VPN終端装置、通信システム、パケット転送方法、及びプログラム
【課題】VPNにおいて、MACアドレス解決のためのARPパケット送信等を行うことなく、IPパケット通信を可能とする。
【解決手段】MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置において、IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段と、IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送手段とを備えて構成する。
【解決手段】MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置において、IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段と、IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送手段とを備えて構成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、仮想閉域網(VPN)におけるIP通信技術に関連するものである。
【背景技術】
【0002】
近年、MPLS(Multi-Protocol Label Switching)を用いて広域イーサネット(登録商標)サービスを実現するVPLS(Virtual Private LAN Service)技術が使われ始めている。図1(a)に、VPLS技術を用いたネットワーク構成の一例を示す。
【0003】
図1(a)に示すネットワークは、通信事業者(プロバイダ)側の通信装置であるPE(provider edge)装置10、20、30と、ユーザの拠点側の通信装置であるCE(customer edge)装置40、50、60が通信路で接続されて構成されている。図1(a)の例では、CE装置40にユーザ端末Aが接続され、CE装置50にユーザ端末Bが接続され、CE装置60にユーザ端末Cが接続されている。各CE装置はIPパケットのルーティングを行うルータである。各PE装置は、MACアドレスによるパケットのスイッチングを行い、MPLSの論理パス(LSP:Label Switched Path)をトンネルとして用いて転送を行う等の機能を備える装置である。なお、本明細書及び特許請求の範囲において、"パケット"の用語は"フレーム"等を含む広い意味で使用するものとするが、以下の従来技術の説明及び実施の形態の説明では、ほとんどの場合、"パケット"はイーサフレームであり、特定の種類のパケットを指す場合は、"IPパケット"や"MPLSパケット"のような記述としている。
【0004】
各装置には、図1(a)に示すとおりのIPアドレス、及びMACアドレスが割り当てられている。例えば、CE装置40におけるインターフェース(物理インターフェース):eth0にMACアドレス:2222、及びIPアドレス:192.168.0.1が割り当てられ、eth1にMACアドレス:αααα、及びIPアドレス:172.16.0.1が割り当てられている。また、図1(a)に示すように、各CE装置は、ルーティングテーブルを備えている。ここで示すルーティングテーブルは、MPLSバックボーン側へのルーティングを行う際のものである。
【0005】
通信事業者側のMPLSバックボーン70は、MPLSネットワークで構成されており、PE装置間は、LSPでフルメッシュ接続されている。
【0006】
図1(a)に示すネットワークにおいて、PE装置間を接続したMPLSバックボーン70は、様々なユーザのトラフィックを通す公衆のネットワークであるが、PE装置では、ユーザ拠点から送出されるパケットをMPLSラベルでカプセリングして対向PE装置にMPLSパケット転送される。PE装置間ではユーザを一意に識別できるようMPLSラベル値が厳密に管理されているため、ユーザ通信の秘密性が担保される。CE装置間を接続して構成されたネットワークはユーザからは、そのユーザ専用のIPの閉域網に見える。ただし、この閉域網は、公衆のネットワークを利用する仮想的なものであるから、これを仮想閉域網(VPN:Virtual Private Networkとも表記する)80と呼ぶ。
【0007】
以下、図1(b)のシーケンス図を参照して、図1(a)に示すネットワークで、ユーザ端末Aからユーザ端末BにIPパケット通信を行う場合の動作例を説明する。
【0008】
ステップ1)ユーザ端末Aは、宛先IPアドレスとしてユーザ端末BのIPアドレスを有するIPパケットを含むパケットを、ユーザ端末AのデフォルトゲートウェイであるCE装置40に送出する。
【0009】
ステップ2)ユーザ端末Aからパケットを受信したCE装置40は、ルーティングテーブルを参照し、ネクストホップのIPアドレスが172.16.0.2であることを把握し、ネクストホップ(172.16.0.2)のMACアドレスを把握するために、ARPパケットをブロードキャスト送信する。ARPにより、CE装置40は、ネクストホップ(172.16.0.2)のMACアドレスがββββであることを把握する。
【0010】
ステップ3)CE装置40は、上記IPパケットを含む、宛先MACアドレスをββββとしたパケットを、eth1に接続されたPE装置10に送信する。
【0011】
ステップ4)この時点で、PE装置10が、MACアドレス:ββββと、パケットを出力すべきインターフェースとの対応を学習済みである場合、この対応に基づいて、CE装置40から受信したパケットをMPLSカプセル化(LSPのラベルを付すること)して対向PE装置20向けに転送する。なお、この時点で、MAC学習がされていない場合(例えば、学習テーブルの内容がタイムアウトで削除された場合など)、PE装置10は、全てのLSPにパケットをフラッディングすることで、MACアドレス:ββββに対応するインターフェース(使用すべきLSP)を学習する。
【0012】
ステップ5)MPLSパケットを受信したPE装置20は、MPLSパケットからMPLSカプセルを除去して得られたパケットをCE装置50に転送する。
【0013】
ステップ6)CE装置50は、IPパケットをユーザ端末Bに転送する。
【0014】
上記のように、MPLSバックボーンの各PE装置はユーザごとのMACアドレスの学習テーブルを持つことで、どのLSPにどのMACアドレス宛のパケットをフォワードすればよいかを決定する。パケットは、LSPでトンネル転送され、中継区間はラベルだけを見て転送を行う。
【先行技術文献】
【特許文献】
【0015】
【特許文献1】特開2000−183968号公報
【発明の概要】
【発明が解決しようとする課題】
【0016】
前述したように、上記の従来技術では、CE装置は、IP通信に必要な対向CE装置のMACアドレスを把握するために、ARPパケットのブロードキャストを行うことが必要となる。CE装置がARPリクエストを送信してから、対向CE装置からのARPリプライを受信するまでの間、ユーザのIPパケット転送処理は保留された状態となるため、目的とするユーザ端末間のIP通信に遅延が生じる。特に、ユーザのパケットをトンネルを介して広域に転送する図1に示すネットワーク構成では、ARPパケットを長い区間にわたって転送することになるため、遅延が大きくなる可能性がある。
【0017】
また、CE装置でのARPテーブルでのエントリ保持期間と、PE装置でのMAC学習アドレステーブルでのエントリ保持期間が個別に管理されているため、CE装置間での非効率なパケット転送処理(ARPに伴うブロードキャストフレームや、VPLS区間でのMACアドレス未学習による全LSPへのフラッディング(=同報的なUnknownユニキャストフレーム転送)が発生する。これにより、通信相手ではないCE装置にパケットが転送されるため、アクセス回線(PE−CE間)の帯域が圧迫され、目的とする通信以外の通信にも遅延等の影響を与える恐れがある。
本発明は上記の点に鑑みてなされたものであり、ユーザ端末から送出されたIPパケットを、VPN終端装置間でのMACアドレスを用いたカプセリングにより構成されたVPNトンネルに収容して転送するVPNにおいて、MACアドレス解決のためのARPパケット送信等を行うことなく、IPパケット通信を可能とするための技術を提供することを目的とする。
【課題を解決するための手段】
【0018】
上記の課題を解決するために、本発明は、MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置であって、IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段と、IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送手段とを備えたことを特徴とするVPN終端装置として構成される。
【0019】
前記VPN終端装置において、前記VPN終端装置とネットワーク接続されたNWオペレーション装置から前記ルーティングテーブルの設定情報を受信し、当該設定情報を前記ルーティングテーブル格納手段に格納する設定手段を更に備えてもよい。
【0020】
前記VPN終端装置は、ユーザ端末側のネットワークに接続される第1のパケット処理手段と、前記ルーティングテーブル格納手段と前記パケット転送手段とを含み、前記VPNのバックボーンネットワークに接続される第2のパケット処理手段と、を備え、前記第1のパケット処理手段は、IPルーティング処理を行うことにより前記ユーザ端末側のネットワークに対するIPパケット転送を行うように構成してもよい。
【0021】
また、本発明は、前記VPN終端装置と、前記VPNのバックボーンネットワークを構成し、前記VPN終端装置に接続されるエッジ装置と、を備える通信システムであって、前記エッジ装置は、MACアドレスと出力インターフェースとを対応付けたテーブルを格納するテーブル格納手段と、前記VPN終端装置から転送された前記パケットを受信したときに、前記テーブルを参照して、当該パケットの宛先MACアドレスに対応する出力インターフェースを決定し、当該パケットを、当該出力インターフェースから転送するパケット転送手段と、を備えることを特徴とする通信システムとして構成することもできる。
【0022】
また、本発明は、MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置が実行するパケット転送方法であって、前記VPN終端装置は、IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段を備え、IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送ステップを備えたことを特徴とするパケット転送方法として構成することもできる。
【0023】
また、本発明は、コンピュータの構成を含む通信装置を、前記VPN終端装置の各手段として機能させるためのプログラムとして構成することもできる。
【発明の効果】
【0024】
本発明によれば、ユーザ端末から送出されたIPパケットを、VPN終端装置間でのMACアドレスを用いたカプセリングにより構成されたVPNトンネルに収容して転送する仮想閉域網において、MACアドレス解決のためのARPパケット送信等を行うことなく、IPパケット通信が可能となり、遅延等の発生を防止できる。
【0025】
さらに、本発明の一実施形態によれば、VPNのバックボーンネットワークでは、エッジ装置でのVPN終端装置から転送されたパケットを受信したときに、VPLS区間でのMACアドレス未学習による全LSPへのフラッディング(=同報的なUnknownユニキャストフレーム転送)を行うことがなくなり、通信相手ではないCE装置にはパケットが転送されなくなるため、アクセス回線の帯域圧迫が防止できる。
【図面の簡単な説明】
【0026】
【図1】従来技術を説明するための図である。
【図2】本発明の実施の形態に係るネットワーク構成例を示す図である。
【図3】本発明の実施の形態に係るVPN終端装置の機能構成例を示す図である。
【図4】本発明の実施の形態に係るMACルーティングテーブルの一例を示す図である。
【図5】本発明の実施の形態に係るPE装置の機能構成例を示す図である。
【図6】本発明の実施の形態に係るMAC学習テーブルの一例を示す図である。
【図7】本発明の実施の形態に係るパケット転送処理を説明するための図である。
【図8】本発明の実施の形態の変形例を説明するための図である。
【発明を実施するための形態】
【0027】
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0028】
(システム構成)
図2に、本発明の実施の形態に係る仮想閉域網(以下、VPNと呼ぶ)を含むネットワーク構成例を示す。図2に示すように、本実施の形態に係るネットワークは、PE装置201、202とVPN終端装置101、102とが通信路で接続されて構成されている。また、VPN終端装置101にユーザ端末Xが接続され、VPN終端装置102にユーザ端末Yが接続されている。各VPN終端装置は、図1(a)に示したCE装置と比べて、同じネットワーク上の位置に配置され、IPパケットのルーティングを行う点で共通するが、それらの機能には異なる点がある。また、各PE装置については、通信処理に関しては図1(a)に示したPE装置と同じであるが、MAC学習テーブルの設定方法が異なる。詳細については後述する。
【0029】
図2に示すように、VPN終端装置101、102によりVPN400が構成され、PE装置201、202によりMPLSバックボーン300が構成されている。なお、図2では、VPN終端装置101、102、PE装置201、202しか示していないが、これらは例を示しているに過ぎず、実際には多数の装置が存在してよい。
【0030】
また、図2に示すように、本実施の形態では、NWオペレーション装置500が通信ネットワーク600に接続され、各VPN終端装置、及び各PE装置と通信可能になっている。
【0031】
図3に、本実施の形態に係るVPN終端装置101の機能構成例を示す。他のVPN終端装置も同じ機能構成を有する。図3に示すように、VPN終端装置101は、ユーザ側パケット処理部110、プロバイダ側パケット処理部120、及びインターフェース131、132を有する。なお、図3の例では、ユーザ側及びプロバイダ(通信事業者)側のインターフェースの数をそれぞれ1つとしているが、これは一例に過ぎず、それぞれ複数であってよい。
【0032】
ユーザ側パケット処理部110は、ユーザ側の装置から受信したパケット、及びプロバイダ側パケット処理部120から受信したパケットを、通常のIPルーティング処理により転送する機能部である。例えば、パケットの宛先IPアドレスが同一拠点内のユーザ側ネットワークのIPアドレスであれば当該パケットはユーザ側に転送され、パケットの宛先IPアドレスが異なる拠点のユーザ側ネットワークのIPアドレスであれば、当該パケットはプロバイダ側パケット処理部120に渡される。なお、異なる拠点でのユーザ側ネットワーク情報に関わるルーティング管理として、デフォルトルーティングを使用してもよい。また、ユーザ側パケット処理部110をVPN終端装置101から分離し、VPN終端装置101と接続される別の装置としてユーザのネットワーク内に備えることとしてもよい。
【0033】
プロバイダ側パケット処理部120は、MACルーティングテーブル設定指示受信部121、MACルーティングテーブル格納部122、及びパケット転送処理部123を備える。
【0034】
MACルーティングテーブル設定指示受信部121は、NWオペレーション装置500からMACルーティングテーブルの設定情報(エントリ)を含む設定指示を受信し、受信した設定情報をMACルーティングテーブルのエントリとして、MACルーティングテーブル格納部122に格納する機能部である。MACルーティングテーブル格納部122はMACルーティングテーブルを格納する。
【0035】
図4に、本実施の形態に係るMACルーティングテーブルの一例を示す。図4に示すように、MACルーティングテーブルは、宛先ネットワークを識別するIPサブネットワーク情報、ネクストホップのMACアドレス、及び、パケットを出力するインターフェースを対応付けたテーブルである。なお、図4に示す情報に加えて、宛先ネットワーク毎のメトリック(metric)情報を入れてもよい。
【0036】
図3に戻り、パケット転送処理部123は、プロバイダ側の装置であるPE装置201に接続されるインターフェース132を介して受信したパケット、及びユーザ側パケット処理部110から受信したパケットを、MACルーティングテーブル格納部122に格納されたテーブル情報に従って転送する機能部である。
【0037】
なお、本実施の形態では、テーブルの設定情報をNWオペレーション装置500から受信し、格納することとしているが、VPN終端装置101に接続される操作端末からMACルーティングテーブル設定指示受信部121を介して設定情報を受け取り、MACルーティングテーブル格納部122に格納することとしてもよい。
【0038】
図5に、PE装置201の機能構成例を示す。他のPE装置も同様の構成を有する。図5に示すように、PE装置201は、MAC学習テーブル設定指示受信部210、MAC学習テーブル格納部220、パケット転送処理部230、インターフェース241、242を備える。図5の例では、ユーザ側及びMPLSバックボーン側のインターフェースの数をそれぞれ1つとしているが、これは一例に過ぎず、それぞれ複数であってよい。
【0039】
なお、本実施の形態では、本発明に係る技術を分かり易くするために、PE装置201の機能構成やテーブルの内容、及びその動作を1つのVPNユーザに関するものとして説明するが、実際にはPE装置201は複数のユーザを収容可能である。そのために、例えば、パケット転送処理部230及びMAC学習テーブル格納部220をユーザ毎に備える構成とすることができる。この構成では、例えば、受信パケットにおける所定の情報(ユーザを識別可能な情報)でユーザを識別し、当該ユーザに対応するパケット転送処理部230に受信パケットを振り分け、当該パケット転送処理部230が転送処理を行う。パケット転送処理部230がパケットをLSPに転送する際には、LSPに対応するラベルに加えて、識別されたユーザに対応するラベルを付加することとしてもよい。
【0040】
また、このような構成に代えて、MAC学習テーブル格納部220内にユーザ毎のテーブルを備えることとしてもよい。この場合、パケット転送処理部230は、受信パケットのユーザに対応するテーブルを参照することにより転送処理を行う。
【0041】
ユーザを識別して転送処理を行うための構成は、上記のものに限られるわけではなく、上記以外にも種々の構成をとることが可能である。
【0042】
MAC学習テーブル設定指示受信部210は、NWオペレーション装置500からMAC学習テーブルの設定情報(エントリ)を含む設定指示を受信し、受信した設定情報をMAC学習テーブルのエントリとして、MAC学習テーブル格納部220に格納する機能部である。MAC学習テーブル格納部220はMAC学習テーブルを格納する。
【0043】
図6に、本実施の形態に係るMAC学習テーブルの一例を示す。図6に示すように、MAC学習テーブルは、宛先MACアドレスと、パケットを出力するインターフェースとを対応付けたテーブルである。
【0044】
図5に戻り、パケット転送処理部230は、各インターフェースを介して受信したパケットを、MAC学習テーブル格納部220に格納されたテーブル情報に従って転送する機能部である。パケット転送処理部230は、MPLSの機能を備え、他のPE装置にパケットを転送する場合は、MPLSのカプセリングを行ってパケットの転送を行う。すなわち、パケット転送処理部230は、他のPE装置にパケットを転送する場合、転送先に対応するLSPのトンネルを介してパケットを転送する。本実施の形態では、LSPへの転送については、MAC学習テーブルにおける「インターフェース」としてLSPの識別情報が記録されている。イーサ回線への転送については、「インターフェース」としてイーサの物理インターフェースの識別情報(eth0など)が記録される。
【0045】
なお、VPN終端装置101の場合と同様に、本実施の形態では、テーブルの設定情報をNWオペレーション装置500から受信し、設定を行うこととしているが、PE装置201に接続される操作端末からMAC学習テーブル設定指示受信部210を介して設定情報を受け取り、MAC学習テーブル格納部220に格納することとしてもよい。
【0046】
VPN終端装置101の各機能部は、コンピュータの構成(CPU,メモリ等を含む)を備える通信装置に、各機能部に対応するプログラムを実行させることにより実現できる。同様に、PE装置201の各機能部は、コンピュータの構成(CPU,メモリ等を含む)を備える通信装置に、各機能部に対応するプログラムを実行させることにより実現できる。また、VPN終端装置101、PE装置201の全部又は一部の機能をハードウェアロジック回路で実現してもよい。
【0047】
上記プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。
【0048】
(システムの動作)
次に、図7(a)、(b)を参照して本実施の形態に係るパケットの転送処理を説明する。図7(a)は、図2に示したネットワークをより具体的に示した図である。図7(a)に示すように、本例では、VPN終端装置101、102、103を含み、PE装置201、202、203を含む。VPN終端装置101にユーザ端末Aが接続され、VPN終端装置102にユーザ端末Bが接続され、VPN終端装置103にユーザ端末Cが接続されている。
【0049】
各装置には、図7(a)に示すとおりのIPアドレス、及びMACアドレスが割り当てられている。また、既に各装置のテーブル設定が完了しているものとし、各装置に、図示するテーブルの情報が設定されているものとする。なお、図7(a)には、主要なテーブル情報のみを示している。また、図7(a)では、以下の動作に対応するVPN終端装置101、102間でVPNトンネルが形成されることが示されている。
以下、図7(b)のシーケンス図を参照して、図7(a)に示すネットワークで、ユーザ端末Aからユーザ端末BにIPパケット通信を行う場合の動作例を示す。以下の説明においては図3、図5に示した構成の中の機能部を適宜参照して説明に用いる。
【0050】
ステップ101)ユーザ端末Aは、宛先IPアドレスとしてユーザ端末BのIPアドレスを有するIPパケットを含むパケットを、ユーザ端末AのデフォルトゲートウェイであるVPN終端装置101に送出する。
【0051】
ステップ102)ユーザ端末Aからパケットを受信したVPN終端装置101において、ユーザ側パケット処理部110は、IPパケットの宛先IPアドレスは、ユーザ拠点Aでないユーザ拠点BのネットワークのIPアドレスであると判断し、受信したパケットをプロバイダ側パケット処理部120に渡す。
【0052】
プロバイダ側パケット処理部120におけるパケット転送処理部123は、MACルーティングテーブル格納部122を参照し、宛先IPアドレス(192.168.1.B)に対応するネクストホップのMACアドレスがββββであり、パケットを出力するインターフェースがeth1であることを把握する。そして、パケット転送処理部123は、送信元MACアドレスをeth1に対応するααααとし、宛先MACアドレスをββββとしたMACヘッダを付したパケットをeth1のインターフェースから送出する。
【0053】
ステップ103)VPN終端装置101からパケットを受信したPE装置201において、パケット転送処理部230が、MAC学習テーブル格納部220を参照し、宛先MACアドレス(ββββ)に対応するインターフェースがLSP1であることを把握する。つまり、MACアドレス(ββββ)宛てにパケットを送信するために、LSP1でパケットを転送することを決定する。そして、パケット転送処理部230は、パケットをLSP1を介して送出する。より具体的には、パケット転送処理部230は、パケットをLSP1に対応するラベルでカプセリングし、LSP1に対応する物理インターフェースから当該カプセリングがされたパケット(これをMPLSパケットと呼ぶ)を送出する。
【0054】
ステップ104)PE装置201から送出されたMPLSパケットはPE装置202に届く。PE装置202は、MPLSパケットをデカプセリングし、デカプセリングで取り出されたパケットを、MAC学習テーブルに基づいて、対向のVPN終端装置102に送信する。
【0055】
ステップ105)パケットを受信したVPN終端装置102において、プロバイダ側パケット処理部120におけるパケット転送処理部123は、MACルーティングテーブルに基づいて、パケットをユーザ側パケット処理部110に渡し、ユーザ側パケット処理部110は、通常のIPルーティング処理により、IPパケットをユーザ端末Bに送信する。
【0056】
(変形例)
上述した実施の形態では、VPN400のバックボーンネットワークとして、MPLSを用いたMPLSバックボーン300を適用する例を示したが、VPN400の網構成はこれに限られるわけではない。例えば、図8に示すように、L2ネットワーク350(広域イーサ網等)を用いることも可能である。L2ネットワーク350は、L2スイッチ(イーサスイッチ等)を接続して構成されたネットワークである。図8では、4つのL2スイッチ701、702、703、704が示されている。各L2スイッチの中のMAC学習テーブル(MACアドレスとインターフェースとの対応付け)はスタティックに設定しておくものとする。なお、説明を分かり易くするために、本変形例でも、図中のMAC学習テーブルは、1VPNユーザの個別テーブルイメージを記載したものとしているが、実際には、例えば、ユーザ毎にテーブルを備え、受信パケットの情報から識別されたユーザに対応するテーブルを参照することにより転送処理を行う構成とすることができる。
【0057】
図8の構成において、例えば、VPN終端装置101からVPN終端装置102(ββββ)に対し、L2スイッチ701−>703−>702の経路を経由してパケットを転送させたい場合、各L2スイッチのMAC学習テーブルに図示するエントリを設定しておけばよい。図8に示す例でも、図7に示した例と同様にしてユーザ端末A、B間でのIPパケット転送を行うことができる。
【0058】
(実施の形態の効果)
本実施の形態によれば、IPパケットをMACヘッダでカプセリングして転送を行うVPNを構成するVPN終端装置に、IPアドレス、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段と、IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレス宛てのパケットを、前記出力インターフェースから転送するパケット転送手段とを備えることとした。
【0059】
この構成により、MACアドレス解決のためのトラフィックの発生を防止でき、結果として通信の遅延を削減できる。
【0060】
また、前記VPN終端装置とネットワーク接続されたNWオペレーション装置から前記ルーティングテーブルの設定情報を受信し、当該設定情報を前記ルーティングテーブル格納手段に格納する設定手段を更に備えたこととしたので、ネットワークの設定管理を効率的に行うことが可能となる。
【0061】
また、本実施の形態では、前記VPN終端装置は、ユーザ端末側のネットワークに接続される第1のパケット処理手段(ユーザ側パケット処理部)と、前記ルーティングテーブル格納手段と前記パケット転送手段とを含み、前記VPNのバックボーンネットワークに接続される第2のパケット処理手段(プロバイダ側パケット処理部)とを備え、前記第1のパケット処理手段は、IPルーティング処理を行うことにより前記ユーザ端末側のネットワークに対するIPパケット転送を行うこととした。
【0062】
この構成により、ユーザのネットワークでは従来技術を残したままで効率的なIPのVPN通信を実現できる。
【0063】
また、本実施の形態では、前記VPNのバックボーンネットワークを構成し、前記VPN終端装置に接続されるエッジ装置を、MACアドレスと出力インターフェースとを対応付けたテーブルを格納するテーブル格納手段と、前記VPN終端装置から転送された前記パケットを受信したときに、前記テーブルを参照して、当該パケットの宛先MACアドレスに対応する出力インターフェースを決定し、当該パケットを、当該出力インターフェースから転送するパケット転送手段と、を備えるように構成した。
【0064】
これにより、バックボーンネットワークでのフラッディングを排除することが可能となり、無駄なトラフィックにより帯域の圧迫等を防止できる。
【0065】
また、本実施の形態によれば、従来のCE装置の場所に、VPN終端装置を配置することにより、MACアドレスを用いたカプセリングによるVPNトンネルを構成することが可能となる。このVPNトンネル構成によれば、PE装置において宛先MACアドレスを確認するだけで容易にVPNトンネルを識別できるようになる。
【0066】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0067】
10、20、30 PE装置
40、50、60 CE装置
70 MPLSバックボーン
80 VPN
101、102、103 VPN終端装置
201、202、203 PE装置
300 MPLSバックボーン
400 VPN
500 NWオペレーション装置
600 通信ネットワーク
110 ユーザ側パケット処理部
120 プロバイダ側パケット処理部
121 MACルーティングテーブル設定指示受信部
122 MACルーティングテーブル格納部
123 パケット転送処理部
131、132 インターフェース
210 MAC学習テーブル設定指示受信部
220 MAC学習テーブル格納部
230 パケット転送処理部
241、242 インターフェース
350 L2ネットワーク
701、702、703、704 L2スイッチ
【技術分野】
【0001】
本発明は、仮想閉域網(VPN)におけるIP通信技術に関連するものである。
【背景技術】
【0002】
近年、MPLS(Multi-Protocol Label Switching)を用いて広域イーサネット(登録商標)サービスを実現するVPLS(Virtual Private LAN Service)技術が使われ始めている。図1(a)に、VPLS技術を用いたネットワーク構成の一例を示す。
【0003】
図1(a)に示すネットワークは、通信事業者(プロバイダ)側の通信装置であるPE(provider edge)装置10、20、30と、ユーザの拠点側の通信装置であるCE(customer edge)装置40、50、60が通信路で接続されて構成されている。図1(a)の例では、CE装置40にユーザ端末Aが接続され、CE装置50にユーザ端末Bが接続され、CE装置60にユーザ端末Cが接続されている。各CE装置はIPパケットのルーティングを行うルータである。各PE装置は、MACアドレスによるパケットのスイッチングを行い、MPLSの論理パス(LSP:Label Switched Path)をトンネルとして用いて転送を行う等の機能を備える装置である。なお、本明細書及び特許請求の範囲において、"パケット"の用語は"フレーム"等を含む広い意味で使用するものとするが、以下の従来技術の説明及び実施の形態の説明では、ほとんどの場合、"パケット"はイーサフレームであり、特定の種類のパケットを指す場合は、"IPパケット"や"MPLSパケット"のような記述としている。
【0004】
各装置には、図1(a)に示すとおりのIPアドレス、及びMACアドレスが割り当てられている。例えば、CE装置40におけるインターフェース(物理インターフェース):eth0にMACアドレス:2222、及びIPアドレス:192.168.0.1が割り当てられ、eth1にMACアドレス:αααα、及びIPアドレス:172.16.0.1が割り当てられている。また、図1(a)に示すように、各CE装置は、ルーティングテーブルを備えている。ここで示すルーティングテーブルは、MPLSバックボーン側へのルーティングを行う際のものである。
【0005】
通信事業者側のMPLSバックボーン70は、MPLSネットワークで構成されており、PE装置間は、LSPでフルメッシュ接続されている。
【0006】
図1(a)に示すネットワークにおいて、PE装置間を接続したMPLSバックボーン70は、様々なユーザのトラフィックを通す公衆のネットワークであるが、PE装置では、ユーザ拠点から送出されるパケットをMPLSラベルでカプセリングして対向PE装置にMPLSパケット転送される。PE装置間ではユーザを一意に識別できるようMPLSラベル値が厳密に管理されているため、ユーザ通信の秘密性が担保される。CE装置間を接続して構成されたネットワークはユーザからは、そのユーザ専用のIPの閉域網に見える。ただし、この閉域網は、公衆のネットワークを利用する仮想的なものであるから、これを仮想閉域網(VPN:Virtual Private Networkとも表記する)80と呼ぶ。
【0007】
以下、図1(b)のシーケンス図を参照して、図1(a)に示すネットワークで、ユーザ端末Aからユーザ端末BにIPパケット通信を行う場合の動作例を説明する。
【0008】
ステップ1)ユーザ端末Aは、宛先IPアドレスとしてユーザ端末BのIPアドレスを有するIPパケットを含むパケットを、ユーザ端末AのデフォルトゲートウェイであるCE装置40に送出する。
【0009】
ステップ2)ユーザ端末Aからパケットを受信したCE装置40は、ルーティングテーブルを参照し、ネクストホップのIPアドレスが172.16.0.2であることを把握し、ネクストホップ(172.16.0.2)のMACアドレスを把握するために、ARPパケットをブロードキャスト送信する。ARPにより、CE装置40は、ネクストホップ(172.16.0.2)のMACアドレスがββββであることを把握する。
【0010】
ステップ3)CE装置40は、上記IPパケットを含む、宛先MACアドレスをββββとしたパケットを、eth1に接続されたPE装置10に送信する。
【0011】
ステップ4)この時点で、PE装置10が、MACアドレス:ββββと、パケットを出力すべきインターフェースとの対応を学習済みである場合、この対応に基づいて、CE装置40から受信したパケットをMPLSカプセル化(LSPのラベルを付すること)して対向PE装置20向けに転送する。なお、この時点で、MAC学習がされていない場合(例えば、学習テーブルの内容がタイムアウトで削除された場合など)、PE装置10は、全てのLSPにパケットをフラッディングすることで、MACアドレス:ββββに対応するインターフェース(使用すべきLSP)を学習する。
【0012】
ステップ5)MPLSパケットを受信したPE装置20は、MPLSパケットからMPLSカプセルを除去して得られたパケットをCE装置50に転送する。
【0013】
ステップ6)CE装置50は、IPパケットをユーザ端末Bに転送する。
【0014】
上記のように、MPLSバックボーンの各PE装置はユーザごとのMACアドレスの学習テーブルを持つことで、どのLSPにどのMACアドレス宛のパケットをフォワードすればよいかを決定する。パケットは、LSPでトンネル転送され、中継区間はラベルだけを見て転送を行う。
【先行技術文献】
【特許文献】
【0015】
【特許文献1】特開2000−183968号公報
【発明の概要】
【発明が解決しようとする課題】
【0016】
前述したように、上記の従来技術では、CE装置は、IP通信に必要な対向CE装置のMACアドレスを把握するために、ARPパケットのブロードキャストを行うことが必要となる。CE装置がARPリクエストを送信してから、対向CE装置からのARPリプライを受信するまでの間、ユーザのIPパケット転送処理は保留された状態となるため、目的とするユーザ端末間のIP通信に遅延が生じる。特に、ユーザのパケットをトンネルを介して広域に転送する図1に示すネットワーク構成では、ARPパケットを長い区間にわたって転送することになるため、遅延が大きくなる可能性がある。
【0017】
また、CE装置でのARPテーブルでのエントリ保持期間と、PE装置でのMAC学習アドレステーブルでのエントリ保持期間が個別に管理されているため、CE装置間での非効率なパケット転送処理(ARPに伴うブロードキャストフレームや、VPLS区間でのMACアドレス未学習による全LSPへのフラッディング(=同報的なUnknownユニキャストフレーム転送)が発生する。これにより、通信相手ではないCE装置にパケットが転送されるため、アクセス回線(PE−CE間)の帯域が圧迫され、目的とする通信以外の通信にも遅延等の影響を与える恐れがある。
本発明は上記の点に鑑みてなされたものであり、ユーザ端末から送出されたIPパケットを、VPN終端装置間でのMACアドレスを用いたカプセリングにより構成されたVPNトンネルに収容して転送するVPNにおいて、MACアドレス解決のためのARPパケット送信等を行うことなく、IPパケット通信を可能とするための技術を提供することを目的とする。
【課題を解決するための手段】
【0018】
上記の課題を解決するために、本発明は、MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置であって、IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段と、IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送手段とを備えたことを特徴とするVPN終端装置として構成される。
【0019】
前記VPN終端装置において、前記VPN終端装置とネットワーク接続されたNWオペレーション装置から前記ルーティングテーブルの設定情報を受信し、当該設定情報を前記ルーティングテーブル格納手段に格納する設定手段を更に備えてもよい。
【0020】
前記VPN終端装置は、ユーザ端末側のネットワークに接続される第1のパケット処理手段と、前記ルーティングテーブル格納手段と前記パケット転送手段とを含み、前記VPNのバックボーンネットワークに接続される第2のパケット処理手段と、を備え、前記第1のパケット処理手段は、IPルーティング処理を行うことにより前記ユーザ端末側のネットワークに対するIPパケット転送を行うように構成してもよい。
【0021】
また、本発明は、前記VPN終端装置と、前記VPNのバックボーンネットワークを構成し、前記VPN終端装置に接続されるエッジ装置と、を備える通信システムであって、前記エッジ装置は、MACアドレスと出力インターフェースとを対応付けたテーブルを格納するテーブル格納手段と、前記VPN終端装置から転送された前記パケットを受信したときに、前記テーブルを参照して、当該パケットの宛先MACアドレスに対応する出力インターフェースを決定し、当該パケットを、当該出力インターフェースから転送するパケット転送手段と、を備えることを特徴とする通信システムとして構成することもできる。
【0022】
また、本発明は、MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置が実行するパケット転送方法であって、前記VPN終端装置は、IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段を備え、IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送ステップを備えたことを特徴とするパケット転送方法として構成することもできる。
【0023】
また、本発明は、コンピュータの構成を含む通信装置を、前記VPN終端装置の各手段として機能させるためのプログラムとして構成することもできる。
【発明の効果】
【0024】
本発明によれば、ユーザ端末から送出されたIPパケットを、VPN終端装置間でのMACアドレスを用いたカプセリングにより構成されたVPNトンネルに収容して転送する仮想閉域網において、MACアドレス解決のためのARPパケット送信等を行うことなく、IPパケット通信が可能となり、遅延等の発生を防止できる。
【0025】
さらに、本発明の一実施形態によれば、VPNのバックボーンネットワークでは、エッジ装置でのVPN終端装置から転送されたパケットを受信したときに、VPLS区間でのMACアドレス未学習による全LSPへのフラッディング(=同報的なUnknownユニキャストフレーム転送)を行うことがなくなり、通信相手ではないCE装置にはパケットが転送されなくなるため、アクセス回線の帯域圧迫が防止できる。
【図面の簡単な説明】
【0026】
【図1】従来技術を説明するための図である。
【図2】本発明の実施の形態に係るネットワーク構成例を示す図である。
【図3】本発明の実施の形態に係るVPN終端装置の機能構成例を示す図である。
【図4】本発明の実施の形態に係るMACルーティングテーブルの一例を示す図である。
【図5】本発明の実施の形態に係るPE装置の機能構成例を示す図である。
【図6】本発明の実施の形態に係るMAC学習テーブルの一例を示す図である。
【図7】本発明の実施の形態に係るパケット転送処理を説明するための図である。
【図8】本発明の実施の形態の変形例を説明するための図である。
【発明を実施するための形態】
【0027】
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0028】
(システム構成)
図2に、本発明の実施の形態に係る仮想閉域網(以下、VPNと呼ぶ)を含むネットワーク構成例を示す。図2に示すように、本実施の形態に係るネットワークは、PE装置201、202とVPN終端装置101、102とが通信路で接続されて構成されている。また、VPN終端装置101にユーザ端末Xが接続され、VPN終端装置102にユーザ端末Yが接続されている。各VPN終端装置は、図1(a)に示したCE装置と比べて、同じネットワーク上の位置に配置され、IPパケットのルーティングを行う点で共通するが、それらの機能には異なる点がある。また、各PE装置については、通信処理に関しては図1(a)に示したPE装置と同じであるが、MAC学習テーブルの設定方法が異なる。詳細については後述する。
【0029】
図2に示すように、VPN終端装置101、102によりVPN400が構成され、PE装置201、202によりMPLSバックボーン300が構成されている。なお、図2では、VPN終端装置101、102、PE装置201、202しか示していないが、これらは例を示しているに過ぎず、実際には多数の装置が存在してよい。
【0030】
また、図2に示すように、本実施の形態では、NWオペレーション装置500が通信ネットワーク600に接続され、各VPN終端装置、及び各PE装置と通信可能になっている。
【0031】
図3に、本実施の形態に係るVPN終端装置101の機能構成例を示す。他のVPN終端装置も同じ機能構成を有する。図3に示すように、VPN終端装置101は、ユーザ側パケット処理部110、プロバイダ側パケット処理部120、及びインターフェース131、132を有する。なお、図3の例では、ユーザ側及びプロバイダ(通信事業者)側のインターフェースの数をそれぞれ1つとしているが、これは一例に過ぎず、それぞれ複数であってよい。
【0032】
ユーザ側パケット処理部110は、ユーザ側の装置から受信したパケット、及びプロバイダ側パケット処理部120から受信したパケットを、通常のIPルーティング処理により転送する機能部である。例えば、パケットの宛先IPアドレスが同一拠点内のユーザ側ネットワークのIPアドレスであれば当該パケットはユーザ側に転送され、パケットの宛先IPアドレスが異なる拠点のユーザ側ネットワークのIPアドレスであれば、当該パケットはプロバイダ側パケット処理部120に渡される。なお、異なる拠点でのユーザ側ネットワーク情報に関わるルーティング管理として、デフォルトルーティングを使用してもよい。また、ユーザ側パケット処理部110をVPN終端装置101から分離し、VPN終端装置101と接続される別の装置としてユーザのネットワーク内に備えることとしてもよい。
【0033】
プロバイダ側パケット処理部120は、MACルーティングテーブル設定指示受信部121、MACルーティングテーブル格納部122、及びパケット転送処理部123を備える。
【0034】
MACルーティングテーブル設定指示受信部121は、NWオペレーション装置500からMACルーティングテーブルの設定情報(エントリ)を含む設定指示を受信し、受信した設定情報をMACルーティングテーブルのエントリとして、MACルーティングテーブル格納部122に格納する機能部である。MACルーティングテーブル格納部122はMACルーティングテーブルを格納する。
【0035】
図4に、本実施の形態に係るMACルーティングテーブルの一例を示す。図4に示すように、MACルーティングテーブルは、宛先ネットワークを識別するIPサブネットワーク情報、ネクストホップのMACアドレス、及び、パケットを出力するインターフェースを対応付けたテーブルである。なお、図4に示す情報に加えて、宛先ネットワーク毎のメトリック(metric)情報を入れてもよい。
【0036】
図3に戻り、パケット転送処理部123は、プロバイダ側の装置であるPE装置201に接続されるインターフェース132を介して受信したパケット、及びユーザ側パケット処理部110から受信したパケットを、MACルーティングテーブル格納部122に格納されたテーブル情報に従って転送する機能部である。
【0037】
なお、本実施の形態では、テーブルの設定情報をNWオペレーション装置500から受信し、格納することとしているが、VPN終端装置101に接続される操作端末からMACルーティングテーブル設定指示受信部121を介して設定情報を受け取り、MACルーティングテーブル格納部122に格納することとしてもよい。
【0038】
図5に、PE装置201の機能構成例を示す。他のPE装置も同様の構成を有する。図5に示すように、PE装置201は、MAC学習テーブル設定指示受信部210、MAC学習テーブル格納部220、パケット転送処理部230、インターフェース241、242を備える。図5の例では、ユーザ側及びMPLSバックボーン側のインターフェースの数をそれぞれ1つとしているが、これは一例に過ぎず、それぞれ複数であってよい。
【0039】
なお、本実施の形態では、本発明に係る技術を分かり易くするために、PE装置201の機能構成やテーブルの内容、及びその動作を1つのVPNユーザに関するものとして説明するが、実際にはPE装置201は複数のユーザを収容可能である。そのために、例えば、パケット転送処理部230及びMAC学習テーブル格納部220をユーザ毎に備える構成とすることができる。この構成では、例えば、受信パケットにおける所定の情報(ユーザを識別可能な情報)でユーザを識別し、当該ユーザに対応するパケット転送処理部230に受信パケットを振り分け、当該パケット転送処理部230が転送処理を行う。パケット転送処理部230がパケットをLSPに転送する際には、LSPに対応するラベルに加えて、識別されたユーザに対応するラベルを付加することとしてもよい。
【0040】
また、このような構成に代えて、MAC学習テーブル格納部220内にユーザ毎のテーブルを備えることとしてもよい。この場合、パケット転送処理部230は、受信パケットのユーザに対応するテーブルを参照することにより転送処理を行う。
【0041】
ユーザを識別して転送処理を行うための構成は、上記のものに限られるわけではなく、上記以外にも種々の構成をとることが可能である。
【0042】
MAC学習テーブル設定指示受信部210は、NWオペレーション装置500からMAC学習テーブルの設定情報(エントリ)を含む設定指示を受信し、受信した設定情報をMAC学習テーブルのエントリとして、MAC学習テーブル格納部220に格納する機能部である。MAC学習テーブル格納部220はMAC学習テーブルを格納する。
【0043】
図6に、本実施の形態に係るMAC学習テーブルの一例を示す。図6に示すように、MAC学習テーブルは、宛先MACアドレスと、パケットを出力するインターフェースとを対応付けたテーブルである。
【0044】
図5に戻り、パケット転送処理部230は、各インターフェースを介して受信したパケットを、MAC学習テーブル格納部220に格納されたテーブル情報に従って転送する機能部である。パケット転送処理部230は、MPLSの機能を備え、他のPE装置にパケットを転送する場合は、MPLSのカプセリングを行ってパケットの転送を行う。すなわち、パケット転送処理部230は、他のPE装置にパケットを転送する場合、転送先に対応するLSPのトンネルを介してパケットを転送する。本実施の形態では、LSPへの転送については、MAC学習テーブルにおける「インターフェース」としてLSPの識別情報が記録されている。イーサ回線への転送については、「インターフェース」としてイーサの物理インターフェースの識別情報(eth0など)が記録される。
【0045】
なお、VPN終端装置101の場合と同様に、本実施の形態では、テーブルの設定情報をNWオペレーション装置500から受信し、設定を行うこととしているが、PE装置201に接続される操作端末からMAC学習テーブル設定指示受信部210を介して設定情報を受け取り、MAC学習テーブル格納部220に格納することとしてもよい。
【0046】
VPN終端装置101の各機能部は、コンピュータの構成(CPU,メモリ等を含む)を備える通信装置に、各機能部に対応するプログラムを実行させることにより実現できる。同様に、PE装置201の各機能部は、コンピュータの構成(CPU,メモリ等を含む)を備える通信装置に、各機能部に対応するプログラムを実行させることにより実現できる。また、VPN終端装置101、PE装置201の全部又は一部の機能をハードウェアロジック回路で実現してもよい。
【0047】
上記プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。
【0048】
(システムの動作)
次に、図7(a)、(b)を参照して本実施の形態に係るパケットの転送処理を説明する。図7(a)は、図2に示したネットワークをより具体的に示した図である。図7(a)に示すように、本例では、VPN終端装置101、102、103を含み、PE装置201、202、203を含む。VPN終端装置101にユーザ端末Aが接続され、VPN終端装置102にユーザ端末Bが接続され、VPN終端装置103にユーザ端末Cが接続されている。
【0049】
各装置には、図7(a)に示すとおりのIPアドレス、及びMACアドレスが割り当てられている。また、既に各装置のテーブル設定が完了しているものとし、各装置に、図示するテーブルの情報が設定されているものとする。なお、図7(a)には、主要なテーブル情報のみを示している。また、図7(a)では、以下の動作に対応するVPN終端装置101、102間でVPNトンネルが形成されることが示されている。
以下、図7(b)のシーケンス図を参照して、図7(a)に示すネットワークで、ユーザ端末Aからユーザ端末BにIPパケット通信を行う場合の動作例を示す。以下の説明においては図3、図5に示した構成の中の機能部を適宜参照して説明に用いる。
【0050】
ステップ101)ユーザ端末Aは、宛先IPアドレスとしてユーザ端末BのIPアドレスを有するIPパケットを含むパケットを、ユーザ端末AのデフォルトゲートウェイであるVPN終端装置101に送出する。
【0051】
ステップ102)ユーザ端末Aからパケットを受信したVPN終端装置101において、ユーザ側パケット処理部110は、IPパケットの宛先IPアドレスは、ユーザ拠点Aでないユーザ拠点BのネットワークのIPアドレスであると判断し、受信したパケットをプロバイダ側パケット処理部120に渡す。
【0052】
プロバイダ側パケット処理部120におけるパケット転送処理部123は、MACルーティングテーブル格納部122を参照し、宛先IPアドレス(192.168.1.B)に対応するネクストホップのMACアドレスがββββであり、パケットを出力するインターフェースがeth1であることを把握する。そして、パケット転送処理部123は、送信元MACアドレスをeth1に対応するααααとし、宛先MACアドレスをββββとしたMACヘッダを付したパケットをeth1のインターフェースから送出する。
【0053】
ステップ103)VPN終端装置101からパケットを受信したPE装置201において、パケット転送処理部230が、MAC学習テーブル格納部220を参照し、宛先MACアドレス(ββββ)に対応するインターフェースがLSP1であることを把握する。つまり、MACアドレス(ββββ)宛てにパケットを送信するために、LSP1でパケットを転送することを決定する。そして、パケット転送処理部230は、パケットをLSP1を介して送出する。より具体的には、パケット転送処理部230は、パケットをLSP1に対応するラベルでカプセリングし、LSP1に対応する物理インターフェースから当該カプセリングがされたパケット(これをMPLSパケットと呼ぶ)を送出する。
【0054】
ステップ104)PE装置201から送出されたMPLSパケットはPE装置202に届く。PE装置202は、MPLSパケットをデカプセリングし、デカプセリングで取り出されたパケットを、MAC学習テーブルに基づいて、対向のVPN終端装置102に送信する。
【0055】
ステップ105)パケットを受信したVPN終端装置102において、プロバイダ側パケット処理部120におけるパケット転送処理部123は、MACルーティングテーブルに基づいて、パケットをユーザ側パケット処理部110に渡し、ユーザ側パケット処理部110は、通常のIPルーティング処理により、IPパケットをユーザ端末Bに送信する。
【0056】
(変形例)
上述した実施の形態では、VPN400のバックボーンネットワークとして、MPLSを用いたMPLSバックボーン300を適用する例を示したが、VPN400の網構成はこれに限られるわけではない。例えば、図8に示すように、L2ネットワーク350(広域イーサ網等)を用いることも可能である。L2ネットワーク350は、L2スイッチ(イーサスイッチ等)を接続して構成されたネットワークである。図8では、4つのL2スイッチ701、702、703、704が示されている。各L2スイッチの中のMAC学習テーブル(MACアドレスとインターフェースとの対応付け)はスタティックに設定しておくものとする。なお、説明を分かり易くするために、本変形例でも、図中のMAC学習テーブルは、1VPNユーザの個別テーブルイメージを記載したものとしているが、実際には、例えば、ユーザ毎にテーブルを備え、受信パケットの情報から識別されたユーザに対応するテーブルを参照することにより転送処理を行う構成とすることができる。
【0057】
図8の構成において、例えば、VPN終端装置101からVPN終端装置102(ββββ)に対し、L2スイッチ701−>703−>702の経路を経由してパケットを転送させたい場合、各L2スイッチのMAC学習テーブルに図示するエントリを設定しておけばよい。図8に示す例でも、図7に示した例と同様にしてユーザ端末A、B間でのIPパケット転送を行うことができる。
【0058】
(実施の形態の効果)
本実施の形態によれば、IPパケットをMACヘッダでカプセリングして転送を行うVPNを構成するVPN終端装置に、IPアドレス、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段と、IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレス宛てのパケットを、前記出力インターフェースから転送するパケット転送手段とを備えることとした。
【0059】
この構成により、MACアドレス解決のためのトラフィックの発生を防止でき、結果として通信の遅延を削減できる。
【0060】
また、前記VPN終端装置とネットワーク接続されたNWオペレーション装置から前記ルーティングテーブルの設定情報を受信し、当該設定情報を前記ルーティングテーブル格納手段に格納する設定手段を更に備えたこととしたので、ネットワークの設定管理を効率的に行うことが可能となる。
【0061】
また、本実施の形態では、前記VPN終端装置は、ユーザ端末側のネットワークに接続される第1のパケット処理手段(ユーザ側パケット処理部)と、前記ルーティングテーブル格納手段と前記パケット転送手段とを含み、前記VPNのバックボーンネットワークに接続される第2のパケット処理手段(プロバイダ側パケット処理部)とを備え、前記第1のパケット処理手段は、IPルーティング処理を行うことにより前記ユーザ端末側のネットワークに対するIPパケット転送を行うこととした。
【0062】
この構成により、ユーザのネットワークでは従来技術を残したままで効率的なIPのVPN通信を実現できる。
【0063】
また、本実施の形態では、前記VPNのバックボーンネットワークを構成し、前記VPN終端装置に接続されるエッジ装置を、MACアドレスと出力インターフェースとを対応付けたテーブルを格納するテーブル格納手段と、前記VPN終端装置から転送された前記パケットを受信したときに、前記テーブルを参照して、当該パケットの宛先MACアドレスに対応する出力インターフェースを決定し、当該パケットを、当該出力インターフェースから転送するパケット転送手段と、を備えるように構成した。
【0064】
これにより、バックボーンネットワークでのフラッディングを排除することが可能となり、無駄なトラフィックにより帯域の圧迫等を防止できる。
【0065】
また、本実施の形態によれば、従来のCE装置の場所に、VPN終端装置を配置することにより、MACアドレスを用いたカプセリングによるVPNトンネルを構成することが可能となる。このVPNトンネル構成によれば、PE装置において宛先MACアドレスを確認するだけで容易にVPNトンネルを識別できるようになる。
【0066】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0067】
10、20、30 PE装置
40、50、60 CE装置
70 MPLSバックボーン
80 VPN
101、102、103 VPN終端装置
201、202、203 PE装置
300 MPLSバックボーン
400 VPN
500 NWオペレーション装置
600 通信ネットワーク
110 ユーザ側パケット処理部
120 プロバイダ側パケット処理部
121 MACルーティングテーブル設定指示受信部
122 MACルーティングテーブル格納部
123 パケット転送処理部
131、132 インターフェース
210 MAC学習テーブル設定指示受信部
220 MAC学習テーブル格納部
230 パケット転送処理部
241、242 インターフェース
350 L2ネットワーク
701、702、703、704 L2スイッチ
【特許請求の範囲】
【請求項1】
MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置であって、
IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段と、
IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送手段と
を備えたことを特徴とするVPN終端装置。
【請求項2】
前記VPN終端装置とネットワーク接続されたNWオペレーション装置から前記ルーティングテーブルの設定情報を受信し、当該設定情報を前記ルーティングテーブル格納手段に格納する設定手段を更に備えたことを特徴とする請求項1に記載のVPN終端装置。
【請求項3】
前記VPN終端装置は、
ユーザ端末側のネットワークに接続される第1のパケット処理手段と、
前記ルーティングテーブル格納手段と前記パケット転送手段とを含み、前記VPNのバックボーンネットワークに接続される第2のパケット処理手段と、を備え、
前記第1のパケット処理手段は、IPルーティング処理を行うことにより前記ユーザ端末側のネットワークに対するIPパケット転送を行う
ことを特徴とする請求項1又は2に記載のVPN終端装置。
【請求項4】
請求項1ないし3のうちいずれか1項に記載のVPN終端装置と、前記VPNのバックボーンネットワークを構成し、前記VPN終端装置に接続されるエッジ装置と、を備える通信システムであって、
前記エッジ装置は、
MACアドレスと出力インターフェースとを対応付けたテーブルを格納するテーブル格納手段と、
前記VPN終端装置から転送された前記パケットを受信したときに、前記テーブルを参照して、当該パケットの宛先MACアドレスに対応する出力インターフェースを決定し、当該パケットを、当該出力インターフェースから転送するパケット転送手段と、を備える
ことを特徴とする通信システム。
【請求項5】
MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置が実行するパケット転送方法であって、
前記VPN終端装置は、IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段を備え、
IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送ステップ
を備えたことを特徴とするパケット転送方法。
【請求項6】
コンピュータの構成を含む通信装置を、請求項1ないし3のうちいずれか1項に記載のVPN終端装置の各手段として機能させるためのプログラム。
【請求項1】
MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置であって、
IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段と、
IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送手段と
を備えたことを特徴とするVPN終端装置。
【請求項2】
前記VPN終端装置とネットワーク接続されたNWオペレーション装置から前記ルーティングテーブルの設定情報を受信し、当該設定情報を前記ルーティングテーブル格納手段に格納する設定手段を更に備えたことを特徴とする請求項1に記載のVPN終端装置。
【請求項3】
前記VPN終端装置は、
ユーザ端末側のネットワークに接続される第1のパケット処理手段と、
前記ルーティングテーブル格納手段と前記パケット転送手段とを含み、前記VPNのバックボーンネットワークに接続される第2のパケット処理手段と、を備え、
前記第1のパケット処理手段は、IPルーティング処理を行うことにより前記ユーザ端末側のネットワークに対するIPパケット転送を行う
ことを特徴とする請求項1又は2に記載のVPN終端装置。
【請求項4】
請求項1ないし3のうちいずれか1項に記載のVPN終端装置と、前記VPNのバックボーンネットワークを構成し、前記VPN終端装置に接続されるエッジ装置と、を備える通信システムであって、
前記エッジ装置は、
MACアドレスと出力インターフェースとを対応付けたテーブルを格納するテーブル格納手段と、
前記VPN終端装置から転送された前記パケットを受信したときに、前記テーブルを参照して、当該パケットの宛先MACアドレスに対応する出力インターフェースを決定し、当該パケットを、当該出力インターフェースから転送するパケット転送手段と、を備える
ことを特徴とする通信システム。
【請求項5】
MACアドレスを用いたカプセリングにより構成されたVPNトンネルに、IPパケットを収容して転送を行うVPN終端装置が実行するパケット転送方法であって、
前記VPN終端装置は、IPサブネットワーク情報、MACアドレス、及び出力インターフェースを対応付けたルーティングテーブルを格納するルーティングテーブル格納手段を備え、
IPパケットを受信したときに、前記ルーティングテーブルを参照して、当該IPパケットの宛先IPアドレスに対応するMACアドレス及び出力インターフェースを決定し、前記IPパケットを含む前記MACアドレスを宛先MACアドレスとしたパケットを、前記出力インターフェースから転送するパケット転送ステップ
を備えたことを特徴とするパケット転送方法。
【請求項6】
コンピュータの構成を含む通信装置を、請求項1ないし3のうちいずれか1項に記載のVPN終端装置の各手段として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2013−78087(P2013−78087A)
【公開日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願番号】特願2011−218344(P2011−218344)
【出願日】平成23年9月30日(2011.9.30)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
【公開日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願日】平成23年9月30日(2011.9.30)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
[ Back to top ]