JP2008010934A - ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 - Google Patents

ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 Download PDF

Info

Publication number
JP2008010934A
JP2008010934A JP2006176521A JP2006176521A JP2008010934A JP 2008010934 A JP2008010934 A JP 2008010934A JP 2006176521 A JP2006176521 A JP 2006176521A JP 2006176521 A JP2006176521 A JP 2006176521A JP 2008010934 A JP2008010934 A JP 2008010934A
Authority
JP
Japan
Prior art keywords
address
terminal
local area
information
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006176521A
Other languages
English (en)
Inventor
Hikari Takenaka
光 竹中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006176521A priority Critical patent/JP2008010934A/ja
Publication of JP2008010934A publication Critical patent/JP2008010934A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】LAN内の情報端末がLAN内の他の装置との通信とLAN外の装置との通信とを同時に行うことを可能にしたゲートウェイ装置を提供する。
【解決手段】ローカルエリアネットワークで利用されるアドレスであるローカルエリア用アドレスが格納された記憶部と、アドレスを要求する旨の情報を含む端末認証要求信号をローカルエリアネットワークに接続された情報端末から受信すると、ローカルエリア用アドレスを記憶部から読み出して情報端末に送信し、ローカルエリア用アドレスが発アドレスに設定され、外部ネットワークの認証サーバにアドレスを要求する旨の情報を含む利用者認証要求信号を情報端末から受信すると、利用者認証要求信号を認証サーバに送信し、認証サーバから受信する外部用ネットワーク用のアドレスである外部用アドレスを情報端末に送信する制御部とを有する。
【選択図】図1

Description

本発明は、複数のネットワーク間の通信を媒介するゲートウェイ装置、通信制御方法、その方法をコンピュータに実行させるためのプログラム、およびプログラムを記録した記憶媒体に関する。
インターネットプロトコル(IP)の普及に伴い、IPアドレスの枯渇に対して、NAT(network address translation)およびNAPT(network address port translation)機能をルータに具備することにより、ルータが外部ネットワークと内部ネットワークとを接続することが知られている。このNAT機能において、内部ネットワークに接続された装置に外部ネットワークで用いられるパブリックIPアドレスを割り振ることにより、アドレスに依存するアプリケーションの利用を可能とする技術が特許文献1に開示されている。
特開2003−273891号公報
特許文献1に開示された技術では、内部ネットワークに接続した端末に高々1つの仮プライベートアドレスまたはグローバルアドレスしか割り当てていない。以下に、従来の問題点を説明する。
図8は従来の通信制御方法を説明するための図である。図8に示すように、ルータ1100は、内部ネットワークとなるLAN(Local Area Network)を介して利用者端末1001〜1003が接続されている。また、ルータ1100は、外部ネットワークとなるアクセス網1110を介してサービスプロバイダ1120のサーバ装置と接続されている。なお、図には示さないが、サービスプロバイダ1120には通信ネットワークが設けられ、その通信ネットワークにはサーバ装置が接続されている。
利用者端末1にはサービスプロバイダ1120によりグローバルアドレス「X.0.0.1」が割り当てられている。利用者端末2および利用者端末3のそれぞれには、プライベートアドレス「192.168.0.2」および「192.168.0.3」のそれぞれが割り当てられている。プライベートアドレスの割り当ては、ルータ1100またはLANの管理者により行われる。
図8に示すように、グローバルアドレスを割り当てられた利用者端末1001は、内部ネットワークに物理的に接続されていても、自端末のグローバルアドレスを持っている。このように、グローバルアドレスを持つ端末とプライベートアドレスを持つ端末とが同じLANに接続されていると、これらの端末同士の通信に障害の発生するおそれがある。以下に、障害の具体例を説明する。
内部ネットワークに接続された利用者端末1001〜1003の他、プライベートアドレスを持つコンピュータ装置およびプリンタ装置などの情報処理装置のそれぞれがセキュリティ確保のため送信元アドレスである発アドレスにフィルタをかけてデータを他の装置に送信しても、お互いのMAC(Media Access Control)アドレスを予め知っていれば、相互にデータを送信することが可能である。しかし、図8に示したように、利用者端末1001がMACアドレスを使用しないで、グローバルアドレスを発アドレスとして使用すると、上記フィルタがかかっていると内部ネットワークの他の装置には利用者端末1001のアドレスが通知されないことになる。その結果、利用者端末1001は内部ネットワークの他の装置からデータを受信することができなくなる。
図9は従来の通信制御方法の問題点を説明するための図である。内部ネットワークの複数の利用者端末1001〜1003は同時に1つのグローバルアドレスしか持てない。そのため、図9に示すように外部ネットワーク内の他のサービスプロバイダ1122から別のアドレスを配布してもらうことができず、複数のサービスプロバイダのサーバと同時に通信したくても通信できないという問題がある。
図10は従来の他の通信制御方法の問題点を説明するための図である。ここでは、利用者端末とサービスプロバイダとの接続に、PPPoE(Point to Point Protocol over Ethernet)を用いるものとする(「Ethernet」は登録商標)。図10に示すように、利用者端末1001〜1003が外部ネットワークとの認証を個別で行おうとすると、使用可能な認証情報が1つであるため、多くのサービスプロバイダが多くの接続数を提供しようとしても、外部ネットワークとの接続数が1つに限られてしまう。そのため、最初にアクセスした利用者端末1001しか外部ネットワークのサービスプロバイダ1120のサーバ(不図示)と通信できないという問題がある。
本発明は上述したような従来の技術が有する問題点を解決するためになされたものであり、LAN内の情報端末がLAN内の他の装置との通信とLAN外の装置との通信とを同時に行うことを可能にしたゲートウェイ装置、通信制御方法、その方法をコンピュータに実行させるためのプログラム、およびプログラムを記録した記憶媒体を提供することを目的とする。
上記目的を達成するための本発明のゲートウェイ装置は、ローカルエリアネットワークと外部ネットワークとの通信を媒介するゲートウェイ装置であって、
前記ローカルエリアネットワークで利用されるアドレスであるローカルエリア用アドレスが格納された記憶部と、
アドレスを要求する旨の情報を含む端末認証要求信号を前記ローカルエリアネットワークに接続された情報端末から受信すると、前記ローカルエリア用アドレスを前記記憶部から読み出して該情報端末に送信し、該ローカルエリア用アドレスが発アドレスに設定され、前記外部ネットワークの認証サーバにアドレスを要求する旨の情報を含む利用者認証要求信号を前記情報端末から受信すると、該利用者認証要求信号を前記認証サーバに送信し、該認証サーバから受信する前記外部用ネットワーク用のアドレスである外部用アドレスを前記情報端末に送信する制御部と、
を有する構成である。
本発明では、ローカルネットワーク内の情報端末に、ローカルエリア用アドレスと外部ネットワーク用アドレスの2つのアドレスが付与される。情報端末は、他の装置にデータを送信する際、データの送信先に対応してデータに付加する発アドレスを使い分ければ、外部ネットワークに接続された装置との通信と、ローカルエリア内の装置との通信とを同時に行うことが可能となる。
また、上記本発明のゲートウェイ装置において、
前記制御部は、
前記ローカルエリア用アドレスを発アドレスとしたデータを前記情報端末から受信すると、該データを前記ローカルエリアネットワーク内に送信し、前記外部用アドレスを発アドレスとしたデータを該情報端末から受信すると、該データを前記外部ネットワークへ送信することとしてもよい。
本発明では、ゲートウェイ装置は情報端末から受け取るデータについて発アドレスの種類に対応して送信先を振り分ける。これにより、ローカルエリアネットワーク内の装置および外部ネットワークに接続された装置のそれぞれは、データを情報端末に返送する際、返送するデータの着アドレスとして情報端末から受信したデータに付加された発アドレスを設定すれば、送信元の情報端末にデータを送ることが可能となる。
さらに、上記発明のゲートウェイ装置において、
前記記憶部には前記情報端末毎に異なる端末識別子の情報が格納され、
前記端末認証要求信号には前記端末識別子の情報が含まれ、
前記制御部は、
前記端末認証要求信号を受信すると、該端末認証要求信号に含まれる端末識別子と一致する端末識別子が前記記憶部にあるか否かを調べ、一致する端末識別子があると、該端末識別子で特定される情報端末に前記ローカルエリア用アドレスを送信することとしてもよい。
本発明では、アドレスを付与する先となる情報端末が予め登録された正規の利用者の情報端末であることの認証がされるため、認証された情報端末のみがローカルエリア用アドレスを取得し、その後に外部ネットワーク用アドレスを取得することが可能となり、外部ネットワークへの不正アクセスを防ぐことが可能となる。
本発明によれば、LAN内の情報端末はLAN内の印刷装置などの他の装置と通信可能にしながら、外部ネットワークに接続された単数または複数のサービスプロバイダ網と通信することができる。
本発明のゲートウェイ装置は、内部ネットワークの利用者端末に対して、内部ネットワーク用のアドレスと外部ネットワーク用のアドレスを付与することを特徴とする。
本実施形態のゲートウェイ装置を説明する。図1は本実施形態のゲートウェイ装置を含む通信システムの一構成例を示すブロック図である。
図1に示すように、ゲートウェイ装置204は、複数の利用者端末と接続されている。また、複数のサービスプロバイダ網とアクセス網205を介して接続されている。図1には、複数の利用者端末として、利用者端末201、利用者端末202および利用者端末203の3つを示す。複数のサービスプロバイダ網として、サービスプロバイダ網206、サービスプロバイダ網207およびサービスプロバイダ網208の3つを示す。ここでいうサービスプロバイダ網206〜208としては、インターネットへの接続サービスを行うインターネットサービスプロバイダによるネットワーク、アプリケーションサービスプロバイダおよびコンテンツサービスプロバイダなどの事業者によるネットワーク、ならびに企業のイントラネットを含む。本実施形態では、サービスプロバイダ網毎に、ネットワークの運営者が異なるものとする。
なお、本実施形態では、利用者端末およびサービスプロバイダ網の数をそれぞれ3つとしているが、3つの場合に限らない。また、利用者端末およびサービスプロバイダ網のそれぞれの数は複数の場合に限らず、それぞれ1つでもよい。
利用者端末201〜203のそれぞれとゲートウェイ装置204は、イーサネット(登録商標)や無線LANに代表される、常時通信を行うことが可能なネットワークで接続されている。以下では、ゲートウェイ装置204と利用者端末201〜203とを接続するネットワークを内部ネットワークと称し、ゲートウェイ装置204からアクセス網205側を外部ネットワークと称する。
次に、サービスプロバイダ網206〜208について説明する。
図1に示すようにサービスプロバイダ網206〜208のそれぞれには、サービスプロバイダ網を利用する端末の認証を行う認証サーバ216〜218のそれぞれが設けられている。認証サーバ216〜218は、利用者端末の認証を行う他、外部ネットワーク用のIPアドレスを利用者端末に割り当てる。以下に、認証サーバ216〜218の構成を説明する。なお、認証サーバ216〜218は同様な構成であるため、代表して認証サーバ216について説明する。また、以下では、外部ネットワーク用のIPアドレスをグローバルアドレスとする。
図2は認証サーバの一構成例を示すブロック図である。図2に示すように、認証サーバ216は、外部とデータを送受信する通信部223と、グローバルアドレスを格納するための記憶部221と、各部を制御する制御部222とを有する。
記憶部221には、複数のグローバルアドレスと利用者を認証するための情報とが予め格納されている。利用者を認証するための情報には、利用者の識別子およびパスワードが含まれる。以下では、利用者の識別子およびパスワードの情報を認証情報と称する。
制御部222は、プログラムにしたがって所定の処理を実行するCPU(Central Processing Unit)(不図示)と、プログラムを格納するためのメモリ(不図示)とを有する。制御部222は、サービスプロバイダを特定するためのプロバイダ識別子および認証情報、ならびにアドレスを要求する旨の情報を含む利用者認証要求信号をアクセス網205を介して受信すると、認証情報を読み出し、読み出した認証情報に一致する認証情報が記憶部221に登録されているか否かを調べる。そして、一致する認証情報が登録されていると、複数のグローバルアドレスのうち割り当てていないグローバルアドレスを任意に選んで、そのグローバルアドレスをゲートウェイ装置204に送信する。
なお、本実施形態では、認証サーバ216〜218のそれぞれがアドレスの割り当て機能を有することとしたが、それぞれのサービスプロバイダ網に別のサーバを設け、そのサーバにアドレスの割り当て機能を備えるようにしてもよい。また、図に示さないが、利用者に各種サービスを提供するためのWebサーバがサービスプロバイダ網に接続されていてもよい。さらに、サービスプロバイダ網がインターネットなどの他のネットワークに接続されていてもよい。
次に、アクセス網205について説明する。
ゲートウェイ装置204は、アクセス網205を運営する事業者が提供する任意の回線(ADSL(Asymmetric Digital Subscriber Line)、光ファイバ、および広域イーサネットなど)を介してアクセス網205と接続されている。アクセス網205を運営する事業者は、ゲートウェイ装置204から受信する各種情報をサービスプロバイダ網内の装置に転送し、サービスプロバイダ網の装置とのリンクを確立し、内部ネットワーク側の装置とサービスプロバイダ網内の装置とを接続するサービスを提供するものである。
アクセス網205内には、ゲートウェイ装置204から受信する認証要求信号を送信先となるサービスプロバイダ網を特定するための選別装置が設けられている。認証要求信号には宛先のサービスプロバイダ網を示すプロバイダ識別子の情報が含まれているため、選別装置は、その情報にしたがってサービスプロバイダ網206〜208から1つを特定し、特定したサービスプロバイダ網に認証要求信号を届ける。使用される回線がADSLであればリモートアクセスサーバが選別装置に相当し、リモートアクセスサーバはゲートウェイ装置204から受信する認証要求信号の転送先をその宛先に対応したサービスプロバイダ網に振り分ける。
例えば、利用者の識別子を「user_id」、パスワードを「QWERTY」、サービスプロバイダ網206のプロバイダ識別子を「ISP1」とすると、利用者端末からゲートウェイ装置204を介してアクセス網205に送信される利用者認証要求信号には、「ユーザID:user_id@ISP1、パスワード:QWERTY」の情報が含まれる。リモートアクセスサーバは、「ユーザID:user_id@ISP1」からユーザIDのアットマーク(@)以降のプロバイダ識別子「ISP1」を読み取ることで、その認証要求信号の送信先をサービスプロバイダ網206に振り分けることが可能となる。
次に、ゲートウェイ装置204の構成を説明する。図3はゲートウェイ装置の一構成例を示すブロック図である。
図3に示すように、ゲートウェイ装置204は、ローカル側インタフェース313および外部ネットワーク側インタフェース314を含む通信部と、記憶部301と、制御部302とを有する。制御部302は、プログラムにしたがって所定の処理を実行するCPU(不図示)と、プログラムを格納するためのメモリ(不図示)とを有する。また、制御部302は、ローカル側アドレス割り当て部310、パケット振り分け部311、および外部ネットワーク側接続処理部312を有する。ローカル側アドレス割り当て部310、パケット振り分け部311、および外部ネットワーク側接続処理部312は、CPUがプログラムを実行することで、ゲートウェイ装置204内に仮想的に構成される。
記憶部301は、利用者端末201〜203に割り当てるための内部ネットワーク用のIPアドレスの情報が格納されている。以下では、内部ネットワーク用のIPアドレスをプライベートアドレスとする。また、記憶部301には、利用者端末201〜203毎に異なる端末識別子の情報が格納されている。この端末識別子を用いて利用者端末の認証を行う。さらに、利用者端末201〜203の各利用者端末がサービスプロバイダ網206〜208のそれぞれと通信するためのグローバルアドレスが記憶部301に格納される。
ローカル側アドレス割り当て部310は、DHCP(Dynamic Host Configuration Protocol)サーバと同様な機能を備えている。端末識別子およびアドレスを要求する旨の情報を含む端末認証要求信号を利用者端末から受信すると、端末認証要求信号に含まれる端末識別子が記憶部301に登録されているか否かを調べ、登録されているとその利用者端末が正規の利用者の端末であることを認証する。そして、記憶部301に格納されたプライベートアドレスの中から割り当てていないプライベートアドレスを任意に選び、認証した利用者端末に送信する。端末識別子とその利用者端末に割り当てたプライベートアドレスを組にして記憶部301に記録する。一方、内部ネットワークの装置に送信するためのパケットである内部通信パケットをパケット振り分け部311から受け取ると、そのパケットのヘッダに記述された宛先を読み出し、読み出した宛先にそのパケットを送信する。
パケット振り分け部311は、送信対象となるデータをパケットに分割した後、外部ネットワーク側に送信するためのパケットである外部通信パケットと内部通信パケットとに振り分ける。そして、内部通信パケットをローカル側アドレス割り当て部310に渡し、外部通信パケットを外部ネットワーク側接続処理部312に渡す。
外部ネットワーク側接続処理部312は、パケット振り分け部311から受け取る外部通信パケットをアクセス網205に送信し、アクセス網205から受信するパケットをパケット振り分け部311に渡す。また、利用者端末201〜203より受信する利用者認証要求信号をアクセス網205に送出し、アクセス網205を介して受信するグローバルアドレスを認証要求元の利用者端末に送信する。さらに、グローバルアドレスを端末識別子と組にして記憶部301に格納する。
端末識別子をMACアドレスとしたときの、プライベートアドレスの例と、MACアドレスおよびプライベートアドレスの組の例を以下に示す。
プライベートアドレスの範囲:192.168.0.2〜192.168.0.10
MACアドレスにプライベートアドレスを割り当てたときの組:
(00−E0−12−34−56−78,192.168.0.2)、
(00−A0−98−76−54−32,192.168.0.3)
ここでは、MACアドレスおよびプライベートアドレスの組を2組挙げている。
次に、利用者端末201〜203の構成を説明する。なお、利用者端末201〜203は同様な構成なため、これらの端末を代表して利用者端末201について説明する。
図4は利用者端末の一構成例を示すブロック図である。図4に示すように、利用者端末201は、内部ネットワークを介してデータを送受信する端末通信部601と、割り当てられたアドレスを格納するための端末記憶部602と、各部を制御する端末制御部603と、利用者が指示を入力するための操作部604とを有する。端末制御部603には、プログラムにしたがって所定の処理を実行するCPU(不図示)と、プログラムを格納するためのメモリ(不図示)とが設けられている。
端末制御部603は、ゲートウェイ装置204からプライベートアドレスおよびグローバルアドレスなどの自端末用のアドレスを受信すると、それらのアドレスを端末記憶部602に格納する。サービスプロバイダ網206との通信のためのグローバルアドレスが端末記憶部602に格納され、サービスプロバイダ網206のWebサーバ(不図示)にWebページを要求するための指示が利用者により操作部604を介して入力されると、端末制御部603は、ページを要求する旨の情報を含む通信電文に発アドレスとしてグローバルアドレスを添付し、通信電文をサービスプロバイダ網206のWebサーバ宛に端末通信部601を介して送信する。
一方、端末制御部603は、利用者端末202に所定のファイルを送信する旨の指示が利用者により操作部604を介して入力されると、そのファイルを含むデータであるファイルデータに発アドレスとしてプライベートアドレスを添付し、ファイルデータを利用者端末202宛に端末通信部601を介して送信する。
なお、利用者端末201からサービスプロバイダ網に送信される通信電文に含まれる情報は、ページ要求の情報に限られない。また、利用者端末201から内部ネットワーク内の他の装置に送信されるデータはファイルデータに限られない。
次に、図1に示した通信システムの動作を説明する。ここでは、利用者端末201が内部ネットワーク内の他の装置と通信可能とし、サービスプロバイダ網206、207のそれぞれと通信可能になるまでの手順を説明する。また、端末認証要求信号を第1の認証要求信号と称し、サービスプロバイダ網206への利用者認証要求信号を第2の認証要求信号と称し、サービスプロバイダ網207への利用者認証要求信号を第3の認証要求信号と称する。また、この図では、認証サーバ216、217のそれぞれをサービスプロバイダ網206、207でそれぞれ示す。
図5は図1に示した通信システムの動作手順を示すフローチャートである。
利用者端末201の利用者が操作部604を操作してゲートウェイ装置204への認証を要求する旨の指示を入力すると、利用者端末201は、第1の認証要求信号をゲートウェイ装置204に送信する(ステップ101)。ゲートウェイ装置204は、利用者端末201から第1の認証要求信号を受信し、利用者端末201を認証すると、利用者端末201のプライベートアドレスとして第1のアドレスに決定し(ステップ102)、第1のアドレスを利用者端末201に送信する(ステップ103)。
利用者端末201は、ゲートウェイ装置204から第1のアドレスを受信すると、ゲートウェイ装置204および利用者端末202、203との通信に用いるアドレスとして第1のアドレスを設定して端末記憶部602に格納する(ステップ104)。
続いて、サービスプロバイダ網206と通信可能にするために利用者が操作部604を操作してサービスプロバイダ網206への認証を要求する旨の指示を入力すると、利用者端末201は、第2の認証要求信号をゲートウェイ装置204に送信する(ステップ105)。第2の認証要求信号には、サービスプロバイダ網206を示すプロバイダ識別子と、サービスプロバイダ網206との接続に必要な情報となる認証情報とが含まれる。
ゲートウェイ装置204は、受け取った第2の認証要求信号に含まれる認証情報と同一の認証情報で既にサービスプロバイダ網206と接続されているか否かを判定する(ステップ106)。判定の結果、接続されていなければ、サービスプロバイダ網206に接続を要求するために第2の認証要求信号をアクセス網205に転送する。アクセス網205の選別装置(不図示)は、受信した第2の認証要求信号のプロバイダ識別子を読み取って、プロバイダ識別子が示すサービスプロバイダ網206の認証サーバ216に第2の認証要求信号を転送する(ステップ107)。
認証サーバ216は、アクセス網205から第2の認証要求信号を受信し、利用者を認証すると、ゲートウェイ装置204との通信のためのグローバルアドレスとして第2のアドレスを決定する(ステップ108)。そして、アクセス網205を介してゲートウェイ装置204に第2のアドレスを通知するとともに(ステップ109)、ゲートウェイ装置204とのリンクを確立する。ゲートウェイ装置204はサービスプロバイダ網206の認証サーバ216から第2のアドレスを受け取ると、第2のアドレスを記憶部301に格納し、第2のアドレスを利用者端末201に通知する(ステップ110)。
利用者端末201は、ゲートウェイ装置204から第2のアドレスを受け取ると、通信の際利用するための物理インタフェースに第2のアドレスをエイリアスとして設定するとともに、第2のアドレスを端末記憶部602に格納する(ステップ111)。このとき、第1のアドレスを第2のアドレスに書き換えるのではなく、ゲートウェイ装置204と接続する物理インタフェースに複数のアドレスを設定することになる。
続いて、利用者がサービスプロバイダ網206内のWebサーバ(不図示)が提供するページを閲覧するために、操作部604を操作してページを要求する旨の指示を入力すると、利用者端末201は、第2のアドレスを発アドレスに設定し、ページを要求する旨の情報を含む通信電文をゲートウェイ装置204に送信する。ゲートウェイ装置204は、利用者端末201から通信電文を受信すると、ステップ108で確立されたリンクを通してサービスプロバイダ網206のWebサーバに通信電文を送信する(ステップ112)。
一方、利用者端末201とサービスプロバイダ網206との通信を可能にした状態のまま、サービスプロバイダ網207と通信可能にするために、利用者が操作部604を操作してサービスプロバイダ網207への認証を要求する旨の指示を入力すると、利用者端末201は、サービスプロバイダ網207に接続するための第3の認証要求信号をゲートウェイ装置204に送信する(ステップ113)。第3の認証要求信号には、サービスプロバイダ網207を示すプロバイダ識別子と、サービスプロバイダ網207との接続に必要な情報となる認証情報とが含まれる。
ゲートウェイ装置204は、受け取った第3の認証要求信号に含まれる認証情報と同一の認証情報で既にサービスプロバイダ網207と接続されているか否かを判定する(ステップ114)。判定の結果、接続されていなければ、サービスプロバイダ網207に接続を要求するために第3の認証要求信号をアクセス網205に転送する。アクセス網205の選別装置(不図示)は、受信した第3の認証要求信号のプロバイダ識別子を読み取って、プロバイダ識別子が示すサービスプロバイダ網207の認証サーバ217に第3の認証要求信号を転送する(ステップ115)。
認証サーバ217は、アクセス網205から第3の認証要求信号を受信し、利用者を認証すると、ゲートウェイ装置204との通信のためのグローバルアドレスとして第3のアドレスを決定する(ステップ116)。そして、アクセス網205を介してゲートウェイ装置204に第3のアドレスを通知するとともに(ステップ117)、ゲートウェイ装置204とのリンクを確立する。ゲートウェイ装置204はサービスプロバイダ網207の認証サーバ217から第3のアドレスを受け取ると、第3のアドレスを記憶部301に格納し、第3のアドレスを利用者端末201に通知する(ステップ118)。
利用者端末201は、ゲートウェイ装置204から第3のアドレスを受け取ると、物理インタフェースに第1のアドレスおよび第2のアドレスを保持したまま第3のアドレスをエイリアスとして設定するとともに、第3のアドレスを端末記憶部602に格納する(ステップ119)。
続いて、利用者がサービスプロバイダ網207内のWebサーバ(不図示)が提供するページを閲覧するために、操作部604を操作してページを要求する旨の指示を入力すると、利用者端末201は、第3のアドレスを発アドレスに設定し、ページを要求する旨の情報を含む通信電文をゲートウェイ装置204に送信する。ゲートウェイ装置204は、利用者端末201から通信電文を受信すると、ステップ116で確立されたリンクを通してサービスプロバイダ網207のWebサーバに通信電文を送信する(ステップ120)。
さらに、図5には示さないが、利用者端末202にデータを送るために利用者が操作部604を操作してデータを利用者端末202に送る旨の指示を入力すると、利用者端末201は、発アドレスに第1のアドレスを設定してデータをゲートウェイ装置204に送る。ゲートウェイ装置204は、利用者端末201からデータを受信すると、パケットのヘッダに付加された発アドレスを読み取り、内部ネットワーク宛のデータであることを認識すると、ヘッダに付加された送信先のアドレスである着アドレスの利用者端末202宛に送信する。
本実施形態のゲートウェイ装置は、内部ネットワーク内の利用者端末に、内部ネットワーク用アドレスと外部ネットワーク用アドレスの2つのアドレスが付与される。利用者端末は、他の装置にデータを送信する際、データの送信先に対応してデータに付加する発アドレスを使い分けることで、外部ネットワークに接続された装置との通信と、内部ネットワーク内の装置との通信とを同時に行うことが可能となる。
また、本実施形態のゲートウェイ装置は、利用者端末から受け取るデータについて発アドレスの種類に対応して送信先を振り分けている。これにより、内部ネットワーク内の装置および外部ネットワークに接続された装置のそれぞれは、データを利用者端末に返送する際、返送するデータの着アドレスとして利用者端末から受信したデータに付加された発アドレスを設定すれば、送信元の利用者端末にデータを送ることが可能となる。
さらに、プライベートアドレスを付与する先となる利用者端末が予め登録された正規の利用者端末であることの認証がされるため、認証された利用者端末のみがプライベートアドレスを取得し、その後に外部ネットワーク用アドレスを取得することが可能となり、外部ネットワークへの不正アクセスを防ぐことができる。
本発明のゲートウェイ装置は、アクセスネット網を介して複数のサービスプロバイダ網との接続が可能な構成において、LAN内の複数の利用者端末がLAN内の印刷装置などの共用装置との通信を可能にしながら、それぞれの利用者端末は外部ネットワークに接続された単数または複数のサービスプロバイダ網と通信することが可能である。従来のインターネットカフェなど単にインターネットへの接続のみを許容する形態と比較して、インターネットプロトコルを用いることでその利便性を維持しながら、利用者端末は、その利用者の勤める企業のイントラネット網など秘匿性を必要とするネットワークにも、アドレスを付与する際に認証を行うことでより安全に通信接続することが可能となる。
なお、本発明の通信制御方法をコンピュータに実行させるためのプログラムに適用してもよい。また、そのプログラムを記憶媒体に格納してもよい。この場合、記憶媒体からプログラムをゲートウェイ装置、ルータおよびコンピュータなどの情報処理装置にインストールすることが可能となる。
本実施例では、上述の実施形態において、ゲートウェイ装置204に対する認証要求をDHCPによるアドレス要求とする。その際の端末識別子をMACアドレスとする。アクセス網205ならびにサービスプロバイダ網206の認証サーバ216およびサービスプロバイダ網207の認証サーバ217は、認証方法にPPPoEを用いるものとする。
本実施例の通信システムの構成を説明する。
図6は本実施例の通信システムの一構成例を示すブロック図である。図1に示した利用者端末201〜203のそれぞれに対応して、利用者端末401〜403のそれぞれが設けられている。また、ゲートウェイ装置204に対応してゲートウェイ装置406が設けられている。本実施例では、図6に示すように、利用者端末401〜403は無線LANを含む回線を介してゲートウェイ装置406と接続される。そのため、利用者端末401〜403と無線通信を可能にするための無線LANアクセスポイント404が内部ネットワークに設けられている。内部ネットワークには、印刷装置405が接続されている。
また、図1に示したアクセス網205に対応してアクセスネットワーク407が設けられている。さらに、サービスプロバイダ網206、207、208のそれぞれに対応してサービスプロバイダ網408、409、410のそれぞれがネットワーク407に接続されている。
なお、無線LANアクセスポイント404および印刷装置405の構成については従来と同様であるため、また、その他の構成については図1に示した構成と同様であるため、その詳細な説明を省略する。
次に、本実施例の通信システムの動作手順を説明する。図7は本実施例の通信システムの動作手順を示すフローチャートである。
利用者端末401の利用者が操作部を操作してゲートウェイ装置406への認証を要求する旨の指示を入力すると、利用者端末401は、MACアドレスを含む第1の認証要求信号をゲートウェイ装置406に送信する(ステップ701)。ゲートウェイ装置406は、利用者端末401から第1の認証要求信号を受信し、利用者端末401を認証すると、利用者端末401のプライベートアドレスとして第1のアドレス「192.168.0.1」に決定し(ステップ702)、第1のアドレスを利用者端末401に送信する(ステップ703)。
利用者端末401は、ゲートウェイ装置406から第1のアドレスを受信すると、ゲートウェイ装置406および利用者端末402、403との通信に用いるアドレスとして第1のアドレスを設定して端末記憶部に格納する(ステップ704)。
続いて、サービスプロバイダ網408と通信可能にするために利用者が操作部を操作してサービスプロバイダ網408への認証を要求する旨の指示を入力すると、利用者端末401は、第2の認証要求信号をゲートウェイ装置406に送信する(ステップ705)。第2の認証要求信号には、サービスプロバイダ網408を示すプロバイダ識別子「ISP1」と、サービスプロバイダ網408との接続に必要な情報となる認証情報「user_id1、パスワード」とが含まれる。
ゲートウェイ装置406は、受け取った第2の認証要求信号に含まれる認証情報と同一の認証情報で既にサービスプロバイダ網206と接続されているか否かを判定する(ステップ706)。判定の結果、接続されていなければ、サービスプロバイダ網408に接続を要求するために第2の認証要求信号をアクセスネットワーク407に転送する。アクセスネットワーク407の選別装置(不図示)は、受信した第2の認証要求信号のプロバイダ識別子「ISP1」を読み取って、プロバイダ識別子が示すサービスプロバイダ網408の認証サーバ(不図示)に第2の認証要求信号を転送する(ステップ707)。
サービスプロバイダ網408の認証サーバは、アクセスネットワーク407から第2の認証要求信号を受信し、利用者を認証すると、ゲートウェイ装置406との通信のためのグローバルアドレスとして第2のアドレス「X.0.0.100」を決定する(ステップ708)。そして、アクセスネットワーク407を介してゲートウェイ装置406に第2のアドレスを通知するとともに(ステップ709)、ゲートウェイ装置406とのリンクを確立する。ゲートウェイ装置406はサービスプロバイダ網408の認証サーバから第2のアドレスを受け取ると、第2のアドレスを記憶部に格納し、第2のアドレスを利用者端末401に通知する(ステップ710)。
利用者端末401は、ゲートウェイ装置406から第2のアドレスを受け取ると、物理インタフェースに第2のアドレスをエイリアスとして設定するとともに、第2のアドレスを端末記憶部に格納する(ステップ711)。このとき、第1のアドレスを第2のアドレスに書き換えるのではなく、ゲートウェイ装置406と接続する物理インタフェースに複数のアドレスを設定することになる。
続いて、利用者がサービスプロバイダ網408内のWebサーバ(不図示)が提供するページを閲覧するために、操作部を操作してページを要求する旨の指示を入力すると、利用者端末401は、第2のアドレスを発アドレスに設定し、ページを要求する旨の情報を含む通信電文をゲートウェイ装置406に送信する。ゲートウェイ装置406は、利用者端末401から通信電文を受信すると、ステップ708で確立されたリンクを通してサービスプロバイダ網408のWebサーバに通信電文を送信する(ステップ712)。
一方、利用者端末401とサービスプロバイダ網408との通信を可能にした状態のまま、サービスプロバイダ網409と通信可能にするために、利用者が操作部を操作してサービスプロバイダ網409への認証を要求する旨の指示を入力すると、利用者端末401は、サービスプロバイダ網409に接続するための第3の認証要求信号をゲートウェイ装置406に送信する(ステップ713)。第3の認証要求信号には、サービスプロバイダ網207を示すプロバイダ識別子「ASP2」と、サービスプロバイダ網207との接続に必要な情報となる認証情報「user_id2、パスワード」とが含まれる。
ゲートウェイ装置406は、受け取った第3の認証要求信号に含まれる認証情報と同一の認証情報で既にサービスプロバイダ網409と接続されているか否かを判定する(ステップ714)。判定の結果、接続されていなければ、サービスプロバイダ網409に接続を要求するために第3の認証要求信号をアクセスネットワーク407に転送する。アクセスネットワーク407の選別装置(不図示)は、受信した第3の認証要求信号のプロバイダ識別子「ASP2」を読み取って、プロバイダ識別子が示すサービスプロバイダ網409の認証サーバ(不図示)に第3の認証要求信号を転送する(ステップ715)。
サービスプロバイダ網409の認証サーバは、アクセスネットワーク407から第3の認証要求信号を受信し、利用者を認証すると、ゲートウェイ装置406との通信のためのグローバルアドレスとして第3のアドレス「Y.0.0.200」を決定する(ステップ716)。そして、アクセスネットワーク407を介してゲートウェイ装置406に第3のアドレスを通知するとともに(ステップ717)、ゲートウェイ装置406とのリンクを確立する。ゲートウェイ装置406はサービスプロバイダ網207の認証サーバ217から第3のアドレスを受け取ると、第3のアドレスを記憶部に格納し、第3のアドレスを利用者端末401に通知する(ステップ718)。
利用者端末401は、ゲートウェイ装置406から第3のアドレスを受け取ると、物理インタフェースに第1のアドレスおよび第2のアドレスを保持したまま第3のアドレスをエイリアスとして設定するとともに、第3のアドレスを端末記憶部に格納する(ステップ719)。
続いて、利用者がサービスプロバイダ網409内のWebサーバ(不図示)が提供するページを閲覧するために、操作部を操作してページを要求する旨の指示を入力すると、利用者端末401は、第3のアドレスを発アドレスに設定し、ページを要求する旨の情報を含む通信電文をゲートウェイ装置406に送信する。ゲートウェイ装置406は、利用者端末401から通信電文を受信すると、ステップ716で確立されたリンクを通してサービスプロバイダ網409のWebサーバに通信電文を送信する(ステップ120)。
本実施例の通信システムは、利用者端末401〜403は内部ネットワーク上の無線アクセスポイント405を介してゲートウェイ装置406および印刷装置405と接続され、ゲートウェイ装置406はアクセスネットワーク407を介してサービスプロバイダ網408〜410と接続されている。上述したようにして、利用者端末401は、サービスプロバイダ網408、409と同時に通信することが可能となる。
また、利用者端末402は、利用者端末401が行った方法を同様に実行し、サービスプロバイダ網409の認証サーバからグローバルアドレス「Y.0.0.201」を取得することで、サービスプロバイダ網409と通信することが可能となる。また、利用者端末403は、利用者端末401が行った方法を同様に実行し、サービスプロバイダ網410の認証サーバ(不図示)からグローバルアドレス「Z.0.0.10」を取得することで、サービスプロバイダ網410と通信することが可能となる。
また、利用者端末401〜403は、サービスプロバイダ網408〜410の少なくともいずれかと接続したままの状態で、発アドレスにそれぞれのプライベートアドレスを設定し、着アドレスに「192.168.0.127」を設定したデータを印刷装置405宛に送ることで、印刷装置405で文書を印刷させることが可能となる。
なお、図6に示した構成は、あくまで一実施例であり、利用者端末401〜403とゲートウェイ装置405との接続に無線LANを用いずに有線であってもよい。
また、接続される装置を印刷装置405としたが、印刷装置に限らずスキャナーおよびファイルサーバなど他の装置であってもよく、装置を限定するものではない。
また、ゲートウェイ装置406は、利用者端末間の通信を従来技術のフィルタリング機能により許可したり、禁止したりすることも可能である。利用者端末間の通信をフィルタリング機能により許可する形態としては、LANを家庭および小規模事業者内ネットワークに応用することが考えられる。一方、利用者端末間の通信をフィルタリング機能により禁止した形態としては、LANを屋外において公衆無線LANアクセスポイントのネットワークとして応用することが考えられる。この場合、サービスプロバイダ網が企業内のイントラネットであれば、無線LANが利用可能なインターネットカフェなどの社外の場所から、利用者は会社内のイントラネットに端末を接続させることも可能となる。利用者は、端末を会社内のイントラネットと接続させる度に、接続のための設定をわざわざ自分で行う必要がない。
本実施形態のゲートウェイ装置を含む通信システムの一構成例を示すブロック図である。 図1に示す認証サーバの一構成例を示すブロック図である。 本実施形態のゲートウェイ装置の一構成例を示すブロック図である。 図1に示す利用者端末の一構成例を示すブロック図である。 図1に示した通信システムの動作手順を示すフローチャートである。 実施例1の通信システムの一構成例を示すブロック図である。 実施例1の通信システムの動作手順を示すフローチャートである。 従来の通信制御方法を説明するための図である。 従来の通信制御方法の問題点を説明するための図である。 従来の他の通信制御方法の問題点を説明するための図である。
符号の説明
204 ゲートウェイ装置
301 記憶部
302 制御部

Claims (10)

  1. ローカルエリアネットワークと外部ネットワークとの通信を媒介するゲートウェイ装置であって、
    前記ローカルエリアネットワークで利用されるアドレスであるローカルエリア用アドレスが格納された記憶部と、
    アドレスを要求する旨の情報を含む端末認証要求信号を前記ローカルエリアネットワークに接続された情報端末から受信すると、前記ローカルエリア用アドレスを前記記憶部から読み出して該情報端末に送信し、該ローカルエリア用アドレスが発アドレスに設定され、前記外部ネットワークの認証サーバにアドレスを要求する旨の情報を含む利用者認証要求信号を前記情報端末から受信すると、該利用者認証要求信号を前記認証サーバに送信し、該認証サーバから受信する前記外部用ネットワーク用のアドレスである外部用アドレスを前記情報端末に送信する制御部と、
    を有するゲートウェイ装置。
  2. 前記制御部は、
    前記ローカルエリア用アドレスを発アドレスとしたデータを前記情報端末から受信すると、該データを前記ローカルエリアネットワーク内に送信し、前記外部用アドレスを発アドレスとしたデータを該情報端末から受信すると、該データを前記外部ネットワークへ送信する、請求項1記載のゲートウェイ装置。
  3. 前記記憶部には前記情報端末毎に異なる端末識別子の情報が格納され、
    前記端末認証要求信号には前記端末識別子の情報が含まれ、
    前記制御部は、
    前記端末認証要求信号を受信すると、該端末認証要求信号に含まれる端末識別子と一致する端末識別子が前記記憶部にあるか否かを調べ、一致する端末識別子があると、該端末識別子で特定される情報端末に前記ローカルエリア用アドレスを送信する、請求項1または2記載のゲートウェイ装置。
  4. ローカルエリアネットワークと外部ネットワークとの通信を媒介するゲートウェイ装置による通信制御方法であって、
    前記ローカルエリアネットワークで利用されるアドレスであるローカルエリア用アドレスを記憶部に格納し、
    アドレスを要求する旨の情報を含む端末認証要求信号を前記ローカルエリアネットワークに接続された情報端末から受信すると、前記ローカルエリア用アドレスを前記記憶部から読み出して該情報端末に送信し、
    前記ローカルエリア用アドレスが発アドレスに設定され、前記外部ネットワークの認証サーバにアドレスを要求する旨の情報を含む利用者認証要求信号を前記情報端末から受信すると、該利用者認証要求信号を前記認証サーバに送信し、
    前記認証サーバから前記外部用ネットワーク用のアドレスである外部用アドレスを受信すると、該外部用アドレスを前記情報端末に送信する、通信制御方法。
  5. 前記ローカルエリア用アドレスを発アドレスとしたデータを前記情報端末から受信すると、該データを前記ローカルエリアネットワーク内に送信し、
    前記外部用アドレスを発アドレスとしたデータを前記情報端末から受信すると、該データを前記外部ネットワークへ送信する、請求項4記載の通信制御方法。
  6. 前記記憶部に前記情報端末毎に異なる端末識別子の情報をさらに格納し、
    前記端末認証要求信号は前記端末識別子の情報を含み、
    前記端末認証要求信号を受信すると、該端末認証要求信号に含まれる端末識別子と一致する端末識別子が前記記憶部にあるか否かを調べ、一致する端末識別子があると、該端末識別子で特定される情報端末に前記ローカルエリア用アドレスを送信する、請求項4または5記載の通信制御方法。
  7. ローカルエリアネットワークと外部ネットワークとの通信を媒介するコンピュータに実行させるためのプログラムであって、
    前記ローカルエリアネットワークで利用されるアドレスであるローカルエリア用アドレスを記憶部に格納し、
    アドレスを要求する旨の情報を含む端末認証要求信号を前記ローカルエリアネットワークに接続された情報端末から受信すると、前記ローカルエリア用アドレスを前記記憶部から読み出して該情報端末に送信し、
    前記ローカルエリア用アドレスが発アドレスに設定され、前記外部ネットワークの認証サーバにアドレスを要求する旨の情報を含む利用者認証要求信号を前記情報端末から受信すると、該利用者認証要求信号を前記認証サーバに送信し、
    前記認証サーバから前記外部用ネットワーク用のアドレスである外部用アドレスを受信すると、該外部用アドレスを前記情報端末に送信する処理を前記コンピュータに実行させるためのプログラム。
  8. 前記ローカルエリア用アドレスを発アドレスとしたデータを前記情報端末から受信すると、該データを前記ローカルエリアネットワーク内に送信し、
    前記外部用アドレスを発アドレスとしたデータを前記情報端末から受信すると、該データを前記外部ネットワークへ送信する処理をさらに有する請求項7記載のプログラム。
  9. 前記記憶部に前記情報端末毎に異なる端末識別子の情報をさらに格納し、
    前記端末認証要求信号は前記端末識別子の情報を含み、
    前記端末認証要求信号を受信すると、該端末認証要求信号に含まれる端末識別子と一致する端末識別子が前記記憶部にあるか否かを調べ、一致する端末識別子があると、該端末識別子で特定される情報端末に前記ローカルエリア用アドレスを送信する処理をさらに有する請求項7または8記載のプログラム。
  10. 請求項7から9のいずれか1項記載のプログラムを格納した記憶媒体。
JP2006176521A 2006-06-27 2006-06-27 ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 Pending JP2008010934A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006176521A JP2008010934A (ja) 2006-06-27 2006-06-27 ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006176521A JP2008010934A (ja) 2006-06-27 2006-06-27 ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体

Publications (1)

Publication Number Publication Date
JP2008010934A true JP2008010934A (ja) 2008-01-17

Family

ID=39068786

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006176521A Pending JP2008010934A (ja) 2006-06-27 2006-06-27 ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体

Country Status (1)

Country Link
JP (1) JP2008010934A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011182335A (ja) * 2010-03-03 2011-09-15 Toshiba Corp 認証方法、通信局、認証局及び端末
JP2012165351A (ja) * 2010-12-30 2012-08-30 Varsavsky Martin セキュアトンネリングプラットフォームシステム及び方法
JP2014192597A (ja) * 2013-03-26 2014-10-06 Digion Inc 通信制御方法、ローカル装置、情報処理端末、通信経路確立支援装置及びプログラム
CN110603789A (zh) * 2017-07-31 2019-12-20 佐藤控股株式会社 打印机、程序以及通信系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011182335A (ja) * 2010-03-03 2011-09-15 Toshiba Corp 認証方法、通信局、認証局及び端末
JP2012165351A (ja) * 2010-12-30 2012-08-30 Varsavsky Martin セキュアトンネリングプラットフォームシステム及び方法
JP2014192597A (ja) * 2013-03-26 2014-10-06 Digion Inc 通信制御方法、ローカル装置、情報処理端末、通信経路確立支援装置及びプログラム
CN110603789A (zh) * 2017-07-31 2019-12-20 佐藤控股株式会社 打印机、程序以及通信系统
CN110603789B (zh) * 2017-07-31 2023-04-04 佐藤控股株式会社 打印机、能够由计算机读取的存储介质以及通信系统

Similar Documents

Publication Publication Date Title
EP2253123B1 (en) Method and apparatus for communication of data packets between local networks
JP3749720B2 (ja) 相異なるホームネットワークに存するネットワーク機器間の接続装置及びその方法
JP4382328B2 (ja) セキュアストレージシステム
US6801528B2 (en) System and method for dynamic simultaneous connection to multiple service providers
JP4909277B2 (ja) ネットワーク通信機器、ネットワーク通信方法、アドレス管理機器
JP2004048234A (ja) ユーザ認証システムおよびユーザ認証方法
US7451479B2 (en) Network apparatus with secure IPSec mechanism and method for operating the same
JP2009163546A (ja) ゲートウェイ、中継方法及びプログラム
JP2005521329A (ja) オートコンフィギュレーション構成を有する情報ルーティングデバイス
JP4253569B2 (ja) 接続制御システム、接続制御装置、及び接続管理装置
US7570647B2 (en) LAN type internet access network and subscriber line accommodation method for use in the same network
JP2008010934A (ja) ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体
JP2010239591A (ja) ネットワークシステム、中継装置、およびネットワーク制御方法
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP2006109152A (ja) ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
KR100566837B1 (ko) 지능형 네트워크 접속 장치 및 네트워크 접속 방법
JP5054666B2 (ja) Vpn接続装置、パケット制御方法、及びプログラム
JP4608466B2 (ja) 通信システムおよび通信方法
CN116436731B (zh) 一种多内网二层数据流通信方法
US6983332B1 (en) Port-bundle host-key mechanism
JP5084716B2 (ja) Vpn接続装置、dnsパケット制御方法、及びプログラム
CN104518937B (zh) 虚拟局域网vlan多设备间通信的方法及装置