JP2009021952A - 通信システム、通信装置および管理装置 - Google Patents
通信システム、通信装置および管理装置 Download PDFInfo
- Publication number
- JP2009021952A JP2009021952A JP2007184850A JP2007184850A JP2009021952A JP 2009021952 A JP2009021952 A JP 2009021952A JP 2007184850 A JP2007184850 A JP 2007184850A JP 2007184850 A JP2007184850 A JP 2007184850A JP 2009021952 A JP2009021952 A JP 2009021952A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- control information
- vpn
- failure
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】複数の通信装置の各々の間に確立されるVPNの運用管理に要する作業負担を軽減する。
【解決手段】各々の間にIPSec等にしたがってVPN通信路を確立する複数の通信装置と、その形成の際に使用される制御情報であって、各通信装置の相手装置を示す情報を含んでいる制御情報をHTTPSにしたがって各通信装置へ送信する管理装置とを設け、各通信装置には、管理装置から送信された制御情報にしたがってVPN通信路を確立する処理と、それらVPN通信路の何れかに障害が発生したことを検出した場合に、その障害の発生時刻および障害内容を示す障害情報をHTTPSにしたがって管理装置へ送信する処理を実行させる。一方、管理装置には、受信した障害情報をその発生時刻順が若い順に並べ替えつつ併合して記憶する処理を実行させる。
【選択図】図1
【解決手段】各々の間にIPSec等にしたがってVPN通信路を確立する複数の通信装置と、その形成の際に使用される制御情報であって、各通信装置の相手装置を示す情報を含んでいる制御情報をHTTPSにしたがって各通信装置へ送信する管理装置とを設け、各通信装置には、管理装置から送信された制御情報にしたがってVPN通信路を確立する処理と、それらVPN通信路の何れかに障害が発生したことを検出した場合に、その障害の発生時刻および障害内容を示す障害情報をHTTPSにしたがって管理装置へ送信する処理を実行させる。一方、管理装置には、受信した障害情報をその発生時刻順が若い順に並べ替えつつ併合して記憶する処理を実行させる。
【選択図】図1
Description
本発明は、データ通信のセキュリティを確保する技術に関し、特に、データ通信を仲介する各通信装置間にVPN(Virtual Private Network)を形成することによりセキュリティ確保を実現する技術に関する。
従来、データの漏洩や改竄を回避する等、セキュリティを確保する必要のあるデータ通信は専用通信回線を介して行われることが一般的であった。しかし、専用通信回線の敷設および維持管理には多大な費用を要する。このため、セキュリティ確保を要するデータ通信をインターネットのような一般公衆回線を介して行えるようにすることが望まれており、このようなニーズに応えるための技術としては、VPNが挙げられる。ここで、VPNとは、インターネットに接続されている拠点間にVPNトンネルと呼ばれる仮想通信路を所定の通信プロトコルにしたがって確立し、その通信路を介したデータ通信を暗号化して行うことでデータの漏洩や改竄を防止する技術である。なお、上記所定の通信プロトコルの一例としては、IPsec(Security Architecture for Internet Protocol)やPPTP(Point to Point Tunneling Protocol)が挙げられる。
しかし、VPNを実現するためには、各拠点に配置される通信装置にVPN接続用の各種設定を予め行っておく必要がある。VPN接続用の設定は、VPNの両端に位置する通信装置の機種毎やVPNトンネルの確立に用いる通信プロトコル毎に異なることが一般的であり、また、その設定項目も多岐に亘る。このため、通信システムの運用管理者は、その通信システムに含まれる通信装置の各々について、その機種や、VPNの確立先となり得る全ての相手装置の機種および設定項目を把握しておかなければならず、その作業負担が大幅に増加するといった問題がある。
そこで、このような問題を解決するための技術が種々提案されており、その一例としては特許文献1に開示された技術が挙げられる。特許文献1には、複数の利用者装置(通信装置)の各々からポリシー情報(接続先、接続先に許可するセキュリティレベルおよび有効期限を示す情報:すなわち、VPN接続のための情報)を収集するポリシー管理装置を用いてVPNを自動構築する方法が開示されている。より詳細に説明すると、特許文献1には、各利用者装置から収集したポリシー情報を集約して共通ポリシー情報を生成する処理を上記ポリシー管理装置に実行させ、その共通ポリシー情報を各利用者装置へ配信させる一方、その共通ポリシー情報に基づいてVPN通信のための設定を行う処理を各利用者装置に実行させることが開示されている。
特許第3751622号
特許文献1に開示された技術によれば、ポリシー管理装置により生成された共通ポリシー情報を用いて各利用者装置にVPNを確立させることが可能になるのであるが、その共通ポリシーを生成するためのポリシー情報を各利用者装置から収集する際には、それら利用者装置の各々とポリシー管理装置との間にポリシー情報の送受信のための制御用VPNを確立してその送受信を行っている。上記ポリシー情報が漏洩してしまうと、そのポリシー情報を利用した不正アクセスが可能になってしまうため、その送受信のセキュリティを確保しておく必要があるのは当然であるが、各利用者装置とポリシー管理装置との間に制御用VPNを確立できるようにするためには、その制御用VPNについての上記設定作業を行っておく必要があり、結局、運用管理者の作業負担を軽減することはできない。
本発明は、上記課題に鑑みて為されたものであり、複数の通信装置の各々の間に確立されるVPNの運用管理に要する作業負担を軽減させることを可能にする技術を提供することを目的としている。
本発明は、上記課題に鑑みて為されたものであり、複数の通信装置の各々の間に確立されるVPNの運用管理に要する作業負担を軽減させることを可能にする技術を提供することを目的としている。
上記課題を解決するため、本発明は、各々の間に第1の通信プロトコルにしたがってVPN(Virtual Private Network)による通信路を確立する複数の通信装置と、前記通信路の確立に使用される制御情報であって、その通信路の両端に位置する通信装置を示す情報を含んでいる制御情報を前記第1の通信プロトコルよりも簡易な第2の通信プロトコルにしたがって前記複数の通信装置の各々へ送信する管理装置と、を備え、前記複数の通信装置の各々は、前記管理装置から送信されてくる前記制御情報にしたがって他の通信装置との間にVPNによる通信路を確立することを特徴とする通信システムを提供する。
より好ましい態様においては、上記通信システムに含まれる複数の通信装置の各々は、前記管理装置から受信した制御情報にしたがって確立した通信路の何れかに障害が発生したことを検出した場合には、少なくともその障害の発生時刻および障害内容を示す障害情報を前記第2の通信プロトコルにしたがって前記管理装置へ送信し、同通信システムに含まれる管理装置は、前記複数の通信装置の各々から送信されてくる障害情報を併合して記憶することを特徴とする。
より好ましい態様においては、上記通信システムに含まれる複数の通信装置の各々は、前記管理装置から受信した制御情報にしたがって確立した通信路の何れかに障害が発生したことを検出した場合には、少なくともその障害の発生時刻および障害内容を示す障害情報を前記第2の通信プロトコルにしたがって前記管理装置へ送信し、同通信システムに含まれる管理装置は、前記複数の通信装置の各々から送信されてくる障害情報を併合して記憶することを特徴とする。
また、上記課題を解決するため、本発明は、他の通信装置との間に第1の通信プロトコルにしたがってVPNによる通信路を確立する通信装置において、前記通信路の確立に使用される制御情報であって、その通信路の両端に位置する通信装置を示す情報を含んでいる制御情報を格納した管理装置と前記第1の通信プロトコルよりも簡易な第2の通信プロトコルにしたがって通信する第1通信部と、前記第1通信部によって前記管理装置から受信した制御情報にしたがって、その制御情報の示す相手装置との間に通信路を確立し通信する第2通信部とを有することを特徴とする通信装置を提供する。
また、上記課題を解決するため、本発明は、各々が第1の通信プロトコルにしたがって他の通信装置との間にVPNによる通信路を確立する複数の通信装置の各々と、前記第1の通信プロトコルよりも簡易な第2の通信プロトコルにしたがって通信する通信部と、前記通信路の確立に使用される制御情報であって、その確立先の通信装置を示す情報を含んでいる制御情報を前記通信部によって前記複数の通信装置の各々へ送信する制御情報送信部とを有することを特徴とする管理装置を提供する。
本発明によれば、複数の通信装置の各々の間に確立されるVPNの運用管理に要する作業負担を軽減させることが可能になる、といった効果を奏する。
以下、図面を参照しつつ本発明の一実施形態について説明する。
(A:構成)
図1は、本発明の一実施形態に係る通信システム1の構成例を示す図である。
図1に示すように、通信システム1には、例えばインターネットなどの一般公衆回線である通信網20に接続されている4台の通信装置(通信装置30A、30B、30Cおよび30D)と、同じく通信網20に接続されている管理装置10とが含まれている。なお、以下では、通信装置30A、30B、30Cおよび30Dの各々を区別する必要がない場合には、「通信装置30」と表記する。
(A:構成)
図1は、本発明の一実施形態に係る通信システム1の構成例を示す図である。
図1に示すように、通信システム1には、例えばインターネットなどの一般公衆回線である通信網20に接続されている4台の通信装置(通信装置30A、30B、30Cおよび30D)と、同じく通信網20に接続されている管理装置10とが含まれている。なお、以下では、通信装置30A、30B、30Cおよび30Dの各々を区別する必要がない場合には、「通信装置30」と表記する。
図1の4台の通信装置30の各々は、例えばパーソナルコンピュータであり、互いに異なる通信アドレスを予め割り当てられている。具体的には、通信装置30Aには通信アドレス“adrA”が、通信装置30Bには通信アドレス“adrB”が、通信装置30Cには通信アドレス“adrC”が、通信装置30Dには通信アドレス“adrD”が割り当てられている。上記4台の通信装置30の各々は、所定の通信プロトコル(例えばIPsecやPPTP)にしたがった手順で他の3台の通信装置との間にVPNトンネル(以下、VPN通信路)を1本ずつ確立しその通信路を介して暗号化したデータ通信を行うものである。このため、本実施形態では、図2に示すフルメッシュ形態のVPNが上記4台の通信装置の間に確立される。前述したように、通信装置30の各々にVPN通信路を確立させるためには、それら通信装置30の各々にVPN接続用の設定作業を予め行っておく必要があるが、本実施形態では、その設定作業により各通信装置30へ設定するべき情報であるVPN接続用の制御情報(図3参照)を管理装置10から各通信装置30へ送信することによって、その設定作業を不要にしている。また、本実施形態では、管理装置10と各通信装置30との間のデータ通信を、IPsecやPPTPに比較して設定作業等が容易で簡便な通信プロトコルであるHTTPS(Hypertext Transfer Protocol Security)に準拠して行うようにしたため、上記制御情報の送受信を可能にするために要する作業量が特許文献1に開示された技術に比較して少なくなっている。
加えて、本実施形態では、図2に示す6本のVPN通信路の何れかにVPNトンネルダウンなどの通信障害が発生した場合に、通信障害が発生したVPN通信路の両端に位置する通信装置30から管理装置10へ宛てて、それら通信装置30の各々で検知された障害の発生時刻およびその障害内容を示す障害情報を送信するように各通信装置30は構成されている。一方、管理装置10は、それら障害情報の表す各障害事象をその発生時刻順に並べ替えて得られる障害履歴情報を記憶するよう構成されている。このような障害履歴情報が生成され管理装置10にて一元管理されるため、本実施形態では、その障害履歴情報を参照しつつ障害分析を行うことが可能になっている。
以下、本発明の特徴を顕著に示す管理装置10および通信装置30を中心に説明する。
以下、本発明の特徴を顕著に示す管理装置10および通信装置30を中心に説明する。
(A−1;管理装置10の構成)
図4は、管理装置10の構成例を示すブロック図である。図4に示すように、管理装置10は、記憶部110、HTTPS通信部120、制御情報送信部130および障害管理部140を有している。記憶部110は、例えばハードディスクなどの不揮発性メモリであり、HTTPS通信部120、制御情報送信部130および障害管理部140の各々は、それぞれ固有の処理を実行する電子回路である。
図4は、管理装置10の構成例を示すブロック図である。図4に示すように、管理装置10は、記憶部110、HTTPS通信部120、制御情報送信部130および障害管理部140を有している。記憶部110は、例えばハードディスクなどの不揮発性メモリであり、HTTPS通信部120、制御情報送信部130および障害管理部140の各々は、それぞれ固有の処理を実行する電子回路である。
記憶部110には、前述した制御情報が格納されている。図3(a)は、管理装置10に記憶されている制御情報の一例を示す図である。図3(a)に示すように、上記制御情報には、図2に示す6本のVPN通信路の各々について、その両端に位置する通信装置30の識別子(本実施形態では、通信装置30に割り当てられている通信アドレス)と、そのVPN通信路の確立に使用する通信プロトコル(本実施形態では、IPsecまたはPPTP)と、そのVPN通信路を確立する際に使用する各種パラメータ(例えば、上記各通信プロトコルにしたがった認証処理を行う際に必要になるパスワードなど)が格納されている。例えば、図3(a)に示す制御情報を管理装置10から受け取った通信装置30Aは、その制御情報の内容にしたがって、通信装置30Bおよび通信装置30Dの各々との間ではIPsecに準拠した手順でVPN通信路を確立し、通信装置30Cとの間ではPPTPに準拠した手順でVPN通信路を確立する。なお、本実施形態では、図3(a)に示すデータ形式の制御情報を用いるが、例えば、図3(b)に示すように、VPN通信路の確立先となる通信装置の識別子と、その確立に使用する通信プロトコルと、その確立の際に使用するパラメータとからなるリストが上記4台の通信装置毎に記載されたデータ形式の制御情報を用いても勿論良い。また、記憶部110には、障害管理部140によって生成される障害履歴情報も書き込まれる。この障害管理部140が実行する処理およびその処理結果である障害履歴情報については後に詳細に説明する。
HTTPS通信部120は、例えばNIC(Network Interface Card)であり、通信網20に接続されている。このHTTPS通信部120は、通信網20を介して通信装置30A、30B、30Cおよび30Dの各々との間に通信コネクションを確立しそれら確立先とHTTPSに準拠したデータ通信を行うものである。詳細については後述するが、本実施形態では、上記4台の通信装置30の各々からは、制御情報の送信を要求する旨の通信メッセージである制御情報要求メッセージと前述した障害情報が書き込まれた通信メッセージである障害通知メッセージとが送信されてくる。なお、上記各通信メッセージのヘッダ部には、その通信メッセージの送信元を示す送信元アドレスが書き込まれているとともに、その通信メッセージが上記2種類のうちの何れであるかを示すメッセージ識別子が書き込まれている。HTTPS通信部120は、通信装置30から受信した通信メッセージのヘッダ部を解析してその通信メッセージが上記2種類の何れであるかを判別する。そして、HTTPS通信部120は、受信した通信メッセージが制御情報要求メッセージである場合には、その制御情報要求メッセージを制御情報送信部130に引き渡し、障害通知メッセージである場合には、その障害通知メッセージを障害管理部140に引き渡す。また、HTTPS通信部120は、上述した制御情報がペイロード部に書き込まれた通信メッセージである制御情報応答メッセージを制御情報送信部130から受け取ると、その制御情報応答メッセージを通信網20へ送出する処理も実行する。
制御情報送信部130は、HTTPS通信部120から制御情報要求メッセージを受け取ったことを契機として、前述した制御情報応答メッセージを生成しHTTPS通信部120に引き渡す処理を実行する。より詳細に説明すると、制御情報送信部130は、制御情報要求メッセージを受け取ったことを契機として、記憶部110から制御情報を読み出し、その制御情報をペイロード部に書き込んだ制御情報応答メッセージを生成し、さらに、送信先アドレスとして、上記制御情報要求メッセージのヘッダ部に書き込まれている送信元アドレスを書き込んでHTTPS通信部120に引き渡す。
障害管理部140は、HTTPS通信部120から受け取った障害通知メッセージに含まれている障害情報から障害履歴情報を生成して記憶部110に書き込む処理(以下、障害履歴情報生成処理)を実行する。前述したように、障害通知メッセージは、VPNトンネルダウンなどの通信障害が発生したVPN通信路の両端に位置する通信装置30の各々から送信されてくるため、1つのVPN通信路に通信障害が発生すると障害管理部140は少なくとも2つの障害通知メッセージを受け取る。障害通知メッセージには、その送信元である通信装置30にて検知された障害の内容を示す障害内容データとその障害の発生時刻を示す発生時刻データとからなる障害情報が含まれており、障害管理部140は、HTTPS通信部120から受け取った各障害通知メッセージに含まれている障害情報の各々に含まれている障害内容データとその送信元アドレスとを発生時刻が若い順に並べ替えつつ記憶部110内の所定領域(すなわち、障害履歴情報用に予め割り当てられた記憶領域)に書き込む(マージとも呼ぶ)ことで、上述した障害履歴情報を生成する。また、障害管理部140は、管理装置10の操作部(例えば、キーボード:図示省略)を介して与えられる指示に応じて記憶部110から障害履歴情報を読み出し、管理装置10の表示部(例えば、液晶ディスプレイ;図示省略)に表示する処理も実行する。このようにして管理装置10の表示部に表示される障害履歴情報を閲覧することにより、通信システム1の運用管理者は、通信システム1に生じている通信障害を把握しその原因究明を行うことができるのである。なお、本実施形態では、各通信装置30から受信した障害情報をマージして得られる障害履歴情報を管理装置10の記憶部に記憶する場合について説明したが、各通信装置30から受信した障害情報をその送信元毎に分類して記憶部110に記憶し、上記閲覧指示が与えられたことを契機として上記障害履歴情報の生成を行っても勿論良い。
以上が管理装置10の構成である。
以上が管理装置10の構成である。
(A−2;通信装置30の構成)
次いで、通信装置30の構成について図5を参照しつつ説明する。図5は、通信装置30の構成例を示すブロック図である。図5に示すように通信装置30は、HTTPS通信部310、VPN通信部320および障害通知部330を有している。これらは何れも電子回路であり、各々固有の処理を実行する。
次いで、通信装置30の構成について図5を参照しつつ説明する。図5は、通信装置30の構成例を示すブロック図である。図5に示すように通信装置30は、HTTPS通信部310、VPN通信部320および障害通知部330を有している。これらは何れも電子回路であり、各々固有の処理を実行する。
HTTPS通信部310は、HTTPS通信部120と同様、NIC(Network Interface Card)であり、通信網20に接続されている。このHTTPS通信部310は、通信網20を介してHTTPS通信部120とHTTPSにしたがったデータ通信を行うためのものであり、前述した制御情報要求メッセージや障害通知メッセージの送信、制御情報応答メッセージの受信を行う。より詳細に説明すると、HTTPS通信部310は、自装置の電源(図示省略)が投入されたことを契機として前述した制御情報要求メッセージを生成し管理装置10へ宛てて送信するとともに、管理装置10から返信されてくる制御情報応答メッセージを受信すると、その制御情報応答メッセージをVPN通信部320に引き渡す。また、HTTPS通信部310は、障害情報がペイロード部に書き込まれた障害通知メッセージを障害通知部330から受け取ると、その障害通知メッセージを管理装置10へ宛てて送信する。
VPN通信部320は、通信網20を介して他の通信装置30のVPN通信部320との間にVPN通信路を確立し、その通信路を介して暗号化したデータ通信を行うものである。より詳細に説明すると、VPN通信部320は、HTTPS通信部310から制御情報応答メッセージを受け取ると、その制御情報応答メッセージのペイロード部に書き込まれている制御情報を読み出し、その制御情報の示す相手装置との間にその制御情報の示す通信プロトコルにしたがってVPN通信路を確立する処理(以下、VPN確立処理)を実行する。通信装置30は、HTTPS通信部310とVPN通信部320の2つの通信部を有しているため、他の通信装置30との間に確立したVPN通信路を維持したまま、管理装置10との間でHTTPSにしたがったデータ通信を行うことができる。
障害通知部330は、VPN通信部320によるデータ通信が行われている間、そのデータ通信が正常に行われているか否かを監視する。そして、障害通知部330は、VPNトンネルダウンなどの通信障害が発生した場合には、その発生時刻を示すデータとその障害内容を示すデータ(例えば、IPsecやPPTP等VPN通信路の確立に使用していた通信プロトコルのステータスやVPN通信部320を駆動するドライバのステータス等)をログ(例えば、syslog)に追記し、さらに、その追記後のログを前述した障害情報としてペイロード部に書き込んだ障害通知メッセージを生成してHTTPS通信部310に引き渡す処理を実行する。
以上が通信装置30の構成である。
以上が通信装置30の構成である。
(B:動作)
次いで、管理装置10および通信装置30が実行する動作のうち、本発明の特徴を顕著に示している動作について図面を参照しつつ説明する。
(B−1:フルメッシュ形態のVPNの確立動作)
まず、図2に示すフルメッシュ形態のVPNを確立する際に通信システム1の各装置が実行する動作について説明する。
前述したように、通信装置30のHTTPS通信部310は、自装置の電源(図示省略)が投入されると、前述した制御情報要求メッセージを生成し、その制御情報要求メッセージを管理装置10へ宛てて送信する。このようにして通信装置30A、30B、30Cおよび30Dの各々から送信される制御情報要求メッセージは通信網20内のネットワーク機器(例えばルータ)によってルーティングされ、管理装置10に到達する。この制御情報要求メッセージは、HTTPS通信部120によって受信され、制御情報送信部130に引き渡される。この制御情報要求メッセージを受け取った制御情報送信部130は、前述した制御情報(図3(a)参照)を記憶部110から読み出し、その制御情報を書き込んだ制御情報応答メッセージをHTTPS通信部120によって上記制御情報要求メッセージの送信元へ宛てて送信する。これにより、管理装置10に格納されている制御情報が通信装置30A、30B、30Cおよび30Dの各々に与えられるのである。
次いで、管理装置10および通信装置30が実行する動作のうち、本発明の特徴を顕著に示している動作について図面を参照しつつ説明する。
(B−1:フルメッシュ形態のVPNの確立動作)
まず、図2に示すフルメッシュ形態のVPNを確立する際に通信システム1の各装置が実行する動作について説明する。
前述したように、通信装置30のHTTPS通信部310は、自装置の電源(図示省略)が投入されると、前述した制御情報要求メッセージを生成し、その制御情報要求メッセージを管理装置10へ宛てて送信する。このようにして通信装置30A、30B、30Cおよび30Dの各々から送信される制御情報要求メッセージは通信網20内のネットワーク機器(例えばルータ)によってルーティングされ、管理装置10に到達する。この制御情報要求メッセージは、HTTPS通信部120によって受信され、制御情報送信部130に引き渡される。この制御情報要求メッセージを受け取った制御情報送信部130は、前述した制御情報(図3(a)参照)を記憶部110から読み出し、その制御情報を書き込んだ制御情報応答メッセージをHTTPS通信部120によって上記制御情報要求メッセージの送信元へ宛てて送信する。これにより、管理装置10に格納されている制御情報が通信装置30A、30B、30Cおよび30Dの各々に与えられるのである。
例えば、上記制御情報を受け取った後、上記4台の通信装置の各々が、VPN通信部320によるVPN確立処理を通信装置30A、30B、30Cおよび30Dの順に実行すると、図6(a)から図6(c)に示す手順でこれら4台の通信装置の各々の間にフルメッシュ形態のVPNが確立される。より詳細に説明すると、まず、通信装置30AのVPN通信部320が制御情報(図3(a))にしたがってVPN確立処理を行うことにより、通信装置30Aと通信装置30Bとの間、通信装置30Aと通信装置30Cとの間、および通信装置30Aと通信装置30Dとの間にVPN通信路(図6(a)では実線矢印で表記)が確立される(図6(a)参照)。
図6(a)に示す状態で通信装置30BのVPN通信部320が制御情報(図3(a))にしたがってVPN確立処理を行うと、通信装置30Bと通信装置30Cとの間および通信装置30Bと通信装置30Dとの間にVPN通信路が確立される(図6(b)参照:図6(b)では、その前段階で確立済の通信路が点線矢印で示されている。以下、図6(c)も同様)。なお、上記制御情報においては、通信装置30BとVPN通信路を確立するべき相手装置として、通信装置30A、30Cおよび30Dの3台が定められている。しかし、通信装置30Aと通信装置30Bとの間のVPN通信路は、通信装置30AのVPN通信部320によるVPN確立処理で確立済であるため、通信装置30BのVPN通信部320が実行するVPN確立処理では、通信装置30Aと通信装置30Bとの間のVPN通信路を除いた他の2本の確立が実行されるのである。そして、図6(b)に示す状態で通信装置30CのVPN通信部320が制御情報(図3(a))にしたがってVPN確立処理を行うと、通信装置30Cと通信装置30Dとの間にVPN通信路が確立され(図6(c)参照)、図2に示すフルメッシュ形態のVPNの確立が完了するのである。
以上説明したように、フルメッシュ形態のVPNの確立が完了すると、通信システム1に含まれる4台の通信装置30の各々は、他の3台の通信装置30の何れとの間でもVPN通信路を介した安全性の高いデータ通信を行うことが可能になる。
以上説明したように、フルメッシュ形態のVPNの確立が完了すると、通信システム1に含まれる4台の通信装置30の各々は、他の3台の通信装置30の何れとの間でもVPN通信路を介した安全性の高いデータ通信を行うことが可能になる。
(B−2:障害情報収集処理)
次いで、4台の通信装置30の各々の間に確立された6本のVPN通信路の何れかに障害が発生した場合の動作について説明する。
前述したようにVPN通信路の両端に位置する通信装置30の各々においては、そのVPN通信路を介したデータ通信が正常に行われているか否かの障害監視が障害通知部330によって行われている。そして、障害通知部330は、何らかの障害の発生を検知すると、その発生時刻および障害内容をその発生時刻順に書き込んだ障害情報をペイロード部に書き込んだ障害通知メッセージを生成し、その障害通知メッセージをHTTPS通信部310に引き渡す。この障害情報を受け取ったHTTPS通信部310は、その障害通知メッセージをHTTPSにしたがって管理装置10へ宛てて送信する。例えば、図7に示すように通信装置30Cと30Dの間のVPN通信路に何らかの障害が発生した場合には、通信装置30Cと通信装置30Dの各々から上記障害通知メッセージが管理装置10宛に送信される。
次いで、4台の通信装置30の各々の間に確立された6本のVPN通信路の何れかに障害が発生した場合の動作について説明する。
前述したようにVPN通信路の両端に位置する通信装置30の各々においては、そのVPN通信路を介したデータ通信が正常に行われているか否かの障害監視が障害通知部330によって行われている。そして、障害通知部330は、何らかの障害の発生を検知すると、その発生時刻および障害内容をその発生時刻順に書き込んだ障害情報をペイロード部に書き込んだ障害通知メッセージを生成し、その障害通知メッセージをHTTPS通信部310に引き渡す。この障害情報を受け取ったHTTPS通信部310は、その障害通知メッセージをHTTPSにしたがって管理装置10へ宛てて送信する。例えば、図7に示すように通信装置30Cと30Dの間のVPN通信路に何らかの障害が発生した場合には、通信装置30Cと通信装置30Dの各々から上記障害通知メッセージが管理装置10宛に送信される。
上記のようにして送信された障害通知メッセージが管理装置10に到達すると、前述した障害履歴情報生成処理が障害管理部140によって実行される。例えば、障害管理部140が、図7に示すように、障害事象A、事象Bおよび事象Cの各々が時刻t1、t3およびt4に発生したことを示す障害情報1が書き込まれた障害通知メッセージを通信装置30Cから受信し、障害事象Xおよび事象Yの各々が時刻t2およびt5に発生したことを示す障害情報2が書き込まれた障害通知メッセージを通信装置30Dから受信したとする。この場合、障害管理部140は、上記2つの障害情報の各々が示す障害内容を示すデータをその発生時刻順に並べつつマージして図7に示す障害履歴情報を生成し記憶部110に書き込む。このように、本実施形態においては障害が発生したVPNの両端に位置する通信装置30の各々で検知された障害を表す障害情報が管理装置10に集積され、時系列順に編集されて一元管理される。従来の通信システムにおいて何らかの障害が発生した場合には、その通信システムの運用管理者がその障害の発生元にアクセスしてその原因を分析するために必要な情報を収集しなければならなかったが、本実施形態では、上記障害情報の一元管理が為されるため、障害の原因分析および復旧などの運用管理に要する作業負荷が削減される。なお、本実施形態では、障害の発生時刻順に複数の障害情報をマージしたが、障害内容を表す文字列を辞書順(アルファベット順や五十音順)にマージして障害履歴情報を生成しても良く、その障害情報の送信元である通信装置の通信アドレスの昇順または降順に並べ替えてマージしても良い。
以上説明したように、本実施形態に係る通信システムにおいては、通信装置30の各々の間にVPN通信路を確立するための設定作業に要する手間が削減されるとともに、障害分析等に要する手間も削減される。つまり、本実施形態によれば、複数の通信装置の各々の間に確立されるVPNの運用管理に要する作業負担を軽減させることが可能になる、といった効果を奏する。
(C:変形)
以上本発明の一実施形態について説明したが、かかる実施形態に以下に述べる変形を加えても良いことは勿論である。
(1)上述した実施形態では、通信装置30と管理装置10とを各々別個のハードウェアで構成したが、通信システム1に含まれる4台の通信装置30の何れかに管理装置10の役割を担わせても勿論良い。また、上述した実施形態では、通信装置30がパーソナルコンピュータである場合について説明したが、通信装置30は、例えばLAN(Local Area Network)などのプライベートネットワークと一般公衆回線である通信網20とを接続するルータなどの中継装置であっても良い。
以上本発明の一実施形態について説明したが、かかる実施形態に以下に述べる変形を加えても良いことは勿論である。
(1)上述した実施形態では、通信装置30と管理装置10とを各々別個のハードウェアで構成したが、通信システム1に含まれる4台の通信装置30の何れかに管理装置10の役割を担わせても勿論良い。また、上述した実施形態では、通信装置30がパーソナルコンピュータである場合について説明したが、通信装置30は、例えばLAN(Local Area Network)などのプライベートネットワークと一般公衆回線である通信網20とを接続するルータなどの中継装置であっても良い。
(2)上述した実施形態では、VPN通信路を確立するための通信プロトコルとしてIPsecまたはPPTPを用いたが、他の通信プロトコルを用いてVPN通信路を確立しても勿論良い。また、本実施形態では、VPN通信路を確立する際に必要となる制御情報をHTTPSを用いて送受信したが、セキュリティ確保が可能で、かつ、IPsecやPPTPに比較して設定項目数が少なく簡便な通信プロトコルであれば、HTTPS以外の通信プロトコルを用いて制御情報を送受信しても良い。
(3)上述した実施形態では、各々固有の処理を実行する電子回路であるHTTPS通信部120と制御情報送信部130と障害管理部140とを組み合わせて管理装置10を構成した。しかし、CPU(Central Processing Unit)を上記各部として機能させるプログラムをコンピュータ装置に記憶させておき、そのCPUを上記プログラムにしたがって作動させることで、そのコンピュータ装置を本発明に係る管理装置として動作させても良い。同様に、上述した実施形態では、HTTPS通信部310とVPN通信部320と障害通知部330を組み合わせて通信装置30を構成したが、CPUを上記各部として機能させるプログラムをコンピュータ装置に記憶させておき、そのCPUを上記プログラムにしたがって作動させることで、そのコンピュータ装置を本発明に係る通信装置として動作させても良い。また、例えば光磁気ディスクやフラッシュメモリなどのコンピュータ装置読み取り可能な記録媒体に上記各プログラムを書き込んで配布し、その記録媒体を用いて一般的なコンピュータ装置に上記プログラムを記憶させても良く、インターネットなどの電気通信回線経由のダウンロードにより上記各プログラムを配布しても良い。
1…通信システム、10…管理装置、110…記憶部、120…HTTPS通信部、130…制御情報送信部、140…障害管理部、20…通信網、30,30A,30B,30C,30D…通信装置、310…HTTPS通信部、320…VPN通信部、330障害通知部。
Claims (4)
- 各々の間に第1の通信プロトコルにしたがってVPN(Virtual Private Network)による通信路を確立する複数の通信装置と、前記通信路の確立に使用される制御情報であって、その通信路の両端に位置する通信装置を示す情報を含んでいる制御情報を前記第1の通信プロトコルよりも簡易な第2の通信プロトコルにしたがって前記複数の通信装置の各々へ送信する管理装置と、
を備え、
前記複数の通信装置の各々は、前記管理装置から送信されてくる前記制御情報にしたがって他の通信装置との間にVPNによる通信路を確立する
ことを特徴とする通信システム。 - 前記複数の通信装置の各々は、前記管理装置から受信した制御情報にしたがって確立した通信路の何れかに障害が発生したことを検出した場合には、少なくともその障害の発生時刻および障害内容を示す障害情報を前記第2の通信プロトコルにしたがって前記管理装置へ送信し、
前記管理装置は、前記複数の通信装置の各々から送信されてくる障害情報を併合して記憶する
ことを特徴とする請求項1に記載の通信システム。 - 他の通信装置との間に第1の通信プロトコルにしたがってVPNによる通信路を確立する通信装置において、
前記通信路の確立に使用される制御情報であって、その通信路の両端に位置する通信装置を示す情報を含んでいる制御情報を格納した管理装置と前記第1の通信プロトコルよりも簡易な第2の通信プロトコルにしたがって通信する第1通信部と、
前記第1通信部によって前記管理装置から受信した制御情報にしたがって、その制御情報の示す相手装置との間に通信路を確立し通信する第2通信部と、
を有することを特徴とする通信装置。 - 各々が第1の通信プロトコルにしたがって他の通信装置との間にVPNによる通信路を確立する複数の通信装置の各々と、前記第1の通信プロトコルよりも簡易な第2の通信プロトコルにしたがって通信する通信部と、
前記通信路の確立に使用される制御情報であって、その確立先の通信装置を示す情報を含んでいる制御情報を前記通信部によって前記複数の通信装置の各々へ送信する制御情報送信部と、
を有することを特徴とする管理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007184850A JP2009021952A (ja) | 2007-07-13 | 2007-07-13 | 通信システム、通信装置および管理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007184850A JP2009021952A (ja) | 2007-07-13 | 2007-07-13 | 通信システム、通信装置および管理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009021952A true JP2009021952A (ja) | 2009-01-29 |
Family
ID=40361153
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007184850A Withdrawn JP2009021952A (ja) | 2007-07-13 | 2007-07-13 | 通信システム、通信装置および管理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009021952A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010200032A (ja) * | 2009-02-25 | 2010-09-09 | Ntt Communications Kk | Vpn制御装置、vpn接続装置、vpn設定方法、及びプログラム |
KR101308089B1 (ko) * | 2011-12-29 | 2013-09-12 | 주식회사 시큐아이 | 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법 |
CN110878692A (zh) * | 2018-09-05 | 2020-03-13 | 北京国双科技有限公司 | 故障报警方法及装置 |
-
2007
- 2007-07-13 JP JP2007184850A patent/JP2009021952A/ja not_active Withdrawn
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010200032A (ja) * | 2009-02-25 | 2010-09-09 | Ntt Communications Kk | Vpn制御装置、vpn接続装置、vpn設定方法、及びプログラム |
KR101308089B1 (ko) * | 2011-12-29 | 2013-09-12 | 주식회사 시큐아이 | 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법 |
CN110878692A (zh) * | 2018-09-05 | 2020-03-13 | 北京国双科技有限公司 | 故障报警方法及装置 |
CN110878692B (zh) * | 2018-09-05 | 2023-10-27 | 北京国双科技有限公司 | 故障报警方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10326741B2 (en) | Secure communication secret sharing | |
JP4016998B2 (ja) | 通信装置およびプログラム | |
JP4307448B2 (ja) | 分散オブジェクトを単一表現として管理するシステムおよび方法 | |
US8418244B2 (en) | Instant communication with TLS VPN tunnel management | |
US20130305091A1 (en) | Drag and drop network topology editor for generating network test configurations | |
CN107078921A (zh) | 用于基于商业意图驱动策略的网络业务表征、监视和控制的方法和系统 | |
JP2007194764A (ja) | 運用管理システム | |
US7974220B2 (en) | System and method for overlaying a hierarchical network design on a full mesh network | |
JP2000324104A (ja) | バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム | |
US9584485B2 (en) | Key encryption system, method, and network devices | |
CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
JP2009021952A (ja) | 通信システム、通信装置および管理装置 | |
JPWO2006067831A1 (ja) | 中継処理プログラム及び通信処理プログラム、並びにファイアウォールシステム | |
JP5601067B2 (ja) | 中継装置 | |
JP4584276B2 (ja) | デジタル証明書検索装置、方法及びプログラム | |
EP2383655A1 (en) | Information processor and communication control method for the same | |
US7729289B2 (en) | Method, system and computer program product for routing information across firewalls | |
US8572383B2 (en) | Key exchange device, key exchange processing system, key exchange method, and program | |
JP4658901B2 (ja) | システムおよびネットワーク監視方法 | |
Cisco | Configuring Network Data Encryption | |
Cisco | Configuring Network Data Encryption | |
CN114553633B (zh) | 隧道协商方法及装置 | |
JP2012160941A (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP4873743B2 (ja) | 通信管理システム及びソケット管理サーバ及び通信管理方法 | |
JP4418409B2 (ja) | プレミアパケット識別装置、端末装置、プレミアパケット識別システムおよびプレミアパケット識別方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20101005 |