JP4628938B2 - Data communication system, terminal device and VPN setting update method - Google Patents
Data communication system, terminal device and VPN setting update method Download PDFInfo
- Publication number
- JP4628938B2 JP4628938B2 JP2005349268A JP2005349268A JP4628938B2 JP 4628938 B2 JP4628938 B2 JP 4628938B2 JP 2005349268 A JP2005349268 A JP 2005349268A JP 2005349268 A JP2005349268 A JP 2005349268A JP 4628938 B2 JP4628938 B2 JP 4628938B2
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- terminal device
- identifier
- edge device
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、複数のVPN(Virtual Private Network)を備え、一つの端末装置(データ通信端末装置)が同時に複数のVPNに接続可能なネットワークに関するものであって、特に、端末装置がVPNへの参加および離脱、などの処理を動的に行うデータ通信システムおよび、その端末装置ならびにVPN設定更新方法に関するものである。 The present invention relates to a network that includes a plurality of VPNs (Virtual Private Networks) and that allows one terminal device (data communication terminal device) to be simultaneously connected to a plurality of VPNs. In particular, the terminal device participates in the VPN. In particular, the present invention relates to a data communication system that dynamically performs processing such as leaving, a terminal device thereof, and a VPN setting updating method.
VPNとは、共有(公衆)ネットワークを仮想的な専用線として利用するために当該ネットワーク上に構築された私設通信網(プライベートネットワーク)または、その利用技術を示す用語である。近時、このVPNを利用して、出張先などの遠隔地から自社のイントラネットなどへの接続を可能とするサービスが提供されており、コストのかかる専用線の代替になる新しいサービスとして、企業を中心として着実に浸透している。 VPN is a term indicating a private communication network (private network) constructed on the network in order to use a shared (public) network as a virtual private line, or a usage technology thereof. Recently, a service has been provided that enables connection from a remote location such as a business trip destination to the company's intranet, etc., using this VPN. It is steadily penetrating as a center.
ところで、遠隔地の端末装置が自社のイントラネットなどに接続するためには、VPNとして構成されたネットワークに端末装置が接続できなければならない。ここで、VPNを構成するための従来方式として、例えば、IPSecを用いる方式や、MPLS/VPN(下記、非特許文献1を参照)を用いる方式などがある。ただし、これらのいずれの方式を用いた場合でも、端末装置がVPNに接続するためには、論理的なコネクション(例えば、IPSecを用いる場合はIPSecトンネルモードSecurity Association(以下「IPsec_SA」と呼称)、MPLS/VPNの場合はPoint to Point Protoco over Ethernet(登録商標)セッション(以下「PPPoEセッション」と呼称)を確立する相手となるエッジ装置を必要とする。このエッジ装置は、端末装置の認証情報に基づいて端末装置が接続しようとするVPNを識別して当該VPNへの接続可否を決定するとともに、端末装置にIPアドレスを割り当てる機能を有し、このようなエッジ装置の機能に基づいて端末装置とVPNとの接続が実現される。
By the way, in order for a remote terminal device to connect to its own intranet or the like, the terminal device must be able to connect to a network configured as a VPN. Here, as a conventional method for configuring the VPN, for example, there are a method using IPSec, a method using MPLS / VPN (see Non-Patent
しかしながら、上記従来技術にかかるVPN構成方式には、以下に示すような問題点がある。 However, the VPN configuration method according to the above prior art has the following problems.
[端末装置とVPNとの接続に伴う種々の問題]
端末装置がVPNに接続するためには、VPNを構成するエッジ装置には、以下に示すいずれかの要件を満たしている必要があった。
(a)端末装置と当該端末装置が接続を希望するVPNとの間の接続を仲介するための必要な設定が予めエッジ装置に具備されている。
(b)端末装置がエッジ装置に接続してきた時点で、エッジ装置とVPNとの間の接続を動的に確立する手段および手順が具備されている。
[Various problems associated with connection between terminal device and VPN]
In order for the terminal device to connect to the VPN, the edge device constituting the VPN needs to satisfy any of the following requirements.
(A) A necessary setting for mediating a connection between a terminal device and a VPN that the terminal device desires to connect to is provided in the edge device in advance.
(B) Means and procedures are provided for dynamically establishing a connection between the edge device and the VPN when the terminal device is connected to the edge device.
ここで、上記(a)の要件が満たされる場合、端末装置の接続対象となるVPNの数が多くなるとエッジ装置への設定作業の手間が膨大になるといった問題点や、メモリ等のリソースが、使用されないVPNのためにも消費されるといった問題点があった。また、動的にVPNを生成/削除する機能をサポートする場合、生成/削除されるVPNに関する情報を、全てのエッジ装置に対して設定する必要があり、エッジ装置間でやりとりされるメッセージ数が増加し、処理が繁雑になるという問題点があった。 Here, when the requirement (a) is satisfied, there is a problem that the setting work for the edge device becomes enormous when the number of VPNs to be connected to the terminal device increases, and resources such as memory are There is a problem that it is consumed even for a VPN that is not used. In addition, when supporting the function of dynamically creating / deleting a VPN, it is necessary to set information regarding the VPN to be created / deleted for all edge devices, and the number of messages exchanged between the edge devices is There is a problem that the processing increases and the processing becomes complicated.
一方、上記(b)の要件が満たされる場合、端末装置がエッジ装置に接続してきた時点で、エッジ装置とVPNとの間の接続を動的に確立するための機能は、IPSec方式にもMPLS/VPN方式にも標準の規定がない。そのため、独自の手順で上記機能を実現する必要がある。 On the other hand, when the requirement (b) is satisfied, the function for dynamically establishing the connection between the edge device and the VPN at the time when the terminal device has connected to the edge device is the IPSec method as well as the MPLS. There is no standard for the / VPN system. For this reason, it is necessary to realize the above-mentioned function with a unique procedure.
例えば、IPSec方式を用いる場合、端末装置がエッジ装置に接続してきた時点で、エッジ装置とVPNとの間の接続を動的に確立するためには、エッジ装置に対して当該VPNに接続するための設定を動的に行った上で、さらにエッジ装置自身がVPNへの接続を動的に行う必要がある。この機能を実現するためには、例えばエッジ装置をVPNに接続するための別のエッジ装置を設けておく必要がある。そして、エッジ装置は、目的のVPNに接続するためにIPSec_SAを確立する相手方となる相手方エッジ装置のIPアドレスを何らかの手段(例えば、設定データの読み出しを行う手段、外部データベースを検索する手段など)を用いて取得し、さらに、相手方エッジ装置との間にIPSec_SAを確立するための複数往復(アグレッシブモードで3往復、メインモードで4.5往復)のメッセージのやりとりが必要となる。さらには、動的にVPNを生成/削除する場合には、当該VPNを収容するエッジ装置を決定し、そのVPNを実現するための設定を当該エッジ装置に行う必要がある。 For example, when the IPSec method is used, in order to dynamically establish a connection between the edge device and the VPN when the terminal device is connected to the edge device, the edge device is connected to the VPN. In addition, the edge device itself needs to dynamically connect to the VPN. In order to realize this function, for example, it is necessary to provide another edge device for connecting the edge device to the VPN. Then, the edge device uses some means (for example, means for reading the setting data, means for searching the external database, etc.) for the IP address of the other edge device that is the other party that establishes IPSec_SA to connect to the target VPN. In addition, it is necessary to exchange a plurality of round-trip messages (3 round trips in the aggressive mode and 4.5 round trips in the main mode) to establish IPSec_SA with the counterpart edge device. Furthermore, when dynamically creating / deleting a VPN, it is necessary to determine an edge device that accommodates the VPN and to set the edge device to realize the VPN.
一方、MPLS/VPNを使用する場合、端末装置がエッジ装置に接続してきた時点で、エッジ装置とVPNとの間の接続を動的に確立するためには、エッジ装置に対して接続先のVPNに対応するVRF(Virtual Routing Forwarding)およびインタフェースの設定を行うとともに、他の全てのエッジ装置との間で、BGP(Border Gateway Protocol)によりVPN内のルーティング情報の交換を行う必要があり、全エッジ装置数に比例する数のメッセージ伝送が必要となる。 On the other hand, when MPLS / VPN is used, in order to dynamically establish a connection between the edge device and the VPN when the terminal device is connected to the edge device, the VPN of the connection destination to the edge device is used. It is necessary to set VRF (Virtual Routing Forwarding) and interface corresponding to, and exchange routing information in the VPN with BGP (Border Gateway Protocol) with all other edge devices. A number of message transmissions proportional to the number of devices are required.
このように、IPSec方式やMPLS/VPN方式に基づいて動的なVPNの生成/削除をサポートするためには、多くのメッセージ伝送が必要となり処理が繁雑になるという問題点があった。 As described above, in order to support dynamic VPN creation / deletion based on the IPSec method or the MPLS / VPN method, there is a problem that a large number of message transmissions are required and the processing becomes complicated.
[端末装置数増加に対するスケーラビリティの問題]
エッジ装置を含むVPN内でのルーティング情報伝播は、通常のIPルーティングプロトコル(例えば、RIP(Routing Information Protocol)や、OSPF(Open Shortest Path First)など)に基づいて行われる。ここで、端末装置が任意のエッジ装置経由で接続しても同一IPアドレスでのVPN接続を可能とする場合、端末装置のIPアドレスが、VPN内でエッジ装置に割当てられるサブネットアドレスに属さないケースが生じるのを防止するためには、エッジ装置は端末装置に割当てたホストアドレスをルーティングプロトコルで広告する必要がある。そして、ホストアドレスへのルーティング情報が、全てのエッジ装置と、VPN内の全てのルータのルーティングテーブルに設定されることと、端末装置の接続/切断の度にルーティングプロトコルによりルーティング情報が変化したことがVPN全体に広告されることになるので、端末装置数増加に対するスケーラビリティが悪いという問題点があった。
[Scalability issues with increasing number of terminal devices]
Routing information propagation within the VPN including the edge device is performed based on a normal IP routing protocol (for example, RIP (Routing Information Protocol) or OSPF (Open Shortest Path First)). Here, when the VPN connection with the same IP address is possible even if the terminal device is connected via any edge device, the IP address of the terminal device does not belong to the subnet address assigned to the edge device in the VPN In order to prevent this from occurring, the edge device needs to advertise the host address assigned to the terminal device using a routing protocol. The routing information to the host address is set in the routing table of all edge devices and all routers in the VPN, and the routing information changes according to the routing protocol each time the terminal device is connected / disconnected. Is advertised to the entire VPN, and there is a problem that scalability against an increase in the number of terminal devices is poor.
なお、端末装置がモバイルIPの機能をサポートしている場合には、VPN内にモバイルIPのホームエージェント(Home Agent:HA)を設置し、エッジ装置から割当てられたIPアドレスを気付アドレス(Care of Address:CoA)として使用して通信することで、エッジ装置が端末装置のホストアドレスをルーティングプロトコルで広告しないようにする手法もある。しかしながら、この手法では、モバイルIPの使用が前提とされるので、当該VPNにアクセスする全ての端末装置がモバイルIPの機能を備えていなければならず、また、ホームエージェントを設置しなければならないという問題点があった。 If the terminal device supports the mobile IP function, a mobile IP home agent (HA) is installed in the VPN, and the IP address assigned by the edge device is set as a care-of address (Care of). There is also a technique in which the edge device does not advertise the host address of the terminal device by a routing protocol by using the communication as the address (CoA). However, in this method, since it is assumed that mobile IP is used, all terminal devices that access the VPN must have a mobile IP function, and a home agent must be installed. There was a problem.
本発明は、上記に鑑みてなされたものであって、IPSec方式やMPLS/VPN方式を使用する場合よりも簡潔な手順で、動的なVPNの生成/削除を可能とするデータ通信システムおよび、その端末装置ならびにVPN設定更新方法を得ることを目的とする。 The present invention has been made in view of the above, and a data communication system that enables dynamic VPN creation / deletion with a simpler procedure than when using the IPSec scheme or the MPLS / VPN scheme, and An object is to obtain the terminal device and the VPN setting update method.
また、端末装置がモバイルIPをサポートすることなく、任意のエッジ装置経由でVPNに接続した場合であっても、VPN内にて同一IPアドレスを使用して通信を行うことを可能とするデータ通信システムおよび、その端末装置ならびにVPN設定更新方法を得ることを目的とする。 Further, even when the terminal device is connected to the VPN via any edge device without supporting the mobile IP, data communication that enables communication using the same IP address in the VPN It is an object of the present invention to obtain a system, a terminal device thereof, and a VPN setting update method.
上述した課題を解決し、目的を達成するために、本発明は、IPネットワーク上に複数のVPN(Virtual Private Network)を構成可能とするデータ通信システムであって、VPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子の情報を保持し、該デフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、前記IPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うための所定情報を保持するエッジ装置と、前記複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、を備え、前記エッジ装置は、VPNへの接続を要求する端末装置との論理的コネクションを確立した後、該端末装置が属するVPNの情報をVPNメンバー管理サーバから取得し、該VPNメンバー管理サーバから取得したVPNの情報に基づいて該端末装置と該端末装置が接続を要求するVPNとの接続設定処理を行うことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention is a data communication system capable of configuring a plurality of VPNs (Virtual Private Networks) on an IP network, and is registered as a member of a VPN. Information on the VPN identifier of the default VPN to which the terminal device belongs is stored, an authentication server that authenticates the terminal device that requests connection to a predetermined VPN based on the VPN identifier of the default VPN, and DHT (on the IP network) An overlay network that provides a search function of the Distributed Hash Table) method, an edge device that holds predetermined information for performing connection processing between the terminal device and the VPN and IP packet transfer processing, the plurality of VPNs, and the VPN Become a VPN member A VPN member management server that holds predetermined information for managing the terminal device, and the edge device belongs to the terminal device after establishing a logical connection with the terminal device that requests connection to the VPN. VPN information is acquired from a VPN member management server, and connection setting processing between the terminal device and a VPN to which the terminal device requests connection is performed based on the VPN information acquired from the VPN member management server. To do.
この発明によれば、IPネットワーク上にDHT方式の検索機能を提供するオーバーレイネットワークを構築するエッジ装置と、複数のVPNおよびVPNのメンバーとなりうる端末装置を管理するVPNメンバー管理サーバとが具備され、エッジ装置は、VPNへの接続を要求する端末装置との論理的コネクションを確立した後に、VPNメンバー管理サーバから取得したVPNの情報に基づいて端末装置と端末装置が接続を要求するVPNとの接続設定処理を行うようにしているので、IPSec方式やMPLS/VPN方式を使用する場合よりも簡潔な手順で、動的なVPNの生成/削除が可能となり、また、端末装置がモバイルIPをサポートすることなく、任意のエッジ装置経由でVPNに接続した場合であっても、VPN内にて同一IPアドレスを使用した通信が可能となるという効果を奏する。 According to the present invention, an edge device that constructs an overlay network that provides a DHT search function on an IP network, and a VPN member management server that manages a plurality of VPNs and terminal devices that can be members of the VPN are provided. The edge device establishes a logical connection with the terminal device that requests connection to the VPN, and then connects the terminal device and the VPN that the terminal device requests to connect based on the VPN information acquired from the VPN member management server. Since setting processing is performed, dynamic VPN creation / deletion can be performed with a simpler procedure than when using the IPSec method or MPLS / VPN method, and the terminal device supports mobile IP. Without connecting to the VPN via any edge device, even within the VPN An effect that can communicate using an IP address.
以下に、本発明にかかるデータ通信システムおよびデータ通信方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。 Hereinafter, embodiments of a data communication system and a data communication method according to the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited by this embodiment.
実施の形態1.
図1は、本発明の実施の形態1にかかるデータ通信システムを実現するネットワークの構成例を示す図であり、当該ネットワークは、エッジ装置間を接続するIPマルチキャストに対応したIPネットワークに接続する端末装置1−1,1−2,…,1−mと、上記IPネットワークに接続され、オーバーレイネットワークを構築するエッジ装置2−1,2−2,…,2−nと、VPN毎の各種情報を管理するVPNメンバー管理サーバ3と、端末装置の認証を行う認証サーバ4と、を備えている。
FIG. 1 is a diagram illustrating a configuration example of a network that implements the data communication system according to the first embodiment of the present invention, and the network is a terminal that is connected to an IP network corresponding to an IP multicast that connects edge devices. , 1-m, edge devices 2-1, 2-2,..., 2-n connected to the IP network and constructing an overlay network, and various information for each VPN VPN
ここで、本発明にかかるデータ通信システムを実現する本実施の形態のネットワークでは、IPアドレスのサブネット部分でVPNを識別することとする。このようにすれば、同じVPNに属する端末装置を、同じサブネットに所属させることができるとともに、複数のVPNをIPネットワーク上に同時に実現することができる。なお、サブネット部分のビット長は、必ずしも同一である必要はないが、処理の簡素化のためには、いずれのVPNでも同一であることが好ましい。 Here, in the network of the present embodiment realizing the data communication system according to the present invention, the VPN is identified by the subnet portion of the IP address. In this way, terminal devices belonging to the same VPN can belong to the same subnet, and a plurality of VPNs can be simultaneously realized on the IP network. Note that the bit lengths of the subnet portions are not necessarily the same, but are preferably the same for any VPN in order to simplify the processing.
また、当該IPネットワークにおいて送受信を行うIPパケットには、どのVPN上で送受信するIPパケットかを識別可能にするためのラベルを付与することができる。なお、このようなラベルを付与することにより、端末装置(図1に示した端末装置1−1〜1−m)は、同時に複数のVPNに接続することができる。 In addition, a label for identifying on which VPN the IP packet is transmitted / received can be given to the IP packet transmitted / received in the IP network. In addition, by giving such a label, the terminal devices (terminal devices 1-1 to 1-m shown in FIG. 1) can be simultaneously connected to a plurality of VPNs.
(端末装置1の構成)
つづいて、図2は、端末装置1(上記端末装置1−1〜1−mに相当)の構成例を示す図であり、例えば、LinuxをOSとするPC(パーソナルコンピュータ)を用いることができる。図2に示したように、端末装置1は、IP通信モジュール11、トンネル通信モジュール12、仮想インタフェースドライバ13、アプリケーション14、データベース15を備えている。
(Configuration of terminal device 1)
FIG. 2 is a diagram illustrating a configuration example of the terminal device 1 (corresponding to the terminal devices 1-1 to 1-m). For example, a PC (personal computer) using Linux as an OS can be used. . As illustrated in FIG. 2, the
IP通信モジュール11は、IPネットワークを介して端末装置1およびエッジ装置2の間のIP通信を実現するIPプロトコル処理を行う機能を提供し、例えば、Linuxに含まれるIPプロトコルスタックS/W(ソフトウェア)によって実現される。
The
また、トンネル通信モジュール12は、端末装置とエッジ装置間の論理的コネクションを実現するための通信プロトコル処理を行う。例えば、IPSecトンネルモードを通信プロトコルとして使用することで、論理的コネクションを実現する。IPSec_SAが表す論理的コネクション上で、ラベル付きのIPパケットを転送するときは、IETF(Internet Engineering Task Force)のRFC3032に定義される、MPLSのラベルフォーマットと同じラベルを付与したIPパケットを転送する。論理的コネクション上で転送されるラベル付きIPパケットが、ユーザトラフィックとなるIPパケットか、VPNに関する制御のためのIPパケットかは、IPv4ヘッダのProtocolフィールド、もしくは、IPv6ヘッダのNext Headerフィールドの値を参照し、その値がVPNに関する制御のためのIPパケットでないかどうかで判定する。
The
また、仮想インタフェースドライバ13は、論理的コネクションの識別子およびラベル値を、IP通信モジュールに対してIP通信が可能な一つのインタフェースとして見せかけるための機能(仮想インタフェース)を提供するもので、例えば、Linuxのデバイスドライバとして実現することが可能である。
The
また、アプリケーション14は、例えば、Linux上で動作するアプリケーションで、ソケットインタフェースを用いたVPN上でのIP通信、仮想インタフェースドライバが提供するAPI(Application Program Interface)を利用したVPNへの参加/離脱,VPNの生成/削除,VPNへのメンバー追加/削除を指示するための制御信号の送受信を行う機能、を実現する。
The
また、データベース15は、「仮想インタフェースの識別子をキーとして、仮想インタフェースが使用するラベルの値をデータとするデータベース。」および「ラベルの値をキーとして、ラベルに対応付けられる仮想インタフェースの識別子をデータとするデータベース。」を管理する。そして、登録されているデータの検索機能を提供するS/Wとして実現される。
In addition, the
上述の構成をとる端末装置1は、通信者間での認証機能、秘匿機能、改竄防止機能を有する論理的コネクションを介して、エッジ装置(図1に示したエッジ装置2−1、…、2−nのいずれか)と接続する。そして、端末装置1は、当該論理的コネクションを介してVPNへの参加などを行うための制御メッセージの送受信およびIPパケットの送受信を行う。
The
ここで、上記制御メッセージには、「VPN参加要求MSG(メッセージ)および応答MSG」、「VPN離脱要求MSGおよび応答MSG」、「VPN生成要求MSGおよび応答MSG」、「VPN削除要求MSGおよび応答MSG」、「メンバー追加要求MSGおよび応答MSG」、および「メンバー削除要求MSGおよび応答MSG」がある。端末装置1は、これらのメッセージを使用して、VPNへの参加および離脱、VPNの生成および削除、VPNへのメンバー追加および削除、をエッジ装置(図1に示したエッジ装置2−1、…、2−nのいずれか)に対して要求する。
Here, the control message includes “VPN join request MSG (message) and response MSG”, “VPN leave request MSG and response MSG”, “VPN generation request MSG and response MSG”, “VPN deletion request MSG and response MSG” ”,“ Member addition request MSG and response MSG ”, and“ Member deletion request MSG and response MSG ”. The
なお、端末装置1は、論理的コネクション上の各ラベル値を、IPパケットが送受信可能な仮想インタフェースとして扱う。
The
(エッジ装置2の構成)
つづいて、図3は、エッジ装置2(上記エッジ装置2−1〜2−nに相当)の構成例を示す図であり、例えば、LinuxをOSとするPCを用いることができる。図3に示したように、エッジ装置2は、IP通信モジュール21、データベース25、DHT検索モジュール26、制御モジュール27、トンネル通信モジュール12を備えている。なお、トンネル通信モジュール12は、上記端末装置1が備えているトンネル通信モジュールと同一である。
(Configuration of edge device 2)
FIG. 3 is a diagram illustrating a configuration example of the edge device 2 (corresponding to the edge devices 2-1 to 2-n). For example, a PC using Linux as an OS can be used. As shown in FIG. 3, the
IP通信モジュール21は、IPネットワークを介して端末装置1およびエッジ装置2の間のIP通信と、他のエッジ装置との間(上記エッジ装置2−1、2−2、…、2−nの間)のIP通信と、エッジ装置2および認証サーバ4の間のIP通信と、エッジ装置2−1、2−2、…、2−nおよびVPNメンバー管理サーバ3の間のIP通信を実現するIPプロトコル処理を行う機能を提供し、例えば、Linuxに含まれるIPプロトコルスタックS/Wによって実現される。
The
また、データベース25は、エッジ装置2に存在するデータベースを管理する。そして、登録されているデータの検索機能を提供するS/Wとして実現さる。なお、データベース25は、以下に示す6種類のデータベースを総括したものである。
The
「端末装置との間の論理的コネクションの識別子とラベル値のペアをキーとして、VPN識別子と端末装置識別子とVPN内IPアドレスをデータとするデータベース」、「VPN内IPアドレスをキーとして、そのIPアドレスを使用している端末装置との間の論理的コネクションの識別子とラベル値のペアをデータとするデータベース」、「VPN識別子をキーとして、そのVPNへの接続に使用される端末装置との間の論理的コネクションの識別子とラベル値のペアのリストをデータとするデータベース」、「VPN識別子をキーとして、そのVPNに対応付けられるマルチキャストIPアドレスとサブネットアドレスをデータとするデータベース」、「マルチキャストIPアドレスをキーとして、そのマルチキャストIPアドレスに対応付けられるVPN識別子をデータとするデータベース」、「サブネットアドレスをキーとして、そのサブネットアドレスに対応付けられるVPN識別子をデータとするデータベース」。 "Database with VPN identifier, terminal device identifier and IP address within VPN as data using pair of identifier and label value of logical connection with terminal device as key", "IP with VPN IP address as key and its IP “Database with logical connection identifier and label value pair as data between terminal device using address”, “between terminal device used for connection to VPN with VPN identifier as key Database having data as a list of pairs of logical connection identifiers and label values ”,“ database using VPN identifiers as keys and multicast IP addresses and subnet addresses associated with the VPNs ”,“ multicast IP addresses As the key to the multicast IP address Database "that the response with is VPN identifier and data," the subnet address as the key, the database that the VPN identifier that is associated with the subnet address and data. "
なお、上記の6つのデータベースは、必ずしもそれぞれが個別のデータベースとして記憶されている必要はなく、一つのデータベースが構成され、所定項目のデータをキーとして、上記6つのデータベースにおける各データ項目が抽出されるように構成されるものであってもよい。 Each of the above six databases does not necessarily have to be stored as an individual database. A single database is configured, and each data item in the above six databases is extracted using predetermined item data as a key. It may be configured such that.
また、DHT検索モジュール26は、例えば「Building Peer−to−Peer Systems With Chord, a Distributed Lookup Service, F.Dabek,E.Brunskill,M.Kaashoek,D.Karger,R.Morris,I.Stoica and H.Balakrishnan,Proceeding of the 8th Workshop on Hot Topics on Operating Systems, May,2001」に示されるChordの実現方法例において述べられる、DHT(Distributed Hash Table)検索方式を実現するモジュールであり、ある端末装置のIPアドレスが与えられたときに、その端末装置が論理的コネクションを確立しているエッジ装置を決定するための機能を提供する(以下「論理的コネクションを確立しているエッジ装置…」を単に「接続しているエッジ装置…」と表現する。)。
The
また、制御モジュール27は、例えば、S/Wとして実現され、エッジ装置2を構成する他のモジュール(IP通信モジュール21、トンネル通信モジュール12、など)を制御する。
The
そして、IPネットワークに接続したエッジ装置2は、他のエッジ装置と共にオーバーレイネットワークを構築し、当該ネットワークにおいて、例えば上述したChordの方式に従って、DHT方式で検索を行う機能を提供する。
The
(VPNメンバー管理サーバ3の構成)
つづいて、図4に基づいてVPNメンバー管理サーバ3を説明する。図4は、VPNメンバー管理サーバ3の構成例を示す図であり、例えば、LinuxをOSとするPCを用いることができる。図4に示したように、VPNメンバー管理サーバ3は、IP通信モジュール31、データベース35、制御モジュール37、DHT検索モジュール26を備えている。なお、DHT検索モジュール26は、上記エッジ装置2が備えているDHT検索モジュールと同一である。
(Configuration of VPN member management server 3)
Next, the VPN
IP通信モジュール31は、IPネットワークを介してエッジ装置2およびVPNメンバー管理サーバ3の間のIP通信を実現するIPプロトコル処理を行う機能を提供し、例えば、Linuxに含まれるIPプロトコルスタックS/Wによって実現される。
The
また、データベース35は、VPN識別子をキーとしてVPNメンバー管理サーバ3に存在するデータベースをVPN毎に管理する。そして、登録されているデータの検索機能を提供するS/Wとして実現する。なお、データベース35が管理するデータベースは、「VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレス情報」、「VPNに対応付けられるサブネットアドレス情報」、「VPNメンバーとなりうる端末装置毎の情報(端末装置識別子および端末装置に割当てるIPアドレスの組のリスト)」であり、これをVPN情報データベースと呼ぶ。
The
また、制御モジュール37は、例えば、S/Wとして実現され、VPNメンバー管理サーバ3を構成する他のモジュール(IP通信モジュール31など)を制御する。
In addition, the
そして、VPNメンバー管理サーバ3は、VPN識別子と端末装置識別子とを含むVPNメンバー問合せ要求MSGを受信したときに、端末装置識別子で指定される端末装置がVPN識別子で指定されるVPNに参加可能かどうかをチェックした結果と、参加可能な場合に端末装置に割当てるIPアドレスと、VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレスと、VPNに対応付けられるサブネットアドレスとを、VPNメンバー問合せ応答MSGで通知(返信)する。
When the VPN
(認証サーバ4の構成)
つづいて、図5は、認証サーバ4の構成例を示す図であり、例えば、LinuxをOSとするPCを用いることができる。図5に示したように、認証サーバ4は、IP通信モジュール41、データベース45、制御モジュール47を備えている。
(Configuration of authentication server 4)
Next, FIG. 5 is a diagram illustrating a configuration example of the authentication server 4. For example, a PC using Linux as an OS can be used. As shown in FIG. 5, the authentication server 4 includes an
IP通信モジュール41は、IPネットワークを介してエッジ装置2−1、2−2、…、2−nおよび認証サーバ4の間のIP通信を実現するIPプロトコル処理を行う機能を提供し、例えば、Linuxに含まれるIPプロトコルスタックS/Wによって実現される。
The
また、データベース45は、認証サーバ4に存在するデータベースを管理する。そして、登録されているデータの検索機能を提供するS/Wとして実現さる。なお、データベース45は、「端末装置認証のために必要な秘密情報」、「端末装置が属するデフォルトVPNのVPN識別子」を管理する。
The
また、制御モジュール47は、例えば、S/Wとして実現され、認証サーバ4を構成する他のモジュール(IP通信モジュール41など)を制御する。
The
そして、認証サーバ4は、認証要求MSGを受信した場合、当該認証要求MSGに含まれる端末装置識別子と端末装置認証に必要な情報とを元に端末装置の認証処理を行い、当該認証結果と、端末装置がデフォルトで属するVPNのVPN識別子とを認証応答MSGで通知(返信)する。 When the authentication server 4 receives the authentication request MSG, the authentication server 4 performs an authentication process of the terminal device based on the terminal device identifier included in the authentication request MSG and information necessary for the terminal device authentication, and the authentication result, The VPN identifier of the VPN to which the terminal device belongs by default is notified (returned) by the authentication response MSG.
(端末装置によるVPNの作成)
つづいて、端末装置1−1が既存のVPNとの接続を介して新しいVPNを作成する動作の一例を図6に基づいて説明する。なお、図6は端末装置1−1がVPNを作成する動作の一例を示すシーケンス図である。また、端末装置1−1とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
(Create VPN with terminal device)
Next, an example of an operation in which the terminal device 1-1 creates a new VPN via a connection with an existing VPN will be described with reference to FIG. FIG. 6 is a sequence diagram illustrating an example of an operation in which the terminal device 1-1 creates a VPN. In addition, it is assumed that a logical connection has been established between the terminal device 1-1 and the edge device 2-1.
端末装置1−1は、仮想インタフェース上で、新たに作成したいVPNを示すVPN識別子を含むVPN生成要求MSGを、エッジ装置2−1に対して送信する(ステップS1)。 The terminal apparatus 1-1 transmits a VPN generation request MSG including a VPN identifier indicating a VPN to be newly created to the edge apparatus 2-1 on the virtual interface (step S1).
エッジ装置2−1は、端末装置1−1から受信したVPN生成要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、端末装置1−1の端末装置識別子をデータベース25で検索する(ステップS2)。そして、エッジ装置2−1は、上記検索により取得した端末装置1−1の端末装置識別子および上記VPN識別子を含むVPN作成要求MSGをVPNメンバー管理サーバ3宛に送信する(ステップS3)。
The edge device 2-1 searches the
VPNメンバー管理サーバ3は、受信したVPN作成要求MSGに含まれるVPN識別子が未登録の場合、以下に述べる処理を実行し、データベース35(VPN情報データベース)を更新する(ステップS4)。
If the VPN identifier included in the received VPN creation request MSG is not registered, the VPN
VPNメンバー管理サーバ3は、「上記VPN識別子に対応するVPN(新規作成するVPN)に割当てるサブネットアドレス(他のVPN識別子に割当済みのサブネットアドレスと重複しない値とする)」および「上記VPN識別子に対応するVPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレス(他のVPN識別子に割当済みのマルチキャストIPアドレスと重複しない値とする)」を決定する。そして、VPNメンバー管理サーバ3は、上記データを、上記VPN識別子をキーとして管理するデータベースとしてデータベース35に追加する。さらに、VPNメンバー管理サーバ3は、データベース35に含まれる「VPNメンバーとなりうる端末装置毎の端末装置識別子および端末装置に割当てるIPアドレスの組のリスト」に、「上記VPN作成要求MSGで指定された端末装置識別子と、それに割当てるIPアドレスの組の情報」を追加する(以上、ステップS4)。
The VPN
そして、VPNメンバー管理サーバ3は、VPN作成応答MSG(作成成功、端末装置に割当てるIPアドレス,VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレス,VPNに対応付けられるサブネットアドレスを含む)を、エッジ装置2−1へ送信する(ステップS5)。なお、VPNメンバー管理サーバ3は、上記エッジ装置2−1から受信したVPN作成要求MSGに含まれるVPN識別子が登録済みの場合、VPNの作成失敗を示すVPN作成応答MSG(作成失敗)をエッジ装置2−1へ送信する。
Then, the VPN
VPN作成の成功を示すVPN作成応答MSGを受信した場合、エッジ装置2−1は、端末装置1−1との論理的コネクション上で、このVPN内でパケットを転送する際にIPパケットの先頭に付けるラベルが使用するラベル値を決定する(ステップS6)。なお、当該ラベルの値は、論理的コネクション内で一意になる様に決める。 When receiving the VPN creation response MSG indicating the success of the VPN creation, the edge device 2-1 transfers the packet within the VPN on the logical connection with the terminal device 1-1 to the head of the IP packet. The label value used by the label to be attached is determined (step S6). Note that the value of the label is determined to be unique within the logical connection.
つぎに、エッジ装置2−1は、以下に述べる処理を実行し、データベース25を更新する(ステップS7)。 Next, the edge device 2-1 executes processing described below and updates the database 25 (step S7).
エッジ装置2−1は、端末装置1−1との間の論理的コネクションの識別子とラベル値のペアをキーとして、VPN識別子と端末装置識別子とVPN内IPアドレスをデータベース25に記録する。また、エッジ装置2−1は、VPN内IPアドレスをキーとして、端末装置1−1との間の論理的コネクションの識別子とラベル値のペアをデータベース25に記録する。さらに、エッジ装置2−1は、VPN識別子をキーとして、データベース25を検索して得られる、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストに、論理的コネクションの識別子とラベル値のペアを追加する。(データベース25のリストを更新する)。なお、エッジ装置2−1は、VPN識別子をキーとしたデータベース25の検索の結果、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストが得られない(指定のVPN識別子に対応するリストをデータベース25に保持していない)場合は、VPN識別子をキーとして空のリストをデータとするデータをデータベース25に追加した上で(空のリストを新規作成した上で)、論理的コネクションの識別子とラベル値のペアを追加する(以上、ステップS7)。
The edge device 2-1 records the VPN identifier, the terminal device identifier, and the IP address in the VPN in the
そして、エッジ装置2−1は、上記VPN生成要求MSGに付与されていたものと同じラベルを付与したVPN生成応答MSG(成功、端末装置1−1に割り当てたIPアドレスおよびラベル値を含む)を、論理的コネクション上で端末装置1−1に送信する(ステップS8)。 Then, the edge device 2-1 receives the VPN generation response MSG (successful, including the IP address and label value assigned to the terminal device 1-1) to which the same label as that given to the VPN generation request MSG is given. Then, the data is transmitted to the terminal device 1-1 over the logical connection (step S8).
以下、エッジ装置2−1は、前述したDHT方式検索機能を提供するオーバーレイネットワーク上に端末装置1−1に割当てたIPアドレスをキーとして、自装置のIPアドレスをデータとするレコードを登録する(ステップS9)。また、新規作成したVPNに端末装置1−1が接続する場合、エッジ装置2−1は、以下の処理を行う。 Hereinafter, the edge device 2-1 registers a record having the IP address of the own device as data, with the IP address assigned to the terminal device 1-1 as a key on the overlay network that provides the DHT search function described above ( Step S9). When the terminal device 1-1 is connected to the newly created VPN, the edge device 2-1 performs the following processing.
エッジ装置2−1は、「(新規作成したVPNの)VPN識別子をキーとした、マルチキャストIPアドレスおよびサブネットアドレス」のデータ、「マルチキャストIPアドレスをキーとした、VPN識別子」のデータ、および「サブネットアドレスをキーとした、VPN識別子」のデータをデータベース25に記録する。そして、マルチキャストIPアドレス宛パケットを受信する様に、マルチキャストIPアドレスにJOINする。
The edge device 2-1 includes data of “multicast IP address and subnet address using VPN identifier (of newly created VPN) as key”, data of “VPN identifier using multicast IP address as key”, and “subnet Data of “VPN identifier” using the address as a key is recorded in the
なお、エッジ装置2−1は、VPNメンバー管理サーバ3から、VPN作成失敗を示すVPN作成応答MSGを受信した場合、その旨を示すVPN生成応答MSG(失敗)を端末装置1−1に送信する。
When the edge device 2-1 receives a VPN creation response MSG indicating VPN creation failure from the VPN
端末装置1−1は、VPN生成の成功を示すVPN生成応答MSG(生成成功)を受信した場合、論理的コネクションの識別子とVPN生成応答MSGに示されるラベル値のペアを仮想インタフェースとして扱い、VPN生成応答MSGに示されるIPアドレスを、その仮想インタフェースのIPアドレスとして設定する。つぎに、端末装置1−1は、仮想インタフェースを表す識別子を決定し、仮想インタフェース識別子とラベル値の対応付けを、データベース15に記録する(ステップS10)。 When receiving the VPN generation response MSG (successful generation) indicating the success of the VPN generation, the terminal device 1-1 treats the pair of the logical connection identifier and the label value indicated in the VPN generation response MSG as a virtual interface, and creates a VPN. The IP address indicated in the generation response MSG is set as the IP address of the virtual interface. Next, the terminal device 1-1 determines an identifier representing the virtual interface, and records the association between the virtual interface identifier and the label value in the database 15 (step S10).
(端末装置によるVPNへのメンバーの追加)
つづいて、端末装置1−1が既存のVPNへメンバーを追加する動作の一例を図7に基づいて説明する。なお、図7は、既存のVPNへメンバーを追加する動作の一例を示すシーケンス図である。また、端末装置1−1とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
(Adding members to the VPN using a terminal device)
Next, an example of an operation in which the terminal device 1-1 adds a member to an existing VPN will be described with reference to FIG. FIG. 7 is a sequence diagram showing an example of an operation for adding a member to an existing VPN. In addition, it is assumed that a logical connection has been established between the terminal device 1-1 and the edge device 2-1.
端末装置1−1は、仮想インタフェース上で、メンバーを追加したいVPNを示すVPN識別子と追加したいメンバーを示す端末装置識別子とを含むメンバー追加要求MSGを、エッジ装置2−1に対して送信する(ステップS11)。 On the virtual interface, the terminal device 1-1 transmits a member addition request MSG including a VPN identifier indicating the VPN to which a member is to be added and a terminal device identifier indicating the member to be added to the edge device 2-1. Step S11).
エッジ装置2−1は、端末装置1−1から受信したメンバー追加要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、追加要求元の端末装置である端末装置1−1の端末装置識別子(以下「追加要求元端末装置識別子」と呼称)をデータベース25で検索する(ステップS12)。そして、エッジ装置2−1は、上記検索により取得した追加要求元端末装置識別子、上記メンバー追加要求MSGに含まれていた端末装置識別子(以下「追加対象端末装置識別子」と呼称)および上記VPN識別子を含むVPNメンバー追加要求MSGをVPNメンバー管理サーバ3宛に送信する(ステップS13)。 The edge device 2-1 uses the pair of the logical connection identifier and the label value included in the member addition request MSG received from the terminal device 1-1 as a key for the terminal device 1-1 that is the terminal device of the addition request source. The terminal device identifier (hereinafter referred to as “addition request source terminal device identifier”) is searched in the database 25 (step S12). Then, the edge device 2-1 includes the additional request source terminal device identifier acquired by the search, the terminal device identifier (hereinafter referred to as “addition target terminal device identifier”) included in the member addition request MSG, and the VPN identifier. VPN member addition request MSG including is transmitted to the VPN member management server 3 (step S13).
VPNメンバー管理サーバ3は、以下に述べる処理を実行し、データベース35(VPN情報データベース)を更新する(ステップS14)。
The VPN
VPNメンバー管理サーバ3は、エッジ装置2−1から受信したVPNメンバー追加要求MSGに含まれるVPN識別子をキーとしてデータベース35を検索する。当該検索結果である「VPNメンバーとなりうる端末装置毎の情報(端末装置アドレスおよび端末装置に割り当てるIPアドレスの組のリスト)」に上記追加対象端末装置識別子が未登録である場合、VPNメンバー管理サーバ3は、追加対象端末装置に割り当てるIPアドレスを決定する。さらに、VPNメンバー管理サーバ3は、当該IPアドレスと上記追加対象端末装置識別子を、データベース35に含まれる「VPNメンバーとなりうる端末装置毎の情報(端末装置アドレスおよび端末装置に割り当てるIPアドレスの組のリスト)」へ追加する(以上、ステップS14)。
The VPN
そして、VPNメンバー管理サーバ3は、VPNへのメンバー追加の成功を示すVPNメンバー追加応答MSG(追加成功)をエッジ装置2−1へ送信する(ステップS15)。なお、上記追加対象端末装置識別子がVPN識別子をキーとして検索された「VPNメンバーとなりうる端末装置毎の情報」に登録済みである場合、VPNメンバー管理サーバ3は、VPNへのメンバー追加の失敗を示すVPNメンバー追加応答MSG(追加失敗)をエッジ装置2−1へ送信する。
Then, the VPN
エッジ装置2−1は、VPNメンバー管理サーバ3からVPNメンバー追加応答MSGを受信すると、その結果(追加成功/追加失敗)をメンバー追加応答MSGに設定して端末装置1−1に通知する(ステップS16)。
When the edge device 2-1 receives the VPN member addition response MSG from the VPN
(端末装置によるVPNの削除)
つづいて、端末装置1−1がVPNとの接続を介して当該VPNとは異なる既存のVPNを削除する動作の一例を図8に基づいて説明する。なお、図8は、端末装置1−1がVPNを削除する動作の一例を示すシーケンス図である。また、端末装置1−1とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
(Deleting VPN by terminal device)
Next, an example of an operation in which the terminal device 1-1 deletes an existing VPN different from the VPN through connection with the VPN will be described with reference to FIG. FIG. 8 is a sequence diagram illustrating an example of an operation in which the terminal device 1-1 deletes the VPN. In addition, it is assumed that a logical connection has been established between the terminal device 1-1 and the edge device 2-1.
端末装置1−1は、仮想インタフェース上で、削除したいVPNを示すVPN識別子を含むVPN削除要求MSGを、エッジ装置2−1に対して送信する(ステップS21)。 The terminal device 1-1 transmits a VPN deletion request MSG including a VPN identifier indicating the VPN to be deleted to the edge device 2-1 on the virtual interface (step S21).
エッジ装置2−1は、端末装置1−1から受信したVPN削除要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、削除要求元の端末装置である端末装置1−1の端末装置識別子をデータベース25で検索する(ステップS22)。そして、エッジ装置2−1は、上記検索により取得した端末装置識別子および上記VPN削除要求MSGに含まれていたVPN識別子(以下「削除対象VPN識別子」と呼称)を含むVPN消去要求MSGをVPNメンバー管理サーバ3宛に送信する(ステップS23)。 The edge device 2-1 uses the logical connection identifier and label value pair included in the VPN deletion request MSG received from the terminal device 1-1 as a key for the terminal device 1-1 that is the deletion request source terminal device. The terminal device identifier is searched in the database 25 (step S22). Then, the edge device 2-1 transmits a VPN deletion request MSG including the terminal device identifier acquired by the search and the VPN identifier included in the VPN deletion request MSG (hereinafter referred to as “deleted VPN identifier”) to the VPN member. It transmits to the management server 3 (step S23).
VPNメンバー管理サーバ3は、受信したVPN消去要求MSGに含まれる削除対象VPN識別子が登録済み、かつ削除対象VPN識別子をキーとしてデータベース35(VPN情報データベース)に登録されている「VPNメンバーとなりうる端末装置毎の端末装置識別子および端末装置に割当てるIPアドレスの組」のリストが空である場合、以下に述べる処理を実行し、データベース35を更新する(ステップS24)。
The VPN
VPNメンバー管理サーバ3は、VPNに割当てるサブネットアドレスと、VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレスと、を解放する。また、VPNメンバー管理サーバ3は、上記削除対象VPN識別子をキーとしてデータベース35に登録されている「VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレス」、「VPNに割当てるサブネットアドレス」、および「VPNメンバーとなりうる端末装置毎の端末装置識別子および端末装置に割当てるIPアドレスの組のリスト」をデータベース35から削除する(以上、ステップS24)。
The VPN
そして、VPNメンバー管理サーバ3は、VPN消去応答MSG(削除成功)を、エッジ装置2−1へ送信する(ステップS25)。なお、VPNメンバー管理サーバ3は、「VPNメンバーとなりうる端末装置毎の端末装置識別子および端末装置に割当てるIPアドレスの組のリスト」が空でない場合は、エッジ装置2−1が指定したVPNの削除失敗を示すVPN消去応答MSG(削除失敗)をエッジ装置2−1へ送信する。
Then, the VPN
エッジ装置2−1は、VPNの削除動作が終了したことを示すVPN消去応答MSG(削除成功/削除失敗)を受信すると、当該動作結果(削除成功/削除失敗)を示すVPN削除応答MSGを端末装置1−1に送信する(ステップS26)。 When the edge device 2-1 receives the VPN deletion response MSG (deletion success / deletion failure) indicating that the VPN deletion operation has ended, the edge device 2-1 receives the VPN deletion response MSG indicating the operation result (deletion success / deletion failure). It transmits to the device 1-1 (step S26).
(端末装置によるVPNからのメンバーの削除)
つづいて、端末装置1−1が既存のVPNからメンバー(端末装置1−mとする)を削除する動作の一例を図9に基づいて説明する。なお、図9は、既存のVPNからメンバーを削除する動作の一例を示すシーケンス図である。また、端末装置1−1とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
(Deleting members from VPN by terminal device)
Next, an example of an operation in which the terminal device 1-1 deletes a member (terminal device 1-m) from the existing VPN will be described with reference to FIG. FIG. 9 is a sequence diagram showing an example of an operation for deleting a member from an existing VPN. In addition, it is assumed that a logical connection has been established between the terminal device 1-1 and the edge device 2-1.
端末装置1−1は、仮想インタフェース上で、メンバーを削除したいVPNを示すVPN識別子と削除したいメンバー(端末装置1−m)を示す端末装置識別子とを含むメンバー削除要求MSGを、エッジ装置2−1に対して送信する(ステップS31)。 On the virtual interface, the terminal device 1-1 sends a member deletion request MSG including a VPN identifier indicating a VPN whose member is to be deleted and a terminal device identifier indicating a member (terminal device 1-m) to be deleted to the edge device 2- 1 is transmitted (step S31).
エッジ装置2−1は、端末装置1−1から受信したメンバー削除要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、メンバー削除を要求した端末装置1−1の端末装置識別子をデータベース25で検索する(ステップS32)。そして、エッジ装置2−1は、上記検索により取得した端末装置1−1の端末装置識別子、上記メンバー削除要求MSGに含まれていた端末装置1−m(メンバー削除対象の端末装置)の端末装置識別子、および上記VPN識別子を含むVPNメンバー削除要求MSGをVPNメンバー管理サーバ3宛に送信する(ステップS33)。 The edge device 2-1 uses the logical connection identifier and label value pair included in the member deletion request MSG received from the terminal device 1-1 as a key, and the terminal device identifier of the terminal device 1-1 that has requested member deletion. Is searched in the database 25 (step S32). Then, the edge device 2-1 is the terminal device identifier of the terminal device 1-1 acquired by the search, and the terminal device 1-m (terminal device that is a member deletion target) included in the member deletion request MSG. The VPN member deletion request MSG including the identifier and the VPN identifier is transmitted to the VPN member management server 3 (step S33).
VPNメンバー管理サーバ3は、エッジ装置2−1から受信したVPNメンバー削除要求MSGに含まれるVPN識別子をキーとしてデータベース35(VPN情報データベース)を検索する。当該検索結果である「VPNメンバーとなりうる端末装置毎の情報(端末装置アドレスおよび端末装置に割り当てるIPアドレスの組のリスト)」に端末装置1−mの端末装置識別子が登録済みである場合、VPNメンバー管理サーバ3は、端末装置1−mに割り当てたIPアドレスを開放する。さらに、VPNメンバー管理サーバ3は、当該IPアドレスと上記端末装置1−mの端末装置識別子を、データベース35に含まれる「VPNメンバーとなりうる端末装置毎の情報(端末装置アドレスおよび端末装置に割り当てるIPアドレスの組のリスト)」から削除する(ステップS34)。
The VPN
つぎに、VPNメンバー管理サーバ3は、端末装置1−mに割り当てられていたIPアドレスをキーとして、端末装置1−mが接続しているエッジ装置(エッジ装置2−nとする)のIPアドレスをオーバーレイネットワーク上で検索し(ステップS35)、当該検索結果のIPアドレス(エッジ装置2−n)宛に、端末装置1−mに割り当てられているIPアドレス情報を含んだ端末装置切断要求MSGを送信する(ステップS36)。そして、VPNメンバー管理サーバ3は、VPNメンバー削除応答MSG(削除成功)を、エッジ装置2−1へ送信する(ステップS37)。
Next, the VPN
なお、エッジ装置2−1は、VPNメンバー削除応答MSGを受信するとその中で示される結果(削除成功/削除失敗)をメンバー削除応答MSGに設定し、端末装置1−1へ通知する(ステップS38)。 When receiving the VPN member deletion response MSG, the edge device 2-1 sets the result (deletion success / deletion failure) indicated in the member deletion response MSG and notifies the terminal device 1-1 (step S38). ).
エッジ装置2−nは、オーバーレイネットワーク上のレコードから、端末装置1−mに割当てられているIPアドレスをキーとするデータを削除する(ステップS39)。 The edge device 2-n deletes data using the IP address assigned to the terminal device 1-m as a key from the record on the overlay network (step S39).
さらに、エッジ装置2−nは、以下に述べる処理を実行し、データベースを更新する(ステップS40)。 Further, the edge device 2-n executes the processing described below and updates the database (step S40).
エッジ装置2−nは、端末装置1−mに割当てられているIPアドレスをキーとしてデータベースを検索し、端末装置1−mとの間の論理的コネクションの識別子とラベル値のペアを取得し、当該論理的コネクションの識別子とラベル値のペアをキーとして端末装置1−mが接続しているVPNのVPN識別子(以下「削除対象VPN識別子」と呼称)を検索(取得)する。そして、当該削除対象VPN識別子をキーとして検索した論理的コネクションの識別子とラベル値のペアをデータベースから削除する。また、エッジ装置2−nは、端末装置1−mに割当てられているVPN内IPアドレスをキーとして検索した論理的コネクションの識別子とラベル値のペアをデータベースから削除する。また、エッジ装置2−nは、端末装置1−mとの論理的コネクションの識別子とラベル値のペアをキーとして検索したVPN識別子、端末装置識別子、およびVPN内IPアドレスをデータベースから削除する。 The edge device 2-n searches the database using the IP address assigned to the terminal device 1-m as a key, acquires a pair of an identifier and a label value of a logical connection with the terminal device 1-m, The VPN identifier (hereinafter referred to as “deleted VPN identifier”) of the VPN to which the terminal apparatus 1-m is connected is searched (obtained) using the logical connection identifier and label value pair as a key. Then, the logical connection identifier and label value pair retrieved using the deletion target VPN identifier as a key are deleted from the database. Further, the edge device 2-n deletes from the database the pair of the logical connection identifier and the label value searched using the intra-VPN IP address assigned to the terminal device 1-m as a key. In addition, the edge device 2-n deletes the VPN identifier, the terminal device identifier, and the IP address in the VPN that have been searched using the logical connection identifier and label value pair with the terminal device 1-m from the database.
また、上記端末装置1−mが、エッジ装置2−nに接続する端末装置の中で削除対象のVPNに接続していた最後の端末装置である場合、エッジ装置2−nは、上記ステップS40に続いて以下の処理を実行する。 When the terminal device 1-m is the last terminal device connected to the VPN to be deleted among the terminal devices connected to the edge device 2-n, the edge device 2-n determines that the step S40 Following this, the following processing is executed.
エッジ装置2−nは、「VPN識別子(削除対象VPN識別子)」をキーとしてデータベースを検索して得た「マルチキャストIPアドレス」へのJOINを停止する。また、削除対象VPN識別子をキーとしてデータベースを検索して得た「サブネットアドレス」をキーとして、データベースに記録されている「VPN識別子」を削除する。また、削除対象VPN識別子をキーとしてデータベースを検索して得た「マルチキャストIPアドレス」をキーとして、データベースに記録されている「VPN識別子」を削除する。さらに、「VPN識別子」をキーとしてデータベースに記録されている「マルチキャストIPアドレス」と「サブネットアドレス」と、を削除する(以上、ステップS40)。 The edge device 2-n stops JOIN to “multicast IP address” obtained by searching the database using “VPN identifier (deleted VPN identifier)” as a key. Further, the “VPN identifier” recorded in the database is deleted using the “subnet address” obtained by searching the database using the deletion target VPN identifier as a key. Further, the “VPN identifier” recorded in the database is deleted using the “multicast IP address” obtained by searching the database using the deletion target VPN identifier as a key. Further, “multicast IP address” and “subnet address” recorded in the database with “VPN identifier” as a key are deleted (step S40).
さらに、エッジ装置2−nは、ラベル値を解放し、上記削除対象VPN識別子を含み、論理的コネクション上で、ラベル値が指定するラベルを付与したVPN切断通知MSGを端末装置1−mへ送信する(ステップS41)。なお、当該VPN切断通知MSGにおいては、送信元IPアドレスおよび宛先IPアドレスに端末装置1−mのIPアドレスを設定する。 Further, the edge device 2-n releases the label value, and transmits a VPN disconnection notification MSG including the deletion target VPN identifier and a label specified by the label value on the logical connection to the terminal device 1-m. (Step S41). In the VPN disconnection notification MSG, the IP address of the terminal device 1-m is set as the source IP address and the destination IP address.
そして、端末装置1−mは、VPN切断通知MSGを受信後、当該VPN切断通知MSGを受信した仮想インタフェースを削除する(ステップS42)。 Then, after receiving the VPN disconnection notification MSG, the terminal device 1-m deletes the virtual interface that has received the VPN disconnection notification MSG (step S42).
(端末装置のエッジ装置への接続)
つづいて、端末装置1−2のデフォルトVPNがVPNメンバー管理サーバ3に登録済みの場合に、端末装置1−2がエッジ装置2−1へ接続する動作の一例を図10に基づいて説明する。なお、図10は、端末装置1−2がエッジ装置2−1へ接続する動作の一例を示すシーケンス図である。
(Connection of terminal device to edge device)
Next, an example of an operation in which the terminal device 1-2 connects to the edge device 2-1 when the default VPN of the terminal device 1-2 has been registered in the VPN
端末装置1−2は、認証情報(端末装置識別子を含む)を含んだ論理的コネクションの確立要求をエッジ装置2−1宛に送信する(ステップS51)。 The terminal device 1-2 transmits a logical connection establishment request including authentication information (including the terminal device identifier) to the edge device 2-1 (step S51).
エッジ装置2−1は、受信した上記論理的コネクション確立要求に含まれる認証情報を用いて認証要求MSGを作成して認証サーバ4宛に送信し、認証サーバ4からの応答(認証応答MSG)を待つ(ステップS52)。そして、エッジ装置2−1は、認証サーバ4からの認証応答MSGを受信し(ステップS53)、その内容が認証成功の場合、認証応答MSGに含まれるVPN識別子と、上記論理的コネクション確立要求に含まれる端末装置識別子と、を用いて、VPNメンバー問合せ要求MSGを作成する。そして、エッジ装置2−1は、当該VPNメンバー問合せ要求MSGをVPNメンバー管理サーバ3宛に送信することにより、端末装置1−2がVPN識別子に対応するVPNに参加可能かどうかと、参加可能な場合に端末装置1−2に割当てるIPアドレスと、を問い合わせる(ステップS54)。なお、上記認証応答MSGの内容が認証失敗の場合、エッジ装置2−1は、端末装置1−2との論理的コネクション確立を拒否する。
The edge device 2-1 creates an authentication request MSG using the authentication information included in the received logical connection establishment request and transmits it to the authentication server 4, and sends a response (authentication response MSG) from the authentication server 4. Wait (step S52). Then, the edge device 2-1 receives the authentication response MSG from the authentication server 4 (step S53). If the content is successful, the edge device 2-1 receives the VPN identifier included in the authentication response MSG and the logical connection establishment request. A VPN member inquiry request MSG is created using the included terminal device identifier. Then, the edge device 2-1 transmits the VPN member inquiry request MSG to the VPN
つぎに、エッジ装置2−1は、上記VPNメンバー問合せ要求MSGに対するVPNメンバー問合せ応答MSGが、端末装置1−2のVPNへの参加を許可するもの(端末装置に割り当てるIPアドレス、マルチキャストIPアドレス、VPNに対応付けられるサブネットアドレスを含むもの)であった場合、端末装置1−2との論理的コネクションを介してVPN内でパケットを転送する際にIPパケットの先頭に付けるラベルが使用するラベル値を例えば“0”(一番初めに参加するVPN用のラベルの値を固定する趣旨)に決定する(ステップS56)。なお、当該ラベルの値は、論理的コネクション内で一意になる様に決定すればよい。また、エッジ装置2−1は、上記VPNメンバー問合せ応答MSGが、端末装置1−2のVPNへの参加を拒否するものであった場合、端末装置1−2との論理的コネクション確立を拒否する。 Next, in the edge device 2-1, the VPN member inquiry response MSG to the VPN member inquiry request MSG permits the participation of the terminal device 1-2 in the VPN (IP address assigned to the terminal device, multicast IP address, Label value used by the label attached to the head of the IP packet when the packet is transferred in the VPN via the logical connection with the terminal device 1-2. Is determined to be, for example, “0” (the purpose of fixing the value of the label for the VPN that participates first) (step S56). The label value may be determined so as to be unique within the logical connection. Further, when the VPN member inquiry response MSG rejects the participation of the terminal device 1-2 in the VPN, the edge device 2-1 rejects establishment of a logical connection with the terminal device 1-2. .
つぎに、エッジ装置2−1は、以下に述べる処理を実行し、データベース25を更新する(ステップS57)。 Next, the edge device 2-1 executes the process described below and updates the database 25 (step S57).
エッジ装置2−1は、端末装置1−2との間の論理的コネクションの識別子とラベル値(=0)のペアをキーとして、VPN識別子、端末装置識別子、およびVPN内IPアドレスをデータベース25に記録する。また、エッジ装置2−1は、VPN内IPアドレスをキーとして、端末装置1−2との間の論理的コネクションの識別子とラベル値(=0)のペア(データ)をデータベース25に記録する。さらに、エッジ装置2−1は、VPN識別子をキーとしてデータベース25を検索して得られる、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストに、論理的コネクションの識別子とラベル値(=0)のペアを追加する(データベース25のリストを更新する)。なお、エッジ装置2−1は、VPN識別子をキーとしたデータベース25の検索の結果、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストが得られない(指定のVPN識別子に対応するリストをデータベース25に保持していない)場合は、VPN識別子をキーとする空のリストのデータをデータベース25に追加した上で(空のリストを新規作成した上で)、論理的コネクションの識別子とラベル値(=0)のペアを当該空のリストに追加する(以上、ステップS57)。
The edge device 2-1 uses the pair of the logical connection identifier and the label value (= 0) as a key to the terminal device 1-2, and stores the VPN identifier, the terminal device identifier, and the IP address in the VPN in the
そして、エッジ装置2−1は、上記VPNメンバー問合せ応答MSGに含まれる「端末装置1−2が使用するIPアドレス」を端末装置1−2との間の論理的コネクションを確立するためのメッセージシーケンスの中で、通知する(ステップS58)。 Then, the edge device 2-1 establishes a logical connection between the “IP address used by the terminal device 1-2” included in the VPN member inquiry response MSG and the terminal device 1-2. (Step S58).
また、エッジ装置2−1は、前述したDHT方式検索機能を提供するオーバーレイネットワーク上に、端末装置1−2に割当てたIPアドレスをキーとして、自装置のIPアドレスをデータとするレコードを登録する(ステップS59)。 Further, the edge device 2-1 registers a record having the IP address of the own device as data, using the IP address assigned to the terminal device 1-2 as a key, on the overlay network that provides the DHT search function described above. (Step S59).
なお、端末装置1−2が、エッジ装置2−1に接続する端末装置の中で、上記認証サーバ4から受信した認証応答MSGに含まれるVPN識別子に対応するVPNに対して初めて接続するものである場合、エッジ装置2−1は、上記ステップS59に続いて以下の処理を実行する。 The terminal device 1-2 is the first to connect to the VPN corresponding to the VPN identifier included in the authentication response MSG received from the authentication server 4 among the terminal devices connected to the edge device 2-1. If there is, the edge device 2-1 executes the following processing following the above step S59.
エッジ装置2−1は、端末装置1−2が接続するVPNの「VPN識別子」をキーとして、上記VPNメンバー問合せ応答MSGに含まれる「マルチキャストIPアドレス」と「サブネットアドレス」と、をデータベースに記録する。また、「マルチキャストIPアドレス」をキーとして、「VPN識別子」をデータベース25に記録する。また、「サブネットアドレス」をキーとして、「VPN識別子」をデータベース25に記録する。そして、マルチキャストIPアドレス宛パケットを受信する様に、マルチキャストIPアドレスにJOINする。
The edge device 2-1 records “multicast IP address” and “subnet address” included in the VPN member inquiry response MSG in the database using the “VPN identifier” of the VPN to which the terminal device 1-2 is connected as a key. To do. Further, “VPN identifier” is recorded in the
また、端末装置1−2は、論理的コネクションの識別子とラベル値(=0)のペアを仮想インタフェースとして扱い、論理的コネクション確立手順の中で割当てられたIPアドレスを、その仮想インタフェースのIPアドレスとして設定する。そして、端末装置1−2は、仮想インタフェースを表す識別子を決定し、仮想インタフェース識別子とラベル値の対応付けを、データベース15に記録する(ステップS60)。 Further, the terminal device 1-2 treats the pair of the logical connection identifier and the label value (= 0) as a virtual interface, and uses the IP address assigned in the logical connection establishment procedure as the IP address of the virtual interface. Set as. And the terminal device 1-2 determines the identifier showing a virtual interface, and records matching with a virtual interface identifier and a label value in the database 15 (step S60).
(端末装置の既存のVPNへの参加)
つづいて、端末装置1−2が既存のVPNへ参加する動作の一例を図11に基づいて説明する。なお、図11は、端末装置1−2が既存のVPNへ参加する動作の一例を示すシーケンス図である。また、端末装置1−2とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
(Participation in existing VPN of terminal device)
Next, an example of the operation of the terminal device 1-2 participating in the existing VPN will be described with reference to FIG. FIG. 11 is a sequence diagram illustrating an example of an operation in which the terminal device 1-2 participates in an existing VPN. In addition, it is assumed that a logical connection has been established between the terminal device 1-2 and the edge device 2-1.
端末装置1−2は、仮想インタフェース上で、新たに参加したいVPNを示すVPN識別子を含むVPN参加要求MSGを、エッジ装置2−1に対して送信する(ステップS61)。 The terminal device 1-2 transmits a VPN participation request MSG including a VPN identifier indicating a VPN to newly join to the edge device 2-1 on the virtual interface (step S61).
エッジ装置2−1は、端末装置1−2から受信したVPN参加要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、端末装置1−2の端末装置識別子をデータベース25で検索する(ステップS62)。
The edge device 2-1 searches the
つぎに、エッジ装置2−1は、VPN参加要求MSGに含まれるVPN識別子と、上記検索で得た端末装置1−2の端末装置識別子を用いてVPNメンバー問合せ要求MSGを作成し、VPNメンバー管理サーバ3宛に送信する(ステップS63)。VPNメンバー管理サーバ3は、当該要求MSGに対するVPNメンバー問合せ応答MSGを作成してエッジ装置2−1に送信する(ステップS64)。エッジ装置2−1は、当該応答MSGの内容を確認し、端末装置1−2が上記VPN識別子に対応するVPNに参加可能かどうかを判断し、参加可能な場合は当該応答MSGに含まれている端末装置1−2に割当てるIPアドレスを取得する(ステップS65)。なお、端末装置1−2がVPNに参加できない場合、エッジ装置2−1は、上記VPN参加要求MSGに付与されていたものと同じラベルを付与したVPN参加応答MSG(参加拒否)を論理的コネクション上で端末装置1−2に送信し、端末装置1−2のVPN参加を拒否する。
Next, the edge device 2-1 creates a VPN member inquiry request MSG using the VPN identifier included in the VPN participation request MSG and the terminal device identifier of the terminal device 1-2 obtained by the search, and manages the VPN member. The message is transmitted to the server 3 (step S63). The VPN
端末装置1−2のVPNへの参加を許可する場合、エッジ装置2−1は、端末装置1−2との論理的コネクション介してVPN内でパケットを転送する際にIPパケットの先頭に付けるラベルが使用するラベル値を決定する(ステップS66)。なお、当該ラベルの値は、論理的コネクション内で一意になる様に決める。 When permitting the terminal device 1-2 to participate in the VPN, the edge device 2-1 attaches a label to the head of the IP packet when transferring the packet in the VPN via the logical connection with the terminal device 1-2. The label value to be used is determined (step S66). Note that the value of the label is determined to be unique within the logical connection.
つぎに、エッジ装置2−1は、以下に述べる処理を実行し、データベース25を更新する(ステップS67)。 Next, the edge device 2-1 executes the processing described below and updates the database 25 (step S67).
エッジ装置2−1は、端末装置1−2との間の論理的コネクションの識別子とラベル値のペアをキーとして、VPN識別子と端末装置識別子とVPN内IPアドレスをデータベース25に記録する。また、エッジ装置2−1は、VPN内IPアドレスをキーとして、端末装置1−2との間の論理的コネクションの識別子とラベル値のペアをデータベース25に記録する。さらに、エッジ装置2−1は、VPN識別子をキーとして、データベース25を検索して得られる端末装置との間の論理的コネクションの識別子とラベル値のペアのリストに、論理的コネクションの識別子とラベル値のペアを追加する(データベース25のリストを更新する)。なお、エッジ装置2−1は、VPN識別子をキーとしたデータベース25の検索の結果、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストが得られない(指定のVPN識別子に対応するリストをデータベース25に保持していない)場合は、VPN識別子をキーとする空のリストのデータをデータベース25に追加した上で(空のリストを新規作成した上で)、論理的コネクションの識別子とラベル値のペアを追加する(以上、ステップS67)。
The edge device 2-1 records the VPN identifier, the terminal device identifier, and the IP address in the VPN in the
また、エッジ装置2−1は、上記VPN参加要求MSGに付与されていたものと同じラベルを付与したVPN参加応答MSG(参加許可、端末装置1−2に割り当てたIPアドレスおよびラベル値を含む)を、論理的コネクション上で端末装置1−2に送信する(ステップS68)。 In addition, the edge device 2-1 has a VPN participation response MSG to which the same label as that given to the VPN participation request MSG is given (including participation permission, an IP address and a label value assigned to the terminal device 1-2). Is transmitted to the terminal device 1-2 over the logical connection (step S68).
つぎに、エッジ装置2−1は、上述した「端末装置1−2のデフォルトVPNがVPNメンバー管理サーバ3に登録済みの場合に、端末装置1−2がエッジ装置2−1へ接続する動作」の場合などと同様に、オーバーレイネットワーク上に、端末装置に割当てたIPアドレスをキーとして、自装置のIPアドレスをデータとするレコードを登録する。
Next, the edge device 2-1 is the above-described “operation in which the terminal device 1-2 connects to the edge device 2-1 when the default VPN of the terminal device 1-2 has been registered in the VPN
なお、端末装置1−2が、エッジ装置2−1に接続する端末装置の中で、上記VPNに対して初めて接続するものである場合、エッジ装置2−1は、上記の処理に続いて以下の処理を実行する。 In addition, when the terminal device 1-2 connects to the VPN for the first time among the terminal devices connected to the edge device 2-1, the edge device 2-1 follows the above processing. Execute the process.
エッジ装置2−1は、「(上記VPNの)VPN識別子をキーとした、マルチキャストIPアドレスおよびサブネットアドレス」のデータ、「マルチキャストIPアドレスをキーとしたVPN識別子」のデータ、および「サブネットアドレスをキーとしたVPN識別子」のデータをデータベース25に記録する。そして、エッジ装置2−1は、マルチキャストIPアドレス宛パケットを受信する様に、マルチキャストIPアドレスにJOINする(以上、ステップS69)。
The edge device 2-1 includes data of “multicast IP address and subnet address using VPN identifier (of the above VPN) as a key”, data of “VPN identifier using multicast IP address as a key”, and “subnet address as key The data of “VPN identifier” is recorded in the
また、エッジ装置2−1との論理的コネクションを確立した端末装置1−2は、論理的コネクションの識別子とVPN参加応答MSGに示されるラベル値のペアを仮想インタフェースとして扱い、VPN参加応答MSGに示されるIPアドレスを、その仮想インタフェースのIPアドレスとして設定する。つぎに、端末装置1−2は、仮想インタフェースを表す識別子を決定し、仮想インタフェース識別子とラベル値の対応付けを、データベース15に記録する(ステップS70)。 In addition, the terminal device 1-2 that has established a logical connection with the edge device 2-1 treats the pair of the logical connection identifier and the label value indicated in the VPN participation response MSG as a virtual interface, and sends the VPN participation response MSG to the VPN participation response MSG. The indicated IP address is set as the IP address of the virtual interface. Next, the terminal device 1-2 determines an identifier representing the virtual interface, and records the association between the virtual interface identifier and the label value in the database 15 (step S70).
(端末装置の参加中のVPNからの離脱)
つづいて、端末装置1−2がVPNから離脱する動作の一例を図12に基づいて説明する。なお、図12は、端末装置1−2がVPNから離脱する動作の一例を示すシーケンス図である。また、端末装置1−2とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
(Leaving from the VPN while the terminal device is participating)
Next, an example of the operation of the terminal device 1-2 leaving the VPN will be described with reference to FIG. FIG. 12 is a sequence diagram illustrating an example of the operation of the terminal device 1-2 leaving the VPN. In addition, it is assumed that a logical connection has been established between the terminal device 1-2 and the edge device 2-1.
端末装置1−2は、仮想インタフェース上で、離脱したいVPNを示すVPN識別子を含むVPN離脱要求MSGをエッジ装置2−1に対して送信する(ステップS71)。 The terminal device 1-2 transmits a VPN leave request MSG including a VPN identifier indicating the VPN to be removed to the edge device 2-1 on the virtual interface (step S71).
VPN離脱要求MSGを受信したエッジ装置2−1は、VPN離脱要求MSGに示されるVPN識別子をキーとして、端末装置1−2との間の論理的コネクションの識別子とラベル値のペアのリストを、データベース25で検索する(ステップS72)。当該検索結果のリストにVPN離脱要求MSGを受信した論理的コネクションの識別子とラベル値のペアが含まれている場合、エッジ装置2−1は、端末装置1−2に割当てたIPアドレスをキーとしたレコードをオーバーレイネットワーク上から削除する(ステップS73)。
The edge device 2-1 that has received the VPN leave request MSG uses a VPN identifier indicated in the VPN leave request MSG as a key to create a list of logical connection identifier and label value pairs with the terminal device 1-2. The
さらに、エッジ装置2−1は、以下に述べる処理を実行し、データベース25を更新する(ステップS74)。 Further, the edge device 2-1 executes the process described below and updates the database 25 (step S74).
エッジ装置2−1は、「VPN離脱要求MSGを受信した論理的コネクションの識別子とラベル値のペアをデータベース25のリストから削除する処理」、「論理的コネクションの識別子とラベル値のペアをキーとしたデータベース25の検索結果であるVPN内IPアドレス、をキーとして記録されている、端末装置1−2との間の論理的コネクションの識別子とラベル値のペア(データ)をデータベース25から削除する処理」、「論理的コネクションの識別子とラベル値のペアをキーとして記録されている、VPN識別子と端末装置識別子とVPN内IPアドレスをデータベース25から削除する処理」、および「ラベル値の解放処理」を行う(以上、ステップS74)。
The edge device 2-1 performs “a process of deleting the identifier and label value pair of the logical connection that has received the VPN withdrawal request MSG from the list of the
なお、上記検索結果のリストにVPN離脱要求MSGを受信した論理的コネクションの識別子とラベル値のペアが含まれていない場合は、その時点で処理を終了する。 If the search result list does not include the pair of the identifier and the label value of the logical connection that has received the VPN withdrawal request MSG, the process is terminated at that point.
つぎに、エッジ装置2−1は、VPN離脱要求MSGを受信した論理的コネクションの識別子とラベル値のペア上(端末装置1−2にとっての仮想インタフェース上)へVPN離脱応答MSGを送信する(ステップS75)。そして、端末装置1−2は、VPN離脱応答MSGを受信すると、受信した仮想インタフェースを削除する。 Next, the edge device 2-1 transmits a VPN leave response MSG on the pair of the identifier and the label value of the logical connection that has received the VPN leave request MSG (on the virtual interface for the terminal device 1-2) (step) S75). Then, when receiving the VPN leave response MSG, the terminal device 1-2 deletes the received virtual interface.
(エッジ装置によるパケットの転送処理−ユニキャスト転送)
つづいて、端末装置1−2が送信したユニキャストIPアドレス宛パケットを、エッジ装置2−1が宛先端末装置(端末装置1−mとする)へ転送する動作の一例を図13に基づいて説明する。なお、図13は、端末装置1−2がユニキャストIPアドレス宛のパケットを送信する動作の一例を示すシーケンス図である。また、端末装置1−2とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
(Packet transfer processing by edge device-Unicast transfer)
Subsequently, an example of an operation in which the edge device 2-1 transfers the packet addressed to the unicast IP address transmitted by the terminal device 1-2 to the destination terminal device (referred to as the terminal device 1-m) will be described with reference to FIG. To do. FIG. 13 is a sequence diagram illustrating an example of an operation in which the terminal device 1-2 transmits a packet addressed to a unicast IP address. In addition, it is assumed that a logical connection has been established between the terminal device 1-2 and the edge device 2-1.
端末装置1−2は、ユニキャストの宛先アドレスを指定し、先頭に仮想インタフェースに対応するラベル値のラベルを付与したIPパケットを仮想インタフェース上で送信する(ステップS81)。 The terminal device 1-2 designates a unicast destination address, and transmits an IP packet with a label having a label value corresponding to the virtual interface at the top thereof on the virtual interface (step S81).
エッジ装置2−1は、宛先IPアドレスがユニキャストIPアドレスである上記IPパケットを端末装置1−2から受信すると、論理的コネクションの識別子とラベル値(=0)のペアをキーとして、データベース25でVPN識別子を検索し、さらに、検索により得たVPN識別子をキーとしてVPNに対応付けられるサブネットアドレスをデータベース25で検索する(ステップS82)。
When the edge device 2-1 receives the IP packet whose destination IP address is a unicast IP address from the terminal device 1-2, the edge device 2-1 uses the pair of the logical connection identifier and the label value (= 0) as a key. The VPN identifier is searched for, and further, the subnet address associated with the VPN is searched in the
エッジ装置2−1は、端末装置1−2から受信したIPパケットの宛先IPアドレスが、上記検索により得られたサブネットアドレスに属する場合、IPパケットの宛先IPアドレスをキーとして、IPパケットの送信先である端末装置1−mが接続するエッジ装置(エッジ装置2−nとする)のIPアドレスをオーバーレイネットワーク上で検索する(ステップS83)。一方、受信したIPパケットの宛先IPアドレスが、検索により得られたサブネットアドレスに属さない場合、エッジ装置2−1は、上記IPパケットを廃棄する。また、オーバーレイネットワーク上でのエッジ装置2−nのIPアドレス検索に失敗した場合、エッジ装置2−1は、上記IPパケットを廃棄する(相手側エッジ装置IPアドレス検索処理1)。 When the destination IP address of the IP packet received from the terminal device 1-2 belongs to the subnet address obtained by the search, the edge device 2-1 uses the destination IP address of the IP packet as a key and the destination of the IP packet The IP address of the edge device (referred to as edge device 2-n) to which the terminal device 1-m is connected is searched on the overlay network (step S83). On the other hand, when the destination IP address of the received IP packet does not belong to the subnet address obtained by the search, the edge device 2-1 discards the IP packet. Also, when the IP address search of the edge device 2-n on the overlay network fails, the edge device 2-1 discards the IP packet (partner edge device IP address search processing 1).
なお、エッジ装置2−1は、上記「相手側エッジ装置IPアドレス検索処理1(ステップS82およびS83)」に代えて次の処理(相手側エッジ装置IPアドレス検索処理2)を行うこととしてもよい。 Note that the edge device 2-1 may perform the following process (partner edge device IP address search process 2) instead of the above “partner edge device IP address search process 1 (steps S 82 and S 83)”. .
エッジ装置2−1は、宛先IPアドレスがユニキャストIPアドレスである上記IPパケットを端末装置1−2から受信すると、論理的コネクションの識別子とラベル値(=0)のペアをキーとして、データベース25でVPN識別子および端末装置1−2のVPN内IPアドレスを検索し、さらに、検索により得たVPN識別子をキーとしてVPNに対応付けられるサブネットアドレスをデータベース25で検索する(上記ステップS82の代替処理)。そして、エッジ装置2−1は、端末装置1−2から受信したIPパケットの宛先IPアドレスが、上記検索により得られたサブネットアドレスに属し、かつ受信したIPパケットの送信元IPアドレスが、上記検索により得られたVPN内IPアドレスと一致する場合、IPパケットの宛先IPアドレスをキーとして、IPパケットの送信先である端末装置1−mが接続するエッジ装置(エッジ装置2−nとする)のIPアドレスをオーバーレイネットワーク上で検索する。一方、IPパケットの宛先IPアドレスが、上記検索により得られたサブネットアドレスに属さない場合、または、受信したIPパケットの送信元IPアドレスが、上記検索により得られたVPN内IPアドレスと一致しない場合は、上記IPパケットを廃棄する。また、オーバーレイネットワーク上でのエッジ装置2−nのIPアドレス検索に失敗した場合、エッジ装置2−1は、上記IPパケットを廃棄する(相手側エッジ装置IPアドレス検索処理2)。 When the edge device 2-1 receives the IP packet whose destination IP address is a unicast IP address from the terminal device 1-2, the edge device 2-1 uses the pair of the logical connection identifier and the label value (= 0) as a key. The VPN identifier and the IP address in the VPN of the terminal device 1-2 are searched for, and the subnet address associated with the VPN is searched using the VPN identifier obtained by the search as a key (alternative process in step S82). . Then, the edge device 2-1 determines that the destination IP address of the IP packet received from the terminal device 1-2 belongs to the subnet address obtained by the search, and the source IP address of the received IP packet is the search If the IP address in the VPN matches the IP address in the VPN, the destination IP address of the IP packet is used as a key, and the edge device (edge device 2-n) connected to the terminal device 1-m that is the destination of the IP packet Search for an IP address on the overlay network. On the other hand, when the destination IP address of the IP packet does not belong to the subnet address obtained by the search, or when the source IP address of the received IP packet does not match the IP address within the VPN obtained by the search Discards the IP packet. Also, when the IP address search of the edge device 2-n on the overlay network fails, the edge device 2-1 discards the IP packet (partner edge device IP address search processing 2).
エッジ装置2−1は、上記「相手側エッジ装置IPアドレス検索処理1」または「相手側エッジ装置IPアドレス検索処理2」によりエッジ装置2−nのIPアドレスを取得後、端末装置1−2から受信した上記IPパケットを当該IPアドレス(エッジ装置2−n)宛に、エッジ装置間トンネルで送信する(ステップS84)。
The edge device 2-1 acquires the IP address of the edge device 2-n by the above “other party edge device IP
エッジ装置間トンネルでIPパケットを受信したエッジ装置2−nは、そのIPパケットの宛先アドレスに指定されるIPアドレスをキーとして、対応する論理的コネクションの識別子とラベル値のペアをデータベースで検索する(ステップS85)。そして、エッジ装置2−nは、検索で得たラベル値のラベルを上記IPパケットに付与し、同じく検索で得た論理的コネクション上へ送信する。なお、エッジ装置2−nは、論理的コネクションの識別子とラベル値のペアの検索に失敗した場合、上記IPパケットを廃棄する。 The edge device 2-n that has received the IP packet through the tunnel between the edge devices searches the database for the pair of the identifier and the label value of the corresponding logical connection by using the IP address designated as the destination address of the IP packet as a key. (Step S85). Then, the edge device 2-n assigns the label of the label value obtained by the search to the IP packet, and transmits it to the logical connection obtained by the search. The edge device 2-n discards the IP packet when the search for the pair of the logical connection identifier and the label value fails.
端末装置1−2が送信したIPパケットの宛先端末装置(端末装置1−m)は、論理的コネクション上でラベルが付与されたIPパケットを受信したときには、付与されているラベルの値からどの仮想インタフェース上で受信したかを識別し、ラベルを外してIPパケットとして受信する(ステップS86)。 When the destination terminal device (terminal device 1-m) of the IP packet transmitted by the terminal device 1-2 receives an IP packet with a label on a logical connection, it determines which virtual value from the value of the assigned label. Whether it is received on the interface is identified, the label is removed, and the IP packet is received (step S86).
なお、上記エッジ装置間トンネルは、転送対象のIPパケットを、送信元IPアドレスとして送信元エッジ装置(エッジ装置2−1)のIPアドレスを設定し、宛先IPアドレスとして転送先エッジ装置(エッジ装置2−n)のIPアドレスを設定したIPヘッダでカプセル化を施したIPinIPカプセル化により実現する。 The tunnel between the edge devices sets the IP address of the transmission source edge device (edge device 2-1) as the transmission source IP address of the IP packet to be transferred, and the transfer destination edge device (edge device) as the destination IP address. This is realized by IPinIP encapsulation that is encapsulated with an IP header in which the IP address of 2-n) is set.
(エッジ装置によるパケットの転送処理−ブロードキャスト/マルチキャスト転送)
つづいて、端末装置1−2が送信したブロードキャスト/マルチキャストIPアドレス宛パケットを、エッジ装置2−1が宛先端末装置へ転送する動作の一例を説明する。ここでは特に、図14に基づいて、端末装置1−2がマルチキャストIPアドレスを設定したパケットを送信する動作について説明する。なお、図14は、端末装置1−2がマルチキャストIPアドレス宛のパケットを送信する動作の一例を示すシーケンス図である。また、端末装置1−2とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
(Packet forwarding processing by edge device-broadcast / multicast forwarding)
Next, an example of an operation in which the edge device 2-1 transfers a packet addressed to the broadcast / multicast IP address transmitted by the terminal device 1-2 to the destination terminal device will be described. Here, in particular, an operation in which the terminal device 1-2 transmits a packet in which a multicast IP address is set will be described with reference to FIG. FIG. 14 is a sequence diagram illustrating an example of an operation in which the terminal device 1-2 transmits a packet addressed to a multicast IP address. In addition, it is assumed that a logical connection has been established between the terminal device 1-2 and the edge device 2-1.
端末装置1−2は、ブロードキャスト/マルチキャストIPアドレスを宛先アドレスとして指定し、先頭に仮想インタフェースに対応するラベル値のラベルを付与したIPパケットを仮想インタフェース上で送信する(ステップS91)。 The terminal device 1-2 designates a broadcast / multicast IP address as a destination address, and transmits an IP packet with a label having a label value corresponding to the virtual interface at the head (step S91).
エッジ装置2−1は、宛先IPアドレスがブロードキャスト/マルチキャストアドレスである上記IPパケットを端末装置1−2から受信すると、論理的コネクションの識別子とラベル値(=0)のペアをキーとして、データベース25でVPN識別子を検索し、さらに、検索により得たVPN識別子をキーとして、マルチキャストIPアドレスをデータベース25で検索する(ステップS92)。
When the edge device 2-1 receives the IP packet whose destination IP address is the broadcast / multicast address from the terminal device 1-2, the edge device 2-1 uses the pair of the logical connection identifier and the label value (= 0) as a key. The VPN identifier is searched for, and the multicast IP address is searched in the
エッジ装置2−1は、端末装置1−2から受信したIPパケットに、上記検索で得たマルチキャストIPアドレスを宛先とし、自IPアドレスを送信元とするIPinIPカプセル化を施して送信する(ステップS93)。なお、エッジ装置2−1は、上記検索でマルチキャストIPアドレスを取得できなかった場合(検索に失敗した場合)、上記IPパケットを廃棄する。 The edge device 2-1 performs IPinIP encapsulation with the IP address received from the terminal device 1-2 as the destination and the multicast IP address obtained by the above search as the transmission source (step S 93). ). The edge device 2-1 discards the IP packet when the multicast IP address cannot be acquired by the search (when the search fails).
マルチキャストIPアドレス宛でIPinIPカプセル化された上記IPパケットを受信したエッジ装置(相手側エッジ装置)は、マルチキャストIPアドレスをキーとしてVPN識別子をデータベースで検索し、さらに、当該検索で得たVPN識別子をキーとして、論理的コネクションの識別子とラベル値のペアのリストをデータベースで検索する(ステップS94)。そして、相手側エッジ装置は、IPinIPカプセル化されているパケットの中のIPパケットを取り出し、上記検索で得られたリストに含まれる全ての論理的コネクションの識別子とラベル値のペア上(端末装置にとっての仮想インタフェース上)へ送信する。なお、相手側エッジ装置は、論理的コネクションの識別子とラベル値のペアの検索に失敗した場合、上記IPパケットを廃棄する。 The edge device (the partner edge device) that has received the IP packet encapsulated in IPinIP addressed to the multicast IP address searches the database for the VPN identifier using the multicast IP address as a key, and further obtains the VPN identifier obtained by the search. As a key, a list of logical connection identifier / label value pairs is searched in the database (step S94). Then, the partner edge device extracts the IP packet from the IPinIP-encapsulated packet, and on the pair of identifiers and label values of all the logical connections included in the list obtained by the above search (for the terminal device). On the virtual interface). The partner edge device discards the IP packet when it fails to search for a pair of logical connection identifier and label value.
端末装置1−2が送信したIPパケットの宛先端末装置は、論理的コネクション上でラベルが付与されたIPパケットを受信したときは、付与されているラベルの値からどの仮想インタフェース上で受信したかを識別し、ラベルを外してIPパケットとして受信する(ステップS95〜S97)。 When the destination terminal device of the IP packet transmitted by the terminal device 1-2 receives the IP packet to which the label is attached on the logical connection, on which virtual interface is received from the value of the assigned label Is removed, and the label is removed and received as an IP packet (steps S95 to S97).
このように、この実施の形態においては、あるVPNに接続したい端末装置(ユーザ)がエッジ装置に接続してきたときに、エッジ装置がVPNメンバー管理サーバにVPNに関する情報を問い合わせるようにしているので、端末装置と当該端末装置が接続を希望するVPNとの間の接続を仲介するための必要な設定が予めエッジ装置に具備されていなければならばいという制約を解除することできる。 As described above, in this embodiment, when a terminal device (user) who wants to connect to a certain VPN connects to the edge device, the edge device inquires the VPN member management server about information relating to the VPN. It is possible to remove the restriction that the edge device has to be provided with the necessary settings for mediating the connection between the terminal device and the VPN to which the terminal device wants to connect.
さらに、この実施の形態では、ラベル付けを行ったIPパケットを端末装置とエッジ装置とを接続する論理的コネクション上で転送することにより、1つの論理的コネクション上にさらにラベルで区別される複数の論理的コネクションを多重化するようにした。また、端末装置からの要求で、VPNメンバー管理サーバへ、VPNの登録/削除とVPNに属するメンバー(端末装置)の登録/削除を可能とすることにより、動的なVPN生成/削除を可能とした。これらの処理により、少ないメッセージのやり取りで、端末装置が動的にVPNを生成/削除することができるとともに、端末装置がVPNに動的に参加/離脱することができる。 Furthermore, in this embodiment, by transferring the labeled IP packet on the logical connection that connects the terminal device and the edge device, a plurality of labels that are further distinguished by one label on one logical connection are provided. The logical connection was multiplexed. In addition, a VPN can be dynamically created / deleted by enabling a VPN member management server to register / delete a VPN and register / delete a member (terminal device) belonging to the VPN in response to a request from the terminal device. did. Through these processes, the terminal device can dynamically create / delete the VPN with a small number of message exchanges, and the terminal device can dynamically join / leave the VPN.
さらには、エッジ装置で構築されるDHT方式検索機能を有するオーバーレイネットワーク上で、各端末装置がどのエッジ装置に接続するかの情報を管理することにより、端末装置数とエッジ装置数に対してスケールする形で、端末装置が常に同じIPアドレスでVPNに接続することを可能とした。すなわち、端末装置の接続/切断の度に、エッジ装置がルーティングプロトコルによりルーティング情報をVPN全体に広告する処理を不要とした。この処理により、端末装置数の増加に対するスケーラビリティの問題が解消されたVPNを構築することができる。 Furthermore, by managing information on which edge device each terminal device is connected to on the overlay network having the DHT search function constructed by the edge device, it scales with respect to the number of terminal devices and the number of edge devices. In this way, the terminal device can always connect to the VPN with the same IP address. That is, every time the terminal device is connected / disconnected, the edge device does not need to advertise the routing information to the entire VPN using the routing protocol. With this process, it is possible to construct a VPN in which the scalability problem with respect to the increase in the number of terminal devices is solved.
また、IPアドレスのサブネット部分をVPN識別子として使用することで、同一VPN内での通信かどうかの判定を簡易にした。この処理により、端末装置がモバイルIPをサポートすることなく、任意のエッジ装置経由でVPNに接続した場合であっても、VPN内にて同一IPアドレスを使用して通信を行うことが可能となる。 In addition, by using the subnet part of the IP address as the VPN identifier, it is easy to determine whether the communication is within the same VPN. With this processing, it is possible to perform communication using the same IP address in the VPN even when the terminal device is connected to the VPN via an arbitrary edge device without supporting the mobile IP. .
なお、この実施の形態では、各エッジ装置が、Chordの方式に従ってIPネットワーク上にDHT方式の検索機能を提供するオーバーレイネットワークを構築する場合を一例として説明したが、Chordの方式に限定されるものではなく、Chordを改良または拡張した方式を用いてもよく、あるいはDHTを用いるChord以外の方式を用いてもよい。 In this embodiment, an example has been described in which each edge device constructs an overlay network that provides a DHT search function on an IP network according to the Chord scheme. However, the present invention is limited to the Chord scheme. Instead, a method obtained by improving or expanding Chord may be used, or a method other than Chord using DHT may be used.
実施の形態2.
図15は、本発明の実施の形態2にかかるデータ通信システムを実現するネットワークの構成例を示す図である。この実施の形態にかかるネットワークは、前述の実施の形態1にかかるネットワークと比較して、エッジ装置2−1〜2−nに代えてエッジ装置2a−1〜2a−nを備え、また、VPNメンバー管理サーバを複数備えることを特徴とする。このような構成のため、この実施の形態では、前述の実施の形態1と異なる処理について説明する。
FIG. 15 is a diagram of a configuration example of a network that implements the data communication system according to the second embodiment of the present invention. The network according to this embodiment includes
図16は、本実施の形態のエッジ装置2a(図15のエッジ装置2a−1〜2a−nに相当)の構成例を示す図であり、例えば、LinuxをOSとするPCを用いることができる。そして、エッジ装置2aは、IP通信モジュール21、データベース25、DHT検索モジュール26、トンネル通信モジュール12、VPN識別子−VPNメンバー管理サーバ対応付けモジュール28、制御モジュール27aを備えている。なお、前述した実施の形態1のエッジ装置2(図3参照)と同様の構成については、同一の符号を付してその説明を省略する。
FIG. 16 is a diagram illustrating a configuration example of the
VPN識別子−VPNメンバー管理サーバ対応付けモジュール28は、VPN識別子をキーとして、そのVPN識別子に関するデータを管理するVPNメンバー管理サーバのIPアドレスをデータとするデータベースを管理し、VPN識別子の入力に対して、そのVPN識別子に関するデータを管理するVPNメンバー管理サーバのIPアドレスを出力として返送するデータベースソフトウェアとして実現される。
The VPN identifier-VPN member management
また、制御モジュール27aは、例えば、S/Wとして実現され、エッジ装置2aを構成する他のモジュール(IP通信モジュール21、トンネル通信モジュール12、など)を制御する。
The
そして、この実施の形態にかかるネットワークにおける処理は、エッジ装置2aがVPNメンバー管理サーバ3−1〜3−x(図15参照)のいずれかと通信する場合、その前段階として必ずVPN識別子−VPNメンバー管理サーバ対応付けモジュール28を呼び出して、どのVPNメンバー管理サーバと通信するべきかの判定処理を行うことを特徴とする。なお、当該判定処理が追加された点を除いて、本実施の形態にかかるネットワークにおける処理は、前述の実施の形態1の処理と同様である。
Then, the processing in the network according to this embodiment is such that when the
このように、この実施の形態においては、VPNメンバー管理サーバとの通信を行うにあたり、複数台存在するVPNメンバー管理サーバのいずれと通信するかを判定することとし、動的なVPN生成/削除等の処理の負荷を分散させることとした。これにより、上述した実施の形態1の場合よりもさらに、VPN数と端末装置数に対するスケーラビリティを向上させることができる。 As described above, in this embodiment, when communicating with the VPN member management server, it is determined which of the plurality of VPN member management servers communicates, and dynamic VPN creation / deletion, etc. It was decided to distribute the processing load. Thereby, the scalability with respect to the number of VPNs and the number of terminal devices can be further improved as compared with the case of the first embodiment described above.
以上のように、本発明にかかるデータ通信システムは、複数のVPNが構成されるIPネットワークに有用である。 As described above, the data communication system according to the present invention is useful for an IP network in which a plurality of VPNs are configured.
1,1−1,1−2,1−m 端末装置
2,2−1,2−2,2−n,2a エッジ装置
3,3−1,3−x VPNメンバー管理サーバ
4 認証サーバ
11,21,31,41 IP通信モジュール
12 トンネル通信モジュール
13 仮想インタフェースドライバ
14 アプリケーション
15,25,35,45 データベース
26 DHT検索モジュール
27,37,47,27a 制御モジュール
28 VPN識別子−VPNメンバー管理サーバ対応付けモジュール
DESCRIPTION OF
Claims (16)
前記IPネットワークに接続され、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うための所定情報を保持するエッジ装置と、
前記複数のVPNのメンバーとなりうる端末装置と、
前記複数のVPNおよび前記端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、
を備え、
前記エッジ装置は、VPNへの接続を要求する端末装置との論理的コネクションを確立した後、該端末装置が属するVPNの情報をVPNメンバー管理サーバから取得し、該VPNメンバー管理サーバから取得したVPNの情報に基づいて該端末装置と該端末装置が接続を要求するVPNとの接続設定処理を行うことを特徴とするデータ通信システム。 A data communication system capable of configuring a plurality of VPNs (Virtual Private Networks) on an IP network,
An edge device that is connected to the IP network and holds predetermined information for performing a connection process between the terminal device and the VPN and a transfer process of the IP packet;
A terminal device that can be a member of the plurality of VP N ;
A VPN member management server holding predetermined information for managing the plurality of VPNs and the terminal devices ;
With
The edge device establishes a logical connection with the terminal device that requests connection to the VPN, obtains information on the VPN to which the terminal device belongs from the VPN member management server, and obtains the VPN obtained from the VPN member management server A data communication system, characterized in that connection setting processing is performed between the terminal device and a VPN to which the terminal device requests connection based on the information.
端末装置との間の論理的コネクションの識別子とラベル値のペアをキーとして、VPN識別子、端末装置識別子およびVPN内IPアドレスをデータとするデータベースと、
VPN内IPアドレスをキーとして、該IPアドレスを使用している端末装置との間の論理的コネクションの識別子とラベル値のペアをデータとするデータベースと、
VPN識別子をキーとして、そのVPNへの接続に使用される端末装置との間の論理的コネクションの識別子とラベル値のペアのリストをデータとするデータベースと、
VPN識別子をキーとして、そのVPNに対応付けられるマルチキャストIPアドレスとサブネットアドレスをデータとするデータベースと、
マルチキャストIPアドレスをキーとして、そのマルチキャストIPアドレスに対応付けられるVPN識別子をデータとするデータベースと、
サブネットアドレスをキーとして、そのサブネットアドレスに対応付けられるVPN識別子をデータとするデータベースと、
を備え、
前記エッジ装置は、前記データベースに保持される情報に基づいて「VPNの作成または削除処理」、「VPNへのメンバーの追加または削除処理」、「VPNへの参加または離脱処理」、「ユニキャストIPパケットの転送処理」、および「ブロード/マルチキャストIPパケットの転送処理」のうちの少なくとも一つの処理を行うことを特徴とする請求項1に記載のデータ通信システム。 The edge device is
A database having a VPN identifier, a terminal device identifier, and an IP address within the VPN as data, using a pair of an identifier and a label value of a logical connection with the terminal device as a key;
A database that uses a pair of identifier and label value of a logical connection with the terminal device using the IP address as data, with the IP address in the VPN as a key;
A database that uses a VPN identifier as a key and a list of pairs of identifiers and label values of logical connections with terminal devices used for connection to the VPN as data;
A database having a multicast IP address and a subnet address associated with the VPN as data using the VPN identifier as a key;
A database having a multicast IP address as a key and a VPN identifier associated with the multicast IP address as data;
A database that uses a subnet address as a key and a VPN identifier associated with the subnet address as data;
With
Based on the information stored in the database, the edge device performs “VPN creation or deletion processing”, “VPN member addition or deletion processing”, “VPN join / leave processing”, “Unicast IP” The data communication system according to claim 1, wherein at least one of “packet transfer processing” and “broadcast / multicast IP packet transfer processing” is performed.
前記エッジ装置は、
前記VPN識別子をキーとして、該VPN識別子に関するデータを管理するVPNメンバー管理サーバのIPアドレスを対応づけた情報が保持されるデータベースと、
前記データベースの情報を管理する情報管理手段と、
を備え、
前記情報管理手段は、端末装置からの要求に応じて該端末装置がメンバーとなっているVPNの情報を取得する際に、該VPNの情報がどのVPNメンバー管理サーバに登録されているかの判定処理を行うことを特徴とする請求項1〜6のいずれか一つに記載のデータ通信システム。 The VPN member management server is composed of a plurality of VPN member management servers for dividing and managing information of terminal devices connected to the VPN,
The edge device is
A database in which information associated with an IP address of a VPN member management server that manages data relating to the VPN identifier is stored using the VPN identifier as a key;
Information management means for managing information in the database;
With
The information management means determines which VPN member management server the VPN information is registered in when acquiring the information of the VPN of which the terminal device is a member in response to a request from the terminal device The data communication system according to any one of claims 1 to 6, wherein:
前記IPネットワークにおけるIP通信を実現するIPプロトコル処理を行うIPプロトコル処理部と、
前記エッジ装置との間で論理的コネクションを確立するための処理を行うトンネル通信処理部と、
論理的コネクションを識別する識別子およびIPパケットに付与するラベルのラベル値をIP通信が可能な一つの仮想インタフェースとして扱う仮想インタフェース処理部と、
を備え、
前記仮想インタフェース処理部は、前記仮想インタフェース毎に複数の論理的コネクションが確立しているとみなしてIP通信を行うことを特徴とする端末装置。 A terminal device is found using Oite data communication system according to any one of claims 1 to 7,
An IP protocol processing unit for performing IP protocol processing for realizing IP communication in the IP network;
A tunnel communication processing unit for performing processing for establishing a logical connection with the edge device;
A virtual interface processing unit that handles an identifier for identifying a logical connection and a label value of a label attached to an IP packet as one virtual interface capable of IP communication;
With
The virtual interface processing unit performs IP communication on the assumption that a plurality of logical connections are established for each virtual interface.
前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している端末装置からのエッジ装置との間の論理的コネクションおよび参加中のVPNを介した新しいVPNの生成指示に応じてVPNの設定を更新する際に、
前記端末装置が、新たに作成を希望するVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
前記エッジ装置が、前記論理的コネクションの識別子およびIPパケットの先頭に付与されているVPNを識別するためのラベル値に基づいて前記端末装置の端末装置識別子を取得する工程と、
前記エッジ装置が、前記VPN識別子および端末装置識別子を前記VPNメンバー管理サーバに通知する工程と、
前記VPNメンバー管理サーバが、前記VPN識別子および端末装置識別子に基づいて新たに作成するVPNについての情報(VPN情報)および前記端末装置が当該VPNに接続するための情報(端末装置情報)を作成する工程と、
前記VPNメンバー管理サーバが、前記VPN情報を自装置内のデータベースに登録する工程と、
前記VPNメンバー管理サーバが、前記端末装置情報をエッジ装置に通知する工程と、
を含むことを特徴とするVPN設定更新方法。 An edge device that constructs an overlay network on an IP network in which a plurality of VPNs (Virtual Private Networks) is configured, performs a connection process between the terminal device and the VPN and a transfer process of the IP packet, a plurality of VPNs, and members of the VPN And a VPN member management server that holds predetermined information for managing potential terminal devices, and is applied to a data communication system,
In response to a logical connection between an edge device from a terminal device participating in one of the VPNs connected to the network constituting the overlay network and a new VPN generation instruction via the participating VPN When updating the VPN settings,
The terminal device notifying the edge device of a VPN identifier for identifying a VPN to be newly created;
The edge device obtains a terminal device identifier of the terminal device based on an identifier of the logical connection and a label value for identifying a VPN attached to the top of an IP packet;
The edge device notifying the VPN member management server of the VPN identifier and the terminal device identifier;
The VPN member management server creates information (VPN information) about the VPN newly created based on the VPN identifier and the terminal device identifier and information (terminal device information) for the terminal device to connect to the VPN. Process,
The VPN member management server registering the VPN information in a database in its own device;
The VPN member management server notifying the terminal device information to the edge device;
VPN setting update method characterized by including.
前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している第1の端末装置からのエッジ装置との間の論理的コネクションを介した所定のVPNに対する新しいメンバーの追加登録要求に応じてVPNの設定を更新する際に、
前記第1の端末装置が、新たにメンバーとなる第2の端末装置を識別するための端末装置識別子およびメンバー登録先のVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
前記エッジ装置が、前記第2の端末装置の端末装置識別子(第2の端末装置識別子)およびVPN識別子を前記VPNメンバー管理サーバに通知する工程と、
前記VPNメンバー管理サーバが、前記第2の端末装置識別子および前記VPN識別子に基づいて新たにVPNのメンバーとなる前記第2の端末装置を管理するための情報(端末装置管理情報)および前記第2の端末装置が前記VPNに接続するための情報(端末装置情報)を作成する工程と、
前記VPNメンバー管理サーバが、前記端末装置管理情報を自サーバ内のデータベースに登録する工程と、
前記VPNメンバー管理サーバが、端末装置用情報をエッジ装置に通知する工程と、
を含むことを特徴とするVPN設定更新方法。 An edge device that constructs an overlay network on an IP network in which a plurality of VPNs (Virtual Private Networks) is configured, performs a connection process between the terminal device and the VPN and a transfer process of the IP packet, a plurality of VPNs, and members of the VPN And a VPN member management server that holds predetermined information for managing potential terminal devices, and is applied to a data communication system,
Request for additional registration of a new member for a given VPN via a logical connection with an edge device from a first terminal device participating in one of the VPNs connected to the network constituting the overlay network When updating the VPN settings according to
The first terminal device notifying the edge device of a terminal device identifier for identifying a new second terminal device as a member and a VPN identifier for identifying a member registration destination VPN;
The edge device notifying the VPN member management server of a terminal device identifier (second terminal device identifier) and a VPN identifier of the second terminal device;
Information (terminal device management information) for the VPN member management server to manage the second terminal device that newly becomes a member of the VPN based on the second terminal device identifier and the VPN identifier, and the second A step of creating information (terminal device information) for connecting the terminal device to the VPN;
The VPN member management server registering the terminal device management information in a database in the server;
The VPN member management server notifying the edge device of the terminal device information;
VPN setting update method characterized by including.
前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している端末装置からのエッジ装置との間の論理的コネクションおよび参加中のVPNを介した既存VPNの削除指示に応じてVPNの設定を更新する際に、
前記端末装置が、削除を要求するVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
前記エッジ装置が、前記論理的コネクションの識別子およびIPパケットの先頭に付与されているVPNを識別するためのラベル値、に基づいて前記端末装置の端末装置識別子を取得する工程と、
前記エッジ装置が、前記VPN識別子および端末装置識別子を前記VPNメンバー管理サーバに通知する工程と、
前記VPNメンバー管理サーバが、前記VPN識別子および端末装置識別子に基づいて削除するVPNについての必要な情報(VPN情報)を特定し、当該VPN情報の自サーバ内データベースへの登録を解除する工程と、
を含むことを特徴とするVPN設定更新方法。 An edge device that constructs an overlay network on an IP network in which a plurality of VPNs (Virtual Private Networks) is configured, performs a connection process between the terminal device and the VPN and a transfer process of the IP packet, a plurality of VPNs, and members of the VPN And a VPN member management server that holds predetermined information for managing potential terminal devices, and is applied to a data communication system,
In response to a logical connection with an edge device from a terminal device participating in one of the VPNs connected to the network constituting the overlay network and an instruction to delete the existing VPN via the participating VPN When updating the VPN settings,
The terminal device notifying the edge device of a VPN identifier for identifying a VPN requesting deletion;
The edge device acquires a terminal device identifier of the terminal device based on an identifier of the logical connection and a label value for identifying a VPN attached to the top of an IP packet;
The edge device notifying the VPN member management server of the VPN identifier and the terminal device identifier;
The VPN member management server specifies necessary information (VPN information) about the VPN to be deleted based on the VPN identifier and the terminal device identifier, and cancels registration of the VPN information in its own server database;
VPN setting update method characterized by including.
前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している第1の端末装置からのエッジ装置との間の論理的コネクションを介した所定のVPNに登録されているメンバーの登録削除要求に応じてVPNの設定を更新する際に、
前記第1の端末装置が、メンバー登録から削除する第2の端末装置を識別するための端末装置識別子およびメンバー登録先のVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
前記エッジ装置が、前記第2の端末装置の端末装置識別子(第2の端末装置識別子)およびVPN識別子を前記VPNメンバー管理サーバに通知する工程と、
前記VPNメンバー管理サーバが、前記第2の端末装置識別子およびVPN識別子に基づいて削除要求する前記第2の端末装置のVPN登録情報(端末装置管理情報)を特定し、当該端末装置管理情報の自サーバ内データベースへの登録を解除する工程と、
前記エッジ装置が、前記第2の端末装置がVPNに参加するために登録されている情報を前記オーバーレイネットワーク上から削除する工程と、
を含むことを特徴とするVPN設定更新方法。 An edge device that constructs an overlay network on an IP network in which a plurality of VPNs (Virtual Private Networks) is configured, performs a connection process between the terminal device and the VPN and a transfer process of the IP packet, a plurality of VPNs, and members of the VPN And a VPN member management server that holds predetermined information for managing potential terminal devices, and is applied to a data communication system,
The member registered in the predetermined VPN via the logical connection with the edge device from the first terminal device participating in one of the VPNs connected to the network constituting the overlay network When updating the VPN settings in response to a registration deletion request,
The first terminal device notifying the edge device of a terminal device identifier for identifying a second terminal device to be deleted from member registration and a VPN identifier for identifying a member registration destination VPN;
The edge device notifying the VPN member management server of a terminal device identifier (second terminal device identifier) and a VPN identifier of the second terminal device;
The VPN member management server specifies VPN registration information (terminal device management information) of the second terminal device requested to be deleted based on the second terminal device identifier and the VPN identifier, and the terminal device management information Canceling the registration in the database in the server;
The edge device deleting information registered for the second terminal device to participate in VPN from the overlay network;
VPN setting update method characterized by including.
前記オーバーレイネットワークを構築するネットワークに接続されているVPNに対して、当該VPNのメンバーである端末装置が、当該VPNに参加するためにVPNの設定を更新する際に、
メンバーとなっているVPNに参加しようとする端末装置が、前記エッジ装置に対して当該端末装置の識別情報(端末装置識別子)を含んだ論理的コネクションの確立要求を行う工程と、
前記エッジ装置が、前記端末装置識別子を前記認証サーバに通知する工程と、
前記認証サーバが、認証処理が正常に終了した場合に、前記端末装置がメンバーとなっているVPNを識別するためのVPN識別子を前記エッジ装置に対して通知する工程と、
前記VPN識別子の通知を受けたエッジ装置が、当該VPN識別子および前記端末装置識別子を前記VPNメンバー管理サーバに通知して当該VPN識別子に対応するVPNに参加するための情報の通知を要求する工程と、
を含むことを特徴とするVPN設定更新方法。 Create an overlay network on an IP network that includes multiple VPNs (Virtual Private Networks), register the edge device that performs the connection processing between the terminal device and the VPN and the IP packet transfer processing, and registers as a member of the multiple VPNs In order to manage an authentication server that authenticates a terminal device that requests connection to a predetermined VPN based on the VPN identifier of the default VPN to which the terminal device that is connected, and a plurality of VPNs and terminal devices that can be members of the VPN And a VPN member management server that holds predetermined information of the data communication system,
When a terminal device that is a member of the VPN updates the VPN setting to participate in the VPN for the VPN connected to the network that constructs the overlay network,
A step in which a terminal device intending to join a member VPN makes a request for establishment of a logical connection including identification information (terminal device identifier) of the terminal device to the edge device;
The edge device notifying the authentication server of the terminal device identifier;
The authentication server notifying the edge device of a VPN identifier for identifying a VPN of which the terminal device is a member when the authentication process is normally completed;
The edge device that has received the notification of the VPN identifier notifies the VPN member management server of the VPN identifier and the terminal device identifier, and requests notification of information for participating in the VPN corresponding to the VPN identifier; ,
VPN setting update method characterized by including.
前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している端末装置からのエッジ装置との間の論理的コネクションを介した、参加中のVPNと異なるVPNへの参加要求に応じて、VPNの設定を更新する際に、
前記端末装置が、新たに参加するVPNを識別するためのVPN識別子を前記エッジ装置に通知するVPN識別子通知工程と、
前記エッジ装置が、前記VPN識別子に基づいて前記端末装置の端末装置識別子を取得する端末装置識別子取得工程と、
前記エッジ装置が、前記VPN識別子通知工程および前記端末装置識別子取得工程において入手した、VPN識別子および端末装置識別子を、前記VPNメンバー管理サーバに通知して当該VPN識別子に対応するVPNに参加するための情報の通知を要求する工程と、
を含むことを特徴とするVPN設定更新方法。 An edge device that constructs an overlay network on an IP network in which a plurality of VPNs (Virtual Private Networks) is configured, performs a connection process between the terminal device and the VPN and a transfer process of the IP packet, a plurality of VPNs, and members of the VPN And a VPN member management server that holds predetermined information for managing potential terminal devices, and is applied to a data communication system,
A request to join a VPN different from the participating VPN via a logical connection between the terminal device participating in one of the VPNs connected to the network constituting the overlay network and the edge device. Accordingly, when updating the VPN settings,
A VPN identifier notification step in which the terminal device notifies the edge device of a VPN identifier for identifying a newly participating VPN;
A terminal device identifier acquisition step in which the edge device acquires a terminal device identifier of the terminal device based on the VPN identifier;
The edge device notifies the VPN member management server of the VPN identifier and the terminal device identifier obtained in the VPN identifier notification step and the terminal device identifier acquisition step, and participates in the VPN corresponding to the VPN identifier. Requesting notification of information; and
VPN setting update method characterized by including.
前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している端末装置からのエッジ装置との間の論理的コネクションを介した、参加中のVPNからの離脱要求に応じて、VPNの設定を更新する際に、
前記端末装置が、離脱を希望するVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
前記エッジ装置が、前記端末装置のVPNに参加するために登録されている情報を前記オーバーレイネットワーク上から削除する工程と、
を含むことを特徴とするVPN設定更新方法。 An edge device that constructs an overlay network on an IP network in which a plurality of VPNs (Virtual Private Networks) is configured, performs a connection process between the terminal device and the VPN and a transfer process of the IP packet, a plurality of VPNs, and members of the VPN And a VPN member management server that holds predetermined information for managing potential terminal devices, and is applied to a data communication system,
In response to a request to leave the participating VPN via a logical connection with an edge device from a terminal device participating in any of the VPNs connected to the network that constructs the overlay network, When updating the VPN settings,
The terminal device notifying the edge device of a VPN identifier for identifying a VPN desired to leave;
The edge device deleting information registered to join the VPN of the terminal device from the overlay network;
VPN setting update method characterized by including.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005349268A JP4628938B2 (en) | 2005-12-02 | 2005-12-02 | Data communication system, terminal device and VPN setting update method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005349268A JP4628938B2 (en) | 2005-12-02 | 2005-12-02 | Data communication system, terminal device and VPN setting update method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007158594A JP2007158594A (en) | 2007-06-21 |
| JP4628938B2 true JP4628938B2 (en) | 2011-02-09 |
Family
ID=38242397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005349268A Expired - Fee Related JP4628938B2 (en) | 2005-12-02 | 2005-12-02 | Data communication system, terminal device and VPN setting update method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4628938B2 (en) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4821735B2 (en) * | 2007-08-15 | 2011-11-24 | ヤマハ株式会社 | VPN topology control device, VPN topology control system, VPN topology control method and program |
| US8893260B2 (en) * | 2008-12-17 | 2014-11-18 | Rockstar Consortium Us Lp | Secure remote access public communication environment |
| WO2011010736A1 (en) * | 2009-07-24 | 2011-01-27 | ヤマハ株式会社 | Relay device |
| CN102474459B (en) * | 2009-07-24 | 2016-03-02 | 雅马哈株式会社 | Relay |
| JP5532993B2 (en) * | 2010-02-10 | 2014-06-25 | ヤマハ株式会社 | Relay device |
| US8819229B1 (en) * | 2011-10-04 | 2014-08-26 | Amazon Technologies, Inc. | Techniques for accessing logical networks via a programmatic service call |
| JP5847592B2 (en) * | 2012-01-10 | 2016-01-27 | 株式会社日立製作所 | LTE system, application control apparatus and packet gateway |
| CN107404470A (en) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | Connection control method and device |
| US20220030431A1 (en) * | 2018-09-17 | 2022-01-27 | Nokia Solutions And Networks Oy | Credentials management |
| JP7243211B2 (en) * | 2019-01-22 | 2023-03-22 | 日本電気株式会社 | Communication management system, management server, VPN server, communication management method, and program |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004274127A (en) * | 2003-03-05 | 2004-09-30 | Nippon Telegr & Teleph Corp <Ntt> | Virtual private network management apparatus, virtual private network providing system, program for executing the same and recording medium |
| JP2005252762A (en) * | 2004-03-05 | 2005-09-15 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for controlling vpn connection |
-
2005
- 2005-12-02 JP JP2005349268A patent/JP4628938B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004274127A (en) * | 2003-03-05 | 2004-09-30 | Nippon Telegr & Teleph Corp <Ntt> | Virtual private network management apparatus, virtual private network providing system, program for executing the same and recording medium |
| JP2005252762A (en) * | 2004-03-05 | 2005-09-15 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for controlling vpn connection |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007158594A (en) | 2007-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4628938B2 (en) | Data communication system, terminal device and VPN setting update method | |
| KR100953805B1 (en) | Virtual private network structures reuse for mobile computing devices | |
| EP2127224B1 (en) | Private virtual lan spanning a public network for connection of arbitrary hosts | |
| JP4302170B2 (en) | Packet relay device | |
| US8923191B2 (en) | Internet protocol collaborative mobility | |
| JP5048684B2 (en) | Selective service update method for communication network | |
| CN1939000B (en) | Identification method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes | |
| CA2611146C (en) | Method for data communication and system thereof | |
| EP2252093B1 (en) | Method for enabling mobility of client devices in large scale unified networks | |
| CN101222406A (en) | Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method | |
| US7849195B2 (en) | Host identity protocol method and apparatus | |
| WO2006021156A1 (en) | A method for realizing the mobility of the network host and the multi-hometown function | |
| CN102739497A (en) | Automatic generation method for routes and device thereof | |
| Bless et al. | The underlay abstraction in the spontaneous virtual networks (SpoVNet) architecture | |
| JP4253569B2 (en) | Connection control system, connection control device, and connection management device | |
| CN110572808A (en) | Bluetooth Mesh network system and establishment method thereof | |
| KR100964350B1 (en) | Cooperation Method and System between the SEND mechanism and the IPSec Protocol in IPv6 Environments | |
| JP4925130B2 (en) | Communication control method and system | |
| US20060193330A1 (en) | Communication apparatus, router apparatus, communication method and computer program product | |
| JP4233437B2 (en) | Anonymous data transmission method, anonymous data relay method, anonymous data transmission device, anonymous data relay device, anonymous data transmission program, and anonymous data relay program | |
| EP1874005A1 (en) | A personal network comprising a plurality of clusters | |
| JP2007049503A (en) | Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device | |
| JP2008098937A (en) | Virtual network communication system and communication terminal | |
| JP2007174583A (en) | Network repeater | |
| JP2009206876A (en) | Service release system, communication repeater, and service release device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080530 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100602 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100608 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100803 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100824 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101020 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101109 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101110 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131119 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |