[go: up one dir, main page]

JP4776582B2 - ネットワークシステム及び集約装置 - Google Patents

ネットワークシステム及び集約装置 Download PDF

Info

Publication number
JP4776582B2
JP4776582B2 JP2007105050A JP2007105050A JP4776582B2 JP 4776582 B2 JP4776582 B2 JP 4776582B2 JP 2007105050 A JP2007105050 A JP 2007105050A JP 2007105050 A JP2007105050 A JP 2007105050A JP 4776582 B2 JP4776582 B2 JP 4776582B2
Authority
JP
Japan
Prior art keywords
frame
mac address
communication device
authentication
modem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007105050A
Other languages
English (en)
Other versions
JP2008263437A (ja
Inventor
剛 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2007105050A priority Critical patent/JP4776582B2/ja
Publication of JP2008263437A publication Critical patent/JP2008263437A/ja
Application granted granted Critical
Publication of JP4776582B2 publication Critical patent/JP4776582B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークシステム及び集約装置に係り、特に、アクセスネットワーク網を所有する通信事業者、企業等において、ユーザ端末(802.1X Supplicantを実装)を収容し、複数のネットワーク接続サービスを提供する802.1XのAuthenticatorとして機能する802.1X集約装置を備えるネットワークシステム及び集約装置に関する。
ブロードバンドによるインターネット接続の普及やアクセス回線の技術進歩によりCATV(Community Antenna TeleVision)、ADSL(Asymmetric Digital Subscriber Line)、FTTH(Fiber To The Home)、高速無線アクセス等、様々なブロードバンド接続を提供する通信事業者がある。利用者数、サービス、トラフィック量の増加につれ、設備投資、設備維持、運用保守コストも同様に増加している。
一方、パケット転送装置等のネットワーク製品を開発、製造する機器メーカーにおいても、このような変化に対応すべく、大容量の回線速度、データ転送能力、パケット転送能力、新しいテクノロジーを実装、提供する必要がある。
通信事業者には、伝送路設備、伝送交換設備、その付帯設備を保持運用し、エンドユーザやISP(Internet Service Provider)等にサービスを提供する事業者(旧第一種通信事業者)と、旧第一種通信事業者に回線を借りてインターネット接続サービス、コンテンツサービス等を提供する事業者(旧第二種通信事業者)等に大きく分類することが出来る。旧第一種通信事業者において、旧第二種通信事業者に設備を提供する形態の事業者をホールセラーと呼ぶ。
本発明において焦点を当てるのは主にホールセラーである。ホールセラーの役割のひとつとしては、直接エンドユーザが接続されるアクセス回線、エンドユーザを収容するアクセスネットワーク網の保持、構築、運用、保守を行い、インターネット接続サービスを提供するISP等へ、その足回りとしての網サービスを提供することである。ISP等とは、アクセスネットワーク網のネットワーク上位箇所にて相互接続し、ユーザトラフィックの交換を行う。つまり、ホールセラーは、エンドユーザとISP等との間に位置し、TCP/IP(Transmission Control Protocol / Internet Protocol)による通信トラフィックの橋渡しを行う網機能を有する。TCP/IP通信の始点、終点となるエンドユーザ側の端末もしくはモデムと、ブロードバンドアクセス集線集約装置であるホールセラー側のBRAS(Broadband Remote Access Server)との間においては、業界標準としてPPP(Point−to−Point Protocol)プロトコルを使用するものがある。
PPPプロトコルを使用する利点としては、例えば、エンドユーザ接続要求時にユーザアカウント、パスワードによる認証機能が可能であること、L3(Layer 3)プロトコルをカプセル化することにより様々な回線を意識せずに使用可能であること、IPアドレスの付与が出来ること、アカウンティング情報の収集が出来ること、必要なときにだけIPアドレスを付与することにより、IPアドレス数の有効利用が可能であること等が挙げられる。
また、認証処理を装置内管理情報で行わず、遠隔の一元管理された情報を利用する方式としては、主にRADIUS(Remote Authentication Dial−In User Service)プロトコルを使用するものがある。RADIUSサーバを使用することで、エンドユーザが異なるBRASに接続される場合も認証情報を一括管理することが出来、エンドユーザ認証情報の追加、削除、変更管理が複数装置に分散されず煩雑にならなくなるという利点がある。
RADIUSクライアントとして動作するBRASとISP管理のRADIUSサーバは、認証要求、認証応答、アカウンティング情報等の交換をUDP(User Datagram Protocol)上にて行う。直接BRASと前述RADIUSサーバが通信する場合もあれば、ホールセラー、ISP管理のProxy RADIUS経由で通信する場合もある。Proxy RADIUSを使用することにより、BRASの指定するRADIUSサーバの指定を全BRASにて追加、削除、変更する必要が無くなる。例えば、他社ネットワークとの間で必要最低限のアクセスのみが通過出来るようにアクセス制御がされている場合、そのアクセス制限ポリシーを変更する必要が無くなる等の利点がある。
また、複数ISPを収容し、そのユーザトラフィックの送受信をする上で、アクセスネットワーク網およびBRASにおいて、異ISP間のトラフィックが混在させないことが必須となる。
しかし、ISP単位で物理的にスイッチやルータやBRASを複数台配置する構成は、アクセスネットワーク網全体の規模が収容ISP数に比例して大きくなってしまい、機器購入コスト、運用コスト、運用負荷も上がってしまう。その為、装置内に論理的な仮想ルータを複数動作させ、通信経路を論理的に分けることにより、その課題を解決させることが可能となる。
また、仮想ルータ毎に動的ルーティングプロトコルを動作させ上位ネットワークへ冗長性を持たせること、アクセスフィルタリングにより不要なトラフィックのみ通過させたりもしくは逆に必要なトラフィックのみを通過させること、QoS(Quality Of Service)制御によるトラフィックの帯域制限、帯域保証、キューイング方法、キューイングされたパケットにおいて優先的にパケットを送出するスケジューリング方法等を用いた優先制御、様々な条件でパケットの転送を行うポリシールーティング、パケットを他のプロトコルによってカプセル化するトンネリング等多数の技術が実装されている。
複数ISPへインターネットサービスを提供しない通信事業者、すなわちアクセスネットワーク網を所有し、かつ、インターネット接続サービスも提供する一体型の通信事業者においては、ISP毎トラフィックを分離する必要がなく、認証機能を有しないDHCP(Dynamic Host Configuration Protocol)を使用することがあるが、ホールセラーのように接続されるユーザが複数ISPのうちどのISPのユーザか判断する為に、PPPが使用されているのが通例である。
また、大規模なホールセラーになるとL2TP(Layer 2 Tunneling Protocol)トンネルを用いて、PPP接続をL3VPN(Layer 3 Virtual Network)にて離れたIPネットワーク越しに終端させる方式をとることが多い。
L2TPは、LAC(L2TP Access Concentrator)と、LNS(L2TP Network Server)に機能分担されている。エンドユーザの通信パケットを直接収容するLACは、認証要求時に使用されるユーザアカウントのドメイン部(フォーマット:ユーザアカウント@ドメイン名/サンプル:testuser1@testdomain1.com)毎に、設定された転送先のLNS向けにL2TPカプセル化を行う。また、LACは、LNS側からのL2TPパケットに対してはL2TPカプセル化解除を行い、エンドユーザへPPPフレームを送出する。LNS側でもインターネット側から受信したエンドユーザへ渡すべきパケットに対してL2TPカプセル化処理を行いLACへ転送し、LACから受信したエンドユーザの通信パケットをL2TPカプセル化解除しインターネット側へ送出する。このようにLAC、LNS間ではP2P(Peer−To−Peer)でL2TPによるカプセル化通信が行わる。LAC、LNS間に位置する中継スイッチ及びルータ等のパケット転送装置は、エンドユーザの送受信するPPPフレームを意識せずにIP上で動作するUDPフレームとしてパケット送受信を行う。
このような方式により、PPP終端させるLNSをISP毎分割したり、PPP接続数に応じLNSを変更させたりすることが出来、L2TPを使用しない方式に比べ、柔軟なネットワークを構築することが可能となる。
以上のようにBRASやL2TP LAC、LNSのようなブロードバンド集線集約装置は、多機能を実装、動作させ、さらにエンドユーザのアクセスが常に通過することにより、ホールセラーにとっては重要な位置付けとなっている。
また、有線、無線問わず、LAN(Local Area Network)環境において、ユーザとそのユーザの接続するスイッチ間で認証する仕組みが、IEEE(Institute of Electrical and Electronic Engineers)によって規定されており、認証手段としてEAP(Extensible Authentication Protocol)が使用され、これをLAN上で動作させることからEAPoL(EAP over LAN)と呼ばれる。EAPには、例えば、EAP−MD5(Message Digest algorithm 5)、EAP−TLS(Transport Layer Security)、EAP−PEAP(Protected EAP)、EAP−TTLS(Tunneled TLS)等の様々な認証アルゴリズムを使用して接続端末の認証を行うことが出来る。
802.1Xにおけるシステム構成要素は、スイッチやアクセスポイントに接続され、ネットワークへの接続を希望する端末もしくはモデムである「Supplicant」と、認証要求の処理及び認証許可した場合、Supplicantをネットワークへ接続許可する「Authenticator」と、認証データベースを保持し、Authenticatorからの認証要求に対し認証可、不可の応答をする「Authentication Server」との3つに大きく分けられる。
この方式によれば、LAN環境においてSupplicantのアクセス要求に応じてAuthenticatorは、Authentication Serverを用いて認証処理を行い、認証が許可された場合、Authenticatorの接続されるポートもしくはエンドユーザのMACアドレス単位でAuthenticatorへの接続を許可する。
近年、Ethernet(商標登録)の普及の広がり、技術の進歩により、通信事業者の機器からエンドユーザ側の端末もしくはモデムまでEthernet(商標登録)で接続されることが容易になってきている。その為、802.1Xを使用した認証方式もこのようなブロードバンドアクセス環境に適用出来ることが可能となって来ている。
また、特許文献1に802.1Xによるブロードバンドアクセス集線集約装置関する技術が開示されている。
特開2003−224577号公報 IETF、「The Point−to−Point Protocol (PPP)」、RFC1661 IETF、「PPP Extensible Authentication Protocol (EAP)」、RFC2284 IETF、「Extensible Authentication Protocol (EAP)」、RFC3748 IETF、「RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)」、RFC3579 IETF、「Layer Two Tunneling Protocol (L2TP)」、RFC2661 IETF、「Dynamic Host Configuration Protocol」、RFC2131 IETF、「Dynamic Host Configuration Protocol」、RFC1541 IETF、「Dynamic Host Configuration Protocol」、RFC1531 IEEE、「Port−Based Network Access Control」、802.1X
L2TPを使用した際の課題として、ユーザ通信に係るパケットが全てL2TPカプセル化されていることから、LACとLNSの間にある中継ルータ、及びスイッチ等のパケット転送装置においては、そのカプセルを意識することが出来ない。そのようなパケット転送装置では、ユーザ毎、サービス毎のパケットフィルタリング及びQoS制御をすることが難しい、という課題が挙げられる。
LAN環境にてPPPプロトコルを扱うPPPoE(PPP Over Ethernet)においても、PPPoE、PPPヘッダが付与され、パケットがカプセル化される為、同様の課題が起こり得る。
これは、例えば、図1の中継スイッチ102Bで示すように、上位ネットワーク方向または下位ネットワーク方向もしくは両方向へそれぞれ複数の接続ポートを持ち、同一ネットワーク内においてマルチポイントであるアクセスネットワークの構成において、多方面から流入するユーザ通信トラフィックが合流する場合に、QoS制御できないことの課題が発生する。
図9にて例を挙げて説明をする。
中継パケット転送装置903は、1G bps(Giga Bits Per Second)である3つのポート(925、926、927)に、カプセル化を実施する他のパケット転送装置(901、902)及びユーザ網904と接続され、マルチポイントのネットワークを構成している。この中継パケット転送装置903は、カプセル化された中身のパケット(エンドユーザが送受信するカプセル化されていないパケット)にあるポート番号、または、IPヘッダ内DSCP(Differentiated Services Code Point)値を参照することが出来ないものとする。
パケット転送装置(901、902)のQoS設定値は、例えば、表910にあるように、電話、TV電話のサービスを上限帯域100M bps(Mega Bits Per Second)に制限し、映像系のサービスを上限帯域400M bps、その他データ通信サービスにおいて上限帯域500M bpsとする。カプセル化を実施するパケット転送装置(901、902)が、カプセル化しないポート(921、922)からパケット(931、932)を受信し、カプセル化するポート(923、924)からトラフィックを出力する場合、自身でカプセル化処理を実施する。このとき、パケット転送装置(901、902)は、ポート番号またはDSCP値またはUser Priority値を参照し、サービスタイプのクラス分けの判断をし、QoS制御を実施することが出来る。その為、パケット転送装置(901、902)が、中継パケット転送装置903のポート927に繋がるユーザネットワーク904を宛先とした表911、912のようなトラフィックを受信した場合、その他データ通信サービスのパケットを100M bps分破棄するだけで、残りのトラフィックについては表913、914のようにQoS制御を実施してそれぞれユーザネットワーク904を宛先としてポート(923、924)からカプセル化したパケット(933、934)を出力する。なお、説明をわかりやすくする為、カプセル化によるパケットサイズの増加は無視する。
中継パケット転送装置903は、ポート(925、926)において表913、914のトラフィックを受信すると、これをユーザネットワーク904の接続しているポート927に繋がる次パケット転送装置へ転送する動作を行う。このとき、合流したフレームは合計で1G bpsを超過する。中継パケット転送装置903では、QoS設定の有無に関わらず、カプセル化されたパケット933、934のカプセル化される前のポート番号、DSCP値を参照することが出来ない為、3種のサービスパターンによるクラス分けを実施せずに、サービス種別に関係無く超過分のパケットを廃棄しパケット935を出力してしまう。その結果、トラフィック915のように本来優先して通過させたい電話、TV電話のサービスまで廃棄してしまうことが課題となる。
その為、L2TPネットワークを構成し、LAC、LNSのみにQoS制御を設定しただけでは、LAC、LNSにおいては優先度の高い通信パケットは保護されるものの、中継のパケット転送装置においてその通信パケットが合流した際には優先度の高い通信パケットを破棄しないように制御することが困難であった。優先度の高い電話サービス、TV電話サービス、映像サービスの通信パケットを優先出力するアクセスネットワーク網を提供する為及び高品質確保の為には、中継のパケット転送装置においてもQoS制御を設定することが必要となる。
カプセル化する際にEthernetヘッダ内のUser Priority値に優先度を反映させることにより、カプセルパケットが通過するネットワークにおいて一貫した優先度として扱う場合がある。しかし設定可能な優先度が3ビットしかないこと、中継パケット転送装置においては変更不可能であること、優先度を引き継ぐ為の実装と設定を必要とすること等のデメリットがある。
他の方式として上述した802.1Xにて考察すると、802.1XはL2TPのようなカプセル処理を行わないことからL2TPのようにLAC、LNSのような親子関係を持てず、柔軟かつAuthenticatorの冗長化、収容ユーザ数等による分散化を可能とするネットワーク機能を持たせることが難しい。また、802.1XにL2TPなどカプセル化する技術を用いると、上述のような課題が発生する。
ホールセラーのように多数のISPを収容するアクセス網においては、VLAN(Virtual LAN)により異ISP間の通信を遮断するように設計することは可能である。しかし、Supplicantが直接収容されるスイッチをAuthenticatorとした場合、アクセスネットワークが大規模であったり、広範囲に配置される程、管理対象であるAuthenticatorの台数が増加し、管理が煩雑となる課題がある。
AuthenticatorをSupplicantが直接収容されるスイッチより上位ネットワーク側に配置する場合(ユーザ〜Authenticator間の中継装置はEAPoLフレーム透過機能を使用する)は、当該スイッチの冗長化を構成する為には、L2ネットワークにフラッディングされたEAPoLをAuthenticator側で要不要の判断をすることが出来ない為、例えば、L2冗長化プロトコルであるSTP(Spanning Tree Protocol)等を使用してEAPoLフレームを処理させるAuthenticatorを選択させる方法となってしまう。この場合、セッション数や装置負荷、トラフィック量による分散化には対応出来なく、ネットワークのトポロジー管理も煩雑になってしまう。長時間の障害が致命的なネットワークを運用している場合、ユーザ数やトラフィック量に応じてAuthenticatorを分散することが必須となる為、現行802.1Xは大規模ネットワークには向いていないという課題がある。
また、特許文献1に開示された方式では、L2TPのようにトラフィックを特定のパケット転送装置に集約させることまでは記載されておらず、大規模なネットワークで使用することは想定していない。また、そのまま大規模なネットワークに適用することは困難である。
本発明は、以上の点に鑑み、802.1Xをベースに、EAPoLフレームを複数のAuthenticatorが受信するようなマルチポイントであるアクセスネットワークにおいて、エンドユーザが直接収容されるスイッチに、ISP単位等の条件を基に、EAPoLフレームを処理させたいAuthenticatorを選択させる機能を提供することを目的とする。また、本発明は、Authenticatorをグループ単位に配置したり、優先度に応じて変更したり、負荷により分散化したり、装置の障害及びメンテナンスにより切り替えをしたり、機器冗長プロトコルと組み合わせ冗長性を持たせることを可能とすることを目的のひとつとする。本発明は、L2TPのように柔軟なエンドユーザアクセスの集約方式を保ちつつ、パケット転送処理を向上させることを可能とし、中継装置においてもIPv4、IPv6の違いを意識すること無く、パケットフィルタリング、QoS制御が可能とすることを目的のひとつとする。また、本発明は、フレームをカプセル化せずに、802.1XのAuthenticatorに親子関係をもたせたネットワークシステムを提供することを目的のひとつとする。
802.1X Authenticator実装のスイッチ(図1 101)は、802.1X Supplicant実装のエンドユーザ端末もしくはモデムから直接通信フレームを受信する。スイッチは、エンドユーザ(図1 103)側の認証時のEAPoLフレームに含まれるユーザアカウントのドメイン部(フォーマット:ユーザアカウント@ドメイン名)、もしくはその他条件により、EAPoLフレームを転送すべきAuthenticator実装スイッチ(図1 104)及びISP単位等のVLAN空間を関連付けるテーブル(図2 211、図3)を参照する。スイッチは、EAPoLフレームの形式を一部変更し、他のAuthenticator実装スイッチ宛にEAPoLフレームを転送する手段を有する。一方、転送先のAuthenticatorからのEAPoLフレームについては、EAPoL転送を行う手段を有する。

本発明の第1の解決手段によると、
802.1xの規定に従い認証を行う端末又はモデムと接続される第1の通信装置と、
前記第1の通信装置とネットワークを介して接続され、前記端末又はモデムと認証サーバとの間で、該端末又はモデムの802.1x認証のための認証フレームであるEAPoLフレームを転送し、前記端末又はモデムが利用するISPネットワークに対して複数台が接続される複数の第2の通信装置と
を備え、
前記第1の通信装置は、
前記端末又はモデムから、宛先MACアドレスに予め定められたEAPoL用MACアドレスを付与し且つドメイン名情報又はプロバイダ識別情報を含む認証フレームであるEAPoLフレームを受信する受信部と、
ドメイン名情報又はプロバイダ識別情報に対応して、前記認証フレームであるEAPoLフレームを転送するための複数の前記第2の通信装置のMACアドレスが記憶された転送テーブルを有し、受信された認証フレームであるEAPoLフレームのドメイン名情報又はプロバイダ識別情報に基づき、前記転送テーブルを参照し、対応する前記第2の通信装置のMACアドレスのひとつを取得するフレーム転送先決定部と、
受信された認証フレームであるEAPoLフレームの宛先MACアドレスとして前記フレーム転送先決定部が取得した前記第2の通信装置のMACアドレスを設定し、前記第2の通信装置のMACアドレスに従い、認証フレームであるEAPoLフレームを前記第2の通信装置に転送するフレーム転送処理部と
を有し、
前記第2の通信装置は、
前記第1の通信装置から受信された認証フレームであるEAPoLフレームに従い、前記認証サーバに認証要求を送信することで、前記認証サーバと前記端末又はモデムとで認証がされるネットワークシステムが提供される。

本発明の第2の解決手段によると、
802.1xの規定に従い認証を行う端末又はモデムと認証サーバとの間で、該端末若しくはモデムの認証のための認証フレームであるEAPoLフレームを転送し、前記端末又はモデムが利用するISPネットワークに対して複数台が接続される複数の通信装置を備えたネットワークシステムにおいて、該通信装置とネットワークを介して接続され、及び、前記端末又はモデムと接続される集約装置であって、
端末又はモデムから、宛先MACアドレスに予め定められたEAPoL用MACアドレスを付与し且つドメイン名情報又はプロバイダ識別情報を含む認証フレームであるEAPoLフレームを受信する受信部と、
ドメイン名情報又はプロバイダ識別情報に対応して、前記認証フレームであるEAPoLフレームを転送するための複数の前記通信装置のMACアドレスが記憶された転送テーブルを有し、受信された認証フレームであるEAPoLフレームのドメイン名情報又はプロバイダ識別情報に基づき、前記転送テーブルを参照し、対応する前記通信装置のMACアドレスのひとつを取得するフレーム転送先決定部と、
受信された認証フレームであるEAPoLフレームの宛先MACアドレスとして前記フレーム転送先決定部が取得した前記通信装置のMACアドレスを設定し、前記通信装置のMACアドレスに従い、認証フレームを前記通信装置に転送するフレーム転送処理部と
を備え、
前記通信装置が認証フレームであるEAPoLフレームに従い、前記認証サーバに認証要求を送信することで、前記認証サーバと前記端末又はモデムとで認証がされるための集約装置が提供される。
本発明によると、802.1Xをベースに、EAPoLフレームを複数のAuthenticatorが受信するようなマルチポイントアクセスネットワークにおいて、エンドユーザが直接収容されるスイッチにISP単位等の条件を基に、EAPoLフレームを処理させたいAuthenticatorを選択させる機能を提供するができる。また、本発明によると、Authenticatorをグループ単位に配置したり、優先度に応じて変更したり、負荷により分散化したり、装置の障害、メンテナンスにより切り替えをしたり、機器冗長プロトコルと組み合わせ冗長性を持たせることを可能とし、L2TPのように柔軟なエンドユーザアクセスの集約方式を保ちつつ、パケット転送処理を向上させることを可能とすることができる。本発明によると、中継装置においてもIPv4、IPv6の違いを意識すること無く、パケットフィルタリング、QoS制御が可能な接続装置を提供することができる。また、本発明によると、フレームをカプセル化せずに、802.1XのAuthenticatorに親子関係をもたせたネットワークシステムを提供することができる。
図5は、802.1X EAP認証シーケンスの例である。
本実施の形態の動作を説明する前に、まずLAN環境のユーザ認証方式として定められている802.1Xの標準動作を図5を参照して説明する。
まず、802.1X Authenticatorより認証ネゴシエーション開始を意味するEAP−Request/Identityフレーム(502)を送出する。802.1X Supplicantとして動作するエンドユーザ端末もしくはモデムの実装によっては、Supplicant側より認証ネゴシエーション開始を意味するEAP−Startフレーム(501)が先に送出される場合もある。
EAP−Request/Identityフレームを受信し、かつネットワークへの接続を希望するSupplicantは、ユーザアカウント情報をEAPペイロード内に埋め込み、送信元MACアドレスフィールドにSupplicantのNIC(Network Interface Card)に設定されたMACアドレス、宛先MACアドレスフィールドにEAPoL用MACアドレス(01:80:c2:00:00:03)、Ethernet TypeフィールドにEAPoLフレームであることを示す値(888e)のEthernetヘッダを付与して、Ethernetフレーム形式にしてAuthenticator宛にEAP−Response/Identityフレーム(503)を送出する。
802.1X Authenticatorを実装させ、かつ機能させているスイッチは、宛先MACアドレスフィールド、Ethernet Typeフィールドが前述の通りであるフレームを受信すると、自装置宛のEAPoLフレームであることを認識し、他のスイッチに転送せずに自装置EAPプロセス部にて認証処理を行う。なお、スイッチの実装に依存するが、EAPoLフレームを自装置にて処理を行わず、そのままの形で同一VLAN内の他の装置に転送する機能(EAPoL透過機能)を持つものも存在する。
自装置でEAP処理を行うと判断したAuthenticatorは、自装置内に設定されたRADIUSサーバへ、EAPoLフレーム内の情報を基に、RADIUS Access−Requestパケット(504)を送出する。EAP認証アルゴリズムにより具体的な認証シーケンスは異なるが、AuthenticatorはSupplicantとRADIUSサーバ間の認証情報交換の為に、橋渡しの役割を果たす。
認証アルゴリズムが決まると、SupplicantとRADIUSサーバ間にてユーザアカウント、パスワードの照合を行う。RADIUSサーバにて認証許可された場合、RADIUSサーバは、RADIUS Attribute Tunnel TypeフィールドにSupplicantに対してどのVLAN空間に所属させるかを記した情報等をセットし、Authenticatorに対してRADIUS Access−Acceptパケット(510)を送出する。認証方式や認証照合の結果、認証許可されなかった場合は、RADIUS Access−Rejectパケットが送信され、当該Supplicantの認証処理を終了させる。
RADIUS Access−Acceptパケット(510)を受信したAuthenticatorは、Supplicantの接続する物理ポートやMACアドレスに対しVLAN空間への接続を可能とすると共に、Supplicantに対してEAP−Successパケット(509)を送出する。このEAP−Successパケットを受信したSupplicantは、DHCPを使用してIPアドレスを要求し、IPアドレスを払い出されるとTCP/IP通信が可能となる。また、Authenticatorは、ユーザアカウント、接続開始時間等のアカウンティング情報をRADIUSサーバへ送付し、課金ログ、アクセスログとして記録する。このようにして、Supplicantの認証を完了し、ネットワークに接続可能とする仕組みを提供している。
以下、本実施の形態の構成・処理について説明する。
図1は、本実施の形態のネットワーク構成例である。
エンドユーザ側の端末もしくはモデム(端末装置)103は802.1X Supplicant機能を実装する。端末もしくはモデム103は、ホールセラーの有するアクセスネットワーク網105内のスイッチ(101、102、104、109)等を中継し、及び、ユーザの希望するISP(106A、106B、106C)への相互接続箇所(108A、108B、108C)と、ISPの運用保持するネットワークを経由して、インターネット107へ接続する。
アクセスネットワーク網105は、例えば、Authenticator101と、中継L2スイッチ102と、Authenticator104とを備える。さらに、RADIUSサーバ(認証サーバ)110を備えてもよい。
Authenticator(第1の通信装置、集約装置)101(以下、本実施の形態においてAccess Authenticatorと呼ぶ)は、有線区間111、無線区間112、またはその両方を使ったアクセス回線にてエンドユーザ側の端末もしくはモデム103を直接収容する。また、Authenticator101は、802.1X Authenticatorに本実施の形態の手段を実装されるL2スイッチである。中継L2スイッチ102は、802.1X Authenticatorを実装しないもしくは機能させない。Authenticator(第2の通信装置)104(以下、本実施の形態においてServer Authenticatorと呼ぶ)は、802.1X Authenticatorに本実施の形態の手段を実装し、エンドユーザを直接収容していないがAuthenticatorとしての振る舞いをするL2もしくはL3スイッチである。例えば、Server Authenticator104は、Access Authenticator101、ネットワーク内の中継スイッチ102を介して端末もしくはモデム103に接続される。RADIUSサーバ(110A、110B、110C、110D)は、認証データベースを保持する。なお中継L2スイッチ102は、必ずしも存在する必要はない。
それぞれの装置に設定すべきVLANは、例えば、ISP単位等のポリシーでトラフィックを分割する為のVLAN、及び、管理者が装置を運用にてSNMP(Simple Network Management Protocol)やICMP(Internet Control Message Protocol)による状態監視や確認、設定変更、装置操作のする為に必要なVLANとなる。
ISP単位等のポリシーでトラフィック分割する為のVLANは、スイッチ101におけるスイッチ102と接続されるインターフェイス、スイッチ102におけるスイッチ101方向とスイッチ104方向と接続されるインターフェイス、スイッチ104におけるスイッチ102が接続されるインターフェイスにおいて設定されるこの間においては、フレーム転送をL2処理にて実施するように、ブロードキャストドメインとして構成する。
スイッチ104においては、ISP単位等のポリシー毎に自装置の所有するMACアドレス、場合によってはIPアドレスを持たせる。これは、後述する認証パケットを受信、処理するインターフェイスとして利用されたり、エンドユーザ側の端末もしくはモデム103のIPゲートウェイアドレスとしてDHCPで伝えられ、受信パケットをL3処理にて送受信する用途として利用される。
本実施の形態におけるネットワークの構成例のひとつとして、Server Authenticator104は、例えば冗長構成とすることができる。例えば、Server Authenticator(104A)とServer Authenticator(104B)が冗長構成となり、一方が現用系、他方が予備系となってもよい。また、Server Authenticator(104A)とServer Authenticator(104B)に負荷が分散するように分散化してもよい。
また、本実施の形態におけるネットワークの他の構成例として、Server Authenticator104は、例えば、ISP毎に備えることができる。例えば、ISP−Aに対応するServer Authenticator(104A)と、ISP−Cに対応するServer Authenticator(104C)を備えることができる。
Access Authenticator(101A)は、複数のServer Authenticator(104A、104B、104C等)のいずれかを選択してフレームを転送する。なお、Access Authenticator(101A)と、Server Authenticator(104A、104B、104C等)との通信は、中継スイッチ(102B等)を介してもよい。なお、Access Authenticator101、中継スイッチ102では、例えば、複数のServer Authenticator104からのフレームが合流する。中継スイッチ102は、複数のServer Authenticator104とAccess Authenticator101との間で通信されるフレームに対して、QoS制御(通信品質制御)を行う。
図2は、Access Authenticatorの構成図である。
Access Authenticator208(図1の101)は、例えば、受信部220と、フレーム種別判定処理部202と、EAPoLフレーム転送先決定部203と、フレーム転送処理部205と、フレーム転送テーブル206と、EAPoL転送テーブル211と、ユーザステータスリスト(第1のステータスリスト)212とを備える。フレーム転送処理部205は、例えば、EAPoLフレーム転送処理部204を有する。
受信部220は、端末又はモデム103からドメイン名情報又はISP識別情報(プロバイダ識別情報)を含む認証フレームを受信する。フレーム転送先決定部203は、例えば、受信された認証フレームのドメイン名情報又はプロバイダ識別情報に基づき、転送テーブル211を参照し、対応するServer Authenticator104のアドレス情報のひとつを取得する。フレーム転送処理部205は、取得されたServer Authenticator104のアドレス情報に従い、認証フレームをServer Authenticator104に転送する。
エンドユーザ端末もしくはモデム(図2 201、図1の111に相当)を直接収容するAccess Authenticator(図2 208)に本実施の形態により実装される情報には、例えば、EAPoL転送テーブル(図2 211、図3)、ユーザステータスリスト(図2 212、図4)がある。
図3は、EAPoL転送テーブルの構成例である。
EAPoL転送テーブル211には、例えば、ドメイン部情報またはISP識別情報(図3 310)と、物理ポート情報(図3 311)と、SupplicantのMACアドレス情報(図3 312)とに対応して、第1優先の転送先Server AuthenticatorのMACアドレス情報(図3 314)と、割当VLAN番号(図3 313)と、第2優先のServer AuthenticatorのMACアドレス情報(図3 316)と、各Server Authenticatorにそれぞれ対応する複数のServer Priority値(図3 315、321)と、監視間隔(図3 317)と、監視タイムアウト値(図3 318)と、監視回数(図3 319)と、Server Authenticator Status(図3 320)とが記憶される。
例えば、これらの情報は、適宜のRAM(Random Access Memory)に保持することができる。EAPoL転送テーブル211は、例えば、ドメイン部情報またはISP識別情報(図3 310)と、物理ポート情報(図3 311)と、MACアドレス情報(図3 312)のいずれかを検索条件として、対応する各情報を選択可能である。
ドメイン部情報は、EAPによる認証要求時に含まれる認証時に使用されるユーザアカウントのドメイン部情報である。ISP識別情報は、Supplicant機能を構成するプログラムがユーザアカウントに付与する。物理ポート情報(図3 311)は、予め装置内に設定されたエンドユーザからのフレームを受信する物理ポートを示す。
MACアドレス情報(図3 312)は、Supplicant103の予め設定されたMACアドレス情報である。Server AuthenticatorのMACアドレス情報(図3 314、316)は、エンドユーザ側から送信されるEAPoLフレームを転送させたいServer Authenticator104のMACアドレスを示す。この例では、第1優先、第2優先のServer Authenticator104があるが、ひとつでもよいし、三つ以上あってもよい。割当VLAN番号(図3 313)は、エンドユーザを前記検索条件を基にグループ分けする為のVLANを識別する番号(識別子)である。Server Priority値(図3 315)は、例えば、第2優先Server Authenticatorへフレーム転送を切り替える為の契機として使用される。
監視間隔(図3 317)、監視タイムアウト値(図3 318)、監視回数(図3 319)は、転送先Server Authenticatorの転送切り替え契機である稼動状態監視の為のICMPもしくは、IEEE 802.1ag、ITU−T Y.1731のようなEthernet OAM(operations、administration、maintenance)と呼ばれるL2上で動作する回線ヘルスチェック機能にて使用される。Server Authenticator Status(図3 320)は、Server Authenticatorの障害、Server Authenticatorまでの経路における障害によりServer Authenticatorへの到達不可を検知した場合や、Server Authenticatorより転送不可の旨を受け取った場合、またはこれらと逆にServer Authenticatorへ転送可と判断した場合、等にServer Authenticatorへの転送可不可状態(Active/Inactive)が記録される。
このEAPoL転送テーブル211は、運用管理者により追加、削除、任意の値に環境、運用ポリシーに合わせて変更することを可能とする。この情報はSupplicantとの間で使用されるEAPによる認証処理の際に使用される。
図4は、ユーザステータスリストの構成例である。
ユーザステータスリスト212は、Access Authenticator101においては、Server Authenticator104から受信したフレームをエンドユーザへ転送すべきかどうかを判断する為に利用される。
Access Authenticator101のユーザステータスリスト212は、例えば、SupplicantのMACアドレス401と、ユーザステータス情報402と、割当VLAN番号403と、転送先Server AuthenticatorのMACアドレス404とが記憶される。
Server Authenticator104からAccess Authenticator101へ送出されるフレームの宛先MACアドレスフィールドには、エンドユーザ側の端末もしくはモデム103のMACアドレスがセットされている。もし、中継網のFDB(Filtering DataBase)情報がエージングアウトしていた場合、L2ネットワークにおけるフレームのフラッディングが発生し、複数のAccess Authenticatorがフレームを受信する可能性がある。
その為、Access Authenticator101は、ユーザステータスリスト212を参照して宛先MACアドレスフィールドにセットされているMACアドレスが自配下のエンドユーザに対するものかどうかを判断する。例えば、エンドユーザ側の端末もしくはモデムのMACアドレス情報(図4 401)と、現在のユーザステータス情報(図4 402)とを保持したユーザステータスリスト212により、受信したフレームのVLANタグフィールドのVLAN番号とユーザステータスリスト212に記載された割当VLAN番号(図4 403)に合致し、かつ、受信フレームの宛先MACアドレスフィールドの情報が、ユーザステータスリスト212に記載されたユーザMACアドレスであるリスト401に合致するか判断する。合致した場合、Access Authenticator101は、このフレームをエンドユーザ側の端末もしくはモデム103に、VLANタグを外し、それ以外はそのままの形で転送する。前記条件に合致しないフレームを受信した場合は、当該フレームを廃棄する。なお、マルチキャストMACアドレス宛、ブロードキャストMACアドレス宛のフレームにおいてはこの限りではない。
Server Authenticator104においてもユーザステータスリスト(第2のステータスリスト)410を保持する。Server Authenticator104のユーザステータスリスト410は、例えば、SupplicantのMACアドレス411と、ユーザステータス情報412と、割当VLAN番号413とが記憶される。
これもL2ネットワークにおけるフレームフラッディングにより複数のServer Authenticator104からフレームがISP106に出力される可能性がある為である。
その為、Server Authenticator104は、受信フレームの送信元MACアドレスフィールドにセットされているMACアドレスが自配下のエンドユーザに対するものかどうかを判断する。例えば、Server Authenticator104は、エンドユーザ側の端末もしくはモデムのMACアドレス情報(図4 411)と現在のユーザステータス情報(図4 412)を保持したユーザステータスリスト410により、受信したフレームのVLANタグフィールドのVLAN番号とユーザステータスリスト410に記載された割当VLAN番号(図4 413)が合致し、かつ、受信フレームの送信元MACアドレスフィールドの情報が、ユーザステータスリストに記載されたユーザMACアドレスであるリストに合致するか判断する。合致した場合、Server Authenticator104は、このフレームをISP側にVLANタグを外し、それ以外はそのままの形で転送する。前記条件に合致しないフレームを受信した場合は、当該フレームを廃棄する。なお、マルチキャストMACアドレス宛、ブロードキャストMACアドレス宛のフレームにおいてはこの限りではない。
次に動作シーケンスを説明する。
図6は、本実施の形態の認証シーケンス図である。図7、図8は、EAPoLフレームフォーマットの例である。
まず、現行802.1X同様、エンドユーザ側の端末もしくはモデム103によるEAP−Startフレーム(図6 601)、もしくは、Access Authenticator101によるEAP−Request/Identityフレーム(図6 602)の送信にて、EAPネゴシエーションが開始される。
EAP−Request/Identityフレームを受信し、かつネットワークへの接続を希望するエンドユーザ側の端末もしくはモデム103は、予め定められたドメイン名を含むユーザアカウント情報又はISP識別情報をEAPペイロード704内に埋め込み、送信元MACアドレスフィールド702に自身のNIC(Network Interface Card)に設定されたMACアドレス、宛先MACアドレスフィールド701に予め定められたEAPoL用MACアドレス(01:80:c2:00:00:03)、Ethernet Typeフィールド703にEAPoLフレームであることを示す値(888e)のEthernetヘッダを付与し、Ethernetフレーム形式にしてAuthenticator宛にEAP−Response/Identityフレーム(図6 603)を送出する。
このEAP−Response/IdentifyフレームをSupplicant側接続インターフェイス(図2 220)にて受信したAccess Authenticator101は、フレーム種別判定処理部(図2 202)にて受信したフレームが、EAPoLフレームであることを認識する。例えば、フレームの宛先MACアドレス701、Typeフィールド703を参照して認識できる。
次に、EAPoLフレーム転送先決定部(図2 203)にEAP処理を引き渡す。なお、EAPoL以外であれば、フレーム転送処理部205に処理を引き渡す。EAPoLフレーム転送先決定部203では、このEAPoLフレームのペイロードに含まれるドメイン名やISP識別情報に基づき、上述のEAPoL転送テーブル情報211(図3)を検索し、このEAPoLフレームを転送すべきServer Authenticator104のMACアドレス情報(314、316)、ISP単位等にネットワークをグループ分けする為の管理VLAN番号(図3 313)等を取得する。なお、EAPoL転送テーブル情報211に記憶された複数のMACアドレス314、316からひとつのMACアドレスを取得する手法については後に詳しく述べる。
EAPoLフレーム転送処理部(図2 204)は、このEAPoLフレーム(図2 700、図7 700)のEthernetヘッダ内の宛先MACアドレスフィールド(図7 701)を、EAPoL用MACアドレス(01:80:c2:00:00:03)から、取得されたEAPoLフレームの転送先Server Authenticator104のMACアドレス(図3 314、316、図7 711)に付け替える。また、送信元MACアドレスフィールド(図7 712)、Ethernet Typeフィールド(図7 714)は変更せず、割当VLAN番号(図3 313、図7 713)を付加する。EAPoLフレーム転送処理部(図2 204)は、転送先Server Authenticator104宛にユニキャストフレームとして、フレーム転送テーブル(図2 206)の情報に従い、該当するServer Authenticator104宛にEAP−Response/Identityフレーム(図6 604)をServer Authenticator104側の接続インターフェイス(図2 221)より送信し、EAP処理をServer Authenticator104に委ねる。フレーム転送テーブル(図2 206)は、例えば、転送先のMACアドレスに対応して、出力するポート情報、インターフェイス情報が予め記憶されている。また、EAPoLフレーム転送処理部(図2 204)は、受信フレーム内の各情報、転送テーブル206から取得された各情報基づき、ユーザステータスリスト(図2 212、図4 212)にユーザMACアドレス情報(図4 401)、ユーザステータス情報(図4 402)、割当VLAN情報(図4 403)、転送先Server Authenticator104 MACアドレス情報(図4 404)を書き込む。
上記のようなMACアドレスの付け替えとは別に、EAPoLフレームを新たにUDP over IP、TCP over IPであるパケットにカプセル化することでも同様な動作が可能である。この場合は、Access Authenticator101及びServer Authenticator104にカプセル化された認証パケットを送受信する為のIPアドレスが必要となる。Access Authenticator101のEAPoL転送テーブル211内の転送先Server Authenticator MACアドレス314、316の代わりに、転送先Server Authenticator IPアドレスの情報を持たせる。パケットの送信先MACアドレスフィールド、送信先IPアドレスフィールドには互いのMACアドレス、IPアドレスがセットされ、Access Authenticator101とServer Authenticator104においてP2Pで通信すると共に、双方で発信するパケットのカプセル化、受信するパケットのカプセル解除化を行い、EAPoLフレームを取り出すことが出来る。その結果、上述と同様の認証動作を行え、Server Authenticator104に設定したIPアドレスは、後述のDHCPによるIPゲートウェイアドレスとして通知することも可能となる。
次に、Access Authenticator101が転送先Server Authenticator104を選択する方法について説明する。
転送元Access Authenticator101のEAPoLフレーム転送先決定部203では、認証要求をどのServer Authenticator104へ転送すべきかを判断しているが、これはEAPoL転送テーブルのServer Priority値(図3 315)に基づき判断されることができる。
Server Status(図3 320)がActive状態であるServer Authenticator104が複数存在する場合、Access Authenticator101におけるEAPoLフレーム転送アルゴリズムとしては、Priority値315が最も高いServer Authenticator104のみへEAPoLフレームを転送するモードと、Priority値315の重みに従ってEAPoLフレームの転送を割り振るモードを有する。これにより高い優先度から順にServer Authenticator104を使用していく運用形態と、優先度の重みに従い公平にServer Authenticator104を使用していく運用形態を選択することが可能となる。
例えば、図3の例においては、ドメイン名が「AAA.com」の受信フレームに対して、Priority値が高いMACアドレス情報「00:00:00:01:00:A1」を選択するようにしてもよいし、複数のPriority値「1000」、「500」に応じて、MACアドレス情報「00:00:00:01:00:A1」と「00:00:00:01:00:A2」を、2対1の割合(又は1対2の割合)で選択するようにしてもよい。
Priority値315が「0」となった場合は、Server Status320をInactive状態とし、当該Server Authenticator104へのEAPoLフレームの転送を停止する。
このPriority値315は、例えば、ヘルスチェックにてタイムアウトになった場合に「0」とされる他、接続ユーザ数に応じて増減することが出来る。接続ユーザ数1に対して1を増減することも出来れば、ユーザ接続数が1000を超える時点もしくは下回る時点で一度に1000を増減させることが出来る。Server Authenticator104においては、ユーザ接続数、接続ポートの使用帯域幅帯域幅、CPU使用率等の負荷に応じて、Access Authenticator101へ自装置への転送を停止するように(例えば、Priority値を0にするように)伝えること出来る。このようにServer Authenticator104の転送先を制御することが可能となり、負荷分散も可能となる。なお、負荷については上述の例以外にも適宜の負荷でもよい。
転送先Server Authenticator104を対象として、ICMPもしくは、IEEE 802.1agのようにL2上で動作する定期的な回線ヘルスチェックは、認証フレームを転送してよいかどうかの確認をする為に行われる。これは、Access Authenticator101がServer Authenticator監視間隔(図3 317)の間隔でヘルスチェックフレームを送出し、Server Authenticator104からの応答フレームがServer Timeout値(図3 318)までに応答が無い場合、Server監視回数(図3 319)から「1」を減算する。これを繰り返し、Server監視回数が「0」になった場合は、転送先のServer Authenticator104へフレームを転送すべきではないと判断し、Server Status(図3 320)をInactiveへ状態変更し、Server Priority値(図3 315)を「0」(最低値)とする。
Inactive状態であるServer Authenticator104へは一定時間認証フレームを転送せずに、転送先Server Authenticator104の対象外とする。一定時間後、Inactive状態のServer Authenticator104へのヘルスチェックを行い、転送してよいと確認が取れた場合(応答を受信した場合)は、Server Status320をActiveへ状態変更し、再び転送先Server Authenticator104の対象とする。
Access Authenticator101からEAP−Response/Identityフレーム604を受信したServer Authenticator104は、現行802.1X AuthenticatorがEAPoLフレームを受信した際と同様に、装置内に設定された認証サーバ110へRADIUS Access−Requestパケット(図6 605)にて認証要求を行う。この際に、Server Authenticator104は、受信フレームの各情報に基づき、ユーザステータスリスト410にユーザMACアドレス情報(図4 411)、ユーザステータス情報(図4 412)、割当VLAN情報(図4 413)を書き込む。
なお、Server Authenticator104は、エンドユーザ側の端末もしくはモデム103に対しEAP−Request/Identityフレームを送信していないが、EAP−Response/Identityフレームを受信し、EAP処理が出来るよう実装する。実際にエンドユーザ側の端末もしくはモデム103にはAccess Authenticator101からEAP−Request/Identityフレームが送信されている為、エンドユーザ側の端末もしくはモデム103のSupplicant実装を変更する必要は無い。
これより先は認証アルゴリズムに従い、エンドユーザ側の端末もしくはモデム103とRADIUSサーバ110の認証ネゴシエーションをAccess Authenticator101、Server Authenticator104が共に橋渡しするように、EAPoLフレームとRADIUSパケットの互換(図6 606〜611)を行う。この際もAccess Authenticator101からServer Authenticator104宛に送出されるEAPoLフレームは、宛先MACアドレスフィールドがEAPoLフレーム転送先のServer Authenticator104のMACアドレスに変更される。一方、Server Authenticator104からAccess Authenticator101宛に送出されるEAPoLフレームの宛先MACアドレスフィールドには、エンドユーザ側の端末もしくはモデム103のMACアドレス(図8 805)を、送信元MACアドレスフィールド(図8 802)にはServer Authenticator104のMACアドレスをセットし送出する。Access Authenticator101からエンドユーザ側の端末もしくはモデム103に対して送出されるEAPoLフレームは、VLANタグ(図8 803)を取り除き、宛先MACアドレスフィールド(図8 801、図8 811)、送信元アドレスフィールド(図8 802、図8 812)はそのままの形で送出する。
RADIUSサーバ110によってユーザアカウント、パスワードを照合した結果、認証許可となった場合、RADIUSサーバ110からServer Authenticator104へRADIUS Access−Accept(図6 612)パケットによりRADIUS Attribute Tunnel Typeフィールドにエンドユーザ側の端末もしくはモデム103が接続されている物理ポート、もしくはそのMACアドレスに対してどのVLAN空間に所属させるかを記した情報を含む、各種RADIUS Attributeを送出する。これにより、Server Authenticator104は、EAPoLフレームにて認証要求を受信したMACアドレスに対して該当ドメイン通信用VLAN番号を割り当て、エンドユーザ側の端末もしくはモデム103を適切なVLAN空間に接続可能とすると共に、EAP−Successフレーム(図6 614)をAccess Authenticator101へ送出する。
また、RADIUSサーバ110からのRADIUS Access−Acceptパケットによって、エンドユーザに通知するエンドユーザが接続されるVLAN情報が誤って伝えられてしまった場合、接続ポリシーの異なるドメインが同じVLANを割り当ててしまうおそれがある。その為、Server Authenticator104にて各ドメインで使用されるVLAN番号を保持し、RADIUS Access−Acceptパケットで割り当てられたVLAN番号より優先し、ユーザ接続MACアドレスが接続されるVLAN番号を決定するという実装をした方が、安定したアクセスネットワーク網を維持することが出来る。
EAP−Successフレームを受信したAccess Authenticator101は、宛先MACアドレスフィールド801とVLANタグ803を精査し、現在認証ネゴシエーション中のユーザステータスリスト212に記載されているVLAN番号とユーザMACアドレス値に一致した場合、ユーザステータス情報402を更新し(例えば、接続中とし)、エンドユーザ側の端末もしくはモデム103をVLAN空間に接続可能とすると共に、EAP−Successフレーム(図6 615)を送出する。
上述の動作を経て、エンドユーザ側の端末もしくはモデム103は、Server Authenticator104までのL2通信を可能とする。
その後、EAP−Successフレームを受信したエンドユーザ側の端末もしくはモデム103は、IPアドレスを取得する為に、DHCPパケット(アドレス配布要求パケット)をAccess Authenticator101方向にブロードキャスト送信する。このDHCPパケットは、複数のServer Authenticator104まで到達しまうことから、接続させるべきでないServer Authenticator104にも届いてしまうことを防ぐ為の実装が必要となる。
基本的には、複数のServer Authenticator104宛にDHCPパケットが届いたとしても、そのフレームを必要とするServer Authenticator104のみがDHCP処理(アドレス配布処理)を続行する方式でも可能である。この方式では、Server Authenticator104が、DHCPパケットの送信元MACアドレスフィールドを参照し、当該MACアドレスからのフレーム転送を許可しているかどうかユーザステータスリスト410を参照することで、自配下にそのユーザが接続されているかどうかを確認する。接続されている場合(ユーザステータスリスト410に該当するMACアドレスが記憶されている場合)は、DHCP処理を行い、接続されていない場合は、以後のDHCP処理を行わない実装とする。
もしくは、Access Authenticator101は、受信したDHCPパケットの送信元MACアドレスフィールドに基づきユーザステータスリスト212参照することで、エンドユーザ側のMACアドレスが認識出来る。また、ユーザステータスリスト212を参照することで、どのServer Authenticator104にフレームを転送すべきかを知っている為(図4 404)、送信先MACアドレスフィールドを当該Server Authenticator104のMACアドレス404に変更し、DHCPパケットを送信する。
以上の方式によれば、アクセスネットワーク網にDHCPパケットが氾濫することを防ぐことが可能となる。
DHCPパケットを自装置で処理すると判断したServer Authenticator104は、ホールセラーもしくはISP等の管理するDHCPサーバへDHCPリレーを行い、DHCP情報の交換を行う。
また、Access Authenticator101は、エンドユーザ側の端末もしくはモデム103に対しては、受信したDHCPパケットを他のエンドユーザ側へ送出しない方が好ましい。これは、エンドユーザ側でDHCPサーバを稼動させてしまうことにより、意図しないIPアドレスが付与されてしまうことを防ぐ為である。
上述のような動作により、最終的には通常DHCP処理と同様にエンドユーザ側の端末もしくはモデム103へIPアドレス、デフォルトゲートウェイのIPアドレス、DNS(Domain Name System)サーバ等の情報が付与される。
エンドユーザ側の端末もしくはモデム103は、IP通信によるデフォルトゲートウェイとしてServer Authenticator104のVLAN毎に保持されるIPアドレスが設定されることが出来る。エンドユーザ側の端末もしくはモデム103からのインターネットアクセスはIPパケットのファーストホップをServer Authenticator104とし、その間の通信はPPPやL2TPのようなヘッダが付与されず、VLANタグが付与されただけのイーサネットフレームにて処理することが可能となる。その為、近年L2スイッチがL3、L4ヘッダフィールドの条件を基にパケットフィルタリング、QoS制御等のパケット転送処理を可能とする実装が多いことから、ユーザ単位(例えば、優先処理させたいMACアドレス、プレミアムサービスドメイン用VLANタグ)、サービス単位(電話、映像サービス等をL3、L4ヘッダフィールドにより識別)でのトラフィックエンジニアリングが行え、かつ柔軟なネットワークを構築可能とし、現行では難しい効率よくかつ高品質なキャリアアクセスネットワークを実現することが出来るようになる。
エンドユーザ側の端末もしくはモデム103に対しての死活監視として、Access Authenticator101はEAP−Request/Identityフレーム(図6 615)にて定期的にチェックを行う。このフレームに対してエンドユーザ側からのEAP−Response/Identityフレーム(図6 616)による応答が無い場合、エンドユーザが使用不可になったことを認識する。Access Authenticator101は、そのMACアドレスを通信VLANから削除すると共に、送信元MACアドレスフィールドをそのエンドユーザの端末もしくはモデム103のMACアドレス、送信先MACアドレスフィールドを転送先Server Authenticator104のMACアドレスとしたEAP−Logoffフレーム(図6 617)を送信し、Server Authenticator104へもそのMACアドレスが使用不可になったことを伝える。これを受信したServer Authenticator104においても同様に、転送不可としてエンドユーザMACアドレスの削除を行う。
また、所定のMACアドレスを送信元としたトラフィックが一定時間経っても増加しない場合、接続されているものの無通信であることを認識し、同様の動作を行わせることが出来る。これによりIPアドレスの有効活用が可能となる。
Server Authenticator104は、エンドユーザのネットワーク接続時(具体的にはEAP−Successフレームを送信した際)、切断時(具体的にはEAP−Logoffフレームを受信した際)に、RADIUSサーバ110へアカウンティング情報を送付する。ただし、同一VLAN内の通信はServer Authenticator104を介さず、その手前の中継スイッチ102にて折り返し通信される場合があり、正しく送受信フレーム数、オクテット数が取得出来ないことも考えられる。また、Server Authenticator104にて一括したアクセスフィルタリング等の制御をする場合も、中継スイッチ102での折り返し通信を許可することで、そのアクセスフィルタリング制御が意味を成さなくなってしまう場合もある。その為、エンドユーザの送出するトラフィックは、全てServer Authenticator104を介して通信させるように実装させる場合、中継スイッチ102においてAccess Authenticator101の接続されている側のポートから入力されたフレームを、Server Authenticator104の接続されている側のポートのみに転送することで可能となる。
以上による動作により、802.1X認証を大規模ネットワークへ適用させ、かつ汎用的に拡張した方式を用いることにより仕様用途が広がると考えられる。
また、従来の課題と本実施の形態の効果として補足すると、PPPプロトコルやL2TPプロトコルは、トンネルセッションの維持、ユーザセッションの維持、PPP、L2TPによるカプセル化、PPP、L2TPカプセル化解除のように、そのプロトコルの複雑性からソフトウェア部で処理され、結果CPU(Central Processing Unit)に掛かる負荷が高くなることから、パケット転送能力が大幅に落ちることがある。
その場合、LAC、LNSの持つ回線の伝送速度(ワイヤーレート)での処理が出来ず、それに見合うだけのユーザ数を効率よく収容させることが出来ない場合があった。
一方、ハードウェアで多くの処理が行われる場合でも、複雑なプロトコル処理に特化した開発が必要となってしまうことから、機器ベンダーにおいて、開発工数、費用が掛かってしまうことになり、それが機器の価格に反映された結果、機器購入コストが高価なものとなってしまう。従って、このコストの制約により、通信事業者が購入出来る機器台数に制限が発生する場合があった。
上記の理由から、通信事業者が毎年増加している通信量に対応していく上で、LAC、LNSが、アクセス網のボトルネックになってしまうことになってしまうという課題があった。
また、ユーザへのサービスとして、IPv4(Internet Protocol Version 4)に加え、IPv6(Internet Protocol Version 6)の提供により、PPP処理部ではNCP(Network Control Protocol)ネゴシエーションにIPv4用としてIPCP (Internet Protocol Control Protocol)、IPv6用としてIPv6CP(Internet Protocol Version 6 Control Protocol)をそれぞれ実装、動作させる必要があり、マルチキャストによる映像配信等を行う場合は、さらなる処理負荷が掛かることが考えられる。
このように認証時以外での通常通信フレームに対してのカプセル化処理や、IP4CPとIPv6CPの複数プロセスが動作することが、CPU負荷要因の一部である場合、本実施の形態では認証時以外の通常通信フレームに対してはソフトウェア介在をしない為、CPU負荷を軽減させることが可能となる。
本発明は、例えば、アクセスネットワーク網を所有する通信事業者、企業等において、ユーザ端末(802.1X Supplicantを実装)を収容し、複数のネットワーク接続サービスを提供する産業に利用可能である。
本実施の形態のネットワーク構成図。 Access AuthenticatorにおけるSupplicantからのEAPoLフレーム受信時の処理機構。 Access AuthenticatorにおけるEAPoL転送テーブルの例。 Access Authenticator、Server Authenticatorにおけるユーザステータスリストの例。 802.1X EAP認証シーケンスの例。 本発明によるEAP認証シーケンスの例。 EAPoLフレームフォーマットの例(1)。 EAPoLフレームフォーマットの例(2)。 課題の説明図。
符号の説明
101、208 Access Authenticator
102 中継スイッチ
103、201 Supplicant(エンドユーザ端末、モデム)
104、210 Server Authenticator
105 アクセスネットワーク網
106 ISP
107 インターネット
108 ホールセラー、ISP相互接続箇所
109 相互接続スイッチ
110 RADIUSサーバ
111 アクセス回線(有線)
112 アクセス回線(無線)
202 フレーム判定処理部
203 EAPoLフレーム転送先決定部
204 EAPoLフレーム転送処理部
205 フレーム転送処理部
206 フレーム転送テーブル
207 中継スイッチ網
211 EAPoL転送テーブル
212 ユーザステータスリスト
220 Supplicant側インターフェイス
221 Server Authenticator側インターフェイス
310 ドメイン名もしくはISP識別情報
311 物理ポート番号
312 Supplicant MACアドレス
313 割当VLAN
314 転送先Server Authenticator1 MACアドレス
315 転送先Server Authenticator1 Priority値
316 転送先Server Authenticator2 MACアドレス
317 Server Authenticator監視間隔
318 Server Authenticator Timeout値
319 Server Authenticator監視回数
320 転送先Server Authenticator1 Status
321 転送先Server Authenticator2 Priority値
401 Supplicant MACアドレス(Access Authenticator)
402 ユーザステータス(Access Authenticator)
403 割当VLAN(Access Authenticator)
404 転送先Server Authenticator MACアドレス(Access Authenticator)
411 Supplicant MACアドレス(Server Authenticator)
412 ユーザステータス(Server Authenticator)
413 割当VLAN(Server Authenticator)
700 SupplicantからAccess AuthenticatorへのEAPoLフレーム
701、711、801、811 宛先MACアドレス
702、712、802、812 送信元MACアドレス
703、714、803、813 Ethernet Type
704、715、804、814 EAPoLペイロード
710 Access AutheticatorからServer AuthenticatorへのEAPoLフレーム
713、803 VLANタグ
800 Server Authenticator→Access Authenticator EAPoLフレーム
810 Access Authenticator→Supplicant EAPoLフレーム
901、902 パケット転送装置(カプセル化実施装置、QoS設定あり)
903 パケット転送装置(非カプセル化実施装置、QoS設定無効)
904 ユーザ側ネットワーク
910 パケット転送装置 QoS設定値
911 ポート921にて受信するトラフィックパターン
912 ポート922にて受信するトラフィックパターン
913 ポート923より送信するトラフィックパターン
914 ポート924より送信するトラフィックパターン
915 ポート927より送信するトラフィックパターン
921〜927 ポート(1G bps)
931、932 パケット(カプセル化ヘッダ無)
933〜935 パケット(カプセル化ヘッダ有)

Claims (13)

  1. 802.1xの規定に従い認証を行う端末又はモデムと接続される第1の通信装置と、
    前記第1の通信装置とネットワークを介して接続され、前記端末又はモデムと認証サーバとの間で、該端末又はモデムの802.1x認証のための認証フレームであるEAPoLフレームを転送し、前記端末又はモデムが利用するISPネットワークに対して複数台が接続される複数の第2の通信装置と
    を備え、
    前記第1の通信装置は、
    前記端末又はモデムから、宛先MACアドレスに予め定められたEAPoL用MACアドレスを付与し且つドメイン名情報又はプロバイダ識別情報を含む認証フレームであるEAPoLフレームを受信する受信部と、
    ドメイン名情報又はプロバイダ識別情報に対応して、前記認証フレームであるEAPoLフレームを転送するための複数の前記第2の通信装置のMACアドレスが記憶された転送テーブルを有し、受信された認証フレームであるEAPoLフレームのドメイン名情報又はプロバイダ識別情報に基づき、前記転送テーブルを参照し、対応する前記第2の通信装置のMACアドレスのひとつを取得するフレーム転送先決定部と、
    受信された認証フレームであるEAPoLフレームの宛先MACアドレスとして前記フレーム転送先決定部が取得した前記第2の通信装置のMACアドレスを設定し、前記第2の通信装置のMACアドレスに従い、認証フレームであるEAPoLフレームを前記第2の通信装置に転送するフレーム転送処理部と
    を有し、
    前記第2の通信装置は、
    前記第1の通信装置から受信された認証フレームであるEAPoLフレームに従い、前記認証サーバに認証要求を送信することで、前記認証サーバと前記端末又はモデムとで認証がされるネットワークシステム。
  2. 前記転送テーブルは、ドメイン名情報又はプロバイダ識別情報に対応して、予め定められた仮想ネットワーク識別子がさらに記憶され、
    前記フレーム転送先決定部は、受信された認証フレームのドメイン名情報又はプロバイダ識別情報に基づき、前記転送テーブルから対応する仮想ネットワーク識別子をさらに取得し、
    前記フレーム転送処理部は、取得された仮想ネットワーク識別子を受信された認証フレームに付加して前記第2の通信装置に転送する請求項1に記載のネットワークシステム。
  3. 前記転送テーブルは、複数の前記第2の通信装置のMACアドレスにそれぞれ対応する複数の優先度情報をさらに含み、
    前記フレーム転送先決定部は、
    該優先度情報に従い、複数の前記第2の通信装置のMACアドレスをひとつ取得する請求項1に記載のネットワークシステム。
  4. 前記フレーム転送先決定部は、認証フレームに含まれるドメイン名情報又はプロバイダ識別情報に基づき前記転送テーブルの対応する複数の優先度情報を参照して、優先度が最も高い前記第2の通信装置のMACアドレスを取得する請求項に記載のネットワークシステム。
  5. 前記フレーム転送先決定部は、認証フレームに含まれるドメイン名情報又はプロバイダ識別情報に基づき前記転送テーブルの対応する複数の優先度情報を参照して、該複数の優先度情報が示す値に応じて転送先の前記第2の通信装置を振り分けるように、前記第2の通信装置のMACアドレスをひとつ取得する請求項に記載のネットワークシステム。
  6. 前記第1の通信装置は、前記第2の通信装置にヘルスチェックフレームを送信し、
    前記第2の通信装置から該ヘルスチェックフレームに対する応答が所定時間内にない場合、前記転送テーブルの該第2の通信装置のMACアドレスに対応する優先度情報を最低値に更新する請求項に記載のネットワークシステム。
  7. 前記第1の通信装置は、前記第2の通信装置における端末接続数、接続ポートの使用帯域幅、CPU使用率のいずれかを含む負荷に応じて、前記転送テーブルの該第2の通信装置のMACアドレスに対応する優先度情報を更新する請求項に記載のネットワークシステム。
  8. 前記第1の通信装置と複数の前記第2の通信装置との間に配置され、複数の前記第2の通信装置と前記第1の通信装置との間で通信されるフレームに対して、通信品質制御を行う中継装置
    をさらに備え、
    前記第1の通信装置と前記第2の通信装置は、フレームをカプセル化せずに互いに通信する請求項1に記載のネットワークシステム。
  9. 前記第1の通信装置は
    前記端末又はモデムのMACアドレスと仮想ネットワーク識別子が対応して記憶される第1のステータスリスト
    をさらに有し、
    前記端末又はモデムから受信された認証フレーム内の端末又はモデムのMACアドレスと、前記転送テーブルから取得された仮想ネットワーク識別子とを前記第1のステータスリストに記憶し、
    前記第2の通信装置から、宛先MACアドレスと仮想ネットワーク識別子を含むフレームを受信すると、
    受信したフレームの仮想ネットワーク識別子と前記第1のステータスリストに記憶された仮想ネットワーク識別子とが合致し、かつ、受信したフレームの宛先MACアドレスが、前記第1のステータスリストに記憶された端末又はモデムのMACアドレスに合致するか判断し、
    いずれも合致した場合、受信されたフレームを前記端末又はモデムに仮想ネットワーク識別子を外して転送し、及び、少なくともいずれかが合致しない場合、受信されたフレームを廃棄する請求項に記載のネットワークシステム。
  10. 前記第2の通信装置は
    前記端末又はモデムのMACアドレスと、仮想ネットワーク識別子とが対応して記憶される第2のステータスリスト
    をさらに有し、
    前記第1の通信装置から受信された認証フレーム内の端末又はモデムのMACアドレス及び仮想ネットワーク識別子を前記第2のステータスリストに記憶し、
    前記端末又はモデムから、送信元MACアドレスと仮想ネットワーク識別子を含むフレームを受信すると、
    受信したフレームの仮想ネットワーク識別子と前記第2のステータスリストに記憶された仮想ネットワーク識別子とが合致し、かつ、受信したフレームの送信元MACアドレスが、前記第2のステータスリストに記憶された端末又はモデムのMACアドレスに合致するか判断し、
    いずれも合致した場合、受信したフレームをプロバイダ側のネットワークに仮想ネットワーク識別子を外して転送し、及び、少なくともいずれかが合致しない場合受信したフレームを廃棄する請求項に記載のネットワークシステム。
  11. 前記第2の通信装置のひとつは、前記端末又はモデムのMACアドレスを送信元MACアドレスとしたアドレス配布要求パケットを受信すると、該アドレス配布要求パケットの送信元MACアドレスに基づき前記第2のステータスリストを参照し、該当する端末又はモデムのMACアドレスが記憶されている場合に予め定められたアドレス配布処理を実行する請求項10に記載のネットワークシステム。
  12. 前記第1のステータスリストは、フレームの転送先の前記第2の通信装置のMACアドレスがさらに記憶され、
    前記第1の通信装置は、
    前記転送テーブルから取得された前記第2の通信装置のMACアドレスを、前記第1のステータスリストに記憶し、
    前記端末又はモデムのMACアドレスを送信元アドレス情報としたアドレス配布要求パケットを受信すると、受信されたアドレス配布要求パケットの送信元MACアドレスに基づき前記第1のステータスリストを参照して、対応する前記第2の通信装置のMACアドレスを取得し、取得されたMACアドレスに従い該アドレス配布要求パケットを前記第2の通信装置に送信し、
    前記第2の通信装置は、受信されたアドレス配布要求パケットに従い予め定められたアドレス配布処理を実行する請求項に記載のネットワークシステム。
  13. 802.1xの規定に従い認証を行う端末又はモデムと認証サーバとの間で、該端末若しくはモデムの認証のための認証フレームであるEAPoLフレームを転送し、前記端末又はモデムが利用するISPネットワークに対して複数台が接続される複数の通信装置を備えたネットワークシステムにおいて、該通信装置とネットワークを介して接続され、及び、前記端末又はモデムと接続される集約装置であって、
    端末又はモデムから、宛先MACアドレスに予め定められたEAPoL用MACアドレスを付与し且つドメイン名情報又はプロバイダ識別情報を含む認証フレームであるEAPoLフレームを受信する受信部と、
    ドメイン名情報又はプロバイダ識別情報に対応して、前記認証フレームであるEAPoLフレームを転送するための複数の前記通信装置のMACアドレスが記憶された転送テーブルを有し、受信された認証フレームであるEAPoLフレームのドメイン名情報又はプロバイダ識別情報に基づき、前記転送テーブルを参照し、対応する前記通信装置のMACアドレスのひとつを取得するフレーム転送先決定部と、
    受信された認証フレームであるEAPoLフレームの宛先MACアドレスとして前記フレーム転送先決定部が取得した前記通信装置のMACアドレスを設定し、前記通信装置のMACアドレスに従い、認証フレームを前記通信装置に転送するフレーム転送処理部と
    を備え、
    前記通信装置が認証フレームであるEAPoLフレームに従い、前記認証サーバに認証要求を送信することで、前記認証サーバと前記端末又はモデムとで認証がされるための集約装置。
JP2007105050A 2007-04-12 2007-04-12 ネットワークシステム及び集約装置 Active JP4776582B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007105050A JP4776582B2 (ja) 2007-04-12 2007-04-12 ネットワークシステム及び集約装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007105050A JP4776582B2 (ja) 2007-04-12 2007-04-12 ネットワークシステム及び集約装置

Publications (2)

Publication Number Publication Date
JP2008263437A JP2008263437A (ja) 2008-10-30
JP4776582B2 true JP4776582B2 (ja) 2011-09-21

Family

ID=39985598

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007105050A Active JP4776582B2 (ja) 2007-04-12 2007-04-12 ネットワークシステム及び集約装置

Country Status (1)

Country Link
JP (1) JP4776582B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5511332B2 (ja) 2009-11-30 2014-06-04 キヤノン株式会社 通信装置及び方法、並びにプログラム
JP5419907B2 (ja) * 2011-02-17 2014-02-19 日本電信電話株式会社 ネットワークシステム、及び通信復旧方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003224577A (ja) * 2001-10-05 2003-08-08 Toyo Commun Equip Co Ltd インターネット中継装置
JP2004032253A (ja) * 2002-06-25 2004-01-29 Hitachi Ltd ネットワーク通信装置および通信方式
JP3762403B2 (ja) * 2003-10-31 2006-04-05 日本電信電話株式会社 パケット転送装置、ネットワーク制御サーバ、およびパケット通信ネットワーク
US20080037558A1 (en) * 2004-05-18 2008-02-14 Matsushita Electric Industrial Co., Ltd Access Network System and Subscriber Data Route Control Method

Also Published As

Publication number Publication date
JP2008263437A (ja) 2008-10-30

Similar Documents

Publication Publication Date Title
JP4236398B2 (ja) 通信方法、通信システム及び通信接続プログラム
EP1878169B1 (en) Operator shop selection in broadband access related application
US9929964B2 (en) System, apparatus and method for providing aggregation of connections with a secure and trusted virtual network overlay
EP3267653B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
US6993026B1 (en) Methods, apparatus and data structures for preserving address and service level information in a virtual private network
CN107995052B (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
US8165156B1 (en) Ethernet DSL access multiplexer and method providing dynamic service selection and end-user configuration
US7649890B2 (en) Packet forwarding apparatus and communication bandwidth control method
US6850495B1 (en) Methods, apparatus and data structures for segmenting customers using at least a portion of a layer 2 address header or bits in the place of a layer 2 address header
EP1886447B1 (en) System and method for authentication of sp ethernet aggregation networks
CN101006707B (zh) 通过接入网络在客户网络与ip供应商网络之间交换ip分组的方法
CN110611893B (zh) 为漫游无线用户设备扩展订户服务
WO2017083975A1 (en) System, apparatus and method for providing a virtual network edge and overlay with virtual control plane
CN102137173A (zh) 路由信息发布方法、设备及虚拟专用网系统
US7801123B2 (en) Method and system configured for facilitating residential broadband service
WO2004105319A1 (fr) Procede d'acces a large bande et grande capacite et systeme associe
WO2021126508A1 (en) Systems and methods for integrating a broadband network gateway into a 5g network
US20070195804A1 (en) Ppp gateway apparatus for connecting ppp clients to l2sw
JP2007536851A (ja) セッションベースのパケット交換装置
JP4241329B2 (ja) 仮想アクセスルータ
JP4776582B2 (ja) ネットワークシステム及び集約装置
EP2073432B1 (en) Method for binding an access terminal to an operator and corresponding access terminal
Cisco Release Notes for Cisco 7000 Family for Cisco IOS Release 12.2 B
Cisco Cisco 6400 - Cisco IOS Release 12.2 B
Bernstein et al. Understanding PPPoE and DHCP

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090714

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110531

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110628

R150 Certificate of patent or registration of utility model

Ref document number: 4776582

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140708

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250