JP2007174583A - ネットワーク中継装置 - Google Patents

ネットワーク中継装置 Download PDF

Info

Publication number
JP2007174583A
JP2007174583A JP2005373031A JP2005373031A JP2007174583A JP 2007174583 A JP2007174583 A JP 2007174583A JP 2005373031 A JP2005373031 A JP 2005373031A JP 2005373031 A JP2005373031 A JP 2005373031A JP 2007174583 A JP2007174583 A JP 2007174583A
Authority
JP
Japan
Prior art keywords
multicast
network
communication terminal
registered
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005373031A
Other languages
English (en)
Other versions
JP4615435B2 (ja
Inventor
Daisuke Takita
大介 滝田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2005373031A priority Critical patent/JP4615435B2/ja
Publication of JP2007174583A publication Critical patent/JP2007174583A/ja
Application granted granted Critical
Publication of JP4615435B2 publication Critical patent/JP4615435B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】マルチキャストグループに参加している通信端末に対して、通信端末と接続が認証されたネットワークからのマルチキャストのIPパケットのみを転送するネットワーク中継装置を得ること。
【解決手段】通信端末31−1〜31−3に対応付けて、通信端末31−1〜31−3との接続が認証されたVLAN51−1〜51−3が登録される認証情報テーブル142と、VLAN51−1〜51−3およびマルチキャストグループに対応付けて、VLAN51−1〜51−3においてマルチキャストグループの物理的または論理的なインタフェースであるルート情報が登録されるマルチキャストルーティングテーブル144とを備え、ルーティング処理部13は、マルチキャストのIPパケットを転送する際には、認証情報テーブル142およびマルチキャストルーティングテーブル144を用いてIPパケットの送信先を選択する。
【選択図】 図1

Description

本発明は、異なるネットワークを相互接続するネットワーク中継装置に関するものであり、特に、一方のネットワークに接続される通信端末がマルチキャストによる通信を行う際のセキュリティを強化するネットワーク中継装置に関するものである。
ネットワーク中継装置であるゲートウェイ装置は、たとえば、家庭に構築されたLAN(Local Area Network)とインターネット接続業者が構築するネットワーク、オフィス内に構築されたLANと企業幹線網など、LANとWAN(Wide Area Network)とを接続する目的で利用されている。
一般的に、ゲートウェイ装置は、IP(Internet Protocol)パケット内の宛先アドレスに基づいてIPパケットを転送するルータ機能に加え、LAN側に接続される通信装置におけるIPアドレス設定を簡易化するためにIPアドレスを自動的に払い出すDHCP(Dynamic Host Configuration Protocol)サーバ機能や、IPアドレス資源を効率的に使用するためにLAN側に接続された通信装置が使用するプライベートIPアドレスとWAN側で使用するグローバルIPアドレスとを変換するNAT(Network Address Translation)機能などを備えている。
また、ゲートウェイ装置は、TCP/IP(Transmission Control Protocol/Internet Protocol)通信において、LAN側の通信装置とWAN側の通信装置とが用いる制御用プロトコルのメッセージを中継するためのDNS(Domain Name System)やIGMP(
Internet Group Management Protocol)などのプロキシ機能を備えている。
一方、ゲートウェイ装置に接続されるWANは、物理的な接続形態とは独立に仮想的なグループを設定し、接続する通信端末の物理的な位置を意識することなくネットワークを構成するVLAN(Virtual Local Area Network)によって構成されることが多い。そのため、従来から、VLANに対応するゲートウェイ装置に関する種々の技術が考えられている。
たとえば、特許文献1には、ユーザの認証結果に応じて特定のVLANとユーザが利用する通信端末とを接続させる制御機能を有したゲートウェイ装置に関する技術が開示されている。具体的には、認証情報送受信手段が、ユーザを認証するための認証情報を通信端末から受信し、認証要求手段が、認証情報送受信手段によって受信された認証情報に応じて認証ネットワークある認証サーバに認証要求を行い、認証応答手段が、認証サーバから認証の要求に対する応答を表す認証応答情報を受信し、認証応答手段によって受信された認証応答情報が認証の成功を示す場合に、ユーザ認可手段が、ユーザと対応する仮想ネットワークを識別するための仮想ネットワーク識別情報に従って仮想ネットワークとユーザが利用する通信端末とを接続する。すなわち、ゲートウェイ装置は、複数のLAN側の通信端末が、通信端末毎に論理的に分離された異なるWANに認証を得た上で接続するようにしている。
これにより、LAN側においては全ての通信端末が同一のネットワークに属しながら、これらのLAN側の通信端末は認証された場合にはそれぞれ異なるWANに接続することができる。換言すれば、WANに接続するための認証されていないLAN側の通信端末は、そのWANに接続することができない。したがって、LAN側の通信端末は、LANに接続されたプリンタのような機器を共用することができ、かつ通信端末毎に異なるサービスを提供するWANに認証を経た上で接続することができる。
また、異なるWANにおいて重複したIPアドレスが使用される場合でも、認証されたLAN側の通信装置は、目的とするWANにのみ接続することができるという副次的な効果もある。
特開2005−149337号公報
しかしながら、上記特許文献1に記載の従来のゲートウェイ装置は、LAN側の通信端末を認証してそれぞれ異なるWANに接続した後のIPパケットの中継する際に、WAN側からのIPマルチキャストトラフィックの転送に関して、いくつかの問題を含んでいる。
通常のIPマルチキャスト転送機能を備えるゲートウェイ装置は、WAN側からのIPマルチキャストトラフィックをLAN側の全通信端末が受信可能な形態で転送する。そのため、LAN側の通信端末は、接続していないWANからのマルチキャストトラフィックを受信してしまう。
上記特許文献1には、マルチキャストトラフィックの転送に関する技術は開示されていない。上記特許文献1に記載のゲートウェイ装置が通常のIPマルチキャスト転送機能によってマルチキャストトラフィックを転送する場合、LAN側の通信端末が特定のWANのみに接続することを認証していても、WAN側からのマルチキャストトラフィックに関しては、接続認証を経ていないWANからのマルチキャストトラフィックをLAN側の通信端末に送信する。これにより、LAN側の通信端末は、接続認証されていないWANからのマルチキャストトラフィックを受信可能となる。すなわち、上記特許文献1に記載の従来技術では、WAN側からのマルチキャストトラフィックに対しては、認証結果を考慮することができず、認証機能を十分に生かしてセキュリティを向上することができないという問題があった。
また、従来のゲートウェイ装置は、複数のWANからのマルチキャストトラフィックをLAN側の全通信端末が受信可能な形態で転送するため、LAN側の通信端末がマルチキャストトラフィックを誤って受信することがあるという通信システム上の問題があった。たとえば、ゲートウェイ装置が接続する複数のWANを介してインターネットのような同一のネットワークに接続されている場合に、ネットワーク上のマルチキャスト配信装置からのマルチキャストトラフィックが、複数のWANを経由してゲートウェイ装置に入力されると、重複したマルチキャストトラフィックがLAN側の通信端末に転送されることとなり、LAN側の通信端末が同一のマルチキャストトラフィックを重複して受信することとなってしまう場合がある。
さらに、従来のゲートウェイ装置がWAN側からのIPマルチキャストトラフィックをLAN側の全通信端末が受信可能な形態で転送ため、LANにおけるIPマルチキャストトラフィックが不要に増大して、通信システムとしての性能を低下させるという問題もあった。
本発明は、上記に鑑みてなされたものであって、マルチキャストグループに参加している通信端末に対して、当該通信端末と接続が認証されたネットワークからのマルチキャストのIPパケットのみを転送するネットワーク中継装置を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、1若しくは複数の通信端末が接続される第1のネットワークと、複数の仮想ネットワークが構築される第2のネットワークとの間に配置され、前記通信端末が前記複数の仮想ネットワークの少なくとも1つへ接続を認証する認証処理部を有し、この認証処理部によって認証された場合のみ、前記通信端末を前記仮想ネットワークに接続してIPパケットを転送するネットワーク中継装置において、前記通信端末に対応付けて、前記認証処理部によって接続が認証された仮想ネットワークが登録される認証情報テーブルと、前記IPパケットの受信インタフェースに対応付けて前記受信インタフェースが収容する仮想ネットワークが登録されるインタフェーステーブルと、前記仮想ネットワークおよびマルチキャストグループに対応付けて、当該仮想ネットワークにおいて当該マルチキャストグループの物理的、または論理的なインタフェースが登録されるマルチキャストルーティングテーブルと、前記仮想ネットワークおよび宛先IPプリフィックスに対応付けて、当該仮想ネットワークにおいて当該宛先IPプリフィックスの物理的、または論理的なインタフェースが登録されるルーティングテーブルと、前記中継すべきIPパケットがマルチキャストのIPパケットの場合には、前記認証情報テーブルおよび前記マルチキャストルーティングテーブルを用いてIPパケットの送信先を選択し、前記中継すべきIPパケットがマルチキャストとは異なるIPパケットの場合には、前記インタフェーステーブルおよび前記ルーティングテーブルを用いてIPパケットの送信先を選択し、選択した送信先にIPパケットを送信するルーティング処理部と、を備えることを特徴とする。
この発明によれば、通信端末との接続が認証された仮想ネットワークおよびマルチキャストグループとに対応付けて、当該仮想ネットワークにおいて当該マルチキャストグループの物理的、または論理的なインタフェースが登録されるマルチキャストルーティングテーブルを備え、複数の仮想ネットワークが構築されるネットワークからのマルチキャストのIPパケットを転送する場合、マルチキャストのIPアドレスを受信した仮想ネットワーク、マルチキャストのIPパケットのマルチキャストグループアドレス、およびマルチキャストルーティングテーブルに基づいてマルチキャストのIPパケットの送信先を選択するようにしているため、マルチキャストグループに参加している通信端末に対して、当該通信端末と接続が認証されたネットワークからのマルチキャストのIPパケットのみを転送することを可能にし、通信システムのセキュリティを向上することができるネットワーク中継装置を得ることができるという効果を奏する。
以下に、本発明にかかるネットワーク中継装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1〜図12を参照してこの発明の実施の形態1を説明する。図1は、この発明における実施の形態1のネットワーク中継装置であるゲートウェイ装置の構成、およびゲートウェイ装置が適用される通信システムの構成を示す図である。図1において、通信システムは、1若しくは複数(この場合は3台)の通信端末31−1〜31−3を有するLAN(Local Area Network)3と、複数(この場合は3つ)のVLAN(Virtual Local Area Network)51−1〜51−3が構築されているWAN(Wide Area Network)5と、LAN3とWAN5との間に配置され、LAN3内の通信端末31−1〜31−3のVLAN51−1〜51−3へのアクセス認証、およびアクセス認証した通信端末31−1〜31−3とVLAN51−1〜51−3とのIP(Internet Protocol)パケットを転送するゲートウェイ装置1を備えている。
通信端末31−1〜31−3は、たとえば、パーソナルコンピュータやIP(Internet Protocol)電話、TV放送受信機などの通信機器であり、LAN3のネットワークインタフェース機能、およびTCP/IP(Transmission Control Protocol/Internet Protocol)に基づいた通信機能を備え、ゲートウェイ装置1を介してVLAN51−1〜51−3と接続して、VLAN51−1〜51−3に接続される図示していない通信端末やサーバなどと相互通信を行う。
通信端末31−1〜31−3とゲートウェイ装置1との間の通信、すなわちLAN3側における通信は、一般的な、TCP/IPに基づいたIPパケットを含むイーサネット(登録商標)で用いられるイーサネット(登録商標)フレーム(以下、レイヤ2フレームとする)が用いられる。具体的には、レイヤ2フレームは、宛先MACアドレス、送信元MACアドレス、およびデータ長を有するMACヘッダと、バージョン、インターネットヘッダ長、サービスタイプ、トータル長、識別子、フラグ、フラグメント・オフセット、プロトコルタイプ、ヘッダ・チェックサム、送信元IPアドレス、および宛先IPアドレスを有するIPヘッダと、データとで構成される。
VLAN51−1〜51−3は、通信端末31−1〜31−3が接続する物理的、若しくは論理的なネットワーク(仮想ネットワーク)である。以下、VLAN51−1〜51−3は、IEEE(Institute of Electrical and Electronic Engineers)802.1Qによって規定されるVLANであることを前提として説明するが、ゲートウェイ装置1が選択的に通信可能なネットワークであれば、たとえば、MPLS(Multi-Protocol Label Switching)におけるLSP(Label Switched Path)や、PPP(Point-to-Point Protocol)コネクションなどであってもかまわない。
VLAN51−1〜51−3とゲートウェイ装置1との間の通信、すなわち、WAN3側における通信は、一般的な、TCP/IPに基づいたIPパケットを含むVLANタグ付きのイーサネット(登録商標)フレーム(以下、タグ付きレイヤ2フレームとする)が用いられるものとする。また。タグ付きレイヤ2フレームは、上述したレイヤ2フレームのMACヘッダの送信元MACアドレスとデータ長との間に、VLAN識別子を含むVLANに関する情報が設定されるVLANタグを有している。
ゲートウェイ装置1は、認証処理部11、IGMP(Internet Group Management Protocol)プロキシ処理部12、ルーティング処理部13、記憶部14、および複数(この場合は4つ)のポート15−1〜15−4を備えている。
ポート15−1〜15−4は、通信端末31−1〜31−3が接続されるLAN3のネットワークインタフェース、およびVLAN51−1〜51−3のネットワークインタフェースの機能を備えている。図1においては、ポート15−1が通信端末31−1を収容し、ポート15−2が通信端末31−2を収容し、ポート15−3が通信端末31−3を収容し、ポート15−4がVLAN51−1〜51−3を収容している。ここでは、LAN3およびVLAN51−1〜51−3のネットワークインタフェースをイーサネット(登録商標)とするがこれに限るものではない。また、ネットワークインタフェースは、有線であっても、無線であってもよく、その通信速度も特に制限するものではない。
記憶部14は、ゲートウェイ装置1がIPパケットを転送するために必要な情報を記憶する。図1においては、接続情報テーブル141、認証情報テーブル142、マルチキャスト参加状態情報テーブル143、マルチキャストルーティングテーブル144、ルーティングテーブル145、インタフェーステーブル146、およびポートテーブル147を記憶する。
接続情報テーブル141には、通信端末31−1〜31−3を利用するユーザおよび通信端末31−1〜31−3のアクセス認証に必要な情報が登録される。図2は、接続情報テーブル141に対する登録項目を示すものであり、ここでは登録項目として、ユーザ名およびパスワードを挙げている。ユーザ名には、通信端末31−1〜31−3を利用するユーザを識別するためのユーザ識別子が登録される。パスワードはユーザ名に対応付けられており、ユーザ名に登録されたユーザ識別子を認証するためのパスワードが登録される。
認証情報テーブル142には、認証されたユーザが利用する通信端末31−1〜31−3が接続するネットワークを識別するために必要な情報が登録される。図3は、認証情報テーブル142に対する登録項目を示すものであり、ここでは登録項目として、端末情報およびVLAN情報を挙げている。端末情報には、通信端末31−1〜31−3を識別するための端末識別子が登録される。端末識別子としては、通信端末31−1〜31−3のIPアドレスやMACアドレス、通信端末31−1〜31−3を収容するポート15−1〜15−3に付与されているポート識別子などが用いられる。VLAN情報は端末情報に対応付けられており、端末情報に登録された端末識別子を有する通信端末31−1〜31−3が接続するネットワークであるVLAN51−1〜51−3を識別するためのネットワーク識別子であるVLAN識別子が登録される。
マルチキャスト参加状態情報テーブル143には、通信端末31−1〜31−3が参加するマルチキャストグループの情報が登録される。図4は、マルチキャスト参加状態情報テーブル143に対する登録項目を示すものであり、ここでは登録項目として、端末情報および宛先マルチキャストグループ情報を挙げている。端末情報には、通信端末31−1−1〜31−3を識別するための端末識別子が登録さる。宛先マルチキャストグループ情報は端末情報に対応付けられており、端末情報に登録された端末識別子を有する通信端末31−1〜31−3が参加するマルチキャストグループを識別するためのマルチキャストグループ識別子が登録される。ここでは、マルチキャストグループ識別子として、マルチキャストグループアドレスを用いている。
インタフェーステーブル146は、図5に示すように、IPパケットの受信インタフェースとネットワーク情報との対応付けが登録される。図5は、図1に示したWAN5側の物理的もしくは論理的なネットワークがVLAN51−1〜51−3の場合であり、受信インタフェースおよびネットワーク情報には、VLAN51−1〜51−3のVLAN識別子が登録されている。
マルチキャストルーティングテーブル144には、マルチキャストのIPパケットを転送する際のルーティング処理に必要な情報が登録される。図6は、マルチキャストルーティングテーブル144に対する登録項目を示すものであり、ここでは登録項目として、VLAN情報と、宛先マルチキャストグループ情報と、ルート情報とを挙げている。VLAN情報には、VLAN51−1〜51−3を識別するためのVLAN識別子が登録される。宛先マルチキャストグループ情報には、転送すべきIPパケットがどのマルチキャストグループのIPパケットであるかを識別するためのマルチキャストグループ識別子が登録される。図6においては、マルチキャストグループ識別子として、マルチキャストグループアドレスを用いている。ルート情報はVLAN情報および宛先マルチキャストグループ情報に対応付けられており、VLAN情報に登録されたVLAN識別子が示すVLANにおいて、宛先マルチキャストグループ情報に登録されたマルチキャストグループ識別子が示すマルチキャストグループの物理的、または論理的なインタフェースが登録される。ここでは、ルート情報として、宛先マルチキャストグループ情報に登録されたマルチキャストグループアドレスが示すマルチキャストグループに参加している通信端末31−1〜31−3を識別するための端末識別子が登録されている。
ルーティングテーブル145には、マルチキャストのIPパケットとは異なるIPパケットを転送する際のルーティング処理に必要な情報が登録される。図7は、ルーティングテーブル145に対する登録項目を示すものであり、ここでは登録項目として、VLAN情報と、宛先IPプリフィックス情報と、ルート情報とが挙げられている。VALN情報には、IPパケットを送信するVLAN51−1〜VLAN51−3を識別するためのVLAN識別子が登録される。宛先IPプリフィックス情報には、IPパケットの宛先IPプリフィックスが登録される。ルート情報はVLAN情報および宛先IPプリフィックス情報に対応付けられており、VLAN情報に登録されているVLAN識別子が示すVLAN51−1〜51−3において、宛先IPプリフィックス情報に登録されている宛先IPプリフィックスが示す物理的、または論理的なインタフェースが登録される。ここでは、ルート情報として、VLAN識別子や通信端末31−1〜31−3のMACアドレス、通信端末31−1〜31−3を収容するポート識別子などを用いている。
ポートテーブル情報には、IPパケットを出力するポート15−1〜15−3を選択するために必要な情報が登録される。図8は、ポートテーブル147に対する登録項目を示すものであり、ここでは登録項目として、ポート情報および接続情報が登録される。ポート情報には、ポート15−1〜15−4を識別するためのポート識別子が登録される。接続情報はポート情報に対応付けられており、ポート情報に登録されたポート識別子が示すポート15−1〜15−4が収容する通信端末31−1〜31−3を識別するための端末識別子や、VLAN51−1〜51−3を識別するためのVLAN識別子が登録される。
認証処理部11は、通信端末31−1〜31−3から受信した認証要求のレイヤ2フレーム(以下、認証要求フレームとする)および離脱要求のレイヤ2フレーム(以下、離脱要求フレームとする)と、接続情報テーブル141とに基づいて、通信端末31−1〜31−3がVLAN51−1〜51−3への接続を認証するアクセス認証処理を行うとともに、認証情報テーブル142の登録および抹消処理を行う。
IGMPプロキシ処理部12は、一般的なIGMPプロキシの機能に加え、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144を管理する機能を備えている。具体的には、IGMPプロキシ処理部12は、LAN3に対しては、通信端末31−1〜31−3との間でIGMP通信を行って、通信端末31−1〜31−3が参加するマルチキャストグループの情報を収集し、収集した情報に基づいてマルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の登録および更新処理を行う。また、WAN5側に対してはVLAN51−1〜51−3において独立したIGMPホストとしての処理を行う。
ルーティング処理部13は、認証情報テーブル142、マルチキャストルーティングテーブル144、ルーティングテーブル145、インタフェーステーブル146、およびポートテーブル147に基づいてIPパケットの転送先を選択してIPパケットを転送する。
なお、図1に示したゲートウェイ装置1は、本発明に関わる構成要素のみを記載しており、実際には、たとえば、ファイアウォール機能、DNS(Domain Name System)プロキシ機能、DHCP(Dynamic Host Configuration Protocol)サーバ機能、DHCPクライアント機能、NAT(Network Address Translation)機能など、一般的なゲートウェイ装置の機能を備えていてもかまわない。
また、WAN5を構成するネットワークが、MPLSにおけるLSPやPPPコネクションなどである場合、当該する論理ネットワークにおける通信に必要な機能を備える必要があるが、これらの機能は、一般的な論理ネットワークにおける通信に必要とされる機能であり、本発明に関わる機能ではないためここではその説明を省略する。
つぎに、図1〜図12を参照してこの発明におけるゲートウェイ装置1の動作を説明する。まず、図9のフローチャートを参照して、認証情報テーブル142の登録処理を含む認証処理の動作について説明する。通信端末31−1〜31−1を用いて通信を行なう際に、ユーザは、予め付与されたユーザ名およびパスワードなどを入力して接続処理を行う。通信端末31−1〜31−3は、入力されたユーザ名、パスワード、予め付与されている端末識別子およびVLAN識別子を含む認証要求フレームをゲートウェイ装置1に送信する。
ゲートウェイ装置1の認証処理部11は、ポート15−1〜15−3を介して認証要求フレームを受信すると(ステップS100)、認証要求フレームからユーザ名およびパスワードを抽出する(ステップS101)。認証処理部11は、抽出したユーザ名およびパスワードを検索キーとして接続テーブルを検索する(ステップS102)。
検索キーと一致するユーザ名およびパスワードを検出した場合(ステップS103,Yes)、認証処理部11は、認証要求フレームから端末識別子およびLVAN識別子を抽出する(ステップS104)。認証処理部11は、抽出した端末識別子およびVLAN識別子を認証情報テーブル142に登録する(ステップS105)。認証処理部11は、接続を認証したことを示す認証処理結果を含むレイヤ2フレームを通信端末31−1に送信して認証処理を終了する(ステップS106)。
一方、検索キーと一致するユーザ名およびパスワードを検出できなかった場合(ステップS103,No)、接続不可であることを示す認証処理結果を含むレイヤ2フレームを通信端末31−1に送信して認証処理を終了する(ステップS107)。
この認証処理によって認証を受け、認証情報テーブル142に登録された通信端末31−1〜31−3のみが、認証情報テーブル142に登録されたVLAN51−1〜51−3への接続が可能となる。
なお、認証に用いる接続情報テーブル141は、ゲートウェイ装置1とは異なる認証サーバに備えるようにしてもよい。この場合、ゲートウェイ装置1は、認証サーバとの通信手段および認証サーバ内の接続情報テーブル141を参照する機能を備えるようにすればよい。認証サーバとの通信手段は、一般的には、RADIUS(Remote Authentication Dial In User Service)などが用いられるが、本発明においては、どのようなものであってもかまわない。
また、認証要求フレーム内にVLAN識別子を含めるようにしたが、通信端末31−1〜31−3が接続するVLAN51−1〜51−3が1つである場合には、認証要求フレーム内にVLAN識別子を含めなくてもかまわない。この場合、通信端末31−1〜31−3の端末識別子と当該通信端末31−1〜31−3が接続するVLAN51−1〜51−3を示すVLAN識別子とを対応付けたテーブルをゲートウェイ装置1の記憶部14に記憶しておき、認証要求フレーム内の端末識別子に基づいてテーブルを検索してVLAN識別子を選択するようにすればよい。
つぎに、認証情報テーブル142の抹消処理の動作について説明する。通信を終了する際に、通信端末31−1〜31−3は、端末識別子を含む離脱要求フレームをゲートウェイ装置1に送信する。
ゲートウェイ装置1の認証処理部11は、ポート15−1〜15−3を介して離脱要求フレームを受信すると、離脱要求フレームから端末識別子を抽出する。認証処理部11は、抽出した端末識別子を検索キーとして認証情報テーブル142の端末情報に登録されている端末識別子を検索し、検索キーと一致する端末識別子を検出する。認証処理部11は、検出した端末識別子を端末情報から削除するとともに、当該端末情報に対応付けてVLAN情報に登録されているVLAN識別子を削除する。
認証処理部11は、認証情報テーブル142から端末識別子およびVLAN識別子を削除した後に、削除した端末識別子およびVLAN識別子を含む抹消指示をIGMPプロキシ処理部12に通知する。IGMPプロキシ処理部12は、抹消指示を受けると後述するマルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理を実行する。
なお、認証情報テーブル142の抹消処理は、離脱要求フレームの受信以外を契機として実行するようにしてもよい。たとえば、ゲートウェイ装置1の図示しない入力手段から入力される削除指示や、予め定められた所定の時間内に通信が行われなかった場合、通信端末31−1〜31−3とゲートウェイ装置1を接続するケーブルがはずされたことを検出した場合などに実行するようにしてもよい。
具体的には、ゲートウェイ装置1の図示しない入力手段から入力される削除指示によって認証情報テーブル142の抹消処理を実行する場合、管理者は、入力手段を用いて、認証情報テーブル142から削除する通信端末31−1〜31−3の端末識別子を含む削除指示を入力する。削除指示を受けると、認証処理部11は、削除指示内から端末識別子を抽出して、離脱要求から抽出した端末識別子の代わりに抽出した端末識別子を用いて認証情報テーブル142の抹消処理を実行する。
また、予め定められた所定の時間内に通信が行われなかった際に認証情報テーブル142の抹消処理を実行する場合、認証処理部11は、認証処理を行った通信端末31−1〜31−3毎に転送するIPパケットを監視する。監視の結果予め定められた所定の時間内に通信が行われなかった通信端末31−1〜31−3を検出した場合、認証処理部11は、離脱要求から抽出した端末識別子の代わりに、検出した通信端末31−1〜31−3の端末識別子を用いて認証情報テーブル142の抹消処理を実行する。
また、通信端末31−1〜31−3とゲートウェイ装置1を接続するケーブルがはずされたことを検出して認証譲歩テーブルの抹消処理を実行する場合、認証処理部11は、ポートケーブルのリンクダウンによってポート15−1〜15−3からケーブルがはずされたことを検出し、検出したポート15−1〜15−3に接続されている端末識別子をポートテーブル147から検出する。認証処理部11は、離脱要求から抽出した端末識別子の代わりに、検出した端末識別子を用いて認証情報テーブル142の抹消処理を実行する。
つぎに、図10のフローチャートを参照して、マルチキャスト参加状態テーブルおよびマルチキャストルーティングテーブル144の登録処理の動作について説明する。ゲートウェイ装置1のIGMPプロキシ処理部12は、IGMP通信として、マルチキャストグループ問い合せ要求(IGMP Query メッセージ)をLAN3側の通信端末31−1〜31−3に送信する。マルチキャストグループ問い合せ要求を受信すると、マルチキャストグループに参加している通信端末31−1〜31−3は、端末識別子および参加しているマルチキャストグループのマルチキャストグループアドレスを含むマルチキャスト参加要求(IGMP Report メッセージ)を送信する。
ゲートウェイ装置1のIGMPプロキシ処理部12は、マルチキャスト参加要求を受信すると(ステップS200)、受信したマルチキャスト参加要求から端末識別子およびマルチキャストグループアドレスを抽出する(ステップS201)。IGMPプロキシ処理部12は、抽出した端末識別子およびマルチキャストグループアドレスの組がマルチキャスト参加状態情報テーブル143に登録済みであるか否かを判定する(ステップS202)。抽出した端末識別子およびマルチキャストグループアドレスの組がマルチキャスト参加情報状態テーブルに登録済みである場合、IGMPプロキシ処理部12は、マルチキャスト参加状態テーブルおよびマルチキャストルーティングテーブル144の登録処理を終了する。
抽出した端末識別子およびマルチキャストグループアドレスの組がマルチキャスト参加情報状態テーブルに登録に登録されていない場合、IGMPプロキシ処理部12は、抽出した端末識別子およびマルチキャストグループアドレスの組をマルチキャスト参加状態情報テーブル143に登録する(ステップS203)。具体的には、マルチキャスト参加状態情報テーブル143の端末情報に抽出した端末識別子を、宛先マルチキャストグループ情報に抽出したマルチキャストグループアドレスを登録する。
IGMPプロキシ処理部12は、抽出した端末識別子および認証情報テーブル142に基づいてVLAN識別子を選択する(ステップS204)。具体的には、IGMPプロキシ処理部12は、抽出した端末識別子を検索キーとして認証情報テーブル142の端末情報に登録されている端末識別子を検索し、検索キーと一致する端末識別子に対応付けて認証情報テーブル142のVLAN情報に登録されているVLAN識別子を選択する。
IGMPプロキシ処理部12は、選択したVLAN識別子と、マルチキャスト参加要求から抽出した端末識別子およびマルチキャストグループアドレスをマルチキャストルーティングテーブル144に登録する(ステップS205)。具体的には、IGMPプロキシ処理部12は、選択したVLAN識別子およびマルチキャストグループアドレスを検索キーとして、マルチキャストルーティングテーブル144のVLAN情報および宛先マルチキャストグループ情報を検索する。検索キーと一致するVLAN識別子およびマルチキャストグループアドレスを検出した場合、IGMPプロキシ処理部12は、検出したVLAN識別子およびマルチキャストグループアドレスが登録されているVLAN情報および宛先マルチキャストグループ情報に対応付けられているルート情報にマルチキャスト参加要求から抽出した端末識別子を追加する。検索キーと一致するVLAN識別子およびマルチキャストグループアドレスが検出することができなかった場合、IGMPプロキシ処理部12は、VLAN情報に選択したVLAN識別子を登録し、宛先マルチキャストグループ情報にマルチキャスト参加要求から抽出したマルチキャストグループアドレスを登録し、ルート情報にマルチキャスト参加要求から抽出した端末識別子を登録する。
IGMPプロキシ処理部12は、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の登録処理を終了した後に、IGMPホストの機能として、図示していないWAN5側に接続されたルータとの間でIGMP通信を行う。具体的には、WAN5を介して受信したマルチキャストグループ問合せ要求に対して、当該WAN5が示すVLAN51−1〜51−3に関して保持するマルチキャスト参加状態情報を参照して、マルチキャストグループ問合せ内容に合致するマルチキャストグループ参加要求を送信する。
つぎに、図11のフローチャートを参照して、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理の動作について説明する。ゲートウェイ装置1のIGMPプロキシ処理部12は、IGMP通信として、マルチキャストグループ問い合せ要求(IGMP Query メッセージ)をLAN3側の通信端末31−1〜31−3に送信する。マルチキャストグループ問い合せ要求を受信すると、マルチキャストグループから離脱する通信端末31−1〜31−3は、端末識別子および離脱するマルチキャストグループのマルチキャストグループアドレスを含むマルチキャスト離脱要求(IGMP Leave メッセージ)を送信する。
ゲートウェイ装置1のIGMPプロキシ処理部12は、マルチキャスト離脱要求を受信すると(ステップS300)、受信したマルチキャスト離脱要求から端末識別子およびマルチキャストグループアドレスを抽出する(ステップS301)。
IGMPプロキシ処理部12は、抽出した端末識別子およびマルチキャストグループアドレスの組をマルチキャスト参加状態情報テーブル143から削除する(ステップS302)。IGMPプロキシ処理部12は、抽出したマルチキャストアドレスに対応付けてマルチキャストルーティングテーブル144に登録されている端末識別子に関する情報を削除する(ステップS303)。
具体的には、IGMPプロキシ処理部12は、抽出した(マルチキャストグループ参加状態情報テーブルから削除した)マルチキャストグループアドレスを検索キーとして、マルチキャストルーティングテーブル144の宛先マルチキャストグループ情報を検索し、検索キーと一致するマルチキャストグループアドレスを抽出する。IGMPプロキシ処理部12は、マルチキャストグループ参加状態情報テーブルから削除した端末識別子を抽出したマルチキャストグループに対応付けられているルート情報から削除する。ルート情報に他の端末識別子が登録されている場合、IGMPプロキシ処理部12は、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理を終了する。
ルート情報に他の端末識別子が登録されていない場合、IGMPプロキシ処理部12は、削除した端末識別子が登録されているルーと情報に対応付けられている宛先マルチキャストグループ情報に登録されているマルチキャストグループアドレスおよびVLAN情報に登録されているVLAN識別子を削除して、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理を終了する。
IGMPプロキシ処理部12は、マルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理を終了した後に、IGMPホストの機能として、図示していないWAN5側に接続されたルータとの間でIGMP通信を行う。具体的には、WAN5を介して受信したマルチキャストグループ問合せ要求に対して、当該WAN5が示すVLAN51−1〜51−3に関して保持するマルチキャスト参加状態情報を参照して、マルチキャストグループ問合せ内容に合一するマルチキャストグループ離脱要求を送信する。
なお、上述したマルチキャスト参加状態情報テーブル143およびマルチキャストルーティングテーブル144の抹消処理は、上述した認証処理部11からの抹消指示によっても実行される。この場合、IGMPプロキシ処理部12は、抹消指示に含まれる端末識別子を検索キーとしてマルチキャスト参加状態情報テーブル143の端末情報を検索して、検索キーと一致する端末情報に対応付けられている宛先マルチキャストグループ情報を削除するとともに、削除したマルチキャストグループアドレスおよび抹消処理に含まれる端末識別子を用いてマルチキャストルーティングテーブル144を更新するようにすればよい。
つぎに、図12のフローチャートを参照して、IPパケットの転送処理の動作について説明する。なお、ルーティングテーブル145は、一般的なルータの機能によって予め作成されているものとする。ルーティング処理部13は、ポート15−1〜15−4を介してIPパケットを含むフレームを受信すると(ステップS400)、受信したフレームがタグ付きレイヤ2フレームであるか否かを判定する(ステップS401)。受信したフレームがタグ付きレイヤ2フレームの場合、ルーティング処理部13は、インタフェーステーブル146に基づいてVLAN51−1〜51−3を選択する(ステップS402)。具体的には、タグ付きレイヤ2フレームのVLANタグから受信インタフェースであるVLAN識別子を抽出し、抽出したVLAN識別子を検索キーとしてインタフェーステーブル146の受信インタフェースを検索し、検索キーと一致する受信インタフェースに対応付けられてインタフェーステーブル146のユーザネットワーク情報に登録されているVLAN識別子を選択する。
一方、受信したフレームがレイヤ2フレームの場合、ルーティング処理部13は、認証情報テーブル142に基づいてVLANを選択する(ステップS403)。具体的には、レイヤ2フレームに含まれる端末識別子を検索キーとして認証情報テーブル142の端末情報を検索し、検索キーと一致する端末情報に対応付けて認証情報テーブル142のVLAN情報に登録されているVLAN識別子を選択する。
VLAN識別子を選択した後、ルーティング処理部13は、受信したフレームのIPヘッダの送信先IPアドレスに設定されているIPアドレスがマルチキャストグループアドレスであるか否かを判定する(ステップS404)。送信先IPアドレスに設定されているIPアドレスがマルチキャストアドレスである場合、ルーティング処理部13は、マルチキャストルーティングテーブル144およびポートテーブル147に基づいてIPパケットの送信先を選択してIPパケットを転送する(ステップS405)。
具体的には、ルーティング処理部13は、インタフェーステーブル146または認証情報テーブル142を用いて選択したVLAN識別子、およびIPヘッダの送信先IPアドレスに設定されているIPアドレス(マルチキャストグループアドレス)の組を検索キーとして、マルチキャストルーティングテーブル144のVLAN情報および宛先マルチキャストグループ情報を検索し、検索キーと一致するVLAN情報および宛先マルチキャストグループ情報に対応付けてマルチキャストルーティングテーブル144のルート情報に登録されている端末識別子を取得する。ルーティング処理部13は、取得した端末識別子を検索キーとしてポートテーブル147の接続情報を検索して端末識別子が示す通信端末31−1〜31−3を収容しているポート15−1〜15−3を示すポート識別子を選択する。ルーティング処理部13は、IPヘッダ中の生存時間の減算、チェックサム再計算などの一般的なルータのパケット転送処理によってIPパケットを含むレイヤ2フレームを生成し、生成したレイヤ2フレームを選択したポート識別子が示すポート15−1〜15−3に送信する。
一方、送信先IPアドレスに設定されているIPアドレスがマルチキャストアドレスではない場合、ルーティング処理部13は、ルーティングテーブル145およびポートテーブル147に基づいてIPパケットの送信先を選択してIPパケットを転送する(ステップS406)。
具体的には、ルーティング処理部13は、インタフェーステーブル146または認証情報テーブル142を用いて選択したVLAN識別子、およびIPヘッダの送信先IPアドレスに設定されているIPアドレス(IPプリフィックス)の組を検索キーとしてルーティングテーブル145のVLAN情報および宛先IPプリフィックス情報を検索し、検索キーと一致するVLAN情報および宛先プリフィックス情報に対応付けてルーティングテーブル145のルート情報に登録されているVLAN識別子や通信端末31−1〜31−3のMACアドレス、通信端末31−1〜31−3を収容するポート識別子などの送信先の識別情報を取得する。ルーティング処理部13は、宛先IPプリフィックス情報の検索においては、最長一致検索を行う。
送信先の識別情報が、自身を示す場合には、ルーティング処理部13は、IPパケットを送信することなく当該IPパケットのデータに基づいた処理を実行する。送信先の識別情報が通信端末31−1〜31−3を示す場合、ルーティング処理部13は、IPヘッダ中の生存時間の減算、チェックサム再計算などの一般的なルータのパケット転送処理によってIPパケットを含むレイヤ2フレームを生成する。送信先の識別情報がWAN5側を示す場合、ルーティング処理部13は、チェックサム再計算などの一般的なルータのパケット転送処理によってIPパケットを含むタグ付きレイヤ2フレームを生成する。タグ付きレイヤ2フレームのVLANタグには、認証情報テーブル142を用いて選択したVLAN識別子を設定する。ルーティング処理部13は、送信先の識別情報がポート識別子の場合には、ポート識別子が示すポート15−1〜15−4に生成したレイヤ2フレームまたはタグ付きレイヤ2フレームを送信し、送信先の識別情報がポート識別子ではない場合には、送信先の識別情報を検索キーとしてポートテーブル147の接続情報を検索してポート識別子を選択し、選択したポート識別子が示すポート15−1〜15−4に生成したレイヤ2フレームまたはタグ付きレイヤ2フレームを送信する。
以上説明したように、この実施の形態1においては、通信端末31−1〜31−3との接続が認証された仮想ネットワークであるVLAN51−1〜51−3およびマルチキャストグループとに対応付けて、VLAN51−1〜51−3において当該マルチキャストグループの物理的、または論理的なインタフェースであるルート情報が登録されるマルチキャストルーティングテーブ144を備え、VLAN51−1〜51−3が構築されるWAN5からのマルチキャストのIPパケットを転送する場合、マルチキャストのIPアドレスを受信したVLAN51−1〜51−3、マルチキャストのIPパケットのマルチキャストグループアドレス、およびマルチキャストルーティングテーブル144に基づいてマルチキャストのIPパケットの送信先を選択するようにしているため、マルチキャストグループに参加している通信端末31−1〜31−3に対して、当該通信端末31−1〜31−3と接続が認証されたVLAN51−1〜51−3からのマルチキャストのIPパケットのみを転送することを可能にし、通信システムのセキュリティを向上することができる。
また、この実施の形態1においては、VLAN51−1〜51−3が構築されるWAN5からのマルチキャストのIPパケットを転送する場合、マルチキャストのIPアドレスを受信したVLAN51−1〜51−3、マルチキャストのIPパケットのマルチキャストグループアドレス、およびマルチキャストルーティングテーブル144に基づいてマルチキャストのIPパケットの送信先を選択するようにしているため、LAN3側の通信端末31−1〜31−3がマルチキャストのIPパケットを誤って受信することを防止することができるとともに、不要なIPパケットを転送するとがなくなり、LAN3におけるマルチキャストの通信によるトラフィックの増加を抑制することができ、通信システムとしての性能を向上することができる。
なお、この実施の形態1においては、IPパケットの転送先を選択する際に用いるマルチキャストルーティングテーブル144およびルーティングテーブル145のルート情報に、端末識別子としてMACアドレスまたはIPアドレスを用いたため、端末識別子が示す通信端末31−1〜31−3や、VLAN識別子が示すVLAN51−1〜51−3を収容するポート15−1〜15−4を選択するために記憶部14にポートテーブル147を記憶させるようにしたが、マルチキャストルーティングテーブル144およびルーティングテーブル145のルート情報にポート識別子を用いた場合には、IPパケットを送信するポート15−1〜15−4を認識することができるので、ポートテーブル147は不要となる。
また、この実施の形態1においては、マルチキャストルーティングテーブル144のルート情報には複数の通信端末31−1〜31−3の端末識別子が登録可能であること、また、宛先マルチキャストグループ情報に登録されるマルチキャストグループアドレスが必ずしも最長一致検索を要さないことから、マルチキャストルーティングテーブル144とルーティングテーブル145とを分離したが、IPアドレス体系においてマルチキャストグループアドレスとその他のアドレスが分離されているので、必ずしもマルチキャストルーティングテーブル144とルーティングテーブル145とを分離する必要はなく、1つのテーブルとしてもかまわない。
実施の形態2.
図13を用いてこの発明の実施の形態2を説明する。一般的なゲートウェイ装置には、複数のインタフェース(ポート)をレイヤ2で接続し、レイヤ3においては、当該複数のポートが単一であるように扱うブリッジ接続機能を有するものがある。この実施の形態2では、ブリッジ接続機能を有するゲートウェイ装置に、本発明を適用する場合について説明する。
図13は、この発明における実施の形態2のネットワーク中継装置であるゲートウェイ装置の構成、およびゲートウェイ装置が適用される通信システムの構成を示す図である。図13に示した通信システムは、先の図1に示した実施の形態1の通信システムのゲートウェイ装置1の代わりに、ゲートウェイ装置1aを備えている。ゲートウェイ装置1aは、ゲートウェイ装置1のIGMPプロキシ処理部12の代わりにIGMPプロキシ処理部12aを備え、さらにブリッジ16が追加されている。なお、図1に示した通信システムおよびゲートウェイ装置1と同じ機能を持つ構成部分には同一符号を付し、重複する説明は省略する。
ゲートウェイ装置1aは、LAN3側のインタフェースであるポート15−1〜15−3をブリッジ接続する構成であり、ブリッジ16が、ポート15−1〜15−3をレイヤ2で接続し、ポート15−1〜15−3を介して送受信するフレームのレイヤ2に関する処理を行なう。これにより、レイヤ3において、ゲートウェイ装置1a内の認証処理部11、IGMPプロキシ処理部12a、およびルーティング処理部13は、ポート15−1〜15−3を識別することなく単一のインタフェース(ポート)として扱うことになる。
IGMPプロキシ処理部12aは、IGMPプロキシ処理部12の機能に加えて、レイヤ3通信であるIGMP通信においてIGMPメッセージの受信インタフェースを特定するためのスヌーピング機能を備えている。ゲートウェイ装置1aは、ブリッジ16によってポート15−1〜15−3がレイヤ2によって接続され、レイヤ3通信であるIGMP通信(LAN3側の通信端末31−1〜31−3に対するマルチキャストグループ問い合わせ要求の送信と、マルチキャストグループ参加要求およびマルチキャストグループ離脱要求の受信)においては、ポート15−1〜15−3を単一のインタフェースとなる。そのため、IGMPプロキシ処理部12aは、スヌーピング機能によってIGMPメッセージのブリッジにおける受信インタフェースおよびLAN3側の通信端末31−1〜31−3が参加するマルチキャストグループの情報を収集する。
なお、この実施の形態2のゲートウェイ装置1aの動作は、先の実施の形態1のゲートウェイ装置1とほぼ同じであり、相違点は、IGMPメッセージの受信インタフェースをスヌーピング機能によって特定することだけであるので、ここではその動作の説明を省略する。
このように、この実施の形態2においては、IGMPプロキシ処理部12が、ブリッジ16内のレイヤ2接続をスヌーピングして、マルチキャスト参加要求および/またはマルチキャスト離脱要求を送信した通信端末31−1〜31−3およびマルチキャストグループを抽出するようにしているため、LAN3側の通信端末31−1〜31−3を収容するポート15−1〜15−3をレイヤ2で接続し、レイヤ3においては、ポート15−1〜15−3が単一のインタフェースとして扱うブリッジ機能を有する場合でも、マルチキャストグループに参加している通信端末31−1〜31−3に対して、当該通信端末31−1〜31−3と接続が認証されたVLAN51−1〜51−3からのマルチキャストのIPパケットのみを転送することを可能にし、通信システムのセキュリティを向上することができる。
以上のように、本発明にかかるネットワーク中継装置は、相互接続する異なるネットワークとしてLANとWANを用いた場合に有用であり、特に、LAN側に接続される通信装置を通信装置毎に論理的に分離された異なるWANに接続する通信システムに適している。
この発明における実施の形態1のネットワーク中継装置であるゲートウェイ装置の構成、およびゲートウェイ装置が適用される通信システムの構成を示す図である。 図1に示したゲートウェイ装置の記憶部が記憶する接続情報テーブルの構成を示す図である。 図1に示したゲートウェイ装置の記憶部が記憶する認証情報テーブルの構成を示す図である。 図1に示したゲートウェイ装置の記憶部が記憶するマルチキャスト参加状態情報テーブルの構成を示す図である。 図1に示したゲートウェイ装置の記憶部が記憶するインタフェーステーブルの構成を示す図である。 図1に示したゲートウェイ装置の記憶部が記憶するマルチキャストルーティングテーブルの構成を示す図である。 図1に示したゲートウェイ装置の記憶部が記憶するポートテーブルの構成を示す図である。 図1に示したゲートウェイ装置の記憶部が記憶するルーティングテーブルの構成を示す図である。 この発明における実施の形態1のゲートウェイ装置の認証情報テーブルの登録処理を含む認証処理の動作を説明するためのフローチャートである。 この発明における実施の形態1のゲートウェイ装置のマルチキャスト参加状態テーブルおよびマルチキャストルーティングテーブルの登録処理の動作を説明するためのフローチャートである。 この発明における実施の形態1のゲートウェイ装置のマルチキャスト参加状態テーブルおよびマルチキャストルーティングテーブルの抹消処理の動作を説明するためのフローチャートである。 この発明における実施の形態1のゲートウェイ装置のIPパケットの転送処理の動作を説明するためのフローチャートである。 この発明における実施の形態2のネットワーク中継装置であるゲートウェイ装置の構成、およびゲートウェイ装置が適用される通信システムの構成を示す図である。
符号の説明
1,1a ゲートウェイ装置
3 LAN
5 WAN
11 認証処理部
12 IGMPプロキシ処理部
13 ルーティング処理部
14 記憶部
15−1,15−2,15−3,15−4 ポート
31−1,31−2,31−3 通信端末
51−1,51−2,51−3 VLAN
141 接続情報テーブル
142 認証情報テーブル
143 マルチキャスト参加状態情報テーブル
144 マルチキャストルーティングテーブル
145 ルーティングテーブル
146 インタフェーステーブル
147 ポートテーブル

Claims (7)

  1. 1若しくは複数の通信端末が接続される第1のネットワークと、複数の仮想ネットワークが構築される第2のネットワークとの間に配置され、前記通信端末が前記複数の仮想ネットワークの少なくとも1つへ接続を認証する認証処理部を有し、この認証処理部によって認証された場合のみ、前記通信端末を前記仮想ネットワークに接続してIPパケットを転送するネットワーク中継装置において、
    前記通信端末に対応付けて、前記認証処理部によって接続が認証された仮想ネットワークが登録される認証情報テーブルと、
    前記IPパケットの受信インタフェースに対応付けて前記受信インタフェースが収容する仮想ネットワークが登録されるインタフェーステーブルと、
    前記仮想ネットワークおよびマルチキャストグループに対応付けて、当該仮想ネットワークにおいて当該マルチキャストグループの物理的、または論理的なインタフェースが登録されるマルチキャストルーティングテーブルと、
    前記仮想ネットワークおよび宛先IPプリフィックスに対応付けて、当該仮想ネットワークにおいて当該宛先IPプリフィックスの物理的、または論理的なインタフェースが登録されるルーティングテーブルと、
    前記中継すべきIPパケットがマルチキャストのIPパケットの場合には、前記認証情報テーブルおよび前記マルチキャストルーティングテーブルを用いてIPパケットの送信先を選択し、前記中継すべきIPパケットがマルチキャストとは異なるIPパケットの場合には、前記インタフェーステーブルおよび前記ルーティングテーブルを用いてIPパケットの送信先を選択し、選択した送信先にIPパケットを送信するルーティング処理部と、
    を備えることを特徴とするネットワーク中継装置。
  2. 前記通信端末から参加するマルチキャストグループを含むマルチキャスト参加要求を受信した場合、マルチキャスト参加要求を送信した通信端末に対応付けて認証情報テーブルに登録されている仮想ネットワークを抽出し、前記マルチキャストルーティングテーブルに、抽出した仮想ネットワークおよび前記マルチキャスト参加要求に含まれるマルチキャストグループに対応付けてマルチキャスト参加要求を送信した通信端末を登録するIGMPプロキシ処理部、
    をさらに備えることを特徴とする請求項1に記載のネットワーク中継装置。
  3. 前記通信端末から離脱するマルチキャストグループを含むマルチキャスト離脱要求を受信した場合、マルチキャスト参加要求を送信した通信端末に対応付けて認証情報テーブルに登録されている仮想ネットワークを抽出し、前記マルチキャストルーティングテーブルから、抽出した仮想ネットワークおよび前記マルチキャスト離脱要求に含まれるマルチキャストグループに対応付けて登録されているマルチキャスト参加要求を送信した通信端末を削除すること、
    を特徴とする請求項1または2に記載のネットワーク中継装置。
  4. 前記認証処理部は、
    前記通信端末からの参加要求によって前記仮想ネットワークに接続することを認証した後に、認証した通信端末に対応付けて接続を認証した仮想ネットワークを前記認証情報テーブルに登録すること、
    を特徴とする請求項1〜3の何れか1つに記載のネットワーク中継装置。
  5. 前記認証処理部は、
    前記通信端末からの離脱要求によって、前記認証情報テーブルから、前記離脱要求を送信した通信端末と当該端末に対応付けられている仮想ネットワークとを削除すること、
    を特徴とする請求項1〜4の何れか1つに記載のネットワーク中継装置。
  6. 前記第1のネットワークの通信端末を収容するインタフェースをレイヤ2接続するプリッをさらに備えることを特徴とする請求項1〜5の何れか1つに記載のネットワーク中継装置。
  7. 前記IGMPプロキシ処理部は、
    前記ブリッジ内のレイヤ2接続をスヌーピングして、前記マルチキャスト参加要求および/または前記マルチキャスト離脱要求を送信した通信端末およびマルチキャストグループを抽出すること、
    を特徴とする請求項6に記載のネットワーク中継装置。
JP2005373031A 2005-12-26 2005-12-26 ネットワーク中継装置 Expired - Fee Related JP4615435B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005373031A JP4615435B2 (ja) 2005-12-26 2005-12-26 ネットワーク中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005373031A JP4615435B2 (ja) 2005-12-26 2005-12-26 ネットワーク中継装置

Publications (2)

Publication Number Publication Date
JP2007174583A true JP2007174583A (ja) 2007-07-05
JP4615435B2 JP4615435B2 (ja) 2011-01-19

Family

ID=38300505

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005373031A Expired - Fee Related JP4615435B2 (ja) 2005-12-26 2005-12-26 ネットワーク中継装置

Country Status (1)

Country Link
JP (1) JP4615435B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012002305A1 (ja) * 2010-06-28 2012-01-05 株式会社日立国際電気 無線通信装置および無線通信方法
JP2019505107A (ja) * 2016-02-29 2019-02-21 グーグル エルエルシー 機器状況をブロードキャストする方法
JP2021503191A (ja) * 2018-10-01 2021-02-04 コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation ネットワークセキュリティ用l2スイッチ及びこれを用いた遠隔監視制御システム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001345864A (ja) * 2000-06-02 2001-12-14 Hitachi Ltd ルータ装置,パケット転送制御方法及びvpn識別情報の設定方法
JP2005051650A (ja) * 2003-07-31 2005-02-24 Nippon Telegr & Teleph Corp <Ntt> テーブル検索装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001345864A (ja) * 2000-06-02 2001-12-14 Hitachi Ltd ルータ装置,パケット転送制御方法及びvpn識別情報の設定方法
JP2005051650A (ja) * 2003-07-31 2005-02-24 Nippon Telegr & Teleph Corp <Ntt> テーブル検索装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012002305A1 (ja) * 2010-06-28 2012-01-05 株式会社日立国際電気 無線通信装置および無線通信方法
JPWO2012002305A1 (ja) * 2010-06-28 2013-08-22 株式会社日立国際電気 無線通信装置および無線通信方法
JP5465328B2 (ja) * 2010-06-28 2014-04-09 株式会社日立国際電気 無線通信装置および無線通信方法
JP2019505107A (ja) * 2016-02-29 2019-02-21 グーグル エルエルシー 機器状況をブロードキャストする方法
US10412570B2 (en) 2016-02-29 2019-09-10 Google Llc Broadcasting device status
JP2021503191A (ja) * 2018-10-01 2021-02-04 コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation ネットワークセキュリティ用l2スイッチ及びこれを用いた遠隔監視制御システム

Also Published As

Publication number Publication date
JP4615435B2 (ja) 2011-01-19

Similar Documents

Publication Publication Date Title
US8050267B2 (en) Simple virtual private network for small local area networks
US7656872B2 (en) Packet forwarding apparatus and communication network suitable for wide area Ethernet service
CN111740913B (zh) 在计算机网络内转发网络流量的方法、路由器及可读介质
US8077732B2 (en) Techniques for inserting internet protocol services in a broadband access network
US7733859B2 (en) Apparatus and method for packet forwarding in layer 2 network
JP4529144B2 (ja) 仮想lanシステムおよびノード装置
US7009983B2 (en) Methods and apparatus for broadcast domain interworking
US8705549B2 (en) Structure and implementation of universal virtual private networks
US20110032939A1 (en) Network system, packet forwarding apparatus, and method of forwarding packets
EP1475942A2 (en) Address Resolution in IP Internetworking Layer 2 point-to-point connections
EP1858205A1 (en) Tunneling device, tunnel frame sorting method used for the device, and its program
JPWO2005027438A1 (ja) パケット中継装置
US20090225660A1 (en) Communication device and operation management method
WO2011069399A1 (zh) 地址映射方法及接入业务节点
JP2008066907A (ja) パケット通信装置
JP2005167646A (ja) 接続制御システム、接続制御装置、及び接続管理装置
JP4925130B2 (ja) 通信制御方法およびシステム
JP4615435B2 (ja) ネットワーク中継装置
JP4344336B2 (ja) マルチホーミング認証通信システム、マルチホーミング認証通信方法、および管理サーバ
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2009267987A (ja) 局側装置、ponシステムおよびホームゲートウェイ装置
JP2005057693A (ja) ネットワーク仮想化システム
JP5350333B2 (ja) パケット中継装置及びネットワークシステム
WO2008083572A1 (en) A method for transfering the ip transmission session and the equipment whereto
JP2006211457A (ja) コンバータ装置及び通信制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080623

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100614

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100622

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100806

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101019

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101020

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131029

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees