JP2947201B2 - Atm網を用いた通信方式 - Google Patents

Atm網を用いた通信方式

Info

Publication number
JP2947201B2
JP2947201B2 JP3043697A JP3043697A JP2947201B2 JP 2947201 B2 JP2947201 B2 JP 2947201B2 JP 3043697 A JP3043697 A JP 3043697A JP 3043697 A JP3043697 A JP 3043697A JP 2947201 B2 JP2947201 B2 JP 2947201B2
Authority
JP
Japan
Prior art keywords
node
atm
packet
transmitting
transport layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP3043697A
Other languages
English (en)
Other versions
JPH10229401A (ja
Inventor
直樹 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
Nippon Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Electric Co Ltd filed Critical Nippon Electric Co Ltd
Priority to JP3043697A priority Critical patent/JP2947201B2/ja
Priority to EP98301110A priority patent/EP0866630A1/en
Priority to CA002229652A priority patent/CA2229652C/en
Priority to US09/024,101 priority patent/US6172991B1/en
Publication of JPH10229401A publication Critical patent/JPH10229401A/ja
Application granted granted Critical
Publication of JP2947201B2 publication Critical patent/JP2947201B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、非同期転送(As
ynchronous Transfer Mode;
ATM)網を用いた通信方式に関し、特にATM網を用
いたTCP/IPプロトコルによるインターネットの構
成での通信セキュリティを確保する通信方式に関する。
【0002】
【従来の技術】この種の従来のATM網を用いた通信方
式では、ネットワーク層にIPプロトコルを、トランス
ポート層にTCPとUDPプロトコルを用いたTCP/
IPネットワークを互いに接続する場合に、これまでル
ータが用いられてきた。ルータは複数のネットワークイ
ンタフェースを持ち、ネットワーク層までの処理を終端
する。またトランスポート層の処理一部行うことがあ
る。
【0003】ルータの機能の1つとして、パケットとの
フィルタリングによる通信セキュリティの確保がある。
あるネットワークの外部にあるIPノードが、ネットワ
ークの内部にあるIPノードと通信するときに、ネット
ワークの出入口にあるルータを経由する。ルータはパケ
ット内のネットワーク層とトランスポート層のヘッダを
読んで、転送を行っている。そのため、そこを通過して
よいTCP/IPパケットの送信IPノード・受信IP
ノードのIPアドレスとTCP/UDPのポート番号を
設定し、それに該当しないパケットを廃棄するようにす
ると、ネットワーク内部のIPノードを外部からアクセ
スできなくしたり、特定のトランスポート層のポートへ
のアクセスを禁止したりすることができる。これはそれ
ぞれ、ネットワーク層レベルのパケットフィルタリン
グ、トランスポート層レベルのパケットフィルタリング
と呼ばれ、通信セキュリティを高めることに有用であ
る。
【0004】尚、OSI階層モデルでの第2層以下にA
TMを、第3,4層にTCP/IPプロトコルを用いる
ときの通信方式について、The ATM Forum
やIETF(Internet Engineerin
g Task Force)において審議され、ATM
Forum 96−0824r9や、draft−i
etf−rolc−nhrp−09.txtなどの仕様
書が発表されている。これらの仕様の中のNHRP方式
やMPOA方式では、ネットワークの高速化のために、
ルータに代わり高速なATM交換機が用いられるように
なっている。このようなネットワークでは、シグナリン
グと呼ばれる制御手順で送受信IPノード間にバーチャ
ルコネクション(VC)を設定した後、そのVCを通し
て通信を行う。VCに送信されるTCP/UDPパケッ
トは、送信IPノードでセルと呼ばれる固定長の短い単
位に分割されてネットワークに送られ、中継ATM交換
機をセルのままでスイッチされ、受信IPノードで再び
TCP/UDPパケットに組み立てられる。
【0005】
【発明が解決しようとする課題】この従来のATM網を
用いた通信方式では、セルの状態でネットワークを配送
されるために、従来のルータとは異なり中継のATM交
換機では、パケット内のTCP/UDPヘッダ、IPヘ
ッダの読み取りは行われない。そのため、ルータが行う
トランスポート層レベル、ネットワーク層レベルでのパ
ケットフィルタリングが出来なくなるという問題点があ
り、これがセキュリティ上の問題となるという問題点が
ある。
【0006】本発明の目的は、上記の問題を解決するた
めに、ATM交換機からなるネットワークにおいても、
ルータが行っていたパケットフィルタリングの機能を実
現することである。
【0007】
【課題を解決するための手段】本発明のATM網を用い
た通信方式は、ATMネットワークインタフェースを持
った送信側IPノードがシグナリング手順を起動し、前
記送信側IPノードは通信相手の受信側IPノードとの
間にバーチャルコネクションを設定して、TCP/IP
パケットをATMセル化して通信を行うATM網を用い
た通信方式において、前記送信側IPノードは前記シグ
ナリング手順を起動するときに、前記送信側IPノード
内のTCP/IP部分が、送信しようとする前記CP
/IPパケットの前記送信側および前記受信側のIPノ
ードのそれぞれのIPアドレス,トランスポート層のプ
ロトコル,トランスポート層のポート番号を、前記送信
側IPノード内のATMシグナリング処理部分に通知
し、前記ATMシグナリング処理部は前記通知された値
を記憶しておくと共に、ネットワークへの前記シグナリ
ング手順の中で、前記通知された内容を前記ネットワー
クに対して申告し、いったんそのバーチャルコネクショ
ンが設定された後、前記送信側IPノードは記憶してお
いた前記送受信それぞれのIPノードの前記IPアドレ
ス,前記トランスポート層プロトコル,トランスポート
層のポート番号以外を有するTCP/IPケットを、
前記バーチャルコネクションを通して送信することを禁
止する。
【0008】本発明のATM網を用いた通信方式は、A
TMネットワークインタフェースを持った送信側IPノ
ードがシグナリング手順を起動し、前記送信側IPノー
ドは通信相手の受信側IPノードとの間にバーチャルコ
ネクションを設定して、TCP/IPパケットをATM
セル化して通信を行うATM網を用いた通信方式におい
て、前記バーチャルコネクション設定のためのシグナリ
ング手順を受けたATM交換機内のATMシグナリング
処理部は、前記送信側IPノードから申告された前記送
信側および前記受信側のそれぞれのIPノードのIPア
ドレス、トランスポート層プロトコル、トランスポート
層ポート番号を読み取り、あらかじめ作成されているバ
ーチャルコネクション設定の許可規則に基づき、そのバ
ーチャルコネクションの設定を許可する場合は設定手順
を続行し、許可できない場合にはそのバーチャルコネク
ションの設定を中止する。
【0009】本発明のATM網を用いた通信方式は、A
TMネットワークインタフェースを持った送信側IPノ
ードがシグナリング手順を起動し、前記送信側IPノー
ドは通信相手の受信側IPノードとの間にバーチャルコ
ネクションを設定して、TCP/IPパケットをATM
セル化して通信を行うATM網を用いた通信方式におい
て、前記送信側および前記受信側の送受信それぞれのI
Pノード間にバーチャルコネクションが設定されてい
て、そこを通して送受信することを許可されているパケ
ットの、前記送受信それぞれのIPアドレス,トランス
ポート層プロトコル,トランスポート層番号が指定され
ているときに、既に前記許可されているパケットに加え
て、前記送受信それぞれのIPノードが、別の送受信そ
れぞれのIPアドレス,トランスポート層プロトコル,
トランスポート層番号を持つパケットを、前記バーチャ
ルコネクションを通して送受信することを許可させる要
求をネットワークに通知し、このネットワーク内のAT
M交換機では、予め設定された規則に基づいて前記要求
を許可するかどうか判定し、許可する場合は前記送受信
それぞれのIPノードに前記パケットの送受信許可を通
知し、許可できない場合には前記送受信それぞれのIP
ノードに前記パケットの送受信を禁止を通知し、前記ネ
ットワーク内のATM交換機が、予め設定された規則に
基づいて、前記送受信それぞれのIPノードにパケット
の送受信許可を通知するときに、要求されたパケットの
送受信を許可するのみだけでなく、送受信することが許
可される他の1つまたは複数のパケットの、前記送受信
それぞれのIPノードの前記IPアドレス,前記トラン
スポート層プロトコル,前記トランスポート層ポート番
号を通知する。
【0010】
【発明の実施の形態】次に、本発明について図面を参照
して説明。
【0011】図1は本発明の第1の実施の形態のIPノ
ードにおける。TCP/IPプロトコルとATM通信部
に関する機能構成図である。
【0012】尚、本第1の実施の形態においてはVCは
単方向であり、IPノード間で双方向の通信を行うとき
には、異なる方向の2つのVCを独立して設定する。ま
た一つのIPノード内で異なるTCP/UDPポートを
用いて、同一の相手IPノードと通信をするときには、
別々のVCを使用する構成とする。
【0013】図1に示す本第1の実施の形態において、
ネットワークアプリケーション10は、TCP/IPと
ATMを使用してネットワークを利用するプログラムで
ある。TCP処理部11、UDP処理部12、IP処理
部13は、それぞれTCPプロトコル、UDPプロトコ
ル、IPプロトコルに関する通信処理をする機能部であ
る。TCPポート14とUDPポート15は、ネットワ
ークアプリケーション10がTCPプロトコルまたはU
DPプロトコルを利用するための通信インタフェースで
あり、ネットワークアプリケーション10は一つのポー
トを選択する。各ポートには、固有のポート番号が付与
されている。ATM VC終端部16は、IP処理部1
3とATMネットワークとのインタフェースであり、送
信時にはIP処理部13から受けたパケットをATMセ
ル化してVCを通してネットワークに送信し、受信方向
ではVCを通して送られてきたATMセルをIPパケッ
トに組み立てて、IP処理部13にわたす。ATMシグ
ナリング処理部17は、ATM VC終端部16からの
命令や、ネットワークからのシグナリングメッセージの
到着により、VCを設定するためのシグナリングの制御
・処理をする。TCP/UDPフィルタリングテーブル
18とTCPフィルタリングテーブル19は、VC設定
時に記憶した情報に基づいて、あるVCに送信できるパ
ケットと、VCを通して受信できるパケットを制御する
ためのものである。TCP/UDPフィルタリングテー
ブル18は、TCP/UDPポート番号により、IPフ
ィルタリングテーブル19は送受信IPノードのIPア
ドレスによって上記制御を行う。VCテーブル20は、
設定したVCを登録・管理するために用いられる。TC
P/UDPフィルタリングテーブル18、IPフィルタ
リングテーブル19、VCテーブル20を合わせて、V
C管理テーブル21と呼ぶ。ATM以外のデータリンク
層22は、ATM以外のネットワークとの入出力パケッ
トを制御する機能部である。
【0014】図2は、本第1の実施の形態の送信側IP
ノードにおける、パケット送信時の手順を示す図であ
る。
【0015】第1の実施の形態では、VCは単方向であ
るとする。図2において、本IPノードがデータの送信
元のときは手順101を行い、ネットワークアプリケー
ション10がパケットを送信するために、TCPポート
14またはUDPポート15の中の特定のポートを選択
して、パケットを渡す。次に手順102において、その
パケットを受けたTCP処理部11またはUDP処理部
12は、それぞれTCP層、UDP層の処理を行い、パ
ケットヘッダを付加してIP処理部13にそのパケット
を渡す。次に手順103−1、IP処理部13はIP
層の処理をしてヘッダを付与し、ATM VC終端部1
6にパケットを渡す。本IPノードがATM以外のネッ
トワークから受けたデータをATM網に中継するとき
は、手順103−2を行い、ATM以外のデータリン
層22から受けたパケットをIP処理し、ATM VC
終端部16にパケットを渡す。以後の処理は、手順10
3−1を行ったときも、手順103−2を行ったときも
共通である。
【0016】次に手順104においてATM VC終端
部16は、渡されたパケットとTCP/UDPヘッダ、
IPヘッダを読んだ後、それらの送受信IPノードのT
CP/UDPポート間にVCが既に存在するかどうか検
索する。
【0017】VCが設定されていないときは、シグナリ
ング手順を起動するために手順105を行い、ATMシ
グナリング処理部17にVC設定を依頼する。この時
に、送信しようとするパケットの送受信IPノードのI
PアドレスとTCP/UDPのポート番号を、ATMシ
グナリング処理部に通知する。このときオプションとし
て、ネットワークアプリケーション10の種別(識別
子)を通知するとことも可能である。次に手順106を
行い、ATMシグナリング処理部17は受信IPノード
へのVC設定要求のシグナリングをネットワークに対し
て開始する。この時に、送受信IPノードのATMアド
レスに加えて、IPアドレス、TCP/UDPポート番
号をネットワークに通知する。またオプションとして、
ネットワークアプリケーション10の種別(識別子)を
通知することもある。受信IPノード側とネットワーク
において上記VCの設定が成功すると、ネットワークか
ら送信IPノードに通知される。その後手順108を行
い、設定したVCをIP処理部13の出力として、VC
管理テーブル21に、送信を許可されたパケットの送受
信IPノードのIPアドレスとTCP/UDPのポート
番号、オプションのネットワークアプリケーション10
の種別(識別子)と共に登録する。そして手順109
で、上記VCを使用して受信IPノードにパケットを送
信する。
【0018】図3は、本第1の実施の形態のIPノード
におけるVC管理テーブル21の内容の例を示す図であ
る。
【0019】図3において、列31は、VPI=0,V
CI=103のVCは、IPアドレスが133.20
7.36.112のIPノード内のTCP8010番の
ポートを送信側とし、IPアドレスが133.207.
38.123のIPノード内のTCP25番から100
番のポートを受信側としていることを表す。列32は、
VPI=2,VCI=129のVCは、IPアドレスが
133.207.38.222のIPノード内のUDP
517番のポートを送信側とし、IPアドレスが13
3.207.36.111とIPノード内のUDP80
80番のポートを受信側としていることを表す。またそ
のVCを使用しているネットワークアプリケーション1
0の種別(識別子)が、送信側161・受信側161で
あることを表す。
【0020】手順104において既にVCが設定されて
いるときは手順110を行い、ATM VC終端部16
は、VC管理テーブル21を参照して、そのVCを通し
てパケットを受信IPノードに送ってよいか判定する。
オプションとして、ネットワークアプリケーション10
の種別によっても、パケット送信の許可・不許可を判定
することも可能である。送信が許可されているとき、A
TM VC終端部16は手順111を行い、パケットを
そのVCを通して送信する。送信が許可されていないと
きは、手順112を行いパケットを廃棄する。
【0021】図4は、本第1の実施の形態におけるネッ
トワーク内のATM交換機を示す機能構成図である。
【0022】図4において、スイッチハードウェア51
は、設定されたVCにしたがってATMセルをスイッチ
ングするハードウェア部である。シグナリング処理部5
2は、受信したシグナリングメッセージを処理する部分
である。スイッチハードウェア制御部53は、シグナリ
ング処理部52の命令に従って、VCをスイッチハード
ウェア21に設定する部分である。交換機フィルタリン
グテーブル54は、送受信IPノードのIPアドレス,
トランスポート層プロトコル,TCP/UDPポート番
号により、その交換機を経由して設定できるVCに関し
て制限を加える部分である。オプションとして、ネット
ワークアプリケーション10の種別によってVC設定を
制限する機能部を追加することも可能である。
【0023】図5は、本第1の実施の形態における、A
TM交換機がVC設定要求のシグナルメッセージを受け
た時の処理手順を示す図である。
【0024】図5において、手順201で、隣接するA
TM交換機またはIPノードからシグナリングメッセー
ジを、シグナリング処理部52が受信する。そして手順
202で、シグナリング処理部52は、受けたシグナリ
ングメッセージ中の受信IPノードのATMアドレスか
ら出力回線を決定する。次に手順203で、上記シグナ
リングメッセージに含まれる送受信IPノードのIPア
ドレスとTCP/UDPポート番号を読み、交換機フィ
ルタリングテーブル54を参照して、入力側の回線と出
力側の回線にVCを設定してよいか判定する。オプショ
ンとして、ネットワークアプリケーション10の種別に
よっても、判定を行うことは可能である。
【0025】図6は本第1の実施の形態における交換機
フィルタリングテーブル54の内容の例を示す図であ
る。
【0026】図6において列31は、IPアドレスが1
33.207.36.111のIPノードの任意のポー
トと、IPアドレスが133.207.38.123の
IPノードのTCP25番から100番ポートとの間に
VCを設定することを許可することを表す。列32は、
IPアドレスが133.207.36.222のIPノ
ードのUDP517番ポートと、IPアドレスが13
3.207.37.111のIPノードのUDP808
0番ポートとの間にVCを設定することを許可すること
を表す。列33は、IPアドレスが133.207.3
6.0のネットワークにある全てのIPノードのTCP
20または21番ポートとの間に、種別が161である
ネットワークアプリケーション使用するためのVCを設
定することを許可することを表す。列34は、IPアド
レスが133.207.36.0のネットワークにある
全てのIPノードの任意のポートと、IPアドレスが1
33.207.0.0以外のネットワークにある全ての
IPノードの任意のポートとの間にVCを設定すること
を禁止することを表す。
【0027】手順203の結果、VCの設定が許可され
た場合には手順204を実行し、VC設定のシグナリン
グメッセージを、送信するパケットの送受信IPノード
のIPアドレスとTCP/UDPのポート番号と共に出
力側の回線を介して、次段のATM交換機またはIPノ
ードに送信する。この時、ネットワークアプリケーショ
ン10の種別や、このVCを通して送信することが許可
される他のパケットの、IPアドレス,TCP/UDP
ポート番号を、上記シグナリングメッセージに含ませる
ことも可能である。VCと設定が許可されない場合には
手順205を実行し、VCの設定を中断して前段の交換
機またはIPノードにそれを通知する。
【0028】図7は、本第1の実施の形態におけるVC
設定要求のシグナルメッセージを受けた時の、IPノー
ドの手順を示す図である。
【0029】図7において、手順301で、隣接のAT
M交換機からVC設定要求のシグナリングメッセージ
を、ATM VC終端部16を通して、ATMシグナリ
ング部17が受信する。次に手順302で、ATMシグ
ナリング部17はシグナリング処理を行い、ATM V
C終端部16にVCを設定し、入力としてIP処理部1
3に接続する。そして手順303で、ATMシグナリン
グ処理部17は、設定したVCを、そのVCを通して送
受信することが許可されたパケットの送受信IPノード
のTCPUDPポート番号,IPアドレスとオプシ
ョンのネットワークアプリケーション10の種別と共に
VC管理テーブル21に登録する。
【0030】図8は、本第1の実施の形態におけるネッ
トワークからデータを受信したときのIPノードでの手
順を示す図である。
【0031】図8において、手順401において、AT
M VC終端部16は、受信したデータセルをからパケ
ットを組み立てる。次に手順402において、ATM
VC終端部16は、組み立てたパケットのIPヘッダと
TCP/UDPヘッダから、送受信IPノードのTCP
/UDPポート番号とIPアドレスを読み取り、VC管
理テーブル21を参照して、受信パケットをIP処理部
13に渡してもよいか判定する。オプションとして、ネ
ットワークアプリケーションの識別子も、判定の基準に
使用する。許可された場合には手順404として、AT
M VC終端部16は上記パケットをIP処理部13に
渡す。許可されない場合には手順405として、ATM
VC終端部16は、上記パケットを廃棄する。
【0032】次に、本発明の第2の実施の形態について
図面を参照して説明する。
【0033】この第2の実施の形態では双方向のVCを
用い、通信を開始するときに、IPノード間に同じVP
I/VCIで異なる方向のVCを同時に設定するような
構成をとる。また一つのIPノード内の異なるTCP/
UDPポートを用いて、同一の相手IPノードと通信を
するときには、同一のVCを使用する構成とする。IP
ノードにおけるTCP/IPプロトコルとATM通信に
関する機能構成図と、ATM交換機を示す機能構成図は
第1の実施の形態と同じで、それぞれ図1と図4とで表
される。
【0034】図9は、本第2の実施の形態の送信側IP
ノードにおけるパケット送信時の手順を示す図である。
【0035】図9において、手順501、502、50
3−1、503−2、504は、第1の実施の形態1の
手順101、102、103−1、103−2、104
とそれぞれ同じである。手順504の結果、受信IPノ
ードへのVCが設定されていないときには、手順50
5、506、507、508、509を行う。これらの
手順は、第1の実施の形態1の手順105、106、1
07、108、109と同じである。手順504の結
果、送受信IPノード間の送受信TCP/UDPポート
間にVCが既に設定されている場合は、手順510を行
い、その後手順511または512を行う。手順51
0、511、512は、第1の実施の形態1の手順11
0、111、112と同じである。手順504の結果、
送受信IPノード内のこれから通信で使用するTCP/
UDPポート間以外にVCが設定されている場合は、手
順513を行い、既に設定されたVCに、別のTCP/
IPの属性を持つパケットを通すための手順を開始す
る。手順513でATM VC終端部16は、ATMシ
グナリング制御部17に、送受信IPノードのIPアド
レス、送受信IPノードのTCP/UDPポート番号を
通知し、VCに送信できるパケットの追加を依頼する。
次に手順514で、ATMシグナリング制御部17は、
受信IPノードのIPアドレスからATMアドレスを検
索する。次に手順515で、受信IPノードへのVCに
送受信できるパケット追加要求のシグナリングを、ネッ
トワークに対して開始する。この時に、送受信IPノー
ドのATMアドレスに加えて、IPアドレス、TCP/
UDPポート番号をネットワークに通知する。またオプ
ションとして、ネットワークアプリケーション10の種
別(識別子)を通知することも可能である。受信IPノ
ード側とネットワークにおいて上記送受信パケットの追
加要求が成功すると、ネットワークから送信IPノード
に通知される。その後手順516を行い、VC管理テー
ブル21内で、新たに追加した送受信IPノードのTC
P/UDPのポート番号を、上記VCに追加登録する。
そして手順517で、上記VCを使用して受信IPノー
ドにパケットを送信する。
【0036】図10は、本第2の実施の形態におけるA
TM交換機が、VCに送信できるパケットの追加依頼の
シグナリングメッセージを受けた時の処理手順を示す図
である。
【0037】図10において、手順601で、隣接する
ATM交換機またはIPノードからシグナリングメッセ
ージを、シグナリング処理部52が受信する。次に手順
602で、上記シグナリングメッセージに含まれる送受
信IPノードのIPアドレスとTCP/UDPポート番
号を読み、交換機フィルタリングテーブル54を参照し
て、新たなパケットと送受信を許可してもよいか判定す
る。オプションとして、ネットワークアプリケーション
10の種別によっても、判定を行うことは可能である。
手順602の結果、許可された場合には手順603を実
行し、既存のVCに対し新たなパケットの送受信の許可
を要求するシグナリングメッセージを出力側の回線を介
して、次段のATM交換機またはIPノードに送信す
る。許可されない場合には手順604を実行し、追加処
理を中断して前段の交換機またはIPノードにそれを通
知する。
【0038】図11は、本第2の実施の形態における既
存のVCに新たなパケットの送受信の許可を要求するシ
グナリングメッセージを受けた時の、IPノードの手順
を示す図である。
【0039】図11において、手順701で、隣接のA
TM交換機から許可要求のシグナリングメッセージを、
ATM VC終端部16を通して、ATMシグナリング
部17が受信する。次に手順702で、ATMシグナリ
ング処理部17は、VC管理テーブル21内で、新たに
追加した送受信IPノードのTCP/UDPのポート番
号を、上記VCに追加登録する。
【0040】
【発明の効果】以上説明したように本発明は、中継のA
TM交換機に従来のルータ同様のトランスポートレイヤ
とネットワークレイヤの情報によってフィルタリング規
則を記述しておき、シグナリングによるVC設定時に、
送信IPノードが送受信それぞれのノードのIPアドレ
ス、使用するトランスポート層プロトコル(TCPまた
はUDP)、TCP/UDPポート番号を申告し、それ
らがフィルタリング規則で禁止されていないかを中継の
ATM交換機で検査することでシグナリング時のフィル
タリングを行い、VC設定後はその申告通りのパケット
を送っているかを検査することでデータ転送時のフィル
タリングを行い、受信IPノードでは、シグナリングに
よるVC設定時に、送信IPノードからネットワークを
通して申告された送受信IPノードのIPアドレス,ト
ランスポート層プロトコル,TCP/UDPのポート番
号を記憶し、VC設定後はその記憶した属性以外のパケ
ットを廃棄することより、TCP/UDPパケット毎に
ATM交換機でTCP/UDPヘッダとIPヘッダを確
認しなくても、IPノードでそれらのヘッダを読んで、
IPアドレスとTCP/UDPポート番号によるフィル
タリングを実現することでき、また、このフィルタリン
グ規則は、各IPノードの個々の設定とは無関係であ
り、中継のATM交換機で設定された規則によって定め
られ、そのため、中継のATM交換機のフィルタリング
規則をセキュリティ上望ましい設定にておくと、そのA
TM交換機の下流側にある全てのIPノードのセキュリ
ティが向上することになるという効果がある。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態のIPノードにおけ
る、TCP/IPプロトコルとATM通信部に関する機
能構成図である。
【図2】本第1の実施の形態の送信側IPノードにおけ
る、パケット送信時の手順を示す図である。
【図3】本第1の実施の形態のIPノードにおけるVC
管理テーブル21の例を示す図である。
【図4】本第1と実施の形態におけるATM交換機を示
す機能構成図である。
【図5】本第1の実施の形態における、ATM交換機が
シグナリングメッセージを受けた時の処理手順を示す図
である。
【図6】本第1の実施形態におけるATM交換機のフィ
ルタリングテーブル54の例を示す図である。
【図7】本第1の実施の形態における、VC設定要求の
シグナリングメッセージを受けた時のIPノードでの手
順を示す図である。
【図8】本第1の実施の形態における、ネットワークか
らデータセルを受信したときのIPノードでの手順を示
す図である。
【図9】本発明の第2の実施の形態の送信側IPノード
における、パケット送信時の手順を示す図である。
【図10】本第2の実施の形態における、ATM交換機
がシグナリングメッセージを受けた時の処理手順を示す
図である。
【図11】本第2の実施の形態における、VC設定要求
のシグナリングメッセージを受けた時のIPノードでの
手順を示す図である。
【符号の説明】
10 ネットワークアプリケーション 11 TCP処理部 12 UDP処理部 13 IP処理部 14 TCPポート 15 UPポート 16 ATM VC終端部 17 ATMシグナリング処理部 18 TCP/UDPフィルタリングテーブル 19 IPフィルタリングテーブル 20 VCテーブル 22 ATM以外のデータリン層 51 スイッチハードウェア 52 シグナリング処理部 53 スイッチハードウェア制御部 54 交換機フィルタリングテーブル

Claims (5)

    (57)【特許請求の範囲】
  1. 【請求項1】 ATMネットワークインタフェースを持
    った送信側IPノードがシグナリング手順を起動し、前
    記送信側IPノードは通信相手の受信側IPノードとの
    間にバーチャルコネクションを設定して、TCP/IP
    パケットをATMセル化して通信を行うATM網を用い
    た通信方式において、 前記送信側IPノードは前記シグナリング手順を起動す
    るときに、前記送信側IPノード内のTCP/IP部分
    が、送信しようとする前記CP/IPパケットの前記
    送信側および前記受信側のIPノードのそれぞれのIP
    アドレス,トランスポート層のプロトコル,トランスポ
    ート層のポート番号を、前記送信側IPノード内のAT
    Mシグナリング処理部分に通知し、前記ATMシグナリ
    ング処理部は前記通知された値を記憶しておくと共に、
    ネットワークへの前記シグナリング手順の中で、前記通
    知された内容を前記ネットワークに対して申告し、いっ
    たんそのバーチャルコネクションが設定された後、前記
    送信側IPノードは記憶しておいた前記送受信それぞれ
    のIPノードの前記IPアドレス,前記トランスポート
    層プロトコル,前記トランスポート層のポート番号以外
    を有するTCP/IPケットを、前記バーチャルコネ
    クションを通して送信することを禁止することを特徴と
    するATM網を用いた通信方式。
  2. 【請求項2】 ATMネットワークインタフェースを持
    った送信側IPノードがシグナリング手順を起動し、前
    記送信側IPノードは通信相手の受信側IPノードとの
    間にバーチャルコネクションを設定して、TCP/IP
    パケットをATMセル化して通信を行うATM網を用い
    た通信方式において、 前記バーチャルコネクション設定のためのシグナリング
    手順を受けたATM交換機内のATMシグナリング処理
    部は、前記送信側IPノードから申告された前記送信側
    および前記受信側のそれぞれのIPノードのIPアドレ
    ス,トランスポート層プロトコル,トランスポート層ポ
    ート番号を読み取り、あらかじめ作成されているバーチ
    ャルコネクション設定の許可規則に基づき、そのバーチ
    ャルコネクションの設定を許可する場合は設定手順を続
    行し、許可できない場合にはそのバーチャルコネクショ
    ンの設定を中止することを特徴とするATM網を用いた
    通信方式。
  3. 【請求項3】 ATMネットワークインタフェースを持
    った送信側IPノードがシグナリング手順を起動し、前
    記送信側IPノードは通信相手の受信側IPノードとの
    間にバーチャルコネクションを設定して、TCP/IP
    パケットをATMセル化して通信を行う、ATM網を用
    いた通信方式において、 前記バーチャルコネクション設定のためのシグナリング
    手順を受けた前記受信側IPノード内のATMシグナリ
    ング処理部分は、前記受信側IPノードと前記バーチャ
    ルコネクションを設定するときに、前記シグナリング手
    順の中で通知された前記送信側および前記受信側のそれ
    ぞれのIPノードのIPアドレス,トランスポート層プ
    ロトコル,トランスポート層ポート番号を記憶してお
    き、その後前記バーチャルコネクションがいったん設定
    された後、前記受信側IPノードは、そのバーチャルコ
    ネクションを通して、記憶しておいた前記送受信それぞ
    れのIPノードの前記IPアドレス,前記トランスポー
    ト層プロトコル,前記トランスポート層ポート番号以外
    を有するTCP/IPケットを受信したときは、それ
    を廃棄することを特徴とするATM網を用いた通信方
    式。
  4. 【請求項4】 ATMネットワークインタフェースを持
    った送信側IPノードがシグナリング手順を起動し、前
    記送信側IPノードは通信相手の受信側IPノードとの
    間にバーチャルコネクションを設定して、TCP/IP
    パケットをATMセル化して通信を行うATM網を用い
    た通信方式において、 前記送信側および前記受信側のそれぞれのIPノード間
    にバーチャルコネクションが設定されていて、そこを通
    して送受信することを許可されているパケットの、前記
    送受信それぞれのIPアドレス、トランスポート層プロ
    トコル、トランスポート層番号が指定されているとき
    に、既に前記許可されているパケットに加えて、前記送
    受信それぞれのIPノードが、別の送受信それぞれのI
    Pアドレス,トランスポート層プロトコル,トランスポ
    ート層番号を持つパケットを、前記バーチャルコネクシ
    ョンを通して送受信することを許可させる要求をネット
    ワークに通知し、このネットワーク内のATM交換機で
    は、予め設定された規則に基づいて前記要求を許可する
    かどうか判定し、許可する場合は前記送受信それぞれの
    IPノードに前記パケットの送受信許可を通知し、許可
    できない場合には前記送受信それぞれのIPノードに前
    記パケットの送受信禁止を通知することを特徴とする
    ATM網を用いた通信方式。
  5. 【請求項5】 前記ネットワーク内のATM交換機が、
    予め設定された規則に基づいて、前記送受信それぞれの
    IPノードにパケットの送受信許可を通知するときに、
    要求されたパケットの送受信を許可するのみだけでな
    く、送受信することが許可される他の1つまたは複数の
    パケットの、前記送受信それぞれのIPノードの前記I
    Pアドレス,前記トランスポート層プロトコル,前記ト
    ランスポート層ポート番号を通知することを特徴とする
    請求項4記載のATM網を用いた通信方式。
JP3043697A 1997-02-14 1997-02-14 Atm網を用いた通信方式 Expired - Fee Related JP2947201B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP3043697A JP2947201B2 (ja) 1997-02-14 1997-02-14 Atm網を用いた通信方式
EP98301110A EP0866630A1 (en) 1997-02-14 1998-02-16 ATM network with a filtering table for securing communication
CA002229652A CA2229652C (en) 1997-02-14 1998-02-16 Atm network with a filtering table for securing communication
US09/024,101 US6172991B1 (en) 1997-02-14 1998-02-17 ATM Network with a filtering table for securing communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP3043697A JP2947201B2 (ja) 1997-02-14 1997-02-14 Atm網を用いた通信方式

Publications (2)

Publication Number Publication Date
JPH10229401A JPH10229401A (ja) 1998-08-25
JP2947201B2 true JP2947201B2 (ja) 1999-09-13

Family

ID=12303902

Family Applications (1)

Application Number Title Priority Date Filing Date
JP3043697A Expired - Fee Related JP2947201B2 (ja) 1997-02-14 1997-02-14 Atm網を用いた通信方式

Country Status (1)

Country Link
JP (1) JP2947201B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3082760B1 (ja) 1999-02-26 2000-08-28 日本電気株式会社 Mpoaパケットの転送方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
電子情報通信学会技術研究報告SSE96−185(1997年2月21日)

Also Published As

Publication number Publication date
JPH10229401A (ja) 1998-08-25

Similar Documents

Publication Publication Date Title
US6172991B1 (en) ATM Network with a filtering table for securing communication
US6598080B1 (en) Network interconnection apparatus network node apparatus and packet transfer method for high speed large capacity inter-network communication
US6349098B1 (en) Method and apparatus for forming a virtual circuit
JP3612626B2 (ja) コンピュータ通信ネットワーク
US5982773A (en) Lan connection method
US6185213B1 (en) Packet transfer control method and node device using plurality of dedicated cut-through paths
JP2000124920A (ja) コネクション型ネットワ―クの接続を管理するための方法、およびコネクション型ネットワ―クを介してコネクションレス型通信プロトコルを支持するための方法
JPH07202908A (ja) Atmブリッジ装置
JPH1188345A (ja) ルータ装置及び制御フレーム処理方法
US20010012271A1 (en) Improved acknowledgement of bandwidth requests for the block transfer of data
US6625658B1 (en) End equipment and router
JPH10215248A (ja) ファイアウォール方式およびその方法
EP0865224B1 (en) Node device and scheme for sharing common virtual connection indentifier between end-nodes
JP2991501B2 (ja) パケットモードデータ接続をリルーティングする方法
JP2947201B2 (ja) Atm網を用いた通信方式
US6658001B1 (en) Path setting method, communication unit and storage medium
JP3426646B2 (ja) ネットワークシステム、通信方法及び通信装置
EP0866634A2 (en) Broadcast packet transfer method in LAN emulation and an LSI device for same
JP3000968B2 (ja) パケットフィルタリングシステム
JP3471136B2 (ja) 制御情報転送方法及びノード装置
JP3082760B1 (ja) Mpoaパケットの転送方法
JP2923921B1 (ja) パケット転送方式
JP3445532B2 (ja) Atm通信システム
JP3557199B2 (ja) Atm通信システム及びatm通信方法
Armitage gNET: An ATM LAN Signalling Protocol,"

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 19990601

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070702

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080702

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090702

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100702

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110702

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110702

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120702

Year of fee payment: 13

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120702

Year of fee payment: 13

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130702

Year of fee payment: 14

LAPS Cancellation because of no payment of annual fees