JP2010278638A - トンネル通信装置及び方法 - Google Patents
トンネル通信装置及び方法 Download PDFInfo
- Publication number
- JP2010278638A JP2010278638A JP2009127762A JP2009127762A JP2010278638A JP 2010278638 A JP2010278638 A JP 2010278638A JP 2009127762 A JP2009127762 A JP 2009127762A JP 2009127762 A JP2009127762 A JP 2009127762A JP 2010278638 A JP2010278638 A JP 2010278638A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address
- port number
- original data
- decapsulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】トンネル通信装置及び方法に関し、NATルータ装置を経由するネットワーク環境において、LAN環境側に設置したトンネル通信装置とインターネット環境内のトンネル装置とのトンネル通信を可能にする。
【解決手段】トンネル通信により送信する元データのIPパケットをカプセル化する際に、トンネル通信毎に異なる代替ポート番号を埋め込んだカプセル化IPパケットを出力するカプセル化処理部251と、受信したカプセル化IPパケットのヘッダ内のIPアドレス(外側アドレス)と、デカプセル化後の元データのIPパケットのヘッダ内のIPアドレス(内側アドレス)を比較し、不一致を検出したとき、内側アドレスを外側アドレスで書き換え、かつ、元データのIPパケットのポート番号を、代替ポート番号又は該代替ポート番号対応付けられた元データのIPパケットのポート番号に書き換えて出力するデカプセル処理部252を備える。
【選択図】図2
【解決手段】トンネル通信により送信する元データのIPパケットをカプセル化する際に、トンネル通信毎に異なる代替ポート番号を埋め込んだカプセル化IPパケットを出力するカプセル化処理部251と、受信したカプセル化IPパケットのヘッダ内のIPアドレス(外側アドレス)と、デカプセル化後の元データのIPパケットのヘッダ内のIPアドレス(内側アドレス)を比較し、不一致を検出したとき、内側アドレスを外側アドレスで書き換え、かつ、元データのIPパケットのポート番号を、代替ポート番号又は該代替ポート番号対応付けられた元データのIPパケットのポート番号に書き換えて出力するデカプセル処理部252を備える。
【選択図】図2
Description
本発明は、トンネル通信装置及び方法に関する。
一般にトンネル通信とは、或る階層のプロトコルで構成されたデータを、同位或いは上位の階層のプロトコルで構成されたデータに内包して通信する技術であり、インターネット環境において一般的に使用されている技術である。IP(Internet Protocol)ネットワークで使用されるトンネル通信方式の例として、セキュア通信を実現するIPsec ESP(IP Security Encapsulating Security Payload)方式(文献RFC4303参照)が挙げられる。
IPsec ESP方式は、IPパケットのカプセル化を行うトンネルモードを備え、暗号化されたIPパケットによるトンネル通信を実現する。以下では、IPsec ESP方式をトンネル通信の例として説明する。トンネル通信で実施される処理として、IPパケットのカプセル化及びデカプセル化がある。
IPパケットのカプセル化は、トンネル通信により送信する元データのIPパケットを暗号化してカプセル化したパケットに、IPヘッダ及びESPヘッダを付加したIPsec ESPパケットを生成する。また、デカプセル化はIPsec ESPパケットのIPヘッダ及びESPヘッダを除去した後、暗号化されたデータを復号して元データのIPパケットを得る。以降の説明では、カプセル化する前の元データのIPパケットのIPヘッダに設定されたIPアドレスを内側アドレス、カプセル化された後のIPsec ESPパケットのIPヘッダに設定されたIPアドレスを外側アドレスと称する。
トンネル通信は、インターネット環境でVPN(Virtual Private Network)を実現する目的等で使用されている。一般にVPNでは、経路上の両端にIPsecルータ装置を設置し、ホスト装置の通信に対してトンネル通信の処理を実施する。このとき、両端のホスト装置のIPアドレスは、同一のプライベートアドレス空間(文献RFC1918参照)に属するものを用い、インターネット環境のグローバルアドレス空間とは異なる空間で運用される。そのため、IPsecルータ装置が、プライベートアドレス空間に属するIPアドレスを有するホスト装置の送信したIPパケットをカプセル化するとき、IPsecルータ装置自体に設定された、グローバルアドレス空間に属するIPアドレスを外側アドレスに設定して送信する。
一方、通信経路上のブリッジ装置によってトンネル通信の処理を実施する方法もある。ここでは、このトンネル通信を実現する装置をインライン型トンネル装置と称する。インライン型トンネル装置は、ホスト装置のIPアドレスを使用してトンネル通信を実施するため、IPアドレスの再設定を要することなく動作する。即ち、インライン型トンネル装置では、ホスト装置の送信したIPパケットをカプセル化するとき、外側アドレスに元データのIPパケットのIPアドレスを設定して送信する。これにより、インライン型トンネル装置は、送信側と受信側とで同一のアドレス空間で運用される。
ところで、今日ではインターネット環境の普及に伴い、グローバルアドレス空間のIPアドレスの枯渇が問題となっている。グローバルIPアドレス枯渇の対策の一つとして、NAT(Network Address Translation)技術が使用されている。NAT技術とは、NATルータ装置によって、IPパケットのIPヘッダに設定されたIPアドレスを、プライベートアドレスとグローバルアドレスとで適正に変換し、プライベートアドレス空間に属するIPアドレスのホスト装置と、グローバルアドレス空間に属するIPアドレスのホスト装置との通信を可能とする技術である。
LAN(Local Area Network)環境内の多数のホスト装置に対してプライベートアドレス空間に属するIPアドレスを設定し、インターネット環境との境界部分にNATルータ装置を設置することにより、グローバルアドレス空間に属するIPアドレスの割り当てが少ない場合でも、多数のホスト装置がインターネット環境の装置と通信することが可能となる。
インライン型トンネル装置を、LAN環境内のホスト装置とインターネット環境内のホスト装置との通信に適用する場合、NATルータ装置のインターネット環境側にインライン型トンネル装置を設置すれば、支障なくトンネル通信を行うことができる。しかし、実際の運用環境では、NATルータ装置のグローバルアドレス空間側に自由にインライン型トンネル装置を設置することができない場合がある。
例えば、インターネット環境へのアクセスライン提供者側でNATルータ装置を設置し、インターネットの利用者にプライベートアドレス空間のIPアドレスを割り当てるサービスを提供する運用環境が挙げられる。このような運用環境では、インターネット環境へのアクセスライン提供者側の管理上の制約により、アクセスライン提供者のNATルータ装置のプライベートアドレス空間側にインライン型トンネル装置を設置しなければならない。
NATルータ装置を経由するネットワーク環境において、IPsec ESP方式を利用可能とする技術として、NAT−Traversal(文献RFC3947参照)が規定されている。NAT−Traversalでは、鍵交換のプロセスであるIKE(Internet Key Exchange)のネゴシエーション処理において、通信経路上にNATルータ装置が存在することを検出し、IPsec ESPパケットをUDP(User Datagram Protocol)方式でカプセル化することによってNATルータを越える処理を行う。IPsecルータ装置によるトンネル通信の場合、両端のネットワーク環境は同一のプライベートアドレス空間に属し、NATルータ装置を経由する環境でも内側アドレスの変換を必要としない。
また、ネットワークアドレス変換機構を通した6−4トンネリングプロトコルをサポートする方法として、IPv4パケットにカプセル化されたアウトバウンドIPv6パケットを受信し、アウトバウンドパケットのIPv4ヘッダのプライベートIPv4ソースアドレスを、パブリックIPv4ソースアドレスに変換し、変換したパケットをIPv4ネットワークで送信し、インバウンドパケットの反対のアドレス変換のため、プライベートIPv4アドレスと6−4ソースアドレスのインタフェースID値との関連を格納する方法が知られている(特許文献1参照)。
インライン型トンネル装置を、NATルータ装置が介在するLAN環境内に設置し、インターネット環境内のインライン型トンネル装置を対向装置としてトンネル通信を実施する場合、カプセル化IPパケットの外側アドレスはNATルータ装置により変換され、内側アドレスと異なるアドレス空間のIPアドレスが設定される。
そのため、インライン型トンネル装置を、NATルータ装置を経由するLAN環境(プライベートアドレス空間)側に設置してトンネル通信を行うことができなかった。本発明は、NATルータ装置を経由するネットワーク環境において、NATルータ装置のLAN環境側にインライン型トンネル装置を設置し、インターネット環境内のインライン型トンネル装置を対向装置としてトンネル通信を行うことを可能にする。
上記課題を解決するトンネル通信装置は、トンネル通信により送信する元データのIPパケットをカプセル化する際に、トンネル通信毎に異なる代替ポート番号を埋め込んだカプセル化IPパケットを出力するカプセル化処理部と、受信した前記カプセル化IPパケットのヘッダ内のIPアドレス(以下、外側アドレスという。)と、デカプセル化後の元データのIPパケットのヘッダ内のIPアドレス(以下、内側アドレスという。)を比較し、両者のアドレスの不一致を検出したとき、前記内側アドレスを前記外側アドレスで書き換え、かつ、前記デカプセル化後の元データのIPパケットのポート番号を、差出アドレスが不一致のとき前記代替ポート番号に、宛先アドレスが不一致のとき前記代替ポート番号対応付けられた元データのIPパケットのポート番号に書き換えて出力するデカプセル処理部と、を備えたものである。
また、上記課題を解決するトンネル通信方法は、トンネル通信により送信する元データのIPパケットをカプセル化する際に、トンネル通信毎に異なる代替ポート番号を埋め込んだカプセル化IPパケットを出力するカプセル化処理ステップと、受信した前記カプセル化IPパケットのヘッダ内のIPアドレス(以下、外側アドレスという。)と、デカプセル化後の元データのIPパケットのヘッダ内のIPアドレス(以下、内側アドレスという。)を比較し、両者のアドレスの不一致を検出したとき、前記内側アドレスを前記外側アドレスで書き換え、かつ、前記デカプセル化後の元データのIPパケットのポート番号を、差出アドレスが不一致のとき前記代替ポート番号に、宛先アドレスが不一致のとき前記代替ポート番号対応付けられた元データのIPパケットのポート番号に書き換えて出力するデカプセル処理ステップと、を含むものである。
通信経路上にNATルータ装置が設置されたネットワーク環境において、NATルータ装置のLAN環境側にトンネル通信装置を設置した場合でも、該トンネル通信装置における代替ポート番号の通知機能及びIPアドレス及びポート番号を書き換えるパケット書き換え機能により、インターネット環境の対向装置との間でトンネル通信を行うことが可能となる。
図1に開示のトンネル通信装置(インライン型トンネル装置)を適用したネットワーク環境の構成例を示す。図1において、LAN環境110には、インライン型トンネル装置112と、プライベートアドレス空間100に属するIPアドレスを有するホスト装置111が設置される。また、インターネット環境140には、インライン型トンネル装置141と、グローバルアドレス空間130に属するIPアドレスを有するホスト装置142とが設置される。LAN環境110とインターネット環境140とを繋ぐ通信経路上には、NATルータ装置120及びインターネット131が介在する。
図2にインライン型トンネル装置の内部構成例を示す。図2において、インライン型トンネル装置200は、ホスト装置側に接続されるLAN側のネットワークポート210及びインターネット側に接続されるWAN側のネットワークポート220を備える。また、トンネル通信を制御するトンネル制御部250、LAN側のネットワークポート210に接続されたパケット受信処理部211及びパケット送信処理部212を備え、WAN側のネットワークポート220に接続されたパケット送信処理部221及びパケット受信処理部222を備える。
トンネル制御部250内には、カプセル化処理部251、デカプセル化処理部252及び代替ポート番号対応表253を備える。カプセル化処理部251は、ネットワークポート210のパケット受信処理部211で受信処理したIPパケットを、UDPカプセル化されたトンネルモードのIPsec ESP形式でカプセル化する処理を実施する。カプセル化されたIPパケットは、ネットワークポート220のパケット送信処理部221で送信処理される。
デカプセル化処理部252は、ネットワークポート220のパケット受信処理部222で受信処理したカプセル化IPパケットをデカプセル化する処理を実施する。デカプセル化されたIPパケットは、ネットワークポート210のパケット送信処理部212で送信処理される。
次に、トンネル通信の処理フローについて説明する。プライベートアドレス空間100のホスト装置111は、グローバルアドレス空間130のホスト装置142とトンネル通信を行う際、ホスト装置111のIPアドレスを差出アドレス、ホスト装置142のIPアドレスを宛先アドレスとしてIPパケットを作成し、ホスト装置142に到達する通信経路上に送信する。
LAN環境110の通信経路上に設置されたインライン型トンネル装置112は、ネットワークポート210のパケット受信処理部211で当該IPパケットを受信処理し、トンネル制御部250へ転送する。トンネル制御部250は、当該IPパケットのIPヘッダに含まれる差出アドレス及び宛先IPアドレス、トランスポートプロトコルの種類(TCP或いはUDP)、トランスポートヘッダに含まれる差出ポート番号及び宛先ポート番号を検査し、トンネル通信の対象であるかを判断する。トンネル通信の対象であるか否かは、予め定められたポリシーに従ってこれらのヘッダ情報に基づいて判断する。
トンネル通信の対象である場合、カプセル化処理部251により当該IPパケットのカプセル化処理を開始する。カプセル化方式は、UDPカプセル化したトンネルモードのIPsec ESP形式とする。カプセル化処理の開始時、当該IPパケットのIPヘッダに含まれる差出IPアドレス及び宛先IPアドレス、トランスポートプロトコルのヘッダに含まれる差出ポート番号及び宛先ポート番号が、代替ポート番号対応表253に登録されているかどうかを検査する。
代替ポート番号対応表253の例を表1に示す。
代替ポート番号対応表253は、トンネル通信の元データであるIPパケットのIPヘッダに含まれる差出IPアドレス及び宛先IPアドレス、並びにトランスポートヘッダに含まれる差出ポート番号及び宛先ポート番号の組み合わせに対して、ユニークな代表ポート番号を登録したものである。即ち、代表ポート番号が異なれば、差出IPアドレス、宛先IPアドレス、差出ポート番号及び宛先ポート番号の少なくとも1つが異なり、異なるトンネル通信の対象となる。
差出IPアドレスは、NATルータ装置120によってグローバルIPアドレスに置き換えられ、差出IPアドレスが異なる複数のホスト装置111から送信された、異なるトンネル通信対象のIPパケットであっても、NATルータ装置120を通した後は、差出IPアドレスとして同一のグローバルIPアドレスが付与されて送信されるため、複数のトンネル通信を識別することができなくなる。そこで、それらを区別するために、トンネル通信毎にユニークな代表ポート番号を生成し、カプセル化したIPパケットに該代表ポート番号を埋め込んで送信する。代替ポート番号対応表253は、トランスポートプロトコル毎に備える。
代替ポート番号対応表253に、トンネル送信の元データのIPパケットの上記ヘッダ情報が登録されていない場合、インライン型トンネル装置110内において一意に定められる16ビットの代替ポート番号を新規に生成取得し、代替ポート番号対応表253に登録する。既に登録されている場合は、上記ヘッダ情報に対応する代替ポート番号を取得する。
続いてカプセル化処理のESPヘッダ生成時に、代替ポート番号付加部254により、ESPヘッダ(文献RFC4303参照)の中の32ビットフィールドであるSPI(Security Parameters Index)値の設定欄の下位16ビットに、取得した代替ポート番号を設定する。
このインライン型トンネル装置では、SPI値の上位16ビットを本来のSPI値として扱うこととする。また、カプセル化処理のIPヘッダ生成時に、外側アドレスは内側アドレスと同一のIPアドレスを、UDPヘッダのポート番号は、インライン型トンネル装置間で予め定めた番号を設定する。
WAN側のネットワークポート220のパケット送信処理部221により、カプセル化処理部251でカプセル化処理が完了したIPパケットを送信処理し、NATルータ装置120への通信経路上に送信する。NATルータ装置120は、カプセル化されたIPパケットの差出外側アドレス及びUDPヘッダの差出ポート番号の書き換え処理を実施し、ホスト装置142への通信経路上に送信する。
インターネット環境140の通信経路上に設置されたインライン型トンネル装置141は、WAN側のネットワークポート220のパケット受信処理部221で当該IPパケットを受信処理し、トンネル制御部250へ転送する。トンネル制御部250は、当該IPパケットのIPヘッダに含まれる差出IPアドレス及び宛先IPアドレス、トランスポートプロトコルの種類(UDP)、トランスポートヘッダに含まれる差出ポート番号及び宛先ポート番号を検査し、トンネル通信の対象であるか否かを判断する。トンネル通信の対象であるか否かの判断は、予め定められたポリシーに従ってこれらのヘッダ情報に基づいて判断する。
トンネル通信の対象であった場合、デカプセル化処理部252で当該IPパケットのESPヘッダのSPI値に従い、デカプセル化処理を開始する。NAT検出部255は、受信したカプセル化IPパケット、及びデカプセル化したIPパケットの両者のIPヘッダに含まれる差出IPアドレスを検査し、外側アドレスと内側アドレスとで異なっているかどうかを検査する。両者のIPアドレスが異なっていた場合、NATルータ装置120によってアドレス変換が行われたと判断する。
アドレス変換が行われたと判断した場合、パケット書換部256は、デカプセル化された元データのIPパケットのIPヘッダに含まれる差出IPアドレスを外側アドレスで書き換える。また、デカプセル化された元データのIPパケットのトランスポートヘッダに含まれる差出ポート番号を代替ポート番号(SPI値の下位16ビットの値)で書き換える。
チェックサム再計算部257は、デカプセル化されたIPパケットのIPヘッダに含まれるチェックサム値及びトランスポートヘッダに含まれるチェックサム値を再計算して書き換える。アドレス変換が行われなかったと判断した場合は、パケット書換部256及びチェックサム再計算部257による処理は実施しない。
デカプセル化処理部252でデカプセル化処理が完了したIPパケットを、ネットワークポート210のパケット送信処理部212により送信処理し、ホスト装置142への通信経路上に送信する。ホスト装置142は、当該IPパケットの受信処理を実施する。
ホスト装置142は、ホスト装置111に応答しようとする際、受信したIPパケットのIPヘッダに含まれる差出IPアドレスと宛先IPアドレスとを入れ替え、かつ、トランスポートヘッダに含まれる差出ポート番号と宛先ポート番号とを入れ替えたIPパケットを作成し、NATルータ装置120に到達する通信経路上に送信する。即ち、宛先IPアドレスはNATルータ装置120によって書き換えられたIPアドレスの値、宛先ポート番号はインライン型トンネル装置141が書き換えた代替ポート番号の値となる。
インターネット環境140の通信経路上に設置されたインライン型トンネル装置141は、ネットワークポート210のパケット受信処理部211で当該IPパケットを受信処理し、トンネル制御部250へ転送する。トンネル制御部250は、当該IPパケットのIPヘッダに含まれる差出IPアドレス及び宛先IPアドレス、トランスポートプロトコルの種類(TCP或いはUDP)、トランスポートヘッダに含まれる差出ポート番号及び宛先ポート番号を検査し、トンネル通信の対象であるかを判断する。
トンネル通信の対象であった場合、カプセル化処理は、インライン型トンネル装置112での処理と同様に、UDPカプセル化したトンネルモードのIPsec ESP形式でカプセル化処理を実施する。カプセル化処理部251でカプセル化処理が完了したIPパケットを、ネットワークポート220のパケット送信処理部221により送信処理し、NATルータ装置120への通信経路上に送信する。
NATルータ装置120は、カプセル化されたIPパケットの宛先外側アドレス及びUDPヘッダの宛先ポート番号の書き換えを実施し、ホスト装置111への通信経路上に送信する。LAN環境110の通信経路上に設置されたインライン型トンネル装置112は、ネットワークポート220のパケット受信処理部221でIPパケットを受信処理し、トンネル制御部250へ転送する。
トンネル制御部250は、当該IPパケットのIPヘッダに含まれる差出IPアドレス及び宛先IPアドレス、トランスポートプロトコルの種類(UDP)、並びにトランスポートヘッダに含まれる差出ポート番号及び宛先ポート番号を検査し、トンネル通信の対象であるか否かを判断する。
トンネル通信の対象であった場合、デカプセル化処理部252で当該IPパケットのESPヘッダのSPI値に従い、デカプセル化処理を開始する。NAT検出部255は、当該カプセル化IPパケットとデカプセル化後のIPパケットとの各IPヘッダに含まれる宛先IPアドレスを検査し、外側アドレスと内側アドレスとで異なっているかどうかを検査する。両者のIPアドレスが異なっている場合、NATルータ装置120によってアドレス変換が行われたと判断する。
アドレス変換が行われたと判断した場合、パケット書換部256は、デカプセル化されたIPパケットのIPヘッダに含まれる宛先IPアドレス(グローバルアドレス)を、外側アドレス(アドレス変換後のプライベートアドレス)で書き換える。また、デカプセル化されたIPパケットのトランスポートヘッダに含まれる宛先ポート番号が代替ポート番号対応表253に登録されているか検査し、登録されている場合は、該代替ポート番号に対応する差出ポート番号の値を取得し、該差出ポート番号で宛先ポート番号を書き換える。
チェックサム再計算部257は、デカプセル化されたIPパケットのIPヘッダに含まれるチェックサム値及びトランスポートヘッダに含まれるチェックサム値を再計算して書き換える。アドレス変換が行われなかったと判断した場合は、パケット書換部256及びチェックサム再計算部257による処理は実施しない。
デカプセル化処理部251でデカプセル化処理が完了したIPパケットを、ネットワークポート210のパケット送信処理部212により送信処理し、ホスト装置111への通信経路上に送信する。ホスト装置111は、当該IPパケットの受信処理を実施する。
上述のトンネル通信の処理フローにおけるインライン型トンネル装置200のカプセル化処理フローを図3に、デカプセル化処理フローを図4に示す。カプセル化処理フローは図3に示すように、まず、ネットワークポート210より元データのIPパケットを受信する(3−1)。次に該IPパケットのヘッダ情報を検査する(3−2)。該ヘッダ情報を基にトンネル通信の対象かどうか判定する(3−3)。
トンネル通信の対象である場合、該IPパケットのヘッダ情報が代替ポート番号対応表に登録されているかどうかを検査する(3−4)。代替ポート番号対応表に登録されていない場合、新規の代替ポート番号を取得して代替ポート番号対応表に登録する(3−5)。次に、該IPパケットのカプセル化処理を実施し、その際に、ESPヘッダのSPI値の設定欄の下位16ビットに、取得した代替ポート番号を設定する(3−6)。そして、ネットワークポート220より該カプセル化IPパケットを送信する(3−7)。
デカプセル化処理は図4に示すように、ネットワークポート220よりカプセル化されたIPパケットを受信すると(4−1)、該IPパケットのヘッダ情報を検査し(4−2)、トンネル通信の対象か否かを判定する(4−3)。トンネル通信の対象である場合、IPパケットのデカプセル化処理を実施する(4−4)。
デカプセル化後に、該IPパケットの差出IPアドレスが外側アドレスと内側アドレスとで異なるか否かを判定する(4−5)。外側アドレスと内側アドレスとで異なる場合、LAN環境からインターネット環境への転送の際にNATルータ装置によりアドレス変換が行われたと判断し、IPパケットのヘッダ情報を書換える処理を行う(4−6)。
また、宛先IPアドレスが外側アドレスと内側アドレスとで異なるか否かを判定する(4−7)。宛先IPアドレスが外側アドレスと内側アドレスとで異なる場合、インターネット環境からLAN環境への転送の際にNATルータ装置によりアドレス変換が行われたと判断し、代替ポート番号対応表に当該IPパケットのヘッダ情報が登録されているか否かを検査する(4−8)。
代替ポート番号対応表に登録されている場合、当該デカプセル化後のIPパケットのヘッダ情報の宛先ポート番号を、代表ポート番号から、該代表ポート番号に対応付けられた差出ポート番号に書換え(4−9)、ネットワークポート210よりIPパケットを送信する(4−10)。
このように、インライン型トンネル装置において、一方のネットワークポートから元データIPパケットを受信してカプセル化する際、カプセル化IPパケットに代替ポート番号を埋め込み、他方のネットワークポートへ送信する。代替ポート番号は、アドレス変換後のポート番号の衝突を防ぐために、一台のインライン型トンネル装置内でトランスポートプロトコルのセッション毎に一意の値となるように生成した番号である。
また、対向のインライン型トンネル装置において、一方のネットワークポートからカプセル化IPパケットを受信してデカプセル化する際、外側アドレスと内側アドレスとを比較し、不一致の場合、通信経路上のNATルータ装置によって外側アドレスが変換されたものと判定する。アドレスが変換されたと判定した場合、デカプセル化されたIPパケットに含まれる内側アドレスを外側アドレスのIPアドレスに書き替え、トランスポートヘッダのポート番号を代替ポート番号に書き換え、或いはその逆に代替ポート番号を元データのIPパケットのポート番号に書き換え、他方のネットワークポートへ送信する。
100 プライベートアドレス空間
110 LAN環境
111 ホスト装置
112 インライン型トンネル装置
120 NATルータ装置
130 グローバルアドレス空間
131 インターネット
140 インターネット環境
141 インライン型トンネル装置
142 ホスト装置
200 インライン型トンネル装置
210 ネットワークポート
211 パケット受信処理部
212 パケット送信処理部
220 ネットワークポート
221 パケット送信処理部
222 パケット受信処理部
250 トンネル制御部
251 カプセル化処理部
252 デカプセル化処理部
253 代替ポート番号対応表
254 代替ポート番号付加部
255 NAT検出部
256 パケット書換部
257 チェックサム再計算部
110 LAN環境
111 ホスト装置
112 インライン型トンネル装置
120 NATルータ装置
130 グローバルアドレス空間
131 インターネット
140 インターネット環境
141 インライン型トンネル装置
142 ホスト装置
200 インライン型トンネル装置
210 ネットワークポート
211 パケット受信処理部
212 パケット送信処理部
220 ネットワークポート
221 パケット送信処理部
222 パケット受信処理部
250 トンネル制御部
251 カプセル化処理部
252 デカプセル化処理部
253 代替ポート番号対応表
254 代替ポート番号付加部
255 NAT検出部
256 パケット書換部
257 チェックサム再計算部
Claims (4)
- トンネル通信により送信する元データのIPパケットをカプセル化する際に、トンネル通信毎に異なる代替ポート番号を埋め込んだカプセル化IPパケットを出力するカプセル化処理部と、
受信した前記カプセル化IPパケットのヘッダ内のIPアドレス(以下、外側アドレスという。)と、デカプセル化後の元データのIPパケットのヘッダ内のIPアドレス(以下、内側アドレスという。)を比較し、両者のアドレスの不一致を検出したとき、前記内側アドレスを前記外側アドレスで書き換え、かつ、前記デカプセル化後の元データのIPパケットのポート番号を、差出アドレスが不一致のとき前記代替ポート番号に、宛先アドレスが不一致のとき前記代替ポート番号対応付けられた元データのIPパケットのポート番号に書き換えて出力するデカプセル処理部と、
を備えたことを特徴とするトンネル通信装置。 - トンネル通信により送信する元データのIPパケットをカプセル化して、カプセル化IPパケットを出力するカプセル化処理部と、
前記カプセル化されたIPパケットを入力してデカプセル化し、元データのIPパケットを出力するデカプセル化処理部と、
一台のトンネル通信装置内でトンネル通信毎に異なる代替ポート番号を、前記元データのIPパケットのヘッダに含まれる差出IPアドレス、宛先IPアドレス、差出ポート番号及び宛先ポート番号に対応付けて登録した代替ポート番号対応表と、を備え、
前記カプセル化処理部は、元データのIPパケットをカプセル化する際、前記代替ポート番号を、前記カプセル化IPパケットに埋め込む代替ポート番号付加部を備え、
前記デカプセル化処理部は、前記カプセル化IPパケットのヘッダ内のIPアドレス(以下、外側アドレスという。)と、デカプセル化後の元データのIPパケットのヘッダ内のIPアドレス(以下、内側アドレスという。)を比較し、両者のアドレスが不一致の場合、アドレス変換が行われたことを検出するアドレス変換検出部と、
前記アドレス変換が行われたことを検出したとき、前記内側アドレスを前記外側アドレスで書き換え、かつ、差出IPアドレスが不一致の場合、前記デカプセル化後の元データのIPパケットのポート番号を前記代替ポート番号に書き換え、宛先IPアドレスが不一致の場合、前記デカプセル化後の元データのIPパケットのポート番号が、前記代替ポート番号であるか否かを検査し、前記代替ポート番号である場合、前記代替ポート番号対応表で該代替ポート番号に対応付けられた元データのIPパケットのポート番号に書き換えて出力するパケット書換部と、
を備えたことを特徴とするトンネル通信装置。 - トンネル通信により送信する元データのIPパケットをカプセル化する際に、トンネル通信毎に異なる代替ポート番号を埋め込んだカプセル化IPパケットを出力するカプセル化処理ステップと、
受信した前記カプセル化IPパケットのヘッダ内のIPアドレス(以下、外側アドレスという。)と、デカプセル化後の元データのIPパケットのヘッダ内のIPアドレス(以下、内側アドレスという。)を比較し、両者のアドレスの不一致を検出したとき、前記内側アドレスを前記外側アドレスで書き換え、かつ、前記デカプセル化後の元データのIPパケットのポート番号を、差出アドレスが不一致のとき前記代替ポート番号に、宛先アドレスが不一致のとき前記代替ポート番号対応付けられた元データのIPパケットのポート番号に書き換えて出力するデカプセル処理ステップと、
を含むことを特徴とするトンネル通信方法。 - トンネル通信により送信する元データのIPパケットをカプセル化して、カプセル化IPパケットを出力するカプセル化処理ステップと、
前記カプセル化されたIPパケットを入力してデカプセル化し、元データのIPパケットを出力するデカプセル化処理ステップと、
一台のトンネル通信装置内でトンネル通信毎に異なる代替ポート番号を、前記元データのIPパケットのヘッダに含まれる差出IPアドレス、宛先IPアドレス、差出ポート番号及び宛先ポート番号に対応付け、代替ポート番号対応表に登録するステップを含み、
前記カプセル化処理ステップは、元データのIPパケットをカプセル化する際、前記代替ポート番号を、前記カプセル化IPパケットに埋め込む代替ポート番号付加ステップと、を含み、
前記デカプセル化処理ステップは、前記カプセル化IPパケットのヘッダ内のIPアドレス(以下、外側アドレスという。)と、デカプセル化後の元データのIPパケットのヘッダ内のIPアドレス(以下、内側アドレスという。)を比較し、両者のアドレスが不一致の場合、アドレス変換が行われたことを検出するアドレス変換検出ステップと、
前記アドレス変換が行われたことを検出したとき、前記内側アドレスを前記外側アドレスで書き換え、かつ、差出IPアドレスが不一致の場合、前記デカプセル化後の元データのIPパケットのポート番号を前記代替ポート番号に書き換え、宛先IPアドレスが不一致の場合、前記デカプセル化後の元データのIPパケットのポート番号が、前記代替ポート番号であるか否かを検査し、前記代替ポート番号である場合、前記代替ポート番号対応表で該代替ポート番号に対応付けられた元データのIPパケットのポート番号に書き換えて出力するパケット書換ステップと、
を含むことを特徴とするトンネル通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009127762A JP5158021B2 (ja) | 2009-05-27 | 2009-05-27 | トンネル通信装置及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009127762A JP5158021B2 (ja) | 2009-05-27 | 2009-05-27 | トンネル通信装置及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010278638A true JP2010278638A (ja) | 2010-12-09 |
| JP5158021B2 JP5158021B2 (ja) | 2013-03-06 |
Family
ID=43425206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009127762A Expired - Fee Related JP5158021B2 (ja) | 2009-05-27 | 2009-05-27 | トンネル通信装置及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5158021B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534794A (zh) * | 2016-11-30 | 2017-03-22 | 浙江宇视科技有限公司 | 一种视频监控系统远程控制方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001352344A (ja) * | 2000-06-09 | 2001-12-21 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークアドレス変換方法およびその装置並びにvpnクライアント多重化システム |
| JP2002232450A (ja) * | 2001-01-31 | 2002-08-16 | Furukawa Electric Co Ltd:The | ネットワーク中継装置、データ通信システム、データ通信方法およびその方法をコンピュータに実行させるプログラム |
| JP2004522335A (ja) * | 2001-01-11 | 2004-07-22 | マルコニ ユーケイ インテレクチュアル プロパティー リミテッド | ルールにアクセスするためにインデックスを用いたファイアウォール |
| JP2009111437A (ja) * | 2007-10-26 | 2009-05-21 | Hitachi Ltd | ネットワークシステム |
-
2009
- 2009-05-27 JP JP2009127762A patent/JP5158021B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001352344A (ja) * | 2000-06-09 | 2001-12-21 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークアドレス変換方法およびその装置並びにvpnクライアント多重化システム |
| JP2004522335A (ja) * | 2001-01-11 | 2004-07-22 | マルコニ ユーケイ インテレクチュアル プロパティー リミテッド | ルールにアクセスするためにインデックスを用いたファイアウォール |
| JP2002232450A (ja) * | 2001-01-31 | 2002-08-16 | Furukawa Electric Co Ltd:The | ネットワーク中継装置、データ通信システム、データ通信方法およびその方法をコンピュータに実行させるプログラム |
| JP2009111437A (ja) * | 2007-10-26 | 2009-05-21 | Hitachi Ltd | ネットワークシステム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534794A (zh) * | 2016-11-30 | 2017-03-22 | 浙江宇视科技有限公司 | 一种视频监控系统远程控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5158021B2 (ja) | 2013-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9667594B2 (en) | Maintaining network address translations | |
| KR100798660B1 (ko) | 로컬 ip 어드레스 및 변환불능 포트 어드레스를사용하는 구내 통신망에 대한 네트워크 어드레스 변환게이트웨이 | |
| Aboba et al. | IPsec-network address translation (NAT) compatibility requirements | |
| JP2009111437A (ja) | ネットワークシステム | |
| Tuexen et al. | UDP encapsulation of Stream Control Transmission Protocol (SCTP) packets for end-host to end-host communication | |
| CN107306198B (zh) | 报文转发方法、设备和系统 | |
| BRPI0607516B1 (pt) | Método para impedir fontes duplicadas em um protocolo de rede | |
| KR100479261B1 (ko) | 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치 | |
| JP2011188448A (ja) | ゲートウェイ装置、通信方法および通信用プログラム | |
| JP5158021B2 (ja) | トンネル通信装置及び方法 | |
| CN111903105A (zh) | 多路复用安全隧道 | |
| Phelan et al. | DCCP-UDP: A Datagram Congestion Control Protocol UDP Encapsulation for NAT Traversal | |
| JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
| Tuexen et al. | RFC 6951: UDP Encapsulation of Stream Control Transmission Protocol (SCTP) Packets for End-Host to End-Host Communication | |
| Phelan et al. | DCCP-UDP: Datagram Congestion Control Protocol Encapsulation for NAT Traversal: DCCP-UDP | |
| Phelan et al. | RFC 6773: DCCP-UDP: A Datagram Congestion Control Protocol UDP Encapsulation for NAT Traversal | |
| Perkins | DCCP Working Group T. Phelan Internet-Draft Sonus Intended status: Standards Track G. Fairhurst Expires: December 27, 2012 University of Aberdeen |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110915 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121102 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121113 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121126 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151221 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |