JP4401942B2 - パケット転送装置および通信ネットワーク - Google Patents

パケット転送装置および通信ネットワーク Download PDF

Info

Publication number
JP4401942B2
JP4401942B2 JP2004354962A JP2004354962A JP4401942B2 JP 4401942 B2 JP4401942 B2 JP 4401942B2 JP 2004354962 A JP2004354962 A JP 2004354962A JP 2004354962 A JP2004354962 A JP 2004354962A JP 4401942 B2 JP4401942 B2 JP 4401942B2
Authority
JP
Japan
Prior art keywords
l2tp
packet
session
vpn
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004354962A
Other languages
English (en)
Other versions
JP2006166053A5 (ja
JP2006166053A (ja
Inventor
哲郎 ▲吉▼本
真理子 山田
正典 鎌田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Communication Technologies Ltd
Original Assignee
Hitachi Communication Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Communication Technologies Ltd filed Critical Hitachi Communication Technologies Ltd
Priority to JP2004354962A priority Critical patent/JP4401942B2/ja
Priority to US11/179,910 priority patent/US7656872B2/en
Priority to CNA200510084643XA priority patent/CN1787485A/zh
Publication of JP2006166053A publication Critical patent/JP2006166053A/ja
Publication of JP2006166053A5 publication Critical patent/JP2006166053A5/ja
Application granted granted Critical
Publication of JP4401942B2 publication Critical patent/JP4401942B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • H04L12/2859Point-to-point connection between the data network and the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2878Access multiplexer, e.g. DSLAM
    • H04L12/2879Access multiplexer, e.g. DSLAM characterised by the network type on the uplink side, i.e. towards the service provider network
    • H04L12/2881IP/Ethernet DSLAM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケット転送装置および通信ネットワークに関し、更に詳しくは、広域イーサネット(登録商標名)サービスに適したパケット転送装置およびインターネットアクセス用の通信ネットワークに関する。
従来、遠隔地との通信でレイヤ2の接続性を確保するためには、専用線が用いられてきた。しかしながら、専用線はポイント・ツー・ポイントの接続方式となっているため、通信拠点が増加すると、拠点間をフルメッシュで接続する必要があり、ネットワーク管理とコスト面で問題があった。
近年になって、複数の拠点をイーサネットで接続し、これらの拠点間でイーサフレームをスイッチングする広域イーサネットサービスが注目されている。このネットワーク方式は、ユーザにとって、複数の拠点間があたかもスイッチング・ハブで直接繋がっているように見えるため、LANを構築するのと同様の容易さで拠点間を接続することができ、複数の専用線を契約する場合に比較して、通信コストを削減できるという利点がある。
広域イーサネットの実現方式は、次の3方式に大別される。
第1の方式は、スイッチング・ハブと光インタフェースを用いて、ブリッジ接続された巨大なイーサネットワークを実際に構築するものである。この方式は、例えば、IEEE802.1Qに準拠したVLANタグを使用することによって、ネットワーク上に複数のコネクションを多重化することも可能となる。
第2の方式は、EoMPLS(Ethernet over Multi Protocol Label Switching)技術を適用して、MPLSルータ上で仮想的にブリッジ接続されたイーサネットワークを構築するものである。この方式によれば、例えば、SHIMヘッダとVLANタグを用いて、ネットワーク上に複数のコネクションを多重化することが可能となる。
第3の方式は、IPネットワーク上に仮想的なトンネルを設定しておき、このトンネルを仮想的なスイッチング・ハブとして機能するサーバと接続することによって、仮想的にブリッジ接続されたイーサネットワークを構築するものである。この方式は、多数のスイッチング・ハブ(ルータ)を設置することによって、ネットワーク上に多数のコネクションを多重化することができる。
上述した広域イーサネットによる通信サービスは、通常、中規模以上の事業者ユーザ向けに提供される。しかしながら、広域イーサネットサービスは、例えば、家庭やSOHOユーザに対しても有益な通信サービスとなる。
図2は、アクセス通信事業者が一般家庭およびSOHOユーザに提供するインターネット接続サービスの一般的な形態の1例を示す。このネットワーク形態は、例えば、特開2002−354054号公報(特許文献1)に記載されている。
図2において、網1、2は、それぞれ異なるインターネット・サービス・プロバイダ(ISP)が管理するISP網、網3はインターネット網、網4は、IP網で形成されるアクセス網を示す。アクセス網4とISP網1、2は、それぞれLNS(L2TP (Layer 2 Tunneling Protocol) Network Server)20−1、20−2で接続され、各ISP網1、2には、LNS管理サーバ21−1、21−2が接続されている。また、アクセス網4には、複数のLAC(L2TP Access Concentrator)10(10−1、10−2)と、LAC管理サーバ11が配置されている。尚、L2TPについては、RFC2661(非特許文献1)で規定されている。
家庭内に構築された宅内LAN:L1〜L4は、宅内ゲートウェイRi−1〜Ri−4を介して、LAC10−1またはLAC10−2に接続されている。従って、LAC10−1、10−2が、ゲートウェイからアクセス網4への入り口となり、LNS20−1、20−2がアクセス網4から各ISP網1、2への入り口となる。
ゲートウェイRi−1〜Ri−4とアクセス網の入り口であるLAC10との間には、通信に先立って、PPP over PPPoE(PPP Over Ethernet)によってPPPセッションip1〜ip4が設定され、通信時には、これらのセッション上をIPパケットがカプセル化した形で通過する。PPPは、RFC1661(非特許文献2)で、PPPoEについてはRFC2516(非特許文献3)で規定されている。アクセス網4は、通常、インターネット網3とは別個の存在であり、LAC10とLNS20との間には、予めL2TPトンネルTn−1〜Tn−4が形成されている。アクセス網4内では、ユーザトラフィックはこれらのトンネルを通過するだけであり、各ユーザがアクセス網4内の通信ノードを直接アクセスすることはできない。
各LAC10は、LANに接続されたユーザ端末TE(TE−1、TE−2、…)からインターネットへの接続要求を受けた時、LAC管理サーバ11と交信し、ユーザIDと対応したL2TPトンネルの出口となるLNS識別子を問い合わせる。LAC管理サーバ11は、ユーザIDの一部となっているドメイン名から、トンネルの出口に位置したLNSを特定し、LACにLNS識別子を通知する。LAC10は、LAC管理サーバ11から通知されたLNSに向かうトンネルTn−j上に、L2TPセッションiL(iL1〜iL4)を設定し、パケット通信時には、LACとゲートウェイRiとの間のPPPoEセッションからL2TPトンネル上のL2TPセッションに、受信したPPPパケットの乗せ替えを行う。
一方、LNS20(20−1、20−2)は、ユーザからの接続要求時に、LNS管理サーバによるユーザ認証を行うため、対応するLNS管理サーバ21(21−1、21−2)と交信する。LNS管理サーバ21は、ユーザ認証結果をLNS20に通知する。パケット通信時には、LNS20は、L2TPトンネルおよびL2TPセッション上のPPPパケットをデカプセル化し、受信PPPパケットから抽出されたIPパケットをISP網1または2にルーティングする。上述したPPPoEセッション(ip1〜ip4)、L2TPセッション(iL1〜iL4)、L2TPトンネル(TE−1〜TE−4)には、それぞれ識別子(ID)が割り当てられており、LNS20は、L2TPトンネルIDとL2TPセッションIDとの組合せによってユーザを特定できる。
特開2002−354054号公報 RFC2661:Layer Two Tunneling Protocol "L2TP" RFC1661:The Point-to-Point Protocol (PPP) RFC2516:A Method for Transmitting PPP Over Ethernet (PPPoE) RFC3518:Point-to-Point Protocol (PPP) Bridging Control Protocol (BCP)
然るに、上述した従来の広域イーサネットには、以下のような問題がある。
例えば、スイッチング・ハブと光インターフェイスを用いる第1の方式は、光インタフェースの物理的制約により、通信エリアが広くなると、設置すべきスイッチング・ハブ数が増加し、コスト的に高くなる。
EoMPLSを使う第2の方式は、ネットワークの全域で、ラベルスイッチによる特殊な転送方法をサポートする必要がある。ラベルスイッチは、通常、既存のIPルータに新たな機能に追加した形で提供されるため、一般的なIPルータに比較して装置価格が高価であり、EoMPLSパケットが通過する全ての経路上の通信ノードにラベルスイッチ機能を装備するためには、多額の設備投資が必要となる。
また、IPネットワーク上に設定された仮想的なトンネルを仮想スイッチング・ハブサーバに接続する第3の方式は、各ユーザにIPアドレスによるサーバへの接続サービスを提供する必要があるため、サーバがクラッキングされる可能性があり、セキュリティ上の問題がある。
更に、家庭ユーザ向けのアクセス通信事業者が、上述した従来方式によって、契約ユーザ間に広域イーサネットによる接続サービスを提供しようとすると、次のような問題が発生する。
第1方式を採用した場合、IP網で構成されるアクセス網とは別に、広域イーサネット網を構築する必要があり、新たなコストが発生する。特に、アクセス事業者が広い範囲でインターネット網への接続サービスを提供している場合、契約ユーザ間に新たな接続サービスを提供するために、非常に大きなコストが必要となる。
EoMPLSを使う第2方式を採用した場合、アクセス通信事業者が形成しているアクセス網(IP網)内のパケット転送装置の全てをラベルスイッチング機能付きの装置に置き換える必要があるため、第1方式と同様、大きなコストを必要とする。
また、仮想スイッチング・ハブサーバを用いる第3方式を採用する場合、例えば、図2に示したアクセス網(IP網)4内に新たなサーバを設置し、各LAC10でL2TP処理を行う代わりに、上記サーバでユーザ端末のPPPを終端し、IP網でユーザ間を接続するネットワーク構成が考えられる。しかしながら、この構成では、アクセス網へのユーザ端末の接続を許すことになるため、ユーザが上記サーバ以外のコア網構成装置をアクセスする危険が生じ、セキュリティ面で大きなリスクは発生する。
従って、本発明の目的は、アクセス事業者が、インターネットアクセス契約ユーザに対する広域イーサネットサービスを低コストで実現できる通信ネットワークおよびパケット転送装置を提供することにある。
本発明の他の目的は、アクセス網の安全を保証し、契約ユーザへの広域イーサネットサービスを可能とする通信ネットワークおよびパケット転送装置を提供することにある。
上記目的を達成するため、本発明の通信ネットワークは、L2TPセッションから受信したPPPパケットを同一の仮想的な広域イーサネットに所属する他のL2TPセッションに転送するパケット転送装置をアクセス網に含むことを特徴とする。
更に詳述すると、本発明によるパケット転送装置は、L2TP(Layer 2 Tunneling Protocol)セッションを介して少なくとも2つのLAC(L2TP Access Concentrator)に接続され、ユーザ端末を収容するゲートウェイからの送信パケットをL2TPパケット形式で受信するL2TPパケット転送装置であって、
トンネルIDとセッションIDとの組合せと、ユーザ端末が所属する広域ネットワークの識別子(以下、VPN−IDと言う)との対応関係を記憶した検索テーブルと、
受信パケットのL2TPヘッダが示すトンネルIDとセッションIDに基づいて、上記検索テーブルから受信パケットのVPN−IDを特定し、上記検索テーブルで同一VPN−IDを持つ他のトンネルIDとセッションIDの存在が確認された場合に、上記他のトンネルIDとセッションIDの組合せで特定される他のL2TPセッションに対して、受信パケットをL2TPパケット形式で転送するパケット転送処理部とを有することを特徴とする。
本発明によるL2TPパケット転送装置は、LACとの間に新たなL2TPセッションを設定する時、ユーザ認証情報を保持する管理サーバからユーザ識別情報と対応したVPN−IDを取得し、上記検索テーブルに、該VPN−IDと上記L2TPセッションのトンネルIDとセッションIDとの対応関係を記憶する制御部を備える。
本発明の実施例では、上記検索テーブルが、トンネルIDとセッションIDとの組合せを検索キーとして、VPN−IDを検索するためのVPN−IDテーブルと、VPN−IDを検索キーとして、同一の広域ネットワークに所属するL2TPセッションのトンネルIDとセッションIDとの組合せを検索するための転送先判定テーブルとからなり、上記パケット転送処理部が、受信パケットのL2TPヘッダが示すトンネルIDとセッションIDに基づいて、上記VPN−IDテーブルからVPN−IDを特定し、上記転送先判定テーブルから上記特定VPN−IDをもつ前記他のL2TPセッションを特定する。
上記各LACには、それぞれ宅内LANに接続された複数のゲートウェイが収容され、LACと各ゲートウェイとの間では、IP over PPP(Point to Point Protocol)形式またはBridge over PPP形式でカプセル化されたパケットが送受信される。インターネットのアクセス網は、上記LACにL2TP(Layer 2 Tunneling Protocol)セッションを介して接続される少なくとも1つのLNS(L2TP Network Server)を有し、LNSは、各LACから受信したIP over PPP形式のL2TPパケットからIPパケットを抽出し、該IPパケットをインターネット・サービス・プロバイダ(ISP)網に転送する。本発明のL2TPパケット転送装置は、各LACとBridge over PPP形式のL2TPパケットを送受信するために、上述したLNSとは別にアクセス網内に設置される。
更に詳述すると、本発明の仮想的な広域ネットワークを利用するユーザ端末を収容したゲートウェイは、ユーザ端末によるパケット通信に先立って、LACに、RFC3518で規定されたBridge over PPP over PPPoEのセッション設定を要求する。ゲートウェイからセッション接続要求を受けたLACは、ユーザ識別情報が示すドメイン名から、接続先となるL2TPパケット転送装置を特定し、L2TPパケット転送装置との間にL2TPセッションを設定する。
上記L2TPセッションの設定シーケンスにおいて、L2TPパケット転送装置と対応付けられた管理サーバによって、ユーザ認証が実行される。この管理サーバに、ユーザ情報と広域イーサネットワークの識別子(VPN−ID)とを対応付けたユーザ管理テーブルを備えることによって、L2TPセッションと対応するVPN−IDを認証結果と共にL2TPパケット転送装置に通知することができる。管理サーバから認証結果を受信したL2TPパケット転送装置は、LACを介してゲートウェイとの間に、BCPによるBridge over PPP over PPPoEのセッションを設定する。
広域イーサネットワークを利用する通信パケットは、各ゲートウェイにおいてRFC3518で規定されたbridge over PPP形式でカプセル化され、PPPoEセッションを介してLACに送信される。LACは、PPPよりも上位のプロトコルは意識しないため、受信パケットからPPPoEヘッダを削除し、L2TP形式でPPPパケットをカプセル化し、事前に設定されたL2TPセッションを通してL2TPパケット転送装置に転送する。L2TPパケット転送装置は、受信パケットのトンネルIDとセッションIDとの組合せ基づいてVPN−IDを検索し、このVPN−IDと対応する他のL2TPセッションの有無を判定し、もし、同一のVPN−IDをもつ他のL2TPセッションが存在していれば、このL2TPセッションに対して受信パケットを転送することにより、ユーザ間の仮想的なイーサネットの接続性を確保できる。
本発明によれば、IP網で形成されるインターネットのアクセス網にL2TPパケット転送装置を追加し、LACに収容されるゲートウェイに多少の設定変更を加えるだけで、アクセス事業者が契約ユーザに仮想的な広域イーサネットサービスを提供することが可能となる。本発明によれば、一般的なIP網通信技術と一般的なトンネリングプロトコルを利用して、多拠点を結ぶ広域のイーサネットワークを形成でき、従来技術として説明したスイッチング・ハブと光インターフェイスを用いる第1の方式や、EoMPLSを用いる第2の方式に比較して、必要コストを大幅に低減できる。
以下、本発明の幾つかの実施例について図面を参照して説明する。
図1は、本発明を適用したネットワークの第1実施例を示す構成図である。ここでは、図2に示した従来例と同一の要素には同一符号が使用してあるため、重複する説明は省略する。また、L2TPでは、トンネルIDとセッションIDは、各々の端点で互いに独立した値を設定できるが、ここでは説明を簡単化にするため、各トンネルとセッションのIDがトンネルの両端で一致するものとする。但し、トンネルIDとセッションIDの値がトンネルの両端で異なった場合でも、以下に説明する動作に変更はない。
図1のネットワークは、図2と比較すると、アクセス網4に、各LACから受信したL2TPパケットを別のLACに向かうL2TPセッションに転送可能なL2TPパケット転送装置30と、このL2TPパケット転送装置30に対応して設けられた転送装置管理サーバ31とが追加された点に特徴がある。
図では、簡略化のためにL2TPトンネルTn2とTn3を省略してあるが、LAC10−1、10−2と、LNS20−1、20−2との間には、図2と同様に、L2TPトンネルTn1〜Tn4が設定されており、これらのトンネル上に、IP over PPP over L2TPセッションiL1〜iL4が形成される。L2TPパケット転送装置30とLAC10−1、10−2との間には、それぞれL2TPトンネルTn5、Tn6が設定され、これらのトンネル上には、Bridge over PPP over L2TPセッションeL1、eL2が設定される。
本実施例では、破線で示すように、LAN:L2とL3が仮想的な広域イーサネットワーク5に所属している。また、これらのLAN:L2、L3が、図2に示した宅内ゲートウェイRi−2、Ri−3に代わって、Bridge over PPP機能を持つ宅内ゲートウェイRe−1、Re−2を介してLAC10−1、10−2に接続されている。ゲートウェイRe−1、Re−2とLAC10−1、10−2との間には、IP over PPP over PPPoEセッションip2、ip3に代わって、Bridge over PPP over PPPoEセッションep1、ep2が設定される。
図3は、図1に示したネットワーク構成において、LAC管理サーバ11が備える接続管理テーブル110の1例を示す。
接続管理テーブル110は、ドメイン名111と接続先112との関係を示す複数のテーブルエントリ110−1、110−2、…からなる。本実施例の場合、接続管理テーブル110には、広域イーサネットサービス用のドメイン名「ether.net」をL2TPパケット転送装置30のホスト名「lns-s.access.net」と対応付けたテーブルエントリ110−3が新たに追加されている。尚、接続管理テーブル110への新たなエントリの追加は、LAC管理サーバ11が備える一般的な機能を利用して実現できるため、LAC10とLAC管理サーバ11には、本発明を実施するための特別な機能変更を必要としない。
図4は、転送装置管理サーバ31が備えるユーザ管理テーブル310の1例を示す。
ユーザ管理テーブル310は、ユーザ名311と、ユーザ認証のためのパスワード312と、ユーザに関するその他の属性情報313と、仮想ネットワーク識別子(VPN−ID)314との関係を示す複数のテーブルエントリからなる。同一の広域イーサネットワークに所属するユーザには、同一のVPN−ID:314が割り当てられる。図1では、広域イーサネットワーク5が1つしか示されていないが、L2TPパケット転送30には、VPN−IDの異なる複数の広域イーサネットワークを収容することができる。
図5は、L2TPパケット転送装置30の1実施例を示す構成図である。
L2TPパケット転送装置30は、LAC10(またはアクセス網4内の中継ノード)および転送装置管理サーバ31に接続するための複数の入力回線インタフェース301(301−1〜301−n)および出力回線インタフェース302(302−1〜302−n)と、これらのインタフェースに接続されたパケット転送処理部303と、パケット転送処理部303に接続された制御部304とからなる。
パケット転送処理部303は、L2TP転送テーブル320、VPN−IDテーブル330、転送先判定テーブル340、その他のテーブル350を備えており、入力回線インタフェース301で受信されたLAC10からのL2TPパケットのヘッダ情報を解析し、これらのテーブルを利用して、ヘッダ変換した後、何れかの出力回線インタフェース302に選択的に転送する。パケット転送処理部303は、LAC10または転送装置管理サーバ31から制御パケットを受信すると、これを制御部304に転送する。また、制御部304から制御パケットを受信すると、これを宛先アドレスに応じた何れかの出力回線インタフェース302に選択的に転送する。
制御部304は、パケット転送処理部303と送受信する制御パケットが一時的に蓄積されるI/Oバッファ305と、プロセッサ306と、メモリ307とからなり、メモリ307には、プロセッサ306が実行するセッション管理ルーチン308、プロトコル処理ルーチン309、その他の各種のプログラムと、プロセッサ306が必要とするデータが格納されている。プロセッサ306は、I/Oバッファ305から読み出された受信制御パケットに応じて、パケット転送処理部303が参照するテーブル320〜350の更新処理と、トンネルおよびセッションを設定するためのプロトコル処理とを実行する。プロセッサ306は、必要に応じて、パケット転送処理部303では処理できない複雑なルーティング処理をソフトウェアで実行することができる。
パケット転送処理部303は、受信パケットを高速に転送できるように、完全にハードウェアロジックで構成されたプロセッサ(または、ネットワークプロセッサと呼ばれるパケット処理に特化した特殊なMPU)と、各インタフェース301、302との間でパケットを送受信するための内部バス(またはスイッチ)からなり、受信パケットのヘッダ情報を解析し、テーブル320〜350に従って、各LACから受信したL2TPパケットを選択的に別セッションに転送する。また、パケット転送処理部303は、受信パケットの複製機能を備えており、後述するように、転送先判定テーブル340の状態に応じて、受信パケットを複数のLANにブロードキャストする。
L2TPパケット転送装置30は、既存のLNSに、上述したL2TPパケットの転送機能を付加した構造のものであってよい。この場合、その他のテーブル350として、L2TPとIPパケットとの相互変換を行うLNSの基本的なパケット転送動作に必要な各種テーブルが保持される。
図6は、VPN−IDテーブル330の1例を示す。
VPN−IDテーブル330は、受信されたL2TPパケットの発信元を特定するために必要なL2TPセッションIDとトンネルIDとの組合せ331から、その発信元が所属する広域イーサネットのグループ識別子を表すVPN−ID:332を検索するためのテーブルであり、L2TPセッションIDとトンネルIDとの組合せ331と対応した複数のテーブルエントリ3300−1、3300−2、…からなる。
図7は、転送先判定テーブル340の1例を示す。
転送先判定テーブル340は、VPN−IDテーブル330とは逆に、VPN−ID:341から、受信パケットの転送先を示すセッション情報(L2TPセッションIDとトンネルIDとの組合せ)342を検索するためのテーブルである。転送先判定テーブル340は、VPN−ID:3301と対応した1つまたは複数のテーブルエントリ3400−1、…からなり、各テーブルエントリのセッション情報欄342には、同一の広域イーサネットグループ(VPN−ID)に所属するL2TPセッションIDとトンネルIDとの組合せが、L2TPセッションの設定の都度、次々と登録される。
パケット転送処理部303は、受信したL2TPパケットのL2TPセッションIDとトンネルIDとの組合せに基づいて、先ず、VPN−IDテーブル330でVPN−IDを特定し、次に、このVPN−IDに基づいて転送先判定テーブル340を検索することによって、受信パケットの転送先を示すセッション情報を知ることができる。
図8は、図1に示した仮想的な広域イーサネットワーク5における宅内ゲートウェイRe−1とRe−2との接続シーケンス図を示す。
ゲートウェイRe−1は、ユーザ端末TE−2からのパケット送信に先立って、LAC10−1との間で、PPPoEの接続手順およびPPPのLCP接続手順を実行する(SQ1)。LAC10−1は、上記接続手順によってゲートウェイRe−1との間にセッションep1が設定されると、ゲートウェイRe−1にユーザ名の送信を要求し、ゲートウェイRe−1からユーザ名「user1@ether.net」を取得する(SQ2)。
LAC10−1は、ゲートウェイRe−1からユーザ名「user1@ether.net」を取得すると、LAC管理サーバ11に、このユーザ名と対応する接続先識別情報を問い合わせる(SQ3)。上記問合せを受けたLAC管理サーバ11は、ユーザ名からドメイン名部分「ether.net」を抽出し、接続管理テーブル110から、上記ドメイン名と対応する接続先識別情報として、L2TPパケット転送装置30のアドレス「ins-s.access.net」を検索し、これをLAC10−1に通知する(SQ4)。
LAC10−1は、LAC管理サーバ11から通知された接続先識別情報に従って、L2TPパケット転送装置30との間で、予め確立されているL2TPトンネルTn5上に新たなL2TPセッション(eL1)を設定するための通信手順を実行する(SQ5)。L2TPパケット転送装置30は、L2TPセッション(eL1)の設定が完了すると、LAC10−1を介してゲートウェイRe−1にユーザ認証情報を要求し、ゲートウェイRe−1から、ユーザ認証情報としてユーザ名「user1」とパスワードを取得する(SQ6)。この後、L2TPパケット転送装置30は、転送装置管理サーバ31に上記認証情報を含む認証要求を送信する(SQ7)。
転送装置管理サーバ31は、ユーザ管理テーブル310から、上記認証要求が示すユーザ名「user1」をもつテーブルエントリを検索し、上記認証要求が示すパスワードと、検索エントリに登録されたパスワード312とを照合し、ユーザ認証結果をL2TPパケット転送装置30に通知する(SQ8)。ユーザ認証に成功した場合、上記認証結果通知は、上記検索エントリが示すVPN−ID314の値と、必要に応じてその他の属性情報313が含んでいる。
L2TPパケット転送装置30は、上記認証結果通知を受信すると、ゲートウェイRe−1との間で、BCP(Bridging Control Protocol)の接続手順を実行し(SQ9)、L2TPトンネルTn5の識別子、L2TPセッションeL1の識別子、VPN−IDの関係をVPN−IDテーブル330と転送先判定テーブル340に登録する。上記BCP接続によって、ゲートウェイRe−1は、LAC10−1を介して、ユーザ端末TE−2からの送信パケットをBridge over PPPパケット形式、ここでは、Ethernet over PPPパケット形式でL2TPパケット転送装置30に送信することが可能となる。
シーケンスSQ11〜SQ19は、仮想的な広域イーサネットワーク5に所属するもう1つのゲートウェイRe−2とL2TPパケット転送装置30との間をBCP接続するための通信シーケンスを示している。
ユーザ端末TE−3からのパケット送信に先立って、ゲートウェイRe−2は、LAC10−2との間で、PPPoEの接続手順およびPPPのLCP接続手順を実行する(SQ11)。LAC10−2は、ゲートウェイRe−2との間にセッションep2が設定されると、ゲートウェイRe−2にユーザ名の送信を要求し、ゲートウェイRe−2からユーザ名「user2@ether.net」を取得する(SQ12)。
LAC10−は、ゲートウェイRe−からユーザ名「user2@ether.net」を取得すると、LAC管理サーバ11に、このユーザ名と対応する接続先識別情報を問い合わせる(SQ13)。上記問合せを受けたLAC管理サーバ11は、ユーザ名からドメイン名部分「ether.net」を抽出し、接続管理テーブル110から、上記ドメイン名と対応する接続先識別情報として、L2TPパケット転送装置30のアドレス「ins-s.access.net」を検索し、これをLAC10−2に通知する(SQ14)。
LAC10−2は、LAC管理サーバ11から通知された接続先識別情報に従って、L2TPパケット転送装置30との間で、予め確立されているL2TPトンネルTn6上に新たなL2TPセッション(eL2)を設定するための通信手順を実行する(SQ15)。L2TPパケット転送装置30は、L2TPセッション(eL2)の設定が完了すると、LAC10−2を介してゲートウェイRe−2にユーザ認証情報を要求し、ゲートウェイRe−2から、ユーザ認証情報としてユーザ名「user2」とパスワードを取得する(SQ16)。この後、L2TPパケット転送装置30は、転送装置管理サーバ31に上記ユーザ認証情報を含む認証要求を送信する(SQ17)。
転送装置管理サーバ31は、ユーザ管理テーブル310から、上記認証要求が示すユーザ名「user2」をもつテーブルエントリを検索し、上記認証要求が示すパスワードと、検索エントリに登録されたパスワード312とを照合し、ユーザ認証結果をL2TPパケット転送装置30に通知する(SQ18)。ユーザ認証に成功した場合、上記認証結果通知は、上記検索エントリが示すVPN−ID314の値と、必要に応じてその他の属性情報313とを含んでいる。
L2TPパケット転送装置30は、上記認証結果通知を受信すると、ゲートウェイRe−2との間で、BCPの接続手順を実行し(SQ19)、L2TPトンネルTn6の識別子、L2TPセッションeL2の識別子、VPN−IDの関係をVPN−IDテーブル330、転送先判定テーブル340に登録する。これによって、ゲートウェイRe−2は、LAC10−2を介して、ユーザ端末TE−3からの送信パケットをEthernet over PPPパケット形式でL2TPパケット転送装置30に送信することが可能となる。
ゲートウェイRe−2とL2TPパケット転送装置30の間のBCP接続が完了する迄は、VPN−ID=「1」をもつ仮想的な広域イーサネットワーク5に所属するゲートウェイは、Re−1だけであり、転送先判定テーブル340には、VPN−ID=「1」と対応する転送先セッション情報として、トンネルTn−5のID(=5)とセッションID(=1)との組合せ「(5、1)」しか登録されていない。この状態では、仮にユーザ端末TE−2がパケットを送信しても、転送先判定テーブル340上で、受信パケットの転送先となる別のトンネルIDとセッションIDとの組合せが存在しないため、L2TPパケット転送装置30は、受信パケットを廃棄することになる。
ゲートウェイRe−2とL2TPパケット転送装置30の間のBCP接続が完了すると、転送先判定テーブル340は、図7に示したように、転送先セッション情報として、トンネルTn−のID(=6)とセッションID(=1)との組合せ「(6、1)」が追加された状態となる。従って、L2TPパケット転送装置30によって、ゲートウェイRe−1からの受信パケットがゲートウェイRe−2に転送され、逆に、ゲートウェイRe−2からの受信パケットがゲートウェイRe−1に転送され、ゲートウェイRe−1とRe−2に接続されたユーザ端末に、L2TPパケット転送装置30を経由したEthenetパケットの通信を可能とする通信サービス(SQ20)が提供される。
図9は、L2TPパケット転送装置30の制御部304が実行するセッション管理ルーチン308のフローチャートを示す。
制御部304は、LAC10からL2TP接続要求を受信すると、プロトコル処理ルーチン309によってL2TP処理(SQ5またはSQ15)を実行し、ゲートウェイ(Re−1またはRe−2)に対応するトンネルIDとセッションIDを確定し(ステップ371)、確定したIDに基づいて、L2TP転送テーブル320を更新する(372)。次に、制御部304は、LNSを介してゲートウェイと交信し、転送装置管理サーバ31と交信して、ゲートウェイのPPP認証処理(SQ6またはSQ16)を実行し、転送装置管理サーバ31から、VPN−IDを含むセッション属性を取得する(373)。ゲートウェイの認証に成功すると、制御部304は、プロトコル処理ルーチン309によって、RFC3518(非特許文献3)に規定されたPPPのBCP接続手順(SQ9またはSQ19)を実行し(374)、ゲートウェイがbridge over PPP送信可能な状態にする。
この後、制御部304は、ステップ383で転送装置管理サーバ31から得たVPN−IDと、ステップ381で確定したトンネルIDおよびセッションIDを適用して、VPN−IDテーブル330にVPN−IDを検索するための新たなエントリを登録し(375)、転送先判定テーブル340に、上記VPN−IDを検索キーとするエントリが既に存在するか否かを判定する(376)。
もし、目的のエントリが存在していなければ、上記VPN−IDから上記トンネルIDとセッションIDとの組合せを検索するための新たなエントリを生成し、これを転送先判定テーブル340に登録し(377)、このルーチンを終了する。目的エントリが転送先判定テーブル340に既に存在していた場合は、目的エントリにL2TPパケットの新たな転送先セッションを示す上記トンネルIDとセッションIDとの組合せを追加し(378)、このルーチンを終了する。
図10は、L2TPパケット転送装置30のパケット転送処理部303が実行するパケット転送動作のフローチャートを示す。
パケット転送処理部303は、LACを介してL2TP形式でゲートウェイからのPPPパケットを受信すると、受信パケットのL2TPヘッダからトンネルIDとセッションIDを抽出し(381)、抽出されたトンネルIDとセッションIDとの組合せを検索キーとして、VPN−IDテーブル330からVPN−IDを検索する(382)。次に、上記VPN−IDを検索キーとして、転送先判定テーブル340から、受信パケットの転送先セッション情報342となるトンネルIDとセッションIDとの組合せを検索する(383)。転送先セッション情報342には、受信パケットの送信元のセッション情報も含まれているため、パケット転送処理部303は、検索された転送先セッション情報から、ステップ381で抽出されたトンネルIDとセッションIDとの組合せを除外し(384)、残ったセッション(トンネルIDとセッションIDとの組合せ)の数を判定する(385)。
残ったセッション数がゼロの場合は、受信パケットの転送先が皆無であることを意味しているため、受信パケットを破棄し(386)、この受信パケットについての転送動作を終了する。残ったセッション数がゼロでなければ、パケット転送処理部303は、セッション数に応じて受信パケットのコピーを生成し(387)、転送先セッション情報に基づいてトンネルIDとセッションIDを書き換えたL2TPパケットを生成し(388)、通常のL2TP転送処理に従って、各L2TPパケットのIPヘッダを書き換え(389)、各パケットをそれぞれの転送先セッション情報に対応した出力回線インタフェース302に送出する(390)。
上記実施例によれば、アクセス網4にL2TPパケット転送装置30と管理サーバ31とを追加することによって、L2TPの枠組みを生かして、安全な広域イーサネットサービスを安価に実現できる。
図11は、本発明を適用したネットワークの第2実施例を示す構成図である。
図1に示した第1実施例のネットワークと比較すると、本実施例は、図1におけるゲートウェイはRi−1とRe−1に代えて、IP over PPP over PPPoE機能とBridge over PPP over PPPoE機能の両方を備えたゲートウェイRie−1が使用され、図1における2つのLAN:L1とL2が、一つのLAN:L12に統合された形になっている。ゲートウェイRie−1とLAC10−1との間には、IP over PPP over PPPoEのトンネルip1と、Bridge over PPP over PPPoEのトンネルep1が設定されている。
図12は、ゲートウェイRie−1の構成の1例を示す。
ゲートウェイRie−1は、LANおよびLAC10と接続するための複数の入力回線インタフェース501(501−1〜501−m)および出力回線インタフェース502(502−1〜502−m)と、これらのインタフェースに接続されたパケット転送処理部503と、パケット転送処理部503に接続された制御部504とからなる。
パケット転送処理部503は、PPPやIPパケットなどゲートウェイとして基本的なパケット転送に必要とされるPPP/IP転送テーブル510の他に、後述するBridge over PPPテーブル520、その他のテーブル530を備えており、入力回線インタフェース501で受信されたLANまたはLACからの受信パケットのヘッダ情報を解析し、これらのテーブルを利用してヘッダ変換した後、受信パケットを何れかの出力回線インタフェース502に選択的に転送する。パケット転送処理部503は、LAC10から制御パケットを受信すると、これを制御部504に転送する。また、制御部504から制御パケットを受信すると、これを宛先アドレスに応じた何れかの出力回線インタフェース502に選択的に転送する。
制御部504は、パケット転送処理部503と送受信する制御パケットが一時的に蓄積されるI/Oバッファ505と、プロセッサ506と、メモリ507とからなり、メモリ507には、プロセッサ506が実行するプロトコル制御、その他の各種のプログラムと、プロセッサ506が必要とするデータが格納されている。プロセッサ506は、I/Oバッファ505から読み出した受信制御パケットに応じて、パケット転送処理部503が参照するテーブル510〜530の更新処理と、LACへのトンネルおよびセッション設定のためのプロトコル処理とを実行する。プロセッサ506は、必要に応じて、パケット転送処理部503では処理できない複雑なルーティング処理をソフトウェアで実現する。
パケット転送処理部503は、受信パケットを高速に転送できるように、完全にハードウェアロジックで構成されたプロセッサ(または、ネットワークプロセッサと呼ばれるパケット処理に特化した特殊なMPUと、ソフトウェアを格納したプログラム専用メモリ)と、各インタフェース501、502との間でパケットを送受信するための内部バス(またはスイッチ)からなる。
図13は、本実施例におけるゲートウェイRie−1からLAC10への送信パケットのフィーマットを示す。
ゲートウェイRie−1がLAN:L12から受信するパケットは、ペイロード600とIPヘッダ601とからなるIPパケットに、L2レイヤのイーサヘッダ602が付加されたフォーマットとなっている。ゲートウェイRie−1は、LANから受信したパケットのヘッダ条件によって、図(A)に示すように、イーサヘッダ602を残したまま、カプセル化ヘッダ603を付加してLAC10に送出する場合と、図(B)に示すように、イーサヘッダ602を除去し、IPパケットにカプセル化ヘッダ603を付加してLAC10に送出する場合とがある。
図14は、パケット転送処理部503が参照するBridge over PPPテーブル520の1例を示す。
Bridge over PPPテーブル520には、Bridge over PPP処理してLACに転送されるパケットが備えるべきヘッダ条件を定義した複数のテーブルエントリからなる。
ヘッダ条件は、IPアドレス521と、TCP/UDPのポート番号522と、その他のヘッダ情報523とで指定される。テーブルエントリには、例えば、エントリ5200−1のように、IPアドレス521でプライベートアドレス範囲を指定したものや、エントリ5200−2のように、IPアドレスには関係なく、ポート番号522で特定のアプリケーション(ここでは、ポート23「telnet」)を指定したものがある。Bridge over PPP処理すべきパケットのヘッダ条件は、IPヘッダの任意のヘッダ項目で指定でき、必要に応じて、イーサ(Ethernet)のヘッダ情報項目をヘッダ条件に加えることができる。
図15は、ゲートウェイRie−1のパケット転送処理部503が実行するパケット転送処理のフローチャートを示す。
パケット転送処理部503は、入力回線インタフェース501(501−1〜501−m)からの受信パケットが、LANからの受信パケットか否かを判定し(ステップ701)、それがLACに転送すべきLANからの受信パケットの場合、イーサヘッダ601が付加されたままの状態で、ヘッダ走査を行い、Bridge over PPPテーブル520が示すヘッダ条件と照合する(702)。照合の結果(703)、受信パケットがBridge over PPPテーブル520の何れかのヘッダ条件を満たしていた場合、イーサヘッダ602を残したまま、受信パケットをBridge over PPP形式でカプセル化し(704)、PPPoEセッション(LACに向かうトンネルep1)と対応する出力回線インタフェース502に、図13(A)のパケットフォーマットで送信する(706)。受信パケットがBridge over PPPテーブル520のヘッダ条件に該当しない場合は、イーサヘッダ602を除去した後、受信パケットをIP over PPP形式でカプセル化し(705)、PPPoEセッション(LACに向かうトンネルip1)と対応する出力回線インタフェース502に、図13(B)のパケットフォーマットで送信する。
受信パケットがLAN側に転送すべきLACからのパケットの場合、パケット転送処理部503は、受信パケットからカプセル化ヘッダを除去し(710)、イーサヘッダの付加またはヘッダ変換(711)を行った後、受信パケットをLAN側の出力回線インタフェース502に転送する。
本実施例によれば、ゲートウェイRie−1とLACとの間に、インターネット接続用のユーザIDによるPPPoEセッションip1と、広域イーサネットサービス用のユーザIDによるPPPoEセッションep1を設定し、ゲートウェイRie−1が、ユーザ端末からの受信パケットの内容に応じて、PPPパケットを出力すべきセッションを選択することにより、単一にユーザに対して、インターネット接続サービスと広域イーサネットサービスを同時に提供することが可能となる。
図16は、本発明を適用したネットワークの第3実施例を示す構成図である。
第1、第2実施例では、アクセス網4とISP網1、2とが独立して存在するネットワーク構成について説明したが、第3実施例は、アクセス網4とISP網1、2とを統合したネットワーク構成に本発明を適用した場合を示す。
アクセス網とISP網を統合した場合、図16に示すように、アクセス網とISP網を接続するLNS20が省略され、アクセス網4は、インターネット3と同じアドレス空間を持つIP網となる。L2TPパケット転送装置30による広域イーサネットサービスは、第1実施例と同様に実現される。
本実施例では、LAC10−1、10−2の代わりに、LAC機能とBAS(Broadband Access Server)機能とを備えたLAC・BAS100−1、100−2が使用される。また、LAC・BAS100−1、100−2には、LAC管理サーバ11の機能とLNS管理サーバ21の機能とを兼ね備えたLAC・BAS管理サーバ22が接続される。
本実施例では、第1実施例と同様に、ゲートウェイRi−1(Ri−2)とゲートウェイRe−1(Re−2)は、LAC・BAS100−1(100−2)との間に、それぞれPPPセッションip1(ip2)、ep1(ep2)を確立する。LAC・BAS100−1(100−2)は、管理サーバ22に問い合わせ、IP over PPPのセッションip1(ip2)は終端し、Bridge over PPPのセッションep1(ep2)は、L2TPセッションeL1(eL2)でL2TPパケット転送装置30に接続する。
LAC・BAS100−1(100−2)は、ゲートウェイRi−1(Ri−2)からIP over PPPでカプセル化されたパケットを受信すると、受信パケットからカプセル化ヘッダを除去し、得られたIPパケットを通常のIPルーティングによってIP網4経由でインターネット3に転送する(BAS機能)。一方、ゲートウェイRe−1(Re−2)からBridge over PPPでカプセル化されたパケットを受信すると、LAC・BAS100−1(100−2)は、受信パケットをBridge over PPPのセッションep1(ep2)にL2TP転送する(LAC機能)。従って、この受信パケットは、第1実施例と同様、L2TPパケット転送装置30によって、パケット送信元と同じ広域イーサネットワークに属する他のLANに転送される。
本実施例は、ユーザ端末から送信されたインターネットアクセス用のパケットが、アクセス網内をトンネリングすることなく通過するようになっているため、セキュリティに関しては第1、第2実施例よりも劣化するように見えるが、L2TPパケット転送装置30のIPアドレスは、LAC・BAS100−1、100−2にのみに通知され、ユーザ端末には公開されていないため、実際の応用において、アクセス網事業者にサーバタイプの広域イーサネットワーク装置よりも高いセキュリティを保証できる。
本発明を適用したネットワークの第1実施例を示す構成図。 従来のインターネット接続サービス網の1例を示す図。 図1のLAC管理サーバが備える接続管理テーブル110の1例を示す図。 図1の転送装置管理サーバ31が備えるユーザ管理テーブル310の1例を示す図。 本発明のL2TPパケット転送装置30の1実施例を示す構成図。 L2TPパケット転送装置30のパケット処理部303が備えるVPN−IDテーブル330の1例を示す図。 L2TPパケット転送装置30のパケット処理部303が備える転送先判定テーブル340の1例を示す図。 図1の仮想的な広域イーサネットワーク5におけるゲートウェイRe−1、Re−2の接続シーケンス図。 L2TPパケット転送装置30の制御部304が実行するセッション管理ルーチンのフローチャート。 L2TPパケット転送装置30のパケット処理部303が実行するパケット転送動作を示すフローチャート。 本発明を適用したネットワークの第2実施例を示す構成図。 第2実施例におけるゲートウェイRei−1の構成の1例を示す図。 ゲートウェイRei−1からの送信パケットのフォーマットを示す図。 第2実施例においてゲートウェイRei−1のパケット転送処理部503が参照するBridge over PPPテーブルの1例を示す図。 パケット転送処理部503が実行するパケット転送処理のフローチャート。 本発明を適用したネットワークの第3実施例を示す構成図。
符号の説明
1、2:ISPのIP網、3:インターネット、4:アクセス網、
5:広域イーサネットワーク、10:LAC、11:LAC管理サーバ、
20:LNS装置、21:LNS管理サーバ、30:L2TPパケット転送装置、
31:転送装置管理サーバ、22:LAC・BAS管理サーバ、L1〜L4:LAN、
Ri:IP over PPP over PPPoE用のゲートウェイ、
Re:Bridge over PPP over PPPoE用のゲートウェイ、
ip:IP over PPP over PPPoEセッション、
ep:Bridge over PPP over PPPoEセッション、
Tn:L2TPトンネル、iL:IP over PPP over L2TPセッション、
eL:bridge over PPP over L2TPセッション、100:LAC・BAS、
301、501:入力回線インタフェース、302、502:出力回線インタフェース、303、503:パケット転送処理部、304、504:制御部、
320:L2TP転送テーブル、330:VPN−IDテーブル、
340:転送先判定テーブル、510:PPP/IP転送テーブル、
520:Bridge over PPPテーブル。

Claims (10)

  1. L2TP(Layer 2 Tunneling Protocol)セッションを介して少なくとも2つのLAC(L2TP Access Concentrator)に接続され、ユーザ端末を収容するゲートウェイから送信されたPPP(Point to Point Protocol)パケットをL2TPパケット形式で受信するL2TPパケット転送装置であって、
    L2TPセッションのトンネルIDとセッションIDとの組合せと、ユーザ端末が所属する仮想的な広域ネットワークの識別子(以下、VPN−IDと言う)との対応関係を記憶した検索テーブルと、
    受信パケットに付されたL2TPヘッダが示すトンネルIDとセッションIDに基づいて、上記検索テーブルから上記受信パケットのVPN−IDを特定し、上記検索テーブルで上記特定VPN−IDと同一VPN−IDを持つ他のトンネルIDとセッションIDとの組合せの存在が確認された場合に、上記L2TPヘッダのトンネルIDとセッションIDを上記他のトンネルIDとセッションIDに書き換え、上記他のトンネルIDとセッションIDの組合せで特定される他のL2TPセッションに対して、上記PPPパケットをL2TPパケット形式で転送するパケット転送処理部とを有することを特徴とするL2TPパケット転送装置。
  2. 前記LACとの間に新たなL2TPセッションを設定する時、ユーザ認証情報を保持する管理サーバからユーザ識別情報と対応したVPN−IDを取得し、前記検索テーブルに、該VPN−IDと上記新たなL2TPセッションのトンネルIDおよびセッションID対応関係を記憶する制御部を有することを特徴とする請求項1に記載のL2TPパケット転送装置。
  3. 前記検索テーブルが、トンネルIDとセッションIDとの組合せを検索キーとして、VPN−IDを検索するためのVPN−IDテーブルと、VPN−IDを検索キーとして、同一の広域ネットワークに所属するL2TPセッションのトンネルIDとセッションIDとの組合せを検索するための転送先判定テーブルとからなり、
    前記パケット転送処理部が、受信パケットのL2TPヘッダが示すトンネルIDとセッションIDに基づいて、上記VPN−IDテーブルからVPN−IDを特定し、上記転送先判定テーブルから上記特定VPN−IDをもつ前記他のL2TPセッションを特定することを特徴とする請求項1または請求項2に記載のL2TPパケット転送装置。
  4. 前記パケット転送処理部が、前記各LACから、Bridge over PPP(Point to Point Protocol)パケットをL2TPヘッダでカプセル化した形式のL2TPパケットを受信することを特徴とする請求項1〜請求項3の何れかに記載のL2TPパケット転送装置。
  5. それぞれ宅内LANに接続された複数のゲートウェイを収容し、各ゲートウェイとの間で、IP over PPP(Point to Point Protocol)パケットまたはBridge over PPPパケットを送受信する複数のLAC(L2TP Access Concentrator)と、
    上記LACにL2TP(Layer 2 Tunneling Protocol)セッションを介して接続され、LACからL2TPパケット形式で受信したIP over PPPパケットからIPパケットを抽出し、該IPパケットをインターネット・サービス・プロバイダ(ISP)網に転送する少なくとも1つのLNS(L2TP Network Server)と、
    上記複数のLACにL2TPセッションを介して接続されL2TPパケット転送装置とからなる通信ネットワークにおいて、
    上記各LACが、上記ゲートウェイから受信パケットを、IP over PPPパケットは上記LNSに、Bridge over PPPパケットは上記L2TPパケット転送装置に、それぞれL2TPパケット形式で転送し、
    上記L2TPパケット転送装置が、
    L2TPセッションのトンネルIDとセッションIDとの組合せと、ユーザ端末が所属する仮想的な広域ネットワークの識別子(以下、VPN−IDと言う)との対応関係を記憶した検索テーブルと、
    上記LACから受信したBridge over PPPパケットに付されたL2TPヘッダが示すトンネルIDとセッションIDとの組合せに基づいて、上記検索テーブルから上記受信パケットのVPN−IDを特定し、上記検索テーブルで上記特定VPN−IDと同一VPN−IDを持つ他のトンネルIDとセッションIDとの組合せの存在が確認された場合に、上記L2TPヘッダのトンネルIDとセッションIDを上記他のトンネルIDとセッションIDに書き換え、上記他のトンネルIDとセッションIDの組合せで特定される他のL2TPセッションに対して、上記Bridge over PPPパケットをL2TPパケット形式で転送するパケット転送処理部とを有することを特徴とする通信ネットワーク。
  6. 前記L2TPパケット転送装置と対応づけられたユーザ認証用の転送装置管理サーバを含み、
    前記L2TPパケット転送装置が、
    前記LACとの間に新たなL2TPセッションを設定する時、上記転送装置管理サーバから上記L2TPセッションの設定要求元ユーザのユーザ識別情報と対応したVPN−IDを取得し、前記検索テーブルに、該VPN−IDと上記新たなL2TPセッションのトンネルIDおよびセッションID対応関係を記憶する制御部を備えることを特徴とする請求項5に記載の通信ネットワーク。
  7. 前記検索テーブルが、トンネルIDとセッションIDとの組合せを検索キーとして、VPN−IDを検索するためのVPN−IDテーブルと、VPN−IDを検索キーとして、同一の広域ネットワークに所属するL2TPセッションのトンネルIDとセッションIDとの組合せを検索するための転送先判定テーブルとからなり、
    前記L2TPパケット転送装置のパケット転送処理部が、前記Bridge over PPPパケットに付されたL2TPヘッダが示すトンネルIDとセッションIDに基づいて、上記VPN−IDテーブルからVPN−IDを特定し、上記転送先判定テーブルから上記特定VPN−IDをもつ前記他のトンネルIDとセッションIDを特定することを特徴とする請求項5または請求項6に記載の通信ネットワーク。
  8. 前記ユーザ識別情報から抽出されるドメイン名と、接続先識別子との関係を記憶したLAC管理サーバと、
    前記LNSに対応づけられたユーザ認証用のLNS管理サーバとを含み、
    前記各LACが、前記何れかのゲートウェイから新たなセッション接続要求を受けた時、上記LAC管理サーバから、上記セッション接続要求の要求ユーザのユーザ識別情報と対応する接続先情報を取得し、該接続先情報に従って前記LNSまたはL2TPパケット転送装置との間に新たなL2TPセッションを設定し、セッション接続先となったLNSまたはL2TPパケット転送装置が、上記LNS管理サーバユーザ認証を要求することを特徴とする請求項6に記載の通信ネットワーク。
  9. 前記ゲートウェイのうちの少なくとも1つが、前記L2TPパケット転送装置に転送すべきパケットのヘッダ条件を示すテーブルを備え、前記宅内LANからパケットを受信したとき、上記ヘッダ条件に適合する受信パケットは、L2ヘッダを残したままBridge over PPP形式のカプセル化パケットとして前記LACに送信し、上記ヘッダ条件に適合しない受信パケットは、L2ヘッダを除去し、IP over PPP形式のカプセル化パケットとして前記LACに送信することを特徴とする請求項5〜請求項8の何れかに記載の通信ネットワーク。
  10. 前記各ゲートウェイが、前記L2TPパケット転送装置を経由すべきパケットをBridge over PPP over PPPoE (PPP over Ethernet)形式のカプセル化パケットとして、前記LACに送信することを特徴とする請求項5〜請求項9の何れかに記載の通信ネットワーク。
JP2004354962A 2004-12-08 2004-12-08 パケット転送装置および通信ネットワーク Expired - Fee Related JP4401942B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004354962A JP4401942B2 (ja) 2004-12-08 2004-12-08 パケット転送装置および通信ネットワーク
US11/179,910 US7656872B2 (en) 2004-12-08 2005-07-13 Packet forwarding apparatus and communication network suitable for wide area Ethernet service
CNA200510084643XA CN1787485A (zh) 2004-12-08 2005-07-15 信息包传输装置及通信网络

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004354962A JP4401942B2 (ja) 2004-12-08 2004-12-08 パケット転送装置および通信ネットワーク

Publications (3)

Publication Number Publication Date
JP2006166053A JP2006166053A (ja) 2006-06-22
JP2006166053A5 JP2006166053A5 (ja) 2007-06-21
JP4401942B2 true JP4401942B2 (ja) 2010-01-20

Family

ID=36574125

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004354962A Expired - Fee Related JP4401942B2 (ja) 2004-12-08 2004-12-08 パケット転送装置および通信ネットワーク

Country Status (3)

Country Link
US (1) US7656872B2 (ja)
JP (1) JP4401942B2 (ja)
CN (1) CN1787485A (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4732974B2 (ja) 2006-07-27 2011-07-27 株式会社日立製作所 パケット転送制御方法およびパケット転送装置
US20080028445A1 (en) * 2006-07-31 2008-01-31 Fortinet, Inc. Use of authentication information to make routing decisions
EP2084854B1 (en) * 2006-11-06 2012-09-26 I-Spade Technologies Ltd. Media session identification method for ip networks
WO2008063110A1 (en) * 2006-11-23 2008-05-29 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for lan emulation in mobile networks
US8699327B2 (en) * 2007-01-31 2014-04-15 Alcatel Lucent Multipath virtual router redundancy
WO2008093174A1 (en) * 2007-02-02 2008-08-07 Groupe Des Ecoles Des Telecommuinications (Get) Institut National Des Telecommunications (Int) Autonomic network node system
CN101309284B (zh) * 2007-05-14 2012-09-05 华为技术有限公司 一种远程接入的通信方法、设备和系统
JP4803116B2 (ja) * 2007-05-31 2011-10-26 富士ゼロックス株式会社 仮想ネットワーク接続装置及びプログラム
FR2917258B1 (fr) * 2007-06-06 2010-02-26 Alcatel Lucent Dispositif et procede de telecommunication entre un terminal utilisateur et un serveur reseau
US8325735B2 (en) * 2007-06-28 2012-12-04 Alcatel Lucent Multi-link load balancing for reverse link backhaul transmission
CN101505296A (zh) * 2008-02-05 2009-08-12 华为技术有限公司 隧道业务数据流的控制方法和装置
CN101272403B (zh) * 2008-05-27 2011-02-09 华为技术有限公司 实现dhcp用户业务批发的方法、系统和设备
US8031627B2 (en) 2008-07-10 2011-10-04 At&T Intellectual Property I, L.P. Methods and apparatus to deploy and monitor network layer functionalities
JP5178368B2 (ja) 2008-07-18 2013-04-10 株式会社日立国際電気 ゲートウェイ装置
CN101686180A (zh) 2008-09-28 2010-03-31 华为技术有限公司 数据传输方法及网络节点和数据传输系统
JP4862065B2 (ja) * 2009-06-02 2012-01-25 株式会社日立製作所 Lac装置及びフェイルオーバ方法
JP5589210B2 (ja) * 2010-03-31 2014-09-17 株式会社ネクステック 情報処理装置、プログラム、情報処理方法、および情報処理システム
US8699484B2 (en) 2010-05-24 2014-04-15 At&T Intellectual Property I, L.P. Methods and apparatus to route packets in a network
US9491085B2 (en) * 2010-05-24 2016-11-08 At&T Intellectual Property I, L.P. Methods and apparatus to route control packets based on address partitioning
US8396954B2 (en) * 2010-06-24 2013-03-12 Aryaka Networks, Inc. Routing and service performance management in an application acceleration environment
EP2604000B1 (en) * 2010-08-13 2016-12-28 Telefonaktiebolaget LM Ericsson (publ) Load distribution architecture for processing tunnelled internet protocol traffic
JP5621639B2 (ja) * 2011-02-08 2014-11-12 村田機械株式会社 中継サーバ及び中継通信システム
US10432587B2 (en) * 2012-02-21 2019-10-01 Aventail Llc VPN deep packet inspection
KR20150122269A (ko) * 2012-04-27 2015-10-30 닛본 덴끼 가부시끼가이샤 통신 시스템 및 경로 제어 방법
US9246766B2 (en) * 2012-10-18 2016-01-26 Iix Inc. Method and apparatus for a distributed internet architecture
JP2014200017A (ja) * 2013-03-29 2014-10-23 ニフティ株式会社 中継装置、情報処理方法、及びプログラム
CN104468313B (zh) * 2014-12-05 2018-08-14 华为技术有限公司 一种报文处理方法、网络服务器及虚拟专用网络系统
US11070395B2 (en) * 2015-12-09 2021-07-20 Nokia Of America Corporation Customer premises LAN expansion
US10038672B1 (en) * 2016-03-29 2018-07-31 EMC IP Holding Company LLC Virtual private network sessions generation
US10547597B2 (en) * 2017-01-24 2020-01-28 International Business Machines Corporation Secure network connections
JP2019140498A (ja) * 2018-02-08 2019-08-22 日本電信電話株式会社 通信システムおよび通信方法
CN111262770B (zh) * 2018-12-03 2022-05-20 迈普通信技术股份有限公司 一种通信方法及通信系统
US10904035B2 (en) * 2019-06-03 2021-01-26 Arista Networks, Inc. Method and system for processing encapsulated wireless traffic
CN111935330B (zh) * 2020-07-20 2022-04-29 烽火通信科技股份有限公司 一种ppp报文穿越l2tp的方法及装置
WO2022043737A1 (en) * 2020-08-28 2022-03-03 Pismo Labs Technology Limited Methods and systems for transmitting session-based packets

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6449272B1 (en) * 1998-05-08 2002-09-10 Lucent Technologies Inc. Multi-hop point-to-point protocol
JP2003524930A (ja) * 1999-02-23 2003-08-19 アルカテル・インターネツトワーキング・インコーポレイテツド マルチサービスネットワークスイッチ
US6952728B1 (en) * 1999-12-01 2005-10-04 Nortel Networks Limited Providing desired service policies to subscribers accessing internet
JP2001326697A (ja) * 2000-05-17 2001-11-22 Hitachi Ltd 移動体通信網、端末装置、パケット通信制御方法、及び、関門装置
JP4099930B2 (ja) * 2000-06-02 2008-06-11 株式会社日立製作所 ルータ装置及びvpn識別情報の設定方法
US7325058B1 (en) * 2000-11-13 2008-01-29 Cisco Technology, Inc. Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites
US6985935B1 (en) * 2000-12-20 2006-01-10 Cisco Technology, Inc. Method and system for providing network access to PPP clients
JP3945297B2 (ja) * 2001-04-24 2007-07-18 株式会社日立製作所 システム及び管理システム
JP4501310B2 (ja) * 2001-05-28 2010-07-14 株式会社日立製作所 パケット転送装置
JP2002354054A (ja) 2001-05-29 2002-12-06 Oki Electric Ind Co Ltd デューティ補償通信システム
JP2003008609A (ja) * 2001-06-22 2003-01-10 Anritsu Corp 回線の冗長機能付き通信装置
JP2003110609A (ja) * 2001-09-28 2003-04-11 Fujitsu Ltd 通信装置
US7489700B2 (en) * 2002-11-20 2009-02-10 Hitachi Communication Technologies, Ltd. Virtual access router
EP1441483B1 (en) * 2003-01-21 2014-04-16 Samsung Electronics Co., Ltd. Gateway for supporting communications between network devices of different private networks
US7684432B2 (en) * 2003-05-15 2010-03-23 At&T Intellectual Property I, L.P. Methods of providing data services over data networks and related data networks, data service providers, routing gateways and computer program products
JP4342966B2 (ja) * 2004-01-26 2009-10-14 株式会社日立コミュニケーションテクノロジー パケット転送装置
JP4323355B2 (ja) * 2004-03-22 2009-09-02 株式会社日立コミュニケーションテクノロジー パケット転送装置
US7461152B2 (en) * 2004-03-31 2008-12-02 International Business Machines Corporation Apparatus and method for sharing a shared resource across logical partitions or systems

Also Published As

Publication number Publication date
CN1787485A (zh) 2006-06-14
US20060120374A1 (en) 2006-06-08
JP2006166053A (ja) 2006-06-22
US7656872B2 (en) 2010-02-02

Similar Documents

Publication Publication Date Title
JP4401942B2 (ja) パケット転送装置および通信ネットワーク
JP4631961B2 (ja) 仮想アクセスルータ
EP2031803B1 (en) Relay network system and terminal adapter apparatus
JP4732974B2 (ja) パケット転送制御方法およびパケット転送装置
US7469298B2 (en) Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider
JP5579853B2 (ja) バーチャル・プライベート・ネットワークの実現方法及びシステム
JP4527721B2 (ja) トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法
JP4782857B2 (ja) Vlanトンネリングプロトコル
US7733859B2 (en) Apparatus and method for packet forwarding in layer 2 network
JP5281644B2 (ja) ノマディック型端末に、レイヤ2レベル上でホーム・ネットワークにアクセスすることを可能にする方法および装置
US20040202199A1 (en) Address resolution in IP interworking layer 2 point-to-point connections
JP2000341327A (ja) Vpn構成方式、インターワークルータ装置、パケット通信方法、データ通信装置及びパケット中継装置
WO2009059523A1 (en) An accessing method, system and equipment of layer-3 session
JP2007221533A (ja) Pppゲートウェイ装置
JP4241329B2 (ja) 仮想アクセスルータ
EP3477897B1 (en) Method for routing data packets in a network topology
JP2004304574A (ja) 通信装置
JP2019153965A (ja) Ipネットワーク接続システム、ipネットワーク接続装置、ipネットワーク接続方法、及びプログラム
Cisco Remote Access to MPLS VPN
JP4615435B2 (ja) ネットワーク中継装置
JPWO2003043276A1 (ja) プロバイダ接続システム及びそのパケット交換装置並びにパケット交換方法及びそのコンピュータプログラム
JP2004104527A (ja) インターネットアクセスネットワーク及びアクセススイッチ装置
KR20050060284A (ko) 가상 사설망의 구축 방법
Varet et al. Security capability discovery protocol over unsecured IP-based topologies
JP2010141917A (ja) データ転送装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070509

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070509

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070509

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090521

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090731

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091006

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091028

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121106

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121106

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees