JP4705656B2 - Address translation device, address translation program - Google Patents
Address translation device, address translation program Download PDFInfo
- Publication number
- JP4705656B2 JP4705656B2 JP2008111689A JP2008111689A JP4705656B2 JP 4705656 B2 JP4705656 B2 JP 4705656B2 JP 2008111689 A JP2008111689 A JP 2008111689A JP 2008111689 A JP2008111689 A JP 2008111689A JP 4705656 B2 JP4705656 B2 JP 4705656B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- private
- pool
- global
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
プライベートIPアドレスネットワーク内の第一の端末とグローバルIPアドレスネットワーク内の第二の端末間の通信のためにアドレス変換を行うアドレス変換装置(以下、「NAT装置」という)に関する。 The present invention relates to an address translation device (hereinafter referred to as “NAT device”) that performs address translation for communication between a first terminal in a private IP address network and a second terminal in a global IP address network.
現在、インターネットサービスプロバイダ(以下「ISP」という)は、ユーザの回線接続毎に、1ユーザに1つのグローバルIPアドレスを割り当てている。なお、グローバルIPアドレスとは、固定長で有限の番号体系であり、世界中が接続されているグローバルIPアドレスネットワークで使われている、世界で一意なIPアドレスである。 しかし、グローバルIPアドレスの枯渇により、ISPが、回線接続毎に、1ユーザに1つのグローバルIPアドレスを割り当てるのは、困難となりつつある。 Currently, an Internet service provider (hereinafter referred to as “ISP”) assigns one global IP address to one user for each line connection of the user. The global IP address is a fixed-length, finite number system, and is a globally unique IP address used in a global IP address network to which the world is connected. However, due to the exhaustion of global IP addresses, it is becoming difficult for the ISP to assign one global IP address to one user for each line connection.
そこで、TCPやUDPにおいて、グローバルIPアドレスを効率的に利用する技術として、NAT(Network Address Translator)という技術がある。NATとは、プライベートIPアドレスをもつネットワーク内の端末(例えば、ユーザ端末)とグローバルIPアドレスネット内の端末(例えば、Webサーバ)間の通信のために、アドレス変換を行う技術である。なお、プライベートIPアドレスとは、グローバルIPアドレスネットワークに接続できないプライベートIPアドレスネットワーク内だけで使われるIPアドレスを指す。基本的には、NATとは、プライベートIPアドレスネットワーク内の端末のプライベートIPアドレスとNATがもっているグローバルIPアドレスを1対1で対応させる技術である。しかし、広義には、NATは、アドレスの変換に加え、TCPやUDPにおけるポート番号の変換を行うことで1つのグローバルIPアドレスに複数のプライベートIPアドレスを対応させる技術を含む。本発明においては、NATは、IPアドレスに加えてポート番号も変更することで、1つのグローバルIPアドレスを、複数のプライベートIPアドレスで共有できるようにする技術を含むものとする。NAT技術について詳しくは非特許文献1、非特許文献2、非特許文献3に記載されている。なお、このような技術をNAPT(Network Address Port Translation)、IPマスカレード(Masquarade)等という場合もある。
しかし、ISPがNAT技術を利用する場合、いくつかの問題がある。一つに、ISPには、他のインターネット接続組織や裁判所からの依頼・命令に基づいて、自社サービスのユーザを特定し、当該ユーザに対する対応を実施することが求められる。既存のISPがユーザの回線接続毎に1ユーザに1つのグローバルIPアドレスを割り当てる場合には、ISPが、回線接続毎に、割り当てた時刻、ユーザID及び割り当てたグローバルIPアドレス(以下、これらのデータを併せて「割り当てログA」という)を記録する。また、着信のあった端末(例えば、「Webサーバ」)には、コネクション毎に、発信元グローバルIPアドレス、発信元ポート番号及び着信時刻(以下「着信ログ」という)が記録される。そのため、割り当てログAと着信ログを調べることで、ユーザを特定できる。ここでコネクションとは、端末間のデータのやり取りするための仮想的な通信路のことをいい、htmlファイルや画像ファイル等のファイル毎に確立される。よって、Webページを1ページ閲覧するために、htmlファイル、画像ファイル等が多い場合には、100コネクション以上を確立することもある。なお、UDPはコネクションレス型通信と呼ばれるが、本発明におけるコネクションとは、単一のUDPパケットで完了する通信、及び発信元IPアドレス、発信元ポート番号、着信先IPアドレス、着信先ポート番号が同一の連続した複数UDPパケットによって構成される通信を含むものとする。図1に既存のISPが提供するインターネット接続サービスのシステム構成例、図2に割り当てログAのデータ例、図3に着信ログのデータ例を示す。着信ログは、より具体的には、
192.0.2.10 65003・・[16/Apr/2008:12:34:45 +0900] “GET / HTTP/1.1” 200 420 “-””Mozilla/4.0(compatible;MSIE5.5;Windows(登録商標)98)”
192.0.2.22 50237・・[16/Apr/2008:15:00:54 +0900] “GET / HTTP/1.1” 200 420 “-””Mozilla/4.0(compatible;MSIE5.5;Windows(登録商標)98)”
と表示される。先頭の値、例えば「192.0.2.10」が発信元グローバルIPアドレスを表し、次の値、例えば「65003」が発信元ボート番号を表す。なお、着信ログには、図3のデータ例のように、TCPやUDP等のプロトコル種別が記録されない場合があるが、アプリケーション種別や着信先のサーバの機能等によって、TCPやUDP等の何れのプロトコルが使われているかは、明らかとなる。
However, there are several problems when ISP uses NAT technology. For one thing, ISPs are required to identify users of their own services based on requests / commands from other Internet-connected organizations and courts, and to deal with those users. When an existing ISP assigns one global IP address to one user for each line connection of the user, the ISP assigns the time, user ID, and assigned global IP address (hereinafter, these data) for each line connection. Are also recorded as “allocation log A”). In addition, a terminal global IP address, a source port number, and an incoming time (hereinafter referred to as “incoming log”) are recorded for each connection in a terminal that has received an incoming call (for example, “Web server”). Therefore, the user can be specified by examining the allocation log A and the incoming call log. Here, the connection refers to a virtual communication path for exchanging data between terminals, and is established for each file such as an html file or an image file. Therefore, in order to browse one web page, if there are many html files, image files, etc., 100 connections or more may be established. Note that UDP is called connectionless communication, but the connection in the present invention includes communication completed with a single UDP packet, and the source IP address, source port number, destination IP address, destination port number. Communication including a plurality of the same continuous UDP packets is included. FIG. 1 shows a system configuration example of an Internet connection service provided by an existing ISP, FIG. 2 shows a data example of an allocation log A, and FIG. 3 shows a data example of an incoming call log. More specifically, the incoming log is
192.0.2.10 65003 ・ ・ [16 / Apr / 2008: 12: 34: 45 +0900] “GET / HTTP / 1.1” 200 420 “-” ”Mozilla / 4.0 (compatible; MSIE5.5; Windows (registered trademark) 98 ) ”
192.0.2.22 50237 ・ ・ [16 / Apr / 2008: 15: 00: 54 +0900] “GET / HTTP / 1.1” 200 420 “-” ”Mozilla / 4.0 (compatible; MSIE5.5; Windows (registered trademark) 98 ) ”
Is displayed. The first value, for example, “192.0.2.10” represents the source global IP address, and the next value, for example, “65003” represents the source boat number. Note that the protocol type such as TCP or UDP may not be recorded in the incoming call log as in the data example of FIG. 3, but depending on the application type, the function of the destination server, etc. It is clear whether the protocol is used.
