JP5152835B2 - 多重アクセス装置 - Google Patents

多重アクセス装置 Download PDF

Info

Publication number
JP5152835B2
JP5152835B2 JP2007218183A JP2007218183A JP5152835B2 JP 5152835 B2 JP5152835 B2 JP 5152835B2 JP 2007218183 A JP2007218183 A JP 2007218183A JP 2007218183 A JP2007218183 A JP 2007218183A JP 5152835 B2 JP5152835 B2 JP 5152835B2
Authority
JP
Japan
Prior art keywords
address
logical network
user terminal
terminal
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007218183A
Other languages
English (en)
Other versions
JP2009055173A (ja
Inventor
毅 八木
努 近藤
健 桑原
純一 村山
博之 大崎
真 今瀬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Osaka University NUC
Original Assignee
Nippon Telegraph and Telephone Corp
Osaka University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Osaka University NUC filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007218183A priority Critical patent/JP5152835B2/ja
Publication of JP2009055173A publication Critical patent/JP2009055173A/ja
Application granted granted Critical
Publication of JP5152835B2 publication Critical patent/JP5152835B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、複数のVPNに多重帰属している複数のユーザ端末の間の通信を制御する多重アクセス装置に関するものである。
近年、ネットワーク技術の発展に伴い、様々な社会組織間の情報伝達が、インターネット通信網などのネットワークを介した通信により行われるようになっている。また、ネットワークの上に仮想組織(論理的な閉域網)を形成する試みもなされてきている。このような仮想組織のユーザは、セキュリティを維持した状態で、複数の仮想組織と通信可能な関係を確立する必要がある。
従来、このような、複数の仮想組織をユーザに提供する複数VPN(Virtual Private Network)多重帰属サービスを提供する網では、まず、ユーザ端末に、各所属閉域網用のアドレスを割り当てている。加えて、ユーザ端末では、接続先の閉域網に応じ、パケットの送信元アドレスと宛先アドレスを決定してパケットを生成している。宛先アドレスは、論理網識別子と端末識別子とで階層化されており、ユーザ端末は、パケットを送信する際に、通信相手から宛先アドレスを決定した後、決定した宛先アドレスと同一の論理網識別子を有する保有アドレスを送信元アドレスとして記述してパケットを生成している(非特許文献1参照)。
また、ユーザ端末を収容する多重アクセス装置では、ユーザ端末からパケットを受信した際に、受信したパケットの宛先アドレスと送信元アドレスの論理網識別子が一致するか否かを確認し、不一致の際は前記パケットを廃棄している。この際、不正アクセスを防止するために、多重アクセス装置は、物理ポート識別子などの送信元アクセス回線識別子とパケットの宛先アドレスの論理網識別子を比較し、この論理網識別子が、前記アクセス回線識別子下のユーザ端末が接続を許可されている論理識別子であること確認している。
ここで、許可されていない論理識別子である場合は、パケットを廃棄する機能を保有することもある。さらに、この際、送信元アドレス詐称による不正アクセスを防止するために、多重アクセス装置は、物理ポート識別子などの送信元アクセス回線識別子とパケットの送信元アドレスを比較し、送信元アドレスが前記アクセス回線識別子下のユーザ端末に割り当てられたアドレスか否かを確認し、不一致の際はパケットを廃棄する機能を保有することもある。
これらは、ユーザ端末に、例えば、「OpenVPN」などのSSLを用いたVPNを構築するためのソフトウエアによるVPNクライアントを配置し、多重アクセス装置にOpenVPNサーバ機能を配置することで、装置間でVPN毎にSSLトンネルを設定するとともに、アドレス選択機能とアドレスチェック機能を各装置に配置することで実現できる。
この方式では、ユーザ端末が、VPN毎に複数アドレスを保有する必要がある。しかし、通常、保有可能なアドレスに制限があるユーザ端末も多い。このため、一般的なユーザ端末に対して複数VPN多重帰属サービスを実現する場合、上述した方式において、宛先アドレスを参照した転送制御のみを適用してサービスを実施する場合が多い。
これらの方式では、送信元のユーザ端末が、宛先のユーザ端末を指定するためのアドレスを特定できる必要がある。一方で、アドレス情報の漏えいに起因したスパム,フィッシング,及びDOS(Denial of Services)攻撃などのセキュリティ問題の発生を防止する観点から、アドレス情報の公開は好ましくない。
従って、ユーザを収容する各多重アクセス装置に、収容ユーザの接続する閉域網毎に端末機能を保有させ、前記端末機能に閉域網毎のアドレスを保有させ、公開するアドレスを前記端末機能用アドレスとすることで、宛先ユーザ端末のアドレスを未公開としつつ通信を実現する方式が有効であると考えられる。この方式では、送信元ユーザ端末は、宛先アドレスとして、宛先ユーザを収容する多重アクセス装置上の端末機能のアドレスを指定する。送信元ユーザ端末からパケットを受信した多重アクセス装置上の端末機能は、受信したパケットの宛先アドレスを宛先ユーザ端末のアドレスに変換して転送する。これは、端末機能にNAPT(Network Address Port Translation:RFC2663)機能を保有させることで実現できる。
八木 毅 他、「コミュニティ通信を支援するセキュアネットワーキングプラットホーム(SPX)のアーキテクチャ設計」、電子情報通信学会、信学技法、IN2006−173、pp.65−70、2007。
しかしながら、上述した従来の技術では、宛先のユーザ端末では、受信したパケットの送信元アドレスを参照することで、送信元ユーザ端末のアドレスを特定することができる。前述したように、アドレス情報の漏えいに起因したスパム,フィッシングおよびDOS攻撃などのセキュリティ問題の発生を防止する観点から、アドレス情報が他者に漏えいすることは好ましくない。例えば、宛先ユーザ端末で参照が可能な送信元ユーザ端末のアドレスは、宛先ユーザ端末のインターネット接続で第三者に漏えいする可能性がある。このように送信元ユーザ端末のアドレスが漏洩すると、第三者による前述したようなセキュリティ問題が引き起こされ、送信元ユーザ端末が攻撃を受ける可能性がある。このように、従来の技術では、アドレス情報が他社に漏洩する可能性があるという問題があった。
本発明は、以上のような問題点を解消するためになされたものであり、送信元ユーザ端末のアドレスが隠蔽された状態で、複数の論理網にアクセスできるようにすることを目的とする。
本発明に係る多重アクセス装置は、複数の論理網を識別する論理網アドレスと論理網に所属する収容ユーザ端末を識別する論理網用端末アドレスとの対応を示す所属論理網用アドレスリストを備え、送信元の収容ユーザ端末より受信したパケットの送信元の収容ユーザ端末のユーザ端末アドレスに対応する論理網用端末アドレスを所属論理網用アドレスリストより検索する所属論理網管理手段と、パケットの送信元アドレスを検索された論理網用端末アドレスに変更する送信元アドレス変更手段とを少なくとも備えるようにしたものである。
ここで、収容している収容ユーザ端末に、収容ユーザ端末が所属する論理網識別子と収容ユーザ端末を識別する端末識別子とで階層化された論理網用端末アドレスを割り当て、宛先の収容ユーザ端末が所属している論理網を宛先とした宛先の収容ユーザ端末に対して送出されたパケットの宛先アドレスを、宛先の収容ユーザ端末のユーザ端末アドレスに変更して宛先の収容ユーザ端末へ転送し、送信元の収容ユーザ端末から送信されるパケットには、宛先の収容ユーザ端末が所属する論理網を識別する論理網識別子が備えられ、宛先の収容ユーザ端末が受信したパケットには、送信元の収容ユーザ端末が所属する論理網を識別する論理網識別子が備えられている
以上説明したように、本発明によれば、送信元の収容ユーザ端末より受信したパケットの送信元のユーザ端末アドレスに対応する論理網用端末アドレスを所属論理網用アドレスリストに検索し、パケットの送信元アドレスを検索した論理網用端末アドレスに変更するようにしたので、送信元ユーザ端末のユーザ端末アドレスが隠蔽された状態で、複数の論理網にアクセスできるようになるという優れた効果が得られる。
以下、本発明の実施の形態について図を参照して説明する。 図1は、本発明の実施の形態における多重アクセス装置、及び多重アクセス装置が適用可能なネットワークモデルの構成例を示す構成図である。このネットワークモデルは、多重アクセス装置A101,多重アクセス装置B102,多重アクセス装置C103,多重アクセス装置D104,パケット転送装置106〜109を備えている。また、ユーザ端末A110,ユーザ端末B111,ユーザ端末C112,ユーザ端末D113,ユーザ端末E114,及びユーザ端末F115は、各アクセス網116〜119を経由して、多重アクセス装置A101,多重アクセス装置B102,多重アクセス装置C103,及び多重アクセス装置D104に収容されている。
一般に、多重アクセス装置は、例えば、エッジノードもしくはエッジルータと呼ばれ、パケット転送装置は、コアノードもしくはコアルータと呼ばれている。なお、多重アクセス装置は、ユーザ端末内にあってもよく、また、ホームゲートウェイとしてユーザ端末の側に配置されていても良い。
なお、多重アクセス装置A101,多重アクセス装置B102,多重アクセス装置C103,多重アクセス装置D104,パケット転送装置106〜109を備えるネットワークをコアネットワーク120とし、各ユーザ端末で構成されるネットワークをユーザネットワーク121とする。
次に、図2を用いて物理ネットワークの状態を説明する。図2は、図1に示した多重アクセス装置が適用されるネットワークにおける物理ネットワークの一例を示す構成図である。まず、ユーザ端末A110はリンク201で多重アクセス装置A101に収容され、ユーザ端末B111はリンク202で多重アクセス装置B102に収容され、ユーザ端末C112はリンク203で多重アクセス装置C103に収容され、ユーザ端末D113はリンク204で多重アクセス装置C103に収容され、ユーザ端末E114はリンク205で多重アクセス装置D104に収容され、ユーザ端末F115はリンク206で多重アクセス装置D104に収容されている。
また、多重アクセス装置A101は、リンク207でパケット転送装置106と接続され、リンク208でパケット転送装置107と接続されている。多重アクセス装置B102は、リンク209でパケット転送装置106と接続され、リンク210でパケット転送装置107と接続されている。多重アクセス装置C103は、リンク211でパケット転送装置108と接続され、リンク212でパケット転送装置109と接続されている。多重アクセス装置A101は、リンク213でパケット転送装置108と接続され、リンク214でパケット転送装置109と接続されている。
また、パケット転送装置106は、リンク215でパケット転送装置107と接続され、リンク216でパケット転送装置108と接続され、リンク217でパケット転送装置109と接続されている。パケット転送装置107は、リンク218でパケット転送装置108と接続され、リンク219でパケット転送装置109と接続されている。パケット転送装置108は、リンク220でパケット転送装置109と接続されている。なお、リンクは、光ファイバや光波長のような光パスや、イーサネット(登録商標)ケーブルのような物理ケーブルである。
次に、本実施の形態における多重アクセス装置が適用されるネットワークの論理モデルについて図3を用いて説明する。図3は、図1に示した多重アクセス装置が適用されるネットワークにおける論理モデルの一例を示す構成図である。この論理モデルでは、ユーザ端末A110は、ユーザ端末アドレスU#1で識別され、ユーザ端末B111は、ユーザ端末アドレスU#2で識別され、ユーザ端末C112は、ユーザ端末アドレスU#3で識別され、ユーザ端末D113は、ユーザ端末アドレスU#4で識別され、ユーザ端末E114はユーザ端末アドレスU#5で識別され、ユーザ端末F115は、ユーザ端末アドレスU#6で識別される。
また、各多重アクセス装置には、収容ユーザ端末用の論理網端末が設置され、この論理網端末は、接続先の論理網毎にアドレス(論理網用端末アドレス)を備える。このアドレスは、論理網識別子と端末識別子で階層化されている。本実施の形態では、各ユーザ端末の論理網用端末アドレスをN1−C1などと表現し、N1を論理網識別子、C1を端末識別子とする。
また、転送経路は論理網毎に分離され、論理網Aの転送経路301,論理網Bの転送経路302,及び論理網Cの転送経路303は、論理網識別子で識別される。本実施の形態では、ユーザ端末A110が論理網A及び論理網Bへ所属し、ユーザ端末B111が論理網A及び論理網Cへ所属し、ユーザ端末C112が論理網A及び論理網Bへ所属し、ユーザ端末D113が論理網A及び論理網Cへ所属し、ユーザ端末F115が論理網A,論理網B,及び論理網Cへ所属している環境を想定している。
このとき、多重アクセス装置A101は、ユーザ端末A110が接続する論理網の論理網端末毎に、論理網Aに対して論理網用端末アドレスN1−C1を備え、論理網Bに対しては論理網用端末アドレスN2−C3を備える。また、多重アクセス装置B102は、ユーザ端末B111が接続する論理網の論理綱端末毎に、論理網Aに対して論理網用端末アドレスN1−C2を備え、論理網Cに対しては論理網用端末アドレスN3−C1を備える。また、多重アクセス装置C103は、ユーザ端末C112が接続する論理綱の論理網端末毎に、論理網Aに対して論理網用端末アドレスN1−C3を備え、論理網Bに対しては論理網用端末アドレスN2−C2を備えている。加えて、多重アクセス装置C103は、ユーザ端末D113が接続する論理網の論理網端末毎に、論理網Aに対しては論理網用端末アドレスN1−C4を備え、論理網Cに対しては論理網用端末アドレスN3−C3を保有する。また、多重アクセス装置D104は、ユーザ端末F115が接続する論理網の論理網端末毎に、論理網Aに対して論理網用端末アドレスN1−C5を備え、論理網Bに対しては論理網用端末アドレスN2−C1を備え、論理網Cに対しては論理網用端末アドレスN3−C2を保有する。
上述した経路の中で、各々に到達するための経路は、ルーチングプロトコルにより管理されている。各アドレスは、ネットワークがIPv4ネットワークであればIPv4アドレスとなり、この場合のルーチングプロトコルとしてはOSPF(Open Shortest Path First:RFC2328)などが挙げられる。また、ネットワークがIPv6ネットワークであればIPv6アドレスとなり、この場合のルーチングプロトコルとしては、OSPFv6(Open Shortest Path First version 6:RFC2740)などが挙げられる。また、ネットワークがMPLS(Multi-Protocol Label Switching)ネットワーク(:RFC3031)である場合、ルーチングプロトコルで経路を特定した後、RSVP−TE(ReSerVation Protocol with Traffic Engineering:RFC3209)やCR−LDP(Constrain-based Label Distribution Protocol:RFC3212)などのシグナリングプロトコルで、送信元と宛先のパケット転送装置間にLSP(Label Switched Path)と呼ばれるパスを設定する。
次に、多重アクセス装置の構成例について説明する。図4は、図1に示した多重アクセス装置A101の構成例を示す構成図である。多重アクセス装置A101は、単一のユーザ端末A110を収容している。多重アクセス装置A101は、アクセス転送機能部422と、転送先端末特定機能部423と、論理網A端末機能部424と、論理網B端末機能部425と、所属論理網管理機能部426と、コア転送機能部427とを備えている。なお、ユーザ端末A110が、論理網Cにも所属している場合、論理網C端末機能部も備えることになる。
アクセス転送機能部422は、収容しているユーザ端末から送信されたパケットを受信する機能と、受信したパケットを後述する転送先端末特定機能部423へ転送する機能と、コアネットワークから受信して他機能部で処理されたパケットを収容しているユーザ端末へ送信する機能を有している。
転送先端末特定機能部423は、図5に例示する転送先端末特定テーブルを参照するなどして、受信したパケットの論理網識別子を参照し、上述したパケットの転送先の論埋網を特定し、特定した論理網用の端末機能部(論理網用端末機能部)にパケットを転送する機能を有している。論理網用端末機能部は同じ機能を保有する。論理網A端末機能部424は、アドレス変更機能として、送信元アドレス変更機能部428及びNAPT機能部429を備えている。
送信元アドレス変更機能部428は、パケットの送信元アドレス(ユーザ端末アドレス)を変更する機能を有している。NAPT機能部429は、図7に例示する論理網A端末NAPTテーブルを参照するなどして、パケットの宛先アドレス(論理網用端末アドレス)を変換用アドレス(ユーザ端末アドレス)に変換する機能(NAPT機能)を有している。ここで、論理網A端末NAPTテーブルの宛先アドレスには、論理網A端末機能部424に割り当てられたアドレスが記述されていることを想定する。
論理網A端末機能部424は、転送先端末特定機能部423からパケットを受信した際に、図7に例示する論理網ANAPTテーブルを参照し、参照の結果、宛先アドレスがヒットした際は(宛先アドレスの存在を確認した場合は)、NAPT機能部429を用いて宛先アドレスを変更し、この後、アクセス転送機能部に受信したパケットを転送する。
一方、論理網A端末機能部424は、宛先アドレスがヒットしなかった際(受信したパケットの宛先アドレスを、論理網ANAPTテーブルに確認できなかった場合)は、所属論理網管理機能部426に論理網A端末用のアドレスを問い合わせ、送信元アドレス変更機能部428により所属論理網管理機能部426からの応答通知に記述されたアドレスに受信したパケットの送信元アドレスを変更する。また、このように変更した後、後述するコア転送機能部427に受信したパケットを転送する機能を有している。
なお、所属論理網管理機能部426からの応答通知に記述されていたアドレスを記憶し、これ以降、パケット受信時に、論理網ANAPTテーブルを参照し、宛先アドレスがヒットしなかった際は、記憶していたアドレスに上記パケットの送信元アドレスを変更し、この後、後述するコア転送機能部427に上記パケットを転送する機能を、論理網A端末機能部424に備えるようにしても良い。この場合、後述する所属論理網管理機能部426から、アドレスを変更する通知を受信した際に記憶しているアドレスを通知されたアドレスに変更する機能も備えてるようにしてもよい。
次に、論理網B端末機能部425は、上述同様に、送信元アドレス変更機能部430及びNAPT機能部431を備える。送信元アドレス変更機能部430は、パケットの送信元アドレスを変更する機能を有している。NAPT機能部431は、図8に例示する論理網B端末NAPTテーブルを参照するなどし、パケットの宛先アドレス(論理網用端末アドレス)を変換用アドレス(ユーザ端末アドレス)に変換する機能を有している。なお、論理網B端末NAPTテーブルの宛先アドレスには、論理網B端末機能部425に割り当てられたアドレスが記述されていることを想定する。
論理網B端末機能部425は、転送先端末特定機能部423からパケットを受信すると、図8に示す論理網BNAPTテーブルを参照し、宛先アドレスがヒットした場合は、NAPT機能部429を用いて宛先アドレスを変更し、この後、アクセス転送機能部に上記パケットを転送し、宛先アドレスがヒットしなかった場合は、後述する所属論理網管理機能部426に論理網B端末用のアドレスを問い合わせ、所属論理網管理機能部426からの応答通知に記述されたアドレスに上記パケットの送信元アドレスを変更し、この後、後述するコア転送機能部427に上記パケットを転送する機能を有している。
なお、所属論理網管理機能部426からの応答通知に記述されていたアドレスを記憶し、これ以降、パケット受信時に、論理網BNAPTテーブルを参照し、宛先アドレスがヒットしなかった場合は、記憶していたアドレスに上記パケットの送信元アドレスを変更し、この後、後述するコア転送機能部427に上記パケットを転送する機能を有してもよい。この場合、後述する所属論理網管理機能部426から、アドレスを変更する通知を受信した際に記憶しているアドレスを通知されたアドレスに変更する機能も備えている。
これらの論理網用端末機能部は、統合して1つの機能部としてもよい。このように1つの機能部とした場合には、転送先端末特定機能部は不要となる。さらに、1つの機能部とした場合は、NAPTテーブルは全論理網の情報を統合した形となる。また、統合された1つの機能部は、NAPTテーブルを検索して宛先アドレスがヒットしなかった場合に、受信パケットのアドレスに記載された論理網識別子からパケットを転送する論理網を特定することで、前述の手順を用いて変更すべき送信元アドレスを特定する。
所属論理網管理機能部426は、所属論理網用アドレスリスト432を備えている。所属論理網用アドレスリスト432は、図6に例示するアドレスリストのように、収容ユーザ(ユーザ端末)が所属する論理網に対して、収容ユーザ端末に割り当てられている各論理網用のアドレスを管理する機能を有している。言い換えると、所属論理網用アドレスリスト432は、複数の論理網を識別する論理網アドレスと、各論理網に所属するユーザ端末を識別する論理網用端末アドレスとの対応を示すアドレスリストを備え、これを管理している。
所属論理網管理機能部426は、各論理網用端末機能部からのアドレス問い合わせに対し、問い合わせ元の端末の所属する論理網に対応する論理網用端末アドレスを所属論理綱用アドレスリスト432から特定し、上記論理網用端末アドレスを記述した応答通知を生成して送信元の論理網用端末機能部に送信する機能を有している。
コア転送機能部427は、論理網識別子確認機能部433と、出力インタフェース特定機能部434を備えている。論理網識別子確認機能部433は、受信パケットの宛先アドレスの論理網識別子と送信元アドレスの論理識別子を抽出し、同一か否かを確認する機能を有している。
出力インタフェース特定機能部434は、図9に例示する出力インタフェース特定テーブルを参照するなどして、各論理網端末機能部から受信したパケットの宛先アドレスから、出力先を特定する機能を有している。
コア転送機能部427は、論理網識別子確認機能部433により、受信パケットの宛先アドレスの論理識別子と送信元アドレスの論理識別子とが異なる場合はパケットを廃棄し、同一の場合は、出力インタフェース特定機能部434により出力先を特定してパケットを転送する機能を有している。
上述したように、本実施の形態の多重アクセス装置は、まず、終端する論理網毎に端末としてのアドレスを割り当てるとともに、これをアドレスリストとして管理する機能を備える。また、本多重アクセス装置は、アクセス網から受信した論理網宛のパケットについて、宛先アドレスの論理網識別子を参照してアドレスリストを検索し、同一の論理網識別子を有するアドレスを特定するとともに、送信元アドレスを上記アドレスに書き換える機能を備えている。
これらの機能部により、本多重アクセス装置では、転送先の論理網に応じて送信元アドレスを変更することが可能となり、宛先ユーザに対して送信元ユーザ端末のアドレスを隠蔽することが可能となる。
次に、図1に示した、複数のユーザ端末を収容する多重アクセス装置C103(多重アクセス装置D104)について説明する。図10は、複数のユーザ端末を収容する多重アクセス装置C103の構成例を示す構成図である。本例において、多重アクセス装置C103が収容する端末は、ユーザ端末C112及びユーザ端末D113である。このように、複数のユーザ端末を収容する場合、収容しているユーザ端末(ユーザCとユーザDと)を識別(区別)する機能が必要となる。
多重アクセス装置C103は、複数ユーザアクセス転送機能部1035と、ユーザC用多重アクセス機能部1036と、ユーザD用多重アクセス機能部1037と、各ユーザ所属論理網管理機能部1038と、複数ユーザコア転送機能部1039を保有している。このように、収容ユーザが増加すると、各ユーザ端末用の多重アクセス機能部が追加されることとなる。
複数ユーザアクセス転送機能部1035は、コア転送先ユーザ特定機能部1040と、アクセス側出力インタフェース特定機能部1041を備えている。コア転送先ユーザ特定機能部1040は、図11に例示するコア転送先ユーザ特定テーブルを参照するなどして、パケットの送信元ユーザを特定する機能を有している。アクセス側出力インタフェース特定機能部1041は、図17に例示する出力先インタフェース特定テーブルを参照するなどして、パケットの宛先アドレスから出力先を特定する機能を有している。
複数ユーザアクセス転送機能部1035は、まず、収容しているユーザ端末からパケットを受信した場合に、コア転送先ユーザ特定機能部1040によりパケット送信元のユーザを特定し、この後、ユーザC用多重アクセス機能部1036もしくはユーザD用多重アクセス機能部1037の該当する方に、上記パケットを転送する機能を備えている。また、複数ユーザアクセス転送機能部1035は、ユーザC用多重アクセス機能部1036もしくはユーザD用多重アクセス機能部1037からパケットを受信した際に、アクセス側出力インタフェース特定機能部41により上記パケットの宛先アドレスから出力先のリンクを特定してパケットを転送する機能を有している。
次に、ユーザC用多重アクセス機能部1036及びユーザD用多重アクセス機能部1037は、同様の構成を備え、転送先端末特定機能部1042,論理網A端末機能部1043,及び論理網B端末機能部1044を備えている。転送先端末特定機能部1042と、各論理網端末機能部である論理網A端末機能部1043及び論理網B端末機能部1044とは、送信元アドレス変更機能部1045,NAPT機能部1046及び送信元アドレス変更機能部1047,NAPT機能部1048を備え、多重アクセス装置A101が備える同一名称の機能部と同じ機能を保有する。
なお、多重アクセス装置A101においてコア転送機能部427に送信されていたパケットは、多重アクセス装置C103では、複数ユーザコア転送機能部1039へ送信される。また、多重アクセス装置A101においてアクセス転送機能部422に送信されていたパケットは、多重アクセス装置C103では、複数ユーザアクセス転送機能部1035へ送信されることとなる。
各ユーザ所属論理網管理機能部1038は、各ユーザ所属論理網用アドレスリスト1049を備えている。各ユーザ所属論理網用アドレスリスト1049は、図14に例示するようなユーザ識別子と、上記ユーザ識別子を備えているユーザが所属する論理網に対して上記ユーザに割り当てられている各論理網用のアドレスとを管理する機能を有している。
各ユーザ所属論理網管理機能部1038は、ユーザC用多重アクセス機能部1036又はユーザD用多重アクセス機能部1037からのアドレス問い合わせに対し、アドレス問い合わせ元から対応するユーザ識別子を特定するとともに、問い合わせ元の端末の所属する論理網に対応するアドレスを、各ユーザ所属論理網用アドレスリスト1049から特定する。また、この特定の後、各ユーザ所属論理網管理機能部1038は、上記アドレスを記述した応答通知を生成し、問い合わせ送信元のユーザ識別子を備えているユーザC用多重アクセス機能部1036又はユーザD用多重アクセス機能部1037の、問い合わせ送信元の論理網用端末機能部に送信する機能を有している。
次に、複数ユーザコア転送機能部1039は、複数ユーザ論理網識別子確認機能部1050と、コア側出力インタフェース特定機能部1051と、アクセス転送先ユーザ特定機能部1052を備えている。
複数ユーザ論理網識別子確認機能部1050は、受信パケットの宛先アドレスの論理網識別子と送信元アドレスの論理識別子を抽出し、同一か否かを確認する機能を有している。コア側出力インタフェース特定機能部1051は、図17に例示する出力インタフェース特定テーブルを参照するなどして、パケットの宛先アドレスから出力先を特定する機能を有している。アクセス転送先ユーザ特定機能部1052は、図12に例示するアクセス転送先ユーザ特定テーブルを参照するなどして、パケットの送信先ユーザを特定する機能を有している。
複数ユーザコア転送機能部1039は、まず、複数ユーザ論理網識別子確認機能部1050により、受信パケットの宛先アドレスの論理識別子と送信元アドレスの論理識別子が異なる場合はパケットを廃棄する機能を備える。また、複数ユーザコア転送機能部1039は、各ユーザ用多重アクセス機能部の各論理網端末機能部から受信したパケットの宛先アドレスからコア側出力インタフェース特定機能部1051を用いて出力先を特定する機能を備える。また、複数ユーザコア転送機能部1039は、コアネットワークからパケットを受信すると、アクセス転送先ユーザ特定機能部1052によりパケット送信先のユーザを特定し、この後、ユーザC用多重アクセス機能部1036もしくはユーザD用多重アクセス機能部1037の該当する方にパケットを転送する機能を有している。
以上に説明したように、本実施の形態における多重アクセス装置(多重アクセス装置C103,多重アクセス装置D104)では、複数ユーザを収容する場合においても、終端する論理網毎に端末としてのアドレスを割り当てることができるとともに、これをアドレスリストとして管理する機能を備えている。また、アクセス網から受信した論理網宛のパケットについて、図13に例示する転送先端末特定手テーブルの宛先アドレスの論理網識別子を参照し、図14に例示するアドレスリストを検索し、同一の論理網識別子を有するアドレスを特定するとともに、送信元アドレスを上記アドレスに書き換える機能を備えている。これらのことにより、本実施の形態によれば、複数ユーザを収容する場合においても、転送先の論理網に応じて送信元アドレスを変更することが可能となり、宛先ユーザに対して送信元ユーザ端末のアドレスを隠蔽することが可能となる。
次に、上述した本実施の形態における多重アクセス装置の動作例について説明する。図18は、ユーザ端末A110がユーザ端末C112宛のパケットを生成した際の動作例を示す構成図である。なお、図18において、図1と同一の符号は同じ構成を示している。この例では、ユーザ端末A110とユーザ端末C112は、論埋網Aに所属しており、ユーザ端末A110は多重アクセス装置A101上にアドレスN1−C1が割り当てられた論埋網A用端末機能部を保有し、ユーザ端末C112は多重アクセス装置C103上にアドレスN1−C3が割り当てられた論理網A用端末機能部を備えている。
また、ユーザ端末A110は、自身が備えているアドレスU#3を送信元アドレスとし、宛先アドレスとしては、ユーザ端末C112が多重アクセス装置C103上に備えている論理網A用端末(N1−C3)を指定してパケット1801を生成して送信する。
パケットを受信した多重アクセス装置A101では、図19に矢視線で示すように、アクセス転送機能部422を経由して転送先端末特定機能部423にパケットを転送し、転送先端末特定機能部423において、受信パケットの論理網識別子N1を参照し、転送先の論理網を論理網Aと特定し、論理網A端末機能部424にパケットを転送する。このようにして転送されたパケットを受け付けた論理網A端末機能部424は、図7のNAPTテーブルを参照するなどし、宛先アドレスがヒットしないため、所属論理網管理機能部426に論理網A端末用のアドレスを問い合わせ、応答通知に記載されていたアドレスN1−C1を送信元アドレスとするようパケットの送信元アドレスを変更し、コア転送機能部427にパケットを転送する。
コア転送機能部427は、送信元アドレスの論理網識別子N1と宛先アドレスの論理網識別子N1を参照し、両者が同一であるため、図9の出力インタフェース特定テーブルを参照するなどし、パケットの宛先アドレスから出力先としてリンク207(図2)を特定してパケットを送信する。ここで送信されるパケットは、図20のパケット2001に示すように、送信元アドレスが「N1−C1」に変更される。
上記パケットを受信した多重アクセス装置C103は、図21に矢視線で示すように、複数ユーザコア転送機能部1039でパケットを受信した後、複数ユーザ論理網識別子確認機能部1050により受信パケットの宛先アドレスの論理網識別子N1と送信元アドレスの論理識別子N1が同一であることを確認し、図12に例示するアクセス転送先ユーザ特定テーブルを参照するなどして、パケットの宛先アドレスから送信先ユーザであるユーザ端末C112を特定し、ユーザ端末C用多重アクセス機能部1036へパケットを転送する。
ユーザ端末C用多重アクセス機能部1036では、転送先端末特定機能部1042において、受信パケットの論理網識別子N1を参照し、転送先の論理網を論理網Aと特定し、論理網A端末機能部1043にパケットを転送する。論理網A端末機能部1043は、図15のNAPTテーブルを参照し、宛先がヒットした際に、NAPT機能部1046により宛先アドレス(論理網用端末アドレス)をテーブルに記載されたアドレスU#3(ユーザ端末アドレス)に変更し、複数ユーザアクセス転送機能部1035へパケットを転送する。複数ユーザアクセス転送機能部1035は、アクセス側出力インタフェース機能部1041により、出力先のリンク203(図2)を特定してパケットを送信する。以上のようにして多重アクセス装置C103より送信されるパケットは、図22のパケット2201に示すように、宛先アドレスが「U#3」変更される。
以上に説明したように、本実施の形態における多重アクセス装置を配置するパケット通信網では、送信元ユーザ端末は宛先ユーザ端末のアドレス(ユーザ端末アドレス)を知ることなくパケットを送信でき、か、宛先ユーザ端末は送信元ユーザ端末のアドレス(ユーザ端末アドレス)を知ることなくパケットを受信できる。さらに、宛先ユーザ端末は、受信パケットの送信元アドレス(論理網用端末アドレス)を宛先アドレスとしてパケットを返送すれば、上記パケットは送信元ユーザ端末に到達する。これにより、ユーザ端末のアドレスを隠蔽した状態で、双方向の通信が実現できる。
上述のように、本発明によれば、ユーザ端末のアドレス情報(ユーザ端末アドレス)を隠蔽しつつユーザに複数VPNへの多重帰属機能を提供するために、送信元ユーザを収容する多重アクセス装置において、終端する論理網毎に端末としてのアドレス(論理網用端末アドレス)を割り当て、これをアドレスリストとして管理し、さらに、アクセス網から受信した論理網宛のパケットについて、宛先アドレスの論理網識別子を参照し、アドレスリストを検索し、同一の論理網識別子を有するアドレス(論理網用端末アドレス)を特定するとともに、送信元アドレスをこのアドレスに書き換えるようにした。
これにより、宛先ユーザ端末に対して送信元ユーザ端末のアドレスを隠蔽することが可能となり、各ユーザ端末は複数の論理網にセキュアにアクセスできる。この結果、本発明により、ネットワーク事業者は、ユーザ端末のアドレスを隠蔽しつつ、一般的なユーザ端末に対して、複数VPN多重帰属サービスを提供でき、安心・安全・便利なネットワークサービスが実現できるようになる。
本発明の実施の形態における多重アクセス装置、及び多重アクセス装置が適用可能なネットワークモデルの構成例を示す構成図である。 図1に示した多重アクセス装置が適用されるネットワークにおける物理ネットワークの一例を示す構成図である。 図1に示した多重アクセス装置が適用されるネットワークにおける論理モデルの一例を示す構成図である。 図1に示した多重アクセス装置A101の構成例を示す構成図である。 転送先端末特定テーブルの構成例を示す構成図である。 アドレスリストの構成例を示す構成図である。 論理網A端末NAPTテーブルの構成例を示す構成図である。 論理網B端末NAPTテーブルの構成例を示す構成図である。 出力インタフェース特定テーブルの構成例を示す構成図である。 複数のユーザ端末を収容する多重アクセス装置C103の構成例を示す構成図である。 コア転送先ユーザ特定テーブルの構成例を示す構成図である。 アクセス転送先ユーザ特定テーブルの構成例を示す構成図である。 転送先端末特定テーブルの構成例を示す構成図である。 アドレスリストの構成例を示す構成図である。 ユーザC用多重アクセス機能論理網A端末NAPTテーブルの構成例を示す構成図である。 ユーザC用多重アクセス機能論理網B端末NAPTテーブルの構成例を示す構成図である。 出力先インタフェース特定テーブルの構成例を示す構成図である。 ユーザ端末A110がユーザ端末C112宛のパケットを生成した際の動作例を示す構成図である。 多重アクセス装置A101によるパケット転送の動作例を矢視線で示す構成図である。 多重アクセス装置A101によるユーザ端末C112宛のパケットを生成した際の動作例を示す構成図である。 多重アクセス装置C103によるパケット転送の動作例を矢視線で示す構成図である。 多重アクセス装置C103によるユーザ端末C112宛のパケットを生成した際の動作例を示す構成図である。
符号の説明
101…多重アクセス装置A、102…多重アクセス装置B、103…多重アクセス装置C、104…多重アクセス装置D、106〜109…パケット転送装置、110…ユーザ端末A、111…ユーザ端末B、112…ユーザ端末C、113…ユーザ端末D、114…ユーザ端末E、115…ユーザ端末F、116〜119…アクセス網、120…コアネットワーク、121…ユーザネットワーク。

Claims (1)

  1. 複数の論理網を識別する論理網アドレスと前記論理網に所属する収容ユーザ端末を識別する論理網用端末アドレスとの対応を示す所属論理網用アドレスリストを備え、送信元の収容ユーザ端末より受信したパケットの前記送信元の収容ユーザ端末のユーザ端末アドレスに対応する論理網用端末アドレスを前記所属論理網用アドレスリストより検索する所属論理網管理手段と、
    記パケットの送信元アドレスを検索された前記論理網用端末アドレスに変更する送信元アドレス変更手段と
    を備え、
    容している収容ユーザ端末に、収容ユーザ端末が所属する論理網識別子と前記収容ユーザ端末を識別する端末識別子とで階層化された前記論理網用端末アドレスを割り当て、
    宛先の収容ユーザ端末が所属している論理網を宛先とした前記宛先の収容ユーザ端末に対して送出されたパケットの宛先アドレスを、前記宛先の収容ユーザ端末のユーザ端末アドレスに変更して前記宛先の収容ユーザ端末へ転送し、
    前記送信元の収容ユーザ端末から送信されるパケットには、前記宛先の収容ユーザ端末が所属する論理網を識別する論理網識別子が備えられ、
    宛先の収容ユーザ端末が受信したパケットには、送信元の収容ユーザ端末が所属する論理網を識別する論理網識別子が備えられている
    ことを特徴とする多重アクセス装置。
JP2007218183A 2007-08-24 2007-08-24 多重アクセス装置 Expired - Fee Related JP5152835B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007218183A JP5152835B2 (ja) 2007-08-24 2007-08-24 多重アクセス装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007218183A JP5152835B2 (ja) 2007-08-24 2007-08-24 多重アクセス装置

Publications (2)

Publication Number Publication Date
JP2009055173A JP2009055173A (ja) 2009-03-12
JP5152835B2 true JP5152835B2 (ja) 2013-02-27

Family

ID=40505864

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007218183A Expired - Fee Related JP5152835B2 (ja) 2007-08-24 2007-08-24 多重アクセス装置

Country Status (1)

Country Link
JP (1) JP5152835B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5920563B2 (ja) * 2011-11-30 2016-05-18 村田機械株式会社 中継サーバ及び中継通信システム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006128803A (ja) * 2004-10-26 2006-05-18 Japan Telecom Co Ltd ネットワーク中継装置及びネットワークシステム

Also Published As

Publication number Publication date
JP2009055173A (ja) 2009-03-12

Similar Documents

Publication Publication Date Title
US8295285B2 (en) Method and apparatus for communication of data packets between local networks
US8665874B2 (en) Method and apparatus for forwarding data packets using aggregating router keys
US7782897B1 (en) Multimedia over internet protocol border controller for network-based virtual private networks
TWI520549B (zh) 使用位址交換之網路拓樸隱藏
US8055770B2 (en) Method and apparatus for providing network virtualization
EP1811728B1 (en) Method, system and device of traffic management in a multi-protocol label switching network
US11616718B2 (en) Implementation of service function chain on basis of software-defined network
JP2001292163A (ja) 通信データ中継装置
US20080056264A1 (en) Flexible mechanism for supporting virtual private network services based on source-independent distributed advertisements
US20110142044A1 (en) Method and apparatus for avoiding unwanted data packets
US7451203B2 (en) Method and system for communicating between a management station and at least two networks having duplicate internet protocol addresses
Popoviciu Deploying ipv6 networks
US10749797B2 (en) Service label routing in a network
CN103795630A (zh) 一种标签交换网络的报文传输方法和装置
CN114006909A (zh) 一种私有云租户间点对点单向动态专线连接的方法及系统
Pawar et al. Segmented proactive flow rule injection for service chaining using SDN
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP5152835B2 (ja) 多重アクセス装置
Papadimitriou OSPFv2 Routing Protocols Extensions for Automatically Switched Optical Network (ASON) Routing
CN108540343B (zh) 路径的检测方法及装置
Fedyk et al. Layer 1 VPN basic mode
KR20180007898A (ko) 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법
CN113630324A (zh) 基于mpls-vpn的新型跨域互联方法
WO2012075768A1 (zh) 身份位置分离网络的监听方法和系统
JP2006245896A (ja) ネットワーク制御サーバ、ユーザ端末収容ノード、通信ネットワークおよびネットワーク制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100813

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100813

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20120208

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120208

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120619

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121129

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151214

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees