JP4957818B2 - データ転送装置 - Google Patents

データ転送装置 Download PDF

Info

Publication number
JP4957818B2
JP4957818B2 JP2010029655A JP2010029655A JP4957818B2 JP 4957818 B2 JP4957818 B2 JP 4957818B2 JP 2010029655 A JP2010029655 A JP 2010029655A JP 2010029655 A JP2010029655 A JP 2010029655A JP 4957818 B2 JP4957818 B2 JP 4957818B2
Authority
JP
Japan
Prior art keywords
data transfer
header
data
transfer device
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010029655A
Other languages
English (en)
Other versions
JP2010141917A (ja
Inventor
健一 坂本
和義 星野
浩二 若山
史朗 田辺
昇 遠藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2010029655A priority Critical patent/JP4957818B2/ja
Publication of JP2010141917A publication Critical patent/JP2010141917A/ja
Application granted granted Critical
Publication of JP4957818B2 publication Critical patent/JP4957818B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はインターネットにおける仮想専用網(VPN:Virtual Private Netw ork)構築方法及びインターネットサービスプロバイダ間を接続するインターワ ークルータに関する。
インターネット・プロトコル(Internet protocol: IP)ネットワーク上では、電子メール、WWW(World Wide Web)などのアプリケーションを使用することができる。また、IPネットワークは、従来の電話ベースの交換網と比較して構築コストが安い。そのためインターネットは近年爆発的に普及している。このような状況の下、IPで構築した企業内網(イントラネット)は、企業活動にも欠かすことの出来ないものとなってきている。
企業は複数の地域に偏在している場合が多い。この場合、各地域の企業網を相互接続し、一つの企業網を構築する必要が生じる。企業網を複数地域にわたって構築する場合、次の2つの方法が考えられる。
第1は、各地域の企業内網を専用線で相互接続することである。このように構築することにより、企業網を外部のネットワークから隔絶、セキュリティを確保を確保することができる。
第2に、IPsec(IP security protocol)技術により、自網のネットワークのパケットを識別する機能を端末に設け、インターネット内ではグローバルアドレスに基づくIPパケットとして転送を行うことである。悪意のユーザからの攻撃にはこの識別機能と、暗号化により対抗することでVPNを実現することができる。
しかし、専用線を使用するとネットワークコストが上昇してしまうこと、さらにIPsec方式によるVPNでは、アタック及び暗号解読により悪意のユーザの侵入を許したり、暗号化処理が高速ネットワークの速度のボトルネックになったり、端末コストが上昇するという問題があった。
このため、インターネットが普及し、インターネットが廉価で使用できるにようになるに従い、網が提供するIPの下位レイヤの機能を用い、インターネット上に仮想的に専用網を構築し、コストを押さえ、かつ外部のネットワークから隔絶した安全な、かつ何らかの品質保証行い要求が高まってきた。
この要求を満たすネットワークとして次のようなVPNが考えられている。V PNを提供するインターネット・サービス・プロバイダ(Internet Service Pro vider:ISP)のネットワークの入り口でカプセル化を行う。ISPのネットワーク上では、このカプセル化したヘッダに基づき転送を行い、ネットワークの出口でカプセルヘッダを外す。このVPN構成方式では、VPN固有のカプセル化ヘッダを用いることにより外部のネットワークから隔絶し、セキュリティを確保している。また、このカプセル化の具体的なプロトコルとしては、IPカプセル化、MPOA(Multi Protocol over ATM)、MPLS(Multi Protocol Layer Swit ching)等の方式があり、1999年2月現在、ITU-T SG13やIETFなどの標準化団体で検討が行われている。また、ITU-T SG13では、網の内部をE.164アドレスによりカプセル化して転送する、Core Protocol(別称GMN-CL)についての検討も行われている。
NTT R&D vol.47 No.4 1998(平成10年4月10日発行)は、GMN-CLにおけるユーザ網とコア網のインターワークを行うアクセス系・エッジノードの構成法を提案している。
NTT R&D vol.47 No.4 1998(平成10年4月10日発行)
近年の企業活動は広範囲に渡っている。このため、例えば、日、米、欧に拠点を持ち、それぞれの拠点でイントラネットを構築した上で、VPNにより、それらを相互接続したいというニーズが生じてくるものと考えられる。
他方、ISPはある特定の地域でサービスを提供しているのが一般的なため、前記したような各拠点のネットワークをVPNにより接続するためには、複数のISPをまたがった形でVPNを構築する必要がある。
なお、複数のISPを相互に接続する場合、インターワークのためのゲートウェーを設け、相互接続を行う。このインターワークルータでは、双方のネットワークから到来した相手網行きのパケットをIPヘッダに従って相手網に転送することで、インターワークを実現する。また、日経コミュニケーション1997年12月15日号146頁に記されているように、複数ネットワークの相互インターワークのために、IX(Internet Exchange)と呼ばれる装置を用いて互いのネットワークを接続し、このIXにより、互いの網間で転送されるパケットの転送を行っても良い。このようなIXには、IPパケットを識別して転送を行う「レイヤ3フォワーディング」や、ATM通信装置などで、下位レイヤのヘッダを識別して転送を行う「レイヤ2フォワーディング」を用いる方式がある。
本願発明者等は、複数のISPのネットワークをまたがる形でVPNを構成しようとした場合の問題点を検討した。まず、各インターネットサービスプロバイダのネットワークでVPNを構築するために、各ネットワーク内でそれぞれカプセ ル化を行う。各ネットワークのカプセル化プロトコルは、一般に異なるものとなると考えられる。この場合、インターワークルータでは、双方のネットワークの共通のプロトコルであるIPパケットのIPヘッダ情報を検索して宛先方路を決定し、他網行きのパケットであるか否かを検索する必要がある。
しかし、インターワークルータは、IPレイヤより下位レイヤのプロトコルはインターフェースで終端してしまうため、前段の網でVPNを構成するためにつけられているカプセル化ヘッダをはずしてIPアドレスを検索する事により次のホップ情報を決定し、また後段の網でのVPNを構成するためのカプセルヘッダを生成してパケットに付与することになる。したがって、インターワーク装置内部では、VPN内のパケットとVPN以外の網のパケットとが混在してしまう。そのため、悪意のユーザによる不正ヘッダの付与により、インターワークルータを基点としてVPNへの侵入が可能になるという問題がある。
また、企業によってはグローバルアドレスを使用せずにインターナルアドレスを用いてVPNを構成することがある。この場合、インターワークルータでカプセル化ヘッダを一旦はずしてしまうと、受信側のISP側では、インターナルアドレスが複数のVPNでそれぞれ独自に使用されているので、同一のアドレスを持つパケットを区別することが出来ない。このため、パケットの転送先が決定できない。複数のISPにまたがって、インターネット上にVPN構成する場合、上述のような問題点がある(第1の課題)。
更にそれぞれのISPにおけるサービスは均一でない。例えば通信品質を例に説明すると、あるISPではATMのVCを用いてパスを張ることにより各VPNの品質の保証しており、別のISPではDiffserv(Differenciated Services)により品質の保証を行っている場合、双方で構成するVPNを相互に接続する場合、エンド・トゥー・エンドで通信品質を規定することは困難である。(第2の課題)。
上述のように、実用レベルで、複数のISPにまたがってインターネット上にVPNを構築することは困難である。
そこで、本発明は複数のISPにまたがってVPN構築する方法及び、複数のISPにまたがってVPN構築する場合において、それらのISP間を接続するインターワークルータを提供することにある。
第1の課題を解決するため、VPN識別番号であるカプセル化ヘッダとIPヘッダ双方の情報を用いて、出力方路の決定及び出力側ISP網内でのカプセル化ヘッダの生成を行う機能をインターワークルータ装置に設ける。下位レイヤにATMを用いるMPLS網を運用するISP同士を接続する場合を例により具体的に説明すると、VPN識別に使用するカプセル化ヘッダであるATMのVPI、VCI等のヘッダ情報と、IPアドレスをキーに検索を行い、次の方路及び次のネットワーク内部でのVPN識別に使用するATMのVPI,VCI等のヘッダ情報を生成し、後段の網に送り出す際に生成したヘッダ情報を付与して送出する。これによりVPNのインターワークが実現でき、複数のISPにまたがる地域に対する、インターネット上でのVPN構成を構成することが出来る。
第二の課題を解決するするために、入力側のカプセル化ヘッダ領域のQoSをあらわすフィールドの値を、出力側のカプセル化ヘッダ領域のQoSをあらわすフィールドの値にマッピングを行う。これにより、双方の網の品質情報を透過的に転送することができる。
本発明により複数ISP間にまたがるVPN網を構築することができる。また複数のVPNネットワーク間でQoS情報をインターワークすることができる。
本発明によるインターワークルータ動作の概念図である。 従来のルータを用いた場合における複数のISP間のインターワーク方式を説明した図である。 本発明によるインターワークルータの動作をプロトコルスタックを用いて説明した図である。 従来のルータによるISPインターワーク処理方式を説明するフローチャートである。 本発明によるインターワークルータの動作を説明するフローチャートである。 本発明によるインターワークルータの動作を説明するフローチャートである。 本発明によるMPLS網とIPカプセル化網の接続形態をプロトコルスタックを用いて説明した図である。 RFC1483によるIPパケットのATMセル化を説明する図である。 RFC791によるIPパケットフォーマットを説明する図である。 RFC1853によるIPトンネルパケットの構成を説明する図である。 本発明によるインターワークルータの1構成例を説明する図である。 本発明によるインターワークルータの下位レイヤ処理部の1構成例を説明する図である。 本発明による下位レイヤ処理部における受信側VPN番号テーブルの構成例を説明する図である。 本発明によるインターワークルータの下位レイヤ処理部の1構成例を説明する図である。 本発明による下位レイヤ処理部における受信側VPN番号テーブルの構成例を説明する図である。 本発明によるインターワークルータのパケットレイヤ処理部の1構成例を説明する図である。 本発明によるパケットレイヤ処理部におけるルート検索VPNテーブルの構成例を説明する図である。 本発明による下位レイヤ処理部におけるヘッダ生成テーブルの構成例を説明する図である。 本発明による下位レイヤ処理部におけるヘッダ生成テーブルの構成例を説明する図である。 本発明によるインターワークルータの網内での1適用例を説明する図である。 本発明によるインターワークルータの網内での1適用例を説明する図である。 本発明によるインターワークルータの網内での1適用例を説明する図である。 本実施例のテーブルの設定のための、NMSから装置に指示を出すインターフェースである。
以下、図を用いて本発明の実施例について説明する。
図1、図2を用いて本発明による複数ISPにまたがる下位レイヤにより分離されたVPNの構成法およびそのインターワークルータの役割について説明する。ここで下位レイヤとは、IPパケットをカプセル化するプロトコルを指し、IPパケットをIPヘッダでカプセル化する場合にも、このカプセルヘッダを下位レイヤのヘッダとして表記することとする。
まず、図2により、従来のルータを用いて複数のISPにまたがるVPNを構成した場合の問題点について説明する。図2では、下位レイヤでカプセル化することによりVPNを実現するISP1(2−1)とISP2(2−2)が既存ルータ(9)によりインターワークしている。ISP1はA地区でサービスを展開しており、LAN1(1−1)、LAN2(1−2)、LANa(1−a)を収容している。ISP2はB地区でサービスを展開しており、LAN3(1−3)、LAN4(1−4)、LANb(1−b)を収容している。また、LAN1、LAN2、LAN3、LAN4は同一会社のLANであり、VPNを構成したいと考えている。またLANa、LANbも同一会社のLANであり、VPNを構成したいと考えている。このような場合、同一ISP内においては、網の入り口と網の入り口にカプセルチャネルを張ることにより、他のユーザのパケットと分離することができるため、セキュリティの高いネットワークを構築できる。しかし、ISP1とISP2にわたってVPNを設定しようとする場合、既存ルータでは入力側のインターフェース部で下位レイヤを終端し、IPレベルでマージしてからパケットフォワーでリング処理を行うため、IPレベルで複数のユーザのパケットが混じってしまう問題がある。すなわち、VPN内のパケットとそれ以外のパケットが混じってしまう。従って、悪意のユーザがIPアドレスを偽って網に侵入することも可能となる。さらに二つの会社がプライベートアドレスを用いて社内LANを構築しようとした場合には、それぞれの会社では独立にアドレスをアサインするため、同一のIPアドレスをアサインすることがある。この場合
、既存ルータではアドレスのバッティングのため、正しくパケットを転送することができない。
次に図1を用いて、本発明による前記問題の解決法について説明する。例えば会社AのLAN1から会社AのLAN3に通信する場合を説明する。本実施例ではISP1はIPカプセル化によりVPNを実現しており、ISP2はMPLS(ATMによる)によりカプセル化を行いVPNを実現している。LAN1から到来したパケットはISP1(2−1)に入るとISP1はIPカプセル化を行い、パケットはIPカプセル化論理チャネル(5−1)通じてインターワークルータに到着する。インターワークルータ(9)ではパケットが搭載されてきたIPカプセル化論理チャネルを示すIPカプセル化ヘッダと、元々のパケットヘッダの双方から出力方路を検索すると共に、ISP2内でのカプセル化ヘッダを作成する。本実施例ではISP2はMPLSでサービスを行っているので、ATMのヘッダを作成する。ATMによりカプセル化されたパケットは、ATM論理チャネル(5−3)を通り、LAN3に送られる。インターワークルータでは、カプセルヘッダ及びIPヘッダで検索を行っているので、会社Aと会社Bがそれぞれプライベートアドレスを用いて、IPアドレスがバッティングする場合にもそれぞれ正しいあて先に転送することが可能となる。
本実施例ではカプセル化プロトコルとして、IPレイヤのカプセル化方式であるIPカプセル化と、ATMを用いてカプセル化を行う方式説明した。もちろんフレームリレーやHDLC系のプロトコルを用いてカプセル化を行ってもよい。
図3では本発明による、複数ISPにまたがるVPN構成法の1実施例について、網構成とプロトコルスタックを用いて説明する。ここではカプセル化プロトコルは限定していない。ISP1(2−1)はエッジノード(3−1,3−2)を介してそれぞれLAN1(1−1)、LAN2(1−2)を収容している。同様にISP2(2−2)はエッジノード(3−3,3−4)を介してそれぞれLAN3(1−3)、LAN4(1−4)をはじめとする複数の網を収容している。またそれぞれのISPは自網の入り口から出口にかけて、IPパケットを網内で使用するヘッダでカプセル化して転送を行っている。そしてカプセルヘッダをVPNに固有に割り当てることにより、VPNトラフィックを網内の別のトラフィックから識別してVPNに関する閉域網を構成している。ISP1(2−1)とISP2(2−2)はインターワークルータ(10)により互いにインターワークしており、相手網行きのトラフィックはインターワークルータを介して相手網に転送される。
例えばLAN1とLAN3を結ぶVPN(VPN1と呼ぶ事とする)を構成する場合について説明すると、LAN1から送出されたLAN3宛のIPパケットはエッジノード(3−1)においてIPアドレスにより検索され、まずVPN1に属すインターワークルータ宛のパケットと認識され、VPN1のインターワークルータ(10)行きのカプセルヘッダ(レイヤ図中103a)が付与され、インターワークルータ(10)に到達する。インターワークルータ(10)はカプセルヘッダ(レイヤ図中103a)とIPアドレスにより検索され、VPN1に属すエッジノード(3−3)宛のパケットであることを検索し、ISP2内でVPN1でエッジノード(3−3)宛のカプセルヘッダ(レイヤ図中103b)を付与し、ISP2内をカプセルヘッダに従いエッジノード(3−3)に転送される。エッジノード(3−3)ではカプセルヘッダを外し、LAN3にIPパケットを転送する。これにより、両網内にまたがるVPNのIPパケットを他トラフィックと混合されることなくを転送することが出来る。
なお、グローバルアドレスを用いたIPパケットについては、下位レイヤ情報に依存させず、ひとまとめにして転送先および(カプセルヘッダを使用する場合には)カプセルヘッダを決定することにより、従来の網内と同様に転送を行うことが出きる。
インターワークルータ(10)の動作を図4、図5、図6を用いて説明する。図4は従来のルータ装置の処理フローであり、図5、図6は本発明によるインターワークルータ(10)の処理フローである。従来のルータでは、パケットが到着すると、ISP1(2−1)での転送に用いられる物理レイヤを終端(201)し、ISP1内の転送に使用したカプセルヘッダを除去(202)してから、IPヘッダの値により方路検索を行い(203)、スイッチを介して所望方路に転送する(204)。その後、ISP2での転送に用いられるカプセルヘッダを付与(205)し、その後物理レイヤの処理を行って(206)伝送路から送出する。このフローでは、ISP1のカプセルヘッダを除去して、IPヘッダのみで方路を決定するため、複数VPNのトラフィックが一旦マージされてしまう。本発明のインターワークルータによれば、そのような問題を回避できる。
図3は、本発明のインターワークルータ(10)が実行するアルゴリズムであるパケットが到着すると、ISP1(2−1)での転送に用いられる物理レイヤを終端(211)し、ISP1内の転送に使用したカプセルヘッダとIPヘッダの値により方路検索およびISP2内のカプセル化ヘッダの生成を行う(212)。その後ISP1カプセルヘッダを除去(213)し、ISP2での転送に用いられるカプセルヘッダを付与(214)し、スイッチに送信する。そして、スイッチにより、所望の方路に転送(215)される。その後物理レイヤの処理を行って(216)伝送路から送出する。これにより、別の網のトラフィックと分離することができる。また、スイッチに、カプセルヘッダが除去された裸のIPパケットが流れることがないので、この部分から他人がVPNに挿入することは出来ない。すなわち、ISP2内で使用される内部ヘッダが付加されていないIPパケットが紛れ込み、そのパケットがISP2内のVPNに流れ込むということはない。従って、安全性も高くなる。
また別の実施例として図6を説明する。本実施例のインターワークルータは、ISP1内の転送に使用したカプセルヘッダとIPヘッダの値の組と、カプセルヘッダインデックスとの対応テーブルと、カプセルヘッダインデックスとISP2内の転送に使用したカプセルヘッダとの対応テーブルを有している。パケットが到着すると、ISP1(2−1)での転送に用いられる物理レイヤを終端(221)し、ISP1内の転送に使用したカプセルヘッダとIPヘッダの値により方路検索とカプセルヘッダインデックスの生成を行う(222)。その後、上記IPパケットISP1カプセルヘッダを除去(223)し、その除去されたIPパケットに、生成したカプセルヘッダインデックスを付与してスイッチに送信し、スイッチにより所望の方路に転送される(224)。そして、カプセルヘッダIndexからISP2での転送に用いられるカプセルヘッダを生成、付与(225)する。その後物理レイヤの処理を行って(226)伝送路から送出する。この構成によっても、図5の場合と同様に、安全性の高い閉域網を構成することが出来る。すなわち、カプセルヘッダIndexが付与されていないIPパケットが紛れ込むことはない。
次に図7〜図10を用いて、MPLSによりVPNをサポートするISP1とIPカプセルを用いてVPNをサポートするISP2にまたがるVPNの実現方式とパケット構成例を説明する。
図7は網構成とプロトコルスタックを示している。図3ではカプセル化方式を特定せずに説明したが、図7は、ISP1はMPLS、ISP2はIPカプセル化を採用した場合の例を示している。インターワークルータ(10)では、図3と同様にカプセル化ヘッダに相当するATMレイヤ(104a)及びIPレイヤ(101)、IPカプセルレイヤ(104b)及びIPレイヤ(101)の組み合わせによりフォワーディングを行う。これにより、VPNがそれぞれプライベートアドレスを用いるためアドレスが重複する場合であっても、正しくフォワーディングすることが可能となる。
図8により、IPパケットをATMでカプセル化する方式を説明する。本カプセル化はIETFのRFC1483で標準化されている方式である。IPヘッダ(250)及びIPペイロード(251)からなるIPパケットにLLC/SNAP(253)を付与し、AAL5ヘッダ(252)及びAAL5トレイラ(255)を付与してAAL5フレームを構成する。PAD(254)はAAL5フレームをATMセルのペイロード(257)長である48オクテットの定数倍にするために挿入する。そしてこのAAL5トレイラを48オクテット毎に分割し、ATMヘッダ(256)を付与し、1乃至複数のATMセルとして転送を行う。
図9はRFC791で示されるIPv4パケットフォーマットを示している。IPカプセル化を行う際、カプセル化を行うプロトコルはIPv4ヘッダをそのまま使用し、網内のルータは既存のIPv4ルータを使用することができる。
図10はIPトンネルによるカプセル化方式を示している。ユーザの送信したIPヘッダ(260)及びIPペイロード(261)から構成されるIPパケットをカプセル化ヘッダ(264)でカプセル化しており、このカプセル化ヘッダはIPヘッダ(262)とトンネルヘッダ(263)から構成される。このカプセル化ヘッダはISP2内で用いられるもので、網内で一意に識別が可能である。したがって、ユーザがプライベートアドレスを用いた場合でも、網内ではカプセルヘッダによりルーティングを行い、パケットを所望のエッジまで運ぶことができる。本例ではRFC1583によるトンネルヘッダの例を示したが、他にIPカプセル化にはGREカプセル化(RFC1792)やIPモバイルなどがある。
インターワークルータ(10)では、図8や図10で示したカプセルヘッダとユーザのIPアドレスを組み合わせてフォワーディング処理を行うことにより、安全なVPNをISPにまたがり構成することができ、さらにユーザはプライベートアドレスを用いてVPNを構築することができる。
図11乃至図19を用いて、インターワークルータ(10)の一実施例について説明する。
図11はインターワークルータ(10)の1構成例である。制御部(50)は装置全体の制御及び他ノードとのルーティング処理などを行っている。コアスイッチ(51)は各パケットレイヤ処理部(52)間のパケットの転送を行うスイッチである。下位レイヤ処理部(ATM)(53)はISP1のMPLS網を収容するインターフェースであり、下位レイヤ処理部(IPカプセル)(54)はISP2のIPカプセル網を収容するインターフェースである。パケットレイヤ処理部(52)は下位レイヤ処理部(53,54)から下位レイヤの情報及びIPパケットを受け取り、下位レイヤの情報とIPパケットのヘッダ情報の組み合わせによりパケットの転送先を決定する。
まず受信方向の処理の流れから説明する。図12に下位レイヤ処理部(ATM)(53)のブロック構成を示す。ISP1の網から到来した信号はまず物理レイヤ処理部(150)にて物理レイヤを終端し、ATMレイヤ処理部(151)にてATMレイヤを終端する。この際、再構成されたIPパケットとともに、受信側のVPN識別機能を果たしているATMヘッダも同時にVPN番号付与部(152)に送付する。VPN番号付与部(152)では装置内でVPNの識別に利用するVPN番号をATMヘッダより生成する。この際受信側VPN番号テーブル(153)が用いられる。そしてこのVPN番号とIPパケットはパケット処理部IF(154)を介してパケットレイヤ処理部に転送される。
図13には受信側VPN番号テーブル(153)の構成例を示している。このテーブルでは入力側ATMヘッダ(300)と入力側VPN番号(303)のペアから構成されており、入力側ATMヘッダが入力キーとなって入力側VPN番号(303)を出力する。入力キーとなる入力側ATMヘッダとしては、VPI/VCI(301)の他、パケットの転送優先度を示すCLP(Cell of Priority)ビット(302)をキーとしてもよい。そして装置内で汎用的に使用される入力側VPN番号は装置内VPN番号(304)の他にQoS(Quality of Service)を示すフィールド(305)を設けてもよい。またCLPとQoSのマッピングを行うテーブルをVPN識別のための本テーブルと独立に設けてもよい。
図14に下位レイヤ処理部(IPカプセル)(54)の実施例を示す。ISP2から到来した信号は物理レイヤ処理部(170)にて物理レイヤを終端し、次にカプセルレイヤ受信処理部(171)にてカプセルヘッダの終端を行う。この際終端したカプセルヘッダをIPバケットと共にVPN番号付与部(172)へ送付する。VPN番号付与部(172)では装置内でVPNの識別に利用するVPN番号をATMヘッダより生成する。この際受信側VPN番号テーブル(173)が用いられる。そしてこのVPN番号とIPパケットはパケット処理部IF(154)を介してパケットレイヤ処理部に転送される。
図15には受信側VPN番号テーブル(173)の構成例を示している。このテーブルは、入力側カプセルヘッダ(310)と入力側VPN番号(303)のペアから構成されており、入力側ATMヘッダが入力キーとなって入力側VPN番号(303)を出力する。入力キーとなる入力側IPカプセルヘッダとしては、カプセルヘッダのソースアドレス(311)の他、パケットの転送優先度を示すTOS(Type of Service)フィールド(302)をキーとしてもよい。そして装置内で汎用的に使用される入力側VPN番号は装置内VPN番号(304)の他にQoSを示すフィールド(305)を設けてもよい。
またToSとQoSのマッピングを行うテーブルをVPN識別のための本テーブルと独立に設けてもよい。
図12から図15を用いて説明した方式により、入力側VPN番号(303)とIPパケットがパケットレイヤ処理部(52)に到達した際の処理を図16を用いて説明する。下位レイヤ処理部(180)を介して入力側VPN番号(304)とIPパケットをルート検索・VPN処理部(181)が受け取ると、ここではルート検索・VPNテーブル(182)を用いてIPヘッダ及び入力側VPN番号の双方をキーにしてルート検索及び出力側VPN番号を決定する。これにより出力方路及び出力側VPN番号とIPパケットは、コアスイッチIFを介してコアスイッチに送付され、所望のパケットレイヤ処理部に到達することとなる。
図17にルート検索・VPNテーブルの構成例を示す。入力キーとして入力側VPN番号(320)及びIPヘッダ(323)を用いて検索を行い、出力方路番号(325)及び出力側カプセル番号(326)を出力させる。出力方路番号(326)はコアスイッチ及びその他でパケットを所望のインターフェースに転送するための装置内識別子であり、出力側カプセル番号(326)は出力側の下位レイヤ処理部にてカプセルヘッダを付与するためのカプセルヘッダへの装置内識別子である。出力側カプセル番号(326)にはカプセル番号(327)の他にQoS(328)を設け、優先制御を行ってもよい。
次に送信方向の処理について説明する。図16を用いてパケットレイヤ処理部(52)の処理例を示す。コアスイッチIF(184)を介して出力側カプセル番号(326)及びIPパケットを受け取ると、これらの情報を下位レイヤ処理部IFを介して下位レイヤ処理部(53、54)に転送する。
図12を用いて、下位レイヤ処理部(ATM)(53)の動作を説明する。下位レイヤ処理部(ATM)(53)ではパケットレイヤ処理部(52)からパケットレイヤ処理部IF(159)を介して出力側カプセル番号(326)及びIPパケットを受信する。次にATMヘッダ決定部(157)はヘッダ生成テーブル(158)を用いてカプセルヘッダに対応するATMヘッダを出力側カプセル番号(326)から生成する。こうして生成されたATMヘッダとIPパケットはATMレイヤ送信処理部(156)でATMセルに変形され、物理レイヤ送信処理部(155)を介してISP1のネットワークへと送信される。
図18にヘッダ生成テーブルの構成を示す。出力側カプセル番号をキーとして出力側ATMヘッダを出力する構成となっている。これにより出力側カプセル番号より出力側ATMヘッダを得ることができる。
同様に図14を用いて下位レイヤ処理部(IPカプセル)(54)の動作を説明する。下位レイヤ処理部(IPカプセル)(54)ではパケットレイヤ処理部(52)からパケットレイヤ処理部IF(159)を介して出力側カプセル番号(326)及びIPパケットを受信する。次にカプセルヘッダ決定部(177)はヘッダ生成テーブル(178)を用いてカプセルヘッダに対応するIPカプセルヘッダ及び出力側MACアドレスを出力側カプセル番号(326)から生成する。こうして生成されたIPカプセルヘッダ、出力側MACアドレスとIPパケットはカプセルレイヤ送信処理部(176)でカプセル化処理され、物理レイヤ送信処理部(175)を介してISP1のネットワークへと送信される。
図19にヘッダ生成テーブルの構成を示す。出力側カプセル番号をキーとして出力側IPカプセルヘッダ及び出力側MACアドレスを出力する構成となっている。
以上インターワークルータ装置の一構成例を示した。本実施例では、入力側、出力側それぞれの処理に内部で統一された入力側VPN番号(320)及び出力側カプセル番号(326)を用いた例を示した。但し、ルート検索・VPNテーブルの入力キーを入力側カプセルヘッダにしてもよいし、出力として直接出力側カプセルヘッダを生成してもよい。
また、本実施例で示したテーブルは論理的なテーブルであり、テーブル検索方法として、ツリー構造に代表される検索アルゴリズムを用いてアドレスを出し、所望の出力を得る方式を採用してもよいし、CAMを使った構成や、テーブルを逐次検索していく方式を採用してもよい。
図23に本実施例のテーブルの設定のための、NMSから装置に指示を出すインターフェースであり、エージェントが制御部50に搭載される、MIB(Mana gement Information Base)構成の一実施例を示す。入力カプセルヘッダEntry(500)は図13に示した受信側VPNテーブルを設定するためのMIBである。同様にVPNクロスコネクトEntry(501)は図17に示したルート検索・VPNテーブル(182)を設定するためのMIBである。同様に出力側カプセルヘッダEntry(502)はヘッダ生成テーブルの1構成例である。これらのMIBに設定された情報は、NMSから制御部(50)に対して設定され、制御部(50)がインターワークルータ内各部にテーブル設定する。
ここまでにVPNのインターワークについて装置構成を中心に説明してきた。図20から図22を用いて、インターワークルータのネットワーク内での適用例を説明する。
図20は2つのISPがそれぞれの所有する2つのインターワークルータを介して接続される例を示す。2つのインターワークルータの間はカプセル化(103b)によりそれぞれのVPNを識別する構成になっている。そしてそれぞれのインターワークルータ(10a、10b)では、図19までに説明したとおり、カプセルヘッダ(103a、103b、103c)とIPアドレスの組によりルーティング処理を行う。
図21は2つのISPがそれぞれの所有するインターワークルータを持ち、レイヤ3処理を行うIXを介して接続される例である。それぞれのインターワークルータとIXの間はカプセル化(103b)によりそれぞれのVPNを識別する構成になっている。インターワークルータ(10a)、IX(10c)及びインターワークルータ(10b)では、図19までに説明したとおり、カプセルヘッダ(103a、103b、103c)とIPアドレスの組によりフォワーディング処理を行う。
図22は2つのISPはそれぞれのインターワークルータを持ち、2つのISPが、IXを介して接続される例を示す。ここで、IXはレイヤ3処理を行わないレイヤ2装置で構成されている。この場合もそれぞれのインターワークルータとIXの間はカプセル化(103b)によりそれぞれのVPNを識別する構成になっている。インターワークルータ(10a)とインターワークルータ(10b)では、図19までに説明したとおり、カプセルヘッダ(103a、103b、103c)とIPアドレスの組によりフォワーディング処理を行う。IXはレイヤ2フォワーディングにより転送を行う。
なお、本発明では複数ISP間のVPNの接続方式について説明したが、同一ISP内に複数のカプセル化エリアが存在する場合にも、同一のノード構成でVPNを接続することが必要である。その場合でも、本発明で説明した方式により、VPNを接続することができる。
2…ISP網、3…エッジノード、10…インターワークルータ装置、50… 制御部、51…コアスイッチ、52…パケットレイヤ処理部、53…下位レイヤ処理部(ATM)、54…下位レイヤ処理部(IPカプセル)、152…VPN番号付与部、153…受信側VPN番号テーブル、157…ATMヘッダ決定部、158…ヘッダ生成テーブル、172…VPN番号付与部、173…受信側VPN番号テーブル、177…カプセルヘッダ決定部、178…ヘッダ生成テーブル。

Claims (14)

  1. 第一のカプセル化ヘッダを用いて構成される第一の仮想閉域網から第二のカプセル化ヘッダを用いて構成される第二の仮想閉域網にデータを転送するデータ転送装置であって、
    上記第一のカプセル化ヘッダと上記データ内のヘッダの情報とからとインデックスを生成するインデックス生成部と、
    上記インデックスから前記第二のカプセル化ヘッダを生成するデータ処理部と、
    上記データに前記第二のカプセル化ヘッダを付加して送信する送信部を備えたデータ転送装置。
  2. 請求項1記載のデータ転送装置であって、
    上記第一のカプセル化ヘッダを上記第二のカプセル化ヘッダで置き換える処理部をさらに備えたデータ転送装置。
  3. 請求項1記載のデータ転送装置であって、
    上記第一のカプセル化ヘッダと上記データ内のヘッダの情報とから上記データの送出経路を決定する経路決定部をさらに備えたデータ転送装置。
  4. 請求項1記載のデータ転送装置であって、
    上記データはIPパケットであることを特徴とするデータ転送装置。
  5. 請求項1記載のデータ転送装置であって、
    上記第一及び第二のカプセル化ヘッダは、ATM通信方式に準拠したヘッダであることを特徴とするデータ転送装置。
  6. 請求項1記載のデータ転送装置であって、
    上記第一及び第二のカプセル化ヘッダは、HDLC通信方式に準拠したヘッダであることを特徴とするデータ転送装置。
  7. 請求項1記載のデータ転送装置であって、
    上記第一及び第二のカプセル化ヘッダは、MPLS通信方式に準拠したヘッダであることを特徴とするデータ転送装置。
  8. 第1のカプセル化ヘッダを用いて構成される第一の仮想閉域網から第二のカプセル化ヘッダを用いて構成される第二の仮想閉域網に第1のデータ転送装置及び第2のデータ転送装置を介してデータを転送するデータ転送方法であって、
    上記第一のデータ転送装置において上記第一の仮想閉域網から上記データを受信するステップと、
    上記第一のデータ転送装置において上記カプセル化ヘッダと上記データ内のヘッダ情報とからインデックスをするステップと、
    上記第一のデータ転送装置において、該インデックスを上記データに付加して上記第二のデータ転送装置に送信するステップと、
    上記第二のデータ転送装置において上記インデックスを付加されたデータを上記第一のデータ転送装置から受信するステップと、
    上記第二のデータ転送装置において、該インデックスから上記第二のカプセル化ヘッダを生成するステップと、
    上記第二のデータ転送装置において、上記データに上記第二のカプセル化ヘッダを付加して上記第二の仮想閉域網に送信するステップを有するデータ転送方法。
  9. 請求項8記載のデータ転送方法であって、
    上記第一のデータ転送装置において上記第一のカプセル化ヘッダを上記インデックスで置き換えるステップと、
    上記第二のデータ転送装置において上記インデックスを上記第二のカプセル化ヘッダで置き換えるステップをさらに有するデータ転送方法。
  10. 請求項8記載のデータ転送方法であって、
    上記第二のデータ転送装置において上記データ内のヘッダ情報と上記インデックスとから上記データの送出経路を決定するステップをさらに有するデータ転送方法。
  11. 請求項8記載のデータ転送方法であって、
    上記データはIPパケットであることを特徴とするデータ転送方法。
  12. データ転送システムであって、
    第一のカプセル化ヘッダを用いて構成される第一の仮想閉域網と、
    第二のカプセル化ヘッダを用いて構成される第二の仮想閉域網と、
    上記第一の仮想閉域網からデータを受信する第一のデータ転送装置と、
    上記データを上記第二の仮想閉域網に転送する第二のデータ転送装置と、を備え、
    上記第一のデータ転送装置は、上記データ内のヘッダ情報と上記第一のカプセル化ヘッダ情報とからインデックスを生成し、上記データに上記インデックスを付加して上記第二のデータ転送装置に送信し、
    上記第二のデータ転送装置は、上記データ内のヘッダ情報と上記インデックスとから上記第二のカプセル化ヘッダを生成し、上記データに上記第二のカプセル化ヘッダを付加して送信することを特徴とするデータ転送システム。
  13. 請求項12記載のデータ転送システムであって、
    上記第一のデータ転送装置は、上記第一のカプセル化ヘッダを上記インデックスで置き換え、
    上記第二のデータ転送装置は、上記インデックスを上記第二のカプセル化ヘッダ情報で置き換えることを特徴とするデータ転送システム。
  14. 請求項12記載のデータ転送システムであって、
    上記第二のデータ転送装置は、上記データ内のヘッダ情報と上記インデックスとから上記データの送出経路を決定することを特徴とするデータ転送システム。
JP2010029655A 2010-02-15 2010-02-15 データ転送装置 Expired - Fee Related JP4957818B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010029655A JP4957818B2 (ja) 2010-02-15 2010-02-15 データ転送装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010029655A JP4957818B2 (ja) 2010-02-15 2010-02-15 データ転送装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2007335606A Division JP4508238B2 (ja) 2007-12-27 2007-12-27 データ転送装置

Publications (2)

Publication Number Publication Date
JP2010141917A JP2010141917A (ja) 2010-06-24
JP4957818B2 true JP4957818B2 (ja) 2012-06-20

Family

ID=42351558

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010029655A Expired - Fee Related JP4957818B2 (ja) 2010-02-15 2010-02-15 データ転送装置

Country Status (1)

Country Link
JP (1) JP4957818B2 (ja)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10224409A (ja) * 1997-02-07 1998-08-21 Oki Electric Ind Co Ltd 通信システム
JPH1141280A (ja) * 1997-07-15 1999-02-12 N T T Data:Kk 通信システム、vpn中継装置、記録媒体

Also Published As

Publication number Publication date
JP2010141917A (ja) 2010-06-24

Similar Documents

Publication Publication Date Title
JP4110671B2 (ja) データ転送装置
EP1713197B1 (en) A method for implementing the virtual leased line
US7489700B2 (en) Virtual access router
US7266124B2 (en) Method for setting up QoS supported bi-directional tunnel and distributing L2VPN membership information for L2VPN using extended LDP
JP4439122B2 (ja) インターネット・プロトコル・コネクション指向サービスの管理方法
US20040177157A1 (en) Logical grouping of VPN tunnels
US20050265308A1 (en) Selection techniques for logical grouping of VPN tunnels
US20030174706A1 (en) Fastpath implementation for transparent local area network (LAN) services over multiprotocol label switching (MPLS)
EP1475942A2 (en) Address Resolution in IP Internetworking Layer 2 point-to-point connections
JP2000078173A (ja) 高速トラフィック動作を改良するための方法およびシステム
US20040025054A1 (en) MPLS/BGP VPN gateway-based networking method
Palmieri VPN scalability over high performance backbones evaluating MPLS VPN against traditional approaches
KR100728292B1 (ko) 가상 랜 네트워크 및 그 서비스 제공 방법
JP4111226B2 (ja) 通信システム
JP4450069B2 (ja) データ転送装置、方法及びシステム
JP4508238B2 (ja) データ転送装置
Cisco Remote Access to MPLS VPN
JP4957818B2 (ja) データ転送装置
JP4535122B2 (ja) データ転送装置、方法及びシステム
Wu et al. Research on the application of cross-domain VPN technology based on MPLS BGP
Pica et al. Analysis of MPLS technology in the case of virtual networks
Parra et al. MPLS/VPN/BGP networks evaluation techniques
Kaur et al. Comparative analysis of WAN technologies
KR20050060284A (ko) 가상 사설망의 구축 방법
JP2005080271A (ja) 複数のvpnを接続するため、送信先vpn識別符号をカプセル化ヘッダとしたvpn構成方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120221

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120305

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150330

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees