JP2003188906A - Vpnポリシー管理装置 - Google Patents

Vpnポリシー管理装置

Info

Publication number
JP2003188906A
JP2003188906A JP2001385202A JP2001385202A JP2003188906A JP 2003188906 A JP2003188906 A JP 2003188906A JP 2001385202 A JP2001385202 A JP 2001385202A JP 2001385202 A JP2001385202 A JP 2001385202A JP 2003188906 A JP2003188906 A JP 2003188906A
Authority
JP
Japan
Prior art keywords
route
vpn
model
role
route model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001385202A
Other languages
English (en)
Inventor
Yuko Sakamoto
優子 坂本
Michiaki Harada
道明 原田
Hiroshi Takano
啓 高野
Atsushi Kanaegami
敦史 金枝上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2001385202A priority Critical patent/JP2003188906A/ja
Publication of JP2003188906A publication Critical patent/JP2003188906A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 VPNを構築しようとしている設定経路上の
複数の装置に対する設定データを容易に生成することが
できるVPNポリシー管理装置を得ること。 【解決手段】 VPNを構築するために必要な機能で表
現した複数のロールからなる経路モデルと、前記経路モ
デルに対応して作成され、該経路モデルを構成する各ロ
ールに対して定義される一部に他のロールをパラメータ
として含むVPNポリシーと、前記設定経路上に存在す
る装置についてのアドレス情報を含む構成情報と、前記
設定経路上の二つのエンドポイントに、前記経路モデル
のエンドロールが割当てられると、前記経路モデルのロ
ールを前記設定経路上の装置に割当てるとともに、他の
ロールをパラメータとして使用しているVPNポリシー
に、前記構成情報から抽出した前記他のロールに対応す
る装置のアドレス情報を代入して設定データを生成し、
該設定データを各装置に設定するVPN構築手段3を備
える。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、IPネットワー
ク上における端末間の通信をVPN(Virtual Private
Network)で行う際に、VPNの構築および周辺装置の
動作設定を簡易に行うことが可能なVPNポリシー管理
装置に関するものである。
【0002】
【従来の技術】VPN(Virtual Private Network)
は、インターネットなどの信頼性の低いネットワークを
介したプロジェクトメンバ間の通信において通信データ
を暗号化し、プロジェクトメンバ以外のユーザに対して
通信を解読させないようにすることで、プロジェクトメ
ンバだけの仮想的な専用線を提供するシステムである。
図17は、複数拠点に分散したプロジェクトメンバのた
めに構築したVPNを示す図である。図17の500〜
502はプロジェクトメンバが分散している距離の離れ
たサイトを、510〜515はそれぞれのサイトに存在
するプロジェクトメンバが利用するホストを、520〜
522はそれぞれのサイトに存在するVPN装置を、5
30〜532はそれぞれのサイト500〜502に存在
するVPN装置520〜522間のVPNをそれぞれ表
わしている。サイト500〜502間はインターネット
などの外部ネットワークで接続されている。
【0003】サイト500〜502間において、VPN
530〜532を利用せずに、そのまま外部ネットワー
クを利用すると外部ネットワーク上の他のユーザにサイ
ト500〜502間の通信データを盗聴される恐れがあ
る。そのためサイト500〜502間の通信を、VPN
装置520〜522を用いて暗号化することで、VPN
(仮想専用線)530〜532を提供することができ
る。VPN装置520〜522は各サイト500〜50
2の入り口に存在し、あるサイトのホストが他のサイト
のホストと通信する際、あるホストと同じサイト上のV
PN装置が通信データを暗号化した後に外部ネットワー
クにデータを出力し、このデータを相手サイトのVPN
装置が受け取り復号化した後、発信先のホストに平文
(暗号化していないデータ)のデータを送付する。この
ようなVPNを構築するためには、図17のVPN装置
520〜522間に対して暗号通信を行うためのトンネ
ルを定義しなければならない。トンネルの定義は両端の
VPN装置520〜522に対して設定され、例えば、
図17のVPN装置520には、二つのトンネルすなわ
ちVPN530、531に関する設定が行われる。
【0004】また、VPNを定義するには、VPN装置
520〜522の設定だけでなく通信の経路上にある図
示しない複数種類の装置の設定も行わなければならない
場合がある。図18は、サイト内にファイアウォール装
置を備える場合のVPNの構成を模式的に示す図であ
る。この図18のサイト550において、551はVP
N装置、552はファイアウォール装置である。このよ
うにVPN装置551の外側にファイアウォール装置5
52が設置されている場合、該ファイアウォール装置5
52のパケットフィルタリング機能に対して暗号化され
たパケットを通過させる設定を行わなければならない。
またファイアウォール装置552がアドレス変換を行っ
ている場合、暗号化プロトコルの種類によっては暗号化
されたパケットのポート番号が変わると正しく処理でき
ない場合があるので、暗号化されたパケットのポート番
号を変更しないように設定を行う必要がある。
【0005】図19は、VPN機能を持ったモバイル端
末を用いて自宅等のサイト外からサイト内に接続するリ
モートアクセスVPNの構成を模式的に示す図である。
ここで、560はサイトを、561はサイト560のV
PN装置を示している。562はリモートアクセスサー
バであり、リモートアクセスによる接続をサイト560
内に接続する役割を有する。そして、564はインター
ネットアクセスプロバイダのアクセスポイントを示して
いる。
【0006】このようなリモートアクセスVPNでは、
組織の建屋内からのアクセスであることが保証されてい
るサイト間VPNと異なり、モバイル端末からアクセス
してきたユーザが本当にそのプロジェクトのメンバであ
るかどうかを確認するためにリモートアクセスサーバで
はユーザ認証と呼ばれるプロセスを実行する。このた
め、リモートアクセスVPNでは、接続を許されたユー
ザのリストや各ユーザの接続先、使用可能なサービスな
どについての設定も必要となる。また、リモートアクセ
スVPNの中でも、アクセスサーバの設置方法には様々
な形態があるので、通信経路上に必要とされる装置がそ
れらの形態によって異なるものとなる。
【0007】このように、VPNの設定では、設定経路
上に存在する複数種類の装置の設定を行わなくてはなら
ず、またVPNを構築する対象ネットワークの形態によ
って設定対象装置が異なる。すなわち、設定対象ネット
ワークの個々の装置に対してそれぞれVPNの設定を行
わなければならなかった。
【0008】しかし、IETF(Internet Engineering
Task Force)のポリシーフレームワーキンググループ
が開発したPCIM(Policy Core Information Mode
l)およびPCIMe(Policy Core Information Model
Extentions)では、装置に対してロール(役割)を割
付け、ロールに対してポリシーを定義することを可能と
した。ここで、ポリシーとは、ネットワークを構成する
装置に対する設定を簡易にするための方法の一つであ
り、設定データを装置ベンダ固有の形式に依存しない抽
象化されたデータ構造で記述するものである。これらの
方法を用いることで、すべての装置に対して別々にポリ
シーを定義することが避けられ、ポリシー定義の作業効
率が向上した。
【0009】
【発明が解決しようとする課題】しかしながら、これら
のPCIMやPCIMeを用いた方法では、VPN経路
上の複数の装置の相互動作を考慮した上で設定を行わな
ければならない点は従来と同様であり、VPN経路上の
装置の設定はVPNポリシー管理者の作業を煩雑にする
ものであるという問題点があった。
【0010】この発明は、上記に鑑みてなされたもの
で、VPNを構築しようとしている設定経路上に存在す
る複数の装置に対するVPNの設定データを容易に生成
することができるVPNポリシー管理装置を得ることを
目的とする。
【0011】
【課題を解決するための手段】上記目的を達成するた
め、この発明にかかるVPNポリシー管理装置は、VP
Nを構築するために必要な機能で表現した複数のロール
からなる経路モデルと、前記経路モデルに対応して作成
され、該経路モデルを構成する各ロールに対して定義さ
れる一部に他のロールをパラメータとして含むVPNポ
リシーと、前記設定経路上に存在する装置についての機
能、アドレス情報、および設定経路上での装置間の配置
関係を含む構成情報と、前記設定経路上の二つのエンド
ポイントに、前記経路モデルの終端部を定義するエンド
ロールが割当てられると、前記経路モデルのロールを前
記設定経路上の装置に割当てるとともに、前記VPNポ
リシーの中で他のロールをパラメータとして使用してい
るVPNポリシーに、前記構成情報から抽出した前記他
のロールに対応する装置のアドレス情報を代入して設定
データを生成し、該設定データを前記設定経路上の各装
置に設定するVPN構築手段と、を備えることを特徴と
する。
【0012】この発明によれば、インターネットを介し
て接続される設定経路上の二つのエンドポイント間にV
PNを構築するためのVPNポリシー管理装置が提供さ
れる。該VPNポリシー管理装置には、VPNを構築す
るために必要な機能で表現した複数のロールからなる経
路モデルと、前記経路モデルに対応して作成され、該経
路モデルを構成する各ロールに対して定義される一部に
他のロールをパラメータとして含むVPNポリシーと、
前記設定経路上に存在する装置についての機能、アドレ
ス情報、および設定経路上での装置間の配置関係を含む
構成情報とが格納されている。そして、VPN構築手段
によって、前記設定経路上の二つのエンドポイントに、
前記経路モデルの終端部を定義するエンドロールが割当
てられると、前記経路モデルのロールが前記設定経路上
の装置に割当てられる。また、前記VPNポリシーの中
で他のロールをパラメータとして使用しているVPNポ
リシーに、前記構成情報から抽出された前記他のロール
に対応する装置のアドレス情報が代入され、設定データ
が生成される。そして、該設定データが前記設定経路上
の各装置に設定される。
【0013】つぎの発明にかかるVPNポリシー管理装
置は、VPNを構築するために必要な機能で表現した複
数のロールからなる経路モデルを格納している経路モデ
ル定義データベースと、前記経路モデルに対応して作成
され、該経路モデルを構成する各ロールに対して定義さ
れる一部に他のロールをパラメータとして含むVPNポ
リシーを格納しているVPNポリシー定義データベース
と、VPNを構築しようとするインターネットを介して
接続される二つのエンドポイント間の設定経路上に存在
する装置についての機能、アドレス情報、および設定経
路上での装置間の配置関係を含む構成情報を有するネッ
トワーク装置構成情報データベースと、前記設定経路と
適合する経路モデルが前記経路モデル定義データベース
から選択される経路モデル選択手段と、前記経路モデル
が選択されると、該経路モデルに対応するVPNポリシ
ーが前記VPNポリシー定義データベースから選択され
るVPNポリシー選択手段と、前記設定経路中に存在す
る装置またはセグメントをノードとし、前記エンドポイ
ントへ向かう方向に該ノードに隣接して接続されるセグ
メントまたは装置を子ノードとして幅優先で配置し、同
じノードが二度以上出現した場合であって、同じ経路に
出現したときには該ノードは配置せずにそこでノードの
展開処理を終了し、別の経路に出現したときには該ノー
ドを配置してそこでノードの展開処理を終了し、前記設
定経路中のインターネットをルートノードとしてこれら
のノードを階層化して配置したツリー構造を前記構成情
報に基づいて生成するツリー構造生成機能と、前記エン
ドポイントに対応するノードに前記経路モデルの終端部
を定義するエンドロールが割当てられると、前記経路モ
デルを満たす前記ノード間の前記ツリー構造上における
一以上の経路を抽出し、該一以上の経路の中から前記経
路モデルを満たすノードの配置関係を有する一の経路が
選択されるとともに、該経路上の装置に前記経路モデル
のロールを割当てるロール割当機能と、を含む経路モデ
ル割当手段と、前記経路上の装置にロールが割当てられ
ると、前記VPNポリシーの中で他のロールをパラメー
タとして使用しているVPNポリシーに、前記ネットワ
ーク装置構成情報データベースに格納されている構成情
報から抽出した前記他のロールに対応する装置のアドレ
ス情報を代入して設定データを生成する設定データ生成
手段と、該生成された設定データを前記設定経路上の装
置に設定する設定手段と、を備えることを特徴とする。
【0014】この発明によれば、インターネットを介し
て接続される二つのエンドポイント間の通信経路上にV
PNを構築するためのVPNポリシー管理装置が提供さ
れる。経路モデル定義データベースによって、VPNを
構築するために必要な機能で表現した複数のロールから
なる経路モデルが格納される。また、VPNポリシー定
義データベースによって、前記経路モデルに対応して作
成され、該経路モデルを構成する各ロールに対して定義
される一部に他のロールをパラメータとして含むVPN
ポリシーが格納される。そして、ネットワーク装置構成
情報データベースによって、VPNを構築しようとする
インターネットを介して接続される二つのエンドポイン
ト間の設定経路上に存在する装置についての機能、アド
レス情報、および設定経路上での装置間の配置関係を含
む構成情報が格納される。
【0015】まず、経路モデル選択手段のツリー構造生
成手段によって、前記設定経路と適合する経路モデルが
前記経路モデル定義データベースから選択される。つぎ
に、VPNポリシー選択手段によって、前記経路モデル
が選択されると、該経路モデルに対応するVPNポリシ
ーが前記VPNポリシー定義データベースから選択され
る。そして、経路モデル割当手段のツリー構造生成機能
によって、前記設定経路中に存在する装置またはセグメ
ントがノードとされ、前記エンドポイントへ向かう方向
に該ノードに隣接して接続されるセグメントまたは装置
が子ノードとして幅優先で配置される。この際、同じノ
ードが二度以上出現した場合であって、同じ経路に出現
したときには該ノードは配置されずにそこでノードの展
開処理が終了され、別の経路に出現したときには該ノー
ドが配置されてそこでノードの展開処理が終了される。
また、前記設定経路中のインターネットをルートノード
としてこれらのノードを階層化して配置したツリー構造
が前記構成情報に基づいて生成される。
【0016】また、経路モデル選択手段のロール割当機
能によって、前記エンドポイントに対応するノードに前
記経路モデルの終端部を定義するエンドロールが割当て
られると、前記経路モデルを満たす前記ノード間の前記
ツリー構造上における一以上の経路が抽出され、該一以
上の経路の中から前記経路モデルを満たすノードの配置
関係を有する一の経路が選択されるとともに、該経路上
の装置に前記経路モデルのロールが割当てられる。
【0017】つぎに、設定データ生成手段によって、前
記経路上の装置にロールが割当てられると、前記VPN
ポリシーの中で他のロールをパラメータとして使用して
いるVPNポリシーに、前記ネットワーク装置構成情報
データベースに格納されている構成情報から抽出した前
記他のロールに対応する装置のアドレス情報を代入して
設定データが生成される。そして、設定手段によって、
該生成された設定データが前記設定経路上の装置に設定
される。
【0018】つぎの発明にかかるVPNポリシー管理装
置は、上記の発明において、前記経路モデルは、ロール
ごとに、該ロールが必要とする機能条件、前記設定経路
上での位置が規定される構成条件、および前記ロールが
前記経路モデル中で必要とされる数が定義されているこ
とを特徴とする。
【0019】この発明によれば、ロールごとに、該ロー
ルが必要とする機能条件、前記設定経路上での位置が規
定される構成条件、および前記ロールが前記経路モデル
中で必要とされる数が前記経路モデルに定義される。こ
の経路モデルによって、VPN経路を構築するにあたっ
て必要な装置の情報が、機能や構成で表現される。
【0020】
【発明の実施の形態】以下に、添付図面を参照して、こ
の発明にかかるVPNポリシー管理装置の好適な実施の
形態について詳細に説明する。
【0021】実施の形態1.図1は、この発明にかかる
VPNポリシー管理装置の実施の形態1を示すブロック
図である。VPNポリシー管理装置1は、管理用入出力
部2と、VPN構築手段3と、経路モデル定義格納部4
と、VPNポリシー定義格納部5と、ネットワーク装置
構成情報格納部6とを備えている。VPN構築手段3
は、さらに、経路モデル選択部11と、VPNポリシー
選択部12と、経路モデル割当部13と、設定データ生
成部14と、設定部15と、選択/割当情報記憶部16
とを含む構成となっている。また、設定部15はVPN
経路上の各装置20とネットワークなどの接続線21を
介して接続されている。
【0022】管理用入出力部2によって、ポリシー設計
者が経路モデルやVPNポリシーの定義を行い、そして
VPN管理者がネットワークを構成する装置の構成情報
やVPNの設定を行う。経路モデル定義格納部4には、
ポリシー設計者によって定義された経路モデルが格納さ
れる。VPNポリシー定義格納部5には、ポリシー設計
者によって定義されたVPNポリシーが格納される。こ
こで、VPNポリシー定義格納部5に格納されているV
PNポリシーは、経路モデル定義格納部4に格納されて
いる経路モデルのいずれかと関連付けされている。ま
た、一つの経路モデルに対するVPNポリシーは複数定
義することも可能である。ネットワーク装置構成情報格
納部6には、VPN管理者によって予めネットワークを
構成する装置の構成情報が格納されている。VPN構築
手段3は、VPN管理者がVPNを構築するための手段
であり、詳細についてはVPNポリシー管理装置の動作
処理手順の箇所で後述する。
【0023】最初に、この発明で重要な役割を果たす経
路モデルについて説明する。図2は、経路モデル定義格
納部4に格納される定義された経路モデルの一例を示す
図である。経路モデルとは、VPNの経路上に存在する
設定対象装置の列を、役割(以下、ロールという)の順
序列として抽象化して表現したものである。より詳しく
は、設定対象となるネットワーク上の装置列を、具体的
な装置名で定義するのではなく、要求される機能すなわ
ちロールという形で順序化して表現したものである。こ
の経路モデルは、VPNの形態別に定義される。そし
て、経路モデルの各ロールには、各ロールが実際の装置
に割当てるために必要な適用条件が定義されている。
【0024】例えば、図2に示される経路モデルは、サ
イト間VPNを定義するものであり、この経路モデルを
定義する適用条件の項目として、「ロール名」、「機能
条件」、「構成条件」、「最小数」および「最大数」が
設定されている。
【0025】ここで、「ロール名」は、経路モデル中で
ロールを一意に識別するための名称である。また、「機
能条件」は、装置に各ロールを割当てる場合に装置が持
つべき機能に関する条件である。
【0026】「構成条件」は、装置に各ロールを割当て
る場合に、その装置が他のロールとの位置関係において
満たすべき条件である。この構成条件は、例えば一つの
経路内におけるインターネットなどの信頼できないネッ
トワークからの距離によって表現される。図2では、不
等号を用いて距離の大小を表し、不等号の小さい方がよ
りインターネットに近いことを表している。また、この
構成条件において、表中のある行はその行より上位の行
で定義済みのロールとの関係で位置が決められるように
なっている。ここで、構成条件の不等号にイコール
(=)が含まれている場合には、その両側のロールが同
一装置に割当てられてもよいことを示している。
【0027】「最小数」は、そのロールを割当てる装置
数の最小数である。この値が0である場合には、VPN
を構築するにあたりそのロールに対応する装置は必ずし
も存在する必要はないことを意味している。また、「最
大数」は、そのロールを割当てる装置数の最大数であ
る。ネットワーク上では異なる目的で設置された装置で
あってもVPNにとって同じ役割を持つ場合には、それ
ら複数の装置に対して同じロールが割当てられる。
【0028】つぎに、この図2に示されたサイト間VP
Nの経路モデルを構成する各ロールについて説明する。
【0029】最初に、ロール名「第一エンド」、「第二
エンド」について説明する。「第一エンド」、「第二エ
ンド」というロールは通信の両端のエンドポイントを指
すものである。機能条件として、「送受信機能」と定義
されているが、エンドポイントに配置される装置として
送受信機能を有することが必要なことを示している。エ
ンドポイントは最優先に決められるべきロールであるた
め、構成条件はエンドポイントに対しては存在しない。
したがって、図2中ではなんの条件も定義されていな
い。また、エンドポイントは必須の構成要件であるため
に、最小数は「1」と定義されている。最大数について
は、エンドポイントはグループであってもよいので、図
2中では最大数が複数と設定されている。
【0030】つぎに、ロール名「第一VPN」、「第二
VPN」について説明する。「第一VPN」、「第二V
PN」というロールは、VPNのトンネルの端点となる
VPN装置を表わすものである。このロールに対する機
能条件として、IPsec機能を有すること、そして、
構成条件として、インターネットとエンドノード(エン
ドポイントを構成する機器)との中間に位置することが
定義されている。この構成条件中で、第一VPNと第一
エンドの位置関係にイコール(=)が含まれているの
は、第一エンドを割当てられたノードがIPsec機能
を持つ場合、このノードにさらに、第一VPNのロール
を割当て、該ノードが二つのロールを有してもよいこと
を意味している。第二VPNと第二エンドとの関係も同
様である。また、最小数、最大数ともに「1」であるの
で、第一VPNおよび第二VPNはそれぞれ一台必要で
ある。
【0031】同様に、「第一外部ファイアウォール(図
中では「第一外部FW」と表記する)」、「第二外部フ
ァイアウォール(図中では「第二外部FW」と表記す
る)」というロールは、機能条件として、パケットフィ
ルタリング(PF)機能を有し、構成条件として、第一
VPNまたは第二VPNよりも外側でインターネットよ
りも内側に位置する装置であり、この経路モデルでは無
くてもよいし、複数設けてもよいことを表している。ま
た、「第一内部ファイアウォール(図中では「第一内部
FW」と表記する)」 、「第二内部ファイアウォール
(図中では「第二内部FW」と表記する)」というロー
ルは、機能条件として、パケットフィルタリング(P
F)機能を有し、構成条件として、第一VPNまたは第
二VPNよりも内側で第一エンドポイントまたは第二エ
ンドポイントよりも外側に位置する装置であり、この経
路モデルでは無くてもよいし、複数設けてもよいことを
表している。
【0032】なお、上述した構成条件の説明において、
「内側」および「外側」という表現は、各エンドポイン
トからインターネットへ向かう方向を「外側」と定義し
たときの相対的な位置関係を表している。
【0033】上述した経路モデルの構成条件に示された
インターネットとの位置関係から、第一エンド、第一V
PN、第一外部ファイアウォールおよび第一内部ファイ
アウォールが一つのサイトに存在すること、第二エン
ド、第二VPN、第二外部ファイアウォールおよび第二
内部ファイアウォールが別の一つのサイトに存在するこ
とが表されている。
【0034】つぎに、上述した経路モデルとともに、こ
の発明で重要な役割を果たすVPNポリシーについて説
明する。図3および図4は、VPNポリシー定義格納部
5に格納される定義されたVPNポリシーの一例であっ
て、図2に示された経路モデル定義に対して作成された
VPNポリシー定義を示す図である。すなわち、図2の
経路モデルに関連付けされて作成されたVPNポリシー
を示す図である。
【0035】この図3および図4に例示されるVPNポ
リシーは、プロジェクトにおけるプロジェクトサーバと
プロジェクトに所属する端末との間のポリシーを定義し
た「プロジェクトサーバポリシー」である。このVPN
ポリシーには、プロジェクトに所属する端末からプロジ
ェクトサーバへのtelnet(テルネット)接続を暗
号化通信により行うための規則が定義されている。
【0036】図2の経路モデルを構成するロールのうち
このVPNポリシーにおいて設定対象となるロール名
は、第一VPN、第一外部ファイアウォール、第一内部
ファイアウォール、 第二VPN、 第二外部ファイアウ
ォールおよび第二内部ファイアウォールである。したが
って、この図3および図4に示されるVPNポリシーの
例ではこれらの各ロールに対するポリシーが定義されて
いる。
【0037】このVPNポリシーの中で、「設定先ロー
ル」には上記した設定対象となるロール名が格納され
る。この「設定先ロール」に対するVPNポリシーとし
て「規則」が設けられる。VPNポリシーは、「規則」
の集合として定義されるので、一つのVPNポリシーに
対して複数規則が存在することもある。この「規則」
は、発信元、発信先、サービスなどの設定項目を含む
「条件」と、アクション、対向装置、割当などの設定項
目を含む「アクション」との組み合わせとして記述され
る。そのため、図3および図4では、「規則」は「条
件」と「アクション」のさらに細かな項目からなる。ポ
リシー設定者がこれらを記述することによって、「「設
定先ロール」が「条件」を満たす場合には「アクショ
ン」が実行される」、という形式のVPNポリシーが定
義される。
【0038】つぎに、各設定先ロールに定義される規則
の内容について説明する。まず、「設定先ロール」がV
PNの場合、「規則」の「条件」は、方向、発信元(S
rc)アドレス、発信先(Dst)アドレス、サービス
(Service)などからなる。方向は、エンドポイ
ントからインターネットに向かう方向を外側と定義した
場合の該ロールに対応する装置を通過する情報の向きを
定めるものである。例えば、エンドポイントからインタ
ーネットへ向かう場合には“out”、逆の場合には
“in”となる。発信元アドレスと発信先アドレスは、
コンピュータやサブネット、ユーザなど、通信を自発的
に送受信するエンドポイントを定める。また、サービス
は、プロトコルやTCP/UDP(Transmission Contr
ol Protocol/User Datagram Protocol)のポート番
号、ICMP(Internet Control Message Protocol)
のタイプやコードによって識別されるIPネットワーク
上の通信アプリケーションを指定するものである。
【0039】一方、「規則」の「アクション」は、アク
ション(Action)、対向装置、割当(Propo
sal)などからなる。アクションは発信元アドレス、
発信先アドレス、サービスで定義される「条件」に一致
したパケットを受信した装置が行うべき動作を定義する
ものである。対向装置は、該ロールを割当てられたVP
N装置と対になるVPN装置を定めるものである。ま
た、割当は、暗号のアルゴリズムとしてどの方法を用い
るのかなどの定義を定めるものである。なお、ロール
「VPN」に定義されるアクションには、つぎの三つの
種類が存在する。 (1)通過:受信したパケットをそのまま送信する。 (2)廃棄:受信したパケットを廃棄する。 (3)暗号化:受信したパケットを指定された方法で暗
号化または復号(暗号を解く)した後送信する。暗号化
の場合は暗号化の方法もアクションの一部として定義さ
れる。
【0040】つぎに、「設定先ロール」がファイアウォ
ールの場合、「規則」の「条件」は、方向、発信元アド
レス、発信先アドレス、サービスからなり、これらに記
述する内容はVPNの場合と同様である。一方の「アク
ション」は、アクションのみである。このアクション
は、VPNの場合と異なり、通過と廃棄の二種類となる
が、これらに記述する内容はVPNと同様である。
【0041】「設定先ロール」がアドレス変換(NA
T)装置の場合、「規則」の「条件」は、方向、発信元
アドレス、発信先アドレス、サービスからなり、これら
に記述する内容はVPNの場合と同様である。一方の
「アクション」は、アクションのみである。このアクシ
ョンに記述する内容は、VPNやファイアウォールの場
合とは異なり、つぎのようになる。 (1)変換:受信したパケットのIPアドレス等を変換
した後送信する。変換の場合は変換方法も定義される。 (2)無変換:受信したパケットをそのまま送信する。
【0042】このようにして、経路モデルの各ロールに
対してVPNポリシーが記述される。例えば、図3にお
ける「設定先ロール」が第一VPNであるポリシーには
二つの規則が規定されており、そのうちの一つの「条
件」は「方向=out;Src=第一エンド;Dst=
第二エンド;Service=telnet」であり、
この条件に対する「アクション」は「Action=暗
号;対向装置=第二VPN;Proposal=AB
C」となっている。ここで、条件の「方向=out」は
第一エンドから第一VPNの外側に送信される通信を意
味している。そして、「Src=第一エンド」は発信元
IPアドレスが第一エンドで指定される装置であること
を、「Dst=第二エンド」は発信先IPアドレスが第
二エンドで指定される装置であることを示している。ま
た、「Service=telnet」はサービスとし
てtelnet接続を使用する場合を定めている。一
方、アクションの「Action=暗号」は上記の「条
件」を満たす場合の通信は暗号化することを示してい
る。「対向装置=第二VPN」は暗号化された通信の送
られる装置が第二VPNで定義されている装置であるこ
とを示している。そして、「Proposal=AB
C」は暗号化のアルゴリズムとして“ABC”という名
称のアルゴリズムを割当てることを示している。
【0043】すなわち、「発信元アドレスとして第一エ
ンドを、発信先アドレスとして第二エンドを有し、te
lnet接続して第一VPNを外側に向かって流れる情
報であるならば、“ABC”という暗号化方法によって
該情報を暗号化して第二VPNまで送信する」ことを定
義している。
【0044】図3および図4中において、枠線で囲まれ
ている表示部分が、経路モデル内のロールを用いたパラ
メータである。これらの経路モデルへのVPNポリシー
においては、発信元IPアドレスなど具体的な装置が決
まらないと入力できない値を経路モデル内のロールをパ
ラメータとして表現できることを特徴とする。すなわ
ち、経路モデルに対するVPNポリシーは、経路モデル
に含まれる各ロールに対して、経路モデルに含まれる自
分および他のロールをパラメータとして用いることを許
されたVPNポリシー定義方法によって作成される。し
たがって、経路モデル中の各ロールは、それぞれ関連付
けされたポリシーによって構成されている。
【0045】つぎに、この発明にかかるVPNポリシー
管理装置1を用いたVPNポリシー管理方法について説
明する。ただし、以下に説明するVPNポリシー管理方
法において、ポリシー設計者によって予め経路モデル定
義格納部4に経路モデルが、また、VPNポリシー定義
格納部5にVPNポリシーが、それぞれ既に格納されて
いる場合を前提とする。
【0046】また、VPNを構築したいと考えている実
際のネットワーク(以下、実ネットワークという)上の
設定経路として、VPN管理者は図5に示される経路を
考えているものとする。この図5において、実ネットワ
ーク100はサイトAとサイトBとがインターネットを
介して接続されている。サイトA内にサーバA101、
ホストB102およびVPN装置C103が存在し、V
PN装置C103はサイトAとインターネットとの境界
に配置されている。また、サイトB内には、ファイアウ
ォール装置D(図中では「FW装置D」と表記する)1
04、VPN装置E105、ホストF106、ホストG
107およびホストH108が存在しサイトBとインタ
ーネットとの境界にファイアウォール装置D104が配
置されている。なお、この発明において、セグメントと
は、直結関係を含めたすべての装置間接続のことをいう
ものとする。
【0047】図6は、図5に示される実ネットワーク上
の装置の構成情報である。また、この図6に示される構
成情報は、ネットワーク装置構成情報格納部6に格納さ
れているデータの形態でもある。この図に示されるよう
に、構成情報は、装置名、IPアドレス、機能を含む情
報である。「装置名」には、実ネットワーク上の装置名
が格納されており、「IPアドレス」は該装置のIPア
ドレスが、そして「機能」には該装置の有する機能が格
納されている。
【0048】ここで、図5および図6から、サイトAで
は、VPN装置C103がパケットフィルタリング機能
とIPsec機能とを有している。また、サイトBで
は、サイトBとインターネットとの入り口にあるファイ
アウォール装置D104がパケットフィルタリング機能
を有し、それよりも内側に位置するVPN装置E105
がIPsec機能を有している。
【0049】この図5に示される実ネットワーク100
において、サイトAとサイトBにまたがったプロジェク
トが存在し、サイトAのサーバA101がプロジェクト
サーバで、サイトBのホストF106およびホストG1
07がプロジェクトに参加する端末であり、サーバA1
01と、ホストF106およびホストG107からなる
グループ(以下、グループFGという)109との間に
VPNを張る場合のVPNポリシーの処理手順について
説明する。
【0050】図7は、VPNポリシー管理装置の動作処
理手順を示すフローチャートである。まず、VPN管理
者は、実ネットワーク上で、VPNを構築したい端末間
の経路を抽出する。ここでは、サーバA401とグルー
プFG410間が、VPNを構築したい端末間の経路で
ある。VPNポリシー管理装置1の経路モデル選択部1
1は、管理用入出力部2を介してVPN管理者に対し
て、経路モデル定義格納部4に格納されている経路モデ
ルを表示する(ステップS1)。VPN管理者は、表示
された経路モデルの中から、抽出した実ネットワークの
経路と合致すると思われる経路モデルを管理用入出力部
2から入力する。経路モデル選択部11は、VPN管理
者によって入力された経路モデルを経路モデル定義格納
部4より選択し、選択/割当情報記憶部16に格納する
(ステップS2)。ここで、VPN管理者が、図2に示
される経路モデルを選択したものとする。図8は、この
図2に対応する経路モデルのロール列を示す図である。
【0051】つぎに、VPNポリシー選択部12は、選
択/割当情報記憶部16に格納された経路モデルと関連
付けされたVPNポリシーをVPNポリシー定義格納部
5より抽出し、管理用入出力部2を介してVPN管理者
に対して表示する(ステップS3)。VPN管理者は、
表示されたVPNポリシーの中からさらに構築しようと
しているVPNに適当なVPNポリシーを管理用入出力
部2から選択する。VPNポリシー選択部12は、VP
N管理者によって入力されたVPNポリシーをVPNポ
リシー定義格納部5より選択し、選択/割当情報記憶部
16に格納する(ステップS4)。ここで、VPN管理
者は、図3に示されるVPNポリシーを選択したものと
する。
【0052】VPN管理者は、管理用入出力部2から、
選択した経路モデル中のエンドポイントの二つのロール
を実ネットワーク上の装置に割当てる。図3に示される
VPNポリシーを図5の実ネットワーク100上に適用
する場合に、図2または図8の経路モデル200におけ
る第一エンド211が図5のサーバA101(プロジェ
クトサーバ)に、図2または図8の第二エンド219が
図5のグループFG109(プロジェクトに所属する端
末)に対応している。したがって、VPN管理者は、サ
ーバA101に「第一エンド211」を、グループFG
109に「第二エンド219」を割当てる。これらの割
当てられた情報は、経路モデル割当部13によって、選
択/割当情報記憶部16に格納される(ステップS
5)。
【0053】つぎに、VPN管理者は、二つのエンドポ
イント間の経路上に存在するロールを、実ネットワーク
上の各装置に割当てる処理を行う。割当てにあたって、
最小数が1すなわち必須となっているロールから順に割
当を行う(ステップS6)。この際、VPN管理者は、
図6に示される実ネットワーク上に存在する装置の構成
情報を参照しながら割当を行う。
【0054】図2の経路モデルでは、第一VPN213
および第二VPN217が必須のロールであるので、ま
ず、これらの第一VPN213および第二VPN217
について割当てを行う。図5および図6より、サイト
A、BのどちらにもIPsec機能を有する装置が一つ
しかなく、そのいずれもが各エンドノード(エンドポイ
ント)とインターネットの中間に位置するという構成条
件を満たすので、経路モデル割当部13は、サイトAの
VPN装置C103にロール「第一VPN213」を、
サイトBのVPN装置E105にロール「第二VPN2
17」を割当てる。そして、割当てられた結果は、選択
/割当情報記憶部16に格納される。
【0055】その後、最小数が0であるロールを順に割
当て、その結果を選択/割当情報記憶部16に格納する
(ステップS7)。図5および図6より、サイトB間の
ファイアウォール装置D104はパケットフィルタリン
グ機能を有し、第二VPN217に対応するVPN装置
E105とインターネットとの中間に位置しているの
で、ロール「第二外部ファイアウォール216」の適用
条件を満たしている。したがって、経路モデル割当部1
3は、VPN管理者からの指示により、ファイアウォー
ル装置D104にロール「第二外部ファイアウォール2
16」を割当てる。
【0056】一方、図2または図8の経路モデル200
中の「第一外部ファイアウォール214」というロール
は、パケットフィルタリング機能を有し、第一エンド2
11よりもインターネットの側に位置する条件を有する
ものであるが、図5および図6より、実ネットワーク1
00上にはこれに対応する装置が存在しない。また、最
小数が“0”であるので、この「第一外部ファイアウォ
ール214」というロールは必須ではない。したがっ
て、図2のロール「第一外部ファイアウォール214」
は、図5の実ネットワーク100上の装置には割当てら
れない。同様にして、図2または図8に示される経路モ
デル200中の他のロール「第一内部ファイアウォール
212」および「第二内部ファイアウォール218」を
満たす装置も、図5の実ネットワーク100上の装置に
は存在しないので、これらのロールは割当てられない。
このように、すべてのロールについて割当てを行った後
に、経路モデル割当部13によるロールの割当作業は終
了する。
【0057】図9は、経路モデル割当部13によって割
当てられた実ネットワーク100上の装置と経路モデル
200のロールとの対応関係を示す図である。図9中の
点線301〜305が、実ネットワーク100内の装置
と割当てたロールとの対応関係を示している。上述した
ように経路モデル200への割当ての結果、サーバA1
01に第一エンド211のロールが、グループFG10
9に第二エンド219のロールが、VPN装置C103
に第一VPN213のロールが、VPN装置E105に
第二VPN217のロールが、そしてファイアウォール
装置D104に第二外部ファイアウォール216のロー
ルが、それぞれ割当てられることになる。そして、これ
らの割当て結果は、上述したように選択/割当情報記憶
部16に格納されている。
【0058】つぎに、設定データ生成部14は、これら
の割当結果と、ネットワーク装置構成情報格納部6に格
納されている装置の構成情報と、VPNポリシーとを用
いて、割当てられたこれらの個々の装置に対して設定デ
ータを生成する(ステップS8)。すなわち、これらの
割当てられた装置のそれぞれに対して、図3に示される
VPNポリシーが適用されるように設定される。ここ
で、設定データ生成部14は、VPNポリシーに含まれ
るロールの部分に、割当結果である実ネットワーク10
0上の装置の構成情報を代入する処理を行う。具体的に
は、VPNポリシーに含まれるロールの部分に、実ネッ
トワーク100上の装置の構成情報に含まれるIPアド
レスが代入される。なお、ネットワーク装置構成情報格
納部6が無い場合やネットワーク装置構成情報格納部6
に該当する構成情報が入力されていない場合には、ここ
で管理用入出力部2よりそれぞれの装置の構成情報を入
力してもよい。このようにして、各装置に適用されるV
PNポリシーが生成される。
【0059】図10は、この処理の結果として生成され
た設定データを表す図である。この図は、図3に示され
るVPNポリシーのパラメータとしてロール名が入力さ
れている部分に、実ネットワーク上のIPアドレスが入
力され、不要の装置についてのロールを削除したもので
ある。そして、この設定データは、設定データ生成部1
4によって選択/割当情報記憶部16に格納される。
【0060】その後、設定部15は、選択/割当情報記
憶部16に格納された設定データにしたがって、実ネッ
トワーク上の各装置に対して設定を行う(ステップS
9)。設定部15は、ネットワークなどの接続線21を
介して実ネットワーク上の各装置と接続されており、設
定情報を各装置に送信し、設定することができる。そし
て、VPNを構築しようとする実ネットワーク上の装置
に対するVPNポリシーの設定が終了する。
【0061】以上説明したように、この実施の形態1に
よれば、装置の備えるべき機能で表現されたロール列か
らなる経路モデルと、該経路モデルを構成する各ロール
に対して定義されたVPNポリシーに基づいて、設定経
路にVPNポリシーを設定するようにしたので、設定経
路上の装置にVPNポリシーを割当てるだけで、各装置
に対する設定データを生成することができる。また、V
PNポリシーには、各装置間の関係が関連付けされてい
るので、VPNの構築を容易にすることができる。そし
て、それまで装置ごとに行っていた設定作業を、一つの
経路を単位として行う設定作業とすることができ、VP
N構築の作業時におけるVPN管理者の作業負担を軽減
することができるという効果を奏する。
【0062】実施の形態2.図11は、この発明にかか
るVPNポリシー管理装置の実施の形態2を示すブロッ
ク図である。この図11において、実施の形態1と異な
る箇所は、ネットワーク装置構成情報格納部6に、実ネ
ットワーク上の装置の配置構成を示す情報についても格
納される点、および経路モデル割当部13がツリー構造
生成機能13aとロール割当機能13bとを有するよう
に構成されている点である。その他の構成要素であって
上述した実施の形態1と同一の構成要素には、同一の符
号を付してその説明を省略している。
【0063】ネットワーク装置構成情報格納部6には、
VPNを構築しようとしている実ネットワーク上の設定
経路における他の装置との配置関係がさらに格納され
る。図12は、ネットワーク装置構成情報格納部6に格
納される設定経路上の各装置の構成情報およびセグメン
ト情報の一例を示す図である。また、図13は図12に
格納されている各装置の構成情報およびセグメント情報
の基となるVPNを構築しようとしている設定経路の模
式図を示すものである。
【0064】図12(A)に示される設定経路上の装置
の構成情報は、図6に示される構成情報に加えて、各装
置間の配置位置が規定される項目としての「保有インタ
フェース」が設けられている。この保有インタフェース
には、隣接する装置との間のインタフェース名が格納さ
れる。また、図12(B)は、ネットワーク装置構成情
報格納部6に上述した(A)の構成情報とは別に格納さ
れるセグメント情報の一例を示す図である。このセグメ
ント情報には、各装置間を接続する「セグメント名」と
その「接続インタフェース」が格納される。ここで、図
13に示されるように各装置とインターネット側のセグ
メントとのインタフェースは、各装置の英数字に「1」
を付して表し、それとは反対側の各装置とセグメントと
のインタフェースは、各装置の英数字に「2」を付して
表している。例えば、図13において、VPN装置C4
03は、インタフェースC1とC2の二つのインタフェ
ースを有し、そのうちインタフェースC1はインターネ
ット側のセグメント1と接続され、インタフェースC2
はエンドポイント側のセグメント2と接続される。
【0065】また、ツリー構造生成機能13aは、ネッ
トワーク装置構成情報格納部6に格納されている設定経
路上の装置からツリーを生成する機能を有し、ロール割
当機能13bは、ツリー構造生成機能13aによって生
成されたツリーから経路モデルに適合するエンドポイン
ト間の経路を選択し、該経路上の装置にロールを割当て
る機能を有する。
【0066】つぎに、VPNポリシー管理装置1によっ
て、エンドポイント間の装置を自動検出する動作処理手
順について図14を参照しながら説明する。図15は、
図13に示される設定経路を有する装置同士の隣接関係
をツリー表示した図である。なお、この実施の形態2で
の経路モデルおよびVPNポリシーは上述した実施の形
態1で使用した図2および図3を用いるものとする。
【0067】まず、VPN管理者によって、管理用入力
部2から図13に示されるサーバAおよびホストF40
7とホストG408からなるグループFG410との間
に、VPNを構築しようとしている設定経路が設定され
る(ステップS11)。この設定においては、VPN管
理者は、ネットワーク装置構成情報格納部6より設定経
路上に存在する装置を選択し、さらに該装置の配置情報
を管理用入力部2より入力する。ここで入力される配置
情報は、図12(A)の構成情報中の「保有インタフェ
ース」および(B)のセグメント情報である。
【0068】つぎに、実施の形態1の図7で説明したス
テップS1〜S5と同じ処理を行って、設定経路上の装
置に経路モデル上のエンドロールを割当てる(ステップ
S12〜S16)。すなわち、経路モデルと該経路モデ
ルに対応するVPNポリシーを選択した後に、設定経路
上のサーバA401に図2に例示される経路モデルの第
一エンドを、グループFG410に同じく第二エンドを
割当て、選択/割当情報記憶部16に格納する。
【0069】その後、経路モデル割当部13のツリー構
造生成機能13aによって、ステップS11で入力され
た設定経路から図15に示されるツリー構造が生成され
る(ステップS17)。ここで、このツリー構造を生成
するための動作処理手順を図16に示すフローチャート
を参照しながら説明する。
【0070】まず、経路モデル割当部13のツリー構造
生成機能13aは、VPN管理者によって入力された設
定経路から、インターネットなどの信頼性の低いネット
ワークをルートとして設定する(ステップS21)。そ
して、設定したルートを最初の処理中のノードとし(ス
テップS22)、該処理中のノードからエンドポイント
方向に隣接して接続される装置またはセグメントを該ノ
ードの子ノードとして、幅優先で配置する(ステップS
23)。
【0071】ツリー構造生成機能13aは、子ノードと
して配置されたノードを、つぎに処理中のノードとして
設定する(ステップS24)。そして、該処理中のノー
ドに子ノードに対応する装置またはセグメントが存在す
るか否かを判断する(ステップS25)。ここで、子ノ
ードに対応する装置またはセグメントとは、処理中のノ
ードにエンドポイント方向に隣接して接続される装置ま
たはセグメントのことをいう。もし、処理中のノードに
子ノードに対応する装置またはセグメントが存在しない
と判断された場合(ステップS25でNoの場合)に
は、その経路でのツリーの展開処理は該ノードで終了す
る。これに対して、もし、処理中のノードに子ノードに
対応する装置またはセグメントが存在する場合(ステッ
プS25でYesの場合)には、該子ノードに対応する
装置またはセグメントが、ツリー全体で既に存在してい
るか否かを判断する(ステップS26)。子ノードに対
応する装置またはセグメントが、ツリー全体で存在して
いないと判断された場合(ステップS26でNoの場
合)には、該装置またはセグメントを処理中のノードの
子ノードとして配置する(ステップS27)。その後、
ステップS24に戻って、ツリー構造生成機能13aに
よって、上述した工程が繰り返し実行される。
【0072】一方、ステップS26において、子ノード
に対応する装置またはセグメントが、ツリー全体で既に
存在していると判断された場合(ステップS26でYe
sの場合)には、既に存在しているその装置またはセグ
メントに対応するノードが、処理中のノードが展開して
いる経路中に存在するのか否かについて判断を行う(ス
テップS28)。もし、既に存在している装置またはセ
グメントに対応するノードが現在展開している経路中に
存在するのであれば(ステップS28でYesの場
合)、子ノードに対応する装置またはセグメントの配置
処理は行われず(ステップS29)、その経路でのツリ
ーの展開処理が終了する。これに対して、もし、既に存
在しているノードが現在展開している経路中に存在して
いないのであれば(ステップS28でNoの場合)、子
ノードに対応する装置またはセグメントを処理中のノー
ドの子ノードとして配置する処理を行い(ステップS3
0)、その経路でのツリーの展開処理は該配置したノー
ドで終了する。このようにして全ての経路の展開が中止
すると、すべての処理は終了する。
【0073】このようにツリー構造生成機能13aによ
って、図15に示されるツリーが図13に示される設定
経路から生成される。そして、生成されたツリーにおい
て、任意の二つのノード間の経路は、実際のネットワー
ク上での経路と一致するものとなる。
【0074】再び図14に戻り、経路モデル割当部13
のロール割当機能13bは、ツリー構造生成機能13a
によって生成されたツリー上のノードに経路モデルのロ
ールを割当てる処理を行う(ステップS18)。
【0075】ロール割当機能13bは、VPN管理者に
よって設定されたエンドポイント間の経路を、図15に
示されるツリーから求める。この例の場合には、つぎの
二つの場合が存在することがわかる。経路(A)サーバ
A401−セグメント2−VPN装置C403−セグメ
ント1−インターネット411−セグメント3−ルータ
I404−セグメント4−ファイアウォール装置D40
5−セグメント5−グループFG410経路(B)サー
バA401−セグメント2−VPN装置C403−セグ
メント1−インターネット411−セグメント3−ルー
タI404−セグメント4−VPN装置E406−セグ
メント5−グループFG410
【0076】つぎに、ロール割当機能13bは、割当て
の必須なロールである第一VPNおよび第二VPNの割
当てを行う。第一VPNおよび第二VPNにはIPse
c機能が必要であり、またそれはインターネットと第一
エンドまたは第二エンドとの中間に配置される必要があ
る。しかし、上記(A)の経路には、IPsec機能を
有する第二VPNに該当する装置が存在しないことがわ
かる。これに対して、(B)の経路では、VPN装置C
403に第一VPNを、VPN装置E406に第二VP
Nをそれぞれ割当てることができる。したがって、ロー
ル割当機能13bは、第一エンドと第二エンドとの間を
結ぶ経路として、(B)の経路を選択する。
【0077】そして、ロール割当機能13bは、選択さ
れた(B)の経路のうち、図2に示される経路モデル中
の他のロールの機能および構成条件、具体的には、最小
数が“0”であるロールの機能および構成条件を満たす
装置を求める。この図13および図15に示される例で
は、最小数が“0”のロールとして、第一外部ファイア
ウォール、第二外部ファイアウォール、第一内部ファイ
アウォールおよび第二内部ファイアウォールがあるが、
これらのロールの機能条件と構成条件の両者を満足する
装置は(B)の経路上には存在しない。したがって、ロ
ール割当機能13bは、これらの最小数が“0”である
ロールを割当てる装置が存在しないと判断し、これらの
割当処理を行わない。これらの割当結果は、選択/割当
情報記憶部16に格納される。このようにしてすべての
ロールに対して割当処理が行われた後に、設定経路上の
装置の検出が終了する。
【0078】その後、設定データ生成部14は、これら
の割当結果と、ネットワーク装置構成情報格納部6に格
納されている構成情報と、VPNポリシーとを用いて、
これらの個々の装置に対して設定データを生成し、選択
/割当情報記憶部16に格納する(ステップS19)。
そして、設定部15は、選択/割当情報記憶部16に格
納された設定データにしたがって、接続線21を介して
接続された設定経路上の各装置に対して設定を行う(ス
テップS20)。そして、VPNを構築しようとする実
ネットワーク上の装置に対するVPNポリシーの設定が
終了する。
【0079】以上説明したように、この実施の形態2に
よれば、インターネットをルートとした隣接関係のツリ
ーを生成し、ツリーのエンドノードに経路モデルのエン
ドロールを割当てることによって、エンドノード間の経
路を自動的に求めることが可能となる。そして、この方
法によって、VPN管理者は、VPNを張りたいエンド
ポイントを指定することにより、エンドポイント間に存
在する装置構成を意識することなくVPNを構築できる
ようになり、VPN管理の作業効率がさらに向上する。
【0080】
【発明の効果】以上説明したように、この発明によれ
ば、VPNを構築するために必要な機能で表現した複数
のロールからなる経路モデルと、前記経路モデルに対応
して作成され、該経路モデルを構成する各ロールに対し
て定義される一部に他のロールをパラメータとして含む
VPNポリシーとを備え、設定経路上の二つのエンドポ
イントに経路モデルの終端部を定義するエンドロールが
割当てられると、経路モデルのロールを設定経路上の装
置に割当てて、VPNポリシーから設定データを生成す
るVPN構築手段とを備えるように構成したので、VP
Nを構築する設定経路上の各装置間の関係が関連付けさ
れ、VPNの構築を容易にすることができる。また、V
PNの構築にあたって、設定作業を装置ごとではなく、
一つの経路を単位として行うことができ、VPN管理者
の作業負担を軽減することができるという効果を奏す
る。
【0081】つぎの発明によれば、設定経路中に存在す
る装置またはセグメントの接続関係を、インターネット
をノードとしたツリー構造を生成し、該ツリー構造を用
いて設定経路上の装置に経路モデルのロールを割当てる
ように構成したので、VPN管理者は、VPNを張りた
いエンドポイントを指定するだけで、エンドポイント間
に存在する装置構成を意識することなくVPNを構築で
きるようになり、VPN管理の作業効率がさらに向上す
るという効果を奏する。
【0082】つぎの発明によれば、経路モデルが、必要
とする機能条件、前記設定経路上での位置が規定される
構成条件、および経路モデル中で必要とされる数によっ
て定義された、複数のロールによって構成されているの
で、装置に依存しない汎用性の高い設定条件を提供する
ことができるという効果を奏する。また、同じような構
成のVPNを構築する際において、経路モデルを備える
ことにより、VPNを構築するたびに装置の動作処理条
件を設定しなくてすむので、VPN管理者の作業効率を
向上させることができるという効果も奏する。
【図面の簡単な説明】
【図1】 この発明の実施の形態1のVPNポリシー管
理装置の構成を示すブロック図である。
【図2】 経路モデルの一例を示す図である。
【図3】 図2の経路モデルに対応するVPNポリシー
の一例を示す図である(その1)。
【図4】 図2の経路モデルに対応するVPNポリシー
の一例を示す図である(その2)。
【図5】 VPNを構築しようとしている実際のネット
ワーク上の経路の一例を示す図である。
【図6】 図5の実際のネットワーク上の経路を構成す
る装置の構成情報の一例を示す図である。
【図7】 VPN構築の処理手順を示すフローチャート
である。
【図8】 図2の経路モデルのロール名を構成条件にし
たがって配列した図である。
【図9】 図5の実際のネットワーク上の経路と、図8
の経路モデルとの対応関係を示す図である。
【図10】 VPN構築手段によって生成された設定デ
ータの一例を示す図である。
【図11】 この発明の実施の形態2のVPNポリシー
管理装置の構成を示すブロック図である。
【図12】 ネットワーク装置構成情報格納部に格納さ
れている装置の構成情報の一例を示す図であり、(A)
は装置の構成情報を、(B)はセグメント情報を示して
いる。
【図13】 この発明の実施の形態2を説明するための
実際のネットワーク上の経路の一例を示す図である。
【図14】 VPN構築の処理手順を示すフローチャー
トである。
【図15】 実施の形態2の方法によって、図13のネ
ットワーク構成をツリー表示した図である。
【図16】 設定経路からツリー構造を生成する処理手
順を示すフローチャートである。
【図17】 従来のVPNの構成を示す図である。
【図18】 従来のVPNの構成を示す図である。
【図19】 従来のVPNの構成を示す図である。
【符号の説明】
1 VPNポリシー管理装置、2 管理用入出力部、3
VPN構築手段、4経路モデル定義格納部、5 VP
Nポリシー定義格納部、6 ネットワーク装置構成情報
格納部、11 経路モデル選択部、12 VPNポリシ
ー選択部、13 経路モデル割当部、13a ツリー構
造生成機能、13b ロール割当機能、14 設定デー
タ生成部、15 設定部、16 選択/割当情報記憶
部、20装置、21 接続線。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 高野 啓 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 金枝上 敦史 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 Fターム(参考) 5K030 GA15 GA17 HA08 HC01 JA10 KA07 LB05 MD04 MD06

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】 インターネットを介して接続される二つ
    のエンドポイント間の通信経路上にVPNを構築するた
    めのVPNポリシー管理装置であって、 VPNを構築するために必要な機能で表現した複数のロ
    ールからなる経路モデルと、 前記経路モデルに対応して作成され、該経路モデルを構
    成する各ロールに対して定義される一部に他のロールを
    パラメータとして含むVPNポリシーと、 前記設定経路上に存在する装置についての機能、アドレ
    ス情報、および設定経路上での装置間の配置関係を含む
    構成情報と、 前記設定経路上の二つのエンドポイントに、前記経路モ
    デルの終端部を定義するエンドロールが割当てられる
    と、前記経路モデルのロールを前記設定経路上の装置に
    割当てるとともに、前記VPNポリシーの中で他のロー
    ルをパラメータとして使用しているVPNポリシーに、
    前記構成情報から抽出した前記他のロールに対応する装
    置のアドレス情報を代入して設定データを生成し、該設
    定データを前記設定経路上の各装置に設定するVPN構
    築手段と、を備えることを特徴とするVPNポリシー管
    理装置。
  2. 【請求項2】 VPNを構築するために必要な機能で表
    現した複数のロールからなる経路モデルを格納している
    経路モデル定義データベースと、 前記経路モデルに対応して作成され、該経路モデルを構
    成する各ロールに対して定義される一部に他のロールを
    パラメータとして含むVPNポリシーを格納しているV
    PNポリシー定義データベースと、 VPNを構築しようとするインターネットを介して接続
    される二つのエンドポイント間の設定経路上に存在する
    装置についての機能、アドレス情報、および設定経路上
    での装置間の配置関係を含む構成情報を有するネットワ
    ーク装置構成情報データベースと、 前記設定経路と適合する経路モデルが前記経路モデル定
    義データベースから選択される経路モデル選択手段と、 前記経路モデルが選択されると、該経路モデルに対応す
    るVPNポリシーが前記VPNポリシー定義データベー
    スから選択されるVPNポリシー選択手段と、 前記設定経路中に存在する装置またはセグメントをノー
    ドとし、前記エンドポイントへ向かう方向に該ノードに
    隣接して接続されるセグメントまたは装置を子ノードと
    して幅優先で配置し、同じノードが二度以上出現した場
    合であって、同じ経路に出現したときには該ノードは配
    置せずにそこでノードの展開処理を終了し、別の経路に
    出現したときには該ノードを配置してそこでノードの展
    開処理を終了し、前記設定経路中のインターネットをル
    ートノードとしてこれらのノードを階層化して配置した
    ツリー構造を前記構成情報に基づいて生成するツリー構
    造生成機能と、前記エンドポイントに対応するノードに
    前記経路モデルの終端部を定義するエンドロールが割当
    てられると、前記経路モデルを満たす前記ノード間の前
    記ツリー構造上における一以上の経路を抽出し、該一以
    上の経路の中から前記経路モデルを満たすノードの配置
    関係を有する一の経路が選択されるとともに、該経路上
    の装置に前記経路モデルのロールを割当てるロール割当
    機能と、を含む経路モデル割当手段と、 前記経路上の装置にロールが割当てられると、前記VP
    Nポリシーの中で他のロールをパラメータとして使用し
    ているVPNポリシーに、前記ネットワーク装置構成情
    報データベースに格納されている構成情報から抽出した
    前記他のロールに対応する装置のアドレス情報を代入し
    て設定データを生成する設定データ生成手段と、 該生成された設定データを前記設定経路上の装置に設定
    する設定手段と、を備えることを特徴とするVPNポリ
    シー管理装置。
  3. 【請求項3】 前記経路モデルは、ロールごとに、該ロ
    ールが必要とする機能条件、前記設定経路上での位置が
    規定される構成条件、および前記ロールが前記経路モデ
    ル中で必要とされる数が定義されていることを特徴とす
    る請求項1または2に記載のVPNポリシー管理装置。
JP2001385202A 2001-12-18 2001-12-18 Vpnポリシー管理装置 Pending JP2003188906A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001385202A JP2003188906A (ja) 2001-12-18 2001-12-18 Vpnポリシー管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001385202A JP2003188906A (ja) 2001-12-18 2001-12-18 Vpnポリシー管理装置

Publications (1)

Publication Number Publication Date
JP2003188906A true JP2003188906A (ja) 2003-07-04

Family

ID=27594723

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001385202A Pending JP2003188906A (ja) 2001-12-18 2001-12-18 Vpnポリシー管理装置

Country Status (1)

Country Link
JP (1) JP2003188906A (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7606260B2 (en) 2003-03-31 2009-10-20 Fujitsu Limited Virtual path configuration apparatus, virtual path configuration method, and computer product
JP2011199622A (ja) * 2010-03-19 2011-10-06 Fujitsu Ltd ネットワーク管理制御プログラム、ネットワーク管理制御装置およびネットワーク管理制御方法
JP2013511208A (ja) * 2009-11-12 2013-03-28 マイクロソフト コーポレーション モデルをベースとする仮想ネットワーキング
JP2015156624A (ja) * 2014-02-20 2015-08-27 ニシラ, インコーポレイテッド ファイアウォール規則における実施ポイントの指定
US10264021B2 (en) 2014-02-20 2019-04-16 Nicira, Inc. Method and apparatus for distributing firewall rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11115382B2 (en) 2015-06-30 2021-09-07 Nicira, Inc. Global objects for federated firewall rule management
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7606260B2 (en) 2003-03-31 2009-10-20 Fujitsu Limited Virtual path configuration apparatus, virtual path configuration method, and computer product
JP2013511208A (ja) * 2009-11-12 2013-03-28 マイクロソフト コーポレーション モデルをベースとする仮想ネットワーキング
US9379946B2 (en) 2009-11-12 2016-06-28 Microsoft Technology Licensing, Llc Model-based virtual networking
JP2011199622A (ja) * 2010-03-19 2011-10-06 Fujitsu Ltd ネットワーク管理制御プログラム、ネットワーク管理制御装置およびネットワーク管理制御方法
US8782210B2 (en) 2010-03-19 2014-07-15 Fujitsu Limited Network management control program, network management control device, and network management control method
JP2015156624A (ja) * 2014-02-20 2015-08-27 ニシラ, インコーポレイテッド ファイアウォール規則における実施ポイントの指定
US10264021B2 (en) 2014-02-20 2019-04-16 Nicira, Inc. Method and apparatus for distributing firewall rules
US11122085B2 (en) 2014-02-20 2021-09-14 Nicira, Inc. Method and apparatus for distributing firewall rules
US11115382B2 (en) 2015-06-30 2021-09-07 Nicira, Inc. Global objects for federated firewall rule management
US11128600B2 (en) 2015-06-30 2021-09-21 Nicira, Inc. Global object definition and management for distributed firewalls
US11005815B2 (en) 2016-04-29 2021-05-11 Nicira, Inc. Priority allocation for distributed service rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor

Similar Documents

Publication Publication Date Title
US20230188415A1 (en) Exchange or routing information to support virtual computer networks hosted on telecommunications infrastructure network
US9088546B2 (en) Establishing an IPSEC (internet protocol security) VPN (virtual private network) tunnel and encapsulating non-IP packets
US7373660B1 (en) Methods and apparatus to distribute policy information
EP2252011B1 (en) Scalable routing policy construction using dynamic redefinition of routing preference value
US7848335B1 (en) Automatic connected virtual private network
US6738910B1 (en) Manual virtual private network internet snoop avoider
US20150180768A1 (en) Using virtual networking devices to manage routing cost information
CN112866077B (zh) 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质
US10454880B2 (en) IP packet processing method and apparatus, and network system
CN101252509A (zh) 使用双-nat方法的虚拟专用网络(vpn)信息包级路由的动态系统和方法
WO2006005260A1 (fr) Reseau prive virtuel et procede de commande et de transmission d'acheminement
JP2002111725A (ja) インタフェース識別装置、インタフェース識別方法および、mpls−vpnサービスネットワーク
CN104283701A (zh) 配置信息的下发方法、系统及装置
US20070019657A1 (en) Network apparatus and method of specifying network parameter
JP2003188906A (ja) Vpnポリシー管理装置
EP2439888B1 (en) Apparatus and method for establishing pseudo wire
JP2000324104A (ja) バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
KR20140122335A (ko) 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치
JP4649465B2 (ja) 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法
CN102404220A (zh) 一种基于私有协议的安全路由器的设备及实现方法
US20170048103A1 (en) Communication apparatus, communication method, and communication system
US20060143701A1 (en) Techniques for authenticating network protocol control messages while changing authentication secrets
WO2011010735A1 (ja) 中継装置
Jain et al. Performance Comparison Between Different Tunneling Techniques Using Different Routing Protocols
Cisco Glossary