JP2006129090A - 通信装置、通信管理装置、通信方法および通信制御プログラム - Google Patents

通信装置、通信管理装置、通信方法および通信制御プログラム Download PDF

Info

Publication number
JP2006129090A
JP2006129090A JP2004314865A JP2004314865A JP2006129090A JP 2006129090 A JP2006129090 A JP 2006129090A JP 2004314865 A JP2004314865 A JP 2004314865A JP 2004314865 A JP2004314865 A JP 2004314865A JP 2006129090 A JP2006129090 A JP 2006129090A
Authority
JP
Japan
Prior art keywords
packet
communication
address
node
management device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004314865A
Other languages
English (en)
Inventor
Masatoshi Shirasaki
昌俊 白崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SKY COM KK
Original Assignee
SKY COM KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SKY COM KK filed Critical SKY COM KK
Priority to JP2004314865A priority Critical patent/JP2006129090A/ja
Publication of JP2006129090A publication Critical patent/JP2006129090A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】IP−VPNを介した接続によって構築されるネットワーク空間全体に対して、1つ1つのノードを特定すること。
【解決手段】ルータ110は、一方でゲートウェイ100にアクセスし、他方でPC111〜113を含むLAN114に接続し、PC111〜113のそれぞれをプライベートアドレスを用いて識別することにより、LAN114内のノード間の通信を制御する。ゲートウェイ100に接続されるLAN114、LAN124、134を含むネットワークの全体において、LAN114に割り当てられるプライベートアドレスの範囲を示す割当範囲情報を、ゲートウェイ100から受信し、受信した割当範囲情報が示す範囲内で、PC111〜113に対応したプライベートアドレスを設定する。
【選択図】 図1

Description

本発明は、ゲートウェイを介して複数のローカルエリアネットワーク間で通信する通信装置、通信管理装置、通信方法および通信制御プログラムに関する。
複数地点に分散する拠点(ユーザ拠点)を有する企業等が各ユーザ拠点のローカルエリアネットワーク(LAN)を接続して社内ネットワーク等を構築するためのLAN間接続技術として、従来からさまざまな方法が採られてきた。
例えば、各ユーザ拠点間を専用線で接続する専用線サービスが挙げられる。ところが、専用線サービスは非常に高価であり課金が距離に比例して行われる。そこで、ユーザ企業は、利用回線距離をできるだけ節約するために、拠点を珠数つなぎにする形態のLAN間接続を行っていた。
その後、インターネットの普及により、インターネットを利用して、分散する各ユーザ拠点のLAN(以降、ユーザネットワークと称する。)を接続することが可能になった。このようなサービスは、インターネットVPNと呼ばれ、物理的な接続拠点数により課金される。なお、VPNはVirtual Private Networkの略であり、仮想閉域網と称される。
次に、このインターネットVPNの仕組みについて説明する。複数のユーザネットワーク拠点間でグローバルインターネットを経由した通信を行うためには、いわゆるトンネル技術が用いられる。各ユーザネットワークにおいて、トンネルを始終端可能な(カプセル化/カプセル化解除可能な)装置であるルータを用意する。
ユーザネットワークからインターネットへパケットを送信する際は、まず、送信元のユーザネットワーク内のルータが、パケットをカプセル化する。すなわち、パケットをそのままデータとして、その上にヘッダを付加する。そして、このカプセル化されたパケットを、インターネットを経由して宛先ユーザネットワークへ送信する。宛先ユーザネットワーク側のルータでは、このパケットを受信すると同時にカプセル化を解除し、宛先ユーザネットワーク内の宛先のノードへルーティングする。
ここで、VPNとアドレスの関係について説明する。ユーザネットワーク内部では、互いにプライベートアドレスが割り当てられており、この割り当てられたプライベートアドレスにより、相互に通信することが可能である。しかし、このプライベートアドレスは、インターネット全体で使用されるグローバルアドレスとは別のものである。ユーザネットワークの外部ではグローバルアドレスを使用して通信が行われるが、ユーザネットワークの外部からユーザネットワークの内部にアクセスするとき、ユーザネットワークの内部の各ノードにはグローバルアドレスが割り当てられていないので、そのままではアクセスすることができない。
すなわち、インターネットVPN(IP−VPN)において、各ユーザネットワークでは、それぞれプライベートアドレスを使用しているため、そのままでは異なるユーザネットワークに属するノード同士で互いにアクセスすることはできない。
このプライベートアドレスが使用されている理由として、グローバルアドレスの枯渇問題がある。グローバルアドレスの数には限界があるので、膨大な数のノードの1つ1つにグローバルアドレスを割り当てるには数が足りない。そこで、インターネットにアクセスするルータやファイアウォールにグローバルアドレスを割り当てておき、一方、このルータやファイアウォールで分けられるユーザネットワークの各ノードにプライベートアドレスを割り当てておく。そしてユーザネットワーク内部では、プライベートアドレスを用いて相互にアクセスが行われる。一方、ユーザネットワーク外部には、グローバルアドレスが割り当てられたルータやファイアウォールを代理(プロキシ)としてアクセスが行われる。
つまり、ユーザネットワーク外部からユーザネットワーク内部にアクセスするとき、ユーザネットワーク内部のどのノードにアクセスする場合であっても、グローバルアドレスによって特定される1つのノードとしてしか見ることができない。すなわち内部ネットワークのノードのそれぞれを外部ノードから特定することができず、したがって、内部ネットワークのノードと、外部ネットワークを構成する1つの閉じたネットワークに含まれるノードを、ピアトゥピアで接続させようとした場合であっても、相互に接続させることができなかった。また、1つ1つのノードが外部から特定できるアドレスを持っていなかったので、他のノードからパケットを受信することができてしまい、セキュリティ上問題があった。
この発明は、上述した従来技術による問題点を解消するため、IP−VPNを介した接続によって構築されるネットワーク空間全体に対して、1つ1つのノードを特定し、その特定されたノード間で互いに通信することができる通信装置、通信管理装置、通信方法および通信制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1の発明にかかる通信装置は、一方でインターネットを介して外部の通信管理装置にアクセスし、他方で複数のノードにより構成される内部ネットワークに接続し、前記複数のノードのそれぞれを、プライベートアドレスを用いて識別することにより前記ノード間の通信を制御する通信装置であって、前記通信管理装置に接続される複数のローカルエリアネットワークにより構成されるネットワークの全体において、前記内部ネットワークに割り当てられるプライベートアドレスの範囲を示す割当範囲情報を、前記通信管理装置から受信する受信手段と、前記受信手段によって受信された前記割当範囲情報が示す範囲内で、前記ノードに対応したプライベートアドレスを設定する設定手段と、を備えることを特徴とする。
この請求項1の発明によれば、外部のネットワークに割り当てられているプライベートアドレスと共通のアドレス体系を構築することができる。その結果、共通のアドレス体系が構築されているネットワーク空間全体に対して、1つ1つのノードを特定することができるので、同一のローカルエリアネットワークに属さないノード同士でも、互いに相手を特定して相互に通信することができる。
また、請求項2の発明にかかる通信装置は、請求項1に記載の発明において、前記内部ネットワークに含まれるノードから送信されるパケットの宛先を判定する判定手段と、前記判定手段によって、前記パケットの宛先が前記内部ネットワーク内のノードでないと判定された場合、前記パケットをカプセル化して前記通信管理装置に送信するパケット送信手段と、を備えることを特徴とする。
この請求項2の発明によれば、通信装置に接続されたノードから、ローカルエリアネットワーク外のノードを宛先としてパケットを送信する場合、パケットはカプセル化して送信される。したがって、ユーザは、ローカルエリアネットワークの内外どちらにパケットを送るのかを特に区別せずにパケットを送信することができ、ローカルエリアネットワークの外のノードについても内部ネットワークと同様に相互に通信することができる。
また、請求項3の発明にかかる通信装置は、請求項1または2に記載の発明において、前記ノード間の通信を制御するために、前記プライベートアドレスと前記ノードとの対応関係を記憶する記憶手段を備え、前記設定手段は、前記受信手段によって受信された前記割当範囲情報が示すプライベートアドレスを、前記記憶手段に記憶させることを特徴とする。
この請求項3の発明によれば、ノード間の通信を制御するのに用いられる、プライベートアドレスとノードとの対応関係を使用して、プライベートアドレスを設定することができるので、この記憶手段の更新により既存の通信装置の仕組みを利用して共通のアドレス体系を割り当てることができる。
また、請求項4の発明にかかる通信装置は、請求項1〜3のいずれか一つに記載の発明において、前記通信管理装置から送信されたパケットを受信するパケット受信手段と、前記パケット受信手段で受信したパケットのカプセル化を解除し、カプセル化を解除されたパケットのヘッダに記述されるプライベートアドレスに基づいて、前記内部ネットワーク内の宛先ノードを特定し、特定された宛先ノードに該カプセル化を解除されたパケットを配信する配信手段と、を備えることを特徴とする。
この請求項4の発明によれば、共通のアドレス体系をもった他のネットワークからパケットを受信した場合でも、そのパケットにより特定されるノードと宛先との間で通信させることができる。
また、請求項5の発明にかかる通信管理装置は、インターネットを介して接続される通信装置からの要求を受信する受信手段と、前記受信手段によって前記要求を受信した場合に、前記通信装置によって管理されるネットワーク内のノードであることを特定するプライベートアドレスの範囲を、前記通信装置に割り当てる割当手段と、前記割当手段によって割り当てられたプライベートアドレスの範囲を示す情報を前記通信装置に送信する送信手段と、を備えることを特徴とする。
この請求項5の発明によれば、通信管理装置に接続される通信装置のそれぞれに固有のプライベートアドレスの範囲を割り当てることができる。したがって、通信管理装置の管理下にある各ノードにプライベートアドレスを割り当てることができ、各ノードを特定して通信させることができる。
また、請求項6の発明にかかる通信方法は、一方でインターネットを介して通信管理装置にアクセスし、他方で複数のノードにより構成される内部ネットワークに接続する通信装置において、前記複数のノードのそれぞれを、プライベートアドレスを用いて識別することにより前記ノード間の通信を制御する通信方法であって、前記通信管理装置に接続される複数のローカルエリアネットワークにより構成されるネットワークの全体において、前記内部ネットワークに割り当てられるプライベートアドレスの範囲を示す割当範囲情報を、前記通信管理装置から受信する受信工程と、前記受信工程によって受信された前記割当範囲情報が示す範囲内で、前記ノードに対応したプライベートアドレスを設定する設定工程と、を含むことを特徴とする。
この請求項6の発明によれば、外部のネットワークに割り当てられているプライベートアドレスと共通のアドレス体系を構築することができる。その結果、共通のアドレス体系が構築されているネットワーク空間全体に対して、1つ1つのノードを特定することができるので、同一のローカルエリアネットワークに属さないノード同士でも、互いに相手を特定して相互に通信することができる。
また、請求項7の発明にかかる通信方法は、請求項6に記載の発明において、前記内部ネットワークに含まれるノードから送信されるパケットの宛先を判定する判定工程と、前記判定工程によって、前記パケットの宛先が前記内部ネットワーク内のノードでないと判定された場合、前記パケットをカプセル化して前記通信管理装置に送信するパケット送信工程と、を含むことを特徴とする。
この請求項7の発明によれば、通信装置に接続されたノードから、ローカルエリアネットワーク外のノードを宛先としてパケットを送信する場合、パケットはカプセル化して送信される。したがって、ユーザは、ローカルエリアネットワークの内外どちらにパケットを送るのかを特に区別せずにパケットを送信することができ、ローカルエリアネットワークの外のノードについても内部ネットワークと同様に相互に通信することができる。
また、請求項8の発明にかかる通信方法は、請求項6または7に記載の発明において、前記通信管理装置から送信されたパケットを受信するパケット受信工程と、前記パケット受信工程で受信したパケットのカプセル化を解除し、カプセル化を解除されたパケットのヘッダに記述されるプライベートアドレスに基づいて、前記内部ネットワーク内の宛先ノードを特定し、特定された宛先ノードに該カプセル化を解除されたパケットを配信する配信工程と、を備えることを特徴とする。
この請求項8の発明によれば、共通のアドレス体系をもった他のネットワークからパケットを受信した場合でも、そのパケットにより特定されるノードと宛先との間で通信させることができる。
また、請求項9の発明にかかる通信方法は、通信管理装置と、一方でインターネットを介して該通信管理装置にアクセスし、他方で複数のノードにより構成される内部ネットワークに接続する通信装置の間における通信方法であって、前記通信管理装置が、前記通信管理装置に接続される複数のローカルエリアネットワークにより構成されるネットワークの全体における、前記内部ネットワークに割り当てられるプライベートアドレスの範囲を前記通信装置に割り当てる割当工程と、前記通信管理装置が、前記プライベートアドレスの範囲を示す割当範囲情報を、前記通信装置に送信する送信工程と、前記通信装置が、前記プライベートアドレスの範囲を示す割当範囲情報を、前記通信管理装置から受信する受信工程と、前記通信装置が、前記送信工程によって送信された前記割当範囲情報が示す範囲内で、前記ノードに対応したプライベートアドレスを設定する設定工程と、前記通信管理装置が、該通信管理装置に接続される他の通信装置からパケットを受信した場合に、受信したパケットが前記割当工程によって前記通信装置に割り当てられたプライベートアドレスを宛先とするか否かを判定する判定工程と、前記通信管理装置が、前記判定工程によって前記他の通信装置から受信したパケットが前記通信装置に割り当てられたプライベートアドレスを宛先とすると判定された場合に、前記外部の通信装置から受信したパケットの前記プライベートアドレスを含むデータ部をカプセル化して前記通信装置に送信するパケット送信工程と、前記通信装置が、前記パケット送信工程によって送信されたパケットを受信して、前記パケットに含まれるプライベートアドレスで特定される宛先のノードに、前記パケットを配信する配信工程と、を含むことを特徴とする。
この請求項9の発明によれば、通信管理装置にアクセスするノードの間で、共通のアドレス体系を構築することができる。その結果、共通のアドレス体系が構築されているネットワーク空間全体に対して、1つ1つのノードを特定することができるので、同一のローカルエリアネットワークに属さないノード同士でも、互いに相手を特定して相互に通信することができる。
また、請求項10の発明にかかる通信制御プログラムは、インターネットを介して通信管理装置にアクセスし、複数のノードにより構成される内部ネットワークに接続する通信装置において、前記複数のノードのそれぞれを、プライベートアドレスを用いて識別することにより前記ノード間の通信を制御させる通信制御プログラムであって、前記通信管理装置に接続される複数のローカルエリアネットワークにより構成されるネットワークの全体において、前記内部ネットワークに割り当てられるプライベートアドレスの範囲を示す割当範囲情報を、前記通信管理装置から受信させる受信工程と、前記受信工程によって受信された前記割当範囲情報が示す範囲内で、前記ノードに対応したプライベートアドレスを設定させる設定工程と、を含むことを特徴とする。
この請求項10の発明によれば、外部のネットワークに割り当てられているプライベートアドレスと共通のアドレス体系を構築することができる。その結果、共通のアドレス体系が構築されているネットワーク空間全体に対して、1つ1つのノードを特定することができるので、同一のローカルエリアネットワークに属さないノード同士でも、互いに相手を特定して相互に通信することができる。
本発明にかかる通信装置、通信管理装置、通信方法および通信制御プログラムによれば、外部のネットワークに割り当てられているプライベートアドレスと共通のアドレス体系を構築することができる。その結果、共通のアドレス体系が構築されているネットワーク空間全体に対して、1つ1つのノードを特定することができるので、同一のローカルエリアネットワークに属さないノード同士でも、互いに相手を特定して相互に通信することができるという効果を奏する。
以下に添付図面を参照して、この発明にかかる通信装置、通信管理装置、通信方法および通信制御プログラムの好適な実施の形態を詳細に説明する。
(実施の形態)
図1は、本発明の実施の形態にかかるネットワークを説明するブロック図である。ゲートウェイ100を中心に、ルータ110、120、130が接続されている。ゲートウェイ100およびルータ110、120、130は、いずれもルーティング機能を持つ通信装置であり、受け取ったパケットのヘッダ情報に基づいて転送先を決定し、転送先に応じてヘッダ情報を書き換えてパケットを転送する。1つのゲートウェイ100にルータ110、120、130が接続されることによるネットワークについて説明するが、ゲートウェイを複数用意して、ゲートウェイ間で相互に接続し、各ゲートウェイに同様にルータを接続する構成にすることもできる。この場合、一方のゲートウェイに接続されるルータから、他のゲートウェイに接続されるルータの間で通信することができる。
ルータ110は、PC111〜113の間のパケットの転送を制御している。それにより、ルータ110は、LAN114を構成している。同様に、ルータ120は、PC121〜123の間のパケット転送制御により、LAN124を構成している。また、ルータ130は、PC131〜133の間のパケット転送制御により、LAN134を構成している。
ルータ110、120、130は、いずれもファイアウォール機能を有している。したがって、ルータ110、120、130がインターネットにアクセスすることができる一方で、LAN114、124、134は、外部に対してセキュリティが確保されている。
以上のように、ルータ110、120、130に接続されるノードを、PC111〜113、PC121〜123、PC131〜133として説明するが、このノードの例はパーソナルコンピュータに限るものではなく、スキャナ、複写機、プリンタ、およびこれらを含む多機能印刷装置、携帯電話、PDA、サーバなど様々な装置とすることができる。
次に、ルータ110、120、130の機能を説明する。ルータ110、120、130は、パケットを受信するとパケットのヘッダに記述されている宛先IPアドレスを参照する。そして、内部に記憶されているルーティングテーブルの検索処理を行い、宛先IPアドレスに対応するノードを決定する。ルーティングテーブルには、ルータ110、120、130に接続されているノードのMACアドレスとプライベートアドレスが書き込まれている。この実施の形態の場合、このプライベートアドレスが、仮想グローバルアドレスに置き換えられている。
ルータ110、120、130は、宛先IPアドレスに対応させて、パケットのヘッダ部にある宛先MACアドレスを、宛先のノードに対応するMACアドレスに書き換える。さらに、パケットはその他のデータリンクレイヤ処理、電気・光信号処理など物理レイヤ処理をされた後にネットワーク媒体に送出される。
また、ゲートウェイ100と、ルータ110、120、130のそれぞれの間は、インターネットVPNを用いて接続される。後述するように、ルータ110、120、130は、それぞれ暗号化などの処理を行ってゲートウェイ100との間にトンネリングを実行する。ここで、パケットをカプセル化して暗号化し、カプセル化されたパケットにヘッダを付加して送信する。カプセル化するとは、このようにパケットをそのままデータ部として、その上にヘッダを付加することをいう。
ゲートウェイ100は、送信されたパケットを受信する。そして、ゲートウェイ100は、受け取ったパケットのカプセル化を解除し、宛先となるネットワークを判別する。そして宛先となるネットワーク(例えば、LAN134とする。)との間で同様にトンネリングを実行し、暗号化などの処理を行ってパケットを送信する。
図2は、ゲートウェイと、ゲートウェイに接続されたLANの1つの接続構成を説明するブロック図である。ゲートウェイ100のグローバルアドレス201は、「210.z.w.1」である。ルータ110のグローバルアドレス202は、「210.x.y.1」である。ゲートウェイ100とルータ110は、インターネットで接続されているので、このグローバルアドレス201および202に基づいて互いに通信することができる。
一方、ゲートウェイ100、ルータ110およびPC111〜113には、仮想グローバルアドレス211〜215が割り当てられる。この仮想グローバルアドレス211〜215は、プライベートアドレスが割り当てられる。後述するように、この仮想グローバルアドレス211〜215は、LAN114だけでなく、LAN124および134を含めた、ゲートウェイ100との間でVPN接続が可能な空間全体で使用されるアドレスである。したがって、多くのノードに割り当てる必要があるので、ここではクラスAのプライベートアドレスを使用する。LAN114、124および134で、共通のクラスAのプライベートアドレスを使用することにより、インターネット空間で隔てられたネットワーク空間に属するノード同士でも、互いに把握することができ、相互にアクセスすることができる。
LAN114内では、プライベートアドレスである仮想グローバルアドレス212〜215を用いて通信するが、このプライベートアドレスはインターネット空間では使用することができない。そこでルータ110は、VPNによるトンネリングを実行する。すなわち、受け取ったパケットを全部カプセル化して、送信するパケットのヘッダのIPアドレスには、グローバルアドレス201および202を使用する。それにより、インターネット空間を介してゲートウェイ100にパケットを送信することができる。
ここで、プライベートアドレスについて説明する。ユーザネットワーク内に接続されるノードには、グローバルアドレスとして割り当てられたクラスのそれぞれに、予約されたアドレスを割り当てていくことができる。グローバルアドレスは32ビットの情報で構成される。また、IPv6の場合、128ビットのアドレスで表現される。ここでIPv4を例に挙げて説明すると、このうち、割り当てられるアドレスは、次のクラスA〜クラスCのいずれかである。
クラスAは「10.0.0.0」〜「10.255.255.255」の約1600万台分である。クラスBは、「172.16.0.0」〜「172.31.255.255」の約6.5万台分である。クラスCは、「192.168.0.0」〜「192.168.255.255」の約254台分である。これらのクラスごとに予約されているアドレスを、プライベートIPアドレス、またはプライベートアドレスという。
図3は、ルータ110の機能をBBルータ310とローカルルータ320に分けた場合の接続構成を説明するブロック図である。BBルータ310は、光ネットワークやADSLを介してゲートウェイ100に接続する。BBルータ310は、もう一方でLAN114に含まれる装置との間でパケットを転送制御する。通常のブロードバンドへのアクセスの場合は、BBルータ310は、ゲートウェイ100に接続されるとともに、PC111〜113に接続され、PC111〜113のインターネット接続を制御する。
この実施の形態においては、BBルータ310とPC111〜113との間に、ローカルルータ320を設置する。ローカルルータ320は、BBルータ310との間にLANを形成する。すなわち、クラスCのアドレスが、BBルータ310とローカルルータ320に割り当てられ、BBルータ310のプライベートアドレス301は「192.168.1.1」となり、ローカルルータ320のプライベートアドレス302は「192.168.1.2」となる。プライベートアドレス301および302を用いて、BBルータ310およびローカルルータ320は相互に通信する。またBBルータ310のグローバルアドレス202は、「210.x.y.1」である。このグローバルアドレス202を用いて、BBルータ310は、インターネット空間に接続を行う。
プライベートアドレスをもつノードから外部のインターネットのサーバにアクセスするに当たっては、NAT(Network Address Translator)の機能を実現する通信装置を利用して、プロキシと呼ばれる代行処理を行う。NAT機能を持つ通信装置は、グローバルアドレスを持っているので、外部のインターネットにアクセスできる。その処理結果は、アクセス要求のあったノードに返される。
BBルータ310は、上述のNATの機能を持つ。BBルータ310は、NATの機能によりローカルルータ320にパケットを渡す。BBルータ310は、グローバルアドレスが付加されたパケットを、NATの機能を使用してプライベートアドレスに変換する。
このプライベートアドレスにより特定されるネットワークを構成するのは、BBルータ310とローカルルータ320だけなので、この2つにだけプライベートアドレスが割り当てられる。2台だけなので、クラスCにより割り当てられ、BBルータ310のプライベートアドレスは、「192.168.1.1」であり、ローカルルータ320のプライベートアドレスは、「192.168.1.2」である。BBルータ310は、いわゆるNATトラバーサルの機能を用いてローカルルータ320にパケットを渡すので、ゲートウェイからローカルルータ320までがVPNトンネリングの区間ということになる。
この実施の形態における受信処理について説明する。BBルータ310は、ゲートウェイ100からパケットを受信する。そして、受信したパケットのヘッダを、NATの機能によりグローバルアドレス202およびプライベートアドレス301に基づいて書き換える。BBルータ310は、ヘッダを書き換えたパケットを、ローカルルータ320に送る。
ローカルルータ320は、受け取ったパケットのカプセル化を解除し、受信したパケットのデータ部に記述される仮想グローバルヘッダを参照する。そして、仮想グローバルヘッダで記述されるノードにパケットを送信する。
トンネリングの区間はゲートウェイ100からローカルルータ320まで形成されているので、ローカルルータ320は、カプセル化された状態でパケットを受け取る。そして、ローカルルータ320は、受け取ったパケットのカプセル化を解除する。カプセル化を解除されたパケットは、ヘッダ部のIPアドレスが仮想グローバルアドレスで記述されている。この仮想グローバルアドレスは、ローカルルータ320およびPC111〜113により構築されるLAN114のプライベートアドレスとして機能する。
ローカルルータ320には、事前にこの仮想グローバルアドレスと各ノードを関係付けて、ローカルルータ320内部のルーティングテーブルを書き込んでおく。ローカルルータ320は、この仮想グローバルアドレスが反映されたルーティングテーブルを参照して、パケットの宛先を特定する。そして、特定された宛先にパケットを送信する。
このように、LAN114、124、134内の各ノードは、仮想グローバルアドレスを使用することにより、複数のLANにより構築されるネットワーク内でのアドレスが特定されるので、インターネットを隔てたノード間で互いにアクセスすることができる。また、インターネット空間においては、トンネリングによりカプセル化されるので、仮想グローバルアドレスが参照されず、したがって途中のルーティングにおいて混乱が生じない。カプセル化したパケットのヘッダには、グローバルアドレスが書き込まれるので、このグローバルアドレスに基づいて、宛先のネットワークにパケットが届けられる。宛先ではカプセル化が解除され、仮想グローバルアドレスを用いて、宛先ネットワークのノードに送信される。
図4は、ゲートウェイを挟んだローカルエリアネットワーク間でのパケットの送受信を説明するブロック図である。PC111は、まずパケット410を作成する。PC111は、送信元の仮想グローバルアドレス213および宛先の仮想グローバルアドレス401を、パケット410のヘッダ411に書き込む。パケット410は、このヘッダ411とデータ部412により構成される。そしてPC111は、仮想グローバルアドレスが212であるルータ110に、パケット410を送信する。
ルータ110は、PC111からパケット410を受信し、ヘッダ411を判別する。ヘッダ411から、宛先がLAN114に含まれるノードであることが判別された場合、ルータ110は、LAN114内のヘッダ411により特定されるノードにパケット410を送信する。このように、宛先がLAN114の内か外かを判別して、外の場合にパケット410をカプセル化することにより、内外のノードをユーザ側からは区別することなく通信することができる。
ルータ110は、宛先がLAN114に含まれないノードであることが判別された場合、ゲートウェイ100にパケット410を送ることを決定する。ルータ110は、ゲートウェイ100との間でトンネリングを形成すべく、パケット410をカプセル化する。パケット410は、暗号化され、パケット420のデータ部にカプセル化され、ヘッダ421を付加されることにより、パケット420が作成される。作成されたパケット420は、仮想グローバルアドレスが211であるゲートウェイ100に送信される。
ゲートウェイ100は、カプセル化されているパケット420を受信する。ゲートウェイ100は、パケット420のカプセル化を解除し、データ部にあるパケット410のヘッダ411を参照して、宛先の仮想グローバルアドレス401を判別する。そして、ゲートウェイ100のルーティングテーブルを参照して、判別した仮想グローバルアドレス401が属するネットワーク(LAN124)を判定する。仮想グローバルアドレス401には、グローバルアドレス402が対応しているので、ゲートウェイ100は、宛先アドレスをグローバルアドレス402としてヘッダ431を作成する。ゲートウェイ100は、パケット410を再びカプセル化し、ヘッダ431が付加されたパケット430を作成して、仮想グローバルアドレスが403であるルータ120に送信する。
ルータ120は、カプセル化されているパケット430を受信する。ルータ120は、パケット430のカプセル化を解除し、データ部にあるパケット410のヘッダ411を参照して、宛先の仮想グローバルアドレス401を判別する。そして、ルータ120のルーティングテーブルを参照して、宛先であるPC121にパケット410を送信する。そして、PC121は、送信されたパケット410を受信するので、セキュリティが確保された状態でPC111から受信することが可能となる。
図5は、通信制御装置のハードウェア構成を説明するブロック図である。ここで説明する通信制御装置500は、ゲートウェイ100、ルータ110、120、130、BBルータ310、およびローカルルータ320を総称したものであり、CPU501、ROM502、RAM503、HDD504、ネットワークI/F506およびバス510によって構成される。CPU501は、装置全体を制御する中央演算処理装置である。ROM502は、ルーティング制御やアドレス管理などの制御プログラムや、ブートプログラムなどを記憶する不揮発性記憶領域である。RAM503は、CPU501がROM502から読み出したプログラムを実行するためのワークエリアとして使用される揮発性記憶領域である。
HDD504は、CPU501の制御にしたがって、HD505に対するリード/ライトを制御する。HD505は、HDD504の制御にしたがって書き込まれたデータを記憶する不揮発性記憶領域である。ネットワークI/F506は、ネットワークに接続され、接続先のネットワークと装置内部との間でパケットなどのデータを送受信するインターフェースである。バス510は、CPU501、ROM502、RAM503、HDD504およびネットワークI/F506を相互に接続する。
図6−1は、ルータの機能的構成を説明するブロック図である。ルーティング部601は、受信したパケットをLAN114に属する適切なノードに転送する。パケットはLAN114から送信される場合と、ゲートウェイ100から送信される場合がある。ルーティングテーブル(記憶部)602は、パケットの送受信先であるノードのプライベートアドレスと、MACアドレスやポート番号などのそのノードを特定する情報を対応付けて記憶している記憶部である。
設定部603は、ゲートウェイ100によって割り当てられたアドレス範囲の仮想グローバルアドレスで、ルーティングテーブル602に書き込まれたプライベートアドレスを更新する。要求部604は、ルータ110に接続されるノードに割り当てる仮想グローバルアドレスが足りない場合に、不足分に対する割当を要求する。
トンネリング部605は、送信するパケットをカプセル化して、暗号化などのIPsecに沿った処理を行う。また、パケットを受信した場合、受信したパケットのカプセル化を解除してルーティング部601にわたす。送受信部606は、カプセル化したパケットをゲートウェイ100に送り、ゲートウェイ100からパケットが送信された場合、パケットを受信してトンネリング部605にわたす。
図6−2は、ルータによる仮想グローバルアドレスの割当処理を説明するフローチャートである。まず、要求部604は、ゲートウェイ100に送信するための、LAN114で割り当てるのに必要なアドレスの範囲を決定する(ステップS601)。たとえば5個のノードがルータ110に接続される場合は、必要なアドレスの範囲を5とする。
このステップは、最初にルータ110に各ノードを接続して、接続された各ノードの仮想グローバルアドレスを決定することによって開始しても良い。また、すでにノードが接続され仮想グローバルアドレスが割り当てられている状態で、新しくノードを接続することによって開始しても良い。新たにノードを例えば3つ接続した場合は、必要なアドレスの範囲を3とする。
次に、送受信部606は、必要なアドレスの範囲について、ゲートウェイ100に割当要求を送信する(ステップS602)。送信した割当要求に対し、ゲートウェイ100は割当アドレスの範囲を返信するので、送受信部606は、この割当アドレスの範囲を受信する(ステップS603)。
送受信部606は、アドレスの割り当てが必要なノード数に対し、受信した割当アドレスの範囲が十分か否かを判定する(ステップS604)。割当アドレスの範囲が不十分と判定された場合(ステップS604:No)、割当が不十分であるとの情報を返信し(ステップS605)、ステップS602に戻る。
割当アドレスの範囲が十分と判定された場合(ステップS604:Yes)、送受信部606は、割当アドレスの範囲が十分であるとの情報をゲートウェイ100に返信する(ステップS606)。次に、設定部603は、割当アドレスの範囲でアドレスを各ノードに設定する(ステップS607)。すなわち、受け取った仮想グローバルアドレスの範囲に基づき、LAN114全体の仮想グローバルアドレスを割り当てる。
ルーティングテーブル602には、宛先のIPアドレスと、これに対応するポート番号やMACアドレスなど、接続先のノードを特定する情報が書き込まれている。このルーティングテーブル602に書かれる宛先のIPアドレスを、各ノードに割り当てられる仮想グローバルアドレスとして書き込むことで、ユーザネットワーク内部のアドレス体系が再構築される。
図7−1は、このルーティングテーブルの概要を説明する説明図である。ここでは、図2に示したルータ110の、ルーティングテーブル602について説明する。プライベートアドレス701は、プライベートアドレスの一覧であり、これに対してノード情報702がそれぞれ割り当てられている。
ノード情報702は、接続先のノードを特定する情報であり、実際には、ポート番号やMACアドレスなどである。ルータ110は、このルーティングテーブル602を参照し、パケットのヘッダに書かれているプライベートアドレスに対応するノード情報702を特定する。そしてノード情報702にしたがってパケットは転送される。
この実施の形態では、このプライベートアドレス701を仮想グローバルアドレス703に書き換える。仮想グローバルアドレス703も、実際にはプライベートアドレスであって、これを転用したものであるが、通常のプライベートアドレスは、そのノードが属するネットワーク中で固有のものである。この実施の形態では、ゲートウェイ100を用いて構築されるネットワーク全体でプライベートアドレスを共通に用い、これを仮想グローバルアドレスと呼んでいる。そしてこの実施の形態では、この仮想グローバルアドレス703を、通常のLANで使用していたプライベートアドレス701に置き換える。
図7−2は、他のルーティングテーブルの概要を説明する説明図である。ここでは、図3に示したように、ルータ110が、BBルータ310とローカルルータ320に分けた場合について説明する。プライベートアドレス701およびノード情報702は、図7−1で説明したものと同じである。
ここで、ローカルルータ320は、BBルータ310とローカルエリアネットワークで接続されたままである。その一方で、BBルータ310を切り離した別個のローカルエリアネットワークを、割り当てられた仮想グローバルアドレスを用いて作ることになる。ここで、図7−1の場合と同様に、このプライベートアドレス701を仮想グローバルアドレス703に書き換える。その一方で、ローカルルータ320は、ルーティングテーブル602に、プライベートアドレス704と装置情報705との対応を残す。
したがって、ローカルルータ320は、BBルータ310との間では、プライベートアドレス704と装置情報705に基づいて通信する。一方、LAN114においては、ノード情報702と仮想グローバルアドレス703に基づいて通信する。
図8は、ゲートウェイの機能的構成を説明するブロック図である。受信部801は、インターネットを介して送信されたパケットを受信する。パケットはLAN114、124、134から送信される。トンネリング部802は、送信するパケットを宛先管理部804から受け取ってカプセル化して、暗号化などのIPsecに沿って処理する。また、受信したパケットのカプセル化を解除して宛先管理部804にわたす。
宛先管理テーブル803は、ゲートウェイ100で管理するノードのプライベートアドレスの範囲と、このノードにVPNを介してパケットを送信するときの宛先となるルータのグローバルアドレスを対応付けて記憶している記憶部である。
宛先管理部804は、宛先管理テーブル803に書き込まれているプライベートアドレスの範囲とグローバルアドレスの対応関係を参照して、受信したパケットの転送先となるグローバルアドレスを決定する。決定したグローバルアドレスは、カプセル化したパケットのヘッダに宛先IPアドレスとして記述される。
割当部805は、ルータ110,120,130からアドレスの割当要求があった場合、割当要求で指定されるアドレス数に応じて割り当てるアドレス範囲を決定する。そして、割当要求があったルータとの間で確認が取れた後に、宛先管理テーブル803に記憶されるプライベートアドレスの範囲とルータのグローバルアドレスの対応関係を、割り当てたアドレス範囲と割当先のグローバルアドレスに応じて書き換える。
送信部806は、トンネリング部802でカプセル化したパケットを、ヘッダに記述されたグローバルアドレスで特定されたルータに送信する。
図9は、ゲートウェイによる仮想グローバルアドレスの割当処理を説明するフローチャートである。ゲートウェイ100には、ゲートウェイ100自身の仮想グローバルアドレスが設定されている。このアドレスを「10.2.1.1」とする。
まず、受信部801は、ルータ110から割当要求を受信する(ステップS901)。次に、割当部805は、割当要求によって指定されている範囲に応じて、LAN114に対して割り当てるアドレスの範囲を決定する(ステップS902)。
アドレスの範囲の決定について説明する。ルータ110において、5つのノードに対する割り当てが要求されている場合、割当部805は、5つの仮想グローバルアドレスを割り当てると決定する。割り当て範囲の最初は、「10.2.1.2」であり、これを含めて5つがLAN114に割り当てられるので、割り当て範囲の最後は「10.2.1.6」となる。したがって、割り当てるアドレスの範囲は「10.2.2.2−6」となる。
以上のように、ルータ110では、「10.2.2.2−6」がアドレスの範囲として割り当てられた場合、LAN114の各ノードには、「10.2.2.2」、「10.2.2.3」、・・・、「10.2.2.6」と、仮想グローバルアドレスが割り当てられていく。そしてこの割り当てた仮想グローバルアドレスに合わせて、ルータ110のルーティングテーブル602が更新される。
ルータ110は、仮想グローバルアドレスが付加されたパケットを受け取った場合、仮想グローバルアドレスと接続先のノードを特定する情報との対応関係を参照する。そして、仮想グローバルアドレスにより特定されるノードにパケットを送信する。
ここで、5つのノードへの割り当てに対し、5つの仮想グローバルアドレスを割り当てているが、余分にアドレスを割り当てておくこともできる。たとえば、1度に割り当てる仮想グローバルアドレスの最小数を8と決めておき、8より少ない場合は8個の仮想グローバルアドレスを割り当てることができる。また、8以上の場合は、要求されるグローバルアドレスの範囲より大きくなる範囲で8の倍数とすることができる。例えば、要求数が14の場合は割り当てる数を16に、要求数が16の場合は割り当てる数を24にすることができる。なお、この8という値はもちろん別の値とすることができ、10の倍数でも、16の倍数でも良い。
割り当てる仮想グローバルアドレスの最初は、ここでは「10.2.1.2」としたが、割り当て先に応じてこの開始アドレスを変えることもできる。例えば、「10.2.1.2」〜「10.2.1.6」について仮想グローバルアドレスが割り当てられているネットワーク(たとえば、LAN114。)から、再度3つの仮想グローバルアドレスの割当が要求された場合、「10.2.1.7」から開始するのが望ましい。そこで、割り当てる仮想グローバルアドレスの最初を、「10.2.1.7」とする。
一方、別のネットワーク(たとえば、LAN124。)から仮想グローバルアドレスの割当が要求された場合、「10.2.3.1」からはじめることができる。このようにすることで、仮想グローバルアドレスの割当が虫食い状態になることを防ぐことができる。その結果、仮想グローバルアドレスとネットワークの関係が明瞭になり、仮想グローバルアドレスの割り当て処理やルーティング処理への負担が軽減される。
送信部806は、以上のように決定されたアドレスの範囲を、ルータ110に送信する(ステップS903)。送信後、割当部805は、ルータ110からの返答を待ち、LAN114における割当が十分か否かを判定する(ステップS904)。すなわち、ルータ110が、図6−2のステップS605で説明した割当が十分でないことを示す情報を返信したか、または図6のステップS606で説明した割当が十分であることを示す情報を返信したかを判定する。
割当が不十分の場合(ステップS904:No)、ステップS902に戻る。割当が十分の場合(ステップS904:Yes)、割当部805は、宛先管理テーブル803を書き換える(ステップS905)。すなわち、転送先であるルータ110のグローバルアドレスと、ルータ110に接続されているLAN114の仮想グローバルアドレスの範囲を対応付けて記憶する。
このゲートウェイ100には、新規にネットワークを構築する場合は、割り当てられている仮想グローバルアドレスが存在しない。一方、すでに他のゲートウェイが存在して、存在するゲートウェイに接続することによりネットワークを構築する場合には、既存のネットワークにおける空いた仮想グローバルアドレスの範囲を受け取ることにより、割当可能な仮想グローバルアドレスを確保する。この場合、ゲートウェイ100自身の仮想グローバルアドレスは、この割当可能な仮想グローバルアドレスの範囲内で設定される。
図10は、ゲートウェイの宛先管理テーブルの概要を説明する説明図である。宛先管理テーブル803は、転送先ネットワークにおける仮想グローバルアドレスの範囲1001を、転送先ネットワークのグローバルアドレス1002に対応付けて記憶する。仮想グローバルアドレスのアドレス範囲1001は、受け取ったパケットが示す仮想グローバルアドレスと参照する上で使用される。そして、アドレス範囲1001のうち、受け取ったパケットが示す仮想グローバルアドレスが含まれるものに対応するグローバルアドレス1002が選択される。
ゲートウェイ100は、受け取ったパケットのカプセル化を解除するが、このルーティングテーブル602に基づいて、宛先となるグローバルアドレス1002を決定する。そして、カプセル化を解除されたパケットを再びカプセル化して、ヘッダ部にグローバルアドレス1002を宛先として書き込む。
次に、図11〜図13を用いて、IPv6のアドレスでカプセル化する場合のパケットの構成およびアドレスの形式について説明する。図11は、パケットの構成例を説明する説明図である。パケット1100は、発信側アドレス1101、受信側アドレス1102、ヘッダ1103、データ1104によって構成される。
発信側アドレス1101および受信側アドレス1102には、IPアドレスが書き込まれ、データ形式はIPv4とIPv6の両方が考えられる。データ1104は、あて先のノードで実際に処理される形式で記述される、たとえばパケット1100が印刷データの場合は、ページ記述言語などの実際に受信側で処理される形式で記述される。
図12は、IPv6のヘッダをつける場合のアドレスを説明する説明図である。ここまでは、各ノードに割り当てられるアドレスを、パケットにIPv4アドレスを付加する場合を想定して説明してきたが、ここではパケットにIPv6アドレスを付加する場合を想定して説明する。
IPv6では、各ノードに固有のアドレスを割り当てることができる。このIPv6のアドレスは、GRP(グローバル・ルーティング・プレフィックス)によって識別されるアドレスを含み、IPv4におけるグローバルアドレスに相当する。このGRPによる識別により、ネットワークを特定して通信する、相互に直接通信が可能になる。
IPv4のアドレスをIPv6でカプセル化する場合のアドレスの構成は、アドレス1200に示す通りであり、一方IPv6のアドレスをIPv6でカプセル化する場合のアドレスの構成は1210に示す通りである。このアドレス1200およびアドレス1210において、前半の64ビットには通常の処理に従ってアドレスが割り当てられ、残り64ビットに、この実施の形態にあわせてアドレスが割り当てられる。
まずアドレス1200について説明する。先頭の3ビットには、アドレス形式プリフィックス1201が割り当てられる。具体的には、「000」が記述される。この「000」を識別することにより、IPv4のアドレスにより特定されるパケットをカプセル化していることが識別される。
次の23ビットは、空ビット1202で、23ビット分の0によって構成される。アドレス1200の前半部は64ビットであるのに対し、このうち、IPv4グローバル・アドレス1203は32ビット分、サブネット1204は6ビット分なので、残りの23ビットを空ビット1202の0で埋めることで、64ビット全体を構成することができる。
次の32ビットには、IPv4グローバル・アドレス1203が割り当てられる。この32ビットは、発信側または受信側のネットワークに割り当てられているIPv4のグローバル・アドレスである。さらに、次の6ビットには、サブネット1204が割り当てられる。このサブネット1204は、IPv4グローバル・アドレス1203の32ビットに対応させて6ビットとなっている。以上の64ビットにより、各ノードが属するネットワークのグローバル・アドレスが特定される。そして、残りの64ビットは、インタフェースID1205によって構成される。
次にアドレス1210について説明する。先頭の3ビットには、アドレス形式プリフィックス1211が割り当てられる。具体的には、「001」が記述される。この「001」を識別することにより、IPv6のアドレスにより特定されるパケットをカプセル化していることが識別される。
次の45ビットには、GRP(グローバル・ルーティング・プレフィックス)アドレス1212が割り当てられる。この45ビットは、最上位階層集約子TLA_IDが13ビット分、予約アドレスが8ビット分、次階層集約子NLA_IDが24ビット分を占める。さらに、次の16ビットには、サイト階層集約子SLA_IDであるサブネット1213が割り当てられる。以上の64ビットにより、各ノードが属するネットワークのグローバル・アドレスが特定される。そして、残りの64ビットは、アドレス1200を構成するものと同じ、インタフェースID1205によって構成される。
次に、インタフェースID1205について説明する。インタフェースID1205を構成する64ビット中32ビットには、上述したIPv4プライベートアドレス1203がそのまま割り当てられる。そして、残り32ビットは、各装置に割り当てられたデバイスID1230を割り当てることができる。
デバイスID1230としては、たとえば、32ビット中の8ビットに、USBデバイス・アドレス1231を割り当てることもできる。また、デバイスID1230の32ビット中の8ビットに、IEEE1394デバイス・アドレス1232を割り当てることもできる。また、残り32ビット中必要なビット長に、携帯電話番号やFAX番号の、VoIPの電話番号を記述するアドレス情報1233に割り当てることができる。このように、後半の64ビットに、各ネットワーク内の各ノードに関する情報を割り当てることができる。
このように、IPv6によるアドレスを構築し、この中でデバイスID1230を含めたアドレスを割り当てることにより、各プライベートネットワークに属するローカルデバイスに対して、VPNを介して外部ネットワークから直接処理要求を送信することができる。
たとえば、PC121から、LAN114に含まれるプリンタに印刷要求をする場合、このプリンタがUSBで接続されている場合はUSBデバイス・アドレス1231を、IEEE1394で接続されている場合にはIEEE1394デバイス・アドレスを、受信側アドレスに含まれるデバイスID1230として送信する。
図11に示したデータ1104は、たとえばUSBの場合であれば、実際にUSB端子から入力されるデータの集合である。したがってデバイスID1230によってデバイスを特定することにより、途中のネットワークを介して送受信すべきデータに変換することなく、直接的に対象となるローカルデバイスにパケットを送り込むことができる。
図13は、IPv6のアドレスが割り当てられたネットワークの構成を説明する説明図である。送受信されるパケットのヘッダに付加されるアドレスは、図12で説明したように、128ビット中前半の64ビットがグローバル空間上で参照され、該当するプライベートネットワークにパケットが送信される。各プライベートネットワーク上では、後半の64ビットであるインタフェースID1205を参照することにより、パケットを各ノードに送信する。
このネットワークには、ゲートウェイ1300(VPN−00)に、ルータ1310(VPN−01)、ルータ1320(VPN−02)、ルータ1330(VPN−03)、ルータ1340(VPN−04)、ルータ1350(VPN−05)が接続されている。ゲートウェイ1300は、VPNサービスプロバイダであり、各ルータとの間の接続を管理している。ルータ1310〜ルータ1350に対しては、それぞれ図12で説明したGRPアドレス1212が割り当てられ、それぞれIPv6GRP01〜IPv6GRP05である。
さらに、ルータ1310〜1350には、それぞれIPv4のプライベートアドレスが割り当てられている。具体的には、ルータ1310には、192.168.0.x、ルータ1320には、192.168.0.x、ルータ1330には、192.168.1.x、ルータ1340には、10.0.1.x、ルータ1350には、10.1.1.xが割り当てられている。これらのプライベートアドレスは、上述のようにグローバルネットワークで用いられるものではなく、各ルータによって管理されるプライベートネットワーク内で使用されるアドレスである。
ルータ1310にはPC1314が接続され、PC1314を介してスキャナ1315と接続される。このスキャナ1315は、読み込んだ画像を他のネットワークに属する他のノードに送信したり、他のノードからの処理指示を受けて読み込み動作を行ったりする。スキャナ1315はUSBで接続されているので、スキャナ1315のアドレスには図12に示したUSBデバイス・アドレス1231が含まれる。
ルータ1320にはPC1324が接続され、PC1324を介してプリンタ1325と接続される。このプリンタ1325が、他のネットワークに属する他のノードからデータを受け取って印刷したり、印刷に関する双方向処理を行ったりする。プリンタ1325はIEEE1394で接続されているので、プリンタ1325のアドレスには図12に示したIEEE1394デバイス・アドレス1232が含まれる。
ルータ1330にはPC1334が接続され、また多機能機1335と接続される。この多機能機1335が、他のネットワークに属する他のノードからデータを受け取ってデータに応じた処理を行ったり、その他の双方向処理を行ったりする。
ルータ1340にはFAX1345が接続される。このFAX1345は、VoIPを用いて送受信を行うFAX装置である。FAX1345はVoIPを利用するので、FAX1345のアドレスには図12に示したアドレス情報1233が含まれる。
ルータ1350は携帯電話1355との間で通信処理を行う。この携帯電話1355は、VoIPを用いて音声通信を行う。携帯電話1355はVoIPを利用するので、携帯電話1355のアドレスには図12に示したアドレス情報1233が含まれる。
以上のようにアドレスを構成することにより、各ノードのデバイスID1230を特定してデータを送受信することができる。それにより、パケットにUSBやIEEE1394のフレームを入れることができる。この各インタフェース固有のデータをパケット中に含めて通信することにより、外部のネットワークから、たとえばUSBやIEEE1394で接続されたプリンタやスキャナなどの周辺機器に対しても、外部のネットワークから遠隔操作することが可能になる。そして、VPNで接続されたネットワーク全体で、1つのネットワークであるかのように周辺機器などへの処理の指示を送信することができる。
以上説明したように、本発明にかかる通信装置、通信管理装置、通信方法および通信制御プログラムによれば、外部のネットワークに割り当てられているプライベートアドレスと共通のアドレス体系を構築することができる。その結果、共通のアドレス体系が構築されているネットワーク空間全体に対して、1つ1つのノードを特定することができるので、同一のローカルエリアネットワークに属さないノード同士でも、互いに相手を特定して相互に通信することができる。
以上のように、本発明にかかる通信装置、通信管理装置、通信方法および通信制御プログラムは、ゲートウェイを介して複数のローカルエリアネットワークで通信する場合に有用であり、特に、異なるネットワークに属するノード間での通信に適している。
本発明の実施の形態にかかるネットワークを説明するブロック図である。 ゲートウェイと、ゲートウェイに接続されたLANの1つの接続構成を説明するブロック図である。 ルータ110の機能をBBルータ310とローカルルータ320に分けた場合の接続構成を説明するブロック図である。 ゲートウェイを挟んだローカルエリアネットワーク間でのパケットの送受信を説明するブロック図である。 通信制御装置のハードウェア構成を説明するブロック図である。 ルータの機能的構成を説明するブロック図である。 ルータによる仮想グローバルアドレスの割当処理を説明するフローチャートである。 ルーティングテーブルの概要を説明する説明図である。 他のルーティングテーブルの概要を説明する説明図である。 ゲートウェイの機能的構成を説明するブロック図である。 ゲートウェイによる仮想グローバルアドレスの割当処理を説明するフローチャートである。 ゲートウェイの宛先管理テーブルの概要を説明する説明図である。 パケットの構成例を説明する説明図である。 IPv6のヘッダをつける場合のアドレスを説明する説明図である。 IPv6のアドレスが割り当てられたネットワークの構成を説明する説明図である。
符号の説明
100 ゲートウェイ
110,120,130 ルータ
310 BBルータ
320 ローカルルータ
601 ルーティング部
602 ルーティングテーブル
603 設定部
604 要求部
605 トンネリング部
606 送受信部

Claims (10)

  1. 一方でインターネットを介して外部の通信管理装置にアクセスし、他方で複数のノードにより構成される内部ネットワークに接続し、前記複数のノードのそれぞれを、プライベートアドレスを用いて識別することにより前記ノード間の通信を制御する通信装置であって、
    前記通信管理装置に接続される複数のローカルエリアネットワークにより構成されるネットワークの全体において、前記内部ネットワークに割り当てられるプライベートアドレスの範囲を示す割当範囲情報を、前記通信管理装置から受信する受信手段と、
    前記受信手段によって受信された前記割当範囲情報が示す範囲内で、前記ノードに対応したプライベートアドレスを設定する設定手段と、
    を備えることを特徴とする通信装置。
  2. 前記内部ネットワークに含まれるノードから送信されるパケットの宛先を判定する判定手段と、
    前記判定手段によって、前記パケットの宛先が前記内部ネットワーク内のノードでないと判定された場合、前記パケットをカプセル化して前記通信管理装置に送信するパケット送信手段と、
    を備えることを特徴とする請求項1に記載の通信装置。
  3. 前記ノード間の通信を制御するために、前記プライベートアドレスと前記ノードとの対応関係を記憶する記憶手段を備え、
    前記設定手段は、前記受信手段によって受信された前記割当範囲情報が示すプライベートアドレスを、前記記憶手段に記憶させることを特徴とする請求項1または2に記載の通信装置。
  4. 前記通信管理装置から送信されたパケットを受信するパケット受信手段と、
    前記パケット受信手段で受信したパケットのカプセル化を解除し、カプセル化を解除されたパケットのヘッダに記述されるプライベートアドレスに基づいて、前記内部ネットワーク内の宛先ノードを特定し、特定された宛先ノードに該カプセル化を解除されたパケットを配信する配信手段と、
    を備えることを特徴とする請求項1〜3のいずれか一つに記載の通信装置。
  5. インターネットを介して接続される通信装置からの要求を受信する受信手段と、
    前記受信手段によって前記要求を受信した場合に、前記通信装置によって管理されるネットワーク内のノードであることを特定するプライベートアドレスの範囲を、前記通信装置に割り当てる割当手段と、
    前記割当手段によって割り当てられたプライベートアドレスの範囲を示す情報を前記通信装置に送信する送信手段と、
    を備えることを特徴とする通信管理装置。
  6. 一方でインターネットを介して通信管理装置にアクセスし、他方で複数のノードにより構成される内部ネットワークに接続する通信装置において、前記複数のノードのそれぞれを、プライベートアドレスを用いて識別することにより前記ノード間の通信を制御する通信方法であって、
    前記通信管理装置に接続される複数のローカルエリアネットワークにより構成されるネットワークの全体において、前記内部ネットワークに割り当てられるプライベートアドレスの範囲を示す割当範囲情報を、前記通信管理装置から受信する受信工程と、
    前記受信工程によって受信された前記割当範囲情報が示す範囲内で、前記ノードに対応したプライベートアドレスを設定する設定工程と、
    を含むことを特徴とする通信方法。
  7. 前記内部ネットワークに含まれるノードから送信されるパケットの宛先を判定する判定工程と、
    前記判定工程によって、前記パケットの宛先が前記内部ネットワーク内のノードでないと判定された場合、前記パケットをカプセル化して前記通信管理装置に送信するパケット送信工程と、
    を含むことを特徴とする請求項6に記載の通信方法。
  8. 前記通信管理装置から送信されたパケットを受信するパケット受信工程と、
    前記パケット受信工程で受信したパケットのカプセル化を解除し、カプセル化を解除されたパケットのヘッダに記述されるプライベートアドレスに基づいて、前記内部ネットワーク内の宛先ノードを特定し、特定された宛先ノードに該カプセル化を解除されたパケットを配信する配信工程と、
    を備えることを特徴とする請求項6または7に記載の通信方法。
  9. 通信管理装置と、一方でインターネットを介して該通信管理装置にアクセスし、他方で複数のノードにより構成される内部ネットワークに接続する通信装置の間における通信方法であって、
    前記通信管理装置が、前記通信管理装置に接続される複数のローカルエリアネットワークにより構成されるネットワークの全体における、前記内部ネットワークに割り当てられるプライベートアドレスの範囲を前記通信装置に割り当てる割当工程と、
    前記通信管理装置が、前記プライベートアドレスの範囲を示す割当範囲情報を、前記通信装置に送信する送信工程と、
    前記通信装置が、前記プライベートアドレスの範囲を示す割当範囲情報を、前記通信管理装置から受信する受信工程と、
    前記通信装置が、前記送信工程によって送信された前記割当範囲情報が示す範囲内で、前記ノードに対応したプライベートアドレスを設定する設定工程と、
    前記通信管理装置が、該通信管理装置に接続される他の通信装置からパケットを受信した場合に、受信したパケットが前記割当工程によって前記通信装置に割り当てられたプライベートアドレスを宛先とするか否かを判定する判定工程と、
    前記通信管理装置が、前記判定工程によって前記他の通信装置から受信したパケットが前記通信装置に割り当てられたプライベートアドレスを宛先とすると判定された場合に、前記外部の通信装置から受信したパケットの前記プライベートアドレスを含むデータ部をカプセル化して前記通信装置に送信するパケット送信工程と、
    前記通信装置が、前記パケット送信工程によって送信されたパケットを受信して、前記パケットに含まれるプライベートアドレスで特定される宛先のノードに、前記パケットを配信する配信工程と、
    を含むことを特徴とする通信方法。
  10. インターネットを介して通信管理装置にアクセスし、複数のノードにより構成される内部ネットワークに接続する通信装置において、前記複数のノードのそれぞれを、プライベートアドレスを用いて識別することにより前記ノード間の通信を制御させる通信制御プログラムであって、
    前記通信管理装置に接続される複数のローカルエリアネットワークにより構成されるネットワークの全体において、前記内部ネットワークに割り当てられるプライベートアドレスの範囲を示す割当範囲情報を、前記通信管理装置から受信させる受信工程と、
    前記受信工程によって受信された前記割当範囲情報が示す範囲内で、前記ノードに対応したプライベートアドレスを設定させる設定工程と、
    を含むことを特徴とする通信制御プログラム。
JP2004314865A 2004-10-28 2004-10-28 通信装置、通信管理装置、通信方法および通信制御プログラム Pending JP2006129090A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004314865A JP2006129090A (ja) 2004-10-28 2004-10-28 通信装置、通信管理装置、通信方法および通信制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004314865A JP2006129090A (ja) 2004-10-28 2004-10-28 通信装置、通信管理装置、通信方法および通信制御プログラム

Publications (1)

Publication Number Publication Date
JP2006129090A true JP2006129090A (ja) 2006-05-18

Family

ID=36723284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004314865A Pending JP2006129090A (ja) 2004-10-28 2004-10-28 通信装置、通信管理装置、通信方法および通信制御プログラム

Country Status (1)

Country Link
JP (1) JP2006129090A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011010735A1 (ja) * 2009-07-24 2011-01-27 ヤマハ株式会社 中継装置
JP2016503627A (ja) * 2012-11-26 2016-02-04 ▲ホア▼▲ウェイ▼技術有限公司 Ipパケット処理方法および装置、ならびにネットワークシステム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011010735A1 (ja) * 2009-07-24 2011-01-27 ヤマハ株式会社 中継装置
JP2016503627A (ja) * 2012-11-26 2016-02-04 ▲ホア▼▲ウェイ▼技術有限公司 Ipパケット処理方法および装置、ならびにネットワークシステム
US10454880B2 (en) 2012-11-26 2019-10-22 Huawei Technologies Co., Ltd. IP packet processing method and apparatus, and network system

Similar Documents

Publication Publication Date Title
TWI449380B (zh) 資料中心網路系統及其封包傳送方法
US9281995B2 (en) Virtual network and management method of virtual network
US6038233A (en) Translator for IP networks, network system using the translator, and IP network coupling method therefor
JPWO2005027438A1 (ja) パケット中継装置
JP5239618B2 (ja) アドレス変換装置、方法及びプログラム、並びにノード
JP4764737B2 (ja) ネットワークシステム、端末およびゲートウェイ装置
US20050010686A1 (en) Router and address indentification information management server
US8737396B2 (en) Communication method and communication system
JP2003273935A (ja) 相異なるプライベートネットワークに存在するネットワーク機器間の直接接続を提供するネットワーク接続装置及びその方法
JP4561983B2 (ja) ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム
CN105264855A (zh) 一种实现私网穿越的方法、装置和系统
JP5323674B2 (ja) DNS(DomainNameSystem)登録装置、VPN(VirtualPrivateNetwork)間接続管理システム、広域DNS装置、DNS登録プログラム、広域DNSプログラム、DNS登録方法、及びVPN間接続管理方法
JP4600394B2 (ja) ネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体
JP4381642B2 (ja) 階層化網と非階層化網との混在環境での経路制御方法及びその装置
JP2017224895A (ja) 通信制御プログラム、通信制御方法及び通信制御装置
US20050232273A1 (en) Communications system and a gateway device
Iannone et al. Implementing the locator/id separation protocol: Design and experience
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
JP7426513B2 (ja) 室内ユニットと室外ユニットの間のマルチpdn実装方法及び記憶媒体
WO2014156143A1 (ja) ホームゲートウェイ装置およびパケット転送方法
JP2010062757A (ja) Dnsプロキシ装置及びdns中継方法
JP4011528B2 (ja) ネットワーク仮想化システム
JP2003167805A (ja) 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置
JP2006129090A (ja) 通信装置、通信管理装置、通信方法および通信制御プログラム
JP5911620B2 (ja) 仮想ネットワーク管理サーバ及びエッジルータ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070706

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090819

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090915

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100126