JP6973326B2 - 通信システム及び通信方法 - Google Patents

通信システム及び通信方法 Download PDF

Info

Publication number
JP6973326B2
JP6973326B2 JP2018152994A JP2018152994A JP6973326B2 JP 6973326 B2 JP6973326 B2 JP 6973326B2 JP 2018152994 A JP2018152994 A JP 2018152994A JP 2018152994 A JP2018152994 A JP 2018152994A JP 6973326 B2 JP6973326 B2 JP 6973326B2
Authority
JP
Japan
Prior art keywords
terminal
vcpe
connection
subscriber
vcpe310b
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018152994A
Other languages
English (en)
Other versions
JP2020028069A (ja
Inventor
伸也 河野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018152994A priority Critical patent/JP6973326B2/ja
Priority to PCT/JP2019/031400 priority patent/WO2020036117A1/ja
Priority to US17/268,427 priority patent/US11374793B2/en
Publication of JP2020028069A publication Critical patent/JP2020028069A/ja
Application granted granted Critical
Publication of JP6973326B2 publication Critical patent/JP6973326B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • H04L12/4679Arrangements for the registration or de-registration of VLAN attribute values, e.g. VLAN identifiers, port VLAN membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2898Subscriber equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、通信システム及び通信方法に関する。
宅内の端末がインターネット接続を行うためには、端末が通信事業者の回線へ接続してから、インターネットへ接続することが一般的である。通信事業者の回線接続においては、より柔軟な接続サービスが求められている。
通常、加入者の端末が通信事業者の回線に接続する際には、通信事業者の回線認証が行われ、認証に成功した場合に、接続がなされる。当該回線認証時に、加入者毎のサービス条件が確認され、当該サービス条件が適用される。
ここで、通信事業者による柔軟かつタイムリーなサービス提供を実現するために、HGW(Home Gate Way)等の機能をネットワーク上に一部配備するvCPE(virtual Customer Premise Equipment)技術が提案され、実用化されている(例えば、非特許文献1,2参照)。このうち、vCPE技術は、柔軟にサービスを追加・削除可能な方法として適用されている。
さらに、vCPEを活用して、宅外から宅内ネットワークへの接続を実現し、宅外から、容易に宅内ネットワークを使用可能とする方法が提案されている(非特許文献3,4参照)。この方法は、宅外のvCPEが、宅内のvCPEと接続し、vCPE上のNAT(Network Address Translation)機能による転送を行い、vCPE同士を連携している。この方法によれば、加入者は、複雑な設定なしに、宅外でも宅内と同様のサービスを使用可能とする。
NEC,vCPE virtualized Customer Premises Equipment,[online],[平成30年7月30日検索],インターネット<URL:http://jpn.nec.com/tcs/vCPE/index.html> JUNIPER,Virtualized CPE -Juniper Networks,[online],[平成30年7月30日検索],インターネット<URL:https://www.juniper.net/jp/jp/solutions/nfv/vCPE/> 河野,宮本,木村,本間,土屋,岡田,佐藤,"vCPEを活用したロケーションフリーな回線接続サービス提供方式の提案",信学技報,vol. 118,no.6,pp. 19-24,Apr. 2018. ALAXALA, ダイナミックVLANモード,[online],[平成30年7月30日検索]、インターネット<URL:https://www.alaxala.com/jp/techinfo/archive/manual/AX2400S/HTML/11_7/CFGUIDE2/0199.HTM#ID00707>
非特許文献3の技術では、宅外のvCPE(他者vCPE)が、他者vCPEに接続した加入者端末が所属するvCPE(加入者vCPE)を判別している。このため、非特許文献3の技術では、他者vCPEまでは、加入者端末と、他者vCPEに元々接続する他者端末とで共通のネットワークセグメントとなっていた。
ここで、ネットワーク提供者それぞれが、加入者端末と他者端末との間の接続性を適切にコントロールしたいという要求がある。具体的には、接続する加入者端末の使用者からは、接続先の他者の宅内ネットワークに、悪意のあるソフトウェアがインストールされた端末等が接続されている可能性があるため、他者端末とネットワークセグメントを分離したいという要望がある。また、接続される側の他者端末の使用者からは、加入者端末に、脆弱性を持つ可能性や、悪意のあるソフトウェアがインストールされている可能性があるため、加入者端末とネットワークセグメントを分離したいという要望がある。
しかしながら、他者vCPEまでは、加入者端末と、他者vCPEに元々接続する他者端末とで共通のネットワークセグメントであるため、端末間でネットワークセグメントの分離が困難であった。
本発明は、上記に鑑みてなされたものであって、加入者端末が他者vCPEに接続する場合に、加入者端末と、他者vCPEに接続する他者端末との間の接続関係を柔軟に変更することができる通信システム及び通信方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る通信システムは、第1の端末が所属する第1のvCPE(virtual Customer Premise Equipment)、第2の端末が接続する第2のvCPE、及び、認証サーバを有する通信システムであって、第1の端末が第2のvCPEに接続する場合に、第2のvCPE及び第1の端末における接続許容条件を基に、第2の端末及び第2のvCPEの間の接続と、第1の端末及び第2のvCPEの間の接続とを、同一のネットワークセグメントで実行するか否かを判定する判定部を有し、第2のvCPEは、認証サーバにおいて第1の端末が登録されている場合には、認証サーバにより通知された第1のvCPEのアドレスを基に、第1のvCPEとトンネル接続を行う接続部と、第2の端末及び第2のvCPEの間の接続と、第1の端末及び第2のvCPEの間の接続とを異なるネットワークセグメントで実行すると判定された場合には、第1の端末に対して第2の端末に割り当てたネットワークセグメントと異なるネットワークセグメントを割り当て、第2の端末及び第2のvCPEの間の接続と、第1の端末及び第2のvCPEの間の接続とを同一のネットワークセグメントで実行すると判定された場合には、第1の端末に対して第2の端末に割り当てたネットワークセグメントを割り当てる割り当て部と、を有することを特徴とする。
本発明によれば、加入者端末が他者vCPEに接続する場合に、加入者端末と、他者vCPEに接続する他者端末との間の接続関係を柔軟に変更することができる。
図1は、実施の形態に係る通信システムの構成の一例を示す図である。 図2は、図1に示す通信システムにおける通信処理の流れを説明する図である。 図3は、ネットワークセグメントの割り当てを説明する図である。 図4は、ネットワークセグメントの割り当てを説明する図である。 図5は、ネットワークセグメントの割り当ての他の例を説明する図である。 図6は、図1に示す他者VCPEの構成の一例を示す図である。 図7は、VLAN払出し情報テーブルのデータ構成の一例を示す図である。 図8は、図1に示す認証サーバの構成の一例を示す図である。 図9は、端末情報テーブルのデータ構成の一例を示す図である。 図10は、vCPE管理テーブルのデータ構成の一例を示す図である。 図11は、連携実施有無テーブルのデータ構成を示す図である。 図12は、図1に示す他者CPEの構成の一例を示す図である。 図13は、図1に示す他者CPEの概要を示す図である。 図14は、VLAN管理テーブルのデータ構成の一例を示す図である。 図15は、実施の形態に係る通信処理の処理手順を示すシーケンス図である。 図16は、実施の形態1の変形例1における他者vCPEの構成の一例を示す図である。 図17は、実施の形態1の変形例1における認証サーバの構成の一例を示す図である。 図18は、実施の形態の変形例1に係る通信処理の処理手順を示すシーケンス図である。 図19は、実施の形態1の変形例2における他者CPEの構成の一例を示す図である。 図20は、実施の形態の変形例2に係る通信処理の処理手順を示すシーケンス図である。 図21は、プログラムが実行されることにより、vCPE、vCPE、認証サーバが実現されるコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
本発明の実施の形態について説明する。図1は、実施の形態に係る通信システムの構成の一例を示す図である。
図1に示すように、実施の形態に係る通信システム1は、加入者Aの宅内ネットワークの端末100A、または、加入者Bの宅内ネットワークの端末100Bが、回線事業者網を介して、インターネット通信網に接続する構成を有する。
加入者Aの宅内ネットワークは、端末100Aと、CPE110Aとを有する。加入者Aの宅内ネットワークは、ルータ200Aを介して回線事業者網に接続する。また、加入者Bの宅内ネットワークは、端末100Bと、CPE110Bとを有する。加入者Aの宅内ネットワークは、ルータ200Bを介して回線事業者網に接続する。
回線事業者網には、認証サーバ400と、端末100Aが所属するvCPE310Aと、端末100Bが所属する310Bが設けられる。vCPE310A,310Bは、実際には、サーバ装置(不図示)内で動作する。以下、端末100A及び端末100Bを総称する際には端末100とする。vCPE310A及びvCPE310Bを総称する際にはvCPE310とする。CPE110A及びCPE110Bを総称する際にはCPE110とする。
認証サーバ400は、端末100の登録を行い、端末100と当該端末100が所属するvCPEとの組を記憶する。また、認証サーバ400は、各vCPE310の接続許容条件及び各端末100における接続許容条件を記憶する。認証サーバ400は、端末100によるvCPE310を介した問い合わせを受けた場合、この端末100が未登録の場合には登録を行う。また、認証サーバは、端末100によるvCPE310を介した問い合わせを受けた場合、この端末100の登録情報を確認するための認証手続きを行う。
vCPE310は、端末100接続時のアドレスの払い出し、及び、CPE110からのトンネルを終端する等の機能を有する。また、CPE110は、vCPE310へのトンネル接続機能を有する。
本実施の形態では、加入者Aの端末100Aが、他者である加入者Bの宅内ネットワークに接続する場合について説明する。この場合、加入者Bの端末100Bが所属するvCPE310Bと、加入者Aの端末100Aが所属するvCPE310Aとの間のトンネルT1を介して、端末100Aは、vCPE310Aと接続する。
そこで、以降においては、加入者Aの端末100Aを加入者端末100A(第1の端末)とし、加入者Aの拠点のCPE110Aを加入者CPE110Aとし、加入者Aの拠点のvCPE310Aを加入者vCPE310A(第1のvCPE)として説明する。そして、加入者Bの端末100Bを他者端末100B(第2の端末)とし、加入者Bの拠点のCPE110Bを他者CPE110Bとし、加入者Bの拠点のvCPE310Bを他者vCPE(第2のvCPE)として説明する。
本実施の形態では、認証サーバ400は、加入者端末100Aが他者vCPE310Bに接続する場合に、接続許容条件を参照し、加入者端末100Aの接続許容内容、及び、他者vCPE310Bの接続許容内容に応じて、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、同一のネットワークセグメントで実行するか否かを判定する。通信システム1では、この判定に応じて他者vCPE310Bがネットワークセグメントを設定することによって、他者vCPE310Bに接続する加入者端末100Aと、他者端末100Bとの間の接続関係の変更を可能にする。
[通信処理の流れ]
次に、通信システム1における通信処理の流れを説明する。図2は、図1に示す通信システム1における通信処理の流れを説明する図である。図2を参照し、他者vCPE310Bに接続する加入者端末100Aと、他者端末100Bとの間のネットワークセグメントを設定するまでの処理の流れについて説明する。
まず、図2に示すように、認証サーバ400は、加入者の端末の端末情報(例えば、MAC(Media Access Control address)アドレス)と、加入者の端末が所属するvCPEの識別情報(例えば、IP(Internet Protocol)アドレス)とを有している。加入者Aの加入者端末100Aの端末情報が認証サーバ400に登録される際に、加入者端末100Aについての相互接続の許可の可否も登録される(図2の(1)参照)。許可登録の方法の一例を説明する。例えば、認証サーバ400による端末情報登録時に、初期設定として不許可が自動登録される。加入者は、宅外からの接続を許可したい場合、WebインタフェースやAPIを経由して許可設定を行う。
加入者Aの加入者端末100Aが、加入者B(宅外)の宅内ネットワークに接続する(図2の(2)参照)。このとき、加入者端末100Aは、他者vCPE310Bに対してアドレス要求を行う(図2の(3)参照)。他者vCPE310Bは、認証サーバに対して加入者端末100Aの認証を求める(図2の(4)参照)。
認証サーバ400は、認証要求に応じて、加入者端末100Aの認証を行う(図2の(4)参照)。さらに、認証サーバ400は、接続許容条件を参照し、加入者端末100Aと他者端末100Bとの相互接続判定を行う(図2の(5)参照)。認証サーバ400は、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とに対して、適用するネットワークセグメントを設定する(図2の(5)参照)。言い換えると、認証サーバ400は、接続許容条件に応じて、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、同一のネットワークセグメントに設定する。或いは、接続許容条件に応じて、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、異なるネットワークセグメントに設定する。
そして、他者vCPE310Bは、加入者端末100Aが所属する加入者vCPE310AのIPアドレスを認証サーバ400から取得して(図2の(6)参照)、加入者vCPE310Aとの間をトンネルT1(L3トンネル)で接続する(図2の(7)参照)。そして、他者vCPE310Bは、加入者端末100AによるトラフィックをトンネルT1へ転送するように設定する。
続いて、他者vCPE310Bは、認証サーバ400によるネットワークセグメントの設定にしたがったVLAN(Virtual Local Area Network)設定を行う(図2の(6)参照)。図3及び図4は、ネットワークセグメントの割り当てを説明する図である。図3及び図4は、通信システム1の要部のみを示す。
具体的に、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、同一のネットワークセグメントで実行すると設定された場合について説明する。この場合、他者vCPE310Bは、加入者端末100Aに対して他者端末100Bに割り当てたVLAN(図2及び図3のV1)を割り当てる。これによって、加入者端末100Aと他者端末100Bとの間で同じVLANでの接続が可能になる。
また、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、異なるネットワークセグメントで実行すると設定された場合について説明する。この場合、vCPE310Bは、加入者端末100Aについて、他者端末100Bに割り当てたVLAN(図2及び図4のV1)とは異なるVLAN(図2及び図4のV2)を割り当てる。これによって、加入者端末100Aと他者端末100Bとの間では分離が可能になる。
なお、VLANを用いずに、他者CPE110BのL2フォワーディングの際の設定により、加入者端末100Aと他者端末100Bとの間の分離を実現することも可能である。また、図5は、ネットワークセグメントの割り当ての他の例を説明する図である。例えば、vCPE310Bは、他者端末100BにLEトンネルT2−1を割り当てた場合には、加入者端末100Aについて、トンネルT2−1とは異なるL3トンネルT2−2を割り当てることによって、加入者端末100Aと他者端末100Bとの間を分離してもよい。
このような処理を実行することによって、通信システム1では、加入者端末100Aが他者vCPE310Bに接続する場合に、加入者端末100Aと他者端末100Bとの間の接続関係(接続性の有無)を柔軟に変更することができる(図2の(8)参照)。
[他者vCPEの構成]
続いて、通信システム1を構成する各装置の構成について説明する。まず、他者vCPE310Bの構成について説明する。図6は、図1に示す他者VCPE310Bの構成の一例を示す図である。図6に示すように、他者vCPE310Bは、通信部311、記憶部312及び制御部313を有する。前述したように、vCPE310は、実サーバ装置内で動作する。
通信部311は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する。通信部311は、動作するサーバ装置内のNIC(Network Interface Card)等の通信インタフェースで実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置と制御部313(後述)との間の通信を行う。
記憶部312は、動作するサーバ装置内のRAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、他者vCPE310Bを動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部312は、VLAN払出し情報テーブル3121を有する。
VLAN払出し情報テーブル3121は、他者vCPE310BによるVLANの払出し状態を示す。図7は、VLAN払出し情報テーブル3121のデータ構成の一例を示す図である。
図7に示すように、VLAN払い出し情報テーブル3121は、VLAN番号、払い出し状態、接続加入者ID、接続端末のIPアドレス、許可VLANの項目を有する。例えば、VLAN番号「1」のVLANについては、「IP addr 1」の接続端末に既に割り当てられているため、払い出し状態が「1」にアップデータされている。また、VLAN番号「3」のVLANについては、未払い出しのため、払い出し状態は「0」のままである。VLAN払出し情報テーブル3121は、セグメント割当部3132(後述)のVLAN割り当てに応じて更新される。
制御部313は、他者vCPE310B全体を制御する。制御部313は、各種の処理手順などを規定したプログラム及び所要データによって種々の処理を実行する。例えば、制御部313は、動作するサーバ装置内のCPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。また、制御部313は、各種のプログラムが動作することにより各種の処理部として機能する。
制御部313は、問い合わせ部3131、セグメント割当部3132(割り当て部)、IPアドレス配布を行うDHCP機能部3133、トンネル終端機能部3134(接続部)、及び、NAT処理を行うNAT機能部3135を有する。
問い合わせ部3131は、認証サーバ400に対して加入者端末100Aの登録の有無を問い合わせる。問い合わせ部3131は、加入者端末100Aの登録の有無の問い合わせに対して、認証サーバ400から、加入者vCPE310AのIPアドレス、及び、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とについてのネットワークセグメントの設定指示を受ける。
セグメント割当部3132は、認証サーバ400によるネットワークセグメントの設定指示に従い、他者vCPE310Bに接続した加入者端末100AにVLAN(ネットワークセグメント)を割り当てる。
例えば、セグメント割当部3132は、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、同一のネットワークセグメントで実行すると設定された場合には、加入者端末100Aに対して他者端末100Bに割り当てたVLANを割り当てる。
また、セグメント割当部3132は、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、異なるネットワークセグメントで実行すると設定された場合には、加入者端末100Aについて、他者端末100Bに割り当てたVLANとは異なるVLANを割り当てる。セグメント割当部3132は、他者vCPE310Bと他者CPE110Bとの間で新規にVLANの設定を行う。なお、セグメント割当部3132は、端末100に応じてトンネルを振り分ける機能を有していてもよい。
トンネル終端機能部3134は、トンネル終端を行う。トンネル終端機能部3134は、複数拠点からのトンネル接続を行う。トンネル終端機能部3134は、認証サーバ400において加入者端末100Aが登録されている場合には、認証サーバ400により通知された加入者vCPE310Aのアドレスを基に、加入者vCPE310Aとトンネル接続を行う。
なお、加入者vCPE310Aは、他者vCPE310Bと同様の構成であってもよい。加入者vCPE310Aは、少なくとも、複数拠点からのトンネル接続を行う機能と、端末100に応じてトンネルを振り分ける機能があれば足りる。
[認証サーバの構成]
次に、認証サーバ400について説明する。図8は、図1に示す認証サーバ400の構成の一例を示す図である。図8に示すように、認証サーバ400は、通信部410、記憶部420及び制御部430を有する。
通信部410は、NIC等の通信インタフェースで実現され、LANやインターネットなどの電気通信回線を介した他の装置と制御部420(後述)との間の通信を行う。
記憶部420は、RAM、フラッシュメモリ等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、認証サーバ400を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部420は、端末情報テーブル421、vCPE管理テーブル422及び連携実施有無テーブル423を有する。
端末情報テーブル421は、端末100の接続許容条件を示す情報である。端末情報テーブル421は、端末100のMACアドレスと、端末100を収容するvCPE310の識別情報と、端末100の加入者IDと、端末100が接続を許容するvCPE310の識別情報とを対応付ける。端末100の接続許容条件は、予めWebインタフェース(例えば、SOAP(Simple Object Access Protocol))を介して、端末100を使用する加入者が設定を行う。
図9は、端末情報テーブル421のデータ構成の一例を示す図である。図9に示すように、端末情報テーブル421は、端末100のMACアドレス、端末100を収容するvCPE310のIPアドレス、端末100の加入者ID、端末100が接続を許容するvCPE310のIPアドレスの項目を有する。
例えば、MACアドレスが「MAC addr 1」である端末100については、IPアドレスが「IP addr 1」のvCPE310がこの端末100を収容する加入者vCPE310Aである。さらに、この「MAC addr 1」である端末100は、加入者IDが「ID1」であり、IPアドレスが「IP addr 2」であるvCPE310に接続を許容する。また、MACアドレスが「MAC addr 2」である端末100については、「MAC addr 1」である端末100と同じ加入者vCPE310A及び加入者IDを有するが、接続許容vCPE欄は「0」であり、接続を許容するvCPE310は設定されていない。
vCPE管理テーブル422は、vCPE310の接続許容条件を示す情報である。vCPE管理テーブル422は、vCPE310の識別情報と、該vCPE310が接続を許容する加入者IDとを対応付ける。vCPE310の接続許容条件は、予めWebインタフェース(例えば、SOAP)を介して、vCPE310を管理する管理者等が設定を行う。
図10は、vCPE管理テーブル422のデータ構成の一例を示す図である。図10に示すように、vCPE管理テーブル422は、vCPE310のIPアドレスと、該vCPE310が接続を許容する加入者IDとの項目を有する。例えば、IPアドレスが「IP addr 1」であるvCPE310については、「ID1」及び「ID2」の加入者IDであれば、接続が許容される。
そして、連携実施有無テーブル423について説明する。図11は、連携実施有無テーブル423のデータ構成を示す図である。連携実施有無テーブル423は、vCPE310のIPアドレス、該vCPE310に収容される端末100による宅外接続の有無、及び、該vCPE310に対する他vCPE310からの接続を許可するか否かの情報を示す。
認証サーバ400は、宅外からの自宅接続の有無もしくは自宅からの他vCPE接続を、加入者が、新規加入時の登録メニュー等を介して設定する場合にのみ、この連携実施有無テーブル423を記憶する。例えば、いずれのvCPE310についても、vCPE310に収容される端末100による宅外接続、及び、該vCPE310に対する他vCPE310からの接続を許可することが決まっている場合には、認証サーバ400には、連携実施有無テーブル423が記憶されない。
制御部430は、他者vCPE310B全体を制御する。例えば、制御部313は、CPUやMPUなどの電子回路であり、各種のプログラムが動作することにより各種の処理部として機能する。制御部430は、加入者情報取得部431、接続判定部432、セグメント設定部433及び払い出し部434を有する。
加入者情報取得部431は、他者vCPE310Bの問い合わせを基に、他者vCPE310Bに接続する加入者端末100Aの識別情報を取得する。加入者情報取得部431は、加入者端末100AのMACアドレスを取得する。
接続判定部432は、他者vCPE310B及び加入者端末100Aにおける接続許容条件を基に、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、同一のネットワークセグメントで実行するか否かを判定する。接続判定部432は、端末情報テーブル421とvCPE管理テーブル422とを基に、ネットワークセグメントに関する判定を行う。
具体的には、接続判定部432は、接続する加入者端末100Aの加入者IDが、問い合わせ元の他者vCPE310Bが接続を許容する加入者IDであるか否かを判定する第1の判定を行う。さらに、接続判定部432は、問い合わせ元の他者vCPE310Bが、接続する加入者端末100Aが接続を許容するvCPE310であるか否かを判定する第2の判定を行う。
まず、加入者端末100Aの加入者IDが、他者vCPE310Bが接続を許容する加入者IDであり、かつ、他者vCPE310Bが、加入者端末100Aが接続を許容するvCPE310である場合について説明する。
例として、他者vCPE310BがIPアドレス「IP addr 2」であり、加入者端末100AのMACアドレスが「MAC addr 1」であり、加入者端末100Aの加入者IDが「ID1」である場合を例に説明する。この場合、CPE管理テーブル(図10参照)では、加入者端末100Aの加入者ID「ID1」は、IPアドレス「IP addr 2」である他者vCPE310Bが接続を許容する加入者IDであることが示されている。そして、端末情報テーブル(図9参照)では、IPアドレス「IP addr 2」である他者vCPE310Bが、MACアドレスが「MAC addr 1」である加入者端末100Aが接続を許容するvCPE310であることが示されている。
この場合、接続判定部432は、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを同一のネットワークセグメントで実行すると判定する。
一方、加入者端末100Aの加入者IDが、他者vCPE310Bが接続を許容する加入者IDでない、または、他者vCPE310Bが、加入者端末100Aが接続を許容するvCPE310でない場合について説明する。
例として、他者vCPE310BがIPアドレス「IP addr 2」であり、加入者端末100AのMACアドレスが「MAC addr 2」であり、加入者端末100Aの加入者IDが「ID1」である場合を例に説明する。この場合、CPE管理テーブル(図10参照)では、加入者端末100Aの加入者ID「ID1」は、IPアドレス「IP addr 2」である他者vCPE310Bが接続を許容する加入者IDであることが示されている。これに対し、端末情報テーブル(図9参照)では、IPアドレス「IP addr 2」である他者vCPE310Bが、MACアドレスが「MAC addr 2」である加入者端末100Aが接続を許容するvCPE310でない。
このため、この場合には、接続判定部432は、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを異なるネットワークセグメントで実行すると判定する。
セグメント設定部433は、接続判定部432の判定に応じて、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とに対するネットワークセグメントの設定を行い、VLANの設定指示を他者vCPEに通知する。
払い出し部434は、他者vCPE310Bに接続する加入者端末100Aが所属する加入者vCPE310AのIPアドレスを、他者vCPE310Bに通知する。
[他者CPEの構成]
次に、他者CPE110Bの構成について説明する。図12は、図1に示す他者CPE110Bの構成の一例を示す図である。図13は、図1に示す他者CPEの概要を示す図である。
図12に示す他者CPE110Bは、各種ポートP1,P2,P3(図13参照)を含む通信インタフェースで実現される通信部111、RAMやフラッシュメモリによって実現される記憶部112、及び、CPUなどによって実現される制御部113を有する。
記憶部111は、VLAN管理テーブル1121を有する。図14は、VLAN管理テーブル1121のデータ構成の一例を示す図である。図14に示すように、VLAN管理テーブル1121は、ポート番号、他者vCPE310Bから割り振られたVLAN番号及び接続する端末100のMACアドレスの項目を有する。設定されたVLAN情報は、他者vCPE310BよりRADIUS等のプロトコルを使用して通知される。
制御部113は、ポート設定部1131を有する。ポート設定部1131は、VLAN管理テーブルを基に、他者vCPE310Bから割り当てられたVLAN番号と接続する端末100のMACアドレスを、対応する物理ポート或いは論理ポートに割り当てる。例えば、ポート設定部1131は、接続する端末100のMACアドレスが「aa:bb:cc:dd:ee:ff」である場合には、vCPE310Bから割り当てられたVLAN番号「1」に対応するポート番号「1」のポートに「aa:bb:cc:dd:ee:ff」を割り当てる。
[通信処理の処理手順]
図15は、実施の形態に係る通信処理の処理手順を示すシーケンス図である。図15に示すように、加入者端末100Aは、他者である加入者Bの宅内ネットワークの接続に際し、他者vCPE310BにDHCPによるアドレス要求を送信する(ステップS1)。他者vCPE310Bは、RADIUS等により加入者端末100AのMACアドレス情報を送信し、この加入者端末100Aが所属する加入者vCPEのIPアドレスの要求する(ステップS2)。
認証サーバ400は、端末情報テーブルとvCPE管理テーブルを参照する(ステップS3,S4)。そして、認証サーバ400は、接続する加入者端末100Aの加入者IDが、問い合わせ元の他者vCPE310Bが接続を許容する加入者IDであるか否かを判定する(ステップS5)。認証サーバ400は、加入者端末100Aの加入者IDが、他者vCPE310Bが接続を許容する加入者IDであると判定した場合(ステップS5:Yes)、問い合わせ元の他者vCPE310Bが、接続する加入者端末100Aが接続を許容するvCPE310であるか否かを判定する(ステップS6)。
そして、認証サーバ400は、他者vCPE310Bが、加入者端末100Aが接続を許容するvCPE310であると判定した場合(ステップS6:Yes)、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを同一のネットワークセグメントで実行すると判定する(ステップS7)。そして、認証サーバ400は、他者vCPE310Bに、加入者端末100Aについて、他者端末100Bと同一のVLAN設定を指示するともに、加入者vCPEのIPアドレスを払い出す(ステップS8,S11)。
これに対し、認証サーバ400は、加入者端末100Aの加入者IDが、他者vCPE310Bが接続を許容する加入者IDでないと判定した場合(ステップS5:No)、または、他者vCPE310Bが、接続する加入者端末100Aが接続を許容するvCPE310でないと判定した場合(ステップS6:No)、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを異なるネットワークセグメントで実行すると判定する(ステップS9)。そして、認証サーバ400は、他者vCPE310Bに、加入者端末100Aについて、他者端末100Bと異なるVLAN設定を指示するともに、加入者vCPEのIPアドレスを払い出す(ステップS10,S11)。
他者vCPE310Bは、加入者Aの端末100Aが所属する加入者vCPE310Aと他者vCPE310Bとをトンネルで接続する。そして、他者vCPE310Bは、認証サーバ400による指示が、加入者端末100Aが他者端末100Bと同一のVLAN(ネットワークセグメント)設定であるか否かを判定する(ステップS12)。
他者vCPE310Bは、認証サーバ400による指示が、加入者端末100Aが他者端末100Bと同一のVLAN設定であると判定した場合(ステップS12:Yes)、加入者端末100Aに対して、他者端末100Bに割り当てた割り当て済みのVLANを割り当てる(ステップS13)。これに対し、他者vCPE310Bは、認証サーバ400による指示が、加入者端末100Aが他者端末100Bと同一のVLAN設定でないと判定した場合(ステップS12:No)、加入者端末100Aについて、他者端末100Bに割り当てたVLANとは異なる新規のVLANを割り当てる(ステップS14)。
そして、他者CPE110Bは、他者vCPE310Bから払い出されるVLAN情報の通知を受けると(ステップS15)、VLAN管理テーブルを参照し(ステップS16)、VLAN管理テーブルを参照し、加入者端末110Aが接続されたポート番号のエントリに、加入者端末100AのMACアドレスと払い出されたVLAN番号を設定する(ステップS17)。また、他者vCPE310Bは、加入者端末100Aに対して、DHCPによるアドレス返答を行う(ステップS18)。
[実施の形態の効果]
このように、通信システム1では、加入者端末100Aの他者vCPE310Bの接続時に、この加入者端末100Aの他者vCPE310Bに対するネットワーク接続ポリシーと、他者vCPE310Bにおける加入者端末100Aに対する接続ポリシーとを確認する。
そして、通信システム1では、加入者端末100Aの加入者IDが、他者vCPE310Bが接続を許容する加入者IDでない、または、他者vCPE310Bが、加入者端末100Aが接続を許容するvCPE310でない場合、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とについて、異なるVLANを動的設定することによって、ネットワークを分割し、セキュリティを担保することが可能になる。
また、通信システム1では、加入者端末100Aの加入者IDが、他者vCPE310Bが接続を許容する加入者IDであり、かつ、他者vCPE310Bが、加入者端末100Aが接続を許容するvCPE310である場合、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とについて、同一のVLANを動的設定する。
この結果、通信システム1によれば、加入者端末が、他者vCPEに接続する場合に、加入者端末と、他者vCPEに接続する他者端末との間の接続関係を柔軟に変更することができる。すなわち、通信システム1によれば、端末100の加入者やvCPE単位で接続ポリシーを設定可能とすることによって、柔軟にネットワーク接続性を設定することが可能になる。
そして、通信システム1では、許可したネットワーク及び端末間でのみVLANで接続することで、接続先ネットワークの設備の活用や接続性を保ちつつ、同一ネットワークに接続する他者の端末との接続性を制限することを可能とする。
[変形例1]
実施の形態の変形例1では、認証サーバ400ではなく、他者vCPE310B´が、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを判定及び設定する場合について説明する。なお、変形例1に係る通信システムは、通信システム1の他者vCPE310B及び認証サーバ400に代えて、他者vCPE310B´及び認証サーバ400´を有する。
[他者vCPEの構成]
図16は、実施の形態1の変形例1における他者vCPE310B´の構成の一例を示す図である。図16に示すように、他者vCPE310B´は、図6に示す他者vCPE310Bと比して、制御部313´を有する。制御部313´は、制御部313と比して、判定用情報受信部3136、接続判定部432及びセグメント設定部433をさらに有する。
判定用情報受信部3136は、認証サーバ400から、接続判定に必要な情報を受信する。すなわち、判定用情報受信部3136は、加入者端末100AのMACアドレスに対応する、加入者vCPEのIPアドレス、加入者ID、この加入者端末100Aが接続を許容する他者vCPEのIPアドレスを受信する。そして、判定用情報受信部3136は、他者vCPE310B´が接続を許容する加入者IDを受信する。具体的には、判定用情報受信部3136は、加入者端末100AのMACアドレスに該当する端末情報テーブルの(図9参照)と、問い合わせ元である当該他者vCPE310BのIPアドレスに対応するvCPE管理テーブル(図10参照)のエントリを、認証サーバ400から受信する。
そして、接続判定部432は、判定用情報受信部3136が受信した情報を基に、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを、同一のネットワークセグメントで実行するか否かを判定する。セグメント設定部433は、接続判定部432の判定に応じて、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とに対するVLANの設定を、セグメント割当部3132に指示する。
[認証サーバの構成]
図17は、実施の形態1の変形例1における認証サーバ400´の構成の一例を示す図である。図17に示すように、認証サーバ400´は、図8に示す認証サーバ400と比して、制御部430´を有する。制御部430´は、加入者情報取得部431、判定用情報送信部435及び、払い出し部434を有する。
判定用情報送信部435は、他者vCPE310B´に対し、接続判定に必要な情報を受信する。すなわち、判定用情報送信部435は、加入者端末100AのMACアドレスに対応する、加入者vCPEのIPアドレス、加入者ID、この加入者端末100Aが接続を許容する他者vCPEのIPアドレスを送信する。そして、判定用情報受信部3136は、他者vCPE310B´が接続を許容する加入者IDを送信する。具体的には、判定用情報送信部435は、加入者端末100AのMACアドレスに該当する端末情報テーブルの(図9参照)と、問い合わせ元である当該他者vCPE310BのIPアドレスに対応するvCPE管理テーブル(図10参照)のエントリを、他者vCPE310B´に送信する。
[通信処理の処理手順]
図18は、実施の形態の変形例1に係る通信処理の処理手順を示すシーケンス図である。図18に示すステップS21〜ステップS24は、図15に示すステップS1〜ステップS4と同じ処理である。認証サーバ400は、加入者端末100AのMACアドレスに該当する端末情報テーブルの(図9参照)と、問い合わせ元である当該他者vCPE310BのIPアドレスに対応するvCPE管理テーブル(図10参照)のエントリを、他者vCPE310B´に送信する(ステップS25)。そして、認証サーバ400は、他者vCPE310Bに、加入者端末100Aについて、加入者vCPEのIPアドレスを払い出す(ステップS26)。
他者vCPE310B´は、認証サーバ400からの受信情報を基に接続判定及びセグメント設定を行う。他者vCPE310B´は、ステップS27〜ステップS32において、図15に示す認証サーバ400によるステップS5〜ステップS10と同じ処理を行う。ステップS33〜ステップS39は、図15に示すステップS12〜ステップS18と同じ処理である。
この変形例1のように、他者vCPE310B´が、加入者端末100Aに対するネットワークセグメントの設定を行ってもよい。
[変形例2]
そして、実施の形態の変形例2では、他者CPE110B´が、他者端末100B及び他者vCPE310Bの間の接続と、加入者端末100A及び他者vCPE310Bの間の接続とを判定及び設定する場合について説明する。なお、変形例2に係る通信システムは、通信システム1の他者110B、他者vCPE310B及び認証サーバ400に代えて、他者CPE110´、他者vCPE310B及び認証サーバ400´とを有する。
[他者vCPEの構成]
図19は、実施の形態1の変形例2における他者CPE110B´の構成の一例を示す図である。図19に示すように、他者CPE110B´は、図12に示す他者CPE110Bと比して、制御部113´を有する。制御部113´は、制御部113と比して、判定用情報受信部3136、接続判定部432、セグメント設定部433、セグメント設定部433によるセグメントネットワークの設定指示を他者vCPE310Bに送信する設定結果送信部1132をさらに有する。
[通信処理の流れ]
図20は、実施の形態の変形例2に係る通信処理の処理手順を示すシーケンス図である。図20に示すステップS41〜ステップS44は、図15に示すステップS1〜ステップS4と同じ処理である。認証サーバ400は、加入者端末100AのMACアドレスに該当する端末情報テーブルの(図9参照)と、問い合わせ元である当該他者vCPE310BのIPアドレスに対応するvCPE管理テーブル(図10参照)のエントリを、他者CPE110B´に送信する(ステップS45)。ステップS46は、図18に示すステップS26と同じ処理である。
そして、他者110B´は、認証サーバ400からの受信情報を基に接続判定及びセグメント設定を行う。他者110B´は、ステップS47〜ステップS52において、図15に示す認証サーバ400によるステップS5〜ステップS10と同じ処理を行う。そして、他者110B´は、設定結果を他者vCPE310Bに送信する(ステップS53)。ステップS54〜ステップS60は、図15に示すステップS12〜ステップS18と同じ処理である。
この変形例2のように、他者CPE110´が、加入者端末100Aに対するネットワークセグメントの設定を行ってもよい。
(バリエーションについて)
上述した例では、認証サーバ400,400´における端末認証情報としてMACアドレスを使用するが、これは一例に過ぎない。MACアドレスを用いた認証以外に、証明書、あるいは、EAP−SIM認証方式におけるSIM情報を用いた認証を行うこととしてもよい。
<証明書の場合>
証明書を用いる場合において、認証サーバ400,400´での認証に証明書認証を使用する。具体的には、認証サーバ400,400´が端末の証明書情報と収容vCPEの組を管理し、当該管理する情報を用いて認証を行う。証明書は、予め取得する必要があるが、例えば、加入者の宅内ネットワーク接続時に証明書の取得を行う。
vCPE310におけるアドレス払い出し有無確認の為のMACアドレス確認に関しては、証明書を使用してもよいし、MACアドレスのままでもよいし、実施しなくともよい。
<SIM認証の場合>
SIM認証の場合には、認証サーバ400,400´での認証にEAP−SIM認証方式を使用する。具体的には、認証サーバ400,400´が、端末のSIM情報と収容vCPEの組を管理し、当該管理する情報を用いて認証を行う。
vCPE310におけるアドレス払出し有無確認の為のMACアドレス確認に関しては、SIM認証を使用してもよいし、MACアドレスのままでもよいし、実施しなくともよい。
<MACアドレスの認証サーバへの登録について>
認証サーバ400,400´へのMACアドレスの登録は、所定の端末100のみに対して実施し、認証サーバ400への情報登録数を削減してもよい。
<宅外ネットワークにおける接続承認について>
通信システム1は、接続先ネットワークの所有者が、ネットワークの利用の許可を与えることができるように、接続承認機能を有してもよい。
通信システム接続承認機能を有する場合において、一例として、接続先ネットワークの所有者が、Webインタフェース経由で接続許可/不許可を選択する。不許可の場合、vCPE310は認証サーバ400,400´への問合せを停止する。もしくは認証サーバ400,400´への問合せは実施するが問合せのみ実施し、問合せ結果を破棄する。許可の場合は、実施の形態(あるいは実施の形態の変形例1,変形例2)のシーケンスと同一の動作を行う。
<機能使用に関する設定について>
通信システム1は、接続サービス利用者が、宅外での宅内ネットワーク接続機能を使用するかどうかを選択可能とする機能を有してもよい。
通信システム1が当該機能を有する場合において、一例として、接続サービス利用者が、Webインタフェース経由で機能使用/不使用を選択する。機能不使用時は、認証サーバ400,400´への問合せ及びMACアドレス登録を実施しないように設定するとともに、当該vCPE310に接続する端末情報を認証サーバ400,400´から削除する。もしくは、認証サーバ400に当該vCPE310に関しては応答をしないよう設定する。このような設定の一例として、図11に示す連携実施有無テーブルの設定がなされる。例えば、図11に示すテーブルの1行目は、IPアドレス1のvCPEに属する端末の宅外接続が有りであり、IPアドレス1のvCPEは他のvCPEからの接続を許容しないことを示す。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行なうこともでき、あるいは、手動的に行なわれるものとして説明した処理の全部又は一部を公知の方法で自動的に行なうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図21は、プログラムが実行されることにより、CPE110、vCPE310、認証サーバ400が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、CPE110、vCPE310、認証サーバ400の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、CPE110、vCPE310、認証サーバ400における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
1 通信システム
100A 加入者端末
100B 他者端末
110A 加入者CPE
110B,110B´ 他者CPE
111,311,410 通信部
112,312,420 記憶部
113,113´,313,313´,430,430´ 制御部
200A〜200C ルータ
310A 加入者vCPE
310B,310B´ 他者vCPE
400,410´ 認証サーバ
421 端末情報テーブル
422 vCPE管理テーブル
423 連携実施有無テーブル
431 加入者情報取得部
432 接続判定部
433 セグメント設定部
434 払い出し部
435 判定用情報送信部
1121 VLAN管理テーブル
1131 ポート設定部
1132 判定結果送信部
3121 VLAN払い出し情報テーブル
3131 問い合わせ部
3132 セグメント割当部
3133 DHCP機能部
3134 トンネル終端機能部
3135 NAT機能部
3136 制御用情報受信部

Claims (6)

  1. 第1の端末が所属する第1のvCPE(virtual Customer Premise Equipment)、第2の端末が接続する第2のvCPE、及び、認証サーバを有する通信システムであって、
    前記第1の端末が前記第2のvCPEに接続する場合に、前記第2のvCPE及び前記第1の端末における接続許容条件を基に、前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを、同一のネットワークセグメントで実行するか否かを判定する判定部
    を有し、
    前記第2のvCPEは、
    前記認証サーバにおいて前記第1の端末が登録されている場合には、前記認証サーバにより通知された前記第1のvCPEのアドレスを基に、前記第1のvCPEとトンネル接続を行う接続部と、
    前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを異なるネットワークセグメントで実行すると判定された場合には、前記第1の端末に対して前記第2の端末に割り当てたネットワークセグメントと異なるネットワークセグメントを割り当て、前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを同一のネットワークセグメントで実行すると判定された場合には、前記第1の端末に対して前記第2の端末に割り当てたネットワークセグメントを割り当てる割り当て部と、
    を有することを特徴とする通信システム。
  2. 前記割り当て部は、
    前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを異なるネットワークセグメントで実行すると判定された場合には、前記第1の端末について前記第2の端末に割り当てたVLANとは異なるVLANを割り当て、
    前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを同一のネットワークセグメントで実行すると判定された場合には、前記第1の端末について前記第2の端末に割り当てたVLANを割り当てる
    ことを特徴とする請求項1に記載の通信システム。
  3. 前記割り当て部は、
    前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを異なるネットワークセグメントで実行すると判定された場合には、前記第1の端末について前記第2の端末とは異なるトンネルを割り当て、
    前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを同一のネットワークセグメントで実行すると判定された場合には、前記第1の端末について前記第2の端末に割り当てたトンネルを割り当てる
    ことを特徴とする請求項1に記載の通信システム。
  4. 前記認証サーバは、
    端末のMACアドレスと前記端末を収容するvCPEの識別情報と前記端末の加入者IDと前記端末が接続を許容するvCPEの識別情報とを対応付けた端末情報と、前記vCPEの識別情報と前記vCPEが接続を許容する加入者IDとを対応付けたvCPE管理情報と、を記憶する記憶部
    を有し、
    前記判定部は、前記端末情報と前記vCPE管理情報とを基に、前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを、同一のネットワークセグメントで実行するか否かを判定することを特徴とする請求項1〜3のいずれか一つに記載の通信システム。
  5. 前記判定部は、
    前記端末情報と前記vCPE管理情報とを基に、前記第1の端末の加入者IDが、前記第2のvCPEが接続を許容する加入者IDであり、かつ、前記第2のvCPEが、前記第1の端末が接続を許容するvCPEである場合に、前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを同一のネットワークセグメントで実行すると判定し、
    前記第1の端末の加入者IDが、前記第2のvCPEが接続を許容する加入者IDでない、または、前記第2のvCPEが、前記第1の端末が接続を許容するvCPEでない場合に、前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを異なるネットワークセグメントで実行すると判定することを特徴とする請求項4に記載の通信システム。
  6. 第1の端末が所属する第1のvCPE(virtual Customer Premise Equipment)、第2の端末が接続する第2のvCPE、及び、認証サーバを有する通信システムが実行する通信方法であって、
    前記第1の端末が前記第2のvCPEに接続する場合に、前記第2のvCPE及び前記第1の端末における接続許容条件を基に、前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを、同一のネットワークセグメントで実行するか否かを判定する工程と、
    前記第2のvCPEが、前記認証サーバにおいて前記第1の端末が登録されている場合には、前記認証サーバにより通知された前記第1のvCPEのアドレスを基に、前記第1のvCPEとトンネル接続を行う工程と、
    前記第2のvCPEが、前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを異なるネットワークセグメントで実行すると判定された場合には、前記第1の端末に対して前記第2の端末に割り当てたネットワークセグメントと異なるネットワークセグメントを割り当てる工程と、
    前記第2のvCPEが、前記第2の端末及び前記第2のvCPEの間の接続と、前記第1の端末及び前記第2のvCPEの間の接続とを同一のネットワークセグメントで実行すると判定された場合には、前記第1の端末に対して前記第2の端末に割り当てたネットワークセグメントを割り当てる工程と、
    を含んだことを特徴とする通信方法。
JP2018152994A 2018-08-15 2018-08-15 通信システム及び通信方法 Active JP6973326B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018152994A JP6973326B2 (ja) 2018-08-15 2018-08-15 通信システム及び通信方法
PCT/JP2019/031400 WO2020036117A1 (ja) 2018-08-15 2019-08-08 通信システム及び通信方法
US17/268,427 US11374793B2 (en) 2018-08-15 2019-08-08 Network segment allocation system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018152994A JP6973326B2 (ja) 2018-08-15 2018-08-15 通信システム及び通信方法

Publications (2)

Publication Number Publication Date
JP2020028069A JP2020028069A (ja) 2020-02-20
JP6973326B2 true JP6973326B2 (ja) 2021-11-24

Family

ID=69525551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018152994A Active JP6973326B2 (ja) 2018-08-15 2018-08-15 通信システム及び通信方法

Country Status (3)

Country Link
US (1) US11374793B2 (ja)
JP (1) JP6973326B2 (ja)
WO (1) WO2020036117A1 (ja)

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6823462B1 (en) * 2000-09-07 2004-11-23 International Business Machines Corporation Virtual private network with multiple tunnels associated with one group name
US7054321B1 (en) * 2000-10-27 2006-05-30 Redback Networks Inc. Tunneling ethernet
US6982984B1 (en) * 2001-08-28 2006-01-03 Redback Networks Inc. Method and apparatus for virtual private networks
US7411904B2 (en) * 2002-07-22 2008-08-12 Lucent Technologies Inc. Multiprotocol label switching (MPLS) edge service extraction
US20050195751A1 (en) * 2004-03-02 2005-09-08 Sbc Knowledge Ventures, L.P. System and method for identifying devices using a point to point protocol
BRPI0615559A2 (pt) * 2005-07-20 2017-09-12 Verimatrix Inc sistema e método de autenticação de usúario de rede
US7961725B2 (en) * 2007-07-31 2011-06-14 Symbol Technologies, Inc. Enterprise network architecture for implementing a virtual private network for wireless users by mapping wireless LANs to IP tunnels
US10122829B2 (en) * 2008-11-12 2018-11-06 Teloip Inc. System and method for providing a control plane for quality of service
CN102882758B (zh) * 2011-07-12 2018-12-07 华为技术有限公司 虚拟私云接入网络的方法、网络侧设备和数据中心设备
US8675664B1 (en) * 2011-08-03 2014-03-18 Juniper Networks, Inc. Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering
WO2013098429A1 (es) * 2011-12-30 2013-07-04 Juniper Networks, Inc. Equipo en las instalaciones del cliente basado en nube
US9197980B2 (en) * 2012-08-22 2015-11-24 Cisco Technology, Inc. Multi-operator wireless networking
US8514828B1 (en) * 2012-10-30 2013-08-20 Aruba Networks, Inc. Home virtual local area network identification for roaming mobile clients
US10257162B2 (en) * 2015-02-16 2019-04-09 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for providing “anywhere access” for fixed broadband subscribers
JP6276224B2 (ja) * 2015-08-03 2018-02-07 日本電信電話株式会社 通信システム
US9967237B2 (en) * 2015-09-17 2018-05-08 Cox Communications, Inc. Systems and methods for implementing a layer two tunnel for personalized service functions
US20170118127A1 (en) * 2015-10-22 2017-04-27 Cox Communications, Inc. Systems and Methods of Virtualized Services
EP3163832A1 (en) * 2015-10-27 2017-05-03 Thomson Licensing Method and apparatus for secure access of a service via customer premise equipment
US10362000B2 (en) * 2016-01-15 2019-07-23 Electric Power Research Institute, Inc. Virtual Wi-Fi network and secure tunnel provisioning for reliable, persistent connection of energy devices at the customer's premises
US10020962B2 (en) * 2016-02-22 2018-07-10 Harmonic, Inc. Virtual converged cable access platform (CCAP) core
EP3223494A1 (en) * 2016-03-21 2017-09-27 Thomson Licensing Method and apparatus for interconnection between networks
US11533382B2 (en) * 2016-03-31 2022-12-20 Juniper Networks, Inc. Providing user subscription nomadicity in wireline broadband networks
EP3340581B1 (en) * 2016-12-20 2022-02-23 InterDigital CE Patent Holdings Method for managing service chaining at a network equipment, corresponding network equipment
US20190182155A1 (en) * 2017-12-07 2019-06-13 Mingtai Chang Distributed Network Sharing And Traffic Isolation
US11317272B2 (en) * 2017-12-28 2022-04-26 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for enabling broadband roaming services
CN111742524B (zh) * 2018-02-20 2021-12-14 华为技术有限公司 企业虚拟专用网络(vpn)与虚拟私有云(vpc)粘连
JP6933184B2 (ja) * 2018-04-05 2021-09-08 日本電信電話株式会社 通信システム及び帯域制御方法
JP6962291B2 (ja) * 2018-08-02 2021-11-05 日本電信電話株式会社 通知装置および通知方法

Also Published As

Publication number Publication date
US11374793B2 (en) 2022-06-28
WO2020036117A1 (ja) 2020-02-20
JP2020028069A (ja) 2020-02-20
US20210351957A1 (en) 2021-11-11

Similar Documents

Publication Publication Date Title
EP3783838B1 (en) Virtual network interface objects
EP3461072B1 (en) Access control in a vxlan
WO2020216339A1 (zh) 接入网关的方法及装置
US20070011733A1 (en) Unified architecture for remote network access
JP2018125837A (ja) ドメイン間のシームレスサービス機能チェーン
US8737388B2 (en) Method, apparatus and system for processing packets
US10361970B2 (en) Automated instantiation of wireless virtual private networks
US20140282817A1 (en) Dynamic secured network in a cloud environment
EP2625643A1 (en) Methods and systems for providing and controlling cryptographically secure communications across unsecured networks between a secure virtual terminal and a remote system
US20190097940A1 (en) Network system and method for cross region virtual private network peering
US20130086234A1 (en) Cloud management system and method
US7624193B2 (en) Multi-vendor mediation for subscription services
US20230262111A1 (en) Peripheral device enabling virtualized computing service extensions
US20210089239A1 (en) Peripheral device for configuring compute instances at client-selected servers
CN114124944B (zh) 混合云的数据处理方法、装置及电子设备
US11411927B2 (en) Accessing an authentication service from a cloud domain in a network zone different from that of the authentication service
WO2024000975A1 (zh) 一种会话建立系统、方法、电子设备及存储介质
WO2020029793A1 (zh) 一种上网行为管理系统、设备及方法
JP6973326B2 (ja) 通信システム及び通信方法
US20230109231A1 (en) Customizable network virtualization devices using multiple personalities
US20130086140A1 (en) Cloud management system and method
US10979416B2 (en) System and method for authentication in a public cloud
CN107046568B (zh) 一种认证方法和装置
KR101304593B1 (ko) 액세스 노드와 가입자 게이트웨이, 그리고 이들을 포함하는 다수 사업자용 인터넷 프로토콜 기반 액세스 망에서의 다수 사업자 서비스 제공 방법
CN116033020B (zh) 增强物理网关算力的方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211005

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211018

R150 Certificate of patent or registration of utility model

Ref document number: 6973326

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150