JP4202286B2 - Vpn接続制御方法及びシステム - Google Patents
Vpn接続制御方法及びシステム Download PDFInfo
- Publication number
- JP4202286B2 JP4202286B2 JP2004061809A JP2004061809A JP4202286B2 JP 4202286 B2 JP4202286 B2 JP 4202286B2 JP 2004061809 A JP2004061809 A JP 2004061809A JP 2004061809 A JP2004061809 A JP 2004061809A JP 4202286 B2 JP4202286 B2 JP 4202286B2
- Authority
- JP
- Japan
- Prior art keywords
- subscriber network
- transfer device
- identifier
- vlan
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、複数のネットワークを接続して広域なネットワークサービスを提供するネットワークシステムの技術に関し、特に、多数のイーサネット(登録商標)技術を有するネットワークをグループ化することにより、そのグループ内で仮想的に閉域な接続を提供し、さらに、グループ間の相互接続を提供するVPN(Virtual Private Network)サービスに好適なイーサネット(登録商標)通信におけるVPN接続制御技術に関するものである。
現在、LAN(Local Area Network)技術をWAN(Wide Area Network)サービスに展開したレイヤ2VPNサービス(広域イーサネット(登録商標)サービス)が、企業のイントラネット構築のために広く用いられている。このレイヤ2VPNサービスは、特にレイヤ3以上のプロトコルがレイヤ3VPN(IP(Internet Protocol)−VPN)のようにIPに限定されないこと、及び加入者拠点に設置される装置とサービスプロバイダ側に設置される装置とがレイヤ2の機能までを実現するため、価格が安く、設定及び運用コストが低いことから、従来のレイヤ3VPNサービス(IP−VPNサービス)に置き換わってきている。レイヤ2VPNサービスは、レイヤ2におけるCUG(Closed User Group)通信を行うためのVLAN(Vertual LAN)タグを階層化することによって、プロバイダが定義する企業単位のCUGとユーザが定義するイントラネット内のCUGとを階層的に構成することができる。
ここで、CUG内でセキュアな通信を実現する必要性から、CUGをVLANタグにより論理的に分離したいという要求がある。また、業務フローの効率化を図るために、社内の複数の部署や社外におけるCUG間で通信を行いたいという要求もある。
しかしながら、従来は、それぞれのCUGが、VLANにより固定的に分離されているため、ルータやレイヤ3スイッチ等のレイヤ3転送機能を有する装置を設定し、CUG間を相互に接続する必要があった。この場合、接続されるCUG対毎に物理的または論理的なルータが必要となるため、加入者側は設備投資が増加し、プロバイダ側はサービス提供コストが増大するという問題があった。また、レイヤ2VPNサービスは、レイヤ3以上のプロトコルを自由に選択または組み合わせて使用できるという利点があるが、レイヤ3による接続サービスを提供するとなると、特定のレイヤ3プロトコル(例えば、IP)以外のプロトコルを使用して通信を行うことができなくなるという問題があった。
これに対して、例えば、レイヤ2によるCUG間の接続を可能にする改良技術が、本出願時に未公開である特許出願の特許請求の範囲及び明細書に記載されている(特願2004−9482号公報の請求項8及び9を参照)。具体的には、プロバイダ網におけるレイヤ2のエッジ転送装置において、加入者網からユーザMACフレームを受信した場合に、当該フレームにおける加入者ポートとVLANタグとにより、接続するVPNと当該VPN内のVLANとを選択する。
しかし、前述の改良技術では、VPN接続設定が固定的である。そのため、当該レイヤ2VPNサービスに加入している任意のユーザが任意の加入者網から特定のVPNへの接続を可能にするサービスを提供するには、加入者網装置及びプロバイダ網装置に対して、VPNサービスを提供している全てのVPN/VLANの設定を予め行う必要があり、管理コストの低減やスケーラビリティの向上が困難であった。
また、前述のサービス(ユーザが任意の加入者網から特定のVPNへと接続を可能にするサービス)を提供するために、動的なVPN/VLAN接続制御を実現する技術が開示されている。例えば、ユーザの生理学的特性または行動特性を検査することにより、バイオメトリックシステムが、ユーザの識別を確認し、ユーザによりアクセス可能なVLANをユーザ識別データとして決定し、当該ユーザ識別データをスイッチングノードに提供する。これにより、そのVLANに対応するネットワークインターフェースを使用することが可能になる(例えば、特許文献1を参照。)。
しかし、この動的なVPN/VLAN接続制御を実現する技術では、加入者網装置がVPN/VLANの接続制御を行うため、異なるVPN間でVLAN−IDが重複した場合には、それらのVLAN−IDを区別することができないという問題があった。
また、通信端末の接続時に、網内情報管理装置が、通信端末から通知された認証情報と、アクセス認証情報管理データベースに格納されている認証情報とを比較し、当該通信端末が正規ユーザであることを確認した場合には、空き状態にあるVLAN−IDを網内識別子として設定し、そして、無線アクセスポイントまたはエッジスイッチが、前記通信端末から送信されたデータフレームに前記VLAN−IDを登録する技術が開示されている(例えば、特許文献2を参照。)。
しかし、前述の技術では、網が通信端末に割り当てるVLAN−IDを管理するため、VPN毎にユーザ独自のVLAN−IDを構成することができなかった。また、VPN毎にVLAN−IDを管理し払い出す機能を網に追加したとしても、同一の加入者網に異なるVPNの通信端末が接続され、当該通信端末におけるそれぞれのVLAN−IDが重複した場合には、前記通信端末の通信を区別することができないという問題があった。
そこで、本発明は、上記の問題を解決するためになされたものであり、その目的は、レイヤ2VPNサービスに加入している任意のユーザによる認証や切断の要求に連携して、加入者網内のVLAN識別子を動的に割り当て及び解放することにより、任意の加入者網から特定のVPNにおける特定のユーザ独自のVLANへの接続や切断を可能とするVPN接続制御方法及びシステムを提供することにある。
本発明では、上記課題を解決するために、認証サーバに、ユーザの認証情報として、ユーザが接続権限を有する接続先VPN識別子と接続先VLAN識別子とを保持する機能と、通知される認証要求に応じて、前記接続先VPN識別子及び接続先VLAN識別子を含む認証応答をエッジ転送装置へ通知する機能とを備えさせる。
また、加入者網転送装置に、ユーザ端末から送信されたレイヤ2VPN接続を行う認証要求に応じて、当該加入者網において未使用の加入者網内VLAN識別子を生成する機能と、前記ユーザ端末が接続されているユーザ端末側ポートまたはユーザ端末の識別子と、加入者網内VLAN識別子とを対応付けて管理する機能と、ユーザ端末から送信されたレイヤ2VPN接続の切断を行う切断要求に応じて、前記ユーザ端末が接続されているユーザ端末側ポートまたはユーザ端末の識別子と対応付けて管理している加入者網内VLAN識別子を解放する機能と、当該加入者網転送装置に接続されているユーザ端末の識別子を保持する機能と、ユーザ端末からのユーザMACフレームを所定時間の間受信しない場合に、前記ユーザ端末の識別子を抽出し、当該ユーザ端末識別子と対応付けて管理している加入者網内VLAN識別子を解放する機能と、加入者網内VLAN識別子をエッジ転送装置へ通知する機能とを備えさせる。
また、エッジ転送装置に、加入者網転送装置から通知された加入者網内VLAN識別子を認証サーバへ通知する機能と、加入者網転送装置から通知された加入者網内VLAN識別子と、認証サーバから通知された接続先VPN識別子及び接続先VLAN識別子とを対応付けて管理する機能と、加入者網転送装置から通知された加入者網内VLAN識別子と対応付けて管理している接続先VPN識別子及び接続先VLAN識別子を解放する機能とを備えさせる。
本発明によれば、予め接続設定がなされていないユーザ端末からの認証要求に連携して加入者網内VLAN識別子を割り当て、当該加入者網内VLAN識別子と接続先のVPN/VLANとを変換設定することにより、全ての加入者網転送装置及びエッジ転送装置に対して、VPNサービスを提供する全てのVPN/VLANの設定を予め行うことなく、任意の加入者網から任意のVLANへの接続が可能となる。
また、本発明によれば、ユーザ端末からの切断要求に連携して加入者網内LAN識別子を解放することにより、他のユーザ端末が解放された加入者網内LAN識別子を再利用することができるため、その加入者網から接続することが可能なVPN/VLANの数が、VLANの表現により制限されている加入者網内LAN識別子の制限数である4094個を有効に活用することが可能となる。
また、ユーザ端末からのユーザMACフレームが受信される間隔を監視し、所定時間の間受信しない場合にはユーザ端末がダウンしていると判断し、VPN/VLAN接続設定の解除を行うことにより、ユーザ端末が切断要求を行わない場合であっても、ユーザ端末のダウンを検知し、加入者網内のVLANの解放を行うことが可能となる。
本発明によれば、全ての加入者網転送装置及びエッジ転送装置に対して、VPNサービスを提供する全てのVPN/VLANの設定を予め行う必要がない。また、加入者網内のユーザ端末が未接続である場合には、加入者網内VLAN識別子を占有することはない。また、ユーザ端末がダウンした場合にも、当該ユーザ端末に対するVPN/VLAN接続設定が残存することはない。
以下、添付の図面を参照して、本発明の実施の形態における構成及び動作を説明する。
〔構成の説明〕
図1は、本発明の一実施形態であるVPN接続制御方法及びシステムの適用場面を示した構成図である。図中、コア網1は、複数のエッジ転送装置3A,3B、及び当該エッジ転送装置3A,3Bと接続される認証サーバ6を備えている。各エッジ転送装置3は、複数の加入者網転送装置4との間でアクセス網2を構成する。加入者網5Aは、加入者網転送装置4Aを介してエッジ転送装置3Aと接続され、加入者網5Bは、加入者網転送装置4Bを介してエッジ転送装置3Aと接続され、加入者網5Cは、加入者網転送装置4Cを介してエッジ転送装置3Bと接続され、加入者網5Dは、加入者網転送装置4Dを介してエッジ転送装置3Bと接続される。また、加入者網5Aは、加入者が独自に使用しているVLANである加入者VLAN5A−1,5A−2を、加入者網5Bは加入者VLAN5B−1,5B−2を、加入者網5Cは加入者VLAN5C−1,5C−2を、加入者網5Dは加入者VLAN5D−1,5D−2をそれぞれ構成する。
〔構成の説明〕
図1は、本発明の一実施形態であるVPN接続制御方法及びシステムの適用場面を示した構成図である。図中、コア網1は、複数のエッジ転送装置3A,3B、及び当該エッジ転送装置3A,3Bと接続される認証サーバ6を備えている。各エッジ転送装置3は、複数の加入者網転送装置4との間でアクセス網2を構成する。加入者網5Aは、加入者網転送装置4Aを介してエッジ転送装置3Aと接続され、加入者網5Bは、加入者網転送装置4Bを介してエッジ転送装置3Aと接続され、加入者網5Cは、加入者網転送装置4Cを介してエッジ転送装置3Bと接続され、加入者網5Dは、加入者網転送装置4Dを介してエッジ転送装置3Bと接続される。また、加入者網5Aは、加入者が独自に使用しているVLANである加入者VLAN5A−1,5A−2を、加入者網5Bは加入者VLAN5B−1,5B−2を、加入者網5Cは加入者VLAN5C−1,5C−2を、加入者網5Dは加入者VLAN5D−1,5D−2をそれぞれ構成する。
ここで、認証サーバ6は、ユーザの認証情報として、ユーザが接続権限を有するVPN識別子とVLAN識別子を保持する。また、認証サーバ6は、加入者網5内のユーザ端末からの認証要求に応じて、前記VPN識別子とVLAN識別子をプロバイダ網内のVPN識別子(P−VPN識別子)とプロバイダ網内のVLAN識別子(P−VLAN識別子)として扱い、当該P−VPN識別子とP−VLAN識別子をエッジ転送装置3へ通知する機能を有する。
図2は、本発明を実施する加入者網転送装置4の内部構成図である。図中、加入者網転送装置4は、ユーザ端末との間でユーザMACフレームを送受信する複数の端末側ポート(加入者網側ポート)10A,10B、エッジ転送装置3との間でユーザMACフレームを送受信する単一のアクセス網側ポート11、VLANテーブル12、未使用VLANスタック13、接続制御部14、エージング機能部15及び転送部16を備えている。尚、前記ユーザMACフレームは、IEEE802標準に準拠したフレームである。
VLANテーブル12は、図4(1)に示すように、「ユーザ端末識別子」と「加入者網内VLAN識別子(U−VLAN識別子)」とを対応付けて管理する機能を有する。
未使用VLANスタック13は、当該加入者網転送装置4が設置されている加入者網5内において使用されていないU−VLANの識別子を保持する機能を有する。
接続制御部14は、ユーザ端末から認証要求を受信した場合に、未使用VLANスタック13から1つのU−VLAN識別子を取得し、VLANテーブル12に対して、当該ユーザ端末の識別子とU−VLAN識別子とを対応付けて管理させる機能を有する。また、接続制御部14は、未使用VLANスタック13から取得したU−VLAN識別子を認証要求に記述し、エッジ転送装置3へプロキシする機能を有する。
さらに、接続制御部14は、ユーザ端末から切断要求を受信した場合に、VLANテーブル12から当該ユーザ端末の識別子と対応付けられたU−VLAN識別子を取得し、当該U−VLAN識別子を未使用VLANスタック13に保持させ、VLANテーブル12から前記ユーザ端末識別子及びU−VLAN識別子を削除する機能を有する。また、接続制御部14は、未使用VLANスタック13に保持させたU−VLAN識別子を切断要求に記述し、エッジ転送装置3へプロキシする機能を有する。
エージング機能部15は、加入者網転送装置4がユーザ端末からユーザMACフレームを最後に受信してからの時間を、ユーザ端末の識別子毎に計時して管理し、当該時間が所定の閾値を超えた場合には、当該ユーザ端末の識別子をVLANテーブル12において保持しているか否かを検査する機能を有する。エージング機能部15は、当該ユーザ端末識別子を保持していると判断した場合には、当該ユーザ端末識別子と対応付けられたU−VLAN識別子を未使用VLANスタック13に保持させ、VLANテーブル12から前記ユーザ端末識別子及びU−VLAN識別子を削除する機能を有する。また、エージング機能部15は、未使用VLANスタック13に保持させたU−VLAN識別子を含む解放要求をエッジ転送装置3へ通知する機能を有する。
転送部16は、アドレス学習により、ユーザMACフレームの送信先MACアドレスに応じたポート番号を保持する転送テーブル16−1を備え、ユーザMACフレームを転送すべきポート番号を当該転送テーブル16−1を用いて決定し、そのポートへユーザMACフレームを転送する機能を有する。
また、転送部16は、端末側ポート10からユーザMACフレームを受信した場合に、当該ユーザMACフレームの送信元MACアドレスをキーとしてVLANテーブル12を検索し、ヒットしたエントリのU−VLAN識別子をVLANタグとしてユーザMACフレームに付加する機能を有する。また、転送部16は、転送テーブル16−1を用いて決定したポート番号が端末側ポート10であった場合には、受信したユーザMACフレームからVLANタグを外して転送する機能を有する。
さらに、転送部16は、アクセス網側ポート11からユーザMACフレームを受信した場合に、当該ユーザMACフレームを転送するポートを転送テーブル16−1を用いて決定し、当該ポートが端末側ポート10であった場合には、受信したユーザMACフレームからVLANタグを外して転送する機能を有する。
図3は、本発明を実施するエッジ転送装置3の内部構成図である。図中、エッジ転送装置3は、加入者網転送装置4との間でユーザMACフレームを送受信する複数の加入者側ポート20A,20B、コア網1との間で中継MACフレームを送受信する複数のコア網側ポート21A,21B、VPN/VLAN変換テーブル22、接続制御部23及び転送部24を備えている。
VPN/VLAN変換テーブル22は、図4(2)に示すように、「加入者側ポート番号」及び「U−VLAN識別子」と、「P−VPN識別子」及び「P−VLAN識別子」とを対応付けて管理する機能を有する。
接続制御部23は、加入者網転送装置4から認証要求を受信した場合に、当該認証要求を受信した加入者側ポート20のポート番号を「加入者側ポート番号」とし、認証要求に記述されたU−VLAN識別子を「U−VLAN識別子」とし、VPN/VLAN変換テーブル22に新たなエントリを作成する機能と、当該認証要求を認証サーバ6へプロキシする機能とを有する。
また、接続制御部23は、認証サーバ6から認証応答を受信した場合に、当該認証応答に記述されたVPN識別子及びVLAN識別子を、前記エントリの「P−VPN識別子」及び「P−VPN識別子」としてVPN/VLAN変換テーブル22に保持させる機能と、当該認証応答を加入者網転送装置4へプロキシする機能とを有する。
また、接続制御部23は、加入者網転送装置4から切断要求を受信した場合に、当該切断要求を受信した加入者側ポート20のポート番号と認証要求に記述されたU−VLAN識別子とをキーとしてVPN/VLAN変換テーブル22を検索し、ヒットしたエントリを削除する機能と、当該切断要求を認証サーバ6へプロキシする機能とを有する。
さらに、接続制御部23は、加入者網転送装置4から解放要求を受信した場合に、当該解放要求を受信した加入者側ポート20のポート番号と解放要求に記述されたU−VLAN識別子とをキーとしてVPN/VLAN変換テーブル22を検索し、ヒットしたエントリを削除する機能を有する。
転送部24は、加入者側ポート20からユーザMACフレームを受信した場合に、当該加入者側ポート20のポート番号とユーザMACフレームのVLANタグとをキーとしてVPN/VLAN変換テーブル22を検索する機能、及び受信したユーザMACフレームの転送先を決定する機能を有する。また、転送部24は、転送先がコア網1である場合には、前記検索でヒットしたエントリのP−VLAN識別子をユーザMACフレームのVLANタグと置換し、当該エントリのP−VPN識別子をVPNタグとしてユーザMACフレームに付加し、前記置換及び付加したユーザMACフレームを中継MACフレームとして作成する機能、及び当該中継MACフレームをコア網側ポート21を介してコア網1へ転送する機能を有する。また、転送部24は、転送先が加入者網5である場合には、前記検索でヒットしたエントリのP−VLAN識別子をユーザMACフレームのVLANタグと置換し、当該置換したユーザMACフレームを加入者網転送装置4へ転送する機能を有する。
また、転送部24は、コア網側ポート21から中継MACフレームを受信した場合に、当該中継MACフレームのVPNタグ及びVLANタグをキーとしてVPN/VLAN変換テーブル22を検索する機能を有する。また、転送部24は、ヒットしたエントリのU−VLAN識別子を中継MACフレームのVLANタグと置換し、中継MACフレームからVPNタグを外し、中継MACフレームをユーザMACフレームとして作成する機能と、当該ユーザMACフレームを加入者側ポート20を介して加入者網転送装置4へ転送する機能を有する。
〔動作の説明〕
図5は、本発明の一実施形態であるVPN接続制御方法及びシステムの適用場面を示した動作を説明する図である。図5に示すネットワークの構成は図1に示した構成と同等であり、同じ機能を有する網または装置等には同一の番号を付す。図中、加入者網転送装置4Aは、エッジ転送装置3Aの加入者側ポート20A(ポート番号「1」)に接続され、加入者網転送装置4Bは、エッジ転送装置3Aの加入者側ポート20B(ポート番号「2」)に接続される。また、加入者網5A及び加入者網5CはVPN100を構成し、加入者網5B及び加入者網5DはVPN200を構成する。
図5は、本発明の一実施形態であるVPN接続制御方法及びシステムの適用場面を示した動作を説明する図である。図5に示すネットワークの構成は図1に示した構成と同等であり、同じ機能を有する網または装置等には同一の番号を付す。図中、加入者網転送装置4Aは、エッジ転送装置3Aの加入者側ポート20A(ポート番号「1」)に接続され、加入者網転送装置4Bは、エッジ転送装置3Aの加入者側ポート20B(ポート番号「2」)に接続される。また、加入者網5A及び加入者網5CはVPN100を構成し、加入者網5B及び加入者網5DはVPN200を構成する。
加入者網5Aには、U−VLAN「10」である端末5A−11(MACアドレス:mac−a1)が接続されており、端末5A−21(MACアドレス:mac−a2)は未だ接続されていないものとする。従って、端末5A−21にはU−VLANが割り当てられていない。また、加入者網5Bには、U−VLAN「10」である端末5B−11(MACアドレス:mac−b1)及びU−VLAN「20」である端末5B−21(MACアドレス:mac−b2)が接続され、加入者網5Cには、U−VLAN「10」である端末5C−11(MACアドレス:mac−c1)及びU−VLAN「20」である端末5C−21(MACアドレス:mac−c2)が接続され、加入者網5Dには、U−VLAN「10」である端末5D−11(MACアドレス:mac−d1)及びU−VLAN「20」である端末5D−21(MACアドレス:mac−d2)が接続されているものとする。
ここで、端末5A−21を使用するユーザのユーザID(u−ID)が「××」であり、当該ユーザは、VPN「200」VLAN「10」への接続権限を有しているものとする。すなわち、認証サーバ6の認証情報テーブル30に、「u−ID/××」「VPN識別子/200」「VLAN識別子/10」が保持されている。また、認証サーバ6をRadius(Remote autehntication dial−in user service)サーバとする。
図6は、ユーザ「××」が端末5A−21を用いて接続認証を行う前における、加入者網転送装置4AのVLANテーブル12及び未使用VLANスタック13、並びにエッジ転送装置3AのVPN/VLAN変換テーブル22の構成図である。VLANテーブル12は、加入者網5A内の端末であって既に接続認証済みの端末5A−11について、「ユーザ端末識別子」として端末5A−11のmacアドレス「mac−a1」を、「U−VLAN識別子」として端末5A−11のVLAN「10」をそれぞれ保持し、「ユーザ端末識別子/mac−a1」と「U−VLAN識別子/10」とを対応付けて管理している。一方、未接続である端末5A−21については、エントリを保持していない。
未使用VLANスタック13は、加入者網5A内で使用されているU−VLAN識別子「10」以外の識別子を保持している。
VPN/VLAN変換テーブル22は、加入者網5A内の端末であって既に接続認証済みの端末5A−11について、「加入者側ポート番号」として加入者網転送装置4Aが接続されているポート番号「1」を、「U−VLAN識別子」として端末5A−11のU−VLAN「10」を、「P−VPN識別子」として端末5A−11のP−VPN「100」を、「P−VLAN識別子」として端末5A−11のP−VLAN「10」をそれぞれ保持し、「加入者側ポート番号/1」及び「U−VLAN識別子/10」と、「P−VPN識別子/100」及び「P−VLAN識別子/10」とを対応付けて管理している。また、加入者網5B内の既に接続認証済みの端末5B−11について、「加入者側ポート番号/2」及び「U−VLAN識別子/10」と、「P−VPN識別子/200」及び「P−VLAN識別子/10」とを対応付けて管理している。また、加入者網5B内の既に接続認証済みの端末5B−21について、「加入者側ポート番号/2」及び「U−VLAN識別子/20」と、「P−VPN識別子/200」及び「P−VLAN識別子/20」とを対応付けて管理している。
図7は、認証サーバ6に備えた認証情報テーブル30の構成図である。認証情報テーブル30は、ユーザ「××」のエントリに、ユーザ「××」が接続権限を有する「VPN識別子」としてVPN「200」を、「VLAN識別子」としてVLAN「10」をそれぞれ保持し、管理している。
次に、ユーザ「××」が端末5A−21を加入者網転送装置4Aに接続し、Radius認証要求を行う場合の動作について説明する。加入者網転送装置4Aは、端末5A−21からRadius認証要求を受信する。加入者網転送装置4Aの接続制御部14は、未使用VLANスタック13からVLAN「20」を取得し、図8のVLANテーブル12に示すように、端末5A−21の識別子「mac−a2」と対応付けて保持させる。さらに、接続制御部14は、VLAN「20」をRadius認証要求のVSA(Vender Specific Attribute)に記述し、エッジ転送装置3Aへプロキシする。
エッジ転送装置3Aは、加入者網転送装置4AからRadius認証要求を受信する。エッジ転送装置3Aの接続制御部23は、VPN/VLAN変換テーブル22に、Radius認証要求を受信した加入者側ポート20Aのポート番号「1」と、Radius認証要求のVSAに記述されたVLAN「20」とを保持させる。さらに、接続制御部23は、Radius認証要求を認証サーバ6へプロキシする。
認証サーバ6は、エッジ転送装置3AからRadius認証要求を受信する。認証サーバ6は、U−ID「××」をキーとして認証情報テーブル30を検索し、ヒットしたVPN識別子「200」VLAN識別子「10」をRadius認証応答のVSAに記述し、エッジ転送装置3Aへ認証応答する。
エッジ転送装置3Aは、認証サーバ6からRadius認証応答を受信する。エッジ転送装置3Aの接続制御部23は、図8のVPN/VLAN変換テーブル22に示すように、Radius認証応答のVSAに記述されたVPN「200」及びVLAN「10」を、VPN/VLAN変換テーブル22における前記エントリの「P−VPN識別子」及び「P−VLAN識別子」に保持させる。さらに、エッジ転送装置3Aは、Radius認証応答を加入者網転送装置4Aへプロキシする。
加入者網転送装置4Aは、エッジ転送装置3AからRadius認証応答を受信する。加入者網転送装置4Aの転送部16は、Radius認証応答を端末5A−21へプロキシする。
以上の動作により、予め接続設定がなされていない端末5A−21についても、認証と連携して、動的に接続制御を行うことが可能となる。これにより、全ての加入者網転送装置4とエッジ転送装置3に対して、VPNサービスを提供する全てのVPN/VLANの設定を予め行う必要があるという従来の問題を解決することができる。また、異なるVPN間においてVLAN識別子の重複を許容することができる。
次に、ユーザ「××」が端末5A−21を用いてRadius切断要求を行う場合の動作について説明する。加入者網転送装置4Aは、加入者網5−21からRadius切断要求を受信する。加入者網転送装置4Aの接続制御部14は、図8に示したVLANテーブル12において、端末5A−21の識別子「mac−a2」と対応付いているVLAN「20」を未使用VLANスタック13に保持させ、VLANテーブル12の当該エントリを削除し、未使用VLANスタック13に保持させたVLAN「20」をRadius切断要求のVSAに記述し、エッジ転送装置3Aへプロキシする。
エッジ転送装置3Aは、加入者網転送装置4AからRadius切断要求を受信する。エッジ転送装置3Aの接続制御部23は、Radius認証要求を受信した加入者側ポート20のポート番号「1」と、Radius認証要求のVSAに記述されたVLAN「20」とをキーとして図8に示したVPN/VLAN変換テーブル22を検索し、ヒットしたエントリを削除する(図6のVPN/VLAN変換テーブル22を参照)。さらに、接続制御部23は、Radius切断要求を認証サーバ6にプロキシする。
以上の動作により、端末5A−21からの切断要求と連携して、加入者網5A内のVLANの解放と、VPN接続の切断とを行うことが可能となる。これにより、加入者網5A内の端末5A−21が未接続のときにVLANを占有することはない。
次に、Radius切断要求がなされずに、端末5A−21がダウンした場合の動作について説明する。加入者網転送装置4Aのエージング機能部15は、端末5A−21からのユーザMACフレームを、所定の閾値以上の時間受信していないことを検知する。エージング機能部15は、図8に示したVLANテーブル12がユーザ端末識別子「mac−a2」を保持しているか否かを検査し、当該識別子を保持しているので、当該エントリのVLAN識別子「20」を未使用VLANスタック13に保持させ、VLANテーブル12の当該エントリを削除する(図6のVLANテーブル12を参照)。そして、エージング機能部15は、未使用VLANスタック13に保持させたVLAN識別子「20」を解放要求に記述し、エッジ転送装置3Aへ通知する。
エッジ転送装置3Aは、加入者網転送装置4Aから解放要求を受信する。エッジ転送装置3Aの接続制御部23は、解放要求を受信した加入者側ポート20のポート番号「1」と、解放要求に記述されたVLAN「20」とをキーとして図8に示したVPN/VLAN変換テーブル22を検索し、ヒットしたエントリを削除する(図6のVPN/VLAN変換テーブル22を参照)。
以上の動作により、端末5A−21が切断要求を行わない場合であっても、端末5A−21のダウンを検知し、加入者網5A内のVLANの解放と、VPN接続の切断とを行うことが可能となる。これにより、ダウンした端末5A−21に対するVPN/VLAN接続設定が残存することはない。
上記のエッジ転送装置3、加入者網転送装置4及び認証サーバ6は、CPU、RAM等の揮発性の記憶媒体、ROM等の不揮発性の記憶媒体、キーボードやポインティングデバイス等の入力装置、画像やデータを表示するモニタ装置、及び外部の装置と通信をするためのインタフェースを備えたコンピュータ装置によってそれぞれ構成されるようにしてもよい。この場合、エッジ転送装置3に備えたVPN/VLAN変換テーブル22、接続制御部23及び転送部24、加入者網転送装置4に備えたVLANテーブル12、未使用VLANスタック13、接続制御部14、エージング機能部15及び転送部16、並びに認証サーバ6に備えた各機能は、これらの機能を記述したプログラムをCPUに実行させることにより実現される。また、これらのプログラムは、磁気ディスク(フロッピィーディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリ等の記憶媒体に格納して頒布することもできる。
以上、実施形態を挙げて本発明を説明したが、上記の説明は、本発明の理解を助けるものであって、本発明の特許請求の範囲を制限するものではない。従って、本発明の要旨を逸脱しない限り、種々変形が可能であり、本発明の目的を達し、効果を奏する範囲において、適宜変更して実装等することが可能である。
例えば、上記の実施形態においては、加入者網5内のLAN数を2に、加入者網転送装置4の数を4に、エッジ転送装置3の数を2に、加入者側ポート20の数を2にしたが、それぞれの数を制限するものではない。また、加入者網転送装置4からエッジ転送装置3へのU−VLAN識別子の通知や、認証サーバ6からエッジ転送装置3へのP−VPN識別子及びP−VLAN識別子の通知をRadiusプロトコルの機能を用いて実現したが、通知方法を制限するものではない。また、加入者網転送装置4のVLANテーブル12は、ユーザ端末識別子とU−VLAN識別子とを対応付けて管理するようにしたが、加入者網転送装置4の端末側ポート10のポート番号とU−VLAN識別子とを対応付けて管理するようにしてもよい。
また、図1及び5に示した加入者網転送装置4とエッジ転送装置3とは、加入者網転送装置4のアクセス網側ポート11及びエッジ転送装置3の加入者側ポート20により1つのポートを介して接続するようにしたが、複数のポートを介して接続するようにしてもよい。また、認証サーバ6は、認証要求に応じて、保持しているVPN識別子及びVLAN識別子を、接続先のプロバイダ網内のVPN識別子及びVLAN識別子として扱うようにしたが、プロバイダ網に限定するものではなく、接続先である他の通信網内の識別子として扱うようにしてもよい。また、その他の形式についても、上記の実施形態に制限されるものではない。
1 コア網
2 アクセス網
3,3A,3B エッジ転送装置
4,4A〜4D 加入者網転送装置
5,5A〜5D 加入者網
5A−1,5A−2,5B−1,5B−2〜5D−2 加入者VLAN
5A−11,5A−21,5B−11,5B−21〜5D−21 端末
6 認証サーバ
10,10A,10B 端末側ポート
11 アクセス網側ポート
12 VLANテーブル
13 未使用VLANスタック
14 接続制御部
15 エージング機能部
16 転送部
16−1 転送テーブル
20,20A,20B 加入者側ポート
21,21A,21B コア網側ポート
22 VPN/VLAN変換テーブル
23 接続制御部
24 転送部
30 認証情報テーブル
2 アクセス網
3,3A,3B エッジ転送装置
4,4A〜4D 加入者網転送装置
5,5A〜5D 加入者網
5A−1,5A−2,5B−1,5B−2〜5D−2 加入者VLAN
5A−11,5A−21,5B−11,5B−21〜5D−21 端末
6 認証サーバ
10,10A,10B 端末側ポート
11 アクセス網側ポート
12 VLANテーブル
13 未使用VLANスタック
14 接続制御部
15 エージング機能部
16 転送部
16−1 転送テーブル
20,20A,20B 加入者側ポート
21,21A,21B コア網側ポート
22 VPN/VLAN変換テーブル
23 接続制御部
24 転送部
30 認証情報テーブル
Claims (8)
- ユーザ端末及び加入者網転送装置が加入者網内に設置され、エッジ転送装置及び認証サーバがコア網内に設置されたネットワークの下で、
ユーザ端末から受信したユーザMACフレームに加入者網内VLAN識別子のタグを付加し、エッジ転送装置へ転送する加入者網転送装置、及び
加入者網転送装置との間でユーザMACフレームを送受信する加入者ポートと、コア網に対して中継MACフレームを送受信する中継ポートとを備え、受信したユーザMACフレームから加入者網内VLANタグを外して接続先VLAN識別子のタグを付加した中継MACフレームを生成し、中継ポートを介してコア網へ前記中継MACフレームを転送すると共に、受信した中継MACフレームから接続先VLAN識別子のタグを外して加入者網内VLAN識別子のタグを付加したユーザMACフレームを生成し、加入者ポートを介して加入者網転送装置へ前記ユーザMACフレームを転送するエッジ転送装置により提供されるVPNサービスに関し、ユーザ端末をレイヤ2におけるVPNにより接続する方法であって、
認証サーバが、ユーザの認証情報として、ユーザが接続権限を有する接続先VPN識別子と接続先VLAN識別子とを保持し、
ユーザ端末が、レイヤ2VPN接続を行う認証要求を加入者網転送装置へ送信し、
加入者網転送装置が、前記認証要求に応じて、当該加入者網において未使用の加入者網内VLAN識別子を生成し、前記ユーザ端末が接続されているユーザ端末側ポートまたはユーザ端末の識別子と、加入者網内VLAN識別子とを対応付けて管理し、当該加入者網内VLAN識別子をエッジ転送装置へ通知し、
エッジ転送装置が、前記加入者網内VLAN識別子を認証サーバへ通知し、
認証サーバが、前記加入者網内VLAN識別子に応じて、接続先VPN識別子及び接続先VLAN識別子をエッジ転送装置へ通知し、
エッジ転送装置が、前記加入者網内VLAN識別子と、接続先VPN識別子及び接続先VLAN識別子とを対応付けて管理することを特徴とするVPN接続制御方法。 - 請求項1に記載のVPN接続制御方法において、
前記ユーザ端末が、レイヤ2VPN接続の切断を行う切断要求を加入者網転送装置へ送信し、
前記加入者網転送装置が、切断要求に応じて、前記ユーザ端末が接続されているユーザ端末側ポートまたはユーザ端末の識別子と対応付けて管理している加入者網内VLAN識別子を解放し、当該加入者網内VLAN識別子をエッジ転送装置へ通知し、
前記エッジ転送装置が、加入者網転送装置から通知された加入者網内VLAN識別子と対応付けて管理している接続先VPN識別子及び接続先VLAN識別子を解放することを特徴とするVPN接続制御方法。 - 請求項1または2に記載のVPN接続制御方法において、
前記加入者網転送装置が、当該加入者網転送装置に接続されているユーザ端末の識別子を保持し、ユーザ端末からのユーザMACフレームを所定時間の間受信しない場合に、前記ユーザ端末の識別子を抽出し、当該ユーザ端末識別子と対応付けて管理している加入者網内VLAN識別子を解放し、当該加入者網内VLAN識別子をエッジ転送装置へ通知し、
前記エッジ転送装置が、加入者網転送装置から通知された加入者網内VLAN識別子と対応付けて管理している接続先VPN識別子及び接続先VLAN識別子を解放することを特徴とするVPN接続制御方法。 - 請求項1から3までのいずれか一項に記載のVPN接続制御方法において、
前記認証サーバをRadiusサーバとし、Radiusプロトコルを用いることを特徴とするVPN接続制御方法。 - ユーザ端末及び加入者網転送装置が加入者網内に設置され、エッジ転送装置及び認証サーバがコア網内に設置されたネットワークの下で、
加入者網転送装置との間でユーザMACフレームを送受信する加入者ポートと、コア網に対して中継MACフレームを送受信する中継ポートとを備え、受信したユーザMACフレームから加入者網内VLANタグを外して接続先VLAN識別子のタグを付加した中継MACフレームを生成し、中継ポートを介してコア網へ前記中継MACフレームを転送すると共に、受信した中継MACフレームから接続先VLAN識別子のタグを外して加入者網内VLAN識別子のタグを付加したユーザMACフレームを生成し、加入者ポートを介して加入者網転送装置へ前記ユーザMACフレームを転送するエッジ転送装置により提供されるVPNサービスに関し、ユーザ端末をレイヤ2におけるVPNにより接続するシステムであって、
認証サーバは、ユーザの認証情報として、ユーザが接続権限を有する接続先VPN識別子と接続先VLAN識別子とを保持する機能と、通知される加入者網内VLAN識別子に応じて、前記接続先VPN識別子及び接続先VLAN識別子をエッジ転送装置へ通知する機能とを有し、
加入者網転送装置は、ユーザ端末から送信されたレイヤ2VPN接続を行う認証要求に応じて、当該加入者網において未使用の加入者網内VLAN識別子を生成する機能と、前記ユーザ端末が接続されているユーザ端末側ポートまたはユーザ端末の識別子と、加入者網内VLAN識別子とを対応付けて管理する機能と、当該加入者網内VLAN識別子をエッジ転送装置へ通知する機能とを有し、
エッジ転送装置は、加入者網転送装置から通知された加入者網内VLAN識別子を認証サーバへ通知する機能と、加入者網転送装置から通知された加入者網内VLAN識別子と認証サーバから通知された接続先VPN識別子及び接続先VLAN識別子とを対応付けて管理する機能とを有することを特徴とするVPN接続制御システム。 - 請求項5に記載のVPN接続制御子システムにおいて、
前記加入者網転送装置は、ユーザ端末から送信されたレイヤ2VPN接続の切断を行う切断要求に応じて、前記ユーザ端末が接続されているユーザ端末側ポートまたはユーザ端末の識別子と対応付けて管理している加入者網内VLAN識別子を解放する機能と、当該加入者網内VLAN識別子をエッジ転送装置へ通知する機能を有し、
前記エッジ転送装置は、加入者網転送装置から通知された加入者網内VLAN識別子と対応付けて管理している接続先VPN識別子及び接続先VLAN識別子を解放する機能を有することを特徴とするVPN接続制御システム。 - 請求項5または6に記載のVPN接続制御システムにおいて、
前記加入者網転送装置は、当該加入者網転送装置に接続されているユーザ端末の識別子を保持する機能と、ユーザ端末からのユーザMACフレームを所定時間の間受信しない場合に、前記ユーザ端末の識別子を抽出し、当該ユーザ端末識別子と対応付けて管理している加入者網内VLAN識別子を解放する機能と、当該加入者網内VLAN識別子をエッジ転送装置へ通知する機能とを有し、
前記エッジ転送装置は、加入者網転送装置から通知された加入者網内VLAN識別子と対応付けて管理している接続先VPN識別子及び接続先VLAN識別子を解放する機能を有することを特徴とするVPN接続制御システム。 - 請求項5から7までのいずれか一項に記載のVPN接続制御システムにおいて、
前記認証サーバをRadiusサーバとし、Radiusプロトコルを用いることを特徴とするVPN接続制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004061809A JP4202286B2 (ja) | 2004-03-05 | 2004-03-05 | Vpn接続制御方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004061809A JP4202286B2 (ja) | 2004-03-05 | 2004-03-05 | Vpn接続制御方法及びシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005252762A JP2005252762A (ja) | 2005-09-15 |
| JP4202286B2 true JP4202286B2 (ja) | 2008-12-24 |
Family
ID=35032818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004061809A Expired - Fee Related JP4202286B2 (ja) | 2004-03-05 | 2004-03-05 | Vpn接続制御方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4202286B2 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006339927A (ja) * | 2005-06-01 | 2006-12-14 | Nec Commun Syst Ltd | ルーティング装置及びそれに用いるルーティング方法並びにそのプログラム |
| US7606232B1 (en) | 2005-11-09 | 2009-10-20 | Juniper Networks, Inc. | Dynamic virtual local area network (VLAN) interface configuration |
| JP4628938B2 (ja) * | 2005-12-02 | 2011-02-09 | 三菱電機株式会社 | データ通信システム、端末装置およびvpn設定更新方法 |
| JP4834410B2 (ja) * | 2006-01-26 | 2011-12-14 | 株式会社日立製作所 | フレーム転送装置 |
| JP4814641B2 (ja) * | 2006-01-30 | 2011-11-16 | 富士通株式会社 | 認証vlanスイッチ |
| US7492766B2 (en) * | 2006-02-22 | 2009-02-17 | Juniper Networks, Inc. | Dynamic building of VLAN interfaces based on subscriber information strings |
| US7808994B1 (en) | 2006-02-22 | 2010-10-05 | Juniper Networks, Inc. | Forwarding traffic to VLAN interfaces built based on subscriber information strings |
| CN101461198B (zh) * | 2006-06-05 | 2012-03-14 | 株式会社日立制作所 | 中继网络系统及终端适配装置 |
| JP4649465B2 (ja) * | 2007-11-30 | 2011-03-09 | 富士通株式会社 | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 |
| JP5083983B2 (ja) * | 2008-08-26 | 2012-11-28 | 日本電信電話株式会社 | サーバ明示選択型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム |
| JP5137200B2 (ja) * | 2008-08-26 | 2013-02-06 | 日本電信電話株式会社 | ハイパーテキスト転送プロトコルネットワークおよびデータ転送方法 |
-
2004
- 2004-03-05 JP JP2004061809A patent/JP4202286B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005252762A (ja) | 2005-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8832279B2 (en) | Network system, machine allocation device and machine allocation method | |
| US9705846B2 (en) | Methods and apparatus for providing high speed connectivity to a hotel environment | |
| JP3845086B2 (ja) | 制御されたマルチキャストのシステム及び実行方法 | |
| JP4587446B2 (ja) | ネットワークシステム、並びにスイッチ装置及び経路管理サーバ及びそれらの制御方法、及び、コンピュータプログラム及びコンピュータ可読記憶媒体 | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| WO2009033428A1 (fr) | Procédé, système et dispositif pour retirer une adresse de commande d'accès au support | |
| JP2009538083A (ja) | 分散型ブリッジにおけるmacアドレス学習 | |
| JP2019515608A (ja) | アクセス制御 | |
| JP2006311066A (ja) | 電子機器 | |
| JP4202286B2 (ja) | Vpn接続制御方法及びシステム | |
| EP2218214B1 (en) | Network location service | |
| WO2011140919A1 (zh) | 接入业务批发网络的方法、设备、服务器和系统 | |
| JP2001036561A (ja) | Tcp/ipネットワークシステム | |
| WO2007030970A1 (fr) | Systeme de gestion par grappe dans une couche de commutation ethernet et procede associe | |
| CN104539539A (zh) | 一种 ac 设备多业务板数据转发方法 | |
| CN101166093A (zh) | 一种认证方法和系统 | |
| CN112367263B (zh) | 一种组播数据报文转发方法及设备 | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| CN109150925B (zh) | IPoE静态认证方法及系统 | |
| JP4011528B2 (ja) | ネットワーク仮想化システム | |
| WO2018113633A1 (zh) | 报文转发方法、报文转发控制器、bras、计算机存储介质 | |
| TWI254528B (en) | Process for implementing virtual local area networks over communication systems in the electricity network | |
| CN1484412A (zh) | 一种基于集群管理的802.1x通信实现方法 | |
| JP4094485B2 (ja) | ユーザ端末の接続制御方法および接続制御サーバ | |
| JP4312650B2 (ja) | アクセスネットワークシステム及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060405 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070614 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070614 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081007 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081008 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111017 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111017 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121017 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121017 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131017 Year of fee payment: 5 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |