JP2006128803A - ネットワーク中継装置及びネットワークシステム - Google Patents

ネットワーク中継装置及びネットワークシステム Download PDF

Info

Publication number
JP2006128803A
JP2006128803A JP2004311137A JP2004311137A JP2006128803A JP 2006128803 A JP2006128803 A JP 2006128803A JP 2004311137 A JP2004311137 A JP 2004311137A JP 2004311137 A JP2004311137 A JP 2004311137A JP 2006128803 A JP2006128803 A JP 2006128803A
Authority
JP
Japan
Prior art keywords
address
network
packet
vlan
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004311137A
Other languages
English (en)
Inventor
Hideki Yoshii
英樹 吉井
Makoto Murakami
誠 村上
Shinya Tanaka
伸哉 田中
Takeshi Hashimoto
健 橋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2004311137A priority Critical patent/JP2006128803A/ja
Publication of JP2006128803A publication Critical patent/JP2006128803A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】入力されたL3パケットのL3アドレスに応じて、若しくは当該L3アドレスを割り当てられたユーザに応じて、或いは当該ユーザが属するグループに応じて、送信先のVLANを決定可能とする。
【解決手段】本発明の一態様は、入力されたレイヤ3パケットの送信元のレイヤ3アドレス、当該レイヤ3アドレスを割り当てられたユーザ、当該ユーザが属するグループのいずれかに基づいて、上記レイヤ3パケットの送信元アドレスを変換すると共に接続先のバーチャルローカルエリアネットワークを特定する識別子を付与し、変換後のパケットを転送するよう制御する制御手段を有することを特徴とするネットワーク中継装置である。
【選択図】 図1

Description

本発明は、ネットワーク中継装置及びネットワークシステムに関する。
従来、社内ネットワークについては、バーチャルローカルエリアネットワーク(VLAN; Virtual Local Area Network)の利用が急速に広まっている。
また、広域LANサービスや所謂Managed VLANサービス等はVLANをより便利でセキュアに利用できる環境を構築しつつある。
ここで、Managed VLANサービスとは、ユーザ認証やユーザ端末認証、及びユーザ端末のセキュリティ対策状況に応じて、ユーザ端末のネットワークアクセスをレイヤ2(以下、L2と称する)レベルで制御するシステムをいうものとする。
さらに、今日ではリモートアクセスユーザに対してもVLANを切り分ける仕組みが標榜されている。このリモートアクセスの際に経由する一般的な接続用ルータは、IPSecやL2TP、PPPといったトンネリングプロトコルをサポートしている。
また、レイヤ3のアドレス変換については、プライベートアドレスとグローバスアドレスを変換することでプライベートアドレスを持つ端末とグローバルアドレスを持つ端末との通信を実現するNAT(Network Address Translation)機能が一般に用いられる。このNATについては、例えば特許文献1では、NAT装置を介して第2のネットワークに接続されている第1の情報処理装置が、第2の情報処理装置の第1のネットワークのアドレスを直接管理することなく、第2の情報処理装置がいずれのネットワークに接続されている場合においても、直接通信することを可能としたシステムが開示されている。
特開2004−173240号公報
しかしながら、現在利用されているVLANの多くは所謂Port-Based VLANと呼ばれているものであり、これではリモートアクセスユーザに対しては適用できない。
VLANに関しては、入力されるイーサネット(登録商標)フレームの送信元MACアドレスに基づいてVLAN IDを割り当てるといった機能を持つインテリジェントなスイッチも開発されている。しかし、IPSec等を用いたリモートアクセスにおいては、IPパケットが複数のルータをホップしてくるため、入力されるイーサネット(登録商標)フレームの送信元MACアドレスに、リモートアクセスユーザの端末のMACアドレスは入らないため、このスイッチを利用することはできない。
また、VLAN内で通信可能とするためには、リモートアクセスユーザのレイヤ3アドレスのネットワークアドレス部を、そのVLANのネットワークアドレスと同じにし、かつVLAN内に既に割り当てられているホスト部アドレス以外のものにしなければならない。そのため、リモートアクセスユーザにVLANを割り当てるためには、リモートアクセスユーザに割り当てられたレイヤ3アドレスと割り当てたVLAN中のレイヤ3アドレスの整合性を図る必要がある。すなわちNATのような機能が必要となるが、特許文献1に開示されているようなNAT装置は、単にIPアドレスの変換を行うのみであり、リモートアクセスの際にユーザ毎、ユーザ端末毎、ユーザが属するグループ毎、或いはリモートアクセスに用いているユーザ端末のセキュリティ対策状況に対応するVLANに接続する、すなわちVLAN IDを割り当てるようなことはできない。
さらに、リモートアクセスを終端するルータと、NAT、及び上記インテリジェントなスイッチを組み合わせたとしても、リモートアクセスの際にユーザ毎、ユーザ端末毎、ユーザが属するグループ毎、或いはリモートアクセスに用いているユーザ端末のセキュリティ対策状況に対応するVLANに接続する、すなわちVLAN IDを割り当てるようなことはできない。
本発明の目的とするところは、入力されたレイヤ3(以下、L3と称する)パケットのL3アドレス、当該L3アドレスを割り当てられたユーザ、当該ユーザが属するグループ、当該ユーザの使用している端末のセキュリティ対策状況のいずれかの情報に応じて、送信先のVLANを決定可能とすることにある。この発明は、リモートアクセスのみならず、データセンターのサーバ群をセキュアに管理するといった利用方法にもなんら機能変更を加えることなく利用できる。
上記目的を達成するために、本発明の第1の態様では、入力されたレイヤ3パケットの送信元のレイヤ3アドレス、当該レイヤ3アドレスを割り当てられたユーザ、当該ユーザが属するグループのいずれか、及び接続先のバーチャルローカルエリアネットワークに基づいて、上記レイヤ3パケットの送信元アドレスを変換すると共に接続先のバーチャルローカルエリアネットワークを特定する識別子を付与し、変換後のパケットを転送するよう制御する制御手段を有することを特徴とするネットワーク中継装置が提供される。
本発明の第2の態様では、接続先のバーチャルローカルエリアネットワークは、レイヤ3パケットの送信元のセキュリティ対策状況に応じて決定することを更に特徴とするネットワーク中継装置が提供される。
本発明の第3の態様では、上記送信元のレイヤ3アドレスと、変換後の送信元のアドレス及び接続先のバーチャルローカルエリアネットワークを特定する識別子とを対応付けて記憶する記憶手段を更に有し、上記制御手段は、上記記憶手段に上記送信元のレイヤ3アドレスに対応する変換後の送信元アドレス及び識別子が複数記憶されている場合には、上記レイヤ3パケットの宛先アドレスに基づいて変換後の送信元アドレス及び識別子を特定することを更に特徴とするネットワーク中継装置が提供される。
本発明の第4の態様では、第1のネットワークから送信されたレイヤ3パケットを第2のネットワークを構成する複数のバーチャルエリアネットワークのうちの少なくともいずれかに転送するネットワーク中継装置を備えたシステムであって、上記ネットワーク中継装置は、上記送信元のレイヤ3アドレスと、変換後の宛先アドレス及び接続先のバーチャルローカルエリアネットワークを特定する識別子を対応付けて記憶する記憶手段と、上記記憶手段を参照して、上記第1のネットワークを介して送信されたレイヤ3パケットの送信元のレイヤ3アドレス、当該レイヤ3アドレスを割り当てられたユーザ、当該ユーザが属するグループのいずれかに基づいて、上記レイヤ3パケットの送信元アドレスを変換すると共に接続先のバーチャルローカルエリアネットワークを特定する識別子を付与し、変換後のパケットを転送するよう制御する制御手段と、を有し、上記制御手段は、上記記憶手段に上記送信元のレイヤ3アドレスに対応する変換後の送信元アドレス及び識別子が複数記憶されている場合には、上記レイヤ3パケットの宛先アドレスに基づいて変換後の送信元アドレス及び識別子を特定することを特徴とするネットワーク中継システムが提供される。
本発明の第5の態様では、上記第4の態様において、上記第1のネットワークは複数のバーチャルエリアネットワークで構築されていることを更に特徴とするネットワーク中継システムが提供される。
本発明の第6の態様では、上記第4の態様において、上記第1のネットワークは、トンネリング技術を用いてアクセスされるネットワークで構築されていることを更に特徴とするネットワーク中継システムが提供される。
本発明の第7の態様では、上記第4の態様において、端末のセキュリティポリシーを管理し、端末からのセキュリティ対策状況データに基づいて、結果を返す機能を持つポリシー管理サーバ、第1のネットワークからアクセスする端末のセキュリティ対策状況を検査し、その検査結果に応じてアクセス可能な第2のネットワーク中のバーチャルローカルエリアネットワークを割り当てる制御手段と、をさらに有し、第1のネットワークからアクセスする端末のセキュリティ対策状況に応じて、その端末のアクセス可能なバーチャルローカルエリアネットワークを決定することを更に特徴とするネットワーク中継システムが提供される。
本発明の第8の態様では、上記第4の態様において、第2のネットワーク中にネットワーク監視装置、ネットワークのセキュリティポリシーを管理し、ネットワーク監視装置のデータに基づいて、メッセージを発する機能を持つポリシー管理サーバ、ポリシー管理サーバの発するメッセージに基づいて第1のネットワークからアクセスする端末の接続先バーチャルネットワークを変更、及びアクセス拒否といった制御を可能とする手段と、をさらに有し、第1のネットワークからアクセスする端末が、第2のネットワークにおいて、ネットワークのセキュリティポリシーに反する振る舞いを行った場合、それを検知し、その端末のアクセスを規制することを更に特徴とするネットワーク中継システムが提供される。
本発明によれば、入力されたL3パケットのL3アドレス、当該L3アドレスを割り当てられたユーザ、或いは当該ユーザが属するグループのいずれかの情報に応じて、送信先のVLANを決定可能とするネットワーク中継装置及びネットワークシステムを提供することができる。
以下、図面を参照して、本発明の実施の形態について説明する。
図1には、本発明の一実施の形態に係るネットワーク中継装置としてのVLAN NAT装置及びその周辺機器との接続関係を示し説明する。
図1に示されるように、ユーザ端末1a(IPアドレス164.32.23.4),1b(IPアドレス164.32.23.5)…(以下、ユーザ端末を総称するときは符号1を用いる)は、VLAN NAT装置2(外側IPアドレス164.32.23.1(ユーザ端末1にとってのDefault GW))を介してVLAN1(IPアドレス192.168.3.0),VLAN2(IPアドレス192.168.4.0),…,VLANn(IPアドレス10.0.1.0)(nは整数)のいずれかに接続される。
ここで、一般にNATとは、例えば社内のみで通用するプライベートIPアドレスをグローバルIPアドレスに変換する機能をいうが、この実施の形態に係るネットワーク中継装置としてのVLAN NAT装置2は、ユーザ端末1から入力されたL3パケットから、送信元のL3アドレスに応じて、若しくは当該L3アドレスを割り当てられたユーザに応じて、或いは当該ユーザが属するグループに応じて、出力すべきL2フレームのVLAN ID及び出力すべきL3パケットの送信元のL3アドレスを決定して変換する仕組み、及びその逆の仕組みを用いるものである。また、VLAN NAT装置2では、必要に応じて宛先L3アドレスをVLAN ID及び送信元L3アドレスの決定に利用する。
そして、VLAN NAT装置2は、以上の機能を図2に示されるようなテーブルにより実現する。即ち、このテーブルでは、ユーザ端末1(送信元)のIPアドレスと接続すべきVLAN1,2,…,nのIPアドレス及びVLAN IDが対応付けられて記憶されている。この例ではVLAN IDをIPアドレスに続けて括弧書きで(1),(2),(n)の如く示している。
例えば、図2に示されるように、ユーザ端末1a(IPアドレス164.32.23.4)からのL3パケットは、VLAN2(IPアドレス192.168.4.4)へと送られるようにVLAN NAT装置2により送信元のL3アドレスが変換されVLAN ID(2)が付される。この実施の形態に係るVLAN NAT装置2では、宛先に応じてIPアドレスを変更することもできるので、図2に示されるように、同じ送信元からのL3パケットに対しても、宛先により送信元のIPアドレスを異なるIPアドレスに変換し、異なるVLAN IDを付することもできる。
以下、図3乃至図6の概念図を参照して、VLAN NAT装置2によるL3アドレスの変換処理(IPアドレスの変遷)について更に詳細に説明する。
先ず、送信元と宛先が1対1に対応する場合を例に挙げて説明する。
図3の例は、VLAN NAT装置2が、ユーザ端末1から送信されたL3パケットのヘッダ部の宛先のIPアドレスを参照することなく送信元のL3アドレスを変換し、接続先のVLANを示すVLAN IDを付与する場合を示している。即ち、宛先IPアドレスが192.168.4.x(xはVLAN2のサブネットのいずれかである)、送信元のIPアドレスが164.32.23.4であるL3パケットがVLAN NAT装置2に入力されると、当該VLAN NAT装置2は当該L3パケットの送信元のIPアドレスに対応するIPアドレス及びVLAN IDを図2のテーブルより読み出し、送信元のIPアドレスを変換しVLAN IDを付与する。これにより、送信元のIPアドレス164.32.23.4は192.168.4.4に変換され、VLAN2を示すVLAN ID(2)が付与される。これとは逆に、VLAN2を介して宛先のIPアドレスが192.168.4.4であり送信元のIPアドレスが192.168.4.xであるL3パケットがVLAN NAT装置2に入力されると、当該VLAN NAT装置2は、図2を参照して、宛先のIPアドレス192.168.4.4を164.32.23.4に変換して当該IPアドレス164.32.23.4のユーザ端末1aにL3パケットを送信する。
一方、図4の例は、VLAN NAT装置2が、宛先が別セグメント(100.0.0.x)であることから当該宛先アドレスを参照してユーザ端末1から送信されたL3パケットを変換し、接続先のVLANを示すVLAN IDを付与する場合を示している。即ち、宛先のIPアドレスが100.0.0.x(別セグメント)、送信元のIPアドレスが164.32.23.4であるL3パケットがVLAN NAT装置2に入力されると、当該VLAN NAT装置2は当該L3パケットの宛先アドレスを参照して別セグメントであることを検出し、送信元のIPアドレスに対応するIPアドレス及びVLAN IDを図2のテーブルより読み出し、送信元のIPアドレスを変換しVLAN IDを付与する。この例では、送信元のIPアドレス164.32.23.4はIPアドレス192.168.4.4に変換され、VLAN2を示すVLAN ID (2)が付与される。これとは逆に、別セグメントよりVLAN2を介して宛先のIPアドレスが192.168.4.4であり送信元のIPアドレスが100.0.0.xであるL3パケットがVLAN NAT装置2に入力されると、当該VLAN NAT装置2は、図2を参照して、宛先のIPアドレス192.168.4.4を164.32.23.4に変換して当該IPアドレス164.32.23.4のユーザ端末1aに送信する。
次に、送信元が複数の宛先(複数のVLAN、ネットワーク等)に対応する場合、つまりユーザ端末1が複数のVLAN等に接続され得る場合を例に挙げて説明する。
図5の上段の例では、VLAN NAT装置2が、ユーザ端末1から送信されたL3パケットの宛先アドレスを参照し、当該宛先のIPアドレスが100.0.1.xであることからVLANnに接続すべき旨を検出し、図2のテーブルを参照して、送信元のIPアドレスを10.0.1.5に変換し、接続先のVLANを示すVLAN ID (n)を付与する。これとは逆に、VLANnを介して宛先のIPアドレスが10.0.1.5であり送信元のIPアドレスが10.0.0.xであるL3パケットがVLAN NAT装置2に入力されると、当該VLAN NAT装置2は、図2のテーブルを参照し、当該L3パケットの宛先のIPアドレス10.0.1.5を164.32.23.5に変換して当該IPアドレス164.32.23.5のユーザ端末1bに送信する。
同様に、図5の下段の例では、VLAN NAT装置2が、ユーザ端末1から送信されたL3パケットの宛先アドレスを参照し、当該宛先アドレスが192.168.3.xであることからVLAN1に接続すべき旨を検出し、図2のテーブルを参照して、送信元のアドレスを192.168.3.5に変換し、接続先のVLANを示すVLAN ID (1)を付与する。これとは逆に、VLAN1を介して宛先のIPアドレスが192.168.3.5であり送信元のIPアドレスが192.168.3.xであるL3パケットがVLAN NAT装置2に入力されると、当該VLAN NAT装置2は、図2を参照し、宛先のIPアドレス192.168.3.5を164.32.23.5に変換して当該IPアドレス164.32.23.5のユーザ端末1bにL3パケットを送信する。
一方、図6の例では、VLAN NAT装置2が、宛先が別セグメント(100.0.0.x)であることから当該宛先アドレスを参照してユーザ端末1から送信されたL3パケットを変換し、接続先のVLANを示すVLAN IDを付与する場合を想定している。
すなわち、図6に示されるように宛先のIPアドレスが100.0.0.x、送信元のIPアドレスが164.32.23.5であるL3パケットがVLAN NAT装置2に入力されると、当該VLAN NAT装置2は当該L3パケットの宛先のIPアドレスを参照して別セグメントであることを検出し、送信元のIPアドレスに対応するIPアドレス及びVLAN IDを図2のテーブルより読み出し、送信元のIPアドレスを変換しVLAN IDを付与する。このとき、VLAN NAT装置2は、送信元のIPアドレス164.32.23.5に対応するのがVLANnであることを認識し、当該VLANnのIPアドレス10.0.1.0に送信すべく、送信元のIPアドレスを10.0.1.5に変換し、VLAN ID(n)を付与する。これとは逆に、別セグメントよりVLANnを介して宛先のIPアドレスが10.0.1.5であり送信元のIPアドレスが100.0.0.xであるL3パケットがVLAN NAT装置2に入力されると、当該VLAN NAT装置2は、図2を参照して、宛先のIPアドレス110.0.1.5を164.32.23.5に変換して当該IPアドレス164.32.23.5のユーザ端末1bにL3パケットを送信する。
尚、本発明の一実施の形態に係るネットワーク中継装置としてのVLAN NAT装置2は動的なVLAN ID変更のためのAPI(Application Programming Interface)を有しており、当該VLAN NAT装置2とリモートアクセス端末、セキュリティポリシー管理ツールを組み合わせることで、所謂Managed VLANをリモートアクセス端末に拡張することができる。
次に図7には本発明の一実施の形態に係るネットワーク中継装置にIPsecトンネリング技術を適用したネットワークシステムの構成を更に具体的に示して説明する。
図7に示されるように、ユーザ端末1a(IPsec終端L3アドレス172.18.82.4),1b(IPsec終端L3アドレス172.18.82.5)とIPsec終端装置3(IPsec終端装置外側IPアドレス172.18.82.1(ユーザ端末1にとってのDefaultGW))との間ではIPsecトンネルが構築されており、IPsec終端装置2はVLAN NAT装置2(VLAN NAT外側IPアドレス164.32.23.1)を介してVLAN1(192.168.3.0),VLAN2(192.168.4.0),VLANn(10.0.1.0)に接続される。
このような構成において、VLAN NAT装置2は、IPsec終端装置3より得られるユーザ端末のIPsec終端L3アドレスをキーとして、図8に示されるようなテーブルを参照してL3パケットを対応するVLAN1,2,…,nに振り分ける。即ち、ユーザ端末1aからのL3パケットであれば対応するVLAN2に送信し(図7中、符号Aで示す)、ユーザ端末1bからのL3パケットであれば図8を参照して宛先アドレスに応じてVLAN2或いはVLANnに送信する(図7中、符号Bで示す)。
更に、本発明の一実施の形態に係るネットワーク中継装置によれば、図9に示すようにハブといった非VLAN対応のネットワークデバイスが混在するLAN環境の中で、既存のネットワーク構成を変更することなく、VLAN対応のネットワークを構築できる。この構成では、VLAN NAT装置2がハブ12a,12bに接続された複数のユーザ端末11a,11bについてVLAN IDを割り振ることで、セグメント(ユーザ)毎に種々のVLAN(この図では、業務用VLAN14とセキュリティ対策用VLAN15)に送信先(接続先)を振り分けることができる。このような機能をネットワーク中継装置としてのVLAN NAT装置2を用いるだけで、他は既存のネットワーク環境を用いたままで実現できる。
以下、図10乃至図13を参照して、本発明の一実施の形態に係るネットワーク中継装置としてのVLAN NAT装置2の構成を更に具現化して示し説明する。
図10に示されるように、L3パケット受信部21がL3パケットを受信すると、実L3アドレス抽出部22が当該L3パケットのヘッダに含まれている送信元のL3アドレス(これを実L3アドレスと定義する)を抽出し、VLAN ID決定部23に送る。
この例ではIPsec終端装置3にとってのDefaultGWをVLAN NAT装置2の外側インタフェースのIPアドレスと定義している。
VLAN ID決定部22の詳細な構成は図12に示される。即ち、VLAN ID決定部22では、入力データである実L3アドレスに基づいてユーザID決定部41がユーザIDを決定し、VLAN ID決定部42が当該ユーザIDに基づいてVLAN IDを決定し、出力データとして実L3アドレスとVLAN IDを出力する。尚、ユーザIDを決定する方法としては、認証DHCPのログを利用する方法やVPN終端装置のログを利用する方法がある。
仮想L3アドレス決定部24の詳細な構成は図13に示される。即ち、入力データとしての実L3アドレスとVLAN IDとを受けると、割り当て仮想L3アドレス−実L3アドレス記憶部51においてVLAN IDに基づいて仮想L3アドレスを生成し、このVLAN IDから宛先のアドレスにあたる仮想L3アドレスを決定し、実L3アドレスと仮想L3アドレス、仮想L3アドレスとVLAN IDとの関係を示すテーブルを作成し、実L3−仮想L3テーブル52に格納する。そして、出力データとして仮想L3アドレス(サブネット)とDefaultGW(VLAN NAT装置2の外側IPアドレス)、及び必要に応じてDNSを出力する。
尚、この実施の形態に係るVLAN NAT装置2により実現される仮想インタフェースはVLAN毎に作成し、複数の仮想L3アドレスに対応可能としている。
図10に説明を戻し、仮想インタフェース存在確認部25は、対応する仮想インタフェースの存在を確認し、存在しない場合には仮想インタフェース作成部26により仮想インタフェースを作成する。この仮想インタフェース作成部26では、入力データとしての仮想L3アドレス(サブネット)、とDefaultGW(VLAN NAT装置2の外側IPアドレス)、及び必要に応じてDNS、実L3パケットのボディ部を受けると、仮想インタフェースが作成され、L2パケット送信部27はL2パケットを生成し対応するVLANに送信する。
ここで、図14を参照して、L2パケット送信部27におけるL2パケット生成の流れを更に詳細に説明する。ユーザ端末から送信されたL3パケットのヘッダには宛先L3アドレスと実L3アドレスが含まれている。このL3パケットは、ユーザ端末1からIPsec技術によるトンネルを介してIPsec終端装置3に送られる。このIPsec終端装置3では、このL3パケットのヘッダにVLAN NAT装置2の外側L2アドレスとIPsec終端装置3のL2アドレスとを付してL2パケットとして出力する。VLAN NAT装置2は、この実L3アドレスを仮想L3アドレスに変換し、VLAN IDを付与し、更に宛先L2アドレスとVLAN NAT内側L2アドレスを付加してL2パケットとして出力する。
一方、図11に示されるように、逆の場合には、L2パケット受信部31でVLANからのL2パケットが受信されると、VLAN ID抽出部32によりVLAN IDが抽出され、仮想インタフェース決定部33により当該VLAN IDに基づいて仮想インタフェースが決定される。そして、実L3アドレス決定部34により実L3アドレス、つまりこの場合は宛先のユーザ端末1のIPアドレスが決定され、L3パケット送信部35より当該IPアドレスに向けてパケットが送信される。
ここで、図15を参照して、L2パケット受信部31による処理を詳細に説明する。
VLAN NAT装置2が受信するL2パケットのヘッダ部には、VLAN NAT装置2の内側L2アドレスと発信元L2アドレス、VLAN ID、仮想L3アドレス、発信元L3アドレスが含まれている。VLAN NAT装置2は、このL2パケットを受信すると、IPsec終端装置3のL2アドレスとVLAN NAT装置2の外側L2アドレスを付与し、仮想L3アドレスを実L3アドレス(VPN終端装置割り当てL3アドレス)に変換し、L2パケットとしてIPsec終端装置3へと出力する。IPsec終端装置3は、IPsecトンネリングにより実L3アドレスと発信元L3アドレスをヘッダ部に含むL3パケットをユーザ端末1へと送信する。
以上説明したように、本発明の一実施の形態に係るネットワーク中継装置によればIPSecやL2TP、PPP等といったのようなトンネリング技術を用いたLANにもVLAN機能を利用することができるようになる。さらに、ハブといった非VLAN対応のネットワークデバイスが混在するLANの中で既存のネットワーク構成を変更することなく、VLAN対応のネットワークとすることができる。また、低価格なVLAN切り替え機能付きL2デバイスとして、現在のハブとインテリジェントスイッチの技術的な狭間を埋めることが可能となる。
以上、本発明の実施の形態について説明したが、本発明はこれに限定される事なくその趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、上記実施の形態では、IPsecトンネリング技術への適用例を示したが、これに限定されず種々の技術に応用できることは勿論である。また、本実施の形態のネットワーク中継装置はラン・トゥー・ランでのネットワーク環境にも適用し得る。
本発明の一実施の形態に係るネットワーク中継装置としてのVLAN NAT装置2及びその周辺機器との接続関係を示す図である。 VLAN NAT装置2が保持するテーブルの一例を示す図である。 VLAN NAT装置2によるL3アドレスの変換処理(送信元と宛先が1対1に対応する場合)について更に詳細に説明するための図である。 VLAN NAT装置2によるL3アドレスの変換処理(送信元と宛先が1対1に対応し、宛先が別セグメントである場合)について更に詳細に説明するための図である。 VLAN NAT装置2によるL3アドレスの変換処理(送信元がが複数の宛先に対応する場合)について更に詳細に説明するための図である。 VLAN NAT装置2によるL3アドレスの変換処理(送信元が複数の宛先に対応する場合)について更に詳細に説明するための図である。 本発明の一実施の形態に係るネットワーク中継装置にIPsecトンネリング技術を適用したネットワークシステムの構成を更に具体的に示す図である。 VLAN NAT装置2が保持するテーブルの一例を示す図である。 本発明の一実施の形態に係るネットワーク中継装置により、ハブといった非VLAN対応のネットワークデバイスが混在するLAN環境の中で、既存のネットワーク構成を変更することなく、VLAN対応のネットワークを構築する様子を示す図である。 本発明の一実施の形態に係るネットワーク中継装置としてのVLAN NAT装置2の構成を更に具現化して示す図である。 本発明の一実施の形態に係るネットワーク中継装置としてのVLAN NAT装置2の構成を更に具現化して示す図である。 VLAN ID決定部23の詳細な構成を示す図である。 仮想L3アドレス決定部24の詳細な構成を示す図である。 L2パケット送信部27におけるL2パケット生成の流れを示す図である。 L2パケット受信部31による処理を示す図である。
符号の説明
1a,1b・・・ユーザ端末、2・・・VLAN NAT装置、3・・・IPsec終端装置、11a,11b・・・ユーザ端末、12a,12b・・・ハブ、13・・・VLAN NAT装置、14・・・業務用VLAN、15・・・セキュリティ対策用VLAN、21・・・L3パケット受信部、22・・・実L3アドレス抽出部、23・・・VLAN ID決定部、24・・・仮想L3アドレス決定部、25・・・仮想インタフェース存在確認部、26・・・仮想インタフェース作成部、27・・・L2パケット送信部、31・・・L2パケット受信部、32・・・VLAN ID抽出部、33・・・仮想インタフェース決定部、34・・・実L3アドレス抽出部、35・・・L3パケット送信部、41・・・ユーザID決定部、42・・・VLAN ID決定部、51・・・割り当て仮想L3アドレス-実L3アドレス記録部、52・・・実L3-仮想L3テーブル。

Claims (8)

  1. 入力されたレイヤ3パケットの送信元のレイヤ3アドレス、当該レイヤ3アドレスを割り当てられたユーザ、当該ユーザが属するグループのいずれか、及び接続先のバーチャルローカルエリアネットワークに基づいて、上記レイヤ3パケットの送信元アドレスを変換すると共に接続先のバーチャルローカルエリアネットワークを特定する識別子を付与し、変換後のパケットを転送するよう制御する制御手段を有することを特徴とするネットワーク中継装置。
  2. 接続先のバーチャルローカルエリアネットワークは、レイヤ3パケットの送信元のセキュリティ対策状況に応じて決定することを更に特徴とする請求項1に記載のネットワーク中継装置。
  3. 上記送信元のレイヤ3アドレスと、変換後の送信元のアドレス及び接続先のバーチャルローカルエリアネットワークを特定する識別子とを対応付けて記憶する記憶手段を更に有し、上記制御手段は、上記記憶手段に上記送信元のレイヤ3アドレスに対応する変換後の送信元アドレス及び識別子が複数記憶されている場合には、上記レイヤ3パケットの宛先アドレスに基づいて変換後の送信元アドレス及び識別子を特定することを更に特徴とする請求項1に記載のネットワーク中継装置。
  4. 第1のネットワークから送信されたレイヤ3パケットを第2のネットワークを構成する複数のバーチャルエリアネットワークのうちの少なくともいずれかに転送するネットワーク中継装置を備えたシステムであって、
    上記ネットワーク中継装置は、
    上記送信元のレイヤ3アドレスと、変換後の宛先アドレス及び接続先のバーチャルローカルエリアネットワークを特定する識別子を対応付けて記憶する記憶手段と、
    上記記憶手段を参照して、上記第1のネットワークを介して送信されたレイヤ3パケットの送信元のレイヤ3アドレス、当該レイヤ3アドレスを割り当てられたユーザ、当該ユーザが属するグループのいずれかに基づいて、上記レイヤ3パケットの送信元アドレスを変換すると共に接続先のバーチャルローカルエリアネットワークを特定する識別子を付与し、変換後のパケットを転送するよう制御する制御手段と、
    を有し、上記制御手段は、上記記憶手段に上記送信元のレイヤ3アドレスに対応する変換後の送信元アドレス及び識別子が複数記憶されている場合には、上記レイヤ3パケットの宛先アドレスに基づいて変換後の送信元アドレス及び識別子を特定することを特徴とするネットワーク中継システム。
  5. 上記第1のネットワークは複数のバーチャルエリアネットワークで構築されていることを更に特徴とする請求項4に記載のネットワーク中継システム。
  6. 上記第1のネットワークは、トンネリング技術を用いてアクセスされるネットワークで構築されていることを更に特徴とする請求項4に記載のネットワーク中継システム。
  7. 請求項4において、
    端末のセキュリティポリシーを管理し、端末からのセキュリティ対策状況データに基づいて、結果を返す機能を持つポリシー管理サーバ、
    第1のネットワークからアクセスする端末のセキュリティ対策状況を検査し、その検査結果に応じてアクセス可能な第2のネットワーク中のバーチャルローカルエリアネットワークを割り当てる制御手段と、
    をさらに有し、第1のネットワークからアクセスする端末のセキュリティ対策状況に応じて、その端末のアクセス可能なバーチャルローカルエリアネットワークを決定することを更に特徴とする請求項4に記載のネットワーク中継システム。
  8. 請求項4において、
    第2のネットワーク中にネットワーク監視装置、
    ネットワークのセキュリティポリシーを管理し、ネットワーク監視装置のデータに基づいて、メッセージを発する機能を持つポリシー管理サーバ、
    ポリシー管理サーバの発するメッセージに基づいて第1のネットワークからアクセスする端末の接続先バーチャルネットワークを変更、及びアクセス拒否といった制御を可能とする手段と、
    をさらに有し、第1のネットワークからアクセスする端末が、第2のネットワークにおいて、ネットワークのセキュリティポリシーに反する振る舞いを行った場合、それを検知し、その端末のアクセスを規制することを更に特徴とする請求項4に記載のネットワーク中継システム。
JP2004311137A 2004-10-26 2004-10-26 ネットワーク中継装置及びネットワークシステム Pending JP2006128803A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004311137A JP2006128803A (ja) 2004-10-26 2004-10-26 ネットワーク中継装置及びネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004311137A JP2006128803A (ja) 2004-10-26 2004-10-26 ネットワーク中継装置及びネットワークシステム

Publications (1)

Publication Number Publication Date
JP2006128803A true JP2006128803A (ja) 2006-05-18

Family

ID=36723051

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004311137A Pending JP2006128803A (ja) 2004-10-26 2004-10-26 ネットワーク中継装置及びネットワークシステム

Country Status (1)

Country Link
JP (1) JP2006128803A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009055173A (ja) * 2007-08-24 2009-03-12 Nippon Telegr & Teleph Corp <Ntt> 多重アクセス装置
JP2010206483A (ja) * 2009-03-03 2010-09-16 Nec Corp ネットワークシステム及び仮想ネットワークインターフェースの自動作成及び設定方法
JP2011217335A (ja) * 2010-03-31 2011-10-27 Nextech:Kk 情報処理装置、プログラム、情報処理方法、および情報処理システム
JP2011217174A (ja) * 2010-03-31 2011-10-27 Ntt Communications Kk 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム
WO2013172391A1 (ja) * 2012-05-15 2013-11-21 日本電気株式会社 マルチテナントシステム、スイッチ、コントローラ、及びパケット転送方法
JP2015095894A (ja) * 2013-11-13 2015-05-18 財團法人資訊工業策進會 仮想ローカルエリアネットワークのクラウドアプライアンスを管理するための管理サーバおよびその管理方法
JP2018164181A (ja) * 2017-03-24 2018-10-18 サイレックス・テクノロジー株式会社 通信装置、通信システム、及び、通信装置の制御方法
JP2019126988A (ja) * 2018-01-25 2019-08-01 株式会社リコー 情報処理システム、機器、情報処理方法及びプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077275A (ja) * 2000-09-04 2002-03-15 Nippon Telegr & Teleph Corp <Ntt> 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム
WO2003098880A1 (fr) * 2002-05-20 2003-11-27 Fujitsu Limited Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077275A (ja) * 2000-09-04 2002-03-15 Nippon Telegr & Teleph Corp <Ntt> 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム
WO2003098880A1 (fr) * 2002-05-20 2003-11-27 Fujitsu Limited Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009055173A (ja) * 2007-08-24 2009-03-12 Nippon Telegr & Teleph Corp <Ntt> 多重アクセス装置
JP2010206483A (ja) * 2009-03-03 2010-09-16 Nec Corp ネットワークシステム及び仮想ネットワークインターフェースの自動作成及び設定方法
JP2011217335A (ja) * 2010-03-31 2011-10-27 Nextech:Kk 情報処理装置、プログラム、情報処理方法、および情報処理システム
JP2011217174A (ja) * 2010-03-31 2011-10-27 Ntt Communications Kk 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム
CN104322022B (zh) * 2012-05-15 2017-10-24 日本电气株式会社 多租户系统、交换机、控制器和分组传输方法
CN104322022A (zh) * 2012-05-15 2015-01-28 日本电气株式会社 多租户系统、交换机、控制器和分组传输方法
US9654394B2 (en) 2012-05-15 2017-05-16 Nec Corporation Multi-tenant system, switch, controller and packet transferring method
WO2013172391A1 (ja) * 2012-05-15 2013-11-21 日本電気株式会社 マルチテナントシステム、スイッチ、コントローラ、及びパケット転送方法
JP2015095894A (ja) * 2013-11-13 2015-05-18 財團法人資訊工業策進會 仮想ローカルエリアネットワークのクラウドアプライアンスを管理するための管理サーバおよびその管理方法
US9705847B2 (en) 2013-11-13 2017-07-11 Institute For Information Industry Management server and management method thereof for managing cloud appliances in virtual local area networks
JP2018164181A (ja) * 2017-03-24 2018-10-18 サイレックス・テクノロジー株式会社 通信装置、通信システム、及び、通信装置の制御方法
JP2019126988A (ja) * 2018-01-25 2019-08-01 株式会社リコー 情報処理システム、機器、情報処理方法及びプログラム
JP7040049B2 (ja) 2018-01-25 2022-03-23 株式会社リコー 画像形成装置、情報処理方法及びプログラム

Similar Documents

Publication Publication Date Title
US8565235B2 (en) System and method for providing transparent LAN services
JP3965160B2 (ja) 相異なる私設網に位置したネットワーク装置間の通信を支援するネットワーク接続装置
EP1625696B1 (en) An arrangement and a method relating to ethernet access systems
US20070081530A1 (en) Packet relay apparatus
EP1849265B1 (en) Method and nodes for handling broadcast messages over an access domain
US20030158962A1 (en) Methods and systems for resolving addressing conflicts based on tunnel information
JP2006014269A (ja) エッジ内ルーティングのない宅内ip通信装置及びこれを用いた通信方法
JP2000261505A (ja) ネットワーク層ブリッジ
CN101043430B (zh) 一种设备之间网络地址转换的方法
WO2007112691A1 (fr) Système, procédé et dispositif réseau permettant à un client de réseau privé virtuel (vpn) d&#39;accéder à un réseau public
CN107547404A (zh) 流表生成方法及装置以及报文转发方法及装置
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
US8437357B2 (en) Method of connecting VLAN systems to other networks via a router
US20120158992A1 (en) Group Member Detection Among Nodes of a Network
JP2006128803A (ja) ネットワーク中継装置及びネットワークシステム
RU2310994C2 (ru) Фильтр для разделения трафика
WO2007093095A1 (fr) Procédé pour mettre en oeuvre l&#39;acheminement de messages mpls et équipement correspondant
US20030208525A1 (en) System and method for providing transparent lan services
CN103634210A (zh) 发现vpls实例的对端pe设备的方法及设备
KR20060059877A (ko) 이더넷 접근 시스템에 관한 장치 및 방법
JP2005057693A (ja) ネットワーク仮想化システム
JP2007096539A (ja) 変換装置
JP3808471B2 (ja) ネットワーク及びルータ装置並びにそれらに用いるアドレス通知方法
CN218920438U (zh) 一种基于vxlan的互联网接入控制系统
JP5260487B2 (ja) アドレス決定装置、アドレス決定方法、及びアドレス決定プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071026

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20071112

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100105

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100511