JP2005012485A - Internet vpn configuration system, control server and vpn configuration method for use therein - Google Patents

Internet vpn configuration system, control server and vpn configuration method for use therein Download PDF

Info

Publication number
JP2005012485A
JP2005012485A JP2003174170A JP2003174170A JP2005012485A JP 2005012485 A JP2005012485 A JP 2005012485A JP 2003174170 A JP2003174170 A JP 2003174170A JP 2003174170 A JP2003174170 A JP 2003174170A JP 2005012485 A JP2005012485 A JP 2005012485A
Authority
JP
Japan
Prior art keywords
vpn
router
termination function
address
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003174170A
Other languages
Japanese (ja)
Inventor
Koichi Matsumoto
浩一 松本
Teiichiro Ogushi
貞一郎 大串
Yasuhiro Miyao
泰寛 宮尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003174170A priority Critical patent/JP2005012485A/en
Publication of JP2005012485A publication Critical patent/JP2005012485A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an Internet VPN configuration system capable of configuring Internet VPN easily without requiring the subscriber's own technical knowledge in which a service provider can reduce dispatch and personal education of maintenance personnel. <P>SOLUTION: A router 12 with VPN termination function configures a passage being encrypted and encapsulated by IPSec between the router and a VPN unit 3 through the Internet 100 thus establishing a control VPN 112. When the router 12 with VPN termination function requests authentication for a control server 1, the control server 1 authenticates the router 12 with VPN termination function by an individual identifier. If authentication is successful, the router 12 with VPN termination function informs a dynamic global IP address assigned from ISP#B to the control server 1. The control server 1 stores the informed global IP address as data associated with base information and individual identifier. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明はインタネットVPN構築システム及びそれに用いるサービス提供方法に関し、特にインタネットを用いて構築されるインタネットVPN(Virtual Private Network:仮想私設網)に関する。
【0002】
【従来の技術】
従来、この種のインタネットVPNにおいては、VPN機能を持つファイアウォールマシンやルータを拠点間で利用することで実現している。ここで、VPN機能は、プライベートアドレスを使うIP(Internet Protocol)パケットを暗号化してグローバルアドレスを使うIPパケットにカプセル化する機能と、事前登録しておいたグローバルアドレスを持つIPパケット以外はフィルタリングして通さない機能とを備えている。
【0003】
上記のインタネットVPNでは、接続されている端末に故障が発生した時に当該端末のメンテナンスを行う場合、その端末における故障検出にともなって、所定の共有認証情報に基づいて端末の認証を行った後、その端末の故障に係る故障コード及びグローバルIPアドレスを保守サーバに送信する方法が提案されている(例えば、特許文献1参照)。
【0004】
この場合、保守サーバからコマンド制御されるVPNゲートウェイに、IPsec(IP security protocol)の認証鍵の設定及びIPsecのイニシエータ設定を書込むことで、保守サーバは端末との間に設定されるVPNトンネルを通して端末のサーバ部及びルータ部に対してリモートメンテナンスを行う。
【0005】
【特許文献1】
特開2001−197058号公報(第11〜14頁、図1)
【0006】
【発明が解決しようとする課題】
上述した従来のインタネットVPNサービスでは、インタネットVPNを構築するため、ユーザ拠点にVPN終端機能付きルータを設置し、ユーザまたはサービス事業者の保守要員が設定を行う必要があるため、人件費等の保守費用のコスト増大、また設定を行うための技術的知識を有することが必要とされている。
【0007】
また、従来のインタネットVPNサービスでは、動的IPアドレスが利用可能であるが、必ず固定IPアドレス接続拠点が必要となるため、動的IPアドレスが全てのユーザ拠点において利用可能になるとは限らないという問題がある。
【0008】
さらに、従来のインタネットVPNサービスでは、拠点の増設や撤去が発生した場合、他の拠点のVPN終端機能付きルータの設定変更が必要になるという問題もある。その際、他の拠点のVPN終端機能付きルータの設定変更は、上記と同様に、保守要員によって行われる。
【0009】
さらにまた、従来のインタネットVPNサービスでは、ある拠点内のIPアドレスやサブネットマスクの変更が発生した場合、他の拠点のVPN終端機能付きルータの設定変更が必要になるという問題がある。この場合も、他の拠点のVPN終端機能付きルータの設定変更は、上記と同様に、保守要員によって行われる。
【0010】
そこで、本発明の目的は上記の問題点を解消し、サービス提供者が保守要員の派遣や要員教育を削減することができ、加入者自身の技術的知識を必要とせず、容易にインタネットVPNを構築することができるインタネットVPN構築システム及びそれに用いるサービス提供方法を提供することにある。
【0011】
【課題を解決するための手段】
本発明によるインタネットVPN構築システムは、複数のユーザ拠点間に設置されたVPN(Virtual Private Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNを設定するVPN装置と、
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを含む制御サーバとを備えている。
【0012】
本発明による制御サーバは、VPN(Virtual Private Network)装置で設定されかつ複数のユーザ拠点間に設置されたVPN終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、
前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを備えている。
【0013】
本発明によるサービス提供方法は、複数のユーザ拠点間に設置されたVPN(Virtual Private Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをVPN装置と前記VPN終端機能付きルータとの間に設定し、
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行い、その認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基づいた前記IPSecの設定情報を制御サーバから前記VPN終端機能付きルータに送信している。
【0014】
すなわち、本発明のインタネットVPN(Virtual Private Network:仮想私設網)構築システムは、インタネットを利用した遠隔制御によって人手を介さずに自動的にインタネットVPNの構築を行うシステムと、そのサービス提供におけるビジネスモデルとを提供するものである。
【0015】
より具体的に説明すると、本発明のインタネットVPN構築システムでは、サービス提供者がサービス事業者内に制御サーバとHMI(Human−Machine Interface)端末とVPN装置とを設置して運用している。ここで、VPN装置はインタネットに通信回線で接続されている。
【0016】
インタネットVPNサービスを受けるエンドユーザは、ユーザ拠点AにVPN終端機能付きルータを設置し、もう一つの拠点Bに他のVPN終端機能付きルータを設置している。ユーザ拠点AのVPN終端機能付きルータはISP(Internet Service Provider:インタネット接続サービス事業者)#Xを経由し、通信回線でインタネットに接続されている。また、ユーザ拠点BのVPN終端機能付きルータはISP#Yを経由し、通信回線でインタネットに接続されている。
【0017】
上記の制御サーバ及びVPN装置は固定のグローバルIP(InternetProtocol)アドレスが割当てられており、ユーザ拠点A及びユーザ拠点B各々のVPN終端機能付きルータには、制御サーバとVPN装置とのホスト名またはグローバルIPアドレスが記録されている。
【0018】
上述した構成において、サービス事業者はサービスを開始する前にHMI端末からユーザ情報、拠点情報、ユーザ拠点A及びユーザ拠点B各々のVPN終端機能付きルータの個別識別子を制御サーバに入力する。
【0019】
ユーザ拠点AのVPN終端機能付きルータは電源投入を契機にインタネットへの接続を行うために、ユーザが設定する設定情報(ユーザ名、パスワード、IPアドレスまたはホスト名等)を基にISP#Xにアクセスし、ISP#XのIPアドレス割当てサーバに対し、IPアドレス要求を行う。
【0020】
IPアドレス割当てサーバは要求されたユーザ拠点AのVPN終端機能付きルータに対し、プールされている任意のグローバルIPアドレスを割当てる。ユーザ拠点AのVPN終端機能付きルータは割当てられたグローバルIPアドレスと、を使用してインタネットに接続可能となる。
【0021】
次に、ユーザ拠点AのVPN終端機能付きルータはVPN装置のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置に対するIPSec(IP Security protocol)による暗号化及びカプセル化される経路としての制御用VPNの設定を自装置に行う。これによって、ユーザ拠点AのVPN終端機能付きルータはインタネットを経由したVPN装置との間でIPSecによる暗号化及びカプセル化される経路の構築し、制御用VPNを確立する。
【0022】
制御用VPNの確立以降、ユーザ拠点AのVPN終端機能付きルータは制御サーバに対し、制御用VPNを経由した通信を行い、制御サーバに対して認証要求を行う。この認証要求にはVPN終端機能付きルータ個体に記録されている個別識別子を送信する。
【0023】
制御サーバは個別識別子によってユーザ拠点AのVPN終端機能付きルータの認証を行う。認証に成功した場合、ユーザ拠点AのVPN終端機能付きルータはISPから割当てられた動的なグローバルIPアドレスを制御サーバに通知する。制御サーバは通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとして保存する。
【0024】
ユーザ拠点BのVPN終端機能付きルータも、上述したユーザ拠点AのVPN終端機能付きルータと同様な処理を行い、制御サーバにグローバルIPアドレスが保存される。
【0025】
次に、ユーザ拠点AのVPN終端機能付きルータは設定情報要求を制御サーバに対して送信する。制御サーバは設定情報要求を受信すると、ユーザ拠点AのVPN終端機能付きルータに対し、該当ユーザの拠点間を結ぶユーザVPNを構築するためのIPSecの設定情報を送信する。ユーザ拠点AのVPN終端機能付きルータは制御サーバからの設定情報を受信すると、設定情報を自装置に設定する。
【0026】
ユーザ拠点BのVPN終端機能付きルータも、上述したユーザ拠点AのVPN終端機能付きルータと同様に、ユーザVPNの設定情報を自装置に設定するので、ユーザVPNが構築される。
【0027】
【発明の実施の形態】
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるインタネットVPN(Virtual Private Network:仮想私設網)構築システムの構成を示すブロック図である。この図1を参照して本発明の一実施例によるインタネットVPN構築システムについて説明する。
【0028】
サービス提供者はサービス事業者A内に制御サーバ1と、HMI(Human−Machine Interface)端末2と、VPN装置3とを設置して運用している。VPN装置3はインタネット100に通信回線101で接続されている。
【0029】
インタネットVPNサービスを受けるエンドユーザは、ユーザ拠点DにVPN終端機能付きルータ42を設置し、もう一つのユーザ拠点EにVPN終端機能付きルータ52を設置している。ユーザ拠点AのVPN終端機能付きルータ42はISP#Bを経由して通信回線111でインタネット100に接続されている。また、ユーザ拠点EのVPN終端機能付きルータ52はISP#Cを経由して通信回線121でインタネット100に接続されている。
【0030】
制御サーバ1とVPN装置3とには固定のグローバルIP(InternetProtocol)アドレスが割当てられており、VPN終端機能付きルータ42,52には制御サーバ1及びVPN装置3各々のホスト名またはグローバルIPアドレスが記録されている。
【0031】
本実施例において、サービス事業者Aはサービスを開始する前にHMI端末2からユーザ情報、拠点情報、VPN終端機能付きルータ42,52の個別識別子を制御サーバ1に入力する。ユーザ拠点DのVPN終端機能付きルータ42は電源投入を契機にインタネット100への接続を行うために、ユーザからの設定情報(ユーザ名、パスワード、IPアドレスまたはホスト名等)に基づいてISP#Bにアクセスし、ISP#BのIPアドレス割当てサーバ41に対してIPアドレス要求を行う。
【0032】
IPアドレス割当てサーバ41は要求されたVPN終端機能付きルータ42に対し、プールされている任意のグローバルIPアドレスを割当てる。VPN終端機能付きルータ42は割当てられたグローバルIPアドレスを使用してインタネット100に接続可能となる。
【0033】
次に、VPN終端機能付きルータ42はVPN装置3のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置3に対するIPSec(IP Security protocol)による暗号化及びカプセル化される経路としての制御用VPN112の設定をVPN終端機能付きルータ42自身に行う。
【0034】
これによって、VPN終端機能付きルータ42はインタネット100を経由したVPN装置3との間でIPSecによる暗号化及びカプセル化される経路の構築し、制御用VPN112を確立する。
【0035】
制御用VPN112の確立以降、VPN終端機能付きルータ42は制御サーバ1に対し、制御用VPN112を経由した通信を行い、制御サーバ1に対して認証要求を行う。この認証要求にはVPN終端機能付きルータ42の個体に記録されている個別識別子を送信する。
【0036】
制御サーバ1は個別識別子によって、VPN終端機能付きルータ42の認証を行う。認証に成功した場合、VPN終端機能付きルータ42はISP#Bから割当てられた動的なグローバルIPアドレスを制御サーバ1に通知する。制御サーバ1は通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとして保存する。
【0037】
ユーザ拠点EのVPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行うので、制御サーバ1にはVPN終端機能付きルータ52に割当てられたグローバルIPアドレスが保存される。
【0038】
次に、VPN終端機能付きルータ42は設定情報要求を制御サーバ1に対して送信する。制御サーバ1は設定情報要求を受信すると、VPN終端機能付きルータ42に対し、該当ユーザの拠点間を結ぶユーザVPN113を構築するためのIPSecの設定情報を送信する。ここで、制御サーバ1にはIPSecの設定情報が予めテンプレートとして登録されており、IPSecの設定情報を送信する際にはグローバルIPアドレス部分のみを置換することとなる。
【0039】
VPN終端機能付きルータ42は制御サーバ1からの設定情報を受信すると、設定情報を自装置に設定する。同様に、VPN終端機能付きルータ52も、ユーザVPN113の設定情報を自装置に設定するので、ユーザVPN113が構築される。
【0040】
図2は図1の制御サーバ1の構成を示すブロック図である。図2において、制御サーバ1は通信手段11と、メッセージ認識手段12と、認証手段13と、個体情報保存手段14と、設定情報作成手段15と、設定情報配信手段16と、データベース17とから構成されている。
【0041】
通信手段11はVPN装置3及びインタネット100を経由してVPN終端機能付きルータ42,52との間の通信を行う。メッセージ認識手段12はVPN終端機能付きルータ42,52からのメッセージを認識し、その認識結果を認証手段13と個体情報保存手段14と設定情報配信手段16とにそれぞれ通知する。
【0042】
認証手段13はVPN終端機能付きルータ42,52からの個別識別子とデータベース17に保存された個別識別子とを比較し、VPN終端機能付きルータ42,52の認証を行う。この認証結果はメッセージ認識手段12と通信手段11とを経由してVPN終端機能付きルータ42,52に通知される。
【0043】
認証に成功すると、VPN終端機能付きルータ42,52はISP#B,#Cから割当てられた動的なグローバルIPアドレスをそれぞれ制御サーバ1に通知する。制御サーバ1では個体情報保存手段14がVPN終端機能付きルータ42,52から通知されてきたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとしてデータベース17に保存する。
【0044】
設定情報作成手段15は予めテンプレートとしてデータベース17に登録されたIPSecの設定情報のグローバルIPアドレス部分のみを、VPN終端機能付きルータ42,52から通知されてきたグローバルIPアドレスで置換することで、IPSecの設定情報を作成し、IPSecの設定情報をデータベース17に保存する。
【0045】
設定情報配信手段16は通信手段11及びメッセージ認識手段12を経由してVPN終端機能付きルータ42,52からの設定情報要求を受取ると、データベース17に保存されているIPSecの設定情報を読出してVPN終端機能付きルータ42,52各々に配信する。
【0046】
図3は本発明の一実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートであり、図4は本発明の一実施例によるインタネットVPN構築システムに用いるデータの構成を示す図である。これら図1〜図4を参照して本発明の一実施例によるインタネットVPN構築システムの動作について説明する。
【0047】
サービス事業者Aはサービスを開始する前に、HMI端末2からユーザ情報、拠点情報、VPN終端機能付きルータ42,52の個別識別子を制御サーバ1に入力する(図3ステップS21)。制御サーバ1は入力された情報を基にVPN終端機能付きルータ42,52との制御VPNを構築するためのIPSecの設定をVPN装置3に設定する(図3ステップS11)。
【0048】
ユーザ拠点DのVPN終端機能付きルータ42は電源投入を契機に、インタネット100への接続を開始するため、ISP#Bにアクセスし、ISP#BのIPアドレス割当てサーバ41に対してIPアドレス要求を行う(図3ステップS51〜S53)。
【0049】
IPアドレス割当てサーバ41は要求されたVPN終端機能付きルータ42に対し、プールされている任意のグローバルIPアドレスを割当てる(図3ステップS41)。VPN終端機能付きルータ42は割当てられたグローバルIPアドレスを使用してインタネット100に接続可能となる。
【0050】
次に、VPN終端機能付きルータ42は自装置に記録されているVPN装置3のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置3に対する制御用VPN112の設定を自装置に行い、インタネット100を経由してVPN装置3にIPSecによるパケットを暗号化及びカプセル化する経路の確立要求を行う(図3ステップS54)。
【0051】
これによって、本実施例では、VPN終端機能付きルータ42とVPN装置3との間において、制御用VPN112としてIPSecによる暗号化及びカプセル化による経路が確立され、第三者による盗聴や改ざんを防ぐことが可能となる(図3ステップS31,S55)。
【0052】
制御用VPN112の確立以降、VPN終端機能付きルータ42と制御サーバ1との間は、制御用VPN112を経由した通信を行う。VPN終端機能付きルータ42は第三者によるなりすましやデータの改ざんがされていないことを保証するために、制御サーバ1に対して認証要求を行う(図3ステップS56)。この認証要求としては、VPN終端機能付きルータ42の個体に記録されている個別識別子を送信する。
【0053】
制御サーバ1は個別識別子によって、VPN終端機能付きルータ42の認証判定を行う(図3ステップS12,S13)。認証が成功した場合、VPN終端機能付きルータ42はISP#Bから割当てられた動的なグローバルIPアドレスを制御サーバ1に通知する(図3ステップS57)。
【0054】
制御サーバ1は、図4に示すデータ構成のように、通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子とを関係付けたデータとして保存する(図3ステップS14,S15)。
【0055】
この保存されてデータは、図4に示すように、インタネットVPNサービスの利用者名またはIDを示すユーザ情報と、VPN終端機能付きルータ42,52各々が設置される拠点名またはIDを示す拠点情報と、VPN終端機能付きルータ42,52各々の識別子を示す個別識別子と、VPN終端機能付きルータ42,52各々から通知されるグローバルIPアドレスとからなる。
【0056】
VPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行い、制御サーバ1にグローバルIPアドレスが保存される。制御サーバ1は記録されたデータから、VPN終端機能付きルータ42,52間をIPSecによって暗号化及びカプセル化される経路であるユーザVPN113で接続するための設定情報を生成する。
【0057】
次に、VPN終端機能付きルータ42,52間のユーザVPN113を構築するために、VPN終端機能付きルータ42は設定情報要求を制御サーバ1に対して送信する(図3ステップS58)。
【0058】
制御サーバ1は設定情報要求を受信すると、VPN終端機能付きルータ42に対し、該当ユーザの拠点間を結ぶユーザVPN113を構築するための設定情報を送信する(図3ステップS16)。
【0059】
VPN終端機能付きルータ42は制御サーバ1からの設定情報を受信すると、その設定情報を自装置に設定する(図3ステップS59)。VPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行い、ユーザVPN113の設定情報を自装置に設定し、ユーザVPN113が構築される(図3ステップS61,S17,S62)。
【0060】
また、制御サーバ1は各拠点D,EのVPN終端機能付きルータ42,52に対し、定期的に任意のメッセージの送受信を行い、VPN終端機能付きルータ42,52の起動状態を監視する。
【0061】
図5及び図6は図1の制御サーバ1の動作を示すフローチャートである。これら図1と図5と図6とを参照して制御サーバ1の動作について説明する。図5には制御サーバ1がユーザVPN113を構築するまでの処理を示しており、図6には制御サーバ1がユーザVPN113を構築した後の処理を示している。
【0062】
制御サーバ1は、複数拠点D,Eにある複数のVPN終端機能付きルータ42,52が非同期で電源投入停止(起動停止)されるため、認証要求検出(図5ステップa1)、認証処理(図5ステップa2)、情報通知検出(図5ステップa3)の各処理によって、各拠点D,EのVPN終端機能付きルータ42,52の起動状態を判定し、起動状態のVPN終端機能付きルータのみを接続するユーザVPNの構築を行う(図5ステップa4〜a6)。
【0063】
制御サーバ1はユーザVPN113を構築後(図5のステップa1〜a6の処理を行った以降)、各拠点D,EのVPN終端機能付きルータ42,52と定期的に任意のメッセージの送受信を行い、各拠点D,EとVPN装置3との間の制御用VPNの通信状態を含め、VPN終端機能付きルータ42,52の起動状態確認を常時行う(図6ステップb1,b2)。
【0064】
制御サーバ1は起動状態確認において、制御VPNの通信異常を含む、あるVPN終端機能付きルータが起動状態でないことを検出した場合(図6ステップb3)、該当時点で残りの起動状態であるVPN終端機能付きルータ42,52のみを接続するユーザVPNの再構築を行うため、ユーザVPNの設定情報を更新し(図6ステップb4,b5)、送信した設定情報を起動状態にあるVPN終端機能付きルータ42,52に送信する(図6ステップb6)。
【0065】
ユーザ拠点D,Eに設置されているVPN終端機能付きルータ42,52は、受信した設定情報を自装置に設定し、異常が検出された拠点を除いたユーザVPNに更新される。
【0066】
このように、本実施例では、ユーザ拠点D,Eに設置するVPN終端機能付きルータ42,52に対し、人手を介した初期設定が不要であるため、サービス提供者が保守要員の派遣や要員教育を削減することができる。
【0067】
また、本実施例では、ユーザ拠点D,Eに設置するVPN終端機能付きルータ42,52に対して人手を介した簡単な初期設定が必要であるが、VPN終端機能付きルータ42,52に対する全ての設定を行う必要はないので、加入者自身が技術的知識を必要とせず、容易にインタネットVPNを構築することができる。
【0068】
さらに、本実施例では、ISP#B,#Cから動的に割当てられるグローバルIPアドレスを制御サーバ1へ自動的に通知し、制御サーバ1で一括管理するため、固定IP接続サービスだけでなく、動的IPアドレスのインタネット接続サービスを利用することができる。
【0069】
さらにまた、本実施例では、ISP#B,#Cから動的に割当てられるグローバルIPアドレスを割当てられる度に制御サーバ1で一括管理するため、モバイル機器においても、インタネットVPNサービスを利用することができ、複数のVPN終端機能付きルータ42,52同士を直接インタネットVPNで接続することができる。
【0070】
本実施例では、制御サーバ1がサブネットアドレス変更情報を一元管理し、そのサブネットアドレス変更情報を各拠点D,EのVPN終端機能付きルータ42,52に設定するため、ネットワークトポロジを動的に変更することができる。
【0071】
図7は本発明の他の実施例によるインタネットVPN構築システムの構成を示すブロック図である。図7において、本発明の他の実施例では、サービス事業者AがダイナミックDNS(Domain Name System)サーバ6を設置・運用し、かつISP#F、IPアドレス割当てサーバ7を経由してVPN装置3がインタネット100に接続される構成とした以外は上記の図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0072】
これによって、本発明の他の実施例では、VPN装置3のIPアドレスが動的なIPアドレスによるインタネット接続を利用する点が本発明の一実施例と異なっている。
【0073】
VPN装置3はインタネット100に接続するため、ISP#FのIPアドレス割当てサーバ7に対してIPアドレス要求を行う。IPアドレス割当てサーバ7はプールされているグローバルIPアドレスの中から、任意のグローバルIPアドレスをVPN装置3に割当てる。
【0074】
VPN装置3は割当てられたグローバルIPアドレスによって、インタネット100に接続する。VPN装置3は割当てられたIPアドレスを、ダイナミックDNSサーバ6に登録する。
【0075】
次に、VPN終端機能付きルータ12,22は、図1に示す処理に基づいて、ダイナミックDNSサーバ6からVPN装置3のグローバルIPアドレスを探索し、VPN装置3に対して制御用VPNを構築する。本実施例では、VPN装置3の接続においてダイナミックDNSを利用することで、サービス事業者Aにおいても動的なIPアドレスによるインタネット接続を利用することができる。
【0076】
図8は本発明の別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。図8において、本発明の別の実施例では、サービス事業者AにVPN機能を有するルータ(Router)8を設置した以外は上記の図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0077】
本実施例ではサービス事業者AにおいてユーザVPN113,123がルータ8を経由して接続される点が上述した本発明の一実施例とは異なる。また、ルータ8は固定のグローバルIPアドレスによってインタネット接続されている。
【0078】
図9は本発明の別の実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。これら図8及び図9を参照して本発明の別の実施例によるインタネットVPN構築システムの動作について説明する。
【0079】
VPN終端機能付きルータ42,52の制御サーバ1での認証処理、通知処理は、上記の本発明の一実施例と同様である(図9ステップS81,S71,S72,S91,S73,S74)。制御サーバ1は通知処理を受け、各拠点D,EのVPN終端機能付きルータ42,52のIPアドレスをデータとして記録する。
【0080】
次に、制御サーバ1はルータ8に対して、VPN終端機能付きルータ42,52のグローバルIPアドレスを指定したルーティング情報を設定する(図9ステップS75)。VPN終端機能付きルータ42からの設定情報要求に対しては(図9ステップS82)、VPN終端機能付きルータ42からルータ8へのIPSecによるユーザVPN113の設定情報をVPN終端機能付きルータ42に送信し(図9ステップS76)、ユーザVPN113を構築する。
【0081】
同様に、VPN終端機能付きルータ52からの設定情報要求に対しては(図9ステップS92)、VPN終端機能付きルータ52からルータ8へのIPSecによるユーザVPN123の設定情報をVPN終端機能付きルータ52に送信し(図9ステップS77)、ユーザVPN123を構築する。このように、VPN終端機能付きルータ42はユーザVPN113、ルータ8、ユーザVPN123を経由してVPN終端機能付きルータ52に接続される。
【0082】
本実施例では、ユーザVPNがサービス事業者Aのルータ8を経由するため、VPN終端機能付きルータ42,52同士を接続する場合に大規模構成ではメッシュ接続となり、VPN終端機能付きルータ42,52の性能劣化問題が解決されるという新しい効果がある。
【0083】
本実施例で示されるVPN機能を有するルータ8は、サービス事業者Aの拠点D,E内に設置・運用されているが、これは一実施例であり、VPN機能を有するルータ8はユーザ拠点D,Eで設置・運用されても、上記と同様の動作及び効果がある。
【0084】
図10は本発明のさらに別の実施例によるインタネットVPN構築システムの構成を示すブロック図であり、図11は本発明のさらに別の実施例によるインタネットVPN構築システムに用いてるデータの構成を示す図である。図10において、本発明のさらに別の実施例では、サービス事業者A内にプライベートIPアドレスプール9を設け、各拠点D,EのVPN終端機能付きルータ42,52内にDHCP(Dynamic Host Configuration Protocol)サーバ機能42a,52aを設け、拠点D,E内にコンピュータ431〜43n,531〜53nを設けた以外は図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0085】
図10において、サービス事業者Aの制御サーバ1はHMI端末2から入力された拠点のコンピュータ数を基に、プライベートIPアドレスプール9から要求数のIPアドレスを割振り、ユーザ情報、拠点情報に関連付けて記録する(図10参照)。
【0086】
この記録されたデータは、図10に示すように、インタネットVPNサービスの利用者名またはIDを示すユーザ情報と、VPN終端機能付きルータ42,52各々が設置される拠点名またはIDを示す拠点情報と、VPN終端機能付きルータ42,52各々が設置される拠点のLANで使用されるIPアドレスの数を示す拠点内IP数と、VPN終端機能付きルータ42,52各々の識別子を示す個別識別子と、VPN終端機能付きルータ42,52各々から通知されるグローバルIPアドレスと、VPN終端機能付きルータ42,52各々が設置される拠点のLANに割当てるIPアドレスを示すプライベートIPアドレスプールとからなる。
【0087】
制御サーバ1は各拠点D,Eに割当てたプライベートIPアドレスプールを各拠点D,EのVPN終端機能付きルータ42,52に対して通知する。VPN終端機能付きルータ42はその通知を受けると、通知されたプライベートIPアドレス領域のIPアドレスを拠点内のコンピュータ431〜43nにDHCPサーバ機能42aを経由して払い出す。
【0088】
また、制御サーバ1は上記のプライベートIPアドレス領域に加え、プライベートIPアドレスによるユーザVPN間のルーティングテーブル設定情報をVPN終端機能付きルータ42,52に送信する。VPN終端機能付きルータ42,52は受信したルーティングテーブル設定情報を自装置に設定する。
【0089】
本実施例では、制御用VPNを介して、ユーザ拠点内のプライベートIPアドレスの払い出し及び管理とルーティングテーブルの更新を行うことで、ユーザ拠点D,EはIPアドレスの管理が不要となり、コンピュータ431〜43n,531〜53n等を含めネットワークに対する設定が不要となる。また、プライベートIPアドレスを一括管理することで、拠点D,E間でプライベートIPアドレスの重複等の問題が解決される。
【0090】
【発明の効果】
以上説明したように本発明は、上記のような構成及び動作とすることで、サービス提供者が保守要員の派遣や要員教育を削減することができ、加入者自身の技術的知識を必要とせず、容易にインタネットVPNを構築することができるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図2】図1の制御サーバの構成を示すブロック図である。
【図3】本発明の一実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。
【図4】本発明の一実施例によるインタネットVPN構築システムに用いるデータの構成を示す図である。
【図5】図1の制御サーバの動作を示すフローチャートである。
【図6】図1の制御サーバの動作を示すフローチャートである。
【図7】本発明の他の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図8】本発明の別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図9】本発明の別の実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。
【図10】本発明のさらに別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図11】本発明のさらに別の実施例によるインタネットVPN構築システムに用いてるデータの構成を示す図である。
【符号の説明】
1 制御サーバ
2 HMI端末
3 VPN装置
6 ダイナミックDNSサーバ
7,41,51 IPアドレス割当てサーバ
8 ルータ
9 プライベートIPアドレスプール
11 通信手段
12 メッセージ認識手段
13 認証手段
14 個体情報保存手段
15 設定情報作成手段
16 設定情報配信手段
17 データベース
42,52 VPN終端機能付きルータ
42a,52a DHCPサーバ機能
A サービス事業者
B,C,F ISP
D,E ユーザ拠点
100 インタネット
101,111,121 通信回線
112,122 制御用VPN
113,123 ユーザVPN
431〜43n,
531〜53n コンピュータ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an Internet VPN construction system and a service providing method used therefor, and more particularly to an Internet VPN (Virtual Private Network) constructed using the Internet.
[0002]
[Prior art]
Conventionally, this type of Internet VPN is realized by using a firewall machine or router having a VPN function between bases. Here, the VPN function encrypts IP (Internet Protocol) packets that use private addresses and encapsulates them into IP packets that use global addresses, and filters other than IP packets that have pre-registered global addresses. It has a function that does not pass through.
[0003]
In the above-described Internet VPN, when maintenance is performed on a connected terminal when a failure occurs, the terminal is authenticated based on predetermined shared authentication information along with the failure detection at the terminal, A method for transmitting a failure code and a global IP address relating to the failure of the terminal to a maintenance server has been proposed (see, for example, Patent Document 1).
[0004]
In this case, the maintenance server writes the setting of the authentication key of IPsec (IP security protocol) and the initiator setting of IPsec to the VPN gateway that is command-controlled by the maintenance server, so that the maintenance server passes through the VPN tunnel set up with the terminal. Remote maintenance is performed on the server unit and router unit of the terminal.
[0005]
[Patent Document 1]
Japanese Patent Laid-Open No. 2001-197058 (pages 11-14, FIG. 1)
[0006]
[Problems to be solved by the invention]
In the above-described conventional Internet VPN service, in order to construct an Internet VPN, a router with a VPN termination function needs to be installed at the user base, and maintenance by personnel of the user or service provider must be performed. There is a need to increase the cost of the cost and to have technical knowledge to set up.
[0007]
In addition, in the conventional Internet VPN service, a dynamic IP address can be used, but since a fixed IP address connection base is always required, a dynamic IP address is not always available at all user bases. There's a problem.
[0008]
In addition, the conventional Internet VPN service has a problem in that when a base is added or removed, it is necessary to change the setting of a router with a VPN termination function at another base. At that time, the setting change of the router with the VPN termination function at another base is performed by maintenance personnel in the same manner as described above.
[0009]
Furthermore, in the conventional Internet VPN service, when an IP address or subnet mask in a certain base is changed, it is necessary to change the setting of a router with a VPN termination function in another base. Also in this case, the setting change of the router with the VPN termination function at another base is performed by maintenance personnel in the same manner as described above.
[0010]
Therefore, the object of the present invention is to solve the above-mentioned problems, the service provider can reduce the dispatch of maintenance personnel and personnel training, and does not require the subscriber's own technical knowledge, and can easily install the Internet VPN. An object of the present invention is to provide an Internet VPN construction system that can be constructed and a service providing method used therefor.
[0011]
[Means for Solving the Problems]
The Internet VPN construction system according to the present invention has an IPSec (Internet Protocol Security) between a router with a VPN termination function according to a request from each router with a VPN (Virtual Private Network) termination function installed between a plurality of user bases. a VPN device for setting a control VPN as a route to be encrypted and encapsulated by protocol),
Means for authenticating the router with VPN termination function upon receipt of an authentication request from the router with VPN termination function via the control VPN, and dynamic notification notified from the router with VPN termination function upon successful authentication And a control server including means for transmitting the IPSec setting information based on the IP address to the router with the VPN termination function.
[0012]
The control server according to the present invention has an IPSec connection with a router with a VPN termination function according to a request from each of the routers with a VPN termination function set up in a VPN (Virtual Private Network) device and installed between a plurality of user bases. Means for authenticating the router with the VPN termination function upon reception of an authentication request from the router with the VPN termination function via the control VPN as a path to be encrypted and encapsulated by (Internet Protocol Security protocol);
Means for transmitting the IPSec setting information based on the dynamic IP address notified from the router with VPN termination function to the router with VPN termination function when the authentication is successful.
[0013]
The service providing method according to the present invention provides an IPSec (Internet Protocol Security protocol) between a router with a VPN termination function in response to a request from each router with a VPN (Virtual Private Network) termination function installed between a plurality of user bases. ) Is set between the VPN device and the router with the VPN termination function as a path to be encrypted and encapsulated by
A dynamic IP address notified from the router with the VPN termination function when the authentication request is received from the router with the VPN termination function via the control VPN and the router with the VPN termination function is authenticated. The IPSec setting information based on the above is transmitted from the control server to the router with the VPN termination function.
[0014]
In other words, the Internet VPN (Virtual Private Network) construction system of the present invention is a system that automatically constructs an Internet VPN by remote control using the Internet without human intervention, and a business model for providing the service And provide.
[0015]
More specifically, in the Internet VPN construction system of the present invention, a service provider installs and operates a control server, an HMI (Human-Machine Interface) terminal, and a VPN device in the service provider. Here, the VPN apparatus is connected to the Internet through a communication line.
[0016]
An end user who receives the Internet VPN service has a router with a VPN termination function installed at a user site A and another router with a VPN termination function installed at another site B. The router with the VPN termination function at the user site A is connected to the Internet through a communication line via an ISP (Internet Service Provider) #X. Further, the router with the VPN termination function at the user site B is connected to the Internet via a communication line via ISP # Y.
[0017]
A fixed global IP (Internet Protocol) address is assigned to the control server and the VPN device, and the host name of the control server and the VPN device or the global name is assigned to each router with a VPN termination function at each of the user base A and the user base B. An IP address is recorded.
[0018]
In the configuration described above, the service provider inputs user information, base information, and individual identifiers of routers with VPN termination functions of the user base A and the user base B from the HMI terminal to the control server before starting the service.
[0019]
The router with the VPN termination function at the user base A is connected to the Internet when the power is turned on, and the ISP # X is set based on the setting information (user name, password, IP address or host name, etc.) set by the user. Access and make an IP address request to the IP address assignment server of ISP # X.
[0020]
The IP address allocation server allocates an arbitrary pooled global IP address to the router with the VPN termination function of the requested user site A. The router with the VPN termination function at the user site A can be connected to the Internet using the assigned global IP address.
[0021]
Next, the router with the VPN termination function at the user base A searches for the global IP address from the host name of the VPN device or directly designates the global IP address, thereby encrypting the VPN device with IPSec (IP Security protocol). And the setting of the control VPN as a path to be encapsulated is performed in the own apparatus. As a result, the router with the VPN termination function at the user base A establishes a path for encryption and encapsulation by IPSec with the VPN apparatus via the Internet, and establishes a control VPN.
[0022]
After the establishment of the control VPN, the router with the VPN termination function at the user site A communicates with the control server via the control VPN and issues an authentication request to the control server. In this authentication request, the individual identifier recorded in the individual router with the VPN termination function is transmitted.
[0023]
The control server authenticates the router with the VPN termination function at the user base A by the individual identifier. When the authentication is successful, the router with the VPN termination function at the user site A notifies the control server of the dynamic global IP address assigned by the ISP. The control server stores the notified global IP address as data associated with user information, site information, and individual identifiers.
[0024]
The router with the VPN termination function at the user site B performs the same process as the above router with the VPN termination function at the user site A, and the global IP address is stored in the control server.
[0025]
Next, the router with the VPN termination function at the user site A transmits a setting information request to the control server. Upon receiving the setting information request, the control server transmits IPSec setting information for constructing the user VPN connecting the bases of the corresponding user to the router with the VPN termination function of the user base A. When the router with the VPN termination function at the user site A receives the setting information from the control server, it sets the setting information in its own device.
[0026]
Since the router with the VPN termination function at the user base B also sets the user VPN setting information in its own device in the same manner as the router with the VPN termination function at the user base A described above, the user VPN is constructed.
[0027]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of an Internet VPN (Virtual Private Network) construction system according to an embodiment of the present invention. An Internet VPN construction system according to an embodiment of the present invention will be described with reference to FIG.
[0028]
A service provider installs and operates a control server 1, a HMI (Human-Machine Interface) terminal 2, and a VPN device 3 in the service provider A. The VPN apparatus 3 is connected to the Internet 100 via a communication line 101.
[0029]
An end user who receives the Internet VPN service has a router 42 with a VPN termination function installed at a user site D, and a router 52 with a VPN termination function installed at another user site E. The router 42 with the VPN termination function at the user site A is connected to the Internet 100 via the communication line 111 via ISP # B. The router 52 with a VPN termination function at the user site E is connected to the Internet 100 via a communication line 121 via ISP # C.
[0030]
A fixed global IP (Internet Protocol) address is assigned to the control server 1 and the VPN apparatus 3, and the host names or global IP addresses of the control server 1 and the VPN apparatus 3 are assigned to the routers 42 and 52 with a VPN termination function, respectively. It is recorded.
[0031]
In this embodiment, the service provider A inputs user information, base information, and individual identifiers of the routers 42 and 52 with VPN termination function from the HMI terminal 2 to the control server 1 before starting the service. The router 42 with the VPN termination function at the user site D is connected to the Internet 100 when the power is turned on. Based on the setting information (user name, password, IP address or host name, etc.) from the user, ISP # B To make an IP address request to the IP address assignment server 41 of ISP # B.
[0032]
The IP address assignment server 41 assigns an arbitrary pooled global IP address to the requested router 42 with a VPN termination function. The router with VPN termination function 42 can connect to the Internet 100 using the assigned global IP address.
[0033]
Next, the router 42 with the VPN termination function searches for the global IP address from the host name of the VPN apparatus 3 or directly designates the global IP address, thereby encrypting the VPN apparatus 3 by IPSec (IP Security protocol) and The control VPN 112 as the encapsulated path is set in the router with VPN termination function 42 itself.
[0034]
As a result, the router 42 with the VPN termination function establishes a path that is encrypted and encapsulated by IPSec with the VPN apparatus 3 via the Internet 100 and establishes the control VPN 112.
[0035]
After the establishment of the control VPN 112, the router with a VPN termination function 42 performs communication via the control VPN 112 to the control server 1 and makes an authentication request to the control server 1. In this authentication request, the individual identifier recorded in the individual router 42 with the VPN termination function is transmitted.
[0036]
The control server 1 authenticates the router 42 with the VPN termination function using the individual identifier. When the authentication is successful, the router 42 with the VPN termination function notifies the control server 1 of the dynamic global IP address assigned by ISP # B. The control server 1 stores the notified global IP address as data associated with user information, site information, and individual identifiers.
[0037]
Since the router 52 with the VPN termination function at the user site E also performs the same processing as the router 42 with the VPN termination function described above, the global IP address assigned to the router 52 with the VPN termination function is stored in the control server 1. .
[0038]
Next, the router 42 with the VPN termination function transmits a setting information request to the control server 1. Upon receiving the setting information request, the control server 1 transmits IPSec setting information for constructing the user VPN 113 connecting the bases of the corresponding user to the router 42 with the VPN termination function. Here, IPSec setting information is registered in the control server 1 as a template in advance, and only the global IP address portion is replaced when the IPSec setting information is transmitted.
[0039]
When the router 42 with the VPN termination function receives the setting information from the control server 1, it sets the setting information in its own device. Similarly, since the router 52 with a VPN termination function also sets the setting information of the user VPN 113 in its own device, the user VPN 113 is constructed.
[0040]
FIG. 2 is a block diagram showing the configuration of the control server 1 of FIG. In FIG. 2, the control server 1 includes a communication unit 11, a message recognition unit 12, an authentication unit 13, an individual information storage unit 14, a setting information creation unit 15, a setting information distribution unit 16, and a database 17. Has been.
[0041]
The communication unit 11 communicates with the routers 42 and 52 with a VPN termination function via the VPN device 3 and the Internet 100. The message recognition unit 12 recognizes the message from the routers 42 and 52 with the VPN termination function, and notifies the recognition unit 13, the individual information storage unit 14, and the setting information distribution unit 16.
[0042]
The authentication means 13 compares the individual identifier from the routers 42 and 52 with the VPN termination function and the individual identifier stored in the database 17 and authenticates the routers 42 and 52 with the VPN termination function. The authentication result is notified to the routers 42 and 52 with the VPN termination function via the message recognition unit 12 and the communication unit 11.
[0043]
If the authentication is successful, the routers 42 and 52 with the VPN termination function notify the control server 1 of the dynamic global IP addresses assigned by the ISPs #B and #C, respectively. In the control server 1, the individual information storage unit 14 stores the global IP address notified from the routers 42 and 52 with the VPN termination function in the database 17 as data associated with user information, base information, and individual identifiers.
[0044]
The setting information creating means 15 replaces only the global IP address portion of the IPSec setting information registered in the database 17 as a template in advance with the global IP address notified from the routers 42 and 52 with the VPN termination function. And the IPSec setting information is stored in the database 17.
[0045]
When the setting information distribution unit 16 receives the setting information request from the routers 42 and 52 with the VPN termination function via the communication unit 11 and the message recognition unit 12, the setting information distribution unit 16 reads the IPSec setting information stored in the database 17 and reads the VPN. This is distributed to each of the routers 42 and 52 with termination function.
[0046]
FIG. 3 is a sequence chart showing the operation of the Internet VPN construction system according to one embodiment of the present invention, and FIG. 4 is a diagram showing the configuration of data used in the Internet VPN construction system according to one embodiment of the present invention. The operation of the Internet VPN construction system according to an embodiment of the present invention will be described with reference to FIGS.
[0047]
Before starting the service, the service provider A inputs user information, base information, and individual identifiers of the routers 42 and 52 with the VPN termination function from the HMI terminal 2 to the control server 1 (step S21 in FIG. 3). Based on the input information, the control server 1 sets IPSec in the VPN apparatus 3 for constructing a control VPN with the routers 42 and 52 with VPN termination function (step S11 in FIG. 3).
[0048]
When the power is turned on, the router 42 with the VPN termination function at the user site D accesses ISP #B to start connection to the Internet 100 and makes an IP address request to the IP address allocation server 41 of ISP #B. Performed (steps S51 to S53 in FIG. 3).
[0049]
The IP address assignment server 41 assigns an arbitrary pooled global IP address to the requested router 42 with VPN termination function (step S41 in FIG. 3). The router with VPN termination function 42 can connect to the Internet 100 using the assigned global IP address.
[0050]
Next, the router 42 with the VPN termination function searches for the global IP address from the host name of the VPN device 3 recorded in the own device or directly designates the global IP address, thereby controlling the VPN 112 for the VPN device 3. And makes a request for establishing a route for encrypting and encapsulating the packet by IPSec to the VPN apparatus 3 via the Internet 100 (step S54 in FIG. 3).
[0051]
As a result, in this embodiment, a path for encryption and encapsulation by IPSec is established as the control VPN 112 between the router 42 with the VPN termination function and the VPN apparatus 3 to prevent eavesdropping and tampering by a third party. (Steps S31 and S55 in FIG. 3).
[0052]
After the establishment of the control VPN 112, communication via the control VPN 112 is performed between the router with VPN termination function 42 and the control server 1. The router 42 with the VPN termination function makes an authentication request to the control server 1 in order to ensure that the data is not spoofed or tampered with by a third party (step S56 in FIG. 3). As this authentication request, the individual identifier recorded in the individual router 42 with the VPN termination function is transmitted.
[0053]
The control server 1 performs authentication determination of the router 42 with the VPN termination function using the individual identifier (steps S12 and S13 in FIG. 3). When the authentication is successful, the router 42 with the VPN termination function notifies the control server 1 of the dynamic global IP address assigned by ISP # B (step S57 in FIG. 3).
[0054]
The control server 1 stores the notified global IP address as data in which user information, base information, and individual identifiers are associated with each other as in the data configuration shown in FIG. 4 (steps S14 and S15 in FIG. 3).
[0055]
As shown in FIG. 4, the stored data includes user information indicating the user name or ID of the Internet VPN service, and base information indicating the base name or ID where the routers 42 and 52 with VPN termination functions are installed. And an individual identifier indicating the identifier of each of the routers 42 and 52 with the VPN termination function, and a global IP address notified from each of the routers 42 and 52 with the VPN termination function.
[0056]
The router with VPN termination function 52 also performs the same processing as the router with VPN termination function 42 described above, and the global IP address is stored in the control server 1. From the recorded data, the control server 1 generates setting information for connecting the routers 42 and 52 with the VPN termination function by the user VPN 113 which is a path encrypted and encapsulated by IPSec.
[0057]
Next, in order to construct the user VPN 113 between the routers 42 and 52 with the VPN termination function, the router 42 with the VPN termination function transmits a setting information request to the control server 1 (step S58 in FIG. 3).
[0058]
When receiving the setting information request, the control server 1 transmits setting information for constructing the user VPN 113 connecting the bases of the corresponding user to the router 42 with the VPN termination function (step S16 in FIG. 3).
[0059]
When receiving the setting information from the control server 1, the router with VPN termination function 42 sets the setting information in its own device (step S59 in FIG. 3). The router 52 with the VPN termination function also performs the same processing as the router 42 with the VPN termination function described above, sets the setting information of the user VPN 113 in its own device, and the user VPN 113 is constructed (steps S61, S17, and S62 in FIG. 3). ).
[0060]
Further, the control server 1 periodically sends and receives arbitrary messages to and from the routers 42 and 52 with VPN termination function at each site D and E, and monitors the activation status of the routers 42 and 52 with VPN termination function.
[0061]
5 and 6 are flowcharts showing the operation of the control server 1 of FIG. The operation of the control server 1 will be described with reference to FIG. 1, FIG. 5, and FIG. FIG. 5 shows processing until the control server 1 constructs the user VPN 113, and FIG. 6 shows processing after the control server 1 constructs the user VPN 113.
[0062]
The control server 1 detects the authentication request (step a1 in FIG. 5) and the authentication process (FIG. 5) because the plurality of routers with VPN termination function 42 and 52 at the plurality of bases D and E are asynchronously turned on (stopped). 5 steps a2) and information notification detection (step a3 in FIG. 5), the activation status of the routers 42 and 52 with the VPN termination function at each site D and E is determined, and only the router with the VPN termination function in the activated state is determined. The user VPN to be connected is constructed (steps a4 to a6 in FIG. 5).
[0063]
After building the user VPN 113 (after performing the processing of steps a1 to a6 in FIG. 5), the control server 1 periodically sends and receives arbitrary messages to and from the routers 42 and 52 with VPN termination function at each site D and E. The activation status of the routers 42 and 52 with the VPN termination function is always checked including the communication state of the control VPN between the bases D and E and the VPN apparatus 3 (steps b1 and b2 in FIG. 6).
[0064]
When the control server 1 detects in the activation state that a router with a VPN termination function including the control VPN communication abnormality is not in the activation state (step b3 in FIG. 6), the VPN termination which is the remaining activation state at the corresponding time In order to reconstruct the user VPN that connects only the function-equipped routers 42 and 52, the setting information of the user VPN is updated (steps b4 and b5 in FIG. 6), and the transmitted setting information is in the activated state with the VPN termination function router 42 and 52 (step b6 in FIG. 6).
[0065]
The routers 42 and 52 with VPN termination function installed at the user bases D and E set the received setting information in their own devices, and are updated to the user VPN excluding the base where the abnormality is detected.
[0066]
As described above, in the present embodiment, the router 42, 52 with VPN termination function installed at the user bases D, E does not require initial setting through manual operation, so that the service provider dispatches maintenance personnel and personnel. Education can be reduced.
[0067]
Further, in this embodiment, simple initial settings are required for the routers 42 and 52 with VPN termination function installed at the user bases D and E, but all of the routers 42 and 52 with VPN termination function are required. Therefore, the subscriber does not need technical knowledge and can easily construct an Internet VPN.
[0068]
Furthermore, in the present embodiment, the control server 1 is automatically notified of global IP addresses dynamically assigned from ISPs #B and #C, and is collectively managed by the control server 1, so that not only the fixed IP connection service, A dynamic IP address internet connection service can be used.
[0069]
Furthermore, in this embodiment, the global IP address dynamically allocated from ISP #B and #C is collectively managed by the control server 1 every time it is allocated, so that the Internet VPN service can be used even in the mobile device. In addition, a plurality of routers with VPN termination function 42 and 52 can be directly connected to each other via the Internet VPN.
[0070]
In this embodiment, the control server 1 centrally manages the subnet address change information and sets the subnet address change information in the routers 42 and 52 with VPN termination function at the respective bases D and E, so that the network topology is dynamically changed. can do.
[0071]
FIG. 7 is a block diagram showing the configuration of an Internet VPN construction system according to another embodiment of the present invention. In FIG. 7, in another embodiment of the present invention, the service provider A installs and operates a dynamic DNS (Domain Name System) server 6, and the VPN apparatus 3 via the ISP #F and the IP address assignment server 7. 1 is the same as that of the embodiment of the present invention shown in FIG. 1 except that it is connected to the Internet 100, and the same components are denoted by the same reference numerals. The operation of the same component is the same as that of the embodiment of the present invention.
[0072]
Accordingly, in another embodiment of the present invention, the IP address of the VPN apparatus 3 is different from that of the embodiment of the present invention in that the Internet connection using a dynamic IP address is used.
[0073]
The VPN apparatus 3 makes an IP address request to the IP address assignment server 7 of ISP # F in order to connect to the Internet 100. The IP address assignment server 7 assigns an arbitrary global IP address to the VPN apparatus 3 from the pooled global IP addresses.
[0074]
The VPN apparatus 3 connects to the Internet 100 by the assigned global IP address. The VPN device 3 registers the assigned IP address in the dynamic DNS server 6.
[0075]
Next, the routers 12 and 22 with the VPN termination function search the global IP address of the VPN device 3 from the dynamic DNS server 6 based on the processing shown in FIG. 1 and construct a control VPN for the VPN device 3. . In the present embodiment, by using the dynamic DNS for the connection of the VPN apparatus 3, the service provider A can also use the Internet connection by the dynamic IP address.
[0076]
FIG. 8 is a block diagram showing the configuration of an Internet VPN construction system according to another embodiment of the present invention. 8, in another embodiment of the present invention, the configuration is the same as that of the embodiment of the present invention shown in FIG. 1 except that the service provider A is provided with a router 8 having a VPN function. The same components are denoted by the same reference numerals. The operation of the same component is the same as that of the embodiment of the present invention.
[0077]
This embodiment is different from the above-described embodiment of the present invention in that the user VPNs 113 and 123 are connected via the router 8 in the service provider A. The router 8 is connected to the Internet by a fixed global IP address.
[0078]
FIG. 9 is a sequence chart showing the operation of the Internet VPN construction system according to another embodiment of the present invention. The operation of the Internet VPN construction system according to another embodiment of the present invention will be described with reference to FIGS.
[0079]
The authentication process and the notification process in the control server 1 of the routers 42 and 52 with the VPN termination function are the same as in the above-described embodiment of the present invention (steps S81, S71, S72, S91, S73, and S74 in FIG. 9). The control server 1 receives the notification process, and records the IP addresses of the routers 42 and 52 with VPN termination functions of the bases D and E as data.
[0080]
Next, the control server 1 sets the routing information specifying the global IP addresses of the routers 42 and 52 with the VPN termination function for the router 8 (step S75 in FIG. 9). In response to the setting information request from the router with VPN termination function (step S82 in FIG. 9), the setting information of the user VPN 113 by IPSec from the router with VPN termination function to the router 8 is transmitted to the router with VPN termination function. (Step S76 in FIG. 9), the user VPN 113 is constructed.
[0081]
Similarly, in response to the setting information request from the router 52 with VPN termination function (step S92 in FIG. 9), the setting information of the user VPN 123 by IPSec from the router 52 with VPN termination function to the router 8 is sent to the router 52 with VPN termination function. (Step S77 in FIG. 9) to construct the user VPN 123. As described above, the router 42 with a VPN termination function is connected to the router 52 with a VPN termination function via the user VPN 113, the router 8, and the user VPN 123.
[0082]
In this embodiment, since the user VPN passes through the router 8 of the service provider A, when connecting the routers 42 and 52 with the VPN termination function, mesh connection is made in a large-scale configuration, and the routers 42 and 52 with the VPN termination function are connected. There is a new effect that solves the problem of performance degradation.
[0083]
The router 8 having the VPN function shown in this embodiment is installed and operated in the bases D and E of the service provider A, but this is one embodiment, and the router 8 having the VPN function is a user base. Even when installed and operated at D and E, the same operations and effects as described above are obtained.
[0084]
FIG. 10 is a block diagram showing the configuration of an Internet VPN construction system according to still another embodiment of the present invention, and FIG. 11 is a diagram showing the configuration of data used in the Internet VPN construction system according to still another embodiment of the present invention. It is. In FIG. 10, in yet another embodiment of the present invention, a private IP address pool 9 is provided in the service provider A, and DHCP (Dynamic Host Configuration Protocol) is provided in the routers 42 and 52 with VPN termination function at the respective bases D and E. 1) Except that the server functions 42a and 52a are provided, and the computers 431 to 43n and 531 to 53n are provided in the bases D and E, the configuration is the same as that of the embodiment of the present invention shown in FIG. Are denoted by the same reference numerals. The operation of the same component is the same as that of the embodiment of the present invention.
[0085]
In FIG. 10, the control server 1 of the service provider A allocates the requested number of IP addresses from the private IP address pool 9 based on the number of base computers input from the HMI terminal 2 and associates them with user information and base information. Record (see FIG. 10).
[0086]
As shown in FIG. 10, the recorded data includes user information indicating the user name or ID of the Internet VPN service, and base information indicating the base name or ID where the routers 42 and 52 with VPN termination functions are installed. A base IP number indicating the number of IP addresses used in the LAN at the base where each of the routers 42 and 52 with VPN termination function is installed, and an individual identifier indicating an identifier of each of the routers 42 and 52 with VPN termination function The global IP address notified from each of the routers 42 and 52 with VPN termination function, and the private IP address pool indicating the IP address assigned to the LAN of the base where each of the routers 42 and 52 with VPN termination function is installed.
[0087]
The control server 1 notifies the private IP address pools assigned to the bases D and E to the routers 42 and 52 with VPN termination function of the bases D and E. Upon receiving the notification, the router 42 with the VPN termination function pays out the notified IP address in the private IP address area to the computers 431 to 43n in the base via the DHCP server function 42a.
[0088]
In addition to the private IP address area, the control server 1 transmits routing table setting information between the user VPNs based on the private IP address to the routers 42 and 52 with the VPN termination function. The routers 42 and 52 with the VPN termination function set the received routing table setting information in its own device.
[0089]
In this embodiment, by issuing and managing private IP addresses in the user base and updating the routing table via the control VPN, the user bases D and E do not need to manage IP addresses, and the computers 431 to 431 43n, 531 to 53n, etc. need not be set for the network. Further, by collectively managing private IP addresses, problems such as duplication of private IP addresses between the bases D and E are solved.
[0090]
【The invention's effect】
As described above, the present invention is configured and operated as described above, so that the service provider can reduce the dispatch of maintenance personnel and personnel training, without requiring technical knowledge of the subscriber himself / herself. As a result, it is possible to easily construct an Internet VPN.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of an Internet VPN construction system according to an embodiment of the present invention.
FIG. 2 is a block diagram showing a configuration of a control server in FIG. 1;
FIG. 3 is a sequence chart showing the operation of the Internet VPN construction system according to an embodiment of the present invention.
FIG. 4 is a diagram showing a data structure used in an Internet VPN construction system according to an embodiment of the present invention.
FIG. 5 is a flowchart showing the operation of the control server in FIG. 1;
6 is a flowchart showing the operation of the control server of FIG.
FIG. 7 is a block diagram showing a configuration of an Internet VPN construction system according to another embodiment of the present invention.
FIG. 8 is a block diagram showing a configuration of an Internet VPN construction system according to another embodiment of the present invention.
FIG. 9 is a sequence chart showing an operation of an Internet VPN construction system according to another embodiment of the present invention.
FIG. 10 is a block diagram showing a configuration of an Internet VPN construction system according to still another embodiment of the present invention.
FIG. 11 is a diagram showing a data structure used in an Internet VPN construction system according to still another embodiment of the present invention.
[Explanation of symbols]
1 Control server
2 HMI terminal
3 VPN equipment
6 Dynamic DNS server
7, 41, 51 IP address assignment server
8 routers
9 Private IP address pool
11 Communication means
12 Message recognition means
13 Authentication means
14 Individual information storage means
15 Setting information creation means
16 Setting information distribution means
17 Database
42,52 Router with VPN termination function
42a, 52a DHCP server function
A service provider
B, C, F ISP
D, E User base
100 Internet
101, 111, 121 Communication line
112,122 VPN for control
113,123 User VPN
431-43n,
531-53n Computer

Claims (21)

複数のユーザ拠点間に設置されたVPN(Virtual Private Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNを設定するVPN装置と、
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを含む制御サーバとを有することを特徴とするインタネットVPN構築システム。In response to a request from each router with a VPN (Virtual Private Network) termination function installed between a plurality of user bases, it is encrypted and encapsulated with the router with the VPN termination function by the IPSec (Internet Protocol Security protocol). A VPN device for setting a control VPN as a route to be
Means for authenticating the router with VPN termination function upon receipt of an authentication request from the router with VPN termination function via the control VPN, and dynamic notification notified from the router with VPN termination function upon successful authentication And a control server including means for transmitting the IPSec setting information based on the IP address to the router with the VPN termination function. 前記制御サーバは、前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基に前記VPN終端機能付きルータ間を結ぶユーザVPNを構築するためのIPSecの設定情報を送信し、
前記VPN終端機能付きルータが前記制御サーバからの設定情報を自装置に設定することで前記ユーザVPNを構築することを特徴とする請求項1記載のインタネットVPN構築システム。The control server transmits IPSec setting information for establishing a user VPN connecting the routers with the VPN termination function based on the dynamic IP address notified from the router with the VPN termination function when the authentication is successful. ,
2. The Internet VPN construction system according to claim 1, wherein the router with the VPN termination function constructs the user VPN by setting the setting information from the control server in its own device. 前記VPN装置と前記制御サーバとにそれぞれ固定IPアドレスを割当てたことを特徴とする請求項1または請求項2記載のインタネットVPN構築システム。3. The Internet VPN construction system according to claim 1, wherein a fixed IP address is assigned to each of the VPN apparatus and the control server. 前記VPN装置に接続されたインタネットと前記VPN終端機能付きルータとの間に設けられかつ前記VPN終端機能付きルータ各々に前記動的IPアドレスを割当てるIPアドレス割当てサーバを含むことを特徴とする請求項1から請求項3のいずれか記載のインタネットVPN構築システム。An IP address allocation server provided between the Internet connected to the VPN device and the router with VPN termination function and allocating the dynamic IP address to each of the routers with VPN termination function. The Internet VPN construction system according to any one of claims 1 to 3. 前記VPN終端機能付きルータ各々は、前記制御サーバ及び前記VPN装置各々のホスト名及び前記固定IPアドレスのいずれかを記録することを特徴とする請求項3または請求項4記載のインタネットVPN構築システム。5. The Internet VPN construction system according to claim 3, wherein each of the routers with a VPN termination function records either the host name or the fixed IP address of each of the control server and the VPN device. ユーザ情報、拠点情報、前記VPN終端機能付きルータの個別識別子を前記制御サーバに入力する端末を含むことを特徴とする請求項1から請求項5のいずれか記載のインタネットVPN構築システム。6. The Internet VPN construction system according to claim 1, further comprising a terminal for inputting user information, base information, and an individual identifier of the router with a VPN termination function to the control server. 前記インタネットと前記VPN装置との間に設けられかつ前記VPN装置に動的IPアドレスを割当てるIPアドレス割当てサーバと、前記VPN終端機能付きルータからの要求に対して前記VPN装置の動的IPアドレスを返却するダイナミックDNS(Domain Name System)サーバとを含むことを特徴とする請求項1と請求項4と請求項6とのいずれか記載のインタネットVPN構築システム。An IP address allocation server that is provided between the Internet and the VPN device and allocates a dynamic IP address to the VPN device, and a dynamic IP address of the VPN device in response to a request from the router with a VPN termination function 7. The Internet VPN construction system according to claim 1, further comprising a dynamic DNS (Domain Name System) server to be returned. 固定IPアドレスによって前記インタネットに接続されかつVPN機能を持つルータを含み、前記VPN終端機能付きルータと前記ルータとの間を結ぶユーザVPNを構築することで前記VPN終端機能付きルータ間を結ぶことを特徴とする請求項1から請求項7のいずれか記載のインタネットVPN構築システム。Including a router connected to the Internet by a fixed IP address and having a VPN function, and connecting the router with the VPN termination function by constructing a user VPN that connects the router with the VPN termination function and the router. The Internet VPN construction system according to any one of claims 1 to 7, characterized in that VPN(Virtual Private Network)装置で設定されかつ複数のユーザ拠点間に設置されたVPN終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、
前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを有することを特徴とする制御サーバ。In accordance with a request from each router with a VPN termination function set up in a VPN (Virtual Private Network) device and installed between a plurality of user bases, the router with the VPN termination function is configured by IPSec (Internet Protocol Security protocol). Means for authenticating the router with VPN termination function upon receipt of an authentication request from the router with VPN termination function via the control VPN as a path to be encrypted and encapsulated;
And a means for transmitting the IPSec setting information based on the dynamic IP address notified from the router with a VPN termination function to the router with a VPN termination function when the authentication is successful. 前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基に前記VPN終端機能付きルータ間を結ぶユーザVPNを構築するためのIPSecの設定情報を送信し、前記VPN終端機能付きルータに前記IPSecの設定情報が設定されることで前記ユーザVPNが構築されることを特徴とする請求項9記載の制御サーバ。Based on the dynamic IP address notified from the router with the VPN termination function when the authentication is successful, the IPSec setting information for constructing the user VPN connecting the routers with the VPN termination function is transmitted, and the VPN termination function is transmitted. The control server according to claim 9, wherein the user VPN is constructed by setting the IPSec setting information in an attached router. 前記VPN装置とともに自端末にそれぞれ固定IPアドレスが割当てられたことを特徴とする請求項9または請求項10記載の制御サーバ。The control server according to claim 9 or 10, wherein a fixed IP address is assigned to each own terminal together with the VPN device. 端末からユーザ情報、拠点情報、前記VPN終端機能付きルータの個別識別子が入力されることを特徴とする請求項9から請求項11のいずれか記載の制御サーバ。The control server according to any one of claims 9 to 11, wherein user information, base information, and an individual identifier of the router with a VPN termination function are input from a terminal. 固定IPアドレスによって前記インタネットに接続されかつVPN機能を持つルータと前記VPN終端機能付きルータとの間を結ぶユーザVPNを構築するよう制御することで前記VPN終端機能付きルータ間を結ぶことを特徴とする請求項9から請求項12のいずれか記載の制御サーバ。The routers with the VPN termination function are connected by controlling to construct a user VPN that is connected to the Internet by a fixed IP address and connects between the router having the VPN function and the router with the VPN termination function, The control server according to any one of claims 9 to 12. 複数のユーザ拠点間に設置されたVPN(VirtualPrivate Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをVPN装置と前記VPN終端機能付きルータとの間に設定し、
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行い、その認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基づいた前記IPSecの設定情報を制御サーバから前記VPN終端機能付きルータに送信することを特徴とするVPN構築方法。In response to a request from each router with a VPN (Virtual Private Network) termination function installed between a plurality of user bases, encryption and encapsulation are performed between the routers with the VPN termination function by IPSec (Internet Protocol Security protocol). Set the VPN for control as a route between the VPN device and the router with VPN termination function,
A dynamic IP address notified from the router with the VPN termination function when the authentication request is received from the router with the VPN termination function via the control VPN and the router with the VPN termination function is authenticated. A method for constructing a VPN, comprising: transmitting the IPSec setting information based on the protocol from the control server to the router with a VPN termination function. 前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基に前記VPN終端機能付きルータ間を結ぶユーザVPNを構築するためのIPSecの設定情報を前記制御サーバから前記VPN終端機能付きルータに送信し、
前記VPN終端機能付きルータが前記制御サーバからの設定情報を自装置に設定することで前記ユーザVPNを構築することを特徴とするVPN構築方法。Based on the dynamic IP address notified from the router with the VPN termination function when the authentication is successful, IPSec setting information for constructing a user VPN connecting the routers with the VPN termination function is sent from the control server to the VPN termination. To the router with the function,
The VPN construction method, wherein the router with a VPN termination function constructs the user VPN by setting the setting information from the control server in its own device. 前記VPN装置と前記制御サーバとにそれぞれ固定IPアドレスを割当てたことを特徴とする請求項15記載のVPN構築方法。16. The VPN construction method according to claim 15, wherein a fixed IP address is assigned to each of the VPN apparatus and the control server. 前記VPN終端機能付きルータ各々に前記動的IPアドレスを割当てるIPアドレス割当てサーバを前記VPN装置に接続されたインタネットと前記VPN終端機能付きルータとの間に設けたことを特徴とする請求項15または請求項16記載のVPN構築方法。16. An IP address allocation server for allocating the dynamic IP address to each of the routers with a VPN termination function is provided between the Internet connected to the VPN device and the router with a VPN termination function. The VPN construction method according to claim 16. 前記VPN終端機能付きルータ各々が、前記制御サーバ及び前記VPN装置各々のホスト名及び前記固定IPアドレスのいずれかを記録することを特徴とする請求項16または請求項17記載のVPN構築方法。The VPN construction method according to claim 16 or 17, wherein each of the routers with a VPN termination function records either the host name or the fixed IP address of each of the control server and the VPN device. ユーザ情報、拠点情報、前記VPN終端機能付きルータの個別識別子を外部から前記制御サーバに入力することを特徴とする請求項15から請求項18のいずれか記載のVPN構築方法。The VPN construction method according to any one of claims 15 to 18, wherein user information, base information, and an individual identifier of the router with a VPN termination function are input to the control server from the outside. 前記VPN装置に動的IPアドレスを割当てるIPアドレス割当てサーバを前記インタネットと前記VPN装置との間に設け、前記VPN終端機能付きルータからの要求に対して前記VPN装置の動的IPアドレスを返却するダイナミックDNS(Domain Name System)サーバを設けたことを特徴とする請求項15と請求項17と請求項19とのいずれか記載のVPN構築方法。An IP address assignment server for assigning a dynamic IP address to the VPN device is provided between the Internet and the VPN device, and the dynamic IP address of the VPN device is returned in response to a request from the router with a VPN termination function. 20. The VPN construction method according to any one of claims 15, 17, and 19, wherein a dynamic DNS (Domain Name System) server is provided. VPN機能を持つルータを固定IPアドレスによって前記インタネットに接続し、前記VPN終端機能付きルータと前記ルータとの間を結ぶユーザVPNを構築することで前記VPN終端機能付きルータ間を結ぶことを特徴とする請求項15から請求項20のいずれか記載のVPN構築方法。A router having a VPN function is connected to the Internet by a fixed IP address, and a user VPN that connects the router with the VPN termination function and the router is constructed to connect the routers with the VPN termination function. The VPN construction method according to any one of claims 15 to 20.
JP2003174170A 2003-06-19 2003-06-19 Internet vpn configuration system, control server and vpn configuration method for use therein Pending JP2005012485A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003174170A JP2005012485A (en) 2003-06-19 2003-06-19 Internet vpn configuration system, control server and vpn configuration method for use therein

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003174170A JP2005012485A (en) 2003-06-19 2003-06-19 Internet vpn configuration system, control server and vpn configuration method for use therein

Publications (1)

Publication Number Publication Date
JP2005012485A true JP2005012485A (en) 2005-01-13

Family

ID=34097726

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003174170A Pending JP2005012485A (en) 2003-06-19 2003-06-19 Internet vpn configuration system, control server and vpn configuration method for use therein

Country Status (1)

Country Link
JP (1) JP2005012485A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009028098A1 (en) * 2007-08-31 2009-03-05 Fujitsu Limited Configuration information generation device, configuration information generation method, program, and recording medium
JP2009100062A (en) * 2007-10-13 2009-05-07 A2 Network Kk Communication method
JP2011049841A (en) * 2009-08-27 2011-03-10 Nippon Telegr & Teleph Corp <Ntt> Network control method and network system
JP2015167295A (en) * 2014-03-03 2015-09-24 株式会社ネットリソースマネジメント System and method for vpn connection
CN108883013A (en) * 2016-03-23 2018-11-23 尤妮佳股份有限公司 Absorbent commodity
WO2023182203A1 (en) * 2022-03-25 2023-09-28 ソニーグループ株式会社 Information processing method, information processing device, and information processing system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009028098A1 (en) * 2007-08-31 2009-03-05 Fujitsu Limited Configuration information generation device, configuration information generation method, program, and recording medium
JP2009100062A (en) * 2007-10-13 2009-05-07 A2 Network Kk Communication method
JP2011049841A (en) * 2009-08-27 2011-03-10 Nippon Telegr & Teleph Corp <Ntt> Network control method and network system
JP2015167295A (en) * 2014-03-03 2015-09-24 株式会社ネットリソースマネジメント System and method for vpn connection
CN108883013A (en) * 2016-03-23 2018-11-23 尤妮佳股份有限公司 Absorbent commodity
WO2023182203A1 (en) * 2022-03-25 2023-09-28 ソニーグループ株式会社 Information processing method, information processing device, and information processing system

Similar Documents

Publication Publication Date Title
CN101340334B (en) Network access method, system and apparatus
US8467355B2 (en) System and method for providing wireless local area networks as a service
JP5871916B2 (en) Method, telecommunications network, and program for efficient management and / or configuration of connections between telecommunications networks and customer premises equipment
US20100182983A1 (en) System and method for providing wireless local area networks as a service
JP2006040274A (en) Firewall for protecting group of appliance, appliance participating in system and method of updating firewall rule within system
CN109600292B (en) Method and system for LAC router to initiate L2TP tunnel connection by self dialing number
JP2005252717A (en) Network management method and server
WO2019237683A1 (en) Protocol packet, and method for managing virtual client terminal device
JP2005167646A (en) Connection control system, connection controller and connection manager
WO2018039901A1 (en) Method, device and system for ip address allocation, and computer program product
CN116155649A (en) Construction method of industrial Internet based on two-layer tunnel protocol
CN103227822B (en) A kind of P2P communication connection method for building up and equipment
JP2005012485A (en) Internet vpn configuration system, control server and vpn configuration method for use therein
JP2012070225A (en) Network relay device and transfer control system
JP3746782B2 (en) Network system
CN114884771B (en) Identity network construction method, device and system based on zero trust concept
JP2011217174A (en) Communication system, packet transfer method, network exchange apparatus, and program
WO2019058612A1 (en) Remote access control system
TW201517654A (en) Transmission path control system
CN105119797A (en) Social resource access terminal, access management service device, method and system
JP2007174209A (en) Security communication system
WO2021103986A1 (en) Network device management method and apparatus, network management device, and medium
JP2004144817A (en) Station opening method for video and audio reproducing device, video and audio reproducing device, and station opening server
JPH11331270A (en) Network system
JP6487392B2 (en) Client terminal authentication system and client terminal authentication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060516

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080415

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080602

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090203