JP2010157858A - Vpn connection device, dns packet control method, and program - Google Patents
Vpn connection device, dns packet control method, and program Download PDFInfo
- Publication number
- JP2010157858A JP2010157858A JP2008334388A JP2008334388A JP2010157858A JP 2010157858 A JP2010157858 A JP 2010157858A JP 2008334388 A JP2008334388 A JP 2008334388A JP 2008334388 A JP2008334388 A JP 2008334388A JP 2010157858 A JP2010157858 A JP 2010157858A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- host device
- host
- address
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 15
- 238000004891 communication Methods 0.000 claims abstract description 48
- 230000004044 response Effects 0.000 claims abstract description 38
- 238000012546 transfer Methods 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 abstract description 10
- 238000005316 response function Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 238000010276 construction Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 239000000969 carrier Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Abstract
Description
本発明は、VPN(Virtual Private Network)技術に関するものであり、特に、既存のネットワークを変更することなく、VPNを簡易かつ柔軟に導入することを可能とする技術に関連するものである。 The present invention relates to a VPN (Virtual Private Network) technique, and particularly relates to a technique that enables a VPN to be introduced easily and flexibly without changing an existing network.
近年、企業内ネットワークの拠点間接続等に、専用線に代えてVPNが用いられるケースが増えている。VPNは、トンネリング技術を利用して、インターネット等の公衆回線をあたかも専用回線のように利用して拠点間の接続を可能とする技術である。 In recent years, VPNs are increasingly used in place of dedicated lines for inter-company network connection. VPN is a technology that enables connection between bases by using a public line such as the Internet as if it is a dedicated line using tunneling technology.
VPNの導入形態としては種々のものがあるが、VPNを構築しようとする企業等が、通信事業者にVPN構築に係る申し込みを行い、通信事業者が、機器の設置、ネットワークの設定等を行うのが一般的である。 There are various types of VPN implementations, but companies that want to build VPNs apply to VPN operators for VPN construction, and carriers set up devices and set up networks. It is common.
なお、VPNに関する従来技術として例えば特許文献1に記載された技術がある。
上述したような一般的なVPN構築においては、企業における既存のネットワーク機器の一部をVPN専用の機器に変更したり、既存のネットワーク構成を変更する必要がある。また、新たなVPNの構築が完了するまでにある程度の期間がかかる。 In the general VPN construction as described above, it is necessary to change some of the existing network devices in the company to VPN dedicated devices or to change the existing network configuration. In addition, it takes a certain amount of time to complete the construction of a new VPN.
従って、例えば、ある期間だけ特定の拠点間をVPNで接続したいという要望があっても、既存ネットワークの設定変更等の手間やコストを考慮すると、そのような要望に応えることは困難であった。また、ある拠点内での特定のメンバーと、他の拠点内の特定のメンバーのみをVPNに参加させるといった柔軟な接続形態をとることも従来技術では困難であった。 Therefore, for example, even if there is a request to connect a specific base with a VPN for a certain period of time, it is difficult to meet such a request in consideration of the effort and cost of changing the settings of the existing network. In addition, it has been difficult in the prior art to adopt a flexible connection form in which only a specific member in one base and a specific member in another base participate in the VPN.
上記従来技術の問題を解消し、既存のネットワークの構成を変更することなく容易にVPNを構築でき、VPNに参加するホスト装置を柔軟に設定可能とした技術があれば、異なる企業間でも簡易にVPN構築が可能になる。このような技術として、本発明の実施の形態において前提としている技術がある。 If there is a technology that solves the above-mentioned problems of the prior art, can easily construct a VPN without changing the configuration of the existing network, and can flexibly set the host devices participating in the VPN, it can be easily used even between different companies. VPN construction becomes possible. As such a technique, there is a technique assumed in the embodiment of the present invention.
しかし、異なる企業間でVPNを構築し、互いに相手企業内のホスト装置の名前を知ったとしても、相手企業の名前解決手段(DNS(Domain Name System)サーバ等)へのアクセスは一般に困難であり、その結果、名前を用いた相手ホスト装置へのアクセスは困難であるという問題がある。 However, even if a VPN is established between different companies and the names of the host devices in the other company are known, access to the other company's name resolution means (DNS (Domain Name System) server, etc.) is generally difficult. As a result, there is a problem that it is difficult to access the counterpart host device using the name.
本発明はこの点に鑑みてなされたものであり、既存のネットワークの構成を変更することなく容易にVPNを構築可能な技術において、上記の問題を解決し、対向VPN装置側のホスト装置の名前解決を行う技術を提供することを目的とする。 The present invention has been made in view of this point, and solves the above problem in a technology that can easily construct a VPN without changing the configuration of an existing network, and the name of the host device on the opposite VPN device side. The purpose is to provide a technology for solving the problem.
上記の課題を解決するために、本発明は、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、通信ネットワークに接続するための網接続手段と、
前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと当該対向ホスト装置のホスト名とを含むDNS代理応答条件情報を格納する記憶手段と、前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からDNSクエリパケットを受信し、当該DNSクエリパケットに含まれる問い合わせに係るホスト名が前記記憶手段に格納されたDNS代理応答条件情報に含まれるかどうかを判定する判定手段と、前記判定手段により含まれると判定された場合に、前記DNS代理応答条件情報から前記ホスト名に対応するアドレスを取得し、当該アドレスを含むDNS応答パケットを前記ホスト装置に送信し、前記判定手段により含まれないと判定された場合に、前記DNSクエリパケットを前記網接続手段を介して前記通信ネットワークに送出する応答手段と、を備えたことを特徴とするVPN接続装置として構成される。
In order to solve the above problems, the present invention is a VPN connection device having a function of setting a VPN between the opposite VPN connection device, network connection means for connecting to a communication network,
DNS proxy response condition including host device connection means for connecting a host device using the VPN, an address of the opposite host device using the VPN on the opposite VPN connection device side, and a host name of the opposite host device Storage means for storing information; a DNS query packet is received from a host device connected to the VPN connection device via the host device connection means; and a host name related to an inquiry included in the DNS query packet is the storage means A determination unit that determines whether or not it is included in the DNS proxy response condition information stored in the server, and obtains an address corresponding to the host name from the DNS proxy response condition information when determined to be included in the determination unit When the DNS response packet including the address is transmitted to the host device and determined not to be included by the determination unit, the DNS query packet is transmitted. And response means for sending to the communication network packets via the network connection unit, configured as a VPN connection apparatus characterized by comprising a.
また、上記VPN接続装置は、前記対向ホスト装置のアドレスとホスト名とを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報を用いて前記DNS代理応答条件情報を生成する手段を備えてもよい。 Further, the VPN connection device receives information including the address and host name of the opposite host device from the opposite VPN connection device via the VPN, and uses the information received from the opposite VPN connection device to the DNS Means for generating proxy response condition information may be provided.
本発明によれば、既存のネットワークの構成を変更することなく容易にVPNを構築可能な技術において、対向VPN装置側のホスト装置のホスト名の名前解決を行うための技術を提供できる。そのため、名前を用いて対向VPN装置側のホスト装置にアクセスすることが可能となり、ユーザの利便性が向上する。 According to the present invention, it is possible to provide a technique for performing name resolution of the host name of the host apparatus on the opposite VPN apparatus side in a technique that can easily construct a VPN without changing the configuration of an existing network. Therefore, it becomes possible to access the host device on the opposite VPN device side using the name, and the convenience for the user is improved.
以下、図面を参照して本発明の実施の形態について説明する。 Embodiments of the present invention will be described below with reference to the drawings.
(システム構成)
図1に本発明の実施の形態に係るシステムの構成図を示す。図1に示すように、本発明の実施の形態に係るシステムは、プライベートネットワーク100とプライベートネットワーク200とがインターネット300を介して接続されるとともに、通信制御サーバ310がインターネット300に接続されている。
(System configuration)
FIG. 1 shows a configuration diagram of a system according to an embodiment of the present invention. As shown in FIG. 1, in the system according to the embodiment of the present invention, a
プライベートネットワーク100は、インターネット300にルータ110を介して接続され、プライベートネットワーク200は、インターネット300にルータ210を介して接続されている。
The
プライベートネットワーク100では、ホスト装置130、ホスト装置120、VPN装置140、及びDNSサーバ150が備えられる。このDNSサーバ150は既存のものである。ホスト装置130とVPN装置140はLANに接続され、ホスト装置120はVPN装置140に接続される。このように、既存ネットワーク(LAN)とVPNに参加するホスト装置の間にVPN装置140を挟み込む形で設置することにより、VPN装置140は、その配下に接続されるホスト装置から送出されるパケットを常時監視可能になっている。
The
同様に、プライベートネットワーク200では、ホスト装置230、ホスト装置220、DNSサーバ250、及びVPN装置240が備えられる。ホスト装置230とVPN装置240はLANに接続され、ホスト装置220はVPN装置240に接続される。
Similarly, the
なお、図1に示すシステムでは、2つの拠点が示され、VPN装置配下に1つのホスト装置が示されているが、これらは代表として示されているだけであり、実際にはより多くの拠点及びホスト装置が接続され得る。 In the system shown in FIG. 1, two bases are shown and one host device is shown under the VPN device. However, these are only shown as representatives, and more bases are actually shown. And a host device can be connected.
図1に示すシステムにおいて、通信制御サーバ310は、VPN装置140とVPN装置240との間にセキュアな通信路であるVPNを構築するための制御を行う装置である。本実施の形態では、通信制御サーバ310はSIPサーバであり、VPN装置間での通信制御サーバ310を介したSIPによるメッセージ交換により名前解決や鍵交換を行って、VPN装置間でVPNを確立している。このような方式によるセキュアな通信路の確立方法自体は既存技術である。
In the system shown in FIG. 1, the
また、DNSサーバ150は、プライベートネットワーク100内における装置のIPアドレスとホスト名とを対応付けて格納するDNSサーバであり、DNSサーバ250は、プライベートネットワーク200内における装置のIPアドレスとホスト名とを対応付けて格納するDNSサーバである。
The
図2に、VPN装置140の機能構成図を示す。VPN装置240はVPN装置140と同じ構成であるので、VPN装置140のみについて説明する。
FIG. 2 shows a functional configuration diagram of the
図2に示すように、VPN装置140は、PVN(プライベートネットワーク)側インターフェース部146、制御部149、VPN配下端末側インターフェース部147、Web設定インターフェース部144、データベース145を有する。制御部149は、DNS代理応答機能部148、パケット取得制御部141、通信制御部142、NAT制御部143を有する。
As shown in FIG. 2, the
PVN(プライベートネットワーク)側インターフェース部146は、プライベートネットワーク100を構成するLANとの間でデータの送受信を行うための機能部である。VPN配下端末側インターフェース部147は、VPN装置140を利用したVPN通信を可能とするためにVPN装置140に接続されるホスト装置(端末)との間でパケットの送受信を行うための機能部である。
The PVN (private network)
Web設定インターフェース部144は、VPN装置140に接続される端末に対してWeb画面を提供し、そのWeb画面から種々の設定情報を入力するための機能部である。データベース145は、設定情報を格納するための記憶部である。
The web
制御部149における通信制御部142は、通信制御サーバ310を介して対向側のVPN装置240との間でSIPに基づくメッセージ送受信を行うことにより、VPN装置140とVPN装置240間でVPNを設定する機能を有する。また、通信制御部142は、パケット取得制御部141からパケットを受け取り、VPNを用いて相手側にパケットを送信する機能、及び、VPNを介して受信したパケットをパケット取得制御部141に渡す機能も有する。更に、通信制御部142は、パケットをVPNを介して送信するかどうかの判定を行うVPN転送条件の情報と、対向側のVPN参加ホスト装置のホスト名を含むDNS代理応答条件の情報を生成し、データベース145に格納する機能も有する。
The
NAT制御部143は、ルータ110がNAT機能を備える場合に、SIP通信等のパケット通信を正常に行うためにNAT越えのための制御を行う機能部である。NAT越えの技術自体は既存技術を用いることができる。
The
パケット取得制御部141は、VPN装置140の配下のホスト装置から受信したパケットに含まれる情報が、データベース145に格納されているVPN転送条件に合致するかどうかを調べ、合致する場合に、該当のVPNを用いてパケットを送信することを決定する機能を有する。また、パケット取得制御部141は、VPNから受信したパケットに含まれる情報が、データベース145に格納されている情報に合致するかどうかを調べることにより、当該パケットを宛先のホスト装置に転送するかどうかを決定する機能も有する。
The packet
DNS代理応答機能部148は、VPN装置140にVPN配下端末側インターフェース部147を介して接続されたホスト装置(本実施の形態ではホスト装置120)から送られるDNSクエリパケットを監視し、データベース145に格納された情報を参照することにより、対向VPN装置配下のホスト装置に対するDNSクエリパケットを受信したと判定した場合に、データベース145に格納された情報からDNSクエリに係るホスト装置のIPアドレスを抽出し、そのIPアドレスをDNS応答に含めて、DNSクエリパケットを送信したホスト装置に返す機能を有する。また、DNS代理応答機能部148は、対向側のVPN参加ホスト装置のホスト名を含むDNS代理応答条件の情報を生成し、データベース145に格納する機能も有する。
The DNS proxy
VPN装置140は、例えば、CPUやメモリ等の記憶装置等を有し、通信プログラム、Web用プログラム、データベース用プログラム等の一般的なプログラムを備えたコンピュータに、制御部149の機能に対応するプログラムを実行させることにより実現可能である。当該プログラムは、メモリ等の記録媒体に格納しておき、当該記録媒体から上記コンピュータにインストールすることが可能である。
The
(システムの動作)
以下、図1、図2に示したシステムにおける動作例を図3〜5に示したシーケンスチャートを参照して説明する。以下の例では、プライベートネットワーク100におけるホスト装置120とプライベートネットワーク200におけるホスト装置220間で、VPNを介した通信が行われる。
(System operation)
Hereinafter, an operation example in the system shown in FIGS. 1 and 2 will be described with reference to the sequence charts shown in FIGS. In the following example, communication via a VPN is performed between the
まず、VPN装置140の通信制御部142が、通信制御サーバ310に対して登録要求メッセージを送信する(ステップ11)。この登録要求メッセージには、VPN装置140の識別情報と、VPN装置140に対応するIPアドレスが含まれ、通信制御サーバ310において、当該識別情報とIPアドレスが対応付けて格納されることにより登録が行われる。登録が行われた後、応答メッセージが返される(ステップ12)。VPN装置240においても同様の登録処理が行われる(ステップ13、14)。
First, the
続いて、プライベートネットワーク100側のホスト装置120のユーザが、ホスト装置120からWeb設定I/F部144にアクセスすることにより、VPN構築に必要な情報の入力を行う(ステップ15、16)。
Subsequently, the user of the
本実施の形態では、VPN装置140の接続相手はVPN装置240であり、VPN装置140の配下でVPN装置140とVPN装置240との間のVPNを使用した通信を行うのはホスト装置120であることから、ここでは、VPN装置140の識別情報(VPN-Aとする)及びVPN装置240の識別情報(VPN-Bとする)と、ホスト装置120のIPアドレス(アドレスAとする)及びホスト名(host-Aとする)が入力され、これらがデータベース145に格納される。なお、本例では、ホスト装置120からVPN装置140に対する情報設定を行っているが、情報設定は任意の端末から行ってよい。
In this embodiment, the
プライベートネットワーク100側と同様にして、プライベートネットワーク200の側では、VPN装置240の識別情報(VPN-B)及びVPN装置140の識別情報(VPN-A)と、ホスト装置220のIPアドレス(アドレスB)及びホスト名(host-Bとする)がデータベース245に格納される(ステップ17、18)。
Similar to the
続いて、本例では、ホスト装置120からWeb設定I/F部144に対してVPN装置140とVPN装置240間でVPNを設定する旨の指示を行う(ステップ19)。この指示には、それぞれの識別情報(VPN-A、VPN-B)が含まれる。
Subsequently, in this example, the
通信制御部142は、Web設定I/F部144から指示を受けとり(ステップ20)、接続要求メッセージを通信制御サーバ310に送信する(ステップ21)。本実施の形態において、接続要求メッセージはINVITEメッセージであり、INVITEメッセージには、宛先の識別情報としてVPN-Bが含まれ、送信元の識別情報としてVPN-Aが含まれている。
The
接続要求メッセージを受信した通信制御サーバ310では、VPN-Bに基づき登録情報からVPN装置240のIPアドレスを取得し、そのIPアドレス宛に接続要求メッセージを転送する(ステップ22)。接続要求メッセージを受信した通信制御部242は、接続要求に係るVPN接続(VPN装置140との接続)を行うことが設定されているかどうかをデータベース245を参照して確認する(ステップ23)。ここでは、ステップ17、18において設定が行われているので、通信制御部242は、応答メッセージを通信制御サーバ310を介してVPN装置140に返す(ステップ24〜26)。
The
このような処理により、VPN装置140とVPN装置240との間でセキュアな通信路であるVPNが確立される(ステップ27)。
Through such processing, a VPN, which is a secure communication path, is established between the
その後、通信制御部142は、ステップ16で保存した情報から、VPN装置140の識別情報(VPN-A、対向VPN装置にとってVPNの識別情報でもある)と、その配下のホスト装置120のIPアドレス(アドレスA)及びホスト名(host-A)とを読み出し(ステップ28)、それらをVPNを利用してVPN装置240に送信する(ステップ29)。同様に、VPN装置240の通信制御部242は、ステップ18で保存した情報から、自身の識別情報(VPN-B)と、その配下のホスト装置220のIPアドレス(アドレスB)及びホスト名(host-B)とを読み出し、それらをVPNを利用してVPN装置140に送信する(ステップ30、31)。
Thereafter, the
対向のVPN装置240から上記情報を受け取った通信制御部142は、既に保存してある情報とあわせて、受け取った情報をテーブルとしてデータベース145に格納する(ステップ32)。当該テーブルの例を図6に示す。
The
図6に示すテーブルには、自分(VPN装置140)に対してVPN接続される相手のVPN装置240の識別情報(VPN-B)、自分(VPN装置140)に接続されており、かつ、VPN装置140とVPN装置240との間のVPNを利用するホスト装置として指定されたホスト装置のアドレス(アドレスA)、及び、VPN装置240とVPN装置140との間のVPNを利用するホスト装置として相手側で指定されたホスト装置のアドレス(アドレスB)及びそのホスト名(host-B)が格納される。同様にして、VPN装置240側のデータベース245には、図7に示すテーブルが格納される(図3のステップ33)。なお、図6には、VPN-Cで識別される対向VPN装置に係る設定も示されている。この設定では、ホスト装置120は、VPN-Cで識別される対向VPN装置配下のアドレスCのホスト装置ともVPN通信可能である。
In the table shown in FIG. 6, the identification information (VPN-B) of the
図6、図7において、対向VPN装置の識別情報、自分配下のVPN利用ホスト装置のアドレス、及び対向VPN装置配下のVPN利用ホスト装置のアドレスをまとめてVPN転送条件情報と呼ぶことができる。また、対向VPN装置配下のVPN利用ホスト装置のアドレス及びホスト名をまとめてDNS代理応答条件情報と呼ぶことができる。 6 and 7, the identification information of the opposing VPN device, the address of the host device using the VPN under its own control, and the address of the host device using the VPN under the control of the opposing VPN device can be collectively referred to as VPN transfer condition information. Further, the addresses and host names of the VPN using host devices under the opposing VPN device can be collectively referred to as DNS proxy response condition information.
上記の例では、VPN転送条件として、IPアドレスを用いているが、IPアドレスの他にMACアドレスを用いてもよい。また、アドレスに加えて、プロトコルを条件として用いてもよい。 In the above example, an IP address is used as the VPN transfer condition, but a MAC address may be used in addition to the IP address. In addition to the address, a protocol may be used as a condition.
また、上記の例では、VPN転送条件情報とDNS代理応答条件情報とを同じタイミングで生成しているが、DNS代理応答条件情報のみを別のタイミングで生成してもよい。例えば、VPNに参加するあるホスト装置のホスト名もしくはアドレスが変更になった場合に、そのホスト装置から変更後のホスト名及びアドレスをVPN装置140に入力し、VPN装置140のDNS代理応答機能部148が当該ホスト名及びアドレスを通信制御部142を介して対向VPN装置に送信し、対向VPN装置の側でホスト名及びアドレスを用いてテーブルを更新する。また、VPN装置140が新たなホスト名及びアドレスを受信した場合には、DNS代理応答機能部148が当該新たなホスト名及びアドレスを用いてテーブルを更新する。
In the above example, the VPN transfer condition information and the DNS proxy response condition information are generated at the same timing, but only the DNS proxy response condition information may be generated at a different timing. For example, when the host name or address of a host device participating in the VPN is changed, the changed host name and address are input to the
次に、ホスト装置120からDNSクエリパケットが送出される際の動作について図4を参照して説明する。図4では、DNSクエリパケットを通常のDNSサーバで処理する例1と、DNSクエリパケットに対する応答をVPN装置140が(代理で)行う例2を示している。
Next, an operation when a DNS query packet is transmitted from the
ホスト装置120からDNSクエリパケットが送出され、パケット取得制御部141がそれを受信し、パケット取得制御部141は当該パケットのヘッダ等から当該パケットがDNSクエリパケットであることを判別し、当該パケットをDNS代理応答機能部148に渡す(ステップ41、42)。
A DNS query packet is transmitted from the
DNS代理応答機能部148は、図6に示したテーブルを検索し、DNSクエリパケットに含まれるホスト名が、当該テーブルに含まれているかどうかを判定する(ステップ43、44)。例1では、DNSクエリパケットに含まれるホスト名はテーブルに含まれていないので、DNS代理応答機能部148は、DNSクエリパケットをパケット取得制御部141及びPVN側インターフェース部146を介して外部に送出する(ステップ45、46)。DNSクエリパケットは、通常どおり、DNSサーバ150もしくはインターネット上のDNSサーバで処理される。
The DNS proxy
次に例2について説明する。 Next, Example 2 will be described.
ホスト装置120からDNSクエリパケットが送出され、パケット取得制御部141がそれを受信し、パケット取得制御部141は当該パケットのヘッダ等から当該パケットがDNSクエリパケットであることを判別し、当該パケットをDNS代理応答機能部148に渡す(ステップ51、52)。
A DNS query packet is transmitted from the
DNS代理応答機能部148は、図6に示したテーブルを検索し、DNSクエリパケットに含まれるホスト名が、当該テーブルに含まれているかどうかを判定する(ステップ53、54)。例2では、DNSクエリパケットに含まれるホスト名(host-Bとする)はテーブルに含まれているので、DNS代理応答機能部148は、テーブルからhost-Bに対応するアドレスBを取得して(ステップ54)、当該アドレスBを含むDNS応答パケットを生成し、パケット取得制御部141及びVPN配下端末側インターフェース部147を介してホスト装置120に返す(ステップ55、56)。これにより、ホスト装置120は、host-Bに対応するアドレスBを取得し、当該アドレスB宛にパケットを送信できる。
The DNS proxy
次に、ホスト装置120から通信のためのパケットを送信する場合の例1、例2について図5を参照して説明する。
Next, Example 1 and Example 2 in the case of transmitting a packet for communication from the
例1は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、プライベートネットワーク100、200外のグローバルなアドレスである場合の例である。
Example 1 is an example where the destination address set in the header of a packet sent from the
この場合、ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ61)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図6に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組がテーブルに存在するかどうかをチェックするための検索を行う(ステップ62、63)。例1では、宛先アドレスはテーブルに設定されていないので、検索に失敗する。検索に失敗した場合、パケット取得制御部141は、VPNを用いることなくパケットをPVN側インターフェース部146を介して送出する。すると、パケットは、VPNを介さずに、通常のルーティングに従って、宛先に届けられる(ステップ64)。
In this case, the packet transmitted from the
例2は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、ホスト装置220のアドレス(アドレスB)である場合の例である。なお、このアドレスBは、図4の例2の手順で取得されたものである。
Example 2 is an example where the destination address set in the header of the packet sent from the
ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ71)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図6に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ72、73)。例2では、上記送信元アドレス及び宛先アドレスの組であるアドレスAとアドレスBの組がテーブルに設定されているので、検索に成功する。
The packet transmitted from the
そして、パケット取得制御部141は、アドレスAとアドレスBの組に対応する接続先のVPN装置の識別情報(VPN-B)を取得し(ステップ73)、ホスト装置120から受信したパケットを送出すべきVPNは、VPN-Bに対して設定されたVPNであると判定する。そして、パケット取得制御部141は、VPN-Bとパケットを通信制御部142に渡し(ステップ74)、通信制御部142は、パケットを当該VPNを用いて送信する(ステップ75)。なお、パケットの宛先がアドレスCであったならば、図6のテーブルより、VPN-Cに対して設定されたVPNを利用してパケットが送信されることになる。
Then, the packet
通信制御部142から送信されたパケットは、VPN装置240の通信制御部240により受信され、通信制御部240は受信したパケットをパケット取得制御部241に渡す(ステップ76)。パケット取得制御部241は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得し、図7に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ77、78)。ここでは、検索に成功し、パケット取得制御部241は、パケットを宛先であるホスト装置220に送信する(ステップ79)。もし、ここで検索に失敗した場合には、例えば、ホスト装置220に送信することなく、パケットを廃棄する。なお、パケットの受信側では、上記のようなテーブルを参照したチェックを行わずにパケットを宛先に送信してもよい。
The packet transmitted from the
以上説明したように、本発明に基づく技術を適用することにより、VPN装置を既存のネットワークに設置するだけで容易にVPNを構築できるようになる。また、ホスト装置から送出されるパケットのアドレス等を参照し、VPN転送条件情報に基づきパケットをVPNに送出するかどうかを判定するように構成したため、VPN転送条件情報を適宜設定することによりVPNに参加するホスト装置を柔軟に設定できる。更に、VPN装置においてDNS代理応答条件情報を自動的に生成し、DNS代理応答条件情報に基づき対向VPN装置配下のVPN参加ホスト装置の名前解決を行うこととしたので、例えば、異なる企業間でVPNを構築した場合であっても、名前解決を行うことが可能になり、名前を用いて簡易に対向VPN装置配下のホスト装置にアクセスすることが可能になる。 As described above, by applying the technology based on the present invention, a VPN can be easily constructed simply by installing a VPN device in an existing network. In addition, it is configured to refer to the address of the packet sent from the host device and determine whether to send the packet to the VPN based on the VPN transfer condition information. The host device to participate can be set flexibly. Furthermore, DNS proxy response condition information is automatically generated in the VPN device, and the name of the VPN participating host device under the opposing VPN device is resolved based on the DNS proxy response condition information. For example, VPN between different companies Even if it is constructed, name resolution can be performed, and the host device under the opposing VPN device can be easily accessed using the name.
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。 The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
100 プライベートネットワーク
200 プライベートネットワーク
300 インターネット
110、210 ルータ
310 通信制御サーバ
120、130、220、230 ホスト装置
150、250 DNSサーバ
140 VPN装置ホスト
141 パケット取得制御部
142 通信制御部
143 NAT制御部
144 Web設定インターフェース部
145 データベース
146 PVN(プライベートネットワーク)側インターフェース部
147 VPN配下端末側インターフェース部
148 DNS代理応答機能部
149 制御部
100
Claims (6)
通信ネットワークに接続するための網接続手段と、
前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと当該対向ホスト装置のホスト名とを含むDNS代理応答条件情報を格納する記憶手段と、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からDNSクエリパケットを受信し、当該DNSクエリパケットに含まれる問い合わせに係るホスト名が前記記憶手段に格納されたDNS代理応答条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記DNS代理応答条件情報から前記ホスト名に対応するアドレスを取得し、当該アドレスを含むDNS応答パケットを前記ホスト装置に送信し、前記判定手段により含まれないと判定された場合に、前記DNSクエリパケットを前記網接続手段を介して前記通信ネットワークに送出する応答手段と、
を備えたことを特徴とするVPN接続装置。 A VPN connection device having a function of setting a VPN with the opposite VPN connection device,
Network connection means for connecting to a communication network;
Host device connection means for connecting a host device using the VPN;
Storage means for storing DNS proxy response condition information including the address of the opposite host device that uses the VPN on the opposite VPN connection device side and the host name of the opposite host device;
A DNS proxy response condition in which a DNS query packet is received from a host device connected to the VPN connection device via the host device connection means, and a host name related to an inquiry included in the DNS query packet is stored in the storage means Determining means for determining whether or not the information is included;
When it is determined by the determination means that the address corresponding to the host name is acquired from the DNS proxy response condition information, a DNS response packet including the address is transmitted to the host device, and the determination means A response means for sending the DNS query packet to the communication network via the network connection means when it is determined that it is not included;
A VPN connection device characterized by comprising:
前記VPN接続装置は、
前記ホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する転送判定手段と、
前記転送判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を更に備えたことを特徴とする請求項1又は2に記載のVPN接続装置。 The storage means includes an address of an opposite host device that uses the VPN on the opposite VPN connection device side, and an address of a host device that is connected to the VPN connection device by the host device connection means and uses the VPN. Stores VPN transfer condition information,
The VPN connection device
A transfer determination unit that receives a packet from the host device and determines whether a set of a destination address and a source address of the packet is included in the VPN transfer condition information stored in the storage unit;
A packet control means for transmitting the packet to the opposite VPN connection device side via the network connection means using the VPN when it is determined to be included by the transfer determination means; The VPN connection device according to claim 1 or 2, characterized in that
前記VPN接続装置は、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと当該対向ホスト装置のホスト名とを含むDNS代理応答条件情報を格納する記憶手段と、を備え、
前記DNSパケット制御方法は、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からDNSクエリパケットを受信し、当該DNSクエリパケットに含まれる問い合わせに係るホスト名が前記記憶手段に格納されたDNS代理応答条件情報に含まれるかどうかを判定する判定ステップと、
前記判定ステップにより含まれると判定された場合に、前記DNS代理応答条件情報から前記ホスト名に対応するアドレスを取得し、当該アドレスを含むDNS応答パケットを前記ホスト装置に送信し、前記判定ステップにより含まれないと判定された場合に、前記DNSクエリパケットを前記網接続手段を介して前記通信ネットワークに送出する応答ステップと、
を備えたことを特徴とするDNSパケット制御方法。 A DNS packet control method executed by a VPN connection device having a function of setting a VPN with an opposite VPN connection device,
The VPN connection device includes network connection means for connecting to a communication network, host device connection means for connecting a host device that uses the VPN,
Storage means for storing DNS proxy response condition information including the address of the opposite host device that uses the VPN on the opposite VPN connection device side and the host name of the opposite host device;
The DNS packet control method is:
A DNS proxy response condition in which a DNS query packet is received from a host device connected to the VPN connection device via the host device connection means, and a host name related to an inquiry included in the DNS query packet is stored in the storage means A determination step of determining whether the information is included;
If it is determined to be included by the determination step, an address corresponding to the host name is acquired from the DNS proxy response condition information, a DNS response packet including the address is transmitted to the host device, and the determination step A response step of sending the DNS query packet to the communication network via the network connection means when it is determined that it is not included;
A DNS packet control method comprising:
前記コンピュータは、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと当該対向ホスト装置のホスト名とを含むDNS代理応答条件情報を格納する記憶手段と、を備え、前記プログラムは、前記コンピュータを、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からDNSクエリパケットを受信し、当該DNSクエリパケットに含まれる問い合わせに係るホスト名が前記記憶手段に格納されたDNS代理応答条件情報に含まれるかどうかを判定する判定手段、
前記判定手段により含まれると判定された場合に、前記DNS代理応答条件情報から前記ホスト名に対応するアドレスを取得し、当該アドレスを含むDNS応答パケットを前記ホスト装置に送信し、前記判定手段により含まれないと判定された場合に、前記DNSクエリパケットを前記網接続手段を介して前記通信ネットワークに送出する応答手段、
として機能させるためのプログラム。 A program for causing a computer to function as a VPN connection device having a function of setting a VPN between the opposite VPN connection device,
The computer includes a network connection means for connecting to a communication network, a host device connection means for connecting a host device using the VPN,
Storage means for storing DNS proxy response condition information including the address of the opposite host device that uses the VPN and the host name of the opposite host device on the opposite VPN connection device side, and the program stores the computer ,
A DNS proxy response condition in which a DNS query packet is received from a host device connected to the VPN connection device via the host device connection means, and a host name related to an inquiry included in the DNS query packet is stored in the storage means Determining means for determining whether or not the information is included;
When it is determined by the determination means that the address corresponding to the host name is acquired from the DNS proxy response condition information, a DNS response packet including the address is transmitted to the host device, and the determination means A response means for sending the DNS query packet to the communication network via the network connection means when it is determined that it is not included;
Program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008334388A JP5084716B2 (en) | 2008-12-26 | 2008-12-26 | VPN connection apparatus, DNS packet control method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008334388A JP5084716B2 (en) | 2008-12-26 | 2008-12-26 | VPN connection apparatus, DNS packet control method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010157858A true JP2010157858A (en) | 2010-07-15 |
JP5084716B2 JP5084716B2 (en) | 2012-11-28 |
Family
ID=42575435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008334388A Active JP5084716B2 (en) | 2008-12-26 | 2008-12-26 | VPN connection apparatus, DNS packet control method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5084716B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5904285B2 (en) * | 2012-11-22 | 2016-04-13 | 日本電気株式会社 | Communication system, virtual network management device, communication node, communication method, and program |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008301024A (en) * | 2007-05-30 | 2008-12-11 | Fuji Xerox Co Ltd | Virtual network connection system and apparatus |
-
2008
- 2008-12-26 JP JP2008334388A patent/JP5084716B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008301024A (en) * | 2007-05-30 | 2008-12-11 | Fuji Xerox Co Ltd | Virtual network connection system and apparatus |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5904285B2 (en) * | 2012-11-22 | 2016-04-13 | 日本電気株式会社 | Communication system, virtual network management device, communication node, communication method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP5084716B2 (en) | 2012-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4730118B2 (en) | Domain name system | |
US8457014B2 (en) | Method for configuring control tunnel and direct tunnel in IPv4 network-based IPv6 service providing system | |
TWI413389B (en) | Trans-network roaming and resolution with web services for devices | |
US9143421B2 (en) | Network system capable of implementing stun with the assistance of two network devices and method thereof | |
EP3219087B1 (en) | Methods, systems, and computer readable media for facilitating the resolving of endpoint hostnames in test environments with firewalls, network address translators(nats), or clouds | |
EP2306689B1 (en) | Devices and method for accessing a web server in a local space | |
RU2543304C2 (en) | Packet relay method and device | |
US8867553B2 (en) | Performing interactive connectivity checks in a mobility environment | |
JP2011515945A (en) | Method and apparatus for communicating data packets between local networks | |
JP2006086800A (en) | Communication apparatus for selecting source address | |
US7716368B2 (en) | Network system and communication method, information processing apparatus and method, and program | |
CN104427010A (en) | NAT (network address translation) method and device applied to DVPN (dynamic virtual private network) | |
JP2008098813A (en) | Information communication device, information communication method, and program | |
JP6387605B2 (en) | Communication system and communication method | |
JP5638063B2 (en) | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM | |
JP5084716B2 (en) | VPN connection apparatus, DNS packet control method, and program | |
JP5054666B2 (en) | VPN connection device, packet control method, and program | |
JP2005197936A (en) | Communication system, registering device, and communication device | |
JP2007166146A (en) | Communication device whose address can be changed during communication, system, and communication method | |
JP6898120B2 (en) | Network system, network system address resolution method, and base-side connection device | |
JP5171608B2 (en) | VPN connection device, packet control method, and program | |
WO2008069504A1 (en) | Method for configuring control tunnel and direct tunnel in ipv4 network-based ipv6 service providing system | |
JP2007060610A (en) | Network connection system, network connection apparatus, program thereof and recording medium | |
JP2009206876A (en) | Service release system, communication repeater, and service release device | |
JP2009527138A (en) | Network topology detection when negotiating IPSEC security associations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110316 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120229 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120529 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120730 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120821 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120904 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5084716 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150914 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |