JP2006279771A - Method and program for packet transmission - Google Patents

Method and program for packet transmission Download PDF

Info

Publication number
JP2006279771A
JP2006279771A JP2005098621A JP2005098621A JP2006279771A JP 2006279771 A JP2006279771 A JP 2006279771A JP 2005098621 A JP2005098621 A JP 2005098621A JP 2005098621 A JP2005098621 A JP 2005098621A JP 2006279771 A JP2006279771 A JP 2006279771A
Authority
JP
Japan
Prior art keywords
packet
vpn
header
communication
concatenated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005098621A
Other languages
Japanese (ja)
Inventor
Toshikatsu Tanimura
敏勝 谷村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tokyo Sanyo Electric Co Ltd
Sanyo Electric Co Ltd
Original Assignee
Tokyo Sanyo Electric Co Ltd
Tottori Sanyo Electric Co Ltd
Sanyo Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tokyo Sanyo Electric Co Ltd, Tottori Sanyo Electric Co Ltd, Sanyo Electric Co Ltd filed Critical Tokyo Sanyo Electric Co Ltd
Priority to JP2005098621A priority Critical patent/JP2006279771A/en
Publication of JP2006279771A publication Critical patent/JP2006279771A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a packet transmission method which switches transmission methods in a packet unit based on the immediacy required for communications that use a VPN to achieve high-quality communications. <P>SOLUTION: When a communication packet 31 is transmitted through a VPN tunnel 102, the header of the communication packet 31 is analyzed and it is determined whether or not the communication packet 31 is used for immediate communications. Based on the result, its transmission method is changed in a packet unit. If the communication packet 31 requires high immediacy (transmission delay is not permitted), it is individually encapsulated (a VPN header is added), and then transmitted as an individual VPN packet 32a. If the communication packet 31 does not require immediacy (transmission delay is permitted), a plurality of packets are connected, and then encapsulated to be transmitted as a connected VPN packet 32b. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、VPN(Virtual Private Network)におけるパケット伝送方式に関するものであり、特に伝送するパケットが即時性の高い通信に用いられているかどうかを判断し、その結果をもとにパケット単位で伝送方式を変更するパケット伝送方式に関する。   The present invention relates to a packet transmission method in a VPN (Virtual Private Network), and in particular, determines whether or not a packet to be transmitted is used for highly-immediate communication, and based on the result, determines a transmission method for each packet. The present invention relates to a packet transmission method for changing the packet.

近年、遠隔地に存在する複数のLAN(Local Area Network)を相互に接続し、複数のLANを一つの広域LANとして運用する技術が広く普及している。この技術は主に、企業内の拠点間を結ぶために用いられることが多い。拠点間での通信(例えば、電子メール等)を行う場合、インターネットを経由すると通信データの盗聴や改ざんの恐れがある。これに対して、フレームリレーや専用線を用いた広域LAN(プライベートネットワーク)では、通信データの秘匿性が高く、また回線の品質も高い。このため、セキュリティを重視する企業はプライベートネットワークとインターネットとの両方を導入し、使い分けを行っているところが多い。しかしプライベートネットワークは通信回線などの物理的な制約を受けやすく、またコストもかかるため、インターネットのように容易に導入することができないという欠点がある。   2. Description of the Related Art In recent years, a technique for connecting a plurality of LANs (Local Area Networks) existing at remote locations and operating the plurality of LANs as one wide area LAN has been widely used. This technology is often used mainly to connect bases in a company. When communication between bases (for example, e-mail or the like), communication data may be wiretapped or tampered via the Internet. On the other hand, in a wide area LAN (private network) using a frame relay or a dedicated line, the confidentiality of communication data is high and the quality of the line is also high. For this reason, many companies that place importance on security have introduced both private networks and the Internet, and are using them properly. However, the private network is subject to physical restrictions such as communication lines and is expensive, and thus has a disadvantage that it cannot be easily introduced like the Internet.

この問題を解決する方法として近年、公衆網(例えばインターネット)を利用したVPN(仮想プライベートネットワーク)と呼ばれるサービスが出現している。VPNとは、複数のLANを公衆網などで相互に接続し、その間で透過的な通信(LAN間に公衆網が存在することを意識する必要のない通信)を実現するための技術である。VPNは安価な公衆網を使用して仮想的なプライベートネットワークを構成するため、フレームリレーや専用線を用いた場合と比較して低コスト、かつ容易に導入することができるという利点がある。   In recent years, a service called VPN (Virtual Private Network) using a public network (for example, the Internet) has appeared as a method for solving this problem. VPN is a technique for connecting a plurality of LANs to each other through a public network or the like, and realizing transparent communication between them (communication without having to be aware that a public network exists between the LANs). Since the VPN uses a cheap public network to form a virtual private network, there is an advantage that it can be easily introduced at a lower cost than when using a frame relay or a dedicated line.

VPNにはその制御方式により複数の種類が存在する。例えば、L2TP(Layer2 Tunneling Protocol)、IP(Internet Protocol)−VPN、SSL(Secure Socket Layer)−VPN、ソフトウェアVPNなどがあげられる。前述の各方式に共通して言えることは、データを公衆網を通じて伝送する際に、暗号化技術や認証技術等を用いてセキュリティの保護を図っている点である。   There are several types of VPNs depending on the control method. For example, there are L2TP (Layer 2 Tunneling Protocol), IP (Internet Protocol) -VPN, SSL (Secure Socket Layer) -VPN, software VPN, and the like. What can be said in common with each of the above-described systems is that when data is transmitted through a public network, security is secured by using encryption technology, authentication technology, or the like.

L2TPは、レイヤ2パケット(例えばイーサネット(登録商標)フレーム)に対し、さらにTCP(Transmission Control Protocol)ヘッダやIP(Internet Protocol)ヘッダを付加してカプセル化することによりVPNパケットを作成し、インターネットなどの公衆網を利用したVPNを実現する方式である。この方式では、マルチプロトコル(例えば、NetBEUI(NetBIOS Extended User Interface、NetBIOS拡張ユーザー・インタフェース)等)に対応した通信を行うことも可能である。   L2TP creates a VPN packet by adding a TCP (Transmission Control Protocol) header or an IP (Internet Protocol) header to a layer 2 packet (for example, Ethernet (registered trademark) frame) and encapsulating it, and the like. This is a method for realizing VPN using a public network. In this method, it is possible to perform communication corresponding to a multi-protocol (for example, NetBEUI (NetBIOS Extended User Interface)).

IP−VPNは、レイヤ3(ネットワーク層)において実装されるIPsecという技術を用いてパケットを暗号化することにより、実現されるVPNである。IP−VPNでは、パケットのIPヘッダにさらにIPヘッダを付加して暗号化することにより、セキュリティの向上を図っている。ただしIPsecはプロトコル(通信規約)にIPを使用した通信においてのみ使用できるという制限がある。このため、IPsecを用いたIP−VPNも同様の制限を受けることとなる。   The IP-VPN is a VPN realized by encrypting a packet using a technology called IPsec implemented in layer 3 (network layer). In IP-VPN, security is improved by adding an IP header to the IP header of the packet and encrypting it. However, there is a restriction that IPsec can be used only in communication using IP as a protocol (communication protocol). For this reason, IP-VPN using IPsec is also subject to similar restrictions.

SSL−VPNは、レイヤ5(セッション層)において実装されるSSLという技術を使用してパケットを暗号化することにより、実現されるVPNである。アプリケーション単位でパケットのトンネリングを行うため、他のVPNと比較して導入環境が限定される。また、SSLに対応したアプリケーションでしか使用することができないという欠点を持つ。しかしその反面、導入が容易であるという利点を持つ。   SSL-VPN is a VPN realized by encrypting a packet by using a technology called SSL implemented in layer 5 (session layer). Since tunneling of packets is performed in units of applications, the installation environment is limited compared to other VPNs. Moreover, it has the fault that it can be used only by the application corresponding to SSL. On the other hand, it has the advantage of being easy to install.

ソフトウェアVPNは、例えばSoft EtherやTiny VPNなどのVPNソフトウェアを用いて構築されるVPNの通称である。なお、現在のところ公知の正式名称が存在しないため、本明細書では便宜的にソフトウェアVPNという名称を用いることとする。ソフトウェアVPNは、前記までの各VPNとは大きく異なる特徴を持つ。前記までの各VPNが、あくまで既存の物理的な複数のネットワークを仮想的に相互接続するための技術であるのに対し、ソフトウェアVPNは、物理的な構成にとらわれない仮想的なネットワーク(仮想ネットワーク)を物理ネットワーク上に構築することを目的とした技術である。   Software VPN is a common name of VPN constructed using VPN software such as Soft Ether and Tiny VPN. Since there is no known official name at present, the name software VPN is used in this specification for convenience. The software VPN has characteristics that are greatly different from the above VPNs. While each of the above VPNs is a technology for virtually interconnecting a plurality of existing physical networks, a software VPN is a virtual network (virtual network) that does not depend on a physical configuration. ) On the physical network.

仮想的なネットワークにおいては、仮想的なNIC(Network Interface Card)や仮想的なハブなどを用いて通信が行われる。この仮想ネットワークは、設定により、物理ネットワークと接続することも可能である。そのため、例えば仮想ネットワークを一つ構築し、それに対して複数の物理ネットワークを接続させることにより、結果として複数の物理ネットワーク同士を接続することが可能である。ソフトウェアVPNは導入が容易である反面、ネットワーク管理者の目の届かないところでユーザーが自由にVPNを構築することができるため、セキュリティ面で大きな問題を含んでいる技術とも言われている。   In a virtual network, communication is performed using a virtual NIC (Network Interface Card), a virtual hub, or the like. This virtual network can also be connected to a physical network by setting. Therefore, for example, by constructing one virtual network and connecting a plurality of physical networks thereto, it is possible to connect a plurality of physical networks as a result. Software VPN is easy to introduce, but it is also said to be a technology that poses a serious problem in terms of security because users can freely construct a VPN without the eyes of the network administrator.

ソフトウェアVPNを除く従来のVPNにおいては、パケットのカプセル化(VPNパケットの作成)を行う場合、個々のパケットを個別にカプセル化していた。しかしこの方式では、例えばパケットのサイズが比較的小さなデータが大量に存在する場合、それぞれのパケット毎にVPNヘッダ(VPNにおいて伝送制御に使用されるヘッダ)が付加されることになる。このため、伝送される総データにおけるVPNヘッダの割合が高くなり、ネットワークの伝送効率を低下させる恐れがあった。   In the conventional VPN excluding the software VPN, when packet encapsulation (VPN packet creation) is performed, each packet is individually encapsulated. However, in this method, for example, when a large amount of data having a relatively small packet size exists, a VPN header (a header used for transmission control in the VPN) is added to each packet. For this reason, the ratio of the VPN header in the total data to be transmitted is increased, and there is a risk of reducing the transmission efficiency of the network.

上記の問題を解決するための発明として、特許文献1においては、複数のパケットをまとめてカプセル化するパケット連結伝送方式が開示されている。特許文献1のパケット連結伝送方式においては、例えばLANから公衆網にパケットが伝送される際に、レイヤ2トンネリング装置を使用してパケットを連結させて連結パケットを作成し、なおかつ連結パケットにVPNヘッダを付加してカプセル化を行い、公衆網へ伝送している。公衆網を通じてVPNパケットを受けた受信側LANは、レイヤ2トンネリング装置を使用してVPNパケットからVPNヘッダを除去し、連結パケットを抽出する。そして抽出した連結パケットを分割して複数のパケットを復元し、各パケットを送信先に対して伝送する。なお、大半のソフトウェアVPNにおいてはこのパケット連結伝送方式が採用されている。
特開2004−258501号公報
As an invention for solving the above-described problem, Patent Document 1 discloses a packet concatenated transmission method in which a plurality of packets are encapsulated together. In the packet concatenated transmission method of Patent Document 1, for example, when a packet is transmitted from a LAN to a public network, a concatenated packet is created by concatenating the packets using a layer 2 tunneling device, and a VPN header is added to the concatenated packet. Is encapsulated and transmitted to the public network. The receiving LAN that has received the VPN packet through the public network uses the layer 2 tunneling device to remove the VPN header from the VPN packet and extract the concatenated packet. The extracted concatenated packet is divided to restore a plurality of packets, and each packet is transmitted to the transmission destination. Note that most of the software VPNs employ this packet concatenation transmission method.
JP 2004-258501 A

上記の二つの伝送方式(パケットを連結する方式としない方式)は、それぞれに長所と短所を併せ持っている。パケットを個別にカプセル化する方式の短所としては、上述した通りパケットのサイズが比較的小さい場合に、伝送データにおけるVPNヘッダの占める割合が大きくなり、ネットワークの伝送効率を低下させる恐れがあることである。逆に長所としては、パケットからVPNパケットへの変換、もしくはその逆の変換の際に、パケット連結伝送方式のようにパケットの連結もしくは分解処理を行う必要がないため、通信の遅延が発生しにくく、即時性に優れている。   Each of the above two transmission methods (methods that do not concatenate packets) has both advantages and disadvantages. The disadvantage of the method of encapsulating packets individually is that, as described above, when the packet size is relatively small, the ratio of the VPN header in the transmission data becomes large, which may reduce the transmission efficiency of the network. is there. Conversely, as an advantage, there is no need to perform packet concatenation or disassembly processing as in the packet concatenation transmission method at the time of packet-to-VPN packet conversion, or vice versa. Excellent in immediacy.

これに対して特許文献1の伝送方式は、上記と全く逆の長所と短所を持っている。長所としては、例えばサイズが比較的小さなパケットが大量に存在する場合、伝送データにおけるVPNヘッダの占める割合を削減することができるため、ネットワークの伝送効率を上げることができる。逆に短所としては、パケットからVPNパケットへの変換、もしくはその逆の変換の際に、パケットの連結もしくは分解処理を行うため、通信の遅延が起こりやすく、即時性が必要なデータ(例えばIP電話における音声データなど)の伝送には向かないということがある。   On the other hand, the transmission method of Patent Document 1 has advantages and disadvantages that are completely opposite to those described above. As an advantage, for example, when a large number of packets having a relatively small size exist, the ratio of the VPN header in the transmission data can be reduced, so that the transmission efficiency of the network can be increased. On the other hand, the disadvantage is that the packet is concatenated or decomposed when the packet is converted into a VPN packet, or vice versa, so that communication delay is likely to occur and data that requires immediacy (for example, IP phone) May not be suitable for transmission of voice data, etc.).

前述したように、L2TP、IP−VPNおよびSSL−VPNは、パケットを個別にカプセル化する方式が採用されてるのに対し、ソフトウェアVPNの大半は、パケットを連結してカプセル化する方式が採用されている。このように、どちらの方式が用いられるかはVPNの種類により決まっており、ユーザーが任意に選択することはできない。そのため、例えばソフトウェアVPNを用いてIP電話などの即時性の高い通信を行おうとした場合、パケットを個別にカプセル化する方式がより好ましいにもかかわらず、強制的にパケットを連結してカプセル化するため、パケット伝送の遅延が発生して十分な品質が得られないという問題があった。   As described above, L2TP, IP-VPN, and SSL-VPN employ a method of individually encapsulating packets, whereas most software VPNs employ a method of concatenating and encapsulating packets. ing. Thus, which method is used is determined by the type of VPN and cannot be arbitrarily selected by the user. For this reason, for example, when a highly-immediate communication such as an IP phone is performed using software VPN, a packet is forcibly connected and encapsulated even though a method of individually encapsulating the packet is preferable. Therefore, there has been a problem that packet transmission delay occurs and sufficient quality cannot be obtained.

本発明は上記の問題を解決するためになされたものであり、
VPNにおけるパケットの伝送をより効率的に行うために、
パケットのヘッダ部を解析し、そのパケットが即時性の高い通信において使用されるものであるか判別することと、
前記判別結果をもとに、パケット単位で伝送方式を変更してVPNパケットの作成および伝送を行うことと、
前記VPNパケットを受信した際に、VPNヘッダよりそのVPNパケットの伝送方式を判別することと、
前記判別結果をもとに、伝送方式毎に異なる方法でVPNパケットからパケットを復元することと、
を特徴とするパケット伝送方式を提供することを目的とする。
The present invention has been made to solve the above problems,
In order to more efficiently transmit packets in VPN,
Analyzing the header of the packet to determine whether the packet is used in a highly instantaneous communication;
Based on the determination result, changing the transmission method in packet units to create and transmit a VPN packet;
Determining the transmission method of the VPN packet from the VPN header when receiving the VPN packet;
Based on the determination result, restoring the packet from the VPN packet in a different manner for each transmission method;
It aims at providing the packet transmission system characterized by this.

上記目的を達成するために本発明のパケット伝送方式は、
VPNに対して伝送されるパケットを個別にカプセル化してVPNパケットを作成する個別カプセル化工程と、
複数の前記パケットを連結した後にカプセル化してVPNパケットを作成する連結カプセル化工程と、
前記パケットをVPNに対して伝送する際に前記パケットのヘッダを解析し、前記パケットが即時性の高い通信に用いられているかどうかを判別する即時性判別工程と、
前記即時性判別工程の結果、即時性の高い通信に用いられていると判断された前記パケットを、前記個別カプセル化工程を用いて前記VPNパケットを作成して伝送する個別VPNパケット伝送工程と、
前記即時性判別工程の結果、即時性の高い通信に用いられていると判断されなかった前記パケットを、前記連結カプセル化工程を用いて前記VPNパケットを作成して伝送する連結VPNパケット伝送工程と、
を備えたことを特徴としている。
In order to achieve the above object, the packet transmission method of the present invention provides:
An individual encapsulation step of individually encapsulating packets transmitted to the VPN to create a VPN packet;
A concatenated encapsulation step in which a plurality of packets are concatenated and then encapsulated to create a VPN packet;
An immediacy determination step of analyzing the header of the packet when transmitting the packet to the VPN and determining whether the packet is used for highly-immediate communication;
As a result of the immediacy determination step, the individual VPN packet transmission step of creating and transmitting the VPN packet using the individual encapsulation step, the packet determined to be used for highly immediate communication,
As a result of the immediacy determination process, a concatenated VPN packet transmission process for creating and transmitting the VPN packet by using the concatenated encapsulation process for the packet that has not been determined to be used for highly immediate communication; ,
It is characterized by having.

この構成によると、パケットをVPNに対して伝送する際に、受信したパケットのヘッダ部を解析することにより、例えばそのパケットがどのようなアプリケーションに使用されているか、または伝送遅延がどの程度まで許可されているか、などの情報を取得し、それをもとにパケット単位で伝送方式を変更する。即時性が高い(伝送遅延が許可されていない)パケットは、個別にカプセル化(VPNヘッダの付加)が行われ、VPNパケットが作成される。この場合、VPNパケットとパケットとの関係は一対一となる。逆に即時性が低い(伝送遅延が許可されている)パケットは、複数のパケットを連結した後にカプセル化が行われ、VPNパケットに変換される。この場合、VPNパケットとパケットとの関係は一対多となる。   According to this configuration, when a packet is transmitted to the VPN, by analyzing the header part of the received packet, for example, what kind of application the packet is used or to what extent transmission delay is permitted Information is acquired, and the transmission method is changed on a packet-by-packet basis. Packets having high immediacy (transmission delay is not permitted) are individually encapsulated (adding a VPN header) to create a VPN packet. In this case, the relationship between the VPN packet and the packet is one-to-one. Conversely, a packet with low immediacy (transmission delay is permitted) is encapsulated after concatenating a plurality of packets and converted into a VPN packet. In this case, the relationship between VPN packets and packets is one-to-many.

また本発明のパケット伝送方式は、
前記個別VPNパケット伝送工程および前記連結VPNパケット伝送工程により伝送された前記VPNパケットを受信するVPNパケット受信工程と、
前記VPNパケット受信工程で受信した前記VPNパケットのヘッダ部であるVPNヘッダを解析するVPNヘッダ解析工程と、
前記VPNヘッダ解析工程の結果、前記VPNパケットが単独の前記パケットより構成されていると判断された場合に、前記VPNパケットのカプセル化を解除することにより単独の前記パケットを復元する個別VPNパケット復元工程と、
前記VPNヘッダ解析工程の結果、前記VPNパケットが複数の前記パケットより構成されていると判断された場合に、前記VPNパケットのカプセル化を解除し、かつ連結された複数の前記パケットを分割することにより複数の前記パケットを復元する連結VPNパケット復元工程と、
を備えたことを特徴としている。
The packet transmission system of the present invention is
A VPN packet receiving step for receiving the VPN packet transmitted by the individual VPN packet transmission step and the concatenated VPN packet transmission step;
A VPN header analyzing step of analyzing a VPN header which is a header portion of the VPN packet received in the VPN packet receiving step;
When it is determined that the VPN packet is composed of a single packet as a result of the VPN header analysis step, the individual VPN packet restoration is performed to restore the single packet by releasing the encapsulation of the VPN packet. Process,
When it is determined as a result of the VPN header analysis step that the VPN packet is composed of a plurality of the packets, the encapsulation of the VPN packet is released and the plurality of connected packets are divided. A concatenated VPN packet restoring step for restoring a plurality of the packets by:
It is characterized by having.

この構成によると、VPNを通じて受信したVPNパケットのVPNヘッダを解析することにより、VPNパケット内に含まれているパケットの個数を判別する。VPNパケットに含まれているパケットが単独である場合は、例えばVPNヘッダの除去などによりパケットの復元を行う。VPNパケットに含まれているパケットが複数である場合は、例えばVPNヘッダの除去とパケットの分割とを行うなどにより、複数のパケットの復元を行う。   According to this configuration, the number of packets included in the VPN packet is determined by analyzing the VPN header of the VPN packet received through the VPN. When a single packet is included in the VPN packet, the packet is restored, for example, by removing the VPN header. When there are a plurality of packets included in the VPN packet, the plurality of packets are restored by, for example, removing the VPN header and dividing the packet.

本発明によると、
VPNに対して伝送するVPNパケットを作成する際に、その元となるパケットが即時性の高い通信において用いられるものであるかどうかを判断し、それをもとにパケット単位で伝送方式を変更する。このため、パケット毎に最適な伝送方式を用いて伝送することができる。例えば、IP電話のように即時性の高い通信においては、単独パケットから単独のVPNパケットを作成することにより、通信の遅延を防ぐ。逆に例えば、HTTP(Hyper Text Transfer Protocol)によるデータ通信などのように、即時性よりもデータ転送量に重みを置く(少々遅延が発生しても、データ圧縮などによりできるだけ転送データ量を減らしたい)通信では、複数のパケットを連結して単独のVPNパケットを作成する。これにより、VPNヘッダの総数を減らし、ネットワークの帯域幅を有効に利用することができる。
According to the present invention,
When creating a VPN packet to be transmitted to a VPN, it is determined whether or not the original packet is used in highly-immediate communication, and the transmission method is changed on a packet-by-packet basis. . For this reason, it can transmit using the optimal transmission system for every packet. For example, in communication with high immediacy such as an IP telephone, a communication delay is prevented by creating a single VPN packet from a single packet. On the other hand, for example, data transmission amount is more weighted than immediacy, such as data communication using HTTP (Hyper Text Transfer Protocol) (even if a slight delay occurs, we want to reduce the transfer data amount as much as possible by data compression etc.) In communication, a plurality of packets are concatenated to create a single VPN packet. Thereby, the total number of VPN headers can be reduced and the network bandwidth can be used effectively.

また本発明によると、従来のように伝送方式が固定されていないため、VPNを導入する際に、通信の即時性を必要とするかどうかを考慮してVPNの選別を行う必要がない。例えばVPNを主に、即時性の高い通信であるIP電話通信で使用する場合に、パケット連結により遅延の発生しやすいソフトウェアVPNを導入対象から外すといった制約が発生することがない。   Further, according to the present invention, since the transmission method is not fixed as in the prior art, it is not necessary to select the VPN in consideration of whether communication immediacy is required when introducing the VPN. For example, when a VPN is mainly used for IP telephone communication, which is a highly immediate communication, there is no restriction that a software VPN, which is likely to cause a delay due to packet connection, is excluded from introduction targets.

また本発明によると、伝送方式の変更はあくまで伝送路上の装置もしくは装置にインストールされたソフトウェアが行うため、ユーザーはVPNにおけるパケット伝送方式を意識する必要がない。そのため例えば、即時性の高い通信を行う場合に、ルータ等の伝送装置の設定を変更するなどの作業が必要ない。   Further, according to the present invention, since the transmission method is changed only by a device on the transmission path or software installed in the device, the user does not need to be aware of the packet transmission method in the VPN. For this reason, for example, when performing highly-immediate communication, it is not necessary to change the setting of a transmission device such as a router.

以下に、本発明のパケット伝送方式について、図面を参照しつつ説明する。
[実施の形態]
〈1.ネットワーク構成について〉
ここで、本発明の適用されるネットワークの要部構成を、図1のブロック図を用いながら説明する。なお本実施例では、ソフトウェアVPNを用いたVPNにおける本発明の実施形態を示す。
The packet transmission system of the present invention will be described below with reference to the drawings.
[Embodiment]
<1. Network configuration>
Here, the configuration of the main part of the network to which the present invention is applied will be described with reference to the block diagram of FIG. In the present embodiment, an embodiment of the present invention in a VPN using software VPN is shown.

図1のブロック図に示すように、本発明が適用されるネットワークは例えば、ゲートウェイ1、サーバ2、PC3、IP電話4を含むように構成されている。ゲートウェイ1とPC3とIP電話4とは、LANケーブル等を用いて相互に接続されることにより、LAN91を構成する一構成要素(ノード)となっている。またゲートウェイ1とサーバ2とは、公衆網101を経由して相互に接続されることにより、グローバルネットワーク92を構成する一ノードとなっている。またゲートウェイ1とサーバ2とは、VPNトンネル102を経由して相互に接続されることにより、VPN93を構成する一ノードとなっている。各ノードは、通信パケット31もしくはVPNパケット32により相互に通信を行う。   As shown in the block diagram of FIG. 1, the network to which the present invention is applied is configured to include, for example, a gateway 1, a server 2, a PC 3, and an IP telephone 4. The gateway 1, the PC 3, and the IP phone 4 are connected to each other using a LAN cable or the like, thereby forming one component (node) that constitutes the LAN 91. Further, the gateway 1 and the server 2 are connected to each other via the public network 101 to form one node constituting the global network 92. Further, the gateway 1 and the server 2 are connected to each other via the VPN tunnel 102, thereby becoming one node constituting the VPN 93. Each node communicates with each other using a communication packet 31 or a VPN packet 32.

ゲートウェイ1は、LAN91とグローバルネットワーク92とVPN93の三つのネットワークに接続された情報処理装置であり、相互のネットワーク間での通信をルーティングテーブル(不図示)を用いて中継する役割をもつ。ゲートウェイ1は、上記の三つのネットワークに接続するためのインタフェースとして、ローカルNIC11、グローバルNIC12、および仮想NIC13を備えている。   The gateway 1 is an information processing apparatus connected to the three networks of the LAN 91, the global network 92, and the VPN 93, and has a role of relaying communication between the networks using a routing table (not shown). The gateway 1 includes a local NIC 11, a global NIC 12, and a virtual NIC 13 as interfaces for connecting to the three networks described above.

ローカルNIC11は、ゲートウェイ1をLAN91へ接続するための物理的なインタフェースである。ローカルNIC11にはローカルIPアドレスが割り当てられており、これをもとにゲートウェイ1はLAN91において一意に認識される。このため、ゲートウェイ1はLAN91内の他ノード(例えばPC3)と相互に通信を行うことが可能である。   The local NIC 11 is a physical interface for connecting the gateway 1 to the LAN 91. A local IP address is assigned to the local NIC 11, and the gateway 1 is uniquely recognized by the LAN 91 based on the local IP address. For this reason, the gateway 1 can communicate with other nodes (for example, the PC 3) in the LAN 91.

グローバルNIC12は、ゲートウェイ1をグローバルネットワーク92へ接続するための物理的なインタフェースである。グローバルNIC12にはグローバルIPアドレスが割り当てられており、これをもとにゲートウェイ1はグローバルネットワーク92において一意に認識される。このため、ゲートウェイ1はグローバルネットワーク92の他ノード(例えばサーバ2)と相互に通信を行うことが可能である。   The global NIC 12 is a physical interface for connecting the gateway 1 to the global network 92. A global IP address is assigned to the global NIC 12, and the gateway 1 is uniquely recognized in the global network 92 based on this. For this reason, the gateway 1 can communicate with another node (for example, the server 2) of the global network 92.

仮想NIC13は、ゲートウェイ1をVPN93へ接続するための仮想的なインタフェースである。仮想NIC13は物理的には存在しない仮想的な装置であり、ゲートウェイ1にインストールされたソフトウェアにより制御されている。ゲートウェイ1のOS(Operating System)は、仮想NICをあたかも物理NICであるかのように認識する。このため、OS上で動作する各種アプリケーションは、物理NICを用いて通信を行う方法と同じ方法で、仮想NICを用いて通信を行うことができる。仮想NIC13にはローカルIPアドレスが割り当てられており、これをもとにゲートウェイ1はVPN93において一意に認識される。このため、ゲートウェイ1はVPN93の他ノード(例えばサーバ2)と相互に通信を行うことが可能である。   The virtual NIC 13 is a virtual interface for connecting the gateway 1 to the VPN 93. The virtual NIC 13 is a virtual device that does not physically exist, and is controlled by software installed in the gateway 1. The OS (Operating System) of the gateway 1 recognizes the virtual NIC as if it were a physical NIC. Therefore, various applications operating on the OS can perform communication using the virtual NIC in the same manner as the method of performing communication using the physical NIC. A local IP address is assigned to the virtual NIC 13, and the gateway 1 is uniquely recognized by the VPN 93 based on this. For this reason, the gateway 1 can communicate with other nodes (for example, the server 2) of the VPN 93.

サーバ2は、グローバルネットワーク92とVPN93との二つのネットワークに接続された情報処理装置であり、両方もしくは片方のネットワークを経由してクライアント(例えばPC3)からリクエスト(例えばデータの送信要求)を受けた際に、リクエストに応じて各種サービスを提供するためのものである。サーバ2は上記の二つのネットワークに接続するためのインタフェースとして、グローバルNIC21と、仮想NIC22とを備えている。   The server 2 is an information processing apparatus connected to two networks of the global network 92 and the VPN 93, and receives a request (for example, a data transmission request) from a client (for example, the PC 3) via both or one of the networks. In order to provide various services upon request. The server 2 includes a global NIC 21 and a virtual NIC 22 as interfaces for connecting to the two networks.

グローバルNIC21は、サーバ2をグローバルネットワーク92へ接続するための物理的なインタフェースである。グローバルNIC21は、前述したグローバルNIC12と同様の特徴を持つ。このため、サーバ2はグローバルネットワーク92の他ノード(例えばゲートウェイ1)と相互に通信を行うことが可能である。   The global NIC 21 is a physical interface for connecting the server 2 to the global network 92. The global NIC 21 has the same characteristics as the global NIC 12 described above. For this reason, the server 2 can communicate with other nodes (for example, the gateway 1) of the global network 92.

仮想NIC22は、サーバ2をVPN93へ接続するための仮想的なインタフェースである。仮想NIC22は、前述した仮想NIC13と同様の特徴を持つ。このため、サーバ2はVPN93の他ノード(例えばゲートウェイ1)と相互に通信を行うことが可能である。   The virtual NIC 22 is a virtual interface for connecting the server 2 to the VPN 93. The virtual NIC 22 has the same characteristics as the virtual NIC 13 described above. For this reason, the server 2 can communicate with other nodes (for example, the gateway 1) of the VPN 93.

PC3は、LAN91に接続された情報処理端末であり、LAN91を経由して他ノード(例えばサーバ2)と通信を行うことが可能である。なおPC3はLAN91に接続するためのNIC(不図示)を備えている。   The PC 3 is an information processing terminal connected to the LAN 91 and can communicate with other nodes (for example, the server 2) via the LAN 91. The PC 3 includes a NIC (not shown) for connecting to the LAN 91.

IP電話4は、LAN91に接続された音声通信端末であり、LAN91を経由して他ノードと通信を行うことが可能である。なおIP電話4はLAN91に接続するためのNIC(不図示)を備えている。   The IP phone 4 is a voice communication terminal connected to the LAN 91, and can communicate with other nodes via the LAN 91. The IP phone 4 includes a NIC (not shown) for connecting to the LAN 91.

通信パケット31は、物理NIC(グローバルNICやローカルNICなど)と物理NICとが通信を行う際、もしくは物理NICと仮想NICとが通信を行う際に用いられるパケットであり、例えばTCP/IPなどの通信プロトコルをもとに作成されている。   The communication packet 31 is a packet used when a physical NIC (such as a global NIC or a local NIC) communicates with a physical NIC, or when a physical NIC and a virtual NIC communicate with each other. Created based on communication protocol.

VPNパケット32は、所属するノードが異なる仮想NIC間で通信が行なわれる際に用いられるパケットである。例えば仮想NIC13が仮想NIC22に対して通信パケット31を送信する場合、通信パケット31はゲートウェイ1にインストールされたVPNソフトウェア(不図示)によりカプセル化されてVPNパケット32に変換され、グローバルNIC12に渡される(図中の矢印α)。VPNパケット32を受け取ったグローバルNIC12は、仮想NIC22が存在するノード(この場合はサーバ2)の物理NIC(この場合はグローバルNIC21)に対してVPNパケット32を伝送する。グローバルNIC21により前記VPNパケット32を受信したサーバ2は、VPNソフトウェアにより、カプセル化されたVPNパケット32から通信パケット31を抽出する。抽出により得られた通信バケット31は、サーバ2の仮想NIC22に渡される(図中の矢印β)。以上のようにして、仮想NIC13から仮想NIC22への通信が行われる。   The VPN packet 32 is a packet used when communication is performed between virtual NICs to which different nodes belong. For example, when the virtual NIC 13 transmits a communication packet 31 to the virtual NIC 22, the communication packet 31 is encapsulated by VPN software (not shown) installed in the gateway 1, converted into a VPN packet 32, and passed to the global NIC 12. (Arrow α in the figure). The global NIC 12 that has received the VPN packet 32 transmits the VPN packet 32 to the physical NIC (in this case, the global NIC 21) of the node (in this case, the server 2) where the virtual NIC 22 exists. The server 2 that has received the VPN packet 32 by the global NIC 21 extracts the communication packet 31 from the encapsulated VPN packet 32 by VPN software. The communication bucket 31 obtained by the extraction is transferred to the virtual NIC 22 of the server 2 (arrow β in the figure). As described above, communication from the virtual NIC 13 to the virtual NIC 22 is performed.

〈2.VPNパケットの構成について〉
ここで、VPNパケット32の構成を、図2および図3を用いながら説明する。図2は、VPNパケット32のうち、本発明の個別カプセル化工程によって作成された個別VPNパケット32aの構成の一例を示した図である。図3は、VPNパケット32のうち、本発明の連結カプセル化工程によって作成された連結VPNパケット32bの構成の一例を示した図である。
<2. VPN packet configuration>
Here, the configuration of the VPN packet 32 will be described with reference to FIGS. FIG. 2 is a diagram showing an example of the configuration of the individual VPN packet 32a created by the individual encapsulation process of the present invention in the VPN packet 32. FIG. 3 is a diagram showing an example of the configuration of a concatenated VPN packet 32b created by the concatenated encapsulation process of the present invention in the VPN packet 32.

図2に示すように、本発明の個別カプセル化工程によって作成された個別VPNパケット32aは、VPNヘッダ部41と、VPNデータ部42とから構成されている。VPNヘッダ部41は、個別VPNパケット32aを物理ネットワーク(例えばグローバルネットワーク)において伝送するための伝送制御情報を格納した部分である。VPNヘッダ部41は、例えばMACヘッダ、IPヘッダ、TCPヘッダなどから構成されている。VPNデータ部42は、個別VPNパケット32aが伝送するデータ(例えば通信パケット31)を格納した部分である。個別VPNパケット32aのVPNデータ部42は、通信パケット31を一つ含んでいる。なお、VPNデータ部42には通信パケット31以外の付加データ(例えばフラグチェックシーケンス)を格納することも可能である。   As shown in FIG. 2, the individual VPN packet 32 a created by the individual encapsulation process of the present invention is composed of a VPN header part 41 and a VPN data part 42. The VPN header portion 41 is a portion that stores transmission control information for transmitting the individual VPN packet 32a in a physical network (for example, a global network). The VPN header 41 is composed of, for example, a MAC header, an IP header, a TCP header, and the like. The VPN data unit 42 is a part that stores data (for example, the communication packet 31) transmitted by the individual VPN packet 32a. The VPN data part 42 of the individual VPN packet 32 a includes one communication packet 31. Note that additional data other than the communication packet 31 (for example, a flag check sequence) can be stored in the VPN data unit 42.

図3に示すように、本発明の連結カプセル化工程によって作成される連結VPNパケット32bは、VPNヘッダ部43と、VPNデータ部44とから構成されている。VPNヘッダ部43は、連結VPNパケット32bを物理ネットワークにおいて伝送するための伝送制御情報を格納した部分である。VPNヘッダ部43は、例えばMACヘッダ、IPヘッダ、TCPヘッダなどから構成されている。VPNデータ部44は、VPNパケットが伝送するデータを格納した部分である。VPNデータ部44は、通信パケット31を複数含んでいる。なお、VPNデータ部44には通信パケット31以外の付加データ(例えば連結した通信パケット31間の境界を示すフラグ)を格納することも可能である。   As shown in FIG. 3, the concatenated VPN packet 32b created by the concatenated encapsulation process of the present invention includes a VPN header part 43 and a VPN data part 44. The VPN header portion 43 is a portion that stores transmission control information for transmitting the concatenated VPN packet 32b in the physical network. The VPN header 43 is composed of, for example, a MAC header, an IP header, a TCP header, and the like. The VPN data unit 44 is a part that stores data transmitted by the VPN packet. The VPN data unit 44 includes a plurality of communication packets 31. The VPN data unit 44 can store additional data other than the communication packet 31 (for example, a flag indicating a boundary between the connected communication packets 31).

〈3−1.VPNパケット送信側のパケット伝送方式について〉
ここで、本発明のパケット伝送方式おけるVPNパケット送信側のパケット伝送方式を図1のブロック図と、図4のフローチャートとを用いて説明する。
<3-1. Packet transmission method on the VPN packet sender side>
Here, the packet transmission system on the VPN packet transmission side in the packet transmission system of the present invention will be described with reference to the block diagram of FIG. 1 and the flowchart of FIG.

ゲートウェイ1の制御部(不図示)が、仮想NIC13と他ノードの仮想NIC(例えばサーバ2の仮想NIC22)との間でのVPN通信開始リクエストを検知することにより、本処理が開始される(S1)。   This processing is started when a control unit (not shown) of the gateway 1 detects a VPN communication start request between the virtual NIC 13 and a virtual NIC of another node (for example, the virtual NIC 22 of the server 2) (S1). ).

例えば、図1に示すPC3がサーバ2の仮想NIC22に対して通信パケット31を送信する場合の処理を以下に示す。PC3から発信された通信パケット31は、デフォルトゲートウェイであるゲートウェイ1のローカルNIC11に到達する。ローカルNIC11により通信パケット31を受信したゲートウェイ1は、ルーティングテーブル(不図示)を参照し、通信パケット31の宛先である仮想NIC22が存在するネットワークを検索する。検索の結果、仮想NIC22がVPN93上に存在することが判明する。この結果をもとにゲートウェイ1は、仮想NIC22と同じくVPN93上に存在する仮想NIC13を経由して、パケット31を仮想NIC22へ送信することを試みる(図1の矢印α)。この際、VPN通信開始リクエスト(仮想NIC13から仮想NIC22への通信開始リクエスト)が発行される。   For example, the processing when the PC 3 shown in FIG. 1 transmits the communication packet 31 to the virtual NIC 22 of the server 2 will be described below. The communication packet 31 transmitted from the PC 3 reaches the local NIC 11 of the gateway 1 that is the default gateway. The gateway 1 that has received the communication packet 31 by the local NIC 11 refers to a routing table (not shown) and searches for a network in which the virtual NIC 22 that is the destination of the communication packet 31 exists. As a result of the search, it is found that the virtual NIC 22 exists on the VPN 93. Based on this result, the gateway 1 attempts to transmit the packet 31 to the virtual NIC 22 via the virtual NIC 13 that exists on the VPN 93 as with the virtual NIC 22 (arrow α in FIG. 1). At this time, a VPN communication start request (communication start request from the virtual NIC 13 to the virtual NIC 22) is issued.

上記リクエストを検知した制御部は、仮想NIC13が仮想NIC22に対して送信しようとしている通信パケット31のヘッダ部を解析し、通信パケット31が即時性の高い通信(伝送効率や信頼度よりも遅延防止を最優先にした通信)に用いられているものかどうかを判断する(S2)。   The control unit that detects the request analyzes the header part of the communication packet 31 that the virtual NIC 13 intends to transmit to the virtual NIC 22, and the communication packet 31 is a communication with high immediacy (the delay prevention is higher than the transmission efficiency and reliability). (S2).

例えば、TCPヘッダのポート番号、UDPヘッダのポート番号、IPヘッダのTos、IPヘッダの送信先および送信元IPアドレス、VLANヘッダのID、VLANヘッダのPriority(Cos)、などの値をチェックすることにより、通信パケット31が伝送時に必要とされる即時性の高さが導き出される。例えば前記のIPヘッダのTosは、通信の品質を信頼性、スループット、遅延の観点から表したものである。仮に通信パケット31のTosが、低信頼性、高スループット、低遅延と設定されていたとすると、前記通信パケット31は即時性の高い通信に用いられていると判断される。   For example, check the values of TCP header port number, UDP header port number, IP header Tos, IP header destination and source IP address, VLAN header ID, VLAN header Priority (Cos), etc. Thus, the high level of immediacy required when the communication packet 31 is transmitted is derived. For example, the Tos in the IP header represents the communication quality from the viewpoint of reliability, throughput, and delay. If the Tos of the communication packet 31 is set to be low reliability, high throughput, and low delay, it is determined that the communication packet 31 is used for highly immediate communication.

上記S2のヘッダ解析処理の結果、通信パケット31の即時性が高いと判断されたた場合は後述するS4の処理に進む。逆に即時性が高いと判断されなかった場合は、後述するS5の処理に進む(S3)。   If it is determined that the immediacy of the communication packet 31 is high as a result of the header analysis process in S2, the process proceeds to S4 described later. Conversely, if it is not determined that the immediacy is high, the process proceeds to S5 described later (S3).

上記S2の結果、即時性が高いと判断された通信パケット31は、図2に示すように一パケット(VPNデータ部42)に対して一VPNヘッダ(VPNヘッダ部41)が付加されることにより、個別VPNパケット32aに変換(カプセル化)される(S4)。   As a result of S2, the communication packet 31 determined to have high immediacy is obtained by adding one VPN header (VPN header part 41) to one packet (VPN data part 42) as shown in FIG. The private VPN packet 32a is converted (encapsulated) (S4).

逆にS2の結果、即時性が高いと判断されなかった通信パケット31は、一定量の通信パケット31を受信するまで待ち受けた後、複数のパケット31を連結して連結パケット(不図示)を作成する(S5)。そして一連結パケット(VPNデータ部44)に対して一VPNヘッダ(VPNヘッダ部43)が付加されることにより、連結VPNパケット32bに変換される(S6)。   On the contrary, as a result of S2, the communication packet 31 that has not been determined to have high immediacy waits until a certain amount of communication packet 31 is received, and then concatenates a plurality of packets 31 to create a concatenated packet (not shown). (S5). Then, one VPN header (VPN header part 43) is added to one concatenated packet (VPN data part 44), so that it is converted into a concatenated VPN packet 32b (S6).

上記のようにして作成されたVPNパケット32(個別VPNパケット32aもしくは連結VPNパケット32b)は、グローバルNIC12と公衆網101とを用いて、サーバ2のグローバルNIC21に対して送信される(S7)。   The VPN packet 32 (individual VPN packet 32a or concatenated VPN packet 32b) created as described above is transmitted to the global NIC 21 of the server 2 using the global NIC 12 and the public network 101 (S7).

〈3−2.VPNパケット受信側のパケット伝送方式について〉
ここで、本発明のパケット伝送方式おけるVPNパケット受信側のパケット伝送方式を図1のブロック図と、図5のフローチャートとを用いて説明する。
<3-2. VPN packet receiver side packet transmission system>
Here, the packet transmission method on the VPN packet receiving side in the packet transmission method of the present invention will be described with reference to the block diagram of FIG. 1 and the flowchart of FIG.

サーバ2の制御部(不図示)が、グローバルNIC21によりVPNパケット32の受信を検知することにより、本処理が開始される(S1)。なお本実施例では、前記の実施例〈3−1.VPNパケット送信側のパケット伝送方式について〉において送出されたVPNパケット32(PC3より、仮想NIC13を経由してサーバ2に送信されたVPNパケット32)を受信したと想定して説明を行うものとする。   This process is started when a control unit (not shown) of the server 2 detects reception of the VPN packet 32 by the global NIC 21 (S1). In addition, in a present Example, said Example <3-1. VPN packet transmission side packet transmission method>, it is assumed that the VPN packet 32 (VPN packet 32 transmitted from the PC 3 to the server 2 via the virtual NIC 13) has been received. .

制御部は受信したVPNパケット32からVPNヘッダ部41(もしくはVPNヘッダ部43)を除去し、VPNパケット32のカプセル化を解除する(S2)。次に、除去されたVPNヘッダ部41(もしくはVPNヘッダ部43)に含まれている情報をもとに、受信したVPNパケット32が個別VPNパケット32aであるか、連結VPNパケット32bであるかを判断する(S3)。個別VPNパケット32aである場合、後述するS4aの処理に進む。連結VPNパケット32bである場合、後述するS4bの処理に進む。   The control section removes the VPN header section 41 (or the VPN header section 43) from the received VPN packet 32 and releases the encapsulation of the VPN packet 32 (S2). Next, based on the information included in the removed VPN header part 41 (or VPN header part 43), it is determined whether the received VPN packet 32 is an individual VPN packet 32a or a concatenated VPN packet 32b. Judgment is made (S3). If it is the individual VPN packet 32a, the process proceeds to S4a described later. In the case of the concatenated VPN packet 32b, the process proceeds to S4b described later.

上記S3の結果、受信したVPNパケット32が個別VPNパケット32aである場合、個別VPNパケット32aのデータ部42より単独の通信パケット31が復元される(S4a)。逆に受信したVPNパケット32が連結VPNパケット32bである場合、連結VPNパケット32bのデータ部44より連結パケットが抽出された後に分解され、複数の通信パケット31が復元される(S4b)。   As a result of S3, when the received VPN packet 32 is the individual VPN packet 32a, the single communication packet 31 is restored from the data part 42 of the individual VPN packet 32a (S4a). Conversely, if the received VPN packet 32 is a concatenated VPN packet 32b, the concatenated packet is extracted from the data portion 44 of the concatenated VPN packet 32b and then decomposed, and a plurality of communication packets 31 are restored (S4b).

上記S4aもしくはS4bの結果、復元された単独もしくは複数の通信パケット31は、図1の矢印βに示すようにグローバルNIC21から送信先である仮想NIC22に対して送信される(S5)。   As a result of S4a or S4b, the restored single or plural communication packets 31 are transmitted from the global NIC 21 to the virtual NIC 22 as the transmission destination as indicated by the arrow β in FIG. 1 (S5).

なお、本実施例では通信パケット31の送信側をゲートウェイ1の仮想NIC13、受信側をサーバ2の仮想NIC22としたが、送信側と受信側とが逆となった場合でも、仮想NIC22から仮想NIC13に対して同様の手順で伝送処理が行なわれるものである。   In this embodiment, the transmission side of the communication packet 31 is the virtual NIC 13 of the gateway 1 and the reception side is the virtual NIC 22 of the server 2. However, even when the transmission side and the reception side are reversed, the virtual NIC 22 to the virtual NIC 13 are used. The transmission process is performed in the same procedure.

〈4.本発明の種々ある特徴について〉
本実施形態によると、
VPNパケット32を作成する際に、そのもととなる通信パケット31のヘッダを解析することにより(3−1のS2)、即時性の高い通信において用いられているものであるかどうかを判断する(3−1のS3)。この結果をもとに、個別VPNパケット32a或いは連結VPNパケット32bを作成するため、パケット単位で最適な伝送方式を用いて伝送を行うことができる。
<4. Various features of the present invention>
According to this embodiment,
When the VPN packet 32 is created, the header of the communication packet 31 that is the source of the VPN packet 32 is analyzed (S2 of 3-1) to determine whether the packet is used in highly immediate communication. (3-1 of S3-1). Based on this result, the individual VPN packet 32a or the concatenated VPN packet 32b is created, so that transmission can be performed using an optimum transmission method in units of packets.

従って、例えばPC3から発信された通信パケット31と、IP電話4から発信された通信パケット31とを同時に受信した場合、それぞれのヘッダを解析し、即時性が高い通信に用いられるパケットかどうかを判断する。PC3から発信された通信パケット31が、例えば即時性の低いHTTPを用いたHTTPパケットであると判断された場合、そのHTTPパケットの送信を一旦保留する。次に先にIP電話4から発行された通信パケット31のヘッダを解析し、即時性の高い音声パケットであると判断したとする。この結果、まず音声パケットをカプセル化して個別VPNパケット32aに変換し、優先して送信する。その後、PC3から受信したHTTPパケットが一定量貯まった後に、複数のHTTPパケットを連結してカプセル化し、連結VPNパケット32bに変換して送信する。   Therefore, for example, when the communication packet 31 transmitted from the PC 3 and the communication packet 31 transmitted from the IP phone 4 are received at the same time, the respective headers are analyzed to determine whether the packet is used for highly immediate communication. To do. If it is determined that the communication packet 31 transmitted from the PC 3 is, for example, an HTTP packet using HTTP with low immediacy, the transmission of the HTTP packet is temporarily suspended. Next, it is assumed that the header of the communication packet 31 previously issued from the IP telephone 4 is analyzed, and it is determined that the voice packet has high immediacy. As a result, the voice packet is first encapsulated and converted into the individual VPN packet 32a, and is transmitted with priority. Thereafter, after a certain amount of HTTP packets received from the PC 3 are accumulated, a plurality of HTTP packets are concatenated and encapsulated, converted into a concatenated VPN packet 32b, and transmitted.

上記のようにして作成された個別VPNパケット32aのメリットは、連結VPNパケット32b作成のように、パケットが一定数貯まるのを待つことがないことである。このため、通信の遅延が発生しにくい。逆に連結VPNパケット32bは、通信の遅延が発生しやすい。例えば100byteの音声パケットがとめどなく伝送されている環境で、連結VPNパケット32bによる伝送が行われたと仮定する。この場合、仮にデータを1500byte単位でまとめてカプセル化するとすれば、1500byte÷100byte=15個のパケットが貯まるまで、音声パケットはゲートウェイ1内に待機させられることとなる。1パケットが20msの音声データを含んでいたとすると、20ms×15=300ms分の音声データが貯まるまで連結VPNパケット32bの作成が行われない。このため、受信側アプリケーションが20msに1パケットを受信することを前提として処理を行っていたとしても、300msごとに15個の音声パケットが同時に受信されるため、受信側は正常な処理が行えないという問題が発生する。   The merit of the individual VPN packet 32a created as described above is that it does not wait for a certain number of packets to be accumulated unlike the creation of the concatenated VPN packet 32b. For this reason, a communication delay hardly occurs. Conversely, the connection VPN packet 32b is likely to cause a communication delay. For example it is assumed that in an environment where voice packets 100byte are endlessly transmitted, transmission by connecting VPN packet 32b has been performed. In this case, if the data is collectively encapsulated in units of 1500 bytes, the voice packet is kept waiting in the gateway 1 until 1500 bytes / 100 bytes = 15 packets are accumulated. Assuming that one packet includes 20 ms of voice data, the creation of the concatenated VPN packet 32b is not performed until 20 ms × 15 = 300 ms of voice data is accumulated. For this reason, even if the receiving side application performs processing assuming that one packet is received every 20 ms, 15 voice packets are simultaneously received every 300 ms, so the receiving side cannot perform normal processing. The problem occurs.

逆に連結VPNパケット32bのメリットは、VPNヘッダにかかるデータ量が削減できるため、ネットワークの帯域幅を有効に使うことができることにある。例えばVPNヘッダが図3に示すようにMACヘッダ、IPヘッダ、TCPヘッダから構成されている場合、VPNヘッダのサイズは54byteとなる。ここで仮に10byteのデータを10個送付するとした場合、個別VPNパケット32aを使用した場合の総データ量は(54byte+10byte)×10=640byteとなる。逆に連結VPNパケット32bを使用した場合、総データ量は、54byte+(10byte×10)=154byteとる。このように、連結VPNパケット32bを使用した場合のデータ量は、個別VPNパケット32aを使用した場合のデータ量と比較して四分の一以下となる。   Conversely, the advantage of the concatenated VPN packet 32b is that the amount of data applied to the VPN header can be reduced, so that the network bandwidth can be used effectively. For example, when the VPN header is composed of a MAC header, an IP header, and a TCP header as shown in FIG. 3, the size of the VPN header is 54 bytes. Here, if 10 pieces of 10-byte data are sent, the total data amount when the individual VPN packet 32a is used is (54 bytes + 10 bytes) × 10 = 640 bytes. Conversely, when the concatenated VPN packet 32b is used, the total data amount is 54 bytes + (10 bytes × 10) = 154 bytes. Thus, the data amount when using the concatenated VPN packet 32b is less than a quarter of the data amount when using the individual VPN packet 32a.

また本発明によると、従来のようにVPNを用いてパケットを伝送する際の伝送方式がVPNの仕様により固定されていない。   Further, according to the present invention, the transmission method for transmitting packets using VPN as in the prior art is not fixed by the VPN specification.

従って、例えばVPNを新規に導入する際に、VPN運用時に必要とされる通信の即時性の高さをあらかじめ考慮にいれて、導入するVPNの種類を選出する必要がない。このため例えば、即時性の高いIP電話通信においてVPNを使用する場合、パケット連結方式を採用しているVPN(例えばソフトウェアVPN)を導入対象から外すといった制約が発生しなくなる。   Therefore, for example, when newly introducing a VPN, it is not necessary to select the type of VPN to be introduced in consideration of the high degree of immediacy of communication required during VPN operation. For this reason, for example, when using VPN in IP telephone communication with high immediacy, there is no restriction that a VPN (for example, software VPN) adopting the packet connection method is excluded from the introduction target.

また本発明によると、伝送方式の切替はあくまで伝送路上の装置(例えばゲートウェイ、ルータなど)もしくは装置にインストールされたソフトウェアが自動的に行うため、ユーザーはVPNパケットがいかなる伝送方式を用いて伝送されているのかを意識する必要がない。   In addition, according to the present invention, since the transmission method is automatically switched by a device on the transmission path (for example, a gateway, a router, etc.) or software installed in the device, the user can transmit the VPN packet using any transmission method. There is no need to be conscious of what it is.

従って例えば、即時性の高いIP電話通信においてVPNを使用する場合、伝送装置の設定を手動で個別パケット伝送方式に指定するなどの作業を行う必要がない。   Therefore, for example, when VPN is used in IP telephone communication with high immediacy, there is no need to perform work such as manually specifying the setting of the transmission apparatus to the individual packet transmission method.

[その他の実施の形態]
以上、好ましい実施の形態及び実施例をあげて本発明を説明したが、本発明は必ずしも上記実施の形態及び実施例に限定されるものではなく、その技術的思想の範囲内において様々に変形して実施することができる。
[Other embodiments]
The present invention has been described with reference to the preferred embodiments and examples. However, the present invention is not necessarily limited to the above embodiments and examples, and various modifications may be made within the scope of the technical idea. Can be implemented.

例えば前述した実施形態の機能を実現するソフトウェアVPNの処理方式を、ゲートウェイ1以外の伝送装置(例えばルータ)において実行されるプログラムコード(例えばファームウェア)において実施することによっても、達成されることは言うまでもない。   For example, it goes without saying that this can also be achieved by implementing the processing method of the software VPN that realizes the functions of the above-described embodiments in a program code (for example, firmware) executed in a transmission apparatus (for example, a router) other than the gateway 1. Yes.

この場合、伝送装置で実行されるプログラム自体が、前述した実施形態の機能を実現することになり、そのプログラムコードを記憶した伝送装置は本発明を構成することになる。   In this case, the program itself executed by the transmission apparatus realizes the functions of the above-described embodiments, and the transmission apparatus storing the program code constitutes the present invention.

なお、プログラムコードを記憶する装置としては、例えば、ルータ、ブリッジ、L2スイッチ、L3スイッチ、ATMスイッチ、L2トンネリング装置、PC、ワークステーションなどを用いることができる。   As a device for storing the program code, for example, a router, a bridge, an L2 switch, an L3 switch, an ATM switch, an L2 tunneling device, a PC, a workstation, or the like can be used.

また、装置が読出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、装置上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。   Further, by executing the program code read by the apparatus, not only the functions of the above-described embodiments are realized, but also an OS (operating system) operating on the apparatus based on the instruction of the program code. It goes without saying that a case where the function of the above-described embodiment is realized by performing part or all of the actual processing and the processing is included.

さらに、装置に挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリ存在するプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。   Furthermore, based on the instruction of the program code in the memory provided in the function expansion board inserted into the device or the function expansion unit connected to the computer, the CPU provided in the function expansion board or function expansion unit is part of the actual processing. Or, it goes without saying that the case where the functions of the above-described embodiment are realized by performing all of the above processing is also included.

本発明のネットワーク構成要素を表したブロック図である。It is a block diagram showing the network component of this invention. 本発明の個別VPNパケットの構成を表したブロック図である。It is a block diagram showing the structure of the separate VPN packet of this invention. 本発明の連結VPNパケットの構成を表したブロック図である。It is a block diagram showing the structure of the connection VPN packet of this invention. 本発明のVPNパケット送信側のパケット伝送処理のフローチャートである。It is a flowchart of the packet transmission process of the VPN packet transmission side of this invention. 本発明のVPNパケット受信側のパケット伝送処理のフローチャートである。It is a flowchart of the packet transmission process of the VPN packet receiving side of this invention.

符号の説明Explanation of symbols

31 通信パケット(パケット)
32 VPNパケット
32a 個別VPNパケット
32b 連結VPNパケット
91 LAN
92 グローバルネットワーク
93 VPN
101 公衆網
102 VPNトンネル
31 Communication packets (packets)
32 VPN packet 32a Individual VPN packet 32b Concatenated VPN packet 91 LAN
92 Global network 93 VPN
101 public network 102 VPN tunnel

Claims (3)

VPNにおけるパケット伝送方式において、
VPNに対して伝送されるパケットを個別にカプセル化してVPNパケットを作成する個別カプセル化工程と、
複数の前記パケットを連結した後にカプセル化してVPNパケットを作成する連結カプセル化工程と、
前記パケットをVPNに対して伝送する際に前記パケットのヘッダを解析し、前記パケットが即時性の高い通信に用いられているかどうかを判別する即時性判別工程と、
前記即時性判別工程の結果、即時性の高い通信に用いられていると判断された前記パケットを、前記個別カプセル化工程を用いて前記VPNパケットを作成して伝送する個別VPNパケット伝送工程と、
前記即時性判別工程の結果、即時性の高い通信に用いられていると判断されなかった前記パケットを、前記連結カプセル化工程を用いて前記VPNパケットを作成して伝送する連結VPNパケット伝送工程と、
を有することを特徴とするパケット伝送方式。
In packet transmission method in VPN,
An individual encapsulation step of individually encapsulating packets transmitted to the VPN to create a VPN packet;
A concatenated encapsulation step in which a plurality of packets are concatenated and then encapsulated to create a VPN packet;
An immediacy determination step of analyzing the header of the packet when transmitting the packet to the VPN and determining whether the packet is used for highly-immediate communication;
As a result of the immediacy determination step, the individual VPN packet transmission step of creating and transmitting the VPN packet using the individual encapsulation step, the packet determined to be used for highly immediate communication,
As a result of the immediacy determination process, a concatenated VPN packet transmission process for creating and transmitting the VPN packet by using the concatenated encapsulation process for the packet that has not been determined to be used for highly immediate communication; ,
A packet transmission system characterized by comprising:
前記個別VPNパケット伝送工程および前記連結VPNパケット伝送工程により伝送された前記VPNパケットを受信するVPNパケット受信工程と、
前記VPNパケット受信工程で受信した前記VPNパケットのヘッダ部であるVPNヘッダを解析するVPNヘッダ解析工程と、
前記VPNヘッダ解析工程の結果、前記VPNパケットが単独の前記パケットより構成されていると判断された場合に、前記VPNパケットのカプセル化を解除することにより単独の前記パケットを復元する個別VPNパケット復元工程と、
前記VPNヘッダ解析工程の結果、前記VPNパケットが複数の前記パケットより構成されていると判断された場合に、前記VPNパケットのカプセル化を解除し、かつ連結された複数の前記パケットを分割することにより複数の前記パケットを復元する連結VPNパケット復元工程と、
を有することを特徴とする請求項1に記載のパケット伝送方式。
A VPN packet receiving step for receiving the VPN packet transmitted by the individual VPN packet transmission step and the concatenated VPN packet transmission step;
A VPN header analyzing step of analyzing a VPN header which is a header portion of the VPN packet received in the VPN packet receiving step;
When it is determined that the VPN packet is composed of a single packet as a result of the VPN header analysis step, the individual VPN packet restoration is performed to restore the single packet by releasing the encapsulation of the VPN packet. Process,
When it is determined as a result of the VPN header analysis step that the VPN packet is composed of a plurality of the packets, the encapsulation of the VPN packet is released and the plurality of connected packets are divided. A concatenated VPN packet restoring step for restoring a plurality of the packets by:
The packet transmission system according to claim 1, comprising:
請求項1或いは請求項2に記載のパケット伝送方式を用いたパケット伝送プログラム。 A packet transmission program using the packet transmission method according to claim 1 or 2.
JP2005098621A 2005-03-30 2005-03-30 Method and program for packet transmission Withdrawn JP2006279771A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005098621A JP2006279771A (en) 2005-03-30 2005-03-30 Method and program for packet transmission

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005098621A JP2006279771A (en) 2005-03-30 2005-03-30 Method and program for packet transmission

Publications (1)

Publication Number Publication Date
JP2006279771A true JP2006279771A (en) 2006-10-12

Family

ID=37213998

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005098621A Withdrawn JP2006279771A (en) 2005-03-30 2005-03-30 Method and program for packet transmission

Country Status (1)

Country Link
JP (1) JP2006279771A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008172540A (en) * 2007-01-11 2008-07-24 Fujitsu Ltd Station device, and frame transferring method
JP2008227715A (en) * 2007-03-09 2008-09-25 Nec Corp Network system and communication method
WO2015068255A1 (en) * 2013-11-08 2015-05-14 株式会社 日立製作所 Network system, communication control device, and communication method
JP2019097033A (en) * 2017-11-22 2019-06-20 凸版印刷株式会社 Server device, terminal device, communication system, communication method, and program

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008172540A (en) * 2007-01-11 2008-07-24 Fujitsu Ltd Station device, and frame transferring method
JP2008227715A (en) * 2007-03-09 2008-09-25 Nec Corp Network system and communication method
WO2015068255A1 (en) * 2013-11-08 2015-05-14 株式会社 日立製作所 Network system, communication control device, and communication method
JP2019097033A (en) * 2017-11-22 2019-06-20 凸版印刷株式会社 Server device, terminal device, communication system, communication method, and program
JP7006175B2 (en) 2017-11-22 2022-02-10 凸版印刷株式会社 Server equipment, terminal equipment, communication systems, communication methods, and programs

Similar Documents

Publication Publication Date Title
US8699500B2 (en) Method and apparatus to perform network routing
US9444642B2 (en) LAN multiplexing apparatus
US7486674B2 (en) Data mirroring in a service
US6765881B1 (en) Virtual L2TP/VPN tunnel network and spanning tree-based method for discovery of L2TP/VPN tunnels and other layer-2 services
US8351352B1 (en) Methods and apparatus for RBridge hop-by-hop compression and frame aggregation
EP2378720B1 (en) Extranet networking method, system and device for multicast virtual private network
JP4878545B2 (en) Bridged-LAN and communication node device
CN110290093A (en) The SD-WAN network architecture and network-building method, message forwarding method
US20070165603A1 (en) Access network system, subscriber station device, and network terminal device
JP5679343B2 (en) Cloud system, gateway device, communication control method, and communication control program
WO2016180020A1 (en) Message processing method, device and system
CN102055642A (en) Data message conversion method
JP2006279771A (en) Method and program for packet transmission
JP2010516136A (en) Control frame processing by provider backbone bridge
WO2012062106A1 (en) Tunnel multiplexing method for linear protection group and tail-node of tunnel
JP2005057693A (en) Network virtualizing system
JP2017208718A (en) Communication device and communication method
Cisco Configuring Interfaces
US7796617B1 (en) Method for providing protocol aggregation as an end-to-end service across a tunneling network
WO2006064561A1 (en) Virtual private network system
WO2019071585A1 (en) Method, apparatus and system for rapidly restoring service during path switching
US11924182B2 (en) ISO layer-two connectivity using ISO layer-three tunneling
RU2687217C1 (en) Method of preventing fragmentation of tcp/ip packets when using vpls in a packet switched network
JP2010028295A (en) Vpn server, communication control method, and program
KR100782919B1 (en) Method for packet loss detection for optimization of wan

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080121

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20090603