JP2004266415A - Connection apparatus - Google Patents

Connection apparatus Download PDF

Info

Publication number
JP2004266415A
JP2004266415A JP2003052638A JP2003052638A JP2004266415A JP 2004266415 A JP2004266415 A JP 2004266415A JP 2003052638 A JP2003052638 A JP 2003052638A JP 2003052638 A JP2003052638 A JP 2003052638A JP 2004266415 A JP2004266415 A JP 2004266415A
Authority
JP
Japan
Prior art keywords
connection device
address
vpn
level
main
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003052638A
Other languages
Japanese (ja)
Other versions
JP4173383B2 (en
Inventor
Katsuyuki Takeuchi
勝之 竹内
Kazuhiko Yanagidate
一彦 柳舘
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nifty Corp
Original Assignee
Nifty Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nifty Corp filed Critical Nifty Corp
Priority to JP2003052638A priority Critical patent/JP4173383B2/en
Publication of JP2004266415A publication Critical patent/JP2004266415A/en
Application granted granted Critical
Publication of JP4173383B2 publication Critical patent/JP4173383B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To avoid doubling an address in a VPN and lighten a burden on a manager. <P>SOLUTION: The connection apparatus connected to a main connection apparatus to form a virtual private network comprises an address acquiring means connected to the main connection apparatus for receiving an IP address of the connection apparatus and an IP address usable in an apparatus under control of the connection apparatus allotted from the main connection apparatus; and a means for allotting a new IP address to the apparatus under control from the usable IP address allotted from the main connection apparatus, without permitting the extension of the lease period of the IP address from the apparatus under control, if receiving a request to extend the lease period, when the IP address is already allotted to the apparatus under control of the connection apparatus. Thus, the PI addresses are switched over one to another from a terminal with the lease period expired, and hence no address is doubled. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明が属する技術分野】
本発明は、仮想私設網(VPN:Virtual Private Network)を構成するための接続装置に関する。
【0002】
【従来の技術】
VPNにおけるアドレス重複の問題は従来から議論されていた。一般的には、管理者がVPNにおける各拠点のネットワークをアドレスの重複を生じないように設計し、各機器にIPアドレスを静的に設定するということによりIPアドレスの重複を避けていた。また、特開2000−228674号公報では、VPN接続の際などに生じるアドレスの重複問題に対してアドレス付け替えという方式があることを示しているが大きな手間がかかるため現実的ではないとしている。
【0003】
【特許文献1】
特開2000−228674号公報
【0004】
【発明が解決しようとする課題】
このようにVPNにおけるアドレス重複の問題は従来から議論されてきたが、管理者の負担を軽減するような形の解決策はあまり示されていない。
【0005】
従って、本発明の目的は、VPNにおけるアドレス重複を回避し且つ管理者の負担を軽減するような技術を提供することである。
【0006】
【課題を解決するための手段】
本発明の第1の態様に係る、主接続装置と接続して仮想私設網を構成するための接続装置は、主接続装置に接続して、当該接続装置のIPアドレス及び当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを主接続装置から受けるアドレス取得手段と、当該接続装置の配下の装置に既にIPアドレスを割り当て済みの場合、当該配下の装置からIPアドレスのリース期間の延長要求を受信してもリース期間の延長を許可せず、主接続装置から割り当てを受けた使用可能なIPアドレスから新たなIPアドレスを前記配下の装置に割り当てる手段とを有する。
【0007】
これによりリース期間が切れた又は切れる端末装置から順次IPアドレスが切り替わることになるため、アドレスの重複は生じない。また、自動的切り替えが行われるので、管理者は特別の知識がなくともよく、さらに手間をかけずにVPNの構築を行うことができるようになる。なお、初期的なリース期間を短くすればより早期にアドレスの切り替えが行われるようになる。
【0008】
また、本発明の第1の態様において、当該接続装置の配下の装置に既にIPアドレスを割り当て済みであって且つアドレス取得手段が主接続装置から当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを受けている場合には、主接続装置から割り当てを受けた使用可能なIPアドレス以外のIPアドレスを送信元とする、仮想私設網への通信をブロックする手段をさらに有するようにしてもよい。これにより、アドレスの切り替え完了前に不適切なデータが別拠点に送信されるのを防止することができる。
【0009】
さらに、本発明の第1の態様において、主接続装置のIPアドレスと当該接続装置の認証情報とを用いて主接続装置に接続する手段をさらに有するようにしてもよい。
【0010】
本発明の第2の態様に係る、下位接続装置(例えば第1の態様に係る接続装置)と接続して仮想私設網を構成するための接続装置は、下位接続装置からの接続要求に応じて認証処理を実施する手段と、認証処理に成功した場合、下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスを割り当て、記憶装置に格納する手段と、記憶装置に格納された下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスのデータを、当該下位接続装置に送信する手段とを有する。
【0011】
また、本発明の第3の態様に係る、下位接続装置(例えば第1の態様に係る接続装置)と接続して仮想私設網を構成するための接続装置は、接続可能な下位接続装置に対応して当該下位接続装置のIPアドレス及び当該下位接続装置の配下の装置にて使用可能なIPアドレスを記憶する記憶手段と、下位接続装置からの接続要求に応じて認証処理を実施する手段と、認証処理に成功した場合、記憶手段に格納された下位接続装置のIPアドレス及び前記下位接続装置の配下の装置において使用可能なIPアドレスのデータを、下位接続装置に送信する手段とを有する。
【0012】
また、上で述べた接続装置として動作させるプログラムを作成することも可能であって、当該プログラムは、例えばフレキシブル・ディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。なお、ネットワークを介してデジタル信号として配布される場合もある。また、処理途中のデータについては、コンピュータのメモリに一時保管される。
【0013】
【発明の実施の形態】
本発明の一実施の形態に係るシステム概要図を図1に示す。インターネット1には、拠点Aと拠点Bと拠点Cとが接続してVPNを構築するものとする。VPNを構築するため暗号化などを行うが、本発明の要旨には直接関係しないので、ここでは説明を省略する。本実施の形態では、拠点Aにおいてインターネット1に接続する装置をVPN主接続装置5とし、拠点Bにおいてインターネット1に接続する装置をVPN接続装置3aとし、拠点Cにおいてインターネット1に接続する装置をVPN接続装置3bとする。
【0014】
VPN主接続装置5は、接続する下位のVPN接続装置3a及び3bなどを管理するアドレス管理部52と、接続する下位のVPN接続装置3a及び3bなどの認証処理を実施する認証処理部51と、拠点A内においてVPN主接続装置5に接続する端末305及び306などにIPアドレスを割り当てるDHCPサーバ部53とを有している。アドレス管理部52は、例えば図2に示すようなテーブルを管理する。図2に示したテーブルの例では、拠点名の列201と、ユーザIDの列202と、パスワードの列203と、VPN装置IPアドレスの列204と、ネットワークアドレスの列205と、サブネットマスクの列206とが設けられている。このように各拠点につき認証情報であるユーザID及びパスワードが管理されており認証処理部51が認証処理の際に用いる。また、各拠点につき、VPN装置(VPN主接続装置5及びVPN接続装置3a及び3bなど)のIPアドレスと、配下の端末に使用可能なIPアドレス群を表すネットワークアドレス及びサブネットマスクとが登録される。このテーブルは静的に設定されるようにしても良いが、VPN接続装置のVPN装置IPアドレス、ネットワークアドレス及びサブネットマスクの列の値については、所定のルールに従って動的に割り当てるようにしても良い。DHCPサーバ部53は、図2に示したテーブルにおいて自装置に割り当てられた、配下の端末装置305及び306などに使用可能なIPアドレス群から端末装置305及び306などの要求に応じてIPアドレスを割り当てる処理を実施する。
【0015】
VPN接続装置3aは、VPN主接続装置5に接続するための処理を行うリモートVPN接続部31aと、当該VPN接続装置3aの配下の端末装置301及び302などの要求に応じて、VPN主接続装置5から割り当てられ且つ配下の端末装置に使用可能なIPアドレス群からIPアドレスを割り当てる処理を実施するDHCPサーバ部32aと、当該VPN接続装置3aの配下の端末装置301及び302などからVPNへのアクセスを管理するアクセス管理部33aと、当該VPN接続装置3aに関連するアドレス情報を管理するアドレス管理部34aとを有する。処理の詳細については処理フローを基に説明する。
【0016】
VPN接続装置3bは、VPN接続装置3aと同じ構成を有するものであって、符号がaからbに置き換えられており、配下の端末装置が端末装置303及び304などである点が異なる。
【0017】
次に図3乃至図6を用いて図1に示したシステムの処理について説明する。なお、VPN接続装置については拠点Bに存在するVPN接続装置3aを用いて説明する。また、端末装置も端末装置301を用いて説明する。なお、処理内容については拠点Cについても同様である。
【0018】
最初に、管理者は拠点AのVPN主接続装置5のアドレス管理部52に対して、各拠点について、少なくともユーザID及びパスワード、場合によってはVPN装置IPアドレス、ネットワークアドレス及びサブネットマスクについても登録する(ステップS1)。アドレス管理部52は例えば図2のようなテーブルを記憶領域に保持する。なお、少なくともVPN主接続装置5自身のIPアドレス、ネットワークアドレス及びサブネットマスクについては登録する。また、管理者は、拠点BのVPN接続装置3aのリモートVPN接続部31aに対して、自装置のユーザID及びパスワードと、接続先となるVPN主接続装置5のIPアドレスの設定を行う(ステップS3)。なお、本実施の形態では、VPN接続装置3aを起動すると、VPN主接続装置5に接続する前、端末装置301がVPN接続装置3aに接続しようとするものとする。
【0019】
従って、端末装置301は、DHCP_DISCOVERメッセージを拠点B内のネットワークにブロードキャストする(ステップS5)。VPN接続装置3aのDHCPサーバ部32aは、DHCP_DISCOVERを受信すると、その時点で割り当て可能なIPアドレス群のうち未使用のIPアドレスなどを含むDHCP_OFFERメッセージを、送信元の端末装置301に送信する(又はブロードキャストする)(ステップS7)。端末装置301は、VPN接続装置3aからDHCP_OFFERメッセージを受信すると、提示されたIPアドレスなどのデータを保持し、当該IPアドレスなどの割り当てを要求するDHCP_REQUESTメッセージを、VPN接続装置3aに送信する(ステップS9)。VPN接続装置3aのDHCPサーバ部32aは、端末装置301からDHCP_REQUESTメッセージを受信すると、DHCPテーブルに端末装置301へのIPアドレスなどの割り当てを登録する(ステップS11)。そして、DHCP_ACKメッセージを端末装置301に送信する(ステップS13)。端末装置301は、VPN接続装置3aからDHCP_ACKメッセージを受信すると、IPアドレスの割り当てが完了するので拠点B内のネットワークにおいて通信を行うことができるようになる。
【0020】
このような処理を行うことにより、VPN接続装置3a内部の記憶装置には、図4(a)のようなデータが保持されるようになる。図4(a)の例では、テーブル401に、VPN接続装置3a自身の初期的なIPアドレス(192.168.1.1)とサブネットマスク(255.255.255.0)と、テーブル402に、配下の端末装置に割り当てるためのIPアドレス範囲(192.168.1.2から192.168.1.254)と、割り当てたIPアドレスのリース期間(30秒)とが登録されている。この部分については、例えばVPN接続装置3aの初期的な設定に基づくものである。従って、端末装置301や302が、IPアドレスの割り当てを求めてくると、上で説明したような処理を行って、割り当てたIPアドレスとMACアドレスとの対をテーブル403に登録する。例えばIPアドレス192.168.1.2は、MACアドレス00:90:99:7d:4c:xxという端末装置に割り当てられたことが分かる。なお、テーブル402に示したように、リース期間は例えば30秒といったように、通常より短い時間を設定しておき、VPN主接続装置5からIPアドレス群の割り当てを受けた場合に速やかにIPアドレスの切り替えが完了するようにしている。
【0021】
そして任意のタイミングで、VPN接続装置3aのリモートVPN接続部31aは、インターネット1を介して、認証情報(ユーザID及びパスワード)を含むVPN接続要求をVPN主接続装置5に送信する(ステップS15)。VPN主接続装置5の認証処理部51は、VPN接続要求を受信すると(ステップS17)、当該接続要求に含まれる認証情報を用いて認証処理を実施する(ステップS19)。具体的には、受信した認証情報に含まれるユーザIDで図2に示したテーブルを検索し、当該ユーザIDに対応するパスワードを抽出する。そして、受信した認証情報に含まれるパスワードと抽出されたパスワードとを比較して一致するかを判断する。一致すれば認証は成功となる。一致しなければ認証は失敗で、以降の処理は行われない。
【0022】
認証に成功すると、アドレス管理部52は、図2に示したテーブルから予め当該ユーザIDに対応して割り当てられているVPN接続装置3a用のIPアドレスなどを読み出すか、新たにIPアドレスなどを所定のルールに従って割り当てる(ステップS21)。新たに割り当てた場合には、図2のテーブルに登録する。そして、アドレス管理部52は、VPN接続装置3aに割り当てられたIPアドレスなどをVPN接続装置3aに通知する(ステップS23)。VPN接続装置3aのアドレス管理部34aは、VPN主接続装置5からIPアドレスなどの通知を受信し(ステップS25)、受信したIPアドレスを自IPアドレスとして記憶装置に設定登録する(ステップS27)。例えば図4(b)のテーブル411に示すように、元々初期的に設定していたVPN接続装置3a自身のIPアドレス(192.168.1.1)に加えて、新たに通知されたIPアドレス(192.168.11.1)が追加登録される。このように追加で登録することにより、VPNにおいては新たに通知されたIPアドレスの機器として動作し、拠点内のネットワークに対しては初期的に設定されたIPアドレスの機器として動作することができるようになる。なお、ここではサブネットマスクについても追加登録されている。
【0023】
また、VPN主接続装置5のアドレス管理部52は、図2に示したテーブルから予め当該ユーザIDに対応して割り当てられているネットワークアドレス(使用可能なIPアドレス群)を読み出すか、新たに当該VPN接続装置3aに割り当てたIPアドレスなどを基にしてネットワークアドレスを割り当てる(ステップS29)。新たに割り当てた場合には、図2に示したテーブルに登録する。そして、VPN接続装置3aに当該ネットワークアドレスなどのデータを送信する(ステップS31)。VPN接続装置3aのアドレス管理部34aは、VPN主接続装置5からネットワークアドレスなどを受信すると(ステップS33)、図4(b)のテーブル412に登録することにより、DHCPテーブルを更新する(ステップS35)。例えばVPN主接続装置5からIPアドレス群(192.168.11.2から192.168.11.254)を表すネットワークアドレスのデータを受信した場合、図4(b)のテーブル412に示すように、配下の端末装置に割り当てるためのIPアドレスとして、192.168.11.2と192.168.11.254とが登録される。また、本実施の形態では、アドレス管理部34aは、IPアドレスのリース期間も延長する。図4(b)のテーブル412に示すように、30秒を例えば3時間に延長している。これによりIPアドレスの切り替え後は、通常のリース期間延長などの処理を行う。
【0024】
このように配下の端末装置に使用可能なIPアドレス群の割り当てをVPN主接続装置5から受信すると、以降、VPN接続装置3aは、配下の端末装置に既に割り当てている古いIPアドレスのリース期間の延長を順次不許可にして、使用可能なIPアドレスとしてVPN主接続装置5から割り当てを受けたもののうち1つのIPアドレスを割り当てることにより、IPアドレスの切り替えを行う。
【0025】
図5を用いて、IPアドレスの切り替え処理の処理フローの第1の例を説明する。VPN主接続装置5から使用可能なIPアドレス群として通知されたIPアドレスのいずれかがまだ割り当てられていない端末装置301(ここでは端末A)は、割り当てられたIPアドレスのリース期間が切れる前に、リース期間の延長を求めるDHCP_REQUESTメッセージをVPN接続装置3aに送信する(ステップS41)。VPN接続装置3aのDHCPサーバ部32aは、端末装置301からDHCP_REQUESTメッセージを受信すると、DHCP_REQUESTメッセージの送信元IPアドレスが配下の端末装置に割り当てるためのIPアドレス群(図4(b)テーブル412)の範囲に含まれているか判断し、含まれていない場合にはIPアドレスの切り替えを行わなければならないため、DHCP_NAKメッセージを返信する(ステップS43)。端末装置301は、IPアドレスを新たに割り当ててもらわなければならないので、割り当てを求めるためのDHCP_REQUESTメッセージをVPN接続装置3aに送信する(ステップS45)。VPN接続装置3aのDHCPサーバ部32aは、IPアドレスの割り当てを求めるDHCP_REQUESTメッセージを受信すると、割り当て可能なIPアドレスから1つのIPアドレスを抽出し、端末装置301に対して割り当てる(ステップS47)。そして、DHCPテーブル(ここでは図4(b)のテーブル413)を更新する。図4(b)のテーブル413においては、第一行目にMACアドレス00:90:99:7d:4c:xxに対応して、テーブル412において割り当て用IPアドレスとして指定されている新たなIPアドレス群から192.168.11.2が割り当てられている。これは図4(a)のテーブル403における第一行目についてのIPアドレスが192.168.1.2から切り替えられたことを表している。なお、他の端末装置のIPアドレスはまだ切り替えられていない。
【0026】
そして、VPN接続装置3aは、DHCP_ACKメッセージを端末装置301に送信する(ステップS48)。端末装置301は、VPN接続装置3aからDHCP_ACKメッセージを受信し、新たなIPアドレスにてVPNを介して通信を行うことができるようになる。
【0027】
この段階では、全てのIPアドレスの切り替えが終わっていないので、例えば端末装置302(端末B)が、他拠点のIPアドレス宛に何らかのデータを送信しようとすると(ステップS49)、VPN接続装置3aのアクセス管理部33aは、このアクセスをブロックする(ステップS51)。このようにアドレス切り替え前の端末装置から他拠点へのアクセスをブロックしないとアドレス切り替え中別の機器に対してデータを送信するような事態が生じてしまうからである。なお、初期的なリース期間を短くしておけば、アドレスの切り替えは速やかに完了するはずであり、ブロックするアクセスの数を減らすことができ、通信に支障をきたす期間は短くまたそのようなケースも少なくなる。
【0028】
図6を用いて、IPアドレスの切り替え処理の処理フローの第2の例を説明する。VPN主接続装置5から使用可能なIPアドレス群として通知されたIPアドレスのいずれかがまだ割り当てられていない端末装置301(ここでは端末A)は、割り当てられたIPアドレスのリース期間が切れる前に、リース期間の延長を求めるDHCP_REQUESTメッセージをVPN接続装置3aに送信する(ステップS61)。VPN接続装置3aのDHCPサーバ部32aは、端末装置301からDHCP_REQUESTメッセージを受信すると、DHCP_REQUESTメッセージの送信元IPアドレスが配下の端末装置に割り当てるためのIPアドレス群(図4(b)テーブル412)の範囲に含まれているか判断し、含まれていない場合には応答しない。応答がないと端末装置301はステップS61を繰り返すが、応答を得ることができないので、リース期間を経過する。
【0029】
そうすると、端末装置301は、最初からIPアドレスを取得すべく、DHCP_DISCOVERメッセージを拠点B内のネットワークにブロードキャストする(ステップS63)。VPN接続装置3aのDHCPサーバ部32aは、DHCP_DISCOVERを受信すると、その時点で割り当て可能なIPアドレス群のうち未使用のIPアドレスなどを含むDHCP_OFFERメッセージを、送信元の端末装置301に送信する(ステップS65)。端末装置301は、VPN接続装置3aからDHCP_OFFERメッセージを受信すると、提示されたIPアドレスなどのデータを保持し、当該IPアドレスなどの割り当てを要求するDHCP_REQUESTメッセージを、VPN接続装置3aに送信する(又はブロードキャストする)(ステップS67)。VPN接続装置3aのDHCPサーバ部32aは、端末装置301からDHCP_REQUESTメッセージを受信すると、DHCPテーブルに端末装置301へのIPアドレスなどの割り当てを登録する(ステップS68)。図4(b)のテーブル413においては、第一行目にMACアドレス00:90:99:7d:4c:xxに対応して、テーブル412において割り当て用IPアドレスとして指定されている新たなIPアドレス群から192.168.11.2が割り当てられている。そして、DHCP_ACKメッセージを端末装置301に送信する(ステップS69)。端末装置301は、VPN接続装置3aからDHCP_ACKメッセージを受信すると、VPNを介して通信を行うことができるようになる。
【0030】
この段階では、全てのIPアドレスの切り替えが終わっていないので、例えば端末装置302(端末B)が、他拠点のIPアドレス宛に何らかのデータを送信しようとすると(ステップS71)、VPN接続装置3aのアクセス管理部33aは、このアクセスをブロックする(ステップS73)。このようにアドレス切り替え前の端末装置から他拠点へのアクセスをブロックしないとアドレス切り替え中別の機器に対してデータを送信するような事態が生じてしまうからである。なお、初期的なリース期間を短くしておけば、アドレスの切り替えは速やかに完了するはずであり、ブロックするアクセスの数を減らすことができ、通信に支障をきたす期間は短くまたそのようなケースも少なくなる。
【0031】
このような処理を繰り返すことにより、VPN主接続装置5から配下の端末装置に使用可能なIPアドレスの割り当てを受ける前にIPアドレスを独自に割り当てた全ての端末装置に、VPN主接続装置5から指定されたIPアドレスが割り当てられると、テーブル421(図4(c))のように初期的に使用していたVPN端末装置3aのIPアドレス(192.168.1.1)及びサブネットマスク(255.255.255.0)のデータは不要になるため破棄してもよい。なお、テーブル422については変更はない。テーブル423については、全てのMACアドレスに対応してテーブル422において規定されている割り当て用IPアドレス内のIPアドレスが割り当てられていることが示されている。
【0032】
以上のような動作を行うVPN接続装置及びVPN主接続装置を用いることにより、管理者が複数の拠点に渡ってIPアドレスの静的な設定を行う必要がなく、さらにVPN接続装置及びVPN主接続装置を接続するだけで自動的にIPアドレスの重複なくIPアドレスを設定することができるため、非常に便利である。
【0033】
以上説明した本発明の一実施の形態は、一実施の形態に過ぎず、本発明は本実施の形態に限定されるものではない。VPN主接続装置5及びVPN接続装置3a又は3bについては、1台のVPN接続装置においてモード切替にて動作を切り替えるようにしても良い。また、図1に示した機能ブロック図は一例であって、他の機能分けに従っても良い。
【0034】
また、DHCPメッセージのやりとりの説明については一部説明を省略している部分もあり、本発明の実施の形態を理解する上で必要な事項のみを説明している。
【0035】
さらに、ステップS23及びS31は分けて行う例を示したが、同時に通知するようにしても良い。
【0036】
【発明の効果】
VPNにおけるアドレス重複を回避し且つ管理者の負担を軽減することができるようになる。
【図面の簡単な説明】
【図1】本発明の一実施の形態に係るシステム概要図である。
【図2】VPN主接続装置において管理するテーブルのデータ例である。
【図3】VPN主接続装置及びVPN接続装置における処理を説明するフロー図である。
【図4】(a)乃至(c)は、VPN接続装置において管理するテーブルのデータの遷移例を示す図である。
【図5】VPN接続装置におけるIPアドレス切り替えのフロー(第1の例)を示す図である。
【図6】VPN接続装置におけるIPアドレス切り替えのフロー(第2の例)を示す図である。
【符号の説明】
1 インターネット 3a,3b VPN接続装置
5 VPN主接続装置
31a,31b リモートVPN接続部
32a,32b DHCPサーバ部
33a,33b アクセス管理部
34a,34b アドレス管理部
51 認証処理部 52 アドレス管理部 53 DHCPサーバ部[0001]
TECHNICAL FIELD OF THE INVENTION
TECHNICAL FIELD The present invention relates to a connection device for configuring a virtual private network (VPN: Virtual Private Network).
[0002]
[Prior art]
The problem of address duplication in VPNs has been discussed previously. In general, the administrator has designed the network of each site in the VPN so as not to cause an address duplication, and avoided the duplication of the IP address by statically setting the IP address to each device. Japanese Patent Application Laid-Open No. 2000-228677 discloses that there is a method of address replacement for address duplication problems that occur at the time of VPN connection or the like, but it is not realistic because it takes a lot of trouble.
[0003]
[Patent Document 1]
Japanese Patent Application Laid-Open No. 2000-228677
[Problems to be solved by the invention]
As described above, the problem of address duplication in VPNs has been discussed in the past, but there are few solutions that reduce the burden on the administrator.
[0005]
Therefore, an object of the present invention is to provide a technique for avoiding address duplication in a VPN and reducing the burden on an administrator.
[0006]
[Means for Solving the Problems]
The connection device according to the first aspect of the present invention, which is connected to the main connection device to form a virtual private network, is connected to the main connection device, and has an IP address of the connection device and a subordinate of the connection device. Address acquisition means for receiving assignment of an IP address usable in the device from the main connection device, and request for extension of the lease period of the IP address from the device under the control if the IP address has already been assigned to the device under the connection device Means for not permitting the extension of the lease period even if the IP address is received, and allocating a new IP address to the subordinate device from the available IP addresses allocated from the main connection device.
[0007]
As a result, the IP address is sequentially switched from the terminal device whose lease period has expired or has expired, so that address duplication does not occur. In addition, since the switching is automatically performed, the administrator does not need to have any special knowledge, and can construct the VPN without further trouble. Note that if the initial lease period is shortened, address switching will be performed earlier.
[0008]
Further, in the first aspect of the present invention, an IP address has already been assigned to a device under the connection device, and an IP address usable by the address acquisition means from the main connection device to a device under the connection device. In the case where the IP address has been assigned, a means for blocking communication to the virtual private network having an IP address other than the available IP address assigned from the main connection device as a transmission source may be further provided. Good. Thus, it is possible to prevent inappropriate data from being transmitted to another site before the address switching is completed.
[0009]
Further, in the first aspect of the present invention, a means for connecting to the main connection device using the IP address of the main connection device and the authentication information of the connection device may be further provided.
[0010]
The connection device according to the second aspect of the present invention for forming a virtual private network by connecting to a lower connection device (for example, the connection device according to the first embodiment) in response to a connection request from the lower connection device Means for performing an authentication process, means for assigning an IP address of a lower connection device and an IP address usable by a device under the lower connection device when the authentication process is successful, and storing the IP address in a storage device; Means for transmitting the stored data of the IP address of the lower connection device and the IP address that can be used by a device under the lower connection device to the lower connection device.
[0011]
The connection device according to the third aspect of the present invention for forming a virtual private network by connecting to a lower connection device (for example, the connection device according to the first embodiment) corresponds to a connectable lower connection device. Storage means for storing an IP address of the lower-level connection device and an IP address that can be used by a device subordinate to the lower-level connection device; means for performing authentication processing in response to a connection request from the lower-level connection device; Means for transmitting, to the lower-level connection device, the data of the IP address of the lower-level connection device stored in the storage means and an IP address usable by a device subordinate to the lower-level connection device when the authentication process is successful.
[0012]
It is also possible to create a program that operates as the connection device described above, and the program can be a storage medium such as a flexible disk, a CD-ROM, a magneto-optical disk, a semiconductor memory, a hard disk, or a storage device. Is stored in In some cases, digital signals are distributed via a network. Data being processed is temporarily stored in a computer memory.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 shows a schematic diagram of a system according to an embodiment of the present invention. In the Internet 1, a site A, a site B, and a site C are connected to construct a VPN. Although encryption and the like are performed to construct a VPN, they are not directly related to the gist of the present invention, and thus description thereof is omitted here. In the present embodiment, a device that connects to the Internet 1 at the site A is a VPN main connection device 5, a device that connects to the Internet 1 at the site B is a VPN connection device 3a, and a device that connects to the Internet 1 at the site C is a VPN. The connection device is referred to as a connection device 3b.
[0014]
The VPN main connection device 5 includes an address management unit 52 that manages lower VPN connection devices 3a and 3b to be connected and the like, an authentication processing unit 51 that performs authentication processing of lower VPN connection devices 3a and 3b to be connected and the like, It has a DHCP server unit 53 that assigns IP addresses to terminals 305 and 306 connected to the VPN main connection device 5 in the site A. The address management unit 52 manages a table as shown in FIG. 2, for example. In the example of the table shown in FIG. 2, a column 201 of a base name, a column 202 of a user ID, a column 203 of a password, a column 204 of a VPN device IP address, a column 205 of a network address, and a column of a subnet mask 206 are provided. As described above, the user ID and the password, which are the authentication information, are managed for each site, and are used by the authentication processing unit 51 at the time of the authentication process. Further, the IP address of the VPN device (the VPN main connection device 5 and the VPN connection devices 3a and 3b, etc.), the network address and the subnet mask representing the group of IP addresses that can be used for the subordinate terminals are registered for each base. . This table may be set statically, or the values of the columns of the VPN device IP address, network address, and subnet mask of the VPN connection device may be dynamically assigned according to a predetermined rule. . The DHCP server unit 53 obtains an IP address from a group of IP addresses assigned to the own device in the table shown in FIG. 2 and usable for the subordinate terminal devices 305 and 306 in response to a request from the terminal devices 305 and 306. Perform the assignment process.
[0015]
The VPN connection device 3a performs a process for connecting to the VPN main connection device 5 and a VPN main connection device 31a in response to a request from the terminal devices 301 and 302 under the VPN connection device 3a. 5, a DHCP server unit 32a that performs a process of allocating an IP address from a group of IP addresses that can be used for a terminal device under the device, and access to the VPN from the terminal devices 301 and 302 under the VPN connection device 3a. And an address management unit 34a that manages address information related to the VPN connection device 3a. Details of the processing will be described based on the processing flow.
[0016]
The VPN connection device 3b has the same configuration as that of the VPN connection device 3a, except that the symbols are replaced by a to b, and that the subordinate terminal devices are the terminal devices 303 and 304 and the like.
[0017]
Next, processing of the system shown in FIG. 1 will be described with reference to FIGS. The VPN connection device will be described using the VPN connection device 3a located at the base B. In addition, a terminal device will be described using the terminal device 301. Note that the processing contents are the same for the base C.
[0018]
First, the administrator registers at least a user ID and password, and in some cases, a VPN device IP address, a network address, and a subnet mask for each site in the address management unit 52 of the VPN main connection device 5 at the site A. (Step S1). The address management unit 52 holds, for example, a table as shown in FIG. 2 in a storage area. Note that at least the IP address, network address, and subnet mask of the VPN main connection device 5 itself are registered. In addition, the administrator sets the user ID and password of the own device and the IP address of the VPN main connection device 5 to be connected to the remote VPN connection unit 31a of the VPN connection device 3a at the base B (step). S3). In this embodiment, when the VPN connection device 3a is started, the terminal device 301 tries to connect to the VPN connection device 3a before connecting to the VPN main connection device 5.
[0019]
Therefore, the terminal device 301 broadcasts a DHCP_DISCOVER message to the network in the base B (step S5). Upon receiving the DHCP_DISCOVER, the DHCP server unit 32a of the VPN connection apparatus 3a transmits a DHCP_OFFER message including an unused IP address among the group of IP addresses that can be allocated at that time to the terminal apparatus 301 of the transmission source (or Broadcast) (step S7). Upon receiving the DHCP_OFFER message from the VPN connection device 3a, the terminal device 301 holds data such as the presented IP address and transmits a DHCP_REQUEST message requesting the assignment of the IP address and the like to the VPN connection device 3a (step). S9). Upon receiving the DHCP_REQUEST message from the terminal device 301, the DHCP server unit 32a of the VPN connection device 3a registers the assignment of the IP address and the like to the terminal device 301 in the DHCP table (step S11). Then, a DHCP_ACK message is transmitted to the terminal device 301 (step S13). When the terminal device 301 receives the DHCP_ACK message from the VPN connection device 3a, the terminal device 301 completes the assignment of the IP address, so that it can communicate with the network in the base B.
[0020]
By performing such processing, data as shown in FIG. 4A is held in the storage device inside the VPN connection device 3a. In the example of FIG. 4A, the table 401 includes the initial IP address (192.168.1.1) and the subnet mask (255.255.255.0) of the VPN connection apparatus 3a itself, and the table 402 includes The IP address range (192.168.1.2 to 192.168.1.254) to be allocated to the terminal device under the control and the lease period (30 seconds) of the allocated IP address are registered. This part is based on, for example, initial settings of the VPN connection device 3a. Therefore, when the terminal devices 301 and 302 request the assignment of the IP address, the process described above is performed and the pair of the assigned IP address and the MAC address is registered in the table 403. For example, it can be seen that the IP address 192.168.1.2 is assigned to the terminal device having the MAC address 00: 90: 99: 7d: 4c: xx. As shown in the table 402, the lease period is set to a shorter time than usual, for example, 30 seconds, and when an IP address group is assigned from the VPN main connection device 5, the IP address is immediately set. Switching is completed.
[0021]
Then, at an arbitrary timing, the remote VPN connection unit 31a of the VPN connection device 3a transmits a VPN connection request including authentication information (user ID and password) to the VPN main connection device 5 via the Internet 1 (Step S15). . Upon receiving the VPN connection request (step S17), the authentication processing unit 51 of the VPN main connection device 5 performs an authentication process using the authentication information included in the connection request (step S19). Specifically, the table shown in FIG. 2 is searched for the user ID included in the received authentication information, and the password corresponding to the user ID is extracted. Then, the password included in the received authentication information is compared with the extracted password to determine whether they match. If they match, the authentication is successful. If they do not match, the authentication has failed and no further processing is performed.
[0022]
If the authentication is successful, the address management unit 52 reads the IP address or the like for the VPN connection device 3a previously assigned to the user ID from the table shown in FIG. (Step S21). When newly assigned, it is registered in the table of FIG. Then, the address management unit 52 notifies the VPN connection device 3a of the IP address and the like assigned to the VPN connection device 3a (Step S23). The address management unit 34a of the VPN connection device 3a receives a notification such as an IP address from the VPN main connection device 5 (step S25), and sets and registers the received IP address as its own IP address in the storage device (step S27). For example, as shown in a table 411 in FIG. 4B, in addition to the IP address (192.168.1.1) of the VPN connection apparatus 3a originally set originally, a newly notified IP address is used. (192.168.1.11) is additionally registered. By additionally registering in this way, it is possible to operate as a device of the newly notified IP address in the VPN and to operate as a device of the initially set IP address for the network in the base. Become like Here, the subnet mask is additionally registered.
[0023]
Further, the address management unit 52 of the VPN main connection device 5 reads a network address (a group of usable IP addresses) assigned in advance corresponding to the user ID from the table shown in FIG. A network address is assigned based on the IP address etc. assigned to the VPN connection device 3a (step S29). When newly assigned, it is registered in the table shown in FIG. Then, data such as the network address is transmitted to the VPN connection device 3a (step S31). When receiving the network address and the like from the VPN main connection device 5 (step S33), the address management unit 34a of the VPN connection device 3a updates the DHCP table by registering it in the table 412 of FIG. 4B (step S35). ). For example, when data of a network address representing an IP address group (192.168.1.12 to 192.168.1.1254) is received from the VPN main connection device 5, as shown in a table 412 of FIG. 192.168.1.12 and 192.168.11.254 are registered as IP addresses to be assigned to the terminal devices under the control. In the present embodiment, the address management unit 34a also extends the IP address lease period. As shown in a table 412 in FIG. 4B, 30 seconds is extended to, for example, 3 hours. Thus, after switching of the IP address, processing such as extension of the normal lease period is performed.
[0024]
As described above, when the assignment of the IP address group usable to the subordinate terminal device is received from the VPN main connection device 5, the VPN connection device 3a thereafter sets the lease period of the old IP address already assigned to the subordinate terminal device. The IP addresses are switched by sequentially disallowing the extension and assigning one IP address among those assigned from the VPN main connection device 5 as usable IP addresses.
[0025]
A first example of the processing flow of the IP address switching processing will be described with reference to FIG. The terminal device 301 (here, terminal A) to which any of the IP addresses notified as a group of usable IP addresses from the VPN main connection device 5 has not been assigned yet, before the lease period of the assigned IP address expires. Then, a DHCP_REQUEST message for requesting extension of the lease period is transmitted to the VPN connection device 3a (step S41). Upon receiving the DHCP_REQUEST message from the terminal device 301, the DHCP server unit 32a of the VPN connection device 3a checks the IP address group (FIG. 4B table 412) for assigning the source IP address of the DHCP_REQUEST message to the subordinate terminal device. It is determined whether it is included in the range, and if it is not included, the IP address must be switched, so a DHCP_NAK message is returned (step S43). Since the terminal device 301 has to be newly assigned an IP address, the terminal device 301 transmits a DHCP_REQUEST message for requesting the assignment to the VPN connection device 3a (step S45). Upon receiving the DHCP_REQUEST message requesting the assignment of an IP address, the DHCP server unit 32a of the VPN connection device 3a extracts one IP address from the assignable IP addresses and assigns it to the terminal device 301 (step S47). Then, the DHCP table (here, the table 413 in FIG. 4B) is updated. In the table 413 of FIG. 4B, a new IP address designated as the IP address for allocation in the table 412 corresponding to the MAC address 00: 90: 99: 7d: 4c: xx on the first line. 192.168.1.12 has been assigned from the group. This means that the IP address for the first line in the table 403 in FIG. 4A has been switched from 192.168.1.2. Note that the IP addresses of the other terminal devices have not been switched yet.
[0026]
Then, the VPN connection device 3a transmits a DHCP_ACK message to the terminal device 301 (Step S48). The terminal device 301 receives the DHCP_ACK message from the VPN connection device 3a, and can communicate with the new IP address via the VPN.
[0027]
At this stage, the switching of all the IP addresses has not been completed, so, for example, when the terminal device 302 (terminal B) tries to transmit some data to the IP address of another base (step S49), the VPN device 3a The access management unit 33a blocks this access (step S51). This is because, unless the terminal device before the address change does not block access to another site, data may be transmitted to another device during the address change. If the initial lease period is shortened, address switching should be completed promptly, the number of blocked accesses can be reduced, and the period of hindering communication will be short and in such cases Is also reduced.
[0028]
With reference to FIG. 6, a second example of the processing flow of the IP address switching processing will be described. The terminal device 301 (here, terminal A) to which any of the IP addresses notified as a group of usable IP addresses from the VPN main connection device 5 has not been assigned yet, before the lease period of the assigned IP address expires. Then, a DHCP_REQUEST message for requesting extension of the lease period is transmitted to the VPN connection device 3a (step S61). Upon receiving the DHCP_REQUEST message from the terminal device 301, the DHCP server unit 32a of the VPN connection device 3a checks the IP address group (FIG. 4B table 412) for assigning the source IP address of the DHCP_REQUEST message to the subordinate terminal device. Judge whether it is included in the range, and do not respond if it is not included. If there is no response, the terminal device 301 repeats step S61. However, since no response can be obtained, the lease period elapses.
[0029]
Then, the terminal device 301 broadcasts a DHCP_DISCOVER message to the network in the base B in order to acquire an IP address from the beginning (step S63). Upon receiving the DHCP_DISCOVER, the DHCP server unit 32a of the VPN connection device 3a transmits a DHCP_OFFER message including an unused IP address among the group of IP addresses that can be assigned at that time to the terminal device 301 of the transmission source (step S65). Upon receiving the DHCP_OFFER message from the VPN connection device 3a, the terminal device 301 retains data such as the presented IP address and transmits a DHCP_REQUEST message requesting assignment of the IP address and the like to the VPN connection device 3a (or Broadcast) (step S67). Upon receiving the DHCP_REQUEST message from the terminal device 301, the DHCP server unit 32a of the VPN connection device 3a registers the assignment of the IP address and the like to the terminal device 301 in the DHCP table (step S68). In the table 413 of FIG. 4B, a new IP address designated as the IP address for allocation in the table 412 corresponding to the MAC address 00: 90: 99: 7d: 4c: xx on the first line. 192.168.1.12 has been assigned from the group. Then, a DHCP_ACK message is transmitted to the terminal device 301 (step S69). Upon receiving the DHCP_ACK message from the VPN connection device 3a, the terminal device 301 can perform communication via the VPN.
[0030]
At this stage, since switching of all IP addresses has not been completed, for example, when the terminal device 302 (terminal B) attempts to transmit some data to the IP address of another base (step S71), the VPN device 3a The access management unit 33a blocks this access (step S73). This is because, unless the terminal device before the address change does not block access to another site, data may be transmitted to another device during the address change. If the initial lease period is shortened, address switching should be completed promptly, the number of blocked accesses can be reduced, and the period that hinders communication is short and in such cases Is also reduced.
[0031]
By repeating such processing, the VPN main connection device 5 can send all the terminal devices to which the IP address has been uniquely assigned before receiving the assignment of the usable IP address to the subordinate terminal device from the VPN main connection device 5. When the designated IP address is assigned, the IP address (192.168.1.1) and the subnet mask (255) of the VPN terminal device 3a initially used as shown in the table 421 (FIG. 4C). .255.255.0) becomes unnecessary and may be discarded. The table 422 is not changed. The table 423 indicates that the IP addresses in the allocation IP addresses defined in the table 422 are allocated to all the MAC addresses.
[0032]
By using the VPN connection device and the VPN main connection device that perform the operations described above, the administrator does not need to statically set the IP address over a plurality of bases, and furthermore, the VPN connection device and the VPN main connection. This is very convenient because the IP address can be automatically set without duplication of the IP address just by connecting the device.
[0033]
One embodiment of the present invention described above is only one embodiment, and the present invention is not limited to the present embodiment. The operation of the VPN main connection device 5 and the VPN connection device 3a or 3b may be switched by mode switching in one VPN connection device. Also, the functional block diagram shown in FIG. 1 is an example, and other functional divisions may be followed.
[0034]
In addition, the description of the exchange of the DHCP message is partially omitted, and only the matters necessary for understanding the embodiment of the present invention are described.
[0035]
Further, an example in which steps S23 and S31 are performed separately has been described, but the notification may be performed simultaneously.
[0036]
【The invention's effect】
Address duplication in the VPN can be avoided and the burden on the administrator can be reduced.
[Brief description of the drawings]
FIG. 1 is a system schematic diagram according to an embodiment of the present invention.
FIG. 2 is an example of data in a table managed in the VPN main connection device.
FIG. 3 is a flowchart illustrating processing in a VPN main connection device and a VPN connection device.
FIGS. 4A to 4C are diagrams illustrating transition examples of data of a table managed in the VPN connection device;
FIG. 5 is a diagram showing a flow (first example) of IP address switching in the VPN connection device.
FIG. 6 is a diagram illustrating a flow (second example) of IP address switching in the VPN connection device.
[Explanation of symbols]
1 Internet 3a, 3b VPN connection device 5 VPN main connection device 31a, 31b Remote VPN connection unit 32a, 32b DHCP server unit 33a, 33b Access management unit 34a, 34b Address management unit 51 Authentication processing unit 52 Address management unit 53 DHCP server unit

Claims (8)

主接続装置と接続して仮想私設網を構成するための接続装置であって、
前記主接続装置に接続して、当該接続装置のIPアドレス及び当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを前記主接続装置から受けるアドレス取得手段と、
当該接続装置の配下の装置に既にIPアドレスを割り当て済みの場合、当該配下の装置からIPアドレスのリース期間の延長要求を受信してもリース期間の延長を許可せず、前記主接続装置から割り当てを受けた前記使用可能なIPアドレスから新たなIPアドレスを前記配下の装置に割り当てる手段と、
を有する接続装置。A connection device for forming a virtual private network by connecting to a main connection device,
Address acquisition means for connecting to the main connection device and receiving, from the main connection device, an IP address of the connection device and an assignment of an IP address usable in a device under the connection device;
If an IP address has already been assigned to a device under the connection device, the extension of the lease period is not permitted even if a request to extend the lease period of the IP address is received from the device under the connection, and the IP address is assigned from the main connection device. Means for assigning a new IP address from the available IP addresses to the subordinate devices
A connection device having: 当該接続装置の配下の装置に既にIPアドレスを割り当て済みであって且つ前記アドレス取得手段が前記主接続装置から当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを受けている場合には、前記主接続装置から割り当てを受けた前記使用可能なIPアドレス以外のIPアドレスを送信元とする、前記仮想私設網への通信をブロックする手段
をさらに有する請求項1記載の接続装置。When an IP address has already been assigned to a device under the connection device, and the address acquisition unit has been assigned an IP address that can be used in a device under the connection device from the main connection device. 2. The connection device according to claim 1, further comprising means for blocking communication to the virtual private network, the transmission source being an IP address other than the usable IP address assigned from the main connection device. 前記主接続装置のIPアドレスと当該接続装置の認証情報とを用いて前記主接続装置に接続する手段をさらに有する請求項1又は2記載の接続装置。The connection device according to claim 1, further comprising a unit that connects to the main connection device using an IP address of the main connection device and authentication information of the connection device. 下位接続装置と接続して仮想私設網を構成するための接続装置であって、
前記下位接続装置からの接続要求に応じて認証処理を実施する手段と、
前記認証処理に成功した場合、前記下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスを割り当て、記憶装置に格納する手段と、
前記記憶装置に格納された前記下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスのデータを、当該下位接続装置に送信する手段と、
を有する接続装置。A connection device for forming a virtual private network by connecting to a lower connection device,
Means for performing an authentication process in response to a connection request from the lower connection device,
Means for allocating an IP address of the lower-level connection device and an IP address that can be used by a device under the lower-level connection device when the authentication processing is successful, and storing the IP address in a storage device;
Means for transmitting, to the lower-level connection device, data of the IP address of the lower-level connection device stored in the storage device and data of an IP address usable by a device under the lower-level connection device;
A connection device having: 下位接続装置と接続して仮想私設網を構成するための接続装置であって、
接続可能な下位接続装置に対応して当該下位接続装置のIPアドレス及び当該下位接続装置の配下の装置にて使用可能なIPアドレスを記憶する記憶手段と、
前記下位接続装置からの接続要求に応じて認証処理を実施する手段と、
前記認証処理に成功した場合、前記記憶手段に格納された前記下位接続装置のIPアドレス及び前記下位接続装置の配下の装置において使用可能なIPアドレスのデータを、前記下位接続装置に送信する手段と
を有する接続装置。A connection device for forming a virtual private network by connecting to a lower connection device,
Storage means for storing an IP address of the lower-level connection device and an IP address usable by a device under the lower-level connection device corresponding to the connectable lower-level connection device;
Means for performing an authentication process in response to a connection request from the lower connection device,
Means for transmitting, to the lower-level connection device, data of the IP address of the lower-level connection device stored in the storage unit and data of an IP address that can be used by a device under the lower-level connection device, if the authentication process is successful; A connection device having: 主接続装置と接続して仮想私設網を構成するための接続装置により実行されるプログラムであって、
前記主接続装置に接続して、当該接続装置のIPアドレス及び当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを前記主接続装置から受けるステップと、
当該接続装置の配下の装置に既にIPアドレスを割り当て済みの場合、当該配下の装置からIPアドレスのリース期間の延長要求を受信してもリース期間の延長を許可せず、前記主接続装置から割り当てを受けた前記使用可能なIPアドレスから新たなIPアドレスを前記配下の装置に割り当てるステップと、
を前記接続装置に実行させるためのプログラム。A program executed by a connection device for forming a virtual private network by connecting to a main connection device,
Connecting to the main connection device, receiving from the main connection device an IP address of the connection device and an assignment of an IP address usable in a device under the connection device;
If an IP address has already been assigned to a device under the connection device, the extension of the lease period is not permitted even if a request to extend the lease period of the IP address is received from the device under the connection, and the IP address is assigned from the main connection device. Assigning a new IP address to the subordinate device from the received available IP addresses;
For causing the connection device to execute. 下位接続装置と接続して仮想私設網を構成するための接続装置に実行されるプログラムであって、
前記下位接続装置からの接続要求に応じて認証処理を実施するステップと、
前記認証処理に成功した場合、前記下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスを割り当て、記憶装置に格納するステップと、
前記記憶装置に格納された前記下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスのデータを、当該下位接続装置に送信するステップと、
を前記接続装置に実行させるためのプログラム。A program executed on a connection device for forming a virtual private network by connecting to a lower connection device,
Performing an authentication process in response to a connection request from the lower connection device;
If the authentication process is successful, assigning an IP address of the lower connection device and an IP address usable by a device under the lower connection device, and storing the IP address in a storage device;
Transmitting the IP address of the lower-level connection device stored in the storage device and data of an IP address usable by a device under the lower-level connection device to the lower-level connection device;
For causing the connection device to execute. 下位接続装置と接続して仮想私設網を構成するための接続装置に実行させるプログラムであって、
前記下位接続装置からの接続要求に応じて認証処理を実施するステップと、
前記認証処理に成功した場合、接続可能な下位接続装置に対応して当該下位接続装置のIPアドレス及び当該下位接続装置の配下の装置にて使用可能なIPアドレスを記憶する記憶手段に格納された前記下位接続装置のIPアドレス及び前記下位接続装置の配下の装置において使用可能なIPアドレスのデータを、前記下位接続装置に送信するステップと
を前記接続装置に実行させるためのプログラム。A program to be executed by a connection device for forming a virtual private network by connecting to a lower connection device,
Performing an authentication process in response to a connection request from the lower connection device;
When the authentication process is successful, the IP address of the lower-level connection device corresponding to the lower-level connection device that can be connected and the IP address that can be used by a device under the lower-level connection device are stored in the storage unit. Transmitting, to the lower-level connection device, data of the IP address of the lower-level connection device and an IP address that can be used by a device under the lower-level connection device to the lower-level connection device.
JP2003052638A 2003-02-28 2003-02-28 Connected device Expired - Fee Related JP4173383B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003052638A JP4173383B2 (en) 2003-02-28 2003-02-28 Connected device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003052638A JP4173383B2 (en) 2003-02-28 2003-02-28 Connected device

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2008153763A Division JP4757284B2 (en) 2008-06-12 2008-06-12 Connected device

Publications (2)

Publication Number Publication Date
JP2004266415A true JP2004266415A (en) 2004-09-24
JP4173383B2 JP4173383B2 (en) 2008-10-29

Family

ID=33117459

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003052638A Expired - Fee Related JP4173383B2 (en) 2003-02-28 2003-02-28 Connected device

Country Status (1)

Country Link
JP (1) JP4173383B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007158869A (en) * 2005-12-07 2007-06-21 Hitachi Communication Technologies Ltd Router device and communication system
JP2007271429A (en) * 2006-03-31 2007-10-18 Topcon Corp Rtk-gps position measuring system
JP2008017254A (en) * 2006-07-07 2008-01-24 Matsushita Electric Ind Co Ltd Router device
JP2009100062A (en) * 2007-10-13 2009-05-07 A2 Network Kk Communication method
JP2009201098A (en) * 2008-01-22 2009-09-03 Fujitsu Ltd Address distribution system, method, and program for the program
JP4978895B2 (en) * 2005-03-22 2012-07-18 日本電気株式会社 Connection parameter setting system, method and server

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4978895B2 (en) * 2005-03-22 2012-07-18 日本電気株式会社 Connection parameter setting system, method and server
JP2007158869A (en) * 2005-12-07 2007-06-21 Hitachi Communication Technologies Ltd Router device and communication system
JP4692258B2 (en) * 2005-12-07 2011-06-01 株式会社日立製作所 Router device and communication system
JP2007271429A (en) * 2006-03-31 2007-10-18 Topcon Corp Rtk-gps position measuring system
JP2008017254A (en) * 2006-07-07 2008-01-24 Matsushita Electric Ind Co Ltd Router device
JP2009100062A (en) * 2007-10-13 2009-05-07 A2 Network Kk Communication method
JP2009201098A (en) * 2008-01-22 2009-09-03 Fujitsu Ltd Address distribution system, method, and program for the program
JP4633837B2 (en) * 2008-01-22 2011-02-16 富士通株式会社 Address distribution system, method and program therefor
US8335840B2 (en) 2008-01-22 2012-12-18 Fujitsu Limited Address distribution system and method and program for the same

Also Published As

Publication number Publication date
JP4173383B2 (en) 2008-10-29

Similar Documents

Publication Publication Date Title
US9847967B2 (en) DHCP proxy in a subscriber environment
JP4081472B2 (en) Cluster management method and apparatus for network device
US7577146B2 (en) Network element modifying the DHCP lease timer
US7477648B2 (en) Packet forwarding apparatus and access network system
USRE42078E1 (en) Method for preventing IP address cheating in dynamic address allocation
EP2169877B1 (en) Processing method and device for qinq termination configuration
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
RU2285346C2 (en) Method for setting up default channels for operation and servicing on basis of internet-protocol over asynchronous transfer mode
CN117793952A (en) Communication method and device
JP2003348116A (en) Address automatic setting system for in-home network
JP2005073230A (en) Network switching apparatus and path management server, network interface apparatus, control method for them, computer program for path management server and computer readable storage medium
CN110505316A (en) The distribution method and wireless routing device of internet protocol address
JP2006222929A (en) Network system
US7289471B2 (en) Mobile router, position management server, mobile network management system, and mobile network management method
US20050120135A1 (en) Method and apparatus for configuring a router
US20060193330A1 (en) Communication apparatus, router apparatus, communication method and computer program product
JP4173383B2 (en) Connected device
JP3994412B2 (en) Network system, network identifier setting method, network connection point, network identifier setting program, and recording medium
US20040199644A1 (en) Method of assigning a virtual network identifier to a terminal, and a terminal, a dynamic host configuration server, and a directory server for implementing the method
JP2003224576A (en) Lan type internet access network and subscriber line accommodation method used therefor
JP4495049B2 (en) Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device
JP4757284B2 (en) Connected device
JP2003124935A (en) Apparatus, method and program for setting fixed address
CN1652535B (en) Method for managing network layer address
US11552928B2 (en) Remote controller source address verification and retention for access devices

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060208

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20071129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071225

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20071225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080307

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080513

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080612

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080724

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080812

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080813

R150 Certificate of patent or registration of utility model

Ref document number: 4173383

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110822

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110822

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120822

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130822

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees