JP2010028295A - Vpnサーバ、通信制御方法、および、プログラム - Google Patents
Vpnサーバ、通信制御方法、および、プログラム Download PDFInfo
- Publication number
- JP2010028295A JP2010028295A JP2008184945A JP2008184945A JP2010028295A JP 2010028295 A JP2010028295 A JP 2010028295A JP 2008184945 A JP2008184945 A JP 2008184945A JP 2008184945 A JP2008184945 A JP 2008184945A JP 2010028295 A JP2010028295 A JP 2010028295A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- vpn
- communication
- lan
- broadcast
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】ブロードキャストデータのトラヒック量を測定することなく、VPNでの通信性能の劣化を少なくできるVPNサーバ、通信制御方法、および、プログラムを提供する。
【解決手段】VPNサーバは、LANと接続し、また、通信端末との間にVPNを設定して通信端末とLANとを接続する接続手段と、前記接続手段が、前記LANから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットのうち、予め設定された特定パケットを破棄して、当該特定パケットを前記VPNに送信することを禁止する制御手段と、を含む。
【選択図】図1
【解決手段】VPNサーバは、LANと接続し、また、通信端末との間にVPNを設定して通信端末とLANとを接続する接続手段と、前記接続手段が、前記LANから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットのうち、予め設定された特定パケットを破棄して、当該特定パケットを前記VPNに送信することを禁止する制御手段と、を含む。
【選択図】図1
Description
本発明は、VPN(Virtual Private Network)サーバ、通信制御方法、および、プログラムに関する
公衆回線上に構築される仮想の専用回線は、一般にVPNと呼ばれる。VPNは、例えば、屋外の移動端末が、社内のLAN(Local Area Network)上に存在するIT(Information Technology)リソースに安全にアクセスするために使用されている。
多くの移動端末は、電気通信事業者の提供するモバイル通信カードを用いて、モバイル回線(移動通信用の回線)で通信する。VPNサーバは、例えば、モバイル回線を介して接続された移動端末との間にVPNを設定して、移動端末を社内のLANに接続する。
なお、モバイル通信カードの通信帯域は、通常のLANの通信帯域よりも狭い場合が多い。
また、特許文献1には、ブロードキャストデータをフィルタリングするトラヒック調節装置が記載されている。
このトラヒック調節装置は、ATM(Asynchronous Transfer Mode)網とLAN網とを相互接続するATM−LAN間接続機器のLAN網側受信部に実装される。このトラヒック調節装置は、LAN網からATM網へ送信されるブロードキャストデータのトラヒックを測定し、その測定結果に応じて、ブロードキャストデータをフィルタリングする。
特開平10−65706号公報
移動端末がVPNを介して社内のLANと接続されている状況で、LAN側の機器が、ブロードキャストパケットを送信すると、そのブロードキャストパケットは、VPNが構築されたモバイル回線を介して、移動端末に流れてくる。
このため、VPNが構築されたモバイル回線では、LANからのブロードキャストパケットが、移動端末のユニキャスト通信を圧迫してしまい、大きな遅延やパケットロストが発生するという課題があった。
また、特許文献1に記載のトラヒック調節装置は、ブロードキャストデータのトラヒックを測定し、その測定結果に応じて、ブロードキャストデータをフィルタリングする。
このため、このトラヒック調節装置は、ブロードキャストデータのトラヒック量に関係なくブロードキャストデータをフィルタリングするシステムで使用されるとき、ブロードキャストデータのトラヒック量を測定するという無駄な処理を行ってしまうという課題を有していた。
本発明の目的は、上述した課題を解決可能なVPNサーバ、通信制御方法、および、プログラムを提供することである。
本発明のVPNサーバは、LANと接続し、また、通信端末との間にVPNを設定して前記通信端末と前記LANとを接続する接続手段と、前記接続手段が、前記LANから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットのうち、予め設定された特定パケットを破棄して、当該特定パケットを前記VPNに送信することを禁止する制御手段と、を含む。
本発明の通信制御方法は、VPNサーバが行う通信制御方法であって、LANと接続し、また、通信端末との間にVPNを設定して前記通信端末と前記LANとを接続する接続ステップと、前記LANから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットのうち、予め設定された特定パケットを破棄して、当該特定パケットを前記VPNに送信することを禁止する制御ステップと、を含む。
本発明のプログラムは、コンピュータに、LANと接続し、また、通信端末との間にVPNを設定して前記通信端末と前記LANとを接続する接続手順と、前記LANから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットのうち、予め設定された特定パケットを破棄して、当該特定パケットを前記VPNに送信することを禁止する制御手順と、を実行させる。
本発明によれば、ブロードキャストデータのトラヒック量を測定することなく、VPNでの通信性能の劣化を少なくすることが可能になる。
以下、本発明の実施形態を、図面を参照して説明する。
(第1の実施形態)
図1は、本発明の第1の実施形態であるVPNサーバを含むVPNシステムを示したブロック図である。
図1は、本発明の第1の実施形態であるVPNサーバを含むVPNシステムを示したブロック図である。
図1において、VPNシステムは、VPNサーバ110と、DHCP(Dynamic Host Configuration Protocol)サーバ120と、ファイルサーバ130と、スイッチ140と、ファイアウォール150と、移動端末210と、基地局220と、を含む。
VPNサーバ110と、DHCPサーバ120と、ファイルサーバ130と、スイッチ140と、ファイアウォール150とは、例えば、特定の会社内にあり、社内のLAN(以下「社内LAN」と称する)によって接続されている。なお、LANは、社内LANに限らない。
移動端末210と、基地局220とは、その特定の会社の外にある。移動端末210は、移動通信用の公衆回線を介して、基地局220と接続する。
社内の機器は、社外の機器と、インターネット310を介して接続される。
図2は、VPNサーバ110を示したブロック図である。
図2において、VPNサーバ110は、NIC(Network Interface Card)111と、ルーティング処理部113と、SSL(Secure Socket Lay)処理部114と、ユーザ認証部115と、仮想NIC116と、を含む。ルーティング処理部113は、ブロードキャストフィルタ部112を含む。仮想NIC116は、クライアントソフトによって提供される。
NIC111と、ユーザ認証部115と、仮想NIC116とは、接続部110aに含まれる。ブロードキャストフィルタ部112と、ルーティング処理部113と、SSL処理部114とは、制御部110bに含まれる。
接続部110aは、一般的に接続手段と呼ぶことができる。
接続部110aは、社内LANに接続される。また、接続部110aは、移動端末210との間にVPNを設定して移動端末210と社内LANとを接続する。このため、例えば、基地局220が提供する公衆回線(移動通信用のモバイル回線)上に、VPNが設定される。
接続部110aは、移動端末210から基地局220等を介してユーザ情報などを受け付けると、基地局220等を介して移動端末210と接続する。
移動端末210からのユーザ情報が、予め接続部110aに登録されていると、接続部110aは、VPNサーバ110と移動端末210の間に、VPNトンネルを張る。つまり、接続部110aは、VPNを介して移動端末210と接続する。
なお、複数の移動端末210が存在する場合、接続部110aは、複数の移動端末210のそれぞれとの間にVPNを別々に設定して、複数の移動端末210と社内LANとを接続する。
制御部110bは、一般的に制御手段と呼ぶことができる。
制御部110bは、接続部110aが、社内LANから、ブロードキャストパケットを受信した場合、そのブロードキャストパケットのうち、予め設定された特定パケットを破棄して、その特定パケットをVPNに送信することを禁止する。
なお、特定パケットしては、例えば、ARP(Address Resolution Protocol)パケットでなくDHCPパケットでもない通信用パケットが用いられる。
本実施形態では、制御部110bは、接続部110aが社内LANから受信したブロードキャストパケットが、通信用パケットである場合、通信用パケットを破棄して、通信用パケットをVPNに送信することを禁止する。
なお、接続部110aが社内LANから受信したブロードキャストパケットが、ARPパケットまたはDHCPパケットである場合、制御部110bは、ARPパケットまたはDHCPパケットをVPNに送信する。
また、制御部110bは、接続部110aが、複数のVPNのいずれかから、ブロードキャストパケットを受信した場合、そのブロードキャストパケットを、複数のVPNのうち、そのブロードキャストパケットが送信されてきたVPN以外のVPNと、社内LANと、に送信する。
なお、VPNサーバ110は、コンピュータにより実現可能である。この場合、VPNサーバ110は、例えば、ディスクに記録されたプログラム(アプリケーション)に従って動作する。ディスクは、一般的に、コンピュータ(VPNサーバ110)にて読み取り可能な記録媒体と呼ぶことができる。
VPNサーバ110は、プログラムをディスク(記録媒体)から読み取り実行することによって、接続部110aおよび制御部110bとして機能する。
NIC111は、Ethernet(イーサネット)フレーム(パケット)を受信する。
ルーティング処理部113は、NIC111が受信したパケットの送信先を割り振る。
ルーティング処理部113が社内LANからのパケットをVPNトンネルへ送信するとき、SSL処理部114は、そのパケットを暗号化する。また、ルーティング処理部113がVPNトンネルからのパケットを社内LANへ流すとき、SSL処理部114は、そのパケットを復号する。
ユーザ認証部115は、VPNのユーザ情報などを有している。ユーザ認証部115は、VPNクライアント(例えば、移動端末210)が接続してきたときに、VPNクライアントからのユーザ情報に基づいて、認証処理を行う。
図3は、移動端末210を示したブロック図である。なお、移動端末210は、一般的に通信端末と呼ぶことができる。
図3において、移動端末210は、モバイル回線カード211と、ルーティング処理部212と、SSL処理部213と、GUI(Graphical User Interface)214と、を含む。
モバイル回線カード211は、電気通信事業者から提供され、基地局220に対してダイヤルアップすることにより、インターネット310に接続する。ルーティング処理部212は、パケットの行き先を割り振る。SSL処理部213は、パケットの暗号化、復号を行う。GUI214は、ユーザからユーザ情報などを受け付ける。
次に、動作を説明する。
まず、VPNトンネルの作成動作について説明する。
移動端末210は、GUI214が受け付けたユーザ情報などをVPNサーバ110に送信して、VPNサーバ110と接続する。
VPNサーバ110では、ユーザ認証部115が、移動端末210からのユーザ情報に基づいて、移動端末210の認証処理を行う。
ユーザ認証部115が移動端末210を認証すると、VPNサーバ110と移動端末210間にVPNトンネルが張られ、VPNサーバ110と移動端末210は、安全な通信を行うことができる。
移動端末210がVPNサーバ110と接続すると、移動端末210は、社内LANに参加することが可能になり、DHCPサーバ120は、移動端末210に、社内LAN用のIP(Internet Protocol)アドレスを割り当てる。
これにより、移動端末210が、社外のネットワークに接続されており、プロバイダ装置230から提供されるIPアドレスを使用している場合でも、クライアントソフトによって提供される仮想NIC116に、社内LAN用のIPアドレスが付与される。
移動端末210が仮想NIC116を用いた通信を行うことによって、移動端末210があたかも社内LANに接続しているかのような環境が実現できる。
これにより、移動端末210のユーザは、社外にいても、移動端末210を用いることによって、安全に、社内リソースであるファイルサーバ130にアクセスすることができる。
次に、パケットの振り分け動作、具体的には、VPNサーバ110が有するブロードキャストフィルタ部112の動作を説明する。
ブロードキャストフィルタ部112は、社内LAN側で発生するブロードキャストパケットをフィルタリングして、社内LAN側で発生するブロードキャストパケットをVPNトンネルに流さないようにする。
しかし、ブロードキャストパケットのうち、ARPパケットとDHCPパケットは、例外である。以下、この点について、説明する。
ARPパケットは、社内LAN側の機器がVPN接続中の端末に対して通信を行おうとするとき、社内LAN側の機器が端末を発見できず通信を行えなくなってしまうことを防ぐために使用される。よって、ブロードキャストフィルタ部112は、社内LAN側の機器がVPN接続中の移動端末210を発見できず通信を行えなくなってしまうことを防止するために、ARPパケットをVPNトンネルに流す。
また、クライアント端末がDHCPサーバ120からアドレスを払い出されるまでの通信シーケンスは、ブロードキャストで行われる。このため、DHCPパケットが流れないと、VPN接続中の端末にIPアドレスを割り当てることができなくなってしまう。よって、ブロードキャストフィルタ部112は、VPN接続中の端末(例えば、移動端末210)にIPアドレスを割り当てるために、DHCPパケットをVPNトンネルに流す。
ブロードキャストフィルタ部112は、受信されたパケットが、マルチキャストであるか、ユニキャストであるかを、そのパケットの宛先MAC(Media Access Control)アドレスのI/Gビットに基づいて判断する。
I/Gビットは、MACアドレスの先頭ビットのことである。I/Gビット=0は、ユニキャストを表し、I/Gビット=1は、マルチキャストを表す。ユニキャストとは、1対1の通信であり、マルチキャストとは、1対多の通信のことである。なお、ブロードキャストは、マルチキャストに含まれる。
図4は、ブロードキャストフィルタ部112の動作、具体的には、社内LANからパケットが入力されたときの動作を説明するためのフローチャートである。
ブロードキャストフィルタ部112は、社内LANからパケットを受信すると、そのパケット(以下「受信パケット」と称する)の送信先MACアドレスのI/Gビットが1になっていて(ステップS1でyes)、EtherTypeがARPまたは送信先ポート番号がDHCPの場合(ステップS2でyes)、その受信パケットすなわちブロードキャストパケットを、VPNトンネルへ送信する(ステップS4)。
受信パケットの送信先MACアドレスのI/Gビットが1になっていて、かつ、受信パケットのEtherTypeがARP以外で受信パケットがDHCPパケットでもないとき(ステップS2でno)、ブロードキャストフィルタ部112は、その受信パケットをVPNトンネルへは送信せず、その受信パケットを破棄する(ステップS5)。
受信パケットの送信先MACアドレスのI/Gビットが0のときは(ステップS1でno)、ブロードキャストフィルタ部112は、宛先MACアドレスへ、その受信パケットを送信する(ステップS3)。
なお、EtherTypeとは、Ethernetフレームの上位層を識別するためのフィールドのことである。
図5は、ブロードキャストフィルタ部112の動作、具体的には、VPNトンネルからパケットが入力されたときの動作を説明するためのフローチャートである。
ブロードキャストフィルタ部112は、VPNトンネルからパケットを受信すると、そのパケットの宛先MACアドレスのI/Gビットが1であれば(ステップS11でyes)、そのパケットを、社内LANと、複数のVPNトンネルのうちそのパケットが送信されてきたVPNトンネル以外のVPNトンネルに送信する(ステップS12)。
受信されたパケットの宛先MACアドレスのI/Gビットが0であれば(ステップS11でno)、ブロードキャストフィルタ部112は、宛先MACアドレスへ、その受信パケットを送信する(ステップS3)。
次に、効果を説明する。
制御部110bは、社内LANからブロードキャストパケットを受信した場合、ブロードキャストパケットのトラヒック量を測定することなく、そのブロードキャストパケットのうち、予め設定された特定パケットを破棄して、その特定パケットがVPNに流れることを禁止する。
このため、社内LANで発生するブロードキャストパケットのうち予め設定された特定パケットが、社内LANより通信帯域の狭いモバイル通信カード211を有する移動端末210に送信されない。よって、社内LANで発生するブロードキャストパケットによって圧迫されていた通信が、改善される。
したがって、移動端末210からVPN接続先へのアクセスを高速化することが可能になる。また、特許文献1に記載のブロードキャストデータのトラヒック量を測定するという不要な処理を省略することができる。
本実施形態では、制御部110bは、接続部110aが社内LANから受信したブロードキャストパケットが、ARPでなくDHCPパケットでもない通信用パケットである場合、通信用パケットを破棄して、通信用パケットをVPNに送信することを禁止し、接続部110aが社内LANから受信したブロードキャストパケットが、ARPパケットまたはDHCPパケットである場合、ARPパケットまたはDHCPパケットをVPNに送信する。
この場合、社内LANからのブロードキャストパケットのうち、通信に必要なブロードキャストパケットは、破棄されずに、VPNへ送信される。よって、ブロードキャストパケットのフィルタリングを適切に行うことが可能となる。
本実施形態では、接続部110aが複数のVPNと接続されている状況で、接続部110aが、複数のVPNのいずれかから、ブロードキャストパケットを受信した場合、制御部110bは、そのブロードキャストパケットを、複数のVPNのうち、そのブロードキャストパケットが送信されてきたVPN以外のVPNと、社内LANと、に送信する。
この場合、VPNからのブロードキャストパケットについては、通常のブロードキャスト処理を行うことができる。
なお、接続部110aが、第1の移動端末との間に第1のVPNを設定し、さらに、第2の移動端末との間に第2のVPNを設定して、第1の移動端末と第2の移動端末とを社内LANに接続している状況で、接続部110aが、第1のVPNから、第2の移動端末宛のパケットを受信した場合、制御部110bは、そのパケットを破棄して、そのパケットを第2のVPNに送信することを禁止してもよい。
この場合、第1のVPNに接続されている移動端末から、第2のVPNに接続されている移動端末への通信を禁止することができる。すなわち、単なる移動端末間の通信において、LANと接続するVPNサーバを経由して通信することを防止できる。
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。
次に、本発明の第2の実施形態を説明する。
移動端末210からの通信は社内LANよりも帯域が狭いため、第2の実施形態では、第1の実施形態よりも、さらに移動端末210への送信パケットを制限し、通信品質の向上を図る。
図6は、本発明の第2の実施形態のVPNサーバ110Aを示したブロック図である。なお、図6において、図2に示したものと同一構成のものには同一符号を付してある。
なお、VPNサーバ110Aの構成は、第1の実施形態のVPNサーバ110のうち、ブロードキャストフィルタ部112の代わりに、ブロードキャストフィルタ部112Aが用いられている点が異なる。
このため、第2の実施形態では、VPNサーバ110A内の制御部110bAは、ブロードキャストフィルタ部112Aと、ルーティング処理部113と、SSL処理部114とを有することになる。
以下、VPNサーバ110Aについて、第1の実施形態と異なる点、つまり、制御部110bAとブロードキャストフィルタ部112Aを中心に説明する。
制御部110bAは、一般的に制御手段と呼ぶことができる。
制御部110bAは、接続部110aが、社内LANから、ブロードキャストパケットを受信した場合、そのブロードキャストパケットのトラヒック量を測定することなく、そのブロードキャストパケットのうち、予め設定された特定パケットを破棄して、その特定パケットがVPNに流れることを禁止する。
本実施形態では、制御部110bAは、接続部110aが社内LANから受信したブロードキャストパケットが、ARPでなくDHCPパケットでもない通信用パケットである場合、通信用パケットを破棄して、通信用パケットがVPNに流れることを禁止する。
なお、接続部110aが社内LANから受信したブロードキャストパケットが、ARPパケットまたはDHCPパケットである場合、制御部110bAは、ARPパケットまたはDHCPパケットをVPNに送信する。
また、制御部110bAは、接続部110aが、複数のVPNのいずれかから、ブロードキャストパケットを受信した場合、そのブロードキャストパケットを、複数のVPNには送信せずに、社内LANに送信する。
また、接続部110aが、第1の移動端末との間に第1のVPNを設定し、さらに、第2の移動端末との間に第2のVPNを設定して、第1の移動端末と第2の移動端末とを社内LANに接続している状況で、接続部110aが、第1のVPNから、第2の移動端末宛のパケットを受信した場合、制御部110bAは、そのパケットを破棄して、そのパケットを第2のVPNに送信することを禁止する。
なお、VPNサーバ110Aは、コンピュータにより実現可能である。この場合、VPNサーバ110Aは、例えば、ディスクに記録されたプログラム(アプリケーション)に従って動作する。
VPNサーバ110Aは、プログラムをディスク(記録媒体)から読み取り実行することによって、接続部110aおよび制御部110bAとして機能する。
次に、ブロードキャストフィルタ部112Aの動作を説明する。
ブロードキャストフィルタ部112Aの動作のうち、社内LANからのパケットを受信したときの動作は、ブロードキャストフィルタ部112の動作と同じである(図4参照)。
図7は、ブロードキャストフィルタ部112Aの動作、具体的には、VPNトンネルからパケットが入力されたときの動作を説明するためのフローチャートである。
ブロードキャストフィルタ部112Aは、VPNトンネルからパケットを受信すると、そのパケットの宛先MACアドレスのI/Gビットが1であれば(ステップS101でyes)、そのパケットを、VPNトンネルへは送信せず、社内LANへのみ送信する(ステップS102)。
そのパケットの宛先MACアドレスのI/Gビットが0であれば(ステップS101でno)、そのパケットの宛先がVPNトンネルの場合(ステップS103でyes)、ブロードキャストフィルタ部112Aは、そのパケットを破棄し(ステップS104)、そうでない場合は(ステップS103でno)、そのパケットを、そのパケットの宛先へ送信する(ステップS105)。
ここで、第2の実施形態と第1の実施形態とを比較する。
第1の実施形態では、VPN接続している移動端末数が多いとき、VPN接続中の移動端末には、他のVPN接続中の移動端末からのブロードキャストパケットも送信され、そのブロードキャストパケットによって移動端末の帯域が圧迫されることになる。
また、VPN接続中の移動端末同士でのユニキャスト通信には、例えばIP電話などが考えられるが、モバイルインタフェースは、もともと帯域が狭いため、VPN接続中の移動端末同士でのユニキャスト通信は適さない。
第2の実施形態では、制御部110bAが、これらの必要性の低いパケットもフィルタリングすることによって、第1の実施形態よりも、さらにVPN通信に最適化した環境が構成される。
なお、上記各実施形態によれば、例えば、社内LANに設置してあるVPNサーバが、不要なブロードキャストパケットをフィルタリングし、不要なブロードキャストパケットをVPNトンネル内に流さないようにすることにより、帯域の狭い通信環境でも通信性能の劣化の少ないVPNシステムを提供することが可能になる。
以上説明した各実施形態において、図示した構成は単なる一例であって、本発明はその構成に限定されるものではない。
110、110A VPNサーバ
110a 接続部
110b、110bA 制御部
111 NIC
112、112A ブロードキャストフィルタ部
113 ルーティング部
114 SSL処理部
115 ユーザ認証部
120 DHCPサーバ
130 ファイルサーバ
140 スイッチ
150 ファイアウォール
210 移動端末
211 モバイル通信カード
212 ルーティング処理部
213 SSL処理部
214 GUI
220 基地局
230 プロバイダ装置
310 インターネット
110a 接続部
110b、110bA 制御部
111 NIC
112、112A ブロードキャストフィルタ部
113 ルーティング部
114 SSL処理部
115 ユーザ認証部
120 DHCPサーバ
130 ファイルサーバ
140 スイッチ
150 ファイアウォール
210 移動端末
211 モバイル通信カード
212 ルーティング処理部
213 SSL処理部
214 GUI
220 基地局
230 プロバイダ装置
310 インターネット
Claims (12)
- LANと接続し、また、通信端末との間にVPNを設定して前記通信端末と前記LANとを接続する接続手段と、
前記接続手段が、前記LANから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットのうち、予め設定された特定パケットを破棄して、当該特定パケットを前記VPNに送信することを禁止する制御手段と、を含むVPNサーバ。 - 請求項1に記載のVPNサーバにおいて、
前記特定パケットは、ARPパケットでなくDHCPパケットでもない通信用パケットであり、
前記制御手段は、前記接続手段が前記LANから受信したブロードキャストパケットが、ARPパケットまたはDHCPパケットである場合、当該ARPパケットまたはDHCPパケットを前記VPNに送信し、前記接続手段が前記LANから受信したブロードキャストパケットが、前記通信用パケットである場合、当該通信用パケットを破棄して、当該通信用パケットを前記VPNに送信することを禁止する、VPNサーバ。 - 請求項1または2に記載のVPNサーバにおいて、
前記接続手段は、複数の前記通信端末のそれぞれとの間に前記VPNを別々に設定して前記複数の通信端末と前記LANとを接続し、
前記制御手段は、前記接続手段が、複数の前記VPNのいずれかから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットを、前記複数のVPNのうち当該ブロードキャストパケットが送信されてきたVPN以外のVPNと、前記LANと、に送信する、VPNサーバ。 - 請求項1または2に記載のVPNサーバにおいて、
前記接続手段は、複数の前記通信端末のそれぞれとの間に前記VPNを別々に設定して前記複数の通信端末と前記LANとを接続し、
前記制御手段は、前記接続手段が、複数の前記VPNのいずれかから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットを、前記複数のVPNのいずれにも送信せずに、前記LANに送信する、VPNサーバ。 - 請求項1から4のいずれか1項に記載のVPNサーバにおいて、
前記接続手段は、第1の通信端末との間に第1のVPNを設定し、さらに、第2の通信端末との間に第2のVPNを設定して、前記第1の通信端末と前記第2の通信端末とを前記LANに接続し、
前記制御手段は、前記接続手段が、前記第1のVPNから、前記第2の通信端末宛のパケットを受信した場合、当該パケットを破棄して、当該パケットを前記第2のVPNに送信することを禁止する、VPNサーバ。 - VPNサーバが行う通信制御方法であって、
LANと接続し、また、通信端末との間にVPNを設定して前記通信端末と前記LANとを接続する接続ステップと、
前記LANから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットのうち、予め設定された特定パケットを破棄して、当該特定パケットを前記VPNに送信することを禁止する制御ステップと、を含む通信制御方法。 - 請求項6に記載の通信制御方法において、
前記特定パケットは、ARPパケットでなくDHCPパケットでもない通信用パケットであり、
前記制御ステップでは、前記LANから受信したブロードキャストパケットが、ARPパケットまたはDHCPパケットである場合、当該ARPパケットまたはDHCPパケットを前記VPNに送信し、前記LANから受信したブロードキャストパケットが、前記通信用パケットである場合、当該通信用パケットを破棄して、当該通信用パケットを前記VPNに送信することを禁止する、通信制御方法。 - 請求項6または7に記載の通信制御方法において、
前記接続ステップでは、複数の前記通信端末のそれぞれとの間に前記VPNを別々に設定して前記複数の通信端末と前記LANとを接続し、
前記制御ステップでは、複数の前記VPNのいずれかから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットを、前記複数のVPNのうち当該ブロードキャストパケットが送信されてきたVPN以外のVPNと、前記LANと、に送信する、通信制御方法。 - 請求項6または7に記載の通信制御方法において、
前記接続ステップでは、複数の前記通信端末のそれぞれとの間に前記VPNを別々に設定して前記複数の通信端末と前記LANとを接続し、
前記制御ステップでは、複数の前記VPNのいずれかから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットを、前記複数のVPNのいずれにも送信せずに、前記LANに送信する、通信制御方法。 - 請求項6から9のいずれか1項に記載の通信制御方法において、
前記接続ステップでは、第1の通信端末との間に第1のVPNを設定し、さらに、第2の通信端末との間に第2のVPNを設定して、前記第1の通信端末と前記第2の通信端末とを前記LANに接続し、
前記制御ステップでは、前記第1のVPNから、前記第2の通信端末宛のパケットを受信した場合、当該パケットを破棄して、当該パケットを前記第2のVPNに送信することを禁止する、通信制御方法。 - コンピュータに、
LANと接続し、また、通信端末との間にVPNを設定して前記通信端末と前記LANとを接続する接続手順と、
前記LANから、ブロードキャストパケットを受信した場合、当該ブロードキャストパケットのうち、予め設定された特定パケットを破棄して、当該特定パケットを前記VPNに送信することを禁止する制御手順と、を実行させるためのプログラム。 - 請求項11に記載のプログラムにおいて、
前記特定パケットは、ARPパケットでなくDHCPパケットでもない通信用パケットであり、
前記制御手順では、前記LANから受信したブロードキャストパケットが、ARPパケットまたはDHCPパケットである場合、当該ARPパケットまたはDHCPパケットを前記VPNに送信し、前記LANから受信したブロードキャストパケットが、前記通信用パケットである場合、当該通信用パケットを破棄して、当該通信用パケットを前記VPNに送信することを禁止する、プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008184945A JP2010028295A (ja) | 2008-07-16 | 2008-07-16 | Vpnサーバ、通信制御方法、および、プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008184945A JP2010028295A (ja) | 2008-07-16 | 2008-07-16 | Vpnサーバ、通信制御方法、および、プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010028295A true JP2010028295A (ja) | 2010-02-04 |
Family
ID=41733734
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008184945A Pending JP2010028295A (ja) | 2008-07-16 | 2008-07-16 | Vpnサーバ、通信制御方法、および、プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010028295A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012060231A (ja) * | 2010-09-06 | 2012-03-22 | Nec Corp | リモートアクセスシステム、サーバ、リモートアクセス方法 |
| JP6400261B1 (ja) * | 2017-09-22 | 2018-10-03 | 三菱電機株式会社 | 通信システムおよび通信方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003124963A (ja) * | 2001-10-10 | 2003-04-25 | Furukawa Electric Co Ltd:The | ネットワーク中継装置、ネットワーク中継方法およびその方法をコンピュータに実行させるプログラム |
-
2008
- 2008-07-16 JP JP2008184945A patent/JP2010028295A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003124963A (ja) * | 2001-10-10 | 2003-04-25 | Furukawa Electric Co Ltd:The | ネットワーク中継装置、ネットワーク中継方法およびその方法をコンピュータに実行させるプログラム |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012060231A (ja) * | 2010-09-06 | 2012-03-22 | Nec Corp | リモートアクセスシステム、サーバ、リモートアクセス方法 |
| JP6400261B1 (ja) * | 2017-09-22 | 2018-10-03 | 三菱電機株式会社 | 通信システムおよび通信方法 |
| WO2019058524A1 (ja) * | 2017-09-22 | 2019-03-28 | 三菱電機株式会社 | 通信システムおよび通信方法 |
| KR20190038572A (ko) * | 2017-09-22 | 2019-04-08 | 미쓰비시덴키 가부시키가이샤 | 통신 시스템 및 통신 방법 |
| KR101975165B1 (ko) | 2017-09-22 | 2019-05-03 | 미쓰비시덴키 가부시키가이샤 | 통신 시스템 및 통신 방법 |
| CN109819689A (zh) * | 2017-09-22 | 2019-05-28 | 三菱电机株式会社 | 通信系统及通信方法 |
| US10523463B2 (en) | 2017-09-22 | 2019-12-31 | Mitsubishi Electric Corporation | Communication system and communication method |
| TWI698148B (zh) * | 2017-09-22 | 2020-07-01 | 日商三菱電機股份有限公司 | 通信系統及通信方法 |
| CN109819689B (zh) * | 2017-09-22 | 2020-07-24 | 三菱电机株式会社 | 通信系统及通信方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107995052B (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
| US10939456B2 (en) | Handling network traffic via a fixed access | |
| EP3459318B1 (en) | Using wlan connectivity of a wireless device | |
| US7310730B1 (en) | Method and apparatus for communicating an encrypted broadcast to virtual private network receivers | |
| US8316226B1 (en) | Adaptive transition between layer three and layer four network tunnels | |
| US20060117174A1 (en) | Method of auto-configuration and auto-prioritizing for wireless security domain | |
| JPWO2006043463A1 (ja) | Vpnゲートウェイ装置およびホスティングシステム | |
| WO2009138034A1 (en) | Method and apparatus for internet protocol version six (ipv6) addressing and packet filtering in broadband networks | |
| WO2016180020A1 (zh) | 一种报文处理方法、设备和系统 | |
| WO2010045833A1 (zh) | 无线服务网络中报文的处理方法、系统和设备 | |
| WO2022142905A1 (zh) | 报文转发的方法、装置和网络系统 | |
| Hesham et al. | A simplified network access control design and implementation for M2M communication using SDN | |
| US7567522B2 (en) | Suppression of router advertisement | |
| WO2007033541A1 (fr) | Procede de realisation de securisation du reseau par segmentation le ttl | |
| JP2007150633A (ja) | 無線lanアクセスポイント、これを用いたipアドレスの管理方法並びに管理プログラム | |
| JP2010028295A (ja) | Vpnサーバ、通信制御方法、および、プログラム | |
| WO2020029793A1 (zh) | 一种上网行为管理系统、设备及方法 | |
| KR100728292B1 (ko) | 가상 랜 네트워크 및 그 서비스 제공 방법 | |
| JP2005057693A (ja) | ネットワーク仮想化システム | |
| JP2006279771A (ja) | パケット伝送方式およびパケット伝送プログラム | |
| Cisco | Intranet and Extranet VPN Business Scenarios | |
| EP3544266B1 (en) | Network bridge and network management method | |
| US20200287868A1 (en) | Systems and methods for in-band remote management | |
| RU2635216C1 (ru) | Способ маршрутизации IP-пакетов при использовании VPLS совместно с DHCP в сети с коммутацией пакетов | |
| JP2009033215A (ja) | Vpnユーザ管理方法、vpnサービスネットワークシステム、vpn接続サーバ、vpn転送装置およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110811 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110824 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20111220 |