JP2005142702A - ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム - Google Patents

ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム Download PDF

Info

Publication number
JP2005142702A
JP2005142702A JP2003375352A JP2003375352A JP2005142702A JP 2005142702 A JP2005142702 A JP 2005142702A JP 2003375352 A JP2003375352 A JP 2003375352A JP 2003375352 A JP2003375352 A JP 2003375352A JP 2005142702 A JP2005142702 A JP 2005142702A
Authority
JP
Japan
Prior art keywords
node
target
authentication
network
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003375352A
Other languages
English (en)
Other versions
JP3858884B2 (ja
Inventor
Norito Fujita
範人 藤田
Yuichi Ishikawa
雄一 石川
Atsushi Iwata
淳 岩田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003375352A priority Critical patent/JP3858884B2/ja
Publication of JP2005142702A publication Critical patent/JP2005142702A/ja
Application granted granted Critical
Publication of JP3858884B2 publication Critical patent/JP3858884B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】ネットワークアクセスゲートウェイに収容されるLAN内の各端末が、それぞれ任意の数のターゲット網(ターゲットVLAN)に同時にアクセスできるようにする。
【解決手段】ネットワークアクセスゲートウェイB1内の端末認証部B11は、LAN内の端末A1からアクセスしたいターゲットVLAN(例えば、ターゲットVLAN D1,D3)を特定した認証要求が送られてくると、ターゲットVLAN D1,D3に対するアクセスが可能か否かを認証する。アクセス可能な場合、セッション管理部B12は、端末A1からターゲットVLAN D1,D3へのアクセスが可能になるように、インターフェースドライバB17に対して仮想インターフェースを作成すると共に、端末A1が送受信するパケットを転送するための設定をルーティングテーブルB13に対して行い、さらに端末A1が送信するDNSクエリを転送するための設定をDNSクエリ転送テーブルB15に対して行う。
【選択図】 図1

Description

本発明は、ネットワークアクセスゲートウェイに関し、特に、LAN(Local Area Network)内のノードとWAN(Wide Area Network)との境界に設置され、LAN内のノードをWANに接続させるネットワークアクセスゲートウェイに関する。
従来からLAN内のノードとWANとの境界に設置され、LAN内のノードをWANに接続させるためのネットワークアクセスゲートウェイとしては種々のものが知られている(例えば、特許文献1参照)。このようなネットワークアクセスゲートウェイの利用例としては、家庭やオフィスからインターネットや企業基幹網にアクセスするためのアクセスゲートウェイとしての利用が挙げられる。また他にも、網事業者における利用も考えられ、ホットスポット、マンション、オフィスビルディング等における加入者ノードの集線装置としての利用が挙げられる。網事業者における利用の場合は、加入者認証機能や課金機能など、家庭やオフィスにおける利用の場合よりも高度な機能が要求される。
この種のネットワークアクセスゲートウェイは、LAN内の複数のノードを収容することができる。LAN内のノードに対しては、自ゲートウェイがDHCP(Dynamic Host Configuration Protocol)サーバとなって動的にIPアドレスを払い出し、自動的にノードの設定を行うことも可能である。このとき払い出すIPアドレスとしては、グローバルIPアドレス空間との重複を避けるためにプライベートIPアドレスが主に用いられる。
また、この種のネットワークアクセスゲートウェイは、WAN側ネットワークインターフェースにWAN接続用IPアドレス/ネットマスク、デフォルトゲートウェイIPアドレスを設定し、さらにWANアクセスに必要なルーティングテーブルを設定することにより、LAN内のノードをWANに対してアクセスさせることが可能になる。ネットワークアクセスゲートウェイがLAN内の各ノードからのDNS(Domain Name System)クエリを中継処理するDNSプロキシ機能を持つ場合は、WANにおけるDNSサーバのIPアドレスの設定を行うこともある。DHCPクライアント機能を有するネットワークアクセスゲートウェイの場合は、上記のWAN側ネットワークインターフェースにおける設定およびルーティングテーブル、DNSクエリ転送テーブルにおける各設定パラメータをWAN内のDHCPサーバから払い出されることにより、自動的に行うことも可能である。この他にも、WANへのアクセスが、WAN内の認証サーバに対してアクセス認証を行うことによって可能になる場合は、WANアクセスに必要な設定パラメータが上記認証サーバから払い出される場合もある。ネットワークアクセスゲートウェイと認証サーバとの間で用いられるプロトコルとしては、RADIUSプロトコルなどがある。
WANアクセスに必要な各設定は、LAN内ノードからWANへのアクセスにおいて、LAN内の全てのノードによって共有される。例えば、ネットワークアクセスゲートウェイを介してWAN側に送信される全てのパケットは、WAN接続用IPアドレスにソースIPアドレスが変換されて送信される。また、WAN側にLAN内ノードからのアクセスの候補となる仮想的または物理的に分離された網(以下ターゲット網と呼ぶ)が複数存在する場合であっても、LAN内の各ノードからアクセスすることが可能なターゲット網は、ネットワークアクセスゲートウェイがアクセス認証されたターゲット網だけである。
上述したネットワークアクセスゲートウェイは、LANとWANとの間で流れるパケットに対してレイヤ3レベル(IPレベル)の処理を行うものであった。さらにレイヤ2レベル(イーサネットレベル:イーサネットは登録商標)の処理を行う装置まで対象を広げると、従来から用いられている認証VLANスイッチも、ネットワークアクセスのためにLAN内ノードを収容する装置として挙げることができる。認証VLANスイッチは、配下のノードを認証によりアクセスが許可されたVLANへ接続するための機能を有するものである。
特許第3153173号
従来技術の第1の問題点は、ネットワークアクセスゲートウェイにおいて、LAN内の全てのノードは、WANへのアクセスのための環境設定を共有しなければならない点である。
先にも述べたように、WANへのアクセスのための環境設定はLAN内の全てのノードで共有されるため、ネットワークアクセスゲートウェイを介してWAN側に送信される全てのパケットは、同一のWAN接続用IPアドレスにソースIPアドレスが変換されて送信される。そのため、WAN側ではLAN内の個別のノードをソースIPアドレスによって識別することはできないし、WAN側からLAN内の特定のノードを指定して通信を開始することはできない。
また、WAN側にアクセスの候補となるターゲット網が複数存在する場合に、LAN内のノードごとに異なるターゲット網に対してアクセスさせたい場合であっても、アクセスするターゲット網の設定をLAN内のノードごとに変えることはできない。
上述した認証VLANスイッチを用いる場合は、ノードごとに認証ベースで異なるVLAN(ターゲット網)へアクセスさせることができるが、認証VLANスイッチではレイヤ2レベルのパケット処理しか行えず、IPパケットの転送やIPアドレス変換の設定、DNSメッセージの転送設定など、レイヤ3レベル以上の処理を行うことはできない。例えば、1台のノードが2つ以上のターゲット網に同時にアクセスしようとする場合、レイヤ2レベルの処理ではノードからのパケットをどのターゲット網に転送すればよいか識別することができず、限界がある。すなわち、認証VLANスイッチを用いる方法では、LAN内ノードは1つのターゲット網にしかアクセスすることはできない。
従来技術の第2の問題点は、従来技術の第1の問題点が解決され、LAN内のノードごとにWANへのアクセスのための環境設定を変えることができるようになったとしても、LAN内のノードは、IPアドレス領域の重複する複数のターゲット網にアクセスすることができない点である。
例えば、1台のLAN内のノードが、ターゲット網−Xとターゲット網Yの2つのターゲット網へのアクセスが許可されたとする。このときもしもターゲット網Xとターゲット網Yの両方で10/8というIPアドレス領域が用いられる場合、上記ノードから上記IPアドレス領域に含まれる宛先へのIPパケットは、ネットワークアクセスゲートウェイにおいてどちらのターゲット網に転送すべきか判断できない。すなわち、従来技術においては、IPアドレス領域の重複する複数のターゲット網にアクセスすることは不可能である。
〔発明の目的〕
本発明の第1の目的は、LAN内のノードごとにターゲット網に対する異なるアクセス環境を提供し、これにより、各ノードが任意の数のターゲット網に同時にアクセス可能な環境を提供できるネットワークアクセスゲートウェイを提供することである。
本発明の第2の目的は、LAN内のノードがIPアドレス領域の重複する複数のターゲット網にアクセスすることを可能とするネットワークアクセスゲートウェイを提供することにある。
本発明にかかる第1のネットワークアクセスゲートウェイは、LAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスできるようにするため、
LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイであって、
前記ノードごとに、1つまたは複数の前記ターゲット網へのアクセスのための環境設定を行えることを特徴とする。
本発明にかかる第2のネットワークアクセスゲートウェイは、ターゲット網への不正なアクセスを防ぐため、第1のネットワークアクセスゲートウェイにおいて、
前記環境設定は、前記ノードに対して前記ターゲット網へアクセスするための認証が成功したことを契機に行われることを特徴とする。
本発明にかかる第3のネットワークアクセスゲートウェイは、LAN内のノードが、それぞれ任意の数のターゲット網に同時にアクセスできるようにすると共に、ターゲット網への不正なアクセスを防ぐため、
LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイであって、
複数の前記ターゲット網に対して前記ノードがアクセスするための認証を行う端末認証部と、
該端末認証部で認証を行ったアクセスのうち、認証が成功したアクセスのための環境設定を行うセッション管理部とを備えることを特徴とする。
本発明にかかる第4のネットワークアクセスゲートウェイは、第3のネットワークアクセスゲートウェイにおいて、
前記セッション管理部は、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
前記認証によってアクセスすることを許可された前記ターゲット網に対して前記ノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成することを特徴とする。
本発明にかかる第5のネットワークアクセスゲートウェイは、第3または第4のネットワークアクセスゲートウェイにおいて、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
前記ノードからの名前解決クエリを、前記認証によってアクセスすることを許可された前記ターゲット網に対して転送するための第2のエントリが格納される名前解決クエリ転送テーブルとを備え、
前記セッション管理部は、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
前記ルーティングテーブルに対して第1のエントリを作成し、前記名前解決クエリ転送テーブルに対して第2のエントリを作成することを特徴とする。
本発明にかかる第6のネットワークアクセスゲートウェイは、第5のネットワークアクセスゲートウェイにおいて、
前記名前解決クエリはDNSクエリであり、前記名前解決クエリ転送テーブルはDNSクエリ転送テーブルであることを特徴とする。
本発明にかかる第7のネットワークアクセスゲートウェイは、端末認証部の構成を簡単なものとするため、第3〜第6の何れかのネットワークアクセスゲートウェイにおいて、
前記端末認証部は、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
前記ターゲット網内に存在する認証サーバに問い合わせることにより認証を行うことを特徴とする。
本発明にかかる第8のネットワークアクセスゲートウェイは、端末認証部の構成を簡単なものにするため、第3〜第6の何れかのネットワークアクセスゲートウェイにおいて、
前記端末認証部は、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
前記ターゲット網内に存在し、前記ターゲット網ごとのアクセス認証を行う機能を有する認証VLANスイッチに問い合わせることにより認証を行うことを特徴とする。
本発明にかかる第9のネットワークアクセスゲートウェイは、セッション管理部の構成を簡単なものにするため、第3〜第8の何れかのネットワークアクセスゲートウェイにおいて、
前記ターゲット網内に存在する、前記ターゲット網にアクセスするために必要な設定パラメータを払い出す機能を有する設定サーバから、前記ターゲット網へのアクセスのための環境設定に必要なパラメータの一部または全てを取得する設定クライアントを有することを特徴とする。
本発明にかかる第10のネットワークアクセスゲートウェイは、アドレス詐称等によるなりすましを防ぐため、第3〜第9の何れかのネットワークアクセスゲートウェイにおいて、
前記ノードとの接続において、前記ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクが用いられることを特徴とする。
本発明にかかる第11のネットワークアクセスゲートウェイは、LAN内のノードがIPアドレス領域の重複する複数のターゲット網にアクセスできるようにするため、第3〜第10のネットワークアクセスゲートウェイの何れかにおいて、
複数の前記ターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求める機能を有するIPアドレス領域重複検出部を備えることを特徴とする。
本発明にかかる第12のネットワークアクセスゲートウェイは、第11のネットワークアクセスゲートウェイにおいて、
前記セッション管理部は、
前記ノードが前記複数のターゲット網に対してアクセスを行う場合に、前記IPアドレス領域重複検出部を介して、前記複数のターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求め、
前記ノードに対する前記複数のターゲット網へのアクセスのための環境設定として、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間で名前解決クエリおよび名前解決応答を送受信するための第3のエントリが格納される名前解決クエリ/応答転送テーブルとに対して、
重複するIPアドレス領域を互いに重複しないIPアドレス領域にIPアドレス変換するように第1のエントリおよび第3のエントリを設定することを特徴とする。
本発明にかかる第13のネットワークアクセスゲートウェイは、第12のネットワークアクセスゲートウェイにおいて、
前記名前解決クエリはDNSクエリであり、前記名前解決応答はDNS応答であり、前記名前解決クエリ/応答転送テーブルはDNSクエリ/応答転送テーブルであることを特徴とする。
本発明にかかる第1のネットワークアクセスゲートウェイの制御方法は、ネットワークアクセスゲートウェイに収容されているLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスできるようにするため、
LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイの制御方法であって、
前記ノードごとに、1つまたは複数の前記ターゲット網へのアクセスのための環境設定を行うことを特徴とする。
本発明にかかる第2のネットワークアクセスゲートウェイの制御方法は、ターゲット網への不正なアクセスを防ぐため、第1のネットワークアクセスゲートウェイの制御方法において、
前記環境設定は、前記ノードに対して前記ターゲット網へアクセスするための認証が成功したことを契機に行われることを特徴とする。
本発明にかかる第3のネットワークアクセスゲートウェイの制御方法は、LAN内のノードが、それぞれ任意の数のターゲット網に同時にアクセスできるようにすると共に、ターゲット網への不正なアクセスを防止するため、
LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイの制御方法であって、
複数の前記ターゲット網に対して前記ノードがアクセスするための認証を行う端末認証ステップと、
該端末認証ステップで認証を行ったアクセスのうち、認証が成功したアクセスのための環境設定を行うセッション管理ステップとを含むことを特徴とする。
本発明にかかる第4のネットワークアクセスゲートウェイの制御方法は、第3のネットワークアクセスゲートウェイの制御方法において、
前記セッション管理ステップは、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
前記認証によってアクセスすることを許可された前記ターゲット網に対して前記ノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成することを特徴とする。
本発明にかかる第5のネットワークアクセスゲートウェイの制御方法は、第3または第4のネットワークアクセスゲートウェイの制御方法において、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
前記ノードからの名前解決クエリを、前記認証によってアクセスすることを許可された前記ターゲット網に対して転送するための第2のエントリが格納される名前解決クエリ転送テーブルとを備え、
前記セッション管理ステップでは、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
前記ルーティングテーブルに対して第1のエントリを作成し、前記名前解決クエリ転送テーブルに対して第2のエントリを作成することを特徴とする。
本発明にかかる第6のネットワークアクセスゲートウェイの制御方法は、第5のネットワークアクセスゲートウェイの制御方法において、
前記名前解決クエリはDNSクエリであり、前記名前解決クエリ転送テーブルはDNSクエリ転送テーブルであることを特徴とする。
本発明にかかる第7のネットワークアクセスゲートウェイの制御方法は、端末認証ステップにおける処理を簡単なものとするため、第3〜第6の何れかのネットワークアクセスゲートウェイの制御方法において、
前記端末認証ステップでは、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
前記ターゲット網内に存在する認証サーバに問い合わせることにより認証を行うことを特徴とする。
本発明にかかる第8のネットワークアクセスゲートウェイの制御方法は、端末認証ステップの処理を簡単なものとするため、第3〜第6の何れかのネットワークアクセスゲートウェイの制御方法において、
前記端末認証ステップでは、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
前記ターゲット網内に存在し、前記ターゲット網ごとのアクセス認証を行う機能を有する認証VLANスイッチに問い合わせることにより認証を行うことを特徴とする。
本発明にかかる第9のネットワークアクセスゲートウェイの制御方法は、セッション管理部の構成を簡単なものにするため、第3〜第8の何れかのネットワークアクセスゲートウェイの制御方法において、
前記ターゲット網内に存在する、前記ターゲット網にアクセスするために必要な設定パラメータを払い出す機能を有する設定サーバから、前記ターゲット網へのアクセスのための環境設定に必要なパラメータの一部または全てを取得するパラメータ取得ステップを含むことを特徴とする。
本発明にかかる第10のネットワークアクセスゲートウェイの制御方法は、アドレス詐称等によるなりすましを防ぐため、第3〜第9の何れかのネットワークアクセスゲートウェイの制御方法において、
前記ノードとの接続において、前記ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクが用いられることを特徴とする。
本発明にかかる第11のネットワークアクセスゲートウェイの制御方法は、LAN内のノードがIPアドレス領域の重複する複数のターゲット網にアクセスできるようにするため、第3〜第10のネットワークアクセスゲートウェイの制御方法の何れかにおいて、
複数の前記ターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求める機能を有するIPアドレス領域重複検出ステップを含むことを特徴とする。
本発明にかかる第12のネットワークアクセスゲートウェイの制御方法は、第11のネットワークアクセスゲートウェイの制御方法において、
前記セッション管理ステップでは、
前記ノードが前記複数のターゲット網に対してアクセスを行う場合に、前記IPアドレス領域重複検出ステップを介して、前記複数のターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求め、
前記ノードに対する前記複数のターゲット網へのアクセスのための環境設定として、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間で名前解決クエリおよび名前解決応答を送受信するための第3のエントリが格納される名前解決クエリ/応答転送テーブルとに対して、
重複するIPアドレス領域を互いに重複しないIPアドレス領域にIPアドレス変換するように第1のエントリおよび第3のエントリを設定することを特徴とする。
本発明にかかる第13のネットワークアクセスゲートウェイの制御方法は、第12のネットワークアクセスゲートウェイの制御方法において、
前記名前解決クエリはDNSクエリであり、前記名前解決応答はDNS応答であり、前記名前解決クエリ/応答転送テーブルはDNSクエリ/応答転送テーブルであることを特徴とする。
本発明にかかる第1のプログラムは、ネットワークアクセスゲートウェイに収容されるLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスできるようにするため、
コンピュータを、LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイとして機能させるためのプログラムであって、
前記コンピュータを、前記ノードごとに、1つまたは複数の前記ターゲット網へのアクセスのための環境設定を行えるネットワークアクセスゲートウェイとして機能させることを特徴とする。
本発明にかかる第2のプログラムは、ターゲット網への不正なアクセスを防ぐため、第1のプログラムにおいて、
前記環境設定は、前記ノードに対して前記ターゲット網へアクセスするための認証が成功したことを契機に行われることを特徴とする。
本発明にかかる第3のプログラムは、ネットワークアクセスゲートウェイに収容されるLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスできるようにすると共に、ターゲット網への不正なアクセスを防止するため、
コンピュータを、LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイとして機能させるためのプログラムであって、
前記コンピュータを、
複数の前記ターゲット網に対して前記ノードがアクセスするための認証を行う端末認証部、
該端末認証部で認証を行ったアクセスのうち、認証が成功したアクセスのための環境設定を行うセッション管理部として機能させることを特徴とする。
本発明にかかる第4のプログラムは、第3のプログラムにおいて、
前記セッション管理部は、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
前記認証によってアクセスすることを許可された前記ターゲット網に対して前記ノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成することを特徴とする。
本発明にかかる第5のプログラムは、第3または第4のプログラムにおいて、
前記コンピュータが、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
前記ノードからの名前解決クエリを、前記認証によってアクセスすることを許可された前記ターゲット網に対して転送するための第2のエントリが格納される名前解決クエリ転送テーブルとを備え、
前記セッション管理部は、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
前記ルーティングテーブルに対して第1のエントリを作成し、前記名前解決クエリ転送テーブルに対して第2のエントリを作成することを特徴とする。
本発明にかかる第6のプログラムは、第5のプログラムにおいて、
前記名前解決クエリはDNSクエリであり、前記名前解決クエリ転送テーブルはDNSクエリ転送テーブルであることを特徴とする。
本発明にかかる第7のプログラムは、端末認証部における処理を簡単なものとするため、第3〜第6の何れかのプログラムにおいて、
前記端末認証部は、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
前記ターゲット網内に存在する認証サーバに問い合わせることにより認証を行うことを特徴とする。
本発明にかかる第8のプログラムは、端末認証部の処理を簡単なものとするため、第3〜第6の何れかのプログラムにおいて、
前記端末認証部は、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
前記ターゲット網内に存在し、前記ターゲット網ごとのアクセス認証を行う機能を有する認証VLANスイッチに問い合わせることにより認証を行うことを特徴とする。
本発明にかかる第9のプログラムは、セッション管理部の構成を簡単なものにするため、第3〜第8の何れかのプログラムにおいて、
前記コンピュータを、
前記ターゲット網内に存在する、前記ターゲット網にアクセスするために必要な設定パラメータを払い出す機能を有する設定サーバから、前記ターゲット網へのアクセスのための環境設定に必要なパラメータの一部または全てを取得する設定クライアントとして機能させることを特徴とする。
本発明にかかる第10のプログラムは、アドレス詐称等によるなりすましを防ぐため、第3〜第9の何れかのプログラムにおいて、
前記ノードとの接続において、前記ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクが用いられることを特徴とする。
本発明にかかる第11のプログラムは、LAN内のノードがIPアドレス領域の重複する複数のターゲット網にアクセスできるようにするため、第3〜第10のプログラムの何れかにおいて、
前記コンピュータを、
複数の前記ターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求めるIPアドレス領域重複検出部として機能させることを特徴とする。
本発明にかかる第12のプログラムは、第11のプログラムにおいて、
前記セッション管理部は、
前記ノードが前記複数のターゲット網に対してアクセスを行う場合に、前記IPアドレス領域重複検出部を介して、前記複数のターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求め、
前記ノードに対する前記複数のターゲット網へのアクセスのための環境設定として、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間で名前解決クエリおよび名前解決応答を送受信するための第3のエントリが格納される名前解決クエリ/応答転送テーブルとに対して、
重複するIPアドレス領域を互いに重複しないIPアドレス領域にIPアドレス変換するように第1のエントリおよび第3のエントリを設定することを特徴とする。
本発明にかかる第13のプログラムは、第12のプログラムにおいて、
前記名前解決クエリはDNSクエリであり、前記名前解決応答はDNS応答であり、前記名前解決クエリ/応答転送テーブルはDNSクエリ/応答転送テーブルであることを特徴とする。
本発明にかかる第1のネットワークアクセスゲートウェイによれば、ネットワークアクセスゲートウェイに収容されているLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスすることが可能になるという効果を得ることができる。
その理由は、ネットワークアクセスゲートウェイが、ノード毎に、1つまたは複数のターゲット網へのアクセスのための環境設定を行う構成を備えているからである。
本発明にかかる第2のネットワークアクセスゲートウェイは、ターゲット網への不正なアクセスを防ぐことができるという効果を有する。
その理由は、認証が成功したことを契機として環境設定を行うようにしているからである。
本発明にかかる第3のネットワークアクセスゲートウェイによれば、ネットワークアクセスゲートウェイに収容されているLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスすることが可能になるという効果を得ることができると共に、ターゲット網に対する不正アクセスを防止できるという効果を得ることができる。
その理由は、複数のターゲット網に対してノードがアクセスするための認証を行う端末認証部と、認証が成功したアクセスのための環境設定を行うセッション管理部とを備えているからである。
本発明にかかる第4のネットワークアクセスゲートウェイは、第3のネットワークアクセスゲートウェイと同様の効果を有する。
その理由は、セッション管理部が、端末認証部によってアクセスすることを許可されたターゲット網に対してノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成する構成を有しているからである。
本発明にかかる第5のネットワークアクセスゲートウェイは、第3のネットワークアクセスゲートウェイと同様の効果を有する。
その理由は、セッション管理部が、端末認証部によってアクセスすることが許可されたターゲット網とノードとの間でパケットを送受信するための第1のエントリをルーティングテーブル上に作成すると共に、端末認証部によってアクセスすることを許可されたターゲットに対して名前解決クエリを転送するための第2のエントリを名前解決クリエ転送テーブル上に作成するからである。
本発明にかかる第6のネットワークアクセスゲートウェイは、第3のネットワークアクセスゲートウェイと同様の効果を有する。
その理由は、名前解決クエリがDNSクエリであり、名前解決クエリ転送テーブルがDNSクエリ転送テーブルであるからである。
本発明にかかる第7のネットワークアクセスゲートウェイは、認証機能がターゲット網内の認証サーバに設けられているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、ターゲット網内に存在する認証サーバに対して問い合わせを行うことにより、認証を行うようにしているからである。
本発明にかかる第8のネットワークアクセスゲートウェイは、認証機能が認証VLANスイッチに設けられているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、認証VLANスイッチに対して問い合わせを行うことにより、認証を行っているからである。
本発明にかかる第9のネットワークアクセスゲートウェイは、環境設定に必要なパラメータが設定サーバに保持されているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、設定サーバから環境設定に必要なパラメータの一部または全てを取得する設定クライアントを備えているからである。
本発明にかかる第10のネットワークアクセスゲートウェイは、アドレス詐称等によるなりすましを防ぐことができるという効果を有する。
その理由は、ノードとの接続において、ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクを用いるからである。
本発明にかかる第11のネットワークアクセスゲートウェイは、ネットワークアクセスゲートウェイに収容されているLAN内のノードが、IPアドレス領域の重複する複数のターゲット網にアクセスできるという効果を有する。
その理由は、複数の前記ターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求めるIPアドレス領域重複検出部を備えているからである。
本発明にかかる第12のネットワークアクセスゲートウェイは、第11のネットワークアクセスゲートウェイと同様の効果を有する。
その理由は、LAN内のノードからの認証要求に基づいて上記ノードが所望するターゲット網へのアクセスが可能になるように設定を行う際に、上記ノードに対してアクセスが許可されたターゲット網間にIPアドレス領域の重複がないかどうかを検出し、重複があった場合は、互いに重複しないIPアドレス領域にIPアドレス変換すべく、ルーティングテーブルエントリ、名前解決クエリ/応答転送テーブルエントリの設定を行うからである。
本発明にかかる第13のネットワークアクセスゲートウェイは、第11のネットワークアクセスゲートウェイと同様の効果を有する。
その理由は、名前解決クエリがDNSクエリであり、名前解決応答がDNS応答であり、名前解決クエリ/応答転送テーブルがDNSクエリ/応答転送テーブルであるからである。
本発明にかかる第1のネットワークアクセスゲートウェイの制御方法によれば、ネットワークアクセスゲートウェイに収容に収容されるLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスすることが可能になるという効果を得ることができる。
その理由は、ネットワークアクセスゲートウェイが、ノード毎に、1つまたは複数のターゲット網へのアクセスのための環境設定を行うからである。
本発明にかかる第2のネットワークアクセスゲートウェイの制御方法は、ターゲット網への不正なアクセスを防ぐことができるという効果を有する。
その理由は、認証が成功したことを契機として環境設定を行うようにしているからである。
本発明にかかる第3のネットワークアクセスゲートウェイの制御方法によれば、ネットワークアクセスゲートウェイに収容されているLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスすることが可能になるという効果を得ることができると共に、ターゲット網に対する不正アクセスを防止できるという効果を得ることができる。
その理由は、複数のターゲット網に対してノードがアクセスするための認証を行う端末認証ステップと、認証が成功したアクセスのための環境設定を行うセッション管理ステップとを含んでいるからである。
本発明にかかる第4のネットワークアクセスゲートウェイの制御方法は、第3のネットワークアクセスゲートウェイの制御方法と同様の効果を有する。
その理由は、セッション管理ステップにおいて、端末認証ステップによってアクセスすることを許可されたターゲット網に対してノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成するようにしているからである。
本発明にかかる第5のネットワークアクセスゲートウェイの制御方法は、第3のネットワークアクセスゲートウェイの制御方法と同様の効果を有する。
その理由は、セッション管理ステップにおいて、アクセスすることが許可されたターゲット網とノードとの間でパケットを送受信するための第1のエントリをルーティングテーブル上に作成する処理と、アクセスすることを許可されたターゲットに対して名前解決クエリを転送するための第2のエントリを名前解決クリエ転送テーブル上に作成する処理を行うからである。
本発明にかかる第6のネットワークアクセスゲートウェイの制御方法は、第3のネットワークアクセスゲートウェイの制御方法と同様の効果を有する。
その理由は、名前解決クエリがDNSクエリであり、名前解決クエリ転送テーブルがDNSクエリ転送テーブルであるからである。
本発明にかかる第7のネットワークアクセスゲートウェイの制御方法は、認証機能がターゲット網内の認証サーバに設けられているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、ターゲット網内に存在する認証サーバに対して問い合わせを行うことにより、認証を行うようにしているからである。
本発明にかかる第8のネットワークアクセスゲートウェイの制御方法は、認証機能が認証VLANスイッチに設けられているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、認証VLANスイッチに問い合わせることにより認証を行うからである。
本発明にかかる第9のネットワークアクセスゲートウェイの制御方法は、環境設定に必要なパラメータが設定サーバに保持されているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、設定サーバから環境設定に必要なパラメータの一部または全てを取得するパラメータ取得ステップを含んでいるからである。
本発明にかかる第10のネットワークアクセスゲートウェイの制御方法は、アドレス詐称等によるなりすましを防ぐことができるという効果を有する。
その理由は、ノードとの接続において、ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクを用いるからである。
本発明にかかる第11のネットワークアクセスゲートウェイの制御方法は、ネットワークアクセスゲートウェイに収容されているLAN内のノードが、IPアドレス領域の重複する複数のターゲット網にアクセスできるという効果を有する。
その理由は、複数の前記ターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求めるIPアドレス領域重複検出ステップを含んでいるからである。
本発明にかかる第12のネットワークアクセスゲートウェイの制御方法は、第11のネットワークアクセスゲートウェイの制御方法と同様の効果を有する。
その理由は、LAN内のノードからの認証要求に基づいて、上記ノードが所望するターゲット網へのアクセスが可能になるように設定を行う際に、上記ノードに対してアクセスが許可されたターゲット網間にIPアドレス領域の重複がないかどうかを検出し、重複があった場合は、互いに重複しないIPアドレス領域にIPアドレス変換すべく、ルーティングテーブルエントリ、名前解決クエリ/応答転送テーブルエントリの設定を行うからである。
本発明にかかる第13のネットワークアクセスゲートウェイの制御方法は、第11のネットワークアクセスゲートウェイと同様の効果を有する。
その理由は、名前解決クエリがDNSクエリであり、名前解決応答がDNS応答であり、名前解決クエリ/応答転送テーブルがDNSクエリ/応答転送テーブルであるからである。
本発明にかかる第1のプログラムによれば、ネットワークアクセスゲートウェイに収容に収容されるLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスすることが可能になるという効果を得ることができる。
その理由は、コンピュータを、ノード毎に、1つまたは複数のターゲット網へのアクセスのための環境設定を行うネットワークアクセスゲートウェイとして機能させるからである。
本発明にかかる第2のプログラムは、ターゲット網への不正なアクセスを防ぐことができるという効果を有する。
その理由は、認証が成功したことを契機として環境設定を行うようにしているからである。
本発明にかかる第3のプログラムによれば、ネットワークアクセスゲートウェイに収容されているLAN内の各ノードが、それぞれ任意の数のターゲット網に同時にアクセスすることが可能になるという効果を得ることができると共に、ターゲット網に対する不正アクセスを防止できるという効果を得ることができる。
その理由は、コンピュータ上に、複数のターゲット網に対してノードがアクセスするための認証を行う端末認証部と、認証が成功したアクセスのための環境設定を行うセッション管理部とを実現するからである。
本発明にかかる第4のプログラムは、第3のプログラムと同様の効果を有する。
その理由は、セッション管理部において、端末認証部によってアクセスすることを許可されたターゲット網に対してノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成するようにしているからである。
本発明にかかる第5のプログラムは、第3のプログラムと同様の効果を有する。
その理由は、セッション管理部が、アクセスすることが許可されたターゲット網とノードとの間でパケットを送受信するための第1のエントリをルーティングテーブル上に作成すると共に、アクセスすることを許可されたターゲットに対して名前解決クエリを転送するための第2のエントリを名前解決クリエ転送テーブル上に作成するからである。
本発明にかかる第6のプログラムは、第3のプログラムと同様の効果を有する。
その理由は、名前解決クエリがDNSクエリであり、名前解決クエリ転送テーブルがDNSクエリ転送テーブルであるからである。
本発明にかかる第7のプログラムは、認証機能がターゲット網内の認証サーバに設けられているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、ターゲット網内に存在する認証サーバに対して問い合わせを行うことにより、認証を行うようにしているからである
本発明にかかる第8のプログラムは、認証機能が認証VLANスイッチに設けられているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、認証VLANスイッチに問い合わせることにより認証を行うからである。
本発明にかかる第9のプログラムは、環境設定に必要なパラメータが設定サーバに保持されているようなネットワーク構成の場合にも柔軟に対応できるという効果を有する。
その理由は、コンピュータ上に、設定サーバから環境設定に必要なパラメータの一部または全てを取得する設定クライアントを実現するようにしているからである。
本発明にかかる第10のプログラムは、アドレス詐称等によるなりすましを防ぐことができるという効果を有する。
その理由は、ノードとの接続において、ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクを用いるからである。
本発明にかかる第11のプログラムは、ネットワークアクセスゲートウェイに収容されているLAN内のノードが、IPアドレス領域の重複する複数のターゲット網にアクセスできるという効果を有する。
その理由は、コンピュータ上に、複数のターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求めるIPアドレス領域重複検出部を実現するからである。
本発明にかかる第12のプログラムは、第11のプログラムと同様の効果を有する。
その理由は、LAN内のノードからの認証要求に基づいて、上記ノードが所望するターゲット網へのアクセスが可能になるように設定を行う際に、上記ノードに対してアクセスが許可されたターゲット網間にIPアドレス領域の重複がないかどうかを検出し、重複があった場合は、互いに重複しないIPアドレス領域にIPアドレス変換すべく、ルーティングテーブルエントリ、名前解決クエリ/応答転送テーブルエントリの設定を行うからである。
本発明にかかる第13のプログラムは、第11のプログラムと同様の効果を有する。
その理由は、名前解決クエリがDNSクエリであり、名前解決応答がDNS応答であり、名前解決クエリ/応答転送テーブルがDNSクエリ/応答転送テーブルであるからである。
次に本発明の実施の形態について図面を参照して詳細に説明する。
図1を参照すると、本発明の第1の実施の形態は、端末A1とネットワークアクセスゲートウェイB1とスイッチングハブC1とターゲットVLAN D1〜D3とによって実現される。ここで、ターゲット網は、以下で詳しく述べるイーサネットのVLANによって分離されているものとして説明するが、その他の方法(例えばIPsec、L2TP、MPLS(MultiProtocol Label Switching)等のトンネル技術によるVPNなど)で仮想的または物理的に分離された網であってもよいものとする。
端末A1は、ターゲットVLAN D1〜D3に含まれる1つ以上のネットワークに対してアクセスを行うLAN内のノードであり、PC(Personal Computer)、携帯端末、ワークステーション、IP電話機などが例に挙げられる。他にも、背景技術で示したような、配下に端末が接続されているネットワークアクセスゲートウェイも、ターゲットVLAN D1〜D3に含まれる1つ以上のネットワークに対してアクセスを行うLAN内のノードとして挙げることができるが、以下、このようなノードも含めて端末A1として説明する。
端末A1は、ネットワークアクセスゲートウェイB1の配下のLANに属する端末の1つである。端末A1のIPアドレスは、手動で設定されてもよいし、ネットワークアクセスゲートウェイB1または他のサーバの提供するDHCP(Dynamic Host Configuration Protocol)機能を用いて取得してもよい。端末A1は、ターゲットVLAN D1〜D3に含まれるネットワークへは通常アクセスすることはできず、アクセスしたい際は、ネットワークアクセスゲートウェイB1に対して所望のターゲットVLANへのアクセスに対する認証要求を行う。このアクセス認証要求に対応するターゲットVLANの数は1つでもよいし、複数であってもよい。認証の結果、アクセスが許可されると、アクセスが許可されたターゲットVLANへのアクセスを行うことが可能になる。ネットワークアクセスゲートウェイB1に対して認証要求を行う方法の例として、端末A1がネットワークアクセスゲートウェイB1の表示するWeb認証画面に、アクセスしたいターゲットVLANにおけるユーザIDおよびパスワードを入力する方法などが挙げられる。
ネットワークアクセスゲートウェイB1は、端末A1をはじめとするLAN内の端末とWAN側のネットワークであるターゲットVLAN D1〜D3とを接続する機能を有するアクセスゲートウェイであり、認証ベースでLAN内の端末ごとに異なるネットワークアクセス環境を提供する機能を有する。ネットワークアクセスゲートウェイB1は、その内部構成として、端末認証部B11とセッション管理部B12とルーティングテーブルB13とルーティング処理部B14とDNSクエリ転送テーブルB15とDNSプロキシ部B16とインターフェースドライバB17とネットワークインターフェースB18とを含む。
スイッチングハブC1は、ネットワークアクセスゲートウェイB1に対して複数のターゲットVLANが収容できるようにするためにネットワークアクセスゲートウェイB1とターゲットVLAN D1〜D3との間に設置される。このようにネットワークアクセスゲートウェイB1から同一リンク上に複数のネットワークセグメントを収容できるようにするために、イーサネットにおけるVLAN機能(IEEE802.1qで定義されている)が利用される。VLAN機能を使った場合、ネットワークアクセスゲートウェイB1とターゲットVLAN D1〜D3との間の通信は、スイッチングハブC1やネットワークアクセスゲートウェイB1においてVLANタグの値を見ることにより、どのターゲットVLANに対応するパケットであるかを識別可能となる。
ターゲットVLAN D1〜D3は、端末A1がアクセスを行うターゲットとなるネットワーク(ターゲット網)である。図1に示した例では、3つのターゲットVLANが記載されているが、任意の数のターゲットVLANが存在してよい。端末A1はネットワークアクセスゲートウェイB1に認証要求を出し、所望のターゲットVLANに対するアクセス認証を行う。アクセスが許可されると、ターゲットVLAN内およびこのターゲットVLANを経由してアクセス可能な網内のWebサーバ、メールサーバ等の各種サーバ、またはその他の端末と通信することにより、通信サービスを受けることができる。以下、簡単のために、ターゲットVLANを経由してアクセス可能な網も含めてターゲットVLANとよぶ。
次にネットワークアクセスゲートウェイB1の構成について以下に詳細に記す。
端末認証部B11は、端末A1がネットワークアクセスゲートウェイB1に対して行う認証要求を処理し、その結果、端末A1から所望のターゲットVLANへのアクセスが可能であると判断した場合、セッション管理部B12に対して端末A1から所望のターゲットVLANへのアクセスを行うために必要な設定を行うよう指示し、さらに端末A1に対して、アクセスが許可された旨を通知する。また、認証の結果、アクセスが不可能であると判断した場合は、端末A1に対してアクセスが許可されなかった旨を通知する。
セッション管理部B12に対して端末A1から所望のターゲットVLANへのアクセスを行うために必要な設定を行うよう指示する場合、設定に必要なパラメータを端末認証部B11からセッション管理部B12に対して渡す。このために必要なパラメータは、端末認証部B11に予め登録されていてもよいし、あるいはこのパラメータを保持する外部のサーバから取得してもよい。設定に必要なパラメータを外部サーバから取得する場合は、端末認証部B11はパラメータを取得する機能を有する。
セッション管理部B12は、端末A1をはじめとするLAN内端末からのターゲットVLANへのアクセスが認証により許可されると、端末ごとに異なるネットワークアクセス環境が提供できるようにルーティングテーブルB13、DNSクエリ転送テーブルB15、インターフェースドライバB17に対して必要な設定を行う機能を有する。以下に具体的な設定内容を記す。
本実施の形態においては、端末ごとに異なるネットワークアクセス環境が提供できるように、ターゲットVLANへのアクセスが許可された端末ごとに、アクセスが許可されたターゲットVLAN数分だけのインターフェースが割り当てられる。そこで、認証により端末からターゲットVLANへのアクセスが許可されると、セッション管理部B12は、インターフェースドライバB17へ指示を出し、アクセスが許可されたターゲットVLANに対応する仮想インターフェースを作成する。具体的には、作成する仮想インターフェースの識別子(eth0:1など)、MACアドレス、接続用IPアドレス/ネットマスクを設定する。VLANタグの使用によってターゲットVLANが仮想的に区切られている場合は、アクセスするターゲットVLANに対応するVLANタグIDも同時に設定する。
次にルーティングテーブルB13に対し、アクセスが許可されたターゲットVLANへのルーティングテーブルエントリを設定する。具体的には、ターゲットVLANごとに、端末からの入力インターフェース、端末のIPアドレス(ソースIPアドレス)、ターゲットVLANへアクセスするときの接続用IPアドレス(宛先IPアドレス)、ターゲットVLANのIPアドレス領域(ソースIPアドレス)、ターゲットVLANにおけるゲートウェイIPアドレス及びターゲットVLANへの出力インターフェースを設定する。更に、ターゲットVLAN毎に、ターゲットVLANからの入力インターフェース、ターゲットVLANのIPアドレス領域(ソースIPアドレス)、端末へアクセスするときの接続用IPアドレス(宛先IPアドレス)、端末のIPアドレス(宛先IPアドレス)、端末への出力インターフェースを設定する。
さらに、DNSクエリ転送テーブルB15に対し、端末からのDNSクエリをターゲットVLANへ転送するためのエントリを設定する。具体的には、端末からの入力インターフェース、端末のIPアドレス、ターゲットVLANに対応するドメインネーム領域およびIPアドレス領域、ターゲットVLANにおけるDNSサーバのIPアドレス、ターゲットVLANへの出力インターフェースを設定する。
ルーティングテーブルB13は、ルーティング処理部B14が行うパケットの転送処理のルールが記述されているテーブルである。ルーティングテーブルB13の設定は、セッション管理部B12によってなされることが可能である。図2にルーティングテーブルB13の例を示す。図2を参照すると、入力されたパケットに対して、このパケットを出力するための方法が登録されている。例えば、インターフェースeth1から入力し、ソースIPアドレスが192.168.0.2であるパケットに対しては、宛先IPアドレスに応じて出力方法が異なり、宛先IPアドレスが先頭ビットに8ビットのマスクをかけると10.0.0.0になる場合(10/8は先頭8ビットにマスクをかけると10.0.0.0となるIPアドレス群のことを示す。すなわち10.1.2.3や10.2.3.4などが当てはまる。)、ソースIPアドレスを10.1.1.1に書き換え、インターフェースeth0:0から出力する。この場合のゲートウェイのIPアドレスは10.1.1.254である。また、宛先IPアドレスが先頭ビットに8ビットのマスクをかけると20.0.0.0になる場合は、ソースIPアドレスを20.1.1.1に書き換え、インターフェースeth0:1から出力する。この場合のゲートウェイのIPアドレスは20.1.1.254である。別のエントリでは、インターフェースeth0:0から入力した、10/8のIPアドレス領域に含まれるソースIPアドレス、10.1.1.1の宛先IPアドレスをもつパケットは、宛先IPアドレスを192.168.0.2に書き換え、インターフェースeth1から出力することが示されている。なお、図2において、eth1は、端末A1側の物理インターフェースを表し、eth0:0〜eth0:4は、ターゲットVLAN側の物理インターフェースeth0上に作成された仮想インターフェースを表している。
ここで、ルーティングテーブルB13における入力パケットの識別方法として、インターフェース識別子、ソースIPアドレス、宛先IPアドレスの他に、ソースMACアドレスなどのパケットに含まれる他のフィールドの情報を用いてもよい。また、IPsecやL2TPやMPLSなどの仮想リンクをエミュレートするトンネリングプロトコルを用いている場合は、仮想リンクに対応する仮想インターフェースの識別子を用いることも可能である。
ルーティング処理部B14は、ネットワークアクセスゲートウェイB1が受信したパケットを、ルーティングテーブルB13に登録されているパケット転送ルールにしたがって転送を行う機能を有する。
DNSクエリ転送テーブルB15は、端末A1が送信したDNSクエリをDNSプロキシ部B16がどのように転送するかを示すルールが登録されており、セッション管理部B12によって設定されることが可能である。DNSクエリ転送テーブルB15の例を図3に示す。図3を参照すると、インターフェースeth1から入力し、ソースIPアドレスが192.168.0.2であるDNSクエリに対しては、クエリ内容に応じてDNSクエリの転送方法が異なり、aaa.comドメインに含まれるドメインネーム(www.aaa.comやftp.xxx.aaa.comなど)に対応するIPアドレスを解決するDNSクエリおよび10/8のIPアドレスプレフィクスに含まれるIPアドレスに対応するドメインネームを解決するDNSクエリの場合は、ソースIPアドレスを10.1.1.1とし、出力インターフェースeth0:0から、10.1.2.3に対応するDNSサーバへDNSクエリを転送し、bbb.comドメインに含まれるドメインネームに対応するIPアドレスを解決するDNSクエリおよび20/8のIPアドレスプレフィクスに含まれるIPアドレスに対応するドメインネームを解決するDNSクエリの場合は、ソースIPアドレスを20.1.1.1とし、出力インターフェースeth0:1から、20.1.2.3に対応するDNSサーバへDNSクエリを転送するというルールが示されている。
ここで、DNSクエリ転送テーブルB15における入力DNSクエリの識別方法として、インターフェース識別子、ソースIPアドレス、入力クエリ内容の他に、ソースMACアドレスなどのパケットに含まれる他のフィールドの情報を用いてもよい。また、IPsecやL2TPやMPLSなどの仮想リンクをエミュレートするトンネリングプロトコルを用いている場合は、仮想リンクに対応する仮想インターフェースの識別子を用いることも可能である。
DNSプロキシ部B16は、端末A1が送信したDNSクエリを一旦受信し、DNSクエリ転送テーブルB15に登録されているルールにしたがって、上記DNSクエリを送信した端末A1を識別してさらに送信した端末A1およびクエリ内容(すなわちクエリに含まれるドメインネームまたはIPアドレス)に基づいてターゲットVLAN内のDNSサーバに対して上記DNSクエリを転送する。さらにターゲットVLAN内のDNSサーバから受信したDNS応答を、DNSクエリを送信した端末A1に対して転送する。
インターフェースドライバB17は、ネットワークアクセスゲートウェイB1のもつネットワークインターフェースB18を制御するドライバモジュールであり、データリンクレイヤレベルのパケット送受信処理を行う。インターフェースドライバB17は、ネットワークインターフェースB18内に複数の仮想的なインターフェースを作成する機能を有し、この機能により、物理的なネットワークインターフェース上に任意の数の仮想インターフェースを持たせることができる。また、各仮想インターフェースごとにMACアドレス、VLANタグID、IPアドレス、ネットマスクの設定を行うことができる。図4に物理的なネットワークインターフェース上に複数の仮想インターフェースが設定される例をインターフェース設定テーブル103として示す。図4を参照すると、eth0で示される物理インターフェース上に、eth0:0,eth0:1,eth0:2,eth0:3,eth0:4で示される5つの仮想インターフェースが設定されており、それぞれに異なるMACアドレス、VLANタグID、IPアドレス、ネットマスクが設定されている。仮想インターフェースの設定は、セッション管理部B12によってなされることが可能である。
ここで、インターフェースドライバB17でもつことの可能な仮想インターフェースは、MACアドレスまたはVLANタグIDで区別できる仮想インターフェースだけではなく、IPsecやL2TPやMPLSなどの仮想リンクをエミュレートするトンネリングプロトコルの仮想リンクのインターフェースであってもよい。例えば、図4の例では、LAN側のインターフェースはeth1の1つしかないが、LAN内の各端末に対して個別にIPsecトンネルが作成される場合は、各端末に対応する仮想リンクのインターフェースがLAN側の仮想インターフェースとして設定される。あるいは、ターゲット網がMPLSのラベルによって仮想的に分離されている場合は、WAN側の仮想インターフェースとしてMPLSのインターフェースが用いられる。このようなトンネリングプロトコルを用いる効果としては、アドレス詐称等によるなりすましを防ぎ、ネットワークアクセスゲートウェイB1において、接続されている端末A1を確実かつ一意に識別できるようになることが挙げられる。
次に、図5を参照して、本実施の形態において、端末A1がネットワークアクセスゲートウェイB1に対して、WAN内のターゲットVLANへアクセスするための認証要求を出した場合のネットワークアクセスゲートウェイB1における動作について詳細に説明する。
ここでは、端末A1はターゲットVLAN D1とターゲットVLAN D2の2つのターゲットVLANに対してアクセスするための認証要求を出すものとする。ターゲットVLAN D1およびD2の識別子は、それぞれaaa.com、bbb.comであり、ドメインネーム領域、IPアドレス領域はそれぞれaaa.com、10/8およびbbb.com、20/8であるとする。また、ターゲットVLAN D1とターゲットVLAN D2はそれぞれVLANタグIDが100、200のVLANでスイッチングハブC1によって論理的に分割されているものとする。端末A1は、ネットワークアクセスゲートウェイB1のインターフェースeth1の配下に存在し、192.168.0.2のIPアドレスをもつものとする。
端末A1がWAN内のターゲットVLANへアクセスするための認証要求をネットワークアクセスゲートウェイB1へ送信すると、端末認証部B11がこの認証要求を受信する。この認証要求には、端末A1がアクセスしようとしているターゲットVLANを示す識別子と、認証のために必要なパラメータ(ID、パスワードなど)が含まれており、認証要求に含まれるパラメータに基づいてユーザがアクセス可能であるかどうかの認証を行う(図5のステップS101)。例えば認証要求に、[taro@aaa.com/pass−1][taro@bbb.com/pass−2]というメッセージが埋め込まれている場合は、aaa.comに対応するドメイン(ターゲットVLAN D1)に対してtaro/pass−1というユーザID/パスワードで、bbb.comに対応するドメイン(ターゲットVLAN D2)に対してtaro/pass−2というユーザID/パスワードでアクセス認証を行いたいということを示すものである。ここでは、各ターゲットVLANごとにユーザID/パスワードが必要となる例について示したが、他にも、1つのユーザID/パスワードで複数のターゲットVLANに対するアクセス認証を行う方法も可能である。
ステップS101におけるアクセス認証の結果、端末A1から所望するターゲットVLANへのアクセスを許可できると判断された場合(ステップS102がイエス)、端末認証部B11は、セッション管理部B12に対して、アクセスが許可されたターゲットVLANへのアクセスに必要な設定を行うよう指示する(ステップS103)。このとき、端末A1に対応する入力インターフェース(eth1)、IPアドレス(192.168.0.2)とともに、アクセスが許可されたターゲットVLANの識別子(aaa.comとbbb.com)、およびそれぞれのターゲットVLANに対するVLANタグID(100と200)、接続用IPアドレス/ネットマスク(10.1.1.1/255.255.255.0と20.1.1.1/255.255.255.0)、ゲートウェイIPアドレス(10.1.1.254と20.1.1.254)、ドメインネーム領域(aaa.comとbbb.com)、IPアドレス領域(10/8と20/8)、DNSサーバIPアドレス(10.1.2.3と20.1.2.3)が設定に必要なパラメータとして渡される。上記カッコ内に記載されたパラメータは、本実施の形態において渡される実際のパラメータの例である。以下、上記カッコ内に記載されたパラメータが渡されたものとして説明を行う。
ステップS103の結果、セッション管理部B12はまず、アクセスが許可されたターゲットVLANに対応する仮想インターフェースを作成するようにインターフェースドライバB17対して指示を出す(ステップS104)。ここでは、ターゲットVLAN D1へのアクセスのために図4におけるeth0:0のエントリで示される仮想インターフェースが作成され、ターゲットVLAN D2へのアクセスのためにeth0:1のエントリで示される仮想インターフェースが作成される。
ステップS104の次に、セッション管理部B12は、アクセスが許可されたターゲットVLANへ端末A1からのパケットを転送するためのルーティングテーブルエントリをルーティングテーブルB13に対して作成する(ステップS105)。ここでは、図2の入力ソースIPアドレスが192.168.0.2に対応するエントリが作成される。このエントリには、アクセスが許可された各ターゲットVLANに対応して、ターゲットVLAN D1宛のパケット(宛先IPアドレスが10/8の場合)のルーティング方法と、ターゲットVLAN D2宛のパケット(宛先IPアドレスが20/8の場合)のルーティング方法がそれぞれ登録されている。更に、ここでは、図2のインターフェースeth0:0及びインターフェースeth0:1に対応するエントリも作成される。インターフェースeth0:0に対応するエントリには、ターゲットVLAN D1から端末A1へのパケットのルーティング方法が登録され、インターフェースeth0:1に対応するエントリには、ターゲットVLAN D2から端末A1へのパケットのルーティング方法が登録されている。
ステップS105の次に、セッション管理部B12は、端末A1が送信したDNSクエリを転送するためのエントリをDNSクエリ転送テーブルB15に対して設定する(ステップS106)。ここでは、図3の入力ソースIPアドレスが192.168.0.2に対応するエントリが作成される。アクセスが許可された各ターゲットVLANに対応して、ターゲットVLAN D1へのDNSクエリ(ドメインネーム領域がaaa.com、IPアドレス領域が10/8である場合)の転送方法と、ターゲットVLAN D2へのDNSクエリ(ドメインネーム領域がaaa.com、IPアドレス領域が10/8である場合)の転送方法がそれぞれ登録されている。
ステップS106の後、セッション管理部B12は、端末認証部B11に対して指示された設定が終了したことを通知し、端末認証部B11は、アクセス認証成功を伝えるメッセージを端末A1に対して応答する(ステップS107)。このメッセージが応答されると、端末A1は認証により許可されたターゲットVLANへのアクセスを行うことが可能となる。
また、ステップS101におけるアクセス認証の結果、端末A1から所望するターゲットVLANへのアクセスを許可できないと判断された場合、端末認証部B11は、アクセス認証失敗を伝えるメッセージを端末A1に対して応答する(ステップS108)。
以上、本実施の形態におけるネットワークアクセスゲートウェイB1における動作について説明した。
以下、本実施の形態から考えられる他の実施の形態についても併せて説明する。
1つ目は、端末認証部B11が端末A1からの認証要求に対して直接認証を行うのではなく、各ターゲットVLAN D1〜D3に存在する認証サーバE1〜E3に対して認証要求を転送し、認証サーバE1〜E3が実際の認証を行う形態である(図6を参照)。
この場合、端末認証部B11は、端末A1から受信した認証要求を解析し、端末A1がアクセスしたいターゲットVLANに対応する認証サーバへ上記認証要求を転送する。例えば端末認証部B11が端末A1から受信した認証要求に、[taro@aaa.com/pass−1][taro@bbb.com/pass−2]というメッセージが埋め込まれている場合は、aaa.comに対応するターゲットVLAN内の認証サーバへは、[taro/pass−1]の部分を転送し、bbb.comに対応するターゲットVLAN内の認証サーバへは、[taro/pass−2]の部分を転送するという動作を端末認証部B11が行う。セッション管理部B12が行う設定に必要なパラメータは、端末認証部B11が認証サーバE1〜E3から取得する。
2つ目は、ネットワークアクセスゲートウェイB1が認証VLANスイッチC2によってターゲットVLAN D1〜D3と接続されており、端末認証部B11が端末A1からの認証要求に対して直接認証を行うのではなく、認証VLANスイッチC2に対して認証要求を転送し、認証VLANスイッチC2(もしくは認証VLANスイッチに接続されている外部の認証サーバ;この外部の認証サーバは多段構成になっていてもよい)が実際の認証を行う形態である(図7を参照)。このような認証VLANスイッチC2の例として、IEEE802.1xに対応した認証VLANスイッチが挙げられる。
この場合、端末認証部B11は、端末A1から受信した認証要求を認証VLANスイッチC2に対して送信する。IEEE802.1xに対応した認証VLANスイッチが用いられる場合は、認証メッセージを送受信するプロトコルとして、EAPOL(Extensible Authentication Protocol Over Lans)が用いられるため、端末A1と端末認証部B11との間で送受信するためのプロトコルはEAPOL形式に変換される。端末A1が2つ以上のターゲットVLANへの認証要求を送信している場合は、端末認証部B11は認証を要求されている各ターゲットVLAN D1〜D3ごとに対応するEAPOLフレームを認証VLANスイッチC2に対して送信する。
3つ目は、端末A1から所望のターゲットVLANへのアクセスを行うために必要な全ての設定パラメータを端末認証部B11からセッション管理部B12へ渡すのではなく、一部のパラメータを、ターゲットVLAN内の設定サーバから、ネットワークアクセスゲートウェイが備える設定クライアントが自動的に取得して設定を行う形態である。この種の設定サーバ、設定クライアントとしては、それぞれDHCPサーバ、DHCPクライアントが一般的に用いられる。他にも、IPv6で用いられるNDP(Neighbor Discovery Protocol)機能を用いる方法もある。以下、DHCPサーバ、DHCPクライアントが用いられる場合を例に挙げて説明する。
この場合、図8に示すように、各ターゲットVLAN D1〜D3内にはDHCPサーバ(DHCPサーバF1〜F3)が存在し、さらにネットワークアクセスゲートウェイB1の代わりに、DHCPクライアントB19を有するネットワークアクセスゲートウェイB2が用いられる。DHCPクライアントB19は、DHCPサーバF1〜F3からターゲットVLAN D1〜D3へのアクセスに必要なパラメータを取得し、取得したパラメータをセッション管理部B12に渡す。セッション管理部B12は、渡された設定パラメータを用いて、インターフェースドライバB17、ルーティングテーブルB13、DNSクエリ転送テーブルB15に対して設定を行う。
さらにこの場合のネットワークアクセスゲートウェイB2の動作を図9に示す。ステップ104において、ターゲットVLANごとに仮想インターフェースを作成した後、アクセスが許可された各ターゲットVLAN内のDHCPサーバから設定パラメータを取得して(ステップS109)から、セッション管理部B12が上記仮想インターフェースにおけるIPアドレス/ネットマスクの設定(ステップS110)、ルーティングテーブルエントリの作成(ステップS105)、DNSクエリ転送テーブルの作成(ステップS106)を行う点が、先に図5で示したネットワークアクセスゲートウェイB1の動作と異なる。ここで、ステップS104の時点では、作成された仮想インターフェースに対してIPアドレス/ネットマスクは設定されていないことに注意する。
DHCPサーバから取得できるパラメータは、接続用IPアドレス/ネットマスク、デフォルトゲートウェイIPアドレス、IPアドレス領域が主なものである。その他、MACアドレスなど、設定に必要なパラメータでDHCPサーバから取得することができないものに関しては、端末認証部B11から渡される。
4つ目は、ネットワークアクセスゲートウェイB1において、DNSプロトコルにおけるクエリ/応答だけではなく、その他の種類の名前解決プロトコルにおけるクエリ/応答のプロキシ処理が行われる形態である。その他の種類の名前解決プロトコルとして、LDAP(Lightweight Directory Access Protocol)やWINS(Windows Internet Name Service:Windowsは登録商標)プロトコルなどが挙げられる。この場合は、本実施の形態におけるDNSクエリ転送テーブルB15およびDNSプロキシ部B16の代わりあるいは追加として、名前解決クエリ転送テーブルおよび名前解決プロキシ部が用いられ、名前解決クエリ転送テーブルおよび名前解決プロキシ部がその他の種類の名前解決プロトコルに対するプロキシ処理を行う。
なお、図1、図6、図7に示したネットワークアクセスゲートウェイB1や、図8に示したネットワークアクセスゲートウェイB2はコンピュータによって実現可能である。ネットワークアクセスゲートウェイB1をコンピュータによって実現する場合には、コンピュータをネットワークアクセスゲートウェイB1として機能させるためのプログラムを記録した記録媒体(ディスク、半導体メモリ、その他の記録媒体)を用意しておく。コンピュータは、この記録媒体に記録されたプログラムを読み込み、自身の動作を制御することにより、自コンピュータ上に、端末認証部B11、セッション管理部B12、ルーティングテーブルB13、ルーティング処理部B14、DNSクエリ転送テーブルB15、DNSプロシキ部B16、インターフェースドライバB17、ネットワークインターフェースB18を実現する。また、ネットワークアクセスゲートウェイB2をコンピュータによって実現する場合には、コンピュータをネットワークアクセスゲートウェイB2として機能させるためのプログラムを記録した記録媒体(ディスク、半導体メモリ、その他の記録媒体)を用意しておく。コンピュータは、この記録媒体に記録されたプログラムを読み込み、自身の動作を制御することにより、自コンピュータ上に、端末認証部B11、セッション管理部B12、ルーティングテーブルB13、ルーティング処理部B14、DNSクエリ転送テーブルB15、DNSプロシキ部B16、インターフェースドライバB17、ネットワークインターフェースB18、DHCPクライアントB19を実現する。
次に本実施の形態の効果について説明する。
本実施の形態では、ネットワークアクセスゲートウェイB1は、LAN内の端末A1からの認証要求に基づき、端末A1が所望するターゲットVLANへのアクセスが可能になるように、インターフェースドライバB17に対して仮想インターフェースを作成するとともに、端末A1が送受信するパケットを転送するための設定をルーティングテーブルB13に対して行い、さらに端末A1が送信するDNSクエリを転送するための設定をDNSクエリ転送テーブルB15に対して行う。
従来技術では、ネットワークアクセスゲートウェイにおけるWAN側のインターフェースは、LAN内の全ての端末に対して共有される。すわなち、LAN内の全ての端末に対して同一のWAN側の設定が用いられねばならなかった。本実施の形態により、LAN内端末からの認証に基づいて、この端末のWANアクセスのために個別の仮想インターフェース、ルーティングテーブルエントリ、DNSクエリ転送テーブルエントリが作成されるため、LAN内の端末ごとに異なるターゲット網に対するアクセス環境を提供することが可能になる。また、仮想インターフェース、ルーティングテーブルエントリ、DNSクエリ転送テーブルエントリの設定は、端末に対してアクセスが許可された任意の数のターゲット網に対して行われるため、端末に対して任意の数のターゲット網に同時にアクセス可能な環境を提供することが可能となる。
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。
図10を参照すると、本発明の第2の実施の形態は、ネットワークアクセスゲートウェイB1の代わりに、ネットワークアクセスゲートウェイB3が用いられる点が図1に示した本発明の第1の実施の形態における構成と異なる。ネットワークアクセスゲートウェイB3は、DNSクエリ転送テーブルB15の代わりにDNSクエリ/応答転送テーブルB21を有する点、ルーティングテーブルB13の代わりにルーティングテーブルB13aを有する点、およびIPアドレス領域重複検出部B20を有する点でネットワークアクセスゲートウェイB1の構成と異なる。
セッション管理部B12は、本実施の第1の実施の形態で説明した機能に加えて、端末A1に対して複数のターゲットVLANへのアクセスが許可された場合に、IPアドレス領域重複検出部B20に問い合わせて各ターゲットVLANに対応するIPアドレス領域に重複があるかないかを調べる。重複があった場合、ターゲットVLAN内のDNSサーバからのDNS応答を、重複しないIPアドレスに変換して端末A1に転送するよう、DNSクエリ/応答変換テーブルB21に対して設定する。さらに、ルーティングテーブルB13aに対しても、DNSクエリ/応答のIPアドレス変換に対応してルーティング処理部B14がIPアドレス変換を行うようにエントリを設定する。
IPアドレス領域重複検出部B20は、セッション管理部B12からの要求に基づいて、各ターゲットVLANに対応するIPアドレス領域についてIPアドレス領域の重複があるかを調べて応答する。さらに、重複を検出した場合は、各ターゲットVLANのIPアドレス領域が重複しないためにはどのようにIPアドレス変換すべきかを求め、セッション管理部B12に対して応答する。
図11にIPアドレス領域重複検出部B20の動作の例を示す。1つ目の例では、セッション管理部B12が、ターゲットVLAN D1(IPアドレス領域:10/8)とターゲットVLAN D2(IPアドレス領域:20/8)の2つのターゲットVLANについてIPアドレス領域が重複するかどうかを検出する要求を送った場合、2つのIPアドレス領域には重複がないため、IPアドレス領域重複検出部B20は、重複なしを応答する。2つ目の例では、セッション管理部B12が、ターゲットVLAN D1(IPアドレス領域:10/8)とターゲットVLAN D3(IPアドレス領域:10/8)の2つのターゲットVLANについてIPアドレス領域が重複するかどうかを検出する要求を送った場合、2つのIPアドレス領域は重複するため、IPアドレス領域重複検出部B20は、ターゲットVLAN D3については、10/8のIPアドレスを30/8にIPアドレス変換すれば重複しないという応答をする。なお、この応答内容はあくまで一例であり、重複しないIPアドレス領域を応答するものであれば、どのようなものであっても良い。
DNSクエリ/応答転送テーブルB21は、DNSクエリ転送テーブルB15に設定されるパラメータに加えて、DNSプロキシ部B16がターゲットVLAN内のDNSサーバからのDNS応答を端末A1に転送する際に、応答するIPアドレスをどのように変換すべきかというパラメータがエントリとして格納されているテーブルである。図12にDNSクエリ/応答転送テーブルB21の例を示す。図12を参照すると、IPアドレス変換が必要なターゲットVLANに対するDNSクエリ/応答に関しては、DNSクエリ/応答転送用のパラメータとして実際のIPアドレス領域と変換するIPアドレス領域が設定される。ドメインネーム領域がaaa.comであるターゲットVLANに関してはDNSクエリ/応答に対してIPアドレス変換を行う必要はないが、ドメインネーム領域がccc.comであるターゲットVLANに対しては、実際のターゲットVLANのIPアドレス領域が10/8であるものを、30/8のIPアドレス領域にDNSプロキシ部B16で変換してLAN内端末にみせる必要があることを示す。この場合のDNSプロキシ部B16におけるDNSクエリおよびDNS応答の変換の例を図13に示す。ここで、DNSサーバG1は、ドメインネーム領域がccc.comであるターゲットVLAN内にあるDNSサーバである。
図13を参照すると、Aレコード解決とPTRレコード解決との2種類のDNSメッセージの変換の例が示されている。Aレコード解決(ドメインネームに対するIPアドレスの解決。IPv6の場合はAAAAレコードを解決する。)の場合、DNSプロキシ部B16は、端末A1から受信したDNSクエリについてはそのままターゲットVLAN内のDNSサーバG1に転送するが、DNSサーバG1から戻されたDNS応答については、www.ccc.comに対応するIPアドレスを10.2.3.4から30.2.3.4に変換して端末A1に転送している。また、PTRレコード解決(IPアドレスに対するドメインネームの解決)の場合、DNSプロキシ部B16は、端末A1から受信したDNSクエリについては、30.2.3.4を10.2.3.4に変換してDNSサーバG1に転送し、DNSサーバG1から戻されたDNS応答については、そのまま端末A1に転送している。すなわちターゲットVLAN側では実際には10/8のIPアドレス領域が用いられているが、端末A1には上記ターゲットVLAN側においてあたかも30/8のIPアドレス領域が用いられていると見せるようにDNSプロキシ部B16によってDNSメッセージのIPアドレスを変換する。
次に、DNSプロキシ部B16が行うDNSクエリ/応答のIPアドレス変換に対応して、ルーティング処理部B14もIPアドレス変換を行うように、セッション管理部B12がルーティングテーブルB13aに対して行う設定について説明する。
図12に示したDNSクエリ/応答転送テーブルB21に対応するルーティングテーブルB13aの例を図14に示す。図14を参照すると、第1番目のエントリでは、端末A1から受信したパケット(入力インターフェース:eth1,ソースIPアドレス:192.168.0.5)に対して、10/8のIPアドレス領域に含まれる宛先IPアドレスの場合は、ソースIPアドレスを10.1.1.3に変換してeth0:5のインターフェースから出力するのに対し、30/8のIPアドレス領域に含まれる宛先IPアドレスの場合は、ソースIPアドレスを10.1.1.3に変換し、宛先IPアドレスを10/8のIPアドレス領域のIPアドレスに変換してから、eth0:6のインターフェースから出力するということを示している。ここで、30/8の宛先IPアドレスを10/8のIPアドレス領域に変換するというのは、30.3.4.5を10.3.4.5に変換するというように、30/8の領域に含まれるIPアドレスを10/8の領域に含まれるIPアドレスに1対1にマッピングすることを示している。
ルーティングテーブルB13aの第2番目と第3番目のエントリは、ターゲットVLANから受信したパケットに対するルーティング方法が登録されている。第2番目のエントリでは、eth0:5の仮想インターフェースから入力した、ソースIPアドレスが10/8のIPアドレス領域に含まれ、宛先IPアドレスが10.1.1.3であるパケットに対しては、宛先IPアドレスを192.168.0.5に変換して、eth1のインターフェースから出力するということを示している。第3番目のエントリでは、eth0:6の仮想インターフェースから入力した、ソースIPアドレスが10/8のIPアドレス領域に含まれ、宛先IPアドレスが10.1.1.3であるパケットに対しては、宛先IPアドレスを192.168.0.5に変換すると共にソースIPアドレスを30/8に変換してeth1のインターフェースから出力するということを示している。
次に、図15を参照して、本実施の形態において、端末A1がネットワークアクセスゲートウェイB3に対して、WAN内のターゲットVLANへアクセスするための認証要求を出した場合のネットワークアクセスゲートウェイB3における動作について詳細に説明する。
図15に示すステップS201〜S208の動作はそれぞれ、図5に示した本発明の第1の実施の形態の動作における、ステップS101〜S108に対応する。図15に示す動作は、ステップS204でアクセスが許可された各ターゲットVLANに対応する仮想インターフェースを作成してからステップS205でルーティングテーブルエントリの作成を行うまでの動作が異なる。
ステップS204の後、セッション管理部B12は、端末A1に対してアクセスが許可された各ターゲットVLANに対するIPアドレスをIPアドレス領域重複検出部B20に渡し、IPアドレス領域重複検出部B20はそれぞれのIPアドレス領域に重複がないかを調べる(ステップS210)。ここで、端末A1から新規にアクセスできるように設定しているターゲットVLAN間のIPアドレス領域重複だけではなく、既に端末A1に対してアクセスが許可されて設定が完了しているターゲットVLANとのIPアドレス領域重複も調べられる。
ステップS210の結果、IPアドレス領域に重複がなければそのままステップS205に進む。
ステップS210の結果、IPアドレス領域に重複があれば、IPアドレス領域重複検出部B20は、各ターゲットVLANのIPアドレス領域が重複しないためにはどのようにIPアドレス変換すべきかを求め、セッション管理部B12に対して応答する(ステップS211)。
ステップS211の後、ステップS205およびS206で、セッション管理部B12はルーティングテーブルB13aおよびDNSクエリ/応答転送テーブルB21の設定を行うが、ここではステップS210で求められたIPアドレス変換方法がルーティングテーブルB13aおよびDNSクエリ/応答転送テーブルB21の設定に反映される。
また、第1の実施の形態では、
1.端末認証部B11が端末A1からの認証要求に対して直接認証を行うのではなく、各ターゲットVLANに存在する認証サーバE1〜E3に対して認証要求を転送し、認証サーバE1〜E3が実際の認証を行う形態
2.ネットワークアクセスゲートウェイB1が認証VLANスイッチC2によってターゲットVLAN D1〜D3と接続されており、端末認証部B11が端末A1からの認証要求に対して直接認証を行うのではなく、認証VLANスイッチC2に対して認証要求を転送し、認証VLANスイッチC2(もしくは認証VLANスイッチに接続されている外部の認証サーバ)が実際の認証を行う形態
3.端末A1から所望のターゲットVLANへのアクセスを行うために必要な全ての設定パラメータを、端末認証部B11からセッション管理部B12へ渡すのではなく、一部の設定パラメータを、ターゲットVLAN内の設定サーバからネットワークアクセスゲートウェイ内の設定クライアントが自動的に取得して設定を行う形態
4.ネットワークアクセスゲートウェイB1において、DNSプロトコルにおけるクエリ/応答だけではなく、その他の種類の名前解決プロトコルにおけるクエリ/応答のプロキシ処理が行われる形態
の4つの考えられる他の実施の形態についても併せて説明したが、第2の実施の形態においても、同様の実施の形態をとることが可能である。
なお、図10に示したネットワークアクセスゲートウェイB3は、コンピュータによって実現可能である。ネットワークアクセスゲートウェイB3をコンピュータによって実現する場合には、コンピュータをネットワークアクセスゲートウェイB3として機能させるためのプログラムを記録した記録媒体(ディスク、半導体メモリ、その他の記録媒体)を用意しておく。コンピュータは、この記録媒体に記録されたプログラムを読み込み、自身の動作を制御することにより、自コンピュータ上に、端末認証部B11、セッション管理部B12、ルーティングテーブルB13a、ルーティング処理部B14、DNSプロシキ部B16、インターフェースドライバB17、ネットワークインターフェースB18、IPアドレス領域重複検出部B20、DNSクエリ応答転送テーブルB21を実現する。
次に本実施の形態の効果について説明する。
本実施の形態では、ネットワークアクセスゲートウェイB1は、LAN内の端末A1からの認証要求に基づいて端末A1が所望するターゲットVLANへのアクセスが可能になるように設定を行う際に、端末A1に対してアクセスが許可されたターゲットVLAN間にIPアドレス領域の重複がないかどうかを検出し、重複があった場合は、互いに重複しないIPアドレス領域にIPアドレス変換すべく、ルーティングテーブルB13のエントリ、DNSクエリ/応答転送テーブルB21のエントリの設定を行う。
従来技術では、ネットワークアクセスゲートウェイは、LAN内端末を互いにIPアドレス領域が重複するターゲットVLANにアクセスさせることはできなかったが、本実施の形態により、端末の送受信するパケットおよびDNSクエリ/応答を互いに重複しないIPアドレス領域に変換することで、上記端末にはあたかも互いに重複しないIPアドレス領域をもつターゲットVLANにアクセスしているように見せることが可能になり、端末をIPアドレス領域の重複する複数のターゲットVLANにアクセスさせることが可能となる。
本発明の第1の実施の形態の構成を示すブロック図である。 本発明の第1の実施の形態のルーティングテーブルの例を示す図である。 本発明の第1の実施の形態のDNSクエリ転送テーブルの例を示す図である。 本発明の第1の実施の形態のインターフェースドライバにおけるインターフェース設定テーブル例を示す図である。 本発明の第1の実施の形態のネットワークアクセスゲートウェイの動作を示すフローチャートである。 本発明の第1の実施の形態から考えられる1つ目の他の実施の形態の構成を示すブロック図である。 本発明の第1の実施の形態から考えられる2つ目の他の実施の形態の構成を示すブロック図である。 本発明の第1の実施の形態から考えられる3つ目の他の実施の形態の構成を示すブロック図である。 本発明の第1の実施の形態から考えられる3つ目の他の実施の形態のネットワークアクセスゲートウェイの動作を示すフローチャートである。 本発明の第2の実施の形態の構成を示すブロック図である。 本発明の第2の実施の形態のIPアドレス領域重複検出部の動作例を示すフローチャートである。 本発明の第2の実施の形態のDNSクエリ/応答転送テーブルの例を示す図である。 本発明の第2の実施の形態のDNSプロキシ部の動作例を示すフローチャートである。 本発明の第2の実施の形態のルーティングテーブルの例を示す図である。 本発明の第2の実施の形態のネットワークアクセスゲートウェイの動作を示すフローチャートである。
符号の説明
A1…端末
B1〜B3…ネットワークアクセスゲートウェイ
B11…端末認証部
B12…セッション管理部
B13、B13a…ルーティングテーブル
B14…ルーティング処理部
B15…DNSクエリ転送テーブル
B16…DNSプロキシ部
B17…インターフェースドライバ
B18…ネットワークインターフェース
B19…DHCPクライアント
B20…IPアドレス領域重複検出部
B21…DNSクエリ/応答転送テーブル
C1…スイッチングハブ
C2…認証VLANスイッチ
D1〜D3…ターゲットVLAN
E1〜E3…認証サーバ
F1〜F3…DHCPサーバ
G1…DNSサーバ
103 インターフェース設定テーブル

Claims (39)

  1. LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイであって、
    前記ノードごとに、1つまたは複数の前記ターゲット網へのアクセスのための環境設定を行えることを特徴とするネットワークアクセスゲートウェイ。
  2. 前記環境設定は、前記ノードに対して前記ターゲット網へアクセスするための認証が成功したことを契機に行われることを特徴とする請求項1に記載のネットワークアクセスゲートウェイ。
  3. LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイであって、
    複数の前記ターゲット網に対して前記ノードがアクセスするための認証を行う端末認証部と、
    該端末認証部で認証を行ったアクセスのうち、認証が成功したアクセスのための環境設定を行うセッション管理部とを備えること
    を特徴とするネットワークアクセスゲートウェイ。
  4. 前記セッション管理部は、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
    前記認証によってアクセスすることを許可された前記ターゲット網に対して前記ノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成すること
    を特徴とする請求項3に記載のネットワークアクセスゲートウェイ。
  5. 前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
    前記ノードからの名前解決クエリを、前記認証によってアクセスすることを許可された前記ターゲット網に対して転送するための第2のエントリが格納される名前解決クエリ転送テーブルとを備え、
    前記セッション管理部は、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
    前記ルーティングテーブルに対して第1のエントリを作成し、前記名前解決クエリ転送テーブルに対して第2のエントリを作成すること
    を特徴とする請求項3または4のいずれかに記載のネットワークアクセスゲートウェイ。
  6. 前記名前解決クエリはDNSクエリであり、前記名前解決クエリ転送テーブルはDNSクエリ転送テーブルであること
    を特徴とする請求項5に記載のネットワークアクセスゲートウェイ。
  7. 前記端末認証部は、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
    前記ターゲット網内に存在する認証サーバに問い合わせることにより認証を行うこと
    を特徴とする請求項3乃至6のいずれかに記載のネットワークアクセスゲートウェイ。
  8. 前記端末認証部は、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
    前記ターゲット網内に存在し、前記ターゲット網ごとのアクセス認証を行う機能を有する認証VLANスイッチに問い合わせることにより認証を行うこと
    を特徴とする請求項3乃至6のいずれかに記載のネットワークアクセスゲートウェイ。
  9. 前記ターゲット網内に存在する、前記ターゲット網にアクセスするために必要な設定パラメータを払い出す機能を有する設定サーバから、前記ターゲット網へのアクセスのための環境設定に必要なパラメータの一部または全てを取得する設定クライアントを有すること
    を特徴とする請求項3乃至8のいずれかに記載のネットワークアクセスゲートウェイ。
  10. 前記ノードとの接続において、前記ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクが用いられること
    を特徴とする請求項3乃至9のいずれかに記載のネットワークアクセスゲートウェイ。
  11. 複数の前記ターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求める機能を有するIPアドレス領域重複検出部を備えること
    を特徴とする請求項3乃至10のいずれかに記載のネットワークアクセスゲートウェイ。
  12. 前記セッション管理部は、
    前記ノードが前記複数のターゲット網に対してアクセスを行う場合に、前記IPアドレス領域重複検出部を介して、前記複数のターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求め、
    前記ノードに対する前記複数のターゲット網へのアクセスのための環境設定として、
    前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
    前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間で名前解決クエリおよび名前解決応答を送受信するための第3のエントリが格納される名前解決クエリ/応答転送テーブルとに対して、
    重複するIPアドレス領域を互いに重複しないIPアドレス領域にIPアドレス変換するように第1のエントリおよび第3のエントリを設定すること
    を特徴とする請求項11に記載のネットワークアクセスゲートウェイ。
  13. 前記名前解決クエリはDNSクエリであり、前記名前解決応答はDNS応答であり、前記名前解決クエリ/応答転送テーブルはDNSクエリ/応答転送テーブルであること
    を特徴とする請求項12に記載のネットワークアクセスゲートウェイ。
  14. LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイの制御方法であって、
    前記ノードごとに、1つまたは複数の前記ターゲット網へのアクセスのための環境設定を行うことを特徴とするネットワークアクセスゲートウェイの制御方法。
  15. 前記環境設定は、前記ノードに対して前記ターゲット網へアクセスするための認証が成功したことを契機に行われることを特徴とする請求項14に記載のネットワークアクセスゲートウェイの制御方法。
  16. LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイの制御方法であって、
    複数の前記ターゲット網に対して前記ノードがアクセスするための認証を行う端末認証ステップと、
    該端末認証ステップで認証を行ったアクセスのうち、認証が成功したアクセスのための環境設定を行うセッション管理ステップとを含むこと
    を特徴とするネットワークアクセスゲートウェイの制御方法。
  17. 前記セッション管理ステップは、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
    前記認証によってアクセスすることを許可された前記ターゲット網に対して前記ノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成すること
    を特徴とする請求項16に記載のネットワークアクセスゲートウェイの制御方法。
  18. 前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
    前記ノードからの名前解決クエリを、前記認証によってアクセスすることを許可された前記ターゲット網に対して転送するための第2のエントリが格納される名前解決クエリ転送テーブルとを備え、
    前記セッション管理ステップでは、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
    前記ルーティングテーブルに対して第1のエントリを作成し、前記名前解決クエリ転送テーブルに対して第2のエントリを作成すること
    を特徴とする請求項16または17のいずれかに記載のネットワークアクセスゲートウェイの制御方法。
  19. 前記名前解決クエリはDNSクエリであり、前記名前解決クエリ転送テーブルはDNSクエリ転送テーブルであること
    を特徴とする請求項18に記載のネットワークアクセスゲートウェイの制御方法。
  20. 前記端末認証ステップでは、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
    前記ターゲット網内に存在する認証サーバに問い合わせることにより認証を行うこと
    を特徴とする請求項16乃至19のいずれかに記載のネットワークアクセスゲートウェイの制御方法。
  21. 前記端末認証ステップでは、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
    前記ターゲット網内に存在し、前記ターゲット網ごとのアクセス認証を行う機能を有する認証VLANスイッチに問い合わせることにより認証を行うこと
    を特徴とする請求項16乃至19のいずれかに記載のネットワークアクセスゲートウェイの制御方法。
  22. 前記ターゲット網内に存在する、前記ターゲット網にアクセスするために必要な設定パラメータを払い出す機能を有する設定サーバから、前記ターゲット網へのアクセスのための環境設定に必要なパラメータの一部または全てを取得するパラメータ取得ステップを含むこと
    を特徴とする請求項16乃至21のいずれかに記載のネットワークアクセスゲートウェイの制御方法。
  23. 前記ノードとの接続において、前記ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクが用いられること
    を特徴とする請求項16乃至22のいずれかに記載のネットワークアクセスゲートウェイの制御方法。
  24. 複数の前記ターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求める機能を有するIPアドレス領域重複検出ステップを含むこと
    を特徴とする請求項16乃至23のいずれかに記載のネットワークアクセスゲートウェイの制御方法。
  25. 前記セッション管理ステップでは、
    前記ノードが前記複数のターゲット網に対してアクセスを行う場合に、前記IPアドレス領域重複検出ステップを介して、前記複数のターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求め、
    前記ノードに対する前記複数のターゲット網へのアクセスのための環境設定として、
    前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
    前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間で名前解決クエリおよび名前解決応答を送受信するための第3のエントリが格納される名前解決クエリ/応答転送テーブルとに対して、
    重複するIPアドレス領域を互いに重複しないIPアドレス領域にIPアドレス変換するように第1のエントリおよび第3のエントリを設定すること
    を特徴とする請求項24に記載のネットワークアクセスゲートウェイの制御方法。
  26. 前記名前解決クエリはDNSクエリであり、前記名前解決応答はDNS応答であり、前記名前解決クエリ/応答転送テーブルはDNSクエリ/応答転送テーブルであること
    を特徴とする請求項25に記載のネットワークアクセスゲートウェイの制御方法。
  27. コンピュータを、LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイとして機能させるためのプログラムであって、
    前記コンピュータを、前記ノードごとに、1つまたは複数の前記ターゲット網へのアクセスのための環境設定を行えるネットワークアクセスゲートウェイとして機能させるためのプログラム。
  28. 前記環境設定は、前記ノードに対して前記ターゲット網へアクセスするための認証が成功したことを契機に行われることを特徴とする請求項27に記載のプログラム。
  29. コンピュータを、LANと該LAN内のノードからのアクセスの候補となる複数のターゲット網を含むWANとの境界に設置され、前記LAN内のノードを前記ターゲット網に接続させるネットワークアクセスゲートウェイとして機能させるためのプログラムであって、
    前記コンピュータを、
    複数の前記ターゲット網に対して前記ノードがアクセスするための認証を行う端末認証部、
    該端末認証部で認証を行ったアクセスのうち、認証が成功したアクセスのための環境設定を行うセッション管理部として機能させるためのプログラム。
  30. 前記セッション管理部は、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
    前記認証によってアクセスすることを許可された前記ターゲット網に対して前記ノードがアクセスするための仮想インターフェースを、物理インターフェース上に作成すること
    を特徴とする請求項29に記載のプログラム。
  31. 前記コンピュータが、
    前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
    前記ノードからの名前解決クエリを、前記認証によってアクセスすることを許可された前記ターゲット網に対して転送するための第2のエントリが格納される名前解決クエリ転送テーブルとを備え、
    前記セッション管理部は、前記ノードに対する前記ターゲット網へのアクセスのための環境設定として、
    前記ルーティングテーブルに対して第1のエントリを作成し、前記名前解決クエリ転送テーブルに対して第2のエントリを作成すること
    を特徴とする請求項29または30のいずれかに記載のプログラム。
  32. 前記名前解決クエリはDNSクエリであり、前記名前解決クエリ転送テーブルはDNSクエリ転送テーブルであること
    を特徴とする請求項31に記載のプログラム。
  33. 前記端末認証部は、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
    前記ターゲット網内に存在する認証サーバに問い合わせることにより認証を行うこと
    を特徴とする請求項29乃至32のいずれかに記載のプログラム。
  34. 前記端末認証部は、前記ノードから前記ターゲット網へアクセスするための認証を前記ターゲット網ごとに行う際に、
    前記ターゲット網内に存在し、前記ターゲット網ごとのアクセス認証を行う機能を有する認証VLANスイッチに問い合わせることにより認証を行うこと
    を特徴とする請求項29乃至32のいずれかに記載のプログラム。
  35. 前記コンピュータを、
    前記ターゲット網内に存在する、前記ターゲット網にアクセスするために必要な設定パラメータを払い出す機能を有する設定サーバから、前記ターゲット網へのアクセスのための環境設定に必要なパラメータの一部または全てを取得する設定クライアントとして機能させること
    を特徴とする請求項29乃至34のいずれかに記載のプログラム。
  36. 前記ノードとの接続において、前記ノードを一意に識別可能にするために、トンネリングプロトコルによって提供される仮想リンクが用いられること
    を特徴とする請求項29乃至35のいずれかに記載のプログラム。
  37. 前記コンピュータを、
    複数の前記ターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求めるIPアドレス領域重複検出部として機能させること
    を特徴とする請求項29乃至36のいずれかに記載のプログラム。
  38. 前記セッション管理部は、
    前記ノードが前記複数のターゲット網に対してアクセスを行う場合に、前記IPアドレス領域重複検出部を介して、前記複数のターゲット網の各々で利用されているIPアドレスの領域が重複するかどうかを調べ、重複があった場合は、重複するIPアドレス領域をどのようにIPアドレス変換すべきかを求め、
    前記ノードに対する前記複数のターゲット網へのアクセスのための環境設定として、
    前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間でパケットを送受信するための第1のエントリが格納されるルーティングテーブルと、
    前記ノードと、前記認証によってアクセスすることを許可された前記ターゲット網との間で名前解決クエリおよび名前解決応答を送受信するための第3のエントリが格納される名前解決クエリ/応答転送テーブルとに対して、
    重複するIPアドレス領域を互いに重複しないIPアドレス領域にIPアドレス変換するように第1のエントリおよび第3のエントリを設定すること
    を特徴とする請求項37に記載のプログラム。
  39. 前記名前解決クエリはDNSクエリであり、前記名前解決応答はDNS応答であり、前記名前解決クエリ/応答転送テーブルはDNSクエリ/応答転送テーブルであること
    を特徴とする請求項38に記載のプログラム。
JP2003375352A 2003-11-05 2003-11-05 ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム Expired - Fee Related JP3858884B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003375352A JP3858884B2 (ja) 2003-11-05 2003-11-05 ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003375352A JP3858884B2 (ja) 2003-11-05 2003-11-05 ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム

Publications (2)

Publication Number Publication Date
JP2005142702A true JP2005142702A (ja) 2005-06-02
JP3858884B2 JP3858884B2 (ja) 2006-12-20

Family

ID=34686749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003375352A Expired - Fee Related JP3858884B2 (ja) 2003-11-05 2003-11-05 ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム

Country Status (1)

Country Link
JP (1) JP3858884B2 (ja)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007141840A1 (ja) * 2006-06-05 2007-12-13 Hitachi Communication Technologies, Ltd. 中継ネットワークシステム及び端末アダプタ装置
JP2008301024A (ja) * 2007-05-30 2008-12-11 Fuji Xerox Co Ltd 仮想ネットワーク接続システム及び装置
US7684417B2 (en) 2004-02-26 2010-03-23 Nec Corporation Method of migrating processes between networks and network system thereof
JP2010287944A (ja) * 2009-06-09 2010-12-24 Mitsubishi Electric Corp 通信システムおよび通信制御装置
US7860963B2 (en) 2006-09-15 2010-12-28 Fujitsu Limited Service communication control method, service relaying apparatus, management server, portal server, and service communication control system
JP2011135417A (ja) * 2009-12-25 2011-07-07 Nec Corp 基地局装置、基地局の制御方法、及びプログラム
JP2012515479A (ja) * 2009-01-15 2012-07-05 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 宅内ネットワーク内におけるプロキシモバイルIPv6のサポート
CN101056310B (zh) * 2006-04-10 2013-06-12 株式会社日立制作所 通信装置
JP2014505409A (ja) * 2010-12-21 2014-02-27 トムソン ライセンシング マルチコアプラットフォーム用のdnsプロキシサービス
JP2014505410A (ja) * 2010-12-21 2014-02-27 トムソン ライセンシング マルチコア・プラットフォームのためのdns転送器
WO2014156009A1 (ja) 2013-03-26 2014-10-02 Kddi株式会社 転送装置
JP2016219972A (ja) * 2015-05-19 2016-12-22 株式会社Nttドコモ 無線通信システム
JP2018164181A (ja) * 2017-03-24 2018-10-18 サイレックス・テクノロジー株式会社 通信装置、通信システム、及び、通信装置の制御方法
JP7426513B2 (ja) 2020-06-29 2024-02-01 中興通訊股▲ふん▼有限公司 室内ユニットと室外ユニットの間のマルチpdn実装方法及び記憶媒体
JP7463095B2 (ja) 2019-12-25 2024-04-08 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7684417B2 (en) 2004-02-26 2010-03-23 Nec Corporation Method of migrating processes between networks and network system thereof
CN101056310B (zh) * 2006-04-10 2013-06-12 株式会社日立制作所 通信装置
JPWO2007141840A1 (ja) * 2006-06-05 2009-10-15 株式会社日立コミュニケーションテクノロジー 中継ネットワークシステム及び端末アダプタ装置
JP4598859B2 (ja) * 2006-06-05 2010-12-15 株式会社日立製作所 中継ネットワークシステム及び端末アダプタ装置
WO2007141840A1 (ja) * 2006-06-05 2007-12-13 Hitachi Communication Technologies, Ltd. 中継ネットワークシステム及び端末アダプタ装置
US8159989B2 (en) 2006-06-05 2012-04-17 Hitachi, Ltd. Relay network system and terminal adaptor apparatus
US7860963B2 (en) 2006-09-15 2010-12-28 Fujitsu Limited Service communication control method, service relaying apparatus, management server, portal server, and service communication control system
JP2008301024A (ja) * 2007-05-30 2008-12-11 Fuji Xerox Co Ltd 仮想ネットワーク接続システム及び装置
US8615017B2 (en) 2009-01-15 2013-12-24 Telefonaktiebolaget L M Ericsson (Publ) Proxy mobile IPv6 support in residential networks
JP2012515479A (ja) * 2009-01-15 2012-07-05 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 宅内ネットワーク内におけるプロキシモバイルIPv6のサポート
JP2010287944A (ja) * 2009-06-09 2010-12-24 Mitsubishi Electric Corp 通信システムおよび通信制御装置
JP2011135417A (ja) * 2009-12-25 2011-07-07 Nec Corp 基地局装置、基地局の制御方法、及びプログラム
JP2014505409A (ja) * 2010-12-21 2014-02-27 トムソン ライセンシング マルチコアプラットフォーム用のdnsプロキシサービス
JP2014505410A (ja) * 2010-12-21 2014-02-27 トムソン ライセンシング マルチコア・プラットフォームのためのdns転送器
US9697173B2 (en) 2010-12-21 2017-07-04 Thomson Licensing DNS proxy service for multi-core platforms
WO2014156009A1 (ja) 2013-03-26 2014-10-02 Kddi株式会社 転送装置
JP2016219972A (ja) * 2015-05-19 2016-12-22 株式会社Nttドコモ 無線通信システム
JP2018164181A (ja) * 2017-03-24 2018-10-18 サイレックス・テクノロジー株式会社 通信装置、通信システム、及び、通信装置の制御方法
JP7463095B2 (ja) 2019-12-25 2024-04-08 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム
JP7426513B2 (ja) 2020-06-29 2024-02-01 中興通訊股▲ふん▼有限公司 室内ユニットと室外ユニットの間のマルチpdn実装方法及び記憶媒体

Also Published As

Publication number Publication date
JP3858884B2 (ja) 2006-12-20

Similar Documents

Publication Publication Date Title
US8930573B2 (en) Computer networks with unique identification
EP1753180B1 (en) Server for routing a connection to a client device
US8805977B2 (en) Method and system for address conflict resolution
JP4816572B2 (ja) 仮想ネットワーク接続システム及び装置
US20050066035A1 (en) Method and apparatus for connecting privately addressed networks
US20070081530A1 (en) Packet relay apparatus
US20020186698A1 (en) System to map remote lan hosts to local IP addresses
JP5323674B2 (ja) DNS(DomainNameSystem)登録装置、VPN(VirtualPrivateNetwork)間接続管理システム、広域DNS装置、DNS登録プログラム、広域DNSプログラム、DNS登録方法、及びVPN間接続管理方法
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
JP2003273935A (ja) 相異なるプライベートネットワークに存在するネットワーク機器間の直接接続を提供するネットワーク接続装置及びその方法
CN107948150B (zh) 报文转发方法及装置
JP4600394B2 (ja) ネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体
US20060268863A1 (en) Transparent address translation methods
JP2006033206A (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
KR100587560B1 (ko) 링크 로컬 주소를 가지는 시스템에서 외부 시스템과통신하는 방법 및 장치
WO2021089169A1 (en) Private sub-networks for virtual private networks (vpn) clients
US20040083290A1 (en) Software implemented virtual private network service
WO2014156143A1 (ja) ホームゲートウェイ装置およびパケット転送方法
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2004343420A (ja) ネットワーク端末装置及びその制御方法
JP4827868B2 (ja) ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
Cisco Configuring IP Addressing
Cisco Configuring IP Addressing
Cisco Configuring IP Addressing
JP3575369B2 (ja) アクセスルーティング方法及びアクセス提供システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060117

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060829

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060911

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090929

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100929

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110929

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120929

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130929

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees