JP2007049499A - Communication method and apparatus - Google Patents

Communication method and apparatus Download PDF

Info

Publication number
JP2007049499A
JP2007049499A JP2005232557A JP2005232557A JP2007049499A JP 2007049499 A JP2007049499 A JP 2007049499A JP 2005232557 A JP2005232557 A JP 2005232557A JP 2005232557 A JP2005232557 A JP 2005232557A JP 2007049499 A JP2007049499 A JP 2007049499A
Authority
JP
Japan
Prior art keywords
address
terminal
virtual
communication
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005232557A
Other languages
Japanese (ja)
Other versions
JP4712481B2 (en
Inventor
Daisuke Sato
大介 佐藤
Yuji Sunochi
雄司 須之内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fractalist Inc
Original Assignee
Fractalist Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fractalist Inc filed Critical Fractalist Inc
Priority to JP2005232557A priority Critical patent/JP4712481B2/en
Publication of JP2007049499A publication Critical patent/JP2007049499A/en
Application granted granted Critical
Publication of JP4712481B2 publication Critical patent/JP4712481B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communication method and apparatus for ensuring a communication path in the case that a NAT function is installed for IP communication between a terminal in a LAN being a closed network configured by private addresses and a terminal at the outside of the LAN. <P>SOLUTION: The communication apparatus connected to a network device with the NAT function and terminals in a LAN includes: a means for setting the private address; a means for allocating a virtual IP address to the terminal; and a means that converts the virtual IP address written in a sender address of an IP packet received from the terminal into the private address set to the communication apparatus itself, and converts the virtual IP address of a destination terminal written in the destination address of the IP packet into a global address set to the network device for providing the NAT function to the destination terminal. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、通信方法および装置に関し、より詳細には、プライベートアドレスを用いて構成された閉域網であるLAN内の端末と、当該LAN外の端末とのIP通信において、NAT機能が実装されている場合に通信経路を確保するための通信方法および装置に関する。   The present invention relates to a communication method and apparatus, and more specifically, a NAT function is implemented in IP communication between a terminal in a LAN, which is a closed network configured using a private address, and a terminal outside the LAN. The present invention relates to a communication method and apparatus for securing a communication path when there is an error.

近年、インターネットに接続するコンピュータの増大により、IPアドレスの不足という問題が顕著化している。そこで、IPアドレスの不足を解消するための一つの方法として、NAT(Network Address Translator)機能が利用されている。NAT機能は、閉域網であるLAN内のプライベートアドレスを有するクライアントと、インターネット内のグローバルアドレスを有するホストコンピュータとの間で通信を行うために、アドレス変換を行う。   In recent years, due to the increase in computers connected to the Internet, the problem of lack of IP addresses has become prominent. Therefore, a NAT (Network Address Translator) function is used as one method for solving the shortage of IP addresses. The NAT function performs address conversion in order to perform communication between a client having a private address in a LAN, which is a closed network, and a host computer having a global address in the Internet.

図1に、NAT機能を説明するためのネットワーク接続図を示す。クライアント11には、プライベートアドレスAとグローバルアドレスMとが割り当てられている。ルータ13には、NAT機能が実装されており、プライベートアドレスをグローバルアドレスに変換するための変換テーブルが格納されている。ここでクライアント11からインターネット内のホスト12(グローバルアドレスN)へ、ルータ13,14を介してIPパケットを送信する。クライアント11から送信されるIPパケットのヘッダには、宛先アドレス21として「N」、送信元アドレス22として「A」が書き込まれ、TCPヘッダには、宛先ポート番号23として「200」、送信元ポート番号24として「100」が書き込まれている。ルータ13は、変換テーブルを参照して、送信元アドレス22のプライベートアドレスAをグローバルアドレスMに変換し、ルータ14に向けてパケットを送信する。   FIG. 1 shows a network connection diagram for explaining the NAT function. A private address A and a global address M are assigned to the client 11. The router 13 has a NAT function and stores a conversion table for converting a private address to a global address. Here, the IP packet is transmitted from the client 11 to the host 12 (global address N) in the Internet via the routers 13 and 14. In the header of the IP packet transmitted from the client 11, “N” is written as the destination address 21 and “A” is written as the source address 22, and “200” is set as the destination port number 23 in the TCP header. “100” is written as the number 24. The router 13 refers to the conversion table, converts the private address A of the source address 22 to the global address M, and transmits the packet to the router 14.

次に、ホスト12からクライアント11へ、ルータ14,13を介してIPパケットを送信する。ホスト12から送信されるIPパケットのヘッダには、宛先アドレス31として「M」、送信元アドレス32として「N」が書き込まれ、TCPヘッダには、宛先ポート番号33として「100」、送信元ポート番号34として「200」が書き込まれている。ルータ13は、変換テーブルを参照して、宛先アドレス31のグローバルアドレスMをプライベートアドレスAに変換し、LAN内のクライアント11に向けてパケットを送信する。   Next, an IP packet is transmitted from the host 12 to the client 11 via the routers 14 and 13. “M” as the destination address 31 and “N” as the source address 32 are written in the header of the IP packet transmitted from the host 12, and “100” is set as the destination port number 33 in the TCP header. “200” is written as the number 34. The router 13 refers to the conversion table, converts the global address M of the destination address 31 to the private address A, and transmits the packet toward the client 11 in the LAN.

特開2005−117587号公報JP 2005-117487 A

プライベートアドレスを用いて構成された閉域網であるLAN内のクライアント(端末)とのIP通信において、NAT機能が実装されている場合、該LAN外のホストコンピュータなどの(端末)からクライアント(端末)に接続することができないという問題があった。   When the NAT function is implemented in IP communication with a client (terminal) in a LAN that is a closed network configured using a private address, the client (terminal) from the (terminal) such as a host computer outside the LAN There was a problem that could not be connected to.

本発明は、このような問題に鑑みてなされたもので、その目的とするところは、プライベートアドレスを用いて構成された閉域網であるLAN内の端末と、当該LAN外の端末とのIP通信において、NAT機能が実装されている場合に通信経路を確保するための通信方法および装置を提供することにある。   The present invention has been made in view of such problems, and its object is to provide IP communication between a terminal in a LAN, which is a closed network configured using a private address, and a terminal outside the LAN. The present invention provides a communication method and apparatus for securing a communication path when a NAT function is implemented.

本発明は、このような目的を達成するために、請求項1に記載の発明は、プライベートアドレスを用いて構成されたネットワーク内において、NAT機能を有するネットワーク機器と、端末とに接続され、当該端末についての前記ネットワーク外とのIP通信の通信経路を確保するための通信装置において、前記プライベートアドレスを設定する手段と、前記端末に対して仮想IPアドレスを割り当てる手段と、前記端末から受信するIPパケットの送信元アドレスに書き込まれた前記端末に割り当てた前記仮想IPアドレスを、前記通信装置に設定された前記プライベートアドレスに変換し、前記端末から受信するIPパケットの宛先アドレスに書き込まれた宛先端末の仮想IPアドレスを、前記宛先端末にNAT機能を提供するネットワーク機器に設定されたグローバルアドレスに変換する手段とを備えたことを特徴とする。   In order to achieve such an object, the present invention provides a network system configured using a private address, wherein the invention is connected to a network device having a NAT function and a terminal. In a communication apparatus for securing a communication path for IP communication with respect to a terminal outside the network, means for setting the private address, means for assigning a virtual IP address to the terminal, and IP received from the terminal The virtual IP address assigned to the terminal written in the source address of the packet is converted into the private address set in the communication device, and the destination terminal written in the destination address of the IP packet received from the terminal Of the virtual IP address of the network providing the NAT function to the destination terminal. Characterized by comprising a means for converting the set global address to the click device.

請求項3に記載の発明は、プライベートアドレスを用いて構成されたネットワーク内で、NAT機能を有するネットワーク機器と、端末とに接続され、当該端末についての前記ネットワーク外とのIP通信の通信経路を確保するための通信方法において、前記プライベートアドレスを設定するステップと、前記端末に対して仮想IPアドレスを割り当てるステップと、前記端末から受信するIPパケットの送信元アドレスに書き込まれた前記端末に割り当てた前記仮想IPアドレスを、前記通信装置に設定された前記プライベートアドレスに変換し、前記端末から受信するIPパケットの宛先アドレスに書き込まれた宛先端末の仮想IPアドレスを、前記宛先端末にNAT機能を提供するネットワーク機器に設定されたグローバルアドレスに変換するステップとを含むことを特徴とする。   The invention described in claim 3 is connected to a network device having a NAT function and a terminal in a network configured using a private address, and a communication path for IP communication between the terminal and the outside of the network. In the communication method for securing, the step of setting the private address, the step of assigning a virtual IP address to the terminal, and the terminal assigned to the source address of the IP packet received from the terminal The virtual IP address is converted into the private address set in the communication device, and the destination terminal's virtual IP address written in the destination address of the IP packet received from the terminal is provided with the NAT function to the destination terminal. To the global address set for the network device Characterized in that it comprises the step of conversion.

請求項6に記載の発明は、プライベートアドレスを用いて構成されたネットワーク内において、NAT機能を有するネットワーク機器と接続される端末において、前記プライベートアドレスと仮想IPアドレスを設定する手段と、当該端末のアプリケーションから送信されるIPパケットの送信元アドレスに書き込まれた前記端末に割り当てた前記仮想IPアドレスを、前記端末に設定された前記プライベートアドレスに変換し、前記アプリケーションから受信するIPパケットの宛先アドレスに書き込まれた宛先端末の仮想IPアドレスを、前記宛先端末にNAT機能を提供するネットワーク機器に設定されたグローバルアドレスに変換する手段とを備えたことを特徴とする。   According to a sixth aspect of the present invention, there is provided a terminal connected to a network device having a NAT function in a network configured using a private address, the means for setting the private address and the virtual IP address, The virtual IP address assigned to the terminal written in the source address of the IP packet transmitted from the application is converted into the private address set in the terminal, and the destination address of the IP packet received from the application And a means for converting the written virtual IP address of the destination terminal into a global address set in a network device that provides a NAT function to the destination terminal.

請求項7に記載の発明は、プライベートアドレスを用いて構成されたネットワーク内で、NAT機能を有するネットワーク機器と接続された端末において、当該端末についての前記ネットワーク外とのIP通信の通信経路を確保するための通信方法において、前記プライベートアドレスと仮想IPアドレスを設定するステップと、当該端末のアプリケーションから送信されるIPパケットの送信元アドレスに書き込まれた前記端末に割り当てた前記仮想IPアドレスを、前記端末に設定された前記プライベートアドレスに変換し、前記アプリケーションから受信するIPパケットの宛先アドレスに書き込まれた宛先端末の仮想IPアドレスを、前記宛先端末にNAT機能を提供するネットワーク機器に設定されたグローバルアドレスに変換するステップとを含むことを特徴とする。   According to the seventh aspect of the invention, in a terminal connected to a network device having a NAT function in a network configured using a private address, a communication path for IP communication with respect to the outside of the network for the terminal is secured. In the communication method, the step of setting the private address and virtual IP address, and the virtual IP address assigned to the terminal written in the source address of the IP packet transmitted from the application of the terminal, The virtual IP address of the destination terminal that is converted into the private address set in the terminal and written in the destination address of the IP packet received from the application is the global IP set in the network device that provides the NAT function to the destination terminal. Convert to address Characterized in that it comprises a step.

以上説明したように、本発明によれば、プライベートアドレスを用いて構成された閉域網であるLAN内の端末と、当該LAN外の端末とのIP通信において、NAT機能が実装されている場合に通信経路を確保するための通信方法および装置を提供することができる。   As described above, according to the present invention, when the NAT function is implemented in IP communication between a terminal in a LAN, which is a closed network configured using a private address, and a terminal outside the LAN. A communication method and apparatus for securing a communication path can be provided.

以下、図面を参照しながら本発明の実施形態について詳細に説明する。
なお、以下で説明する図面で、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
本発明の一実施形態に係る通信装置(以下、VPN(Virtual Private Network)形成装置ともいう)は、LAN内の端末と、NAT機能を提供するルータなどのネットワーク機器とに接続される。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In the drawings described below, components having the same function are denoted by the same reference numerals, and repeated description thereof is omitted.
A communication apparatus according to an embodiment of the present invention (hereinafter also referred to as a VPN (Virtual Private Network) forming apparatus) is connected to a terminal in a LAN and a network device such as a router that provides a NAT function.

VPN形成装置は、LAN内の端末に対して通信用IPアドレス(以下、仮想IPアドレスともいう)を割り当てる。一実施形態では、VPN形成装置によるLAN内の端末に対する仮想IPアドレスの割り当ては、DHCP(Dynamic Host Configuration Protocol)を用いて行われる。   The VPN forming apparatus assigns a communication IP address (hereinafter also referred to as a virtual IP address) to a terminal in the LAN. In one embodiment, the virtual IP address is assigned to the terminal in the LAN by the VPN forming device using DHCP (Dynamic Host Configuration Protocol).

VPN形成装置は、仮想IPアドレスに関連するIPパケットのルーチング機能を提供する。   The VPN forming device provides a routing function for IP packets related to the virtual IP address.

一実施形態では、VPN形成装置がLAN内の端末に対して割り当てる仮想IPアドレスの範囲を、予めVPN形成装置毎に定めて、当該装置内の記憶装置に記憶させることができきる。すなわち、VPN形成装置は、記憶装置内に記憶した仮想IPアドレスの範囲で、LAN内の端末に対する仮想IPアドレスの割り当て、再割り当てをすることができる。   In one embodiment, the range of virtual IP addresses that the VPN forming device assigns to the terminals in the LAN can be determined in advance for each VPN forming device and stored in the storage device in the device. In other words, the VPN forming device can assign and reassign virtual IP addresses to terminals in the LAN within the range of virtual IP addresses stored in the storage device.

別の実施形態では、VPN形成装置は、LAN内の端末に対して割り当てる仮想IPアドレスをセッション管理サーバに問い合わせるように構成することができる。すなわち、VPN形成装置は、セッション管理サーバによって決定された仮想IPアドレスをLAN内の端末に対して割り当てることができる。さらに別の実施形態では、セッション管理サーバは、仮想IPアドレスの範囲を決定し、VPN形成装置に通知するようにしてもよい。すなわち、セッション管理サーバは、LANの規模に応じて、VPN形成装置がLAN内の端末に対して割り当てる仮想IPアドレスの範囲を決定することができ、VPN形成装置は、その範囲内で、LAN内の端末に対して仮想IPアドレスを割り当てることができる。   In another embodiment, the VPN forming device can be configured to query the session management server for a virtual IP address to be assigned to a terminal in the LAN. That is, the VPN forming device can assign a virtual IP address determined by the session management server to a terminal in the LAN. In yet another embodiment, the session management server may determine a range of virtual IP addresses and notify the VPN forming apparatus. In other words, the session management server can determine the range of virtual IP addresses that the VPN forming device assigns to the terminals in the LAN according to the scale of the LAN. A virtual IP address can be assigned to each terminal.

さらに、別の実施形態では、VPN形成装置は、LAN内の端末に対して割り当てる仮想IPアドレスを他のVPN形成装置に対して問い合わせるようにすることができる。   Further, in another embodiment, the VPN forming device can inquire other VPN forming devices about the virtual IP address to be assigned to the terminal in the LAN.

さらに、上記VPN形成装置の機能をソフトウェアで実装する通信モジュール(VPN形成モジュール)として実施することができる。   Furthermore, the function of the VPN forming apparatus can be implemented as a communication module (VPN forming module) that implements software.

(第1の実施形態)
図2に、本発明の第1の実施形態に係る通信装置(VPN形成装置)を適用したネットワークを示す。 (First embodiment)
FIG. 2 shows a network to which the communication apparatus (VPN forming apparatus) according to the first embodiment of the present invention is applied.

図2に示すネットワーク200は、広域通信網であるWANにそれぞれ接続されたセッション管理サーバ210、ルータ241およびルータ242と、ルータ241と端末231および端末232とに接続されたVPN形成装置221と、ルータ242と端末233とに接続されたVPN形成装置222とを含む。端末231および端末232と端末233との間にVPNが形成される、すなわち通信経路が確保される。   A network 200 shown in FIG. 2 includes a session management server 210, a router 241, and a router 242, each connected to a WAN that is a wide area communication network, and a VPN forming device 221 connected to the router 241, the terminal 231, and the terminal 232, A VPN forming apparatus 222 connected to the router 242 and the terminal 233 is included. A VPN is formed between the terminal 231 and the terminal 232 and the terminal 233, that is, a communication path is secured.

ルータ241と、端末231および232と、VPN形成装置221とは、LAN(以下、LAN1ともいう)を形成する。同様に、ルータ242と、端末233と、VPN形成装置222とは、LAN(以下、LAN2ともいう)を形成する。   Router 241, terminals 231 and 232, and VPN forming device 221 form a LAN (hereinafter also referred to as LAN 1). Similarly, the router 242, the terminal 233, and the VPN forming device 222 form a LAN (hereinafter also referred to as LAN2).

ルータ241は、WAN(インターネット)とLAN1の境界に設置され、グローバルIPアドレスx.x.x.xおよびプライベートアドレス192.168.0.1が設定されている。同様に、ルータ241は、WAN(インターネット)とLAN2の境界に設置され、グローバルIPアドレスy.y.y.yおよびプライベートアドレス192.168.1.1が設定されている。   The router 241 is installed at the boundary between the WAN (Internet) and the LAN 1 and has a global IP address x. x. x. x and private address 192.168.0.1 are set. Similarly, the router 241 is installed at the boundary between the WAN (Internet) and the LAN 2 and has a global IP address y. y. y. y and private address 192.168.1.1 are set.

ルータ241および242はそれぞれ、LAN1およびLAN2を形成する端末に対してプライベートアドレスを割り当てるDHCPサービスを提供する。また、ルータ241および242はそれぞれ、LAN1およびLAN2を形成する端末に対して上述したNAT機能を提供する。   The routers 241 and 242 provide DHCP services for assigning private addresses to the terminals forming the LAN1 and LAN2, respectively. The routers 241 and 242 provide the NAT function described above to the terminals forming the LAN1 and the LAN2, respectively.

VPN形成装置221は、ルータ241が提供するDHCPサービスによって割り当てられたプライベートアドレス192.168.0.2が設定されている。ただし、VPN形成装置221に、プライベートアドレス192.168.0.2をルータ241が提供するDHCPサービス以外の方法で設定してもよい。したがって、ルータ241にとって、VPN形成装置221はLAN1内の1つの端末装置として位置づけられる。   The VPN forming device 221 is set with a private address 192.168.0.2 assigned by the DHCP service provided by the router 241. However, the private address 192.168.0.2 may be set in the VPN forming apparatus 221 by a method other than the DHCP service provided by the router 241. Therefore, the VPN forming device 221 is positioned as one terminal device in the LAN 1 for the router 241.

VPN形成装置221は、端末231および232に対してDHCPサービスを提供し、仮想IPアドレスを割り当てる。   The VPN forming device 221 provides a DHCP service to the terminals 231 and 232 and assigns a virtual IP address.

さらに、VPN形成装置221は、仮想IPアドレスを用いた、端末231または232とのIP通信におけるIPパケットのルーチング機能を有する。   Furthermore, the VPN forming device 221 has a routing function for IP packets in IP communication with the terminal 231 or 232 using a virtual IP address.

同様に、VPN形成装置222は、ルータ242が提供するDHCPサービスによって割り当てられたプライベートアドレス192.168.1.2が設定されている。したがって、ルータ242にとって、VPN形成装置222はLAN2内の1つの端末装置として位置づけられる。   Similarly, in the VPN forming apparatus 222, a private address 192.168.1.2 assigned by the DHCP service provided by the router 242 is set. Therefore, for the router 242, the VPN forming device 222 is positioned as one terminal device in the LAN2.

VPN形成装置222は、端末233に対してDHCPサービスを提供し、仮想IPアドレスを割り当てるとともに、仮想IPアドレスを用いた端末233とのIP通信におけるIPパケットのルーチング機能を有する。   The VPN forming apparatus 222 provides a DHCP service to the terminal 233, assigns a virtual IP address, and has a function of routing an IP packet in IP communication with the terminal 233 using the virtual IP address.

セッション管理サーバ210は、VPN形成装置がLAN内の端末に対して割り当てる仮想IPアドレスおよび仮想IPアドレスが設定された端末間のルーチングに関する情報を管理する。たとえば、VPN形成装置からの問い合わせに対して、当該VPN形成装置がLAN内の端末に対して割り当てることができる仮想IPアドレスを回答することができる。また、セッション管理サーバ210は、VPN形成装置に対して、異なるLAN内にある仮想IPアドレスが設定された端末間のルーチングに関する情報を提供する。   The session management server 210 manages the virtual IP address assigned to the terminal in the LAN by the VPN forming device and information related to routing between the terminals set with the virtual IP address. For example, a virtual IP address that can be assigned to a terminal in the LAN by the VPN forming apparatus can be answered in response to an inquiry from the VPN forming apparatus. In addition, the session management server 210 provides information relating to routing between terminals set with virtual IP addresses in different LANs to the VPN forming apparatus.

したがって、仮想IPアドレスが設定された端末間のルーチングに関する情報をセッション管理サーバ210から取得し、VPN形成装置はルーチングテーブルを生成することができる。あるいは、仮想IPアドレスが設定された端末間のルーチングに関する情報としてルーチングテーブルをセッション管理サーバ210が提供し、VPN形成装置は、セッション管理サーバ210から提供されるルーチングテーブルの一部または全部を保持するようにしてもよい。   Therefore, information regarding routing between terminals set with virtual IP addresses can be obtained from the session management server 210, and the VPN forming apparatus can generate a routing table. Alternatively, the session management server 210 provides a routing table as information regarding routing between terminals to which virtual IP addresses are set, and the VPN forming apparatus holds part or all of the routing table provided from the session management server 210. You may do it.

VPN形成装置に、LAN内の端末に対して割り当てる仮想IPアドレス空間、およびこれらの仮想IPアドレスを用いたIPパケットのルーチングテーブルが予め設定しておいてもよい。   A virtual IP address space assigned to a terminal in the LAN and a routing table of IP packets using these virtual IP addresses may be set in advance in the VPN forming apparatus.

端末231は、NAS(Network Attached Storage)を例示し、VPN形成装置221によって割り当てられた仮想IPアドレス10.0.0.1が設定されている。端末232は、パーソナルコンピュータ(PC)を例示し、VPN形成装置221によって割り当てられた仮想IPアドレス10.0.0.2が設定されている。端末233は、パーソナルコンピュータ(PC)を例示し、VPN形成装置222によって割り当てられた仮想IPアドレス10.0.0.3が設定されている。   The terminal 231 exemplifies NAS (Network Attached Storage), and the virtual IP address 10.0.0.1 assigned by the VPN forming device 221 is set. The terminal 232 exemplifies a personal computer (PC), and a virtual IP address 10.0.0.2 assigned by the VPN forming device 221 is set. The terminal 233 exemplifies a personal computer (PC), and a virtual IP address 10.0.0.3 assigned by the VPN forming device 222 is set.

ここで、仮想IPアドレスを割り当てについて、VPN形成装置221を例に説明する。
VPN形成装置221内の設定ファイルに予め設定された仮想IPアドレスを取得して、端末232に割り当てる場合、VPN形成装置221は、VPN形成装置221内の設定ファイルから仮想IPアドレス「10.0.0.2」を取得して、端末232に割り当てる。次いで、VPN形成装置221は、ルータ241に問い合わせルータの変換テーブルに設定されている自身のポート番号「100」、グローバルアドレス「X.X.X.X」を取得し、RAMに格納する。そしてVPN形成装置221は、ソケット(ポート番号「100」+仮想IPアドレス「10.0.0.2」+グローバルアドレス「X.X.X.X」)をセッション管理サーバ210へ送信し格納する。 Here, the assignment of the virtual IP address will be described using the VPN forming apparatus 221 as an example.
When a virtual IP address preset in a setting file in the VPN forming device 221 is acquired and assigned to the terminal 232, the VPN forming device 221 uses the virtual IP address “10.0. 0.2 ”is acquired and assigned to the terminal 232. Next, the VPN forming device 221 acquires the port number “100” and the global address “XX.X.X” set in the conversion table of the inquiry router from the router 241 and stores them in the RAM. Then, the VPN forming device 221 transmits the socket (port number “100” + virtual IP address “10.0.0.2” + global address “XX.X”) to the session management server 210 and stores it. .

セッション管理サーバ210から仮想IPアドレスを取得して、端末232に割り当てる場合、VPN形成装置221は、ルータ241に問い合わせルータの変換テーブルに設定されている自身のポート番号「100」を取得し、RAMに格納する。VPN形成装置221は、セッション管理サーバ210へポート番号「100」に対する仮想IPアドレス割り当てをリクエストする。そしてVPN形成装置221は、予めセッション管理サーバ210に格納されているソケット(ポート番号「100」+仮想IPアドレス「10.0.0.2」+グローバルアドレス「X.X.X.X」)を取得する。VPN形成装置221は、取得したソケットから仮想IPアドレス「10.0.0.2」、グローバルアドレス「X.X.X.X」を取得し、RAMに格納する。VPN形成装置221は、取得した仮想IPアドレス「10.0.0.2」を端末232に割り当てる。   When acquiring the virtual IP address from the session management server 210 and assigning it to the terminal 232, the VPN forming device 221 acquires its own port number “100” set in the conversion table of the inquiry router from the router 241, and the RAM To store. The VPN forming device 221 requests the session management server 210 to allocate a virtual IP address for the port number “100”. The VPN forming device 221 then has a socket (port number “100” + virtual IP address “10.0.0.2” + global address “XX.X.X”) stored in the session management server 210 in advance. To get. The VPN forming device 221 acquires the virtual IP address “10.0.0.2” and the global address “XX.X.X” from the acquired socket, and stores them in the RAM. The VPN forming device 221 assigns the acquired virtual IP address “10.0.0.2” to the terminal 232.

VPN形成装置同士の通信によって仮想IPアドレスを取得して、端末232に割り当てる場合、VPN形成装置221は、所定の仮想IPアドレス空間における空き仮想IPアドレス認識をする。VPN形成装置同士が互いに通信する際は、VPN形成装置に仮想IPアドレスを割り当て、当該仮想IPアドレスを指定して通信を行うようにしてもよい。このようにすることで、例えば、VPN形成装置221は、VPN形成装置同士の通信を以下に説明する端末232と端末233との間の通信と同様に扱うことができる。仮想IPアドレス間の通信は市販のSDK等によるNAT越え及びファイアウォール越えのセッションを張り、そのセッション上でパケットをトンネリングさせることで通信が行われる。VPN形成装置221は、空き仮想IPアドレスのうちの最若番の仮想IPアドレス(この例では「10.0.0.2」)を取得し、RAMに格納する。そしてVPN形成装置221は、ルータ241に問い合わせルータの変換テーブルに設定されている自身のポート番号「100」、グローバルアドレス「X.X.X.X」を取得し、RAMに格納する。VPN形成装置221は、ソケット(ポート番号「100」+仮想IPアドレス「10.0.0.2」+グローバルアドレス「X.X.X.X」)をセッション管理サーバ210へ送信し格納する。   When a virtual IP address is acquired by communication between VPN forming apparatuses and assigned to the terminal 232, the VPN forming apparatus 221 recognizes a free virtual IP address in a predetermined virtual IP address space. When the VPN forming apparatuses communicate with each other, a virtual IP address may be assigned to the VPN forming apparatus, and communication may be performed by designating the virtual IP address. By doing in this way, for example, the VPN forming device 221 can handle the communication between the VPN forming devices in the same way as the communication between the terminal 232 and the terminal 233 described below. Communication between virtual IP addresses is performed by setting up a session over NAT and firewall over a commercially available SDK or the like and tunneling packets over the session. The VPN forming device 221 acquires the youngest virtual IP address (in this example, “10.0.0.2”) among the free virtual IP addresses and stores it in the RAM. Then, the VPN forming device 221 acquires the port number “100” and the global address “XX.X.X” set in the conversion table of the inquiry router from the router 241 and stores them in the RAM. The VPN forming device 221 transmits the socket (port number “100” + virtual IP address “10.0.0.2” + global address “XX.X”) to the session management server 210 and stores it.

次に、図3を参照して、図2に示した端末232と端末233との間のIP通信を説明する。
図3(a)に示すように、端末232および233には、それぞれ仮想IPアドレスSA(10.0.0.2)および仮想IPアドレスDA(10.0.0.3)が割り当てられている。 Next, IP communication between the terminal 232 and the terminal 233 shown in FIG. 2 will be described with reference to FIG.
As shown in FIG. 3A, the terminals 232 and 233 are assigned a virtual IP address SA (10.0.0.2) and a virtual IP address DA (10.0.0.3), respectively. .

VPN形成装置221および222には、それぞれプライベートアドレスSB(192.168.0.2)およびプライベートアドレスDB(192.168.1.2)が割り当てられている。VPN形成装置221および222には、仮想IPアドレスに関連するIPパケットをルーチングするためのルーチングテーブルがそれぞれ格納されている。ルーチングテーブルは、例えば、仮想IPアドレスSA(10.0.0.2)および仮想IPアドレスDA(10.0.0.3)との通信を個別に、すなわち仮想IPアドレス毎に設定することもでき、仮想IPアドレスのネットワークアドレス部を用いて設定することもできる。   A private address SB (192.168.0.2) and a private address DB (192.168.1.2) are assigned to the VPN forming apparatuses 221 and 222, respectively. The VPN forming apparatuses 221 and 222 store routing tables for routing IP packets related to the virtual IP address, respectively. In the routing table, for example, communication with the virtual IP address SA (10.0.0.2) and the virtual IP address DA (10.0.0.3) may be set individually, that is, for each virtual IP address. It can also be set using the network address part of the virtual IP address.

ルータ241および242には、それぞれグローバルアドレスSM(x.x.x.x)およびグローバルアドレスDM(y.y.y.y)が割り当てられている。ルータ241および242には、NAT機能が実装されており、プライベートアドレスをグローバルアドレスに変換するための変換テーブルがそれぞれ格納されている。   The routers 241 and 242 are assigned a global address SM (xx.x.x) and a global address DM (y.y.y.y), respectively. The routers 241 and 242 have a NAT function and store conversion tables for converting private addresses to global addresses.

ここでLAN1内の端末232からLAN2内の端末233へ、VPN形成装置221、ルータ241、242、およびVPN形成装置222を介してIPパケットを送信する。   Here, an IP packet is transmitted from the terminal 232 in the LAN 1 to the terminal 233 in the LAN 2 via the VPN forming device 221, the routers 241, 242, and the VPN forming device 222.

図3(b)に示すように、端末232から送信されるIPパケットのヘッダには、宛先アドレス21として「DA」、送信元アドレス22として「SA」が書き込まれ、TCPヘッダには、宛先ポート番号23として「200」、送信元ポート番号24として「100」が書き込まれている。   As shown in FIG. 3B, “DA” is written as the destination address 21 and “SA” is written as the source address 22 in the header of the IP packet transmitted from the terminal 232, and the destination port is written in the TCP header. “200” is written as the number 23, and “100” is written as the source port number 24.

VPN形成装置221は、パケットの受信を検知すると受信したパケットについて、仮想IPアドレスが設定された端末宛のパケットか否かを判定する。即ち、VPN形成装置221は、仮想IPアドレスに固有のネットワークセグメント(例:10.0.0.0/8)内のIPアドレスが受信したパケットのIPヘッダの宛先アドレスに設定されている場合、そのIPアドレスを仮想IPアドレスと判定し、受信したパケットは仮想IPアドレスが設定された端末宛のパケットであると判定する。   When the VPN forming apparatus 221 detects reception of a packet, the VPN forming apparatus 221 determines whether the received packet is a packet addressed to a terminal for which a virtual IP address is set. In other words, the VPN forming device 221 determines that the IP address in the network segment unique to the virtual IP address (eg, 10.0.0.0/8) is set as the destination address of the IP header of the received packet. The IP address is determined to be a virtual IP address, and the received packet is determined to be a packet addressed to the terminal for which the virtual IP address is set.

VPN形成装置221は、ルーチングテーブルを参照して、送信元アドレス22の仮想IPアドレスSAをプライベートアドレスSBに変換し、宛先アドレス21の仮想IPアドレスDAをグローバルアドレスDMに変換し、ルータ241に向けてパケットを送信する。   The VPN forming device 221 refers to the routing table, converts the virtual IP address SA of the source address 22 to the private address SB, converts the virtual IP address DA of the destination address 21 to the global address DM, and sends it to the router 241. Send the packet.

ルータ241は、変換テーブルを参照して、送信元アドレス22のプライベートアドレスSBをグローバルアドレスSMに変換し、ルータ242に向けてパケットを送信する。   The router 241 refers to the conversion table, converts the private address SB of the transmission source address 22 to the global address SM, and transmits the packet toward the router 242.

ルータ242は、変換テーブルを参照して、宛先アドレス21のグローバルアドレスDMをプライベートアドレスDBに変換して、VPN形成装置222に向けてパケットを送信する。   The router 242 refers to the conversion table, converts the global address DM of the destination address 21 into the private address DB, and transmits the packet toward the VPN forming device 222.

VPN形成装置222は、ルーチングテーブルを参照して、送信元アドレス22のグローバルアドレスSMを仮想IPアドレスSAに変換し、宛先アドレス21のプライベートアドレスDBを仮想IPアドレスDAに変換し、端末233に向けてパケットを送信する。   The VPN forming device 222 refers to the routing table, converts the global address SM of the source address 22 into the virtual IP address SA, converts the private address DB of the destination address 21 into the virtual IP address DA, and sends it to the terminal 233. Send the packet.

次に、端末233から端末232へ、VPN形成装置222、ルータ242,241、およびVPN形成装置221を介してIPパケットを送信する。   Next, an IP packet is transmitted from the terminal 233 to the terminal 232 via the VPN forming device 222, the routers 242 and 241, and the VPN forming device 221.

図3(c)に示すように、端末233から送信されるIPパケットのヘッダには、宛先アドレス31として「SA」、送信元アドレス32として「DA」が書き込まれ、TCPヘッダには、宛先ポート番号33として「200」、送信元ポート番号34として「100」が書き込まれている。   As shown in FIG. 3C, “SA” is written as the destination address 31 and “DA” is written as the source address 32 in the header of the IP packet transmitted from the terminal 233, and the destination port is written in the TCP header. “200” is written as the number 33, and “100” is written as the source port number 34.

VPN形成装置222は、ルーチングテーブルを参照して、宛先アドレス31のSAをグローバルアドレスSMに変換し、送信元アドレス32のDAをプライベートアドレスDBに変換し、ルータ242へ送信する。   The VPN forming device 222 refers to the routing table, converts the SA of the destination address 31 to the global address SM, converts the DA of the source address 32 to the private address DB, and transmits it to the router 242.

ルータ242は、変換テーブルを参照して、送信元アドレス32のグローバルアドレスDBをグローバルアドレスDMに変換し、ルータ241に向けてパケットを送信する。   The router 242 refers to the conversion table, converts the global address DB of the source address 32 to the global address DM, and transmits the packet to the router 241.

ルータ241は、宛先アドレス31のSMをプライベートアドレスSBに変換し、VPN形成装置221へ向けてパケットを送信する。   The router 241 converts the SM at the destination address 31 into the private address SB, and transmits the packet toward the VPN forming device 221.

VPN形成装置221は、宛先アドレス31のSBを仮想IPアドレスSAに変換し、送信元アドレス32のDMを仮想IPアドレスDAに変換し、端末232へ向けてパケットを送信する。   The VPN forming device 221 converts the SB of the destination address 31 into the virtual IP address SA, converts the DM of the transmission source address 32 into the virtual IP address DA, and transmits the packet toward the terminal 232.

なお、上記の通り、ルータにとって、VPN形成装置はLAN内の1つの端末装置として位置づけられる。したがって、端末232からインターネット内のグローバルアドレスを有するサーバやホストなどの端末に送信されるIPパケットは、VPN形成装置を介してルータへ送信され、従来と同様にルータのNAT機能によって処理される。   As described above, the VPN forming device is positioned as one terminal device in the LAN for the router. Therefore, an IP packet transmitted from the terminal 232 to a terminal such as a server or a host having a global address in the Internet is transmitted to the router via the VPN forming apparatus, and is processed by the NAT function of the router in the conventional manner.

ここで、VPN形成装置が備えていることが望ましいNAT越え機能を説明する(特許文献1に開示された技術を適用した例である)。NAT機能を利用した接続環境において、P2Pアプリケーションを実現するためには、通信の開始から終了まで、ルータにおける所定のポートを常に開いておく必要がある。そこで、図4を参照し通信の最初にポートを開いておく方法、図5を参照し一旦開いたポートを維持する方法を順次説明する。   Here, a NAT traversal function that is desirably provided in the VPN forming apparatus will be described (an example in which the technique disclosed in Patent Document 1 is applied). In order to realize a P2P application in a connection environment using the NAT function, it is necessary to always open a predetermined port in the router from the start to the end of communication. A method for opening a port at the beginning of communication with reference to FIG. 4 and a method for maintaining a port once opened with reference to FIG.

図4を参照すると、端末間でP2P通信を行う場合には、ICMP(Internet Control Message Protocol)パケット(宛先到達不能メッセージ)によるブロックを避けて、最初に、セッションで使用するルータのポートを開いておく必要がある。そこで、ルータ241までのホップ数を調べ、ポートを開けるためのUDPパケットを送信する。   Referring to FIG. 4, when performing P2P communication between terminals, avoid blocking by ICMP (Internet Control Message Protocol) packet (destination unreachable message), and first open the router port used in the session. It is necessary to keep. Therefore, the number of hops to the router 241 is checked, and a UDP packet for opening a port is transmitted.

具体的には、VPN形成装置221でICMPのエコーパケットを生成し、TTL(Time To Live)=1で送信する。順次、TTL=2.3…と増やして、複数のエコーパケットを送信する。TTLの数値がルータ241のホップ数と等しいエコーパケット51を送信すると、ルータ241よりエコーパケット52がVPN形成装置221に返送される。VPN形成装置221は、返送されたエコーパケット52により、ルータ241までのホップ数を知ることができる。   More specifically, the VPN forming apparatus 221 generates an ICMP echo packet and transmits it with TTL (Time To Live) = 1. Sequentially increasing TTL = 2.3... And transmitting a plurality of echo packets. When the echo packet 51 whose TTL value is equal to the number of hops of the router 241 is transmitted, the echo packet 52 is returned from the router 241 to the VPN forming device 221. The VPN forming device 221 can know the number of hops to the router 241 from the returned echo packet 52.

次に、VPN形成装置221は、ルータ241のホップ数に1を加えた値αをTTLに設定し、送信元ポート番号「100」のポート設定パケット53を送信する。これによって、ルータ241の送信元ポート番号「100」のポートが開かれる。ポート設定パケット53は、ルータ241の次のホップで削除されるので、他の通信に影響を与えることはない。   Next, the VPN forming device 221 sets a value α obtained by adding 1 to the number of hops of the router 241 to TTL, and transmits a port setting packet 53 having a transmission source port number “100”. As a result, the port of the transmission source port number “100” of the router 241 is opened. Since the port setting packet 53 is deleted at the next hop of the router 241, it does not affect other communications.

このような構成により、ルータ241の送信元ポート番号「100」のポートを開けておくことにより、パケット54、55によるNNM間の通信を行うことができる。このとき、ルータ242もICMPパケットによりブロックを行う機能を有している場合には、VPN形成装置222においても、同様の処理を行う。   With such a configuration, communication between the NNMs using the packets 54 and 55 can be performed by opening the port of the transmission source port number “100” of the router 241. At this time, if the router 242 also has a function of blocking by the ICMP packet, the VPN forming apparatus 222 performs the same processing.

次に図5を参照すると、同一のセッションにおいて、パケットの送受信が途絶えている間は、ルータが変換テーブルをクリアしないように、いったん開いたポートを維持しておく必要がある。そこで、パケットの送受信が途絶えている間は、キープアライブパケットを一定時間間隔で送信する。例えば、上述したICMPエコーパケットを利用して、ルータ241までのホップ数を予め調べておく。VPN形成装置221は、ルータ241のホップ数に1を加えた値αをTTLに設定し、送信元ポート番号「100」のUDPパケット61を送信する。これによって、ルータ241に格納されている変換テーブルの内容は削除されず、以後、同一のポート番号を設定したパケットを送信することができる。   Next, referring to FIG. 5, while the packet transmission / reception is interrupted in the same session, it is necessary to maintain the opened port so that the router does not clear the conversion table. Therefore, keep-alive packets are transmitted at regular time intervals while packet transmission / reception is interrupted. For example, the number of hops to the router 241 is checked in advance using the ICMP echo packet described above. The VPN forming device 221 sets a value α obtained by adding 1 to the number of hops of the router 241 to the TTL, and transmits the UDP packet 61 having the transmission source port number “100”. As a result, the contents of the conversion table stored in the router 241 are not deleted, and packets with the same port number set can be transmitted thereafter.

尚、図4及び図5の実施形態においては、ICMPパケットによりブロックを行う機能を有しているルータにのみ送信するようにしてもよい。ルータによっては、TTLの設定値がαの場合に、パケットを破棄してポートを閉じてしまう機能を有する場合があるからである。   In the embodiment shown in FIGS. 4 and 5, it may be transmitted only to a router having a function of blocking by an ICMP packet. This is because some routers have a function of discarding a packet and closing a port when the TTL setting value is α.

ポート設定パケットおよびキープアライブパケットが他のVPN形成装置に到達した場合に、通信の混乱が起こらないようにする。例えば、図5に示したように、全てのパケットの先頭に、フラグ63、64を付加し、キープアライブパケットの場合は「1」を、通常のパケットの場合は「0」を設定する。このようにして、VPN形成装置がキープアライブパケットを受信した場合でも、これを識別して破棄することができる。   When the port setting packet and the keep alive packet reach other VPN forming apparatuses, communication disruption is prevented. For example, as shown in FIG. 5, flags 63 and 64 are added to the head of all packets, and “1” is set for a keep-alive packet and “0” is set for a normal packet. In this way, even when the VPN forming device receives the keep-alive packet, it can be identified and discarded.

また、本実施形態では、宛先ポート番号および送信元ポート番号がTCPヘッダ内に書き込まれる例を示したが。宛先ポート番号および送信元ポート番号がUDPヘッダ内に書き込まれるようにしてもよい。   In this embodiment, the destination port number and the source port number are written in the TCP header. The destination port number and the source port number may be written in the UDP header.

例えば、通信経路にファイアウォールが接続されていると、TCPまたはUDPを使用した通信ができない場合がある。したがって、VPN形成装置が、以下に説明する方法を用いて、使用可能なプロトコルを決定するようにしてもよい。
(1)UDPが使用可能かどうかの決定方法
VPN形成装置は、IPパケットのUDPヘッダの宛先ポート番号を「n」(n:HTTPやPOP3等のwellknownポート番号以外)に設定して、セッション管理サーバのポート番号nへ送信する。 For example, if a firewall is connected to the communication path, communication using TCP or UDP may not be possible. Therefore, the VPN forming apparatus may determine a usable protocol using the method described below.
(1) Method for determining whether UDP is usable The VPN forming device sets the destination port number in the UDP header of the IP packet to “n” (n: other than well-known port numbers such as HTTP and POP3), and manages the session. Send to server port number n.

セッション管理サーバの待ち受けポート番号nに当該パケットが届いた場合には、UDPを使用可能と決定する。   When the packet reaches the standby port number n of the session management server, it is determined that UDP can be used.

セッション管理サーバ側で待ち受けポート番号nに当該パケットが届かない場合には、IPパケットのUDPヘッダの宛先ポート番号を「443」(HTTPSが利用するポート番号)に設定して、セッション管理サーバのポート番号443へ送信する。セッション管理サーバ側で待ち受けポート番号443に当該パケットが届いた場合には、443番ポート宛のUDPを使用可能と決定する。   If the packet does not reach the standby port number n on the session management server side, set the destination port number in the UDP header of the IP packet to “443” (port number used by HTTPS), and set the port of the session management server It transmits to the number 443. When the packet arrives at the standby port number 443 on the session management server side, it is determined that the UDP addressed to the port 443 can be used.

セッション管理サーバ側で待ち受けポート番号443に当該パケットが届かない場合には、IPパケットのUDPヘッダの宛先ポート番号を「80」(HTTPが利用するポート番号)に設定して、セッション管理サーバのポート番号80へ送信する。セッション管理サーバ側で待ち受けポート番号80に当該パケットが届いた場合には、80番ポート宛のUDPを使用可能と決定する。   If the packet does not reach the standby port number 443 on the session management server side, the destination port number of the UDP header of the IP packet is set to “80” (port number used by HTTP), and the port of the session management server Send to number 80. When the packet arrives at the standby port number 80 on the session management server side, it is determined that the UDP addressed to the port 80 can be used.

セッション管理サーバ側で待ち受けポート番号80に当該パケットが届かない場合には、UDPを使用不可と決定する。   If the packet does not reach the standby port number 80 on the session management server side, it is determined that UDP cannot be used.

(2)TCPが使用可能かどうかの決定方法
VPN形成装置は、IPパケットのTCPヘッダの宛先ポート番号を「n」(n:HTTPやPOP3等のwellknownポート番号以外)に設定して、セッション管理サーバのポート番号nへ送信する。 (2) Method for determining whether TCP is usable The VPN forming apparatus sets the destination port number of the TCP header of the IP packet to “n” (n: other than well-known port numbers such as HTTP and POP3), and manages the session. Send to server port number n.

セッション管理サーバの待ち受けポート番号nに当該パケットが届いた場合には、TCPを使用可能と決定する。   When the packet arrives at the standby port number n of the session management server, it is determined that TCP can be used.

セッション管理サーバ側で待ち受けポート番号nに当該パケットが届かない場合には、IPパケットのTCPヘッダの宛先ポート番号を「443」(HTTPSが利用するポート番号)に設定して、セッション管理サーバのポート番号443へ送信する。セッション管理サーバ側で待ち受けポート番号443に当該パケットが届いた場合には、443番ポート宛のTCPを使用可能と決定する。   If the packet does not reach the standby port number n on the session management server side, set the destination port number of the TCP header of the IP packet to “443” (port number used by HTTPS), and set the port of the session management server It transmits to the number 443. When the packet arrives at the standby port number 443 on the session management server side, it is determined that TCP addressed to the port 443 can be used.

セッション管理サーバ側で待ち受けポート番号443に当該パケットが届かない場合には、IPパケットのTCPヘッダの宛先ポート番号を「80」(HTTPが利用するポート番号)に設定して、セッション管理サーバのポート番号80へ送信する。セッション管理サーバ側で待ち受けポート番号80に当該パケットが届いた場合には、80番ポート宛のTCPを使用可能と決定する。   If the packet does not reach the standby port number 443 on the session management server side, the destination port number of the TCP header of the IP packet is set to “80” (port number used by HTTP), and the port of the session management server Send to number 80. When the packet reaches the standby port number 80 on the session management server side, it is determined that TCP addressed to the port 80 can be used.

セッション管理サーバ側で待ち受けポート番号80に当該パケットが届かない場合には、TCPを使用不可と決定する。   If the packet does not reach the standby port number 80 on the session management server side, it is determined that TCP cannot be used.

セッション管理サーバは、VPN形成装置から送信されたIPパケットから、VPN形成装置との間の通信に使用可能なUDP,TCPなどのプロトコルおよびポート番号の組を収集し、VPN形成装置へ提供することができる。   The session management server collects a set of protocols and port numbers such as UDP and TCP that can be used for communication with the VPN forming device from the IP packet transmitted from the VPN forming device, and provides them to the VPN forming device. Can do.

(3)各種通信方法
上記の方法により、例えば、UDPが使用不可と決定された場合に、UDP通信を行う場合には、UDPデータをTCPでカプセル化する、或いはUDPのペイロードのみのせ変えてTCP通信を行うようにVPN形成装置を構成してもよい。この場合には、宛先の通信スタックが元のUDPを復元できるようにする必要がある。 (3) Various communication methods By the above method, for example, when UDP is determined to be unusable, when performing UDP communication, the UDP data is encapsulated with TCP, or only the UDP payload is replaced with TCP. The VPN forming apparatus may be configured to perform communication. In this case, it is necessary to enable the destination communication stack to restore the original UDP.

あるいは、上記の方法により、ポート番号n宛のUDPが使用不可と決定された場合に、UDPヘッダの宛先ポート番号を443、或いは80に設定してUDP通信を行うようにVPN形成装置を構成してもよい。この場合には、宛先の端末はUDPの443番ポート、或いは80番ポートで待ち受ける必要がある。また、宛先の端末が複数の接続(セッション)を有する場合には、端末間で通信するUDPデータのヘッダに通信チャネル(セッション)を識別するフィールドを設けるなどして、各セッションの識別を行うなどの必要がある。   Alternatively, if it is determined by the above method that the UDP addressed to port number n is unusable, the VPN forming apparatus is configured to perform UDP communication by setting the destination port number of the UDP header to 443 or 80. May be. In this case, the destination terminal must wait at the UDP port 443 or port 80. Also, when the destination terminal has a plurality of connections (sessions), each session is identified by providing a field for identifying a communication channel (session) in the header of UDP data communicated between the terminals. There is a need for.

同様に、上記の方法により、TCPが使用不可と決定された場合には、UDP通信を行うように、あるいはポート番号n宛のTCPが使用不可と決定された場合には、TCPヘッダの宛先ポート番号を443、或いは80に設定してTCP通信を行うようにVPN形成装置を構成してもよい。   Similarly, if TCP is determined to be unusable by the above method, UDP communication is performed, or if it is determined that TCP addressed to port number n is unusable, the destination port of the TCP header The VPN forming apparatus may be configured to perform TCP communication with the number set to 443 or 80.

上記の通り、本発明によれば、LANを構成するルータ241,242、および端末231,232,233には変更を加えることなく、ルータと端末の間にVPN形成装置を接続するだけで、プライベートアドレスを用いて構成された閉域網であるLAN1内の端末231,232と、LAN1外のLAN2内の端末233との間のIP通信において、NAT機能(ルータ241,242)が実装されている場合に通信経路を確保することができ、LAN1内の端末231,232と、LAN1外のLAN2内の端末233との間にVPNを構成することができる。   As described above, according to the present invention, the router 241 and 242 and the terminals 231, 232, and 233 constituting the LAN are not changed, and the private network can be obtained by simply connecting the VPN forming apparatus between the router and the terminal. When the NAT function (routers 241 and 242) is implemented in IP communication between the terminals 231 and 232 in the LAN 1, which is a closed network configured using addresses, and the terminal 233 in the LAN 2 outside the LAN 1 A VPN can be formed between the terminals 231 and 232 in the LAN 1 and the terminal 233 in the LAN 2 outside the LAN 1.

本実施形態では、端末232および233はパーソナルコンピュータとして、端末231はNAS(Network Attached Storage)として図示(図2)したが、端末はこれに限られるものではなく、ネットワークポートを有するカメラデバイス(ネットワークカメラ)、家電機器(情報家電)、IP電話器など、IP通信をすることができる機器とすることができる。   In the present embodiment, the terminals 232 and 233 are illustrated as personal computers and the terminal 231 is illustrated as a NAS (Network Attached Storage) (FIG. 2). However, the terminals are not limited to this, and a camera device (network network) having a network port is illustrated. It can be set as the apparatus which can perform IP communication, such as a camera), household appliances (information household appliance), and an IP telephone.

(第2の実施形態)
図6に、本発明の第2の実施形態に係る通信モジュール(VPN形成モジュール)を適用したネットワークを示す。VPN形成モジュールは、第1の実施形態で説明したVPN形成装置の諸機能をソフトウェアとして実装するものである。 (Second Embodiment)
FIG. 6 shows a network to which the communication module (VPN forming module) according to the second embodiment of the present invention is applied. The VPN forming module implements the functions of the VPN forming apparatus described in the first embodiment as software.

図6に示すネットワーク400は、広域通信網であるWANにそれぞれ接続されたセッション管理サーバ210、ルータ241およびルータ242と、ルータ241に接続されたと端末410と、ルータ242に接続されたと端末420とを含む。   A network 400 shown in FIG. 6 includes a session management server 210, a router 241, and a router 242, each connected to a WAN, which is a wide area communication network, a terminal 410 connected to the router 241, and a terminal 420 connected to the router 242. including.

端末410および420は、パーソナルコンピュータ(PC)を例示し、それぞれ、アプリケーションプログラム(411,421)と、VPN形成モジュール(412,422)と、ネットワークインタフェース(413,423)を有する。   The terminals 410 and 420 exemplify personal computers (PCs), and have application programs (411, 421), VPN formation modules (412, 422), and network interfaces (413, 423), respectively.

端末410には、ルータ241によって割り当てられたプライベートアドレスSBとセッション管理サーバ210から割り当てられた仮想IPアドレスSAが設定されている。   In the terminal 410, the private address SB assigned by the router 241 and the virtual IP address SA assigned by the session management server 210 are set.

端末420には、ルータ242によって割り当てられたプライベートアドレスDBとセッション管理サーバ210から割り当てられた仮想IPアドレスDAが設定されている。   In the terminal 420, the private address DB assigned by the router 242 and the virtual IP address DA assigned from the session management server 210 are set.

VPN形成モジュールは、アプリケーションプログラムからの仮想IPアドレスを用いた通信(例えば、端末410内のアプリケーションプログラム411から端末420内のアプリケーションプログラム421への通信)の要求に応じて、端末231または232とのIP通信におけるIPパケットのルーチング機能を有する。すなわち、VPN形成モジュールは、仮想IPアドレスに関連するIPパケットをルーチングするためのルーチングテーブルを有している。   In response to a request for communication using the virtual IP address from the application program (for example, communication from the application program 411 in the terminal 410 to the application program 421 in the terminal 420), the VPN formation module communicates with the terminal 231 or 232. IP packet routing function in IP communication. That is, the VPN formation module has a routing table for routing IP packets related to the virtual IP address.

次に、図3(b)を参照して、端末410内のアプリケーションプログラム411から端末420内のアプリケーションプログラム421への通信を説明する。   Next, communication from the application program 411 in the terminal 410 to the application program 421 in the terminal 420 will be described with reference to FIG.

アプリケーションプログラム411から送信されるIPパケットのヘッダには、宛先アドレス21として「DA」、送信元アドレス22として「SA」が書き込まれ、TCPヘッダには、宛先ポート番号23として「200」、送信元ポート番号24として「100」が書き込まれている。   In the header of the IP packet transmitted from the application program 411, “DA” as the destination address 21 and “SA” as the source address 22 are written, and “200” as the destination port number 23 in the TCP header. “100” is written as the port number 24.

VPN形成モジュール412は、ルーチングテーブルを参照して、送信元アドレス22の仮想IPアドレスSAをプライベートアドレスSBに変換し、宛先アドレス21の仮想IPアドレスDAをグローバルアドレスDMに変換し、ルータ241に向けてネットワークインタフェース413を介してパケットを送信する。   The VPN formation module 412 refers to the routing table, converts the virtual IP address SA of the source address 22 to the private address SB, converts the virtual IP address DA of the destination address 21 to the global address DM, and sends it to the router 241. The packet is transmitted through the network interface 413.

ルータ241は、変換テーブルを参照して、送信元アドレス22のプライベートアドレスSBをグローバルアドレスSMに変換し、ルータ242に向けてパケットを送信する。   The router 241 refers to the conversion table, converts the private address SB of the transmission source address 22 to the global address SM, and transmits the packet toward the router 242.

ルータ242は、変換テーブルを参照して、宛先アドレス21のグローバルアドレスDMをプライベートアドレスDBに変換して、端末420に向けてパケットを送信する。   The router 242 refers to the conversion table, converts the global address DM of the destination address 21 into the private address DB, and transmits the packet toward the terminal 420.

端末420のVPN形成モジュール422は、ルータ242からのパケットを処理する。VPN形成モジュール422は、ルーチングテーブルを参照して、送信元アドレス22のグローバルアドレスSMを仮想IPアドレスSAに変換し、宛先アドレス21のプライベートアドレスDBを仮想IPアドレスDAに変換し、アプリケーションプログラム421に向けてパケットを送信する。   The VPN formation module 422 of the terminal 420 processes the packet from the router 242. The VPN formation module 422 refers to the routing table, converts the global address SM of the source address 22 to the virtual IP address SA, converts the private address DB of the destination address 21 to the virtual IP address DA, and sends it to the application program 421. Send packets to

次に、端末420内のアプリケーションプログラム421から端末410内のアプリケーションプログラム411への通信を説明する。アプリケーションプログラム421から送信されるIPパケットのヘッダには、宛先アドレス31として「SA」、送信元アドレス32として「DA」が書き込まれ、TCPヘッダには、宛先ポート番号33として「200」、送信元ポート番号34として「100」が書き込まれている。   Next, communication from the application program 421 in the terminal 420 to the application program 411 in the terminal 410 will be described. In the header of the IP packet transmitted from the application program 421, “SA” as the destination address 31 and “DA” as the source address 32 are written, and “200” as the destination port number 33 in the TCP header. “100” is written as the port number 34.

VPN形成モジュール422は、ルーチングテーブルを参照して、宛先アドレス31のSAをグローバルアドレスSMに変換し、送信元アドレス32のDAをプライベートアドレスDBに変換し、ルータ242へ送信する。   The VPN formation module 422 refers to the routing table, converts the SA of the destination address 31 to the global address SM, converts the DA of the transmission source address 32 to the private address DB, and transmits it to the router 242.

ルータ242は、変換テーブルを参照して、送信元アドレス32のグローバルアドレスDBをグローバルアドレスDMに変換し、ルータ241に向けてパケットを送信する。   The router 242 refers to the conversion table, converts the global address DB of the source address 32 to the global address DM, and transmits the packet toward the router 241.

ルータ241は、宛先アドレス31のSMをプライベートアドレスSBに変換し、端末410へ向けてパケットを送信する。   The router 241 converts the SM at the destination address 31 into the private address SB and transmits the packet to the terminal 410.

端末410のVPN形成モジュール412は、ルータ241からのパケットを処理する。VPN形成モジュール412は、宛先アドレス31のSBを仮想IPアドレスSAに変換し、送信元アドレス32のDMを仮想IPアドレスDAに変換し、アプリケーションプログラム411へ向けてパケットを送信する。   The VPN formation module 412 of the terminal 410 processes the packet from the router 241. The VPN formation module 412 converts the SB of the destination address 31 into the virtual IP address SA, converts the DM of the transmission source address 32 into the virtual IP address DA, and transmits the packet toward the application program 411.

NAT機能を説明するためのネットワーク接続図である。It is a network connection diagram for demonstrating a NAT function. 本発明の第1の実施形態に係る通信装置(VPN形成装置)を説明するためのネットワーク接続図である。It is a network connection diagram for demonstrating the communication apparatus (VPN formation apparatus) which concerns on the 1st Embodiment of this invention. 図3(a)は図2のネットワーク接続図の一部を示す図、図3(b)は図3(a)の端末232から端末233へのIPパケットの流れを説明するための図、図3(c)は図3(a)の端末233から端末232へのIPパケットの流れを説明するための図である。3A is a diagram showing a part of the network connection diagram of FIG. 2, FIG. 3B is a diagram for explaining the flow of IP packets from the terminal 232 to the terminal 233 of FIG. 3 (c) is a diagram for explaining the flow of an IP packet from the terminal 233 to the terminal 232 in FIG. 3 (a). 本発明の第1の実施形態に係る通信装置(VPN形成装置)のNAT越え機能の説明図である。It is explanatory drawing of the NAT traversal function of the communication apparatus (VPN formation apparatus) which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る通信装置(VPN形成装置)のNAT越え機能の説明図である。It is explanatory drawing of the NAT traversal function of the communication apparatus (VPN formation apparatus) which concerns on the 1st Embodiment of this invention. 本発明の第2の実施形態に係る通信モジュール(VPN形成モジュール)を説明するためのネットワーク接続図である。It is a network connection diagram for demonstrating the communication module (VPN formation module) which concerns on the 2nd Embodiment of this invention.

符号の説明Explanation of symbols

11 クライアント
12 サーバ
13,14,241,242 ルータ
200,400 ネットワーク
210 セッション管理サーバ
231 端末(NAS)
232,233,411,420 端末(PC)
221,222 VPN形成装置
411,421 アプリケーションプログラム
412,422 VPN形成モジュール
413,423 ネットワークインタフェース
11 Client 12 Server 13, 14, 241, 242 Router 200, 400 Network 210 Session management server 231 Terminal (NAS)
232, 233, 411, 420 Terminal (PC)
221 and 222 VPN forming devices 411 and 421 Application programs 412 and 422 VPN forming modules 413 and 423 Network interfaces

Claims (8)

プライベートアドレスを用いて構成されたネットワーク内において、NAT機能を有するネットワーク機器と、端末とに接続され、当該端末についての前記ネットワーク外とのIP通信の通信経路を確保するための通信装置において、
前記プライベートアドレスを設定する手段と、
前記端末に対して仮想IPアドレスを割り当てる手段と、
前記端末から受信するIPパケットの送信元アドレスに書き込まれた前記端末に割り当てた前記仮想IPアドレスを、前記通信装置に設定された前記プライベートアドレスに変換し、前記端末から受信するIPパケットの宛先アドレスに書き込まれた宛先端末の仮想IPアドレスを、前記宛先端末にNAT機能を提供するネットワーク機器に設定されたグローバルアドレスに変換する手段と
を備えたことを特徴とする通信装置。 In a communication device for securing a communication path for IP communication between a network device having a NAT function and a terminal in a network configured using a private address and the outside of the network for the terminal,
Means for setting the private address;
Means for assigning a virtual IP address to the terminal;
The virtual IP address assigned to the terminal written in the source address of the IP packet received from the terminal is converted into the private address set in the communication device, and the destination address of the IP packet received from the terminal And a means for converting the virtual IP address of the destination terminal written in to a global address set in a network device that provides the destination terminal with a NAT function. 前記端末に対して割り当てる仮想IPアドレスを問い合わせる手段を備えたことを特徴とする請求項1に記載の通信装置。   The communication apparatus according to claim 1, further comprising means for inquiring a virtual IP address to be assigned to the terminal. プライベートアドレスを用いて構成されたネットワーク内で、NAT機能を有するネットワーク機器と、端末とに接続され、当該端末についての前記ネットワーク外とのIP通信の通信経路を確保するための通信方法において、
前記プライベートアドレスを設定するステップと、
前記端末に対して仮想IPアドレスを割り当てるステップと、
前記端末から受信するIPパケットの送信元アドレスに書き込まれた前記端末に割り当てた前記仮想IPアドレスを、前記通信装置に設定された前記プライベートアドレスに変換し、前記端末から受信するIPパケットの宛先アドレスに書き込まれた宛先端末の仮想IPアドレスを、前記宛先端末にNAT機能を提供するネットワーク機器に設定されたグローバルアドレスに変換するステップと
を含むことを特徴とする通信方法。 In a communication method for securing a communication path for IP communication between a network device having a NAT function and a terminal in a network configured using a private address and the outside of the network for the terminal,
Setting the private address;
Assigning a virtual IP address to the terminal;
The virtual IP address assigned to the terminal written in the source address of the IP packet received from the terminal is converted into the private address set in the communication device, and the destination address of the IP packet received from the terminal Converting the virtual IP address of the destination terminal written in to a global address set in a network device that provides a NAT function to the destination terminal. 前記端末に対して割り当てる仮想IPアドレスを問い合わせるステップを含むことを特徴とする請求項3に記載の通信方法。   The communication method according to claim 3, further comprising a step of inquiring a virtual IP address to be assigned to the terminal. コンピュータに、請求項3または4に記載のステップを実行させるためのプログラム。   The program for making a computer perform the step of Claim 3 or 4. プライベートアドレスを用いて構成されたネットワーク内において、NAT機能を有するネットワーク機器と接続される端末において、
前記プライベートアドレスと仮想IPアドレスを設定する手段と、
当該端末のアプリケーションから送信されるIPパケットの送信元アドレスに書き込まれた前記端末に割り当てた前記仮想IPアドレスを、前記端末に設定された前記プライベートアドレスに変換し、前記アプリケーションから受信するIPパケットの宛先アドレスに書き込まれた宛先端末の仮想IPアドレスを、前記宛先端末にNAT機能を提供するネットワーク機器に設定されたグローバルアドレスに変換する手段と
を備えたことを特徴とする通信装置。 In a terminal connected to a network device having a NAT function in a network configured using a private address,
Means for setting the private address and virtual IP address;
The virtual IP address assigned to the terminal written in the source address of the IP packet transmitted from the application of the terminal is converted into the private address set in the terminal, and the IP packet received from the application Means for converting a virtual IP address of a destination terminal written in the destination address into a global address set in a network device that provides a NAT function to the destination terminal. プライベートアドレスを用いて構成されたネットワーク内で、NAT機能を有するネットワーク機器と接続された端末において、当該端末についての前記ネットワーク外とのIP通信の通信経路を確保するための通信方法において、
前記プライベートアドレスと仮想IPアドレスを設定するステップと、
当該端末のアプリケーションから送信されるIPパケットの送信元アドレスに書き込まれた前記端末に割り当てた前記仮想IPアドレスを、前記端末に設定された前記プライベートアドレスに変換し、前記アプリケーションから受信するIPパケットの宛先アドレスに書き込まれた宛先端末の仮想IPアドレスを、前記宛先端末にNAT機能を提供するネットワーク機器に設定されたグローバルアドレスに変換するステップと
を含むことを特徴とする通信方法。 In a communication method for securing a communication path for IP communication with the outside of the network for a terminal connected to a network device having a NAT function in a network configured using a private address,
Setting the private address and virtual IP address;
The virtual IP address assigned to the terminal written in the source address of the IP packet transmitted from the application of the terminal is converted into the private address set in the terminal, and the IP packet received from the application Converting the virtual IP address of the destination terminal written in the destination address into a global address set in a network device that provides a NAT function to the destination terminal. コンピュータに、請求項7に記載のステップを実行させるためのプログラム。
The program for making a computer perform the step of Claim 7.
JP2005232557A 2005-08-10 2005-08-10 Communication method and apparatus Active JP4712481B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005232557A JP4712481B2 (en) 2005-08-10 2005-08-10 Communication method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005232557A JP4712481B2 (en) 2005-08-10 2005-08-10 Communication method and apparatus

Publications (2)

Publication Number Publication Date
JP2007049499A true JP2007049499A (en) 2007-02-22
JP4712481B2 JP4712481B2 (en) 2011-06-29

Family

ID=37851958

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005232557A Active JP4712481B2 (en) 2005-08-10 2005-08-10 Communication method and apparatus

Country Status (1)

Country Link
JP (1) JP4712481B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007049498A (en) * 2005-08-10 2007-02-22 Fractalist Inc Communication method and apparatus
JP2009225258A (en) * 2008-03-18 2009-10-01 Nomura Research Institute Ltd Network system, and method for transferring message
JP2011501623A (en) * 2007-10-24 2011-01-06 ドイチユ,ジヨナサン・ピーター Various methods and apparatus for a central station for assigning virtual IP addresses
WO2011010735A1 (en) * 2009-07-24 2011-01-27 ヤマハ株式会社 Relay device
JP2013038684A (en) * 2011-08-10 2013-02-21 Refiner Inc Vpn connection management system
JP2013247678A (en) * 2012-05-23 2013-12-09 Gemtec Technology Co Ltd Routing device
JP2014053973A (en) * 2009-12-15 2014-03-20 Qualcomm Innovation Center Inc Method of communication by communication device, communication device, and non-transitory processor-readable storage medium
JP2022543906A (en) * 2019-09-19 2022-10-14 華為技術有限公司 NAT traversal method, device and system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002190810A (en) * 2000-12-21 2002-07-05 Hitachi Ltd Network management system
JP2003289318A (en) * 2002-03-28 2003-10-10 Fujitsu Ltd Address access system and method
WO2005027438A1 (en) * 2003-09-11 2005-03-24 Fujitsu Limited Packet relay device
JP2005210352A (en) * 2004-01-22 2005-08-04 Nec Engineering Ltd Ip address converter and converting method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002190810A (en) * 2000-12-21 2002-07-05 Hitachi Ltd Network management system
JP2003289318A (en) * 2002-03-28 2003-10-10 Fujitsu Ltd Address access system and method
WO2005027438A1 (en) * 2003-09-11 2005-03-24 Fujitsu Limited Packet relay device
JP2005210352A (en) * 2004-01-22 2005-08-04 Nec Engineering Ltd Ip address converter and converting method

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007049498A (en) * 2005-08-10 2007-02-22 Fractalist Inc Communication method and apparatus
JP2011501623A (en) * 2007-10-24 2011-01-06 ドイチユ,ジヨナサン・ピーター Various methods and apparatus for a central station for assigning virtual IP addresses
JP2011501624A (en) * 2007-10-24 2011-01-06 ドイチユ,ジヨナサン・ピーター Various methods and apparatus for accessing a network device that does not have an address accessible via a virtual IP address
US8825816B2 (en) 2007-10-24 2014-09-02 Lantronix, Inc. Various methods and apparatuses for a central management station for automatic distribution of configuration information to remote devices
JP2009225258A (en) * 2008-03-18 2009-10-01 Nomura Research Institute Ltd Network system, and method for transferring message
WO2011010735A1 (en) * 2009-07-24 2011-01-27 ヤマハ株式会社 Relay device
CN102474459A (en) * 2009-07-24 2012-05-23 雅马哈株式会社 Relay device
JP2014053973A (en) * 2009-12-15 2014-03-20 Qualcomm Innovation Center Inc Method of communication by communication device, communication device, and non-transitory processor-readable storage medium
JP2013038684A (en) * 2011-08-10 2013-02-21 Refiner Inc Vpn connection management system
JP2013247678A (en) * 2012-05-23 2013-12-09 Gemtec Technology Co Ltd Routing device
US9130884B2 (en) 2012-05-23 2015-09-08 Gemtek Technology Co., Ltd. Routing device
JP2022543906A (en) * 2019-09-19 2022-10-14 華為技術有限公司 NAT traversal method, device and system

Also Published As

Publication number Publication date
JP4712481B2 (en) 2011-06-29

Similar Documents

Publication Publication Date Title
JP4327142B2 (en) Information processing system, tunnel communication device, tunnel communication method, proxy response device, and proxy response method
USRE47566E1 (en) NAT traversal for mobile network devices
JP4331154B2 (en) Information processing system, tunnel communication apparatus, and tunnel communication method
JP4712481B2 (en) Communication method and apparatus
US8457014B2 (en) Method for configuring control tunnel and direct tunnel in IPv4 network-based IPv6 service providing system
JP5214402B2 (en) Packet transfer apparatus, packet transfer method, packet transfer program, and communication apparatus
EP2896160B1 (en) Bandwidth probing messages
US8194683B2 (en) Teredo connectivity between clients behind symmetric NATs
US7356031B1 (en) Inter-v4 realm routing
US7873037B2 (en) Information processing device, information processing system, information processing method, and program
JP2005117587A (en) Communication method
KR101049549B1 (en) GPD hole punching method using SIP, terminal management system and terminal management method using same
EP2052514B1 (en) Pervasive inter-domain dynamic host configuration
WO2023007248A1 (en) System and method for independent binding of virtual networks overlay using a physical network topology
US11212194B2 (en) Method for negotiating a quality of service offered by a gateway to terminals
JP4722615B2 (en) Communication method and communication apparatus
WO2008069504A1 (en) Method for configuring control tunnel and direct tunnel in ipv4 network-based ipv6 service providing system
JP2007208999A (en) Communication method
JP5908411B2 (en) Facilitates rapid establishment of human / machine communication links with private SIP-based IP networks by using pre-distributed static network address translation maps
JP3808471B2 (en) Network and router apparatus and address notification method used therefor
JP2005045678A (en) Communication method between hosts through network
WO2013035309A1 (en) Agent device and communication relay method
KR100980466B1 (en) Terminval management system and method thereof, terminal and recoding medium thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080811

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20081008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20081008

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110323

R150 Certificate of patent or registration of utility model

Ref document number: 4712481

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250