JP2008118702A - データ転送装置、方法及びシステム - Google Patents

データ転送装置、方法及びシステム Download PDF

Info

Publication number
JP2008118702A
JP2008118702A JP2007335604A JP2007335604A JP2008118702A JP 2008118702 A JP2008118702 A JP 2008118702A JP 2007335604 A JP2007335604 A JP 2007335604A JP 2007335604 A JP2007335604 A JP 2007335604A JP 2008118702 A JP2008118702 A JP 2008118702A
Authority
JP
Japan
Prior art keywords
data transfer
data
network
vpn identifier
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007335604A
Other languages
English (en)
Other versions
JP4535122B2 (ja
Inventor
Kenichi Sakamoto
健一 坂本
Kazuyoshi Hoshino
和義 星野
Koji Wakayama
浩二 若山
Shiro Tanabe
史朗 田辺
Noboru Endo
昇 遠藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007335604A priority Critical patent/JP4535122B2/ja
Publication of JP2008118702A publication Critical patent/JP2008118702A/ja
Application granted granted Critical
Publication of JP4535122B2 publication Critical patent/JP4535122B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 複数インターネットサービスプロバイダ(ISP)にまたがる仮想専用網(
VPN:Virtual Private Network)を提供することである。
【解決手段】 両インターネットサービスプロバイダのネットワーク接続部分の
インターワークゲートウェーにおいて、各パケットの方路を決定する際に、VPN
を構成するために導入されるカプセル化ヘッダの領域とIPヘッダ両方の領域の情
報を用いて方路を決定し、更に出力側網におけるカプセル化ヘッダも前記情報か
ら構成する。
【効果】 仮想専用線の相互接続が可能となり、複数インターネットサービスプ
ロバイダにまたがるVPNを構成できる。また第一の網と第二の網のQoS情報を
インターワークすることができる。
【選択図】 図1

Description

本発明はインターネットにおける仮想専用網(VPN:Virtual Private Netw
ork)構築方法及びインターネットサービスプロバイダ間を接続するインターワ
ークルータに関する。
インターネット・プロトコル(Internet protocol: IP)ネットワーク上では
、電子メール、WWW(World Wide Web)などのアプリケーションを使用するこ
とができる。また、IPネットワークは、従来の電話ベースの交換網と比較して構
築コストが安い。そのためインターネットは近年爆発的に普及している。このよ
うな状況の下、IPで構築した企業内網(イントラネット)は、企業活動にも欠
かすことの出来ないものとなってきている。
企業は複数の地域に偏在している場合が多い。この場合、各地域の企業網を相
互接続し、一つの企業網を構築する必要が生じる。企業網を複数地域にわたって
構築する場合、次の2つの方法が考えられる。
第1は、各地域の企業内網を専用線で相互接続することである。このように構
築することにより、企業網を外部のネットワークから隔絶、セキュリティを確保
を確保することができる。
第2に、IPsec(IP security protocol)技術により、自網のネットワー
クのパケットを識別する機能を端末に設け、インターネット内ではグローバルア
ドレスに基づくIPパケットとして転送を行うことである。悪意のユーザからの
攻撃にはこの識別機能と、暗号化により対抗することでVPNを実現することが
できる。
しかし、専用線を使用するとネットワークコストが上昇してしまうこと、さら
にIPsec方式によるVPNでは、アタック及び暗号解読により悪意のユーザ
の侵入を許したり、暗号化処理が高速ネットワークの速度のボトルネックになっ
たり、端末コストが上昇するという問題があった。
このため、インターネットが普及し、インターネットが廉価で使用できるによ
うになるに従い、網が提供するIPの下位レイヤの機能を用い、インターネット
上に仮想的に専用網を構築し、コストを押さえ、かつ外部のネットワークから隔
絶した安全な、かつ何らかの品質保証行い要求が高まってきた。
この要求を満たすネットワークとして次のようなVPNが考えられている。V
PNを提供するインターネット・サービス・プロバイダ(Internet Service Pro
vider:ISP)のネットワークの入り口でカプセル化を行う。ISPのネットワーク
上では、このカプセル化したヘッダに基づき転送を行い、ネットワークの出口で
カプセルヘッダを外す。このVPN構成方式では、VPN固有のカプセル化ヘッ
ダを用いることにより外部のネットワークから隔絶し、セキュリティを確保して
いる。また、このカプセル化の具体的なプロトコルとしては、IPカプセル化、
MPOA(Multi Protocol over ATM)、MPLS(Multi Protocol Layer Swit
ching)等の方式があり、1999年2月現在、ITU-T SG13やIETFなどの標準化
団体で検討が行われている。また、ITU-T SG13では、網の内部をE.164アドレス
によりカプセル化して転送する、Core Protocol(別称GMN-CL)についての検討も
行われている。
NTT R&D vol.47 No.4 1998(平成10年4月10日発行)は、GMN-CLにおけるユー
ザ網とコア網のインターワークを行うアクセス系・エッジノードの構成法を提案
している。
NTT R&D vol.47 No.4 1998(平成10年4月10日発行)
近年の企業活動は広範囲に渡っている。このため、例えば、日、米、欧に拠点
を持ち、それぞれの拠点でイントラネットを構築した上で、VPNにより、それ
らを相互接続したいというニーズが生じてくるものと考えられる。
他方、ISPはある特定の地域でサービスを提供しているのが一般的なため、前
記したような各拠点のネットワークをVPNにより接続するためには、複数のIS
Pをまたがった形でVPNを構築する必要がある。
なお、複数のISPを相互に接続する場合、インターワークのためのゲートウェ
ーを設け、相互接続を行う。このインターワークルータでは、双方のネットワー
クから到来した相手網行きのパケットをIPヘッダに従って相手網に転送するこ
とで、インターワークを実現する。また、日経コミュニケーション1997年12月15
日号146頁に記されているように、複数ネットワークの相互インターワークのた
めに、IX(Internet Exchange)と呼ばれる装置を用いて互いのネットワークを
接続し、このIXにより、互いの網間で転送されるパケットの転送を行っても良い
。このようなIXには、IPパケットを識別して転送を行う「レイヤ3フォワーディ
ング」や、ATM通信装置などで、下位レイヤのヘッダを識別して転送を行う「レ
イヤ2フォワーディング」を用いる方式がある。
本願発明者等は、複数のISPのネットワークをまたがる形でVPNを構成しよ
うとした場合の問題点を検討した。まず、各インターネットサービスプロバイダ
のネットワークでVPNを構築するために、各ネットワーク内でそれぞれカプセ
ル化を行う。各ネットワークのカプセル化プロトコルは、一般に異なるものとな
ると考えられる。この場合、インターワークルータでは、双方のネットワークの
共通のプロトコルであるIPパケットのIPヘッダ情報を検索して宛先方路を決
定し、他網行きのパケットであるか否かを検索する必要がある。
しかし、インターワークルータは、IPレイヤより下位レイヤのプロトコルは
インターフェースで終端してしまうため、前段の網でVPNを構成するためにつ
けられているカプセル化ヘッダをはずしてIPアドレスを検索する事により次の
ホップ情報を決定し、また後段の網でのVPNを構成するためのカプセルヘッダ
を生成してパケットに付与することになる。したがって、インターワーク装置内
部では、VPN内のパケットとVPN以外の網のパケットとが混在してしまう。
そのため、悪意のユーザによる不正ヘッダの付与により、インターワークルータ
を基点としてVPNへの侵入が可能になるという問題がある。
また、企業によってはグローバルアドレスを使用せずにインターナルアドレス
を用いてVPNを構成することがある。この場合、インターワークルータでカプ
セル化ヘッダを一旦はずしてしまうと、受信側のISP側では、インターナルア
ドレスが複数のVPNでそれぞれ独自に使用されているので、同一のアドレスを
持つパケットを区別することが出来ない。このため、パケットの転送先が決定で
きない。複数のISPにまたがって、インターネット上にVPN構成する場合、
上述のような問題点がある(第1の課題)。
更にそれぞれのISPにおけるサービスは均一でない。例えば通信品質を例に
説明すると、あるISPではATMのVCを用いてパスを張ることにより各VP
Nの品質の保証しており、別のISPではDiffserv(Differenciated Services)
により品質の保証を行っている場合、双方で構成するVPNを相互に接続する場
合、エンド・トゥー・エンドで通信品質を規定することは困難である。(第2の
課題)。
上述のように、実用レベルで、複数のISPにまたがってインターネット上に
VPNを構築することは困難である。
そこで、本発明は複数のISPにまたがってVPN構築する方法及び、複数の
ISPにまたがってVPN構築する場合において、それらのISP間を接続する
インターワークルータを提供することにある。
第1の課題を解決するため、VPN識別番号であるカプセル化ヘッダとIPヘッダ
双方の情報を用いて、出力方路の決定及び出力側ISP網内でのカプセル化ヘッ
ダの生成を行う機能をインターワークルータ装置に設ける。下位レイヤにATM
を用いるMPLS網を運用するISP同士を接続する場合を例により具体的に説
明すると、VPN識別に使用するカプセル化ヘッダであるATMのVPI、VC
I等のヘッダ情報と、IPアドレスをキーに検索を行い、次の方路及び次のネッ
トワーク内部でのVPN識別に使用するATMのVPI,VCI等のヘッダ情報
を生成し、後段の網に送り出す際に生成したヘッダ情報を付与して送出する。
これによりVPNのインターワークが実現でき、複数のISPにまたがる地域に
対する、インターネット上でのVPN構成を構成することが出来る。
第二の課題を解決するするために、入力側のカプセル化ヘッダ領域のQoSを
あらわすフィールドの値を、出力側のカプセル化ヘッダ領域のQoSをあらわす
フィールドの値にマッピングを行う。これにより、双方の網の品質情報を透過的
に転送することができる。
本発明により複数ISP間にまたがるVPN網を構築することができる。また
複数のVPNネットワーク間でQoS情報をインターワークすることができる。
以下、図を用いて本発明の実施例について説明する。
図1、図2を用いて本発明による複数ISPにまたがる下位レイヤにより分離
されたVPNの構成法およびそのインターワークルータの役割について説明する
。ここで下位レイヤとは、IPパケットをカプセル化するプロトコルを指し、I
PパケットをIPヘッダでカプセル化する場合にも、このカプセルヘッダを下位
レイヤのヘッダとして表記することとする。
まず、図2により、従来のルータを用いて複数のISPにまたがるVPNを構
成した場合の問題点について説明する。図2では、下位レイヤでカプセル化する
ことによりVPNを実現するISP1(2−1)とISP2(2−2)が既存ル
ータ(9)によりインターワークしている。ISP1はA地区でサービスを展開
しており、LAN1(1−1)、LAN2(1−2)、LANa(1−a)を収
容している。ISP2はB地区でサービスを展開しており、LAN3(1−3)
、LAN4(1−4)、LANb(1−b)を収容している。また、LAN1、
LAN2、LAN3、LAN4は同一会社のLANであり、VPNを構成したい
と考えている。またLANa、LANbも同一会社のLANであり、VPNを構
成したいと考えている。このような場合、同一ISP内においては、網の入り口
と網の入り口にカプセルチャネルを張ることにより、他のユーザのパケットと分
離することができるため、セキュリティの高いネットワークを構築できる。しか
し、ISP1とISP2にわたってVPNを設定しようとする場合、既存ルータ
では入力側のインターフェース部で下位レイヤを終端し、IPレベルでマージして
からパケットフォワーでリング処理を行うため、IPレベルで複数のユーザのパ
ケットが混じってしまう問題がある。すなわち、VPN内のパケットとそれ以外
のパケットが混じってしまう。従って、悪意のユーザがIPアドレスを偽って網
に侵入することも可能となる。さらに二つの会社がプライベートアドレスを用い
て社内LANを構築しようとした場合には、それぞれの会社では独立にアドレス
をアサインするため、同一のIPアドレスをアサインすることがある。この場合
、既存ルータではアドレスのバッティングのため、正しくパケットを転送するこ
とができない。
次に図1を用いて、本発明による前記問題の解決法について説明する。例えば
会社AのLAN1から会社AのLAN3に通信する場合を説明する。本実施例で
はISP1はIPカプセル化によりVPNを実現しており、ISP2はMPLS
(ATMによる)によりカプセル化を行いVPNを実現している。LAN1から
到来したパケットはISP1(2−1)に入るとISP1はIPカプセル化を行
い、パケットはIPカプセル化論理チャネル(5−1)通じてインターワークル
ータに到着する。インターワークルータ(9)ではパケットが搭載されてきたI
Pカプセル化論理チャネルを示すIPカプセル化ヘッダと、元々のパケットヘッ
ダの双方から出力方路を検索すると共に、ISP2内でのカプセル化ヘッダを作
成する。本実施例ではISP2はMPLSでサービスを行っているので、ATM
のヘッダを作成する。ATMによりカプセル化されたパケットは、ATM論理チ
ャネル(5−3)を通り、LAN3に送られる。インターワークルータでは、カ
プセルヘッダ及びIPヘッダで検索を行っているので、会社Aと会社Bがそれぞ
れプライベートアドレスを用いて、IPアドレスがバッティングする場合にもそ
れぞれ正しいあて先に転送することが可能となる。
本実施例ではカプセル化プロトコルとして、IPレイヤのカプセル化方式であ
るIPカプセル化と、ATMを用いてカプセル化を行う方式説明した。もちろん
フレームリレーやHDLC系のプロトコルを用いてカプセル化を行ってもよい。
図3では本発明による、複数ISPにまたがるVPN構成法の1実施例につい
て、網構成とプロトコルスタックを用いて説明する。ここではカプセル化プロト
コルは限定していない。ISP1(2−1)はエッジノード(3−1,3−2)
を介してそれぞれLAN1(1−1)、LAN2(1−2)を収容している。同
様にISP2(2−2)はエッジノード(3−3,3−4)を介してそれぞれL
AN3(1−3)、LAN4(1−4)をはじめとする複数の網を収容している
。またそれぞれのISPは自網の入り口から出口にかけて、IPパケットを網内
で使用するヘッダでカプセル化して転送を行っている。そしてカプセルヘッダを
VPNに固有に割り当てることにより、VPNトラフィックを網内の別のトラフ
ィックから識別してVPNに関する閉域網を構成している。ISP1(2−1)
とISP2(2−2)はインターワークルータ(10)により互いにインターワ
ークしており、相手網行きのトラフィックはインターワークルータを介して相手
網に転送される。
例えばLAN1とLAN3を結ぶVPN(VPN1と呼ぶ事とする)を構成す
る場合について説明すると、LAN1から送出されたLAN3宛のIPパケット
はエッジノード(3−1)においてIPアドレスにより検索され、まずVPN1
に属すインターワークルータ宛のパケットと認識され、VPN1のインターワー
クルータ(10)行きのカプセルヘッダ(レイヤ図中103a)が付与され、イ
ンターワークルータ(10)に到達する。インターワークルータ(10)はカプ
セルヘッダ(レイヤ図中103a)とIPアドレスにより検索され、VPN1に
属すエッジノード(3−3)宛のパケットであることを検索し、ISP2内でV
PN1でエッジノード(3−3)宛のカプセルヘッダ(レイヤ図中103b)を
付与し、ISP2内をカプセルヘッダに従いエッジノード(3−3)に転送され
る。エッジノード(3−3)ではカプセルヘッダを外し、LAN3にIPパケッ
トを転送する。これにより、両網内にまたがるVPNのIPパケットを他トラフ
ィックと混合されることなくを転送することが出来る。
なお、グローバルアドレスを用いたIPパケットについては、下位レイヤ情報
に依存させず、ひとまとめにして転送先および(カプセルヘッダを使用する場合
には)カプセルヘッダを決定することにより、従来の網内と同様に転送を行うこ
とが出きる。
インターワークルータ(10)の動作を図4、図5、図6を用いて説明する。
図4は従来のルータ装置の処理フローであり、図5、図6は本発明によるインタ
ーワークルータ(10)の処理フローである。従来のルータでは、パケットが到
着すると、ISP1(2−1)での転送に用いられる物理レイヤを終端(201
)し、ISP1内の転送に使用したカプセルヘッダを除去(202)してから、
IPヘッダの値により方路検索を行い(203)、スイッチを介して所望方路に
転送する(204)。その後、ISP2での転送に用いられるカプセルヘッダを
付与(205)し、その後物理レイヤの処理を行って(206)伝送路から送出
する。このフローでは、ISP1のカプセルヘッダを除去して、IPヘッダのみ
で方路を決定するため、複数VPNのトラフィックが一旦マージされてしまう。
本発明のインターワークルータによれば、そのような問題を回避できる。
図3は、本発明のインターワークルータ(10)が実行するアルゴリズムであ
るパケットが到着すると、ISP1(2−1)での転送に用いられる物理レイヤ
を終端(211)し、ISP1内の転送に使用したカプセルヘッダとIPヘッダ
の値により方路検索およびISP2内のカプセル化ヘッダの生成を行う(212
)。その後ISP1カプセルヘッダを除去(213)し、ISP2での転送に用
いられるカプセルヘッダを付与(214)し、スイッチに送信する。そして、ス
イッチにより、所望の方路に転送(215)される。その後物理レイヤの処理を
行って(216)伝送路から送出する。これにより、別の網のトラフィックと分
離することができる。また、スイッチに、カプセルヘッダが除去された裸のIP
パケットが流れることがないので、この部分から他人がVPNに挿入することは
出来ない。すなわち、ISP2内で使用される内部ヘッダが付加されていないI
Pパケットが紛れ込み、そのパケットがISP2内のVPNに流れ込むというこ
とはない。従って、安全性も高くなる。
また別の実施例として図6を説明する。本実施例のインターワークルータは、
ISP1内の転送に使用したカプセルヘッダとIPヘッダの値の組と、カプセル
ヘッダインデックスとの対応テーブルと、カプセルヘッダインデックスとISP
2内の転送に使用したカプセルヘッダとの対応テーブルを有している。パケット
が到着すると、ISP1(2−1)での転送に用いられる物理レイヤを終端(2
21)し、ISP1内の転送に使用したカプセルヘッダとIPヘッダの値により
方路検索とカプセルヘッダインデックスの生成を行う(222)。その後、上記
IPパケットISP1カプセルヘッダを除去(223)し、その除去されたIP
パケットに、生成したカプセルヘッダインデックスを付与してスイッチに送信し
、スイッチにより所望の方路に転送される(224)。そして、カプセルヘッダ
IndexからISP2での転送に用いられるカプセルヘッダを生成、付与(225
)する。その後物理レイヤの処理を行って(226)伝送路から送出する。この
構成によっても、図5の場合と同様に、安全性の高い閉域網を構成することが出
来る。すなわち、カプセルヘッダIndexが付与されていないIPパケットが紛れ
込むことはない。
次に図7〜図10を用いて、MPLSによりVPNをサポートするISP1と
IPカプセルを用いてVPNをサポートするISP2にまたがるVPNの実現方
式とパケット構成例を説明する。
図7は網構成とプロトコルスタックを示している。図3ではカプセル化方式を
特定せずに説明したが、図7は、ISP1はMPLS、ISP2はIPカプセル
化を採用した場合の例を示している。インターワークルータ(10)では、図3
と同様にカプセル化ヘッダに相当するATMレイヤ(104a)及びIPレイヤ
(101)、IPカプセルレイヤ(104b)及びIPレイヤ(101)の組み
合わせによりフォワーディングを行う。これにより、VPNがそれぞれプライベ
ートアドレスを用いるためアドレスが重複する場合であっても、正しくフォワー
ディングすることが可能となる。
図8により、IPパケットをATMでカプセル化する方式を説明する。本カプ
セル化はIETFのRFC1483で標準化されている方式である。IPヘッダ
(250)及びIPペイロード(251)からなるIPパケットにLLC/SN
AP(253)を付与し、AAL5ヘッダ(252)及びAAL5トレイラ(2
55)を付与してAAL5フレームを構成する。PAD(254)はAAL5フ
レームをATMセルのペイロード(257)長である48オクテットの定数倍に
するために挿入する。そしてこのAAL5トレイラを48オクテット毎に分割し
、ATMヘッダ(256)を付与し、1乃至複数のATMセルとして転送を行う
図9はRFC791で示されるIPv4パケットフォーマットを示している。
IPカプセル化を行う際、カプセル化を行うプロトコルはIPv4ヘッダをその
まま使用し、網内のルータは既存のIPv4ルータを使用することができる。
図10はIPトンネルによるカプセル化方式を示している。ユーザの送信した
IPヘッダ(260)及びIPペイロード(261)から構成されるIPパケッ
トをカプセル化ヘッダ(264)でカプセル化しており、このカプセル化ヘッダ
はIPヘッダ(262)とトンネルヘッダ(263)から構成される。このカプ
セル化ヘッダはISP2内で用いられるもので、網内で一意に識別が可能である
。したがって、ユーザがプライベートアドレスを用いた場合でも、網内ではカプ
セルヘッダによりルーティングを行い、パケットを所望のエッジまで運ぶことが
できる。本例ではRFC1583によるトンネルヘッダの例を示したが、他にI
Pカプセル化にはGREカプセル化(RFC1792)やIPモバイルなどがあ
る。
インターワークルータ(10)では、図8や図10で示したカプセルヘッダと
ユーザのIPアドレスを組み合わせてフォワーディング処理を行うことにより、
安全なVPNをISPにまたがり構成することができ、さらにユーザはプライベ
ートアドレスを用いてVPNを構築することができる。
図11乃至図19を用いて、インターワークルータ(10)の一実施例につい
て説明する。
図11はインターワークルータ(10)の1構成例である。制御部(50)は
装置全体の制御及び他ノードとのルーティング処理などを行っている。コアスイ
ッチ(51)は各パケットレイヤ処理部(52)間のパケットの転送を行うスイ
ッチである。下位レイヤ処理部(ATM)(53)はISP1のMPLS網を収
容するインターフェースであり、下位レイヤ処理部(IPカプセル)(54)は
ISP2のIPカプセル網を収容するインターフェースである。パケットレイヤ
処理部(52)は下位レイヤ処理部(53,54)から下位レイヤの情報及びI
Pパケットを受け取り、下位レイヤの情報とIPパケットのヘッダ情報の組み合
わせによりパケットの転送先を決定する。
まず受信方向の処理の流れから説明する。図12に下位レイヤ処理部(ATM
)(53)のブロック構成を示す。ISP1の網から到来した信号はまず物理レ
イヤ処理部(150)にて物理レイヤを終端し、ATMレイヤ処理部(151)
にてATMレイヤを終端する。この際、再構成されたIPパケットとともに、受
信側のVPN識別機能を果たしているATMヘッダも同時にVPN番号付与部(
152)に送付する。VPN番号付与部(152)では装置内でVPNの識別に
利用するVPN番号をATMヘッダより生成する。この際受信側VPN番号テー
ブル(153)が用いられる。そしてこのVPN番号とIPパケットはパケット
処理部IF(154)を介してパケットレイヤ処理部に転送される。
図13には受信側VPN番号テーブル(153)の構成例を示している。この
テーブルでは入力側ATMヘッダ(300)と入力側VPN番号(303)のペ
アから構成されており、入力側ATMヘッダが入力キーとなって入力側VPN番
号(303)を出力する。入力キーとなる入力側ATMヘッダとしては、VPI
/VCI(301)の他、パケットの転送優先度を示すCLP(Cell of Priori
ty)ビット(302)をキーとしてもよい。そして装置内で汎用的に使用される
入力側VPN番号は装置内VPN番号(304)の他にQoS(Quality of Ser
vice)を示すフィールド(305)を設けてもよい。またCLPとQoSのマッ
ピングを行うテーブルをVPN識別のための本テーブルと独立に設けてもよい。
図14に下位レイヤ処理部(IPカプセル)(54)の実施例を示す。ISP
2から到来した信号は物理レイヤ処理部(170)にて物理レイヤを終端し、次
にカプセルレイヤ受信処理部(171)にてカプセルヘッダの終端を行う。この
際終端したカプセルヘッダをIPバケットと共にVPN番号付与部(172)へ
送付する。VPN番号付与部(172)では装置内でVPNの識別に利用するV
PN番号をATMヘッダより生成する。この際受信側VPN番号テーブル(17
3)が用いられる。そしてこのVPN番号とIPパケットはパケット処理部IF
(154)を介してパケットレイヤ処理部に転送される。
図15には受信側VPN番号テーブル(173)の構成例を示している。この
テーブルは、入力側カプセルヘッダ(310)と入力側VPN番号(303)の
ペアから構成されており、入力側ATMヘッダが入力キーとなって入力側VPN
番号(303)を出力する。入力キーとなる入力側IPカプセルヘッダとしては
、カプセルヘッダのソースアドレス(311)の他、パケットの転送優先度を示
すTOS(Type of Service)フィールド(302)をキーとしてもよい。そし
て装置内で汎用的に使用される入力側VPN番号は装置内VPN番号(304)
の他にQoSを示すフィールド(305)を設けてもよい。
またToSとQoSのマッピングを行うテーブルをVPN識別のための本テー
ブルと独立に設けてもよい。
図12から図15を用いて説明した方式により、入力側VPN番号(303)
とIPパケットがパケットレイヤ処理部(52)に到達した際の処理を図16を
用いて説明する。下位レイヤ処理部(180)を介して入力側VPN番号(30
4)とIPパケットをルート検索・VPN処理部(181)が受け取ると、ここ
ではルート検索・VPNテーブル(182)を用いてIPヘッダ及び入力側VP
N番号の双方をキーにしてルート検索及び出力側VPN番号を決定する。これに
より出力方路及び出力側VPN番号とIPパケットは、コアスイッチIFを介し
てコアスイッチに送付され、所望のパケットレイヤ処理部に到達することとなる
図17にルート検索・VPNテーブルの構成例を示す。入力キーとして入力側
VPN番号(320)及びIPヘッダ(323)を用いて検索を行い、出力方路
番号(325)及び出力側カプセル番号(326)を出力させる。出力方路番号
(326)はコアスイッチ及びその他でパケットを所望のインターフェースに転
送するための装置内識別子であり、出力側カプセル番号(326)は出力側の下
位レイヤ処理部にてカプセルヘッダを付与するためのカプセルヘッダへの装置内
識別子である。出力側カプセル番号(326)にはカプセル番号(327)の他
にQoS(328)を設け、優先制御を行ってもよい。
次に送信方向の処理について説明する。図16を用いてパケットレイヤ処理部
(52)の処理例を示す。コアスイッチIF(184)を介して出力側カプセル
番号(326)及びIPパケットを受け取ると、これらの情報を下位レイヤ処理
部IFを介して下位レイヤ処理部(53、54)に転送する。
図12を用いて、下位レイヤ処理部(ATM)(53)の動作を説明する。下
位レイヤ処理部(ATM)(53)ではパケットレイヤ処理部(52)からパケ
ットレイヤ処理部IF(159)を介して出力側カプセル番号(326)及びI
Pパケットを受信する。次にATMヘッダ決定部(157)はヘッダ生成テーブ
ル(158)を用いてカプセルヘッダに対応するATMヘッダを出力側カプセル
番号(326)から生成する。こうして生成されたATMヘッダとIPパケット
はATMレイヤ送信処理部(156)でATMセルに変形され、物理レイヤ送信
処理部(155)を介してISP1のネットワークへと送信される。
図18にヘッダ生成テーブルの構成を示す。出力側カプセル番号をキーとして
出力側ATMヘッダを出力する構成となっている。これにより出力側カプセル番
号より出力側ATMヘッダを得ることができる。
同様に図14を用いて下位レイヤ処理部(IPカプセル)(54)の動作を説
明する。下位レイヤ処理部(IPカプセル)(54)ではパケットレイヤ処理部
(52)からパケットレイヤ処理部IF(159)を介して出力側カプセル番号
(326)及びIPパケットを受信する。次にカプセルヘッダ決定部(177)
はヘッダ生成テーブル(178)を用いてカプセルヘッダに対応するIPカプセ
ルヘッダ及び出力側MACアドレスを出力側カプセル番号(326)から生成す
る。こうして生成されたIPカプセルヘッダ、出力側MACアドレスとIPパケ
ットはカプセルレイヤ送信処理部(176)でカプセル化処理され、物理レイヤ
送信処理部(175)を介してISP1のネットワークへと送信される。
図19にヘッダ生成テーブルの構成を示す。出力側カプセル番号をキーとして
出力側IPカプセルヘッダ及び出力側MACアドレスを出力する構成となってい
る。
以上インターワークルータ装置の一構成例を示した。本実施例では、入力側、
出力側それぞれの処理に内部で統一された入力側VPN番号(320)及び出力
側カプセル番号(326)を用いた例を示した。但し、ルート検索・VPNテー
ブルの入力キーを入力側カプセルヘッダにしてもよいし、出力として直接出力側
カプセルヘッダを生成してもよい。
また、本実施例で示したテーブルは論理的なテーブルであり、テーブル検索方
法として、ツリー構造に代表される検索アルゴリズムを用いてアドレスを出し、
所望の出力を得る方式を採用してもよいし、CAMを使った構成や、テーブルを
逐次検索していく方式を採用してもよい。
図23に本実施例のテーブルの設定のための、NMSから装置に指示を出すイ
ンターフェースであり、エージェントが制御部50に搭載される、MIB(Mana
gement Information Base)構成の一実施例を示す。入力カプセルヘッダEntry(
500)は図13に示した受信側VPNテーブルを設定するためのMIBである。
同様にVPNクロスコネクトEntry(501)は図17に示したルート検索・V
PNテーブル(182)を設定するためのMIBである。同様に出力側カプセル
ヘッダEntry(502)はヘッダ生成テーブルの1構成例である。これらのMI
Bに設定された情報は、NMSから制御部(50)に対して設定され、制御部(
50)がインターワークルータ内各部にテーブル設定する。
ここまでにVPNのインターワークについて装置構成を中心に説明してきた。
図20から図22を用いて、インターワークルータのネットワーク内での適用例
を説明する。
図20は2つのISPがそれぞれの所有する2つのインターワークルータを介
して接続される例を示す。2つのインターワークルータの間はカプセル化(10
3b)によりそれぞれのVPNを識別する構成になっている。そしてそれぞれの
インターワークルータ(10a、10b)では、図19までに説明したとおり、
カプセルヘッダ(103a、103b、103c)とIPアドレスの組によりル
ーティング処理を行う。
図21は2つのISPがそれぞれの所有するインターワークルータを持ち、レ
イヤ3処理を行うIXを介して接続される例である。それぞれのインターワーク
ルータとIXの間はカプセル化(103b)によりそれぞれのVPNを識別する
構成になっている。インターワークルータ(10a)、IX(10c)及びイン
ターワークルータ(10b)では、図19までに説明したとおり、カプセルヘッ
ダ(103a、103b、103c)とIPアドレスの組によりフォワーディン
グ処理を行う。
図22は2つのISPはそれぞれのインターワークルータを持ち、2つのIS
Pが、IXを介して接続される例を示す。ここで、IXはレイヤ3処理を行わな
いレイヤ2装置で構成されている。この場合もそれぞれのインターワークルータ
とIXの間はカプセル化(103b)によりそれぞれのVPNを識別する構成に
なっている。インターワークルータ(10a)とインターワークルータ(10b
)では、図19までに説明したとおり、カプセルヘッダ(103a、103b、
103c)とIPアドレスの組によりフォワーディング処理を行う。IXはレイ
ヤ2フォワーディングにより転送を行う。
なお、本発明では複数ISP間のVPNの接続方式について説明したが、同一
ISP内に複数のカプセル化エリアが存在する場合にも、同一のノード構成でV
PNを接続することが必要である。その場合でも、本発明で説明した方式により
、VPNを接続することができる。
本発明によるインターワークルータ動作の概念図である。 従来のルータを用いた場合における複数のISP間のインターワーク方式を説明した図である。 本発明によるインターワークルータの動作をプロトコルスタックを用いて説明した図である。 従来のルータによるISPインターワーク処理方式を説明するフローチャートである。 本発明によるインターワークルータの動作を説明するフローチャートである。 本発明によるインターワークルータの動作を説明するフローチャートである。 本発明によるMPLS網とIPカプセル化網の接続形態をプロトコルスタックを用いて説明した図である。 RFC1483によるIPパケットのATMセル化を説明する図である。 RFC791によるIPパケットフォーマットを説明する図である。 RFC1853によるIPトンネルパケットの構成を説明する図である。 本発明によるインターワークルータの1構成例を説明する図である。 本発明によるインターワークルータの下位レイヤ処理部の1構成例を説明する図である。 本発明による下位レイヤ処理部における受信側VPN番号テーブルの構成例を説明する図である。 本発明によるインターワークルータの下位レイヤ処理部の1構成例を説明する図である。 本発明による下位レイヤ処理部における受信側VPN番号テーブルの構成例を説明する図である。 本発明によるインターワークルータのパケットレイヤ処理部の1構成例を説明する図である。 本発明によるパケットレイヤ処理部におけるルート検索VPNテーブルの構成例を説明する図である。 本発明による下位レイヤ処理部におけるヘッダ生成テーブルの構成例を説明する図である。 本発明による下位レイヤ処理部におけるヘッダ生成テーブルの構成例を説明する図である。 本発明によるインターワークルータの網内での1適用例を説明する図である。 本発明によるインターワークルータの網内での1適用例を説明する図である。 本発明によるインターワークルータの網内での1適用例を説明する図である。 本実施例のテーブルの設定のための、NMSから装置に指示を出すインターフェースである。
符号の説明
2…ISP網、3…エッジノード、10…インターワークルータ装置、50…
制御部、51…コアスイッチ、52…パケットレイヤ処理部、53…下位レイヤ
処理部(ATM)、54…下位レイヤ処理部(IPカプセル)、152…VPN
番号付与部、153…受信側VPN番号テーブル、157…ATMヘッダ決定部
、158…ヘッダ生成テーブル、172…VPN番号付与部、173…受信側V
PN番号テーブル、177…カプセルヘッダ決定部、178…ヘッダ生成テーブ
ル。

Claims (22)

  1. 第一の仮想閉域網を含む第一のネットワークから複数の第二の仮想閉域網を含む第二のネットワークに、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されたデータを転送するデータ転送装置であって、
    上記宛先IPアドレスと上記第一のVPN識別子とから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成するデータ処理部と、
    上記データに上記第二のVPN識別子を付加して送信する送信部を備えたデータ転送装置。
  2. 請求項1記載のデータ転送装置であって、
    上記第一のVPN識別子を上記第二のVPN識別子で置き換える処理部をさらに備えたデータ転送装置。
  3. 請求項1記載のデータ転送装置であって、
    上記宛先IPアドレスと上記第一のVPN識別子とから上記データの上記第二のネットワークへの送出経路を決定する経路決定部をさらに備えたデータ転送装置。
  4. 請求項1記載のデータ転送装置であって、
    上記データはIPパケットであることを特徴とするデータ転送装置。
  5. 第一の仮想閉域網を含む第一のネットワークから複数の第二の仮想閉域網を含む第二のネットワークに、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されたデータを転送するデータ転送方法であって、
    上記データを受信するステップと、
    上記宛先IPアドレスと上記第一のVPN識別子とから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成するステップと、
    上記データに上記第二のVPN識別子を付加して送信するステップを有するデータ転送方法。
  6. 請求項5記載のデータ転送方法であって、
    上記第一のVPN識別子を上記第二のVPN識別子で置き換えるステップをさらに有するデータ転送方法。
  7. 請求項5記載のデータ転送方法であって、
    上記宛先IPアドレスと上記第一のVPN識別子とから上記データの上記第二のネットワークへの送出経路を決定するステップをさらに有するデータ転送方法。
  8. 請求項5記載のデータ転送方法であって、
    上記データはIPパケットであることを特徴とするデータ転送方法。
  9. データ転送システムであって、
    第一の仮想閉域網を含む第一のネットワークと、
    複数の第二の仮想閉域網を含む第二のネットワークと、
    上記第一のネットワークから上記第二のネットワークにデータを転送するデータ転送装置とを備え、
    上記データには、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されており、
    上記データ転送装置は、上記宛先IPアドレスと上記第一のVPN識別子とから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成し、上記データに上記第二のVPN識別子を付加して送信することを特徴とするデータ転送システム。
  10. 請求項9記載のデータ転送システムであって、
    上記データ転送装置は、上記第一のVPN識別子を上記第二のVPN識別子で置き換えることを特徴とするデータ転送システム。
  11. 請求項9記載のデータ転送システムであって、
    上記データ転送装置は、上記宛先IPアドレスと上記第一のVPN識別子とから上記データの上記第二のネットワークへの送出経路を決定することを特徴とするデータ転送システム。
  12. 第一の仮想閉域網を含む第一のネットワークから複数の第二の仮想閉域網を含む第二のネットワークに、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されたデータを転送するデータ転送装置であって、
    上記宛先IPアドレスと上記第一のVPN識別子とからインデックスを生成するインデックス生成部と、
    上記インデックスから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成するデータ処理部と、
    上記データに上記第二のVPN識別子を付加して送信する送信部を備えたデータ転送装置。
  13. 請求項12記載のデータ転送装置であって、
    上記第一のVPN識別子を上記第二のVPN識別子で置き換える処理部をさらに備えたデータ転送装置。
  14. 請求項12記載のデータ転送装置であって、
    上記宛先IPアドレスと上記第一のVPN識別子とから上記データの上記第二のネットワークへの送出経路を決定する経路決定部をさらに備えたデータ転送装置。
  15. 請求項12記載のデータ転送装置であって、
    上記データはIPパケットであることを特徴とするデータ転送装置。
  16. 第一の仮想閉域網を含む第一のネットワークから複数の第二の仮想閉域網を含む第二のネットワークに、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されたデータを第一及び第二のデータ転送装置を介して転送するデータ転送方法であって、
    上記第一のデータ転送装置において上記第一のネットワークから上記データを受信するステップと、
    上記第一のデータ転送装置において上記宛先IPアドレスと上記第一のVPN識別子とからインデックスを生成するステップと、
    上記第一のデータ転送装置において、該インデックスを上記データに付加して上記第二のデータ転送装置に送信するステップと、
    上記第二のデータ転送装置において上記インデックスを付加されたデータを上記第一のデータ転送装置から受信するステップと、
    上記第二のデータ転送装置において、該インデックスから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成するステップと、
    上記第二のデータ転送装置において、上記データに上記第二のVPN識別子を付加して上記第二のネットワークに送信するステップを有するデータ転送方法。
  17. 請求項16記載のデータ転送方法であって、
    上記第一のデータ転送装置において上記第一のVPN識別子を上記インデックスで置き換えるステップと、
    上記第二のデータ転送装置において上記インデックスを上記第二のVPN識別子で置き換えるステップをさらに有するデータ転送方法。
  18. 請求項16記載のデータ転送方法であって、
    上記第二のデータ転送装置において上記宛先IPアドレスと上記インデックスとから上記データの上記第二のネットワークへの送出経路を決定するステップをさらに有するデータ転送方法。
  19. 請求項16記載のデータ転送方法であって、
    上記データはIPパケットであることを特徴とするデータ転送方法。
  20. データ転送システムであって、
    第一の仮想閉域網を含む第一のネットワークと、
    複数の第二の仮想閉域網を含む第二のネットワークと、
    上記第一のネットワークからデータを受信する第一のデータ転送装置と、
    上記データを上記第二のネットワークに転送する第二のデータ転送装置とを備え、
    上記データには、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されており、
    上記第一のデータ転送装置は、上記宛先IPアドレスと上記第一のVPN識別子とからインデックスを生成し、上記データに上記インデックスを付加して上記第二のデータ転送装置に送信し、
    上記第二のデータ転送装置は、上記宛先IPアドレスと上記インデックスとから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成し、上記データに上記第二のVPN識別子を付加して送信することを特徴とするデータ転送システム。
  21. 請求項20記載のデータ転送システムであって、
    上記第一のデータ転送装置は、上記第一のVPN識別子を上記インデックスで置き換え、
    上記第二のデータ転送装置は、上記インデックスを上記第二のVPN識別子で置き換えることを特徴とするデータ転送システム。
  22. 請求項21記載のデータ転送システムであって、
    上記第二のデータ転送装置は、上記宛先IPアドレスと上記インデックスとから上記データの上記第二のネットワークへの送出経路を決定することを特徴とするデータ転送システム。
JP2007335604A 2007-12-27 2007-12-27 データ転送装置、方法及びシステム Expired - Fee Related JP4535122B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007335604A JP4535122B2 (ja) 2007-12-27 2007-12-27 データ転送装置、方法及びシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007335604A JP4535122B2 (ja) 2007-12-27 2007-12-27 データ転送装置、方法及びシステム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP14766399A Division JP4110671B2 (ja) 1999-05-27 1999-05-27 データ転送装置

Publications (2)

Publication Number Publication Date
JP2008118702A true JP2008118702A (ja) 2008-05-22
JP4535122B2 JP4535122B2 (ja) 2010-09-01

Family

ID=39504195

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007335604A Expired - Fee Related JP4535122B2 (ja) 2007-12-27 2007-12-27 データ転送装置、方法及びシステム

Country Status (1)

Country Link
JP (1) JP4535122B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09205461A (ja) * 1996-01-29 1997-08-05 Nec Corp 優先制御方式
JPH1141280A (ja) * 1997-07-15 1999-02-12 N T T Data:Kk 通信システム、vpn中継装置、記録媒体
JPH1198192A (ja) * 1997-07-03 1999-04-09 At & T Corp フレームリレーデータ交換サービス
JPH11284664A (ja) * 1998-03-27 1999-10-15 Nec Corp 仮想専用網構築システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09205461A (ja) * 1996-01-29 1997-08-05 Nec Corp 優先制御方式
JPH1198192A (ja) * 1997-07-03 1999-04-09 At & T Corp フレームリレーデータ交換サービス
JPH1141280A (ja) * 1997-07-15 1999-02-12 N T T Data:Kk 通信システム、vpn中継装置、記録媒体
JPH11284664A (ja) * 1998-03-27 1999-10-15 Nec Corp 仮想専用網構築システム

Also Published As

Publication number Publication date
JP4535122B2 (ja) 2010-09-01

Similar Documents

Publication Publication Date Title
JP4110671B2 (ja) データ転送装置
EP1713197B1 (en) A method for implementing the virtual leased line
US8005096B2 (en) Network tunnelling
JP4439122B2 (ja) インターネット・プロトコル・コネクション指向サービスの管理方法
US7266124B2 (en) Method for setting up QoS supported bi-directional tunnel and distributing L2VPN membership information for L2VPN using extended LDP
US20030174706A1 (en) Fastpath implementation for transparent local area network (LAN) services over multiprotocol label switching (MPLS)
US20050265308A1 (en) Selection techniques for logical grouping of VPN tunnels
US20040177157A1 (en) Logical grouping of VPN tunnels
US20050129059A1 (en) Method of implementing PSEUDO wire emulation edge-to-edge protocol
JP2005341583A (ja) 仮想プライベートネットワーク、マルチサービスプロビジョニングプラットフォーム及び方法
JPH1141272A (ja) Lanインターネット接続
JP2005341591A (ja) 仮想プライベートネットワーク、マルチサービスプロビジョニングプラットフォーム及び方法
JP2001237876A (ja) Ip仮想プライベート網の構築方法及びip仮想プライベート網
US20040025054A1 (en) MPLS/BGP VPN gateway-based networking method
Palmieri VPN scalability over high performance backbones evaluating MPLS VPN against traditional approaches
KR20050074554A (ko) 가상 이더넷 mac 스위칭
EP1351450B1 (en) Fastpath implementation for transparent local area network (LAN) services over multiprotocol label switching (MPLS)
KR100728292B1 (ko) 가상 랜 네트워크 및 그 서비스 제공 방법
JP4450069B2 (ja) データ転送装置、方法及びシステム
JP4508238B2 (ja) データ転送装置
JP4111226B2 (ja) 通信システム
JP4535122B2 (ja) データ転送装置、方法及びシステム
JP4957818B2 (ja) データ転送装置
JP2004104527A (ja) インターネットアクセスネットワーク及びアクセススイッチ装置
JP2005080271A (ja) 複数のvpnを接続するため、送信先vpn識別符号をカプセル化ヘッダとしたvpn構成方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100525

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100607

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130625

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees