JP2003244245A - ゲートウェイ装置及びそれによる通信方法 - Google Patents

ゲートウェイ装置及びそれによる通信方法

Info

Publication number
JP2003244245A
JP2003244245A JP2002038328A JP2002038328A JP2003244245A JP 2003244245 A JP2003244245 A JP 2003244245A JP 2002038328 A JP2002038328 A JP 2002038328A JP 2002038328 A JP2002038328 A JP 2002038328A JP 2003244245 A JP2003244245 A JP 2003244245A
Authority
JP
Japan
Prior art keywords
virtual routing
network
routing means
gateway device
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002038328A
Other languages
English (en)
Other versions
JP3714549B2 (ja
Inventor
Yoshitake Tajima
佳武 田島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002038328A priority Critical patent/JP3714549B2/ja
Publication of JP2003244245A publication Critical patent/JP2003244245A/ja
Application granted granted Critical
Publication of JP3714549B2 publication Critical patent/JP3714549B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 アクセス回線を用いて第1のネットワークと
接続したユーザ端末装置が同一のアクセス回線を用いて
第2のネットワークと同時に接続することを可能とす
る。 【解決手段】 ゲートウェイ装置2−1,2−2に、第
1の仮想ルーティング手段と第2の仮想ルーティング手
段とNAPT変換手段とパケットフィルタリング手段と
を設ける。第1の仮想ルーティング手段と第2の仮想ル
ーティング手段とNAPT変換手段とパケットフィルタ
リング手段とを用いて、ユーザ端末装置1−1と2つの
ネットワーク5,45−1との間で送受信されるパケッ
トを転送する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ADSL等の常時
接続型データ通信アクセス回線に接続する複数のユーザ
端末装置が企業用VPN、VLAN又はインターネット
等の複数のネットワークに接続する場合において、接続
先ネットワーク毎に定められたセキュリティを自動的に
確保することを可能にする、ファイアウォール機能を有
したゲートウェイ装置及びそれによる通信方法に関する
ものである。
【0002】
【従来の技術】従来より、常時接続型データ通信アクセ
ス回線としてADSL(Asymmetric Digital Subscribe
r Line )が知られている。また、企業のイントラネッ
トのセキュリティを確保しつつ広域のネットワークを安
価に構築するサービスとして、VPN(Virtual Privat
e Network )やVLAN(Virtual Local Area Networ
k)等を網の機能として提供するサービスが知られてい
る。
【0003】従来のADSLの常時接続データ通信アク
セスのシステム構成では、端末装置がゲートウェイルー
タ、ADSLモデム(ATU−R)を介してアクセス回
線に接続され、アクセス回線はDSLAM(Digital Su
bscriber Line Access Multiplexer)によって多重化さ
れてBAS(Broadband Access Server )に接続され、
アクセス網によって網終端装置(Network Termination
Equipment)に接続される。網終端装置は、VPNサー
ビス網、ISP(Internet Service Provider)網、企
業の独自網など接続先ネットワーク毎に設置され、それ
ぞれのネットワークと接続される。
【0004】ゲートウェイルータからBASに対して、
PPPoE(Point to Point Protocol over Ethernet
(登録商標) )等の論理コネクションを設定し、PP
P認証のユーザ名の一部として示されるレルム情報をも
とに、BASで接続先網終端装置を判定し、BASから
網終端装置に対して設定するL2TP(Layer2 Tunneli
ng Protocol )の論理コネクション上に、前記PPPo
Eの論理コネクションごとにPPPの論理コネクション
を設定する。前記PPPの論理コネクションの設定の認
証は網終端装置を介して接続する接続先ネットワーク内
のRADIUS(Remote Access Dial-In User Server
)に基づいてBASで行われる。以上のゲートウェイ
ルータと網終端装置との間の論理コネクション上でIP
通信が行われる。
【0005】一方、VPN,VLANサービス網は、単
一の物理的な網において論理的に独立な網を設定して論
理網間のセキュリティを確保しつつ、網内では複数の論
理網のトラフィックを多重してコストを削減することを
特徴とする通信サービス網である。MPLS(Multi-Pr
otocol Label Switching)網では、パケットの送信元ユ
ーザが接続する網終端装置でユーザが所属するVPNを
識別して、VPN毎の転送テーブルを用いてVPN毎に
異なるVPNラベルをパケットに付加して、網内の転送
を行い、パケットの送信先のユーザが接続する網終端装
置でVPNラベルをもとにVPN毎の転送テーブルを用
いて論理的に独立な転送を行う。また、VLAN網では
VPNラベルの代わりにVLANタグを用いる。
【0006】企業の社内LANなど拠点ごとに構成され
た複数の自営網を上記VPN,VLANサービス網に接
続することによって、セキュリティの確保された広域の
社内網を安価に構築することができる。自営網とVP
N,VLANサービス網とを接続する回線として、AT
M(Asynchronous Transfer Mode)を用いた専用線など
を利用する。このような構成では広域社内網は他の網と
論理的に独立である。インターネットなどの他の網と接
続する場合、自営網にNAPT変換、パケットフィルタ
リングなどの機能を有するファイアウォールを設置し、
広域社内網と他の網との通信のパケットの転送、廃棄を
制御する。
【0007】小規模拠点および家庭内の網とVPN,V
LANサービス網との接続においては、上記ADSLな
どのアクセス回線を用いて接続することで安価に広域社
