JP2005012485A - Internet vpn configuration system, control server and vpn configuration method for use therein - Google Patents
Internet vpn configuration system, control server and vpn configuration method for use therein Download PDFInfo
- Publication number
- JP2005012485A JP2005012485A JP2003174170A JP2003174170A JP2005012485A JP 2005012485 A JP2005012485 A JP 2005012485A JP 2003174170 A JP2003174170 A JP 2003174170A JP 2003174170 A JP2003174170 A JP 2003174170A JP 2005012485 A JP2005012485 A JP 2005012485A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- router
- termination function
- address
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明はインタネットVPN構築システム及びそれに用いるサービス提供方法に関し、特にインタネットを用いて構築されるインタネットVPN(Virtual Private Network:仮想私設網)に関する。
【0002】
【従来の技術】
従来、この種のインタネットVPNにおいては、VPN機能を持つファイアウォールマシンやルータを拠点間で利用することで実現している。ここで、VPN機能は、プライベートアドレスを使うIP(Internet Protocol)パケットを暗号化してグローバルアドレスを使うIPパケットにカプセル化する機能と、事前登録しておいたグローバルアドレスを持つIPパケット以外はフィルタリングして通さない機能とを備えている。
【0003】
上記のインタネットVPNでは、接続されている端末に故障が発生した時に当該端末のメンテナンスを行う場合、その端末における故障検出にともなって、所定の共有認証情報に基づいて端末の認証を行った後、その端末の故障に係る故障コード及びグローバルIPアドレスを保守サーバに送信する方法が提案されている(例えば、特許文献1参照)。
【0004】
この場合、保守サーバからコマンド制御されるVPNゲートウェイに、IPsec(IP security protocol)の認証鍵の設定及びIPsecのイニシエータ設定を書込むことで、保守サーバは端末との間に設定されるVPNトンネルを通して端末のサーバ部及びルータ部に対してリモートメンテナンスを行う。
【0005】
【特許文献1】
特開2001−197058号公報(第11〜14頁、図1)
【0006】
【発明が解決しようとする課題】
上述した従来のインタネットVPNサービスでは、インタネットVPNを構築するため、ユーザ拠点にVPN終端機能付きルータを設置し、ユーザまたはサービス事業者の保守要員が設定を行う必要があるため、人件費等の保守費用のコスト増大、また設定を行うための技術的知識を有することが必要とされている。
【0007】
また、従来のインタネットVPNサービスでは、動的IPアドレスが利用可能であるが、必ず固定IPアドレス接続拠点が必要となるため、動的IPアドレスが全てのユーザ拠点において利用可能になるとは限らないという問題がある。
【0008】
さらに、従来のインタネットVPNサービスでは、拠点の増設や撤去が発生した場合、他の拠点のVPN終端機能付きルータの設定変更が必要になるという問題もある。その際、他の拠点のVPN終端機能付きルータの設定変更は、上記と同様に、保守要員によって行われる。
【0009】
さらにまた、従来のインタネットVPNサービスでは、ある拠点内のIPアドレスやサブネットマスクの変更が発生した場合、他の拠点のVPN終端機能付きルータの設定変更が必要になるという問題がある。この場合も、他の拠点のVPN終端機能付きルータの設定変更は、上記と同様に、保守要員によって行われる。
【0010】
そこで、本発明の目的は上記の問題点を解消し、サービス提供者が保守要員の派遣や要員教育を削減することができ、加入者自身の技術的知識を必要とせず、容易にインタネットVPNを構築することができるインタネットVPN構築システム及びそれに用いるサービス提供方法を提供することにある。
【0011】
【課題を解決するための手段】
本発明によるインタネットVPN構築システムは、複数のユーザ拠点間に設置されたVPN(Virtual Private Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNを設定するVPN装置と、
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを含む制御サーバとを備えている。
【0012】
本発明による制御サーバは、VPN(Virtual Private Network)装置で設定されかつ複数のユーザ拠点間に設置されたVPN終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、
前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを備えている。
【0013】
本発明によるサービス提供方法は、複数のユーザ拠点間に設置されたVPN(Virtual Private Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをVPN装置と前記VPN終端機能付きルータとの間に設定し、
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行い、その認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基づいた前記IPSecの設定情報を制御サーバから前記VPN終端機能付きルータに送信している。
【0014】
すなわち、本発明のインタネットVPN(Virtual Private Network:仮想私設網)構築システムは、インタネットを利用した遠隔制御によって人手を介さずに自動的にインタネットVPNの構築を行うシステムと、そのサービス提供におけるビジネスモデルとを提供するものである。
【0015】
より具体的に説明すると、本発明のインタネットVPN構築システムでは、サービス提供者がサービス事業者内に制御サーバとHMI(Human−Machine Interface)端末とVPN装置とを設置して運用している。ここで、VPN装置はインタネットに通信回線で接続されている。
【0016】
インタネットVPNサービスを受けるエンドユーザは、ユーザ拠点AにVPN終端機能付きルータを設置し、もう一つの拠点Bに他のVPN終端機能付きルータを設置している。ユーザ拠点AのVPN終端機能付きルータはISP(Internet Service Provider:インタネット接続サービス事業者)#Xを経由し、通信回線でインタネットに接続されている。また、ユーザ拠点BのVPN終端機能付きルータはISP#Yを経由し、通信回線でインタネットに接続されている。
【0017】
上記の制御サーバ及びVPN装置は固定のグローバルIP(InternetProtocol)アドレスが割当てられており、ユーザ拠点A及びユーザ拠点B各々のVPN終端機能付きルータには、制御サーバとVPN装置とのホスト名またはグローバルIPアドレスが記録されている。
【0018】
上述した構成において、サービス事業者はサービスを開始する前にHMI端末からユーザ情報、拠点情報、ユーザ拠点A及びユーザ拠点B各々のVPN終端機能付きルータの個別識別子を制御サーバに入力する。
【0019】
ユーザ拠点AのVPN終端機能付きルータは電源投入を契機にインタネットへの接続を行うために、ユーザが設定する設定情報(ユーザ名、パスワード、IPアドレスまたはホスト名等)を基にISP#Xにアクセスし、ISP#XのIPアドレス割当てサーバに対し、IPアドレス要求を行う。
【0020】
IPアドレス割当てサーバは要求されたユーザ拠点AのVPN終端機能付きルータに対し、プールされている任意のグローバルIPアドレスを割当てる。ユーザ拠点AのVPN終端機能付きルータは割当てられたグローバルIPアドレスと、を使用してインタネットに接続可能となる。
【0021】
次に、ユーザ拠点AのVPN終端機能付きルータはVPN装置のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置に対するIPSec(IP Security protocol)による暗号化及びカプセル化される経路としての制御用VPNの設定を自装置に行う。これによって、ユーザ拠点AのVPN終端機能付きルータはインタネットを経由したVPN装置との間でIPSecによる暗号化及びカプセル化される経路の構築し、制御用VPNを確立する。
【0022】
制御用VPNの確立以降、ユーザ拠点AのVPN終端機能付きルータは制御サーバに対し、制御用VPNを経由した通信を行い、制御サーバに対して認証要求を行う。この認証要求にはVPN終端機能付きルータ個体に記録されている個別識別子を送信する。
【0023】
制御サーバは個別識別子によってユーザ拠点AのVPN終端機能付きルータの認証を行う。認証に成功した場合、ユーザ拠点AのVPN終端機能付きルータはISPから割当てられた動的なグローバルIPアドレスを制御サーバに通知する。制御サーバは通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとして保存する。
【0024】
ユーザ拠点BのVPN終端機能付きルータも、上述したユーザ拠点AのVPN終端機能付きルータと同様な処理を行い、制御サーバにグローバルIPアドレスが保存される。
【0025】
次に、ユーザ拠点AのVPN終端機能付きルータは設定情報要求を制御サーバに対して送信する。制御サーバは設定情報要求を受信すると、ユーザ拠点AのVPN終端機能付きルータに対し、該当ユーザの拠点間を結ぶユーザVPNを構築するためのIPSecの設定情報を送信する。ユーザ拠点AのVPN終端機能付きルータは制御サーバからの設定情報を受信すると、設定情報を自装置に設定する。
【0026】
ユーザ拠点BのVPN終端機能付きルータも、上述したユーザ拠点AのVPN終端機能付きルータと同様に、ユーザVPNの設定情報を自装置に設定するので、ユーザVPNが構築される。
【0027】
【発明の実施の形態】
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるインタネットVPN(Virtual Private Network:仮想私設網)構築システムの構成を示すブロック図である。この図1を参照して本発明の一実施例によるインタネットVPN構築システムについて説明する。
【0028】
サービス提供者はサービス事業者A内に制御サーバ1と、HMI(Human−Machine Interface)端末2と、VPN装置3とを設置して運用している。VPN装置3はインタネット100に通信回線101で接続されている。
【0029】
インタネットVPNサービスを受けるエンドユーザは、ユーザ拠点DにVPN終端機能付きルータ42を設置し、もう一つのユーザ拠点EにVPN終端機能付きルータ52を設置している。ユーザ拠点AのVPN終端機能付きルータ42はISP#Bを経由して通信回線111でインタネット100に接続されている。また、ユーザ拠点EのVPN終端機能付きルータ52はISP#Cを経由して通信回線121でインタネット100に接続されている。
【0030】
制御サーバ1とVPN装置3とには固定のグローバルIP(InternetProtocol)アドレスが割当てられており、VPN終端機能付きルータ42,52には制御サーバ1及びVPN装置3各々のホスト名またはグローバルIPアドレスが記録されている。
【0031】
本実施例において、サービス事業者Aはサービスを開始する前にHMI端末2からユーザ情報、拠点情報、VPN終端機能付きルータ42,52の個別識別子を制御サーバ1に入力する。ユーザ拠点DのVPN終端機能付きルータ42は電源投入を契機にインタネット100への接続を行うために、ユーザからの設定情報(ユーザ名、パスワード、IPアドレスまたはホスト名等)に基づいてISP#Bにアクセスし、ISP#BのIPアドレス割当てサーバ41に対してIPアドレス要求を行う。
【0032】
IPアドレス割当てサーバ41は要求されたVPN終端機能付きルータ42に対し、プールされている任意のグローバルIPアドレスを割当てる。VPN終端機能付きルータ42は割当てられたグローバルIPアドレスを使用してインタネット100に接続可能となる。
【0033】
次に、VPN終端機能付きルータ42はVPN装置3のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置3に対するIPSec(IP Security protocol)による暗号化及びカプセル化される経路としての制御用VPN112の設定をVPN終端機能付きルータ42自身に行う。
【0034】
これによって、VPN終端機能付きルータ42はインタネット100を経由したVPN装置3との間でIPSecによる暗号化及びカプセル化される経路の構築し、制御用VPN112を確立する。
【0035】
制御用VPN112の確立以降、VPN終端機能付きルータ42は制御サーバ1に対し、制御用VPN112を経由した通信を行い、制御サーバ1に対して認証要求を行う。この認証要求にはVPN終端機能付きルータ42の個体に記録されている個別識別子を送信する。
【0036】
制御サーバ1は個別識別子によって、VPN終端機能付きルータ42の認証を行う。認証に成功した場合、VPN終端機能付きルータ42はISP#Bから割当てられた動的なグローバルIPアドレスを制御サーバ1に通知する。制御サーバ1は通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとして保存する。
【0037】
ユーザ拠点EのVPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行うので、制御サーバ1にはVPN終端機能付きルータ52に割当てられたグローバルIPアドレスが保存される。
【0038】
次に、VPN終端機能付きルータ42は設定情報要求を制御サーバ1に対して送信する。制御サーバ1は設定情報要求を受信すると、VPN終端機能付きルータ42に対し、該当ユーザの拠点間を結ぶユーザVPN113を構築するためのIPSecの設定情報を送信する。ここで、制御サーバ1にはIPSecの設定情報が予めテンプレートとして登録されており、IPSecの設定情報を送信する際にはグローバルIPアドレス部分のみを置換することとなる。
【0039】
VPN終端機能付きルータ42は制御サーバ1からの設定情報を受信すると、設定情報を自装置に設定する。同様に、VPN終端機能付きルータ52も、ユーザVPN113の設定情報を自装置に設定するので、ユーザVPN113が構築される。
【0040】
図2は図1の制御サーバ1の構成を示すブロック図である。図2において、制御サーバ1は通信手段11と、メッセージ認識手段12と、認証手段13と、個体情報保存手段14と、設定情報作成手段15と、設定情報配信手段16と、データベース17とから構成されている。
【0041】
通信手段11はVPN装置3及びインタネット100を経由してVPN終端機能付きルータ42,52との間の通信を行う。メッセージ認識手段12はVPN終端機能付きルータ42,52からのメッセージを認識し、その認識結果を認証手段13と個体情報保存手段14と設定情報配信手段16とにそれぞれ通知する。
【0042】
認証手段13はVPN終端機能付きルータ42,52からの個別識別子とデータベース17に保存された個別識別子とを比較し、VPN終端機能付きルータ42,52の認証を行う。この認証結果はメッセージ認識手段12と通信手段11とを経由してVPN終端機能付きルータ42,52に通知される。
【0043】
認証に成功すると、VPN終端機能付きルータ42,52はISP#B,#Cから割当てられた動的なグローバルIPアドレスをそれぞれ制御サーバ1に通知する。制御サーバ1では個体情報保存手段14がVPN終端機能付きルータ42,52から通知されてきたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとしてデータベース17に保存する。
【0044】
設定情報作成手段15は予めテンプレートとしてデータベース17に登録されたIPSecの設定情報のグローバルIPアドレス部分のみを、VPN終端機能付きルータ42,52から通知されてきたグローバルIPアドレスで置換することで、IPSecの設定情報を作成し、IPSecの設定情報をデータベース17に保存する。
【0045】
設定情報配信手段16は通信手段11及びメッセージ認識手段12を経由してVPN終端機能付きルータ42,52からの設定情報要求を受取ると、データベース17に保存されているIPSecの設定情報を読出してVPN終端機能付きルータ42,52各々に配信する。
【0046】
図3は本発明の一実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートであり、図4は本発明の一実施例によるインタネットVPN構築システムに用いるデータの構成を示す図である。これら図1〜図4を参照して本発明の一実施例によるインタネットVPN構築システムの動作について説明する。
【0047】
サービス事業者Aはサービスを開始する前に、HMI端末2からユーザ情報、拠点情報、VPN終端機能付きルータ42,52の個別識別子を制御サーバ1に入力する(図3ステップS21)。制御サーバ1は入力された情報を基にVPN終端機能付きルータ42,52との制御VPNを構築するためのIPSecの設定をVPN装置3に設定する(図3ステップS11)。
【0048】
ユーザ拠点DのVPN終端機能付きルータ42は電源投入を契機に、インタネット100への接続を開始するため、ISP#Bにアクセスし、ISP#BのIPアドレス割当てサーバ41に対してIPアドレス要求を行う(図3ステップS51〜S53)。
【0049】
IPアドレス割当てサーバ41は要求されたVPN終端機能付きルータ42に対し、プールされている任意のグローバルIPアドレスを割当てる(図3ステップS41)。VPN終端機能付きルータ42は割当てられたグローバルIPアドレスを使用してインタネット100に接続可能となる。
【0050】
次に、VPN終端機能付きルータ42は自装置に記録されているVPN装置3のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置3に対する制御用VPN112の設定を自装置に行い、インタネット100を経由してVPN装置3にIPSecによるパケットを暗号化及びカプセル化する経路の確立要求を行う(図3ステップS54)。
【0051】
これによって、本実施例では、VPN終端機能付きルータ42とVPN装置3との間において、制御用VPN112としてIPSecによる暗号化及びカプセル化による経路が確立され、第三者による盗聴や改ざんを防ぐことが可能となる(図3ステップS31,S55)。
【0052】
制御用VPN112の確立以降、VPN終端機能付きルータ42と制御サーバ1との間は、制御用VPN112を経由した通信を行う。VPN終端機能付きルータ42は第三者によるなりすましやデータの改ざんがされていないことを保証するために、制御サーバ1に対して認証要求を行う(図3ステップS56)。この認証要求としては、VPN終端機能付きルータ42の個体に記録されている個別識別子を送信する。
【0053】
制御サーバ1は個別識別子によって、VPN終端機能付きルータ42の認証判定を行う(図3ステップS12,S13)。認証が成功した場合、VPN終端機能付きルータ42はISP#Bから割当てられた動的なグローバルIPアドレスを制御サーバ1に通知する(図3ステップS57)。
【0054】
制御サーバ1は、図4に示すデータ構成のように、通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子とを関係付けたデータとして保存する(図3ステップS14,S15)。
【0055】
この保存されてデータは、図4に示すように、インタネットVPNサービスの利用者名またはIDを示すユーザ情報と、VPN終端機能付きルータ42,52各々が設置される拠点名またはIDを示す拠点情報と、VPN終端機能付きルータ42,52各々の識別子を示す個別識別子と、VPN終端機能付きルータ42,52各々から通知されるグローバルIPアドレスとからなる。
【0056】
VPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行い、制御サーバ1にグローバルIPアドレスが保存される。制御サーバ1は記録されたデータから、VPN終端機能付きルータ42,52間をIPSecによって暗号化及びカプセル化される経路であるユーザVPN113で接続するための設定情報を生成する。
【0057】
次に、VPN終端機能付きルータ42,52間のユーザVPN113を構築するために、VPN終端機能付きルータ42は設定情報要求を制御サーバ1に対して送信する(図3ステップS58)。
【0058】
制御サーバ1は設定情報要求を受信すると、VPN終端機能付きルータ42に対し、該当ユーザの拠点間を結ぶユーザVPN113を構築するための設定情報を送信する(図3ステップS16)。
【0059】
VPN終端機能付きルータ42は制御サーバ1からの設定情報を受信すると、その設定情報を自装置に設定する(図3ステップS59)。VPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行い、ユーザVPN113の設定情報を自装置に設定し、ユーザVPN113が構築される(図3ステップS61,S17,S62)。
【0060】
また、制御サーバ1は各拠点D,EのVPN終端機能付きルータ42,52に対し、定期的に任意のメッセージの送受信を行い、VPN終端機能付きルータ42,52の起動状態を監視する。
【0061】
図5及び図6は図1の制御サーバ1の動作を示すフローチャートである。これら図1と図5と図6とを参照して制御サーバ1の動作について説明する。図5には制御サーバ1がユーザVPN113を構築するまでの処理を示しており、図6には制御サーバ1がユーザVPN113を構築した後の処理を示している。
【0062】
制御サーバ1は、複数拠点D,Eにある複数のVPN終端機能付きルータ42,52が非同期で電源投入停止(起動停止)されるため、認証要求検出(図5ステップa1)、認証処理(図5ステップa2)、情報通知検出(図5ステップa3)の各処理によって、各拠点D,EのVPN終端機能付きルータ42,52の起動状態を判定し、起動状態のVPN終端機能付きルータのみを接続するユーザVPNの構築を行う(図5ステップa4〜a6)。
【0063】
制御サーバ1はユーザVPN113を構築後(図5のステップa1〜a6の処理を行った以降)、各拠点D,EのVPN終端機能付きルータ42,52と定期的に任意のメッセージの送受信を行い、各拠点D,EとVPN装置3との間の制御用VPNの通信状態を含め、VPN終端機能付きルータ42,52の起動状態確認を常時行う(図6ステップb1,b2)。
【0064】
制御サーバ1は起動状態確認において、制御VPNの通信異常を含む、あるVPN終端機能付きルータが起動状態でないことを検出した場合(図6ステップb3)、該当時点で残りの起動状態であるVPN終端機能付きルータ42,52のみを接続するユーザVPNの再構築を行うため、ユーザVPNの設定情報を更新し(図6ステップb4,b5)、送信した設定情報を起動状態にあるVPN終端機能付きルータ42,52に送信する(図6ステップb6)。
【0065】
ユーザ拠点D,Eに設置されているVPN終端機能付きルータ42,52は、受信した設定情報を自装置に設定し、異常が検出された拠点を除いたユーザVPNに更新される。
【0066】
このように、本実施例では、ユーザ拠点D,Eに設置するVPN終端機能付きルータ42,52に対し、人手を介した初期設定が不要であるため、サービス提供者が保守要員の派遣や要員教育を削減することができる。
【0067】
また、本実施例では、ユーザ拠点D,Eに設置するVPN終端機能付きルータ42,52に対して人手を介した簡単な初期設定が必要であるが、VPN終端機能付きルータ42,52に対する全ての設定を行う必要はないので、加入者自身が技術的知識を必要とせず、容易にインタネットVPNを構築することができる。
【0068】
さらに、本実施例では、ISP#B,#Cから動的に割当てられるグローバルIPアドレスを制御サーバ1へ自動的に通知し、制御サーバ1で一括管理するため、固定IP接続サービスだけでなく、動的IPアドレスのインタネット接続サービスを利用することができる。
【0069】
さらにまた、本実施例では、ISP#B,#Cから動的に割当てられるグローバルIPアドレスを割当てられる度に制御サーバ1で一括管理するため、モバイル機器においても、インタネットVPNサービスを利用することができ、複数のVPN終端機能付きルータ42,52同士を直接インタネットVPNで接続することができる。
【0070】
本実施例では、制御サーバ1がサブネットアドレス変更情報を一元管理し、そのサブネットアドレス変更情報を各拠点D,EのVPN終端機能付きルータ42,52に設定するため、ネットワークトポロジを動的に変更することができる。
【0071】
図7は本発明の他の実施例によるインタネットVPN構築システムの構成を示すブロック図である。図7において、本発明の他の実施例では、サービス事業者AがダイナミックDNS(Domain Name System)サーバ6を設置・運用し、かつISP#F、IPアドレス割当てサーバ7を経由してVPN装置3がインタネット100に接続される構成とした以外は上記の図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0072】
これによって、本発明の他の実施例では、VPN装置3のIPアドレスが動的なIPアドレスによるインタネット接続を利用する点が本発明の一実施例と異なっている。
【0073】
VPN装置3はインタネット100に接続するため、ISP#FのIPアドレス割当てサーバ7に対してIPアドレス要求を行う。IPアドレス割当てサーバ7はプールされているグローバルIPアドレスの中から、任意のグローバルIPアドレスをVPN装置3に割当てる。
【0074】
VPN装置3は割当てられたグローバルIPアドレスによって、インタネット100に接続する。VPN装置3は割当てられたIPアドレスを、ダイナミックDNSサーバ6に登録する。
【0075】
次に、VPN終端機能付きルータ12,22は、図1に示す処理に基づいて、ダイナミックDNSサーバ6からVPN装置3のグローバルIPアドレスを探索し、VPN装置3に対して制御用VPNを構築する。本実施例では、VPN装置3の接続においてダイナミックDNSを利用することで、サービス事業者Aにおいても動的なIPアドレスによるインタネット接続を利用することができる。
【0076】
図8は本発明の別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。図8において、本発明の別の実施例では、サービス事業者AにVPN機能を有するルータ(Router)8を設置した以外は上記の図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0077】
本実施例ではサービス事業者AにおいてユーザVPN113,123がルータ8を経由して接続される点が上述した本発明の一実施例とは異なる。また、ルータ8は固定のグローバルIPアドレスによってインタネット接続されている。
【0078】
図9は本発明の別の実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。これら図8及び図9を参照して本発明の別の実施例によるインタネットVPN構築システムの動作について説明する。
【0079】
VPN終端機能付きルータ42,52の制御サーバ1での認証処理、通知処理は、上記の本発明の一実施例と同様である(図9ステップS81,S71,S72,S91,S73,S74)。制御サーバ1は通知処理を受け、各拠点D,EのVPN終端機能付きルータ42,52のIPアドレスをデータとして記録する。
【0080】
次に、制御サーバ1はルータ8に対して、VPN終端機能付きルータ42,52のグローバルIPアドレスを指定したルーティング情報を設定する(図9ステップS75)。VPN終端機能付きルータ42からの設定情報要求に対しては(図9ステップS82)、VPN終端機能付きルータ42からルータ8へのIPSecによるユーザVPN113の設定情報をVPN終端機能付きルータ42に送信し(図9ステップS76)、ユーザVPN113を構築する。
【0081】
同様に、VPN終端機能付きルータ52からの設定情報要求に対しては(図9ステップS92)、VPN終端機能付きルータ52からルータ8へのIPSecによるユーザVPN123の設定情報をVPN終端機能付きルータ52に送信し(図9ステップS77)、ユーザVPN123を構築する。このように、VPN終端機能付きルータ42はユーザVPN113、ルータ8、ユーザVPN123を経由してVPN終端機能付きルータ52に接続される。
【0082】
本実施例では、ユーザVPNがサービス事業者Aのルータ8を経由するため、VPN終端機能付きルータ42,52同士を接続する場合に大規模構成ではメッシュ接続となり、VPN終端機能付きルータ42,52の性能劣化問題が解決されるという新しい効果がある。
【0083】
本実施例で示されるVPN機能を有するルータ8は、サービス事業者Aの拠点D,E内に設置・運用されているが、これは一実施例であり、VPN機能を有するルータ8はユーザ拠点D,Eで設置・運用されても、上記と同様の動作及び効果がある。
【0084】
図10は本発明のさらに別の実施例によるインタネットVPN構築システムの構成を示すブロック図であり、図11は本発明のさらに別の実施例によるインタネットVPN構築システムに用いてるデータの構成を示す図である。図10において、本発明のさらに別の実施例では、サービス事業者A内にプライベートIPアドレスプール9を設け、各拠点D,EのVPN終端機能付きルータ42,52内にDHCP(Dynamic Host Configuration Protocol)サーバ機能42a,52aを設け、拠点D,E内にコンピュータ431〜43n,531〜53nを設けた以外は図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0085】
図10において、サービス事業者Aの制御サーバ1はHMI端末2から入力された拠点のコンピュータ数を基に、プライベートIPアドレスプール9から要求数のIPアドレスを割振り、ユーザ情報、拠点情報に関連付けて記録する(図10参照)。
【0086】
この記録されたデータは、図10に示すように、インタネットVPNサービスの利用者名またはIDを示すユーザ情報と、VPN終端機能付きルータ42,52各々が設置される拠点名またはIDを示す拠点情報と、VPN終端機能付きルータ42,52各々が設置される拠点のLANで使用されるIPアドレスの数を示す拠点内IP数と、VPN終端機能付きルータ42,52各々の識別子を示す個別識別子と、VPN終端機能付きルータ42,52各々から通知されるグローバルIPアドレスと、VPN終端機能付きルータ42,52各々が設置される拠点のLANに割当てるIPアドレスを示すプライベートIPアドレスプールとからなる。
【0087】
制御サーバ1は各拠点D,Eに割当てたプライベートIPアドレスプールを各拠点D,EのVPN終端機能付きルータ42,52に対して通知する。VPN終端機能付きルータ42はその通知を受けると、通知されたプライベートIPアドレス領域のIPアドレスを拠点内のコンピュータ431〜43nにDHCPサーバ機能42aを経由して払い出す。
【0088】
また、制御サーバ1は上記のプライベートIPアドレス領域に加え、プライベートIPアドレスによるユーザVPN間のルーティングテーブル設定情報をVPN終端機能付きルータ42,52に送信する。VPN終端機能付きルータ42,52は受信したルーティングテーブル設定情報を自装置に設定する。
【0089】
本実施例では、制御用VPNを介して、ユーザ拠点内のプライベートIPアドレスの払い出し及び管理とルーティングテーブルの更新を行うことで、ユーザ拠点D,EはIPアドレスの管理が不要となり、コンピュータ431〜43n,531〜53n等を含めネットワークに対する設定が不要となる。また、プライベートIPアドレスを一括管理することで、拠点D,E間でプライベートIPアドレスの重複等の問題が解決される。
【0090】
【発明の効果】
以上説明したように本発明は、上記のような構成及び動作とすることで、サービス提供者が保守要員の派遣や要員教育を削減することができ、加入者自身の技術的知識を必要とせず、容易にインタネットVPNを構築することができるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図2】図1の制御サーバの構成を示すブロック図である。
【図3】本発明の一実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。
【図4】本発明の一実施例によるインタネットVPN構築システムに用いるデータの構成を示す図である。
【図5】図1の制御サーバの動作を示すフローチャートである。
【図6】図1の制御サーバの動作を示すフローチャートである。
【図7】本発明の他の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図8】本発明の別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図9】本発明の別の実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。
【図10】本発明のさらに別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図11】本発明のさらに別の実施例によるインタネットVPN構築システムに用いてるデータの構成を示す図である。
【符号の説明】
1 制御サーバ
2 HMI端末
3 VPN装置
6 ダイナミックDNSサーバ
7,41,51 IPアドレス割当てサーバ
8 ルータ
9 プライベートIPアドレスプール
11 通信手段
12 メッセージ認識手段
13 認証手段
14 個体情報保存手段
15 設定情報作成手段
16 設定情報配信手段
17 データベース
42,52 VPN終端機能付きルータ
42a,52a DHCPサーバ機能
A サービス事業者
B,C,F ISP
D,E ユーザ拠点
100 インタネット
101,111,121 通信回線
112,122 制御用VPN
113,123 ユーザVPN
431〜43n,
531〜53n コンピュータ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an Internet VPN construction system and a service providing method used therefor, and more particularly to an Internet VPN (Virtual Private Network) constructed using the Internet.
[0002]
[Prior art]
Conventionally, this type of Internet VPN is realized by using a firewall machine or router having a VPN function between bases. Here, the VPN function encrypts IP (Internet Protocol) packets that use private addresses and encapsulates them into IP packets that use global addresses, and filters other than IP packets that have pre-registered global addresses. It has a function that does not pass through.
[0003]
In the above-described Internet VPN, when maintenance is performed on a connected terminal when a failure occurs, the terminal is authenticated based on predetermined shared authentication information along with the failure detection at the terminal, A method for transmitting a failure code and a global IP address relating to the failure of the terminal to a maintenance server has been proposed (see, for example, Patent Document 1).
[0004]
In this case, the maintenance server writes the setting of the authentication key of IPsec (IP security protocol) and the initiator setting of IPsec to the VPN gateway that is command-controlled by the maintenance server, so that the maintenance server passes through the VPN tunnel set up with the terminal. Remote maintenance is performed on the server unit and router unit of the terminal.
[0005]
[Patent Document 1]
Japanese Patent Laid-Open No. 2001-197058 (pages 11-14, FIG. 1)
[0006]
[Problems to be solved by the invention]
In the above-described conventional Internet VPN service, in order to construct an Internet VPN, a router with a VPN termination function needs to be installed at the user base, and maintenance by personnel of the user or service provider must be performed. There is a need to increase the cost of the cost and to have technical knowledge to set up.
[0007]
In addition, in the conventional Internet VPN service, a dynamic IP address can be used, but since a fixed IP address connection base is always required, a dynamic IP address is not always available at all user bases. There's a problem.
[0008]
In addition, the conventional Internet VPN service has a problem in that when a base is added or removed, it is necessary to change the setting of a router with a VPN termination function at another base. At that time, the setting change of the router with the VPN termination function at another base is performed by maintenance personnel in the same manner as described above.
[0009]
Furthermore, in the conventional Internet VPN service, when an IP address or subnet mask in a certain base is changed, it is necessary to change the setting of a router with a VPN termination function in another base. Also in this case, the setting change of the router with the VPN termination function at another base is performed by maintenance personnel in the same manner as described above.
[0010]
Therefore, the object of the present invention is to solve the above-mentioned problems, the service provider can reduce the dispatch of maintenance personnel and personnel training, and does not require the subscriber's own technical knowledge, and can easily install the Internet VPN. An object of the present invention is to provide an Internet VPN construction system that can be constructed and a service providing method used therefor.
[0011]
[Means for Solving the Problems]
The Internet VPN construction system according to the present invention has an IPSec (Internet Protocol Security) between a router with a VPN termination function according to a request from each router with a VPN (Virtual Private Network) termination function installed between a plurality of user bases. a VPN device for setting a control VPN as a route to be encrypted and encapsulated by protocol),
Means for authenticating the router with VPN termination function upon receipt of an authentication request from the router with VPN termination function via the control VPN, and dynamic notification notified from the router with VPN termination function upon successful authentication And a control server including means for transmitting the IPSec setting information based on the IP address to the router with the VPN termination function.
[0012]
The control server according to the present invention has an IPSec connection with a router with a VPN termination function according to a request from each of the routers with a VPN termination function set up in a VPN (Virtual Private Network) device and installed between a plurality of user bases. Means for authenticating the router with the VPN termination function upon reception of an authentication request from the router with the VPN termination function via the control VPN as a path to be encrypted and encapsulated by (Internet Protocol Security protocol);
Means for transmitting the IPSec setting information based on the dynamic IP address notified from the router with VPN termination function to the router with VPN termination function when the authentication is successful.
[0013]
The service providing method according to the present invention provides an IPSec (Internet Protocol Security protocol) between a router with a VPN termination function in response to a request from each router with a VPN (Virtual Private Network) termination function installed between a plurality of user bases. ) Is set between the VPN device and the router with the VPN termination function as a path to be encrypted and encapsulated by
A dynamic IP address notified from the router with the VPN termination function when the authentication request is received from the router with the VPN termination function via the control VPN and the router with the VPN termination function is authenticated. The IPSec setting information based on the above is transmitted from the control server to the router with the VPN termination function.
[0014]
In other words, the Internet VPN (Virtual Private Network) construction system of the present invention is a system that automatically constructs an Internet VPN by remote control using the Internet without human intervention, and a business model for providing the service And provide.
[0015]
More specifically, in the Internet VPN construction system of the present invention, a service provider installs and operates a control server, an HMI (Human-Machine Interface) terminal, and a VPN device in the service provider. Here, the VPN apparatus is connected to the Internet through a communication line.
[0016]
An end user who receives the Internet VPN service has a router with a VPN termination function installed at a user site A and another router with a VPN termination function installed at another site B. The router with the VPN termination function at the user site A is connected to the Internet through a communication line via an ISP (Internet Service Provider) #X. Further, the router with the VPN termination function at the user site B is connected to the Internet via a communication line via ISP # Y.
[0017]
A fixed global IP (Internet Protocol) address is assigned to the control server and the VPN device, and the host name of the control server and the VPN device or the global name is assigned to each router with a VPN termination function at each of the user base A and the user base B. An IP address is recorded.
[0018]
In the configuration described above, the service provider inputs user information, base information, and individual identifiers of routers with VPN termination functions of the user base A and the user base B from the HMI terminal to the control server before starting the service.
[0019]
The router with the VPN termination function at the user base A is connected to the Internet when the power is turned on, and the ISP # X is set based on the setting information (user name, password, IP address or host name, etc.) set by the user. Access and make an IP address request to the IP address assignment server of ISP # X.
[0020]
The IP address allocation server allocates an arbitrary pooled global IP address to the router with the VPN termination function of the requested user site A. The router with the VPN termination function at the user site A can be connected to the Internet using the assigned global IP address.
[0021]
Next, the router with the VPN termination function at the user base A searches for the global IP address from the host name of the VPN device or directly designates the global IP address, thereby encrypting the VPN device with IPSec (IP Security protocol). And the setting of the control VPN as a path to be encapsulated is performed in the own apparatus. As a result, the router with the VPN termination function at the user base A establishes a path for encryption and encapsulation by IPSec with the VPN apparatus via the Internet, and establishes a control VPN.
[0022]
After the establishment of the control VPN, the router with the VPN termination function at the user site A communicates with the control server via the control VPN and issues an authentication request to the control server. In this authentication request, the individual identifier recorded in the individual router with the VPN termination function is transmitted.
[0023]
The control server authenticates the router with the VPN termination function at the user base A by the individual identifier. When the authentication is successful, the router with the VPN termination function at the user site A notifies the control server of the dynamic global IP address assigned by the ISP. The control server stores the notified global IP address as data associated with user information, site information, and individual identifiers.
[0024]
The router with the VPN termination function at the user site B performs the same process as the above router with the VPN termination function at the user site A, and the global IP address is stored in the control server.
[0025]
Next, the router with the VPN termination function at the user site A transmits a setting information request to the control server. Upon receiving the setting information request, the control server transmits IPSec setting information for constructing the user VPN connecting the bases of the corresponding user to the router with the VPN termination function of the user base A. When the router with the VPN termination function at the user site A receives the setting information from the control server, it sets the setting information in its own device.
[0026]
Since the router with the VPN termination function at the user base B also sets the user VPN setting information in its own device in the same manner as the router with the VPN termination function at the user base A described above, the user VPN is constructed.
[0027]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of an Internet VPN (Virtual Private Network) construction system according to an embodiment of the present invention. An Internet VPN construction system according to an embodiment of the present invention will be described with reference to FIG.
[0028]
A service provider installs and operates a
[0029]
An end user who receives the Internet VPN service has a
[0030]
A fixed global IP (Internet Protocol) address is assigned to the
[0031]
In this embodiment, the service provider A inputs user information, base information, and individual identifiers of the
[0032]
The IP
[0033]
Next, the
[0034]
As a result, the
[0035]
After the establishment of the
[0036]
The
[0037]
Since the
[0038]
Next, the
[0039]
When the
[0040]
FIG. 2 is a block diagram showing the configuration of the
[0041]
The
[0042]
The authentication means 13 compares the individual identifier from the
[0043]
If the authentication is successful, the
[0044]
The setting
[0045]
When the setting
[0046]
FIG. 3 is a sequence chart showing the operation of the Internet VPN construction system according to one embodiment of the present invention, and FIG. 4 is a diagram showing the configuration of data used in the Internet VPN construction system according to one embodiment of the present invention. The operation of the Internet VPN construction system according to an embodiment of the present invention will be described with reference to FIGS.
[0047]
Before starting the service, the service provider A inputs user information, base information, and individual identifiers of the
[0048]
When the power is turned on, the
[0049]
The IP
[0050]
Next, the
[0051]
As a result, in this embodiment, a path for encryption and encapsulation by IPSec is established as the
[0052]
After the establishment of the
[0053]
The
[0054]
The
[0055]
As shown in FIG. 4, the stored data includes user information indicating the user name or ID of the Internet VPN service, and base information indicating the base name or ID where the
[0056]
The router with
[0057]
Next, in order to construct the
[0058]
When receiving the setting information request, the
[0059]
When receiving the setting information from the
[0060]
Further, the
[0061]
5 and 6 are flowcharts showing the operation of the
[0062]
The
[0063]
After building the user VPN 113 (after performing the processing of steps a1 to a6 in FIG. 5), the
[0064]
When the
[0065]
The
[0066]
As described above, in the present embodiment, the
[0067]
Further, in this embodiment, simple initial settings are required for the
[0068]
Furthermore, in the present embodiment, the
[0069]
Furthermore, in this embodiment, the global IP address dynamically allocated from ISP #B and #C is collectively managed by the
[0070]
In this embodiment, the
[0071]
FIG. 7 is a block diagram showing the configuration of an Internet VPN construction system according to another embodiment of the present invention. In FIG. 7, in another embodiment of the present invention, the service provider A installs and operates a dynamic DNS (Domain Name System) server 6, and the
[0072]
Accordingly, in another embodiment of the present invention, the IP address of the
[0073]
The
[0074]
The
[0075]
Next, the
[0076]
FIG. 8 is a block diagram showing the configuration of an Internet VPN construction system according to another embodiment of the present invention. 8, in another embodiment of the present invention, the configuration is the same as that of the embodiment of the present invention shown in FIG. 1 except that the service provider A is provided with a router 8 having a VPN function. The same components are denoted by the same reference numerals. The operation of the same component is the same as that of the embodiment of the present invention.
[0077]
This embodiment is different from the above-described embodiment of the present invention in that the
[0078]
FIG. 9 is a sequence chart showing the operation of the Internet VPN construction system according to another embodiment of the present invention. The operation of the Internet VPN construction system according to another embodiment of the present invention will be described with reference to FIGS.
[0079]
The authentication process and the notification process in the
[0080]
Next, the
[0081]
Similarly, in response to the setting information request from the
[0082]
In this embodiment, since the user VPN passes through the router 8 of the service provider A, when connecting the
[0083]
The router 8 having the VPN function shown in this embodiment is installed and operated in the bases D and E of the service provider A, but this is one embodiment, and the router 8 having the VPN function is a user base. Even when installed and operated at D and E, the same operations and effects as described above are obtained.
[0084]
FIG. 10 is a block diagram showing the configuration of an Internet VPN construction system according to still another embodiment of the present invention, and FIG. 11 is a diagram showing the configuration of data used in the Internet VPN construction system according to still another embodiment of the present invention. It is. In FIG. 10, in yet another embodiment of the present invention, a private IP address pool 9 is provided in the service provider A, and DHCP (Dynamic Host Configuration Protocol) is provided in the
[0085]
In FIG. 10, the
[0086]
As shown in FIG. 10, the recorded data includes user information indicating the user name or ID of the Internet VPN service, and base information indicating the base name or ID where the
[0087]
The
[0088]
In addition to the private IP address area, the
[0089]
In this embodiment, by issuing and managing private IP addresses in the user base and updating the routing table via the control VPN, the user bases D and E do not need to manage IP addresses, and the
[0090]
【The invention's effect】
As described above, the present invention is configured and operated as described above, so that the service provider can reduce the dispatch of maintenance personnel and personnel training, without requiring technical knowledge of the subscriber himself / herself. As a result, it is possible to easily construct an Internet VPN.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of an Internet VPN construction system according to an embodiment of the present invention.
FIG. 2 is a block diagram showing a configuration of a control server in FIG. 1;
FIG. 3 is a sequence chart showing the operation of the Internet VPN construction system according to an embodiment of the present invention.
FIG. 4 is a diagram showing a data structure used in an Internet VPN construction system according to an embodiment of the present invention.
FIG. 5 is a flowchart showing the operation of the control server in FIG. 1;
6 is a flowchart showing the operation of the control server of FIG.
FIG. 7 is a block diagram showing a configuration of an Internet VPN construction system according to another embodiment of the present invention.
FIG. 8 is a block diagram showing a configuration of an Internet VPN construction system according to another embodiment of the present invention.
FIG. 9 is a sequence chart showing an operation of an Internet VPN construction system according to another embodiment of the present invention.
FIG. 10 is a block diagram showing a configuration of an Internet VPN construction system according to still another embodiment of the present invention.
FIG. 11 is a diagram showing a data structure used in an Internet VPN construction system according to still another embodiment of the present invention.
[Explanation of symbols]
1 Control server
2 HMI terminal
3 VPN equipment
6 Dynamic DNS server
7, 41, 51 IP address assignment server
8 routers
9 Private IP address pool
11 Communication means
12 Message recognition means
13 Authentication means
14 Individual information storage means
15 Setting information creation means
16 Setting information distribution means
17 Database
42,52 Router with VPN termination function
42a, 52a DHCP server function
A service provider
B, C, F ISP
D, E User base
100 Internet
101, 111, 121 Communication line
112,122 VPN for control
113,123 User VPN
431-43n,
531-53n Computer
Claims (21)
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを含む制御サーバとを有することを特徴とするインタネットVPN構築システム。In response to a request from each router with a VPN (Virtual Private Network) termination function installed between a plurality of user bases, it is encrypted and encapsulated with the router with the VPN termination function by the IPSec (Internet Protocol Security protocol). A VPN device for setting a control VPN as a route to be
Means for authenticating the router with VPN termination function upon receipt of an authentication request from the router with VPN termination function via the control VPN, and dynamic notification notified from the router with VPN termination function upon successful authentication And a control server including means for transmitting the IPSec setting information based on the IP address to the router with the VPN termination function.
前記VPN終端機能付きルータが前記制御サーバからの設定情報を自装置に設定することで前記ユーザVPNを構築することを特徴とする請求項1記載のインタネットVPN構築システム。The control server transmits IPSec setting information for establishing a user VPN connecting the routers with the VPN termination function based on the dynamic IP address notified from the router with the VPN termination function when the authentication is successful. ,
2. The Internet VPN construction system according to claim 1, wherein the router with the VPN termination function constructs the user VPN by setting the setting information from the control server in its own device.
前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを有することを特徴とする制御サーバ。In accordance with a request from each router with a VPN termination function set up in a VPN (Virtual Private Network) device and installed between a plurality of user bases, the router with the VPN termination function is configured by IPSec (Internet Protocol Security protocol). Means for authenticating the router with VPN termination function upon receipt of an authentication request from the router with VPN termination function via the control VPN as a path to be encrypted and encapsulated;
And a means for transmitting the IPSec setting information based on the dynamic IP address notified from the router with a VPN termination function to the router with a VPN termination function when the authentication is successful.
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行い、その認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基づいた前記IPSecの設定情報を制御サーバから前記VPN終端機能付きルータに送信することを特徴とするVPN構築方法。In response to a request from each router with a VPN (Virtual Private Network) termination function installed between a plurality of user bases, encryption and encapsulation are performed between the routers with the VPN termination function by IPSec (Internet Protocol Security protocol). Set the VPN for control as a route between the VPN device and the router with VPN termination function,
A dynamic IP address notified from the router with the VPN termination function when the authentication request is received from the router with the VPN termination function via the control VPN and the router with the VPN termination function is authenticated. A method for constructing a VPN, comprising: transmitting the IPSec setting information based on the protocol from the control server to the router with a VPN termination function.
前記VPN終端機能付きルータが前記制御サーバからの設定情報を自装置に設定することで前記ユーザVPNを構築することを特徴とするVPN構築方法。Based on the dynamic IP address notified from the router with the VPN termination function when the authentication is successful, IPSec setting information for constructing a user VPN connecting the routers with the VPN termination function is sent from the control server to the VPN termination. To the router with the function,
The VPN construction method, wherein the router with a VPN termination function constructs the user VPN by setting the setting information from the control server in its own device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003174170A JP2005012485A (en) | 2003-06-19 | 2003-06-19 | Internet vpn configuration system, control server and vpn configuration method for use therein |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003174170A JP2005012485A (en) | 2003-06-19 | 2003-06-19 | Internet vpn configuration system, control server and vpn configuration method for use therein |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005012485A true JP2005012485A (en) | 2005-01-13 |
Family
ID=34097726
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003174170A Pending JP2005012485A (en) | 2003-06-19 | 2003-06-19 | Internet vpn configuration system, control server and vpn configuration method for use therein |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005012485A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009028098A1 (en) * | 2007-08-31 | 2009-03-05 | Fujitsu Limited | Configuration information generation device, configuration information generation method, program, and recording medium |
JP2009100062A (en) * | 2007-10-13 | 2009-05-07 | A2 Network Kk | Communication method |
JP2011049841A (en) * | 2009-08-27 | 2011-03-10 | Nippon Telegr & Teleph Corp <Ntt> | Network control method and network system |
JP2015167295A (en) * | 2014-03-03 | 2015-09-24 | 株式会社ネットリソースマネジメント | System and method for vpn connection |
CN108883013A (en) * | 2016-03-23 | 2018-11-23 | 尤妮佳股份有限公司 | Absorbent commodity |
WO2023182203A1 (en) * | 2022-03-25 | 2023-09-28 | ソニーグループ株式会社 | Information processing method, information processing device, and information processing system |
-
2003
- 2003-06-19 JP JP2003174170A patent/JP2005012485A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009028098A1 (en) * | 2007-08-31 | 2009-03-05 | Fujitsu Limited | Configuration information generation device, configuration information generation method, program, and recording medium |
JP2009100062A (en) * | 2007-10-13 | 2009-05-07 | A2 Network Kk | Communication method |
JP2011049841A (en) * | 2009-08-27 | 2011-03-10 | Nippon Telegr & Teleph Corp <Ntt> | Network control method and network system |
JP2015167295A (en) * | 2014-03-03 | 2015-09-24 | 株式会社ネットリソースマネジメント | System and method for vpn connection |
CN108883013A (en) * | 2016-03-23 | 2018-11-23 | 尤妮佳股份有限公司 | Absorbent commodity |
WO2023182203A1 (en) * | 2022-03-25 | 2023-09-28 | ソニーグループ株式会社 | Information processing method, information processing device, and information processing system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101340334B (en) | Network access method, system and apparatus | |
US8467355B2 (en) | System and method for providing wireless local area networks as a service | |
JP5871916B2 (en) | Method, telecommunications network, and program for efficient management and / or configuration of connections between telecommunications networks and customer premises equipment | |
US20100182983A1 (en) | System and method for providing wireless local area networks as a service | |
JP2006040274A (en) | Firewall for protecting group of appliance, appliance participating in system and method of updating firewall rule within system | |
CN109600292B (en) | Method and system for LAC router to initiate L2TP tunnel connection by self dialing number | |
JP2005252717A (en) | Network management method and server | |
WO2019237683A1 (en) | Protocol packet, and method for managing virtual client terminal device | |
JP2005167646A (en) | Connection control system, connection controller and connection manager | |
WO2018039901A1 (en) | Method, device and system for ip address allocation, and computer program product | |
CN116155649A (en) | Construction method of industrial Internet based on two-layer tunnel protocol | |
CN103227822B (en) | A kind of P2P communication connection method for building up and equipment | |
JP2005012485A (en) | Internet vpn configuration system, control server and vpn configuration method for use therein | |
JP2012070225A (en) | Network relay device and transfer control system | |
JP3746782B2 (en) | Network system | |
CN114884771B (en) | Identity network construction method, device and system based on zero trust concept | |
JP2011217174A (en) | Communication system, packet transfer method, network exchange apparatus, and program | |
WO2019058612A1 (en) | Remote access control system | |
TW201517654A (en) | Transmission path control system | |
CN105119797A (en) | Social resource access terminal, access management service device, method and system | |
JP2007174209A (en) | Security communication system | |
WO2021103986A1 (en) | Network device management method and apparatus, network management device, and medium | |
JP2004144817A (en) | Station opening method for video and audio reproducing device, video and audio reproducing device, and station opening server | |
JPH11331270A (en) | Network system | |
JP6487392B2 (en) | Client terminal authentication system and client terminal authentication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060516 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080407 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080415 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080602 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090203 |