JP2008118702A - データ転送装置、方法及びシステム - Google Patents
データ転送装置、方法及びシステム Download PDFInfo
- Publication number
- JP2008118702A JP2008118702A JP2007335604A JP2007335604A JP2008118702A JP 2008118702 A JP2008118702 A JP 2008118702A JP 2007335604 A JP2007335604 A JP 2007335604A JP 2007335604 A JP2007335604 A JP 2007335604A JP 2008118702 A JP2008118702 A JP 2008118702A
- Authority
- JP
- Japan
- Prior art keywords
- data transfer
- data
- network
- vpn identifier
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
VPN:Virtual Private Network)を提供することである。
【解決手段】 両インターネットサービスプロバイダのネットワーク接続部分の
インターワークゲートウェーにおいて、各パケットの方路を決定する際に、VPN
を構成するために導入されるカプセル化ヘッダの領域とIPヘッダ両方の領域の情
報を用いて方路を決定し、更に出力側網におけるカプセル化ヘッダも前記情報か
ら構成する。
【効果】 仮想専用線の相互接続が可能となり、複数インターネットサービスプ
ロバイダにまたがるVPNを構成できる。また第一の網と第二の網のQoS情報を
インターワークすることができる。
【選択図】 図1
Description
ork)構築方法及びインターネットサービスプロバイダ間を接続するインターワ
ークルータに関する。
、電子メール、WWW(World Wide Web)などのアプリケーションを使用するこ
とができる。また、IPネットワークは、従来の電話ベースの交換網と比較して構
築コストが安い。そのためインターネットは近年爆発的に普及している。このよ
うな状況の下、IPで構築した企業内網(イントラネット)は、企業活動にも欠
かすことの出来ないものとなってきている。
互接続し、一つの企業網を構築する必要が生じる。企業網を複数地域にわたって
構築する場合、次の2つの方法が考えられる。
築することにより、企業網を外部のネットワークから隔絶、セキュリティを確保
を確保することができる。
クのパケットを識別する機能を端末に設け、インターネット内ではグローバルア
ドレスに基づくIPパケットとして転送を行うことである。悪意のユーザからの
攻撃にはこの識別機能と、暗号化により対抗することでVPNを実現することが
できる。
にIPsec方式によるVPNでは、アタック及び暗号解読により悪意のユーザ
の侵入を許したり、暗号化処理が高速ネットワークの速度のボトルネックになっ
たり、端末コストが上昇するという問題があった。
うになるに従い、網が提供するIPの下位レイヤの機能を用い、インターネット
上に仮想的に専用網を構築し、コストを押さえ、かつ外部のネットワークから隔
絶した安全な、かつ何らかの品質保証行い要求が高まってきた。
PNを提供するインターネット・サービス・プロバイダ(Internet Service Pro
vider:ISP)のネットワークの入り口でカプセル化を行う。ISPのネットワーク
上では、このカプセル化したヘッダに基づき転送を行い、ネットワークの出口で
カプセルヘッダを外す。このVPN構成方式では、VPN固有のカプセル化ヘッ
ダを用いることにより外部のネットワークから隔絶し、セキュリティを確保して
いる。また、このカプセル化の具体的なプロトコルとしては、IPカプセル化、
MPOA(Multi Protocol over ATM)、MPLS(Multi Protocol Layer Swit
ching)等の方式があり、1999年2月現在、ITU-T SG13やIETFなどの標準化
団体で検討が行われている。また、ITU-T SG13では、網の内部をE.164アドレス
によりカプセル化して転送する、Core Protocol(別称GMN-CL)についての検討も
行われている。
ザ網とコア網のインターワークを行うアクセス系・エッジノードの構成法を提案
している。
NTT R&D vol.47 No.4 1998(平成10年4月10日発行)
を持ち、それぞれの拠点でイントラネットを構築した上で、VPNにより、それ
らを相互接続したいというニーズが生じてくるものと考えられる。
記したような各拠点のネットワークをVPNにより接続するためには、複数のIS
Pをまたがった形でVPNを構築する必要がある。
ーを設け、相互接続を行う。このインターワークルータでは、双方のネットワー
クから到来した相手網行きのパケットをIPヘッダに従って相手網に転送するこ
とで、インターワークを実現する。また、日経コミュニケーション1997年12月15
日号146頁に記されているように、複数ネットワークの相互インターワークのた
めに、IX(Internet Exchange)と呼ばれる装置を用いて互いのネットワークを
接続し、このIXにより、互いの網間で転送されるパケットの転送を行っても良い
。このようなIXには、IPパケットを識別して転送を行う「レイヤ3フォワーディ
ング」や、ATM通信装置などで、下位レイヤのヘッダを識別して転送を行う「レ
イヤ2フォワーディング」を用いる方式がある。
うとした場合の問題点を検討した。まず、各インターネットサービスプロバイダ
のネットワークでVPNを構築するために、各ネットワーク内でそれぞれカプセ
ル化を行う。各ネットワークのカプセル化プロトコルは、一般に異なるものとな
ると考えられる。この場合、インターワークルータでは、双方のネットワークの
共通のプロトコルであるIPパケットのIPヘッダ情報を検索して宛先方路を決
定し、他網行きのパケットであるか否かを検索する必要がある。
インターフェースで終端してしまうため、前段の網でVPNを構成するためにつ
けられているカプセル化ヘッダをはずしてIPアドレスを検索する事により次の
ホップ情報を決定し、また後段の網でのVPNを構成するためのカプセルヘッダ
を生成してパケットに付与することになる。したがって、インターワーク装置内
部では、VPN内のパケットとVPN以外の網のパケットとが混在してしまう。
そのため、悪意のユーザによる不正ヘッダの付与により、インターワークルータ
を基点としてVPNへの侵入が可能になるという問題がある。
を用いてVPNを構成することがある。この場合、インターワークルータでカプ
セル化ヘッダを一旦はずしてしまうと、受信側のISP側では、インターナルア
ドレスが複数のVPNでそれぞれ独自に使用されているので、同一のアドレスを
持つパケットを区別することが出来ない。このため、パケットの転送先が決定で
きない。複数のISPにまたがって、インターネット上にVPN構成する場合、
上述のような問題点がある(第1の課題)。
説明すると、あるISPではATMのVCを用いてパスを張ることにより各VP
Nの品質の保証しており、別のISPではDiffserv(Differenciated Services)
により品質の保証を行っている場合、双方で構成するVPNを相互に接続する場
合、エンド・トゥー・エンドで通信品質を規定することは困難である。(第2の
課題)。
VPNを構築することは困難である。
ISPにまたがってVPN構築する場合において、それらのISP間を接続する
インターワークルータを提供することにある。
双方の情報を用いて、出力方路の決定及び出力側ISP網内でのカプセル化ヘッ
ダの生成を行う機能をインターワークルータ装置に設ける。下位レイヤにATM
を用いるMPLS網を運用するISP同士を接続する場合を例により具体的に説
明すると、VPN識別に使用するカプセル化ヘッダであるATMのVPI、VC
I等のヘッダ情報と、IPアドレスをキーに検索を行い、次の方路及び次のネッ
トワーク内部でのVPN識別に使用するATMのVPI,VCI等のヘッダ情報
を生成し、後段の網に送り出す際に生成したヘッダ情報を付与して送出する。
対する、インターネット上でのVPN構成を構成することが出来る。
あらわすフィールドの値を、出力側のカプセル化ヘッダ領域のQoSをあらわす
フィールドの値にマッピングを行う。これにより、双方の網の品質情報を透過的
に転送することができる。
複数のVPNネットワーク間でQoS情報をインターワークすることができる。
されたVPNの構成法およびそのインターワークルータの役割について説明する
。ここで下位レイヤとは、IPパケットをカプセル化するプロトコルを指し、I
PパケットをIPヘッダでカプセル化する場合にも、このカプセルヘッダを下位
レイヤのヘッダとして表記することとする。
成した場合の問題点について説明する。図2では、下位レイヤでカプセル化する
ことによりVPNを実現するISP1(2−1)とISP2(2−2)が既存ル
ータ(9)によりインターワークしている。ISP1はA地区でサービスを展開
しており、LAN1(1−1)、LAN2(1−2)、LANa(1−a)を収
容している。ISP2はB地区でサービスを展開しており、LAN3(1−3)
、LAN4(1−4)、LANb(1−b)を収容している。また、LAN1、
LAN2、LAN3、LAN4は同一会社のLANであり、VPNを構成したい
と考えている。またLANa、LANbも同一会社のLANであり、VPNを構
成したいと考えている。このような場合、同一ISP内においては、網の入り口
と網の入り口にカプセルチャネルを張ることにより、他のユーザのパケットと分
離することができるため、セキュリティの高いネットワークを構築できる。しか
し、ISP1とISP2にわたってVPNを設定しようとする場合、既存ルータ
では入力側のインターフェース部で下位レイヤを終端し、IPレベルでマージして
からパケットフォワーでリング処理を行うため、IPレベルで複数のユーザのパ
ケットが混じってしまう問題がある。すなわち、VPN内のパケットとそれ以外
のパケットが混じってしまう。従って、悪意のユーザがIPアドレスを偽って網
に侵入することも可能となる。さらに二つの会社がプライベートアドレスを用い
て社内LANを構築しようとした場合には、それぞれの会社では独立にアドレス
をアサインするため、同一のIPアドレスをアサインすることがある。この場合
、既存ルータではアドレスのバッティングのため、正しくパケットを転送するこ
とができない。
会社AのLAN1から会社AのLAN3に通信する場合を説明する。本実施例で
はISP1はIPカプセル化によりVPNを実現しており、ISP2はMPLS
(ATMによる)によりカプセル化を行いVPNを実現している。LAN1から
到来したパケットはISP1(2−1)に入るとISP1はIPカプセル化を行
い、パケットはIPカプセル化論理チャネル(5−1)通じてインターワークル
ータに到着する。インターワークルータ(9)ではパケットが搭載されてきたI
Pカプセル化論理チャネルを示すIPカプセル化ヘッダと、元々のパケットヘッ
ダの双方から出力方路を検索すると共に、ISP2内でのカプセル化ヘッダを作
成する。本実施例ではISP2はMPLSでサービスを行っているので、ATM
のヘッダを作成する。ATMによりカプセル化されたパケットは、ATM論理チ
ャネル(5−3)を通り、LAN3に送られる。インターワークルータでは、カ
プセルヘッダ及びIPヘッダで検索を行っているので、会社Aと会社Bがそれぞ
れプライベートアドレスを用いて、IPアドレスがバッティングする場合にもそ
れぞれ正しいあて先に転送することが可能となる。
るIPカプセル化と、ATMを用いてカプセル化を行う方式説明した。もちろん
フレームリレーやHDLC系のプロトコルを用いてカプセル化を行ってもよい。
て、網構成とプロトコルスタックを用いて説明する。ここではカプセル化プロト
コルは限定していない。ISP1(2−1)はエッジノード(3−1,3−2)
を介してそれぞれLAN1(1−1)、LAN2(1−2)を収容している。同
様にISP2(2−2)はエッジノード(3−3,3−4)を介してそれぞれL
AN3(1−3)、LAN4(1−4)をはじめとする複数の網を収容している
。またそれぞれのISPは自網の入り口から出口にかけて、IPパケットを網内
で使用するヘッダでカプセル化して転送を行っている。そしてカプセルヘッダを
VPNに固有に割り当てることにより、VPNトラフィックを網内の別のトラフ
ィックから識別してVPNに関する閉域網を構成している。ISP1(2−1)
とISP2(2−2)はインターワークルータ(10)により互いにインターワ
ークしており、相手網行きのトラフィックはインターワークルータを介して相手
網に転送される。
る場合について説明すると、LAN1から送出されたLAN3宛のIPパケット
はエッジノード(3−1)においてIPアドレスにより検索され、まずVPN1
に属すインターワークルータ宛のパケットと認識され、VPN1のインターワー
クルータ(10)行きのカプセルヘッダ(レイヤ図中103a)が付与され、イ
ンターワークルータ(10)に到達する。インターワークルータ(10)はカプ
セルヘッダ(レイヤ図中103a)とIPアドレスにより検索され、VPN1に
属すエッジノード(3−3)宛のパケットであることを検索し、ISP2内でV
PN1でエッジノード(3−3)宛のカプセルヘッダ(レイヤ図中103b)を
付与し、ISP2内をカプセルヘッダに従いエッジノード(3−3)に転送され
る。エッジノード(3−3)ではカプセルヘッダを外し、LAN3にIPパケッ
トを転送する。これにより、両網内にまたがるVPNのIPパケットを他トラフ
ィックと混合されることなくを転送することが出来る。
に依存させず、ひとまとめにして転送先および(カプセルヘッダを使用する場合
には)カプセルヘッダを決定することにより、従来の網内と同様に転送を行うこ
とが出きる。
図4は従来のルータ装置の処理フローであり、図5、図6は本発明によるインタ
ーワークルータ(10)の処理フローである。従来のルータでは、パケットが到
着すると、ISP1(2−1)での転送に用いられる物理レイヤを終端(201
)し、ISP1内の転送に使用したカプセルヘッダを除去(202)してから、
IPヘッダの値により方路検索を行い(203)、スイッチを介して所望方路に
転送する(204)。その後、ISP2での転送に用いられるカプセルヘッダを
付与(205)し、その後物理レイヤの処理を行って(206)伝送路から送出
する。このフローでは、ISP1のカプセルヘッダを除去して、IPヘッダのみ
で方路を決定するため、複数VPNのトラフィックが一旦マージされてしまう。
本発明のインターワークルータによれば、そのような問題を回避できる。
るパケットが到着すると、ISP1(2−1)での転送に用いられる物理レイヤ
を終端(211)し、ISP1内の転送に使用したカプセルヘッダとIPヘッダ
の値により方路検索およびISP2内のカプセル化ヘッダの生成を行う(212
)。その後ISP1カプセルヘッダを除去(213)し、ISP2での転送に用
いられるカプセルヘッダを付与(214)し、スイッチに送信する。そして、ス
イッチにより、所望の方路に転送(215)される。その後物理レイヤの処理を
行って(216)伝送路から送出する。これにより、別の網のトラフィックと分
離することができる。また、スイッチに、カプセルヘッダが除去された裸のIP
パケットが流れることがないので、この部分から他人がVPNに挿入することは
出来ない。すなわち、ISP2内で使用される内部ヘッダが付加されていないI
Pパケットが紛れ込み、そのパケットがISP2内のVPNに流れ込むというこ
とはない。従って、安全性も高くなる。
ISP1内の転送に使用したカプセルヘッダとIPヘッダの値の組と、カプセル
ヘッダインデックスとの対応テーブルと、カプセルヘッダインデックスとISP
2内の転送に使用したカプセルヘッダとの対応テーブルを有している。パケット
が到着すると、ISP1(2−1)での転送に用いられる物理レイヤを終端(2
21)し、ISP1内の転送に使用したカプセルヘッダとIPヘッダの値により
方路検索とカプセルヘッダインデックスの生成を行う(222)。その後、上記
IPパケットISP1カプセルヘッダを除去(223)し、その除去されたIP
パケットに、生成したカプセルヘッダインデックスを付与してスイッチに送信し
、スイッチにより所望の方路に転送される(224)。そして、カプセルヘッダ
IndexからISP2での転送に用いられるカプセルヘッダを生成、付与(225
)する。その後物理レイヤの処理を行って(226)伝送路から送出する。この
構成によっても、図5の場合と同様に、安全性の高い閉域網を構成することが出
来る。すなわち、カプセルヘッダIndexが付与されていないIPパケットが紛れ
込むことはない。
IPカプセルを用いてVPNをサポートするISP2にまたがるVPNの実現方
式とパケット構成例を説明する。
特定せずに説明したが、図7は、ISP1はMPLS、ISP2はIPカプセル
化を採用した場合の例を示している。インターワークルータ(10)では、図3
と同様にカプセル化ヘッダに相当するATMレイヤ(104a)及びIPレイヤ
(101)、IPカプセルレイヤ(104b)及びIPレイヤ(101)の組み
合わせによりフォワーディングを行う。これにより、VPNがそれぞれプライベ
ートアドレスを用いるためアドレスが重複する場合であっても、正しくフォワー
ディングすることが可能となる。
セル化はIETFのRFC1483で標準化されている方式である。IPヘッダ
(250)及びIPペイロード(251)からなるIPパケットにLLC/SN
AP(253)を付与し、AAL5ヘッダ(252)及びAAL5トレイラ(2
55)を付与してAAL5フレームを構成する。PAD(254)はAAL5フ
レームをATMセルのペイロード(257)長である48オクテットの定数倍に
するために挿入する。そしてこのAAL5トレイラを48オクテット毎に分割し
、ATMヘッダ(256)を付与し、1乃至複数のATMセルとして転送を行う
。
IPカプセル化を行う際、カプセル化を行うプロトコルはIPv4ヘッダをその
まま使用し、網内のルータは既存のIPv4ルータを使用することができる。
IPヘッダ(260)及びIPペイロード(261)から構成されるIPパケッ
トをカプセル化ヘッダ(264)でカプセル化しており、このカプセル化ヘッダ
はIPヘッダ(262)とトンネルヘッダ(263)から構成される。このカプ
セル化ヘッダはISP2内で用いられるもので、網内で一意に識別が可能である
。したがって、ユーザがプライベートアドレスを用いた場合でも、網内ではカプ
セルヘッダによりルーティングを行い、パケットを所望のエッジまで運ぶことが
できる。本例ではRFC1583によるトンネルヘッダの例を示したが、他にI
Pカプセル化にはGREカプセル化(RFC1792)やIPモバイルなどがあ
る。
ユーザのIPアドレスを組み合わせてフォワーディング処理を行うことにより、
安全なVPNをISPにまたがり構成することができ、さらにユーザはプライベ
ートアドレスを用いてVPNを構築することができる。
て説明する。
装置全体の制御及び他ノードとのルーティング処理などを行っている。コアスイ
ッチ(51)は各パケットレイヤ処理部(52)間のパケットの転送を行うスイ
ッチである。下位レイヤ処理部(ATM)(53)はISP1のMPLS網を収
容するインターフェースであり、下位レイヤ処理部(IPカプセル)(54)は
ISP2のIPカプセル網を収容するインターフェースである。パケットレイヤ
処理部(52)は下位レイヤ処理部(53,54)から下位レイヤの情報及びI
Pパケットを受け取り、下位レイヤの情報とIPパケットのヘッダ情報の組み合
わせによりパケットの転送先を決定する。
)(53)のブロック構成を示す。ISP1の網から到来した信号はまず物理レ
イヤ処理部(150)にて物理レイヤを終端し、ATMレイヤ処理部(151)
にてATMレイヤを終端する。この際、再構成されたIPパケットとともに、受
信側のVPN識別機能を果たしているATMヘッダも同時にVPN番号付与部(
152)に送付する。VPN番号付与部(152)では装置内でVPNの識別に
利用するVPN番号をATMヘッダより生成する。この際受信側VPN番号テー
ブル(153)が用いられる。そしてこのVPN番号とIPパケットはパケット
処理部IF(154)を介してパケットレイヤ処理部に転送される。
テーブルでは入力側ATMヘッダ(300)と入力側VPN番号(303)のペ
アから構成されており、入力側ATMヘッダが入力キーとなって入力側VPN番
号(303)を出力する。入力キーとなる入力側ATMヘッダとしては、VPI
/VCI(301)の他、パケットの転送優先度を示すCLP(Cell of Priori
ty)ビット(302)をキーとしてもよい。そして装置内で汎用的に使用される
入力側VPN番号は装置内VPN番号(304)の他にQoS(Quality of Ser
vice)を示すフィールド(305)を設けてもよい。またCLPとQoSのマッ
ピングを行うテーブルをVPN識別のための本テーブルと独立に設けてもよい。
2から到来した信号は物理レイヤ処理部(170)にて物理レイヤを終端し、次
にカプセルレイヤ受信処理部(171)にてカプセルヘッダの終端を行う。この
際終端したカプセルヘッダをIPバケットと共にVPN番号付与部(172)へ
送付する。VPN番号付与部(172)では装置内でVPNの識別に利用するV
PN番号をATMヘッダより生成する。この際受信側VPN番号テーブル(17
3)が用いられる。そしてこのVPN番号とIPパケットはパケット処理部IF
(154)を介してパケットレイヤ処理部に転送される。
テーブルは、入力側カプセルヘッダ(310)と入力側VPN番号(303)の
ペアから構成されており、入力側ATMヘッダが入力キーとなって入力側VPN
番号(303)を出力する。入力キーとなる入力側IPカプセルヘッダとしては
、カプセルヘッダのソースアドレス(311)の他、パケットの転送優先度を示
すTOS(Type of Service)フィールド(302)をキーとしてもよい。そし
て装置内で汎用的に使用される入力側VPN番号は装置内VPN番号(304)
の他にQoSを示すフィールド(305)を設けてもよい。
ブルと独立に設けてもよい。
とIPパケットがパケットレイヤ処理部(52)に到達した際の処理を図16を
用いて説明する。下位レイヤ処理部(180)を介して入力側VPN番号(30
4)とIPパケットをルート検索・VPN処理部(181)が受け取ると、ここ
ではルート検索・VPNテーブル(182)を用いてIPヘッダ及び入力側VP
N番号の双方をキーにしてルート検索及び出力側VPN番号を決定する。これに
より出力方路及び出力側VPN番号とIPパケットは、コアスイッチIFを介し
てコアスイッチに送付され、所望のパケットレイヤ処理部に到達することとなる
。
VPN番号(320)及びIPヘッダ(323)を用いて検索を行い、出力方路
番号(325)及び出力側カプセル番号(326)を出力させる。出力方路番号
(326)はコアスイッチ及びその他でパケットを所望のインターフェースに転
送するための装置内識別子であり、出力側カプセル番号(326)は出力側の下
位レイヤ処理部にてカプセルヘッダを付与するためのカプセルヘッダへの装置内
識別子である。出力側カプセル番号(326)にはカプセル番号(327)の他
にQoS(328)を設け、優先制御を行ってもよい。
(52)の処理例を示す。コアスイッチIF(184)を介して出力側カプセル
番号(326)及びIPパケットを受け取ると、これらの情報を下位レイヤ処理
部IFを介して下位レイヤ処理部(53、54)に転送する。
位レイヤ処理部(ATM)(53)ではパケットレイヤ処理部(52)からパケ
ットレイヤ処理部IF(159)を介して出力側カプセル番号(326)及びI
Pパケットを受信する。次にATMヘッダ決定部(157)はヘッダ生成テーブ
ル(158)を用いてカプセルヘッダに対応するATMヘッダを出力側カプセル
番号(326)から生成する。こうして生成されたATMヘッダとIPパケット
はATMレイヤ送信処理部(156)でATMセルに変形され、物理レイヤ送信
処理部(155)を介してISP1のネットワークへと送信される。
出力側ATMヘッダを出力する構成となっている。これにより出力側カプセル番
号より出力側ATMヘッダを得ることができる。
明する。下位レイヤ処理部(IPカプセル)(54)ではパケットレイヤ処理部
(52)からパケットレイヤ処理部IF(159)を介して出力側カプセル番号
(326)及びIPパケットを受信する。次にカプセルヘッダ決定部(177)
はヘッダ生成テーブル(178)を用いてカプセルヘッダに対応するIPカプセ
ルヘッダ及び出力側MACアドレスを出力側カプセル番号(326)から生成す
る。こうして生成されたIPカプセルヘッダ、出力側MACアドレスとIPパケ
ットはカプセルレイヤ送信処理部(176)でカプセル化処理され、物理レイヤ
送信処理部(175)を介してISP1のネットワークへと送信される。
出力側IPカプセルヘッダ及び出力側MACアドレスを出力する構成となってい
る。
出力側それぞれの処理に内部で統一された入力側VPN番号(320)及び出力
側カプセル番号(326)を用いた例を示した。但し、ルート検索・VPNテー
ブルの入力キーを入力側カプセルヘッダにしてもよいし、出力として直接出力側
カプセルヘッダを生成してもよい。
法として、ツリー構造に代表される検索アルゴリズムを用いてアドレスを出し、
所望の出力を得る方式を採用してもよいし、CAMを使った構成や、テーブルを
逐次検索していく方式を採用してもよい。
ンターフェースであり、エージェントが制御部50に搭載される、MIB(Mana
gement Information Base)構成の一実施例を示す。入力カプセルヘッダEntry(
500)は図13に示した受信側VPNテーブルを設定するためのMIBである。
同様にVPNクロスコネクトEntry(501)は図17に示したルート検索・V
PNテーブル(182)を設定するためのMIBである。同様に出力側カプセル
ヘッダEntry(502)はヘッダ生成テーブルの1構成例である。これらのMI
Bに設定された情報は、NMSから制御部(50)に対して設定され、制御部(
50)がインターワークルータ内各部にテーブル設定する。
図20から図22を用いて、インターワークルータのネットワーク内での適用例
を説明する。
して接続される例を示す。2つのインターワークルータの間はカプセル化(10
3b)によりそれぞれのVPNを識別する構成になっている。そしてそれぞれの
インターワークルータ(10a、10b)では、図19までに説明したとおり、
カプセルヘッダ(103a、103b、103c)とIPアドレスの組によりル
ーティング処理を行う。
イヤ3処理を行うIXを介して接続される例である。それぞれのインターワーク
ルータとIXの間はカプセル化(103b)によりそれぞれのVPNを識別する
構成になっている。インターワークルータ(10a)、IX(10c)及びイン
ターワークルータ(10b)では、図19までに説明したとおり、カプセルヘッ
ダ(103a、103b、103c)とIPアドレスの組によりフォワーディン
グ処理を行う。
Pが、IXを介して接続される例を示す。ここで、IXはレイヤ3処理を行わな
いレイヤ2装置で構成されている。この場合もそれぞれのインターワークルータ
とIXの間はカプセル化(103b)によりそれぞれのVPNを識別する構成に
なっている。インターワークルータ(10a)とインターワークルータ(10b
)では、図19までに説明したとおり、カプセルヘッダ(103a、103b、
103c)とIPアドレスの組によりフォワーディング処理を行う。IXはレイ
ヤ2フォワーディングにより転送を行う。
ISP内に複数のカプセル化エリアが存在する場合にも、同一のノード構成でV
PNを接続することが必要である。その場合でも、本発明で説明した方式により
、VPNを接続することができる。
制御部、51…コアスイッチ、52…パケットレイヤ処理部、53…下位レイヤ
処理部(ATM)、54…下位レイヤ処理部(IPカプセル)、152…VPN
番号付与部、153…受信側VPN番号テーブル、157…ATMヘッダ決定部
、158…ヘッダ生成テーブル、172…VPN番号付与部、173…受信側V
PN番号テーブル、177…カプセルヘッダ決定部、178…ヘッダ生成テーブ
ル。
Claims (22)
- 第一の仮想閉域網を含む第一のネットワークから複数の第二の仮想閉域網を含む第二のネットワークに、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されたデータを転送するデータ転送装置であって、
上記宛先IPアドレスと上記第一のVPN識別子とから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成するデータ処理部と、
上記データに上記第二のVPN識別子を付加して送信する送信部を備えたデータ転送装置。 - 請求項1記載のデータ転送装置であって、
上記第一のVPN識別子を上記第二のVPN識別子で置き換える処理部をさらに備えたデータ転送装置。 - 請求項1記載のデータ転送装置であって、
上記宛先IPアドレスと上記第一のVPN識別子とから上記データの上記第二のネットワークへの送出経路を決定する経路決定部をさらに備えたデータ転送装置。 - 請求項1記載のデータ転送装置であって、
上記データはIPパケットであることを特徴とするデータ転送装置。 - 第一の仮想閉域網を含む第一のネットワークから複数の第二の仮想閉域網を含む第二のネットワークに、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されたデータを転送するデータ転送方法であって、
上記データを受信するステップと、
上記宛先IPアドレスと上記第一のVPN識別子とから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成するステップと、
上記データに上記第二のVPN識別子を付加して送信するステップを有するデータ転送方法。 - 請求項5記載のデータ転送方法であって、
上記第一のVPN識別子を上記第二のVPN識別子で置き換えるステップをさらに有するデータ転送方法。 - 請求項5記載のデータ転送方法であって、
上記宛先IPアドレスと上記第一のVPN識別子とから上記データの上記第二のネットワークへの送出経路を決定するステップをさらに有するデータ転送方法。 - 請求項5記載のデータ転送方法であって、
上記データはIPパケットであることを特徴とするデータ転送方法。 - データ転送システムであって、
第一の仮想閉域網を含む第一のネットワークと、
複数の第二の仮想閉域網を含む第二のネットワークと、
上記第一のネットワークから上記第二のネットワークにデータを転送するデータ転送装置とを備え、
上記データには、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されており、
上記データ転送装置は、上記宛先IPアドレスと上記第一のVPN識別子とから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成し、上記データに上記第二のVPN識別子を付加して送信することを特徴とするデータ転送システム。 - 請求項9記載のデータ転送システムであって、
上記データ転送装置は、上記第一のVPN識別子を上記第二のVPN識別子で置き換えることを特徴とするデータ転送システム。 - 請求項9記載のデータ転送システムであって、
上記データ転送装置は、上記宛先IPアドレスと上記第一のVPN識別子とから上記データの上記第二のネットワークへの送出経路を決定することを特徴とするデータ転送システム。 - 第一の仮想閉域網を含む第一のネットワークから複数の第二の仮想閉域網を含む第二のネットワークに、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されたデータを転送するデータ転送装置であって、
上記宛先IPアドレスと上記第一のVPN識別子とからインデックスを生成するインデックス生成部と、
上記インデックスから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成するデータ処理部と、
上記データに上記第二のVPN識別子を付加して送信する送信部を備えたデータ転送装置。 - 請求項12記載のデータ転送装置であって、
上記第一のVPN識別子を上記第二のVPN識別子で置き換える処理部をさらに備えたデータ転送装置。 - 請求項12記載のデータ転送装置であって、
上記宛先IPアドレスと上記第一のVPN識別子とから上記データの上記第二のネットワークへの送出経路を決定する経路決定部をさらに備えたデータ転送装置。 - 請求項12記載のデータ転送装置であって、
上記データはIPパケットであることを特徴とするデータ転送装置。 - 第一の仮想閉域網を含む第一のネットワークから複数の第二の仮想閉域網を含む第二のネットワークに、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されたデータを第一及び第二のデータ転送装置を介して転送するデータ転送方法であって、
上記第一のデータ転送装置において上記第一のネットワークから上記データを受信するステップと、
上記第一のデータ転送装置において上記宛先IPアドレスと上記第一のVPN識別子とからインデックスを生成するステップと、
上記第一のデータ転送装置において、該インデックスを上記データに付加して上記第二のデータ転送装置に送信するステップと、
上記第二のデータ転送装置において上記インデックスを付加されたデータを上記第一のデータ転送装置から受信するステップと、
上記第二のデータ転送装置において、該インデックスから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成するステップと、
上記第二のデータ転送装置において、上記データに上記第二のVPN識別子を付加して上記第二のネットワークに送信するステップを有するデータ転送方法。 - 請求項16記載のデータ転送方法であって、
上記第一のデータ転送装置において上記第一のVPN識別子を上記インデックスで置き換えるステップと、
上記第二のデータ転送装置において上記インデックスを上記第二のVPN識別子で置き換えるステップをさらに有するデータ転送方法。 - 請求項16記載のデータ転送方法であって、
上記第二のデータ転送装置において上記宛先IPアドレスと上記インデックスとから上記データの上記第二のネットワークへの送出経路を決定するステップをさらに有するデータ転送方法。 - 請求項16記載のデータ転送方法であって、
上記データはIPパケットであることを特徴とするデータ転送方法。 - データ転送システムであって、
第一の仮想閉域網を含む第一のネットワークと、
複数の第二の仮想閉域網を含む第二のネットワークと、
上記第一のネットワークからデータを受信する第一のデータ転送装置と、
上記データを上記第二のネットワークに転送する第二のデータ転送装置とを備え、
上記データには、宛先IPアドレスと上記第一の仮想閉域網で用いられる第一のVPN識別子が付加されており、
上記第一のデータ転送装置は、上記宛先IPアドレスと上記第一のVPN識別子とからインデックスを生成し、上記データに上記インデックスを付加して上記第二のデータ転送装置に送信し、
上記第二のデータ転送装置は、上記宛先IPアドレスと上記インデックスとから上記複数の第二の仮想閉域網のうちの一つで用いられる第二のVPN識別子を生成し、上記データに上記第二のVPN識別子を付加して送信することを特徴とするデータ転送システム。 - 請求項20記載のデータ転送システムであって、
上記第一のデータ転送装置は、上記第一のVPN識別子を上記インデックスで置き換え、
上記第二のデータ転送装置は、上記インデックスを上記第二のVPN識別子で置き換えることを特徴とするデータ転送システム。 - 請求項21記載のデータ転送システムであって、
上記第二のデータ転送装置は、上記宛先IPアドレスと上記インデックスとから上記データの上記第二のネットワークへの送出経路を決定することを特徴とするデータ転送システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007335604A JP4535122B2 (ja) | 2007-12-27 | 2007-12-27 | データ転送装置、方法及びシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007335604A JP4535122B2 (ja) | 2007-12-27 | 2007-12-27 | データ転送装置、方法及びシステム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP14766399A Division JP4110671B2 (ja) | 1999-05-27 | 1999-05-27 | データ転送装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008118702A true JP2008118702A (ja) | 2008-05-22 |
JP4535122B2 JP4535122B2 (ja) | 2010-09-01 |
Family
ID=39504195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007335604A Expired - Fee Related JP4535122B2 (ja) | 2007-12-27 | 2007-12-27 | データ転送装置、方法及びシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4535122B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09205461A (ja) * | 1996-01-29 | 1997-08-05 | Nec Corp | 優先制御方式 |
JPH1141280A (ja) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | 通信システム、vpn中継装置、記録媒体 |
JPH1198192A (ja) * | 1997-07-03 | 1999-04-09 | At & T Corp | フレームリレーデータ交換サービス |
JPH11284664A (ja) * | 1998-03-27 | 1999-10-15 | Nec Corp | 仮想専用網構築システム |
-
2007
- 2007-12-27 JP JP2007335604A patent/JP4535122B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09205461A (ja) * | 1996-01-29 | 1997-08-05 | Nec Corp | 優先制御方式 |
JPH1198192A (ja) * | 1997-07-03 | 1999-04-09 | At & T Corp | フレームリレーデータ交換サービス |
JPH1141280A (ja) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | 通信システム、vpn中継装置、記録媒体 |
JPH11284664A (ja) * | 1998-03-27 | 1999-10-15 | Nec Corp | 仮想専用網構築システム |
Also Published As
Publication number | Publication date |
---|---|
JP4535122B2 (ja) | 2010-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4110671B2 (ja) | データ転送装置 | |
EP1713197B1 (en) | A method for implementing the virtual leased line | |
US8005096B2 (en) | Network tunnelling | |
JP4439122B2 (ja) | インターネット・プロトコル・コネクション指向サービスの管理方法 | |
US7266124B2 (en) | Method for setting up QoS supported bi-directional tunnel and distributing L2VPN membership information for L2VPN using extended LDP | |
US20030174706A1 (en) | Fastpath implementation for transparent local area network (LAN) services over multiprotocol label switching (MPLS) | |
US20050265308A1 (en) | Selection techniques for logical grouping of VPN tunnels | |
US20040177157A1 (en) | Logical grouping of VPN tunnels | |
US20050129059A1 (en) | Method of implementing PSEUDO wire emulation edge-to-edge protocol | |
JP2005341583A (ja) | 仮想プライベートネットワーク、マルチサービスプロビジョニングプラットフォーム及び方法 | |
JPH1141272A (ja) | Lanインターネット接続 | |
JP2005341591A (ja) | 仮想プライベートネットワーク、マルチサービスプロビジョニングプラットフォーム及び方法 | |
JP2001237876A (ja) | Ip仮想プライベート網の構築方法及びip仮想プライベート網 | |
US20040025054A1 (en) | MPLS/BGP VPN gateway-based networking method | |
Palmieri | VPN scalability over high performance backbones evaluating MPLS VPN against traditional approaches | |
KR20050074554A (ko) | 가상 이더넷 mac 스위칭 | |
EP1351450B1 (en) | Fastpath implementation for transparent local area network (LAN) services over multiprotocol label switching (MPLS) | |
KR100728292B1 (ko) | 가상 랜 네트워크 및 그 서비스 제공 방법 | |
JP4450069B2 (ja) | データ転送装置、方法及びシステム | |
JP4508238B2 (ja) | データ転送装置 | |
JP4111226B2 (ja) | 通信システム | |
JP4535122B2 (ja) | データ転送装置、方法及びシステム | |
JP4957818B2 (ja) | データ転送装置 | |
JP2004104527A (ja) | インターネットアクセスネットワーク及びアクセススイッチ装置 | |
JP2005080271A (ja) | 複数のvpnを接続するため、送信先vpn識別符号をカプセル化ヘッダとしたvpn構成方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091104 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100525 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100607 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130625 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |