JP2001352344A - ネットワークアドレス変換方法およびその装置並びにvpnクライアント多重化システム - Google Patents

ネットワークアドレス変換方法およびその装置並びにvpnクライアント多重化システム

Info

Publication number
JP2001352344A
JP2001352344A JP2000173667A JP2000173667A JP2001352344A JP 2001352344 A JP2001352344 A JP 2001352344A JP 2000173667 A JP2000173667 A JP 2000173667A JP 2000173667 A JP2000173667 A JP 2000173667A JP 2001352344 A JP2001352344 A JP 2001352344A
Authority
JP
Japan
Prior art keywords
packet
esp
address
vpn
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000173667A
Other languages
English (en)
Other versions
JP3597756B2 (ja
Inventor
Keishin Yamada
敬信 山田
Kiyoshi Nakahama
清志 中濱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000173667A priority Critical patent/JP3597756B2/ja
Publication of JP2001352344A publication Critical patent/JP2001352344A/ja
Application granted granted Critical
Publication of JP3597756B2 publication Critical patent/JP3597756B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 1つのプライベートネットワーク上にある複
数のVPNクライアントから1つのアドレス変換装置経
由でインターネットに接続し、同時に1つまたは複数の
VPNゲートウェイとの間でVPNセッションを構築可
能とする。 【解決手段】 パケットをプライベートネットワークと
グローバルネットワークとの間で送受信する際にネット
ワークアドレスを変換する方法において、受信したパケ
ットがESP(Encapsulating Security Payload)か否
かを判断するステップと、ESPと判断された場合にセ
キュリテイーパラメータインデックスと前記プライベー
トネットワーク上の端末のIPアドレスとを対応付けた
内部テーブルを参照することにより、ESPのパケット
にアドレス変換を施すステップとを有する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークアド
レス変換方法およびその装置並びにVPNクライアント
多重化システムに関し、特にESPパケットを用いたV
PNにおけるネットワークアドレス変換方法およびその
装置並びにVPNクライアント多重化システムに関する
ものである。
【0002】
【従来の技術】VPN(Virtual Private Network )
は、アクセスサーバやWANルータあるいはVPN専用
装置などを利用して実現されるWAN(Wide Area Netw
ork )の技術であり、その定義は「共有ネットワークを
プライベートネットワークとし、ユーザが共有ネットワ
ークを利用していることを意識することなく利用するこ
と」であり、またそのための基盤テクノロジーを指す。
ここでいう「共有ネットワーク」とは、インターネット
や公衆通信網の電話網やフレーム・リレー網のことを指
している。インターネットやフレーム・リレー上に、プ
ライベートネットワークを構築し、利用者がそのことを
意識しないで使える環境がVPNであるということがで
きる。
【0003】VPN機能としては、データリンク層では
PPTP、L2TP等、ネットワーク層ではIPse
c、セッション層ではSOCKSv5やSSL3.0
(SecureSocket Layer)といったいくつかの種類があ
る。ここでIPsecは、TCP/IP上で暗号化通信
を行うための標準であり、RFC2401〜2412
(RFC:Request For Comments)等で規定されている。こ
れはIPレベルでの認証・暗号化によってVPNを提供
し、PGPやSSHと違ってIPレベルにセキュリティ
機能を施すことにより、エンドユーザは使用するホスト
やアプリケーションを意識することなく、安全な通信を
確保することができ、柔軟な運用が可能になる。しか
し、VPNから出てしまった情報はもはや保護されない
ので、例えばメールの内容を保護したい場合にはPGP
等が必要になる。
【0004】〔ESPの概要〕IPsecでは、セキュ
リティプロトコルとして以下の2つが定義され、その実
装が必須になっている。 ・ESP(Encapsulating Security Payload) ・AH(IP Authentication Header)
【0005】このうち、ESPとは、パケットの暗号化
と認証機能を実現するプロトコルの一種であり、詳細は
RFC2406に記載されている。各プロトコルは、セ
キュリティプロトコルで処理されるデータの範囲を示す
トランスポートモードとトンネルモードの2つのモード
が用意されている。トランスポートモードはIPのデー
タ部分を対象とし、トンネルボードはIPパケット全体
を対象としている。したがって、トンネルモードはIP
パケット全体を暗号化し、それを新しいIPパケットに
カプセル化(包み込む)することにより、データだけで
なくIPヘッダも暗号化されるため、送信元アドレスや
宛先アドレス、使用しているプロトコル(アプリケーシ
ョン)等の情報の隠蔽が可能である。プライベートネッ
トワークを利用している場合でも、VPNゲートウェイ
にグローバルアドレスが付与されていれば、そのグロー
バルアドレスを含むIPヘッダが付加されるので、イン
ターネットを経由してプライベートアドレス同士の端末
間で通信をすることが可能である。一方、トランスポー
トモードは、IPヘッダを暗号化せずにIPパケットの
ユーザデータ(トランスポート層以上の部分)のみを暗
号化するモードであり、主に端末間でのピア・ツー・ピ
ア(Peer to Peer)の通信におけるセキュリティを提供
するために利用される。
【0006】このようなVPNにおいては、インターネ
ット接続装置(例えばルータ等)に付与されているグロ
ーバルIPアドレスを、配下のプライベートIPアドレ
スが付与された端末(以下、プライベートホストとい
う)とで共有することにより、プライベートホストとイ
ンターネット上のグローバルIPアドレスが付与された
ホスト(以下、グローバルホストという)とのエンドエ
ンドのIP通信を実現する。
【0007】アドレスを共有するためには、プライベー
トホストが送出したグローバルホスト向けのパケットの
ソースアドレス、すなわちプライベートホストに付与さ
れたプライベートIPアドレスをインターネット接続装
置に付与されたグローバルIPアドレスに変換するアド
レス変換方法がある。また、アドレス変換方法として
は、従来よりNATとIPマスカレードが存在する。N
ATは複数のプライベートホストが順次にグローバルI
Pアドレスを共有することを可能とするものであり、I
Pマスカレードは複数のプライベートホストが同時にグ
ローバルIPアドレスを共有することを可能とするもの
である。
【0008】図17は、プライベートネットワークから
のインターネット接続を説明するためのネットワーク構
成図である。同図に示すように、プライベートネットワ
ークPNを構成する複数のプライベートホストPH1,
…がアドレス変換装置Rを介して、インターネットIN
ETおよびグローバルホストGH1’、GH2’に接続
されている場合を例にしてNAT(Network Address Tr
anslation )およびIPマスカレードについて具体的に
説明する。どちらの方法においても共有されるのはプラ
イベートネットワークPNに付与されているグローバル
IPアドレスGR(アドレス変換装置Rのインターネッ
ト側のIPアドレス)であり、この共有を実施するのが
アドレス変換装置Rである。グローバルホストGH
1’,GH2’にはそれぞれグローバルIPアドレスG
1’,G2’が付与され、プライベートホストPH1,
PH2,PH3にはそれぞれプライベートIPアドレス
P1,P2,P3が付与されている。
【0009】〔1.NAT〕アドレス変換装置Rがプラ
イベートネットワークPNから受信したパケットを図1
8に示すフローチャートに従って処理するとともに、イ
ンターネットから受信したパケットを図19に示すフロ
ーチャートに従って処理する。図18に示すようにアド
レス変換装置Rは任意のプライベートホストPH1から
受信したパケットのソースアドレス(プライベートホス
トPH1,…に付与されているプライベートIPアドレ
ス、以下PAという)を読み出し(ステップs10
1)、アドレス変換装置RのグローバルIPアドレス
(以下、GRという)に対応しているプライベートIP
アドレスと一致するか否かを判断し(ステップs10
2)、一致しない場合にはそのパケットを破棄し(ステ
ップs105)、一致する場合にはパケット内のPAを
格納する各フィールドにアドレス変換装置RのGRを書
き込むことによる(ステップs103)、グローバルI
Pアドレスが付与されていないプライベートホストPH
1,…からのパケットのソースアドレスをGRに変換す
る。そして、アドレス変換されたパケットをインターネ
ットINETに転送する(ステップs104)。
【0010】一方、アドレス変換装置Rがインターネッ
ト上の任意のグローバルホストGH1’,…からのパケ
ットを受信すると、図19に示すようにパケット内のG
Rを格納する各フィールドにGRに対応しているPAを
書き込むことにより(ステップs201)、送信先のア
ドレスをアドレス変換装置RのGRから、何れかのプラ
イベートホストPH1,…のプライベートIPアドレス
に変換するアドレス変換を行い、アドレス変換されたパ
ケットをプライベートネットワークPNに送る(ステッ
プs202)。このように、NATではアドレス変換装
置Rが自己のGRを何れか1台のプライベートホストP
H1,…のPAに1対1に対応させてアドレス変換を行
っており、同時にインターネットと接続可能なプライベ
ートホストPH1,…の台数が一台に限定されることに
なる。
【0011】〔2.IPマスカレード〕次にIPマスカ
レードにおいて説明を行う。プライベートホストPH
1,…での一連のトランザクション処理に付与されるポ
ート番号(以下、PPという)アドレス変換装置Rが各
プライベートホストPH1,…のPAとプライベートホ
ストPH1,…でのトランザクション処理に付与された
ポート番号の対(PA,PP)をアドレス変換装置Rか
らインターネット側に送受信されるパケットのユニーク
なポート番号(以下、GPという)GPに1対1に対応
させ、その対応関係を内部テーブルに記憶しており、こ
れによって各プライベートホストPH1,…のPAをア
ドレス変換装置RのGRの多対一にマップすることを可
能としている。
【0012】図20は、IPマスカレードにおけるアド
レス変換装置RがプライベートネットワークPNから受
信したパケットの処理を示すフローチャートである。図
21は、IPマスカレードにおけるアドレス変換装置R
がインターネットINETから受信したパケットの処理
を示すフローチャートである。図20に示すようにアド
レス変換装置Rは、任意のプライベートホストPH1,
…から受信したパケットから送信元のIPアドレスとポ
ート番号PPを読み出す(ステップs301)。そし
て、読み出したPAとPPの対(PA,PP)に対応す
るGPが内部テーブルに記憶されているか否か判断し
(ステップs302)、記憶されている場合にはパケッ
ト内のPAを格納するフィールドにGRを書き込む(ス
テップs303)とともにパケット内のPPを格納する
各フィールドにGPを書き込むことにより(ステップs
304)、グローバルIPアドレスが付与されていない
プライベートホストPH1,…からのパケットの送信元
アドレスをGRに変換するとともに送信元のポート番号
PPをユニークなポート番号GPに変換する。そして、
アドレス変換されたパケットをインターネットに転送す
る(ステップs305)。
【0013】また、(PA,PP)に対応するGPが内
部テーブルに記憶されていない場合には、その(PA,
PP)に対して、ユニークなGPが生成できるか否かを
判断し(ステップs306)、生成できなければパケッ
トを破棄し(ステップs311)、生成できる場合には
(PA,PP)に対応したユニークなGPを作成して
(ステップs307)、内部テーブルに(PA,PP)
と生成したGPを格納するエントリを付け加える(ステ
ップs308)。そして、パケット内のPAを格納する
各フィールドにGRを書き込む(ステップs309)と
ともにパケット内のPPを格納する各フィールドにGP
を書き込むことにより(ステップs310)、グローバ
ルIPアドレスが付与されていないプライベートホスト
PH1,…からのパケットの送信元アドレスをGRに変
換するとともに送信元のポート番号PPをユニークなポ
ート番号GPに変換する。そして、アドレス変換された
パケットをインターネットに転送する(ステップs31
1)。
【0014】一方、アドレス変換装置Rがインターネッ
トINET上の任意のグローバルホストGH1’,…か
らのパケットを受信すると、図21に示すようにパケッ
トからGPを読み出し(ステップs401)、内部テー
ブルにそのGPに対応する(PA,PP)の対があるか
否かを判断する(ステップs402)。そして、対応す
る(PA,PP)の対が内部テーブルにある場合には、
パケット内のGRを格納する各フィールドPPを書き込
むことにより(ステップs404)、送信先のアドレス
をアドレス変換装置RのGRから何れかのプライベート
ホストPH1,…のプライベートIPアドレスPAに変
換するアドレス変換を行う。そして、アドレス変換され
たパケットをプライベートネットワークPNに送る(ス
テップs405)。なお、内部テーブルに受信パケット
のGPと対応する(PA,PP)がない場合には、その
パケットは破棄される(ステップs406)。
【0015】
【発明が解決しようとする課題】ここでプライベートネ
ットワーク上に位置するVPNクライアントから、ES
Pパケットを送出し、任意のインターネット上のVPN
ゲートウェイとVPNセッションを確立する場合におい
て、上記のNATとIPマスカレードを適用する場合に
ついて説明する。VPNクライアントとは、プライベー
トネットワーク上に位置し、IPパケットに対してES
Pの処理を施し、ESPパケットを送出する機能を備え
た機器である。VPNセッションは必ずVPNクライア
ントから開始される(VPNのイニシエータ)。また、
VPNゲートウェイとは、インターネット上に位置し、
IPパケットに対してESPの処理を施し、ESPパケ
ットを送出する機能を備えた機器である。VPNの設定
はセッション待ち受けの設定とする(VPNのレスポン
ダ)。
【0016】図22は、ESPパケットフォーマットを
示す模式図である。ESPでパケットの認証および暗号
化を行う場合、同図に示すとおり、IPヘッダは認証対
象外であるので、アドレス変換を行うことは可能であ
る。その場合においては、1対1のアドレス変換である
NATのみが可能であり、1つのグローバルIPアドレ
スを複数のセッションで共有するN対1のアドレス変換
であるIPマスカレードを行うことはできない。これ
は、ESPのパケットはTCPでもUDPでもないた
め、ポート番号による多重化ができないためである(E
SPヘッダにはポート番号という概念がない)。
【0017】図23は、VPNにNATを適用した場合
を説明するためのネットワーク構成図である。同図に示
すように、NATを適用した場合、プライベートネット
ワークに仕置するVPNクライアントにおいて、インタ
ーネット上のVPNゲートウェイとVPNセッションを
可能としているが、1対1のNATによってアドレス変
換をしなければいけないため、そのプライベートネット
ワーク上でVPNセッションを確立可能な端末は一台に
限定される。そのため、図24に示すようにプライベー
ト空間内の複数のVPNクライアントから、VPNセッ
ションを複数確立するためには、そのVPNセッション
の数だけ、NAT機能を有する機器(例えばルータ等)
を用意しなければならない。そのため機器コスト、また
その機器の管理コスト等が増大するという問題があっ
た。
【0018】本発明は、このような課題を解決するため
のものであり、1つのプライベートネットワーク上にあ
る複数のVPNクライアントから1つのアドレス変換装
置経由でインターネットに接続し、同時に1つまたは複
数のVPNゲートウェイとの間でVPNセッション(使
用プロトコルはESP)を構築可能とするネットワーク
アドレス変換方法およびその装置を提供することを目的
とする。また、このようなネットワークアドレス変換装
置を用いることにより、VPNクライアントの多重化を
実現可能とするVPNクライアント多重化システムを提
供することをその他の目的とする。
【0019】
【課題を解決するための手段】このような目的を達成す
るために、本発明に係るネットワークアドレス変換方法
は、パケットをプライベートネットワークとグローバル
ネットワークとの間で送受信する際にネットワークアド
レスを変換する方法において、受信したパケットがES
P(Encapsulating Security Payload)か否かを判断す
るステップと、ESPと判断された場合にセキュリテイ
ーパラメータインデックスと前記プライベートネットワ
ーク上の端末のIPアドレスとを対応付けた内部テーブ
ルを参照することにより、ESPのパケットにアドレス
変換を施すステップとを有する。
【0020】また、本発明に係るネットワークアドレス
変換装置は、パケットをプライベートネットワークとの
間で送受信するLANインターフェース手段と、前記送
受信されたパケットを中継するIPルーティング手段
と、受信されたパケットがESP(Encapsulating Secu
rity Payload)か否かを判断するESP監視手段と、前
記受信されたパケットにアドレス変換を施すNAT処理
手段と、ESPのパケットにアドレス変換を施すESP
NAT処理手段と、パケットをグローバルネットワーク
との間で送受信するWANインターフェースとを備え、
前記ESPNAT処理手段は、セキュリテイーパラメー
タインデックスと前記プライベートネットワーク上の端
末のIPアドレスとを対応付けた内部テーブルを有し、
この内部テーブルを参照することにより前記ESPのパ
ケットのアドレス変換を実施する。
【0021】また、本発明に係るVPNクライアント多
重化システムは、第1のプライベートネットワークを介
して複数のVPNクライアントを収容したアドレス変換
装置と、第2のプライベートネットワークを介して複数
の内線端末を収容したVPNゲートウェイトと、前記ア
ドレス変換装置および前記VPNゲートウェイの接続さ
れたグローバルネットワークとで構成されたVPNクラ
イアント多重化システムにおいて、前記アドレス変換装
置は、パケットを前記第1のプライベートネットワーク
との間で送受信するLANインターフェース手段と、前
記送受信されたパケットを中継するIPルーティング手
段と、受信されたパケットがESP(Encapsulating Se
curity Payload)か否かを判断するESP監視手段と、
前記受信されたパケットにアドレス変換を施すNAT処
理手段と、ESPのパケットにアドレス変換を施すES
PNAT処理手段と、パケットをグローバルネットワー
クとの間で送受信するWANインターフェースとを備
え、前記ESPNAT処理手段は、セキュリテイーパラ
メータインデックスと前記第1のプライベートネットワ
ーク上の端末のIPアドレスとを対応付けた内部テーブ
ルを有し、この内部テーブルを参照することにより前記
ESPのパケットのアドレス変換を実施する。
【0022】このように構成することにより本発明は、
ESPパケット中のSPIを利用することにより、VP
N内のプライベートアドレスとインターネット上のグロ
ーバルアドレスとのアドレス変換を実現し、VPN内の
複数の端末とインターネット上のVPNゲートウェイと
を接続することができる。したがって、1つのプライベ
ートネットワーク上にある複数のVPNクライアントか
ら1つのアドレス変換装置経由でインターネットに接続
し、同時に1つまたは複数のVPNゲートウェイとの間
でVPNセッション(使用プロトコルはESP)を構築
可能となる。
【0023】
【発明の実施の形態】次に、本発明の一つの実施の形態
について図を用いて説明する。図1は、本発明の一つの
実施の形態を示すブロック図である。同図に示すよう
に、本実施の形態に係るシステムは、VPNクライアン
トLH1_1、LH1_2およびLH2と、プライベー
トネットワークLと、アドレス変換装置Rと、グローバ
ルネットワークであるインターネットINETと、VP
NゲートウェイGH1およびGH2と、プライベートネ
ットワークXおよびYと、内線端末XH1、XH2、Y
H1およびYH2とで構成されている。また、VPNク
ライアントLH1_1は、パケット処理部LH1_1a
とVPN処理部LH1_1bとLANインターフェース
LH1_1cとで構成されている。
【0024】また、アドレス変換装置Rは、パケットを
LANとの間で送受信するLANインターフェースRa
と、パケットをルーティングするIPルーティングRb
と、受信したパケットがESPかどうか判断するESP
監視部Rdと、パケットにアドレス変換を施すNAT処
理部Rcと、ESPのパケットにアドレス変換を施すE
SPNAT処理部Reと、パケットをWANとの間で送
受信するWANインターフェースRfとで構成されてい
る。また、VPNゲートウェイGH1は、WANインタ
ーフェースGH1aとVPN処理部GH1bとLANイ
ンターフェースGH1cとで構成されている。また、内
線端末XH1は、LANインターフェースXH1aとパ
ケット処理部XH1bとで構成されている。
【0025】ここで、アドレス変換装置Rの構成要素に
ついて詳細に説明する。LANインターフェースRa
は、イーサネット(登録商標)処理といったOSI参照
モデルの物理層およびデータリンク層に関する処理、ま
たはフィルタリング等のOSI参照モデルのネットワー
ク層の処理を行う。IPルーティングRbは、ルーティ
ングテーブルに基づいて、パケットのルーティングを行
う。ただし、ディステイネーションアドレスが自分自身
であった場合、トランスポートレイヤ以上の処理に委
ね、パケットを内部に取り込む。ESP監視部Rdの内
部には、LAN側から受信したパケットとWAN側から
受信したパケットに対して施す処理が異なることによ
り、LAN側、WAN側という2つ処理部を持つ。LA
N側から来たパケットは、そのパケットのIPの上位プ
ロトコルがESPかどうか判断する。ESPであった
ら、ESPNAT処理部ReのLAN側に処理を渡し、
ESPでなければNAT処理部RcのLAN側に処理を
渡す。WAN側から来たパケットの場合、そのパケット
のIPの上位プロトコルがESPかどうか判断し、ES
Pであったら、ESPNAT処理部ReのWAN側に処
理を渡し、ESPでなければNAT処理部RcのWAN
側に処理を渡す。
【0026】図2は、ESP監視部のLAN側の処理フ
ローチャートを示す。 〔ステップs501(ESP判断)〕LANインターフ
ェースRaから受信したIPパケットのIPヘッダのプ
ロトコルフィールドを読み取り、ESPかどうか、すな
わち50番かどうか判断する(IANAによってプロト
コル番号50は、ESPのため予約されている)。ES
Pであるならばステップs502へ、ESP以外のプロ
トコルであった場合ステップs503へ処理を移行す
る。 〔ステップs502(ESPNAT処理へ移行)〕ES
PNAT処理部ReのLAN側処理部Re1に処理を渡
す。 〔ステップs503(NAT処理へ移行)NAT処理部
RcのLAN側処理部Rc1に処理を渡す。
【0027】図3は、ESP監視部のWAN側の処理フ
ローチャートを示す。 〔ステップs601(ESP判断)〕IPルーティング
から受信したIPパケットのIPヘッダのプロトコルフ
ィールドを読み取り、ESPかどうか、すなわち50番
かどうか判断する(IANAによってプロトコル番号5
0は、ESPのため予約されている)判断する。ESP
であるならばステップs602へ、ESP以外のプロト
コルであった場合ステップs603へ処理を移行する。 〔ステップs602(ESPNAT処理へ移行)〕ES
PNAT処理部ReのWAN側処理部Re3に処理を渡
す。 〔ステップs603(NAT処理へ移行)〕NAT処理
部RcのWAN側処理部Rc2に処理を渡す。
【0028】NAT処理部Rcは、ESP監視部Rdか
らパケットを受け取り、自らが持つ変換テーブルに従っ
て、そのパケットのアドレスを変換する。LAN側から
受信したパケットとWAN側から受信したパケットに対
して施す処理が異なるのでLAN側処理部Rd1、WA
N側処理部Rd2という2つ処理部を持つこととする。
詳細にいうと、ESP監視部RdのLAN側処理部Rd
1から、NAT処理部RcのLAN側処理部Rc1がパ
ケットを受信するとき、そのパケットはソースアドレス
としてプライベートアドレスを持つが、NAT処理部R
cは自らが持つ変換テーブルに従ってそのパケットのソ
ースアドレスをグローバルアドレスに変換して、インタ
ーネットINETヘ中継する。反対に、ESP監視部R
dのWAN側から、NAT処理部RcのWAN側処理部
Rc2がパケットを受信するとき、そのパケットのディ
スティネーションアドレスに対してNAT処理部Rcが
変換を施す。NAT処理部Rcでは、NAT(Network
Address Translation )とそれに改良を加えたIPマス
カレードというアドレス変換方法を行うことが可能であ
る。
【0029】ESPNAT処理部Reは、ESP監視部
Rdからパケットを受け取り、自らが持つ内部テーブル
に従って、パケットのアドレスを変換し、パケットをI
PルーティングRbまたはWANインターフェースRf
に送出する。ESPNAT処理部Reは、本発明の特徴
とする構成であり、その構成要素は(1)内部テーブル
Re2、(2)LAN側処理部Re1、(3)WAN側
処理部Re3である。
【0030】(1)内部テーブルRe2 図4は、内部テーブルを示す模式図である。内部テーブ
ルRe2は、ESPNAT処理部ReのLAN側処理部
Re1が受信したパケットのソースアドレスを格納する
VPNクライアントフィールドと送信先のインターネッ
ト上に存在するVPNゲートウェイのグローバルアドレ
スを格納するVPNゲートウェイフィールド、そのパケ
ットのレスポンスパケットのSPIの値を格納するSP
Iフィールドを持つ。これらのVPNゲートウェイフィ
ールド、VPNクライアントフィールド、SPIフィー
ルドに格納される1組のデータの組をレコードと呼ぶ。
【0031】ここで、SPIの概要について説明する。
SPIとは、受信者がセキュリティプロトコル毎にセキ
ュリティパラメータであるセキュリティアソシエーショ
ン(以下、SAという)を識別するために使うもので、
ESPヘッダ(図22参照)に含まれている。IPse
cでは、暗号化や認証に使用するアルゴリズムを規定し
ていない。このため、様々な種類のアルゴリズムの中か
ら利用したいものを選択することが可能となる。しか
し、当然、相手側がどのアルゴリズムを使用して暗号化
したのか、どのアルゴリズムを利用して認証しているの
かということが分からなければパケットを受け取ること
ができない。このような情報を保持するために、IPs
ecではSAを利用する。VPNクライアントとVPN
ゲートウェイが保持するSAには、使用する暗号化アル
ゴリズムの種類、暗号化アルゴリズムのモード、暗号化
アルゴリズムで使用する初期ベクトル(IV)の長さ、
認証アルゴリズムの種類、認証アルゴリズムのモード、
暗号化鍵、認証鍵などの情報がされている。
【0032】このSAはそれぞれの機器で保持され、I
Psecパケットを送り出す場合には、相手側の保持す
るSAの中から利用できるものを送信側が選択し、その
SAに付けられているSPIの値をそのパケットのES
Pヘッダのフィールドに含めて送信する。受信側は、E
SPヘッダ中のSPI値によってどのSAが使用されて
いるのかを識別する。SPI値は鍵交換のフェーズで決
定される32ビットの擬似乱数値である。またSAは単
方向である。つまり、端末Aと端末Bが通信する場合、
端末Aから端末Bへのパケットと、端末Bから端末Aへ
のパケットには異なるSAが使用される。よって、行き
のパケットはDESで暗号化し、帰りのパケットはトリ
プルDESで暗号化するといったような、その方向によ
って使用するアルゴリズムを変えることも可能である。
SAが単方向ということは、すなわち、鍵交換を行った
VPNクライアント、VPNゲートウェイは、互いに受
信したIPsecパケットに対して適切なSAを識別す
るためのSPI値、IPsecパケットを送信する際に
適切なSAを選択するためのSPI値という2つのSP
I値を持つことになる。
【0033】図5は、SPIとSAの使用例を示す説明
図である。 IPsecパケットの送出側はIPsec処理が必
要なパケットがきたら、適切なSAを選択し、どのよう
なセキュリティパラメータに従ってパケットに処理を施
すか決定する。受信したパケットに対して、IPsec
処理が必要か否かおよび適切なSAを選択する方法は、
そのパケットのIPアドレス、トランスポート層プロト
コルなどによって決定される。 によって決定したSAに従い、パケットにIPs
ec処理(パケットの暗号化等)を施し、パケットを送
出する。 IPsecパケットの受信側はIPsecのパケッ
トを受信したら、そのパケットのSPI値を読み出し
て、そのSPI値を元にセキュリティパラメータ表を検
索し、そのIPsecパケットを復号化するのに適切な
SAを選択する。 で検索したSAを用いて、IPsec処理(パケ
ットの復号化等)を行う。ここで説明したSPIをイン
デックスとして適切なSAを選択したり、受信パケット
の宛先アドレス等からVPN処理するか否かといった機
能はVPNクライアント、VPNゲートウェイの構成要
素VPN処理部が行う。
【0034】(2)LAN側処理部Re1 LAN側処理部Re1は、ESP監視部RdのLAN側
処理部Rd1から受信したESPパケットに対して、図
6に示すようなフローチャートに従い、パケットを処理
する。
【0035】図6は、ESP処理部における処理フロー
チャートを示す。 〔ステップs701〕ESPNAT処理部ReのLAN
側処理部Re1は、受信したパケットのソースアドレ
ス、ディスティネーションアドレス、SPI値と内部テ
ーブルを参照し、受信パケットを「新規」、「登録不
可」、「登録完了」の3つの状態の何れかに判別する。
受信パケットを「新規」と判別した場合にはステップs
702へ、「登録不可」と判別した場合にはステップs
705へ、登録完了と判別した場合はステップs706
へと処理を移行する。
【0036】次に、受信パケットの状態を判別方法を説
明する。図7は、図6のステップs701の詳細フロー
チャートを示す。まず、受信したパケットのディスティ
ネーションアドレスを読み出し、内部テーブルのVPN
ゲートウェイフィールドを参照して、読み出したディス
ティネーションアドレスと同一のアドレスがあるかどう
か判断する(ステップs901)。ディスティネーショ
ンアドレスと同一のアドレスが存在する場合には、ステ
ップs902へ移行する。ディスティネーションアドレ
スと同一のアドレスが存在しない場合には、受信パケッ
トの状態を「新規」に決定する(ステップs906)。
ステップs902では、内部テーブルを参照し、受信パ
ケットのディスティネーションアドレスと同一のアドレ
スを持つVPNゲートウェイフィールドのレコードを抽
出する。ステップs903では、ステップs902で抽
出された全てのレコードにおいて、SPIフィールドに
値が格納されているかどうか判断する。全てのレコード
において、SPIフィールドに値が格納されていた場
合、受信パケットの状態、を「登録完了」とする(ステ
ップs904)。少なくとも1つのレコードのSPIフ
ィールドにおいて、値が格納されていない場合、受信パ
ケットの状態を「登録不可」とする(ステップs90
5)。
【0037】〔ステップs702〕 ・受信したパケットのソースアドレスを内部テーブルの
VPNクライアントフィールドに、ディステイネーショ
ンアドレスを内部テーブルのVPNゲートウェイフィー
ルドに格納する。 〔ステップs703〕 ・受信したパケットのソースアドレスをルータが持つグ
ローバルアドレスに変換する。 〔ステップs704〕 ・パケットをWANインターフェースに転送する。 〔ステップs705〕 ・パケットを破棄する。 〔ステップs706〕 ・受信したパケットのソースアドレスをルータが持つグ
ローバルアドレスに変換する。 〔ステップs707〕 ・パケットをWANインターフェースに転送する。
【0038】(3)WAN側処理部Re3 次にWAN側処理部Re3は、ESP監視部RdのWA
N側処理部Rd2から受信したESPパケットに対し、
図8に示すようなフローチャートに従ってパケットを処
理する。
【0039】図8は、ESPNAT処理部のWAN側処
理部における処理フローチャートを示す。 〔ステップs801〕 ・ESPNAT処理部ReのWAN側処理部Re3は、
受信したパケットのソースアドレス、ディスティネーシ
ョンアドレス、SPI値と内部テーブルを参照し、受信
パケットを「未登録」、「登録途中」、「登録完了」の
3つの状態の何れかに判別する。受信パケットを「未登
録」と判別した場合にはステップs802へ、「レスポ
ンス」と判別した場合にはステップs805へ、「登録
済み」と判別した場合はステップs803へと処理を移
行する。
【0040】次に、受信パケットの状態を判別する方法
を説明する。図9は、受信パケットが「未登録」、「レ
スポンス」、「登録完了」の何れの状態か判断するため
のフローチャートを示す。まず、受信したパケットのソ
ースアドレスを読み出し、内部テーブルのVPNゲート
ウェイフィールドを参照して、読み出したソースアドレ
スと同一のアドレスがあるかどうか判断する(ステップ
s1001)。ソースアドレスと同一のアドレスが存在
する場合には、ステップs1002へ移行する。VPN
ゲートウェイフィールドに受信パケットのソースアドレ
スと同一のアドレスが存在しない場合には、受信パケッ
トの状態を「未登録」に決定する(ステップs100
7)。ステップs1002では、内部テーブルを参照
し、受信パケットのソースアドレスと同一のアドレスを
持つVPNゲートウェイフィールドのレコードを抽出す
る。
【0041】ステップs1003では、ステップs10
02で抽出された全てのレコードにおいて、SPIフィ
ールドに値が格納されているかどうか判断する。全ての
レコードにおいて、SPIフィールドに値が格納されて
いた場合、ステップs1005に移行する。少なくとも
1つのレコードのSPIフィールドにおいて、値が格納
されていない場合、受信パケットの状態を「レスポン
ス」とする(s1004)。ステップs1005では、
受信パケットのSPI値を読み込み、ステップs100
2で抽出されたレコードにおけるSPIフィールドにお
いて、同一の値が格納されているかどうか判断する。同
一の値が格納されていた場合、受信パケットの状態を
「登録完了」とする(ステップs1006)。同一の値
が格納されていない場合は、受信パケットの状態を「未
登録」とする(ステップs1007)。
【0042】〔図8のステップs802〕 ・パケットを破棄する。 〔ステップs803〕 ・受信したパケットのESPヘッダのSPI値を読み出
して、内部テーブルを参照し、読み出したSPI値と同
一のSPIフィールドを含むレコードを抽出する。抽出
したレコードのVPNクライアントフィールドに格納さ
れているアドレスをパケットのディスティネーションア
ドレスに変換する。 〔ステップs804〕 ・パケットをIPルーティングRbに転送する。 〔ステップs805〕図9のステップs1002により
抽出されたレコードにおいて、SPIフィールドに値が
格納されていないレコードを抽出し、そのレコードのS
PIフィールドに受信したパケットのESPヘッダのS
PIフィールドに格納されているSPI値を格納する。
【0043】WANインターフェースRfは、PPPや
ISDN回線処理といったOSI参照モデルの物理層お
よびデータリンク層に関する処理、またはフィルタリン
グ等のOSI参照モデルのネットワーク層の処理を行
う。これらの処理は本発明の主旨ではないため、ここで
は言及しない。また、接続回線は、ISDNや専用線、
イーサーネットといった種類は問わない。
【0044】本実施の形態は上記構成要素により、ES
Pパケットを送出するプライベートネットワーク上の複
数のVPNクライアント間でグローバルなIPアドレス
を同時に共用することが可能なアドレス変換方法を実現
する。従来のアドレス変換装置には、ESP監視部とE
SPNAT処理部がなかったので、ESPパケットを送
出するプライベートネットワーク上の複数のVPNクラ
イアント間でグローバルなIPアドレスを同時に共用す
ることができなかったのに対し、ESP監視部とESP
NAT処理部を新規に追加したことにより、グローバル
なIPアドレスを同時に共用することができるようにな
った。
【0045】なお、本発明において、グローバルなIP
アドレスを同時に共用することができることに関して、
VPNゲートウェイが送信したESPパケットに含まれ
るSPI値がVPNクライアント固有であることを前提
としているが、SPI値は、鍵交換時に決定される32
ビットの擬似乱数値であるため、約43億分の1で異な
るVPNクライアントが同一のSPI値を保持すること
がある。この場合は、VPNゲートウェイからのESP
パケットのディスティネーションアドレスを適切なVP
Nクライアントのアドレスに変換することができないた
め、正しく通信を行うことができない。この問題は、再
度鍵交換を行うといった運用で回避することとする。
【0046】〔VPNクライアント多重化システム〕図
1に示すVPN多重化システムは、1つのプライベート
ネットワーク上にある複数のVPNクライアントから1
つのアドレス変換装置を経由してインターネットに接続
し、同時に1つまたは複数のVPNゲートウェイとの間
でVPNセッションを構築する。VPNセッションの多
重化を行う際のシステムは、アドレス変換装置配下のプ
ライベートネットワーク上に位置する複数のVPNクラ
イアント、アドレス変換装置、インターネット上に位置
する複数のVPNゲートウェイ、内線端末の4つのノー
ドから構成される。
【0047】次に、4つのノードの構成要素を各々説明
する。VPNクライアントLH1_1は、パケットの処
理およびルーティングを実施するパケット処理部LH1
_1aと、パケットにVPNの処理を施すVPN処理部
LH1_1bと、パケットをイーサーネットとの間で送
受信するLANインターフェースLH1_1cとで構成
されている。アドレス変換装置Rは、パケットをLAN
との間で送受信するLANインターフェースRaと、パ
ケットをルーティングするIPルーティングRbと、受
信したパケットがESPかどうか判断するESP監視部
Rdと、パケットにアドレス変換を施すNAT処理部R
cと、ESPのパケットにアドレス変換を施すESPN
AT処理部Reと、パケットをWANとの間で送受信す
るWANインターフェースRfとで構成されている。V
PNゲートウェイGH1は、パケットをWANとの間で
送受信するWANインターフェースGH1aと、パケッ
トにVPNの処理を施すVPN処理部GH1bと、パケ
ットをLANとの間で送受信するLANインターフェー
スGH1cとで構成されている。内線端末XH1は、パ
ケットをLANとの間で送受信するLANインターフェ
ースXH1aと、パケットの処理およびルーティングす
るパケット処理部XH1bとで構成されている。
【0048】これらのシステム構成要素において、アド
レス変換装置Rの各構成要素は、前記アドレス変換装置
の構成要素の説明と同一である。また、それ以外の構成
要素については、特に従来のTCP/IP通信およびT
CP/IP通信ノード上のVPN処理部については、従
来の処理とは特に変わらず、新規な部分は存在しないの
で、説明を省略する。
【0049】以下、システムの構成を説明する。複数の
VPNクライアントLH1_1,…がアドレス変換装置
Rにバス接続されてプライベートネットワークLを構成
している。LH1_1,…に付記した添え字は、「対向
VPNゲートウェイの添え字」アンダーバー「VPNク
ライアントの添え字」(例:対向VPNゲートウェイが
G1で、その対向VPNゲートウェイに接続するVPN
クライアントが2台あるとき、LH1_1、LH1_2
となる)。添え字については、以下、同様の記述規則と
する。プライベートネットワークLはアドレス変換装置
Rを介してインターネットINETに接続しており、イ
ンターネットINET上には複数のVPNゲートウェイ
GH1,…が存在し、各々のVPNゲートウェイGH
1,…の配下には複数の内線端末XH1,XH2,…が
バス接続されてプライベートネットワークX,…を構築
している。プライベートネットワーク上の各VPNクラ
イアントLH1_1,LH1_2,LH2,…には、各
々プライベートIPアドレスL1_1,L1_2,L
2,…が付与されている。
【0050】また、アドレス変換装置Rのインターネッ
トINET側には、グローバルIPアドレスGRが付与
されている。インターネットINET上のVPNゲート
ウェイGH1,…のインターネットINET側には、各
々グローバルIPアドレスG1,…が付与されている。
VPNゲートウェイ配下の内線端末XH1,…には各々
プライベートIPアドレスX1,…が付与されている。
図1中に示す太破線の矢印は、VPNクライアントから
内線端末へのパケットの流れを示している。太線の矢印
は、内線端末からVPNクライアントヘのパケットの流
れである。細線の矢印は、VPNクライアントからのパ
ケットが内線端末へと到達する際の各構成要素における
処理の流れを示している。細線の矢印は、内線端末から
のパケットがVPNクライアントヘと到達する際の各構
成要素における処理の流れを示している。
【0051】
【実施例】次に、本発明の実施例について説明する。図
10は、本発明の実施例を示すネットワーク構成図であ
る。同図に示すようなアドレス変換装置Rを介してVP
NゲートウェイLH1_1,LH1_2,LH2とVP
NゲートウェイGH1,GH2との間で3とおりのVP
Nセッションを確立する場合を例にして、アドレス変換
装置でのアドレス変換手順を説明する。
【0052】まず、本発明を実施するための前提条件
は、VPNクライアントがセキュアな通信を行う対向の
VPNゲートウェイと鍵交換のフェーズを完了している
ことである。既にこの時点で各々の2点間の鍵交換のフ
ェーズは完了し、各VPNクライアントおよびVPNゲ
ートウェイはともにセキュアな通信に必要なパラメータ
の集合であるSAを保持しているものとする。鍵交換に
関しては、トランスポート層プロトコルUDP、ポート
番号500番が使用される。よってNAT処理部におい
ては、トランスポート層プロトコルUDP、ポート番号
500番のパケットに対して、ポート番号を500番に
保持したまま、アドレスのみを変換する方法によって対
処する。このとき、アドレス、プロトコル、ポート番号
の組を変換テーブルに保持するわけだが、その保持期間
は鍵交換が完了した後、可能な限り短時間で終了するこ
とが望ましい。鍵交換を行ったVPNクライアントおよ
びVPNゲートウェイは、互いに受信したESPパケッ
ト用のSAを識別するためのSPI値(以下、受信SP
I値という)、ESPパケットを送信する際に適切なS
Aを選択するためのSPI値(以下、送信SPI値とい
う)という2つのSPI値を持っていることになる。
【0053】本実施例ではVPNクライアントLH1_
1はVPNゲートウェイGH1と、VPNクライアント
LH1_2はVPNゲートウェイGH1と、VPNクラ
イアントLH2はVPNゲートウェイGH2と鍵交換を
完了しているとする。図10に示すようにVPNクライ
アントLH1_1は、VPNゲートウェイ配下のネット
ワークX向けのパケットに対して、ESP処理を施すわ
けだが、適切なSAを選択する際の送信SPI値がAA
Aであり、またVPNゲートウェイGH1から受信した
ESPパケットに対しては、適切なSAを選択するため
に受信SPI値BBBが使用される。同様にVPNクラ
イアントLH1_2の送信SPI値はCCC、受信SP
I値はDDD,VPNクライアントLH2の送信SPI
値はEEE、受信SPI値はFFFである。VPNゲー
トウェイGH1の送信SPI値は、パケットの宛先がL
1_1であった場合BBB,L1_2であった場合DD
Dであり、受信SPI値は、AAA、CCCの2つを保
持している。同様にVPNゲートウェイGH2の送信S
PI値は、パケットの宛先がL2であった場合、FFF
であり、受信SPI値はEEEを保持している。
【0054】ここで、3つのVPNセッションの確立の
例を述べて、本実施例を説明する。アドレス変換装置R
を介して、VPNクライアントLH1_1とVPNゲー
トウェイGH1、VPNクライアントLH1_2とVP
NゲートウェイGH1、VPNクライアントLH2とV
PNゲートウェイGH2との間で3とおりのVPNセッ
ションを確立する場合を例にして、アドレス変換手順を
説明する。なお、以下の例ではESP・トンネルモード
について説明するが、ESP・トランスポートモードに
ついても同様の手順で行われる。
【0055】図10におけるVPNクライアントLH1
_1は、VPNゲートウェイGH1と鍵交換を完了して
いる。また、VPNクライアントLH1_2はVPNゲ
ートウェイGH1と鍵交換を完了し、VPNクライアン
トLH2はVPNゲートウェイGH2と鍵交換を完了し
ており、各々SPI値を保持している。同図において、
破線矢印はVPNセッションを示しており、矢印の起点
がVPNセッション確立要求するホストであり、矢印の
先がVPNセッション確立要求相手のホストである。
【0056】VPNセッションは、VPNクライアン
トLH1_1がVPNゲートウェイGH1との間にVP
Nセッションを確立し、プライベートネットワークX上
の端末XH1と通信を行うことを意味している。また、
VPNセッションは、VPNクライアントLH1_2
がVPNゲートウェイGH1との間にVPNセッション
を確立し、プライベートネットワークX上の端末XH2
と通信を行うことを意味している。さらに、VPNセッ
ションは、VPNクライアントLH2がVPNゲート
ウェイGH2との間にVPNセッションを確立し、プラ
イベートネットワークY上の端末YH1と通信を行うこ
とを意味している。このようなVPNセッション、
、を順に確立していくものとする。
【0057】図11、図12、図13、図14、図1
5、図16は、図10に示すVPNセッションを確立す
るにあたってのESPNAT処理部における内部テーブ
ルの変化、パケットのアドレス変換等の変化を時系列的
に示したシーケンス図である。ここでパケットの形態を
分かりやすく表示するため、ソースアドレス(以下、S
Aという)、ディスティネーションアドレス(以下、D
Aという)、セキュリティパラメータインデックスの値
(以下、SPIという)、データ(以下、DATAとい
う)のみを示すことにより、パケットの構成を簡易に表
記する。
【0058】まず、プライベートネットワークL上のV
PNゲートウェイLH1_1がインターネットINET
上のVPNゲートウェイGH1配下のプライベートネッ
トワークX上の端末XH1に対して通信を行うものとす
る。
【0059】〔1〕VPNクライアントLH1_1 1−1 VPNクライアントLH1_1のパケット送出
部LH1_1a(図1)が送信先のIPアドレスX1の
パケットP1を作成し、VPN処理部LH1_1bへ渡
す。 1−2 パケットP1のディスティネーションアドレス
はX1であり、プライベートネットワークX向けのパケ
ットのため、パケットP1にESP処理を施し、ESP
パケットEP1を生成する。そして、LANインターフ
ェースLH1_1cヘ処理を渡す。 1−3 VPNクライアントLH1_1のLANインタ
ーフェースLH1_1cは、ESPパケットEP1をプ
ライベートネットワークLへ送出する。
【0060】〔2〕アドレス変換装置R 2−1 ESPパケットEP1をアドレス変換装置Rの
LANインターフェースRaが受信し、IPルーティン
グRbヘ処理を渡す。 2−2 IPルーティングRbはESPパケットEP1
のディステイネーションアドレスG1を読み出し、ES
P監視部RdのLAN側処理部Rd1へ処理を渡す。 2−3 ESP監視部RdのLAN側処理部Rd1は、
ESPパケットEP1のIPヘッダのプロトコルフィー
ルドを参照し、パケットのIPの上位プロトコルがES
Pかどうかを判断する(図2のステップs501)。 2−4 ESPパケットEP1はESPであるため、E
SPNAT処理部ReのLAN側処理部Re1へ処理を
渡す(図2のステップs502)。
【0061】2−5 ESPNAT処理部ReのLAN
側処理部Re1は、内部テーブルRe2のVPNゲート
ウェイフィールドを参照し、パケットのディステイネー
ションアドレスG1と同一のアドレスが格納されている
かどうかを検索する(図7のステップs901)。 2−6 その結果、同一のアドレスが格納されていない
ので、ESPパケットEP1の状態を「新規」と判断す
る(図7のステップs906)。 2−7 内部テーブルRe2のVPNゲートウェイフィ
ールドにG1を格納し、VPNクライアントフィールド
にL1_1を格納する(図6のステップs702)。 2−8 ESPパケットEP1のソースアドレスをGR
に変換し(変換後のESPパケットをEP1’とす
る)、WANインターフェースRfヘ処理を渡す。 2−9 WANインターフェースRfは、ESPパケッ
トEP1’をインターネットINETへ送出する。
【0062】〔3〕VPNゲートウェイGH1 3−1 ESPパケットEP1’をVPNゲートウェイ
GH1のWANインターフェースGH1aが受信し、V
PN処理部GH1bへ処理を渡す。 3−2 VPN処理部GH1bは、ESPパケットEP
1’のSPI値AAAを読み出し、適切なSAを選択し
てESPパケットEP1’を復号化してパケットP1を
取り出し、LANインターフェースGH1cヘ処理を渡
す。 3−3 LANインターフェースGH1cは、パケット
P1をプライベートネットワークXへ送出する。
【0063】〔4〕内線端末XH1 4−1 パケットP1を内線端末XH1のLANインタ
ーフェースXH1aが受信し、パケット処理部XH1b
へ処理を渡す。 4−2 パケット処理部XH1bは、パケットP1の内
容を読み取り、適切な処理を実行する。
【0064】次に、この時点でプライベートネットワー
クL上のVPNクライアントLH1_2がインターネッ
トINET上のVPNゲートウェイGH1配下のプライ
ベートネットワークX上の端末XH2に対して通信を行
うものとする。
【0065】〔5〕VPNクライアントLH1_2 5−1 VPNクライアントLH1_2のパケット処理
部が送信先X2のパケットP2を作成し、VPN処理部
へ渡す。 5−2 パケットP2のディスティネーションアドレス
はX2であるとともに、プライベートネットワークX向
けのパケットのため、パケットP2にESP処理を施
し、ESPパケットEP2を生成する。そして、LAN
インターフェースヘと処理を渡す。 5−3 VPNクライアントLH1_2のLANインタ
ーフェースは、ESPパケットEP2をプライベートネ
ットワークLへ送出する。
【0066】〔6〕アドレス変換装置R 6−1 ESPパケットEP2をアドレス変換装置Rの
LANインターフェースRaが受信し、IPルーティン
グRbヘ処理を渡す。 6−2 IPルーティングRbはESPパケットEP2
のディステイネーションアドレスG1を読み出し、ES
P監視部RdのLAN側処理部Rd1へ処理を渡す。 6−3 ESP監視部RdのLAN側処理部Rd1は、
ESPパケットEP2のIPヘッダのプロトコルフィー
ルドを参照し、ESPパケットEP2のIPの上位プロ
トコルがESPかどうか判断する(図2のステップs5
01)。 6−4 ESPパケットEP2はESPであるため、E
SPNAT処理部ReのLAN側処理部Re1へ処理を
渡す(図2のステップs502)。
【0067】6−5 ESPNAT処理部ReのLAN
側処理部Re1は、内部テーブルRe2のVPNゲート
ウェイフィールドを参照し、ESPパケットEP2のデ
ィステイネーションアドレスG1と同一のアドレスが格
納されているかどうかを検索する(図7のステップs9
01)。 6−6 6−5結果、同一のアドレスが格納されている
ので、受信パケットEP2のディスティネーションアド
レスG1と同一のアドレスを持つVPNゲートウェイフ
ィールドのレコードを抽出する(図7のステップs90
2)。 6−7 6−6で抽出したレコードにおいて、そのSP
Iフィールドに値が格納されていないかどうかを判別す
る(図7のステップs903)。 6−8 6−7の結果、そのSPIフィールドに値が格
納されてないので、パケットの状態を「登録不可」と判
断する(図7のステップs905)。 6−9 ESPパケットEP2を廃棄する(図6のステ
ップs705)。このとき、パケットP2はトランスポ
ート層のプロトコルがTCPであった場合、タイムアウ
トまで再送される。
【0068】次に、この時点でプライベートネットワー
クL上のVPNゲートウェイLH2がインターネットI
NET上のVPNゲートウェイGH2配下のプライベー
トネットワークY上の端末Y1に対して通信を行うもの
とする。
【0069】〔7〕VPNクライアントLH2 7−1 VPNクライアントLH2のパケット処理部が
送信先Y1のパケットP3を作成し、VPN処理部へ渡
す。 7−2 パケットP3のディスティネーションアドレス
はY1であり、ネットワークY向けのパケットのため、
パケットP3にESP処理を施し、ESPパケットEP
3を生成する。そして、LANインターフェースヘと処
理を渡す。 7−3 VPNクライアントLH2のLANインターフ
ェースは、ESPパケットEP3をプライベートネット
ワークLへ送出する。
【0070】〔8〕アドレス変換装置R 8−1 ESPパケットEP3をアドレス変換装置Rの
LANインターフェースRaが受信し、IPルーティン
グRbヘ処理を渡す。 8−2 IPルーティングRbはESPパケットEP3
のディスティネーションアドレスG2を読み出し、ES
P監視部RdのLAN側処理部Rd1へ処理を渡す。 8−3 ESP監視部RdのLAN側処理部Rd1は、
ESPパケットEP3のIPヘッダのプロトコルフィー
ルドを参照し、ESPパケットEP3のIPの上位プロ
トコルがESPかどうか判断する(図2のステップs5
01)。 8−4 ESPパケットEP3はESPであるため、E
SPNAT処理部ReのLAN側処理部Re1へ処理を
渡す(図2のステップs502)。
【0071】8−5 ESPNAT処理部ReのLAN
側処理部Re1は、内部テーブルRe2のVPNゲート
ウェイフィールドを参照し、ESPパケットEP3のデ
ィステイネーションアドレスG2と同一のアドレスが格
納されているかどうかを検索する(図7のステップs9
01)。 8−6 8−5の結果、同一のアドレスが格納されてい
ないので、ESPパケットEP3の状態を「新規」と判
断する(図7のs906)。 8−7 内部テーブルRe2のVPNゲートウェイフィ
ールドにG2、VPNクライアントフィールドにL2を
格納する(図6のステップs702)。 8−8 ESPパケットEP3のソースアドレスをGR
に変換し(変換後のパケットをEP3’とする)、WA
NインターフェースRfヘ処理を渡す。 8−9 WANインターフェースRfは、ESPパケッ
トEP3’をインターネットINETへ送出する。
【0072】
〔9〕VPNゲートウェイGH2 9−1 ESPパケットEP3’をVPNゲートウェイ
GH2のWANインターフェースが受信し、VPN処理
部へ処理を渡す。 9−2 VPN処理部は、ESPパケットEP3’のS
PI値EEEを読み出し、適切なSAを選択してESP
パケットEP3’を復号化してパケットP3を取り出
し、LANインターフェースヘ処理を渡す。 9−3 LANインターフェースは、パケットP3をプ
ライベートネットワークYへ送出する。
【0073】〔10〕内線端末YH1 10−1 パケットP3を内線端末YH1のLANイン
ターフェースが受信し、パケット処理部へ処理を渡す。 10−2 パケット処理部は、パケットP3の内容を読
み取り、適切な処理を実行する。
【0074】次に、プライベートネットワークX上の内
線端末XH1が4−2で示したパケットP1に対するレ
スポンスパケットを送信するものとする。
【0075】〔11〕内線端末XH1 11−1 内線端末XH1のパケット処理部XH1bが
送信先L1_1のパケットP4を作成し、LANインタ
ーフェースXH1aヘ処理を渡す。 11−2 内線端末XH1のLANインターフェースX
H1aは、パケットP4をプライベートネットワークX
へ送出する。
【0076】〔12〕VPNゲートウェイGH1 12−1 パケットP4をVPNゲートウェイGH1の
LANインターフェースGH1cが受信し、VPN処理
部GH1bへ処理を渡す。 12−2 パケットP4のディスティネーションアドレ
スはLH11であり、宛先アドレスLH11向けのパケ
ットのため、パケットP4にESP処理を施し、ESP
パケットEP4を生成する。そしてWANインターフェ
ースGH1aヘ処理を渡す。 12−3 VPNゲートウェイGH1のWANインター
フェースGH1aは、ESPパケットEP4をインター
ネットINETへ送出する。
【0077】〔13〕アドレス変換装置R 13−1 ESPパケットEP4をアドレス変換装置R
のWANインターフェースRfが受信し、ESP監視部
RdのWAN側処理部Rd2へ処理を渡す。 13−2 ESP監視部RdのWAN側処理部Rd2
は、ESPパケットEP4のIPヘッダのプロトコルフ
ィールドを参照し、ESPパケットEP4のIPの上位
プロトコルがESPかどうか判断する(図3のステップ
s601)。 13−3 ESPパケットEP4はESPであるため、
ESPNAT処理部ReのWAN側処理部Re3へ処理
を渡す(図3のステップs602)。 13−4 ESPNAT処理部ReのWAN側処理部R
e3は、内部テーブルRe2のVPNゲートウェイフィ
ールドを参照し、ESPパケットEP4のディステイネ
ーションアドレスG1と同一のアドレスが少なくとも1
つ格納されているかどうかを検索する(図9のステップ
s1001)。 13−5 13−4の結果、同一のアドレスが格納され
ているので、VPNゲートウェイフィールドがG1のレ
コードを抽出する(図9のステップs1002)。
【0078】13−6 13−5で抽出したレコードに
おいて、SPIフィールドに値が格納されてないものが
1つあるかどうか検索する(図9のステップs100
3) 13−7 13−6の結果、13−5で抽出したレコー
ドにおいて、そのSPIフィールドに値が格納されてい
ないものがあったので、ESPパケットEP4のパケッ
トの状態を「レスポンス」と決定する(図9のステップ
s1004)。 13−8 13−7の結果、ESPパケットEP4の状
態はレスポンスであったので、ESPパケットEP4の
ESPヘッダに含まれるSPI値BBBを内部テーブル
Re2のSPIフィールドに格納する(図8のステップ
s805)。 13−9 ESPパケットEP4のSPI値はBBBで
あるので、ESPパケットEP4のディスティネーショ
ンアドレスをLH11に変換し(アドレス変換されたパ
ケットEP4をEP4’とする)、IPルーティングR
bヘ処理を渡す。 13−10 IPルーティングRbは、ESPパケット
EP4’のディスティネーションアドレスを読み出し、
LANインターフェースRaへ処理を渡す。 13−11 LANインターフェースRaはESPパケ
ットEP4’をプライベートネットワークLへ送出す
る。
【0079】〔14〕VPNクライアントLH1_1 14−1 VPNクライアントLH1_1のLANイン
ターフェースLH1_1cは、ESPパケットEP4’
を受信し、VPN処理部LH1_1bへ処理を渡す。 14−2 VPN処理部LH1_1bは、ESPパケッ
トEP4’のSPI値BBBを読み出し、適切なSAを
選択してESPパケットEP4’を復号化してパケット
P4を取り出し、パケット処理部LH1_1aへ処理を
渡す。 14−3 パケット処理部LH1_1aは、パケットP
4の内容を読み取り、適切な処理を実行する。
【0080】次に、プライベートネットワークY上の内
線端末YH1が10−2で示した受信パケットP3に対
するレスポンスパケットP5を送信するものとする。
【0081】〔15〕内線端末YH1 15−1 内線端末YH1のパケット処理部が送信先L
H2のパケットP5を作成し、LANインターフェース
ヘ処理を渡す。 15−2 内線端末YH1のLANインターフェース
は、パケットP5をプライベートネットワークYへ送出
する。
【0082】〔16〕VPNゲートウェイGH2 16−1 パケットP5をVPNゲートウェイGH2の
LANインターフェースが受信し、VPN処理部へ処理
を渡す。 16−2 パケットP5のディスティネーションアドレ
スはL2であり、宛先アドレスL2向けのパケットのた
め、パケットP5にESP処理を施し、ESPパケット
EP5を生成する。そしてWANインターフェースヘと
処理を渡す。 16−3 VPNクライアントGH2のWANインター
フェースは、ESPパケットEP5をインターネットI
NETへ送出する。
【0083】〔17〕アドレス変換装置R 17−1 ESPパケットEP5をアドレス変換装置R
のWANインターフェースRfが受信し、ESP監視部
RdのWAN側処理部Rd2へ処理を渡す。 17−2 ESP監視部RdのWAN側処理部Rd2
は、ESPパケットEP5のIPヘッダのプロトコルフ
ィールドを参照し、ESPパケットEP5のIPの上位
プロトコルがESPかどうか判断する(図3のステップ
s601)。 17−3 ESPパケットEP5はESPであるため、
ESPNAT処理部ReのWAN側処理部Re3へ処理
を渡す(図3のステップs602)。 17−4 ESPNAT処理部ReのWAN側処理部R
e3は、内部テーブルRe2のVPNゲートウェイフィ
ールドを参照し、ESPパケットEP5のディステイネ
ーションアドレスG2と同一のアドレスが少なくとも1
つ格納されているかどうかを検索する(図9のステップ
s1001)。 17−5 17−4の結果、同一のアドレスが格納され
ているので、VPNゲートウェイフィールドがG2のレ
コードを抽出する(図9のステップs1002)。
【0084】17−6 17−5で抽出したレコードに
おいて、そのSPIフィールドに値が格納されてないも
のが1つあるかどうか検索する(図9のステップs10
03) 17−7 17−6の結果、17−5で抽出したレコー
ドにおいて、そのSPIフィールドに値が格納されてい
ないものがあったので、ESPパケットEP5のパケッ
トの状態を「レスポンス」と決定する(図9のステップ
s1004)。 17−8 17−7の結果、ESPパケットEP5の状
態はレスポンスであったので、ESPパケットEP5の
ESPへッダに含まれるSPI値DDDを内部テーブル
Re2のSPIフィールドへ格納する(図8のステップ
s805) 17−9 ESPパケットEP5のSPI値はDDDで
あるので、ESPパケットEP5のディスティネーショ
ンアドレスをL2に変換し(アドレス変換されたパケッ
トEP5をEP5’とする)、IPルーティングRbヘ
処理を渡す。 17−10 パケットEP5’のディステイネーション
アドレスを読み出し、LANインターフェースRaへ処
理を渡す。 17−11 LANインターフェースRaはESPパケ
ットEP5’をプライベートネットワークLへ送出す
る。
【0085】〔18〕VPNクライアントLH2 18−1 VPNクライアントLH2のLANインター
フェースは、ESPパケットEP5’を受信し、VPN
処理部へと処理を渡す。 18−2 VPN処理部は、ESPパケットEP5’の
SPI値DDDを読み出し、適切なSAを選択してES
PパケットEP5’を復号化してパケットP5を取り出
し、パケット処理部へ処理を渡す。 18−3 パケット処理部は、パケットP5の内容を読
み取り、適切な処理を実行する。
【0086】次に先ほど、アドレス変換装置Rによっ
て、パケットが破棄されたプライベートネットワークL
上のVPNゲートウェイLH1_2からインターネット
INET上のVPNゲートウェイGH1配下のプライベ
ートネットワークX上の端末XH2へのパケットがTC
Pにより再送される、もしくは手動で再送を行ったもの
とする。
【0087】〔19〕VPNクライアントLH1_2 19−1 VPNクライアントLH1_2のパケット処
理部が送信先X2のパケットP6を作成し、VPN処理
部へ渡す。 19−2 パケットP6のディスティネーションアドレ
スはX2であり、プライベートネットワークX向けのパ
ケットのため、パケットP6にESP処理を施し、ES
PパケットEP6を生成する。そしてLANインターフ
ェースヘと処理を渡す。 19−3 VPNクライアントLH1_2のLANイン
ターフェースは、ESPパケットEP6をプライベート
ネットワークLへ送出する。
【0088】〔20〕アドレス変換装置R 20−1 ESPパケットEP6をアドレス変換装置R
のLANインターフェースRaが受信し、IPルーティ
ングRbヘ処理を渡す。 20−2 IPルーティングRbはパケットのディステ
イネーションアドレスG1を読み出し、ESP監視部R
dのLAN側処理部Rd1へ処理を渡す。 20−3 ESP監視部RdのLAN側処理部Rd1
は、ESPパケットEP6のIPヘッダのプロトコルフ
ィールドを参照し、ESPパケットEP6のIPの上位
プロトコルがESPかどうか判断する(図2のステップ
s501)。 20−4 ESPパケットEP6はESPであるため、
ESPNAT処理部ReのLAN側処理部Re1へ処理
を渡す(図2のステップs502)。
【0089】20−5 ESPNAT処理部ReのLA
N側処理部Re1は、内部テーブルRe2のVPNゲー
トウェイフィールドを参照し、ESPパケットEP6の
ディステイネーションアドレスG1と同一のアドレスが
格納されているか検索する(図7のステップs90
1)。 20−6 20−5の結果、同一のアドレスが格納され
ていないので、ESPパケットEP6の状態を「新規」
と判断する(図7のステップs906)。 20−7 内部テーブルRe2のVPNゲートウェイフ
ィールドにG1、VPNクライアントフィールドにL1
_2を格納する(図6のステップs702)。 20−8 ESPパケットEP6のソースアドレスをG
Rに変換し(変換後のパケットをEP6’とする)、W
ANインターフェースRfヘ処理を渡す。 20−9 WANインターフェースRfは、ESPパケ
ットEP6’をインターネットINETへ送出する。
【0090】〔21〕VPNゲートウェイGH1 21−1 ESPパケットEP6’をVPNゲートウェ
イGH1のWANインターフェースGH1aが受信し、
VPN処理部GH1bへ処理を渡す。 21−2 VPN処理部GH1bは、ESPパケットE
P6’のSPI値CCCを読み出し、適切なSAを選択
してESPパケットEP6’を復号化してパケットP6
を取り出し、LANインターフェースGH1cヘ処理を
渡す。 21−3 LANインターフェースGH1cは、パケッ
トP6をプライベートネットワークXに送出する。
【0091】〔22〕内線端末XH2 22−1 パケットP6を内線端末XH2のLANイン
ターフェースが受信し、パケット処理部へ処理を渡す。 22−2 パケット処理部は、パケットP6の内容を読
み取り、適切な処理を実行する。
【0092】次に、プライベートネットワークX上の内
線端末XH2が先ほど受信したパケットP6に対するレ
スポンスパケットP7を送信するものとする。
【0093】〔23〕内線端末XH2 23−1 内線端末XH2パケット処理部が送信先L1
_2向けのパケットP7を作成し、VPN処理部へ渡
す。 23−2 内線端末XH2のLANインターフェース
は、パケットP7をプライベートネットワークXへ送出
する。
【0094】〔24〕VPNゲートウェイGH1 24−1 パケットP7をVPNゲートウェイGH1の
LANインターフェースGH1cが受信し、VPN処理
部GH1bへ処理を渡す。 24−2 パケットP7のディステイネーションアドレ
スはL1_2であるとともに、宛先アドレスL1_2向
けのパケットのため、パケットP7にESP処理を施
し、ESPパケットEP7を生成する。そしてWANイ
ンターフェースGH1aヘ処理を渡す。 24−3 VPNゲートウェイGH1のWANインター
フェースGH1aは、ESPパケットEP7をインター
ネットINETへ送出する。
【0095】〔25〕アドレス変換装置R 25−1 ESPパケットEP7をアドレス変換装置R
のWANインターフェースRfが受信し、ESP監視部
RdのWAN側処理部Rd2へ処理を渡す。 25−2 ESP監視部RdのWAN側処理部Rd2
は、ESPパケットEP7のIPヘッダのプロトコルフ
ィールドを参照し、ESPパケットEP7のIPの上位
プロトコルがESPかどうか判断する(図3のステップ
s601)。 25−3 ESPパケットEP7はESPであるため、
ESPNAT処理部ReのWAN側処理部Re3へ処理
を渡す(図3のステップs602)。 25−4 ESPNAT処理部ReのWAN側処理部R
e3は、内部テーブルRe2のVPNゲートウェイフィ
ールドを参照し、ESPパケットEP7のディステイネ
ーションアドレスG1と同一のアドレスが少なくとも1
つ格納されているか検索する(図9のステップs100
1)。 25−5 25−4の結果、同一のアドレスが格納され
ているので、VPNゲートウェイフィールドがG1のレ
コードを抽出する(図9のステップs1002)。 25−6 25−5で抽出したレコードにおいて、その
SPIフィールドに値が格納されてないものが1つある
かどうか検索する(図9のステップs1003)
【0096】25−7 25−6の結果、25−5で抽
出したレコードにおいて、そのSPIフィールドに値が
格納されていないものがあったので、ESPパケットE
P7のパケットの状態を「レスポンス」と決定する(図
9のステップs1004)。 25−8 25−7の結果、ESPパケットEP7の状
態はレスポンスであったので、ESPパケットEP7の
ESPヘッダに含まれるSPI値DDDを内部テーブル
Re2のSPIフィールドに格納する(図8のステップ
s805) 25−9 ESPパケットEP7のSPI値はDDDで
あるので、ESPパケットEP7のディスティネーショ
ンアドレスをL1_2に変換し(アドレス変換されたパ
ケットEP7をEP7’とする)、IPルーティングR
bヘ処理を渡す。 25−10 ESPパケットEP7’のディスティネー
ションアドレスを読み出し、LANインターフェースR
aへ処理を渡す。 25−11 LANインターフェースRaはESPパケ
ットEP7’をプライベートネットワークLへ送出す
る。
【0097】〔26〕VPNクライアントLH1_2 26−1 VPNクライアントLH1_2のLANイン
ターフェースは、ESPパケットEP7’を受信し、V
PN処理部へ処理を渡す。 26−2 VPN処理部は、ESPパケットEP7’の
SPI値DDDを読み出し、適切なSAを選択してES
PパケットEP7’を復号化してパケットP7を取り出
し、パケット処理部へ処理を渡す。 26−3 パケット処理部は、パケットP7の内容を読
み取り、適切な処理を実行する。
【0098】次に、プライベートネットワークL上のV
PNゲートウェイLH1_1がインターネットINET
上のVPNゲートウェイGH1配下のプライベートネッ
トワークX上の端末XH1に対して通信を行うものとす
る。
【0099】〔27〕VPNクライアントLH1_1 27−1 VPNクライアントLH1_1のパケット処
理部LH1_1aが送信先X1のパケットP8を作成
し、VPN処理部LH1_1bへ渡す。 27−2 パケットP8のディスティネーションアドレ
スはX1であり、ネットワークX向けのパケットのた
め、パケットP8にESP処理を施し、ESPパケット
EP8を生成する。そしてLANインターフェースLH
1_1cヘと処理を渡す。 27−3 VPNクライアントLH1_1のLANイン
ターフェースLH1_1cは、ESPパケットEP8を
プライベートネットワークLへ送出する。
【0100】〔28〕アドレス変換装置R 28−1 ESPパケットEP8をアドレス変換装置R
のLANインターフェースRaが受信し、IPルーティ
ングRbヘ処理を渡す。 28−2 IPルーティングRbはESPパケットEP
8のディステイネーションアドレスG1を読み出し、E
SP監視部RdのLAN側処理部Rd1へ処理を渡す。 28−3 ESP監視部RdのLAN側処理部Rd1
は、ESPパケットEP8のIPヘッダのプロトコルフ
ィールドを参照し、ESPパケットEP8のIPの上位
プロトコルがESPかどうか判断する(図2のステップ
s501)。 28−4 ESPパケットEP8はESPであるため、
ESPNAT処理部ReのLAN側処理部Re1へ処理
を渡す(図2のステップs502)。 28−5 ESPNAT処理部ReのLAN側処理部R
e1は、内部テーブルRe2のVPNゲートウェイフィ
ールドを参照し、ESPパケットEP8のディスティネ
ーションアドレスG1と同一のアドレスが格納されてい
るか検索する(図7のs901)。
【0101】28−6 28−5の結果、同一のアドレ
スが格納されているので、VPNゲートウェイフィール
ドがG1のレコードを抽出する(図7のs902)。 28−7 28−6で抽出したレコードにおいて、その
SPIフィールドに値が格納されていないかどうかを検
索する(図7のステップs903) 28−8 28−7の結果、28−6で抽出したレコー
ドにおいて、そのSPIフィールドに値BBBが格納さ
れていたので、ESPパケットEP8のパケットの状態
を「登録完了」と決定する(図7のステップs904) 28−9 ESPパケットEP8のソースアドレスをG
Rに変換する(変換後のパケットをEP8’とする)
(図6のステップs706)。 28−10 WANインターフェースRfヘ処理を渡す
(図6のステップs707)。 28−11 WANインターフェースRfは、ESPパ
ケットEP8’をインターネットINETに送出する。
【0102】〔29〕VPNゲートウェイGH1 29−1 ESPパケットEP8’をVPNゲートウェ
イGH1のWANインターフェースGH1aが受信し、
VPN処理部GH1bへ処理を渡す。 29−2 VPN処理部GH1bは、ESPパケットE
P8’のSPI値AAAを読み出し、適切なSAを選択
してESPパケットEP8を復号化してパケットP8を
取り出し、LANインターフェースGH1cヘ処理を渡
す。 29−3 LANインターフェースGH1cは、パケッ
トP8をプライベートネットワークXへ送出する。
【0103】〔30〕内線端末XH1 30−1 パケットP8を内線端末XH1のLANイン
ターフェースXH1aが受信し、パケット処理部XH1
bへ処理を渡す。 30−2 パケット処理部XH1bは、パケットP8の
内容を読み取り、適切な処理を実行する。
【0104】次に、プライベートネットワークX上の内
線端末XH1が先ほど受信したパケットP8に対するレ
スポンスパケットP9を送信するものとする。
【0105】〔31〕内線端末XH1 31−1 内線端末XH1のパケット処理部XH1bが
送信先L1_1のパケットP9を作成し、LANインタ
ーフェースXH1aヘ渡す 31−2 内線端末XH1のLANインターフェースX
H1aは、パケットP9をプライベートネットワークX
へ送出する。
【0106】〔32〕VPNゲートウェイGH1 32−1 パケットP9をVPNゲートウェイGH1の
LANインターフェースGH1cが受信し、VPN処理
部GH1bへ処理を渡す。 32−2 パケットP9のディスティネーションアドレ
スはL1_2であり、宛先アドレスL1_2のパケット
のため、パケットP9にESP処理を施し、ESPパケ
ットEP9を生成する。そしてWANインターフェース
GH1aヘ処理を渡す。 32−3 VPNゲートウェイGH1のWANインター
フェースGH1aは、ESPパケットEP9をインター
ネットINETへ送出する。
【0107】〔33〕アドレス変換装置R 33−1 ESPパケットEP9をアドレス変換装置R
のWANインターフェースRfが受信し、ESP監視部
RdのWAN側処理部Rd2へ処理を渡す。 33−2 ESP監視部RdのWAN側処理部Rd2
は、ESPパケットEP9のIPヘッダのプロトコルフ
ィールドを参照し、ESPパケットEP9のIPの上位
プロトコルがESPかどうかを判断する(図3のステッ
プs601)。 33−3 ESPパケットEP9はESPであるため、
ESPNAT処理部ReのWAN側処理部Re3へ処理
を渡す(図3のステップs602)。 33−4 ESPNAT処理部ReのWAN側処理部R
e3は、内部テーブルRe2のVPNゲートウェイフィ
ールドを参照し、ESPパケットEP9のディスティネ
ーションアドレスG1と同一のアドレスが少なくとも1
つ格納されているか検索する(図9のステップs100
1)。 33−5 33−4の結果、同一のアドレスが格納され
ているので、VPNゲートウェイフィールドがG1のレ
コードを抽出する(図9のステップs1002)。 33−6 33−5で抽出したレコードにおいて、その
SPIフィールドに値が格納されてないものがあるかど
うか検索する(図9のステップs1003)。
【0108】33−7 33−6の結果、SPIフィー
ルドに値が格納されていないものがないので、33−5
で抽出したレコードにおけるSPIフィールドにおい
て、ESPパケットEP9のSPI値BBBと同一のも
のが格納されているか検索する(図9のステップs10
05) 33−8 33−7の結果、同一のSPI値が格納され
ていたので、ESPパケットEP9の状態を「登録完
了」と決定する(図9のステップs1006)。 33−9 ESPパケットEP9のSPI値はBBBで
あるので、ESPパケットEP9のディスティネーショ
ンアドレスをL11に変換し(アドレス変換されたパケ
ットEP9をEP9’とする)、IPルーティングRb
ヘ処理を渡す。 33−10 ESPパケットEP9’のディスティネー
ションアドレスを読み出し、LANインターフェースR
aへ処理を渡す。 33−11 LANインターフェースRaはESPパケ
ットEP9’をプライベートネットワークLへ送出す
る。
【0109】〔34〕VPNクライアントLH1_1 34−1 VPNクライアントLH1_1のLANイン
ターフェースLH1_1cは、ESPパケットEP9’
を受信し、VPN処理部LH1_1bへと処理を渡す。 34−2 VPN処理部LH1_1bは、ESPパケッ
トEP9’のSPI値BBBを読み出し、適切なSAを
選択してESPパケットEP9’を復号化してパケット
P9を取り出し、パケット処理部LH1_1aへ処理を
渡す。 34−3 パケット処理部LH1_1aは、パケットP
9の内容を読み取り、適切な処理を実行する。以上のと
おり図11〜図16に基づくアドレス変換手順により、
VPNクライアント多重化システムを実現することがで
きる。
【0110】
【発明の効果】以上説明したように、本発明はESPパ
ケット中のSPIを利用することにより、VPN内のプ
ライベートアドレスとインターネット上のグローバルア
ドレスとのアドレス変換を実現し、VPN内の複数の端
末とインターネット上のVPNゲートウェイとを接続す
ることができる。したがって、1つのプライベートネッ
トワーク上にある複数のVPNクライアントから1つの
アドレス変換装置経由でインターネットに接続し、同時
に1つまたは複数のVPNゲートウェイとの間でVPN
セッション(使用プロトコルはESP)を構築可能とな
るため、本発明により次のような効果が得られる。 (1)複数の人がPCを利用するスペース(レンタルオ
フィス等)に設置してあるPC、もしくは、持ち込んだ
PCから、それぞれの人が同時に会社等へのVPNアク
セスが可能になる。 (2)複数の人がPCを利用するスペースの管理コスト
が減る。 (3)本発明の機能を有する機器1台で複数のVPNセ
ッションを可能とするため、機器コストが減る。 (4)複数のPCから同時にVPNセッションが可能な
ため、VPNでアクセスするユーザの利便性が向上す
る。
【図面の簡単な説明】
【図1】 本実施の形態に係るシステムを示すネットワ
ーク構成図である。
【図2】 プロトコル監視部のLAN側処理部における
処理を示すフローチャートである。
【図3】 プロトコル監視部のWAN側処理部における
処理を示すフローチャートである。
【図4】 ESPNAT処理部の内部テーブルを示す模
式図である。
【図5】 SAおよびSPIを説明するための模式図で
ある。
【図6】 ESPNAT処理部のLAN側処理部におけ
る処理を示すフローチャートである。
【図7】 図6のステップs701の詳細を示すフロー
チャートである。
【図8】 ESPNAT処理部のWAN側処理部におけ
る処理を示すフローチャートである。
【図9】 図8のステップs801の詳細を示すフロー
チャートである。
【図10】 実施例を示すネットワーク構成図である。
【図11】 パケットおよび内部テーブルの変化状態を
示すシーケンス図である。
【図12】 パケットおよび内部テーブルの変化状態を
示すシーケンス図である。
【図13】 パケットおよび内部テーブルの変化状態を
示すシーケンス図である。
【図14】 パケットおよび内部テーブルの変化状態を
示すシーケンス図である。
【図15】 パケットおよび内部テーブルの変化状態を
示すシーケンス図である。
【図16】 パケットおよび内部テーブルの変化状態を
示すシーケンス図である。
【図17】 プライベートネットワークからのインター
ネット接続を説明するためのネットワーク構成図であ
る。
【図18】 NATの処理(LAN側)を示すフローチ
ャートである。
【図19】 NATの処理(WAN側)を示すフローチ
ャートである。
【図20】 IPマスカレードの処理(LAN側)を示
すフローチャートである。
【図21】 IPマスカレードの処理(WAN側)を示
すフローチャートである。
【図22】 ESPパケットのフォーマットを示す模式
図である。
【図23】 VPNにNATを適用した場合を説明する
ためのネットワーク構成図である。
【図24】 複数のNAT機器を使用した状態を説明す
るためのネットワーク構成図である。
【符号の説明】
LH1_1…VPNクライアント、LH1_1a…パケ
ット処理部、LH1_1b…VPN処理部、LH1_1
c…LANインターフェース、LH1_2,LH2…V
PNクライアント、L…プライベートネットワーク、R
…アドレス変換装置、Ra…LANインターフェース、
Rb…IPルーティング、Rc…NAT処理部、Rc1
…LAN側処理部、Rc2…WAN側処理部、Rd…E
SP監視部、Rd1…LAN側処理部、Rd2…WAN
側処理部、Re…ESPNAT処理部、Re1…LAN
側処理部、Re2…内部テーブル、Re3…WAN側処
理部、Rf…WANインターフェース、INET…イン
ターネット、GH1…VPNゲートウェイ、GH1a…
WANインターフェース、GH1b…VPN処理部、G
H1c…LANインターフェース、X…プライベートネ
ットワーク、XH1…内線端末、XH1a…LANイン
ターフェース、XH1b…パケット処理部、XH2…内
線端末、GH2…VPNゲートウェイ、Y…プライベー
トネットワーク、YH1,YH2…内線端末、L1_
1,L1_2,L2,GA,G1,G2,X1,X2,
Y1,Y2…IPアドレス。

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】 パケットをプライベートネットワークと
    グローバルネットワークとの間で送受信する際にネット
    ワークアドレスを変換する方法において、 受信したパケットがESP(Encapsulating Security P
    ayload)か否かを判断するステップと、 ESPと判断された場合にセキュリテイーパラメータイ
    ンデックスと前記プライベートネットワーク上の端末の
    IPアドレスとを対応付けた内部テーブルを参照するこ
    とにより、ESPのパケットにアドレス変換を施すステ
    ップとを有することを特徴とするネットワークアドレス
    変換方法。
  2. 【請求項2】 パケットをプライベートネットワークと
    の間で送受信するLANインターフェース手段と、 前記送受信されたパケットを中継するIPルーティング
    手段と、 受信されたパケットがESP(Encapsulating Security
    Payload)か否かを判断するESP監視手段と、 前記受信されたパケットにアドレス変換を施すNAT処
    理手段と、 ESPのパケットにアドレス変換を施すESPNAT処
    理手段と、 パケットをグローバルネットワークとの間で送受信する
    WANインターフェースとを備え、 前記ESPNAT処理手段は、セキュリテイーパラメー
    タインデックスと前記プライベートネットワーク上の端
    末のIPアドレスとを対応付けた内部テーブルを有し、
    この内部テーブルを参照することにより前記ESPのパ
    ケットのアドレス変換を実施することを特徴とするネッ
    トワークアドレス変換装置。
  3. 【請求項3】 第1のプライベートネットワークを介し
    て複数のVPNクライアントを収容したアドレス変換装
    置と、第2のプライベートネットワークを介して複数の
    内線端末を収容したVPNゲートウェイトと、前記アド
    レス変換装置および前記VPNゲートウェイの接続され
    たグローバルネットワークとで構成されたVPNクライ
    アント多重化システムにおいて、 前記アドレス変換装置は、 パケットを前記第1のプライベートネットワークとの間
    で送受信するLANインターフェース手段と、 前記送受信されたパケットを中継するIPルーティング
    手段と、 受信されたパケットがESP(Encapsulating Security
    Payload)か否かを判断するESP監視手段と、 前記受信されたパケットにアドレス変換を施すNAT処
    理手段と、 ESPのパケットにアドレス変換を施すESPNAT処
    理手段と、 パケットをグローバルネットワークとの間で送受信する
    WANインターフェースとを備え、 前記ESPNAT処理手段は、セキュリテイーパラメー
    タインデックスと前記第1のプライベートネットワーク
    上の端末のIPアドレスとを対応付けた内部テーブルを
    有し、この内部テーブルを参照することにより前記ES
    Pのパケットのアドレス変換を実施することを特徴とす
    るVPNクライアント多重化システム。
JP2000173667A 2000-06-09 2000-06-09 ネットワークアドレス変換装置およびvpnクライアント多重化システム Expired - Fee Related JP3597756B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000173667A JP3597756B2 (ja) 2000-06-09 2000-06-09 ネットワークアドレス変換装置およびvpnクライアント多重化システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000173667A JP3597756B2 (ja) 2000-06-09 2000-06-09 ネットワークアドレス変換装置およびvpnクライアント多重化システム

Publications (2)

Publication Number Publication Date
JP2001352344A true JP2001352344A (ja) 2001-12-21
JP3597756B2 JP3597756B2 (ja) 2004-12-08

Family

ID=18675859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000173667A Expired - Fee Related JP3597756B2 (ja) 2000-06-09 2000-06-09 ネットワークアドレス変換装置およびvpnクライアント多重化システム

Country Status (1)

Country Link
JP (1) JP3597756B2 (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003526270A (ja) * 2000-03-03 2003-09-02 ネクスランド インコーポレイテッド ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
JP2005522131A (ja) * 2002-04-03 2005-07-21 トムソン ライセンシング ソシエテ アノニム 通信装置間の通信を確立する方法、装置およびシステム
KR100687415B1 (ko) * 2005-04-14 2007-02-26 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
JP2007173959A (ja) * 2005-12-19 2007-07-05 Mitsubishi Electric Corp 暗号化通信装置
JP2008193732A (ja) * 2008-03-28 2008-08-21 Matsushita Electric Ind Co Ltd 監視映像送信方法
JP2010232775A (ja) * 2009-03-26 2010-10-14 Fujitsu Ltd 中継装置、転送方法およびコンピュータプログラム
JP2010278638A (ja) * 2009-05-27 2010-12-09 Fujitsu Ltd トンネル通信装置及び方法
JP2011091833A (ja) * 2004-07-15 2011-05-06 Qualcomm Inc パケット・データ通信における暗号化されたデータ・フローのベアラ制御
JP2014060538A (ja) * 2012-09-14 2014-04-03 Toshiba Corp 通信システム、ネットワークデバイス、呼制御装置、及びシステム制御方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003526270A (ja) * 2000-03-03 2003-09-02 ネクスランド インコーポレイテッド ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
JP2005522131A (ja) * 2002-04-03 2005-07-21 トムソン ライセンシング ソシエテ アノニム 通信装置間の通信を確立する方法、装置およびシステム
JP2011091833A (ja) * 2004-07-15 2011-05-06 Qualcomm Inc パケット・データ通信における暗号化されたデータ・フローのベアラ制御
KR100687415B1 (ko) * 2005-04-14 2007-02-26 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체
JP2007173959A (ja) * 2005-12-19 2007-07-05 Mitsubishi Electric Corp 暗号化通信装置
JP4647481B2 (ja) * 2005-12-19 2011-03-09 三菱電機株式会社 暗号化通信装置
JP2008193732A (ja) * 2008-03-28 2008-08-21 Matsushita Electric Ind Co Ltd 監視映像送信方法
JP4665007B2 (ja) * 2008-03-28 2011-04-06 パナソニック株式会社 監視映像送信装置および方法
JP2010232775A (ja) * 2009-03-26 2010-10-14 Fujitsu Ltd 中継装置、転送方法およびコンピュータプログラム
JP2010278638A (ja) * 2009-05-27 2010-12-09 Fujitsu Ltd トンネル通信装置及び方法
JP2014060538A (ja) * 2012-09-14 2014-04-03 Toshiba Corp 通信システム、ネットワークデバイス、呼制御装置、及びシステム制御方法

Also Published As

Publication number Publication date
JP3597756B2 (ja) 2004-12-08

Similar Documents

Publication Publication Date Title
JP4634687B2 (ja) ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
US9838362B2 (en) Method and system for sending a message through a secure connection
EP1911242B1 (en) Ipsec connection over nat gateway
US6381646B2 (en) Multiple network connections from a single PPP link with partial network address translation
US7908651B2 (en) Method of network communication
US20020016926A1 (en) Method and apparatus for integrating tunneling protocols with standard routing protocols
JP4481518B2 (ja) 情報中継装置及び転送方法
JP4579934B2 (ja) レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
EP2400693A2 (en) Routing and service performance management in an application acceleration environment
EP1284076B1 (en) Ipsec processing
JP2009111437A (ja) ネットワークシステム
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
JP2003502913A (ja) トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置
CN101499965B (zh) 一种基于IPSec安全关联的网络报文路由转发和地址转换方法
EP1872562A1 (en) Preventing duplicate sources from clients served by a network address port translator
JP2007104440A (ja) パケット伝送システム、トンネリング装置およびパケット伝送方法
US7346926B2 (en) Method for sending messages over secure mobile communication links
US20050213574A1 (en) Communication system
JP3597756B2 (ja) ネットワークアドレス変換装置およびvpnクライアント多重化システム
JP2001156841A (ja) 暗号装置、暗号化器および復号器
TWI493946B (zh) 虛擬私有網路通信系統、路由裝置及其方法
CN109361590B (zh) 一种解决业务访问不通的方法和装置
JP5151197B2 (ja) 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法
JP3490358B2 (ja) ネットワーク間通信方法およびサーバ装置並びにネットワーク間通信システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040706

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040803

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040907

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040909

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080917

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080917

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090917

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090917

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100917

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100917

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110917

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees