JP5579853B2 - バーチャル・プライベート・ネットワークの実現方法及びシステム - Google Patents
バーチャル・プライベート・ネットワークの実現方法及びシステム Download PDFInfo
- Publication number
- JP5579853B2 JP5579853B2 JP2012529109A JP2012529109A JP5579853B2 JP 5579853 B2 JP5579853 B2 JP 5579853B2 JP 2012529109 A JP2012529109 A JP 2012529109A JP 2012529109 A JP2012529109 A JP 2012529109A JP 5579853 B2 JP5579853 B2 JP 5579853B2
- Authority
- JP
- Japan
- Prior art keywords
- end host
- vpn
- mapping
- identifier
- property
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/69—Types of network addresses using geographic information, e.g. room number
Description
本発明は、ID/ロケータ分離技術に関し、特に、バーチャル・プライベート・ネットワークのID/ロケータ分離ネットワークにおける実現方法及びシステムに関する。
次世代の情報ネットワークアーキテクチャに関する研究は、現在の最も人気のある課題の1つである。これらの研究課題の基本的な方向は音声サービスを代表とする電気通信ネットワーク、ビデオサービスを代表とするテレビジョン・ネットワークとデータサービスを代表とするインターネットがサービス上のシームレス統合を行うことを目的とし、ネットワークキャリアがIP化されることを特徴とする。典型的な実例には、例えば音声サービスを提供するVOIP(Voice over Internet Protocol、IP電話)ネットワークとテレビサービスを提供するIPTVネットワーク、IPコアネットワークがキャリアする第3世代移動通信ネットワーク、及び多量なスーパー3G或は4Gネットワークに対する研究項目等がある。
4Gは、第4世代移動通信システムの略称である。4Gは、音声、データとストリーミング・メディア・サービスにIPキャリヤネットワークに基づいた解決案を提供し、ユーザーに「如何なる時間、如何なる場所、如何なるサービス」でも更に高速な通信環境が得られることを目的とする。
NGN(Next Generation Network、次世代ネットワーク)は、電気通信ネットワークの基礎に確立された次世代ネットワークであり、統一的なIPパケット交換に基づいたトランスポート層を確立することを意図している。統一的なトランスポート層において、各種アプリケーション・プログラムの開発は、具体的な伝送技術から独立でき、アプリケーション・プログラムの応用範囲を広める。
現在のIPパケット・キャリア・ネットワークはIPv4を基礎とし、発展してきたものである。IP技術は、当初アメリカで生まれたため、アメリカ等の先進国に多量なIPv4 アドレスが分配されている。一方、人口数が多い発展途上国に分配したIPアドレスは非常に少なく、そのために、発展途上国のIPパケット・キャリア・ネットワーク及び各種通信ネットワークの発展はIPアドレスの不足に制限される。例えば現在のわが国のインターネットユーザー数はすでにわが国が持っているIPv4アドレス数を超えている。そして、わが国のネットワークユーザー数は高速に増加しているため、他の技術と設備でIPアドレスの重複使用を増加せざるをえない。それにゆえ、IPアドレススペースが足りない問題はわが国の将来のIPキャリヤネットワークと通信ネットワークの発展を厳しく阻害してしまう。この問題を解決するもっとも理想的な方法は、IPV6を使用することである。しかし、このネットワークアーキテクチャ技術への徹底的な変更は、改めてIPv6のキャリヤネットワークを建設することに伴う多大な費用の支払いと、億で計算される数の端末の交換が必要となる。そこからみると、これが現在の状況に適する案ではないことが分かった。
以上の技術検討から、技術基礎、利益背景等の違いにより、次世代ネットワークアーキテクチャへの研究重点と方向選択には大きいな違いがあるものの、面している問題と困難は同じであることが分かった。
3Gと4Gは無線通信分野が次世代ネットワークへの研究中心であり、IPパケットコアネットワーク全体に基づき、無線移動通信の品質を高めることを意図しており、NGNとNGI(Next-Generation Internet、次世代インターネット)はそれぞれ電気通信ネットワークとインターネット分野が次世代ネットワーク統合への研究であり、CNGI(China's Next Generation Internet、中国次世代インターネット)はIPv6に基づいた次世代インターネットを構築することを意図し、北方交通大学の“一体化可信頼ネットワークと広汎サービス体系の基礎研究”は統一的な新しいパケットネットワークを構築できることを期待している。各種の研究には大きな違いが存在するが、各種の研究に共通する観点は、将来ネットワークがパケットに基づいた統一的なキャリヤネットワークであることである。このため、次世代ネットフレームワークを研究することは、インターネットを主要な参照対象とする。インターネットは、その誕生以来、ずっと高速な発展を保ち、既に最も成功した、最も生命力を持った通信ネットワークになり、そのフレキシブルな可拡張性、高効率なパケット交換、端末の強大な機能等の特徴は、新世代のネットワークの設計需要に非常に適している。インターネットは、新世代ネットワーク設計の主要な参照モデルになる。しかし、インターネットの構造は、まだまだ最適化に達しておらず、数多くの重大な設計問題が存在している。前記IPアドレス空間は、応用需要を満足できないこと以外に、以下の通りの方面が現れている。
インターネットは、20世紀70年代に発明されたが、当時の人には今日の世界における多量な移動端末とマルチホーミング端末の存在が予測困難であった。このため、当時のインターネットプロトコルスタックは、主に「固定」方式で接続した端末に対して設計された。当時のネットワーク環境下では、端末は、基本的に1つのロケータから他のロケータに移動しないので、送信するアドレスは受信するアドレスとなり、経路が可逆であることによって、IDとロケータとのデュアルプロパティを有するIPアドレスはよく動作でき、IPアドレスのIDプロパティとロケータプロパティとの間に如何なる衝突も生じなかった。IPアドレスは、同時にIDとロケータを代表することが、ちょうど当時のネットワークの需要を満たす。当時のネットワーク環境から見ると、このような設計案は、簡単かつ有効であり、プロトコルスタックの階層構造を簡素化する。IPアドレスのIDプロパティとロケータプロパティとの間に内部矛盾が存在することは当然である。IPアドレスのIDプロパティは、任意の2つのIPアドレスが相等であることを要求し、IPアドレスは組織構造によって分配されることができるが、連続的にコーディングしたIPアドレスの間には必然の関係がなく、或は少なくともトポロジーロケータにおいて、必然の関係がない。IPアドレスのロケータプロパティは、IPアドレスがネットワークトポロジー(組織構造ではない)に基づき分配されることを要求し、同じサブネット内に置かれるIPアドレスは全て1つの連続したIPアドレスブロック中に置かれ、このようにして、ネットワークトポロジー中のIPアドレスのプレフィックスを集約させ、それで、ルータ設備のルーティングテーブルの項目を減少させ、ルータシステムの可拡張性を保証する。
ネットワークの規模と技術の発展に従い、ある動的にIPアドレスを分配する技術が次第に出現している。例えばダイナミック・ホスト・コンフィギュレーション・プロトコル(DHCP、Dynamic Host Configuration Protocol)は、IPアドレスが唯一の端末を表示する仮定を突破する。プライベートIPアドレス空間の使用とネットワークアドレス変換(NAT、Network Address Translator)技術の誕生は状況を更に悪化させる。このような状況下で、同時にIDプロパティとロケータプロパティを有するIPアドレスは引き続き、その役目を担えなくなり、IPアドレスのデュアルプロパティ問題はすでに現れている。技術方面の需要に明らかな変化が発生した以外に、インターネットのユーザー状況にも巨大な変化が発生した。インターネットが生まれた後の最初の数年間、インターネットは、基本的に同じグループにいる、お互いに信頼する人員により使用され、従来のインターネットプロトコルスタックも該種類の仮定に基づき設計されていた。しかし、現在のインターネットユーザーは、まさに「玉石混淆」の状況を呈しており、人々はお互いに信頼できなくなっている。このような状況下では、埋め込みのセキュリティー対策が欠落したインターネットも変革が必要となる。
取りまとめていうと、IPアドレスのデュアルプロパティの内部矛盾は、以下の通りの問題を引き起こす。
1.ルータの可拡張問題
インターネットのルータシステムの可拡張性については、基本的な仮定が存在する。つまり、「アドレスがトポロジーによって分配され、或はトポロジーがアドレスによって分布され、2者から何れかを選択する」という仮定である。IPアドレスのIDプロパティは、IPアドレスが端末の所属する組織構造(ネットワークトポロジーではない)に基づき分配することを要求する。このような分配は、一定の安定性を保つ一方で、容易には変化することができない。IPアドレスのロケータプロパティは、ルータシステムの可拡張性を保証するために、IPアドレスが、ネットワークトポロジーに基づいて分配することを要求する。そうすると、IPアドレスの2種類のプロパティに衝突が生じ、最終的にインターネットのルータシステムの可拡張問題を引き起こしてしまう。
インターネットのルータシステムの可拡張性については、基本的な仮定が存在する。つまり、「アドレスがトポロジーによって分配され、或はトポロジーがアドレスによって分布され、2者から何れかを選択する」という仮定である。IPアドレスのIDプロパティは、IPアドレスが端末の所属する組織構造(ネットワークトポロジーではない)に基づき分配することを要求する。このような分配は、一定の安定性を保つ一方で、容易には変化することができない。IPアドレスのロケータプロパティは、ルータシステムの可拡張性を保証するために、IPアドレスが、ネットワークトポロジーに基づいて分配することを要求する。そうすると、IPアドレスの2種類のプロパティに衝突が生じ、最終的にインターネットのルータシステムの可拡張問題を引き起こしてしまう。
2.移動性問題
IPアドレスのIDプロパティは、IPアドレスが端末ロケータの変化に従い変化しないことを要求する。これにより、IDにバインドした通信は中断しないことを保証でき、更に、端末が移動した後、他の端末がそのIDを使い、それと通信連絡を確立できる。IPアドレスのロケータプロパティは、IPアドレスが端末のロケータの変化に従い、変化することを要求し、このようにして、IPアドレスが新しいネットワークトポロジーに集約されることができる。そうでないと、ネットワークは、必ず、移動後の端末に対する単独のルータ情報を保留しなければならず、これにより、ルーティングテーブル項目の急激な増長を招いてしまう。
IPアドレスのIDプロパティは、IPアドレスが端末ロケータの変化に従い変化しないことを要求する。これにより、IDにバインドした通信は中断しないことを保証でき、更に、端末が移動した後、他の端末がそのIDを使い、それと通信連絡を確立できる。IPアドレスのロケータプロパティは、IPアドレスが端末のロケータの変化に従い、変化することを要求し、このようにして、IPアドレスが新しいネットワークトポロジーに集約されることができる。そうでないと、ネットワークは、必ず、移動後の端末に対する単独のルータ情報を保留しなければならず、これにより、ルーティングテーブル項目の急激な増長を招いてしまう。
3.マルチホーミング問題
マルチホーミングとは通常、端末或はネットワークが同時に複数のISP(Internet Service Provider、インターネットサービスプロバイダ)のネットワークを通し、インターネットにアクセスすることを指す。マルチホーミング技術のメリットは、ネットワークの信頼性を増加し、複数のISP間のネットワークトラフィック負荷の均等を支援し、全体の利用可能帯域幅を高めること等を含む。しかし、IPアドレスのデュアルプロパティの内部矛盾により、マルチホーミング技術の実現は困難となる。IPアドレスのIDプロパティは、このマルチホーミング端末が何個のISPを通してインターネットにアクセスしても、1つのマルチホーミング端末がずっと他の端末に対し、不変のIDを示すことを要求する。IPアドレスのロケータプロパティは、1つのマルチホーミング端末が異なるISPネットワークにおいて、異なるIPアドレスを使って通信することを要求し、そうすると、端末のIPアドレスがISPネットワークのトポロジーに集約することを保証できる。
マルチホーミングとは通常、端末或はネットワークが同時に複数のISP(Internet Service Provider、インターネットサービスプロバイダ)のネットワークを通し、インターネットにアクセスすることを指す。マルチホーミング技術のメリットは、ネットワークの信頼性を増加し、複数のISP間のネットワークトラフィック負荷の均等を支援し、全体の利用可能帯域幅を高めること等を含む。しかし、IPアドレスのデュアルプロパティの内部矛盾により、マルチホーミング技術の実現は困難となる。IPアドレスのIDプロパティは、このマルチホーミング端末が何個のISPを通してインターネットにアクセスしても、1つのマルチホーミング端末がずっと他の端末に対し、不変のIDを示すことを要求する。IPアドレスのロケータプロパティは、1つのマルチホーミング端末が異なるISPネットワークにおいて、異なるIPアドレスを使って通信することを要求し、そうすると、端末のIPアドレスがISPネットワークのトポロジーに集約することを保証できる。
4.安全とロケータプライバシー問題
IPアドレスは、端末のID情報とロケータ情報を同時に含むので、コレスポンデントノードと悪意を持っている盗聴者とは1つの端末のIPアドレスによって、同時にこの端末のID情報とトポロジーロケータ情報を獲得することができる。
IPアドレスは、端末のID情報とロケータ情報を同時に含むので、コレスポンデントノードと悪意を持っている盗聴者とは1つの端末のIPアドレスによって、同時にこの端末のID情報とトポロジーロケータ情報を獲得することができる。
一般的に、従来のインターネットの体系構造が確立されて以来、インターネットの技術環境とユーザー群には共に極めて大きな変化が発生した。インターネットはそれに従い、革新する必要がある。IPアドレスのデュアルプロパティ問題は、インターネットが継続的に発展することを阻害する基本的な問題の1つであり、IPアドレスのIDプロパティとロケータプロパティを分離することは、インターネットが面している問題を解決するよい考えである。新しいネットワークは、この考えに基づき設計しようとするものであり、ID情報とロケータ情報を分離してマッピングするネットワーク構造を提供し、既存インターネットに存在するある重大な弊害を解決する。
IDとロケータの問題を解決するために、業界では、多くの研究と探索が行れており、全てのIDとロケータを分離する案の基本的な思想は、全て、本来のIPアドレスにバインドするIDとロケータデュアルプロパティを分離することである。その中のある案は、アプリケーション層のURL(Uniform Resource Locator、 ユニフォームリソースロケータ 、URLは完全的にInternet上のウェブページと他のリソースのアドレスを描く識別子方法である)或はFQDN(Fully Qualified Domain Name、合格ドメインネーム)を端末のID識別子として採用し、例えばIPNL(IP Next Layer、IP次レイヤ、NAT拡張アーキテクチャの方式に属する)、TRIAD(A Scalable Deployable NAT-based Internet Architecture、拡張可能な且つ配備しやすいNATに基づいたネットワークアーキテクチャである)等であり、一部の案は、新しい名前空間をID識別子として導入し、例えばHIP (Host Identity Protocol、ホスト識別プロトコル)がIPアドレスをロケータ識別子とするネットワーク層において、ホスト識別子を増やし、一部の案は、IPアドレスを分類し、一部分のIPをID識別子とし、一部分のIPをロケータ識別子とし、例えばLISP(Locator/ID Separation Protocol、ロケータID分離プロトコル)等、2006年7月12日に開示した中国特許請求CN1801764は北方交通大学の張宏科等の人が申請した「IDとロケータ分離に基づいたインターネットアクセス方法」であり、該方法はIPアドレスをホストのロケータ識別子とし、導入端のホスト識別子をID識別子としてIDとロケータを分離する問題を解決する。上記のこれらの解決案において、ホストに基づいた解決案は、ホストのプロトコルスタックを改善する必要があり、例えばHIP、ネットワークに基づいた解決案は、特定したロケータのルータを改善する必要がある。そして、同様にネットワークに基づいた解決案としても、IDとロケータマッピング機能を完成したルータがネットワークにおける存在しているロケータは、全て同様のものではない。ある案は、マッピング機能を完成したルータがユーザーネットワークの境界に位置している場所を明確し、つまりマッピング機能のルータはユーザーネットワークに属し、ある案(LISP、TIDR(Tunneled Inter-domain Routing、トンネルドメイン間ルーティング)とIvip(Internet Vastly Improved Plumbing、インターネット極力改良管路) )は、マッピング機能を完成したルータがネットワークにおける存在ロケータを限定せず、ある案は、ルータ拡張可能な問題を解決する及びIDとロケータを保証するマッピング情報がネットワーク管理者だけ獲得できることを明確し、厳格にマッピング機能を完成したルータがコアネットワークアクセスルータであることを限定し、すなわち、マッピング機能ルータがコアネットワークに属する。ID識別子とロケータ識別子が同時にネットワーク層に位置する解決案には、例えばLISPにおいて、厳格的にネットワークトポロジーの区分によって、IDとロケータを完全に分離する設計上の差が存在する。現在のバージョンのLISPプロトコルは、ネットワークがマッピング解析サービスを提供する前に、必ずEID(Endpoint Identifier、端末識別子)を利用し、一番目のデータパッケージを相手端にルーティングし、双方向通信のトンネルルータにRLOC(Routing Locator、ルータロケータ識別子)とEIDとのマッピング関係を勉強させることを要求し、それで、ネットワークにおいて、少なくとも一部分のルータノードが同時にRLOCとEIDに基づいたルータ項目を保留させ、LISPがルータ拡張可能性問題を解決する能力を影響することになる。
各種のIDとロケータを分離する案の提出目標は異なるので、最終的に実現する機能もそれぞれ異なる。IPNLの設計目的は、IPv4ネットワークにより長い寿命を得て、IPv6プロトコルでIPv4プロトコルを引き換えることで引き起こした全面的な再建難題を回避することにある。TRIADの設計目的は、NATがインターネットにもたらした各種の問題を解決し、その同時に、移動性と策略ルータ等に一定の支持を提供することにある。HIPの提出初期の目的は、安全性問題を解決することを目的とし、その後、移動性支持において多量な仕事をやり、且つ、マルチホーミング支持の研究を行う。SHIM6(Level 3 Shim for IPv6)は、主にIPv6ネットワークがマルチホーミングを支持できる問題を解決するために提出したものである。LIN6(Location Independent Networking for IPv6、IPv6用ロケータ独立ネットワーク)の設計目的はIPv6プロトコルに選択できる移動性とマルチホーミング解決案を提供することにある。ILNP(Identifier Locator Network Protocol)の設計目標は、移動性とマルチホーミング問題を解決できるIPv6拡張メカニズムを提供することにある。GSE(Global、 Site and End-System Designator)は、IPv6アドレスの構造を変更しようと意図し、そのために、グローバルなルーティングテーブル項目の増加を制御し、且つ、フレキシブルにマルチホーミング技術を支持する。TIDRの設計目標は、既存インターネットのルータと伝送機能を強め、全体的なルーティングテーブルの膨張、ドメイン間ルーティングの安全性及びマルチホーミング等の問題を解決することにある。LISPは、主にルータ拡張可能な問題に対し、設計されたものである。
前記の提案と方案は問題のある局部から既存のネットワークアーキテクチャ下でIDとロケータとを分離する解決案を提出し、ロケータとIDとを分離することは未来のデータ通信ネットワーク、特に移動データ通信ネットワークのコア技術である。
VPN(virtual private network、バーチャル・プライベート・ネットワーク)は異なるネットワークのコンポーネントとリソースとの間の相互接続を実現できる。VPNはInternetネットワークまたは他の公共ネットワークの基礎施設を利用し、ユーザーにトンネルを新規作成し、且つ、専用ネットワークと同じ安全と機能保障を提供する。
VPNは多種な実現方式を有し、具体的には、ユーザーに管理されたVPN解決案(CPE−VPN)と通信事業者に実施されたVPN解決案(PP−VPN)に分けられる。
ユーザーに管理されたVPN解決案(CPE−VPN案)の特徴は、ユーザーがVPNゲートウェイ設備を自己設置、管理且つ保守し、公衆IPネットワークによって、各々の分岐機構と親会社の間で標準VPNトンネルに基づいた接続を確立し、トンネルプロトコルは通常レイヤー2トンネリングプロトコル(L2TP)、ポイント・ツー・ポイント・トンネリング・プロトコル(PPTP)、IPsec(安全IP)、IP in IP(IPカプセル化)とGRE(Generic Routing Encapsulation、ルーティング カプセル化)等を採用し、且つ各種の暗号化技術とNAT技術を利用して、データ伝送の安全を保障する。
VPNトンネル接続の確立と管理は、完全にユーザー自身が行い、供給業者はネットワークの構造と性能を調整或は変更する必要がない。このような方式は、通常よく言われるところの“VPN自己確立”方式である。
VPNは、企業がInternet等の公共ネットワークを介し、分岐機構或は他の会社と接続を確立し、安全な通信を行うことを支持する。このようなInternetを介して確立されたVPN接続は、理論上、2つの場所の間に広域ネットワークで確立した接続に相当する。VPN通信は、公共ネットワークの基礎に確立したが、ユーザーはVPNを利用する時、専用ネットワークを用いて通信するように感じるため、バーチャル・プライベート・ネットワークの名前が得られる。VPN技術を使用することによって、現在の遠距離通信量が日々に増大して、企業のグローバルでの運営が大幅に分布した実情下で、社員が中央リソースにアクセスする必要となり、企業の間で必ず早急且つ有効な通信を行う問題を解決することができる。
VPNの基本的な用途:
VPNによって、遠距離ユーザーアクセスを実現し、VPNが安全の方式で公共ネットワークによって、遠距離に企業リソースにアクセスすることを支持し、例えばVPNユーザーがまずローカルアクセスサービスの供給業者(ISP)のネットワークアクセスサーバー(BRAS)にダイヤルし、次にVPNソフトウェアを使い、ローカルISPと確立した接続を利用して、遠距離ユーザーと企業VPNサーバーの間で1つのInternet或は他の公共ネットワークを跨ったVPNを新規作成する。
VPNによって、遠距離ユーザーアクセスを実現し、VPNが安全の方式で公共ネットワークによって、遠距離に企業リソースにアクセスすることを支持し、例えばVPNユーザーがまずローカルアクセスサービスの供給業者(ISP)のネットワークアクセスサーバー(BRAS)にダイヤルし、次にVPNソフトウェアを使い、ローカルISPと確立した接続を利用して、遠距離ユーザーと企業VPNサーバーの間で1つのInternet或は他の公共ネットワークを跨ったVPNを新規作成する。
VPNを用いて、遠距離ローカル・エリア・ネットワークを接続し、高価な長距離専用回路を使用せず、分岐機構と企業側のルータは、それぞれのローカルの専用線路を使って、ローカルのISPを介してInternetに接続し、又はダイヤルアップを通じてISPのブロードバンドアクセスサーバにアクセスし、internetに接続する。VPNソフトウェアを使用して、ローカルISPと確立した接続とInternetネットワークを利用し、分岐機構と企業側ルータとの間で1つのVPNを新規作成する。
通信事業者の実施したVPN解決案(PP−VPN)は、通信事業者の公共データ通信ネットワークにおいて、VPNゲートウェイ設備を設置し、専用線によるユーザーへのアクセス或は遠距離ダイヤルアップによるユーザーへのアクセスに用いられる。該ゲートウェイ設備を利用し、ネットワークネットワーク全体範囲において、具体的なVPNネットワークの需要に応じ、チャンネルのカプセル化、仮想ルータ或はMPLS(マルチプロトコルラベルスイッチング)等の技術によってVPNを確立し、且つ、暗号化技術を採用してデータ伝送の安全を保障する。VPN接続の確立は、完全に通信事業者によって行なわれ、ユーザーに開示する。このような方式は、よく言われるところの“アウトソーシングVPN”方式である。
ブロードバンドアクセスネットワークが迅速に発展するのに伴い、通信事業者が、品質の業務を開拓するために解決しなければならない問題は、どのようにネットワーク構造に対して合理的な分層計画を行うことで、ユーザーへの測定と業務のコントロールを実現することである。アクセスネットワーク層面にイーサネット(登録商標)技術を多量に採用したので、現在のイーサネット(登録商標)に基づいたネットワーク区分を実現する技術は、主に仮想ローカル・エリア・ネットワーク(VLAN、Virtual Local Area Network)技術である。VLANはローカル・エリア・ネットワークにおける設備を物理的ではなく、ロジック的に1つ1つのセグメントを区分することで、仮想ワークグループを実現する新興技術である。IEEE(IEEE (The Institute of Electrical and Electronics Engineers、国際電気電子技術者協会))は1999年にVLAN実現す方案を標準化することに用いられる802.1Qプロトコル標準草案を発行する。従来のイーサネット(登録商標)フレームフォーマットにおいて、4096個のVLANを定義し、VLANはイーサネット(登録商標)の放送問題と安全性を解決するために提出したものであり、それはイーサネット(登録商標)フレームの上にVLANヘッドを増加し、VLAN IDでユーザーをより小さいワークグループに区分し、異なるワークグループ間のユーザーの二層相互アクセスを制限し、各のワークグループは1つの仮想ローカル・エリア・ネットワークである。仮想ローカル・エリア・ネットワークのメリットは、放送範囲を制限でき、且つ、仮想ワークグループを形成でき、動的にネットワークをコントロールすることである。VLANはブロードキャスト・ストームを分離するとともに、各々異なるVLAN間の通信を分離するので、異なるVLAN間の通信はルータで完成することになる。
VLANを区分する方法は主に数種類がある。一番目は、ポートによってVLANを区分する。このようにポートによってVLANを区分する方式は最も常用されている方式である。二番目は、MAC(Media Access Control、媒体アクセス制御)アドレスによって、VLANを区分する。このようにVLANを区分する方法の最大メリットは、ユーザーの物理的なロケータが移動する時、すなわち、1つのスイッチから他のスイッチに移動する時、VLANは改めてコンフィギュレーションしなくてもよいことである。欠陥は、初期化する時、すべてのユーザーが必ずコンフィギュレーションするので、スイッチの実行効率が低いことである。三番目は、ネットワーク層によってVLANを区分する。このようにVLANを区分する方法はルータではなく、各々のホストのネットワーク層アドレス或はプロトコルタイプ(例えば多プロトコルを支持する)によって区分するので、ユーザーの物理的なロケータが変わっても、改めて所属するVLANをコンフィギュレーションしなくてもよい。欠陥は、改めてフレーム・ヘッダーを解析することが効率を低減することである。四番目は、IPマルチキャストによってVLANを区分する。IPマルチキャストが実際にVLANの定義であり、すなわち1つのマルチキャストグループが1つのVLANであると考える。このように区分する方法は、VLANを広域ネットワークまで広げる。このため、このような方法は、より大きいフレキシブル性を有し、そして容易にルータによって拡張する。
VLANは、特定のイーサネット(登録商標)通信環境におけるVPN技術として、ブロードバンドアクセスに大規模に応用され、コアネットワーク或は広域ネットワーク中でよく応用されたのはマルチプロトコルラベルスイッチング(MPLS)に基づいたVPNである。
マルチプロトコルラベルスイッチング(MPLS)技術の出現は、Internetの体系構造全体を変化させる。MPLS技術を採用してVPNを実現する技術案は、大幅に、従来のIPネットワークの欠陥を改善しながら、フレームリレー或はATM(Asynchronous Transfer Mode、非同期転送モード)ネットワークと同じ安全性保証を提供し、よくVPN業務の需要を適応できる。
MPLS VPNのネットワークモデルは、ルータ又はレイヤ2スイッチであってもよく、クライアントに位置し、ネットワーク供給業者へのアクセスを提供するカスタマーエッジ(CE、Customer Edge)設備と、主にノードと関連する転送テーブルを保守し、他のPEルータとVPNルータ情報を交換し、MPLSネットワークにおけるラベルスイッチ・パス(LSP、Label Switched Path)を使用してVPN業務を転送し、これはMPLSネットワークにおけるラベルエッジルータ(LER、Label Edge Router)であるプロバイダエッジ(PE、Provider Edge)ルータと、すでに確立したLSPを使用し、VPNデータに対し、透明な転送を行い、VPNと関係があるルーティング情報を保守せず、これはMPLSネットワークにおけるラベル・スイッチ・ルータ(LSR、 Label Switching Router)である供給業者ルータ(PR、Provider Router)を含む。
MPLS VPNのメリット:
安全性: MPLS VPNは、ルーティング分離、アドレス分離と情報隠し等の多種な手段を採用することで、攻撃とラベル詐欺を防止する手段を提供する。このため、MPLS VPNは、完全にATM/FR VPNと類似する安全保証を提供できる。
安全性: MPLS VPNは、ルーティング分離、アドレス分離と情報隠し等の多種な手段を採用することで、攻撃とラベル詐欺を防止する手段を提供する。このため、MPLS VPNは、完全にATM/FR VPNと類似する安全保証を提供できる。
拡張性: MPLSは、非常に強い拡張性を有する。一方がMPLSネットワーク中に収納できるVPN点数は多く、もう一方がユーザーのノード点数において、BGP(Border Gateway Protocol、ボーダ・ゲートウェイ・プロトコル)が載せられ、メンバーの分配と管理を行うことで、同じVPNにおけるユーザーのノード点数は制限されず、拡充しやすく、且つ、いかなるノードといかなる他のノードとの直接通信も実現できる。特に、ユーザーのノード間のネットワーク状通信を実現する時、箇条ずつにユーザーのノード間の回路をコンフィギュレーションする必要がなく、ユーザー側はただ1つのポート/1本の線路がネットワークにアクセスするだけでよく、N平方という拡張性問題を回避する。
信頼性: MPLS VPN業務は、当然に大きい帯域幅、多いノード、多いルータ、十分なネットワークと伝送リソースを有し、ネットワークの信頼性を保証する。インターネット内部の中継線が中断する時、MPLS VPNのネットワークトラフィックは普通のインターネットトラフィックと一緒にIGP(Interior Gateway Protocol、内部ゲートウェイプロトコル)によって、他の回路に回し、この過程は完全にIGPの収束によって自動的に完成され、ユーザーに対して完全に透明し、広域ネットワークの伝送において、単一故障が存在しない。
IDとロケータを分離する技術案では、上記VPN技術に影響を及ぼし、通信事業者が実施するVPN解決案(PP−VPN)に対し、影響を及ぼし、特に3層IPアドレスに係わる案に対する影響が大きく、ロケータとIDを分離することは主にVPNのユーザーのID識別子及び通信プロトコルに係わり、VPNアクセス管理はエンドホストのID識別子を使用し、認定管理を行い、管理システムに対して、グレードアップ処理を行う必要となるが、ユーザーが管理するVPN解決案(CPE−VPN方案)に対して、ロケータとIDを分離した後、エンドホストが再びIPアドレスを使用して通信しなくなり、エンドホストのID識別子EIDを使用する必要があり、それで通信を行うと、影響が比較的大きくなり、VPNソフトウェアをグレードアップ処理を行い、エンドホストのID識別子を支持させる必要となる。
本発明が解決しようとする問題は、バーチャル・プライベート・ネットワークの実現方法及びシステムを提供することで、ID/ロケータ分離ネットワークにおいて、便利にバーチャル・プライベート・ネットワークを実現する。
以上の技術問題を解決するために、本発明は、バーチャル・プライベート・ネットワークの実現方法を提供し、前記バーチャル・プライベート・ネットワークは、ID/ロケータ分離ネットワークの実現に基づき、該方法は、
A: ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)のVPN専用マッピングテーブルと普通マッピングテーブルを設置し、前記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストのID識別子とロケータ識別子とのマッピング関係を含み、前記普通マッピングテーブルは普通エンドホストのID識別子とロケータ識別子とのマッピング関係を含み、
B: 前記マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つければ、ID/ロケータ分離ネットワークはソースエンドホストと目的エンドホスト間の通信を実現し、そうでないと、通信が失敗してしまうことが含まれる。
A: ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)のVPN専用マッピングテーブルと普通マッピングテーブルを設置し、前記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストのID識別子とロケータ識別子とのマッピング関係を含み、前記普通マッピングテーブルは普通エンドホストのID識別子とロケータ識別子とのマッピング関係を含み、
B: 前記マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つければ、ID/ロケータ分離ネットワークはソースエンドホストと目的エンドホスト間の通信を実現し、そうでないと、通信が失敗してしまうことが含まれる。
前記プロパティとはエンドホストがVPNエンドホストに属するかどうかを指し、ステップBにおいて、ソースエンドホストのプロパティは前記ソースエンドホストがVPNエンドホストであることを示すと、前記マッピングプレーンは前記VPN専用マッピングテーブルを検索し、そうでないと、前記普通マッピングテーブルを検索することは好ましい。
前記マッピングプレーンは若干のVPN専用マッピングテーブルを含み、異なるVPN専用マッピングテーブルが異なるVPNネットワークに対応し、異なるVPN識別子を有し、前記プロパティとはエンドホストがVPNエンドホストに属すかどうか及びVPNエンドホストに属する時、所属するVPN識別子を指し、ステップBにおいて、ソースエンドホストのプロパティは前記ソースエンドホストがVPNエンドホストであることを示すと、前記マッピングプレーンがVPN識別子と対応するVPN専用マッピングテーブルを検索し、そうでないと、前記普通マッピングテーブルを検索することが好ましい。
ステップBは、
B1: アクセスサービスノード(ASN)はソースエンドホストが送信したメッセージを受信し、その中にソースエンドホストID識別子と目的エンドホストID識別子が載せられ、
B2: 前記ASNはソースエンドホストID識別子によって、設置したプロパティテーブルを検索し、ソースエンドホストプロパティを獲得し、且つ、マッピングプレーンにメッセージを転送し、或は、検索リクエストを送信し、その中にソースエンドホストのプロパティ及び目的エンドホストのID識別子が載せられ、
B3: マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、
B4: 検索結果に目的エンドホストのロケータ識別子が含まれると、前記ASN或いはマッピングプレーンは前記目的ロケータ識別子が対応する目的アクセスサービスノードにメッセージを転送し、通信を実現し、そうでないと、通信が失敗することが含まれることが好ましい。
B1: アクセスサービスノード(ASN)はソースエンドホストが送信したメッセージを受信し、その中にソースエンドホストID識別子と目的エンドホストID識別子が載せられ、
B2: 前記ASNはソースエンドホストID識別子によって、設置したプロパティテーブルを検索し、ソースエンドホストプロパティを獲得し、且つ、マッピングプレーンにメッセージを転送し、或は、検索リクエストを送信し、その中にソースエンドホストのプロパティ及び目的エンドホストのID識別子が載せられ、
B3: マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、
B4: 検索結果に目的エンドホストのロケータ識別子が含まれると、前記ASN或いはマッピングプレーンは前記目的ロケータ識別子が対応する目的アクセスサービスノードにメッセージを転送し、通信を実現し、そうでないと、通信が失敗することが含まれることが好ましい。
ステップB4の後、目的アクセスサービスノードが前記メッセージを受信し、且つ、目的エンドホストに転送するのと同時に、ソースエンドホストのID識別子とロケータ識別子のマッピング関係及びソースエンドホストのVPNプロパティをローカルマッピングテーブルに記録し、目的アクセスサービスノードが前記目的エンドホストから返却したメッセージを受信した後、ローカルマッピングテーブルを検索し、ソースエンドホストと目的エンドホストとのプロパティが一致すると判断すると、直接にメッセージの転送を行うことが好ましい。
以上の技術問題を解決するために、本発明は、また、バーチャル・プライベート・ネットワークの実現方法を提供し、前記バーチャル・プライベート・ネットワークがID/ロケータ分離ネットワークに基づき実現し、前記方法は、
A: ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)専用マッピングテーブルが設置され、前記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子とのマッピング関係を含み、
B: 前記マッピングプレーンは前記VPN専用マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つけると、ID/ロケータ分離ネットワークはソースエンドホストと目的エンドホストとの通信を実現し、そうでないと、通信が失敗することが含まれることを特徴とする。
A: ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)専用マッピングテーブルが設置され、前記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子とのマッピング関係を含み、
B: 前記マッピングプレーンは前記VPN専用マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つけると、ID/ロケータ分離ネットワークはソースエンドホストと目的エンドホストとの通信を実現し、そうでないと、通信が失敗することが含まれることを特徴とする。
前記マッピングプレーンは同時に複数のVPN専用マッピングテーブルを設置し、異なるVPN専用マッピングテーブルが異なるVPNに対応し、異なるVPN識別子を有し、
ステップBにおいて、前記マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストのVPN識別子と一致するVPN専用マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つけると、ID/ロケータ分離ネットワークはソースエンドホストと目的エンドホストとの間の通信を実現し、目的エンドホストのマッピング関係を見つけないと、通信が失敗することが好ましい。
ステップBにおいて、前記マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストのVPN識別子と一致するVPN専用マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つけると、ID/ロケータ分離ネットワークはソースエンドホストと目的エンドホストとの間の通信を実現し、目的エンドホストのマッピング関係を見つけないと、通信が失敗することが好ましい。
ステップBは
B1: アクセスサービスノード(ASN)はソースエンドホストが送信したメッセージを受信し、その中に、ソースエンドと目的エンドホストのID識別子が載せられ、
B2: 前記ASNはソースエンドホストのID識別子によって、設置したプロパティテーブルを検索し、ソースエンドホストのプロパティを獲得し、且つマッピングプレーンにメッセージを転送し、或は検索リクエストを送信し、その中に、ソースエンドホストのプロパティ及び目的エンドホストID識別子が載せられ、
B3: マッピングプレーンは目的エンドホストのID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブルを検索し、
B4: 検索結果に目的エンドホストのロケータ識別子を含むと、前記ASNまたマッピングプレーンは前記目ロケータ識別子の対応する目的アクセスサービスノードにメッセージを転送し、通信を実現し、そうでないと、通信が失敗することが含まれる。
B1: アクセスサービスノード(ASN)はソースエンドホストが送信したメッセージを受信し、その中に、ソースエンドと目的エンドホストのID識別子が載せられ、
B2: 前記ASNはソースエンドホストのID識別子によって、設置したプロパティテーブルを検索し、ソースエンドホストのプロパティを獲得し、且つマッピングプレーンにメッセージを転送し、或は検索リクエストを送信し、その中に、ソースエンドホストのプロパティ及び目的エンドホストID識別子が載せられ、
B3: マッピングプレーンは目的エンドホストのID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブルを検索し、
B4: 検索結果に目的エンドホストのロケータ識別子を含むと、前記ASNまたマッピングプレーンは前記目ロケータ識別子の対応する目的アクセスサービスノードにメッセージを転送し、通信を実現し、そうでないと、通信が失敗することが含まれる。
ステップB4の後、目的アクセスサービスノードが前記メッセージを受信し、且つ、目的エンドホストに転送するのと同時に、ソースエンドホストのID識別子とロケータ識別子のマッピング関係及びソースエンドホストのVPNプロパティをローカルマッピングテーブルに記録し、目的アクセスサービスノードは前記目的エンドホストが返却したメッセージを受信した後、ローカルマッピングテーブルを検索し、ソース、目的エンドホストのプロパティが一致すると判断すると、直接にメッセージの転送を行うことが好ましい。
以上の技術問題を解決するために、本発明は更に、バーチャル・プライベート・ネットワークの実現システムを提供し、前記システムはID/ロケータ分離アーキテクチャネットワークに基づき実現し、ネットワークで接続するサービスアクセスノード(ASN)とマッピングプレーンを含み、前記ASNは第1送受信モジュール、プロパティテーブル及びプロパティテーブル検索モジュールを含み、その中に、
前記第1送受信モジュールは、ソースエンドホストが送信したメッセージを受信し、その中にソースエンドと目的エンドホストID識別子が載せられ、且つ、プロパティテーブル検索モジュールに通知し、及びマッピングプレーンにメッセージを転送し、或は、検索リクエストを送信し、その中に、ソースエンドホストのプロパティ及び目的エンドホストのID識別子が載せられるように設置され、前記マッピングプレーンに検索リクエストを送信する時、前記マッピングプレーンが送信した検索結果を受信するように更に設置され、目的エンドホストのマッピング関係を見つけると、検索結果によって、メッセージを転送し、そうでないと、通信が失敗するように更に設置され、
前記プロパティテーブルはエンドホストとそのプロパティの対応する関係を保存するように設置され、
前記プロパティテーブル検索モジュールは、前記第1送受信モジュール、プロパティテーブルと接続し、前記ソースエンドホストID識別子によって、前記プロパティテーブルを検索し、ソースエンドホストのプロパティを獲得し、且つ、前記第1送受信モジュールに通知するように設置され、
前記マッピングプレーンは第2送受信モジュール、マッピングデータベース及びデータベース検索モジュールを含み、その中に、
前記第2送受信モジュールは、前記ASNが転送したメッセージ或は送信した検索リクエストを受信し、且つ、データベース検索モジュールに通知するように設置され、検索リクエストを受信する時、前記ASNに検索結果を転送するように更に設置され、転送したメッセージを受信する時、目的エンドホストのマッピング関係を検出すると、検索結果によって、メッセージを転送し、そうでないと、通信が失敗し、
前記マッピングデータベースは、バーチャル・プライベート・ネットワーク(VPN)の専用マッピングテーブルと普通マッピングテーブルを保存し、前記VPN専用マッピングテーブルが同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子のマッピング関係を含み、前記普通マッピングテーブルが普通エンドホストID識別子とロケータ識別子のマッピング関係を含むように設置され、
前記データベース検索モジュールは前記第2送受信モジュール及びマッピングデータベースと接続し、目的エンドホストのID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、且つ、検索結果を前記第2送受信モジュールに通知するように設置される。
前記第1送受信モジュールは、ソースエンドホストが送信したメッセージを受信し、その中にソースエンドと目的エンドホストID識別子が載せられ、且つ、プロパティテーブル検索モジュールに通知し、及びマッピングプレーンにメッセージを転送し、或は、検索リクエストを送信し、その中に、ソースエンドホストのプロパティ及び目的エンドホストのID識別子が載せられるように設置され、前記マッピングプレーンに検索リクエストを送信する時、前記マッピングプレーンが送信した検索結果を受信するように更に設置され、目的エンドホストのマッピング関係を見つけると、検索結果によって、メッセージを転送し、そうでないと、通信が失敗するように更に設置され、
前記プロパティテーブルはエンドホストとそのプロパティの対応する関係を保存するように設置され、
前記プロパティテーブル検索モジュールは、前記第1送受信モジュール、プロパティテーブルと接続し、前記ソースエンドホストID識別子によって、前記プロパティテーブルを検索し、ソースエンドホストのプロパティを獲得し、且つ、前記第1送受信モジュールに通知するように設置され、
前記マッピングプレーンは第2送受信モジュール、マッピングデータベース及びデータベース検索モジュールを含み、その中に、
前記第2送受信モジュールは、前記ASNが転送したメッセージ或は送信した検索リクエストを受信し、且つ、データベース検索モジュールに通知するように設置され、検索リクエストを受信する時、前記ASNに検索結果を転送するように更に設置され、転送したメッセージを受信する時、目的エンドホストのマッピング関係を検出すると、検索結果によって、メッセージを転送し、そうでないと、通信が失敗し、
前記マッピングデータベースは、バーチャル・プライベート・ネットワーク(VPN)の専用マッピングテーブルと普通マッピングテーブルを保存し、前記VPN専用マッピングテーブルが同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子のマッピング関係を含み、前記普通マッピングテーブルが普通エンドホストID識別子とロケータ識別子のマッピング関係を含むように設置され、
前記データベース検索モジュールは前記第2送受信モジュール及びマッピングデータベースと接続し、目的エンドホストのID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、且つ、検索結果を前記第2送受信モジュールに通知するように設置される。
前記プロパティとはエンドホストがVPNエンドホストに属するかどうかを指し、ソースエンドホストのプロパティは前記ソースエンドホストがVPNエンドホストであることを示すと、マッピングプレーンのデータベース検索モジュールは前記VPN専用マッピングテーブルを検索し、そうでないと、前記普通マッピングテーブルを検索することが好ましい。
前記マッピングプレーンのマッピングデータベースは若干のVPN専用マッピングテーブルを含み、異なるVPN専用マッピングテーブルが異なるVPNネットワークと対応し、異なるVPN識別子を有し、前記プロパティとはエンドホストがVPNエンドホストに属するかどうか、及びVPNエンドホストに属する時、所属するVPN識別子を指し、ソースエンドホストのプロパティは前記ソースエンドホストがVPNエンドホストであることを示すと、前記マッピングプレーンのデータベース検索モジュールはVPN識別子と対応するVPN専用マッピングテーブルを検索し、そうでないと、前記普通マッピングテーブルを検索することが好ましい。
以上の技術問題を解決するために、本発明は更に、バーチャル・プライベート・ネットワークの実現方法を提供し、前記バーチャル・プライベート・ネットワークがID/ロケータ分離ネットワークに基づき実現し、
A: ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)の専用マッピングテーブルを設置し、前記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストのID識別子とロケータ識別子のマッピング関係を含み、
B: ソースエンドホストがVPNエンドホストである時、ID/ロケータ分離ネットワークは前記VPN専用マッピングテーブルによって、前記VPN内のVPNエンドホスト間の通信を実現することが含まれる。
A: ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)の専用マッピングテーブルを設置し、前記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストのID識別子とロケータ識別子のマッピング関係を含み、
B: ソースエンドホストがVPNエンドホストである時、ID/ロケータ分離ネットワークは前記VPN専用マッピングテーブルによって、前記VPN内のVPNエンドホスト間の通信を実現することが含まれる。
前記マッピングプレーンは同時に複数のVPN専用マッピングテーブルを設置し、異なるVPN専用マッピングテーブルが異なるVPNネットワークに対応し、異なるVPN識別子を有し、ステップBにおいて、ID/ロケータ分離ネットワークはソースエンドホストのVPN識別子と一致するVPN専用マッピングテーブルによって、対応するVPN内のVPNエンドホスト間の通信を実現することが好ましい。
本発明はID/ロケータ分離ネットワークのマッピングプレーンにVPNのVPN専用マッピングテーブルを保存し、且つ、このVPN専用マッピングテーブルによって、VPN内のVPNエンドホストユーザー間の通信を実現するかどうかを確定することで、ID/ロケータ分離ネットワークにおいて、効果的にバーチャル・プライベート・ネットワークを実現し、ユーザーがバーチャル・プライベート・ネットワークへの需要を満たし、IDとロケータを分離する技術案は、従来のバーチャル・プライベート・ネットワークVPN業務への影響を取り除く。
IDとロケータを分離するデータ通信ネットワークは、必ず従来のIPアドレスのIDプロパティとロケータプロパティを分離し、IPアドレスはただロケータプロパティを有し、エンドホストの地理的なロケータの識別子として、エンドホストのID識別子を新設し、通信伝送のエンドID識別子に用いられ、エンドホストのロケータ識別子はエンドホストが位置する地理的なロケータとネットワークトポロジーに決められ、エンドホストが移動する過程において、ロケータの変化はエンドホストのロケータ識別子の変化を引き起こすが、エンドホストのID識別子は端末IDに唯一に使用された識別子に属し、エンドホストが移動する過程に変化しない、という特徴を有する。同時に、エンドホストID識別子とロケータ識別子のマッピングが増加し、機能エンティティでこのマッピング関係を完成する必要があり、本発明は、この機能エンティティをマッピングプレーンと呼ぶ。
各種のIDとロケータを分離する方案において、このマッピングプレーンの呼び方も異なり、例えば北京交通大学の張宏科の特許ZL200610001825.0はこのように解釈しており、ID解析器を導入し、エンドホスト識別子EIDとIPアドレス間のマッピング関係を解析することを担当し、且つ、動的にエンドホスト識別子EIDとIPアドレス間のバインドを保守し、更新する。LISPの技術案において、LISP3場面はマッピングデータベース(mapping database )を採用し、ID識別子EIDとロケータ識別子RLOCのマッピング関係を提供し、分散ハッシュテーブル LISPDHT(LISP Distributed Hash Tables)を使用して実現するマッピングデータベースが研究している。他の方案中でマッピングサーバーとも呼ばれ、本発明において、統一的にマッピングプレーンと呼ぶ。
本発明のバーチャル・プライベート・ネットワークの実現方法と実現システムの主な精神は、ID/ロケータ分離ネットワークのマッピングプレーンにバーチャル・プライベート・ネットワーク(Virtual Private Network、VPN)のVPN専用マッピングテーブルを保存し、ソースエンドホストがVPNエンドホストである時、ID/ロケータ分離ネットワークが上記VPN専用マッピングテーブルによって上記VPN内のVPNエンドホスト間の通信を実現することで、ID/ロケータ分離ネットワークにおいて、効果的にバーチャル・プライベート・ネットワークを実現し、ユーザーがバーチャル・プライベート・ネットワークへの需要を満たし、IDとロケータを分離する技術案が従来のバーチャル・プライベート・ネットワークVPNサービスへの影響を取り除く。
例えば図1に示すように、本発明実施例のバーチャル・プライベート・ネットワークの実現方法はID/ロケータ分離ネットワークに基づき実現し、該方法は、
ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)のVPN専用マッピングテーブルと普通マッピングテーブルを設置し、上記VPN専用マッピングテーブルが同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子のマッピング関係を含み、上記普通マッピングテーブルが普通エンドホストID識別子とロケータ識別子のマッピング関係を含むステップ101と、
上記マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、目的エンドホストのマッピング関係を検出すれば、ID/ロケータ分離ネットワークはソース、目的エンドホスト間の通信を実現し、そうでないと、通信が失敗するステップ102が含まれる。
ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)のVPN専用マッピングテーブルと普通マッピングテーブルを設置し、上記VPN専用マッピングテーブルが同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子のマッピング関係を含み、上記普通マッピングテーブルが普通エンドホストID識別子とロケータ識別子のマッピング関係を含むステップ101と、
上記マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、目的エンドホストのマッピング関係を検出すれば、ID/ロケータ分離ネットワークはソース、目的エンドホスト間の通信を実現し、そうでないと、通信が失敗するステップ102が含まれる。
上記の実施例は、同じID/ロケータ分離ネットワーク中で、同時に普通通信と1つのVPNネットワーク通信を実現することを実現する。
マッピングプレーンがただ1つのVPN専用マッピングテーブルを有する場合に対し、上記プロパティはエンドホストがVPNエンドホストに属するかどうかを指し、ステップ102において、ソースエンドホストのプロパティは上記ソースエンドホストがVPNエンドホストであると示すと、上記マッピングプレーンが上記VPN専用マッピングテーブルを検索し、そうでないと、上記普通マッピングテーブルを検索する。
同じID/ロケータ分離ネットワークにおいて、複数のバーチャル・プライベート・ネットワークを実現するために、マッピングプレーンに複数のVPN専用マッピングテーブルを設置し、異なるVPN専用マッピングテーブルが異なるVPNネットワークに対応し、異なるVPN識別子を有し、上記プロパティはエンドホストがVPNエンドホストに属するかどうか、及びVPNエンドホストに属する時、所属するVPN識別子を指し、ステップ102において、ソースエンドホストのプロパティは上記ソースエンドホストがVPNエンドホストであると示すと、上記マッピングプレーンがVPN識別子と対応するVPN専用マッピングテーブルを検索し、そうでないと、上記普通マッピングテーブルを検索する。
もちろん、本発明はマッピングプレーンが普通マッピングテーブルを設置せず、複数のVPN専用マッピングテーブルを設置することで、ID/ロケータ分離ネットワークにおいて、複数の異なるVPNを実現することにも適用し、このような場合、本発明のもう1つの実施例のバーチャル・プライベート・ネットワーク実現方法は、
A: ID/ロケータ分離ネットワークのマッピングプレーンは複数のバーチャル・プライベート・ネットワーク(VPN)専用マッピングテーブルを設置し、VPN専用マッピングテーブルごとに同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子とのマッピング関係を含み、異なるVPN専用マッピングテーブルが異なるVPNネットワークに対応し、異なるVPN識別子を有し、
B: 上記マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストVPN識別子と一致するVPN専用マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つけると、ID/ロケータ分離ネットワークがソース、目的エンドホスト間の通信を実現し、そうでないと、通信が失敗するようにまとめることができる。
A: ID/ロケータ分離ネットワークのマッピングプレーンは複数のバーチャル・プライベート・ネットワーク(VPN)専用マッピングテーブルを設置し、VPN専用マッピングテーブルごとに同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子とのマッピング関係を含み、異なるVPN専用マッピングテーブルが異なるVPNネットワークに対応し、異なるVPN識別子を有し、
B: 上記マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストVPN識別子と一致するVPN専用マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つけると、ID/ロケータ分離ネットワークがソース、目的エンドホスト間の通信を実現し、そうでないと、通信が失敗するようにまとめることができる。
ID/ロケータ分離ネットワークはアクセスサービスノード及びマッピングプレーンを含み、ステップ102及びステップBが具体的に実現する時、マッピングプレーンによって、メッセージの転送を実現し、或はマッピングプレーン以外の転送プレーンによって、メッセージの転送を実現し、具体的には、
a: アクセスサービスノード(ASN)はソースエンドホストが送信したメッセージを受信し、その中にソースエンドと目的エンドホストID識別子が載せられ、
b: 上記ASNはソースエンドホストID識別子によって、設置されたプロパティテーブルを検索し、ソースエンドホストプロパティを獲得し、且つマッピングプレーンにメッセージを転送し、或は検索リクエストを発送し、その中にソースエンドホストプロパティ及び目的エンドホストID識別子が載せられ、
c: マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブルを検索し、
d: 検索結果に目的エンドホストのロケータ識別子を含むと、上記ASN或はマッピングプレーンは上記目的ロケータ識別子の対応する目的アクセスサービスノードにメッセージを転送し、通信を実現し、そうでないと、通信が失敗することが含まれる。
a: アクセスサービスノード(ASN)はソースエンドホストが送信したメッセージを受信し、その中にソースエンドと目的エンドホストID識別子が載せられ、
b: 上記ASNはソースエンドホストID識別子によって、設置されたプロパティテーブルを検索し、ソースエンドホストプロパティを獲得し、且つマッピングプレーンにメッセージを転送し、或は検索リクエストを発送し、その中にソースエンドホストプロパティ及び目的エンドホストID識別子が載せられ、
c: マッピングプレーンは目的エンドホストID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブルを検索し、
d: 検索結果に目的エンドホストのロケータ識別子を含むと、上記ASN或はマッピングプレーンは上記目的ロケータ識別子の対応する目的アクセスサービスノードにメッセージを転送し、通信を実現し、そうでないと、通信が失敗することが含まれる。
また、上記実施例の変形として、以下とおりの実施例を有することができる。
バーチャル・プライベート・ネットワークの実現方法であって、上記バーチャル・プライベート・ネットワークがID/ロケータ分離ネットワークに基づき実現し、該方法は、
A: ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)専用マッピングテーブルを設置し、上記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子とのマッピング関係を含み、
B: ソースエンドホストがVPNエンドホストである時、ID/ロケータ分離ネットワークは上記VPN専用マッピングテーブルによって、上記VPN内のVPNエンドホスト間の通信を実現することが含まれる。
A: ID/ロケータ分離ネットワークのマッピングプレーンはバーチャル・プライベート・ネットワーク(VPN)専用マッピングテーブルを設置し、上記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子とのマッピング関係を含み、
B: ソースエンドホストがVPNエンドホストである時、ID/ロケータ分離ネットワークは上記VPN専用マッピングテーブルによって、上記VPN内のVPNエンドホスト間の通信を実現することが含まれる。
上記マッピングプレーンは同時に複数のVPN専用マッピングテーブルを設置でき、異なるVPN専用マッピングテーブルが異なるVPNネットワークと対応し、異なるVPN識別子を有し、ステップBにおいて、ID/ロケータ分離ネットワークはソースエンドホストVPN識別子と一致するVPN専用マッピングテーブルによって、対応するVPN内のVPNエンドホスト間の通信を実現することが好ましい。
以下付属の図を参照しながら、マッピングプレーンでメッセージの転送を実現することを例とし、本発明の実現方法を詳しく述べる。
ID/ロケータ分離ネットワークのアーキテクチャの模式は、図2に示すように、ユーザーのエンドホスト(すなわち端末、例えば図2に示す第1エンドホスト100と第2エンドホスト110)がID識別子EIDを使用し、通信を行い、各々のエンドホストが唯一なID識別子を有し、ネットワークのアクセスサービスノードASN(Access Service Node)(例えば、図に示す第1ASN200と第2ASN210)は端末が転送した或は受信したメッセージをカプセル化、マッピング、転送し、且つ、マッピングプレーン300にエンドホストのID識別子とロケータ識別子のマッピングを検索し、データメッセージ転送プレーン(転送プレーンと略称する)400はアクセスサービスノードASNにマッピング処理された後のメッセージを転送し、マッピングプレーン300はエンドホストのID識別子とロケータ識別子とのマッピング関係を保守し、且つ、マッピング関係の適宜な更新を維持し、ASNにマッピング検索を提供し、ID識別子によって、ロケータ識別子を検索する。
下表に示す通り、マッピングプレーン300はネットワークのすべての端末のID識別子EIDとロケータ識別子LIDとの対応関係を保存する。
アクセスサービスノードASNがメッセージに対する処理は、以下のようである。
第1ASN200は、第1エンドホスト100が第2エンドホスト110に送るメッセージを受信し、送信したメッセージはID識別子EID(1)を含み、この時目的EID(2)によって、ローカルマッピング関係表を探し、検出すれば、直接に検索した目的LID(2)と自身のLID(1)によって、メッセージカプセル化を行い、カプセル化した後、転送し、転送プレーンに送り、検出しないと、マッピングプレーンでLID(2)を検索する。
通信相手端の第2ASN210は、自身LID(2)アドレスがカプセル化したメッセージを受けると、カプセル化解除を行い、カプセル化を解除した後のEID(2)メッセージを第2エンドホスト110にダウンリンク転送し、その同時にメッセージソースLID(1)とEID(1)とのマッピング関係を勉強し、第2ASN210は、第2エンドホスト110が第1エンドホスト100に送信したメッセージを受信し、相手端の第2ASN210は、上記流れの中ですでにEID(1)とLID(1)とのマッピング関係を勉強したので、第2ASN210ローカルでマッピング関係を検出すると、必ず検出でき、マッピングプレーン300を検索する必要がなく、この時第2ASN210において、直接にLID(1)をカプセル化し、転送する。メッセージが転送プレーン400を通してASN1に戻ると、カプセル化を解除した後、第1エンドホスト100に発送する。
図2に示すネットワークアーキテクチャの下、VPNを実現する方法は、以下の通りである。
まず、マッピングプレーン300にバーチャル・プライベート・ネットワークVPN専用のマッピングテーブルが設置され、VPNのすべてのユーザーエンドホストのID識別子とロケータ識別子とのマッピング関係を含む。この時、マッピングプレーンは2種類のマッピングテーブルを有し、1種類は普通マッピングテーブルであり、もう1種類はVPN専用のマッピングテーブルである。
次に、アクセスサービスノードASNにVPNネットワークユーザーがアクセスするVPNプロパティテーブルを設置し、ASNがこのエンドホストメッセージを処理する時、このユーザーが所属するVPNのVPN専用マッピングテーブルだけ検索できることを表わし、VPNユーザー間の通信を確立し、このVPN専用マッピングテーブル以外のユーザーは通信を確立できず、同時に、VPN専用マッピングテーブル以外のユーザーはVPN専用マッピングテーブルを検索できず、VPNネットワークにアクセスできず、VPNネットワークの安全性を保証する。
VPN専用マッピングテーブルは複数あることができ、各々のVPN専用マッピングテーブルは1つのVPN識別子VPN_IDを有し、このような1つのネットワークは複数のVPNを支持でき、数多くの企業ネットワークネットワークの応用需要を満たす。
VPN専用マッピングテーブルにおけるユーザーエンドホストのマッピング関係は動的に加入又は削除できる。
マッピングプレーンにおけるVPNを有する識別子VPN_IDのマッピングテーブルを便利に検索するように、ASNにユーザーのアクセスしたVPNプロパティを設置する時、所属するVPNの識別子VPN_IDを含むものである。
ASNにおけるユーザーがVPNにアクセスするプロパティは固定にコンフィギュレーションでき、マッピングプレーン300から獲取してもよい。
既存の通信事業者が提供するVPN技術案は、転送プレーンで実施でき、例えばMPLS VPN技術、データ流れの安全転送とQOS保証を提供し、本発明のVPN技術案を結びつけ、相手端のユーザーのID識別子に対して認定することで、従来の方法による偽造、改竄等の攻撃手段がVPNネットワークを阻害することを防止でき、より高い安全性を提供でき、同時にID識別子の唯一性はユーザーの移動アクセスを支持することを保証し、ローミングユーザーが随時に安全的にVPNネットワークにアクセスすることを支持し、出張している会社ユーザーに特に有利である。
VPNネットワークのID/ロケータ分離ネットワークアーキテクチャを実現する応用実例の模式図は図3に示す通りである。
VPN専用マッピングテーブルの実例:
第1番目のバーチャル・プライベート・ネットワークであり、VPN識別子VPN_ID_(1)を分配し、それが持つVPN専用マッピングテーブルは以下通りに示す。
第1番目のバーチャル・プライベート・ネットワークであり、VPN識別子VPN_ID_(1)を分配し、それが持つVPN専用マッピングテーブルは以下通りに示す。
第2番目のバーチャル・プライベート・ネットワークはVPN識別子VPN_ID_(2)を分配し、それが持つVPN専用マッピングテーブルは以下の通りである。
VPN間は分離する必要があり、お互いに通信できないので、VPN識別子VPN_ID_(1)のマッピングテーブルにおけるテーブル項目とVPN識別子VPN_ID_(2)のマッピングテーブルにおけるテーブル項目は重なることができない。
図4に示すように、データメッセージの処理流れは以下の通りであり、第1ASNは第1エンドホストが第2エンドホストに送るメッセージを受信し、送信したメッセージは第1エンドホストのID識別子EID(a1)を含むステップ401と、
第1ASNはVPNプロパティテーブルによって、第1エンドホストがVPNユーザーで、且つ、VPN識別子=VPN_ID_(1)に属するバーチャル・プライベート・ネットワークであると確定し、第1ASNがマッピングプレーンに検索リクエストを発送し、その中に第1エンドホストのVPNプロパティ(ただVPN識別子を含んでもよい)及び目的ID識別子を持つステップ402と、
マッピングプレーンが目的ID識別子によって、VPN識別子がVPN_ID_(1) であるVPN専用マッピングテーブルを検索し、且つ、第1ASNに検索結果を返却するステップ403と、
第1ASNは検索結果によって、メッセージ処理を行い、目的ID識別子がEID(a2)であり、マッピングプレーンから返却した検索結果にこの相手端がなければ、無効力相手端に属し、通信できなく、VPN内部のユーザーだけ通信できると保証し、目的ID識別子がEID(b1)であり、マッピングプレーンから返却した検索結果がロケータ識別子LID(b1)であれば、第1ASNが正常な転送処理を行い、メッセージを転送プレーンに送信し、転送プレーンが既存するVPN技術を支持すれば、転送プレーンのVPN識別子(MPLS VPN1)と本発明のVPN識別子VPN_ID_(1)との対応関係を確立でき、データメッセージが転送プレーンにおける安全とQoS(サービス品質)の品質保証を提供するステップ404と、
通信相手端の第2ASNは自身LID(b1)アドレスがカプセル化したメッセージを受け、カプセル化解除を行い、カプセル化を解除した後のEID(b1)メッセージを第2エンドホストにダウンリンク転送し、その同時にメッセージソースLID(b1)とEID(b1)とのマッピング関係、及びVPNプロパティを勉強するステップ405と、
第2ASNは第2エンドホストが第1エンドホストに送信したメッセージを受信するステップ406と、
相手端の第2ASNは上記流れの中で、すでにEID(b1)とLID(b1)とのマッピング関係及びVPNプロパティを勉強したので、第2ASNローカルでマッピング関係を検出すると、必ず検出でき、マッピングプレーンのVPN識別子VPN_ID_(1)VPN専用マッピングテーブルを検索する必要がなく、この時、第2ASNで直接にLID(a1)をカプセル化し、第1ASNに転送するステップ407と、
転送プレーンを通して、第1ASNに戻り、第1ASNがカプセル化を解除された後、第1エンドホストに発送されるステップ408を含む。
第1ASNはVPNプロパティテーブルによって、第1エンドホストがVPNユーザーで、且つ、VPN識別子=VPN_ID_(1)に属するバーチャル・プライベート・ネットワークであると確定し、第1ASNがマッピングプレーンに検索リクエストを発送し、その中に第1エンドホストのVPNプロパティ(ただVPN識別子を含んでもよい)及び目的ID識別子を持つステップ402と、
マッピングプレーンが目的ID識別子によって、VPN識別子がVPN_ID_(1) であるVPN専用マッピングテーブルを検索し、且つ、第1ASNに検索結果を返却するステップ403と、
第1ASNは検索結果によって、メッセージ処理を行い、目的ID識別子がEID(a2)であり、マッピングプレーンから返却した検索結果にこの相手端がなければ、無効力相手端に属し、通信できなく、VPN内部のユーザーだけ通信できると保証し、目的ID識別子がEID(b1)であり、マッピングプレーンから返却した検索結果がロケータ識別子LID(b1)であれば、第1ASNが正常な転送処理を行い、メッセージを転送プレーンに送信し、転送プレーンが既存するVPN技術を支持すれば、転送プレーンのVPN識別子(MPLS VPN1)と本発明のVPN識別子VPN_ID_(1)との対応関係を確立でき、データメッセージが転送プレーンにおける安全とQoS(サービス品質)の品質保証を提供するステップ404と、
通信相手端の第2ASNは自身LID(b1)アドレスがカプセル化したメッセージを受け、カプセル化解除を行い、カプセル化を解除した後のEID(b1)メッセージを第2エンドホストにダウンリンク転送し、その同時にメッセージソースLID(b1)とEID(b1)とのマッピング関係、及びVPNプロパティを勉強するステップ405と、
第2ASNは第2エンドホストが第1エンドホストに送信したメッセージを受信するステップ406と、
相手端の第2ASNは上記流れの中で、すでにEID(b1)とLID(b1)とのマッピング関係及びVPNプロパティを勉強したので、第2ASNローカルでマッピング関係を検出すると、必ず検出でき、マッピングプレーンのVPN識別子VPN_ID_(1)VPN専用マッピングテーブルを検索する必要がなく、この時、第2ASNで直接にLID(a1)をカプセル化し、第1ASNに転送するステップ407と、
転送プレーンを通して、第1ASNに戻り、第1ASNがカプセル化を解除された後、第1エンドホストに発送されるステップ408を含む。
以上の方法を実現するために、本発明は、バーチャル・プライベート・ネットワーク実現システムを更に提供し、図5に示すように、上記バーチャル・プライベート・ネットワーク(VPN)実現システムは、ネットワークで接続するサービスアクセスノード(ASN)500とマッピングプレーン510とを含み、上記ASN500は第1送受信モジュール501、プロパティテーブル502及びプロパティテーブル検索モジュール503を含む。
上記第1送受信モジュール501は、ソースエンドホストが送信するメッセージを受信し、その中にソースエンドと目的エンドホストID識別子が載せられ、且つ、プロパティテーブル検索モジュール503に通知し、且つ、マッピングプレーン510にメッセージを転送し、或は検索リクエストを送信し、その中にソースエンドホストプロパティ及び目的エンドホストID識別子が載せられるように設置され、上記マッピングプレーン510に検索リクエストを送信する時、上記マッピングプレーン510が送信した検索結果を受信し、目的エンドホストのマッピング関係を検出すると、検索結果によってメッセージを転送し、そうでないと、通信が失敗するように設置され、マッピング関係が変動する時、上記マッピングプレーン510に登録或はキャンセルリクエストを送信するように更に設置される。
上記プロパティテーブル502は、エンドホストとそのプロパティとの対応関係を保存するように設置される。
上記プロパティテーブル検索モジュール503は、上記第1送受信モジュール501、プロパティテーブル502と接続し、上記ソースエンドホストID識別子によって、上記プロパティテーブル502を検索し、ソースエンドホストプロパティを獲得し、且つ、上記第1送受信モジュール501に通知することに用いられる。
上記マッピングプレーン510は、第2送受信モジュール511、マッピングデータベース512、データベース検索モジュール513及び保守モジュール514を含む。
その中、上記第2送受信モジュール511は、上記ASN500が転送したメッセージ或は送信する検索リクエストを受信し、且つ、データベース検索モジュール513に通知し、検索リクエストを受信する時、上記ASN500に検索結果を送信し、転送メッセージを受信する時、目的エンドホストのマッピング関係を検出すると、検索結果によってメッセージを転送し、そうでないと、通信が失敗するように設置され、上記ASN500の登録或はキャンセルリクエストを受信するように更に設置される。
上記マッピングデータベース512は、VPN専用マッピングテーブルと普通マッピングテーブルを保存し、上記VPN専用マッピングテーブルは同じVPNネットワークのVPNエンドホストID識別子とロケータ識別子とのマッピング関係を含み、上記普通マッピングテーブルは普通エンドホストID識別子とロケータ識別子とのマッピング関係を含むように設置される。
上記データベース検索モジュール513は、上記第2送受信モジュール511及びマッピングデータベース512と接続し、目的エンドホストID識別子によって、ソースエンドホストプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索するように設置され、検索結果を上記第2送受信モジュール511に通知することに用いられる。
1つのVPN専用マッピングテーブルだけ有する場合に対し、上記プロパティはエンドホストがVPNエンドホストに属するかどうかを指し、ソースエンドホストのプロパティは上記ソースエンドホストがVPNエンドホストであることを示すと、マッピングプレーンのデータベース検索モジュールが上記VPN専用マッピングテーブルを検索し、そうでないと、上記普通マッピングテーブルを検索する。
複数のVPN専用マッピングテーブルを有する場合に対し、異なるVPN専用マッピングテーブルが異なるVPNネットワークと対応し、異なるVPN識別子を有し、上記プロパティはエンドホストがVPNエンドホストに属するかどうか、及びVPNエンドホストに属する時、所属するVPN識別子を指し、ソースエンドホストのプロパティは上記ソースエンドホストがVPNエンドホストであると示すと、上記マッピングプレーンのデータベース検索モジュール513はVPN識別子と対応するVPN専用マッピングテーブルを検索し、そうでないと、上記普通マッピングテーブルを検索する。
保守モジュール514は、上記マッピングプレーンの第2送受信モジュール511、普通マッピングテーブル及びVPN専用マッピングテーブル(すなわちマッピングデータベース512)と接続し、ASN500の登録或はキャンセルリクエストによって、上記普通マッピングテーブル或はVPN専用マッピングテーブル中のマッピング関係を増加する或は削除するように設置される。
本発明は、ID/ロケータ分離ネットワークのマッピングプレーンにVPNのVPN専用マッピングテーブルを保存し、且つ、このVPN専用マッピングテーブルによって、VPN内のVPNエンドホストユーザー間の通信を実現するかどうかを確定することで、ID/ロケータ分離ネットワークにおいて、効果的にバーチャル・プライベート・ネットワークを実現し、ユーザーがバーチャル・プライベート・ネットワークへの需要を満たし、IDとロケータを分離する技術案は、従来のVPNサービスへの影響を取り除き、VPNの実施による既存設備とソフトウェアへの変更を減少させ、特に信事業者に対し、実施するVPN解決案(PP−VPN)であり、本発明による方法はマッピングプレーンによって実現されるもので、通信事業者が実施するVPN解決案の一種である。
当業者は、上記方法における全部或は部分のステップがプログラムによって、関連ハードウェアを命令して完成でき、上記プログラムはコンピューターの可読記憶媒体、例えば読み出し専用メモリ、磁気ディスク或は光ディスク等に記憶できると理解できる。上記実施例の全部或は部分のステップは1つ又は複数の集積回路で選択的に実現できる。相応的に、上記実施例における各モジュール/ユニットはハードウェアの形式によって実現でき、ソフトウェア機能モジュールの形式を採用しても、実現できる。本発明は、いかなる特定形式のハードウェアとフトウェアの組み合わせに限らない。
特定な実施例を結びつけ、本発明を述べるが、当業者に対し、本発明の主旨或は範囲を脱離しない条件下で、修正と変更を行える。このような修正と変更が本発明の範囲と添付された請求範囲内にあると見なすものとする。
本発明は、バーチャル・プライベート・ネットワークの実現方法及びシステムを提供し、ID/ロケータ分離ネットワークのマッピングプレーンにVPNのVPN専用マッピングテーブルを保存し、且つ、このVPN専用マッピングテーブルによって、VPN内のVPNエンドホストユーザー間の通信を実現するかどうかを確定することで、ID/ロケータ分離ネットワークにおいて、効果的にバーチャル・プライベート・ネットワークを実現し、ユーザーがバーチャル・プライベート・ネットワークへの需要を満たし、IDとロケータを分離する技術案は従来のVPN業務への影響を取り除き、VPNの実施による既存設備とソフトウェアへの変更を減少させる。
Claims (8)
- バーチャル・プライベート・ネットワーク(VPN)の実現方法であって、前記VPNはID/ロケータ分離ネットワークに基づき実現し、該方法は、
ID/ロケータ分離ネットワークのマッピングプレーンは、VPNのVPN専用マッピングテーブルと普通マッピングテーブルを設置し、前記VPN専用マッピングテーブルは、同じVPNのVPNエンドホストのID識別子とロケータ識別子とのマッピング関係を含み、前記普通マッピングテーブルは、普通エンドホストのID識別子とロケータ識別子とのマッピング関係を含み、
前記マッピングプレーンは、目的エンドホストID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、目的エンドホストのマッピング関係を見つければ、ID/ロケータ分離ネットワークは、ソースエンドホストと目的エンドホストとの間の通信を実現し、目的エンドホストのマッピング関係を見つけなければ、通信が失敗してしまうことが含まれることを特徴とする。 - 前記プロパティはエンドホストがVPNエンドホストに属するかどうかを示し、
前記マッピングプレーンは目的エンドホストのID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索するステップにおいて、ソースエンドホストのプロパティは、前記ソースエンドホストがVPNエンドホストであることを示すと、前記マッピングプレーンは、前記VPN専用マッピングテーブルを検索し、ソースエンドホストのプロパティは、前記ソースエンドホストがVPNエンドホストではないと示すと、前記マッピングプレーンが前記普通マッピングテーブルを検索する
請求項1に記載の前記方法。 - 前記マッピングプレーンは複数のVPN専用マッピングテーブルを含み、異なるVPN専用マッピングテーブルが異なるVPNに対応し、異なるVPN識別子を有し、
前記プロパティとはエンドホストがVPNエンドホストに属すかどうか及びVPNエンドホストに属する時、所属するVPN識別子を指し、
前記マッピングプレーンは目的エンドホストのID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索するステップにおいて、ソースエンドホストのプロパティは、前記ソースエンドホストがVPNエンドホストであることを示すと、前記マッピングプレーンがVPN識別子と対応するVPN専用マッピングテーブルを検索し、ソースエンドホストのプロパティは、前記ソースエンドホストがVPNエンドホストではないと示すと、前記マッピングプレーンが前記普通マッピングテーブルを検索する
請求項1に記載の前記方法。 - 前記マッピングプレーンは目的エンドホストのID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索するステップの前に、前記方法は、
アクセスサービスノード(ASN) はソースエンドホストが送信したメッセージを受信し、その中にソースエンドホストID識別子と目的エンドホストID識別子が載せられ、
前記ASNはソースエンドホストID識別子によって、プロパティテーブルを検索し、ソースエンドホストのプロパティを獲得し、且つマッピングプレーンにメッセージを転送し、或は検索リクエストを送信し、その中にソースエンドホストのプロパティ及び目的エンドホストのID識別子が載せられ、
ID/ロケータ分離ネットワークにおいて、ソースエンドホストと目的エンドホストとの通信を実現するステップにおいて、前記ASN或はマッピングプレーンは前記目的ロケータ識別子が対応する目的アクセスサービスノードにメッセージを転送し、通信を実現することが更に含まれる
請求項1〜3の何れかに記載の前記方法。 - 前記ASN又はマッピングプレーンは、前記目的ロケータ識別子が対応する目的アクセスサービスノードにメッセージを転送し、通信を実現するステップの後に、前記方法は、
前記目的アクセスサービスノードが前記メッセージを受信し、且つ目的エンドホストに転送するのと同時に、ソースエンドホストのID識別子とロケータ識別子のマッピング関係及びソースエンドホストのVPNプロパティをローカルマッピングテーブルに記録し、目的アクセスサービスノードは前記目的エンドホストが返却したメッセージを受信した後、ローカルマッピングテーブルを検索し、ソースホストと目的エンドホストのプロパティが一致すると判断すると、直接にメッセージの転送を行うことが更に含まれる
請求項4に記載の方法。 - バーチャル・プライベート・ネットワーク(VPN)の実現システムであって、前記システムはID/ロケータ分離アーキテクチャネットワークに基づき実現し、ネットワークで接続するサービスアクセスノード(ASN)とマッピングプレーンを含み、前記ASNは第1送受信信モジュール、プロパティテーブル及びプロパティテーブル検索モジュールを含み、その中に、
前記第1送受信信モジュールはソースエンドホストが送信したメッセージを受信し、その中にソースエンドID識別子と目的エンドホストID識別子が載せられ、且つ、プロパティテーブル検索モジュールに通知し、及びマッピングプレーンにメッセージを転送し、或は検索リクエストを送信し、その中に、ソースエンドホストのプロパティ及び目的エンドホストのID識別子が載せられるように設置され、前記マッピングプレーンに検索リクエストを送信する時、前記マッピングプレーンが送信した検索結果を受信し、目的エンドホストのマッピング関係を見つけると、検索結果によってメッセージを転送し、目的エンドホストのマッピング関係を見つけないと、通信が失敗するように更に設置され、
前記プロパティテーブルはエンドホストとそのプロパティの対応する関係を保存するように設置され、
前記プロパティテーブル検索モジュールは前記第1送受信信モジュール、プロパティテーブルと接続し、前記ソースエンドホストID識別子によって、前記プロパティテーブルを検索し、ソースエンドホストのプロパティを獲得し、且つ、前記第1送受信信モジュールに通知するように設置され、
前記マッピングプレーンは第2送受信信モジュール、マッピングデータベース及びデータベース検索モジュールを含み、その中に、
前記第2送受信信モジュールは、前記ASNが転送したメッセージ或は送信した検索リクエストを受信し、且つ、データベース検索モジュールに通知するように設置され、検索リクエストを受信する時、前記ASNに検索結果を転送するように更に設置され、転送したメッセージを受信する時、目的エンドホストのマッピング関係を見つけると、検索結果によって、メッセージを転送し、目的エンドホストのマッピング関係を見つけないと、通信が失敗し、
前記マッピングデータベースはVPN専用マッピングテーブルと普通マッピングテーブルを保存し、前記VPN専用マッピングテーブルが同じVPNのVPNエンドホストID識別子とロケータ識別子のマッピング関係を含み、前記普通マッピングテーブルが普通エンドホストID識別子とロケータ識別子のマッピング関係を含むように設置され、
前記データベース検索モジュールは前記第2送受信信モジュール及びマッピングデータベースと接続し、目的エンドホストのID識別子によって、ソースエンドホストのプロパティと一致するVPN専用マッピングテーブル或は普通マッピングテーブルを検索し、且つ、検索結果を前記第2送受信信モジュールに通知するように設置される
バーチャル・プライベート・ネットワーク(VPN)の実現システム。 - 前記プロパティはエンドホストがVPNエンドホストに属するかどうかを示し、
前記マッピングプレーンのデータベース検索モジュールは、ソースエンドホストのプロパティは前記ソースエンドホストがVPNエンドホストであると示すと、前記VPN専用マッピングテーブルを検索し、ソースエンドホストのプロパティは前記ソースエンドホストがVPNエンドホストではないと示すと、前記普通マッピングテーブルを検索するように設置される
請求項6に記載のシステム。 - 前記マッピングプレーンのマッピングデータベースは複数のVPN専用マッピングテーブルを含み、異なるVPN専用マッピングテーブルが異なるVPNと対応し、異なるVPN識別子を有し、
前記プロパティとはエンドホストがVPNエンドホストに属するかどうか、及びVPNエンドホストに属する時、所属するVPN識別子を示し、
前記マッピングプレーンのデータベース検索モジュールは、ソースエンドホストのプロパティは前記ソースエンドホストがVPNエンドホストであると示すと、VPN識別子と対応するVPN専用マッピングテーブルを検索し、ソースエンドホストのプロパティは前記ソースエンドホストがVPNエンドホストではないと示すと、前記普通マッピングテーブルを検索するように設置される
請求項6に記載の前記システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910176529.8 | 2009-09-18 | ||
| CN200910176529.8A CN102025589B (zh) | 2009-09-18 | 2009-09-18 | 虚拟专用网络的实现方法及系统 |
| PCT/CN2010/076788 WO2011032473A1 (zh) | 2009-09-18 | 2010-09-10 | 虚拟专用网络的实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013504960A JP2013504960A (ja) | 2013-02-07 |
| JP5579853B2 true JP5579853B2 (ja) | 2014-08-27 |
Family
ID=43758098
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012529109A Active JP5579853B2 (ja) | 2009-09-18 | 2010-09-10 | バーチャル・プライベート・ネットワークの実現方法及びシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8661525B2 (ja) |
| EP (1) | EP2466818A4 (ja) |
| JP (1) | JP5579853B2 (ja) |
| KR (1) | KR101340495B1 (ja) |
| CN (1) | CN102025589B (ja) |
| WO (1) | WO2011032473A1 (ja) |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
| US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
| US10469556B2 (en) | 2007-05-31 | 2019-11-05 | Ooma, Inc. | System and method for providing audio cues in operation of a VoIP service |
| US8560634B2 (en) * | 2007-10-17 | 2013-10-15 | Dispersive Networks, Inc. | Apparatus, systems and methods utilizing dispersive networking |
| US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
| CN102131197B (zh) * | 2010-01-20 | 2015-09-16 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| JP5715476B2 (ja) * | 2011-04-25 | 2015-05-07 | Kddi株式会社 | マッピングサーバの制御方法及びマッピングサーバ |
| CN102868618A (zh) * | 2011-07-08 | 2013-01-09 | 中兴通讯股份有限公司 | 一种去附着方法、装置和映射服务器 |
| CN103051541B (zh) * | 2011-10-14 | 2017-04-05 | 中兴通讯股份有限公司 | 一种标识网内的报文转发方法、asr及isr |
| US9069761B2 (en) * | 2012-05-25 | 2015-06-30 | Cisco Technology, Inc. | Service-aware distributed hash table routing |
| US8879394B2 (en) * | 2012-10-22 | 2014-11-04 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system of packet based identifier locator network protocol (ILNP) load balancing and routing |
| US9185071B2 (en) * | 2012-12-31 | 2015-11-10 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and systems for seamless network communications between devices running internet protocol version 6 and internet protocol version 4 |
| US9882713B1 (en) | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
| CN105684365B (zh) * | 2013-02-12 | 2020-03-24 | 慧与发展有限责任合伙企业 | 利用软件定义流映射和虚拟化的网络功能的网络控制 |
| US9479433B1 (en) | 2013-04-30 | 2016-10-25 | Cisco Technology, Inc. | Interconnecting virtual private networks |
| US9294393B1 (en) * | 2013-04-30 | 2016-03-22 | Cisco Technology, Inc. | Interconnecting virtual private networks |
| US9508114B2 (en) * | 2013-06-13 | 2016-11-29 | Autodesk, Inc. | File format and system for distributed scene graphs |
| US9386148B2 (en) | 2013-09-23 | 2016-07-05 | Ooma, Inc. | Identifying and filtering incoming telephone calls to enhance privacy |
| US9749290B2 (en) * | 2013-11-14 | 2017-08-29 | Verizon Patent And Licensing Inc. | Distributing and virtualizing a network address translation (NAT) |
| US9467478B1 (en) | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
| US10542004B1 (en) * | 2014-02-24 | 2020-01-21 | C/Hca, Inc. | Providing notifications to authorized users |
| US10553098B2 (en) | 2014-05-20 | 2020-02-04 | Ooma, Inc. | Appliance device integration with alarm systems |
| US10769931B2 (en) | 2014-05-20 | 2020-09-08 | Ooma, Inc. | Network jamming detection and remediation |
| US9633547B2 (en) | 2014-05-20 | 2017-04-25 | Ooma, Inc. | Security monitoring and control |
| US11330100B2 (en) | 2014-07-09 | 2022-05-10 | Ooma, Inc. | Server based intelligent personal assistant services |
| US9894031B2 (en) | 2014-08-27 | 2018-02-13 | Cisco Technology, Inc. | Source-aware technique for facilitating LISP host mobility |
| CN105471827B (zh) * | 2014-09-04 | 2019-02-26 | 华为技术有限公司 | 一种报文传输方法及装置 |
| US9935850B1 (en) | 2014-11-18 | 2018-04-03 | Berryville Holdings, LLC | Systems and methods for implementing an on-demand computing network environment |
| CN105721270B (zh) * | 2014-12-04 | 2020-05-08 | 成都鼎桥通信技术有限公司 | 一种集群通信虚拟网的控制方法 |
| US9819513B2 (en) * | 2015-01-27 | 2017-11-14 | Anchorfree Inc. | System and method for suppressing DNS requests |
| US10021065B2 (en) | 2015-01-27 | 2018-07-10 | Anchorfree Inc. | System and method for suppressing DNS requests |
| CN104767686B (zh) * | 2015-04-08 | 2018-03-20 | 新华三技术有限公司 | 一种alt网络中的路由信息查询方法和装置 |
| CN106209485B (zh) * | 2015-04-30 | 2019-05-24 | 中国南方电网有限责任公司 | 一种vpn私网链路检测方法及装置 |
| US10911368B2 (en) | 2015-05-08 | 2021-02-02 | Ooma, Inc. | Gateway address spoofing for alternate network utilization |
| US11171875B2 (en) | 2015-05-08 | 2021-11-09 | Ooma, Inc. | Systems and methods of communications network failure detection and remediation utilizing link probes |
| US10771396B2 (en) * | 2015-05-08 | 2020-09-08 | Ooma, Inc. | Communications network failure detection and remediation |
| US10009286B2 (en) | 2015-05-08 | 2018-06-26 | Ooma, Inc. | Communications hub |
| CA2931906C (en) * | 2015-06-03 | 2023-09-05 | Evertz Microsystems Ltd. | Systems and methods for determining a destination location in a network system |
| US20160373297A1 (en) * | 2015-06-18 | 2016-12-22 | At & T Intellectual Property I, L.P. | Device, system, and method for managing virtual and physical components of a network via use of a registry |
| KR101977726B1 (ko) | 2015-11-17 | 2019-05-14 | 한국전자통신연구원 | 가상 데스크탑 서비스 방법 및 장치 |
| US9980303B2 (en) | 2015-12-18 | 2018-05-22 | Cisco Technology, Inc. | Establishing a private network using multi-uplink capable network devices |
| EP3574631B1 (en) * | 2017-01-24 | 2021-03-10 | Telefonaktiebolaget LM Ericsson (PUBL) | Using location identifier separation protocol to implement a distributed gateway architecture for 3gpp mobility |
| WO2018138545A1 (en) | 2017-01-24 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Lossless handover for mobility with location identifier separation protocol in 3rd generation partnership project networks |
| CN108259379B (zh) * | 2017-05-08 | 2021-11-02 | 新华三技术有限公司 | 一种流量转发方法及装置 |
| WO2018207006A1 (en) | 2017-05-12 | 2018-11-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Local identifier locator network protocol (ilnp) breakout |
| US10523563B2 (en) * | 2018-04-10 | 2019-12-31 | Cisco Technology, Inc. | Mechanism and procedures for multi-domain enterprise fabric domain federations |
| US11539817B1 (en) | 2018-09-27 | 2022-12-27 | C/Hca, Inc. | Adaptive authentication and notification system |
| US11129061B1 (en) | 2018-11-07 | 2021-09-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Local identifier locator network protocol (ILNP) breakout |
| US11652791B2 (en) | 2019-08-07 | 2023-05-16 | Cisco Technology, Inc. | Consolidated routing table for extranet virtual networks |
| CN111711556B (zh) * | 2020-06-17 | 2021-11-23 | 北京字节跳动网络技术有限公司 | 虚拟专用网络的选路方法、装置、系统、设备及存储介质 |
| CN111857979B (zh) * | 2020-06-28 | 2023-08-15 | 厦门极致互动网络技术股份有限公司 | 一种分布式系统的信息管理方法、系统、存储介质及设备 |
| CN112187644B (zh) * | 2020-10-28 | 2022-02-22 | 郑州芯兰德网络科技有限公司 | 一种基于标识解析路由的组播系统及组播方法 |
| CN113596059B (zh) * | 2021-08-19 | 2023-06-20 | 中国电子科技集团公司电子科学研究院 | 一种在标识网络中实现实时三层网络隔离的方法及系统 |
| CN114697300A (zh) * | 2022-04-15 | 2022-07-01 | 武汉中元通信股份有限公司 | 一种高时效通信系统的数据组播实现方法 |
| CN114885443B (zh) * | 2022-07-01 | 2022-11-08 | 之江实验室 | 一种支持终端移动接入的多模态网络控制系统和方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6442169B1 (en) * | 1998-11-20 | 2002-08-27 | Level 3 Communications, Inc. | System and method for bypassing data from egress facilities |
| JP2000183968A (ja) * | 1998-12-17 | 2000-06-30 | Nippon Telegr & Teleph Corp <Ntt> | パケット通信システムおよびそれを構成するノードとエッジ装置 |
| US6693878B1 (en) * | 1999-10-15 | 2004-02-17 | Cisco Technology, Inc. | Technique and apparatus for using node ID as virtual private network (VPN) identifiers |
| JP3620719B2 (ja) * | 2001-06-22 | 2005-02-16 | 日本電気株式会社 | データ交換装置におけるルーティング処理システム |
| CN1270256C (zh) * | 2002-09-23 | 2006-08-16 | 华为技术有限公司 | 实现销售点终端多应用的方法和系统 |
| CN1232135C (zh) * | 2002-11-12 | 2005-12-14 | 华为技术有限公司 | 一种无线因特网协议语音核心网端到端的路由方法 |
| US7283529B2 (en) * | 2003-03-07 | 2007-10-16 | International Business Machines Corporation | Method and system for supporting a dedicated label switched path for a virtual private network over a label switched communication network |
| CN100428719C (zh) | 2006-01-23 | 2008-10-22 | 北京交通大学 | 一种基于身份与位置分离的互联网接入方法 |
| JP4207078B2 (ja) * | 2006-10-11 | 2009-01-14 | 村田機械株式会社 | 中継サーバ |
| CN101222414B (zh) * | 2007-01-11 | 2012-08-08 | 华为技术有限公司 | 实现组播通信的装置、系统和方法 |
| US7894450B2 (en) * | 2007-12-31 | 2011-02-22 | Nortel Network, Ltd. | Implementation of VPNs over a link state protocol controlled ethernet network |
| CN101753424B (zh) * | 2008-11-28 | 2012-07-04 | 华为技术有限公司 | 一种数据通信系统、路由器、数据发送及移动性管理方法 |
| KR101084769B1 (ko) * | 2008-12-23 | 2011-11-21 | 주식회사 케이티 | 위치자/식별자 분리 기반의 네트워크 이동성 지원 시스템 및 그 방법 |
| US9049653B2 (en) * | 2009-07-02 | 2015-06-02 | Futurewei Technologies, Inc. | Handover in core-edge separation technology in wireless communications |
| EP2589208A1 (en) * | 2010-06-29 | 2013-05-08 | Huawei Technologies Co., Ltd. | Delegate gateways and proxy for target hosts in large layer 2 and address resolution with duplicated internet protocol addresses |
-
2009
- 2009-09-18 CN CN200910176529.8A patent/CN102025589B/zh active Active
-
2010
- 2010-09-10 EP EP10816677.8A patent/EP2466818A4/en not_active Withdrawn
- 2010-09-10 WO PCT/CN2010/076788 patent/WO2011032473A1/zh active Application Filing
- 2010-09-10 JP JP2012529109A patent/JP5579853B2/ja active Active
- 2010-09-10 KR KR1020127009926A patent/KR101340495B1/ko active IP Right Grant
- 2010-09-10 US US13/496,284 patent/US8661525B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013504960A (ja) | 2013-02-07 |
| US8661525B2 (en) | 2014-02-25 |
| WO2011032473A1 (zh) | 2011-03-24 |
| EP2466818A4 (en) | 2015-03-04 |
| CN102025589B (zh) | 2015-04-01 |
| KR20120100927A (ko) | 2012-09-12 |
| CN102025589A (zh) | 2011-04-20 |
| US20120180122A1 (en) | 2012-07-12 |
| EP2466818A1 (en) | 2012-06-20 |
| KR101340495B1 (ko) | 2013-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5579853B2 (ja) | バーチャル・プライベート・ネットワークの実現方法及びシステム | |
| KR101399002B1 (ko) | 가상 사설 네트워크의 실현 방법 및 시스템 | |
| CN112840625B (zh) | 网络计算环境中的第一跳迁网关冗余 | |
| CN107040463B (zh) | 用于避免由于非对称mac获悉的流量泛洪的系统 | |
| US11716280B2 (en) | Interoperability between symmetric and asymmetric EVPN IRB modes | |
| US8787149B1 (en) | MAC address synchronization for multi-homing with multichassis link aggregation | |
| US9100213B1 (en) | Synchronizing VPLS gateway MAC addresses | |
| CN104396192A (zh) | 不对称网络地址封装 | |
| WO2011069399A1 (zh) | 地址映射方法及接入业务节点 | |
| JPWO2007141840A1 (ja) | 中継ネットワークシステム及び端末アダプタ装置 | |
| US20130343175A1 (en) | Internetworking and ip address management in unified mpls and ip networks | |
| US20100254396A1 (en) | Method of connecting vlan systems to other networks via a router | |
| EP3190752B1 (en) | Method, apparatus and medium for avoiding traffic flooding due to asymmetric mac learning and achieving predictable convergence for pbb-evpn active-active redundancy | |
| WO2024001553A1 (zh) | 路由发布方法、电子设备和计算机可读存储介质 | |
| Singh | BGP MPLS based EVPN And its implementation and use cases | |
| EP4245023A1 (en) | Zero day zero touch providing of services with policy control | |
| KR20030007260A (ko) | Mpls vpn에서 이동 서비스 제공 방안 | |
| CN117914767A (zh) | 网络计算环境中的第一跳迁网关冗余 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130607 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130625 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140408 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140701 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5579853 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |