JP6664232B2 - 無線lanアクセスシステム、ルータ装置およびアクセス制御方法 - Google Patents

無線lanアクセスシステム、ルータ装置およびアクセス制御方法 Download PDF

Info

Publication number
JP6664232B2
JP6664232B2 JP2016028856A JP2016028856A JP6664232B2 JP 6664232 B2 JP6664232 B2 JP 6664232B2 JP 2016028856 A JP2016028856 A JP 2016028856A JP 2016028856 A JP2016028856 A JP 2016028856A JP 6664232 B2 JP6664232 B2 JP 6664232B2
Authority
JP
Japan
Prior art keywords
line
communication
concentrator
wireless lan
virtual leased
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016028856A
Other languages
English (en)
Other versions
JP2017147640A (ja
Inventor
雅英 西川
雅英 西川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2016028856A priority Critical patent/JP6664232B2/ja
Publication of JP2017147640A publication Critical patent/JP2017147640A/ja
Application granted granted Critical
Publication of JP6664232B2 publication Critical patent/JP6664232B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、無線LAN(Local Area Network)アクセスシステムに関し、特に、不特定多数の加入者の端末に通信アクセスを提供するための技術に関する。
無線LANアクセスポイント(以下、単に「アクセスポイント」という)を加入者端末収容装置として用い、不特定多数の加入者(公衆)に通信アクセス(無線LANアクセス)を提供する公衆無線LANアクセスシステムが知られている。
一般に、公衆無線LANアクセスシステムでは、無線LANアクセスを要求する端末が加入者のものでどうかの認証を行うために、アクセスポイントが、端末の識別情報(例えばMACアドレス)を用いて、端末に対する接続許可判定を行う。すでに認証済みの端末に対しては、アクセスポイントは外部網に接続可能なIPアドレスを払い出し、外部網へのアクセスを提供する。
一方、未認証の端末に対しては、アクセスポイントは認証サーバにアクセスするためのダミーのIPアドレスを払い出すことで、当該端末を認証サーバへリダイレクトする。認証サーバは、リダイレクトされた端末にIDおよびパスワードの送信を要求する。認証サーバがIDとパスワードを認証して接続を許可した端末は、認証済みの端末としてアクセスポイントに認識される。アクセスポイントは、当該端末に払い出したダミーのIPアドレスを解放し、新たに外部網に接続可能なIPアドレスを払い出して、当該端末に外部網へのアクセスを提供する(例えば下記の特許文献1)。
また近年では、携帯電話トラフィックの増大に伴い、無線LANアクセスシステムを地理的に広範囲なエリアに展開し、携帯電話トラフィックを無線LANにシームレスにオフロードすることも求められている。例えば公衆無線LAN規格のPasspoint(商標)では、携帯電話が無線LANアクセスの提供エリアに入ると、自動的にEAP−SIMや、EAP−AKAなどを用いたIEEE802.1xの認証が行われ、携帯電話トラフィックを無線LANにオフロードすることができる(例えば特許文献2)。
特開2015−156639号公報 特開2015−53582号公報 特開2015−23303号公報
携帯電話トラフィックを無線LANにオフロードするシステムでは、広範囲の地域に多数のアクセスポイントを設置して、無線LANアクセスの提供エリアを拡げることが重要となる。無線LANアクセスの提供エリアで携帯電話(端末)から無線LANにオフロードされたトラフィックは、最終的に光回線などの広帯域回線を用いて通信されることとなるが、広範囲なエリアに多数設置されたアクセスポイントの全てに広帯域回線を用意するのは不経済である。
一方、近接する複数のアクセスポイントを集線装置(例えばレイヤ2スイッチ(L2スイッチ))で束ね、さらに複数の集線装置を、大容量広帯域回線を持つ1つの広帯域回線終端装置(例えばルータ)に集約すると、広帯域回線の施設費用および広帯域回線終端装置の設置費用を節約できる。なお、集線装置はさらに上位の集線装置に束ねられることもあり、その場合には、最上位の集線装置が広帯域回線終端装置に接続される。
また、特許文献1,2では、アクセスポイントが端末の認証を行っているが、端末の認証を、広帯域回線の先に存在する例えばISP(インターネットサービスプロバイダ)側で行い、アクセスポイント、集線装置および広帯域回線終端装置を端末からのイーサフレームをISP側に伝送する“土管(dumb pipe)”として扱う方式も考えられる。
この方式を用いたシステムでは、端末からアクセスポイントへ送信されたイーサフレームは、例えばVLAN(Virtual LAN)タグが付与されてアクセスポイントのWAN(Wide Area Network)側に送出される。イーサフレームにVLANタグを付与するのは、端末からのトラフィックを収容する主信号用通信路と、その他の管理用通信路(例えばアクセスポイントと広帯域回線終端装置間の管理用のトラフィック用のもの)を分離するためである。
各アクセスポイントから送出されたイーサフレームは、VLANタグが付与されたイーサフレームのまま広帯域回線終端装置に到達する。しかし、広帯域回線終端装置(ルータ)はイーサフレームをそのまま転送することができない。そのため、広帯域回線終端装置は、イーサフレームを、L2TPv3(Layer 2 Tunneling Protocol version 3)やGRE(Generic Routing Encapsulation)のようなトンネリングプロトコルを用いて、Ethernet over L2TPv3/GRE over IPの形で、ISP側へ転送する。ISP側では、イーサフレームの送信元である端末のMACアドレスから、当該端末が認証済みか否かを識別し、未認証の端末は認証サーバにアクセスさせて認証処理が行われる。
ところで、公衆無線LANアクセスシステムでは、不特定多数の端末により、同一のアクセスポイント、同一のイーサネット(「イーサネット」および「Ethernet」は登録商標)、同一のISPが共有されることになる。そして、端末からのトラフィックは、見かけ上同一の仮想イーサネット回線(VLAN、L2TPv3、Ethernet over GREなどで構成された回線)に相乗りすることになる。逆に言えば、公衆無線LANアクセスシステムがアクセスを提供する対象は、不特定多数の端末となる。そのため、公衆無線LANアクセスシステムでは、端末間のセキュリティを確保することが重要である。
上記のような公衆無線LANアクセスシステムでセキュリティを確保するためには、端末同士の通信は遮断し、且つ、端末とISP間の通信は通過させるアクセス制御が必要となる。このアクセス制御を行うためには、(a)同一のアクセスポイントに属する端末間の通信を遮断し、さらに、(b)異なるアクセスポイントに属するが同一の広帯域回線終端装置に属する端末間の通信を遮断する、という端末間通信の遮断動作が必要となる。
遮断動作(a)は、各アクセスポイント内での端末間の「折り返し通信」を遮断することで実現できる。また、一般的なアクセスポイントは、折り返し通信の遮断機能を有している。
同様に、遮断動作(b)は、広帯域回線終端装置に属する端末間の折り返し通信を遮断することで実現できる。しかし、集線装置として一般的な製品を用いたシステムでは、そのような動作を実現できない場合がある。
例えば、集線装置として物理ハブを用いた場合、動作原理的にブロードキャスト動作しかできないため、特定のポートの遮断動作は不可能である。また、集線装置としてL2スイッチを用いる場合でも、一般的なL2スイッチは、折り返し通信の遮断機能を持たないものが多い。一般的なL2スイッチは信頼できる端末のみを収容することを想定しており、不特定多数の端末を収容することを想定していないためである。もちろん、折り返し通信の遮断機能を持つL2スイッチも存在するが、それを採用するとコスト上昇の問題が生じる。なお、広帯域回線終端装置として、ルータ機能とLAN側ブリッジ機能とを一体化したブリッジ+ルータ型の製品もあるが、そのLAN側ブリッジのL2スイッチLSIも、折り返し通信の遮断機能を持たないものが多い。
本発明は以上のような課題を解決するためになされたものであり、折り返し通信の遮断機能を持たない集線装置を使用しながら、同一の広帯域回線終端装置に属する端末間の通信を遮断可能な無線LANアクセスシステムを提供することを目的とする。
本発明に係る無線LANアクセスシステムは、端末に無線LANアクセスを提供する端末収容装置と、1つまたは複数の前記端末収容装置が接続された集線装置と、前記集線装置に接続した広帯域回線終端装置と、を備え、前記端末収容装置は、当該端末収容装置に属する端末間の通信を遮断し、前記端末収容装置は、当該端末収容装置に属する端末間の通信を遮断し、前記広帯域回線終端装置は、前記集線装置に接続された前記端末収容装置と前記広帯域回線終端装置との間の通信路として、ポイント・ツー・ポイントの通信が行われる仮想専用線設定し、異なる前記仮想専用線間の通信を遮断することで、異なる端末収容装置に属する端末間の通信を遮断するものである。
本発明に係る無線LANアクセスシステムでは、広帯域回線終端装置と端末収容装置(アクセスポイント)との間でポイント・ツー・ポイントの通信となる仮想専用線が設定されているため、折り返し通信の遮断動作をサポートしていない集線装置が使用されていても、異なる端末収容装置に属する端末間の通信を遮断することができる。同一の端末収容装置に属する端末間の通信の遮断は端末収容装置側で可能なため、当該システムによれば、同一の広帯域回線終端装置に属する端末間の通信を遮断することができる。
本発明の実施の形態1に係る公衆無線LANアクセスシステムの構成図である。 本発明の実施の形態1に係る公衆無線LANアクセスシステムにおける公衆無線LANアクセス網の構成図である。 本発明の実施の形態2に係る公衆無線LANアクセスシステムにおける公衆無線LANアクセス網の構成図である。 従来の公衆無線LANアクセス網の構成図である。
<実施の形態1>
図1は、実施の形態1に係る公衆無線LANアクセスシステムの構成図である。当該公衆無線LANアクセスシステムの公衆無線LANアクセス網100は、不特定多数の公衆無線LAN端末1a〜1f(以下、単に「端末」という)に無線LANアクセスを提供する公衆無線LANアクセス網100と、公衆無線LANアクセス網100に広帯域回線である通信キャリア網200を介して接続したISP網300とを含んでいる。
公衆無線LANアクセス網100は、端末1a〜1fを収容する端末収容装置である公衆無線LANアクセスポイント10,20,30(以下、単に「アクセスポイント」という)と、アクセスポイント10,20,30を束ねる集線装置40と、通信キャリア網200に接続した広帯域回線終端装置50とを含んでいる。図1には6つの端末と3つのアクセスポイントを示しているが、これらは任意の数でよい。
アクセスポイント10,20,30は、有線LANによって集線装置40に接続されている。具体的には、アクセスポイント10のWAN側ポート11は集線装置40のポート41に接続され、アクセスポイント20のWAN側ポート21は集線装置40のポート42に接続され、アクセスポイント30のWAN側ポート31は集線装置40のポート43に接続されている。
集線装置40は、有線LANによって広帯域回線終端装置50に接続されている。具体的には、集線装置40のポート44が広帯域回線終端装置50のLAN側ポート51に接続されている。また、広帯域回線終端装置50のWAN側ポート52は、通信キャリア網200に接続されており、広帯域回線終端装置50は、通信キャリア網200を介して、ISP網300内の広帯域回線終端装置301に接続されている。
ISP網300は、上記の広帯域回線終端装置301と、広帯域回線終端装置301にルータ302を通して接続した認証サーバ303およびインターネット網304を含んでいる。
通信キャリア網200は、通常、IP(インターネットプロトコル)パケットしか通さないので、Ethernet over IPとなる仮想専用線210を介して、公衆無線LANアクセス網100とISP網300間で双方向にイーサフレームを通す構成としている。仮想専用線210としては、L2TPv3回線やEthernet over GRE回線を使用することができる。
アクセスポイント10,20,30に接続した端末1a〜1fとISP網300内のルータ302との間は、イーサフレームによりLayer2で通信可能である。また、ルータ302は、DHCPサーバを内蔵しており、端末1a〜1fのそれぞれにIPアドレスを払い出すことができる。IPアドレスを取得した端末1a〜1fは、IPパケットによりLayer3で通信可能となり、ルータ302を超えてインターネット網304にアクセスできる。
また、ルータ302は、端末1a〜1fの各々を一意に識別できる識別子(例えば、MACアドレスなど)を認識でき、その識別子に基づいて、端末1a〜1fからのIPパケットの振り分けを行っている。すなわち、ルータ302は、未認証の端末からのIPパケットは認証サーバ303側へ振り分け、認証サーバ303に当該端末の認証処理を行わせる。また、認証済みの端末からのIPパケットは、インターネット網304側へ振り分け、当該端末にインターネット接続サービスを提供する。このルータ302の処理によって、ISP網300は、認証済みの端末1a〜1fに対してのみ、インターネット接続サービスを提供することになる。
図2は、公衆無線LANアクセス網100のより詳細な構成図である。図2に示すように、アクセスポイント10は、SSID(Service Set Identifier)を持つイーサネットインターフェイス12と、WAN側ポート11上に設定されたVLANインターフェイス14と、その間を接続するブリッジ13とから構成される。同様に、アクセスポイント20は、イーサネットインターフェイス22と、WAN側ポート21上に設定されたVLANインターフェイス24と、その間を接続するブリッジ23とから構成される。アクセスポイント30は、イーサネットインターフェイス32と、WAN側ポート31上に設定されたVLANインターフェイス34と、その間を接続するブリッジ33とから構成される。
集線装置40は、各イーサネットポートと、L2スイッチ45とから構成される。L2スイッチ45は、特定のポートを遮断する機能を持つ必要はない。ここでは、集線装置40を、L2スイッチを用いて構成した例を示しているが、本発明では集線装置40が特定のポートを遮断する機能を持つ必要がないため、ブロードキャスト通信を行うブリッジやハブを用いて構成してもよい。
広帯域回線終端装置50は、HGW(ホームゲートウェイ)、ONU(光回線終端装置)、ADSL(非対称デジタル加入者線)ルータなどとして用いられる。広帯域回線終端装置50は、LAN側ポート51上に設定されたVLANインターフェイス53a,53b,53cと、Ethernet over IPの仮想専用線210上に設定されたVLANインターフェイス55と、VLANインターフェイス53a,53b,53cの各々とブリッジ54とを接続するブリッジ54とから構成される。
ブリッジ54は、アクセスポイント10,20,30のVLANインターフェイス14,24,34からのパケットを、WAN側にて1つのVLANインターフェイス55に集約する。またブリッジ54は、VLANインターフェイス53a,53b,53cの全てにイーサフレームをブロードキャスト送信するのではなく、各端末のMACアドレスを学習して、特定の端末が属するVLANインターフェイスにのみイーサフレームを送信する機能(MAC学習機能)を有している。また、広帯域回線終端装置50は、通常のルータとは異なり、アクセスポイント10,20,30からのパケットを、VLANインターフェイス55から仮想専用線210を通してISP網300側にイーサフレームのまま送信することができる。それにより、端末とISP網300との間の通信への関与が最小限となる。
ここで、集線装置40を通して行われる、アクセスポイント10,20,30と広帯域回線終端装置50との間の通信には、それぞれ異なる識別子を有する仮想専用線61,62,63(VLAN回線)が用いられる。仮想専用線61,62,63としては、VLAN回線、L2TPv3回線またはEthernet over GRE回線など、イーサフレームを透過的に転送するイーサVPN(Virtual Private Network)回線を用いることができる。例えば、仮想専用線がVLAN回線であればその識別子はVLAN−IDとなり、仮想専用線がVLAN回線であればその識別子はGRE−IDとなる。
仮想専用線61,62,63がそれぞれ異なる識別子を有するため、仮想専用線61,62,63のそれぞれでは、アクセスポイント10,20,30のいずれかと広帯域回線終端装置50とのポイント・ツー・ポイントの通信(1対1の通信)が行われる。つまり、アクセスポイント10のVLANインターフェイス14と広帯域回線終端装置50のVLANインターフェイス53aとの間に構成される仮想専用線61は、アクセスポイント10と広帯域回線終端装置50との通信にのみ用いられる。アクセスポイント20のVLANインターフェイス24と広帯域回線終端装置50のVLANインターフェイス53bとの間に構成される仮想専用線62は、アクセスポイント20と広帯域回線終端装置50との通信にのみ用いられる。アクセスポイント30のVLANインターフェイス34と広帯域回線終端装置50のVLANインターフェイス53cとの間に構成される仮想専用線63は、アクセスポイント30と広帯域回線終端装置50との通信にのみ用いられる。
これにより、集線装置40がブロードキャスト通信を行う構成(広帯域回線終端装置50側で信号の物理的な送り先とする端末収容装置を指定できない構成)であったり、集線装置40がアクセスポイント10,20,30間の折り返し通信を遮断しない構成であったりしても、アクセスポイント10,20,30と広帯域回線終端装置50との間で、ポイント・ツー・ポイントの通信が可能になる。つまり、アクセスポイント10,20,30と広帯域回線終端装置50との間の事実上の通信経路は、アクセスポイント10と広帯域回線終端装置50との間と、アクセスポイント20と広帯域回線終端装置50との間と、アクセスポイント30と広帯域回線終端装置50との間とに制限される。よって、例えばアクセスポイント10と広帯域回線終端装置50間で送受信されたVLANタグ付きイーサフレームは、他のアクセスポイント20,30に受信されることはない。
また、広帯域回線終端装置50において、ブリッジ54は、LAN側のVLANインターフェイス53a,53b,53cとWAN側のVLANインターフェイス55との間の通信のみを疎通し、LAN側のVLANインターフェイス53a,53b,53cの間の通信は遮断する。つまり、ブリッジ54は、VLANインターフェイス53aとVLANインターフェイス55との間の通信と、VLANインターフェイス53bとVLANインターフェイス55との間の通信と、VLANインターフェイス53cとVLANインターフェイス55との間の通信とは、疎通させる。しかし、VLANインターフェイス53aとVLANインターフェイス53bとの間、VLANインターフェイス53aとVLANインターフェイス53cとの間、および、VLANインターフェイス53bとVLANインターフェイス53cとの間では通信が行われないようにする。
以上説明したように、実施の形態1に係る公衆無線LANアクセスシステムにおいては、広帯域回線終端装置50と複数のアクセスポイント10,20,30との間に、それぞれに異なる識別子を有する仮想専用線61,62,63が設定されている。また、広帯域回線終端装置50においては、仮想専用線61,62,63をそれぞれ構成する複数のVLANインターフェイス53a,53b,53cが設けられており、ブリッジ54が、VLANインターフェイス53a,53b,53cの間の通信を遮断している。よって、「異なるアクセスポイントに属するが同一の広帯域回線終端装置に属する端末間の通信を遮断する」という動作(上記の遮断動作(b))を実現できる。また、「同一のアクセスポイントに属する端末間の通信を遮断する」という動作(上記の遮断動作(a))は、アクセスポイント10〜30が有する返し通信遮断機能によって実現される。従って、端末1a〜1f間の通信を遮断して高いセキュリティを確保しつつ、端末1a〜1fのそれぞれに対し、ISP網300を通してのインターネット網304へのアクセスを提供することができる。また、集線装置40が折り返し通信の遮断機能を持つ必要がないため、集線装置40を一般的なL2スイッチまたはハブで構成することができ、コスト削減を図ることができる。
ここで、比較例として、従来の無線LANアクセス網101の構成を図4に示す。従来の無線LANアクセス網101の基本的な構成は図2と同じであるが、従来の無線LANアクセス網101においては、広帯域回線終端装置50が、LAN側ポート51上に1つのVLANインターフェイス53のみを有している。この場合、広帯域回線終端装置50のVLANインターフェイス53とアクセスポイント10のVLANインターフェイス14との間と、広帯域回線終端装置50のVLANインターフェイス53とアクセスポイント20のVLANインターフェイス24との間と、広帯域回線終端装置50のVLANインターフェイス53とアクセスポイント30のVLANインターフェイス34との間に、全て同じ識別子を有する仮想専用線60が構成される。
そのため、従来の無線LANアクセス網101では、集線装置40のL2スイッチ45がイーサフレームのブロードキャストあるいは折り返し通信をすると、例えばアクセスポイント10と広帯域回線終端装置50間で送受信されたVLANタグ付きイーサフレームが、他のアクセスポイント20,30にも受信され、アクセスポイント20,30から不特定の端末に送信されることになる。このため、端末1a〜1f間の通信を遮断できず、高いセキュリティを確保することができない。本発明では、このような問題が生じることを防止しているのである。
なお、図1では集線装置40および広帯域回線終端装置50を、互いに独立した装置として示したが、集線装置40と広帯域回線終端装置50とは一体的に構成されていてもよい。集線装置と広帯域回線終端装置とを一体的に構成して1つの筐体に収めた装置の具体例としては、小型ルータやゲートウェイ(GW)などがある。
また、ブリッジ54は、ソフトウェアブリッジ(S/W Bridge)として構成してもよい。例えば、ブリッジ54としてのソフトウェアブリッジをLinux OS(「Linux」は登録商標)上で実現する場合、「vconfig」コマンドによりVLANインターフェイス53a,53b,53c,54を構成し、「brctl」コマンドによりVLANインターフェイス53a,53b,53c,54を収容するブリッジを構成し、「ebtables」コマンドにより各ブリッジポート間のアクセスを遮断すればよい。
ブリッジ54を、ソフトウェアブリッジとして構成した場合、以下のような利便性が得られる。例えば、集線装置40と広帯域回線終端装置50とを一体化した小型ルータを、信頼できる端末のみがアクセスする一般的なアクセスポイントに接続させる場合、小型ルータの配下で折り返し通信が発生してもセキュリティ的な問題が発生しない。よって、小型ルータをそのような用途に用いる場合、図4に示した従来の無線LANアクセス網101となる安価な小型ルータ(集線装置40および広帯域回線終端装置50)を用いることができる。
しかし、その後、上記の小型ルータを、不特定多数の端末がアクセスする公衆無線LAN用のアクセスポイントに接続させることになると、端末同士の通信が遮断されなければセキュリティ的に問題がある。そこで、当該小型ルータが有する広帯域回線終端装置50のブリッジ54(ソフトウェアブリッジ)のソフトウェアを更新することによって、図2の公衆無線LANアクセス網100を実現できるようにする。それにより、小型ルータの配下での折り返し通信が遮断され、高いセキュリティを確保できる。このように、折り返し通信の遮断機能を持たない従来の小型ルータ(図4の集線装置40および広帯域回線終端装置50)から、その機能を持つ本発明の小型ルータ(図2の集線装置40および広帯域回線終端装置50)へのバージョンアップを、ハードウェアの交換なしに行うことができ、コストの増大を抑えることができる。
<実施の形態2>
実施の形態1では、アクセスポイント10,20,30のそれぞれと広帯域回線終端装置50との間の仮想専用線61,62,63が、あらかじめ設定されているものとして説明した。実施の形態2では、公衆無線LANアクセス網100にアクセスポイントが新たに導入されると、広帯域回線終端装置50が仮想専用線(ここではVLAN回線とする)を自動的に設定するように構成する。
図3は、実施の形態2に係る公衆無線LANアクセス網100の構成図である。図3の公衆無線LANアクセス網100では、広帯域回線終端装置50が、VLANなしのLAN側ポート51上で動作するDHCPサーバ56を有している。また、アクセスポイント10,20,30は、それぞれVLANなしのWAN側ポート11,21,31上で動作するDHCPクライアント15,25,35を有している。
ここで、公衆無線LANアクセス網100にはアクセスポイント30が既に導入されており、アクセスポイント10,20を新たに導入するものと仮定して、実施の形態2の公衆無線LANアクセス網100の動作を説明する。
アクセスポイント10のWAN側ポート11が集線装置40に接続されると、当該ポート11が通信可能な状態になる(リンクアップ)。アクセスポイント10は、ポート11のリンクアップを検出すると、DHCPクライアント15を用いて、ポート11のIPアドレスを取得するためのDHCP要求メッセージ(DHCP_Req)を、広帯域回線終端装置50のDHCPサーバ56へと送信する。このとき、DHCPクライアント15は、仮想専用線の識別子(VLAN−ID、以下「VID」と表す)の取得を要求するDHCPオプション(オプションIDは任意)(以下「VLAN取得要求オプション」という)を、DHCP要求メッセージに含ませる。
広帯域回線終端装置50のDHCPサーバ56は、DHCPクライアント15から受信したDHCP要求メッセージを精査し、VLAN取得要求オプションを検出する。また、DHCPサーバ56は、DHCPクライアントを一意に識別できる識別子(DHCPv4の場合はMACアドレス、DHCPv6の場合DU−IDなど)により、既に接続済みのアクセスポイント30を認識しており、接続済みのアクセスポイント30のポート31の識別子VID(VID=c)と重複しない識別子VID(VID=a)を、アクセスポイント10のポート11に割り当てる。そして、識別子VID(VID=a)の情報が付与されたVLAN取得要求オプションと、アクセスポイント10のポート11に払い出すIPアドレスとを含むDHCP応答メッセージ(DHCP_Req)を、アクセスポイント10のDHCPクライアント15へ送信する。
広帯域回線終端装置50のDHCPサーバ56は、アクセスポイント10のポート11に識別子VID(VID=a)を払い出すと、自動的に、広帯域回線終端装置50のLAN側ポート51上に、同じ識別子VID(VID=a)を持つVLANインターフェイス53aを構成する。一方、アクセスポイント10のDHCPクライアント15は、DHCP応答メッセージを受信すると、DHCP応答メッセージで割り当てられたIPアドレスをポート11に設定する。また、当該DHCP応答メッセージのVLAN取得要求オプションから識別子VID(VID=a)を取得する。そして、取得した識別子VID(VID=a)をVLANインターフェイス14に設定する。その結果、広帯域回線終端装置50とアクセスポイント10間に、仮想専用線61が構成される。そして、ブリッジ13を用いて、VLANインターフェイス14をイーサネットインターフェイス12に接続させる。
また、アクセスポイント20のWAN側ポート21が集線装置40に接続されると、当該ポート21がリンクアップされる。すると、アクセスポイント20は、DHCPクライアント25を用いて、ポート21のIPアドレスを取得するためのDHCP要求メッセージ(DHCP_Req)を、広帯域回線終端装置50のDHCPサーバ56へと送信する。このとき、DHCPクライアント25は、仮想専用線の識別子VIDの取得を要求するVLAN取得要求オプションを、DHCP要求メッセージに含ませる。
広帯域回線終端装置50のDHCPサーバ56は、DHCPクライアント25から受信したDHCP要求メッセージを精査し、VLAN取得要求オプションを検出する。そして、DHCPサーバ56は、接続済みのアクセスポイント10,30のポート11,31の識別子VID(VID=a、VID=c)と重複しない識別子VID(VID=b)を、アクセスポイント20のポート21に割り当てる。そして、識別子VID(VID=b)の情報が付与されたVLAN取得要求オプションと、アクセスポイント20のポート21に払い出すIPアドレスとを含むDHCP応答メッセージ(DHCP_Req)を、アクセスポイント20のDHCPクライアント25へ送信する。
広帯域回線終端装置50のDHCPサーバ56は、アクセスポイント20のポート21に識別子VID(VID=b)を払い出すと、自動的に、広帯域回線終端装置50のLAN側ポート51上に、同じ識別子VID(VID=b)を持つVLANインターフェイス53bを構成する。一方、アクセスポイント20のDHCPクライアント25は、DHCP応答メッセージを受信すると、割り当てられたIPアドレスをポート21に設定するとともに、割り当てられた識別子VID(VID=b)をVLANインターフェイス24に設定する。その結果、広帯域回線終端装置50とアクセスポイント20間に、仮想専用線61が自動的に構成される。そして、アクセスポイント20は、ブリッジ23を用いて、VLANインターフェイス24をイーサネットインターフェイス22に接続させる。
このように、実施の形態2の公衆無線LANアクセス網100においては、新たに導入したアクセスポイント10,20のそれぞれと広帯域回線終端装置50との間に、固有の識別子VIDを持つ仮想専用線61,62が自動的に構成される。なお、アクセスポイント10,20,30に割り当てられたIPアドレスを意図的に(DHCP解放メッセージなどを用いて)解放した場合や、DHCPリース時間が満了してIPアドレスが解放された場合には、仮想専用線61,62,63は自動的に解放される。
本実施の形態によれば、新たなアクセスポイントを集線装置40に追加接続するだけで、当該アクセスポイントと広帯域回線終端装置50との間に、固有の(他の仮想専用線の識別子とは重複しない)識別子VIDを持つ新たな仮想専用線を自動的に構成することができるので、各仮想専用線の識別子VIDの管理および設定の手間を省くことができる。
なお、本発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。
100 公衆無線LANアクセス網、1a〜1f 端末、10,20,30 アクセスポイント、12,22,32 イーサネットインターフェイス、13,23,33 ブリッジ、14,24,34 VLANインターフェイス、15,25,35 DHCPクライアント、40 集線装置、45 L2スイッチ、50 広帯域回線終端装置、53a,53b,53c,55 VLANインターフェイス、54 ブリッジ、56 DHCPサーバ、61〜63,210 仮想専用線、200 通信キャリア網、300 ISP網、301 広帯域回線終端装置、302 ルータ、303 認証サーバ、304 インターネット網、101 従来の無線LANアクセス網。

Claims (21)

  1. 端末に無線LANアクセスを提供する端末収容装置と、
    1つまたは複数の前記端末収容装置が接続された集線装置と、
    前記集線装置に接続した広帯域回線終端装置と、
    を備え、
    前記端末収容装置は、当該端末収容装置に属する端末間の通信を遮断し、
    前記広帯域回線終端装置は、前記集線装置に接続された前記端末収容装置と前記広帯域回線終端装置との間の通信路として、ポイント・ツー・ポイントの通信が行われる仮想専用線設定し、異なる前記仮想専用線間の通信を遮断することで、異なる端末収容装置に属する端末間の通信を遮断する
    ことを特徴とする無線LANアクセスシステム。
  2. 前記集線装置は、ブロードキャスト通信、あるいは、折り返し通信を行うものである
    請求項1に記載の無線LANアクセスシステム。
  3. 前記集線装置は、ブロードキャスト通信を行うレイヤ2スイッチ、ブリッジまたはハブである
    請求項2に記載の無線LANアクセスシステム。
  4. 前記広帯域回線終端装置が、HGW(ホームゲートウェイ)、ONU(光回線終端装置)またはADSLルータとして用いられている
    請求項1から請求項3のいずれか一項に記載の無線LANアクセスシステム。
  5. 前記仮想専用線は、イーサフレームを透過的に転送するイーサVPN回線である
    請求項1から請求項4のいずれか一項に記載の無線LANアクセスシステム。
  6. 前記仮想専用線は、VLAN回線、L2TPv3回線またはEthernet over GRE回線である
    請求項5に記載の無線LANアクセスシステム。
  7. 前記広帯域回線終端装置は、前記集線装置に新たな端末収容装置が接続されると、前記新たな端末収容装置に仮想専用線の識別子を自動的に付与することで、前記新たな端末収容装置との間の仮想専用線を自動的に設定する
    請求項1から請求項6のいずれか一項に記載の無線LANアクセスシステム。
  8. 前記広帯域回線終端装置は、前記新たな端末収容装置に付与する仮想専用線の識別子を、既に接続済みの端末収容装置に付与した仮想専用線の識別子とは異なるものにする
    請求項7に記載の無線LANアクセスシステム。
  9. 前記広帯域回線終端装置は、前記新たな端末収容装置に情報を送信するDHCPサーバを備え、前記仮想専用線の識別子を、DHCPオプションを用いて前記新たな端末収容装置へ付与する
    請求項7または請求項8に記載の無線LANアクセスシステム。
  10. 端末に無線LANアクセスを提供する複数の端末収容装置を接続可能な集線装置と、
    前記集線装置に接続した広帯域回線終端装置と、
    を備え、
    前記端末収容装置は、当該端末収容装置に属する端末間の通信を遮断し、
    前記広帯域回線終端装置は、前記集線装置に接続された前記端末収容装置との間の通信路として、ポイント・ツー・ポイントの通信が行われる仮想専用線を設定し、異なる前記仮想専用線間の通信を遮断することで、異なる端末収容装置に属する端末間の通信を遮断する
    ことを特徴とするルータ装置。
  11. 前記集線装置は、ブロードキャスト通信、あるいは、折り返し通信を行うものである
    請求項10に記載のルータ装置。
  12. 前記集線装置は、ブロードキャスト通信を行うレイヤ2スイッチ、ブリッジまたはハブである
    請求項11に記載のルータ装置。
  13. 前記広帯域回線終端装置が、HGW(ホームゲートウェイ)、ONU(光回線終端装置)またはADSLルータとして用いられている
    請求項10から請求項12のいずれか一項に記載のルータ装置。
  14. 前記仮想専用線は、イーサフレームを透過的に転送するイーサVPN回線である
    請求項10から請求項13のいずれか一項に記載のルータ装置。
  15. 前記仮想専用線は、VLAN回線、L2TPv3回線またはEthernet over GRE回線である
    請求項14に記載のルータ装置。
  16. 前記広帯域回線終端装置は、前記集線装置に新たな端末収容装置が接続されると、前記新たな端末収容装置に仮想専用線の識別子を自動的に付与することで、前記新たな端末収容装置との間の仮想専用線を自動的に設定する
    請求項10から請求項15のいずれか一項に記載のルータ装置。
  17. 前記広帯域回線終端装置は、前記新たな端末収容装置に付与する仮想専用線の識別子を、既に接続済みの端末収容装置に付与した仮想専用線の識別子とは異なるものにする
    請求項16に記載のルータ装置。
  18. 前記広帯域回線終端装置は、前記新たな端末収容装置に情報を送信するDHCPサーバを備え、前記仮想専用線の識別子を、DHCPオプションを用いて前記新たな端末収容装置へ付与する
    請求項16または請求項17に記載のルータ装置。
  19. 端末に無線LANアクセスを提供する端末収容装置と、
    1つまたは複数の前記端末収容装置が接続された集線装置と、
    前記集線装置に接続した広帯域回線終端装置と、
    を含む無線LANアクセスシステムにおけるアクセス制御方法であって、
    前記広帯域回線終端装置が、前記集線装置に接続された前記端末収容装置との間の通信路として、ポイント・ツー・ポイントの通信が行われる仮想専用線を設定し、
    前記端末収容装置が、当該端末収容装置に属する端末間の通信を遮断し、
    前記広帯域回線終端装置が、異なる前記仮想専用線間の通信を遮断することで、異なる端末収容装置に属する端末間の通信を遮断する
    ことを特徴とするアクセス制御方法。
  20. 前記広帯域回線終端装置は、前記集線装置に新たな端末収容装置が接続されると、前記新たな端末収容装置に仮想専用線の識別子を自動的に付与することで、前記新たな端末収容装置との間の仮想専用線を自動的に設定する
    請求項19に記載のアクセス制御方法。
  21. 前記広帯域回線終端装置は、前記新たな端末収容装置に付与する仮想専用線の識別子を、既に接続済みの端末収容装置に付与した仮想専用線の識別子とは異なるものにする
    請求項20に記載のアクセス制御方法。
JP2016028856A 2016-02-18 2016-02-18 無線lanアクセスシステム、ルータ装置およびアクセス制御方法 Active JP6664232B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016028856A JP6664232B2 (ja) 2016-02-18 2016-02-18 無線lanアクセスシステム、ルータ装置およびアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016028856A JP6664232B2 (ja) 2016-02-18 2016-02-18 無線lanアクセスシステム、ルータ装置およびアクセス制御方法

Publications (2)

Publication Number Publication Date
JP2017147640A JP2017147640A (ja) 2017-08-24
JP6664232B2 true JP6664232B2 (ja) 2020-03-13

Family

ID=59683324

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016028856A Active JP6664232B2 (ja) 2016-02-18 2016-02-18 無線lanアクセスシステム、ルータ装置およびアクセス制御方法

Country Status (1)

Country Link
JP (1) JP6664232B2 (ja)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060062187A1 (en) * 2002-10-04 2006-03-23 Johan Rune Isolation of hosts connected to an access network
JP3994412B2 (ja) * 2003-04-09 2007-10-17 日本電信電話株式会社 ネットワークシステム、網内識別子の設定方法、ネットワーク接続点、網内識別子の設定プログラム、及び記録媒体
JP4454539B2 (ja) * 2005-05-31 2010-04-21 Necインフロンティア株式会社 Ip電話機自動設定システム及び方法
JP5293658B2 (ja) * 2010-03-17 2013-09-18 富士通株式会社 通信システム、基地局、通信装置、スイッチおよび通信方法
JP2013135380A (ja) * 2011-12-27 2013-07-08 Toshiba Corp 電話システムとそのアドレス割り当てサーバ、電話端末、および設定方法
JP6330445B2 (ja) * 2014-04-17 2018-05-30 株式会社バッファロー 通信システム

Also Published As

Publication number Publication date
JP2017147640A (ja) 2017-08-24

Similar Documents

Publication Publication Date Title
US7461157B2 (en) Distributed server functionality for emulated LAN
US9015855B2 (en) Secure tunneling platform system and method
JP5281644B2 (ja) ノマディック型端末に、レイヤ2レベル上でホーム・ネットワークにアクセスすることを可能にする方法および装置
EP3459318B1 (en) Using wlan connectivity of a wireless device
US20050223111A1 (en) Secure, standards-based communications across a wide-area network
US20100293250A1 (en) Method to allow seamless connectivity for wireless devices in dhcp snooping/dynamic arp inspection/ip source guard enabled unified network
JP5558485B2 (ja) マルチドメインプロバイダEthernetネットワークの動作方法
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
JP5679343B2 (ja) クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム
US12107827B2 (en) Unified network service that connects multiple disparate private networks and end user client devices operating on separate networks
US20120257565A1 (en) Mobile network traffic management
JPWO2006120751A1 (ja) 発着呼を可能とするピア・ツー・ピア通信方法及びシステム
WO2012130041A1 (zh) 网络资源共享的实现方法和系统
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP6664232B2 (ja) 無線lanアクセスシステム、ルータ装置およびアクセス制御方法
JP3887325B2 (ja) データ通信網システムおよびデータ通信網接続制御方法
JP5982706B2 (ja) セキュアトンネリング・プラットフォームシステムならびに方法
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
JP5453941B2 (ja) 通信制御装置
JP2008263437A (ja) ネットワークシステム及び集約装置
JP5425821B2 (ja) 無線中継装置および無線中継方法
WO2003003660A1 (en) System and method for establishment of virtual private networks using transparent emulation clients
WO2009058058A1 (en) A method and a device for improved connectivity in a vpn

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200218

R150 Certificate of patent or registration of utility model

Ref document number: 6664232

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250