JP2002271417A - トンネリング装置 - Google Patents
トンネリング装置Info
- Publication number
- JP2002271417A JP2002271417A JP2001061941A JP2001061941A JP2002271417A JP 2002271417 A JP2002271417 A JP 2002271417A JP 2001061941 A JP2001061941 A JP 2001061941A JP 2001061941 A JP2001061941 A JP 2001061941A JP 2002271417 A JP2002271417 A JP 2002271417A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- packet
- network
- tunneling
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 IP網を介したLAN同士を共通のVPNと
して運用可能とするトンネリング装置を提供する。 【解決手段】 LAN側ポートでは、ネットワークを流
れるデータリンク層のフレーム121全てを受信し、そ
の受信したフレームをデータとするIPパケット125
を作成(カプセル化)し、そのパケットをIP網側ポー
トからトンネリングの終端局宛てに送信する機能を備
え、IP網側ポートでは、自局宛てに送られてきたIP
パケット125を受信し、そのIPパケット125がデ
ータリンク層のフレームをカプセル化したものである場
合には、そのIPパケット125からデータリンク層の
フレーム121を取り出し、そのフレーム121をLA
N側ポートから送信する。
して運用可能とするトンネリング装置を提供する。 【解決手段】 LAN側ポートでは、ネットワークを流
れるデータリンク層のフレーム121全てを受信し、そ
の受信したフレームをデータとするIPパケット125
を作成(カプセル化)し、そのパケットをIP網側ポー
トからトンネリングの終端局宛てに送信する機能を備
え、IP網側ポートでは、自局宛てに送られてきたIP
パケット125を受信し、そのIPパケット125がデ
ータリンク層のフレームをカプセル化したものである場
合には、そのIPパケット125からデータリンク層の
フレーム121を取り出し、そのフレーム121をLA
N側ポートから送信する。
Description
【0001】
【発明の属する技術分野】本発明は、広域の各地に点在
する事業所や大学等のローカルエリアネットワークを専
用線に比べて低コストなIP網を使って接続し、仮想的
なプライベートネットワークを構成するVPN技術に係
り、特に、企業や大学、ISP等に設置して使用するV
PN装置のためのトンネリング装置に関するものであ
る。
する事業所や大学等のローカルエリアネットワークを専
用線に比べて低コストなIP網を使って接続し、仮想的
なプライベートネットワークを構成するVPN技術に係
り、特に、企業や大学、ISP等に設置して使用するV
PN装置のためのトンネリング装置に関するものであ
る。
【0002】
【従来の技術】端末が互いに遠隔地に存在するネットワ
ークを安全に接続するためのVPN方式としてRFC2
401等で規定されるIPsecを使用したもの、RF
C2661で規定されるL2TPを使用したもの、RF
C2547で規定されるMPLSを使用したものの3つ
の方式が一般的に知られている。
ークを安全に接続するためのVPN方式としてRFC2
401等で規定されるIPsecを使用したもの、RF
C2661で規定されるL2TPを使用したもの、RF
C2547で規定されるMPLSを使用したものの3つ
の方式が一般的に知られている。
【0003】まず、図4を用いてIPsecを使用した
方式について述べる。LAN421,422をIP網4
31を介して仮想的なプライベートネットワークとして
安全に接続するため、IPsec機能を搭載したルータ
441,442を使って接続する。端末411〜412
と端末413〜414との間で送受信されるパケット
は、ルータ441,442によってIPsecの暗号化
及び認証が行われ、インターネット上では図14のAH
ヘッダが付加された状態、または図15のESPペイロ
ードフォーマットによりカプセル化された状態、または
その両方の状態でパケットが転送される。これにより、
LAN421,422間の通信内容がネットワーク上の
第三者による盗聴やパケットの改竄から保護され、各端
末が安全に通信を行うことができる。
方式について述べる。LAN421,422をIP網4
31を介して仮想的なプライベートネットワークとして
安全に接続するため、IPsec機能を搭載したルータ
441,442を使って接続する。端末411〜412
と端末413〜414との間で送受信されるパケット
は、ルータ441,442によってIPsecの暗号化
及び認証が行われ、インターネット上では図14のAH
ヘッダが付加された状態、または図15のESPペイロ
ードフォーマットによりカプセル化された状態、または
その両方の状態でパケットが転送される。これにより、
LAN421,422間の通信内容がネットワーク上の
第三者による盗聴やパケットの改竄から保護され、各端
末が安全に通信を行うことができる。
【0004】次に、図5を用いてL2TPを使用した方
式について述べる。この方式では、VPN接続を行う端
末は、まず電話回線523を使用してLAC571にP
PPで接続する。LAC571は、このPPPフレーム
に図16に示すL2TPヘッダを付加してL2TPフレ
ームとした後、このL2TPフレームをIP網531を
経由してルータ542へパケットとして転送する。ルー
タ542はLNSと呼ばれ、このL2TPフレームをL
AN522のフレームフォーマットに変換し、LAN5
22上の端末に転送する。また、電話回線523を使用
しない場合、上記LAC機能を備えた専用ソフトを搭載
した端末512(LACクライアント)は、上記LAC
571と同様にPPPフレームにL2TPヘッダを付加
し、そのL2TPフレームをLAN522に転送し、L
AN522上の端末と通信を行う。これにより、IP網
上でLACまたはLACクライアントからLNSまでに
仮想的なポイントトゥポイントコネクションが張られ、
IP網を介して端末511,512をプライベートネッ
トワークであるLAN522に安全に接続することがで
きる。
式について述べる。この方式では、VPN接続を行う端
末は、まず電話回線523を使用してLAC571にP
PPで接続する。LAC571は、このPPPフレーム
に図16に示すL2TPヘッダを付加してL2TPフレ
ームとした後、このL2TPフレームをIP網531を
経由してルータ542へパケットとして転送する。ルー
タ542はLNSと呼ばれ、このL2TPフレームをL
AN522のフレームフォーマットに変換し、LAN5
22上の端末に転送する。また、電話回線523を使用
しない場合、上記LAC機能を備えた専用ソフトを搭載
した端末512(LACクライアント)は、上記LAC
571と同様にPPPフレームにL2TPヘッダを付加
し、そのL2TPフレームをLAN522に転送し、L
AN522上の端末と通信を行う。これにより、IP網
上でLACまたはLACクライアントからLNSまでに
仮想的なポイントトゥポイントコネクションが張られ、
IP網を介して端末511,512をプライベートネッ
トワークであるLAN522に安全に接続することがで
きる。
【0005】次に、図6を用いてMPLSを使用した方
式について述べる。LANとIP網とを接続するルータ
641,642はLE(Label edge)ルータと呼ばれ、図
17に示すシムヘッダを付けてフレームを転送する機能
を持つ。また、IP網内はシムヘッダ内のラベルに従っ
てパケットを交換する機能を持つLSR(Label Switch
router) 643〜645で接続する。端末611から端
末613に送信されたフレームは、LEルータ641に
よってシムヘッダが付加され、パケットとしてIP網に
送信された後、シムヘッダ内のラベルに従ってLSR6
43〜645によって転送される。そのパケットがLE
ルータ642まで到達すると、LEルータ642はこの
シムヘッダを取り外し、フレームを端末613に転送す
る。LSR間で行われるパケット転送は、ネットワーク
アドレスではなくLE641で付けられたラベルのみを
参照して行われるため、他のネットワークから送信され
たパケットが転送されることがなく、LAN621とL
AN622との間の通信が保護される。
式について述べる。LANとIP網とを接続するルータ
641,642はLE(Label edge)ルータと呼ばれ、図
17に示すシムヘッダを付けてフレームを転送する機能
を持つ。また、IP網内はシムヘッダ内のラベルに従っ
てパケットを交換する機能を持つLSR(Label Switch
router) 643〜645で接続する。端末611から端
末613に送信されたフレームは、LEルータ641に
よってシムヘッダが付加され、パケットとしてIP網に
送信された後、シムヘッダ内のラベルに従ってLSR6
43〜645によって転送される。そのパケットがLE
ルータ642まで到達すると、LEルータ642はこの
シムヘッダを取り外し、フレームを端末613に転送す
る。LSR間で行われるパケット転送は、ネットワーク
アドレスではなくLE641で付けられたラベルのみを
参照して行われるため、他のネットワークから送信され
たパケットが転送されることがなく、LAN621とL
AN622との間の通信が保護される。
【0006】ここで、本明細書に使用される略語の日本
語表記又は簡単な説明を列記しておく。
語表記又は簡単な説明を列記しておく。
【0007】OSI(Open Systems Interconnection)参
照モデル:国際標準化機構が定める開放型システム間相
互接続参照モデル。2層はデータリンク層、3層はネッ
トワーク層、4層はトランスポート層と呼ばれる。
照モデル:国際標準化機構が定める開放型システム間相
互接続参照モデル。2層はデータリンク層、3層はネッ
トワーク層、4層はトランスポート層と呼ばれる。
【0008】IP(Internet Protocol) :インターネッ
トプロトコル(ネットワーク層) TCP/IP(Transport Control Protocol/Internet P
rotocol):インターネットの標準プロトコル群 UDP(User Datagram Protocol):コネクションレス型
のトランスポート層プロトコル TCP(Transmission Control Protocol) :コネクショ
ン型のトランスポート層プロトコル VPN(Virtual Private Network) :仮想私設網 ISP(Internet Service Provider) :インターネット
サービスプロバイダ RFC(Request for Comments):インターネットアーキ
テクチャ委員会による標準勧告文書、2401、266
1、2547などはその文書の番号 IPsec(IP security) :インターネットプロトコル
セキュリティ ESP:IPsecにより作成した暗号化データ、ヘッ
ダを示す名称 L2TP(Layer Two Tunneling Protocol):レイヤ2ト
ンネリングプロトコルMPLS(Multi Protocol Label
Switching):マルチプロトコルラベルスイッチング LAC(L2TP Access Concentrator):L2TPアクセス
コントローラ PPP(Point to Point Protocol) :公衆回線でIP接
続するためのプロトコル LNS(LT2P Network Server) :L2TPネットワーク
サーバ IEEE(Institute of Electrical and Electronics E
ngineers) :アメリカ電気・電子技術者協会 IPv6(IP version 6):アドレス長を長くしたIP NetBIOS(Network Basic Input/Output System)
:ネットワーク基本入力システム IPX(Internetwork Packet Exchange):ノベル社のネ
ットワーク層プロトコル AppleTalk:アップル社のネットワークOS 以上に列記しないものも含め本明細書に使用される略
語、用語は、いずれも公知の文献に記載されているもの
であり、本明細書では詳細な説明は省略する。
トプロトコル(ネットワーク層) TCP/IP(Transport Control Protocol/Internet P
rotocol):インターネットの標準プロトコル群 UDP(User Datagram Protocol):コネクションレス型
のトランスポート層プロトコル TCP(Transmission Control Protocol) :コネクショ
ン型のトランスポート層プロトコル VPN(Virtual Private Network) :仮想私設網 ISP(Internet Service Provider) :インターネット
サービスプロバイダ RFC(Request for Comments):インターネットアーキ
テクチャ委員会による標準勧告文書、2401、266
1、2547などはその文書の番号 IPsec(IP security) :インターネットプロトコル
セキュリティ ESP:IPsecにより作成した暗号化データ、ヘッ
ダを示す名称 L2TP(Layer Two Tunneling Protocol):レイヤ2ト
ンネリングプロトコルMPLS(Multi Protocol Label
Switching):マルチプロトコルラベルスイッチング LAC(L2TP Access Concentrator):L2TPアクセス
コントローラ PPP(Point to Point Protocol) :公衆回線でIP接
続するためのプロトコル LNS(LT2P Network Server) :L2TPネットワーク
サーバ IEEE(Institute of Electrical and Electronics E
ngineers) :アメリカ電気・電子技術者協会 IPv6(IP version 6):アドレス長を長くしたIP NetBIOS(Network Basic Input/Output System)
:ネットワーク基本入力システム IPX(Internetwork Packet Exchange):ノベル社のネ
ットワーク層プロトコル AppleTalk:アップル社のネットワークOS 以上に列記しないものも含め本明細書に使用される略
語、用語は、いずれも公知の文献に記載されているもの
であり、本明細書では詳細な説明は省略する。
【0009】
【発明が解決しようとする課題】従来技術において、I
Psecを使用した方式では、ネットワーク層において
IPパケットの暗号化とカプセル化とを行うため、通信
可能なプロトコルがIPに限定されてしまう。
Psecを使用した方式では、ネットワーク層において
IPパケットの暗号化とカプセル化とを行うため、通信
可能なプロトコルがIPに限定されてしまう。
【0010】また、L2TPを使用した方式では、クラ
イアントがPPP接続しているか、または専用ソフトを
使用しなければならず、特定のクライアントしかVPN
を利用することができない。
イアントがPPP接続しているか、または専用ソフトを
使用しなければならず、特定のクライアントしかVPN
を利用することができない。
【0011】また、MPLSを使用した方式では、MP
LSに対応したルータで構成されたネットワーク内でし
か通信できないという問題がある。
LSに対応したルータで構成されたネットワーク内でし
か通信できないという問題がある。
【0012】そこで、本発明の目的は、上記課題を解決
し、IP網を介したLAN同士を共通のVPNとして運
用可能とするトンネリング装置を提供することにある。
し、IP網を介したLAN同士を共通のVPNとして運
用可能とするトンネリング装置を提供することにある。
【0013】
【課題を解決するための手段】上記目的を達成するため
に本発明は、OSI参照モデルのデータリンク層のフレ
ームを送受信することができるLAN側ポートとOSI
参照モデルのネットワーク層のフレーム(パケット)を
送受信することができるIP網側ポートとを備え、自局
をトンネリングの始点としたときのトンネリングの終点
となる終端局のIPアドレスを登録するバッファ部を備
え、前記LAN側ポートでは、ネットワークを流れるデ
ータリンク層のフレーム全てを受信し、その受信したフ
レームをデータとするIPパケットを作成(カプセル
化)し、そのパケットをIP網側ポートからトンネリン
グの終端局宛てに送信する機能を備え、前記IP網側ポ
ートでは、自局宛てに送られてきたIPパケットを受信
し、そのIPパケットがデータリンク層のフレームをカ
プセル化したものである場合には、そのIPパケットか
らデータリンク層のフレームを取り出し、そのフレーム
をLAN側ポートから送信する機能を備えたものであ
る。
に本発明は、OSI参照モデルのデータリンク層のフレ
ームを送受信することができるLAN側ポートとOSI
参照モデルのネットワーク層のフレーム(パケット)を
送受信することができるIP網側ポートとを備え、自局
をトンネリングの始点としたときのトンネリングの終点
となる終端局のIPアドレスを登録するバッファ部を備
え、前記LAN側ポートでは、ネットワークを流れるデ
ータリンク層のフレーム全てを受信し、その受信したフ
レームをデータとするIPパケットを作成(カプセル
化)し、そのパケットをIP網側ポートからトンネリン
グの終端局宛てに送信する機能を備え、前記IP網側ポ
ートでは、自局宛てに送られてきたIPパケットを受信
し、そのIPパケットがデータリンク層のフレームをカ
プセル化したものである場合には、そのIPパケットか
らデータリンク層のフレームを取り出し、そのフレーム
をLAN側ポートから送信する機能を備えたものであ
る。
【0014】前記LAN側ポートにおいて受信したデー
タリンク層フレームをカプセル化する際に、データの内
容を暗号化し、その暗号化したデータに暗号化方式など
を設定した暗号化ヘッダを付加し、さらに送信者の正当
性を証明する認証ヘッダを付加する機能を備え、前記I
P網側ポートにおいて受信したIPパケットからデータ
リンク層のフレームを取り出す際に、そのIPパケット
に認証ヘッダが含まれている場合にはその認証ヘッダに
よりIPパケット送信者の正当性やデータ改竄の有無を
検証し、さらに前記IPパケットに暗号化ヘッダが含ま
れている場合には暗号化されているデータを復号化する
機能を備えてもよい。
タリンク層フレームをカプセル化する際に、データの内
容を暗号化し、その暗号化したデータに暗号化方式など
を設定した暗号化ヘッダを付加し、さらに送信者の正当
性を証明する認証ヘッダを付加する機能を備え、前記I
P網側ポートにおいて受信したIPパケットからデータ
リンク層のフレームを取り出す際に、そのIPパケット
に認証ヘッダが含まれている場合にはその認証ヘッダに
よりIPパケット送信者の正当性やデータ改竄の有無を
検証し、さらに前記IPパケットに暗号化ヘッダが含ま
れている場合には暗号化されているデータを復号化する
機能を備えてもよい。
【0015】
【発明の実施の形態】以下、本発明の一実施形態を添付
図面に基づいて詳述する。
図面に基づいて詳述する。
【0016】図1に示されるように、本発明に係るトン
ネリング装置101は、LAN側の伝送路に接続される
LAN側ポートとIP網131側の伝送路に接続される
IP網側ポートとを備え、自局をトンネリングの始点と
したときのトンネリングの終点となる終端局のIPアド
レスを登録するバッファ部を内部に備えている。
ネリング装置101は、LAN側の伝送路に接続される
LAN側ポートとIP網131側の伝送路に接続される
IP網側ポートとを備え、自局をトンネリングの始点と
したときのトンネリングの終点となる終端局のIPアド
レスを登録するバッファ部を内部に備えている。
【0017】このトンネリング装置101は、LANか
ら受信したデータリンク層のフレーム(ここではイーサ
ネット(登録商標)フレーム;イーサフレームともい
う)121をUDPデータとし、このUDPデータにU
DPヘッダを付加してフレーム122を作成するUDP
フレーム作成手段と、このUDPヘッダを含むフレーム
122全体を所定の暗号化方式(ここではIPsecに
基づく暗号化方式)で暗号化し、この暗号化データにE
SPヘッダ及びトレーラを付加してフレーム(ESPデ
ータ)123を作成する暗号化手段と、このフレーム1
23にこのフレーム123を認証データとする認証ヘッ
ダ(ここではAHヘッダ)を付加してフレーム124を
作成する認証情報付加手段と、このフレーム124をI
Pデータとし、このIPデータにバッファ部に登録され
ているIPアドレスを用いたIPヘッダを付加してネッ
トワーク層のフレーム(IPパケット)125を作成
(カプセル化)するカプセル化手段とを備える。
ら受信したデータリンク層のフレーム(ここではイーサ
ネット(登録商標)フレーム;イーサフレームともい
う)121をUDPデータとし、このUDPデータにU
DPヘッダを付加してフレーム122を作成するUDP
フレーム作成手段と、このUDPヘッダを含むフレーム
122全体を所定の暗号化方式(ここではIPsecに
基づく暗号化方式)で暗号化し、この暗号化データにE
SPヘッダ及びトレーラを付加してフレーム(ESPデ
ータ)123を作成する暗号化手段と、このフレーム1
23にこのフレーム123を認証データとする認証ヘッ
ダ(ここではAHヘッダ)を付加してフレーム124を
作成する認証情報付加手段と、このフレーム124をI
Pデータとし、このIPデータにバッファ部に登録され
ているIPアドレスを用いたIPヘッダを付加してネッ
トワーク層のフレーム(IPパケット)125を作成
(カプセル化)するカプセル化手段とを備える。
【0018】また、このトンネリング装置101は、I
P網131から受信したネットワーク層のフレーム(I
Pパケット)が上記カプセル化によるIPパケット12
5であることを認識するカプセル化認識手段と、そのI
Pデータであるフレーム124に含まれている認証ヘッ
ダを認識して認証データの認証を行う認証手段と、その
認証データ(フレーム123)に含まれている暗号化ヘ
ッダを認識して暗号化データを復号化してUDPフレー
ム122を復元する復号化手段と、そのUDPフレーム
122からデータリンク層のフレーム121を取り出す
フレーム取出手段とを備える。
P網131から受信したネットワーク層のフレーム(I
Pパケット)が上記カプセル化によるIPパケット12
5であることを認識するカプセル化認識手段と、そのI
Pデータであるフレーム124に含まれている認証ヘッ
ダを認識して認証データの認証を行う認証手段と、その
認証データ(フレーム123)に含まれている暗号化ヘ
ッダを認識して暗号化データを復号化してUDPフレー
ム122を復元する復号化手段と、そのUDPフレーム
122からデータリンク層のフレーム121を取り出す
フレーム取出手段とを備える。
【0019】111はLANに接続された端末、141
はIP網131との中継を行うルータである。図1に
は、トンネリング装置101が1つしか示されていない
が、IP網131に複数のトンネリング装置101が繋
がることにより、トンネリング装置相互間の送受信が実
現できる。その例を図2により説明する。
はIP網131との中継を行うルータである。図1に
は、トンネリング装置101が1つしか示されていない
が、IP網131に複数のトンネリング装置101が繋
がることにより、トンネリング装置相互間の送受信が実
現できる。その例を図2により説明する。
【0020】図2において、LAN221は事業所Aの
イーサネット、LAN222は事業所Bのイーサネッ
ト、IP網231はインターネット、201、202
は、本発明に係るトンネリング装置、241、242は
ルータである。トンネリング装置201、202のIP
網側ポート251、254はルータ241、242にそ
れぞれ接続され、IP網側ポート251、254のデー
タリンク層の通信媒体はイーサネットである。LAN側
ポート252、253は、LAN221、222にそれ
ぞれ接続されている。LAN221、222の端末21
1〜214にはTCP/IPプロトコルが実装されてい
る。
イーサネット、LAN222は事業所Bのイーサネッ
ト、IP網231はインターネット、201、202
は、本発明に係るトンネリング装置、241、242は
ルータである。トンネリング装置201、202のIP
網側ポート251、254はルータ241、242にそ
れぞれ接続され、IP網側ポート251、254のデー
タリンク層の通信媒体はイーサネットである。LAN側
ポート252、253は、LAN221、222にそれ
ぞれ接続されている。LAN221、222の端末21
1〜214にはTCP/IPプロトコルが実装されてい
る。
【0021】各端末211〜214、各トンネリング装
置201、202及び各ルータ241、242のインタ
フェースのIPアドレス及びMACアドレスは図7のよ
うになっているものとする。ただし、図7において、
「インタフェース」と書かれている欄は、図2における
各部材の符号を示している。従って、例えば、端末21
1のMACアドレスは、“00:00:00:00:0
0:01”、IPアドレスは、“192.0.0.1/
24”である。
置201、202及び各ルータ241、242のインタ
フェースのIPアドレス及びMACアドレスは図7のよ
うになっているものとする。ただし、図7において、
「インタフェース」と書かれている欄は、図2における
各部材の符号を示している。従って、例えば、端末21
1のMACアドレスは、“00:00:00:00:0
0:01”、IPアドレスは、“192.0.0.1/
24”である。
【0022】トンネリング装置201、202のUDP
ポート番号は、“1701”に設定されているものとす
る。
ポート番号は、“1701”に設定されているものとす
る。
【0023】トンネリング装置201、202のソフト
ウェア構成は、図8のようになっているものとする。即
ち、トンネリング装置201、202は、ソフトウェア
として少なくとも、LAN側ポート及びIP網側ポート
におけるイーサネットに係る処理を行うイーサネットド
ライバと、TCP/IP及びIPsecソフトウェア
と、本発明に係るトンネリングソフトウェアとを備え
る。図1で説明した各手段は、これらのソフトウェアで
実現されている。
ウェア構成は、図8のようになっているものとする。即
ち、トンネリング装置201、202は、ソフトウェア
として少なくとも、LAN側ポート及びIP網側ポート
におけるイーサネットに係る処理を行うイーサネットド
ライバと、TCP/IP及びIPsecソフトウェア
と、本発明に係るトンネリングソフトウェアとを備え
る。図1で説明した各手段は、これらのソフトウェアで
実現されている。
【0024】トンネリング装置201、202のハード
ウェア構成は、図18のようになっているものとする。
即ち、トンネリング装置201、202は、OSI参照
モデルのデータリンク層のフレームを送受信することが
できるLAN側ポート1801と、OSI参照モデルの
ネットワーク層のフレームを送受信することができるI
P網側ポート1802と、自局をトンネリングの始点と
したときのトンネリングの終点となる終端局のIPアド
レスを登録するバッファ部を含む主記憶装置1803
と、図8のソフトウェアを実行するCPU1804と、
補助記憶装置1805とを有する。
ウェア構成は、図18のようになっているものとする。
即ち、トンネリング装置201、202は、OSI参照
モデルのデータリンク層のフレームを送受信することが
できるLAN側ポート1801と、OSI参照モデルの
ネットワーク層のフレームを送受信することができるI
P網側ポート1802と、自局をトンネリングの始点と
したときのトンネリングの終点となる終端局のIPアド
レスを登録するバッファ部を含む主記憶装置1803
と、図8のソフトウェアを実行するCPU1804と、
補助記憶装置1805とを有する。
【0025】図2のように場所などが異なる2つのLA
N221、222をVPN接続し、端末211と端末2
13との間で安全に通信する本発明の手順を以下に述べ
る。なお、本実施形態では、VPNのセキュリティ機能
を提供する手段として、通信路上のデータの暗号化及び
認証を行うIPsecを利用した。
N221、222をVPN接続し、端末211と端末2
13との間で安全に通信する本発明の手順を以下に述べ
る。なお、本実施形態では、VPNのセキュリティ機能
を提供する手段として、通信路上のデータの暗号化及び
認証を行うIPsecを利用した。
【0026】まず、端末211から端末213へ宛てて
LAN221へフレームが送信されたものとする。
LAN221へフレームが送信されたものとする。
【0027】トンネリング装置201は、LAN221
を流れるフレームを宛先に関わらず全てプロミスキャス
(無差別)に受信し、受信したフレーム(図1のフレー
ム121)に宛先ポート番号を“1701”に設定した
UDPヘッダを付加する(フレーム122)。UDPヘ
ッダは、図12に示すフォーマットで作成される。図1
2において、1201が宛先ポート番号“1701”を
格納するフィールドである。
を流れるフレームを宛先に関わらず全てプロミスキャス
(無差別)に受信し、受信したフレーム(図1のフレー
ム121)に宛先ポート番号を“1701”に設定した
UDPヘッダを付加する(フレーム122)。UDPヘ
ッダは、図12に示すフォーマットで作成される。図1
2において、1201が宛先ポート番号“1701”を
格納するフィールドである。
【0028】次に、トンネリング装置201は、UDP
フレーム122全体を暗号化し、ESPヘッダ及びトレ
ーラを付加してESPデータ(フレーム123)を作成
する。ESPペイロードは、図15に示すフォーマット
で作成される。
フレーム122全体を暗号化し、ESPヘッダ及びトレ
ーラを付加してESPデータ(フレーム123)を作成
する。ESPペイロードは、図15に示すフォーマット
で作成される。
【0029】次に、トンネリング装置201は、パケッ
トの正当性を証明するAHヘッダを付加する(フレーム
124)。AHヘッダは、図14に示すフォーマットで
作成される。
トの正当性を証明するAHヘッダを付加する(フレーム
124)。AHヘッダは、図14に示すフォーマットで
作成される。
【0030】次に、トンネリング装置201は、自局
(トンネリング装置201)をトンネリングの始点とし
たときのトンネリングの終点となる終端局(ここではト
ンネリング装置202)のIPアドレスをバッファ部の
内容(図7)から判定し、IP網側ポート254のIP
アドレス“20.0.0.2/24”を用いてトンネリ
ング装置202を宛先とするIPヘッダを作成し、この
IPヘッダをフレーム124に付加することにより、I
Pパケット(フレーム125)を作成する。IPヘッダ
は、図11に示すフォーマットで作成される。図11に
おいて1101が宛先IPアドレスを格納するフィール
ドである。トンネリング装置201は、このフレーム1
25をIP網側ポート251からルータ241のポート
261へ送信する。
(トンネリング装置201)をトンネリングの始点とし
たときのトンネリングの終点となる終端局(ここではト
ンネリング装置202)のIPアドレスをバッファ部の
内容(図7)から判定し、IP網側ポート254のIP
アドレス“20.0.0.2/24”を用いてトンネリ
ング装置202を宛先とするIPヘッダを作成し、この
IPヘッダをフレーム124に付加することにより、I
Pパケット(フレーム125)を作成する。IPヘッダ
は、図11に示すフォーマットで作成される。図11に
おいて1101が宛先IPアドレスを格納するフィール
ドである。トンネリング装置201は、このフレーム1
25をIP網側ポート251からルータ241のポート
261へ送信する。
【0031】なお、IP網側ポート251に接続するデ
ータリンク層の通信方式(通信媒体)はイーサネットで
あるため、IP網側ポート251から実際に送信される
フレームの形式は、作成されたIPパケット(フレーム
125)をデータとして、図9のIEEE802.2/
802.3カプセル化又は図10のイーサネットカプセ
ル化が行われた形式となる。図9、10において、90
1、1001がIPパケットをデータとして格納するフ
ィールドである。
ータリンク層の通信方式(通信媒体)はイーサネットで
あるため、IP網側ポート251から実際に送信される
フレームの形式は、作成されたIPパケット(フレーム
125)をデータとして、図9のIEEE802.2/
802.3カプセル化又は図10のイーサネットカプセ
ル化が行われた形式となる。図9、10において、90
1、1001がIPパケットをデータとして格納するフ
ィールドである。
【0032】ルータ241のポート262よりIP網2
31に送信されたIPパケットは、.ルータ242のポ
ート263へ到着し、ポート264よりトンネリング装
置202のIP網側ポート254に送信される。
31に送信されたIPパケットは、.ルータ242のポ
ート263へ到着し、ポート264よりトンネリング装
置202のIP網側ポート254に送信される。
【0033】トンネリング装置202は、IP網から自
局のUDPポート“1701”宛てのIPパケット(フ
レーム125)(IPヘッダに格納されている宛先IP
アドレスが“20.0.0.2/24”)を受信した場
合、フレーム124のAHヘッダによりパケットの正当
性を確認し、フレーム123のESPデータの復号化を
行い、フレーム122のUDPヘッダを取り除いて元の
イーサネットフレーム(フレーム121)を取り出し、
そのフレームをLAN側ポート253からLAN222
に送信する。
局のUDPポート“1701”宛てのIPパケット(フ
レーム125)(IPヘッダに格納されている宛先IP
アドレスが“20.0.0.2/24”)を受信した場
合、フレーム124のAHヘッダによりパケットの正当
性を確認し、フレーム123のESPデータの復号化を
行い、フレーム122のUDPヘッダを取り除いて元の
イーサネットフレーム(フレーム121)を取り出し、
そのフレームをLAN側ポート253からLAN222
に送信する。
【0034】このフレームは、端末213に到着する。
このようにして、端末211から送信されたフレームが
端末213に受信される。
このようにして、端末211から送信されたフレームが
端末213に受信される。
【0035】端末213から端末211へ宛ててLAN
222へフレームが送信された場合についても、トンネ
リング装置202がトンネリング装置201と同様に、
LAN側ポート253で受信したフレームを前述と同様
の処理(IPsec処理、ヘッダ付加処理)によりカプ
セル化した後、トンネリング装置201のUDPポート
(番号1701)に宛ててIP網側へ送信する。トンネ
リング装置201は、IP網側から自局のUDPポート
(番号1701)で受信したIPパケットから前述と同
様の処理(IPsec処理、ヘッダ除去処理)によりイ
ーサネットフレームを取り出した後、そのフレームをL
AN側ポート252からLAN221に送信する。こう
して、端末213から送信されたフレームが端末211
に受信される。
222へフレームが送信された場合についても、トンネ
リング装置202がトンネリング装置201と同様に、
LAN側ポート253で受信したフレームを前述と同様
の処理(IPsec処理、ヘッダ付加処理)によりカプ
セル化した後、トンネリング装置201のUDPポート
(番号1701)に宛ててIP網側へ送信する。トンネ
リング装置201は、IP網側から自局のUDPポート
(番号1701)で受信したIPパケットから前述と同
様の処理(IPsec処理、ヘッダ除去処理)によりイ
ーサネットフレームを取り出した後、そのフレームをL
AN側ポート252からLAN221に送信する。こう
して、端末213から送信されたフレームが端末211
に受信される。
【0036】なお、本実施形態では、UDPポート番号
として1701番を使用しているが、他の番号でも構わ
ない。
として1701番を使用しているが、他の番号でも構わ
ない。
【0037】また、本実施形態では、データリンク層の
フレームにUDPヘッダとIPヘッダとを付加したが、
TCPヘッダとIPヘッダとを付加してもよく、或いは
独自のトランスポート層ヘッダとIPヘッダとを付加し
てもよく、或いはIPヘッダのみをを付加してもよい。
TCPヘッダのフォーマットは、図13に示すとおりで
ある。
フレームにUDPヘッダとIPヘッダとを付加したが、
TCPヘッダとIPヘッダとを付加してもよく、或いは
独自のトランスポート層ヘッダとIPヘッダとを付加し
てもよく、或いはIPヘッダのみをを付加してもよい。
TCPヘッダのフォーマットは、図13に示すとおりで
ある。
【0038】ここで、端末211が端末213宛てのイ
ーサネットフレームを送信した場合の具体的な例とし
て、端末211が端末213のMACアドレスを解決す
るためにARP要求フレームをLAN221内の全端末
にブロードキャスト送信した場合について説明する。端
末211が送信したARP要求フレームは、トンネリン
グ装置201によってカプセル化されトンネリング装置
202へ転送される。トンネリング装置202は、取り
出したARP要求フレームをLAN222内の全端末に
ブロードキャスト送信する。端末213は、このARP
要求フレームを受信すると、ARP応答フレームを端末
211宛てにユニキャスト送信する。このARP応答フ
レームは、トンネリング装置202によってカプセル化
されトンネリング装置201へ転送される。トンネリン
グ装置201は、取り出したARP応答フレームをLA
N221にユニキャスト送信する。端末211は、この
ARP応答フレームを受信することになる。
ーサネットフレームを送信した場合の具体的な例とし
て、端末211が端末213のMACアドレスを解決す
るためにARP要求フレームをLAN221内の全端末
にブロードキャスト送信した場合について説明する。端
末211が送信したARP要求フレームは、トンネリン
グ装置201によってカプセル化されトンネリング装置
202へ転送される。トンネリング装置202は、取り
出したARP要求フレームをLAN222内の全端末に
ブロードキャスト送信する。端末213は、このARP
要求フレームを受信すると、ARP応答フレームを端末
211宛てにユニキャスト送信する。このARP応答フ
レームは、トンネリング装置202によってカプセル化
されトンネリング装置201へ転送される。トンネリン
グ装置201は、取り出したARP応答フレームをLA
N221にユニキャスト送信する。端末211は、この
ARP応答フレームを受信することになる。
【0039】本発明によれば、IPsecの暗号化によ
りインタフェース上のデータは保護され、認証によりL
AN221、222以外のネットワークからの接続を拒
否できるので、LAN221とLAN222との間でV
PNを構築することが可能となる。また、このときLA
N221、222は、ハブやスイッチで接続されている
同じLANセグメントと等価である。
りインタフェース上のデータは保護され、認証によりL
AN221、222以外のネットワークからの接続を拒
否できるので、LAN221とLAN222との間でV
PNを構築することが可能となる。また、このときLA
N221、222は、ハブやスイッチで接続されている
同じLANセグメントと等価である。
【0040】本実施形態では、場所などが異なる2つの
イーサネットを同じIPサブネットとしてVPNを構築
したが、イーサネットではない他のデータリンク層の通
信方式であっても、また、IP以外のネットワーク層プ
ロトコルを使用した場合であっても、本発明によりVP
Nを構築することができる。
イーサネットを同じIPサブネットとしてVPNを構築
したが、イーサネットではない他のデータリンク層の通
信方式であっても、また、IP以外のネットワーク層プ
ロトコルを使用した場合であっても、本発明によりVP
Nを構築することができる。
【0041】また、図3に示すように、端末311〜3
12のデフォルトゲートウェイをルータ341に設定
し、ハブやスイッチを使用してトンネリング装置301
を介さずにイーサネットフレームを直接ルータ341に
送信することにより、LAN321上の端末311〜3
12がトンネリング装置を介していないインターネット
上の端末(例えば、313〜314)と通信を行うこと
が可能である。このように、本発明のトンネリング装置
を用いたネットワークは、相手側のネットワークに本発
明のトンネリング装置が存在しない場合でも、相手側の
ネットワークとの通信が可能である。
12のデフォルトゲートウェイをルータ341に設定
し、ハブやスイッチを使用してトンネリング装置301
を介さずにイーサネットフレームを直接ルータ341に
送信することにより、LAN321上の端末311〜3
12がトンネリング装置を介していないインターネット
上の端末(例えば、313〜314)と通信を行うこと
が可能である。このように、本発明のトンネリング装置
を用いたネットワークは、相手側のネットワークに本発
明のトンネリング装置が存在しない場合でも、相手側の
ネットワークとの通信が可能である。
【0042】
【発明の効果】本発明は次の如き優れた効果を発揮す
る。
る。
【0043】(1)請求項1の発明により、トンネリン
グ装置で接続される2つのLANは、間にIP網を介し
ているにも関わらず、ハブやスイッチで接続されたのと
同様に、同一のネットワークとして振る舞うことができ
る。
グ装置で接続される2つのLANは、間にIP網を介し
ているにも関わらず、ハブやスイッチで接続されたのと
同様に、同一のネットワークとして振る舞うことができ
る。
【0044】(2)請求項1の発明は、IPsecを使
用した方式とは異なり、2つのLANをネットワーク層
ではなくデータリンク層で接続するため、2つのLAN
間に使用するネットワーク層のプロトコルは、IPプロ
トコルに限定されず、IPv6やNetBIOS、IP
X、AppleTalk等のあらゆるプロトコルの通信
が可能となる。
用した方式とは異なり、2つのLANをネットワーク層
ではなくデータリンク層で接続するため、2つのLAN
間に使用するネットワーク層のプロトコルは、IPプロ
トコルに限定されず、IPv6やNetBIOS、IP
X、AppleTalk等のあらゆるプロトコルの通信
が可能となる。
【0045】(3)請求項2の発明のように、IPse
c等のセキュリティ機能を組み込むことによって2つの
LAN間の通信内容をネットワーク上の第三者による盗
聴やパケットの改竄から防ぎ、パブリックなIP網を介
していながら安全に接続することが可能である。
c等のセキュリティ機能を組み込むことによって2つの
LAN間の通信内容をネットワーク上の第三者による盗
聴やパケットの改竄から防ぎ、パブリックなIP網を介
していながら安全に接続することが可能である。
【0046】(4)請求項2の発明は、L2TPを使用
した方式とは異なり、PPP接続や専用ソフトも必要な
い。また、MPLSを使用した方式のようにIP網上の
ルータをMPLS専用のルータに置き換えたり設定変更
する必要もない。なお、セキュリティの強度に関しては
IPsecを使用した方式と同等になる。
した方式とは異なり、PPP接続や専用ソフトも必要な
い。また、MPLSを使用した方式のようにIP網上の
ルータをMPLS専用のルータに置き換えたり設定変更
する必要もない。なお、セキュリティの強度に関しては
IPsecを使用した方式と同等になる。
【図1】本発明の一実施形態を示すトンネリング装置の
構成図である。
構成図である。
【図2】本発明のトンネリング装置を用いたネットワー
クの構成図である。
クの構成図である。
【図3】本発明のトンネリング装置を用いたネットワー
クの構成図である。
クの構成図である。
【図4】IPsec方式によるVPNの構成図である。
【図5】L2TP方式によるVPNの構成図である。
【図6】MPLS方式によるVPNの構成図である。
【図7】図2のネットワークにおける各機器のアドレス
割り当て図である。
割り当て図である。
【図8】図1のトンネリング装置のソフトウェア構成図
である。
である。
【図9】本発明によるIPパケットをIEEE802.
2/802.3カプセル化したフレームの構成図であ
る。
2/802.3カプセル化したフレームの構成図であ
る。
【図10】本発明によるIPパケットをイーサネットカ
プセル化したフレームの構成図である。
プセル化したフレームの構成図である。
【図11】IPヘッダの構成図である。
【図12】UDPヘッダの構成図である。
【図13】TCPヘッダの構成図である。
【図14】IPsecで用いるAHヘッダの構成図であ
る。
る。
【図15】IPsecで用いるESPペイロードの構成
図である。
図である。
【図16】L2TPヘッダの構成図である。
【図17】MPLSで用いるシムヘッダの構成図であ
る。
る。
【図18】図1のトンネリング装置のハードウェア構成
図である。
図である。
101、210、202、301 トンネリング装置 131、231、331 IP網 221、222、321、322 LAN 251、254、351、1802 IP網側ポート 252、253、352、1801 LAN側ポート 1803 バッファ部
───────────────────────────────────────────────────── フロントページの続き (72)発明者 梶原 将文 大阪府大阪市北区中之島6丁目2番40号 大阪メディアポート株式会社内 Fターム(参考) 5B085 AE00 AE29 BA07 BG07 5B089 GA04 GA31 HA06 HA10 HB19 JB24 KA04 KA09 KB04 KB06 KC28 KC47 KD01 KE02 KE03 KF05 KH04 KH30 5K030 GA15 HA08 HB18 HC01 HD03 HD06 HD09 JA05 KA13 LA07 LD19 LE11 5K033 AA09 BA02 CA08 CB08 CB11 CC01 CC04 DA06 DB10 DB19
Claims (2)
- 【請求項1】 OSI参照モデルのデータリンク層のフ
レームを送受信することができるLAN側ポートとOS
I参照モデルのネットワーク層のフレーム(パケット)
を送受信することができるIP網側ポートとを備え、自
局をトンネリングの始点としたときのトンネリングの終
点となる終端局のIPアドレスを登録するバッファ部を
備え、前記LAN側ポートでは、ネットワークを流れる
データリンク層のフレーム全てを受信し、その受信した
フレームをデータとするIPパケットを作成(カプセル
化)し、そのパケットをIP網側ポートからトンネリン
グの終端局宛てに送信する機能を備え、前記IP網側ポ
ートでは、自局宛てに送られてきたIPパケットを受信
し、そのIPパケットがデータリンク層のフレームをカ
プセル化したものである場合には、そのIPパケットか
らデータリンク層のフレームを取り出し、そのフレーム
をLAN側ポートから送信する機能を備えたことを特徴
とするトンネリング装置。 - 【請求項2】 前記LAN側ポートにおいて受信したデ
ータリンク層フレームをカプセル化する際に、データの
内容を暗号化し、その暗号化したデータに暗号化方式な
どを設定した暗号化ヘッダを付加し、さらに送信者の正
当性を証明する認証ヘッダを付加する機能を備え、前記
IP網側ポートにおいて受信したIPパケットからデー
タリンク層のフレームを取り出す際に、そのIPパケッ
トに認証ヘッダが含まれている場合にはその認証ヘッダ
によりIPパケット送信者の正当性やデータ改竄の有無
を検証し、さらに前記IPパケットに暗号化ヘッダが含
まれている場合には暗号化されているデータを復号化す
る機能を備えたことを特徴とする請求項1記載のトンネ
リング装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001061941A JP2002271417A (ja) | 2001-03-06 | 2001-03-06 | トンネリング装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001061941A JP2002271417A (ja) | 2001-03-06 | 2001-03-06 | トンネリング装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002271417A true JP2002271417A (ja) | 2002-09-20 |
Family
ID=18921155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001061941A Pending JP2002271417A (ja) | 2001-03-06 | 2001-03-06 | トンネリング装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002271417A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007521741A (ja) * | 2003-06-30 | 2007-08-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法 |
| JP2007281980A (ja) * | 2006-04-10 | 2007-10-25 | Hitachi Communication Technologies Ltd | 通信装置 |
| WO2008026243A1 (fr) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corporation | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
| WO2009051179A1 (ja) * | 2007-10-18 | 2009-04-23 | Ip Infusion Inc. | キャリアネットワーク接続装置およびキャリアネットワーク |
| JP2010259081A (ja) * | 2003-04-12 | 2010-11-11 | Cavium Networks Inc A Delaware Corp | IPSecを用いたネットワーク処理 |
| US7894368B2 (en) | 2002-12-06 | 2011-02-22 | Nippon Telegraph And Telephone Corporation | OVPN system, OVPN terminating device, collective controlling device, and optical communication network |
-
2001
- 2001-03-06 JP JP2001061941A patent/JP2002271417A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7894368B2 (en) | 2002-12-06 | 2011-02-22 | Nippon Telegraph And Telephone Corporation | OVPN system, OVPN terminating device, collective controlling device, and optical communication network |
| JP2010259081A (ja) * | 2003-04-12 | 2010-11-11 | Cavium Networks Inc A Delaware Corp | IPSecを用いたネットワーク処理 |
| JP2007521741A (ja) * | 2003-06-30 | 2007-08-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法 |
| JP2007281980A (ja) * | 2006-04-10 | 2007-10-25 | Hitachi Communication Technologies Ltd | 通信装置 |
| JP4706542B2 (ja) * | 2006-04-10 | 2011-06-22 | 株式会社日立製作所 | 通信装置 |
| WO2008026243A1 (fr) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corporation | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
| WO2009051179A1 (ja) * | 2007-10-18 | 2009-04-23 | Ip Infusion Inc. | キャリアネットワーク接続装置およびキャリアネットワーク |
| JPWO2009051179A1 (ja) * | 2007-10-18 | 2011-03-03 | アイピー インフュージョン インコーポレイテッド | キャリアネットワーク接続装置およびキャリアネットワーク |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7483996B2 (en) | Techniques for migrating a point to point protocol to a protocol for an access network | |
| US6101543A (en) | Pseudo network adapter for frame capture, encapsulation and encryption | |
| US8825829B2 (en) | Routing and service performance management in an application acceleration environment | |
| US7366894B1 (en) | Method and apparatus for dynamically securing voice and other delay-sensitive network traffic | |
| US8189600B2 (en) | Method for IP routing when using dynamic VLANs with web based authentication | |
| US8159989B2 (en) | Relay network system and terminal adaptor apparatus | |
| US20120099602A1 (en) | End-to-end virtualization | |
| US20020038371A1 (en) | Communication method and system | |
| WO2009021458A1 (fr) | Procédé, appareil et système de connexion d'un réseau de couche 2 à un réseau de couche 3 | |
| EP1475942A2 (en) | Address Resolution in IP Internetworking Layer 2 point-to-point connections | |
| JP2007521741A (ja) | トンネリングを用いたリモートlanのコネクティビティを改善するための装置及び方法 | |
| EP1683020A2 (en) | Virtual private network with pseudo server | |
| EP1692595A2 (en) | Secure, standards-based communications across a wide-area network | |
| JP2007104440A (ja) | パケット伝送システム、トンネリング装置およびパケット伝送方法 | |
| Shah et al. | Ip-only lan service (ipls) | |
| US8146144B2 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
| WO2006081776A1 (fr) | Méthode de communication et dispositif de protocole de liaison local différent | |
| JP2002271417A (ja) | トンネリング装置 | |
| JP2002204252A (ja) | 重複プライベートアドレス変換システム | |
| Varga et al. | Deterministic Networking (DetNet) Data Plane: IP over IEEE 802.1 Time-Sensitive Networking (TSN) | |
| US20130133063A1 (en) | Tunneling-based method of bypassing internet access denial | |
| Zhang | The solution and management of VPN based IPSec technology | |
| Schatzmayr et al. | RFC 8159: Keyed IPv6 Tunnel | |
| Konstantynowicz et al. | Keyed IPv6 Tunnel | |
| Shah et al. | Address Resolution Protocol (ARP) Mediation for IP Interworking of Layer 2 VPNs |