JP2001251307A - Method for regulating and managing use of virtual private network and its system - Google Patents
Method for regulating and managing use of virtual private network and its systemInfo
- Publication number
- JP2001251307A JP2001251307A JP2000057568A JP2000057568A JP2001251307A JP 2001251307 A JP2001251307 A JP 2001251307A JP 2000057568 A JP2000057568 A JP 2000057568A JP 2000057568 A JP2000057568 A JP 2000057568A JP 2001251307 A JP2001251307 A JP 2001251307A
- Authority
- JP
- Japan
- Prior art keywords
- virtual private
- network
- policy
- vpn
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、広域IP(Int
ernet Protocol)網上に構築され、運用
される仮想プライベートネットワークにおける利用規定
の管理方法及びその装置に関するものである。The present invention relates to a wide area IP (Int)
The present invention relates to a management method of a usage rule in a virtual private network constructed and operated on an (Ethernet Protocol) network and an apparatus therefor.
【0002】[0002]
【従来の技術】ネットワーク(以下、NWと略記す
る。)における利用規程(以下、ポリシーと呼ぶ。)の
管理技術については、情報処理学会シンポジウム論文
集、vol.98、No.8、p41−48等において
既知の技術として公開されており、また、IETF(T
he Internet Engineering T
askForce)のPolicy Framewor
k ワーキンググループ(以下、policy WGと
略記する。)等においてもポリシー管理技術に関する提
案がなされている。2. Description of the Related Art For a management technique of a usage rule (hereinafter, referred to as a policy) in a network (hereinafter abbreviated as NW), see IPSJ Symposium, vol. 98, no. 8, p41-48 and the like, and are disclosed as a known technique.
he Internet Engineering T
askForce) Policy Framework
Proposals regarding policy management technology have also been made in the k working group (hereinafter abbreviated as policy WG) and the like.
【0003】しかし、これらの技術を用いた既存のNW
ポリシー管理装置はユーザNWに閉じた範囲を想定した
ものであり、ポリシー管理者及びエンドユーザという二
層の管理構造しか持っておらず、また、仮想的なプライ
ベートネットワーク(以下、VPNと略記する。)を跨
ったポリシーの管理は実現できていない。そのため、第
1種及び第2種通信事業者等(以下、キャリアと呼
ぶ。)が提供し、複数ユーザがリソースを共有する、I
P over FR(Frame Relay)やIP
over ATM等の広域IP網上にVPNが構築さ
れ、運用される場合、VPN間でポリシーの競合が発生
する可能性があり、対応が困難であった。However, existing NWs using these technologies have
The policy management device assumes a range closed to the user NW, has only a two-layer management structure of a policy manager and an end user, and has a virtual private network (hereinafter abbreviated as VPN). ) Has not been realized. For this reason, I and II provided by Type 1 and Type 2 telecommunications carriers (hereinafter, referred to as carriers), and resources are shared by a plurality of users.
P over FR (Frame Relay) or IP
When a VPN is constructed and operated on a wide area IP network such as an over ATM or the like, there is a possibility that a policy conflict occurs between the VPNs, and it is difficult to cope with the problem.
【0004】従来、広域IP網は全て広域IP網管理者
が管理していたため、エンドユーザからのサービス要求
はユーザ側のVPN管理者が仲介する形で、広域IP網
管理者へ申し込みを行う必要があった。そのため、サー
ビス要求発生から実際にサービス変更が行われるまでの
タイムラグが大きく、仲介する要員の稼働が大きくなる
という問題があった。Conventionally, all wide area IP networks are managed by a wide area IP network administrator. Therefore, it is necessary to apply for a service request from an end user to a wide area IP network administrator in a form mediated by a VPN administrator on the user side. was there. For this reason, there is a problem that a time lag from the occurrence of the service request to the actual change of the service is large, and the number of intervening personnel increases.
【0005】従来の広域IP網上のVPNに対するサー
ビス変更の流れの概略を図1に示す。FIG. 1 schematically shows a flow of service change for a VPN on a conventional wide area IP network.
【0006】運用中のNWについてのサービス要求はエ
ンドユーザから発生する。具体的にはVPN間のフィル
タリング解除要求や、帯域保証(またはサービス品質)
(以下、QoSと略記する。)要求等である。VPN管
理者は、これらのサービス要求を受け付け(S1)、自
NWの利用規定に基づいてその要求に対する可否判断を
行う(S2)。自NW内の構成装置(エレメント)に対
してのみ変更の場合は自NW内で完結する(S3)が、
広域IP網を跨る設定の場合はサービスを提供する広域
IP網管理者へ依頼する必要がある(S4)。[0006] A service request for an operating NW originates from an end user. Specifically, a request for canceling filtering between VPNs and a bandwidth guarantee (or service quality)
(Hereinafter abbreviated as QoS). The VPN administrator accepts these service requests (S1), and determines whether or not the requests can be made based on the usage rules of the own NW (S2). In the case of changing only the constituent devices (elements) in the own NW, the change is completed in the own NW (S3).
In the case of setting over a wide area IP network, it is necessary to request a wide area IP network administrator providing a service (S4).
【0007】要求を受け取った広域IP網管理者(S
5)は、広域IP網の利用規定に基づいてその要求に対
する可否判断を行った(S6)後、必要ならサービス要
求を実施し(S7)、完了報告を行う(S8)。完了報
告を受けたVPN管理者はサービス要求を発生したエン
ドユーザに完了報告を行う(S9)。[0007] The wide area IP network administrator (S
In 5), after determining whether or not the request is possible based on the usage rules of the wide area IP network (S6), a service request is performed if necessary (S7), and a completion report is made (S8). Upon receiving the completion report, the VPN administrator reports the completion to the end user who generated the service request (S9).
【0008】[0008]
【発明が解決しようとする課題】このように、従来のN
Wポリシー管理装置では、VPN間相互接続の際、VP
N間通信に双方のVPNポリシーを反映させることが困
難であり、複数のVPN間でVPNポリシーの競合が発
生する。このため、広域IP網管理者及びVPN管理者
の調整稼動が大きくなり、VPNの運用形態の変化に柔
軟に対応することが困難であった。よって管理負担を軽
減し、管理者のポリシーに基づいてNWを効率的に制御
することが目的のNWポリシー管理装置を導入しても、
効果が得られないという問題があった。As described above, the conventional N
In the W policy management device, the VP
It is difficult to reflect both VPN policies in N-to-N communication, and a conflict in VPN policies occurs between a plurality of VPNs. For this reason, the coordination operation of the wide area IP network administrator and the VPN administrator increases, and it has been difficult to flexibly cope with changes in the operation mode of the VPN. Therefore, even if an NW policy management device that aims to reduce the management burden and efficiently control the NW based on the administrator's policy is introduced,
There was a problem that the effect could not be obtained.
【0009】さらにサービス要求に対して、QoSやセ
キュリティ等の各エレメント制御機能を連携して制御す
る機能を有しておらず、それぞれのエレメントを制御す
るNWポリシー管理装置毎にポリシー設定及びサービス
要求を行う必要があり、ポリシー設定に矛盾が発生する
恐れのあることも問題であった。In addition, there is no function for coordinating each element control function such as QoS and security in response to a service request, and policy setting and service request are performed for each NW policy management device that controls each element. Has to be performed, and there is a problem that inconsistency may occur in the policy setting.
【0010】本発明の目的は、広域IP網管理者及びV
PN管理者の管理負担を軽減し、VPN管理者が規定し
たVPNポリシーに基づいてQoSやセキュリティ等の
エレメント制御機能を運用できる、仮想プライベートネ
ットワーク利用規定(VPNポリシー)管理方法及びそ
の装置を提供することにある。An object of the present invention is to provide a wide area IP network administrator and a V
Provided is a virtual private network usage rule (VPN policy) management method and device capable of reducing the management burden on a PN administrator and operating element control functions such as QoS and security based on a VPN policy defined by the VPN administrator. It is in.
【0011】[0011]
【課題を解決するための手段】本発明では、前記課題を
解決するため、広域IP網を管理するキャリア側の広域
IP網管理者は広域IP網全体に関わるNW管理ポリシ
ーを管理し、個々のVPN内のVPNポリシーについて
はそれぞれのVPN管理者が管理する。このようにポリ
シーを階層的に管理することにより、VPN管理者は権
限の範囲内でVPNの運用形態に応じた柔軟なVPNポ
リシーの設定、変更が可能となり、VPN管理者及び広
域IP網管理者の管理負担を軽減できる。According to the present invention, in order to solve the above-mentioned problems, a wide area IP network manager on a carrier side which manages a wide area IP network manages an NW management policy relating to the entire wide area IP network, and individually manages the NW management policy. Each VPN administrator manages a VPN policy in the VPN. By hierarchically managing the policies in this way, the VPN administrator can set and change a flexible VPN policy according to the operation mode of the VPN within the range of authority, and the VPN administrator and the wide area IP network administrator Management burden can be reduced.
【0012】また、VPNを跨るサービス要求が発生し
た場合は要求元のみならず、通信相手先のVPNポリシ
ーとも照合を行うことにより、双方のVPNポリシーを
反映したVPN間通信が可能となる。Further, when a service request across VPNs is generated, not only the request source but also the VPN policy of the communication partner is checked, so that it is possible to perform inter-VPN communication reflecting both VPN policies.
【0013】また、単一のVPNの管理権限を持つ管理
者が複数のVPNを管理する場合、該管理者が管理権限
を持つVPN群をVPNグループとし、VPNグループ
内のVPN間通信に関わるVPNポリシーの設定の矛盾
を自動的に回避することにより、VPN間通信に関する
ポリシー設定作業を簡略化することができる。即ち、一
方のVPNにおけるVPNポリシーをVPN管理者が設
定し、その通信相手先のVPNが同一VPNグループ内
であると判断された場合は、通信相手先のVPNにもV
PN間通信に関するVPNポリシーを自動生成する。こ
の際、各々のVPNが異なるアドレス体系を持つ場合
も、アドレス変換情報を元にVPNポリシーの自動生成
を行う。When an administrator having a single VPN management authority manages a plurality of VPNs, a group of VPNs to which the administrator has the management authority is defined as a VPN group, and VPNs related to communication between VPNs in the VPN group are set. By automatically avoiding inconsistencies in policy settings, it is possible to simplify the policy setting work for inter-VPN communication. That is, when the VPN administrator sets a VPN policy for one of the VPNs and it is determined that the VPN of the communication partner is in the same VPN group, the VPN of the communication partner is also set to the VPN.
Automatically generate a VPN policy for inter-PN communication. At this time, even when each VPN has a different address system, a VPN policy is automatically generated based on the address translation information.
【0014】さらに、エンドユーザから設定されるQo
S及びVPNを跨った通信の要求を、これらのVPNポ
リシーで検証した後に、QoS制御やVPN間接続に必
要なセキュリティ制御等を行う広域IP網における各ネ
ットワークエレメントの制御装置の設定情報に変換して
配信する。これにより、広域IP網上でQoSやセキュ
リティ等のネットワーク機能をポリシーに基づいて連携
制御可能とする。Further, Qo set by the end user
After verifying a request for communication across S and VPN with these VPN policies, the request is converted into setting information of a control device of each network element in a wide area IP network that performs QoS control, security control necessary for connection between VPNs, and the like. To deliver. As a result, network functions such as QoS and security can be cooperatively controlled on a wide area IP network based on a policy.
【0015】以上の過程をもって上記課題を解決する。The above problem is solved by the above process.
【0016】[0016]
【発明の実施の形態】以下、図面を用いて本発明の実施
の形態を説明する。Embodiments of the present invention will be described below with reference to the drawings.
【0017】図2は本発明の実施の形態の一例を示すも
ので、複数のユーザ(もしくはユーザNW)1a,1
b,1c及び2a,2b,2cがエッジルータ(ER)
を介して広域IP網3に接続され、それぞれVPN#1
及びVPN#2というWAN(Wide Area N
etwork)を構成するネットワーク全体を示してい
る。FIG. 2 shows an example of the embodiment of the present invention, in which a plurality of users (or users NW) 1a, 1
b, 1c and 2a, 2b, 2c are edge routers (ER)
Are connected to the wide area IP network 3 via
And VPN # 2 (Wide Area N)
(E.workwork) is shown.
【0018】本発明のVPNポリシー管理装置(以下、
PMSと略記する。)10は、エッジルータを介して広
域IP網3に接続されており、また、網管理用NW4と
いうLAN(Local Area Network)
にも接続されており、これを用いてNWを構成する各装
置(エレメント)の制御装置との通信を行う(請求項
4)。広域IP網管理者はPMS10のコンソール上に
おいて操作を行い、VPN管理者及びエンドユーザはV
PN#1,VPN#2経由でPMS10に接続し、設定
等の操作を行う。A VPN policy management device of the present invention (hereinafter, referred to as a VPN policy management device)
Abbreviated as PMS. ) 10 is connected to the wide area IP network 3 via an edge router, and is a LAN (Local Area Network) called a network management NW 4.
It is also used to communicate with the control device of each device (element) constituting the NW (Claim 4). The wide area IP network administrator operates on the console of the PMS 10, and the VPN administrator and the end user
It connects to the PMS 10 via PN # 1 and VPN # 2, and performs operations such as setting.
【0019】NWポリシーを構成する情報はIETFの
policy WGによって図3に示すように提案され
ており、本発明では各構成情報の管理者を図4に示すよ
うに階層化、即ちキャリア側の広域IP網管理者を広域
IP網管理者、ユーザNW側管理者をVPN管理者とし
て位置付け、それぞれのVPNポリシーについて広域I
P網管理者は各VPN契約情報の管理を行い、VPN管
理者は管理下にあるVPN内の帯域、セキュリティの運
用ルールの管理を行うことにより、VPNポリシーの管
理権限分散を行う。Information constituting the NW policy is proposed by the policy WG of the IETF as shown in FIG. 3. In the present invention, the managers of the respective configuration information are hierarchized as shown in FIG. The IP network administrator is positioned as the wide area IP network administrator, and the user NW side administrator is positioned as the VPN administrator.
The P network administrator manages each piece of VPN contract information, and the VPN administrator manages bandwidth and security operation rules in the VPN under management, thereby distributing the management authority of the VPN policy.
【0020】これによって、従来のサービス要求の際に
必要とされた、広域IP網管理者とVPN管理者との間
での申し込みや受付、エンドユーザとVPN管理者との
間での申し込みや受付等、通常ルーチンで繰り返される
手間が省かれることになる(請求項2)。Thus, the application and reception between the wide area IP network administrator and the VPN administrator, and the application and reception between the end user and the VPN administrator, which are required for the conventional service request. For example, the labor of repeating in a normal routine can be omitted (claim 2).
【0021】また、VPN間相互接続の際、VPNを跨
るサービス要求が生じた場合、図5に示すように、ユー
ザが所属するVPNのポリシーだけでなく、通信相手先
のVPNのポリシーを参照し(i)、双方で検証される
ことで、相互のVPNのポリシーに基づくセキュリティ
の高い通信が可能となる(請求項1)。When a service request across VPNs occurs at the time of interconnection between VPNs, as shown in FIG. 5, not only the policy of the VPN to which the user belongs but also the policy of the VPN of the communication partner is referred to. (I) By being verified on both sides, highly secure communication based on the mutual VPN policy is possible (claim 1).
【0022】さらに、図5に示すように、企業内、学校
内等で複数のVPNを部署毎、学部毎に契約している場
合は複数のVPNをグループ化し、VPNグループとし
てVPN管理者が複数VPNに跨るポリシーを扱うこと
を可能とする。これによりVPNグループ内でのVPN
相互通信についてはVPNグループ内の1NW管理ポリ
シーとして登録し、ユーザ要求時にそれを参照する(i
i)ことで検証が行われ、VPNポリシーの登録と、P
MS内での検証手順を簡略化できる(請求項2、3)。Further, as shown in FIG. 5, when a plurality of VPNs are contracted for each department or department in a company, a school, or the like, a plurality of VPNs are grouped, and a plurality of VPN administrators are formed as a VPN group. It is possible to handle policies across VPNs. With this, the VPN within the VPN group
The mutual communication is registered as a 1NW management policy in the VPN group, and is referred to when a user requests (i.
i) is verified by registering the VPN policy and P
The verification procedure in the MS can be simplified (claims 2 and 3).
【0023】図6はPMSの構成を示すもので、大きく
分けて6つの機能ブロックからなっている。即ち、図
中、11はユーザインタフェースを提供するポリシー受
付部、12は要求された内容を検証するポリシー検証機
能部、13はポリシー情報や操作記録を格納するデータ
ベースのポリシー格納部、14は制御するネットワーク
エレメントとのやり取りのための共通プラットフォーム
部、15はネットワークエレメントのQoSを制御する
QoS制御装置5との通信を行うQoSポリシー制御
部、16はネットワークエレメントのセキュリティを制
御するセキュリティ制御装置6との通信を行うセキュリ
ティポリシー制御部である。FIG. 6 shows the structure of the PMS, which is roughly divided into six functional blocks. That is, in the figure, 11 is a policy accepting unit that provides a user interface, 12 is a policy verification function unit that verifies requested contents, 13 is a policy storage unit of a database that stores policy information and operation records, and 14 controls. A common platform unit for communication with the network element, 15 is a QoS policy control unit that communicates with the QoS control device 5 that controls QoS of the network element, and 16 is a communication unit that communicates with the security control device 6 that controls security of the network element. It is a security policy control unit that performs communication.
【0024】本発明による広域IP網上のVPNに対す
るサービス変更に関わる各管理者及びユーザとPMSと
のやり取りの概略を図7に示す。FIG. 7 shows an outline of the exchange between the PMS and each administrator and user involved in the service change to the VPN on the wide area IP network according to the present invention.
【0025】また、図8は広域IP網ポリシー登録時の
フローチャートを、図9はVPNポリシー登録時のフロ
ーチャートを、図10はユーザ要求発生時のフローチャ
ートをそれぞれ示すもので、以下、本発明によるサービ
ス変更について説明する。FIG. 8 is a flowchart when registering a wide area IP network policy, FIG. 9 is a flowchart when registering a VPN policy, and FIG. 10 is a flowchart when a user request is generated. The change will be described.
【0026】ユーザがポリシーサービスの享受を希望し
た場合、キャリアである広域IP網管理者は広域IP網
上においてVPNポリシーサービスのサービスユーザ情
報の登録を行う。When the user desires to enjoy the policy service, the wide area IP network administrator who is a carrier registers service user information of the VPN policy service on the wide area IP network.
【0027】まず、PMS10のポリシー受付部11を
介してVPN及びVPNグループの情報を登録し(S1
1)、その管理者情報の登録を行う(S12)。その
後、サービスの契約条件等に関わる広域IP網ポリシー
を登録し(S13)、ポリシー格納部13に格納する
(S14)。First, the information of the VPN and the VPN group is registered via the policy receiving unit 11 of the PMS 10 (S1).
1), the administrator information is registered (S12). Thereafter, a wide area IP network policy relating to service contract conditions and the like is registered (S13) and stored in the policy storage unit 13 (S14).
【0028】上記にて登録されたVPN管理者はポリシ
ー受付部11を介して自分が管理するユーザNWに対し
てのVPNポリシーのエントリ登録を行う(S21)。
PMS10ではポリシー検証機能部12にて広域IP網
ポリシーに照らし合わせ(S22)、広域IP網ポリシ
ーに違反していないか判断する(S23)。The registered VPN administrator registers a VPN policy entry for the user NW managed by the VPN administrator via the policy receiving unit 11 (S21).
In the PMS 10, the policy verification function unit 12 compares the policy with the wide area IP network policy (S22), and determines whether or not the wide area IP network policy is violated (S23).
【0029】ここで、違反していた場合はエントリを中
止し、ポリシー受付部11を介してVPN管理者にその
旨を通知する(S30)。許可され、さらにエントリ登
録されたVPNポリシーがVPNグループ内でのVPN
間通信に関するものであると判断された場合(S24,
S25)は通信相手先VPNポリシーの自動生成を行う
(S26)。この際、双方のVPNが異なるアドレス体
系を用いている場合は、ポリシーに記述されたアドレス
の変換も同時に行う。Here, if there is a violation, the entry is stopped, and the VPN administrator is notified via the policy accepting unit 11 of that fact (S30). The VPN policy that is permitted and registered is the VPN within the VPN group.
Is determined to be related to inter-communication (S24,
In S25), the communication destination VPN policy is automatically generated (S26). At this time, if both VPNs use different address systems, the address conversion described in the policy is also performed at the same time.
【0030】さらに通信相手先VPNのVPNポリシー
及び広域IP網ポリシーに照らし合わせ(S26)、許
可されれば(S27)、ポリシー格納部13にVPNポ
リシーを格納し(S29)、拒否されればエントリを中
止し、ポリシー受付部11を介してVPN管理者に結果
を通知する(S30)。Further, the VPN policy is compared with the VPN policy of the communication destination VPN and the wide area IP network policy (S26). If permitted (S27), the VPN policy is stored in the policy storage unit 13 (S29). Is stopped, and the result is notified to the VPN administrator via the policy receiving unit 11 (S30).
【0031】なお、同一VPNグループ内でないVPN
間通信と判断された場合(S24,S25)は、自VP
NのVPNポリシーのみをポリシー格納部13に格納す
る(S29)。Note that a VPN that is not in the same VPN group
If it is determined that the communication is inter-communication (S24, S25), the own VP
Only the N VPN policies are stored in the policy storage unit 13 (S29).
【0032】エンドユーザがVPNポリシーサービスを
享受しようと欲した場合、エンドユーザは利用要求をP
MS10のポリシー受付部11に送る(S41)。PM
S10は、まずポリシー検証機能部12にてエンドユー
ザが所属するVPNのVPNポリシーと利用要求の照合
を行い(S42)、許可判断を行う(S43)。不許可
の場合、その旨をポリシー受付部11を介してエンドユ
ーザに通知して処理を終わる(S49)。許可された場
合、その利用要求がVPNを跨るかどうかの判断を行う
(S44)。If the end user wants to enjoy the VPN policy service, the end user sends a P
It is sent to the policy receiving unit 11 of the MS 10 (S41). PM
In S10, first, the policy verification function unit 12 checks the use policy with the VPN policy of the VPN to which the end user belongs (S42), and determines permission (S43). In the case of non-permission, the fact is notified to the end user via the policy receiving unit 11, and the process is terminated (S49). If permitted, it is determined whether the use request crosses the VPN (S44).
【0033】跨っていなければQoS・セキュリティ制
御を行う(S48)。跨っていた場合、さらに要求がV
PNグループを跨るかどうかの判断を行い(S45)、
跨っていれば相手先VPNポリシーとの照合を行い(S
46)、許可判断を行う(S47)。許可判断がされれ
ばQoS・セキュリティ制御を行い(S48)、結果通
知を行う(S49)。If not, QoS / security control is performed (S48). If straddling, the request is V
It is determined whether or not the PN group is straddled (S45),
If it is straddled, it is compared with the VPN policy of the other party (S
46), a permission determination is made (S47). If permission is determined, QoS / security control is performed (S48), and the result is notified (S49).
【0034】また、図11は前述したQoS・セキュリ
ティ制御に関する詳細フローチャートを示すものであ
る。FIG. 11 is a flowchart showing details of the QoS / security control described above.
【0035】前述したステップS48で発出されたQo
S・セキュリティ制御要求は共通プラットフォーム部1
4にてQoS及びセキュリティ成分に分解され(S5
1)、セキュリティ成分をセキュリティ制御装置6の設
定情報に変換する(S52)。さらに、その設定情報が
既にセキュリティ制御装置6に登録されている内容かど
うかを判断し(S53)、未設定ならばセキュリティポ
リシー制御部16を介してセキュリティ制御装置6に設
定する(S54)。The Qo issued in step S48 described above.
S ・ Security control request is common platform part 1
In step S4, it is decomposed into QoS and security components
1) The security component is converted into setting information of the security control device 6 (S52). Further, it is determined whether or not the setting information has already been registered in the security control device 6 (S53). If not set, the setting information is set in the security control device 6 via the security policy control unit 16 (S54).
【0036】また、QoS成分をQoS制御装置5の設
定情報に変換し(S55)、QoSポリシー制御部15
を介してQoS制御装置5に設定する(S56)。設定
結果はポリシー受付部11を介してユーザに通知される
(S57)。The QoS component is converted into setting information of the QoS control device 5 (S55), and the QoS policy control unit 15
Is set in the QoS control device 5 via the control unit (S56). The setting result is notified to the user via the policy receiving unit 11 (S57).
【0037】図12に登録されたVPNポリシーの閲覧
画面の一例を、図13にエンドユーザからのサービス要
求の設定画面の一例を示す。FIG. 12 shows an example of a registered VPN policy browsing screen, and FIG. 13 shows an example of a service request setting screen from an end user.
【0038】[0038]
【発明の効果】以上説明したように、本発明によれば、
以下のような優れた効果を奏することができる。 (1)複数ユーザでリソースを共有する広域IP網上
で、各々のVPNの管理者のポリシーに基づいたセキュ
リティの高いVPN間通信を行うことが可能となる。 (2)VPNポリシーを階層的に管理することにより、
VPN管理者は管理下にあるVPNのポリシーを柔軟に
設定変更することが可能となり、VPN網管理者及び広
域IP網管理者の稼動が軽減される。さらに、複数のV
PNをグループ化し、仮想的な1つのVPNのように見
せることでVPN間のアドレス空間の相違やフィルタリ
ング設定等を意識することなく、一人のVPN管理者が
VPN間通信のVPNポリシーを簡易に設定することが
可能となる。 (3)VPNを跨るサービス要求に対し、QoS制御に
連動したVPN間接続等のセキュリティ制御を自動的に
行う等、異なるサービスを制御するエレメントの制御装
置を連携制御することにより、設定稼動の軽減と矛盾の
ない設定が可能となる。As described above, according to the present invention,
The following excellent effects can be obtained. (1) It is possible to perform highly secure inter-VPN communication based on a policy of each VPN administrator on a wide area IP network in which resources are shared by a plurality of users. (2) By hierarchically managing VPN policies,
The VPN administrator can flexibly change the setting of the policy of the VPN under management, and the operations of the VPN network administrator and the wide area IP network administrator are reduced. Further, a plurality of V
By grouping PNs and making them look like a single virtual VPN, one VPN administrator can easily set the VPN policy for inter-VPN communication without being aware of differences in address space between VPNs, filtering settings, etc. It is possible to do. (3) Reduced setting operation by cooperatively controlling control devices of elements that control different services, such as automatically performing security control such as connection between VPNs in conjunction with QoS control in response to service requests across VPNs Settings consistent with the above are possible.
【図1】従来のサービス変更の流れの概略を示すフロー
チャートFIG. 1 is a flowchart showing an outline of a flow of a conventional service change.
【図2】本発明の実施の形態の一例を示すネットワーク
構成図FIG. 2 is a network configuration diagram showing an example of an embodiment of the present invention.
【図3】IETF policy WGの提案における
NWポリシーの構成情報を示す説明図FIG. 3 is an explanatory diagram showing configuration information of a NW policy in a proposal of IETF policy WG;
【図4】本発明による階層化されたVPNポリシー管理
者と管理内容を示す説明図FIG. 4 is an explanatory diagram showing hierarchical VPN policy managers and management contents according to the present invention;
【図5】VPNを跨ったサービス要求に対する検証のよ
うすを示す説明図FIG. 5 is an explanatory diagram showing a state of verification for a service request across VPNs;
【図6】本発明のVPNポリシー管理装置の機能ブロッ
ク図FIG. 6 is a functional block diagram of the VPN policy management device of the present invention.
【図7】本発明によるサービス変更に関わるやり取りの
概略を示す説明図FIG. 7 is an explanatory diagram showing an outline of an exchange related to a service change according to the present invention.
【図8】広域IP網ポリシー登録時のフローチャートFIG. 8 is a flowchart for registering a wide area IP network policy.
【図9】VPNポリシー登録時のフローチャートFIG. 9 is a flowchart for registering a VPN policy.
【図10】ユーザ要求発生時のフローチャートFIG. 10 is a flowchart when a user request occurs.
【図11】QoS・セキュリティ制御に関する詳細フロ
ーチャートFIG. 11 is a detailed flowchart relating to QoS / security control.
【図12】VPNポリシーの閲覧画面の一例を示す図FIG. 12 is a diagram showing an example of a VPN policy browsing screen.
【図13】サービス要求の設定画面の一例を示す図FIG. 13 is a diagram illustrating an example of a service request setting screen.
1a,1b,1c,2a,2b,2c:ユーザ、3:広
域IP網、4:網管理用NW、5:QoS制御装置、
6:セキュリティ制御装置、10:VPNポリシー管理
装置、11:ポリシー受付部、12:ポリシー検証機能
部、13:ポリシー格納部、14:共通プラットフォー
ム部、15:QoSポリシー制御部、16:セキュリテ
ィポリシー制御部。1a, 1b, 1c, 2a, 2b, 2c: user, 3: wide area IP network, 4: network management NW, 5: QoS control device,
6: Security control device, 10: VPN policy management device, 11: Policy reception unit, 12: Policy verification function unit, 13: Policy storage unit, 14: Common platform unit, 15: QoS policy control unit, 16: Security policy control Department.
フロントページの続き (72)発明者 金子 真也 大阪府大阪市中央区馬場町3番15号 西日 本電信電話株式会社内 Fターム(参考) 5K030 GA11 HA08 HC01 HD03 HD07 HD09 JA00 LB20 LC05 LD20 9A001 CC07 KK56 LL09 Continuation of front page (72) Inventor Shinya Kaneko 3-15 Babacho, Chuo-ku, Osaka-shi, Osaka F-term (reference) in Nippon Telegraph and Telephone Corporation 5K030 GA11 HA08 HC01 HD03 HD07 HD09 JA00 LB20 LC05 LD20 9A001 CC07 KK56 LL09
Claims (5)
想プライベートネットワークにおける利用規定の管理方
法であって、 複数の仮想プライベートネットワーク毎に定める利用規
定の管理を行い、 仮想プライベートネットワーク間通信時のエンドユーザ
からのサービス要求を、要求元の仮想プライベートネッ
トワークの利用規定と、通信相手先の仮想プライベート
ネットワークの利用規定との双方で検証することを特徴
とする仮想プライベートネットワーク利用規定管理方
法。Claims 1. A method of managing usage rules in a virtual private network constructed and operated on a wide area IP network, comprising: managing usage rules defined for each of a plurality of virtual private networks; A service request from an end user is verified by both a use rule of a virtual private network of a request source and a use rule of a virtual private network of a communication partner.
定を、広域IP網の管理者と、少なくとも1つの仮想プ
ライベートネットワークの管理権限を持つ管理者とで階
層的に管理することを特徴とする請求項1記載の仮想プ
ライベートネットワーク利用規定管理方法。2. The use rule of a virtual private network is hierarchically managed by an administrator of a wide area IP network and an administrator having an authority to manage at least one virtual private network. Virtual private network usage policy management method.
管理権限を持つ管理者が複数の仮想プライベートネット
ワークを管理する場合、これらの仮想プライベートネッ
トワーク間通信に関する仮想プライベートネットワーク
の利用規定を自動生成することを特徴とする請求項1記
載の仮想プライベートネットワーク利用規定管理方法。3. When a manager having the authority to manage a single virtual private network manages a plurality of virtual private networks, a use rule of the virtual private network relating to communication between these virtual private networks is automatically generated. 2. The virtual private network usage rule management method according to claim 1, wherein:
域保証制御や仮想プライベートネットワーク間接続に必
要なセキュリティ制御等を行う各ネットワーク構成装置
の制御装置の設定情報に変換して配信することを特徴と
する請求項1記載の仮想プライベートネットワーク利用
規定管理方法。4. The method according to claim 1, wherein a service request from an end user is converted into setting information of a control device of each network component device which performs a band guarantee control and a security control necessary for connection between virtual private networks, and distributes the converted information. 2. The virtual private network usage rule management method according to claim 1, wherein:
想プライベートネットワークにおける利用規定の管理装
置であって、 広域IP網の利用規定及び仮想プライベートネットワー
クの利用規定を格納する格納部と、 広域IP網の利用規定と仮想プライベートネットワーク
の利用規程との矛盾や登録済の仮想プライベートネット
ワークの利用規定とエンドユーザからのサービス要求と
の矛盾を検証する検証機能部と、 仮想プライベートネットワークの管理者からの利用規程
の登録要求を受け付け、広域IP網の利用規定との検証
結果に従って格納部に格納するとともに、エンドユーザ
からのサービス要求を受け付ける受付部と、 サービス要求の検証結果に従ってネットワーク構成装置
の帯域保証制御装置及びセキュリティ制御装置に対する
設定を行う制御部とを備えたことを特徴とする仮想プラ
イベートネットワーク利用規定管理装置。5. A management device for use rules in a virtual private network constructed and operated on a wide area IP network, comprising: a storage unit for storing use rules of a wide area IP network and use rules of a virtual private network; A verification function unit for verifying inconsistency between the usage rule of the IP network and the usage rule of the virtual private network, and the inconsistency of the usage rule of the registered virtual private network and the service request from the end user; And a storage unit for receiving a service request from an end user in accordance with the result of verification with the usage rule of the wide area IP network, and receiving a service request from an end user. For assurance control device and security control device Virtual Private Network use policy management apparatus characterized by comprising a control unit which performs constant.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000057568A JP3621324B2 (en) | 2000-03-02 | 2000-03-02 | Virtual private network usage rule management method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000057568A JP3621324B2 (en) | 2000-03-02 | 2000-03-02 | Virtual private network usage rule management method and apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001251307A true JP2001251307A (en) | 2001-09-14 |
| JP3621324B2 JP3621324B2 (en) | 2005-02-16 |
Family
ID=18578329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000057568A Expired - Fee Related JP3621324B2 (en) | 2000-03-02 | 2000-03-02 | Virtual private network usage rule management method and apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3621324B2 (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006333082A (en) * | 2005-05-26 | 2006-12-07 | Nec Corp | Grid communication system and method |
| US7260830B2 (en) | 2000-06-01 | 2007-08-21 | Asgent, Inc. | Method and apparatus for establishing a security policy, and method and apparatus for supporting establishment of security policy |
| JP2010004426A (en) * | 2008-06-23 | 2010-01-07 | Hitachi Ltd | Communication system and server device |
| US8332483B2 (en) | 2003-12-15 | 2012-12-11 | International Business Machines Corporation | Apparatus, system, and method for autonomic control of grid system resources |
-
2000
- 2000-03-02 JP JP2000057568A patent/JP3621324B2/en not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7260830B2 (en) | 2000-06-01 | 2007-08-21 | Asgent, Inc. | Method and apparatus for establishing a security policy, and method and apparatus for supporting establishment of security policy |
| US7823206B2 (en) | 2000-06-01 | 2010-10-26 | Asgent, Inc. | Method and apparatus for establishing a security policy, and method and apparatus of supporting establishment of security policy |
| US8332483B2 (en) | 2003-12-15 | 2012-12-11 | International Business Machines Corporation | Apparatus, system, and method for autonomic control of grid system resources |
| JP2006333082A (en) * | 2005-05-26 | 2006-12-07 | Nec Corp | Grid communication system and method |
| JP2010004426A (en) * | 2008-06-23 | 2010-01-07 | Hitachi Ltd | Communication system and server device |
| US8848522B2 (en) | 2008-06-23 | 2014-09-30 | Hitachi, Ltd. | Telecommunications system and server apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3621324B2 (en) | 2005-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3901487B2 (en) | VPN service management system, VPN service manager and VPN service agent | |
| US7925737B2 (en) | System and method for dynamic configuration of network resources | |
| US7027564B2 (en) | System, method and apparatus for supporting E911 emergency services in a data communications network | |
| US8032630B2 (en) | Method and apparatus for comprehensive network management system | |
| CA2514004C (en) | System and method for controlling network access | |
| US20040093492A1 (en) | Virtual private network management with certificates | |
| US20080130661A1 (en) | System and Communication Method of Ip Telecommunication Network and its Application | |
| CN1860467A (en) | System and method for dynamic network policy management | |
| US7457627B2 (en) | Transfer of information in a communication network with a verified QoS | |
| US20070022191A1 (en) | Method for implementing network management | |
| US7310671B1 (en) | System and method for a trouble shooting portal to allow temporary management access to a communication device | |
| WO2002006973A1 (en) | Method and apparatus for automated service provisioning across multiple networking technologies | |
| CN107222325A (en) | The generation method and device of a kind of virtual network | |
| US7694015B2 (en) | Connection control system, connection control equipment and connection management equipment | |
| Nguyen et al. | COPS-SLS usage for dynamic policy-based QoS management over heterogeneous IP networks | |
| CN110611658B (en) | SD-WAN-based equipment authentication method and system | |
| US6799216B2 (en) | System uses domain managers to communicate service parameters to domain boundary controllers for managing special internet connections across domain boundaries | |
| JP2001251307A (en) | Method for regulating and managing use of virtual private network and its system | |
| EP0748142A2 (en) | Broadband resources interface management | |
| JPH1028144A (en) | System for constituting network with access control function | |
| CN100359876C (en) | Realization of virtual special network in IP telecommunication network system | |
| CN100362804C (en) | Method and system for realizing area management over sub network | |
| JP2002374249A (en) | System for setting and releasing dynamic virtual private network | |
| US20040083298A1 (en) | Network service manager device using the cops protocol to configure a virtual private network | |
| EP3432518B1 (en) | Remote management method and circuitry for mobile broadband router |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040301 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040720 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040914 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20041116 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20041117 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071126 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081126 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091126 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101126 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |