JP2004304574A - Communication equipment - Google Patents

Communication equipment Download PDF

Info

Publication number
JP2004304574A
JP2004304574A JP2003095909A JP2003095909A JP2004304574A JP 2004304574 A JP2004304574 A JP 2004304574A JP 2003095909 A JP2003095909 A JP 2003095909A JP 2003095909 A JP2003095909 A JP 2003095909A JP 2004304574 A JP2004304574 A JP 2004304574A
Authority
JP
Japan
Prior art keywords
network
user
frame
layer
connection destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003095909A
Other languages
Japanese (ja)
Other versions
JP4166609B2 (en
Inventor
Atsushi Kitada
敦史 北田
Masahito Okuda
將人 奥田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2003095909A priority Critical patent/JP4166609B2/en
Publication of JP2004304574A publication Critical patent/JP2004304574A/en
Application granted granted Critical
Publication of JP4166609B2 publication Critical patent/JP4166609B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Communication Control (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide communication equipment capable of avoiding a bottle neck to be generated by the concentration of session control processing. <P>SOLUTION: In a communication system by which a user selects an arbitrary connection destination from a plurality of connection destinations by using PPPoE, the communication equipment is arranged to the edge of a layer 2 network which relays data addressed to the connection destination selected by the user and stores one or more pieces of user side equipment. The communication equipment includes a frame discrimination means for discriminating whether a PPPoE frame received from the user side equipment is the one for PPP session establishment or the one including the data addressed to the connection destination, a session management means for performing processing for establishing the PPP session regarding communication between the user side equipment including user authentication and connection destination identification based on the frame for the session establishment, discriminated by the frame discrimination means and the connection destination selected by the user, a frame conversion means for extracting the data from the PPPoE frame including the data addressed to the connection destination, discriminated by the frame discrimination means, and a transfer processing means for transmitting the data extracted by the frame conversion means to the layer 2 network. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、1以上のユーザ側装置を収容する通信装置、及びこの通信装置がエッジ部分に配置されるL2VPN(Layer 2 Virtual Private Network)網に関する。例えば、本発明は、xSP(インターネットサービスプロバイダ(ISP)、コンテンツサービスプロバイダ(CSP))や企業ネットワークへのアクセス・メトロ網において、上記通信装置において認証・接続先識別を含むセッションコントロールを行い、xSP接続網とユーザ拠点間接続網のシームレスな統合を可能とする技術に関する。
【0002】
【従来の技術】
近年、インターネットのブロードバンド化が本格化している。従来の電話網によるダイヤルアップ接続に比べ、ADSL(Asymmetric Digital Subscriber Line)などは、数十倍のスピードでのアクセスを提供することができる。
【0003】
また、今後、各家庭まで光ファイバが敷設され、それに伴って高画質の映像配信サービスや音楽ダウンロードサービスなどを提供するxSP(ISP,CSP等)が数多く出現すると考えられる。
【0004】
また、企業網が広帯域なアクセス・メトロ網に接続されることによって、家庭と企業間で大容量かつ高速なデータのやりとりができ、在宅勤務なども可能となる。
【0005】
したがって、今後さらに高速な数十メガビットクラスでのアクセスが可能で、なおかつ接続先を用途に応じて切り替えるといったニーズが高まると考えられる。このようなニーズを満たすキーとなる技術は次の二つである。
【0006】
(1)イーサネット(Ethernet(登録商標):IEEE 802.3に準拠するネットワーク)
イーサネット(図1にフレームフォーマットを示す)は、従来LAN(Local Area Networks)において広く用いられている技術であり、10Mbpsから10Gbps(2002年6月にIEEE802.3aeとして標準化完了)までの幅広い帯域を提供することができる。図2に本発明に係る主なイーサネットサービス(イーサタイプ)をパケット種別ごとに示す。
【0007】
また、イーサネットは、装置コストが安価でなおかつユーザ側装置のインタフェースとしても広く普及している。このため、イーサネットを用いれば、経済的にブロードバンドアクセスサービスを提供することが可能となる。
【0008】
IEEE802.3委員会では、アクセス網の最後の1マイルにイーサネット技術を適用することを目的としたIEEE802.3ah EFM(Ethernet in the First Mile)が現在仕様策定中である。
【0009】
(2)PPP(Point−to−Point Protocol)
PPP(RFC1661規定)は、ユーザ認証およびレイヤ3アドレスの割当およびレイヤ3パケットのカプセル化転送を実現する方式である。PPPでは、最初に、データリンクの確立を行うLCP(Link Control Protocol)ネゴシエーションが行われる。続いて、ユーザから送信されたユーザIDおよびパスワードを用いたユーザ認証(PAP認証、CHAP認証等がある)が行われる。最後に、レイヤ3アドレスのネゴシエーションを行うNCP(Network Control Protocol、IPの場合はIPCP)において、アドレスプールからユーザにIPアドレスが割り当てられるとともに、対向アクセスサーバ(RAS:Remote Access Server)のIPアドレスがユーザに通知される。このような手順を経て、実際のIPデータ通信が可能となる。
【0010】
また、最近では、ユーザ認証でユーザ名およびxSP名を指定(「ユーザ名@xSP名」と指定)することにより、ユーザが接続先を任意に選択するサービス(「接続先選択サービス」と称する)が行われている。この接続先選択サービスでは、BRAS(Broadband Remote Access Server)と呼ばれる装置が、ユーザとxSPとの接続点で、接続先ごとにユーザパケットを振り分ける。これによって、ユーザの接続先が任意に選択される。
【0011】
上述した両方の技術を合わせた方式としてPPPoE(PPP over Ethernet,RFC2516規定)がある。PPPoEは、ADSL接続やFTTH接続で広く使用されている。PPPoEは、文字どおりイーサネット上でPPPパケットを転送する方式であり、イーサネット上での任意の接続先への切替接続を実現することができる。図3は、PPPoEを使用したBRASを介したユーザ側装置とxSP間の接続イメージを示す図である。
【0012】
図4は、PPPoEによるBRASを介したユーザ側装置とxSPとの間の接続における通信方式のシーケンス例を示す図である。PPPoEは、PPPoE Discovery Stageと、PPP Session Stageとに大きく分けることができる。
【0013】
PPP Discovery Stageでは、ブロードキャスト型の通信方式を使用し、或るイーサネット上で2地点(Point−to−Point)のセッションを確立する相手が特定される。このステージでは、ユーザ側装置は、PPPoE発呼のPADI(PPPoE Active Discovery Initiation、図5にフレームフォーマットを示す)をブロードキャストで送出する。この場合、BRASは、PADIに応答し、PADO(PPPoE Active Discovery Offer)をユニキャストで(PADIで受けたフレームの送信元MACアドレスを宛先MACアドレスとして)ユーザ側装置に返す。ユーザ側装置は、PADOの送信元MACアドレスからBRASのMACアドレスを認識することができる。これによって、ユーザ側装置は、以降のBRASに対する通信において、BRASのMACアドレスを宛先MACアドレスとして設定し、ユニキャストでPADR(PPPoE Active Discovery Request)を送出する。BRASは、PADRを受信すると、ユーザ側装置とBRASとの間でセッション毎にユニークなID(Session−ID:以下「セッションID」とも表記)を設定し、PADS(PPPoE Active Discovery Session−Conformation)をユーザ側装置に返す。
【0014】
PPP Session Stageでは、ユーザ側装置とBRASとの間でユニキャスト通信が行われる。このときのユニキャスト通信では、確立されたセッションID値が設定されたデータの送受信が行われる。このステージでは、BRASは、ユーザ側装置からのデータに付加された送信元MACアドレスおよびセッションIDからユーザセッションを識別し、上記したPPPネゴシエーション(LCPネゴシエーション,ユーザ認証,NCPネゴシエーション)を行う。
【0015】
このとき、BRASは、ユーザ認証において、ユーザが指定した「ユーザ名@xSP名」からユーザの接続先を抽出し、RADIUS(RFC2865)クライアントとして、該当接続先のRADIUSサーバに認証情報を送信(RADIUS Access−Request)する。このときの実際の認証は認証用のデータベースを持つxSPで行われる。その後、BRASは、RADIUSサーバからの認証成功を示すパケット(RADIUS Access−Accept)をもとにIPアドレスの割当(IPCP)のネゴシエーションを行うことができる。
【0016】
IPCP完了後、ユーザ側装置は、接続先との間でIPデータ通信を行うことが可能となる。すると、ユーザ側装置からPPPoEでカプセル化されたIPパケット(PPPoEパケット)がBRASに送られてくる状態となる(図6にPPPoEパケットのフレームフォーマットを示す)。この場合、BRASはPPPを終端し、IPパケットを該当接続先に転送する。
【0017】
なお、接続先ネットワークへのデータ転送に際し、L2TP(Layer two Tunneling Protocol:RFC2661規定)等が用いられ、L3VPN(layer three virtual private network)網においてPPPフレームのままで転送される場合もある。以後、本発明では、ユーザ認証・接続先の識別、提供サービス、および接続先へのパケット転送を含む処理を“セッションコントロール”と称する。
【0018】
その他、本発明に係る技術として、特許文献1に開示されたネットワーク間通信方法及びその装置に係る技術がある。
【0019】
【特許文献1】
特開2001−16255号公報
【0020】
【発明が解決しようとする課題】
上述したように、PPPoEはイーサネット上での切替接続を実現することができる。しかしながら、従来のBRASを用いた集中型の処理では以下に示すような問題があった。
【0021】
(1)BRASのボトルネック
図7に示すように、ユーザ側装置は、どのxSP(xSP網)と接続する場合でも、BRASを経由しての接続となる。このため、BRASにセッションコントロール処理が集中してしまう(場合によっては数十万〜数百万セッションとなる)。
【0022】
ここに、PPPのネゴシエーションは、互いに条件を要求(Configure−Request)し合い、互いに承認(Configure−Ack)し合うといった複雑な状態遷移を伴う。しかも、ユーザごとにネゴシエーションの条件が異なる。このため、PPPによるネゴシエーションは、ソフトウェア処理が前提となる。
【0023】
また、パケット転送は、BRASにおけるセッションコントロールの一部として行われる(図8に示すように、BRASの内部では、ソフトウェアで保持される状態遷移(図9)に基づいてパケット転送の可否が決定される)。このため、ハードウェア処理/ソフトウェア処理の切り分けが困難である。
【0024】
さらに、BRASは、xSPにパケット転送を行うため、レイヤ3の処理(IPルーティング等)を行わなければならない。従って、BRASは、xSPごとのIPアドレス体系およびダイナミックルーティングをサポートする必要がある(「バーチャルルータ機能」と呼ばれる)。
【0025】
以上の理由から、ネットワークプロセッサなどの進歩がめざましいとはいえ、BRASによる処理の高速化には限界がある。
【0026】
(2)xSP接続網とユーザ拠点間接続網のシームレスな統合が困難
近年、広域LANサービスなどと呼ばれる、ユーザ(主に企業)がイーサネットインタフェースでリモートの拠点間をあたかも同一LANセグメントのように接続できるユーザ拠点間接続サービスが注目を集めている。
【0027】
図10に示すように、ユーザ拠点間接続サービスでは、ユーザを収容する装置でユーザを接続(収容)するポートやユーザフレームのIEEE802.1Q VLAN(Virtual LAN)−tagなどからVPN(Virtual Private Network)を識別する。この場合、L2SW(Ethernet SW)で網が構成され、VPN識別のための拡張VLAN−tagがユーザに付与(ユーザEthernetフレームに挿入)され、網がVPNごとのブロードキャストドメインに論理的に分離され、MACブリッジ転送によってユーザフレームが転送される。
【0028】
また、最近では、網をMPLS(Multi Protocol Label Switching)で構成し、MPLS網でイーサネットフレームを転送するEoMPLS(Ethernet over MPLS)サービスも提供されている。図11に示すように、EoMPLSでは、ユーザ収容のポートやユーザフレームのVLAN−tagからVPNが識別され、MPLS網内を転送するためのTunnel(トンネル)ラベルパスとMPLS網の出入口のエッジ装置(LER:Label Edge Router)でVPNを識別するためのVC(Virtual circuit)ラベルパスにユーザフレームがマッピング(ユーザEthernetフレームがトンネルラベルおよびVCラベルでカプセル化)され、ユーザフレームがラベルスイッチ転送される。
【0029】
一般に、MPLSは2地点間(Point−to−Point)のサービスである。但し、LERにMACブリッジングの機能を持たせることによって、1対複数地点間(Point−to−Multipoint)のイーサネットフレーム転送サービスを提供することが可能である(「VPLS: Virtual Private LAN Service」と呼ばれる)。
【0030】
このように、ユーザ拠点間サービスでは、ユーザ収容装置でVPNが一意に識別でき、さらに、網内では拡張VLANの2段スタック(L2SW網の場合)や、MPLSラベルをさらにスタックしたりラベルパスをマージ(MPLS網の場合)したりしてトラフィックを多重化することも可能である。従って、経済的・効率的なネットワークの構築が可能である。
【0031】
しかし、xSP接続サービスにBRASを用いた場合では、アクセス網内ではフレームがBRASに至るまでユーザの接続先xSPを判別することができない。従って、図12に示すように、例えばL2SWで網が構成される場合において拡張VLAN等でトラフィックを多重化しても、BRASで接続先識別および提供しているサービス(最大速度や一戸建てや集合住宅型シェアドアクセスなどの接続形態等)を識別するためにアグリゲートトラフィックを分離してBRASに渡す必要がある。MPLS網の場合も同様で、ユーザ側装置とxSPとの間にBRASが存在することが上記ユーザ拠点間接続網とxSP接続網の統合の妨げとなってしまう。
【0032】
なお、イーサネット上でアクセスコントロールを実現する方式としては、IEEE802.1X(Port based Network Access Control)がある。IEEE802.1XはEAPOL(EAP over LANs、図13にフレームフォーマットを示す)とも呼ばれ、上記PPPの拡張認証方式であるEAP(Extended Authentication Protocol)のパケットフォーマットを流用し、イーサネットフレーム上で直接やりとりして、PPP同様「ユーザ名@組織名」から接続先セグメントを抽出して、認証が成功すると当該セグメント(VLAN)へのアクセスを許可するものである(図14にIEEE802.1Xによるシーケンス例、図15にIEEE802.1Xによる接続イメージを示す)。
【0033】
しかし、IEEE802.1Xは、エッジL2SWのポート単位でアクセスを許可するものであり、ポートあたり1ユーザしか認証できない。つまり集合住宅などで集線された環境など、エッジL2SWのポートに複数ユーザが接続された環境では適用できない。またIEEE802.1Xは主にイーサネットや無線LANのセキュリティ(ポートにケーブルを繋げばだれでも簡単にアクセスできてしまうことや無線LANのパケットを傍受することでなりすましが可能になってしまうことなど)に鑑みたものであって、例えばIPアドレス割当および管理の機構を備えていないことや、認証後の接続先セグメントは通常のLANと同じくフリーアクセスとなるため、セキュリティ等の観点からxSP選択接続としてそのまま適用することは難しい。
【0034】
本発明は、以上のような問題を解決し、セッションコントロール処理が集中することにより生じるボトルネックを回避することができる通信装置を提供することを目的とする。
【0035】
【課題を解決するための手段】
上記問題を解決するため、本発明は以下のような構成をとる。即ち、本発明は、PPPoEを用いてユーザが複数の接続先から任意の接続先選択を行う通信システムにおいて、ユーザにより選択された接続先宛のデータを中継するレイヤ2網のエッジに配置され、1以上のユーザ側装置を収容する通信装置であって、ユーザ側装置から受信するPPPoEフレームがPPPセッション確立用のフレームか上記接続先宛のデータを含むフレームかを判別するフレーム判別手段と、上記フレーム判別手段で判別されたセッション確立用のフレームに基づいて、ユーザ認証及び接続先識別を含むユーザ側装置とユーザにより選択された接続先との間の通信に係るPPPセッションを確立するための処理を行うセッション管理手段と、上記フレーム判別手段で判別された上記接続先宛のデータを含むPPPoEフレームから当該データを抽出するフレーム変換手段と、上記フレーム変換手段で抽出されたデータを前記レイヤ2網へ送出する転送処理手段とを含む。
【0036】
好ましくは、本発明の通信装置は、上記各接続先の網のエッジ装置が接続先毎に用意された上記レイヤ2網の網終端装置にそれぞれ接続されており、上記フレーム変換手段は、上記接続先宛のデータに宛先レイヤ2アドレスとして設定されている自装置のレイヤ2アドレスを当該接続先のエッジ装置のレイヤ2アドレスに変換して上記転送処理手段に渡すように構成してもよい。
【0037】
好ましくは、本発明における通信装置は、上記レイヤ2網が上記各接続先の網を収容するレイヤ3網にエッジ装置を介して接続され、このエッジ装置が上記レイヤ2網を通じて受信する上記接続先宛のデータに対して上記レイヤ2網の終端処理を行うとともに上記レイヤ3網を介して該当する接続先の網へ転送する処理を行うように構成されており、上記セッション管理手段は、ユーザ側装置との間におけるPPPセッションの確立において、ユーザ側装置に転送されるセッション確立用フレームの送信元レイヤ2アドレスとして上記エッジ装置のレイヤ2アドレスを設定し、上記フレーム変換手段は、PPPセッションの確立後にユーザ側装置から受信する接続先宛のデータに宛先レイヤ2アドレスとして設定されている上記エッジ装置のレイヤ2アドレスを変更することなく当該データを上記転送処理手段に渡すように構成してもよい。
【0038】
好ましくは、本発明における通信装置は、上記レイヤ2網が上記各接続先の網を収容するレイヤ3網に複数のエッジ装置を介して接続され、各エッジ装置が上記レイヤ2網を通じて受信する上記接続先宛のデータに対して上記レイヤ2網の終端処理を行うとともに上記レイヤ3網を介して該当する接続先の網へ転送する処理を行うように構成されており、上記セッション管理手段は、ユーザ側装置との間におけるPPPセッションの確立において、ユーザ側装置に転送されるセッション確立用フレームの送信元レイヤ2アドレスとして、接続先に応じたエッジ装置のレイヤ2アドレスを設定し、上記フレーム変換手段は、PPPセッションの確立後にユーザ側装置から受信する接続先宛のデータに宛先レイヤ2アドレスとして設定されている上記エッジ装置のレイヤ2アドレスを変更することなく当該データを上記転送処理手段に渡すように構成してもよい。
【0039】
好ましくは、本発明におけるレイヤ2網は、IEEE802.1Q VLANに従って接続先毎に論理分割され、本発明における転送処理手段は、上記接続先宛のデータに対し、当該データの接続先に対応するVLAN−tagを設定して上記レイヤ2網に送出するように構成してもよい。
【0040】
このようにして、本発明によれば、ユーザ側装置を収容する通信装置において、ユーザ認証及び接続先識別を含むセッション管理を行うことにより、セッションコントロール処理が集中することにより生じるボトルネックを回避することができる。
【0041】
【発明の実施の形態】
以下、図面を用いて本発明の実施形態について説明する。なお、本実施形態の説明は例示であり、本発明の構成は以下の説明に限定されない。
【0042】
〈概要〉
本発明を実現するにあたってのポイントは次の(1)〜(4)である。
(1)従来BRASで行っていたセッションコントロールを分散処理する。
(2)上記(1)に加えて、標準化されたPPPoE(通信プロトコル)を用いてIPデータフレーム(IPoPPPoE)を送受信する(ただし、セッション識別後はPPPoEデカプセル化する)。
【0043】
上記(1)及び(2)については、BRASの機能をそのままユーザ収容装置に分散させる方法が考えられる。しかし、上述したように、BRASによる処理では、パケット転送がソフトウェア処理により行われる。このため、処理の高速化の問題が解決できない。さらに、BRASはレイヤ3に対する処理も行うので、xSP毎のIPアドレス体系やダイナミックルーティングまでもが分散されることになる。従って、これらの管理運用が煩雑化することが考えられる。従って、次の(3)及び(4)もポイントとなる。
(3)ハード処理/ソフト処理の切り分けを明確にする。即ち、IPデータフレームをハード処理化する。
(4)IPデータフレームのレイヤ2処理を行う。
以上のポイント(1)〜(4)を踏まえ、本発明の実施形態を説明する。
【0044】
《実施形態》
図16は、本発明の実施形態に係る通信装置(ユーザ収容装置)及びこの通信装置を含むL2VPNネットワークシステムの概要を示す図である。図16には、L2VPN網1が示されている。本発明に係るユーザ収容装置2は、L2VPN網のエッジに配置される。ユーザ収容装置2は、一戸建てや集合住宅等のユーザ拠点におけるユーザ側装置3を直接的に(例えば、レイヤ2におけるブロードキャストドメイン内で)収容することができる。
【0045】
ユーザ収容装置2は、各ユーザ側装置3が、ユーザ側装置3で選択されたサービスプロバイダ(xSP(ISP、CSP等))にアクセスするための制御(ユーザ任意の接続先選択サービスの制御)を行う。図16には、ユーザが選択可能な複数のxSPの例として、xSP−Aと、xSP−Bとのそれぞれによって用意されたxSP網及びその入口に設置されたエッジ装置(エッジルータ)が図示されている。
【0046】
各ユーザ側装置3と各xSPとの間では、PPPoEによるセッションを介して通信が行われる。このため、ユーザ収容装置2は、各ユーザ側装置3とxSP間の通信に係るPPPoEのセッションコントロールを行う。
【0047】
ユーザ収容装置2は、セッションコントロールの後、xSP宛のIPデータフレームがPPPoEでカプセル化されたPPPoEフレームをユーザ側装置3から受信する。ユーザ収容装置2は、このPPPoEフレームをデカプセル化してIPoEデータフレームに変換し、このIPoEデータフレームをL2VPN網1の網構成に応じたフォーマット(L2VPNの既存の標準フォーマット)にマッピング(カプセル化)し、L2VPN網1へ送出する。
【0048】
そして、IPoEデータフレームは、L2VPN網1の網構成に依存する転送手順に従ってL2VPN網1における所定の終端点までレイヤ2転送され、この終端点でL2VPN網1の終端処理が行われ、続いてIPoEデータフレームのxSPへの転送処理が行われる。
【0049】
また、ユーザ収容装置2は、ユーザの任意の接続先選択接続サービスと、ユーザ拠点間接続サービスを実現するL2VPN網とが統合された統合L2VPN網に適用することができる。すなわち、図16に示すような企業間(C社支店6とC社本店7間)を結ぶユーザ拠点間接続サービスを、ユーザ−xSP間の接続先選択接続サービスに適用することができる。
【0050】
ユーザ側装置3は、例えばパソコン(PC)等のユーザがxSPからサービスの提供を受けるための操作端末(「ユーザ端末」とも表記:コンテンツの表示や再生を行うアプリケーションが搭載されていても良い)と、ユーザ−xSP間の通信機能を司る(少なくともPPPoE通信をサポートする)通信機器(ADSLモデム等)との組み合わせにより構成される。但し、この例では、ユーザ端末−xSP間通信はIPベースで行われるので、ユーザ側装置3は、IPoPPPoEをサポートしている。
【0051】
〈ユーザ収容装置のシステム構成〉
次に、ユーザ収容装置2のシステム構成について図17〜20を用いて説明する。図17は、ユーザ収容装置2のシステム構成を示す図である。図18は、フレーム判別手段の説明図である。図19は、セッション管理手段の説明図である。図20は、フレーム変換手段の説明図である。
【0052】
図17において、ユーザ収容装置2は、ユーザ側装置3を収容(直収)可能な通信装置として構成される。ユーザ収容装置2は、PPPoEフレーム入力時にフレームを解析し、フレームタイプ(セッションネゴシエーションフレームかIPデータフレームか)を判別するフレーム判別手段20と、PPP状態遷移に基づいて認証・接続先識別を含むセッションネゴシエーションを行うセッション管理手段21と、認証成功・接続先識別後にユーザ側装置より送出されたPPPoEカプセル化されたIPデータフレームのデカプセル化を行うフレーム変換手段22と、デカプセル化されたIPデータフレームを接続先毎の仮想閉域網(L2VPN網)にマッピングしてレイヤ2転送を行う転送処理手段23とを備える。また、図17において、実線矢印は、ユーザ端末3からのフレームの流れを示し、破線矢印は、セッションネゴシエーションに基づく情報の流れを示す。
【0053】
ユーザ収容装置2の構成要素のうち、セッション管理手段21は、ソフトウェアで構成され、図9に示すような従来と同様の状態遷移テーブル(「PPP状態遷移テーブル」とも表記)に基づくセッションネゴシエーション処理をソフトウェア処理で行う。一方、フレーム判別手段20,フレーム変換手段22,及び転送処理手段23は、ハードウェアで構成される。以下、各構成要素について詳細に説明する。
【0054】
≪フレーム判別手段≫
フレーム判別手段20は、ユーザ側装置3からのPPPoEフレームを受信する。フレーム判別手段20は、入力されたPPPoEフレームを解析し、フレームタイプを判別する。フレームタイプの判別によって、当該フレームがセッションネゴシエーションフレーム(「ネゴシエーションパケット」とも表記)であるか、IPデータフレームであるかが判別される。
【0055】
フレーム判別手段20は、フレームがセッションネゴシエーションフレームである場合には、当該フレームをセッション管理手段21に渡し、IPデータフレームである場合には、当該フレームをフレーム変換手段に渡す。
【0056】
図18に示す例では、フレーム判定手段20は、ユーザ側から受信したPPPoEフレームの“ETHER#TYPE”が“0x8864(PPPoE(Session))”であり、且つ“CODE”が“0x00”であり、且つ“PPP#PROTOCOL”値が“0x0021”である場合(図6参照)には、当該PPPoEフレームについて、IPパケットがPPPoEカプセル化されたフレーム(IPoPPPoE)、即ちIPデータフレームであると判別し、当該PPPoEフレームをフレーム変換手段22に転送する。
【0057】
これに対し、フレーム判定手段20は、ユーザ側からのPPPoEフレームがIPデータフレーム以外のフレームである場合には、当該フレームがセッションネゴシエーションフレームであると判断し、当該フレームをセッション管理手段21に転送する。
【0058】
≪セッション管理手段≫
セッション管理手段21は、PPP状態遷移テーブルに基づいて、ユーザ認証・接続先識別を含む従来のBRASとほぼ同様のセッションネゴシエーションを行う。図19に示す例では、セッション管理手段21は、ネゴシエーションパケット(PPPoE)を受信し(S1)、受信したネゴシエーションパケットに含まれた送信元MACアドレスとセッションIDを用いて状態遷移テーブルを検索し(S2)、検索した状態遷移に従った処理を行いユーザに応答する(S3)、という一連のセッションネゴシエーションを行う。
【0059】
S3において、認証及び接続先識別処理が行われる。セッション管理手段21は、認証を行う場合には、RADIUSクライアントとして、接続先として識別したxSPのRADIUSサーバとの間で、RADIUS認証通信を行う。RADIUS認証通信については、L2VPN網内にプロキシRADIUSサーバを配置して、xSPとの通信を一元化することも可能である。
【0060】
セッション管理手段21は、セッションネゴシエーション(認証成功・接続先識別)後に、PPP状態遷移テーブルを参照し、新しい状態をチェックする(S4)。この時、状態が“IPアドレス割り当て完了(IPCP Opened)”である場合には、その時点で当該ユーザ側装置3のMACアドレス,PPPoEのセッションID,及び接続先のVPN−ID(VPN識別子)をフレーム変換手段22に登録通知として通知する(S5)。この登録通知は、認証成功時(RADIUS Access−Accept受信時)の時点で登録可能とする。
【0061】
一方、S4において、状態が“接続終了”の場合には当該ユーザ側装置3のMACアドレス,PPPoEのセッションID,及び接続先VPN−IDを削除通知として通知する(S6)。この削除通知は、ユーザからの明示的な接続終了(LCP Terminate Request or PADT:図4参照)の受信時、或いは無通信時間タイマのタイムアウト時に接続終了とみなし通知されるように構成することも可能である。
【0062】
≪フレーム変換手段≫
フレーム変換手段22は、認証成功・接続先識別後にユーザ側装置3により送出されるPPPoEカプセル化されたIPデータフレームのデカプセル化を行う。
【0063】
図20に示す例では、フレーム変換手段22は、MACアドレス,PPPoEセッションID,及び接続先VPN−IDからなるテーブル22aを有している。
【0064】
フレーム変換手段22は、フレーム判別手段20から転送されたPPPoEカプセル化されたIPデータフレーム(IPoPPPoE)を受け取ったときに、当該フレーム中の送信元MACアドレス及びセッションIDに対応するエントリがテーブル22aにあれば、当該PPPoEフレームをIPoEデータフレームに変換(PPPoEフレームのデカプセル化)し、VPN−IDの情報(セッション管理手段21から受け取っている)とともに転送処理手段23に送る。これに対し、フレーム変換手段22は、テーブル22aに該当エントリがなければ、未だ認証前であるものとして、当該PPPoEフレームを廃棄する。
【0065】
一方、フレーム変換手段22は、L2VPN網1側から転送処理手段23を経て送られてきたIPoEデータフレームを受け取った場合には、当該フレーム中の宛先MACアドレスをキーとしてテーブル22aを検索し、該当エントリがヒットすれば、このエントリ中のセッションIDが設定されたPPPヘッダで当該フレームに対するPPPoEカプセル化を行い、ユーザ側装置3に送出する。
【0066】
さらに、フレーム変換手段22は、テーブル22aのエントリ管理を行う。即ち、フレーム変換手段22は、セッション管理手段21から登録通知を受け取った場合には、その登録通知の内容が記録されたエントリをテーブル22a内に作成する。一方、フレーム変換手段22は、セッション管理手段21から削除通知を受け取った場合には、対応するエントリをテーブル22aから削除する。
【0067】
≪転送処理手段≫
転送処理手段23は、デカプセル化されたIPデータフレームを接続先ごとの仮想閉域網(L2VPN網)にマッピングしてレイヤ2転送する(詳細については後述)。
【0068】
以上のように、ユーザ収容装置2は、従来BRASで行われていたユーザ側装置と選択接続先のxSPとの間のセッションコントロールを、自身が収容している1以上のユーザ側装置について行う。これによって、従来のように、BRASで集中的に行われていた多数のユーザからのセッションコントロールを、複数のユーザ収容装置2に分散することができる。
【0069】
また、ユーザ収容装置2は、xSPへのIPデータフレームの転送処理を、L2VPN網1へのレイヤ2転送により行う。従って、ユーザ収容装置2において、xSP毎のIPアドレス体系を管理したり、ダイナミックルーティングを管理したりする必要がない(バーチャルルータとしての機能を要しない)。従って、ユーザ収容装置2におけるL3処理を回避することができる。これによって、ユーザ側装置3と接続先のxSPとの通信に係るセッションコントロールはセッション管理手段21によるソフトウェア処理で行い、IPデータフレームの転送処理は、フレーム判別手段20,フレーム変換手段22,及び転送処理手段23によるハードウェア処理で行う構成を採用することができる。さらに、PPPoEフレームの判別及びフレーム変換処理をハードウェアで行うことで、高速化を図ることができる。
【0070】
〈xSPの接続形態〉
次に、xSPの接続形態について説明する。ユーザ収容装置2がIPデータフレームをレイヤ2転送するための処理は、xSPのL2VPN網1に対する接続形態によって異なる。接続形態としては、以下の二通りが考えられる。
〈A〉xSPがL2VPN網の終端点に直接接続される場合
〈B〉xSPがL2VPN網及びL3VPN網(IP−VPN網)を経由する場合図21(A)及び(B)は、上記した接続形態〈A〉、即ちL2VPN網1の終端点でxSPに直接接続される場合の接続形態例を示す図である。接続形態〈A〉は、例えば、比較的小さい単位(例えば、県単位など)でxSPに直接接続されるケースに適用される。
【0071】
この場合、ユーザ収容装置2がIPパケット(IPoEフレーム)をレイヤ2転送する際の宛先MACアドレスは、選択接続先に該当するxSPのエッジ装置(エッジルータ:図21(A)ではエッジ装置9A,9B,9Cを例示。以下エッジ装置を特に指定しない説明では「エッジ装置9」と表記)のMACアドレスとなる。エッジ装置9は、例えば、xSP毎に用意される。
【0072】
エッジ装置9は、L2VPN網1に接続される。このとき、図21(A)に示すように、各エッジ装置9がxSP毎に用意されたL2VPN網1の網終端装置(図21(A)では網終端装置13A,13B,13Cを例示。以下網終端装置を特に指定しない説明では「網終端装置13」と表記)に接続されるように構成しても良い。或いは、図21(B)に示すように、各エッジ装置9が、複数のエッジ装置9を収容し、各エッジ装置9に対するトラフィックを宛先アドレスに従って分配する集約型網終端装置16に接続されるように構成しても良い。
【0073】
上述したように、PPPoEでは、ユーザ側装置3は、PPP Discovery Stageにおいて、セッションの確立相手のレイヤ2アドレス(例えばMACアドレス)を認識する。本実施形態では、ユーザ側装置3のセッションの確立相手はユーザ収容装置2であり、しかもユーザ認証時までは接続先のxSP(のエッジ装置のレイヤ2アドレス)が未知である。
【0074】
このため、ユーザ収容装置2のフレーム変換手段22は、認証成功・接続先識別後にユーザ側装置3から送信されてくるPPPoEカプセル化されたIPデータフレームに対し、デカプセル化に加え、その宛先レイヤ2アドレスを、接続先の識別により得られたxSPのエッジ装置のレイヤ2アドレスに変換して転送処理手段23に渡す。
【0075】
図22は、図21に示す接続形態(接続形態〈A〉)において適用されるユーザ収容装置2の構成例を示す図である。図22に示す例では、フレーム変換手段22は、ユーザ側装置3からのIPoPPPoEフレームからPPPoEを取り外しIPoEデータフレームへとデカプセル化する。さらに、フレーム変換手段22は、デカプセル化されたIPoEデータフレームの宛先MACアドレスに設定されているユーザ収容装置2のMACアドレス“P”を、接続先のxSPのエッジ装置9のMACアドレス“C”に変換する。このとき設定される接続先xSPのエッジ装置9のMACアドレスは、フレーム変換手段22が管理するテーブル22b(図20のテーブル22aに相当)に登録されている。
【0076】
フレーム変換手段22は、セッション管理手段21から、ユーザ側装置3のMACアドレス,PPPoEセッションID,及びVPN−IDに加えて当該エッジ装置9のMACアドレスを含む登録通知を受け取り、この登録通知の内容を含むエントリをテーブル22bに登録するように構成されている。
【0077】
この場合、セッション管理手段21は、あらかじめ自身に登録されている各xSPのエッジ装置9のMACアドレスを、接続先識別の結果に応じて登録通知に含めてフレーム変換手段22に与える構成を適用することができる。或いは、認証時のRADlUS通信においてxSP側から該当エッジ装置9のMACアドレスを含む認証成功メッセージ(RADIUS Access−Accept)を受け取り、このMACアドレスを含む登録通知をフレーム変換手段22に与えるように構成することも可能である。
【0078】
後者が採用される場合には、ユーザ収容装置2は、接続先のxSPのエッジ装置9のMACアドレスを動的に取得することができる。従って、ユーザ収容装置2毎に各xSPのエッジ装置9のMACアドレスを予め登録する必要がない。また、xSPのエッジ装置9が故障等で交換された場合でもMACアドレスを登録変更する必要がない。
【0079】
図23は、上記した接続形態〈B〉、即ちユーザからのトラフィックがL2VPN網1、さらにL3VPN網10(例えば、IP−VPN網)を経由する場合の接続形態例を示す図である。当該接続形態〈B〉は、比較的大きな単位(全国的に集約する場合など)でxSPに接続されるケースに適用される。図24は、図23に示す接続形態(接続形態〈B〉)において適用されるユーザ収容装置2の構成例を示す図である。
【0080】
図23において、L2VPN網1Aに収容されている各ユーザ収容装置2がIPoEデータフレームをレイヤ2転送する際の宛先MACアドレスは、L3VPN網10の入口のエッジ装置11のMACアドレスとなる。この場合では、宛先MACアドレスは、ユーザがどのxSPと接続する場合でも一つに決まる。このため、ユーザ収容装置2は、図24に示すような次の構成を持つ。
【0081】
セッション管理手段21は、ユーザ側装置3からのPPPoE発呼(PADI)に対し、応答PPPoEフレーム(PADO)の送信元レイヤ2アドレスとしてL3VPN網10のエッジ装置11のレイヤ2アドレスを設定する。
【0082】
続いて、ユーザ側装置3からのセッションネゴシエーションフレーム(PADR)に対し、フレーム判別手段20は、そのフレームの宛先レイヤ2アドレスが自装置宛でなくても、セッション管理手段21に転送する。セッション管理手段21は、当該フレームに基づいてセッション管理(ユーザ認証、接続先識別、IPCP等)を行う。
【0083】
認証・接続先識別後では、ユーザ側装置3からのPPPoEカプセル化されたIPデータフレームは、フレーム変換手段22において、デカプセル化され転送処理手段23に渡される。このような構成下では、フレーム変換手段22で宛先MACアドレスの変換する処理は不要となる。
【0084】
図24に示す例では、ユーザ側装置3は、PPPoE発呼(PADI)の宛先MACアドレスにブロードキャストアドレス“ff”(実際には、ff:ff:ff:ff:ff:ff)を設定し、PPPoE発呼(PADI)をブロードキャストする。セッション管理手段21は、PADIを受け取ると、応答PPPoEフレーム(PADO)の送信元レイヤ2アドレスとしてL3VPN網10のエッジ装置11のレイヤ2アドレス“L”を設定する。
【0085】
ユーザ側装置3は、PADOを受け取ることで、セッションの相手先がレイヤ2アドレス“L”の装置(エッジ装置11:実際にはユーザ収容装置2)であると認識する。従って、ユーザ側装置3は、その後のセッションネゴシエーションフレームについては、宛先レイヤ2アドレスとして“L”を用いる。そして、IP通信が可能な状態となると、ユーザ側装置3は、宛先レイヤ2アドレスが“L”に設定されたPPPoEカプセル化IPデータフレームをユーザ収容装置2へ送信する。ユーザ収容装置2のフレーム変換手段22は、当該PPPoEフレームに対し、PPPoEのデカプセル化を行うのみで(宛先アドレスの変換を行うことなく)、転送処理手段23に転送する。
【0086】
なお、上述したユーザ収容装置2の構成では、ユーザ側装置3からはPPPoEセッションがL3VPN網10のエッジ装置11との間で確立されているかのように見える。しかし、実際にはユーザ収容装置2がセッション管理を行っており、L3VPN網10のエッジ装置11はセッションに介在しない。
【0087】
また、図23においてL2VPN網1Bとして例示するように、負荷分散等の目的でL3VPN網10のエッジ装置11が複数台存在する場合には、ユーザ収容装置2ではユーザごとに異なるL3VPN網10のエッジ装置11のレイヤ2アドレス(例えばMACアドレス)を与え、各ユーザが当該レイヤ2アドレスを宛先レイヤ2アドレスとして使用するようにしても良い。また、このような接続形態〈B〉においても、フレーム変換手段22でIPデータフレームの宛先レイヤ2アドレスをL3VPN網のエッジ装置11のレイヤ2アドレスに変換する方法(図22に示した構成)を適用することができる。
【0088】
なお、本発明の実施形態では、ユーザセッションはユーザ収容装置2で制御している。このため、L3VPN網10内でのユーザセッションの識別は不要である。L3VPN10としては、MPLS−VPN網(RFC2547bisにより規定)等の適用を考えることができる。
【0089】
〈L2VPN網における転送処理〉
次に、L2VPN網における実際の転送処理(転送処理手段23の詳細)について説明する。本発明において、L2VPN網は、次のような網構成を適用することができる。
[網構成1]L2SW(Ethernet SW)で構成され、IEEE802.1Q VLANでxSP毎に論理分割された網。
[網構成2]MPLS網であって、ユーザ収容装置とxSPとのPOI(相互接続点)に位置するxSP毎の網終端装置をMPLSラベルパスのエッジノード(LER)とする網。
[網構成3]MPLS網であって、ユーザ収容装置とxSPとのPOIに位置する集約型網終端装置(同一の終端装置に複数のxSPが接続されている)をLERとする網。
以下、網構成1〜3について詳細に説明する。
【0090】
[網構成1]
図25は、網構成1において適用されるユーザ収容装置2の構成例を示す図であり、図26は、網構成1、即ち、L2VPN網がL2SW(Ethernet SW)で構成され、VLAN(IEEE802.1Q)でxSPごとに論理分割された網構成を示す。
【0091】
図26では、ユーザにより接続先として選択される複数のxSPとして、xSP−A,xSP−B,xSP−Cが例示され、これらのxSPのそれぞれに対してVLAN−ID“100”,“200”,“300”がそれぞれ割り当てられている。このようにして、L2VPN網1が複数に論理分割されたVLAN網12として構成されている。
【0092】
網構成1では、ユーザ収容装置2の転送処理手段23は、いわゆるVLAN対応のL2SWに備わる機能を司る。但し、転送処理手段23は、通常のVLAN対応のL2SWのようにユーザフレームからVLANを静的(スタティック)に識別するのではなく、ユーザとのセッションネゴシエーションを通じ、認証成功・接続先識別後に、ユーザからのIPoEデータフレームを動的(ダイナミック)に接続先のxSPに対応するVLANにマッピングする。
【0093】
具体的には、図25に示すように、転送処理手段23は、VLANごとに用意され、MACアドレス、出力ポート番号、タグの付与/除去を保持するエントリが登録されるフォワーディングテーブル23aを持つ。
【0094】
フォワーディングテーブル23aは、MACアドレス学習により作成される。即ち、転送処理手段23は、自身に入力されたフレームからその送信元MACアドレスとそのフレームの入力(受信ポート)番号とがフォワーディングテーブル23aに登録されているか否かを判別し、登録されていなければ、当該MACアドレス及びポート番号を登録する。このとき、入力フレームにおけるタグ(VLAN−tag)の有無から、タグの付与/除去を登録することもできる。
【0095】
転送処理手段23は、フォワーディングテーブル23aを用いて次のような転送処理を行う。転送処理手段23には、フレーム変換手段22から、デカプセル化されたIPoEフレームとともに識別したxSPを一意に示すVLAN−ID(「VPN−ID」と同義)が通知される。このVLAN−IDは、別途制御用の内部バスで通知されるか、あるいはIPoEデータフレームに装置内部処理用のタグが付与されて通知される。
【0096】
フレーム変換手段22は、セッション管理手段21からの通知により、セッション毎にユーザ側装置3の送信元MACアドレスとVLAN−IDとの対応関係を把握しており、IPoEデータフレームの送信元MACアドレスに対応するVLAN−IDをこのIPoEデータフレームとともに転送処理手段23に与える。
【0097】
このような構成により、転送処理手段23は、IPoEデータフレームの送信元MACアドレスに対応するVLAN−ID(VLAN)を認識することができる(MACアドレスベースのVLAN)。
【0098】
そして、転送処理手段23は、VLAN−IDに対応するフォワーディングテーブル23aを参照し、IPoEデータフレームの宛先MACアドレスに対応する出力ポートを特定するとともに、当該IPoEデータフレームに対応するVLAN−tagを設定し、対応出力ポートへ向けて送出する。
【0099】
このように、VLAN−IDは、接続先xSPを一意に示すVLAN−tagとしてIPoEフレームに挿入される。VLAN−tagを持つIPoEデータフレームは、MACブリッジングによってL2VPN網(VLAN網12)内を転送される。
【0100】
一方、転送処理手段23は、L2VPN網側から、VLAN−tagが付与された形式のIPoEデータフレームを受信する。この場合、転送処理手段23は、VLAN−tagを除去してフレーム変換手段22に送る。図25に示す例では、接続先xSPを一意に示すVLAN−tagとしてVLAN−ID“100”がIPoEデータフレームに対して挿入または除去されている。
【0101】
[網構成2]
図27は、上記した網構成2が適用される場合におけるユーザ収容装置2の構成例を示す図であり、図28は、網構成2、即ちL2VPN網がMPLS網15で構成され、ユーザ収容装置2とxSPとのPOI(相互接続点)14に位置するxSPごとの網終端装置13をMPLSラベルパスのエッジノード(LER)とする場合の網構成例を示す図である。
【0102】
網構成2では、ユーザ収容装置2の転送処理手段23は、MPLS対応のエッジノード(LER)に相当する。但し、転送処理手段23は、通常のLERのように、ユーザフレームをMPLSラベルパスにスタティックにマッピングするのではなく、ユーザとのセッションネゴシエーションを通じた認証成功・接続先識別後に、接続先のxSPに対応するMPLSラベルパスにダイナミックにマッピングする。
【0103】
具体的には、図27に示すように、転送処理手段23は、VPN(xSP)毎に用意されるMACフォワーディングテーブル23bと、各VPNに対して共通に使用されるMPLSラベルテーブル23cとを持つ。
【0104】
MACフォワーディングテーブル23bは、VPN−IDごとにMACアドレスと出力ポートの対応を保持する。MPLSラベルテーブル23cは、VPN(xSP)ごとに送信MPLSラベル値(「送信ラベル」とも表記)と受信MPLSラベル値(「受信ラベル」とも表記)との対応を保持する。
【0105】
送信MPLSラベル値は、L2VPN網側にフレームを出力する際において接続先に該当するxSPに転送するためのMPLSラベルパス(LSP)を一意に示す値を示し、受信MPLSラベル値は、L2VPN網側からフレームを受信した際において当該フレームの送信元のxSPを一意に示す値を示す。
【0106】
転送処理手段23は、フレーム変換手段22からデカプセル化されたIPoEデータフレームを受信すると、フレーム変換手段22から通知されるVPN−IDから対象のMACフォワーディングテーブル23bを特定し、IPoEデータフレームの宛先MACアドレスを用いて対応出力ポートを検索する。このとき、MPLSのラベル付与が指定されていれば、VPN−IDに対応する送信MPLSラベル値をMPLSラベルテーブル23cから取り出して付与(Push)し、ラベルスイッチ転送する。なお、対応MACフォワーディングテーブル23bに該当するエントリがなければ、転送処理手段23は、網構成1(図25)と同様のMACアドレス学習を行う。
【0107】
L2VPN網(MPLS網15)内では、IPoEデータフレームは、予め設定されたMPLSラベルパスにしたがって通過するノード(LSR:Label Switcing Node)でラベルが置換(Swap)されてラベルスイッチ転送され、xSPごとに用意された網終端装置13(図28には網終端装置13A,13B,13Cを例示)まで転送される。その後、網終端装置13において、IPoEデータフレームからラベルが除去され、対応xSPのエッジ装置9(図28にはエッジ装置9A,9B,9Cを例示)に転送される。
【0108】
図27及び28に示す構成例は、網管理者がNMS(Network Management System)等を通じて、各ユーザ側装置3と全てのxSPごとの網終端装置13との間でMPLSラベルパスを予め設定している場合を想定している。この場合では、接続ユーザの存在しないxSPへのMPLSラベルパスも保持しておく必要がある。
【0109】
上記に鑑み、図29に示すように、ユーザ収容装置2がラベルパスシグナリング手段24をさらに備えるように構成することができる。ラベルパスシグナリング手段24は、ユーザの接続先xSPが識別された後において、ユーザ収容装置2と当該xSPへの網終端装置13との間でMPLSラベルパスが設定されていない場合には、当該ユーザの接続先xSPの識別をトリガとして所望のMPLSラベルパスを設定するためのシグナリングを行う。
【0110】
MPLSでは、ラベルシグナリングプロトコルとして、LDP(RFC3036),CR−LDP(RFC3212),RSVP−TE(RFC3209)等が規定されている。ラベルパスシグナリング手段24には、これらのラベルシグナリングプロトコルのいずれをも適用することができる。但し、MPLSにおけるラベルパスは片方向性(Uni−directional)である。従って、ユーザ収容装置2は、網終端装置13ヘラベルを配布し、且つ網終端装置13からラベルの配布を受ける必要がある。
【0111】
ユーザ収容装置2から網終端装置13へ配布されるラベルは、MPLSラベルテーブル23c(図27)に登録される受信ラベルに相当する。受信ラベルは、ユーザ収容装置2において網終端装置13とユーザ収容装置2間との下り方向(網終端装置13→ユーザ収容装置2)のMPLSラベルパスを識別するためのラベルである。網終端装置13から配布を受けるラベルは、MPLSラベルテーブル23cに登録される送信ラベルに相当する。送信ラベルは、ユーザ収容装置2において上り方向のMPLSラベルパスを識別(上り方向のフレームに付与)するラベルである。
【0112】
図29に示すように、セッション管理手段21は、ユーザの接続先のxSPを識別したときに、当該xSPに対する接続者がいるか否か(当該xSPに対応する網終端装置13との間でラベルパスが設定されているか否か)を判定し、MPLSラベルパスが設定されていないことが分かると、ラベルパスシグナリング手段24に対し、ラベルパスを設定するためのシグナリングを行うことを通知する(図29の▲1▼)。
【0113】
ラベルパスシグナリング手段24は、まず接続先のxSPに対応するVPN−IDに対応する送信ラベルを該当する網終端装置13に配布し(「DU, Downstream Unsolicitedモード」と呼ぶ:図29の▲2▼)、かつ当該網終端装置13にラベル配布を要求して受信ラベルの配布を受ける(「DoD,Downstream on Demand」モードと呼ぶ:図29の▲3▼及び▲4▼)。そして、ラベルパスシグナリング手段24は、送信ラベルと受信ラベルの情報の設定を転送処理手段23へ通知する(図29の▲5▼)。転送処理手段23は、送信ラベルと受信ラベルとの対応をVPN−IDに応じたMPLSラベルテーブル23cに設定する。
【0114】
これにより、転送処理手段23は、セッション管理手段21によるユーザの接続先xSPの識別をトリガとして、ユーザ収容装置2−網終端装置13間にPPPoEセッションに応じた双方向のMPLSラベルパスを設定することができる。
【0115】
なお、網終端装置13がユーザ収容装置2からのDUモードでのラベル配布をトリガとして、同じくDUモードでユーザ収容装置2にラベルを配布するように構成され、ラベルパスシグナリング手段24が、このDUモードにより配布される受信ラベルを受け取るようにしても良い。この場合には、ラベルパスシグナリング手段24は、DoDモードによるラベル要求(図29の▲3▼)を行わなくて済む。
【0116】
また、ラベルパスシグナリング手段24は、或るラベルパスについて接続者がいなくなったことを示す通知をセッション管理手段21から受け取るように構成されており、この通知を受け取った場合には、当該ラベルパスを削除するためのシグナリングを行う。このとき、転送処理手段23に対し、ラベルパスの削除が通知され、転送処理手段23が該当ラベルパスに係るエントリをMPLSラベルテーブル23cから削除するように構成することもできる。
【0117】
以上のような構成を適用すれば、全てのxSPのそれぞれについて、ユーザ収容装置2と各xSPに対応する網終端装置13との間に予めMPLSラベルパスを設定しておく必要がなくなる。即ち、シグナリングに必要なラベルパスのみを保持しておくことができる。
【0118】
[網構成3]
図30は、上記した網構成3に適用されるユーザ収容装置2の構成例を示す図であり、図31は、網構成3、すなわちL2VPN網がMPLS網15であって、ユーザ収容装置2とxSPとのPOI(相互接続点)14に位置する集約型網終端装置16(同一終端装置から複数xSPに接続されている)をLERとする網構成例を示す図である。集約型網終端装置16は、複数のxSPのエッジ装置9に接続される。
【0119】
網構成3では、図31に示すような集約型網終端装置16が用いられる。この場合、MPLSラベル一段では、集約型網終端装置16において、各ユーザからのIPoEデータフレームを、ユーザが選択した接続先情報に基づいて、複数のxSP(エッジ装置9)に振り分ける処理を行うことができない。
【0120】
このため、各ユーザ収容装置2と集約型網終端装置16間でIPoEデータフレームをMPLS網15を介して転送するためのMPLSラベルパス(Tunnel(トンネル)ラベルパス)および接続先xSPを一意に示すMPLSラベルパス(VCラベルパス)をあらかじめ設定する必要がある。
【0121】
各ユーザ収容装置2および集約型網終端装置16は、それぞれVCラベル値からxSPを識別する。このため、同一のユーザ収容装置2から集約型網終端装置16へのトンネルラベルパスは接続先xSPが異なっていても同一のトンネルラベルパスにマージすることができる。即ち、接続先xSPが異なっていても同一のトンネルラベルパスを用いてIPoEデータフレームを転送することができる。
【0122】
その他、MPLS網15内において、網終端装置16のひとつ手前の中継装置(LSR)でラベル(Tunnel)を除去(Pop)して網終端装置16に転送することもできる(「PHP: Penultimate Hop Popping」と呼ぶ)。
【0123】
なお、ユーザ収容装置2とxSPとのPOIに位置するxSP毎の網終端装置をMPLSラベルパスのエッジノード(LER)とする網(上記網構成2)においても、トンネル及びVCラベルパスの二段ラベルパス構成を用いることができる。
【0124】
上述したように、網構成2や3でMPLSラベルを二段で用いる場合も、ユーザの接続先xSP識別をトリガとしてラベルパスシグナリング手段24がトンネル及びVCラベルパスを動的に設定する構成とすることができる。このような構成例を図32に示す。
【0125】
但し、網構成3(集約型網終端装置16が用いられる場合)では、ユーザがどのxSPに接続(アクセス)する場合でも、これらの間を流れるIPoEデータフレームは集約型網終端装置16を経由する。このため、ユーザ収容装置2と集約型網終端装置16との間でトンネルラベルパスが常に設定されているように構成し、VCラベルパスのみが対応するxSPに対する接続者の有無に応じて設定/削除されるように構成しても良い。
【0126】
〈転送処理手段の具体的構成〉
上述したように、本発明に係るL2VPN網の構成としては、VLAN網あるいはMPLS網を適用することができる。この場合、ユーザ収容装置2における転送処理手段23は、認証成功・接続先識別後にIPoEデータフレームを接続先のxSPごとに用意されたVPNに動的にマッピングする点を除けば、通常のVLAN対応のL2SWあるいはMPLS対応のLERに相当する機能を持つ。
【0127】
従って、図33に示すように、1以上のMPLSインタフェースカード31,1以上のイーサネット(Ethernet)インタフェースカード32,切替スイッチ33を含む転送処理手段23を備えたシャーシ型(多彩な機能を実現するインタフェースカードを追加挿入可能な)通信装置30に対し、フレーム判別手段20,セッション管理手段21及びフレーム変換手段22を持つ通信モジュール34を追加することで、ユーザ収容装置2を構成することが可能である。
【0128】
なお、図33に示すような構成を持つユーザ収容装置2が網構成2又は3に適用される場合には、通信モジュール34がラベルパスシグナリング手段24を更に含むように構成されても良く、ラベルパスシグナリング手段24を含む通信モジュールが図33に示す構成に更に追加されるように構成されていても良い。
【0129】
〈L2VPNネットワークの統合〉
また、ユーザ収容装置2では、セッション管理手段21が接続先xSPを識別するとともに、加えて提供サービス形態(最大速度等の品質、或いは一戸建てや集合住宅型シェアドアクセスなど)も同様に識別し、複数のユーザ間において接続先xSPが同じであっても、提供サービス形態(例えばフレーム転送の最大速度)が異なる場合には、相互に異なるVPN−IDを割り当て、IPoEデータフレームがユーザ毎に異なるVPNを介してxSP−ユーザ間を転送されるように構成することができる。
【0130】
この場合、VPN−IDは、提供サービス形態毎に用意される。従って、フレーム変換手段22におけるテーブル(テーブル22a,22b),及び転送処理手段23におけるフォワーディングテーブル(テーブル23a,23b)は、提供サービス形態毎に用意される。
【0131】
図34には、xSP−Aの提供サービス形態として最大速度100Mbpsサービス及びシェアドサービスとが用意されている場合において、これらのサービス毎に用意されたVPNを通ってユーザ−xSPA間をIPoEデータフレームが転送される例が示されている。
【0132】
上記のような接続先及び提供サービス形態毎に異なるVPNが使用される構成となれば、L2VPN網内にBRASを設けることが不要となる。従って、BRASで接続先及びサービスを識別するためにアグリゲートトラフィックを分離する網構成も不要となる。
【0133】
このような状況下では、xSP選択接続サービスと、VPNは固定ではあるが、ユーザごとに保証帯域など提供サービスの異なるユーザ拠点間接続サービスとの混在が可能となる統合L2VPNネットワークを実現することができる。
【0134】
《実施例1》
次に、本発明の実施例1について図35,36を用いて説明する。実施例1は、複数のxSPのエッジ装置9(9A,9B,9C)が、xSP毎に用意されたL2VPN網(xSP毎に用意されたVLAN網で論理分割されている)の終端点(網終端装置13(13A,13B,13C))に直接接続されている場合の網構成が示されている。
【0135】
図35において、ユーザ側装置3は、任意のxSP(例えば、xSP−A)を選択して当該xSPに対する通信を開始する場合には、最初に、PADIをブロードキャストする(S11)。
【0136】
ユーザ収容装置2は、PADIを受信すると、フレーム判別手段20においてフレームの判別処理を行う。フレーム判別手段20は、フレーム判別の結果、PADIをセッションネゴシエーションフレームであると判別し、セッション管理手段21に転送する。
【0137】
セッション管理手段21では、ユーザ側装置3のPADIに対して、PADOを返す(S12)。この時、PADOの送信元MACアドレスには、ユーザ収容装置2のMACアドレスが設定される。
【0138】
ユーザ側装置3はPADOを受信することにより、2地点間(Point−to−Point)でセッションを確立する装置(ユーザ収容装置2)のMACアドレスを知る。ユーザ側装置3は、以降、このMACアドレスが宛先MACアドレスに設定されたPPPoEフレームをユニキャストする。
【0139】
続いて、ユーザ側装置3からPADRがユーザ収容装置2に送信され(S13)、ユーザ収容装置2では、セッション管理手段21がPADR(S13)に基づいてSession−ID(セッションID)を確立し、PADSを応答する(S14)。そして、当該PPPoEセッションに対するデータリンク(LCP)が確立される(S15)。
【0140】
データリンクが確立されると、ユーザ認証のための要求(CHAP Challenge)がユーザ収容装置2からユーザ側装置3へ送信される(S16)。CHAP要求に対し、ユーザ側装置3は、「ユーザ名@xSP名」で接続先xSPが指定されたCHAP応答をユーザ収容装置2に返すことができる(S17)。
【0141】
ユーザ収容装置2では、セッション管理手段21がCHAP応答を受け付けると、RADIUS認証を行うための認証要求(RADIUS Access−Request)を、接続先のxSPの網内に存するRADIUSサーバに対して発呼する(S18)。これにより、当該xSPのRADIUSサーバにより、ユーザのRADIUS認証が行われる。
【0142】
この時、認証要求が一旦L2VPN網1内のプロキシRADIUSサーバに転送され、そこからxSP網内のRADIUSサーバに転送されるようにしてもよい。これにより、ユーザ収容装置2と各xSPのRADIUSサーバとの間における通信を一元化することができ管理運用が容易となる。
【0143】
RADIUSサーバは、ユーザ認証が成功した場合には、認証成功を示す認証応答(RADIUS Access−Accept)をユーザ収容装置2へ返す(S19)。成功を示す認証応答は、ユーザに対して割り当てられるIPアドレスや、当該xSPのエッジ装置のMACアドレス等を含むことができる。このようにしてユーザ側装置3とユーザ収容装置2との間でPPPoEセッションが確立される。
【0144】
ユーザ収容装置2は、認証応答に含まれたIPアドレス値をもとにIPCPを行ってユーザにIPアドレスを割り当てる(S20)。
【0145】
また、ユーザ収容装置2において、セッション管理手段21は、認証成功・接続先識別に伴い、フレーム変換手段22に対し、当該ユーザ側装置3のMACアドレス,PPPoE Session−ID,接続先のxSPのエッジ装置9のMACアドレス,及びL2VPN網1内で接続先のxSPを一意に示すVPN−IDを含む登録通知を与える。フレーム変換手段22は、セッション管理手段21からの通知内容をテーブル22b(図22)に登録する。
【0146】
ユーザ側装置3はIPアドレスの割り当てを受けた後、PPPoEカプセル化したIPデータフレーム(IPoPPPoE)をユーザ収容装置2に送出する(S21)。
【0147】
ユーザ収容装置2において、フレーム判別手段20は、判別の結果、受信フレームがIPデータフレームであると判別し、フレーム変換手段22に転送する。フレーム変換手段22は、受信フレームの送信元MACアドレスのエントリがテーブル22bに存在する場合には、PPPoEデカプセル化を行ってIPoEデータフレームに変換する。さらに、フレーム変換手段22は、IPデータフレームの宛先MACアドレスを当該xSPのエッジ装置9のMACアドレスに変換し、転送処理手段23に対応するVPN−ID(VLAN−ID)情報とともに転送する。
【0148】
なお、フレーム変換手段22は、受信フレームの送信元MACアドレスのエントリがテーブル22bに存在しない場合には、未認証とみなしてフレームを廃棄する。
【0149】
実施例1における転送処理手段23は、VLAN対応のL2SWに相当する。そのため、ユーザの最初のIPデータ通信の場合は、当該VLAN−IDのフォワーディングテーブル(MACブリッジングテーブル)23a(図25)に対応エントリが存在しないのでアドレス学習する。即ち、送信元MACアドレスとユーザ側装置3が接続されているポートの番号をフォワーディングテーブル23aに登録する。
【0150】
転送処理手段23は、受信フレームの宛先MACアドレスからフォワーディングテーブル23a内の出力ポートを検索し、対応するVLAN−tag(VLAN−ID“100”)を付与してL2VPN網(VLAN網)1内に送出する。
【0151】
図36に示す例では、L2VPN網1内はVPNごとに論理分割されている(VLAN−ID“100”,“200”,“300”で3分割)。このため、IPoEデータフレームは、MACブリッジング転送によって接続先xSP(xSP−A)との境界(POI)に位置する網終端装置13Aまで転送される(S22)。そして、網終端装置13においてVLAN−tagを除去してxSP−Aのエッジ装置9Aに転送される(S23)。
【0152】
xSP(xSP−A)からユーザ側装置3に対して送信されるデータ(IPoEデータフレーム)は、S21からS23に示す処理と反対の処理が実行される。まず、xSP−Aのエッジ装置9Aから網終端装置13AまでIPデータ(IPoEデータフレーム)が転送される(S24)。網終端装置13Aは、IPデータにVLAN−tag(VLAN−ID“100”)を付与して送出する。当該IPデータは、L2VPN網1内をMACブリッジング転送される(S25)。
【0153】
ユーザ収容装置2では、MACブリッジング転送されたIPデータを受け取る。ユーザ収容装置2の転送処理手段23は、IPデータのVLAN−tagを除去して、フレーム変換手段22へ転送する。フレーム変換手段22は、IPデータの送信元MACアドレスを自装置のMACアドレスに変換し、PPPoEカプセル化してユーザ側装置3に送出する(S26)。
【0154】
実施例1によれば、ユーザと選択接続先のxSPとの間を中継するL2VPN網1のエッジにおいて1以上のユーザを収容するユーザ収容装置2が設置され、ユーザ収容装置2がユーザが選択したxSPへアクセスするためのPPPセッションをセッションコントロールを、標準化ベースの通信プロトコル(PPPoE)を用いて行う。このため、多数のユーザに対するセッションコントロールが複数のユーザ収容装置2に分散される。従って、BRASを用いた場合のようなボトルネックの発生を回避することができる。
【0155】
なお、実施例1では、VLAN−IDがxSPを一意に示す場合について説明した。これに代えて、或るxSPがサービスを最大速度10Mbpsと100Mbpsとの二種類で提供可能な場合(提供サービス形態が複数の場合)や、ユーザが集合住宅に存する場合等のシェアド型などのサービスに応じて、同一のxSPに対する接続であっても異なるVLAN−IDが割り当てられ、L2VPN網内でVLANに応じた帯域制御が行われるようにすることも可能である。
【0156】
《実施例2》
次に、本発明の実施例2を図37及び38を用いて説明する。 実施例2は、ユーザ−xSP間のトラフィックがL2VPN網(xSP毎のMPLSラベルパスが用意されるEoMPLS網で構成されている)、さらにL3VPN網10(例えば、IP−VPN網)を経由する場合の接続形態例を示す。
【0157】
図37及び38に示す例では、L2VPN網がEoMPLS網であって、ユーザ収容装置2および接続先ネットワークとのPOI(相互接続点)に位置する集約型網終端装置がMPLSラベルパスのエッジノード(L3VPN網のエッジ装置)11として構成され、さらに、各xSP(xSP−A,xSP−B,xSP−3)のエッジ装置9A,9B,9CがL3VPN網10に接続されている。
【0158】
この場合、各ユーザ収容装置2によるレイヤ2転送の宛先に該当する装置がエッジ装置11となる。従って、各ユーザがxSPを選択接続する場合でも、各ユーザからのIPoEデータフレームのL2VPN網1における宛先は固定となる。このため、ユーザ収容装置2において、IPデータの宛先MACアドレスの変換は不要となる。
【0159】
ユーザ収容装置2のセッション管理手段21は、ユーザ側装置3からのPPPoE発呼(PADI)に対し、応答PPPoEフレーム(PADO)の送信元レイヤ2アドレス(送信元MACアドレス)としてエッジ装置11のレイヤ2アドレス(MACアドレス)を設定する(S31,S32)。
【0160】
その後、実施例1におけるS13〜S19と同様の手順が行われ、PPPセッションが確立され、ユーザと選択接続先のxSPとの間でIP通信が可能な状態となる(S33〜S39)。なお、PADR以降のユーザからのセッションネゴシエーションフレームの宛先アドレスは、エッジ装置11のMACアドレスであるが、ユーザ収容装置2のフレーム判別手段20は、当該セッションネゴシエーションフレームをセッション管理手段21に与える。
【0161】
認証・接続先識別後(PPPセッション確立後)にユーザ側装置3からPPPoEカプセル化されたIPデータフレームが送出されると、フレーム変換手段22は、PPPoEデカプセル化を行い、得られたIPoEデータフレームを対応VPN−IDとともに転送処理手段23に送る(S41)。この時、IPデータの宛先MACアドレスの変換は行われない。
【0162】
転送処理手段23では、フォワーディングテーブル及びMPLSラベルテーブルを参照し、当該VPN−IDに対応したMPLSラベル(VCラベルおよびTunnelラベル)をIPoEデータフレームに付与してL2VPN網1内に転送する。L2VPN網1内では、Tunnelラベルのみを参照してラベルスイッチが行われる(S42〜S44,S47〜S49)。
【0163】
L3VPN網10のエッジ装置11は、IPデータを受け取ると、MPLSを終端し、L3VPNカプセル化して接続先のxSPのエッジルータ9に転送する(S45)。
【0164】
接続先のxSPからユーザ側装置3に対して送信されるIPデータは、S40からS45に示す処理と反対の処理により転送される。従って、網内を転送されてきたIPデータは、ユーザ収容装置2においてPPPoEカプセル化されてユーザ側装置3に送出される(S50)。この時、S41と同様に、IPデータの宛先MACアドレスの変換は不要である。
【0165】
なお、ユーザ収容装置2にラベルのシグナリングを行うラベルパスシグナリング手段24が設けられていれば、ユーザの接続先xSPの識別をトリガとしてダイナミックにラベルパスを設定することができる。網内では、MPLS(Tunnel)ラベルパスに沿ってIPデータがラベルスイッチング転送され、L3VPN網10のエッジ装置11に渡される。
【0166】
そして、L3VPN網10でもまたVPNごとの転送処理がなされてxSPに転送される。なお、ユーザセッションはユーザ収容装置2で制御しているため、L3VPN網10内でユーザセッションの識別は不要である。
【0167】
〈その他〉
本発明は、以下のように特定することができる。
(付記1) PPPoEを用いてユーザが複数の接続先から任意の接続先選択を行う通信システムにおいて、ユーザにより選択された接続先宛のデータを中継するレイヤ2網のエッジに配置され、1以上のユーザ側装置を収容する通信装置であって、
ユーザ側装置から受信するPPPoEフレームがPPPセッション確立用のフレームか前記接続先宛のデータを含むフレームかを判別するフレーム判別手段と、
前記フレーム判別手段で判別されたセッション確立用のフレームに基づいて、ユーザ認証及び接続先識別を含むユーザ側装置とユーザにより選択された接続先との間の通信に係るPPPセッションを確立するための処理を行うセッション管理手段と、
前記フレーム判別手段で判別された前記接続先宛のデータを含むPPPoEフレームから当該データを抽出するフレーム変換手段と、
前記フレーム変換手段で抽出されたデータを前記レイヤ2網へ送出する転送処理手段と
を含む通信装置。(1)
(付記2) 前記各接続先の網のエッジ装置が接続先毎に用意された前記レイヤ2網の網終端装置にそれぞれ接続されており、
前記フレーム変換手段は、前記接続先宛のデータに宛先レイヤ2アドレスとして設定されている自装置のレイヤ2アドレスを当該接続先のエッジ装置のレイヤ2アドレスに変換して前記転送処理手段に渡す
付記1記載の通信装置。(2)
(付記3) 前記レイヤ2網が前記各接続先の網を収容するレイヤ3網にエッジ装置を介して接続され、このエッジ装置が前記レイヤ2網を通じて受信する前記接続先宛のデータに対して前記レイヤ2網の終端処理を行うとともに前記レイヤ3網を介して該当する接続先の網へ転送する処理を行うように構成されており、前記セッション管理手段は、ユーザ側装置との間におけるPPPセッションの確立において、ユーザ側装置に転送されるセッション確立用フレームの送信元レイヤ2アドレスとして前記エッジ装置のレイヤ2アドレスを設定し、
前記フレーム変換手段は、PPPセッションの確立後にユーザ側装置から受信する接続先宛のデータに宛先レイヤ2アドレスとして設定されている前記エッジ装置のレイヤ2アドレスを変更することなく当該データを前記転送処理手段に渡す
付記1記載の通信装置。(3)
(付記4) 前記レイヤ2網が前記各接続先の網を収容するレイヤ3網に複数のエッジ装置を介して接続され、各エッジ装置が前記レイヤ2網を通じて受信する前記接続先宛のデータに対して前記レイヤ2網の終端処理を行うとともに前記レイヤ3網を介して該当する接続先の網へ転送する処理を行うように構成されており、
前記セッション管理手段は、ユーザ側装置との間におけるPPPセッションの確立において、ユーザ側装置に転送されるセッション確立用フレームの送信元レイヤ2アドレスとして、接続先に応じたエッジ装置のレイヤ2アドレスを設定し、
前記フレーム変換手段は、PPPセッションの確立後にユーザ側装置から受信する接続先宛のデータに宛先レイヤ2アドレスとして設定されている前記エッジ装置のレイヤ2アドレスを変更することなく当該データを前記転送処理手段に渡す
付記1記載の通信装置。(4)
(付記5) 前記レイヤ2網は、IEEE802.1Q VLANに従って接続先毎に論理分割されており、
前記転送処理手段は、前記接続先宛のデータに対し、当該データの接続先に対応するVLAN−tagを設定して前記レイヤ2網に送出する
付記1〜4のいずれかに記載の通信装置。(5)
(付記6) 前記レイヤ2網は、各接続先の網と前記通信装置との相互接続点にそれぞれ位置する接続先毎の網終端装置と前記通信装置との間に前記接続先毎に用意されるMPLSラベルパスが設定されるMPLS網として構成され、
前記転送処理手段は、前記接続先宛のデータに対し、このデータの接続先に対応するMPLSラベルを設定して前記MPLS網に送出する
付記1〜4のいずれかに記載の通信装置。
(付記7) 前記接続先宛のデータを転送するためのMPLSラベルパスが設定されていない場合に、当該MPLSラベルパスを設定するためのシグナリングを行うラベルパスシグナリング手段をさらに含む
付記6記載の通信装置。
(付記8) 前記レイヤ2網は、各接続先の網と前記通信装置との相互接続点に位置する集約型網終端装置と前記通信装置との間に前記接続先宛のデータの転送用の第1のMPLSラベルパスと、このデータの接続先の識別用の第2のMPLSラベルパスとが設定されるMPLS網として構成され、
前記転送処理手段は、前記接続先宛のデータに対し、当該データを第1のMPLSラベルパスを通じて転送するための第1のMPLSラベルと、当該データの接続先を識別するための第2のMPLSラベルとを設定して前記MPLS網に送出する
付記1〜4のいずれかに記載の通信装置。
(付記9) 前記接続先宛のデータに対し、対応する第1のMPLSラベルパスと第2のMPLSラベルパスとの少なくとも一方が設定されていない場合には、設定されていないMPLSラベルパスを設定するためのシグナリングを行うラベルパスシグナリング手段をさらに含む
付記8記載の通信装置。
(付記10) 前記転送処理手段として機能する、スイッチ,イーサネットインタフェース,MPLSインタフェースを備えるシャーシ型の通信装置に対し、前記フレーム判別手段,前記セッション管理手段,及び前記フレーム変換手段を含む通信モジュールが付加されてなる
付記6〜9のいずれかに記載の通信装置。
(付記11) 前記転送処理手段が、接続先毎に且つ接続先からユーザに対するサービスの提供形態毎に用意されるレイヤ2の仮想閉域網を介して前記接続先のデータが前記レイヤ2網を転送されるように、当該データの接続先及びサービスの提供形態に対応するレイヤ2の仮想閉域網に当該データをマッピングして送出する付記1〜10のいずれかに記載の通信装置。
【0168】
【発明の効果】
本発明によれば、セッションコントロール処理が集中することにより生じるボトルネックを回避することができる通信装置を提供することが可能となる。
【図面の簡単な説明】
【図1】イーサフレームフォーマットを示す図である。
【図2】イーサタイプを示す図である。
【図3】PPPoEを使用したBRASを介したユーザ側装置とxSP間の接続イメージの一例を示す図である。
【図4】PPPoEによるBRASを介したユーザ側装置とxSPとの間の接続における通信方式のシーケンス例を示す図である。
【図5】PPPoEフレームフォーマットの一例を示す図である。
【図6】PPPoEフレームフォーマットの一例を示す図である。
【図7】PPPoEを使用したBRASを介したユーザ側装置とxSP間の接続イメージの一例を示す図である。
【図8】BRASの内部を示す図である。
【図9】PPP状態遷移テーブルを示す図である。
【図10】L2SWをベースとした広域LANサービス例を示す図である。
【図11】EoMPLSサービス例を示す図である。
【図12】BRASを用いたxSP選択接続サービスの問題点を説明する図である。
【図13】IEEE802.1Xのフレームフォーマットを示す図である。
【図14】IEEE802.1Xによるシーケンス例を示す図である。
【図15】IEEE802.1Xによる接続イメージを示す図である。
【図16】本発明の実施形態に係る通信装置及びこの通信装置を含むL2VPNネットワークシステムの概要を示す図である。
【図17】ユーザ収容装置のシステム構成を示す図である。
【図18】フレーム判別手段の説明図である。
【図19】セッション管理手段の説明図である。
【図20】フレーム変換手段の説明図である。
【図21】L2VPN網の終端点でxSPに直接接続される場合の接続形態例を示す図である。
【図22】図21に示す接続形態において適用されるユーザ収容装置の構成例を示す図である。
【図23】L2VPN網、さらにL3VPN網を経由する場合の接続形態例を示す図である。
【図24】図23に示す接続形態において適用されるユーザ収容装置の構成例を示す図である。
【図25】xSPごとに論理分割された網構成において適用されるユーザ収容装置の構成例を示す図である。
【図26】VLAN(IEEE802.1Q)でxSPごとに論理分割された網構成を示す。
【図27】図28に示す網構成が適用される場合におけるユーザ収容装置の構成例を示す図である。
【図28】L2VPN網がMPLS網15で構成され、xSPごとの網終端装置をMPLSラベルパスのエッジノード(LER)とする場合の網構成例を示す図である。
【図29】ラベルパスシグナリング手段をさらに備えたユーザ収容装置の構成例を示す図である。
【図30】図31に示す網構成に適用されるユーザ収容装置の構成例を示す図である。
【図31】L2VPN網がMPLS網であって集約型網終端装置をLERとする網構成例を示す図である。
【図32】MPLSラベルを二段で用いる場合のユーザ収容装置の構成例を示す図である。
【図33】本発明におけるユーザ収容装置の構成例を示す図である。
【図34】本発明における統合L2VPNネットワークの構成例を示す図である。
【図35】本発明の実施例1を説明する図である。
【図36】本発明の実施例1を説明する図である。
【図37】本発明の実施例2を説明する図である。
【図38】本発明の実施例2を説明する図である。
【符号の説明】
1 L2VPN網
2 ユーザ収容装置
3 ユーザ側装置(ユーザ端末)
9 エッジ装置(エッジルータ)
11 L3VPN網エッジ装置
12 VLAN網
13 網終端装置
15 MPLS網
16 集約型網終端装置
20 フレーム判別手段
21 セッション管理手段
22 フレーム変換手段
22a,b テーブル(フレーム変換手段)
23 転送処理手段
23a,b フォワーディングテーブル
23c MPLSラベルテーブル
24 ラベルパスシグナリング手段
30 シャーシ型MPLS対応通信装置
31,32 インタフェース
33 切替スイッチ
34 通信モジュール[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a communication device accommodating one or more user devices, and an L2VPN (Layer 2 Virtual Private Network) network in which the communication device is arranged at an edge portion. For example, according to the present invention, in an access metro network to an xSP (Internet service provider (ISP), content service provider (CSP)) or an enterprise network, the communication apparatus performs session control including authentication and identification of a connection destination. The present invention relates to a technology that enables seamless integration of a connection network and a connection network between user sites.
[0002]
[Prior art]
In recent years, broadband use of the Internet has been in full swing. ADSL (Asymmetric Digital Subscriber Line) and the like can provide access at several tens of times faster than a dial-up connection using a conventional telephone network.
[0003]
In the future, it is expected that optical fibers will be laid to each home, and a number of xSPs (ISPs, CSPs, etc.) providing high-quality video distribution services, music download services, and the like will appear accordingly.
[0004]
Further, by connecting the corporate network to a broadband access metro network, large-capacity and high-speed data can be exchanged between the home and the enterprise, and telecommuting can be performed.
[0005]
Therefore, it is expected that there will be an increasing need to be able to access in the tens of megabit class at a higher speed and to switch the connection destination according to the application in the future. The two key technologies that meet these needs are:
[0006]
(1) Ethernet (Ethernet (registered trademark): network conforming to IEEE 802.3)
Ethernet (a frame format is shown in FIG. 1) is a technology widely used in a conventional LAN (Local Area Networks), and covers a wide band from 10 Mbps to 10 Gbps (standardization completed as IEEE802.3ae in June 2002). Can be provided. FIG. 2 shows main Ethernet services (Ether types) according to the present invention for each packet type.
[0007]
In addition, the Ethernet is widely used as an interface of the user side device while the device cost is low. Therefore, the use of Ethernet makes it possible to economically provide a broadband access service.
[0008]
The IEEE 802.3 committee is currently working on the specification of the IEEE 802.3ah EFM (Ethernet in the First Mile), which aims to apply Ethernet technology to the last mile of the access network.
[0009]
(2) PPP (Point-to-Point Protocol)
PPP (RFC1661 regulation) is a system for realizing user authentication, allocation of layer 3 addresses, and encapsulation transfer of layer 3 packets. In PPP, first, LCP (Link Control Protocol) negotiation for establishing a data link is performed. Subsequently, user authentication (including PAP authentication and CHAP authentication) using the user ID and password transmitted from the user is performed. Finally, in an NCP (Network Control Protocol, IPCP in the case of IP) that negotiates a Layer 3 address, an IP address is assigned to a user from an address pool, and an IP address of a remote access server (RAS: Remote Access Server) is assigned. The user is notified. Through such a procedure, actual IP data communication becomes possible.
[0010]
In recent years, a service in which a user arbitrarily selects a connection destination by specifying a user name and an xSP name (designating “user name @ xSP name”) in user authentication (referred to as “connection destination selection service”) Has been done. In this connection destination selection service, a device called BRAS (Broadband Remote Access Server) distributes user packets for each connection destination at a connection point between a user and xSP. Thereby, the connection destination of the user is arbitrarily selected.
[0011]
There is a PPPoE (PPP over Ethernet, RFC2516 regulation) as a system that combines the above two technologies. PPPoE is widely used in ADSL connection and FTTH connection. PPPoE is a method of literally transferring a PPP packet on Ethernet, and can realize switching connection to an arbitrary connection destination on Ethernet. FIG. 3 is a diagram illustrating a connection image between the user-side device and the xSP via BRAS using PPPoE.
[0012]
FIG. 4 is a diagram illustrating a sequence example of a communication method in a connection between the user-side device and the xSP via BRAS using PPPoE. PPPoE can be broadly divided into a PPPoE Discovery Stage and a PPP Session Stage.
[0013]
In the PPP Discovery Stage, a partner who establishes a two-point (Point-to-Point) session on a certain Ethernet is specified using a broadcast communication method. In this stage, the user-side device broadcasts a PPPoE call-originated PADI (PPPoE Active Discovery Initiation, whose frame format is shown in FIG. 5). In this case, the BRAS responds to the PADI and returns a PADO (PPoE Active Discovery Offer) to the user device by unicast (using the source MAC address of the frame received by the PADI as the destination MAC address). The user-side device can recognize the MAC address of BRAS from the source MAC address of PADO. As a result, in the subsequent communication with the BRAS, the user-side device sets the MAC address of the BRAS as the destination MAC address, and sends out a PADR (PPPoE Active Discovery Request) by unicast. Upon receiving the PADR, the BRAS sets a unique ID (Session-ID: hereinafter also referred to as “session ID”) for each session between the user-side device and the BRAS, and sets a PADS (PPPoE Active Discovery Session-Conformation). Return to user side device.
[0014]
In PPP Session Stage, unicast communication is performed between the user device and the BRAS. In the unicast communication at this time, transmission and reception of data in which the established session ID value is set are performed. In this stage, the BRAS identifies the user session from the source MAC address and the session ID added to the data from the user-side device, and performs the above-described PPP negotiation (LCP negotiation, user authentication, NCP negotiation).
[0015]
At this time, in the user authentication, the BRAS extracts the connection destination of the user from the “user name @ xSP name” specified by the user, and transmits the authentication information to the corresponding connection destination RADIUS server as a RADIUS (RFC2865) client (RADIUS Access-Request). The actual authentication at this time is performed by xSP having an authentication database. Thereafter, the BRAS can perform negotiation of IP address assignment (IPCP) based on a packet (RADIUS Access-Accept) from the RADIUS server indicating successful authentication.
[0016]
After the IPCP is completed, the user device can perform IP data communication with the connection destination. Then, the IP packet (PPoE packet) encapsulated in PPPoE is transmitted from the user side device to the BRAS (FIG. 6 shows the frame format of the PPPoE packet). In this case, the BRAS terminates the PPP and transfers the IP packet to the corresponding connection destination.
[0017]
When transferring data to the connection destination network, L2TP (Layer Two Tunneling Protocol: RFC2661 regulation) or the like is used, and the data may be transferred as a PPP frame in an L3VPN (layer three virtual private network) network. Hereinafter, in the present invention, processing including user authentication / identification of a connection destination, a service to be provided, and packet transfer to the connection destination is referred to as “session control”.
[0018]
In addition, as a technique according to the present invention, there is a technique relating to an inter-network communication method and an apparatus thereof disclosed in Patent Document 1.
[0019]
[Patent Document 1]
JP 2001-16255 A
[0020]
[Problems to be solved by the invention]
As described above, PPPoE can realize a switching connection on Ethernet. However, conventional centralized processing using BRAS has the following problems.
[0021]
(1) BRAS bottleneck
As shown in FIG. 7, the user-side device is connected via BRAS regardless of the connection to any xSP (xSP network). For this reason, session control processing is concentrated on BRAS (in some cases, hundreds of thousands to millions of sessions).
[0022]
Here, PPP negotiation involves complicated state transitions such as mutually requesting a condition (Configure-Request) and mutually acknowledging (Configure-Ack) each other. Moreover, the negotiation conditions are different for each user. For this reason, negotiation by PPP is based on software processing.
[0023]
The packet transfer is performed as a part of the session control in the BRAS. (As shown in FIG. 8, inside the BRAS, the propriety of the packet transfer is determined based on the state transition (FIG. 9) held by software. ). For this reason, it is difficult to separate hardware processing / software processing.
[0024]
Further, the BRAS must perform layer 3 processing (such as IP routing) in order to transfer packets to xSP. Therefore, BRAS needs to support an IP address scheme and dynamic routing for each xSP (referred to as "virtual router function").
[0025]
For the above reasons, although the progress of the network processor and the like is remarkable, there is a limit to the speeding up of the processing by the BRAS.
[0026]
(2) It is difficult to seamlessly integrate the xSP connection network and the connection network between user sites
In recent years, a user-to-user connection service called a wide-area LAN service, which allows a user (mainly a company) to connect between remote sites via an Ethernet interface as if the same LAN segment has been drawing attention.
[0027]
As shown in FIG. 10, in the connection service between user sites, a VPN (Virtual Private Network) from a port for connecting (accommodating) a user with an apparatus for accommodating a user or an IEEE 802.1Q VLAN (Virtual LAN) -tag of a user frame. Identify. In this case, a network is configured with L2SW (Ethernet SW), an extended VLAN-tag for VPN identification is given to the user (inserted into the user Ethernet frame), and the network is logically separated into broadcast domains for each VPN. User frames are transferred by MAC bridge transfer.
[0028]
Recently, an EoMPLS (Ethernet over MPLS) service that configures a network with MPLS (Multi Protocol Label Switching) and transfers Ethernet frames in the MPLS network is also provided. As shown in FIG. 11, in EoMPLS, a VPN is identified from a port accommodated by a user and a VLAN-tag of a user frame, and a Tunnel label path for transferring in the MPLS network and an edge device (LER) at the entrance and exit of the MPLS network. : A user frame is mapped to a virtual circuit (VC) label path for identifying a VPN by a Label Edge Router (user Ethernet frame is encapsulated with a tunnel label and a VC label), and the user frame is transferred by label switching.
[0029]
Generally, MPLS is a point-to-point service. However, by providing the LER with a MAC bridging function, it is possible to provide a point-to-multipoint Ethernet frame transfer service ("VPLS: Virtual Private LAN Service"). Called).
[0030]
As described above, in the service between user bases, the VPN can be uniquely identified by the user accommodation device, and further, a two-stage stack of extended VLAN (in the case of the L2SW network), further stacking of MPLS labels, and merging of label paths are performed in the network. (In the case of an MPLS network), it is also possible to multiplex traffic. Therefore, an economical and efficient network can be constructed.
[0031]
However, when BRAS is used for the xSP connection service, it is not possible to determine the connection destination xSP of the user in the access network until the frame reaches BRAS. Therefore, as shown in FIG. 12, for example, when a network is configured by L2SW, even if traffic is multiplexed by an extended VLAN or the like, the service provided by the BRAS to identify and provide the connection destination (maximum speed, single-family or multi-family type) It is necessary to separate aggregate traffic and pass it to BRAS in order to identify connection forms such as shared access. Similarly, in the case of the MPLS network, the existence of the BRAS between the user-side device and the xSP hinders the integration of the connection network between user bases and the xSP connection network.
[0032]
As a method of implementing access control on Ethernet, there is IEEE 802.1X (Port based Network Access Control). IEEE 802.1X is also called EAPOL (EAP over LANs, the frame format of which is shown in FIG. 13), and directly uses an EAP (Extended Authentication Protocol) packet format, which is an extended authentication method of the PPP, to exchange directly over an Ethernet frame. Similarly to PPP, a connection destination segment is extracted from "user name @ organization name", and when authentication is successful, access to the segment (VLAN) is permitted (FIG. 14 shows a sequence example according to IEEE 802.1X, FIG. 15 shows a connection image based on IEEE 802.1X).
[0033]
However, IEEE 802.1X permits access on an edge L2SW port basis, and can authenticate only one user per port. That is, it cannot be applied in an environment where a plurality of users are connected to the port of the edge L2SW, such as an environment where a line is collected in an apartment house or the like. In addition, IEEE 802.1X is mainly used for security of Ethernet and wireless LAN (for example, anyone can easily access by connecting a cable to a port, and spoofing becomes possible by intercepting wireless LAN packets). For example, since there is no IP address allocation and management mechanism, and the connection destination segment after authentication has free access like an ordinary LAN, it is used as an xSP selective connection from the viewpoint of security and the like. Difficult to apply.
[0034]
An object of the present invention is to solve the above-described problems and to provide a communication device that can avoid a bottleneck caused by concentration of session control processing.
[0035]
[Means for Solving the Problems]
In order to solve the above problem, the present invention has the following configuration. That is, in the communication system in which a user selects an arbitrary destination from a plurality of destinations using PPPoE, the present invention is arranged at an edge of a layer 2 network that relays data addressed to the destination selected by the user, A communication device accommodating one or more user-side devices, wherein the frame determination means determines whether a PPPoE frame received from the user-side device is a frame for establishing a PPP session or a frame including data addressed to the connection destination; Processing for establishing a PPP session related to communication between a user-side device and a connection destination selected by a user, including user authentication and connection destination identification, based on the session establishment frame determined by the frame determination unit A PPPoE file including data addressed to the connection destination determined by the frame determination unit. Comprising a frame conversion unit for extracting the data from the over arm, and a transferring unit for sending the data extracted by the frame converting unit to the layer 2 network.
[0036]
Preferably, in the communication device according to the present invention, the edge device of each of the connection destination networks is connected to a network terminating device of the layer 2 network prepared for each connection destination, and the frame conversion unit includes A configuration may be adopted in which the layer 2 address of the own device set as the destination layer 2 address in the destination data is converted into the layer 2 address of the edge device of the connection destination and passed to the transfer processing means.
[0037]
Preferably, in the communication device according to the present invention, the layer 2 network is connected to a layer 3 network accommodating the networks of the respective connection destinations via an edge device, and the connection destination received by the edge device via the layer 2 network. The layer management unit is configured to perform a termination process of the layer 2 network for data addressed to the network and to perform a process of transferring the data to a corresponding connection destination network via the layer 3 network. In establishing a PPP session with the device, the layer conversion unit sets the layer 2 address of the edge device as a source layer 2 address of the session establishment frame transferred to the user device, and the frame conversion unit establishes the PPP session. The edge device which is set as the destination layer 2 address in the data addressed to the connection destination received from the user side device later. The data may be configured to pass the said transfer processing means without changing the Layer 2 address.
[0038]
Preferably, in the communication apparatus according to the present invention, the layer 2 network is connected to a layer 3 network accommodating the networks of the respective connection destinations via a plurality of edge devices, and each edge device receives through the layer 2 network. The layer management unit is configured to perform a process of terminating the layer 2 network for data addressed to the connection destination and a process of transferring the data to the corresponding connection destination network via the layer 3 network. In establishing a PPP session with the user-side device, a layer 2 address of an edge device corresponding to a connection destination is set as a source layer 2 address of a session establishment frame transferred to the user-side device, and the frame conversion is performed. The means is set as a destination layer 2 address in data addressed to the connection destination received from the user side device after the establishment of the PPP session. The data may be configured to pass the said transfer processing means without changing the Layer 2 address of the serial edge device.
[0039]
Preferably, the layer 2 network in the present invention is logically divided for each connection destination according to IEEE 802.1Q VLAN, and the transfer processing means in the present invention converts the data addressed to the connection destination into a VLAN corresponding to the connection destination of the data. -Tag may be set and transmitted to the layer 2 network.
[0040]
Thus, according to the present invention, in a communication apparatus accommodating a user-side apparatus, by performing session management including user authentication and connection destination identification, a bottleneck caused by concentration of session control processing is avoided. be able to.
[0041]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. The description of the present embodiment is an exemplification, and the configuration of the present invention is not limited to the following description.
[0042]
<Overview>
The points for realizing the present invention are the following (1) to (4).
(1) Distributed processing of session control conventionally performed by BRAS.
(2) In addition to the above (1), an IP data frame (IPoPPoE) is transmitted / received using a standardized PPPoE (communication protocol) (however, after session identification, PPPoE is decapsulated).
[0043]
Regarding the above (1) and (2), a method of distributing the function of the BRAS as it is to the user accommodation device can be considered. However, as described above, in BRAS processing, packet transfer is performed by software processing. Therefore, the problem of speeding up the processing cannot be solved. Further, since the BRAS also performs processing for layer 3, the IP address system and dynamic routing for each xSP are distributed. Therefore, these management operations may be complicated. Therefore, the following (3) and (4) are also important.
(3) Clarify the distinction between hardware processing and software processing. That is, hardware processing is performed on the IP data frame.
(4) Perform layer 2 processing of the IP data frame.
An embodiment of the present invention will be described based on the above points (1) to (4).
[0044]
<< Embodiment >>
FIG. 16 is a diagram showing an outline of a communication device (user accommodating device) according to the embodiment of the present invention and an L2VPN network system including the communication device. FIG. 16 shows the L2VPN network 1. The user accommodation device 2 according to the present invention is arranged at the edge of the L2VPN network. The user accommodation device 2 can directly accommodate the user-side device 3 at a user base such as a detached house or an apartment house (for example, in a broadcast domain in Layer 2).
[0045]
The user accommodation device 2 controls each user-side device 3 to access a service provider (xSP (ISP, CSP, etc.)) selected by the user-side device 3 (control of a user-selected connection destination selection service). Do. FIG. 16 illustrates an xSP network prepared by each of xSP-A and xSP-B and an edge device (edge router) installed at the entrance thereof as an example of a plurality of xSPs that can be selected by the user. ing.
[0046]
Communication is performed between each user-side device 3 and each xSP via a session using PPPoE. For this reason, the user accommodation device 2 performs PPPoE session control relating to communication between each user-side device 3 and xSP.
[0047]
After the session control, the user accommodation device 2 receives a PPPoE frame in which the IP data frame addressed to the xSP is encapsulated in PPPoE from the user side device 3. The user accommodation apparatus 2 decapsulates the PPPoE frame, converts it into an IPoE data frame, and maps (encapsulates) the IPoE data frame into a format (an existing standard format of L2VPN) according to the network configuration of the L2VPN network 1. , To the L2VPN network 1.
[0048]
Then, the IPoE data frame is layer-transferred to a predetermined terminal point in the L2VPN network 1 according to a transfer procedure depending on the network configuration of the L2VPN network 1, where the terminal point of the L2VPN network 1 is subjected to termination processing. The data frame is transferred to the xSP.
[0049]
Further, the user accommodation device 2 can be applied to an integrated L2VPN network in which an arbitrary connection destination selection connection service of a user and an L2VPN network realizing a connection service between user sites are integrated. That is, the connection service between user sites connecting between companies (the branch 6 of the company C and the head office 7 of the company C) as shown in FIG. 16 can be applied to the connection destination selection connection service between the user and the xSP.
[0050]
The user-side device 3 is, for example, an operation terminal for a user such as a personal computer (PC) to receive a service from xSP (also referred to as a “user terminal”: an application for displaying and reproducing content may be installed). And a communication device (such as an ADSL modem) that manages a communication function between the user and the xSP (at least supports PPPoE communication). However, in this example, since the communication between the user terminal and the xSP is performed on an IP basis, the user-side device 3 supports IPoPPPoE.
[0051]
<System configuration of user accommodation device>
Next, a system configuration of the user accommodation device 2 will be described with reference to FIGS. FIG. 17 is a diagram illustrating a system configuration of the user accommodation device 2. FIG. 18 is an explanatory diagram of the frame determination means. FIG. 19 is an explanatory diagram of the session management means. FIG. 20 is an explanatory diagram of the frame conversion means.
[0052]
In FIG. 17, the user accommodation device 2 is configured as a communication device capable of accommodating (directly receiving) the user device 3. The user accommodation device 2 analyzes a frame when a PPPoE frame is input, and determines a frame type (a session negotiation frame or an IP data frame) by using a frame determination unit 20 and a session including authentication and connection destination identification based on a PPP state transition. A session management unit 21 for performing negotiation, a frame conversion unit 22 for decapsulating a PPPoE-encapsulated IP data frame transmitted from the user side device after successful authentication / connection destination identification, and a decapsulating IP data frame. And a transfer processing unit for performing layer 2 transfer by mapping to a virtual closed network (L2VPN network) for each connection destination. Also, in FIG. 17, the solid arrows indicate the flow of frames from the user terminal 3, and the broken arrows indicate the flow of information based on the session negotiation.
[0053]
Among the components of the user accommodation device 2, the session management means 21 is configured by software, and performs a session negotiation process based on a state transition table (also referred to as “PPP state transition table”) similar to the conventional one as shown in FIG. Performed by software processing. On the other hand, the frame determination unit 20, the frame conversion unit 22, and the transfer processing unit 23 are configured by hardware. Hereinafter, each component will be described in detail.
[0054]
<< Frame determination means >>
The frame determination unit 20 receives a PPPoE frame from the user device 3. The frame determining means 20 analyzes the input PPPoE frame and determines the frame type. By determining the frame type, it is determined whether the frame is a session negotiation frame (also referred to as a “negotiation packet”) or an IP data frame.
[0055]
If the frame is a session negotiation frame, the frame discriminating unit 20 passes the frame to the session managing unit 21, and if the frame is an IP data frame, passes the frame to the frame converting unit.
[0056]
In the example illustrated in FIG. 18, the frame determination unit 20 determines that “ETHER # TYPE” of the PPPoE frame received from the user side is “0x8864 (PPPoE (Session))” and “CODE” is “0x00” When the value of “PPP # PROTOCOL” is “0x0021” (see FIG. 6), the IP packet is determined to be a PPPoE-encapsulated frame (IPoPPPoE), that is, an IP data frame, for the PPPoE frame, The PPPoE frame is transferred to the frame conversion unit 22.
[0057]
On the other hand, when the PPPoE frame from the user is a frame other than the IP data frame, the frame determination unit 20 determines that the frame is a session negotiation frame, and transfers the frame to the session management unit 21. I do.
[0058]
≪Session management means≫
The session management means 21 performs a session negotiation substantially the same as the conventional BRAS including user authentication and connection destination identification based on the PPP state transition table. In the example illustrated in FIG. 19, the session management unit 21 receives the negotiation packet (PPoE) (S1), and searches the state transition table using the source MAC address and the session ID included in the received negotiation packet ( S2), a series of session negotiations of performing processing according to the searched state transition and responding to the user (S3).
[0059]
In S3, authentication and connection destination identification processing are performed. When performing authentication, the session management unit 21 performs RADIUS authentication communication with a xSP RADIUS server identified as a connection destination as a RADIUS client. Regarding RADIUS authentication communication, it is also possible to arrange a proxy RADIUS server in the L2VPN network to unify communication with xSP.
[0060]
After the session negotiation (successful authentication / connection destination identification), the session management means 21 refers to the PPP state transition table and checks a new state (S4). At this time, if the status is “IP address assignment completed (IPCP Opened)”, the MAC address of the user-side device 3, the session ID of PPPoE, and the VPN-ID (VPN identifier) of the connection destination at that time are used. A notification is sent to the frame conversion means 22 as a registration notification (S5). This registration notification can be registered at the time of successful authentication (at the time of receiving RADIUS Access-Accept).
[0061]
On the other hand, in S4, when the state is "connection end", the MAC address of the user-side device 3, the session ID of PPPoE, and the connection destination VPN-ID are notified as a deletion notification (S6). The deletion notification may be configured to be notified when the explicit connection termination (LCP Terminate Request or PADT: see FIG. 4) is received from the user or when the non-communication time timer times out. It is.
[0062]
≪Frame conversion means≫
The frame conversion unit 22 decapsulates the PPPoE-encapsulated IP data frame transmitted by the user device 3 after successful authentication and connection destination identification.
[0063]
In the example illustrated in FIG. 20, the frame conversion unit 22 has a table 22a including a MAC address, a PPPoE session ID, and a connection destination VPN-ID.
[0064]
Upon receiving the PPPoE-encapsulated IP data frame (IPoPPPoE) transferred from the frame discriminating unit 20, the frame converting unit 22 stores an entry corresponding to the source MAC address and the session ID in the frame in the table 22a. If so, the PPPoE frame is converted into an IPoE data frame (decapsulation of the PPPoE frame) and sent to the transfer processing unit 23 together with the VPN-ID information (received from the session management unit 21). On the other hand, if there is no corresponding entry in the table 22a, the frame conversion means 22 discards the PPPoE frame, assuming that it is not yet authenticated.
[0065]
On the other hand, when receiving the IPoE data frame transmitted from the L2VPN network 1 via the transfer processing unit 23, the frame conversion unit 22 searches the table 22a using the destination MAC address in the frame as a key, and If the entry hits, PPPoE encapsulation for the frame is performed using the PPP header in which the session ID in the entry is set, and the frame is transmitted to the user device 3.
[0066]
Further, the frame conversion means 22 manages entries of the table 22a. That is, when receiving the registration notification from the session management unit 21, the frame conversion unit 22 creates an entry in which the contents of the registration notification are recorded in the table 22a. On the other hand, when receiving the deletion notification from the session management unit 21, the frame conversion unit 22 deletes the corresponding entry from the table 22a.
[0067]
≪Transfer processing means≫
The transfer processing unit 23 maps the decapsulated IP data frame to a virtual private network (L2VPN network) for each connection destination and performs layer 2 transfer (details will be described later).
[0068]
As described above, the user accommodation apparatus 2 performs the session control between the user apparatus and the selected connection destination xSP, which is conventionally performed by BRAS, for one or more user apparatuses accommodated therein. As a result, session control from a large number of users, which has been intensively performed by BRAS as in the related art, can be distributed to a plurality of user accommodation devices 2.
[0069]
In addition, the user accommodation device 2 performs the process of transferring the IP data frame to the xSP by layer 2 transfer to the L2VPN network 1. Therefore, in the user accommodation apparatus 2, there is no need to manage an IP address system for each xSP or to manage dynamic routing (functions as virtual routers are not required). Therefore, L3 processing in the user accommodation device 2 can be avoided. As a result, session control relating to communication between the user-side device 3 and the connection destination xSP is performed by software processing by the session management means 21, and transfer processing of the IP data frame is performed by the frame determination means 20, the frame conversion means 22, A configuration performed by hardware processing by the processing unit 23 can be adopted. Further, by performing the determination of the PPPoE frame and the frame conversion processing by hardware, it is possible to increase the speed.
[0070]
<Connection form of xSP>
Next, the connection form of xSP will be described. The process for the user accommodation device 2 to transfer the IP data frame to the layer 2 differs depending on the connection mode of the xSP to the L2VPN network 1. The following two connection modes are conceivable.
<A> When xSP is directly connected to the termination point of L2VPN network
<B> When xSP goes through L2VPN network and L3VPN network (IP-VPN network) FIGS. 21A and 21B show the above connection form <A>, that is, directly to xSP at the terminal point of L2VPN network 1. It is a figure showing the example of a connection form in the case of being connected. The connection form <A> is applied, for example, to the case where the connection is directly made to the xSP in relatively small units (for example, in prefecture units).
[0071]
In this case, the destination MAC address when the user accommodation device 2 transfers the IP packet (IPoE frame) to the layer 2 is an xSP edge device (edge router: edge device 9A in FIG. 21A) corresponding to the selected connection destination. 9B and 9C, which will be referred to as “edge device 9” in the description that does not particularly designate an edge device. The edge device 9 is prepared, for example, for each xSP.
[0072]
The edge device 9 is connected to the L2VPN network 1. At this time, as shown in FIG. 21A, each edge device 9 is a network terminating device of the L2VPN network 1 prepared for each xSP (in FIG. 21A, the network terminating devices 13A, 13B, and 13C are exemplified. The network termination device may be configured to be connected to the network termination device 13 in the description that does not particularly specify the network termination device. Alternatively, as shown in FIG. 21B, each edge device 9 is connected to the centralized network termination device 16 that accommodates a plurality of edge devices 9 and distributes traffic to each edge device 9 according to the destination address. May be configured.
[0073]
As described above, in PPPoE, the user-side device 3 recognizes a layer 2 address (for example, a MAC address) of a session establishment partner in the PPP Discovery Stage. In this embodiment, the session establishment partner of the user-side device 3 is the user accommodation device 2, and the xSP of the connection destination (the layer 2 address of the edge device thereof) is unknown until the user authentication.
[0074]
For this reason, the frame conversion means 22 of the user accommodation device 2 performs, in addition to decapsulation, the destination layer 2 on the PPPoE-encapsulated IP data frame transmitted from the user-side device 3 after successful authentication and connection destination identification. The address is converted into a layer 2 address of the edge device of xSP obtained by identifying the connection destination and passed to the transfer processing unit 23.
[0075]
FIG. 22 is a diagram illustrating a configuration example of the user accommodation device 2 applied in the connection mode (connection mode <A>) illustrated in FIG. 21. In the example shown in FIG. 22, the frame conversion means 22 removes PPPoE from the IPoPPPoE frame from the user device 3 and decapsulates it into an IPoE data frame. Further, the frame conversion unit 22 converts the MAC address “P” of the user accommodation device 2 set in the destination MAC address of the decapsulated IPoE data frame into the MAC address “C” of the xSP edge device 9 of the connection destination. Convert to The MAC address of the edge device 9 of the connection destination xSP set at this time is registered in a table 22b (corresponding to the table 22a in FIG. 20) managed by the frame conversion unit 22.
[0076]
The frame conversion unit 22 receives, from the session management unit 21, a registration notification including the MAC address of the edge device 9 in addition to the MAC address, the PPPoE session ID, and the VPN-ID of the user-side device 3, and the content of the registration notification. Is registered in the table 22b.
[0077]
In this case, the session management unit 21 applies a configuration in which the MAC address of the edge device 9 of each xSP registered in advance in itself is included in the registration notification in accordance with the result of the connection destination identification and is given to the frame conversion unit 22. be able to. Alternatively, the authentication success message (RADIUS Access-Accept) including the MAC address of the corresponding edge device 9 is received from the xSP side in the RADLUS communication at the time of authentication, and a registration notification including the MAC address is provided to the frame conversion unit 22. It is also possible.
[0078]
When the latter is adopted, the user accommodation device 2 can dynamically acquire the MAC address of the edge device 9 of the connection destination xSP. Therefore, there is no need to register the MAC address of the edge device 9 of each xSP for each user accommodation device 2 in advance. Further, even when the xSP edge device 9 is replaced due to a failure or the like, it is not necessary to change the registration of the MAC address.
[0079]
FIG. 23 is a diagram illustrating an example of the above-described connection configuration <B>, that is, a connection configuration in a case where traffic from a user passes through the L2VPN network 1 and further through the L3VPN network 10 (for example, an IP-VPN network). The connection form <B> is applied to a case where the connection to the xSP is made in a relatively large unit (for example, when nationwide aggregation is performed). FIG. 24 is a diagram illustrating a configuration example of the user accommodation device 2 applied in the connection mode (connection mode <B>) illustrated in FIG.
[0080]
In FIG. 23, the destination MAC address when each of the user accommodation apparatuses 2 accommodated in the L2VPN network 1A transfers the IPoE data frame in Layer 2 is the MAC address of the edge apparatus 11 at the entrance of the L3VPN network 10. In this case, one destination MAC address is determined regardless of the user connecting to any xSP. For this reason, the user accommodation device 2 has the following configuration as shown in FIG.
[0081]
The session management unit 21 sets the layer 2 address of the edge device 11 of the L3VPN network 10 as the source layer 2 address of the response PPPoE frame (PADO) for the PPPoE call (PADI) from the user device 3.
[0082]
Subsequently, in response to the session negotiation frame (PADR) from the user device 3, the frame discriminating unit 20 transfers the frame to the session managing unit 21 even if the destination layer 2 address of the frame is not addressed to the own device. The session management means 21 performs session management (user authentication, connection destination identification, IPCP, etc.) based on the frame.
[0083]
After the authentication and the identification of the connection destination, the PPPoE-encapsulated IP data frame from the user-side device 3 is decapsulated by the frame conversion unit 22 and passed to the transfer processing unit 23. In such a configuration, the process of converting the destination MAC address by the frame conversion unit 22 becomes unnecessary.
[0084]
In the example shown in FIG. 24, the user-side device 3 sets the broadcast address “ff” (actually, ff: ff: ff: ff: ff: ff) as the destination MAC address of the PPPoE call (PADI), Broadcast a PPPoE call (PADI). Upon receiving the PADI, the session management unit 21 sets the layer 2 address “L” of the edge device 11 of the L3VPN network 10 as the source layer 2 address of the response PPPoE frame (PADO).
[0085]
By receiving the PADO, the user-side device 3 recognizes that the destination of the session is the device having the layer 2 address “L” (the edge device 11: actually the user accommodation device 2). Therefore, the user-side device 3 uses “L” as the destination layer 2 address for the subsequent session negotiation frame. When the IP communication is enabled, the user-side device 3 transmits the PPPoE-encapsulated IP data frame with the destination layer 2 address set to “L” to the user accommodation device 2. The frame conversion unit 22 of the user accommodation apparatus 2 transfers the PPPoE frame to the transfer processing unit 23 only by decapsulating the PPPoE frame (without converting the destination address).
[0086]
In the configuration of the user accommodation device 2 described above, the user-side device 3 looks as if a PPPoE session has been established with the edge device 11 of the L3VPN network 10. However, actually, the user accommodation device 2 performs the session management, and the edge device 11 of the L3VPN network 10 does not intervene in the session.
[0087]
In addition, as illustrated as an L2VPN network 1B in FIG. 23, when there are a plurality of edge devices 11 of the L3VPN network 10 for the purpose of load distribution or the like, the edge of the L3VPN network 10 that differs for each user in the user accommodation device 2. A layer 2 address (for example, a MAC address) of the device 11 may be given, and each user may use the layer 2 address as a destination layer 2 address. Also in such a connection form <B>, a method of converting the destination layer 2 address of the IP data frame into the layer 2 address of the edge device 11 of the L3 VPN network by the frame conversion means 22 (the configuration shown in FIG. 22) is used. Can be applied.
[0088]
In the embodiment of the present invention, the user session is controlled by the user accommodation device 2. Therefore, it is not necessary to identify the user session in the L3VPN network 10. As the L3VPN 10, application of an MPLS-VPN network (defined by RFC2547bis) or the like can be considered.
[0089]
<Transfer processing in L2VPN network>
Next, an actual transfer process (details of the transfer processing unit 23) in the L2VPN network will be described. In the present invention, the following network configuration can be applied to the L2VPN network.
[Network Configuration 1] A network composed of L2SW (Ethernet SW) and logically divided for each xSP by IEEE 802.1Q VLAN.
[Network Configuration 2] An MPLS network in which a network termination device for each xSP located at a POI (interconnection point) between a user accommodation device and an xSP is an edge node (LER) of an MPLS label path.
[Network Configuration 3] An MPLS network in which a centralized network terminating device (a plurality of xSPs are connected to the same terminating device) located at the POI between the user accommodation device and the xSP has an LER.
Hereinafter, the network configurations 1 to 3 will be described in detail.
[0090]
[Network Configuration 1]
FIG. 25 is a diagram illustrating a configuration example of the user accommodation device 2 applied in the network configuration 1, and FIG. 26 is a diagram illustrating a network configuration 1, that is, an L2VPN network configured by an L2SW (Ethernet SW), and a VLAN (IEEE802. 1Q) shows a network configuration logically divided for each xSP.
[0091]
FIG. 26 illustrates xSP-A, xSP-B, and xSP-C as a plurality of xSPs selected as connection destinations by the user, and VLAN-IDs “100” and “200” for each of these xSPs. , "300" are assigned. In this way, the L2VPN network 1 is configured as a VLAN network 12 logically divided into a plurality.
[0092]
In the network configuration 1, the transfer processing unit 23 of the user accommodation device 2 manages a function provided in a so-called VLAN-compatible L2SW. However, the transfer processing unit 23 does not statically identify a VLAN from a user frame as in a normal VLAN-compatible L2SW, but performs a session negotiation with the user and performs authentication success / connection destination identification. Is dynamically mapped to the VLAN corresponding to the connection destination xSP.
[0093]
More specifically, as shown in FIG. 25, the transfer processing unit 23 has a forwarding table 23a prepared for each VLAN and in which entries holding a MAC address, an output port number, and addition / removal of a tag are registered.
[0094]
The forwarding table 23a is created by MAC address learning. That is, the transfer processing unit 23 determines whether or not the source MAC address and the input (reception port) number of the frame are registered in the forwarding table 23a from the frame input to the transfer processing unit 23, and must not be registered. If so, the MAC address and the port number are registered. At this time, tag addition / removal can also be registered based on the presence or absence of a tag (VLAN-tag) in the input frame.
[0095]
The transfer processing means 23 performs the following transfer processing using the forwarding table 23a. The transfer processing unit 23 is notified from the frame conversion unit 22 of a VLAN-ID (synonymous with “VPN-ID”) uniquely indicating the xSP identified together with the decapsulated IPoE frame. This VLAN-ID is notified separately by an internal bus for control, or is notified by adding a tag for internal processing of the device to the IPoE data frame.
[0096]
The frame conversion unit 22 recognizes the correspondence between the transmission source MAC address of the user device 3 and the VLAN-ID for each session based on the notification from the session management unit 21, and stores the correspondence in the transmission source MAC address of the IPoE data frame. The corresponding VLAN-ID is provided to the transfer processing means 23 together with the IPoE data frame.
[0097]
With such a configuration, the transfer processing unit 23 can recognize the VLAN-ID (VLAN) corresponding to the source MAC address of the IPoE data frame (MAC address-based VLAN).
[0098]
Then, the transfer processing unit 23 refers to the forwarding table 23a corresponding to the VLAN-ID, specifies the output port corresponding to the destination MAC address of the IPoE data frame, and sets the VLAN-tag corresponding to the IPoE data frame. And sends it out to the corresponding output port.
[0099]
Thus, the VLAN-ID is inserted into the IPoE frame as a VLAN-tag that uniquely indicates the connection destination xSP. The IPoE data frame having the VLAN-tag is transferred in the L2VPN network (VLAN network 12) by MAC bridging.
[0100]
On the other hand, the transfer processing unit 23 receives, from the L2VPN network side, the IPoE data frame in the format to which the VLAN-tag is added. In this case, the transfer processing unit 23 removes the VLAN-tag and sends it to the frame conversion unit 22. In the example illustrated in FIG. 25, the VLAN-ID “100” is inserted or removed from the IPoE data frame as the VLAN-tag that uniquely indicates the connection destination xSP.
[0101]
[Network Configuration 2]
FIG. 27 is a diagram illustrating a configuration example of the user accommodation device 2 when the above-described network configuration 2 is applied. FIG. 28 is a diagram illustrating the network configuration 2, that is, the L2VPN network is configured by the MPLS network 15 and the user accommodation device 2. FIG. 2 is a diagram illustrating an example of a network configuration in a case where a network terminating device 13 for each xSP located at a POI (interconnection point) 14 between a 2 and an xSP is an edge node (LER) of an MPLS label path.
[0102]
In the network configuration 2, the transfer processing unit 23 of the user accommodation device 2 corresponds to an MPLS-compatible edge node (LER). However, the transfer processing means 23 does not statically map the user frame to the MPLS label path as in the case of the normal LER, but responds to the xSP of the connection destination after successful authentication and identification of the connection destination through session negotiation with the user. Dynamic mapping to the MPLS label path to be performed.
[0103]
More specifically, as shown in FIG. 27, the transfer processing unit 23 has a MAC forwarding table 23b prepared for each VPN (xSP) and an MPLS label table 23c commonly used for each VPN. .
[0104]
The MAC forwarding table 23b holds a correspondence between a MAC address and an output port for each VPN-ID. The MPLS label table 23c holds the correspondence between the transmission MPLS label value (also referred to as “transmission label”) and the reception MPLS label value (also referred to as “reception label”) for each VPN (xSP).
[0105]
The transmission MPLS label value indicates a value uniquely indicating an MPLS label path (LSP) for transferring to an xSP corresponding to a connection destination when outputting a frame to the L2VPN network side, and the reception MPLS label value indicates a value from the L2VPN network side. When a frame is received, a value uniquely indicating the xSP of the transmission source of the frame is shown.
[0106]
Upon receiving the decapsulated IPoE data frame from the frame conversion unit 22, the transfer processing unit 23 specifies the target MAC forwarding table 23b from the VPN-ID notified from the frame conversion unit 22, and specifies the destination MAC address of the IPoE data frame. Search for the corresponding output port using the address. At this time, if labeling of the MPLS is designated, the transmission MPLS label value corresponding to the VPN-ID is taken out from the MPLS label table 23c, and the value is pushed (Push), and the label switch transfer is performed. If there is no corresponding entry in the corresponding MAC forwarding table 23b, the transfer processing unit 23 performs the same MAC address learning as in the network configuration 1 (FIG. 25).
[0107]
In the L2VPN network (MPLS network 15), the IPoE data frame is label-switched (Swap) at a node (LSR: Label Switching Node) passing according to a preset MPLS label path, and is label-switched and transferred for each xSP. The data is transferred to the prepared network terminating device 13 (in FIG. 28, the network terminating devices 13A, 13B, and 13C are exemplified). Thereafter, the label is removed from the IPoE data frame in the network terminating device 13 and transferred to the corresponding xSP edge device 9 (the edge devices 9A, 9B and 9C are illustrated in FIG. 28).
[0108]
In the configuration examples shown in FIGS. 27 and 28, the network administrator sets an MPLS label path in advance between each user-side device 3 and the network terminating device 13 for every xSP through an NMS (Network Management System) or the like. The case is assumed. In this case, it is necessary to hold the MPLS label path to the xSP where there is no connected user.
[0109]
In view of the above, as shown in FIG. 29, the user accommodation apparatus 2 can be configured to further include the label path signaling means 24. After the xSP to which the user is connected is identified, the label path signaling means 24 determines that the MPLS label path is not set between the user accommodation device 2 and the network termination device 13 to the xSP. Signaling for setting a desired MPLS label path is performed with the identification of the connection destination xSP as a trigger.
[0110]
In MPLS, LDP (RFC3036), CR-LDP (RFC3212), RSVP-TE (RFC3209) and the like are defined as label signaling protocols. Any of these label signaling protocols can be applied to the label path signaling means 24. However, the label path in MPLS is uni-directional. Therefore, the user accommodation device 2 needs to distribute the label to the network termination device 13 and receive the distribution of the label from the network termination device 13.
[0111]
The label distributed from the user accommodation device 2 to the network terminating device 13 corresponds to the received label registered in the MPLS label table 23c (FIG. 27). The reception label is a label for identifying an MPLS label path in the user accommodation apparatus 2 in the downstream direction (the network termination apparatus 13 → the user accommodation apparatus 2) between the network termination device 13 and the user accommodation device 2. The label received from the network terminating device 13 corresponds to the transmission label registered in the MPLS label table 23c. The transmission label is a label that identifies an uplink MPLS label path (appended to an uplink frame) in the user accommodation device 2.
[0112]
As shown in FIG. 29, when identifying the xSP to which the user is connected, the session management unit 21 determines whether or not there is a connected person to the xSP (the label path between the xSP and the network terminating device 13 corresponding to the xSP). If it is determined that the MPLS label path has not been set, it is notified to the label path signaling means 24 that signaling for setting the label path is to be performed ((1) in FIG. 29). ▼).
[0113]
The label path signaling means 24 first distributes the transmission label corresponding to the VPN-ID corresponding to the connected xSP to the corresponding network terminating device 13 (referred to as "DU, Downstream Unsolicited mode": (2) in FIG. 29). ), And requests distribution of the label to the network terminating device 13 and receives distribution of the received label (referred to as “DoD, Downstream on Demand” mode: (3) and (4) in FIG. 29). Then, the label path signaling means 24 notifies the setting of the information of the transmission label and the reception label to the transfer processing means 23 ([5] in FIG. 29). The transfer processing unit 23 sets the correspondence between the transmission label and the reception label in the MPLS label table 23c corresponding to the VPN-ID.
[0114]
Accordingly, the transfer processing unit 23 sets a bidirectional MPLS label path between the user accommodation device 2 and the network terminating device 13 according to the PPPoE session, triggered by the identification of the connection destination xSP of the user by the session management unit 21. Can be.
[0115]
The network terminating device 13 is configured to use the label distribution in the DU mode from the user accommodation device 2 as a trigger to distribute the label to the user accommodation device 2 in the DU mode, and the label path signaling means 24 A reception label distributed according to the mode may be received. In this case, the label path signaling means 24 does not need to perform a label request in the DoD mode ((3) in FIG. 29).
[0116]
Further, the label path signaling means 24 is configured to receive from the session management means 21 a notification indicating that there is no more connected person for a certain label path, and upon receiving this notification, deletes the label path. To perform signaling. At this time, the transfer processing unit 23 may be notified of the deletion of the label path, and the transfer processing unit 23 may delete the entry related to the label path from the MPLS label table 23c.
[0117]
By applying the above configuration, it is not necessary to previously set an MPLS label path between the user accommodation device 2 and the network terminating device 13 corresponding to each xSP for each of the xSPs. That is, it is possible to hold only a label path necessary for signaling.
[0118]
[Network Configuration 3]
FIG. 30 is a diagram illustrating a configuration example of the user accommodation device 2 applied to the network configuration 3 described above. FIG. 31 is a diagram illustrating the network configuration 3, that is, the L2VPN network is the MPLS network 15, and the user accommodation device 2 FIG. 2 is a diagram illustrating an example of a network configuration in which an integrated network terminating device 16 (connected to a plurality of xSPs from the same terminating device) located at a POI (interconnection point) 14 with an xSP is an LER. The centralized network termination device 16 is connected to a plurality of xSP edge devices 9.
[0119]
In the network configuration 3, a centralized network termination device 16 as shown in FIG. 31 is used. In this case, in the first stage of the MPLS label, the centralized network termination device 16 performs a process of distributing the IPoE data frame from each user to a plurality of xSPs (edge devices 9) based on the connection destination information selected by the user. Can not.
[0120]
Therefore, an MPLS label path (Tunnel (tunnel) label path) for transferring an IPoE data frame between each user accommodation apparatus 2 and the centralized network terminating apparatus 16 via the MPLS network 15 and an MPLS label path uniquely indicating a connection destination xSP (VC label path) must be set in advance.
[0121]
Each of the user accommodation devices 2 and the centralized network termination device 16 identifies the xSP from the VC label value. Therefore, the tunnel label path from the same user accommodation device 2 to the centralized network termination device 16 can be merged into the same tunnel label path even if the connection destination xSP is different. That is, even if the connection destination xSP is different, the IPoE data frame can be transferred using the same tunnel label path.
[0122]
In addition, in the MPLS network 15, the label (Tunnel) can be removed (Pop) by the relay device (LSR) immediately before the network terminating device 16 and transferred to the network terminating device 16 (“PHP: Penultimate Hop Popping”). ").
[0123]
In a network (the above network configuration 2) in which the network terminating device for each xSP located at the POI between the user accommodation device 2 and the xSP is an edge node (LER) of the MPLS label path, the two-stage label path configuration of the tunnel and the VC label path is also used. Can be used.
[0124]
As described above, even when the MPLS label is used in two stages in the network configurations 2 and 3, the label path signaling means 24 dynamically sets the tunnel and the VC label path by using the identification of the connection destination xSP of the user as a trigger. Can be. FIG. 32 shows an example of such a configuration.
[0125]
However, in the network configuration 3 (when the centralized network terminating device 16 is used), even if the user connects (accesses) to any of the xSPs, the IPoE data frame flowing between them passes through the centralized network terminating device 16. . For this reason, a configuration is adopted in which a tunnel label path is always set between the user accommodation device 2 and the centralized network terminating device 16, and setting / deletion is performed according to the presence / absence of a connection to the xSP corresponding to only the VC label path. May be configured to be performed.
[0126]
<Specific configuration of transfer processing means>
As described above, a VLAN network or an MPLS network can be applied as the configuration of the L2VPN network according to the present invention. In this case, the transfer processing unit 23 in the user accommodation apparatus 2 is configured to perform the normal mapping of the IPoE data frame to the VPN prepared for each xSP of the connection destination after the authentication is successful and the connection destination is identified. L2SW or MPLS compatible LER.
[0127]
Therefore, as shown in FIG. 33, a chassis type (an interface that realizes various functions) including one or more MPLS interface cards 31, one or more Ethernet (Ethernet) interface cards 32, and a transfer processing unit 23 including a changeover switch 33. The user accommodation device 2 can be configured by adding a communication module 34 having a frame determination unit 20, a session management unit 21, and a frame conversion unit 22 to the communication device 30 (to which a card can be additionally inserted). .
[0128]
When the user accommodation device 2 having the configuration as shown in FIG. 33 is applied to the network configuration 2 or 3, the communication module 34 may be configured to further include the label path signaling means 24. A communication module including the path signaling means 24 may be configured to be further added to the configuration shown in FIG.
[0129]
<Integration of L2VPN network>
Further, in the user accommodation device 2, the session management unit 21 identifies the connection destination xSP, and additionally identifies the provided service form (quality such as maximum speed, or single-family or apartment-type shared access). Even if the connection destination xSP is the same between different users, if the provided service form (for example, the maximum rate of frame transfer) is different, mutually different VPN-IDs are assigned, and the IPoE data frame is different for each user. It can be configured to be transferred between the xSP and the user via the Internet.
[0130]
In this case, the VPN-ID is prepared for each provided service mode. Therefore, the tables (tables 22a and 22b) in the frame conversion unit 22 and the forwarding tables (tables 23a and 23b) in the transfer processing unit 23 are prepared for each provided service mode.
[0131]
FIG. 34 shows that, when the maximum speed 100 Mbps service and the shared service are provided as the xSP-A provision service form, the IPoE data frame passes between the user and the xSPA through the VPN prepared for each of these services. An example of the transfer is shown.
[0132]
If a configuration is used in which a different VPN is used for each connection destination and provided service mode as described above, it becomes unnecessary to provide a BRAS in the L2VPN network. Therefore, there is no need for a network configuration for separating aggregate traffic in order to identify a connection destination and a service in BRAS.
[0133]
In such a situation, it is possible to realize an integrated L2VPN network in which the xSP selective connection service and the VPN are fixed, but the inter-user base connection service which provides different services such as guaranteed bandwidth for each user can be mixed. it can.
[0134]
<< Example 1 >>
Next, a first embodiment of the present invention will be described with reference to FIGS. In the first embodiment, a plurality of xSP edge devices 9 (9A, 9B, 9C) are terminating points (networks) of an L2 VPN network prepared for each xSP (logically divided by a VLAN network prepared for each xSP). The network configuration when directly connected to the terminating devices 13 (13A, 13B, 13C) is shown.
[0135]
In FIG. 35, when selecting an arbitrary xSP (for example, xSP-A) and starting communication with the xSP, the user-side device 3 first broadcasts PADI (S11).
[0136]
Upon receiving the PADI, the user accommodation device 2 performs a frame discriminating process in the frame discriminating means 20. As a result of the frame determination, the frame determination unit 20 determines that the PADI is a session negotiation frame, and transfers the PADI to the session management unit 21.
[0137]
The session management means 21 returns PADO to the PADI of the user device 3 (S12). At this time, the MAC address of the user accommodation device 2 is set as the source MAC address of PADO.
[0138]
By receiving the PADO, the user device 3 knows the MAC address of the device (user accommodation device 2) that establishes a session between two points (Point-to-Point). Thereafter, the user-side device 3 unicasts the PPPoE frame whose MAC address is set to the destination MAC address.
[0139]
Subsequently, the PADR is transmitted from the user device 3 to the user accommodation device 2 (S13), and in the user accommodation device 2, the session management unit 21 establishes a Session-ID (session ID) based on the PADR (S13), The PADS is returned (S14). Then, a data link (LCP) for the PPPoE session is established (S15).
[0140]
When the data link is established, a request for user authentication (CHAP Challenge) is transmitted from the user accommodation device 2 to the user device 3 (S16). In response to the CHAP request, the user-side device 3 can return a CHAP response in which the connection destination xSP is specified by “user name @ xSP name” to the user accommodation device 2 (S17).
[0141]
In the user accommodation device 2, when the session management unit 21 receives the CHAP response, the session management unit 21 issues an authentication request (RADIUS Access-Request) for performing RADIUS authentication to a RADIUS server existing in the network of the xSP to which the connection is made. (S18). Thus, the RADIUS authentication of the user is performed by the RADIUS server of the xSP.
[0142]
At this time, the authentication request may be temporarily transferred to the proxy RADIUS server in the L2VPN network 1 and then transferred to the RADIUS server in the xSP network. Thereby, the communication between the user accommodation device 2 and the RADIUS server of each xSP can be unified, and the management operation becomes easy.
[0143]
When the user authentication is successful, the RADIUS server returns an authentication response (RADIUS Access-Accept) indicating the successful authentication to the user accommodation device 2 (S19). The authentication response indicating success can include the IP address assigned to the user, the MAC address of the edge device of the xSP, and the like. In this way, a PPPoE session is established between the user device 3 and the user accommodation device 2.
[0144]
The user accommodation device 2 performs IPCP based on the IP address value included in the authentication response and assigns an IP address to the user (S20).
[0145]
Also, in the user accommodation device 2, the session management unit 21 instructs the frame conversion unit 22 on the MAC address of the user side device 3, the PPPoE Session-ID, and the edge of the xSP of the connection destination in accordance with the authentication success / connection destination identification. A registration notification including a MAC address of the device 9 and a VPN-ID that uniquely indicates a connection destination xSP in the L2VPN network 1 is given. The frame conversion unit 22 registers the contents of the notification from the session management unit 21 in the table 22b (FIG. 22).
[0146]
After receiving the IP address assignment, the user-side device 3 sends the PPPoE-encapsulated IP data frame (IPoPPPoE) to the user accommodation device 2 (S21).
[0147]
In the user accommodation apparatus 2, the frame determination unit 20 determines that the received frame is an IP data frame as a result of the determination, and transfers the frame to the frame conversion unit 22. When the entry of the source MAC address of the received frame exists in the table 22b, the frame conversion unit 22 performs PPPoE decapsulation to convert the frame into an IPoE data frame. Further, the frame conversion unit 22 converts the destination MAC address of the IP data frame into the MAC address of the edge device 9 of the xSP, and transfers the converted data together with the corresponding VPN-ID (VLAN-ID) information to the transfer processing unit 23.
[0148]
When the entry of the source MAC address of the received frame does not exist in the table 22b, the frame conversion unit 22 discards the frame by regarding the frame as unauthenticated.
[0149]
The transfer processing unit 23 according to the first embodiment corresponds to a VLAN-compatible L2SW. Therefore, in the case of the user's first IP data communication, there is no corresponding entry in the forwarding table (MAC bridging table) 23a (FIG. 25) of the VLAN-ID, so that the address learning is performed. That is, the source MAC address and the number of the port to which the user device 3 is connected are registered in the forwarding table 23a.
[0150]
The transfer processing unit 23 searches the output port in the forwarding table 23a from the destination MAC address of the received frame, assigns the corresponding VLAN-tag (VLAN-ID “100”), and enters the L2VPN network (VLAN network) 1. Send out.
[0151]
In the example illustrated in FIG. 36, the inside of the L2VPN network 1 is logically divided for each VPN (three divided by VLAN-ID “100”, “200”, “300”). For this reason, the IPoE data frame is transferred by MAC bridging transfer to the network terminating device 13A located at the boundary (POI) with the connection destination xSP (xSP-A) (S22). Then, the VLAN-tag is removed in the network terminating device 13 and transferred to the xSP-A edge device 9A (S23).
[0152]
The data (IPoE data frame) transmitted from the xSP (xSP-A) to the user-side device 3 is subjected to the processing opposite to the processing from S21 to S23. First, IP data (IPoE data frame) is transferred from the xSP-A edge device 9A to the network termination device 13A (S24). The network terminating device 13A adds a VLAN-tag (VLAN-ID “100”) to the IP data and transmits the IP data. The IP data is transferred by MAC bridging in the L2VPN network 1 (S25).
[0153]
The user accommodation device 2 receives the IP data subjected to the MAC bridging transfer. The transfer processing unit 23 of the user accommodation device 2 removes the VLAN-tag of the IP data and transfers the IP data to the frame conversion unit 22. The frame conversion means 22 converts the source MAC address of the IP data into its own MAC address, encapsulates it in PPPoE, and sends it to the user-side device 3 (S26).
[0154]
According to the first embodiment, the user accommodation device 2 that accommodates one or more users is installed at the edge of the L2VPN network 1 that relays between the user and the selected connection destination xSP, and the user accommodation device 2 is selected by the user. A PPP session for accessing the xSP is performed using session control using a standardization-based communication protocol (PPPoE). For this reason, session control for a large number of users is distributed to a plurality of user accommodation devices 2. Therefore, it is possible to avoid occurrence of a bottleneck as in the case where BRAS is used.
[0155]
In the first embodiment, the case where the VLAN-ID uniquely indicates xSP has been described. Instead, a service such as a case where a certain xSP can provide a service at a maximum speed of 10 Mbps and a maximum speed of 100 Mbps (when a plurality of service forms are provided), or a case where a user is present in an apartment house, etc. Therefore, different VLAN-IDs are allocated even for connections to the same xSP, and band control according to the VLAN can be performed in the L2VPN network.
[0156]
<< Example 2 >>
Next, a second embodiment of the present invention will be described with reference to FIGS. In the second embodiment, the traffic between the user and the xSP passes through the L2VPN network (configured by an EoMPLS network in which an MPLS label path is prepared for each xSP) and further passes through the L3VPN network 10 (for example, an IP-VPN network). An example of a connection form is shown.
[0157]
In the examples shown in FIGS. 37 and 38, the L2VPN network is an EoMPLS network, and the centralized network terminating device located at the POI (interconnection point) between the user accommodation device 2 and the connection destination network is an edge node (L3VPN) of the MPLS label path. The edge devices 9A, 9B, and 9C of each xSP (xSP-A, xSP-B, xSP-3) are connected to the L3 VPN network 10.
[0158]
In this case, the device corresponding to the destination of the layer 2 transfer by each user accommodation device 2 is the edge device 11. Therefore, even when each user selects and connects xSP, the destination of the IPoE data frame from each user in the L2VPN network 1 is fixed. Therefore, in the user accommodation device 2, the conversion of the destination MAC address of the IP data becomes unnecessary.
[0159]
The session management means 21 of the user accommodation apparatus 2 responds to the PPPoE call (PADI) from the user side apparatus 3 by using the layer of the edge apparatus 11 as the source layer 2 address (source MAC address) of the response PPPoE frame (PADO). Two addresses (MAC addresses) are set (S31, S32).
[0160]
Thereafter, the same procedure as S13 to S19 in the first embodiment is performed, a PPP session is established, and a state is established in which IP communication is possible between the user and the selected connection destination xSP (S33 to S39). Although the destination address of the session negotiation frame from the user after the PADR is the MAC address of the edge device 11, the frame determination unit 20 of the user accommodation device 2 gives the session negotiation frame to the session management unit 21.
[0161]
When an IP data frame encapsulated in PPPoE is transmitted from the user side device 3 after authentication / connection destination identification (after establishment of a PPP session), the frame conversion unit 22 performs PPPoE decapsulation and obtains the obtained IPoE data frame. Is sent to the transfer processing means 23 together with the corresponding VPN-ID (S41). At this time, the conversion of the destination MAC address of the IP data is not performed.
[0162]
The transfer processing unit 23 refers to the forwarding table and the MPLS label table, adds an MPLS label (VC label and Tunnel label) corresponding to the VPN-ID to the IPoE data frame, and transfers the IPoE data frame to the L2VPN network 1. In the L2VPN 1, label switching is performed with reference to only the Tunnel label (S42 to S44, S47 to S49).
[0163]
When receiving the IP data, the edge device 11 of the L3VPN network 10 terminates the MPLS, encapsulates the L3VPN, and transfers it to the xSP edge router 9 of the connection destination (S45).
[0164]
The IP data transmitted from the connection destination xSP to the user-side device 3 is transferred by a process opposite to the processes shown in S40 to S45. Therefore, the IP data transferred in the network is PPPoE-encapsulated in the user accommodation device 2 and transmitted to the user device 3 (S50). At this time, as in S41, the conversion of the destination MAC address of the IP data is unnecessary.
[0165]
Note that if the user accommodation apparatus 2 is provided with a label path signaling unit 24 that performs label signaling, it is possible to dynamically set a label path with the identification of the connection destination xSP of the user as a trigger. In the network, IP data is label-switched and transferred along an MPLS (Tunnel) label path, and passed to the edge device 11 of the L3VPN network 10.
[0166]
Then, in the L3VPN network 10, a transfer process is also performed for each VPN, and the data is transferred to the xSP. Since the user session is controlled by the user accommodation device 2, it is not necessary to identify the user session in the L3VPN network 10.
[0167]
<Others>
The present invention can be specified as follows.
(Supplementary Note 1) In a communication system in which a user selects an arbitrary destination from a plurality of destinations using PPPoE, one or more destinations are arranged at an edge of a layer 2 network that relays data addressed to the destination selected by the user. A communication device accommodating the user-side device of
Frame determination means for determining whether the PPPoE frame received from the user-side device is a frame for establishing a PPP session or a frame including data addressed to the connection destination;
For establishing a PPP session related to communication between the user-side apparatus including user authentication and connection destination identification and a connection destination selected by the user, based on the session establishment frame determined by the frame determination means. A session management means for performing processing;
Frame conversion means for extracting the data from the PPPoE frame including the data addressed to the connection destination determined by the frame determination means;
Transfer processing means for transmitting the data extracted by the frame conversion means to the layer 2 network;
Communication device including. (1)
(Supplementary Note 2) An edge device of each connection destination network is connected to a network termination device of the layer 2 network prepared for each connection destination,
The frame conversion unit converts the layer 2 address of the own device set as the destination layer 2 address in the data addressed to the connection destination into the layer 2 address of the edge device of the connection destination and passes the converted data to the transfer processing unit.
The communication device according to supplementary note 1. (2)
(Supplementary Note 3) The layer 2 network is connected to a layer 3 network accommodating the networks of the respective connection destinations via an edge device, and the edge device receives data addressed to the connection destinations received through the layer 2 network. The session management means is configured to perform a process of terminating the layer 2 network and a process of transferring the data to a corresponding connection destination network via the layer 3 network. In establishing a session, a layer 2 address of the edge device is set as a source layer 2 address of a session establishment frame transferred to the user side device;
The frame conversion means performs the transfer processing without changing a layer 2 address of the edge device set as a destination layer 2 address in data addressed to the connection destination received from the user side device after the establishment of the PPP session. Pass to means
The communication device according to supplementary note 1. (3)
(Supplementary Note 4) The layer 2 network is connected to a layer 3 network accommodating the networks of the respective connection destinations via a plurality of edge devices, and each edge device receives data addressed to the connection destination received through the layer 2 network. It is configured to perform a process of terminating the layer 2 network and a process of transferring to a corresponding connection destination network via the layer 3 network,
The session management means, when establishing a PPP session with the user-side device, uses the layer 2 address of the edge device according to the connection destination as the source layer 2 address of the session establishment frame transferred to the user-side device. Set,
The frame conversion means performs the transfer processing without changing a layer 2 address of the edge device set as a destination layer 2 address in data addressed to the connection destination received from the user side device after the establishment of the PPP session. Pass to means
The communication device according to supplementary note 1. (4)
(Supplementary Note 5) The layer 2 network is logically divided for each connection destination according to IEEE 802.1Q VLAN,
The transfer processing means sets a VLAN-tag corresponding to the data connection destination for the data addressed to the connection destination, and sends the data to the layer 2 network.
The communication device according to any one of supplementary notes 1 to 4. (5)
(Supplementary Note 6) The layer 2 network is prepared for each connection destination between a network terminating device for each connection destination located at an interconnection point between each connection destination network and the communication device and the communication device. Configured as an MPLS network in which an MPLS label path is set,
The transfer processing means sets an MPLS label corresponding to the connection destination of the data to the data addressed to the connection destination, and transmits the data to the MPLS network.
The communication device according to any one of supplementary notes 1 to 4.
(Supplementary Note 7) In a case where an MPLS label path for transferring data addressed to the connection destination is not set, a label path signaling unit that performs signaling for setting the MPLS label path is further included.
The communication device according to supplementary note 6.
(Supplementary Note 8) The layer 2 network is used for transferring data addressed to the connection destination between the communication device and the centralized network termination device located at an interconnection point between each connection destination network and the communication device. An MPLS network in which a first MPLS label path and a second MPLS label path for identifying a connection destination of this data are set,
The transfer processing means includes, for data addressed to the connection destination, a first MPLS label for transferring the data through a first MPLS label path, and a second MPLS label for identifying a connection destination of the data. And send it to the MPLS network
The communication device according to any one of supplementary notes 1 to 4.
(Supplementary Note 9) If at least one of the corresponding first MPLS label path and the second MPLS label path is not set for the data destined for the connection destination, an unset MPLS label path is set. Further including a label path signaling means for performing signaling
The communication device according to supplementary note 8.
(Supplementary Note 10) A communication module including the frame determination unit, the session management unit, and the frame conversion unit is added to a chassis-type communication device that functions as the transfer processing unit and includes a switch, an Ethernet interface, and an MPLS interface. Be done
10. The communication device according to any one of supplementary notes 6 to 9.
(Supplementary Note 11) The transfer processing means transfers the data of the connection destination to the layer 2 network via a layer 2 virtual closed network prepared for each connection destination and for each service providing mode from the connection destination to the user. 11. The communication device according to any one of Supplementary notes 1 to 10, wherein the communication device maps the data to a layer 2 virtual closed network corresponding to a connection destination of the data and a service providing mode and transmits the data.
[0168]
【The invention's effect】
According to the present invention, it is possible to provide a communication device capable of avoiding a bottleneck caused by concentration of session control processing.
[Brief description of the drawings]
FIG. 1 is a diagram showing an Ethernet frame format.
FIG. 2 is a diagram showing an ether type.
FIG. 3 is a diagram illustrating an example of a connection image between a user device and an xSP via BRAS using PPPoE.
FIG. 4 is a diagram illustrating a sequence example of a communication method in a connection between a user device and an xSP via BRAS using PPPoE.
FIG. 5 is a diagram illustrating an example of a PPPoE frame format.
FIG. 6 is a diagram illustrating an example of a PPPoE frame format.
FIG. 7 is a diagram illustrating an example of a connection image between a user device and xSP via BRAS using PPPoE.
FIG. 8 is a diagram showing the inside of a BRAS.
FIG. 9 is a diagram showing a PPP state transition table.
FIG. 10 is a diagram illustrating an example of a wide area LAN service based on L2SW.
FIG. 11 is a diagram illustrating an example of an EoMPLS service.
FIG. 12 is a diagram illustrating a problem of an xSP selective connection service using BRAS.
FIG. 13 is a diagram showing an IEEE 802.1X frame format.
FIG. 14 is a diagram showing a sequence example according to IEEE 802.1X.
FIG. 15 is a diagram showing a connection image according to IEEE 802.1X.
FIG. 16 is a diagram illustrating an outline of a communication device according to an embodiment of the present invention and an L2VPN network system including the communication device.
FIG. 17 is a diagram illustrating a system configuration of a user accommodation device.
FIG. 18 is an explanatory diagram of a frame determination unit.
FIG. 19 is an explanatory diagram of a session management unit.
FIG. 20 is an explanatory diagram of a frame conversion unit.
FIG. 21 is a diagram illustrating an example of a connection configuration in a case where a terminal is directly connected to an xSP at a terminal point of an L2VPN network.
FIG. 22 is a diagram illustrating a configuration example of a user accommodation device applied in the connection configuration illustrated in FIG. 21;
FIG. 23 is a diagram showing an example of a connection form in the case of passing through an L2VPN network and further an L3VPN network.
24 is a diagram illustrating a configuration example of a user accommodation device applied in the connection configuration illustrated in FIG. 23;
FIG. 25 is a diagram illustrating a configuration example of a user accommodation device applied in a network configuration logically divided for each xSP.
FIG. 26 shows a network configuration which is logically divided for each xSP by VLAN (IEEE 802.1Q).
FIG. 27 is a diagram illustrating a configuration example of a user accommodation device when the network configuration illustrated in FIG. 28 is applied;
FIG. 28 is a diagram illustrating an example of a network configuration in a case where an L2VPN network is configured by an MPLS network 15 and a network terminating device for each xSP is an edge node (LER) of an MPLS label path.
FIG. 29 is a diagram illustrating a configuration example of a user accommodation device further including a label path signaling unit.
30 is a diagram illustrating a configuration example of a user accommodation device applied to the network configuration illustrated in FIG. 31;
FIG. 31 is a diagram illustrating an example of a network configuration in which an L2VPN network is an MPLS network and an integrated network terminator is an LER.
FIG. 32 is a diagram illustrating a configuration example of a user accommodation device when MPLS labels are used in two stages.
FIG. 33 is a diagram illustrating a configuration example of a user accommodation device according to the present invention.
FIG. 34 is a diagram illustrating a configuration example of an integrated L2VPN network according to the present invention.
FIG. 35 is a diagram illustrating a first embodiment of the present invention.
FIG. 36 is a diagram for explaining the first embodiment of the present invention.
FIG. 37 is a diagram illustrating a second embodiment of the present invention.
FIG. 38 is a diagram illustrating a second embodiment of the present invention.
[Explanation of symbols]
1 L2VPN network
2 User accommodation device
3. User side device (user terminal)
9 Edge device (edge router)
11 L3VPN network edge device
12 VLAN network
13 Network termination equipment
15 MPLS network
16 Centralized network termination equipment
20 Frame discriminating means
21 Session management means
22 Frame conversion means
22a, b table (frame conversion means)
23 Transfer processing means
23a, b forwarding table
23c MPLS label table
24 Label path signaling means
30 Chassis type MPLS compatible communication device
31, 32 interface
33 Changeover switch
34 Communication Module

Claims (5)

PPPoEを用いてユーザが複数の接続先から任意の接続先選択を行う通信システムにおいて、ユーザにより選択された接続先宛のデータを中継するレイヤ2網のエッジに配置され、1以上のユーザ側装置を収容する通信装置であって、
ユーザ側装置から受信するPPPoEフレームがPPPセッション確立用のフレームか前記接続先宛のデータを含むフレームかを判別するフレーム判別手段と、
前記フレーム判別手段で判別されたセッション確立用のフレームに基づいて、ユーザ認証及び接続先識別を含むユーザ側装置とユーザにより選択された接続先との間の通信に係るPPPセッションを確立するための処理を行うセッション管理手段と、
前記フレーム判別手段で判別された前記接続先宛のデータを含むPPPoEフレームから当該データを抽出するフレーム変換手段と、
前記フレーム変換手段で抽出されたデータを前記レイヤ2網へ送出する転送処理手段と
を含む通信装置。In a communication system in which a user selects an arbitrary destination from a plurality of destinations using PPPoE, one or more user-side devices are arranged at an edge of a layer 2 network that relays data addressed to the destination selected by the user A communication device that accommodates
Frame determination means for determining whether the PPPoE frame received from the user-side device is a frame for establishing a PPP session or a frame including data addressed to the connection destination;
For establishing a PPP session related to communication between the user-side apparatus including user authentication and connection destination identification and a connection destination selected by the user, based on the session establishment frame determined by the frame determination means. A session management means for performing processing;
Frame conversion means for extracting the data from the PPPoE frame including the data addressed to the connection destination determined by the frame determination means;
And a transfer processing unit for transmitting the data extracted by the frame conversion unit to the layer 2 network. 前記各接続先の網のエッジ装置が接続先毎に用意された前記レイヤ2網の網終端装置にそれぞれ接続されており、
前記フレーム変換手段は、前記接続先宛のデータに宛先レイヤ2アドレスとして設定されている自装置のレイヤ2アドレスを当該接続先のエッジ装置のレイヤ2アドレスに変換して前記転送処理手段に渡す
請求項1記載の通信装置。An edge device of each connection destination network is connected to a network termination device of the layer 2 network prepared for each connection destination,
The frame conversion unit converts the layer 2 address of the own device set as the destination layer 2 address in the data addressed to the connection destination into the layer 2 address of the edge device of the connection destination and passes the converted data to the transfer processing unit. Item 2. The communication device according to Item 1. 前記レイヤ2網が前記各接続先の網を収容するレイヤ3網にエッジ装置を介して接続され、このエッジ装置が前記レイヤ2網を通じて受信する前記接続先宛のデータに対して前記レイヤ2網の終端処理を行うとともに前記レイヤ3網を介して該当する接続先の網へ転送する処理を行うように構成されており、
前記セッション管理手段は、ユーザ側装置との間におけるPPPセッションの確立において、ユーザ側装置に転送されるセッション確立用フレームの送信元レイヤ2アドレスとして前記エッジ装置のレイヤ2アドレスを設定し、
前記フレーム変換手段は、PPPセッションの確立後にユーザ側装置から受信する接続先宛のデータに宛先レイヤ2アドレスとして設定されている前記エッジ装置のレイヤ2アドレスを変更することなく当該データを前記転送処理手段に渡す
請求項1記載の通信装置。The Layer 2 network is connected via an edge device to a Layer 3 network accommodating the networks of the respective connection destinations, and the Layer 2 network receives data addressed to the connection destination received through the Layer 2 network by the edge device. And performing a process of transferring to the corresponding connection destination network via the layer 3 network,
The session management means sets a layer 2 address of the edge device as a source layer 2 address of a frame for session establishment transferred to the user device in establishing a PPP session with the user device;
The frame conversion means performs the transfer processing without changing a layer 2 address of the edge device set as a destination layer 2 address in data addressed to the connection destination received from the user side device after the establishment of the PPP session. 2. The communication device according to claim 1, wherein the communication device is passed to a means. 前記レイヤ2網が前記各接続先の網を収容するレイヤ3網に複数のエッジ装置を介して接続され、各エッジ装置が前記レイヤ2網を通じて受信する前記接続先宛のデータに対して前記レイヤ2網の終端処理を行うとともに前記レイヤ3網を介して該当する接続先の網へ転送する処理を行うように構成されており、
前記セッション管理手段は、ユーザ側装置との間におけるPPPセッションの確立において、ユーザ側装置に転送されるセッション確立用フレームの送信元レイヤ2アドレスとして、接続先に応じたエッジ装置のレイヤ2アドレスを設定し、
前記フレーム変換手段は、PPPセッションの確立後にユーザ側装置から受信する接続先宛のデータに宛先レイヤ2アドレスとして設定されている前記エッジ装置のレイヤ2アドレスを変更することなく当該データを前記転送処理手段に渡す
請求項1記載の通信装置。The layer 2 network is connected to a layer 3 network accommodating the networks of the respective connection destinations via a plurality of edge devices, and each of the edge devices receives the data addressed to the connection destination through the layer 2 network. 2 is configured to perform termination processing of the two networks and to perform processing of transferring the data to the corresponding connection destination network via the layer 3 network.
The session management means, when establishing a PPP session with the user-side device, uses the layer 2 address of the edge device according to the connection destination as the source layer 2 address of the session establishment frame transferred to the user-side device. Set,
The frame conversion means performs the transfer processing without changing a layer 2 address of the edge device set as a destination layer 2 address in data addressed to the connection destination received from the user side device after the establishment of the PPP session. 2. The communication device according to claim 1, wherein the communication device is passed to a means. 前記レイヤ2網は、IEEE802.1Q VLANに従って接続先毎に論理分割されており、
前記転送処理手段は、前記接続先宛のデータに対し、当該データの接続先に対応するVLAN−tagを設定して前記レイヤ2網に送出する
請求項1〜4のいずれかに記載の通信装置。The layer 2 network is logically divided for each connection destination according to IEEE 802.1Q VLAN,
The communication device according to any one of claims 1 to 4, wherein the transfer processing unit sets a VLAN-tag corresponding to the data connection destination for the data addressed to the connection destination, and transmits the data to the layer 2 network. .
JP2003095909A 2003-03-31 2003-03-31 Communication device Expired - Fee Related JP4166609B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003095909A JP4166609B2 (en) 2003-03-31 2003-03-31 Communication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003095909A JP4166609B2 (en) 2003-03-31 2003-03-31 Communication device

Publications (2)

Publication Number Publication Date
JP2004304574A true JP2004304574A (en) 2004-10-28
JP4166609B2 JP4166609B2 (en) 2008-10-15

Family

ID=33408123

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003095909A Expired - Fee Related JP4166609B2 (en) 2003-03-31 2003-03-31 Communication device

Country Status (1)

Country Link
JP (1) JP4166609B2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006311159A (en) * 2005-04-28 2006-11-09 Nec Corp User side device, ip telephone system, and method for fixing position of telephone
JP2006352503A (en) * 2005-06-16 2006-12-28 Hewlett-Packard Development Co Lp Communication system and its method
JP2007174209A (en) * 2005-12-21 2007-07-05 Matsushita Electric Works Ltd Security communication system
JP2007312289A (en) * 2006-05-22 2007-11-29 Hitachi Communication Technologies Ltd Packet transfer device, system, and method
JP2008160868A (en) * 2008-01-16 2008-07-10 Hitachi Communication Technologies Ltd Packet transfer device
JP2008530882A (en) * 2005-02-14 2008-08-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and node for aggregating data traffic via unicast messages over an access domain using service binding
JP2008530881A (en) * 2005-02-14 2008-08-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) A method for aggregating data traffic on an access domain and nodes relating to the method
WO2009086776A1 (en) * 2007-12-27 2009-07-16 Huawei Technologies Co., Ltd. Method, system and equipment for accessing visual private network
JP2011107796A (en) * 2009-11-13 2011-06-02 Alaxala Networks Corp Device and system for effectively using a plurality of authentication servers
WO2019240024A1 (en) * 2018-06-13 2019-12-19 日本電信電話株式会社 Network control device, user terminal, communication system, network control method, and network control program

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4698684B2 (en) * 2005-02-14 2011-06-08 テレフオンアクチーボラゲット エル エム エリクソン(パブル) A method for aggregating data traffic on an access domain and nodes relating to the method
JP4696131B2 (en) * 2005-02-14 2011-06-08 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and node for aggregating data traffic via unicast messages over an access domain using service binding
JP2008530882A (en) * 2005-02-14 2008-08-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and node for aggregating data traffic via unicast messages over an access domain using service binding
JP2008530881A (en) * 2005-02-14 2008-08-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) A method for aggregating data traffic on an access domain and nodes relating to the method
JP2006311159A (en) * 2005-04-28 2006-11-09 Nec Corp User side device, ip telephone system, and method for fixing position of telephone
JP2006352503A (en) * 2005-06-16 2006-12-28 Hewlett-Packard Development Co Lp Communication system and its method
JP2007174209A (en) * 2005-12-21 2007-07-05 Matsushita Electric Works Ltd Security communication system
JP2007312289A (en) * 2006-05-22 2007-11-29 Hitachi Communication Technologies Ltd Packet transfer device, system, and method
US7733859B2 (en) 2006-05-22 2010-06-08 Hitachi, Ltd. Apparatus and method for packet forwarding in layer 2 network
WO2009086776A1 (en) * 2007-12-27 2009-07-16 Huawei Technologies Co., Ltd. Method, system and equipment for accessing visual private network
JP4621259B2 (en) * 2008-01-16 2011-01-26 株式会社日立製作所 Packet transfer control method
JP2008160868A (en) * 2008-01-16 2008-07-10 Hitachi Communication Technologies Ltd Packet transfer device
JP2011107796A (en) * 2009-11-13 2011-06-02 Alaxala Networks Corp Device and system for effectively using a plurality of authentication servers
WO2019240024A1 (en) * 2018-06-13 2019-12-19 日本電信電話株式会社 Network control device, user terminal, communication system, network control method, and network control program

Also Published As

Publication number Publication date
JP4166609B2 (en) 2008-10-15

Similar Documents

Publication Publication Date Title
JP4631961B2 (en) Virtual access router
JP4236398B2 (en) Communication method, communication system, and communication connection program
USRE46195E1 (en) Multipath transmission control protocol proxy
JP4732974B2 (en) Packet transfer control method and packet transfer apparatus
JP4394590B2 (en) Packet relay apparatus and communication bandwidth control method
US7835370B2 (en) System and method for DSL subscriber identification over ethernet network
US7656872B2 (en) Packet forwarding apparatus and communication network suitable for wide area Ethernet service
KR101063080B1 (en) How to provide Ethernet DSL access multiplexer and dynamic service selection and end-user configuration
EP2031803B1 (en) Relay network system and terminal adapter apparatus
JP2000341327A (en) Vpn constitution system, inter-work router device, packet communicating method, data communicating device, and packet repeater device
EP1415442B1 (en) Metropolitan access via tunnel transports
WO2007124679A1 (en) Method and system of network communication
JP4241329B2 (en) Virtual access router
JP4166609B2 (en) Communication device
US7978602B2 (en) Dynamic construction of label switching protocol interfaces
Cisco Remote Access to MPLS VPN
JPWO2003043276A1 (en) Provider connection system, packet switching apparatus thereof, packet switching method and computer program thereof
EP1981217A1 (en) Method for forwarding data packets in an access network and device
WO2009086776A1 (en) Method, system and equipment for accessing visual private network
CN101030877B (en) Method for realizing packet broadcasting service by point-to-point protocol
JP2004104527A (en) Internet access network and access switch
WO2009065349A1 (en) Layer 2 control proxy method, device and system
JP2003234753A (en) Edge broadband access repeater and broadband network system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060223

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080408

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080609

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080722

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080730

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110808

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120808

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120808

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130808

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees