JP2005277498A - 通信システム - Google Patents
通信システム Download PDFInfo
- Publication number
- JP2005277498A JP2005277498A JP2004083982A JP2004083982A JP2005277498A JP 2005277498 A JP2005277498 A JP 2005277498A JP 2004083982 A JP2004083982 A JP 2004083982A JP 2004083982 A JP2004083982 A JP 2004083982A JP 2005277498 A JP2005277498 A JP 2005277498A
- Authority
- JP
- Japan
- Prior art keywords
- address
- router
- internet
- packet
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Abstract
【課題】 高品質なルーティング処理を行い運用性の向上を図る。
【解決手段】 IPsecトンネル制御部11は、自装置10とリモートルータR1との間で、ISAKMPデフォルトルートにより、インターネット4上にIPsecトンネルを確立する。ルーティング登録処理部12は、ルーティングテーブルT1に対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータR1のグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録する。パケット転送部13は、ルーティングテーブルT1にもとづき、パケット転送を行う。
【選択図】 図1
【解決手段】 IPsecトンネル制御部11は、自装置10とリモートルータR1との間で、ISAKMPデフォルトルートにより、インターネット4上にIPsecトンネルを確立する。ルーティング登録処理部12は、ルーティングテーブルT1に対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータR1のグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録する。パケット転送部13は、ルーティングテーブルT1にもとづき、パケット転送を行う。
【選択図】 図1
Description
本発明は通信システムに関し、特にルーティング処理をしてパケットの通信を行う通信システムに関する。
情報通信ネットワークは、多種多様な形態が構築されており、伝送容量の増大に伴い、通信品質及びサービス性のさらなる向上が期待されている。このような状況の中で、ネットワーク通信は盗聴や改ざんなど、様々な脅威にさらされており、セキュリティ機能の重要性はますます高まってきている。
各種のセキュリティ機能は、例えば、メール通信の保護にはPGP(Pretty Good Privacy)、WWW通信の保護にはSSL(Secure Sockets Layer)というように、アプリケーション毎に個別にセキュリティ用のプロトコルが用意されて保護されていた。
これに対して、近年、IPsec(IP Security Architecture)と呼ばれるセキュリティ技術が注目されている。IPsecは、IPパケット自体に秘匿性を持たせ、パケット情報を保証しアクセス制御を行うことで、特定のアプリケーションではなく、IPパケット単位でセキュリティを実現するものである。これにより、アプリケーション毎にセキュリティ機能を用意する必要がなく、多様なアプリケーションを保護できるという特徴を持っている。
また、IPsecは、VPN(Virtual Private Network)を実現するための方法としても利用されている。VPNは、拠点間を結んで構築した仮想的なプライベート通信網のことであり、VPNにより、社内で構築したネットワークを使って、公衆回線をあたかも専用線のように利用することができる。
VPNは一般にIP−VPNとインターネットVPNがある。通信事業者が独自に構築した閉域IP網をバックボーンにして構築されたものがIP−VPNであり、インターネット上で実現されるVPNをインターネットVPNと呼んでいる。
インターネットVPNでは、バックボーンにインターネットを使っているので、回線を維持するための費用がIP−VPNと比べて非常に安く、低コストで運用できるという利点を持っている。ただし、インターネットを流れるデータはそのままでは盗聴・改ざん等の恐れがあるため、インターネットVPNでは、安全でないインターネット上で安全な通信を行うために、IPsecを使用して通信内容を暗号化し、機密性の高いデータを通信できるようにしている。
一方、従来の技術としては、LANとインターネットとの間に位置するゲートウェイが、IPsecプロトコルのポートを予約した場合には通常のネットワーク変換を停止して、IPsecプロトコルを使用して、LANとインターネットとの通信を暗号化する技術が提案されている(例えば、特許文献1)。
特開2001−313679号公報(第7頁−第8頁,第1図)
上記で説明したようなインターネットVPNは、低コストでセキュリティを確保して運用できる通信形態として、主に企業ユーザを対象に今後広く実用化されるものと予想される。
一方、インターネットVPNのネットワーク環境上で、さらにイントラネット(ローカルネットワーク)からインターネットへWebアクセスしようとする場合には、インターネットと接続するための専用のゲートウェイサーバ(ファイアウォール機構を有する)を設けて、このゲートウェイサーバを介してインターネットと通信を行うことになる。
したがって、全体のネットワークとしては、離れた箇所のイントラネット間を安価なインターネット接続サービスを利用して、その間をIPsecで暗号化して接続し、さらにイントラネットからインターネットへは、ゲートウェイサーバ経由のみ許可するといった、インターネット接続環境が2ルート存在するネットワークを構築することになる。
インターネット接続サービスとして、固定IPアドレスではなく、接続するたびに変わる不定IPアドレスを使用すると、インターネット経路とイントラネット経路の境界に位置するセンタルータは、一般にデフォルトルート制御を行ってルーティングを行うことになる。しかし、上記のように構築されたネットワーク環境においては、正常なルーティングが可能なデフォルトルートを設定することができないため、送信先IPアドレスが設定できず、ルーティング処理させることができないといった問題があった。
また、この問題を解決するために従来では、ポリシールーティング(ユーザやプロバイダのサービス提供方針をベースにしてルーティングの動作を決定付けて操作するルーティング方法)を用いてルーティング処理を行っていたが、ポリシールーティングを実行するには複雑な設定が必要となるため、ネットワーク管理者にとって負担が大きく、効率も悪いため、利便性及び運用性の高いものとはいえなかった。
また、従来技術(特開2001−313679号公報)においても、上述のようなネットワーク構成については考慮されておらず、問題点に対応することはできない。
本発明はこのような点に鑑みてなされたものであり、インターネット上にIPsecトンネルを確立してイントラネット同士を接続してインターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上で、高品質なルーティング処理を実現した通信システムを提供することを目的とする。
本発明はこのような点に鑑みてなされたものであり、インターネット上にIPsecトンネルを確立してイントラネット同士を接続してインターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上で、高品質なルーティング処理を実現した通信システムを提供することを目的とする。
本発明では上記課題を解決するために、図1に示すような、パケットの通信を行う通信システム1において、インターネット4と接続する第1のルータAと、イントラネット3に接続する第2のルータBと、インターネット4とローカルネットワークの境界に位置し、インターネット4と接続して通信する際には不定IPアドレスが配布されるリモートルータR1と、自装置10とリモートルータR1との間で、第1のルータAへの送信先を示すISAKMPデフォルトルートを用いて、インターネット4上にIPsecトンネルを確立するIPsecトンネル制御部11と、ルーティングテーブルT1に対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータBが静的に登録され、IPsecトンネルの確立時には、リモートルータR1のグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録するルーティング登録処理部12と、ルーティングテーブルにもとづきパケット転送を行うパケット転送部13と、から構成され、第1のルータAと第2のルータBとに接続して、インターネット4とイントラネット3の境界に位置するセンタルータ10と、を有することを特徴とする通信システム1が提供される。
ここで、IPsecトンネル制御部11は、自装置10とリモートルータR1との間で、第1のルータAへの送信先を示すISAKMPデフォルトルートを用いて、インターネット4上にIPsecトンネルを確立する。ルーティング登録処理部12は、ルーティングテーブルT1に対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータBが静的に登録され、IPsecトンネルの確立時には、リモートルータR1のグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録する。パケット転送部13は、ルーティングテーブルT1にもとづきパケット転送を行う。
本発明の通信システムでは、IPsecトンネル制御部は、インターネット上にIPsecトンネルを確立する。ルーティング登録処理部は、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するデフォルトルートとして、イントラネットに接続する第2のルータが静的に登録される。また、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録する。そして、パケット転送部は、ルーティングテーブルにもとづきパケット転送を行う構成とした。これにより、インターネット上にIPsecを利用してイントラネット及びローカルネットワークを接続してインターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上においても、ポリシールーティングのような複雑な設定を必要とせずに、高品質なルーティング処理を実現することができるので、ネットワーク管理の利便性及び運用性の向上を図ることが可能になる。
以下、本発明の実施の形態を図面を参照して説明する。図1は本発明の通信システムの原理図である。本発明の通信システム1は、第1のルータ(以下、ルータA)、第2のルータ(以下、ルータB)、リモートルータR1、センタルータ10を有する。
本発明のシステムが適用されるネットワーク100の環境は、センタルータ10は、インターネット4とイントラネット3の境界に位置してルータA、Bと接続し、ルータAはインターネット4と接続し、ルータBはイントラネット3に接続する。
また、ゲートウェイGWは、イントラネット3とインターネット4に接続する。ゲートウェイGWは、ファイアウォール機構を有し、ネットワーク変換(グローバルIPアドレスとローカルIPアドレスとのアドレス変換)を行う機器である。リモートルータR1は、ローカルネットワーク5と接続して、インターネット4とローカルネットワーク5の境界に位置する(イントラネット3とローカルネットワーク5は、名称は変えているが、どちらも同じ閉域ネットワークであるので、ローカルネットワークをイントラネットとして見てもよい)。リモートルータR1の配下には端末51が設けられている。
このような環境において、センタルータ10とリモートルータR1(なお、リモートルータR1はインターネット4と接続して通信する際には不定IPアドレスが配布される)とは、ISAKMP(Internet Security Association and Key Management Protocol)による通信制御を行ってIPsecトンネルを確立する。
そして、本発明においては、ローカルネットワーク5内の端末51は、IPsecトンネルを通じて構築されたインターネットVPNを利用してイントラネット3と通信することができ、さらにゲートウェイGWを介してインターネット4との通信を行うことができる(ISAKMP、IPsecトンネルの概要は後述)。
センタルータ(本発明のルータ装置)10は、IPsecトンネル制御部11、ルーティング登録処理部12、パケット転送部13から構成される。IPsecトンネル制御部11は、自装置10とリモートルータR1との間で、ルータAへの送信先を示すISAKMPデフォルトルートを用いて、インターネット4上にIPsecトンネルを確立する。
ルーティング登録処理部12は、経路情報の登録がなされるルーティングテーブルT1を有している。ルーティングテーブルT1には、宛先アドレスであるローカルIPアドレスが静的に登録される。また、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとしてルータBが静的に登録される。さらに、IPsecトンネルの確立時には、リモートルータR1のグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレス及び送信先ルートとしてルータAを動的に登録する。
なお、静的(スタティック:static)に登録するとは、経路情報(宛先アドレス)をネットワーク管理者が事前にテーブルに設定するということで、このように登録された経路情報にもとづくルーティングをスタティック・ルーティングと呼ぶ。また、動的(ダイナミック:dynamic)に登録するとは、経路情報を機器が自動的にテーブルに設定するということで、このように登録された経路情報にもとづくルーティングをダイナミック・ルーティングと呼ぶ。
パケット転送部13は、ルーティングテーブルT1に登録されている内容にもとづき、パケット転送を行う。このとき、IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、そのパケットは送信先未定のためパケットを廃棄する。
また、IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致しない場合は、IPデフォルトルートであるルータBへパケットを転送する。
さらに、IPsecトンネルの確立後に、カプセリングを外した後の送信パケットの宛先アドレスが、登録されているアドレスと一致しない場合は、デフォルトルートであるルータBへパケットを転送する。
また、IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、ローカルIPアドレスに対応するグローバルIPアドレス(ルーティング登録処理部12で動的に登録されたもの)でパケットをカプセル化してルータAへ転送する。なお、本発明の通信動作の詳細については図7以降で後述する。
次にIPsec通信の概要も含めて本発明が解決すべき問題点について図2〜図6を用いて詳しく説明する。図2はインターネットVPNの構成を示す図である。ネットワーク110に対し、センタルータ20は、インターネット4と接続するルータAと接続し、イントラネット3と接続するルータBと接続している。リモートルータR1の配下に端末51が接続している。また、リモートルータR1とセンタルータ20は、IPsec通信機能をサポートしているものとする。
ここで、センタルータ20は、ルーティング処理を行うために、宛先アドレスとネクストホップとの対応関係を示すルーティングテーブルを有しており、イントラネット3内のローカルIPアドレス及びリモートルータR1が接続するローカルネットワーク5のローカルIPアドレスは、管理者により事前にこのルーティングテーブルに登録されている。
リモートルータR1とイントラネット3とでVPNの通信を行う場合には、まず、リモートルータR1は不定IPアドレスの取得後に、インターネット4に属するルータr1を介して、インターネット4に接続して、IPsecの暗号化通信を確立し、インターネットVPNを構築することになる。
このとき、リモートルータR1とセンタルータ20間では、SA(Security Association)というセキュアなトンネル(IPsecトンネル)が生成される。SAはトラフィック毎に構築され(SAは片方向の通信について独立して設定されるので、双方向通信を行うには2つのSAが必要になる)、また定期的に更新される(再認証による身元の確認と暗号鍵の更新による安全性向上のため)。
このSAを自動的に生成・管理(鍵管理も含めて)するプロトコルは、IKE(Internet Key Exchange)が標準に決まっており、IKEで使用するパケットフォーマットは、ISAKMPと呼ばれるプロトコルで設定される。
一般にIPsecにおける通信では、リモートアクセスのクライアントからインターネットへ接続をする場合は、IPパケットのヘッダとペイロード全体を暗号化(カプセル化)して、これをペイロードとして蓄積するトンネルモードが使用される。このように、インターネット上で、暗号化されたIPパケットが送受信される安全な通信経路であるIPsecトンネルが確立することで、インターネットを経由しても安全に通信することが可能になる。
ここで、図2におけるネットワーク110上でIPsecトンネル通信が可能になるまでの概略の過程について説明する。まず、センタルータ20は、インターネット4上のグローバルIPアドレスを固定で持っており(あらかじめ設定されている)、リモートルータR1は、センタルータ20に接続する際にその都度与えられるグローバルIPアドレス(不定IPアドレス)を持つ(すなわち、リモートルータR1は、センタルータ20に接続しようとする度に、ISP(インターネットサービスプロバイダ)からグローバルIPアドレスが割り当てられるということ)。例えば、図中のGsは、センタルータ20の固定的なグローバルIPアドレスであり、GaはリモートルータR1の不定IPアドレスである。
なお、アドレスについて定義すると、グローバルIPアドレスとは、ISPから割り振られたインターネット上に1つしか存在しないIPアドレスであり、ローカルIPアドレスとは、プライベートネットワーク内で割り振られて、インターネットの接続には使用できないIPアドレスのことである(要するにインターネット上で使用するアドレスはグローバルIPアドレスであり、イントラネットやローカルネットワーク上で使用するアドレスはローカルIPアドレスである)。また、不定IPアドレスとは、ISPから割り振られて、インターネットに接続する度に変化するグローバルIPアドレスのことである。
センタルータ20は、リモートルータR1の配下のローカルIPアドレス(L1とする)については事前に登録されているが、センタルータ20は、インターネット4上のルーティング情報を持っていない(すなわち、ここではリモートルータR1に割り振られたグローバルIPアドレスが何番かを知らない)。
なお、通常のルータ間では、ルータ間プロトコルにより、自分の配下の装置接続状態を教え合う機能を持っているのだが、ルータA、Bやセンタルータ20にはこのような機能は持たせないようにする。なぜなら、このような機能を持つと他のネットワークが見えてしまい、セキュリティ上問題が生じるおそれがあるからである(特にルータAとセンタルータ20間では、互いにやりとりをして情報交換等をさせないようにする)。
したがって、インターネットとイントラネットの境界付近に位置するルータに対しては、基本的には、すべてのルーティングの宛先は何番かという情報を事前に登録しておくことになる(ただし、IPsecトンネルが確立すれば、センタルータ20はリモートルータR1のグローバルIPアドレスGaを認識できる)。
このため、IPsecトンネルの確立前に、センタルータ20が、IPsecトンネルを生成するためのグローバルIPアドレス宛(インターネット宛)のパケットを受信しても(以下、IPsecトンネルを生成するためのパケットをパケットPtとする)、投げるべきグローバルIPアドレスの宛先を知らないのだが、このような、ルーティングテーブル上に存在しないアドレスを持ったパケットに対しては、デフォルトルートに流すようにする。
ここでは、リモートルータR1とIPsecトンネルの確立制御を行う段階なので、センタルータ20→ルータAをデフォルトルート(ISAKMPデフォルトルート)として、グローバルIPアドレス宛のパケットPtはすべてISAKMPデフォルトルータであるルータAに送信することにする。
ルータAでは、リモートルータR1に割り振られたグローバルIPアドレスは認識しているので、パケットPtを受信すると、ルータr1を介してリモートルータR1へパケットPtを送信する。このようにして、リモートルータR1とセンタルータ20とで相互に通信をすることができ、センタルータ20とリモートルータR1間のIPsecトンネルが確立し、インターネット4上でIPsecの暗号化通信が可能となる。
なお、IKEの鍵交換プロトコルの動作モードにはMainモードとAggressiveモードとがあり、上記で説明したIPsecトンネル確立制御には、リモートルータのIPアドレスが固定、不定いずれでも使用できるAggressiveモードが適用される(Mainモードは、IPアドレスが固定IPアドレスの場合だけに使用できるモードである)。
図3はIPsecトンネルを利用しての通信例を示す図である。なお、イントラネット3のローカルIPアドレスをL5とする。リモートルータR1が、IPsecトンネルを使用して(インターネットVPNを使用して)、イントラネット3と通信する場合には、カプセル化したパケットP1cをセンタルータ20へ送信する。
パケットP1cの概略フォーマットは、ヘッダに宛先アドレスL5と送信元アドレスL1とを含み、ペイロードにIPsecトンネルを張るための情報を含むIPパケットP1に、宛先アドレスGs及び送信元アドレスGaを付加してカプセル化したものである。
センタルータ20は、パケットP1cを受信し、これを展開(デカプセル化)して宛先がL5と知ると、イントラネット3内のローカルIPアドレスの情報はすでに知っているので、展開後のパケットP1をイントラネット3へ向けて送信する。
次に図2で示したネットワーク110の環境において、リモートルータR1からインターネット4へWebアクセスを行う場合について考える。リモートルータR1からインターネット4へWebアクセスを行う場合、リモートルータR1がすでにグローバルIPアドレスを持っているからといって直接、インターネット4へアクセスするわけにはいかない。なぜなら、このような接続は、セキュリティが何ら確保されていないからである。
したがって、リモートルータR1から(リモートルータR1配下の端末51から)インターネット4へのWebアクセスを行う場合には、組織内部のローカルなイントラネットと、その外部に広がるインターネットとの間に、インターネットからイントラネットへの不正アクセスなどを防ぐ防御壁となるファイアウォールを設けて、このファイアウォールを介してインターネットと接続するようなネットワーク構成にしなければならない。
図4はゲートウェイが設置されたIPsecトンネル確立前のネットワーク環境を示す図である。ネットワーク111は、IPsecトンネルがまだ確立していないときの図2のネットワーク110に対してゲートウェイGWを設けた際のネットワーク構成を示している。
図に示すように、インターネットアクセスを可能にするためには、ファイアウォール機構を有するゲートウェイGWを、イントラネット3とインターネット4との間に設置することになる(図中、インターネット4は2つのnetwork cloudで記されているが同一のものである)。なお、図中の点線より上はグローバルIPアドレス(インターネット環境)、点線より下はローカルIPアドレス(イントラネット環境)になる。
このようなネットワーク111においてインターネットアクセスの通信を行うには、やはりIPsecトンネルを確立してからになるが、図2で上述したIPsecトンネルの確立制御では、ネットワーク111に対してIPsecトンネルを張ることができないおそれがある。
その理由について説明する。センタルータ20は、上述したように、インターネット4上のルーティング情報は持っていないため、グローバルIPアドレス宛(インターネット4宛)のパケットは、センタルータ20にとっては、テーブル上に存在しないアドレスを持ったパケットであるので、これらはすべてデフォルトルートへ流すことになるが、ここではインターネットアクセス通信を行うことにしているので、センタルータ20はデフォルトルータをルータBに設定している。
すると、リモートルータR1からIPsecトンネル確立のためのパケットPtをセンタルータ20へ送信しても、センタルータ20はそのパケットPtをルータAでなく、すべてルータBへ送信してしまう。
すなわち、IPsecトンネル確立のためのパケットであろうと、インターネットアクセスのためのパケットであろうと、それらのパケットの宛先はインターネット4へ向けたグローバルIPアドレス宛であるので、センタルータ20はそれらのパケットを受け取ると、現在設定されているデフォルトルータBへすべて送信してしまう。このため、IPsecトンネルを確立できないといった問題が生じる(従来では、ルータは二重化という意味ではデフォルトルートを2つ持つことはあるが、ルーティングテーブルに宛先アドレスが記載されていない送信先ルートを示すという本来の意味のデフォルトルートは1つしか持たない)。
一方、ネットワーク111の環境であっても、仮にAggressiveモードによるIPsecトンネルを確立することができたとする。しかし、この場合も正常なインターネットアクセス通信ができないことになる。以下、その理由について説明する。
図5はゲートウェイが設置されIPsecトンネルも確立しているネットワーク環境を示す図である。ネットワーク111aのような環境では、リモートルータR1配下の端末51からセンタルータ20までは、IPsecトンネルを通過する通信なのでセキュリティは保たれる(IPsecトンネルの通信では、トンネル外部のインターネット4から侵入されることもなければ、トンネル内部からパケットがインターネット4へ出ていってしまうこともない)。
また、センタルータ20からイントラネット3までは、閉域ネットワーク内の通信であるので外部からの侵入はない。そして、イントラネット3からインターネット4へは、ゲートウェイGWを介しての通信となるので、セキュリティは保護されることになる。
ここで、インターネットアクセス時、リモートルータR1からインターネット4へパケットを送信する場合を考える。リモートルータR1は、IPsecトンネルを通じてカプセル化したパケットP2cをセンタルータ20へ送信する。センタルータ20は、パケットP2cを展開して、宛先がWebアドレスと知ると、ルータB側のデフォルトルートへパケットP2を送信する。ルータBはパケットP2をゲートウェイGWへ送信し、パケットP2はゲートウェイGWを介してインターネット4へ出力される。
次にインターネット4からリモートルータR1へ、返信パケットが送られる場合を考える。図6は返信パケットが送信されたときの様子を示す図である。インターネット4から返信されたパケットがゲートウェイGWに到着すると、ゲートウェイGWはアドレス変換を行って返信パケットP3を生成する。返信パケットP3は、ルータBを介してセンタルータ20まで到着できるとする。
センタルータ20はパケットP3を受信してルーティング処理を行うが、このパケットP3はローカルIPアドレスL1宛、すなわちインターネット4へ向けてのグローバルIPアドレス宛のパケットであるから、センタルータ20は、このパケットを、ルータAではなく、現在のデフォルトルートであるルータBへ向けて送信してしまう。
センタルータ20は、リモートルータR1とIPsecトンネルを確立しているので、リモートルータR1のグローバルIPアドレスGaは認識しているのだが、ルーティングテーブル上にはこのグローバルIPアドレスが登録されておらず、最初に静的登録されたテーブルにもとづき、ルーティング処理を行っているので、ローカルIPアドレスL1宛のパケットP3を受信しても、ルータAに送信することはできず、デフォルトルータBへ送信してしまうのである。
このように、リモートルータR1からインターネット4へパケットを送信できても、返信パケットがリモートルータR1まで届かないといった問題が生じることになる。
このように、図4で示したネットワーク111のような環境において、インターネットアクセス通信をしようとしてIPsecトンネルを確立しようとしても、IPsecトンネルを確立できないおそれがあり、仮にトンネルを張れたとしても返信パケットが送信元に届かないといった問題があった。
このように、図4で示したネットワーク111のような環境において、インターネットアクセス通信をしようとしてIPsecトンネルを確立しようとしても、IPsecトンネルを確立できないおそれがあり、仮にトンネルを張れたとしても返信パケットが送信元に届かないといった問題があった。
このため、従来のルーティング処理では、ルーティングテーブルで登録された経路情報にしたがわないで、ユーザが設定したポリシーをベースにして特定のインタフェースにパケットを転送するポリシールーティングと呼ばれる技術を用いてルーティング処理を実行させていた。
しかし、ポリシールーティングは、ルーティング対象範囲をより細かく指定するスタティックルーティング処理であるため、非常に複雑な設定が必要である。このため、ネットワーク管理者にとって負担が大きく、効率も悪いため、利便性及び運用性の高いものとはいえなかった。
本発明では、インターネット上にIPsecを利用してイントラネット同士(イントラネット及びローカルネットワーク)を接続し、インターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上において、従来の複雑なポリシールーティングを行わずに、高品質なルーティング処理を実現した通信システム、ルータ装置及びルーティング方法を提供するものである。
次に本発明の動作について詳しく説明する。図7はルーティングテーブルを示す図である。ルーティング登録処理部12で管理されるルーティングテーブルT1は、宛先IPアドレス、宛先グローバルIPアドレス、送信先ルートの3つの項目から構成される。図では静的登録された後のルーティングテーブルT1aの状態を示している。
宛先アドレスであるローカルIPアドレスを事前に登録しておく。また、登録したローカルIPアドレス以外のアドレス(図では“その他”となっている)はデフォルトルートとしてルータBを事前に登録する。そして、IPsecトンネルの確立後、パケット転送部13では、ルーティングテーブルに登録されている内容にもとづきパケットを転送する。ここで、送信パケットの宛先アドレスがテーブルに記載されているローカルIPアドレスL1〜L4以外のアドレス(ローカルIPアドレス、グローバルIPアドレスいずれでも)の場合には、すなわち送信パケットの宛先アドレスがテーブルに記載されていない場合には、“その他”の欄に該当し、IPデフォルトルートとしてルータBへそのパケットを送信することになる。
次に図1で示したネットワーク100の環境において、IPsecトンネルの確立からルーティングテーブルT1の動的登録までの動作について説明する。図8はIPsecトンネルの確立を説明するための図である。なお、ルーティングテーブルには図7で示した経路情報が登録されているものとする。
〔S1〕リモートルータR1は、インターネット4と接続する際に、ISPからグローバルIPアドレスGaが配布される。
〔S2〕リモートルータR1は、IPsecトンネルを確立するためのパケットを生成し、センタルータ10へ向けて送信する。
〔S2〕リモートルータR1は、IPsecトンネルを確立するためのパケットを生成し、センタルータ10へ向けて送信する。
〔S3〕センタルータ10は、送信されたパケットを受信する。そして、IPsecトンネル制御部11は、IPsecトンネルを確立するためのパケットを生成し、ISAKMPデフォルトルートを用いてルータAへ送信する(IPsecトンネル制御部11は、IPsecトンネルを確立するときには、ルータAがデフォルトルート(ISAKMPデフォルトルート)と認識しており、ルーティングテーブルの検索処理などは行わずに、ISAKMPデフォルトルータAへトンネル生成に必要な情報を含むパケットを送信する)。
〔S4〕ルータAはリモートルータR1のグローバルIPアドレスGaを知っているので、受信したパケットをリモートルータR1へ送信する。ステップS1〜S4の処理によりIPsecトンネルが確立する(なお、IPsecトンネルのプロトコルに沿った細かな確立手順については、本発明の対象範囲ではないので詳細な説明は省略する。詳細についてはIPsec、IKEの標準化が記された、IETF1825、1826、1827、1829やRFC2409等を参照)。
〔S5〕IPsecトンネルの確立時、ルーティング登録処理部12は、リモートルータR1のグローバルIPアドレス及び送信先ルートのルータAを認識して、ルーティングテーブルT1aに対して、ローカルIPアドレスに対応するグローバルIPアドレス及びルータAを動的に登録し、ルーティングテーブルT1bを生成する。
図9はルーティングテーブルを示す図である。ルーティングテーブルT1bは、図7で示したテーブル状態からグローバルIPアドレス及びルータAが動的に登録された状態を示している。ルーティング登録処理部12は、IPsecトンネルの確立時、リモートルータR1のグローバルIPアドレスGaを認識する。すると、ルーティングテーブルT1のローカルIPアドレスL1に対応する宛先グローバルIPアドレスの欄にGa(AAA.AAA.AAA.1とする)と、送信先ルートであるルータAを登録する。
なお、図ではローカルIPアドレスL2に対するIPsecトンネルも確立しているとして、ローカルIPアドレスL2に対応するグローバルIPアドレスBBB.BBB.BBB.1まで登録されている様子を示している。また、IPsecトンネルの消滅時には、ローカルIPアドレスに対応して登録したグローバルIPアドレスの登録削除が行われる。
従来では、センタルータ20のようなインターネット4とイントラネット3の境界に位置するルータ機器に対しては、セキュリティ確保のため、ルーティングテーブルはすべて静的登録していたが、本発明ではIPsecトンネルが確立したときには、認識しているグローバルIPアドレスをルーティング登録処理部12が自動的に登録(動的登録)するようにする(IPsecトンネルが確立している状態なので、このような動的登録を行ってもセキュリティ上問題ないのである)。
次に本発明にもとづくインターネットVPN通信の動作について説明する。図10はインターネットVPN通信の動作を説明するための図である。
〔S11〕リモートルータR1配下の端末51がイントラネット3内の端末とインターネットVPN通信を行うものとする(リモートルータR1とイントラネット3間の通信について示す)。リモートルータR1は、宛先アドレスL5のパケットP3(ヘッダには宛先アドレスのみ示す)をカプセル化してパケットP3cを生成し、IPsecトンネルを介して、センタルータ10へ向けて送信する。
〔S11〕リモートルータR1配下の端末51がイントラネット3内の端末とインターネットVPN通信を行うものとする(リモートルータR1とイントラネット3間の通信について示す)。リモートルータR1は、宛先アドレスL5のパケットP3(ヘッダには宛先アドレスのみ示す)をカプセル化してパケットP3cを生成し、IPsecトンネルを介して、センタルータ10へ向けて送信する。
〔S12〕センタルータ10は、パケットP3cを受信してデカプセル化する。パケットP3は宛先アドレスがローカルIPアドレスL5である。L5はルーティングテーブルT1bには記載されていないので、IPデフォルトルートとしてルータBへ送信する。パケットP3はイントラネット3へ送信され、その後に該当端末で受信される。
〔S13〕イントラネット3から返信パケットP4がセンタルータ10へ送信され、センタルータ10はパケットP4を受信する。
〔S14〕センタルータ10は、返信パケットP4の宛先アドレスは、ローカルIPアドレスL1であるので、ルーティングテーブルT1bにより対応するグローバルIPアドレスがAAA.AAA.AAA.1であり、送信先ルートがルータAと知る。したがって、パケットP4に対して、グローバルIPアドレスAAA.AAA.AAA.1を付したカプセル化処理を行ってパケットP4cを生成し、ルータAへ向けて送信するルーティング処理を実行する。
〔S14〕センタルータ10は、返信パケットP4の宛先アドレスは、ローカルIPアドレスL1であるので、ルーティングテーブルT1bにより対応するグローバルIPアドレスがAAA.AAA.AAA.1であり、送信先ルートがルータAと知る。したがって、パケットP4に対して、グローバルIPアドレスAAA.AAA.AAA.1を付したカプセル化処理を行ってパケットP4cを生成し、ルータAへ向けて送信するルーティング処理を実行する。
〔S15〕ルータAはパケットP4cをリモートルータR1へ送信し、リモートルータR1はパケットP4cをデカプセル化する。
次に本発明にもとづくインターネットアクセス通信の動作について説明する。図11はインターネットアクセス通信の動作を説明するための図である。
次に本発明にもとづくインターネットアクセス通信の動作について説明する。図11はインターネットアクセス通信の動作を説明するための図である。
〔S21〕リモートルータR1配下の端末51がゲートウェイGWを介してインターネット4と通信を行うものとする(リモートルータR1とインターネット4間の通信について示す)。リモートルータR1は、宛先アドレスとしてWebのアドレス(W1とする)のパケットP5(ヘッダには宛先アドレスのみ示す)をカプセル化してパケットP5cを生成し、IPsecトンネルを介して、センタルータ10へ向けて送信する。
〔S22〕センタルータ10は、パケットP5cを受信してデカプセル化する。パケットP5は宛先アドレスがグローバルIPアドレスのW1である。W1はルーティングテーブルT1bには記載されていないので、IPデフォルトルートとしてルータBへ送信する。
〔S23〕パケットP5は、ルータB→イントラネット3→ゲートウェイGW→インターネット4の流れでインターネット4へ送信される。
〔S24〕インターネット4から返信パケットP6がセンタルータ10へ向けて送信され、ゲートウェイGW→イントラネット3→ルータB→センタルータ10の流れでセンタルータ10はパケットP6を受信する。
〔S24〕インターネット4から返信パケットP6がセンタルータ10へ向けて送信され、ゲートウェイGW→イントラネット3→ルータB→センタルータ10の流れでセンタルータ10はパケットP6を受信する。
〔S25〕センタルータ10は、返信パケットP6の宛先アドレスは、ローカルIPアドレスL1であるので、ルーティングテーブルT1bにより対応するグローバルIPアドレスがAAA.AAA.AAA.1であり、送信先ルートがルータAと知る。したがって、パケットP6に対して、グローバルIPアドレスAAA.AAA.AAA.1を付したカプセル化処理を行ってパケットP6cを生成し、ルータAへ向けて送信するルーティング処理を実行する。
〔S26〕ルータAはパケットP6cをリモートルータR1へ送信し、リモートルータR1はパケットP6cをデカプセル化し、端末51へ送信する。
以上説明したように、本発明によれば、センタルータと不定IPアドレスが配布されるリモートルータ間でIPsecトンネルを確立したとき、通常のIPデフォルトルート以外に動的にISAKMPデフォルトルートを登録することで、リモートルータ配下のローカルネットワーク−インターネット−イントラネット−ゲートウェイ経由−インターネット接続が可能となり、複雑なシステムを構築することができ、このようなネットワーク上で高品質なルーティング処理を行うことが可能になる。
以上説明したように、本発明によれば、センタルータと不定IPアドレスが配布されるリモートルータ間でIPsecトンネルを確立したとき、通常のIPデフォルトルート以外に動的にISAKMPデフォルトルートを登録することで、リモートルータ配下のローカルネットワーク−インターネット−イントラネット−ゲートウェイ経由−インターネット接続が可能となり、複雑なシステムを構築することができ、このようなネットワーク上で高品質なルーティング処理を行うことが可能になる。
(付記1) パケットの通信を行う通信システムにおいて、
インターネットと接続する第1のルータと、
イントラネットに接続する第2のルータと、
インターネットとローカルネットワークの境界に位置し、インターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータと、
自装置とリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、ルーティングテーブルに対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録するルーティング登録処理部と、ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、から構成され、第1のルータと第2のルータとに接続して、インターネットとイントラネットの境界に位置するセンタルータと、
を有することを特徴とする通信システム。
インターネットと接続する第1のルータと、
イントラネットに接続する第2のルータと、
インターネットとローカルネットワークの境界に位置し、インターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータと、
自装置とリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、ルーティングテーブルに対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録するルーティング登録処理部と、ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、から構成され、第1のルータと第2のルータとに接続して、インターネットとイントラネットの境界に位置するセンタルータと、
を有することを特徴とする通信システム。
(付記2) イントラネットとインターネットの境界にファイアウォール機構を有するゲートウェイが配置して、インターネット上にIPsecトンネルを確立してイントラネット及びローカルネットワークを接続し、インターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上に構築されてパケット通信を実行することを特徴とする付記1記載の通信システム。
(付記3) 前記パケット転送部は、IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、パケットを廃棄し、IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、ローカルIPアドレスに対応するグローバルIPアドレスでパケットをカプセル化して第1のルータへ転送することを特徴とする付記2記載の通信システム。
(付記4) インターネットVPNの通信環境で、リモートルータ配下の端末からインターネットと通信する場合、前記パケット転送部は、端末からインターネットへ向けて送信すべきパケットを受信した際は、ルーティングテーブルにもとづき、IPデフォルトルートである第2のルータへパケットを転送し、インターネットから端末へ向けて返信されたパケットを受信した際は、ルーティングテーブルにもとづき、返信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致するか否かを判断し、一致した場合には、ローカルIPアドレスに対応するグローバルIPアドレスでパケットをカプセル化して第1のルータへ転送することを特徴とする付記3記載の通信システム。
(付記5) 前記ルーティング登録処理部は、IPsecトンネルの消滅時には、ローカルIPアドレスに対応して登録したグローバルIPアドレスの登録削除を行うことを特徴とする付記1記載の通信システム。
(付記6) インターネットとイントラネットの境界に位置して、インターネットと接続する第1のルータ及びイントラネットに接続する第2のルータに接続して、パケットのルーティングを行うルータ装置において、
自装置と、インターネットとローカルネットワークの境界に位置してインターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、
ルーティングテーブルに対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録するルーティング登録処理部と、
ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、
を有することを特徴とするルータ装置。
自装置と、インターネットとローカルネットワークの境界に位置してインターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、
ルーティングテーブルに対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録するルーティング登録処理部と、
ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、
を有することを特徴とするルータ装置。
(付記7) イントラネットとインターネットの境界にファイアウォール機構を有するゲートウェイが配置して、インターネット上にIPsecトンネルを確立してイントラネット及びローカルネットワークを接続し、インターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上に設けられてパケットルーティングを実行することを特徴とする付記6記載のルータ装置。
(付記8) 前記パケット転送部は、IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、パケットを廃棄し、IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、ローカルIPアドレスに対応するグローバルIPアドレスでパケットをカプセル化して第1のルータへ転送することを特徴とする付記7記載のルータ装置。
(付記9) インターネットVPNの通信環境で、リモートルータ配下の端末からインターネットと通信する場合、前記パケット転送部は、端末からインターネットへ向けて送信すべきパケットを受信した際は、ルーティングテーブルにもとづき、IPデフォルトルートである第2のルータへパケットを転送し、インターネットから端末へ向けて返信されたパケットを受信した際は、ルーティングテーブルにもとづき、返信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致するか否かを判断し、一致した場合には、ローカルIPアドレスに対応するグローバルIPアドレスでパケットをカプセル化して第1のルータへ転送することを特徴とする付記8記載のルータ装置。
(付記10) 前記ルーティング登録処理部は、IPsecトンネルの消滅時には、ローカルIPアドレスに対応して登録したグローバルIPアドレスの登録削除を行うことを特徴とする付記6記載のルータ装置。
(付記11) パケットルーティングを行うルータ装置において、
自装置と、インターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、
ルーティングテーブルに対して、静的登録と動的登録の2つの機能を有し、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録し、IPsecトンネルの消滅時には、ローカルIPアドレスに対応して登録したグローバルIPアドレスの登録削除を行うルーティング登録処理部と、
ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、
を有することを特徴とするルータ装置。
自装置と、インターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、
ルーティングテーブルに対して、静的登録と動的登録の2つの機能を有し、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録し、IPsecトンネルの消滅時には、ローカルIPアドレスに対応して登録したグローバルIPアドレスの登録削除を行うルーティング登録処理部と、
ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、
を有することを特徴とするルータ装置。
(付記12) インターネットとイントラネットの境界に位置して、インターネットと接続する第1のルータ及びイントラネットに接続する第2のルータに接続してパケットのルーティングを行うルータ装置におけるルーティング方法において、
イントラネットとインターネットの境界にファイアウォール機構を有するゲートウェイが配置して、インターネット上にIPsecトンネルを確立してイントラネット及びローカルネットワークを接続し、インターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上に前記ルータ装置を設け、
前記ルータ装置と、インターネットとローカルネットワークの境界に位置してインターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立し、
宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録し、
IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、パケットを廃棄し、
IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、
IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、
IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、ローカルIPアドレスに対応するグローバルIPアドレスでパケットをカプセル化して第1のルータへ転送することを特徴とするルーティング方法。
イントラネットとインターネットの境界にファイアウォール機構を有するゲートウェイが配置して、インターネット上にIPsecトンネルを確立してイントラネット及びローカルネットワークを接続し、インターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上に前記ルータ装置を設け、
前記ルータ装置と、インターネットとローカルネットワークの境界に位置してインターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立し、
宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録し、
IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、パケットを廃棄し、
IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、
IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、
IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、ローカルIPアドレスに対応するグローバルIPアドレスでパケットをカプセル化して第1のルータへ転送することを特徴とするルーティング方法。
(付記13) インターネットVPNの通信環境で、リモートルータ配下の端末からインターネットと通信する場合、端末からインターネットへ向けて送信すべきパケットを受信した際は、ルーティングテーブルにもとづき、IPデフォルトルートである第2のルータへパケットを転送し、インターネットから端末へ向けて返信されたパケットを受信した際は、ルーティングテーブルにもとづき、返信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致するか否かを判断し、一致した場合には、ローカルIPアドレスに対応するグローバルIPアドレスでパケットをカプセル化して第1のルータへ転送することを特徴とする付記12記載のルーティング方法。
1 通信システム
10 センタルータ
11 IPsecトンネル制御部
12 ルーティング登録処理部
13 パケット転送部
3 イントラネット
4 インターネット
5 ローカルネットワーク
51 端末
A、B ルータ
GW ゲートウェイ
R1 リモートルータ
T1 ルーティングテーブル
10 センタルータ
11 IPsecトンネル制御部
12 ルーティング登録処理部
13 パケット転送部
3 イントラネット
4 インターネット
5 ローカルネットワーク
51 端末
A、B ルータ
GW ゲートウェイ
R1 リモートルータ
T1 ルーティングテーブル
Claims (5)
- パケットの通信を行う通信システムにおいて、
インターネットと接続する第1のルータと、
イントラネットに接続する第2のルータと、
インターネットとローカルネットワークの境界に位置し、インターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータと、
自装置とリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、ルーティングテーブルに対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録するルーティング登録処理部と、ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、から構成され、第1のルータと第2のルータとに接続して、インターネットとイントラネットの境界に位置するセンタルータと、
を有することを特徴とする通信システム。 - イントラネットとインターネットの境界にファイアウォール機構を有するゲートウェイが配置して、インターネット上にIPsecトンネルを確立してイントラネット及びローカルネットワークを接続し、インターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上に構築されてパケット通信を実行することを特徴とする請求項1記載の通信システム。
- インターネットとイントラネットの境界に位置して、インターネットと接続する第1のルータ及びイントラネットに接続する第2のルータに接続して、パケットのルーティングを行うルータ装置において、
自装置と、インターネットとローカルネットワークの境界に位置してインターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、
ルーティングテーブルに対して、宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録するルーティング登録処理部と、
ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、
を有することを特徴とするルータ装置。 - パケットルーティングを行うルータ装置において、
自装置と、インターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、インターネット上にIPsecトンネルを確立するIPsecトンネル制御部と、
ルーティングテーブルに対して、静的登録と動的登録の2つの機能を有し、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録し、IPsecトンネルの消滅時には、ローカルIPアドレスに対応して登録したグローバルIPアドレスの登録削除を行うルーティング登録処理部と、
ルーティングテーブルにもとづきパケット転送を行うパケット転送部と、
を有することを特徴とするルータ装置。 - インターネットとイントラネットの境界に位置して、インターネットと接続する第1のルータ及びイントラネットに接続する第2のルータに接続してパケットのルーティングを行うルータ装置におけるルーティング方法において、
イントラネットとインターネットの境界にファイアウォール機構を有するゲートウェイが配置して、インターネット上にIPsecトンネルを確立してイントラネット及びローカルネットワークを接続し、インターネットとの通信はゲートウェイサーバ経由のみ許可されるネットワーク環境上に前記ルータ装置を設け、
前記ルータ装置と、インターネットとローカルネットワークの境界に位置してインターネットと接続して通信する際には不定IPアドレスが配布されるリモートルータとの間で、第1のルータへの送信先を示すISAKMPデフォルトルートを用いて、インターネット上にIPsecトンネルを確立し、
宛先アドレスであるローカルIPアドレスが静的に登録され、登録したローカルIPアドレス以外のアドレスに対するIPデフォルトルートとして第2のルータが静的に登録され、IPsecトンネルの確立時には、リモートルータのグローバルIPアドレスを認識して、ローカルIPアドレスに対応するグローバルIPアドレスを動的に登録し、
IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、パケットを廃棄し、
IPsecトンネルの確立前に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、
IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているアドレスと一致しない場合は、IPデフォルトルートである第2のルータへパケットを転送し、
IPsecトンネルの確立後に、送信パケットの宛先アドレスが、登録されているローカルIPアドレスと一致する場合は、ローカルIPアドレスに対応するグローバルIPアドレスでパケットをカプセル化して第1のルータへ転送することを特徴とするルーティング方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004083982A JP2005277498A (ja) | 2004-03-23 | 2004-03-23 | 通信システム |
US10/965,094 US20050213574A1 (en) | 2004-03-23 | 2004-10-14 | Communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004083982A JP2005277498A (ja) | 2004-03-23 | 2004-03-23 | 通信システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005277498A true JP2005277498A (ja) | 2005-10-06 |
Family
ID=34989735
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004083982A Pending JP2005277498A (ja) | 2004-03-23 | 2004-03-23 | 通信システム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20050213574A1 (ja) |
JP (1) | JP2005277498A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011501624A (ja) * | 2007-10-24 | 2011-01-06 | ドイチユ,ジヨナサン・ピーター | 仮想ipアドレスを介してアクセス可能なアドレスを持たないネットワークデバイスにアクセスするための種々の方法および装置 |
JP2015012594A (ja) * | 2013-07-02 | 2015-01-19 | 日本電信電話株式会社 | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1672849B1 (fr) * | 2004-12-16 | 2011-10-19 | France Telecom | Procédé d'exploitation d'un réseau informatique local relié à un réseau distant privé par un tunnel IPsec |
JP4561983B2 (ja) * | 2005-01-13 | 2010-10-13 | 日本電気株式会社 | ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム |
US7724732B2 (en) * | 2005-03-04 | 2010-05-25 | Cisco Technology, Inc. | Secure multipoint internet protocol virtual private networks |
US20070053347A1 (en) * | 2005-09-08 | 2007-03-08 | Osamu Sasaki | Communication method, communication apparatus and communication system and processing method and processing apparatus |
FI20050919A0 (fi) * | 2005-09-15 | 2005-09-15 | Nokia Corp | Monikotiselta isäntäkoneelta tulevien datapakettien reititys |
CN100454921C (zh) * | 2006-03-29 | 2009-01-21 | 华为技术有限公司 | 一种数字版权保护方法及系统 |
US8046820B2 (en) * | 2006-09-29 | 2011-10-25 | Certes Networks, Inc. | Transporting keys between security protocols |
US9088638B1 (en) | 2009-09-03 | 2015-07-21 | Apriva, Llc | System and method for facilitating secure voice communication over a network |
US8437321B1 (en) | 2009-09-03 | 2013-05-07 | Apriva, Llc | Method and system for communicating fixed IP address based voice data in a dynamic IP address based network environment |
US8638716B1 (en) | 2009-09-03 | 2014-01-28 | Apriva, Llc | System and method for facilitating secure voice communication over a network |
US8437322B1 (en) | 2009-09-03 | 2013-05-07 | Apriva, Llc | Method and system for communicating fixed IP address based voice data in a dynamic IP address based network environment |
JP2012080489A (ja) * | 2010-10-06 | 2012-04-19 | Buffalo Inc | 可搬型ルータ装置 |
CN103380581B (zh) * | 2011-06-03 | 2017-12-05 | Sk电信有限公司 | 收发装置和收发装置的操作方法 |
US11258694B2 (en) * | 2017-01-04 | 2022-02-22 | Cisco Technology, Inc. | Providing dynamic routing updates in field area network deployment using Internet Key Exchange v2 |
US11012418B2 (en) * | 2018-02-15 | 2021-05-18 | Forcepoint Llc | Multi-access interface for internet protocol security |
CN110581804B (zh) | 2019-08-09 | 2021-05-11 | 睿魔智能科技(深圳)有限公司 | 异构链路数据转译和分发方法、系统、设备和存储介质 |
CN113904868A (zh) * | 2021-11-02 | 2022-01-07 | 北京长焜科技有限公司 | 一种基于IPsec的远程网管的管理方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19845331A1 (de) * | 1998-10-01 | 2000-04-06 | Siemens Ag | Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem Kommunikations- oder Datennetz oder einem Netz aus Kommunikations- und Datennetz |
US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
US6980526B2 (en) * | 2000-03-24 | 2005-12-27 | Margalla Communications, Inc. | Multiple subscriber videoconferencing system |
JP3797937B2 (ja) * | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
-
2004
- 2004-03-23 JP JP2004083982A patent/JP2005277498A/ja active Pending
- 2004-10-14 US US10/965,094 patent/US20050213574A1/en not_active Abandoned
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011501624A (ja) * | 2007-10-24 | 2011-01-06 | ドイチユ,ジヨナサン・ピーター | 仮想ipアドレスを介してアクセス可能なアドレスを持たないネットワークデバイスにアクセスするための種々の方法および装置 |
US8825816B2 (en) | 2007-10-24 | 2014-09-02 | Lantronix, Inc. | Various methods and apparatuses for a central management station for automatic distribution of configuration information to remote devices |
JP2015012594A (ja) * | 2013-07-02 | 2015-01-19 | 日本電信電話株式会社 | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20050213574A1 (en) | 2005-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7231664B2 (en) | System and method for transmitting and receiving secure data in a virtual private group | |
US7447901B1 (en) | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network | |
US7660324B2 (en) | Virtual network construction method, system, and relaying apparatus | |
US7647492B2 (en) | Architecture for routing and IPSec integration | |
US7373660B1 (en) | Methods and apparatus to distribute policy information | |
JP2005277498A (ja) | 通信システム | |
US8179890B2 (en) | Mobile IP over VPN communication protocol | |
US7571463B1 (en) | Method an apparatus for providing a scalable and secure network without point to point associations | |
ES2287697T3 (es) | Metodo de direccionamiento y aparato para establecer conexiones de protocolo de identidad de anfitrion (hip) entre legados y nodos hip. | |
Montenegro et al. | Sun's SKIP firewall traversal for mobile IP | |
EP1304830A2 (en) | Virtual private network management | |
US20040266420A1 (en) | System and method for secure mobile connectivity | |
EP2827551B1 (en) | Communication method, communication apparatus and communication program | |
KR20140122335A (ko) | 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치 | |
WO2020215657A1 (zh) | 基于二维路由协议实现l3vpn的方法及系统 | |
Cisco | Policy Management | |
CN112787940A (zh) | 一种多级vpn加密传输方法、系统、设备及存储介质 | |
Cisco | Policy Management | |
Cisco | Policy Management | |
Zhang et al. | Application research of MPLS VPN all-in-one campus card network based on IPSec | |
US20130133063A1 (en) | Tunneling-based method of bypassing internet access denial | |
JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
Zhang | The solution and management of VPN based IPSec technology | |
Katuwal | Deploying and Testing IKEv2, Flex VPN and GET VPN | |
Rao et al. | Connect Users to Private Networks Securely over Public Networks using Virtual Private Networks. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070208 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090113 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090519 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091006 |