JP2007158594A - データ通信システム、端末装置およびvpn設定更新方法 - Google Patents

データ通信システム、端末装置およびvpn設定更新方法 Download PDF

Info

Publication number
JP2007158594A
JP2007158594A JP2005349268A JP2005349268A JP2007158594A JP 2007158594 A JP2007158594 A JP 2007158594A JP 2005349268 A JP2005349268 A JP 2005349268A JP 2005349268 A JP2005349268 A JP 2005349268A JP 2007158594 A JP2007158594 A JP 2007158594A
Authority
JP
Japan
Prior art keywords
vpn
terminal device
identifier
information
edge device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005349268A
Other languages
English (en)
Other versions
JP4628938B2 (ja
Inventor
Tetsushi Matsuda
哲史 松田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2005349268A priority Critical patent/JP4628938B2/ja
Publication of JP2007158594A publication Critical patent/JP2007158594A/ja
Application granted granted Critical
Publication of JP4628938B2 publication Critical patent/JP4628938B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】DHT方式の検索機能を提供するオーバーレイネットワークにおいて、動的なVPNの生成/削除を簡潔な手順で実現すること。
【解決手段】所定のVPNへの接続を要求する端末装置1の認証を行う認証サーバ4と、IPネットワーク上にDHT方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置1とVPNとの接続処理およびIPパケットの転送処理を行うための所定情報を保持するエッジ装置2と、複数のVPNおよびVPNのメンバーとなりうる端末装置1を管理するための所定情報を保持するVPNメンバー管理サーバ3とが具備される。エッジ装置2は、VPNへの接続を要求する端末装置1との論理的コネクションを確立した後、端末装置1が属するVPNの情報をVPNメンバー管理サーバ3から取得し、この取得したVPNの情報に基づいて端末装置1と端末装置1が接続を要求するVPNとの接続設定処理を行う。
【選択図】 図1

Description

本発明は、複数のVPN(Virtual Private Network)を備え、一つの端末装置(データ通信端末装置)が同時に複数のVPNに接続可能なネットワークに関するものであって、特に、端末装置がVPNへの参加および離脱、などの処理を動的に行うデータ通信システムおよび、その端末装置ならびにVPN設定更新方法に関するものである。
VPNとは、共有(公衆)ネットワークを仮想的な専用線として利用するために当該ネットワーク上に構築された私設通信網(プライベートネットワーク)または、その利用技術を示す用語である。近時、このVPNを利用して、出張先などの遠隔地から自社のイントラネットなどへの接続を可能とするサービスが提供されており、コストのかかる専用線の代替になる新しいサービスとして、企業を中心として着実に浸透している。
ところで、遠隔地の端末装置が自社のイントラネットなどに接続するためには、VPNとして構成されたネットワークに端末装置が接続できなければならない。ここで、VPNを構成するための従来方式として、例えば、IPSecを用いる方式や、MPLS/VPN(下記、非特許文献1を参照)を用いる方式などがある。ただし、これらのいずれの方式を用いた場合でも、端末装置がVPNに接続するためには、論理的なコネクション(例えば、IPSecを用いる場合はIPSecトンネルモードSecurity Association(以下「IPsec_SA」と呼称)、MPLS/VPNの場合はPoint to Point Protoco over Ethernet(登録商標)セッション(以下「PPPoEセッション」と呼称)を確立する相手となるエッジ装置を必要とする。このエッジ装置は、端末装置の認証情報に基づいて端末装置が接続しようとするVPNを識別して当該VPNへの接続可否を決定するとともに、端末装置にIPアドレスを割り当てる機能を有し、このようなエッジ装置の機能に基づいて端末装置とVPNとの接続が実現される。
IETF RFC2547bis
しかしながら、上記従来技術にかかるVPN構成方式には、以下に示すような問題点がある。
[端末装置とVPNとの接続に伴う種々の問題]
端末装置がVPNに接続するためには、VPNを構成するエッジ装置には、以下に示すいずれかの要件を満たしている必要があった。
(a)端末装置と当該端末装置が接続を希望するVPNとの間の接続を仲介するための必要な設定が予めエッジ装置に具備されている。
(b)端末装置がエッジ装置に接続してきた時点で、エッジ装置とVPNとの間の接続を動的に確立する手段および手順が具備されている。
ここで、上記(a)の要件が満たされる場合、端末装置の接続対象となるVPNの数が多くなるとエッジ装置への設定作業の手間が膨大になるといった問題点や、メモリ等のリソースが、使用されないVPNのためにも消費されるといった問題点があった。また、動的にVPNを生成/削除する機能をサポートする場合、生成/削除されるVPNに関する情報を、全てのエッジ装置に対して設定する必要があり、エッジ装置間でやりとりされるメッセージ数が増加し、処理が繁雑になるという問題点があった。
一方、上記(b)の要件が満たされる場合、端末装置がエッジ装置に接続してきた時点で、エッジ装置とVPNとの間の接続を動的に確立するための機能は、IPSec方式にもMPLS/VPN方式にも標準の規定がない。そのため、独自の手順で上記機能を実現する必要がある。
例えば、IPSec方式を用いる場合、端末装置がエッジ装置に接続してきた時点で、エッジ装置とVPNとの間の接続を動的に確立するためには、エッジ装置に対して当該VPNに接続するための設定を動的に行った上で、さらにエッジ装置自身がVPNへの接続を動的に行う必要がある。この機能を実現するためには、例えばエッジ装置をVPNに接続するための別のエッジ装置を設けておく必要がある。そして、エッジ装置は、目的のVPNに接続するためにIPSec_SAを確立する相手方となる相手方エッジ装置のIPアドレスを何らかの手段(例えば、設定データの読み出しを行う手段、外部データベースを検索する手段など)を用いて取得し、さらに、相手方エッジ装置との間にIPSec_SAを確立するための複数往復(アグレッシブモードで3往復、メインモードで4.5往復)のメッセージのやりとりが必要となる。さらには、動的にVPNを生成/削除する場合には、当該VPNを収容するエッジ装置を決定し、そのVPNを実現するための設定を当該エッジ装置に行う必要がある。
一方、MPLS/VPNを使用する場合、端末装置がエッジ装置に接続してきた時点で、エッジ装置とVPNとの間の接続を動的に確立するためには、エッジ装置に対して接続先のVPNに対応するVRF(Virtual Routing Forwarding)およびインタフェースの設定を行うとともに、他の全てのエッジ装置との間で、BGP(Border Gateway Protocol)によりVPN内のルーティング情報の交換を行う必要があり、全エッジ装置数に比例する数のメッセージ伝送が必要となる。
このように、IPSec方式やMPLS/VPN方式に基づいて動的なVPNの生成/削除をサポートするためには、多くのメッセージ伝送が必要となり処理が繁雑になるという問題点があった。
[端末装置数増加に対するスケーラビリティの問題]
エッジ装置を含むVPN内でのルーティング情報伝播は、通常のIPルーティングプロトコル(例えば、RIP(Routing Information Protocol)や、OSPF(Open Shortest Path First)など)に基づいて行われる。ここで、端末装置が任意のエッジ装置経由で接続しても同一IPアドレスでのVPN接続を可能とする場合、端末装置のIPアドレスが、VPN内でエッジ装置に割当てられるサブネットアドレスに属さないケースが生じるのを防止するためには、エッジ装置は端末装置に割当てたホストアドレスをルーティングプロトコルで広告する必要がある。そして、ホストアドレスへのルーティング情報が、全てのエッジ装置と、VPN内の全てのルータのルーティングテーブルに設定されることと、端末装置の接続/切断の度にルーティングプロトコルによりルーティング情報が変化したことがVPN全体に広告されることになるので、端末装置数増加に対するスケーラビリティが悪いという問題点があった。
なお、端末装置がモバイルIPの機能をサポートしている場合には、VPN内にモバイルIPのホームエージェント(Home Agent:HA)を設置し、エッジ装置から割当てられたIPアドレスを気付アドレス(Care of Address:CoA)として使用して通信することで、エッジ装置が端末装置のホストアドレスをルーティングプロトコルで広告しないようにする手法もある。しかしながら、この手法では、モバイルIPの使用が前提とされるので、当該VPNにアクセスする全ての端末装置がモバイルIPの機能を備えていなければならず、また、ホームエージェントを設置しなければならないという問題点があった。
本発明は、上記に鑑みてなされたものであって、IPSec方式やMPLS/VPN方式を使用する場合よりも簡潔な手順で、動的なVPNの生成/削除を可能とするデータ通信システムおよび、その端末装置ならびにVPN設定更新方法を得ることを目的とする。
また、端末装置がモバイルIPをサポートすることなく、任意のエッジ装置経由でVPNに接続した場合であっても、VPN内にて同一IPアドレスを使用して通信を行うことを可能とするデータ通信システムおよび、その端末装置ならびにVPN設定更新方法を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、IPネットワーク上に複数のVPN(Virtual Private Network)を構成可能とするデータ通信システムであって、VPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子の情報を保持し、該デフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、前記IPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うための所定情報を保持するエッジ装置と、前記複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、を備え、前記エッジ装置は、VPNへの接続を要求する端末装置との論理的コネクションを確立した後、該端末装置が属するVPNの情報をVPNメンバー管理サーバから取得し、該VPNメンバー管理サーバから取得したVPNの情報に基づいて該端末装置と該端末装置が接続を要求するVPNとの接続設定処理を行うことを特徴とする。
この発明によれば、IPネットワーク上にDHT方式の検索機能を提供するオーバーレイネットワークを構築するエッジ装置と、複数のVPNおよびVPNのメンバーとなりうる端末装置を管理するVPNメンバー管理サーバとが具備され、エッジ装置は、VPNへの接続を要求する端末装置との論理的コネクションを確立した後に、VPNメンバー管理サーバから取得したVPNの情報に基づいて端末装置と端末装置が接続を要求するVPNとの接続設定処理を行うようにしているので、IPSec方式やMPLS/VPN方式を使用する場合よりも簡潔な手順で、動的なVPNの生成/削除が可能となり、また、端末装置がモバイルIPをサポートすることなく、任意のエッジ装置経由でVPNに接続した場合であっても、VPN内にて同一IPアドレスを使用した通信が可能となるという効果を奏する。
以下に、本発明にかかるデータ通信システムおよびデータ通信方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。
実施の形態1.
図1は、本発明の実施の形態1にかかるデータ通信システムを実現するネットワークの構成例を示す図であり、当該ネットワークは、エッジ装置間を接続するIPマルチキャストに対応したIPネットワークに接続する端末装置1−1,1−2,…,1−mと、上記IPネットワークに接続され、オーバーレイネットワークを構築するエッジ装置2−1,2−2,…,2−nと、VPN毎の各種情報を管理するVPNメンバー管理サーバ3と、端末装置の認証を行う認証サーバ4と、を備えている。
ここで、本発明にかかるデータ通信システムを実現する本実施の形態のネットワークでは、IPアドレスのサブネット部分でVPNを識別することとする。このようにすれば、同じVPNに属する端末装置を、同じサブネットに所属させることができるとともに、複数のVPNをIPネットワーク上に同時に実現することができる。なお、サブネット部分のビット長は、必ずしも同一である必要はないが、処理の簡素化のためには、いずれのVPNでも同一であることが好ましい。
また、当該IPネットワークにおいて送受信を行うIPパケットには、どのVPN上で送受信するIPパケットかを識別可能にするためのラベルを付与することができる。なお、このようなラベルを付与することにより、端末装置(図1に示した端末装置1−1〜1−m)は、同時に複数のVPNに接続することができる。
(端末装置1の構成)
つづいて、図2は、端末装置1(上記端末装置1−1〜1−mに相当)の構成例を示す図であり、例えば、LinuxをOSとするPC(パーソナルコンピュータ)を用いることができる。図2に示したように、端末装置1は、IP通信モジュール11、トンネル通信モジュール12、仮想インタフェースドライバ13、アプリケーション14、データベース15を備えている。
IP通信モジュール11は、IPネットワークを介して端末装置1およびエッジ装置2の間のIP通信を実現するIPプロトコル処理を行う機能を提供し、例えば、Linuxに含まれるIPプロトコルスタックS/W(ソフトウェア)によって実現される。
また、トンネル通信モジュール12は、端末装置とエッジ装置間の論理的コネクションを実現するための通信プロトコル処理を行う。例えば、IPSecトンネルモードを通信プロトコルとして使用することで、論理的コネクションを実現する。IPSec_SAが表す論理的コネクション上で、ラベル付きのIPパケットを転送するときは、IETF(Internet Engineering Task Force)のRFC3032に定義される、MPLSのラベルフォーマットと同じラベルを付与したIPパケットを転送する。論理的コネクション上で転送されるラベル付きIPパケットが、ユーザトラフィックとなるIPパケットか、VPNに関する制御のためのIPパケットかは、IPv4ヘッダのProtocolフィールド、もしくは、IPv6ヘッダのNext Headerフィールドの値を参照し、その値がVPNに関する制御のためのIPパケットでないかどうかで判定する。
また、仮想インタフェースドライバ13は、論理的コネクションの識別子およびラベル値を、IP通信モジュールに対してIP通信が可能な一つのインタフェースとして見せかけるための機能(仮想インタフェース)を提供するもので、例えば、Linuxのデバイスドライバとして実現することが可能である。
また、アプリケーション14は、例えば、Linux上で動作するアプリケーションで、ソケットインタフェースを用いたVPN上でのIP通信、仮想インタフェースドライバが提供するAPI(Application Program Interface)を利用したVPNへの参加/離脱,VPNの生成/削除,VPNへのメンバー追加/削除を指示するための制御信号の送受信を行う機能、を実現する。
また、データベース15は、「仮想インタフェースの識別子をキーとして、仮想インタフェースが使用するラベルの値をデータとするデータベース。」および「ラベルの値をキーとして、ラベルに対応付けられる仮想インタフェースの識別子をデータとするデータベース。」を管理する。そして、登録されているデータの検索機能を提供するS/Wとして実現される。
上述の構成をとる端末装置1は、通信者間での認証機能、秘匿機能、改竄防止機能を有する論理的コネクションを介して、エッジ装置(図1に示したエッジ装置2−1、…、2−nのいずれか)と接続する。そして、端末装置1は、当該論理的コネクションを介してVPNへの参加などを行うための制御メッセージの送受信およびIPパケットの送受信を行う。
ここで、上記制御メッセージには、「VPN参加要求MSG(メッセージ)および応答MSG」、「VPN離脱要求MSGおよび応答MSG」、「VPN生成要求MSGおよび応答MSG」、「VPN削除要求MSGおよび応答MSG」、「メンバー追加要求MSGおよび応答MSG」、および「メンバー削除要求MSGおよび応答MSG」がある。端末装置1は、これらのメッセージを使用して、VPNへの参加および離脱、VPNの生成および削除、VPNへのメンバー追加および削除、をエッジ装置(図1に示したエッジ装置2−1、…、2−nのいずれか)に対して要求する。
なお、端末装置1は、論理的コネクション上の各ラベル値を、IPパケットが送受信可能な仮想インタフェースとして扱う。
(エッジ装置2の構成)
つづいて、図3は、エッジ装置2(上記エッジ装置2−1〜2−nに相当)の構成例を示す図であり、例えば、LinuxをOSとするPCを用いることができる。図3に示したように、エッジ装置2は、IP通信モジュール21、データベース25、DHT検索モジュール26、制御モジュール27、トンネル通信モジュール12を備えている。なお、トンネル通信モジュール12は、上記端末装置1が備えているトンネル通信モジュールと同一である。
IP通信モジュール21は、IPネットワークを介して端末装置1およびエッジ装置2の間のIP通信と、他のエッジ装置との間(上記エッジ装置2−1、2−2、…、2−nの間)のIP通信と、エッジ装置2および認証サーバ4の間のIP通信と、エッジ装置2−1、2−2、…、2−nおよびVPNメンバー管理サーバ3の間のIP通信を実現するIPプロトコル処理を行う機能を提供し、例えば、Linuxに含まれるIPプロトコルスタックS/Wによって実現される。
また、データベース25は、エッジ装置2に存在するデータベースを管理する。そして、登録されているデータの検索機能を提供するS/Wとして実現さる。なお、データベース25は、以下に示す6種類のデータベースを総括したものである。
「端末装置との間の論理的コネクションの識別子とラベル値のペアをキーとして、VPN識別子と端末装置識別子とVPN内IPアドレスをデータとするデータベース」、「VPN内IPアドレスをキーとして、そのIPアドレスを使用している端末装置との間の論理的コネクションの識別子とラベル値のペアをデータとするデータベース」、「VPN識別子をキーとして、そのVPNへの接続に使用される端末装置との間の論理的コネクションの識別子とラベル値のペアのリストをデータとするデータベース」、「VPN識別子をキーとして、そのVPNに対応付けられるマルチキャストIPアドレスとサブネットアドレスをデータとするデータベース」、「マルチキャストIPアドレスをキーとして、そのマルチキャストIPアドレスに対応付けられるVPN識別子をデータとするデータベース」、「サブネットアドレスをキーとして、そのサブネットアドレスに対応付けられるVPN識別子をデータとするデータベース」。
なお、上記の6つのデータベースは、必ずしもそれぞれが個別のデータベースとして記憶されている必要はなく、一つのデータベースが構成され、所定項目のデータをキーとして、上記6つのデータベースにおける各データ項目が抽出されるように構成されるものであってもよい。
また、DHT検索モジュール26は、例えば「Building Peer−to−Peer Systems With Chord, a Distributed Lookup Service, F.Dabek,E.Brunskill,M.Kaashoek,D.Karger,R.Morris,I.Stoica and H.Balakrishnan,Proceeding of the 8th Workshop on Hot Topics on Operating Systems, May,2001」に示されるChordの実現方法例において述べられる、DHT(Distributed Hash Table)検索方式を実現するモジュールであり、ある端末装置のIPアドレスが与えられたときに、その端末装置が論理的コネクションを確立しているエッジ装置を決定するための機能を提供する(以下「論理的コネクションを確立しているエッジ装置…」を単に「接続しているエッジ装置…」と表現する。)。
また、制御モジュール27は、例えば、S/Wとして実現され、エッジ装置2を構成する他のモジュール(IP通信モジュール21、トンネル通信モジュール12、など)を制御する。
そして、IPネットワークに接続したエッジ装置2は、他のエッジ装置と共にオーバーレイネットワークを構築し、当該ネットワークにおいて、例えば上述したChordの方式に従って、DHT方式で検索を行う機能を提供する。
(VPNメンバー管理サーバ3の構成)
つづいて、図4に基づいてVPNメンバー管理サーバ3を説明する。図4は、VPNメンバー管理サーバ3の構成例を示す図であり、例えば、LinuxをOSとするPCを用いることができる。図4に示したように、VPNメンバー管理サーバ3は、IP通信モジュール31、データベース35、制御モジュール37、DHT検索モジュール26を備えている。なお、DHT検索モジュール26は、上記エッジ装置2が備えているDHT検索モジュールと同一である。
IP通信モジュール31は、IPネットワークを介してエッジ装置2およびVPNメンバー管理サーバ3の間のIP通信を実現するIPプロトコル処理を行う機能を提供し、例えば、Linuxに含まれるIPプロトコルスタックS/Wによって実現される。
また、データベース35は、VPN識別子をキーとしてVPNメンバー管理サーバ3に存在するデータベースをVPN毎に管理する。そして、登録されているデータの検索機能を提供するS/Wとして実現する。なお、データベース35が管理するデータベースは、「VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレス情報」、「VPNに対応付けられるサブネットアドレス情報」、「VPNメンバーとなりうる端末装置毎の情報(端末装置識別子および端末装置に割当てるIPアドレスの組のリスト)」であり、これをVPN情報データベースと呼ぶ。
また、制御モジュール37は、例えば、S/Wとして実現され、VPNメンバー管理サーバ3を構成する他のモジュール(IP通信モジュール31など)を制御する。
そして、VPNメンバー管理サーバ3は、VPN識別子と端末装置識別子とを含むVPNメンバー問合せ要求MSGを受信したときに、端末装置識別子で指定される端末装置がVPN識別子で指定されるVPNに参加可能かどうかをチェックした結果と、参加可能な場合に端末装置に割当てるIPアドレスと、VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレスと、VPNに対応付けられるサブネットアドレスとを、VPNメンバー問合せ応答MSGで通知(返信)する。
(認証サーバ4の構成)
つづいて、図5は、認証サーバ4の構成例を示す図であり、例えば、LinuxをOSとするPCを用いることができる。図5に示したように、認証サーバ4は、IP通信モジュール41、データベース45、制御モジュール47を備えている。
IP通信モジュール41は、IPネットワークを介してエッジ装置2−1、2−2、…、2−nおよび認証サーバ4の間のIP通信を実現するIPプロトコル処理を行う機能を提供し、例えば、Linuxに含まれるIPプロトコルスタックS/Wによって実現される。
また、データベース45は、認証サーバ4に存在するデータベースを管理する。そして、登録されているデータの検索機能を提供するS/Wとして実現さる。なお、データベース45は、「端末装置認証のために必要な秘密情報」、「端末装置が属するデフォルトVPNのVPN識別子」を管理する。
また、制御モジュール47は、例えば、S/Wとして実現され、認証サーバ4を構成する他のモジュール(IP通信モジュール41など)を制御する。
そして、認証サーバ4は、認証要求MSGを受信した場合、当該認証要求MSGに含まれる端末装置識別子と端末装置認証に必要な情報とを元に端末装置の認証処理を行い、当該認証結果と、端末装置がデフォルトで属するVPNのVPN識別子とを認証応答MSGで通知(返信)する。
(端末装置によるVPNの作成)
つづいて、端末装置1−1が既存のVPNとの接続を介して新しいVPNを作成する動作の一例を図6に基づいて説明する。なお、図6は端末装置1−1がVPNを作成する動作の一例を示すシーケンス図である。また、端末装置1−1とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
端末装置1−1は、仮想インタフェース上で、新たに作成したいVPNを示すVPN識別子を含むVPN生成要求MSGを、エッジ装置2−1に対して送信する(ステップS1)。
エッジ装置2−1は、端末装置1−1から受信したVPN生成要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、端末装置1−1の端末装置識別子をデータベース25で検索する(ステップS2)。そして、エッジ装置2−1は、上記検索により取得した端末装置1−1の端末装置識別子および上記VPN識別子を含むVPN作成要求MSGをVPNメンバー管理サーバ3宛に送信する(ステップS3)。
VPNメンバー管理サーバ3は、受信したVPN作成要求MSGに含まれるVPN識別子が未登録の場合、以下に述べる処理を実行し、データベース35(VPN情報データベース)を更新する(ステップS4)。
VPNメンバー管理サーバ3は、「上記VPN識別子に対応するVPN(新規作成するVPN)に割当てるサブネットアドレス(他のVPN識別子に割当済みのサブネットアドレスと重複しない値とする)」および「上記VPN識別子に対応するVPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレス(他のVPN識別子に割当済みのマルチキャストIPアドレスと重複しない値とする)」を決定する。そして、VPNメンバー管理サーバ3は、上記データを、上記VPN識別子をキーとして管理するデータベースとしてデータベース35に追加する。さらに、VPNメンバー管理サーバ3は、データベース35に含まれる「VPNメンバーとなりうる端末装置毎の端末装置識別子および端末装置に割当てるIPアドレスの組のリスト」に、「上記VPN作成要求MSGで指定された端末装置識別子と、それに割当てるIPアドレスの組の情報」を追加する(以上、ステップS4)。
そして、VPNメンバー管理サーバ3は、VPN作成応答MSG(作成成功、端末装置に割当てるIPアドレス,VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレス,VPNに対応付けられるサブネットアドレスを含む)を、エッジ装置2−1へ送信する(ステップS5)。なお、VPNメンバー管理サーバ3は、上記エッジ装置2−1から受信したVPN作成要求MSGに含まれるVPN識別子が登録済みの場合、VPNの作成失敗を示すVPN作成応答MSG(作成失敗)をエッジ装置2−1へ送信する。
VPN作成の成功を示すVPN作成応答MSGを受信した場合、エッジ装置2−1は、端末装置1−1との論理的コネクション上で、このVPN内でパケットを転送する際にIPパケットの先頭に付けるラベルが使用するラベル値を決定する(ステップS6)。なお、当該ラベルの値は、論理的コネクション内で一意になる様に決める。
つぎに、エッジ装置2−1は、以下に述べる処理を実行し、データベース25を更新する(ステップS7)。
エッジ装置2−1は、端末装置1−1との間の論理的コネクションの識別子とラベル値のペアをキーとして、VPN識別子と端末装置識別子とVPN内IPアドレスをデータベース25に記録する。また、エッジ装置2−1は、VPN内IPアドレスをキーとして、端末装置1−1との間の論理的コネクションの識別子とラベル値のペアをデータベース25に記録する。さらに、エッジ装置2−1は、VPN識別子をキーとして、データベース25を検索して得られる、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストに、論理的コネクションの識別子とラベル値のペアを追加する。(データベース25のリストを更新する)。なお、エッジ装置2−1は、VPN識別子をキーとしたデータベース25の検索の結果、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストが得られない(指定のVPN識別子に対応するリストをデータベース25に保持していない)場合は、VPN識別子をキーとして空のリストをデータとするデータをデータベース25に追加した上で(空のリストを新規作成した上で)、論理的コネクションの識別子とラベル値のペアを追加する(以上、ステップS7)。
そして、エッジ装置2−1は、上記VPN生成要求MSGに付与されていたものと同じラベルを付与したVPN生成応答MSG(成功、端末装置1−1に割り当てたIPアドレスおよびラベル値を含む)を、論理的コネクション上で端末装置1−1に送信する(ステップS8)。
以下、エッジ装置2−1は、前述したDHT方式検索機能を提供するオーバーレイネットワーク上に端末装置1−1に割当てたIPアドレスをキーとして、自装置のIPアドレスをデータとするレコードを登録する(ステップS9)。また、新規作成したVPNに端末装置1−1が接続する場合、エッジ装置2−1は、以下の処理を行う。
エッジ装置2−1は、「(新規作成したVPNの)VPN識別子をキーとした、マルチキャストIPアドレスおよびサブネットアドレス」のデータ、「マルチキャストIPアドレスをキーとした、VPN識別子」のデータ、および「サブネットアドレスをキーとした、VPN識別子」のデータをデータベース25に記録する。そして、マルチキャストIPアドレス宛パケットを受信する様に、マルチキャストIPアドレスにJOINする。
なお、エッジ装置2−1は、VPNメンバー管理サーバ3から、VPN作成失敗を示すVPN作成応答MSGを受信した場合、その旨を示すVPN生成応答MSG(失敗)を端末装置1−1に送信する。
端末装置1−1は、VPN生成の成功を示すVPN生成応答MSG(生成成功)を受信した場合、論理的コネクションの識別子とVPN生成応答MSGに示されるラベル値のペアを仮想インタフェースとして扱い、VPN生成応答MSGに示されるIPアドレスを、その仮想インタフェースのIPアドレスとして設定する。つぎに、端末装置1−1は、仮想インタフェースを表す識別子を決定し、仮想インタフェース識別子とラベル値の対応付けを、データベース15に記録する(ステップS10)。
(端末装置によるVPNへのメンバーの追加)
つづいて、端末装置1−1が既存のVPNへメンバーを追加する動作の一例を図7に基づいて説明する。なお、図7は、既存のVPNへメンバーを追加する動作の一例を示すシーケンス図である。また、端末装置1−1とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
端末装置1−1は、仮想インタフェース上で、メンバーを追加したいVPNを示すVPN識別子と追加したいメンバーを示す端末装置識別子とを含むメンバー追加要求MSGを、エッジ装置2−1に対して送信する(ステップS11)。
エッジ装置2−1は、端末装置1−1から受信したメンバー追加要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、追加要求元の端末装置である端末装置1−1の端末装置識別子(以下「追加要求元端末装置識別子」と呼称)をデータベース25で検索する(ステップS12)。そして、エッジ装置2−1は、上記検索により取得した追加要求元端末装置識別子、上記メンバー追加要求MSGに含まれていた端末装置識別子(以下「追加対象端末装置識別子」と呼称)および上記VPN識別子を含むVPNメンバー追加要求MSGをVPNメンバー管理サーバ3宛に送信する(ステップS13)。
VPNメンバー管理サーバ3は、以下に述べる処理を実行し、データベース35(VPN情報データベース)を更新する(ステップS14)。
VPNメンバー管理サーバ3は、エッジ装置2−1から受信したVPNメンバー追加要求MSGに含まれるVPN識別子をキーとしてデータベース35を検索する。当該検索結果である「VPNメンバーとなりうる端末装置毎の情報(端末装置アドレスおよび端末装置に割り当てるIPアドレスの組のリスト)」に上記追加対象端末装置識別子が未登録である場合、VPNメンバー管理サーバ3は、追加対象端末装置に割り当てるIPアドレスを決定する。さらに、VPNメンバー管理サーバ3は、当該IPアドレスと上記追加対象端末装置識別子を、データベース35に含まれる「VPNメンバーとなりうる端末装置毎の情報(端末装置アドレスおよび端末装置に割り当てるIPアドレスの組のリスト)」へ追加する(以上、ステップS14)。
そして、VPNメンバー管理サーバ3は、VPNへのメンバー追加の成功を示すVPNメンバー追加応答MSG(追加成功)をエッジ装置2−1へ送信する(ステップS15)。なお、上記追加対象端末装置識別子がVPN識別子をキーとして検索された「VPNメンバーとなりうる端末装置毎の情報」に登録済みである場合、VPNメンバー管理サーバ3は、VPNへのメンバー追加の失敗を示すVPNメンバー追加応答MSG(追加失敗)をエッジ装置2−1へ送信する。
エッジ装置2−1は、VPNメンバー管理サーバ3からVPNメンバー追加応答MSGを受信すると、その結果(追加成功/追加失敗)をメンバー追加応答MSGに設定して端末装置1−1に通知する(ステップS16)。
(端末装置によるVPNの削除)
つづいて、端末装置1−1がVPNとの接続を介して当該VPNとは異なる既存のVPNを削除する動作の一例を図8に基づいて説明する。なお、図8は、端末装置1−1がVPNを削除する動作の一例を示すシーケンス図である。また、端末装置1−1とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
端末装置1−1は、仮想インタフェース上で、削除したいVPNを示すVPN識別子を含むVPN削除要求MSGを、エッジ装置2−1に対して送信する(ステップS21)。
エッジ装置2−1は、端末装置1−1から受信したVPN削除要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、削除要求元の端末装置である端末装置1−1の端末装置識別子をデータベース25で検索する(ステップS22)。そして、エッジ装置2−1は、上記検索により取得した端末装置識別子および上記VPN削除要求MSGに含まれていたVPN識別子(以下「削除対象VPN識別子」と呼称)を含むVPN消去要求MSGをVPNメンバー管理サーバ3宛に送信する(ステップS23)。
VPNメンバー管理サーバ3は、受信したVPN消去要求MSGに含まれる削除対象VPN識別子が登録済み、かつ削除対象VPN識別子をキーとしてデータベース35(VPN情報データベース)に登録されている「VPNメンバーとなりうる端末装置毎の端末装置識別子および端末装置に割当てるIPアドレスの組」のリストが空である場合、以下に述べる処理を実行し、データベース35を更新する(ステップS24)。
VPNメンバー管理サーバ3は、VPNに割当てるサブネットアドレスと、VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレスと、を解放する。また、VPNメンバー管理サーバ3は、上記削除対象VPN識別子をキーとしてデータベース35に登録されている「VPN上のブロードキャスト/マルチキャストパケットを転送するときに使用するマルチキャストIPアドレス」、「VPNに割当てるサブネットアドレス」、および「VPNメンバーとなりうる端末装置毎の端末装置識別子および端末装置に割当てるIPアドレスの組のリスト」をデータベース35から削除する(以上、ステップS24)。
そして、VPNメンバー管理サーバ3は、VPN消去応答MSG(削除成功)を、エッジ装置2−1へ送信する(ステップS25)。なお、VPNメンバー管理サーバ3は、「VPNメンバーとなりうる端末装置毎の端末装置識別子および端末装置に割当てるIPアドレスの組のリスト」が空でない場合は、エッジ装置2−1が指定したVPNの削除失敗を示すVPN消去応答MSG(削除失敗)をエッジ装置2−1へ送信する。
エッジ装置2−1は、VPNの削除動作が終了したことを示すVPN消去応答MSG(削除成功/削除失敗)を受信すると、当該動作結果(削除成功/削除失敗)を示すVPN削除応答MSGを端末装置1−1に送信する(ステップS26)。
(端末装置によるVPNからのメンバーの削除)
つづいて、端末装置1−1が既存のVPNからメンバー(端末装置1−mとする)を削除する動作の一例を図9に基づいて説明する。なお、図9は、既存のVPNからメンバーを削除する動作の一例を示すシーケンス図である。また、端末装置1−1とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
端末装置1−1は、仮想インタフェース上で、メンバーを削除したいVPNを示すVPN識別子と削除したいメンバー(端末装置1−m)を示す端末装置識別子とを含むメンバー削除要求MSGを、エッジ装置2−1に対して送信する(ステップS31)。
エッジ装置2−1は、端末装置1−1から受信したメンバー削除要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、メンバー削除を要求した端末装置1−1の端末装置識別子をデータベース25で検索する(ステップS32)。そして、エッジ装置2−1は、上記検索により取得した端末装置1−1の端末装置識別子、上記メンバー削除要求MSGに含まれていた端末装置1−m(メンバー削除対象の端末装置)の端末装置識別子、および上記VPN識別子を含むVPNメンバー削除要求MSGをVPNメンバー管理サーバ3宛に送信する(ステップS33)。
VPNメンバー管理サーバ3は、エッジ装置2−1から受信したVPNメンバー削除要求MSGに含まれるVPN識別子をキーとしてデータベース35(VPN情報データベース)を検索する。当該検索結果である「VPNメンバーとなりうる端末装置毎の情報(端末装置アドレスおよび端末装置に割り当てるIPアドレスの組のリスト)」に端末装置1−mの端末装置識別子が登録済みである場合、VPNメンバー管理サーバ3は、端末装置1−mに割り当てたIPアドレスを開放する。さらに、VPNメンバー管理サーバ3は、当該IPアドレスと上記端末装置1−mの端末装置識別子を、データベース35に含まれる「VPNメンバーとなりうる端末装置毎の情報(端末装置アドレスおよび端末装置に割り当てるIPアドレスの組のリスト)」から削除する(ステップS34)。
つぎに、VPNメンバー管理サーバ3は、端末装置1−mに割り当てられていたIPアドレスをキーとして、端末装置1−mが接続しているエッジ装置(エッジ装置2−nとする)のIPアドレスをオーバーレイネットワーク上で検索し(ステップS35)、当該検索結果のIPアドレス(エッジ装置2−n)宛に、端末装置1−mに割り当てられているIPアドレス情報を含んだ端末装置切断要求MSGを送信する(ステップS36)。そして、VPNメンバー管理サーバ3は、VPNメンバー削除応答MSG(削除成功)を、エッジ装置2−1へ送信する(ステップS37)。
なお、エッジ装置2−1は、VPNメンバー削除応答MSGを受信するとその中で示される結果(削除成功/削除失敗)をメンバー削除応答MSGに設定し、端末装置1−1へ通知する(ステップS38)。
エッジ装置2−nは、オーバーレイネットワーク上のレコードから、端末装置1−mに割当てられているIPアドレスをキーとするデータを削除する(ステップS39)。
さらに、エッジ装置2−nは、以下に述べる処理を実行し、データベースを更新する(ステップS40)。
エッジ装置2−nは、端末装置1−mに割当てられているIPアドレスをキーとしてデータベースを検索し、端末装置1−mとの間の論理的コネクションの識別子とラベル値のペアを取得し、当該論理的コネクションの識別子とラベル値のペアをキーとして端末装置1−mが接続しているVPNのVPN識別子(以下「削除対象VPN識別子」と呼称)を検索(取得)する。そして、当該削除対象VPN識別子をキーとして検索した論理的コネクションの識別子とラベル値のペアをデータベースから削除する。また、エッジ装置2−nは、端末装置1−mに割当てられているVPN内IPアドレスをキーとして検索した論理的コネクションの識別子とラベル値のペアをデータベースから削除する。また、エッジ装置2−nは、端末装置1−mとの論理的コネクションの識別子とラベル値のペアをキーとして検索したVPN識別子、端末装置識別子、およびVPN内IPアドレスをデータベースから削除する。
また、上記端末装置1−mが、エッジ装置2−nに接続する端末装置の中で削除対象のVPNに接続していた最後の端末装置である場合、エッジ装置2−nは、上記ステップS40に続いて以下の処理を実行する。
エッジ装置2−nは、「VPN識別子(削除対象VPN識別子)」をキーとしてデータベースを検索して得た「マルチキャストIPアドレス」へのJOINを停止する。また、削除対象VPN識別子をキーとしてデータベースを検索して得た「サブネットアドレス」をキーとして、データベースに記録されている「VPN識別子」を削除する。また、削除対象VPN識別子をキーとしてデータベースを検索して得た「マルチキャストIPアドレス」をキーとして、データベースに記録されている「VPN識別子」を削除する。さらに、「VPN識別子」をキーとしてデータベースに記録されている「マルチキャストIPアドレス」と「サブネットアドレス」と、を削除する(以上、ステップS40)。
さらに、エッジ装置2−nは、ラベル値を解放し、上記削除対象VPN識別子を含み、論理的コネクション上で、ラベル値が指定するラベルを付与したVPN切断通知MSGを端末装置1−mへ送信する(ステップS41)。なお、当該VPN切断通知MSGにおいては、送信元IPアドレスおよび宛先IPアドレスに端末装置1−mのIPアドレスを設定する。
そして、端末装置1−mは、VPN切断通知MSGを受信後、当該VPN切断通知MSGを受信した仮想インタフェースを削除する(ステップS42)。
(端末装置のエッジ装置への接続)
つづいて、端末装置1−2のデフォルトVPNがVPNメンバー管理サーバ3に登録済みの場合に、端末装置1−2がエッジ装置2−1へ接続する動作の一例を図10に基づいて説明する。なお、図10は、端末装置1−2がエッジ装置2−1へ接続する動作の一例を示すシーケンス図である。
端末装置1−2は、認証情報(端末装置識別子を含む)を含んだ論理的コネクションの確立要求をエッジ装置2−1宛に送信する(ステップS51)。
エッジ装置2−1は、受信した上記論理的コネクション確立要求に含まれる認証情報を用いて認証要求MSGを作成して認証サーバ4宛に送信し、認証サーバ4からの応答(認証応答MSG)を待つ(ステップS52)。そして、エッジ装置2−1は、認証サーバ4からの認証応答MSGを受信し(ステップS53)、その内容が認証成功の場合、認証応答MSGに含まれるVPN識別子と、上記論理的コネクション確立要求に含まれる端末装置識別子と、を用いて、VPNメンバー問合せ要求MSGを作成する。そして、エッジ装置2−1は、当該VPNメンバー問合せ要求MSGをVPNメンバー管理サーバ3宛に送信することにより、端末装置1−2がVPN識別子に対応するVPNに参加可能かどうかと、参加可能な場合に端末装置1−2に割当てるIPアドレスと、を問い合わせる(ステップS54)。なお、上記認証応答MSGの内容が認証失敗の場合、エッジ装置2−1は、端末装置1−2との論理的コネクション確立を拒否する。
つぎに、エッジ装置2−1は、上記VPNメンバー問合せ要求MSGに対するVPNメンバー問合せ応答MSGが、端末装置1−2のVPNへの参加を許可するもの(端末装置に割り当てるIPアドレス、マルチキャストIPアドレス、VPNに対応付けられるサブネットアドレスを含むもの)であった場合、端末装置1−2との論理的コネクションを介してVPN内でパケットを転送する際にIPパケットの先頭に付けるラベルが使用するラベル値を例えば“0”(一番初めに参加するVPN用のラベルの値を固定する趣旨)に決定する(ステップS56)。なお、当該ラベルの値は、論理的コネクション内で一意になる様に決定すればよい。また、エッジ装置2−1は、上記VPNメンバー問合せ応答MSGが、端末装置1−2のVPNへの参加を拒否するものであった場合、端末装置1−2との論理的コネクション確立を拒否する。
つぎに、エッジ装置2−1は、以下に述べる処理を実行し、データベース25を更新する(ステップS57)。
エッジ装置2−1は、端末装置1−2との間の論理的コネクションの識別子とラベル値(=0)のペアをキーとして、VPN識別子、端末装置識別子、およびVPN内IPアドレスをデータベース25に記録する。また、エッジ装置2−1は、VPN内IPアドレスをキーとして、端末装置1−2との間の論理的コネクションの識別子とラベル値(=0)のペア(データ)をデータベース25に記録する。さらに、エッジ装置2−1は、VPN識別子をキーとしてデータベース25を検索して得られる、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストに、論理的コネクションの識別子とラベル値(=0)のペアを追加する(データベース25のリストを更新する)。なお、エッジ装置2−1は、VPN識別子をキーとしたデータベース25の検索の結果、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストが得られない(指定のVPN識別子に対応するリストをデータベース25に保持していない)場合は、VPN識別子をキーとする空のリストのデータをデータベース25に追加した上で(空のリストを新規作成した上で)、論理的コネクションの識別子とラベル値(=0)のペアを当該空のリストに追加する(以上、ステップS57)。
そして、エッジ装置2−1は、上記VPNメンバー問合せ応答MSGに含まれる「端末装置1−2が使用するIPアドレス」を端末装置1−2との間の論理的コネクションを確立するためのメッセージシーケンスの中で、通知する(ステップS58)。
また、エッジ装置2−1は、前述したDHT方式検索機能を提供するオーバーレイネットワーク上に、端末装置1−2に割当てたIPアドレスをキーとして、自装置のIPアドレスをデータとするレコードを登録する(ステップS59)。
なお、端末装置1−2が、エッジ装置2−1に接続する端末装置の中で、上記認証サーバ4から受信した認証応答MSGに含まれるVPN識別子に対応するVPNに対して初めて接続するものである場合、エッジ装置2−1は、上記ステップS59に続いて以下の処理を実行する。
エッジ装置2−1は、端末装置1−2が接続するVPNの「VPN識別子」をキーとして、上記VPNメンバー問合せ応答MSGに含まれる「マルチキャストIPアドレス」と「サブネットアドレス」と、をデータベースに記録する。また、「マルチキャストIPアドレス」をキーとして、「VPN識別子」をデータベース25に記録する。また、「サブネットアドレス」をキーとして、「VPN識別子」をデータベース25に記録する。そして、マルチキャストIPアドレス宛パケットを受信する様に、マルチキャストIPアドレスにJOINする。
また、端末装置1−2は、論理的コネクションの識別子とラベル値(=0)のペアを仮想インタフェースとして扱い、論理的コネクション確立手順の中で割当てられたIPアドレスを、その仮想インタフェースのIPアドレスとして設定する。そして、端末装置1−2は、仮想インタフェースを表す識別子を決定し、仮想インタフェース識別子とラベル値の対応付けを、データベース15に記録する(ステップS60)。
(端末装置の既存のVPNへの参加)
つづいて、端末装置1−2が既存のVPNへ参加する動作の一例を図11に基づいて説明する。なお、図11は、端末装置1−2が既存のVPNへ参加する動作の一例を示すシーケンス図である。また、端末装置1−2とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
端末装置1−2は、仮想インタフェース上で、新たに参加したいVPNを示すVPN識別子を含むVPN参加要求MSGを、エッジ装置2−1に対して送信する(ステップS61)。
エッジ装置2−1は、端末装置1−2から受信したVPN参加要求MSGに含まれる論理的コネクションの識別子とラベル値のペアをキーとして、端末装置1−2の端末装置識別子をデータベース25で検索する(ステップS62)。
つぎに、エッジ装置2−1は、VPN参加要求MSGに含まれるVPN識別子と、上記検索で得た端末装置1−2の端末装置識別子を用いてVPNメンバー問合せ要求MSGを作成し、VPNメンバー管理サーバ3宛に送信する(ステップS63)。VPNメンバー管理サーバ3は、当該要求MSGに対するVPNメンバー問合せ応答MSGを作成してエッジ装置2−1に送信する(ステップS64)。エッジ装置2−1は、当該応答MSGの内容を確認し、端末装置1−2が上記VPN識別子に対応するVPNに参加可能かどうかを判断し、参加可能な場合は当該応答MSGに含まれている端末装置1−2に割当てるIPアドレスを取得する(ステップS65)。なお、端末装置1−2がVPNに参加できない場合、エッジ装置2−1は、上記VPN参加要求MSGに付与されていたものと同じラベルを付与したVPN参加応答MSG(参加拒否)を論理的コネクション上で端末装置1−2に送信し、端末装置1−2のVPN参加を拒否する。
端末装置1−2のVPNへの参加を許可する場合、エッジ装置2−1は、端末装置1−2との論理的コネクション介してVPN内でパケットを転送する際にIPパケットの先頭に付けるラベルが使用するラベル値を決定する(ステップS66)。なお、当該ラベルの値は、論理的コネクション内で一意になる様に決める。
つぎに、エッジ装置2−1は、以下に述べる処理を実行し、データベース25を更新する(ステップS67)。
エッジ装置2−1は、端末装置1−2との間の論理的コネクションの識別子とラベル値のペアをキーとして、VPN識別子と端末装置識別子とVPN内IPアドレスをデータベース25に記録する。また、エッジ装置2−1は、VPN内IPアドレスをキーとして、端末装置1−2との間の論理的コネクションの識別子とラベル値のペアをデータベース25に記録する。さらに、エッジ装置2−1は、VPN識別子をキーとして、データベース25を検索して得られる端末装置との間の論理的コネクションの識別子とラベル値のペアのリストに、論理的コネクションの識別子とラベル値のペアを追加する(データベース25のリストを更新する)。なお、エッジ装置2−1は、VPN識別子をキーとしたデータベース25の検索の結果、端末装置との間の論理的コネクションの識別子とラベル値のペアのリストが得られない(指定のVPN識別子に対応するリストをデータベース25に保持していない)場合は、VPN識別子をキーとする空のリストのデータをデータベース25に追加した上で(空のリストを新規作成した上で)、論理的コネクションの識別子とラベル値のペアを追加する(以上、ステップS67)。
また、エッジ装置2−1は、上記VPN参加要求MSGに付与されていたものと同じラベルを付与したVPN参加応答MSG(参加許可、端末装置1−2に割り当てたIPアドレスおよびラベル値を含む)を、論理的コネクション上で端末装置1−2に送信する(ステップS68)。
つぎに、エッジ装置2−1は、上述した「端末装置1−2のデフォルトVPNがVPNメンバー管理サーバ3に登録済みの場合に、端末装置1−2がエッジ装置2−1へ接続する動作」の場合などと同様に、オーバーレイネットワーク上に、端末装置に割当てたIPアドレスをキーとして、自装置のIPアドレスをデータとするレコードを登録する。
なお、端末装置1−2が、エッジ装置2−1に接続する端末装置の中で、上記VPNに対して初めて接続するものである場合、エッジ装置2−1は、上記の処理に続いて以下の処理を実行する。
エッジ装置2−1は、「(上記VPNの)VPN識別子をキーとした、マルチキャストIPアドレスおよびサブネットアドレス」のデータ、「マルチキャストIPアドレスをキーとしたVPN識別子」のデータ、および「サブネットアドレスをキーとしたVPN識別子」のデータをデータベース25に記録する。そして、エッジ装置2−1は、マルチキャストIPアドレス宛パケットを受信する様に、マルチキャストIPアドレスにJOINする(以上、ステップS69)。
また、エッジ装置2−1との論理的コネクションを確立した端末装置1−2は、論理的コネクションの識別子とVPN参加応答MSGに示されるラベル値のペアを仮想インタフェースとして扱い、VPN参加応答MSGに示されるIPアドレスを、その仮想インタフェースのIPアドレスとして設定する。つぎに、端末装置1−2は、仮想インタフェースを表す識別子を決定し、仮想インタフェース識別子とラベル値の対応付けを、データベース15に記録する(ステップS70)。
(端末装置の参加中のVPNからの離脱)
つづいて、端末装置1−2がVPNから離脱する動作の一例を図12に基づいて説明する。なお、図12は、端末装置1−2がVPNから離脱する動作の一例を示すシーケンス図である。また、端末装置1−2とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
端末装置1−2は、仮想インタフェース上で、離脱したいVPNを示すVPN識別子を含むVPN離脱要求MSGをエッジ装置2−1に対して送信する(ステップS71)。
VPN離脱要求MSGを受信したエッジ装置2−1は、VPN離脱要求MSGに示されるVPN識別子をキーとして、端末装置1−2との間の論理的コネクションの識別子とラベル値のペアのリストを、データベース25で検索する(ステップS72)。当該検索結果のリストにVPN離脱要求MSGを受信した論理的コネクションの識別子とラベル値のペアが含まれている場合、エッジ装置2−1は、端末装置1−2に割当てたIPアドレスをキーとしたレコードをオーバーレイネットワーク上から削除する(ステップS73)。
さらに、エッジ装置2−1は、以下に述べる処理を実行し、データベース25を更新する(ステップS74)。
エッジ装置2−1は、「VPN離脱要求MSGを受信した論理的コネクションの識別子とラベル値のペアをデータベース25のリストから削除する処理」、「論理的コネクションの識別子とラベル値のペアをキーとしたデータベース25の検索結果であるVPN内IPアドレス、をキーとして記録されている、端末装置1−2との間の論理的コネクションの識別子とラベル値のペア(データ)をデータベース25から削除する処理」、「論理的コネクションの識別子とラベル値のペアをキーとして記録されている、VPN識別子と端末装置識別子とVPN内IPアドレスをデータベース25から削除する処理」、および「ラベル値の解放処理」を行う(以上、ステップS74)。
なお、上記検索結果のリストにVPN離脱要求MSGを受信した論理的コネクションの識別子とラベル値のペアが含まれていない場合は、その時点で処理を終了する。
つぎに、エッジ装置2−1は、VPN離脱要求MSGを受信した論理的コネクションの識別子とラベル値のペア上(端末装置1−2にとっての仮想インタフェース上)へVPN離脱応答MSGを送信する(ステップS75)。そして、端末装置1−2は、VPN離脱応答MSGを受信すると、受信した仮想インタフェースを削除する。
(エッジ装置によるパケットの転送処理−ユニキャスト転送)
つづいて、端末装置1−2が送信したユニキャストIPアドレス宛パケットを、エッジ装置2−1が宛先端末装置(端末装置1−mとする)へ転送する動作の一例を図13に基づいて説明する。なお、図13は、端末装置1−2がユニキャストIPアドレス宛のパケットを送信する動作の一例を示すシーケンス図である。また、端末装置1−2とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
端末装置1−2は、ユニキャストの宛先アドレスを指定し、先頭に仮想インタフェースに対応するラベル値のラベルを付与したIPパケットを仮想インタフェース上で送信する(ステップS81)。
エッジ装置2−1は、宛先IPアドレスがユニキャストIPアドレスである上記IPパケットを端末装置1−2から受信すると、論理的コネクションの識別子とラベル値(=0)のペアをキーとして、データベース25でVPN識別子を検索し、さらに、検索により得たVPN識別子をキーとしてVPNに対応付けられるサブネットアドレスをデータベース25で検索する(ステップS82)。
エッジ装置2−1は、端末装置1−2から受信したIPパケットの宛先IPアドレスが、上記検索により得られたサブネットアドレスに属する場合、IPパケットの宛先IPアドレスをキーとして、IPパケットの送信先である端末装置1−mが接続するエッジ装置(エッジ装置2−nとする)のIPアドレスをオーバーレイネットワーク上で検索する(ステップS83)。一方、受信したIPパケットの宛先IPアドレスが、検索により得られたサブネットアドレスに属さない場合、エッジ装置2−1は、上記IPパケットを廃棄する。また、オーバーレイネットワーク上でのエッジ装置2−nのIPアドレス検索に失敗した場合、エッジ装置2−1は、上記IPパケットを廃棄する(相手側エッジ装置IPアドレス検索処理1)。
なお、エッジ装置2−1は、上記「相手側エッジ装置IPアドレス検索処理1(ステップS82およびS83)」に代えて次の処理(相手側エッジ装置IPアドレス検索処理2)を行うこととしてもよい。
エッジ装置2−1は、宛先IPアドレスがユニキャストIPアドレスである上記IPパケットを端末装置1−2から受信すると、論理的コネクションの識別子とラベル値(=0)のペアをキーとして、データベース25でVPN識別子および端末装置1−2のVPN内IPアドレスを検索し、さらに、検索により得たVPN識別子をキーとしてVPNに対応付けられるサブネットアドレスをデータベース25で検索する(上記ステップS82の代替処理)。そして、エッジ装置2−1は、端末装置1−2から受信したIPパケットの宛先IPアドレスが、上記検索により得られたサブネットアドレスに属し、かつ受信したIPパケットの送信元IPアドレスが、上記検索により得られたVPN内IPアドレスと一致する場合、IPパケットの宛先IPアドレスをキーとして、IPパケットの送信先である端末装置1−mが接続するエッジ装置(エッジ装置2−nとする)のIPアドレスをオーバーレイネットワーク上で検索する。一方、IPパケットの宛先IPアドレスが、上記検索により得られたサブネットアドレスに属さない場合、または、受信したIPパケットの送信元IPアドレスが、上記検索により得られたVPN内IPアドレスと一致しない場合は、上記IPパケットを廃棄する。また、オーバーレイネットワーク上でのエッジ装置2−nのIPアドレス検索に失敗した場合、エッジ装置2−1は、上記IPパケットを廃棄する(相手側エッジ装置IPアドレス検索処理2)。
エッジ装置2−1は、上記「相手側エッジ装置IPアドレス検索処理1」または「相手側エッジ装置IPアドレス検索処理2」によりエッジ装置2−nのIPアドレスを取得後、端末装置1−2から受信した上記IPパケットを当該IPアドレス(エッジ装置2−n)宛に、エッジ装置間トンネルで送信する(ステップS84)。
エッジ装置間トンネルでIPパケットを受信したエッジ装置2−nは、そのIPパケットの宛先アドレスに指定されるIPアドレスをキーとして、対応する論理的コネクションの識別子とラベル値のペアをデータベースで検索する(ステップS85)。そして、エッジ装置2−nは、検索で得たラベル値のラベルを上記IPパケットに付与し、同じく検索で得た論理的コネクション上へ送信する。なお、エッジ装置2−nは、論理的コネクションの識別子とラベル値のペアの検索に失敗した場合、上記IPパケットを廃棄する。
端末装置1−2が送信したIPパケットの宛先端末装置(端末装置1−m)は、論理的コネクション上でラベルが付与されたIPパケットを受信したときには、付与されているラベルの値からどの仮想インタフェース上で受信したかを識別し、ラベルを外してIPパケットとして受信する(ステップS86)。
なお、上記エッジ装置間トンネルは、転送対象のIPパケットを、送信元IPアドレスとして送信元エッジ装置(エッジ装置2−1)のIPアドレスを設定し、宛先IPアドレスとして転送先エッジ装置(エッジ装置2−n)のIPアドレスを設定したIPヘッダでカプセル化を施したIPinIPカプセル化により実現する。
(エッジ装置によるパケットの転送処理−ブロードキャスト/マルチキャスト転送)
つづいて、端末装置1−2が送信したブロードキャスト/マルチキャストIPアドレス宛パケットを、エッジ装置2−1が宛先端末装置へ転送する動作の一例を説明する。ここでは特に、図14に基づいて、端末装置1−2がマルチキャストIPアドレスを設定したパケットを送信する動作について説明する。なお、図14は、端末装置1−2がマルチキャストIPアドレス宛のパケットを送信する動作の一例を示すシーケンス図である。また、端末装置1−2とエッジ装置2−1との間で、論理的コネクションが確立済みとする。
端末装置1−2は、ブロードキャスト/マルチキャストIPアドレスを宛先アドレスとして指定し、先頭に仮想インタフェースに対応するラベル値のラベルを付与したIPパケットを仮想インタフェース上で送信する(ステップS91)。
エッジ装置2−1は、宛先IPアドレスがブロードキャスト/マルチキャストアドレスである上記IPパケットを端末装置1−2から受信すると、論理的コネクションの識別子とラベル値(=0)のペアをキーとして、データベース25でVPN識別子を検索し、さらに、検索により得たVPN識別子をキーとして、マルチキャストIPアドレスをデータベース25で検索する(ステップS92)。
エッジ装置2−1は、端末装置1−2から受信したIPパケットに、上記検索で得たマルチキャストIPアドレスを宛先とし、自IPアドレスを送信元とするIPinIPカプセル化を施して送信する(ステップS93)。なお、エッジ装置2−1は、上記検索でマルチキャストIPアドレスを取得できなかった場合(検索に失敗した場合)、上記IPパケットを廃棄する。
マルチキャストIPアドレス宛でIPinIPカプセル化された上記IPパケットを受信したエッジ装置(相手側エッジ装置)は、マルチキャストIPアドレスをキーとしてVPN識別子をデータベースで検索し、さらに、当該検索で得たVPN識別子をキーとして、論理的コネクションの識別子とラベル値のペアのリストをデータベースで検索する(ステップS94)。そして、相手側エッジ装置は、IPinIPカプセル化されているパケットの中のIPパケットを取り出し、上記検索で得られたリストに含まれる全ての論理的コネクションの識別子とラベル値のペア上(端末装置にとっての仮想インタフェース上)へ送信する。なお、相手側エッジ装置は、論理的コネクションの識別子とラベル値のペアの検索に失敗した場合、上記IPパケットを廃棄する。
端末装置1−2が送信したIPパケットの宛先端末装置は、論理的コネクション上でラベルが付与されたIPパケットを受信したときは、付与されているラベルの値からどの仮想インタフェース上で受信したかを識別し、ラベルを外してIPパケットとして受信する(ステップS95〜S97)。
このように、この実施の形態においては、あるVPNに接続したい端末装置(ユーザ)がエッジ装置に接続してきたときに、エッジ装置がVPNメンバー管理サーバにVPNに関する情報を問い合わせるようにしているので、端末装置と当該端末装置が接続を希望するVPNとの間の接続を仲介するための必要な設定が予めエッジ装置に具備されていなければならばいという制約を解除することできる。
さらに、この実施の形態では、ラベル付けを行ったIPパケットを端末装置とエッジ装置とを接続する論理的コネクション上で転送することにより、1つの論理的コネクション上にさらにラベルで区別される複数の論理的コネクションを多重化するようにした。また、端末装置からの要求で、VPNメンバー管理サーバへ、VPNの登録/削除とVPNに属するメンバー(端末装置)の登録/削除を可能とすることにより、動的なVPN生成/削除を可能とした。これらの処理により、少ないメッセージのやり取りで、端末装置が動的にVPNを生成/削除することができるとともに、端末装置がVPNに動的に参加/離脱することができる。
さらには、エッジ装置で構築されるDHT方式検索機能を有するオーバーレイネットワーク上で、各端末装置がどのエッジ装置に接続するかの情報を管理することにより、端末装置数とエッジ装置数に対してスケールする形で、端末装置が常に同じIPアドレスでVPNに接続することを可能とした。すなわち、端末装置の接続/切断の度に、エッジ装置がルーティングプロトコルによりルーティング情報をVPN全体に広告する処理を不要とした。この処理により、端末装置数の増加に対するスケーラビリティの問題が解消されたVPNを構築することができる。
また、IPアドレスのサブネット部分をVPN識別子として使用することで、同一VPN内での通信かどうかの判定を簡易にした。この処理により、端末装置がモバイルIPをサポートすることなく、任意のエッジ装置経由でVPNに接続した場合であっても、VPN内にて同一IPアドレスを使用して通信を行うことが可能となる。
なお、この実施の形態では、各エッジ装置が、Chordの方式に従ってIPネットワーク上にDHT方式の検索機能を提供するオーバーレイネットワークを構築する場合を一例として説明したが、Chordの方式に限定されるものではなく、Chordを改良または拡張した方式を用いてもよく、あるいはDHTを用いるChord以外の方式を用いてもよい。
実施の形態2.
図15は、本発明の実施の形態2にかかるデータ通信システムを実現するネットワークの構成例を示す図である。この実施の形態にかかるネットワークは、前述の実施の形態1にかかるネットワークと比較して、エッジ装置2−1〜2−nに代えてエッジ装置2a−1〜2a−nを備え、また、VPNメンバー管理サーバを複数備えることを特徴とする。このような構成のため、この実施の形態では、前述の実施の形態1と異なる処理について説明する。
図16は、本実施の形態のエッジ装置2a(図15のエッジ装置2a−1〜2a−nに相当)の構成例を示す図であり、例えば、LinuxをOSとするPCを用いることができる。そして、エッジ装置2aは、IP通信モジュール21、データベース25、DHT検索モジュール26、トンネル通信モジュール12、VPN識別子−VPNメンバー管理サーバ対応付けモジュール28、制御モジュール27aを備えている。なお、前述した実施の形態1のエッジ装置2(図3参照)と同様の構成については、同一の符号を付してその説明を省略する。
VPN識別子−VPNメンバー管理サーバ対応付けモジュール28は、VPN識別子をキーとして、そのVPN識別子に関するデータを管理するVPNメンバー管理サーバのIPアドレスをデータとするデータベースを管理し、VPN識別子の入力に対して、そのVPN識別子に関するデータを管理するVPNメンバー管理サーバのIPアドレスを出力として返送するデータベースソフトウェアとして実現される。
また、制御モジュール27aは、例えば、S/Wとして実現され、エッジ装置2aを構成する他のモジュール(IP通信モジュール21、トンネル通信モジュール12、など)を制御する。
そして、この実施の形態にかかるネットワークにおける処理は、エッジ装置2aがVPNメンバー管理サーバ3−1〜3−x(図15参照)のいずれかと通信する場合、その前段階として必ずVPN識別子−VPNメンバー管理サーバ対応付けモジュール28を呼び出して、どのVPNメンバー管理サーバと通信するべきかの判定処理を行うことを特徴とする。なお、当該判定処理が追加された点を除いて、本実施の形態にかかるネットワークにおける処理は、前述の実施の形態1の処理と同様である。
このように、この実施の形態においては、VPNメンバー管理サーバとの通信を行うにあたり、複数台存在するVPNメンバー管理サーバのいずれと通信するかを判定することとし、動的なVPN生成/削除等の処理の負荷を分散させることとした。これにより、上述した実施の形態1の場合よりもさらに、VPN数と端末装置数に対するスケーラビリティを向上させることができる。
以上のように、本発明にかかるデータ通信システムは、複数のVPNが構成されるIPネットワークに有用である。
本発明の実施の形態1にかかるデータ通信システムを実現するネットワークの構成例を示す図である。 端末装置の構成例を示す図である。 エッジ装置の構成例を示す図である。 VPNメンバー管理サーバの構成例を示す図である。 認証サーバの構成例を示す図である。 端末装置がVPNを作成する動作の一例を示すシーケンス図である。 既存のVPNへメンバーを追加する動作の一例を示すシーケンス図である。 端末装置がVPNを削除する動作の一例を示すシーケンス図である。 既存のVPNからメンバーを削除する動作の一例を示すシーケンス図である。 端末装置がエッジ装置へ接続する動作の一例を示すシーケンス図である。 端末装置が既存のVPNへ参加する動作の一例を示すシーケンス図である。 端末装置がVPNから離脱する動作の一例を示すシーケンス図である。 端末装置がユニキャストIPアドレス宛のパケットを送信する動作の一例を示すシーケンス図である。 端末装置がマルチキャストIPアドレス宛のパケットを送信する動作の一例を示すシーケンス図である。 本発明の実施の形態2にかかるデータ通信システムを実現するネットワークの構成例を示す図である。 エッジ装置の構成例を示す図である。
符号の説明
1,1−1,1−2,1−m 端末装置
2,2−1,2−2,2−n,2a エッジ装置
3,3−1,3−x VPNメンバー管理サーバ
4 認証サーバ
11,21,31,41 IP通信モジュール
12 トンネル通信モジュール
13 仮想インタフェースドライバ
14 アプリケーション
15,25,35,45 データベース
26 DHT検索モジュール
27,37,47,27a 制御モジュール
28 VPN識別子−VPNメンバー管理サーバ対応付けモジュール

Claims (16)

  1. IPネットワーク上に複数のVPN(Virtual Private Network)を構成可能とするデータ通信システムであって、
    VPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子の情報を保持し、該デフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、
    前記IPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うための所定情報を保持するエッジ装置と、
    前記複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、
    を備え、
    前記エッジ装置は、VPNへの接続を要求する端末装置との論理的コネクションを確立した後、該端末装置が属するVPNの情報をVPNメンバー管理サーバから取得し、該VPNメンバー管理サーバから取得したVPNの情報に基づいて該端末装置と該端末装置が接続を要求するVPNとの接続設定処理を行うことを特徴とするデータ通信システム。
  2. 前記エッジ装置は、
    端末装置との間の論理的コネクションの識別子とラベル値のペアをキーとして、VPN識別子、端末装置識別子およびVPN内IPアドレスをデータとするデータベースと、
    VPN内IPアドレスをキーとして、該IPアドレスを使用している端末装置との間の論理的コネクションの識別子とラベル値のペアをデータとするデータベースと、
    VPN識別子をキーとして、そのVPNへの接続に使用される端末装置との間の論理的コネクションの識別子とラベル値のペアのリストをデータとするデータベースと、
    VPN識別子をキーとして、そのVPNに対応付けられるマルチキャストIPアドレスとサブネットアドレスをデータとするデータベースと、
    マルチキャストIPアドレスをキーとして、そのマルチキャストIPアドレスに対応付けられるVPN識別子をデータとするデータベースと、
    サブネットアドレスをキーとして、そのサブネットアドレスに対応付けられるVPN識別子をデータとするデータベースと、
    を備え、
    前記エッジ装置は、前記データベースに保持される情報に基づいて「VPNの作成または削除処理」、「VPNへのメンバーの追加または削除処理」、「VPNへの参加または離脱処理」、「ユニキャストIPパケットの転送処理」、および「ブロード/マルチキャストIPパケットの転送処理」のうちの少なくとも一つの処理を行うことを特徴とする請求項1に記載のデータ通信システム。
  3. 前記VPNメンバー管理サーバは、前記エッジ装置から受信したVPN識別子と端末装置識別子を含むVPNメンバー問合せ要求メッセージに対して、該VPN識別子で指定されるVPNに、該端末装置識別子で指定される端末装置が参加可能と判断した場合、当該参加を認める端末装置に割当てるIPアドレスと、VPN上のブロードキャストまたはマルチキャストパケットを転送するときに使用するマルチキャストIPアドレスと、VPNに対応付けられるサブネットアドレスとを、前記VPNメンバー問合せ要求メッセージに対するVPNメンバー問合せ応答メッセージにて通知することを特徴とする請求項1または2に記載のデータ通信システム。
  4. 前記エッジ装置は、VPNへの参加が認められた端末装置に割り当てられたIPアドレスをキーとして、自装置のIPアドレスをデータとするレコードを前記オーバーレイネットワーク上に登録することを特徴とする請求項1〜3のいずれか一つに記載のデータ通信システム。
  5. 前記IPアドレスのサブネットアドレスが、VPN識別子として用いられることを特徴とする請求項1〜4のいずれか一つに記載のデータ通信システム。
  6. 前記IPネットワーク内で伝送されるIPパケットには、どのVPN上で送受信されるIPパケットか否かを識別可能とするためのラベルが付与されることを特徴とする請求項1〜5のいずれか一つに記載のデータ通信システム。
  7. 前記VPNメンバー管理サーバは、VPNに接続する端末装置の情報を分割して管理するための複数のVPNメンバー管理サーバから構成され、
    前記エッジ装置は、
    前記VPN識別子をキーとして、該VPN識別子に関するデータを管理するVPNメンバー管理サーバのIPアドレスを対応づけた情報が保持されるデータベースと、
    前記データベースの情報を管理する情報管理手段と、
    を備え、
    前記情報管理手段は、端末装置からの要求に応じて該端末装置がメンバーとなっているVPNの情報を取得する際に、該VPNの情報がどのVPNメンバー管理サーバに登録されているかの判定処理を行うことを特徴とする請求項1〜6のいずれか一つに記載のデータ通信システム。
  8. IPネットワーク上に複数のVPN(Virtual Private Network)を構成可能とするデータ通信システムに接続される端末装置であって、
    前記IPネットワークにおけるIP通信を実現するIPプロトコル処理を行うIPプロトコル処理部と、
    前記IPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築するエッジ装置との間で論理的コネクションを確立するための処理を行うトンネル通信処理部と、
    論理的コネクションを識別する識別子およびIPパケットに付与するラベルのラベル値をIP通信が可能な一つの仮想インタフェースとして扱う仮想インタフェース処理部と、
    を備え、
    前記仮想インタフェース処理部は、前記仮想インタフェース毎に複数の論理的コネクションが確立しているとみなしてIP通信を行うことを特徴とする端末装置。
  9. 複数のVPN(Virtual Private Network)が構成されるIPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うエッジ装置と、該複数のVPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、が具備されるデータ通信システムに適用され、
    前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している端末装置からのエッジ装置との間の論理的コネクションおよび参加中のVPNを介した新しいVPNの生成指示に応じてVPNの設定を更新する際に、
    前記端末装置が、新たに作成を希望するVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
    前記エッジ装置が、前記論理的コネクションの識別子およびIPパケットの先頭に付与されているVPNを識別するためのラベル値に基づいて前記端末装置の端末装置識別子を取得する工程と、
    前記エッジ装置が、前記VPN識別子および端末装置識別子を前記VPNメンバー管理サーバに通知する工程と、
    前記VPNメンバー管理サーバが、前記VPN識別子および端末装置識別子に基づいて新たに作成するVPNについての情報(VPN情報)および前記端末装置が当該VPNに接続するための情報(端末装置情報)を作成する工程と、
    前記VPNメンバー管理サーバが、前記VPN情報を自装置内のデータベースに登録する工程と、
    前記VPNメンバー管理サーバが、前記端末装置情報をエッジ装置に通知する工程と、
    を含むことを特徴とするVPN設定更新方法。
  10. 複数のVPN(Virtual Private Network)が構成されるIPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うエッジ装置と、該複数のVPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、が具備されるデータ通信システムに適用され、
    前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している第1の端末装置からのエッジ装置との間の論理的コネクションを介した所定のVPNに対する新しいメンバーの追加登録要求に応じてVPNの設定を更新する際に、
    前記第1の端末装置が、新たにメンバーとなる第2の端末装置を識別するための端末装置識別子およびメンバー登録先のVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
    前記エッジ装置が、前記第2の端末装置の端末装置識別子(第2の端末装置識別子)およびVPN識別子を前記VPNメンバー管理サーバに通知する工程と、
    前記VPNメンバー管理サーバが、前記第2の端末装置識別子および前記VPN識別子に基づいて新たにVPNのメンバーとなる前記第2の端末装置を管理するための情報(端末装置管理情報)および前記第2の端末装置が前記VPNに接続するための情報(端末装置情報)を作成する工程と、
    前記VPNメンバー管理サーバが、前記端末装置管理情報を自サーバ内のデータベースに登録する工程と、
    前記VPNメンバー管理サーバが、端末装置用情報をエッジ装置に通知する工程と、
    を含むことを特徴とするVPN設定更新方法。
  11. 複数のVPN(Virtual Private Network)が構成されるIPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うエッジ装置と、該複数のVPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、が具備されるデータ通信システムに適用され、
    前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している端末装置からのエッジ装置との間の論理的コネクションおよび参加中のVPNを介した既存VPNの削除指示に応じてVPNの設定を更新する際に、
    前記端末装置が、削除を要求するVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
    前記エッジ装置が、前記論理的コネクションの識別子およびIPパケットの先頭に付与されているVPNを識別するためのラベル値、に基づいて前記端末装置の端末装置識別子を取得する工程と、
    前記エッジ装置が、前記VPN識別子および端末装置識別子を前記VPNメンバー管理サーバに通知する工程と、
    前記VPNメンバー管理サーバが、前記VPN識別子および端末装置識別子に基づいて削除するVPNについての必要な情報(VPN情報)を特定し、当該VPN情報の自サーバ内データベースへの登録を解除する工程と、
    を含むことを特徴とするVPN設定更新方法。
  12. 複数のVPN(Virtual Private Network)が構成されるIPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うエッジ装置と、該複数のVPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、が具備されるデータ通信システムに適用され、
    前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している第1の端末装置からのエッジ装置との間の論理的コネクションを介した所定のVPNに登録されているメンバーの登録削除要求に応じてVPNの設定を更新する際に、
    前記第1の端末装置が、メンバー登録から削除する第2の端末装置を識別するための端末装置識別子およびメンバー登録先のVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
    前記エッジ装置が、前記第2の端末装置の端末装置識別子(第2の端末装置識別子)およびVPN識別子を前記VPNメンバー管理サーバに通知する工程と、
    前記VPNメンバー管理サーバが、前記第2の端末装置識別子およびVPN識別子に基づいて削除要求する前記第2の端末装置のVPN登録情報(端末装置管理情報)を特定し、当該端末装置管理情報の自サーバ内データベースへの登録を解除する工程と、
    前記エッジ装置が、前記第2の端末装置がVPNに参加するために登録されている情報を前記オーバーレイネットワーク上から削除する工程と、
    を含むことを特徴とするVPN設定更新方法。
  13. 複数のVPN(Virtual Private Network)が構成されるIPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うエッジ装置と、該複数のVPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、が具備されるデータ通信システムに適用され、
    前記オーバーレイネットワークを構築するネットワークに接続されているVPNに対して、当該VPNのメンバーである端末装置が、当該VPNに参加するためにVPNの設定を更新する際に、
    メンバーとなっているVPNに参加しようとする端末装置が、前記エッジ装置に対して当該端末装置の識別情報(端末装置識別子)を含んだ論理的コネクションの確立要求を行う工程と、
    前記エッジ装置が、前記端末装置識別子を前記認証サーバに通知する工程と、
    前記認証サーバが、認証処理が正常に終了した場合に、前記端末装置がメンバーとなっているVPNを識別するためのVPN識別子を前記エッジ装置に対して通知する工程と、
    前記VPN識別子の通知を受けたエッジ装置が、当該VPN識別子および前記端末装置識別子を前記VPNメンバー管理サーバに通知して当該VPN識別子に対応するVPNに参加するための情報の通知を要求する工程と、
    を含むことを特徴とするVPN設定更新方法。
  14. 前記エッジ装置および前記端末装置が、VPNを識別するためのラベルを付与したIPパケットの送受信を前記論理的コネクション上で行うことを特徴とする請求項13に記載のVPN設定更新方法。
  15. 複数のVPN(Virtual Private Network)が構成されるIPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うエッジ装置と、該複数のVPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、が具備されるデータ通信システムに適用され、
    前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している端末装置からのエッジ装置との間の論理的コネクションを介した、参加中のVPNと異なるVPNへの参加要求に応じて、VPNの設定を更新する際に、
    前記端末装置が、新たに参加するVPNを識別するためのVPN識別子を前記エッジ装置に通知するVPN識別子通知工程と、
    前記エッジ装置が、前記VPN識別子に基づいて前記端末装置の端末装置識別子を取得する端末装置識別子取得工程と、
    前記エッジ装置が、前記VPN識別子通知工程および前記端末装置識別子取得工程において入手した、VPN識別子および端末装置識別子を、前記VPNメンバー管理サーバに通知して当該VPN識別子に対応するVPNに参加するための情報の通知を要求する工程と、
    を含むことを特徴とするVPN設定更新方法。
  16. 複数のVPN(Virtual Private Network)が構成されるIPネットワーク上にDHT(Distributed Hash Table)方式の検索機能を提供するオーバーレイネットワークを構築し、端末装置とVPNとの接続処理およびIPパケットの転送処理を行うエッジ装置と、該複数のVPNのメンバーとして登録されている端末装置が属するデフォルトVPNのVPN識別子に基づいて所定のVPNへの接続を要求する端末装置の認証を行う認証サーバと、複数のVPNおよび該VPNのメンバーとなりうる端末装置を管理するための所定情報を保持するVPNメンバー管理サーバと、が具備されるデータ通信システムに適用され、
    前記オーバーレイネットワークを構築するネットワークに接続されているVPNのいずれかに参加している端末装置からのエッジ装置との間の論理的コネクションを介した、参加中のVPNからの離脱要求に応じて、VPNの設定を更新する際に、
    前記端末装置が、離脱を希望するVPNを識別するためのVPN識別子を前記エッジ装置に通知する工程と、
    前記エッジ装置が、前記端末装置のVPNに参加するために登録されている情報を前記オーバーレイネットワーク上から削除する工程と、
    を含むことを特徴とするVPN設定更新方法。
JP2005349268A 2005-12-02 2005-12-02 データ通信システム、端末装置およびvpn設定更新方法 Expired - Fee Related JP4628938B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005349268A JP4628938B2 (ja) 2005-12-02 2005-12-02 データ通信システム、端末装置およびvpn設定更新方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005349268A JP4628938B2 (ja) 2005-12-02 2005-12-02 データ通信システム、端末装置およびvpn設定更新方法

Publications (2)

Publication Number Publication Date
JP2007158594A true JP2007158594A (ja) 2007-06-21
JP4628938B2 JP4628938B2 (ja) 2011-02-09

Family

ID=38242397

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005349268A Expired - Fee Related JP4628938B2 (ja) 2005-12-02 2005-12-02 データ通信システム、端末装置およびvpn設定更新方法

Country Status (1)

Country Link
JP (1) JP4628938B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009049557A (ja) * 2007-08-15 2009-03-05 Yamaha Corp Vpnトポロジ制御装置、vpnトポロジ制御システム、vpnトポロジ制御方法およびプログラム
WO2011010735A1 (ja) * 2009-07-24 2011-01-27 ヤマハ株式会社 中継装置
WO2011010736A1 (ja) * 2009-07-24 2011-01-27 ヤマハ株式会社 中継装置
JP2011166509A (ja) * 2010-02-10 2011-08-25 Yamaha Corp 中継装置
JP2012512573A (ja) * 2008-12-17 2012-05-31 ノーテル・ネットワークス・リミテッド セキュアなリモートアクセスの公衆通信環境
JP2013143630A (ja) * 2012-01-10 2013-07-22 Hitachi Ltd Lteシステム、アプリケーション制御装置およびパケットゲートウェイ
CN104011702A (zh) * 2011-10-04 2014-08-27 亚马逊科技公司 用于经编程性服务呼叫访问逻辑网络的技术
JP2019515608A (ja) * 2016-05-20 2019-06-06 新華三技術有限公司New H3C Technologies Co., Ltd. アクセス制御
WO2020153133A1 (ja) * 2019-01-22 2020-07-30 日本電気株式会社 通信管理システム、管理サーバ、vpnサーバ、端末、通信管理方法、及びプログラム
US20220030431A1 (en) * 2018-09-17 2022-01-27 Nokia Solutions And Networks Oy Credentials management

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004274127A (ja) * 2003-03-05 2004-09-30 Nippon Telegr & Teleph Corp <Ntt> 仮想専用網管理装置および仮想専用網提供システム、ならびにそれを実行するプログラムと記録媒体
JP2005252762A (ja) * 2004-03-05 2005-09-15 Nippon Telegr & Teleph Corp <Ntt> Vpn接続制御方法及びシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004274127A (ja) * 2003-03-05 2004-09-30 Nippon Telegr & Teleph Corp <Ntt> 仮想専用網管理装置および仮想専用網提供システム、ならびにそれを実行するプログラムと記録媒体
JP2005252762A (ja) * 2004-03-05 2005-09-15 Nippon Telegr & Teleph Corp <Ntt> Vpn接続制御方法及びシステム

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009049557A (ja) * 2007-08-15 2009-03-05 Yamaha Corp Vpnトポロジ制御装置、vpnトポロジ制御システム、vpnトポロジ制御方法およびプログラム
JP2012512573A (ja) * 2008-12-17 2012-05-31 ノーテル・ネットワークス・リミテッド セキュアなリモートアクセスの公衆通信環境
WO2011010735A1 (ja) * 2009-07-24 2011-01-27 ヤマハ株式会社 中継装置
WO2011010736A1 (ja) * 2009-07-24 2011-01-27 ヤマハ株式会社 中継装置
JP2011045050A (ja) * 2009-07-24 2011-03-03 Yamaha Corp 中継装置
CN102474459A (zh) * 2009-07-24 2012-05-23 雅马哈株式会社 中继装置
JP2011166509A (ja) * 2010-02-10 2011-08-25 Yamaha Corp 中継装置
CN104011702A (zh) * 2011-10-04 2014-08-27 亚马逊科技公司 用于经编程性服务呼叫访问逻辑网络的技术
JP2014534502A (ja) * 2011-10-04 2014-12-18 アマゾン テクノロジーズ インク プログラムに基づいたサービスコールを介して論理ネットワークにアクセスするための技法
JP2013143630A (ja) * 2012-01-10 2013-07-22 Hitachi Ltd Lteシステム、アプリケーション制御装置およびパケットゲートウェイ
JP2019515608A (ja) * 2016-05-20 2019-06-06 新華三技術有限公司New H3C Technologies Co., Ltd. アクセス制御
US11146551B2 (en) 2016-05-20 2021-10-12 New H3C Technologies Co., Ltd. Access control
US20220030431A1 (en) * 2018-09-17 2022-01-27 Nokia Solutions And Networks Oy Credentials management
WO2020153133A1 (ja) * 2019-01-22 2020-07-30 日本電気株式会社 通信管理システム、管理サーバ、vpnサーバ、端末、通信管理方法、及びプログラム
JP2020120216A (ja) * 2019-01-22 2020-08-06 日本電気株式会社 通信管理システム、管理サーバ、vpnサーバ、端末、通信管理方法、及びプログラム
JP7243211B2 (ja) 2019-01-22 2023-03-22 日本電気株式会社 通信管理システム、管理サーバ、vpnサーバ、通信管理方法、及びプログラム

Also Published As

Publication number Publication date
JP4628938B2 (ja) 2011-02-09

Similar Documents

Publication Publication Date Title
JP4628938B2 (ja) データ通信システム、端末装置およびvpn設定更新方法
KR100953805B1 (ko) 이동 컴퓨팅 장치를 위한 가상사설망 구조 재사용
EP2127224B1 (en) Private virtual lan spanning a public network for connection of arbitrary hosts
JP4302170B2 (ja) パケット中継装置
JP5048684B2 (ja) 通信ネットワークに対する選択的なサービス更新方法
US8923191B2 (en) Internet protocol collaborative mobility
CN1939000B (zh) 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备
CA2611146C (en) Method for data communication and system thereof
EP2252093B1 (en) Method for enabling mobility of client devices in large scale unified networks
US7849195B2 (en) Host identity protocol method and apparatus
CN101222406A (zh) 双代理在虚拟专用网络(vpn)中进行应用层内容路由的方法
CN102739497A (zh) 一种路由自动生成方法及其装置
Bless et al. The underlay abstraction in the spontaneous virtual networks (SpoVNet) architecture
JP4253569B2 (ja) 接続制御システム、接続制御装置、及び接続管理装置
CN110572808A (zh) 蓝牙Mesh网络系统及其建立方法
KR100964350B1 (ko) IPv6 환경에서의 SEND와 IPSec 협업 기법 및시스템
WO2008000387A1 (en) A personal network comprising a plurality of clusters
JP2007049503A (ja) パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置
JP2015095698A (ja) 通信制御サーバーおよびサービス提供システム
KR20030088253A (ko) 피투피 기반의 원격지 컴퓨터 관리를 위한 연결요청중계시스템 및 그 방법
JP2008098937A (ja) 仮想ネットワーク通信システムおよび通信端末
US8036218B2 (en) Technique for achieving connectivity between telecommunication stations
JP2009206876A (ja) サービス公開システム、通信中継装置、およびサービス公開装置
JP2007174583A (ja) ネットワーク中継装置
JP4242752B2 (ja) アドレス表管理方法、及び、端末

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080530

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100602

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100608

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100803

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100824

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101020

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101109

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101110

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees