JP2004266415A - Connection apparatus - Google Patents
Connection apparatus Download PDFInfo
- Publication number
- JP2004266415A JP2004266415A JP2003052638A JP2003052638A JP2004266415A JP 2004266415 A JP2004266415 A JP 2004266415A JP 2003052638 A JP2003052638 A JP 2003052638A JP 2003052638 A JP2003052638 A JP 2003052638A JP 2004266415 A JP2004266415 A JP 2004266415A
- Authority
- JP
- Japan
- Prior art keywords
- connection device
- address
- vpn
- level
- main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
【0001】
【発明が属する技術分野】
本発明は、仮想私設網(VPN:Virtual Private Network)を構成するための接続装置に関する。
【0002】
【従来の技術】
VPNにおけるアドレス重複の問題は従来から議論されていた。一般的には、管理者がVPNにおける各拠点のネットワークをアドレスの重複を生じないように設計し、各機器にIPアドレスを静的に設定するということによりIPアドレスの重複を避けていた。また、特開2000−228674号公報では、VPN接続の際などに生じるアドレスの重複問題に対してアドレス付け替えという方式があることを示しているが大きな手間がかかるため現実的ではないとしている。
【0003】
【特許文献1】
特開2000−228674号公報
【0004】
【発明が解決しようとする課題】
このようにVPNにおけるアドレス重複の問題は従来から議論されてきたが、管理者の負担を軽減するような形の解決策はあまり示されていない。
【0005】
従って、本発明の目的は、VPNにおけるアドレス重複を回避し且つ管理者の負担を軽減するような技術を提供することである。
【0006】
【課題を解決するための手段】
本発明の第1の態様に係る、主接続装置と接続して仮想私設網を構成するための接続装置は、主接続装置に接続して、当該接続装置のIPアドレス及び当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを主接続装置から受けるアドレス取得手段と、当該接続装置の配下の装置に既にIPアドレスを割り当て済みの場合、当該配下の装置からIPアドレスのリース期間の延長要求を受信してもリース期間の延長を許可せず、主接続装置から割り当てを受けた使用可能なIPアドレスから新たなIPアドレスを前記配下の装置に割り当てる手段とを有する。
【0007】
これによりリース期間が切れた又は切れる端末装置から順次IPアドレスが切り替わることになるため、アドレスの重複は生じない。また、自動的切り替えが行われるので、管理者は特別の知識がなくともよく、さらに手間をかけずにVPNの構築を行うことができるようになる。なお、初期的なリース期間を短くすればより早期にアドレスの切り替えが行われるようになる。
【0008】
また、本発明の第1の態様において、当該接続装置の配下の装置に既にIPアドレスを割り当て済みであって且つアドレス取得手段が主接続装置から当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを受けている場合には、主接続装置から割り当てを受けた使用可能なIPアドレス以外のIPアドレスを送信元とする、仮想私設網への通信をブロックする手段をさらに有するようにしてもよい。これにより、アドレスの切り替え完了前に不適切なデータが別拠点に送信されるのを防止することができる。
【0009】
さらに、本発明の第1の態様において、主接続装置のIPアドレスと当該接続装置の認証情報とを用いて主接続装置に接続する手段をさらに有するようにしてもよい。
【0010】
本発明の第2の態様に係る、下位接続装置(例えば第1の態様に係る接続装置)と接続して仮想私設網を構成するための接続装置は、下位接続装置からの接続要求に応じて認証処理を実施する手段と、認証処理に成功した場合、下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスを割り当て、記憶装置に格納する手段と、記憶装置に格納された下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスのデータを、当該下位接続装置に送信する手段とを有する。
【0011】
また、本発明の第3の態様に係る、下位接続装置(例えば第1の態様に係る接続装置)と接続して仮想私設網を構成するための接続装置は、接続可能な下位接続装置に対応して当該下位接続装置のIPアドレス及び当該下位接続装置の配下の装置にて使用可能なIPアドレスを記憶する記憶手段と、下位接続装置からの接続要求に応じて認証処理を実施する手段と、認証処理に成功した場合、記憶手段に格納された下位接続装置のIPアドレス及び前記下位接続装置の配下の装置において使用可能なIPアドレスのデータを、下位接続装置に送信する手段とを有する。
【0012】
また、上で述べた接続装置として動作させるプログラムを作成することも可能であって、当該プログラムは、例えばフレキシブル・ディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。なお、ネットワークを介してデジタル信号として配布される場合もある。また、処理途中のデータについては、コンピュータのメモリに一時保管される。
【0013】
【発明の実施の形態】
本発明の一実施の形態に係るシステム概要図を図1に示す。インターネット1には、拠点Aと拠点Bと拠点Cとが接続してVPNを構築するものとする。VPNを構築するため暗号化などを行うが、本発明の要旨には直接関係しないので、ここでは説明を省略する。本実施の形態では、拠点Aにおいてインターネット1に接続する装置をVPN主接続装置5とし、拠点Bにおいてインターネット1に接続する装置をVPN接続装置3aとし、拠点Cにおいてインターネット1に接続する装置をVPN接続装置3bとする。
【0014】
VPN主接続装置5は、接続する下位のVPN接続装置3a及び3bなどを管理するアドレス管理部52と、接続する下位のVPN接続装置3a及び3bなどの認証処理を実施する認証処理部51と、拠点A内においてVPN主接続装置5に接続する端末305及び306などにIPアドレスを割り当てるDHCPサーバ部53とを有している。アドレス管理部52は、例えば図2に示すようなテーブルを管理する。図2に示したテーブルの例では、拠点名の列201と、ユーザIDの列202と、パスワードの列203と、VPN装置IPアドレスの列204と、ネットワークアドレスの列205と、サブネットマスクの列206とが設けられている。このように各拠点につき認証情報であるユーザID及びパスワードが管理されており認証処理部51が認証処理の際に用いる。また、各拠点につき、VPN装置(VPN主接続装置5及びVPN接続装置3a及び3bなど)のIPアドレスと、配下の端末に使用可能なIPアドレス群を表すネットワークアドレス及びサブネットマスクとが登録される。このテーブルは静的に設定されるようにしても良いが、VPN接続装置のVPN装置IPアドレス、ネットワークアドレス及びサブネットマスクの列の値については、所定のルールに従って動的に割り当てるようにしても良い。DHCPサーバ部53は、図2に示したテーブルにおいて自装置に割り当てられた、配下の端末装置305及び306などに使用可能なIPアドレス群から端末装置305及び306などの要求に応じてIPアドレスを割り当てる処理を実施する。
【0015】
VPN接続装置3aは、VPN主接続装置5に接続するための処理を行うリモートVPN接続部31aと、当該VPN接続装置3aの配下の端末装置301及び302などの要求に応じて、VPN主接続装置5から割り当てられ且つ配下の端末装置に使用可能なIPアドレス群からIPアドレスを割り当てる処理を実施するDHCPサーバ部32aと、当該VPN接続装置3aの配下の端末装置301及び302などからVPNへのアクセスを管理するアクセス管理部33aと、当該VPN接続装置3aに関連するアドレス情報を管理するアドレス管理部34aとを有する。処理の詳細については処理フローを基に説明する。
【0016】
VPN接続装置3bは、VPN接続装置3aと同じ構成を有するものであって、符号がaからbに置き換えられており、配下の端末装置が端末装置303及び304などである点が異なる。
【0017】
次に図3乃至図6を用いて図1に示したシステムの処理について説明する。なお、VPN接続装置については拠点Bに存在するVPN接続装置3aを用いて説明する。また、端末装置も端末装置301を用いて説明する。なお、処理内容については拠点Cについても同様である。
【0018】
最初に、管理者は拠点AのVPN主接続装置5のアドレス管理部52に対して、各拠点について、少なくともユーザID及びパスワード、場合によってはVPN装置IPアドレス、ネットワークアドレス及びサブネットマスクについても登録する(ステップS1)。アドレス管理部52は例えば図2のようなテーブルを記憶領域に保持する。なお、少なくともVPN主接続装置5自身のIPアドレス、ネットワークアドレス及びサブネットマスクについては登録する。また、管理者は、拠点BのVPN接続装置3aのリモートVPN接続部31aに対して、自装置のユーザID及びパスワードと、接続先となるVPN主接続装置5のIPアドレスの設定を行う(ステップS3)。なお、本実施の形態では、VPN接続装置3aを起動すると、VPN主接続装置5に接続する前、端末装置301がVPN接続装置3aに接続しようとするものとする。
【0019】
従って、端末装置301は、DHCP_DISCOVERメッセージを拠点B内のネットワークにブロードキャストする(ステップS5)。VPN接続装置3aのDHCPサーバ部32aは、DHCP_DISCOVERを受信すると、その時点で割り当て可能なIPアドレス群のうち未使用のIPアドレスなどを含むDHCP_OFFERメッセージを、送信元の端末装置301に送信する(又はブロードキャストする)(ステップS7)。端末装置301は、VPN接続装置3aからDHCP_OFFERメッセージを受信すると、提示されたIPアドレスなどのデータを保持し、当該IPアドレスなどの割り当てを要求するDHCP_REQUESTメッセージを、VPN接続装置3aに送信する(ステップS9)。VPN接続装置3aのDHCPサーバ部32aは、端末装置301からDHCP_REQUESTメッセージを受信すると、DHCPテーブルに端末装置301へのIPアドレスなどの割り当てを登録する(ステップS11)。そして、DHCP_ACKメッセージを端末装置301に送信する(ステップS13)。端末装置301は、VPN接続装置3aからDHCP_ACKメッセージを受信すると、IPアドレスの割り当てが完了するので拠点B内のネットワークにおいて通信を行うことができるようになる。
【0020】
このような処理を行うことにより、VPN接続装置3a内部の記憶装置には、図4(a)のようなデータが保持されるようになる。図4(a)の例では、テーブル401に、VPN接続装置3a自身の初期的なIPアドレス(192.168.1.1)とサブネットマスク(255.255.255.0)と、テーブル402に、配下の端末装置に割り当てるためのIPアドレス範囲(192.168.1.2から192.168.1.254)と、割り当てたIPアドレスのリース期間(30秒)とが登録されている。この部分については、例えばVPN接続装置3aの初期的な設定に基づくものである。従って、端末装置301や302が、IPアドレスの割り当てを求めてくると、上で説明したような処理を行って、割り当てたIPアドレスとMACアドレスとの対をテーブル403に登録する。例えばIPアドレス192.168.1.2は、MACアドレス00:90:99:7d:4c:xxという端末装置に割り当てられたことが分かる。なお、テーブル402に示したように、リース期間は例えば30秒といったように、通常より短い時間を設定しておき、VPN主接続装置5からIPアドレス群の割り当てを受けた場合に速やかにIPアドレスの切り替えが完了するようにしている。
【0021】
そして任意のタイミングで、VPN接続装置3aのリモートVPN接続部31aは、インターネット1を介して、認証情報(ユーザID及びパスワード)を含むVPN接続要求をVPN主接続装置5に送信する(ステップS15)。VPN主接続装置5の認証処理部51は、VPN接続要求を受信すると(ステップS17)、当該接続要求に含まれる認証情報を用いて認証処理を実施する(ステップS19)。具体的には、受信した認証情報に含まれるユーザIDで図2に示したテーブルを検索し、当該ユーザIDに対応するパスワードを抽出する。そして、受信した認証情報に含まれるパスワードと抽出されたパスワードとを比較して一致するかを判断する。一致すれば認証は成功となる。一致しなければ認証は失敗で、以降の処理は行われない。
【0022】
認証に成功すると、アドレス管理部52は、図2に示したテーブルから予め当該ユーザIDに対応して割り当てられているVPN接続装置3a用のIPアドレスなどを読み出すか、新たにIPアドレスなどを所定のルールに従って割り当てる(ステップS21)。新たに割り当てた場合には、図2のテーブルに登録する。そして、アドレス管理部52は、VPN接続装置3aに割り当てられたIPアドレスなどをVPN接続装置3aに通知する(ステップS23)。VPN接続装置3aのアドレス管理部34aは、VPN主接続装置5からIPアドレスなどの通知を受信し(ステップS25)、受信したIPアドレスを自IPアドレスとして記憶装置に設定登録する(ステップS27)。例えば図4(b)のテーブル411に示すように、元々初期的に設定していたVPN接続装置3a自身のIPアドレス(192.168.1.1)に加えて、新たに通知されたIPアドレス(192.168.11.1)が追加登録される。このように追加で登録することにより、VPNにおいては新たに通知されたIPアドレスの機器として動作し、拠点内のネットワークに対しては初期的に設定されたIPアドレスの機器として動作することができるようになる。なお、ここではサブネットマスクについても追加登録されている。
【0023】
また、VPN主接続装置5のアドレス管理部52は、図2に示したテーブルから予め当該ユーザIDに対応して割り当てられているネットワークアドレス(使用可能なIPアドレス群)を読み出すか、新たに当該VPN接続装置3aに割り当てたIPアドレスなどを基にしてネットワークアドレスを割り当てる(ステップS29)。新たに割り当てた場合には、図2に示したテーブルに登録する。そして、VPN接続装置3aに当該ネットワークアドレスなどのデータを送信する(ステップS31)。VPN接続装置3aのアドレス管理部34aは、VPN主接続装置5からネットワークアドレスなどを受信すると(ステップS33)、図4(b)のテーブル412に登録することにより、DHCPテーブルを更新する(ステップS35)。例えばVPN主接続装置5からIPアドレス群(192.168.11.2から192.168.11.254)を表すネットワークアドレスのデータを受信した場合、図4(b)のテーブル412に示すように、配下の端末装置に割り当てるためのIPアドレスとして、192.168.11.2と192.168.11.254とが登録される。また、本実施の形態では、アドレス管理部34aは、IPアドレスのリース期間も延長する。図4(b)のテーブル412に示すように、30秒を例えば3時間に延長している。これによりIPアドレスの切り替え後は、通常のリース期間延長などの処理を行う。
【0024】
このように配下の端末装置に使用可能なIPアドレス群の割り当てをVPN主接続装置5から受信すると、以降、VPN接続装置3aは、配下の端末装置に既に割り当てている古いIPアドレスのリース期間の延長を順次不許可にして、使用可能なIPアドレスとしてVPN主接続装置5から割り当てを受けたもののうち1つのIPアドレスを割り当てることにより、IPアドレスの切り替えを行う。
【0025】
図5を用いて、IPアドレスの切り替え処理の処理フローの第1の例を説明する。VPN主接続装置5から使用可能なIPアドレス群として通知されたIPアドレスのいずれかがまだ割り当てられていない端末装置301(ここでは端末A)は、割り当てられたIPアドレスのリース期間が切れる前に、リース期間の延長を求めるDHCP_REQUESTメッセージをVPN接続装置3aに送信する(ステップS41)。VPN接続装置3aのDHCPサーバ部32aは、端末装置301からDHCP_REQUESTメッセージを受信すると、DHCP_REQUESTメッセージの送信元IPアドレスが配下の端末装置に割り当てるためのIPアドレス群(図4(b)テーブル412)の範囲に含まれているか判断し、含まれていない場合にはIPアドレスの切り替えを行わなければならないため、DHCP_NAKメッセージを返信する(ステップS43)。端末装置301は、IPアドレスを新たに割り当ててもらわなければならないので、割り当てを求めるためのDHCP_REQUESTメッセージをVPN接続装置3aに送信する(ステップS45)。VPN接続装置3aのDHCPサーバ部32aは、IPアドレスの割り当てを求めるDHCP_REQUESTメッセージを受信すると、割り当て可能なIPアドレスから1つのIPアドレスを抽出し、端末装置301に対して割り当てる(ステップS47)。そして、DHCPテーブル(ここでは図4(b)のテーブル413)を更新する。図4(b)のテーブル413においては、第一行目にMACアドレス00:90:99:7d:4c:xxに対応して、テーブル412において割り当て用IPアドレスとして指定されている新たなIPアドレス群から192.168.11.2が割り当てられている。これは図4(a)のテーブル403における第一行目についてのIPアドレスが192.168.1.2から切り替えられたことを表している。なお、他の端末装置のIPアドレスはまだ切り替えられていない。
【0026】
そして、VPN接続装置3aは、DHCP_ACKメッセージを端末装置301に送信する(ステップS48)。端末装置301は、VPN接続装置3aからDHCP_ACKメッセージを受信し、新たなIPアドレスにてVPNを介して通信を行うことができるようになる。
【0027】
この段階では、全てのIPアドレスの切り替えが終わっていないので、例えば端末装置302(端末B)が、他拠点のIPアドレス宛に何らかのデータを送信しようとすると(ステップS49)、VPN接続装置3aのアクセス管理部33aは、このアクセスをブロックする(ステップS51)。このようにアドレス切り替え前の端末装置から他拠点へのアクセスをブロックしないとアドレス切り替え中別の機器に対してデータを送信するような事態が生じてしまうからである。なお、初期的なリース期間を短くしておけば、アドレスの切り替えは速やかに完了するはずであり、ブロックするアクセスの数を減らすことができ、通信に支障をきたす期間は短くまたそのようなケースも少なくなる。
【0028】
図6を用いて、IPアドレスの切り替え処理の処理フローの第2の例を説明する。VPN主接続装置5から使用可能なIPアドレス群として通知されたIPアドレスのいずれかがまだ割り当てられていない端末装置301(ここでは端末A)は、割り当てられたIPアドレスのリース期間が切れる前に、リース期間の延長を求めるDHCP_REQUESTメッセージをVPN接続装置3aに送信する(ステップS61)。VPN接続装置3aのDHCPサーバ部32aは、端末装置301からDHCP_REQUESTメッセージを受信すると、DHCP_REQUESTメッセージの送信元IPアドレスが配下の端末装置に割り当てるためのIPアドレス群(図4(b)テーブル412)の範囲に含まれているか判断し、含まれていない場合には応答しない。応答がないと端末装置301はステップS61を繰り返すが、応答を得ることができないので、リース期間を経過する。
【0029】
そうすると、端末装置301は、最初からIPアドレスを取得すべく、DHCP_DISCOVERメッセージを拠点B内のネットワークにブロードキャストする(ステップS63)。VPN接続装置3aのDHCPサーバ部32aは、DHCP_DISCOVERを受信すると、その時点で割り当て可能なIPアドレス群のうち未使用のIPアドレスなどを含むDHCP_OFFERメッセージを、送信元の端末装置301に送信する(ステップS65)。端末装置301は、VPN接続装置3aからDHCP_OFFERメッセージを受信すると、提示されたIPアドレスなどのデータを保持し、当該IPアドレスなどの割り当てを要求するDHCP_REQUESTメッセージを、VPN接続装置3aに送信する(又はブロードキャストする)(ステップS67)。VPN接続装置3aのDHCPサーバ部32aは、端末装置301からDHCP_REQUESTメッセージを受信すると、DHCPテーブルに端末装置301へのIPアドレスなどの割り当てを登録する(ステップS68)。図4(b)のテーブル413においては、第一行目にMACアドレス00:90:99:7d:4c:xxに対応して、テーブル412において割り当て用IPアドレスとして指定されている新たなIPアドレス群から192.168.11.2が割り当てられている。そして、DHCP_ACKメッセージを端末装置301に送信する(ステップS69)。端末装置301は、VPN接続装置3aからDHCP_ACKメッセージを受信すると、VPNを介して通信を行うことができるようになる。
【0030】
この段階では、全てのIPアドレスの切り替えが終わっていないので、例えば端末装置302(端末B)が、他拠点のIPアドレス宛に何らかのデータを送信しようとすると(ステップS71)、VPN接続装置3aのアクセス管理部33aは、このアクセスをブロックする(ステップS73)。このようにアドレス切り替え前の端末装置から他拠点へのアクセスをブロックしないとアドレス切り替え中別の機器に対してデータを送信するような事態が生じてしまうからである。なお、初期的なリース期間を短くしておけば、アドレスの切り替えは速やかに完了するはずであり、ブロックするアクセスの数を減らすことができ、通信に支障をきたす期間は短くまたそのようなケースも少なくなる。
【0031】
このような処理を繰り返すことにより、VPN主接続装置5から配下の端末装置に使用可能なIPアドレスの割り当てを受ける前にIPアドレスを独自に割り当てた全ての端末装置に、VPN主接続装置5から指定されたIPアドレスが割り当てられると、テーブル421(図4(c))のように初期的に使用していたVPN端末装置3aのIPアドレス(192.168.1.1)及びサブネットマスク(255.255.255.0)のデータは不要になるため破棄してもよい。なお、テーブル422については変更はない。テーブル423については、全てのMACアドレスに対応してテーブル422において規定されている割り当て用IPアドレス内のIPアドレスが割り当てられていることが示されている。
【0032】
以上のような動作を行うVPN接続装置及びVPN主接続装置を用いることにより、管理者が複数の拠点に渡ってIPアドレスの静的な設定を行う必要がなく、さらにVPN接続装置及びVPN主接続装置を接続するだけで自動的にIPアドレスの重複なくIPアドレスを設定することができるため、非常に便利である。
【0033】
以上説明した本発明の一実施の形態は、一実施の形態に過ぎず、本発明は本実施の形態に限定されるものではない。VPN主接続装置5及びVPN接続装置3a又は3bについては、1台のVPN接続装置においてモード切替にて動作を切り替えるようにしても良い。また、図1に示した機能ブロック図は一例であって、他の機能分けに従っても良い。
【0034】
また、DHCPメッセージのやりとりの説明については一部説明を省略している部分もあり、本発明の実施の形態を理解する上で必要な事項のみを説明している。
【0035】
さらに、ステップS23及びS31は分けて行う例を示したが、同時に通知するようにしても良い。
【0036】
【発明の効果】
VPNにおけるアドレス重複を回避し且つ管理者の負担を軽減することができるようになる。
【図面の簡単な説明】
【図1】本発明の一実施の形態に係るシステム概要図である。
【図2】VPN主接続装置において管理するテーブルのデータ例である。
【図3】VPN主接続装置及びVPN接続装置における処理を説明するフロー図である。
【図4】(a)乃至(c)は、VPN接続装置において管理するテーブルのデータの遷移例を示す図である。
【図5】VPN接続装置におけるIPアドレス切り替えのフロー(第1の例)を示す図である。
【図6】VPN接続装置におけるIPアドレス切り替えのフロー(第2の例)を示す図である。
【符号の説明】
1 インターネット 3a,3b VPN接続装置
5 VPN主接続装置
31a,31b リモートVPN接続部
32a,32b DHCPサーバ部
33a,33b アクセス管理部
34a,34b アドレス管理部
51 認証処理部 52 アドレス管理部 53 DHCPサーバ部[0001]
TECHNICAL FIELD OF THE INVENTION
TECHNICAL FIELD The present invention relates to a connection device for configuring a virtual private network (VPN: Virtual Private Network).
[0002]
[Prior art]
The problem of address duplication in VPNs has been discussed previously. In general, the administrator has designed the network of each site in the VPN so as not to cause an address duplication, and avoided the duplication of the IP address by statically setting the IP address to each device. Japanese Patent Application Laid-Open No. 2000-228677 discloses that there is a method of address replacement for address duplication problems that occur at the time of VPN connection or the like, but it is not realistic because it takes a lot of trouble.
[0003]
[Patent Document 1]
Japanese Patent Application Laid-Open No. 2000-228677
[Problems to be solved by the invention]
As described above, the problem of address duplication in VPNs has been discussed in the past, but there are few solutions that reduce the burden on the administrator.
[0005]
Therefore, an object of the present invention is to provide a technique for avoiding address duplication in a VPN and reducing the burden on an administrator.
[0006]
[Means for Solving the Problems]
The connection device according to the first aspect of the present invention, which is connected to the main connection device to form a virtual private network, is connected to the main connection device, and has an IP address of the connection device and a subordinate of the connection device. Address acquisition means for receiving assignment of an IP address usable in the device from the main connection device, and request for extension of the lease period of the IP address from the device under the control if the IP address has already been assigned to the device under the connection device Means for not permitting the extension of the lease period even if the IP address is received, and allocating a new IP address to the subordinate device from the available IP addresses allocated from the main connection device.
[0007]
As a result, the IP address is sequentially switched from the terminal device whose lease period has expired or has expired, so that address duplication does not occur. In addition, since the switching is automatically performed, the administrator does not need to have any special knowledge, and can construct the VPN without further trouble. Note that if the initial lease period is shortened, address switching will be performed earlier.
[0008]
Further, in the first aspect of the present invention, an IP address has already been assigned to a device under the connection device, and an IP address usable by the address acquisition means from the main connection device to a device under the connection device. In the case where the IP address has been assigned, a means for blocking communication to the virtual private network having an IP address other than the available IP address assigned from the main connection device as a transmission source may be further provided. Good. Thus, it is possible to prevent inappropriate data from being transmitted to another site before the address switching is completed.
[0009]
Further, in the first aspect of the present invention, a means for connecting to the main connection device using the IP address of the main connection device and the authentication information of the connection device may be further provided.
[0010]
The connection device according to the second aspect of the present invention for forming a virtual private network by connecting to a lower connection device (for example, the connection device according to the first embodiment) in response to a connection request from the lower connection device Means for performing an authentication process, means for assigning an IP address of a lower connection device and an IP address usable by a device under the lower connection device when the authentication process is successful, and storing the IP address in a storage device; Means for transmitting the stored data of the IP address of the lower connection device and the IP address that can be used by a device under the lower connection device to the lower connection device.
[0011]
The connection device according to the third aspect of the present invention for forming a virtual private network by connecting to a lower connection device (for example, the connection device according to the first embodiment) corresponds to a connectable lower connection device. Storage means for storing an IP address of the lower-level connection device and an IP address that can be used by a device subordinate to the lower-level connection device; means for performing authentication processing in response to a connection request from the lower-level connection device; Means for transmitting, to the lower-level connection device, the data of the IP address of the lower-level connection device stored in the storage means and an IP address usable by a device subordinate to the lower-level connection device when the authentication process is successful.
[0012]
It is also possible to create a program that operates as the connection device described above, and the program can be a storage medium such as a flexible disk, a CD-ROM, a magneto-optical disk, a semiconductor memory, a hard disk, or a storage device. Is stored in In some cases, digital signals are distributed via a network. Data being processed is temporarily stored in a computer memory.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 shows a schematic diagram of a system according to an embodiment of the present invention. In the Internet 1, a site A, a site B, and a site C are connected to construct a VPN. Although encryption and the like are performed to construct a VPN, they are not directly related to the gist of the present invention, and thus description thereof is omitted here. In the present embodiment, a device that connects to the Internet 1 at the site A is a VPN main connection device 5, a device that connects to the Internet 1 at the site B is a VPN connection device 3a, and a device that connects to the Internet 1 at the site C is a VPN. The connection device is referred to as a connection device 3b.
[0014]
The VPN main connection device 5 includes an
[0015]
The VPN connection device 3a performs a process for connecting to the VPN main connection device 5 and a VPN
[0016]
The VPN connection device 3b has the same configuration as that of the VPN connection device 3a, except that the symbols are replaced by a to b, and that the subordinate terminal devices are the
[0017]
Next, processing of the system shown in FIG. 1 will be described with reference to FIGS. The VPN connection device will be described using the VPN connection device 3a located at the base B. In addition, a terminal device will be described using the
[0018]
First, the administrator registers at least a user ID and password, and in some cases, a VPN device IP address, a network address, and a subnet mask for each site in the
[0019]
Therefore, the
[0020]
By performing such processing, data as shown in FIG. 4A is held in the storage device inside the VPN connection device 3a. In the example of FIG. 4A, the table 401 includes the initial IP address (192.168.1.1) and the subnet mask (255.255.255.0) of the VPN connection apparatus 3a itself, and the table 402 includes The IP address range (192.168.1.2 to 192.168.1.254) to be allocated to the terminal device under the control and the lease period (30 seconds) of the allocated IP address are registered. This part is based on, for example, initial settings of the VPN connection device 3a. Therefore, when the
[0021]
Then, at an arbitrary timing, the remote
[0022]
If the authentication is successful, the
[0023]
Further, the
[0024]
As described above, when the assignment of the IP address group usable to the subordinate terminal device is received from the VPN main connection device 5, the VPN connection device 3a thereafter sets the lease period of the old IP address already assigned to the subordinate terminal device. The IP addresses are switched by sequentially disallowing the extension and assigning one IP address among those assigned from the VPN main connection device 5 as usable IP addresses.
[0025]
A first example of the processing flow of the IP address switching processing will be described with reference to FIG. The terminal device 301 (here, terminal A) to which any of the IP addresses notified as a group of usable IP addresses from the VPN main connection device 5 has not been assigned yet, before the lease period of the assigned IP address expires. Then, a DHCP_REQUEST message for requesting extension of the lease period is transmitted to the VPN connection device 3a (step S41). Upon receiving the DHCP_REQUEST message from the
[0026]
Then, the VPN connection device 3a transmits a DHCP_ACK message to the terminal device 301 (Step S48). The
[0027]
At this stage, the switching of all the IP addresses has not been completed, so, for example, when the terminal device 302 (terminal B) tries to transmit some data to the IP address of another base (step S49), the VPN device 3a The
[0028]
With reference to FIG. 6, a second example of the processing flow of the IP address switching processing will be described. The terminal device 301 (here, terminal A) to which any of the IP addresses notified as a group of usable IP addresses from the VPN main connection device 5 has not been assigned yet, before the lease period of the assigned IP address expires. Then, a DHCP_REQUEST message for requesting extension of the lease period is transmitted to the VPN connection device 3a (step S61). Upon receiving the DHCP_REQUEST message from the
[0029]
Then, the
[0030]
At this stage, since switching of all IP addresses has not been completed, for example, when the terminal device 302 (terminal B) attempts to transmit some data to the IP address of another base (step S71), the VPN device 3a The
[0031]
By repeating such processing, the VPN main connection device 5 can send all the terminal devices to which the IP address has been uniquely assigned before receiving the assignment of the usable IP address to the subordinate terminal device from the VPN main connection device 5. When the designated IP address is assigned, the IP address (192.168.1.1) and the subnet mask (255) of the VPN terminal device 3a initially used as shown in the table 421 (FIG. 4C). .255.255.0) becomes unnecessary and may be discarded. The table 422 is not changed. The table 423 indicates that the IP addresses in the allocation IP addresses defined in the table 422 are allocated to all the MAC addresses.
[0032]
By using the VPN connection device and the VPN main connection device that perform the operations described above, the administrator does not need to statically set the IP address over a plurality of bases, and furthermore, the VPN connection device and the VPN main connection. This is very convenient because the IP address can be automatically set without duplication of the IP address just by connecting the device.
[0033]
One embodiment of the present invention described above is only one embodiment, and the present invention is not limited to the present embodiment. The operation of the VPN main connection device 5 and the VPN connection device 3a or 3b may be switched by mode switching in one VPN connection device. Also, the functional block diagram shown in FIG. 1 is an example, and other functional divisions may be followed.
[0034]
In addition, the description of the exchange of the DHCP message is partially omitted, and only the matters necessary for understanding the embodiment of the present invention are described.
[0035]
Further, an example in which steps S23 and S31 are performed separately has been described, but the notification may be performed simultaneously.
[0036]
【The invention's effect】
Address duplication in the VPN can be avoided and the burden on the administrator can be reduced.
[Brief description of the drawings]
FIG. 1 is a system schematic diagram according to an embodiment of the present invention.
FIG. 2 is an example of data in a table managed in the VPN main connection device.
FIG. 3 is a flowchart illustrating processing in a VPN main connection device and a VPN connection device.
FIGS. 4A to 4C are diagrams illustrating transition examples of data of a table managed in the VPN connection device;
FIG. 5 is a diagram showing a flow (first example) of IP address switching in the VPN connection device.
FIG. 6 is a diagram illustrating a flow (second example) of IP address switching in the VPN connection device.
[Explanation of symbols]
1 Internet 3a, 3b VPN connection device 5 VPN
Claims (8)
前記主接続装置に接続して、当該接続装置のIPアドレス及び当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを前記主接続装置から受けるアドレス取得手段と、
当該接続装置の配下の装置に既にIPアドレスを割り当て済みの場合、当該配下の装置からIPアドレスのリース期間の延長要求を受信してもリース期間の延長を許可せず、前記主接続装置から割り当てを受けた前記使用可能なIPアドレスから新たなIPアドレスを前記配下の装置に割り当てる手段と、
を有する接続装置。A connection device for forming a virtual private network by connecting to a main connection device,
Address acquisition means for connecting to the main connection device and receiving, from the main connection device, an IP address of the connection device and an assignment of an IP address usable in a device under the connection device;
If an IP address has already been assigned to a device under the connection device, the extension of the lease period is not permitted even if a request to extend the lease period of the IP address is received from the device under the connection, and the IP address is assigned from the main connection device. Means for assigning a new IP address from the available IP addresses to the subordinate devices
A connection device having:
をさらに有する請求項1記載の接続装置。When an IP address has already been assigned to a device under the connection device, and the address acquisition unit has been assigned an IP address that can be used in a device under the connection device from the main connection device. 2. The connection device according to claim 1, further comprising means for blocking communication to the virtual private network, the transmission source being an IP address other than the usable IP address assigned from the main connection device.
前記下位接続装置からの接続要求に応じて認証処理を実施する手段と、
前記認証処理に成功した場合、前記下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスを割り当て、記憶装置に格納する手段と、
前記記憶装置に格納された前記下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスのデータを、当該下位接続装置に送信する手段と、
を有する接続装置。A connection device for forming a virtual private network by connecting to a lower connection device,
Means for performing an authentication process in response to a connection request from the lower connection device,
Means for allocating an IP address of the lower-level connection device and an IP address that can be used by a device under the lower-level connection device when the authentication processing is successful, and storing the IP address in a storage device;
Means for transmitting, to the lower-level connection device, data of the IP address of the lower-level connection device stored in the storage device and data of an IP address usable by a device under the lower-level connection device;
A connection device having:
接続可能な下位接続装置に対応して当該下位接続装置のIPアドレス及び当該下位接続装置の配下の装置にて使用可能なIPアドレスを記憶する記憶手段と、
前記下位接続装置からの接続要求に応じて認証処理を実施する手段と、
前記認証処理に成功した場合、前記記憶手段に格納された前記下位接続装置のIPアドレス及び前記下位接続装置の配下の装置において使用可能なIPアドレスのデータを、前記下位接続装置に送信する手段と
を有する接続装置。A connection device for forming a virtual private network by connecting to a lower connection device,
Storage means for storing an IP address of the lower-level connection device and an IP address usable by a device under the lower-level connection device corresponding to the connectable lower-level connection device;
Means for performing an authentication process in response to a connection request from the lower connection device,
Means for transmitting, to the lower-level connection device, data of the IP address of the lower-level connection device stored in the storage unit and data of an IP address that can be used by a device under the lower-level connection device, if the authentication process is successful; A connection device having:
前記主接続装置に接続して、当該接続装置のIPアドレス及び当該接続装置の配下の装置において使用可能なIPアドレスの割り当てを前記主接続装置から受けるステップと、
当該接続装置の配下の装置に既にIPアドレスを割り当て済みの場合、当該配下の装置からIPアドレスのリース期間の延長要求を受信してもリース期間の延長を許可せず、前記主接続装置から割り当てを受けた前記使用可能なIPアドレスから新たなIPアドレスを前記配下の装置に割り当てるステップと、
を前記接続装置に実行させるためのプログラム。A program executed by a connection device for forming a virtual private network by connecting to a main connection device,
Connecting to the main connection device, receiving from the main connection device an IP address of the connection device and an assignment of an IP address usable in a device under the connection device;
If an IP address has already been assigned to a device under the connection device, the extension of the lease period is not permitted even if a request to extend the lease period of the IP address is received from the device under the connection, and the IP address is assigned from the main connection device. Assigning a new IP address to the subordinate device from the received available IP addresses;
For causing the connection device to execute.
前記下位接続装置からの接続要求に応じて認証処理を実施するステップと、
前記認証処理に成功した場合、前記下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスを割り当て、記憶装置に格納するステップと、
前記記憶装置に格納された前記下位接続装置のIPアドレス及び当該下位接続装置の配下の装置において使用可能なIPアドレスのデータを、当該下位接続装置に送信するステップと、
を前記接続装置に実行させるためのプログラム。A program executed on a connection device for forming a virtual private network by connecting to a lower connection device,
Performing an authentication process in response to a connection request from the lower connection device;
If the authentication process is successful, assigning an IP address of the lower connection device and an IP address usable by a device under the lower connection device, and storing the IP address in a storage device;
Transmitting the IP address of the lower-level connection device stored in the storage device and data of an IP address usable by a device under the lower-level connection device to the lower-level connection device;
For causing the connection device to execute.
前記下位接続装置からの接続要求に応じて認証処理を実施するステップと、
前記認証処理に成功した場合、接続可能な下位接続装置に対応して当該下位接続装置のIPアドレス及び当該下位接続装置の配下の装置にて使用可能なIPアドレスを記憶する記憶手段に格納された前記下位接続装置のIPアドレス及び前記下位接続装置の配下の装置において使用可能なIPアドレスのデータを、前記下位接続装置に送信するステップと
を前記接続装置に実行させるためのプログラム。A program to be executed by a connection device for forming a virtual private network by connecting to a lower connection device,
Performing an authentication process in response to a connection request from the lower connection device;
When the authentication process is successful, the IP address of the lower-level connection device corresponding to the lower-level connection device that can be connected and the IP address that can be used by a device under the lower-level connection device are stored in the storage unit. Transmitting, to the lower-level connection device, data of the IP address of the lower-level connection device and an IP address that can be used by a device under the lower-level connection device to the lower-level connection device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003052638A JP4173383B2 (en) | 2003-02-28 | 2003-02-28 | Connected device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003052638A JP4173383B2 (en) | 2003-02-28 | 2003-02-28 | Connected device |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008153763A Division JP4757284B2 (en) | 2008-06-12 | 2008-06-12 | Connected device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004266415A true JP2004266415A (en) | 2004-09-24 |
JP4173383B2 JP4173383B2 (en) | 2008-10-29 |
Family
ID=33117459
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003052638A Expired - Fee Related JP4173383B2 (en) | 2003-02-28 | 2003-02-28 | Connected device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4173383B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007158869A (en) * | 2005-12-07 | 2007-06-21 | Hitachi Communication Technologies Ltd | Router device and communication system |
JP2007271429A (en) * | 2006-03-31 | 2007-10-18 | Topcon Corp | Rtk-gps position measuring system |
JP2008017254A (en) * | 2006-07-07 | 2008-01-24 | Matsushita Electric Ind Co Ltd | Router device |
JP2009100062A (en) * | 2007-10-13 | 2009-05-07 | A2 Network Kk | Communication method |
JP2009201098A (en) * | 2008-01-22 | 2009-09-03 | Fujitsu Ltd | Address distribution system, method, and program for the program |
JP4978895B2 (en) * | 2005-03-22 | 2012-07-18 | 日本電気株式会社 | Connection parameter setting system, method and server |
-
2003
- 2003-02-28 JP JP2003052638A patent/JP4173383B2/en not_active Expired - Fee Related
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4978895B2 (en) * | 2005-03-22 | 2012-07-18 | 日本電気株式会社 | Connection parameter setting system, method and server |
JP2007158869A (en) * | 2005-12-07 | 2007-06-21 | Hitachi Communication Technologies Ltd | Router device and communication system |
JP4692258B2 (en) * | 2005-12-07 | 2011-06-01 | 株式会社日立製作所 | Router device and communication system |
JP2007271429A (en) * | 2006-03-31 | 2007-10-18 | Topcon Corp | Rtk-gps position measuring system |
JP2008017254A (en) * | 2006-07-07 | 2008-01-24 | Matsushita Electric Ind Co Ltd | Router device |
JP2009100062A (en) * | 2007-10-13 | 2009-05-07 | A2 Network Kk | Communication method |
JP2009201098A (en) * | 2008-01-22 | 2009-09-03 | Fujitsu Ltd | Address distribution system, method, and program for the program |
JP4633837B2 (en) * | 2008-01-22 | 2011-02-16 | 富士通株式会社 | Address distribution system, method and program therefor |
US8335840B2 (en) | 2008-01-22 | 2012-12-18 | Fujitsu Limited | Address distribution system and method and program for the same |
Also Published As
Publication number | Publication date |
---|---|
JP4173383B2 (en) | 2008-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9847967B2 (en) | DHCP proxy in a subscriber environment | |
JP4081472B2 (en) | Cluster management method and apparatus for network device | |
US7577146B2 (en) | Network element modifying the DHCP lease timer | |
US7477648B2 (en) | Packet forwarding apparatus and access network system | |
USRE42078E1 (en) | Method for preventing IP address cheating in dynamic address allocation | |
EP2169877B1 (en) | Processing method and device for qinq termination configuration | |
US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
RU2285346C2 (en) | Method for setting up default channels for operation and servicing on basis of internet-protocol over asynchronous transfer mode | |
CN117793952A (en) | Communication method and device | |
JP2003348116A (en) | Address automatic setting system for in-home network | |
JP2005073230A (en) | Network switching apparatus and path management server, network interface apparatus, control method for them, computer program for path management server and computer readable storage medium | |
CN110505316A (en) | The distribution method and wireless routing device of internet protocol address | |
JP2006222929A (en) | Network system | |
US7289471B2 (en) | Mobile router, position management server, mobile network management system, and mobile network management method | |
US20050120135A1 (en) | Method and apparatus for configuring a router | |
US20060193330A1 (en) | Communication apparatus, router apparatus, communication method and computer program product | |
JP4173383B2 (en) | Connected device | |
JP3994412B2 (en) | Network system, network identifier setting method, network connection point, network identifier setting program, and recording medium | |
US20040199644A1 (en) | Method of assigning a virtual network identifier to a terminal, and a terminal, a dynamic host configuration server, and a directory server for implementing the method | |
JP2003224576A (en) | Lan type internet access network and subscriber line accommodation method used therefor | |
JP4495049B2 (en) | Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device | |
JP4757284B2 (en) | Connected device | |
JP2003124935A (en) | Apparatus, method and program for setting fixed address | |
CN1652535B (en) | Method for managing network layer address | |
US11552928B2 (en) | Remote controller source address verification and retention for access devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060208 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20071129 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071225 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20071225 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080108 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080307 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080513 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080612 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080724 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080812 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080813 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4173383 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110822 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110822 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120822 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130822 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |