JP2007028084A - Network and its management method - Google Patents

Network and its management method Download PDF

Info

Publication number
JP2007028084A
JP2007028084A JP2005205922A JP2005205922A JP2007028084A JP 2007028084 A JP2007028084 A JP 2007028084A JP 2005205922 A JP2005205922 A JP 2005205922A JP 2005205922 A JP2005205922 A JP 2005205922A JP 2007028084 A JP2007028084 A JP 2007028084A
Authority
JP
Japan
Prior art keywords
terminal
wireless
organization
lan
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005205922A
Other languages
Japanese (ja)
Other versions
JP4932187B2 (en
Inventor
Hironobu Tsutsui
広伸 筒井
Hiroshi Sanada
浩 真田
Tsutomu Tanaka
田中  勉
Masami Kishida
昌巳 岸田
Katsutoshi Okado
勝利 尾角
順子 ▲徳▼林
Junko Tokubayashi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NOBERAKKU KK
Furuno Electric Co Ltd
Original Assignee
NOBERAKKU KK
Furuno Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NOBERAKKU KK, Furuno Electric Co Ltd filed Critical NOBERAKKU KK
Priority to JP2005205922A priority Critical patent/JP4932187B2/en
Priority to CN201310608650.XA priority patent/CN103595602B/en
Priority to CN 200610105915 priority patent/CN1897554A/en
Publication of JP2007028084A publication Critical patent/JP2007028084A/en
Application granted granted Critical
Publication of JP4932187B2 publication Critical patent/JP4932187B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a highly convenient network by eliminating the problems of interference, leak, tapping, and band occupation, and the problem of network connection to one's own system in a shared space, and to provide its management method. <P>SOLUTION: A management server 1 registers relating information between additional information such as a VLAN tag or VPN header to be added to a packet and identification information such as an SSID, and writes the relating information in whole radio access points 3a-3d. Radio terminals 5a-5c, 5a', 5b' performs radio communication with one of the access points 3, so that the additional information such as the VLAN tag related to the identification information such as the SSID is added to the packet and transmitted to a backbone. On the contrary, when the communication is performed with the applicable radio terminal by using the identification information corresponding to the additional information of the packet received from the LAN in the system, the terminal becomes communicable with a server, etc. , which is connected to the LAN of one's own system. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

この発明は、複数の組織でネットワークの一部を共有して相互に利用可能としたネットワークおよびその管理方法に関するものである。   The present invention relates to a network in which a part of a network is shared by a plurality of organizations and used mutually, and a management method thereof.

一般に、無線LAN機器は容易に設置でき、使用開始までの設定作業も簡易に行えるため、近年その利用は急速に拡大している。   In general, wireless LAN devices can be easily installed and can be easily set up until the start of use, so their use has been rapidly expanding in recent years.

例えば、1つのオフィスビル内での各テナントなどの組織、または会社の建物内での各部署などの組織の単位で、それぞれ個別に無線LAN機器の設置や設定を行っている。   For example, wireless LAN devices are individually installed and set in units of organizations such as tenants in one office building or units such as departments in a company building.

このような無線機器を用いた無線LANにおいては、隣接する他の無線LAN機器との相互干渉を避けるため、次のような対策を施していた。   In a wireless LAN using such a wireless device, the following measures have been taken to avoid mutual interference with other adjacent wireless LAN devices.

(1) CDMA/CA方式によって通信の衝突を回避する。   (1) A communication collision is avoided by the CDMA / CA method.

(2) 他の機器群との区別を行い、混信を避けるためグループ識別子(ESSID)の設定を行う(非特許文献1参照)。   (2) A distinction from other device groups is made, and a group identifier (ESSID) is set in order to avoid interference (see Non-Patent Document 1).

(3) FDMAという機能により、周辺の電波状況を自動的に検知して、利用可能な周波数(チャンネル)を自動設定する。またはその機能のない無線LAN機器では、あまり利用していないと思われるチャンネルに手動設定する。   (3) A function called FDMA automatically detects surrounding radio wave conditions and automatically sets available frequencies (channels). Alternatively, in a wireless LAN device without the function, the channel is manually set to a channel that seems to be not used much.

(4) WEP/WPAという暗号化技術により他人に利用されないようにするためにパスワードを設定する。
株式会社インセプト、IT用語辞典“ESSID”、[online]、[平成17年7月7日検索]、インターネット<http://e-words.jp/w/ESSID.html> (4) A password is set in order to prevent others from using the encryption technology called WEP / WPA.
Incept Co., Ltd., IT Glossary “ESSID”, [online], [Search July 7, 2005], Internet <http://e-words.jp/w/ESSID.html>

ところが、これまでは前述の各組織内での利用を目的として各組織が、互いに他の組織に設置される無線LANのことをあまり意識することなく個別に無線LANの設定や設置を行っていたので、次のような問題が顕在化してきた。   However, until now, for the purpose of use in each of the above-mentioned organizations, each organization has individually set up and installed a wireless LAN without being conscious of the wireless LANs installed in other organizations. Therefore, the following problems have become apparent.

(1) 前述の従来の無線LAN機器の干渉防止のための機能によっても、無線LAN機器の増大や運用方法によっては互いの干渉が生じる。   (1) Even with the above-described functions for preventing interference of conventional wireless LAN devices, mutual interference occurs depending on the increase in the number of wireless LAN devices and the operation method.

(2) 無線空間が有効に使えず無駄が多い。そのためレスポンスが低下する。   (2) The wireless space cannot be used effectively and is wasteful. Therefore, the response is lowered.

(3) 無線LANを用いたネットワークで何らかの問題が生じた時、その調整すべき相手が明確にならない。   (3) When a problem occurs in a network using a wireless LAN, the partner to be adjusted is not clear.

(4) 近接する他の無線LAN機器との干渉が明らかであっても、相手方との調整の際に互いの秘密が漏れやすい。また、組織の数の組み合わせ数分の調整(契約)を行う必要がある。例えば6つの組織が隣接していれば、6*5/2=15の調整が必要となる。   (4) Even if interference with other wireless LAN devices in the vicinity is obvious, secrets of each other are easily leaked during adjustment with the other party. It is also necessary to make adjustments (contracts) for the number of combinations of organizations. For example, if six tissues are adjacent, adjustment of 6 * 5/2 = 15 is necessary.

(5) 無線LANの利用状況に応じて帯域(通信速度)などを融通することが困難である。   (5) It is difficult to accommodate a bandwidth (communication speed) or the like according to the usage status of the wireless LAN.

(6) ネットワークの動作の維持や安全確保の手間がそれぞれの組織毎に必要であり、正しい知識を持たないままネットワークの拡張や利用を行うと盗聴などの危険を招くことになる。   (6) It is necessary for each organization to maintain the operation of the network and to ensure safety. If the network is expanded or used without having the correct knowledge, there is a risk of eavesdropping.

(7) 通信帯域(速度)は互いに融通しあうことなく利用可能なだけ占有することになるので、例えば電気やガスなどのように使用量に応じてコストを負担するといった仕組みをつくることは困難である。   (7) Since the communication band (speed) occupies as much as possible without being interchanged with each other, it is difficult to create a mechanism that bears the cost according to the amount used, such as electricity and gas. It is.

(8) 例えば複数の組織が共用するスペースで、ネットワークを利用するといったことができない。   (8) For example, a network cannot be used in a space shared by a plurality of organizations.

上述の問題は、主に無線LANを用いることによる問題について示したが、有線LANにおいても上記(8)と同様の問題が生じる。   The above-described problem has been described mainly with respect to the use of a wireless LAN, but the same problem as in the above (8) also occurs in a wired LAN.

そこで、この発明の目的は、上述の各種問題を解消して利便性を高めたネットワークおよびその管理方法を提供することにある。   SUMMARY OF THE INVENTION An object of the present invention is to provide a network and a management method thereof that have improved the convenience by solving the various problems described above.

この発明は、前述の問題を解決するために、次のように構成する。
(1) 複数の組織に属する端末と各組織内のLANとがバックボーンにそれぞれ接続されたネットワークにおいて、パケットに付加される付加情報(VLANタグまたはIPパケットをカプセル化するVPN用ヘッダなど)と識別情報(SSID,ユーザID)との関連付け情報を記憶する管理サーバを前記バックボーンに接続し、前記管理サーバからの関連付け情報を基に、前記端末から送られてくる識別情報(SSID,ユーザID等)に対応する、またはその識別情報を認証する手段からの認証結果(MACアドレス等)に対応する付加情報を、前記端末から受け取ったパケットに付加してバックボーンへ送るとともに、前記組織内のLANから受け取ったパケットに付加されている付加情報に対応する識別情報を用いて該当の端末と通信する端末通信手段(アクセスポイント、認証スイッチングHUBなど)と、前記組織内のLANから受け取ったパケットに当該組織を表す付加情報を付加し、前記バックボーンから受け取ったパケットの付加情報を外して当該パケットを前記組織内のLANへ送り出す組織LAN通信手段(VLAN対応HUB、VPN対応ルータなど)と、を備る。 In order to solve the above-described problem, the present invention is configured as follows.
(1) In a network in which terminals belonging to a plurality of organizations and LANs in each organization are connected to the backbone, additional information (VLAN tag or VPN header that encapsulates an IP packet) added to the packet is identified. A management server that stores association information with information (SSID, user ID) is connected to the backbone, and identification information (SSID, user ID, etc.) sent from the terminal based on the association information from the management server Or additional information corresponding to the authentication result (MAC address or the like) from the means for authenticating the identification information is added to the packet received from the terminal and sent to the backbone and received from the LAN in the organization. Using the identification information corresponding to the additional information added to the received packet. Terminal communication means (access point, authentication switching HUB, etc.), and additional information representing the organization is added to the packet received from the LAN in the organization, and the additional information of the packet received from the backbone is removed and the packet is removed. Organization LAN communication means (VLAN HUB, VPN router, etc.) for sending out to the LAN in the organization.

(2) 前記端末から送られてくる識別情報はユーザIDと認証鍵とし、管理サーバはユーザIDに含まれる組織ドメイン名と前記付加情報との関連付けを記憶するものとし、前記識別情報を基に例えばIEEE802.1Xに従って認証する認証サーバをバックボーンに接続し、端末通信手段は端末から送られてくる識別情報を基に認証用サーバで認証を行うようにする。   (2) The identification information sent from the terminal is a user ID and an authentication key, and the management server stores the association between the organization domain name included in the user ID and the additional information, and based on the identification information For example, an authentication server that authenticates according to IEEE802.1X is connected to the backbone, and the terminal communication means performs authentication with the authentication server based on the identification information sent from the terminal.

(3) 前記端末から送られてくる識別情報は当該端末のMACアドレスを含み、管理サーバは、認証サーバにより認証された端末のMACアドレスを前記付加情報に関連付けるようにする。すなわち、ユーザ認証とMAC認証を組み合わせる。   (3) The identification information sent from the terminal includes the MAC address of the terminal, and the management server associates the MAC address of the terminal authenticated by the authentication server with the additional information. That is, user authentication and MAC authentication are combined.

(4) 前記端末を無線端末とし、前記端末通信手段は前記無線端末との間で通信する無線アクセスポイントとし、前記識別情報は無線識別符号(SSID)とする。   (4) The terminal is a wireless terminal, the terminal communication means is a wireless access point that communicates with the wireless terminal, and the identification information is a wireless identification code (SSID).

(5) 前記バックボーンをインターネットとし、前記管理サーバを前記インターネットに接続されたものとし、前記端末通信手段を前記インターネットに接続されたVPN対応の無線ルータとする。   (5) The backbone is the Internet, the management server is connected to the Internet, and the terminal communication means is a VPN-compatible wireless router connected to the Internet.

(6) 前記管理サーバは、前記端末通信手段から通信パケット量に関する情報を抽出して該通信パケット量に応じた課金データを求める手段と、該課金データを出力する手段とを備えたものとする。   (6) The management server includes means for extracting information relating to the communication packet amount from the terminal communication means and obtaining billing data corresponding to the communication packet amount, and means for outputting the billing data. .

(7) 前記端末通信手段は通信品質(QoS)制御を行う手段を備え、前記管理サーバは前記端末通信手段に対して通信品質(QoS)に関する情報を設定する手段を備える。   (7) The terminal communication means includes means for performing communication quality (QoS) control, and the management server includes means for setting information relating to communication quality (QoS) to the terminal communication means.

(8) この発明のネットワークの管理方法は、同一の無線空間を利用する複数の無線機器(アクセスポイント)が無線端末との間で互いに干渉が少ない無線通信環境となるように前記無線機器(アクセスポイント)の配置および設定を行い、前記無線端末と該無線端末の属する組織内のLANに接続したノードとの間に、前記無線機器(アクセスポイント)および該無線機器(アクセスポイント)を介して通信を行う仮想回線を構成し、前記通信の利用状況に応じて課金を行う。   (8) According to the network management method of the present invention, a plurality of wireless devices (access points) that use the same wireless space are connected to the wireless terminal so that a wireless communication environment with little interference is obtained. Communication) between the wireless terminal and a node connected to the LAN in the organization to which the wireless terminal belongs via the wireless device (access point) and the wireless device (access point). A virtual line is configured to perform charging according to the use status of the communication.

(9) また、この発明のネットワークの管理方法は、同一の無線空間を利用する複数の無線機器(アクセスポイント)が無線端末との間で互いに干渉が少ない無線通信環境となるように前記無線機器(アクセスポイント)の配置および設定を行い、前記無線端末と該無線端末の属する組織内のLANに接続したノードとの間に、前記無線機器(アクセスポイント)および該無線機器(アクセスポイント)を介して通信を行う仮想回線を構成し、前記仮想回線の利用契約に応じて前記無線機器(アクアセスポイント)の通信パラメータを設定する。   (9) Further, the network management method of the present invention provides a wireless communication environment in which a plurality of wireless devices (access points) that use the same wireless space have a low interference with a wireless terminal. (Access point) is arranged and set, and the wireless device (access point) and the wireless device (access point) are connected between the wireless terminal and a node connected to the LAN in the organization to which the wireless terminal belongs. A virtual circuit for performing communication is configured, and communication parameters of the wireless device (access access point) are set in accordance with a usage contract for the virtual circuit.

(1) 端末通信手段は、管理サーバからの関連付け情報を基に、端末から送られてくる識別情報に対応する付加情報を端末から受け取ったIPパケットに付加してバックボーンへ送り、組織内のLANから受け取ったパケットに付加されている付加情報に対応する識別情報を用いて該当の端末と通信するようにし、また組織LAN通信手段が組織内のLANから受け取ったIPパケットにその組織を表す付加情報を付加し、バックボーンから受け取ったパケットの付加情報を外して当該パケットを組織LANへ送り出すようにしたので、端末は端末通信手段と通信するだけで、その端末の属する組織内のLANに接続することができる。このように、パケットの付加情報と端末の識別情報とを関連付けることによって仮想回線を構成し、各仮想回線の各組織への割り当てが可能となる、
(2) 端末通信手段が端末から送られてくるユーザIDと認証鍵を識別情報とし、それを基に認証サーバがその識別情報を基に認証を行い、ユーザIDに含まれる組織ドメイン名と前記付加情報とを関連付けることによって、端末はユーザIDと認証鍵を用いてどの端末通信手段を介しても自組織内のLANと接続可能となる。 (1) Based on the association information from the management server, the terminal communication means adds additional information corresponding to the identification information sent from the terminal to the IP packet received from the terminal and sends it to the backbone, and the LAN in the organization Additional information representing the organization in the IP packet received from the LAN in the organization by the organization LAN communication means to communicate with the corresponding terminal using the identification information corresponding to the additional information added to the packet received from the organization Since the additional information of the packet received from the backbone is removed and the packet is sent out to the organizational LAN, the terminal can connect to the LAN in the organization to which the terminal belongs only by communicating with the terminal communication means. Can do. In this way, a virtual circuit is configured by associating the additional information of the packet with the identification information of the terminal, and each virtual circuit can be assigned to each organization.
(2) The terminal communication means uses the user ID and authentication key sent from the terminal as identification information, and the authentication server performs authentication based on the identification information based on the user ID and the authentication key. By associating with the additional information, the terminal can connect to the LAN in its own organization through any terminal communication means using the user ID and the authentication key.

(3) 端末から送られてくる識別情報にその端末のMACアドレスを含み、管理サーバが、認証サーバにより認証された端末のMACアドレスを前記付加情報に関連付けるようにすることにより、認証サーバで一旦認証された後は、端末はそのMACアドレスを基に前記仮想回線を介しての自組織内のLANとの接続が可能となる。   (3) The identification information sent from the terminal includes the MAC address of the terminal, and the management server associates the MAC address of the terminal authenticated by the authentication server with the additional information. After being authenticated, the terminal can connect to the LAN in its own organization via the virtual circuit based on the MAC address.

(4) 前記端末を、無線端末とし、前記端末通信手段を無線端末との間で通信する無線アクセスポイントとし、前記識別情報を無線識別符号とすることにより、無線アクセスポイントのサービスエリア内で無線端末を用いるだけで、自組織のLANと接続可能となる。   (4) The terminal is a wireless terminal, the terminal communication means is a wireless access point that communicates with the wireless terminal, and the identification information is a wireless identification code, so that wireless communication is performed within the service area of the wireless access point. It is possible to connect to the local organization LAN simply by using a terminal.

(5) 前記バックボーンをインターネットとし、前記管理サーバを前記インターネットに接続されたものとし、前記端末通信手段を前記インターネットに接続されたVPN対応の無線ルータとすることにより、各組織がインターネットに接続された環境下で、各無線端末はVPNを用いて各組織内のLANに接続可能となる。   (5) Since the backbone is the Internet, the management server is connected to the Internet, and the terminal communication means is a VPN-compatible wireless router connected to the Internet, each organization is connected to the Internet. Under such circumstances, each wireless terminal can connect to a LAN in each organization using VPN.

(6) 管理サーバが端末通信手段から通信パケット量に関する情報を抽出して、それに応じた課金データを求めるようにしたことにより、その通信の利用状況に応じて課金を行うようなサービスも可能となる。   (6) Since the management server extracts information related to the amount of communication packets from the terminal communication means and obtains charging data according to the information, it is possible to provide a service that charges according to the use status of the communication. Become.

(7) 端末通信手段が通信品質制御を行うようにし、管理サーバが端末通信手段に対して通信品質に関する情報を設定するように構成することにより、組織毎にネットワークを効率よく使えるようになり、ネットワークの帯域を各組織が有効に利用できるようになる。   (7) By configuring the terminal communication means to perform communication quality control and setting the management server to set information related to communication quality for the terminal communication means, the network can be used efficiently for each organization. Each organization can use the network bandwidth effectively.

(8) 同一の無線空間を利用する複数の無線機器が無線端末との間で互いに干渉しない無線通信環境となるように無線機器の配置および設定を行い、無線端末と該無線端末の属する組織内のLANに接続したノードとの間に、無線機器および該無線機器を介して通信を行う仮想回線を構成し、その通信の利用状況に応じて課金を行うようにしたので、例えば電気・ガス・電話などと同様にネットワークの切り分け販売のようなサービスが提供できるようになる。   (8) A wireless device is arranged and set so that a plurality of wireless devices using the same wireless space do not interfere with each other with the wireless terminal, and the wireless terminal and the organization to which the wireless terminal belongs A wireless circuit and a virtual circuit that communicates with the node connected to the LAN are configured, and charging is performed according to the use status of the communication. For example, electricity, gas, As with telephones, services such as network segmentation sales can be provided.

(9) 同一の無線空間を利用する複数の無線機器が無線端末との間で互いに干渉しない無線通信環境となるように前記無線機器の配置および設定を行い、無線端末と該無線端末の属する組織内のLANに接続したノードとの間に、前記無線機器および該無線機器を介して通信を行う仮想回線を構成し、その仮想回線の利用契約に応じて無線機器の通信パラメータを設定することによって、契約(料金)に応じた通信品質が確保ができ、例えばある1つの組織がネットワークの帯域を使い尽くして他の組織の利用効率(通信品質)が低下するといった問題が解消できる。   (9) The wireless device is arranged and set so that a plurality of wireless devices using the same wireless space do not interfere with each other with the wireless terminal, and the wireless terminal and the organization to which the wireless terminal belongs By configuring the wireless device and a virtual circuit for communication via the wireless device with a node connected to the internal LAN, and setting communication parameters of the wireless device in accordance with the usage contract for the virtual circuit The communication quality according to the contract (fee) can be ensured, and for example, the problem that the use efficiency (communication quality) of another organization is reduced due to the exhaustion of a network bandwidth by one organization can be solved.

第1の実施形態に係るネットワークについて図1〜図11を参照して説明する。
まず、図1は、例えばある建物内やビルの1つのフロア内での組織の例と無線LANの構成例を示している。(A)は従来の例である。このように、人事部、総務部、開発部、研究部、営業部、経営企画部の6つの組織がそれぞれ独自に無線LAN機器の導入・設定を行った場合、それらのアクセスポイントと無線端末(ノートパソコンなど)との間で用いるチャンネルが同じである場合、互いの干渉が問題となる。 A network according to the first embodiment will be described with reference to FIGS.
First, FIG. 1 shows an example of an organization and a configuration example of a wireless LAN in a building or one floor of a building, for example. (A) is a conventional example. In this way, when the six organizations of the Human Resources Department, General Affairs Department, Development Department, Research Department, Sales Department, and Corporate Planning Department each independently install and set up wireless LAN devices, their access points and wireless terminals ( If the channels used with a notebook computer or the like are the same, mutual interference becomes a problem.

それに対し、この発明の実施形態では、(B)に示すように、各組織で用いる無線空間の管理を行い、各組織は隣接する組織の無線機器の状態を知らなくても無線空間を最大限有効に利用できるようにする。   On the other hand, in the embodiment of the present invention, as shown in (B), the wireless space used in each organization is managed, and each organization maximizes the wireless space without knowing the state of the wireless device of the adjacent organization. Make it available effectively.

この第1の実施形態に係るネットワークは、SSIDとVLANを用いて、無線空間を有効に利用して、無線端末とそれが属する組織のLANに接続されているノードとの間で通信を行うものであり、次のように設定し動作させる。   The network according to the first embodiment performs communication between a wireless terminal and a node connected to a LAN of an organization to which the wireless terminal belongs by effectively using a wireless space using an SSID and a VLAN. It is set and operated as follows.

(1) 切り分けられる組織毎にSSIDを割り当てる。
(2) 切り分けられる組織毎にバーチャルLAN(以下、「VLAN」という。)を割り当てる。
(3) 管理サーバに管理用VLAN(例えば、「VLAN2」)を割り当てる。 (1) Assign an SSID for each organization to be carved.
(2) A virtual LAN (hereinafter referred to as “VLAN”) is allocated to each organization to be separated.
(3) A management VLAN (for example, “VLAN2”) is allocated to the management server.

(4) 無線LAN用バックボーンLANを構築する。
無線アクセスポイント(以下、「AP」という。)は、VLANタグを認識できる無線LAN用の有線通信網の上に一括して設置する。各組織内でも共用スペースでも同じように設置する。APは組織に縛られることなく、最も良好に無線通信できるように配置・設定する。 (4) Build a backbone LAN for wireless LAN.
Wireless access points (hereinafter referred to as “AP”) are collectively installed on a wired communication network for wireless LAN that can recognize VLAN tags. Install in the same way in each organization and common space. APs are arranged and set so that wireless communication can be performed best without being restricted by an organization.

(5) 各組織内の有線LANと無線LAN用バックボーンLANを接続する。
各組織内の有線LANと無線LAN用バックボーンLANの接続点には、所属する組織のVLANタグ付きパケットを受け入れ、VLANタグを外して標準的なLAN上のパケットに戻した状態にして組織内の有線LANへ送る機能を持つ装置(通常、VLAN機能付きスイッチングハブまたはL3スイッチ)を設置する。また、この装置で、無線LANへ送られるパケットに、該当組織のVLANタグを付ける。 (5) Connect the wired LAN and wireless LAN backbone LAN in each organization.
At the connection point between the wired LAN and the wireless LAN backbone LAN in each organization, the VLAN tag packet of the organization to which it belongs is accepted, and the VLAN tag is removed and returned to the standard LAN packet. A device (usually a switching hub with a VLAN function or an L3 switch) having a function of sending to a wired LAN is installed. Also, with this device, a VLAN tag of the corresponding organization is attached to a packet sent to the wireless LAN.

(6) APはSSIDとVLANタグを関連付けて通信する。
APは、上記「VLAN2」で通信する管理サーバの指示に従い、SSIDとVLANタグを関連付ける。
例えば、
「VLAN3」からのパケットはSSIDAの無線端末へ送り、SSIDAからのパケットは「VLAN3」へ送る。
「VLAN4」からのパケットはSSIDBの無線端末へ送り、SSIDBからのパケットは「VLAN4」へ送る。
「VLAN5」からのパケットはSSIDCの無線端末へ送り、SSIDCからのパケットは「VLAN5」へ送る。
VLAN2は、管理用通信LANとしてAP自身が取り扱う。 (6) The AP communicates by associating the SSID and the VLAN tag.
The AP associates the SSID and the VLAN tag in accordance with the instruction of the management server that communicates with the “VLAN 2”.
For example,
A packet from “VLAN3” is sent to the wireless terminal of SSIDA, and a packet from SSIDA is sent to “VLAN3”.
A packet from “VLAN4” is sent to the wireless terminal of SSIDB, and a packet from SSIDB is sent to “VLAN4”.
A packet from “VLAN5” is sent to the SSIDC wireless terminal, and a packet from SSIDC is sent to “VLAN5”.
The VLAN 2 is handled by the AP itself as a management communication LAN.

(7) 無線端末は所属する組織のSSIDで通信する。
すなわち、
組織Aに属する無線端末はSSIDAで通信する。
組織Bに属する無線端末はSSIDBで通信する。
組織Cに属する無線端末はSSIDCで通信する。
これにより、どのアクセスポイントに接続しても自組織のLANに接続されることになる。 (7) The wireless terminal communicates with the SSID of the organization to which it belongs.
That is,
Wireless terminals belonging to the organization A communicate with each other using SSIDA.
Wireless terminals belonging to the organization B communicate with each other through SSIDB.
Wireless terminals belonging to the organization C communicate with each other by SSIDC.
As a result, any access point is connected to the LAN of its own organization.

共用スペースでもこの関係は変わらないため、無線が一括管理されている範囲では組織の部屋内にいるのと変わりなく利用することができる。   Since this relationship does not change even in a common space, it can be used as if it is in the organization's room as long as the radio is collectively managed.

(8) 管理サーバは無線の状態と各VLANを管理する。
管理サーバは次のような処理を行う。
バックボーン、AP、無線空間の管理を行う。
SSIDとVLANとの関連付けの管理を行う。
各組織に割り当てたVLANの利用状況を調べる。
その利用状況から課金データを生成する。 (8) The management server manages the wireless state and each VLAN.
The management server performs the following processing.
Manage backbone, AP, and wireless space.
Management of association between SSID and VLAN.
Check the usage status of the VLAN assigned to each organization.
Billing data is generated from the usage status.

以下、上記の仕組みを実現する具体的な構成を示す。
図2は、ネットワーク全体の構成を示す図である。ここで、VLAN−HUB2はバックボーンLANを構成するHUBであり、このバックボーンLANに他のVLAN−HUB4a〜4d、無線のアクセスポイント3a〜3dおよび管理サーバ1を接続している。 Hereinafter, a specific configuration for realizing the above mechanism will be described.
FIG. 2 is a diagram illustrating a configuration of the entire network. Here, the VLAN-HUB 2 is a HUB constituting a backbone LAN, and other VLAN-HUBs 4a to 4d, wireless access points 3a to 3d, and the management server 1 are connected to the backbone LAN.

VLAN−HUB4aは組織Aで利用するHUBであり、他の通常の(VLAN対応でない)HUBやパソコンなどのノードが接続される。VLAN−HUB4b,4cも同様に組織B,組織Cで用いられ、他の通常のHUBやノードが接続される。VLAN−HUB4dは共用スペースで用いられるHUBであり、ここに各組織の有線端末(例えばパソコン)が接続される。   The VLAN-HUB 4a is a HUB used in the organization A, and is connected to other normal (non-VLAN compatible) HUBs and personal computers. Similarly, the VLAN-HUBs 4b and 4c are also used by the organization B and the organization C, and other normal HUBs and nodes are connected. The VLAN-HUB 4d is a HUB used in a shared space, and a wired terminal (for example, a personal computer) of each organization is connected to the VLAN-HUB 4d.

無線端末であるノートパソコン5a,5b,5c,5a′,5b′はアクセスポイント3a〜3dのいずれかと無線通信し、自組織内のLANの1つのノードとして作用する。例えばノートパソコン5a,5a′が組織Aに属するものであれば、アクセスポイント3dを介して通信することにより、組織AのVLAN−HUB4aに接続されているLAN上のノード(例えばサーバ)との間で通信を行うことができる。同様に、組織Bに属するノートパソコン5b,5b′は、アクセスポイント3dを介して通信することにより、組織AのVLAN−HUB4bに接続されているLAN上のノード(例えばサーバ)との間で通信を行うことができる。   The notebook personal computers 5a, 5b, 5c, 5a ', and 5b', which are wireless terminals, wirelessly communicate with any of the access points 3a to 3d and function as one node of the LAN within the organization. For example, if the notebook personal computers 5a and 5a 'belong to the organization A, they communicate with the nodes (for example, servers) on the LAN connected to the VLAN-HUB 4a of the organization A by communicating via the access point 3d. Can communicate. Similarly, the notebook personal computers 5b and 5b 'belonging to the organization B communicate with the nodes (for example, servers) on the LAN connected to the VLAN-HUB 4b of the organization A by communicating via the access point 3d. It can be performed.

図3は、ネットワークの仮想回線について示す図である。無線端末であるノートパソコン5a,5a′が組織Aに属するものであれば、仮想回線A(VLAN3)を介して組織A内のLANにそれぞれ接続される。また、ノートパソコン5b,5b′が組織Bに属するものであれば、仮想回線B(VLAN4)を介して組織B内のLANにそれぞれ接続される。同様にノートパソコン5cが組織Cに属するものであれば、仮想回線C(VLAN5)を介して組織C内のLANに接続される。   FIG. 3 is a diagram showing a virtual line of the network. If the notebook personal computers 5a and 5a ', which are wireless terminals, belong to the organization A, they are connected to the LAN in the organization A via the virtual circuit A (VLAN 3). If the notebook personal computers 5b and 5b 'belong to the organization B, they are connected to the LAN in the organization B via the virtual circuit B (VLAN 4). Similarly, if the notebook personal computer 5c belongs to the organization C, it is connected to the LAN in the organization C via the virtual circuit C (VLAN 5).

このように、バックボーンLANおよび各組織に設けたVLAN−HUBのVLAN機能により、各組織に属する無線端末はそれぞれの組織内のLANと接続することができる。そのために、各無線LANのアクセスポイント3a〜3dには、VLANタグと無線識別符号SSIDとの関連付け情報を書き込んでおく。   Thus, the wireless LAN belonging to each organization can be connected to the LAN in each organization by the VLAN function of the backbone LAN and the VLAN-HUB provided in each organization. Therefore, association information between the VLAN tag and the wireless identification code SSID is written in the access points 3a to 3d of each wireless LAN.

図4は、前記管理サーバ1を設定しておくVLANタグとSSIDとの関係を示す図である。この実施形態では3つの組織(組織A〜組織C)を管理するので、VLANタグとSSIDの対を3組登録しておく。   FIG. 4 is a diagram showing the relationship between VLAN tags and SSIDs in which the management server 1 is set. In this embodiment, since three organizations (organization A to organization C) are managed, three pairs of VLAN tags and SSIDs are registered.

図5は、管理サーバ1で管理する組織毎の通信品質(QoS)、通信パケット量およびそれらによる課金のデータである。例えば、予め契約した通信品質のグレードに応じてQoSを設定する。また、無線アクセスポイントのパケット量データを抽出してそれに応じた課金データを求める。   FIG. 5 shows communication quality (QoS) for each organization managed by the management server 1, communication packet amount, and billing data based thereon. For example, QoS is set according to the communication quality grade contracted in advance. In addition, packet amount data of the wireless access point is extracted, and charging data corresponding to it is obtained.

図6は、イーサネット(登録商標)上を伝搬する通常のパケットと、VLANを構成するためのパケットの違いについて示している。(A)は通常のパケットであり、基本的にはIPヘッダと実データ部からなIPパケットにイーサネット(登録商標)ヘッダを付けたものである。これに対し、VLANを構成するためのパケットは、それに更にVLANタグを付加している。このVLANタグは物理的な接続形態とは独立に、端末の仮想的なグループを設定するためのそのグループ毎の識別のためのタグである。   FIG. 6 shows a difference between a normal packet propagating on the Ethernet (registered trademark) and a packet for configuring the VLAN. (A) is a normal packet, which is basically an IP packet consisting of an IP header and a real data part with an Ethernet (registered trademark) header. On the other hand, the VLAN tag is added to the packet for configuring the VLAN. This VLAN tag is a tag for identifying each group for setting a virtual group of terminals independently of a physical connection form.

図7〜図11は、管理サーバ、アクセスポイントおよび各組織の有線LANのノードの主な処理内容をフローチャートとして表したものである。   7 to 11 are flowcharts showing main processing contents of the management server, the access point, and the wired LAN node of each organization.

図7は、VLANタグとSSIDの関連付け情報の設定についてのフローチャートである。管理サーバは、外部(コンソール)から入力されるVLANタグとSSIDのペアを、図4に示した関連付け情報テーブルに書き込む(更新する)。そして、すべてのアクセスポイント(AP)へ上記関連付け情報を書き込む。これに応じてアクセスポイントはその関連付け情報を記憶する。   FIG. 7 is a flowchart for setting association information between a VLAN tag and an SSID. The management server writes (updates) the VLAN tag and SSID pair input from the outside (console) in the association information table shown in FIG. Then, the association information is written to all access points (APs). In response to this, the access point stores the association information.

図8は、無線端末とアクセスポイントとの間での通信処理についてのフローチャートである。無線端末は、その無線端末に設定されているSSIDでアクセスポイントへアクセスして無線通信する。これにより、アクセスポイントはその無線端末から受信したSSIDに対応したVLANタグをパケットに付与してバックボーンLANへ送る。   FIG. 8 is a flowchart of communication processing between the wireless terminal and the access point. The wireless terminal accesses the access point with the SSID set in the wireless terminal and performs wireless communication. As a result, the access point adds a VLAN tag corresponding to the SSID received from the wireless terminal to the packet and sends it to the backbone LAN.

図9は、各組織の有線LANのノードとアクセスポイントとの間での通信処理の手順を示すフローチャートである。或る組織の有線LANのノードからVLANタグ付きパケットがアクセスポイントへ送られると、アクセスポイントはそのパケットからVLANタグを取り除いて通常のパケットに戻すとともに、該当のSSIDで無線端末と無線通信する。   FIG. 9 is a flowchart illustrating a procedure of communication processing between the wired LAN node of each organization and the access point. When a VLAN-tagged packet is sent from a wired LAN node of an organization to an access point, the access point removes the VLAN tag from the packet and returns it to a normal packet, and wirelessly communicates with the wireless terminal using the corresponding SSID.

このようにして、無線端末はどのアクセスポイントを介しても自組織の有線LANのノードとの間で通信を行うことができる。したがって、例えば組織Aに所属する無線端末を組織Bの部屋で用いても、その無線端末は組織Aの有線LANのノードとの間で通信を行うことができる。   In this way, the wireless terminal can communicate with the wired LAN node of its own organization through any access point. Therefore, for example, even if a wireless terminal belonging to the organization A is used in the room of the organization B, the wireless terminal can communicate with the wired LAN node of the organization A.

図10は、管理サーバが行う通信品質設定の処理内容を示すフローチャートである。まず、外部(コンソールなど)から入力されるSSID毎のQoSを読み取り、それを図5に示した制御情報テーブルに書き込む(更新する)。そして、すべてのアクセスポイントへ上記QoS情報を書き込む。   FIG. 10 is a flowchart showing the processing contents of the communication quality setting performed by the management server. First, the QoS for each SSID input from the outside (console or the like) is read and written (updated) in the control information table shown in FIG. Then, the QoS information is written to all access points.

これにより、無線端末は、そのSSIDに応じたQoSで無線通信を行うことができる。   Accordingly, the wireless terminal can perform wireless communication with QoS according to the SSID.

図11は、管理サーバが行う課金管理の処理内容を示すフローチャートである。管理サーバは、QoSとパケット量に応じて、または料金(コース)に応じて課金の計算を行う。また、外部からの指示など、必要に応じて上記課金情報を顧客が指定したメールアドレスへ送信する。または、顧客が指定した銀行の引き落とし口座から引き落とす。   FIG. 11 is a flowchart showing the contents of accounting management performed by the management server. The management server calculates billing according to QoS and packet amount or according to a charge (course). Further, the accounting information is transmitted to an e-mail address designated by the customer as required, such as an instruction from the outside. Or debit from the bank debit account specified by the customer.

次に、第2の実施形態に係るネットワークについて図12〜図15を参照して説明する。   Next, a network according to the second embodiment will be described with reference to FIGS.

この第2の実施形態に係るネットワークはIEEE802.1Xによるユーザ認証とVLANを組み合わせたものである。そのため、次のように設定し動作させる。   The network according to the second embodiment is a combination of IEEE 802.1X user authentication and VLAN. Therefore, it is set and operated as follows.

(1) 切り分けられる組織毎にSSIDを割り当てる。
(2) 切り分けられる組織毎にバーチャルLAN(以下、「VLAN」という。)を割り当てる。
(3) 管理サーバに管理用VLAN(例えば、「VLAN2」)を割り当てる。 (1) Assign an SSID for each organization to be carved.
(2) A virtual LAN (hereinafter referred to as “VLAN”) is allocated to each organization to be separated.
(3) A management VLAN (for example, “VLAN2”) is allocated to the management server.

(4) 無線LAN用バックボーンLANを構築する。
無線アクセスポイント(以下、「AP」という。)は、VLANタグを認識できる無線LAN用の有線通信網の上に一括して設置する。各組織内でも共用スペースでも同じように設置する。APは組織に縛られることなく、最も良好に無線通信できるように配置・設定する。 (4) Build a backbone LAN for wireless LAN.
Wireless access points (hereinafter referred to as “AP”) are collectively installed on a wired communication network for wireless LAN that can recognize VLAN tags. Install in the same way in each organization and common space. APs are arranged and set so that wireless communication can be performed best without being restricted by an organization.

(5) 各組織内の有線LANと無線LAN用バックボーンLANを接続する。
各組織内の有線LANと無線LAN用バックボーンLANの接続点には、所属する組織のVLANタグ付きパケットを受け入れ、VLANタグを外して標準的なLAN上のパケットに戻した状態にして組織内の有線LANへ送る機能を持つ装置(通常、VLAN機能付きスイッチングハブまたはL3スイッチ)を設置する。また、この装置で、無線LANへ送られるパケットに、該当組織のVLANタグを付ける。 (5) Connect the wired LAN and wireless LAN backbone LAN in each organization.
At the connection point between the wired LAN and the wireless LAN backbone LAN in each organization, the VLAN tag packet of the organization to which it belongs is accepted, and the VLAN tag is removed and returned to the standard LAN packet. A device (usually a switching hub with a VLAN function or an L3 switch) having a function of sending to a wired LAN is installed. Also, with this device, a VLAN tag of the corresponding organization is attached to a packet sent to the wireless LAN.

(6) 各ユーザは無線LANに接続するためのユーザIDと認証鍵を持つ。
各ユーザは、「ユーザ名@組織ドメイン名」形式のユーザIDと認証鍵を持つ。認証鍵はパスワードやパスフレーズ、ワンタイムパスワード、電子証明書などが代表的である。例えば組織Aに属するユーザID“taro”(太郎さん)のユーザIDは「taro@A」となる。 (6) Each user has a user ID and an authentication key for connecting to the wireless LAN.
Each user has a user ID and an authentication key in the format of “user name @ organization domain name”. The authentication key is typically a password, passphrase, one-time password, electronic certificate or the like. For example, the user ID of the user ID “taro” (Taro) belonging to the organization A is “taro @ A”.

(7) APはユーザIDの認証を行う。
無線接続にきた端末をIEEE802.1Xに則って認証する。その際、ユーザIDの組織ドメイン名の部分を見て、認証鍵を問い合わせるRADIUSサーバのあるVLANや認証後接続するVLANを判定する。ドメイン名とVLANとの関係は、「VLAN2」を通じて通信した管理サーバの指示に従う。 (7) The AP authenticates the user ID.
A terminal that has made a wireless connection is authenticated in accordance with IEEE 802.1X. At that time, the organization domain name portion of the user ID is looked at to determine the VLAN with the RADIUS server that inquires the authentication key and the VLAN to be connected after authentication. The relationship between the domain name and the VLAN follows the instruction of the management server communicated through “VLAN2”.

組織Aは、自組織が電子証明書に基づく認証サーバを持っていて、その他はパスワード認証に基づく認証を認証委託しているものとすると、次のようになる。   Assuming that the organization A has an authentication server based on an electronic certificate and the others are entrusted with authentication based on password authentication, the following is performed.

無線端末が例えばユーザID「taro@A」で接続を求めた場合、APは組織ドメイン名AをVLAN2で接続された管理サーバと通信する。これにより、「VLAN3」を通じて認証するように指示され、それに基づきVLAN3越しに組織Aの認証サーバと通信し、認証鍵を判定する。   For example, when the wireless terminal requests connection with the user ID “taro @ A”, the AP communicates the organization domain name A with the management server connected with VLAN 2. Thereby, it is instructed to authenticate through “VLAN3”, and based on this, it communicates with the authentication server of the organization A through VLAN3 and determines the authentication key.

また例えば、無線端末がユーザID「jiro@B」で接続を求めた場合、APは組織ドメイン名Bを「VLAN2」に接続された管理サーバと通信する。これにより、「VLAN6」を通じて認証するように指示され、それに基づき、「VLAN6」越しに委託認証用の認証サーバと通信し、認証鍵を判定する。   Further, for example, when the wireless terminal requests connection with the user ID “jiro @ B”, the AP communicates the organization domain name B with the management server connected to “VLAN2”. As a result, it is instructed to authenticate through “VLAN6”, and based on this, it communicates with the authentication server for entrusted authentication through “VLAN6” and determines the authentication key.

(8) APは組織ドメイン名とVLANタグとを関連付けて通信する。
例えば、
「VLAN3」からのパケットは組織ドメインAで認証された無線端末へ送り、組織ドメインAで認証された無線端末からのパケットはVLAN3へ送る。
「VLAN4」からのパケットは組織ドメインBで認証された無線端末へ送り、組織ドメインBで認証された無線端末からのパケットはVLAN4へ送る。
「VLAN5」からのパケットは組織ドメインCで認証された無線端末へ送り、組織ドメインCで認証された無線端末からのパケットはVLAN5へ送る。
VLAN2は管理用通信LANとしてAP自身が取り扱う。 (8) The AP communicates by associating the organization domain name with the VLAN tag.
For example,
A packet from “VLAN3” is sent to a wireless terminal authenticated in organizational domain A, and a packet from a wireless terminal authenticated in organizational domain A is sent to VLAN3.
A packet from “VLAN4” is sent to a wireless terminal authenticated in organizational domain B, and a packet from a wireless terminal authenticated in organizational domain B is sent to VLAN4.
A packet from “VLAN5” is sent to the wireless terminal authenticated in the organization domain C, and a packet from the wireless terminal authenticated in the organization domain C is sent to the VLAN5.
The VLAN 2 is handled by the AP itself as a management communication LAN.

(9) 無線端末はユーザIDと認証鍵で認証し、共通のSSIDで通信する。
組織Aに属する無線端末は組織ドメインAを含むユーザIDで認証し、共通のSSIDで通信する。これにより、どのアクセスポイントに接続しても、無線端末は自組織のLANに接続されることになる。 (9) The wireless terminal authenticates with the user ID and the authentication key, and communicates with a common SSID.
Wireless terminals belonging to the organization A authenticate with a user ID including the organization domain A and communicate with a common SSID. As a result, the wireless terminal is connected to the LAN of its own organization regardless of which access point is connected.

共用スペースでもこの関係は変わらないため、無線が一括管理されている範囲では組織内にいるのと変わりなく利用することができる。   Since this relationship does not change even in a shared space, it can be used as it is in the organization as long as the radio is managed collectively.

(10) 管理サーバは無線の状態と各VLANを管理する。
管理サーバは次のような処理を行う。
バックボーン、AP、無線空間の管理を行う。
組織ドメイン名とVLANとの関連付けの管理を行う。
各組織に割り当てたVLANの利用状況を調べる。
その利用状況から課金データを生成する。 (10) The management server manages the wireless state and each VLAN.
The management server performs the following processing.
Manage backbone, AP, and wireless space.
Manages association between organization domain name and VLAN.
Check the usage status of the VLAN assigned to each organization.
Billing data is generated from the usage status.

この第2の実施形態に係るネットワークを図示すれば図2および図3に示したものと同様である。但し、認証サーバ(RADIUSサーバ)をバックボーンLANにつなぐか各組織内のLANにつなぐことになる。   The network according to the second embodiment is the same as that shown in FIGS. 2 and 3. However, the authentication server (RADIUS server) is connected to the backbone LAN or to the LAN in each organization.

図12は、この第2の実施形態に係るネットワークにおける組織ドメイン名とVLANタグとの関連付けに関する処理内容を示すフローチャートである。管理サーバは組織ドメイン名とVLANタグとの関連付け情報をすべてのアクセスポイントへ送る。この関連付け情報は、第1の実施形態で図4に示したものと同様に、VLANタグとペアとなる組織ドメイン名を管理サーバに登録しておき、その管理サーバがアクセスポイントに対して関連付け情報を転送するものである。   FIG. 12 is a flowchart showing the processing contents related to the association between the organization domain name and the VLAN tag in the network according to the second embodiment. The management server sends association information between the organization domain name and the VLAN tag to all access points. As in the association information shown in FIG. 4 in the first embodiment, this association information is registered in the management server with the organization domain name paired with the VLAN tag, and the management server associates the access information with the access point. Is to transfer.

アクセスポイントは、管理サーバから組織ドメイン名とVLANタグとの関連付け情報を受けて記憶する。   The access point receives and stores association information between the organization domain name and the VLAN tag from the management server.

図13は、無線端末とアクセスポイントとの間での通信に関する処理内容を示すフローチャートである。無線端末は(アクセスポイントからの要求に従って)ユーザIDとパスワードをアクセスポイントへ送る。アクセスポイントはこの無線端末から受け取ったユーザIDの組織ドメイン名部分に基づいて、該当の認証サーバ(RADIUSサーバ)で認証する。より具体的には、上記組織ドメイン名から、認証可否を問い合わせるRADIUSサーバのあるVLANを判定し、そのVLANを介してRADIUSサーバに接続可否を問い合わせる。   FIG. 13 is a flowchart showing the processing content related to communication between the wireless terminal and the access point. The wireless terminal sends a user ID and password (according to a request from the access point) to the access point. The access point authenticates with the corresponding authentication server (RADIUS server) based on the organization domain name portion of the user ID received from the wireless terminal. More specifically, from the organization domain name, a VLAN having a RADIUS server inquiring whether authentication is possible is determined, and the RADIUS server is inquired of whether the connection is possible via the VLAN.

図14は、各組織の有線LANのノードとアクセスポイントとの間での通信について示すフローチャートである。各組織の有線LANのノードはVLANタグ付きパケットをアクセスポイントへ送る。これにより、アクセスポイントは各VLANからのパケットを、該当の組織ドメイン名で認証された無線端末へ送る。その際、共通のSSIDを用いる。   FIG. 14 is a flowchart illustrating communication between a wired LAN node and an access point of each organization. The wired LAN node of each organization sends a packet with a VLAN tag to the access point. As a result, the access point sends a packet from each VLAN to the wireless terminal authenticated by the corresponding organization domain name. At that time, a common SSID is used.

図15は、無線端末とアクセスポイントとの間での認証後の通信について示すフローチャートである。無線端末は共通のSSIDでアクセスポイントと通信する。アクセスポイントは、認証された組織ドメイン名に対応するVLANへパケットを送る。以上のようにしてIEEE802.1XとVLANを用いて、どのアクセスポイントからも自組織内のLANと通信可能となる。   FIG. 15 is a flowchart illustrating communication after authentication between a wireless terminal and an access point. The wireless terminal communicates with the access point using a common SSID. The access point sends a packet to the VLAN corresponding to the authenticated organization domain name. As described above, any access point can communicate with the LAN in its own organization using IEEE 802.1X and VLAN.

なお、以上に述べた例では、いずれも無線端末と各組織内のLANのノードとの間で通信を行う例を示したが、有線LANについても略同様の枠組みで管理可能である。例えば図2に示した共用スペースに設けたVLAN−HUB4dにノートPC等の端末を接続して、自組織内のLANに接続されているサーバとの間で通信を行う場合などである。ただし、有線LANの場合にはSSIDはないので、第2の実施形態で示した組織ドメイン名とVLANタグとの関連付け情報を、図2に示したVLAN−HUB4dに設定する。そして、無線のアクセスポイントと同様の処理を行う。すなわち、そのVLAN−HUB4dに接続された端末から受け取ったユーザIDの組織ドメイン名に基づいて該当の認証サーバで認証する。   In the examples described above, an example is shown in which communication is performed between a wireless terminal and a LAN node in each organization. However, a wired LAN can also be managed in a substantially similar framework. For example, there is a case where a terminal such as a notebook PC is connected to the VLAN-HUB 4d provided in the shared space shown in FIG. 2 and communication is performed with a server connected to the LAN in its own organization. However, since there is no SSID in the case of a wired LAN, the association information between the organization domain name and the VLAN tag shown in the second embodiment is set in the VLAN-HUB 4d shown in FIG. Then, the same processing as the wireless access point is performed. That is, authentication is performed by the corresponding authentication server based on the organization domain name of the user ID received from the terminal connected to the VLAN-HUB 4d.

なお、この第2の実施形態では、IEEE802.1Xによる認証としたが、これをユーザ認証+MAC認証の方式で行ってもよい。すなわち、端末(無線端末または有線端末)から送られてくる識別情報にその端末のMACアドレスを含むものとし、管理サーバは、認証サーバにより認証された端末のMACアドレスをVLANタグと関連付ける。   In the second embodiment, IEEE 802.1X authentication is used, but this may be performed by a user authentication + MAC authentication method. That is, it is assumed that the identification information sent from the terminal (wireless terminal or wired terminal) includes the MAC address of the terminal, and the management server associates the MAC address of the terminal authenticated by the authentication server with the VLAN tag.

この方法によれば、IEEE802.1X非対応の端末であって適用できる。すなわち、端末のキーボードからユーザ名とパスワードを入力すれば、管理サーバがその認証を行い、認証可となった端末のMACアドレスを無線のアクセスポイントやHUBに登録する。以降は、無線のアクセスポイントやHUBが上記MACアドレスを見て、有効なパケットのみを通信するように構成すればよい。   This method can be applied to a terminal that does not support IEEE 802.1X. That is, if a user name and password are input from the keyboard of the terminal, the management server performs the authentication, and registers the MAC address of the authenticated terminal in a wireless access point or HUB. Thereafter, the wireless access point or HUB should only be configured to communicate only valid packets by looking at the MAC address.

次に第3の実施形態に係るネットワークについて図16・図17を参照して説明する。   Next, a network according to the third embodiment will be described with reference to FIGS.

図16は、ネットワーク全体の構成を示す図である。管理サーバ1はルータ11を介してインターネットに接続している。組織Aには無線ルータ13a、通常のHUB14aを備えている。また組織Bには無線ルータ13bおよびHUB14bを備えている。同様に組織Cについても無線ルータ13cおよびHUB14cを備えている。これらのHUB14a,14b、14cには、それぞれの組織内で利用するサーバやパソコンなどのノードを接続している。また共用スペースには無線ルータ13dを設けている。これらの無線ルータ13a〜13dは、回線終端器10を介してインターネットに接続している。   FIG. 16 is a diagram illustrating a configuration of the entire network. The management server 1 is connected to the Internet via a router 11. The organization A includes a wireless router 13a and a normal HUB 14a. The organization B includes a wireless router 13b and a HUB 14b. Similarly, the organization C includes a wireless router 13c and a HUB 14c. These HUBs 14a, 14b and 14c are connected to nodes such as servers and personal computers used in the respective organizations. A wireless router 13d is provided in the common space. These wireless routers 13 a to 13 d are connected to the Internet via the line terminator 10.

第1・第2の実施形態では、いずれもVLANを用いて仮想LANを構成したが、この第3の実施形態ではVPNを用いている。無線ルータ13a〜13dおよびルータ11はいずれもVPN対応のルータであり、仮想プライベートネットワークを構成可能としている。すなわち、第1・第2の実施形態ではOSI参照モデルのイヤー2で仮想回線を構成するものであったが、この第3の実施形態では、そのレイヤー3で仮想回線を構成する。したがって、第1・第2の実施形態において示したバックボーンとしてのLANは、この第3の実施形態ではインターネット、第1・第2の実施形態において示したVLAN対応のHUBやアクセスポイントは、この第3の実施形態ではVPN対応の無線ルータにそれぞれ置き換わることになる。   In both the first and second embodiments, a virtual LAN is configured using a VLAN. In the third embodiment, a VPN is used. The wireless routers 13a to 13d and the router 11 are all VPN-compatible routers, and can configure a virtual private network. In other words, in the first and second embodiments, the virtual circuit is configured by the ear 2 of the OSI reference model, but in this third embodiment, the virtual circuit is configured by the layer 3 thereof. Therefore, the LAN as the backbone shown in the first and second embodiments is the Internet in this third embodiment, and the HUB and access point corresponding to the VLAN shown in the first and second embodiments are this first. In the third embodiment, a VPN-compatible wireless router is replaced.

図17は、イーサネット(登録商標)上を伝搬する通常のパケットと、VPNを構成するためのパケットの違いについて示している。(A)は通常のパケットであり、基本的にはIPヘッダと実データ部からなIPパケットにイーサネット(登録商標)ヘッダを付けたものである。これに対し、VPNを構成するためのパケットは、パケットを暗号化し、または平文のままとし、それにVPN情報(グローバルIPアドレス)を付加してカプセル化したものである。このVPN情報は、第1の実施形態で示したVLANタグの扱いと同様に、端末の仮想的なグループを設定するための、そのグループ毎の識別のためにも用いる。   FIG. 17 shows a difference between a normal packet propagating on the Ethernet (registered trademark) and a packet for configuring the VPN. (A) is a normal packet, which is basically an IP packet consisting of an IP header and a real data part with an Ethernet (registered trademark) header. On the other hand, a packet for configuring a VPN is obtained by encrypting the packet or leaving it in plain text and adding VPN information (global IP address) to it and encapsulating it. This VPN information is also used for identification of each group for setting a virtual group of terminals in the same manner as the handling of the VLAN tag shown in the first embodiment.

ある建物内やビルの1つのフロア内での組織と無線LANの従来構成と本発明構成の例を示す図である。It is a figure which shows the structure in the building and one floor of a building, the conventional structure of wireless LAN, and the example of this invention structure. 第1の実施形態に係るネットワークの構成を示す図である。It is a figure which shows the structure of the network which concerns on 1st Embodiment. 同ネットワークの仮想回線について示す図である。It is a figure shown about the virtual circuit of the network. 管理サーバに備えるVLANタグとSSIDの関連付け情報の例を示す図である。It is a figure which shows the example of the association information of a VLAN tag and SSID with which a management server is equipped. 同管理サーバに備える制御情報テーブルの内容の例を示す図である。It is a figure which shows the example of the content of the control information table with which the management server is equipped. VLANと非VLANを伝搬するパケットの例を示す図である。It is a figure which shows the example of the packet which propagates VLAN and non-VLAN. 関連付け情報の設定に関する管理サーバとアクセスポイントの処理内容を示すフローチャートである。It is a flowchart which shows the processing content of the management server and access point regarding the setting of association information. 無線端末とアクセスポイントとの間での通信の処理内容を示すフローチャートである。It is a flowchart which shows the processing content of communication between a radio | wireless terminal and an access point. 各組織の有線LANのノードとアクセスポイント間での通信処理の内容を示すフローチャートである。It is a flowchart which shows the content of the communication process between the node of wired LAN of each organization, and an access point. 通信品質設定に関する管理サーバの処理内容を示すフローチャートである。It is a flowchart which shows the processing content of the management server regarding communication quality setting. 課金管理に関して管理サーバが行う処理内容を示すフローチャートである。It is a flowchart which shows the processing content which a management server performs regarding charge management. 第2の実施形態に係るネットワークにおける管理サーバとアクセスポイント間での通信処理の内容を示すフローチャートである。It is a flowchart which shows the content of the communication process between the management server and access point in the network which concerns on 2nd Embodiment. 無線端末とアクセスポイント間での通信処理の内容を示すフローチャートである。It is a flowchart which shows the content of the communication process between a radio | wireless terminal and an access point. 各組織の有線LANのノードとアクセスポイント間での通信処理の内容を示すフローチャートである。It is a flowchart which shows the content of the communication process between the node of wired LAN of each organization, and an access point. 無線端末とアクセスポイント間での通信処理の内容を示すフローチャートである。It is a flowchart which shows the content of the communication process between a radio | wireless terminal and an access point. 第3の実施形態に係るネットワークの構成例を示す図である。It is a figure which shows the structural example of the network which concerns on 3rd Embodiment. LAN内を伝送するパケットとVPNパケットとの例を示す図である。It is a figure which shows the example of the packet and VPN packet which transmit within the LAN.

符号の説明Explanation of symbols

1−管理サーバ
2−VLAN−HUB
3−アクセスポイント
4−VLAN−HUB
5−無線端末 1-Management server 2-VLAN-HUB
3-Access point 4-VLAN-HUB
5-wireless terminal

Claims (9)

複数の組織に属する端末と各組織内のLANとがバックボーンにそれぞれ接続されたネットワークにおいて、
パケットに付加される付加情報と識別情報との関連付け情報を記憶する管理サーバを前記バックボーンに接続するとともに、
前記管理サーバからの関連付け情報を基に、前記端末から送られてくる識別情報に対応する付加情報を、前記端末から受け取ったパケットに付加してバックボーンへ送るとともに、前記組織内のLANから受け取ったパケットに付加されている付加情報に対応する識別情報を用いて該当の端末と通信する端末通信手段と、
前記組織内のLANから受け取ったパケットに当該組織を表す付加情報を付加し、前記バックボーンから受け取ったパケットの付加情報を外して当該パケットを前記組織内のLANへ送り出す組織LAN通信手段と、
を備えたことを特徴とするネットワーク。 In a network in which terminals belonging to multiple organizations and LANs in each organization are connected to the backbone,
A management server for storing association information between additional information added to a packet and identification information is connected to the backbone;
Based on the association information from the management server, additional information corresponding to the identification information sent from the terminal is added to the packet received from the terminal and sent to the backbone and received from the LAN in the organization. A terminal communication means for communicating with the corresponding terminal using identification information corresponding to the additional information added to the packet;
Organization LAN communication means for adding additional information representing the organization to the packet received from the LAN in the organization, removing the additional information of the packet received from the backbone, and sending the packet to the LAN in the organization;
A network characterized by comprising 前記端末から送られてくる識別情報はユーザIDと認証鍵であり、前記管理サーバは前記ユーザIDに含まれる組織ドメイン名と前記付加情報との関連付けを記憶するものであり、
前記識別情報を基に認証する認証サーバを前記バックボーンに接続し、
前記端末通信手段は前記端末から送られてくる識別情報を基に前記認証用サーバで認証を行うようにした請求項1に記載のネットワーク。 The identification information sent from the terminal is a user ID and an authentication key, and the management server stores an association between the organization domain name included in the user ID and the additional information,
An authentication server that authenticates based on the identification information is connected to the backbone,
The network according to claim 1, wherein the terminal communication unit performs authentication by the authentication server based on identification information transmitted from the terminal. 前記端末から送られてくる識別情報は当該端末のMACアドレスを含み、前記管理サーバは、前記認証サーバにより認証された端末の前記MACアドレスを前記付加情報に関連付けるようにした請求項2に記載のネットワーク。   The identification information sent from the terminal includes the MAC address of the terminal, and the management server associates the MAC address of the terminal authenticated by the authentication server with the additional information. network. 前記端末は無線端末であり、前記端末通信手段は前記無線端末との間で通信する無線アクセスポイントであり、前記識別情報は無線識別符号である請求項1に記載のネットワーク。   The network according to claim 1, wherein the terminal is a wireless terminal, the terminal communication unit is a wireless access point that communicates with the wireless terminal, and the identification information is a wireless identification code. 前記バックボーンはインターネットであり、前記管理サーバは前記インターネットに接続されていて、前記端末通信手段は前記インターネットに接続されたVPN対応の無線ルータである請求項1に記載のネットワーク。   The network according to claim 1, wherein the backbone is the Internet, the management server is connected to the Internet, and the terminal communication means is a VPN-compatible wireless router connected to the Internet. 前記管理サーバは、前記端末通信手段から通信パケット量に関する情報を抽出して該通信パケット量に応じた課金データを求める手段と、該課金データを出力する手段とを備えた請求項1〜5のうちいずれか1項に記載のネットワーク。   6. The management server according to claim 1, further comprising: means for extracting information related to a communication packet amount from the terminal communication means to obtain charging data corresponding to the communication packet amount; and means for outputting the charging data. The network according to any one of them. 前記端末通信手段は通信品質制御を行う手段を備え、前記管理サーバは前記端末通信手段に対して通信品質に関する情報を設定する手段を備えた請求項1〜6のうちいずれか1項に記載のネットワーク。   The said terminal communication means is provided with a means to perform communication quality control, The said management server is provided with the means to set the information regarding communication quality with respect to the said terminal communication means. network. 同一の無線空間を利用する複数の無線機器が無線端末との間で互いに干渉しない無線通信環境となるように前記無線機器の配置および設定を行い、
前記無線端末と該無線端末の属する組織内のLANに接続したノードとの間に、前記無線機器および該無線機器を介して通信を行う仮想回線を構成し、
前記通信の利用状況に応じて課金を行うネットワーク管理方法。 Arrangement and setting of the wireless device so that a plurality of wireless devices using the same wireless space is a wireless communication environment that does not interfere with each other with the wireless terminal,
A virtual circuit that performs communication via the wireless device and the wireless device is configured between the wireless terminal and a node connected to a LAN in the organization to which the wireless terminal belongs,
A network management method for performing charging according to the communication usage status. 同一の無線空間を利用する複数の無線機器が無線端末との間で互いに干渉しない無線通信環境となるように前記無線機器の配置および設定を行い、
前記無線端末と該無線端末の属する組織内のLANに接続したノードとの間に、前記無線機器および該無線機器を介して通信を行う仮想回線を構成し、
前記仮想回線の利用契約に応じて前記無線機器の通信パラメータを設定するネットワーク管理方法。 Arrangement and setting of the wireless device so that a plurality of wireless devices using the same wireless space is a wireless communication environment that does not interfere with each other with the wireless terminal,
A virtual circuit that performs communication via the wireless device and the wireless device is configured between the wireless terminal and a node connected to a LAN in the organization to which the wireless terminal belongs,
A network management method for setting communication parameters of the wireless device according to a usage contract for the virtual circuit.
JP2005205922A 2005-07-14 2005-07-14 Network and its management method Active JP4932187B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005205922A JP4932187B2 (en) 2005-07-14 2005-07-14 Network and its management method
CN201310608650.XA CN103595602B (en) 2005-07-14 2006-07-14 network and management method thereof
CN 200610105915 CN1897554A (en) 2005-07-14 2006-07-14 Network and its management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005205922A JP4932187B2 (en) 2005-07-14 2005-07-14 Network and its management method

Publications (2)

Publication Number Publication Date
JP2007028084A true JP2007028084A (en) 2007-02-01
JP4932187B2 JP4932187B2 (en) 2012-05-16

Family

ID=37609936

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005205922A Active JP4932187B2 (en) 2005-07-14 2005-07-14 Network and its management method

Country Status (2)

Country Link
JP (1) JP4932187B2 (en)
CN (2) CN103595602B (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015154152A (en) * 2014-02-12 2015-08-24 西日本電信電話株式会社 Relay system, low-order relay apparatus, high-order relay apparatus, relay method, and computer program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003069582A (en) * 2001-08-29 2003-03-07 Allied Tereshisu Kk Movement detection method of terminals for lan system, terminal movement detection processing program, recording medium for recording terminal movement detection processing program, control device for lan system and lan system
JP2004363878A (en) * 2003-06-04 2004-12-24 Nec Corp Network service connecting method/program/recording medium/system, access point, and wireless user terminal
JP2005020626A (en) * 2003-06-27 2005-01-20 Nec Corp Base station, wireless network system, wireless communication method and control program of base station

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1129272C (en) * 2000-12-15 2003-11-26 华为技术有限公司 Virtual local area network access method in ethernet access network
WO2004073237A2 (en) * 2003-02-06 2004-08-26 Symbol Technologies, Inc. Virtual wireless local area networks
CN1298144C (en) * 2003-06-17 2007-01-31 联想(北京)有限公司 A method for implementing WLAN piconet networking

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003069582A (en) * 2001-08-29 2003-03-07 Allied Tereshisu Kk Movement detection method of terminals for lan system, terminal movement detection processing program, recording medium for recording terminal movement detection processing program, control device for lan system and lan system
JP2004363878A (en) * 2003-06-04 2004-12-24 Nec Corp Network service connecting method/program/recording medium/system, access point, and wireless user terminal
JP2005020626A (en) * 2003-06-27 2005-01-20 Nec Corp Base station, wireless network system, wireless communication method and control program of base station

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015154152A (en) * 2014-02-12 2015-08-24 西日本電信電話株式会社 Relay system, low-order relay apparatus, high-order relay apparatus, relay method, and computer program

Also Published As

Publication number Publication date
CN1897554A (en) 2007-01-17
JP4932187B2 (en) 2012-05-16
CN103595602A (en) 2014-02-19
CN103595602B (en) 2016-09-07

Similar Documents

Publication Publication Date Title
JP4769815B2 (en) Restricted WLAN access for unknown wireless terminals
CN1503523B (en) Methods and apparatus for secure, portable, wireless and multi-hop data networking
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
CN100507895C (en) Serving network selection and multihoming using IP access network
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
US8630275B2 (en) Apparatus, method, and medium for self-organizing multi-hop wireless access networks
US7945777B2 (en) Identification information protection method in WLAN inter-working
JP2003060653A (en) Wireless network and authentication method therein
CN101711031B (en) Portal authenticating method during local forwarding and access controller (AC)
JP2011024065A (en) Cryptographic communication system and gateway device
US20120066492A1 (en) Method for making security mechanisms available in wireless mesh networks
JP5536628B2 (en) Wireless LAN connection method, wireless LAN client, and wireless LAN access point
JP4578917B2 (en) Apparatus, method and medium for self-organizing multi-hop radio access network
JP2012070225A (en) Network relay device and transfer control system
Nguyen et al. An SDN-based connectivity control system for Wi-Fi devices
WO2005111826A1 (en) Communication system
JP4932187B2 (en) Network and its management method
CN103108324A (en) Access authentication method and system
JP4996514B2 (en) Network system and message transfer method
Danzeisen et al. Heterogeneous communications enabled by cellular operators
CN115278660A (en) Access authentication method, device and system
JP2007329951A (en) Authentication server, network utilizing terminal, secondary terminal and communication method
Hecker et al. A new control access solution for a multi-provider wireless environment
Patel Successful implementation of emerging communication technologies in a mobile-intense organization: a case study of sydney airport

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080708

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110404

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110404

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110517

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110719

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111226

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120207

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120215

R150 Certificate of patent or registration of utility model

Ref document number: 4932187

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150224

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250