JP2003167805A - 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置 - Google Patents

複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置

Info

Publication number
JP2003167805A
JP2003167805A JP2001370464A JP2001370464A JP2003167805A JP 2003167805 A JP2003167805 A JP 2003167805A JP 2001370464 A JP2001370464 A JP 2001370464A JP 2001370464 A JP2001370464 A JP 2001370464A JP 2003167805 A JP2003167805 A JP 2003167805A
Authority
JP
Japan
Prior art keywords
server
network
user
communication
closed network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001370464A
Other languages
English (en)
Inventor
Yusuke Kira
雄介 吉良
Satoshi Ono
諭 小野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001370464A priority Critical patent/JP2003167805A/ja
Publication of JP2003167805A publication Critical patent/JP2003167805A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】サーバ側閉域網の物理的に1台のサーバ装置
を、各ユーザ側閉域網間で共有せず、各ユーザ側閉域網
に独立して提供することで、専用サーバとしての動作を
させる。 【解決手段】複数ユーザ側閉域網31〜33は、サーバ
側閉域網10とIPトンネルを用いてアクセスサーバ2
6,28〜30により接続を行う。接続要求があると、
アクセスサーバ26はどの閉域網の要求かを識別し、ユ
ーザ側閉域網に固有の識別符号をパケットタグ付けし、
サーバ装置11に転送する。サーバ装置11は、プロト
コルスタック19〜21までの上位通信フローと、プロ
トコルスタック19〜21から論理デバイスインタフェ
ース23〜25までの下位通信フローを複数備え、これ
らの通信フロー12〜14をユーザ側閉域網31〜33
に割り当てる。サーバ装置11は、受信したパケットの
識別タグから送信元ホストの閉域網を特定する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、インターネットや
プライベートネットワークを介して接続された複数の異
なる閉域網間での通信を行うエクストラネット向けのア
プリケーションホスティングサービスや情報共有サーバ
サービスなどのネットワーク通信方法およびその装置に
関し、例えば物理的に1台のサーバを用いて複数のユー
ザ側閉域網にアプリケーションを提供するサーバサービ
スや、サーバを介してファイルやデータベースなどを複
数のユーザ側閉域網に共有化するサービスを行うための
複数ユーザ側閉域網とサーバ側閉域網間のネットワーク
通信方法およびサーバ装置に関する。
【0002】
【従来の技術】インターネットを始めとするネットワー
ク通信の利用は広く普及しており、企業やコミュニティ
などは通信コストを安く抑えかつ安全な通信を行うため
に閉域網を利用してイントラネットやエクストラネット
を構築している。また、近年、閉域網は大企業のみなら
ず中小企業やSOHO(Small Office H
ome Office)でも用いられており、その数は
増加の傾向にある。さらに、閉域網を用いてLAN(L
ocal Area Network)内LAN(例え
ば、イントラネットの中にさらに階層的なネットを構築
した形態)を構築する等、閉域網の利用形態も多様化し
ている。
【0003】このような小規模多数化している閉域網に
サーバサービスを提供する方法として各閉域網にサーバ
を設置する方法があるが、コストや稼働がかかりサーバ
を設置する側の負担が大きい。そこで、物理的に1台の
サーバを用いて各閉域網にサーバサービスを行うのでは
あるが、インターネット通信機能とサーバプロセスとを
各ユーザ側閉域網間で共有することなく、各々のユーザ
側閉域網に独立した提供を可能にして、各閉域網にそれ
ぞれ専用サーバがあるかのような動作を可能にする仮想
プライベートサーバの構築を考えることにする。
【0004】閉域網の構築には、グローバルアドレスの
取得に手間とコストがかかるために、ローカルアドレス
を用いる方法が多く採用されている。このように構築さ
れている複数の閉域網に対して、物理的に1台のサーバ
を用いてサーバサービス提供を考えた場合、次のような
問題の解決が必要となる。 (1)サーバ側閉域網を含めた閉域網間でのローカルア
ドレス空間の衝突 (2)サーバを介して他の閉域網をまたぐ等の不正アク
セス (3)サーバから各閉域網内にあるホストへの接続の確
立 (4)サーバ側を含む閉域網の追加や網構成変更の容易
【0005】複数のユーザ側閉域網とサーバ側閉域網と
の間で通信を行うための従来技術としては、L2TP
(Layer 2 Tunneling Protoc
ol)やIPsec(IP security pro
tocol)などに代表されるIP(Internet
Protocol)トンネル技術、NAT(Netw
ork Address Translation)や
R−NAT(特願2001−016255号公報参照:
Root side−Network Address
Translation)に代表されるアドレス変換
技術、さらにIPトンネル技術とアドレス変換技術の両
者を用いる技術の3つがある。
【0006】なお、IPトンネル技術の一つであるIP
secのトンネルモードは、閉域網内からのIPパケッ
トに広域ネットワーク内での転送に使用するIPヘッダ
を付与してカプセル化し、かつ暗号化処理を施すことに
より、閉域網間をセキュアに接続する仮想トンネルを作
成する技術である。L2TPでは、端末から公衆電話網
を経由して、インターネットプロバイダなどに設置され
たアクセスサーバに接続し、さらにこのサーバから閉域
網内に用意されたサーバと仮想的なトンネルを確立する
ことにより、端末と閉域網内との間でPPP(Poin
t−to−Point Protocol)による接続
を確立したようなみせるものである。また、NATは、
LANをインターネットに接続する際に、LAN側で使
用されているプライベートIPアドレスをインターネッ
ト側で割り当てられているグローバルIPアドレスに変
換する方法を規定したものである。
【0007】今、ここにユーザ側閉域網A、Bがインタ
ーネットを介してサーバ側閉域網SにIPトンネルを用
いて互いの網間アクセスサーバにより接続されているも
のとする。ユーザ側閉域網A、Bに属する各ホストとS
に属するサーバは、それぞれアドレス空間A,B,Sが
割り当てられている。この構成により、各ホストは同じ
閉域網に属するサーバと接続しているように見せること
ができる。これにより、各閉域網に割り当てられている
ローカルアドレスをそのまま使用することが可能にな
る。しかし、閉域網では、ホストにローカルアドレスを
自由に割り当てるので、ユーザ側閉域網間やユーザ側閉
域網とサーバ側閉域網間でアドレス空間が重複する場合
がある。ユーザ側閉域網間でアドレス空間が重複する場
合、サーバから見ると同一のアドレスを持つホストが複
数存在していることになり、サーバはどのホストと通信
しているのかを正しく認識することができない、という
問題が生じる。
【0008】また、ユーザ側閉域網に属し、ローカルア
ドレスを割り当てられたホストがインターネット上のグ
ローバルアドレスを割り当てられたサーバと通信を行う
ためには、そのホストもグローバルアドレスを持つ必要
がある。この時、閉域網とインターネットとの境界に設
けたNAT装置にグローバルアドレスを静的に割り当
て、このグローバルアドレスとホストに割り当てられた
ローカルアドレスとを対応付けることにより、ホストと
サーバ間の接続を可能にする。
【0009】しかし、NAT技術は、ローカルアドレス
を割り当てられたホストからの接続要求によってそのロ
ーカルアドレスとグローバルアドレスとを動的に対応付
けて接続の識別を行うために、ホストからの接続要求に
よって確立されるホストとサーバ間の接続が一旦切断さ
れると、その接続に用いたローカルアドレスとグローバ
ルアドレスとの対応は効力を失ってしまうので、グロー
バルアドレスを割り当てられたサーバからローカルアド
レスを静的に割り当てられたホストへの情報発信などプ
ッシュ型サービスは不可能となる。さらに、サーバは閉
域網の識別を行うことができないため、各閉域網に属す
るホストに対して閉域網に固有のサービスや情報を提供
することが困難になる、という問題が生じる。
【0010】そこで、複数のユーザ側閉域網とサーバ側
閉域網とをそれぞれのIPトンネルを用いて接続し、I
Pトンネルを終端するサーバ側閉域網のアクセスサーバ
において、ユーザ側閉域網のホストとIPトンネルのペ
アに対して固有となるIPアドレスを割り当て、これを
記憶する。このIPアドレスとホストに割り当てられた
ローカルアドレスとを対応付けることにより、ホストと
サーバ間の接続を可能にする。このように、閉域網を特
定するアドレス空間の中からホストごとに異なるIPア
ドレスを用いてアドレスの変換を行うため、接続してく
るユーザ側閉域網間でのローカルアドレス空間の衝突回
避やサーバから特定ホストへの接続を可能にしている。
【0011】しかし、それぞれのユーザ側閉域網では、
サーバが自分らの網内に属しているかのように自由なロ
ーカルアドレスを用いてサーバにアドレスを割り当てる
ことは許されない。他のユーザ側閉域網に使用されてい
るローカルアドレス空間や他のユーザ側閉域網がサーバ
への割り当てを希望しているローカルアドレス空間を考
慮した上で、各ユーザ側閉域網に固有のサーバアドレス
を決定しなくてはならないという問題が生じる。その結
果として、物理的に1台のサーバを用いて各ユーザ側閉
域網にそれぞれ専用サーバがあるかのように動作させる
という環境が満たされていない。
【0012】さらに、ある1つのサーバアプリケーショ
ンを各ユーザ側閉域網に提供する際に、サーバは共通の
サーバプロセスを用いて全てのユーザ側閉域網に提供を
行っていることが多く、サーバ内部におけるユーザ側閉
域網間の分離はサーバに接続してくるアドレスの違いに
よってのみ行われるため、サーバを介して他のユーザ側
閉域網をまたぐ等の不正アクセスの防止ができなくなる
とともに、サーバおよびサーバ上で実行されるサーバア
プリケーションが常にアドレスの違いを意識したカスタ
マイズを強要されるので、設定する箇所が非常に多くな
り、その結果、閉域網の追加や網構成の変更が困難にな
る、という問題が生じる。
【0013】
【発明が解決しようとする課題】従来、インターネット
通信においては、TCP/IPプロトコル群がホストや
ルータなどの機器の間での通信に使用されている。その
TCP/IPプロトコル群はインターネットプロトコル
スタックと呼ばれる。このプロトコルスタックの役割と
して、サーバ装置の物理ネットワークインタフェースま
たは複数の仮想的な論理デバイスインタフェースに割り
当てられるIPアドレス(サーバアドレス)の保持、パ
ケット配送のための経路(ルーティング)情報の保持、
各プロトコルパケットの処理などインターネット環境で
のネットワーク通信機能を担う。
【0014】図2は、従来のインターネットプロトコル
スタックを示す図である。物理層およびデータリンク層
を含むリンク層63は、ハードウェアインタフェース
(ドライバを含む)632,ARP(Address
Resolution Protocol)633,お
よびRARP(Reverse Address Re
solution Protocol)631によって
構成される。ARP633は、IPアドレスからそのI
Pアドレスに対応するノードのハードウェアアドレス
(MACアドレス等)を要求するためのプロトコルであ
り、RARP631は、これとは逆に、自ノードのMA
Cアドレスを元に、自ノードのIPアドレスを要求する
ためのプロトコルである。
【0015】ネットワーク層62は、IP処理部62
2,ICMP(Internet Control M
essage Protocol)623,およびIG
MP(Internet Group Managem
ent Protocol)621によって構成され
る。ICMP623は、IPプロトコルの状態に関する
情報を管理するために使用されるプロトコルであり、I
GMP621はIPマルチキャストを実現するためのプ
ロトコルである。
【0016】トランスポート層61は、TCP(Tra
nsmission Control Protoco
l)612とUDP(User Datagram P
rotocol)611によって構成される。TCP6
12は、IPの上位プロトコルで、コネクション型で信
頼性の高い通信を提供し、UDP611はコネクション
レス型のプロトコルで、信頼性確保のための処理を実施
しないため、TCPに比べ高速に処理できる。アプリケ
ーション層60は、ユーザプロセス601によって、エ
ンドユーザでユーザが直接利用する通信サービスを提供
する。
【0017】従来のサーバ装置には、プロトコルスタッ
クが1つのみ用意されており、このサーバ装置と通信を
行うホストやルータは、このプロトコルスタックによっ
て提供されるインターネット通信機能とこのプロトコル
スタックを通して提供されるサーバプロセスとを共有し
て利用している。 従って、複数のユーザ側ネットワー
クに対してサーバサービスを展開するサーバ装置の場
合、その多くがユーザ側ネットワークごとに区別してサ
ービスを行わなければならないために、サーバ装置にお
いて、ユーザ側ネットワークの特定と分離が必要であ
る。
【0018】従来のサーバ技術では、サーバに向けて送
信されるパケットの送信元アドレスや送信先アドレスの
違いを利用してユーザ側ネットワークの特定と分離を行
うが、ユーザ側ネットワークがローカルアドレス空間を
自由に割り当てることができる閉域網により構築されて
いる場合には、閉域網間におけるローカルアドレス空間
の衝突を回避するために、アドレスの制限や変換など強
制的なアドレス管理を行い、閉域網間の特定と分離を行
い易くしている。しかし、サーバ装置のネットワーク通
信機能とサーバプロセスとをユーザ側ネットワークの各
々に共有して提供することは、アドレス管理等により、
閉域網の特徴である閉域性、サーバからの自発的な情報
配信であるプッシュ型サービス、閉域網の追加や網構成
変更の容易性などのネットワークサービスの実現を難し
くしている。
【0019】そこで、本発明の目的は、これら従来の課
題を解決し、複数のユーザ側閉域網がサーバ側閉域網と
IPトンネルを用いてアクセスサーバにより接続を行う
ネットワーク通信において、サーバ側閉域網に設置する
物理的に1台のサーバ装置により提供されるインターネ
ット通信機能とサーバプロセスとを各ユーザ側閉域網間
で共有することなく、各々のユーザ側閉域網に独立した
提供を可能にし、そのサーバ装置が各々のユーザ側閉域
網に属している専用サーバであるかのような動作を実現
することができる複数ユーザ側閉域網とサーバ側閉域網
間のネットワーク通信方法およびサーバ装置を提供する
ことにある。
【0020】
【課題を解決するための手段】上記目的を達成するた
め、本発明による複数ユーザ側閉域網とサーバ側閉域網
間のネットワーク通信方法では、サーバ装置において、
サーバプロセス群からプロトコルスタックまでの上位通
信フローと、プロトコルスタックから物理ネットワーク
インタフェースまたは論理デバイスインタフェースまで
の下位通信フローとの組み合わせからなる通信フローを
複数装備し、この通信フローをユーザ側閉域網ごとに1
つずつ割り当てることにより、各ユーザ側閉域網とサー
バ間のサーバ内における個々の通信経路をネットワーク
上、論理的に分離し、複数接続しているユーザ側閉域網
の特定と分離を実現する。
【0021】本発明のサーバ装置は、各ユーザ側閉域網
に割り当てた固有の通信フローを用いて、プロトコルス
タックが担うサーバアドレスの保持、パケット配送経路
の制御、各プロトコルパケットの処理などのインターネ
ット通信機能とWebサーバ、FTPサーバなどのサー
バプロセスとを独立して提供し、ユーザ側閉域網間は他
のユーザ側閉域網と通信フローを共有されることなく、
ネットワーク上、論理的に閉域性を保持したままサーバ
装置との通信を実現する。
【0022】本発明により、複数のユーザ側閉域網がサ
ーバ側閉域網とIPトンネルを用いてアクセスサーバに
より接続を行うネットワーク通信において、サーバ側閉
域網に設置する物理的に1台のサーバ装置によって提供
されるインターネット通信機能とサーバプロセスとを各
ユーザ側閉域網間で共有することなく、そのサーバ装置
が各々のユーザ側閉域網に属している専用サーバである
かのように動作することが可能になる。
【0023】
【発明の実施の形態】以下、本発明の実施例を、図面に
より詳細に説明する。図1は、本発明のネットワーク間
通信方法を実現するシステム概念図である。 (構成)ここでは、通信フローおよび外部接続が3の場
合の構成を示している。複数のユーザ側閉域網(A)3
1,(B)32,(C)33がサーバ側閉域網10との
間で、IPトンネルを用いてアクセスサーバ26,2
8,29,30により接続を行っている。各ユーザ側閉
域網31〜33に属するホストa,b,cは、サーバ側
閉域網10に設置する物理的に1台のサーバ装置11か
らサーバサービスの提供を受ける。なお、サーバ側閉域
網10のアクセスサーバ装置26のホスティングサービ
スについては、特開2001−016255号公報に記
載の『閉域網間接続システムと閉域網間接続方法および
その処理プログラムを記録した記録媒体ならびにホステ
ィングサービスシステム』を参照されたい。
【0024】サーバ装置11は、通信フローを200程
度(図中では3個,12,13,14)備えており、各
々のプロトコルスタック19,20,21は図2に示す
ように、従来のインターネットプロトコルスタックと同
じである。すなわち、サーバプロセス群15,16,1
7とTCP/IPプロトコル群19,20,21とが上
位マッピングモジュール18を介して接続され、これら
TCP/IPプロトコル群19,20,21と論理デバ
イスインタフェース23,24,25とが下位マッピン
グモジュール22を介して接続されている。サーバ装置
11は、論理デバイスインタフェース23,24,25
をこれらのプロトコルスタックと同数だけ備えている。
【0025】サーバ装置11は論理デバイスインタフェ
ース23,24,25のそれぞれにリンクするプロトコ
ルスタック19,20,21と各プロトコルスタック1
9,20,21にリンクするサーバプロセス群15,1
6,17とを組み合わせてできる通信フロー12,1
3,14により、ユーザ側閉域網31,32,33間を
ネットワーク上、論理的に分離し、各々のユーザ側閉域
網31,32,33に独立したサーバサービスの提供を
行う。以下では、各ユーザ側閉域網31,32,33の
ホストa,b,cがサーバ側閉域網10に設置されるサ
ーバ装置11を利用するための実施例について説明す
る。
【0026】図3は、本発明における閉域網の識別にV
LANタグを用いた場合のネットワーク間通信方法の動
作説明図である。 (通信準備)それぞれの閉域網31,32,33では、
ローカルアドレスを自由に用いて各ホストa,b,cに
割り当てており、他の閉域網の存在を知らないものとす
る。ホストaは、閉域網31に属しており、IPアドレ
スLa(192.168.1.10)が割り当てられている。ホスト
bは閉域網32に属しており、IPアドレスLb(192.
168.1.10)が割り当てられている。また、ホストcは閉
域網33に属しており、IPアドレスLc(192.168.1.
10)が割り当てられている。閉域網31,32,33間
では、ローカルアドレス空間が衝突する可能性があるた
め、本実施例では故意に衝突させている。
【0027】サーバ側閉域網10のアクセスサーバ
(S)26と各ユーザ側閉域網31,32,33のアク
セスサーバ(A)28,(B)29,(C)30には、
グローバルIPアドレスとして、それぞれGs(129.6
0.1.1),Ga(129.60.2.1),Gb(129.60.3.1),Gc
(129.60.4.1)が割り当てられている。
【0028】ユーザ側閉域網31はサーバ装置11にロ
ーカルアドレスSa(192.168.1.1)を、ユーザ側閉域網
32はSb(192.168.1.1)を、ユーザ側閉域網33はS
c(192.168.1.1)を割り当てようとしている。各ユーザ
側閉域網31〜33がサーバアドレスにローカルアドレ
ス空間を自由に割り当てる場合、閉域網間でサーバアド
レスが衝突する可能性があるため、本実施例においては
故意に衝突をさせている。この要求に従い、サーバ装置
11側では、閉域網31用として割り当てる通信フロー
12の論理デバイスインタフェース23(dev0)に対し
てサーバアドレスSa(192.168.1.1)を、閉域網32用
として割り当てる通信フロー13の論理デバイスインタ
フェース24(dev1)に対してサーバアドレスSb(19
2.168.1.1)を、閉域網33用として割り当てる通信フロ
ー14の論理デバイスインタフェース25(dev2)に対
してサーバアドレスSc(192.168.1.1)を、それぞれ割
り当てる。
【0029】このとき、図3に示す下位マッピングモジ
ュール22では、論理デバイスインタフェース23,2
4,25とプロトコルスタック19,20,21との間
の下位通信フローを管理し、プロトコルスタック19,
20,21を該当する論理デバイスインタフェース2
3,24,25にリンクさせると同時に、それぞれ下位
通信フローを構成するプロトコルスタック19,20,
21と論理デバイスインタフェース23,24,25と
のペア、およびこの下位通信フローを利用する閉域網の
代わりとなるVLAN(Virtual LAN)タグ
34,35,36をセット〔(inet0,dev0)⇔vlan60
0〕、〔(inet1,dev1)⇔vlan601〕、〔(inet2,dev
2)⇔vlan602〕にして、テーブルに記憶する。つまり、
VLANタグ34,35,36の値が閉域網を識別す
る。従来のサーバ装置では、インターネットプロトコル
スタックを1つしか持たないため、複数の論理デバイス
インタフェースに対して同じサーバアドレスを割り当て
ることはできなかったが、本発明においては、プロトコ
ルスタックを複数装備することにより、これを可能にし
ている。
【0030】次に、各ユーザ側閉域網31,32,33
がサーバ装置11をWebサーバとして利用することを
考える。サーバ装置11は、サーバプロセス15,1
6,17がどの閉域網によって利用されるかをプロセス
のグループIDにより認識する。ユーザ側閉域網31に
はグループID(gid1000)、ユーザ側閉域網32にはグ
ループID(gid1001)、ユーザ側閉域網33にはグルー
プID(gid1002)を割り当て、各閉域網31,32,3
3が利用するWebサーバのサーバプロセスはそれぞれ
に割り当てられるグループIDを以って実行される。こ
のとき、図3に示す上位マッピングモジュール18で
は、サーバプロセス群15,16,17とプロトコルス
タック19,20,21との間の上位通信フローを管理
し、サーバプロセス15,16,17を該当するプロト
コルスタック19,20,21にリンクさせると同時
に、それぞれの上位通信フローのプロトコルスタックと
グループIDとのペア〔inet0⇔gid1000〕、〔inet1⇔g
id1001〕、〔inet2⇔gid1002〕をテーブルに記憶する。
【0031】以上で、上位通信フローと下位通信フロー
との組み合わせによってできる通信フロー12,13,
14の準備が各ユーザ側閉域網31,32,33に対し
て完了する。以下では、各ユーザ側閉域網31,32,
33のホストa,b,cがサーバ側閉域網10に設置さ
れるサーバ装置11と通信を行う方法について説明す
る。
【0032】(通信動作) (ユーザ側閉域網のホストからサーバ装置へ)ユーザ側
閉域網31,32,33に属する各ホストa,b,cが
Webサーバとしてのサーバ装置11と通信することを
考える。まず、ホストaは、閉域網31内に構築したロ
ーカルなDNS(Domain Name Syste
m)によりサーバ側閉域網10に属するサーバ装置11
のローカルアドレスSaを取得する。そして、アクセス
サーバ(A)28に向けてパケットを送信する。他のホ
ストb,cも、同様にそれぞれアクセスサーバ(B)2
9,(C)30に向けてパケットを送信する。
【0033】ホストaからパケットを受け取ったアクセ
スサーバ(A)28は、IPトンネリング処理を行う。
すなわち、ホストaのIPアドレスLaとサーバアドレ
スSaとを含むIPパケットへッダをアクセスサーバ
(A)28、(S)26のグローバルアドレスでカプセ
ル化し、インターネットを経由してアクセスサーバ
(S)26にパケットを送信する。他のアクセスサーバ
(B)29、(C)30においても、同様の処理が行わ
れ、それぞれがアクセスサーバ(S)26にトンネリン
グされたパケットを送信する。
【0034】アクセスサーバ(A)28からパケットを
受け取ったアクセスサーバ(S)26は、カプセルを解
くと、ここから先の通信においてパケットの送信元であ
る閉域網31を特定可能にするため、IPトンネルとV
LANタグのペア〔(Ga,Gs)⇔vlan600〕をテーブルに
記憶しており、該当するタグ(vlan600)をパケットに付
与する。そして、脱カプセル後のIPヘッダに従い、サ
ーバ装置11に向けてパケットを送信する。このとき、
閉域網32に属するホストb、閉域網33に属するホス
トcからの通信も全く同様である。それぞれのIPトン
ネルとVLANタグのペア〔(Gb,Gs)⇔vlan601〕,
〔(Gc,Gs)⇔vlan602〕を記憶したテーブルに従って、
それぞれVLANタグ(vlan601)と(vlan602)がパケッ
トに付与される。
【0035】アクセスサーバ(S)26からタグ付きパ
ケットを受け取ったサーバ装置11では、そのVLAN
タグ(vlan600)にマッチするプロトコルスタック19と
論理デバイスインタフェース23のペア(inet0,dev
0)を下位マッピングモジュール22のテーブルより選
択し、該当する通信フロー12へパケットを転送する。
その通信フロー12の中で、パケットは論理デバイスイ
ンタフェース(dev0)23からプロトコルスタック(in
et0)19までの下位通信フローを経由し、同プロトコ
ルスタック19にリンクされているWebサーバのサー
バプロセス(gid1000)15へ上位通信フローを使って届
けられる。このとき、ホストb、ホストcからの通信
も、全く同様のプロセスにより処理される。
【0036】以上、サーバ装置11にとって、La、L
b、Lcのように送信元のIPアドレスが衝突しても、
また各々のユーザ側閉域網31,32,33が割り当て
たサーバアドレスがSa,Sb,Scのように衝突して
も、サーバ装置11内部において通信フロー12,1
3,14をネットワーク上、論理的に分離しており、サ
ーバサービスを各閉域網31,32,33と全く独立し
て提供することができる。
【0037】(通信動作) (サーバ装置からユーザ側閉域網のホストへ)次に、W
ebサーバがホストaに返答パケットを送信することを
考える。Webサーバのサーバプロセス(gid1000)15
は、自らがリンクしているプロトコルスタック(inet
0)19に対して上位通信フローを使ってパケットを返
す。同プロトコルスタック19の各プロトコルにおいて
パケット処理が行われた後、下位通信フローを管理する
下位マッピングモジュール22のテーブル〔(inet0,d
ev0)⇔vlan600〕に従って、パケットにはVLAN(vl
an600)がタグ付けされ、下位通信フローの論理デバイス
インタフェース(dev0)23からアクセスサーバ(S)
26に向けてパケットを送信する。このとき、ホスト
b,cに対する返答パケットも、全く同様のプロセスに
より処理される。
【0038】サーバ装置11からタグ付きパケットを受
け取ったアクセスサーバ(S)26は、IPトンネルと
VLANタグのペア〔(Ga,Gs)⇔vlan600〕を記憶した
テーブルに従って、IPトンネリング処理を行う。すな
わち、サーバアドレスSaとホストaのIPアドレスL
aとを含むIPパケットヘッダをアクセスサーバ(S)
26、(A)28のグローバルアドレスでカプセル化
し、インターネットを経由してアクセスサーバ(A)2
8にパケットを送信する。このとき、ホストb,cに対
する返答パケットも全く同様であり、IPトンネルとV
LANタグのペア〔(Gb,Gs)⇔vlan601〕、〔(Gc,G
s)⇔vlan602〕に従って、アクセスサーバ(B)29、
(C)30にそれぞれパケットを送信する。
【0039】アクセスサーバ(S)26からパケットを
受け取ったアクセスサーバ(A)28は、カプセルを解
くと、脱カプセル後のIPヘッダに従い、ホストaに向
けてパケットを送信する。最終的にホストaがパケット
を受け取る。同様に、ホストbはアクセスサーバ(B)
29から、ホストcはアクセスサーバ(C)30からパ
ケットを受け取る。
【0040】(新たなユーザ側閉域網に対するサービス
展開)既に登録されているユーザ側閉域網(A)31、
(B)32、(C)33に対して、新たにユーザ側閉域
網(D)が追加登録された場合、サーバ側閉域網10で
は下記のように対処する。未使用の通信フローの中から
1つを選び、 (1)プロトコルスタック:(inet3) (2)グループID:(gid1003) (3)上位マッピングモジュール:〔inet3⇔gid1003〕 (4)下位マッピングモジュール:〔(inet3,dev3)⇔vl
an603〕 (5)アクセスサーバ(S):〔(Gd,Gs)⇔vlan603〕 を施すことにより、他の閉域網の環境を変更することな
く、容易に新たなユーザ側閉域網(D)に対して仮想サ
ーバサービスを展開することができる。
【0041】(サーバ装置)図4は、本発明の一実施例
を示すサーバ装置の構成図である。図4に示すように、
本発明のサーバ装置11は、複数のプロセスを処理する
サーバプロセス41と、サーバプロセス群からプロトコ
ルスタック多重構成部46までの上位通信フローを管理
する上位マッピングモジュール42と、プロトコルスタ
ック多重構成部46から物理ネットワークデバイス多重
構成部51までの下位通信フローを管理する下位マッピ
ングモジュール47とから構成される。上位マッピング
モジュール42と下位マッピングモジュール47は、い
ずれも組み合わせ記憶部44,49と、これに結合され
たリンク制御部43,45および48,50から成る。
【0042】サーバ装置11は、サーバプロセス41か
らプロトコルスタック46までの上位通信フローと、プ
ロトコルスタック46から物理ネットワークインタフェ
ースまたは論理デバイスインタフェース51までの下位
通信フローとの組み合わせからなる通信フローを複数装
備する。これらの通信フローをユーザ側閉域網ごとに1
つずつ割り当てることにより、各ユーザ側閉域網とサー
バ装置間のサーバ内における個々の通信経路をネットワ
ーク上で論理的に分離し、複数接続しているユーザ側閉
域網の特定と分離を実現している。
【0043】サーバ装置11は、各ユーザ側閉域網に割
り当てた固有の通信フローを用いて、プロトコルスタッ
ク多重構成部46が担うサーバアドレスの保持、パケッ
ト配送経路の制御、各プロトコルパケットの処理などの
インターネット通信機能と、Webサーバ、FTP(F
ile Transfer Protocol)サーバ
などのサーバプロセスとを独立して提供し、ユーザ側閉
域網間は他のユーザ側閉域網と通信フローを共有される
ことなく、ネットワーク上、論理的に閉域性を保持した
まま、サーバ装置11との通信を行うことが可能であ
る。
【0044】このように、物理的には1台のサーバ装置
11であるが、サーバプロセス41がリンク制御部45
により制御されることにより、複数のサーバプロセス群
となり、さらにリンク制御部43の制御により、プロト
コルスタック多階構成部46が複数のプロトコルスタッ
クを構成する。上位マッピングモジュール42は、サー
バプロセス群とプロトコルスタックとの組み合わせを記
憶するとともに、サーバプロセスを該当するプロトコル
スタックにリンク制御することにより、上位通信フロー
を管理する。また、下位マッピングモジュール47は、
物理ネットワークインタフェースまたは論理デバイスイ
ンタフェースの多重構成部51とプロトコルスタック4
6との組み合わせを記憶するとともに、プロトコルスタ
ックを該当する物理ネットワークインタフェースまたは
論理デバイスインタフェースにリンク制御することによ
り、下位通信フローを管理する。さらに、上位通信フロ
ーと下位通信フローとの組み合わせからなる通信フロー
を複数装備し、これらの通信フローをユーザ側閉域網ご
とに1つずつ割り当てることにより、各ユーザ側閉域網
とサーバ装置間の個々の通信経路をネットワーク上、論
理的に分離する。
【0045】(サーバ装置用プログラム)図4および段
落番号〔0041〕〜〔0044〕で説明したサーバ装
置の動作をプログラムに変換し、変換したプログラムを
CD−ROMなどの記録媒体に記録しておけば、サーバ
側閉域網の任意のサーバ装置のコンピュータにこの記録
媒体を装着し、プログラムをインストールして実行させ
ることにより、本発明を容易に実現することができる。
【0046】
【発明の効果】以上説明したように、本発明によれば、
複数のユーザ側閉域網がサーバ側閉域網とIPトンネル
を用いてアクセスサーバにより接続を行うネットワーク
通信において、サーバ装置により提供されるサーバ機能
とサーバプロセスと各ユーザ側閉域網間で共有すること
なく、各々のユーザ側閉域網に独立して提供することが
できる。その結果、サーバ側閉域網に設置する物理的に
1台のサーバ装置が各々のユーザ側閉域網に属している
専用サーバであるかのように動作させることが可能にな
る。その結果、今後増加すると予想される複数企業間で
のデータ交換を必要とするプロジェクトの実施時や調達
業務の実施時に必要となる複数閉域網向けの共用サーバ
の構築、運用などを提供するハウジングサービスへの展
開が可能となる。
【0047】また、このサービスは、自社の閉域網に手
を加えることなく、複数の他企業と情報の連携が可能に
なるため、ISPなどが行っているVPNサービスの新
しい付加サービスとしての展開が見込める。さらに、企
業のみならず、個人向けのポータルサイトサービスへの
展開も可能になる。また、本発明では、1つのサーバ装
置に対して、各ユーザ閉域網の管理者は、自由にアドレ
スを付与することができ、プッシュプル型サービスを受
けることができる。このように、本発明は、閉域網向け
の新しい情報流通プラットフォームを構築する手段とし
ての利用を見込める、という顕著な効果を奏する。
【図面の簡単な説明】
【図1】本発明のネットワーク間通信方法を適用するネ
ットワーク構成図である。
【図2】従来のインターネットプロトコルスタックを示
す図である。
【図3】本発明の一実施例を示すネットワーク間通信方
法の動作説明図である。
【図4】本発明の一実施例を示すサーバ装置の構成図で
ある。
【符号の説明】
10…サーバ側閉域網、11…サーバ装置、12…通信
フロー(閉域網A用)、13…通信フロー(閉域網B
用)、14…通信フロー(閉域網C用)、15,16,
17…サーバプロセス群、18…上位マッピングモジュ
ール、19,20,21…TCP/IPプロトコル群、
22…下位マッピングモジュール、23,24,25…
論理デバイスインタフェース、26…アクセスサーバ
(S)、27…インターネット、28,29,30…ア
クセスサーバ(A),(B),(C)、a,b,c…ホスト、3
1,32,33…閉域網(A),(B),(C)、3
4,35,36…VLANタグ、41…サーバプロセ
ス、42…上位マッピングモジュール、43,45…リ
ンク制御部、44…組み合わせ記憶部、46…プロトコ
ルスタック多重構成部、47…下位マッピングモジュー
ル、48,50…リンク制御部、49…組み合わせ記憶
部、51…論理ネットワークデバイス多重構成部。
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GB01 HB02 HB11 KB06 KF06 KG08 5K033 AA04 CB08 DA05 DB12 DB14

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】 複数のユーザ側閉域網とIPトンネルを
    用いてアクセスサーバにより接続を行うサーバ側閉域網
    内に物理的に1台のサーバ装置を用いた網間ネットワー
    ク通信方法であって、 サーバプロセス群とプロトコルスタックとの組み合わせ
    を記憶し、かつ前記サーバプロセス群とプロトコルスタ
    ックとのリンクを記憶した内容に従って制御するモジュ
    ールにより管理される上位通信フローと、物理ネットワ
    ークインタフェースまたは論理デバイスインタフェース
    と前記プロトコルスタックとの組み合わせを記憶し、か
    つ前記プロトコルスタックを該当する物理ネットワーク
    インタフェースまたは論理デバイスインタフェースにリ
    ンクさせるモジュールにより管理される下位通信フロー
    との組み合わせからなる通信フローを複数用意し、 前記通信フローをユーザ側閉域網ごとに1つずつ割り当
    てることにより、各ユーザ側閉域網と前記サーバ装置間
    における前記サーバ装置内の個々の通信経路をネットワ
    ーク上、論理的に分離することを特徴とする複数ユーザ
    側閉域網とサーバ側閉域網間のネットワーク通信方法。
  2. 【請求項2】 請求項1に記載のネットワーク通信方法
    において、 前記通信フローごとの物理ネットワークインタフェース
    または論理デバイスインタフェースにネットワークを介
    して接続する各ユーザ側閉域網との通信では、当該通信
    フローのプロトコルスタックとサーバプロセス群とを用
    いて各ユーザ側閉域網に独立したサーバサービスの提供
    を行うことを特徴とする複数ユーザ側閉域網とサーバ側
    閉域網間のネットワーク通信方法。
  3. 【請求項3】 請求項1または2に記載のネットワーク
    通信方法において、 前記複数の通信フローごとの物理ネットワークインタフ
    ェースまたは論理デバイスインタフェースに対し、IP
    アドレスの重複した割り当てを許容することを特徴とす
    る複数ユーザ側閉域網とサーバ側閉域網間のネットワー
    ク通信方法。
  4. 【請求項4】 複数のユーザ側閉域網とIPトンネルを
    用いてアクセスサーバにより接続を行うサーバ側閉域網
    に設けられる物理的に1台のサーバ装置であって、 サーバプロセス群とプロトコルスタックとの組み合わせ
    を記憶し、かつ前記サーバプロセス群とプロトコルスタ
    ックとのリンクを記憶された内容に従って制御すること
    により、上位通信フローを管理する手段と、 物理ネットワークインタフェースまたは論理デバイスイ
    ンタフェースと前記プロトコルスタックとの組み合わせ
    を記憶し、かつ前記プロトコルスタックを該当する物理
    ネットワークインタフェースまたは論理デバイスインタ
    フェースにリンクさせることにより、下位通信フローを
    管理する手段と、 上位通信フローと下位通信フローとの組み合わせからな
    る通信フローを複数装備し、前記通信フローをユーザ側
    閉域網ごとに1つずつ割り当てることにより、各ユーザ
    側閉域網と前記サーバ装置間における前記サーバ装置内
    の個々の通信経路をネットワーク上、論理的に分離する
    通信手段とを具備することを特徴とするサーバ装置。
  5. 【請求項5】 請求項4に記載のサーバ装置において、 前記通信フローごとの物理ネットワークインタフェース
    または論理デバイスインタフェースにネットワークを介
    して接続を行う各ユーザ側閉域網との通信では、当該通
    信フローのプロトコルスタックとサーバプロセス群とを
    用いて、各ユーザ側閉域網に独立したサーバサービスを
    行う仮想サーバ提供手段を具備することを特徴とするサ
    ーバ装置。
  6. 【請求項6】 請求項4または5のいずれかに記載のサ
    ーバ装置の動作をコンピュータに実現させるためのサー
    バ装置用プログラム。
  7. 【請求項7】 請求項6に記載のサーバ装置用プログラ
    ムを格納したことを特徴とするコンピュータ読み取り可
    能な記録媒体。
JP2001370464A 2001-12-04 2001-12-04 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置 Pending JP2003167805A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001370464A JP2003167805A (ja) 2001-12-04 2001-12-04 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001370464A JP2003167805A (ja) 2001-12-04 2001-12-04 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置

Publications (1)

Publication Number Publication Date
JP2003167805A true JP2003167805A (ja) 2003-06-13

Family

ID=19179686

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001370464A Pending JP2003167805A (ja) 2001-12-04 2001-12-04 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置

Country Status (1)

Country Link
JP (1) JP2003167805A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007519379A (ja) * 2004-01-22 2007-07-12 株式会社東芝 Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択
US7420979B2 (en) 2003-11-20 2008-09-02 Hitachi Communcation Technologies, Ltd. VLAN server
US7773613B2 (en) 2007-12-14 2010-08-10 Kddi Corporation Communication control method and system
WO2014080993A1 (ja) 2012-11-22 2014-05-30 日本電気株式会社 通信システム、仮想ネットワーク管理装置、通信ノード、通信方法及びプログラム
US8943123B2 (en) 2010-03-19 2015-01-27 Fujitsu Limited Server apparatus, network access method, and computer program
JP2015216692A (ja) * 2008-12-10 2015-12-03 アマゾン テクノロジーズ インコーポレイテッド 設定可能プライベートコンピュータネットワークへのアクセス提供
US9524167B1 (en) 2008-12-10 2016-12-20 Amazon Technologies, Inc. Providing location-specific network access to remote services
US9756018B2 (en) 2008-12-10 2017-09-05 Amazon Technologies, Inc. Establishing secure remote access to private computer networks
JP2017535106A (ja) * 2014-09-23 2017-11-24 エスエーエス−イマーゴタグ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 無線ベースステーションおよびこの無線ベースステーションを含むシステム
US10868715B2 (en) 2008-12-10 2020-12-15 Amazon Technologies, Inc. Providing local secure network access to remote services

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7420979B2 (en) 2003-11-20 2008-09-02 Hitachi Communcation Technologies, Ltd. VLAN server
US8094660B2 (en) 2003-11-20 2012-01-10 Hitachi, Ltd. VLAN server
JP2007519379A (ja) * 2004-01-22 2007-07-12 株式会社東芝 Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択
US7860978B2 (en) 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router
JP4675909B2 (ja) * 2004-01-22 2011-04-27 株式会社東芝 Ipアクセスネットワークを用いたマルチホーミング及びサービスネットワーク選択
US7773613B2 (en) 2007-12-14 2010-08-10 Kddi Corporation Communication control method and system
JP2015216692A (ja) * 2008-12-10 2015-12-03 アマゾン テクノロジーズ インコーポレイテッド 設定可能プライベートコンピュータネットワークへのアクセス提供
US9521037B2 (en) 2008-12-10 2016-12-13 Amazon Technologies, Inc. Providing access to configurable private computer networks
US9524167B1 (en) 2008-12-10 2016-12-20 Amazon Technologies, Inc. Providing location-specific network access to remote services
US9756018B2 (en) 2008-12-10 2017-09-05 Amazon Technologies, Inc. Establishing secure remote access to private computer networks
US10868715B2 (en) 2008-12-10 2020-12-15 Amazon Technologies, Inc. Providing local secure network access to remote services
US10951586B2 (en) 2008-12-10 2021-03-16 Amazon Technologies, Inc. Providing location-specific network access to remote services
US11290320B2 (en) 2008-12-10 2022-03-29 Amazon Technologies, Inc. Providing access to configurable private computer networks
US11831496B2 (en) 2008-12-10 2023-11-28 Amazon Technologies, Inc. Providing access to configurable private computer networks
US8943123B2 (en) 2010-03-19 2015-01-27 Fujitsu Limited Server apparatus, network access method, and computer program
WO2014080993A1 (ja) 2012-11-22 2014-05-30 日本電気株式会社 通信システム、仮想ネットワーク管理装置、通信ノード、通信方法及びプログラム
JP2017535106A (ja) * 2014-09-23 2017-11-24 エスエーエス−イマーゴタグ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング 無線ベースステーションおよびこの無線ベースステーションを含むシステム
US10742252B2 (en) 2014-09-23 2020-08-11 Ses-Imagotag Gmbh Radio base station and system having said radio base station

Similar Documents

Publication Publication Date Title
TWI449380B (zh) 資料中心網路系統及其封包傳送方法
CN102025591B (zh) 虚拟专用网络的实现方法及系统
CN102447752B (zh) 基于二层隧道协议的业务访问方法、系统和装置
JP4598859B2 (ja) 中継ネットワークシステム及び端末アダプタ装置
CN105264855A (zh) 一种实现私网穿越的方法、装置和系统
US20030172170A1 (en) Providing multiple ISP access to devices behind NAT
JP2003273935A (ja) 相異なるプライベートネットワークに存在するネットワーク機器間の直接接続を提供するネットワーク接続装置及びその方法
US8265084B2 (en) Local network connecting system local network connecting method and mobile terminal
CN101499965B (zh) 一种基于IPSec安全关联的网络报文路由转发和地址转换方法
AU2001249810A1 (en) Methods and apparatus for processing network data transmissions
JP2007228548A (ja) 加入者情報ストリングに基づいたvlanインターフェイスの動的な構築
US20050265354A1 (en) Method and apparatus for enabling link local address system to communicate with outer system
CN112187674B (zh) 支持IPv4和IPv6双栈混合的网络结构和组网方法
WO2005083959A1 (ja) ネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
US8437357B2 (en) Method of connecting VLAN systems to other networks via a router
JP3394727B2 (ja) ネットワーク間通信方法及びその装置
JP2003167805A (ja) 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置
US7773613B2 (en) Communication control method and system
US20080049765A1 (en) Method and system for inter working a point-to-point link and a LAN service
Cisco Configuring DECnet
Cisco Configuring DECnet
Cisco Configuring DECnet
Cisco Configuring DECnet
Cisco Configuring DECnet

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050225

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050426

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050701