JP2011049841A - Network control method and network system - Google Patents
Network control method and network system Download PDFInfo
- Publication number
- JP2011049841A JP2011049841A JP2009196756A JP2009196756A JP2011049841A JP 2011049841 A JP2011049841 A JP 2011049841A JP 2009196756 A JP2009196756 A JP 2009196756A JP 2009196756 A JP2009196756 A JP 2009196756A JP 2011049841 A JP2011049841 A JP 2011049841A
- Authority
- JP
- Japan
- Prior art keywords
- network
- tunnel
- terminal
- address
- ipsec tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、IP(Internet Protocol)ネットワークにおいてIPsec(security architecture for IP)トンネリングにより構成するVPN(Virtual Private Network)におけるアドレス割り当て、通信制御、経路制御等の技術に関する。 The present invention relates to techniques such as address assignment, communication control, and path control in a VPN (Virtual Private Network) configured by IPsec (security architecture for IP) tunneling in an IP (Internet Protocol) network.
近年、情報通信の分野において、以下のような技術が用いられている。 In recent years, the following technologies are used in the field of information communication.
(1)IPsecESP(Encapsulating Security Payload)トンネルモード技術
IPネットワーク間をIPトンネリング技術で接続する代表的な技術として、IETF(Internet Engineering Task Force) RFC(Request for Comments)4301に規定されるIPsecESPトンネルモード(以下、「IPsecトンネル」という。)技術がある(非特許文献1参照)。本技術を用いることにより、パケット(IPパケット。以下同様)を更にパケットでカプセル化(暗号化)して転送することが可能となる。
(1) IPsec ESP (Encapsulating Security Payload) Tunnel Mode Technology As a typical technology for connecting IP networks with IP tunneling technology, IPsec ESP tunnel mode (defined in IETF (Internet Engineering Task Force) RFC (Request for Comments) 4301 ( Hereinafter, there is a technique (referred to as non-patent document 1). By using this technique, it becomes possible to further encapsulate (encrypt) packets (IP packets; the same applies hereinafter) and transfer them.
(2)IKEv2(Internet Key Exchange version 2)技術
前記(1)に示したIPsecトンネルを自動で確立するための技術として、IETF RFC4306に規定されるIKEv2の技術がある(非特許文献2参照)。本技術を用いることにより、接続しようとするトンネル終端装置間で、認証(相手装置が正規の装置であるか否かの認証。以下同様)を行うための情報の交換、IPsecトンネル内のIP通信を行うために利用するIPアドレス(またはIPプレフィクス)の割り当て、暗号化鍵の生成等を動的に行ったうえで、セキュアなIPsecトンネルを確立することができる。なお、認証は、認証サーバ等との連携による実現も可能である。
(2) IKEv2 (Internet Key Exchange version 2) Technology As a technology for automatically establishing the IPsec tunnel shown in the above (1), there is an IKEv2 technology defined in IETF RFC4306 (see Non-Patent Document 2). By using this technology, exchange of information for performing authentication (authentication of whether or not the other device is a legitimate device, and so on) between tunnel terminating devices to be connected, and IP communication in an IPsec tunnel It is possible to establish a secure IPsec tunnel after dynamically assigning an IP address (or IP prefix) to be used for performing encryption, generating an encryption key, and the like. Note that authentication can also be realized by cooperation with an authentication server or the like.
(3)ダイナミックルーティング技術
ルータ等がパケットを転送するにあたり、パケットの宛先に応じた転送先情報を学習するための技術として、ダイナミックルーティング技術がある。ダイナミックルーティング技術については、例えば、IETF RFC2545(非特許文献3参照)やIETF RFC2858(非特許文献4参照)に規定されるBGP(Border Gateway Protocol)4+などがある。本技術を用いることにより、あらかじめ指定したIP機器間で、お互いが学習した経路情報を交換し、広域なIPネットワークを構成することが可能となる。
(3) Dynamic Routing Technology As a technology for learning transfer destination information corresponding to a packet destination when a router or the like transfers a packet, there is a dynamic routing technology. Examples of the dynamic routing technique include BGP (Border Gateway Protocol) 4+ defined in IETF RFC2545 (see Non-Patent Document 3) and IETF RFC2858 (see Non-Patent Document 4). By using the present technology, it is possible to configure a wide-area IP network by exchanging route information learned between IP devices specified in advance.
これらの技術により、例えば、図14に示すような、仮想的なプライベートネットワーク(以下、「VPN」という。)が構築される。図14に示す例では、IPネットワークAとIPネットワークBを、それらの間に存在するIPネットワーク上に設けられるIPsecトンネルで接続することにより、VPNが実現される。 With these techniques, for example, a virtual private network (hereinafter referred to as “VPN”) as shown in FIG. 14 is constructed. In the example shown in FIG. 14, the VPN is realized by connecting the IP network A and the IP network B with an IPsec tunnel provided on the IP network existing between them.
図14に示す例では、IPネットワークA側からIPネットワークB側へ、IPネットワークB内で利用するIPプレフィクスがIKEv2により割り当てられている前提で説明する。なお、IPアドレスは、IPプレフィクスとホストアドレスからなる。また、図14に示す例において、IPプレフィクスは、IPネットワークAとIPネットワークBに対して、それぞれ1つずつ与えられるものとする。 In the example illustrated in FIG. 14, description will be made on the assumption that the IP prefix used in the IP network B is assigned from the IP network A side to the IP network B side by IKEv2. The IP address is composed of an IP prefix and a host address. Further, in the example shown in FIG. 14, it is assumed that one IP prefix is given to each of the IP network A and the IP network B.
IPネットワークB側では、IPネットワークB内の各端末が、IPネットワークBに割り当てられたIPプレフィクスと所定のホストアドレスを組み合わせることで自身が用いるIPアドレスを決定して通信が可能となる。 On the IP network B side, each terminal in the IP network B can communicate by determining the IP address used by itself by combining the IP prefix assigned to the IP network B and a predetermined host address.
IPネットワークA側では、トンネル終端装置が、IPネットワークBに割り当てたIPプレフィクスをIPネットワークA内の各端末等に経路広告することで、IPネットワークA内の端末から、IPネットワークB内の端末へのパケットを、IPネットワークA内のトンネル終端装置に経由してIPネットワークB側に送信することが可能となる。 On the IP network A side, the tunnel terminating device advertises the route of the IP prefix assigned to the IP network B to each terminal in the IP network A, so that the terminal in the IP network A can change the terminal in the IP network B. Can be transmitted to the IP network B side via the tunnel termination device in the IP network A.
なお、IPネットワークA内、IPネットワークB内それぞれに閉じた通信を端末間が行う場合には、IPsecトンネルを経由する必要をなくすため、それぞれのIPネットワークに配備されたルータ等により各IPネットワーク内で通信が行われるようパケットが転送される。 When communication between terminals within IP network A and IP network B is performed between terminals, it is not necessary to go through an IPsec tunnel, so each router has a router or the like installed in each IP network. The packet is forwarded so that communication can be performed.
従来技術により構成されるVPNでは、IPネットワークB内の端末(以下、「外出端末」という。)が外出(IPネットワークBの外部に出ることをいう。以下同様)した場合、外出端末自らがトンネル終端装置となり、IPネットワークBの外部から、トンネル終端装置3Aとの間でIKEv2を用いることにより、IPsecトンネルを確立する。
In a VPN configured by the prior art, when a terminal in the IP network B (hereinafter referred to as “outing terminal”) goes out (refers to going out of the IP network B; the same applies hereinafter), the outing terminal itself tunnels. An IPsec tunnel is established by using IKEv2 from the outside of the IP network B with the
ここで、外出端末がIPネットワークB内で利用していたIPアドレスを継続利用して当該VPNに接続して通信しようとする場合に、外出端末が用いるIPアドレスは、前記のようにIPネットワークAから割り当てられていることを前提とする。しかし、それでも、外出端末が外出したことに伴い、IPネットワークA〜外出端末間の通信、IPネットワークB〜外出端末間の通信、および、IPネットワークA〜IPネットワークB間の通信を、同時に可能とするためには、IPネットワークA〜IPネットワークB間のIPsecトンネルの再設定や、IPネットワークA内のトンネル終端装置におけるIPネットワークA内での経路再広告を行う必要があり、処理が煩雑であった。 Here, when trying to communicate by connecting to the VPN by continuously using the IP address used by the outing terminal in the IP network B, the IP address used by the outing terminal is the IP network A as described above. Assuming that However, as the outing terminal goes out, communication between the IP network A and the outing terminal, communication between the IP network B and the outing terminal, and communication between the IP network A and the IP network B can be performed simultaneously. In order to do so, it is necessary to re-set the IPsec tunnel between the IP network A and the IP network B, and to perform re-advertisement of the route in the IP network A in the tunnel terminating device in the IP network A, and the processing is complicated. It was.
本発明は、前記した問題を解決するためになされたものであり、VPNにおける端末が自身のIPネットワークから離脱した場合でも、確立済みのIPsecトンネルの再設定等を行わずにVPNによる通信環境を維持することを課題とする。 The present invention has been made in order to solve the above-described problem. Even when a terminal in the VPN is disconnected from its own IP network, the communication environment by the VPN can be established without resetting the established IPsec tunnel. The challenge is to maintain.
前記した課題を解決するために、本発明は、第1のIPネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行うIPsecトンネルを確立することでVPNを構成するネットワークシステムに関する。第2のIPネットワーク内の端末が第2のIPネットワークから離脱した場合、第1のトンネル終端装置のIPsecトンネル方路決定用情報に、その離脱に関する情報を追加する。また、第2のトンネル終端装置、あるいは、その配下のルータに、その離脱に関する情報を追加する。それらの装置で最長一致検索によりパケットを転送することで当該離脱に対応できる。 In order to solve the above-described problem, the present invention provides a dynamic based on an IP prefix between a first tunnel termination device in a first IP network and a second tunnel termination device in a second IP network. The present invention relates to a network system that configures a VPN by establishing an IPsec tunnel for performing routing. When a terminal in the second IP network leaves the second IP network, information related to the departure is added to the IPsec tunnel route determination information of the first tunnel termination device. In addition, information regarding the leaving is added to the second tunnel termination device or a router under its control. These devices can cope with the departure by transferring the packet by the longest match search.
本発明によれば、VPNにおける端末が自身のIPネットワークから離脱した場合でも、確立済みのIPsecトンネルの再設定等を行わずにVPNによる通信環境を維持することができる。 According to the present invention, a VPN communication environment can be maintained without re-establishing an established IPsec tunnel or the like even when a terminal in the VPN is disconnected from its own IP network.
以下、図面を参照して、本発明を実施するための形態(以下、「実施形態」という。)について説明する。なお、本実施形態では、IPネットワークA側からIPネットワークB側へ、IPネットワークB内で利用するIPプレフィックスがIKEv2により割り当てられていることを前提とする。また、IPネットワークB側のトンネル終端装置の動作別に、3つのモード(モード1,2,3)に分けて説明する。また、モード1について説明した後、モード2,3の説明において、モード1の場合と重複する説明は適宜省略する。
DESCRIPTION OF EMBODIMENTS Hereinafter, embodiments for carrying out the present invention (hereinafter referred to as “embodiments”) will be described with reference to the drawings. In the present embodiment, it is assumed that an IP prefix used in the IP network B is assigned by the IKEv2 from the IP network A side to the IP network B side. Further, the operation of the tunnel terminating device on the IP network B side will be described in three modes (
(モード1)
モード1では、IPネットワークB内のトンネル終端装置(3B)が、パススルーモードで動作し、ピアアドレスを配下ルータ(同じIPネットワーク内のルータ。以下同様)に通知する。そして、その配下ルータが、IPネットワークA内のトンネル終端装置(A)との経路交換(経路情報の交換。以下同様)を実施し、自身の経路テーブルを更新することで、外出端末の外出に対応する。
(Mode 1)
In
図1(a)に示すように、本実施形態のモード1のネットワークシステムS(以下、VPNとして機能するときは「VPN」ともいう。)は、IPネットワークA(第1のIPネットワーク)、IPネットワークB(第2のIPネットワーク)およびIPネットワーク100から構成される。
As shown in FIG. 1A, the
IPネットワークAには、端末1A、ルータ2A、トンネル終端装置3A(第1のトンネル終端装置)、認証サーバ4Aが存在する。IPネットワークBには、端末1B、ルータ2B、トンネル終端装置3B(第2のトンネル終端装置)、外出端末5(端末1Bと同様の装置。)が存在する。また、IPネットワーク100には、トンネル終端装置3Aが接続するアクセスルータ(AR)6Aと、トンネル終端装置3Bが接続するアクセスルータ(AR)62Bと、外出端末5が外出先(IPネットワークBの外部)で接続するアクセスルータ(AR)6Cが存在する。
The IP network A includes a
なお、図1(a)は模式図であるので、例えば、端末1A、ルータ2A、端末1B、ルータ2Bは、実際は1つではなく複数存在するのが通常である。その他、各装置の数や接続状況は、この例に限定されない。また、外出端末5は、例えば、ノートパソコンや携帯電話などの容易に持ち運びができるものである。
Since FIG. 1A is a schematic diagram, for example, there are usually not a
ネットワークシステムSにおけるすべての装置は、通信機能を有し、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、通信インタフェース、通信ポート、入出力インタフェース、LSI(Large Scale Integration)等を適宜備える。 All devices in the network system S have communication functions, such as a central processing unit (CPU), a random access memory (RAM), a read only memory (ROM), a hard disk drive (HDD), a communication interface, a communication port, an input port. An output interface, LSI (Large Scale Integration), etc. are provided as appropriate.
具体的には、図2(a)、(b)に示すように、トンネル終端装置3(トンネル終端装置3A,3Bに対応)は、通信IPインタフェースやIPsecインタフェースからなる通信部31、マウス、キーボード、入出力インタフェース、LCD(Liquid Crystal Display)等からなるI/O部32、RAM、ROM、HDDなどからなる記憶部33(第1の記憶部)、CPUからなる処理部34(第1の処理部、第2の処理部)を備えて構成される。
Specifically, as shown in FIGS. 2A and 2B, the tunnel termination device 3 (corresponding to the
記憶部33には、IPsecトンネル方路決定用テーブル331および経路テーブル332が格納される。処理部34は、処理部(他)341、IPsec処理部342およびIP処理部343を備える。
The
図2(a)を参照して、通常のIPパケット転送時の処理(図2(b)の場合の処理以外の処理)について説明する。トンネル終端装置3がパケットを受信した場合(ステップ(1))、IP処理部343が経路テーブル332で宛先方路を検索する(ステップ(2))。検索した結果、宛先方路が通信IPインタフェースであった場合(ステップ(3))、IP処理部343は通信部31におけるその通信IPインタフェースにパケットを出力する(ステップ(4))。
With reference to FIG. 2A, processing at the time of normal IP packet transfer (processing other than the processing in the case of FIG. 2B) will be described. When the
次に、図2(b)を参照して、IPsecトンネルへのパケットの送り込みについて説明する。トンネル終端装置3がパケットを受信した場合(ステップ(1))、IP処理部343が経路テーブル332で宛先方路を検索する(ステップ(2))。検索した結果、宛先方路がIPsecインタフェースであった場合(ステップ(3))、IP処理部343はIPsec処理部342に処理を引き継ぐ(ステップ(4))。IPsec処理部342は、IPsecトンネル方路決定用テーブル331で送り込み先IPsecトンネル方路を検索する(ステップ(5))。送り込み先IPsecトンネル方路が決定すると(ステップ(6))、IPsec処理部342はIPsecトンネル化処理(暗号化、カプセル化)を実施する(ステップ(7))。その後、処理を引き継いだIP処理部343は、通信部31におけるそのIPsecトンネルにパケットを出力する(ステップ(8))。なお、ステップ(7)の後、IP処理部343によって再度、経路テーブル332を検索する場合もあるが、その説明については省略する。
Next, referring to FIG. 2B, sending of a packet to the IPsec tunnel will be described. When the
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。そのために、まず、図4を参照して、各装置が有するテーブルについて説明する。なお、図4において、「網A」はIPネットワークAを意味し、「網B」はIPネットワークBを意味する。
<Initial connection>
Next, processing of each device at the time of initial connection (IPsec tunnel establishment between IP networks A and B) will be described. For this purpose, first, a table included in each apparatus will be described with reference to FIG. In FIG. 4, “network A” means IP network A, and “network B” means IP network B.
図4に示すように、トンネル終端装置3Aは、経路テーブル332AとIPsecトンネル方路決定用テーブル331Aとを有する。各テーブルにおいて、IPネットワークA→IPネットワークB方向用、および、IPネットワークB→IPネットワークA方向用に、受信したパケットを処理するための情報として、送信元アドレス、宛先アドレス、および、動作(処理するべき主体やパケットの送り先などに関する情報)が関連付けられている。なお、図4において、[bbb]はIPネットワークBに割り当てられたIPプレフィクスを示す。また、「ANY」は任意であることを示す。
As shown in FIG. 4, the
また、トンネル終端装置3Bは、IPsecトンネル方路決定用テーブル331Bと経路テーブル332Bとを有する。さらに、ルータ2Bは経路テーブルを有する。それらのテーブルについても、同様に、受信したパケットを処理するための情報として、送信元アドレス、宛先アドレス、および、動作(処理するべき主体やパケットの送り先などに関する情報)が関連付けられている。
The
次に、図1(b)を参照して、初期接続時における各装置の処理について説明する(適宜他図参照)。なお、以下において、各装置の処理の動作主体は処理部(CPUなど)であるが、その旨の記載は省略する。また、情報通信の途中に経由する装置については図示の通りとし、その説明は適宜省略する(図3では、さらに「転送」の場合も説明を適宜省略する)。 Next, with reference to FIG. 1B, processing of each device at the time of initial connection will be described (refer to other figures as appropriate). In the following description, the operation subject of processing of each device is a processing unit (CPU or the like), but a description to that effect is omitted. In addition, a device that is in the middle of information communication is as illustrated, and the description thereof is omitted as appropriate (in FIG. 3, the description is also omitted as appropriate in the case of “transfer”).
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS21)。
First, the
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクス([bbb])を決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS22)。また、ステップS22が完了した時点で、各テーブル(図4において「エントリ生成タイミング:S22」と記載されたテーブル)に、図示のようなエントリが設定される。
During the IKEv2 sequence, the
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(第1のIPsecトンネル)(図3(a)参照)を確立する(ステップS23)。
Thereafter, the
続いて、トンネル終端装置3Bは、IPネットワークB内のルータ2Bに対して、例えばDHCP(Dynamic Host Configuration Protocol)、RA(Router Advertisement)等を用いてIPプレフィクスを通知するとともに、通知されたピアアドレスを設定する(ステップS24)。この時点で、ルータ2Bの経路テーブルに、図4に示すようなエントリが設定される。
Subsequently, the
次に、トンネル終端装置3Bは、IPネットワークB内の端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS25)。
Next, the
続いて、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS26)。
Subsequently, the
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10(図3(a)参照)を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、ルータ2Bを中継して行われ、トンネル終端装置3BやIPsecトンネル10を経由することはない。IPネットワークA内の通信についても同様である。
Through the above processing, communication between the terminal 1A and the terminal 1B, and between the terminal 1A and the
<外出端末5の外出>
次に、図3(b)を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。なお、図3(a)はステップS605の後の状態を示すものであり、図3(b)の処理が開始する時点では、外出端末5はIPネットワークB内に存在し、また、IPsecトンネル11(第2のIPsecトンネル)は未確立である。
<
Next, with reference to FIG. 3B, processing of each device when the outing terminal goes out (leaves from the IP network B) will be described (refer to other figures as appropriate). FIG. 3A shows a state after step S605. At the time when the processing of FIG. 3B starts, the
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS601)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図3(b)では不図示)。
First, the
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS602)。
Next, the
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS603)。なお、IPプレフィクスを割り当てるか、IPアドレスを割り当てるかは、認証に用いるユーザID(IDentification)等に基づいて識別可能としておくことを前提とし、IPプレフィクスを割り当てる場合のみピアアドレスを通知し、IPアドレスを割り当てる場合にはピアアドレスは通知しない。ここでは、外出端末5にIPアドレスを割り当てるため、ピアアドレスは通知しない。
During the IKEv2 sequence, the
次に、トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11(後記)へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS604)。なお、IPsecトンネル方路決定用テーブル331Aは、図5に示すように更新される。ここで、[zz]は外出端末5のホストアドレスである。つまり、外出端末5のIPアドレスについて、IPプレフィクスは[bbb]であり、ホストアドレスは[zz]である。
Next, the
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11を確立する(ステップS605)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため([bbb]が共通)、IPネットワークAへの経路広告を行わない(行う必要がない)。
Thereafter, the
次に、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図5参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(ルータ2B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(ルータ2B)へ広告する(ステップS606)。
Next, the
その後、IPsecトンネル10経由でトンネル終端装置3Aからの広告を受けたルータ2Bは、外出端末5へ割り当てたIPアドレス宛のパケットを受信した場合にトンネル終端装置3B側へ転送するよう、自身の経路テーブルを更新する(図5参照)(ステップS607)。
Thereafter, the
次に、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)をルータ2Bに送信すると、そのパケットは、各装置のテーブルのエントリに基づき(図5参照)、外出端末5へ到着する(ステップS608)。なお、この場合の経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。最長一致検索のアルゴリズムでは、宛先IPアドレスの候補が複数ある場合に、受信したパケットの宛先IPアドレスと一致する部分が一番多いもの(最長のもの)を選択する。つまり、この場合、宛先IPアドレスの候補が「bbb」と「bbb+zz」のとき、「bbb+zz」を選択する。
Next, when the terminal 1B transmits to the
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ到着する(ステップS609)。
Similarly, a packet from the terminal 1A to the out-going terminal 5 arrives at the out-going terminal 5 via the IPsec tunnel 11 by determining the route by the longest match search using the IPsec tunnel route determination table 331A of the
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
Thus, when the
<外出端末5の帰還>
外出端末5が外出している状態(図3(a)参照)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
<Return of
When the
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、ルータ2Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。これにより各装置のテーブルは、図4の状態へ更新される(戻される)。
The
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
Through these processes, the communication environment in the network system S returns to the state before the
(モード2)
モード2では、IPネットワークB内のトンネル終端装置3Bが、プロキシモードで動作する。つまり、トンネル終端装置3Bは、トンネル終端装置Aとの経路交換を実施し、当該経路情報に関して、配下ルータ(ルータ2B)に対してプロキシARP(Address Resolution Protocol)/NDP(Neighbor Discovery Protocol)応答を実施する。そして、配下ルータ(ルータ2B)上の経路テーブルが更新される。
(Mode 2)
In
図6(a)に示すように、ネットワークシステムSの構成は、モード1の場合(図1(a)参照)と同様である。 As shown in FIG. 6A, the configuration of the network system S is the same as that in the mode 1 (see FIG. 1A).
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。各装置が有するテーブルについては、図8に示す通りである。
<Initial connection>
Next, processing of each device at the time of initial connection (IPsec tunnel establishment between IP networks A and B) will be described. The table of each device is as shown in FIG.
次に、図6(b)を参照して、初期接続時における各装置の処理について説明する(適宜図7等参照)。 Next, with reference to FIG. 6B, processing of each device at the time of initial connection will be described (see FIG. 7 and the like as appropriate).
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS31)。
First, the
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクスを決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS32)。また、ステップS32が完了した時点で、各テーブル(図8において「エントリ生成タイミング:S32」と記載されたテーブル)に、図示のようなエントリが設定される。
During the IKEv2 sequence, the
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(図3(a)のIPsecトンネル10と同様)を確立する(ステップS33)。
Thereafter, the
続いて、トンネル終端装置3Bは、IPネットワークB内のルータ2B、端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS34)。この時点で、ルータ2Bの経路テーブルに、図8に示すようなエントリが設定される。
Subsequently, the
また、トンネル終端装置3Bは、トンネル終端装置3Aから通知されたピアアドレスを自身に設定する(ステップS35)。
Further,
その後、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS36)。
Thereafter, the
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、ルータ2Bを中継して行われ、トンネル終端装置3BやIPsecトンネル10を経由することはない。IPネットワークA内の通信についても同様である。
Through the above processing, communication between the terminal 1A and the terminal 1B, and between the terminal 1A and the
<外出端末5の外出>
次に、図7を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。
<
Next, with reference to FIG. 7, the processing of each device when the outing terminal goes out (leaves from the IP network B) will be described (refer to other figures as appropriate).
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS701)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図7では不図示)。
First, the
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS702)。
Next, the
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS703)。ここで、外出端末5には、IPネットワークBに割り当てられているIPプレフィクスに属するIPアドレスが割り当てられるものとする。
During the IKEv2 sequence, the
トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS704)。なお、この時点で、IPsecトンネル方路決定用テーブル331Aは、図9に示すように更新される。
The
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11(図3(a)のIPsecトンネル11と同様)を確立する(ステップS705)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため、IPネットワークAへの経路広告を行わない(行う必要がない)。
Thereafter, the
ステップS705の後、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図9参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(トンネル終端装置3B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(トンネル終端装置3B)へ広告する(ステップS706)。
After step S705, the
次に、IPsecトンネル10経由でトンネル終端装置3Aからの経路広告を受けたトンネル終端装置3Bは、外出端末5へ割り当てたIPアドレス宛のIPパケットに関するARPまたはNDP要求に対して、代理応答するよう動作を開始する(ステップS707)。
Next, the
その後、ルータ2Bは、ARP又はNDP要求に対する代理応答を受信し、外出端末5宛のパケットはトンネル終端装置3Bへ転送するよう、自身の経路テーブルを更新する(図9参照)(ステップS708)。
Thereafter, the
次似、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)をルータ2Bに送信すると、そのパケットは、各装置の各テーブルのエントリに基づき(図9参照)、外出端末5へ到着する(ステップS709)。なお、経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。
Similarly, when the terminal 1B transmits to the
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ転送される(ステップS710)。
Similarly, a packet from the terminal 1A to the going-out
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
Thus, when the
<外出端末5の帰還>
外出端末5が外出している状態(図7のステップS708の直後の状態)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
<Return of
When the
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、ルータ2Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。経路削除広告を受けたトンネル終端装置3Bは、外出端末5に関するARP、NDP要求に対する代理応答を停止する。これにより各装置の各テーブルは、図8の状態へ更新される(戻される)。
The
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
Through these processes, the communication environment in the network system S returns to the state before the
(モード3)
モード3では、IPネットワークB内のトンネル終端装置3Bが、経路交換モードモードで動作する。つまり、トンネル終端装置3Bは、トンネル終端装置Aとの経路交換を実施し、自身の経路テーブルを更新する。
(Mode 3)
In
図10(a)に示すように、ネットワークシステムSの構成は、モード1の場合(図1(a)参照)と比較して、ルータ2Bが存在しない点で異なっている。なお、これは、IPネットワークBにルータが存在しないという意味ではなく、モード3の説明にルータ2Bの存在が不要であるという意味である。
As shown in FIG. 10A, the configuration of the network system S is different from that in the mode 1 (see FIG. 1A) in that the
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。各装置が有するテーブルについては、図12に示す通りである。
<Initial connection>
Next, processing of each device at the time of initial connection (IPsec tunnel establishment between IP networks A and B) will be described. The table which each device has is as shown in FIG.
次に、図10(b)を参照して、初期接続時における各装置の処理について説明する(適宜図12等参照)。 Next, with reference to FIG. 10B, processing of each device at the time of initial connection will be described (see FIG. 12 and the like as appropriate).
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS41)。
First, the
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクスを決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS42)。また、この時点で、各装置の各テーブルに、図12に示すようなエントリが設定される。
During the IKEv2 sequence, the
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(図3(a)のIPsecトンネル10と同様)を確立する(ステップS43)。
Thereafter, the
続いて、トンネル終端装置3Bは、IPネットワークB内の端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS44)。
Subsequently, the
また、トンネル終端装置3Bは、トンネル終端装置3Aから通知されたピアアドレスを自身に設定する(ステップS45)。
Further,
その後、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS46)。
Thereafter, the
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、トンネル終端装置3Bを中継して行われる。
Through the above processing, communication between the terminal 1A and the terminal 1B, and between the terminal 1A and the
<外出端末5の外出>
次に、図11を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。
<
Next, with reference to FIG. 11, the processing of each device when the outing terminal goes out (leaves from the IP network B) will be described (refer to other figures as appropriate).
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS801)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図11では不図示)。
First, the
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS802)。
Next, the
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS803)。ここで、外出端末5には、IPネットワークBに割り当てられているIPプレフィクスに属するIPアドレスが割り当てられるものとする。
During the IKEv2 sequence, the
次に、トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS804)。なお、IPsecトンネル方路決定用テーブル331Aは、図13に示すように更新される。
Next, the
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11(図3(a)のIPsecトンネル11と同様)を確立する(ステップS805)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため、IPネットワークAへの経路広告を行わない(行う必要がない)。
Thereafter, the
次に、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図13参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(トンネル終端装置3B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(トンネル終端装置3B)へ広告する(ステップS806)。
Next, the
次に、IPsecトンネル10経由でトンネル終端装置3Aからの経路広告を受けたトンネル終端装置3Bは、外出端末5宛のパケットを、IPsecトンネル方路決定用テーブルを用いて処理するよう、自身の経路テーブル332Bを更新する(図13参照)(ステップS807)。
Next, the
その後、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)を送信すると、そのパケットは、各装置の各テーブルのエントリに基づき(図13参照)、外出端末5へ到着する(ステップS808)。なお、経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。 Thereafter, when the terminal 1B transmits a packet addressed to the going-out terminal 5 (a packet whose destination IP address is a combination of the IP prefix [bbb] and the host address [zz]), the packet is stored in each table entry of each device. Based on this (see FIG. 13), it arrives at the outing terminal 5 (step S808). The route search uses a longest match search (longest match) algorithm.
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ転送される(ステップS809)。
Similarly, a packet from the terminal 1A to the going-out
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
Thus, when the
<外出端末5の帰還>
外出端末5が外出している状態(図11のステップS807の直後の状態)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
<Return of
When the
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、トンネル終端装置3Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。これにより、各装置のテーブルは、図12の状態へ更新される(戻される)。
The
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
By these processes, the communication environment in the network system S returns to the state before the
以上で本実施形態の説明を終えるが、本発明の態様はこれらに限定されるものではない。
例えば、認証サーバ4Aの機能をトンネル終端装置3Aが具備してもよい。
Although description of this embodiment is finished above, the aspect of the present invention is not limited to these.
For example, the
また、IPプレフィクスは、IPネットワークAとIPネットワークBに対して、それぞれ複数与えられてもよく、その場合でも、本発明を同様に適用することができる。
その他、具体的な構成や処理について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
Also, a plurality of IP prefixes may be given to the IP network A and the IP network B, respectively, and even in this case, the present invention can be similarly applied.
In addition, specific configurations and processes can be appropriately changed without departing from the gist of the present invention.
1A、1B 端末
2A、2B ルータ
3、3A、3B トンネル終端装置
4A 認証サーバ
5 外出端末
6A、6B、6C アクセスルータ
31 通信部
32 I/O部
33 記憶部
34 処理部
100、A、B IPネットワーク
331、331A、331B IPsecトンネル方路決定用テーブル
332、332A、332B 経路テーブル
1A,
Claims (12)
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のIPネットワークにおけるルータは、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。 A first IPsec (security that performs dynamic routing based on an IP prefix between a first tunnel termination device in a first IP (Internet Protocol) network and a second tunnel termination device in a second IP network architecture for IP) A network control method in a network system that configures a VPN (Virtual Private Network) by establishing a tunnel,
The first tunnel terminator is
In order to determine the IPsec tunnel to which the received packet is sent, for each IP prefix of the destination IP address of the received packet, information for determining the IPsec tunnel route that stores information indicating the IPsec tunnel to which the received packet is sent A first storage unit for storing, and a first processing unit,
The first processing unit of the first tunnel termination device includes:
When a terminal in the second IP network leaves the second IP network,
In response to a request for establishing an IPsec tunnel from the terminal that has left the network, the terminal that has left the network determines an IP address consisting of an IP prefix of the second IP network and a predetermined host address, and notifies it. Establish a second IPsec tunnel with the disconnected terminal,
To the IPsec tunnel route determination information stored in the first storage unit, information indicating that a packet addressed to the IP address of the detached terminal is sent to the second IPsec tunnel is added.
After that, when a packet addressed to the disconnected terminal is received, the information is sent to the second IPsec tunnel by referring to the information for determining the IPsec tunnel route to which the information has been added and performing a longest match search regarding the destination IP address. To decide
The router in the second IP network is:
Receiving an IP prefix and a peer address of the second IP network from the first tunnel termination device via the second tunnel termination device when the first IPsec tunnel is established; Set the peer address to itself,
When a terminal in the second IP network leaves the second IP network,
The IP address of the detached terminal is received from the first tunnel termination device via the second tunnel termination device, and the packet addressed to the IP address is stored in the first IPsec tunnel in its own storage unit. Memorize the information to send,
Thereafter, when a packet addressed to the detached terminal is received, it is determined that the packet is sent to the first IPsec tunnel by referring to the own storage unit and performing a longest match search regarding a destination IP address. Network control method.
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項1に記載のネットワーク制御方法。 When the detached terminal returns to the second IP network,
The first processing unit of the first tunnel termination device deletes the added information from the IPsec tunnel route determination information,
The network control method according to claim 1, wherein a router in the second IP network deletes the stored information from the storage unit of the router.
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、前記第2のIPネットワークにおけるルータに対して、その記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶させ、
前記第2のIPネットワークにおけるルータは、
その後、前記第2のトンネル終端装置による代理応答を介して、前記離脱した端末宛のパケットを受信したとき、前記記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。 A first IPsec (security that performs dynamic routing based on an IP prefix between a first tunnel termination device in a first IP (Internet Protocol) network and a second tunnel termination device in a second IP network architecture for IP) A network control method in a network system that configures a VPN (Virtual Private Network) by establishing a tunnel,
The first tunnel terminator is
In order to determine the IPsec tunnel to which the received packet is sent, for each IP prefix of the destination IP address of the received packet, information for determining the IPsec tunnel route that stores information indicating the IPsec tunnel to which the received packet is sent A first storage unit for storing, and a first processing unit,
The first processing unit of the first tunnel termination device includes:
When a terminal in the second IP network leaves the second IP network,
In response to a request for establishing an IPsec tunnel from the terminal that has left the network, the terminal that has left the network determines an IP address consisting of an IP prefix of the second IP network and a predetermined host address, and notifies it. Establish a second IPsec tunnel with the disconnected terminal,
To the IPsec tunnel route determination information stored in the first storage unit, information indicating that a packet addressed to the IP address of the detached terminal is sent to the second IPsec tunnel is added.
After that, when a packet addressed to the disconnected terminal is received, the information is sent to the second IPsec tunnel by referring to the information for determining the IPsec tunnel route to which the information has been added and performing a longest match search regarding the destination IP address. To decide
The second tunnel termination device is:
Receiving an IP prefix of the second IP network and a peer address from the first tunnel terminating device when establishing the first IPsec tunnel, and setting the peer address to itself;
When a terminal in the second IP network leaves the second IP network,
The IP address of the detached terminal is received from the first tunnel termination device, and the router addressed to the router in the second IP network stores the packet addressed to the IP address in the first IPsec tunnel. Memorize the information to send,
The router in the second IP network is:
Thereafter, when a packet addressed to the detached terminal is received via a proxy response by the second tunnel terminating device, the first IPsec tunnel is referred to by referring to the storage unit and performing a longest match search for a destination IP address. And determining that the packet is to be sent to the network control method.
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記第2のトンネル終端装置による代理応答を介して、前記記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項3に記載のネットワーク制御方法。 When the detached terminal returns to the second IP network,
The first processing unit of the first tunnel termination device deletes the added information from the IPsec tunnel route determination information,
The network control method according to claim 3, wherein the router in the second IP network deletes the stored information from the storage unit via a proxy response by the second tunnel termination device. .
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。 A first IPsec (security that performs dynamic routing based on an IP prefix between a first tunnel termination device in a first IP (Internet Protocol) network and a second tunnel termination device in a second IP network architecture for IP) A network control method in a network system that configures a VPN (Virtual Private Network) by establishing a tunnel,
The first tunnel terminator is
In order to determine the IPsec tunnel to which the received packet is sent, for each IP prefix of the destination IP address of the received packet, information for determining the IPsec tunnel route that stores information indicating the IPsec tunnel to which the received packet is sent A first storage unit for storing, and a first processing unit,
The first processing unit of the first tunnel termination device includes:
When a terminal in the second IP network leaves the second IP network,
In response to a request for establishing an IPsec tunnel from the terminal that has left the network, the terminal that has left the network determines an IP address consisting of an IP prefix of the second IP network and a predetermined host address, and notifies it. Establish a second IPsec tunnel with the disconnected terminal,
To the IPsec tunnel route determination information stored in the first storage unit, information indicating that a packet addressed to the IP address of the detached terminal is sent to the second IPsec tunnel is added.
After that, when a packet addressed to the disconnected terminal is received, the information is sent to the second IPsec tunnel by referring to the information for determining the IPsec tunnel route to which the information has been added and performing a longest match search regarding the destination IP address. To decide
The second tunnel termination device is:
Receiving an IP prefix of the second IP network and a peer address from the first tunnel terminating device when establishing the first IPsec tunnel, and setting the peer address to itself;
When a terminal in the second IP network leaves the second IP network,
Receiving the IP address of the detached terminal from the first tunnel termination device, and storing in its own storage unit information indicating that the packet addressed to the IP address is sent to the first IPsec tunnel;
Thereafter, when a packet addressed to the detached terminal is received, it is determined that the packet is sent to the first IPsec tunnel by referring to the own storage unit and performing a longest match search regarding a destination IP address. Network control method.
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のトンネル終端装置は、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項5に記載のネットワーク制御方法。 When the detached terminal returns to the second IP network,
The first processing unit of the first tunnel termination device deletes the added information from the IPsec tunnel route determination information,
The network control method according to claim 5, wherein the second tunnel termination device deletes the stored information from the storage unit of the second tunnel termination device.
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記ネットワークシステムは、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2のIPネットワークにおけるルータを、備える
ことを特徴とするネットワークシステム。 A first IPsec (security that performs dynamic routing based on an IP prefix between a first tunnel termination device in a first IP (Internet Protocol) network and a second tunnel termination device in a second IP network architecture for IP) A network system that configures a VPN (Virtual Private Network) by establishing a tunnel,
The first tunnel terminator is
In order to determine the IPsec tunnel to which the received packet is sent, for each IP prefix of the destination IP address of the received packet, information for determining the IPsec tunnel route that stores information indicating the IPsec tunnel to which the received packet is sent A first storage unit for storing;
When a terminal in the second IP network leaves the second IP network,
In response to a request for establishing an IPsec tunnel from the terminal that has left the network, the terminal that has left the network determines an IP address consisting of an IP prefix of the second IP network and a predetermined host address, and notifies it. Establish a second IPsec tunnel with the disconnected terminal,
To the IPsec tunnel route determination information stored in the first storage unit, information indicating that a packet addressed to the IP address of the detached terminal is sent to the second IPsec tunnel is added.
After that, when a packet addressed to the disconnected terminal is received, the information is sent to the second IPsec tunnel by referring to the information for determining the IPsec tunnel route to which the information has been added and performing a longest match search regarding the destination IP address. A first processing unit for determining that,
The network system includes:
Receiving an IP prefix and a peer address of the second IP network from the first tunnel termination device via the second tunnel termination device when the first IPsec tunnel is established; Set the peer address to itself,
When a terminal in the second IP network leaves the second IP network,
The IP address of the detached terminal is received from the first tunnel termination device via the second tunnel termination device, and the packet addressed to the IP address is stored in the first IPsec tunnel in its own storage unit. Memorize the information to send,
After that, when a packet addressed to the detached terminal is received, a decision is made to refer to its own storage unit and to send the packet to the first IPsec tunnel by a longest match search for the destination IP address. A network system comprising a router in an IP network.
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項7に記載のネットワークシステム。 When the detached terminal returns to the second IP network,
The first processing unit of the first tunnel termination device deletes the added information from the IPsec tunnel route determination information,
The network system according to claim 7, wherein a router in the second IP network deletes the stored information from the storage unit of the second IP network.
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、前記第2のIPネットワークにおけるルータに対して、その記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶させる第2の処理部を、備え、
前記ネットワークシステムは、
前記第2のトンネル終端装置による代理応答を介して、前記離脱した端末宛のパケットを受信したとき、前記記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2のIPネットワークにおけるルータを、備える
ことを特徴とするネットワークシステム。 A first IPsec (security that performs dynamic routing based on an IP prefix between a first tunnel termination device in a first IP (Internet Protocol) network and a second tunnel termination device in a second IP network architecture for IP) A network system that configures a VPN (Virtual Private Network) by establishing a tunnel,
The first tunnel terminator is
In order to determine the IPsec tunnel to which the received packet is sent, for each IP prefix of the destination IP address of the received packet, information for determining the IPsec tunnel route that stores information indicating the IPsec tunnel to which the received packet is sent A first storage unit for storing;
When a terminal in the second IP network leaves the second IP network,
In response to a request for establishing an IPsec tunnel from the terminal that has left the network, the terminal that has left the network determines an IP address consisting of an IP prefix of the second IP network and a predetermined host address, and notifies it. Establish a second IPsec tunnel with the disconnected terminal,
To the IPsec tunnel route determination information stored in the first storage unit, information indicating that a packet addressed to the IP address of the detached terminal is sent to the second IPsec tunnel is added.
After that, when a packet addressed to the disconnected terminal is received, the information is sent to the second IPsec tunnel by referring to the information for determining the IPsec tunnel route to which the information has been added and performing a longest match search regarding the destination IP address. A first processing unit for determining that,
The second tunnel termination device is:
Receiving an IP prefix of the second IP network and a peer address from the first tunnel terminating device when establishing the first IPsec tunnel, and setting the peer address to itself;
When a terminal in the second IP network leaves the second IP network,
The IP address of the detached terminal is received from the first tunnel termination device, and the router addressed to the router in the second IP network stores the packet addressed to the IP address in the first IPsec tunnel. A second processing unit for storing information to send in,
The network system includes:
When a packet addressed to the detached terminal is received via a proxy response by the second tunnel termination device, the storage unit is referred to and the first IPsec tunnel is associated with the longest match search for the destination IP address. A network system comprising a router in a second IP network that decides to send a packet.
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記第2のトンネル終端装置による代理応答を介して、前記記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項9に記載のネットワークシステム。 When the detached terminal returns to the second IP network,
The first processing unit of the first tunnel termination device deletes the added information from the IPsec tunnel route determination information,
The network system according to claim 9, wherein the router in the second IP network deletes the stored information from the storage unit through a proxy response by the second tunnel termination device.
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2の処理部を、備える
ことを特徴とするネットワークシステム。 A first IPsec (security that performs dynamic routing based on an IP prefix between a first tunnel termination device in a first IP (Internet Protocol) network and a second tunnel termination device in a second IP network architecture for IP) A network system that configures a VPN (Virtual Private Network) by establishing a tunnel,
The first tunnel terminator is
In order to determine the IPsec tunnel to which the received packet is sent, for each IP prefix of the destination IP address of the received packet, information for determining the IPsec tunnel route that stores information indicating the IPsec tunnel to which the received packet is sent A first storage unit for storing;
When a terminal in the second IP network leaves the second IP network,
In response to a request for establishing an IPsec tunnel from the terminal that has left the network, the terminal that has left the network determines an IP address consisting of an IP prefix of the second IP network and a predetermined host address, and notifies it. Establish a second IPsec tunnel with the disconnected terminal,
To the IPsec tunnel route determination information stored in the first storage unit, information indicating that a packet addressed to the IP address of the detached terminal is sent to the second IPsec tunnel is added.
After that, when a packet addressed to the disconnected terminal is received, the information is sent to the second IPsec tunnel by referring to the information for determining the IPsec tunnel route to which the information has been added and performing a longest match search regarding the destination IP address. A first processing unit for determining that,
The second tunnel termination device is:
Receiving an IP prefix of the second IP network and a peer address from the first tunnel terminating device when establishing the first IPsec tunnel, and setting the peer address to itself;
When a terminal in the second IP network leaves the second IP network,
Receiving the IP address of the detached terminal from the first tunnel termination device, and storing in its own storage unit information indicating that the packet addressed to the IP address is sent to the first IPsec tunnel;
After that, when a packet addressed to the detached terminal is received, a decision is made to refer to its own storage unit and to send the packet to the first IPsec tunnel by a longest match search for the destination IP address. A network system comprising a processing unit.
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のトンネル終端装置の第2の処理部は、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項11に記載のネットワークシステム。
When the detached terminal returns to the second IP network,
The first processing unit of the first tunnel termination device deletes the added information from the IPsec tunnel route determination information,
The network system according to claim 11, wherein the second processing unit of the second tunnel termination device deletes the stored information from the storage unit of the second tunnel termination device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009196756A JP5167214B2 (en) | 2009-08-27 | 2009-08-27 | Network control method and network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009196756A JP5167214B2 (en) | 2009-08-27 | 2009-08-27 | Network control method and network system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011049841A true JP2011049841A (en) | 2011-03-10 |
JP5167214B2 JP5167214B2 (en) | 2013-03-21 |
Family
ID=43835727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009196756A Expired - Fee Related JP5167214B2 (en) | 2009-08-27 | 2009-08-27 | Network control method and network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5167214B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014163256A1 (en) * | 2013-04-01 | 2014-10-09 | 주식회사 앤솔루션 | System for dividing network using virtual private network and method therefor |
JP2017163186A (en) * | 2016-03-07 | 2017-09-14 | 国立研究開発法人情報通信研究機構 | End-to-end communication system, end-to-end communication method, and computer program |
US9866407B2 (en) | 2014-12-01 | 2018-01-09 | Konica Minolta, Inc. | Information processing system, cloud server, device control method, and non-transitory computer-readable recording medium encoded with device control program |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002111732A (en) * | 2000-10-02 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Vpn system and vpn setting method |
JP2005012485A (en) * | 2003-06-19 | 2005-01-13 | Nec Corp | Internet vpn configuration system, control server and vpn configuration method for use therein |
-
2009
- 2009-08-27 JP JP2009196756A patent/JP5167214B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002111732A (en) * | 2000-10-02 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Vpn system and vpn setting method |
JP2005012485A (en) * | 2003-06-19 | 2005-01-13 | Nec Corp | Internet vpn configuration system, control server and vpn configuration method for use therein |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014163256A1 (en) * | 2013-04-01 | 2014-10-09 | 주식회사 앤솔루션 | System for dividing network using virtual private network and method therefor |
US9866407B2 (en) | 2014-12-01 | 2018-01-09 | Konica Minolta, Inc. | Information processing system, cloud server, device control method, and non-transitory computer-readable recording medium encoded with device control program |
JP2017163186A (en) * | 2016-03-07 | 2017-09-14 | 国立研究開発法人情報通信研究機構 | End-to-end communication system, end-to-end communication method, and computer program |
Also Published As
Publication number | Publication date |
---|---|
JP5167214B2 (en) | 2013-03-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7729366B2 (en) | Method, apparatus and system for network mobility of a mobile communication device | |
US9338093B2 (en) | Mobile phone docking station VPNs | |
US7773542B2 (en) | Dual radio wireless mesh network access point | |
EP1932320B1 (en) | Method, apparatus and system for maintaining mobility resistant ip tunnels using a mobile router | |
JP5516571B2 (en) | Communication method, communication system, anonymization device, server | |
US20160380966A1 (en) | Media Relay Server | |
WO2005006674A1 (en) | Terminal and communication system | |
JP2008312191A (en) | Packet communication method using node identifier and locator | |
KR20140099598A (en) | Method for providing service of mobile vpn | |
WO2016210202A1 (en) | Media relay server | |
JP2007215090A (en) | Network system, terminal and gateway device | |
US20170207921A1 (en) | Access to a node | |
JP5167214B2 (en) | Network control method and network system | |
JP5464232B2 (en) | Secure communication system and communication apparatus | |
JP4925130B2 (en) | Communication control method and system | |
KR100816309B1 (en) | Communications system for speeding up communication path changeover between communication terminals | |
US7864770B1 (en) | Routing messages in a zero-information nested virtual private network | |
JP5131118B2 (en) | Communication system, management device, relay device, and program | |
JP2007166146A (en) | Communication device whose address can be changed during communication, system, and communication method | |
JP5413014B2 (en) | Router device, routing method, program, and recording medium | |
JP2007060610A (en) | Network connection system, network connection apparatus, program thereof and recording medium | |
CN115277550B (en) | Routing system, routing method and routing device of virtual network | |
JP5084716B2 (en) | VPN connection apparatus, DNS packet control method, and program | |
KR102097999B1 (en) | The IP in IP communication system using virtual router | |
JP5195062B2 (en) | Relay device, communication system, and communication program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110822 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110920 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120927 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121002 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121218 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121221 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151228 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5167214 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |