JP2008227715A - ネットワークシステム及び通信方法 - Google Patents
ネットワークシステム及び通信方法 Download PDFInfo
- Publication number
- JP2008227715A JP2008227715A JP2007060225A JP2007060225A JP2008227715A JP 2008227715 A JP2008227715 A JP 2008227715A JP 2007060225 A JP2007060225 A JP 2007060225A JP 2007060225 A JP2007060225 A JP 2007060225A JP 2008227715 A JP2008227715 A JP 2008227715A
- Authority
- JP
- Japan
- Prior art keywords
- network
- vpn
- ethernet frame
- transparent
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】アドレス体系が異なる複数のネットワークから構成されるネットワークシステムにおいて、アドレスの設定変更を行うことなく、ネットワーク機器を他のネットワークに移動できるようにする。
【解決手段】サーバ4は、LAN60上からLAN70上に移動したネットワーク機器である。VPN装置1,2により、インターネット100上にEthernetフレームを透過するVPN10を構築し、このVPN10を介してサーバ4とユーザ端末3との間でEthernetフレームが送受信されるようにする。即ち、ユーザ端末3がサーバ4の移動前のアドレスを宛て先とするEthernetフレームをLAN60上に送出すると、VPN装置1が、VPN装置2のアドレスを含むヘッダによりEthernetフレームをカプセル化し、更にそれを暗号化してVPN装置2へ送信する。VPN装置2では、復号処理及びカプセル化解除処理を行ったEthernetフレームをLAN70上に出力する。
【選択図】図2
【解決手段】サーバ4は、LAN60上からLAN70上に移動したネットワーク機器である。VPN装置1,2により、インターネット100上にEthernetフレームを透過するVPN10を構築し、このVPN10を介してサーバ4とユーザ端末3との間でEthernetフレームが送受信されるようにする。即ち、ユーザ端末3がサーバ4の移動前のアドレスを宛て先とするEthernetフレームをLAN60上に送出すると、VPN装置1が、VPN装置2のアドレスを含むヘッダによりEthernetフレームをカプセル化し、更にそれを暗号化してVPN装置2へ送信する。VPN装置2では、復号処理及びカプセル化解除処理を行ったEthernetフレームをLAN70上に出力する。
【選択図】図2
Description
本発明は、IPアドレス体系が異なる複数のネットワークから構成されるネットワークシステムに関し、特に、サーバやユーザ端末などのネットワーク機器をIPアドレス体系が異なるネットワークへスムーズに移動させることができるネットワークシステムに関する。
IPアドレス体系が異なる複数のネットワークから構成されるネットワークシステムにおいては、共有サーバ等のIT資源をアドレス体系が異なる他のネットワークへ移動させることが必要になる場合がある。このような場合、従来は、対象となるIT資産の移動のみに留まらず、その利用者であるユーザ端末のIPアドレスやネットワーク設定の変更が必要となっていたため、多大な作業量が発生するという問題や、更には移行後のトラブルも少なからず発生していたため、スムーズな移動ができないといった問題があった。
一方、移動機がネットワーク間を移動しても、同一のIPアドレスで、元のネットワークにアクセスすることができる技術として、モバイルIPが従来から知られている(例えば、特許文献1、2参照)。
特許文献1、2に記載されているモバイルIPでは、移動機がアクセスする際に、認証等のアクションが必要である。そのため、移動機にソフトウェア等を導入し、アクションをおこすことができるよう設定するという作業が発生する。アドレス体系が異なる複数のネットワークから構成される従来のネットワークシステムにおいて、共有サーバ等のネットワーク機器をアドレス体系が異なる他のネットワークに移動させたい場合、モバイルIPにおいては、同一IPアドレスにて、元のネットワークにアクセスすることはできるが、移動機に対する初期段階の設定変更は必要になる。
〔発明の目的〕
そこで、本発明の目的は、IPアドレス体系が異なる複数のネットワークから構成されるネットワークシステムにおいて、移動する共有サーバ等のネットワーク機器の設定変更を行うことなく、アドレス体系が異なる他のネットワークへ移動できるようにすることにある。
そこで、本発明の目的は、IPアドレス体系が異なる複数のネットワークから構成されるネットワークシステムにおいて、移動する共有サーバ等のネットワーク機器の設定変更を行うことなく、アドレス体系が異なる他のネットワークへ移動できるようにすることにある。
本発明にかかる第1のネットワークシステムは、
IPアドレス体系が異なる複数のネットワークを備えたネットワークシステムにおいて、
前記複数のネットワーク毎にVPN装置を設け、
ネットワーク間を移動した移動ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動先ネットワークと前記移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、前記移動ネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を前記透過VPNを介して行うことを特徴とする。
IPアドレス体系が異なる複数のネットワークを備えたネットワークシステムにおいて、
前記複数のネットワーク毎にVPN装置を設け、
ネットワーク間を移動した移動ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動先ネットワークと前記移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、前記移動ネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を前記透過VPNを介して行うことを特徴とする。
本発明にかかる第2のネットワークシステムは、第1のネットワークシステムにおいて、
前記VPN装置が、相手方のVPN装置へ前記透過VPNを介してIP通信を行う場合は、前記EthernetフレームをIPアドレスを含んだヘッダでカプセル化すると共に暗号化して送信し、前記相手方のVPN装置から前記透過VPNを介してカプセル化および暗号化されたEthernetフレームを受信した場合は、Ethernetフレームを復号すると共にカプセル化を解除することを特徴とする。
前記VPN装置が、相手方のVPN装置へ前記透過VPNを介してIP通信を行う場合は、前記EthernetフレームをIPアドレスを含んだヘッダでカプセル化すると共に暗号化して送信し、前記相手方のVPN装置から前記透過VPNを介してカプセル化および暗号化されたEthernetフレームを受信した場合は、Ethernetフレームを復号すると共にカプセル化を解除することを特徴とする。
本発明にかかる第3のネットワークシステムは、第1のネットワークシステムにおいて、
前記移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動元ネットワークと前記移動先ネットワークとの間に、Ethernetフレームを透過しない非透過VPNを設定し、前記移動先ネットワーク上のネットワーク機器であって、前記移動先ネットワークのIPアドレス体系に従ったIPアドレスが付与されているネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を、前記非透過VPNを介して行うことを特徴とする。
前記移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動元ネットワークと前記移動先ネットワークとの間に、Ethernetフレームを透過しない非透過VPNを設定し、前記移動先ネットワーク上のネットワーク機器であって、前記移動先ネットワークのIPアドレス体系に従ったIPアドレスが付与されているネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を、前記非透過VPNを介して行うことを特徴とする。
本発明にかかる第4のネットワークシステムは、第3のネットワークシステムにおいて、
前記VPN装置が、相手方のVPN装置へ前記透過VPNを介してIP通信を行う場合には、前記EthernetフレームをIPアドレスを含んだヘッダでカプセル化すると共に暗号化して送信し、前記相手方のVPN装置へ前記非透過VPNを介してIP通信を行う場合は、前記EthernetフレームをIPレベルで暗号化してから送信し、前記相手方のVPN装置からカプセル化および暗号化されたEthernetフレームを受信した場合は、Ethernetフレームを復号すると共にカプセル化を解除し、前記相手方のVPN装置からIPレベルで暗号化されたEthernetフレームを受信した場合は、Ethernetフレームを復号することを特徴とする。
前記VPN装置が、相手方のVPN装置へ前記透過VPNを介してIP通信を行う場合には、前記EthernetフレームをIPアドレスを含んだヘッダでカプセル化すると共に暗号化して送信し、前記相手方のVPN装置へ前記非透過VPNを介してIP通信を行う場合は、前記EthernetフレームをIPレベルで暗号化してから送信し、前記相手方のVPN装置からカプセル化および暗号化されたEthernetフレームを受信した場合は、Ethernetフレームを復号すると共にカプセル化を解除し、前記相手方のVPN装置からIPレベルで暗号化されたEthernetフレームを受信した場合は、Ethernetフレームを復号することを特徴とする。
本発明にかかる第5のネットワークシステムは、第3のネットワークシステムにおいて、
前記移動元ネットワークおよび前記移動先ネットワークを除いた特定ネットワークに設けられたVPN装置および前記移動元ネットワークに設けられたVPN装置が、前記特定ネットワークと前記移動元ネットワークとの間に特定非透過VPNを設定し、前記移動元ネットワークに設けられているVPN装置が、前記移動先ネットワークに設けられているVPN装置から前記非透過VPNを介して送られてきたIPレベルで暗号化されたEthernetフレームを、前記特定非透過VPNを介して前記特定ネットワークに設けられているVPN装置へ転送することを特徴とする。
前記移動元ネットワークおよび前記移動先ネットワークを除いた特定ネットワークに設けられたVPN装置および前記移動元ネットワークに設けられたVPN装置が、前記特定ネットワークと前記移動元ネットワークとの間に特定非透過VPNを設定し、前記移動元ネットワークに設けられているVPN装置が、前記移動先ネットワークに設けられているVPN装置から前記非透過VPNを介して送られてきたIPレベルで暗号化されたEthernetフレームを、前記特定非透過VPNを介して前記特定ネットワークに設けられているVPN装置へ転送することを特徴とする。
本発明にかかる第1の通信方法は、
IPアドレス体系が異なる複数のネットワークを備えたネットワークシステムにおいて、
前記複数のネットワーク毎にVPN装置を設け、
ネットワーク間を移動した移動ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動先ネットワークと前記移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、前記移動ネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を前記透過VPNを介して行うことを特徴とする。
IPアドレス体系が異なる複数のネットワークを備えたネットワークシステムにおいて、
前記複数のネットワーク毎にVPN装置を設け、
ネットワーク間を移動した移動ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動先ネットワークと前記移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、前記移動ネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を前記透過VPNを介して行うことを特徴とする。
本発明にかかる第2の通信方法は、第1の通信方法において、
前記移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動元ネットワークと前記移動先ネットワークとの間に、Ethernetフレームを透過しない非透過VPNを設定し、前記移動先ネットワーク上のネットワーク機器であって、前記移動先ネットワークのIPアドレス体系に従ったIPアドレスが付与されているネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を、前記非透過VPNを介して行うことを特徴とする。
前記移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動元ネットワークと前記移動先ネットワークとの間に、Ethernetフレームを透過しない非透過VPNを設定し、前記移動先ネットワーク上のネットワーク機器であって、前記移動先ネットワークのIPアドレス体系に従ったIPアドレスが付与されているネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を、前記非透過VPNを介して行うことを特徴とする。
本発明にかかる第3の通信方法は、第2の通信方法において、
前記移動元ネットワークおよび前記移動先ネットワークを除いた特定ネットワークに設けられたVPN装置および前記移動元ネットワークに設けられたVPN装置が、前記特定ネットワークと前記移動元ネットワークとの間に特定非透過VPNを設定し、前記移動元ネットワークに設けられているVPN装置が、前記移動先ネットワークに設けられているVPN装置から前記非透過VPNを介して送られてきた暗号化されたEthernetフレームを、前記特定非透過VPNを介して前記特定ネットワークに設けられているVPN装置へ転送することを特徴とする。
前記移動元ネットワークおよび前記移動先ネットワークを除いた特定ネットワークに設けられたVPN装置および前記移動元ネットワークに設けられたVPN装置が、前記特定ネットワークと前記移動元ネットワークとの間に特定非透過VPNを設定し、前記移動元ネットワークに設けられているVPN装置が、前記移動先ネットワークに設けられているVPN装置から前記非透過VPNを介して送られてきた暗号化されたEthernetフレームを、前記特定非透過VPNを介して前記特定ネットワークに設けられているVPN装置へ転送することを特徴とする。
〔作用〕
他のネットワーク上にネットワーク機器を移動させた場合、上記ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置を用いて、移動先ネットワークと移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、移動ネットワーク機器と移動元ネットワーク上のネットワーク機器との間のEthernetフレームの送受信を透過VPNを介して行うようにする。
他のネットワーク上にネットワーク機器を移動させた場合、上記ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置を用いて、移動先ネットワークと移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、移動ネットワーク機器と移動元ネットワーク上のネットワーク機器との間のEthernetフレームの送受信を透過VPNを介して行うようにする。
本発明によれば、IPアドレス体系が異なる複数のネットワークから構成されるネットワークシステムにおいて、設定変更を行うことなく、ネットワーク機器をIPアドレス体系が異なる他のネットワークへ移動することが可能になるという効果を得ることができる。特に、他のネットワークに移動したサーバ等のネットワーク機器を利用するユーザ端末などのネットワーク機器が移動元ネットワークに多数存在する場合、本発明の効果は非常に大きなものとなる。その理由は、ネットワーク間を移動した移動ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、上記移動先ネットワークと上記移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、上記移動ネットワーク機器と上記移動元ネットワーク上のネットワーク機器との間のEthernetフレームの送受信を上記透過VPNを介して行うようにしているからである。
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
〔本発明の第1の実施の形態〕
図1を参照すると、本発明の第1の実施の形態のネットワークシステムは、エリアA、Bを含み、エリアA、Bにはそれぞれアドレス体系が異なるLAN60、70が設けられている。エリアA内のLAN60には、VPN(Virtual Private Network)装置1と、ユーザ端末3と、IT資産であるサーバ4とが接続され、エリアB内のLAN70には、VPN装置2が接続されている。
図1を参照すると、本発明の第1の実施の形態のネットワークシステムは、エリアA、Bを含み、エリアA、Bにはそれぞれアドレス体系が異なるLAN60、70が設けられている。エリアA内のLAN60には、VPN(Virtual Private Network)装置1と、ユーザ端末3と、IT資産であるサーバ4とが接続され、エリアB内のLAN70には、VPN装置2が接続されている。
ユーザ端末3は、パーソナルコンピュータ等の情報処理装置であり、サーバ4にアクセスを行いファイル共有、グループウェア等のアプリケーションを使用する。なお、ユーザ端末3のIPアドレスは、エリアA内のプライベートアドレスを使用しており、×.×.×.×とする。
サーバ4は共有ファイル、グループウェア等のアプリケーションを有し、ユーザ端末3とクライアント−サーバ型で通信を行い、ユーザ端末3にサービスを提供する。なお、サーバ4のIPアドレスは、エリアA内のプライベートアドレスを使用しており、○.○.○.○とする。
図1に示すネットワークシステムにおいて、サーバ4をエリアAからエリアBへ移動させることが必要になる場合がある。このような場合は、先ず、VPN装置1、2を用いて図2に示すようにインターネット100上に暗号化等の対策を行ったセキュリティの確保されたVPN10を構築する。このVPN10は、Ethernet(登録商標)フレームを透過可能なVPNであり、透過VPN10と記す場合もある。その後、エリアA内のLAN60に接続されているサーバ4をLAN60から切り離し、エリアBに移動させ、エリアB内のLAN70に接続する。
図3は、図2に示したVPN10を構築するVPN装置1の構成例を示すブロック図である。図3を参照すると、VPN装置1は、受信手段31と、振り分け手段32と、カプセル化手段33と、暗号化手段34と、送信手段35と、受信手段36と、復号手段37と、カプセル化解除手段38と、送信手段39とを備えている。なお、VPN装置2も同様の構成を有している。
受信手段31は、LAN60上のEthernetフレームを受信し、振り分け手段32に渡す機能を有する。振り分け手段32は、受信手段31から渡されたEthernetフレームの宛て先がサーバ4宛である場合は、上記Ethernetフレームをカプセル化手段33に渡す機能を有する。
カプセル化手段33は、振り分け手段32から渡されたEthernetフレームをカプセル化し、暗号化手段34に渡す機能を有する。即ち、IPアドレスを含んだヘッダをEthernetフレームに付加して暗号化手段34に渡す。
暗号化手段34は、カプセル化されたEthernetフレームを暗号化し、送信手段35に渡す機能を有する。送信手段35は、インターネット100上に構築されたVPN10を介してカプセル化および暗号化されたEthernetフレームを送信する機能を有する。
受信手段36は、相手方のVPN装置2からインターネット100上に構築されたVPN10を介して送られてきたカプセル化および暗号化されたEthernetフレームを受信し、復号手段37に渡す機能を有する。復号手段37は、受信手段36から渡されたカプセル化および暗号化されたEthernetフレームを復号し、カプセル化解除手段38に渡す機能を有する。カプセル化解除手段38は、カプセル化を解除し(ヘッダ部を削除し)、送信手段39に渡す機能を有する。送信手段39は、カプセル化解除手段38から渡されたEthernetフレームをLAN60上に送信する機能を有する。
なお、VPN装置1は、コンピュータにより実現可能であり、コンピュータによって実現する場合は、例えば、次のようにする。コンピュータをVPN装置1として機能させるためのプログラムを記録したディスク、半導体メモリ、その他の記録媒体を用意し、コンピュータに上記プログラムを読み取らせる。コンピュータは、読み取ったプログラムに従って自身の動作を制御することにより、自コンピュータ上に、受信手段31、振り分け手段32、カプセル化手段33、暗号化手段34、送信手段35、受信手段36、復号手段37、カプセル化解除手段38、送信手段39を実現する。
〔エリアBに移動させたサーバ4とエリアA上のユーザ端末3との間の通信〕
図2に示すようにサーバ4をエリアBへ移動させ、VPN装置1、2間にVPN10を構築した後の、サーバ4とユーザ端末3との間の通信は、次のように行われる。
図2に示すようにサーバ4をエリアBへ移動させ、VPN装置1、2間にVPN10を構築した後の、サーバ4とユーザ端末3との間の通信は、次のように行われる。
先ず、ユーザ端末3がサーバ4をアクセスするために、宛て先をサーバ4のIPアドレス○.○.○.○としたEthernetフレームをLAN60上に送出する(図4のステップA1)。
このEthernetフレームは、VPN装置1内の受信手段31で受信され、振り分け手段32に渡される。振り分け手段32は、受け取ったEthernetフレームの宛て先がサーバ4となっているので、それをカプセル化手段33に渡す。カプセル化手段33は、受け取ったEthernetフレームにIPアドレスを含んだヘッダを付加し、Ethernetフレームをカプセル化する(ステップA2)。更に、暗号化手段34が、カプセル化されたEthernetフレームを暗号化する(ステップA3)。このカプセル化および暗号化されたEthernetフレームは、送信手段35およびVPN10を介してVPN装置2へ送られる。
VPN装置2では、受信手段36がVPN装置1から送られてきたEthernetフレームを受信し、復号手段37が復号処理を行い(ステップA4)、カプセル化解除手段38がVPN装置1によって付加されたヘッダ(ステップA2で付加されたヘッダ)を取り除き(ステップA5)、送信手段39がヘッダが取り除かれたEthernetフレームをLAN70上へ送出する。このEthernetフレームに含まれるの宛て先IPアドレスがアドレス○.○.○.○となっているので、サーバ4で受信される(ステップA6)。
サーバ4がユーザ端末3へ応答を返す場合も、上記した処理と同様の処理が行われる。即ち、サーバ4が、ユーザ端末3のIPアドレス×.×.×.×を宛て先IPアドレスを含んだEthernetフレームをLAN70上に送出すると(ステップA7)、VPN装置2がIPアドレスを含んだヘッダをEthernetフレームに付加してカプセル化し(ステップA8)、更に、Ethernetフレームを暗号化してVPN装置1へ転送する(ステップA9)。
VPN装置1は、カプセル化および暗号化されたEthernetフレームを受信すると、Ethernetフレームを復号し(ステップA10)、更に、VPN装置2がステップA8で付加したヘッダを取り除き(ステップA11)、LAN60上へ送出する。このEthernetフレームが含む宛て先IPアドレスは、アドレス×.×.×.×となっているので、ユーザ端末4によって受信される(ステップA12)。
〔新たなサーバの追加〕
ネットワークシステムの状態が図2に示す状態になっているときに、図5に示すように新たなサーバ5をエリアB内に増設することが必要になったとする。なお、サーバ5においては、IPアドレスはエリアB内のプライベートアドレスを使用しており、△.△.△.△とする。それ以外の仕様はサーバ4と同様とする。
ネットワークシステムの状態が図2に示す状態になっているときに、図5に示すように新たなサーバ5をエリアB内に増設することが必要になったとする。なお、サーバ5においては、IPアドレスはエリアB内のプライベートアドレスを使用しており、△.△.△.△とする。それ以外の仕様はサーバ4と同様とする。
図5に示すように、サーバ5を増設する場合は、先ず、透過VPN10に並行してEthernetフレームを透過させないVPN20を構築し、次にエリアB内のLAN70に新しいIPアドレス体系のサーバ5を追加接続する。なお、VPN20を非透過VPN20と記す場合もある。
図6は、図5に示す透過VPN10、非透過VPN20を構築するようにしたときのVPN装置1の構成例を示すブロック図である。図6を参照すると、VPN装置1は、受信手段61と、振り分け手段62と、カプセル化手段63と、暗号化手段64、65と、送信手段66と、受信手段67と、振り分け手段68と、復号手段69、70と、カプセル化解除手段71と、送信手段72とから構成されている。なお、VPN装置2も同様の構成を有している。
振り分け手段62は、受信手段61を介して受信したEthernetフレームが含む宛て先IPアドレスが、サーバ4のアドレスである場合はカプセル化手段63に渡し、エリアBのアドレス体系に従ったアドレスである場合は暗号化手段65に渡し、それ以外である場合は破棄する機能を有する。
振り分け手段68は、受信手段67を介してカプセル化および暗号化されたEthernetフレームを受信した場合は、それを復号手段70に渡し、IPレベルで暗号化のみが行われたEthernetフレームを受信した場合は、それを復号手段69に渡す機能を有する。
なお、他の手段は、図2に示した同一名称の手段と同様の機能を有している。また、図6に示したVPN装置1も、コンピュータによって実現可能である。
〔サーバ4とユーザ端末3との間の通信〕
図5に示したサーバ4とユーザ端末3との間の通信は、次のように行われる。
図5に示したサーバ4とユーザ端末3との間の通信は、次のように行われる。
先ず、ユーザ端末3がサーバ4をアクセスするために、宛て先IPアドレスをサーバ4のアドレス○.○.○.○としたEthernetフレームをLAN60上に送出する(図7のステップA1)。このEthernetフレームは、VPN装置1内の受信手段61で受信され、振り分け手段62に渡される。振り分け手段62は、受け取ったEthernetフレームがサーバ4宛となっているので、それをカプセル化手段63に渡す(ステップH62-1)。
このEthernetフレームは、カプセル化手段63でカプセル化され、更に、暗号化手段64で暗号化された後(ステップA2、A3)、送信手段66およびVPN10を介してVPN装置2へ送られる。
VPN装置2内の振り分け部68は、受信手段67を介してカプセル化および暗号化されたEthernetフレームを受信すると、それを復号手段70に渡す(ステップH68-1)。このEthernetフレームは、復号手段70で復号された後、カプセル化解除手段71でヘッダが取り除かれ(ステップA4、A5)、送信手段72を介してLAN70へ送出される。LAN70上のサーバ4は、上記Ethernetフレームを受信すると、ユーザ端末3へ応答するEthernetフレームをLAN70上に送出する(ステップA6、A7)。
VPN装置2内の振り分け手段62は、受信手段61を介して上記Ethernetフレームを受信すると、それをカプセル化手段63に渡す(ステップH62-2)。このEthernetフレームは、VPN装置2内のカプセル化手段63でカプセル化され、更に、暗号化手段64で暗号化された後(ステップA8、A9)、送信手段66およびVPN10を介してVPN装置1へ送信される。
VPN装置1内の振り分け手段68は、受信手段67を介してカプセル化および暗号化されているEthernetフレームを受信すると、それを復号手段70に渡す(ステップH68-2)。このEthernetフレームは、復号手段70で復号され、更に、カプセル化解除手段71でヘッダが取り除かれた後(ステップA10、A11)、LAN60上に送出され、ユーザ端末3によって受信される(ステップA12)。
〔ユーザ端末3とサーバ5との間の通信〕
また、ユーザ端末3とサーバ5との間の通信は、次のように行われる。
また、ユーザ端末3とサーバ5との間の通信は、次のように行われる。
先ず、ユーザ端末3がサーバ5をアクセスするために、宛て先IPアドレスをサーバ5のアドレス△.△.△.△としたEthernetフレームをLAN60上に送出する(ステップB1)。VPN装置1内の振り分け手段62は、受信手段61を介して上記Ethernetフレームを受信すると、宛て先IPアドレスが△.△.△.△であるので、それを暗号化手段65に渡す(ステップH62-3)。このEthernetフレームは、暗号化手段65で暗号化(データ部の暗号化)された後(ステップB2)、送信手段66および非透過VPN20を介してVPN装置2へ送られる。
VPN2内の振り分け手段68は、受信手段67を介してIPレベルで暗号化されたEthernetフレームを受信すると、それを復号手段69に渡す(ステップH68-3)。このEthernetフレームは、復号手段69で復号化された後、送信手段72を介してLAN70上に送出される(ステップB3)。
サーバ5は、上記Ethernetフレームを受信すると、ユーザ端末3に応答するEthernetフレームをLAN70上に送出する(ステップB4、B5)。
VPN装置2内の振り分け手段62は、受信手段61を介して上記Ethernetフレームを受信すると、それを暗号化手段65に渡す(ステップH62-4)。このEthernetフレームは、暗号化手段65でIPレベルで暗号化された後(ステップB6)、送信手段66および非透過VPN20を介してVPN装置1へ送信される。
VPN装置1内の振り分け手段68は、受信手段67を介してIPレベルで暗号化されたEthernetフレームを受信すると、それを復号手段69に渡す(ステップH68-4)。このEthernetフレームは、復号手段69で復号され(ステップB7)、送信手段72を介してLAN60上に送出され、ユーザ端末3で受信される(ステップB8)。
なお、各エリア内で使用しているプロトコルはIPであるが、非IP系のプロトコルで動作するものであっても構わない。
〔第1の実施の形態の効果〕
本実施の形態によれば、アドレス体系が異なる複数のネットワークから構成されるネットワークシステムにおいて、設定変更を行うことなく、ネットワーク機器をIPアドレス体系が異なる他のネットワークへ移動することが可能になるという効果を得ることができる。その理由は、LAN60、70間を移動したサーバ4の移動元LAN60および移動先LAN70に設けられたVPN装置1、2が、LAN60、70間にEthernetフレームを透過させるVPN10を設定し、サーバ4とユーザ端末3との間のEthernetフレームの送受信をVPN10を介して行うようにしているからである。
本実施の形態によれば、アドレス体系が異なる複数のネットワークから構成されるネットワークシステムにおいて、設定変更を行うことなく、ネットワーク機器をIPアドレス体系が異なる他のネットワークへ移動することが可能になるという効果を得ることができる。その理由は、LAN60、70間を移動したサーバ4の移動元LAN60および移動先LAN70に設けられたVPN装置1、2が、LAN60、70間にEthernetフレームを透過させるVPN10を設定し、サーバ4とユーザ端末3との間のEthernetフレームの送受信をVPN10を介して行うようにしているからである。
また、本実施の形態では、透過VPN10と非透過VPN20とを並行して構築するようにしているので、IPアドレス体系の異なるネットワーク機器の追加にも容易に対応することが可能になる。
〔本発明の第2の実施の形態〕
図8を参照すると、本発明の第2の実施の形態のネットワークシステムは、エリアA、B、Cを含み、エリアA、B、CにはそれぞれIPアドレス体系が異なるLAN60、70、80が設けられている。
図8を参照すると、本発明の第2の実施の形態のネットワークシステムは、エリアA、B、Cを含み、エリアA、B、CにはそれぞれIPアドレス体系が異なるLAN60、70、80が設けられている。
エリアA内のLAN60には、ユーザ端末3、サーバ4及びVPN装置6が接続され、エリアB内のLAN70には、サーバ5及びVPN装置7が接続され、エリアC内のLAN80にはVPN装置8が接続されている。ユーザ端末3及びサーバ4、5は、前述した第1の実施の形態と同様の構成及び機能を有するものである。
図8に示すネットワークシステムにおいて、ユーザ端末3をエリアAからエリアCに移動させることが必要になったとする。この場合、先ず、図9に示すようにVPN装置6、8間にEthernetフレームを透過するVPN30(透過VPN30)と、透過しないVPN40(非透過VPN40)とを構築すると共に、VPN装置6、7間にEthernetフレームを透過しないVPN50(非透過VPN50)を構築し、その後、ユーザ端末3をLAN60から取り外し、LAN80に接続する。
図10は、上記各VPN30〜50を構築するVPN装置6の構成例を示すブロック図である。同図を参照すると、VPN装置6は、受信手段101、107、114、118と、振り分け手段102、108、112、115、120と、カプセル化手段103と、暗号化手段104、105、116と、送信手段106、113、117、121と、復号手段109、111、119と、カプセル化解除手段110とを備えている。
振り分け手段102は、ユーザ端末3を宛て先とするEthernetフレームは、カプセル化手段103に渡し、エリアCを宛て先とするEthernetフレームは、暗号化手段105に渡し、それ以外のEthernetフレームは破棄する機能を有する。
振り分け手段108は、透過VPN30を介して受信したカプセル化及び暗号化されたEthernetフレームを復号手段109に渡し、非透過VPN40を介して受信した暗号化されたEthernetフレームを復号手段111に渡す機能を有する。
振り分け手段112は、宛て先アドレスがエリアA、C内のアドレスになっているEthernetフレームをそれぞれ送信手段113、暗号化手段116に渡す機能を有する。
振り分け手段115は、宛て先がエリアB内のEthernetフレームを暗号化手段116に渡し、それ以外のEthernetフレームを破棄する機能を有する。
振り分け手段120は、VPN50を介して受信した、宛て先アドレスがエリアA内のアドレスのEthernetフレームを送信手段121に渡し、宛て先がエリアC内のEthernetフレームを暗号化手段105に渡す機能を有する。
なお、VPN装置6は、コンピュータによって実現可能である。また、VPN装置7は、図3に示すような構成を有し、VPN装置8は図6に示すような構成を有する。
〔ユーザ端末3とサーバ4との間の通信〕
エリアCに移動したユーザ端末3とエリアA内のサーバ4との間の通信は、次のように行われる。
エリアCに移動したユーザ端末3とエリアA内のサーバ4との間の通信は、次のように行われる。
先ず、ユーザ端末3が、サーバ4のアドレス○.○.○.○を宛て先IPアドレスとしたEthernetフレームをLAN80上に送出する(図11のステップD1)。これにより、VPN装置8は図7に示したステップH62-1、ステップA2、A3と同様の処理を行い(ステップH1、D2、D3)、上記Ethernetフレームをカプセル化および暗号化したものを、VPN30を介してVPN装置6へ送信する。
VPN装置6内の振り分け手段108は、VPN30および受信手段107を介して上記カプセル化および暗号化されたEthernetフレームを受信すると、それを復号手段109に渡す(ステップH2)。このEthernetフレームは、復号手段109で復号され、更に、カプセル化解除手段110でヘッダが取り除かれた後、送信手段113を介してLAN60上に送出され、サーバ4で受信される(ステップD4〜D6)。これにより、サーバ4は、ユーザ端末3へ送信するEthernetフレームをLAN60上に送出する(ステップD7)。
VPN装置6内の振り分け手段102は、上記Ethernetフレームをカプセル化手段103に渡す(ステップH3)。このEthernetフレームは、カプセル化手段103でカプセル化され、暗号化手段104で暗号化された後(ステップD8、D9)、VPN30を介してVPN装置8へ送信される。
VPN装置8では、前述した図7のステップH68-2、A10、A11と同様の処理を行うことにより(ステップH4、D10、D11)、受信したEthernetフレームを復号し、更に、非カプセル化する。その後、非カプセル化されたEthernetフレームがLAN80上に送出され、ユーザ端末3がこのEthernetフレームを受信する(ステップD12)。
〔ユーザ端末3とサーバ5との間の通信〕
また、ユーザ端末3とサーバ5との間の通信は、次のように行われる。
また、ユーザ端末3とサーバ5との間の通信は、次のように行われる。
先ず、ユーザ端末3がLAN80上に宛て先IPアドレスをサーバ5のアドレス△.△.△.△としたEthernetフレームを送出する(ステップE1)。これにより、VPN装置8は、前述した図7のステップH62-3、B2と同様の処理を行い(ステップH5、E2)、IPレベルで暗号化したEthernetフレームをVPN40を介してVPN装置6へ送信する。
VPN装置6内の振り分け手段108は、受信手段107を介して上記Ethernetフレームを受信すると、それを復号手段111に渡す(ステップH6)。上記Ethernetフレームは、復号手段111で復号される(ステップE3)。また、このEthernetフレームは、宛て先アドレスがエリアB内のアドレス△.△.△.△であるので、振り分け手段112により、暗号化手段116に渡される。暗号化手段116は、受け取ったEthernetフレームをIPレベルで暗号化し(ステップE4)、送信手段117、VPN50を介してVPN装置7へ送信する。
VPN装置7では、受信したEthernetフレームを復号してLAN70上に送出し(ステップE5)、上記Ethernetフレームがサーバ5に到達する(ステップE6)。
サーバ5がユーザ端末3へ応答するためのEthernetフレームをLAN70上に送出すると(ステップB7)、VPN装置7は、上記EthernetフレームをIPレベルで暗号化し、VPN50を介してVPN装置6へ送信する(ステップE8)。
VPN装置6内の復号手段119は、受信した上記Ethernetフレームを復号し(ステップE9)、振り分け手段120は、復号されたEthernetフレームの宛て先がユーザ端末3であるので、暗号化手段105に上記Ethernetフレームを渡す。このEthernetフレームは、暗号化手段105でIPレベルで暗号化され、送信手段106およびVPN40を介してVPN装置8へ送られる(ステップE10)。
VPN装置8は、暗号化されたEthernetフレームを復号してLAN80上へ送出し(ステップE11)、ユーザ端末3に上記Ethernetフレームが到達する(ステップE12)。
〔第2の実施の形態の効果〕
本実施の形態によっても、第1の実施の形態と同様の効果を得ることができる。
本実施の形態によっても、第1の実施の形態と同様の効果を得ることができる。
本発明によれば、インターネットデータセンターなどが、企業ユーザに対してホスティング、ハウジングサービスを提供する際に適用できる。また組織変更や、組織間交流の多い企業におけるIT資産移動の際にも適用可能である。
1、2、6〜8…VPN装置
3…ユーザ端末
4、5…サーバ
60、70、80…LAN
10、20、30、40、50…VPN
3…ユーザ端末
4、5…サーバ
60、70、80…LAN
10、20、30、40、50…VPN
Claims (8)
- IPアドレス体系が異なる複数のネットワークを備えたネットワークシステムにおいて、
前記複数のネットワーク毎にVPN装置を設け、
ネットワーク間を移動した移動ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動先ネットワークと前記移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、前記移動ネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を前記透過VPNを介して行うことを特徴とするネットワークシステム。 - 請求項1記載のネットワークシステムにおいて、
前記VPN装置が、相手方のVPN装置へ前記透過VPNを介してIP通信を行う場合は、前記EthernetフレームをIPアドレスを含んだヘッダでカプセル化すると共に暗号化して送信し、前記相手方のVPN装置から前記透過VPNを介してカプセル化および暗号化されたEthernetフレームを受信した場合は、Ethernetフレームを復号すると共にカプセル化を解除することを特徴とするネットワークシステム。 - 請求項1記載のネットワークシステムにおいて、
前記移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動元ネットワークと前記移動先ネットワークとの間に、Ethernetフレームを透過しない非透過VPNを設定し、前記移動先ネットワーク上のネットワーク機器であって、前記移動先ネットワークのIPアドレス体系に従ったIPアドレスが付与されているネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を、前記非透過VPNを介して行うことを特徴とするネットワークシステム。 - 請求項3記載のネットワークシステムにおいて、
前記VPN装置が、相手方のVPN装置へ前記透過VPNを介してIP通信を行う場合には、前記EthernetフレームをIPアドレスを含んだヘッダでカプセル化すると共に暗号化して送信し、前記相手方のVPN装置へ前記非透過VPNを介してIP通信を行う場合は、前記EthernetフレームをIPレベルで暗号化してから送信し、前記相手方のVPN装置からカプセル化および暗号化されたEthernetフレームを受信した場合は、Ethernetフレームを復号すると共にカプセル化を解除し、前記相手方のVPN装置からIPレベルで暗号化されたEthernetフレーム受信した場合は、Ethernetフレームを復号することを特徴とするネットワークシステム。 - 請求項3記載のネットワークシステムにおいて、
前記移動元ネットワークおよび前記移動先ネットワークを除いた特定ネットワークに設けられたVPN装置および前記移動元ネットワークに設けられたVPN装置が、前記特定ネットワークと前記移動元ネットワークとの間に特定非透過VPNを設定し、前記移動元ネットワークに設けられているVPN装置が、前記移動先ネットワークに設けられているVPN装置から前記非透過VPNを介して送られてきたIPレベルで暗号化されたEthernetフレームを、前記特定非透過VPNを介して前記特定ネットワークに設けられているVPN装置へ転送することを特徴とするネットワークシステム。 - IPアドレス体系が異なる複数のネットワークを備えたネットワークシステムにおいて、
前記複数のネットワーク毎にVPN装置を設け、
ネットワーク間を移動した移動ネットワーク機器の移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動先ネットワークと前記移動元ネットワークとの間にEthernetフレームを透過させる透過VPNを設定し、前記移動ネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を前記透過VPNを介して行うことを特徴とする通信方法。 - 請求項6記載の通信方法において、
前記移動元ネットワークおよび移動先ネットワークに設けられたVPN装置が、前記移動元ネットワークと前記移動先ネットワークとの間に、Ethernetフレームを透過しない非透過VPNを設定し、前記移動先ネットワーク上のネットワーク機器であって、前記移動先ネットワークのIPアドレス体系に従ったIPアドレスが付与されているネットワーク機器と前記移動元ネットワーク上のネットワーク機器との間のIP通信を、前記非透過VPNを介して行うことを特徴とする通信方法。 - 請求項7記載の通信方法において、
前記移動元ネットワークおよび前記移動先ネットワークを除いた特定ネットワークに設けられたVPN装置および前記移動元ネットワークに設けられたVPN装置が、前記特定ネットワークと前記移動元ネットワークとの間に特定非透過VPNを設定し、前記移動元ネットワークに設けられているVPN装置が、前記移動先ネットワークに設けられているVPN装置から前記非透過VPNを介して送られてきた暗号化されたEthernetフレームを、前記特定非透過VPNを介して前記特定ネットワークに設けられているVPN装置へ転送することを特徴とする通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007060225A JP2008227715A (ja) | 2007-03-09 | 2007-03-09 | ネットワークシステム及び通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007060225A JP2008227715A (ja) | 2007-03-09 | 2007-03-09 | ネットワークシステム及び通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008227715A true JP2008227715A (ja) | 2008-09-25 |
Family
ID=39845827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007060225A Pending JP2008227715A (ja) | 2007-03-09 | 2007-03-09 | ネットワークシステム及び通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008227715A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009071481A (ja) * | 2007-09-12 | 2009-04-02 | Nec Personal Products Co Ltd | 通信制御システム、端末、及び、プログラム |
| JP2010093716A (ja) * | 2008-10-10 | 2010-04-22 | Hitachi Software Eng Co Ltd | 複数組織共有システム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002064567A (ja) * | 2000-08-18 | 2002-02-28 | Fujitsu Ltd | ネットワーク設定接続装置、ネットワーク設定接続方法およびネットワーク設定接続プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2006279771A (ja) * | 2005-03-30 | 2006-10-12 | Sanyo Electric Co Ltd | パケット伝送方式およびパケット伝送プログラム |
-
2007
- 2007-03-09 JP JP2007060225A patent/JP2008227715A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002064567A (ja) * | 2000-08-18 | 2002-02-28 | Fujitsu Ltd | ネットワーク設定接続装置、ネットワーク設定接続方法およびネットワーク設定接続プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2006279771A (ja) * | 2005-03-30 | 2006-10-12 | Sanyo Electric Co Ltd | パケット伝送方式およびパケット伝送プログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009071481A (ja) * | 2007-09-12 | 2009-04-02 | Nec Personal Products Co Ltd | 通信制御システム、端末、及び、プログラム |
| JP2010093716A (ja) * | 2008-10-10 | 2010-04-22 | Hitachi Software Eng Co Ltd | 複数組織共有システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3641112B2 (ja) | パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法 | |
| JP5161262B2 (ja) | トンネル情報に基づきアドレス指定衝突を解決する方法及びシステム | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| TW439381B (en) | Method of implementing connection security in a wireless network | |
| JP5744172B2 (ja) | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ | |
| US20170149748A1 (en) | Secure Group Messaging and Data Steaming | |
| JPH10178421A (ja) | パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法 | |
| US20120324090A1 (en) | Resource control method, apparatus, and system in peer-to-peer network | |
| CN101510889A (zh) | 一种获取动态路由的方法和设备 | |
| CN100459568C (zh) | 在应用层实现vpn协议的系统及其方法 | |
| CN113852552B (zh) | 一种网络通讯方法、系统与存储介质 | |
| WO2019076000A1 (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| JP2007506202A (ja) | 遠隔ipsecセキュリティ関連性管理 | |
| CN117254976B (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 | |
| CN116527405B (zh) | 一种srv6报文加密传输方法、装置及电子设备 | |
| JP2008227715A (ja) | ネットワークシステム及び通信方法 | |
| JP5326815B2 (ja) | パケット送受信装置およびパケット送受信方法 | |
| CN110086702B (zh) | 报文转发方法、装置、电子设备及机器可读存储介质 | |
| CN109361684B (zh) | 一种vxlan隧道的动态加密方法和系统 | |
| CN110719309B (zh) | 虚拟桌面连接方法、代理装置、系统、设备及存储介质 | |
| CN112470438A (zh) | 用于发现中间功能和选择两个通信装置之间的路径的方法 | |
| JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
| JP3472098B2 (ja) | 移動計算機装置、中継装置及びデータ転送方法 | |
| US20220400405A1 (en) | Methods and apparatus for reducing communications delay |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20091007 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20091007 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100218 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110829 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120410 |