例えば、Webサーバ650上の電子掲示板(参加者が自由に文章などを投稿し、書き込みを連ねていくことでコミュニケーションできるWebページ)に誹謗中傷や、殺人予告等が書き込まれ、書き込み者を特定する必要がある場合には、着信ログ記憶部660の着信ログから発信元グローバルIPアドレス及び着信時刻を調べ、ルータ620が割り当てたグローバルIPアドレスを記録する割り当てログ記憶部630の割り当てログAからその着信時刻に、そのグローバルIPアドレスを割り当てられていたユーザIDを調べることで、ユーザを一意に特定できる。
For example, slander, murder notice, etc. are written on an electronic bulletin board on the Web server 650 (a Web page where participants can freely post texts and communicate by continuing to write) to identify the writer. If necessary, the caller global IP address and the call arrival time are checked from the call log stored in the call
しかし、従来のNAT技術を利用すると、1つのグローバルIPアドレスに複数のプライベートIPアドレスが対応するため、割り当てログAとwebサーバの着信ログを調べることのみでは、ユーザを特定することができない。本発明は、ユーザを特定でき、かつ、経済的なNAT装置を提供することを目的とする。 However, if the conventional NAT technology is used, a plurality of private IP addresses correspond to one global IP address, and therefore it is not possible to specify a user only by examining the allocation log A and the incoming log of the web server. An object of the present invention is to provide an economical NAT device that can identify a user.
プライベートIPアドレスネットワーク内の第一の端末とグローバルIPアドレスネットワーク内の第二の端末間の通信に際しアドレス変換を行うアドレス変換装置であって、プール記憶部とパケット転送部とパケット変換部を有する。プール記憶部は、グローバルIPアドレスとポート番号の範囲の組合せであるプールをプライベートIPアドレスの数以上と、そのプールと対応するプライベートIPアドレスが記憶される。パケット転送部は、プライベートIPアドレスネットワーク内の端末からのパケットを受信し、アドレス変換後のパケットをグローバルIPアドレスネットワーク内の端末へ送信する。パケット変換部は、パケット転送部を介して受信したパケットからプライベートIPアドレスを取得し、プライベートIPアドレスに対応するプールの情報をプール記憶部から取得し、さらに、プールのポート番号の範囲の中からポート番号を決定し、受信したパケットのプライベートIPアドレスとポート番号を決定したプールのグローバルIPアドレスとポート番号に変換する。 An address translation device that performs address translation during communication between a first terminal in a private IP address network and a second terminal in a global IP address network, and includes a pool storage unit, a packet transfer unit, and a packet translation unit. The pool storage unit stores a pool, which is a combination of a global IP address and a range of port numbers, over the number of private IP addresses and a private IP address corresponding to the pool. The packet transfer unit receives a packet from a terminal in the private IP address network, and transmits the packet after address conversion to the terminal in the global IP address network. The packet conversion unit acquires a private IP address from the packet received via the packet transfer unit, acquires pool information corresponding to the private IP address from the pool storage unit, and further, from the range of pool port numbers The port number is determined, and the private IP address and port number of the received packet are converted into the global IP address and port number of the determined pool.
着信ログと変換規則から、一意にプライベートIPアドレスを特定することができ、NATによるアドレス変換の記録を保存しなくてもよい。 The private IP address can be uniquely specified from the incoming call log and the conversion rule, and it is not necessary to store a record of address conversion by NAT.
実施例の説明に先立ち、既存のNAT技術を用いてユーザを特定する方法について分析する。
前述の通り、既存のユーザの回線接続毎に1ユーザに1つのグローバルIPアドレスを割り当てる場合には、ISPは、ユーザを一意に決定するために、割り当てログAのみを保存しておけば良かった。なお、着信ログは、Webサーバ等の管理者等が保存する。
一方、ISPがNAT技術を利用する場合、ユーザを特定するために、回線接続毎に割り当てた時刻、ユーザID及び割り当てた発信元プライベートIPアドレス(以下、これらのデータを併せて「割り当てログB」という)を保存するのに加え、以下のデータを保存しなければならない。なお、図4に、割り当てログBのデータ例を示す。
Prior to the description of the embodiment, a method for identifying a user using existing NAT technology will be analyzed.
As described above, when one global IP address is assigned to one user for each line connection of an existing user, the ISP only has to save only the assignment log A in order to uniquely determine the user. . The incoming log is saved by an administrator such as a Web server.
On the other hand, when the ISP uses NAT technology, in order to identify the user, the time assigned for each line connection, the user ID and the assigned source private IP address (hereinafter referred to as “allocation log B” together with these data) The following data must be saved: FIG. 4 shows an example of data of the allocation log B.
コネクション確立毎に、少なくとも発信元プライベートIPアドレス、変換後グローバルIPアドレス、変換後ポート番号、プロトコル種別及びコネクション時刻(以下、これらのデータを併せて「変換ログ」という)を外部記憶装置900に保存する必要がある。図5に、変換ログのデータ例、図6にISPがNAT装置を用いて提供するインターネット接続サービスのシステム構成例、図7に既存のNAT装置及び外部記憶装置の構成例を示す。
Each time a connection is established, at least the source private IP address, the converted global IP address, the converted port number, the protocol type, and the connection time (hereinafter referred to as “conversion log”) are stored in the
以下、既存のNAT技術を利用した場合について説明する。NAT装置1000は、主として、プライベートIPアドレスネットワーク600とグローバルIPアドレスネットワーク640の間に設置され、接続確立毎ではなく、コネクション確立毎に、プライベートIPアドレスに対応するグローバルIPアドレスとTCPやUDP等のポート番号(以下、単に「ポート番号」という)を割り当てる。
Hereinafter, a case where the existing NAT technology is used will be described. The
既存のNAT装置1000は、パケット転送部100と変換状況保持部200とパケット変換部300を有する。NAT装置1000は、プライベートIPアドレスネットワーク600からパケット転送部100を介してパケットを受信し、パケット変換部300は、あらかじめ定めた単一の規則に従って、1つのコネクションに対して、グローバルIPアドレスとポート番号の割り当てを行う。
なお、あらかじめ定めた単一の規則とは、現在使用されているポート番号の1つ次の番号を順次用いる方式
新ポート番号=現在使用されているポート番号+1
や、ポート番号の割り当てに際して、乱数を用いる方式
新ポート番号=基数(49152)+乱数(0〜16383)
等がある。その他、変換状況保持部200に保持されているグローバルIPアドレスとポート番号の組合せを使用しない単一の規則であればよい。
The existing
The single rule set in advance is a method that uses the next number of the currently used port number in sequence. New port number = currently used port number + 1
Or a method that uses random numbers when assigning port numbers New port number = radix (49152) + random number (0 to 16383)
Etc. In addition, a single rule that does not use the combination of the global IP address and the port number held in the conversion
変換状況保持部200は、変換ログに加えて、発信元ポート番号、着信先グローバルIPアドレス及び着信先ポート番号(以下、これらのデータを併せて「変換状況データ」という)を保持する。図8に、変換状況データのデータ例を示す。変換状況データは、NAT装置1000が、異なるコネクションに対して、同一のグローバルIPアドレスとポート番号の組合せを割り当てることを防ぐために必要である。また、NAT装置1000が、着信先から応答パケットを受信し、パケットを発信元へ転送したり、同一のコネクションに属する他のパケットを同様に変換したりするために必要となるため、変換状況保持部200に一定期間(例えば2分程度)保持される。例えば、Webサーバ650からのデータは、変換後のグローバルIPアドレスと変換後のポート番号に対して送信されるため、NAT装置1000のパケット転送部100で受信され、変換状況保持部200のデータに基づいて、パケット変換部300で、発信元プライベートIPアドレスと発信元ポート番号にアドレス変換され、パケット転送部100からユーザに送信される。
In addition to the conversion log, the conversion
もし、異なるコネクションに対して、同一のグローバルIPアドレスとポート番号を割り当てると、Webサーバからのデータをどのコネクションを使って転送すればよいか不明となるため、一定期間の間は、同一のグローバルIPアドレスとポート番号の組合せを割り当てないように、変換状況データに基づき制御する。 If the same global IP address and port number are assigned to different connections, it is unclear which connection should be used to transfer the data from the Web server. Control is performed based on the conversion status data so that a combination of an IP address and a port number is not assigned.
次に、変換状況データの内、少なくとも変換ログを外部記憶装置900に送信し、保存する。この保存は、一意にユーザを特定するために必要となる。特定方法については、後述する。パケット変換部300は、パケットに含まれるプライベートIPアドレスとポート番号をグローバルIPアドレスと別のポート番号に変換し、パケット転送部100を介してパケットをグローバルIPアドレスネットワーク640内の端末(例えば、Webサーバ650)へ転送する。
Next, at least the conversion log in the conversion status data is transmitted to the
ここで、従来のNAT装置におけるユーザの特定方法について説明する。従来のNAT装置1000は、1つのグローバルIPアドレスを複数のプライベートIPアドレスで共有している。そのため、着信ログ記憶部660に記録される着信ログから、発信元グローバルIPアドレス、発信元ポート番号及び着信時刻は分かるが、その発信元グローバルIPアドレスと発信元ポート番号は、NAT装置1000が変換した後のグローバルIPアドレスとポート番号であり、グローバルIPアドレスの共有者の内のどのプライベートIPアドレスによる着信なのか一意には、特定できない。よって、どのプライベートIPアドレスによる接続かがわからない以上、割り当てログBを調べてユーザを特定できない。
Here, a user identification method in the conventional NAT device will be described. The
ここで、着信ログの発信元グローバルIPアドレス、発信元ポート番号及び着信時刻からプライベートIPアドレスを特定するために、変換後グローバルIPアドレス、変換後ポート番号、発信元プライベートIPアドレス、プロトコル種別及びコネクション時刻を保存する必要がある。この変換ログと割り当てログBを調べることにより一意にユーザを特定することができる。 Here, in order to identify the private IP address from the source global IP address, source port number, and incoming time of the incoming log, the converted global IP address, the converted port number, the source private IP address, the protocol type, and the connection You need to save the time. By examining the conversion log and the allocation log B, the user can be uniquely specified.
なお、着信ログに発信元のプライベートIPアドレスとポート番号は残らず、変換後のグローバルIPアドレスと変換後のポート番号しか残らないことは、ユーザにとっては、セキュリティを強化するという側面もある。つまり、グローバルIPアドレスネットワーク内の端末から着信ログを使って、ユーザ行動の追跡や識別を仕掛けられたとしても、着信ログ上ではNAT装置のグローバルIPアドレスであり、ユーザは行動の追跡や識別を免れることができる。そのため、NAT技術において、セキュリティ上、変換ログを保存するという発想がそもそもなかった。しかし、ISPは、ユーザを一意に特定できることが要求されているため、NAT技術を利用する場合には、変換ログを保存し、かつ、情報が改ざん、漏洩等しないように、変換ログを保存した外部記憶装置900のセキュリティも確保しなければならない。
It should be noted that the fact that the private IP address and port number of the transmission source do not remain in the incoming call log, and only the global IP address after conversion and the port number after conversion remain, also has an aspect of enhancing security for the user. In other words, even if an incoming log is used to track and identify user behavior from a terminal in the global IP address network, it is the NAT device's global IP address on the incoming log, and the user can track and identify the behavior. I can be spared. Therefore, in the NAT technology, the idea of saving the conversion log was not originally provided for security. However, since ISPs are required to uniquely identify users, when using NAT technology, the conversion log is saved and the conversion log is saved so that the information is not falsified or leaked. The security of the
小規模LANではなく、多数のグローバルIPアドレスを持つISP等で変換ログを保存するには、高速、かつ、大容量の外部記憶装置900が必要となり、そのセキュリティも厳重に管理しなければならない。
In order to save a conversion log not by a small LAN but by an ISP having a large number of global IP addresses, a high-speed and large-capacity
例えば、NAT装置の変換ログを記録するには、発信元プライベートIPアドレス(32ビット)、変換後グローバルIPアドレス(32ビット)、変換後ポート番号(16ビット)、プロトコル種別(8ビット)、コネクション時刻(64ビット)、1コネクション確立毎に合計152ビット(19バイト)の記憶容量を必要とする。Webページ1ページに10個のhtmlファイルや画像ファイル等があるとすると、1ページにアクセスするごとに合計(19*10)=190バイトを保存する必要がある。 For example, in order to record the conversion log of the NAT device, the source private IP address (32 bits), the converted global IP address (32 bits), the converted port number (16 bits), the protocol type (8 bits), the connection Time (64 bits) requires a storage capacity of 152 bits (19 bytes) in total for each connection established. If there are 10 html files, image files, etc. in one web page, it is necessary to store a total of (19 * 10) = 190 bytes every time one page is accessed.
1ユーザが、1分間に1回アクセスつまり1時間に60アクセスし、1日に3時間程度利用すると考えると、1日あたり(60*3)回アクセスし、6か月間に約(60*3*180)回程度アクセスする。なお、ここで期間を6か月間とした理由は、ISPには、ユーザを特定するためのデータを6か月以上保存することが求められているからである。結果として1ユーザあたり(190*60*3*180)バイト=約6メガバイトとなり、例えば、500万ユーザをもつISPは、約30テラバイトのデータ量を保存しなくてはならない。 Assuming that one user accesses once a minute, that is, 60 accesses per hour and uses it for about 3 hours per day, he accesses (60 * 3) times per day, and about sixty months (60 * 3) * 180) Access about once. Here, the reason for setting the period to 6 months is that the ISP is required to store data for specifying the user for 6 months or more. As a result, (190 * 60 * 3 * 180) bytes per user = about 6 megabytes, for example, an ISP with 5 million users must save about 30 terabytes of data.
ここで、本発明の実施例について述べる。 Now, an embodiment of the present invention will be described.
プライベートIPアドレスネットワーク内の第一の端末とグローバルIPアドレスネットワーク内の第二の端末間の通信に際しアドレス変換を行うNAT装置2000は、パケット転送部100と変換状況保持部200とパケット変換部300とプール記憶部400を有する。図9は、実施例1のインターネット接続サービスのシステム構成例、図10は、実施例1のNAT装置の機能構成例を示す。
The
プール記憶部400は、グローバルIPアドレスとポート番号の範囲の組合せであるプールをプライベートIPアドレスの数以上と、そのプールと対応するプライベートIPアドレスが記憶される。プールを特定することで、プライベートIPアドレスが特定できるような対応とすればよい。なお、プライベートIPアドレスとプールの組合せを変換規則という。図11に、プール記憶部400に格納されているデータ例を示す。例えば、図11(A)のように、ポート番号の範囲として、連続するポート番号(例えば、2000番ずつ)に区切って割り当ててもよい。実施例1記載のNAT装置2000は、NAT装置設定時に「静的」に自動でプライベートIPアドレスと1対1で対応するプールを決める仕組みを備える。「静的」とは、プライベートIPアドレスとプールの対応が、ユーザの回線接続等によって変化せず、NAT装置設定時に決定され、プール記憶部400へ記憶され、その後、手動等で変更しない限り、プライベートIPアドレスとプールの対応が、変化しないことを意味する。
The
プールをNAT装置設定時に「静的」に自動で決める仕組みを説明する。予め利用してよいポート番号の範囲(例えば、49152から65535までの16384個)と、1プライベートIPアドレス毎に割り当てるポート番号の数(例えば、2000個)と、利用できるグローバルIPアドレスの範囲(例えば、192.0.2.1から192.0.2.16まで16個)を指定する。 A mechanism for automatically determining a pool as “static” when setting a NAT device will be described. A range of port numbers that can be used in advance (for example, 16384 ports from 49152 to 65535), the number of port numbers assigned for each private IP address (for example, 2000 ports), and a range of available global IP addresses (for example, , 192.0.2.1 to 192.0.2.16).
利用してよいポート番号の範囲を1プライベートIPアドレス毎に割り当てるポート番号の数で割り算し、1グローバルIPアドレスを共有するプライベートIPアドレスの数を計算する。
共有するプライベートIPアドレスの数=16384÷2000=8.192
よって、1つのグローバルIPアドレスを8個のプライベートIPアドレスで共有する。利用できるグローバルIPアドレス数と、共有できるプライベートIPアドレス数を乗算し、ユーザに割り当てるためのプライベートIPアドレス数と範囲を求める。
グローバルIPアドレス数(16)*共有できるプライベートIPアドレス数(8)=128(個)
よって、プライベートIPアドレスの範囲と数(例えば、例えば、10.0.0.1から10.0.0.128まで128個)が求まる。
各プライベートIPアドレス(例えば「10.0.0.1」)にプール(例えば、「グローバルIPアドレス192.0.2.1とポート番号の範囲49152から51151まで」)を自動的に割り当て、変換規則を作成する。
The range of port numbers that can be used is divided by the number of port numbers assigned for each private IP address, and the number of private IP addresses sharing one global IP address is calculated.
Number of shared private IP addresses = 16384 ÷ 2000 = 8.192
Therefore, one global IP address is shared by eight private IP addresses. Multiply the number of global IP addresses that can be used and the number of private IP addresses that can be shared to determine the number and range of private IP addresses to be assigned to users.
Number of global IP addresses (16) * Number of private IP addresses that can be shared (8) = 128 (pieces)
Therefore, the range and number of private IP addresses (for example, 128 from 10.0.0.1 to 10.0.0.128) are obtained.
Each private IP address (for example, “10.0.0.1”) is automatically assigned a pool (for example, “Global IP address 192.0.2.1 and port number range 49152 to 51151”) and converted. Create a rule.
なお、ポート番号の範囲は、1個以上であればよい。ただし、上述の通り、変換状況保持部200では、変換状況データが一定期間保持される。同一のプライベートIPアドレスに対しても、異なるコネクション確立時に、グローバルIPアドレスとポート番号の同一の組合せを割り当てることはできない。もし、同一のプライベートIPアドレスに対して、異なるコネクション確立時に、グローバルIPアドレスとポート番号の同一の組合せを割り当てると、WebサーバからのデータをどのプライベートIPアドレスとポート番号の組合せに転送すればよいか不明となるため、一定期間の間は、同一のグローバルIPアドレスとポート番号の組合せを割り当てないように、変換状況データに基づき制御する。よって、適度にコネクションを確立するためにポート番号の範囲は100個以上2000個以下程度が望ましい。例えば、ポートの番号の範囲を2個とすると、ユーザが同時に確立できるコネクションの数は2個となり、3個目以降のコネクションは、変換状況保持部200から変換状況データが削除されるまで、確立できない。
The range of port numbers may be one or more. However, as described above, the conversion
ここで、一度に並行して確立できるコネクションの個数は、webブラウザ等の設定により異なるが、一般に2〜16個程度である。一度に並行して確立できるコネクションの個数が4個であり、1つのWebページ上に100個のファイルがある場合には、4個ずつコネクションを確立していき、25回、コネクションを確立する。なお、変換状況保持部200は、コネクション確立毎に変換状況データを作成し、一定期間保持する。
Here, the number of connections that can be established in parallel at one time varies depending on the settings of the web browser or the like, but is generally about 2 to 16. If the number of connections that can be established in parallel at a time is four and there are 100 files on one Web page, the connection is established four by four and the connection is established 25 times. The conversion
図12に、パケット変換の流れを示す。パケット変換部300は、パケット転送部100を介してプライベートIPアドレスネットワーク内の端末からのパケットを受信する(S101)。受信したパケットに対応するエントリが変換状況保持部200にあるか問合せる(S102)。エントリがあれば、同様に、プライベートIPアドレスをグローバルIPアドレスに変換し、ポート番号を変換する(S107)。エントリがなければ、新規コネクションであるとして、受信したパケットからプライベートIPアドレスを取得し、プール記憶部400に問合せる(S103)。プール記憶部400に、プライベートIPアドレスがあれば(S104)、プライベートIPアドレスに対応するプールを取得する(S105)。もし、プール記憶部に記憶されていないプライベートIPアドレスからのパケットを受信した場合には、対応するプールを取得できないため、パケットを廃棄する(S110)。さらに、パケット変換部300は、ポート番号の範囲の中からあらかじめ定めた単一の規則に従って、ポート番号を割り当てる(S106)。なお、あらかじめ定めた単一の規則とは、図11(A)の場合には、現在使用されている1つ次の番号を順次用いる方式
新ポート番号=現在使用されているポート番号+1
や、ポート番号の割り当てに際して、乱数を用いる方式
新ポート番号=基数(プールのポート番号中の先頭)+乱数(0〜1999)
等がある。
FIG. 12 shows the flow of packet conversion. The
Or a method that uses random numbers when assigning port numbers New port number = radix (top of pool port number) + random number (0-1999)
Etc.
さらに、パケット変換部300は、作成されたグローバルIPアドレスと新ポート番号の組合せと変換状況保持部200に保持されているグローバルIPアドレスとポート番号の組合せが同一とならないか、検査する。検査の結果、両組合せが、同一であれば、再度あらかじめ定めた単一の規則に従ってポート番号割り当て、異なる組合せとなるまで、繰り返す(S107)。
Further, the
変換後グローバルIPアドレスと変換後ポート番号を決定したら、受信したパケットの発信元プライベートIPアドレスと発信元ポート番号を決定したグローバルIPアドレスとポート番号に変換する(S108)。そして、パケット転送部100を介してグローバルIPアドレスネットワーク内の端末へパケットを送信する(S109)。 When the converted global IP address and the converted port number are determined, the source private IP address and the source port number of the received packet are converted into the determined global IP address and port number (S108). Then, the packet is transmitted to the terminal in the global IP address network via the packet transfer unit 100 (S109).
このようにアドレス変換することにより、着信ログと変換規則及び割り当てログBを調べれば、ユーザを一意に特定することができ、ISPは、変換ログを外部記憶装置900に保存する必要がなくなる。なぜなら、着信ログ記憶部660の着信ログから、発信元グローバルIPアドレスと発信元ポート番号が分かるため、対応する変換規則からプライベートIPアドレスを特定することができる。このプライベートIPアドレスと割り当てログBと着信時刻からユーザを一意に決定することができる。
By converting the address in this way, the user can be uniquely identified by examining the incoming log, the conversion rule, and the allocation log B, and the ISP does not need to store the conversion log in the
[変形例1]
以下、実施例1と異なる部分のみ説明する。
NAT装置設定時に「静的」に自動でプライベートIPアドレスと1対1で対応するプールを決める仕組みは、以下のように定めてもよい。図11(B)のように、ポート番号の範囲を下一桁の値で分割してもよい。この場合、予め利用してよいポート番号の範囲(例えば、49152から65535までの16384個)と、利用できるグローバルIPアドレスの範囲(例えば、192.0.2.1から192.0.2.16まで16個)を指定する。予め利用してよいポート番号の範囲は、下一桁の値で10個のポート番号の範囲に分割されているため、1つのグローバルIPアドレスを10個のプライベートIPアドレスで共有する。これによりユーザに割り当てるためのプライベートIPアドレス数と範囲を求める。
グローバルIPアドレス数(16)*共有できるプライベートIPアドレス数(10)=160(個)
よって、プライベートIPアドレスの範囲(例えば、例えば、10.0.0.1から10.0.0.160まで160個)が求まる。各プライベートIPアドレス(例えば「10.0.0.1」)にプール(例えば、「グローバルIPアドレス192.0.2.1と利用してよいポート番号の範囲のうち下一桁が0の値」)を自動的に割り当て、変換規則を作成する。
[Modification 1]
Only the parts different from the first embodiment will be described below.
A mechanism for automatically determining a pool corresponding to a private IP address one-to-one “statically” when setting a NAT device may be determined as follows. As shown in FIG. 11B, the range of port numbers may be divided by the last digit value. In this case, a range of port numbers that can be used in advance (for example, 16384 numbers from 49152 to 65535) and a range of available global IP addresses (for example, 192.0.2.1 to 192.0.2.16). Up to 16). The range of port numbers that can be used in advance is divided into a range of 10 port numbers by the last digit value, so one global IP address is shared by 10 private IP addresses. As a result, the number and range of private IP addresses to be assigned to the user are obtained.
Number of global IP addresses (16) * Number of private IP addresses that can be shared (10) = 160 (pieces)
Therefore, a range of private IP addresses (for example, 160 addresses from 10.0.0.1 to 10.0.0.160) is obtained. Each private IP address (for example, “10.0.0.1”) has a pool (for example, “global IP address 192.0.2.1” and the port number range that can be used is the value with the last digit 0 ]) Automatically and create conversion rules.
この場合、パケット変換部300が、ポート番号の範囲の中からあらかじめ定めた単一の規則に従って、ポート番号を割り当てる際には(S106)、あらかじめ定めた単一の規則を以下のようにすることが考えられる。
現在使用されているポート番号に10を加えた番号を順次用いる方式
新ポート番号=現在使用されているポート番号+10
や、ポート番号の割り当てに際して、乱数を用い、10倍する方式
新ボート番号=49160+下一桁の値+乱数(0〜1636)*10
等がある。
In this case, when the
A method that sequentially uses a number obtained by adding 10 to the currently used port number. New port number = currently used port number + 10
Or, when assigning a port number, a random number is used and multiplied by 10. New boat number = 49160 + the last digit value + random number (0-1636) * 10
Etc.
[変形例2]
以下、実施例1と異なる部分のみ説明する。
プールをNAT装置設定時に「静的」に自動で決める仕組みを説明する。実施例1では、予め利用してよいポート番号の範囲(例えば、49152から65535までの16384個)と、1プライベートIPアドレス毎に割り当てるポート番号の範囲(例えば、2000個)と、利用できるグローバルIPアドレスの範囲(例えば、192.0.2.1から192.0.2.16まで16個)を指定するが、変形例2では、1プライベートIPアドレス毎に割り当てるポート番号の範囲(例えば、2000個)を予め指定するのに代えて、1つのグローバルIPアドレスを共有するプライベートIPアドレスの数(例えば、16個)を予め指定する。
[Modification 2]
Only the parts different from the first embodiment will be described below.
A mechanism for automatically determining a pool as “static” when setting a NAT device will be described. In the first embodiment, a range of port numbers that can be used in advance (for example, 16384 ports from 49152 to 65535), a range of port numbers assigned for each private IP address (for example, 2000 ports), and a global IP that can be used. An address range (for example, 16 addresses from 192.0.2.1 to 192.0.2.16) is specified. In the second modification, a range of port numbers allocated for each private IP address (for example, 2000) Instead of designating in advance, the number of private IP addresses sharing one global IP address (for example, 16) is designated in advance.
利用してよいポート番号の範囲を共有するプライベートIPアドレスの数で割り算し、1プライベートIPアドレス毎に割り当てるポート番号の範囲を計算する。
ポート番号の範囲=16384÷16=1024
利用できるグローバルIPアドレス数と、共有できるプライベートIPアドレス数を乗算し、ユーザに割り当てるためのプライベートIPアドレス数と範囲を求める。
グローバルIPアドレス数(16)*共有できるプライベートIPアドレス数(16)=256(個)
その後、プライベートIPアドレスの範囲(例えば、10.0.0.1から10.0.0.255と10.0.1.1を併せた256個)を自動的に決定する。
The range of port numbers that can be used is divided by the number of shared private IP addresses, and the range of port numbers assigned for each private IP address is calculated.
Port number range = 16384/16 = 1024
Multiply the number of global IP addresses that can be used and the number of private IP addresses that can be shared to determine the number and range of private IP addresses to be assigned to users.
Number of global IP addresses (16) * Number of private IP addresses that can be shared (16) = 256 (pieces)
Thereafter, a range of private IP addresses (for example, 256 including 10.0.0.1 to 10.0.0.25 and 10.0.1.1) is automatically determined.
各プライベートIPアドレス(例えば「10.0.0.1」)にプール(例えば、「グローバルIPアドレス192.0.2.1とポート番号の範囲49152からまで50175」)を自動的に割り当て、変換規則を作成する。 Each private IP address (for example, “10.0.0.1”) is automatically assigned and converted to a pool (for example, “Global IP address 192.0.2.1 and port number range 49152 to 49175”). Create a rule.
実施例1のプールをNAT装置設定時に「静的」に自動で決める仕組みは、割り当てるポート番号の範囲(コネクション数の確立数)が決まっている時に採用し、変形例2の仕組みは、1つのグローバルIPアドレスを共有するプライベートIPアドレスの数が決まっている時に採用するとよい。 The mechanism for automatically determining the pool of the first embodiment as “static” when setting the NAT device is adopted when the range of port numbers to be assigned (the number of established connections) is determined, and the mechanism of the second modification is one It may be adopted when the number of private IP addresses sharing a global IP address is determined.
[変形例3]
以下、実施例1と異なる部分のみ説明する。
NAT装置2000は、NAT装置設定時に「静的」に自動でプライベートIPアドレスと対応するプールを決める仕組みに代えて、手動でプライベートIPアドレスと対応するプールを決める仕組みを備える。
手動で特定のプライベートIPアドレスには、多くのポート番号の範囲(例えば2000個)を割り当て、残りのプールには、少ないポート番号の範囲(例えば100個)を割り当てても、プライベートIPアドレスとプールが対応していればよい。
[Modification 3]
Only the parts different from the first embodiment will be described below.
The
Even if you manually assign a large range of port numbers (for example, 2000) to a specific private IP address and assign a small range of port numbers (for example, 100) to the remaining pools, As long as it corresponds.
実施例1、変形例1〜2の場合に、プライベートIPアドレスと1対1で対応するプールを決める仕組みを提供しているが、1対1でなくとも、プールが特定できれば、プライベートIPアドレスが特定できればよい。よって、一対多、つまり、1つのプライベートIPアドレスに対して、複数のプールを割り当ててもよい。その変換規則は、プール記憶部400に記憶される。その場合も、着信ログと変換規則及び割り当てログBを調べれば、ユーザを一意に特定することができる。
In the case of the first embodiment and the first and second modifications, a mechanism for determining a pool corresponding to a private IP address on a one-to-one basis is provided. It only needs to be identified. Therefore, a plurality of pools may be assigned to one-to-many, that is, one private IP address. The conversion rule is stored in the
以下、実施例1と異なる部分についてのみ記載する。図13は、実施例2のインターネット接続サービスのシステム構成例、図14は、実施例2のNAT装置の機能構成例を示す。NAT装置3000は、アドレス割り当て部500を有する。NAT装置3000は、ユーザに対してプライベートIPアドレスを割り当てる機能も同時に備える。
Only the parts different from the first embodiment will be described below. FIG. 13 shows a system configuration example of the Internet connection service of the second embodiment, and FIG. 14 shows a functional configuration example of the NAT device of the second embodiment. The
図15に、プライベートIPアドレスの割り当て方法を示す。アドレス割り当て部500は、プライベートIPアドレスネットワーク600内の端末の回線接続に伴って、端末に対してプライベートIPアドレスを割り当て、さらにプライベートIPアドレスとプールの対応を決定し、プール記憶部へ記憶する。具体的には、ユーザ回線接続時に、アドレス割り当て部500は、プール記憶部400を参照し、使用されていないプライベートIPアドレスをユーザに割り当てる(S112)。IPアドレス割り当て部500は、プライベートIPアドレスの割り当てと同時に、そのプライベートIPアドレスに対応するプールも割り当て、プール記憶部400に記憶する(S113)。プール記憶部400に記憶されているプールのデータ例を図16に示す。また、NAT装置3000は、割り当てログBと割り当てたプールを割り当てログ記憶部630へ記録する(S114)。図17に、割り当てログ記憶部に記録されるデータ例を示す。
FIG. 15 shows a method for assigning private IP addresses. The
なお、アドレス変換装置3000は、プライベートIPアドレスとプールの対応を、回線接続毎に「動的」に自動で決める仕組みを備える。「動的」とは、プライベートIPアドレスとプールの対応が、ユーザの回線接続等によって変化することを意味する。
The
プールを「動的」に自動で決める仕組みを説明する。予め利用してよいポート番号の範囲(例えば、49152から65535までの16384個)と、1プライベートIPアドレス毎に割り当てるポート番号の数(例えば、2000個)と、利用できるグローバルIPアドレスの範囲(例えば、192.0.2.1から192.0.2.16まで16個)を指定する。 Explain the mechanism to automatically determine the pool as "dynamic". A range of port numbers that can be used in advance (for example, 16384 ports from 49152 to 65535), the number of port numbers assigned for each private IP address (for example, 2000 ports), and a range of available global IP addresses (for example, , 192.0.2.1 to 192.0.2.16).
利用してよいポート番号の範囲を1プライベートIPアドレス毎に割り当てるポート番号の数で割り算し、1グローバルIPアドレスを共有するプライベートIPアドレスの数を計算する。
共有するプライベートIPアドレスの数=16384÷2000=8.192
利用できるグローバルIPアドレス数と、共有できるプライベートIPアドレス数を乗算し、ユーザに割り当てるためのプライベートIPアドレス数を求める。
グローバルIPアドレス数(16)*共有できるプライベートIPアドレス数(8)=128(個)
よって、128個のプライベートIPアドレスに対応できる。128個のプールを作成し、プール記憶部400に記憶する。
The range of port numbers that can be used is divided by the number of port numbers assigned for each private IP address, and the number of private IP addresses sharing one global IP address is calculated.
Number of shared private IP addresses = 16384 ÷ 2000 = 8.192
Multiply the number of available global IP addresses by the number of private IP addresses that can be shared to determine the number of private IP addresses to be assigned to users.
Number of global IP addresses (16) * Number of private IP addresses that can be shared (8) = 128 (pieces)
Therefore, 128 private IP addresses can be handled. 128 pools are created and stored in the
アドレス割り当て部500は、ユーザの回線接続時に、プライベートIPアドレス(例えば「10.0.0.1」)を割り当て(S112)、このプライベートIPアドレスに対し、プール(例えば、「グローバルIPアドレス192.0.2.1とポート番号の範囲49152から51151まで」)を自動的に割り当て、変換規則を作成し、プール記憶部400に記憶する(S113)。同時に、アドレス装置変換装置は、割り当てログ記憶部630に割り当てログBと変換規則を保存する(S114)。なお、回線切断時には、プール記憶部400は、切断したプライベートIPアドレスをプール記憶部400から削除し「空き」とする。
The
実施例2の場合、プール記憶部400のプールを確認しなくても、割り当てログ記憶部630に保存される割り当てログBと変換規則と着信ログからユーザを一意に特定することができる。また、プールを変更しても、記憶部630には、回線接続時の割り当てログBと変換規則が保存される。記憶部630に記録されるログは、コネクション確立毎ではなく、回線接続毎になるため、実施例1と同様に外部記憶装置900に変換ログを保存する必要がなくなる。
In the case of the second embodiment, the user can be uniquely identified from the allocation log B, the conversion rule, and the incoming call log stored in the allocation
[変形例]
以下、実施例2と異なる部分のみ説明する。変形例のアドレス変換装置は、ユーザ回線接続時に、管理サーバ等を用いて、ユーザの認証を行い、IPアドレスを割り当てる。図18に変形例のインターネット接続サービスのシステム構成例、図19に変形例のNAT装置の機能構成例、図20にプライベートIPアドレスの割り当て方法を示す。ユーザ回線接続時には、NAT装置3000は、ユーザIDとパスワード等を管理サーバ700に認証を要求する(S111)。認証が許可された場合には、実施例2と同様に、プライベートIPアドレスを割り当てる。
[Modification]
Only the parts different from the second embodiment will be described below. The address translation device according to the modification uses a management server or the like to authenticate a user and assign an IP address when the user line is connected. FIG. 18 shows a system configuration example of the modified Internet connection service, FIG. 19 shows a functional configuration example of the NAT device of the modified example, and FIG. 20 shows a private IP address assignment method. When the user line is connected, the
変形例では、変換規則を作成し、プール記憶部400に記憶する(S113)のと同時に、割り当てログ記憶部630に割り当てログBと変換規則を保存するのに、代わって、アドレス割り当て部500は、RADIUS(Remote Authentication Dial In User Service)プロトコル(RFC2865及びRFC2866参照)等を用いて、ユーザに割り当てたプライベートIPアドレスを管理サーバ700に通知する(S115)。管理サーバ700内には、割り当てログBと変換規則が保存される。
実施例1,2において、アドレス変換装置をISPが使用する場合について、述べたが、小規模LAN等でアドレス変換装置を使用する場合も含む。
In the modified example, the conversion rule is created and stored in the pool storage unit 400 (S113). At the same time, the allocation log B and the conversion rule are stored in the allocation
In the first and second embodiments, the case where the ISP uses the address translation device has been described, but the case where the address translation device is used in a small-scale LAN or the like is also included.
上述においてアドレス変換装置は、ルータやゲートウェイ等に実装されていてもよい。アドレス変換装置は、コンピュータにより機能させてもよい。その場合は、各過程をコンピュータにより実行させるためのプログラムを、CD−ROM、磁気ディスク、半導体記憶装置などの記録媒体からインストールし、あるいは通信回線を通じてダウンロードして、そのコンピュータにそのプログラムを実行させればよい。 In the above description, the address translation device may be mounted on a router, a gateway, or the like. The address translation device may function by a computer. In that case, a program for causing the computer to execute each process is installed from a recording medium such as a CD-ROM, a magnetic disk, or a semiconductor storage device, or downloaded through a communication line, and the program is executed by the computer. Just do it.
1000,2000,3000 NAT装置
100 パケット転送部 200 変換状況保持部
300 パケット変換部 400 プール記憶部
500 アドレス割り当て部
1000, 2000, 3000
Claims (5)
グローバルIPアドレスとポート番号の範囲の組合せであるプールをプライベートIPアドレスの数以上と、該プールと対応するプライベートIPアドレスが記憶されるプール記憶部と、
該第一の端末からのパケットを受信し、アドレス変換後のパケットを該第二の端末へ送信するパケット転送部と、
該パケット転送部を介して受信したパケットから該プライベートIPアドレスを取得し、該プライベートIPアドレスに対応するプールの情報を該プール記憶部から取得し、さらに、該プールのポート番号の範囲の中からポート番号を決定し、該受信したパケットのプライベートIPアドレスとポート番号を、決定した該プールのグローバルIPアドレスとポート番号に変換するパケット変換部と、を有し、
該ポート番号の範囲には、複数のポート番号が含まれ、
該アドレス変換装置設定時に、プライベートIPアドレスとプールの対応を決定しプール記憶部へ記憶すること、
を特徴とするアドレス変換装置。 An address translation device that performs address translation during communication between a first terminal in a private IP address network and a second terminal in a global IP address network,
A pool that is a combination of a range of global IP addresses and port numbers, and more than the number of private IP addresses; a pool storage unit that stores private IP addresses corresponding to the pools;
A packet transfer unit that receives a packet from the first terminal and transmits the address-converted packet to the second terminal;
The private IP address is acquired from the packet received via the packet transfer unit, the pool information corresponding to the private IP address is acquired from the pool storage unit, and further, from the range of port numbers of the pool A packet conversion unit that determines a port number and converts the private IP address and port number of the received packet into the determined global IP address and port number of the pool ;
The port number range includes a plurality of port numbers,
Determining the correspondence between the private IP address and the pool at the time of setting the address translation device, and storing it in the pool storage unit;
An address translator characterized by the above .
グローバルIPアドレスとポート番号の範囲の組合せであるプールをプライベートIPアドレスの数以上と、該プールと対応するプライベートIPアドレスが記憶されるプール記憶部と、
該第一の端末からのパケットを受信し、アドレス変換後のパケットを該第二の端末へ送信するパケット転送部と、
該パケット転送部を介して受信したパケットから該プライベートIPアドレスを取得し、該プライベートIPアドレスに対応するプールの情報を該プール記憶部から取得し、さらに、該プールのポート番号の範囲の中からポート番号を決定し、該受信したパケットのプライベートIPアドレスとポート番号を、決定した該プールのグローバルIPアドレスとポート番号に変換するパケット変換部と、
プライベートIPアドレスネットワーク内の第一の端末の回線接続に伴って、動的に、該第一の端末に対してプライベートIPアドレスを割り当て、さらに該プライベートIPアドレスとプールの対応を決定しプール記憶部へ記憶するアドレス割り当て部と、
前記アドレス割り当て部で決定したIPアドレスとプールの対応を、回線接続に係わらず記憶しておく割り当てログ記憶部と、を有し、
該ポート番号の範囲には、複数のポート番号が含まれる、
ことを特徴とするアドレス変換装置。 An address translation device that performs address translation during communication between a first terminal in a private IP address network and a second terminal in a global IP address network,
A pool that is a combination of a range of global IP addresses and port numbers, and more than the number of private IP addresses; a pool storage unit that stores private IP addresses corresponding to the pools;
A packet transfer unit that receives a packet from the first terminal and transmits the address-converted packet to the second terminal;
The private IP address is acquired from the packet received via the packet transfer unit, the pool information corresponding to the private IP address is acquired from the pool storage unit, and further, from the range of port numbers of the pool A packet conversion unit that determines a port number and converts the private IP address and port number of the received packet into the determined global IP address and port number of the pool;
As the first terminal in the private IP address network is connected to the line, a private IP address is dynamically assigned to the first terminal, and a correspondence between the private IP address and the pool is determined, and a pool storage unit An address assignment unit for storing
An allocation log storage unit for storing the correspondence between the IP address determined by the address allocation unit and the pool regardless of the line connection;
The port number range includes a plurality of port numbers.
An address translation device characterized by that .
プール記憶部は、1つのプライベートIPアドレスに対して複数のプールが記憶されること、
を特徴とするアドレス変換装置。 The address translation device according to claim 1 or 2 , wherein
The pool storage unit stores a plurality of pools for one private IP address,
An address translator characterized by the above.
プロトコル種別、発信元プライベートIPアドレス、発信元ポート番号と変換後グローバルIPアドレス、変換後ポート番号、着信先グローバルアドレス、着信先ポート番号、及びコネクション時刻を保持する変換状況保持部を有すること、
を特徴とするアドレス変換装置。 The address translation device according to any one of claims 1 to 3 ,
Having a conversion status holding unit that holds a protocol type, a source private IP address, a source port number and a converted global IP address, a converted port number, a destination global address, a destination port number, and a connection time;
An address translator characterized by the above.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008111689A JP4705656B2 (en) | 2008-04-22 | 2008-04-22 | Address translation device, address translation program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008111689A JP4705656B2 (en) | 2008-04-22 | 2008-04-22 | Address translation device, address translation program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009267522A JP2009267522A (en) | 2009-11-12 |
JP4705656B2 true JP4705656B2 (en) | 2011-06-22 |
Family
ID=41392864
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008111689A Active JP4705656B2 (en) | 2008-04-22 | 2008-04-22 | Address translation device, address translation program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4705656B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013069927A1 (en) * | 2011-11-11 | 2013-05-16 | Samsung Electronics Co., Ltd. | Method and apparatus for provisioning network address translator traversal methods |
US8891540B2 (en) | 2012-05-14 | 2014-11-18 | Juniper Networks, Inc. | Inline network address translation within a mobile gateway router |
US9178846B1 (en) | 2011-11-04 | 2015-11-03 | Juniper Networks, Inc. | Deterministic network address and port translation |
US9258272B1 (en) | 2011-10-21 | 2016-02-09 | Juniper Networks, Inc. | Stateless deterministic network address translation |
US10129207B1 (en) | 2015-07-20 | 2018-11-13 | Juniper Networks, Inc. | Network address translation within network device having multiple service units |
US10469446B1 (en) | 2016-09-27 | 2019-11-05 | Juniper Networks, Inc. | Subscriber-aware network address translation |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101083494B1 (en) * | 2010-06-16 | 2011-11-16 | 엔에이치엔(주) | System and method for binary packet relay |
CN102377833B (en) | 2010-08-19 | 2015-07-22 | 华为技术有限公司 | Method and device for managing network address translation |
EP2671399A1 (en) | 2011-02-01 | 2013-12-11 | Telefonaktiebolaget L M Ericsson (PUBL) | Method and apparatus for pcc support for scenarios with nat/napt in the pdn-gw |
JP2014039135A (en) * | 2012-08-15 | 2014-02-27 | Nec Corp | Napt device, communication system, and port number granting method used for the same, and program for the same |
JP6256773B2 (en) * | 2016-05-11 | 2018-01-10 | アライドテレシスホールディングス株式会社 | Security system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000270004A (en) * | 1999-01-12 | 2000-09-29 | Yamaha Corp | Router |
JP2002123491A (en) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication proxy method, device and system |
JP2003124962A (en) * | 2001-10-18 | 2003-04-25 | Fujitsu Ltd | Packet transferring apparatus and method, and semiconductor device |
JP2007165990A (en) * | 2005-12-09 | 2007-06-28 | Hitachi Ltd | Ip address conversion method, and information processor |
JP2007266863A (en) * | 2006-03-28 | 2007-10-11 | Konami Digital Entertainment:Kk | Communication system, communication method, and program |
-
2008
- 2008-04-22 JP JP2008111689A patent/JP4705656B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000270004A (en) * | 1999-01-12 | 2000-09-29 | Yamaha Corp | Router |
JP2002123491A (en) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication proxy method, device and system |
JP2003124962A (en) * | 2001-10-18 | 2003-04-25 | Fujitsu Ltd | Packet transferring apparatus and method, and semiconductor device |
JP2007165990A (en) * | 2005-12-09 | 2007-06-28 | Hitachi Ltd | Ip address conversion method, and information processor |
JP2007266863A (en) * | 2006-03-28 | 2007-10-11 | Konami Digital Entertainment:Kk | Communication system, communication method, and program |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9258272B1 (en) | 2011-10-21 | 2016-02-09 | Juniper Networks, Inc. | Stateless deterministic network address translation |
US9178846B1 (en) | 2011-11-04 | 2015-11-03 | Juniper Networks, Inc. | Deterministic network address and port translation |
US9614761B1 (en) | 2011-11-04 | 2017-04-04 | Juniper Networks, Inc. | Deterministic network address and port translation |
WO2013069927A1 (en) * | 2011-11-11 | 2013-05-16 | Samsung Electronics Co., Ltd. | Method and apparatus for provisioning network address translator traversal methods |
US8891540B2 (en) | 2012-05-14 | 2014-11-18 | Juniper Networks, Inc. | Inline network address translation within a mobile gateway router |
US10129207B1 (en) | 2015-07-20 | 2018-11-13 | Juniper Networks, Inc. | Network address translation within network device having multiple service units |
US10469446B1 (en) | 2016-09-27 | 2019-11-05 | Juniper Networks, Inc. | Subscriber-aware network address translation |
Also Published As
Publication number | Publication date |
---|---|
JP2009267522A (en) | 2009-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4705656B2 (en) | Address translation device, address translation program | |
US8902743B2 (en) | Distributed and scalable network address translation | |
US7283544B2 (en) | Automatic network device route management | |
US6434600B2 (en) | Methods and systems for securely delivering electronic mail to hosts having dynamic IP addresses | |
WO2017054526A1 (en) | Arp entry generation method and device | |
US7529810B2 (en) | DDNS server, a DDNS client terminal and a DDNS system, and a web server terminal, its network system and an access control method | |
RU2413982C2 (en) | Branch office dns storage and resolution | |
EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
JP4354294B2 (en) | Gateway device connected to a plurality of networks having different network segments, and program and method for transferring IP packet | |
US20080250407A1 (en) | Network group name for virtual machines | |
WO2011065708A2 (en) | System and method for managing ipv6 address and access policy | |
US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
JP4912996B2 (en) | Information processing apparatus and computer system | |
US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
US8799428B2 (en) | Automated provisioning of new networked devices | |
CN111064804A (en) | Network access method and device | |
CN104506667B (en) | A kind of distribution method and device of port resource, user authentication management device | |
WO2021121040A1 (en) | Broadband access method and apparatus, device, and storage medium | |
CN102148882B (en) | Dynamic domain name analytic method and system after deployment of NAT | |
US9929951B1 (en) | Techniques for using mappings to manage network traffic | |
CN111970250B (en) | Method for identifying account sharing, electronic device and storage medium | |
JP5300650B2 (en) | Service registration apparatus, content registration apparatus, service registration method, content registration method, program, and recording medium using http service | |
JP2007074059A (en) | Communication support apparatus, system, communication method, and computer program | |
JP4498984B2 (en) | Service providing apparatus and communication control program | |
WO2003079615A1 (en) | Address assigning device and router |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101025 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101102 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110222 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110311 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4705656 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |