JP3480798B2 - 通信管理方法及びその装置 - Google Patents
通信管理方法及びその装置Info
- Publication number
- JP3480798B2 JP3480798B2 JP23842997A JP23842997A JP3480798B2 JP 3480798 B2 JP3480798 B2 JP 3480798B2 JP 23842997 A JP23842997 A JP 23842997A JP 23842997 A JP23842997 A JP 23842997A JP 3480798 B2 JP3480798 B2 JP 3480798B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- network
- vpi
- atm
- cell
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Description
のIPパケットやMAC(イーサネット(登録商標))
フレームなどのコンピュータ信号を、ATM(非同期転
送モード)をベースとするキャリア(網運用業者)のネ
ットワーク上に多重して伝送するデータ通信に利用され
る通信管理方法に関する。
ト、イクストラネットなどLAN(ローカルエリアネッ
トワーク)間接続ネットワークを対象にしたキャリア
(網運用業者)のネットワークでは、複数のユーザから
の信号を多重伝送しつつ、各ユーザには仮想的に独立の
パス(通信路)を提供している。これはSTM(同期転
送モード)又はATMのポイント−ポイントのパス等で
あり、IPアドレスやMACアドレスを用いたものでは
なかった。
ワークとネットワークとの接続部にファイヤーウォール
11を設けて、予め契約などにより、許されたIPアド
レスやTCP/UDPのポート番号をもつパケット12
のみが通過することができる。図では左側のネットワー
クから右側のネットワークへ通過することができるよう
にされていた。つまりファイヤーウォール11におい
て、IPアドレス、ポート番号などによりパケットに対
するフィルタリングがなされ、他ユーザの不正侵入を防
止していた。
Pアドレスやポート番号などによるフィルタリングで
は、パケット12に対するIPアドレス、ポート番号の
設定はユーザが行うものであるから、他のユーザが、フ
ァイヤーウォール11を通過することができるIPアド
レスを何等かにより知ると、そのIPアドレスを無断で
使用してパケット12がファイヤーウォールを通過させ
ることができる。つまり従来の方法においてはいわゆる
IPなりすましにより、本来は使用できないネットワー
クのサービスを受けることができるようになるという問
題があった。
アドレスやMACアドレスを用いた本格的なLAN間接
続サービスを提供し、しかも、キャリア(網運用業者)
として複数ユーザからの信号を多重伝送する場合に、異
なるユーザからの信号を識別して異なるユーザのネット
ワークに入れないようにし、またプライベートアドレス
のように同一のアドレスを使用した場合でも各ユーザの
ネットワークで問題なく、通信できるようにする通信管
理方法及びその装置を提供することにある。
個別の転送用データテーブルを持ち、この転送用データ
テーブルから、ユーザ識別子を用いて、新しいVPI
(仮想パス識別子)又は/及び新しいVCI(仮想チャ
ネル識別子)、スイッチング情報などの網内転送用のデ
ータを得て、その網内転送用のデータを基にユーザセル
を転送処理する。
でその物理インタフェースポートから入力するユーザセ
ルにVPI又は/及びVCIを付与し、網(ネットワー
ク)内ではこのVPI又は/及びVCIをもとにユーザ
識別を行う。加入者終端装置(ATM−SLT)のその
物理インタフェースは各ユーザ端末と対応しているか
ら、ファイヤーウォールにおいて、入力されたセルのV
PI又は/及びVCIから何れの加入者終端装置から来
たものかを知ることができるから、他のユーザがIPア
ドレスを悪用しても、正しいIPアドレスと対応したV
PI/VCIとならず、処理不能となり、そのセルの通
過が阻止される。
の要部であるファイヤーウォール21を示す。各ユーザ
端末の網(ネットワーク1の入り口であるATM−DS
U又はONU)で網内での物理インタフェースポート、
つまりATM−DSUを識別するために、入力セルに対
し、そのATM−DSUに対応したVPI(仮想パス識
別子)が付与されており、更にそのATM−DSUから
出力されたATMセルは網内の加入者終端装置(ATM
−SLT)において、その各入力するセルに対してVP
Iに対応したVCI(仮想チャネル識別子)が付与され
る。そのセルはこのVPI,VCIにもとづき網内を転
送される。
VCI、つまり各ATM−SLTごとにフォワーディン
グテーブル(転送用データテーブル)FT1,FT2,
…,FTnが設けられ、その入力されたセルのVCI値
i(i=1,2,…,n)を、対応フォワーディングテ
ーブルFTiを用いて、そのIPアドレスを参照して網
内転送に必要な情報(新しいVPI、新しいVCI、ス
イッチング情報等)を得、そのセルを転送処理する。
用しようとしても、VPIはユーザ端末と1対1で対応
し、かつVPIやVCIは網内で付与されるものである
から、その他のユーザ端末よりのセルは他のフォワーデ
ィングテーブルを用いることになり、そこには許可され
たIPアドレスが存在せず、“なりすまし”を防ぐこと
ができる。
に示すように、二つのユーザネットワーク(例えばLA
N)31とユーザネットワーク(例えばLAN)32と
の間でATM網33を介してIPパケットなどを転送処
理する場合、ユーザネットワーク31,32の各ユーザ
端末はそれぞれその網内のONU(又はDSU)34,
35を介し、更に加入者終端装置(ATM−SLT)3
6,37をそれぞれ介し更にIPパケット等の転送処理
を行うCAFE(Cut-through ATM-based Forwarding E
ngine)38,39をそれぞれ介してATM網33と接続
されている。
のまま利用してIPパケット等の転送が実現される。こ
の場合、ファイヤーウォールを実現する所は送信側のC
AFE38と受信側のCAFE39とである。図3に送
信側CAFE38にファイヤーウォールを実現した例を
示す。CAFE38には複数の送信側ATM−SLT3
6から多重されたATMセルが流入され、また各送信側
ATM−SLT36には複数ONU34からIPパケッ
トなどが流入され、多重されたATMセルを出力する。
CAFE38からATM網へ出力されるATMセルで
は、それら複数のユーザ別にVPI及び/又はVCIが
付与されている。
ンタフェースポートごとにVPIを付与する。このVP
Iの付与に加えて、ATM−SLT38から多重出力さ
れたセルはCAFE38でそのCAFE38の物理入力
インタフェースポートごとにVCIを付与する。つま
り、VPI/VCIはユーザ側が付けるのではなく、網
側が付けるユーザが勝手にVPI/VCIを付けること
ができず、なりすましに対するセキュリティーが確保さ
れている。
のセルを送信側CAFAの物理出力インタフェースに、
管理されたVPI/VCIで出力する。従って各送信側
ONU34と送信側CAFE38の物理入力インタフェ
ースにおけるVPI/VCIは、1対1に対応付けられ
ている。送信側CAFE38内で、セル流中のアドレス
(IPアドレス又はMACアドレス)を検出して送り先
を検索するが、単にアドレスでフォワーディングテーブ
ル(転送用データテーブル)を検索するだけでは、正当
でない送り主(ユーザ)からのIPパケットやMACフ
レームも転送してしまうことになる。そこでこの実施例
では前記1対1の対応を利用して、各物理入力インタフ
ェースごとに、VPI/VCIからユーザグループ、つ
まり通信して良いユーザのグループを特定し、その特定
されたグループ用のフォワーディングテーブル検索して
セル流(中身はIPパケットやMACフレーム)を転送
する。つまり図1Aに示したように、VPI/VCIご
とにアドレステーブルを設け、VPI/VCIで決めら
れたフォワーディングテーブルを検索するようにすれ
ば、不正ユーザのアドレスはそのフォワーディングテー
ブルには存在しないから、そのセルを転送することがで
きなくなる。
ずそのユーザ端末と対応した特定のグループ用のフォワ
ーディングテーブルを用いてのみアドレス検索されるの
で、他のグループ用のフォワーディングテーブルを用い
て検索されることはない。このようになっているため、
正当でない送り主からのIPパケットやMACフレーム
が送信側CAFE38から出力されることはなく、なり
すましに対するセキュリティが確保される。
ーウォールを実現する例を示す。受信側CAFE39に
は、送信側ATM−SLT36と送信側CAFE38を
経由して、複数ユーザ端末からのATM信号(セル)が
多重されて流入し、各ユーザ端末からのセルにはそれぞ
れ個別のVPI/VCIが付与されている。図3を参照
して述べたように、送信側ATM−SLT36では各送
信側ONU34とそこから入力したセルのVPI/VC
Iを物理レイヤ対応で管理し、更に、送信側CAFE3
8では各送信側ATM−SLT36とそこから入力した
セルのVPI/VCIを物理レイヤ対応で管理してい
る。従って、各送信側ONU34と受信側CAFE39
の物理入力インタフェースのVPI/VCIは1対1に
対応付けられ、なりすましに対するセキュリティーは確
保されている。
ドレス(IPアドレスまたはMACアドレス)を検出し
て送り先を検索するが、単にフォワーディングテーブル
を検索するだけでは、正当でない送り主からのIPパケ
ットやMACフレームを転送してしまうことになる。そ
こで、前記の1対1の対応を利用して、各物理入力イン
タフェース毎に、VPI/VCIからユーザグループ
(通信して良いユーザのグループ)を特定し、つまり図
1Aで説明したように各VPI/VCIごとのアドレス
テーブルを用い、そのセルのVPI/VCIで決る特定
されたグループ用のフォワーディングテーブルをそのセ
ルのアドレスで検索してセル流(中身はIPパケットや
MACフレーム)を転送する。
ず特定のグループ用のフォワーディングテーブルを用い
てのみアドレス検索されるので、他のグループ用のフォ
ワーディングテーブルを用いて検索されることはない。
次に、受信側CAFE39は、宛先となる受信側ATM
−SLT37につながる物理出力インタフェースに、管
理されたVPI/VCIで出力する。更に、受信側AT
M−SLT37は、宛先となる受信側ONU35につな
がる物理出力インタフェースに、管理されたVPI/V
CIで出力する。従って、受信側CAFE39の各物理
出力インタフェースのVPI/VCIと各受信側ONU
35は、1対1に対応付けられている。
り主からのIPパケットやMACフレームが受信側ON
Uに送られて来ることはなく、なりすましに対するセキ
ュリティーが確保されている。
ユーザにIPアドレスやMACアドレスを用いた本格的
なネットワーク−ネットワーク間接続サービスを提供
し、かつキャリア(網運用業者)として複数ユーザから
の信号を多重伝送しつつ異なるユーザから信号を識別し
て異なるユーザのネットワークに入れないようにし、専
用線と同様に物理的に分離されたネットワークと同等な
セキュリティが保持される。
(DSU)を特定することができるため、特定されたユ
ーザグループ個別のフォワーディングテーブルを用いる
ことにより、プライベートアドレスの使用が可能とな
る。更にフォワーディングテーブルをユーザ毎に分離し
ているため、検索すべきテーブルの空間が限定され、検
索時間を短縮することができる。
ァイヤーウォールを示す図である。
した構成を示す図。
合の説明図。
合の説明図。
Claims (3)
- 【請求項1】 複数のユーザの端末(以下ユーザ端末と
いう)からのIPパケットやMACフレーム、イーサネ
ット(登録商標)などのコンピュータ信号を、ATMを
ベースとするキャリア(網運用業者)のネットワーク上
に多重して伝送するデータ通信に利用される通信管理方
法において、 ユーザ端末個別の転送用データテーブルを備え、この転
送用データテーブルからユーザ識別子を用いて、新しい
VPI(仮想パス識別子)、新しいVCI(仮想チャネ
ル識別子)、スイッチング情報などの網内転送用のデー
タを得て、その網内転送用のデータを基にユーザセルを
転送処理することを特徴とする通信管理方法。 - 【請求項2】 物理インタフェースポートから入力する
ユーザセルにVPI、又は/及びVCIを付与する加入
者終端装置があり、網内ではそのVPI又は/及びVC
Iをもとにユーザ識別を行い、このVPI又は/及びV
CIを上記ユーザ識別子として用いることを特徴とする
請求項1記載の通信管理方法。 - 【請求項3】 複数のユーザの端末(以下ユーザ端末と
いう)からのコンピュータ信号を、ATMをベースとす
るキャリア(網運用業者)のネットワーク上に多重して
伝送するデータ通信に利用される通信管理装置におい
て、 ATMセルのVPI(仮想パス識別子)及び/又はVC
I(仮想チャネル識別子)を用いて、転送用データテー
ブルを選択する手段と、 その選択された転送用データテーブルを上記ATMセル
のIPアドレス又はMACアドレスで検索し、転送情報
を得る手段と、 を具備することを特徴とする通信管理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP23842997A JP3480798B2 (ja) | 1997-09-03 | 1997-09-03 | 通信管理方法及びその装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP23842997A JP3480798B2 (ja) | 1997-09-03 | 1997-09-03 | 通信管理方法及びその装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH1188336A JPH1188336A (ja) | 1999-03-30 |
JP3480798B2 true JP3480798B2 (ja) | 2003-12-22 |
Family
ID=17030084
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP23842997A Expired - Lifetime JP3480798B2 (ja) | 1997-09-03 | 1997-09-03 | 通信管理方法及びその装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3480798B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI110975B (fi) | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
-
1997
- 1997-09-03 JP JP23842997A patent/JP3480798B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JPH1188336A (ja) | 1999-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4110671B2 (ja) | データ転送装置 | |
US6041166A (en) | Virtual network architecture for connectionless LAN backbone | |
US5752003A (en) | Architecture for managing traffic in a virtual LAN environment | |
EP1021931B1 (en) | Multiple internetworking realms within an internetworking device | |
US6636516B1 (en) | QOS-based virtual private network using ATM-based internet virtual connections | |
US6157647A (en) | Direct addressing between VLAN subnets | |
US6097719A (en) | Public IP transport network | |
US7325058B1 (en) | Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites | |
US6874030B1 (en) | PPP domain name and L2TP tunnel selection configuration override | |
JPH07202908A (ja) | Atmブリッジ装置 | |
US6650631B1 (en) | Public IP transport network | |
JPH10215248A (ja) | ファイアウォール方式およびその方法 | |
JPH05507605A (ja) | Atmスイッチ用コネクションレス交換方法 | |
JP3480798B2 (ja) | 通信管理方法及びその装置 | |
Cisco | Configuring Transparent Bridging | |
Cisco | LAN Switching | |
Hill | Cisco: The Complete Reference | |
Cisco | T | |
Cisco | P | |
US6917619B1 (en) | System and method for interconnecting ATM systems over an intermediate ATM network using switch virtual connections | |
JP4508238B2 (ja) | データ転送装置 | |
JP4450069B2 (ja) | データ転送装置、方法及びシステム | |
JP3670157B2 (ja) | Ipパケット転送システム | |
JP4111226B2 (ja) | 通信システム | |
JP4535122B2 (ja) | データ転送装置、方法及びシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071010 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081010 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091010 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101010 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101010 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111010 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111010 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121010 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121010 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131010 Year of fee payment: 10 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
EXPY | Cancellation because of completion of term |