JP2003224577A - インターネット中継装置 - Google Patents

インターネット中継装置

Info

Publication number
JP2003224577A
JP2003224577A JP2002260776A JP2002260776A JP2003224577A JP 2003224577 A JP2003224577 A JP 2003224577A JP 2002260776 A JP2002260776 A JP 2002260776A JP 2002260776 A JP2002260776 A JP 2002260776A JP 2003224577 A JP2003224577 A JP 2003224577A
Authority
JP
Japan
Prior art keywords
isp
authentication
user terminal
relay device
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002260776A
Other languages
English (en)
Inventor
Yoshiharu Ito
嘉治 伊藤
Keiichi Yokoyama
景一 横山
Ken Watanabe
憲 渡辺
Kazuhiro Maeno
和洋 前野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyo Communication Equipment Co Ltd
Original Assignee
Toyo Communication Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyo Communication Equipment Co Ltd filed Critical Toyo Communication Equipment Co Ltd
Priority to JP2002260776A priority Critical patent/JP2003224577A/ja
Publication of JP2003224577A publication Critical patent/JP2003224577A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 本発明はユーザ端末がIEEE802.1xに記載され
た認証プロトコルに基づき、通常のイーサネット(登録
商標)上のデータ交換によってISPへの認証とインタ
ーネットへの接続を可能とし、またPPPoEパケット
の処理を不要としVLANタグに基づく中継処理をおこ
なう中継装置であって、ブロードバンド化に対応したイ
ンターネット常時接続においてスループットを低減させ
ないインターネット中継装置を提供することを目的とす
る。 【解決手段】電気通信事業者(ISP)のサーバに接続
されたIP通信網とユーザの端末装置との間を接続する
中継装置であって、該中継装置は予め各ユーザとISP
との関係を示すテーブルが保存されたユーザ情報管理装
置と、前記ユーザ端末から所定のISPに対する接続要
求を受けるとユーザ端末との間でIEEE802.1x
に基づく認証を司る認証制御手段とを備え、該認証制御
手段は前記ユーザ情報管理装置と連携してISPとの認
証を行うことを特徴とするインターネット中継装置。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、インターネット中
継装置に関する。
【0002】
【従来の技術】近年インターネットはブロードバンド化
の波を受けアクセス回線系にもADSL(Asymme
tric Digital Subscriber Li
ne)やFTTH(Fiber To The Hom
e)といったブロードバンド化に対応した常時接続サー
ビスが提供されるようになってきた。そのため、各ユー
ザからのデータトラヒックを集め、所定のISP(イン
ターネットサービスプロバイダ)に接続先を振り分ける
といった集線・振分装置(中継装置)は、“わかりやす
いADSLの技術/オーム社出版局(次世代ネットワー
ク研究会編)”にも記載されているように、ブロードバ
ンド社会を支える重要なバックボーンとなっている。図
13は光ファイバを使った従来のインターネット常時接
続サービスにおける中継装置のブロック図を示したもの
である。図13に示すように従来の中継装置は、NTT
等の通信接続業者1がユーザ2と電気通信事業者である
ISP(インターネットサービスプロバイダ)3a、3
b、3c、・・・との間に介在し、ユーザ2がISP3
a、3b、3c、・・・の何れか(契約プロバイダ)を
介してインターネット網4に接続できるようにデータ
(IPパケット)を中継している。
【0003】ここで、前記ユーザ2はユーザ端末5と、
該ユーザ端末5と光ファイバ6間に介在し電気信号(1
0Base_t等のイーサネット形式のインタフェー
ス)と光信号の双方向の変換をするONU(Optic
al Network Unit:光回線終端装置)7と
を備えている。また、前記通信接続業者1は光ファイバ
6と、前記光ファイバ6を収容し前記ユーザ端末2から
のデータを処理する回線中継装置8と、前記回線中継装
置8の出力したデータを前記ISP3a、3b、3c、
・・・へ中継するIP通信網9とを備えている。
【0004】以下、図13に示した従来のインターネッ
ト常時接続サービスにおける中継動作について説明す
る。まず、インターネット常時接続サービスにおいて
は、回線中継装置8とユーザ端末5間ではPPPoE
(Point-to-Point Protocol Ov
er Ethernet)というプロトコルが使われて
いる。PPPoEとは、従来電話回線を介しダイヤルア
ップによってユーザとインターネットサービスプロバイ
ダ間とを一対一に接続するときに使われていたPPP
(Poin-to-Point Protocol)とい
うプロトコルをベースにして、これをイーサネット上で
扱えるようにしたものである。従って従来のダイヤルア
ップ接続と同様にユーザとインターネットサービスプロ
バイダ間とが一対一に接続されることになる。
【0005】このPPPoEを使ってユーザ端末5から
インターネットにアクセスする際、まず回線中継装置8
とIP通信網9とを介して所定のインターネットサービ
スプロバイダ(ここでは、ISP3aとする)に対して
認証を行い、認証が成立するとインターネット網4にア
クセスが可能となる。このときユーザ端末5から送出さ
れる通信パケット(イーサネットデータフレーム)には
図14に示すように、PPPoEヘッダと呼ばれるデー
タを付加しなければならない。回線中継装置8はこのP
PPoEヘッダに基づきユーザ端末5との接続を制御す
るとともに、通信パケットの中からPPPoEヘッダの
部分を抜き出し、残りの宛先MACアドレスや通信デー
タ等のイーサネットデータフレームによってIPパケッ
トを構築し、これをIP通信網9へ送出する。
【0006】そして、IP通信網9は前記IPパケット
に含まれるIPアドレスに基づき、これをルーティング
しISP3aへ引き渡すようになっている。一方、IS
P3aがインターネット網4から受信したIPパケット
はIP通信網9を経由して回線中継装置8に届けられ
る。そこで、回線中継装置8は受信したIPパケットに
PPPoEヘッダを付加し通信パケット(イーサネット
データフレーム)としてユーザ端末5に送出するように
している。このように、ユーザ端末5と回線中継装置8
との間ではIPパケットの他にPPPoEヘッダ分のデ
ータを付加し処理している。
【0007】
【発明が解決しようとする課題】ところが、従来のイン
ターネット常時接続サービスには以下のような問題点が
ある。すなわち、図14に示すように本来通信データの
ために割り当てられているイーサネット・ペイロードと
呼ばれるデータ領域の一部が常にPPPoEヘッダによ
って占有されてしまうため、通信データの伝送効率低下
を招来するという欠点がある。また、通信接続業者1に
おいて回線中継装置8は通信パケット毎にPPPoEヘ
ッダの着脱処理をしなければならない。従ってユーザ端
末5a、5b、5c、・・・からインターネット網4へ
のアクセス速度が低下してしまいブロードバンド化の効
果を最大限に生かすことができない。
【0008】更に、PPPoEのプロトコルを使ってい
るためユーザとISP間を一対一にしか接続できない。
このためISPが画像配信等のアプリケーションサービ
スを行い多数のユーザへ画像や案内情報等を一斉配信す
るような場合にも、ISPは各ユーザに対して個別に情
報を配信しなければならず処理が煩雑となり負荷がかか
ってしまう問題点があった。本発明は上記問題点を解決
するためになされたものであって、常時接続サービスと
ブロードバンド化の効果を最大限に生かすことのできる
インターネット中継装置を提供することを目的とする。
【0009】
【課題を解決しようとする手段】上記目的を解決するた
めに本発明に係わるインターネット中継装置の請求項1
記載の発明は、電気通信事業者(ISP)のサーバに接
続されたIP通信網とユーザの端末装置との間を接続す
る中継装置であって、該中継装置は予め各ユーザとIS
Pとの関係を示すテーブルが保存されたユーザ情報管理
装置と、前記ユーザ端末から所定のISPに対する接続
要求を受けるとユーザ端末との間でIEEE802.1
xに基づく認証を司る認証制御手段とを備え、該認証制
御手段は前記ユーザ情報管理装置と連携してISPとの
認証を行うようにしたものである。
【0010】本発明に係わる中継装置の請求項2記載の
発明は請求項1において、前記認証が成立したときにの
み当該ユーザ端末と所定のISPとの間のIP通信を可
能ならしめるようにしたものである。
【0011】本発明に係わる中継装置の請求項3記載の
発明は請求項1または請求項2において、前記認証手段
による認証が成立したときにユーザ端末と所定のISP
との間の所定の通信ポートに対して、当該ISPに対応
するVLANタグを設定するようにしたものである。
【0012】本発明に係わる中継装置の請求項4記載の
発明は請求項1、請求項2または請求項3において、前
記認証手段による認証が成立したときにユーザ端末と所
定のISPとの間の通信パケットに対して、当該ISP
に対応するVLANタグをデータとして付加したもので
ある。本発明に係わる中継装置の請求項5記載の発明は
請求項1に於いて、前記認証手段による認証が成立した
際に、ISPから送付されるIPアドレスを一旦記憶
し、ユーザ端末からのIPアドレス要求が到来するとこ
れに応答して前記IPアドレスをユーザ端末に対して送
信するものである。
【0013】
【発明の実施の形態】以下図示した実施の形態例に基づ
いて本発明を詳細に説明する。図1は本発明に係わるイ
ンターネット中継装置の実施例を示したブロック図であ
る。図1に示すようにNTT等の通信接続業者1がユー
ザ2a、2b、2c、・・・と電気通信業者であるIS
P(インターネットサービスプロバイダ)3a、3b、
3c、・・・との間に介在し、ユーザ2a、2b、2
c、・・・が前記ISP3a、3b、3c・・・の何れ
か(契約プロバイダ)を介してインターネット網4に接
続できるようにデータ(IPパケット)を中継してい
る。
【0014】ここで、前記ユーザ2a、2b、2c、・
・・はユーザ端末5a、5b、5c、・・・と、該ユー
ザ端末5a、5b、5c、・・・と光ファイバ6a、6
b、6c、・・・との間に介在し電気信号(イーサネッ
ト形式のインタフェース)と光信号の双方向の変換をす
るONU(Optical Network Unit:
光回線終端装置)7a、7b、7c、・・・・とを備え
ている。また、前記通信接続業者1は光ファイバ6a、
6b、6c、・・・と、前記光ファイバ6a、6b、6
c、・・・・を収容して前記ユーザ端末5a、5b、5
cからのデータを中継する中継装置10と、前記中継装
置10からのデータを所定のISPへと引き渡すIP通
信網9とを備えている。
【0015】また、前記中継装置10は接続ポート11
a、11b、11c、・・・及び接続ポート12a、1
2b、12c、・・・を有しユーザ端末5a、5b、5
c、・・・から入力されたデータを該接続ポート12
a、12b、12c、・・・の何れかに切り替える切替
手段13と、前記切替手段13を介し各ユーザ端末5
a、5b、5c、・・・とISP3a、3b、3c、・
・・との認証を司る認証制御手段14と、各ユーザとI
SPとの関係を示すテーブルを備え前記認証制御手段1
4の認証を補助するユーザ情報管理装置15とを備えて
いる。
【0016】以下、図1に示した中継装置10の動作に
ついて説明する。図2はユーザ2aが中継装置10を介
してISP3aとの間で認証を行いインターネット網4
へ接続する手順を示したものである。以下図2に示した
手順に沿って説明する。
【0017】まず、ユーザ端末5aはIEEE802.
1xに基づく認証を開始するため接続要求を送出する
(図2(1))。中継装置10の切替手段13はONU
7aと光ファイバ7aと接続ポート11aとを介して前
記接続要求を受信するとこれを認証制御手段14に中継
する。認証制御手段14は前記接続要求を受け取ると切
替手段13の接続ポート11aを介し、折り返しユーザ
端末5aに対しユーザIDを要求する(図2(2))。
ここで、前記ユーザIDは一般的に”userA@pr
o1”等という形式で記述され、”@”より前の部分”
userA”はユーザの識別名称を”@”より後ろの部
分”pro1”はプロバイダの識別名称を表すようにな
っている。なお、IEEE802.1xはドラフトの段
階を経て、現在標準規格として設定されている
【0018】そこで、ユーザ端末5aは前記接続要求に
応答しユーザIDを送出する(図2(3))。認証制御
手段14は切替手段13の接続ポート11aを介してユ
ーザIDを受け取ると、これをユーザ情報管理装置15
に照合し(図2(4))、ユーザ情報管理装置15に保
存されているユーザ情報テーブルから該当するプロバイ
ダを特定してその接続情報を入手する(図2(5))。
ここで、ユーザ情報テーブルは各ユーザと、その契約プ
ロバイダが発行するユーザIDと、当該プロバイダ名と
を関連付けて管理するためのリストである。
【0019】次に、中継装置10の認証制御手段14は
前記プロバイダ接続情報を基に接続要求(IPパケッ
ト)を切替手段13のポート12aに送出するとIP通
信網9がこれをISP3aに中継する(図2(6))。
そこで、ISP3aは前記接続要求に対してパスワード
要求(IPパケット)を送出すると、これを切替手段1
3がIP通信網9を介してポート12aから受信し認証
制御手段14に中継する。認証制御手段14はこれを切
替手段13の接続ポート11aを介して出力しユーザ端
末5aへ供給する(図2(7))。ユーザ端末5aは前
記パスワード要求に応答し所定のパスワードを送出する
と、切替手段13及び認証制御手段14はこれを中継し
IP通信網9を介してISP3aに送出する(図2
(8))。
【0020】ISP3aは受信したパスワードを照合し
照合が成立すると接続許可の応答を返送する。そして認
証制御手段14は前記接続許可応答を切替手段13の接
続ポート12aを介して受信するとこれを接続ポート1
1aに中継しユーザ端末5aに供給する(図2
(9))。次にユーザ端末5aはACK(了解)を返送
すると、これを切替手段13及び認証制御手段14が中
継しIP通信網9を経てISP3aに届けられる(図2
(10))。
【0021】そこでISP3aは前記Ack(了解)に
応答して認証を終了するとともに、ユーザ端末5aに付
与するIPアドレスをIPパケットとしてIP通信網9
へ送出するとこれが切替手段13の接続ポート12aに
届く(図2(11))。次に切替手段13は接続ポート
12aから入手したIPパケットを接続ポート11aに
直接中継すると共に、前記ポート11a及び10aにV
LANタグを設定する(図2(12)、(13))。
【0022】ここで、VLANタグとは切替手段13に
おいて各接続ポートをどの接続ポートに接続すべきか管
理するための番号のことであって、予め切替手段13に
おいて各プロバイダISP3a、3b、3c、・・・毎
にそれぞれ独立した接続ポート12a、12b、12
c、・・・が割り当てられ、それぞれの接続ポートには
予め異なるVLANタグが1、2、3、・・・等と設定
されている。例えば接続ポート12aに”1”というV
LANタグが予め設定されているものとすると、接続ポ
ート11aに対しVLANタグを”1”と設定すること
で、接続ポート11aと接続ポート12aは自動的に接
続されることを意味している。
【0023】次に、VLANタグの設定とともにユーザ
端末5aは切替手段13の接続ポート12a及び11a
を経由してIPアドレスを受信すると、ユーザ端末5a
は以降これをIPパケットのヘッダに送信元IPアドレ
スとして付加することでインターネット網4へアクセス
することが可能となる(図2(14))。このように、
ユーザ端末5aがPPPoEのプロトコルを不要としI
EEE802.1xに規定された規格に基づき、通常の
イーサネットのプロトコルに基づくデータ交換によって
ISPへの認証とインターネットへの接続を可能とし、
また中継装置10においてPPPoEパケットの処理を
不要としたので、ブロードバンド化に対応したインター
ネット常時接続においてスループットを低減させない中
継装置を提供することができる。
【0024】以上説明した実施例においては、中継装置
10とIP通信網9との接続において各ISP毎に一つ
ずつ接続ポートを割り当て、各接続ポートにVLANタ
グを設定するようにしたが本発明にあってはこれに限ら
ず、例えば切替手段13とIP通信網9との接続を一つ
の接続ポートで共用するようにしてもよい。
【0025】ここで例えば、図2の手順を図3のように
変形することもできる。ユーザ端末5aが前記パスワー
ド要求に応答して所定のパスワードを送出し、切替手段
13、認証制御手段14及びIP通信網9を介してIS
P3aに送出するところ(図2(8))までは同じであ
るが、図3の場合はISP3aが受信したパスワードを
照合した後に返送する接続許可の応答を、認証制御手段
14が切替手段13の接続ポート12aを介して受信す
ると、その接続許可応答を接続ポート11aに直接中継
すると共に、前記ポート11a及び10aにVLANタ
グを設定する(図3(10))。すると、ユーザ端末5
aは切替手段13の認証制御手段14を経由することな
くISP3aにIPアドレス要求を直接送信することに
なる(図3(12))。そして、ISP3aはIPアド
レス要求を受け取るとユーザ端末5aに対してIPアド
レスを付与し(図3(13))、それ以降ユーザ端末5
aは当該IPアドレスをIPパケットのヘッダに送信元
IPアドレスとして付加することでインターネット網4
へアクセスすることが可能となる(図3(14))。
【0026】図4は本発明に係わるインターネット中継
装置の第2の実施例のブロック図を示したものである。
図4において中継装置10とIP通信網9との間を接続
ポート12aで共用している点を除けば、構成は図1で
示したものと同一である。ただし、この場合中継装置1
0においてVLANタグの設定方法が異なるので、以下
その相違点について説明する。
【0027】図4において、まずユーザ端末5aは図2
に示した手順(1)〜(11)に従い認証を実施する。
更に、中継装置10は接続ポート11aにVLANタ
グ”1”を設定するとともに図2(11)の手順にて取
得したIPアドレスをユーザ端末5aに付与する。そこ
で、以降ユーザ端末5aは前記IPアドレスをIPパケ
ットのヘッダに送信元IPアドレスとして付加すること
でインターネット網4へアクセスすることが可能とな
る。
【0028】ここで、中継装置10を構成するアドバン
スト・エッジ・スイッチ16はIEEE802.1Qに
基づきユーザ端末5aから受け取ったデータフレームに
対しVLANタグに相当するVLANタグデータ”1”
を付加し、これを接続ポート12aに送出する。一方、
IP通信網9に設けられたL2(レイヤー2)スイッチ
17は中継装置10から送られてきたデータに付加され
たVLANタグデータを自動的に認識しデータを所定の
ISPまで中継する機能を有している。ここでは、IP
通信網9は予めVLANタグデータが”1”の場合はI
SP3aを選択し、”2”の場合はISP3bを、”
3”の場合はISP3cを選択するというように前記L
2スイッチ17を設定しているものとする。なお、前記
VLANタグデータは図14において、送信元MACア
ドレスとイーサタイプの間に追加され、イーサネットヘ
ッダの一部として処理される。(勿論、このときにアド
バンスト・エッジ・スイッチとユーザ端末5a間でやり
とりされるイーサネットフレームにはPPPoEヘッダ
がないことは言うまでもない。)
【0029】従って、IP通信網9のL2スイッチ17
はユーザ端末5a側から中継されてきたイーサネットデ
ータフレームの中からVLANタグデータ”1”を抜き
取り、残りのデータをISP3aへ引き渡すようになっ
ている。また、IP通信網9はインターネット網4から
受信したデータをプロバイダ3a側から受け取ると、こ
れにVLANタグデータ”1”を付加しデータを中継し
てアドバンスト・エッジ・スイッチ16の接続ポート1
2aに送出するようになっている。アドバンスト・エッ
ジ・スイッチ16は接続ポート12aから受け取ったデ
ータの中からVLANタグデータ”1”を識別して抜き
取るとともに、VLANタグデータ”1”に該当する接
続ポート11aに残りのデータを中継する。ユーザ端末
5aはこれを受信し所定のブラウザ等でデータ内容を表
示する。
【0030】なお、ここで説明した実施例では接続ポー
ト11aにユーザ端末5aを1台のみ接続する構成とし
ているが、ユーザAが複数台の端末をONU7aに接続
し、それぞれの端末が別のISPにアクセスし、前記接
続ポート11aを共有するといった構成にすることも可
能である。この場合、接続ポート11aのVLANTA
G値を複数設定可能にしておき、アドバンスト・エッジ
・スイッチ16がユーザ端末の送信元MACアドレスを
識別し、該送信元MACアドレス毎に“1”“2”とい
った異なるVLAN TAGデータをデータフレームに
対して付加するようにしておけばよい。
【0031】このように、VLANタグデータはIEE
E802.1Qに規定されているようにイーサネットヘ
ッダに追加するだけなので、PPPoEヘッダのように
通信データの領域の一部を占有して伝送効率が低下する
というような心配もない。このように、IP通信網9に
はVLANタグデータを認識する機能を有しているた
め、中継装置10とIP通信網9間でプロバイダ毎に接
続ポートを設定しなくてもよいので、一つ或いは少ない
接続ポート数で共用することも可能である。従って、中
継装置10とIP通信網9間におけるインフラの整備負
担を軽減できることはいうまでもない。
【0032】ところで、実際には図5に示すように通信
接続業者のIP通信網9と各ISP3a,3b・・・3
eとの間にはルータ18・・・18が設置されているの
が一般的であろう。このような構成の場合は図6のよう
な手順とするのが望ましい。図6に於いて、ユーザ端末
5aがパスワードを中継装置10の認証制御手段14を
経由してISP3aに送信するところまでは図3と同じ
である(図6(8))。この例では、ISP3aが受信
したパスワードを照合した後、接続許可応答を返送する
際に、これと同時にIPアドレスを切替手段13に送出
し、切替手段13の認証制御手段14では受け取ったパ
ケットから前記IPアドレスを抜き取り保持した上で、
接続許可応答のみを接続ポート11aに直接中継すると
共に、前記ポート11aにVLANタグを設定するので
ある(図6(10))。
【0033】そして、ユーザ端末5aがIPアドレス要
求を送出すると(図6(12))、切替手段13の認証
制御手段14は、これを受け取り先ほど保持しておいた
IPアドレスをユーザ端末5aに対して付与する(図6
(13))。つまり中継装置10の認証制御手段14が
擬似的なDHCPサーバとして機能するのである。以降
ユーザ端末5aは、前記IPアドレスをIPパケットの
ヘッダに送信元IPアドレスとして付加することで、イ
ンターネット網4へアクセスすることが可能となる(図
6(14))。
【0034】なお、このとき中継装置10から付与され
るIPアドレスはDHCPプロトコルに基づき図7に示
すデータフォーマットで送られ、IPアドレスはDHC
Pペイロードに含まれている。また中継装置10からの
IPアドレス付与方法としては、前記DHCPプロトコ
ル以外にIPCPプロトコルを用いる方法であってもよ
い。この場合、中継装置10から与えるデータフォーマ
ットは、図8(a)或いは図8(b)に示した二つの例
が考えられる。ここで、図8(a)(b)のいずれも、
IPアドレスはIPCPペイロードに含まれているが、
EAPOLヘッダを付与した図8(a)の例はIEEE
802.1xに準拠し、図8(b)の例は通常のイーサ
ネットに対応したものである。
【0035】次に、ユーザ端末の監視機能について説明
する。IEEE802.1xにおいては、PPPプロト
コルで用いられている「LCP Echo Reque
st/LCP Echo Reply」といったユーザ
端末を定期的に監視する機能については特に規定されて
いないが、REAUTHといったユーザ再認証に関する
規定があり、悪意のあるユーザ等による不正な成りすま
し等を防止する目的に利用できる。しかしながら、この
規定に従うと、ある一定の時間間隔で中継装置10はユ
ーザ端末に対してユーザIDを要求し、その都度認証を
行ってしまう。従って図2、3、6で示した認証ルーチ
ン(2)〜(14)を繰り返すことになるので、ユーザ
再認証をユーザ端末の定期的な監視機能として使用する
ことは、ISP及び中継装置10の処理負担が増大し好
ましくない。
【0036】これを回避するために、中継装置10がユ
ーザ端末との間で監視フレームをやり取りするようにし
てもよい。この場合、中継装置10は予め設定した所定
時間毎にユーザ端末に対しユーザ監視要求を送出する。
ユーザ端末はこれに対する応答を返すようにしておく。
中継装置10はユーザ端末からの応答があればユーザ端
末のアクセスを継続するものとする。この間ISPとユ
ーザ端末との間でデータのやり取りが生じることもな
い。
【0037】このようにすれば、ISPに多大な処理負
担を強いることなくユーザ端末の定期的監視をスムーズ
に実行できる。なお、ユーザ端末の定期的監視において
中継装置10とユーザ端末との間でやり取りされる監視
フレームは、図9(a)に示したIEEE802.1x
に準拠するEAPOLヘッダを付加した形式で与える
か、或いは図9(b)のように通常のイーサネットフレ
ームとして与えるか、いずれであってもよい。
【0038】次に、中継装置のセキュリティ維持機能に
ついて説明する。図1或いは図4、5に示した切替手段
13またはアドバンスト・エッジ・スイッチ16は複数
の接続ポートを備え、これら各接続ポートにVLAN
TAGが設定されることを説明した。ここで、例えば図
1において、ユーザ2a、2b、2c用の接続ポート1
1a、11b、11c全てが同一のVLAN TAG値
に設定されているとしよう。このとき、各ユーザ端末5
a、5b、5cから中継装置10を見ると、同じVLA
N TAG値を持つユーザ端末同士は、接続ポート11
a、11b、11cを介して互いに接続された状態、す
なわちHUBによって接続された状態に等しい。従っ
て、このとき各ユーザ端末5a、5b、5cが相互にア
クセスが可能な状態となり、セキュリティ保持の観点か
らいうと好ましいものではない。
【0039】以下、これを回避するための実施例を説明
する。図10は図5で示した実施例において、アドバン
スト・エッジ・スイッチ16の前段にパケットフィルタ
部19を付加したものである。パケットフィルタ部19
はイーサネットフレームのMACアドレスを監視し、予
め設定されたMACアドレス以外のイーサネットフレー
ムは通過させないように制限を加えるものである。
【0040】例えば、図10においてユーザ端末5a、
5b、5cがそれぞれISP3aにアクセスしているも
のとし、接続ポート11a、11b、11cが同じVL
ANTAG値に設定されているとしよう。このとき、例
えばユーザ端末5aから送出されたイーサネットフレー
ムはパケットフィルタ部19をそのまま通過し、接続ポ
ート11aから接続ポート11b、11c及び接続ポー
ト12aへと中継される。そこでこれら中継されたイー
サネットフレームが通信ポート11b、11cからパケ
ットフィルタ部19へ入力されたとき、その送信元MA
Cアドレスが参照される。参照した送信元MACアドレ
スがISP3aのゲートウェイのMACアドレスに該当
しないときは、中継されてきたイーサネットフレームが
ISP3a以外から中継されて来たものと判断し、これ
を破棄するようにする。つまり、パケットフィルタ部1
9から見たとき、ユーザ端末から供給されるデータフレ
ームはそのまま通過させるが、逆にユーザ端末へ供給す
るものについては制限をかける訳である。
【0041】また、パケットフィルタ部19を付加した
他の実施例を図11に示す。この実施例では、異なる2
台の中継装置1a、1bがそれぞれユーザ端末5a、5
b、5c、5dを収容し、IP通信網9に接続している
例を示している。なお、中継装置1a、1bについては
認証制御手段14等の図示を省略する。図11におい
て、ユーザ端末5a(ユーザA)及びユーザ端末5c
(ユーザC)が、ISP3aにそれぞれアクセスし、そ
れぞれの接続ポート11aは同じVLAN TAG値に
設定されているものとする。このときユーザ端末5aか
ら送出されたISP3a宛のイーサネットフレームはパ
ケットフィルタ部19aを通過し、中継装置16aに入
力される。中継装置16aは前記イーサネットフレーム
を処理し、これにVLAN TAGデータを付加し、接
続ポート12aからこれを出力する。
【0042】従って、このイーサネットフレームはVL
AN TAGデータに従い、IP通信網9からISP3
aへと中継されると共に、中継装置16bの接続ポート
12aにも中継されてしまう。一方、中継装置1bに中
継されたイーサネットフレームはVLAN TAGデー
タが参照され接続ポート11bへと中継される。しかし
ながら、ユーザ端末5cと接続ポート11bとの間には
パケットフィルタ部19bが介在し、送信元MACアド
レスとISP3aのゲートウェイのMACアドレスとを
照合し一致しない場合はイーサネットフレームを破棄す
る。従ってユーザ端末5aとユーザ端末5cはIP通信
網9を介した状態でも互いにセキュリティを維持するこ
とが可能となる。
【0043】以上、説明した本発明に係わるインターネ
ット中継装置はIEEE802.1xを想定したADS
LやFTTHといった常時接続サービスを想定している
が、PPPoEプロトコルを利用した従来の常時接続サ
ービスも併存できるようにしてもよい。図12にIEE
E802.1x及びPPPoEのいずれにも対応可能な
インターネット中継装置の一部(アドバンスト・エッジ
・スイッチ)のブロック図を示す。
【0044】この実施例では、アドバンスト・エッジ・
スイッチ16は接続ポート11a、11bから入力した
イーサネットフレームが802.1xタイプか或いはP
PPoEタイプかを判定しこれを振り分けるフィルタ部
20と、802.1x処理部21及びPPP処理部22
を有し前記フィルタ部20から供給されたデータタイプ
に従いこれを処理するデータ処理部23と、前記データ
処理部23が出力するデータを多重化し接続ポート12
aに出力する多重化スイッチ24を備えている。
【0045】図12に示したアドバンスト・エッジ・ス
イッチ16の動作について簡単に説明する。まず、例え
ば接続ポート11aからイーサネットフレームが供給さ
れるとフィルタ部20はイーサネットヘッダのイーサタ
イプ部分(4オクテットの情報、図14を参照)を照合
する。これが「8863」或いは「8864」であれば
イーサネットフレームをPPP処理部22へ供給し、そ
れ以外の場合は802.1x処理部21へと振り分け
る。
【0046】前記フィルタ部20から供給されたデータ
は、データ処理部23において802.1x処理部21
或いはPPP処理部22のいずれかで認証処理等の処理
をなされた後、多重化スイッチ24へと出力される。多
重化スイッチ24はこれを他のデータ処理部23から出
力されたデータと共に多重化し接続ポート12aへと出
力する。一方、接続ポート12aから入力されたデータ
は以上説明した処理とほぼ同様なので説明は省略する。
なお、PPP処理部22においてイーサネットフレーム
が処理される場合、802.1xの認証プロトコルは使
えない。従って、必要なら認証制手段14にはPPPo
Eに対応した認証機能を別途追加しておけばよい。この
ようにPPPoE或いは802.1Eいずれにも対応可
能としておくと、客先の希望に応じて柔軟に対応できる
ので、サービスの質の向上にもつながり大変望ましいと
いえよう。
【0047】
【発明の効果】本発明は以上説明したように、ユーザ端
末がIEEE802.1xに規定されたプロトコルに基
づき、通常のイーサネット上のデータ交換によってIS
Pへの認証とインターネットへの接続を可能とし、また
中継装置においてPPPoEパケットの処理を不要とし
VLANタグに基づく中継処理としたので、ブロードバ
ンド化に対応したインターネット常時接続においてスル
ープットを低減させない中継装置を提供する上で著効を
奏す。
【0048】
【その他】尚、本文中「イーサネット」及び「Ethe
rnet」は登録商標です。
【図面の簡単な説明】
【図1】本発明に係わるインターネット中継装置の第1
の実施例を示すブロック図。
【図2】第1の実施例を用いたインターネット認証手順
を示した図。
【図3】第1の実施例を用いた別のインターネット認証
手順を示した図。
【図4】本発明に係わるインターネット中継装置の第2
の実施例を示すブロック図。
【図5】IP通信網とISP間にルータを有する場合の
適用例を示すブロック図。
【図6】図5の場合のインターネット認証手順を示した
図。
【図7】DHCPプロトコルに基づく通信パケットのデ
ータ構造。
【図8】IPCPプロトコルに基づく通信パケットのデ
ータ構造。
【図9】監視フレームが付加された通信パケットのデー
タ構造。
【図10】パケットフィルタ部が付加された第1の変形
実施例。
【図11】パケットフィルタ部が付加された第2の変形
実施例。
【図12】アドバンスト・エッジ・スイッチの変形実施
例。
【図13】従来のインターネット中継装置の実施例を示
すブロック図。
【図14】PPPoEに基づく通信パケットのデータ構
成図。
【符号の説明】
1・・・通信接続業者 2、2a、2b、2c、・・・ユーザ 3、3a、3b、3c、・・・ISP(インターネット
サービスプロバイダ) 4・・・インターネット網 5、5a、5b、5c、・・・ユーザ端末 6、6a、6b、6c、・・・光ファイバ 7、7a、7b、7c、・・・ONU(光回線終端装
置) 8・・・回線中継装置 9・・・IP通信網 10・・・中継装置 11a、11b、11c、・・・接続ポート 12a、12b、12c、・・・接続ポート 13・・・切替手段 14・・・認証制御手段 15・・・ユーザ情報管理装置 16・・・アドバンスト・エッジ・スイッチ 17・・・L2スイッチ 18・・・・・・ルータ 19、19a、19b・・・パケットフィルタ部 20・・・フィルタ部 21・・・802.1x処理部 22・・・PPP処理部 23・・・データ処理部 24・・・多重化スイッチ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 前野 和洋 神奈川県高座郡寒川町小谷二丁目1番1号 東洋通信機株式会社内 Fターム(参考) 5B085 AA03 AE04 AE23 BG02 5K030 GA03 GA15 HA08 HC01 HD03 HD06 JA07 KA01 5K033 AA01 AA08 BA08 CC01 DA01 DA06 DB14 DB16 DB18 EA03

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】電気通信事業者(ISP)のサーバに接続
    されたIP通信網とユーザの端末装置との間を接続する
    中継装置であって、該中継装置は予め各ユーザとISP
    との関係を示すテーブルが保存されたユーザ情報管理装
    置と、前記ユーザ端末から所定のISPに対する接続要
    求を受けるとユーザ端末との間でIEEE802.1x
    に基づく認証を司る認証制御手段とを備え、該認証制御
    手段は前記ユーザ情報管理装置と連携してISPとの認
    証を行うことを特徴とするインターネット中継装置。
  2. 【請求項2】前記認証が成立したときにのみ当該ユーザ
    端末と所定のISPとの間のIP通信を可能ならしめる
    ことを特徴とする請求項1記載のインターネット中継装
    置。
  3. 【請求項3】前記認証手段による認証が成立したときに
    ユーザ端末と所定のISPとの間の所定の通信ポートに
    対して、当該ISPに対応するVLANタグを設定する
    ことを特徴とする請求項1または請求項2記載のインタ
    ーネット中継装置。
  4. 【請求項4】前記認証手段による認証が成立したときに
    ユーザ端末と所定のISPとの間の通信パケットに対し
    て、当該ISPに対応するVLANタグをデータとして
    付加したことを特徴とする請求項1、請求項2または請
    求項3記載のインターネット中継装置。
  5. 【請求項5】前記認証手段による認証が成立した際に、
    ISPから送付されるIPアドレスを記憶し、ユーザ端
    末からのIPアドレス要求に応答して前記IPアドレス
    をユーザ端末に対して送信することを特徴とする請求項
    1記載のインターネット中継装置。
JP2002260776A 2001-10-05 2002-09-06 インターネット中継装置 Pending JP2003224577A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002260776A JP2003224577A (ja) 2001-10-05 2002-09-06 インターネット中継装置

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2001310359 2001-10-05
JP2001-310359 2001-10-05
JP2001355412 2001-11-21
JP2001-355412 2001-11-21
JP2002260776A JP2003224577A (ja) 2001-10-05 2002-09-06 インターネット中継装置

Publications (1)

Publication Number Publication Date
JP2003224577A true JP2003224577A (ja) 2003-08-08

Family

ID=27761197

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002260776A Pending JP2003224577A (ja) 2001-10-05 2002-09-06 インターネット中継装置

Country Status (1)

Country Link
JP (1) JP2003224577A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006191552A (ja) * 2004-12-08 2006-07-20 Microsoft Corp セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム
JP2007312289A (ja) * 2006-05-22 2007-11-29 Hitachi Communication Technologies Ltd パケット転送装置、パケット転送システムおよびパケット転送方法
JP2008205682A (ja) * 2007-02-19 2008-09-04 Kddi Corp 試験装置、方法及びプログラム
JP2008263437A (ja) * 2007-04-12 2008-10-30 Alaxala Networks Corp ネットワークシステム及び集約装置
US8201222B2 (en) 2005-03-31 2012-06-12 Nec Infrontia Corporation Authentication system for authenticating communication terminal
JP2018045399A (ja) * 2016-09-14 2018-03-22 株式会社日立産機システム プログラマブルコントローラ
CN108900394A (zh) * 2018-06-28 2018-11-27 重庆广用通信技术有限责任公司 一种PPPoE内外网帐号无序转换方法及***

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006191552A (ja) * 2004-12-08 2006-07-20 Microsoft Corp セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム
JP4673734B2 (ja) * 2004-12-08 2011-04-20 マイクロソフト コーポレーション セキュリティで保護された形でクライアントデバイスを提供するための方法およびシステム
US8201222B2 (en) 2005-03-31 2012-06-12 Nec Infrontia Corporation Authentication system for authenticating communication terminal
JP2007312289A (ja) * 2006-05-22 2007-11-29 Hitachi Communication Technologies Ltd パケット転送装置、パケット転送システムおよびパケット転送方法
US7733859B2 (en) 2006-05-22 2010-06-08 Hitachi, Ltd. Apparatus and method for packet forwarding in layer 2 network
JP2008205682A (ja) * 2007-02-19 2008-09-04 Kddi Corp 試験装置、方法及びプログラム
JP2008263437A (ja) * 2007-04-12 2008-10-30 Alaxala Networks Corp ネットワークシステム及び集約装置
JP2018045399A (ja) * 2016-09-14 2018-03-22 株式会社日立産機システム プログラマブルコントローラ
CN108900394A (zh) * 2018-06-28 2018-11-27 重庆广用通信技术有限责任公司 一种PPPoE内外网帐号无序转换方法及***
CN108900394B (zh) * 2018-06-28 2021-01-08 重庆广用通信技术有限责任公司 一种PPPoE内外网帐号无序转换方法及***

Similar Documents

Publication Publication Date Title
US7437552B2 (en) User authentication system and user authentication method
US7733859B2 (en) Apparatus and method for packet forwarding in layer 2 network
US8488569B2 (en) Communication device
US7693507B2 (en) Wireless network control device and wireless network control system
US7630386B2 (en) Method for providing broadband communication service
US8125980B2 (en) User terminal connection control method and apparatus
CN101090366B (zh) 具备网关选择功能的信息包传送装置
US8630183B2 (en) Packet transfer system
US7325058B1 (en) Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites
US20020038419A1 (en) Service selection in a shared access network using tunneling
CN101141492B (zh) 实现dhcp地址安全分配的方法及***
US20020010865A1 (en) Method and apparatus for remote office access management
US20080046974A1 (en) Method and System Enabling a Client to Access Services Provided by a Service Provider
KR20070010023A (ko) 서비스로의 액세스를 위해 가상 네트워크로의 액세스를가능하게 하는 클라이언트에 대한 인가 방법 및 시스템
JP2003224577A (ja) インターネット中継装置
CN115278373A (zh) 互联网电视组网方法及***
JP2004304574A (ja) 通信装置
Cisco Configuring PPP and Multilink PPP
Cisco Configuring PPP for Wide-Area Networking
Cisco Configuring PPP for Wide-Area Networking
Cisco Configuring PPP for Wide-Area Networking
Cisco N through shdsl Commands for Cisco DSLAM with NI-2
Cisco Configuring PPP and Multilink PPP
Cisco Configuring PPP for Wide-Area Networking
Cisco Configuring PPP for Wide-Area Networking

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20050719