いたユーザ認証においては、本発明のネットワーク機器101をルータで実現するとよい。また、接続サービスを提供する機器はゲートキーパに限らず初期登録シーケンスを持つSIPサーバでもよい。
【0053】
本発明は、エンタープライズ(企業)内のVIOPシステムを構築する際に、セキュリティの向上、管理作業の削減、冗長構成による信頼性の確保などに有用である。また、広域のVIOPサービスにおいても、本発明のユーザ認証の機能を利用することで、ユーザを限定することができる。
【0054】
初期登録に対する制限を全く持たない従来のゲートキーパを設置したネットワークにおいても、本発明のネットワーク機器を設置することで初期登録に対する制限を行うことができる。
【0055】
【発明の効果】
本発明は次の如き優れた効果を発揮する。
【0056】
(1)あるネットワークにあるエンドポイントがブロードキャストドメインの異なるネットワークにあるゲートキーパの接続サービスを利用することができるようになる。
【図面の簡単な説明】
【図1】本発明の一実施形態によるネットワーク機器で2つのネットワークを接続したネットワークの構成と動作と記憶を示す図である。
【図2】本発明の一実施形態によるネットワーク機器で2つのネットワークを接続したネットワークの構成と動作を示す図である。
【図3】本発明の一実施形態によるネットワーク機器で端末をIP網に接続したネットワークの構成と動作を示す図である。
【図4】本発明の一実施形態によるネットワーク機器で端末をIP網に接続したネットワークの構成と動作を示す図である。
【符号の説明】
101 ネットワーク機器
102 エンドポイント
103 ネットワーク
104 ゲートキーパ
105 ネットワーク
106 探索パケット
107 ゲートキーパのIPアドレス
108 メモリ
109 エンドポイントのMACアドレス
110 送信元MACアドレス
111 応答パケット
112 ユニキャストの探索パケット
113 応答パケット[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a network device used for packet relay in a network capable of Internet telephony, and more particularly to a network device suitable for an endpoint in a certain network to use a connection service of a gatekeeper in a network having a different broadcast domain. It is about.
[0002]
[Prior art]
VIOP (Voice Over IP) is voice communication based on IP (Internet Protocol). In the following, description will be made by using a commonly used Internet telephone.
[0003]
In an Internet telephone, a terminal having a voice function such as a personal computer corresponding to a telephone is called an endpoint. Devices that service Internet telephone connections from endpoints to other endpoints are called gatekeepers. In order for an endpoint to receive a connection service from the gatekeeper, it is necessary to register information identifying the endpoint in the gatekeeper in advance. Since this registration is performed when the terminal is activated or when software that operates the terminal as an endpoint is activated, a sequence exchanged between the endpoint and the gatekeeper is called an initial registration sequence. As the initial registration sequence, for example, ITU-TH. The H.323 Recommendation is known. In the following, this recommendation is referred to as H.264. 323. H. The H.323-compliant endpoint is defined as H.323. H.323 endpoint, H.323. H.323 compliant gatekeeper 323 gatekeeper. In the attached drawings, the endpoint is abbreviated as EP and the gatekeeper is abbreviated as GK.
[0004]
H. There are two methods for the initial registration sequence in H.323. First, in the first method, before starting the initial registration sequence, the IP address of the gatekeeper is set in the endpoint in advance, and the endpoint transmits a packet for registration to the gatekeeper by unicast with this IP address as a destination. Send In the second method, the endpoint does not know the IP address of the gatekeeper before starting the initial registration sequence, and multicasts a packet called a search packet to check the IP address of the gatekeeper (search for the gatekeeper). Send. The gatekeeper that has received this search packet notifies the IP address of the gatekeeper in response to the endpoint. As a result, since the endpoint was able to know the IP address of the gatekeeper, a packet for registration can be transmitted to the gatekeeper by unicast with the IP address as a destination.
[0005]
Among various information registered with the gatekeeper from the endpoint, there are two addresses, an alias address and a call control address. There are various standards and types of alias addresses (also called alias addresses or simply aliases). Of these, E. 164 is like an extension telephone number, and is described only by a numeral. H. The 323 ID is described by alphanumeric characters. The email address format is an address format used in email. The URL address format is an address format used in the URL. By registering any of these alias addresses in the gatekeeper, a connection service using the alias address can be received from the gatekeeper. For example, if an e-mail address is registered, a telephone connection request addressed to the e-mail address will arrive at the endpoint.
[0006]
In the first method, it is necessary to manually set the IP address of the gate keeper in the endpoint in advance. When a terminal, which is an endpoint, is connected to a network for the first time, manually setting an IP address of a gatekeeper available from the network places a heavy burden on the user. In this regard, the second method is preferable because the automatic search is performed by the initial registration sequence, so that there is no burden on the user.
[0007]
However, in the second method, since the gatekeeper is searched by multicast, it is necessary that the broadcast domain of the endpoint and the gatekeeper is the same. This is because multicast packets cannot be relayed to networks with different broadcast domains, and the search is not successful. Therefore, an endpoint on one network cannot use the connection service of a gatekeeper on a network with a different broadcast domain. However, if all the endpoints and gatekeepers are to be accommodated in one broadcast domain, the size of the network having the broadcast domain becomes enormous. It is virtually impossible to operate such a large-scale network.
[0008]
In addition, regardless of the first and second methods, when a user artificially knows the IP address of the gatekeeper, the user can manually set the IP address of the gatekeeper to the endpoint, and the initial registration sequence can be started. It can be carried out. In general, a gatekeeper accepts an initial registration sequence without restricting users, so that even an unjust (illegal) user who does not originally have a right to receive a connection service can perform initial registration of an endpoint with this gatekeeper, It is difficult to prevent unauthorized use.
[0009]
[Patent Document 1]
JP 2001-313676 A
[0010]
[Problems to be solved by the invention]
The present invention is intended to solve the above-mentioned problems and to further enhance the convenience, security, and reliability of Internet telephone by giving new functions to network devices provided between networks. . The specific prospects are as follows.
[0011]
1) The search packet is relayed to a network having a different broadcast domain so that an automatic search can be performed in a network other than the same broadcast domain. As a result, the range of search is expanded, and connection services from gatekeepers in different broadcast domains can be received.
[0012]
2) The validity of the endpoint is recognized based on the MAC address of the endpoint, and connection service can be denied to an unauthorized endpoint. This improves the mobility (mobility) and security of the endpoint.
[0013]
3) A gatekeeper to be initially registered is allocated based on the MAC address of the endpoint. As a result, even when the end point is moved, initial registration with a predetermined gatekeeper can be performed. Further, there is no problem in an environment such as DHCP (Dynamic Host Configuration Protocol) for dynamically assigning an IP address to an endpoint.
[0014]
4) The gatekeeper is duplexed into a service system and a standby system, and the operation state of the service system gatekeeper is monitored. When the service system gatekeeper goes down, the gatekeeper is switched to the standby system gatekeeper.
[0015]
5) The use of endpoints is controlled on a user-by-user basis, so that use of the same endpoint can be restricted for each user. As a result, highly reliable user authentication can be realized.
[0016]
That is, an object of the present invention is to solve the above problems and to provide a network device suitable when an endpoint in a certain network uses a connection service of a gatekeeper in a network having a different broadcast domain.
[0017]
[Means for Solving the Problems]
In order to achieve the above object, the present invention provides a network device provided between a network in which an endpoint exists and a network in which a broadcast domain is different from the network and a gatekeeper for providing a connection service exists. The address of the gatekeeper is stored in advance, and when the endpoint receives a search packet transmitted by multicast to search for the gatekeeper, the address of the stored gatekeeper is responded to the endpoint. Things.
[0018]
The addresses of two or more gatekeepers may be stored in advance, an inquiry may be made to these gatekeepers as to whether connection service is possible, and the addresses of the gatekeepers capable of connection service may be returned.
[0019]
The present invention is also a network device provided between a network in which an endpoint exists and a network in which a broadcast domain is different from the network and a gatekeeper that provides a connection service exists, and the network device includes: The address is stored in advance, and when the end point receives a search packet transmitted by multicast to search for the gatekeeper, the destination of the search packet is rewritten to the address of the stored gatekeeper and transmitted by unicast. Is what you do.
[0020]
The address of a valid endpoint that can use the connection service is stored in advance, and if the address of the endpoint that transmitted the search packet is not the address of the stored valid endpoint, the search may be rejected. .
[0021]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings.
[0022]
As shown in FIG. 1, a network device 101 according to the present invention includes a network 103 in which an endpoint (EP1) 102 exists, and a gatekeeper (GK1) that provides a connection service using a different broadcast domain from the network 103. The network 104 is provided between the network 105 and the network 105. The network device 101 stores the IP addresses 107 of one or more gatekeepers 104 in a memory 108 in advance, and when the endpoint 102 receives a search packet 106 transmitted by multicast to search for the gatekeeper 104, By transmitting a response packet 111 instead of 104, the IP address 107 of the gatekeeper 104 stored in the memory 108 is responded to the endpoint 102.
[0023]
The network device 101 stores in advance a MAC address 109 of one or more valid endpoints 102 that can use the connection service in a memory 108, and stores the MAC address of the endpoint 102 that transmitted the search packet 106 (in the search packet, When the described source MAC address 110 is not the MAC address 109 of the valid endpoint 102 stored in the memory 108, the search is rejected, and the search is rejected for the endpoint 102 that transmitted the search packet 106. Is notified.
[0024]
The memory 108 stores the IP addresses 107 of the two gatekeepers 104 corresponding to one MAC address 109, which will be described later.
[0025]
1 will be described. First, the endpoint 102 transmits a multicast search packet 106 (message name: GRQ) having its own address as the transmission source MAC address 110. According to the ITU-T standard, a packet having a destination IP address of 224.0.1.41 is a multicast packet. Upon receiving the search packet 106, the network device 101 extracts the source MAC address 110 from the search packet 106, refers to the memory 108, searches for a MAC address 109 that matches the source MAC address 110, and searches for the corresponding gatekeeper 104. Of the IP address 107 is read. The network device 101 stores the IP address 107 in a response packet 111 (message name: GCF) and sends it to the endpoint 102. As a result, the endpoint 102 acquires the IP address 107 (GK1) of the gatekeeper 104 that can receive the connection service. Thereafter, the endpoint 102 registers the IP address 107 with the gatekeeper 104 by unicast with the IP address 107 as a destination. Packets can be sent.
[0026]
If there is no MAC address 109 in the memory 108 that matches the transmission source MAC address 110, the network device 101 determines that the endpoint 102 is invalid, and rejects the search (a packet (not shown)) (message name). : GRJ) to the end point 102.
[0027]
As described above, since the network device 101 performs a proxy response in place of the gatekeeper 104, the endpoint 102 exchanges an initial registration sequence with the gatekeeper 104 in a different broadcast domain from the endpoint 102 to receive the connection service. Become.
[0028]
In addition, since the network device 101 recognizes the validity of the endpoint 102 based on the MAC address 110 of the endpoint 102 and rejects the connection service to the unauthorized endpoint 102, the use of the connection service by the illegal terminal hardware is performed. Can be prevented.
[0029]
Next, another form of the gatekeeper search will be described.
[0030]
The network configuration of FIG. 2 is the same as that of FIG. 1, and the memory 108 is omitted from the drawing, but is the same as that of FIG. In FIG. 2, the network device 101 stores in advance the IP addresses 107 of one or more gatekeepers 104 in the memory 108, and receives the search packet 106 transmitted by the endpoint 102 by multicast to search for the gatekeeper 104. At this time, the destination of the search packet 106 is rewritten to the IP address 107 of the gatekeeper 104 stored in the memory 108 to form a unicast search packet 112, and the search packet 112 is transmitted to the network 105 on the gatekeeper side. ing.
[0031]
The operation of the network shown in FIG. 2 will be described. First, the endpoint 102 transmits a multicast search packet 106 (message name: GRQ) having its own address as the source MAC address 110. The network device 101 that has received the search packet 106 looks up the MAC address 109 that matches the transmission source MAC address 110 with reference to the memory 108 and reads the IP address 107 of the corresponding gatekeeper 104. The network device 101 rewrites 224.0.1.14, which is the destination IP address of the search packet 106, with GK1, which is the IP address 107 of the gatekeeper 104, to obtain a unicast search packet 112. The search packet 112 (message name) : GRQ) to the network 105 on the gatekeeper side. At this time, the port number 114 of the UDP (User Datagram Protocol) is also changed.
[0032]
Upon receiving the search packet 112, the gatekeeper 104 transmits a response packet 113 (message name: GCF) storing its own IP address 107. The network device 101 relays the response packet 113 to the endpoint 102. As a result, the endpoint 102 acquires the IP address 107 of the gatekeeper 104 that can receive the connection service, and thereafter transmits a packet for registration to the gatekeeper 104 by unicast with the IP address 107 as a destination. can do.
[0033]
If there is no MAC address 109 that matches the transmission source MAC address 110 in the memory 108, the network device 101 rejects the search as described above.
[0034]
As described above, since the network device 101 changes the search packet 106 into a unicast search packet 112 addressed to the gatekeeper 104 and relays the same, the endpoint 102 communicates with the gatekeeper 104 existing in the network 105 having a different broadcast domain from its own. Exchanges the initial registration sequence between the two, and can receive the connection service.
[0035]
Next, the duplication will be described.
[0036]
In FIG. 1, the memory 108 stores the IP addresses 107 of the two gatekeepers 104 corresponding to the MAC address 109 of one endpoint 102. The network device 101 can appropriately switch one of these two gatekeepers 104 to a normal system and the other to a standby system. Another network using the memory 108 will be described with reference to FIG.
[0037]
As shown in FIG. 3, four gatekeepers 104 (GK1, GK1 ′, GK2, GK2 ′) exist on the IP network. The network device 101 stores the IP address 107 of the gatekeeper 104 (GK1, GK1 ′) corresponding to one endpoint 102 (EP1), and stores the gatekeeper 104 (GK2, GK2) corresponding to another endpoint 102 (EP2). GK2 ′) is stored. It is assumed that the gatekeeper GK1 is a normal system and the gatekeeper GK1 'is a standby system.
[0038]
The network device 101 monitors the operating state by making an inquiry to the regular gatekeeper GK1 by keep-alive polling. In the keep-alive polling, a method of checking whether or not the gatekeeper GK1 is operating by confirming a response by Ping in ICMP, operating the network device 101 itself as a dummy endpoint, and transmitting packets (RRQ, RCF) of the initial registration sequence There is a method to check whether it can be exchanged. When this monitoring detects that the service gatekeeper GK1 has gone down, the standby gatekeeper GK1 'is switched to the service gate. Thereafter, the IP address 107 that makes a proxy response to the endpoint 102 that has transmitted the search packet 106 or the IP address 107 that is the destination of the unicast search packet 112 is newly transmitted from the former regular gatekeeper GK1 that has gone down. The gatekeeper GK1 'is a common gatekeeper.
[0039]
As described above, the IP addresses 107 of the plurality of gatekeepers 104 are stored in advance, and the IP addresses 107 of the gatekeepers 104 in a state where the connection service is available are notified to the endpoint 102. Reliability can be improved.
[0040]
Next, another embodiment relating to user authentication will be described.
[0041]
1 or 2 previously stores the MAC address 109 of the valid endpoint 102 that can use the connection service, and the MAC address 110 of the endpoint 102 that transmitted the search packet 106 is the valid endpoint. When the MAC address 102 is not the MAC address 109, the search is rejected. However, in the following embodiment, the MAC address 109 is used only for association with the gatekeeper 104 (GK1, GK1 '), and the alias address is used for authentication.
[0042]
Internet telephone software executed on the terminal serving as the endpoint 102 requests the user to input his / her own alias address when attempting to receive a connection service for calling the other party from the gatekeeper 104. If the user, for example, When the user inputs the H.323 ID, the endpoint 102 uses the H.323 ID as an authentication alias address in a packet requesting a connection service. 323 ID is stored and transmitted to the gatekeeper 104. Before relaying the packet to the gatekeeper 104, the network device 101 determines whether the authentication alias address is valid. If the authentication alias address is valid, the network device 101 relays the packet. It is not necessary for the network device 101 itself to determine whether it is valid or not, and a request may be made to the authentication server.
[0043]
In the network shown in FIG. 4, an authentication server (Radius) 121 existing on the IP network determines the validity of the authentication alias address. Hereinafter, the procedure will be described.
[0044]
H. In H.323, H.323 H.323 endpoint 122 and H.323. After completion of the above-described search sequence with the H.323 gatekeeper 124, H.323 for registering the terminal with the gatekeeper or issuing a communication permission from the gatekeeper to the endpoint is performed. A H.225 registration sequence is performed. The packet storing the alias address is transmitted from the H.323 endpoint 122. Therefore, the network device 101 uses H.264. Hook a control packet (message name: RAS) used for the 225 registration sequence. Then, H. The data packet (message name: RRQ) transmitted by the H.323 endpoint is hooked (step S1).
[0045]
Since the alias address (H.323 ID, E-mail address, E.164, etc.) to be registered is stored in this data packet, the network device 101 extracts one or more alias addresses and performs authentication. Alias address. The authentication inquiry packet storing the authentication alias address is transmitted to the authentication server 121 (step S2).
[0046]
The authentication server 121 performs authentication by comparing the received authentication alias address with the alias address stored in advance, and notifies the network device 101 of the authentication result (step S3).
[0047]
If the authentication result is OK, the network device 101 converts the hooked control packet (RAS) and data packet (RRQ) to H.264. 323 gatekeeper 124. Then, H. H.323 endpoint 122 and H.323. The sequence performed with the H.323 gatekeeper 124 is the same as the conventional one, and the network device 101 simply relays. If the authentication result is NG, the network device 101 transmits the H.264 certificate. A packet (message name: RRJ) notifying the H.323 endpoint 122 that the authentication result is NG is transmitted.
[0048]
In this embodiment, an alias address is used for authentication. When the MAC address was used for authentication, the validity of the terminal could be checked, but any user using the terminal has validity. That is, the authentication using the MAC address is not strictly user authentication but terminal authentication. By authenticating with an alias address, the legitimacy of the user can be checked and security is improved.
[0049]
Examples of the network device 101 to which the present invention is applied include a LAN switch and a hub to which an endpoint 102 is directly connected. In the network management device 123 (FIGS. 3 and 4) on the IP network that manages these network devices 1, the MAC address 109 of the endpoint 102 that can use the connection service and the gatekeeper 104 corresponding to the MAC address 109 The IP address 107 and the IP address 107 are managed as a list, and the MAC address 109 and the IP address 107 are stored in the memory 108 of the network device 101 by distributing the list from the network management device 123 to the network device 101. In a network where the network management device 123 is not installed, the contents of the memory 108 may be set by directly inputting the data to the network device 101. Even in the network where the network management device 123 is installed, when the network management device 123 is down, the content of the memory 108 may be set by directly inputting the data to the network device 101. In the list, one of the plurality of network devices 101 may be managed in a unified manner.
[0050]
The authentication server 121 is not limited to Radius, but may be LDAP, Active Directory, or the like.
[0051]
In the embodiment shown in FIGS. 1 and 2, the MAC address 109 is used for the endpoint 102 in order to associate the endpoint 102 with the gatekeeper 104. Also, the MAC address 109 was used for authentication of the endpoint 102. Therefore, when a layer 3 network device such as a router that rewrites the source MAC address when relaying a packet exists between the endpoint 102 and the gatekeeper 104, the layer 3 network device is closer to the endpoint 102 than the layer 3 network device. It is preferable to install the network device 101 of the present invention. For example, the network device 101 of the present invention is installed at an edge portion of a network (a portion connected to another network via a router). Thus, the association between the endpoint 102 and the gatekeeper 104 and the authentication of the endpoint 102 can be reliably performed before the source MAC address is rewritten.
[0052]
In user authentication using an alias address, even if a packet passes through a layer 3 network device, the alias address does not change, so there is no restriction on the installation location of the network device 101 of the present invention. In user authentication using an alias address, the network device 101 of the present invention may be realized by a router. The device that provides the connection service is not limited to the gatekeeper, and may be a SIP server having an initial registration sequence.
[0053]
INDUSTRIAL APPLICABILITY The present invention is useful for constructing a VIOP system in an enterprise (company), for improving security, reducing management work, and ensuring reliability by a redundant configuration. Also, in a wide area VIOP service, the user can be limited by using the user authentication function of the present invention.
[0054]
Even in a network in which a conventional gatekeeper having no restriction on the initial registration is installed, the restriction on the initial registration can be performed by installing the network device of the present invention.
[0055]
【The invention's effect】
The present invention exhibits the following excellent effects.
[0056]
(1) An endpoint in a certain network can use a connection service of a gatekeeper in a network having a different broadcast domain.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration, operation, and storage of a network in which two networks are connected by a network device according to an embodiment of the present invention.
FIG. 2 is a diagram showing a configuration and operation of a network in which two networks are connected by a network device according to an embodiment of the present invention.
FIG. 3 is a diagram showing a configuration and operation of a network in which a terminal is connected to an IP network by a network device according to an embodiment of the present invention.
FIG. 4 is a diagram showing a configuration and operation of a network in which a terminal is connected to an IP network by a network device according to an embodiment of the present invention.
[Explanation of symbols]
101 Network equipment
102 Endpoint
103 Network
104 Gatekeeper
105 Network
106 search packet
107 Gatekeeper IP Address
108 memory
109 MAC address of endpoint
110 Source MAC address
111 response packet
112 Unicast search packet
113 response packet
