JP2006005443A - 通信制御装置とそのフレーム転送制御方法およびプログラム - Google Patents
通信制御装置とそのフレーム転送制御方法およびプログラム Download PDFInfo
- Publication number
- JP2006005443A JP2006005443A JP2004176973A JP2004176973A JP2006005443A JP 2006005443 A JP2006005443 A JP 2006005443A JP 2004176973 A JP2004176973 A JP 2004176973A JP 2004176973 A JP2004176973 A JP 2004176973A JP 2006005443 A JP2006005443 A JP 2006005443A
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication
- frame
- address
- side port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 認証をもとに接続先のネットワークを切り替えるネットワークにおいて、接続先のネットワーク側からの各ユーザセッションの切断を可能とする。
【解決手段】 通信制御装置1は、認証機構部1aにより、端末に対する認証を行い、この認証結果に基づき、記憶部1bにおいて、アクセス側ポート番号と送信元アドレスおよびネットワーク識別子等の情報組を、ネットワーク側ポート番号とネットワーク側ポートに接続された装置のアドレスおよび当該装置との通信に用いるネットワーク識別子等の情報組に対応付けて記憶しておき、上りフレーム変換部1cにおいて、受信した上りフレーム内の宛先アドレスとネットワーク識別子を、記憶部1bを参照して接続先ルータのMACアドレスとネットワーク識別子に変換し、下りフレーム変換部1dにおいて、下りフレーム内のネットワーク識別子を、記憶部1bを参照して端末側のネットワーク識別子に変換し、変換した上りフレーム、下りフレームを当該ポートから出力する。尚、情報組が記憶部1bに記憶されていないフレームは破棄する。
【選択図】 図1
【解決手段】 通信制御装置1は、認証機構部1aにより、端末に対する認証を行い、この認証結果に基づき、記憶部1bにおいて、アクセス側ポート番号と送信元アドレスおよびネットワーク識別子等の情報組を、ネットワーク側ポート番号とネットワーク側ポートに接続された装置のアドレスおよび当該装置との通信に用いるネットワーク識別子等の情報組に対応付けて記憶しておき、上りフレーム変換部1cにおいて、受信した上りフレーム内の宛先アドレスとネットワーク識別子を、記憶部1bを参照して接続先ルータのMACアドレスとネットワーク識別子に変換し、下りフレーム変換部1dにおいて、下りフレーム内のネットワーク識別子を、記憶部1bを参照して端末側のネットワーク識別子に変換し、変換した上りフレーム、下りフレームを当該ポートから出力する。尚、情報組が記憶部1bに記憶されていないフレームは破棄する。
【選択図】 図1
Description
本発明は、通信フレームを用いた通信技術に係わり、特に、BRAS(Broadband Remote Access Server)機能等を用いて、認証をもとに接続先のネットワークを切り替える技術に関するものである。
一つの通信端末(以下、単に「端末」という)が、複数のネットワークから1つを選択して接続する技術については、特にインタネット・サービス・プロバイダ(ISP)への接続サービスで使用されている。例えば、ADSL(Asymmetric Digital Subscriber Line)や光アクセス回線を用いたアクセスサービスにおいて、契約によって固定的にあるISPのネットワークに接続を行うサービスだけではなく、認証を用いて接続先を端末側が自由に変更可能な技術が用いられている。
図21は、従来のネットワーク構成例を示すブロックである。ここでは、PPP/PPPoE(Point to Point Protocol/PPPover Ethernet(登録商標))を用いたネットワークの第1の従来技術例を示している。尚、本第1の従来技術は、例えば、非特許文献1における「PPP Termination and Aggregation Architectures」の「Figure 1-2 PTA to VRF Architectural Model」に記載されている。
図21に示すネットワークシステムにおいて、端末(1)2102a〜(n)2102cは、アクセス装置2103を介して、PPPoEを終端するブロードバンド・アクセス・サーバ(BRAS)2101と接続され、このBRAS2101において、ブロードバンド・サービスの加入者が管理される。また、BRAS2101は、複数のISP(1)〜(m)のネットワーク2106a〜cとルータ(1)2105a〜(m)2105cを介して接続されている。この場合、アクセス装置2103およびBRAS2101はアクセス事業者が管理する。
まず、端末(1)2102a〜(n)2102cは、BRAS2101とのPPP/PPPoEセッションを確立するために、認証を行う。認証には一般的にCHAP(チャレンジ・ハンドシェイク・プロトコル)やPAP(パスワード認証プロトコル)が用いられる。
これらのプロトコルの認証の際、端末(1)2102a〜(n)2102cからBRAS2101に、ユーザ名を通知するが、本第1の従来技術では、ユーザ名として「名前@ドメイン名」の形でBRAS2101へ通知する。
BRAS2101はドメイン名を判別し、ドメイン名で示されたISPの認証サーバ(1)2107a〜(m)2107cに対して、プロキシ認証を行う。すなわち、ユーザの認証をドメイン名で示されたISPの認証サーバ(1)2107a〜(m)2107cとの間で行う。
認証が成功したならば、BRAS2101は、当該ISPとPPP/PPPoEセッションとを関連づける。このような動作により、端末(1)2102a〜(n)2102cは、「ドメイン名」で指定したISP(1)〜(m)への接続が可能となる。
しかし、この第1の従来技術の場合、PPP/PPPoEセッションがアクセス事業者が保有するBRAS2101で終端されてしまう。そのため、ISPのルータ(1)2105a〜(m)2105cは、ユーザ個々のセッションを識別することができない。この結果、例えばISP側から、あるユーザのセッションを強制的に切断しようとする場合、アクセス事業者ヘセッションの切断の依頼をする必要があり、処理が煩雑である。
また、個々のユーザ毎に、IPv4、IPv6といった、使用するプロトコルが異なる場合には、PPP/PPPoEを終端するBRAS2101において、それぞれのプロトコルに対応することが必要であり、認証に基づいてISP側から動的に指定するということができない。
図22は、従来の他のネットワーク構成例を示すブロックである。ここでは、PPP/L2TP(Layer 2 Tunneling Protocol)を用いた第2の従来技術のネットワーク構成例を示している。尚、本第2の従来技術に関しては、上記非特許文献1の「L2TP Architectures」の「Figure 1-4 LNS Architectural Model」に記載されている。
端末(1)2202a〜(n)2202cは、アクセス装置2203を介してPPPoEを終端し、PPPセッションをL2TPで転送するL2TPアクセス・コンセントレータ(LAC)2201と接続され、LAC2201は、ISP毎に設置された、PPP/L2TPを終端するL2TPネットワーク・サーバ(LNS:L2TP Network Server)(1)2204a〜(m)2204cを介して、それぞれのISP(1)〜(m)のネットワーク2206a〜2206cとルータ(1)2205a〜(m)2205c経由で接続されている。
この場合、アクセス装置2203およびLAC2201、LNS(1)2204a〜(m)2204cはアクセス事業者が管理する。尚、LNS(1)2204a〜(m)2204cをISP(1)〜(m)が管理する場合もある。
まず、端末(1)2202a〜(n)2202cは、LNS(1)2204a〜(m)2204cとのPPPセッションを確立するために、認証を行う。認証には一般的にCHAP(チャレンジ・ハンドシェイク・プロトコル)やPAP(パスワード認証プロトコル)が用いられる。
これらのプロトコルの認証の際に、端末(1)2202a〜(n)2202cからユーザ名をLAC2201へ通知するが、本第2の従来技術では、ユーザ名として「名前@ドメイン名」の形でLAC2201へ通知する。
LAC2201は、ドメイン名を判別し、このドメイン名で示されたLNS(1)2204a〜(m)2204cに対してL2TPトンネルを形成し、このトンネルを用いてPPPをLNS(1)2204a〜(m)2204cまで転送する。
LNS(1)2204a〜(m)2204cは、ISP(1)〜(m)の認証サーバ(1)2207a〜(m)2207cに対して、認証を行う。すなわち、ユーザの認証をドメイン名で示されたISP(1)〜(m)の認証サーバ(1)2207a〜(m)2207cとの間で行う。認証が成功したならば、LNS(1)2204a〜(m)2204cは、PPP/L2TPセッションを確立する。このような動作により、端末(1)2202a〜2202cは、指定したISP(1)〜(m)への接続が可能となる。
この第2の従来技術では、PPPセッションがLNS(1)2204a〜(m)2204cで終端されているために、LNS(1)2204a〜(m)2204cの管理者がISP(1)〜(m)であれば、ISP(1)〜(m)は個々のユーザを識別することが可能である。
しかし、前述の第1の従来技術と同様に、本第2の従来技術でも、PPPを用いているために、ネットワーク内でIPv4およびIPv6を用いる場合には、LAC2201、LNS(1)2204a〜(m)2204cといった各中継装置がそれぞれのプロトコルに対応しなければならない。
また、PPPを用いているために、マルチキャストはLNS(1)2204a〜(m)2204cで各PPPセッションにコピーする必要があり、LAC2201からLNS(1)2204a〜(m)2204c間の帯域が無駄になるといった問題があった。
「Broadband Aggregation Overview (Cisco 10000 Series Internet Router Broadband Aggregation Configuration Guide)」、[online]、[平成16年5月18日検索]、インターネット<URL: http://www.cisco.com/univercd/cc/td/doc/product/aggr/10000/config/10kbba/overview.pdf>
解決しようとする問題点は、認証をもとに接続先のネットワークを切り替えるネットワークサービス技術において、従来のPPP/PPPoEを用いた技術では、接続先のネットワーク(例えばISP)側から各ユーザセッションを識別することができない点、また、PPP/L2TPを用いた技術では、マルチキャストを用いる場合に帯域が無駄になる点、さらに、両技術では、各中継装置が、IPv4あるいはIPv6といった、使用するプロトコルに対応しなけれなならない点である。
本発明の目的は、これら従来技術の課題を解決し、認証をもとに接続先のネットワークを切り替えるネットワークサービス技術において、接続先のネットワーク側からの各ユーザセッションの切断を可能とすると共に、効率的かつ経済的なネットワーク構築を可能とすることである。
上記目的を達成するため、本発明の通信制御装置は、通信端末とネットワーク間における通信フレームの転送を、この通信フレーム内に設けられた宛先アドレスと送信元アドレスおよびネットワーク識別子に基づき制御する際、端末から受信した認証用の通信フレーム内の送信元アドレスの端末に対して認証を行い、この認証に成功した場合、少なくとも、認証用の通信フレームを受信したアクセス側ポート番号と当該通信フレーム内の送信元アドレスおよびネットワーク識別子からなる組を、少なくとも認証結果で得られるネットワーク側ポート番号と、このネットワーク側ポートに接続された装置のアドレスおよび当該装置との通信に用いるネットワーク識別子からなる組に対応付けて記憶装置に記憶しておき、アクセス側ポートで受信した通信フレーム(上りフレーム)内の送信元アドレスとネットワーク識別子および当該アクセス側ポート番号が、記憶装置で記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内の宛先アドレスとネットワーク識別子を、記憶装置で対応付けて記憶したネットワーク側ポートに接続された装置のアドレスと当該装置との通信に用いるネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄すると共に、ネットワーク側ポートで受信した通信フレーム(下りフレーム)内の送信元のアドレスとネットワーク識別子および当該ネットワーク側ポート番号が、記憶装置で記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内のネットワーク識別子を、記憶装置で対応付けて記憶した端末側のネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄し、変換した通信フレーム(上りフレーム、下りフレーム)を当該ポートから出力する。そして、記憶装置の記憶内容として、複数のネットワーク側のネットワーク識別子、プロトコル情報やマルチキャスト要求情報等を、付加することにより、これらの付加情報を条件とした種々の転送制御を行う。
本発明によれば、認証をもとに、接続先の例えばルータのMACアドレスおよびそのルータで使用するVLANタグを指定するので、接続先のルータで個々のユーザをVLANといった単位で識別することを可能となる。また、接続先ルータから送信された通信フレームについて、送信元MACアドレスが認証結果によって定められた接続先ルータのMACアドレスであり、かつ、通信フレームに記載されたVLANタグが認証結果によって定められたVLANタグである場合にのみ端末へ転送することにより、接続先ルータ以外からの通信を遮断することが可能となり、特定の接続先のみとの通信を可能とすることができる。また、本発明の処理は、レイヤ2のみの処理であるので、IPv4あるいはIPv6といった上位プロトコルに依存せずに転送することが可能であり、接続先ネットワークで使用するプロトコルに制限がない通信が可能となる。また、使用するプロトコルによって接続先を変更することが可能である。また、マルチキャスト通信フレームに関しては、認証によって定められたマルチキャスト送信ルータのMACアドレスおよび認証によって定められたVLANタグを有するマルチキャスト通信フレームのみを転送することにより、認証によって接続されたISPから送信されたマルチキャスト通信フレームのみを端末側に転送することが可能であり、かつ、ISPのルータでユーザの数だけコピーすることなく転送するので、ISPのルータから通信制御装置の間のネットワークの帯域を無駄にすることがない。また、端末が使用するMACアドレスを書き換えることにより、ネットワーク側に接続されたレイヤ2スイッチのMACアドレス学習エントリが不用意に削除されたり、莫大な数になったりすることを防止することが可能である。これにより、認証をもとに接続先のネットワークを切り替えるネットワークサービス技術において、接続先のネットワーク側からの各ユーザセッションの切断が可能となると共に、効率的かつ経済的なネットワーク構築が可能となる。
以下、図を用いて本発明を実施するための最良の形態例を説明する。
図1は、本発明に係わる通信制御装置の構成例を示すブロック図であり、図2は、図1における通信制御装置を設けたネットワークの構成例を示すブロック、図3は、図2におけるネットワークで送受信される通信フレームの構成例を示す説明図、図4は、図1における通信制御装置で作成されるテーブル内容例を示す説明図、図5は、図1における通信制御装置の第1のフレーム変換例を示す説明図、図6は、図1における通信制御装置の第2のフレーム変換例を示す説明図、図7は、図1における通信制御装置の第3のフレーム変換例を示す説明図である。
図1における通信制御装置1は、CPU(Central Processing Unit)あるいはASIC(Application Specific Integrated Circuit:特定用途向け集積回路)、FPGA(Field Programmable Gate Array)、等の論理回路や主メモリ、表示装置、入力装置、外部記憶装置等からなるコンピュータ機能を有し、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPU等で処理することにより、認証機構部1a、記憶部1b、上りフレーム変換部1c、下りフレーム変換部1d等の、各処理部の本発明に係わる機能を実行する。
すなわち、本例の通信制御装置1は、通信端末とネットワーク間における通信フレームの転送を、通信フレーム内に設けられた宛先アドレスと送信元アドレスおよびネットワーク識別子に基づき制御する際、認証機構部1aにおいて、端末から受信した認証用の通信フレーム内の送信元アドレスの端末に対して認証を行い、この認証機構部1aでの認証に成功した場合、記憶部1bにおいて、少なくとも、認証用の通信フレームを受信したアクセス側ポート番号と当該認証用通信フレーム内の送信元アドレスおよびネットワーク識別子からなる組を、少なくとも認証機構部1aでの認証結果で得られるネットワーク側ポート番号とこのネットワーク側ポートに接続された装置のアドレスおよびこの装置との通信に用いるネットワーク識別子からなる組に対応付けて記憶する。
そして、上りフレーム変換部1cにおいては、アクセス側ポートで受信した通信フレーム内の送信元アドレスとネットワーク識別子および当該アクセス側ポート番号が、記憶部1bで記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内の宛先アドレスとネットワーク識別子を、記憶部1bで対応付けて記憶したネットワーク側ポートに接続された装置のアドレスとこの装置との通信に用いるネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄する。
また、下りフレーム変換部1dにおいては、ネットワーク側ポートで受信した通信フレーム内の送信元のアドレスとネットワーク識別子および当該ネットワーク側ポート番号が、記憶部1bで記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内のネットワーク識別子を、記憶部1bで対応付けて記憶した端末側のネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄する。
そして、通信制御装置1は、上りフレーム変換部1cおよび下りフレーム変換b1dで変換した通信フレームを当該ポートから出力する。
以下、このような構成からなる通信制御装置1を設けたネットワーク構成の第1の実施例について、図2を用いて説明する。本例では、通信方式としてEthernet(登録商標)を用いた場合で、ネットワーク識別子がIEEE802.1Q規定のVLANの場合を例にとり説明を行う。
図2に示すように、端末(1)2a〜(n)2cは、アクセス装置3を介して通信制御装置1のアクセス側ポート(1)〜(x)と接続される。本例では、アクセス装置3は、複数の回線を収容し、各回線単位にIEEE802.1Q規定のVLANで多重し、通信制御装置1のアクセス側ポート(1)〜(x)と接続している。
また、通信制御装置1は、VLAN対応のレイヤ2スイッチ4とネットワーク側ポート(1)〜(y)で接続され、レイヤ2スイッチ4には複数のルータ(1)5a〜(m)5cが接続されている。このようなネットワーク構成における通信制御装置1による、上り方向の通信(端末からネットワーク)での宛先アドレスの変換とVLAN IDの変換、および、下り方向の通信(ネットワークから端末)でのフィルタリング動作について説明する。
まず、端末(1)2a〜(n)2cからネットワーク(1)6a〜(m)6cに向かう方向(上り方向)の通信に関しての説明を行う。ここでは、端末(1)2aがルータ(1)5aと接続する場合について説明を行う。アクセス装置3は、端末(1)2aが接続されている回線に対してVLAN ID 101を付与し、端末(2)2bが接続されている回線に対してVLAN ID 102を付与するものとする。
また、端末(1)2aが接続されている回線を収容するアクセス装置3は、通信制御装置1のアクセス側ポート(1)に接続され、また、ルータ(1)5aが接続されているレイヤ2スイッチ4は、通信制御装置1のネットワーク側ポート(1)に接続されている。
まず、端末(1)2aは、通信制御装置1との間で認証を行う。端末(1)2aは認証用のEthernet(登録商標)フレームを送信する。このフレームには、図3に示すように、アクセス装置3において、ネットワーク識別子としてのVLANタグが付与されて、通信制御装置1のアクセス側ポート(1)で受信する。IEEE802.1Q規定のVLANの場合、ネットワーク識別子はタグプロトコルID、ユーザ優先度、VLAN IDなどの情報を含む。
このネットワーク識別子が付与されたフレームを受信した通信制御装置1は、受信したフレームが認証用のフレームであったならば、フレームを認証機構部1aに転送する。認証機構部1aは、受信したフレームの送信元MACアドレスの端末(1)2aに対して認証を行い、受信したアクセス側ポート番号(1)および受信したフレームに記載されたネットワーク識別子を、認証の結果と関連付ける。
認証機構部1aにおいて認証が成功した場合には、図4に示すようなテーブルが記憶部1bにおいて作成される。すなわち、アクセス側ポートに関する情報として、アクセス側のポート番号(1)、端末(1)2aのMACアドレス、端末(1)2aが用いたネットワーク識別子が作成される。
ここで、ネットワーク識別子の内容の全てを記憶する必要はなく、例えばユーザ優先度についてはネットワークに関する情報ではないことから、任意の値を許可することも可能である。また、タグプロトコルIDおよびCFIについては、図4の例では情報として記憶しているが、特定の値しか用いないことが予め分かっている場合は、認証の度にその値を記憶する必要はない。
また、ネットワーク側ポートに関する情報としては、ネットワーク側ポートの番号(1)、ルータ(1)5aのMACアドレス、ルータ(1)5aとの通信に用いるネットワーク識別子が作成される。このルータ(1)5aとの通信に用いるネットワーク識別子についても、その内容の全てを記憶する必要がないことは、アクセス側ポートで用いるネットワーク識別子と同様である。
この状態で、図2において、次に、端末(1)2aがEthernet(登録商標)フレームを送信した場合を考える。先ほどと同様に、このフレームはアクセス装置3でVLAN ID 101を有するVLANタグ(ネットワーク識別子)を付与され、通信制御装置1に転送される。
通信制御装置1は、このフレームを受信したならば、上りフレーム変換部1cにおいて、受信したアクセス側のポート番号、受信したフレームに記載されている送信元MACアドレス、および受信したフレームに記載されているネットワーク識別子を用いて、記憶部1bに記憶されたテーブルの検索を行う。この場合には、図4に示すテーブルがすでに作成されていることから、テーブルの1行目が検索でヒットすることになる。
上りフレーム変換部1cでは、この検索結果を用いて、受信したフレームの宛先MACアドレスをルータ(1)5aのMACアドレスに変換し、受信したフレームのネットワーク識別子をネットワーク側ポート(1)で用いるネットワーク識別子に変換する。図4に記載のテーブルエントリでは、ユーザ優先度の値については書き換えを行わない。その結果、フレームは、図5に示すようにして変換される。
通信制御装置1は、この変換したフレームを検索結果に従い、ネットワーク側ポート(1)から出力する。
通信制御装置1から出力されたEthernet(登録商標)フレームは、図2におけるレイヤ2スイッチ4において、通常のレイヤ2スイッチの動作に基づき、VLAN ID 201を有してルータ(1)5aに宛てられたEthernet(登録商標)フレームとして解釈されることから、ルータ(1)5aに転送される。
また、この時、認証が終了していない端末(2)2bがEthernet(登録商標)フレームを転送した場合について説明を行う。このフレームはアクセス装置3でVLAN ID 102を有するVLANタグを付与され、通信制御装置1に転送される。通信制御装置1は、このフレームを受信したならば、先ほどと同様に、上りフレーム変換部1cにおいて、受信したアクセス側のポート番号、受信したフレームに記載されている送信元MACアドレス、および、受信したフレームに記載されているネットワーク識別子を用いて、記憶部1bに記憶されたテーブルの検索を行う。
この場合には、図4に示すテーブルがすでに作成されていることから、アクセス側ポート(1)、端末(2)2bのMACアドレス、VLAN ID 102を含むネットワーク識別子に関連する検索はヒットするエントリがない。その結果、上りフレーム変換部1cは、受信したフレームを破棄する。
このような動作により、認証が終了していない端末(2)2bから送信されたフレームは、通信制御装置1で破棄される。
さらに、以上の説明で明らかなように、本例では、全てEthernet(登録商標)フレームの処理であるために、IPv4、IPv6などレイヤ3プロトコルあるいは、PPP/PPPoEなどのプロトコルに依存しない。このため、Ethernet(登録商標)上で転送可能なプロトコルであれば全て転送が可能である。
次に、ネットワーク(1)6a〜(m)6cから端末(1)2a〜(n)2cに向かう方向(下り方向)の通信の説明を行う。
基本的に、ネットワーク(1)6a〜(m)6cヘの接続サービスは、すでに説明したような端末(1)2a〜(n)2c側からの接続が初めに行われる。このため、ルータ(1)5aは、自装置のインタフェース上のVLAN ID 201を端末(1)2aが使用していることを接続時に行われた認証により知ることができる。
まず、ルータ(1)5aから端末(1)2aに宛てたユニキャストのEthernet(登録商標)フレームについて説明を行う。
ルータ(1)5aから端末(1)2aに宛てたユニキャストのEthernet(登録商標)フレームは、送信される際、あて先アドレスを端末(1)2aのMACアドレス、送信元アドレスをルータ(1)5aのMACアドレス、ネットワーク識別子をVLAN ID 201を含むネットワーク識別子として送信される。
このフレームは、レイヤ2スイッチ4においては、通常のレイヤ2スイッチの動作に基づき、VLAN ID 201を有した、端末(1)2aに宛てられたEthernet(登録商標)フレームとして解釈されることから、通信制御装置1のネットワーク側ポート(1)に転送される。
このフレームを受信した通信制御装置1は、下りフレーム変換部1dにおいて、受信したネットワーク側のポート番号、受信したフレームに記載されている送信元MACアドレス、および受信したフレームに記載されているネットワーク識別子を用いて、記憶部1bに記憶されたテーブルの検索を行う。
この場合には、受信したネットワーク側ポート番号が(1)、受信したフレームに記載されている送信元MACアドレスがルータ(1)5aのMACアドレス、受信した通信フレームに記載されているネットワーク識別子が、VLAN ID 201を含むネットワーク識別子であるため、図4に示すテーブルの1行目が検索でヒットすることになる。
下りフレーム変換部1dでは、この検索結果を用いて、受信したフレームのネットワーク識別子をアクセス側ポートで用いるネットワーク識別子に変換する。
図4に記載のテーブルエントリでは、ユーザ優先度の値については書き換えを行わない。その結果、フレームは図6に示すように変換されることになる。通信制御装置1は、この変換したフレームを検索結果に従い、アクセス側ポート(1)から出力する。
次に、ルータ(1)5aから端末(1)2aに宛てたブロードキャストあるいはマルチキャストのEthernet(登録商標)フレームについて説明を行う。
ルータ(1)5aから端末(1)2aに宛てたブロードキャストあるいはマルチキャストのEthernet(登録商標)フレームは、送信される際に、宛先アドレスをブロードキャストあるいはマルチキャストとし、送信元アドレスをルータ(1)5aのMACアドレス、ネットワーク識別子をVLAN ID 201を含むネットワーク識別子として送信される。
このフレームは、レイヤ2スイッチ4においては、通常のレイヤ2スイッチの動作に基づき、VLAN ID 201を有するブロードキャストあるいはマルチキャストのEthernet(登録商標)フレームとして解釈されることから、レイヤ2スイッチ4に接続されている全ての通信制御装置1のネットワーク側ポートに転送される。
このフレームを受信した通信制御装置1は、先ほどのユニキャストの場合と同様に、下りフレーム変換部1dにおいて、受信したネットワーク側のポート番号、受信したフレームに記載されている送信元MACアドレス、および受信したフレームに記載されているネットワーク識別子を用いて、記憶部1bに記憶されたテーブルの検索を行う。
この場合には、受信したネットワーク側ポート番号が(1)、受信したフレームに記載されている送信元MACアドレスがルータ(1)5aのMACアドレス、受信した通信フレームに記載されているネットワーク識別子がVLAN ID 201を含むネットワーク識別子であるため、端末(1)2aに接続されている通信制御装置1においては、図4に示すテーブルの1行目が検索でヒットすることになる。
下りフレーム変換部1dでは、この検索結果を用いて、受信したフレームの受信したフレームのネットワーク識別子をアクセス側ポートで用いるネットワーク識別子に変換する。図4に記載のテーブルエントリでは、ユーザ優先度の値については書き換えを行わない。その結果、フレームは図7に示すように変換される。
通信制御装置1は、この変換したフレームを検索結果に従い、アクセス側ポート(1)から出力する。逆に、端末(1)2aに接続されていない通信制御装置1においては、検索でヒットするテーブルのエントリはない。この場合、通信制御装置1は下りフレーム変換部1dにおいて、通信フレームを破棄する。
通信制御装置1において、以上のようなフィルタリング動作を行うことにより、ルータ(1)5aからVLAN ID 201で送信されたフレームは、端末(1)2aが接続された通信回線にのみ転送され、他の通信回線に転送されることはなく、ユニキャスト、ブロードキャスト、マルチキャスト共に正常に転送が可能となる。
さらに、以上の説明で明らかなように、全てEthernet(登録商標)フレームの処理であるために、IPv4、IPv6などレイヤ3プロトコルあるいは、PPP/PPPoEなどのプロトコルに依存しない。このため、Ethernet(登録商標)上で転送可能なプロトコルであれば全て転送が可能である。
次に、本発明の第2の実施例として、記憶部(1b)に記憶するネットワーク側ポートで用いるネットワーク識別子が複数のネットワーク識別子の組み合わせ(スタックVLAN使用)であることを特徴とする通信制御装置(1)の説明を、図8から図11を用いて行う。
図8は、本発明に係わる通信制御装置を設けたネットワークの構成例を示すブロックであり、図9は、図8における通信制御装置で作成されるテーブル内容例を示す説明図、図10は、図8における通信制御装置の第1のフレーム変換例を示す説明図、図11は、図8における通信制御装置の第2のフレーム変換例を示す説明図である。
図8に示すネットワーク構成例は、図2に示すネットワーク構成例と同様であるが、ここでは、通信方式としてEthernet(登録商標)を用いた場合でネットワーク識別子が2つ組み合わさったスタックVLANの場合を例にとり説明を行う。
図8に示すように、端末(1)82a〜(n)82cは、アクセス装置83を介して通信制御装置81のアクセス側ポート(1)〜(x)と接続される。本例では、アクセス装置83は複数の回線を収容し、各回線単位にIEEE802.1Q規定のVLANで多重し、通信制御装置81のアクセス側ポート(1)〜(x)と接続している。
また、通信制御装置81は、スタックVLAN対応のレイヤ2スイッチ84とネットワーク側ポート(1)〜(y)で接続され、レイヤ2スイッチ84には、複数のルータ(1)85a〜(m)85cが接続され、各ルータ(1)85a〜(m)85cを介してネットワーク(1)86a〜(m)86cが接続されている。
レイヤ2スイッチ84では、スタックVLANのタグプロトコルIDとして「0x9100」を用いているとする。この場合、認証機構部1aの認証により、ネットワーク側ポートで用いるネットワーク識別情報として、各ルータ(1)85a〜(m)85cからの識別子と共に、レイヤ2スイッチ84において各ルータ(1)85a〜(m)85cと通信制御装置81を接続するためのネットワーク識別子が得られる。
この結果、認証機構部1aで、端末(1)2aとの認証が成功した場合、例えば、図9に示すようなテーブルが記憶部1bに作成される。この図9に示すテーブルにおいて、図1における通信制御装置1の例と異なる点は、ネットワーク側で使用するネットワーク識別子が2つ記憶されていることである。すなわち、記憶部1bにおいては、ネットワーク側ポートの組となるネットワーク識別子として、複数のネットワーク識別子を記憶している。
より詳細には、記憶部1bにおいては、認証機構部1aの認証結果に応じて、接続先のルータ(1)85aに関するネットワーク識別子と共に、端末(1)2aの接続要求先のネットワーク(1)86a経路上にあるスタックVLAN対応レイヤ2スイッチ84に関するネットワーク識別子も記憶している。そして、上りフレーム変換部1cにおける通信フレームの変換では、受信した通信フレーム(上りフレーム)内のネットワーク識別子を、記憶部1bにおいて端末(1)2aのネットワーク識別子に対応付けて記憶された複数のネットワーク識別子に変換し、また、下りフレーム変換1dにおける通信フレームの変換では、受信した通信フレーム(下りフレーム)内の複数のネットワーク識別子を、記憶部1bにおいてルータ(1)85aのネットワーク識別子とスタックVLAN対応レイヤ2スイッチ84のネットワーク識別子の組に対応付けて記憶された端末(1)2aのネットワーク識別子に変換する。
すなわち、端末(1)82aがEthernet(登録商標)フレームを送信した、上り方向の通信の場合には、上述した第1の実施例の場合と同様に、上りフレーム変換部1cにおいて、フレームの変換がなされる。この場合は図10に示すように変換され、ネットワーク側ポート(1)から出力される。
このフレームを受信したスタックVLAN対応のレイヤ2スイッチ84は、通常のスタックVLAN対応のレイヤ2スイッチと同様に、タグプロトコルIDが「0x9100」のネットワーク識別子を削除し、ルータ(1)85aに転送する。他の動作については、第1の実施例で説明した動作と同様である。
このような動作により、第1の実施例で説明を行った通信制御装置1と同様に、認証が終了していない端末から送信されたフレームは、通信制御装置81で破棄される。
さらに、本第2の実施例においても、第1の実施例と同様、全てEthernet(登録商標)フレームの処理であるために、IPv4、IPv6などレイヤ3プロトコルあるいは、PPP/PPPoEなどのプロトコルに依存しない。このため、Ethernet(登録商標)上で転送可能なプロトコルであれば全て転送が可能である。また、上位のレイヤ2スイッチ84において、スタックVLANを使用することが可能となる。
次に、ネットワーク(1)86a〜(m)86cから端末(1)82a〜(n)82cに向かう方向(下り方向)の通信の場合、ルータ(1)85aは、「0x8100」のタグプロトコルIDを有し、VLAN ID 201のネットワーク識別子(2)を有するEthernet(登録商標)フレームを送信する。これを受信したスタックVLAN対応のレイヤ2スイッチ84は、タグプロトコルIDが「0x9100」で、VLAN IDが301のネットワーク識別子(1)をさらに付加する。
このような動作により、通信制御装置81のネットワーク側ポート(1)には、ネットワーク識別子が2つ付加された(201,301)スタックVLANの形態のフレームが到着する。
このフレームを受信した通信制御装置81は、第1の実施例における通信制御装置1と同様に、記憶部1bに記憶されたテーブルの検索を行い、その結果に従い、図11に示すように、下りフレーム変換部1dにおいて、ネットワーク識別子(1),(2)のそれぞれを―つのネットワーク識別子に変換する。
記憶部1bに記憶されたテーブルの検索でヒットしなかった場合には、第1の実施例と同様に下りフレーム変換部1dで破棄する。
このような動作をすることにより、通信制御装置81は、第1の実施例で説明を行った通信制御装置1と同様に、ルータ(1)85aからVLAN ID 201で送信されたフレームは、端末(1)82aが接続された通信回線にのみ転送され、他の通信回線に転送されることはなく、ユニキャスト、ブロードキャスト、マルチキャスト共に正常に転送が可能となる。
さらに、以上の説明で明らかなように、全てEthernet(登録商標)フレームの処理であるために、IPv4、IPv6などレイヤ3プロトコルあるいは、PPP/PPPoEなどのプロトコルに依存しない。このため、Ethernet(登録商標)上で転送可能なプロトコルであれば全て転送が可能である。また、上位のレイヤ2スイッチ84において、スタックVLANを使用することが可能となる。
次に、本発明の第3の実施例として、記憶部(1b)に記憶するテーブルの内容により、プロトコル判定を行う通信制御装置(1,81)についての説明を、図12を用いて行う。
図12は、本発明に係わる通信制御装置で作成されるテーブル内容例を示す説明図である。
第1の実施例および第2の実施例で説明したように、記憶部1bで記憶するテーブルの内容により様々な変換規則を実現することができる。本第3の実施例では、アクセス側ポートおよびネットワーク側ポートで使用するプロトコルに関する情報を、認証の結果に基づいて、記憶部1bにおいてテーブルに追加することにより、プロトコル情報まで含めてフレームの変換を決めることを可能とする通信制御装置の例を示す。
すなわち、認証の結果に当該通信フレームの通信に用いるプロトコル情報が設けられていれば、記憶部1bにおいて、当該プロトコル情報をアクセス側ポート番号の組とネットワーク側ポート番号の組とに含めて記憶する。そして、上りフレーム変換部1cでは、アクセス側ポートで受信した通信フレームを変換する際、当該通信フレーム内のプロトコル情報を含めた組で記憶部1bを参照する。
図12においては、記憶部1bで記憶するテーブルの具体例を示し、このようなテーブルを上りフレーム変換部1cが検索することにより、IPv4の場合はルータ(1)5a,85aに転送し、IPv6の場合はルータ(2)5b,85bに転送することが可能となる。
次に、本発明の第4の実施例として、図13から図16を用いて、マルチキャスト対応の技術について説明する。
図13は、本発明に係わる通信制御装置を設けたネットワークの他の構成例を示すブロックであり、図14は、図13における通信制御装置で作成されるテーブル内容例を示す説明図、図15は、図13における通信制御装置の第1のフレーム変換例を示す説明図、図16は、図13における通信制御装置の第2のフレーム変換例を示す説明図である。
上述の第1〜第3の実施例においては、ユニキャストとマルチキャストの差分なく転送する場合について説明を行った。しかし、マルチキャストによる映像配信などを考えた場合、個々のルータから接続されているユーザに対してマルチキャスト配信を行うよりも、マルチキャスト専用のルータを配置して全体に対してマルチキャストをした方が効率的である。
例えば、図2および図8に示す接続ネットワーク構成において、あるISPが、ルータを10台保有しており、それぞれ4000人ずつユーザと接続していたとする。この場合、全てのユーザに対してマルチキャストを行うために、それぞれのルータにおいて4000人分のコピーを作成する必要があり、効率的ではない。
これに対し、図13に示すように、マルチキャスト専用のVLANと全てのユーザに対してマルチキャスト可能な1台のマルチキャストルータ(1)1305cがあれば、他のルータ(11)1305a〜(12)1305bでコピーを行うことなく、マルチキャストが可能となる。
図13に示すネットワークでは、通信方式としてEthernet(登録商標)を用いた場合でネットワーク識別子が2つ組み合わさったスタックVLANの場合を例にとり説明を行う。
図13に示すように、端末(1)1302a〜(n)1302cは、アクセス装置1303を介して通信制御装置1301のアクセス側ポート(1)〜(x)と接続される。本実施例では、アクセス装置1303は複数の回線を収容し、各回線単位にIEEE802.1Q規定のVLANで多重し、通信制御装置1301のアクセス側ポート(1)〜(x)と接続している。
また、通信制御装置1301は、スタックVLAN対応のレイヤ2スイッチ1304とネットワーク側ポート(1)〜(y)で接続され、レイヤ2スイッチ1304には複数のルータ(11)1305a〜(12)1305b、マルチキャストルータ(1)1305c、ルータ(21)1307が接続されている。レイヤ2スイッチ1304では、スタックVLANのタグプロトコルIDとして「0x9100」を用いているとする。
スタックVLAN対応のレイヤ2スイッチ1304は、複数のルータ(ルータ(11)1305a、ルータ(12)1305b)およびマルチキャスト対応ルータ(1)1305cを経由してネットワーク(1)1306に接続されており、ネットワーク(2)1308など他のネットワークについても同様な接続構成である。
また、ルータ(11)1305a、ルータ(12)1305bは、スタックVLAN対応のレイヤ2スイッチ1304において、同一のスタックVLANに所属しており、そのVLAN IDを「301」とする。
さらに、マルチキャスト対応ルータ(1)1305cは、ルータ(11)1305aおよびルータ(12)1305bのスタックVLANとは別のスタックVLANに所属しており、そのVLAN IDを「401」とする。
このように、本例では、ネットワーク(1)1306に対して、スタックVLAN対応のレイヤ2スイッチ1304は、少なくとも2つのスタックVLAN ID(「301」、「401」)を用いて接続していることになる。他のネットワーク(2)1308についても同様である。
上述の第2の実施例で説明を行った通信制御装置81と同様に、認証機構部1aで端末(1)1302aとの認証が成功した場合に、図14に示すようなテーブルが記憶部1bに作成される。ここで、第2の実施例と異なる点は、ユニキャストかマルチキャストかに依存してテーブルエントリが2種類になっている点である。
すなわち、図14の1行目のテーブルエントリは、上り通常通信用のテーブルエントリであり、第2の実施例で説明した内容と同じである。これに対し、図14の2行目のテーブルエントリは、上りマルチキャスト受信要求用のテーブルエントリであり、アクセス側の情報は1行目と同一であるが、ネットワーク側において設定される情報が、マルチキャストルータ(1)1305cのMACアドレスとネットワーク識別子(1)およびネットワーク側ポート番号(1)のみになっている。また、各テーブルエントリについて、アクティブか非アクティブかを示す識別情報が付与されている、
さらに、図14のテーブルにおいては、別の回線からアクセスする端末(2)1302bについても認証が成功した場合のテーブルエントリを3行目および4行目に記載している。
この状態で、端末(1)1302aがEthernet(登録商標)フレームを送信した場合には、通信制御装置1301において、第2の実施例の場合と同様に、上りフレーム変換部1cによるフレームの変換がなされる。
まず、上りフレーム変換部1cは、フレームがマルチキャストあるいはブロードキャスト受信要求であるかどうか判別する。マルチキャストあるいはブロードキャスト受信要求でなかった場合については、第2の実施例ので説明した動作と全く同じであるが、マルチキャストあるいはブロードキャスト受信要求であった場合については、記憶部1bに記憶されたテーブルの検索を行い、マルチキャスト受信要求のエントリを参照する。この場合は、図14の2行目のエントリがヒットする。
上りフレーム変換部1cは、この検索結果に従って、図15に示すようにフレームを変換し、ネットワーク側ポート(1)から出力する。宛先MACアドレスについては、マルチキャストルータ(1)1305cのMACアドレスに書き換えることはしない。また、ヒットしたテーブルエントリについて、アクティブか非アクティブ化の識別情報をアクティブに設定し記憶する。
このフレームを受信したスタックVLAN対応のレイヤ2スイッチ1304は、通常のスタックVLAN対応のレイヤ2スイッチと同様に、タグプロトコルIDが「0x9100」のネットワーク識別子を削除し、マルチキャストルータ(1)1305cに転送する。
これにより、マルチキャスト受信要求のフレームがマルチキャストルータ(1)1305cに到達することから、マルチキャストルータ(1)1305cは、スタックVLAN対応のレイヤ2スイッチ1304と接続されているポートにマルチキャストの配信を開始する。
ここで、注意すべきは、マルチキャストルータ(1)1305cの前記ポートにはVLANタグなしのフレームが到達する。すなわち全ての端末がVLANで識別されることなく、同じLAN上に接続されている形態となっている。
このために、他の回線に接続された他の端末(2)1302bが、端末(1)1302aと同一のマルチキャストを受信する場合には、マルチキャストルータ(1)1305cにおいて、端末(1)1302a、(2)1302bに対してフレームのコピーをする必要がなく、1本のマルチキャストストリームを流すだけでよい。このため、マルチキャストルータ(1)1305cの処理が非常に軽くなる。
このようにして、マルチキャストルータ(1)1305cから送信されたマルチキャストのフレームは、スタックVLAN対応のレイヤ2スイッチ1304で、タグプロトコルIDに「0x9100」を有し、VLAN IDに401を有するネットワーク識別子を付与され、通信制御装置1301に転送される。
このフレームを受信した本例の通信制御装置1301は、下りフレーム変換部1dにより、記憶部1bに記憶されたテーブルにおいてテーブルエントリがアクティブなものを検索する。
この場合、図14において、全テーブルエントリがアクティブであった場合は、2行目および4行目の複数のエントリが検索にヒットすることから、下りフレーム変換部1dは、図16のように、それぞれのエントリに対してフレーム変換の逆変換を行って複数のフレームを作成し、アクセス側ポート(1)に転送する、
すなわち、マルチキャストフレームのコピーポイントはマルチキャストルータ(1)1305cではなく、通信制御装置1301となる。
さらに、端末(1)1302aからマルチキャスト受信終了要求を受けた場合もしくは、マルチキャストあるいはブロードキャスト受信要求を受信していない場合、もしくは受信してから一定時間経過した場合については、テーブルエントリの2行目を非アクティブに設定する。
このような動作を行うことで、例えば、端末(2)1302bがマルチキャストを受信中であるために、通信制御装置1301に、マルチキャストルータ(1)1305cからマルチキャストトラフィックが送信されていても、端末(1)1302aのマルチキャスト受信に関するテーブルエントリ(図14の2行目)は下りフレーム変換部1dにおける検索にヒットすることがないために、端末(1)1302aがマルチキャストを受信することはない。
このように、本例では、認証機構部1aの認証結果として得られる、予め接続要求先のネットワーク側に設けられたマルチキャスト専用ルータ装置のアドレスと当該マルチキャスト専用ルータ装置用のネットワーク識別子とを、記憶部1bにおいて、ネットワーク側ポートの組として記憶し、上りフレーム変換部1cでは、受信した通信フレーム(上りフレーム)の宛先アドレスがマルチキャスト受信要求あるいは受信終了要求であれば、記憶部1bにおける該当する組を参照して、ネットワーク識別子のみの変換を行い、下りフレーム変換部1dでは、受信した通信フレーム(下りフレーム)の宛先アドレスがマルチキャストアドレスであれば、記憶部1bにおける該当する全ての組を参照し、全ての組に対応してネットワーク識別子のみの変換を行い、全ての組分の通信フレームを生成し、そして、記憶部1bにおいては、マルチキャスト要求に応じての記憶内容を、当該端末からの終了を要求する通信フレームの受信後、もしくは、予め定められた経過時間後に、無効(非アクティブ)とする。
通信制御装置1301が、以上説明したような動作を行うことにより、通常の通信に対しては、各端末がルータ上でVLANにより区別されている一方で、マルチキャストのコピーポイントをルータではなく、端末により近い通信制御装置とすることが可能であり、ルータより端末側のネットワーク帯域を節約することが可能となる。
次に、第5の実施例として、図17を用いて、VLAN IDで認証制限をする技術について説明する。図17は、本発明に係わる通信制御装置で作成されるテーブル内容例を示す説明図である。
上述の第1〜第4の実施例では、認証が成功すれば記憶部1bにテーブルエントリが追加されたが、ここでは記憶部1bに追加されるテーブルエントリの内容を、端末が所属するVLANのVLAN IDによって変える技術について説明を行う。
この場合、本例の認証機構部1aは、端末が認証に用いたフレームにアクセス装置(3,83,1303)で付与されたネットワーク識別子内のVLAN IDの値を用いて、認証成功時に記憶部1bに作成するテーブルエントリの内容を変更する。
図17に示すテーブルの例では、同じ端末から同じユーザ名とパスワードで認証を行った場合であっても、VLAN ID 101がアクセス装置で付与される回線からアクセスした場合には、ルータ(1)に接続される図17の1行目のエントリが記憶部1bに作成され、VLAN ID102がアクセス装置で付与される回線からアクセスした場合には、ルータ(2)に接続される図17の2行目のエントリが記憶部1bに作成される。
このように、本例では、認証機構部1aは、同じ送信元アドレスで異なるネットワーク識別子の認証用通信フレームのそれぞれに対して、同じネットワーク側ポート番号で、それぞれ異なる装置アドレスおよびネットワーク識別子を、認証結果として出力し、この認証機構部1aの認証結果に応じた記憶部1bにおける記憶内容に基づき、同じ送信元アドレスの端末からの通信フレームの転送先を、ネットワーク識別子を条件として特定する。これにより、アクセス回線の種別や契約種別により接続先を固定することが可能となる。尚、ここでは、同じネットワーク側ポートを用いる例を示したが、以上の説明から明らかなように、ネットワーク側ポートが異なっていても良い。
次に、第6の実施例として、図18〜図20を用いて、以上説明を行った第1〜第5の実施例に加え、さらに、通信制御装置における上りフレーム変換部1c、および、下りフレーム変換部1dで、端末側のアドレス(端末のMACアドレス)も変換する技術について説明する。
この第6の実施例においては、記憶部1bで記憶する、認証機構部1aでの認証結果で得られるネットワーク側ポート番号とこのネットワーク側ポートに接続された装置のアドレスおよびこの装置との通信に用いるネットワーク識別子からなる組に、予め定められた第2の装置アドレスを含み、上りフレーム変換部1cでは、受信した通信フレームを変換する際、送信元アドレスを第2の装置アドレスに変換し、下りフレーム変換部1dでは、第2の装置アドレスを宛先アドレスに有する通信フレームに対して、当該第2の装置アドレスを、記憶部1bにおいて当該第2の装置アドレスと送信元アドレスおよびネットワーク側ポート番号とネットワーク識別子の組に対応付けて記憶されたアクセス側ポート番号と送信元アドレスおよびネットワーク識別子の組の当該送信元アドレスに変換する。
図18は、本発明に係わる通信制御装置で作成されるテーブル内容の他の例を示す説明図であり、図19は、図18におけるテーブル内容に基づく上りフレーム変換例を示す説明図、図20は、図18におけるテーブル内容に基づく下りフレーム変換例を示す説明図である。
本例では、認証が成功した端末(1)のテーブルエントリとして図18に示すようなテーブルエントリが記憶部1bに作成される。そして、上りフレーム変換部1cは他の実施例と同様に、このテーブルの検索を行い、図19に示すような変換を行い、フレームをネットワーク側ポート(1)に転送する。
また、下りフレーム変換部1dは、他の実施例と同様に、図18のテーブルの検索を行い、図20に示すような変換を行い、フレームをアクセス側ポート(1)に転送する、
このような動作を行うことにより、端末側のMACアドレスを通信制御装置が書き換えたのと同様の作用・効果が得られる。すなわち、ユーザ側の端末のMACアドレスが仮に重複していたとしても、通信制御装置において別々のMACアドレスに付け替えることができるため、ネットワーク側ポートに接続されたレイヤ2スイッチのMACアドレス学習テーブルが不用意に消去されることがなくなる。
また、通信制御装置のネットワーク側ポートに対して一意のMACアドレスに付け替えることにより、ネットワーク側ポートに接続されたレイヤ2スイッチにとっては、複数のユーザが単一のMACアドレスを共用して使用する状態となり、レイヤ2スイッチのMACアドレス学習数を削減することができる。
以上、図1〜図20を用いて説明したように、本例の通信制御装置1,81,1301では、通信端末(1)〜(3)とネットワーク(1)〜(3)間における通信フレームの転送を、この通信フレーム内に設けられた宛先アドレスと送信元アドレスおよびネットワーク識別子に基づき制御する際、認証機構部1aにおいて、端末(1)〜(3)から受信した認証用の通信フレーム内の送信元アドレスの端末に対して認証を行い、この認証に成功した場合、記憶部1bにおいて、この認証用の通信フレームを受信したアクセス側ポート番号とこの認証用の通信フレーム内の送信元アドレスおよびネットワーク識別子などからなる組を、認証結果で得られるネットワーク側ポート番号と、このネットワーク側ポートに接続された装置のアドレスおよび当該装置との通信に用いるネットワーク識別子などからなる組に対応付けて記憶しておき、上りフレーム変換部1cにおいて、アクセス側ポートで受信した通信フレーム(上りフレーム)内の送信元アドレスとネットワーク識別子および当該アクセス側ポート番号が、記憶部1bで記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内の宛先アドレスとネットワーク識別子を、記憶部1bで対応付けて記憶したネットワーク側ポートに接続された装置のアドレスと当該装置との通信に用いるネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄し、下りフレーム変換部1dにおいて、ネットワーク側ポートで受信した通信フレーム(下りフレーム)内の送信元のアドレスとネットワーク識別子および当該ネットワーク側ポート番号が、記憶部1bで記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内のネットワーク識別子を、記憶部1bで対応付けて記憶した端末側のネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄し、変換した通信フレーム(上りフレーム、下りフレーム)を当該ポートから出力する。さらに、記憶部1bの記憶内容として、複数のネットワーク側のネットワーク識別子、プロトコル情報やマルチキャスト要求情報等を、付加することにより、これらの付加情報を条件とした種々の転送制御を行う。
このようような本実施例の通信制御装置を用いることにより、認証をもとに接続先のルータのMACアドレスおよびそのルータで使用するVLANタグを指定することができ、接続先のルータで個々のユーザをVLANといった単位で識別することが可能となる。
さらに、接続先ルータから送信された通信フレームについて、送信元MACアドレスが認証結果によって定められた接続先ルータのMACアドレスであり、かつ、通信フレームに記載されたVLANタグが認証結果によって定められたVLANタグである場合にのみ端末へ転送することにより、接続先ルータ以外からの通信を遮断することが可能であり、特定の接続先のみとの通信が可能となる。
さらに、通信制御装置は、レイヤ2のみの処理であるため、IPv4あるいはIPv6といった上位プロトコルに依存せずに転送することが可能であり、接続先ネットワークで使用するプロトコルに制限がない通信が可能となる。
さらに、使用するプロトコルによって接続先を変更することが可能である。
また、マルチキャスト通信フレームに関しては、認証によって定められたマルチキャスト送信ルータのMACアドレスおよび認証によって定められたVLANタグを有するマルチキャスト通信フレームのみを転送することにより、認証によって接続されたISPから送信されたマルチキャスト通信フレームのみを端末側に転送することが可能であり、かつ、ISPのルータでユーザの数だけコピーすることなく転送することにより、ISPのルータから通信制御装置の間のネットワークの帯域を無駄にしないことが可能である。
さらに、端末が使用するMACアドレスを書き換えることにより、ネットワーク側に接続されたレイヤ2スイッチのMACアドレス学習エントリが不用意に削除されたり、莫大な数になったりすることを防止することが可能である。
尚、本発明は、図1〜図20を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、図8〜図11で示した第2の実施例では、スタックVLAN対応レイヤ2スイッチ84において、タグプロトコルIDが「0x9100」のネットワーク識別子を削除しているが、タグプロトコルIDが「0x9100」のネットワーク識別子を削除しない動作・構成としても良い。
また、本例でのコンピュータ構成に関しても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、光ディスクを記録媒体として用いているが、FD(Flexible Disk)等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信制御装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。
1,81,1301:通信制御装置、1a:認証機構部、1b:記憶部、1c:上りフレーム変換部、1d:下りフレーム変換部、2a〜2c,82a〜82c,1302a〜1302c:端末(1)〜(n)、3,83,1303:アクセス装置、4:レイヤ2スイッチ、5a〜5c,85a〜85c:ルータ(1)〜(m)、6a〜6c,86a〜86c:ネットワーク(1)〜(m)、84,1304:スタックVLAN対応レイヤ2スイッチ、1305a,1305b:ルータ(11),(12)、1305c:マルチキャストルータ(1)、1306:ネットワーク(1)、1307:ルータ(21)、1308:ネットワーク(2)、2101:BRAS、2102a〜2102c,2202a〜2202c:端末(1)〜(n)、2103,2203:アクセス装置、2105a〜2105c,2205a〜2205c:ルータ(1)〜(m)、2106a〜2106c,2206a〜2206c:ネットワーク(ISP1)〜(ISPm)、2107a〜2107c,2207a〜2207c:認証サーバ(1)〜(m)、2201:LAC、2204a〜2204c:LNS(1)〜(m)。
Claims (15)
- 通信端末とネットワーク間における通信フレームの転送を、該通信フレーム内に設けられた宛先アドレスと送信元アドレスおよびネットワーク識別子に基づき制御する通信制御装置であって、
端末から受信した認証用の通信フレーム内の上記送信元アドレスの端末に対して認証を行う認証機構手段と、
該認証機構手段での認証に成功した場合、少なくとも上記認証用の通信フレームを受信したアクセス側ポート番号と該通信フレーム内の送信元アドレスおよびネットワーク識別子からなる組を、少なくとも上記認証機構手段での認証結果で得られるネットワーク側ポート番号と該ネットワーク側ポートに接続された装置のアドレスおよび該装置と通信するために用いるネットワーク識別子からなる組に対応付けて記憶する記憶手段と、
アクセス側ポートで受信した通信フレーム内の送信元アドレスとネットワーク識別子および当該アクセス側ポート番号が、上記記憶手段で記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内の宛先アドレスとネットワーク識別子を、上記記憶手段で対応付けて記憶したネットワーク側ポートに接続された装置のアドレスと該装置と通信するために用いるネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄する上りフレーム変換手段と、
ネットワーク側ポートで受信した通信フレーム内の送信元のアドレスとネットワーク識別子および当該ネットワーク側ポート番号が、上記記憶手段で記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内のネットワーク識別子を、上記記憶手段で対応付けて記憶したアクセス側ポートのネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄する下りフレーム変換手段と
を有し、
上記上りフレーム変換手段および上記下りフレーム変換手段で変換した通信フレームを当該ポートから出力することを特徴とする通信制御装置。 - 請求項1に記載の通信制御装置であって、
上記記憶手段においては、上記認証機構手段の認証結果に応じて、上記ネットワーク側ポートの組となるネットワーク識別子を複数記憶し、
上記上りフレーム変換手段では、受信した通信フレーム内のネットワーク識別子を、上記記憶手段において当該ネットワーク識別子に対応付けて記憶された上記複数のネットワーク識別子に変換し、
上記下りフレーム変換手段では、受信した通信フレーム内の上記複数のネットワーク識別子を、上記記憶手段において当該複数のネットワーク識別子に対応付けて記憶されたアクセス側ポートのネットワーク識別子に変換することを特徴とする通信制御装置。 - 請求項1もしくは請求項2のいずれかに記載の通信制御装置であって、
上記通信フレームに当該通信フレームの通信に用いるプロトコル情報が設けられており、
上記認証機構手段での認証に成功した場合、上記記憶手段において、認証の結果で得られるネットワーク側ポート番号と該ネットワーク側ポートに接続された装置のアドレスおよび該装置と通信するために用いるネットワーク識別子とプロトコル情報からなる1つあるいは複数の組を記憶し、
上記上りフレーム変換手段は、上記アクセス側ポートで受信した通信フレームを変換する際、当該通信フレーム内のプロトコル情報を含めた組で上記記憶手段を参照することを特徴とする通信制御装置。 - 請求項1から請求項3のいずれかに記載の通信制御装置であって、
上記認証機構手段の認証結果として得られる、予め接続要求先のネットワーク側に設けられたマルチキャスト用ルータ装置のアドレスと該マルチキャスト用ルータ装置用のネットワーク識別子とを、上記記憶手段において、上記ネットワーク側ポートの組として記憶し、
さらに上記記憶手段において、アクセス側ポートに接続され認証が成功した端末からのマルチキャスト受信要求を受信したか否かを記憶し、
上記下りフレーム変換手段では、ネットワーク側ポートで受信した通信フレームの宛先アドレスがマルチキャストアドレスであれば、上記記憶手段における該当する全ての組を参照し、既にマルチキャスト受信要求を受信した全ての組に対応してネットワーク識別子のみの変換を行い、全ての組分の通信フレームを生成することを特徴とする通信制御装置。 - 請求項4に記載の通信制御装置であって、
上記記憶手段は、上記マルチキャスト要求に応じての記憶内容を、当該端末からの終了を要求する通信フレームの受信後、もしくは、予め定められた経過時間後に、無効とする手段を有することを特徴とする通信制御装置。 - 請求項1から請求項5のいずれかに記載の通信制御装置であって、
上記認証機構手段は、同じ送信元アドレスで異なるネットワーク識別子の認証用通信フレームのそれぞれに対して、ネットワーク側ポート番号、装置アドレスおよびネットワーク識別子のうち少なくとも1つが異なる組を、認証結果として出力する手段を有し、
該認証機構手段の認証結果に応じた上記記憶手段における記憶内容に基づき、同じ送信元アドレスの端末からの通信フレームの転送先を、上記ネットワーク識別子を条件として特定することを特徴とする通信制御装置。 - 請求項1から請求項6のいずれかに記載の通信制御装置であって、
上記記憶手段で記憶する、上記認証機構手段での認証結果で得られるネットワーク側ポート番号と該ネットワーク側ポートに接続された装置のアドレスおよび該装置との通信に用いるネットワーク識別子からなる組に、予め定められた第2の装置アドレスを含み、
上記上りフレーム変換手段は、受信した通信フレームを変換する際、送信元アドレスを上記第2の装置アドレスに変換し、
上記下りフレーム変換手段は、上記第2の装置アドレスを宛先アドレスに有する通信フレームに対して、当該第2の装置アドレスを、上記記憶手段において当該第2の装置アドレスと送信元アドレスおよびネットワーク側ポート番号とネットワーク識別子の組に対応付けて記憶されたアクセス側ポート番号と送信元アドレスおよびネットワーク識別子の組の当該送信元アドレスに変換する
ことを特徴とする通信制御装置。 - コンピュータを、請求項1から請求項7のいずれかに記載の通信制御装置における各手段として機能させるためのプログラム。
- 通信端末とネットワーク間における通信フレームの転送を、該通信フレーム内に設けられた宛先アドレスと送信元アドレスおよびネットワーク識別子に基づき制御する通信制御装置におけるフレーム転送制御方法であって、
端末から受信した認証用の通信フレーム内の上記送信元アドレスの端末に対して認証を行う第1の手順と、
該第1の手順での認証に成功した場合、少なくとも上記認証用の通信フレームを受信したアクセス側ポート番号と該通信フレーム内の送信元アドレスおよびネットワーク識別子からなる組を、少なくとも上記第1の手順での認証結果で得られるネットワーク側ポート番号と該ネットワーク側ポートに接続された装置のアドレスおよび該装置と通信するために用いるネットワーク識別子からなる組に対応付けて記憶装置に記憶する第2の手順と、
アクセス側ポートで受信した通信フレーム内の送信元アドレスとネットワーク識別子および当該アクセス側ポート番号が、上記記憶装置で記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内の宛先アドレスとネットワーク識別子を、上記記憶装置で対応付けて記憶されたネットワーク側ポートに接続された装置のアドレスと該装置と通信するために用いるネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄する第3の手順と、
ネットワーク側ポートで受信した通信フレーム内の送信元のアドレスとネットワーク識別子および当該ネットワーク側ポート番号が、上記記憶装置で記憶されているか否かを判別し、記憶されていれば、受信した通信フレーム内のネットワーク識別子を、上記記憶装置で対応付けて記憶されたアクセス側ポートのネットワーク識別子に変換し、記憶されていなければ当該通信フレームを破棄する第4の手順と
を有し、
上記第3の手順および上記第4の手順で変換した通信フレームを当該ポートから出力することを特徴とする通信制御装置のフレーム転送制御方法。 - 請求項9に記載の通信制御装置のフレーム転送制御方法であって、
上記第2の手順においては、上記第1の手順での認証結果に応じて、上記ネットワーク側ポートの組となるネットワーク識別子を複数記憶し、
上記第3の手順では、受信した通信フレーム内のネットワーク識別子を、上記第2の手順において記憶装置に当該ネットワーク識別子に対応付けて記憶された上記複数のネットワーク識別子に変換し、
上記第4の手順では、受信した通信フレーム内の上記複数のネットワーク識別子を、上記第2の手順において記憶装置に当該複数のネットワーク識別子に対応付けて記憶されたアクセス側ポートのネットワーク識別子に変換することを特徴とする通信制御装置のフレーム転送制御方法。 - 請求項9もしくは請求項10のいずれかに記載の通信制御装置のフレーム転送制御方法であって、
上記通信フレームに当該通信フレームの通信に用いるプロトコル情報が設けられており、
上記第2の手順においては、上記第1の手順での認証が成功した場合、該認証の結果で得られるネットワーク側ポート番号と該ネットワーク側ポートに接続された装置のアドレスおよび該装置と通信するために用いるネットワーク識別子とプロトコル情報からなる1つあるいは複数の組を記憶装置に記憶し、
上記第3の手順では、上記アクセス側ポートで受信した通信フレームを変換する際、当該通信フレーム内のプロトコル情報を含めた組で上記記憶装置を参照することを特徴とする通信制御装置のフレーム転送制御方法。 - 請求項9から請求項11のいずれかに記載の通信制御装置のフレーム転送制御方法であって、
上記第1の手順での認証結果として得られる、予め接続要求先のネットワーク側に設けられたマルチキャスト用ルータ装置のアドレスと該マルチキャスト用ルータ装置用のネットワーク識別子とを、上記第2の手順において、上記ネットワーク側ポートの組として記憶装置に記憶し、
さらに上記第2の手順において、アクセス側ポートに接続され認証が成功した端末からのマルチキャスト受信要求を受信したか否かを記憶装置に記憶し、
上記第4の手順では、ネットワーク側ポートで受信した通信フレームの宛先アドレスがマルチキャストアドレスであれば、上記記憶装置における該当する全ての組を参照し、既にマルチキャスト受信要求を受信した全ての組に対応してネットワーク識別子のみの変換を行い、全ての組分の通信フレームを生成することを特徴とする通信制御装置のフレーム転送制御方法。 - 請求項12に記載の通信制御装置のフレーム転送制御方法であって、
上記第2の手順では、上記マルチキャスト要求に応じての記憶装置における記憶内容を、当該端末からの終了を要求する通信フレームの受信後、もしくは、予め定められた経過時間後に、無効とすることを特徴とする通信制御装置のフレーム転送制御方法。 - 請求項9から請求項13のいずれかに記載の通信制御装置のフレーム転送制御方法であって、
上記第1の手順では、同じ送信元アドレスで異なるネットワーク識別子の認証用通信フレームのそれぞれに対して、ネットワーク側ポート番号、装置アドレスおよびネットワーク識別子のうち少なくとも1つが異なる組を、認証結果として出力し、
該第1の手順での認証結果に応じた上記第2の手順による記憶装置における記憶内容に基づき、同じ送信元アドレスの端末からの通信フレームの転送先を、上記ネットワーク識別子を条件として特定することを特徴とする通信制御装置のフレーム転送制御方法。 - 請求項9から請求項14のいずれかに記載の通信制御装置のフレーム転送制御方法であって、
上記第2の手順で記憶装置に記憶する、上記第1の手順での認証結果で得られるネットワーク側ポート番号と該ネットワーク側ポートに接続された装置のアドレスおよび該装置との通信に用いるネットワーク識別子からなる組に、予め定められた第2の装置アドレスを含み、
上記第3の手順では、受信した通信フレームを変換する際、送信元アドレスを上記第2の装置アドレスに変換し、
上記第4の手順では、上記第2の装置アドレスを宛先アドレスに有する通信フレームに対して、当該第2の装置アドレスを、上記第2の手順において当該第2の装置アドレスと送信元アドレスおよびネットワーク側ポート番号とネットワーク識別子の組に対応付けて記憶装置に記憶されたアクセス側ポート番号と送信元アドレスおよびネットワーク識別子の組の当該送信元アドレスに変換することを特徴とする通信制御装置のフレーム転送制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004176973A JP2006005443A (ja) | 2004-06-15 | 2004-06-15 | 通信制御装置とそのフレーム転送制御方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004176973A JP2006005443A (ja) | 2004-06-15 | 2004-06-15 | 通信制御装置とそのフレーム転送制御方法およびプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006005443A true JP2006005443A (ja) | 2006-01-05 |
Family
ID=35773485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004176973A Pending JP2006005443A (ja) | 2004-06-15 | 2004-06-15 | 通信制御装置とそのフレーム転送制御方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006005443A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009267638A (ja) * | 2008-04-23 | 2009-11-12 | Nippon Telegr & Teleph Corp <Ntt> | 端末認証・アクセス認証方法および認証システム |
JP2010514290A (ja) * | 2006-12-21 | 2010-04-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | メディアアクセス制御アドレスを変換するためのネットワーク装置及び方法 |
JP2011109186A (ja) * | 2009-11-12 | 2011-06-02 | Okayama Univ | ネットワーク通信方法及びアクセス管理方法とパケット中継装置 |
JP2011217174A (ja) * | 2010-03-31 | 2011-10-27 | Ntt Communications Kk | 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム |
-
2004
- 2004-06-15 JP JP2004176973A patent/JP2006005443A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010514290A (ja) * | 2006-12-21 | 2010-04-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | メディアアクセス制御アドレスを変換するためのネットワーク装置及び方法 |
JP2009267638A (ja) * | 2008-04-23 | 2009-11-12 | Nippon Telegr & Teleph Corp <Ntt> | 端末認証・アクセス認証方法および認証システム |
JP2011109186A (ja) * | 2009-11-12 | 2011-06-02 | Okayama Univ | ネットワーク通信方法及びアクセス管理方法とパケット中継装置 |
JP2011217174A (ja) * | 2010-03-31 | 2011-10-27 | Ntt Communications Kk | 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106878253B (zh) | Mac(l2)层认证、安全性和策略控制 | |
EP3151509B1 (en) | Enhanced evpn mac route advertisement having mac (l2) level authentication, security and policy control | |
US9419815B2 (en) | Domain-less service selection | |
US8094663B2 (en) | System and method for authentication of SP ethernet aggregation networks | |
US8068486B2 (en) | Method and device for service binding | |
US8165156B1 (en) | Ethernet DSL access multiplexer and method providing dynamic service selection and end-user configuration | |
US8045570B2 (en) | Extended private LAN | |
US8189600B2 (en) | Method for IP routing when using dynamic VLANs with web based authentication | |
WO2009094928A1 (fr) | Procédé et équipement de transmission d'un message basé sur le protocole de tunnel de niveau 2 | |
US20060031925A1 (en) | Access control method and apparatus | |
CN101047695A (zh) | 一种在数字用户线中实现多服务和动态业务选择的方法 | |
JP2007536851A (ja) | セッションベースのパケット交換装置 | |
CN1921441A (zh) | 一种虚拟专用局域网的报文转发方法及装置 | |
JP2010514290A (ja) | メディアアクセス制御アドレスを変換するためのネットワーク装置及び方法 | |
EP1940085B1 (en) | Method and device for service binding | |
JP4166609B2 (ja) | 通信装置 | |
JP2006005443A (ja) | 通信制御装置とそのフレーム転送制御方法およびプログラム | |
JP4776582B2 (ja) | ネットワークシステム及び集約装置 | |
Reddy | Building MPLS-based broadband access VPNs | |
JP2004104709A (ja) | アクセスネットワークシステム | |
Donohue et al. | CCNP Routing and Switching Quick Reference (642-902, 642-813, 642-832) | |
JP2003234753A (ja) | エッジ・ブロードバンド・アクセス中継装置およびブロードバンドネットワークシステム |