JP2006501757A - アクセスネットワークに接続されるホストの分離 - Google Patents
アクセスネットワークに接続されるホストの分離 Download PDFInfo
- Publication number
- JP2006501757A JP2006501757A JP2004541366A JP2004541366A JP2006501757A JP 2006501757 A JP2006501757 A JP 2006501757A JP 2004541366 A JP2004541366 A JP 2004541366A JP 2004541366 A JP2004541366 A JP 2004541366A JP 2006501757 A JP2006501757 A JP 2006501757A
- Authority
- JP
- Japan
- Prior art keywords
- vlan
- host
- access
- switch
- access router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/467—Arrangements for supporting untagged frames, e.g. port-based VLANs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Medicines That Contain Protein Lipid Enzymes And Other Medicines (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Computer And Data Communications (AREA)
- Selective Calling Equipment (AREA)
Abstract
アクセスネットワークに接続されているホスト(5、A、B)間の直接通信を防止するための、アクセスネットワークにおける方法及び装置である。この方法は、ホストからスイッチに到来するトラフィックがアクセスルータに渡されるように、スイッチ(3、12、12’、35、36、37、83)内において、仮想ローカルエリアネットワークであるVLANを定義するステップと、かつスイッチ内で、かつアクセスルータからホストへのダウンリンクトラフィックに対する非対称ダウンリンクVLANを定義するステップとを備え、このダウンリンクVLANは、アクセスネットワークに接続されるホストに共通している。本発明に従えば、この方法は、更に、アクセスネットワークに接続されるホストが、同一のIPサブネットに属するように、VLANを構成するステップと、かつアドレス解決プロトコルプロキシとなり、かつイントラサブネットルーティングを実行するように、アクセスルータを構成するステップとを備える。
Description
本発明の技術分野
本発明は、アクセスネットワークに接続されているホスト間の直接通信を防止するためのアクセスネットワークにおける方法及び装置に関するものである。
本発明は、アクセスネットワークに接続されているホスト間の直接通信を防止するためのアクセスネットワークにおける方法及び装置に関するものである。
本発明の背景
本発明は、イーサネットアクセスネットワークの分野に関するものである。イーサネットとIEEE802.3は同一のものではなく、「イーサネット」という用語を、イーサネットあるいはIEEE802.3を示すために使用するのは、ここでは、いくぶん不適切である。アクセスネットワークは、プレーンイーサネットワーク、あるいは、固定イーサネットワークと、WLAN(無線LAN)技術であるIEEE802.11(たいていは、IEEE802.11b)を使用する無線部分の組み合わせであり得る。本発明の主な対象は、パブリックアクセスネットワークであるが、企業の無線アクセスネットワークに適用することもできる。図1では、すべてが固定のイーサネットアクセスネットワークを示しており、図2では、イーサネットとWLANを組み合わせたアクセスネットワーク(即ち、WLANアクセスネットワーク)を示している。図1のアクセスネットワークは、スイッチ3に接続されるアクセスルータ1を備え、このスイッチ3は、6つの下位スイッチ4に接続されている。5つのホスト5が、下位スイッチ4のそれぞれに接続されている。すべての接続が、ここでは、イーサネット接続である。図2のアクセスネットワークは、スイッチ3に接続されるアクセスルータ1を備え、このスイッチは6つのアクセスポイントであるAP7に接続されている。5つのホスト5が、WLANを介して、無線でAPのそれぞれと接続されている。アクセスルータ1、スイッチ3及びAP間の接続は、イーサネット接続である。
本発明は、イーサネットアクセスネットワークの分野に関するものである。イーサネットとIEEE802.3は同一のものではなく、「イーサネット」という用語を、イーサネットあるいはIEEE802.3を示すために使用するのは、ここでは、いくぶん不適切である。アクセスネットワークは、プレーンイーサネットワーク、あるいは、固定イーサネットワークと、WLAN(無線LAN)技術であるIEEE802.11(たいていは、IEEE802.11b)を使用する無線部分の組み合わせであり得る。本発明の主な対象は、パブリックアクセスネットワークであるが、企業の無線アクセスネットワークに適用することもできる。図1では、すべてが固定のイーサネットアクセスネットワークを示しており、図2では、イーサネットとWLANを組み合わせたアクセスネットワーク(即ち、WLANアクセスネットワーク)を示している。図1のアクセスネットワークは、スイッチ3に接続されるアクセスルータ1を備え、このスイッチ3は、6つの下位スイッチ4に接続されている。5つのホスト5が、下位スイッチ4のそれぞれに接続されている。すべての接続が、ここでは、イーサネット接続である。図2のアクセスネットワークは、スイッチ3に接続されるアクセスルータ1を備え、このスイッチは6つのアクセスポイントであるAP7に接続されている。5つのホスト5が、WLANを介して、無線でAPのそれぞれと接続されている。アクセスルータ1、スイッチ3及びAP間の接続は、イーサネット接続である。
本明細書の内容においては、ホストは、IPプロトコルと、イーサネット及びWLAN(IEEE802.11)のどちらかあるいはその両方を使用して通信することができるが、あるノードから別のノードへはデータ(パケットあるいはフレーム)を転送しない装置として定義される。
ホストの典型例は、イーサネットインタフェースカードを備えるPC、あるいはWLAN PCMCIAカードを備えるラップトップであり、どちらもIPプロトコルスタックを含むオペレーティングシステムを備えている。
本明細書の内容において、アクセスネットワークは、1つ以上のアクセスルータとノードとを備え、かつアクセスルータ(群)と1つ以上のホスト間の接続性(connectivity)を提供する接続を備えるものとして定義され、このホストは、アクセスネットワークに接続されるものであり、この接続性は、ルータ越え(router traversals)が発生しないで達成される。
図1及び図2の例は、1つで、かつ同一のアクセスネットワークに属するホスト以外の部分の全てを示している。図1及び図2のアクセスネットワークが、スイッチに接続される、1つ以上あるいは複数のアクセスルータ(群)を備えることも可能となる。
より近年で、益々注目されていることは、パブリックエリア内でさえも、イーサネットをアクセス技術として与えていることである。この技術の単純性及び随所性(ubiquity)は、十分に実証され、かつ容易に構成されるブローバンド機能と、低価格帯の装置の類の特徴でもって、オペレータに魅力あるものとしている(lure)。イーサネットに対する無線の拡張である、IEEE802.11は、WLANとして広く知られており、また、これは、公共の場(public sector)でのセルラーネットワーク(多くは、IEEE802.11規格(flavour))を補完する高速アクセスを取り扱っている。WLANという用語は混同されやすく、これは、IEEE802.11とハイパーLAN(ハイパーLANあるいはハイパーLAN/2)のどちらかを示すために(人によって)使用されるからである。本明細書では、WLANという用語は、常に、IEEE802.11を言及するものである。また、IEEE802.11については、「無線LAN媒体アクセス制御(MAC)及び物理レイヤ(PHY)仕様書」を参照されたい。WLANアクセスネットワークは、ISP(時には、無線ISP、WISPと呼ばれる)によって、あるいは、ホットスポットでの自身のセルラーアクセスを補完することを希望するセルラー(GSM/GPRS/cdmaOne/3G)オペレータによって、あるいは、ホテルやショッピングモールのようなかなり局所的な事業体でさえにもよって制御することができる。
しかしながら、イーサネットもIEEE802.11も、公衆アクセス用には設計されていない。これらは、どちらも企業用ネットワーク用に設計されている。従って、これらの技術の本来の特性のいくつかが、公衆アクセス用にはあまり適していないことは驚かされることではない。企業ネットワークでは、すべてのユーザが、互いに信頼があると想定できるものである。これは、公衆ネットワークとはかなり異なる状況であり、この状況では、デフォルトの想定として、各ユーザが他のユーザのだれをも信頼していないとするべきである。ブロードキャスト/ランダムアクセス(イーサネット用CSMA/CDと、WLAN用CSMA/CA)のパラダイムは、単純性という利点を持っているが、これは、信頼性のある環境で使用されるべきであることが好ましいことは自明なことである。この状況は、IPアドレスとMAC(ハードウェア)アドレス間を解決するために使用されるARP(アドレス解決プロトコル)についても同様であり、その単純性は創意工夫に富んでいるが、信頼性のない環境での悪意の攻撃に対しても広く解放されてしまっている。また、他のメカニズム、例えば、ブロードキャストルータ通知(broadcast router advertisements)は、公衆環境でのセキュリティリスクをもたらす。
悪意のあるユーザによって行われる最も明確なタイプの攻撃は、いわゆる、リダイレクション攻撃と中間者攻撃(man-in-the-middle attack)がある。単純な形態の中間者攻撃は、不正なARPリプライに基づいている。ホストAのMACアドレスのサーチにおいて、ARPリクエストがブロードキャストされると、不正なユーザによって制御されているホストBが、ホストAに代って自身のMACアドレスをリプライする可能性がある。続いて、IPパケットがホストAに代ってホストBに送信される。次に、ホストBは、そのパケットをホストAに送信し、ホストAがその応答として任意のパケットを送信すると、ホストBはそれを本来の要求元の受信機へ送信する。このように、通信経路の途中で自身を置き換えることによって、ホストBの不正なユーザは、ホストAのユーザが知らないところで、ホストAの通信を監視することができる。ホストAのユーザは、たいていは、この構成についてはひどく不満を持っている。
リダイレクション攻撃の例には、いわゆる「不正ルータ」攻撃がある。不正ルータ攻撃を行うために、不正なユーザは、自身のコンピュータ(ホストB)をネットワークに接続し、不正ルータ通知の送信を開始する。次にネットワーク(ホストAを使用して)に接続する別のユーザは、不正ルータ通知を受信すると、自身のログイン信用証明(credential)を、正規のアクセスルータに代ってホストBに送信する可能性がある。この不正なユーザは、ホストAへ多くの証明要求(authentication challenge)を送信することによってシークレット証明キーをクラックする、あるいは、クリアテキストで送信されるユーザ名とパスワードを簡単に「借用」する構成を使用することができる。より多くの使用の策略を行うために、ホストBの不正ユーザは、正規なルータのログイン信用証明を送信して、そのルータからのリプライを傍受して送信することを選択することができる。これは、リダイレクション攻撃から中間者攻撃となる。
上述のような攻撃は、同一のアクセスネットワークに接続されている2つのホスト間での直接通信機能に依存している。つまり、これらは、無制限ブロードキャストアクセスネットワークに依存しており、この無制限ブロードキャストアクセスネットワークは、アクセスルータによって制御されないホスト間通信(host-to-host communication)を可能にする。このような無制限ローカルホスト間通信は、公衆環境で、別の問題をもたらす:無料(uncharged)及び未許可の少なくとも一方のトラフィックに対して解放されている。この種のローカルトラフィックはアクセスルータを通過しないので、従量式の課金に適用できず、固定レートのみが選択される。また、クライアントとアクセスルータ(公衆WLANアクセスネットワークで多かれ少なかれ必要とされる)間で、証明(及び許可)処理が使用される場合、この処理はローカルトラフィックに対して容易に回避される、これによって、不法ユーザがアクセスネットワークで通信することを防止することができる。
結論としては、ホスト間の直接通信は許可されるべきでなく、かつアクセスルータは、アクセスネットワーク内のすべてのトラフィック発信及び終了の少なくとも一方の制御下にあるべきであることである。そうでなければ、セキュリティが危うくなり、柔軟な課金方法が妨げられ、かつ(無線)アクセスネットワークが不法ユーザに対して解放されてしまう。必要とされることは、ユーザを互いに分離し(それらがネットワークに接続され、かつブロードキャスト技術を元々採用しているとしても)、かつアクセスルータを、イントラアクセスネットワークトラフィックの制御下にすることを可能にするメカニズムである。
仮想LAN(VLAN)の概念
本明細書で概説される本発明のソリューションは、仮想LAN(VLAN)メカニズムの効率的な使用を実現するものであり、VLANの概念の一般的な理解は、本発明のソリューションの理解を容易にする。VLANの概念は、IEEE802.1Q、「仮想ブリッジ化ローカルエリアネットワーク」で説明されている。VLANは、交換(switched)イーサネットLANインフラストラクチャによって定義される物理的なブロードキャストセグメントの論理的な制限である。同一の物理的なブロードキャストセグメント上にいくつかのVLANが重複して存在しても良いが、基幹の媒体の物理的な特性に関わらず、フレームは、あるVLANから別のVLANへは流出しない。VLAN間通信(Inter-VLAN communication)は、IP転送を介して処理されなければならない。
本明細書で概説される本発明のソリューションは、仮想LAN(VLAN)メカニズムの効率的な使用を実現するものであり、VLANの概念の一般的な理解は、本発明のソリューションの理解を容易にする。VLANの概念は、IEEE802.1Q、「仮想ブリッジ化ローカルエリアネットワーク」で説明されている。VLANは、交換(switched)イーサネットLANインフラストラクチャによって定義される物理的なブロードキャストセグメントの論理的な制限である。同一の物理的なブロードキャストセグメント上にいくつかのVLANが重複して存在しても良いが、基幹の媒体の物理的な特性に関わらず、フレームは、あるVLANから別のVLANへは流出しない。VLAN間通信(Inter-VLAN communication)は、IP転送を介して処理されなければならない。
フレームタギング(タグ付け:tagging)
どのVLANにフレームが属しているかを判定するために、「タグヘッダ」が通常のイーサネットフレームヘッダに付加される。このタグヘッダは、12ビットのVLANタグ形式のVLANアイデンティティを含んでいる。VLANタグは、転送対象のフレームがどのポート(群)を介するかを判定するために、LAN内のスイッチによって使用される。このメカニズムに加えて、スイッチ内の通常のMACアドレス学習処理が、単一のポートへの転送に(あるいは、宛先ホストが、フレームが到来するLANセグメント上に配置されていることを知っている場合には、どのポートにも転送しないように)制限することができる。この規格は、VLAN awareである(VLANを認識する)ホストを除外しない、このような機能は、既存のホストコンピュータでは存在しない(あるいは、少なくともかなりまれである)。このように、VLANタグが付加されたフレームは、典型的には、スイッチ間でのみ使用され、また、タグヘッダは、フレームがその宛先ホストへ送信される前に取り除かれる。同様に、ホストは、タグヘッダなしでフレームを送信し、また、そのタグヘッダは、適切な時に、経路内の最初のスイッチによって付加される。
どのVLANにフレームが属しているかを判定するために、「タグヘッダ」が通常のイーサネットフレームヘッダに付加される。このタグヘッダは、12ビットのVLANタグ形式のVLANアイデンティティを含んでいる。VLANタグは、転送対象のフレームがどのポート(群)を介するかを判定するために、LAN内のスイッチによって使用される。このメカニズムに加えて、スイッチ内の通常のMACアドレス学習処理が、単一のポートへの転送に(あるいは、宛先ホストが、フレームが到来するLANセグメント上に配置されていることを知っている場合には、どのポートにも転送しないように)制限することができる。この規格は、VLAN awareである(VLANを認識する)ホストを除外しない、このような機能は、既存のホストコンピュータでは存在しない(あるいは、少なくともかなりまれである)。このように、VLANタグが付加されたフレームは、典型的には、スイッチ間でのみ使用され、また、タグヘッダは、フレームがその宛先ホストへ送信される前に取り除かれる。同様に、ホストは、タグヘッダなしでフレームを送信し、また、そのタグヘッダは、適切な時に、経路内の最初のスイッチによって付加される。
VLAN分類
スイッチはどのようにして、タグが付加されていない(untagged)受信フレームにどのVLANタグを付加するのであろうか?このVLAN分類は、スイッチ内で定義される入場ルール(ingress rule)によって決定される。これらの入場ルールは、理論的には、どのようなものでもたいていは定義することができるが、実際には、いくつかの原理が使用される。IEEE802.1Qは、VLAN分類のいくつかの例を示している:
・ポートに基づくVLAN分類
・プロトコルに基づくVLAN分類
・サブネットに基づくVLAN分類
・MACアドレスに基づくVLAN分類
ポートに基づく分類の単純なルールは、あるポートで受信された、タグが付加されていないフレームのすべてが、あるVLANに属していると分類することである。一方、プロトコルに基づく分類は、次のレイヤプロトコル(例えば、IPあるいはIPX)に基づいてVLANタグを選択する、この次のレイヤプロトコルはフレーム内で搬送される。サブネットに基づく分類が使用される場合、スイッチは、受信フレームのIPサブネットアドレス指定特性に基づいて、VLANタグを選択する。MACアドレスに基づく分類を用いると、MACアドレスのセットは、あるVLANアイデンティティに関連付けられる。次に、VLANタグは、タグが付加されていない受信フレームのソースMACアドレスに基づいて選択される。MACアドレスに基づく分類は、IEEE802.1Qで定義されるプロトコルを使用して、あるVLAN内の自身のメンバーシップを通知することができる。
スイッチはどのようにして、タグが付加されていない(untagged)受信フレームにどのVLANタグを付加するのであろうか?このVLAN分類は、スイッチ内で定義される入場ルール(ingress rule)によって決定される。これらの入場ルールは、理論的には、どのようなものでもたいていは定義することができるが、実際には、いくつかの原理が使用される。IEEE802.1Qは、VLAN分類のいくつかの例を示している:
・ポートに基づくVLAN分類
・プロトコルに基づくVLAN分類
・サブネットに基づくVLAN分類
・MACアドレスに基づくVLAN分類
ポートに基づく分類の単純なルールは、あるポートで受信された、タグが付加されていないフレームのすべてが、あるVLANに属していると分類することである。一方、プロトコルに基づく分類は、次のレイヤプロトコル(例えば、IPあるいはIPX)に基づいてVLANタグを選択する、この次のレイヤプロトコルはフレーム内で搬送される。サブネットに基づく分類が使用される場合、スイッチは、受信フレームのIPサブネットアドレス指定特性に基づいて、VLANタグを選択する。MACアドレスに基づく分類を用いると、MACアドレスのセットは、あるVLANアイデンティティに関連付けられる。次に、VLANタグは、タグが付加されていない受信フレームのソースMACアドレスに基づいて選択される。MACアドレスに基づく分類は、IEEE802.1Qで定義されるプロトコルを使用して、あるVLAN内の自身のメンバーシップを通知することができる。
実際には、ポートに基づくVLANが、随所で実施されている唯一の分類原理である。ポートに基づくVLANは、どのような進歩的なソリューションに基づいているかであり、以下では、「VLAN」という用語は、常に、ポートに基づくVLANを示すものとする。
ポートに基づくVLANは、以下の属性によってスイッチ内で完全に定義される:
・VLANアイデンティティ
・メンバーセット
・タグが付加されていないセット(untagged set)
・ポートVLAN識別子(PVID)の割当
VLANアイデンティティはVLANのアイデンティティであり、これは、VLANタグに相当し、これは、VLANに属するフレームのタグヘッダ内に含まれている。メンバーセットは(関係するスイッチ内の)ポートのセットであり、このポートのセットを介して、関係するVLANのアイデンティティでタグが付加された(tagged)フレームが送信される。タグが付加されていないセットは、メンバーセットのサブセットである、即ち、メンバーセット内のこれらのポートを介して、VLANに属するフレームはタグが付加されないで送信されるべきである。ポートのPVIDは、ポートに基づく分類が使用される場合に、タグが付加されていない受信フレームにどのVLANタグを付加するべきかを決定するものである。従って、ポートに基づくVLAN分類を採用するスイッチ内の各ポートは、それに関連付けられている、1つでかつ唯一のPVIDを持つべきである。
・VLANアイデンティティ
・メンバーセット
・タグが付加されていないセット(untagged set)
・ポートVLAN識別子(PVID)の割当
VLANアイデンティティはVLANのアイデンティティであり、これは、VLANタグに相当し、これは、VLANに属するフレームのタグヘッダ内に含まれている。メンバーセットは(関係するスイッチ内の)ポートのセットであり、このポートのセットを介して、関係するVLANのアイデンティティでタグが付加された(tagged)フレームが送信される。タグが付加されていないセットは、メンバーセットのサブセットである、即ち、メンバーセット内のこれらのポートを介して、VLANに属するフレームはタグが付加されないで送信されるべきである。ポートのPVIDは、ポートに基づく分類が使用される場合に、タグが付加されていない受信フレームにどのVLANタグを付加するべきかを決定するものである。従って、ポートに基づくVLAN分類を採用するスイッチ内の各ポートは、それに関連付けられている、1つでかつ唯一のPVIDを持つべきである。
上述したように、これらの属性は、スイッチ内のVLANを完全に定義する。この属性を操作することによって、異なるプロパティをVLANに与えることができる。但し、これらが規格で示される属性であるとしても、スイッチ製造業者は、同一の用途を達成する他の属性を選択することもできる。また、スイッチ製造業者がユーザインタフェースの抽象化のレベルを上げることが広まっているので、個々の属性は不可視となる。これは、管理者による、VLAN構成処理を簡略化することができるが、操作することができる属性の柔軟性を低下させてしまう。
VLAN定義はスイッチに対して厳密なローカルであることに注意すべきである。複数のスイッチに跨るVLANを構成するためには、管理者は、個々のスイッチを構成する場合に使用されるVLANアイデンティティが、所望の方法で互いに一致することを確実にしなければならない。うまく構成される場合、相互接続されているスイッチは、調整された一貫性のある方法で、特定のVLANタグを扱うことができる。
独立及び共有VLAN
スイッチ内の異なるVLAN間のプロパティの別の識別は、それらが独立VLANあるいは共有VLANであるかである。最も広く使用されるタイプである独立VLANは、スイッチ内の各VLANに対して、別々のMACアドレス学習データベースを使用する(但し、少なくとも概念的には、このデータベースは、単一のデータベースとして実現されても良い)。これは、独立VLAN内のMACアドレス学習処理が互いに独立していることを意味する。
スイッチ内の異なるVLAN間のプロパティの別の識別は、それらが独立VLANあるいは共有VLANであるかである。最も広く使用されるタイプである独立VLANは、スイッチ内の各VLANに対して、別々のMACアドレス学習データベースを使用する(但し、少なくとも概念的には、このデータベースは、単一のデータベースとして実現されても良い)。これは、独立VLAN内のMACアドレス学習処理が互いに独立していることを意味する。
一方、共有VLANは、共通のMACアドレス学習データベース(少なくとも概念的には)を使用する。この結果、共有VLAN内で学習されるMACアドレスは、同一のMACアドレス学習データベースを使用して、他の共有VLANすべてにおいて自動的に学習される。
関連技術
従来のソリューションで知られているものは、仮想LAN(VLAN)を利用するものがあり、これは、IEEE802.1Qで示されており、様々な方法で、互いにホストから分離している。
従来のソリューションで知られているものは、仮想LAN(VLAN)を利用するものがあり、これは、IEEE802.1Qで示されており、様々な方法で、互いにホストから分離している。
共通の特徴は、各ホストが自身のVLANを取得することであり、このVLAN内では、ホスト自身とアクセスルータのみがメンバーである。この基本構成においては、これが健全であることは、このソリューションに当てはまる。各VLANは、別々のIPサブネットである。アクセスルータは、すべてのVLANのメンバーであり、VLANによって表現されるIPサブネット間の通常のIPルーティングを実行する。このような構成の結果、アクセスルータは、各VLAN(多数である場合がある)に対して1つのIPアドレスを持つ必要がある。(IPアドレスのブロックは各VLANに割り当てられるべきであるが、ここでは、各VLAN内に1つのホストだけが存在すると仮定するので、このIPアドレスのブロックは、できるだけ少ない2つのアドレス(即ち、31のサブネットマスク長)を含んでいる。)IPアドレスは不十分なリソースであり、その結果、多数のIPアドレスがアクセスルータに割り当てなければならないという欠点がある。加えて、これらのIPアドレスとサブネットマスクのすべてを構成する時に関わる管理作業はかなりの量となる可能性がある。更なる欠点は、単一のブロードキャストメッセージで同時にすべてのホストへ到達することができないことである。それどころか、アクセスルータは、各VLAN(即ち、各ホスト)において、別々のメッセージを生成して、送信しなければならない。
各VLAN(即ち、アクセスネットワークに接続される各ホスト)に対するルータに1つのIPアドレスを割り当て、かつ各VLANにIPアドレスの1つのブロックを割り当てなければならないことを回避する方法は、VLANアグリゲーション(aggregation:統合)特性を使用することであり、これは、RFC3069の、「効率的なIPアドレス割当に対するVLANアグリゲーション」に記載されている。このVLANアグリゲーションの概念では、スーパーVLAN(super-VLAN)に属するサブVALN(sub-VLAN)の通知を導入している。各サブVLANは別々のブロードキャストドメインに存在しているが、IPアドレス指定の観点からは、同一のスーパーVLANに属するすべてのサブVLANは、単一のIPサブネットを構成し、かつ共通のデフォルトゲートウェイIPアドレスを使用する。このサブネットアドレス、サブネットマスク及びデフォルトゲートウェイアドレスは、スーパーVLAN用に構成され、かつそれらは、サブVLANによって「継承される」。スーパーVLAN自身には、任意のトラフィックに対して使用されないという意味の「擬似VLAN」のラベルを付けることができる。つまり、VLANタグフィールド内にスーパーVLANアイデンティティを持って送信されるフレームはない。従って、スーパーVLANは、多かれ少なかれ構成トリックとなる。サブVLANは別々のブロードキャストドメインであるので、それらが、同一のIPサブネットの一部であるとしてもであり、スーパーVLANルータは、サブVLAN間通信を可能にするために、ホストのARPメカニズムをサポートしなければならい。この「サポート」は、プロキシARP(これは、RFC925の、「マルチVLANアドレス解決」で示されている)と同様のメカニズムの形態で表現される。これは、また、サブVLAN間のIPパケットの転送を含んでいる。
各ホストに対するVLANとのアクセスネットワークにおける、VLANアグリゲーション概念のマッピングは、「ホストVLAN」のすべてがサブVLANとなり、スーパーVLANが構成目的用に定義され、かつアクセスルータがスーパーVLANルータになることを単に意味する。
IPアドレス構成はVLANアグリゲーションの概念によってかなり簡略化されるが、ブロードキャストにおける制限は依然として残っている。つまり、サブネットワイドブロードキャストメッセージ(これは、極めて通常の機能である)、例えば、ルータ通知を用いてすべてのホストへ到達するためには、そのブロードキャストメッセージは、各サブVLANで複製されなければならない。これは、処理リソースを消費するばかりか、アクセスルータの帯域幅を消費してしまう。
書込時には、VLANアグリゲーションの利用可能な構成だけがエクストリームネットワーク(Extreme Networks)からのスイッチに存在する。これは、サブVLANとスーパーVLANが内部に定義されているスイッチも、スーパーVLANルータ(残念なことに)としなければならないという制約を持っている。この制約が概念における固有のものであるか、あるいは単なる設計事項であるかは不明である。
本明細書で提案される発明のソリューションに関連する別のソリューションには、IEEE802.1Q、付録B、セクションB.1.3で説明される、非対称VLANの使用がある。このソリューションの目的は、アクセスネットワークに接続されている個々のホストを分離しない(かつ、VLANアグリゲーション特性の本来の目的ではない)ばかりか、LAN上のホストあるいはホストのグループを互いに分離しない、一方で、共通のリソース、例えば、サーバへのアクセスは許容する。また、本発明のソリューションとの類似点は、それが関連技術で説明されることが与えられる(motivates)。このソリューションでは、各ホストあるいはホストのグループは、サーバへのフレーム送信に対し、VLANに基づいて自身が所有するポートを取得する、一方、共通のVLAN(即ち、すべてのホストに対して共通)が、ホスト方向に対する、サーバ内のフレーム送信に対して使用される。ホスト間通信がどのようにして制御可能であるかについては説明されておらず、かつIPアドレス割当の問題についても言及されていない、これは、アクセスネットワーク観点からは明らかに問題となる。
「ホスト単位のVLAN」の概念を採用するソリューションのすべてにおいて共通する問題は、これには、上述の従来のソリューションのすべてを含む、構成し、かつ維持するすべてのVLANが、ネットワークのオペレータに対する管理負荷がかなりの量となることである。これは、特に、公衆イーサネットアクセスネットワークにおいては明らかであり、この場合、ホスト数は数千となる可能性がある。
上述の従来のソリューションのすべてに共通する別の問題は、数千万のホストを有するかなり大規模のアクセスネットワークには拡張できないことである。この理由は、VLANアイデンティティが貧弱なリソースであるからである。12ビットのVLAN識別子は、同一の物理的なブロードキャストドメイン内でのVLANの数を4096までに制限している。
「ホスト単位のVLAN」の概念の更なる欠点は、WLANアクセスネットワークで採用できないということである。この理由は、ホストに接続されているスイッチ上に、各ホストが自身の専用のポートを持つことが必要であるからである。これは、WLANアクセスネットワーク内の場合にはない、これは、各アクセスポイントが、任意数のホストを同時に処理するからである。
発明の要約
本発明の目的は、制御された方法で通信が可能ではあるが、ホストが互いに分離され、かつ関連技術の上述の問題を解決するアクセスネットワークを提供することである。
本発明の目的は、制御された方法で通信が可能ではあるが、ホストが互いに分離され、かつ関連技術の上述の問題を解決するアクセスネットワークを提供することである。
この目的は、アクセスネットワークにおける方法によって達成され、このアクセスネットワークは、アクセスルータ及び1つ以上のスイッチを備え、ここで、ホストは、スイッチを介してアクセスルータと通信接続されている。この方法は、ホストからスイッチに到来するトラフィックがアクセスルータに渡される(is forced)ように、スイッチ内で、仮想ローカルエリアネットワークであるVLANを定義するステップと、スイッチ内で、非対称で、かつアクセスルータからホストへのダウンリンクトラフィックを搬送するダウンリンクVLANを定義するステップを備えている。このダウンリンクVLANは、アクセスネットワークに接続されるホストに共通している。この方法は、更に、アクセスネットワークに接続されるホストが、同一のIPサブネットに属するように、VLANを構成するステップと、アドレス解決プロトコルプロキシとなり、かつイントラサブネットルーティングを実行するように、アクセスルータを構成するステップとを備える。
この目的は、アクセスネットワーク内の装置(arrangement)でも達成される。この装置は、アクセスルータ、アクセスルータに接続される1つ以上のスイッチ、及びスイッチを介してアクセスルータと通信接続している1つ以上のホストを備える。このスイッチとアクセスルータは、上述の方法に対するものとして構成される。
これによって、アクセルルータを介してすべてのトラフィックが渡され、かつアクセスネットワークに接続されるホストが互いに直接通信することができない方法及び装置が達成される。また、1つのVLANだけが、アクセスルータからのダウンリンクトラフィックに対して使用されるので、アクセスルータからのトラフィックのブロードキャストが効率的に実行される。また、ホストは同一のIPサブネットに属するので、IPアドレスが節約される、これは、それぞれがIPサブネットを構成する多数のVLANそれぞれに対するIPアドレスに代って、アクセスネットワーク内の自身のインタフェースに関連付けられているIPアドレスをアクセスルータだけが必要とするからである。アクセスルータは、イントラサブネットルーティングを実行する、これは、アクセスルータが受信したトラフィックを自身のアクセスネットワークへ変更して転送することを意味し、これは、単一のIPサブネットを構成する。また、アクセスルータは、ARPプロキシであり、これは、アクセスルータが、そのアクセスルータのアクセスネットワークに接続されるホストに代って、ARPリクエストに応答することを意味する。
一実施形態では、スイッチは、非対称で、かつホストからアクセスルータへのアップリンクトラフィックを搬送する1つのアップリンクVLANを定義するように構成される、ここで、アップリンクVLANは、アクセスネットワークに接続されるホストに共通している。これによって、VLAN構成は非常に単純となる、これは、2つのVLANだけが使用され、かつ同一の構成(原理的には)がアクセスネットワーク内の各スイッチで繰り返されるからである。また、この実施形態は、固定アクセスネットワーク及びWLANアクセスネットワークの両方に対して適用可能である。
本発明の別の実施形態では、固定アクセスネットワーク内のスイッチは、ホストそれぞれに対して、あるいはホストの1つ以上のグループそれぞれに対して、1つのアップリンクVLANを定義するように構成され、このアップリンクVLANは、ホストからアクセスルータへのアップリンクトラフィック対してのみ使用される。これによって、アクセスルータは、フレームを送信することができる加入者の識別として、受信フレームのVLANタグを使用することができる。
本発明の変形では、固定アクセスネットワーク内のスイッチは、ホストそれぞれに対して、あるいはホストの1つ以上のグループそれぞれに対して、1つのアップリンクVLANを定義するように構成され、このアップリンクVLANは、ホストから前記アクセスルータへのアップリンクトラフィック対して使用され、かつこのアップリンクVLANを、アクセスルータからホストへのダウンリンクユニキャストトラフィックを転送するように定義する。これによって、ダウンリンクユニキャストフレームが、自身の意図する宛先ホストだけに到達することが補償される。
WLANアクセスネットワークにおいて、スイッチは、アクセスポイントであるAPそれぞれに対して、あるいはAPの1つ以上のグループそれぞれに対して、1つのアップリンクVLANを定義するように構成することができ、このアップリンクVLANは、APからアクセスルータへのアップリンクトラフィックに対して使用される。これによって、アクセスルータに、送信側ホストについてのVLANタグを介して明確な位置情報を提供することができる。
WLANアクセスネットワークにおいて、アクセスポイントであるAPは、APを組み込むようにダウンリンクVLANとアップリンクVLANを拡張することによって、あるいはAPの固有の構成機能を利用することによって、同一のAPに接続されるホスト間のAPを介する直接通信を防止するように適切に構成される。
ホストから送信される適切なフレームは、スイッチ内に、VLANとともに提供され、かつアクセスルータは、VLAN awareとなるように構成される。これによって、位置情報を、WLANアクセスネットワーク内で上述のように取得することができ、かつVLANタグを、固定アクセスネットワーク内でフレームを送信する加入者の識別として使用することができる。
好ましくは、VLANは、共有VLANとして構成される。これによって、VLANは、共通のMACアドレス学習データベースを使用する、即ち、MACアドレス(どのスイッチポートにそれが接続されているかの観点においては)が1つのVLAN内で学習される場合、これは、同一のMACアドレス学習データベースを共有する他のVLANすべてにおいても自動的に学習される。
アクセスルータは、ユーザ証明処理中に、あるいはIP割当処理中のどちらかで、ホストからアドレスマッピング情報を検索することができる。これによって、アクセスルータは、ARPプロキシとして動作することができる。
アクセスネットワークは、1つ以上のアクセスルータを構成することができる。
実施形態の詳細説明
基本的には、2種類のソリューションが存在する。どちらも、ホストの分離を提供するための非対称VLANの概念に基づいている。加えて、アクセスルータを介して、アクセスネットワーク内のホスト間通信を制御する方法を説明する。どちらの形態でも、アクセスルータとすべてのホストは、同一で、かつ単一のIPサブネットに属している。
基本的には、2種類のソリューションが存在する。どちらも、ホストの分離を提供するための非対称VLANの概念に基づいている。加えて、アクセスルータを介して、アクセスネットワーク内のホスト間通信を制御する方法を説明する。どちらの形態でも、アクセスルータとすべてのホストは、同一で、かつ単一のIPサブネットに属している。
第1実施形態:2つの非対称VLAN
この形態では、2つの非対称VLANだけを使用して、ホストの数に関係なく、ホスト間を分離する。これは、VLAN構成をかなり簡単にし、かつスケーラブルにする。
この形態では、2つの非対称VLANだけを使用して、ホストの数に関係なく、ホスト間を分離する。これは、VLAN構成をかなり簡単にし、かつスケーラブルにする。
2つの非対称VLANの内の1つは、アップリンク(ホストからアクセスルータへの)トラフィック用に使用される、もう1つは、ダウンリンク(アクセスルータからホストへの)トラフィック用に使用される。概念的には、2つのVLANは、図3a及び図3bと、図4a及び図4bで示すことができる。図3aは、固定アクセスネットワークにおけるアップリンクVLANを示している。アクセスルータ11は、スイッチ12に接続されている。スイッチ12は、2つのホストA及びBに接続されている。矢印は、許容されているトラフィック経路を示している。このアップリンクVLANにおいては、ホストA及びBからアクセスルータ11へのアップリンクトラフィックのみが許容されている。また、アップリンクVLANは、ホストA及びBからスイッチ12に受信されるトラフィックのすべてが、アクセスルータ11へ転送されなければならいように、即ち、ホスト間の直接通信がなされないように定義されている。図3bは、図3aの同一のアクセスネットワーク内のダウンリンクVLANを示している。矢印は、許容されているトラフィック経路を示している。
図4aは、WLANアクセスネットワーク内のアップリンクVLANを示している。アクセスルータ11’は、スイッチ12’に接続されている。スイッチ12’は、2つのアクセスポイントAP14及び15に接続されている。ホストA及びホストBは、AP14及び15と無線で通信する。また、ここでの矢印は、図3aで示されるものと同様に、許容されているトラフィック経路を示している。図4bは、図3bにかなり類似している、即ち、矢印は、ダウンリンクVLAN内で許容されているトラフィック経路を示している。
図3及び図4は、ホスト、アクセスルータ及び、WLANの場合にはアクセスポイントを含むようなVLANを示しているが、ホストは、完全なVLAN unawareである(VLANを認識していない)と想定している、即ち、ホストは、タグが付加されていないイーサネットフレームのみを処理することに注意すべきである。また、WLANの場合のアクセスポイント(AP)は、VLAN unawareであると想定している。このアクセスルータは、VLAN awareである、あるいはVLAN unawareである。おそらく、実際のVLANが、アクセスネットワーク内で送信されるタグが付加されているフレームを持たないスイッチ内に存在することはない。また、スイッチ内VLANの効果は、図3及び図4で示されることである。このVLANは、ポートに基づくVLANであり、また、フレームの分類は、上述したように、スイッチ内で定義されるVLANパラメータに基づいている。
上述の2つの非対称VLANを達成するために、スイッチ内で必要とされるパラメータ定義は、図5を参照して説明される。この図は、本質的には、図3及び図4と同一である。アクセスルータ11/11’は、スイッチ12/12’に接続されている。スイッチ12/12’は、第1ポート18、第2ポート19及び第3ポート20を備えている。アクセスルータ11/11’は、スイッチ12/12’の第1ポート18に接続されている。また、第1ホストA、あるいはWLANの場合の第1AP14は、スイッチ12/12’の第2ポート19に接続されていて、また、第2ホストBあるいは第2AP15は、スイッチ12/12’の第3ポート20に接続されている。本発明の実施形態では、第1VLANであるVLAN1は、スイッチ12/12’の第2ポート19及び第3ポート20に到来するトラフィックのすべてに割り当てられる、即ち、第2ポート19及び第3ポート20のPVIDはVLAN1である。第1ポート18のPVIDはVLAN2に置き換わっている、即ち、スイッチ12/12’の第1ポート18で受信される、タグが付加されていないトラフィックのすべては、第2VLANであるVLAN2に割り当てられる。また、2つのVLAN用のメンバーセットは:VLAN1:第1ポート18、VLAN2:第2ポート19及び第3ポート20である。タグが付加されていないセットは、本実施形態では、同一のメンバーセットである、即ち、すべてのトラフィックは、タグが付加されずにスイッチ12/12’から送信される。
より汎用的な用語としては、図5のパラメータ定義は、スイッチ12/12’によって受信される(WLANの場合は、APを介して)アップリンクフレーム(ユニキャストあるいはブロードキャスト)は、アクセルルータ11/11’へのポート18を介してのみスイッチ12/12’に存在できることを意味する。この理由は、タグが付加されていない受信フレームがアップリンクVLANであるVLAN1(受信ポートのPVIDパラメータによって示される)に属するように分類され、かつアップリンクVLAN内のメンバーポートのみ(即ち、アップリンクVLANフレームが転送される可能性がある場合に介するポートのみ)が、アクセスルータ11/11’へのポート18であるからである。
アクセスルータ11/11’からスイッチ12/12’に到来するフレームに対しては、この状況はいくらか異なる。フレームは、ダウンリンクVLANであるVLAN2に属するように分類されるが、フレームが転送されるべき場合に介するポート(あるいはポート群)は、一義的である必要はない。フレームがブロードキャストフレームである場合、それはすべてのメンバーポート、即ち、アクセスルータ向けのポート18以外のすべてのポートを介して転送されることになる。フレームがユニキャストフレームである場合、スイッチ12/12’は、どのポートを介してフレームが転送されるかを判定するために、自身のMACアドレス学習データベースを制御する。フレームの宛先MACアドレスがMACアドレス学習データベースで検出されない場合、フレームは、メンバーポート19及び20のすべてを介して流出される、これは、ブロードキャストフレームである場合である。
ホストから受信されるアップリンクフレーム(WLANの場合は、APを介して)は、常に、タグは付加されない。(どちらの方向でも)スイッチ12/12’とアクセスルータ11/11’間のフレームは、タグが付加されるあるいはタグが付加されない、これは、アクセススータ11/11’がVLAN aware、あるいはVLAN unawareであるからである。この場合、VLANタグは有用な情報を提供しないので、単純な選択としては、スイッチ12/12’とアクセスルータ11/11’(両方向において)間ではタグが付加されていないフレームを使用することである。
この構成に対して意図する動作を実行するために、2つの非対称VLANは、共有VLANとしなければならない。この理由は、ダウンリンクVLAN内のダウンリンクフレームの効率的な処理を必要とするMACアドレス学習データベースが、アップリンクVLANのMACアドレス学習処理に依存するからである。これは、ソースアドレスとするホストMACアドレスを搬送するフレームが、アップリンクVLAN内のみで送信されるからである。
WLANの場合、上述のVLAN構成は、異なるAPに関連付けられているホスト間の直接通信を防止するが、同一のAPに関連付けられているホスト間の(APを介する)通信は防止しない。従って、WLANの場合、VLAN構成は、同一のAPに関連付けられているホスト間のホスト間通信を防止するメカニズムで補完されるべきである。これを達成するための方法の1つは、非対称VLAN構成をAPまで拡張することである。これについては、図6で示される。スイッチ12’は、AP14に接続されている。AP14は、2つのホストA及びBが無線で接続される第1ポート27と、スイッチ12’に接続されている第2ポート28を備えている。第1VLANであるVLAN1のメンバーセットは第2ポート28であり、第1ポート27のPVIDはVLAN1である、即ち、第1ポート27で受信されるトラフィックのすべては、PVID VLAN1が与えられ、それによって、第2ポート28に転送される。これによって、すべてのトラフィックはスイッチに渡され(forced up)、そのスイッチから、更に、アクセスルータへ渡され、ホストA及びBは、互いの直接通信が防止される。また、第2VLANであるVLAN2のメンバーセットは第1ポート27であり、第2ポート28のPVIDはVLAN2である、即ち、第2ポート27で受信されるトラフィックのすべては、PVID VLAN2が与えられ、それによって、VLAN2内のメンバーポートのみである第1ポート27に転送される。
しかしながら、WLAN APが、VLAN awareであるという想定はできない(即ち、それは、VLANのタグが付加されたフレームを処理することができる)。別の方法には、APの固有の構成機能を使用して、APを介するホスト間通信を防止するものがある。
説明を簡単にするために、ここまでで使用される構成の例は、単一のスイッチのみを備えるかなり簡単なアクセスネットワークとしている。しかしながら、1つがアップリンクトラフィック用でもう1つがダウンリンクトラフィック用である、2つの非対称VLANを使用する原理は、ツリー構造の複数のスイッチを備えるアクセスネットワークに容易に拡張することができる。同一のVLAN構成と、パラメータ定義は、各スイッチで簡単に再使用される。このスイッチは、自身間でタグが付加されているフレームですら使用しなければならないことはない。図7では、ツリー構造内の3つのスイッチを使用するアクセスネットワークに対して、同一の原理が示されている。アクセスルータ11’’は、第1スイッチ35内の第1ポート31に接続されているように示されている。第2スイッチ36は、第1スイッチ35の第2ポート32に接続されている。第2スイッチ36は、第1ポート38、第2ポート39及び第3ポート40を備えていて、かつこれは、自身の第1ポート38を介して第1スイッチ35に接続されている。第3スイッチ37は、第1スイッチ35の第3ポート33に接続されている。第3スイッチ37は、第1ポート41、第2ポート42及び第3ポート43を備えていて、かつ自身の第1ポート41を介して第1スイッチ35に接続されている。ホストA(あるいはWLANの場合は第1AP45)は、第2スイッチ36の第2ポート39に接続され、ホストB(あるいは第2AP46)は、第2スイッチ36の第3ポート40に接続され、ホストC(あるいは第3AP47)は、第3スイッチ37の第2ポート42に接続され、ホストD(あるいは第4AP48)は、第3スイッチ37の第3ポート43に接続されている。第2ポート32、39及び42と、第3ポート33、40及び43のすべてに対するPVIDはVLAN1であり、第1ポート31、38及び41のすべてに対するPVIDはVLAN2である。また、VLAN1に対するメンバーセットは第1ポートであり、VLAN2に対するメンバーセットは第2及び第3ポートである。これによって、例えば、第2スイッチ36の第2ポート39で受信されるトラフィックのすべては、PVID VLAN1で与えられ、かつ第2スイッチ36の第1ポート38を介して転送される、これは、VLAN1内のメンバーポートだけが第1ポートであるからである。第2スイッチ36の第1ポート38から送信される場合、トラフィックは、第1スイッチ35の第2ポート23で受信される。ここで、トラフィックにPVID VLAN1が与えられると、そのトラフィックは、第1スイッチ35の第1ポート31を介して、アクセスルータへ転送される。これによって、ホストA、B、C及びDからのトラフィックすべてがアクセスルータ11’’に渡され、かつ直接通信が防止される。すべてのトラフィックが、タグが付加されずに、適切に送信される。
制御されたホスト間通信の実現
上述のVLAN構成を用いると、通常のイントラサブネットでのホスト間の直接通信が防止される(これは、目的となっている)。ホストとアクセスルータ間と、アクセスルータとホスト間の直接通信だけも実現することができる。
上述のVLAN構成を用いると、通常のイントラサブネットでのホスト間の直接通信が防止される(これは、目的となっている)。ホストとアクセスルータ間と、アクセスルータとホスト間の直接通信だけも実現することができる。
共有メディアネットワークである、イーサネットLANにおいて、イントラサブネットIP通信はARPプロトコルに基づいている、これは、ブロードキャストメカニズムに依存している。通常は(ホスト間が構成を妨げることなしに)、ホストAが、同一のアクセスルータに接続されているホストBとの通信を行いたい場合には、これは、同一のIPサブネットに配置されているホストBのIPアドレスから導出される。従って、ホストAは、ホストBのIPアドレスを含むARPリクエストをブロードキャストすることによって、ホストBのMACアドレスの検索を試行する。しかしながら、ホスト間通信の防止メカニズムによって、ホストBは、ARPリクエストを決して受信することはなく、その結果、ホストAは、ホストBのMACアドレスを検索することはできない。このデッドロックは、解決されなければならない。
これを解決するための方法は、接続されているホストに対し、変更されたARPプロキシエージェントとして、アクセスルータを動作させることである。(ここで、「変更された」という表現を使用しているのは、このARPプロキシの機能が、RFC925の「マルチLANアドレス解決」の説明されているものから派生するからである)ARPプロキシエージェントとして、アクセスルータは、自身のサブネット上のホストに関するARPリクエストのすべてに応答する。ARPリプライでは、アクセスルータは、ターゲットホストのMACアドレスの代りに、「送信側ハードウェアアドレス」フィールド内に自身のMACアドレスを組み込む。
そのため、ホストAがホストBへIPパケットを送信し、かつ「ターゲットIPアドレス」フィールド内のホストBのIPアドレスでARPリクエストをブロードキャストを実行したい場合、アクセスルータは、「送信側ハードウェアアドレス」フィールド内のアクセスルータのMACアドレスを含むARPリプライをホストAへ返信する。ホストAが続いて実際のIPパケットをホストBへ送信する場合、ホストAはそのIPパケットを、宛先アドレスとするアクセスルータのMACアドレスを有するイーサネット(あるいはIEEE802.11)フレームにカプセル化する。このフレーム、及びそれに従うカプセル化されたIPパケットは、アクセスルータによって受信だけがされることになる。ここで、これは、IPパケットが自身の意図する宛先、即ち、ホストBへ到達することを監視するためのアクセスルータの責務となる。つまり、アクセスルータは、IPパケットの宛先アドレスに基づいて、IPパケットをホストBへ転送しなければならない。
つまり、ARPプロキシエージェントとして動作することは、アクセスルータもそれ自身のサブネット(即ち、アクセスネットワークのサブネット)上のホスト間でIPパケットを転送しなければならないことである、即ち、アクセスルータは、「イントラサブネットルーティング」の形式を実行しなければならない。
ARPリクエストに応答する場合、ARPプロキシエージェントは、2つのことを把握していなければならない:これは、ターゲットホストがサブネット上に実際に存在していることを知っていなければならず、また、次のIPパケットを転送することを可能にするために、ターゲットホストのMACアドレスを知っていなければならない(あるいは、少なくとも検出できるようにしなければならない)。通常のARPプロキシ動作では、RFC925の「マルチLANアドレス解決」に記載されているように、ARPプロキシエージェントは、それが接続されている(ARPリクエストが受信されたLAN以外の)LAN上での受信ARPリクエストを繰り返し、かつ実際のターゲットホストからARPリプライを受信するまで、ARPリクエストへのリプライは実行しない。
変更されたARPプロキシエージェントとして動作する場合、アクセスルータは、受信ARPリクエストを繰り返さない。その代わり、これは、内部IPアドレスとMACアドレスとのマッピング情報(ARPキャッシュ以外)に基づいて、ARPリクエストをリプライするための自身の決定の基礎にする。内部IPアドレスとMACアドレスとのマッピング情報は、アクセスネットワークの環境で変更する場合がある。特に、固定アクセスネットワークと、WLANアクセスネットワークとの間では異なる可能性がある。
WLANアクセスネットワークにおける内部アドレスマッピング情報の提供及び使用
移動体ユーザが出入りする、WLANの場合、いくつかの種類のユーザ証明と、セキュリティアソシエーション(security association)の確立は不可欠である。いつホストがアクセスネットワークから離れるかを検出するためのメカニズムが存在する必要があり、これには、例えば、明確な登録抹消処理及びアソシエーションタイムアウトがある。ここで、アクセスルータは、常に、どのホストがアクセスネットワークに接続されているかを常に把握している。次のステップは、アドレスマッピング情報を検索することである。
移動体ユーザが出入りする、WLANの場合、いくつかの種類のユーザ証明と、セキュリティアソシエーション(security association)の確立は不可欠である。いつホストがアクセスネットワークから離れるかを検出するためのメカニズムが存在する必要があり、これには、例えば、明確な登録抹消処理及びアソシエーションタイムアウトがある。ここで、アクセスルータは、常に、どのホストがアクセスネットワークに接続されているかを常に把握している。次のステップは、アドレスマッピング情報を検索することである。
ユーザ証明処理中には、アクセスルータは、関係するホストからのメッセージ(群)から、関連アドレス情報を抽出し、かつそれをARPプロキシエンティティ(あるいは、ARPプロキシ機能にアクセス可能ないくつかの他のエンティティ)に記憶する。アクセスルータは、アドレスマッピング情報を検索するために、IP割当処理を使用することもできる。正確には、アドレス情報がどのようにして取得されるかについては、使用されるアドレス割当方法に依存し、かつユーザ証明が、IPアドレスが割り当てられる前のリンク上で実行されるか、あるいはIPアドレスが割り当てられた後のIPレイヤ上で実行されるかに依存する。
IPアドレスが割り当てられた後に、ユーザ証明が実行される場合、アクセスルータは、MACアドレスとIPアドレスの両方を抽出して記憶する、これは、すべて必要とされるものである。
IPアドレスが割り当てられる前に、ユーザ証明が実行される場合、アクセスルータは、関係するホストのMACアドレスのみを記憶する。次に、アクセスルータは、IPアドレスが割り当てられる場合に、記憶されたMACアドレスをIPアドレスで補完しなければならない。この処理は、使用されるIPアドレス割当方法に依存する。これには、いくつかの可能性がある。
−IPアドレスは、DHCP(動的ホスト構成プロトコル)を使用して割り当てられても良い。この状況では(おそらくほとんどの多くがそうである)、アクセスルータ内のDHCPサーバがIPアドレスを割り当てる。これを実行する場合、DHCPサーバは、割り当てたIPアドレスと、それが割り当てられているホストのMACアドレスを記憶する(これは、通常のDHCPサーバの動作である)。次に、ARPプロキシエンティティは、その情報へアクセスすることが許可される、あるいは選択的には、その情報はARPプロキシエンティティにコピーされる。代替構成としては、単に、発信中のDHCP提供メッセージを捕捉し、関連情報を抽出することである。
−IPアドレスは、ユーザの移動体IPホームエージェント(HA)によって動的に割り当てられても良い。この場合では、IPアドレスは、移動体IP登録リプライに組み込まれ、これは、HAからホストへ送信される。このメッセージは、移動体IP外部エージェント(FA)によってリプライされ、これは、アクセスルータに配置される。ここで、FAは、IPアドレスを抽出して、かつそれをアクセスルータ内の他のエンティティに利用可能にすることができる。代替構成としては、単に、発信中の移動体IP登録リプライメッセージを捕捉して、その関連情報を抽出することである。ホストのHAによって割り当てられるIPアドレスはアクセスネットワーク以外の別のIPサブネットに属しているように見えるので、アクセスネットワークに接続している他のホストで、関係するホストに対してターゲットとされるARPリクエストを送信するものはない。従って、ARPプロキシエージェントは、このホストに代って応答しなければならないことは決してない。しかしながら、アクセスルータが関係するホストへIPパケットを(転送される、あるいはソースとするアクセスルータで)送信する場合に、ARPリクエストを削除するために、アドレスマッピング情報は依然として有用である可能性がある。
−ホスト(移動体IPを使用する)は、自身のホームネットワークによって割り当てられる固定IPアドレスを持つことができる。この場合、IPアドレスは、ホストからHAへ送信される移動体IP登録リクエストに組み込まれることになる。このメッセージはFAによってリプライされ、これは、IPアドレスを抽出することができ、かつそれをARPプロキシエンティティで利用可能にすることができる。代替構成としては、単に、着信中あるいは発信中の移動体IP登録リクエストメッセージを捕捉して、その関連情報を抽出する。ホストのホームネットワークによって割り当てられているIPアドレスがアクセスネットワーク以外の別のIPサブネットに属しているように見えるので、アクセスネットワークに接続している他のホストは、関係するホストに対してターゲットとされるARPリクエストを送信しない。従って、ARPプロキシエージェントは、このホストに代って応答しなければならないことは決してない。しかしながら、アクセスルータが関係するホストへIPパケットを(転送される、あるいはソースとするアクセスルータで)送信する場合に、ARPリクエストを削除するために、アドレスマッピング情報は依然として有用である可能性がある。
−IPアドレスは、PPPoE(ポイントツーポイントプロトコルオーバイーサネット)セッションで割り当てられても良い。この場合、IPアドレスは、アクセスルータ内の内部エンティティによってローカルで割り当てられる、あるいは、例えば、ユーザのホームネットワーク、例えば、企業ネットワーク内のRADIUS(リモート証明ダイアルインユーザサービス)サーバによってリモートで割り当てられる。遠隔割当の場合、IPアドレスは、リモートエンティティから受信され、かつホストへ送信される前に、アクセスルータに記憶される。従って、ローカル及びリモート割当の両方は、アクセスルータに、アクセスルータ内のARPプロキシエンティティ及び他のエンティティの少なくとも一方で利用可能なIPアドレスを生成することを可能にする。IPアドレスが、別のネットワーク内のサーバによってリモートで割り当てられる場合、IPアドレスは、アクセスネットワーク以外の別のIPサブネットに属しているように見える。つまり、このような場合、アクセスネットワークに接続している他のホストで、関係するホストに対してターゲットとされるARPリクエストを送信するものはない。従って、ARPプロキシエージェントは、このホストに代って応答しなければならないことは決してない。しかしながら、アクセスルータが関係するホストへIPパケットを(転送される、あるいはソースとするアクセスルータで)送信する場合に、ARPリクエストを削除するために、アドレスマッピング情報は依然として有用である可能性がある。
IPアドレス割当がユーザ証明の前あるいは後で発生するかに関係なく、割当は時限設定されていても良く、また新規のあるいは同一のIPアドレスは、ある時間後に再割当しなければならないようにしても良い。これは、DHCPが使用される場合に確実に発生することとなり、また、移動体IPがIPアドレスを割り当てるために使用される場合に発生しても良い。これが発生する場合、新規のIPアドレスは、オリジナルのアドレス割当時と同一のメカニズムを使用して、ARPプロキシエンティティで利用可能にしなければならない。
ここで、アクセスルータがWLANアクセスネットワーク内のホストAから、「ターゲットプロトコルアドレス」フィールド内のWLANアクセスネットワーク内の別のホストBのIPアドレスを含むARPリクエストを受信する場合には、この状況は安全に処理することができることを、新たに結論付けることができる。アクセルルータ内のARPプロキシエンティティは、関連する内部レコードを調べて、ターゲットホストがWLANアクセスネットワーク内に存在することを判定する。同時に、これは、ターゲットホストのMACアドレスを検索し、これにより、ARPリプライを構築し、かつ、「送信側ハードウェアアドレス」フィールド内のルータのMACアドレスを有するホストへ返信することができる。ホストAが次にホストBを宛先にするIPパケットを送信する場合、このIPパケットは、宛先アドレスとするアクセスルータのMACアドレスを有するフレーム内にカプセル化される。アクセスルータは、このパケットを受信し、それが自身のアクセスネットワークに接続されるホストへの転送対象であることを判定し、関連する内部レコード内のホストBのMACアドレスを参照して(これによって、再度のARPリクエストを回避する)、そして、宛先アドレスとするホストBのMACアドレスを有するイーサネットフレーム内でカプセル化されている、そのIPパケットを、アクセスネットワークへ送信する。VLAN構成及びアクセスネットワーク内のスイッチ(群)のMACアドレス学習データベース(群)は、パケットが最終的にホストBへ到達することを補償する。
固定アクセスネットワーク内の内部アドレスマッピング情報の提供及び使用
固定アクセスネットワークの状況は、ユーザが移動体でない場合のWLANアクセスネットワークの状況とは異なる。(移動体ユーザを有する固定アクセスネットワークは実際には考えられるが、この場合、本明細書の目的に対しては、この状況は、WLANアクセスネットワークに対して上述したものに向けられる。従って、この特殊な状況については、更なる詳細は必要としない、また、このセクションの残りの部分では、ユーザは移動体でないと想定する)別の違いは、無線インタフェースは存在せず、すべての接続が有線(銅線、同軸あるいはファイバー)であり、これは、盗聴されにくい。
固定アクセスネットワークの状況は、ユーザが移動体でない場合のWLANアクセスネットワークの状況とは異なる。(移動体ユーザを有する固定アクセスネットワークは実際には考えられるが、この場合、本明細書の目的に対しては、この状況は、WLANアクセスネットワークに対して上述したものに向けられる。従って、この特殊な状況については、更なる詳細は必要としない、また、このセクションの残りの部分では、ユーザは移動体でないと想定する)別の違いは、無線インタフェースは存在せず、すべての接続が有線(銅線、同軸あるいはファイバー)であり、これは、盗聴されにくい。
ユーザ移動性及び無線インタフェースがないことは、以下のことを意味する:
−ユーザとアクセスルータ間のセキュリティ関係に対する要求は、あまり重要でなくなる。これは、加入に対する課金方式として固定レートが使用される場合には、特にそうである。従って、アクセスネットワークは、ユーザ証明を採用しない選択をすることができ、また、どのホストが接続されているかの追跡を継続しない選択をすることができる。
−ユーザとアクセスルータ間のセキュリティ関係に対する要求は、あまり重要でなくなる。これは、加入に対する課金方式として固定レートが使用される場合には、特にそうである。従って、アクセスネットワークは、ユーザ証明を採用しない選択をすることができ、また、どのホストが接続されているかの追跡を継続しない選択をすることができる。
−ユーザは、加入時にアクセスネットワークオペレータから割り当てられる固定IPアドレスを持つことができる。このような場合、IPアドレス割当処理は、IPアドレスとMACアドレスとのマッピング情報を取得するために使用することはできない。
上述の関係に関わらず、アクセスルータは、各ユーザとのセキュリティ関係(例えば、ユーザ証明及び、可能であれば、連続暗号化によって表現される)をいまだなお持つことができ、またホスト上で現在取られているログを追跡することができる。これは、極めて一般的なことであり、ある会計機能に対しては必要な条件である。同様に、IPアドレスは(たいていは)、動的に割り当てることができる。
アクセスルータが、ユーザ証明を採用し、かつ接続されているホストを追跡する場合(例えば、ログイン処理及びセッション管理)で、かつIPアドレスが動的に割り当てられる場合、この状況は、上述のWLANアクセスネットワークと同一となる。その結果、内部アドレスマッピング情報の提供及び使用も、この場合、同一となる。そうでない場合、異なる方法が、WLANアクセスネットワークとは別に使用されなければならない。
例えば、ユーザ証明及びセッション管理メカニズム(ログイン、ログアウト及びセッションタイムアウトメカニズムの類)を介して、どのホストが現在接続されているかをアクセスルータが追跡する場合、IPアドレスは永久的に割り当てられる、ここで、アクセスルータを取り扱うための問題として、IPアドレスとMACアドレスとのマッピング情報がどのようにして取得されるかがある。これを実行するための絶好の機会は、ユーザ証明あるいはログイン処理中である。この処理中に、アクセスルータは、関係するホストから受信されるメッセージから、ソースIPアドレスとソースMACアドレスを抽出することができる。そして、このアドレスマッピング情報は、アクセスルータ、例えば、ARPプロキシエンティティに記憶される。記憶されたアドレスマッピング情報は、ARPプロキシエンティティによって使用することができる、これは、IPパケットがアクセスルータから(転送される、あるいはソースとするアクセスルータで)関係するホストへ送信される場合である。
IPアドレスが動的に割り当てられる場合、アクセスルータは、どのホストが現在接続されているかを追跡しないので、アドレスマッピング情報(これは、上述のIPアドレス割当処理中に取得することができる)の問題はないが、特定ホストに関するARPリクエストにいつ応答しているかを把握すること、また、あるホストが宛先とされているパケットをいつ転送するかを把握することの問題がある。正当なARPプロキシの動作に対しては、アクセスルータは、ARPリプライがARPリクエストの応答時に送信される前に、関係するホストが現在アクセスネットワークに接続されているかを把握しなければならない。アクセスルータで利用できる信頼性のある情報がないので(アドレスマッピング情報は、通常、この状況では信頼性があるものとして、かなり長く存在している)、アクセスルータは、関係するホストが存在するかを監視するために、なんとかして、アクセスネットワークを「探索(probe)」しなければならない。これを実行するための最も簡単な方法は、ARPメカニズムを使用することである。つまり、まず、アクセスルータは、自身のARPキャッシュを制御する、また、関係するホストがキャッシュ内で検出される場合、アクセスルータは、ホストがアクセスネットワーク内に存在すると決定し、そして、ARPリプライが送信される。そうでない場合、アクセスルータは、ホストが存在するかどうかを検出するために、通常のARPリクエストを送信しなければならない。ARPメカニズムは、アクセスルータが、IPパケットを(転送する、あるいはソースとするアクセスルータで)アクセスネットワークに接続されているホストへ送信する場合にも使用される。
アクセスルータは、選択的には、関係するホストが存在するかを検出する責務を果たす必要はない。アドレスマッピング情報がタイムアウトしない限り、ホストが現在アクセスネットワークに接続されているか否かの検出をすることなく、アクセスルータは、ホストに代ってARPリプライを送信し、また、関係するホストへパケットを転送する。これは、関係するホストが存在しない場合を検出するために、関係するホストとの通信を試行するホスト内のより上位のプロトコルレイヤ(上述のIPレイヤ)となる。これは、面倒であるが、代替構成も可能である。
IPアドレスが固定的に割り当てられ、かつアクセスルータが、どのホストが現在アクセスネットワークに接続されているかを追跡しない場合、アクセスルータは、上述の2つの問題を持つことになる。この2つの問題に対するソリューションは、ARPメカニズムである(即ち、ARPキャッシュのチェック、必要であれば、ARPリクエストの送信)。ARPメカニズムは、あるホストが存在するかどうかをチェックするために、また、IPアドレスとMACアドレスとのマッピング情報を取得するために使用される。これは、プロキシのARPリプライが生成対象である場合、また、IPパケットが関係するホストへの送信対象である場合の両方に適用する。これは、RFC925の「マルチLANアドレス解決」で示されるように、多かれ少なかれ、アクセスルータ内のARPプロキシエンティティを、通常のARPプロキシエージェントに変更する。
本発明の第1実施形態を用いると、スケーリング問題が解消される、これは、2つのVLANしか使用されないからである。VLAN構成はかなり単純である、これは、2つのVLANだけが使用され、かつ同一の構成(原理上は)が、アクセスネットワーク内の各スイッチで繰り返されるからである。また、アクセスネットワークは、単一のIPサブネットとすることができる、これは、イントラサブネットルーティングの使用によるものである。これは、IPアドレスを節約し、かつIPアドレス及びサブネットマスクの構成を簡単にする。また、アクセスルータにおける、ブロードキャスト複製についての問題が解消される、これは、アクセスルータからの単一のブロードキャストメッセージが、ダウンリンクVLANを介してアクセスネットワークに接続されているホストのすべてに到達するからである。第1実施形態の別の効果は、アクセスルータをVLAN unawareにすることができることである。また、アクセスルータは、自身のアクセスネットワーク(どのホストが現在接続されているかを追跡しない固定アクセスネットワーク以外)に接続されているホストのMACアドレスを検出するために、ARPリクエストを送信する必要はない。これは、帯域幅を節約し、また、いくつかのパケットの遅延を低減する。このソリューションは、固定アクセスネットワークとWLANアクセスネットワークの両方で利用可能である。
第2実施形態:複数の(マルチプル:multiple)非対称VLAN
ホストの分離
このソリューションでは、ホストの分離の原理が、WLANアクセスネットワークと固定アクセスネットワーク間でいくつか異なっている。
ホストの分離
このソリューションでは、ホストの分離の原理が、WLANアクセスネットワークと固定アクセスネットワーク間でいくつか異なっている。
WLANアクセスネットワークに接続されているホストの分離
アップリンク用の単一の非対称VLANを使用する代りに、各APは、アップリンクトラフィック用の専用VLANを持っている、この状況は、WLANアクセスネットワークにおける状況とは異なるものである。その結果、あるAPに関連づけられているホストからのアップリンクトラフィックは、AP専用のLANを介して搬送されることになる。単一の非対称VLANが、すべてのダウンリンクトラフィックに対して使用される。各APに対して専用のVLANを持つことは、いかなるスケーリング問題も発生するべきでない、これは、アクセスネットワーク内のAPの数が4096よりずっと少なくなることが予想されるからである。概念的には、VLANは、図8a、b及びcで示すことができる。アクセスルータ81、そのアクセスルータ81に接続されているスイッチ83、そのスイッチ83に接続されている第1AP85及び第2AP86、ホストA及びBを備えるアクセスネットワークが、例として示されている。もちろん、より多くのスイッチ、AP及びホストがアクセスネットワークに存在することも可能である。以下で説明するように、アクセスネットワーク内では、実際には、1つ以上のアクセスルータがアクセスネットワークに存在することができる。図8aの矢印は、アップリンクVLANであるVLAN1を示し、図8bの矢印は、アップリンクVLANであるVLAN2を示し、また、図8cの2つの矢印は、ダウンリンクVLANであるVLAN3を示している。これによって、各APは、自身のアップリンクVLANを持っているが、これらはすべて、共通のダウンリンクVLANを共有している。
アップリンク用の単一の非対称VLANを使用する代りに、各APは、アップリンクトラフィック用の専用VLANを持っている、この状況は、WLANアクセスネットワークにおける状況とは異なるものである。その結果、あるAPに関連づけられているホストからのアップリンクトラフィックは、AP専用のLANを介して搬送されることになる。単一の非対称VLANが、すべてのダウンリンクトラフィックに対して使用される。各APに対して専用のVLANを持つことは、いかなるスケーリング問題も発生するべきでない、これは、アクセスネットワーク内のAPの数が4096よりずっと少なくなることが予想されるからである。概念的には、VLANは、図8a、b及びcで示すことができる。アクセスルータ81、そのアクセスルータ81に接続されているスイッチ83、そのスイッチ83に接続されている第1AP85及び第2AP86、ホストA及びBを備えるアクセスネットワークが、例として示されている。もちろん、より多くのスイッチ、AP及びホストがアクセスネットワークに存在することも可能である。以下で説明するように、アクセスネットワーク内では、実際には、1つ以上のアクセスルータがアクセスネットワークに存在することができる。図8aの矢印は、アップリンクVLANであるVLAN1を示し、図8bの矢印は、アップリンクVLANであるVLAN2を示し、また、図8cの2つの矢印は、ダウンリンクVLANであるVLAN3を示している。これによって、各APは、自身のアップリンクVLANを持っているが、これらはすべて、共通のダウンリンクVLANを共有している。
図8は、ホスト、AP、及びアクセスルータを含むVLANを示しているが、かつホストとAPは完全なVLAN unawareである、即ち、それらは、タグが付加されていないイーサネットフレームのみを扱うことが想定されていることに注意するべきである。アクセスルータは、VLAN awareであってもなくても良い。以下で説明するように、VLAN awareとすることが有効となる場合がある。アクセスルータがVLAN unawareである場合、VLANは完全にスイッチの内部にある。また、スイッチ内VLANが有効であることは、図8で示されることである。VLANは、ポートに基づくVLANであり、また、フレームの分類は、上述のように、スイッチで定義されるVLANパラメータに基づいている。第1実施形態のように、VLANは、VLANを共有しなければならない。
上述の非対称VLANを達成するために、スイッチで必要とされるパラメータ定義は、図9で説明される。スイッチ83の第1ポート92に接続されているアクセスルータ81が示されている。第1AP85及び第2AP86はそれぞれ、スイッチ83の第2ポート96及び第3ポート97にも接続されて示されている。3つの異なるVLANに対するメンバーセットは:VLAN1:第1ポート92、VLAN2:第1ポート92、VLAN3:第2ポート96及び第3ポート97である。フレームにタグが付加されて、スイッチからアクセスルータに送信されるべきである場合は、タグが付加されていないセットは:VLAN1:−、VLAN2:−、VLAN3:第2ポート及び第3ポートである。第2ポート96に対するPVIDはVLAN1であり、第3ポート97に対するPVIDはVLAN2であり、第1ポート92に対するPVIDはVLAN3である。これは、例えば、スイッチ83の第2ポート96で受信されるトラフィックのすべてが、VLAN1に属するように分類されることを意味する。VLAN1のメンバーポートだけが第1ポート92であるので、トラフィックは第1ポート92に転送される。VLAN1は、タグが付加されていないセットではメンバーを持たないので、トラフィックには、第1ポート92から出る前にタグが付加される。
フレームにタグが付加されないで、スイッチ83からアクセスルータ81に送信されるべきである場合は、タグが付加されていないセットは:VLAN1:第1ポート92、VLAN2:第1ポート92、VLAN3:第2ポート96及び第3ポート97である。例えば、スイッチ83の第3ポート97で受信されるトラフィックは、VLAN2に属するように分類されるので、VLAN2のメンバーポートのみ、即ち、第1ポート92を介してそのトラフィックが転送される。第1ポート92も、タグが付加されていない状態のVLAN2のメンバーポートであるので、トラフィックは、タグが付加されないで、アクセスルータ81に送信される。
図9のパラメータ定義からは、APを介してホストから送信され、かつスイッチ83によって受信されるアップリンクフレーム(ユニキャストあるいはブロードキャスト)は、アクセスルータ81向けのポート92を介してのみスイッチ83から出る(exit)ことができるように見える。この理由は、タグが付加された受信フレームがアップリンクVLAN(受信ポートのPVIDパラメータによって示される)の1つに属するように分類されるからであり、ここで、そのメンバーポートだけがアクセスルータ81向けのポートとなる。
アクセスルータ81から到来するフレームは、自動的にダウンリンクVLANに属するように分類される(これは、それが、ダウンリンクVLANのVLAN IDのタグが付加されているからである、あるいはPVIDパラメータが、ダウンリンクVLANに属するように、タグが付加されていないフレームを分類するからである)、しかし、転送されるべきフレームが介するポート(あるいはポート群)は必ずしも一義的ではない。この状況は、第1実施形態におけるダウンリンクトラフィックに対するものと同じである。フレームがブロードキャストフレームである場合、これは、すべてのメンバーポート、即ち、アクセスルータ81向けのポート92以外のすべてのポートを介して転送される。フレームがユニキャストフレームである場合、スイッチ83は、どのポートを介してフレームが転送されるかを判定するために、MACアドレス学習データベースを制御する。フレームの宛先MACアドレスがMACアドレス学習データベースで検出されない場合、あたかもブロードキャストフレームのように、フレームはすべてのメンバーポートを介して流出する。
ホストとスイッチ(APを介する)間では、すべてのフレームがタグが付加されないで送信される。スイッチ83とアクセスルータ81間では、フレームはタグが付加されても良いし、あるいはタグが付加されなくても良い。スイッチ83からアクセスルータ81へタグが付加されたフレームを送信することは有益である、これは、ホストの位置情報をアクセスルータ81に確実に提供することになるからである。これは、AP毎に1つのアップリンクVLANを持つという利点があり、これは、アップリンクフレーム内のVLANタグが、アクセスルータ81に、どのAPが送信中のホストと関連づけられているかを示すからである、これによって、確実に、自身のおおよその位置(APの位置が構成データに含まれることで提供される)を示す。このメカニズムは、ホストの位置決め及び位置に基づくサービスを簡単にし、かつ改善するために使用することができる。
第1実施形態と同様に、スイッチ内のVLAN構成は、同一APで関連付けられているホスト間のホスト間通信を防止するメカニズムで補完されるべきである。これは、図6で示されている、第1実施形態と同一の方法で達成される。唯一の違いは、VLANがAPに拡張されている場合に、アップリンクVLANがアクセスネットワークワイド共通アップリンクVLAN(第1実施形態で示されるように)ではなく、関係するAPに専用されるアップリンクVLANであることである。
第1実施形態と同様に、図の例では、単一のスイッチだけを持つ単純なアクセスネットワークを示しているが、このソリューションの原理は、ツリー構造を持つ複数のスイッチを備えるアクセスネットワークに拡張することができる。アクセスネットワークは、図7に示されるアクセスネットワークと極めて類似している。唯一の違いは、VLANが別々に定義されることである。ここで、図7で使用された同一部分と参照番号は、ここでは、マルチプルアップリンクVLANを有するツリー構造を表現するために使用される。第2スイッチ36の第2ポート39に到来するトラフィックに割り当てられるPVIDはVLAN1であり、第2スイッチ36の第3ポート40に到来するトラフィックに割り当てられるPVIDはVLAN2であり、第3スイッチ37の第2ポート42に到来するトラフィックに割り当てられるPVIDはVLAN3であり、かつ第3スイッチ37の第3ポート43に到来するトラフィックに割り当てられるPVIDはVLAN4である。第1スイッチ35の第1ポート31、第2スイッチ36の第1ポート38及び第3スイッチ37の第1ポート41に対するPVIDはVLAN5である、即ち、すべてのAPに対する共通ダウンリンクVLANである。第1スイッチ35の第2ポート32及び第3ポート33に対するPVIDはこの場合は重要でなく、未定義であっても良い。これらのポート32及び33に到来するフレームは、VLAN1、VLAN2、VLAN3あるいはVLAN4となり得るVLANタグを既に持っている。また、第1スイッチ35に対するメンバーセットは:VLAN1:第1ポート31、VLAN2:第1ポート31、VLAN3:第1ポート31、VLAN4:第1ポート31及びVLAN5:第2ポート32及び第3ポート33である。第2スイッチ36に対するメンバーセットは:VLAN1:第1ポート38、VLAN2:第1ポート38、及びVLAN5:第2ポート39及び第3ポート40である。第3スイッチ37に対するメンバーセットは:VLAN3:第1ポート41、VLAN4:第1ポート41及びVLAN5:第2ポート42及び第3ポート43である。第1スイッチ35からアクセスルータ11’’にタグが付加されたフレームが送信される場合の第1スイッチ35に対するタグが付加されていないセットは:VLAN1:−、VLAN2:−、VLAN3:−、VLAN4:−、及びVLAN5:第2ポート32及び第3ポート33あるいはなしである。第1スイッチ35からアクセスルータ11’’にタグが付加されていないフレームが送信される場合の第1スイッチ35に対するタグが付加されていないセットは:VLAN1:第1ポート31、VLAN2:第1ポート31、VLAN3:第1ポート31、VLAN4:第1ポート31、及びVLAN5:第2ポート32及び第3ポート33あるいはなしである。第2スイッチ36に対するタグが付加されていないセットは(第1スイッチ35からアクセスルータ11’’にタグが付加されている、あるいは付加されていないフレームが送信されるかに関係なく):VLAN1:−、VLAN2:−、及びVLAN5:第2ポート39及び第3ポート40である。第3スイッチ37に対するタグが付加されていないセットは(第1スイッチ35からアクセスルータ11’’にタグが付加されている、あるいは付加されていないフレームが送信されるかに関係なく):VLAN3:−、VLAN4:−、及びVLAN5:第2ポート42及び第3ポート43である。これによって、例えば、第2スイッチ36の第3ポート40に対して受信されるフレームは、VLAN2のVLAN IDでタグが付加される(PIVDで示されるように)、これは、VLAN2のメンバーだけが第3ポート38であるからであり、フレームは、第2スイッチ36の第1ポート38を介して第1スイッチ35の第2ポート32に転送される。第1スイッチ35の第2ポート32で受信される場合、フレームには新規のVLANタグは与えられない、これは、既に持っているからである。フレームは、いまだなお、VLAN2のVLAN IDに設定されるVLANタグを持っているので、それは、第1スイッチ35の第1ポート31を介してアクセスルータ11’’に転送される。タグが付加されていないフレームがアクセスルータ11’’の送信対象である場合、VLANタグは、第1スイッチ35の第1ポート31を介して送信される前に、フレームから削除される。ダウンリンク方向でアクセスルータ11’’から送信される、タグが付加されていないフレームのすべては、(PVIDによって示されるように)、VLAN5のVLAN IDを示すVLANタグが与えられ、また、それは、第2ポートあるいは第3ポート、あるいはそれらの両方を介して転送される。
固定アクセスネットワークに接続されるホストの分離
固定アクセスネットワークに対する第2実施形態では、各ホストは、自身が専用するアップリンクVLANを持っていて、また、オプションとしては、専用VLANは、ダウンリンクトラフィックに対しても使用されても良い。各ホストに対して専用VLANを持つことが可能である、これは、各スイッチポートに接続されるホストがただ1つだけ(あるいは、少なくとも1つの加入だけ)であるからである。また、第1実施形態と同様に、すべてのホストに対して共通のダウンリンクVLANが存在する。ホスト毎に専用VLANを持つことの利点にはいくつかあるが、この概念は、上述いくつかの問題も持っている。概念的には、VLANは図8で示すことができ、ここでは、APがホストに変更されている。
固定アクセスネットワークに対する第2実施形態では、各ホストは、自身が専用するアップリンクVLANを持っていて、また、オプションとしては、専用VLANは、ダウンリンクトラフィックに対しても使用されても良い。各ホストに対して専用VLANを持つことが可能である、これは、各スイッチポートに接続されるホストがただ1つだけ(あるいは、少なくとも1つの加入だけ)であるからである。また、第1実施形態と同様に、すべてのホストに対して共通のダウンリンクVLANが存在する。ホスト毎に専用VLANを持つことの利点にはいくつかあるが、この概念は、上述いくつかの問題も持っている。概念的には、VLANは図8で示すことができ、ここでは、APがホストに変更されている。
図8がホスト及びアクセスルータを含むVLANを示しているとしても、ホストは完全にVLAN unawareであると想定される、即ち、それらは、タグが付加されていないイーサネットフレームだけを取り扱うことに注意すべきである。アクセスルータは、VLAN awareであってもなくても良い。以下で説明するように、VLAN awareとすることは利点がある。アクセスルータがVLAN unawareである場合、VLANは完全にスイッチ内となる。また、スイッチ内VLANとなることの効果は、図8で示されることである。VLANは、ポートに基づくVLANであり、フレームの分類は、上述のように、スイッチで定義されるVLANパラメータに基づいている。第1実施形態のように、VLANは共有VLANとしなければならない。
基本的な前提は、専用VLAN(「ホストVLAN」と呼ぶことができる)がアップリンクトラフィックに対してのみ使用され、かつすべてのダウンリンクトラフィックが共通のダウンリンクVLANで搬送されることである。しかしながら、オプションとしては、ホストVLANは、ダウンリンクトラフィックに対しても使用することができる(また、このような場合、これは、非対称VLANでないことはない)。ホストVLANがダウンリンクトラフィックに対して使用される場合、これは、ユニキャストトラフィックだけに関与する。どちらの場合でも、すべてのダウンリンクブロードキャストパケット(おそらくは、マルチキャストパケット)が、共通ダウンリンクVLANで搬送される。
上述の非対称VLAN(即ち、アップリンクトラフィックだけを搬送するホストVLAN)を達成するためにスイッチで必要とされるパラメータ定義は、図9で説明されるものと同一である。唯一の違いは、APがホストに変更されていることである。
固定ネットワークに対して図9で説明されるパラメータ定義から明らかなように、ホストから送信され、かつスイッチ83によって受信されるアップリンクフレーム(ユニキャストあるいはブロードキャスト)は、アクセスルータ81向けのポート92を介してのみスイッチ83から出ることができる。これは、WLANアクセスネットワークに対する第2実施形態にかなり類似している。
アクセスルータ81から到来するフレームは、自動的に、ダウンリンクVLANに属するように分類されても良い(これは、ダウンリンクVLANがVLAN IDでタグが付加されているからである、あるいはPVIDパラメータを、ダウンリンクVLANに属するように、タグが付加されていないフレームを分類するからである)。フレームがブロードキャストフレームである場合、これは、すべてのポート(それが到来するもの以外のもの、即ち、アクセスルータ81向けのポート92)を介して送信されることになり、かつフレームがユニキャストフレームである場合、それを転送するためのポートあるいはポート群は、スイッチのMACアドレス学習データベースによって判定される。
ホストとスイッチ間では、すべてのフレームがタグが付加されて送信される。スイッチ83とアクセスルータ81間では、フレームはタグが付加されても良いし、付加されてなくもて良い。スイッチからアクセスルータへタグが付加されたフレームを送信することは有益である、これは、VLANタグを送信側ユーザの識別(あるいは、むしろ、フレームを送信することができる加入の識別)として使用することができるからである。例えば、暗号メッセージ証明のような、他の形態のソース識別が使用されない場合、これは、ホスト毎に1つのアップリンクVLANを使用することは有益である。ソースIPアドレスとソースMACアドレスは両方とも構成できるが、VLANタグはユーザによって構成することはできない、これは、ユーザの制御を及ばないところで、スイッチによって設定されるからである。
上述のホストVLANは、オプションとして、ダウンリンクユニキャストトラフィックに対して使用することもできる。これは、アクセスルータが、各接続されているホストに専用されるVLANを追跡することを必要とする(また、これは、スイッチからアクセスルータへ送信されるフレームにタグが付加されている場合には容易になされる)。固定アクセスネットワークに対する図9のパラメータ定義は、この状況をサポートしていない。このオプションのVLAN構成を達成するためにスイッチで必要とされるパラメータ定義は(即ち、ユニキャストダウンリンクトラフィックとすべてのアップリンクトラフィックを搬送するホストVLANを有する)は、VLAN1に対するメンバーセットが第1ポート92及び第2ポート96の両方とし、かつVLAN2に対するメンバーセットが第1ポート92及び第3ポート97としなければならない場合とで異なる。これらのパラメータ定義を用いると、ユニキャストダウンリンクトラフィックは、アップリンクVLAN、即ち、VLAN1及びVLAN2上でも送信することができる。
アクセスルータが、専用VLANを介してユニキャストフレームをホストへ送信する場合、フレームは、正しいVLAN IDでタグが付加されなければならない。この状況では、共通ダウンリンクVLANが、ブロードキャスト(かつ、たいていはマルチキャスト)フレームに対してのみ使用される。アクセスルータ向けのポートのPVIDパラメータが、共通ダウンリンクVLANのVLAN IDに設定される場合、共通ダウンリンクVLANを介してアクセスルータから送信されるブロードキャストフレームは、タグを付加することができる、あるいはタグを付加することができない。つまり、このオプションの構成を用いると、アクセスルータからホストへ送信されるユニキャストフレームはタグが付加されなければならい、一方、ブロードキャストフレームは、タグが付加されても付加されてなくても良い。
ダウンリンクユニキャストトラフィックに対してホストVLANを使用することの利点は、この構成を用いると、ユニキャストフレームが、宛先となるホストだけに到達するように制限されることである。ユニキャストフレームが共通ダウンリンクVLANを介して送信される場合、これは、時には(まれではあるが)、すべてのスイッチポート(アクセスルータ向けのポート以外)から流出し、結果として、スイッチに接続されるすべてのホストに到達することになる。これは、宛先MACアドレスがMACアドレス学習データベースで検出されない場合に発生し、これは、典型的には、自身のエントリに対して5分間のタイムアウトを持っている。しかしながら、クライアントサーバ環境において、典型的にはクライアントであるホストを用いると、これが発生するのはかなりまれである、これは、ホストから送信されるフレームがホストから送信されるフレームへの応答であることに気づくからである。その結果、MACアドレス学習データベースは、関係するホストのMACアドレスでの新たなエントリを持つことになる。
ダウンリンクユニキャストトラフィックに対するホストVLANを使用することの欠点は、アクセスルータでの転送がより複雑になることである。IPパケットをアクセスネットワークに転送するのに十分な長さがないどころか、アクセスルータはIPパケットを送信するために介する正しいホストVLANを参照し、かつその正しいVLANタグをIPパケットをカプセル化するフレームに組み込まなければならない。
この場合も、ソリューションの原理は、ツリー構造のマルチプルスイッチを備えるアクセスルータに容易に拡張することができる。このソリューションを示す図は、図7にかなり類似しており、これは、第2実施形態に対するマルチスイッチWLANアクセスネットワークを示している。この図が、ホスト毎に1つのアップリンクVLAN(アップリンクトラフィックだけを搬送する)を備える固定アクセスネットワークを示すために、APはホストに変更しなければならず、かつVLANパラメータは上述のように定義されなければならない、これは、第2実施形態に対するマルチスイッチWLANアクセスネットワークとともに図7が示される場合である。この図が、アップリンクVLANがダウンリンクユニキャストトラフィックにも使用されるホスト毎に1つのアップリンクVLANを備える固定アクセスネットワークを示すために、VLANパラメータは、次のように更に変更されるべきである。第1スイッチ35のメンバーセットは:VLAN1:第1ポート31及び第2ポート32、VLAN2:第1ポート31及び第2ポート32、VLAN3:第1ポート31及び第3ポート33、VLAN4:第1ポート31及び第3ポート33、及びVLAN5:第2ポート32及び第3ポート33である。第2スイッチ36のメンバーセットは:VLAN1:第1ポート38及び第2ポート39、VLAN2:第1ポート38及び第3ポート40、及びVLAN5:第2ポート39及び第3ポート40である。第3スイッチ37のメンバーセットは:VLAN3:第1ポート41及び第2ポート42、VLAN4:第1ポート41及び第3ポート43、及びVLAN5:第2ポート42及び第3ポート43である。タグが付加されていないセットは、第2実施形態に対するマルチスイッチWLANアクセスネットワークとともに図7で説明され、かつタグが付加されたフレームが第1スイッチ35からアクセスルータ11’’に送信される場合と同一であるべきである。
制御されたホスト間通信の実現
第1実施形態と同様に、アクセスルータは、変更されたARPプロキシエージェントとして動作することによって、かつイントラサブネットルーティングを実行することによって、制御されたイントラアクセスネットワークのホスト間通信を可能にする。
第1実施形態と同様に、アクセスルータは、変更されたARPプロキシエージェントとして動作することによって、かつイントラサブネットルーティングを実行することによって、制御されたイントラアクセスネットワークのホスト間通信を可能にする。
ARPプロキシエージェントとして、アクセスルータは、自身のサブネット(即ち、アクセスネットワークのサブネット)上のホストに関するARPリクエストのすべてに応答する。ARPリプライでは、アクセスルータは、ターゲットホストのMACアドレスの代りに、自身が所有するMACアドレスを「送信側ハードウェアアドレス」フィールドに組み込む。
第1実施形態と同様に、アクセスルータは、取り得る動作を行うための2つの事項を把握していなければならない:ターゲットホストがサブネット上に実際に存在していることを把握していなければならない、また、次のIPパケットをターゲットホストへ転送できるようにするために、ターゲットホストのMACアドレスを把握していなければならない(あるいは、少なくとも検出できるようにしなければならない)。専用ホストVLANがダウンリンクユニキャストトラフィック(即ち、オプションとしての、固定アクセスネットワークだけに)に対しても使用される場合では、アクセスルータは、どのホストVLANが関係するホストに属しているかも把握していなければならない。
あるホストがサブネット上に存在しているかどうかを把握する方法と、アドレスマッピング情報を検索するために使用する方法は、第1実施形態と同一である。
アクセスルータがホストの専用VLANを把握することを必要としている場合、これは、例えば、ユーザ証明処理中にホストがサブネット上に存在していることをアクセスルータが検出する場合には、あるいは関係するホストが、アクセスルータからのARPリクエストの応答としてARPリプライを送信する場合には、記録されることが好ましい。この処理では、アクセスルータは、関係するホストから受信されるフレームのVLANタグを抽出し、かつこのVLANタグは、ホストに対して専用されるVLANのアイデンティティを表現する。次に、このVLAN情報は、ユニキャストフレームが関係するホストへの送信対象である場合に使用されるアクセスルータに記憶される、これは、ソースとするアクセスルータについてのデータを含むフレーム、あるいはアクセスルータによって転送されるIPパケットを含むフレームのどちらかである。
第2の実施形態のいくつかの効果:
−アクセスネットワークは単一のIPサブネットとすることができる、これは、イントラサブネットルーティングの使用によるものである。これは、IPアドレスを節約し、かつIPアドレスとサブネットマスクの構成を簡単にする。
−アクセスネットワークは単一のIPサブネットとすることができる、これは、イントラサブネットルーティングの使用によるものである。これは、IPアドレスを節約し、かつIPアドレスとサブネットマスクの構成を簡単にする。
−アクセスルータにおける、ブロードキャスト複製についての問題が解消される、これは、アクセスルータからの単一のブロードキャストメッセージが、共通ダウンリンクVLANを介してアクセスネットワークに接続されているホストのすべてに到達するからである。
−アクセスルータをVLAN unawareとすることができる(但し、ダウンリンクユニキャストトラフィックが、固定アクセスネットワーク内の専用ホストVLANを介して送信される場合はない)。
−ホスト間イントラアクセスネットワーク通信が、規格RFC925のプロキシARPよりもオーバヘッドが少ない(ほとんどの場合)効果的な方法で解決される、これは、規格RFC925のプロキシARPの場合と比較して、繰り返される/中継されるARPリクエストを回避することができるからである。
−アクセスルータは、自身のアクセスネットワーク(どのホストが現在接続されているかを追跡しない固定アクセスネットワーク以外)に接続されているホストのMACアドレスを検出するために、ARPリクエストを送信する必要はない。これは、帯域幅を節約し、また、いくつかのパケットの遅延を低減する。
−このソリューションは、固定アクセスネットワークとWLANアクセスネットワークの両方で利用可能である。(但し、このソリューションの原理は、2つの場合において多少の違いがある。固定アクセスネットワークでは、各ホストに対して専用アップリンクVLANが使用される、一方、WLANアクセスネットワークでは、各APに対して専用アップリンクVLANが存在する。)
−WLANアクセスネットワーク内のAPで専用されるアップリンクVLANは、(アクセスルータがVLAN awareである場合に提供される)送信側ホストについての明確な位置情報を(VLANタグを介して)アクセスルータに提供する。
−WLANアクセスネットワーク内のAPで専用されるアップリンクVLANは、(アクセスルータがVLAN awareである場合に提供される)送信側ホストについての明確な位置情報を(VLANタグを介して)アクセスルータに提供する。
−固定アクセスネットワーク内のVLAN awareであるアクセスルータは、フレームを送信することができる加入者の識別として、受信フレームのVLANタグを使用することができる。
−専用ホストVLANが、固定アクセスネットワーク内のダウンリンクユニキャストトラフィックに対しても使用される場合、これは、ダウンリンクユニキャストフレームが自身が意図する宛先ホストのみに到達することを補償する。そうでない場合、共通ダウンリンクVLANがユニキャストフレームに対して使用される場合、アクセスネットワーク内のスイッチ(群)のMACアドレス学習データベース(群)は、どのホスト(群)がフレームへ転送されるかを判定する。この場合、ユニキャストフレームが、アクセスネットワークに接続されている多数のホスト(すべてに等しい)に流出することが発生する可能性がある。
本発明は、1つだけのアクセスルータを備える、典型的なアクセスネットワークの内容で説明されている。しかしながら、アクセスネットワークは、例えば、負荷共有あるいは冗長性目的のために、1つ以上のアクセスネットワークを持っていても良い。本発明は、複数のアクセスルータを備えるアクセスネットワークに同様に適用することができる。
複数のアクセスルータを備えるアクセスネットワークでは、上述のVLAN構成は、同一のVLANにアクセスルータが常に含まれるように拡張される。つまり、アクセスルータに接続されている1つのスイッチポートがスイッチ内のあるVLANのメンバーセットに含まれる場合、同一のスイッチ内で、アクセスルータに接続されている、それ以外のすべてのスイッチポートも、同一のVLANのメンバーセットに含まれる。同一のPVIDは、アクセスルータに接続されているスイッチポートのすべてに対しても定義されるべきである。しかしながら、スイッチとアクセスルータ間で、タグが付加されている、あるいは付加されていないフレームの使用は、スイッチと他のアクセスルータ間の通信が、タグが付加されているあるいは付加されていないフレームを使用するかどうかとは無関係である。
上述のVLAN構成の結果、スイッチ(群)のMACアドレス学習データベース(群)によって検索されない限り、すべてのアップリンクトラフィックは、すべてのアクセスルータに到達することになる。アクセスルータは、(アクセスルータのオペレータによって構成される)自身間で、どれがトラフィクのある部分を取り扱うことができるかを判定する。これは、例えば、負荷均衡原理、あるいは関係するパケットのソースあるいは宛先アドレスに基づくことができる。
また、例えば、操作及びメンテナンス目的のために、本発明で説明されるVLANとは別に、アクセスルータ内で構成される、より多くのVLANが存在しても良い。これは、本発明の適用に影響を与えない。
与えられる例では、「アクセスネットワークに接続されているホスト」という表現は、アクセスネットワークに接続されるホストのすべてを必要とすると解釈されるべきではない。もちろん、アクセスネットワークに接続されているホストのいくつかは、専用VLAN構造の一部としないとすることも可能である。
また、各ホストが、自身が所有するアップリンクVLANを持っている第2実施形態では、ホストのグループを定義し、かつホストの各グループに対して1つのアップリンクVLANを定義することも可能である。
Claims (25)
- アクセスネットワークにおいて、前記アクセスネットワークに接続されるホスト(5、A、B)間の直接通信を防止する方法であって、前記アクセスネットワークは、アクセスルータ(1、11、11’、11’’、83)、及び1つ以上のスイッチ(3、12、12’、35、36、37、38)を備え、前記ホストは、前記スイッチを介して前記アクセスルータと通信接続しており、前記方法は、
−前記ホストから前記スイッチに到来するトラフィックが前記アクセスルータに渡されるように、前記スイッチ内で、仮想ローカルエリアネットワークであるVLANを定義するステップと、
−前記スイッチ内で、非対称で、かつ前記アクセスルータから前記ホストへのダウンリンクトラフィックを搬送するダウンリンクVLANを定義するステップであって、前記ダウンリンクVLANは、前記アクセスネットワークに接続される前記ホストに共通している、ステップとを備え、
更に、
−前記アクセスネットワークに接続される前記ホストが、同一のIPサブネットに属するように、前記VLANを構成するステップと、
−アドレス解決プロトコルプロキシとなり、かつイントラサブネットルーティングを実行するように、前記アクセスルータを構成するステップと
を備えることを特徴とする方法。 - 前記ホストは、前記アクセスネットワークに接続されるすべてのホストを備えている
ことを特徴とする請求項1に記載の方法。 - 前記スイッチ(3、12、12’、35、36、37)内で、非対称で、かつ前記ホスト(5、A、B)から前記アクセスルータ(1、11、11’、11’’)へのアップリンクトラフィックを搬送するアップリンクVLANを定義し、前記アップリンクVLANは、前記アクセスネットワークに接続される前記ホストに共通している
ことを特徴とする請求項1または2に記載の方法。 - 固定アクセスネットワーク内の前記スイッチ(83)において、前記ホストそれぞれに対して、あるいは前記ホストの1つ以上のグループそれぞれに対して、アップリンクVLANを定義し、前記アップリンクVLANは、前記ホストから前記アクセスルータ(81)へのアップリンクトラフィック対してのみ使用される
ことを特徴とする請求項1または2に記載の方法。 - 固定アクセスネットワーク内の前記スイッチ(83)において、前記ホストそれぞれに対して、あるいは前記ホストの1つ以上のグループそれぞれに対して、アップリンクVLANを定義し、前記アップリンクVLANは、前記ホストから前記アクセスルータ(81)へのアップリンクトラフィック対して使用され、かつ更に、前記アクセスルータから前記ホストへのダウンリンクユニキャストトラフィックを転送するように前記アップリンクVLANを定義する
ことを特徴とする請求項1または2に記載の方法。 - WLANアクセスネットワーク内の前記スイッチ(83)において、アクセスポイントであるAP(85、86)それぞれに対して、あるいはAPの1つ以上のグループそれぞれに対して、アップリンクVLANを定義し、前記アップリンクVLANは、前記APと、該APに接続されるホストから前記アクセスルータ(81)へのアップリンクトラフィックに対して使用される
ことを特徴とする請求項1または2に記載の方法。 - 前記APを組み込むように、前記ダウンリンクVLANと前記アップリンクVLANを拡張することによって、あるいは前記APの固有の構成機能を利用することによって、同一のAP(14)に接続されるホスト(A、B)間の前記APを介する直接通信を防止するために、アクセスポイントであるAP(14)をWLANに構成する
ことを特徴とする請求項3または6に記載の方法。 - 前記スイッチ(83)において、前記ホスト(A、B)から前記アクセスルータ(81)へ送信されるフレームに、VLANタグを提供し、かつVLAN awareとなる前記アクセスルータ(81)を構成する
ことを特徴とする請求項4乃至7のいずれか1項に記載の方法。 - 共有VLANとなる前記VLANを構成する
ことを特徴とする請求項1乃至8のいずれか1項に記載の方法。 - ユーザ証明処理中に、前記ホスト(5、A、B)に対するアドレスマッピング情報を、前記アクセスルータ(1、11、11’、11’’、81)によって検索する
ことを特徴とする請求項1乃至9のいずれか1項に記載の方法。 - IP割当処理中に、前記ホスト(5、A、B)に対するアドレスマッピング情報を、前記アクセスルータ(1、11、11’、11’’、81)によって検索する
ことを特徴とする請求項1乃至10のいずれか1項に記載の方法。 - 前記アクセスネットワーク内に1つ以上のアクセスルータを提供し、前記VLANは、前記アクセスルータが同一VLANに属するように構成される
ことを特徴とする請求項1乃至11のいずれか1項に記載の方法。 - アクセスネットワークにおける装置(arrangement)であって、前記装置は、アクセスルータ(1、11、11’、11’’、81)、前記アクセスルータに接続される1つ以上のスイッチ(3、12、12’、35、36、37、83)、及び、前記スイッチを介して前記アクセスルータと通信接続している1つ以上のホスト(5、A、B)を備え、前記装置は、前記ホスト間の直接通信を防止するように適合され、前記スイッチは、前記ホストから前記スイッチに到来するトラフィックが前記アクセスルータに渡されるように、仮想ローカルエリアネットワークであるVLANを定義するように構成され、前記スイッチは、非対称で、かつ前記アクセスルータから前記ホストへのダウンリンクトラフィックを搬送するダウンリンクVLANを定義するように構成され、前記ダウンリンクVLANは、前記アクセスネットワークに接続される前記ホストに共通していて、前記VLANは、前記ホストが、同一のIPサブネットに属するように構成され、かつ前記アクセスルータは、アドレス解決プロトコルプロキシとなり、かつイントラサブネットルーティングを実行するように構成されている
ことを特徴とする装置。 - 前記ホストは、前記アクセスネットワークに接続されるすべてのホストを備えている
ことを特徴とする請求項13に記載の装置。 - 前記スイッチ(3、12、12’、35、36、37)は、非対称で、かつ前記ホスト(5、A、B)から前記アクセスルータ(1、11、11’、11’’)へのアップリンクトラフィックを搬送するアップリンクVLANを定義するように構成され、前記アップリンクVLANは、前記ホストに共通している
ことを特徴とする請求項13または14に記載の装置。 - 固定アクセスネットワーク内において、前記スイッチ(83)は、前記ホストそれぞれに対して、あるいは前記ホストの1つ以上のグループそれぞれに対して、アップリンクVLANを定義するように構成され、前記アップリンクVLANは、非対称で、かつ前記ホスト(5、A、B)から前記アクセスルータ(81)へのアップリンクトラフィック対して使用される
ことを特徴とする請求項13または14に記載の装置。 - 固定アクセスネットワーク内において、前記スイッチ(83)は、前記ホストそれぞれに対して、あるいは前記ホストの1つ以上のグループそれぞれに対して、アップリンクVLANを定義するように構成され、前記アップリンクVLANは、前記ホストから前記アクセスルータ(81)へのアップリンクトラフィック対して、かつ前記アクセスルータから前記ホストへのダウンリンクユニキャストトラフィックに対して使用される
ことを特徴とする請求項13または14に記載の装置。 - WLANアクセスネットワーク内において、前記スイッチ(83)は、アクセスポイントであるAP(85、86)それぞれに対して、あるいはAPの1つ以上のグループそれぞれに対して、アップリンクVLANを定義するように構成され、前記アップリンクVLANは、前記APから前記アクセスルータ(81)へのアップリンクトラフィックに対して使用される
ことを特徴とする請求項13または14に記載の装置。 - 前記アクセスルータ(81)は、VLAN awareとなるように構成され、かつ前記スイッチ(83)は、前記ホスト(A、B)から前記アクセスルータ(81)に送信されるフレームに、VLANタグを提供するように適合されている
ことを特徴とする請求項16乃至18のいずれか1項に記載の装置。 - 前記スイッチ(3、12、12’、35、36、37、83)は、共有VLANとして前記VLANを構成するように適合されている
ことを特徴とする請求項13乃至19のいずれか1項に記載の装置。 - 前記アクセスルータ(1、11、11’、11’’、81)は、ユーザ証明処理中に、前記ホスト(5、A、B)に対するアドレスマッピング情報を検索するように適合されている
ことを特徴とする請求項13乃至20のいずれか1項に記載の装置。 - 前記アクセスルータ(1、11、11’、11’’、81)は、IP割当処理中に、前記ホスト(5、A、B)に対するアドレスマッピング情報を検索するように適合されている
ことを特徴とする請求項13乃至21のいずれか1項に記載の装置。 - システム内に、1つ以上のアクセスルータが提供され、前記VLANは、前記アクセスルータが同一VLANに属するように構成される
ことを特徴とする請求項13乃至22のいずれか1項に記載の装置。 - 請求項13乃至23のいずれか1項に記載の装置におけるアクセスルータ。
- 請求項13乃至23のいずれか1項に記載の装置におけるスイッチ。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US41581502P | 2002-10-04 | 2002-10-04 | |
| PCT/SE2003/001141 WO2004032426A1 (en) | 2002-10-04 | 2003-07-01 | Isolation of hosts connected to an access network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006501757A true JP2006501757A (ja) | 2006-01-12 |
| JP4444834B2 JP4444834B2 (ja) | 2010-03-31 |
Family
ID=32069907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004541366A Expired - Lifetime JP4444834B2 (ja) | 2002-10-04 | 2003-07-01 | アクセスネットワークに接続されるホストの分離 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20060062187A1 (ja) |
| EP (1) | EP1547319B1 (ja) |
| JP (1) | JP4444834B2 (ja) |
| AT (1) | ATE480925T1 (ja) |
| AU (1) | AU2003243112A1 (ja) |
| DE (1) | DE60334126D1 (ja) |
| WO (1) | WO2004032426A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017147640A (ja) * | 2016-02-18 | 2017-08-24 | 三菱電機株式会社 | 無線lanアクセスシステム、ルータ装置およびアクセス制御方法 |
Families Citing this family (146)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004180121A (ja) * | 2002-11-28 | 2004-06-24 | Nec Infrontia Corp | 無線lan端末及び無線lan基地局並びに無線通信方法及びローミング方法 |
| US7400621B2 (en) * | 2003-03-11 | 2008-07-15 | Conexant, Inc. | Technique for achieving connectivity between telecommunication stations |
| CN1286297C (zh) * | 2003-09-25 | 2006-11-22 | 华为技术有限公司 | 一种实现用户位置标识传递的方法 |
| US8526427B1 (en) * | 2003-10-21 | 2013-09-03 | Cisco Technology, Inc. | Port-based loadsharing for a satellite switch |
| JP4053967B2 (ja) * | 2003-11-20 | 2008-02-27 | 株式会社日立コミュニケーションテクノロジー | Vlanサーバ |
| US7330456B2 (en) * | 2003-12-19 | 2008-02-12 | Mediatek, Inc. | Method and apparatus for wireless relay within a network environment |
| US8990430B2 (en) | 2004-02-19 | 2015-03-24 | Cisco Technology, Inc. | Interface bundles in virtual network devices |
| WO2005096569A1 (ja) * | 2004-03-30 | 2005-10-13 | Matsushita Electric Industrial Co., Ltd. | 通信装置および通信システム |
| US7889733B2 (en) * | 2004-04-28 | 2011-02-15 | Cisco Technology, Inc. | Intelligent adjunct network device |
| US7808983B2 (en) | 2004-07-08 | 2010-10-05 | Cisco Technology, Inc. | Network device architecture for centralized packet processing |
| US8730976B2 (en) * | 2004-08-17 | 2014-05-20 | Cisco Technology, Inc. | System and method for preventing erroneous link aggregation due to component relocation |
| KR100678942B1 (ko) * | 2004-09-15 | 2007-02-07 | 삼성전자주식회사 | 무선 네트워크 장치 및 이를 이용한 통신 방법 |
| US8752129B1 (en) * | 2004-10-12 | 2014-06-10 | Alex I. Alten | Systems and methods for a self-defending wireless computer network |
| US7808992B2 (en) * | 2004-12-30 | 2010-10-05 | Cisco Technology, Inc. | Platform independent implementation of private VLANS |
| US7715409B2 (en) * | 2005-03-25 | 2010-05-11 | Cisco Technology, Inc. | Method and system for data link layer address classification |
| US7436783B2 (en) * | 2005-04-04 | 2008-10-14 | Apple Inc. | Method and apparatus for detecting a router that improperly responds to ARP requests |
| US7673068B2 (en) * | 2005-04-18 | 2010-03-02 | Alcatel Lucent | Method and system for implementing a high availability VLAN |
| JP4685520B2 (ja) * | 2005-06-24 | 2011-05-18 | オリンパス株式会社 | Ipアドレス取得方法 |
| WO2007064253A1 (en) * | 2005-11-29 | 2007-06-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method ahd arrangement in an access system |
| JP4834410B2 (ja) * | 2006-01-26 | 2011-12-14 | 株式会社日立製作所 | フレーム転送装置 |
| US8189600B2 (en) * | 2006-04-10 | 2012-05-29 | Cisco Technology, Inc. | Method for IP routing when using dynamic VLANs with web based authentication |
| US8818322B2 (en) | 2006-06-09 | 2014-08-26 | Trapeze Networks, Inc. | Untethered access point mesh system and method |
| US9258702B2 (en) * | 2006-06-09 | 2016-02-09 | Trapeze Networks, Inc. | AP-local dynamic switching |
| US8331266B2 (en) * | 2006-06-14 | 2012-12-11 | Nokia Siemens Networks Oy | LAN topology detection and assignment of addresses |
| KR100754649B1 (ko) * | 2006-07-24 | 2007-09-05 | 삼성전자주식회사 | 브리지 기반 무선 기지국 기간망 시스템 및 그 신호 처리방법 |
| CN100433692C (zh) * | 2006-07-24 | 2008-11-12 | 杭州华三通信技术有限公司 | 分层虚拟局域网注册协议的负载分担方法及其应用的节点 |
| US7660303B2 (en) | 2006-08-22 | 2010-02-09 | Corrigent Systems Ltd. | Point-to-multipoint functionality in a bridged network |
| WO2008032885A1 (en) * | 2006-09-13 | 2008-03-20 | Kt Corporation | Network intermediate apparatus and method for ubiquitous network and ubiquitous network system using the intermediary apparatus |
| US20080225807A1 (en) * | 2007-03-16 | 2008-09-18 | Nokia Corporation | Transmitter, receiver and system as well as related methods and computer programs for identifying at least one network capability |
| JP4941117B2 (ja) * | 2007-06-13 | 2012-05-30 | 日本電気株式会社 | サーバ装置、ネットワークシステム及びそれらに用いるネットワーク接続方法 |
| US20090010187A1 (en) * | 2007-07-06 | 2009-01-08 | Somesh Agarwal | System and Method for an Adaptive Access Point Mode |
| US8706908B2 (en) * | 2009-02-20 | 2014-04-22 | Centurylink Intellectual Property Llc | System, method and apparatus for media access control (MAC) address proxying |
| US8665886B2 (en) * | 2009-03-26 | 2014-03-04 | Brocade Communications Systems, Inc. | Redundant host connection in a routed network |
| US9106540B2 (en) * | 2009-03-30 | 2015-08-11 | Amazon Technologies, Inc. | Providing logical networking functionality for managed computer networks |
| US8064458B2 (en) * | 2009-06-23 | 2011-11-22 | Nortel Networks Limited | Method and apparatus for simulating IP multinetting |
| US8341725B2 (en) * | 2009-07-30 | 2012-12-25 | Calix, Inc. | Secure DHCP processing for layer two access networks |
| US8369335B2 (en) | 2010-03-24 | 2013-02-05 | Brocade Communications Systems, Inc. | Method and system for extending routing domain to non-routing end stations |
| US9461840B2 (en) * | 2010-06-02 | 2016-10-04 | Brocade Communications Systems, Inc. | Port profile management for virtual cluster switching |
| US9769016B2 (en) | 2010-06-07 | 2017-09-19 | Brocade Communications Systems, Inc. | Advanced link tracking for virtual cluster switching |
| US9231890B2 (en) | 2010-06-08 | 2016-01-05 | Brocade Communications Systems, Inc. | Traffic management for virtual cluster switching |
| US8867552B2 (en) | 2010-05-03 | 2014-10-21 | Brocade Communications Systems, Inc. | Virtual cluster switching |
| US9001824B2 (en) | 2010-05-18 | 2015-04-07 | Brocade Communication Systems, Inc. | Fabric formation for virtual cluster switching |
| US8989186B2 (en) | 2010-06-08 | 2015-03-24 | Brocade Communication Systems, Inc. | Virtual port grouping for virtual cluster switching |
| US8625616B2 (en) | 2010-05-11 | 2014-01-07 | Brocade Communications Systems, Inc. | Converged network extension |
| US9716672B2 (en) | 2010-05-28 | 2017-07-25 | Brocade Communications Systems, Inc. | Distributed configuration management for virtual cluster switching |
| US9270486B2 (en) | 2010-06-07 | 2016-02-23 | Brocade Communications Systems, Inc. | Name services for virtual cluster switching |
| US8634308B2 (en) | 2010-06-02 | 2014-01-21 | Brocade Communications Systems, Inc. | Path detection in trill networks |
| US8885488B2 (en) | 2010-06-02 | 2014-11-11 | Brocade Communication Systems, Inc. | Reachability detection in trill networks |
| US8446914B2 (en) | 2010-06-08 | 2013-05-21 | Brocade Communications Systems, Inc. | Method and system for link aggregation across multiple switches |
| US9628293B2 (en) | 2010-06-08 | 2017-04-18 | Brocade Communications Systems, Inc. | Network layer multicasting in trill networks |
| US9806906B2 (en) | 2010-06-08 | 2017-10-31 | Brocade Communications Systems, Inc. | Flooding packets on a per-virtual-network basis |
| US9608833B2 (en) | 2010-06-08 | 2017-03-28 | Brocade Communications Systems, Inc. | Supporting multiple multicast trees in trill networks |
| US9246703B2 (en) | 2010-06-08 | 2016-01-26 | Brocade Communications Systems, Inc. | Remote port mirroring |
| US9807031B2 (en) | 2010-07-16 | 2017-10-31 | Brocade Communications Systems, Inc. | System and method for network configuration |
| US8638767B2 (en) * | 2011-02-14 | 2014-01-28 | Qualcomm Incorporated | Multi-communication mode packet routing mechanism for wireless communications systems |
| US9270572B2 (en) | 2011-05-02 | 2016-02-23 | Brocade Communications Systems Inc. | Layer-3 support in TRILL networks |
| US9736065B2 (en) | 2011-06-24 | 2017-08-15 | Cisco Technology, Inc. | Level of hierarchy in MST for traffic localization and load balancing |
| US9407533B2 (en) | 2011-06-28 | 2016-08-02 | Brocade Communications Systems, Inc. | Multicast in a trill network |
| US9401861B2 (en) | 2011-06-28 | 2016-07-26 | Brocade Communications Systems, Inc. | Scalable MAC address distribution in an Ethernet fabric switch |
| US8948056B2 (en) | 2011-06-28 | 2015-02-03 | Brocade Communication Systems, Inc. | Spanning-tree based loop detection for an ethernet fabric switch |
| US8879549B2 (en) | 2011-06-28 | 2014-11-04 | Brocade Communications Systems, Inc. | Clearing forwarding entries dynamically and ensuring consistency of tables across ethernet fabric switch |
| US9007958B2 (en) | 2011-06-29 | 2015-04-14 | Brocade Communication Systems, Inc. | External loop detection for an ethernet fabric switch |
| US8885641B2 (en) | 2011-06-30 | 2014-11-11 | Brocade Communication Systems, Inc. | Efficient trill forwarding |
| CN106850444B (zh) | 2011-08-17 | 2020-10-27 | Nicira股份有限公司 | 逻辑l3路由 |
| US9736085B2 (en) | 2011-08-29 | 2017-08-15 | Brocade Communications Systems, Inc. | End-to end lossless Ethernet in Ethernet fabric |
| US9699117B2 (en) | 2011-11-08 | 2017-07-04 | Brocade Communications Systems, Inc. | Integrated fibre channel support in an ethernet fabric switch |
| US9450870B2 (en) | 2011-11-10 | 2016-09-20 | Brocade Communications Systems, Inc. | System and method for flow management in software-defined networks |
| US8908698B2 (en) * | 2012-01-13 | 2014-12-09 | Cisco Technology, Inc. | System and method for managing site-to-site VPNs of a cloud managed network |
| US9066287B2 (en) | 2012-01-24 | 2015-06-23 | Qualcomm Incorporated | Systems and methods of relay selection and setup |
| US8995272B2 (en) | 2012-01-26 | 2015-03-31 | Brocade Communication Systems, Inc. | Link aggregation in software-defined networks |
| US9742693B2 (en) | 2012-02-27 | 2017-08-22 | Brocade Communications Systems, Inc. | Dynamic service insertion in a fabric switch |
| US8892696B1 (en) * | 2012-03-08 | 2014-11-18 | Juniper Networks, Inc. | Methods and apparatus for automatic configuration of virtual local area network on a switch device |
| US9154416B2 (en) | 2012-03-22 | 2015-10-06 | Brocade Communications Systems, Inc. | Overlay tunnel in a fabric switch |
| US9374301B2 (en) | 2012-05-18 | 2016-06-21 | Brocade Communications Systems, Inc. | Network feedback in software-defined networks |
| US10277464B2 (en) | 2012-05-22 | 2019-04-30 | Arris Enterprises Llc | Client auto-configuration in a multi-switch link aggregation |
| EP2853066B1 (en) | 2012-05-23 | 2017-02-22 | Brocade Communications Systems, Inc. | Layer-3 overlay gateways |
| US9794796B2 (en) | 2012-06-13 | 2017-10-17 | Qualcomm, Incorporation | Systems and methods for simplified store and forward relays |
| US9602430B2 (en) | 2012-08-21 | 2017-03-21 | Brocade Communications Systems, Inc. | Global VLANs for fabric switches |
| WO2014035819A1 (en) * | 2012-08-30 | 2014-03-06 | Qualcomm Incorporated | Layer 2 address management in 3 address only capable access points in networks with relays |
| US9510271B2 (en) | 2012-08-30 | 2016-11-29 | Qualcomm Incorporated | Systems, apparatus, and methods for address format detection |
| US9155101B2 (en) | 2012-08-30 | 2015-10-06 | Qualcomm Incorporated | Systems and methods for dynamic association ordering based on service differentiation in wireless local area networks |
| US9042272B2 (en) * | 2012-09-04 | 2015-05-26 | Cisco Technology, Inc. | Distributed proxy addressing operations |
| US9401872B2 (en) | 2012-11-16 | 2016-07-26 | Brocade Communications Systems, Inc. | Virtual link aggregations across multiple fabric switches |
| US9350680B2 (en) | 2013-01-11 | 2016-05-24 | Brocade Communications Systems, Inc. | Protection switching over a virtual link aggregation |
| US9548926B2 (en) | 2013-01-11 | 2017-01-17 | Brocade Communications Systems, Inc. | Multicast traffic load balancing over virtual link aggregation |
| US9413691B2 (en) | 2013-01-11 | 2016-08-09 | Brocade Communications Systems, Inc. | MAC address synchronization in a fabric switch |
| US9565113B2 (en) | 2013-01-15 | 2017-02-07 | Brocade Communications Systems, Inc. | Adaptive link aggregation and virtual link aggregation |
| US9565099B2 (en) | 2013-03-01 | 2017-02-07 | Brocade Communications Systems, Inc. | Spanning tree in fabric switches |
| US9401818B2 (en) | 2013-03-15 | 2016-07-26 | Brocade Communications Systems, Inc. | Scalable gateways for a fabric switch |
| US9191271B2 (en) * | 2013-04-29 | 2015-11-17 | Telefonaktiebolaget L M Ericsson (Publ) | Fast traffic recovery in VRRP based routers |
| US9699001B2 (en) | 2013-06-10 | 2017-07-04 | Brocade Communications Systems, Inc. | Scalable and segregated network virtualization |
| US9565028B2 (en) | 2013-06-10 | 2017-02-07 | Brocade Communications Systems, Inc. | Ingress switch multicast distribution in a fabric switch |
| US9806949B2 (en) | 2013-09-06 | 2017-10-31 | Brocade Communications Systems, Inc. | Transparent interconnection of Ethernet fabric switches |
| US9912612B2 (en) | 2013-10-28 | 2018-03-06 | Brocade Communications Systems LLC | Extended ethernet fabric switches |
| US9559865B2 (en) * | 2013-11-08 | 2017-01-31 | Verizon Patent And Licensing Inc. | Virtual network device in a cloud computing environment |
| US9548873B2 (en) | 2014-02-10 | 2017-01-17 | Brocade Communications Systems, Inc. | Virtual extensible LAN tunnel keepalives |
| US10581758B2 (en) | 2014-03-19 | 2020-03-03 | Avago Technologies International Sales Pte. Limited | Distributed hot standby links for vLAG |
| US10476698B2 (en) | 2014-03-20 | 2019-11-12 | Avago Technologies International Sales Pte. Limited | Redundent virtual link aggregation group |
| US10063473B2 (en) | 2014-04-30 | 2018-08-28 | Brocade Communications Systems LLC | Method and system for facilitating switch virtualization in a network of interconnected switches |
| US9800471B2 (en) | 2014-05-13 | 2017-10-24 | Brocade Communications Systems, Inc. | Network extension groups of global VLANs in a fabric switch |
| US10122605B2 (en) | 2014-07-09 | 2018-11-06 | Cisco Technology, Inc | Annotation of network activity through different phases of execution |
| US10616108B2 (en) | 2014-07-29 | 2020-04-07 | Avago Technologies International Sales Pte. Limited | Scalable MAC address virtualization |
| US9544219B2 (en) | 2014-07-31 | 2017-01-10 | Brocade Communications Systems, Inc. | Global VLAN services |
| US9807007B2 (en) | 2014-08-11 | 2017-10-31 | Brocade Communications Systems, Inc. | Progressive MAC address learning |
| US9524173B2 (en) | 2014-10-09 | 2016-12-20 | Brocade Communications Systems, Inc. | Fast reboot for a switch |
| US9699029B2 (en) | 2014-10-10 | 2017-07-04 | Brocade Communications Systems, Inc. | Distributed configuration management in a switch group |
| US9628407B2 (en) | 2014-12-31 | 2017-04-18 | Brocade Communications Systems, Inc. | Multiple software versions in a switch group |
| US9626255B2 (en) | 2014-12-31 | 2017-04-18 | Brocade Communications Systems, Inc. | Online restoration of a switch snapshot |
| US10003552B2 (en) | 2015-01-05 | 2018-06-19 | Brocade Communications Systems, Llc. | Distributed bidirectional forwarding detection protocol (D-BFD) for cluster of interconnected switches |
| US9942097B2 (en) | 2015-01-05 | 2018-04-10 | Brocade Communications Systems LLC | Power management in a network of interconnected switches |
| US10038592B2 (en) | 2015-03-17 | 2018-07-31 | Brocade Communications Systems LLC | Identifier assignment to a new switch in a switch group |
| US9807005B2 (en) | 2015-03-17 | 2017-10-31 | Brocade Communications Systems, Inc. | Multi-fabric manager |
| US10579406B2 (en) | 2015-04-08 | 2020-03-03 | Avago Technologies International Sales Pte. Limited | Dynamic orchestration of overlay tunnels |
| US10476982B2 (en) | 2015-05-15 | 2019-11-12 | Cisco Technology, Inc. | Multi-datacenter message queue |
| US10439929B2 (en) | 2015-07-31 | 2019-10-08 | Avago Technologies International Sales Pte. Limited | Graceful recovery of a multicast-enabled switch |
| US10171303B2 (en) | 2015-09-16 | 2019-01-01 | Avago Technologies International Sales Pte. Limited | IP-based interconnection of switches with a logical chassis |
| US10205677B2 (en) | 2015-11-24 | 2019-02-12 | Cisco Technology, Inc. | Cloud resource placement optimization and migration execution in federated clouds |
| US10084703B2 (en) | 2015-12-04 | 2018-09-25 | Cisco Technology, Inc. | Infrastructure-exclusive service forwarding |
| US9912614B2 (en) | 2015-12-07 | 2018-03-06 | Brocade Communications Systems LLC | Interconnection of switches based on hierarchical overlay tunneling |
| US10367914B2 (en) | 2016-01-12 | 2019-07-30 | Cisco Technology, Inc. | Attaching service level agreements to application containers and enabling service assurance |
| US10148618B2 (en) | 2016-06-07 | 2018-12-04 | Abb Schweiz Ag | Network isolation |
| US10432532B2 (en) | 2016-07-12 | 2019-10-01 | Cisco Technology, Inc. | Dynamically pinning micro-service to uplink port |
| US10382597B2 (en) | 2016-07-20 | 2019-08-13 | Cisco Technology, Inc. | System and method for transport-layer level identification and isolation of container traffic |
| US10567344B2 (en) | 2016-08-23 | 2020-02-18 | Cisco Technology, Inc. | Automatic firewall configuration based on aggregated cloud managed information |
| US10237090B2 (en) | 2016-10-28 | 2019-03-19 | Avago Technologies International Sales Pte. Limited | Rule-based network identifier mapping |
| US10320683B2 (en) | 2017-01-30 | 2019-06-11 | Cisco Technology, Inc. | Reliable load-balancer using segment routing and real-time application monitoring |
| US10671571B2 (en) | 2017-01-31 | 2020-06-02 | Cisco Technology, Inc. | Fast network performance in containerized environments for network function virtualization |
| US11005731B2 (en) | 2017-04-05 | 2021-05-11 | Cisco Technology, Inc. | Estimating model parameters for automatic deployment of scalable micro services |
| US10382274B2 (en) | 2017-06-26 | 2019-08-13 | Cisco Technology, Inc. | System and method for wide area zero-configuration network auto configuration |
| US10439877B2 (en) | 2017-06-26 | 2019-10-08 | Cisco Technology, Inc. | Systems and methods for enabling wide area multicast domain name system |
| US10425288B2 (en) | 2017-07-21 | 2019-09-24 | Cisco Technology, Inc. | Container telemetry in data center environments with blade servers and switches |
| US10601693B2 (en) | 2017-07-24 | 2020-03-24 | Cisco Technology, Inc. | System and method for providing scalable flow monitoring in a data center fabric |
| US10541866B2 (en) | 2017-07-25 | 2020-01-21 | Cisco Technology, Inc. | Detecting and resolving multicast traffic performance issues |
| US10705882B2 (en) | 2017-12-21 | 2020-07-07 | Cisco Technology, Inc. | System and method for resource placement across clouds for data intensive workloads |
| US11595474B2 (en) | 2017-12-28 | 2023-02-28 | Cisco Technology, Inc. | Accelerating data replication using multicast and non-volatile memory enabled nodes |
| US10673781B2 (en) | 2018-01-31 | 2020-06-02 | Hewlett Packard Enterprise Development Lp | Dedicated virtual local area network for peer-to-peer traffic transmitted between switches |
| US10728361B2 (en) | 2018-05-29 | 2020-07-28 | Cisco Technology, Inc. | System for association of customer information across subscribers |
| US10904322B2 (en) | 2018-06-15 | 2021-01-26 | Cisco Technology, Inc. | Systems and methods for scaling down cloud-based servers handling secure connections |
| US10764266B2 (en) | 2018-06-19 | 2020-09-01 | Cisco Technology, Inc. | Distributed authentication and authorization for rapid scaling of containerized services |
| US11019083B2 (en) | 2018-06-20 | 2021-05-25 | Cisco Technology, Inc. | System for coordinating distributed website analysis |
| US10819571B2 (en) | 2018-06-29 | 2020-10-27 | Cisco Technology, Inc. | Network traffic optimization using in-situ notification system |
| US10904342B2 (en) | 2018-07-30 | 2021-01-26 | Cisco Technology, Inc. | Container networking using communication tunnels |
| US11477048B2 (en) * | 2021-01-15 | 2022-10-18 | BlackBear (Taiwan) Industrial Networking Security Ltd. | Communication method for one-way transmission based on VLAN ID and switch device using the same |
| US11916972B2 (en) * | 2021-02-25 | 2024-02-27 | Cisco Technology, Inc. | Traffic capture mechanisms for industrial network security |
| US11973855B2 (en) * | 2021-08-25 | 2024-04-30 | Siemens Canada Limited | PTP transparent clock with inter-VLAN forwarding |
| US11956201B2 (en) * | 2021-11-03 | 2024-04-09 | Nutanix, Inc. | Method and system for efficient address resolution in extended subnets |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5790548A (en) * | 1996-04-18 | 1998-08-04 | Bell Atlantic Network Services, Inc. | Universal access multimedia data network |
| EP1130853A1 (de) * | 2000-02-29 | 2001-09-05 | Siemens Aktiengesellschaft | Schaltungsanordnung zum Ersatzschalten von Übertragungseinrichtungen in MPLS-Pakete führende Ringarchitekturen |
| US20020022483A1 (en) * | 2000-04-18 | 2002-02-21 | Wayport, Inc. | Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure |
| US7356841B2 (en) * | 2000-05-12 | 2008-04-08 | Solutioninc Limited | Server and method for providing specific network services |
| US6741592B1 (en) * | 2000-05-22 | 2004-05-25 | Cisco Technology, Inc. | Private VLANs |
| KR20020017265A (ko) * | 2000-08-29 | 2002-03-07 | 구자홍 | 동일 아이피 서브넷상에 구성된 서로 다른 가상랜 사이의통신방법 |
| US6993026B1 (en) * | 2000-08-31 | 2006-01-31 | Verizon Communications Inc. | Methods, apparatus and data structures for preserving address and service level information in a virtual private network |
| FR2818063B1 (fr) * | 2000-12-12 | 2003-05-23 | Cit Alcatel | Procede pour permettre la mobilite d'un terminal sans fil, dans un reseau local conforme a la norme ieee 802.1 q, et dispositif d'interface radio pour la mise en oeuvre de ce procede |
| KR100455130B1 (ko) * | 2000-12-23 | 2004-11-08 | 엘지전자 주식회사 | 가상 에이알피 패킷을 이용한 프록시 에이알피 동작 방법 |
| US6990106B2 (en) * | 2001-03-19 | 2006-01-24 | Alcatel | Classification and tagging rules for switching nodes |
| US7173935B2 (en) * | 2002-06-07 | 2007-02-06 | Current Grid, Llc | Last leg utility grid high-speed data communication network having virtual local area network functionality |
| JP3956685B2 (ja) * | 2001-05-31 | 2007-08-08 | 古河電気工業株式会社 | ネットワーク間接続方法、仮想ネットワーク間接続装置およびその装置を用いたネットワーク間接続システム |
-
2003
- 2003-07-01 JP JP2004541366A patent/JP4444834B2/ja not_active Expired - Lifetime
- 2003-07-01 US US10/530,075 patent/US20060062187A1/en not_active Abandoned
- 2003-07-01 WO PCT/SE2003/001141 patent/WO2004032426A1/en active Application Filing
- 2003-07-01 DE DE60334126T patent/DE60334126D1/de not_active Expired - Lifetime
- 2003-07-01 EP EP03799219A patent/EP1547319B1/en not_active Expired - Lifetime
- 2003-07-01 AT AT03799219T patent/ATE480925T1/de not_active IP Right Cessation
- 2003-07-01 AU AU2003243112A patent/AU2003243112A1/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017147640A (ja) * | 2016-02-18 | 2017-08-24 | 三菱電機株式会社 | 無線lanアクセスシステム、ルータ装置およびアクセス制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060062187A1 (en) | 2006-03-23 |
| JP4444834B2 (ja) | 2010-03-31 |
| DE60334126D1 (de) | 2010-10-21 |
| ATE480925T1 (de) | 2010-09-15 |
| WO2004032426A1 (en) | 2004-04-15 |
| EP1547319B1 (en) | 2010-09-08 |
| AU2003243112A1 (en) | 2004-04-23 |
| EP1547319A1 (en) | 2005-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4444834B2 (ja) | アクセスネットワークに接続されるホストの分離 | |
| US7194622B1 (en) | Network partitioning using encryption | |
| US7155518B2 (en) | Extranet workgroup formation across multiple mobile virtual private networks | |
| JP3778129B2 (ja) | 無線ネットワークおよび無線ネットワークにおける認証方法 | |
| EP1670205B1 (en) | Method and apparatuses for pre-authenticating a mobile user to multiple network nodes using a secure authentication advertisement protocol | |
| CA2600760C (en) | Security for mobile devices in a wireless network | |
| CA2413944C (en) | A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks | |
| US6954790B2 (en) | Network-based mobile workgroup system | |
| US7944925B2 (en) | System and method for grouping multiple VLANs into a single 802.11 IP multicast domain | |
| CN1778077B (zh) | 一种用于园区网上的子网间移动性的方法 | |
| US20090129386A1 (en) | Operator Shop Selection | |
| US20050223111A1 (en) | Secure, standards-based communications across a wide-area network | |
| JP4064824B2 (ja) | ハイブリッド網 | |
| KR20060129005A (ko) | 공중 액세스 포인트 | |
| Li et al. | Public access mobility LAN: extending the wireless Internet into the LAN environment | |
| JP2004266516A (ja) | ネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステム | |
| Chokshi et al. | Study on VLAN in Wireless Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060627 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081001 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081010 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20081217 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20081225 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090324 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090417 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090708 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090727 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090902 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20091207 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091218 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100114 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4444834 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |