JP3570349B2 - Routing device and virtual private network system used therefor - Google Patents

Routing device and virtual private network system used therefor Download PDF

Info

Publication number
JP3570349B2
JP3570349B2 JP2000198058A JP2000198058A JP3570349B2 JP 3570349 B2 JP3570349 B2 JP 3570349B2 JP 2000198058 A JP2000198058 A JP 2000198058A JP 2000198058 A JP2000198058 A JP 2000198058A JP 3570349 B2 JP3570349 B2 JP 3570349B2
Authority
JP
Japan
Prior art keywords
routing
vpn
vlan
address
switch processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2000198058A
Other languages
Japanese (ja)
Other versions
JP2002016640A (en
Inventor
則員 越智
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2000198058A priority Critical patent/JP3570349B2/en
Publication of JP2002016640A publication Critical patent/JP2002016640A/en
Application granted granted Critical
Publication of JP3570349B2 publication Critical patent/JP3570349B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明はルーティング装置及びそれに用いる仮想私設網方式に関し、特に仮想LAN(VLAN:Virtual bridged Local Area Network)を利用したルーティング方法に関する。
【0002】
【従来の技術】
従来、仮想LANのネットワーク構成においては、第1のスイッチの各ポートに複数の端末を接続して第1のLANを構成し、第2のスイッチの各ポートに複数の端末を接続して第2のLANを構成している場合に、これら複数の端末を仮想LANという形で括ってグループ化し、論理的構成によって仮想LANを構成して同じスイッチ内での端末間通信を行っている。
【0003】
上記の構成において、端末を単なるポートに移動した場合には一般的なMAC(Media Access Control)アドレスの学習方法によってスイッチのテーブルの構成が可能である。各端末はMACアドレスを有しているので、ポートを移動した場合にはそのアドレスを引き継ぐようにする。
【0004】
このテーブルには仮想LANの属性が定義されているので、各端末からのパケットを受信すると、そのMACアドレスとポートの論理アドレスとに基づいてVLAN−ID(Virtual bridged Local Area Network identification:仮想LAN識別子)が与えられ、テーブルへの登録が行われる。
【0005】
また、ネットワークを越えて、つまり他のスイッチへ伝送ラインを接続して仮想的な論理ネットワーク(仮想LAN)を構築することがある。異なるスイッチ間に接続された端末とのエンド−エンド通信を行うためには、すなわち同じLAN属性を持つ仮想LANの中で端末のエンド−エンド間通信を行うためには、それぞれのスイッチに固定的なポート割当てを行い、その固定的に割り当てられたポートにつながる端末を1つの同じ属性を持った仮想LANとみなすことで、端末のエンド−エンド間通信が可能となる。
【0006】
さらに、仮想LANタグとよばれる識別子をパケットに付加し、この仮想LANタグに基づいて仮想的なネットワークの識別を行ってスイッチ−スイッチ間での送信を行うことができる。
【0007】
さらにまた、同一の仮想LANに属するスイッチのポートに接続された端末にパケットをブロードキャストまたはユニキャスト送信させることができる。この場合でも、MACアドレスの学習によってスイッチのテーブルを構成することができる。
【0008】
しかしながら、上記のようなネットワーク構成では仮想LANと仮想LANとの間の通信(仮想LAN間通信)を対象としたものではない。ネットワークとして仮想LAN間通信を可能にすることは任意の端末間との通信を可能にすることを意味する。
【0009】
近年のネットワークの使用例からわかるように、インタネット接続や共有データやファイルを使用することが当たり前となっている。よって、将来、ネットワーク機器の導入及びネットワークの構築にあたって、今後予想される端末数の拡大、複数の仮想LAN間通信を可能にするネットワークが必要である。
【0010】
【発明が解決しようとする課題】
上述した従来の仮想LANのネットワーク構成では、単に仮想LANを利用してルーティングさせる場合、仮想的な識別IDを持つことができないため、仮想LANからルータを介して専用線へ通信した場合、専用線においてイントラネットとしての閉域性を保つことができない。
【0011】
そこで、本発明の目的は上記の問題点を解消し、専用線においてイントラネットとしての閉域性を保つことができるルーティング装置及びそれに用いる仮想私設網方式を提供することにある。
【0012】
【課題を解決するための手段】
本発明によるルーティング装置は、予めVPN−ID(Virtual Private Network identification)毎にIP(Internet Protocol)アドレス検索するIPアドレス検索面を保持するルーティングテーブルと、受信したLAN(Local Area Network)フレームのVLAN−ID(Virtual bridged Local Area Network identification)情報からVPN−ID番号を割り当ててその該当するVPN−IDに対応するIPアドレス検索面を前記ルーティングテーブルから選択する手段と、その選択したIPアドレス検索面内でのみルーティングを行うルーティング手段とを備え
前記ルーティングテーブルと前記IPアドレス検索面を前記ルーティングテーブルから選択する手段と前記ルーティング手段とをレイヤ3スイッチ処理手段に配設している。
【0013】
本発明による仮想私設網方式は、予めVPN−ID(Virtual Private Network identification)毎にIP(Internet Protocol)アドレス検索するIPアドレス検索面を保持するルーティングテーブルの中から、受信したLAN(Local Area Network)フレームのVLAN−ID(Virtual bridged Local Area Network identification)情報からVPN−ID番号を割り当ててその該当するVPN−IDに対応するIPアドレス検索面を選択するステップと、そのIPアドレス検索面内でのみルーティングを行うステップとを備え
前記ルーティングテーブルからの前記IPアドレス検索面の選択と、そのIPアドレス検索面内でのみルーティングとをレイヤ3スイッチ処理手段で行うようにしている。
【0014】
すなわち、本発明のインタネットVPN(Virtual Private Network:仮想私設網)は、VLAN(Virtual bridgedLocal Area Network)−WAN(Wide Area Network:広域網)間をVPN接続する場合において、VLANのVirtual bridged LAN Identification Informationをルーティング識別子に使用することでエンド−エンド間のインタネット専用網(イントラネット)で仮想的に閉域性を確保する方法である。
【0015】
より具体的に、本発明のインタネットVPN方式は、L2(Layer 2)スイッチ部においてVLANを適用したLAN間、あるいはVLAN−パケット網間をL3(Layer 3)スイッチを有するルーティング処理にてゲートウエイする場合に、ルーティングテーブルの情報面のルート情報を各VLAN−ID毎に予めエントリしておき、到着したパケットはVLAN−ID(Virtual bridged Local Area Network identification:仮想LAN識別子)毎に持つルート面を選択し、該当したルート面内でのみIPアドレス検索を行うことを可能としている。
【0016】
また、VPN番号間の関係に関してはVPN番号に相当するVLAN−IDがエンド−エンドで全く同じ値でなくても良く、ルーティングされる前に関連性が確立されていればよい。
【0017】
本発明のインタネットVPN方式では、VLAN−IDのVirtual bridged LAN Identificationから、VPN−IDを識別し、各VPN−ID(Virtual Private Network Identification:仮想私設網識別子)毎に格納したルート情報を選択することが可能となるため、閉域性が確保されることとなる。
【0018】
また、VLANで使用する従来のVLAN−IDはL2ブリッジに使用されており、本発明のようなL3ルーティングスイッチのVPN−IDに使用されてはいない。
【0019】
【発明の実施の形態】
次に、本発明の一実施例について図面を参照して説明する。図1は本発明の一実施例によるルーティング装置の構成を示すブロック図である。図1において、本発明の一実施例によるルーティング装置はハブやブリッジ等の論理的なハブ機能を持つL2(Layer 2)スイッチ処理部1と、ルータ等のL3(Layer 3)スイッチ処理部2とから構成されている。
【0020】
L2スイッチ処理部1はそれぞれ専用線[例えば、インタネットやWAN(Wide Area Network:広域網)等]を介して複数の仮想LAN(Virtual bridged Local Area Network)(図示せず)に接続されたポート11−1〜11−mと、複数の仮想LAN(VLAN#1〜VLAN#n)(図示せず)各々個別に接続されたポート12−1〜12−nとから構成されている。
【0021】
L3スイッチ処理部2はMAC(Media Access Control)アドレスのフィルタリングを行うフィルタ部21と、VPN−ID(Virtual Private Network Identification:仮想私設網識別子)分のIP(Internet Protocol)アドレス検索面を選択するIPアドレス検索面選択部22と、VPN−ID分のIPアドレス検索面を蓄積するルーティングテーブル23とから構成されている。
【0022】
L2スイッチ処理部1はポート11−1〜11−mで受信したパケットをL3スイッチ処理部2へ転送させる時に、VPN−IDとしてVLAN−IDを割り当ててIPアドレスとともに送出する。
【0023】
ルーティングテーブル23はVPN−ID分のIPアドレス検索面を保持しており、IPアドレス検索面選択部22がL2スイッチ処理部1からのVLAN−IDに対応するIPアドレス検索面を選択(ポイント)する。よって、ルーティングテーブル23ではその選択されたIPアドレス検索面内でのみルーティングを行い、IPアドレス検索面内で検索された接続情報[ポートやMAC(Media Access Control)アドレス等]をL2スイッチ処理部1へ送出する。
【0024】
L2スイッチ処理部1はL3スイッチ処理部2によるルーティング結果を基に、対応するポート12−1〜12−nにL3スイッチ処理部2でルーティングされたパケットを送出する。
【0025】
上記の方式を用いれば、特定のVLAN−IDを持つ仮想LAN間、あるいはLAN−WAN間でのみルーティングを行うことが可能になるので、インタネット等のグローバルなネットワーク内で特定ユーザ間でのみ仮想的な特定のパスを張ることができる。
【0026】
図2は本発明の一実施例によるネットワーク間インタフェース(NNI:Network Network Interface)におけるVPNの関係を示す図である。図2において、ネットワーク#1,#2にはそれぞれVPN#1〜#3が設定され、ゲートウェイ(G/W:Gateway)はネットワーク#1のVPN#1とネットワーク#2のVPN#1との間をVPN#1エントリによって接続し、ネットワーク#1のVPN#2とネットワーク#2のVPN#2との間をVPN#2エントリによって接続している。
【0027】
図3は図1のルーティングテーブル23の構成例を示す図である。図3において、ルーティングテーブル23にはポインタVPN−ID=1,VPN−ID=2,VPN−ID=3でそれぞれ示される領域(IPアドレス検索面に相当)に、IPアドレス「192.122.092.x」,「192.122.093.x」,「192.122.094.x」にそれぞれ対応して、ポートやMACアドレス等からなる接続情報「aaaaa」,「bbbbb」,「ccccc」,「ddddd」,「eeeee」,「fffff」,「ggggg」,「hhhhh」,「iiiii」が蓄積されている。
【0028】
図4は図1のL2スイッチ処理部1の動作を示すフローチャートであり、図5は図1のL3スイッチ処理部2の動作を示すフローチャートである。これら図1〜図5を参照して本発明の一実施例によるルーティング装置の動作について説明する。
【0029】
L2スイッチ処理部1はポート11−1〜11−mからパケットを受信すると(図4ステップS1)、受信パケットのVPN−IDとしてVLAN−IDを割り当ててIPアドレスとともにL3スイッチ処理部2に送出する(図4ステップS2)。
【0030】
L3スイッチ処理部2はL2スイッチ処理部1からVPN−IDとして割り当てられたVLAN−IDがIPアドレスとともに送られてくると(図5ステップS11)、ルーティンぐテーブル23のVLAN−IDに対応するIPアドレス検索面においてIPアドレスに対応する接続情報(MACアドレス等)を検索する(図5ステップS12)。
【0031】
L3スイッチ処理部2は接続情報が検索されれば(図5ステップS13)、検索した接続情報をL2スイッチ処理部1に通知し(図5ステップS14)、接続情報が検索されなければ(図5ステップS13)、該当なしをL2スイッチ処理部1に通知する(図5ステップS16)。
【0032】
L2スイッチ処理部1はL3スイッチ処理部2から接続情報が送られてくると(図4ステップS3)、入力した接続情報を基にポート12−1〜12−nから対応するVLAN#1〜#nに受信パケットを転送する(図4ステップS4)。また、L2スイッチ処理部1はL3スイッチ処理部2から接続情報が送られてこなければ(図4ステップS3)、つまり該当なしが通知されると、受信パケットを廃棄する(図4ステップS6)。
【0033】
L2スイッチ処理部1及びL3スイッチ処理部2は上述した処理動作を処理終了となるまで繰り返し行う(図4ステップS1〜S6、図5ステップS1〜S16)。
【0034】
このように、L2スイッチ処理部1において仮想LANを適用したLAN間、あるいはVLAN−パケット網間をL3スイッチ処理部2を有するルーティング処理にてゲートウエイする場合に、ルーティングテーブル23の情報面(IPアドレス検索面)のルート情報を各VLAN−ID毎に予めエントリしておき、到着したパケットのVLAN−ID毎に持つルート面を選択し、該当したルート面内でのみIPアドレス検索を行うことによって、仮想LANを利用しているエンドユーザがインタネットを閉域性のある特定ユーザ向けのイントラネットとして利用することができる。この場合、各ルート面毎のルーティングのエントリ数も少なくてすむ。
【0035】
【発明の効果】
以上説明したように本発明によれば、予めVPN−ID(Virtual Private Network identification)毎にIP(Internet Protocol)アドレス検索するIPアドレス検索面を保持するルーティングテーブルの中から、受信したLAN(Local AreaNetwork)フレームのVLAN−ID(Virtual bridged Local Area Network identification)情報からVPN−ID番号を割り当ててその該当するVPN−IDに対応するIPアドレス検索面を選択し、そのIPアドレス検索面内でのみルーティングを行うことによって、専用線においてイントラネットとしての閉域性を保つことができるという効果がある。
【図面の簡単な説明】
【図1】本発明の一実施例によるルーティング装置の構成を示すブロック図である。
【図2】本発明の一実施例によるネットワーク間インタフェースにおけるVPNの関係を示す図である。
【図3】図1のルーティングテーブルの構成例を示す図である。
【図4】図1のL2スイッチ処理部の動作を示すフローチャートである。
【図5】図1のL3スイッチ処理部の動作を示すフローチャートである。
【符号の説明】
1 L2スイッチ処理部
2 L3スイッチ処理部
11−1〜11−m ポート
12−1〜12−n ポート(VLAN#1〜VLAN#n)
21 フィルタ部
22 IPアドレス検索面選択部
23 ルーティングテーブル[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a routing apparatus and a virtual private network system used for the same, and more particularly, to a routing method using a virtual LAN (Virtual Local Area Network).
[0002]
[Prior art]
Conventionally, in a network configuration of a virtual LAN, a plurality of terminals are connected to each port of a first switch to form a first LAN, and a plurality of terminals are connected to each port of a second switch to form a second LAN. When the LAN is configured, the plurality of terminals are grouped together in the form of a virtual LAN, and a virtual LAN is configured by a logical configuration to perform terminal-to-terminal communication within the same switch.
[0003]
In the above configuration, when the terminal is moved to a mere port, a switch table can be configured by a general MAC (Media Access Control) address learning method. Since each terminal has a MAC address, the address is taken over when the port is moved.
[0004]
Since the attribute of the virtual LAN is defined in this table, when a packet from each terminal is received, a VLAN-ID (Virtual bridged Local Area Network identification: virtual LAN identifier) is received based on the MAC address and the logical address of the port. ) Is given, and registration in the table is performed.
[0005]
Further, a virtual logical network (virtual LAN) may be constructed across a network, that is, by connecting a transmission line to another switch. In order to perform end-to-end communication with terminals connected between different switches, that is, to perform end-to-end communication of terminals in a virtual LAN having the same LAN attribute, a fixed By assigning a unique port and treating a terminal connected to the fixedly assigned port as one virtual LAN having the same attribute, end-to-end communication of the terminal becomes possible.
[0006]
Further, an identifier called a virtual LAN tag is added to a packet, and a virtual network is identified based on the virtual LAN tag, and transmission can be performed between switches.
[0007]
Furthermore, it is possible to broadcast or unicast a packet to a terminal connected to a port of a switch belonging to the same virtual LAN. Even in this case, the switch table can be configured by learning the MAC address.
[0008]
However, the above network configuration is not intended for communication between virtual LANs (communication between virtual LANs). Enabling communication between virtual LANs as a network means enabling communication between arbitrary terminals.
[0009]
As can be seen from recent examples of network use, it has become commonplace to use the Internet connection and shared data and files. Therefore, when introducing network equipment and constructing a network in the future, it is necessary to increase the number of terminals expected in the future and to provide a network that enables communication between a plurality of virtual LANs.
[0010]
[Problems to be solved by the invention]
In the above-described conventional virtual LAN network configuration, when routing is performed simply by using the virtual LAN, a virtual identification ID cannot be provided. Therefore, when communication is performed from the virtual LAN to the dedicated line via a router, the dedicated line is used. Cannot maintain the closedness as an intranet.
[0011]
SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problems and to provide a routing device capable of maintaining a closed area as an intranet on a dedicated line, and a virtual private network system used for the routing device.
[0012]
[Means for Solving the Problems]
The routing apparatus according to the present invention includes a routing table that holds an IP address search surface for searching an IP (Internet Protocol) address for each VPN-ID (Virtual Private Network identification), and a VLAN-ID for a received LAN (Local Area Network) frame. Means for assigning a VPN-ID number from virtual ID (Virtual Bridged Local Area Network identification) information and selecting an IP address search surface corresponding to the corresponding VPN-ID from the routing table; and selecting the IP address search surface within the selected IP address search surface. Routing means for performing only routing ,
The means for selecting the routing table and the IP address search surface from the routing table and the routing means are arranged in a layer 3 switch processing means .
[0013]
In the virtual private network system according to the present invention, a LAN (Local Area Network) received from a routing table holding an IP address search surface for searching an IP (Internet Protocol) address for each VPN-ID (Virtual Private Network identification) in advance. A step of assigning a VPN-ID number from the virtual-bridged local area network identification (VLAN-ID) information of the frame and selecting an IP address search plane corresponding to the corresponding VPN-ID, and routing only within the IP address search plane and a step of performing,
The selection of the IP address search plane from the routing table and the routing only within the IP address search plane are performed by the layer 3 switch processing means .
[0014]
That is, an Internet VPN (Virtual Private Network: Virtual Private Network) of the present invention is a virtual private network (VLAN) when a VPN is connected between a Virtual Private Network (VLAN) and a WAN (Wide Area Network: Wide area network) when a VPN is connected via a VPN. Is used as a routing identifier to virtually secure the closed area in an end-to-end Internet dedicated network (intranet).
[0015]
More specifically, the Internet VPN method of the present invention provides a case where a gateway between a LAN to which a VLAN is applied in a L2 (Layer 2) switch unit or a VLAN-packet network is routed by a routing process having an L3 (Layer 3) switch. The route information on the information surface of the routing table is previously entered for each VLAN-ID, and the arriving packet selects a route surface having each VLAN-ID (Virtual Bridged Local Area Network identification: virtual LAN identifier). In addition, it is possible to perform an IP address search only in the corresponding route plane.
[0016]
Further, regarding the relationship between VPN numbers, the VLAN-ID corresponding to the VPN number may not have the same value end-to-end, as long as the relationship is established before routing.
[0017]
In the Internet VPN method of the present invention, the VPN-ID is identified from the Virtual Bridged LAN Identification of the VLAN-ID, and route information stored for each VPN-ID (Virtual Private Network Identification: virtual private network identifier) is selected. Is possible, so that the closed area is ensured.
[0018]
The conventional VLAN-ID used in the VLAN is used for the L2 bridge, and is not used for the VPN-ID of the L3 routing switch as in the present invention.
[0019]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a routing device according to one embodiment of the present invention. In FIG. 1, a routing apparatus according to an embodiment of the present invention includes an L2 (Layer 2) switch processing unit 1 having a logical hub function such as a hub or a bridge, and an L3 (Layer 3) switch processing unit 2 such as a router. It is composed of
[0020]
The L2 switch processing unit 1 is connected to a plurality of virtual LANs (Virtual Bridged Local Area Networks) (not shown) via dedicated lines [for example, the Internet or a WAN (Wide Area Network)]. -1 to 11-m, and ports 12-1 to 12-n which are individually connected to a plurality of virtual LANs (VLAN # 1 to VLAN #n) (not shown).
[0021]
The L3 switch processing unit 2 includes a filter unit 21 for filtering a MAC (Media Access Control) address, and an IP (Internet Protocol) address search surface for selecting an IP (Internet Protocol) address search surface for a VPN-ID (Virtual Private Network Identification). It comprises an address search plane selection unit 22 and a routing table 23 for storing IP address search planes for VPN-ID.
[0022]
The L2 switch processing unit 1 assigns a VLAN-ID as a VPN-ID and transmits it together with an IP address when transferring the packet received at the ports 11-1 to 11-m to the L3 switch processing unit 2.
[0023]
The routing table 23 holds an IP address search surface for VPN-ID, and the IP address search surface selection unit 22 selects (points) an IP address search surface corresponding to the VLAN-ID from the L2 switch processing unit 1. . Therefore, in the routing table 23, the routing is performed only within the selected IP address search plane, and the connection information [port, MAC (Media Access Control) address, etc.] searched in the IP address search plane is stored in the L2 switch processing unit 1. Send to
[0024]
The L2 switch processing unit 1 sends out the packet routed by the L3 switch processing unit 2 to the corresponding ports 12-1 to 12-n based on the routing result by the L3 switch processing unit 2.
[0025]
By using the above method, it is possible to perform routing only between virtual LANs having a specific VLAN-ID or between LANs and WANs. Therefore, virtual routing is performed only between specific users in a global network such as the Internet. You can make a specific path.
[0026]
FIG. 2 is a diagram illustrating a VPN relationship in a network interface (NNI) according to an embodiment of the present invention. In FIG. 2, VPNs # 1 to # 3 are set in networks # 1 and # 2, respectively, and a gateway (G / W: Gateway) is provided between VPN # 1 of network # 1 and VPN # 1 of network # 2. Are connected by the VPN # 1 entry, and the VPN # 2 of the network # 1 and the VPN # 2 of the network # 2 are connected by the VPN # 2 entry.
[0027]
FIG. 3 is a diagram showing a configuration example of the routing table 23 of FIG. In FIG. 3, the routing table 23 stores IP address “192.122.092” in areas (corresponding to an IP address search surface) indicated by pointers VPN-ID = 1, VPN-ID = 2, and VPN-ID = 3. .X "," 192.122.09.x "," 192.122.09.x ", respectively, and the connection information" aaaaaa "," bbbbbb "," ccccc ", “Dddddd”, “eeeeee”, “ffffff”, “gggggg”, “hhhhhh”, and “iiiiii” are stored.
[0028]
FIG. 4 is a flowchart showing the operation of the L2 switch processing unit 1 of FIG. 1, and FIG. 5 is a flowchart showing the operation of the L3 switch processing unit 2 of FIG. The operation of the routing device according to one embodiment of the present invention will be described with reference to FIGS.
[0029]
When the L2 switch processing unit 1 receives a packet from the ports 11-1 to 11-m (step S1 in FIG. 4), it assigns a VLAN-ID as the VPN-ID of the received packet and sends it to the L3 switch processing unit 2 together with the IP address. (Step S2 in FIG. 4).
[0030]
When the VLAN-ID assigned as the VPN-ID is sent from the L2 switch processing unit 1 together with the IP address (step S11 in FIG. 5), the IP corresponding to the VLAN-ID in the routing table 23 is sent to the L3 switch processing unit 2. The connection information (MAC address or the like) corresponding to the IP address is searched on the address search surface (step S12 in FIG. 5).
[0031]
If the connection information is retrieved (step S13 in FIG. 5), the L3 switch processing unit 2 notifies the L2 switch processing unit 1 of the retrieved connection information (step S14 in FIG. 5). If the connection information is not retrieved (FIG. 5). Step S13), the corresponding status is notified to the L2 switch processing unit 1 (step S16 in FIG. 5).
[0032]
When the L2 switch processing unit 1 receives the connection information from the L3 switch processing unit 2 (step S3 in FIG. 4), based on the input connection information, the corresponding VLANs # 1 to ## from the ports 12-1 to 12-n. n (step S4 in FIG. 4). Further, if no connection information is sent from the L3 switch processing unit 2 (step S3 in FIG. 4), that is, if there is no corresponding information, the L2 switch processing unit 1 discards the received packet (step S6 in FIG. 4).
[0033]
The L2 switch processing unit 1 and the L3 switch processing unit 2 repeat the above-described processing operation until the processing is completed (steps S1 to S6 in FIG. 4 and steps S1 to S16 in FIG. 5).
[0034]
As described above, when the gateway between the LAN to which the virtual LAN is applied or the VLAN and the packet network in the L2 switch processing unit 1 is routed by the routing processing including the L3 switch processing unit 2, the information surface (the IP address) of the routing table 23 is used. By pre-entering the route information of the search plane) for each VLAN-ID, selecting a route plane for each VLAN-ID of the arriving packet, and performing an IP address search only within the applicable route plane. An end user using the virtual LAN can use the Internet as an intranet for a specific user having a closed area. In this case, the number of routing entries for each route plane can be reduced.
[0035]
【The invention's effect】
As described above, according to the present invention, a LAN (Local Area Network) received from a routing table holding an IP address search surface for searching an IP (Internet Protocol) address for each VPN-ID (Virtual Private Network identification) in advance. ) A VPN-ID number is allocated from VLAN-ID (Virtual Bridged Local Area Network identification) information of a frame, an IP address search surface corresponding to the corresponding VPN-ID is selected, and routing is performed only within the IP address search surface. By doing so, there is an effect that the closed area as an intranet can be maintained in the dedicated line.
[Brief description of the drawings]
FIG. 1 is a block diagram illustrating a configuration of a routing device according to an embodiment of the present invention.
FIG. 2 is a diagram showing a VPN relationship in an interface between networks according to an embodiment of the present invention.
FIG. 3 is a diagram illustrating a configuration example of a routing table in FIG. 1;
FIG. 4 is a flowchart illustrating an operation of an L2 switch processing unit in FIG. 1;
FIG. 5 is a flowchart illustrating an operation of an L3 switch processing unit in FIG. 1;
[Explanation of symbols]
1 L2 switch processing unit 2 L3 switch processing unit 11-1 to 11-m Ports 12-1 to 12-n Ports (VLAN # 1 to VLAN #n)
21 filter unit 22 IP address search plane selection unit 23 routing table

Claims (6)

予めVPN−ID(Virtual Private Network identification)毎にIP(Internet Protocol)アドレス検索するIPアドレス検索面を保持するルーティングテーブルと、受信したLAN(Local Area Network)フレームのVLAN−ID(Virtual bridged Local Area Network identification)情報からVPN−ID番号を割り当ててその該当するVPN−IDに対応するIPアドレス検索面を前記ルーティングテーブルから選択する手段と、その選択したIPアドレス検索面内でのみルーティングを行うルーティング手段とを有し、
前記ルーティングテーブルと前記IPアドレス検索面を前記ルーティングテーブルから選択する手段と前記ルーティング手段とをレイヤ3スイッチ処理手段に配設したことを特徴とするルーティング装置。A routing table that holds an IP address search surface for searching for an IP (Internet Protocol) address for each VPN-ID (Virtual Private Network identification), and a VLAN-ID (Virtual Network Alarm) of a received LAN (Local Area Network) frame means for allocating a VPN-ID number from identification information and selecting an IP address search plane corresponding to the VPN-ID from the routing table, and routing means for performing routing only within the selected IP address search plane. have a,
A routing device, wherein a means for selecting the routing table and the IP address search surface from the routing table and the routing means are arranged in a layer 3 switch processing means . 前記LANフレームを受信する複数のポートと、前記VLAN−IDに対応して設けられかつ前記ルーティング手段のルーティング結果に対応するVLANに前記LANフレームを送信するためのポートとを持つレイヤ2スイッチ処理手段を含み、前記受信したLANフレームのVLAN−ID情報からVPN−ID番号を割り当てるようにしたことを特徴とする請求項1記載のルーティング装置。Layer 2 switch processing means having a plurality of ports for receiving the LAN frame and ports provided for the VLAN-ID and for transmitting the LAN frame to a VLAN corresponding to the routing result of the routing means 2. The routing apparatus according to claim 1 , wherein a VPN-ID number is assigned from VLAN-ID information of the received LAN frame. MAC(Media Access Control)アドレスのフィルタリングを行うフィルタ手段を前記レイヤ3スイッチ処理手段に含むことを特徴とする請求項1または請求項2記載のルーティング装置。3. The routing device according to claim 1 , wherein the layer 3 switch processing unit includes a filter unit for filtering a MAC (Media Access Control) address. 予めVPN−ID(Virtual Private Network identification)毎にIP(Internet Protocol)アドレス検索するIPアドレス検索面を保持するルーティングテーブルの中から、受信したLAN(Local Area Network)フレームのVLAN−ID(Virtual bridged Local Area Network identification)情報からVPN−ID番号を割り当ててその該当するVPN−IDに対応するIPアドレス検索面を選択するステップと、そのIPアドレス検索面内でのみルーティングを行うステップとを有し、
前記ルーティングテーブルからの前記IPアドレス検索面の選択と、そのIPアドレス検索面内でのみルーティングとをレイヤ3スイッチ処理手段で行うようにしたことを特徴とする仮想私設網方式。From a routing table holding an IP address search surface for searching for an IP (Internet Protocol) address for each VPN-ID (Virtual Private Network identification), a received LAN (Local Area Network) frame of a received LAN (Local Area Network) frame is used. Area Network identification) assigns a VPN-ID number from the information possess selecting an IP address search plane corresponding to the VPN-ID of the relevant, and performing routing only at its IP address search plane,
A virtual private network system , wherein the selection of the IP address search plane from the routing table and the routing only within the IP address search plane are performed by a layer 3 switch processing means . 前記LANフレームを受信する複数のポートと、前記VLAN−IDに対応して設けられかつ前記ルーティング手段のルーティング結果に対応するVLANに前記LANフレームを送信するためのポートとを持つレイヤ2スイッチ処理手段で前記受信したLANフレームのVLAN−ID情報からVPN−ID番号を割り当てるようにしたことを特徴とする請求項4記載の仮想私設網方式。Layer 2 switch processing means having a plurality of ports for receiving the LAN frame and ports provided for the VLAN-ID and for transmitting the LAN frame to a VLAN corresponding to the routing result of the routing means 5. The virtual private network system according to claim 4 , wherein a VPN-ID number is assigned from VLAN-ID information of the received LAN frame. MAC(Media Access Control)アドレスのフィルタリングを前記レイヤ3スイッチ処理手段で行うようにしたことを特徴とする請求項4または請求項5記載の仮想私設網方式。6. The virtual private network system according to claim 4 , wherein filtering of a MAC (Media Access Control) address is performed by the layer 3 switch processing means.
JP2000198058A 2000-06-30 2000-06-30 Routing device and virtual private network system used therefor Expired - Lifetime JP3570349B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000198058A JP3570349B2 (en) 2000-06-30 2000-06-30 Routing device and virtual private network system used therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000198058A JP3570349B2 (en) 2000-06-30 2000-06-30 Routing device and virtual private network system used therefor

Publications (2)

Publication Number Publication Date
JP2002016640A JP2002016640A (en) 2002-01-18
JP3570349B2 true JP3570349B2 (en) 2004-09-29

Family

ID=18696278

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000198058A Expired - Lifetime JP3570349B2 (en) 2000-06-30 2000-06-30 Routing device and virtual private network system used therefor

Country Status (1)

Country Link
JP (1) JP3570349B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040235469A1 (en) * 2003-05-21 2004-11-25 Krug William P. High bandwidth open wired network
JP3778446B2 (en) * 2003-06-20 2006-05-24 エヌ・ティ・ティ・コミュニケーションズ株式会社 Ethernet switch
CN1697408B (en) * 2004-05-14 2010-04-28 华为技术有限公司 Method for managing routes in virtual private network based on IPv6
CN100446503C (en) * 2005-03-22 2008-12-24 杭州华三通信技术有限公司 Enhanced VPN network optimization method and apparatus
JP4186971B2 (en) 2005-09-01 2008-11-26 富士通株式会社 Packet transfer device
JP4706542B2 (en) * 2006-04-10 2011-06-22 株式会社日立製作所 Communication device
CN101483594A (en) * 2009-02-11 2009-07-15 成都市华为赛门铁克科技有限公司 Packet sending method and customer terminal based on virtual private network tunnel
WO2011037104A1 (en) 2009-09-24 2011-03-31 日本電気株式会社 Identification system for inter-virtual-server communication and identification method for inter-virtual-server communication
JP5350333B2 (en) * 2010-06-28 2013-11-27 アラクサラネットワークス株式会社 Packet relay apparatus and network system
CN102739506B (en) * 2011-04-13 2015-09-09 李小林 VPN traffic is carried out to the method for transparent transmission

Also Published As

Publication number Publication date
JP2002016640A (en) 2002-01-18

Similar Documents

Publication Publication Date Title
US6914905B1 (en) Method and system for VLAN aggregation
EP0980167B1 (en) Apparatus and methods for routerless layer 3 forwarding in a network
JP4183379B2 (en) Network and edge router
JP4332033B2 (en) Layer 3 / layer 7 firewall implementation method and apparatus in L2 device
US6167052A (en) Establishing connectivity in networks
US8576840B2 (en) Assigning packets to a network service
EP1341349B1 (en) Method and apparatus for routing data frames
JP3570349B2 (en) Routing device and virtual private network system used therefor
US20030210696A1 (en) System and method for routing across segments of a network switch
EP1646188B1 (en) A method for ethernet network service safety isolation
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging
Cisco Configuring Transparent Bridging

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040310

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040316

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040419

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040601

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040614

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3570349

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070702

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080702

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090702

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100702

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110702

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110702

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120702

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120702

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130702

Year of fee payment: 9

EXPY Cancellation because of completion of term