JP2009267987A - Station-side apparatus, pon system and home gateway device - Google Patents
Station-side apparatus, pon system and home gateway device Download PDFInfo
- Publication number
- JP2009267987A JP2009267987A JP2008117874A JP2008117874A JP2009267987A JP 2009267987 A JP2009267987 A JP 2009267987A JP 2008117874 A JP2008117874 A JP 2008117874A JP 2008117874 A JP2008117874 A JP 2008117874A JP 2009267987 A JP2009267987 A JP 2009267987A
- Authority
- JP
- Japan
- Prior art keywords
- isp
- authentication
- subscriber terminal
- mac frame
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、局側装置、加入者側装置、およびそれらを接続する伝送媒体を有し、MAC(Media Access Control)フレームによりデータ送受信を行い、論理リンクと呼ばれる仮想的な通信コネクションを用いた通信を行うPON(Passive Optical Network)システムに関する。 The present invention includes a station side device, a subscriber side device, and a transmission medium for connecting them, performs data transmission / reception by a MAC (Media Access Control) frame, and uses a virtual communication connection called a logical link. The present invention relates to a PON (Passive Optical Network) system.
イーサネット(登録商標)PONシステムは、局側装置(OLT:Optical Line Terminal)と複数の加入者側装置(ONU:Optional Network Unit)を光伝送媒体で接続し、MACフレームによりデータ送受信を行うことにより、PONシステムにイーサネット(登録商標)サービスを透過的に収容するものである。OLTは通信網事業者局に設置され、ONUは加入者の宅内や屋外に設置される。PONシステムを利用してFTTH(Fiber To The Home)によるインターネット常時接続サービスを提供する場合、ONUは複数の加入者端末を収容する。 The Ethernet (registered trademark) PON system connects a station side device (OLT: Optical Line Terminal) and a plurality of subscriber side devices (ONU: Optional Network Unit) with an optical transmission medium, and transmits and receives data using MAC frames. The Ethernet (registered trademark) service is transparently accommodated in the PON system. The OLT is installed in the communication network operator station, and the ONU is installed in the subscriber's home or outdoors. When providing a constant Internet connection service by FTTH (Fiber To The Home) using the PON system, the ONU accommodates a plurality of subscriber terminals.
ここで、下記特許文献1などにも示されているように、従来の一般的なインターネット常時接続サービスでは、IETF(Internet Engineering Task Force)で規定されているPPPoE(Point to Point Protocol over Ethernet(登録商標))プロトコルを使用して加入者端末とISP(Internet Service Provider)との間のユーザ認証を行っている。そのため、PPPoEヘッダがイーサネット(登録商標)パケットのペイロード部の一部を占有することになり、このPPPoEヘッダ分だけ伝送効率が低下する問題があった。この問題を解決するため、下記特許文献1に記載の中継装置では、認証VLAN機能として知られている方式を元に、PPPoE認証の代わりにIEEE802.1x認証を適用することによりPPPoEヘッダによるオーバーヘッドが発生しないようにしている。
Here, as shown in
近年のインターネット常時接続サービスでは、IP電話サービスやIP放送サービスなどの普及に伴い、PONシステムに接続される端末装置であるHGW装置をISPが提供する形態が増加してきている。これは、ISPが、提供しているIP電話サービス等への影響が発生しないように、PONシステムに接続された加入者端末として、自ISPが提供したHGW装置のみに制限したいという要求による。 In recent Internet constant connection services, with the spread of IP telephone services, IP broadcast services, and the like, the form in which ISP provides HGW devices, which are terminal devices connected to the PON system, is increasing. This is due to a request to limit only the HGW apparatus provided by the ISP as a subscriber terminal connected to the PON system so that the ISP does not affect the IP telephone service provided by the ISP.
ここで、従来のPPPoEによるユーザ認証を行うPONシステムにおいてこのような形態を実現する場合、一般的には、端末装置の接続を許可するかどうかを判断するためにIEEE(Institute of Electrical and Electronics)802.1xによる認証を行う。この方式では、ISPと接続するためにユーザ認証(PPPoEユーザ認証)と機器認証(IEEE802.1x認証)の2回の認証動作が必要となり効率が悪い。一方、上述したように、上記特許文献1に記載の中継装置を使用した場合、PPPoEユーザ認証が不要となりIEEE802.1x認証のみが実行されるようになる。
Here, when such a form is realized in a conventional PON system that performs user authentication based on PPPoE, generally, an IEEE (Institute of Electrical and Electronics) is used to determine whether or not to permit connection of a terminal device. Authenticate with 802.1x. This method requires two authentication operations of user authentication (PPPoE user authentication) and device authentication (IEEE 802.1x authentication) in order to connect to the ISP, resulting in poor efficiency. On the other hand, as described above, when the relay device described in
しかしながら、上記特許文献1に記載の中継装置を適用した場合、ONU配下に1つのHGW装置が接続され、その配下に複数の加入者端末が接続される形態においては、加入者端末から複数のISPネットワークへ接続することができない、という問題があった。
However, when the relay device described in
また、PPPoEによる認証を使用した場合に可能であった加入者端末から複数のISPへ接続する機能、と同等の機能を上記特許文献1に記載の中継装置を適用したシステムで実現する場合については、中継装置(アドバンスト・エッジ・スイッチ)で送信元MACアドレスを識別することで複数の加入者端末が異なるISPにアクセスすることが可能である、と触れられているのみで、ISPネットワーク側からのブロードキャストおよびマルチキャストのイーサフレームの扱いについては何も説明されていない、という問題があった。
Regarding a case where a function equivalent to a function of connecting from a subscriber terminal to a plurality of ISPs, which was possible when using PPPoE authentication, is realized in a system to which the relay device described in
本発明は、上記に鑑みてなされたものであって、認証処理の重複を回避し、IEEE802.1x認証を適用しつつ単一加入者端末と複数ISPとの接続を実現する局側装置、PONシステムおよびホームゲートウェイ装置を得ることを目的とする。 The present invention has been made in view of the above, and avoids duplication of authentication processing, a station-side device that realizes connection between a single subscriber terminal and a plurality of ISPs while applying IEEE 802.1x authentication, PON An object is to obtain a system and a home gateway device.
上述した課題を解決し、目的を達成するために、本発明は、ISPに接続されたPONシステムの局側装置であって、加入者端末がISPへの接続を希望する場合、当該接続を希望する加入者端末とISPとの間の接続認証処理で使用する認証情報を当該加入者端末から取得し、取得した情報を使用してIEEE802.1x認証を実行することにより当該加入者端末のISPへの接続可否を判定する認証処理手段と、前記認証処理手段により接続可と判定された場合、前記認証情報を取得する際に受信したMACフレームに含まれている前記加入者端末の管理情報と接続が許可されたISPとを対応付けて管理する接続管理手段と、MACフレームを受信した場合、受信したMACフレームを前記接続管理手段により管理された情報に従い転送する転送手段と、を備えることを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention is a station-side device of a PON system connected to an ISP, and when a subscriber terminal desires connection to the ISP, the connection is desired. The authentication information used in the connection authentication process between the subscriber terminal and the ISP is acquired from the subscriber terminal, and the IEEE 802.1x authentication is performed using the acquired information to the ISP of the subscriber terminal. Authentication processing means for determining whether or not connection is possible, and connection with management information of the subscriber terminal included in the MAC frame received when acquiring the authentication information when the authentication processing means determines that connection is possible Management means that associates and manages the ISPs that are permitted to be received, and when receiving a MAC frame, the received MAC frame is managed according to the information managed by the connection management means. Transfer means for feeding, characterized in that it comprises a.
この発明によれば、PONシステムにおいて加入者端末が認証処理を複数実行することなくISPに接続できる、という効果を奏する。 According to the present invention, the subscriber terminal can connect to the ISP without executing a plurality of authentication processes in the PON system.
以下に、本発明にかかる局側装置、PONシステムおよびホームゲートウェイ装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Hereinafter, embodiments of a station side device, a PON system, and a home gateway device according to the present invention will be described in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
実施の形態1.
図1は、本発明にかかるPONシステムの実施の形態1の構成例を示す図である。このPONシステムは、局側装置(OLT)1と、光伝送媒体を介してOLT1に接続された複数の加入者側装置(ONU)2と、により構成される。OLT1はISPネットワーク(ISP)5を介してインターネット6へ接続されている。ONU2は加入者端末4を複数収容可能である。
FIG. 1 is a diagram showing a configuration example of a first embodiment of a PON system according to the present invention. The PON system includes a station side device (OLT) 1 and a plurality of subscriber side devices (ONU) 2 connected to the
また、OLT1は、ブリッジ機能を実現する(フレーム転送を行う)レイヤ2スイッチ(L2SW)11と、レイヤ2スイッチ11に接続され、ONU2を収容するための複数のPONインタフェース(PON I/F)12と、加入者端末4がISP5へ接続する際の認証処理を行う認証処理部13と、加入者端末4とISP5の接続管理を行う接続管理部14と、を備える。そして、このような構成のOLT1は、IEEE802.1xで定義されているEAP(Extensible Authentication Protocol)認証フレームを配下のONU2経由で加入者端末4から受け取ると、それに含まれる加入者識別子およびISP識別子に基づいて認証種別を特定し、特定した認証種別に対応するIEEE802.1x認証を実行する。また、認証結果に基づいて認証要求元(EAP認証フレームの送信元)加入者端末4のMACアドレスとISP側のネットワーク(ISPネットワーク5)の接続処理を実行する。さらに、接続処理(接続設定)が完了した後は、接続処理で設定した内容に従い、MACフレームの転送処理を実行する。
The OLT 1 realizes a bridge function (frame transfer) 11 and a plurality of PON interfaces (PON I / F) 12 connected to the
つづいて、本実施の形態のPONシステムにおける加入者端末の認証処理および接続処理の詳細について、図2を参照しながら説明する。図2は、本実施の形態のPONシステムにおける通信シーケンスの一例を示す図であり、加入者端末4がISP5へ接続する場合のシーケンスを示している。この例では、加入者端末4の中の1つである加入者端末#1がISP5の中の一つであるISP#1へ接続する場合のシーケンスおよび加入者端末#2がISP#2へ接続する場合のシーケンスを示している。各接続シーケンスは同一であるため、これらを区別することなく説明を行う。
Next, details of authentication processing and connection processing of the subscriber terminal in the PON system of the present embodiment will be described with reference to FIG. FIG. 2 is a diagram showing an example of a communication sequence in the PON system of the present embodiment, and shows a sequence when the subscriber terminal 4 connects to the ISP 5. In this example, the sequence when
図2に示したように、ISPとの接続を開始する場合、加入者端末4(加入者端末#1,#2)は、接続を希望するISP(ISP#1,#2)との認証開始を通知するためのEAPOL−StartフレームをOLT1に向けて送信する。EAPOL−Startフレームを受信すると、OLT1では、その送信元の加入者端末4に対して認証処理部13がEAP−Request/Identityフレームを送信して認証情報を要求する。
As shown in FIG. 2, when connection with the ISP is started, the subscriber terminal 4 (
認証要求(EAP−Request/Identityフレーム)を受け取った加入者端末4は、接続を希望するISP5の認証情報の一つであるユーザIDを含むEAP−Response/Identityフレームを返送する。ここで、ユーザIDは一般的に“userA@pro1”等という形式で記述され、“@”より前の部分“userA”がユーザの識別名称を、“@”の後ろの部分“pro1”がプロバイダの識別名称を表すようになっている。 The subscriber terminal 4 that has received the authentication request (EAP-Request / Identity frame) returns an EAP-Response / Identity frame including a user ID that is one of authentication information of the ISP 5 that desires connection. Here, the user ID is generally described in a format such as “userA @ pro1”, etc., the part “userA” before “@” is the identification name of the user, and the part “pro1” after “@” is the provider. It represents the identification name.
そのため、OLT1では、加入者端末4から受け取ったEAP−Response/Identityフレームに含まれるユーザIDを認証処理部13が解釈することによりユーザ(ユーザの識別名称いわゆるユーザ名)とISP(接続を希望するISP)を認識する。そして、図3に例示したような、あらかじめ設定されている加入者情報テーブルを参照し、上記認識したユーザIDおよびISPを用いてユーザIDの照合処理を実行し、認証処理で使用する認証方式を特定する。図2では、一例として、ユーザIDの照合が正常に完了しEAP−MD5が特定された場合の動作について示している。特定した認証方式がEAP−MD5の場合、認証処理部13は、EAP−Request/Challengeフレームを加入者端末4へ送信し、パスワードを要求する。これに対して加入者端末4はEAP−Response/Challengeフレームにて認証情報の一つであるパスワードを応答(送信)する。認証処理部13は、受け取ったパスワードを精査し、その認証情報(パスワード)が正しければ、すなわち、図3に示した加入者情報テーブルに登録されたパスワードに一致していれば、加入者端末4のMACアドレスと接続先のISPネットワークの対応情報を、レイヤ2スイッチ11がMACフレームを転送する際に参照する転送テーブルに登録する。この転送テーブルの構成例を図4に示す。なお、図4に示した転送テーブルは、通常のMAC学習テーブルとは異なり、同一物理ポート上のMACアドレスを異なるグループとして管理できるようにする。
Therefore, in the
また、OLT1では、認証処理部13による認証処理が正常に終了(認証が成功)すると、次に、接続管理部14が、上記ユーザIDを解析することにより特定したISPネットワーク内のDHCP(Dynamic Host Configuration Protocol)サーバにアクセスし、認証処理を実行した加入者端末4が当該ISPネットワークと通信する際に使用するIPアドレスを取得する。なお、DHCPプロトコルにより自動取得を行うのではなく、ISPからあらかじめ指定されたIPアドレスを使うことや、別の方法で取得したIPアドレスを使用するようにしてもよい。
In the
接続管理部14は、取得したIPアドレスを上記加入者端末4に対して通知し、IPアドレスが通知された(割り当てられた)加入者端末4は、以降、割り当てられたIPアドレスを使用したIPパケット通信が可能となる。 The connection management unit 14 notifies the acquired IP address to the subscriber terminal 4, and the subscriber terminal 4 to which the IP address is notified (assigned) subsequently uses the assigned IP address. Packet communication is possible.
つづいて、インターネット6からIPパケットを受信した場合のOLT1の動作について示す。ISPネットワーク5を介してインターネット6からIPパケット(MACフレーム)を受信した場合、OLT1のレイヤ2スイッチ11は、受信したMACフレームの宛先を確認し、それがユニキャストを示すMACアドレスでありかつ保持している転送テーブルに当該MACアドレスが存在する場合(MACアドレスが転送テーブルに登録されている場合)、MACアドレスに対応する物理ポートへMACフレームを転送する。一方、転送テーブルに登録されていないMACアドレス、およびユニキャストではなくマルチキャストやブロードキャストを示すMACアドレスの場合には、MACフレームを受け取ったISPに対応するすべての物理ポートへMACフレームをフラッディングする。
Next, an operation of the
このように、本実施の形態のPONシステムでは、加入者端末が接続を希望するISPに対してIEEE802.1x認証を実行し、OLTでは、加入者端末の送信元MACアドレス毎に、加入者端末から取得した認証情報(ユーザID,パスワード)を使用してIEEE802.1x認証を実行し、その認証結果に従って、加入者端末側の送信元MACアドレスとISP側のネットワークを接続することとした。これにより、ONUに接続された加入者端末とISPとをPPPoEユーザ認証を実行することなく接続できる。また、加入者端末は複数のISPと接続できる。 As described above, in the PON system of the present embodiment, the IEEE 802.1x authentication is performed for the ISP that the subscriber terminal desires to connect to, and in the OLT, for each transmission source MAC address of the subscriber terminal, the subscriber terminal IEEE802.1x authentication is executed using the authentication information (user ID, password) acquired from, and the source MAC address on the subscriber terminal side and the ISP side network are connected according to the authentication result. Thereby, the subscriber terminal connected to the ONU and the ISP can be connected without executing PPPoE user authentication. The subscriber terminal can be connected to a plurality of ISPs.
また、ISPからマルチキャストフレームまたはブロードキャストフレームを受信した場合、そのISPと接続されている全ての加入者端末へフラッディング転送することとしたので、マルチキャストMACフレーム、ブロードキャストMACフレームの転送も実施できるようになる。 In addition, when a multicast frame or broadcast frame is received from an ISP, it is decided to perform flooding transfer to all subscriber terminals connected to that ISP, so that multicast MAC frames and broadcast MAC frames can also be transferred. .
なお、上記説明では、認証方式としてEAP−MD5を使用する場合の動作について示したが、EAP−TLSやEAP−TTLSなどの方式を使用するようにしてもよい。また、OLTがIEEE802.1x認証を行うのではなく、IEEE802.1x認証処理を実行する装置(認証用装置)を別途用意し、OLTはIEEE802.1xフレームを認証用装置へ転送し、上述した802.1x認証処理を認証用装置が実行するようにしてもよい。さらに、OLTは、IEEE802.1x認証フレームをISPネットワーク内の認証サーバに転送してISP側で認証処理を実行するようにしてもよい。 In the above description, the operation when EAP-MD5 is used as the authentication method has been described. However, a method such as EAP-TLS or EAP-TTLS may be used. In addition, the OLT does not perform IEEE 802.1x authentication, but separately prepares a device (authentication device) that executes IEEE 802.1x authentication processing. The OLT transfers the IEEE 802.1x frame to the authentication device, and the above-described 802 described above. The authentication apparatus may execute the 1x authentication process. Further, the OLT may transfer an IEEE 802.1x authentication frame to an authentication server in the ISP network and execute an authentication process on the ISP side.
また、図4に示した転送テーブルを図5のように拡張するようにしてもよい。図5に示した転送テーブルを採用した場合、OLTは、宛先MACアドレスがブロードキャストMACアドレスであるARP(Address Resolution Protocol)フレームの転送処理において、ARPメッセージ内の宛先IPアドレスを確認し、それに対応する特定のONUのみに転送することが可能となる。これにより、宛先IPアドレスとは無関係な加入者端末で不要なフレームを受信させないようにできる。IPアドレスはARPメッセージを受信した際に学習しても良いし、認証処理終了時に自らARPメッセージを送信し、その応答メッセージから学習するようにしてもよい。また、認証処理において認証情報と一緒に取得するようにしてもよい。また、OLTはARPメッセージをすべてのONUに対して転送し、ONUがIPアドレスを確認し、転送する必要がある場合にのみARPメッセージを転送するようにしてもよい。これにより、ネットワークへの負荷を低減できる。 Further, the transfer table shown in FIG. 4 may be extended as shown in FIG. When the forwarding table shown in FIG. 5 is adopted, the OLT confirms the destination IP address in the ARP message in the forwarding process of the ARP (Address Resolution Protocol) frame whose destination MAC address is the broadcast MAC address, and responds to it. It is possible to transfer only to a specific ONU. Thereby, it is possible to prevent an unnecessary frame from being received by a subscriber terminal unrelated to the destination IP address. The IP address may be learned when the ARP message is received, or may be learned from the response message by transmitting the ARP message itself at the end of the authentication process. Moreover, you may make it acquire with authentication information in an authentication process. Further, the OLT may transfer the ARP message to all ONUs, and the ARP message may be transferred only when the ONU confirms the IP address and needs to transfer the ARP message. Thereby, the load on the network can be reduced.
また、本実施の形態では、宛先がマルチキャストMACアドレスとなっているMACフレームをフラッディングすることとしたが、IGMP(Internet Group Management Protocol)スヌーピングを行うようにしてMACフレームを確認し、必要な転送先にのみ転送するようにすることも可能である。たとえば、レイヤ2スイッチ11が加入者端末から送信されたIGMPレポートメッセージの中身をスヌーピング(確認)することにより、どの加入者端末がどのマルチキャストグループに参加しているかを記憶しておく。そして、宛先がマルチキャストMACアドレスのMACフレームを受信した場合には、記憶しておいた情報に従い、受信したMACフレームの宛先を当該MACフレームの受信を希望している加入者端末のMACアドレスに変更した上で送信する。これにより、ネットワークへの負荷を低減できる。
In this embodiment, the MAC frame whose destination is a multicast MAC address is flooded. However, the MAC frame is confirmed by performing IGMP (Internet Group Management Protocol) snooping, and a necessary transfer destination is determined. It is also possible to transfer only to. For example, the
実施の形態2.
つづいて、実施の形態2について説明する。実施の形態1では、加入者端末のMACアドレスごとに802.1x認証を行う場合について説明したが、本実施の形態では、実施の形態1の変形例について説明する。
Next, the second embodiment will be described. In the first embodiment, the case where 802.1x authentication is performed for each MAC address of a subscriber terminal has been described. In this embodiment, a modification of the first embodiment will be described.
たとえば、図6に示したように、ONUがホームゲートウェイ(HGW)を収容するシステムにおいては、HGW側の各MACアドレスに対してLLID(Logical Link ID)を割り当てることにより、ONUとOLTとの間では、LLIDを利用してHGW側のMACアドレスを識別することが可能である。このような構成をとる場合、OLTとONUの間ではLLID情報を含んだフレームを送受信する。具体的には、HGWからMACフレームを受信した場合、ONUは、送信元のMACアドレスに対応するLLIDを挿入した上でMACフレームをOLTへ転送し、OLTは受信したMACフレームからLLIDを取り除き、当該LLIDと対応付けられているISPへMACフレームを転送する。また、OLTは、ISPからMACフレームを受信した場合、このISPに対応するLLIDを挿入した上でMACフレームをONUへ転送し、ONUは受信したMACフレームからLLIDを取り除き、当該LLIDと対応付けられているMACアドレス宛に転送する。上記構成を採用する場合、OLTはMACアドレスに代えてLLIDでISPとの間の接続を管理する、すなわち、LLIDごとに802.1x認証を実行する。このようにしても実施の形態1と同様の効果が得られる。
For example, as shown in FIG. 6, in a system in which an ONU accommodates a home gateway (HGW), an LLID (Logical Link ID) is assigned to each MAC address on the HGW side, so that the ONU and the OLT Then, it is possible to identify the MAC address on the HGW side using the LLID. When such a configuration is adopted, a frame including LLID information is transmitted and received between the OLT and the ONU. Specifically, when receiving the MAC frame from the HGW, the ONU inserts the LLID corresponding to the MAC address of the transmission source and then transfers the MAC frame to the OLT. The OLT removes the LLID from the received MAC frame, The MAC frame is transferred to the ISP associated with the LLID. Further, when the OLT receives a MAC frame from the ISP, the OLT transfers the MAC frame to the ONU after inserting the LLID corresponding to the ISP, and the ONU removes the LLID from the received MAC frame and is associated with the LLID. To the current MAC address. When the above configuration is adopted, the OLT manages the connection with the ISP using the LLID instead of the MAC address, that is, performs 802.1x authentication for each LLID. Even if it does in this way, the effect similar to
また、OLTは、実施の形態1で説明した機能に加え、以下に示す機能を有するような構成とすることも可能である。具体的には、ISP5からARPフレーム(ARPメッセージを示すMACフレーム)を受け取った場合、レイヤ2スイッチ11が、それに含まれる宛先IPアドレスを確認し、当該IPアドレスに対応するMACアドレスを認識している場合(当該IPアドレスに関するARPフレームを過去に受信し、アドレス解決が済んでいる場合)、受信したARPフレームの宛先に設定されていたブロードキャストMACアドレスを当該IPアドレスに対応するMACアドレスに変更し、ユニキャスト転送する機能、を有する構成とすることも可能である。これにより、送信する必要のないMACアドレス宛にARPフレームが転送されるのを回避し、ネットワークへの負荷が必要以上に増大するのを防止できる。
In addition to the functions described in the first embodiment, the OLT can be configured to have the following functions. Specifically, when an ARP frame (MAC frame indicating an ARP message) is received from the ISP 5, the
また、レイヤ2スイッチ11が、マルチキャストグループに参加している加入者端末から送信されたIGMPレポートメッセージをスヌーピングし、得られた情報(どの加入者端末がどのマルチキャストグループに参加しているかを示す情報)に基づいて、マルチキャストフレームの宛先をマルチキャストMACアドレスからユニキャストMACアドレスに変換する機能、を有する構成としてもよい。これにより、ネットワークへの負荷が必要以上に増大するのを防止できる。
Further, the
なお、上述した、ARPメッセージを受信した場合にブロードキャストMACアドレスをユニキャストMACアドレスに付け替えて転送する機能、IGMPレポートメッセージをスヌーピングして取得しておいた情報を利用してマルチキャストMACアドレスをユニキャストMACアドレスに付け替えて転送する機能、をONUに持たせた構成としてもよい。 In addition, when the ARP message is received, the broadcast MAC address is replaced with the unicast MAC address and transferred, and the multicast MAC address is unicast using the information acquired by snooping the IGMP report message. It is good also as a structure which gave the function which replaces with a MAC address and transfers.
実施の形態3.
つづいて、実施の形態3について説明する。実施の形態1では、ONUが加入者端末を収容する構成のPONシステムについて説明したが、本実施の形態では、これとは異なる構成のPONシステムについて説明する。
Next,
図7は、実施の形態3のPONシステムの構成例を示す図であり、このPONシステムは、局側装置(OLT)1aと、実施の形態1の加入者側装置と同じ加入者側装置(ONU)2と、により構成される。ただし、ONU2は、加入者端末4ではなくホームゲートウェイ(HGW)3を収容し、HGW3が加入者端末4を収容する。
FIG. 7 is a diagram illustrating a configuration example of the PON system according to the third embodiment. This PON system includes a station side device (OLT) 1a and a subscriber side device (the same as the subscriber side device according to the first embodiment). ONU) 2. However, the
OLT1aは、実施の形態1で示したOLT1と同じ構成要素からなり、同等の機能を有する。ただし、ISP5との間の接続認証および接続管理をHGW3とISP5との間で行う。なお、図8は、実施の形態3のPONシステムにおける通信シーケンスの一例を示す図であり、加入者端末4がISP5へ接続する処理をHGW3が代行する場合のシーケンスを示している。この図8に示したシーケンスと図2に示したシーケンスを比較すると分かるように、本実施の形態の接続シーケンスは、加入者端末が実行していた処理をHGW3が実行する点を除いて実施の形態1の接続シーケンスと同一である。
The
HGW3は、少なくとも1つの接続先のISP5との間のIEEE802.1x認証情報を保持し、ONU2と接続するための物理インタフェースに、MACアドレスが個別に付与された仮想インタフェース(仮想ポート)を1つ以上保有する。そして、仮想インタフェース毎にISPとの間のIEEE802.1x認証を実行する機能、仮想インタフェース毎にIPアドレスを設定する機能、ISP側にIPパケットを転送する処理において、IP経路情報に基づいて仮想インタフェースを特定し、特定した仮想インタフェースに付与されたMACアドレスを送信元MACアドレスとしてMACフレームを送信する機能、ISP側から送信されたユニキャストMACフレームをMACアドレスが一致する仮想インタフェースで受信する機能、ISP側から送信されたマルチキャストMACフレームおよびブロードキャストMACフレームを全ての仮想インタフェースで受信する機能、を有している。
The
HGW3によるMACフレーム転送動作について説明する。HGW3は、加入者端末4からPONシステム側への送信するIPパケットを受け取ると、その宛先IPアドレスに基づいて経路情報を検索し、仮想インタフェースのうちどこから送信するかを決定する。なお、仮想インタフェースから送信するMACフレームの送信元MACアドレスには仮想インタフェースに割り当てられているMACアドレスを設定する。HGW3から送信されたMACフレームはONU2を経由してOLT1aに渡され、OLT1aでは、予め登録されていた情報に従ってレイヤ2スイッチ11によりISPネットワーク側へ転送される。
A MAC frame transfer operation by the
一方、ISPネットワーク側からのユニキャストMACアドレス宛のフレームは、OLT1aにおいて、予め登録されていた情報に従ってレイヤ2スイッチ11により転送され、ONU2を経由してHGW3に到着する。そして、HGW3の仮想インタフェースのうち、宛先MACアドレスに対応する仮想インタフェースで受信される。
On the other hand, a frame addressed to the unicast MAC address from the ISP network side is transferred by the
図9は、ONU2からMACフレームを受信した場合のHGW3の動作例を示す図である。図9示したように、本実施の形態のHGW3は、WANポート(物理インタフェース)を介してMACフレームを受け取った場合、受信振り分け処理部は、その宛先MACアドレス(MAC DA(Destination Address))を確認し、宛先MACアドレスがユニキャストMACアドレスであれば、当該ユニキャストMACアドレスに対応する仮想インタフェースへMACフレームを転送する(図9の(1)で示した処理)。また、宛先MACアドレスがブロードキャストMACアドレスまたはマルチキャストMACアドレスであれば、MACフレームをコピーしてすべての仮想インタフェースへ転送する(図9の(2)で示した処理)。各仮想インタフェースへ転送されたMACフレームは、アドレス変換機能やファイやウォール機能を実現するNAT/FW部を介して加入者端末へ転送される。
FIG. 9 is a diagram illustrating an operation example of the
たとえば、ISP5側からARPフレームが送信された場合、このARPフレームは、ブロードキャストフレームとしてOLT1aで受信される。すると、OLT1aでは、レイヤスイッチ11が、転送テーブルを参照し、当該ISP5に接続された全ての送信元MACアドレスが存在するONU2にフレームを転送する。同様に、ISP5からマルチキャストフレームが送信された場合も、当該ISP5に接続された全ての送信元MACアドレスが存在するONU2にフレームを転送する。HGW3では、ONU2経由で送信されたブロードキャストMACフレームまたはマルチキャストMACフレームを全ての仮想インタフェース上で受信し、それらを上位レイヤへ渡す。
For example, when an ARP frame is transmitted from the ISP 5 side, the ARP frame is received by the
なお、複数のISP5へ接続した場合のHGW3内のIP経路情報は、インターネットサービスの提供を受けるISP5側(複数のISPでインターネットサービスが提供される場合はどれか1つ)をデフォルトルートとし、特定のサービスを受けるISP5側へはスタティックな経路情報を設定するものとする。
Note that the IP route information in the
このように、本実施の形態では、ONUに収容されたHGWが複数の仮想インタフェースを有する場合、仮想インタフェースごとに、ISPとの間でIEEE802.1x認証を行うこととした。これにより、単一のHGWで複数のISPと接続することができる。 As described above, in the present embodiment, when the HGW accommodated in the ONU has a plurality of virtual interfaces, the IEEE 802.1x authentication is performed with the ISP for each virtual interface. Thereby, it is possible to connect to a plurality of ISPs with a single HGW.
また、HGWは、図10に示した動作を実行する機能をさらに有する構成としてもよい。すなわち、
(1)加入者端末(PC)から受信したEAPフレームを識別し、その送信元MACアドレスを記憶した上でONU(WAN)側にブリッジ(転送)する機能、
(2)ONU側から受信したEAPフレームの宛先MACアドレスを識別し、それが上記処理((1)で示した機能)を実行した際に記憶しておいたMACアドレスと一致する場合、加入者端末側にブリッジする機能、
(3)ERP認証結果フレームを識別し、認証成功を検出した後は、加入者端末からMACフレームを受信した場合、その送信元MACアドレスを識別し、記憶しておいたMACドレスと一致すればONU側へブリッジし、また、ONU側からMACフレームを受信した場合、その宛先MACアドレスを識別し、記憶しておいたMACアドレスに一致すれば加入者端末側へブリッジする機能、
を有する構成としてもよい。
The HGW may further have a function of executing the operation illustrated in FIG. That is,
(1) A function of identifying an EAP frame received from a subscriber terminal (PC), storing the source MAC address, and bridging (forwarding) to the ONU (WAN) side;
(2) If the destination MAC address of the EAP frame received from the ONU side is identified and matches the MAC address stored when the above processing (function shown in (1)) is executed, the subscriber A function to bridge to the terminal side,
(3) After identifying the ERP authentication result frame and detecting the authentication success, if the MAC frame is received from the subscriber terminal, if the source MAC address is identified and matches the stored MAC address Bridge to the ONU side, and when receiving a MAC frame from the ONU side, identify the destination MAC address and bridge to the subscriber terminal side if it matches the stored MAC address,
It is good also as a structure which has.
このような構成とすることにより、従来のPPPoEによる接続サービスにおいて提供されていたHGWでのPPPoEブリッジ機能と同等のサービスを加入者端末に提供することができる。 With this configuration, it is possible to provide a subscriber terminal with a service equivalent to the PPPoE bridge function in the HGW that has been provided in the conventional connection service using PPPoE.
以上のように、本発明にかかる局側装置は、PONシステムに有用であり、特に、単一加入者端末を複数のISPへ接続する利用形態を提供するPONシステムの局側装置に適している。 As described above, the station-side apparatus according to the present invention is useful for a PON system, and is particularly suitable for a station-side apparatus of a PON system that provides a usage mode for connecting a single subscriber terminal to a plurality of ISPs. .
1、1a 局側装置(OLT)
2 加入者側装置(ONU)
3 ホームゲートウェイ(HGW)
4 加入者端末
5 ISPネットワーク(ISP)
6 インターネット
11 レイヤ2スイッチ(L2SW)
12 PONインタフェース(PON I/F)
13 認証処理部
14 接続管理部
1, 1a Station side equipment (OLT)
2 Subscriber side equipment (ONU)
3 Home gateway (HGW)
4 Subscriber terminal 5 ISP network (ISP)
6 Internet 11
12 PON interface (PON I / F)
13 Authentication Processing Unit 14 Connection Management Unit
Claims (11)
加入者端末がISPへの接続を希望する場合、当該接続を希望する加入者端末とISPとの間の接続認証処理で使用する認証情報を当該加入者端末から取得し、取得した情報を使用してIEEE802.1x認証を実行することにより当該加入者端末のISPへの接続可否を判定する認証処理手段と、
前記認証処理手段により接続可と判定された場合、前記認証情報を取得する際に受信したMACフレームに含まれている前記加入者端末の管理情報と接続が許可されたISPとを対応付けて管理する接続管理手段と、
MACフレームを受信した場合、受信したMACフレームを前記接続管理手段により管理された情報に従い転送する転送手段と、
を備えることを特徴とする局側装置。 A station side device of a PON system connected to an ISP,
When a subscriber terminal wishes to connect to an ISP, the authentication information used in the connection authentication process between the subscriber terminal that desires the connection and the ISP is obtained from the subscriber terminal, and the obtained information is used. Authentication processing means for determining whether or not the subscriber terminal can connect to the ISP by executing IEEE 802.1x authentication;
If the authentication processing unit determines that the connection is possible, the management information of the subscriber terminal included in the MAC frame received when the authentication information is acquired is associated with the ISP permitted to be connected and managed. Connection management means to
A transfer unit that, when receiving a MAC frame, transfers the received MAC frame according to information managed by the connection management unit;
A station-side device comprising:
ISPからブロードキャストMACフレームまたはマルチキャストMACフレームを受信した場合、当該受信したMACフレームの配信を希望する加入者端末のMACアドレスを予め保持しておいた情報に基づいて特定する処理、を実行し、MACアドレスを特定できた場合には、特定したMACアドレスを当該受信したMACフレームの宛先に設定して転送する
ことを特徴とする請求項1または2に記載の局側装置。 The transfer means includes
When a broadcast MAC frame or a multicast MAC frame is received from an ISP, a process for specifying the MAC address of a subscriber terminal that desires to distribute the received MAC frame based on information stored in advance is executed, and the MAC The station apparatus according to claim 1 or 2, wherein if the address can be specified, the specified MAC address is set as a destination of the received MAC frame and transferred.
前記加入者側装置は、
加入者端末からMACフレームを受信した場合、当該MACフレームの送信元MACアドレスに対応するLLIDを挿入して転送し、また、局側装置からMACフレームを受信した場合、当該MACフレームに含まれているLLIDを削除して転送するMACフレーム転送手段、
を備え、
前記局側装置は、
加入者端末がISPへの接続を希望する場合、当該接続を希望する加入者端末とISPとの間の接続認証処理で使用する認証情報を前記加入者側装置経由で当該加入者端末から取得し、取得した情報を使用してIEEE802.1x認証を実行することにより当該加入者端末のISPへの接続可否を判定する認証処理手段と、
前記認証処理手段により接続可と判定された場合、前記認証情報を取得する際に受信したMACフレームに含まれているLLIDと接続が許可されたISPとを対応付けて管理する接続管理手段と、
前記加入者側装置からMACフレームを受信した場合、それに含まれるLLIDを削除する処理を実行し、また、前記ISPからMACフレームを受信した場合、その宛先MACアドレスに対応するLLIDを追加する処理を実行し、得られたMACフレームを前記接続管理手段により管理された情報に従い転送する転送手段と、
を備えることを特徴とするPONシステム。 A PON system including a subscriber side device capable of accommodating a plurality of subscriber terminals and a station side device connected to an ISP,
The subscriber side device is:
When a MAC frame is received from a subscriber terminal, an LLID corresponding to the source MAC address of the MAC frame is inserted and transferred. When a MAC frame is received from a station side device, it is included in the MAC frame. MAC frame transfer means for deleting and transferring the existing LLID,
With
The station side device
When a subscriber terminal wishes to connect to an ISP, authentication information used in a connection authentication process between the subscriber terminal that desires the connection and the ISP is acquired from the subscriber terminal via the subscriber side device. Authentication processing means for determining whether or not the subscriber terminal can connect to the ISP by performing IEEE 802.1x authentication using the acquired information;
A connection management unit that manages the LLID included in the MAC frame received when acquiring the authentication information in association with the ISP permitted to be connected when the authentication processing unit determines that the connection is possible;
When a MAC frame is received from the subscriber side device, a process of deleting an LLID included therein is executed. When a MAC frame is received from the ISP, a process of adding an LLID corresponding to the destination MAC address is performed. A transfer unit that executes and transfers the obtained MAC frame according to the information managed by the connection management unit;
A PON system comprising:
局側装置からブロードキャストMACフレームまたはマルチキャストMACフレームを受信した場合、当該受信したMACフレームの配信を希望する加入者端末のMACアドレスを予め保持しておいた情報に基づいて特定する処理、を実行し、MACアドレスを特定できた場合には、特定したMACアドレスを当該受信したMACフレームの宛先に設定して転送する
ことを特徴とする請求項5または6に記載のPONシステム。 The MAC frame transfer means includes:
When a broadcast MAC frame or a multicast MAC frame is received from the station side device, a process for specifying the MAC address of the subscriber terminal that desires to distribute the received MAC frame based on information stored in advance is executed. The PON system according to claim 5 or 6, wherein when the MAC address can be specified, the specified MAC address is set as a destination of the received MAC frame and transferred.
前記仮想ポートに接続された加入者端末がISPへ接続する際の接続認証処理で使用する認証情報を保持しておく認証情報保持手段と、
前記仮想ポートに接続された加入者端末がISPへの接続を希望する場合、前記認証情報保持手段により保持されている認証情報を使用し、当該ISPへの接続を希望する加入者端末が接続された仮想ポートのMACアドレスを送信元MACアドレスに設定したEAPフレームを送信することにより、当該加入者端末が接続を希望するISPとの間のIEEE802.1x認証処理を実行する認証処理実行手段と、
を備えることを特徴とするホームゲートウェイ装置。 In a PON system composed of a station-side device connected to an ISP and a subscriber-side device connected to the station-side device, the PON system includes one or more virtual ports assigned MAC addresses, and is connected to the virtual port. A home gateway device that performs MAC frame transfer processing between the subscriber terminal and the subscriber-side device,
Authentication information holding means for holding authentication information used in connection authentication processing when a subscriber terminal connected to the virtual port connects to an ISP;
When a subscriber terminal connected to the virtual port wishes to connect to an ISP, the authentication information held by the authentication information holding means is used to connect the subscriber terminal that wants to connect to the ISP. An authentication process executing means for executing an IEEE 802.1x authentication process with the ISP that the subscriber terminal desires to connect by transmitting an EAP frame in which the MAC address of the virtual port is set as the source MAC address;
A home gateway device comprising:
をさらに備えることを特徴とする請求項9に記載のホームゲートウェイ装置 When receiving a unicast MAC frame transmitted from a subscriber side device, it is received by a virtual port to which the same MAC address as the destination MAC address is assigned, and a broadcast MAC frame or multicast transmitted from the subscriber side device When receiving a MAC frame, MAC frame processing means for receiving at all virtual ports;
The home gateway apparatus according to claim 9, further comprising:
前記認証処理実行手段により実行された認証処理が正常に終了したかどうかを監視し、正常終了を検出した場合には、当該認証処理で使用されたEAPフレームから加入者端末のMACアドレスを取得して保持しておき、以降、加入者側装置から受信したMACフレームの宛先MACアドレスが、ERPフレームから取得して保持しておいたMACアドレスと一致する場合、当該受信したMACフレームを加入者端末へ転送し、また、加入者端末から受信したMACフレームの送信元MACアドレスが、当該保持しておいたMACアドレスと一致する場合、当該受信したMACフレームを加入者側装置へ転送する
ことを特徴とする請求項10に記載のホームゲートウェイ装置。 The MAC frame processing means
It monitors whether or not the authentication process executed by the authentication process execution unit has been normally completed, and when the normal process is detected, obtains the MAC address of the subscriber terminal from the EAP frame used in the authentication process. Thereafter, when the destination MAC address of the MAC frame received from the subscriber side device matches the MAC address acquired from the ERP frame and stored, the received MAC frame is stored in the subscriber terminal. If the source MAC address of the MAC frame received from the subscriber terminal matches the retained MAC address, the received MAC frame is transferred to the subscriber side device. The home gateway device according to claim 10.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008117874A JP2009267987A (en) | 2008-04-28 | 2008-04-28 | Station-side apparatus, pon system and home gateway device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008117874A JP2009267987A (en) | 2008-04-28 | 2008-04-28 | Station-side apparatus, pon system and home gateway device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009267987A true JP2009267987A (en) | 2009-11-12 |
Family
ID=41393230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008117874A Pending JP2009267987A (en) | 2008-04-28 | 2008-04-28 | Station-side apparatus, pon system and home gateway device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009267987A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101860771A (en) * | 2010-06-02 | 2010-10-13 | 中兴通讯股份有限公司 | Home gateway identifying and networking method and system |
CN102082979A (en) * | 2011-01-28 | 2011-06-01 | 中兴通讯股份有限公司 | Method and device for realizing home gateway function in passive optical network (PON) |
JP2013051531A (en) * | 2011-08-30 | 2013-03-14 | Fujitsu Ltd | Communication method, communication device, and communication program |
CN103067268A (en) * | 2012-12-31 | 2013-04-24 | 华为技术有限公司 | Method and server of virtual home gateway service delivery |
JP2019102928A (en) * | 2017-11-30 | 2019-06-24 | 三菱電機株式会社 | Authentication switch device, network system, and authentication method |
-
2008
- 2008-04-28 JP JP2008117874A patent/JP2009267987A/en active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101860771A (en) * | 2010-06-02 | 2010-10-13 | 中兴通讯股份有限公司 | Home gateway identifying and networking method and system |
CN102082979A (en) * | 2011-01-28 | 2011-06-01 | 中兴通讯股份有限公司 | Method and device for realizing home gateway function in passive optical network (PON) |
WO2012100716A1 (en) * | 2011-01-28 | 2012-08-02 | 中兴通讯股份有限公司 | Method and apparatus for realizing residential gateway function in passive optical network |
CN102082979B (en) * | 2011-01-28 | 2016-06-15 | 中兴通讯股份有限公司 | Passive light network realizes method and the device of home gateway functionalities |
JP2013051531A (en) * | 2011-08-30 | 2013-03-14 | Fujitsu Ltd | Communication method, communication device, and communication program |
CN103067268A (en) * | 2012-12-31 | 2013-04-24 | 华为技术有限公司 | Method and server of virtual home gateway service delivery |
CN103067268B (en) * | 2012-12-31 | 2017-02-08 | 华为技术有限公司 | Method and server of virtual home gateway service delivery |
JP2019102928A (en) * | 2017-11-30 | 2019-06-24 | 三菱電機株式会社 | Authentication switch device, network system, and authentication method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7733859B2 (en) | Apparatus and method for packet forwarding in layer 2 network | |
US9705706B2 (en) | Multiple prefix connections with translated virtual local area network | |
JP4652285B2 (en) | Packet transfer device with gateway selection function | |
JP3844762B2 (en) | Authentication method and authentication apparatus in EPON | |
US7469298B2 (en) | Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider | |
JP4105722B2 (en) | Communication device | |
JP4081472B2 (en) | Cluster management method and apparatus for network device | |
US8306025B2 (en) | Method for implementing subscriber port positioning by broadband access equipments | |
JP4881829B2 (en) | Packet forwarding system | |
US20070195804A1 (en) | Ppp gateway apparatus for connecting ppp clients to l2sw | |
WO2015135425A1 (en) | Message processing method, access controller and network node | |
JP2019526983A (en) | Separation of control plane function and transfer plane function of broadband remote access server | |
US20080046974A1 (en) | Method and System Enabling a Client to Access Services Provided by a Service Provider | |
WO2011069419A1 (en) | Method, device and system for processing ipv6 messages | |
JP2007166082A (en) | Packet transfer device | |
WO2007141840A1 (en) | Relay network system and terminal adapter | |
WO2016192608A2 (en) | Authentication method, authentication system and associated device | |
US7894437B2 (en) | Determining transmission port in a GPON network | |
CN102098278B (en) | Subscriber access method and system as well as access server and device | |
KR20120012804A (en) | Method, system and device for transmitting ipv6 protocol message in passive optical network | |
JP2009267987A (en) | Station-side apparatus, pon system and home gateway device | |
JP5261432B2 (en) | Communication system, packet transfer method, network switching apparatus, access control apparatus, and program | |
CN100449989C (en) | A method for triggering 802.1X authentication process | |
JP2008160868A (en) | Packet transfer device | |
JP4615435B2 (en) | Network relay device |