JP4050500B2 - 通信方法および装置 - Google Patents
通信方法および装置 Download PDFInfo
- Publication number
- JP4050500B2 JP4050500B2 JP2001348939A JP2001348939A JP4050500B2 JP 4050500 B2 JP4050500 B2 JP 4050500B2 JP 2001348939 A JP2001348939 A JP 2001348939A JP 2001348939 A JP2001348939 A JP 2001348939A JP 4050500 B2 JP4050500 B2 JP 4050500B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- session
- packet
- address
- present
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Description
【発明の属する技術分野】
本発明は、パケット通信を行う通信網において、認証が終了した通信セッションから特定の条件を満たしたパケットを取り出し、認証を行わない通信方式に再構築して転送する通信方法および装置に関する。
【0002】
【従来の技術】
認証を行わない通信のセッションから特定の条件を満たすパケットを取り出し、適切なあて先に転送する装置として、レイヤ4スイッチが知られている。レイヤ4スイッチを用いたネットワーク形態の例を図10に示す。レイヤ4スイッチ11は、例えばサーバ12とクライアント端末13の途中の伝送路にネットワーク14を介して挿入され、サーバ12とクライアント端末13間の通信セッションのパケットであらかじめ設定された特定の条件を満たすパケットを抽出し、キャシュサーバ15、映像サーバ16、Webサーバ17などの他の端末へ転送する装置である。レイヤ4スイッチ11を用いることによりクライアント端末13とサーバ12間の通信のうち、容量の多いリッチコンテンツや特定の帯域を必要とする映像コンテンツなどをキャシュサーバ15から配信することが可能となり、サーバの負荷の軽減、ネットワークの混雑の軽減など、安定的なネットワークの確保という効果が得られる。
【0003】
しかし、従来のレイヤ4スイッチ11では、パケットの内容やプロトコル・フォーマットまでは変更できず、単純に転送先を変更するだけである。このため図11に示すように、サーバ12とクライアント端末13間に存在するネットワーク14でPPP(ポイント−ツゥ−ポイントプロトコル)などの認証を行うプロトコルを用いた場合には適用することができない。これは、認証が1対1で行われるためであり、クライアント端末13とサーバ12間あるいはクライアント端末13とサーバ12側のネットワーク14に配置されたゲートウエイ間で認証が成立した場合に、同じ形式のパケットを別のキャシュサーバなどに転送したとしても、キャシュサーバあるいはキャシュサーバ側のネットワークに配置されたゲートウエイで認証が成立していないために、そのパケットの内容を認識することができないためである。
【0004】
したがって、PPPを用いる場合に、コンテンツをさまざまなサーバより配信するためには、図12に示すようにPPPを終端するアクセスサーバ18を複数用意する必要がある。しかしこの場合においては、クライアント端末13側から複数のPPPセッションを確立する必要があり、どのサーバからコンテンツを配信するかはクライアント側のPPPセッションの使い方に依存する。このため、コンテンツ配信者やネットワーク管理者がネットワークにとって最適なコンテンツ配信サーバを決定することができないという問題があった。
【0005】
【発明が解決しようとする課題】
前記に説明したように、従来の技術ではクライアント端末とサーバ間のネットワークで認証を行った場合に、通信のセッションから特定の条件を満たすパケットを取り出し、適切なあて先に転送することが出来ないという課題があった。また、認証セッションをクライアントが複数確立することにより、複数のサーバからコンテンツの配信を可能とする方法がこれまでもあったが、どのサーバから配信を受けるかはクライアントの動作に依存し、ネットワーク管理者やコンテンツ配信者が適切なサーバへ導くことができないという課題があった。
【0006】
本発明は上記の事情に鑑みてなされたもので、認証が終了した通信セッションを記憶し、該当セッションにより通信を行う装置と、認証を行わない通信方法を用いる装置との間の通信を、あらかじめ設定された条件に基づいて行うことが可能である通信方法および装置を提供することを目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成するために本発明は、パケット通信を行う通信網において、特定の通信セッションに対して認証を行うアクセスサーバとクライアント端末間に配置される通信装置を用いた通信方法であって、前記通信装置が、前記アクセスサーバとクライアント端末間で通信されるパケットを監視し、認証されたセッションに属する通信パケットでかつあらかじめ設定された少なくともあて先アドレスを含む条件を満たすパケットを、認証を行わない通信形式のパケットに再構築してあらかじめ指定された他の装置へ転送することを特徴とする。
【0008】
また本発明は、パケット通信を行う通信網において、特定の通信セッションに対して認証を行うアクセスサーバとクライアント端末間に配置される通信装置を用いた通信方法であって、前記通信装置が、セッションを認証する際に行われる通信のパケットに記載されている、送信先あるいは送信元アドレスの少なくとも一方のアドレスとセッションあるいは該セッションの通信が行われるネットワークに与えられた識別子とをセッションごとに記憶し、他の装置から入力されたパケットであって前記記憶したアドレスに宛てて送信される認証を行わない通信形式のパケットを、認証されたセッションに属する通信形式のパケットでかつ前記識別子を有するパケットに再構築して認証されたセッションに転送することを特徴とする。
【0009】
また本発明は、前記通信方法において、前記通信装置が、認証されたセッションを識別する方法として、セッションに与えられた識別子あるいはネットワークに与えられた識別子あるいは通信のパケットに記憶されているアドレスの少なくとも1つを用いることを特徴とする。
【0010】
また本発明は、前記通信方法において、前記通信装置が、セッションの解放を通知する通信を検出した場合、該当セッションに対する記憶していたアドレスを消去することを特徴とする。
【0012】
また本発明は、前記通信方法において、前記通信装置が、認証されたセッションに属する通信パケットでかつあらかじめ設定された少なくともあて先アドレスを含む条件を満たすパケットを物理的に異なる通信ポートに転送することを特徴とする。
【0013】
また本発明は、前記通信方法において、前記あらかじめ設定された少なくともあて先アドレスを含む条件として、あて先アドレスの他に、パケット内に記憶された送り元アドレス、プロトコル番号、優先度、ポート番号、サーバ名、URLの少なくとも1つを利用することを特徴とする。
【0014】
また本発明は、前記通信方法において、前記通信装置が、セッションの解放を通知する通信を検出した場合、該当セッションに対する転送動作を行わないことを特徴とする。
【0015】
また本発明は、前記通信方法において、前記通信装置が、あらかじめ定められた一定時間、通信パケットがなかった場合に、該当セッションに対する転送動作を行わないことを特徴とする。
【0016】
また本発明の通信装置は、パケット通信を行う通信網において、特定の通信セッションに対して認証を行うアクセスサーバとクライアント端末間に配置される通信装置であって、前記アクセスサーバとクライアント端末間で通信されるパケットを監視し、認証されたセッションに属する通信パケットでかつあらかじめ設定された少なくともあて先アドレスを含む条件を満たすパケットを、認証を行わない通信形式のパケットに再構築してあらかじめ指定された他の装置へ転送することを特徴とするものである。
【0017】
また本発明の通信装置は、パケット通信を行う通信網において、特定の通信セッションに対して認証を行うアクセスサーバとクライアント端末間に配置される通信装置であって、セッションを認証する際に行われる通信のパケットに記載されている、送信先あるいは送信元アドレスの少なくとも一方のアドレスとセッションあるいは該セッションの通信が行われるネットワークに与えられた識別子とをセッションごとに記憶し、他の装置から入力されたパケットであって前記記憶したアドレスに宛てて送信される認証を行わない通信形式のパケットを、認証されたセッションに属する通信形式のパケットでかつ前記識別子を有するパケットに再構築して認証されたセッションに転送することを特徴とするものである。
【0018】
また本発明は、前記通信装置において、セッションに与えられた識別子あるいはネットワークに与えられた識別子あるいは通信のパケットに記載されているアドレスの少なくとも1つを用いて認証されたセッションを識別することを特徴とするものである。
【0019】
また本発明は、前記通信装置において、セッションの解放を通知する通信を検出した場合、該当セッションに対する記憶していたアドレスを消去することを特徴とするものである。
【0021】
また本発明は、前記通信装置において、認証されたセッションに属する通信パケットでかつあらかじめ設定された少なくともあて先アドレスを含む条件を満たすパケットを物理的に異なる通信ポートに転送することを特徴とするものである。
【0022】
また本発明は、前記通信装置において、前記あらかじめ設定された少なくともあて先アドレスを含む条件として、あて先アドレスの他に、パケット内に記憶された送り元アドレス、プロトコル番号、優先度、ポート番号、サーバ名、URLの少なくとも1つを利用することを特徴とするものである。
【0023】
また本発明は、前記通信装置において、セッションの解放を通知する通信を検出した場合、該当セッションに対する転送動作を行わないことを特徴とするものである。
【0024】
また本発明は、前記通信装置において、あらかじめ定められた一定時間、通信パケットがなかった場合に、該当セッションに対する転送動作を行わないことを特徴とするものである。
【0025】
本発明では、認証を行う通信セッションにおいて、認証確立を監視し、認証が確立した通信セッションから特定の条件を満たすパケットを抽出し、認証を行わない通信方法に変換した後にキャシュサーバ等へ転送を行う。認証を行う通信セッションとは例えばPPPoE(PPPオーバイーサネット)やL2TP(レイヤ2トンネルプロトコル)などがあり、認証を行わない通信方法としては、イーサネット上に直接IP(インタネットプロトコル)が載った形態などがある。
【0026】
また、キャシュサーバなどから送信される認証を行わない通信方法のパケットを受信した場合には、そのあて先アドレス等から、通信セッションを特定し、認証を行う通信方法のパケットに変換して転送を行う。
【0027】
また、本発明によると、セッションの解放を通知する通信の検出あるいは一定時間通信がない場合には、上記動作を停止することで、認証が完了していないクライアントがネットワークに侵入することを防いでいる。
【0028】
このように本発明を用いることにより、1対1で認証が行われている通信セッションに対して、認証行わない通信方法のパケットを挿入、抽出することが可能であり、認証プロトコルを用いながら、ネットワーク管理者やコンテンツ配信者が適切なサーバへ導くことができる。
【0029】
【発明の実施の形態】
以下図面を参照して本発明の実施形態例を詳細に説明する。
【0030】
[実施形態例1]
本発明の実施形態例として、PPP(ポイント−トゥ−ポイントプロトコル)およびPPPoE(PPPオーバイーサネット)プロトコルを用いた通信セッションに本発明の通信装置および通信方法を適用した例を示す。
【0031】
図1に示すように、本発明の通信装置21はPPPoEクライアント端末13とアクセスサーバ18の間に配置される。PPPoEクライアント端末13とアクセスサーバ18の間でPPP/PPPoEプロトコルを用いて通信セッションの認証が行われ、アクセスサーバ18よりセッションID(識別子)がセッションに対して付与される。PPPoEクライアント端末13は認証されたセッションを通じて、アクセスサーバ18の反対側に配置されたネットワーク14と通信することが可能となる。
【0032】
まず、セッションの確立が行われていない初期状態での動作の説明を行う。初期状態においては、本発明の通信装置21は図1に示すポートAとポートBの間でパケットを転送するブリッジとして動作する。この際、ポートCへパケットを転送することはない。またポートCに入力されたパケットをポートA,ポートBに転送することはない。
【0033】
次に、PPPoEクライアント端末13がPPP/PPPoEセッションの確立シーケンスを開始した場合について説明を行う。本実施形態例のパケット転送装置は、ポートAあるいはポートBから入力されたパケットのPPPoEヘッダ上にある1オクテットのコードフィールドを読み取る。PPPoEプロトコルにおいては、まずディスカパリステージにより、PPPoEセッションIDがアクセスサーバ18からクライアント端末13に通知される。この通知を行うパケットはPADSと呼ばれ、前述のコードフィールドが0x65である。本実施形態例では、前述のコードフィールドが0x65の場合に、PPPoEヘッダ中に記載されているPPPoEセッションIDをPPPoEクライアントのMACアドレスと合わせて本発明の通信装置21で記憶する。また、読み取られたコードフィールドが0x00であればPPPoEのディスカパリステージが終了し、PPPセッションステージ上でPPPプロトコルのやり取りが開始されている。この状態でPPPoEヘッダ上にある2オクテットのPPPoEセッションIDを読み取り、本発明の通信装置21で記憶しても良い。いずれにせよ、PPPoEセッションIDの学習はクライアント端末13側から送信される通信パケットでもアクセスサーバ18側から送信される通信パケットでも良いが、ここではセキュリティを考慮しアクセスサーバ18側から送信される通信パケット内に記載されているPPPoEセッションIDをPPPoEクライアントのMACアドレスと合わせて記憶する。
【0034】
上記の実施形態例では、セッションIDをPPPoEプロトコルを用いて記憶したが、さらにセキュリティを向上させるために、PPPセッションステージを用いる例を示す。
【0035】
PPPoEにおいてディスカパリステージが終了するとPPPステージに移行する。PPPステージにおいては、まずCHAP(チャレンジ・ハンドシェーク認証プロトコル)やPAP(パスワード認証プロトコル)などが用いられて認証が行われる。さらに、一般的にはPPPの上位レイヤとしてIPを使用しており、この場合にはIPCP(IP制御プロトコル)を用いてIPアドレスをアクセスサーバ18から提供することが一般に行われる。ここで、この一連のPPPステージの終了時に、アクセスサーバ18側から送信される通信パケット内に記載されているPPPoEセッションIDをPPPoEクライアントのMACアドレスと合わせて記憶する。
【0036】
このような動作を行うことにより、CHAP、PAPなどの認証が正常に終了した通信セッションに対してのみPPPoEセッションIDを本発明の通信装置21が記憶することとなり、セキュリティが向上する。またさらに、IPCPにおいてアクセスサーバから提供されたIPアドレスをも本通信装置21で学習することにより、PPPoEセッションIDとIPアドレスとMACアドレスが一致したパケットにのみ所定の動作をすることができ、セキュリティがさらに向上する。
【0037】
ここまでは、すべての確立した通信セッションに対して、事後的にPPPoEセッションIDを学習する例をしめしたが、あらかじめ設定された特定の通信セッションにのみPPPoEセッションIDを学習する例を示す。
【0038】
この例では、本発明の通信装置21にあらかじめPPPoEクライアントのMACアドレスが設定されており、特定のMACアドレス宛にアクセスサーバ18側から送信される通信パケットに対してのみ上記実施形態例と同じ方法でPPPoEセッションIDを記憶する。このような動作をすることにより、許可されたMACアドレスを有するPPPoEクライアント以外のPPPoEクライアントがアクセスサーバと確立した通信セッションに対しては、PPPoEセッションIDを学習することなく、特定のクライアントにのみPPPoEセッションIDを学習することが可能である。
【0039】
前述の例ではPPPoEセッションIDをMACアドレスと合わせて記憶する方法を説明したが、ここでは、PPPoEセッションIDを他のものと関連づけて記憶する方法を説明する。ここでは、PPPoEクライアント端末13とアクセスサーバ18間がIEEE802.1Qに規定されたVLAN(仮想LAN)で接続されている場合について説明を行う。
【0040】
PPPoEクライアント端末13とアクセスサーバ18間がIEEE802.1Qに規定されたVLANで接続されている場合には、PPPoEクライアント端末13とアクセスサーバ18間でやり取りされる通信パケットにはVLANタグとしてVLAN毎に一意にあらかじめ設定されたVLAN IDが記載される。このため前述の方法と同様の方法でPPPoEセッションIDを記憶する際に、PPPoEクライアントのMACアドレスおよびVLAN IDと合わせて記憶する。前述のように、IPCPでアクセスサーバ18から提供されるIPアドレスとも合わせて記憶してもよい。このような動作により、MACアドレス、VLAN ID、PPPoEセッションIDおよびIPアドレスのすべてが一致したパケットにのみ所定の動作をすることができ、セキュリティがさらに向上する。また、VLANを使用する場合には、VLAN毎にPPPoEセッションIDの記憶、非記憶を設定することにより、特定のVLANに所属するPPPoEクライアント端末のPPPoEセッションIDのみを記憶することが可能となる。
【0041】
以上、本発明の通信装置21によるPPPoEセッションIDの記憶方法について説明した。次に記憶したPPPoEセッションIDを持つ通信セッションから特定の通信パケットを抽出し、認証を用いない通信方式に変換する方法について説明を行う。
【0042】
本実施形態例では、認証を用いない通信方式として、イーサネット上でのIP通信を使用した例を示す。
【0043】
本発明の通信装置21は前述のようにPPPoEセッションIDを記憶する。さらに本発明の通信装置21には、あらかじめ所定の条件を設定しておく。ここではPPPプロトコル上でIP通信を行う場合を例にとり、あて先IPアドレスを条件として設定した場合を例にとり説明を行う。
【0044】
本発明の通信装置21は、記憶したPPPoEセッションID有する通信パケットを監視し、あて先IPアドレスとして設定されたIPアドレスを有するかどうか判定する。あて先IPアドレスが設定されたIPアドレスでない場合には、その通信パケットはポートAからBあるいはポートBからAへブリッジされる。このため、あて先IPアドレスが設定されたIPアドレスでない通信においては、PPPoEクライアント端末13とアクセスサーバ18の間の通信は、本発明の通信装置21の挿入によって影響を受けない。
【0045】
これに対し、ポートAから入力された通信パケットが記憶したPPPoEセッションIDを有しなおかつあらかじめ本発明の通信装置21に設定されたIPアドレスをあて先IPアドレスとして持つ場合には、図2に示す動作を行うことにより、イーサネット上でのIP通信に変換されてポートCに転送される。まず、記憶したPPPoEセッションIDを有しなおかつ通信パケットのあて先IPアドレスがあらかじめ設定されたIPアドレスである通信パケットから、IPパケット部分を取り出す。さらに、あらかじめ設定されるかもしくはARP(アドレス解決プロトコル)で入手したMACアドレスをあて先としたMACヘッダを付与し、FCS(フレームチェックシーケンス)を再計算してイーサネットフレームを構築する。さらにこのイーサネットフレームをポートCから出力する。
【0046】
この例では、イーサネットヘッダに記憶されるあて先MACアドレスを、PPPoEクライアント端末13、アクセスサーバ18間で行われる通信パケットのあて先MACアドレスから変更した。この変更は、通常のサーバ等は自MACアドレスをあて先MACアドレスに持つイーサネットフレームしか受信しないために行うものであり、変更後のあて先MACアドレスはサーバやルータなど、次にこのフレームを受信すべき装置のアドレスとする。本実施形態例では、本発明の通信装置21のポートCがIP通信を行うポートであることから、本発明の通信装置21にルーティングプロトコルを実装し、通常のルーティング動作にしたがって、次にこのフレームを受信すべき装置を決定する。さらに次にこのフレームを受信すべき装置のMACアドレスの決定には通常のARPを使用する。
【0047】
以上のような動作を行うことにより、認証が終了し、さらに、あらかじめ設定により許可されたMACアドレスを有するPPPoEクライアントあるいは、あらかじめ設定により許可されたVLANに属するPPPoEクライアントからの通信パケットで、特定のあて先IPアドレスに向けられた通信パケットは、アクセスサーバ18を経由することなく、通常のIPパケットとしてポートCに転送可能である。また、この動作により、ポートC側に設置された通常のIP通信を行うサーバにパケットを転送することが可能である。このため、特定のPPPoEクライアントからの通信を、本発明の通信装置21の管理運営者の指定したサーバに振り分けることが可能となる。
【0048】
また、前記の実施形態例では、あて先IPアドレスを条件に振り分けを行った。しかし本発明はこれに限るものではない。たとえば振り分けを行いたいサーバがWEBサーバである場合には、HTTP(ハイパーテキストトランスファープロトコル)以外のプロトコルを持つ通信パケットをWEBサーバに振り分けても無意味である。このような場合には、あて先IPアドレスと、TCP(トランスミッション・コントロール・プロトコル)のポート番号を条件にする方法が良い。また、振り分けを行いたいサーバがFTP(ファイル転送プロトコル)サーバである場合には、FTP以外のプロトコルを持つ通信パケットをWEBサーバに振り分けても無意味である。このような場合には、あて先IPアドレスと、TCP(トランスミッション・コントロール・プロトコル)のポート番号を条件にする方法が良い。同様にサーバの種別によりさまざまな組み合わせが考えられることから、本発明の実施形態例の通信装置21においては、あて先、送り元IPアドレス、TCPおよびUDP(ユーザデータグラムプロトコル)のポート番号の組み合わせで条件を設定可能とした。さらに、通信パケット中のIEEE802.1Q VLANタグ中に記載された優先度、あるいはIPヘッダに記載された優先度、TOS(タイプオブサービス)を条件とすることにより、優先度により通信経路を分離することが可能である。すなわち、認証が終了し、さらに、あらかじめ設定により許可されたMACアドレスを有するPPPoEクライアントあるいは、あらかじめ設定により許可されたVLANに属するPPPoEクライアントからの通信パケットで優先度の低い通信パケットは通常のPPP/PPPoEを使用し、優先度の高い通信パケットは本発明の通信装置21により、イーサネット上でのIP通信を行うポートC側に振り分けることが可能である。
【0049】
以上、本発明の通信装置21によるPPPoEセッションIDの記憶方法と、認証を用いない通信方法への転送について説明した。次に認証を用いない通信方法を行うポートから受信した通信パケットを認証が終了した通信セッションへ転送する方法について説明する。この実施形態例においても、前述の実施形態例と同様に、認証を用いない通信方法として、イーサネット上でのIP通信を使用した例を示す。
【0050】
すでにPPP/PPPoEプロトコルによってPPPoEクライアント端末13およびアクセスサーバ18間で認証が終了したセッションが確立しており、本発明の通信装置21により前述の例で説明した手順によってPPPoEセッションIDがPPPoEクライアントのMACアドレス、IPアドレスとともに記憶されている場合について説明をおこなう。
【0051】
IP通信を行うポートCに通常のIPパケットが入力された場合、本発明の通信装置21は入力された通信パケットのIPヘッダよりあて先IPアドレスを読み取り、通常のルーティング動作により、次に転送すべき装置を決定する。もし、ここで次に転送すべき装置がみつからない場合には、通常のルーティング動作と同様に、送り元に向かって転送不可能である通知を送信する。これに対し、通常のルーティング動作にしたがい決定した次に転送すべき装置のIPアドレスが、本発明の通信装置21に記憶されているIPアドレスの一つと一致した場合は、図3に示す動作にしたがってPPP/PPPoEセッションに転送する。
【0052】
すなわち、まず、入力されたイーサネットフレームよりIPパケット部分を抽出する。さらに、このIPパケットに対し、該当するIPアドレスと合わせて学習したPPPoEセッションIDを持つPPPヘッダPPPoEヘッダを構築し付与する。さらに、該当するIPアドレスと合わせて学習したPPPoEクライアントのMACアドレスをあて先アドレスとしたMACヘッダを付与し、再計算したFCSを付与してポートAから出力する。
【0053】
以上の実施例で説明を行った動作を行うことにより、認証が終了し、さらに、あらかじめ設定により許可されたMACアドレスを有するPPPoEクライアントあるいは、あらかじめ設定により許可されたVLANに属するPPPoEクライアントは、クライアント側になんら特殊な設定を行うことなく、本発明の通信装置に管理者が設定した条件にしたがって、キャシュサーバやストリーミングサーバ等のサーバと通信を行うことが可能である。またこのとき、条件に合致しない通信については、通常通りアクセスサーバを介して通信することが可能であるため、本発明を用いない場合と比較して差はない。
【0054】
以上、本発明の通信装置による通信方法について説明した。次に通信セッションが切断された場合の動作について説明を行う。
【0055】
通信セッションが切断された場合においては、もはや本発明の通信装置に記述したPPPoEセッションIDなどの情報は不要である。逆に前記情報を本発明の通信装置に保持しつづけると、過去に認証が終了したが、現在はセッションが解放されたPPPoEクライアントに対して、ポートCと接続されたネットワークへの通信を許可することとなり、セキュリティ上好ましくない。このため、本発明では、通信セッションが切断された場合においては、本発明の通信装置に記憶したPPPoEセッションIDなどの情報を消去する方式を用いた。以下に動作の説明を行う。
【0056】
PPPoEのセッションの切断時には、PADTと呼ばれるパケットのやりとりがPPPoEクライアント端末13およびアクセスサーバ18間で行われる。PADTはコードフィールドが0xa7である。アクセスサーバ18あるいはPPPoEクライアント端末13から送信されたPADTを本発明の通信装置21が検出した場合、本発明の通信装置21は該当セッションに対し、ポートAおよびポートB間のブリッジとしてのみ動作し、該当セッションのいかなるパケットに対してもポートC側に転送しない。またポートC側から入力された認証を用いない通信方法のパケットについても、該当セッションに転送をしない。さらに、該当PPPoEセッションIDと合わせて記憶したMACアドレス、IPアドレス、VLAN IDなどの情報については消去する。
【0057】
以上のような動作を行うことにより、認証されたセッションが切断した場合には、該当PPPoEセッションに対しては、本発明の通信装置は単なるブリッジとしてのみ動作する。
【0058】
さらに、PPPoEクライアントが明示的にセッションを切断することなくネットワークから物理的に分離された場合やPPPoEクライアント端末が動作不能に陥った場合など、明示的なセッションの切断がなくセッションが実質的に終了する場合がある。この場合には、前述のPADTのやりとりを必ずしも期待できないために、PADTを持って本発明の通信方法の動作を終了させることはできない。そこで本発明の通信装置においては、すべての記憶したセッションに対して、通信の状態を監視し、あらかじめ設定された一定時間通信パケットがない場合には、なんらかの原因で明示的ではなくセッションが切断されたものと判断し、本発明の通信装置は該当セッションに対し、ポートAおよびポートB間のブリッジとしてのみ動作し、該当セッションのいかなるパケットに対してもポートC側に転送しない。またポートC側から入力された認証を用いない通信方法のパケットについても、該当セッションに転送をしない。さらに、該当セッションIDと合わせて記憶したMACアドレス、IPアドレス、VLAN IDなどの情報については消去する。もし、本動作を行った後において、実際には通信セッションが切断されていなかった場合であっても、PPPoEクライアントはアクセスサーバを介して通信が可能であることおよび、PPPoEクライアントとアクセスサーバの間でやりとりされるKP(Keep Alive)パケットや通信のパケットを監視し、再度PPPoEセッションID、MACアドレスを記憶することで、ポートC側のネットワークとの通信を回復することが可能である。
【0059】
[実施形態例2]
前述の実施形態例においては、PPP/PPPoEを用いた場合について説明を行ったが、認証を用いるプロトコルとしてはこれに限らない。ここではL2TP(レイヤ2トンネルプロトコル)を用いた場合の本発明の実施形態例について説明を行う。
【0060】
本発明の実施形態例として、L2TPおよびPPP(ポイント−トゥ−ポイントプロトコル)を用いた通信セッションに本発明の通信装置および通信方法を適用した例を示す。
【0061】
図4に示すように、本発明の通信装置21はLAC(L2TP AccessConcentrator)22とLNS(L2TP Network Server)23の間に配置される。PPPクライアント端末13とアクセスサーバ18の間でPPPプロトコルを用いて通信セッションの認証が行われる。これに加えてLAC22とLNS23の間でL2TPを用いて通信セッションの認証が行われ,セッションID(識別子)がセッションに対して付与される。これにより、PPPクライアント端末13は認証されたセッションを通じて、アクセスサーバ18の反対側に配置されたネットワーク14と通信することが可能となる。
【0062】
まず、セッションの確立が行われていない初期状態での動作の説明を行う。初期状態においては、本発明の通信装置21は図4に示すポートAとポートBの間でパケットを転送するブリッジとして動作する。この際、ポートCへパケットを転送することはない。またポートCに入力されたパケットをポートA,ポートBに転送することはない。
【0063】
次に、LAC22とLNS23の間で行われるL2TPの通信においてセッション確立シーケンスを開始した場合について、説明を行う。本実施形態例の通信装置21は、ポートAあるいはポートBから入力されたパケットのL2TPパケット内にある2オクテットのMT(Message Type)を読み取る。L2TPプロトコルにおいては、まずMT(Message Type)がICRQ(Incoming−Call−Request)のパケットにより、L2TPセッションIDがLAC22からLNS23に通知される。本実施形態例では、L2TPパケット内に記載されているそれぞれ2オクテットづつのトンネルIDとL2TPセッションIDをPPPクライアントのMACアドレス、と組み合わせて本発明の通信装置21へ1つのテーブルとして記憶する。また、読み取られたMT(Message Type)がICRP(Incoming−Call−Reply)であれば、L2TPセッションIDがLNS23からLAC22に通知されるので、ICRPパケットからL2TPヘッダ上にある2オクテットづつのトンネルIDとL2TPセッションIDを読み取り、本発明の通信装置21で記憶する。L2TPのトンネルIDとL2TPセッションIDはLAC22側とLNS23側で異なるため、それぞれ別々に記憶しておく必要がある。そのため、ここではLAC22側とLNS23側の双方から送信される通信パケット内に記載されているトンネルIDとL2TPセッションIDをそれぞれPPPクライアントのMACアドレス、IPアドレスなどと組み合わせて記憶する。
【0064】
上記の実施形態例では、L2TPセッションIDをL2TPプルトコルを用いて記憶したが、さらにセキュリティを向上させるために、PPPセッションステージを用いる例を示す。ここではIPCPパケットを読み込むことにより、IPアドレスを記憶するが、この説明については、実施形態例1と同様の動作なので省略する。
【0065】
ここまでは、すべての確立した通信セッションに対して、セッションIDを学習する例をしめしたが、あらかじめ設定された特定の通信セッションにのみセッションIDを学習する例を示す。
【0066】
この説明については、実施形態例1と同様の動作なので省略する。
【0067】
前述の例ではセッションIDをMACアドレスと合わせて記憶する方法を説明したが、ここでは、セッションIDを他のものと関連づけて記憶する方法を説明する。ここでは、PPPクライアントとアクセスサーバ間がIEEE802.1Qに規定されたVLAN(仮想LAN)で接続されている場合について説明を行う。
【0068】
この説明については、実施形態例1と同様な動作なので省略する。
【0069】
以上、本発明の通信装置によるL2TPセッションIDの記憶方法について説明した。次に記憶したL2TPセッションIDを持つ通信セッションから特定の通信パケットを抽出し、認証を用いない通信方法に変換する方法について説明を行う。
【0070】
本実施形態例では、認証を用いない通信方式として、イーサネット上でのIP通信を使用した例を示す。
【0071】
本発明の通信装置は前述のようにL2TPセッションIDをLAC側とLNS側の2通り記憶する。さらに本発明の通信装置には、あらかじめ所定の条件を設定しておく。ここでは、PPPプロトコル上でIP通信を行う場合を例にとり、あて先IPアドレスを条件として設定した場合を例にとり説明を行う。
【0072】
本発明の通信装置21は、LAC22からのICRQをもとにして記憶した2オクテットのL2TPセッションIDを有する通信パケットを監視し、あて先IPアドレスとして設定されたIPアドレスを有するかどうか判定する。あて先IPアドレスが設定されたIPアドレスでない場合には、その通信パケットはポートAからBへブリッジされる。このため、あて先IPアドレスが設定されたIPアドレスでない通信においては、PPPクライアント端末13とアクセスサーバ18の間のL2TPの通信は、本発明の通信装置21の挿入によって影響を受けない。
【0073】
これに対し、LAC22からのICRQをもとにして記憶した2オクテットのL2TPセッションIDを有する通信パケットで、かつあて先IPアドレスが設定されたIPアドレスである通信パケットの場合には、図5に示す動作を行うことにより、イーサネット上でのIP通信としてポートCに転送する。まず、記憶したL2TPセッションIDを有する通信パケットで、かつあて先IPアドレスが設定されたIPアドレスである通信パケットから、IPパケットを取り出す。さらに、あらかじめ設定されるかARP(アドレス解決プロトコル)で入手したMACアドレスにあて先を書き換えたMACヘッダを付与し、FCS(フレームチェックシーケンス)を再計算してイーサネットフレームを構築する。さらにこのイーサネットフレームをポートCから出力する。
【0074】
この例では、イーサネットヘッダに記載されるあて先MACアドレスを、PPPクライアント端末13、アクセスサーバ18間で行われる通信パケットのあて先MACアドレスから変更した。MACアドレスの決定には通常のARPの仕組みを使用する。この説明については、実施形態例1と同様の動作なので省略する。
【0075】
以上のような動作を行うことにより、認証が終了し、さらに、あらかじめ設定により許可されたMACアドレスを有するPPPクライアントあるいは、あらかじめ設定により許可されたVLANに属するPPPクライアントからの通信パケットで、特定のあて先IPアドレスに向けられた通信パケットは、L2TPプロトコルが使用されたネットワーク内にあってもアクセスサーバを経由することなく、通常のIPパケットとしてポートCに転送可能である。また、この動作により、ポートC側に設置された通常のIP通信を行うサーバにパケットを転送することが可能である。このため、特定のPPPクライアントからの通信を、本発明の通信装置の管理運営者の指定したサーバに振り分けることが可能となる。
【0076】
また、前記の実施形態例では、あて先IPアドレスを条件に振り分けを行った。しかし本発明はこれに限るものではない。この説明については、実施形態例1と同様なので省略する。
【0077】
以上、本発明の通信装置によるL2TPセッションIDの記憶方法と、認証を用いない通信方法への転送について説明した。次に認証を用いない通信方法を行うポートから受信した通信パケットを認証が終了した通信セッションへ転送する方法について説明する。この実施形態例においても、前述の実施形態例と同様に、認証を用いない通信方法として、イーサネット上でのIP通信を使用した例を示す。
【0078】
すでにPPPプロトコルによってPPPクライアント端末13およびアクセスサーバ18間で認証が終了したセッションが確立しており、かつL2TPプロトコルによってLAC22およびLNS23間で認証が終了したセッションが確立しており、本発明の通信装置21により前述の例で説明した手順によってL2TPセッションIDがPPPクライアントのMACアドレス、IPアドレスとともに記憶されている場合について説明をおこなう。
【0079】
IP通信を行うポートCに通常のIPパケットが入力された場合、本発明の通信装置21は入力された通信パケットのIPヘッダからあて先IPアドレスを読み取り、通常のルーティング動作により、次に転送すべき装置を決定する。もし、ここで次に転送すべき装置が見つからない場合には、通常のルーティング動作と同様に、送り元に向かって転送不可能である通知を送信する。これに対し、通常のルーティング動作にしたがい決定した次に転送すべき装置のIPアドレスが、本発明の通信装置21に記憶されているIPアドレスの1つと一致した場合は、図6に示す動作にしたがってL2TPセッションに転送する。
【0080】
すなわち、まず、入力されたイーサネットフレームよりIPパケットを抽出する。さらに、このIPパケットに対し、該当するIPアドレスと合わせて学習したLNS23からのICRPをもとにして記憶したL2TPセッションIDを持つL2TPヘッダ、PPPヘッダを構築し付与する。さらに、該当するIPアドレスと合わせて学習したPPPクライアントのMACアドレスをあて先アドレスとしたMACヘッダを付与し、再計算したFCSを付与してポートAから出力する。
【0081】
以上の実施例で説明を行った動作を行うことにより、認証が終了し、さらに、あらかじめ設定により許可されたMACアドレスを有するPPPクライアントあるいは、あらかじめ設定により許可されたVLANに属するPPPクライアントは、クライアント側になんら特殊な設定を行うことなく、本発明の通信装置に管理者が設定した条件にしたがってキャシュサーバ等のサーバと通信を行うことが可能である。またこのとき、条件に合致しない通信については、通常通りアクセスサーバを介して通信することが可能であるため、本発明を用いない場合と比較して差はない。
【0082】
以上、本発明の通信装置による通信方法について説明した。次に通信セッションが切断された場合の動作について説明を行う。
【0083】
通信セッションが切断された場合においては、もはや本発明の通信装置に記憶したL2TPセッションIDなどの情報は不要である。逆に前記情報を本発明の通信装置に保持しつづけると、過去に認証が終了したが、現在はセッションが解放されたPPPクライアントに対して、ポートCと接続されたネットワークへの通信を許可することとなり、セキュリティ上好ましくない。このため、本発明では通信セッションが切断された場合においては、本発明の通信装置に記憶したセッションIDなどの情報を消去する方式を用いた。以下に動作の説明を行う。
【0084】
L2TPのセッションの切断時には、CDN(Call−Disconnect−Notify)と呼ばれるパケットのやりとりがLAC22およびLNS23間で行われる。CDNパケットはL2TPパケット内にある2オクテットのMT(Message Type)を読み取ることで識別され、LAC22側のポート(=ポートA)からもLNS23側のポート(=ポートB)からも入力される。LAC22あるいはLNS23から送信されたCDNを本発明の通信装置21が検出した場合、本発明の通信装置21は該当セッションに対し、ポートAおよびポートB間のブリッジとしてのみ動作し、該当セッションのいかなるパケットに対してもポートC側に転送しない。またポートC側から入力された認証を用いない通信方法のパケットについても、該当セッションに転送をしない。さらに、該当のL2TPセッションIDと合わせて記憶したMACアドレス、IPアドレス、VLAN IDなどの情報については消去する。
【0085】
以上のような動作を行うことにより、認証されたセッションが切断された場合には、該当セッションに対しては、本発明の通信装置21は単なるブリッジとしてのみ動作する。
【0086】
さらに、PPPクライアントが明示的にセッションを切断することなくネットワークから物理的に分離された場合やPPPクライアント端末13が動作不能に陥った場合など、明示的なセッションの切断がなくセッションが実質的に終了する場合がある。この場合には、前述のCDNのやりとりを必ずしも期待できないために、CDNを持って本発明の通信方法の動作を終了させることはできない。そこで本発明の通信装置21においては、すべての記憶したセッションに対して、通信の状態を監視し、あらかじめ設定された一定時間通信パケットがない場合には、何らかの原因で明示的ではなくセッションが切断されたものと判断し、本発明の通信装置21は該当セッションに対し、ポートAおよびポートB間のブリッジとしてのみ動作し、該当セッションのいかなるパケットに対してもポートC側に転送しない。またポートC側から入力された認証を用いない通信方法のパケットについても、該当セッションに転送をしない。さらに、該当のL2TPセッションIDと合わせて記憶したMACアドレス、IPアドレス、VLAN IDなどの情報については消去する。もし、本動作を行った後において、実際には通信セッションが切断されていなかった場合であっても、PPPクライアント端末13はアクセスサーバ18を介してL2TPプロトコルを利用した通信が可能であることおよび、PPPクライアント端末13とアクセスサーバ18の間でやりとりされるKA(Keep Alive)パケットや通信のパケットを監視し、再度L2TPセッションID、MACアドレス等を記憶することで、ポートC側のネットワークとの通信を回復することが可能である。
【0087】
[実施形態例3]
前述の実施形態例においては、PPP/PPPoEおよびPPP/L2TPを用いた場合の本発明の実施形態例を説明したが、本発明の通信方法は、このようにセッションIDを付与する通信に限るものではない。ここでは、IEEE802.1Qに規定されたVLAN(仮想LAN)を用いた認証を行う場合について説明を行う。
【0088】
図7に示すように、本発明の通信装置21はL2スイッチI24とL2スイッチII25の間に配置される。L2スイッチII25は認証機能を持つL2スイッチを使用する。VLANクライアント端末13とL2スイッチII25の間でユーザ名とパスワードを用いて通信セッションの認証が行われ、L2スイッチII25より接続許可パケットがクライアント端末13に送られる。クライアント端末13は認証されたセッションを通じて、L2スイッチII25の反対側に配置されたネットワーク14と通信することが可能となる。
【0089】
まず、セッションの確立が行われていない初期状態での動作の説明を行う。初期状態においては、本発明の通信装置21は図7に示すポートAとポートBの間でパケットを転送するブリッジとして動作する。この際、ポートCへパケットを転送することはない。またポートCに入力されたパケットをポートA,ポートBに転送することはない。
【0090】
次にVLANクライアント端末13がセッションの確立シーケンスを開始した場合について説明を行う。本実施形態例の通信装置21は、ポートBから入力された許可パケットを読み取る。本実施形態例では、接続許可パケットのイーサ(Ether)ヘッダ上にある2オクテットのVLANタグを本発明の通信装置21で記憶する。これによって、接続許可されたVLAN IDを持つVLANクライアントのパケットは本発明の通信装置21がL2スイッチII25に代わって接続許可することが可能となる。またあるいは、接続許可パケットのあて先であるVLANクライアントのMACアドレスやIPアドレスを前記のVLAN IDと組み合わせて本発明の通信装置21で記憶することで、認証を行うことが出来る。
【0091】
ここまでは、確立した通信セッションに対して、事後的にMACアドレスを学習する例をしめしたが、あらかじめ設定された特定の通信セッションにのみMACアドレスを学習する例を示す。
【0092】
この例では、本発明の通信装置21にあらかじめVLANクライアントのMACアドレスが設定されており、特定のMACアドレス宛てにL2スイッチII25側から送信される通信パケットに対してのみVLAN IDを記憶する。このような動作をすることにより、許可されたMACアドレスを有するVLANクライアント以外のVLANクライアントがL2スイッチII25と確立した通信セッションに対しては、VLAN IDを学習することなく、特定のクライアントのVLAN IDのみを学習することが可能となる。
【0093】
以上、本発明の通信装置によるVLAN IDの記憶方法について説明した。次にVLAN IDを持つ通信セッションから特定の通信パケットを抽出し、別のネットワークに転送する方法について説明を行う。
【0094】
本発明の通信装置は前述のようにVLAN IDを記憶する。さらに本発明の通信装置には、あらかじめ所定の条件を設定しておく、ここでは、あて先IPアドレスを条件として設定した場合を例にとり説明を行う。
【0095】
本発明の通信装置21は、記憶したVLAN ID有する通信パケットを監視し、あて先IPアドレスとして設定されたIPアドレスを有するかどうか判定する。あて先IPアドレスが設定されたIPアドレスでない場合には、その通信パケットはポートAからBあるいはポートBからAへブリッジされる。このため、あて先IPアドレスが設定されたIPアドレスでない通信においては、VLANクライアント端末13とL2スイッチII25の間の通信は、本発明の通信装置21の挿入によって影響を受けない。
【0096】
これに対し、記憶したVLAN IDを有する通信パケットで、かつあて先IPアドレスが設定されたIPアドレスである通信パケットである場合には、図8に示す動作を行うことにより、ポートCに転送する。まず、記憶したVLAN IDを有する通信パケットで、かつあて先IPアドレスが設定されたIPアドレスである通信パケットから、IPパケットを取り出す。さらに、あらかじめ設定されるかARP(アドレス解決プロトコル)で入手したMACアドレスにあて先を書き換えたMACヘッダを付与し、FCS(フレームチェックシーケンス)を再計算してイーサネットフレームを構築する。イーサネットフレームの構築にあたっては、既存のVLAN IDを付与したままの場合と、既存のVLAN IDを外す場合と、新規のVLAN IDを付与する場合の、3通りのパターンが生成可能である。さらに、このイーサネットフレームをポートCから出力する。
【0097】
この例では、イーサネットヘッダに記載されるあて先MACアドレスを、VLANクライアント端末13、L2スイッチII25間で行われる通信パケットのあて先MACアドレスから変更した。MACアドレスの決定には通常のARPの仕組みを使用する。この説明については、実施形態例1と同様の動作なので省略する。
【0098】
以上のような動作を行うことにより、認証が終了し、さらに、あらかじめ設定により許可されたMACアドレスを有するVLANクライアントからの通信パケットで、特定のあて先IPアドレスに向けられた通信パケットはL2スイッチIIを経由することなく、ポートCに転送可能である。また、この動作により、ポートC側に設置されたサーバにパケットを転送することが可能である。このため、特定のVLANクライアントからの通信を、本発明の通信装置の管理運営者の指定したサーバに振り分けることが可能となる。
【0099】
また、前記の実施形態例では、あて先IPアドレスを条件に振り分けを行った。しかし本発明はこれに限るものではない。この説明については、実施形態例1と同様なので省略する。
【0100】
以上、本発明の通信装置によるVLAN IDの記憶方法と、別ネットワークへの転送について説明した。次に別ネットワークが接続されたポートCから受信した通信パケットを認証が終了した通信セッションへ転送する方法について説明する。
【0101】
すでにユーザ名とパスワードを用いて通信セッションの認証が行われ、本発明の通信装置により前述の例で説明した手順によってVLAN IDがVLANクライアントのMACアドレス、IPアドレスとともに記憶されている場合について説明をおこなう。
【0102】
ポートCにIPパケットが入力された場合、本発明の通信装置は入力された通信パケットのIPヘッダよりあて先IPアドレスを読み取り、通常のルーティング動作により、次に転送すべき装置を決定する。もし、ここで次に転送すべき装置がみつからない場合には、通常のルーティング動作と同様に、送り元に向かって転送不可能である通知を送信する。これに対し、通常のルーティング動作にしたがい決定した次に転送すべき装置のIPアドレスが、本発明の通信装置に記憶されているIPアドレスの1つと一致した場合は、図8に示す動作にしたがって前記VLANセッションに転送する。
【0103】
すなわち、まず、入力されたイーサネットフレームよりIPパケットを抽出する。さらに、このIPパケットに対し、該当するIPアドレスと合わせて学習したVLAN IDとVLANクライアントのMACアドレスをあて先アドレスとしたイーサ(Ether)ヘッダを構築し付与する。その後、再計算したFCSを付与してポートAから出力する。
【0104】
以上の実施形態例で説明を行った動作を行うことにより、認証が終了し、さらに、あらかじめ設定により許可されたMACアドレスを有するVLANクライアントは、クライアント側になんら特殊な設定を行うことなく、本発明の通信装置に管理者が設定した条件にしたがって、キャシュサーバ等のサーバと通信を行うことが可能である。またこのとき、条件に合致しない通信については、通常通りL2スイッチIIを介して通信することが可能であるため、本発明を用いない場合と比較して差はない。
【0105】
以上、本発明の通信装置による通信方法について説明した。次に通信セッションが切断された場合の動作について説明を行う。
【0106】
通信セッションが切断された場合においては、もはや本発明の通信装置に記憶したVLAN IDなどの情報は不要である。逆に前記情報を本発明の通信装置に保持しつづけると、過去に認証が終了したが、現在はセッションが解放されているVLANクライアントに対して、ポートCと接続されたネットワークへの通信を許可することとなり、セキュリティ上好ましくない。このため、本発明では、通信セッションが切断された場合においては、本発明の通信装置に記憶したVLAN IDなどの情報を消去する方式を用いた。以下に動作の説明を行う。
【0107】
セッションの切断時には、セッションの解放を通知するパケットのやりとりがVLANクライアント端末13およびL2スイッチII25間で行われる。L2スイッチII25あるいはVLANクライアント端末13から送信されたセッションの解放を通知するパケットを本発明の通信装置21が検出した場合、本発明の通信装置21は該当セッションに対し、ポートAおよびポートB間のブリッジとしてのみ動作し、該当セッションのいかなるパケットに対してもポートC側に転送しない。またポートC側から入力された認証を用いない通信方法のパケットについても、該当セッションに転送をしない。さらに、該当VLAN IDと合わせて記憶したMACアドレス、IPアドレスなどの情報については消去する。
【0108】
以上のような動作を行うことにより、認証されたセッションが切断された場合には、該当セッションに対しては、本発明の通信装置は単なるブリッジとしてのみ動作する。
【0109】
さらに、VLANクライアントが明示的にセッションを切断することなくネットワークから物理的に分離された場合やVLANクライアントが動作不能に陥った場合など、明示的なセッションの切断がなくセッションが実質的に終了する場合がある。この場合には、前述のセッションの解放を通知するパケットのやりとりを必ずしも期待できないために、セッションの解放を通知するパケットをもって本発明の通信方法の動作を終了させることはできない。そこで本発明の通信装置においては、すべて記憶したセッションに対して、通信の状態を監視し、あらかじめ設定された一定時間通信パケットがない場合には、なんらかの原因で明示的ではなくセッションが切断されたものと判断し、本発明の通信装置は該当セッションに対し、ポートAおよびポートB間のブリッジとしてのみ動作し、該当セッションのいかなるパケットに対してもポートC側に転送しない。またポートC側から入力された認証を用いない通信方法のパケットについても、該当セッションに転送をしない。さらに、該当VLAN IDと合わせて記憶したMACアドレス、IPアドレスなどの情報については消去する。もし、本動作を行った後において、実際には通信セッションが切断されていなかった場合であっても、VLANクライアントはL2スイッチIIを介して通信が可能であることおよび、VLANクライアント端末13とL2スイッチII25の間でやりとりされるKA(Keep Alive)パケットや通信のパケットを監視し、再度VLAN ID,MACアドレスを記憶することで、ポートC側のネットワークとの通信を回復することが可能である。
【0110】
この実施形態例により明らかなように、本発明は、セッションIDを付与するしないにかかわらず、認証完了のパケットをもとに、セッションIDが付与される場合にはセッションIDを記憶し、セッションIDが付与されない場合においても、認証されたものすなわちMACアドレス、VLAN ID,IPアドレスなどを記憶することで、前述の実施形態例に述べた通信と同様の通信を行うことが可能である。
【0111】
[実施形態例4]
本発明の実施形態例として、クライアントよりPPPおよびPPPoEプロトコルあるいはPPPプロトコルあるいはPPPおよびPPPoA(PPPオーバATM)プロトコル等を用いてLAC(L2TPアクセスコンセントレータ)にアクセスを行い、LACはPPPプロトコルをL2TPに載せてLNS(L2TPネットワークサーバ)に転送し、LNSにおいてPPPおよびL2TPを終端する通信方法を用いる場合に、本発明の通信装置および通信方法を適用した例を示す。
【0112】
この形態の場合は、クライアントとLNSの間で認証を行う通信方法であるPPPセッションが確立し、PPPセッションを転送する下層のプロトコルとして、クライアントとLACの間がPPPoEやPPPoAあるいはISDNなどの回線が用いられ、LAC−LNS間でL2TPが用いられている形態である。さらに、クライアントとLACの間に本発明の通信装置を挿入した形態が実施形態例1で説明した形態であり、LACとLNSの間に本発明の通信装置を挿入した形態が実施形態例2で説明した形態である。
【0113】
本実施形態例では、LACに相当する装置において本発明の通信方法を適用し、一つの装置においてLAC動作とともに本発明の通信方法を行うことにより、ネットワーク内に配置する装置の数を低減するものである。
【0114】
本実施形態例の通信装置を用いる場合のネットワークを図9に示す。本発明の通信装置21は図9に示すように、クライアント端末13との間でPPPおよびPPPoEプロトコルあるいはPPPプロトコルあるいはPPPおよびPPPoA(PPPオーバATM)プロトコル等を用いて通信するポートDとLNS23との間でPPPおよびL2TPを用いて通信するポートEと、認証を用いない通信方法を用いて他のサーバ等と通信を行うポートFで構成される。
【0115】
ここでは、PPPおよびPPPoEプロトコルを用いる場合を説明するが、PPPのみ、あるいはPPPおよびPPPoAを用いる場合にも、同様の動作を行うことで、本発明の通信方法を実現することが可能であった。また、PPPの上位プロトコルとしてIPを使用する場合について説明を行う。また、ポートFでは認証を用いない通信方法としてイーサネット上においてIPで通信する場合について説明を行う。
【0116】
本実施形態例の通信装置21の場合、LAC動作をすることから、認証が終了したセッションに関して、クライアント端末13側、LNS23側にそれぞれPPP/PPPoE、PPP/L2TPの情報を記憶することになる。すなわちクライアント側では、PPPoEのセッションIDとそのセッションIDに対応するクライアントのMACアドレスを記憶する。また、LNS23側では、それぞれのセッションに対して、L2TPのトンネルIDおよびセッションID,LNS23のIPアドレスを記憶する。ここでL2TPのトンネルID、セッションIDはLACからLNSへの通信とLNSからLACへの通信でそれぞれ異なる値を用いる場合があるため、LACからLNSへの通信のトンネルIDとセッションID,LNSからLACへの通信のトンネルIDとセッションIDをそれぞれ記憶する。ここまでは、通常のLACが記憶する内容である。
【0117】
さらに、PPPの上位プロトコルがIPであった場合、PPPプロトコルのIPCPを用いて、LNS23側よりクライアントに対してIPアドレスの提供が行われる。本発明の通信装置21では、IPCPによるIPアドレスの提供パケットを監視し、上記のセッションごとに記憶したパラメータと合わせてクライアントに提供されたIPアドレスを記憶する。このとき、実施形態例1で説明を行ったように、クライアントのMACアドレスやクライアントが所属するVLANIDなどをあらかじめ設定しておき、特定のMACアドレスを有するクライアントあるいは、特定のVLANに所属するクライアントのセッションに対してのみ上記動作によりIPアドレスを記憶するということも可能である。
【0118】
また、セッションがクライアント端末13もしくはLNS23より終了シーケンスを伴って切断された場合、もしくは、PPP/L2TP,PPP/PPPoEにおいてエコー要求、エコー応答のタイムアウトによりセッションが自発的に切断された場合には、いずれの場合においても、LACで記憶されている該当セッションに対する上記情報は消去される。このとき同時に、本発明の通信方法によって記憶した該当セッションのクライアントのIPアドレスをも消去する。
【0119】
以上説明したように、セッション毎にIPアドレスを記憶することにより、実施形態例1で説明した通信方法と全く同じ動作を用いてポートFとポートDおよびポートEの間の通信が可能となる。
【0120】
【発明の効果】
以上説明したように、本発明によれば、認証が終了した通信セッションを記憶し、該当セッションにより通信を行う装置と、認証を行わない通信方法を用いる装置との間の通信を、あらかじめ設定された条件に基づいて行うことが可能である。
【図面の簡単な説明】
【図1】本発明の実施形態例に係る通信装置をPPPoE/PPPプロトコルを用いたネットワークで利用した例を示す構成説明図である。
【図2】本発明の実施形態例に係るPPPoE/PPPパケットをIPパケットに書き換える例を示す説明図である。
【図3】本発明の実施形態例に係るIPパケットをPPPoE/PPPパケットに書き換える例を示す説明図である。
【図4】本発明の実施形態例に係る通信装置をL2TP/PPPプロトコルを用いたネットワークで利用した例を示す構成説明図である。
【図5】本発明の実施形態例に係るL2TP/PPPパケットをIPパケットに書き換える例を示す説明図である。
【図6】本発明の実施形態例に係るIPパケットをL2TP/PPPパケットに書き換える例を示す説明図である。
【図7】本発明の実施形態例に係る通信装置をVLAN IDを用いたネットワークで利用した例を示す構成説明図である。
【図8】本発明の実施形態例に係るIPパケットをIPパケットに書き換える例を示す説明図である。
【図9】本発明の実施形態例に係るLACと一体化した通信装置を用いたネットワークでの利用例を示す構成説明図である。
【図10】従来のレイヤ4スイッチを用いたネットワーク形態を示す構成説明図である。
【図11】従来のPPP(ポイント−ツゥ−ポイントプロトコル)認証を示す構成説明図である。
【図12】従来のレイヤ4スイッチを用いたネットワークで、アクセスサーバを複数設置することで個別に認証する方法を示す構成説明図である。
【符号の説明】
12 サーバ
13 クライアント端末
14 ネットワーク
15 キャッシュサーバ
16 映像サーバ
17 Webサーバ
18 アクセスサーバ
21 通信装置
Claims (16)
- パケット通信を行う通信網において、特定の通信セッションに対して認証を行うアクセスサーバとクライアント端末間に配置される通信装置を用いた通信方法であって、
前記通信装置が、前記アクセスサーバとクライアント端末間で通信されるパケットを監視し、認証されたセッションに属する通信パケットでかつあらかじめ設定された少なくともあて先アドレスを含む条件を満たすパケットを、認証を行わない通信形式のパケットに再構築してあらかじめ指定された他の装置へ転送することを特徴とする通信方法。 - パケット通信を行う通信網において、特定の通信セッションに対して認証を行うアクセスサーバとクライアント端末間に配置される通信装置を用いた通信方法であって、
前記通信装置が、セッションを認証する際に行われる通信のパケットに記載されている、送信先あるいは送信元アドレスの少なくとも一方のアドレスとセッションあるいは該セッションの通信が行われるネットワークに与えられた識別子とをセッションごとに記憶し、他の装置から入力されたパケットであって前記記憶したアドレスに宛てて送信される認証を行わない通信形式のパケットを、認証されたセッションに属する通信形式のパケットでかつ前記識別子を有するパケットに再構築して認証されたセッションに転送することを特徴とする通信方法。 - 請求項1記載の通信方法において、
前記通信装置が、認証されたセッションを識別する方法として、セッションに与えられた識別子あるいはネットワークに与えられた識別子あるいは通信のパケットに記憶されているアドレスの少なくとも1つを用いることを特徴とする通信方法。 - 請求項1、2または3記載の通信方法において、
前記通信装置が、セッションの解放を通知する通信を検出した場合、該当セッションに対する記憶していたアドレスを消去することを特徴とする通信方法。 - 請求項1記載の通信方法において、
前記通信装置が、認証されたセッションに属する通信パケットでかつあらかじめ設定された少なくともあて先アドレスを含む条件を満たすパケットを物理的に異なる通信ポートに転送することを特徴とする通信方法。 - 請求項1記載の通信方法において、
前記あらかじめ設定された少なくともあて先アドレスを含む条件として、あて先アドレスの他に、パケット内に記憶された送り元アドレス、プロトコル番号、優先度、ポート番号、サーバ名、URLの少なくとも1つを利用することを特徴とする通信方法。 - 請求項1乃至6のいずれか1項記載の通信方法において、
前記通信装置が、セッションの解放を通知する通信を検出した場合、該当セッションに対する転送動作を行わないことを特徴とする通信方法。 - 請求項1乃至7のいずれか1項記載の通信方法において、
前記通信装置が、あらかじめ定められた一定時間、通信パケットがなかった場合に、該当セッションに対する転送動作を行わないことを特徴とする通信方法。 - パケット通信を行う通信網において、特定の通信セッションに対して認証を行うアクセスサーバとクライアント端末間に配置される通信装置であって、
前記アクセスサーバとクライアント端末間で通信されるパケットを監視し、認証されたセッションに属する通信パケットでかつあらかじめ設定された少なくともあて先アドレスを含む条件を満たすパケットを、認証を行わない通信形式のパケットに再構築してあらかじめ指定された他の装置へ転送することを特徴とする通信装置。 - パケット通信を行う通信網において、特定の通信セッションに対して認証を行うアクセスサーバとクライアント端末間に配置される通信装置であって、
セッションを認証する際に行われる通信のパケットに記載されている、送信先あるいは送信元アドレスの少なくとも一方のアドレスとセッションあるいは該セッションの通信が行われるネットワークに与えられた識別子とをセッションごとに記憶し、他の装置から入 力されたパケットであって前記記憶したアドレスに宛てて送信される認証を行わない通信形式のパケットを、認証されたセッションに属する通信形式のパケットでかつ前記識別子を有するパケットに再構築して認証されたセッションに転送することを特徴とする通信装置。 - 請求項9記載の通信装置において、
セッションに与えられた識別子あるいはネットワークに与えられた識別子あるいは通信のパケットに記載されているアドレスの少なくとも1つを用いて認証されたセッションを識別することを特徴とする通信装置。 - 請求項9、10または11記載の通信装置において、
セッションの解放を通知する通信を検出した場合、該当セッションに対する記憶していたアドレスを消去することを特徴とする通信装置。 - 請求項9記載の通信装置において、
認証されたセッションに属する通信パケットでかつあらかじめ設定された少なくともあて先アドレスを含む条件を満たすパケットを物理的に異なる通信ポートに転送することを特徴とする通信装置。 - 請求項9記載の通信装置において、
前記あらかじめ設定された少なくともあて先アドレスを含む条件として、あて先アドレスの他に、パケット内に記憶された送り元アドレス、プロトコル番号、優先度、ポート番号、サーバ名、URLの少なくとも1つを利用することを特徴とする通信装置。 - 請求項9乃至14のいずれか1項記載の通信装置において、
セッションの解放を通知する通信を検出した場合、該当セッションに対する転送動作を行わないことを特徴とする通信装置。 - 請求項9乃至15のいずれか1項記載の通信装置において、
あらかじめ定められた一定時間、通信パケットがなかった場合に、該当セッションに対する転送動作を行わないことを特徴とする通信装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001348939A JP4050500B2 (ja) | 2001-11-14 | 2001-11-14 | 通信方法および装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001348939A JP4050500B2 (ja) | 2001-11-14 | 2001-11-14 | 通信方法および装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003150468A JP2003150468A (ja) | 2003-05-23 |
JP4050500B2 true JP4050500B2 (ja) | 2008-02-20 |
Family
ID=19161682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001348939A Expired - Fee Related JP4050500B2 (ja) | 2001-11-14 | 2001-11-14 | 通信方法および装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4050500B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2009142216A1 (ja) * | 2008-05-21 | 2011-09-29 | 日本電気株式会社 | コンテンツ配信システム、コンテンツ配信装置、それらに用いるコンテンツ配信方法及びプログラム |
-
2001
- 2001-11-14 JP JP2001348939A patent/JP4050500B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2003150468A (ja) | 2003-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4631961B2 (ja) | 仮想アクセスルータ | |
JP4236398B2 (ja) | 通信方法、通信システム及び通信接続プログラム | |
US6157649A (en) | Method and system for coordination and control of data streams that terminate at different termination units using virtual tunneling | |
EP2090063B1 (en) | Apparatus and methods for authenticating voice and data devices on the same port | |
KR101063080B1 (ko) | 이더넷 dsl 액세스 멀티플렉서 및 동적 서비스 선택과최종-사용자 구성을 제공하는 방법 | |
US20020010866A1 (en) | Method and apparatus for improving peer-to-peer bandwidth between remote networks by combining multiple connections which use arbitrary data paths | |
US20070195804A1 (en) | Ppp gateway apparatus for connecting ppp clients to l2sw | |
WO2004105319A1 (fr) | Procede d'acces a large bande et grande capacite et systeme associe | |
JP2007536851A (ja) | セッションベースのパケット交換装置 | |
JP2007104440A (ja) | パケット伝送システム、トンネリング装置およびパケット伝送方法 | |
WO2009082978A1 (fr) | Procédé de protection de réseau d'accès, système et nœud de bord d'accès | |
JP4241329B2 (ja) | 仮想アクセスルータ | |
Malkin | Dial-in virtual private networks using layer 3 tunneling | |
JP3563714B2 (ja) | ネットワーク間接続装置 | |
US20030115482A1 (en) | Method and apparatus for network service | |
JP4495049B2 (ja) | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 | |
JP2003174482A5 (ja) | ||
JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
JP4050500B2 (ja) | 通信方法および装置 | |
JP2004304574A (ja) | 通信装置 | |
Cisco | Media-Independent PPP and Multilink PPP Commands | |
Cisco | Media-Independent PPP and Multilink PPP Commands | |
Cisco | Media-Independent PPP and Multilink PPP Commands | |
Cisco | Configuring PPP and Multilink PPP | |
Cisco | Configuring PPP and Multilink PPP |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061205 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070205 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070904 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071102 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071127 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071129 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111207 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111207 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121207 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121207 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |