JP2008131531A - リモートアクセス制御装置およびリモートアクセス制御プログラム - Google Patents

リモートアクセス制御装置およびリモートアクセス制御プログラム Download PDF

Info

Publication number
JP2008131531A
JP2008131531A JP2006316569A JP2006316569A JP2008131531A JP 2008131531 A JP2008131531 A JP 2008131531A JP 2006316569 A JP2006316569 A JP 2006316569A JP 2006316569 A JP2006316569 A JP 2006316569A JP 2008131531 A JP2008131531 A JP 2008131531A
Authority
JP
Japan
Prior art keywords
address
logical address
physical address
terminal
physical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006316569A
Other languages
English (en)
Inventor
Toshimitsu Matsuura
利光 松浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC AccessTechnica Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC AccessTechnica Ltd filed Critical NEC AccessTechnica Ltd
Priority to JP2006316569A priority Critical patent/JP2008131531A/ja
Publication of JP2008131531A publication Critical patent/JP2008131531A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】自己のネットワークに属する端末から他のネットワークに属する端末の特定の論理アドレスに対応する物理アドレスの取得の要求があったとき、パケットの転送を抑制しつつこの要求を達成させるリモートアクセス制御装置およびリモートアクセス制御装置を得る。
【解決手段】仮想プライベートネットワーク装置301は、LAN内端末3041〜304nと同一のLAN303に属しており、WAN回線306を介してリモートクライアント307と接続される。仮想プライベートネットワーク装置301は、内部にリモートクライアント307等の端末の論理アドレスと物理アドレスの対を他のネットワークのパケットを受信した際に登録する。LAN内端末3041〜304nが近隣探索要求パケットを送出しようとすると、仮想プライベートネットワーク装置301がこの登録内容を調べて代理で物理アドレスを返信したり、無効なパケットは廃棄処理を行う。
【選択図】図1

Description

本発明は、リモートアクセスクライアントにとって不要なマルチキャストやブロードキャストパケットの転送を抑制するためのリモートアクセス制御装置に関する。
リモートアクセスとは、遠隔地からリモートアクセスクライアント(以下、リモートクライアントという。)がインターネット等の通信網を利用して特定のLAN(Local Area Networ)端末に接続することをいう。これにより、LAN上に存在する情報資源を活用することができる。
専用線を用いずにインターネットや公衆回線網といった通信網を利用してリモートアクセスを行うと、経済的な通信システムを構築することができる。しかしながら、この半面で、盗聴や改ざん等のセキュリティ上の問題が生じることになる。そこで、暗号化や認証、ヘッダ交換のような技術を用いることで、特定のユーザのみがこれらの通信網を使用してアクセスできるようにする仮想プライベートネットワーク(VPN;Virtual Private Network)という仮想専用線を用いる技術が実現している。これにより、インターネットや公衆回線網を使っても、専用線を用いる場合と同様のセキュリティを保つことができる。
仮想プライベートネットワークを構築するために、特定のユーザしか認識できない仮想の通信路を設けて通信することをトンネリングと呼んでいる。トンネリングでは、通信の対象となるデータパケットをカプセル化することで、第三者がその内容を判別できないようにしている。
図7は、従来から存在するネットワークの一例についてその構成を簡単に示したものである。LANケーブル101には、第1〜第nのLAN内端末1021〜102nの他に、仮想プライベートネットワークを実現するための仮想プライベートネットワーク装置103が接続されている。仮想プライベートネットワーク装置103は、WAN(Wide Area Network)回線104と呼ばれる広域ネットワークを介してリモートクライアント105と接続されるようになっている。
図8は、図7に示したLAN内端末がARP要求を行う場合のリモートクライアントとの処理手順を説明するためのものである。LAN内端末102は、たとえば時刻t1に仮想プライベートネットワーク装置103に対して、ARP(Address Resolution Protocol)要求パケットを送信する(ステップS201)。ここでARP要求パケットとは、IPv4において、IPアドレスに対応する近隣ノードのMACアドレスを調べるためのアドレス解決のためのパケットをいう。仮想プライベートネットワーク装置103(VPN)は、受信したARP要求パケットをVPNトンネルを経由して、IPv4(Internet Protocol version 4)アドレスの該当するリモートクライアント105に送信する(ステップS202)。図ではリモートクライアント105が1つ示されているが、図7に示したWAN回線104に接続されたすべてのリモートクライアント105にARP要求パケットが送信される。
リモートクライアント105は自己のIPv4アドレスを宛先とするARP要求パケットを受信した場合、VPNトンネルを経由して仮想プライベートネットワーク装置103に自己のMAC(Media Access Control)アドレスを記したARP応答パケットを返信する(ステップS203)。仮想プライベートネットワーク装置103は、リモートクライアント105から受信したVPNパケットをARP応答パケットにしてLAN内端末102に送信する(ステップS204)。このように、要求したIPv4がリモートクライアント105と一致した場合には、そのリモートクライアント105の物理アドレスとしてのMACアドレスをLAN内端末102が取得する。
これに対して、たとえば他の時刻t2にLAN内端末102がARP要求パケットを送信し(ステップS205)、仮想プライベートネットワーク装置103がこれをリモートクライアント105側に送出したとする(ステップS206)。この場合に、図1に示すWAN回線104に接続されたすべてのリモートクライアント105の論理アドレスとしてのIPアドレスがARP要求パケットで示されたIPアドレスと一致しなかった場合、これらのリモートクライアント105はこの要求に対して応答しない(無応答)。したがって、この場合には、仮想プライベートネットワーク装置103がVPNトンネルを経由してリモートクライアント105に送出したARP要求パケットは、応答がなかったという意味で無駄な処理となる。また、無駄なARP要求パケットの転送は、リモートアクセス経路の帯域を実質的に狭めるという不都合を生じさせる。
そこで、ネットワーク内にアドレス解決装置を適宜の数だけ配置して、アドレス解決要求メッセージをこれに転送し、そこで処理するようにして、ネットワーク内の不必要なブロードキャストパケットを減らすことが第1の提案として提案されている(たとえば特許文献1参照)。この第1の提案では、アドレス解決装置内に各端末の論理アドレスと物理アドレスを対応付けたアドレス解決メモリ部が用意されており、アドレス解決要求メッセージが送られてくると、要求された端末の論理アドレスをキーとして物理アドレスを検索する。そして、該当する物理アドレスが存在する場合にはアドレス解決要求メッセージの送信元にこれを返答するようになっている。該当する物理アドレスがアドレス解決メモリ部に存在しなかった場合には、アドレス解決要求メッセージをそのまま通過させて次のアドレス解決装置に渡すことになる。
また、フレーム中継を行うスイッチングハブ内に代理ARPサーバを設けることが第2の提案として提案されている(たとえば特許文献2参照)。この第2の提案では、代理ARPサーバが、フレームの送信元MACアドレスと送信元ネットワークアドレスとを学習して登録するようにしており、ネットワークアドレスに対応しているエントリが存在している場合には、ARP応答フレームを組み立てて受信ポートから代理で応答するようにして、ARPフレームのブロードキャストをなくし、ブロードキャストのトラフィックを最小限に抑えるようにしている。
特開平09−008817号公報(第0032段落〜第0039段落、図5) 特開平09−064900号公報(第0005段落、第0008段落〜第0013段落、図1)
このうち第1の提案では、アドレス解決メモリ部が限定された既存の端末についての論理アドレスと物理アドレスを対応付けた手段として用意されている。したがって、このアドレス解決メモリ部に存在しない端末あるいはアドレス解決メモリ部を作成した後にネットワークに加わった端末についてアドレス解決要求メッセージが出された場合には、これに対応することができない。
そこで、第2の提案では、スイッチングハブ内にARPサーバモジュールとインターフェースモジュールを配置している。スイッチングハブは受信したブロードキャストフレームがARPフレームであるかどうかをチェックする。ARPフレームではない場合には、このフレームをそのままインターフェースモジュールに渡して、全てのポートにブロードキャストするようになっている。
また、ARPフレームの場合、ARPサーバモジュールは、このフレームの送信元MACアドレスと送信元ネットワークアドレスを学習して、そのMACアドレスに対応しているフィルタリングデータベースのエントリに追加するようにしている。このように、フィルタリングデータベースはARPフレームを対象としている。したがって、たとえば図7に示したようなLANに接続された仮想プライベートネットワーク装置103を考えてみると、このフィルタリングデータベースには第1〜第nのLAN内端末1021〜102nの論理アドレスであるIPアドレスと物理アドレスであるMACアドレスの対が登録されるだけとなる。
ところが、第1〜第nのLAN内端末1021〜102nは同一のLANに属しているので、このLAN内のIPアドレスとMACアドレスの関係をフィルタリングデータベースとして登録しても、外部のアドレス解決には役立たない。更に、これら第1および第2の提案では、ARP要求に関する技術なので、IPv6(Internet Protocol version 6)に関する外部のアドレス解決には役立たないという問題がある。
そこで本発明の目的は、自己のネットワークに属する端末から他のネットワークに属する端末の特定の論理アドレスに対応する物理アドレスの取得の要求があったとき、パケットの転送を抑制しつつこの要求を達成させることのできるリモートアクセス制御装置およびリモートアクセス制御装置を提供することにある。
請求項1記載の発明では、(イ)自己のネットワークに属する任意の端末から特定の論理アドレスを有する端末に対してその端末の物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信手段と、(ロ)前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出手段と、(ハ)この論理アドレス・物理アドレス抽出手段で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録手段と、(ニ)物理アドレス返信要求受信手段が物理アドレス返信要求を受信したとき前記した特定の論理アドレスの端末のその論理アドレスが論理アドレス・物理アドレス登録手段に登録されているかどうかを判別する論理アドレス検索手段と、(ホ)この論理アドレス検索手段によって前記した特定の論理アドレスの端末のその論理アドレスが登録されていると判別されたとき、前記した任意の端末から受信した物理アドレス返信要求を前記した他のネットワークに送信することなく、前記した特定の論理アドレスの端末の代わりにその論理アドレスに対応する物理アドレスを前記した任意の端末に応答する代理応答手段とをリモートアクセス制御装置に具備させる。
すなわち本発明では、リモートアクセス制御装置が自己のネットワークに属する任意の端末から特定の論理アドレスを有する端末に対してその端末の物理アドレスの返信を要求する物理アドレス返信要求を受信して、論理アドレス・物理アドレス登録手段によって登録された一覧からその特定の論理アドレスを検索して一致するものがあった場合にはその論理アドレスに対応する物理アドレスを前記した任意の端末に代理で応答することにしている。ここで論理アドレス・物理アドレス登録手段によって登録された一覧は、論理アドレス・物理アドレス抽出手段が前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出したものなので、前記した他のネットワークに関する情報が豊富であり、代理応答の実効性を高めることができ、無駄なパケットの送出を抑制することができる。
請求項2記載の発明では、(イ)自己のネットワークに属する任意の端末から特定の論理アドレスの端末に対してその物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信手段と、(ロ)前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出手段と、(ハ)この論理アドレス・物理アドレス抽出手段で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録手段と、(ニ)物理アドレス返信要求受信手段が物理アドレス返信要求を受信したとき前記した特定の論理アドレスの端末のその論理アドレスが論理アドレス・物理アドレス登録手段に登録されているかどうかを判別する論理アドレス検索手段と、(ホ)この論理アドレス検索手段によって前記した特定の論理アドレスの端末のその論理アドレスが登録されていないと判別されたとき、前記した任意の端末から受信した物理アドレス返信要求を前記した他のネットワークに送信することなく破棄する物理アドレス返信要求破棄手段とをリモートアクセス制御装置に具備させる。
すなわち本発明では、リモートアクセス制御装置が自己のネットワークに属する任意の端末から特定の論理アドレスを有する端末に対してその端末の物理アドレスの返信を要求する物理アドレス返信要求を受信して、論理アドレス・物理アドレス登録手段によって登録された一覧からその特定の論理アドレスを検索して一致するものがなかった場合には、物理アドレス返信要求を前記した他のネットワークに送信することなく破棄することにしている。ここで論理アドレス・物理アドレス登録手段によって登録された一覧は、論理アドレス・物理アドレス抽出手段が前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出したものなので、前記した他のネットワークに関する情報が豊富であり、無駄なパケットの送出を抑制することができる。
請求項3記載の発明では、(イ)自己のネットワークに属する任意の端末から特定の論理アドレスの端末に対してその物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信手段と、(ロ)前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出手段と、(ハ)この論理アドレス・物理アドレス抽出手段で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録手段と、(ニ)物理アドレス返信要求受信手段が物理アドレス返信要求を受信したとき前記した特定の論理アドレスの端末のその論理アドレスが論理アドレス・物理アドレス登録手段に登録されているかどうかを判別する論理アドレス検索手段と、(ホ)この論理アドレス検索手段によって前記した特定の論理アドレスの端末のその論理アドレスが登録されていると判別されたとき、前記した任意の端末から受信した物理アドレス返信要求を前記した他のネットワークに送信することなく、前記した特定の論理アドレスの端末の代わりにその論理アドレスに対応する物理アドレスを前記した任意の端末に応答する代理応答手段と、(へ)論理アドレス検索手段によって前記した特定の論理アドレスの端末のその論理アドレスが登録されていないと判別されたとき、前記した任意の端末から受信した物理アドレス返信要求を前記した他のネットワークに送信することなく破棄する物理アドレス返信要求破棄手段とをリモートアクセス制御装置に具備させる。
すなわち本発明では、リモートアクセス制御装置が自己のネットワークに属する任意の端末から特定の論理アドレスを有する端末に対してその端末の物理アドレスの返信を要求する物理アドレス返信要求を受信して、論理アドレス・物理アドレス登録手段によって登録された一覧からその特定の論理アドレスを検索して一致するものがあった場合にはその論理アドレスに対応する物理アドレスを前記した任意の端末に代理で応答することにしている。また、論理アドレス・物理アドレス登録手段によって登録された一覧からその特定の論理アドレスを検索して一致するものがなかった場合には、物理アドレス返信要求を前記した他のネットワークに送信することなく破棄することにしている。ここで論理アドレス・物理アドレス登録手段によって登録された一覧は、論理アドレス・物理アドレス抽出手段が前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出したものなので、前記した他のネットワークに関する情報が豊富であり、無駄なパケットの送出を抑制することができる。
請求項7記載の発明では、自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、リモートアクセス制御プログラムとして、(イ)自己のネットワークに属する任意の端末から特定の論理アドレスを有する端末に対してその端末の物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信処理と、(ロ)前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出処理と、(ハ)この論理アドレス・物理アドレス抽出処理で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録処理と、(ニ)物理アドレス返信要求受信処理で物理アドレス返信要求を受信したとき前記した特定の論理アドレスの端末のその論理アドレスが論理アドレス・物理アドレス登録処理で登録されているかどうかを判別する論理アドレス検索処理と、(ホ)この論理アドレス検索処理によって前記した特定の論理アドレスの端末のその論理アドレスが登録されていると判別されたとき、前記した任意の端末から受信した物理アドレス返信要求を前記した他のネットワークに送信することなく、前記した特定の論理アドレスの端末の代わりにその論理アドレスに対応する物理アドレスを前記した任意の端末に応答する代理応答処理とを実行することを特徴としている。
すなわち本発明では、自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、請求項1記載の発明の各手段をリモートアクセス制御プログラムで実現している。
請求項8記載の発明では、自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、リモートアクセス制御プログラムとして、(イ)自己のネットワークに属する任意の端末から特定の論理アドレスの端末に対してその物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信処理と、(ロ)前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出処理と、(ハ)この論理アドレス・物理アドレス抽出処理で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録処理と、(ニ)物理アドレス返信要求受信処理で物理アドレス返信要求を受信したとき前記した特定の論理アドレスの端末のその論理アドレスが論理アドレス・物理アドレス登録処理で登録されているかどうかを判別する論理アドレス検索処理と、(ホ)この論理アドレス検索処理によって前記した特定の論理アドレスの端末のその論理アドレスが登録されていないと判別されたとき、前記した任意の端末から受信した物理アドレス返信要求を前記した他のネットワークに送信することなく破棄する物理アドレス返信要求破棄処理とを実行することを特徴としている。
すなわち本発明では、自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、請求項2記載の発明の各手段をリモートアクセス制御プログラムで実現している。
請求項9記載の発明では、自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、リモートアクセス制御プログラムとして、(イ)自己のネットワークに属する任意の端末から特定の論理アドレスの端末に対してその物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信処理と、(ロ)前記した他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出処理と、(ハ)この論理アドレス・物理アドレス抽出手段で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録手段と、(ニ)物理アドレス返信要求受信処理で物理アドレス返信要求を受信したとき前記した特定の論理アドレスの端末のその論理アドレスが論理アドレス・物理アドレス登録手段に登録されているかどうかを判別する論理アドレス検索処理と、(ホ)この論理アドレス検索処理によって前記した特定の論理アドレスの端末のその論理アドレスが登録されていると判別されたとき、前記した任意の端末から受信した物理アドレス返信要求を前記した他のネットワークに送信することなく、前記した特定の論理アドレスの端末の代わりにその論理アドレスに対応する物理アドレスを前記した任意の端末に応答する代理応答処理と、(へ)論理アドレス検索処理によって前記した特定の論理アドレスの端末のその論理アドレスが登録されていないと判別されたとき、前記した任意の端末から受信した物理アドレス返信要求を前記した他のネットワークに送信することなく破棄する物理アドレス返信要求破棄処理とを実行することを特徴としている。
すなわち本発明では、自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、請求項3記載の発明の各手段をリモートアクセス制御プログラムで実現している。
以上説明したように本発明によれば、自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置が、自己のネットワーク内の端末が他のネットワークに対して行う物理アドレス取得のための要求に対して、前記した他のネットワークから送られてきたパケットを分析して得られた結果を用いて代理で応答したり、廃棄(無応答)を行うことにしたので、前記した他のネットワークに対するパケットの転送を軽減することができるだけでなく、応答あるいは対処に要する時間を短縮することができる。特に、リモートアクセス制御装置が仮想プライベートネットワーク装置の場合には、リモートアクセスを行うリモートクライアントは各VPNごとに1台であるので、帯域の狭い環境で不要なARPパケットあるいは近隣探索パケットの転送を抑制することができるという実用上で大きな効果がある。
以下実施例につき本発明を詳細に説明する。
図1は、本発明の一実施例におけるリモートアクセス制御装置としての仮想プライベートネットワーク装置を使用した通信システムの概要を表わしたものである。この通信システム300で、仮想プライベートネットワーク装置301は、LANケーブル302を介して同一のLAN303を構成する第1〜第nのLAN内端末3041〜304nと接続されている。また、仮想プライベートネットワーク装置301は、WAN回線306を介してリモートクライアント307と接続されている。
このような通信システム300で、たとえばLAN303に属する第1のLAN内端末3041は、WAN回線306を経由してリモートクライアント307にL2(Layer2)パケットを送信することができる。また、リモートクライアント307は、WAN回線306を経由して仮想プライベートネットワーク装置301と接続し、第1〜第nのLAN内端末3041〜304nのいずれに対してもL2パケットを送信することができる。本実施例の通信システム300は、リモートクライアント307へパケットの転送を行う場合に、仮想プライベートネットワーク装置301が不要なパケットの転送の抑制を行う仕組みを持っている。これについては、後に詳細を説明する。
図2は、本実施例の仮想プライベートネットワーク装置の構成を表わしたものである。仮想プライベートネットワーク装置301は、LANケーブル302と接続されたLAN側L2受信部311と、LAN側L2送信部312を備えている。LAN側L2受信部311は、マルチキャストパケットの監視を行うマルチキャスト監視部313に接続されている。LAN側L2受信部311は、図1に示したLAN303内のL2パケットを受信して、これをマルチキャスト監視部313に受け渡すようになっている。
マルチキャスト監視部313は、ND(Neighbor Discovery)要求検出処理部314およびVPNトンネル処理部315と接続されている。マルチキャスト監視部313は、LAN側L2受信部311の受信したL2パケットがマルチキャストパケットであるかを監視し、マルチキャストパケットである場合にはこれをND要求検出処理部314に渡すようになっている。また、受信したL2パケットがマルチキャストパケットでない場合、これをVPNトンネル処理部315に渡すことになる。
ND要求検出処理部314は、マルチキャスト監視部313およびVPNトンネル処理部315の他に、ND代理応答処理部316およびIPv6・MACテーブル317と接続されている。ここでND要求検出処理部314は、受信したマルチキャストパケットが近隣探索要求パケットであるかどうかの判定を行う。ここで近隣探索要求パケットとは、IPv6において、IPアドレスに対応する近隣ノードのMACアドレスを調べるためのパケットをいう。IPv6・MACテーブル317は、IPv6・MACテーブル管理部318により登録されたIPv6アドレスとMACアドレスの対応表を格納している。このIPv6・MACテーブル317は、ND要求検出処理部314における要求IPv6アドレスの対応関係の参照に使用されることで、無駄な近隣探索パケットをWAN回線306側に送出させないようにしている。
ND要求検出処理部314は、マルチキャストパケットが近隣探索要求パケットであった場合に、IPv6・MACテーブル317を検索して、このテーブル内に一致するIPv6アドレスがあるかどうかを判別する。一致するIPv6アドレスがあった場合には、図1に示したリモートクライアント307に代わってND代理応答処理部316に近隣探索応答を行うように指示するようになっている。ND代理応答処理部316はND要求検出処理部314の他にLAN側L2送信部312に接続されている。ND代理応答処理部316は、ND要求検出処理部314からの近隣探索応答の指示に基づいてリモートクライアント307に代わって応答処理を行い、LAN側L2送信部312から代理した近隣探索応答をLANケーブル302に送出する。
一方、ND要求検出処理部314はIPv6・MACテーブル317を検索しても、一致するIPv6アドレスがなかった場合、無応答になるべき近隣探索要求パケットを受信したことになる。そこで、その近隣探索要求パケットを廃棄する。また、ND要求検出処理部314は、マルチキャストパケットが近隣探索要求パケットでなかった場合、処理の対象外なので、これをVPNトンネル処理部315に渡すことになる。
VPNトンネル処理部315は、マルチキャスト監視部313およびND要求検出処理部314の他に、TCPプロトコルを送受信するTCP(Transmission Control Protocol)処理部319およびIPv6・MAC抽出処理部321と接続されている。VPNトンネル処理部315は、LAN側L2受信部311が受信してマルチキャスト監視部313がマルチキャストパケットでないと判別したL2パケットをVPNパケットとしてカプセル化する。そして、TCP処理部319から、このTCP処理部319に接続されてIPプロトコルを送受信するIP処理322を経由して、WAN側L2送受信部323にこのカプセル化したVPNパケットを送出する。WAN側L2送受信部323はこのVPNパケットをWAN回線306に向けて送信することになる。
一方、WAN側L2送受信部323がWAN回線306から受信したカプセル化されたVPNパケットは、IP処理322およびTCP処理部319を経てVPNトンネル処理部315に送られる。VPNトンネル処理部315は、送られてきたVPNパケットのカプセル化解除を行う。そして、これにより得られたL2パケットをIPv6・MAC抽出処理部321に渡すことになる。
IPv6・MAC抽出処理部321は、LAN側L2送信部312およびVPNトンネル処理部315の他に、IPv6・MACテーブル管理部318とも接続されている。IPv6・MAC抽出処理部321は、VPNトンネル処理部315から受信したL2パケットを解析して、始点IPv6アドレスと始点MACアドレスの組をIPv6・MACテーブル管理部318に登録要求する(既登録の場合にはこの処理は不要)。そして、未登録の場合にその登録が行われた後、既登録の場合にはそのまま、このL2パケットをLAN側L2送信部312に送信する。LAN側L2送信部312は、このL2パケットをLANケーブル302側に送出することになる。
図3は、図2に示した仮想プライベートネットワーク装置によるIPv6・MACテーブルの登録処理の様子を示したものである。図2に示した仮想プライベートネットワーク装置301は、図1に示すように、LANケーブル302を介して同一のLAN303を構成する第1〜第nのLAN内端末3041〜304nと接続されている。また、仮想プライベートネットワーク装置301内の図示しないCPUは、同じく図示しない記憶媒体に格納された制御プログラムを実行することで、図示しない不揮発性メモリで構成されたIPv6・MACテーブル317(図2)に対する登録処理を行うようになっている。図2と共に説明を行う。
前記したCPUはWAN側L2送受信部323がWAN回線306からVPNパケットを受信するのを待機している(ステップS401)。VPNパケットを受信すると(Y)、WAN側L2送受信部323はこのカプセル化されたVPNパケットをVPNトンネル処理部315に送って、VPNトンネルを解除させる(ステップS402)。IPv6・MAC抽出処理部321は、送られてきたIPv6パケットの解析を行う(ステップS403)。そして、解析したパケットの始点IPv6アドレスと始点MACアドレスの組がIPv6・MACテーブル317に登録されているか否かを判別する(ステップS404)。
解析したパケットの始点IPv6アドレスと始点MACアドレスの組がIPv6・MACテーブル317に登録されていない場合には(N)、IPv6・MACテーブル管理部318に登録要求を行って、始点IPv6アドレスと始点MACアドレスの組をIPv6・MACテーブル317に登録させる(ステップS405)。この後、LAN側L2送信部312によってL2パケットの送信処理が行われる(ステップS406)。
一方、ステップS404で、解析したパケットの始点IPv6アドレスと始点MACアドレスの組がIPv6・MACテーブル317に登録されていると判別された場合には(Y)、IPv6・MACテーブル317へこれを登録する必要がない。そこで、この場合にはステップS405の登録処理を行うことなく、そのL2パケットはLAN側L2送信部312に送られて、LANケーブル302側に送出されることになる(ステップS406)。
一方、図4は、LAN側から仮想プライベートネットワーク装置にL2パケットが受信された場合の処理の様子を表わしたものである。この処理も、仮想プライベートネットワーク装置301のCPUが前記した制御プログラムを実行することによって実現する。図2と共に説明する。
仮想プライベートネットワーク装置301内のLAN側L2受信部311はL2パケットが受信されるのを待機している(ステップS421)。L2パケットが受信されたら(Y)、マルチキャスト監視部313は、受信したL2パケットがマルチキャストパケットであるかを判別する(ステップS422)。この結果、マルチキャストパケットでない場合(N)、これは近隣探索要求パケットではない。そこで、マルチキャスト監視部313はこれをVPNトンネル処理部315に渡してVPNトンネル処理が行われる(ステップS423)。そして、VPNトンネル処理部315でL2パケットをVPNパケットとしてカプセル化した後、TCP処理部319とIP処理部322を経由して、WAN側L2送受信部323からVPNパケットがWAN回線306に向けて送信される(ステップS424)。
一方、ステップS422でマルチキャストパケットであると判別された場合(Y)、マルチキャスト監視部313はL2パケットをND要求検出処理部314に渡して近隣探索要求パケットであるかどうかの解析を行わせる(ステップS425)。この結果、近隣探索要求パケット(ND)でない場合(ステップS426:N)、そのマルチキャストパケットはVPNトンネル処理部315に渡されてVPNトンネル処理が行われることになる(ステップS423)。このマルチキャストパケットは、前記したようにWAN側L2送受信部323からWAN回線306に向けて送信される(ステップS424)。
ステップS426で近隣探索要求パケットであると判別された場合(Y)、ND要求検出処理部314はそのL2パケットから要求しているIPv6アドレスを抽出する(ステップS427)。そして、この抽出したIPv6アドレスを基にしてND要求検出処理部314はIPv6・MACテーブル317を検索し、一致するIPv6アドレスが存在するかどうかを判別する(ステップS428)。
IPv6・MACテーブル317に一致するIPv6アドレスが存在した場合(Y)、ND要求検出処理部314は検索結果のMACアドレスと共にL2パケットをND代理応答処理部316に渡して近隣探索応答の代理送信のための処理を行わせる(ステップS429)。ND代理応答処理部316は、リモートクライアント307(図1)に代わって応答処理を行い、LAN側L2送信部312から代理した近隣探索応答をLANケーブル302を使用して送信する(ステップS430)。
一方、ステップS428でIPv6・MACテーブル317に対応するIPv6アドレスが存在しなかった場合(N)、LAN側L2受信部311が無応答になるべき近隣探索要求パケットを受信したことになる。そこで、ND要求検出処理部314はその近隣探索要求パケットを廃棄することになる(ステップS431)。
図5は、IPv6における本実施例の通信システムの処理手順を表わしたものである。任意のリモートクライアント307はLAN内端末304と通信を行うとき、これら任意のIPv6パケット351をVPNトンネルで仮想プライベートネットワーク(VPN)装置301まで通信している。仮想プライベートネットワーク装置301は、カプセル化を解除したL2パケット352をLAN内端末304に送信している。
そこで、仮想プライベートネットワーク装置301は、任意のリモートクライアント307からIPv6パケット351を受信するたびに図2に示したIPv6・MAC抽出処理部321が始点IPv6アドレスと始点MACアドレスの組をIPv6・MACテーブル管理部318に与えて、IPv6・MACテーブル317に登録させる。これにより、IPv6・MACテーブル317には近隣に存在するリモートクライアント307のIPv6アドレスとMACアドレスの対が登録されることになる。
したがって、たとえば時刻t1にLAN内端末304のいずれかが近隣探索要求361をマルチキャストで送出すると、仮想プライベートネットワーク装置301はこのL2パケットがLAN303(図1参照)から送り出される前の段階で送出先のネットワークに対応したIPv6・MACテーブル317を調べることになる。この結果として、該当するIPv6がIPv6・MACテーブル317に存在した場合には、図2に示すND代理応答処理部316がリモートクライアント307の代理応答処理362を行って、近隣探索応答363を、近隣探索要求361の要求先のLAN内端末304に送出する。この結果、無駄な近隣探索パケットがVPNトンネルに送出されることが抑制される。
また、たとえば時刻t2にLAN内端末304のいずれかが近隣探索要求364をマルチキャストで送出したところ、その送出先のネットワークに該当するIPアドレスのリモートクライアント307が存在しなかったものとする。このような場合、仮想プライベートネットワーク装置301は、送出先のネットワークに対応したIPv6・MACテーブル317に一致するIPアドレスが存在しないので、近隣探索要求364を送出先のネットワークに送出することなく、廃棄することができる。したがって、無駄な近隣探索パケットがVPNトンネルに送出されることが、フィルタリング365によって、同様に抑制されることになる。
以上説明したように本実施例の通信システム300(図1)によれば、リモートアクセスクライアント307にとって対象外の不要な近隣探索パケットの転送を抑制することになり、LAN303内に比べて帯域の狭いリモートアクセス経路の有効活用を行うことができる。しかも、IPv6・MACテーブル317には自動的に登録するので、この登録処理のために特別にパケットをリモートアクセスクライアント307に送出することがなく、この意味でも不要な近隣探索パケットの転送を抑制する効果がある。
また、IPv6アドレスとMACアドレスの関連性を仮想プライベートネットワーク装置301に登録して、一致するものがあれば、近隣探索要求に対しての代理応答を行うようにしているので、リモートクライアントの近隣探索要求パケットであっても転送抑制を行うことができる。
<発明の変形例>
図6は、本発明の変形例としてIPv4に対応した仮想プライベートネットワーク装置の構成を表わしたものである。図6で図2と同一部分には同一の符号を付しており、これらの説明を適宜省略する。また、図1に示した通信システム300は、この変形例では通信システム300Aと置き換えるものとする。
この変形例の通信システム300Aで、仮想プライベートネットワーク装置301Aは、LANケーブル302と接続されたLAN側L2受信部311と、LAN側L2送信部312を備えている。LAN側L2受信部311は、ブロードキャストパケットの監視を行うブロードキャスト監視部313Aに接続されている。LAN側L2受信部311は、図1に示したLAN303内のL2パケットデータを受信して、これをブロードキャスト監視部313Aに受け渡すようになっている。
ブロードキャスト監視部313Aは、ARP要求検出処理部314AおよびVPNトンネル処理部315と接続されている。ブロードキャスト監視部313Aは、LAN側L2受信部311の受信したL2パケットがブロードキャストパケットであるかを監視し、ブロードキャストパケットである場合にはこれをARP要求検出処理部314Aに渡すようになっている。また、受信したL2パケットがブロードキャストパケットでない場合、これをVPNトンネル処理部315に渡すことになる。
ARP要求検出処理部314Aは、ブロードキャスト監視部313AおよびVPNトンネル処理部315の他に、ARP代理応答処理部316AおよびIPv4・MACテーブル317Aと接続されている。ここでARP要求検出処理部314Aは、受信したブロードキャストパケットがARP要求パケットであるかどうかの判定を行う。IPv4・MACテーブル317Aは、IPv4・MACテーブル管理部318Aにより登録されたIPv4アドレスとMACアドレスの対応表を格納している。このIPv4・MACテーブル317Aは、ARP要求検出処理部314Aにおける要求IPv4アドレスの対応関係の参照に使用されることで、無駄なARP要求パケットをWAN回線306側に送出させないようにしている。
ARP要求検出処理部314Aは、ブロードキャストパケットがARP要求パケットであった場合に、IPv4・MACテーブル317Aを検索して、このテーブル内に一致するIPv4アドレスがあるかどうかを判別する。一致するIPv4アドレスがあった場合には、図1に示したリモートクライアント307に代わってARP代理応答処理部316AにARP応答を行うように指示するようになっている。ARP代理応答処理部316AはARP要求検出処理部314Aの他にLAN側L2送信部312に接続されている。ARP代理応答処理部316Aは、ARP要求検出処理部314AからのARP代理応答の指示に基づいてリモートクライアント307に代わって応答処理を行い、LAN側L2送信部312から代理したARP代理応答をLANケーブル302に送出する。
一方、ARP要求検出処理部314AはIPv4・MACテーブル317Aを検索しても、一致するIPv4アドレスがなかった場合、無応答になるべきARP要求パケットを受信したことになる。そこで、そのARP要求パケットを廃棄する。また、ARP要求検出処理部314Aは、ブロードキャストパケットがARP要求パケットでなかった場合、処理の対象外なので、これをVPNトンネル処理部315に渡すことになる。
VPNトンネル処理部315は、ブロードキャスト監視部313AおよびARP要求検出処理部314Aの他に、TCPプロトコルを送受信するTCP処理部319およびIPv4・MAC抽出処理部321Aと接続されている。VPNトンネル処理部315は、LAN側L2受信部311が受信してブロードキャスト監視部313Aがブロードキャストパケットでないと判別したL2パケットをVPNパケットとしてカプセル化する。そして、TCP処理部319から、このTCP処理部319に接続されてIPプロトコルを送受信するIP処理322を経由して、WAN側L2送受信部323にこのカプセル化したVPNパケットを送出する。WAN側L2送受信部323はこのVPNパケットをWAN回線306に向けて送信することになる。
一方、WAN側L2送受信部323がWAN回線306から受信したカプセル化されたVPNパケットは、IP処理322およびTCP処理部319を経てVPNトンネル処理部315に送られる。VPNトンネル処理部315は、送られてきたVPNパケットのカプセル化解除を行う。そして、これにより得られたL2パケットをIPv4・MAC抽出処理部321Aに渡すことになる。
IPv4・MAC抽出処理部321Aは、LAN側L2送信部312およびVPNトンネル処理部315の他に、IPv4・MACテーブル管理部318Aとも接続されている。IPv4・MAC抽出処理部321Aは、VPNトンネル処理部315から受信したL2パケットを解析して、始点IPv4アドレスと始点MACアドレスの組をIPv4・MACテーブル管理部318Aに登録要求する(既登録の場合にはこの処理は不要)。そして、未登録の場合にその登録が行われた後、既登録の場合にはそのまま、このL2パケットをLAN側L2送信部312に送信する。LAN側L2送信部312は、このL2パケットをLANケーブル302側に送出することになる。
このように変形例の通信システム300Aでは、IPv4におけるブロードキャストパケットに関してL2パケットの転送抑制をしているので、このようなL2パケットがVPNトンネルに送出されることを抑制して帯域の有効利用を図ることができる。
更に、実施例で説明したIPv6による近隣探索要求パケットと、変形例で説明したIPv4によるARP要求パケットの双方に対応する通信システムを構成することも可能である。これにより、LANからL2パケットがVPNトンネルに送出されることを更に抑制して帯域の有効利用を一段と図ることができる。
なお、実施例ではIPv6・MACテーブル317に対応するIPアドレスが存在しない場合にはその近隣探索要求パケットを廃棄したが、廃棄用IPアドレス対応表を用意するようにしてもよい。この場合、近隣探索要求パケットを受信した仮想プライベートネットワーク装置301は、IPv6・MACテーブル317に対応しないIPアドレスがあった場合で廃棄用IPアドレス対応表にそのIPアドレスが登録されていない場合には、これを廃棄用IPアドレス対応表に登録して、その近隣探索要求パケットをWAN側L2送受信部323からWAN回線306に送出する。そして、近隣探索要求パケットに対応する近隣探索応答が返ってきた場合にはIPv6・MACテーブル317にIPアドレスとMACアドレスの対を登録する。近隣探索要求パケットに対応する近隣探索応答が返ってこなかった場合には、廃棄用IPアドレス対応表におけるそのIPアドレスは削除しない。
また、IPv6・MACテーブル317に近隣探索要求パケットに示されるIPアドレスが存在せず、かつIPアドレス廃棄用IPアドレス対応表にこのIPアドレスが登録されている場合には、その近隣探索要求パケットを廃棄する。
これにより、IPv6・MACテーブル317に登録されていない新規のリモートアクセスクライアント307が登場した場合には、廃棄用IPアドレス対応表が未登録なので、近隣探索要求パケットが仮想プライベートネットワーク装置301から送信されることになる。このような未登録のリモートアクセスクライアント307がネットワーク上に存在しない場合には、同一のIPアドレスに対する2度目以降の近隣探索要求パケットは廃棄用IPアドレス対応表によって廃棄されるので、VPNトンネルに送出されるL2パケットの抑制が可能になる。
このような廃棄用IPアドレス対応表は、ARP要求パケットに対しても同様に適用可能であることは当然である。また、実施例あるいは変形例では仮想プライベートネットワーク装置301、301Aがリモートアクセスクライアント307とWAN回線306を介して接続されたが、どのような通信手段を介して接続されてもよいことは当然である。
本発明の一実施例における仮想プライベートネットワーク装置を使用した通信システムの概要を表わしたシステム構成図である。 本実施例の仮想プライベートネットワーク装置の構成を表わしたブロック図である。 図2に示した仮想プライベートネットワーク装置によるIPv6・MACテーブルの登録処理の様子を示した流れ図である。 本実施例でLAN側から仮想プライベートネットワーク装置に2Lパケットが受信された場合の処理の様子を表わした流れ図である。 IPv6における本実施例の通信システムの処理手順を表わしたシーケンス説明図である。 本発明の変形例としてIPv4に対応した仮想プライベートネットワーク装置の構成を表わしたブロック図である。 従来から存在するネットワークの一例についてその構成を簡単に示したシステム構成図である。 図7に示したLAN内端末がARP要求を行う場合のリモートクライアントとの処理手順を示した説明図である。
符号の説明
300、300A 通信システム
301、301A 仮想プライベートネットワーク装置(リモートアクセス制御装置)
303 LAN
304 LAN内端末
306 WAN回線
307 リモートクライアント
311 LAN側L2受信部
312 LAN側L2送信部
313 マルチキャスト監視部
313A ブロードキャスト監視部
314 ND要求検出処理部
314A ARP要求検出処理部
315 VPNトンネル処理部
316 ND代理応答処理部
316A ARP代理応答処理部
317 IPv6・MACテーブル
317A IPv4・MACテーブル
318 IPv6・MACテーブル管理部
318A IPv4・MACテーブル管理部
321 IPv6・MAC抽出処理部
321A IPv4・MAC抽出処理部
323 WAN側L2送受信部

Claims (9)

  1. 自己のネットワークに属する任意の端末から特定の論理アドレスを有する端末に対してその端末の物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信手段と、
    前記他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出手段と、
    この論理アドレス・物理アドレス抽出手段で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録手段と、
    前記物理アドレス返信要求受信手段が前記物理アドレス返信要求を受信したとき前記特定の論理アドレスの端末のその論理アドレスが前記論理アドレス・物理アドレス登録手段に登録されているかどうかを判別する論理アドレス検索手段と、
    この論理アドレス検索手段によって前記特定の論理アドレスの端末のその論理アドレスが登録されていると判別されたとき、前記任意の端末から受信した前記物理アドレス返信要求を前記他のネットワークに送信することなく、前記特定の論理アドレスの端末の代わりにその論理アドレスに対応する物理アドレスを前記任意の端末に応答する代理応答手段
    とを具備することを特徴とするリモートアクセス制御装置。
  2. 自己のネットワークに属する任意の端末から特定の論理アドレスの端末に対してその物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信手段と、
    前記他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出手段と、
    この論理アドレス・物理アドレス抽出手段で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録手段と、
    前記物理アドレス返信要求受信手段が前記物理アドレス返信要求を受信したとき前記特定の論理アドレスの端末のその論理アドレスが前記論理アドレス・物理アドレス登録手段に登録されているかどうかを判別する論理アドレス検索手段と、
    この論理アドレス検索手段によって前記特定の論理アドレスの端末のその論理アドレスが登録されていないと判別されたとき、前記任意の端末から受信した前記物理アドレス返信要求を前記他のネットワークに送信することなく破棄する物理アドレス返信要求破棄手段
    とを具備することを特徴とするリモートアクセス制御装置。
  3. 自己のネットワークに属する任意の端末から特定の論理アドレスの端末に対してその物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信手段と、
    前記他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出手段と、
    この論理アドレス・物理アドレス抽出手段で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録手段と、
    前記物理アドレス返信要求受信手段が前記物理アドレス返信要求を受信したとき前記特定の論理アドレスの端末のその論理アドレスが前記論理アドレス・物理アドレス登録手段に登録されているかどうかを判別する論理アドレス検索手段と、
    この論理アドレス検索手段によって前記特定の論理アドレスの端末のその論理アドレスが登録されていると判別されたとき、前記任意の端末から受信した前記物理アドレス返信要求を前記他のネットワークに送信することなく、前記特定の論理アドレスの端末の代わりにその論理アドレスに対応する物理アドレスを前記任意の端末に応答する代理応答手段と、
    前記論理アドレス検索手段によって前記特定の論理アドレスの端末のその論理アドレスが登録されていないと判別されたとき、前記任意の端末から受信した前記物理アドレス返信要求を前記他のネットワークに送信することなく破棄する物理アドレス返信要求破棄手段
    とを具備することを特徴とするリモートアクセス制御装置。
  4. 前記物理アドレス返信要求は、IPv6において、論理アドレスに対応する物理アドレスを調べるための近隣探索要求パケットであることを特徴とする請求項1〜請求項3いずれかに記載のリモートアクセス制御装置。
  5. 前記物理アドレス返信要求は、IPv4において、論理アドレスに対応する物理アドレスを調べるためのARP要求パケットであることを特徴とする請求項1〜請求項3いずれかに記載のリモートアクセス制御装置。
  6. 前記物理アドレス返信要求破棄手段は、前記特定の論理アドレスの端末のその論理アドレスが前記論理アドレス・物理アドレス登録手段に登録されていないと最初に判別されたとき、前記物理アドレス返信要求を前記他のネットワークに送信することを許し、2度目以降の前記物理アドレス返信要求を破棄するものであることを特徴とする請求項2または請求項3記載のリモートアクセス制御装置。
  7. 自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、
    前記自己のネットワークに属する任意の端末から特定の論理アドレスを有する端末に対してその端末の物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信処理と、
    前記他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出処理と、
    この論理アドレス・物理アドレス抽出処理で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録処理と、
    前記物理アドレス返信要求受信処理で前記物理アドレス返信要求を受信したとき前記特定の論理アドレスの端末のその論理アドレスが前記論理アドレス・物理アドレス登録処理で登録されているかどうかを判別する論理アドレス検索処理と、
    この論理アドレス検索処理によって前記特定の論理アドレスの端末のその論理アドレスが登録されていると判別されたとき、前記任意の端末から受信した前記物理アドレス返信要求を前記他のネットワークに送信することなく、前記特定の論理アドレスの端末の代わりにその論理アドレスに対応する物理アドレスを前記任意の端末に応答する代理応答処理
    とを実行することを特徴とするリモートアクセス制御プログラム。
  8. 自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、
    前記自己のネットワークに属する任意の端末から特定の論理アドレスの端末に対してその物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信処理と、
    前記他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出処理と、
    この論理アドレス・物理アドレス抽出処理で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録処理と、
    前記物理アドレス返信要求受信処理で前記物理アドレス返信要求を受信したとき前記特定の論理アドレスの端末のその論理アドレスが前記論理アドレス・物理アドレス登録処理で登録されているかどうかを判別する論理アドレス検索処理と、
    この論理アドレス検索処理によって前記特定の論理アドレスの端末のその論理アドレスが登録されていないと判別されたとき、前記任意の端末から受信した前記物理アドレス返信要求を前記他のネットワークに送信することなく破棄する物理アドレス返信要求破棄処理
    とを実行することを特徴とするリモートアクセス制御プログラム。
  9. 自己のネットワークと共に他のネットワークに接続したリモートアクセス制御装置のコンピュータが、
    前記自己のネットワークに属する任意の端末から特定の論理アドレスの端末に対してその物理アドレスの返信を要求する物理アドレス返信要求を他のネットワークに送信するために受信する物理アドレス返信要求受信処理と、
    前記他のネットワークから送られてきたパケットからその送信元の端末の論理アドレスと物理アドレスを抽出する論理アドレス・物理アドレス抽出処理と、
    この論理アドレス・物理アドレス抽出手段で抽出された論理アドレスと物理アドレスの対を一覧として登録する論理アドレス・物理アドレス登録手段と、
    前記物理アドレス返信要求受信処理で前記物理アドレス返信要求を受信したとき前記特定の論理アドレスの端末のその論理アドレスが前記論理アドレス・物理アドレス登録手段に登録されているかどうかを判別する論理アドレス検索処理と、
    この論理アドレス検索処理によって前記特定の論理アドレスの端末のその論理アドレスが登録されていると判別されたとき、前記任意の端末から受信した前記物理アドレス返信要求を前記他のネットワークに送信することなく、前記特定の論理アドレスの端末の代わりにその論理アドレスに対応する物理アドレスを前記任意の端末に応答する代理応答処理と、
    前記論理アドレス検索処理によって前記特定の論理アドレスの端末のその論理アドレスが登録されていないと判別されたとき、前記任意の端末から受信した前記物理アドレス返信要求を前記他のネットワークに送信することなく破棄する物理アドレス返信要求破棄処理
    とを実行することを特徴とするリモートアクセス制御プログラム。
JP2006316569A 2006-11-24 2006-11-24 リモートアクセス制御装置およびリモートアクセス制御プログラム Pending JP2008131531A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006316569A JP2008131531A (ja) 2006-11-24 2006-11-24 リモートアクセス制御装置およびリモートアクセス制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006316569A JP2008131531A (ja) 2006-11-24 2006-11-24 リモートアクセス制御装置およびリモートアクセス制御プログラム

Publications (1)

Publication Number Publication Date
JP2008131531A true JP2008131531A (ja) 2008-06-05

Family

ID=39556910

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006316569A Pending JP2008131531A (ja) 2006-11-24 2006-11-24 リモートアクセス制御装置およびリモートアクセス制御プログラム

Country Status (1)

Country Link
JP (1) JP2008131531A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017120962A (ja) * 2015-12-28 2017-07-06 日本電気通信システム株式会社 通信装置および通信方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003209621A (ja) * 2001-11-12 2003-07-25 Hitachi Communication Technologies Ltd 交換装置
JP2006197051A (ja) * 2005-01-12 2006-07-27 Fuji Xerox Co Ltd ネットワーク通信制御装置およびネットワーク通信制御方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003209621A (ja) * 2001-11-12 2003-07-25 Hitachi Communication Technologies Ltd 交換装置
JP2006197051A (ja) * 2005-01-12 2006-07-27 Fuji Xerox Co Ltd ネットワーク通信制御装置およびネットワーク通信制御方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017120962A (ja) * 2015-12-28 2017-07-06 日本電気通信システム株式会社 通信装置および通信方法

Similar Documents

Publication Publication Date Title
US11979322B2 (en) Method and apparatus for providing service for traffic flow
US8824480B2 (en) Method and apparatus for end-host based mobility, multi-homing and multipath protocols
US7486670B2 (en) Method for packet communication and computer program stored on computer readable medium
US8611354B2 (en) Method and apparatus for relaying packets
WO2017197885A1 (zh) 用于虚拟可扩展局域网的通信方法和装置
EP3595271B1 (en) Packet transmission method, apparatus and network
JP4764737B2 (ja) ネットワークシステム、端末およびゲートウェイ装置
WO2009111977A1 (zh) 一种映射信息的发送方法、系统和装置
CN107770072B (zh) 一种发送和接收报文的方法和设备
KR20180125465A (ko) 개선된 라우팅, 진단, 및 콘텐츠-릴레이 네트워크를 위한 어드레스 공간의 오버로딩
JP2011515945A (ja) ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置
US20140095862A1 (en) Security association detection for internet protocol security
JP5147995B2 (ja) ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成
WO2010063242A1 (zh) 时钟同步的方法、设备以及网络系统
KR20140099598A (ko) 모바일 vpn 서비스를 제공하는 방법
EP2466806A1 (en) Method and system for implementing network intercommunication
WO2006099803A1 (fr) Procédé de mise en œuvre pour la traversee du pare-feu par le message ipv6 mobile et pare-feu
KR101901341B1 (ko) 사용자 장치의 이동성을 지원하는 네트워크 접속 방법 및 장치
Yoshikawa et al. Evaluation of new CYPHONIC: Overlay network protocol based on Go language
US9419891B2 (en) Virtual private network communication system, routing device and method thereof
JP5034534B2 (ja) 通信システム
WO2011072549A1 (zh) 非lisp站点与lisp站点通信的方法、装置及系统
JP2008131531A (ja) リモートアクセス制御装置およびリモートアクセス制御プログラム
JP4615435B2 (ja) ネットワーク中継装置
EP1973275A1 (en) Data communications method and apparatus

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100518

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100921