CN103210614B - 中继服务器及中继通信系统 - Google Patents
中继服务器及中继通信系统 Download PDFInfo
- Publication number
- CN103210614B CN103210614B CN201180054596.8A CN201180054596A CN103210614B CN 103210614 B CN103210614 B CN 103210614B CN 201180054596 A CN201180054596 A CN 201180054596A CN 103210614 B CN103210614 B CN 103210614B
- Authority
- CN
- China
- Prior art keywords
- relay server
- routing device
- information
- client terminal
- address filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/021—Ensuring consistency of routing table updates, e.g. by using epoch numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5603—Access techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种中继服务器,具有VPN组信息存储部、地址过滤器信息存储部和通信控制部。VPN组信息存储部存储构成VPN组的路由设备的识别信息和表示相互连接的所述路由设备的路由会话信息。地址过滤器信息存储部将表示路由设备能够指定为包的发送目的地的对象的地址过滤器信息、与该路由设备的识别信息相对应地进行存储。通信控制部当在VPN组中起用VPN时进行如下控制:根据从路由设备接收到的地址过滤器信息更新地址过滤器信息存储部的存储内容,并且根据路由会话信息建立路由会话。
Description
技术领域
本发明主要涉及能够实现与不同LAN(Local Area Network:局域网)连接的终端之间的通信的中继服务器。
背景技术
过去已经公知有被称为虚拟专用网(Virtual Private Network:VPN)的通信技术(例如,参照专利文献1)。该VPN例如被用于这样的用途中,即,使与按照每个地区设置的多个分公司(据点)的LAN连接的终端之间通过因特网进行通信。如果利用所述VPN,能够如同是被直接连接的网络般地使用处于遥远地区的其它LAN。
现有技术文献
专利文献
专利文献1:日本特开2002-217938号公报
发明概要
发明要解决的问题
但是,这种系统容易成为僵硬的系统,构建具有扩展性、灵活性的系统并非易事。例如,诸如上述专利文献1那样的通信系统不能仅利用从构成系统的设备中选择的一部分设备来构建虚拟网络。并且,即使是最初能够使虚拟网络正常工作,但是例如在产生了网络设备的结构变化、设定的变更等的情况下,认为以后将不能构建合适的虚拟网络。
发明内容
本发明正是鉴于上述情况而提出的,其主要目的在于提供一种中继服务器,能够灵活应对网络的状况发生变化的情况,来起用虚拟网络。
用于解决问题的手段及效果
本发明需要解决的课题如上所述,下面对用于解决该课题的手段及其效果进行说明。
根据本发明的第一观点提供如下结构的中继服务器。即,该中继服务器具有中继组信息存储部、中继服务器信息存储部、VPN组信息存储部、地址过滤器信息存储部和通信控制部。所述中继组信息存储部存储包括能够与本中继服务器之间相互连接的其它中继服务器在内的中继组的信息。所述中继服务器信息存储部存储包括属于所述中继组的所述中继服务器的起动信息、和与属于所述中继组的所述中继服务器连接的客户端终端的起动信息及注册信息在内的中继服务器信息。所述VPN组信息存储部按照VPN组来存储构成该VPN组的路由设备的识别信息、以及表示建立路由会话并相互连接的所述路由设备的连接信息,所述VPN组由所述路由设备构成,并经由该路由设备而通过虚拟专用网进行通信,所述路由设备是指在构成中继通信系统的通信设备中、根据所述中继组信息和所述中继服务器信息被设定为路由点的通信设备。所述地址过滤器信息存储部将表示所述路由设备能够指定为包的发送目的地的对象的地址过滤器信息、与该路由设备的识别信息相对应地进行存储。所述通信控制部进行如下控制:使所述路由设备之间共享所述VPN组信息存储部中存储的信息;当在所述VPN组中起用虚拟专用网时,向其它所述路由设备发送所述地址过滤器信息,同时从该路由设备接收所述地址过滤器信息,根据该地址过滤器信息更新所述地址过滤器信息存储部的存储内容,并且根据在所述VPN组信息存储部中存储的所述连接信息,建立用于对包进行路由的路由会话;以及,在建立路由会话后,参照所述路由设备能够根据所述地址过滤器信息指定为发送目的地的对象,根据该内容进行路由。
由此,中继服务器能够和从构成中继通信系统的其它通信设备(其它中继服务器和客户端终端)中选择的路由设备构建VPN,因而能够仅和必要的通信设备之间进行文件的共享等。并且,当在VPN组中起用VPN时,中继服务器已从其它路由设备取得地址过滤器信息,因而可以构建也能够应对存在地址过滤器信息被变更的路由设备的情况等的VPN。
优选的是,在所述中继服务器中,所述VPN组信息存储部存储最先进行用于建立路由会话的通信控制的一侧的所述路由设备的识别信息、和接受该通信控制的一侧的所述路由设备的识别信息,作为所述连接信息。
由此,当在VPN组中起用VPN时,为了在相互连接的两个路由设备之间建立路由会话,可以预先规定最先由哪个路由设备进行通信控制。因此,能够防止通信控制的冲突。
优选在所述中继服务器中采用如下结构。即,中继服务器当在与本中继服务器的识别信息对应的所述地址过滤器信息中指定了接收到的包的收件方时,向该收件方发送包。中继服务器当在与本中继服务器以外的所述路由设备的识别信息对应的所述地址过滤器信息中指定了接收到的包的收件方时,通过在本中继服务器和该路由设备之间建立的路由会话向该路由设备发送包。中继服务器当在与所述路由设备的识别信息对应的所述地址过滤器信息中没有指定接收到的包的收件方时,不发送包。
由此,中继服务器能够根据地址过滤器信息适当进行路由。
优选在所述中继服务器中采用如下结构。即,在从由第1通信设备构成VPN组的第1状态切换为由第2通信设备构成VPN组的第2状态的情况下,在第1状态下的所述第1通信设备和第2状态下的所述第2通信设备具有相同的识别信息时,所述通信控制部进行如下控制:当在所述第2状态下起用虚拟专用网时,使在所述第1状态下的第1通信设备的连接对象和所述第2通信设备之间通过本中继服务器建立路由会话,所述第1通信设备是经由其它中继服务器连接到广域通信网的所述路由设备,而所述第2通信设备通过本中继服务器连接到广域通信网。
由此,可以构建也能够灵活应对VPN组的结构越过中继服务器而发生变化的情况的VPN。并且,能够有效运用第1状态下的VPN组信息,在第2状态下构建VPN。
优选的是,在所述中继服务器中,所述地址过滤器信息存储部能够存储所述路由设备能够指定为包的发送目的地的对象的名称。
由此,例如在参照地址过滤器信息时等,用户不仅能够得知能够发送包的对象的IP地址等,而且同时能够得知其名称。
优选的是,在所述中继服务器中,所述通信控制部进行如下控制:当在所述VPN组中起用虚拟专用网后,在与本中继服务器的识别信息对应的所述地址过滤器信息被更新时通知该更新内容。
由此,当在VPN组中起用虚拟专用网后,中继服务器能够将与本中继服务器对应的地址过滤器信息被更新了的情况通知其它路由设备等。因此,能够使其它路由设备进行与地址过滤器信息的变更对应的适当处理。
优选的是,在所述中继服务器中,所述通信控制部当在所述VPN组中起用虚拟专用网后接收到所述地址过滤器信息被更新了的通知时,在不停止虚拟专用网的状态下进行如下控制:根据该更新内容更新所述地址过滤器信息存储部的存储内容;参照所述路由设备能够根据被更新后的所述地址过滤器信息指定为发送目的地的对象,根据该内容进行路由。
由此,能够在维持VPN的状态下,增减路由设备能够指定为包的发送目的地的对象。
优选的是,在所述中继服务器中,所述通信控制部进行如下控制:当在所述VPN组中起用虚拟专用网后,在检测到某个路由设备不作为所述VPN组的构成要素发挥作用时,在不停止虚拟专用网的状态下、停止与该路由设备之间建立的路由会话。
由此,中继服务器在检测到某个路由设备由于连接不良或者维修等而不作为VPN组的构成要素发挥作用时,能够在维持VPN的状态下停止与该路由设备之间建立的路由会话。因此,可以构建也能够灵活应对状况变化的VPN。
优选在所述中继服务器中采用如下结构。即,所述中继服务器信息存储部将本中继服务器以外的中继服务器即第2中继服务器的识别信息、和经由该第2中继服务器连接到广域通信网的客户端终端的识别信息相对应地进行存储。所述通信控制部在检测到所述第2中继服务器的通信停止时,根据所述VPN组信息存储部和所述中继服务器信息存储部的存储内容,判定在经由所述第2中继服务器连接到广域通信网的客户端终端中是否存在作为路由点发挥作用的客户端终端。并且,如果存在作为路由点发挥作用的客户端终端,所述通信控制部进行使与该客户端终端之间建立的路由会话停止的控制。
由此,中继服务器仅通过检测其它中继服务器的通信停止,即可使与该其它中继服务器连接、而且与作为路由点发挥作用的客户端终端之间建立的路由会话停止。因此,不需要从客户端终端侧发送表示不再作为VPN组发挥作用的信号。
优选的是,在所述中继服务器中,所述通信控制部在检测到某个路由设备不作为所述VPN组的构成要素发挥作用时进行如下控制:在该路由设备不再作为所述VPN组的构成要素发挥作用的结果是作为该VPN组的构成要素的路由设备变为一台的情况下,使该VPN组停止。
由此,能够使实质上不再作为网络发挥作用的VPN自动停止。
根据本发明的第二观点提供如下结构的中继通信系统。即,该中继通信系统具有多个中继服务器和客户端终端。所述客户端终端能够经由所述中继服务器相互连接。所述中继服务器具有中继组信息存储部、中继服务器信息存储部、VPN组信息存储部、地址过滤器信息存储部和通信控制部。所述中继组信息存储部存储包括能够与该中继服务器之间相互连接的其它中继服务器在内的中继组的信息。所述中继服务器信息存储部存储包括属于所述中继组的所述中继服务器的起动信息、和所述客户端终端的起动信息及注册信息在内的中继服务器信息。所述VPN组信息存储部按照VPN组来存储构成该VPN组的路由设备的识别信息、以及表示相互连接的所述路由设备的连接信息,所述VPN组由所述中继服务器及所述客户端终端中被设定为路由点的所述路由设备构成,并经由该路由设备而通过虚拟专用网进行通信。所述地址过滤器信息存储部将作为包的发送目的地的表示所述路由设备能够指定的对象的地址过滤器信息、与该路由设备的识别信息相对应地进行存储。所述通信控制部进行如下控制:使所述路由设备之间共享所述VPN组信息存储部中存储的信息;当在所述VPN组中起用虚拟专用网时,向其它所述路由设备发送所述地址过滤器信息,并且从该路由设备接收所述地址过滤器信息,并更新该地址过滤器信息存储部的存储内容,并且根据在所述VPN组信息存储部中存储的所述连接信息,建立能够对包进行路由的路由会话;以及,在建立路由会话后,参照所述路由设备能够根据所述地址过滤器信息指定为发送目的地的对象,根据该内容进行路由。
由此,能够使用从中继服务器和客户端终端中选择的路由设备构建VPN,因而能够仅和必要的设备之间进行文件的共享等。并且,该中继通信系统当在VPN组中起用VPN时使路由设备相互传递地址过滤器信息,因而可以构建也能够应对存在地址过滤器信息被变更的路由设备的情况等的VPN。
在所述中继通信系统中,所述中继服务器的所述通信控制部进行如下控制:当在所述VPN组中起用虚拟专用网后,在与本中继服务器的识别信息对应的所述地址过滤器信息被更新时通知该更新内容。
由此,各个中继服务器当在VPN组中起用虚拟专用网后,能够将与本中继服务器对应的地址过滤器信息被更新了的情况通知其它路由设备等。因此,能够使其它路由设备进行与地址过滤器信息的变更对应的适当处理。
优选的是,在所述中继通信系统中,所述中继服务器的所述通信控制部进行如下控制:当在所述VPN组中起用虚拟专用网后,在检测到某个路由设备不作为所述VPN组的构成要素发挥作用时,在不停止虚拟专用网的状态下、停止与该路由设备之间建立的路由会话。
由此,各个中继服务器在检测到某个路由设备由于连接不良或者维修等而不作为VPN组的构成要素发挥作用时,能够在维持VPN的状态下使与该路由设备之间建立的路由会话停止。因此,可以构建也能够灵活应对状况变化的VPN。
附图说明
图1是表示本发明的一个实施方式涉及的中继通信系统的整体结构的说明图。
图2是中继服务器的功能块图。
图3是表示中继组信息的内容的图。
图4是表示中继服务器信息的内容的图。
图5是表示客户端终端信息的内容的图。
图6是表示VPN组信息的内容的图。
图7是表示地址过滤器信息存储部的存储内容的图。
图8是表示生成VPN组的处理的流程图。
图9是表示起用VPN的处理的前半部分的流程图。
图10是表示起用VPN的处理的后半部分的流程图。
图11是表示生成VPN组的通信处理以及更新地址过滤器信息的通信处理的序列图。
图12是表示建立路由会话的通信处理以及进行包的发送的通信处理的序列图。
图13是表示进行远程登入时的通信处理的序列图。
图14是表示经由远程登入中的客户端终端发送包时的通信处理的序列图。
图15是表示根据在远程登入时生成的地址过滤器信息而被更新后的地址过滤器信息存储部的存储内容的图。
图16是表示在VPN起用后地址过滤器信息被变更时的通信处理的序列图。
图17是表示与中继服务器3对应的地址过滤器信息被更新后的地址过滤器信息存储部的存储内容的图。
图18是表示接收到表示路由设备停止的通知时的处理的前半部分的流程图。
图19是表示接收到表示路由设备停止的通知时的处理的后半部分的流程图。
图20是表示中继服务器3脱离VPN时的通信处理的序列图。
图21是表示中继服务器2停止时的通信处理的序列图。
具体实施方式
下面,参照附图说明本发明的实施方式。首先,参照图1说明本实施方式的中继通信系统100的概况。图1是表示本发明的一个实施方式的中继通信系统100的整体结构的说明图。
如图1所示,该中继通信系统100由与Wide Area Network(WAN:广域通信网)80连接的多个LAN10、20、30、40构成。各个LAN10、20、30、40是在限定的场所中构建的规模比较小的网络,分别构建于物理上相离开的场所。另外,在本实施方式中,WAN80使用因特网。
下面具体说明各个LAN。如图1所示,LAN10与中继服务器1、客户端终端11、和处理装置12连接。LAN20与中继服务器2、客户端终端21、处理装置22、和处理装置23连接。LAN30与中继服务器3、客户端终端31、处理装置32、和处理装置33连接。LAN40与中继服务器4、客户端终端41、和处理装置42连接。
各个中继服务器1、2、3、4不仅与LAN10、20、30、40连接,而且也与WAN80连接,因而不仅能够与连接于同一个LAN的客户端终端进行通信,而且也能够与被配置在其它LAN中的中继服务器进行通信。因此,中继服务器1、2、3、4除全球IP地址外,还被赋予了专用IP地址。
客户端终端11、21、31、41例如由个人电脑构成,能够经由中继服务器1、2、3、4相互进行通信。处理装置12、22、23、32、33、42例如由个人电脑构成,能够经由LAN10、20、30、40向客户端终端11、21、31、41发送包。
下面说明中继服务器1、2、3、4。另外,这4个中继服务器除了所存储的一部分数据之外,其余是大致相同的结构,因而以中继服务器1为代表进行说明。首先,参照图2说明中继服务器1具有的结构。图2是中继服务器1、2、3、4的功能块图。
如图2所示,中继服务器1具有存储部50、控制部60、和接口部70。
接口部70能够利用专用IP地址与LAN10内的终端进行通信。并且,接口部70能够利用全球IP地址经由WAN80进行通信。
控制部60例如是具有控制及运算的功能的CPU,能够按照从存储部50读出的程序执行各种处理。该控制部60能够控制依据于TCP/IP、UDP、SIP等协议的各种通信处理。如图2所示,控制部60具有接口驱动器61、LAN侧IP包处理部62、通信控制部63、WAN侧IP包处理部64。
接口驱动器61是控制接口部70的驱动器软件。LAN侧IP包处理部62对从LAN10接收到的包进行适当的处理,并输出给通信控制部63。WAN侧IP包处理部64对从WAN80接收到的包进行适当的处理,并输出给通信控制部63。
通信控制部63对于接收到的包,根据该包所示出的信息和在存储部50中存储的信息来确定发送目的地,并向所确定的发送目的地进行发送。并且,通信控制部63能够根据从其它终端接收到的信息更新存储部50的存储内容。
存储部50例如由硬盘或者非易失性RAM构成,能够保存各种数据。存储部50具有中继组信息存储部51、中继服务器信息存储部52、客户端终端信息存储部53、VPN组信息存储部54、和地址过滤器信息存储部55。下面,参照图3~图7来说明存储部50具有的结构。图3是表示中继组信息的内容的图。图4是表示中继服务器信息的内容的图。图5是表示客户端终端信息的内容的图。图6是表示VPN组信息的内容的图。图7是表示地址过滤器信息的内容的图。
中继组信息存储部51存储有表示中继组和构成该中继组的中继服务器的中继组信息。
如图3所示,在中继组信息中记述有组标签(group tag)、和以该组标签为母要素的子要素的站点标签(site tag)。在组标签中记述有与中继组相关的组信息511。作为该组信息511记述有中继组的识别信息(“id”)、最终更新时刻(“lastmod”)、和中继组的名称(“name”)。在站点标签中记述有与构成中继组的中继服务器相关的组结构信息512。在该组结构信息512中记述有该中继服务器的识别信息(“id”)。并且,中继组是能够追加生成的,在这种情况下,对于新的中继组赋予与其它中继组不同的唯一的识别信息。由此,能够仅在特定的中继组内进行数据的传递等的设定。
另外,关于该中继组信息,在构成该中继组的中继服务器1、2、3、4之间共享信息。并且,当在某个中继服务器中进行了变更中继组的处理的情况下,向其它中继服务器发送该情况,中继组信息被更新。这样,能够动态地共享中继组信息。
中继服务器信息存储部52存储有表示进行中继通信的中继服务器以及属于该中继服务器的客户端终端的概况的中继服务器信息。
在图4所示的中继服务器信息中,记述有按照每个中继服务器记述的站点标签、和以所述站点标签为母要素的子要素的节点标签(node tag)。在站点标签中记述有与中继服务器1相关的服务器信息521。作为该服务器信息521记述有中继服务器的识别信息(“id”)、中继服务器的名称(“name”)、和起动信息(“stat”)。另外,在stat的内容是“active”时,表示中继服务器已登入中继通信系统100,在stat是空白栏时表示登出中。在作为站点标签的子要素的节点标签中,记述有表示属于中继服务器的客户端终端的所属信息522。作为所属信息522记述有所属的中继组的名称(“group”)、客户端终端的识别信息(“id”)、客户端终端的名称(“name”)、登入目的地的中继服务器的识别信息(“site”)。另外,在客户端终端没有登入中继服务器(中继通信系统100)时,“site”为空白栏。
另外,基于中继组的通信是根据上述的中继组信息和中继服务器信息按照如下所述进行的。例如,在从客户端终端11向客户端终端21发送包的情况下,首先客户端终端11向本客户端终端11所连接的中继服务器即中继服务器1发送包。另外,根据上述的中继组信息了解到能够进行包的传递的中继服务器,而且,根据中继服务器信息了解到属于中继服务器的客户端终端的识别信息以及可否连接。中继服务器1根据这些信息向客户端终端21连接的中继服务器即中继服务器2发送包。并且,该中继服务器2向客户端终端21发送包。这样能够在客户端终端彼此之间进行中继通信。
关于该中继服务器信息,与中继组信息相同地,也在构成该中继组的中继服务器1、2、3、4之间共享信息。并且,当在某个中继服务器中进行了变更中继服务器信息的处理时,向其它中继服务器发送该情况,中继服务器信息被更新。这样动态地共享中继服务器信息。
客户端终端信息存储部53存储有与客户端终端相关的详细信息即客户端终端信息。另外,中继服务器1、2、3、4仅存储有与属于本中继服务器的客户端终端相关的客户端终端信息。例如,如图1所示,客户端终端11属于中继服务器1,因而在中继服务器1具有的客户端终端信息存储部53中仅存储有客户端终端11的客户端终端信息。
中继服务器1的客户端终端信息存储部53存储的客户端终端信息如图5(a)所示。同样,中继服务器2存储的客户端终端信息如图5(b)所示,中继服务器3存储的客户端终端信息如图5(c)所示,中继服务器4存储的客户端终端信息如图5(d)所示。
在图5所示的客户端终端信息中记述有节点标签。在该节点标签中记述有客户端终端的专用IP地址(“addr”)、所属的中继组的名称(“group”)、识别信息(“id”)、名称(“name”)、用于登入中继服务器的密码(“pass”)、和端口信息(“port”)。
VPN组信息存储部54存储有与VPN组相关的信息即VPN组信息,该VPN组由从构成中继组的中继服务器和客户端终端中选择的设备(下面称为路由设备)构成。VPN组是在中继组内构成的组,通过在路由设备彼此之间建立路由会话,能够构建虚拟网络。
在图6所示的VPN组信息中记述有vnet标签。在该vnet标签中记述有VPN组基本信息541、路由点信息542、和路由会话信息543。在VPN组基本信息541中记述有VPN组所属的中继组的名称(“group”)、VPN组的识别信息(“id”)、最终更新时刻(“lastmod”)、和VPN组的名称(“name”)。在路由点信息542中记述有当在VPN组之间进行通信时进行路由的路由设备的识别信息。在图6的示例中,作为路由设备,记述有客户端终端11、客户端终端21、和中继服务器3。在路由会话信息543中记述有在VPN组中相互连接的路由设备。在路由会话信息543中,在用于在VPN组中起用VPN的路由会话建立处理中,将路由设备区分确定为最先进行通信控制的一侧(“sp(start point)”)、和接受该通信控制的一侧“ep(end point)”。另外,在下面的说明中,将最先进行路由会话建立用的通信控制的一侧的路由设备称为“起始点”,将接受该通信控制的一侧的路由设备称为“终止点”。
关于该VPN组信息,与中继服务器信息及中继组信息相同地,也在构成VPN组的中继服务器1、2、3之间共享信息。并且,当在某个中继服务器中进行了变更VPN组信息的处理时,向构成VPN组的其它中继服务器发送该情况,VPN组信息被更新。这样动态地共享VPN组信息。另外,关于生成该VPN组的处理将在后面进行说明。
地址过滤器信息存储部55存储有地址过滤器信息,该地址过滤器信息表示在起用VPN而路由设备进行路由时,该路由设备能够发送(能够转发)包的对象。
图7(a)表示与路由设备对应的地址过滤器信息的内容。如图7(a)所示,客户端终端11能够将接收到的包发送(转发)给处理装置12。客户端终端21能够将接收到的包发送给处理装置22和处理装置23。中继服务器3能够将接收到的包发送给与LAN30连接的所有设备。
地址过滤器信息存储部55如图7(b)所示,将路由设备的识别信息和该路由设备能够指定为包的发送目的地的对象的IP地址及名称相对应地进行存储。关于能够指定为包的发送目的地的对象的名称,能够设定用户容易识别的名称等任意名称,例如可以考虑设备和LAN的配置场所等进行设定。另外,各个路由设备能够在显示器等中显示该地址过滤器信息。并且,该地址过滤器信息构成为在起用VPN时被在路由设备彼此之间进行传递。
中继服务器1、2、3、4按照如上所述而构成。另外,关于客户端终端11、21、31、41的结构,实质上是与中继服务器1、2、3、4相同地构成的,具有存储部50和控制部60,但省略详细说明。
下面,对构建VPN组并在所构建的VPN组中进行包的路由时的处理进行说明。
首先,参照图8和图11说明构建VPN组时的流程。图8是表示生成VPN组的处理的流程图。图11是表示生成VPN组的通信处理以及更新地址过滤器信息的通信处理的序列图。
利用中继通信系统100的用户通过操作客户端终端11、21、31等,能够显示VPN组的设定画面。在此说明使用客户端终端11进行设定的情况。在显示于客户端终端11的设定画面中,显示该客户端终端11所属的多个中继组。用户从该多个中继组中选择想要构建VPN组的中继组(S101)。
在选择中继组后,在客户端终端11的画面中显示如下中继服务器及客户端终端的识别信息的一览(S102),该中继服务器是属于所选择的中继组,而且能够作为路由点发挥作用的中继服务器。并且,用户选择使在构建的VPN组中作为路由点发挥作用的中继服务器及客户端终端的识别信息(S103)。在此次的说明中,假设客户端终端11、客户端终端21和中继服务器3的识别信息被用户选择了。
另外,根据该选择的路由点生成路由会话信息(S104)。并且,根据所选择的中继服务器等的识别信息生成路由点的识别信息(S104)。通过对这些生成的信息附加VPN组的识别信息等,生成在图6中示出的VPN组信息,VPN组信息存储部54存储该VPN组信息(S105)。
并且,客户端终端11将所生成的VPN组信息发送给其它的路由设备(客户端终端21和中继服务器3)(S106),由此通知已生成VPN组。另外,针对客户端终端21的VPN组信息的发送,如图11所示是经由中继服务器1和中继服务器2进行的(序列号码1,createVpnGroup)。并且,针对中继服务器3的VPN组信息的发送,是经由中继服务器1进行的(序列号码2,createVpnGroup)。
由此,完成VPN组的构建处理。另外,如以上示出的那样,在本实施方式中,设备之间的通信是经由中继服务器1、2、3、4进行的,但在下面的说明中,有时省略经由中继服务器1、2、3、4的通信处理的具体说明,而记述为“客户端终端11发送给客户端终端21”等。
下面,参照图9和图12说明在所构建的VPN组中起用VPN时的流程。图9是表示起用VPN的处理的前半部分的流程图。图10是表示起用VPN的处理的后半部分的流程图。图12是表示建立路由会话的通信处理以及进行包的发送的通信处理的序列图。
用户通过操作客户端终端11、21等,能够在画面中显示所构建的VPN组。然后,通过从所显示的VPN组中选择适当的VPN组(S201),能够进行用于起用VPN的处理。在此次的说明中,假设用户操作客户端终端11来选择上述生成的VPN组(将客户端终端11、客户端终端21和中继服务器3作为路由设备的VPN组)。
客户端终端11首先读出与本客户端终端11对应的地址过滤器信息(S202)。在与客户端终端11的识别信息对应的地址过滤器信息中,如图7所示记述有能够向处理装置12发送包。然后,客户端终端11进行属于所选择的VPN组的路由点的读出(S203)。由此,根据图6所示的VPN组信息的内容,客户端终端21和中继服务器3的识别信息被读出。
客户端终端11根据中继服务器信息,首先判定客户端终端21是否正在登入中(在“site”中记述有中继服务器的识别信息?还是“site”为空白栏?)(S204)。根据图4所示的中继服务器信息,客户端终端21正在登入中,因而客户端终端11向客户端终端21发送VPN组的起用命令(图11的序列号码3,startVpn)。此时,客户端终端11向客户端终端21同时发送所选择的VPN组的识别信息(VpnGroup ID)、和与客户端终端11的识别信息对应的地址过滤器信息(addr01)。
由此,客户端终端21能够确定出进行起用处理的VPN组,并且能够取得与客户端终端11的识别信息对应的最新的地址过滤器。并且,客户端终端21通知客户端终端11已接收到信号,并且将与本客户端终端21对应的地址过滤器信息(addr02)发送给客户端终端11。
客户端终端11接收来自客户端终端21的答复(S206),将接收到的地址过滤器信息存储在地址过滤器信息存储部55中(S207)。并且,客户端终端11将客户端终端21注册为已完成起用VPN的准备的路由点(S208)。
然后,客户端终端11进行是否存在其它路由点的判定(S209)。由于在完成了针对客户端终端21的VPN的起用处理的时刻,不对中继服务器3进行VPN的起用处理,因而客户端终端11下次以中继服务器3为对象进行S204~S208的处理。其结果是,客户端终端11向中继服务器3进行VPN的起用命令和地址过滤器信息的发送(图11的序列号码5,startVpn)。并且,与客户端终端21的情况相同地,从中继服务器3接收地址过滤器信息并进行存储。
另外,这种VPN组的起用命令和地址过滤器信息的发送及接收,也在客户端终端21和中继服务器3之间进行(序列号码4,startVpn)。通过以上处理,客户端终端11、客户端终端21和中继服务器3能够取得其它路由点的地址过滤器信息。
这样,在起用VPN时,各个路由设备能够与其它路由设备交换(取得)地址过滤器信息,并使用最新的地址过滤器信息构建VPN。因此,当在VPN起用前的阶段在一部分路由设备中地址过滤器信息被变更了的情况下,也能够在使该变更反应给了所有路由设备的状态下起用VPN,因而能够防止在包的路由中产生矛盾,提高可靠性。
然后,客户端终端11抽取在VPN组信息存储部54中存储的路由会话信息(S210),并判定是否记述了本客户端终端11为起始点的路由会话(S211)。在图6所示的路由会话信息中,在应该在客户端终端21和中继服务器3之间建立的路由会话中记述有客户端终端11为起始点。
因此,首先由客户端终端11选择客户端终端21,并判定客户端终端21是否是已完成起用VPN的准备的路由点(S212)。根据上述的S208,客户端终端21已完成准备,因而进行用于从客户端终端11对客户端终端21建立路由会话用的通信控制(S213,序列号码6,createVpnSsn)。
然后,客户端终端11判定是否记述有本客户端终端11为连接的起始点的其它路由会话(S214)。由于在完成了针对客户端终端21的路由会话建立处理的时刻,未进行与中继服务器3之间的路由会话建立处理,因而客户端终端11也对中继服务器3进行与针对客户端终端21进行的通信相同的通信(序列号码8,createVpnSsn)。由此,在客户端终端11与中继服务器3之间建立路由会话。
并且,如图6所示,在路由会话信息中记述有客户端终端21应该作为与中继服务器3之间的路由会话的起始点,因而用于建立路由会话的通信控制是从客户端终端21对中继服务器3进行的(序列号码7,createVpnSsn)。通过以上处理,能够在客户端终端11和客户端终端21之间、客户端终端11和中继服务器3之间、以及客户端终端21和中继服务器3之间分别建立路由会话。然后,包的路由控制开始(S215)。另外,只要在路由会话信息中没有记述本路由设备是起始点,各个路由设备就不进行路由会话建立用的最先的通信控制,因而能够防止通信控制的冲突,通过简单的控制来建立设备之间的路由会话。
下面,参照图7和图12说明使用所建立的路由会话进行包的路由的处理。下面,说明在作为路由点发挥作用的客户端终端11从处理装置12接收到第1包~第3包这三种包时,该客户端终端11进行的处理。
首先,说明接收到了收件方的IP地址是(192.168.2.22)的第1包时(序列号码9,packet01)的情况。客户端终端11在接收到该第1包后,将收件方的IP地址与图7所示的地址过滤器信息进行比较。并且,检测能够向在第1包中记述的收件方发送包的路由点。
如图7所示,第1包的收件方的IP地址包含在与客户端终端21的识别信息对应的地址过滤器信息中。在这种情况下,客户端终端11经由与客户端终端21之间建立的路由会话,向该客户端终端21发送第1包。
接收到该第1包的客户端终端21与客户端终端11相同地,也将收件方的IP地址与地址过滤器信息进行比较。并且,检测到本客户端终端21被记述为能够向在第1包中记述的收件方发送包的路由点。在这种情况下,向收件方的处理装置22发送第1包。
然后,说明客户端终端11接收到收件方的IP地址是(192.168.3.32)的第2包时(序列号码10,packet02)的情况。根据图7中的地址过滤器信息,中继服务器3被指定为能够向在第2包中记述的收件方发送包的路由点。因此,客户端终端11经由与中继服务器3之间建立的路由会话,向该中继服务器3发送第2包。并且,中继服务器3检测到本中继服务器3被记述为能够向在第2包中记述的收件方发送包的路由点,向收件方的处理装置32发送第2包。
然后,说明客户端终端11接收到收件方的IP地址是(192.168.5.51)的第3包时(序列号码11,packet03)的情况。客户端终端11将收件方的IP地址与地址过滤器信息进行比较的结果是,检测到没有记述能够向收件方发送包的路由点。在这种情况下,客户端终端11不向任何对象发送所接收到的第3包。
这样,在本实施方式中构成为,在应用层的路由会话中传递路由对象的数据。因此,以上说明的路由与通常的IP路由不同。
通过这样在应用层中进行路由,遥远地区的LAN彼此能够利用专用IP地址相互通信,而不必在意WAN。并且,如上所述,地址过滤器信息存储部55能显示能够指定为包的发送目的地的对象的名称。因此,用户能够容易识别出使用VPN能够向哪台设备发送包。
下面,参照图13和图14说明经由中继服务器2登入了中继通信系统100的客户端终端(第1通信设备)21进行登出,而使用相同的识别信息从客户端终端(第2通信设备)41经由中继服务器4登入时的通信处理。另外,客户端终端21和客户端终端41连接不同LAN,因而在下面的说明中,将来自客户端终端21的登入称为“通常登入”,将来自客户端终端41的登入称为“远程登入”。
图13是表示进行远程登入时的通信处理的序列图。图14是表示通过远程登入中的客户端终端41发送包时的通信处理的序列图。另外,在下面说明的处理中,对与在上述说明的处理(在图11和图12中示出的处理)相同的处理,有时将省略说明或者仅是简要说明。
首先,假设在进行来自客户端终端21的通常登入的状态下,用户操作客户端终端11指示生成VPN组,客户端终端11、客户端终端21和中继服务器3被选择为该VPN组的路由点。在这种情况下,与图11所示的情况相同地,客户端终端11将与用户生成的VPN组相关的VPN组信息发送给客户端终端21和中继服务器3,并通知已生成VPN组(图13中的序列号码21、22,createVpnGroup)。
并且,假设在通知已生成VPN组后,已进行通常登入的客户端终端21从中继服务器2进行登出(序列号码23)。在这种情况下,中继服务器2将客户端终端21进行登出的情况通知给构成中继组的其它通信设备(中继服务器1、客户端终端11和中继服务器3)(序列号码24、25,notify logoff)。接收到该通知的通信设备进行将中继服务器信息存储部52中的客户端终端21的登入信息(“site”)删除的处理。其结果是,“site”的内容中记述有中继服务器2的识别信息“relay-server-2abc.net”的内容被清除,成为空白栏。
在此,假设使用对客户端终端21设定的识别信息(CLIENT-21relayserver2.abc.net),从连接于LAN40的客户端终端41向中继通信系统100进行登入(序列号码26,remoteLogin)。另外,与该识别信息对应的密码仅存储在中继服务器2的客户端终端信息存储部53中,因而中继服务器4向中继服务器2发送所输入的识别信息(ID)和密码(PWD)(序列号码26.1,remoteLogin)。并且,当在中继服务器2中验证识别信息及对应的密码正确后,远程登入成功。
在远程登入成功的情况下,中继服务器4使用对客户端终端21设定的识别信息,将已从客户端终端41向中继通信系统100进行了登入的情况通知其它通信设备(中继服务器3、中继服务器2、中继服务器1和客户端终端11)(序列号码27、28、29,notify remoteLogin)。接收到该通知的通信设备对于由中继服务器信息存储部52存储的所属信息522中、表示与该识别信息对应的登入地点的中继服务器的信息(成为空白栏的“site”的内容),进行写入中继服务器4的识别信息“relay-server-4abc.net”的处理。
在远程登入后,用户在客户端终端41中进行地址过滤器信息的设定。并且,如图15(a)所示,假设设定了客户端终端41能够向处理装置42发送包的信息。另外,在来自客户端终端41的远程登入中使用的识别信息,与在来自客户端终端21的通常登入中使用的识别信息相同。因此,在由地址过滤器信息存储部存储的内容(图15(b)所示的内容)中的路由设备的识别信息中,记述对客户端终端21设定的识别信息(“client-21relay-server2.abc.net”)。
下面,对在上述的远程登入后的状态下起用VPN时的流程进行简单说明。在用户对客户端终端11进行起用VPN的指示后,客户端终端11将与本客户端终端11对应的地址过滤器信息和VPN组的起用命令发送给客户端终端41(序列号码30,startVpn)。接收到该通知的客户端终端41向客户端终端11回信已受理了起用命令的情况以及与本客户端终端41对应的地址过滤器信息。另外,上述的处理也在客户端终端11与中继服务器3之间进行(序列号码32,startVpn)。
并且,客户端终端41将与本客户端终端41对应的地址过滤器信息和VPN组的起用命令发送给中继服务器3(序列号码31,startVpn)。接收到该通知的中继服务器3向客户端终端41回信已受理了起用命令的情况以及与本中继服务器3对应的地址过滤器信息。
这样,客户端终端11和中继服务器3对客户端终端41进行在图11和图12中对客户端终端21进行的处理。另一方面,客户端终端41经由中继服务器4进行在图11和图12中经由中继服务器2进行的处理。其结果是,客户端终端11和中继服务器3能够取得在客户端终端41中新设定的地址过滤器信息。
并且,与通常登入时的VPN起用时相同地,进行路由会话的建立(序列号码33、34、35,createVpnSsn)。另外,当在通常登入时作为客户端终端21的连接对象的路由点(客户端终端11和中继服务器3)与实施了远程登入的客户端终端41之间分别建立路由会话时,两个设备之间的通信是经由实施了远程登入的客户端终端41所连接的LAN40的中继服务器4而进行的(序列号码33、34)。然后,VPN用的包的路由控制开始。
对在这样构建的VPN中,在客户端终端11从处理装置12接收到收件方的IP地址是(192.168.4.42)的第4包时(序列号码36,packet04)的情况进行说明。在这种情况下,如图15所示,客户端终端41(对客户端终端21设定的识别信息)被指定为能够向在第4包中记述的收件方发送包的路由点。因此,客户端指定11经由与客户端终端41之间建立的路由会话向该客户端终端41发送第4包。并且,客户端终端41检测到本客户端终端41被记述为能够向在第4包中记述的收件方发送包的路由点,向收件方的处理装置42发送第4包。
这样,在本实施方式中,即使在进行了远程登入时,通过有效运用在通常登入时生成的VPN组的信息,能够容易构建新的VPN。
下面,参照图16和图17说明当在以客户端终端11、客户端终端21和中继服务器3为路由点的VPN组中起用了VPN的状态下,在VPN起用后与中继服务器3对应的地址过滤器信息被变更时的情况。图16是表示在VPN起用后地址过滤器信息被变更时的通信处理的序列图。图17是表示与中继服务器3对应的地址过滤器信息被更新后的地址过滤器信息存储部的存储内容的图。
用户通过操作与中继服务器3连接的客户端终端31等,能够变更与中继服务器3对应的地址过滤器信息。下面,对中继服务器3能够指定为包的发送目的地的对象按照图17所示,被从“连接于LAN30的所有设备”变更为“处理装置33”时的通信处理进行说明。
中继服务器3在与本中继服务器3对应的地址过滤器信息被变更了的情况下,将该情况通知客户端终端11(序列号码41,updateFilter)。该地址过滤器信息的变更的通知(以及后述的序列号码42的通知),是使用与路由会话不同的路径进行的。另外,在图16中,用“addr03”表示与中继服务器3对应的变更前的地址过滤器信息,用“addr05”表示与中继服务器3对应的变更后的地址过滤器信息。并且,接收到地址过滤器信息的变更通知的客户端终端11,将与中继服务器3对应的地址过滤器信息更新为变更后的地址过滤器信息。
并且,中继服务器3将与本中继服务器3对应的地址过滤器信息被变更的情况通知客户端终端21(序列号码42,updateFilter)。并且,客户端终端21与客户端终端11相同地,也将与中继服务器3对应的地址过滤器信息更新为变更后的地址过滤器信息。另外,客户端终端11和客户端终端21更新地址过滤器信息的控制是在不停止VPN的状态下进行的。
对在该状态下客户端终端11从处理装置12接收到了收件方的IP地址是(192.168.3.33)的第5包的情况(序列号码43,packet05)进行说明。另外,关于此情况的路由的控制也是在不停止VPN的状态下进行的。在第5包中记述的收件方是处理装置33,中继服务器3被指定为能够向该处理装置33发送包的路由点。因此,与上述的路由相同地,从客户端终端11向中继服务器3发送第5包。并且,中继服务器3检测到本中继服务器3被记述为能够向在第5包中记述的收件方发送包的路由点,向收件方的处理装置33发送第5包。
下面,对客户端终端11从处理装置12接收到了收件方的IP地址是(192.168.3.32)的第6包的情况(序列号码44,packet06)进行说明。在这种情况下,客户端终端11将收件方的IP地址与地址过滤器信息进行比较的结果是,检测到没有记述能够向收件方发送包的路由点。在这种情况下,客户端终端11不向任何对象发送所接收到的第6包。
通过按照以上所述进行地址过滤器信息的通知及更新,能够在不停止VPN的状态下进行地址过滤器信息的变更、以及基于变更后的地址过滤器信息的路由。
下面,参照图18和图19说明在VPN起用后通信设备停止作为VPN的构成要素的功能时的通信处理。图18和图19是表示接收到表示通信设备停止的通知时的处理的流程图。
另外,关于停止作为VPN的构成要素的功能的情况,可以考虑该设备脱离VPN组的情况、该设备脱离中继组的情况、该设备由于网络故障等而不能与其它设备进行通信的情况等各种状况。另外,下面以客户端终端11为代表来说明在接收到通知时进行的处理。
客户端终端11判定从其它设备接收到的通知是中继服务器的停止通知、还是客户端终端的停止通知、还是除此以外的通知(S301、S302)。在是中继服务器的停止通知的情况下,客户端终端11通过参照本客户端终端11存储的中继服务器信息,抽取属于该中继服务器的客户端终端(S303),将该中继服务器和客户端终端存储为停止的设备的列表(S304)。
在是客户端终端的停止通知的情况下,客户端终端11将该客户端终端存储为停止的设备的列表(S304)。另外,在既不是中继服务器的停止通知也不是客户端终端的停止通知的情况下,客户端终端11根据需要进行与通知的内容对应的处理(S305)。
当在S304生成停止的设备的列表后,客户端终端11判定是否存在VPN被起用、而且后述的S307~S315的处理没有完成的VPN组(S306)。在不存在这种VPN组的情况下,结束一系列的处理。
在存在满足条件的VPN组的情况下,客户端终端11读出在通过S304而生成的列表中记述的一个设备(S307)。并且,客户端终端11判定所读出的设备(停止的设备)是否是在执行中的VPN中作为路由点发挥作用的设备(S308)。
在所读出的设备作为路由点发挥作用的情况下,客户端终端11判定在使该路由点实际停止的情况下,有效的路由点是否残存有两个以上(S309)。并且,在残存的路由点的数量达到一个以下的情况下,由于没有使VPN存续的意义,因而客户端终端11进行VPN的停止处理(S310)。并且,客户端终端11将在S309被判定为有效的路由点的一个以上的路由设备的识别信息、和该路由设备能够指定为包的发送目的地的对象的名称显示于显示器等并通知用户(S311),返回到S306。
在有效的路由点残存有两个以上的情况下,客户端终端11根据VPN组信息,判定是否具有由本客户端终端11和作为停止的对象的路由点构成的路由会话(S312)。并且,在具有这种路由会话的情况下,使该路由会话停止(S313)。然后,客户端终端11将与已停止的路由点对应的地址过滤器信息删除。
通过以上S307~S313的处理,完成应该停止的1台设备的处理。另外,在S308,在判定为该设备不作为路由点发挥作用的情况下,S309~S313的处理被跳过。
然后,确认被记述于列表中的设备中是否剩余有未处理的设备(S314),在具有剩余的设备的情况下,对各个设备分别进行S307~S313的处理。由此,能够逐台地确认被记述于列表中的设备,并进行该设备是路由点时的路由会话的停止等处理。
在对于VPN组完成有关所述列表中的所有设备的处理后,客户端终端11将作为路由点发挥作用的路由设备的识别信息等、和该路由设备能够指定为包的发送目的地的对象的名称显示于显示器等并通知用户(S315)。然后,客户端终端11返回到S306,确认VPN被起用的VPN组中是否具有未处理的VPN组。如果有未处理的VPN组,则对该VPN组进行S307~S315的处理。由此,在具有VPN被起用的多个VPN组的情况下,能够对该各个VPN组分别适当进行伴随设备的停止的处理。
下面,考虑到在以客户端终端11、客户端终端21和中继服务器3为路由点的VPN组中,在VPN被起用的状态下中继服务器3脱离VPN组的情况,对客户端终端11根据上述说明的流程具体怎样进行动作进行说明。图20是表示中继服务器3脱离VPN时的通信处理的序列图。
中继服务器3将该中继服务器3脱离VPN组的情况通知其它设备(客户端终端11、中继服务器1、客户端终端21和中继服务器2)(图20的序列号码51、52,exitVpn)。另外,作为接收到通知的一侧的设备的处理,除了一部分之外由于是相同的,因而下面主要仅说明与客户端终端11相关的处理。
客户端终端11在接收到来自中继服务器3的通知后,判定该通知是否是中继服务器的停止的通知(图19的S301)。在此,由于判定为接收到的通知是与中继服务器3的停止相关的通知,因而客户端终端11参照本客户端终端11的中继服务器信息(S303)。
根据图4所示的中继服务器信息,可知作为属于停止的中继服务器3的客户端终端有客户端终端31。在中继服务器3停止中继功能的情况下,不仅不能与中继服务器3进行通信,而且也不能与属于该中继服务器3的客户端终端31进行通信。因此,客户端终端11将中继服务器3和客户端终端31存储为停止的设备的列表(S304)。在列表中进行记述的顺序是任意的顺序,在此次的说明中,假设在设备的列表中按照中继服务器3、客户端终端31的顺序进行记述。
然后,客户端终端11进入到S306的判定,确认VPN已被起用的VPN组。于是,判明存在VPN已被起用的VPN组(此处指以客户端终端11、客户端终端21和中继服务器3为路由点的VPN组)。因此,客户端终端11逐台地读出在通过S304而生成的、停止的设备的列表中记述的设备(S307)。
由于在列表中是按照中继服务器3、客户端终端31的顺序记述的,因而最先被读出的是中继服务器3。客户端终端11根据S308的判定,参照图6的VPN组信息,检测到该中继服务器3是路由点。
然后,客户端终端11判定在中继服务器3停止后有效的路由点是否有两个以上(S309)。在上述的情况下,即使是使中继服务器3停止时,也剩余两个的路由点(即客户端终端11和客户端终端21)。因此,不使VPN停止,进入到S312的处理。
然后,客户端终端11进行S312的判定,根据图6的VPN组信息,判明存在由本客户端终端11和中继服务器3构成的路由会话。因此,客户端终端11停止相应的路由会话(S313,图20的序列号码51的closeVpnSsn)。
然后,客户端终端11进入到S314的判定,由于在停止的设备的列表中具有未处理的设备(客户端终端31),因而返回到S307。在S307的处理中,客户端终端31被从列表中读出,但是由于该客户端终端31不作为路由点发挥作用(S308),因而不进行S309~S313的处理。客户端终端11进入到S314的判定,判明在列表中不存在未处理的设备。并且,客户端终端11将作为路由点发挥作用的路由设备(客户端终端11和客户端终端21)、和该路由设备能够指定为包的发送目的地的对象的名称(处理装置12、处理装置22和处理装置23)显示于显示器等并通知用户(S315)。然后返回到S306,由于已经没有未处理的VPN组,因而结束处理。
另外,客户端终端11以外的设备也接收到来自中继服务器3的通知,并进行与上述相同的处理。因此,在客户端终端21和中继服务器3之间构成的路由会话停止(图20的序列号码50的closeVpnSsn)。并且,各个路由设备将与已停止的路由点对应的地址过滤器信息删除。另外,对这里被删除的地址过滤器信息进行处理,使得不能被用户参照。
通过进行如上所述的处理,不需进行使VPN暂停并重启的烦杂处理,能够减少路由点。
对在上述的处理之后,客户端终端21从处理装置22接收到收件方的IP地址是(192.168.3.31)的第7包时(序列号码53,packet07)的情况进行说明。客户端终端21将收件方的IP地址和地址过滤器信息进行比较。由于与中继服务器3对应的地址过滤器信息已在上述的处理中被删除,因而客户端终端21判定为没有记述能够向收件方发送包的路由点。因此,客户端终端21不向任何对象发送所接收到的第7包。
下面,参照图18和图19和图21说明在如上所述中继服务器3脱离VPN后,中继服务器2又从中继组进行登出的情况。图21是表示中继服务器2停止时的通信处理的序列图。
中继服务器2在中断连接之前,将本中继服务器2停止的情况通知其它设备(中继服务器1、客户端终端11、客户端终端21和中继服务器3)(序列号码54、55、56,notifyServerLogout)。接收到该停止的其它设备进行与上述相同的处理。
在此次的说明中,中继服务器2被停止,因而属于该中继服务器2的客户端终端21丧失作为路由点的功能。因此,由于中继服务器3也已经停止,因而导致有效的路由点只剩下客户端终端11这一个,作为VPN的意义消失。因此,从中继服务器2接收到通知的设备,根据S309的判定,进入到S310并进行VPN的结束处理,并且,客户端终端11将作为有效的路由点发挥作用的路由设备(客户端终端11)、和该路由设备能够指定为包的发送目的地的对象的名称(处理装置12)显示于显示器等并通知用户(S311)。下面,参照图21说明客户端终端21进行该VPN的结束处理的情况。
客户端终端21将VPN组的识别信息和表示将VPN结束的信息发送给客户端终端11和中继服务器3(序列号码57、58,stopVpn)。另外,客户端终端11和中继服务器3根据从客户端终端21接收到的VPN组的识别信息,能够得知哪个VPN组将被结束。
客户端终端21在从客户端终端11和中继服务器3接收到表示已受理了VPN的结束的信号后,向客户端终端11发送路由会话的结束命令(序列号码59,closeVpnSsn)。
通过以上处理,能够使在客户端终端11和客户端终端21之间建立的路由会话结束。并且,基于VPN组的VPN结束。
如以上说明的那样,本实施方式的中继服务器3具有中继组信息存储部51、中继服务器信息存储部52、VPN组信息存储部54、地址过滤器信息存储部55和通信控制部63。中继组信息存储部51存储包括能够与本中继服务器(中继服务器3)之间相互连接的其它中继服务器(中继服务器1、2、4)在内的中继组的信息。中继服务器信息存储部52存储包括属于中继组的中继服务器的起动信息、和与属于中继组的中继服务器连接的客户端终端的起动信息及注册信息在内的中继服务器信息。VPN组信息存储部54按照VPN组来存储包括构成该VPN组的路由设备的识别信息的路由点信息542、以及包括被相互连接的路由设备的信息的路由会话信息543,该VPN组经由在构成中继通信系统100的通信设备中被设定为路由点的通信设备而通过VPN进行通信。地址过滤器信息存储部55将表示路由设备能够指定为包的发送目的地的对象的地址过滤器信息、与该路由设备的识别信息相对应地进行存储。通信控制部63进行如下控制:使路由设备之间共享在VPN组信息存储部54中存储的信息;当在VPN组起中起用VPN时,向其它路由设备发送地址过滤器信息,并且,从其它路由设备接收地址过滤器信息,根据该地址过滤器信息更新地址过滤器信息存储部55的存储内容,同时根据在VPN组信息存储部54中存储的路由会话信息,建立用于对包进行路由的路由会话;以及,在建立路由会话后,参照路由设备能够根据地址过滤器信息指定为发送目的地的对象,根据该内容进行路由。
由此,中继服务器3能够和从构成中继通信系统的其它通信设备中选择的客户端终端11及客户端终端21构建VPN,并进行文件的共享等。并且,当在VPN组中起用VPN时,中继服务器3已从客户端终端11及客户端终端21取得地址过滤器信息。因此,与以前构建了VPN时相比,即使是在例如在客户端终端11中变更了地址过滤器信息的情况下等,也能够灵活应对这种状况变化来构建VPN。
另外,本实施方式的中继服务器1、2、3、4的通信控制部63进行如下控制:当在VPN组中起用VPN后,在与本中继服务器的识别信息对应的地址过滤器信息被更新时通知该更新内容。
由此,例如当在VPN组中起用VPN后,中继服务器3能够将与本中继服务器3对应的地址过滤器信息被更新的情况通知其它路由设备等。因此,能够使其它路由设备进行与地址过滤器信息的变更对应的适当处理。
另外,本实施方式的中继服务器1、2、3、4的通信控制部63进行如下控制:当在VPN组中起用VPN后,在检测到某个路由设备不作为VPN组的构成要素发挥作用时,在不停止虚拟专用网的状态下,停止与该路由设备之间建立的路由会话。
由此,例如在检测到中继服务器3由于连接不良或者维修等而不作为VPN组的构成要素发挥作用时,其它路由设备能够在维持VPN的状态下停止与中继服务器3之间建立的路由会话。因此,可以构建也能够灵活应对状况变化的VPN。
以上说明了本发明的优选实施方式,然而上述的结构能够按照如下所述进行变更。
存储上述的中继组信息、中继服务器信息、客户端终端信息、VPN组信息、地址过滤器信息等的格式不限于XML格式,能够利用合适的格式存储各种信息。
也可以构成为取代上述实施方式的结构,而在因特网上设置在与各个中继服务器之间的通信中使用的外部服务器,使发挥作为SIP(SessionInitiaion Protocol,会话发起协议)服务器的功能来进行通信。
标号说明
1、2、3、4中继服务器;11、21、31、41客户端终端;10、20、30、40LAN;50存储部;60控制部;63通信控制部;100中继通信系统。
Claims (13)
1.一种中继服务器,其特征在于,该中继服务器具有:
中继组信息存储部,存储包括能够与本中继服务器之间相互连接的其它中继服务器在内的中继组的信息;
中继服务器信息存储部,存储包括属于所述中继组的所述中继服务器的起动信息、和与属于所述中继组的所述中继服务器连接的客户端终端的起动信息及注册信息在内的中继服务器信息;
VPN组信息存储部,按照VPN组来存储构成该VPN组的路由设备的识别信息、和表示建立路由会话而相互连接的所述路由设备的连接信息,所述VPN组由所述路由设备构成,并经由该路由设备而通过虚拟专用网进行通信,所述路由设备是指在构成中继通信系统的通信设备中、根据所述中继组信息和所述中继服务器信息被设定为路由点的通信设备;
地址过滤器信息存储部,将表示所述路由设备能够指定为包的发送目的地的对象的地址过滤器信息、与该路由设备的识别信息相对应地进行存储;以及
通信控制部,进行如下控制:使所述路由设备之间共享所述VPN组信息存储部中存储的信息;当在所述VPN组中起用虚拟专用网时,向其它所述路由设备发送所述地址过滤器信息,并且从该路由设备接收所述地址过滤器信息,根据该地址过滤器信息更新所述地址过滤器信息存储部的存储内容,并且根据在所述VPN组信息存储部中存储的所述连接信息,建立用于对包进行路由的路由会话;以及,在建立路由会话后,参照所述路由设备能够根据所述地址过滤器信息指定为发送目的地的对象,根据该内容进行路由。
2.根据权利要求1所述的中继服务器,其特征在于,所述VPN组信息存储部存储最先进行用于建立路由会话的通信控制的一侧的所述路由设备的识别信息、和接受该通信控制的一侧的所述路由设备的识别信息,作为所述连接信息。
3.根据权利要求1所述的中继服务器,其特征在于,当在与本中继服务器的识别信息对应的所述地址过滤器信息中指定有接收到的包的收件方时,所述通信控制部向该收件方发送包,
当在与本中继服务器以外的所述路由设备的识别信息对应的所述地址过滤器信息中指定有接收到的包的收件方时,所述通信控制部通过在本中继服务器和该路由设备之间建立的路由会话向该路由设备发送包,
当在与所述路由设备的识别信息对应的所述地址过滤器信息中没有指定接收到的包的收件方时,所述通信控制部不发送包。
4.根据权利要求1所述的中继服务器,其特征在于,在从由第1通信设备构成VPN组的第1状态切换为由第2通信设备构成VPN组的第2状态的情况下,在第1状态下的所述第1通信设备和第2状态下的所述第2通信设备具有相同的识别信息时,
所述通信控制部进行如下控制:当在所述第2状态下起用虚拟专用网时,使所述第1状态下的第1通信设备的连接对象和所述第2通信设备之间经由本中继服务器建立路由会话,
所述第1通信设备是经由其它中继服务器连接到广域通信网的所述路由设备,而所述第2通信设备经由本中继服务器连接到广域通信网。
5.根据权利要求1所述的中继服务器,其特征在于,所述地址过滤器信息存储部能够存储所述路由设备能够指定为包的发送目的地的对象的名称。
6.根据权利要求1所述的中继服务器,其特征在于,所述通信控制部进行如下控制:当在所述VPN组中起用虚拟专用网后,在与本中继服务器的识别信息对应的所述地址过滤器信息被更新时通知更新后的地址过滤器信息。
7.根据权利要求6所述的中继服务器,其特征在于,当所述通信控制部在所述VPN组中起用虚拟专用网后接收到所述地址过滤器信息被更新的通知时,所述通信控制部在不停止虚拟专用网的状态下进行如下控制:
根据更新后的地址过滤器信息更新所述地址过滤器信息存储部的存储内容;以及
参照所述路由设备能够根据更新后的所述地址过滤器信息指定为发送目的地的对象,根据该内容进行路由。
8.根据权利要求1所述的中继服务器,其特征在于,所述通信控制部进行如下控制:当在所述VPN组中起用虚拟专用网后,在检测到某个路由设备不作为所述VPN组的构成要素发挥作用时,在不停止虚拟专用网的状态下,停止与该路由设备之间建立的路由会话。
9.根据权利要求8所述的中继服务器,其特征在于,所述中继服务器信息存储部将本中继服务器以外的中继服务器即第2中继服务器的识别信息、和经由该第2中继服务器连接到广域通信网的客户端终端的识别信息相对应地进行存储,
所述通信控制部在检测到所述第2中继服务器的通信停止时,根据所述VPN组信息存储部和所述中继服务器信息存储部的存储内容,判定在经由所述第2中继服务器连接到广域通信网的客户端终端中是否存在作为路由点发挥作用的客户端终端,
如果存在作为路由点发挥作用的客户端终端,所述通信控制部进行使与该客户端终端之间建立的路由会话停止的控制。
10.根据权利要求8所述的中继服务器,其特征在于,所述通信控制部在检测到某个路由设备不作为所述VPN组的构成要素发挥作用时进行如下控制:在该路由设备不再作为所述VPN组的构成要素发挥作用的结果是作为该VPN组的构成要素的路由设备变为一台的情况下,使该VPN组停止。
11.一种中继通信系统,其特征在于,该中继通信系统具有:
多个中继服务器;以及
能够经由所述中继服务器相互连接的客户端终端,
所述中继服务器具有:
中继组信息存储部,存储包括能够与该中继服务器之间相互连接的其它中继服务器在内的中继组的信息;
中继服务器信息存储部,存储包括属于所述中继组的所述中继服务器的起动信息、和所述客户端终端的起动信息及注册信息在内的中继服务器信息;
VPN组信息存储部,按照VPN组来存储构成该VPN组的路由设备的识别信息、和表示相互连接的所述路由设备的连接信息,所述VPN组由所述中继服务器及所述客户端终端中被设定为路由点的所述路由设备构成,并经由该路由设备而通过虚拟专用网进行通信;
地址过滤器信息存储部,将表示所述路由设备能够指定为包的发送目的地的对象的地址过滤器信息、与该路由设备的识别信息相对应地进行存储;以及
通信控制部,进行如下控制:使所述路由设备之间共享所述VPN组信息存储部中存储的信息;当在所述VPN组中起用虚拟专用网时,向其它所述路由设备发送所述地址过滤器信息,并且从该路由设备接收所述地址过滤器信息,根据该地址过滤器信息更新所述地址过滤器信息存储部的存储内容,并且根据在所述VPN组信息存储部中存储的所述连接信息,建立能够对包进行路由的路由会话;以及,在建立路由会话后,参照所述路由设备能够根据所述地址过滤器信息指定为发送目的地的对象,根据该内容进行路由。
12.根据权利要求11所述的中继通信系统,其特征在于,所述中继服务器的所述通信控制部进行如下控制:当在所述VPN组中起用虚拟专用网后,在与本中继服务器的识别信息对应的所述地址过滤器信息被更新时通知更新后的地址过滤器信息。
13.根据权利要求11所述的中继通信系统,其特征在于,所述中继服务器的所述通信控制部进行如下控制:当在所述VPN组中起用虚拟专用网后,在检测到某个路由设备不作为所述VPN组的构成要素发挥作用时,在不停止虚拟专用网的状态下,停止与该路由设备之间建立的路由会话。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010-258260 | 2010-11-18 | ||
JP2010258262A JP5633694B2 (ja) | 2010-11-18 | 2010-11-18 | 中継サーバ及び中継通信システム |
JP2010258260A JP5633693B2 (ja) | 2010-11-18 | 2010-11-18 | 中継サーバ及び中継通信システム |
JP2010258259A JP5633692B2 (ja) | 2010-11-18 | 2010-11-18 | 中継サーバ及び中継通信システム |
JP2010-258259 | 2010-11-18 | ||
JP2010-258262 | 2010-11-18 | ||
PCT/JP2011/005957 WO2012066731A1 (ja) | 2010-11-18 | 2011-10-26 | 中継サーバ及び中継通信システム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103210614A CN103210614A (zh) | 2013-07-17 |
CN103210614B true CN103210614B (zh) | 2015-10-07 |
Family
ID=46083684
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180054596.8A Active CN103210614B (zh) | 2010-11-18 | 2011-10-26 | 中继服务器及中继通信系统 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9407529B2 (zh) |
EP (1) | EP2642701B1 (zh) |
KR (1) | KR101472426B1 (zh) |
CN (1) | CN103210614B (zh) |
SG (1) | SG190809A1 (zh) |
TW (1) | TWI527405B (zh) |
WO (1) | WO2012066731A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5621639B2 (ja) * | 2011-02-08 | 2014-11-12 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
JP5874354B2 (ja) * | 2011-11-30 | 2016-03-02 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
EP2787692B1 (en) * | 2011-11-30 | 2019-02-27 | Murata Machinery, Ltd. | Relay server with control unit adapted to set an overlap detection condition |
CN103634165B (zh) * | 2013-12-05 | 2017-01-18 | 北京奇安信科技有限公司 | 一种基于反向代理实现网络测试的方法、终端设备和系统 |
JP6693505B2 (ja) * | 2015-03-03 | 2020-05-13 | 日本電気株式会社 | ログ解析システム、解析装置、解析方法、および解析用プログラム |
EP4140106A1 (en) * | 2020-04-23 | 2023-03-01 | Juniper Networks, Inc. | Session monitoring using metrics of session establishment |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101188543A (zh) * | 2006-11-24 | 2008-05-28 | 村田机械株式会社 | 中继服务器、中继通信系统以及通信装置 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6275492B1 (en) * | 1996-12-03 | 2001-08-14 | Nortel Networks Limited | Method and apparatus for routing data using router identification information |
JP4231985B2 (ja) | 2001-01-16 | 2009-03-04 | 村田機械株式会社 | 中継サーバおよび通信システム |
US7102996B1 (en) * | 2001-05-24 | 2006-09-05 | F5 Networks, Inc. | Method and system for scaling network traffic managers |
US7756008B2 (en) * | 2003-12-19 | 2010-07-13 | At&T Intellectual Property Ii, L.P. | Routing protocols with predicted outrage notification |
US7590074B1 (en) * | 2004-12-02 | 2009-09-15 | Nortel Networks Limited | Method and apparatus for obtaining routing information on demand in a virtual private network |
US7613120B2 (en) * | 2005-12-30 | 2009-11-03 | Intel Corporation | Dynamic wide area network packet routing |
EP1942634B1 (en) | 2006-11-24 | 2012-08-29 | Murata Machinery, Ltd. | Relay server, relay communication system, and communication device |
JP4352277B2 (ja) * | 2007-01-12 | 2009-10-28 | セイコーエプソン株式会社 | 通信システム及び携帯通信端末 |
JP4816572B2 (ja) | 2007-05-30 | 2011-11-16 | 富士ゼロックス株式会社 | 仮想ネットワーク接続システム及び装置 |
TWI455547B (zh) * | 2008-09-01 | 2014-10-01 | Murata Machinery Ltd | Relay server and relay communication system |
KR100995906B1 (ko) * | 2008-12-22 | 2010-11-23 | 한국전자통신연구원 | Mpls l3vpn에서 포워딩 테이블 구축 방법 |
US8738788B2 (en) | 2009-03-13 | 2014-05-27 | Murata Machinery, Ltd. | First relay server and second relay server |
-
2011
- 2011-10-26 WO PCT/JP2011/005957 patent/WO2012066731A1/ja active Application Filing
- 2011-10-26 US US13/885,821 patent/US9407529B2/en active Active
- 2011-10-26 CN CN201180054596.8A patent/CN103210614B/zh active Active
- 2011-10-26 EP EP11841723.7A patent/EP2642701B1/en active Active
- 2011-10-26 KR KR1020137006650A patent/KR101472426B1/ko active IP Right Grant
- 2011-10-26 SG SG2013037247A patent/SG190809A1/en unknown
- 2011-11-16 TW TW100141826A patent/TWI527405B/zh active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101188543A (zh) * | 2006-11-24 | 2008-05-28 | 村田机械株式会社 | 中继服务器、中继通信系统以及通信装置 |
Also Published As
Publication number | Publication date |
---|---|
KR101472426B1 (ko) | 2014-12-12 |
TW201225585A (en) | 2012-06-16 |
KR20130045928A (ko) | 2013-05-06 |
CN103210614A (zh) | 2013-07-17 |
SG190809A1 (en) | 2013-07-31 |
EP2642701A1 (en) | 2013-09-25 |
EP2642701B1 (en) | 2020-12-02 |
TWI527405B (zh) | 2016-03-21 |
EP2642701A4 (en) | 2017-01-04 |
US20130238813A1 (en) | 2013-09-12 |
WO2012066731A1 (ja) | 2012-05-24 |
US9407529B2 (en) | 2016-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103210614B (zh) | 中继服务器及中继通信系统 | |
KR101501973B1 (ko) | 중계 서버 및 중계 통신 시스템 | |
CN102045409A (zh) | 网络穿透方法及网络通讯系统 | |
CN103636173A (zh) | 中继服务器以及中继通信系统 | |
CN109564414A (zh) | 自动化系统中的自动的初始化程序 | |
CN103222240B (zh) | 中继服务器及中继通信系统 | |
CN103959720A (zh) | 中继服务器以及中继通信系统 | |
CN1316789C (zh) | 电信网络中的改进以及与电信网络相关的改进 | |
CN103139078A (zh) | 中继服务器以及中继通信系统 | |
JP4729969B2 (ja) | ゲートウェイ装置 | |
JP2009182667A (ja) | 電子機器およびネットワークシステム | |
JP2008131417A (ja) | 端末収容装置、パケット経路切替方法及びパケット経路切替プログラム | |
JP2008136053A (ja) | 遠隔監視制御システム、監視対象制御装置及び通信端末 | |
JP6899741B2 (ja) | 電力線通信システム、端末装置、プログラムおよび電力線通信システムのメンテナンス方法 | |
JP2011061874A (ja) | ゲートウェイ装置 | |
JP5633693B2 (ja) | 中継サーバ及び中継通信システム | |
JP2006319873A (ja) | 仮想プライベートネットワーク接続方法ならびにそれを利用した仮想プライベートネットワーク接続装置、無線端末装置および仮想プライベートネットワークシステム | |
JP6285877B2 (ja) | オーバレイトンネル制御システム及びオーバレイトンネル制御方法 | |
JP2018129674A (ja) | 制御装置及びスイッチ | |
JP2006229489A (ja) | データ伝送中継システム及びデータ伝送中継方法 | |
JPH09233120A (ja) | パケット交換網管理システム | |
JP2012109874A (ja) | 中継サーバ及び中継通信システム | |
JPH10224401A (ja) | ネットワークシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |