JP3000968B2 - Packet filtering system - Google Patents
Packet filtering systemInfo
- Publication number
- JP3000968B2 JP3000968B2 JP9183665A JP18366597A JP3000968B2 JP 3000968 B2 JP3000968 B2 JP 3000968B2 JP 9183665 A JP9183665 A JP 9183665A JP 18366597 A JP18366597 A JP 18366597A JP 3000968 B2 JP3000968 B2 JP 3000968B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- mpoa
- atm
- address resolution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】[0001]
【発明の属する技術分野】本発明は非同期転送ネットワ
ークを使用したTCP/IPプロトコルによるインター
ネットに係わり、特にインターネットでセキュリティ機
能を実現するために許可されたデータのみを通過させる
ためのパケットフィルタリングシステムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to the Internet based on the TCP / IP protocol using an asynchronous transfer network, and more particularly to a packet filtering system for passing only data permitted to implement a security function on the Internet.
【0002】[0002]
【従来の技術】ネットワーク層にIP(Internet Proto
col )を使用し、トランスポート層にTCP(Transpor
t Control Protocol)を使用してTCP/IP(Transp
ort Control Protocol/Internet Protocol )ネットワ
ークを相互接続するために、ルータが従来から使用され
ている。ルータは複数のネットワークインタフェースを
有しており、ネットワーク層までの処理を終端する。ま
た、トランスポート層の処理も一部行うことがある。2. Description of the Related Art An IP (Internet Proto
col) and TCP (Transpor) for the transport layer
t Control Protocol) using TCP / IP (Transp
Routers are conventionally used to interconnect ort Control Protocol / Internet Protocol) networks. The router has a plurality of network interfaces and terminates processing up to the network layer. In addition, the processing of the transport layer may be partially performed.
【0003】このルータの機能の1つとして、パケット
の選択的通過すなわちフィルタリングによる通信のセキ
ュリティの確保がある。今、あるネットワークの外部に
存在するIPノードが、そのネットワークの内部に存在
するIPノードと通信を行うものとする。このとき、パ
ケットはそのネットワークの出入口に配置されたルータ
を経由する。ルータは、その通過しようとするパケット
内のネットワーク層とトランスポート層のヘッダを読ん
で転送処理を行う。このため、通過してよいIPパケッ
トの送信ノードおよび受信ノードのIPアドレスとTC
P/UDP(Transport Control Protocol/User Datag
ram Protocol)のポート番号(セット情報)を予め設定
しておいて、これと照合して該当しないパケットを廃棄
するように設定しておけば、アクセスを制限することが
できる。すなわち、ネットワーク内部のIPノードを外
部からアクセスできないようにしたり、トランスポート
層の特定のポートへのアクセスを禁止したりすることが
可能になる。これらは、それぞれ、ネットワーク層レベ
ルにおけるパケットフィルタリングあるいはトランスポ
ート層レベルのパケットフィルタリングと呼ばれてお
り、通信のセキュリティを高めることに有効である。One of the functions of the router is to secure communication security by selectively passing packets, that is, filtering. Now, it is assumed that an IP node existing outside a certain network communicates with an IP node existing inside the network. At this time, the packet passes through a router arranged at the entrance / exit of the network . The router performs a transfer process by reading the headers of the network layer and the transport layer in the packet to be passed. Therefore, IP address, and TC of the sending node and the receiving node may IP packets through
P / UDP (Transport Control Protocol / User Datag)
If the port number (set information) of the ram protocol is set in advance and set so as to discard the packet that does not correspond to the port number, access can be restricted. That is, it is possible to prevent an IP node inside the network from being externally accessible, or to prohibit access to a specific port in the transport layer. These are called packet filtering at the network layer level or packet filtering at the transport layer level, respectively, and are effective in enhancing communication security.
【0004】一方、ネットワークの高速化を図るため
に、ルータの変わりに高速なATM(Asynchronous Tra
nsfer Mode:非同期転送モード)交換機を使用してTC
P/IPネットワークを構築するための技術が開発され
ている。例えば、OSI(OpenSystems Interconnectio
n:開放型システム間相互接続)階層モデルでの第2層
以下にATMを使用し、第3および第4層にTCP/I
Pプロトコルを使用するときの通信方式が、ATM・フ
ォーラム(The ATM Forum )等で審議されており、“AT
M Forum 96‐0824r9”等の仕様書が発表されている。
“ATM Forum 96‐0824r9”の仕様はMPOA(Multipro
tocol over ATM:マルチプロトコルを転送する仕組み)
方式と呼ばれており、ATMネットワークインタフェー
スを持った端末やネットワークデバイスをMPOAクラ
イアント(MPC)とし、ルータ機能を有する装置をM
POAサーバ(MPS)としてネットワークを構成す
る。On the other hand, in order to increase the speed of a network, a high-speed ATM (Asynchronous Tras) is used instead of a router.
nsfer Mode: TC using an exchange
Technologies for building a P / IP network have been developed. For example, OSI (OpenSystems Interconnectio
n: Open system interconnection) ATM is used for the second and lower layers in the hierarchical model, and TCP / I is used for the third and fourth layers.
The communication method when using the P protocol is being discussed at the ATM Forum, etc.
Specifications such as M Forum 96-0824r9 "have been published.
The specification of “ATM Forum 96-0824r9” is MPOA (Multipro
tocol over ATM: mechanism for transferring multiprotocols)
A terminal or network device having an ATM network interface is defined as an MPOA client (MPC), and a device having a router function is defined as an M
A network is configured as a POA server (MPS).
【0005】MPCがMACフレームを転送するとき、
送り先が同一サブネット内のMPCまたはそのMPCに
収容される端末である場合には、ATM・フォーラムが
規定しているLAN(Local Area Network:企業情報通
信網)エミュレーション(LANE)プロトコルを用い
て通信を行う。送り先が異なるサブネット内にあり、M
PS(MPOA方式のネットワーク内のサーバ)機能を
持つルータにMAC(Media Access Control:媒体アク
セス制御)フレーム内のIPアドレスを読み、そのIP
アドレスごとにパケットをカウントするようにしてい
る。得られたカウント値が単位時間内に一定値以下であ
れば、前記したMPSにMACフレームを送信し、MP
Sは従来のルータと同じ動作で、IPパケットを宛先の
IPアドレスのノードまで送るようにする。When the MPC transfers a MAC frame,
When the destination is an MPC in the same subnet or a terminal accommodated in the MPC, communication is performed using a LAN (Local Area Network: Enterprise Information Communication Network) emulation (LANE) protocol defined by the ATM forum. Do. Destination is in a different subnet and M
A router having a PS (server in an MPOA network) function reads an IP address in a MAC (Media Access Control) frame and reads the IP address.
Packets are counted for each address. If the obtained count value is equal to or less than a certain value within a unit time, a MAC frame is transmitted to the MPS, and the MP
S performs the same operation as a conventional router, and sends an IP packet to a node having a destination IP address.
【0006】これに対してカウント値が単位時間内に前
記した一定値を越えた場合には、前記したMPSにMA
Cフレームを送信する代わりに、宛先IPアドレスのノ
ードと同一サブネットに存在するMPCまでVCC(Vi
rtual Channel Connection:仮想チャネル・コネクショ
ン)を設定し、そのVCCを通してパケットを送る。こ
れにより、ルータ(MPS)をショートカットして、A
TMの入口側のMPCから、出口側のMPCにIPパケ
ットを送信することができる。したがって、前記したV
CCは、ショートカットVCCと呼ばれている。ここで
ATMの入口側とは、他のネットワークからMPOA
(Multiprotocol Over ATM:ATM上でマルチプロトコ
ルを転送する仕組み)ネットワークにデータが流入する
ノードを表わしており、出口側とは、MPOAネットワ
ークから他のネットワークにデータが流出するノードを
表わしている。On the other hand, if the count value exceeds the above-mentioned fixed value within a unit time, MA
Instead of transmitting a C frame, a VCC (Vi) is sent to an MPC existing on the same subnet as the node having the destination IP address.
rtual Channel Connection) and sends packets through that VCC. As a result, the router (MPS) is short-cut and A
An IP packet can be transmitted from the MPC on the entry side of the TM to the MPC on the exit side. Therefore, the aforementioned V
CC is called a shortcut VCC. Here, the entry side of the ATM is an MPOA from another network.
(Multiprotocol Over ATM: mechanism for transferring multiprotocols over ATM) A node from which data flows into a network is shown, and an egress side is a node from which data flows out of an MPOA network to another network.
【0007】ショートカットVCCを設定するには、入
口側のMPCがパケット内の受信先のIPアドレスか
ら、出口側のMPCのATMアドレスを得ることが必要
である。このため、入口側MPCは、MPOAレゾルー
ション・リクエスト(Resolution Request)を、同一サ
ブネット内のMPSに送出する。そして、MPSが出口
側MPCと同じサブネットのときには、入口側MPCに
対してMPOAレゾルーション・リプライ(Resolution
Reply)で知らせ、出口側MPCに対してはMPOAイ
ンポジション・リクエスト(Imposition Request)を送
る。また、ショートカットVCCを通して送られてくる
MACフレームを、出口側のMPSから送られてきたよ
うに見せるために、出口側MPCでレイヤ2の情報を載
せてMACフレームを送出する必要がある。このため、
出口側MPSから出口側MPCに前記したMPOAイン
ポジション・リクエスト・メッセージで通知を行う。M
PSが出口側MPCとは異なるサブネットにあるときに
は、次段のMPSにMPOAレゾルーション・リクエス
ト・メッセージを送ることになる。In order to set the shortcut VCC, it is necessary for the ingress MPC to obtain the ATM address of the egress MPC from the IP address of the destination in the packet. For this reason, the ingress side MPC sends an MPOA resolution request (Resolution Request) to the MPS in the same subnet. When the MPS is on the same subnet as the egress MPC, the MPOA resolution reply (Resolution) is sent to the ingress MPC.
Reply) and sends an MPOA Imposition Request to the egress-side MPC. Further, in order to make the MAC frame transmitted through the shortcut VCC look as if it was transmitted from the egress MPS, the egress MPC needs to transmit the MAC frame with the layer 2 information. For this reason,
The egress MPS notifies the egress MPC with the MPOA imposition request message described above. M
When the PS is in a different subnet from the egress MPC, an MPOA resolution request message is sent to the next MPS.
【0008】以上説明した手順で、入口側MPCが出口
側のMPCのATMアドレスを獲得したら、標準のAT
Mのシグナリング手順(ATM Forum UNI3.1 またはIT
U −TQ.2931)を用いて、入口側MPCと出口側MPC
の間にショートカットVCCを設定する。そして以後、
出口側MPCに送出する必要のあるデータは、このショ
ートカットVCCを通して送信することにしている。こ
れにより、MPSにパケットを送信するよりも高速なデ
ータ転送が可能になる。When the ingress MPC has acquired the ATM address of the egress MPC in the procedure described above, the standard AT
M signaling procedure (ATM Forum UNI3.1 or IT
U-TQ. 2931), the inlet side MPC and the outlet side MPC
The shortcut VCC is set during the period. And thereafter
Data that needs to be transmitted to the egress-side MPC is transmitted through the shortcut VCC. This enables faster data transfer than transmitting a packet to the MPS.
【0009】[0009]
【発明が解決しようとする課題】以上説明したようなM
POA方式では、ショートカットVCCを用いて送信さ
れるTCP/UDPパケットが入口側MPCで48バイ
トのセルに分割されてネットワークに送られる。そし
て、中継ATM交換機をセルのままでスイッチングされ
て、出口側MPCで再びTCP/UDPパケットに組み
立てられる。このため、ルータを使用した場合と異なっ
て、中継のATM交換機はパケット内のTCP/UDP
ヘッダやIPヘッダの読み込みを行わない。したがっ
て、ATM交換機を使用した場合には、ルータが従来行
っていたトランスポート層レベルやネットワーク層レベ
ルでのパケットのフィルタリングが不可能になるという
問題があった。SUMMARY OF THE INVENTION As described above, M
In the POA method, a TCP / UDP packet transmitted by using a shortcut VCC is divided into 48-byte cells by an ingress MPC and transmitted to a network. Then, the relay ATM exchange is switched with the cell as it is, and reassembled into a TCP / UDP packet at the egress MPC. Therefore, unlike the case where a router is used, the relay ATM switch uses TCP / UDP in the packet.
Does not read headers or IP headers. Therefore, when an ATM switch is used, there has been a problem that filtering of packets at a transport layer level or a network layer level, which has been conventionally performed by a router, becomes impossible.
【0010】そこで本発明の目的は、MPOA方式のネ
ットワークで、ルータと同様のパケットフィルタリング
機能を実現することのできるパケットフィルタリングシ
ステムを提供することにある。An object of the present invention is to provide a packet filtering system that can realize a packet filtering function similar to that of a router in an MPOA network.
【0011】[0011]
【課題を解決するための手段】請求項1記載の発明で
は、非同期転送モードのATMネットワーク上に構築し
たマルチプロトコルの転送のためのMPOAネットワー
クで、送信側MPOAクライアントがアドレス解決手順
を起動し、受信した受信IPアドレスから出口側のMP
OA方式のネットワーク内のクライアントである出口側
MPOAクライアントのATMアドレスを獲得するよう
にした通信システムにおいて、(イ)アドレス解決要求
メッセージを受信してこのメッセージ内の送受信IPア
ドレスとTCPまたはUDPポート番号をそれぞれ読み
込んでこれらをフィルタ用の情報としてのセット情報と
して、通常のデータ転送のために設定されたフィルタリ
ングの基準に応じてアドレス解決要求に応じるか否かを
判定する判定手段と、この判定手段の判定の結果として
アドレス解決要求に応じる場合にはアドレス解決手順を
進行させ、アドレス解決要求に応じない場合にはアドレ
ス解決を中止することで、複数のMPOAサーバ上のフ
ィルタリング基準のすべてに適合するセット情報のパケ
ットに対してのみアドレス解決の結果を返信する返信手
段を備えたMPOAサーバと、(ロ)アドレス解決要求
メッセージ内に、これから設定するショートカット仮想
チャネル・コネクションとしてのショートカットVCC
を通して送信するパケットのセット情報を挿入する挿入
手段と、アドレス解決要求時にセット情報のうちアドレ
ス解決が中止されずに完了したもののみを記憶する第1
の記憶手段と、パケット送信時にこの第1の記憶手段に
記憶した内容と一致するIPパケットのみをショートカ
ットVCCに送信する送信手段と、アドレス解決要求時
に、MPOAサーバから通知されたショートカットVC
Cを通して送信されてくるパケットのセット情報を記憶
する第2の記憶手段と、パケット受信時にこの第2の記
憶手段に記憶したセット情報と一致するIPパケットの
みをショートカットVCCから受けて、これ以外のIP
パケットは廃棄するパケットフィルタリング手段とを備
えたMPOAクライアントとをパケットフィルタリング
システムに具備させる。According to the first aspect of the present invention, in a MPOA network for multi-protocol transfer constructed on an ATM network in an asynchronous transfer mode, a transmitting MPOA client starts an address resolution procedure, MP from the received received IP address of the exit-side
Egress side that is a client in the OA type network
In a communication system in which an ATM address of an MPOA client is obtained, (a) an address resolution request
Receive the message and send / receive IP address
Address and TCP or UDP port number
And set these as set information as information for the filter.
Filter set for normal data transfer.
Whether to respond to the address resolution request according to the
Determining means, and as a result of the determination by the determining means,
When responding to an address resolution request, follow the address resolution procedure.
Progress, and if the address resolution request is not
By canceling the solution resolution, files on multiple MPOA servers
Set information packet that meets all of the filtering criteria
Reply to return the result of address resolution only to
MPOA server with stage and (b) address resolution request
Shortcut virtual to be set in the message in the future
Shortcut VCC as channel connection
Inserts the set information of the packet to be sent through
And the address of the set information at the time of the address resolution request.
The first to store only the solution that was completed without aborting the solution
Storage means and the first storage means at the time of packet transmission.
Shortcut only IP packets that match the stored contents.
Transmission means for transmitting to the address VCC, and at the time of an address resolution request.
, The shortcut VC notified from the MPOA server
Stores set information of packets transmitted through C
A second storage means for storing the second
Of IP packets that match the set information stored in the storage
Received from the shortcut VCC and other IP
Packet filtering means for discarding packets
The obtained MPOA client is provided in the packet filtering system.
【0012】[0012]
【0013】また、請求項2記載の発明では、ATMイ
ンタフェースと他のネットワークインタフェースを持っ
たデバイスとしてのエッジデバイスやATM端末がトラ
ンスポート・コントロール・プロトコル/ユーザ・デー
タグラム・プロトコルとしてのTCP/UDPヘッダと
IPヘッダを読むことで、IPアドレスとTCP/UD
Pポート番号によるパケットフィルタリングを実現する
ことを特徴としている。According to the second aspect of the present invention, an edge device or an ATM terminal as a device having an ATM interface and another network interface is provided with a TCP / UDP as a transport control protocol / user datagram protocol. By reading the header and IP header, the IP address and TCP / UD
It is characterized by realizing packet filtering by P port number.
【0014】すなわち本発明のパケットフィルタリング
システムでは、従来のルータと同様に、MPSにトラン
スポートレイヤとネットワークレイヤの情報によるフィ
ルタリング規則を基にした基準を記述しておく。そし
て、入口側MPCが、ATM交換機を用いたネットワー
ク上でTCP/IPプロトコルによって通信を行う手法
としてのMPOAプロトコルを使用して出口側MPCの
ATMアドレスを解決するときに、送信されるパケット
の送信・受信ノードのIPアドレスと、トランスポート
層プロトコル(TCPまたはUDP)と、TCP/UD
Pポート番号を申告し、それらが前記した基準によって
禁止されていないかを中継のMPSで検査する。この結
果として禁止されていない場合には、アドレス解決手順
が進められるが、禁止されていればアドレス解決手順を
中止し、ショートカットVCCを設定させないようにし
て、VCC設定時のフィルタリングを実現する。That is, in the packet filtering system of the present invention, similarly to a conventional router, a criterion based on a filtering rule based on information of a transport layer and a network layer is described in the MPS. Then, when the ingress MPC resolves the ATM address of the egress MPC using the MPOA protocol as a method of performing communication by the TCP / IP protocol on the network using the ATM switch, transmission of a packet to be transmitted is performed. The receiving node's IP address, transport layer protocol (TCP or UDP), and TCP / UD
Declare the P port numbers and check with the MPS of the relay if they are prohibited by the criteria described above. As a result, if the access is not prohibited, the address resolution procedure proceeds. If the access is prohibited, the address resolution procedure is stopped and the shortcut VCC is not set, thereby implementing filtering at the time of setting the VCC.
【0015】これに加えて、VCCの設定後では、前記
した入口側MPCがアドレス解決要求時に申告した属性
を有するTCP/IPパケットのみを送信し、それ以外
のパケットはショートカットVCCに送信しないように
して、データ送信時のフィルタリングを実現する。前記
した出口側MPCでは、アドレス解決要求時に、入口側
MPCから入口側MPSを通して申告された属性を有す
るTCP/IPパケットのみを受け取り、それ以外のパ
ケットを廃棄する。これにより、データ受信時のフィル
タリングが実現される。In addition, after the VCC is set, the above-mentioned ingress MPC transmits only the TCP / IP packet having the attribute declared at the time of the address resolution request, and does not transmit any other packets to the shortcut VCC. To realize filtering at the time of data transmission. The egress-side MPC receives only the TCP / IP packet having the attribute declared from the ingress-side MPC through the ingress-side MPS at the time of the address resolution request, and discards the other packets. Thereby, filtering at the time of data reception is realized.
【0016】[0016]
【0017】[0017]
【実施例】以下実施例につき本発明を詳細に説明する。DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described in detail below with reference to embodiments.
【0018】本実施例のパケットフィルタリングシステ
ムでは、異なるサブネットにあるMPC間でIPパケッ
ト通信を行うときに、IPパケットのヘッダ内の送信・
受信ノードのIPアドレスと、TCP/UDPポート番
号の双方によってフィルタリングを行うようにしてい
る。MPCは、ATMインタフェースを持った端末の場
合と、ATMインタフェースと他のネットワークインタ
フェースを持ったデバイス(これをエッジデバイスとい
う。)の場合とがある。本実施例では後者のエッジデバ
イスの場合について説明を行う。また、実施例ではIP
パケットヘッダ内の受信ノードのIPアドレスまたはT
CP/UDPポート番号が異なるパケットでも、同一の
入口側MPCと出口側MPCをとおるパケットは、同一
のショートカットVCCを使用する構成となっている。In the packet filtering system according to the present embodiment, when IP packet communication is performed between MPCs in different subnets, transmission / transmission in an IP packet header is performed.
Filtering is performed by both the IP address of the receiving node and the TCP / UDP port number. The MPC may be a terminal having an ATM interface or a device having an ATM interface and another network interface (this is called an edge device). In the present embodiment, the latter case of an edge device will be described. In the embodiment, the IP
IP address or T of the receiving node in the packet header
Even if the packets have different CP / UDP port numbers, packets that pass through the same entry-side MPC and exit-side MPC use the same shortcut VCC.
【0019】図1は本発明の一実施例におけるエッジデ
バイスの機能的な構成を表わしたものである。このエッ
ジデバイスで、LEC(LAN Emulation Client)処理部
11は、LANEL(LAN Emulation )プロトコルを用
いて、同一サブネット内のLECにMACフレームを転
送するための処理を行う。LEC処理部11と接続され
たMPC処理部12は、MPOAプロトコルを使用し
て、IPパケットをカプセル化したMACフレームをM
PSと送受信したり、他のサブネット内のMPCへのシ
ョートカットVCCの設定のためのアドレス解決手順を
行う。FIG. 1 shows a functional configuration of an edge device according to an embodiment of the present invention. In this edge device, a LEC (LAN Emulation Client) processing unit 11 performs processing for transferring a MAC frame to an LEC in the same subnet using a LANEL (LAN Emulation) protocol. The MPC processing unit 12 connected to the LEC processing unit 11 converts the MAC frame that encapsulates the IP packet into an M
An address resolution procedure for transmitting / receiving to / from a PS or setting a shortcut VCC to an MPC in another subnet is performed.
【0020】LEC処理部11およびMPC処理部12
に接続されたVC(Virtual Circuit )テーブル13
は、設定したATMのVCCについての登録および管理
を行う。ATM VC終端部14は、図示しないATM
ネットワークとのインタフェースであり、ATMセルか
らパケットへの組み立てと、パケットからATMセルへ
の分解を行うようになっている。MPC処理部12に接
続された非ATMネットワークインタフェース15は、
ATM以外のネットワークとの入出力インタフェース部
である。LEC processing unit 11 and MPC processing unit 12
(Virtual Circuit) table 13 connected to
Performs registration and management of the VCC of the set ATM. The ATM VC termination unit 14 is an ATM (not shown).
It is an interface with a network, which assembles ATM cells into packets and decomposes packets into ATM cells. The non-ATM network interface 15 connected to the MPC processing unit 12
It is an input / output interface unit with a network other than the ATM.
【0021】VCテーブル13およびATM VC終端
部14と接続されたATMシグナリング処理部16は、
ATM VCCを設定するためのシグナリングの制御と
処理を行うようになっている。MPC処理部12と接続
されたショートカットVCCテーブル17は、MPOA
プロトコルとATMシグナリングを用いて設定したショ
ートカットVCC用のテーブルである。このショートカ
ットVCCテーブル17の各ショートカットVCCエン
トリには、そこを通過して送受信してもよいTCP/I
Pパケットの属性が書かれるようになっている。The ATM signaling processing unit 16 connected to the VC table 13 and the ATM VC terminating unit 14
It controls and processes signaling for setting ATM VCC. The shortcut VCC table 17 connected to the MPC processing unit 12 stores the MPOA
9 is a table for a shortcut VCC set using a protocol and ATM signaling. Each shortcut VCC entry in the shortcut VCC table 17 has a TCP / I
The attribute of the P packet is written.
【0022】図2は入口側MPCでのショートカットV
CCテーブルの例を示しており、図3は出口側MPCで
のショートカットVCCテーブルの例を示している。FIG. 2 shows a shortcut V at the entrance side MPC.
FIG. 3 shows an example of a shortcut VCC table at the exit-side MPC.
【0023】図4は、MPSの機能的な構成を表わした
ものである。LEC(LAN Emulation Client )処理
部21は、LANE(LAN Emulation)プロトコルを
用いて、同一サブネット内のLECと通信を行う部分で
ある。このLEC処理部21と接続されたMPS処理部
22は、MPOAプロトコルに基づいて、入力側MPC
と出口側MPCに対してショートカットVCCを設定す
るためのアドレス解決手順を制御する部分である。ルー
タ機能部23は、他のMPSや同一ネットワーク内のM
PCから送信されてきたIPパケットを、別のMPSや
他のサブネット内のMPCに転送するためのルータとし
ての処理を行う。LEC処理部21、MPS処理部22
およびルータ機能部23と接続されたVCテーブル24
は、設定したATMのVCCの登録や管理を行うように
なっている。このVCテーブル24に接続されたATM
VC終端部25は、図示しないATMネットワークとの
インタフェースであり、ATMセルからパケットへの組
み立てや、パケットからATMセルへの分解を行うよう
になっている。FIG. 4 shows a functional configuration of the MPS. The LEC (LAN Emulation Client) processing unit 21 communicates with LECs in the same subnet using the LANE (LAN Emulation) protocol. The MPS processing unit 22 connected to the LEC processing unit 21 performs input MPC processing based on the MPOA protocol.
And an address resolution procedure for setting a shortcut VCC for the egress MPC. The router function unit 23 is connected to another MPS or M
It performs processing as a router for transferring an IP packet transmitted from a PC to another MPS or an MPC in another subnet. LEC processing unit 21, MPS processing unit 22
And VC table 24 connected to router function unit 23
Performs registration and management of the set ATM VCC. ATM connected to this VC table 24
The VC terminating unit 25 is an interface with an ATM network (not shown), and assembles ATM cells into packets and disassembles packets into ATM cells.
【0024】VCテーブル24およびATM VC終端
部25に接続されたATMシグナリング処理部26は、
ATM VCCを設定するためのシグナリングの制御と
処理を行う。MPS処理部22およびルータ機能部23
と接続されたルーティング部27は、他のサブネット内
のMPCやMPSを探すためのルート検索テーブルであ
る。このルート検索テーブルは、ルーティングプロトコ
ルで動的に設定される場合と、管理者により静的に設定
される場合とがある。ルート検索テーブル27に接続さ
れたMPSパケットフィルタリング機能28は、そのM
PSを通したMPOAプロトコルによるアドレス解決に
制限を加え、ショートカットVCCの設定を制限する部
分であり、管理者がこれを予め設定する。The ATM signaling processing unit 26 connected to the VC table 24 and the ATM VC termination unit 25
It controls and processes signaling for setting up ATM VCC. MPS processing unit 22 and router function unit 23
The routing unit 27 connected to is a route search table for searching for an MPC or MPS in another subnet. This route search table may be dynamically set by a routing protocol or may be statically set by an administrator. The MPS packet filtering function 28 connected to the route search table 27
This is a part that limits the address resolution by the MPOA protocol through the PS and limits the setting of the shortcut VCC, which is set in advance by the administrator.
【0025】図5は、MPSパケットフィルタリング機
能部の一例を示したものである。この図で列“1”は、
IPアドレスが“111.111.22.22”である
送信端末のTCP“8010”番ポートと、IPアドレ
スが“112.112.12.12”である受信端末の
TCPの25番から100番までのポートとの間に、シ
ョートカットVCCを設定してもよいことを示す。列
“2”は、IPアドレスが“122.122.22.
*”であるネットワークに存在する送信端末のUDP
(User Datagram Protocol)“517”番ポートを使用
するアプリケーションAP−1と、IPアドレスが“1
22.112.12.*”のネットワークに存在する受
信端末のUDP“8080”番ポートを使用するアプリ
ケーションAP−1との間に、ショートカットVCCを
設定してもよいことを示す。FIG. 5 shows an example of the MPS packet filtering function unit. In this figure, column "1" is
TCP “8010” port of the transmitting terminal whose IP address is “111.111.22.22” and TCP Nos. 25 to 100 of the receiving terminal whose IP address is “111.12.12.12” Indicates that a shortcut VCC may be set between the port and the port. The column “2” indicates that the IP address is “122.122.22.
"*" Is the UDP of the sending terminal in the network
(User Datagram Protocol) The application AP-1 using the port "517" and the IP address "1"
22.12.12. * Indicates that a shortcut VCC may be set between the receiving terminal and the application AP-1 using the UDP “8080” port of the receiving terminal existing in the network.
【0026】この図5に示すように、送信IPアドレス
(またはそのプレフィックス)と受信IPアドレス(ま
たはそのプレフィックス)の組で1つのエントリが構成
され、かつここでアドレスの解決が禁止されていない場
合のみ、アドレス解決未処理の回答要求を行うようにな
っている。As shown in FIG. 5, when one entry is composed of a pair of a transmission IP address (or its prefix) and a reception IP address (or its prefix), and the address resolution is not prohibited here Only an address resolution unprocessed answer request is made.
【0027】図6は、入口側MPCが、ATM以外のネ
ットワークから受けたMACフレームを中継するときの
処理の流れを表わしたものである。まず、入口側MPC
は、受信したMACフレーム 内の受信先MACアドレ
スと受信先IPアドレスを読み出す(ステップS10
1)。そして、受信先MACアドレスが同一サブネット
内のMPSであるか否かを判別する(ステップS10
2)。受信先MACアドレスが同一サブネット内のMP
S以外である場合には(Y)、LANEプロトコルを用
いて、受信先のノードにMACフレームを送る(ステッ
プS103)。FIG. 6 shows the flow of processing when the ingress MPC relays a MAC frame received from a network other than the ATM. First, the entrance side MPC
Reads the destination MAC address and destination IP address in the received MAC frame (step S10).
1). Then, it is determined whether or not the destination MAC address is an MPS in the same subnet (step S10).
2). MP whose destination MAC address is in the same subnet
If it is other than S (Y), a MAC frame is sent to the destination node using the LANE protocol (step S103).
【0028】これに対して、受信先MACアドレスが同
一サブネット内のMPSである場合(ステップS10
2:N)、受信先IPアドレスを鍵として、ショートカ
ットVCCテーブル17内のショートカットVCCのエ
ントリを検索する(ステップS104)。この鍵に対す
るエントリが見つからない場合には(ステップS10
5:N)、新たにエントリを作成し、そのカウンタのカ
ウント値を“1“に設定して、受信したMACフレーム
を入口側MPSに送る(ステップS106)。この鍵に
対応するエントリが見つかった場合には(ステップS1
05:Y)、ショートカットVCCが未設定であるかど
うかを判別する(ステップS107)。On the other hand, when the destination MAC address is an MPS in the same subnet (step S10
2: N), the entry of the shortcut VCC in the shortcut VCC table 17 is searched using the destination IP address as a key (step S104). If no entry for this key is found (step S10
5: N), a new entry is created, the count value of the counter is set to “1”, and the received MAC frame is sent to the entry-side MPS (step S106). If an entry corresponding to this key is found (step S1
05: Y), it is determined whether or not the shortcut VCC has not been set (step S107).
【0029】図7は、鍵に対応するエントリが見つかっ
たがそのショートカットVCCが未設定の場合の処理手
順を表わしたものである。この場合には、まずカウント
値を“1“加算する(ステップS201)。そして、シ
ョートカットVCCエントリのカウント値とあらかじめ
設定されたしきい値とを比較する(ステップS20
2)。この結果、しきい値の方が大きいときには(ステ
ップS203:Y)、入口側MPSにMACフレームを
送信して処理を終える(エンド)。カウント値の方が大
きいか両者が等しい場合には、MACフレームの中のI
Pパケットヘッダ内の送受信IPアドレスと、TCP/
UDPポート番号を読み、そのパケットを入口側MPS
に送る(ステップS204)。次に、出口側MPCのA
TMアドレスを得るために、MPOAレゾルーション・
リクエスト・メッセージを同一サブネット内のMPS
(入口側MPS)に送信する(ステップS205)。こ
のメッセージに、標準のMPOAプロトコルで規定され
る情報を加えて、ステップS204で読み出したIPパ
ケットの送受信IPアドレスとTCP/UDPポート番
号を含める。このMPOAレゾルーション・リクエスト
が成功すると、次の手順として入口側MPSからMPO
Aレゾルーション・リプライが戻り、出口側MPCのA
TMアドレスが通知される(ステップS206)。FIG. 7 shows a processing procedure when an entry corresponding to a key is found but its shortcut VCC is not set. In this case, first, the count value is incremented by "1" (step S201). Then, the count value of the shortcut VCC entry is compared with a preset threshold value (step S20).
2). As a result, when the threshold value is larger (step S203: Y), the MAC frame is transmitted to the ingress-side MPS, and the process ends (end). If the count value is greater or equal, the I
The transmission / reception IP address in the P packet header and TCP /
Read the UDP port number and send the packet to the ingress MPS
(Step S204). Next, A of the exit side MPC
To get the TM address, MPOA resolution
MPS in the same subnet as the request message
(Step S205). Information specified by the standard MPOA protocol is added to this message, and the transmission / reception IP address and TCP / UDP port number of the IP packet read in step S204 are included. If the MPOA resolution request is successful, the next step is to send the MPO
A resolution reply is returned, A of exit side MPC
The TM address is notified (step S206).
【0030】次に、前記したエントリに、出口側MPC
のATMアドレスと、送信するTCP/IPパケットの
送信・受信IPアドレスと、TCP/UDPポート番号
を登録する(ステップS207)。そして、出口側MP
CのATMアドレスを宛先として、標準のATMシグナ
リング手順を行って、ショートカットVCCを設定する
(ステップS208)。その後、ステップS208で設
定したショートカットVCCのVPI/VCI(Virtua
l Path identifier /Virtual Channel identifier;仮
想パス識別子/仮想チャネル識別子)を、前記したショ
ートカットVCCのエントリに設定する(ステップS2
09)。Next, the entry MPC is added to the above-mentioned entry.
, The transmission / reception IP address of the TCP / IP packet to be transmitted, and the TCP / UDP port number are registered (step S207). And the exit side MP
With the ATM address of C as a destination, a standard ATM signaling procedure is performed to set a shortcut VCC (step S208). Then, the VPI / VCI (Virtua) of the shortcut VCC set in step S208
l Path identifier / Virtual Channel identifier (virtual path identifier / virtual channel identifier) is set in the shortcut VCC entry (step S2).
09).
【0031】図8は、図6のステップS107で鍵に対
応するエントリが見つかり、ショートカットVCCが設
定済である場合の処理の流れを表わしたものである。こ
の場合には、まずMACフレーム中のIPパケットヘッ
ダの送信・受信IPアドレスとTCP/UDPポート番
号を読み出す(ステップS301)。そして、出口側M
PCへのショートカットVCCが設定されているので、
この設定されているショートカットVCCエントリ中の
送信・受信IPアドレスおよびTCP/UDPポート番
号を、ステップS301で読んだIPパケット内の送信
・受信IPアドレスおよびTCP/UDPポート番号と
それぞれ比較する(ステップS302)。これらの値が
どれも一致している場合には(ステップS303:
Y)、前記したエントリの出口側MPCへのショートカ
ットVCCに、受信したMACフレームを送信する(ス
テップS304)。FIG. 8 shows the flow of processing when an entry corresponding to a key is found in step S107 in FIG. 6 and a shortcut VCC has been set. In this case, first, the transmission / reception IP address and TCP / UDP port number of the IP packet header in the MAC frame are read (step S301). And the exit side M
Since the shortcut VCC to the PC is set,
The transmission / reception IP address and TCP / UDP port number in the set shortcut VCC entry are compared with the transmission / reception IP address and TCP / UDP port number in the IP packet read in step S301 (step S302). ). If all of these values match (step S303:
Y), the received MAC frame is transmitted to the shortcut VCC to the exit-side MPC of the entry described above (step S304).
【0032】これらの値のいずれかが等しくない場合に
は(ステップS303:N)、入口側のMPSに対して
MPOAレゾルーション・リクエストを送信し、受信し
たMACフレームを入口側MPSに送る(ステップS3
05)。このメッセージに、標準のMPOAプロトコル
で規定される所と共に、ステップS301で読み出した
IPパケットの送受信IPアドレスとTCP/UDPポ
ート番号とを含める。このMPOAレゾルーション・リ
クエストが成功して、MPSからMPOAレゾルーショ
ン・リプライが戻ってきた場合には(ステップS30
6:Y)、出口側MPCのATMアドレスが通知され、
前記したIPパケットの送信が許可されたことになる。
したがって、このときには、前記したエントリに、新た
に送信するTCP/IPパケットの送信・受信アドレス
と、TCP/UDPポート番号を追加登録する(ステッ
プS307)。If any of these values is not equal (step S303: N), an MPOA resolution request is transmitted to the ingress MPS, and the received MAC frame is transmitted to the ingress MPS (step S303). S3
05). In this message, the transmission / reception IP address and the TCP / UDP port number of the IP packet read in step S301 are included together with the part defined by the standard MPOA protocol. When the MPOA resolution request is successful and the MPOA resolution reply is returned from the MPS (step S30)
6: Y), the ATM address of the egress MPC is notified,
This means that the transmission of the IP packet is permitted.
Therefore, at this time, the transmission / reception address of the TCP / IP packet to be newly transmitted and the TCP / UDP port number are additionally registered in the above-mentioned entry (step S307).
【0033】ステップS306でMPSからMPOAレ
ゾルーション・リプライが戻ってこない場合には
(N)、前記したIPパケットをショートカットVCC
を通して送信することが許可されないことになり、処理
を終える(エンド)。If the MPOA resolution reply does not return from the MPS in step S306 (N), the IP packet is copied to the shortcut VCC.
Is not permitted to be transmitted, and the processing is terminated (END).
【0034】図9は、MPSが、入口側のMPCからM
POAレゾルーション・リクエスト・メッセージを受け
るときの処理の流れを表わしたものである。まず図4に
示したMPS処理部22は、隣接したMPCからMPO
Aレゾルーション・リクエスト・メッセージを受信する
(ステップS401)。次に、そのメッセージ中の送信
・受信IPアドレスとTCP/UDPポート番号を読む
(ステップS402)。そして、MPSパケットフィル
タリング機能部28(図4)を検索して、そのパケット
をショートカットVCCを通して受信するために、アド
レス解決をしてよいかの判定処理を行う(ステップS4
03)。この結果、解決が許可されていない時には(ス
テップS404:Y)、そのMPOAレゾルーション・
リクエスト・メッセージを廃棄し、入力側MPCと出力
側MPCにショートカットVCCを設定するのを中断さ
せる(ステップS405)。FIG. 9 shows that the MPS receives M
It shows the flow of processing when receiving a POA resolution request message. First, the MPS processing unit 22 shown in FIG.
A resolution request message is received (step S401). Next, the transmission / reception IP address and TCP / UDP port number in the message are read (step S402). Then, the MPS packet filtering function unit 28 (FIG. 4) is searched to determine whether the address can be resolved in order to receive the packet through the shortcut VCC (step S4).
03). As a result, when the solution is not permitted (step S404: Y), the MPOA resolution
The request message is discarded, and the setting of the shortcut VCC for the input side MPC and the output side MPC is interrupted (step S405).
【0035】これに対して、ステップS404で解決が
許可されているときには(N)、受信先IPアドレスか
ら、ルーティング部27を用いて、出口側MPCへのル
ートを検索する(ステップS406)。出口側MPCが
このMPSと異なるサブネットに存在する時には、(ス
テップS407:Y)、次段のNHRP(Next Hop Res
olution Protocol)サーバに前記したMPOAレゾルー
ション・リクエスト・メッセージを転送する(ステップ
S408)。ステップS407で出口側MPCが同一サ
ブネットに存在するときには(N)、出口側MPCに対
して、MPOAキャッシ・インポジション(Cache Impo
sition)・メッセージを送信する(ステップS40
9)。このメッセージの中には、標準のMPOAプロト
コルで規定されている、このMPSのMACアドレス
と、受信先のIPノードのMACアドレスおよび受信先
のIPアドレスに加えて、そのショートカットVCCを
通して送られるパケットの送信IPアドレスと送受信の
TCP/UDPポート番号とが含まれる。次に入口側M
PCに対して、MPOAレゾルーション・リプライ(Re
solution Reply)メッセージを送る。On the other hand, when the solution is permitted in step S404 (N), a route to the exit-side MPC is searched from the destination IP address using the routing unit 27 (step S406). When the egress MPC exists in a different subnet from the MPS (step S407: Y), the next-stage NHRP (Next Hop Res
Solution Protocol) The MPOA resolution request message is transferred to the server (step S408). When the egress MPC exists in the same subnet in step S407 (N), the MPOA cache imposition (Cache Impo
transmission) message (step S40)
9). In this message, in addition to the MAC address of this MPS, the MAC address of the destination IP node and the IP address of the destination specified by the standard MPOA protocol, and the packet of the packet sent through the shortcut VCC, A transmission IP address and a TCP / UDP port number for transmission and reception are included. Next, the entrance side M
MPOA Resolution Reply (Re
solution Reply) message.
【0036】図10は、MPCが、ショートカットVC
Cを設定するために、出口側MPSからMPOAキャッ
シ・インポジション・メッセージを受信する場合の処理
の流れを表わしたものである。まず、MPOAキャッシ
・インポジション・メッセージを受信する(ステップS
501)。次にこのMPOAキャッシ・インポジション
・メッセージから、標準のMPOAプロトコルで規定さ
れている入口側MPCのATMアドレスと、出口側MP
SのMACアドレスと、受信IPノードのMACアドレ
スに加えて、送信されるIPパケットの受信IPアドレ
スと、送受信のTCP/IDPポート番号を読み取る
(ステップS502)。FIG. 10 shows a state in which the MPC executes the shortcut VC.
It shows the flow of processing when an MPOA cache imposition message is received from the egress MPS to set C. First, an MPOA cache imposition message is received (step S
501). Next, from the MPOA cache imposition message, the ATM address of the ingress MPC defined by the standard MPOA protocol and the egress MPA
In addition to the MAC address of S and the MAC address of the receiving IP node, the receiving IP address of the transmitted IP packet and the TCP / IDP port number for transmission / reception are read (step S502).
【0037】次に、入口側MPCのATMアドレスと、
受信IPノードのIPアドレスを鍵として、ショートカ
ットVCCテーブル17(図1)にエントリを検索する
(ステップS503)。エントリがない場合には(ステ
ップS504:Y)、ステップS502で読み出した、
送信されるTCP/IPパケットの送受信IPアドレス
と、TCP/IDPポート番号と、入口側MPCのAT
Mアドレスと、出口側MPSのMACアドレスおよび受
信IPノードのMACアドレスを、ショートカットVC
Cテーブル17に登録する(ステップS505)。その
後、ATMシグナリング手順によってショートカットV
CCのVPI/VCIが決定されるので、その値を前記
したエントリに登録する(ステップS506)。Next, the ATM address of the entry side MPC,
Using the IP address of the receiving IP node as a key, an entry is searched for in the shortcut VCC table 17 (FIG. 1) (step S503). If there is no entry (step S504: Y), it is read out in step S502,
Transmission / reception IP address of TCP / IP packet to be transmitted, TCP / IDP port number, AT of entrance MPC
M address, the MAC address of the egress MPS and the MAC address of the receiving IP node
It is registered in the C table 17 (step S505). Then, the shortcut V is set according to the ATM signaling procedure.
Since the VPI / VCI of the CC is determined, the value is registered in the above-mentioned entry (step S506).
【0038】ステップS504でエントリが既に存在す
る場合には、ステップS502で読み出した、送信され
るパケットの送信IPアドレスと、送信・受信TCP/
IDPポート番号をこのエントリに追加登録する(ステ
ップS506)。If the entry already exists in step S504, the transmission IP address of the packet to be transmitted, read out in step S502, and the transmission / reception TCP /
The IDP port number is additionally registered in this entry (step S506).
【0039】図11は、出口側MPCが、ショートカッ
トVCCを通してパケットを受信するときの処理の流れ
を表わしたものである。まず、ショートカットVCCを
通して、セル化されたIPパケットを受信する(ステッ
プS601)。次に、図1に示したATM VC終端部
14でセルからIPパケットを組み立てる(ステップS
602)。そして、出口側ショートカットVCCテーブ
ル17(図1)内で、パケットが送られてきたショート
カットVCCのVPI/VCIと受信先IPアドレスを
鍵として、該当するエントリを検索する(ステップS6
03)。次に、受信したいIPパケット内の送信・受信
IPアドレスとTCP/UDPポート番号を読み出す
(ステップS604)。そして、ステップS604で読
んだ値と前記したショートカットVCCの該当エントリ
の送信・受信IPアドレスとTCP/UDPポート番号
とを比較する(ステップS605)。FIG. 11 shows the flow of processing when the egress MPC receives a packet via the shortcut VCC. First, the cellularized IP packet is received through the shortcut VCC (step S601). Next, an IP packet is assembled from the cells by the ATM VC terminating unit 14 shown in FIG.
602). Then, a corresponding entry is searched for in the exit side shortcut VCC table 17 (FIG. 1) using the VPI / VCI of the shortcut VCC to which the packet has been sent and the destination IP address as a key (step S6).
03). Next, the transmission / reception IP address and the TCP / UDP port number in the IP packet to be received are read (step S604). Then, the value read in step S604, the transmission / reception IP address of the corresponding entry of the shortcut VCC, and the TCP / UDP port number
Comparing the door (step S605).
【0040】この結果としていずれも等しいときには
(ステップS606:Y)、許可されたパケットである
として、同一サブネット内のMPSのMACアドレス
と、受信先のIPノードのMACアドレスを付加してM
ACフレームとし、非ATMインタフェース15(図
1)から該当するネットワークに送信する(ステップS
607)。ステップS606でいずれかが等しくない場
合には(N)、違反パケットであるとみなしてこれを廃
棄し、パケットフィルタリングを実行することになる
(ステップS608)。As a result, if both are equal (step S606: Y), it is determined that the packet is a permitted packet, and the MAC address of the MPS in the same subnet and the MAC address of the IP node of the receiving destination are added.
An AC frame is transmitted from the non-ATM interface 15 (FIG. 1) to the corresponding network (step S).
607). If any one is not equal in step S606 (N), the packet is regarded as a violating packet, discarded, and packet filtering is executed (step S608).
【0041】[0041]
【発明の効果】以上説明したように請求項1〜請求項2
記載の発明によれば、TCP/UDPパケットごとにA
TM交換機でTCP/UDPヘッダとIPヘッダを読ま
なくとも、エッジデバイスやATM端末でそれらのヘッ
ダを読むことで、IPアドレスとTCP/UDPポート
番号によるパケットフィルタリングを実現することがで
きる。本発明では、あらかじめフィルタリングの基準を
設定しておくので、たとえば、これをMPS機能を持っ
たルータで設定した実施例の図5で示したような基準と
すれば、これがMPOAプロトコルのメッセージと共
に、エッジデバイスやATM端末に伝播する。したがっ
て、MPS機能を持ったルータに適切なフィルタリング
規則の内容を設定しておくと、その下流側に存在するす
べてのIPノードの通信の安全性が向上するという利点
がある。しかも本発明では、単にフィルタ条件を判定し
てその結果がクライアントに返されるのではなく、それ
ぞれのサーバを通過可能なときにはこれらによるアドレ
ス解決手順が続行されるので、フィルタ条件を重畳させ
た形でクライアントが取得するという効果がある。 As described above, claims 1 and 2 are described.
According to the described invention, A is set for each TCP / UDP packet.
Even if the TCP / UDP header and the IP header are not read by the TM exchange, the packet filtering by the IP address and the TCP / UDP port number can be realized by reading those headers by the edge device or the ATM terminal. In the present invention, since the filtering standard is set in advance, for example, if this is set as the standard shown in FIG. 5 of the embodiment set by the router having the MPS function, this is set together with the MPOA protocol message, Propagate to edge devices and ATM terminals. Therefore, if the contents of the appropriate filtering rule are set in the router having the MPS function, there is an advantage that the communication security of all IP nodes existing downstream therefrom is improved. Moreover, in the present invention, the filter condition is simply determined.
Instead of returning the result to the client,
When it is possible to pass through each server, the address by these
The resolution procedure continues, so the filter
There is an effect that the client obtains it in the form.
【図1】本発明の一実施例におけるエッジデバイスの機
能的な構成を示すブロック図である。FIG. 1 is a block diagram illustrating a functional configuration of an edge device according to an embodiment of the present invention.
【図2】本実施例の入口側MPCでのショートカットV
CCテーブルの内容を示した説明図である。FIG. 2 shows a shortcut V on the entrance side MPC of the embodiment.
FIG. 4 is an explanatory diagram showing the contents of a CC table.
【図3】本実施例の出口側MPCでのショートカットV
CCテーブルの内容を示した説明図である。FIG. 3 shows a shortcut V at the exit side MPC of the present embodiment.
FIG. 4 is an explanatory diagram showing the contents of a CC table.
【図4】本実施例のMPSの機能的な構成を表わしたブ
ロック図である。FIG. 4 is a block diagram illustrating a functional configuration of an MPS according to the present embodiment.
【図5】MPSパケットフィルタリング機能部の一例を
示した説明図である。FIG. 5 is an explanatory diagram showing an example of an MPS packet filtering function unit.
【図6】入口側MPCが、ATM以外のネットワークか
ら受けたMACフレームを中継するときの処理の流れを
表わした流れ図である。FIG. 6 is a flowchart showing a flow of processing when an ingress MPC relays a MAC frame received from a network other than an ATM.
【図7】鍵に対応するエントリが見つかったがそのショ
ートカットVCCが未設定の場合の処理手順を表わした
流れ図である。FIG. 7 is a flowchart showing a processing procedure when an entry corresponding to a key is found but the shortcut VCC is not set.
【図8】図6のステップS107で鍵に対応するエント
リが見つかり、ショートカットVCCが設定済である場
合の処理の流れを表わした流れ図である。FIG. 8 is a flowchart showing the flow of processing when an entry corresponding to a key is found in step S107 of FIG. 6 and a shortcut VCC has been set.
【図9】MPSが、入口側のMPCからMPOAレゾル
ーション・リクエスト・メッセージを受けるときの処理
の流れを表わした流れ図である。FIG. 9 is a flowchart showing the flow of processing when the MPS receives an MPOA resolution request message from the ingress MPC.
【図10】MPCが、ショートカットVCCを設定する
ために、出口側MPSからMPOAキャッシ・インポジ
ション・メッセージを受信する場合の処理の流れを表わ
した流れ図である。FIG. 10 is a flowchart illustrating a process flow when the MPC receives an MPOA cache imposition message from the egress MPS to set a shortcut VCC.
【図11】出口側MPCが、ショートカットVCCを通
してパケットを受信するときの処理の流れを表わした流
れ図である。FIG. 11 is a flowchart showing the flow of processing when an egress MPC receives a packet via a shortcut VCC.
11、21 LEC処理部 12 MPC処理部 13、22、24 VCテーブル 14、25 ATM VC終端部 15 非ATMネットワークインターフェース部 16、26 ATMシグナリング処理部 17 ショートカットVCCテーブル 23 ルータ機能部 27 ルーティング部 28 MPSパケットフィルタリング機能部 11, 21 LEC processing unit 12 MPC processing unit 13, 22, 24 VC table 14, 25 ATM VC termination unit 15 Non-ATM network interface unit 16, 26 ATM signaling processing unit 17 Shortcut VCC table 23 Router function unit 27 Routing unit 28 MPS Packet filtering function
Claims (2)
上に構築したマルチプロトコルの転送のためのMPOA
ネットワークで、送信側MPOAクライアントがアドレ
ス解決手順を起動し、受信した受信IPアドレスから出
口側のMPOA方式のネットワーク内のクライアントで
ある出口側MPOAクライアントのATMアドレスを獲
得するようにした通信システムにおいて、アドレス解決要求メッセージを受信してこのメッセージ
内の送受信IPアドレスとTCPまたはUDPポート番
号をそれぞれ読み込んでこれらをフィルタ用の情報とし
てのセット情報として、通常のデータ転送のために設定
されたフィルタリングの基準に応じてアドレス解決要求
に応じるか否かを判定する判定手段と、この判定手段の
判定の結果としてアドレス解決要求に応じる場合にはア
ドレス解決手順を進行させ、アドレス解決要求に応じな
い場合にはアドレス解決を中止することで、複数のMP
OAサーバ上のフィルタリング基準のすべてに適合する
セット情報のパケットに対してのみアドレス解決の結果
を返信する返信手段を備えたMPOAサーバと、 アドレス解決要求メッセージ内に、これから設定するシ
ョートカット仮想チャネル・コネクションとしてのショ
ートカットVCCを通して送信するパケットの前記セッ
ト情報を挿入する挿入手段と、アドレス解決要求時に前
記セット情報のうちアドレス解決が中止されずに完了し
たもののみを記憶する第1の記憶手段と、パケット送信
時にこの第1の記憶手段に記憶した内容と一致するIP
パケットのみをショートカットVCCに送信する送信手
段と、前記アドレス解決要求時に、前記MPOAサーバ
から通知されたショートカットVCCを通して送信され
てくるパケットの前記セット情報を記憶する第2の記憶
手段と、パケット受信時にこの第2の記憶手段に記憶し
たセット情報と一致するIPパケットのみをショートカ
ットVCCから受けて、これ以外のIPパケットは廃棄
するパケットフィルタリング手段とを備えたMPOAク
ライアント とを具備することを特徴とするパケットフィ
ルタリングシステム。An MPOA for multi-protocol transfer constructed on an ATM network in an asynchronous transfer mode
In a communication system, a transmitting MPOA client activates an address resolution procedure in a network, and obtains an ATM address of an egress MPOA client, which is a client in an egress MPOA network, from a received IP address . Receive the address resolution request message and receive this message
IP address and TCP or UDP port number within
And read these as information for the filter.
Set for normal data transfer as all set information
Resolution request according to the filtering criteria
Determining means for determining whether or not to comply with
When responding to an address resolution request as a result of
Advance the address resolution procedure and respond to the address resolution request.
Abort the address resolution if multiple
Meet all of the filtering criteria on the OA server
Address resolution result only for set information packet
Server that has a reply means for returning an address resolution request message, and a system to be set in the address resolution request message.
Show as shortcut virtual channel connection
The set of packets to be sent through the
Insertion means for inserting address information, and
In the set information, address resolution is completed without being stopped.
First storage means for storing only the packet data, and packet transmission
Sometimes an IP address that matches the content stored in the first storage means
Sender who sends only packets to Shortcut VCC
And the MPOA server at the time of the address resolution request.
Sent through the shortcut VCC notified by
Second storage for storing the set information of the incoming packet
Means for storing in the second storage means upon receipt of a packet.
Only IP packets that match the set information
Other IP packets received from the power source VCC are discarded.
MPOA with packet filtering means
A packet filtering system comprising a client .
クインタフェースを持ったデバイスとしてのエッジデバ
イスやATM端末がトランスポート・コント ロール・プ
ロトコル/ユーザ・データグラム・プロトコルとしての
TCP/UDPヘッダとIPヘッダを読むことで、前記
セット情報によるパケットフィルタリングを実現するこ
とを特徴とする請求項1記載のパケットフィルタリング
システム。 2. An ATM interface and another network.
Device as a device with network interface
Chairs and ATM terminals Transport Control Preferences
As a protocol / user datagram protocol
By reading the TCP / UDP header and IP header,
Implement packet filtering by set information
2. The packet filtering according to claim 1, wherein:
system.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP9183665A JP3000968B2 (en) | 1997-07-09 | 1997-07-09 | Packet filtering system |
CA002229652A CA2229652C (en) | 1997-02-14 | 1998-02-16 | Atm network with a filtering table for securing communication |
EP98301110A EP0866630A1 (en) | 1997-02-14 | 1998-02-16 | ATM network with a filtering table for securing communication |
US09/024,101 US6172991B1 (en) | 1997-02-14 | 1998-02-17 | ATM Network with a filtering table for securing communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP9183665A JP3000968B2 (en) | 1997-07-09 | 1997-07-09 | Packet filtering system |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH1132047A JPH1132047A (en) | 1999-02-02 |
JP3000968B2 true JP3000968B2 (en) | 2000-01-17 |
Family
ID=16139795
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP9183665A Expired - Lifetime JP3000968B2 (en) | 1997-02-14 | 1997-07-09 | Packet filtering system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3000968B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3082760B1 (en) | 1999-02-26 | 2000-08-28 | 日本電気株式会社 | MPOA packet transfer method |
KR100360776B1 (en) * | 1999-12-24 | 2002-11-13 | 한국전자통신연구원 | MPOA based router system and method for service interworking between MPOA based router system and frame relay network |
-
1997
- 1997-07-09 JP JP9183665A patent/JP3000968B2/en not_active Expired - Lifetime
Non-Patent Citations (2)
Title |
---|
1997信学総大B−7−124 |
信学論(B−1)VOL.J80−B−1,NO.6,P.366−373 |
Also Published As
Publication number | Publication date |
---|---|
JPH1132047A (en) | 1999-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6172991B1 (en) | ATM Network with a filtering table for securing communication | |
Luciani et al. | NBMA next hop resolution protocol (NHRP) | |
US6172981B1 (en) | Method and system for distributing network routing functions to local area network stations | |
US5732071A (en) | ATM bridge device and ATM bridging scheme for realizing efficient ATM bridge interconnection | |
JP3381687B2 (en) | Flow identification device, flow processing device, flow identification method, and flow processing method | |
US6169739B1 (en) | ATM VLAN multi-protocol client-server system using layer-3 header of packets for transporting connectionless and connection-oriented traffic | |
EP0869695A1 (en) | System for routing packet switched traffic | |
JP3688408B2 (en) | Packet transfer control method and node device | |
Minshall et al. | Flow labelled IP over ATM: design and rationale | |
JP2000124920A (en) | Method for managing connection of connection network and method for supporting connectionless communication protocol through connection network | |
Aweya | On the design of IP routers Part 1: Router architectures | |
JPH10215263A (en) | Communication network and communication establishment method | |
JP3591753B2 (en) | Firewall method and method | |
US6643289B1 (en) | Method of MPOA status change notification | |
US20100272112A1 (en) | Mpoa system and its shortcut communication control method, and shortcut communication control program | |
JPH10112709A (en) | Authentication method | |
JP2001249866A (en) | Network with distributed fire wall function, fire wall server with fire wall distribution function and edge node with fire wall function | |
JP3000968B2 (en) | Packet filtering system | |
Esaki et al. | High speed datagram delivery over Internet using ATM technology | |
US6947423B2 (en) | MAC address notification method in MPOA systems and MPOA server for the same | |
JP3471136B2 (en) | Control information transfer method and node device | |
JP2947201B2 (en) | Communication system using ATM network | |
JP2923921B1 (en) | Packet transfer method | |
JP4423787B2 (en) | Communication quality control system and communication quality control method | |
JPH10303904A (en) | Svc connection method by atmarp table registration in ipover atm |