内網を構築することができる。一つのアクセス回線を用
いて、VPNあるいはインターネットなどの複数の網と
の接続を行う場合、論理的に独立した複数の仮想ルーテ
ィング機能を有するゲートウェイルータを使用し、ゲー
トウェイルータとそれぞれの接続先網終端装置との間で
PPPコネクションを設定する。
【0008】
【発明が解決しようとする課題】第1の問題点は、AD
SLなどのアクセス回線を用いてユーザ端末装置とVP
Nとを接続する場合、論理的に独立した複数の仮想ルー
ティング機能を有するゲートウェイルータを使用した場
合においても、一つのアクセス回線を用いて一つのVP
Nに接続したユーザ端末装置は、同一のアクセス回線を
用いてインターネットまたはVPNなどの他の網と通信
できないことである。その理由は、複数の仮想ルーティ
ング機能の間のルーティングができず、また仮想ルーテ
ィング機能間のルーティングをする場合に必要となる、
仮想ルーティング機能間のファイアウォール機能がない
ためである。
【0009】第2の問題点は、ADSLなどのアクセス
回線を用いてユーザ端末装置とVPNとを接続する場合
において、一つのアクセス回線を用いて一つのVPNに
接続したユーザ端末装置が、同一のアクセス回線を用い
てインターネットまたはVPNなどの他の網と通信を行
う場合、インターネットまたはVPNサービス網と自営
網との接続回線の帯域を消費して、ユーザ端末装置の通
信速度の低下または企業の接続回線のコスト増大を招く
ことである。その理由は、一つのVPNに接続したユー
ザ端末装置はインターネットまたは他のVPNとの通信
を行うためには、企業の自営網内に設置されたファイア
ウォールを経由する必要があるため、ユーザ端末装置と
インターネットまたはVPNなどの他の網との通信によ
るトラフィックが企業の自営網を通過するからである。
【0010】第3の問題点は、選択的に複数の網と接続
を行うADSLなどのアクセス回線を用いて接続する場
合、ルーティング機能の設定およびファイアウォール機
能の設定を企業が社内網内で定める統一的なポリシによ
って設定できないことと、適切な仮想ルーティング機能
およびファイアウォール機能を具備していないゲートウ
ェイルータからの接続を排除できないことである。その
理由は、各ユーザが接続の際に手動で設定を行った場
合、仮想ルーティング機能およびファイアウォール機能
の設定が企業の定める統一的なポリシに従って設定され
るという保証ができず、また適切な仮想ルーティング機
能およびファイアウォール機能を具備するゲートウェイ
ルータのみを接続する機構がないためである。
【0011】本発明の目的は、ユーザ端末装置がADS
Lなどのアクセス回線を用いてVPN,インターネット
などのネットワークに接続するコンピュータ通信システ
ムにおいて、1つのアクセス回線を用いて第1のネット
ワークと接続したユーザ端末装置が、同一のアクセス回
線を用いて他の第2のネットワークと同時に接続するこ
とを可能とするゲートウェイ装置及びそれによる通信方
法を提供することである。また、本発明の目的は、適切
な仮想ルーティング機能およびファイアウォール機能を
具備しないゲートウェイ装置からの接続を拒絶すること
を可能とするゲートウェイ装置及びそれによる通信方法
を提供することである。さらに、本発明の目的は、ユー
ザ端末装置と第2のネットワークとが、第1のネットワ
ークで定められた統一的なセキュリティポリシに従った
ファイアウォールを介して通信することを可能とし、ま
たそのファイアウォール設定を自動化することを可能と
するゲートウェイ装置及びそれによる通信方法を提供す
ることである。
【0012】
【課題を解決するための手段】本発明は、論理的に独立
した複数のルータとして動作する複数の仮想ルーティン
グ手段を備え、ユーザ端末装置と接続先ネットワークと
を接続するゲートウェイ装置において、第1のネットワ
ークを接続先とする第1の仮想ルーティング手段と第2
のネットワークを接続先とする第2の仮想ルーティング
手段との間の通信において、パケットの送信元アドレ
ス、送信元ポート番号、送信先アドレス及び送信先ポー
ト番号のうち少なくとも1つを変換するNAPT変換手
段と、前記第1の仮想ルーティング手段と前記第2の仮
想ルーティング手段との間の通信において、パケットの
転送又は廃棄を行うパケットフィルタリング手段とを有
するものである。また、本発明のゲートウェイ装置の1
構成例は、前記第1の仮想ルーティング手段に接続され
たユーザ端末装置と前記第1のネットワークとの通信を
行うとき、前記第1の仮想ルーティング手段と前記第1
のネットワークとの接続を前記第1のネットワークのポ
リシサーバに対して要求する要求手段と、前記ポリシサ
ーバからの回答に基づいて前記第1の仮想ルーティング
手段及び前記パケットフィルタリング手段を設定する設
定手段とを有するものである。また、本発明のゲートウ
ェイ装置の1構成例において、前記設定手段は、前記第
1の仮想ルーティング手段と前記第2の仮想ルーティン
グ手段との間の通信用のルーティング設定情報を前記第
1の仮想ルーティング手段から削除し、前記第1の仮想
ルーティング手段と前記第2の仮想ルーティング手段と
の間の通信用のパケットを全て廃棄するよう前記パケッ
トフィルタリング手段を設定するものである。また、本
発明のゲートウェイ装置の1構成例は、ユーザ端末装置
と前記第1のネットワークとが前記第1の仮想ルーティ
ング手段を介して接続され、かつ前記ユーザ端末装置と
前記第2のネットワークとの通信を行うとき、前記第1
の仮想ルーティング手段と前記第2のネットワークとを
前記第2の仮想ルーティング手段を介して接続するよう
前記ポリシサーバに対して要求する要求手段と、前記ポ
リシサーバからの回答に基づいて前記第1の仮想ルーテ
ィング手段、前記第2の仮想ルーティング手段、前記N
APT変換手段及び前記パケットフィルタリング手段を
設定する設定手段とを有するものである。また、本発明
のゲートウェイ装置の1構成例において、前記設定手段
は、前記第1の仮想ルーティング手段と前記第2の仮想
ルーティング手段との間の通信用のルーティング設定情
報を前記第1の仮想ルーティング手段と前記第2の仮想
ルーティング手段に設定し、前記第1の仮想ルーティン
グ手段又は前記第2の仮想ルーティング手段から受信し
たパケットの送信元アドレス、送信元ポート番号、送信
先アドレス及び送信先ポート番号のうち少なくとも1つ
に対して、前記ユーザ端末装置と前記第2のネットワー
クとの通信を可能にする変換を行うよう前記NAPT変
換手段を設定し、前記第1の仮想ルーティング手段と前
記第2の仮想ルーティング手段との間のパケット転送を
許可するよう前記パケットフィルタリング手段を設定す
るものである。
【0013】また、本発明のゲートウェイ装置による通
信方法は、第1のネットワークを接続先とする第1の仮
想ルーティング手段と第2のネットワークを接続先とす
る第2の仮想ルーティング手段との間の通信において、
パケットの送信元アドレス、送信元ポート番号、送信先
アドレス及び送信先ポート番号のうち少なくとも1つを
変換するNAPT変換手順と、前記第1の仮想ルーティ
ング手段と前記第2の仮想ルーティング手段との間の通
信において、パケットの転送又は廃棄を行うパケットフ
ィルタリング手順とを実行するようにしたものである。
また、本発明のゲートウェイ装置による通信方法の1構
成例は、前記第1の仮想ルーティング手段に接続された
ユーザ端末装置と前記第1のネットワークとの通信を行
うとき、前記第1の仮想ルーティング手段と前記第1の
ネットワークとの接続を前記第1のネットワークのポリ
シサーバに対して要求する要求手順と、前記ポリシサー
バからの回答に基づいて前記第1の仮想ルーティング手
段及び前記パケットフィルタリング手段を設定する設定
手順とを実行するようにしたものである。また、本発明
のゲートウェイ装置による通信方法の1構成例は、前記
第1の仮想ルーティング手段と前記第1のネットワーク
との間に設けられたフィルタリング装置に対して、前記
第1の仮想ルーティング手段と前記第1のネットワーク
との間のパケット転送を許可するよう前記ポリシサーバ
から設定を行う手順を実行し、前記設定手順は、前記第
1の仮想ルーティング手段と前記第2の仮想ルーティン
グ手段との間の通信用のルーティング設定情報を前記第
1の仮想ルーティング手段から削除し、前記第1の仮想
ルーティング手段と前記第2の仮想ルーティング手段と
の間の通信用のパケットを全て廃棄するよう前記パケッ
トフィルタリング手段を設定するようにしたものであ
る。また、本発明のゲートウェイ装置による通信方法の
1構成例は、ユーザ端末装置と前記第1のネットワーク
とが前記第1の仮想ルーティング手段を介して接続さ
れ、かつ前記ユーザ端末装置と前記第2のネットワーク
との通信を行うとき、前記第1の仮想ルーティング手段
と前記第2のネットワークとを前記第2の仮想ルーティ
ング手段を介して接続するよう前記ポリシサーバに対し
て要求する要求手順と、前記ポリシサーバからの回答に
基づいて前記第1の仮想ルーティング手段、前記第2の
仮想ルーティング手段、前記NAPT変換手段及び前記
パケットフィルタリング手段を設定する設定手順とを実
行するようにしたものである。また、本発明のゲートウ
ェイ装置による通信方法の1構成例において、前記設定
手順は、前記第1の仮想ルーティング手段と前記第2の
仮想ルーティング手段との間の通信用のルーティング設
定情報を前記第1の仮想ルーティング手段と前記第2の
仮想ルーティング手段に設定し、前記第1の仮想ルーテ
ィング手段又は前記第2の仮想ルーティング手段から受
信したパケットの送信元アドレス、送信元ポート番号、
送信先アドレス及び送信先ポート番号のうち少なくとも
1つに対して、前記ユーザ端末装置と前記第2のネット
ワークとの通信を可能にする変換を行うよう前記NAP
T変換手段を設定し、前記第1の仮想ルーティング手段
と前記第2の仮想ルーティング手段との間のパケット転
送を許可するよう前記パケットフィルタリング手段を設
定するようにしたものである。
【0014】
【発明の実施の形態】[第1の実施の形態]以下、本発
明の実施の形態について図面を参照して詳細に説明す
る。図1は本発明の第1の実施の形態となる通信ネット
ワークシステムの構成を示すブロック図である。ユーザ
端末装置1−1,1−2は、ゲートウェイ装置(GW)2
−1を介してアクセス網3のBAS(Broadband Access
Server )31と接続され、同様にユーザ端末装置1−
3,1−4は、ゲートウェイ装置2−2を介してBAS
31と接続される。
【0015】BAS31は、アクセス網3の網終端装置
(NTE )32−1,32−2,32−3と接続され、ま
た接続先ネットワーク選択用のRADIUS(Remote A
ccess Dial-In User Server )33と接続される。アク
セス網3は、VPN(Virtual Private Network )サー
ビス網4およびインターネット5と接続される。NTE
32−1は、VPNサービス網4のフィルタリング装置
(Filter)41−1と接続され、NTE32−2
は、VPNサービス網4のフィルタリング装置41−2
と接続される。
【0016】フィルタリング装置41−1,41−2
は、RADIUS42およびポリシサーバ(PS)43と
接続される。また、フィルタリング装置41−1は、仮
想ルータ(VR)44−1を介してVPN45−1と接続
され、フィルタリング装置41−2は、VR44−2を
介してVPN45−2と接続される。VPN45−1,
45−2は、論理的に独立な網である。
【0017】VPN45−1は、企業の自営網であるV
PNサイト(Site)6−1と接続され、VPN45−2
は、VPNサイト6−2と接続される。VPNサイト6
−1は、ファイアウォール装置(FW)61−1を介して
インターネット接続網(ISP)5と接続され、VPNサ
イト6−2は、ファイアウォール装置61−2を介して
ISP5と接続される。さらに、アクセス網3は、NT
E32−3を介してISP5と接続される。
【0018】図2は図1におけるゲートウェイ装置2−
1の構成を示すブロック図である。ゲートウェイ装置2
−1は、仮想ルーティング手段(VR)21−11,21
−12と、ファイアウォール手段(FW)22−1と、V
PNエージェント(Agent)23と、PPP終端手段2
4−1とから構成される。ファイアウォール手段22−
1は、パケットフィルタリング手段(Filter)2
2−11,22−12と、NAPT(Network Address
Port Translation)変換手段22−13とから構成され
る。
【0019】第1の仮想ルーティング手段21−11
は、リンクLL1によりユーザ端末装置1−1と接続さ
れ、第2の仮想ルーティング手段21−12は、リンク
LL2によりユーザ端末装置1−2と接続される。ま
た、第1の仮想ルーティング手段21−11は、ゲート
ウェイ装置2−1の内部リンクIL1により第1のパケ
ットフィルタリング手段22−11と接続され、第2の
仮想ルーティング手段21−12は、ゲートウェイ装置
2−1の内部リンクIL2により第2のパケットフィル
タリング手段22−12と接続される。NAPT変換手
段22−13は、第1のパケットフィルタリング手段2
2−11,22−12と接続される。
【0020】VPNエージェント23は、第1の仮想ル
ーティング手段21−11,21−12及びファイアウ
ォール手段22−1と接続される。第1の仮想ルーティ
ング手段21−11は、ゲートウェイ装置2−1の内部
リンクWL1によりPPP終端手段24−1と接続さ
れ、第2の仮想ルーティング手段21−12は、ゲート
ウェイ装置2−1の内部リンクWL2によりPPP終端
手段24−1と接続される。
【0021】PPP終端手段24−1は、内部リンクW
L1と外部のPPPコネクションPPP1とを接続し、
内部リンクWL2と外部のPPPコネクションPPP2
とを接続する。PPPコネクションPPP1は、VPN
45−1と接続され、PPPコネクションPPP2は、
ISP5と接続される。ゲートウェイ装置2−2の構成
もゲートウェイ装置2−1と同様である。
【0022】次に、本実施の形態の動作について説明す
る。ゲートウェイ装置2−1,2−2は、BAS31上
においてRADIUS33の情報を基に、接続先ネット
ワークを選択してNTE32−1〜32−3に対してP
PPコネクションを設定する。PPPコネクションの認
証は、接続先ネットワークがVPNサービス網4である
場合はRADIUS42の情報に基づいて行われ、接続
先ネットワークがISP5である場合はRADIUS5
2の情報に基づいて行われる。
【0023】RADIUS42,52は、ゲートウェイ
装置2−1,2−2から送信されるユーザ名とパスワー
ドにより認証を行い、認証結果をゲートウェイ装置2−
1,2−2に返信する。RADIUS42,52で認証
された場合のみPPPコネクションが設定される。
【0024】フィルタリング装置41−1,41−2
は、ゲートウェイ装置2−1,2−2からのパケットの
送信元アドレスを基に当該パケットをVR44−1,4
4−2へ転送するか、または廃棄する。ただし、フィル
タリング装置41−1,41−2は、ゲートウェイ装置
2−1,2−2からRADIUS42及びポリシサーバ
43へのパケットについては常に転送し、またゲートウ
ェイ装置2−1,2−2からVR44−1,44−2へ
のパケットについては特に設定しない限り廃棄する。
【0025】以上の動作により、ゲートウェイ装置2−
1とNTE32−1間、およびゲートウェイ装置2−1
とNTE32−3間にそれぞれPPPコネクションが設
定された場合のゲートウェイ装置2−1の動作を以下で
説明する。ゲートウェイ装置2−1とVPN45−1と
の接続においては、フィルタリング装置41−1におい
てパケットが廃棄されるため通信することはできない。
【0026】また、ゲートウェイ装置2−1とISP5
との通信においては、ゲートウェイ装置2−1のファイ
アウォール手段22−1を利用しないため、ゲートウェ
イ装置2−1の第2の仮想ルーティング手段21−12
は、ISP5と通信することができる。この第2の仮想
ルーティング手段21−12のルーティングテーブル
は、図3のルーティングテーブル71のとおり設定され
ている。図3において、Dst.IPは送信先IPアド
レス、Maskはサブネット・マスク、OutLink
は出力先リンクを示している。
【0027】図3のようなルーティングテーブル71の
設定により、第2の仮想ルーティング手段21−12
は、通常は受信したパケットをリンクWL2に送出す
る。ただし、送信先IPアドレスが「IP#230」の
パケットについてはリンクLL2に送出する。
【0028】また、第2のパケットフィルタリング手段
22−12の機能は利用しないため、第2のパケットフ
ィルタリング手段22−12のフィルタリングテーブル
は図4のフィルタリングテーブル72のとおり設定され
ている。図4において、Actionは第2のパケット
フィルタリング手段22−12によるパケットの処理
(転送又は廃棄)、Protoは通信プロトコル、Ds
t.IPは送信先IPアドレス、Maskは送信先IP
アドレスのサブネット・マスク、Dst.PortはT
CPヘッダに設定された送信先ポート番号、Src.I
Pは送信元IPアドレス、Maskは送信元IPアドレ
スのサブネット・マスク、Src.PortはTCPヘ
ッダに設定された送信元ポート番号を示している。
【0029】また、「allow」は転送の許可を意味
し、「any」は任意の値を意味する。図4のようなフ
ィルタリングテーブル72の設定により、第2のパケッ
トフィルタリング手段22−12は、全てのパケットを
転送することになる。
【0030】ゲートウェイ装置2−1のVPNエージェ
ント23は、予め定められた自動設定あるいはユーザ端
末装置1−1からの要求に従って、ユーザ端末装置1−
1とVPNサイト6−1との通信を開始させるため、ポ
リシサーバ43に対し、ゲートウェイ装置2−1の第1
の仮想ルーティング手段21−11とVPN45−1と
を接続するよう要求する。
【0031】セキュリティポリシを管理するポリシサー
バ43は、VPNエージェント23からの要求に対する
回答として、第1の仮想ルーティング手段21−11と
ファイアウォール手段22−1における第1のパケット
フィルタリング手段22−11の初期化をVPNエージ
ェント23に要求する。
【0032】ポリシサーバ43の要求に応じて、ゲート
ウェイ装置2−1のVPNエージェント23は、ゲート
ウェイ装置2−1の第1のパケットフィルタリング手段
22−11のフィルタリングテーブルを図5のフィルタ
リングテーブル73のとおりに設定して初期化する。
【0033】図5において、「deny」はパケットの
廃棄を意味する。図5のようなフィルタリングテーブル
73の設定により、第1のパケットフィルタリング手段
22−11は、全てのパケットを廃棄するので、ゲート
ウェイ装置2−1の第1の仮想ルーティング手段21−
11と第2の仮想ルーティング手段21−12との間の
通信は遮断される。
【0034】また、ゲートウェイ装置2−1のVPNエ
ージェント23は、ポリシサーバ43の要求に応じて、
ゲートウェイ装置2−1の第1の仮想ルーティング手段
21−11のルーティングテーブルを図6のルーティン
グテーブル74のとおり設定して初期化する。
【0035】図6のようなルーティングテーブル74の
設定により、第1の仮想ルーティング手段21−11
は、通常は受信したパケットをリンクWL1に送出す
る。ただし、送信先IPアドレスが「IP#110」の
パケットについてはリンクLL1に送出する。
【0036】さらに、ポリシサーバ43は、フィルタリ
ング装置41−1に対して、ゲートウェイ装置2−1か
らのパケットを転送するように設定する。以上の動作に
より、ユーザ端末装置1−1とVPNサイト6−1と
が、ゲートウェイ装置2−1の第1の仮想ルーティング
手段21−11とアクセス網3とVPNサービス網4の
フィルタリング装置41−1と仮想ルータ44−1とV
PN45−1とを介して接続され、かつVPN45−1
とISP5との論理的な独立性が確保される。
【0037】以上のように、ポリシサーバ43は、ゲー
トウェイ装置2−1のVPNエージェント23からの要
求に基づき、ゲートウェイ装置2−1とVPN45−1
との間のパケット転送を許可するようフィルタリング装
置41−1を設定するので、VPNエージェント23を
具備しないゲートウェイ装置では、フィルタリング装置
41−1によるファイアウォール機能を設定することが
できず、VPN45−1と接続することができない。V
PNエージェント23を具備しないゲートウェイ装置と
VPN45−1との接続を排除することができる。
【0038】次に、ゲートウェイ装置2−1のVPNエ
ージェント23は、予め定められた自動設定あるいはユ
ーザ端末装置1−1からの要求に従って、ユーザ端末装
置1−1とISP5との通信を開始させるため、第1の
仮想ルーティング手段21−11から第2の仮想ルーテ
ィング手段21−12を経由したISP5との通信の許
可をポリシサーバ43に要求する。
【0039】ポリシサーバ43には、企業の自営網であ
るVPNサイト6−1で定められたセキュリティポリ
シ、すなわちVPNサイト6−1との接続のための設定
情報が事前に蓄積・管理されている。この設定情報はフ
ァイアウォール装置61−1に設定されている情報と同
一である。同様に、ポリシサーバ43には、VPNサイ
ト6−2で定められたセキュリティポリシが事前に蓄積
・管理されており、その設定情報はファイアウォール装
置61−2に設定されている情報と同一である。
【0040】ポリシサーバ43は、VPNエージェント
23からの要求に対する回答として、VPNサイト6−
1のセキュリティポリシに従ってゲートウェイ装置2−
1の第1の仮想ルーティング手段21−11とISP5
とが第2の仮想ルーティング手段21−12を介して接
続されるように、第1の仮想ルーティング手段21−1
1のルーティング設定情報、第1のパケットフィルタリ
ング手段22−11のパケットフィルタリング設定情報
およびNAPT変換手段22−13のNAPT設定情報
をVPNエージェント23に送信する。
【0041】VPNエージェント23は、取得したパケ
ットフィルタリング設定情報を基に第1のパケットフィ
ルタリング手段22−11のフィルタリングテーブルを
図7のフィルタリングテーブル75のとおり設定し、取
得したルーティング設定情報を基に第1の仮想ルーティ
ング手段21−11のルーティングテーブルを図8のル
ーティングテーブル76のとおり設定し、第2の仮想ル
ーティング手段21−12のルーティングテーブルを図
9のルーティングテーブル77のとおり設定する。
【0042】図7のようなフィルタリングテーブル75
の設定により、第1のパケットフィルタリング手段22
−11は、通常は全てのパケットを廃棄する。ただし、
送信元ポート番号が「Port#1」で、送信先IPア
ドレスが「IP#110」のTCPプロトコルのパケッ
ト、及び送信元IPアドレスが「IP#110」、送信
元ポート番号が「Port#2」で、送信先ポート番号
が「Port#1」のパケットについては転送を許可す
る。これにより、ユーザ端末装置1−1を送信先とする
パケット、あるいはユーザ端末装置1−1を送信元とす
るパケットは第1のパケットフィルタリング手段22−
11を通過できる。
【0043】また、図8のようなルーティングテーブル
76の設定により、第1の仮想ルーティング手段21−
11は、通常は受信したパケットをリンクIL1に送出
する。ただし、送信先IPアドレスが「IP#110」
のパケットについてはリンクLL1に送出し、送信先I
Pアドレスが「IP#160」のパケットについてはリ
ンクWL1に送出する。
【0044】これにより、第1の仮想ルーティング手段
21−11は、ユーザ端末装置1−1を送信先とするパ
ケットをユーザ端末装置1−1に向けて送出し、VPN
サイト6−1を送信先とするパケットをVPN45−1
に向けて送出し、その他のパケットをファイアウォール
手段22−1の第1のパケットフィルタリング手段22
−11に向けて送出する。
【0045】また、図9のようなルーティングテーブル
77の設定により、第2の仮想ルーティング手段21−
12は、通常は受信したパケットをリンクIL2に送出
する。ただし、送信先IPアドレスが「IP#23」の
パケットについてはリンクLL2に送出し、送信先IP
アドレスが「IP#210」のパケットについてはリン
クWL2に送出する。
【0046】これにより、第2の仮想ルーティング手段
21−12は、ユーザ端末装置1−2を送信先とするパ
ケットをユーザ端末装置1−2に向けて送出し、ISP
5を送信先とするパケットをISP5に向けて送出し、
その他のパケットをファイアウォール手段22−1の第
2のパケットフィルタリング手段22−12に向けて送
出する。
【0047】さらに、VPNエージェント23は、取得
したNAPT設定情報を基にNAPT変換手段22−1
3のNAPT変換テーブルを図10のNAPT変換テー
ブル78のとおり設定する。図10において、「変換
前」の行はNAPT変換手段22−13による変換を受
ける前のパケットの情報、「変換後」の行は変換後のパ
ケットの情報を示している。
【0048】NAPT変換手段22−13は、受信した
パケットの送信元IPアドレス、送信元ポート番号、送
信先IPアドレス及び送信先ポート番号のうち少なくと
も1つをNAPT変換テーブル78に従って変換する。
図10の例では、第1の仮想ルーティング手段21−1
1から第2の仮想ルーティング手段21−12へ転送さ
れる、送信元IPアドレスが「IP#11」、送信元ポ
ート番号が「Port#2」のパケットについて、プラ
イベートアドレス「IP#11」がグローバルアドレス
「IP#23」に変換され、送信元ポート番号「Por
t#2」が「Port#3」に変換される。
【0049】このとき、送信元ポート番号については、
同一IPアドレスの送信元について送信元ポート番号が
重複しないようにNAPT変換テーブル78に設定され
る。以上のようなNAPT変換の目的は、第1のネット
ワークであるVPN45−1で利用するアドレスが付与
された複数のユーザ端末装置1が送受信するパケットに
ついて、接続先の第2のネットワークであるISP5の
1つの固定アドレスを用いて、パケットのアドレスまた
はポート番号を変換することにより、第1のネットワー
クの複数のユーザ端末装置1と第2のネットワークとの
通信を可能にすることにある。
【0050】このため、NAPT変換テーブル78は、
以下のような変換規則に基づいて設定される。 (A)接続先の第2のネットワークへのパケットについ
て、送信元アドレス(第1のネットワークのユーザ端末
装置のアドレス)を接続先の第2のネットワークで利用
可能な固定アドレスに変換する。 (B)変換後の送信元ポート番号が逆変換可能となるよ
う、すなわち送信元アドレスと送信元ポート番号と送信
先アドレスと送信先ポート番号とからなる1組の情報が
変換の前後で一意に対応するよう変換する。
【0051】このような変換規則に基づいて設定された
NAPT変換テーブル78に従って、NAPT変換手段
22−13は、ユーザ端末装置から第2のネットワーク
へのパケットについて、送信元アドレス、送信元ポート
番号、送信先アドレス及び送信先ポート番号のうち少な
くとも1つを変換する。なお、第2のネットワークから
転送されて到着する、送信先アドレスが前記固定アドレ
スのパケットについては、NAPT変換手段22−13
は、NAPT変換テーブル78の変換規則に基づいて逆
変換する(固定アドレスをユーザ端末装置のアドレスに
変換し、ポート番号を元のポート番号に変換する)。
【0052】以上の動作により、ユーザ端末装置1−1
とISP5とが、VPNサイト6−1のセキュリティポ
リシに従って、ゲートウェイ装置2−1の第1の仮想ル
ーティング手段21−11とファイアウォール手段22
−1と第2の仮想ルーティング手段21−12とアクセ
ス網3とを介して接続され、VPNサイト6−1のセキ
ュリティポリシに従って通信することが可能となる。
【0053】
【発明の効果】本発明によれば、ゲートウェイ装置にN
APT変換手段とパケットフィルタリング手段とを設け
ることにより、1つのアクセス回線を用いて第1のネッ
トワークと接続したユーザ端末装置が、同一のアクセス
回線を用いて他の第2のネットワークと同時に接続する
ことが可能となる。その理由は、第1の仮想ルーティン
グ手段と第2の仮想ルーティング手段とNAPT変換手
段とパケットフィルタリング手段とを用いて、ユーザ端
末装置と2つのネットワークとの間で送受信されるパケ
ットを転送するからである。また、1つのアクセス回線
を用いて第1のネットワークと接続したユーザ端末装置
が、同一のアクセス回線を用いて第2のネットワークと
同時に接続することにより、ユーザ端末装置と第2のネ
ットワークとの通信によるトラフィックが第1のネット
ワークを通過することがなくなるので、ユーザ端末装置
の通信速度の低下や第1のネットワークの接続回線のコ
スト増大といった問題がなくなる。
【0054】また、第1の仮想ルーティング手段に接続
されたユーザ端末装置と第1のネットワークとの通信を
行うとき、第1の仮想ルーティング手段と第1のネット
ワークとの接続を第1のネットワークのポリシサーバに
対して要求する要求手段と、ポリシサーバからの回答に
基づいて第1の仮想ルーティング手段及びパケットフィ
ルタリング手段を設定する設定手段とをゲートウェイ装
置に設けることにより、ゲートウェイ装置が接続する初
期状態において、第1のネットワークと第2のネットワ
ークの論理的独立性を確保することが可能になる。その
理由は、ポリシサーバの回答に基づき、第1の仮想ルー
ティング手段と第2の仮想ルーティング手段との間の通
信用のルーティング設定情報を第1の仮想ルーティング
手段から削除し、第1の仮想ルーティング手段と第2の
仮想ルーティング手段との間の通信用のパケットを全て
廃棄するようパケットフィルタリング手段を設定するか
らである。
【0055】また、ユーザ端末装置と第1のネットワー
クとが第1の仮想ルーティング手段を介して接続され、
かつユーザ端末装置と第2のネットワークとの通信を行
うとき、第1の仮想ルーティング手段と第2のネットワ
ークとを第2の仮想ルーティング手段を介して接続する
ようポリシサーバに対して要求する要求手段と、ポリシ
サーバからの回答に基づいて第1の仮想ルーティング手
段、第2の仮想ルーティング手段、NAPT変換手段及
びパケットフィルタリング手段を設定する設定手段とを
ゲートウェイ装置に設けることにより、ユーザ端末装置
と第2のネットワークとが、第1のネットワークで定め
られた統一的なセキュリティポリシに従ったファイアウ
ォールを介して通信することを可能とし、またそのファ
イアウォール設定を自動化することができる。その理由
は、第1の仮想ルーティング手段と第2のネットワーク
とを第2の仮想ルーティング手段を介して接続するよう
ポリシサーバに対して要求し、ポリシサーバの回答から
第1の仮想ルーティング手段及び第2の仮想ルーティン
グ手段のルーティング設定情報とNAPT変換手段のN
APT設定情報とパケットフィルタリング手段の実行規
則とを取得して、ルーティング設定情報を第1の仮想ル
ーティング手段と第2の仮想ルーティング手段に設定
し、第1の仮想ルーティング手段又は第2の仮想ルーテ
ィング手段から受信したパケットの送信元アドレス、送
信元ポート番号、送信先アドレス及び送信先ポート番号
のうち少なくとも1つを変換するようNAPT変換手段
を設定し、第1の仮想ルーティング手段と第2の仮想ル
ーティング手段との間のパケット転送を許可するようパ
ケットフィルタリング手段を設定するからである。その
結果、企業は、自営網を通過するトラフィックを抑制し
つつファイアウォールの統一的な設定によりセキュリテ
ィを確保した広域社内網を構築することができる。
【0056】また、第1の仮想ルーティング手段と第1
のネットワークとの間に設けられたフィルタリング装置
に対して、第1の仮想ルーティング手段と第1のネット
ワークとの間のパケット転送を許可するようポリシサー
バから設定を行う手順を実行することにより、要求手段
及び設定手段を具備しないゲートウェイ装置とネットワ
ークとの接続を排除することができる。その理由は、ポ
リシサーバはゲートウェイ装置の要求手段からの要求に
基づき第1の仮想ルーティング手段と第1のネットワー
クとの間のパケット転送を許可するようフィルタリング
装置を設定するので、要求手段及び設定手段を具備しな
いゲートウェイ装置ではフィルタリング装置によるファ
イアウォール機能を設定することができないからであ
る。
【図面の簡単な説明】
【図1】 本発明の第1の実施の形態となる通信ネット
ワークシステムの構成を示すブロック図である。
【図2】 本発明の第1の実施の形態におけるゲートウ
ェイ装置の構成を示すブロック図である。
【図3】 本発明の第1の実施の形態におけるゲートウ
ェイ装置の第2の仮想ルーティング手段のルーティング
テーブルの1例を示す図である。
【図4】 本発明の第1の実施の形態におけるゲートウ
ェイ装置の第2のパケットフィルタリング手段のフィル
タリングテーブルの1例を示す図である。
【図5】 本発明の第1の実施の形態におけるゲートウ
ェイ装置の第1のパケットフィルタリング手段のフィル
タリングテーブルの1例を示す図である。
【図6】 本発明の第1の実施の形態におけるゲートウ
ェイ装置の第1の仮想ルーティング手段のルーティング
テーブルの1例を示す図である。
【図7】 本発明の第1の実施の形態におけるゲートウ
ェイ装置の第1のパケットフィルタリング手段のフィル
タリングテーブルの1例を示す図である。
【図8】 本発明の第1の実施の形態におけるゲートウ
ェイ装置の第1の仮想ルーティング手段のルーティング
テーブルの1例を示す図である。
【図9】 本発明の第1の実施の形態におけるゲートウ
ェイ装置の第2の仮想ルーティング手段のルーティング
テーブルの1例を示す図である。
【図10】 本発明の第1の実施の形態におけるゲート
ウェイ装置のNAPT変換手段のNAPT変換テーブル
の1例を示す図である。
【符号の説明】
1−1〜1−4…ユーザ端末装置、2−1、2−2…ゲ
ートウェイ装置、3…アクセス網、4…VPNサービス
網、5…ISP、6−1、6−2…VPNサイト、21
−11、21−12…仮想ルーティング手段、22−1
…ファイアウォール手段、22−11、22−12…パ
ケットフィルタリング手段、22−13…NAPT変換
手段、23…VPNエージェント、24−1…PPP終
端手段、31…BAS、32−1〜32−3…網終端装
置、41−1、41−2…フィルタリング装置、43…
ポリシサーバ、44−1、44−2…仮想ルータ、45
−1、45−2…VPN、61−1、61−2…ファイ
アウォール装置。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 12/56 100 H04L 12/56 100Z

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 論理的に独立した複数のルータとして動
    作する複数の仮想ルーティング手段を備え、ユーザ端末
    装置と接続先ネットワークとを接続するゲートウェイ装
    置において、 第1のネットワークを接続先とする第1の仮想ルーティ
    ング手段と第2のネットワークを接続先とする第2の仮
    想ルーティング手段との間の通信において、パケットの
    送信元アドレス、送信元ポート番号、送信先アドレス及
    び送信先ポート番号のうち少なくとも1つを変換するN
    APT変換手段と、 前記第1の仮想ルーティング手段と前記第2の仮想ルー
    ティング手段との間の通信において、パケットの転送又
    は廃棄を行うパケットフィルタリング手段とを有するこ
    とを特徴とするゲートウェイ装置。
  2. 【請求項2】 請求項1に記載のゲートウェイ装置にお
    いて、 前記第1の仮想ルーティング手段に接続されたユーザ端
    末装置と前記第1のネットワークとの通信を行うとき、
    前記第1の仮想ルーティング手段と前記第1のネットワ
    ークとの接続を前記第1のネットワークのポリシサーバ
    に対して要求する要求手段と、 前記ポリシサーバからの回答に基づいて前記第1の仮想
    ルーティング手段及び前記パケットフィルタリング手段
    を設定する設定手段とを有することを特徴とするゲート
    ウェイ装置。
  3. 【請求項3】 請求項2に記載のゲートウェイ装置にお
    いて、 前記設定手段は、前記第1の仮想ルーティング手段と前
    記第2の仮想ルーティング手段との間の通信用のルーテ
    ィング設定情報を前記第1の仮想ルーティング手段から
    削除し、前記第1の仮想ルーティング手段と前記第2の
    仮想ルーティング手段との間の通信用のパケットを全て
    廃棄するよう前記パケットフィルタリング手段を設定す
    ることを特徴とするゲートウェイ装置。
  4. 【請求項4】 請求項1に記載のゲートウェイ装置にお
    いて、 ユーザ端末装置と前記第1のネットワークとが前記第1
    の仮想ルーティング手段を介して接続され、かつ前記ユ
    ーザ端末装置と前記第2のネットワークとの通信を行う
    とき、前記第1の仮想ルーティング手段と前記第2のネ
    ットワークとを前記第2の仮想ルーティング手段を介し
    て接続するよう前記ポリシサーバに対して要求する要求
    手段と、 前記ポリシサーバからの回答に基づいて前記第1の仮想
    ルーティング手段、前記第2の仮想ルーティング手段、
    前記NAPT変換手段及び前記パケットフィルタリング
    手段を設定する設定手段とを有することを特徴とするゲ
    ートウェイ装置。
  5. 【請求項5】 請求項4に記載のゲートウェイ装置にお
    いて、 前記設定手段は、前記第1の仮想ルーティング手段と前
    記第2の仮想ルーティング手段との間の通信用のルーテ
    ィング設定情報を前記第1の仮想ルーティング手段と前
    記第2の仮想ルーティング手段に設定し、前記第1の仮
    想ルーティング手段又は前記第2の仮想ルーティング手
    段から受信したパケットの送信元アドレス、送信元ポー
    ト番号、送信先アドレス及び送信先ポート番号のうち少
    なくとも1つに対して、前記ユーザ端末装置と前記第2
    のネットワークとの通信を可能にする変換を行うよう前
    記NAPT変換手段を設定し、前記第1の仮想ルーティ
    ング手段と前記第2の仮想ルーティング手段との間のパ
    ケット転送を許可するよう前記パケットフィルタリング
    手段を設定することを特徴とするゲートウェイ装置。
  6. 【請求項6】 論理的に独立した複数のルータとして動
    作する複数の仮想ルーティング手段を備えたゲートウェ
    イ装置による通信方法において、 第1のネットワークを接続先とする第1の仮想ルーティ
    ング手段と第2のネットワークを接続先とする第2の仮
    想ルーティング手段との間の通信において、パケットの
    送信元アドレス、送信元ポート番号、送信先アドレス及
    び送信先ポート番号のうち少なくとも1つを変換するN
    APT変換手順と、 前記第1の仮想ルーティング手段と前記第2の仮想ルー
    ティング手段との間の通信において、パケットの転送又
    は廃棄を行うパケットフィルタリング手順とを実行する
    ことを特徴とするゲートウェイ装置による通信方法。
  7. 【請求項7】 請求項6に記載のゲートウェイ装置によ
    る通信方法において、 前記第1の仮想ルーティング手段に接続されたユーザ端
    末装置と前記第1のネットワークとの通信を行うとき、
    前記第1の仮想ルーティング手段と前記第1のネットワ
    ークとの接続を前記第1のネットワークのポリシサーバ
    に対して要求する要求手順と、 前記ポリシサーバからの回答に基づいて前記第1の仮想
    ルーティング手段及び前記パケットフィルタリング手段
    を設定する設定手順とを実行することを特徴とするゲー
    トウェイ装置による通信方法。
  8. 【請求項8】 請求項7に記載のゲートウェイ装置によ
    る通信方法において、 前記第1の仮想ルーティング手段と前記第1のネットワ
    ークとの間に設けられたフィルタリング装置に対して、
    前記第1の仮想ルーティング手段と前記第1のネットワ
    ークとの間のパケット転送を許可するよう前記ポリシサ
    ーバから設定を行う手順を実行し、 前記設定手順は、前記第1の仮想ルーティング手段と前
    記第2の仮想ルーティング手段との間の通信用のルーテ
    ィング設定情報を前記第1の仮想ルーティング手段から
    削除し、前記第1の仮想ルーティング手段と前記第2の
    仮想ルーティング手段との間の通信用のパケットを全て
    廃棄するよう前記パケットフィルタリング手段を設定す
    ることを特徴とするゲートウェイ装置による通信方法。
  9. 【請求項9】 請求項6に記載のゲートウェイ装置によ
    る通信方法において、 ユーザ端末装置と前記第1のネットワークとが前記第1
    の仮想ルーティング手段を介して接続され、かつ前記ユ
    ーザ端末装置と前記第2のネットワークとの通信を行う
    とき、前記第1の仮想ルーティング手段と前記第2のネ
    ットワークとを前記第2の仮想ルーティング手段を介し
    て接続するよう前記ポリシサーバに対して要求する要求
    手順と、 前記ポリシサーバからの回答に基づいて前記第1の仮想
    ルーティング手段、前記第2の仮想ルーティング手段、
    前記NAPT変換手段及び前記パケットフィルタリング
    手段を設定する設定手順とを実行することを特徴とする
    ゲートウェイ装置による通信方法。
  10. 【請求項10】 請求項9に記載のゲートウェイ装置に
    よる通信方法において、 前記設定手順は、前記第1の仮想ルーティング手段と前
    記第2の仮想ルーティング手段との間の通信用のルーテ
    ィング設定情報を前記第1の仮想ルーティング手段と前
    記第2の仮想ルーティング手段に設定し、前記第1の仮
    想ルーティング手段又は前記第2の仮想ルーティング手
    段から受信したパケットの送信元アドレス、送信元ポー
    ト番号、送信先アドレス及び送信先ポート番号のうち少
    なくとも1つに対して、前記ユーザ端末装置と前記第2
    のネットワークとの通信を可能にする変換を行うよう前
    記NAPT変換手段を設定し、前記第1の仮想ルーティ
    ング手段と前記第2の仮想ルーティング手段との間のパ
    ケット転送を許可するよう前記パケットフィルタリング
    手段を設定することを特徴とするゲートウェイ装置によ
    る通信方法。
JP2002038328A 2002-02-15 2002-02-15 ゲートウェイ装置及びそれによる通信方法 Expired - Fee Related JP3714549B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002038328A JP3714549B2 (ja) 2002-02-15 2002-02-15 ゲートウェイ装置及びそれによる通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002038328A JP3714549B2 (ja) 2002-02-15 2002-02-15 ゲートウェイ装置及びそれによる通信方法

Publications (2)

Publication Number Publication Date
JP2003244245A true JP2003244245A (ja) 2003-08-29
JP3714549B2 JP3714549B2 (ja) 2005-11-09

Family

ID=27779671

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002038328A Expired - Fee Related JP3714549B2 (ja) 2002-02-15 2002-02-15 ゲートウェイ装置及びそれによる通信方法

Country Status (1)

Country Link
JP (1) JP3714549B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013017077A (ja) * 2011-07-05 2013-01-24 Fujitsu Ltd 情報処理装置、情報処理プログラムおよび管理方法
US8856786B2 (en) 2011-06-29 2014-10-07 Fujitsu Limited Apparatus and method for monitoring communication performed by a virtual machine
JP2014241511A (ja) * 2013-06-11 2014-12-25 富士通株式会社 ネットワーク分離方法及びネットワーク分離装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856786B2 (en) 2011-06-29 2014-10-07 Fujitsu Limited Apparatus and method for monitoring communication performed by a virtual machine
JP2013017077A (ja) * 2011-07-05 2013-01-24 Fujitsu Ltd 情報処理装置、情報処理プログラムおよび管理方法
JP2014241511A (ja) * 2013-06-11 2014-12-25 富士通株式会社 ネットワーク分離方法及びネットワーク分離装置

Also Published As

Publication number Publication date
JP3714549B2 (ja) 2005-11-09

Similar Documents

Publication Publication Date Title
JP4738901B2 (ja) Vlanid動的割当方法及びパケット転送装置
US7489700B2 (en) Virtual access router
US7835370B2 (en) System and method for DSL subscriber identification over ethernet network
US8036237B2 (en) System and method for transparent virtual routing
US6381646B2 (en) Multiple network connections from a single PPP link with partial network address translation
US8165156B1 (en) Ethernet DSL access multiplexer and method providing dynamic service selection and end-user configuration
JP4394590B2 (ja) パケット中継装置および通信帯域制御方法
US6490289B1 (en) Multiple network connections from a single PPP link with network address translation
JP4236398B2 (ja) 通信方法、通信システム及び通信接続プログラム
US9088619B2 (en) Quality of service based on logical port identifier for broadband aggregation networks
US8451833B2 (en) System and method for transparent virtual routing
EP1589705B1 (en) Method and system configured for facilitating residential broadband service
US20030174714A1 (en) Zero-installation PPP-Bridge setup for lan-to-wan connectivity
US20040105444A1 (en) Auto-configuration of broadband service for one of a plurality of network communication protocols
JP2007536851A (ja) セッションベースのパケット交換装置
JP4241329B2 (ja) 仮想アクセスルータ
JP4166609B2 (ja) 通信装置
JP3714549B2 (ja) ゲートウェイ装置及びそれによる通信方法
Cisco Configuring NI-2 IP Services
Cisco Miscellaneous Features
Cisco Configuring Broadband Access: PPP and Routed Bridge Encapsulation
Cisco Miscellaneous Features
Cisco Index
Cisco Overview
Cisco Configuring Protocol Translation and Virtual Asynchronous Devices

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050818

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080902

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090902

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090902

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100902

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100902

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110902

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120902

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130902

Year of fee payment: 8

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees