JP2007158869A - ルータ装置及び通信システム - Google Patents

ルータ装置及び通信システム Download PDF

Info

Publication number
JP2007158869A
JP2007158869A JP2005352842A JP2005352842A JP2007158869A JP 2007158869 A JP2007158869 A JP 2007158869A JP 2005352842 A JP2005352842 A JP 2005352842A JP 2005352842 A JP2005352842 A JP 2005352842A JP 2007158869 A JP2007158869 A JP 2007158869A
Authority
JP
Japan
Prior art keywords
router
address
vpn
lan
avp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005352842A
Other languages
English (en)
Other versions
JP4692258B2 (ja
Inventor
Mariko Yamada
真理子 山田
Masahide Nakamura
雅英 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Communication Technologies Ltd
Original Assignee
Hitachi Communication Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Communication Technologies Ltd filed Critical Hitachi Communication Technologies Ltd
Priority to JP2005352842A priority Critical patent/JP4692258B2/ja
Priority to US11/492,181 priority patent/US20070127461A1/en
Priority to CNA2006101076361A priority patent/CN1980175A/zh
Publication of JP2007158869A publication Critical patent/JP2007158869A/ja
Application granted granted Critical
Publication of JP4692258B2 publication Critical patent/JP4692258B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 L2VPNで拠点を接続すると、アドレス体系(ネットワーク)を統一する必要がある。ユーザが手動でアドレスを設定する場合、設定ミスにより、アドレス重複やネットワークの不統一が起こる可能性がある。
また、L2VPNで拠点間を接続した場合、VPNを経由してインターネットに接続するのは冗長であり、このような冗長経路を防止することが要求されている。
【解決手段】 VPNを構成するCEルータのうち、代表となるCEルータが、他のCEルータがLAN内に配布するアドレスを決定する。決定したアドレスをVPN確立時の制御メッセージに含めてCEルータに配布する。また、VPN確立時の制御メッセージには、CEルータがLAN内で使用するインタフェースのMACアドレスも含める。各CEルータは対向CEルータのMACアドレスに基づいて経路制御を行う。
【選択図】 図1

Description

本発明は、インターネットプロトコルを用いて、物理的に離れた拠点間で論理的な閉域ネットワーク(VPN)を構成する通信システムに関する。
インターネットプロトコル(IP)を用いてL2VPNを構築する方式として、EtherIP(RFC3378)、L2TPv3(RFC3931)等がIETFにより標準化されている。EtherIPでは、VPN装置が接続するLAN上を流れるイーサフレームを捕捉し、EtherIPヘッダおよびIPヘッダでカプセル化して対向のVPN装置に送信する。イーサフレームをEtherIPヘッダおよびIPヘッダでカプセル化したIPパケットを受信したVPN装置は、受信したIPパケットからイーサフレームを取り出し、IPパケットを受信したVPN装置が接続するLANにイーサフレームを送信することで、L2VPNを構築する。L2TPv3では、論理的な二つの通信路(制御チャネルとデータチャネル)を定義している。制御チャネルでは、制御コネクションやセッションの確立、解放を行う。データチャネルでは、確立されたセッションを利用して、イーサフレームの転送を行う。イーサフレームの転送には、L2TPセッションヘッダを用いる。セッションヘッダはIPヘッダまたはUDP、IPヘッダでカプセル化される。
L2VPNでローカルエリアネットワーク(LAN)間を接続すると、接続したLAN間でブロードキャストドメインを共有することができるため、ARP(Address Resolution Protocol)やNDP(Neighbor Discovery Protocol)を用いて、通信相手の端末のMACアドレス解決し、OSI(Open System Interconnection)参照モデルの第2層(Layer2:L2)のレベルで直接通信することができる。ARPやNDPでMACアドレスが解決できる範囲は、同一ネットワーク内のみのため、接続したLAN間でアドレス体系(ネットワーク)を統一する必要がある。そのため、ユーザは手動でアドレスを設定したり、DHCP(Dynamic Host Configuration Protocol)サーバを1拠点に集約したりしている。ユーザが手動でアドレスを設定する場合、設定ミスにより、アドレス重複やネットワークの不統一が起こり、通信不能となる可能性がある。また、DHCPサーバを1拠点に集約した場合、DHCPサーバが存在しない拠点の端末がIPアドレスを要求する際にVPNが確立されていないと、IPアドレスの要求メッセージがDHCPサーバに届かず、IPアドレスを取得することができない。端末からのIPアドレス要求は、任意に発生するため、常にVPNを確立しておく必要がある。
LAN内の端末とインターネット上の端末との通信路を提供するCE(Customer Edge)ルータ同士を、L2VPNで接続し、アドレス体系(ネットワーク)を統一した場合、CEルータのLAN側インタフェースは、VPNで接続されたどちらのLANからも同一ネットワーク内に存在するため、ARPやNDPを用いてCEルータのMACアドレスを解決し、L2レベルで直接通信することが可能となる。そのためVPNで接続したCEルータのうち、どちらのルータをネクストホップとして選択した場合でもインターネット上の端末と通信することが可能となる。しかし、VPNで接続されたCEルータを経由してインターネットに接続するのは、経路が冗長であり、このような冗長経路を防止することが要求されている。
VPNを構成するCEルータのうち、代表となるCEルータが、他のCEルータがLAN内に配布するアドレスを決定する。決定したアドレスをVPN確立時の制御メッセージに含めてCEルータに配布する。また、VPN確立時の制御メッセージには、CEルータがLAN内で使用するインタフェースのMACアドレスも含める。各CEルータは対向CEルータのMACアドレスに基づいて経路制御を行う。
本発明によると、アドレス体系の不統一やアドレスの重複を防ぐことができる。また、L2VPN内の端末がインターネット上の端末と通信する際に、冗長な経路を経由することを防ぐことができる。
図2は本発明が実施される通信システムを示している。本通信システムは、CEルータA101、CEルータB102、CEルータAが所属するLAN A203、CEルータBが所属するLAN B204、キャリア網205、ISP A網206、ISP B網207、インターネット208、LAN Aに接続する端末A-1 104、A-2 103、A-3 105、LAN Bに接続する端末B-1 107、B-2 106、B-3 108、インターネットに接続するサーバC109から構成される。CEルータA、B(101、102)、キャリア網205、ISP網A、B(206、207)およびインターネット208はインターネットプロトコルを利用して接続される。
図3−1はCEルータの構成例である。CEルータA101は、CPU(Central Processing Unit)301、メモリ302、インタフェース部304、305から構成される。CPU301は、各種アプリケーションプログラムや、OS(Operating System)を実際に実行する。メモリ302はCPU301の実行において使用するプログラムや、各種アプリケーションプログラムが格納される。CPU301とメモリ302は、バス303を介して接続される。インタフェース部304、305はCPU301やメモリ302から供給されたデータを外部の機器に供給したり、外部の機器からのデータを受信する。インタフェース部はそれぞれ回線(306、307)に接続され、インタフェース部304、305のうちどちらか一方はLAN A203に接続する回線、もう一方はキャリア網205に接続する回線である。
図3−2はメモリ302内に格納された情報を示している。メモリ302内には、配布アドレス管理テーブル308、接続CEルータ管理テーブル309、代表ルータアドレスプール310、ルータ情報管理テーブル311、グループIPアドレス管理テーブル316、接続CEルータ処理管理317などのテーブルおよび、制御コネクション確立処理312、セッション確立処理313、VPN転送処理314、IP転送処理315などのプログラムが格納されている。
制御コネクション確立処理312は、CEルータ間の制御コネクションの確立、解放処理を行う。セッション確立処理313は、CEルータ間のセッション確立、解放処理を行う。VPN転送処理314は、拠点内で捕捉したイーサフレームの転送および、他拠点から転送されたイーサフレームをLAN内に転送する処理を行う。IP転送処理315は、宛先MACアドレスが自宛のイーサフレームを受信し、IPのルーティングにしたがって転送する処理を行う。
図4−1は、配布アドレス管理テーブル308の構成例を示している。各CEルータに割り当てたLAN内に配布するアドレスを管理する。CEルータを特定するために、ルータID、ルータのIPアドレス、LAN内に配布するIPアドレスを管理する。
図4−2は、接続CEルータ管理テーブル309の構成例を示している。接続CEルータ管理テーブルはVPNで接続した対向のCEルータの情報を管理する。CEルータの情報には、ルータID、LAN側のMACアドレス、LAN側のIPアドレス、VPNを確立しているIPアドレスが含まれる。
図4−3は、代表ルータアドレスプール310の構成例を示している。本テーブルは、代表ルータが管理している配布可能なIPアドレスの範囲を示す。
図5−1は、ルータ情報管理テーブル311の構成例を示している。本テーブルは、自CEルータの情報を管理する。自CEルータの情報には、ルータID、自MACアドレス、ルータ種別、LAN端末数が含まれる。ルータ種別は、自CEルータか代表ルータか否かを示す。LAN端末数は、自CEルータが所属するLANに接続する最大端末数を示す。
図5−2はグループIPアドレス管理テーブル316の構成例を示している。本テーブルは、VPNグループを構成する他のCEルータのIPアドレスを管理する。
図5−3は接続CEルータ処理管理テーブル317の構成例を示している。本テーブルは、VPNに接続するCEルータを経由する通信の取り扱いを定義する。破棄の場合は、VPNに接続するCEルータを経由する通信を破棄し、上書きの場合には、VPNに接続するCEルータを経由する通信を上書きする。
図1は、本発明にかかる接続制御方式によって、LAN A203、LAN B204がVPNで接続されるシーケンスを示している。本実施例では、グループIPアドレス管理テーブル316は、ユーザにより既に設定されており、CEルータA101およびCEルータB102は到達可能なIPアドレスを互いに既知とする。また、ルータ情報管理テーブル311も既に設定されている。CEルータA101には、ルータ情報管理テーブル311のルータ種別が「代表」に設定されており、CEルータB102には「代表」には設定されていない。
図8−1は代表ルータの制御コネクション確立処理312フローを示す。また、図9−1は代表ルータ以外の制御コネクション確立処理312フローを示す。CEルータB102は、制御コネクションを確立するため、AVP(Attribute Value Pair)を作成する(ステップ901)。制御コネクション確立時の通常のAVPの他、ルータ情報管理テーブル311を参照し、ルータMACアドレスAVP、ルータ種別AVP、要求アドレス数AVPまたは配布アドレスAVPまたは配布アドレス範囲AVPを作成する。図6−1にルータMACアドレスAVPの概念図を示す。ルータMACアドレスAVPは、CEルータのLAN側インタフェースのMACアドレスを通知する際に用いる。図6−2にルータ種別AVPの概念図を示す。ルータ種別AVPは、CEルータが代表ルータ化否かを通知する際に用いる。図6−3要求アドレス数AVPの概念図を示す。要求アドレス数AVPは、代表ルータにアドレス割り当てを希望するアドレス数を通知する際に用いる。図7−1に配布アドレス範囲AVPの概念図を示す。図7−2には配布アドレスAVPの概念図を示す。配布アドレス範囲AVPおよび配布アドレスAVPは、配布アドレス管理テーブル308を参照して作成する。配布アドレス管理テーブル308に配布IPアドレスが設定されている場合は、配布アドレス範囲AVPまたは配布アドレスAVPを作成する。配布IPアドレスが設定済みの場合、前回の制御コネクション確立時に、既にアドレスが配布されていることを示す。配布アドレスが連続したIPアドレスである場合には、配布アドレス範囲AVPを用い、連続していない場合には、配布アドレスAVPを用いる。配布IPアドレスが設定されていない場合は、要求アドレスAVPを作成する。
CEルータB102は、Start-Control-Connection-Request(SCCRQ)メッセージをCEルータA101に送信する(ステップ902)。SCCRQメッセージを送信したCEルータB102は、応答メッセージを受信するまで待機する(ステップ903)。
CEルータA(代表ルータ)101は、SCCRQメッセージを受信する(ステップ801)と、SCCRQに付与されているAVPを解析し(ステップ802)、CEルータB102のルータID、CEルータB102のLAN側インタフェースのMACアドレス、ルータ種別、要求アドレス数または、CEルータB102の配布アドレス管理テーブル308に設定されている配布アドレスを取得する。VPNアドレスは、VPNの確立に利用する対向ルータへ到達可能なIPアドレスであり、SCCRQメッセージの送信元アドレスから取得する。本アドレスは、グループIPアドレス管理テーブル316に設定されているいずれかのIPアドレスと一致する。
ルータ種別から対向ルータが代表ルータか否かを判定し(ステップ803)、代表ルータである場合には、Stop-Control-Connection-Notification(StopCCN)を送信し(ステップ804)、処理を終了する。対向ルータが代表ルータでない場合は、取得したCEルータB102のルータID、MACアドレス、VPNアドレスを接続先CEルータ管理テーブル309に設定する(ステップ805)。
要求アドレス数AVPが含まれている場合は、代表ルータであるCEルータA101は、代表ルータアドレスプール310を参照し、CEルータA101が管理しているIPアドレスの中から、CEルータB102に要求されたアドレス数分アドレスを選択する。選択したアドレスの中から、CEルータB102のLAN側インタフェースに設定するアドレスとLAN内に配布アドレスを決定する。決定したアドレスを、配布アドレス管理テーブル308に設定する。
要求アドレス数AVPが含まれず(ステップ806)、配布アドレス範囲AVPまたは配布アドレスAVPが含まれている(ステップ807)場合は、配布アドレス管理テーブル308を参照し、既にCEルータB102に割り当てた配布アドレスと、配布アドレス範囲AVPまたは配布アドレスAVPで通知されたCEルータB102の配布アドレスが一致するかを判定する(ステップ808)。一致する場合は、CEルータB102から通知された配布アドレス範囲AVPまたは配布アドレスAVPをSCCRP送信時にそのまま用いる。一致しない場合は、要求アドレス数AVPが含まれている場合と同様の処理を行う(ステップ809)。配布アドレス範囲AVPまたは配布アドレスAVPが含まれていない(ステップ807)場合は、配布アドレスに関する処理は行わない。
CEルータA101は、SCCRQの応答として、Start-Control-Connection-Reply(SCCRP)メッセージを送信するために、SCCRPに付与するAVPを作成する。制御コネクション確立のためのAVPの他、ルータMACアドレスAVP、ルータ種別AVP、配布アドレス範囲AVPまたは配布アドレスAVPを作成する(ステップ810)。配布アドレス範囲AVPおよび配布アドレスAVPは、配布アドレス管理テーブル308を参照して作成する。配布アドレス範囲AVPおよび配布アドレスAVPは、対向CEルータが使用するLAN側のアドレスおよび、LAN内に配布するアドレスを対向CEルータへ通知する際に用いる。LAN側のアドレスはすべてのCEルータで共通のアドレスを使用してもよい。共通のアドレスを使用した場合、近接のCEルータがARPやNDPに応答する。CEルータA101作成したAVPを含むSCCRPを作成し、CEルータB102に送信する(ステップ811)。SCCRP送信後、CEルータA101は、Start-Control-Control-Connection-Connected (SCCCN)を受信するまで待機する(ステップ812)。SCCCNを受信したCEルータA101は制御コネクションを確立し(ステップ813)、制御コネクション確立処理312を終了する。
SCCRQの応答メッセージを受信(ステップ903)したCEルータB102は、メッセージを解析する。受信メッセージがStopCCNかを判定する(ステップ904)。StopCCNの場合には、制御コネクション確立処理を終了する。StopCCNでない場合は、受信メッセージがSCCRPかを判定する(ステップ905)。SCCRPでない場合は、SCCRPを受信するまで待機する。SCCRPを受信したCEルータB102は、メッセージに付与されているAVPを解析する(ステップ906)。配布アドレス範囲AVPまたは配布アドレスAVPから取得した配布IPアドレスを、配布アドレス管理テーブル308にルータID、IPアドレス、配布IPアドレスを設定する(ステップ907)。さらに、接続CEルータ管理テーブル309にルータID、通知されたMACアドレス、IPアドレス、VPNアドレスを設定する(ステップ908)。制御コネクションを確立し(ステップ909)、SCCCNをCEルータA101に送信し(ステップ910)、制御コネクション確立処理を終了する。
制御コネクション確立後、CEルータA101 およびB102は、セッション確立処理313を起動する。セッション確立処理313はIncoming-Call-Request(ICPQ)、Incoming-Call-Reply(ICRP)、Incoming-Call-Connected(ICCN)等のメッセージを交換し、VPNを確立する。
以上の処理により、CEルータA101およびB102は、LAN A、B間で統一したアドレスを配下のLAN 内に配布することが可能となる。代表CEルータA101からLAN内に配布するアドレスを取得したCEルータB102は、配布されたアドレスをメモリ内に保持するため、代表CEルータA101とのVPN接続が切断している場合でも、CEルータ配下のLAN内にアドレスを配布することが可能である。
各CEルータの配下の端末(103から108)は、端末の電源投入時にDHCPを用いてアドレスを取得する。DHCP DiscoverおよびDHCP Offerメッセージは、DHCPサーバの発見に用いる。DHCPサーバ機能はCEルータA101およびB102に実装されている。DHCP RequestおよびDHCP ACKメッセージは、各端末へのアドレス配布および確認に用いる。
VPN確立後、LAN A203内の端末A-1 104がLAN B204内の端末B-1 107、およびインターネット上のサーバC109と通信する様子を図1および図2を用いて説明する。
端末A-1 104は、LAN A203に接続した際に、CEルータA101からIPアドレス、デフォルトルータ、DNS等のLAN内の接続情報を配布される。端末A-1 104は配布された情報を設定する。CEルータA101は、デフォルトルータおよびDNSに自らのIPアドレスを指定するため、端末A-1 104デフォルトルータおよびDNSはCEルータA101に設定される。
端末A-1 104は、ARP RequestおよびARP Replyメッセージを用いて通信相手である端末B-1 107のMACアドレスを解決する。
端末A-1 104がLAN B204内の端末B-1 107と通信する場合、端末A-1 104は、端末B-1 107のMACアドレスを解決するために、ARP RequestメッセージをLAN A203 上に送信する。図10−1にVPN転送処理(送信側)の処理フローを示す。LAN A203上に送信されたイーサフレームはCEルータA101に捕捉される(ステップ1001)。ルータ情報管理テーブル311を参照し、捕捉したイーサフレームの宛先MACアドレスが自宛てか否かを判定する(ステップ1002)。イーサフレームの宛先が自宛の場合には、捕捉したイーサフレームを破棄し処理を終了する(ステップ1008)。自宛以外の場合は、接続CEルータ管理テーブル309を参照し、イーサフレームの宛先MACアドレスが、VPNで接続しているCEルータのMACアドレスか否かを判定する(ステップ1003)。イーサフレームの宛先MACアドレスが、VPNで接続しているCEルータのMACアドレスと一致する場合(ステップ1004)は、接続CEルータ処理管理テーブル317を参照する。テーブルの値が、「破棄」の場合(ステップ1005)には、イーサフレームを破棄し(ステップ1007)処理を終了する。「上書き」の場合(ステップ1006)には、イーサフレームを上書きし、LAN 側回線に出力し(ステップ1007)、処理を終了する。
イーサフレームの宛先MACアドレスが、VPNで接続しているCEルータのMACアドレスと一致しない場合は、捕捉したイーサフレームにL2TPヘッダ、IPヘッダを付与する(ステップ1006)。ステップ1005で作成したIPパケットを回線に出力し、処理を終了する(ステップ1007)。
ARP Requestメッセージは、宛先MACアドレスが、ブロードキャストアドレスのため、自宛でなく(ステップ1002)、VPNで接続しているCEルータのMACアドレスと一致しないため(ステップ1003、1004)、L2TPヘッダ、IPヘッダが付与され(ステップ1006)、キャリア網に接続する回線に出力される(ステップ1007)。
図10−2にVPN転送処理(受信側)の処理フローを示す。IPパケットを受信したCEルータB102は、IPペイロードを確認し、L2TPヘッダが付与されているかを確認する(ステップ1008、1009)。L2TPヘッダが付与されていない場合には、処理を終了する。L2TPヘッダが付与されている場合は、L2TPヘッダでカプセル化されているイーサフレームを取得する(ステップ1010)。取得したイーサフレームを、CEルータB102のLAN側回線に出力し(ステップ1011)、処理を終了する。
LAN B204に出力されたARP Requestメッセージは、LAN B204内の全ての端末(端末B-1、B-2、B-3)に受信される。ARP Requestメッセージを受信した端末は、解決を要求されているアドレスが自インタフェースに付与されているアドレスか否かを確認し、自インタフェースに付与されているアドレスの場合には、ARP Replyメッセージを送信する。
ARP Replyメッセージの宛先MACアドレスは、ARP Requestを送信した端末のアドレスのため、自宛でなく(ステップ1002)、VPNで接続しているCEルータのMACアドレスとも一致しないため(ステップ1003、1004)、L2TPヘッダ、IPヘッダが付与され(ステップ1006)、キャリア網に接続する回線に出力される(ステップ1007)。
キャリア網に接続する回線からIPパケットを受信したCEルータA102は、VPN転送処理314を実施し、LAN側回線にARP Replyメッセージを出力する。
以上により、端末A-1 104は、端末B-1 107のMACアドレスを解決する。
端末B-1 107のMACアドレスの解決を行った端末A-1 104は、宛先IPアドレスを端末B-1 107としたIPパケットを、宛先MACアドレスが端末B-1 107のイーサフレームでカプセル化し、LAN A203上に送信する。LAN A203上に送信された送信されたイーサフレームはCEルータA101のVPN転送処理314によって処理される。本イーサフレームの場合、宛先MACアドレスが、自宛でなく(ステップ1002)、VPNで接続しているCEルータのMACアドレスと一致しないため(ステップ1003、1004)、L2TPヘッダ、IPヘッダが付与され(ステップ1006)、キャリア網に接続する回線に出力される(ステップ1007)。
キャリア網に接続する回線からIPパケットを受信したCEルータB102は、VPN転送処理314を実施し、LAN側回線にイーサフレームを出力する。
以上により、端末A-1 104および端末B-1 107は、L2で接続し通信することができる。
端末A-1 104がインターネット上のサーバC109と通信する場合、端末A101のデフォルトルータはCEルータA101が配布されるため、宛先IPアドレスをサーバC109としたIPパケットを、宛先MACアドレスがCEルータA101のイーサフレームでカプセル化し、LAN A203上に送信する。送信されたイーサフレームは、CEルータA101宛なので、IP転送処理315により処理される。その後、IPのルーティングに従って、キャリア網205、ISP A206、インターネット208へとルーティングされ、サーバC109へと転送される。以上により、端末A-1 104とサーバC109は通信することができる。
一方、端末A-1 104がLAN A203に接続した際に、CEルータA101からLAN 内の接続情報が配布されない場合、端末A-1 104に手動でデフォルトルートを設定する必要がある。LAN A203およびLAN B204は、L2VPNで接続されているため、CEルータA101、B102のどちらをデフォルトルートに設定しても、サーバC109と通信することが可能である。しかし、デフォルトルートをCEルータB102に設定した場合、VPNを経由するため冗長なトラヒックが発生する。このような冗長な経路が本発明により防止される様子を説明する。本実施例では、接続CEルータ処理管理の値が、「上書き」に設定されているものとする。
端末A-1 104は、デフォルトルートをCEルータB102としてサーバC109へIPパケットを送信する。端末A-1 104が送信したイーサフレームはCEルータA101で捕捉される(ステップ1001)。ルータ情報管理テーブル311を参照し、捕捉したイーサフレームの宛先MACアドレスが自宛てか否かを判定する(ステップ1002)。イーサフレームの宛先が自宛の場合には、捕捉したイーサフレームを破棄し処理を終了する(ステップ1008)。自宛以外の場合は、接続CEルータ管理テーブル309を参照し、イーサフレームの宛先MACアドレスが、VPNで接続しているCEルータのMACアドレスか否かを判定する(ステップ1003)。イーサフレームの宛先MACアドレスが、VPNで接続しているCEルータのMACアドレスと一致する場合(ステップ1004)は、接続CEルータ処理管理テーブル317を参照する。テーブルの値が、「破棄」の場合(ステップ1005)には、イーサフレームを破棄し(ステップ1007)処理を終了する。本実施例では、テーブルの値が「上書き」(ステップ1006)であるので、イーサフレームの宛先MACアドレスをCEルータA101のMACアドレスで上書きし(ステップ1006)、LAN A203に接続する回線を利用して出力する。出力したイーサフレームは、再度CEルータA101で受信され、IP転送処理315によって処理され回線に出力される。出力されたIPパケットは、IPのルーティングにより、キャリア網205、ISP A網206、インターネット208へ転送され、サーバC109と通信することができる。
以上により、端末A -1 104のデフォルトルート設定を誤った場合でも、適切なルートを経由しサーバC109と通信することが可能となる。
実施例2では、代表CEルータから制御コネクション確立を促す例について説明する。図11は、CEルータA(代表)101から、対向CEルータであるB102に、制御コネクション確立を促すシーケンスを示している。発明が実施される通信システムおよび、各種テーブルの設定条件は実施例1と同様である。
図8−2は代表ルータのコネクション制御確立処理312フローを示す。図9−2は、代表ルータ以外の制御コネクション確立処理フローを示す。
CEルータA101は、対向CEルータに制御コネクション確立を促すため、AVPを作成する(ステップ814)。制御コネクション確立時の通常のAVPの他、ルータ種別AVPを作成する。作成したAVPをSCCRQメッセージに付与し、SCCRQをCEルータB102に送信する(ステップ815)。CEルータA101は、SCCRQを送信後、応答メッセージを受信するまで待機する。
SCCRQメッセージを受信(ステップ910)したCEルータB102は、AVPを解析する(ステップ911)。ルータ種別AVPが代表ルータに設定されている場合は、代表CEルータA101からの制御コネクション確立要求と判断する。StopCCNを送信し処理を終了する(ステップ912、913)。StopCCN送信後、CEルータB102は、図9−1に示す制御コネクション確立処理を行う。以後の処理は、実施例1と同様である。CEルータA101は、StopCCNを受信し処理を終了し、CEルータB102からのSCCRQメッセージ受信まで待機する。
ルータ種別AVPが代表に設定されていない場合は、配布アドレスの設定を伴わない制御コネクション確立要求と判断する。他のAVPを確認し、MACアドレスAVPが設定されている場合は、接続CEルータ管理テーブルの設定を行う(ステップ914、915)。MACアドレスAVPが設定されていない場合は、接続CEルータ管理テーブルの設定は行わない。制御コネクションを確立し(ステップ916)、SCCNを送信し(ステップ917)、処理を終了する。
VPN確立後のVPN転送処理314については実施例1と同様である。 以上により、代表CEルータから代表以外のCEルータにVPNの確立を促すことが可能となる。本実施例は、代表ルータのアドレスプールを変更した際などに、他のCEルータの設定を変更する場合に有効である。
実施例3では、CEルータA101、B102間でVPNを確立、また、ISPへは、CEルータB102からのみ接続している。LAN A203内の端末A-1 104は、LANB内の端末-1 107との通信は可能であるが、端末A-1 104とサーバC109との通信を遮断する例について説明する。なお、端末B-1 107からサーバC109へ通信することは可能である。
図12は、本発明が実施される通信システムを示している。本通信システムは、CEルータA101、B102、CEルータAが所属するLAN A203、CEルータBが所属するLAN B204、キャリア網205、ISP B207、インターネット208、LAN Aに所属する端末A-1 104、LAN Bに所属する端末B-1 107、インターネットに所属するサーバC109から構成される。CEルータA101、B102、キャリア網205、ISP B網207、インターネット208はインターネットプロトコルを利用して接続される。
CEルータA101、B102は、実施例1と同様の処理を行いCEルータA101、B102間でVPNを確立する。端末A-1 104から端末B-1 107への通信は、実施例1と同様に処理され通信可能となる。以後、端末A-1 104からサーバC109への通信について説明する。
端末A-1 104からデフォルトルートをCEルータA102としてサーバC109へパケットを送信した場合、IP転送処理315によって処理される。CEルータA101には、サーバC109へのルートがないため、サーバC109パケットは廃棄される。
また、端末A-1 104が、デフォルトルートをCEルータB102としてサーバC109へパケットを送信した場合、端末A-1 104が送信したイーサフレームはCEルータA101で捕捉される(ステップ1001)。ルータ情報管理テーブル311を参照し、捕捉したイーサフレームの宛先MACアドレスが自宛てか否かを判定する(ステップ1002)。イーサフレームの宛先が自宛の場合には、捕捉したイーサフレームを破棄し処理を終了する(ステップ1008)。自宛以外の場合は、接続CEルータ管理テーブル309を参照し、イーサフレームの宛先MACアドレスが、VPNで接続しているCEルータのMACアドレスか否かを判定する(ステップ1003)。
イーサフレームの宛先MACアドレスが、VPNで接続しているCEルータのMACアドレスと一致する場合は、接続CEルータ処理管理テーブル317を参照する。破棄の場合(ステップ1005)には、パケットを破棄し(1008)、処理を終了する。テーブルの値が「上書き」(ステップ1006)の場合は、イーサフレームの宛先MACアドレスをCEルータA101のMACアドレスで上書きし(ステップ1006)、LAN A203に接続する回線を利用して出力する。出力したイーサフレームは、再度CEルータA101で受信され、IP転送処理315によって処理される。CEルータA101には、サーバC109へのルートがないため、サーバC109宛のパケットは廃棄される。
以上により、端末A-1 104とサーバC109との通信を遮断することが可能となる。本実施例により、ISP網との接続契約をしていないLAN A内の端末がインターネット上のサーバCと通信することを防止することができる。
実施例4では、キャリア網内にVPN管理サーバ1301を導入し、対向のCEルータのIPアドレスをVPN管理サーバから取得する例について説明する。
図13は、本実施例が実施されるネットワークの概念図を示している。本実施例では実施例1にVPN管理サーバ1301を追加する。VPN管理サーバは、VPNグループとCEルータから登録された到達可能IPアドレスと各CEルータのルータ種別を管理する。また、VPNグループ内で利用するLAN側のアドレスおよび、接続CEルータ処理管理テーブルの設定ポリシーを管理してもよい。
図14は、VPN管理サーバ1301から到達可能なIPアドレスを取得し、本発明が実施されるシーケンスを示している。CEルータA101は、CEルータA101の到達可能IPアドレスをVPN管理サーバ1301に登録する。VPN管理サーバ1301はCEルータA101が属するVPNグループを確認し、既に登録済みのCEルータが存在する場合は、登録済みのCEルータ到達可能IPアドレスをCEルータA101に配布する。VPN管理サーバがVPNグループ内で利用するLAN側アドレスを管理している場合には、代表のCEルータにアドレスプールを配布する。アドレスプールが配布された場合、代表ルータであるCEルータA101は、代表ルータアドレスプールテーブル310の設定を行う。
その後、CEルータB101 は、VPN管理サーバ1301にアドレス登録を行う。VPN管理サーバ1301は、既に登録済みのCEルータアドレス配布を行う。アドレスを配布されたCEルータB102は、グループIPアドレス管理テーブルに配布されたアドレスを登録する。登録されたアドレスに対して制御コネクション確立処理312を実施する。その後は実施例1と同様に処理を行い、VPNの確立、転送処理を行う。
以上により、複数のVPNにおけるアドレス配布ポリシーを一元的に管理することが可能となる。
図15は本発明がISP網を利用して実施される通信システムを示している。本通信システムは、CEルータA101、CEルータB102、CEルータAが所属するLAN A203、CEルータBが所属するLAN B204、キャリア網205、ISP A網206、インターネット208、LAN Aに所属する端末A-1 104、LAN Bに所属する端末B-1 107、インターネットに接続するサーバC109から構成される。CEルータA、B(101、102)、キャリア網205、ISP網A206およびインターネット208はインターネットプロトコル(IP)を利用して接続されるCEルータA101およびB102は、ISP A網206を経由して到達可能なIPアドレスを1つ以上保持しているものとする。本通信システムにおいて、実施例1、2、3,4と同様にVPNの確立、転送処理を行う。
以上により、ISPがVPNサービスを提供する場合でも、実施例1、2、3、4と同様の効果を提供することが可能となる。
図16は本発明がキャリア兼ISP網を利用して実施される通信システムを示している。本通信システムは、CEルータA101、CEルータB102、CEルータAが所属するLAN A203、CEルータBが所属するLAN B204、キャリア兼ISP 網1501、インターネット208から構成される。CEルータA、B(101、102)、キャリア兼ISP網1501およびインターネット208はインターネットプロトコル(IP)を利用して接続される。本通信システムにおいて、実施例1、2、3,4と同様にVPNの確立、転送処理を行う。
以上により、キャリアとISPサービスを兼ねる通信事業者がVPNサービスを提供する場合でも、実施例1、2、3、4と同様の効果を提供することが可能となる。
本発明が実施される様子を示したシーケンス図 本発明が実施される通信システムを示した概念図 本発明で用いられるCEルータの内部構成(3−1)と内部処理(3−2)を示した概念図。 配布アドレス管理テーブル(4−1)、接続CEルータ管理テーブル(4−2)、代表ルータアドレスプールテーブル(4−3)を示した概念図。 ルータ情報管理テーブル(5−1)、グループIPアドレス管理テーブル(5−2)、接続CEルータ処理管理テーブル(5−3)を示した概念図。 ルータMACアドレスAVP(6−1)、ルータ種別AVP(6−2)、要求アドレス数AVP(6−3)を示した概念図。 配布アドレス範囲AVP(7−1)、配布アドレスAVP(7−2)を示した概念図。 代表CEルータの制御コネクション確立処理を示すフローチャート。 代表CEルータ以外の制御コネクション確立処理を示すフローチャート。 送信側(10−1)と受信側(10−2)のVPN転送処理を示すフローチャート。 代表CEルータが制御コネクション確立処理を促すシーケンス図。 一方のCEルータのみISP網に接続される通信システムで、本発明が実施される様子を示した概念図。 VPN管理サーバが存在する通信システムで、本発明が実施される様子を示した概念図。 VPN管理サーバを利用し、本発明が実施される様子を示したシーケンス図。 ISP網でVPNを提供する通信システムにおいて、本発明が実施される様子を示した概念図。 キャリア兼ISP網でVPNを提供する通信システムにおいて、本発明が実施される様子を示した概念図。
符号の説明
101…CEルータA、102…CEルータB、103…端末A-2 、104…端末A-1、105…端末A-3、106…端末B-2、107…端末B-1、108…端末B-3、109…サーバC、203…LAN A、204…LAN B、205…キャリア網、206…ISP A網、207…ISP B網、208…インターネット、301…CPU、302…メモリ、303…バス、304…インタフェース、305…インタフェース、306…回線、307…回線、308…配布アドレス管理テーブル、309…接続CEルータ管理テーブル、310…代表ルータアドレスプールテーブル、311…ルータ情報管理テーブル。312…制御コネクション確立処理、313…セッション確立処理、314…VPN転送処理…314、315…IP転送処理、316…グループIPアドレス管理テーブル、317…接続CEルータ処理管理テーブル、1301…VPN管理サーバ1301、1601…キャリア兼ISP網。

Claims (7)

  1. VPNを介して少なくとも一つの他のルータ装置と接続されたルータ装置であって、
    該ルータ装置が収容するネットワーク及び上記複数の他のルータ装置のうち少なくともいずれか一つに配布する設定情報、またはフィルタリングに関する情報のうち少なくともいずれか一方を、上記他のルータ装置と相互に送受信することを特徴とするルータ装置。
  2. 上記設定情報は、ローカルエリアネットワークで利用するIPアドレスであることを特徴とする請求項1に記載のルータ装置。
  3. 上記フィルタリングに関する情報は、上記ルータ装置がローカルエリアネットワークに接続するインタフェースのMACアドレスであることを特徴とする請求項1に記載のルータ装置。
  4. 上記設定情報および上記フィルタリングに関する情報を、VPN確立時に上記ルータ装置と上記他のルータ装置との間で交換することを特徴とする請求項1に記載のルータ装置
  5. 上記VPNの確立にはL2TPを用いることを特徴とする請求項1に記載のルータ装置。
  6. VPNを介して接続された複数のルータ装置を備えた通信システムであって、上記複数のルータ装置のうちの一のルータ装置が、他のルータ装置が該他のルータ装置が収容するローカルエリアネットワークに配布する情報を保持し、該情報を上記他のルータ装置に送信することを特徴とする通信システム。
  7. VPNを介して接続された複数のルータ装置を備えた通信システムであって、上記複数のルータ装置のうち一のルータ装置が、自ルータ装置のインタフェースの情報を他のルータ装置に送信し、上記他のルータ装置は、上記インタフェースの情報に基づき通信データの破棄または宛先の変更のうち少なくともいずれか一方を行うことを特徴とする通信システム。
JP2005352842A 2005-12-07 2005-12-07 ルータ装置及び通信システム Expired - Fee Related JP4692258B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005352842A JP4692258B2 (ja) 2005-12-07 2005-12-07 ルータ装置及び通信システム
US11/492,181 US20070127461A1 (en) 2005-12-07 2006-07-25 Router and communication system
CNA2006101076361A CN1980175A (zh) 2005-12-07 2006-07-28 路由器装置及通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005352842A JP4692258B2 (ja) 2005-12-07 2005-12-07 ルータ装置及び通信システム

Publications (2)

Publication Number Publication Date
JP2007158869A true JP2007158869A (ja) 2007-06-21
JP4692258B2 JP4692258B2 (ja) 2011-06-01

Family

ID=38118638

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005352842A Expired - Fee Related JP4692258B2 (ja) 2005-12-07 2005-12-07 ルータ装置及び通信システム

Country Status (3)

Country Link
US (1) US20070127461A1 (ja)
JP (1) JP4692258B2 (ja)
CN (1) CN1980175A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014523173A (ja) * 2011-07-08 2014-09-08 アルカテル−ルーセント インターネットプロトコルネットワーク上でイーサネットパケットをルーティングするための集中型システム
WO2023182203A1 (ja) * 2022-03-25 2023-09-28 ソニーグループ株式会社 情報処理方法、情報処理装置、及び情報処理システム

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2922392B1 (fr) * 2007-10-12 2011-03-04 Thales Sa Dispositif et procede pour aiguiller des flux d'echange de valeurs publiques (ou non sensibles) permettant de creer des cles secretes communes entre plusieurs zones.
CN101227407B (zh) * 2008-01-25 2011-08-10 华为技术有限公司 基于二层隧道协议的报文发送方法及装置
FR2936387B1 (fr) * 2008-09-25 2016-01-08 Canon Kk Procede de gestion d'espaces d'adressage lors d'une ouverture d'un tunnel de communication, tete de tunnel, produit programme d'ordinateur et moyen de stockage correspondant.
US8351340B2 (en) * 2010-04-14 2013-01-08 Honeywell International Inc. Method for detecting a proxy ARP agent in secure networks having embedded controllers
CN102137173B (zh) * 2010-12-27 2014-09-03 华为技术有限公司 路由信息发布方法、设备及虚拟专用网系统
JP5682782B2 (ja) * 2011-07-11 2015-03-11 村田機械株式会社 中継サーバ及び中継通信システム
US10110417B1 (en) 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
US10601653B2 (en) * 2012-07-06 2020-03-24 Cradlepoint, Inc. Implicit traffic engineering
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
CN102752210B (zh) * 2012-07-09 2015-10-14 瑞斯康达科技发展股份有限公司 一种局域网间传输报文的方法和系统
US10873540B2 (en) * 2016-07-06 2020-12-22 Cisco Technology, Inc. Crowd-sourced cloud computing resource validation
US11418382B2 (en) * 2018-07-17 2022-08-16 Vmware, Inc. Method of cooperative active-standby failover between logical routers based on health of attached services
DE102020129224B4 (de) 2020-11-05 2022-10-06 genua GmbH Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000228674A (ja) * 1999-02-04 2000-08-15 Nippon Telegr & Teleph Corp <Ntt> 複数拠点間通信におけるアドレス割り当て方法及び複数拠点間の通信方法並びにその接続装置
JP2004080703A (ja) * 2002-08-22 2004-03-11 Ntt Comware Corp ネットワーク間通信方法およびそれに使用されるゲート装置並びに端末装置
JP2004266415A (ja) * 2003-02-28 2004-09-24 Nifty Corp 接続装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7054321B1 (en) * 2000-10-27 2006-05-30 Redback Networks Inc. Tunneling ethernet
US7111065B2 (en) * 2000-11-29 2006-09-19 Efficient Networks, Inc. Method and apparatus for managing tunneled communications in an enterprise network
JP4728511B2 (ja) * 2001-06-14 2011-07-20 古河電気工業株式会社 データ中継方法、その装置およびその装置を用いたデータ中継システム
US7260085B2 (en) * 2002-03-21 2007-08-21 Acme Packet, Inc. System and method for determining a destination for an internet protocol packet
US7009983B2 (en) * 2002-11-05 2006-03-07 Enterasys Networks, Inc. Methods and apparatus for broadcast domain interworking
US20040165600A1 (en) * 2003-02-21 2004-08-26 Alcatel Customer site bridged emulated LAN services via provider provisioned connections
US20040223497A1 (en) * 2003-05-08 2004-11-11 Onvoy Inc. Communications network with converged services
TWI253818B (en) * 2004-10-29 2006-04-21 Benq Corp Transparent address translation methods

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000228674A (ja) * 1999-02-04 2000-08-15 Nippon Telegr & Teleph Corp <Ntt> 複数拠点間通信におけるアドレス割り当て方法及び複数拠点間の通信方法並びにその接続装置
JP2004080703A (ja) * 2002-08-22 2004-03-11 Ntt Comware Corp ネットワーク間通信方法およびそれに使用されるゲート装置並びに端末装置
JP2004266415A (ja) * 2003-02-28 2004-09-24 Nifty Corp 接続装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014523173A (ja) * 2011-07-08 2014-09-08 アルカテル−ルーセント インターネットプロトコルネットワーク上でイーサネットパケットをルーティングするための集中型システム
WO2023182203A1 (ja) * 2022-03-25 2023-09-28 ソニーグループ株式会社 情報処理方法、情報処理装置、及び情報処理システム

Also Published As

Publication number Publication date
CN1980175A (zh) 2007-06-13
JP4692258B2 (ja) 2011-06-01
US20070127461A1 (en) 2007-06-07

Similar Documents

Publication Publication Date Title
JP4692258B2 (ja) ルータ装置及び通信システム
KR101477153B1 (ko) 가상 레이어 2 및 그 확장성 증대를 위한 메커니즘
US7636360B2 (en) Dynamic VLAN ID assignment and packet transfer apparatus
EP2624525B1 (en) Method, apparatus and virtual private network system for issuing routing information
US8751617B2 (en) Method and device for identifying and selecting an interface to access a network
US7489700B2 (en) Virtual access router
EP1559245A1 (en) Methods and apparatus for broadcast domain interworking
WO2007006195A1 (fr) Dispositif de routage d’un dispositif d’accès et procédé correspondant acceptant une configuration passive d’adresse
US20070195804A1 (en) Ppp gateway apparatus for connecting ppp clients to l2sw
WO2007112691A1 (fr) Système, procédé et dispositif réseau permettant à un client de réseau privé virtuel (vpn) d&#39;accéder à un réseau public
JP2012503388A (ja) 多重インターネット・アクセスを提供する方法およびゲートウェイ
US8437357B2 (en) Method of connecting VLAN systems to other networks via a router
EP1693997A2 (en) Interworking from Internet Protocol to virtual private LAN service
JP3813908B2 (ja) プライベート網間接続方法およびゲートウェイ制御装置
US20080049765A1 (en) Method and system for inter working a point-to-point link and a LAN service
RU2310994C2 (ru) Фильтр для разделения трафика
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP4011528B2 (ja) ネットワーク仮想化システム
JP2005033250A (ja) 中継装置とポートフォワード設定方法
Cisco Layer 3 Protocols over ATM
KR101038811B1 (ko) 상호 연결된 브리지 망에서 동적 주소 결합 방법을 이용한 연결형 및 비연결형 프레임 전송 방법
JPH1032597A (ja) Lan間接続装置
JP2008263437A (ja) ネットワークシステム及び集約装置
JP3423618B2 (ja) Lan間接続装置及びlan間接続システム
JP2023130772A (ja) ネットワーク管理システム、vpn装置、ネットワーク管理方法及びネットワーク管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080908

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080908

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20090914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110125

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110207

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140304

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees