JP2006174508A - パケット転送制御方法及びvpn識別情報の設定方法 - Google Patents

パケット転送制御方法及びvpn識別情報の設定方法 Download PDF

Info

Publication number
JP2006174508A
JP2006174508A JP2006038755A JP2006038755A JP2006174508A JP 2006174508 A JP2006174508 A JP 2006174508A JP 2006038755 A JP2006038755 A JP 2006038755A JP 2006038755 A JP2006038755 A JP 2006038755A JP 2006174508 A JP2006174508 A JP 2006174508A
Authority
JP
Japan
Prior art keywords
vpn
packet
identifier
protocol
line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006038755A
Other languages
English (en)
Inventor
Shinichi Akaha
真一 赤羽
Kenichi Sakamoto
健一 坂本
Kazuo Sukai
和雄 須貝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006038755A priority Critical patent/JP2006174508A/ja
Publication of JP2006174508A publication Critical patent/JP2006174508A/ja
Withdrawn legal-status Critical Current

Links

Images

Abstract

【課題】 同一回線に複数のVPN(Virtual Private Network)が多重される
場合に、この回線を収容するエッジルータにおいて、受信したパケットが何れの
VPNに属するかを識別する手段を提供することである。
【解決手段】 VPNエッジルータに、同一回線に多重化されている論理的なチ
ャネル番号を用いてVPNを識別する機能を設ける。
【効果】 物理インターフェースに多重化されている論理的なチャネル番号を用
いてVPNを識別することができる。従って、物理回線を増やすことなく、収容
するVPNの数を増やすことができる。
【選択図】 図5

Description

本発明はルータ装置、そのパケット転送制御方法及びルータ装置内のルーティング情報設定方法に係り、特にインターネットにおける仮想専用網(VPN:Virtual Private Network)を構築するルータ装置、その転送制御方法、その設定方法に関する。
従来、異なる地域に存在する複数の企業内網をネットワークにより接続する場合、企業は企業内網を専用線で相互接続することによって、外部のネットワークから隔絶した(つまりセキュリティが確保された)ネットワークを構築していた。しかし、専用線を使用するとネットワークコストが上昇してしまうという問題があった。このため、廉価で使用できるインターネットの普及に伴い、インターネットを利用して低コストの仮想的な専用線網(以下、VPN:Virtual Private Networkと呼ぶ)を構築する技術に対する要求が高まってきた。この技術は、IP(Internet Protocol)ネットワークが提供するIPあるいはIPの下位レイヤの機能を用いて、
専用網を仮想的にインターネット上に構築するものである。この技術により、IPネットワーク上でも、外部のネットワークから隔絶された安全でかつ何らかの品質保証が行えるネットワークを構築することができる。
VPNを実現する方式としては、VPNを提供するインターネットサービスプロバイダ(以下、ISPと呼ぶ)のネットワークの入り口でカプセル化を行い、ISPのネットワーク上ではこのカプセル化したヘッダに基づき転送を行い、ネットワークの出口でカプセルヘッダをはずす方式により転送を行う方式がある。
インターネットの内部ではVPN固有のカプセル化ヘッダを用いることにより、セキュリティの確保されたVPNを構成することが出来る。このカプセル化の具体的なプロトコルとしては、IPカプセル化、MPOA(Multi Protocol Over ATM)、MPLS(Multi Protocol Label Switching)等の方式があり、2000年5月現在、IETFなどの標準化団体で標準化が進められている。
IPアドレスには、グローバルIPアドレスと、プライベートIPアドレスとがある。グローバルIPアドレスは世界的に一意に定められるものであるのに対し、プライベートIPアドレスは企業が自由に定めることができるものである。
企業内網では、プライベートIPアドレスが用いられる場合が多い。したがって、企業がVPNサービスを利用する場合においても、プライベートIPアドレスを使用できることが望ましい。この場合、複数のVPN間で同一のIPアドレスが使用される可能性がある。複数のVPN間のIPアドレスがバッティングする場合、それぞれのVPNのパケットを正しく処理するため、ISPネットワークの入り口に位置し、かつ、VPNに属するLAN(Local Area Network)を収容するルータ(以下、VPNエッジルータと呼ぶ)は、VPN毎のルーティングテーブルを保持する必要がある。VPNエッジルータは、パケットを受信すると、そのパケットがどのVPNに属するLANからのパケットかを判定する。その後、VPNエッジルータは、当該VPN用のルーティングテーブルを検索してISP内ネットワークでの転送先の決定、およびカプセル化を行う。VPNエッジルータはVPN毎にルーティングテーブルを保持しているので、VPNエッジルータは、異なるVPNから受信した同一の宛先IPアドレスを持つパケットを混同せず、正しく転送することができる。
前記VPNを識別する方式としては、例えば「日経コミュニケーション」、1999年10月18日号、p.100、に記載されているように、ユーザ回線インターフェース単位に、VPNを一意に識別するためのVPN−IDを割り当て、このVPN−IDによりVPN識別を行う方式がある。すなわち、VPNの識別単位は物理インターフェース毎ということになる。この場合、物理インターフェース一つがVPN一つに対応している必要がある。
しかし前記の方式では、企業ネットワークからISPネットワークまでが、一つの物理回線で接続されている必要がある。また、一つの企業ネットワークを複数のVPNと接続させたい場合、そのVPNの数だけ物理回線を用意する必要がある。さらに、VPNエッジルータは、収容するVPNの数だけ物理インターフェースを保持する必要がある。このため、VPNエッジルータが収容するVPNの数が大きくなると、VPNエッジルータの物理インターフェース数及びルータ自体の数も大きくなるという問題がある。
企業ネットワークからVPNサービスを行うISPネットワークまでのアクセス手段として、別のISPあるいはキャリアが提供するATM網やフレーム・リレー等を用いる場合、ISPの入り口では1つの物理インターフェース内に複数の論理的なチャネルが多重されているため、物理インターフェースでVPN識別を行うことはできないという問題もある。
本発明の目的は、物理インターフェースに多重化されている論理的なチャネル番号を用いてVPN識別を可能にすることである。
また、本発明の他の目的は、ルータがLANを収容する際、IPの下位レイヤとして複数の異なるプロトコルを用いる場合でも、それぞれのプロトコルに対応した適切なVPN識別情報を用いてVPN識別を行うことを可能にすることである。
前記課題を解決するため、本発明のVPNエッジルータは、物理インターフェースに多重化されている論理的なチャネルを識別するためのチャネル番号を用いてVPNを識別する。論理的なチャネル番号として、IPの下位レイヤの情報、例えば、OSIモデルで規定されているレイヤ2に相当する情報を用いる。論理的なチャネル番号の例をいくつか挙げると、IPパケットの下位レイヤがATMの場合は、VPI、VCI等のヘッダ情報を、下位レイヤがフレームリレーの場合はDLCIを論理的なチャネル番号として用いることができる。また、IPパケットがL2TP(Layer2 Tunneling Protocol)で規定されているL2TPヘッダでカプセル化されている場合には、L2TPカプセルヘッダ内の情報(トンネルID、セッションID等)を論理的なチャネル番号として用いることができる。
下位レイヤがイーサーネットで、IEEE802.1Qで規定されるVLAN Tagを用いてVPNの識別が行われる場合、前記論理的なチャネル番号としてVLAN Tagを用いることができる。IPパケットがPPP Over Ethernet(登録商標)カプセル化方式で規定されているカプセル情報でカプセル化されている場合には、PPP Over Ethernet(登録商標)カプセル化方式で規定されているカプセル情報(セッションID等)を論理的なチャネル番号として用いることができる。
さらに、VPNエッジルータに、VPN識別に用いる識別子を設定するためのVPN識別子設定テーブルを設ける。この設定をVPNエッジルータを管理するISPの管理者が行えるようにするため、VPNエッジルータにユーザインターフェースを設ける。IPの下位レイヤがATMの場合を例に説明すると、VPN識別を物理インターフェースで行う場合には、前記VPN識別子設定テーブルに物理インターフェースと設定する。また、VPN識別をVPI、VCIで行う場合には、前記VPN識別子設定テーブルにVPI、VCIと設定する。
VPN識別子設定テーブルの設定単位は、物理インターフェース毎としてしてもよいし、下位レイヤとして同一のプロトコルが使用される複数の回線を収容するインターフェースカード単位でもよい。また、1つの物理インターフェース内に下位レイヤとして複数のプロトコルが多重化されている場合(例えばフレームリレーとPPPが時分割多重されている回線)は、その設定単位は、物理インターフェースとIPの下位レイヤのプロトコルとの組合わせでもよい。
ISPがVPNを収容する際、IPの下位レイヤにATMを用い、VPN識別子としてVPI、VCIを用いる場合を例にVPNエッジルータの動作を具体的に説明する。VPNエッジルータはパケットを受信すると、まず、VPN識別子設定テーブルの設定に従い、VPN識別子(本例の場合、VPI、VCIと設定されている)および検索すべきVPN識別テーブルを決定する。本例の場合、VPNエッジルータは、VPI、VCIとVPNとの対応が示されているテーブルを検索することになる。VPNエッジルータは、VPI、VCIを検索キーにしてVPN識別テーブルの検索を行い、受信したパケットがどのVPNに属しているかを判定する。その判定が終了すると、VPNエッジルータは、受信したパケットが属するVPN用のルーティングテーブルを検索し、ISPネットワーク内の次の転送先を決定し、ネットワーク内でVPN識別のために使用されるカプセル化ヘッダ情報の生成を行う。VPNエッジルータは、パケットにヘッダ情報を付与し、決定した次の転送先へパケットを送出する。
以上の説明のように、本発明では、物理インターフェースに多重化されている論理的なチャネル番号を用いてVPN識別を行うため、VPNエッジルータにVPN毎に物理インターフェースを用意する必要がない。また、一つの企業ネットワークを複数のVPNと接続させたい場合、そのVPNの数だけ論理的なチャネルを用意すればよく、VPNの数だけ物理的な回線を用意する必要が無い。また、企業ネットワークからVPNサービスを行うISPネットワークまでのアクセス手段として、別のISPあるいはキャリアが提供するATM網やフレーム・リレー等を用いる場合においても、論理的なチャネルでVPN識別が行われるため、VPNを実現することができる。
さらに、本発明によれば、ISPの管理者は、IPの下位レイヤのプロトコル毎にVPN識別子を選択し、そのVPN識別子をVPN識別子設定テーブルに設定することができるため、VPNを収容する際、下位レイヤに様々のプロトコルを用いることができる。
本発明のルータを用いることにより、物理インターフェースに多重化されている論理的なチャネル番号を用いてVPNを識別することができる。従って、物理回線を増やすことなく、収容するVPNの数を増やすことができる。
また、ルータが収容する複数のLANがそれぞれ異なるIPの下位プロトコルを用いる場合でも、それぞれのプロトコルに対応した適切なVPN識別子を設定することができるので、VPN識別を行うことができる。
図1は、本発明のVPNエッジルータを用いて構成したVPNの一実施例を説明するための図である。以下では、下位レイヤとは、IPパケットをカプセル化するプロトコルを意味するものとする。また、IPパケットをIPヘッダでカプセル化する場合にも、便宜上、このカプセルヘッダを下位レイヤのヘッダとして表記することとする。
ISPネットワーク(5)は、ネットワークのバウンダリに位置するエッジルータ(9、10)と、ネットワークコアに位置するコアルータ(17)とを有する。図1では、コアルータ(17)は一つしか示されていないが、その数はこれに限定されるものではない。ISPネットワーク(5)内部ではMPLS(ATMによる)によりカプセル化が行われVPNが実現されるものとする。上述のように、カプセル化の仕方はこれに限られない。ISPネットワーク(5)は、エッジルータ(9)を介してLAN1(1)とLAN2(2)を収容し、エッジルータ(10)を介してLAN3(3)とLAN4(4)を収容する。LAN1(1)とLAN3(3)は同一企業AのLANであり、これらのLAN間でVPNを構成する。また、LAN2(2)とLAN4(4)は同一企業BのLANであり、これらのLAN間でもVPNを構成する。企業A、企業BのVPNをそれぞれVPNA(7)、VPNB(8)と呼ぶことにする。
LAN1とLAN2は、ISPネットワーク(5)とは別のISPまたはキャリアが提供するATM網(6)を介し、回線(11)に論理的に多重化されてエッジルータ(9)に接続されている。回線(11)とエッジルータ(9)の物理インターフェースを(12)とする。物理インタフェースとは、ルータと回線との接続点という意味である。一方、LAN3(3)とLAN4(4)はそれぞれRFC2615で規定されているPOS(PPP Over SONET)を用い、回線(13)、(14)を介してエッジルータ(10)に接続されている。回線(13)、(14)とエッジルータの物理インターフェースをそれぞれ(15)、(16)とする。
本実施例では、LAN1とLAN2が属しているVPNを識別する識別子としてVPI、VCIが用いられる。エッジルータ(9)内に設けられたVPN識別子設定テーブルにおいて、物理インターフェース(12)に対応するエントリには、VPI、VCIと設定される。エッジルータ(10)は、LAN3とLAN4が属しているVPNを識別する識別子として物理インターフェースに与えられている番号を用いる。エッジルータ(10)内に設けられたVPN識別子設定テーブルにおいて、物理インターフェース(15)、(16)に対応するエントリには、物理インターフェースと設定される。VPN識別子設定テーブルは後述される。
また、エッジルータ(9)内には、VPN識別子と、当該VPN識別子を有するパケットが何れのVPNに属するかを示す情報(以下、VPN番号という。)との対応関係を示すVPN識別テーブルが設けられている。上記VPNA、VPNBがVPN番号に該当する。さらに、エッジルータ(9)内には、宛先IPアドレスと、出力方路及び出力パケットのカプセルヘッダ情報との関係を示すルーティングテーブルが設けられている。このルーティングテーブルはVPNA用のものと、VPNB用のものとが用意される。VPN識別テーブル及びルーティングテーブルについても後述される。
エッジルータ(9)は、LAN1から送信されたLAN3宛のIPパケットを受信すると、VPN識別子設定テーブルの設定に従い、VPN識別子としてVPI、VCIを用いることを決定する。VPN識別子を決定した後、エッジルータ(9)は、VPI、VCIとVPNとの対応が示されているVPN識別テーブルを検索し、当該パケットがVPNAに属するパケットであると判定する。次に、エッジルータ(9)は、宛先IPアドレスを検索キーとしてVPNA用のルーティングテーブルを検索し、次転送先のコアルータ(17)を決定し、そして、コアルータ行きのVPNAに属するパケットのカプセルヘッダを決定する。このカプセルヘッダが付与されたパケットは、コアルータ(17)へ転送される。
コアルータ(17)は、カプセルヘッダ、すなわち、VPI、VCIと、次転送先との対応関係を示すルーティングテーブルを有しており、受信パケットのカプセルヘッダを検索キーにして次転送先(エッジルータ(10))、および次のカプセルヘッダを決定し、前記カプセルヘッダを付与してエッジルータ(10)へ送信する。
エッジルータ(10)は、エッジルータ(9)と同様の構成であり、エッジルータ(9)と同様にして、受信パケットのカプセルヘッダを検索キーにしてVPN識別を行い、VPNAに属するパケットであることを判定する。次に宛先IPアドレスを検索キーとしてVPNA用のルーティングテーブルを検索して転送先を決定し、カプセルヘッダをはずしてLAN3へパケットを転送する。
エッジルータ(9)は、物理インターフェースに多重された論理的なチャネル番号によりVPNを識別し、当該VPNのルーティングテーブルを検索するので、一つの回線に論理的に多重されたVPNを識別することが可能となる。また、これにより、企業Aが用いるIPアドレスとと企業Bが用いるIPアドレスとがバッティングする場合でも、正しいあて先への転送が可能となる。
VPNB内のLAN4からLAN2へパケットを送信する場合も上記の場合と同様の手続により送信が行われるが、LAN4から送信されたLAN2宛のIPパケットを受信したエッジルータ(10)は、VPN識別子として物理インターフェースを用いる点が上記の場合と異なる。
図2は、図1に示される実施例の変形例を説明するための図である。本実施例では、LAN1とLAN2は、別回線(18)、(19)を介して、直接、ISPネットワーク(5)内の多重化装置(20)に収容される。多重化装置(20)において、VPNA、VPNBごとに異なるVPI、VCIが割り当てられる。エッジルータ(9)は、図1の場合と同様に、VPI、VCIを用いてVPN識別を行う。
図3は、図1に示される実施例の他の変形例を説明するための図である。
図3では、図1に示したネットワーク構成に、LAN5(21)が付け加えられており、LAN2、LAN4及びLAN5の間でVPNBが構成されている。
LAN5(21)はPOSを用い、回線(22)でエッジルータ(9)に接続されている。回線(22)とエッジルータの物理インターフェースを(23)とする。
エッジルータ(9)は、図1の説明と同様に、LAN1とLAN2が属しているVPNを識別する識別子としてVPI、VCIを用いる。一方、エッジルータ(9)は、LAN5が属しているVPNを識別する識別子として物理インターフェースを用いる。エッジルータ(9)内のVPN識別子設定テーブルには、物理インターフェース(23)に対応するエントリに物理インターフェースと設定される。本実施例では、エッジルータ(9)内に、VPI、VCIとVPNとの対応が示されているVPN識別テーブルと、物理インターフェースとVPNとの対応が示されているVPN識別テーブルとの2種類のVPN識別テーブルが設けられている。その詳細は後述される。
例えば、LAN5から送信されたLAN4宛のIPパケットを受信した場合、エッジルータ(9)は、VPN識別子設定テーブルの設定に従い、VPN識別子として物理インターフェースの番号を用いることを決定する。VPN識別子を決定した後、エッジルータ(9)は、物理インターフェースの番号を検索キーとして、物理インターフェースとVPNとの対応が示されているVPN識別テーブルを検索し、そのIPパケットがVPNBに属するパケットであることを判定する。次に、宛先IPアドレスを検索キーとしてVPNB用のルーティングテーブルを検索し、次転送先のコアルータ(17)を決定し、その決定したコアルータに送信されるパケットのカプセルヘッダを決定する。このカプセルヘッダをパケットに付与し、コアルータ(17)に転送する。
本実施例では、異なる下位プロトコル毎にVPN識別子を定め、各VPN識別子対応にVPN識別テーブルを設けている。このようにすることにより、一つのルータで異なる下位プロトコルに対応する際の自由度が増す。すなわち、本実施例によれば、エッジルータに収容しようとする下位プロトコルに応じて、VPN識別子設定テーブル内のVPN識別子を設定し、そのVPN識別子に対応するVPN識別テーブルを設定しさえすれば、エッジルータにおいて様々な下位プロトコルを収容することが可能となる。
次に、本発明のVPNエッジルータの詳細を説明する。VPNを構成する上で、ネットワークの構成は図1〜図3に示したもの以外にも、多様な構成が考えられる。そこで、図1〜図3のネットワークを構成する場合のVPNエッジルータの構成に限定して説明するのではなく、より一般的に、本発明VPNエッジルータの構成を説明する。
図4から図8を用いて、VPNエッジルータ(9)の一構成例を説明する。VPNエッジルータ(10)の構成もこれと同様である。
図4は、本発明のVPNエッジルータ(9)の一構成例を示す図である。制御部(50)は、下位レイヤ処理部(53、54)、パケットレイヤ処理部(52)及びスイッチ(51)と接続されており、VPNエッジルータ全体の制御及びルーティング処理などを行う。下位レイヤ処理部(53、54)は、回線(55、56)を収容するとともに、IPの下位レイヤの終端を行う。パケットレイヤ処理部(52)は、下位レイヤ処理部(53、54)から下位レイヤの情報及びIPパケットを受け取り、その下位レイヤの情報とそのIPパケットのヘッダ情報とを用いてパケットの転送先を決定する。スイッチ(51)は複数の入出力ポートを有しており、それらのポートは、パケットレイヤ処理部と接続されている。スイッチ(51)は、例えば、クロスバスイッチで構成される。スイッチ(51)は、パケットレイヤ処理部(52)からパケットを受信すると、パケットレイヤ処理部(52)において決定されたパケットの転送先に対応する出力ポートに、そのパケットを出力する。前記制御部(50)には制御端末(57)が接続される。前記制御端末により、ルータの管理者は、ルータ内のVPN識別子設定テーブル、VPN識別テーブル及びルーティングテーブルの設定等を行うことが可能である。受信回線55−1、55−2、55−3及び55−4とルータ(9)との接続点には、それぞれ、物理インタフェース番号1、2、3及び4が割り当てられている。
図5は、パケットレイヤ処理部(52)の一構成例を示す図である。下位レイヤ処理部IF(100、106)、スイッチIF(103、104)及び制御部IF(110)は、それぞれ、下位レイヤ処理部(53、54)とのインタフェース、スイッチ(51)とのインタフェース及び制御部(50)とのインタフェースである。本実施例の特徴の一つは、VPN識別子設定テーブル(150)、VPN識別テーブル(151)及びVPN用のルーティングテーブル(152)を設けた点にある。これらはメモリ上に構成される。これらは、それぞれ、物理的に異なるメモリ上に構成されてもよいし、同一のメモリ上の異なる領域に構成されてもよい。この構成の仕方の差異は本発明を実施する上で本質的なものではない。VPN識別子設定テーブル(150)、VPN識別テーブル(151)、ルーティングテーブル(152)及びここで説明しなかったその他のブロックの機能・構成は、以下で説明するルータ(9)のパケット処理動作と併せて説明する。
下位レイヤ処理部(53)が収容している回線(55)からパケットを受信し、下位レイヤ処理部(54)が収容している回線(56)へパケットを転送する場合を例に引き、ルータ(9)のパケット処理を説明する。
下位レイヤ処理部(53)は、LANからパケットを受信すると、IPの下位レイヤのプロトコルを終端する。下位レイヤ処理部(53)は、IPパケットとともに、パケットを受信した物理インターフェース番号(以下、受信物理インターフェース番号と呼ぶ)、下位レイヤのプロトコル種別、VPN識別子として用いる下位レイヤのカプセルヘッダ情報等をパケットレイヤ処理部(52)へ転送する。
パケットレイヤ処理部(52)内の下位レイヤ処理部インターフェース(100)は、下位レイヤ処理部(53)から転送されたIPパケット、受信物理インターフェース番号、下位レイヤのプロトコル種別及びVPN識別子として用いる下位レイヤのカプセルヘッダ情報をパケット転送処理部(101)へ転送する。
パケット転送処理部(101)は、受信したIPパケットからIPヘッダ情報を抽出し、このIPヘッダ情報、受信物理インターフェース番号、下位レイヤのプロトコル種別及びVPN識別子として用いる下位レイヤのカプセルヘッダ情報をVPN識別・ルーティングテーブル検索処理部(102)へ転送する。IPパケット本体はパケット転送処理部(101)内に一時的に蓄積される。
VPN識別・ルーティングテーブル検索処理部(102)は、まず受信物理インターフェース番号、下位レイヤのプロトコル種別等を検索キーとしてVPN識別子設定テーブル(150)を検索し、VPN識別子を決定する。
図6は、VPN識別子設定テーブル(150)の一構成例を示す。各エントリは、物理インターフェース番号(200)、下位レイヤプロトコル(203)及びVPN識別子(201)とを有する。下位レイヤプロトコルがATMのエントリには、パケットの転送優先度を示すCLPのフィールドを設けてあるが、このフィールドはなくてもよい。上述の通り、エッジルータ(9)の管理者は、制御端末(57)から、VPN識別子を設定することができる。VPN識別・ルーティングテーブル検索処理部(102)は、検索キーとして受信物理インターフェース番号を用いて検索を行い、VPN識別子(201)を決定する。例えば、受信物理インタフェース番号が1の場合、VPN識別子はVPI、VCIとなり、受信物理インタフェース番号が3の場合、VPN識別子は物理インタフェース番号となる。本実施例のように、CLPフィールドを設ける場合には、VPN識別子として、VPI、VCIとCLPとの組み合わせ、物理インタフェース番号とCLPとの組み合わせを用いてもよい。VPN識別子にCLP(204)を含めた場合のメリットについては後述する。一つの物理インタフェースに対して、複数のVPNに属するパケットが論理的に多重されて送信される場合、受信物理インタフェース番号からは、そのパケットがどのVPNに属するのか判別することができない。しかし、その下位レイヤがATMの場合、VPI、VCIをVPN識別子に用いれば、そのパケットがどのVPNに属するのかを識別することが可能となる。一つの物理インタフェースに対して、一つのVPNに属するパケットしか送信されない場合には、物理インタフェース番号でVPNを識別することが可能である。検索キーとして、下位レイヤのプロトコル(203)と物理インターフェース番号(201)との組み合わせを用いてもよい。例えば、物理インターフェース番号4に接続される回線が時分割多重回線であり、前記回線に、下位レイヤのプロトコルとしてフレームリレーを用いたパケットと、PPP(Point to Point Protocol)プロトコルを用いたパケットが多重されているとする。また、下位レイヤプロトコルがフレームリレーのエントリに対しては、VPN識別キーとしてDLCIが設定されており、下位レイヤプロトコルがPPPのエントリに対しては、VPN識別キーとしてタイムスロット番号が設定されているとする。この場合、受信物理インタフェース番号4のみを検索キーとして検索しても、VPN識別子がDLCIであるかタイムスロット番号であるかが一意に定まらない。そこで、この場合には、受信物理インタフェース番号と下位レイヤプロトコルとの組み合わせにより、VPN識別子を検索する。
VPN識別子が決定されると、VPN識別・ルーティングテーブル検索処理部は、そのVPN識別子を検索キーとしてVPN識別テーブル(151)を検索し、受信パケットが属しているVPNを決定する。
図7(a)、(b)は、VPN識別テーブル(151)の一構成例を示す。どちらのVPN識別テーブルにおいても、各エントリは、VPN識別子(201)とVPN番号(250)とを有する。
図7(a)は、VPN識別子(201)としてVPI、VCIを用いるテーブルの例を示している。図7(a)のCLPフィールド(204)及び装置内優先度情報フィールド(251)は設けなくても良い。装置内優先度情報フィールド(251)とは、装置内におけるパケット処理の優先度情報を示すフィールドである。VPN識別・ルーティングテーブル検索処理部(102)は、検索キーとして前記のVPN識別子設定テーブルの検索により決定したVPN識別子に従い、検索キーとしてパケットヘッダ内のVPN識別情報を用いて検索を行い、VPN番号(250)を決定する。本実施例のように、VPN識別テーブル(151)にCLPフィールド(204)及び装置内優先度情報フィールド(251)を設ける場合には、検索キーとしては、パケットの転送優先度を示すCLP(204)とVPI、VCIの組み合わせを用いてもよい。CLPを検索キーに含めることにより、同一のVPN番号に属するパケットに対して、異なる装置内優先度情報を定めることができる。例えば、”VPI、VCI=a”かつ”CLP=0”の場合は、”装置内優先度=a”、”VPI、VCI=a”かつ”CLP=1”の場合は、”装置内優先度=b”のように、同一のVPN番号に属するパケットに対して異なる装置内優先度情報を定めることができる。
図7(b)は、VPN識別子(201)として物理インターフェース番号(252)を用いるテーブルの例を示している。パケット処理の優先制御を行わないのであれば、図7(b)の装置内優先度情報フィールド(251)は設けなくても良い。
上記以外のVPN識別子、例えば、DLCI、タイムスロット番号等が使用される場合には、図7(a)、(b)と同様のテーブルを構成すればよい。すなわち、VPN識別テーブル(151)は、VPN識別子毎に設けられ、これらの設定は、制御端末(54)から設定される。VPN識別子毎に設けられたVPN識別テーブル(151)は、同一のメモリ上に構成されても良いし、それぞれ、異なるメモリ上に構成されてもよい。
VPN番号が決定されると、VPN識別・ルーティングテーブル検索処理部は、そのVPN番号に対応するVPN用のルーティングテーブル(152)を検索し、出力方路及びそのVPN番号に属するパケットに付加されるVPN用の出力カプセルヘッダ情報を決定する。
図8は、VPN用ルーティングテーブル(152)の一構成例を示す。VPN識別・ルーティングテーブル検索処理部(102)は、収容するVPN毎にこのVPN用ルーティングテーブル(152)を保持する。このVPN毎に設けられたVPN用ルーティングテーブル(152)は、同一のメモリ上に構成されても良いし、それぞれ異なるメモリ上に構成されてもよい。VPN用ルーティングテーブル(152)は宛先IPアドレス(300)と出力方路番号(301)と出力カプセルヘッダ情報(302)とを有する。出力方路番号(301)は、スイッチ等でパケットを所望のインターフェースに転送するための装置内識別子である。出力カプセルヘッダ情報(302)は、ISPネットワーク(5)内で用いるカプセルヘッダ情報である。VPN識別・ルーティングテーブル検索処理部(102)は、検索キーとしてIPヘッダ内の宛先IPアドレスを用いて、前記のVPN識別テーブルの検索により決定したVPN番号(250)に対応するVPN用のルーティングテーブルの検索を行い、出力方路番号(301)及び出力カプセルヘッダ情報(302)を決定する。本実施例では、VPN毎にVPN用ルーティングテーブル(152)を設けているので、複数のVPNにおいて同一のIPアドレスが使用されていても、正しい出力方路を決定することができる。
出力方路番号(301)と出力カプセルヘッダ情報(302)とが決定されると、VPN識別・ルーティングテーブル検索処理部(102)は、その決定した出力方路(301)と出力カプセルヘッダ情報(302)とをパケット転送処理部(101)に転送する。
パケット転送処理部(101)は、スイッチIF(103)を介して、蓄積していたIPパケット本体、出力方路番号(301)及び出力カプセルヘッダ情報(302)とをスイッチ(51)に転送する。スイッチ(51)は、パケット転送処理部(101)から受信したIPパケット本体と、その出力カプセルヘッダ情報(302)とを、その出力方路番号に対応する出力ポートに出力する。
上記出力ポートに接続されているパケットレイヤ処理部(52)、すなわち、パケットレイヤ処理部(52)から送信されたIPパケット本体及びその出力カプセルヘッダ情報(302)を受信する側のパケットレイヤ処理部(52)は、スイッチIF(104)を介して、それらを受信する。IPパケット本体及びその出力カプセルヘッダ情報(302)とを受信すると、パケット転送処理部(105)はこれらを下位レイヤ処理部IF(106)を介して下位レイヤ処理部(54)に転送する。IPパケット本体及びその出力カプセルヘッダ情報(302)とを受信すると、下位レイヤ処理部(54)は、その出力カプセルヘッダ情報に基づきカプセルヘッダを生成し、そのカプセルヘッダによりIPパケット本体をカプセル化し、そして、そのカプセル化したパケットをコアルータ(17)に送信する。
以上、図4から図8を用いてVPNエッジルータ装置の一構成例を説明した。
本実施例のルータ装置を用いることにより、同一の物理インタフェースに、異なるVPNに属するパケットが送信される場合であっても、それらが属するVPNを識別することが可能となる。また、同一のエッジルータが、異なるIPの下位プロトコルを用いる複数のLANを収容する場合でも、それぞれの下位プロトコルに対応した適切なVPN識別子をVPN識別子設定テーブルに設定することができるので、VPN構築の自由度が増す。
本実施例では、VPN用ルーティングテーブルの検索結果として出力カプセルヘッダ情報を直接出力しているが、出力カプセル番号を出力するようにしてもよい。この出力カプセル番号は、出力側の下位レイヤ処理部においてカプセルヘッダを付与するための装置内識別子である。この場合、出力側の下位レイヤ処理部にカプセル番号とカプセルヘッダとをペアにしたヘッダ生成テーブルを設ける。
出力側の下位レイヤ処理部は、検索キーとそてカプセル番号を用いてヘッダ生成テーブルを検索し、カプセルヘッダを決定する。
本実施例で示したテーブルは論理的なテーブルであり、テーブル検索方法として、ツリー構造に代表される検索アルゴリズムを用いてもよいし、CAM(Content Addressable Memory)を使った構成や、テーブルを逐次検索していく方式を採用してもよい。
VPNエッジルータ装置が時分割多重回線を収容する場合、下位レイヤ処理部がパケットレイヤ処理部に転送する情報として、本実施例で説明した各情報の他、タイムスロット番号を加えてもよい。この場合、VPN識別子として、VPN識別子設定テーブルにタイムスロット番号を設定してもよい。また、VPN識別テーブルの検索キーとして、タイムスロット番号を用いてもよい。
VPNエッジルータ装置がイーサネット(登録商標)を収容し、イーサネット(登録商標)上のパケットがIEEE802.1Qに従ってVLANカプセル化されている場合、下位レイヤ処理部がパケットレイヤ処理部に転送する情報として、本実施例で説明した各情報の他、VLAN Tag情報を加えてもよい。この場合、VPN識別子として、VPN識別子設定テーブルにVLAN Tag情報を設定してもよい。また、VPN識別テーブルの検索キーとして、VLAN Tag情報を用いてもよい。
IPパケットがL2TP(Layer2 Tunneling Protocol)で規定されているL2TPヘッダでカプセル化されている場合、VPN識別子として、VPN識別子設定テーブルにL2TPカプセルヘッダ内の各情報(トンネルID、セッションID等)を設定してもよい。
また、IPパケットがPPP Over Ethernet(登録商標)カプセル化方式で規定されているカプセル情報でカプセル化されている場合、下位レイヤ処理部がパケットレイヤ処理部に転送する情報として、本実施例で説明した各情報の他、PPP Over Ethernet(登録商標)カプセル化方式で規定されているカプセル情報を加えてもよい。この場合、VPN識別子として、VPN識別子設定テーブルにPPP Over Ethernet(登録商標)カプセル化方式で規定されているカプセル情報(セッションID等)を設定してもよい。
図9は、本発明のVPNエッジルータ装置(9)の他の構成例を示す。インターフェースカード(400、401)は、それぞれ、同一の下位レイヤのプロトコルを用いる回線を収容するカードである。例えばインターフェースカード(400)はATM用のインターフェースカードであり、ATM回線(402)を収容する。また、インターフェースカード(401)はPOS用のインターフェースカードであり、POS回線(403)を収容する。インターフェースカード(400、401)は着脱可能であり、ルータの管理者は、必要な下位レイヤプロトコル用のインターフェースカードを必要な数量だけ搭載することができる。各インターフェースカードには、各下位レイヤプロトコルに特有の処理を行う下位レイヤ処理部(405、406)が搭載されている。下位レイヤ処理部(405、406)の動作は、図4の下位レイヤ処理部(53、54)と同様である。パケット処理カード(407)は前記インターフェースカードからIPパケット等の情報を受け取り、パケットレイヤ処理を行うカードである。各パケット処理カード(407)は着脱可能であり、ルータの管理者は、必要な数量だけ搭載することができる。各パケット処理カード(407)には、図4、図5を用いて説明したパケットレイヤ処理部(52)が搭載されている。管理者は、収容するインタフェースカードの種別、LANとインタフェースカードとの間のアクセス網の構成に応じて、制御端末(57)から、パケット処理カード(407)内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの構成をフレキシブルに設定することができる。本実施例のVPNエッジルータ装置のパケット処理動作は、図4から図8を用いて説明した動作と同様である。
図10から図12は、図9のパケット処理カード(407)に収容されるインタフェースカードと、パケット処理カードに保持されるVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルとの関係を示す図である。図10から図12は、エッジルータに収容されるLANと、エッジルータ(9)の構成要素のうちインターフェースカードとパケット処理カードのみを示す。また、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルは論理的なものである。図10から図12では、同一インターフェースカード内の全物理インターフェースに対し、同じVPN識別子が使用される場合を示している。このため、VPN識別子設定テーブルの検索キーとして物理インターフェース番号を設定する必要がないので、図10から図12では、その検索キーとしての物理インターフェース番号は省略されている。同一インターフェースカード内で、異なるVPN識別子が使用される場合は、上述のようにVPN識別子設定テーブルの検索キーとして物理インターフェースを用いればよい。
図10は、パケット処理カード(407)にATM用インターフェースカード(400)が収容される場合における、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの一構成例を示す。LAN1(450)はVPNAに属し、LAN2(451)はVPNBに属しているとする。LAN1、LAN2からのパケットは多重化装置(452)で多重され、回線(453)を介してATM用インターフェースカード(400)に収容される。多重される際、LAN1、LAN2からのパケットにはVPI、VCIとしてそれぞれa、bという値が割り当てられているとする。本実施例では、VPN識別にはVPI、VCIを用いる。パケット処理カード(407)内のVPN識別子設定テーブル(455)にはVPN識別子としてVPI、VCIが設定される。VPN識別テーブル(456)には検索キーとしてVPI、VCIが設定される。VPN用ルーティングテーブルとしてはVPNA用ルーティングテーブル(457)、VPNB用ルーティングテーブル(458)が設けられる。例えば、LAN1からパケットを受信すると、ATM用インターフェースカード(400)内の下位レイヤ処理部(405)は、ATMプロトコルを終端し、IPパケット本体及びVPI、VCI、物理インターフェース番号等をパケット処理カード(407)に転送する。パケット処理カード(407)内のVPN識別・ルーティングテーブル検索処理部は、VPN識別子設定テーブル(455)を検索し、VPN識別子としてVPI、VCIを用いることを決定する。次に、受信パケットのVPI、VCIの値、”a”、を用いてVPN識別テーブル(456)を検索し、受信パケットがVPNAに属することを判定する。次にVPNA用のルーティングテーブル(457)を検索し、出力方路、および出力カプセルヘッダ情報を決定する。
図11は、パケット処理カード(407)にPOS用インターフェースカード(401)が収容される場合における、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの一構成例を示す。
LAN1(450)はVPNAに属し、LAN2(451)はVPNBに属しているとする。LAN1、LAN2はそれぞれ回線(500)、(501)を介してPOS用インターフェースカード(401)に収容される。回線(500)及び回線(501)とPOS用インターフェースカード(401)との物理インターフェース番号をそれぞれ1、2とする。この場合、VPN識別には物理インターフェースを用いるため、パケット処理カード(407)内のVPN識別子設定テーブル(455)にはVPN識別子として物理インターフェース番号が設定される。VPN識別テーブル(456)には検索キーとして物理インターフェース番号を設定する。VPN用ルーティングテーブルとして、VPNA用ルーティングテーブル(457)、VPNB用ルーティングテーブル(458)が設けられる。パケット処理カード(407)内の処理は、図10を用いて説明した処理と同様である。ただし、VPN識別子としてVPI、VCIではなく、物理インターフェースを用いる点が異なる。
図12は、図9に図示していないが、パケット処理カード(407)に時分割多重回線用のインターフェースカード(550)が収容される場合における、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの一構成例を示す。LAN1(450)、LAN2(451)、LAN3(551)LAN4(552)はそれぞれVPNA、VPNB、VPNC、VPNDに属しているとする。LAN1、LAN2の下位プロトコルはフレームリレーとし、LAN3、LAN4の下位プロトコルはPPP(Point to Point Protocol)とする。LAN1とLAN2からのパケットにはDLCIとしてそれぞれ10、20が割り当てられ、それらのパケットは、フレームリレー多重化装置(553)において、回線(554)に多重化される。さらに、時分割多重化装置(555)において、回線(554)、(556)、(557)が回線(558)に多重される。この際、回線(554)、(556)、(557)のデータにはそれぞれ、タイムスロット番号1、2、3が割り当てられるとする。LAN1、LAN2に対するVPN識別子としてはDLCIが用いられ、LAN3、LAN4に対するVPN識別子としてはタイムスロット番号が用いられるとする。この場合、VPN識別子設定テーブル(455)における、下位レイヤプロトコル(559)がフレームリレーであるエントリに対しては、VPN識別子としてDLCI(560)が設定される。また、下位レイヤがPPPであるエントリに対してはVPN識別子としてタイムスロット番号(561)が設定される。VPN識別テーブルとして、2つのテーブル、すなわち、DLCIとVPN番号の対応を示すVPN識別テーブル(562)と、タイムスロット番号とVPN番号の対応を示すVPN識別テーブル(563)とが設けられる。また、VPN用ルーティングテーブルとして、VPNA用ルーティングテーブル(457)、VPNB用ルーティングテーブル(458)、VPNC用ルーティングテーブル(564)及びVPND用ルーティングテーブル(565)が設けられる。パケット処理カード(407)内の処理は、図10を用いて説明した処理と同様である。ただし、VPN識別子設定テーブル検索時に、検索キーとして下位レイヤプロトコル(559)を用いる点が異なる。またVPN識別子設定テーブル検索の結果、VPN識別子として、LAN1、LAN2から受信したパケットに関してはDLCIが使用され、LAN3、LAN4から受信したパケットに関してはタイムスロット番号が使用される点が異なる。
図9から図12では、1つのパケット処理カードが1つのインターフェースカードを収容する例について説明したが、パケット処理カードが複数のインターフェースカードを収容する構成をとってもよい。その際、収容する複数のインターフェースカードが異なる下位プロトコル用のものであってもよい。
図13は、パケット処理カード(407)に異なる下位プロトコル用のインターフェースカードが収容される場合における、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの一構成例を示す。インターフェースカード(400)、(401)はそれぞれATM用、POS用とする。図13は、同一インターフェースカード内の全物理インターフェースに対し、VPN識別子が同じ場合を示している。本実施例で、パケット転送カードは複数のインターフェースカードを収容するため、各インターフェースカード(400)、(401)にはぞれぞれカード番号1、2が割り当てられるている。また、VPN識別子設定テーブル(455)の検索キーとして、カード番号(602)が設定される。LAN1(450)、LAN2(451)、LAN3(551)LAN4(552)はそれぞれVPNA、VPNB、VPNC、VPNDに属しているとする。LAN1、LAN2からのパケットは多重化装置(452)で多重され、回線(453)を介してATM用インターフェースカード(400)に収容される。多重される際、LAN1、LAN2からのパケットにはVPI、VCIとしてそれぞれa、bという値が割り当てられるものとする。この場合、VPN識別にはVPI、VCIを用いればよい。VPN識別子設定テーブル(455)における、カード番号1のエントリ(603)に対しては、VPN識別子としてVPI、VCIが設定される。LAN3、LAN4はそれぞれ回線(500)、(501)を介してPOS用インターフェースカード(401)に収容される。回線(500)、(501)とPOS用インターフェースカード(401)との物理インターフェース番号をそれぞれ1、2とする。この場合、VPN識別には物理インターフェースを用いればよい。VPN識別子設定テーブル(455)における、カード番号2のエントリ(604)に対しては、VPN識別子として物理インターフェースが設定される。VPN識別テーブルとしては、VPI、VCIとVPN番号の対応を示すテーブル(600)と、物理インターフェース番号とVPN番号の対応を示すテーブル(601)とが設けられる。VPN用ルーティングテーブルとしてはVPNA用ルーティングテーブル(457)、VPNB用ルーティングテーブル(458)、VPNC用ルーティングテーブル(564)、VPND用ルーティングテーブル(565)とが設けられる。パケット処理カード(407)内の処理は、図10を用いて説明した処理と同様である。ただし、VPN識別子設定テーブル検索時に、検索キーとしてカード番号(602)を用いる点が異なる。ここでは、ATMとPOSとを収容する場合を示したが、この組み合わせに限られるものではない。例えば、POS用インタフェースカードをFR用インタフェースカードに換えることも可能である。この場合、LAN3及びLAN4からのパケットは、LAN1及びLAN2と同様に、一本の回線に多重してFR用インタフェースカードに入力されるように、DLCIでVPNを識別するようにしてもよい。
以上、図9から図13を用いて説明したように、本実施例のルータ装置によれば、管理者は、収容するインタフェースカードの種別に応じて、制御端末(57)から、パケット処理カード(407)内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの構成をフレキシブルに設定することができる。また、物理インターフェースに多重された論理的なチャネル番号によりVPNを識別するので、一つの回線に論理的に多重されたVPNを識別することが可能となる。
図14に、インタフェースカードを装着する際の、パケット処理カード(407)の設定手順の一例を示す。VPNエッジルータ(9)にインタフェースカードが装着された後、パケット処理カード(407)内のVPN識別子設定テーブル(455)が設定される(701、702)。VPN識別子設定テーブルの設定は、装着するインタフェースカードの種別により、管理者が自由に設定することができる。次に、設定されたVPN識別子毎に、VPN識別テーブルが設定される(703)。VPN毎にルーティングテーブルが設定される(704)。
VPN識別子の設定は、インターフェースカードをパケット処理カードに装着する際に、インターフェースカードとパケット処理カード間で通信を行い、インターフェースカードが終端するIPパケットの下位レイヤのプロトコルを自動的に判定してパケット処理カードに通知するようにしてもよい。その通知された下位レイヤのプロトコルに対応して規定された識別情報を、VPN識別子設定テーブルに自動設定することができる。
以上、図1〜図14を用いて本発明のVPNエッジルータの動作を説明した。
これらに共通する動作フローを図15に示す。
VPNエッジルータは、LANからIPパケットをカプセル化したパケットを受信すると(801)、VPN識別子設定テーブルを検索し(802)、受信パケットのVPN識別子を決定する(803)。VPN識別子としては、VPI、VCI等、論理的なチャネル識別子を用いるが、収容する下位プロトコルに応じて、これと物理インタフェース番号等とを組み合わせて使用してもよい。次に、決定したVPN識別子を検索キーとして、VPN識別テーブルを検索し(804)、受信パケットが属するVPNを決定する(805)。例えば、VPN識別子がVPI、VCIである場合には、受信パケットに割り当てられたVPI、VCIを検索キーとして、VPN識別テーブルを検索し、受信パケットが属するVPNを決定する。決定されたVPN用のルーティングテーブルを検索し(806)、出力方路および出力用カプセルヘッダを決定する(807)。
本発明のVPNエッジルータを用いて構成したVPNの一実施例を説明するための図である。 図1に示される実施例の変形例を説明するための図である。 図1に示される実施例の他の変形例を説明するための図である。 本発明のVPNエッジルータの一構成例を示す図である。 パケットレイヤ処理部の一構成例を示す図である。 VPN識別子設定テーブル(150)の一構成例を示す図である。 VPN識別テーブルの一構成例を示す図である。 VPN用ルーティングテーブルの一構成例を示す図である。 本発明のVPNエッジルータ装置の他の構成例を示す図である。 パケット処理カードにATM用インターフェースカードが収容される場合における、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの一構成例を示す図である。 パケット処理カードにPOS用インターフェースカードが収容される場合における、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの一構成例を示す図である。 パケット処理カードに時分割多重回線用のインターフェースカードが収容される場合における、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの一構成例を示す図である。 パケット処理カードに異なる下位プロトコル用のインターフェースカードが収容される場合における、パケット処理カード内のVPN識別子設定テーブル、VPN識別テーブル、VPN用ルーティングテーブルの一構成例を示す図である。 パケット処理カードの設定手順の一例を示す図である。 本発明のVPNエッジルータの動作フローを示すフローチャートである。
符号の説明
5…ISPネットワーク、9…VPNエッジルータ、50…制御部、51…スイッチ、52…パケットレイヤ処理部、53、54…下位レイヤ処理部、101、105…パケット転送処理部、102…VPN識別・ルーティングテーブル検索処理部、150…VPN識別子設定テーブル、151…VPN識別テーブル、152…ルーティングテーブル、400…ATM用インターフェースカード、401…POS用インターフェースカード、407…パケット処理カード。

Claims (23)

  1. 複数のバーチャル・プライベート・ネットワーク(以下、「VPN」という。)を収容することができるルータ装置であって、
    複数の論理チャネルが多重された受信回線を収容する物理インタフェースと、 上記複数の論理チャネルの各論理的なチャネルに割り当てられている論理チャネル識別子と、上記複数のVPNに割り当てられているVPN名との対応関係を示すテーブルを保持するメモリと、
    上記複数の論理チャネルのうちの一つの論理チャネルを介して送信されたパケットを受信した際、上記論理チャネルに割り当てられている論理チャネル識別子を検索キーとして上記テーブルを検索し、上記受信パケットが上記複数のVPNのうち何れのVPNに属するかを判断する処理部、
    とを有することを特徴とするルータ装置。
  2. 請求項1に記載のルータ装置であって、
    それぞれ、送信回線が収容される複数の物理インタフェースと、
    上記複数のVPNの各VPN対応に、各VPNで使用されるパケットのアドレス情報と、上記複数の物理インタフェースを識別する情報との対応関係を示すルーティングテーブルを保持するメモリ、
    とを有し、
    上記処理部は、上記パケットのヘッダ部に格納される宛先アドレス情報を検索キーとして上記ルーティングテーブルを検索し、上記複数の物理インタフェースのうち何れの物理インタフェースから上記受信パケットを送信するかを決定することを特徴とするルータ装置。
  3. 請求項2に記載のルータ装置であって、
    上記ルーティングテーブルは、各VPNで使用されるパケットのアドレス情報と、パケットを出力する際に付与するヘッダ情報との関係を保持し、
    上記処理部は、上記パケットのヘッダ部に格納される宛先アドレス情報を検索キーとして上記ルーティングテーブルを検索し、上記受信パケットに付与するパケットヘッダ情報を決定することを特徴とするルータ装置。
  4. 請求項2又は請求項3の何れかに記載のルータ装置であって、
    上記テーブルと上記ルーティングテーブルとは物理的に同一のメモリ上に保持されることを特徴とするルータ装置。
  5. 請求項1乃至請求項4の何れかに記載のルータ装置であって、
    上記受信回線は、非同期転送モード(ATM)回線であり、上記論理チャネル識別子は、VPI及びVCIであることを特徴とするルータ装置。
  6. 請求項1乃至請求項4の何れかに記載のルータ装置であって、
    上記受信回線は、フレームリレー回線であり、上記論理チャネル識別子は、DLCIであることを特徴とするルータ装置。
  7. 請求項1乃至請求項4の何れかに記載のルータ装置であって、
    上記受信回線は、L2TP(Layer2 Tunneling Protocol)で規定されているL2TPヘッダでカプセル化されたパケットが送信され、上記論理チャネル識別子は、L2TPカプセルヘッダ内の情報であることを特徴とするルータ装置。
  8. 請求項1乃至請求項4の何れかに記載のルータ装置であって、
    上記受信回線は、イーサネット(登録商標)回線であり、上記論理チャネル識別子は、IEEE802.1Qで規定されるVLAN Tagであることを特徴とするルータ装置。
  9. 請求項1乃至請求項4の何れかに記載のルータ装置であって、
    上記受信回線は、PPP Over Ethernet(登録商標)でカプセル化されたパケットが送信され、上記論理チャネル識別子は、そのカプセルヘッダ内の情報であることを特徴とするルータ装置。
  10. 請求項1乃至請求項9の何れかに記載のルータ装置であって、
    上記ルータ装置は、制御端末と接続することが可能であり、
    上記制御端末から、上記テーブル内に保持される上記論理チャネル識別子と、上記VPN名との対応関係を設定することができることを特徴とするルータ装置。
  11. ルータ装置であって、
    第1のバーチャル・プライベート・ネットワーク(以下、「VPN」という。)に属する第1のローカル・エリア・ネットワーク(以下「LAN」という。)及び第2のVPNに属する第2のLANから同一のプロトコルでカプセル化されたパケットが多重されて送信される回線を収容するインタフェース部と、
    上記第1の回線から受信したパケットが上記第1のVPNに属するのか、上記第2のVPNに属するのかを識別するための識別子を設定する手段、
    とを有することを特徴とするルータ装置。
  12. 請求項11に記載のルータ装置であって、
    上記プロトコルは非同期転送モードプロトコルであり、上記識別子はVPI及びVCIであることを特徴とするルータ装置。
  13. ルータ装置であって、
    それぞれ、異なるバーチャル・プライベート・ネットワーク(以下、「VPN」という。)に属する複数のローカル・エリア・ネットワーク(以下「LAN」という。)から第1のプロトコルでカプセル化されたパケットが送信される第1の回線を収容する第1のインタフェース部と、
    それぞれ、異なるVPNに属するVPNに属する複数のLANから第2のプロトコルでカプセル化されたパケットが送信される第2の回線を収容する第2のインタフェース部と、
    上記第1の回線から受信したパケットが何れのVPNに属するのかを識別するための第1の識別子を設定する手段と、
    上記第2の回線から受信したパケットが何れのVPNに属するのかを識別するための第2の識別子を設定する手段とを有し、
    上記第2の識別子は上記第1の識別子とは異なることを特徴とするルータ装置。
  14. 請求項13に記載のルータ装置であって、
    上記第1のプロトコルは非同期転送モードプロトコルであり、上記第1の識別子はVPI及びVCIであり、
    上記第2のプロトコルはフレームリレーであり、上記第2の識別子はDLCIであることを特徴とするルータ装置。
  15. ルータ装置であって、
    第1のバーチャル・プライベート・ネットワーク(以下、「VPN」という。)に属する第1のローカル・エリア・ネットワーク(以下「LAN」という。)から第1のプロトコルでカプセル化されたパケットと、第2のVPNに属する第2のLANから上記第1のプロトコルでカプセル化されたパケットととが多重されて送信される第1の回線を収容する第1のインタフェース部と、
    第3のVPNに属する第3のLANから第2のプロトコルでカプセル化されたパケットが送信される第2の回線と、第4のVPNに属する第4のLANから上記第2のプロトコルでカプセル化されたパケットが送信される第3の回線とを収容する第2のインタフェース部と、
    上記第1の回線から受信したパケットが上記第1のVPNに属するのか、上記第2のVPNに属するのかを識別するための第1の識別子を設定する手段と、
    上記第2の回線及び上記第3の回線から受信したパケットが上記第3のVPNに属するのか、上記第4のVPNに属するのかを識別するための第2の識別子を設定する手段、
    とを有し、
    上記第2の識別子は上記第1の識別子とは異なることを特徴とするルータ装置。
  16. 請求項15に記載のルータ装置であって、
    上記第1のプロトコルは非同期転送モードプロトコルであり、上記第1の識別子はVPI及びVCIであり、
    上記第2のプロトコルはPPP over SONETであり、上記第2の識別子は、上記第3の回線と上記第4の回線とを識別するための物理インタフェース番号であることを特徴とするルータ装置。
  17. 複数のバーチャル・プライベート・ネットワーク(以下、「VPN」という。)を収容することができるルータ装置におけるパケット転送制御方法であって、 上記ルータ装置は、複数の論理チャネルが多重された受信回線を収容し、上記複数の論理チャネルの各論理的なチャネルに割り当てられている論理チャネル識別子と、上記複数のVPNに割り当てられているVPN名との対応関係を示すテーブルを有し、
    上記方法は、
    上記複数の論理チャネルのうちの一つの論理チャネルを介して送信されたパケットを受信し、
    上記論理チャネルに割り当てられている論理チャネル識別子を検索キーとして上記テーブルを検索し、
    上記受信パケットが上記複数のVPNのうち何れのVPNに属するかを判断する、ステップを有することを特徴とする。
  18. 請求項17に記載のパケット転送制御方法であって、
    上記受信回線は、非同期転送モード(ATM)回線であり、上記論理チャネル識別子は、VPI及びVCIであることを特徴とするパケット転送制御方法。
  19. それぞれ異なるバーチャル・プライベート・ネットワーク(以下、「VPN」という。)に属する複数のローカル・エリア・ネットワーク(LAN)を収容するルータ装置におけるVPN識別情報の設定方法であって、
    上記ルータ装置は、上記複数のLANの一部のLANからは第1のプロトコルでカプセル化されたパケットを受信し、上記複数のLANの他のLANからは第2のプロトコルでカプセル化されたパケットを受信し、そして、メモリを有し、 上記方法は、
    上記一部のLANから受信したパケットが何れのVPNに属するのかを識別するための第1の識別子を上記メモリに設定し、
    上記他のLANから受信したパケットが何れのVPNに属するのかを識別するための第2の識別子を上記メモリに設定し、
    上記第2の識別子は上記第1の識別子とは異なることを特徴とする。
  20. 請求項19に記載のVPN識別情報の設定方法であって、
    上記第1の識別子と、VPNに割り当てられているVPN番号との対応関係を示す第1のテーブルを設定し、
    上記第2の識別子と、VPNに割り当てられているVPN番号との対応関係を示す第2のテーブルを設定する、
    ステップを更に有することを特徴とするVPN識別情報の設定方法。
  21. 請求項19又は請求項20の何れかに記載のVPN識別情報の設定方法であって、
    上記第1のプロトコルは非同期転送モードプロトコルであり、上記第1の識別子はVPI及びVCIであり、
    上記第2のプロトコルはフレームリレーであり、上記第2の識別子はDLCIであることを特徴とするVPN識別情報の設定方法。
  22. 複数のバーチャル・プライベート・ネットワーク(以下、「VPN」という。)を
    収容するルータ装置におけるパケット転送制御方法であって、
    レイヤ2に相当するプロトコルによるカプセルヘッダが付与されたIPパケットを受信し、
    上記カプセルヘッダ内の情報を用いて、上記受信したIPパケットが何れのVPNに属するかを決定する、
    ステップを有することを特徴とするパケット転送制御方法。
  23. 複数のバーチャル・プライベート・ネットワーク(以下、「VPN」という。)を収容するルータ装置であって、
    レイヤ2に相当するプロトコルによるカプセルヘッダが付与されたIPパケットを受信するインタフェース部と、
    上記カプセルヘッダ内の情報を用いて、上記受信したIPパケットが何れのVPNに属するかを決定する手段、
    とを有することを特徴とするルータ装置。
JP2006038755A 2006-02-16 2006-02-16 パケット転送制御方法及びvpn識別情報の設定方法 Withdrawn JP2006174508A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006038755A JP2006174508A (ja) 2006-02-16 2006-02-16 パケット転送制御方法及びvpn識別情報の設定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006038755A JP2006174508A (ja) 2006-02-16 2006-02-16 パケット転送制御方法及びvpn識別情報の設定方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2000170414A Division JP4099930B2 (ja) 2000-06-02 2000-06-02 ルータ装置及びvpn識別情報の設定方法

Publications (1)

Publication Number Publication Date
JP2006174508A true JP2006174508A (ja) 2006-06-29

Family

ID=36674655

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006038755A Withdrawn JP2006174508A (ja) 2006-02-16 2006-02-16 パケット転送制御方法及びvpn識別情報の設定方法

Country Status (1)

Country Link
JP (1) JP2006174508A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009165152A (ja) * 2009-03-04 2009-07-23 Hitachi Communication Technologies Ltd パケット転送装置
US8588251B2 (en) 2007-07-10 2013-11-19 Hitachi, Ltd. Packet transfer apparatus

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8588251B2 (en) 2007-07-10 2013-11-19 Hitachi, Ltd. Packet transfer apparatus
US8948201B2 (en) 2007-07-10 2015-02-03 Hitachi, Ltd. Packet transfer apparatus
JP2009165152A (ja) * 2009-03-04 2009-07-23 Hitachi Communication Technologies Ltd パケット転送装置

Similar Documents

Publication Publication Date Title
JP4099930B2 (ja) ルータ装置及びvpn識別情報の設定方法
CN109218178B (zh) 一种报文处理方法及网络设备
KR102054338B1 (ko) 개별 관리들을 이용하는 vlan 태깅된 패킷들의 가상 포워딩 인스턴스들의 원단 주소들로의 라우팅
EP3720066A1 (en) Packet sending and processing method and apparatus, pe node, and node
US8315260B2 (en) Transport multiplexer-mechanisms to force ethernet traffic from one domain to be switched in a different (external) domain
US8819267B2 (en) Network virtualization without gateway function
CA2413570C (en) Address resolution method for a virtual private network, and customer edge device for implementing the method
EP1713197B1 (en) A method for implementing the virtual leased line
US6789121B2 (en) Method of providing a virtual private network service through a shared network, and provider edge device for such network
US8259725B2 (en) Method, system and device for removing media access control addresses
US8098656B2 (en) Method and apparatus for implementing L2 VPNs on an IP network
EP2014035B1 (en) Ethernet vll spoke termination at an ip interface
EP1045553A2 (en) Virtual private networks and methods for their operation
EP3782336B1 (en) Multi-vrf universal device internet protocol address for fabric edge devices
MX2007008112A (es) Metodo para ejecutar una red sin conexion como una red de conexion orientada.
JP2005341591A (ja) 仮想プライベートネットワーク、マルチサービスプロビジョニングプラットフォーム及び方法
WO2007051960A1 (en) Multilink trunking for encapsulated traffic
EP2087419B1 (en) Supporting bgp based ip-vpn in a routed network
CN112822097A (zh) 报文转发的方法、第一网络设备以及第一设备组
EP1318631A2 (en) Address resolution method for a virtual private network, and customer edge device for implementing the method
JP5713865B2 (ja) Vpn終端装置、通信システム、パケット転送方法、及びプログラム
Leddy et al. Rfc 8986: Segment routing over ipv6 (srv6) network programming
JP2006174508A (ja) パケット転送制御方法及びvpn識別情報の設定方法
CN114520762B (zh) BIERv6报文的发送方法以及第一网络设备
CN112737951B (zh) 一种公私网混合场景下端到端sr控制方法、系统和可读存储介质

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060421

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071010

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071016

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20071217