JP2004064182A - Inter-private-network connection method and gateway control apparatus - Google Patents

Inter-private-network connection method and gateway control apparatus Download PDF

Info

Publication number
JP2004064182A
JP2004064182A JP2002216264A JP2002216264A JP2004064182A JP 2004064182 A JP2004064182 A JP 2004064182A JP 2002216264 A JP2002216264 A JP 2002216264A JP 2002216264 A JP2002216264 A JP 2002216264A JP 2004064182 A JP2004064182 A JP 2004064182A
Authority
JP
Japan
Prior art keywords
packet communication
gateway
communication network
address
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002216264A
Other languages
Japanese (ja)
Other versions
JP3813908B2 (en
Inventor
Yoshitake Tajima
田島 佳武
Junichi Murayama
村山 純一
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002216264A priority Critical patent/JP3813908B2/en
Publication of JP2004064182A publication Critical patent/JP2004064182A/en
Application granted granted Critical
Publication of JP3813908B2 publication Critical patent/JP3813908B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an inter-private-network connection method and a gateway control apparatus capable of efficiently and flexibly interconnecting private networks. <P>SOLUTION: Gateways 41, 51 connected to user packet communication networks 4, 5 and access control apparatuses 11, 12, 21, 22 of the packet communication networks 1, 2 are individually connected, each of the gateways 41, 51 refers to a routing table to control a path of packets to the packet communication networks 1, 2, refers to a filtering table to perform transfer or abort control of packets, and refers to an address conversion table to perform address conversion control of the packets so as to allow the private networks configured by using the packet communication networks 1, 2 to exchange the packets. Further, the gateway control apparatus 32 acquires policy of connection priority from a policy control apparatus 31 and acquires address assignment information or the like from a connection authentication control apparatus 33 to generate and set each table possessed by each gateway. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、プライベート網間接続方法およびゲートウェイ制御装置に関し、物理的に閉域に構成されたプライベート網間の接続および、IP−VPN(IP Virtual Private Network)やVLAN(Virtual Local Area Network)などの、論理的に構成された仮想プライベート網間の接続も実現するためのプライベート網間接続方法およびゲートウェイ制御装置に関するものである。
【0002】
【従来の技術】
現在、公衆ネットワークでは、公衆ネットワークを専用線通信網のように利用する仮想プライベート網(以下、VPNという:Virtual Private Network)のサービスが提供されている。
このVPNは、各ユーザの通信を多重し、収容効率を高めるため、専用線システムより安価なサービスとして提供されていることから、企業をはじめとして多くの利用者が導入している。
【0003】
このようなVPNは、プロバイダ通信網やインターネットなどの広域パケット通信網を利用するVPN、いわゆる広域イントラネットを構築する例もあり、セキュアなネットワークを容易に構築できるため多くの注目を集めている。
広域パケット通信網を用いたVPNでは、個々のVPN間における通信を実現するため、エクストラネット接続と呼ばれるサービスも提供されている。
このエクストラネット接続では、パケットフィルタリングやアドレス変換などのパケット制御を行うことにより、VPN間におけるパケット通信を実現している。
【0004】
従来、このようなエクストラネット接続を実現するものとして、各VPNを管理するプライベート網間接続システムを構築し、上記のようなパケット制御を、プライベート網間接続システムに設置されたVPN間接続装置によって集中的に制御するものが提案されている(例えば、特開2002−94508号公報など参照)。
【0005】
これによれば、そのVPN間接続装置の設定について、VPN間の接続規則をポリシとしてポリシサーバで管理し、ユーザの契約情報や接続要求などに応じて、ポリシサーバがVPN間接続装置の制御設定を自動的に生成し、VPN間接続装置のパケットフィルタリングテーブルやアドレス変換テーブルの設定を行うものとなっている。
さらに、ユーザパケット通信網のVPNへの接続については、RADIUS(Remote Authentication Dial In User Service)サーバが、ユーザ認証情報およびユーザヘのアドレス割当を管理し、ユーザの認証を行い、ユーザパケット通信網のゲートウェイとVPNとの接続を制御するものとなっている。
【0006】
【発明が解決しようとする課題】
しかしながら、このような従来のプライベート網間接続方法では、効率よくかつ柔軟にプライベート網間を接続できないという問題点があった。
すなわち、従来のプライベート網間接続方法では、そのシステムに含まれる任意のプライベート網間における、エクストラネットの通信トラフィックはVPN間接続装置を必ず経由するものとなっている。
【0007】
このため、エクストラネットの通信を行うユーザの増加および、ユーザ網とサービス網の接続の広帯域化にしたがって、多数のエクストラネットの通信トラフィック間で干渉を招くという問題点がある。
また、干渉を低下させるために十分な転送処理性能のVPN間接続装置はコストが高くなるという問題点もある。
【0008】
したがって、従来のように、エクストラネット接続サービスをVPN間接続装置によって提供する場合、エクストラネットの通信トラフィックがVPN間接続装置に集中し、VPN間通信のスループット低下およびVPN間接続装置のコスト上昇を招く。
本発明はこのような課題を解決するためのものであり、効率よくかつ柔軟にプライベート網間を接続できるプライベート網間接続方法およびゲートウェイ制御装置を提供することを目的としている。
【0009】
【課題を解決するための手段】
このような目的を達成するために、本発明にかかるプライベート網間接続方法は、複数のパケット通信網と、これらパケット通信網間を接続するとともに、自己のフィルタリングテーブルを参照してパケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行うパケット通信網間接続装置と、パケット通信網間の通信可否の規則をポリシとして管理して、パケット通信網間接続装置のフィルタリングテーブルおよびアドレス変換テーブルを制御するポリシ制御装置と、ネットワークを介して接続される各ユーザパケット通信網のゲートウェイとパケット通信網との間に接続され、ユーザパケット通信網とパケット通信網との間で通信されるパケットの転送または廃棄の制御を行う複数のアクセス制御装置と、ユーザ認証情報およびユーザパケット通信網への割当アドレスを管理し、ユーザの認証結果に基づいてアクセス制御装置での転送制御およびユーザパケット通信網へのアドレス割当を制御する接続認証制御装置とを有するプライベート網間接続システムで用いられ、各パケット通信網と、各パケット通信網に接続した各ユーザパケット通信網と、各ユーザパケット通信網に接続したユーザ端末とで構成される複数のプライベート網について、これらプライベート網間でのパケットのやり取りを実現するプライベート網間接続方法を前提としている。
【0010】
そして、このようなプライベート網間接続方法において、ネットワークを介して各ユーザパケット通信網に接続したゲートウェイと各パケット通信網のアクセス制御装置とを個別に接続し、各ゲートウェイで、当該ゲートウェイのルーティングテーブルを参照して各パケット通信網へのパケットの経路を制御し、当該ゲートウェイのフィルタリングテーブルを参照してパケットの転送または廃棄の制御を行い、当該ゲートウェイのアドレス変換テーブルを参照してパケットのアドレス変換制御を行うことにより、各パケット通信網を用いて構成される各プライベート網間でパケットをやり取りするようにしたものである。
【0011】
各ゲートウェイで用いるテーブルについては、プライベート網間接続システムに設けられたゲートウェイ制御装置で、プライベート網間接続システムから各プライベート網の構成に用いるアドレス割当情報、アドレス変換情報およびフィルタリング情報を収集し、これら情報に基づいて、ゲートウェイで用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成するようにしてもよい。
【0012】
また、本発明にかかるゲートウェイ制御装置は、複数のパケット通信網と、これらパケット通信網間を接続するとともに、自己のフィルタリングテーブルを参照してパケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行うパケット通信網間接続装置と、パケット通信網間の通信可否の規則をポリシとして管理して、パケット通信網間接続装置のフィルタリングテーブルおよびアドレス変換テーブルを制御するポリシ制御装置と、ネットワークを介して接続される各ユーザパケット通信網のゲートウェイとパケット通信網との間に接続され、ユーザパケット通信網とパケット通信網との間で通信されるパケットの転送または廃棄の制御を行う複数のアクセス制御装置と、ユーザ認証情報およびユーザパケット通信網への割当アドレスを管理し、ユーザの認証結果に基づいてアクセス制御装置での転送制御およびユーザパケット通信網へのアドレス割当を制御する接続認証制御装置とを有し、各パケット通信網と、各パケット通信網に接続した各ユーザパケット通信網と、各ユーザパケット通信網に接続したユーザ端末とで構成される複数のプライベート網について、これらプライベート網間でのパケットのやり取りを実現するプライベート網間接続システムで用いられ、各ゲートウェイを制御するゲートウェイ制御装置を前提としている。
【0013】
そして、このようなゲートウェイ制御装置において、プライベート網間接続システムから収集した、各プライベート網の構成に用いるアドレス割当情報、アドレス変換情報およびフィルタリング情報に基づいて、ネットワークを介して各パケット通信網のアクセス制御装置と個別に接続されるゲートウェイで用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成するテーブル生成部を備えるものである。
【0014】
このとき、ユーザ端末との間でHTTPプロトコルにより通信を行うWWWサーバ機能部と、このWWWサーバ機能部で受け付けた接続要求先のIPアドレスが、ユーザ端末が属していないプライベート網のIPアドレスである場合、接続要求をパケット通信網間接続要求として受け付けるパケット通信網間接続要求受付部と、このパケット通信網間接続要求受付部での要求受付に応じてテーブル生成部で生成された各テーブルを所望のゲートウェイへ設定するゲートウェイ設定部とをさらに備え、テーブル生成部で、要求受付に応じてユーザ端末が接続されているユーザパケット通信網のゲートウェイで用いる各テーブルを生成し、ゲートウェイ設定部で、各テーブルを当該ゲートウェイに対して設定するようにしてもよい。
【0015】
あるいは、ユーザ端末からのIPアドレス問い合わせに対して対応するIPアドレスを通知するDNSサーバ機能部と、このDNSサーバ機能部で受け付けた問い合わせ先のIPアドレスが、ユーザ端末が属していないプライベート網のIPアドレスである場合、問い合わせをパケット通信網間接続要求として受け付けるパケット通信網間接続要求受付部と、このパケット通信網間接続要求受付部での要求受付に応じてテーブル生成部で生成された各テーブルを所望のゲートウェイへ設定するゲートウェイ設定部とをさらに備え、テーブル生成部で、要求受付に応じてユーザ端末が接続されているユーザパケット通信網のゲートウェイで用いる各テーブルを生成し、ゲートウェイ設定部で、各テーブルを当該ゲートウェイに対して設定するようにしてもよい。
【0016】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
図1は本発明の一実施の形態にかかるプライベート網間接続システムの構成を示すブロック図である。
このプライベート網間接続システム10は、ユーザパケット通信網4,5間を接続する複数のパケット通信網1,2と、これらパケット通信網1,2を制御してユーザパケット網間のエクストラネット接続を実現するための各種制御装置と、これら制御装置間を接続する管理網3と、アクセス網6,7を介してユーザパケット通信網4,5をパケット通信網1,2側へ接続するゲートウェイ41,51から構成されている。
【0017】
ユーザパケット通信網4,5には、それぞれユーザ端末42,52が接続されており、またゲートウェイ41,51を介して、アクセス網6,7の論理的なコネクションであるPPPコネクション61〜64によって、アクセス制御装置11,21,12,22に接続されている。
また、サーバ83,84が接続されているユーザパケット通信網8は、専用接続回線80およびルータ23を介してパケット通信網2と接続されている。
【0018】
プライベート網間接続システム10には、制御装置としては、ポリシ制御装置31、ゲートウェイ制御装置32、接続認証制御装置33、パケット通信網間接続装置34、およびアクセス制御装置11,12,21,22が設けられている。
パケット通信網間接続装置34は、パケット通信網1,2を接続し、自己のフィルタリングテーブルを参照してこれらパケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行う。
【0019】
ポリシ制御装置31は、パケット通信網1,2間の通信の可否の規則をポリシとして管理して、パケット通信網間接続装置34のフィルタリングテーブルおよびアドレス変換テーブルを制御する。
アクセス制御装置11,12,21,22は、アクセス網6,7を介してプライベート網間接続システム10に接続されるユーザパケット通信網4,5のゲートウェイ41,51とパケット通信網1,2とを接続し、ユーザパケット通信網4,5とパケット通信網1,2との間でやり取りされるパケットの転送または廃棄の制御を行う。
【0020】
接続認証制御装置33は、各ユーザのユーザ認証情報、ユーザパケット通信網4,5への割当アドレスを管理し、ユーザの認証結果に基づいて、アクセス制御装置11,12,21,22の転送制御およびユーザパケット通信網4,5へのアドレス割当を行う。
ゲートウェイ制御装置32は、ポリシ制御装置31からアドレス変換情報およびフィルタリング情報を収集するとともに、接続認証制御装置33からアドレス割当情報を収集する。
そして、これら情報に基づいて、ゲートウェイ41,51で用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成し、所望のゲートウェイ41,51へ設定する。
【0021】
ユーザパケット通信網4,5に接続したゲートウェイ41,51は、パケット通信網1,2のアクセス制御装置11,12,21,22にアクセス網6,7を介して接続する。このとき、ゲートウェイ41,51では、自己のルーティングテーブルを参照してパケット通信網1,2へのパケットの経路を制御する。
また、自己のフィルタリングテーブルを参照してパケットの転送または廃棄の制御を行うとともに、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行う。
【0022】
図2は、プライベート網の構成例を示す説明図である。
ユーザ端末42,52は、パケット通信網1を用いて構成されるプライベート網Aに属しており、接続認証制御装置33によって、パケット通信網1において利用可能なIPアドレスA1,A2が個々に割り当てられている。
これらIPアドレスA1,A2は、パケット通信網1におけるパケット送受信に用いられる。IPアドレスA0はA1,A2が属するプライベート網Aのネットワークアドレスを示す。
【0023】
サーバ83,84は、パケット通信網2を用いて構成されるプライベート網Dに属しており、接続認証制御装置33によって、パケット通信網2において利用可能なIPアドレスD3,D4が割り当てられている。
これらIPアドレスD3,D4は、パケット通信網2におけるパケット送受信に用いられる。IPアドレスD0はIPアドレスD3,D4が属するプライベート網Dのネットワークアドレスを示す。
【0024】
また、プライベート網Aとプライベート網Dにおいて、アドレスはそれぞれ独立に割り当てられるため、アドレスが重複する場合、すなわち、IPアドレスA1またはIPアドレスA2とIPアドレスD3またはIPアドレスD4が同一の値となる場合があるため、ユーザ端末42,52とサーバ83,84との間のプライベート網間通信においては、アドレスの変換を行う。
この例では、ユーザ端末42,52に対して、プライベート網Dにおいて利用可能でありIPアドレスD3,D4と重複しないIPアドレスC1,C2が、接続認証制御装置33によって個別に割り当てられており、IPアドレスA1,A2とIPアドレスC1,C2とのアドレス変換規則はポリシ制御装置31が保持している。
【0025】
また、サーバ83,84に対して、プライベート網Aにおいて利用可能でありIPアドレスA1,A2と重複しないIPアドレスB3,B4が割り当てられており、IPアドレスD3,D4とIPアドレスB3,B4とのアドレス変換規則はポリシ制御装置31が保持している。
【0026】
図3にゲートウェイ制御装置32の構成例を示す。
このゲートウェイ制御装置32には、アドレス割当情報321、アドレス変換情報322、フィルタリング情報323、WWWサーバ機能部324、パケット通信網間接続要求受付部325、テーブル生成部326、ゲートウェイ設定部327が設けられている。
【0027】
ゲートウェイ制御装置32では、HTTPプロトコルを用いてユーザ端末42とデータ通信を行うことにより、ユーザ端末42からの任意のウェブページに対する接続要求をWWWサーバ機能部324で受け付ける。
そして、パケット通信網間接続要求受付部325では、その接続要求先のIPアドレスを解析し、そのIPアドレスがユーザ端末42の属していないプライベート網のIPアドレスである場合、その接続要求をパケット通信網間接続要求として受け付ける。
【0028】
テーブル生成部326では、パケット通信網間接続要求受付部325でパケット通信網間接続要求が受け付けられた場合、当該ユーザ端末42のユーザパケット通信網4が接続されているゲートウェイ41で用いるテーブルとして、ルーティングテーブル、フィルタリングテーブルおよびアドレス変換テーブルをそれぞれ生成する。そして、ゲートウェイ設定部327で、各テーブルをゲートウェイ41へ設定する。
以上の動作により、ポリシ制御装置31によって制御されるパケット通信網間接続装置34と同一の規則に基づき、ユーザ端末42から送信されたエクストラネット接続の要求に応じて、自動的にゲートウェイ41を制御し、ユーザ端末42にエクストラネット接続を提供することが可能となる。
【0029】
次に、図4を参照して、ゲートウェイ制御装置32の動作について説明する。図4はゲートウェイ制御装置32の処理動作を示す説明図である。
ゲートウェイ制御装置32は、接続認証制御装置33からアドレス割当情報321を取得するとともに、ポリシ制御装置31からアドレス変換情報322とフィルタリング情報323を取得し、これらを保持する。
テーブル生成部326では、これら情報に基づきゲートウェイで用いる各種テーブルを生成する。すなわち、アドレス割当情報321とアドレス変換情報322から、ルーティングテーブルを生成し、アドレス割当情報321、アドレス変換情報322およびフィルタリング情報323から、フィルタリングテーブルを生成し、アドレス割当情報321とアドレス変換情報322から、アドレス変換テーブルを生成する。
【0030】
ゲートウェイ制御装置32は、このようにして生成した各テーブルをゲートウェイ、例えばゲートウェイ41に設定する。テーブルの設定については、SNMP(Simple Network Management Protocol)などの一般的な管理用プロトコルを用いればよい。
以上の動作により、ゲートウェイ41は、ポリシ制御装置31によって制御されたパケット通信網間接続装置34と同一の規則に基づいた、ユーザパケット通信網4からユーザパケット通信網8へのエクストラネット接続の設定を自動的に行うことが可能となる。
【0031】
図5は、ゲートウェイ41のテーブル構成例を示す説明図である。なお、各テーブルにおいて、Prefixは、アドレス変換テーブル検索時にアドレス内で参照すべき部分を示す値である。
ルーティングテーブル411は、ユーザパケット通信網4側から受信したパケットの宛先IPアドレス(宛先IP)と、そのパケットを出力すべきアクセス網6の出力リンクとの対応関係を示すテーブルである。
【0032】
フィルタリングテーブル412は、ユーザパケット通信網4側から受信したパケットの宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)の組み合わせと、そのパケットの制御すなわち転送または廃棄との対応関係を示すテーブルである。
アドレス変換テーブル413は、ユーザパケット通信網4側から受信したパケットの宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)の組み合わせと、そのアドレス変換後の宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)との対応関係を示すテーブルである。
【0033】
ルーティングテーブル414は、パケット通信網2側(PPPコネクション62)から受信したパケットの宛先IPアドレスとアクセス網6の出力リンクとの対応関係を示すテーブルである。
フィルタリングテーブル415は、パケット通信網2側から受信したパケットの宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)の組み合わせと、そのパケットの制御すなわち転送または廃棄との対応関係を示すテーブルである。
アドレス変換テーブル416は、パケット通信網2側から受信したパケットの宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)の組み合わせと、そのアドレス変換後の宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)との対応関係を示すテーブルである。
【0034】
次に、図1、図2および図5を参照して、プライベート網間接続システム10の動作について説明する。
まず、同一のプライベート網A(ネットワークアドレスA0)に属するユーザ端末42,52間でパケットをやり取りする場合について説明する。
【0035】
IPアドレスA1を割り当てられたユーザ端末42が、IPアドレスA2を割り当てられたユーザ端末52にパケットを送信する場合、ゲートウェイ41は、ユーザ端末42からユーザパケット通信網4を介してパケットを受信し、図5のルーティングテーブル411を参照する。
そして、そのパケットの宛先IPアドレスがA2であり、その宛先IPアドレスA2が属するネットワークアドレスA0の出力リンクが61を示すことから、そのパケットの転送方路としてアクセス網6のPPPコネクション61を決定する。
【0036】
このとき、フィルタリングテーブル412およびアドレス変換テーブル413を参照するが、いずれのテーブルの設定内容にも該当しないため、パケットのフィルタリングやアドレス変換は施さずにパケットを転送する。
以上の動作により、ユーザ端末42はフィルタリングおよびアドレス変換の処理を施されずにパケット通信網1と接続され、同一プライベート網Aの端末としてユーザ端末52とパケット通信可能となる。
【0037】
次に、プライベート網Aに属するユーザ端末42と、他のプライベート網Dに属するサーバ83およびサーバ84との間でパケットをやり取りする場合について説明する。
ユーザ端末42が、サーバ83にパケットを送信する場合、サーバ83のパケット通信網1で使用可能なIPアドレスB3を送信先としてパケットを送信する。ゲートウェイ41は、ルーティングテーブル411を参照し、その宛先IPアドレスB3が属するネットワークアドレスB0に対応する転送方路としてPPPコネクション62を決定する。
【0038】
このとき、フィルタリングテーブル412を参照し、宛先IPアドレスB3および送信元IPアドレスA1の組に対応する制御が転送を示すことから、そのパケットの転送を決定する。
また、アドレス変換テーブル413を参照し、上記組に対応する変換後のアドレスとして宛先IPアドレスD3および送信元IPアドレスC1が設定されていることから、これらアドレスの書き換えを行って転送する。
【0039】
また、ユーザ端末42が、サーバ84にパケットを送信する場合、サーバ84のパケット通信網1で使用可能なIPアドレスB4を送信先としてパケットを送信する。ゲートウェイ41は、ルーティングテーブル411を参照し、宛先IPアドレスB4のネットワークアドレスB0に基づき転送方路をPPPコネクション62と決定する。
ここで、フィルタリングテーブル412を参照し、宛先IPのネットワークアドレスB0と送信元IPアドレスA0の組に対応することから、そのパケットを転送せずに廃棄する。
【0040】
一方、サーバ83がユーザ端末42にパケットを送信する場合、ユーザ端末42のパケット通信網2で使用可能なIPアドレスC1を送信先としてパケットを送信する。
ゲートウェイ41は、PPPコネクション62を介してこのパケットを受信し、ルーティングテーブル414を参照し、宛先IPアドレスC1に対応する転送方路としてユーザパケット通信網4を決定する。
【0041】
このとき、フィルタリングテーブル415を参照し、宛先IPアドレスC1および送信元IPアドレスD3の組に対応する制御が転送を示すことから、そのパケットの転送を決定する。
また、アドレス変換テーブル416を参照し、上記組に対応する変換後のアドレスとして宛先IPアドレスA1および送信元IPアドレスB3が設定されていることから、これらアドレスの書き換えを行って転送する。
【0042】
また、サーバ84がユーザ端末42にパケットを送信する場合、ユーザ端末42のパケット通信網2で使用可能なIPアドレスC1を送信先としてパケットを送信する。
ゲートウェイ41は、PPPコネクション62を介してこのパケットを受信し、ルーティングテーブル414を参照し、宛先IPアドレスC1に基づき転送方路をユーザパケット通信網4と決定するが、フィルタリングテーブル415を参照し、宛先IPのネットワークアドレスC0と送信元IPアドレスD0の組に対応することから、そのパケットを廃棄する。
【0043】
以上の動作により、ユーザ端末42は、パケット通信網間接続装置34を経由することなく、ユーザパケット通信網8とエクストラネット通信することが可能であり、ユーザ端末42とサーバ83の間のパケット通信は許可され、ユーザ端末42とサーバ84の間のパケット通信は拒絶される。
なお、ゲートウェイ51についても前述と同様のテーブル構成を有しており、前述と同様の処理動作が行われる。
【0044】
このように、各ユーザパケット通信網のゲートウェイと各パケット通信網のアクセス制御装置とを個別に接続し、各ゲートウェイにおいて、当該ゲートウェイのルーティングテーブルを参照して各パケット通信網へのパケットの経路を制御し、当該ゲートウェイのフィルタリングテーブルを参照してパケットの転送または廃棄の制御を行い、当該ゲートウェイのアドレス変換テーブルを参照してパケットのアドレス変換制御を行うことにより、各パケット通信網を用いて構成される各プライベート網間でパケットをやり取りするようにしたので、パケット通信網間接続装置を用いることなく、効率よくかつ柔軟にプライベート網間を接続できる。
したがって、従来のようにパケット通信網間接続装置へエクストラネットの通信トラフィックが集中せずに、各ゲートウェイへ分散されるため、プライベート網間通信のスループット低下およびプライベート網間接続装置のコスト上昇を回避できる。
【0045】
また、従来の仮想プライベートネットワーク間接続方法では、ユーザパケット通信網は接続する際に異なるアドレスを割り当てられるため、プライベート網間のエクストラネット通信のルーティングテーブル、フィルタリングテーブル、アドレス変換テーブルは接続する毎に異なり、パケット通信網間接続装置における集中的な接続制御を行う従来のポリシサーバでは制御できない。
したがって、エクストラネット通信の制御をユーザパケット通信網のゲートウェイにおいて制御できない。
これに対して、本実施の形態によれば、接続認証制御装置およびポリシ制御装置からアドレス割当情報、ポリシ情報等を取得し、ゲートウェイに設定する各テーブルを生成するようにしたため、上記のような問題は発生しない。
【0046】
図6にゲートウェイ制御装置32の他の構成例を示す。
このゲートウェイ制御装置32には、図5のWWWサーバ機能部324に代えてDNS(Domain Name System)サーバ機能部328が設けられているほかは、前述のゲートウェイ制御装置と同様である。
ゲートウェイ制御装置32では、ユーザ端末42とデータ通信を行うことにより、ユーザ端末42からのIPアドレス問い合わせをDNSサーバ機能部328で受け付ける。
このとき、パケット通信網間接続要求受付部325では、その問い合わせ先のIPアドレスを解析し、ユーザ端末42が属していないプライベート網のIPアドレスである場合、その問い合わせをパケット通信網間接続要求として受け付ける。
【0047】
テーブル生成部326では、パケット通信網間接続要求受付部325でパケット通信網間接続要求が受け付けられた場合、図3に示したような、当該ユーザ端末42のユーザパケット通信網4が接続されているゲートウェイ41で用いるテーブルとして、ルーティングテーブル、フィルタリングテーブルおよびアドレス変換テーブルをそれぞれ生成する。そして、ゲートウェイ設定部327で、各テーブルをゲートウェイ41へ設定する。
以上の動作により、ポリシ制御装置31によって制御されるパケット通信網間接続装置34と同一の規則に基づき、ユーザ端末42から送信されたエクストラネット接続の要求に応じて、自動的にゲートウェイ41を制御し、ユーザ端末42にエクストラネット接続を提供することが可能となる。
【0048】
従来のプライベート網間接続方法では、プライベート網間のエクストラネット通信に必要なルーティングテーブル、フィルタリングテーブル、アドレス変換テーブルを、ユーザのエクストラネット通信を要求する手続きを基してに生成する。
したがって、ユーザパケット通信網が複数のプライベート網に接続している場合においても、エクストラネット通信を行うために接続の手続きが必要であり、ユーザの利便性が低下する。
【0049】
本実施の形態では、上記のように、ゲートウェイ制御装置において、WWWサーバ機能部やDNSサーバ機能部とパケット通信網間接続要求受付部とを連携させ、パケット通信網間接続要求の検出に応じて、ゲートウェイで用いるテーブルを生成して設定するようにした。
これにより、その通信に必要なプライベート網間のエクストラネット接続が、ユーザによる、エクストラネット接続のための特別な設定要求操作を必要とすることなく、ゲートウェイ制御装置のWWWサーバ機能部やDNSサーバ機能へアクセスするという極めて容易な作業により実現できる。
【0050】
なお、前述した実施の形態では、VPNとして伝送プロトコルをIPに限定したIP−VPNを例に説明したが、これに限定されるものではなく、例えばLAN用プロトコルを利用できるVLANなど、各種のVPNに適用でき、同様の作用効果が得られる。
また、ゲートウェイ41,51と各アクセス制御装置11〜14を接続する際、各アクセス網6,7にPPP(Point−to−Point Protocol)コネクション61〜64を介して接続する場合を例として説明したが、これに限定されるものではなく、例えばイーサネット(登録商標)などVLANで用いられるLAN用プロトコルを用いて接続することもできる。
また、アクセス制御装置11,12を論理的機能として、同一の装置として構成することもできる。
【0051】
【発明の効果】
以上説明したように、本発明は、ネットワークを介して各ユーザパケット通信網のゲートウェイと各パケット通信網のアクセス制御装置とを個別に接続し、各ゲートウェイで、当該ゲートウェイのルーティングテーブルを参照して各パケット通信網へのパケットの経路を制御し、当該ゲートウェイのフィルタリングテーブルを参照してパケットの転送または廃棄の制御を行い、当該ゲートウェイのアドレス変換テーブルを参照してパケットのアドレス変換制御を行うことにより、各パケット通信網を用いて構成される各プライベート網間でパケットをやり取りするようにしたので、パケット通信網間を接続するパケット通信網間接続装置を経由せずにエクストラネット通信を行うことができ、効率よくかつ柔軟にプライベート網間を接続できる。
したがって、従来のようにパケット通信網間接続装置へエクストラネットの通信トラフィックが集中せずに、各ゲートウェイへ分散されるため、プライベート網間通信のスループット低下およびプライベート網間接続装置のコスト上昇を回避できる。
【0052】
また、ゲートウェイ制御装置において、WWWサーバ機能部やDNSサーバ機能部とパケット通信網間接続要求受付部とを連携させ、パケット通信網間接続要求の検出に応じて、ゲートウェイで用いるテーブルを生成して設定するようにしたので、その通信に必要なVPN間のエクストラネット接続が、ユーザによる、エクストラネット接続のための特別な設定要求操作を必要とすることなく、ゲートウェイ制御装置のWWWサーバ機能部やDNSサーバ機能へアクセスするという極めて容易な作業により実現できる。
【図面の簡単な説明】
【図1】本発明の一実施の形態にかかるプライベート網間接続システムを示すブロック図である。
【図2】プライベート網の構成例である。
【図3】ゲートウェイ制御装置の構成例である。
【図4】ゲートウェイ制御装置の処理動作を示す説明図である。
【図5】ゲートウェイのテーブル構成例である。
【図6】ゲートウェイ制御装置の他の構成例である。
【符号の説明】
1,2…パケット通信網、A,D…プライベート網、10…プライベート網間接続システム、11,12,21,22…アクセス制御装置、23…ルータ、3…管理網、31…ポリシ制御装置、32…ゲートウェイ制御装置、33…接続認証制御装置、34…パケット通信網間接続装置、4,5,8…ユーザパケット通信網、41,51…ゲートウェイ、42,52…ユーザ端末、6,7…アクセス網、61,62,63,64…PPPコネクション、80…専用接続回線、83,84…サーバ、321…アドレス割当情報、322…アドレス変換情報、323…フィルタリング情報、324…WWWサーバ機能部、325…パケット通信網間接続要求受付部、326…テーブル生成部、327…ゲートウェイ設定部、328…DNSサーバ機能部、411,414…ルーティングテーブル、412,415…フィルタリングテーブル、413,416…アドレス変換テーブル。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a connection method between private networks and a gateway control device, and relates to a connection between private networks physically configured in a closed area and a method such as IP-VPN (IP Virtual Private Network) and VLAN (Virtual Local Area Network). The present invention relates to a private network connection method and a gateway control device for realizing a connection between logically configured virtual private networks.
[0002]
[Prior art]
At present, in a public network, a service of a virtual private network (hereinafter, referred to as a VPN: Virtual Private Network) using a public network like a leased line communication network is provided.
Since this VPN is provided as a service cheaper than a dedicated line system in order to multiplex communication of each user and improve accommodation efficiency, many users including companies have introduced the VPN.
[0003]
Such a VPN has been attracting much attention because there is an example of constructing a VPN using a wide area packet communication network such as a provider communication network or the Internet, that is, a so-called wide area intranet, and a secure network can be easily constructed.
In a VPN using a wide area packet communication network, a service called extranet connection is also provided in order to realize communication between individual VPNs.
In this extranet connection, packet communication between VPNs is realized by performing packet control such as packet filtering and address conversion.
[0004]
Conventionally, as a system for realizing such an extranet connection, a private network connection system for managing each VPN is constructed, and the above-described packet control is performed by a VPN connection device installed in the private network connection system. A device that performs intensive control has been proposed (for example, see Japanese Patent Application Laid-Open No. 2002-94508).
[0005]
According to this, regarding the setting of the inter-VPN connection device, the connection rule between the VPNs is managed by the policy server as a policy, and the policy server sets the control setting of the inter-VPN connection device in accordance with the contract information of the user or the connection request. Are automatically generated, and a packet filtering table and an address conversion table of the inter-VPN connection device are set.
Furthermore, regarding connection of the user packet communication network to the VPN, a RADIUS (Remote Authentication Dial In User Service) server manages user authentication information and address assignment to the user, authenticates the user, and performs gateway of the user packet communication network. And a connection with the VPN.
[0006]
[Problems to be solved by the invention]
However, such a conventional connection method between private networks has a problem that private networks cannot be connected efficiently and flexibly.
That is, in the conventional private network connection method, extranet communication traffic between any private networks included in the system always passes through the VPN connection device.
[0007]
For this reason, there is a problem that interference occurs between a large number of extranet communication traffics as the number of users performing extranet communication increases and the bandwidth of the connection between the user network and the service network increases.
In addition, there is a problem in that an inter-VPN connection device having sufficient transfer processing performance to reduce interference increases costs.
[0008]
Therefore, when the extranet connection service is provided by the inter-VPN connection device as in the related art, the extranet communication traffic concentrates on the inter-VPN connection device, and the throughput of the inter-VPN communication decreases and the cost of the inter-VPN connection device increases. Invite.
An object of the present invention is to solve such a problem, and an object of the present invention is to provide a private network connection method and a gateway control device capable of efficiently and flexibly connecting private networks.
[0009]
[Means for Solving the Problems]
In order to achieve such an object, a method for connecting private networks according to the present invention comprises connecting a plurality of packet communication networks, and connecting these packet communication networks, and referring to a filtering table of the packet communication network. A packet communication network connection device that controls the transfer or discarding of packets communicated by using the own address translation table and performs packet address translation control, and the rules of whether communication between packet communication networks is possible A policy control device that manages and controls a filtering table and an address translation table of a packet communication network connection device, and is connected between a packet communication network and a gateway of each user packet communication network connected via the network; Transfer of packets communicated between the user packet communication network and the packet communication network Or a plurality of access control devices for controlling discarding, and managing user authentication information and addresses allocated to the user packet communication network, and performing transfer control in the access control device and transmission to the user packet communication network based on a result of user authentication. Used in a private network connection system having a connection authentication control device for controlling the address allocation of each packet communication network, each user packet communication network connected to each packet communication network, and each user packet communication network For a plurality of private networks composed of user terminals, it is assumed that a private network connection method for realizing packet exchange between these private networks is assumed.
[0010]
In such a private network connection method, a gateway connected to each user packet communication network via a network and an access control device of each packet communication network are individually connected, and each gateway uses a routing table of the gateway. , Control the route of the packet to each packet communication network, refer to the filtering table of the gateway, control the transfer or discard of the packet, and refer to the address translation table of the gateway to translate the address of the packet. By performing the control, packets are exchanged between the private networks configured using the respective packet communication networks.
[0011]
Regarding the table used in each gateway, the gateway control device provided in the private network connection system collects address allocation information, address conversion information, and filtering information used for the configuration of each private network from the private network connection system. Based on the information, a routing table, a filter link table, and an address conversion table used in the gateway may be generated.
[0012]
In addition, the gateway control device according to the present invention connects a plurality of packet communication networks and these packet communication networks, and refers to its own filtering table to transfer or discard packets communicated between the packet communication networks. A packet communication network connecting device that performs control and refers to its own address conversion table to perform address conversion control of packets, and a packet communication network connecting device that manages, as a policy, a rule of whether or not communication between packet communication networks is possible. A policy control device for controlling a filtering table and an address translation table of the user packet communication network and a packet communication network connected via a network. Control the forwarding or discarding of packets communicated between Access control device, and connection authentication control for managing user authentication information and an address assigned to a user packet communication network, and controlling transfer control in the access control device and address assignment to the user packet communication network based on a user authentication result. A plurality of private networks each comprising a packet communication network, each user packet communication network connected to each packet communication network, and user terminals connected to each user packet communication network. It is used in a private network connection system that realizes exchange of packets between them, and is premised on a gateway control device that controls each gateway.
[0013]
In such a gateway control device, access to each packet communication network via the network is performed based on address allocation information, address conversion information, and filtering information used for the configuration of each private network collected from the private network connection system. It is provided with a table generation unit that generates a routing table, a filter link table, and an address conversion table used in a gateway individually connected to the control device.
[0014]
At this time, the WWW server function unit that communicates with the user terminal by the HTTP protocol, and the IP address of the connection request destination accepted by the WWW server function unit is the IP address of the private network to which the user terminal does not belong. In this case, the packet communication network connection request receiving unit that receives the connection request as a packet communication network connection request, and the tables generated by the table generation unit in response to the request reception by the packet communication network connection request receiving unit are desired. A gateway setting unit for setting a gateway of the user packet communication network to which the user terminal is connected in response to the request reception in the table generation unit. A table may be set for the gateway.
[0015]
Alternatively, a DNS server function unit for notifying an IP address corresponding to an IP address inquiry from a user terminal, and an IP address of an inquiry destination accepted by the DNS server function unit may be an IP address of a private network to which the user terminal does not belong. If the address is an address, an inter-packet communication network connection request accepting unit that accepts an inquiry as an inter-packet communication network connection request, and each table generated by the table generating unit in response to the request received by the inter-packet communication network connection request accepting unit. And a gateway setting unit for setting a desired gateway to a desired gateway, wherein the table generation unit generates each table used in a gateway of the user packet communication network to which the user terminal is connected in response to the request reception, and the gateway setting unit , Set each table for the gateway It may be.
[0016]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram showing a configuration of a private network connection system according to one embodiment of the present invention.
The private network connection system 10 includes a plurality of packet communication networks 1 and 2 connecting the user packet communication networks 4 and 5, and controls the packet communication networks 1 and 2 to establish an extranet connection between the user packet networks. Various control devices for realizing the control, a management network 3 connecting these control devices, and a gateway 41 connecting the user packet communication networks 4 and 5 to the packet communication networks 1 and 2 via access networks 6 and 7, 51.
[0017]
User terminals 42 and 52 are connected to the user packet communication networks 4 and 5, respectively, and via the gateways 41 and 51, PPP connections 61 to 64 which are logical connections of the access networks 6 and 7 are used. It is connected to the access control devices 11, 21, 12, 22.
The user packet communication network 8 to which the servers 83 and 84 are connected is connected to the packet communication network 2 via the dedicated connection line 80 and the router 23.
[0018]
In the private network connection system 10, the control devices include a policy control device 31, a gateway control device 32, a connection authentication control device 33, a packet communication network connection device 34, and access control devices 11, 12, 21, 22. Is provided.
The packet communication network connecting device 34 connects the packet communication networks 1 and 2, refers to its own filtering table, controls the transfer or discard of packets communicated between these packet communication networks, and converts its own address conversion. The address conversion of the packet is controlled with reference to the table.
[0019]
The policy control device 31 manages a rule of whether communication between the packet communication networks 1 and 2 is possible as a policy and controls a filtering table and an address conversion table of the inter-packet communication network connecting device 34.
The access control devices 11, 12, 21, 22 are connected to the gateways 41, 51 of the user packet communication networks 4, 5 connected to the private network connection system 10 via the access networks 6, 7, and the packet communication networks 1, 2. To control transfer or discard of packets exchanged between the user packet communication networks 4 and 5 and the packet communication networks 1 and 2.
[0020]
The connection authentication control device 33 manages user authentication information of each user and addresses assigned to the user packet communication networks 4 and 5, and controls transfer of the access control devices 11, 12, 21 and 22 based on the user authentication result. And assigns addresses to the user packet communication networks 4 and 5.
The gateway control device 32 collects address conversion information and filtering information from the policy control device 31 and collects address assignment information from the connection authentication control device 33.
Then, based on the information, a routing table, a filter link table, and an address conversion table used by the gateways 41 and 51 are generated and set to desired gateways 41 and 51.
[0021]
The gateways 41 and 51 connected to the user packet communication networks 4 and 5 connect to the access control devices 11, 12, 21 and 22 of the packet communication networks 1 and 2 via the access networks 6 and 7. At this time, the gateways 41 and 51 control the route of the packet to the packet communication networks 1 and 2 with reference to their own routing tables.
In addition, control of forwarding or discarding of packets is performed with reference to its own filtering table, and address conversion control of packets is performed with reference to its own address conversion table.
[0022]
FIG. 2 is an explanatory diagram illustrating a configuration example of a private network.
The user terminals 42 and 52 belong to the private network A configured by using the packet communication network 1, and the connection authentication control device 33 individually assigns IP addresses A1 and A2 that can be used in the packet communication network 1. ing.
These IP addresses A1 and A2 are used for packet transmission and reception in the packet communication network 1. The IP address A0 indicates the network address of the private network A to which A1 and A2 belong.
[0023]
The servers 83 and 84 belong to a private network D configured using the packet communication network 2, and are assigned IP addresses D 3 and D 4 that can be used in the packet communication network 2 by the connection authentication control device 33.
These IP addresses D3 and D4 are used for packet transmission and reception in the packet communication network 2. The IP address D0 indicates the network address of the private network D to which the IP addresses D3 and D4 belong.
[0024]
Further, in the private network A and the private network D, the addresses are independently assigned, and therefore, the addresses are duplicated, that is, the IP address A1 or the IP address A2 and the IP address D3 or the IP address D4 have the same value. Therefore, address conversion is performed in the private network communication between the user terminals 42 and 52 and the servers 83 and 84.
In this example, IP addresses C1 and C2 that are available in the private network D and do not overlap with the IP addresses D3 and D4 are individually assigned to the user terminals 42 and 52 by the connection authentication control device 33. The address conversion rules between the addresses A1 and A2 and the IP addresses C1 and C2 are held by the policy control device 31.
[0025]
Further, IP addresses B3 and B4 that are available in the private network A and do not overlap with the IP addresses A1 and A2 are assigned to the servers 83 and 84, and the IP addresses D3 and D4 and the IP addresses B3 and B4 are The address conversion rule is held by the policy control device 31.
[0026]
FIG. 3 shows a configuration example of the gateway control device 32.
The gateway control device 32 includes address assignment information 321, address conversion information 322, filtering information 323, a WWW server function unit 324, a packet communication network connection request reception unit 325, a table generation unit 326, and a gateway setting unit 327. ing.
[0027]
In the gateway control device 32, the WWW server function unit 324 receives a connection request for an arbitrary web page from the user terminal 42 by performing data communication with the user terminal 42 using the HTTP protocol.
Then, the packet communication network connection request receiving unit 325 analyzes the IP address of the connection request destination, and if the IP address is an IP address of a private network to which the user terminal 42 does not belong, the connection request is transmitted by packet communication. Accepted as a network connection request.
[0028]
When the inter-packet communication network connection request receiving unit 325 receives the inter-packet communication network connection request, the table generation unit 326 stores a table used by the gateway 41 of the user terminal 42 to which the user packet communication network 4 is connected. A routing table, a filtering table, and an address conversion table are generated. Then, the gateway setting unit 327 sets each table in the gateway 41.
With the above operation, the gateway 41 is automatically controlled in response to the extranet connection request transmitted from the user terminal 42 based on the same rules as the packet communication network connection device 34 controlled by the policy control device 31. Then, an extranet connection can be provided to the user terminal 42.
[0029]
Next, the operation of the gateway control device 32 will be described with reference to FIG. FIG. 4 is an explanatory diagram showing the processing operation of the gateway control device 32.
The gateway control device 32 acquires the address assignment information 321 from the connection authentication control device 33, acquires the address conversion information 322 and the filtering information 323 from the policy control device 31, and holds them.
The table generation unit 326 generates various tables used in the gateway based on the information. That is, a routing table is generated from the address allocation information 321 and the address conversion information 322, a filtering table is generated from the address allocation information 321, the address conversion information 322, and the filtering information 323, and the routing table is generated from the address allocation information 321 and the address conversion information 322. , Generate an address conversion table.
[0030]
The gateway control device 32 sets each table generated in this manner in a gateway, for example, the gateway 41. A general management protocol such as SNMP (Simple Network Management Protocol) may be used for setting the table.
By the above operation, the gateway 41 sets the extranet connection from the user packet communication network 4 to the user packet communication network 8 based on the same rule as the packet communication network connection device 34 controlled by the policy control device 31. Can be automatically performed.
[0031]
FIG. 5 is an explanatory diagram showing an example of a table configuration of the gateway 41. In each table, Prefix is a value indicating a part to be referred to in the address when searching the address conversion table.
The routing table 411 is a table showing a correspondence relationship between a destination IP address (destination IP) of a packet received from the user packet communication network 4 and an output link of the access network 6 to which the packet is to be output.
[0032]
The filtering table 412 indicates a correspondence relationship between a combination of a destination IP address (destination IP) and a source IP address (source IP) of a packet received from the user packet communication network 4 and control of the packet, that is, transfer or discard. It is a table shown.
The address conversion table 413 includes a combination of a destination IP address (destination IP) and a source IP address (source IP) of a packet received from the user packet communication network 4 and a destination IP address (destination IP) after the address conversion. 6 is a table showing a correspondence relationship between the IP address and a transmission source IP address (transmission source IP).
[0033]
The routing table 414 is a table showing the correspondence between the destination IP address of the packet received from the packet communication network 2 (PPP connection 62) and the output link of the access network 6.
The filtering table 415 indicates a correspondence relationship between a combination of a destination IP address (destination IP) and a source IP address (source IP) of a packet received from the packet communication network 2 and control of the packet, that is, transfer or discard. It is a table.
The address translation table 416 includes a combination of a destination IP address (destination IP) and a source IP address (source IP) of a packet received from the packet communication network 2, a destination IP address (destination IP) after the address translation, and 6 is a table showing a correspondence relationship with a transmission source IP address (transmission source IP).
[0034]
Next, the operation of the private network connection system 10 will be described with reference to FIG. 1, FIG. 2 and FIG.
First, a case where packets are exchanged between the user terminals 42 and 52 belonging to the same private network A (network address A0) will be described.
[0035]
When the user terminal 42 assigned the IP address A1 transmits a packet to the user terminal 52 assigned the IP address A2, the gateway 41 receives the packet from the user terminal 42 via the user packet communication network 4, Refer to the routing table 411 in FIG.
Since the destination IP address of the packet is A2 and the output link of the network address A0 to which the destination IP address A2 belongs indicates 61, the PPP connection 61 of the access network 6 is determined as the transfer route of the packet. .
[0036]
At this time, although the filtering table 412 and the address conversion table 413 are referred to, the packet does not correspond to the setting contents of any of the tables, so that the packet is transferred without filtering or address conversion of the packet.
By the above operation, the user terminal 42 is connected to the packet communication network 1 without performing the filtering and address conversion processing, and can perform packet communication with the user terminal 52 as a terminal of the same private network A.
[0037]
Next, a case where packets are exchanged between the user terminal 42 belonging to the private network A and the servers 83 and 84 belonging to another private network D will be described.
When transmitting a packet to the server 83, the user terminal 42 transmits the packet with the IP address B3 available in the packet communication network 1 of the server 83 as a destination. The gateway 41 refers to the routing table 411, and determines the PPP connection 62 as a transfer route corresponding to the network address B0 to which the destination IP address B3 belongs.
[0038]
At this time, referring to the filtering table 412, since the control corresponding to the set of the destination IP address B3 and the source IP address A1 indicates the transfer, the transfer of the packet is determined.
Also, referring to the address conversion table 413, the destination IP address D3 and the source IP address C1 are set as the converted addresses corresponding to the above set, so that these addresses are rewritten and transferred.
[0039]
Further, when transmitting a packet to the server 84, the user terminal 42 transmits the packet with the IP address B4 available in the packet communication network 1 of the server 84 as a destination. The gateway 41 refers to the routing table 411 and determines the transfer route as the PPP connection 62 based on the network address B0 of the destination IP address B4.
Here, referring to the filtering table 412, since the packet corresponds to the combination of the network address B0 of the destination IP and the source IP address A0, the packet is discarded without being transferred.
[0040]
On the other hand, when the server 83 transmits a packet to the user terminal 42, the server 83 transmits the packet to the IP address C1 of the user terminal 42 that can be used in the packet communication network 2 as a transmission destination.
The gateway 41 receives this packet via the PPP connection 62, refers to the routing table 414, and determines the user packet communication network 4 as a transfer route corresponding to the destination IP address C1.
[0041]
At this time, referring to the filtering table 415, since the control corresponding to the set of the destination IP address C1 and the source IP address D3 indicates the transfer, the transfer of the packet is determined.
Also, referring to the address conversion table 416, the destination IP address A1 and the source IP address B3 are set as converted addresses corresponding to the above set, so that these addresses are rewritten and transferred.
[0042]
When the server 84 transmits a packet to the user terminal 42, the server 84 transmits the packet with the IP address C1 of the user terminal 42 usable in the packet communication network 2 as a transmission destination.
The gateway 41 receives this packet via the PPP connection 62, refers to the routing table 414, determines the transfer route as the user packet communication network 4 based on the destination IP address C1, but refers to the filtering table 415, The packet is discarded because it corresponds to the set of the network address C0 of the destination IP and the source IP address D0.
[0043]
By the above operation, the user terminal 42 can perform extranet communication with the user packet communication network 8 without passing through the inter-packet communication network connecting device 34, and perform packet communication between the user terminal 42 and the server 83. Is permitted, and packet communication between the user terminal 42 and the server 84 is denied.
The gateway 51 also has the same table configuration as described above, and performs the same processing operation as described above.
[0044]
In this way, the gateway of each user packet communication network and the access control device of each packet communication network are individually connected, and each gateway refers to the routing table of the gateway to determine the route of the packet to each packet communication network. Control by referring to the filtering table of the gateway, and controlling the transfer or discarding of packets, and by referring to the address conversion table of the gateway, performing address conversion control of the packet. Since packets are exchanged between the private networks, the private networks can be efficiently and flexibly connected without using a packet communication network connection device.
Therefore, the communication traffic of the extranet is not concentrated on the packet communication network connecting device as in the prior art, but is distributed to the respective gateways, thereby avoiding a decrease in the throughput of the private network communication and an increase in the cost of the private network connecting device. it can.
[0045]
Further, in the conventional connection method between virtual private networks, since a different address is assigned to the user packet communication network at the time of connection, the routing table, the filtering table, and the address conversion table of the extranet communication between the private networks are connected each time the connection is made. Unlike the conventional policy server, which performs centralized connection control in the packet communication network connection device, the control cannot be performed.
Therefore, control of extranet communication cannot be controlled at the gateway of the user packet communication network.
On the other hand, according to the present embodiment, address assignment information, policy information, and the like are obtained from the connection authentication control device and the policy control device, and each table to be set in the gateway is generated. No problem.
[0046]
FIG. 6 shows another configuration example of the gateway control device 32.
This gateway control device 32 is the same as the above-described gateway control device except that a DNS (Domain Name System) server function unit 328 is provided instead of the WWW server function unit 324 in FIG.
In the gateway control device 32, the DNS server function unit 328 accepts an IP address inquiry from the user terminal 42 by performing data communication with the user terminal 42.
At this time, the packet communication network connection request receiving unit 325 analyzes the IP address of the inquiry destination, and if the IP address is of a private network to which the user terminal 42 does not belong, the inquiry is used as a packet communication network connection request. Accept.
[0047]
In the table generation unit 326, when the packet communication network connection request receiving unit 325 receives the packet communication network connection request, the user packet communication network 4 of the user terminal 42 is connected as shown in FIG. A routing table, a filtering table, and an address conversion table are respectively generated as tables used by the gateway 41. Then, the gateway setting unit 327 sets each table in the gateway 41.
With the above operation, the gateway 41 is automatically controlled in response to the extranet connection request transmitted from the user terminal 42 based on the same rules as the packet communication network connection device 34 controlled by the policy control device 31. Then, an extranet connection can be provided to the user terminal 42.
[0048]
In the conventional connection method between private networks, a routing table, a filtering table, and an address conversion table required for extranet communication between private networks are generated based on a procedure for requesting extranet communication by a user.
Therefore, even when the user packet communication network is connected to a plurality of private networks, a connection procedure is required to perform extranet communication, and user convenience is reduced.
[0049]
In the present embodiment, as described above, in the gateway control device, the WWW server function unit or the DNS server function unit and the packet communication network connection request receiving unit are linked, and in response to the detection of the packet communication network connection request, , A table used by the gateway is generated and set.
Thus, the extranet connection between the private networks required for the communication can be performed without requiring the user to perform a special setting request operation for the extranet connection, without requiring the user to perform a special setting request operation for the extranet connection. It can be realized by a very easy operation of accessing to.
[0050]
In the above-described embodiment, an IP-VPN in which the transmission protocol is limited to IP has been described as an example of the VPN. However, the present invention is not limited to this. For example, various VPNs such as a VLAN that can use a LAN protocol can be used. And the same operation and effect can be obtained.
In addition, when the gateways 41 and 51 are connected to the access control devices 11 to 14, a case has been described as an example in which the access networks 6 and 7 are connected to the access networks 6 and 7 via PPP (Point-to-Point Protocol) connections 61 to 64. However, the connection is not limited to this, and connection can be made using a LAN protocol used in VLAN such as Ethernet (registered trademark).
Further, the access control devices 11 and 12 can be configured as the same device as logical functions.
[0051]
【The invention's effect】
As described above, according to the present invention, the gateway of each user packet communication network and the access control device of each packet communication network are individually connected via a network, and each gateway refers to the routing table of the gateway. To control the route of a packet to each packet communication network, perform forwarding or discarding of a packet by referring to the filtering table of the gateway, and perform address translation control of the packet by referring to the address translation table of the gateway. Packets are exchanged between each private network configured using each packet communication network, so that extranet communication can be performed without passing through the packet communication network connection device that connects the packet communication networks. Can connect private networks efficiently and flexibly. .
Therefore, the communication traffic of the extranet is not concentrated on the packet communication network connecting device as in the prior art, but is distributed to the respective gateways, thereby avoiding a decrease in the throughput of the private network communication and an increase in the cost of the private network connecting device. it can.
[0052]
Further, in the gateway control device, the WWW server function unit or the DNS server function unit and the packet communication network connection request receiving unit are linked to generate a table used by the gateway in response to detection of the packet communication network connection request. Since the setting is performed, the extranet connection between the VPNs required for the communication can be performed without requiring the user to perform a special setting request operation for the extranet connection, and the WWW server function unit of the gateway control device. This can be realized by a very easy operation of accessing the DNS server function.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a private network connection system according to an embodiment of the present invention.
FIG. 2 is a configuration example of a private network.
FIG. 3 is a configuration example of a gateway control device.
FIG. 4 is an explanatory diagram showing a processing operation of the gateway control device.
FIG. 5 is a table configuration example of a gateway.
FIG. 6 is another configuration example of the gateway control device.
[Explanation of symbols]
1, 2 ... packet communication network, A, D ... private network, 10 ... private network connection system, 11, 12, 21, 22 ... access control device, 23 ... router, 3 ... management network, 31 ... policy control device, 32: gateway control device, 33: connection authentication control device, 34: connection device between packet communication networks, 4, 5, 8 ... user packet communication network, 41, 51 ... gateway, 42, 52 ... user terminal, 6, 7 ... Access network, 61, 62, 63, 64 ... PPP connection, 80 ... dedicated connection line, 83, 84 ... server, 321 ... address assignment information, 322 ... address conversion information, 323 ... filtering information, 324 ... WWW server function unit, 325: Packet communication network connection request receiving unit, 326: Table generation unit, 327: Gateway setting unit, 328: DNS server Ability portions, 411 and 414 ... routing tables, 412 and 415 ... filtering table, 413, 416 ... address conversion table.

Claims (5)

複数のパケット通信網と、
これらパケット通信網間を接続するとともに、自己のフィルタリングテーブルを参照して前記パケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行うパケット通信網間接続装置と、
前記パケット通信網間の通信可否の規則をポリシとして管理して、前記パケット通信網間接続装置のフィルタリングテーブルおよびアドレス変換テーブルを制御するポリシ制御装置と、
ネットワークを介して接続される各ユーザパケット通信網のゲートウェイと前記パケット通信網との間に接続され、前記ユーザパケット通信網と前記パケット通信網との間で通信されるパケットの転送または廃棄の制御を行う複数のアクセス制御装置と、
ユーザ認証情報および前記ユーザパケット通信網への割当アドレスを管理し、ユーザの認証結果に基づいて前記アクセス制御装置での転送制御および前記ユーザパケット通信網へのアドレス割当を制御する接続認証制御装置とを有するプライベート網間接続システムで用いられ、
前記各パケット通信網と、前記各パケット通信網に接続した前記各ユーザパケット通信網と、前記各ユーザパケット通信網に接続したユーザ端末とで構成される複数のプライベート網について、これらプライベート網間でのパケットのやり取りを実現するプライベート網間接続方法であって、
前記ネットワークを介して前記各ユーザパケット通信網に接続したゲートウェイと前記各パケット通信網の前記アクセス制御装置とを個別に接続し、
前記各ゲートウェイで、
当該ゲートウェイのルーティングテーブルを参照して前記各パケット通信網へのパケットの経路を制御し、
当該ゲートウェイのフィルタリングテーブルを参照して前記パケットの転送または廃棄の制御を行い、
当該ゲートウェイのアドレス変換テーブルを参照して前記パケットのアドレス変換制御を行うことにより、
前記各パケット通信網を用いて構成される各プライベート網間でパケットをやり取りすることを特徴とするプライベート網間接続方法。A plurality of packet communication networks;
The connection between these packet communication networks is performed, the transfer or discarding of the packet communicated between the packet communication networks is controlled by referring to the own filtering table, and the address conversion of the packet is performed by referring to the own address conversion table. An inter-packet communication network connecting device for controlling,
A policy control device that manages a rule as to whether communication is possible between the packet communication networks as a policy and controls a filtering table and an address translation table of the packet communication network connection device;
Control of transfer or discarding of a packet connected between a gateway of each user packet communication network connected via a network and the packet communication network and communicated between the user packet communication network and the packet communication network A plurality of access control devices for performing
A connection authentication control device that manages user authentication information and an assigned address to the user packet communication network, and controls transfer control in the access control device and address assignment to the user packet communication network based on a user authentication result; Used in a private network connection system having
Regarding a plurality of private networks composed of the respective packet communication networks, the respective user packet communication networks connected to the respective packet communication networks, and the user terminals connected to the respective user packet communication networks, between these private networks, A private network connection method for realizing the exchange of packets,
A gateway connected to each user packet communication network via the network and the access control device of each packet communication network are individually connected,
At each of the gateways,
Controlling the route of the packet to each of the packet communication networks with reference to the routing table of the gateway;
Controlling the forwarding or discarding of the packet by referring to the filtering table of the gateway,
By performing address translation control of the packet with reference to the address translation table of the gateway,
A method for connecting private networks, comprising exchanging packets between private networks configured using the packet communication networks. 請求項1に記載のプライベート網間接続方法において、
前記プライベート網間接続システムに設けられたゲートウェイ制御装置で、
前記プライベート網間接続システムから前記各プライベート網の構成に用いるアドレス割当情報、アドレス変換情報およびフィルタリング情報を収集し、
これら情報に基づいて、前記ゲートウェイで用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成することを特徴とするプライベート網間接続方法。The private network connection method according to claim 1,
A gateway control device provided in the private network connection system,
Collecting address assignment information, address translation information and filtering information used for the configuration of each private network from the private network connection system,
A method for connecting private networks, wherein a routing table, a filter link table, and an address conversion table used in the gateway are generated based on the information. 複数のパケット通信網と、
これらパケット通信網間を接続するとともに、自己のフィルタリングテーブルを参照して前記パケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行うパケット通信網間接続装置と、
前記パケット通信網間の通信可否の規則をポリシとして管理して、前記パケット通信網間接続装置のフィルタリングテーブルおよびアドレス変換テーブルを制御するポリシ制御装置と、
ネットワークを介して接続される各ユーザパケット通信網のゲートウェイと前記パケット通信網との間に接続され、前記ユーザパケット通信網と前記パケット通信網との間で通信されるパケットの転送または廃棄の制御を行う複数のアクセス制御装置と、
ユーザ認証情報および前記ユーザパケット通信網への割当アドレスを管理し、ユーザの認証結果に基づいて前記アクセス制御装置での転送制御および前記ユーザパケット通信網へのアドレス割当を制御する接続認証制御装置とを有し、
前記各パケット通信網と、前記各パケット通信網に接続した前記各ユーザパケット通信網と、前記各ユーザパケット通信網に接続したユーザ端末とで構成される複数のプライベート網について、これらプライベート網間でのパケットのやり取りを実現するプライベート網間接続システムで用いられ、前記各ゲートウェイを制御するゲートウェイ制御装置であって、
前記プライベート網間接続システムから収集した、前記各プライベート網の構成に用いるアドレス割当情報、アドレス変換情報およびフィルタリング情報に基づいて、前記ネットワークを介して前記各パケット通信網の前記アクセス制御装置と個別に接続される前記ゲートウェイで用いるルーティングテーブル、フィルタリングテーブルおよびアドレス変換テーブルを生成するテーブル生成部を備えることを特徴とするゲートウェイ制御装置。A plurality of packet communication networks;
The connection between these packet communication networks is performed, the transfer or discarding of the packet communicated between the packet communication networks is controlled by referring to the own filtering table, and the address conversion of the packet is performed by referring to the own address conversion table. An inter-packet communication network connecting device for controlling,
A policy control device that manages a rule as to whether communication is possible between the packet communication networks as a policy and controls a filtering table and an address translation table of the packet communication network connection device;
Control of transfer or discarding of a packet connected between a gateway of each user packet communication network connected via a network and the packet communication network and communicated between the user packet communication network and the packet communication network A plurality of access control devices for performing
A connection authentication control device that manages user authentication information and an assigned address to the user packet communication network, and controls transfer control in the access control device and address assignment to the user packet communication network based on a user authentication result; Has,
Regarding a plurality of private networks composed of the respective packet communication networks, the respective user packet communication networks connected to the respective packet communication networks, and the user terminals connected to the respective user packet communication networks, between these private networks, A gateway control device used in a private network connection system that realizes exchange of packets, and controls each of the gateways,
Based on the address allocation information, address translation information, and filtering information used for the configuration of each private network collected from the private network connection system, individually with the access control device of each packet communication network via the network. A gateway control device comprising: a table generation unit that generates a routing table, a filtering table, and an address conversion table used by the connected gateway. 請求項3に記載のゲートウェイ制御装置において、
前記ユーザ端末との間でHTTPプロトコルにより通信を行うWWWサーバ機能部と、
このWWWサーバ機能部で受け付けた接続要求先のIPアドレスが、前記ユーザ端末が属していないプライベート網のIPアドレスである場合、前記接続要求をパケット通信網間接続要求として受け付けるパケット通信網間接続要求受付部と、
このパケット通信網間接続要求受付部での前記要求受付に応じて前記テーブル生成部で生成された各テーブルを所望のゲートウェイへ設定するゲートウェイ設定部とをさらに備え、
前記テーブル生成部は、前記要求受付に応じて前記ユーザ端末が接続されているユーザパケット通信網のゲートウェイで用いる各テーブルを生成し、
前記ゲートウェイ設定部は、前記各テーブルを当該ゲートウェイに対して設定することを特徴とするゲートウェイ制御装置。The gateway control device according to claim 3,
A WWW server function unit for performing communication with the user terminal by an HTTP protocol;
If the IP address of the connection request destination accepted by the WWW server function unit is an IP address of a private network to which the user terminal does not belong, a packet communication network connection request for accepting the connection request as a packet communication network connection request Reception desk,
A gateway setting unit that sets each table generated by the table generation unit to a desired gateway in response to the request reception by the packet communication network connection request reception unit,
The table generating unit generates each table used in a gateway of a user packet communication network to which the user terminal is connected in response to the request reception,
The gateway control device, wherein the gateway setting unit sets the tables for the gateway. 請求項3に記載のゲートウェイ制御装置において、
前記ユーザ端末からのIPアドレス問い合わせに対して対応するIPアドレスを通知するDNSサーバ機能部と、
このDNSサーバ機能部で受け付けた問い合わせ先のIPアドレスが、前記ユーザ端末が属していないプライベート網のIPアドレスである場合、前記問い合わせをパケット通信網間接続要求として受け付けるパケット通信網間接続要求受付部と、
このパケット通信網間接続要求受付部での前記要求受付に応じて前記テーブル生成部で生成された各テーブルを所望のゲートウェイへ設定するゲートウェイ設定部とをさらに備え、
前記テーブル生成部は、前記要求受付に応じて前記ユーザ端末が接続されているユーザパケット通信網のゲートウェイで用いる各テーブルを生成し、
前記ゲートウェイ設定部は、前記各テーブルを当該ゲートウェイに対して設定することを特徴とするゲートウェイ制御装置。The gateway control device according to claim 3,
A DNS server function unit for notifying an IP address corresponding to an IP address inquiry from the user terminal;
If the IP address of the inquiry received by the DNS server function unit is the IP address of a private network to which the user terminal does not belong, a packet communication network connection request receiving unit that receives the inquiry as a packet communication network connection request When,
A gateway setting unit that sets each table generated by the table generation unit to a desired gateway in response to the request reception by the packet communication network connection request reception unit,
The table generating unit generates each table used in a gateway of a user packet communication network to which the user terminal is connected in response to the request reception,
The gateway control device, wherein the gateway setting unit sets the tables for the gateway.
JP2002216264A 2002-07-25 2002-07-25 Private network connection method and gateway control device Expired - Fee Related JP3813908B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002216264A JP3813908B2 (en) 2002-07-25 2002-07-25 Private network connection method and gateway control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002216264A JP3813908B2 (en) 2002-07-25 2002-07-25 Private network connection method and gateway control device

Publications (2)

Publication Number Publication Date
JP2004064182A true JP2004064182A (en) 2004-02-26
JP3813908B2 JP3813908B2 (en) 2006-08-23

Family

ID=31938066

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002216264A Expired - Fee Related JP3813908B2 (en) 2002-07-25 2002-07-25 Private network connection method and gateway control device

Country Status (1)

Country Link
JP (1) JP3813908B2 (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2412272A (en) * 2004-03-19 2005-09-21 Nec Personal Products Ltd Communication between internal networks through gateways over an external network
JP2007306518A (en) * 2006-05-15 2007-11-22 Fujitsu Ltd Communication control system
JP2008502190A (en) * 2004-06-04 2008-01-24 ノキア インコーポレイテッド A system for geographically distributed virtual routing
JP2010087585A (en) * 2008-09-29 2010-04-15 Alaxala Networks Corp Forwarding apparatus, forwarding method, and computer program
US8090827B2 (en) * 2003-12-10 2012-01-03 Aventail Llc Secure access to remote resources over a network
US8255973B2 (en) 2003-12-10 2012-08-28 Chris Hopen Provisioning remote computers for accessing resources
WO2012132010A1 (en) 2011-03-31 2012-10-04 富士通株式会社 Gateway device and gateway selection method
WO2012144194A1 (en) 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method,communication system, communication module, program, and information processing device
WO2012144203A1 (en) 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method, communication system, communication module,program, and information processing device
WO2012144190A1 (en) 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method,communication system, communication module, program, and information processing device
JP2012222752A (en) * 2011-04-13 2012-11-12 Nippon Telegr & Teleph Corp <Ntt> Base-to-base connection system, base-to-base connection method, address conversion information creating device, address conversion information creating method, and program
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US8601550B2 (en) 2004-06-24 2013-12-03 Aventail Llc Remote access to resources over a network
CN113612801A (en) * 2021-09-30 2021-11-05 浙江国利信安科技有限公司 EPA gateway equipment and EPA cross-network communication method

Cited By (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8255973B2 (en) 2003-12-10 2012-08-28 Chris Hopen Provisioning remote computers for accessing resources
US8661158B2 (en) 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US9197538B2 (en) 2003-12-10 2015-11-24 Aventail Llc Rule-based routing to resources through a network
US9906534B2 (en) 2003-12-10 2018-02-27 Sonicwall Inc. Remote access to resources over a network
US10135827B2 (en) 2003-12-10 2018-11-20 Sonicwall Inc. Secure access to remote resources over a network
US10003576B2 (en) 2003-12-10 2018-06-19 Sonicwall Inc. Rule-based routing to resources through a network
US8615796B2 (en) 2003-12-10 2013-12-24 Aventail Llc Managing resource allocations
US8090827B2 (en) * 2003-12-10 2012-01-03 Aventail Llc Secure access to remote resources over a network
US10313350B2 (en) 2003-12-10 2019-06-04 Sonicwall Inc. Remote access to resources over a network
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US9407456B2 (en) 2003-12-10 2016-08-02 Aventail Llc Secure access to remote resources over a network
US9628489B2 (en) 2003-12-10 2017-04-18 Sonicwall Inc. Remote access to resources over a network
US9397927B2 (en) 2003-12-10 2016-07-19 Aventail Llc Rule-based routing to resources through a network
US8301769B2 (en) 2003-12-10 2012-10-30 Aventail Llc Classifying an operating environment of a remote computer
US9300670B2 (en) 2003-12-10 2016-03-29 Aventail Llc Remote access to resources over a network
GB2412272B (en) * 2004-03-19 2006-03-15 Nec Personal Products Ltd Communications system and gateway device
GB2412272A (en) * 2004-03-19 2005-09-21 Nec Personal Products Ltd Communication between internal networks through gateways over an external network
JP4657294B2 (en) * 2004-06-04 2011-03-23 ノキア インコーポレイテッド A system for geographically distributed virtual routing
JP2008502190A (en) * 2004-06-04 2008-01-24 ノキア インコーポレイテッド A system for geographically distributed virtual routing
US8601550B2 (en) 2004-06-24 2013-12-03 Aventail Llc Remote access to resources over a network
JP2007306518A (en) * 2006-05-15 2007-11-22 Fujitsu Ltd Communication control system
JP4630225B2 (en) * 2006-05-15 2011-02-09 富士通株式会社 Communication control system
JP2010087585A (en) * 2008-09-29 2010-04-15 Alaxala Networks Corp Forwarding apparatus, forwarding method, and computer program
WO2012132010A1 (en) 2011-03-31 2012-10-04 富士通株式会社 Gateway device and gateway selection method
US9326229B2 (en) 2011-03-31 2016-04-26 Fujitsu Limited Gateway device and gateway selection method
JP2012222752A (en) * 2011-04-13 2012-11-12 Nippon Telegr & Teleph Corp <Ntt> Base-to-base connection system, base-to-base connection method, address conversion information creating device, address conversion information creating method, and program
US9397949B2 (en) 2011-04-18 2016-07-19 Nec Corporation Terminal, control device, communication method, communication system, communication module, program, and information processing device
WO2012144203A1 (en) 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method, communication system, communication module,program, and information processing device
WO2012144194A1 (en) 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method,communication system, communication module, program, and information processing device
US9887920B2 (en) 2011-04-18 2018-02-06 Nec Corporation Terminal, control device, communication method, communication system, communication module, program, and information processing device
KR20150123337A (en) 2011-04-18 2015-11-03 닛본 덴끼 가부시끼가이샤 Terminal, control device, communication method, communication system, communication module, computer readable storage medium for storing program, and information processing device
WO2012144190A1 (en) 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method,communication system, communication module, program, and information processing device
US9338090B2 (en) 2011-04-18 2016-05-10 Nec Corporation Terminal, control device, communication method, communication system, communication module, program, and information processing device
US9215611B2 (en) 2011-04-18 2015-12-15 Nec Corporation Terminal, control device, communication method, communication system, communication module, program, and information processing device
CN113612801A (en) * 2021-09-30 2021-11-05 浙江国利信安科技有限公司 EPA gateway equipment and EPA cross-network communication method

Also Published As

Publication number Publication date
JP3813908B2 (en) 2006-08-23

Similar Documents

Publication Publication Date Title
US7489700B2 (en) Virtual access router
JP4692258B2 (en) Router device and communication system
JP4355422B2 (en) Method and apparatus for routing packets
US7668164B2 (en) Methods and arrangements in a telecommunications system
Gleeson et al. A framework for IP based virtual private networks
JP4988143B2 (en) Computer network
Funke et al. Performance evaluation of firewalls in gigabit-networks
JP5544097B2 (en) Network connection device
JP3813908B2 (en) Private network connection method and gateway control device
US20020184388A1 (en) Layered approach to virtual private routing
JP2006042327A (en) Method and apparatuses for implementing security policies in network
EP2099180B1 (en) Switching device and method for Layer-2 forwarding of OAM frames with multicast Layer-3 addresses
JP2004112801A (en) Apparatus and method of ip address allocation
JP2003273935A (en) Network-connecting apparatus and method for providing direct connection between network devices in different private networks
JP2006237678A (en) Apparatus for packet relaying and control method for communication band
WO2012088982A1 (en) Method, apparatus and virtual private network system for issuing routing information
JP2001237876A (en) Buildup method for ip virtual private network and the ip virtual private network
JP2000312226A (en) Method for warranting communication quality
US7742479B1 (en) Method and apparatus for dynamic network address reassignment employing interim network address translation
Wu et al. YANG data model for L3VPN service delivery
JP5261432B2 (en) Communication system, packet transfer method, network switching apparatus, access control apparatus, and program
RU2310994C2 (en) Traffic division filter
Gleeson et al. RFC2764: A framework for IP based virtual private networks
Cisco Configuring IPX Multilayer Switching
Cisco Glossary

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040723

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060302

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060307

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060501

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060530

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060601

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090609

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100609

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100609

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110609

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120609

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130609

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140609

Year of fee payment: 8

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees