JP2011166312A - Virtual private network system, communication method and computer program - Google Patents
Virtual private network system, communication method and computer program Download PDFInfo
- Publication number
- JP2011166312A JP2011166312A JP2010024696A JP2010024696A JP2011166312A JP 2011166312 A JP2011166312 A JP 2011166312A JP 2010024696 A JP2010024696 A JP 2010024696A JP 2010024696 A JP2010024696 A JP 2010024696A JP 2011166312 A JP2011166312 A JP 2011166312A
- Authority
- JP
- Japan
- Prior art keywords
- private network
- virtual private
- server
- connection
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、VPN(Virtual Private Network:仮想プライベートネットワーク)システムに関する。 The present invention relates to a VPN (Virtual Private Network) system.
中継サーバを使用したVPNシステムの一例が、特許文献1に記載されている。図18は、特許文献1に開示されたシステムに関連するVPNシステムの構成図である。図18に示されるように、このVPNシステムに含まれるネットワークは、インターネットR1と、第1ネットワークR2と、第2ネットワークR4とである。また、第2ネットワークとインターネットR1との間にはルータR5(NAT機能付き)が設置され、インターネットR1と第1ネットワークR2との間にはファイアウォールR3(NAT機能付き)が設置される。第1ネットワークR2は、ファイアウォールR3及びハブR24(HUB)を介して接続された、インターネットR1側とのVPN接続用の認証機能を有するVPNサーバR21と、業務サーバR23と、メールサーバR29を備える。インターネットR1は、メールサーバR10と、中継サーバR11とを備える。第2ネットワークR4は、通信端末R41を備える。
An example of a VPN system using a relay server is described in
このような構成を有する図18のVPNシステムは次のように動作する。まず、通信端末R41が接続情報要求を中継サーバR11へ送信する。中継サーバR11は、接続を一意に識別するための情報(識別情報)を、通信端末R41に送信する。すると、通信端末R41は、TCPコネクションを中継サーバR11へ張る。次に、通信端末R41は、制御メールを、VPNサーバR21に対して予め設定されているメールアドレス宛てに送信する。制御メールは、まずメールサーバR10に送信され、メールサーバR10からメールサーバR29へ転送される。制御メールには、VPN接続要求の識別情報を含が含まれる。通信端末R41は、例えば、制御メールのヘッダ部分に、VPN接続要求の識別情報を埋め込んでも良い。このように識別情報が含められることによって、制御メールと通常の電子メールとの識別が可能となる。さらに、中継サーバR11のIPアドレス、中継サーバR11から取得した接続を一意に識別するための情報等、第1ネットワークR2側から通信端末R41に対してVPN接続を行う為に必要な情報が制御メールに付加される。 The VPN system of FIG. 18 having such a configuration operates as follows. First, the communication terminal R41 transmits a connection information request to the relay server R11. The relay server R11 transmits information (identification information) for uniquely identifying the connection to the communication terminal R41. Then, the communication terminal R41 establishes a TCP connection to the relay server R11. Next, the communication terminal R41 transmits a control mail to a mail address set in advance to the VPN server R21. The control mail is first transmitted to the mail server R10 and transferred from the mail server R10 to the mail server R29. The control mail includes the identification information of the VPN connection request. For example, the communication terminal R41 may embed identification information of the VPN connection request in the header portion of the control mail. By including the identification information in this way, it becomes possible to distinguish between the control mail and the normal electronic mail. Further, information necessary for establishing a VPN connection from the first network R2 side to the communication terminal R41, such as the IP address of the relay server R11 and information for uniquely identifying the connection acquired from the relay server R11, is a control mail. To be added.
VPNサーバR21は、定期的にメールサーバR29にアクセスし、自己宛電子メールが到達しているか否かを問い合わせる。自己宛電子メールが到達している場合、VPNサーバR21は、当該電子メールを取り込み、制御メールか否かを判別する。自己宛電子メールが制御メールである場合、VPNサーバR21の制御メール受信アプリケーションは、メールサーバR29に対し、当該制御メールを削除するよう命令する。また、制御メール受信アプリケーションは、中継サーバR11に対しTCPコネクションを確立し、一意に識別するための情報を含めた接続完了メッセージを送信する。中継サーバR11は、VPNサーバR21からの接続完了メッセージに含まれる識別情報と、通信端末R41との間の識別情報とに基づいて、双方からのTCPコネクションを結びつける。そして、中継サーバR11は、接続完了メッセージを通信端末R41へ送信する。通信端末R41は、中継サーバR11を介してVPNサーバR21と暗号化情報を交換する。そして、通信端末R41は、この暗号化情報を用いて、ユーザIDやパスワードを暗号化し、VPNサーバR21に送信する。以上の処理によって、通信端末R41とVPNサーバR21との間でVPN接続が確立する。VPN接続が確立すると、第2ネットワークR4にある通信端末R41は、VPNサーバR21を経由して、第1ネットワークR1内にある業務サーバR23に対してアクセスすることが可能になる。 The VPN server R21 periodically accesses the mail server R29 and inquires whether the self-addressed e-mail has arrived. When the self-addressed e-mail has arrived, the VPN server R21 takes in the e-mail and determines whether it is a control mail. When the self-addressed e-mail is a control mail, the control mail receiving application of the VPN server R21 instructs the mail server R29 to delete the control mail. Further, the control mail receiving application establishes a TCP connection to the relay server R11 and transmits a connection completion message including information for uniquely identifying. The relay server R11 connects the TCP connections from both sides based on the identification information included in the connection completion message from the VPN server R21 and the identification information between the communication terminal R41. Then, the relay server R11 transmits a connection completion message to the communication terminal R41. The communication terminal R41 exchanges encryption information with the VPN server R21 via the relay server R11. Then, the communication terminal R41 encrypts the user ID and password using this encryption information and transmits it to the VPN server R21. With the above processing, a VPN connection is established between the communication terminal R41 and the VPN server R21. When the VPN connection is established, the communication terminal R41 in the second network R4 can access the business server R23 in the first network R1 via the VPN server R21.
上記方式の利点は、VPNコネクションが、第1ネットワークR2にあるVPNサーバR21からインターネットR1にある中継サーバR11への方向で確立されることである。すなわち、このようにVPNコネクションが確立されるため、既存のファイアウォールR3の設定を変更することなく、VPNシステムを導入できることにある。しかしながら、メールサーバR10及びメールサーバR29は既存のものを使用できるために導入しやすいという利点はあるものの、制御メールの伝送には遅延が生じることがある。そのため、VPN接続が完了するまでに時間がかかることがあった。そこで、接続要求の転送を、メールを利用した手段ではなく、中継サーバR11を利用するようにしたシステムが考案され、商品化された。 The advantage of the above scheme is that a VPN connection is established in the direction from the VPN server R21 in the first network R2 to the relay server R11 in the Internet R1. That is, since the VPN connection is established in this way, the VPN system can be introduced without changing the setting of the existing firewall R3. However, although the mail server R10 and the mail server R29 can use existing ones because they can be used, there is an advantage that transmission of control mail may be delayed. For this reason, it may take time to complete the VPN connection. Therefore, a system has been devised and commercialized that uses a relay server R11 for transferring connection requests, not using means using mail.
図19は、中継サーバR11を利用してVPNコネクションを確立するためのVPNシステムの構成図である。図19に示されるVPNシステムに含まれるネットワークは、インターネットR1と、第1ネットワークR2と、第2ネットワークR4とである。また、第2ネットワークR4とインターネットR1との間にはルータR5(NAT機能付き)が設置され、インターネットR1と第1ネットワークR2との間にはファイアウォールR3(NAT機能付き)が設置される。第1ネットワークR2は、ファイアウォールR3及びハブR24(HUB)を介して接続された、インターネットR1側とのVPN接続用の認証機能を有するVPNサーバR21と、業務サーバR23と、を備える。インターネットR1は、中継サーバR11を備える。第2ネットワークR4は、通信端末R41を備える。 FIG. 19 is a configuration diagram of a VPN system for establishing a VPN connection using the relay server R11. The networks included in the VPN system shown in FIG. 19 are the Internet R1, the first network R2, and the second network R4. A router R5 (with NAT function) is installed between the second network R4 and the Internet R1, and a firewall R3 (with NAT function) is installed between the Internet R1 and the first network R2. The first network R2 includes a VPN server R21 having an authentication function for VPN connection to the Internet R1 side, and a business server R23, which are connected via a firewall R3 and a hub R24 (HUB). The Internet R1 includes a relay server R11. The second network R4 includes a communication terminal R41.
以下、図19のVPNシステムの動作について説明する。図20は、図19のVPNシステムにおけるVPNサーバR21と中継サーバR11との間の通信の概略を示す図である。第1ネットワークR2の外部から、第1ネットワークR2内にあるVPNサーバR21に対して接続要求を届けるためには、通常、ファイアウォールR3の設定を変更しなければならない。この設定変更を不要にするため、図19のVPNシステムでは、第1ネットワークR2にあるVPNサーバR21から、インターネットR1にある中継サーバR11に対してコネクション(図20の常設コネクション)を張っておく。すなわち、この常設コネクションは、接続要求の転送用のコネクションとなる。そして、中継サーバR11は、常設コネクションを通して、通信端末R41からの接続要求をVPNサーバR21へ転送する。 Hereinafter, the operation of the VPN system of FIG. 19 will be described. FIG. 20 is a diagram showing an outline of communication between the VPN server R21 and the relay server R11 in the VPN system of FIG. In order to send a connection request from outside the first network R2 to the VPN server R21 in the first network R2, it is usually necessary to change the setting of the firewall R3. In order to make this setting change unnecessary, in the VPN system in FIG. 19, a connection (permanent connection in FIG. 20) is established from the VPN server R21 in the first network R2 to the relay server R11 in the Internet R1. That is, this permanent connection is a connection for transferring a connection request. Then, the relay server R11 transfers the connection request from the communication terminal R41 to the VPN server R21 through the permanent connection.
中継サーバR11は、443番ポートで接続を待ち受ける。VPNサーバR21には、予め中継サーバR11のIPアドレスが設定されている。VPNサーバR21は、起動すると、中継サーバR11へTCP接続で443ポート宛にコネクション(常設コネクション)を張る。常設コネクションが確立されると、VPNサーバR21は、通信が可能であるか否かを確認するため、定期的に生存確認メッセージを中継サーバR11へ常設コネクションを通して送信する。中継サーバR11は、生存確認メッセージを受信すると、生存確認応答を、送信元のVPNサーバR21へ常設コネクションを通して送信する。VPNサーバR21は、生存確認メッセージの送信に連続して失敗した場合、または送信は成功したものの中継サーバR11からの応答(生存確認応答)が受信されなかった場合は、中継サーバR11に対して常設コネクションを張り直す。 The relay server R11 waits for connection at the port 443. In the VPN server R21, the IP address of the relay server R11 is set in advance. When the VPN server R21 is activated, it establishes a connection (permanent connection) to the relay server R11 with a TCP connection to the port 443. When the permanent connection is established, the VPN server R21 periodically transmits a survival confirmation message to the relay server R11 through the permanent connection in order to confirm whether communication is possible. When the relay server R11 receives the survival confirmation message, the relay server R11 transmits a survival confirmation response to the transmission source VPN server R21 through the permanent connection. The VPN server R21 is permanently installed in the relay server R11 when the transmission of the survival confirmation message fails continuously or when the transmission is successful but the response (survival confirmation response) from the relay server R11 is not received. Re-establish the connection.
図21は、図19のVPNシステムにおけるVPN接続(VPNコネクション)の確立処理の概略を示す図である。まず、通信端末R41は、中継サーバR11へ接続要求メッセージ送信用の第1TCPコネクションを確立する。通信端末R41は、VPNサーバR21からVPNコネクションを張るために必要な情報(例えばクライアント識別情報など)を含んだ接続要求メッセージを作成する。そして、通信端末R41は、中継サーバR11に対し、接続要求メッセージを、第1TCPコネクションを通して送信する。この第1TCPコネクションが、従来のメールの代替になるものである。また、通信端末R41は、VPN接続用の第2TCPコネクションも中継サーバR11に対して張る。中継サーバR11は、第1TCPコネクションを通して接続要求メッセージを受信すると、受信した接続要求メッセージを、常設コネクションを通してVPNサーバR21へ転送する。VPNサーバR21は、接続要求メッセージを受信すると、中継サーバR11へ個別コネクションを張る。そして、中継サーバR11は、第2TCPコネクションと個別コネクションとを利用して、通信端末R41からVPNサーバR21へのVPNコネクションを確立する。 FIG. 21 is a diagram showing an outline of a VPN connection (VPN connection) establishment process in the VPN system of FIG. First, the communication terminal R41 establishes a first TCP connection for transmitting a connection request message to the relay server R11. The communication terminal R41 creates a connection request message including information (for example, client identification information) necessary for establishing a VPN connection from the VPN server R21. Then, the communication terminal R41 transmits a connection request message to the relay server R11 through the first TCP connection. This first TCP connection is an alternative to the conventional mail. The communication terminal R41 also establishes a second TCP connection for VPN connection to the relay server R11. When the relay server R11 receives the connection request message through the first TCP connection, the relay server R11 transfers the received connection request message to the VPN server R21 through the permanent connection. When the VPN server R21 receives the connection request message, the VPN server R21 establishes an individual connection to the relay server R11. Then, the relay server R11 establishes a VPN connection from the communication terminal R41 to the VPN server R21 using the second TCP connection and the individual connection.
図22は、図19のVPNシステムに関連する他のVPNシステムの構成図である。図22のVPNシステムでは、第2ネットワークR4に複数の通信端末R41(R41−1及びR41−2)が接続され、それぞれがVPNサーバR21に接続されている。VPNでは、VPNサーバ/クライアント間で通信するすべてのデータは暗号化/復号化される。通信端末R41から業務サーバR28(R28−1又はR28−2)へデータが送信される場合、通信端末R41にインストールしてあるVPN用アプリケーションがデータを暗号化して送信する。送信されたデータは、VPNサーバR21によって復号化されてから、第1ネットワークR2にある宛先の業務サーバR28へ送信される。逆に、第1ネットワークR2にある業務サーバR28から通信端末R41へデータが送信される場合、まず業務サーバR28がVPNサーバR21へデータを送信する。VPNサーバR21は、データを暗号化してから、通信端末R41へ送信する。そして、通信端末R41にインストールしてあるVPN用アプリケーションが、データの復号化を行う。 FIG. 22 is a configuration diagram of another VPN system related to the VPN system of FIG. In the VPN system of FIG. 22, a plurality of communication terminals R41 (R41-1 and R41-2) are connected to the second network R4, and each is connected to the VPN server R21. In the VPN, all data communicated between the VPN server / client is encrypted / decrypted. When data is transmitted from the communication terminal R41 to the business server R28 (R28-1 or R28-2), the VPN application installed in the communication terminal R41 encrypts and transmits the data. The transmitted data is decrypted by the VPN server R21 and then transmitted to the destination business server R28 in the first network R2. Conversely, when data is transmitted from the business server R28 in the first network R2 to the communication terminal R41, the business server R28 first transmits data to the VPN server R21. The VPN server R21 encrypts the data and then transmits it to the communication terminal R41. Then, the VPN application installed in the communication terminal R41 decrypts the data.
同時にVPN接続している通信端末R41の台数が多くなると、VPNサーバR21には通信の暗号化/復号化の処理のために大きな負荷がかかる。そのため、VPNサーバR21における暗号化/復号化処理が、VPN通信のボトルネックになってしまうという問題があった。また、VPNサーバR21に接続されているLANの容量を多数のVPNクライアント(通信端末R41)で共有することになるため、1台の通信端末R41当たりの通信容量が抑えられてしまうという問題もあった。 At the same time, when the number of communication terminals R41 that are simultaneously connected by VPN increases, the VPN server R21 is subjected to a heavy load for communication encryption / decryption processing. Therefore, there is a problem that the encryption / decryption process in the VPN server R21 becomes a bottleneck of VPN communication. In addition, since the capacity of the LAN connected to the VPN server R21 is shared by many VPN clients (communication terminal R41), there is a problem that the communication capacity per communication terminal R41 is suppressed. It was.
上記事情に鑑み、本発明は、上記のようなVPN通信におけるボトルネックの発生を軽減できる技術を提供することを目的としている。 In view of the above circumstances, an object of the present invention is to provide a technique capable of reducing the occurrence of bottlenecks in the VPN communication as described above.
本発明の一態様は、複数台の仮想プライベートネットワークサーバと、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムであって、前記仮想プライベートネットワークサーバは、自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知部、を備え、前記中継サーバは、前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶部と、前記負荷状況の通知を受けると、前記記憶部に記憶される負荷状況を更新する更新部と、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶部に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記仮想プライベートネットワークサーバを選択し、選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続部と、を備えることを特徴とする。 One aspect of the present invention includes a plurality of virtual private network servers and a relay server that establishes a communication path between the virtual private network server and the virtual private network client in response to a connection request from a virtual private network client. The virtual private network server includes a notification unit that acquires a load status of the device itself and notifies the relay server of the load status, and the relay server includes the load A storage unit that stores the status for each virtual private network server, an update unit that updates the load status stored in the storage unit upon receiving the notification of the load status, and a connection request received from the virtual private network client Then According to the load status stored in the storage unit, the virtual private network server is selected according to a predetermined criterion indicating that the load is small, and between the selected virtual private network server and the virtual private network client And a connection unit for establishing the communication path.
本発明の一態様は、複数台の仮想プライベートネットワークサーバと、前記複数台の仮想プライベートネットワークサーバを管理する管理装置と、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムであって、前記仮想プライベートネットワークサーバは、自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知部、を備え、前記管理装置は、前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶部と、前記負荷状況の通知を受けると、前記記憶部に記憶される負荷状況を更新する更新部と、前記中継サーバから接続要求を受信すると、前記記憶部に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記仮想プライベートネットワークサーバを選択する選択部と、を備え、前記中継サーバは、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記管理装置へ接続要求を転送し、前記管理装置によって選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続部と、を備えることを特徴とする。 According to one aspect of the present invention, a plurality of virtual private network servers, a management device that manages the plurality of virtual private network servers, and the virtual private network server and the virtual in response to a connection request from a virtual private network client A virtual private network system comprising a relay server that establishes a communication path with a private network client, wherein the virtual private network server acquires a load status of the own device and sends the load status to the management device A notification unit for notifying, and the management device updates the load status stored in the storage unit upon receiving the notification of the load status, and a storage unit for storing the load status for each virtual private network server Updating part to A selection unit that selects the virtual private network server according to a predetermined criterion indicating that the load is small according to a load situation stored in the storage unit when receiving a connection request from the server, and the relay server When a connection request is received from the virtual private network client, the connection request is transferred to the management device, and a communication path between the virtual private network server selected by the management device and the virtual private network client is established. And a connecting portion.
本発明の一態様は、複数台の仮想プライベートネットワークサーバと、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムが行う通信方法であって、前記仮想プライベートネットワークサーバが、自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知ステップと、前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶装置を備える前記中継サーバが、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、前記中継サーバは、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記仮想プライベートネットワークサーバを選択し、選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、を備えることを特徴とする。 One aspect of the present invention includes a plurality of virtual private network servers and a relay server that establishes a communication path between the virtual private network server and the virtual private network client in response to a connection request from a virtual private network client. A virtual private network system comprising: a notification step in which the virtual private network server acquires a load status of its own device and notifies the relay server of the load status; and When the relay server having a storage device for storing each virtual private network server receives the load status notification, the relay server updates the load status stored in the storage device, and the relay server includes the virtual private network server. Net When receiving a connection request from a work client, the virtual private network server is selected according to a predetermined criterion indicating that the load is small according to the load status stored in the storage device, and the selected virtual private network server And a connection step of establishing a communication path between the client and the virtual private network client.
本発明の一態様は、複数台の仮想プライベートネットワークサーバと、前記複数台の仮想プライベートネットワークサーバを管理する管理装置と、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムが行う通信方法であって、前記仮想プライベートネットワークサーバが、自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知ステップと、前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶装置を備える前記管理装置が、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、前記管理装置が、前記中継サーバから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記仮想プライベートネットワークサーバを選択する選択ステップと、前記中継サーバが、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記管理装置へ接続要求を転送し、前記管理装置によって選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、を備えることを特徴とする。 According to one aspect of the present invention, a plurality of virtual private network servers, a management device that manages the plurality of virtual private network servers, and the virtual private network server and the virtual in response to a connection request from a virtual private network client A communication method performed by a virtual private network system comprising a relay server that establishes a communication path with a private network client, wherein the virtual private network server acquires a load status of the own device, and A notification step of notifying the management device; and a load status stored in the storage device when the management device comprising the storage device storing the load status for each virtual private network server receives the notification of the load status More And when the management device receives a connection request from the relay server, the virtual private network server is set in accordance with a predetermined criterion indicating that the load is small according to the load status stored in the storage device. A selecting step for selecting, and when the relay server receives a connection request from the virtual private network client, the connection request is transferred to the management device, and the virtual private network server and the virtual private network selected by the management device And a connection step for establishing a communication path with the client.
本発明の一態様は、複数台の第一コンピュータと、仮想プライベートネットワーククライアントからの接続要求に応じて前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する第二コンピュータと、を備える仮想プライベートネットワークシステムにおいて、前記第一コンピュータに対し、自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知ステップ、を実行させ、前記負荷状況を前記第一コンピュータ毎に記憶する記憶装置を備える前記第二コンピュータに対し、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記第一コンピュータを選択し、選択された前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、を実行させるためのコンピュータプログラムである。 One aspect of the present invention includes a plurality of first computers, a second computer that establishes a communication path between the first computer and the virtual private network client in response to a connection request from the virtual private network client, In the virtual private network system comprising: the first computer is caused to execute a notification step of acquiring a load status of the own device and notifying the relay server of the load status; When receiving the load status notification to the second computer comprising the storage device stored in the storage device, an update step for updating the load status stored in the storage device and a connection request received from the virtual private network client , Load stored in the storage device Selecting a first computer according to a predetermined criterion indicating a low load according to a situation, and establishing a communication path between the selected first computer and the virtual private network client; Is a computer program for executing
本発明の一態様は、複数台の第一コンピュータと、前記複数台の第一コンピュータを管理する第三コンピュータと、仮想プライベートネットワーククライアントからの接続要求に応じて前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する第二コンピュータと、を備える仮想プライベートネットワークシステムにおいて、前記第一コンピュータに対し、自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知ステップ、を実行させ、前記負荷状況を前記第一コンピュータ毎に記憶する記憶装置を備える前記第三コンピュータに対し、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、前記第二コンピュータから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記第一コンピュータを選択する選択ステップと、を実行させ、前記第二コンピュータに対し、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第三コンピュータへ接続要求を転送し、前記第三コンピュータによって選択された前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、を実行させるためのコンピュータプログラムである。 One aspect of the present invention includes a plurality of first computers, a third computer that manages the plurality of first computers, and the first computer and the virtual private network in response to a connection request from a virtual private network client. In a virtual private network system comprising a second computer that establishes a communication path with a client, a notification for acquiring the load status of the own device and notifying the management device of the load status to the first computer The load status stored in the storage device is updated when the third computer is provided with a storage device that stores the load status for each of the first computers. Update step and receiving a connection request from the second computer Selecting the first computer according to a predetermined criterion indicating that the load is small according to a load situation stored in the storage device, and causing the second computer to execute the virtual private A connection step of receiving a connection request from the network client, transferring the connection request to the third computer, and establishing a communication path between the first computer selected by the third computer and the virtual private network client; , Is a computer program for executing.
本発明により、VPN通信におけるボトルネックの発生を軽減することが可能となる。 According to the present invention, it is possible to reduce the occurrence of bottlenecks in VPN communication.
[第一実施形態]
図1は、第一実施形態のVPN(Virtual Private Network)システムのシステム構成を表す図である。第一実施形態のVPNシステムは、ネットワークとして、インターネット1、第1ネットワーク2、第2ネットワーク4を備える。第2ネットワーク4とインターネット1との間にはルータ5が設置される。インターネット1と第1ネットワーク2との間には、ファイアウォール3が設置される。ファイアウォール3及びルータ5は、NAT(Network Address Translation)機能を有している。インターネット1には、中継サーバ11が接続される。第1ネットワーク2内には、HUB24(ハブ24)、3台のVPNサーバ21(21−1,21−2,21−3)、認証サーバ22、業務サーバ23が接続される。第2ネットワーク4内には通信端末41が接続される。第1ネットワーク2と第2ネットワーク4とは、インターネット1を介して通信可能に接続される。なお、第一実施形態のVPNシステムにおいて、1台の中継サーバ11に複数の第1ネットワーク2が接続されても良い。
[First embodiment]
FIG. 1 is a diagram illustrating a system configuration of a VPN (Virtual Private Network) system according to the first embodiment. The VPN system of the first embodiment includes an
認証サーバ22は、第1ネットワーク2に対してVPN接続を行うユーザの認証を行う。業務サーバ23は、通信端末41のユーザが所定の業務を行うために接続するサーバ装置である。HUB24は、VPNサーバ21−1〜21−3、認証サーバ22、及び業務サーバ23と、ファイアウォール3とを接続する通信装置である。通信端末41は、VPNシステムにおけるVPNクライアントとして動作する情報処理装置である。
The
図2は、中継サーバ11のシステム構成を表す概略ブロック図である。中継サーバ11は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、中継プログラムを実行することによって、送受信部111、設定ファイル記憶部112、管理テーブル記憶部113、常設コネクション管理部114、コネクション接続部115を備える装置として機能する。なお、中継サーバ11の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。
FIG. 2 is a schematic block diagram showing the system configuration of the
送受信部111は、NIC(Network Interface Card)等のネットワークインタフェースを用いて構成される。送受信部111は、インターネット1を経由して他の通信装置とデータの送受信を行う。
The transmission /
設定ファイル記憶部112は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、グループ設定ファイルを記憶する。図3は、グループ設定ファイルの具体例を表す。グループ設定ファイルは、予め設定されたVPNグループ毎に、認証サーバ情報と、当該VPNグループに含まれるVPNサーバ21のIPアドレス及びホスト名とが記録される。図3には、VPNグループとして、Group1及びGroup2に関する情報が図示されている。Group1を例にして、グループ設定ファイルに設定される情報について説明する。“auth−server=”に続いて記述されている数字“192.168.1.10”が、認証サーバのIPアドレスを表す。また、“IP Address”の文字列の下方に記述される3行の数字“192.168.1.11”、 “192.168.1.12”、 “192.168.1.13”が、それぞれ当該VPNグループに含まれるVPNサーバ21のIPアドレスを表す。また、“hostname”の文字列の下方に記述される3行の文字列が、それぞれ各IPアドレスのVPNサーバ21のホスト名を表す。グループ設定ファイルは、例えばグループ名をファイル名とし、グループ毎に別ファイルとして構成されても良い。また、グループ設定ファイルは、各グループの情報が1つのファイルにまとめて記述されても良い。
The setting
管理テーブル記憶部113は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、常設コネクション管理ファイルを記憶する。常設コネクション管理ファイルには、常設コネクション管理テーブルが記述されている。図4は、常設コネクション管理テーブルの具体例を表す図である。常設コネクション管理テーブルには、中継サーバ11に接続されているVPNサーバ21毎に、所属するVPNグループの名称、IPアドレス、ホスト名、負荷状況が格納される。負荷状況とは、VPNサーバ21に生じている負荷に関する情報であり、例えばCPU負荷(CPU使用率(%))、接続されているVPNクライアントの数、ネットワーク利用帯域情報(Mbps)等の情報である。
The management
常設コネクション管理部114は、自装置(中継サーバ11)に対して確立される常設コネクションについての管理を行う。常設コネクション管理部114は、新たに自装置に対してVPNサーバ21から常設コネクションが確立された場合には、新たな常設コネクションの対向側に位置するVPNサーバ21に関する情報を、管理テーブル記憶部113の常設コネクション管理テーブルに新規に登録する。また、常設コネクション管理部114は、VPNサーバ21から生存確認メッセージを受信すると、生存確認メッセージに含まれる負荷状況の情報を用いて、管理テーブル記憶部113に記憶される常設コネクション管理テーブルの負荷状況の情報を更新する。また、常設コネクション管理部114は、生存確認メッセージの送信元であるVPNサーバ21に対して、生存確認応答メッセージを送信する。
The permanent
コネクション接続部115は、管理テーブル記憶部113に記憶される常設コネクション管理テーブルの内容に応じて、VPNコネクションの接続先となるVPNサーバ21を選択する。具体的には、コネクション接続部115は、最も負荷が低いVPNサーバ21を選択する。そして、コネクション接続部115は、選択されたVPNサーバ21とVPNクライアント(通信端末41)との間でVPNコネクションを確立させる処理を行う。
The
最も負荷が低いVPNサーバ21は、常設コネクション管理テーブルに登録されている負荷状況の値全てに基づいて判断されても良いし、負荷状況の値の一部に基づいて判断されても良い。また、具体的にどのように負荷が低いかを判定するかは、設計者や管理者によって適宜設計される。例えば、コネクション接続部115は、ネットワーク利用帯域情報の値を、接続されているVPNクライアントの数で除算する。そして、コネクション接続部115は、算出された値(VPNクライアント1台当たりのネットワーク利用帯域(Mbps))が最小のVPNサーバ21を、最も負荷が低いVPNサーバ21として選択しても良い。
The
図5は、VPNサーバ21のシステム構成を表す概略ブロック図である。VPNサーバ21は、バスで接続されたCPUやメモリや補助記憶装置などを備え、VPNサーバ用プログラムを実行することによって、送受信部211、常設コネクション確立部212、生存確認管理部213、個別コネクション確立部214、VPN制御部215を備える装置として機能する。なお、VPNサーバ21の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
FIG. 5 is a schematic block diagram showing the system configuration of the
送受信部211は、NIC等のネットワークインタフェースを用いて構成される。送受信部211は、第1ネットワーク2を経由して他の通信装置とデータの送受信を行う。
常設コネクション確立部212は、予め中継サーバ11のIPアドレスを記憶しており、中継サーバ11との間で常設コネクションを確立させる。
The transmission /
The permanent
生存確認管理部213は、所定のタイミングで生存確認メッセージを生成し、中継サーバ11に対し送信する。生存確認メッセージは、中継サーバ11に対して生存確認応答メッセージの返信を要求するメッセージと、自装置(VPNサーバ21)の負荷状況を表すメッセージとを含む。また、生存確認管理部213は、中継サーバ11から、生存確認メッセージに対する生存確認応答メッセージを受信する。
The survival
個別コネクション確立部214は、VPNクライアント(通信端末41)から接続要求メッセージを受信すると、中継サーバ11との間でTCPコネクションを確立する。個別コネクション確立部214によって確立されるTCPコネクションは、接続要求メッセージの送信元である通信端末41との間のVPNコネクションの一部として用いられるコネクションである。以下、このTCPコネクションを「個別コネクション」という。
When the connection request message is received from the VPN client (communication terminal 41), the individual
VPN制御部215は、いわゆる従来のVPNサーバとしての処理を行う。具体的には、VPN制御部215は、VPNクライアント(通信端末41)との間で確立したVPNコネクションを通じて、VPNサービスをVPNクライアントに提供する。例えば、VPN制御部215は、VPNクライアントが、第1ネットワーク2内の業務サーバ23にVPNによってアクセスしてデータの送受信を行うことを可能とする。
The
図6は、通信端末41のシステム構成を表す概略ブロック図である。通信端末41は、バスで接続されたCPUやメモリや補助記憶装置などを備え、VPNクライアント用プログラムを実行することによって、送受信部411、第1コネクション確立部412、第2コネクション確立部413、認証要求部414、VPN制御部415を備える装置として機能する。なお、通信端末41の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
FIG. 6 is a schematic block diagram showing the system configuration of the
送受信部411は、NIC等のネットワークインタフェースを用いて構成される。送受信部411は、第2ネットワーク4を経由して他の通信装置とデータの送受信を行う。
第1コネクション確立部412は、予め中継サーバ11のIPアドレスを記憶しており、中継サーバ11との間で第1TCPコネクションを確立させる。第1TCPコネクションは、通信端末41から中継サーバ11に対し接続要求メッセージを送信する際に用いられるコネクションである。また、第1コネクション確立部412は、第1TCPコネクションを通して接続要求メッセージを中継装置11へ送信する。接続要求メッセージには、VPNクライアントに対してVPNサーバ21がVPNコネクションを確立するために必要な情報を含む。具体的には、接続要求メッセージは、通信端末41が接続を希望するVPNグループの識別情報(例えばグループ名)、通信端末41の識別情報などを含む。
The transmission /
The first
第2コネクション確立部413は、予め中継サーバ11のIPアドレスを記憶しており、中継サーバ11との間で第2TCPコネクションを確立させる。第2TCPコネクションは、通信端末41とVPNサーバ21との間のVPNコネクションの一部として用いられるコネクションである。
The second
認証要求部414は、認証要求メッセージを作成する。認証要求メッセージは、認証サーバ22において認証を受けるために必要となるユーザ名及びパスワードを含む。認証要求部414は、予め中継サーバ11のIPアドレスを記憶しており、中継サーバ11へ認証要求メッセージを送信する。
The
VPN制御部415は、いわゆる従来のVPNクライアントとしての処理を行う。具体的には、VPN制御部415は、VPNサーバ(VPNサーバ21)との間で確立したVPNコネクションを通じて、第1ネットワーク2内の通信装置にアクセスする。例えば、VPN制御部415は、VPNサーバ21を介して、第1ネットワーク2内の業務サーバ23にVPNによってアクセスしてデータの送受信を行う。
The
図7は、中継サーバ11とVPNサーバ21との間で行われる通信の概略を表す図である。VPNサーバ21の常設コネクション確立部212は、中継サーバ11へTCP接続で所定のポートに対し常設コネクションを確立する。所定のポートとは、予め設定されたポートであり、例えば443番ポートなどである。常設コネクションの確立は、例えばVPNサーバ21の電源が投入され起動した直後に行われても良いし、管理者によって確立指示が入力された際に行われても良いし、他のタイミングに行われても良い。この常設コネクションを通じて、VPNサーバ21の生存確認管理部213は生存確認メッセージを中継サーバ11へ送信する。また、中継サーバ11の常設コネクション管理部114は、VPNサーバ21から生存確認メッセージを受信すると、常設コネクションを通じて、VPNサーバ21に対し生存確認応答メッセージを送信する。
FIG. 7 is a diagram illustrating an outline of communication performed between the
図8は、第一実施形態のVPNシステムの処理の流れを表すシーケンス図である。まず、中継サーバ11は、所定のポート(443番ポート)で、VPNサーバ21−1〜21−3からの接続を待ち受ける。各VPNサーバ21−1〜21−3の常設コネクション確立部212は、予め中継サーバ11のIPアドレスを記憶している。各VPNサーバ21−1〜21−3の常設コネクション確立部212は、中継サーバ11に対して常設コネクションを確立する(ステップS101−1〜S101−3)。
FIG. 8 is a sequence diagram illustrating a processing flow of the VPN system according to the first embodiment. First, the
中継サーバ11の常設コネクション管理部114は、各VPNサーバ21−1〜21−3からの常設コネクションの接続を受け付けると、接続元のVPNサーバ21−1〜21−3のIPアドレス及びホスト名を常設コネクション管理テーブルに登録する。なお、常設コネクションの確立の際に、中継サーバ11の常設コネクション管理部114は、各VPNサーバ21−1〜21−3について認証を行うように構成されても良い。このように構成されることによって、中継サーバ11に不正にVPNサーバ等の装置が接続することを防止できる。
When the permanent
次に、各VPNサーバ21−1〜21−3の生存確認管理部213は、通信が可能であることを確認するため、所定のタイミングで生存確認メッセージを中継サーバ11へ送信する(ステップS102−1〜S102−3)。このとき、各生存確認管理部213は、常設コネクションを通して、生存確認メッセージを送信する。中継サーバ11の常設コネクション管理部114は、生存確認メッセージを受信すると、送信元のVPNサーバ21−1〜21−3に対し生存確認応答メッセージを送信する(ステップS103−1〜S103−3)。このとき、常設コネクション管理部114は、常設コネクションを通して生存確認応答メッセージを送信する。また、常設コネクション管理部114は、受信された生存確認メッセージに含まれる負荷状況の情報を用いて、常設コネクション管理テーブルを更新する。
Next, the survival
各VPNサーバ21−1〜21−3の生存確認管理部213は、生存確認メッセージの送信に連続して失敗した場合や、送信は成功したものの中継サーバ11から生存確認応答メッセージを所定時間内に受信できなかった場合には、常設コネクション確立部212に対しエラー通知を行う。常設コネクション確立部212は、生存確認管理部213からエラー通知を受けると、中継サーバ11に対し常設コネクションを確立し直す。
The survival
次に、VPNクライアントとなる通信端末41がVPNコネクションを確立する処理について説明する。まず、通信端末41の第1コネクション確立部412が、中継サーバ11に対し第1TCPコネクションを確立する。そして、第1コネクション確立部は、接続要求メッセージを作成し、中継サーバ11に対し第1TCPコネクションを通じて送信する(ステップS104)。
Next, processing for establishing a VPN connection by the
また、通信端末41の第2コネクション確立部413は、ステップS104の処理の後又は並行して、中継サーバ11に対し第2TCPコネクションを確立する(ステップS105)。
Further, the second
中継サーバ11のコネクション接続部115は、第1TCPコネクションを通じて接続要求メッセージを受信すると、管理テーブル記憶部113の常設コネクション管理テーブルを参照する。そして、コネクション接続部115は、受信された接続要求メッセージに含まれるVPNグループの名称が、常設コネクション管理テーブルに登録されているか否か判定する。VPNグループの名称が登録されている場合は、コネクション接続部115は、当該VPNグループに所属しているVPNサーバ21の中から、最も負荷が低いVPNサーバ21を選択する。コネクション接続部115は、選択されたVPNサーバ21(21−1)に対し、常設コネクションを通じて接続要求メッセージを転送する(ステップS106)。
When the
VPNサーバ21−1の個別コネクション確立部214は、中継サーバ11から接続要求メッセージを受信すると、通信端末41へのVPNコネクションを確立するために必要な情報を、受信した接続要求メッセージから取得する。そして、個別コネクション確立部214は、接続要求メッセージを中継サーバ11に送信することによって、個別コネクションを中継サーバ11との間で確立する(ステップS107)。
When receiving the connection request message from the
中継サーバ11のコネクション接続部115は、通信端末41から受信された接続要求メッセージと、VPNサーバ21−1から受信された接続要求メッセージとに含まれている情報をそれぞれ参照し、第2TCPコネクション及び個別コネクションを結びつける。この処理によって、コネクション接続部115は、通信端末41とVPNサーバ21−1間の通信路を確立する。コネクション接続部115は、通信路の確立が完了すると、第2TCPコネクションを通じて、通信端末41へ接続完了メッセージを送信する(ステップS108)。
The
通信端末41のVPN制御部415は、中継サーバ11から接続完了メッセージを受信すると、認証要求部414に対し認証処理を開始することを指示する。認証要求部414は、VPN制御部415からの指示に応じて、認証要求メッセージを作成し、中継サーバ11へ送信する(ステップS109)。
When receiving the connection completion message from the
中継サーバ11のコネクション接続部115は、通信端末41から認証要求メッセージを受信すると、グループ設定ファイルを参照し、該当するVPNグループの認証サーバ22のIPアドレスを検索する。そして、コネクション接続部115は、VPNサーバ21−1を経由して、認証要求メッセージを認証サーバ22へ転送する(ステップS110)。このとき、中継サーバ11とVPNサーバ21−1との間は、認証要求メッセージは個別コネクションを通って送受信される。
When receiving the authentication request message from the
認証サーバ22は、認証要求メッセージを受信すると、認証要求メッセージに含まれるユーザ名及びパスワードに基づいて認証処理を行う。そして、認証サーバ22は、認証結果を表す認証結果通知メッセージを作成し、中継サーバ11へ送信する(ステップS111)。中継サーバ11は、認証結果通知メッセージをVPNサーバ21−1へ転送する(ステップS112)。VPNサーバ21−1のVPN制御部215は、受信された認証結果通知メッセージが表す認証結果の内容に基づいて、通信端末41からのアクセスの許否を判断する。具体的には、認証結果の内容が、通信端末41のユーザが正当なユーザであることを表す場合には、VPN制御部215は、通信端末41との間でVPNコネクションを確立する。このとき、VPN制御部215は、中継サーバ11によって既に接続されている第2TCPコネクション及び個別コネクションを用いて、VPNコネクションを確立する。そして、VPNサーバ21−1のVPN制御部215は、通信端末41と、第1ネットワーク2内の業務サーバ23との間の通信を中継する(ステップS113)。一方、認証結果の内容が、通信端末41のユーザが正当なユーザではないことを表す場合には、VPN制御部215は、VPNコネクションを確立せず、通信端末41と第1ネットワーク2内の業務サーバ23との間の通信を中継しない。
Upon receiving the authentication request message, the
第一実施形態のVPNシステムでは、VPNサーバ21の負荷状況が所定のタイミングで中継サーバ11へ通知される。そして、中継サーバ11は、新たなVPNコネクションの接続要求があった際に、最も負荷が低いVPNサーバ21とVPNクライアント(通信端末41)との間でVPNコネクションを確立する。そのため、特定のVPNサーバ21に対して負荷が集中してしまうことを抑止できる。したがって、VPNサーバ21においてVPN通信のボトルネックが生じてしまうことを抑止できる。
In the VPN system of the first embodiment, the load status of the
また、通信端末41のユーザは、より多くのネットワーク帯域を利用することが可能となる。その理由は以下のとおりである。通信端末41のユーザが利用できるネットワーク帯域は、VPNサーバ21に接続されているLANケーブルの容量を最大値として、VPNサーバ21に接続している各通信端末41で分け合う形になる。そのため、上記のように特定のVPNサーバ21に対して負荷が集中してしまうことを抑止することによって、各通信端末41に割り当てられるネットワーク帯域が増大する。
In addition, the user of the
[第二実施形態]
図9は、第二実施形態のVPNシステムのシステム構成を表す図である。以下、第二実施形態のVPNシステムについて、第一実施形態のVPNシステムと異なる点を主に説明する。
[Second Embodiment]
FIG. 9 is a diagram illustrating a system configuration of the VPN system according to the second embodiment. Hereinafter, the difference between the VPN system of the second embodiment and the VPN system of the first embodiment will be mainly described.
第二実施形態のVPNシステムは、中継サーバ11に代えて中継サーバ12を備える点、第1ネットワーク2内にVPNサーバマネージャ20を備える点、VPNサーバ21−1〜21−3に代えてVPNサーバ25−1〜25−3を備える点、第1ネットワーク2内に認証サーバ22を備えない点で、第一実施形態のVPNシステムと異なる。なお、第二実施形態のVPNシステムにおいて、1台の中継サーバ12に複数の第1ネットワーク2が接続されても良い。
The VPN system according to the second embodiment includes a
図10は、中継サーバ12のシステム構成を表す概略ブロック図である。中継サーバ12は、バスで接続されたCPUやメモリや補助記憶装置などを備え、中継プログラムを実行することによって、送受信部121、設定ファイル記憶部122、管理テーブル記憶部123、常設コネクション管理部124、コネクション接続部125を備える装置として機能する。なお、中継サーバ12の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
FIG. 10 is a schematic block diagram showing the system configuration of the
送受信部121は、NIC等のネットワークインタフェースを用いて構成される。送受信部121は、インターネット1を経由して他の通信装置とデータの送受信を行う。
設定ファイル記憶部122は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、グループ設定ファイルを記憶する。図11は、第二実施形態のグループ設定ファイルの具体例を表す。第二実施形態のグループ設定ファイルは、予め設定されたVPNグループ毎に、VPNサーバマネージャ情報が記録される。図11には、VPNグループとして、Group1及びGroup2に関する情報が図示されている。Group1を例にして、グループ設定ファイルに設定される情報について説明する。“manager=”に続いて記述されている数字“192.168.1.1”が、VPNサーバマネージャのIPアドレスを表す。グループ設定ファイルは、例えばグループ名をファイル名とし、グループ毎に別ファイルとして構成されても良い。また、グループ設定ファイルは、各グループの情報が1つのファイルにまとめて記述されても良い。
The transmission /
The setting
管理テーブル記憶部123は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、常設コネクション管理ファイルを記憶する。常設コネクション管理ファイルには、常設コネクション管理テーブルが記述されている。図12は、第二実施形態の常設コネクション管理テーブルの具体例を表す図である。第二実施形態の常設コネクション管理テーブルには、中継サーバ12に接続されているVPNサーバマネージャ20毎に、IPアドレス及びホスト名が格納される。
The management
常設コネクション管理部124は、自装置(中継サーバ12)に対して確立される常設コネクションについての管理を行う。常設コネクション管理部124は、新たに自装置に対してVPNサーバマネージャ20から常設コネクションが確立された場合には、新たな常設コネクションの対向側に位置するVPNサーバマネージャ20に関する情報を、管理テーブル記憶部123の常設コネクション管理テーブルに新規に登録する。また、常設コネクション管理部124は、生存確認メッセージの送信元であるVPNサーバマネージャ20に対して、生存確認応答メッセージを送信する。
The permanent
コネクション接続部125は、VPNサーバ25とVPNクライアント(通信端末41)との間でVPNコネクションを確立させる処理を行う。
図13は、VPNサーバマネージャ20のシステム構成を表す概略ブロック図である。VPNサーバマネージャ20は、バスで接続されたCPUやメモリや補助記憶装置などを備え、VPNサーバマネージャプログラムを実行することによって、送受信部201、管理テーブル記憶部202、常設コネクション管理部203、コネクション接続部204、常設コネクション確立部205、生存確認管理部206、認証部207を備える装置として機能する。なお、VPNサーバマネージャ20の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
The
FIG. 13 is a schematic block diagram showing the system configuration of the
送受信部201は、NIC等のネットワークインタフェースを用いて構成される。送受信部201は、第1ネットワーク2を経由して他の通信装置とデータの送受信を行う。
管理テーブル記憶部202は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、マネージャ用常設コネクション管理ファイルを記憶する。マネージャ用常設コネクション管理ファイルには、マネージャ用常設コネクション管理テーブルが記述されている。図14は、マネージャ用常設コネクション管理テーブルの具体例を表す図である。マネージャ用常設コネクション管理テーブルには、VPNサーバマネージャ20に接続されているVPNサーバ25毎に、IPアドレス、ホスト名、負荷状況が格納される。負荷状況の内容は、第一実施形態の負荷状況と同じである。
The transmission /
The management
常設コネクション管理部203は、自装置(VPNサーバマネージャ20)に対して確立される常設コネクションについての管理を行う。常設コネクション管理部203は、新たに自装置に対してVPNサーバ25から常設コネクションが確立された場合には、新たな常設コネクションの対向側に位置するVPNサーバ25に関する情報を、管理テーブル記憶部202のマネージャ用常設コネクション管理テーブルに新規に登録する。また、常設コネクション管理部203は、VPNサーバ25から生存確認メッセージを受信すると、生存確認メッセージに含まれる負荷状況の情報を用いて、管理テーブル記憶部202に記憶されるマネージャ用常設コネクション管理テーブルの負荷状況の情報を更新する。また、常設コネクション管理部203は、生存確認メッセージの送信元であるVPNサーバ25に対して、生存確認応答メッセージを送信する。
The permanent
コネクション接続部204は、管理テーブル記憶部202に記憶されるマネージャ用常設コネクション管理テーブルの内容に応じて、VPNコネクションの接続先となるVPNサーバ25を選択する。具体的には、コネクション接続部204は、最も負荷が低いVPNサーバ25を選択する。そして、コネクション接続部204は、選択されたVPNサーバ25とVPNクライアント(通信端末41)との間でVPNコネクションを確立させる処理を行う。
The
常設コネクション確立部205は、予め中継サーバ12のIPアドレスを記憶しており、中継サーバ12との間で常設コネクションを確立させる。
生存確認管理部206は、所定のタイミングで生存確認メッセージを生成し、中継サーバ12に対し送信する。生存確認メッセージは、中継サーバ12に対して生存確認応答メッセージの返信を要求するメッセージを含む。また、生存確認管理部206は、中継サーバ12から、生存確認メッセージに対する生存確認応答メッセージを受信する。
The permanent
The survival
認証部207は、第一実施形態における認証サーバ22と同様の処理を行う。具体的には、認証部207は、VPNクライアントから認証要求メッセージを受信し、認証処理を行い、認証結果を出力する。
The
図15は、VPNサーバ25のシステム構成を表す概略ブロック図である。VPNサーバ25は、バスで接続されたCPUやメモリや補助記憶装置などを備え、VPNサーバ用プログラムを実行することによって、送受信部251、常設コネクション確立部252、生存確認管理部253、個別コネクション確立部254、VPN制御部255を備える装置として機能する。なお、VPNサーバ25の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
FIG. 15 is a schematic block diagram showing the system configuration of the
送受信部251は、NIC等のネットワークインタフェースを用いて構成される。送受信部251は、第1ネットワーク2を経由して他の通信装置とデータの送受信を行う。
常設コネクション確立部252は、予めVPNサーバマネージャ20のIPアドレスを記憶しており、VPNサーバマネージャ20との間で常設コネクションを確立させる。
The transmission /
The permanent
生存確認管理部253は、所定のタイミングで生存確認メッセージを生成し、VPNサーバマネージャ20に対し送信する。生存確認メッセージは、VPNサーバマネージャ20に対して生存確認応答メッセージの返信を要求するメッセージと、自装置(VPNサーバ25)の負荷状況を表すメッセージとを含む。また、生存確認管理部253は、VPNサーバマネージャ20から、生存確認メッセージに対する生存確認応答メッセージを受信する。
The survival
個別コネクション確立部254は、VPNクライアント(通信端末41)から接続要求メッセージを受信すると、中継サーバ12との間でTCPコネクションを確立する。個別コネクション確立部254によって確立されるTCPコネクションは、接続要求メッセージの送信元である通信端末41との間のVPNコネクションの一部として用いられるコネクションである。
The individual
VPN制御部255は、いわゆる従来のVPNサーバとしての処理を行う。具体的には、VPN制御部255は、VPNクライアント(通信端末41)との間で確立したVPNコネクションを通じて、VPNサービスをVPNクライアントに提供する。
The
図16は、中継サーバ12とVPNサーバマネージャ20との間で行われる通信、及び、VPNサーバマネージャ20とVPNサーバ25との間で行われる通信それぞれの概略を表す図である。
FIG. 16 is a diagram illustrating the outline of each of the communication performed between the
VPNサーバマネージャ20の常設コネクション確立部203は、中継サーバ12へTCP接続で所定のポートに対し常設コネクションを確立する。所定のポートとは、予め設定されたポートであり、例えば443番ポートなどである。常設コネクションの確立は、例えばVPNサーバマネージャ20の電源が投入され起動した直後に行われても良いし、管理者によって確立指示が入力された際に行われても良いし、他のタイミングに行われても良い。この常設コネクションを通じて、VPNサーバマネージャ20の生存確認管理部206は生存確認メッセージを中継サーバ12へ送信する。また、中継サーバ12の常設コネクション管理部124は、VPNサーバマネージャ20から生存確認メッセージを受信すると、常設コネクションを通じて、VPNサーバマネージャ20に対し生存確認応答メッセージを送信する。
The permanent
VPNサーバ25の常設コネクション確立部252は、VPNサーバマネージャ20へTCP接続で所定のポートに対し常設コネクションを確立する。所定のポートとは、予め設定されたポートであり、例えば443ポートなどである。常設コネクションの確立は、例えばVPNサーバ25の電源が投入され起動した直後に行われても良いし、管理者によって確立指示が入力された際に行われても良いし、他のタイミングに行われても良い。この常設コネクションを通じて、VPNサーバ25の生存確認管理部253は生存確認メッセージをVPNサーバマネージャ20へ送信する。また、VPNサーバマネージャ20の常設コネクション管理部203は、VPNサーバ25から生存確認メッセージを受信すると、常設コネクションを通じて、VPNサーバ25に対し生存確認応答メッセージを送信する。
The permanent
図17は、第二実施形態のVPNシステムの処理の流れを表すシーケンス図である。まず、VPNサーバマネージャ20は、所定のポート(443番ポート)で、VPNサーバ25−1〜25−3からの接続を待ち受ける。各VPNサーバ25−1〜25−3の常設コネクション確立部212は、予めVPNサーバマネージャ20のIPアドレスを記憶している。各VPNサーバ25−1〜25−3の常設コネクション確立部252は、VPNサーバマネージャ20に対して常設コネクション25−20を確立する(ステップS201−1〜S201−3)。VPNサーバマネージャ20の常設コネクション管理部204は、各VPNサーバ25−1〜25−3からの常設コネクション25−20の接続を受け付けると、接続元のVPNサーバ25−1〜25−3のIPアドレス及びホスト名を常設コネクション管理テーブルに登録する。
FIG. 17 is a sequence diagram illustrating a processing flow of the VPN system according to the second embodiment. First, the
中継サーバ12は、所定のポート(443番ポート)で、VPNサーバマネージャ20からの接続を待ち受ける。VPNサーバマネージャ20の常設コネクション確立部205は、予め中継サーバ12のIPアドレスを記憶している。VPNサーバマネージャ20の常設コネクション確立部205は、1台以上のVPNサーバ25−1〜25−3から常設コネクション25−20を確立されると、中継サーバ12対して常設コネクション20−12を確立する(ステップS201−2)。中継サーバ12の常設コネクション管理部124は、VPNサーバマネージャ20からの常設コネクション20−12の接続を受け付けると、接続元のVPNサーバマネージャ20のIPアドレス及びホスト名を常設コネクション管理テーブルに登録する。なお、常設コネクションの確立の際に、中継サーバ12の常設コネクション確立部124は、VPNサーバマネージャ20について認証を行うように構成されても良い。
The
次に、各VPNサーバ25−1〜25−3の生存確認管理部253は、通信が可能であるかを確認するため、所定のタイミングで生存確認メッセージをVPNサーバマネージャ20へ送信する(ステップS203−1〜S203−3)。このとき、各生存確認管理部253は、常設コネクション25−20を通して生存確認メッセージを送信する。VPNサーバマネージャ20の常設コネクション管理部203は、生存確認メッセージを受信すると、送信元のVPNサーバ25−1〜25−3に対し生存確認応答メッセージを送信する(ステップS204−1〜S204−3)。このとき、常設コネクション管理部203は、常設コネクション25−20を通して生存確認応答メッセージを送信する。また、常設コネクション管理部203は、受信された生存確認メッセージに含まれる負荷状況の情報を用いて、常設コネクション管理テーブルを更新する。
Next, the survival
各VPNサーバ25−1〜25−3の生存確認管理部253は、生存確認メッセージの送信に連続して失敗した場合や、送信は成功したもののVPNサーバマネージャ20から生存確認応答メッセージを所定時間内に受信できなかった場合には、常設コネクション確立部252に対しエラー通知を行う。常設コネクション確立部252は、生存確認管理部253からエラー通知を受けると、VPNサーバマネージャ20に対し常設コネクション25−20を確立し直す。
The survival
また、VPNサーバマネージャ20の生存確認管理部206は、通信が可能であるかを確認するため、所定のタイミングで生存確認メッセージを中継サーバ12へ送信する。このとき、生存確認管理部206は、常設コネクション20−12を通して生存確認メッセージを送信する。中継サーバ12の常設コネクション管理部124は、生存確認メッセージを受信すると、送信元のVPNサーバマネージャ20に対し生存確認応答メッセージを送信する。このとき、常設コネクション管理部124は、常設コネクション20−12を通して生存確認応答メッセージを送信する。
Further, the survival
VPNサーバマネージャ20の生存確認管理部206は、生存確認メッセージの送信に連続して失敗した場合や、送信は成功したものの中継サーバ12から生存確認応答メッセージを所定時間内に受信できなかった場合には、常設コネクション確立部205に対しエラー通知を行う。常設コネクション確立部205は、生存確認管理部206からエラー通知を受けると、中継サーバ12に対し常設コネクション20−12を確立し直す。
The survival
次に、VPNクライアントとなる通信端末41がVPNコネクションを確立する処理について説明する。まず、通信端末41の第1コネクション確立部412が、中継サーバ12に対し第1TCPコネクションを確立する。そして、第1コネクション確立部は、接続要求メッセージを作成し、中継サーバ12に対し第1TCPコネクションを通じて送信する(ステップS205)。このとい、接続要求メッセージに含まれる情報は、第一実施形態のように、接続先となるVPNグループの識別情報(例えばグループ名)であっても良いし、接続先となるVPNサーバマネージャ20のIPアドレスやホスト名であっても良い。通信端末41は、接続要求メッセージの送信に成功すると、第1TCPコネクションを切断する。また、通信端末41の第2コネクション確立部413は、ステップS205の処理の後又は並行して、中継サーバ12に対し第2TCPコネクションを確立する(ステップS207)。
Next, processing for establishing a VPN connection by the
中継サーバ12のコネクション接続部125は、接続要求メッセージを受信すると、設定ファイルや常設コネクション管理テーブルなどを参照し、接続要求メッセージの接続先に該当するVPNサーバマネージャ20のIPアドレスを検索する。そして、接続要求メッセージに含まれるIPアドレスが、常設コネクション管理テーブルに登録されているか否か検索する。登録されていない場合には、コネクション接続部125は、接続要求メッセージの送信元である通信端末41に対してエラーを通知する。一方、登録されている場合には、コネクション接続部125は、常設コネクション20−12を通して、接続要求メッセージをVPNサーバマネージャ20へ転送する(ステップS206)。
When receiving the connection request message, the
VPNサーバマネージャ20のコネクション接続部204は、常設コネクション20−12を通じて接続要求メッセージを受信すると、管理テーブル記憶部202の常設コネクション管理テーブルを参照する。そして、コネクション接続部204は、常設コネクション管理テーブルに登録されているVPNサーバ25の中から、最も負荷が低いVPNサーバ25を選択する。コネクション接続部204は、選択されたVPNサーバ25(25−1)に対し、常設コネクション25−20を通じて接続要求メッセージを転送する(ステップS208)。
When the
VPNサーバ25−1の個別コネクション確立部254は、VPNサーバマネージャ20から接続要求メッセージを受信すると、通信端末41へのVPNコネクションを確立するために必要な情報を、受信した接続要求メッセージから取得する。そして、個別コネクション確立部254は、接続要求メッセージを中継サーバ12に送信することによって、個別コネクションを中継サーバ12との間で確立する(ステップS209)。
When receiving the connection request message from the
中継サーバ12のコネクション接続部125は、通信端末41から受信された接続要求メッセージと、VPNサーバ25−1から受信された接続要求メッセージとに含まれている情報をそれぞれ参照し、第2TCPコネクション及び個別コネクションを結びつける。この処理によって、コネクション接続部125は、通信端末41とVPNサーバ25−1間の通信路(VPNコネクション)を確立する。コネクション接続部125は、VPNコネクションの確立が完了すると、第2TCPコネクションを通じて、通信端末41へ接続完了メッセージを送信する(ステップS210)。
The
通信端末41のVPN制御部415は、中継サーバ12から接続完了メッセージを受信すると、認証要求部414に対し認証処理を開始することを指示する。認証要求部414は、VPN制御部415からの指示に応じて、認証要求メッセージを作成し、中継サーバ12へ送信する(ステップS211)。
When receiving the connection completion message from the
中継サーバ12のコネクション接続部125は、通信端末41から認証要求メッセージを受信すると、VPNサーバマネージャ20に対し、認証要求メッセージを送信する(ステップS212)。
When receiving the authentication request message from the
VPNサーバマネージャ20の認証部207は、認証要求メッセージを受信すると、認証要求メッセージに含まれるユーザ名及びパスワードに基づいて認証処理を行う。そして、認証部207は、認証結果を表す認証結果通知メッセージを作成し、中継サーバ12へ送信する(ステップS213)。中継サーバ12は、認証結果通知メッセージをVPNサーバ25−1へ転送する(ステップS214)。VPNサーバ25−1のVPN制御部255は、受信された認証結果通知メッセージが表す認証結果の内容に基づいて、通信端末41からのアクセスの許否を判断する。具体的には、認証結果の内容が、通信端末41のユーザが正当なユーザであることを表す場合には、VPN制御部255は、通信端末41との間でVPNコネクションを確立する。このとき、VPN制御部255は、中継サーバ12によって既に接続されている第2TCPコネクション及び個別コネクションを用いて、VPNコネクションを確立する。そして、VPNサーバ25−1のVPN制御部255は、通信端末41と、第1ネットワーク2内の業務サーバ23との間の通信を中継する(ステップS215)。一方、認証結果の内容が、通信端末41のユーザが正当なユーザではないことを表す場合には、VPN制御部255は、VPNコネクションを確立せず、通信端末41と第1ネットワーク2内の業務サーバ23との間の通信を中継しない。
Upon receiving the authentication request message, the
第一実施形態のVPNシステムでは、複数の各拠点(各第1ネットワーク)でVPNサーバの負荷分散を行う場合、負荷分散を行うための中継サーバへの通信量が多くなってしまう。また、中継サーバのCPU使用率が上昇してしまう。そのため、VPN通信に使える帯域が減ってしまうおそれがある。これに対し、第二実施形態のVPNシステムでは、複数台のVPNサーバ25をまとめて管理するVPNサーバマネージャ20を各第1ネットワークに設置し、VPNサーバ25とVPNサーバマネージャ20とが負荷情報のやりとりを行う。このような処理によって、VPNサーバ25の負荷分散処理を行い特定のVPNサーバ25に負荷が増加してしまうことを防ぐことができる。さらに、中継サーバ12に処理が集中してしまうことを防ぐことができる。
In the VPN system of the first embodiment, when load distribution of VPN servers is performed at a plurality of bases (each first network), the amount of communication to the relay server for performing load distribution increases. In addition, the CPU usage rate of the relay server increases. Therefore, there is a possibility that the bandwidth that can be used for VPN communication is reduced. On the other hand, in the VPN system of the second embodiment, a
なお、第二実施形態では、VPNサーバマネージャ20を新たに導入する必要がある。しかしながら、VPNサーバマネージャ20に認証機能を実装することによって、認証サーバが不要になっている。そのため、消費電力や管理工数などは第一実施形態とほとんど変わりはない。
In the second embodiment, it is necessary to newly introduce the
上記の第一実施形態又は第二実施形態のVPNシステムは、データセンタなど大量のVPNを高速処理する必要がある場合に適用できる。また、同様にデータセンタなど大量のサーバを扱うクラウドコンピューティング分野にも適用できる。 The VPN system of the first embodiment or the second embodiment described above can be applied when a large amount of VPN such as a data center needs to be processed at high speed. Similarly, it can be applied to the cloud computing field that handles a large number of servers such as a data center.
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes designs and the like that do not depart from the gist of the present invention.
11,12…中継サーバ(第二コンピュータ), 20…VPNサーバマネージャ(管理装置,第三コンピュータ), 21(21−1〜21−3),25(25−1〜25−3)…VPNサーバ(第一コンピュータ), 22…認証サーバ, 23…業務サーバ, 41…通信端末, 111,121…送受信部, 112,122…設定ファイル記憶部, 113,123…管理テーブル記憶部(記憶部), 114,124…常設コネクション管理部(更新部), 115,125…コネクション接続部(接続部), 201送受信部, 202…管理テーブル記憶部(記憶部), 203…常設コネクション管理部(更新部), 204…コネクション接続部(選択部), 205…常設コネクション確立部, 206…生存確認管理部, 207…認証部, 211,251…送受信部, 212,252…常設コネクション確立部(第一通信路確立部), 213,253…生存確認管理部(通知部), 214,254…個別コネクション確立部(第二通信路確立部), 215,255…VPN制御部, 411…送受信部, 412…第1コネクション確立部, 413…第2コネクション確立部, 414…認証要求部, 415…VPN制御部
DESCRIPTION OF
Claims (10)
前記仮想プライベートネットワークサーバは、
自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知部、
を備え、
前記中継サーバは、
前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶部と、
前記負荷状況の通知を受けると、前記記憶部に記憶される負荷状況を更新する更新部と、
前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶部に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記仮想プライベートネットワークサーバを選択し、選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続部と、
を備えることを特徴とする仮想プライベートネットワークシステム。 A virtual private network system comprising: a plurality of virtual private network servers; and a relay server that establishes a communication path between the virtual private network server and the virtual private network client in response to a connection request from the virtual private network client Because
The virtual private network server is
A notification unit for acquiring the load status of the own device and notifying the relay server of the load status;
With
The relay server is
A storage unit for storing the load status for each virtual private network server;
Upon receiving the notification of the load status, an update unit that updates the load status stored in the storage unit;
Upon receiving a connection request from the virtual private network client, the virtual private network server is selected according to a predetermined criterion indicating that the load is small according to the load status stored in the storage unit, and the selected virtual A connection for establishing a communication path between a private network server and the virtual private network client;
A virtual private network system comprising:
自装置と前記中継サーバとの間に第一通信路を確立する第一通信路確立部と、
前記第一通信路を用いて前記中継サーバから接続要求を受信すると、自装置と前記中継サーバとの間に第二通信路を確立する第二通信路確立部と、
をさらに備え、
前記通知部は、前記第一通信路を用いて、前記負荷状況を前記中継サーバへ通知し、
前記中継サーバの前記接続部は、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第一通信路を用いて、選択された仮想プライベートネットワークサーバへ前記接続要求を送信し、当該仮想プライベートネットワークサーバとの間の前記第二通信路を用いて前記通信路を確立する、
ことを特徴とする請求項1に記載の仮想プライベートネットワークシステム。 The virtual private network server is
A first communication path establishment unit that establishes a first communication path between the own device and the relay server;
When a connection request is received from the relay server using the first communication path, a second communication path establishment unit that establishes a second communication path between the own apparatus and the relay server;
Further comprising
The notification unit notifies the relay server of the load status using the first communication path,
When the connection unit of the relay server receives a connection request from the virtual private network client, the connection unit transmits the connection request to the selected virtual private network server using the first communication path, and the virtual private network server Establishing the communication path using the second communication path between and
The virtual private network system according to claim 1.
前記第一通信路確立部は、前記通知部が前記生存確認メッセージを前記中継サーバへ送信できない場合又は前記中継サーバから前記生存確認メッセージに対する応答を受信できない場合には、前記第一通信路を確立しなおす、
ことを特徴とする請求項1又は2に記載の仮想プライベートネットワークシステム。 The notification unit further transmits a survival confirmation message to the relay server,
The first communication path establishment unit establishes the first communication path when the notification unit cannot transmit the survival confirmation message to the relay server or when it cannot receive a response to the survival confirmation message from the relay server. Rework,
The virtual private network system according to claim 1, wherein the virtual private network system is a virtual private network system.
前記仮想プライベートネットワークサーバは、
自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知部、
を備え、
前記管理装置は、
前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶部と、
前記負荷状況の通知を受けると、前記記憶部に記憶される負荷状況を更新する更新部と、
前記中継サーバから接続要求を受信すると、前記記憶部に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記仮想プライベートネットワークサーバを選択する選択部と、
を備え、
前記中継サーバは、
前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記管理装置へ接続要求を転送し、前記管理装置によって選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続部と、
を備えることを特徴とする仮想プライベートネットワークシステム。 A plurality of virtual private network servers, a management device that manages the plurality of virtual private network servers, and between the virtual private network server and the virtual private network client in response to a connection request from a virtual private network client A virtual private network system comprising a relay server for establishing a communication path,
The virtual private network server is
A notification unit for acquiring a load status of the own device and notifying the management device of the load status;
With
The management device
A storage unit for storing the load status for each virtual private network server;
Upon receiving the notification of the load status, an update unit that updates the load status stored in the storage unit;
When receiving a connection request from the relay server, a selection unit that selects the virtual private network server according to a predetermined criterion indicating that the load is small according to a load situation stored in the storage unit;
With
The relay server is
A connection that, upon receiving a connection request from the virtual private network client, transfers the connection request to the management apparatus and establishes a communication path between the virtual private network server selected by the management apparatus and the virtual private network client And
A virtual private network system comprising:
自装置と前記管理装置との間に第一通信路を確立する第一通信路確立部と、
前記第一通信路を用いて前記管理装置から接続要求を受信すると、自装置と前記中継サーバとの間に第二通信路を確立する第二通信路確立部と、
をさらに備え、
前記通知部は、前記第一通信路を用いて、前記負荷状況を前記管理装置へ通知し、
前記管理装置の前記選択部は、前記仮想プライベートネットワーククライアントからの接続要求を受信すると、前記第一通信路を用いて、当該仮想プライベートネットワークサーバへ前記接続要求を送信し、
前記接続部は、選択された仮想プライベートネットワークサーバとの間の前記第二通信路を用いて前記通信路を確立する、
ことを特徴とする請求項4に記載の仮想プライベートネットワークシステム。 The virtual private network server is
A first communication path establishment unit for establishing a first communication path between the own apparatus and the management apparatus;
When receiving a connection request from the management apparatus using the first communication path, a second communication path establishment unit that establishes a second communication path between the own apparatus and the relay server;
Further comprising
The notification unit uses the first communication path to notify the load status to the management device,
The selection unit of the management device, upon receiving a connection request from the virtual private network client, transmits the connection request to the virtual private network server using the first communication path,
The connection unit establishes the communication path using the second communication path with the selected virtual private network server;
The virtual private network system according to claim 4.
前記第一通信路確立部は、前記通知部が前記生存確認メッセージを前記管理装置へ送信できない場合又は前記管理装置から前記生存確認メッセージに対する応答を受信できない場合には、前記第一通信路を確立しなおす、
ことを特徴とする請求項4又は5に記載の仮想プライベートネットワークシステム。 The notification unit further transmits a survival confirmation message to the management device,
The first communication path establishment unit establishes the first communication path when the notification unit cannot transmit the survival confirmation message to the management apparatus or when it cannot receive a response to the survival confirmation message from the management apparatus. Rework,
The virtual private network system according to claim 4 or 5, characterized in that
前記仮想プライベートネットワークサーバが、自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知ステップと、
前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶装置を備える前記中継サーバが、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、
前記中継サーバは、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記仮想プライベートネットワークサーバを選択し、選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、
を備えることを特徴とする通信方法。 A virtual private network system comprising: a plurality of virtual private network servers; and a relay server that establishes a communication path between the virtual private network server and the virtual private network client in response to a connection request from the virtual private network client Is a communication method performed by
The virtual private network server obtains the load status of its own device and notifies the relay server of the load status;
When the relay server including a storage device that stores the load status for each virtual private network server receives the notification of the load status, an update step of updating the load status stored in the storage device;
When the relay server receives a connection request from the virtual private network client, the relay server selects the virtual private network server according to a predetermined criterion indicating that the load is small according to the load status stored in the storage device, A connection step for establishing a communication path between the selected virtual private network server and the virtual private network client;
A communication method comprising:
前記仮想プライベートネットワークサーバが、自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知ステップと、
前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶装置を備える前記管理装置が、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、
前記管理装置が、前記中継サーバから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記仮想プライベートネットワークサーバを選択する選択ステップと、
前記中継サーバが、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記管理装置へ接続要求を転送し、前記管理装置によって選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、
を備えることを特徴とする通信方法。 A plurality of virtual private network servers, a management device that manages the plurality of virtual private network servers, and between the virtual private network server and the virtual private network client in response to a connection request from a virtual private network client A communication method performed by a virtual private network system comprising a relay server for establishing a communication path,
The virtual private network server obtains the load status of its own device and notifies the management device of the load status;
When the management device including a storage device that stores the load status for each virtual private network server receives the notification of the load status, an update step of updating the load status stored in the storage device;
When the management device receives a connection request from the relay server, a selection step of selecting the virtual private network server according to a predetermined criterion indicating that the load is small according to a load situation stored in the storage device; ,
When the relay server receives a connection request from the virtual private network client, the connection request is transferred to the management device, and communication between the virtual private network server selected by the management device and the virtual private network client is performed. A connection step for establishing a path;
A communication method comprising:
前記第一コンピュータに対し、
自装置の負荷状況を取得し、前記負荷状況を前記第二コンピュータへ通知する通知ステップ、
を実行させ、
前記負荷状況を前記第一コンピュータ毎に記憶する記憶装置を備える前記第二コンピュータに対し、
前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、
前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記第一コンピュータを選択し、選択された前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、
を実行させるためのコンピュータプログラム。 In a virtual private network system comprising a plurality of first computers and a second computer that establishes a communication path between the first computer and the virtual private network client in response to a connection request from the virtual private network client ,
For the first computer,
A notification step of acquiring a load status of the own device and notifying the second computer of the load status;
And execute
For the second computer comprising a storage device for storing the load status for each first computer,
When receiving the notification of the load status, an update step of updating the load status stored in the storage device;
When a connection request is received from the virtual private network client, the first computer is selected according to a predetermined criterion indicating that the load is small according to the load status stored in the storage device, and the selected first Establishing a communication path between a computer and the virtual private network client;
A computer program for running.
前記第一コンピュータに対し、
自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知ステップ、
を実行させ、
前記負荷状況を前記第一コンピュータ毎に記憶する記憶装置を備える前記第三コンピュータに対し、
前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、
前記第二コンピュータから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、負荷が小さいことを表す所定の基準にしたがって前記第一コンピュータを選択する選択ステップと、
を実行させ、
前記第二コンピュータに対し、
前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第三コンピュータへ接続要求を転送し、前記第三コンピュータによって選択された前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、
を実行させるためのコンピュータプログラム。 A plurality of first computers, a third computer managing the plurality of first computers, and a communication path between the first computer and the virtual private network client in response to a connection request from the virtual private network client A virtual private network system comprising a second computer for establishing
For the first computer,
A notification step of acquiring the load status of the device itself and notifying the management device of the load status;
And execute
For the third computer comprising a storage device for storing the load status for each first computer,
When receiving the notification of the load status, an update step of updating the load status stored in the storage device;
Upon receiving a connection request from the second computer, a selection step of selecting the first computer according to a predetermined criterion indicating that the load is small according to the load status stored in the storage device;
And execute
For the second computer,
When a connection request is received from the virtual private network client, the connection request is transferred to the third computer, and a communication path is established between the first computer selected by the third computer and the virtual private network client. A connection step;
A computer program for running.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010024696A JP5504940B2 (en) | 2010-02-05 | 2010-02-05 | Virtual private network system, communication method and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010024696A JP5504940B2 (en) | 2010-02-05 | 2010-02-05 | Virtual private network system, communication method and computer program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011166312A true JP2011166312A (en) | 2011-08-25 |
JP5504940B2 JP5504940B2 (en) | 2014-05-28 |
Family
ID=44596513
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010024696A Expired - Fee Related JP5504940B2 (en) | 2010-02-05 | 2010-02-05 | Virtual private network system, communication method and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5504940B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013196508A (en) * | 2012-03-21 | 2013-09-30 | Ricoh Co Ltd | Equipment management system, equipment management method, server device and equipment management program |
WO2015181931A1 (en) * | 2014-05-29 | 2015-12-03 | 三菱電機株式会社 | Management device, management method, and program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004158977A (en) * | 2002-11-05 | 2004-06-03 | Fujitsu Ltd | Load distribution processing system |
JP2004295166A (en) * | 2003-03-25 | 2004-10-21 | Nec Corp | Remote access system and remote access method |
JP2005228036A (en) * | 2004-02-13 | 2005-08-25 | Nec Commun Syst Ltd | Load distribution device, its control method, its control program, and client/server system |
JP2006050191A (en) * | 2004-08-04 | 2006-02-16 | Fuji Xerox Co Ltd | Network system, internal server, terminal, program, and packet relaying method |
-
2010
- 2010-02-05 JP JP2010024696A patent/JP5504940B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004158977A (en) * | 2002-11-05 | 2004-06-03 | Fujitsu Ltd | Load distribution processing system |
JP2004295166A (en) * | 2003-03-25 | 2004-10-21 | Nec Corp | Remote access system and remote access method |
JP2005228036A (en) * | 2004-02-13 | 2005-08-25 | Nec Commun Syst Ltd | Load distribution device, its control method, its control program, and client/server system |
JP2006050191A (en) * | 2004-08-04 | 2006-02-16 | Fuji Xerox Co Ltd | Network system, internal server, terminal, program, and packet relaying method |
Non-Patent Citations (2)
Title |
---|
CSND200601498003; Lynx: 'この技術がわかれば、10歩差が付く! ネットワークマニアックス' NETWORK WORLD 第11巻 第10号, 20061001, pp.44-45, (株)IDGジャパン * |
JPN6013047958; Lynx: 'この技術がわかれば、10歩差が付く! ネットワークマニアックス' NETWORK WORLD 第11巻 第10号, 20061001, pp.44-45, (株)IDGジャパン * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013196508A (en) * | 2012-03-21 | 2013-09-30 | Ricoh Co Ltd | Equipment management system, equipment management method, server device and equipment management program |
WO2015181931A1 (en) * | 2014-05-29 | 2015-12-03 | 三菱電機株式会社 | Management device, management method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP5504940B2 (en) | 2014-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10356097B2 (en) | Domain name system and method of operating using restricted channels | |
US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
CN107210929B (en) | Load balancing for internet protocol security tunnels | |
US11140162B2 (en) | Response method and system in virtual network computing authentication, and proxy server | |
JP5987902B2 (en) | Network system, controller, and packet authentication method | |
US10038668B2 (en) | Computerized system and method for handling network traffic | |
CN112333143B (en) | Granularity offloading of proxied secure sessions | |
JP2018521534A (en) | Network device and method for processing a session using a packet signature | |
US20060031407A1 (en) | System and method for remote network access | |
US9246906B1 (en) | Methods for providing secure access to network resources and devices thereof | |
US10498529B1 (en) | Scalable node for secure tunnel communications | |
EP1093254A2 (en) | Virtual private network management system | |
EP2922246B1 (en) | Method and data center network for cross-service zone communication | |
JP6793056B2 (en) | Communication equipment and systems and methods | |
US10516652B1 (en) | Security association management | |
US20220070092A1 (en) | Device information method and apparatus for directing link-layer communication | |
JP5445262B2 (en) | Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof | |
US10795912B2 (en) | Synchronizing a forwarding database within a high-availability cluster | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
JP5504940B2 (en) | Virtual private network system, communication method and computer program | |
CN109450849B (en) | Cloud server networking method based on block chain | |
US10270692B1 (en) | Establishing a connection to multiple network devices using a single internet protocol (IP) address | |
JP2010272951A (en) | Method and server for managing distribution of shared key | |
JP2006013732A (en) | Routing device and authentication method of information processor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130920 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131001 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131202 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140218 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140303 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5504940 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |