JP2009267987A - 局側装置、ponシステムおよびホームゲートウェイ装置 - Google Patents
局側装置、ponシステムおよびホームゲートウェイ装置 Download PDFInfo
- Publication number
- JP2009267987A JP2009267987A JP2008117874A JP2008117874A JP2009267987A JP 2009267987 A JP2009267987 A JP 2009267987A JP 2008117874 A JP2008117874 A JP 2008117874A JP 2008117874 A JP2008117874 A JP 2008117874A JP 2009267987 A JP2009267987 A JP 2009267987A
- Authority
- JP
- Japan
- Prior art keywords
- isp
- authentication
- subscriber terminal
- mac frame
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 abstract description 21
- 238000000034 method Methods 0.000 description 26
- 238000012546 transfer Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 23
- 230000005540 biological transmission Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 2
- 101100409308 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) adv-1 gene Proteins 0.000 description 1
- 101100397227 Schizosaccharomyces pombe (strain 972 / ATCC 24843) isp5 gene Proteins 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】IEEE802.1x認証を適用しつつ単一加入者端末と複数ISPとの接続を実現する局側装置を得ること。
【解決手段】本発明にかかる局側装置は、加入者端末がISPへの接続を希望する場合、ISPとの間の接続認証処理で使用する認証情報を加入者端末から取得し、取得した情報を使用してIEEE802.1x認証を実行することにより加入者端末のISPへの接続可否を判定する認証処理部13と、接続可と判定された場合、加入者端末の管理情報とISPとを対応付けて管理する接続管理部14と、受信したMACフレームを接続管理部14により管理された情報に従い転送するL2SW11と、を備える。
【選択図】 図1
【解決手段】本発明にかかる局側装置は、加入者端末がISPへの接続を希望する場合、ISPとの間の接続認証処理で使用する認証情報を加入者端末から取得し、取得した情報を使用してIEEE802.1x認証を実行することにより加入者端末のISPへの接続可否を判定する認証処理部13と、接続可と判定された場合、加入者端末の管理情報とISPとを対応付けて管理する接続管理部14と、受信したMACフレームを接続管理部14により管理された情報に従い転送するL2SW11と、を備える。
【選択図】 図1
Description
本発明は、局側装置、加入者側装置、およびそれらを接続する伝送媒体を有し、MAC(Media Access Control)フレームによりデータ送受信を行い、論理リンクと呼ばれる仮想的な通信コネクションを用いた通信を行うPON(Passive Optical Network)システムに関する。
イーサネット(登録商標)PONシステムは、局側装置(OLT:Optical Line Terminal)と複数の加入者側装置(ONU:Optional Network Unit)を光伝送媒体で接続し、MACフレームによりデータ送受信を行うことにより、PONシステムにイーサネット(登録商標)サービスを透過的に収容するものである。OLTは通信網事業者局に設置され、ONUは加入者の宅内や屋外に設置される。PONシステムを利用してFTTH(Fiber To The Home)によるインターネット常時接続サービスを提供する場合、ONUは複数の加入者端末を収容する。
ここで、下記特許文献1などにも示されているように、従来の一般的なインターネット常時接続サービスでは、IETF(Internet Engineering Task Force)で規定されているPPPoE(Point to Point Protocol over Ethernet(登録商標))プロトコルを使用して加入者端末とISP(Internet Service Provider)との間のユーザ認証を行っている。そのため、PPPoEヘッダがイーサネット(登録商標)パケットのペイロード部の一部を占有することになり、このPPPoEヘッダ分だけ伝送効率が低下する問題があった。この問題を解決するため、下記特許文献1に記載の中継装置では、認証VLAN機能として知られている方式を元に、PPPoE認証の代わりにIEEE802.1x認証を適用することによりPPPoEヘッダによるオーバーヘッドが発生しないようにしている。
近年のインターネット常時接続サービスでは、IP電話サービスやIP放送サービスなどの普及に伴い、PONシステムに接続される端末装置であるHGW装置をISPが提供する形態が増加してきている。これは、ISPが、提供しているIP電話サービス等への影響が発生しないように、PONシステムに接続された加入者端末として、自ISPが提供したHGW装置のみに制限したいという要求による。
ここで、従来のPPPoEによるユーザ認証を行うPONシステムにおいてこのような形態を実現する場合、一般的には、端末装置の接続を許可するかどうかを判断するためにIEEE(Institute of Electrical and Electronics)802.1xによる認証を行う。この方式では、ISPと接続するためにユーザ認証(PPPoEユーザ認証)と機器認証(IEEE802.1x認証)の2回の認証動作が必要となり効率が悪い。一方、上述したように、上記特許文献1に記載の中継装置を使用した場合、PPPoEユーザ認証が不要となりIEEE802.1x認証のみが実行されるようになる。
しかしながら、上記特許文献1に記載の中継装置を適用した場合、ONU配下に1つのHGW装置が接続され、その配下に複数の加入者端末が接続される形態においては、加入者端末から複数のISPネットワークへ接続することができない、という問題があった。
また、PPPoEによる認証を使用した場合に可能であった加入者端末から複数のISPへ接続する機能、と同等の機能を上記特許文献1に記載の中継装置を適用したシステムで実現する場合については、中継装置(アドバンスト・エッジ・スイッチ)で送信元MACアドレスを識別することで複数の加入者端末が異なるISPにアクセスすることが可能である、と触れられているのみで、ISPネットワーク側からのブロードキャストおよびマルチキャストのイーサフレームの扱いについては何も説明されていない、という問題があった。
本発明は、上記に鑑みてなされたものであって、認証処理の重複を回避し、IEEE802.1x認証を適用しつつ単一加入者端末と複数ISPとの接続を実現する局側装置、PONシステムおよびホームゲートウェイ装置を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、ISPに接続されたPONシステムの局側装置であって、加入者端末がISPへの接続を希望する場合、当該接続を希望する加入者端末とISPとの間の接続認証処理で使用する認証情報を当該加入者端末から取得し、取得した情報を使用してIEEE802.1x認証を実行することにより当該加入者端末のISPへの接続可否を判定する認証処理手段と、前記認証処理手段により接続可と判定された場合、前記認証情報を取得する際に受信したMACフレームに含まれている前記加入者端末の管理情報と接続が許可されたISPとを対応付けて管理する接続管理手段と、MACフレームを受信した場合、受信したMACフレームを前記接続管理手段により管理された情報に従い転送する転送手段と、を備えることを特徴とする。
この発明によれば、PONシステムにおいて加入者端末が認証処理を複数実行することなくISPに接続できる、という効果を奏する。
以下に、本発明にかかる局側装置、PONシステムおよびホームゲートウェイ装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1は、本発明にかかるPONシステムの実施の形態1の構成例を示す図である。このPONシステムは、局側装置(OLT)1と、光伝送媒体を介してOLT1に接続された複数の加入者側装置(ONU)2と、により構成される。OLT1はISPネットワーク(ISP)5を介してインターネット6へ接続されている。ONU2は加入者端末4を複数収容可能である。
図1は、本発明にかかるPONシステムの実施の形態1の構成例を示す図である。このPONシステムは、局側装置(OLT)1と、光伝送媒体を介してOLT1に接続された複数の加入者側装置(ONU)2と、により構成される。OLT1はISPネットワーク(ISP)5を介してインターネット6へ接続されている。ONU2は加入者端末4を複数収容可能である。
また、OLT1は、ブリッジ機能を実現する(フレーム転送を行う)レイヤ2スイッチ(L2SW)11と、レイヤ2スイッチ11に接続され、ONU2を収容するための複数のPONインタフェース(PON I/F)12と、加入者端末4がISP5へ接続する際の認証処理を行う認証処理部13と、加入者端末4とISP5の接続管理を行う接続管理部14と、を備える。そして、このような構成のOLT1は、IEEE802.1xで定義されているEAP(Extensible Authentication Protocol)認証フレームを配下のONU2経由で加入者端末4から受け取ると、それに含まれる加入者識別子およびISP識別子に基づいて認証種別を特定し、特定した認証種別に対応するIEEE802.1x認証を実行する。また、認証結果に基づいて認証要求元(EAP認証フレームの送信元)加入者端末4のMACアドレスとISP側のネットワーク(ISPネットワーク5)の接続処理を実行する。さらに、接続処理(接続設定)が完了した後は、接続処理で設定した内容に従い、MACフレームの転送処理を実行する。
つづいて、本実施の形態のPONシステムにおける加入者端末の認証処理および接続処理の詳細について、図2を参照しながら説明する。図2は、本実施の形態のPONシステムにおける通信シーケンスの一例を示す図であり、加入者端末4がISP5へ接続する場合のシーケンスを示している。この例では、加入者端末4の中の1つである加入者端末#1がISP5の中の一つであるISP#1へ接続する場合のシーケンスおよび加入者端末#2がISP#2へ接続する場合のシーケンスを示している。各接続シーケンスは同一であるため、これらを区別することなく説明を行う。
図2に示したように、ISPとの接続を開始する場合、加入者端末4(加入者端末#1,#2)は、接続を希望するISP(ISP#1,#2)との認証開始を通知するためのEAPOL−StartフレームをOLT1に向けて送信する。EAPOL−Startフレームを受信すると、OLT1では、その送信元の加入者端末4に対して認証処理部13がEAP−Request/Identityフレームを送信して認証情報を要求する。
認証要求(EAP−Request/Identityフレーム)を受け取った加入者端末4は、接続を希望するISP5の認証情報の一つであるユーザIDを含むEAP−Response/Identityフレームを返送する。ここで、ユーザIDは一般的に“userA@pro1”等という形式で記述され、“@”より前の部分“userA”がユーザの識別名称を、“@”の後ろの部分“pro1”がプロバイダの識別名称を表すようになっている。
そのため、OLT1では、加入者端末4から受け取ったEAP−Response/Identityフレームに含まれるユーザIDを認証処理部13が解釈することによりユーザ(ユーザの識別名称いわゆるユーザ名)とISP(接続を希望するISP)を認識する。そして、図3に例示したような、あらかじめ設定されている加入者情報テーブルを参照し、上記認識したユーザIDおよびISPを用いてユーザIDの照合処理を実行し、認証処理で使用する認証方式を特定する。図2では、一例として、ユーザIDの照合が正常に完了しEAP−MD5が特定された場合の動作について示している。特定した認証方式がEAP−MD5の場合、認証処理部13は、EAP−Request/Challengeフレームを加入者端末4へ送信し、パスワードを要求する。これに対して加入者端末4はEAP−Response/Challengeフレームにて認証情報の一つであるパスワードを応答(送信)する。認証処理部13は、受け取ったパスワードを精査し、その認証情報(パスワード)が正しければ、すなわち、図3に示した加入者情報テーブルに登録されたパスワードに一致していれば、加入者端末4のMACアドレスと接続先のISPネットワークの対応情報を、レイヤ2スイッチ11がMACフレームを転送する際に参照する転送テーブルに登録する。この転送テーブルの構成例を図4に示す。なお、図4に示した転送テーブルは、通常のMAC学習テーブルとは異なり、同一物理ポート上のMACアドレスを異なるグループとして管理できるようにする。
また、OLT1では、認証処理部13による認証処理が正常に終了(認証が成功)すると、次に、接続管理部14が、上記ユーザIDを解析することにより特定したISPネットワーク内のDHCP(Dynamic Host Configuration Protocol)サーバにアクセスし、認証処理を実行した加入者端末4が当該ISPネットワークと通信する際に使用するIPアドレスを取得する。なお、DHCPプロトコルにより自動取得を行うのではなく、ISPからあらかじめ指定されたIPアドレスを使うことや、別の方法で取得したIPアドレスを使用するようにしてもよい。
接続管理部14は、取得したIPアドレスを上記加入者端末4に対して通知し、IPアドレスが通知された(割り当てられた)加入者端末4は、以降、割り当てられたIPアドレスを使用したIPパケット通信が可能となる。
つづいて、インターネット6からIPパケットを受信した場合のOLT1の動作について示す。ISPネットワーク5を介してインターネット6からIPパケット(MACフレーム)を受信した場合、OLT1のレイヤ2スイッチ11は、受信したMACフレームの宛先を確認し、それがユニキャストを示すMACアドレスでありかつ保持している転送テーブルに当該MACアドレスが存在する場合(MACアドレスが転送テーブルに登録されている場合)、MACアドレスに対応する物理ポートへMACフレームを転送する。一方、転送テーブルに登録されていないMACアドレス、およびユニキャストではなくマルチキャストやブロードキャストを示すMACアドレスの場合には、MACフレームを受け取ったISPに対応するすべての物理ポートへMACフレームをフラッディングする。
このように、本実施の形態のPONシステムでは、加入者端末が接続を希望するISPに対してIEEE802.1x認証を実行し、OLTでは、加入者端末の送信元MACアドレス毎に、加入者端末から取得した認証情報(ユーザID,パスワード)を使用してIEEE802.1x認証を実行し、その認証結果に従って、加入者端末側の送信元MACアドレスとISP側のネットワークを接続することとした。これにより、ONUに接続された加入者端末とISPとをPPPoEユーザ認証を実行することなく接続できる。また、加入者端末は複数のISPと接続できる。
また、ISPからマルチキャストフレームまたはブロードキャストフレームを受信した場合、そのISPと接続されている全ての加入者端末へフラッディング転送することとしたので、マルチキャストMACフレーム、ブロードキャストMACフレームの転送も実施できるようになる。
なお、上記説明では、認証方式としてEAP−MD5を使用する場合の動作について示したが、EAP−TLSやEAP−TTLSなどの方式を使用するようにしてもよい。また、OLTがIEEE802.1x認証を行うのではなく、IEEE802.1x認証処理を実行する装置(認証用装置)を別途用意し、OLTはIEEE802.1xフレームを認証用装置へ転送し、上述した802.1x認証処理を認証用装置が実行するようにしてもよい。さらに、OLTは、IEEE802.1x認証フレームをISPネットワーク内の認証サーバに転送してISP側で認証処理を実行するようにしてもよい。
また、図4に示した転送テーブルを図5のように拡張するようにしてもよい。図5に示した転送テーブルを採用した場合、OLTは、宛先MACアドレスがブロードキャストMACアドレスであるARP(Address Resolution Protocol)フレームの転送処理において、ARPメッセージ内の宛先IPアドレスを確認し、それに対応する特定のONUのみに転送することが可能となる。これにより、宛先IPアドレスとは無関係な加入者端末で不要なフレームを受信させないようにできる。IPアドレスはARPメッセージを受信した際に学習しても良いし、認証処理終了時に自らARPメッセージを送信し、その応答メッセージから学習するようにしてもよい。また、認証処理において認証情報と一緒に取得するようにしてもよい。また、OLTはARPメッセージをすべてのONUに対して転送し、ONUがIPアドレスを確認し、転送する必要がある場合にのみARPメッセージを転送するようにしてもよい。これにより、ネットワークへの負荷を低減できる。
また、本実施の形態では、宛先がマルチキャストMACアドレスとなっているMACフレームをフラッディングすることとしたが、IGMP(Internet Group Management Protocol)スヌーピングを行うようにしてMACフレームを確認し、必要な転送先にのみ転送するようにすることも可能である。たとえば、レイヤ2スイッチ11が加入者端末から送信されたIGMPレポートメッセージの中身をスヌーピング(確認)することにより、どの加入者端末がどのマルチキャストグループに参加しているかを記憶しておく。そして、宛先がマルチキャストMACアドレスのMACフレームを受信した場合には、記憶しておいた情報に従い、受信したMACフレームの宛先を当該MACフレームの受信を希望している加入者端末のMACアドレスに変更した上で送信する。これにより、ネットワークへの負荷を低減できる。
実施の形態2.
つづいて、実施の形態2について説明する。実施の形態1では、加入者端末のMACアドレスごとに802.1x認証を行う場合について説明したが、本実施の形態では、実施の形態1の変形例について説明する。
つづいて、実施の形態2について説明する。実施の形態1では、加入者端末のMACアドレスごとに802.1x認証を行う場合について説明したが、本実施の形態では、実施の形態1の変形例について説明する。
たとえば、図6に示したように、ONUがホームゲートウェイ(HGW)を収容するシステムにおいては、HGW側の各MACアドレスに対してLLID(Logical Link ID)を割り当てることにより、ONUとOLTとの間では、LLIDを利用してHGW側のMACアドレスを識別することが可能である。このような構成をとる場合、OLTとONUの間ではLLID情報を含んだフレームを送受信する。具体的には、HGWからMACフレームを受信した場合、ONUは、送信元のMACアドレスに対応するLLIDを挿入した上でMACフレームをOLTへ転送し、OLTは受信したMACフレームからLLIDを取り除き、当該LLIDと対応付けられているISPへMACフレームを転送する。また、OLTは、ISPからMACフレームを受信した場合、このISPに対応するLLIDを挿入した上でMACフレームをONUへ転送し、ONUは受信したMACフレームからLLIDを取り除き、当該LLIDと対応付けられているMACアドレス宛に転送する。上記構成を採用する場合、OLTはMACアドレスに代えてLLIDでISPとの間の接続を管理する、すなわち、LLIDごとに802.1x認証を実行する。このようにしても実施の形態1と同様の効果が得られる。
また、OLTは、実施の形態1で説明した機能に加え、以下に示す機能を有するような構成とすることも可能である。具体的には、ISP5からARPフレーム(ARPメッセージを示すMACフレーム)を受け取った場合、レイヤ2スイッチ11が、それに含まれる宛先IPアドレスを確認し、当該IPアドレスに対応するMACアドレスを認識している場合(当該IPアドレスに関するARPフレームを過去に受信し、アドレス解決が済んでいる場合)、受信したARPフレームの宛先に設定されていたブロードキャストMACアドレスを当該IPアドレスに対応するMACアドレスに変更し、ユニキャスト転送する機能、を有する構成とすることも可能である。これにより、送信する必要のないMACアドレス宛にARPフレームが転送されるのを回避し、ネットワークへの負荷が必要以上に増大するのを防止できる。
また、レイヤ2スイッチ11が、マルチキャストグループに参加している加入者端末から送信されたIGMPレポートメッセージをスヌーピングし、得られた情報(どの加入者端末がどのマルチキャストグループに参加しているかを示す情報)に基づいて、マルチキャストフレームの宛先をマルチキャストMACアドレスからユニキャストMACアドレスに変換する機能、を有する構成としてもよい。これにより、ネットワークへの負荷が必要以上に増大するのを防止できる。
なお、上述した、ARPメッセージを受信した場合にブロードキャストMACアドレスをユニキャストMACアドレスに付け替えて転送する機能、IGMPレポートメッセージをスヌーピングして取得しておいた情報を利用してマルチキャストMACアドレスをユニキャストMACアドレスに付け替えて転送する機能、をONUに持たせた構成としてもよい。
実施の形態3.
つづいて、実施の形態3について説明する。実施の形態1では、ONUが加入者端末を収容する構成のPONシステムについて説明したが、本実施の形態では、これとは異なる構成のPONシステムについて説明する。
つづいて、実施の形態3について説明する。実施の形態1では、ONUが加入者端末を収容する構成のPONシステムについて説明したが、本実施の形態では、これとは異なる構成のPONシステムについて説明する。
図7は、実施の形態3のPONシステムの構成例を示す図であり、このPONシステムは、局側装置(OLT)1aと、実施の形態1の加入者側装置と同じ加入者側装置(ONU)2と、により構成される。ただし、ONU2は、加入者端末4ではなくホームゲートウェイ(HGW)3を収容し、HGW3が加入者端末4を収容する。
OLT1aは、実施の形態1で示したOLT1と同じ構成要素からなり、同等の機能を有する。ただし、ISP5との間の接続認証および接続管理をHGW3とISP5との間で行う。なお、図8は、実施の形態3のPONシステムにおける通信シーケンスの一例を示す図であり、加入者端末4がISP5へ接続する処理をHGW3が代行する場合のシーケンスを示している。この図8に示したシーケンスと図2に示したシーケンスを比較すると分かるように、本実施の形態の接続シーケンスは、加入者端末が実行していた処理をHGW3が実行する点を除いて実施の形態1の接続シーケンスと同一である。
HGW3は、少なくとも1つの接続先のISP5との間のIEEE802.1x認証情報を保持し、ONU2と接続するための物理インタフェースに、MACアドレスが個別に付与された仮想インタフェース(仮想ポート)を1つ以上保有する。そして、仮想インタフェース毎にISPとの間のIEEE802.1x認証を実行する機能、仮想インタフェース毎にIPアドレスを設定する機能、ISP側にIPパケットを転送する処理において、IP経路情報に基づいて仮想インタフェースを特定し、特定した仮想インタフェースに付与されたMACアドレスを送信元MACアドレスとしてMACフレームを送信する機能、ISP側から送信されたユニキャストMACフレームをMACアドレスが一致する仮想インタフェースで受信する機能、ISP側から送信されたマルチキャストMACフレームおよびブロードキャストMACフレームを全ての仮想インタフェースで受信する機能、を有している。
HGW3によるMACフレーム転送動作について説明する。HGW3は、加入者端末4からPONシステム側への送信するIPパケットを受け取ると、その宛先IPアドレスに基づいて経路情報を検索し、仮想インタフェースのうちどこから送信するかを決定する。なお、仮想インタフェースから送信するMACフレームの送信元MACアドレスには仮想インタフェースに割り当てられているMACアドレスを設定する。HGW3から送信されたMACフレームはONU2を経由してOLT1aに渡され、OLT1aでは、予め登録されていた情報に従ってレイヤ2スイッチ11によりISPネットワーク側へ転送される。
一方、ISPネットワーク側からのユニキャストMACアドレス宛のフレームは、OLT1aにおいて、予め登録されていた情報に従ってレイヤ2スイッチ11により転送され、ONU2を経由してHGW3に到着する。そして、HGW3の仮想インタフェースのうち、宛先MACアドレスに対応する仮想インタフェースで受信される。
図9は、ONU2からMACフレームを受信した場合のHGW3の動作例を示す図である。図9示したように、本実施の形態のHGW3は、WANポート(物理インタフェース)を介してMACフレームを受け取った場合、受信振り分け処理部は、その宛先MACアドレス(MAC DA(Destination Address))を確認し、宛先MACアドレスがユニキャストMACアドレスであれば、当該ユニキャストMACアドレスに対応する仮想インタフェースへMACフレームを転送する(図9の(1)で示した処理)。また、宛先MACアドレスがブロードキャストMACアドレスまたはマルチキャストMACアドレスであれば、MACフレームをコピーしてすべての仮想インタフェースへ転送する(図9の(2)で示した処理)。各仮想インタフェースへ転送されたMACフレームは、アドレス変換機能やファイやウォール機能を実現するNAT/FW部を介して加入者端末へ転送される。
たとえば、ISP5側からARPフレームが送信された場合、このARPフレームは、ブロードキャストフレームとしてOLT1aで受信される。すると、OLT1aでは、レイヤスイッチ11が、転送テーブルを参照し、当該ISP5に接続された全ての送信元MACアドレスが存在するONU2にフレームを転送する。同様に、ISP5からマルチキャストフレームが送信された場合も、当該ISP5に接続された全ての送信元MACアドレスが存在するONU2にフレームを転送する。HGW3では、ONU2経由で送信されたブロードキャストMACフレームまたはマルチキャストMACフレームを全ての仮想インタフェース上で受信し、それらを上位レイヤへ渡す。
なお、複数のISP5へ接続した場合のHGW3内のIP経路情報は、インターネットサービスの提供を受けるISP5側(複数のISPでインターネットサービスが提供される場合はどれか1つ)をデフォルトルートとし、特定のサービスを受けるISP5側へはスタティックな経路情報を設定するものとする。
このように、本実施の形態では、ONUに収容されたHGWが複数の仮想インタフェースを有する場合、仮想インタフェースごとに、ISPとの間でIEEE802.1x認証を行うこととした。これにより、単一のHGWで複数のISPと接続することができる。
また、HGWは、図10に示した動作を実行する機能をさらに有する構成としてもよい。すなわち、
(1)加入者端末(PC)から受信したEAPフレームを識別し、その送信元MACアドレスを記憶した上でONU(WAN)側にブリッジ(転送)する機能、
(2)ONU側から受信したEAPフレームの宛先MACアドレスを識別し、それが上記処理((1)で示した機能)を実行した際に記憶しておいたMACアドレスと一致する場合、加入者端末側にブリッジする機能、
(3)ERP認証結果フレームを識別し、認証成功を検出した後は、加入者端末からMACフレームを受信した場合、その送信元MACアドレスを識別し、記憶しておいたMACドレスと一致すればONU側へブリッジし、また、ONU側からMACフレームを受信した場合、その宛先MACアドレスを識別し、記憶しておいたMACアドレスに一致すれば加入者端末側へブリッジする機能、
を有する構成としてもよい。
(1)加入者端末(PC)から受信したEAPフレームを識別し、その送信元MACアドレスを記憶した上でONU(WAN)側にブリッジ(転送)する機能、
(2)ONU側から受信したEAPフレームの宛先MACアドレスを識別し、それが上記処理((1)で示した機能)を実行した際に記憶しておいたMACアドレスと一致する場合、加入者端末側にブリッジする機能、
(3)ERP認証結果フレームを識別し、認証成功を検出した後は、加入者端末からMACフレームを受信した場合、その送信元MACアドレスを識別し、記憶しておいたMACドレスと一致すればONU側へブリッジし、また、ONU側からMACフレームを受信した場合、その宛先MACアドレスを識別し、記憶しておいたMACアドレスに一致すれば加入者端末側へブリッジする機能、
を有する構成としてもよい。
このような構成とすることにより、従来のPPPoEによる接続サービスにおいて提供されていたHGWでのPPPoEブリッジ機能と同等のサービスを加入者端末に提供することができる。
以上のように、本発明にかかる局側装置は、PONシステムに有用であり、特に、単一加入者端末を複数のISPへ接続する利用形態を提供するPONシステムの局側装置に適している。
1、1a 局側装置(OLT)
2 加入者側装置(ONU)
3 ホームゲートウェイ(HGW)
4 加入者端末
5 ISPネットワーク(ISP)
6 インターネット
11 レイヤ2スイッチ(L2SW)
12 PONインタフェース(PON I/F)
13 認証処理部
14 接続管理部
2 加入者側装置(ONU)
3 ホームゲートウェイ(HGW)
4 加入者端末
5 ISPネットワーク(ISP)
6 インターネット
11 レイヤ2スイッチ(L2SW)
12 PONインタフェース(PON I/F)
13 認証処理部
14 接続管理部
Claims (11)
- ISPに接続されたPONシステムの局側装置であって、
加入者端末がISPへの接続を希望する場合、当該接続を希望する加入者端末とISPとの間の接続認証処理で使用する認証情報を当該加入者端末から取得し、取得した情報を使用してIEEE802.1x認証を実行することにより当該加入者端末のISPへの接続可否を判定する認証処理手段と、
前記認証処理手段により接続可と判定された場合、前記認証情報を取得する際に受信したMACフレームに含まれている前記加入者端末の管理情報と接続が許可されたISPとを対応付けて管理する接続管理手段と、
MACフレームを受信した場合、受信したMACフレームを前記接続管理手段により管理された情報に従い転送する転送手段と、
を備えることを特徴とする局側装置。 - 前記認証情報をユーザIDおよびパスワードとすることを特徴とする請求項1に記載の局側装置。
- 前記転送手段は、
ISPからブロードキャストMACフレームまたはマルチキャストMACフレームを受信した場合、当該受信したMACフレームの配信を希望する加入者端末のMACアドレスを予め保持しておいた情報に基づいて特定する処理、を実行し、MACアドレスを特定できた場合には、特定したMACアドレスを当該受信したMACフレームの宛先に設定して転送する
ことを特徴とする請求項1または2に記載の局側装置。 - 前記保持しておく情報を、過去にアドレス解決処理を実行した際に取得した情報および過去にIGMPスヌーピングを実行して取得した情報、とすることを特徴とする請求項3に記載の局側装置。
- 加入者端末を複数収容可能な加入者側装置、およびISPに接続された局側装置により構成されたPONシステムであって、
前記加入者側装置は、
加入者端末からMACフレームを受信した場合、当該MACフレームの送信元MACアドレスに対応するLLIDを挿入して転送し、また、局側装置からMACフレームを受信した場合、当該MACフレームに含まれているLLIDを削除して転送するMACフレーム転送手段、
を備え、
前記局側装置は、
加入者端末がISPへの接続を希望する場合、当該接続を希望する加入者端末とISPとの間の接続認証処理で使用する認証情報を前記加入者側装置経由で当該加入者端末から取得し、取得した情報を使用してIEEE802.1x認証を実行することにより当該加入者端末のISPへの接続可否を判定する認証処理手段と、
前記認証処理手段により接続可と判定された場合、前記認証情報を取得する際に受信したMACフレームに含まれているLLIDと接続が許可されたISPとを対応付けて管理する接続管理手段と、
前記加入者側装置からMACフレームを受信した場合、それに含まれるLLIDを削除する処理を実行し、また、前記ISPからMACフレームを受信した場合、その宛先MACアドレスに対応するLLIDを追加する処理を実行し、得られたMACフレームを前記接続管理手段により管理された情報に従い転送する転送手段と、
を備えることを特徴とするPONシステム。 - 前記認証情報をユーザIDおよびパスワードとすることを特徴とする請求項5に記載のPONシステム。
- 前記MACフレーム転送手段は、
局側装置からブロードキャストMACフレームまたはマルチキャストMACフレームを受信した場合、当該受信したMACフレームの配信を希望する加入者端末のMACアドレスを予め保持しておいた情報に基づいて特定する処理、を実行し、MACアドレスを特定できた場合には、特定したMACアドレスを当該受信したMACフレームの宛先に設定して転送する
ことを特徴とする請求項5または6に記載のPONシステム。 - 前記保持しておく情報を、過去にアドレス解決処理を実行した際に取得した情報および過去にIGMPスヌーピングを実行して取得した情報、とすることを特徴とする請求項7に記載のPONシステム。
- ISPに接続された局側装置および当該局側装置に接続された加入者側装置により構成されたPONシステムにおいて、MACアドレスが付与された1つ以上の仮想ポートを備え、当該仮想ポートに接続された加入者端末と当該加入者側装置との間でMACフレームの転送処理を行うホームゲートウェイ装置であって、
前記仮想ポートに接続された加入者端末がISPへ接続する際の接続認証処理で使用する認証情報を保持しておく認証情報保持手段と、
前記仮想ポートに接続された加入者端末がISPへの接続を希望する場合、前記認証情報保持手段により保持されている認証情報を使用し、当該ISPへの接続を希望する加入者端末が接続された仮想ポートのMACアドレスを送信元MACアドレスに設定したEAPフレームを送信することにより、当該加入者端末が接続を希望するISPとの間のIEEE802.1x認証処理を実行する認証処理実行手段と、
を備えることを特徴とするホームゲートウェイ装置。 - 加入者側装置から送信されたユニキャストMACフレームを受信する場合、その宛先MACアドレスと同じMACアドレスが付与された仮想ポートで受信し、また、加入者側装置から送信されたブロードキャストMACフレームまたはマルチキャストMACフレームを受信する場合、すべての仮想ポートで受信するMACフレーム処理手段、
をさらに備えることを特徴とする請求項9に記載のホームゲートウェイ装置 - 前記MACフレーム処理手段は、
前記認証処理実行手段により実行された認証処理が正常に終了したかどうかを監視し、正常終了を検出した場合には、当該認証処理で使用されたEAPフレームから加入者端末のMACアドレスを取得して保持しておき、以降、加入者側装置から受信したMACフレームの宛先MACアドレスが、ERPフレームから取得して保持しておいたMACアドレスと一致する場合、当該受信したMACフレームを加入者端末へ転送し、また、加入者端末から受信したMACフレームの送信元MACアドレスが、当該保持しておいたMACアドレスと一致する場合、当該受信したMACフレームを加入者側装置へ転送する
ことを特徴とする請求項10に記載のホームゲートウェイ装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008117874A JP2009267987A (ja) | 2008-04-28 | 2008-04-28 | 局側装置、ponシステムおよびホームゲートウェイ装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008117874A JP2009267987A (ja) | 2008-04-28 | 2008-04-28 | 局側装置、ponシステムおよびホームゲートウェイ装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009267987A true JP2009267987A (ja) | 2009-11-12 |
Family
ID=41393230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008117874A Pending JP2009267987A (ja) | 2008-04-28 | 2008-04-28 | 局側装置、ponシステムおよびホームゲートウェイ装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009267987A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860771A (zh) * | 2010-06-02 | 2010-10-13 | 中兴通讯股份有限公司 | 家庭网关识别入网的方法及系统 |
| CN102082979A (zh) * | 2011-01-28 | 2011-06-01 | 中兴通讯股份有限公司 | 在无源光网络中实现家庭网关功能的方法及装置 |
| JP2013051531A (ja) * | 2011-08-30 | 2013-03-14 | Fujitsu Ltd | 通信方法、通信装置、および通信プログラム |
| CN103067268A (zh) * | 2012-12-31 | 2013-04-24 | 华为技术有限公司 | 一种虚拟家庭网关服务提供方法及服务器 |
| JP2019102928A (ja) * | 2017-11-30 | 2019-06-24 | 三菱電機株式会社 | 認証スイッチ装置、ネットワークシステムおよび認証方法 |
-
2008
- 2008-04-28 JP JP2008117874A patent/JP2009267987A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860771A (zh) * | 2010-06-02 | 2010-10-13 | 中兴通讯股份有限公司 | 家庭网关识别入网的方法及系统 |
| CN102082979A (zh) * | 2011-01-28 | 2011-06-01 | 中兴通讯股份有限公司 | 在无源光网络中实现家庭网关功能的方法及装置 |
| WO2012100716A1 (zh) * | 2011-01-28 | 2012-08-02 | 中兴通讯股份有限公司 | 在无源光网络中实现家庭网关功能的方法及装置 |
| CN102082979B (zh) * | 2011-01-28 | 2016-06-15 | 中兴通讯股份有限公司 | 在无源光网络中实现家庭网关功能的方法及装置 |
| JP2013051531A (ja) * | 2011-08-30 | 2013-03-14 | Fujitsu Ltd | 通信方法、通信装置、および通信プログラム |
| CN103067268A (zh) * | 2012-12-31 | 2013-04-24 | 华为技术有限公司 | 一种虚拟家庭网关服务提供方法及服务器 |
| CN103067268B (zh) * | 2012-12-31 | 2017-02-08 | 华为技术有限公司 | 一种虚拟家庭网关服务提供方法及服务器 |
| JP2019102928A (ja) * | 2017-11-30 | 2019-06-24 | 三菱電機株式会社 | 認証スイッチ装置、ネットワークシステムおよび認証方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7733859B2 (en) | Apparatus and method for packet forwarding in layer 2 network | |
| US9705706B2 (en) | Multiple prefix connections with translated virtual local area network | |
| JP4652285B2 (ja) | ゲートウェイ選択機能を備えたパケット転送装置 | |
| JP3844762B2 (ja) | Eponにおける認証方法及び認証装置 | |
| US7469298B2 (en) | Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider | |
| JP4105722B2 (ja) | 通信装置 | |
| JP4081472B2 (ja) | ネットワーク装置のクラスタ管理方法及びその装置 | |
| JP4881829B2 (ja) | パケット転送システム | |
| US8306025B2 (en) | Method for implementing subscriber port positioning by broadband access equipments | |
| US20070195804A1 (en) | Ppp gateway apparatus for connecting ppp clients to l2sw | |
| WO2015135425A1 (zh) | 一种消息处理方法、接入控制器及网络节点 | |
| JP2019526983A (ja) | ブロードバンドリモートアクセスサーバの制御プレーン機能と転送プレーン機能の分離 | |
| WO2011069419A1 (zh) | 一种IPv6报文的处理方法、设备和系统 | |
| KR101376154B1 (ko) | 수동형 광 네트워크 내에서 인터넷 프로토콜 버전 6 메세지 전송을 위한 방법, 시스템 및 장치 | |
| WO2007141840A1 (ja) | 中継ネットワークシステム及び端末アダプタ装置 | |
| US20090225660A1 (en) | Communication device and operation management method | |
| US7894437B2 (en) | Determining transmission port in a GPON network | |
| WO2016192608A2 (zh) | 身份认证方法、身份认证系统和相关设备 | |
| JP2007536851A (ja) | セッションベースのパケット交換装置 | |
| JP2009267987A (ja) | 局側装置、ponシステムおよびホームゲートウェイ装置 | |
| US20080046974A1 (en) | Method and System Enabling a Client to Access Services Provided by a Service Provider | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| JP2008160868A (ja) | パケット転送装置 | |
| CN115086276A (zh) | 一种地址管理方法、装置、设备及系统 | |
| JP5094224B2 (ja) | アドレス解決方法および通信装置 |