JP2004328688A - ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法 - Google Patents

ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法 Download PDF

Info

Publication number
JP2004328688A
JP2004328688A JP2003124609A JP2003124609A JP2004328688A JP 2004328688 A JP2004328688 A JP 2004328688A JP 2003124609 A JP2003124609 A JP 2003124609A JP 2003124609 A JP2003124609 A JP 2003124609A JP 2004328688 A JP2004328688 A JP 2004328688A
Authority
JP
Japan
Prior art keywords
setting
network
inter
connection device
network connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003124609A
Other languages
English (en)
Other versions
JP4251008B2 (ja
Inventor
Takahide Sugita
貴英 杉田
Hajime Ishikawa
肇 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003124609A priority Critical patent/JP4251008B2/ja
Publication of JP2004328688A publication Critical patent/JP2004328688A/ja
Application granted granted Critical
Publication of JP4251008B2 publication Critical patent/JP4251008B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】新規の拠点LANを追加してもファイアウォール越しにVPN構築の自動設定を行うことが可能なネットワーク間接続装置の自動設定システムを提供する。
【解決手段】第1のLAN間接続装置1の設定クライアント11は設定装置3とVPN接続し、設定サーバ31内の拠点内ネットワーク設定情報統合ファイル311及びポリシファイル312を参照する。第1のLAN間接続装置1設定クライアント11では、これら拠点内ネットワーク設定情報統合ファイル311及びポリシファイル312から必要な設定項目を抽出し、設定項目の設定を行うことで、他拠点の第2のLAN間接続装置2の接続が確立される。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明はネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法に関し、特にファイアウォール越しに行う拠点間の直接通信、VPN(Virtual Private Nrtwork)環境構築のためのLAN(Local Area Network)間接続装置の自動設定システムに関する。
【0002】
【従来の技術】
従来、インタネットを介してLAN間接続を行うLAN間接続装置の自動設定システムとしては、図11に示す処理動作を行うシステムが知られている。
【0003】
このシステムでは、マネージャがネットワークディスカバリし、その部分のネットワーク領域を含んだネットワークマップが表示画面に表示される(図11ステップS161)。ユーザは画面上に表示されたネットワークマップを見ながら、構築したい通信ネットワークの範囲を指定する。この場合の範囲指定は、少なくとも2以上の通信端末器を指定することによってなされるが、必要に応じて、サブネット間の通信路を指定してもよい(図11ステップS162)。
【0004】
かくして、通信端末器を選択して、構築したい通信ネットワークの設定範囲が指定されると、予め作成されているセキュリティポリシ情報記憶テーブルが画面上に表示されるので、そのテーブルから設定しようとする通信条件を選択する。このような通信条件は、暗号VPN通信を行うために暗号アルゴリズムや認証アルゴリズムの種別を選択して設定されるが、後述するように、暗号なしの設定がなされる場合もある(図11ステップS163)。
【0005】
ステップS162,S163の処理によって、セキュリティポリシを設定するネットワーク上の設定範囲と、セキュリティ情報記憶テーブルによって通信条件とが選択されると、マネージャはネットワークマップを利用して指定されたネットワーク上の通信パスのトポロジを検索し(図11ステップS164)、それぞれの通信パスを構成するネットワーク機器に対して、設定すべきセキュリティポリシを作成する(図11ステップS165,S166)。
【0006】
続いて、マネージャは設定された通信条件によって、通信パスを構成するネットワーク機器間で通信されるパケットデータに対して、暗号の復号化処理が二重、三重に重複していないかどうかを判断し(図11ステップS167)、そのような重複が生じている場合には、それら復号化処理の重複を解除し(図11ステップS168)、最後に作成されたセキュリティポリシを検索されたネットワーク機器に対して自動的に設定する(図11ステップS169)(例えば、特許文献1参照)。尚、IPsecプロトコル通信を用いて、パケットデータが通信される場合には、重複復号を防ぐために、予め暗号化処理を行わないようにしてもよい。
【0007】
また、従来、ネットワーク間をルータ(中継装置)を介して接続するシステムとしては、システムに接続されたルータやLANの増減変更、あるいは障害に際して、可能な限り低いトラフィックによってルーティング情報を動的に変更するために、公衆網に対してネットワーク管理とルーティング管理とを集中的に行うルーティングマネージャを設ける方法がある(例えば、特許文献2参照)。
【0008】
上記のシステムでは、ルーティングマネージャが公衆網を介して相互に接続できる全てのLANについて、その中継点であるルータを示すルーティング対象リストを備えている。ネットワークの障害等によるルータの追加、削除、中継経路の切換え、LANの追加、削除等の通知は、すべてそのルーティングマネージャに対して行われる。
【0009】
ルーティングマネージャはそれらの通知を受けると、ルーティング対象リストの更新を行い、各ルータに対してルーティング情報を更新するための必要最小限の情報を通知する。すなわち、ルーティングマネージャは各ルータ(ゲートウェイ)のルーティングテーブルの各エントリ(行)毎の追加・削除を遠隔設定しているにすぎない。
【0010】
また、上記の方法で扱うデータはルーティングテーブルの各エントリ1種類のみである。さらに、ルーティングプロトコル[RIP(Routing Information Protocol)やOSPF(Open Shortest Path First)等]が動作している環境下においては、上記の方法はあえて使用する必要はない。
【0011】
【特許文献1】
特開2000−324104号公報(第5,6頁、図1)
【特許文献2】
特開平6−132959号公報(第5〜7頁、図1)
【0012】
【発明が解決しようとする課題】
しかしながら、上述した従来のLAN間接続装置の自動設定システムでは、ファイアウォールが設置された場合、ルーティング情報変更後にルータ間で通信できないという課題がある。
【0013】
従来のシステムの動作に着目すると、ルーティングマネージャはルーティング情報を配布し、ルータがその情報に基づいて転送処理を行うのみで、その情報との連携動作を行わない。
【0014】
また、上記の連携動作を行わない場合に問題になるのは、ファイアウォールが設置された場合に限らず、閉鎖性を考慮したVPNを構築する際にも、VPNの構築に必要なVPMサーバの存在や、ファイアウォール、トンネルホストと連携してVPNサーバに適切な設定をする操作が必要となる。どちらの場合においても、設定情報はファイアウォール、トンネルホスト、VPNサーバ間で互いに矛盾なく設定する必要がある。
【0015】
一方、従来のLAN間接続装置の自動設定システムでは、新規の拠点LANを追加した箇所についてVPNを構築することができないという課題がある。従来のシステムの動作に着目すると、まずネットワーク上に存在する端末を自動探索し、検出されたネットワーク上の既存の端末群の中からセキュリティポリシの設定範囲を指定する操作を行ったうえで、通信条件を決定すると、VPNを自動構築している。
【0016】
上記の動作をふまえると、新規に拠点LANを追加させようとする時には、新規の拠点LANがネットワーク上に存在しないため、自動検索を行っても検出されず、ネットワーク上に存在する端末として認識されない。つまり、新規の拠点LAN間接続装置を他拠点のLAN間接続装置が認識できないということである。
【0017】
また、従来の方法では、通信端末器同士の通信を行う際に、経路上の通信機器を設定するもので、ネットワークセグメント等のような規模の大きな変更を即座に反映するには煩雑な操作を繰り返す必要がある。
【0018】
そこで、本発明の目的は上記の問題点を解消し、新規の拠点LANを追加してもファイアウォール越しにVPN構築の自動設定を行うことができるネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法を提供することにある。
【0019】
【課題を解決するための手段】
本発明によるネットワーク間接続装置の自動設定システムは、複数のネットワーク間接続装置と少なくとも1つの設定装置とを配置し、1つの設定装置に少なくとも2つのネットワーク間接続装置がインタネットを介して接続されるネットワーク間接続装置の自動設定システムであって、
前記ネットワーク間接続装置各々に、
前記インタネットを介したアクセスを制限するためのファイアウォールと、他のネットワーク間接続装置へデータを転送する手段を含むトンネルホストと、自装置配下のネットワークの利用者のアカウントデータを保持するVPN(Virtual Private Nrtwork)サーバと、前記設定装置との認証のための接続手段と前記ファイアウォールの設定手段と前記トンネルホスト及び前記VPNサーバにルーティングデータを与える手段とを含む設定クライアントとを備え、
前記設定装置に、
前記インタネットを介したアクセスを制限するためのファイアウォールと、前記設定クライアントを認証する手段と前記ファイアウォールの設定手段とを含みかつ前記設定クライアントへ配布する前記ファイアウォールの設定情報を格納したポリシデータ及び各拠点の前記ネットワーク間接続装置が保持する拠点内ネットワーク設定情報を統合した拠点内ネットワーク設定統合データを保持する設定サーバとを備え、
前記設定装置によって前記ネットワーク間接続装置各々の拠点内ネットワーク設定情報及び前記ポリシデータを設定している。
【0020】
本発明によるネットワーク間接続装置の自動設定方法は、複数のネットワーク間接続装置と少なくとも1つの設定装置とを配置し、1つの設定装置に少なくとも2つのネットワーク間接続装置がインタネットを介して接続されるネットワーク間接続装置の自動設定方法であって、
前記ネットワーク間接続装置各々の設定クライアントが、前記設定装置との認証のための接続を行い、前記インタネットを介したアクセスを制限するためのファイアウォールの設定を行い、他のネットワーク間接続装置へデータを転送する手段を含むトンネルホスト及び前記ネットワーク間接続装置配下のネットワークの利用者のアカウントデータを保持するVPN(Virtual Private Nrtwork)サーバにルーティングデータを与え、
前記設定装置の設定サーバが、前記設定クライアントを認証し、前記インタネットを介したアクセスを制限するためのファイアウォールの設定を行い、前記設定クライアントへ配布する前記ファイアウォールの設定情報を格納したポリシデータ及び各拠点の前記ネットワーク間接続装置が保持する拠点内ネットワーク設定情報を統合した拠点内ネットワーク設定統合データを保持し、
前記設定装置によって前記ネットワーク間接続装置各々の拠点内ネットワーク設定情報及び前記ポリシデータを設定している。
【0021】
すなわち、本発明の第1のLAN(Local Area Network)間接続装置の自動設定システムは、上記課題を解決するために、複数のLAN間接続装置と少なくとも1つの設定装置とが配置され、1つの設定装置には少なくとも2つのLAN間接続装置がインタネットを介して接続され、LAN間接続装置に、インタネットを介したアクセスを制限するためのファイアウォールと、他拠点に配置されたLAN間接続装置へデータを転送する手段を持つトンネルホストと、LAN間接続装置配下のLAN利用者のアカウントデータを保持するVPN(Virtual Private Nrtwork)サーバと、設定装置との認証のための接続手段とファイアウォールの設定手段とトンネルホスト及びVPNサーバにルーティングデータを与える手段とを持つ設定クライアントとを備えている。
【0022】
上記の設定装置においては、インタネットを介したアクセスを制限するためにファイアウォールと、LAN間接続装置の設定クライアントを認証する手段と、ファイアウォールの設定手段と、LAN間接続装置の設定クライアントへ配布するファイアウォールの設定情報を格納したポリシデータ及び各拠点のLAN間接続装置が保持する拠点内ネットワーク設定情報を統合した拠点内ネットワーク設定統合データを保持する設定サーバとを備え、この設定装置によってLAN間接続装置の拠点内ネットワーク設定情報とポリシデータとを自動設定している。
【0023】
本発明の第2のLAN間接続装置の自動設定システムでは、LAN間接続装置が複数のLAN間接続装置同士のネットワークに新たに参加する際に、LAN間接続装置の設定クライアントが設定装置へ認証のための接続要求を通知している。設定装置の設定サーバは設定クライアントとの認証が成立して認証成立応答を通知すると、LAN間接続装置が拠点内ネットワーク設定情報を設定装置へ送信する。
【0024】
設定装置の設定サーバは受信した各LAN間接続装置の拠点内ネットワーク設定情報を拠点内ネットワーク設定統合データに統合して保存し、ポリシデータと拠点内ネットワーク設定統合データとをLAN間接続装置へ送信する。LAN間接続装置はポリシデータ及び拠点内ネットワーク設定統合データから必要な設定項目を抽出して設定項目の設定を行う。
【0025】
本発明の第3のLAN間接続装置の自動設定システムでは、LAN間接続装置が運用中において、常に設定装置と接続し、設定装置の設定サーバが保持するポリシデータまたは拠点内ネットワーク設定情報に変更が生じた場合、ポリシデータまたは拠点内ネットワーク設定情報をLAN間接続装置へ直ちに送信している。
【0026】
本発明の第4のLAN間接続装置の自動設定システムでは、LAN間接続装置が運用中において、常に設定装置と接続し、LAN間接続装置の設定クライアントが、設定装置の設定サーバへポリシデータ及び拠点内ネットワーク設定統合データの送信を一定の周期で要求する。設定装置の設定サーバはポリシデータ及び拠点内ネットワーク設定統合データをLAN間接続装置へ送信し、LAN間接続装置の設定クライアントはポリシデータ及び拠点内ネットワーク設定統合データの変更の有無を確認する。
【0027】
本発明の第5のLAN間接続装置の自動設定システムでは、設定装置の設定サーバが保持するポリシデータが変更されると、LAN間接続装置の設定クライアントがポリシデータから必要な設定項目を抽出し、その抽出結果にて設定項目の設定を行っている。
【0028】
本発明の第6のLAN間接続装置の自動設定システムでは、設定装置の設定サーバが保持する拠点内ネットワーク設定統合データが変更されると、LAN間接続装置の設定クライアントが拠点内ネットワーク設定統合データから必要な設定項目を抽出し、その抽出結果にて設定項目の設定を行っている。
【0029】
本発明の第7のLAN間接続装置の自動設定システムでは、LAN間接続装置が運用中において、常に設定装置と接続し、LAN間接続装置の設定クライアントが保持する拠点内ネットワーク設定情報に変更が生じた場合、LAN間接続装置の設定クライアントが拠点内ネットワーク設定情報を設定装置へ直ちに送信している。
【0030】
本発明の第8のLAN間接続装置の自動設定システムでは、LAN間接続装置が運用中において、常に設定装置と接続し、設定置の設定サーバがLAN間接続装置の設定クライアントへ拠点内ネットワーク設定統合データの送信要求を通知し、LAN間接続装置の設定クライアントが拠点内ネットワーク設定統合データを設定装置へ送信し、設定装置の設定サーバが拠点内ネットワーク設定統合データの変更の有無を確認している。
【0031】
本発明の第9のLAN間接続装置の自動設定システムでは、LAN間接続装置が保持する拠点内ネットワーク設定情報が変更されると、設定装置が拠点内ネットワーク設定情報をネットワーク設定統合データへ反映している。
【0032】
本発明の第10のLAN間接続装置の自動設定システムでは、LAN間接続装置が運用中において、常に設定装置との接続を監視し、接続が切断された場合に設定装置との再接続を行っている。
【0033】
上記のように、本発明のLAN間接続装置の自動設定システムでは、セキュリティポリシを安全にLAN間接続装置が取得し、ファイアウォール、LAN間接続装置の設定を自動で行うので、新規の拠点LANを追加しても、ファイアウォール越しのVPN構築の自動設定を行うことが可能となる。
【0034】
また、本発明のLAN間接続装置の自動設定システムでは、ネットワークセグメントのような規模の大きな設定であっても、設定要員が煩雑な作業を行う必要がなくなり、ユーザが安全性を欠くことなく、サービスを受けることが可能となる。
【0035】
【発明の実施の形態】
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるLAN(Local Area Network)間接続装置の自動設定システムの構成を示すブロック図である。図1において、本発明の一実施例によるLAN間接続装置の自動設定システムでは、第1のLAN間接続装置1と第2のLAN間接続装置2とがインタネット100を介して設定装置3に接続されている。
【0036】
第1のLAN間接続装置1は設定クライアント11と、ファイアウォール12と、トンネルホスト13と、VPN(Virtual Private Nrtwork)サーバ14とから構成されている。図示していないが、第2のLAN間接続装置2は第1のLAN間接続装置1と同様の構成となっている。
【0037】
設定クライアント11は、図示していないが、設定装置3との認証のための手段と、ファイアウォール12の設定手段と、トンネルホスト13及びVPNサーバ14にルーティングデータを与える手段とを持つ。設定クライアント11はVPN構築に必要なトンネルホストIP(Internet Protocol)アドレス、VPNサーバIPアドレス、ルーティングデータが格納されているLAN間接続装置の拠点内ネットワーク設定情報ファイル111と、ファイアウォール12を設定する際に必要となる情報が格納されているポリシファイル112とを備えている。
【0038】
トンネルホスト13は他拠点のLAN間接続装置へパケットを転送する手段を持つ。VPNサーバ14は第1のLAN間接続装置1配下のLANのアカウントデータを保持する。
【0039】
設定装置3は各拠点のLAN間接続装置の設定クライアント11との認証を行う設定サーバ31と、ファイアウォール32とを備えている。設定サーバ31は各拠点のLAN間接続装置の拠点内ネットワーク設定情報ファイル111を統合した拠点内ネットワーク設定情報統合ファイル311と、各拠点に共通なポリシファイル312とを備えている。
【0040】
尚、第1のLAN間接続装置1及び第2のLAN間接続装置2と設定装置3との認証やファイル交換には、送信側と受信側とでそれぞれ2つの鍵を持つ公開鍵暗号方式を用いるものとする。公開鍵は誰にでも公開され、公開鍵で暗号化されたデータは秘密鍵でのみ復号することができる関係にあるため、各拠点のLAN間接続装置に予め組込まれたLAN間接続装置の秘密鍵、設定装置3の公開鍵と、設定装置3に予め組み込まれたLAN間接続装置の公開鍵、設定装置3の秘密鍵を利用して通信を行う。
【0041】
また、各拠点のLAN間接続装置と設定装置3にプリセットで構築したVPNや1回のセッションだけに有効なパスワードを用いるワンタイムパスワードシステムを利用することも可能である。
【0042】
図2は本発明の一実施例におけるLAN間接続装置のファイアウォール、VPN サーバ、トンネルホストの自動設定方法を示すフローチャートである。これら図1及び図2を参照して設定装置3を利用した各拠点のLAN間接続装置の拠点内ネットワーク設定情報、ファイアウォール12、VPNサーバ14、トンネルホスト13の初期設定方法について説明する。
【0043】
第1のLAN間接続装置1は電源が投入されると(図2ステップS1)、装置のIPアドレスを始めとするネットワーク設定情報、設定サーバIPアドレス及び拠点内ネットワーク設定情報ファイル111を読込んで設定する(図2ステップS2)。続いて、第1のLAN間接続装置1は設定クライアント11を起動し(図2ステップS3)、設定装置3へVPN接続要求を行う(図2ステップS4)。
【0044】
設定装置3の設定サーバ31は第1のLAN間接続装置1からのVPN接続要求の処理を行い、認証が完了すると、設定クライアント11とのVPN接続を確立する(図2ステップS11)。VPN接続が確立すると、第1のLAN間接続装置1は拠点内ネットワーク設定情報ファイル111を設定装置3に送信する(図2ステップS5)。
【0045】
設定サーバ31は第1のLAN間接続装置1から送信された拠点内ネットワーク設定情報ファイル111を受信すると、拠点内ネットワーク設定情報統合ファイル311に拠点内ネットワーク設定情報ファイル111の内容を追加する(図2ステップS12)。追加後、設定サーバ31は保持する拠点内ネットワーク設定情報統合ファイル311及びポリシファイル312を、各拠点のLAN間接続装置(図1では第1のLAN間接続装置1及び第2のLAN間接続装置2)に送信する(図2ステップS13)。
【0046】
第1のLAN間接続装置1は受信した拠点内ネットワーク設定情報統合ファイル311、ポリシファイル312から必要な設定項目を抽出し(図2ステップS6)、設定項目の設定を行い(図2ステップS7)、他拠点と接続する(図2ステップS8)。
【0047】
上記の説明では、第1のLAN間接続装置1の処理について説明したが、第2のLAN間接続装置2も第1のLAN間接続装置1と同様な処理を行う。処理が完了すると、他拠点のLAN間接続装置、図1では第2のLAN間接続装置2との接続が確立され、後述する自動確認方法のフローへ処理が移る。
【0048】
図3は本発明の一実施例におけるLAN間接続装置のファイアウォール12、VPNサーバ14、トンネルホスト13の設定の自動確認方法を示すフローチャートである。これら図1及び図3を参照して本発明の一実施例によるLAN間接続装置の拠点内ネットワーク設定情報の自動確認方法について説明する。
【0049】
例えば、全拠点に新サービスを導入する際、新たなパスを設けるために、どのポート番号でどのプロトコルをトンネリング可能にするかを選択する場合がある。以下に説明する方法ではこれら一連の設定を全拠点に対して自動で行うことができる。
【0050】
この時、第1のLAN間接続装置1及び第2のLAN間接続装置2と設定装置3との間が通信可能な状態であるとする。設定装置3の設定サーバ31は保持する拠点内ネットワーク設定情報統合ファイル311またはポリシファイル312が変更されると(図3ステップS31)、設定サーバ31は第1のLAN間接続装置1へ拠点内ネットワーク設定情報統合ファイル311またはポリシファイル312を送信する(図2ステップS32)。
【0051】
第1のLAN間接続装置1は受信した拠点内ネットワーク設定情報統合ファイル311またはポリシファイル311から設定項目を抽出し(図3ステップS21)、設定変更項目の設定を行い(図3ステップS22)、他拠点と接続する(図3ステップS23)。尚、上記の説明では第1のLAN間接続装置1について述べたが、第2のLAN間接続装置2でも上記と同様の処理が行われる。
【0052】
図4は本発明の一実施例におけるLAN間接続装置のファイアウォール、VPNサーバ、トンネルホスト設定の定期的な送信要求による自動確認方法を示すフローチャートである。これら図1及び図4を参照して拠点内ネットワーク設定情報、ポリシ情報の自動確認方法に関して、第1のLAN間接続装置1からの定期的なファイル送信要求を用いた別の実現方法について説明する。以下の説明では、第1のLAN間接続装置1、第2のLAN間接続装置2と設定装置3との間が通信可能な状態であるものとする。
【0053】
第1のLAN間接続装置1は設定装置3に対してポリシファイル312、拠点内ネットワーク設定情報統合ファイル311の送信要求を定期的に行う(図4ステップS41)。
【0054】
設定装置3は第1のLAN間接続装置1から送信要求を受信すると、ポリシファイル312、拠点内ネットワーク設定情報統合ファイル311各々の内容を第1のLAN間接続装置1に送信する(図4ステップS51)。
【0055】
第1のLAN間接続装置1は設定装置3から受信したファイルの変更の有無を確認し(図4ステップS42)、ファイルの変更がなければステップS41の処理に戻る。また、第1のLAN間接続装置1は変更がある場合、設定装置3から受信した拠点内ネットワーク設定情報統合ファイル311の内容から設定項目を抽出し(図4ステップS43)、設定変更項目の設定を行う(図4ステップS44)。この後、第1のLAN間接続装置1は他拠点の接続を行う(図4ステップS45)。尚、上記の説明では第1のLAN間接続装置1について述べたが、第2のLAN間接続装置2でも上記と同様の処理が行われる。
【0056】
図5は本発明の一実施例におけるLAN間接続装置の拠点内ネットワーク設定情報の自動変更方法を示すフローチャートである。これら図1及び図5を参照して本発明の一実施例による拠点内ネットワーク設定情報の自動変更方法について説明する。
【0057】
例えば、既に拠点間ネットワークに参加しているある拠点配下のサブネットを変更する時には、そのサブネットを変更したことを他拠点にも反映させて各設定を行い直す必要がある。この時の再設定に必要な一連の設定は以下の処理によって自動で行うことが可能となる。この時、第1のLAN間接続装置1及び第2のLAN間接続装置2と設定装置3との間が通信可能な状態であるものとする。
【0058】
第1のLAN間接続装置1では設定クライアント11が保持する拠点内ネットワーク設定情報ファイル111が変更されると(図5ステップS61)、拠点内ネットワーク設定情報ファイル111を設定装置3へ直ちに送信する(Push型)(図5ステップS62)。
【0059】
設定装置3の設定サーバ31は受信した拠点内ネットワーク設定情報ファイル111を拠点内ネットワーク設定情報統合ファイル311へ反映し(図5ステップS71)、拠点内ネットワーク設定情報統合ファイル311を第1のLAN間接続装置1へ送信する(図5ステップS72)。
【0060】
第1のLAN間接続装置1は受信した拠点内ネットワーク設定情報統合ファイル311から設定項目を抽出し(図5ステップS63)、設定変更項目の設定を行い(図5ステップS64)、他拠点の接続を行う(図5ステップS65)。尚、上記の説明では第1のLAN間接続装置1について述べたが、第2のLAN間接続装置2でも上記と同様の処理が行われる。
【0061】
図6は本発明の一実施例におけるLAN間接続装置の拠点内ネットワーク設定情報の定期的な送信要求による自動変更方法を示すフローチャートである。これら図1及び図6を参照して、拠点内ネットワーク設定情報の自動変更方法に関して、設定装置3からの定期的なファイル送信要求を用いた別の実現方法について説明する。以下の説明では、第1のLAN間接続装置1、第2のLAN間接続装置2と設定装置3との間が通信可能な状態であるものとする。
【0062】
設定装置3は第1のLAN間接続装置1へ拠点内ネットワーク設定情報ファイルを定期的に送信要求する(図6ステップS91)。第1のLAN間接続装置1は設定装置3からの送信要求を受信すると、拠点内ネットワーク設定情報ファイル111の内容を設定装置3へ送信する(図6ステップS81)。
【0063】
設定装置3は第1のLAN間接続装置1から受信した拠点内ネットワーク設定情報ファイル111の内容の変更の有無を確認し(図6ステップS92)、ファイルに変更がなければステップS91の処理へ戻る。設定装置3の設定サーバ31はファイルに変更があれば、受信した拠点内ネットワーク設定情報フィアル111の内容を拠点内ネットワーク設定情報統合ファイル311へ反映し(図6ステップS93)、拠点内ネットワーク設定情報統合ファイル311の内容を第1のLAN間接続装置1へ送信する(図6ステップS94)。
【0064】
第1のLAN間接続装置1は設定装置3から受信した拠点内ネットワーク設定情報統合ファイル311の内容から設定項目を抽出し(図6ステップ82)、設定変更項目の設定を行う(図6ステップS83)。この後、第1のLAN間接続装置1は他拠点の接続を行う(図6ステップS84)。尚、上記の説明では第1のLAN間接続装置1について述べたが、第2のLAN間接続装置2でも上記と同様の処理が行われる。
【0065】
図7は本発明の一実施例におけるLAN間接続装置のポリシの自動変更方法を示すフローチャートである。これら図1及び図7を参照して本発明の一実施例によるポリシの自動変更方法について説明する。
【0066】
例えば、新たなサービスを全拠点に導入し、それに伴って許可するポート番号やプロトコルのルールの変更を要する場合がある。このような事例に以下のポリシの自動変更方法があてはまる。この時、第1のLAN間接続装置1及び第2のLAN間接続装置2と設定装置3との間が通信可能な状態であるものとする。
【0067】
設定装置3では設定サーバ31が保持するポリシファイル312が変更されると(図7ステップS111)、ポリシファイル312を第1のLAN間接続装置1へ送信する(図7ステップS112)。
【0068】
第1のLAN間接続装置1は受信したポリシファイル312から設定項目を抽出し(図7ステップS101)、設定変更項目の設定を行い(図7ステップS102)、他拠点の接続を行う(図7ステップS103)。尚、上記の説明では第1のLAN間接続装置1について述べたが、第2のLAN間接続装置2でも上記と同様の処理が行われる。
【0069】
図8は本発明の他の実施例によるLAN間接続装置の自動設定システムの構成を示すブロック図である。図8において、本発明の他の実施例によるLAN間接続装置の自動設定システムは設定クライアント11内に固有ポリシファイル113を設けた以外は図1に示す本発明の一実施例によるLAN間接続装置の自動設定システムと同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は上述した本発明の一実施例と同様である。
【0070】
図9は本発明の他の実施例におけるLAN間接続装置のポリシの自動変更方法を示すフローチャートである。これら図8及び図9を参照して本発明の他の実施例によるポリシの自動変更方法について説明する。
【0071】
本発明の一実施例では全拠点でポリシが共通としているが、拠点によってはユーザの利用ニーズによって共通のポリシとは別に拠点固有のポリシを持たせる場合がある。そして、拠点固有のポリシのルール数が増加していくうちに、拠点固有のポリシのうち全拠点に共通する、例えば送信先ポートや送出元ポートの項目が現れることがある。この共通項目を共通ポリシとして扱い直すのが本発明の他の実施例である。この時、第1のLAN間接続装置1及び第2のLAN間接続装置2と設定装置3との間が通信可能な状態であるものとする。
【0072】
第1のLAN間接続装置1の設定クライアント11には固有ポリシファイル113を保持させる。ポリシファイル112が各拠点に共通なデータを格納したものであるのに対して、固有ポリシファイル113は拠点固有のポリシデータを格納したものである。
【0073】
第1のLAN間接続装置1では設定クライアント11が保持する固有ポリシファイル113が変更されると(図9ステップS121)、設定装置3へ固有ポリシファイル113を送信する(図9ステップS122)。
【0074】
設定装置3の設定サーバ31は各拠点から受信した固有ポリシファイル113に共通項目があるかどうかを調査する(図9ステップS131)。設定サーバ31は共通項目がある場合のみ、各拠点の固有ポリシファイル113から共通項目を抽出し(図9ステップS132)、抽出した共通項目を共通ポリシファイル312へ追加して更新を行う(図9ステップS133)。
【0075】
更新処理完了後、設定サーバ31は第1のLAN間接続装置1へポリシファイル312を送信する(図9ステップS134)。尚、上記の説明では第1のLAN間接続装置1について述べたが、第2のLAN間接続装置2でも上記と同様の処理が行われる。また、第1のLAN間接続装置1が設定装置3へ固有ポリシファイル113を送信し、定期的に設定装置3が変更の有無を確認する方法も可能である。
【0076】
図10は本発明の別の実施例におけるLAN間接続装置と設定装置間の接続が断した場合の自動再接続方法を示すフローチャートである。上述した本発明の一実施例及び他の実施例では第1のLAN間接続装置1と設定装置3との間の接続が断となった場合、自動的に再接続を行う。本発明の別の実施例ではこの再接続方法を示す。これら図1及び図10を参照して本発明の別の実施例による再接続方法について説明する。
【0077】
第1のLAN間接続装置1は設定装置3へヘルシチェック要求を定期的に送信し(図10ステップS141)、設定装置3からのヘルシチェック応答なしを確認する(図10ステップS142)。第1のLAN間接続装置1は設定装置3からの応答があれば、ステップS141の処理へ戻り、応答がなければ、設定装置3へVPN接続要求を行う(図10ステップS143)。
【0078】
設定装置3の設定サーバ31は第1のLAN間接続装置1からのVPN接続要求を受信すると、VPN接続処理を行い、認証が完了すると、設定クライアント11とのVPN接続を確立する(図10ステップS151)。
【0079】
第1のLAN間接続装置1はVPN接続が確立すると、拠点内ネットワーク設定情報ファイル111の内容を設定装置3へ送信する(図10ステップS144)。設定サーバ31は第1のLAN間接続装置1から送信された拠点内ネットワーク設定情報ファイル111の内容を受信すると、拠点内ネットワーク設定情報統合ファイル311に拠点内ネットワーク設定情報ファイル111の内容を追加する(図10ステップS152)。
【0080】
設定サーバ31はファイルを追加した後、拠点内ネットワーク設定情報統合ファイル311、ポリシファイル312各々の内容を各拠点のLAN間接続装置(図1では第1のLAN間接続装置1、第2のLAN間接続装置2)へ送信する(図10ステップS153)。
【0081】
第1のLAN間接続装置1は受信した拠点内ネットワーク設定情報統合ファイル311、ポリシファイル312の内容から必要な設定項目を抽出し(図10ステップS145)、設定項目の設定を行う(図10ステップS146)。その後、第1のLAN間接続装置1は他拠点の接続を行い(図10ステップS147)、接続確立後、ステップS141の処理へ戻る。尚、上記の説明では第1のLAN間接続装置1について述べたが、第2のLAN間接続装置2でも上記と同様の処理が行われる。
【0082】
尚、上述した各実施例とも第1のLAN間接続装置1及び第2のLAN間接続装置2と設定装置3との間が通信可能な状態であるものとしているが、各ファイルに変更が生じた時点で接続を確立する方法も可能である。
【0083】
このように、本発明では、セキュリティポリシを第1のLAN間接続装置1及び第2のLAN間接続装置2が安全に取得し、ファイアウォール12、LAN間接続装置の設定を自動で行うので、新規の拠点LANを追加しても、ファイアウォール12越しのVPN構築の自動設定を行うことができる。
【0084】
また、本発明では、ネットワークセグメントのような規模の大きな設定であっても、設定要員が煩雑な作業を行う必要がなくなり、ユーザは安全性を欠くことなく、サービスを受けることができる。
【0085】
上述した特許文献1,2に記載の技術では、ルータ(ゲートウェイ)が受信データを基にルーティング情報を転送している。この転送に際しては二次データを生成することはない。すなわち、上記の技術では、ルーティングテーブル(Routing Table)の各エントリ(Entry)(行)毎の追加・削除を遠隔設定しているにすぎない。
【0086】
また、上記の技術で扱うデータはルーティングテーブルの各エントリ1種類のみである。さらに、上記の技術は、ルーティングプロトコル[RIP(Routing Information Protocol)やOSPF(Open Shortest Path First)等]が動作している環境下においてはあえて使用する必要がない。
【0087】
これに対し、本発明では、ゲートウェイが受信データからルールデータ(ポリシデータ等)を生成し、そのルールデータを基にファイアウォールを設定している。また、本発明では、受信データからルーティングテーブルの設定項目を生成し、設定項目を基にVPNサーバを設定している。
【0088】
さらに、本発明では、受信データからルーティングテーブルの設定項目を生成し、その設定項目を基にトンネルホストの設定を行っている。ここで、受信データによって提供される情報の項目は、各拠点毎のフロアネットのアドレス(ネットワークアドレス)、トンネルホストのアドレス(またはトンネル用に割当てられた疑似インタフェース)、VPNサーバのIPアドレスと各拠点の接続ルール(ポリシ)である。
【0089】
接続ルールとしては、例えば、▲1▼拠点間の通信はトンネルホスト同士を接続する、▲2▼トンネルホスト間の通信にはTCP(Transmission Control Protocol)のport8000番を使用する、▲3▼各拠点間にVPN機能を提供する、という規定がある。
【0090】
上記の▲1▼,▲2▼の拠点間のトンネルの設定に関しては、例えば、ある拠点のトンネルホストで、他拠点のフロアネットアドレスと、その拠点のトンネルホストのIPアドレスから他拠点のフロアネットアドレス向けのルーティングテーブルを設定することが考えられる。
【0091】
また、他拠点のトンネルホスト向けの接続にはTCPの8000番の使用を設定することが考えられる。これと並行して、ファイアウォールでは自拠点のトンネルホストと他地区のトンネルホストとの間の通信について、TCPのport8000番に関して接続を通すことを設定すること等が考えられる。
【0092】
一方、上記の▲3▼のVPNのルーティングの設定に関しては、VPNサーバで、他拠点に向けたフロアネットアドレスを自拠点のトンネルホストへルーティングするようにルーティングテーブルを設定することが考えられる。
【0093】
本発明に直接関係しないが、端末の設定に関しては、端末で他拠点と接続する場合、端末のルーティングの設定を接続したい拠点のフロアネットアドレス向けのルーティングをトンネルホストに接続する設定とすることが考えられる。
【0094】
また、端末でVPNの提供を受ける場合には、端末のルーティングの設定をVPNで入りたい拠点のフロアネットアドレスのエントリを削除し、VPNで入りたい拠点のVPNサーバのアドレス向けのルーティングをトンネルホストに接続する設定とすることも考えられる。
【0095】
以上のように、本発明では、他拠点のアドレスの情報及び接続のポリシから、各々必要な設定情報(ルーティングテーブルに限らない)を2次データとして生成し、矛盾がないように連携して設定を行っている。
【0096】
本発明では、次の手順によって接続を行っている。つまり、(1)設定クライアントは設定サーバより受信した設定情報ファイルから設定に必要になるファイアウォールのルールデータ、トンネルホスト、VPNサーバ用のルーティングテーブルの設定項目を生成する。
【0097】
(2)設定クライアントが生成した各エントリをトンネルホストとVPNサーバに配布、他拠点向けアドレスはVPNサーバからトンネルホストに送信する。トンネルホストは他拠点のトンネルホスト(またはトンネル用に割当てられた疑似インタフェース)に送信する。
【0098】
(3)配布された各エントリより、VPNサーバはルーティングテーブルを設定することで、他拠点宛のパケットを受信した時に自拠点のトンネルホストへルーティングする準備が整う。
【0099】
(4)配布された各エントリより、トンネルホストはルーティングテーブルを設定することで、VPNクライアントまたはVPNサーバを経由してVPNクライアント以外の端末から受信したパケットの宛先に応じて宛先トンネルホスト(トンネル用に割当てた擬似インタフェース)に送信する準備が整う。
【0100】
(5)設定クライアントがFireWallに穴を開け,開けた穴をトンネルホストとVPNサーバとに通知、つまりファイアウォールがトンネルホスト間の通信を通すことになるので、トンネルホストの他拠点への転送機能が有効になる。これによって、他拠点とVPN接続が可能となる。
【0101】
次に、ルーティング情報の連携処理について考えると、上記の特許文献1,2に記載の技術では、特に連携処理はなく、直ちにルーティング情報の転送処理が可能となっている。
【0102】
また、上述した通り、特許文献1,2に記載の技術では、ルーティングプロトコルが動作していない環境で、ルーティングを行えるようにすることを目的としているのに対し、本発明では、ルーティングプロトコルが動作しているネットワーク内に、拠点間を接続しかつ外部から隔絶されたネットワークを提供することを目的としている。
【0103】
しかしながら、インタネットを介してLAN間を接続するLAN間接続装置の設定においては、ファイアウォールが設置された場合、ルーティング情報変更後にルータ間で通信することができないという課題がある。
【0104】
上記の特許文献1,2に記載の技術によるシステムの動作に着目すると、ルーティングマネージャがルーティング情報を配布し、その情報に基づいてルータが転送処理を行い、ルーティング情報の連携動作を行っていない。これをふまえて、ルータとインタネットとの間にファイアウォールが設置される場合を考えると、ファイアウォールはネットワークをセグメントに分けてしてしまうので、各セグメント間で通信を行う際、ファイアウォールと連携してトンネルを開けるという、ルータが保持しない機能を提供するトンネルホストの存在が必要であり、当然、接続手順においてもトンネルホストがファイアウォールと連携してトンネルを開けるという操作が加わる。
【0105】
また、連携動作の考慮がないと問題になるのは、ファイアウォールが設置された場合に限らず、閉鎖性を考慮したネットワーク(VPN)を構築する際にも同様に考えられ、VPNの構築に必要なVPNサーバの存在やファイアウォール、トンネルホストと連携してVPNサーバに適切な設定をする操作が必要となる。どちらの場合においても、設定情報はファイアウォール、トンネルホスト、VPNサーバ間で互いに矛盾なく設定する必要がある。
【0106】
このため、設定サーバから受信するデータは、ファイアウォール、トンネルホスト、VPNサーバ各々に関しての詳細な文字列になった設定データを基に設定を行うのではなく、設定サーバから必要最小限の文字列になったデータを受信し、受信したデータからファイアウォール、トンネルホスト、VPNサーバの設定に必要になる設定情報を二次データとして生成し、その二次データを設定ファイルとして使用する。
【0107】
このように、本発明では共通の情報から生成したデータを設定ファイルとして用いることで、ファイアウォール、トンネルホスト、VPNサーバが互いに矛盾のない設定を行うことが可能となる。
【0108】
【発明の効果】
以上説明したように本発明は、上記のような構成及び動作とすることで、新規の拠点LANを追加してもファイアウォール越しにVPN構築の自動設定を行うことができるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施例によるLAN間接続装置の自動設定システムの構成を示すブロック図である。
【図2】本発明の一実施例におけるLAN間接続装置のファイアウォール、VPN サーバ、トンネルホストの自動設定方法を示すフローチャートである。
【図3】本発明の一実施例におけるLAN間接続装置のファイアウォール、VPNサーバ、トンネルホストの設定の自動確認方法を示すフローチャートである。
【図4】本発明の一実施例におけるLAN間接続装置のファイアウォール、VPNサーバ、トンネルホスト設定の定期的な送信要求による自動確認方法を示すフローチャートである。
【図5】本発明の一実施例におけるLAN間接続装置の拠点内ネットワーク設定情報の自動変更方法を示すフローチャートである。
【図6】本発明の一実施例におけるLAN間接続装置の拠点内ネットワーク設定情報の定期的な送信要求による自動変更方法を示すフローチャートである。
【図7】本発明の一実施例におけるLAN間接続装置のポリシの自動変更方法を示すフローチャートである。
【図8】本発明の他の実施例によるLAN間接続装置の自動設定システムの構成を示すブロック図である。
【図9】本発明の他の実施例におけるLAN間接続装置のポリシの自動変更方法を示すフローチャートである。
【図10】本発明の別の実施例におけるLAN間接続装置と設定装置間の接続が断した場合の自動再接続方法を示すフローチャートである。
【図11】従来のLAN間接続装置の自動設定システムの基本動作を示すフローチャートである。
【符号の説明】
1 第1のLAN間接続装置
2 第2のLAN間接続装置
3 設定装置
11 設定クライアント
12,32 ファイアウォール
13 トンネルホスト
14 VPNサーバ
31 設定サーバ
32 ファイアウォール
100 インタネット
111 拠点内ネットワーク設定情報ファイル
112,312 ポリシファイル
113 固有ポリシファイル
311 拠点内ネットワーク設定情報統合ファイル

Claims (20)

  1. 複数のネットワーク間接続装置と少なくとも1つの設定装置とを配置し、1つの設定装置に少なくとも2つのネットワーク間接続装置がインタネットを介して接続されるネットワーク間接続装置の自動設定システムであって、
    前記ネットワーク間接続装置各々に、
    前記インタネットを介したアクセスを制限するためのファイアウォールと、他のネットワーク間接続装置へデータを転送する手段を含むトンネルホストと、自装置配下のネットワークの利用者のアカウントデータを保持するVPN(Virtual Private Nrtwork)サーバと、前記設定装置との認証のための接続手段と前記ファイアウォールの設定手段と前記トンネルホスト及び前記VPNサーバにルーティングデータを与える手段とを含む設定クライアントとを有し、
    前記設定装置に、
    前記インタネットを介したアクセスを制限するためのファイアウォールと、前記設定クライアントを認証する手段と前記ファイアウォールの設定手段とを含みかつ前記設定クライアントへ配布する前記ファイアウォールの設定情報を格納したポリシデータ及び各拠点の前記ネットワーク間接続装置が保持する拠点内ネットワーク設定情報を統合した拠点内ネットワーク設定統合データを保持する設定サーバとを有し、
    前記設定装置によって前記ネットワーク間接続装置各々の拠点内ネットワーク設定情報及び前記ポリシデータを設定することを特徴とするネットワーク間接続装置の自動設定システム。
  2. 前記ネットワーク間接続装置が新規に追加された時に、当該ネットワーク間接続装置の前記設定クライアントが前記設定装置へ前記拠点内ネットワーク設定情報を通知し、
    前記設定サーバが当該拠点内ネットワーク設定情報を拠点内ネットワーク設定統合データに統合して保存し、前記ポリシデータと前記拠点内ネットワーク設定統合データとを前記ネットワーク間接続装置へ送信して当該ネットワーク間接続装置の拠点内ネットワーク設定情報及び前記ポリシデータを設定することを特徴とする請求項1記載のネットワーク間接続装置の自動設定システム。
  3. 前記ネットワーク間接続装置が運用中に前記設定装置と常に接続し、
    前記設定サーバが保持する前記ポリシデータ及び前記拠点内ネットワーク設定情報のいずれかに変更が生じた時に前記ポリシデータ及び前記拠点内ネットワーク設定情報のいずれかを前記ネットワーク間接続装置へ直ちに送信することを特徴とする請求項1または請求項2記載のネットワーク間接続装置の自動設定システム。
  4. 前記ネットワーク間接続装置が運用中に前記設定装置と常に接続し、前記設定クライアントが前記設定サーバへ前記ポリシデータ及び前記拠点内ネットワーク設定統合データの送信を一定の周期で要求し、
    前記設定サーバが前記ポリシデータ及び前記拠点内ネットワーク設定統合データを前記ネットワーク間接続装置へ送信し、
    前記設定クライアントが前記ポリシデータ及び前記拠点内ネットワーク設定統合データの変更の有無を確認することを特徴とする請求項1または請求項2記載のネットワーク間接続装置の自動設定システム。
  5. 前記設定サーバが保持する前記ポリシデータが変更された時に、前記設定クライアントが前記ポリシデータから必要な設定項目を抽出して設定項目の設定を行うことを特徴とする請求項3または請求項4記載のネットワーク間接続装置の自動設定システム。
  6. 前記設定サーバが保持する前記拠点内ネットワーク設定統合データが変更された時に、前記設定クライアントが前記拠点内ネットワーク設定統合データから必要な設定項目を抽出して設定項目の設定を行うことを特徴とする請求項3または請求項4記載のネットワーク間接続装置の自動設定システム。
  7. 前記ネットワーク間接続装置が運用中に前記設定装置と常に接続し、前記設定クライアントが保持する前記拠点内ネットワーク設定情報に変更が生じた時に前記設定クライアントが前記拠点内ネットワーク設定情報を前記設定装置へ直ちに送信することを特徴とする請求項1または請求項2記載のネットワーク間接続装置の自動設定システム。
  8. 前記ネットワーク間接続装置が運用中に前記設定装置と常に接続し、前記設定サーバが前記設定クライアントへ前記拠点内ネットワーク設定情報の送信を一定の周期で要求し、前記設定クライアントからの前記拠点内ネットワーク設定情報の変更の有無を確認することを特徴とする請求項1または請求項2記載のネットワーク間接続装置の自動設定システム。
  9. 前記ネットワーク間接続装置が保持する前記拠点内ネットワーク設定情報が変更された時に、前記設定装置が前記拠点内ネットワーク設定情報を前記ネットワーク設定統合データへ反映することを特徴とする請求項7または請求項8記載のネットワーク間接続装置の自動設定システム。
  10. 前記ネットワーク間接続装置が運用中に前記設定装置との接続を常に監視し、当該接続が切断された時に前記設定装置との再接続を行うことを特徴とする請求項1から請求項9のいずれか記載のネットワーク間接続装置の自動設定システム。
  11. 複数のネットワーク間接続装置と少なくとも1つの設定装置とを配置し、1つの設定装置に少なくとも2つのネットワーク間接続装置がインタネットを介して接続されるネットワーク間接続装置の自動設定方法であって、
    前記ネットワーク間接続装置各々の設定クライアントが、前記設定装置との認証のための接続を行い、前記インタネットを介したアクセスを制限するためのファイアウォールの設定を行い、他のネットワーク間接続装置へデータを転送する手段を含むトンネルホスト及び前記ネットワーク間接続装置配下のネットワークの利用者のアカウントデータを保持するVPN(Virtual Private Nrtwork)サーバにルーティングデータを与え、
    前記設定装置の設定サーバが、前記設定クライアントを認証し、前記インタネットを介したアクセスを制限するためのファイアウォールの設定を行い、前記設定クライアントへ配布する前記ファイアウォールの設定情報を格納したポリシデータ及び各拠点の前記ネットワーク間接続装置が保持する拠点内ネットワーク設定情報を統合した拠点内ネットワーク設定統合データを保持し、
    前記設定装置によって前記ネットワーク間接続装置各々の拠点内ネットワーク設定情報及び前記ポリシデータを設定することを特徴とするネットワーク間接続装置の自動設定方法。
  12. 前記ネットワーク間接続装置が新規に追加された時に、当該ネットワーク間接続装置の前記設定クライアントが前記設定装置へ前記拠点内ネットワーク設定情報を通知し、
    前記設定サーバが当該拠点内ネットワーク設定情報を拠点内ネットワーク設定統合データに統合して保存し、前記ポリシデータと前記拠点内ネットワーク設定統合データとを前記ネットワーク間接続装置へ送信して当該ネットワーク間接続装置の拠点内ネットワーク設定情報及び前記ポリシデータを設定することを特徴とする請求項11記載のネットワーク間接続装置の自動設定方法。
  13. 前記ネットワーク間接続装置が運用中に前記設定装置と常に接続し、
    前記設定サーバが保持する前記ポリシデータ及び前記拠点内ネットワーク設定情報のいずれかに変更が生じた時に前記ポリシデータ及び前記拠点内ネットワーク設定情報のいずれかを前記ネットワーク間接続装置へ直ちに送信することを特徴とする請求項11または請求項12記載のネットワーク間接続装置の自動設定方法。
  14. 前記ネットワーク間接続装置が運用中に前記設定装置と常に接続し、前記設定クライアントが前記設定サーバへ前記ポリシデータ及び前記拠点内ネットワーク設定統合データの送信を一定の周期で要求し、
    前記設定サーバが前記ポリシデータ及び前記拠点内ネットワーク設定統合データを前記ネットワーク間接続装置へ送信し、
    前記設定クライアントが前記ポリシデータ及び前記拠点内ネットワーク設定統合データの変更の有無を確認することを特徴とする請求項11または請求項12記載のネットワーク間接続装置の自動設定方法。
  15. 前記設定サーバが保持する前記ポリシデータが変更された時に、前記設定クライアントが前記ポリシデータから必要な設定項目を抽出して設定項目の設定を行うことを特徴とする請求項13または請求項14記載のネットワーク間接続装置の自動設定方法。
  16. 前記設定サーバが保持する前記拠点内ネットワーク設定統合データが変更された時に、前記設定クライアントが前記拠点内ネットワーク設定統合データから必要な設定項目を抽出して設定項目の設定を行うことを特徴とする請求項13または請求項14記載のネットワーク間接続装置の自動設定方法。
  17. 前記ネットワーク間接続装置が運用中に前記設定装置と常に接続し、前記設定クライアントが保持する前記拠点内ネットワーク設定情報に変更が生じた時に前記設定クライアントが前記拠点内ネットワーク設定情報を前記設定装置へ直ちに送信することを特徴とする請求項11または請求項12記載のネットワーク間接続装置の自動設定方法。
  18. 前記ネットワーク間接続装置が運用中に前記設定装置と常に接続し、前記設定サーバが前記設定クライアントへ前記拠点内ネットワーク設定情報の送信を一定の周期で要求し、前記設定クライアントからの前記拠点内ネットワーク設定情報の変更の有無を確認することを特徴とする請求項11または請求項12記載のネットワーク間接続装置の自動設定方法。
  19. 前記ネットワーク間接続装置が保持する前記拠点内ネットワーク設定情報が変更された時に、前記設定装置が前記拠点内ネットワーク設定情報を前記ネットワーク設定統合データへ反映することを特徴とする請求項17または請求項18記載のネットワーク間接続装置の自動設定方法。
  20. 前記ネットワーク間接続装置が運用中に前記設定装置との接続を常に監視し、当該接続が切断された時に前記設定装置との再接続を行うことを特徴とする請求項11から請求項19のいずれか記載のネットワーク間接続装置の自動設定方法。
JP2003124609A 2003-04-30 2003-04-30 ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法 Expired - Fee Related JP4251008B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003124609A JP4251008B2 (ja) 2003-04-30 2003-04-30 ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003124609A JP4251008B2 (ja) 2003-04-30 2003-04-30 ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法

Publications (2)

Publication Number Publication Date
JP2004328688A true JP2004328688A (ja) 2004-11-18
JP4251008B2 JP4251008B2 (ja) 2009-04-08

Family

ID=33502095

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003124609A Expired - Fee Related JP4251008B2 (ja) 2003-04-30 2003-04-30 ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法

Country Status (1)

Country Link
JP (1) JP4251008B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006345126A (ja) * 2005-06-08 2006-12-21 Dainippon Printing Co Ltd Pkiの環境設定方法、クライアントサーバシステムおよびコンピュータプログラム
JP2009267914A (ja) * 2008-04-28 2009-11-12 Yamaha Corp 通信システム
JP2012503455A (ja) * 2009-01-09 2012-02-02 エヌイーシー ヨーロッパ リミテッド ネットワークにおけるアクセス制御方法およびネットワーク
WO2014006795A1 (ja) * 2012-07-03 2014-01-09 日本電気株式会社 相互接続管理装置、相互接続設定方法、及びプログラムが格納された非一時的なコンピュータ可読媒体

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006345126A (ja) * 2005-06-08 2006-12-21 Dainippon Printing Co Ltd Pkiの環境設定方法、クライアントサーバシステムおよびコンピュータプログラム
JP4648100B2 (ja) * 2005-06-08 2011-03-09 大日本印刷株式会社 Pkiの環境設定方法、クライアントサーバシステムおよびコンピュータプログラム
JP2009267914A (ja) * 2008-04-28 2009-11-12 Yamaha Corp 通信システム
JP4692570B2 (ja) * 2008-04-28 2011-06-01 ヤマハ株式会社 通信システム
JP2012503455A (ja) * 2009-01-09 2012-02-02 エヌイーシー ヨーロッパ リミテッド ネットワークにおけるアクセス制御方法およびネットワーク
WO2014006795A1 (ja) * 2012-07-03 2014-01-09 日本電気株式会社 相互接続管理装置、相互接続設定方法、及びプログラムが格納された非一時的なコンピュータ可読媒体

Also Published As

Publication number Publication date
JP4251008B2 (ja) 2009-04-08

Similar Documents

Publication Publication Date Title
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
JP3492865B2 (ja) 移動計算機装置及びパケット暗号化認証方法
EP1396979B1 (en) System and method for secure group communications
US8327437B2 (en) Securing network traffic by distributing policies in a hierarchy over secure tunnels
US9179398B2 (en) Managed access point protocol
JP4902878B2 (ja) リンク管理システム
JP3831364B2 (ja) 通信システム、同通信システムにおけるセキュリティポリシーの配布方法
US7120792B1 (en) System and method for secure communication of routing messages
US20020016926A1 (en) Method and apparatus for integrating tunneling protocols with standard routing protocols
JP5078422B2 (ja) サーバ装置、情報処理装置、プログラムおよび記録媒体
JP2003069609A (ja) 仮想私設網サービスを提供するシステム
JP2002359623A (ja) 無線通信設定方法、通信端末、アクセスポイント端末、記録媒体およびプログラム
JP2006101051A (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
WO2009082889A1 (fr) Procédé de négociation pour échange de clés internet et dispositif et système associés
CN101305541A (zh) 维持安全网络连接的技术
CN112671763B (zh) 组网环境下的数据同步方法、装置、计算机设备及存储介质
US7539191B1 (en) System and method for securing route processors against attack
JP2005167646A (ja) 接続制御システム、接続制御装置、及び接続管理装置
JP4495049B2 (ja) パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置
JP4251008B2 (ja) ネットワーク間接続装置の自動設定システム及びそれに用いる自動設定方法
CN105981028A (zh) 通信网络上的网络元件认证
US7864770B1 (en) Routing messages in a zero-information nested virtual private network
AU2013300091B2 (en) Method and apparatus for using rendezvous server to make connections to fire alarm panels
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
CN109150661A (zh) 一种设备发现方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071120

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081224

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090106

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120130

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130130

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130130

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees