JP2011188448A - ゲートウェイ装置、通信方法および通信用プログラム - Google Patents
ゲートウェイ装置、通信方法および通信用プログラム Download PDFInfo
- Publication number
- JP2011188448A JP2011188448A JP2010054668A JP2010054668A JP2011188448A JP 2011188448 A JP2011188448 A JP 2011188448A JP 2010054668 A JP2010054668 A JP 2010054668A JP 2010054668 A JP2010054668 A JP 2010054668A JP 2011188448 A JP2011188448 A JP 2011188448A
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- packet
- substitute
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】拠点ネットワークを容易に仮想プライベートネットワークに参加させることを課題とする。
【解決手段】ゲートウェイ装置1aに、ネットワーク間で重複しないように設定された代用アドレスと端末2a、2bとの対応関係を特定可能なアドレス変換情報を保持する保持部11aと、管理下の送信元端末2aから送信されたパケットを受信する送受信部12aと、宛先アドレスが、ゲートウェイ装置1bの管理下のネットワークに属する端末2bの代用アドレスである場合に、アドレス変換情報を参照することで送信元端末2aの代用アドレスを特定するアドレス特定部13aと、パケットの送信元アドレスを、送信元端末2aの実アドレスから、特定された代用アドレスに変換するアドレス変換部14aと、アドレス変換されたパケットをカプセル化するVPN処理部15aと、カプセル化されたパケットを、ゲートウェイ装置1bに送信する送受信部12aと、を備えた。
【選択図】図3
【解決手段】ゲートウェイ装置1aに、ネットワーク間で重複しないように設定された代用アドレスと端末2a、2bとの対応関係を特定可能なアドレス変換情報を保持する保持部11aと、管理下の送信元端末2aから送信されたパケットを受信する送受信部12aと、宛先アドレスが、ゲートウェイ装置1bの管理下のネットワークに属する端末2bの代用アドレスである場合に、アドレス変換情報を参照することで送信元端末2aの代用アドレスを特定するアドレス特定部13aと、パケットの送信元アドレスを、送信元端末2aの実アドレスから、特定された代用アドレスに変換するアドレス変換部14aと、アドレス変換されたパケットをカプセル化するVPN処理部15aと、カプセル化されたパケットを、ゲートウェイ装置1bに送信する送受信部12aと、を備えた。
【選択図】図3
Description
本発明は、ゲートウェイ装置、通信方法および通信用プログラムに関する。
従来、IPSec(Security Architecture for Internet Protocol)等のプロトコルを用いて実現されるVPN(Virtual Private Network)において、NAT(Network Address Translation)装置等によるアドレス変換を行う技術がある(特許文献1から3等を参照)。
また、第一の拠点から複数の第二の拠点に対してVPN接続を行う場合に、これら複数の第二の拠点における仮想インタフェイスに対して同一のアドレスを割り当てることで、グローバルアドレスの消費量を抑制する技術がある(特許文献4等を参照)。
従来、複数の拠点間での通信において、IPsecやPPTP(Point to Point Tunneling Protocol)およびSSL/TLS(Secure Sockets Layer / Transport Layer Security)といったプロトコルを用いてデータのカプセリングおよび通信のトンネリングを行うことで、仮想的な専用ネットワークを構築することが出来る、VPN技術が用いられている。また、顧客に対してデータストレージやソフトウェア等のサービスを提供するために、NAPT(Network Address Port Translation)およびHTTPSを用いて顧客端末をネットワーク上に構築されたクラウドに接続させる技術が用いられている。
しかし、従来のVPN技術では、拠点ネットワーク間でネットワークアドレスや端末のアドレスが共通すること等の事情によって、VPN内で異なる拠点に属する端末間の通信が上手くいかない等の問題が発生する。また、このような問題を解決するためには、拠点ネットワークを再設計、再構築する必要が生じるが、プライベートネットワークアドレスは、プライベートネットワーク用に推奨されているアドレス範囲の先頭領域から順に用いられることが多いことや、ネットワーク機器の工場出荷時等に予め設定されていることが多いことから、一般に重複する可能性が高い。このため、VPNの構築は、ネットワークの設計者や管理者に、拠点ネットワークの再設計や再構築等の多くの負担を強いるものであった。
本発明は、上記した問題に鑑み、拠点ネットワーク間でネットワークアドレスや端末のアドレスが共通すること等の事情がある場合にも、拠点ネットワークを容易に仮想プライベートネットワークに参加させることを課題とする。
本発明では、上記課題を解決するために、以下の手段を採用した。即ち、本発明は、管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置であって、複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持手段と、前記管理下のネットワークに属する送信元端末から送信されたパケットを受信する受信手段と、前記パケットの宛先アドレスが、前記他のゲートウェイ装置の管理下のネットワークに属する端末の代用アドレスである場合に、パケットの送信元アドレスに基づいて前記アドレス変換情報を参照することで、前記送信元端末の代用アドレスを特定する代用アドレス特定手段と、前記パケットの送信元アドレスを、前記送信元端末の実アドレスから、前記代用アドレス特定手段によって特定された代用アドレスに変換する変換手段と、前記変換手段によってアドレス変換されたパケットに、前記他のゲートウェイ装置へパケットを転送するための情報を付加することでカプセル化するカプセル化手段と、前記カプセル化手段によってカプセル化されたパケットを、前記他のゲートウェイ装置に送信する送信手段と、を備えるゲートウェイ装置である。
ここで、管理下のネットワークとは、ゲートウェイ装置によって外部ネットワークとの通信が仲介される、拠点ネットワーク等のネットワークである。本発明に係るゲートウェイ装置は、インターネット等の外部ネットワークを介して他のゲートウェイ装置と通信可能となっており、管理下のネットワークからの通信を他のゲートウェイ装置へ転送等することで、複数のゲートウェイ装置の管理下にある複数の拠点ネットワーク間での通信を可能とする装置である。複数のゲートウェイ装置によって管理下ネットワーク間の通信が仲介されることで、仮想的なプライベートネットワークが構築される。
本発明に係る保持手段は、ゲートウェイ装置の管理下にあるネットワークに属する端末の代用アドレスと、この端末との対応関係を特定可能なアドレス変換情報を保持する。具体的には、端末の実アドレスと代用アドレスとを関連付けてテーブルに記録する方法や、端末の実ネットワークアドレスと代用ネットワークアドレスとを関連付けてテーブルに記録する方法等で、代用アドレスと端末との対応関係が保持される。なお、アドレス変換情報には、ゲートウェイ装置の管理下にあるサイト(ここでは、ゲートウェイ装置によって管理されるネットワークの集合を示す)を識別するための情報等、ゲートウェイ装置を介した通信やアドレス変換、名前解決のために必要なその他の情報が含まれてもよい。なお、代用アドレスおよび代用ネットワークアドレスは、仮想的なプライベートネットワークの内部において重複しないように、各端末または各ネットワークに割り当てられる。
本発明は、他のゲートウェイ装置の管理下のネットワーク宛に転送されるパケットの送信元アドレスを、ネットワーク内で重複しない代用アドレスを用いて変換することで、拠点ネットワーク間でネットワークアドレスや端末のアドレスが共通すること等の事情がある場合にも、拠点ネットワークを容易に仮想プライベートネットワークに参加させることを可能としている。なお、本発明において通信に用いられる通信方式やプロトコルは、各装置間で必要な情報を送受信可能なものであればよく、IP(Internet Protocol)に限定されない。本発明は、同様の仕組みを用いて通信が行われる様々な通信方式やプロトコルが採用されたネットワークに適用することが可能である。
また、本発明において、前記保持手段は、実ネットワークアドレスと代用ネットワークアドレスとの対応関係が記録されたテーブルを含むアドレス変換情報を保持し、前記代用アドレス特定手段は、前記テーブルを参照することで、前記送信元端末の代用アドレスを特定してもよい。
また、本発明において、前記受信手段は、管理下のネットワークに属する端末から送信された、通信したい相手方端末のアドレスの問い合わせパケットを受信し、本発明に係るゲートウェイ装置は、前記問い合わせパケットに係るアドレス問い合わせの対象端末が、他のゲートウェイ装置の管理下のネットワークに属する端末である場合に、前記アドレス変換情報を参照することで、該対象端末の代用アドレスを特定する問い合わせアドレス特定手段と、前記問い合わせアドレス特定手段によって特定された代用アドレスを、アドレス問い合わせの結果として、前記アドレス問い合わせパケットの送信元の端末へ通知する通知手段と、を更に備えてもよい。
通常、通信を開始したい端末は、通信したい相手方端末のアドレスを把握していない場合、相手方端末の名称(ホスト名等)を指定してアドレスの問い合わせを行うことで、通信したい相手方端末のアドレスを取得する。本発明では、このようなアドレス問い合わせパケットを受信すると、通常の名前解決サーバに成り代わって相手方端末の代用アドレスを特定し、問い合わせの送信元端末へ通知する。問合せの送信元端末は、通常のアドレス問い合わせ処理を行うことで、システム構成を意識することなく、相手方端末の代用アドレス、即ち、相手方端末へパケットを送信するために設定すべき適切なアドレスを取得することが出来る。
また、本発明は、管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置であって、複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持手段と、他のゲートウェイ装置から送信された、宛先アドレスが管理下のネットワークに属する端末の代用アドレスであり、転送のための情報が付加されたカプセル化パケットを受信する受信手段と、前記受信手段によって受信されたカプセル化パケットから、転送のための情報が付加される前のパケットを取り出すパケット取出手段と、前記パケット取出手段によって取り出されたパケットの宛先アドレスに設定されている宛先端末の代用アドレスに基づいて前記アドレス変換情報を参照することで、該宛先端末の実アドレスを特定する実アドレス特定手段と、前記取り出されたパケットの宛先アドレスを、前記宛先端末の代用アドレスから、前記実アドレス特定手段によって特定された実アドレスに変換する変換手段と、前記変換手段によってアドレス変換されたパケットを前記管理下のネットワークに送信する送信手段と、を備えるゲートウェイ装置である。
本発明は、他のゲートウェイ装置の管理下のネットワークから転送されてきたパケットの宛先に設定されている代用アドレスを、管理下のネットワーク内で扱うことが出来る実アドレスに変換する。本発明によれば、拠点ネットワーク間でネットワークアドレスや端末のアドレスが共通すること等の事情がある場合にも、拠点ネットワークを容易に仮想プライベートネットワークに参加させることが可能となる。
また、本発明において、前記保持手段は、実ネットワークアドレスと代用ネットワークアドレスとの対応関係が記録されたテーブルを含むアドレス変換情報を保持し、前記実アドレス特定手段は、前記テーブルを参照することで、前記宛先端末の実アドレスを特定してもよい。
また、本発明は、コンピュータによって実行される通信方法の発明、または通信用プログラムの発明として把握されてもよい。例えば、本発明は、管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置としてのコンピュータを、複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持手段と、前記管理下のネットワークに属する送信元端末か
ら送信されたパケットを受信する受信手段と、前記パケットの宛先アドレスが、前記他のゲートウェイ装置の管理下のネットワークに属する端末の代用アドレスである場合に、パケットの送信元アドレスに基づいて前記アドレス変換情報を参照することで、前記送信元端末の代用アドレスを特定する代用アドレス特定手段と、前記パケットの送信元アドレスを、前記送信元端末の実アドレスから、前記代用アドレス特定手段によって特定された代用アドレスに変換する変換手段と、前記変換手段によってアドレス変換されたパケットに、前記他のゲートウェイ装置へパケットを転送するための情報を付加することでカプセル化するカプセル化手段と、前記カプセル化手段によってカプセル化されたパケットを、前記他のゲートウェイ装置に送信する送信手段と、として機能させるための通信用プログラムである。
ら送信されたパケットを受信する受信手段と、前記パケットの宛先アドレスが、前記他のゲートウェイ装置の管理下のネットワークに属する端末の代用アドレスである場合に、パケットの送信元アドレスに基づいて前記アドレス変換情報を参照することで、前記送信元端末の代用アドレスを特定する代用アドレス特定手段と、前記パケットの送信元アドレスを、前記送信元端末の実アドレスから、前記代用アドレス特定手段によって特定された代用アドレスに変換する変換手段と、前記変換手段によってアドレス変換されたパケットに、前記他のゲートウェイ装置へパケットを転送するための情報を付加することでカプセル化するカプセル化手段と、前記カプセル化手段によってカプセル化されたパケットを、前記他のゲートウェイ装置に送信する送信手段と、として機能させるための通信用プログラムである。
本発明によれば、拠点ネットワーク間でネットワークアドレスや端末のアドレスが共通すること等の事情がある場合にも、拠点ネットワークを容易に仮想プライベートネットワークに参加させることが可能となる。
<システムの構成>
以下、本発明に係るVPNシステムの実施の形態について、図面に基づいて説明する。なお、以下に説明する実施の形態は、本発明を実施する一例を示すものであって、本発明を以下に説明する具体的構成に限定するものではない。本発明を実施するにあたっては、実施の形態に応じた具体的構成が適宜採用されることが好ましい。
以下、本発明に係るVPNシステムの実施の形態について、図面に基づいて説明する。なお、以下に説明する実施の形態は、本発明を実施する一例を示すものであって、本発明を以下に説明する具体的構成に限定するものではない。本発明を実施するにあたっては、実施の形態に応じた具体的構成が適宜採用されることが好ましい。
図1は、本実施形態に係るVPNシステムの構成の概略を示す図である。本実施形態に係るVPNシステムは、複数のVPNゲートウェイ1a、1bと、管理サーバ3と、がインターネットを介して通信可能に接続されたシステムである。また、VPNゲートウェイのLAN(Local Area Network)ポートには、1または複数のプライベートネットワーク(LAN)が接続されている。これらのプライベートネットワークのデフォルトゲートウェイはVPNゲートウェイ1aまたは1bであり、プライベートネットワークに接続された端末2a、2bは、VPNゲートウェイ1aまたは1bを介して、VPNゲートウェイ1aまたは1bのWAN側ネットワークインターフェースに接続された外部ネットワークと通信可能となっている。なお、上記各装置間の接続形態は有線接続であるか無線接続であるかを問わない。また、本実施形態では、IPネットワークが用いられるが、装置間の通信に用いられる通信方式やプロトコルは、各装置間で必要な情報を送受信可能なものであればよく、IPに限定されない。VPNの方式に関しても、本発明は、IPSecに限らず様々な方式のVPNに採用することが可能である。
VPNゲートウェイ1a、1bは、自己のLAN側ネットワークインターフェースに接続されたプライベートネットワークから送信された、他のVPNゲートウェイ1a、1b
のLAN側ネットワークインターフェースに接続されたプライベートネットワーク宛のパケットを暗号化し、ヘッダや認証データ等を付す等してカプセリングすることで、複数のプライベートネットワーク間の通信を秘匿化し、仮想的なトンネルを構築する。このようにして複数のプライベートネットワーク間の通信がトンネリングされることで、VPNが構築される。
のLAN側ネットワークインターフェースに接続されたプライベートネットワーク宛のパケットを暗号化し、ヘッダや認証データ等を付す等してカプセリングすることで、複数のプライベートネットワーク間の通信を秘匿化し、仮想的なトンネルを構築する。このようにして複数のプライベートネットワーク間の通信がトンネリングされることで、VPNが構築される。
本実施形態では、ゲートウェイ1aのLAN側にネットワークアドレス192.168.0.0/24のプライベートネットワークが構築され、VPNゲートウェイ1bのLAN側にネットワークアドレス192.168.0.0/24のプライベートネットワークおよびネットワークアドレス192.168.1.0/24のプライベートネットワークが構築されている例を用いて、本発明に係るVPNシステムを説明する。即ち、本実施形態では、ゲートウェイ1aによって管理されるサイトG1と、ゲートウェイ1bによって管理されるサイトG2とにおいて、プライベートネットワークのネットワークアドレス192.168.0.0/24が重複している。また、サイトG1のネットワークアドレス192.168.0.0/24のプライベートネットワークに接続された、実IPアドレス192.168.0.10のユーザ端末2aと、サイトG2のネットワークアドレス192.168.0.0/24のプライベートネットワークに接続された、実IPアドレス192.168.0.10のサーバ端末2bとは、実IPアドレスが重複している。このため、従来の技術を用いたVPNでは、サイトG1のネットワークアドレス192.168.0.0/24のプライベートネットワークに接続された端末と、サイトG2のネットワークアドレス192.168.0.0/24のプライベートネットワークに接続された端末と、の間で通信を行うことは困難である。
図2は、本実施形態に係るVPNシステムのハードウェア構成の概略を示す図である。本実施形態に係る管理サーバ3、ゲートウェイ1a、1bおよび端末2a、2b等は、何れも、CPU(Central Processing Unit)、RAM(Rancom Access Memory)、ROM(Read Only Memory)、ネットワークインターフェースおよび記憶装置(ストレージ)を備える、情報処理装置(コンピュータ)である。ここで、ゲートウェイ1a、1bは、ネットワークインターフェースとして、プライベートネットワークが接続されるLAN側ネットワークインターフェース(LANポート)と、インターネット側へ接続されるWAN側ネットワークインターフェース(WANポート)と、を備える。なお、管理サーバ3、ゲートウェイ1a、1bおよび端末2a、2b等が備える記憶装置としては、例えば、EEPROM(Electrically Erasable Programmable ROM)やHDD(Hard Disk Drive)、SSD(Solid State Drive)等を用いることが出来る。
なお、ゲートウェイ1a、1bに設定されているデフォルトゲートウェイは、一般にはインターネットへの接続を提供するISP(Internet Service Provider)のルータである。即ち、ゲートウェイ1a、1bは、LAN側ネットワークインターフェースで受信したパケットのうち、VPNに送出されるパケット以外のパケットについては、原則としてISPのルータへ送信する。
図3は、本実施形態に係るVPNシステムの機能構成の概略を示す図である。ゲートウェイ1a、1bは、CPUが、RAMまたはROMに展開されたプログラムを実行して、RAM、ROM、ネットワークインターフェースおよび記憶装置等の各構成を制御することで、保持部11a、11b、送受信部12a、12b、アドレス特定部13a、13b、アドレス変換部14a、14b、VPN処理部15a、15bおよび通知部16a、16bを備えるゲートウェイ1a、1bとして機能する。また、管理サーバ3は、CPUが、RAMおよびROMに展開されたプログラムを実行して、RAM、ROM、ネットワー
クインターフェースおよび記憶装置等の各構成を制御することで、サイト情報受付部31、代用アドレス割当部32、アドレス変換情報管理部33、およびアドレス変換情報配信部34を備える管理サーバ3として機能する。
クインターフェースおよび記憶装置等の各構成を制御することで、サイト情報受付部31、代用アドレス割当部32、アドレス変換情報管理部33、およびアドレス変換情報配信部34を備える管理サーバ3として機能する。
保持部11a、11bは、ゲートウェイ1a、1bの管理下にある複数のプライベートネットワーク間で重複しないように設定された、代用アドレスと端末(ホスト名または実アドレス)との対応関係を特定可能なアドレス変換情報を保持する。ここで、本実施形態では、保持部11a、11bによって保持されるアドレス変換情報として、ホストテーブルおよびサイトテーブルが用いられる。ホストテーブルおよびサイトテーブルの詳細については、後述する。
送受信部12a、12bは、ゲートウェイ1a、1bの管理下のプライベートネットワーク、換言すれば、ゲートウェイ1a、1bのLAN側ネットワークインターフェースに接続されたネットワークに属する端末2a、2bとの間でパケットを送受信し、また、インターネットを介して接続された他のゲートウェイ1a、1bとの間で、カプセル化処理されたVPNパケットを送受信する。
アドレス特定部13a、13bは、保持部11a、11bによって保持されているアドレス変換情報を参照することで、送受信されるパケットの送信元または宛先に設定されている実アドレスまたは実ネットワークアドレスから、対応する代用アドレスまたは代用ネットワークアドレスを特定し、また、送受信されるパケットの送信元または宛先に設定されている代用アドレスまたは代用ネットワークアドレスから、対応する実アドレスまたは実ネットワークアドレスを特定する。更に、アドレス特定部13a、13bは、アドレス変換情報を参照することで、横取りしたDNSクエリに設定されているアドレス問い合わせの対象端末の代用アドレスを特定する。
アドレス変換部14a、14bは、アドレス特定部13a、13bによる特定の結果に従って、カプセリングされる前のアウトバウンドパケットの送信元アドレスを、送信元端末の実アドレスから代用アドレスに変換し、VPNパケットからデカプセリングされたインバウンドパケットの宛先アドレスを、前記宛先端末の代用アドレスから実アドレスに変換する。
VPN処理部15a、15bは、アドレス変換されたパケットに、他のゲートウェイ1a、1bへパケットを転送するための情報を付加することでカプセル化するカプセル化処理と、受信されたVPNパケット(カプセル化パケット)から、転送のための情報が付加される前のパケットを取り出すパケット取出処理と、を実行する。
送受信部12a、12bによって送受信されるパケットには、プライベートネットワークに属する端末2a、2bから送信された、DNSクエリも含まれ、アドレス特定部13a、13bは、アドレス変換情報を参照することで、横取りしたDNSクエリに設定されているアドレス問い合わせの対象端末の代用アドレスを特定する。通信部は、アドレス特定部13a、13bによって特定された代用アドレスを、DNSクエリに応じた名前解決の結果として、DNSクエリの送信元の端末2a、2bへ通知する。
<アドレス変換情報>
以下、本発明のアドレス変換情報に相当する情報として本実施形態において用いられる、ホストテーブルおよびサイトテーブルについて説明する。
以下、本発明のアドレス変換情報に相当する情報として本実施形態において用いられる、ホストテーブルおよびサイトテーブルについて説明する。
図4は、本実施形態に係るサイトテーブルの構成を示す図である。サイトテーブルは、各ゲートウェイ1a、1b配下のサイトに係る情報、具体的には、少なくともサイト名、
サイトに含まれるネットワークの実ネットワークアドレス、および代用ネットワークアドレスが記録されるテーブルである。サイトテーブルは、管理サーバ3のアドレス変換情報管理部33によって管理され、アドレス変換情報配信部34によって各ゲートウェイ1a、1bに配信される。
サイトに含まれるネットワークの実ネットワークアドレス、および代用ネットワークアドレスが記録されるテーブルである。サイトテーブルは、管理サーバ3のアドレス変換情報管理部33によって管理され、アドレス変換情報配信部34によって各ゲートウェイ1a、1bに配信される。
VPNシステムに属するゲートウェイ1a、1bは、自ゲートウェイの配下のネットワークの実ネットワークアドレスを、管理サーバ3にアップロードする。管理サーバ3のサイト情報受付部31は、ゲートウェイ1a、1bによって送信された、ゲートウェイ配下のネットワークに接続されたネットワークの実ネットワークアドレスを受信し、アドレス変換情報管理部33は、受信された情報をサイトテーブルに登録する。
また、この際、管理サーバ3の代用アドレス割当部32は、アップロードされた実ネットワークアドレスに対して、本発明に係るアドレス変換において用いられる代用ネットワークアドレスを、各ネットワーク間で重複しないように割り当てる。代用ネットワークアドレスは、VPN内において用いられるアドレスであるため、代用ネットワークアドレスには、プライベートアドレスが用いられる。なお、代用アドレス割当部32は、予め定められた規則や予め定められたリストに従って代用ネットワークアドレスを割り当ててもよいし、ランダムに生成された他の代用ネットワークアドレスと重複しない代用ネットワークアドレスを割り当ててもよい。アドレス変換情報配信部34は、各ゲートウェイ1a、1bに対して、割り当てられた代用アドレスを含むアドレス変換情報(サイトテーブルおよびホストテーブル)を配信する。
ここで、実ネットワークアドレスとは、アドレス変換される前の通常のネットワークアドレスであり、端末2a、2b自身が自端末のネットワークアドレスとして認識するアドレスである。また、実アドレスとは、アドレス変換される前の通常のアドレスであり、端末2a、2b自身が自端末のアドレスとして認識するアドレスである。VPNシステムにおける同一のサイトに属する端末同士であれば、実アドレスを用いて、アドレス変換を行わずに通信することが可能である。
代用アドレスとは、本発明に係るアドレス変換に用いられる、変換後のアドレスであり、VPNシステムにおける他のサイトに属する端末を通信対象とする場合に用いられるアドレスである。本実施形態では、アドレス変換の対象となる端末に代用アドレスを割り当てる際に、プライベートネットワーク毎に予め割り当てられた代用ネットワークアドレスと、アドレス変換の対象となる端末の実アドレスの下位ビット部分(例えば、ホスト部)とを組み合わせることで、アドレス変換に用いられる代用アドレスを作成することとしている。代用アドレスの作成に関する処理の詳細は後述する。
なお、本実施形態では、実ネットワークアドレスおよび対応する代用ネットワークアドレスを管理サーバ3に登録することで、アドレス変換における実アドレスと代用アドレスとの対応をとる方式を採用しているが、このような方式に代えて、端末2a、2b毎の実アドレスおよびこれに対応する代用アドレスを管理サーバ3に登録する方式が採用されてもよい。この場合、管理サーバの代用アドレス割当部32は、実ネットワークアドレスに対する代用ネットワークアドレスの割当に代えて、実アドレスに対して、各端末間で重複しないように代用アドレスを割り当てることとすることが出来る。
図5は、本実施形態に係るホストテーブルの構成を示す図である。ホストテーブルは、各ゲートウェイ1a、1b配下のホストに係る情報、具体的には、少なくともホスト名、ホストの実アドレス、およびホストの代用アドレスが記録されるテーブルである。ホストテーブルは、管理サーバ3によって管理され、各ゲートウェイ1a、1bに配信される。ここで、ホストテーブルに記録される代用アドレスは、代用アドレス割当部32によって
割り当てられた代用ネットワークアドレスを用いて特定された代用アドレス、または代用アドレス割当部32によって直接割り当てられた代用アドレスである。
割り当てられた代用ネットワークアドレスを用いて特定された代用アドレス、または代用アドレス割当部32によって直接割り当てられた代用アドレスである。
<処理の流れ>
図6は、本実施形態に係る名前解決処理の概要を示す図である。図6に示す例では、端末2aが、端末2bの所属サイトのサイト名(識別子)および実アドレス、または端末2bのホスト名を把握しているが、端末2bの代用アドレスを把握していない時点で、端末2aが端末2bに対する通信を開始しようとした場合の名前解決処理の流れを示している。なお、図6に示した例では、端末2bは、実アドレスが192.168.0.10、ホスト名が「server1」であり、サイト名「G2」のサイトに属している。
図6は、本実施形態に係る名前解決処理の概要を示す図である。図6に示す例では、端末2aが、端末2bの所属サイトのサイト名(識別子)および実アドレス、または端末2bのホスト名を把握しているが、端末2bの代用アドレスを把握していない時点で、端末2aが端末2bに対する通信を開始しようとした場合の名前解決処理の流れを示している。なお、図6に示した例では、端末2bは、実アドレスが192.168.0.10、ホスト名が「server1」であり、サイト名「G2」のサイトに属している。
端末は、記憶装置等に保持するアドレスのリストにアドレスがない通信対象との間で通信を開始しようとする場合、通信対象を名前解決対象として、DNSサーバ宛にDNSクエリを送信する。図6に示した名前解決処理の例では、端末2aによってDNSサーバ宛に端末2bの名前解決を求めるDNSクエリが送信されると、ゲートウェイ1aがDNSクエリを横取り(フック)し、DNSサーバに成り代わって端末2bの代用アドレスを端末2aへ通知する。端末2aは、ゲートウェイ1aから通知された代用アドレスを、名前解決の結果として受信し、以後、端末2bとの通信を行う際には、この名前解決の結果取得された代用アドレスを、端末2bのアドレスとして用いる。
本実施形態では、DNSクエリに含める名前解決対象の端末名称の記述方式として、名前解決対象の端末が属するサイト名および該端末の実IPアドレスを記載する方式(以下、「サイト指定方式」と称する)と、名前解決対象の端末のホスト名を記載する方式(以下、「ホスト名指定方式」と称する)と、が採用されている。
サイト指定方式では、名前解決対象の端末が、「(サイト名).(端末実IPアドレス)」の形式でDNSクエリに記述される。図6に示した例では、名前解決対象の端末2bはサイト名がG2のサイトに属しており、端末2bの実IPアドレスは192.168.0.10であるため、DNSクエリには、「G2.192.168.0.10」と記述される。
これに対して、ホスト名指定方式では、名前解決対象の端末が、「(ホスト名).(VPNシステム識別用サフィックス)」の形式でDNSクエリに記述される。図6に示した例では、名前解決対象の端末2bはホスト名が「server1」であり、VPNシステム識別用サフィックスが「evrika」であるため、DNSクエリには、「server1.evrika」と記述される。ここで、VPNシステム識別用サフィックスとは、ホスト名指定方式が採用される場合にホスト名が示す端末をインターネット上の他の端末と区別するために、VPNシステムに設定された識別用サフィックスである。なお、本実施形態では、VPNシステム識別用サフィックスが用いられるが、ホスト名をインターネット上の重複する他のホスト名と区別するための方法としては、プレフィックス等その他の方法が採用されてもよい。
また、サイト指定方式を採用する場合にも、DNSクエリの端末名称にVPNシステム識別用プレフィックス等を付して、名前解決対象の端末を「(VPNシステム識別用プレフィックス).(サイト名).(端末実IPアドレス)」等の形式でDNSクエリに記述することで、後述するステップS102のテーブル検索処理およびステップS103の判定処理等を省略し、対象となるDNSクエリであるか否かを判断する時間を節約することとしてもよい。
図7は、本実施形態における名前解決処理の流れを示すフローチャートである。本フロ
ーチャートに示された処理は、端末2aによってDNSサーバ宛に送信されたDNSクエリがゲートウェイ1aによって受信されたことを契機として実行される。なお、本フローチャートに示された処理の具体的な内容および順序等は、本発明を実施する上での一例である。具体的な処理内容および順序等は、実施の形態に応じて適宜選択されることが好ましい。
ーチャートに示された処理は、端末2aによってDNSサーバ宛に送信されたDNSクエリがゲートウェイ1aによって受信されたことを契機として実行される。なお、本フローチャートに示された処理の具体的な内容および順序等は、本発明を実施する上での一例である。具体的な処理内容および順序等は、実施の形態に応じて適宜選択されることが好ましい。
ステップS101では、端末2aによって送信された、外部DNSサーバ宛のDNSクエリが横取り(フック)される。送受信部12aは、端末2aによって送信されたDNSクエリを受信すると、このDNSクエリの宛先DNSサーバが自装置(ゲートウェイ)以外(例えば、外部のDNSサーバ)である場合であっても、宛先DNSサーバへのDNSクエリの転送を行わず、RAMまたは記憶装置に保持する。その後、処理はステップS102へ進む。
ステップS102およびS103では、ホストテーブルおよびサイトテーブルが参照され、横取りされたDNSクエリが、本発明に係るアドレス変換の対象となる端末に関するものであるか否かが判定される。アドレス特定部13aは、ステップS101で横取りしたDNSクエリに含まれる名前解決対象の文字列を解析し、この文字列が、ホストテーブルに登録されているホスト名およびVPNシステム識別用サフィックスの組み合わせを含むか否かを判定する。また、アドレス特定部13aは、ステップS101で横取りしたDNSクエリに含まれる名前解決対象の文字列を解析し、この文字列が、サイトテーブルに登録されているサイト名および実ネットワークアドレスの組み合わせを含むか否かを判定する。
具体的には、DNSクエリが本発明に係るアドレス変換の対象となる端末に関するものであるか否かは、DNSクエリに含まれる名前解決対象の文字列を分解することで作成された検索用文字列でテーブルを検索する方法や、テーブルに含まれるサイト名およびホスト名で名前解決対象の文字列を検索する方法等を用いて、判定することが出来る。DNSクエリに含まれる名前解決対象の文字列が、ホストテーブルに登録されているホスト名およびVPNシステム識別用サフィックスの組み合わせを含む場合、または、サイトテーブルに登録されているサイト名および実ネットワークアドレスの組み合わせを含む場合、横取りされたDNSクエリが、本発明に係るアドレス変換の対象となる端末に関するものであると判定することが出来る。DNSクエリが本発明に係るアドレス変換の対象となる端末に関するものであると判定された場合、処理はステップS106へ進む。DNSクエリが本発明に係るアドレス変換の対象となる端末に関するものではないと判定された場合、処理はステップS104へ進む。
ステップS104およびS105では、名前解決の問い合わせ代行、およびDNSクエリの送信元に対する名前解決結果の送信が行われる。ゲートウェイ1aは、宛先のDNSサーバに対して、ステップS101で横取りしたDNSクエリに基づく名前解決の問い合わせを代行する(ステップS104)。問い合わせの代行の結果、DNSサーバから名前解決対象のIPアドレスが取得されると、ゲートウェイ1aは、名前解決の結果を、DNSクエリの送信元端末2aに対して送信する(ステップS105)。即ち、ステップS104およびS105に示す処理では、VPNシステムの外部であるインターネット上のサーバ等を名前解決の対象とするDNSクエリが処理され、DNSクエリの送信元端末2aに名前解決の結果が送信される。
なお、本実施形態では、横取りしたDNSクエリが本発明に係るアドレス変換の対象となる端末に関するものではない場合、ゲートウェイ1aが名前解決の代行を行う方法が採用されているが、このような方法に代えて、横取りしたDNSクエリが本発明に係るアドレス変換の対象となる端末に関するものではない場合、一旦横取りしたDNSクエリをオ
リジナルの宛先にあるDNSサーバへ転送する方法、換言すれば、DNSクエリの横取りをキャンセルする方法が採用されてもよい。その後、本フローチャートに示された処理は終了する。
リジナルの宛先にあるDNSサーバへ転送する方法、換言すれば、DNSクエリの横取りをキャンセルする方法が採用されてもよい。その後、本フローチャートに示された処理は終了する。
ステップS106では、DNSクエリに含まれる名前解決対象の記述方式が判定される。上述の通り、本実施形態では、DNSクエリに含まれる名前解決対象の記述方式として、サイト指定方式またはホスト名指定方式が用いられる。アドレス特定部13aは、ステップS102およびS103における処理の結果を受けて、横取りしたDNSクエリがサイト指定方式で記述されたものかホスト名指定方式で記述されたものかを判定する。横取りしたDNSクエリがサイト指定方式で記述されたものである場合、処理はステップS107へ進む。DNSクエリがホスト名指定方式で記述されたものである場合、処理はステップS110へ進む。
ステップS107からS109では、サイト指定方式で指定された名前解決対象の代用アドレスが取得(特定)される。アドレス特定部13aは、DNSクエリから抽出されたサイト名および実IPアドレスを用いてサイトテーブルを検索することで、名前解決対象の代用ネットワークアドレスを特定する(ステップS107)。ここで、実IPアドレスに対応するレコードは、実ネットワークアドレスのネットワーク部と実IPアドレスとを比較することで特定することが出来る。例えば、DNSクエリから抽出されたサイト名が「G2」であり、実IPアドレスが「192.168.0.10」である場合、図4に示したサイトテーブルから、サイト名「G2」および実ネットワークアドレス「192.168.0.0/24」を含むレコードが特定され、代用ネットワークアドレス「10.0.1.0/24」が特定される。
代用ネットワークアドレスが特定されると、アドレス特定部13aは、名前解決対象の実IPアドレスから、代用IPアドレスで用いるためのホストアドレス(ホスト部)を特定する(ステップS108)。代用アドレスで用いられるホスト部は、名前解決対象の実IPアドレスから、ステップS107で特定された代用ネットワークアドレスのネットワーク部に相当するビットを除くことで特定することが出来る。例えば、名前解決対象の実IPアドレスが「192.168.0.10」であり、代用ネットワークアドレスのネットワーク部が24ビットである場合、代用アドレスで用いられるホスト部は、実IPアドレスから上位24ビットを除いた「10」となる。
ステップS107およびS108に示した処理において、代用IPアドレスの代用ネットワークアドレス(ステップS107を参照)および代用IPアドレスのホスト部(ステップS108を参照)が取得される。これを受けて、アドレス特定部13aは、ステップS107で得られた代用ネットワークアドレスと、およびS108で得られたホスト部とを組み合わせることで、名前解決対象の代用アドレスを取得する(ステップS109)。例えば、代用ネットワークアドレスが「10.0.1.0/24」であり、ホスト部が「10」である場合、代用IPアドレス「10.0.1.10」が取得(特定)される。その後、処理はステップS111へ進む。
ステップS110では、ホスト名指定方式で指定された名前解決対象の代用アドレスが取得(特定)される。アドレス特定部13aは、DNSクエリから抽出されたホスト名を用いてホストテーブルを検索することで、名前解決対象の代用ネットワークアドレスを取得する(ステップS110)。例えば、DNSクエリから抽出されたホスト名が「server1」である場合、図5に示したホストテーブルから、ホスト名「server1」を含むレコードが特定され、代用ネットワークアドレス「10.0.1.0/24」が取得(特定)される。その後、処理はステップS111へ進む。
ステップS111では、代用アドレスが端末2aへ送信される。通知部16aは、横取りしたDNSクエリに応じた名前解決の結果として、DNSクエリの送信元である端末2aに対して、代用IPアドレスを送信する。その後、本フローチャートに示された処理は終了する。
上記説明した名前解決処理によって、通信を開始しようとする端末2aは、通信したい相手方端末2bであって、他のサイトに属する相手方端末2bの代用アドレスを取得することが出来る。
なお、本実施形態では、端末が外部DNSサーバを直接利用するサイトにおいて本発明を採用する場合の処理の流れについて説明した。但し、DNSサーバとして内部DNSサーバを利用するネットワーク構成が採用されたサイトにおいても、上記説明した名前解決処理と概略同様の処理を適用することが出来る。具体的には、内部のDNSサーバで名前解決が完了しなかった(レコードにヒットしなかった)場合に、ゲートウェイは、内部DNSサーバが外部DNSサーバへ行う代行問い合わせをフックし、代用アドレスを内部DNSサーバへ通知することで、通信を開始しようとする端末に、他のサイトに属する相手方端末の代用アドレスを取得させることが出来る。
通信を開始しようとする端末2aは、相手方端末2bの代用アドレスを取得すると、実際の通信のためのパケットを、パケットの送信先に相手方端末2bの代用アドレスを設定して送信する。次に、端末2a、2b間の実際の通信に際して実行される、本実施形態に係るアドレス変換処理を説明する。
図8は、本実施形態に係るアドレス変換処理の概要を示す図である。図8に示す例では、端末2aが、図6および図7に示した名前解決処理等によって端末2bの代用アドレスを取得した後、端末2bに対する通信を開始した場合のアドレス変換処理の流れを示している。なお、図8に示した例では、端末2aは、実アドレスが192.168.0.10、代用ネットワークアドレスが10.0.0.0/24であり、サイト名G1のサイトに属している。また、端末2bは、実アドレスが端末2aと重複する192.168.0.10であり、代用ネットワークアドレスが10.0.1.0/24であり、サイト名G2のサイトに属している。
通信相手が送信元と同一のサイトに属する端末である場合や、インターネット上の端末である場合には、送信元IPアドレスには送信元端末2aの実IPアドレスが設定され、宛先IPアドレスには宛先端末の実IPアドレスが設定される。また、通信相手がインターネット上の端末である場合には、ゲートウェイ1a、1bでは、従来と同様のNAT/NAPTが実行される。これに対して、通信相手がVPNシステム内の端末2bである場合、送信元IPアドレスには送信元端末2aの実IPアドレスが設定され、宛先IPアドレスには代用IPアドレスが設定され、ゲートウェイ1a、1bでは、本発明に係るアドレス変換処理が実行される。
図9は、本実施形態におけるアドレス変換処理の流れを示すフローチャートである。本フローチャートに示された処理は、端末2aからパケットが送信されたことを契機として実行される。なお、本フローチャートに示された処理の具体的な内容および順序等は、本発明を実施する上での一例である。具体的な処理内容および順序等は、実施の形態に応じて適宜選択されることが好ましい。
ステップS201およびS202では、送信元端末2aと、この送信元端末2aのデフォルトゲートウェイであるゲートウェイ1aとの間でパケットが送受信される。送信元端末2aは、送信元(即ち、自装置)のIPアドレスおよび宛先のIPアドレスを含むIP
ヘッダを送信したいデータに付したパケットを送信する(ステップS201)。図9に示した例では、通信相手の端末2bはVPNシステムにおける他のサイトG2に属する端末であるため、端末2bの代用アドレス「10.0.1.10」が、宛先IPアドレスとして設定される。ここで設定される代用アドレスは、図6および図7に示した名前解決処理等によって取得されたか、予め保持していたものが用いられる。なお、送信元IPアドレスには、端末2aの実アドレス「192.168.0.10」が設定される。この場合、宛先IPアドレスは送信元端末2aが属するサブネットの外部にある端末であるため、送信元端末2aは、パケットをデフォルトゲートウェイであるゲートウェイ1aへ送信する。
ヘッダを送信したいデータに付したパケットを送信する(ステップS201)。図9に示した例では、通信相手の端末2bはVPNシステムにおける他のサイトG2に属する端末であるため、端末2bの代用アドレス「10.0.1.10」が、宛先IPアドレスとして設定される。ここで設定される代用アドレスは、図6および図7に示した名前解決処理等によって取得されたか、予め保持していたものが用いられる。なお、送信元IPアドレスには、端末2aの実アドレス「192.168.0.10」が設定される。この場合、宛先IPアドレスは送信元端末2aが属するサブネットの外部にある端末であるため、送信元端末2aは、パケットをデフォルトゲートウェイであるゲートウェイ1aへ送信する。
ゲートウェイ1aの送受信部12aは、送信されたパケットを受信する(ステップS202)。その後、処理はステップS203へ進む。ステップS202からS29に示す処理は、通信の送信元側ゲートウェイ(図面に示す例では、ゲートウェイ1a)によって実行される処理である。
ステップS203およびS204では、ルーティングテーブルが参照され、本発明に係るアドレス変換の要否が判定される。アドレス特定部13aは、ステップS202で受信されたパケットの宛先IPアドレス等に基づいてルーティングテーブルを参照し(ステップS203)、VPNの対象であるか否か、即ち本発明に係るアドレス変換の対象となるパケットであるか否か、を判定する(ステップS204)。判定の結果、VPNの対象ではないと判定された場合、処理はステップS205へ進む。判定の結果、VPNの対象であると判定された場合、処理はステップS206へ進む。
ステップS205では、従前のパケット転送処理が行われる。ゲートウェイ1aは、送信元IPアドレスをグローバルIPアドレスへ変換し、送信元ポート番号を変換する従前のNAT/NAPTを行い、ISPのルータ等へパケットを転送する。その後、本フローチャートに示された処理は終了する。
ステップS206およびS207では、送信元の代用ネットワークアドレスが特定され、本発明に係るアドレス変換が行われる。アドレス特定部13aは、受信パケットの送信元端末2aが属するサイト(即ち、送信元側ゲートウェイ自身のサイト)のサイト名および送信元ネットワークアドレスを用いてサイトテーブルを検索することで、送信元端末2aの代用ネットワークアドレスを特定する(ステップS206)。そして、アドレス特定部13aは、ネットワーク部にステップS206で特定された代用ネットワークアドレスを採用し、ホスト部に送信元端末2aの実IPアドレスを採用した代用アドレスを作成し、アドレス変換部14aは、作成された代用アドレスで受信パケットのIPヘッダの送信元アドレスを変換する(ステップS207)。
本実施形態に係る図面に示した例では、送信元端末が端末2aである場合、端末2aはサイト名G1のサイトに属し、送信元の代用ネットワークアドレスは10.0.0.0/24であり、送信元の実アドレスは192.168.0.10である。このため、アドレス特定部13aは、ネットワーク部に代用ネットワークアドレス10.0.0.0/24を、ホスト部に送信元端末2aの実IPアドレス192.168.0.10を採用した代用アドレス10.0.0.10を作成し、アドレス変換部14aは、IPヘッダの送信元アドレスを変換する。その後、処理はステップS208へ進む。
ステップS208およびS209では、パケットにVPN処理が施され、VPNパケットが送信される。VPN処理部15aは、アドレス変換されたパケットを暗号化し、ヘッダや認証データ等を付す等してカプセリングする(ステップS208)。但し、VPN処理の具体的な内容は、採用されるVPNの方式に応じて異なる。例えば、暗号化が行われ
ないVPNや、認証データの付加が行われないVPNが採用されてもよい。
ないVPNや、認証データの付加が行われないVPNが採用されてもよい。
採用されるVPNが、パケットにIPヘッダを追加する方式のVPNである場合、追加されるIPヘッダの送信元アドレスには送信元側のゲートウェイ1aのグローバルIPアドレスが、宛先アドレスには宛先側のゲートウェイ1bのグローバルIPアドレスが、設定される。即ち、本実施形態に係る図面に示した例では、VPN処理において追加されるIPヘッダの送信元アドレスにはゲートウェイ1aのグローバルIPアドレスが、宛先アドレスにはゲートウェイ1bのグローバルIPアドレスが、設定される。
パケットにVPN処理が施されると、送受信部12aは、VPNパケットを相手側のゲートウェイ1bへ送信する(ステップS209)。その後、処理はステップS210へ進む。ステップS210からS214に示す処理は、通信の宛先側ゲートウェイ(図面に示す例では、ゲートウェイ1b)によって実行される処理である。
ステップS210およびS211では、VPNパケットが受信され、パケットに施されたVPNが解除される。VPN処理部15bは、受信されたVPNパケットから、ステップS208において追加されたIPヘッダを削除し、必要であれば復号や認証等を行う等して、カプセリングを解除(デカプセリング)する(ステップS210)。その後、処理はステップS212へ進む。
ステップS212およびS213では、宛先の実ネットワークアドレスが特定され、本発明に係るアドレス変換が行われる。アドレス特定部13bは、受信パケットの宛先端末2bが属するサイト(即ち、宛先側ゲートウェイ1b自身のサイト)のサイト名および宛先ネットワークアドレスを用いてサイトテーブルを検索することで、宛先端末2bの実ネットワークアドレスを特定する(ステップS212)。なお、ここで宛先ネットワークアドレスは、ステップS201において設定された代用アドレスのネットワークアドレスである。そして、アドレス特定部13bは、ネットワーク部にステップS212で特定された実ネットワークアドレスを採用し、ホスト部に宛先端末2bの実IPアドレスを採用した実アドレスを作成し、アドレス変換部14bは、作成された実アドレスでデカプセリングされた受信パケットのIPヘッダの宛先アドレスを変換する(ステップS213)。なお、ステップS213では、アドレス変換に伴って、IPヘッダのチェックサム、および必要であればTCP(Transmission Control Protocol)やUDP(User Datagram Protocol)等の上位プロトコルのチェックサムについても再計算され、変換される。ここで、上位プロトコルのチェックサム算出にあたって擬似ヘッダが用いられる場合には、送信元IPアドレスに送信元端末2aの代用IPアドレスを、宛先IPアドレスに宛先端末2bの実IPアドレスを用いた擬似ヘッダが作成され、チェックサムが再計算される。
本実施形態に係る図面に示した例では、宛先端末が端末2bである場合、端末2bはサイト名G2のサイトに属し、宛先の実ネットワークアドレスは192.168.0.0/24であり、宛先の代用アドレスは10.0.1.10である。このため、アドレス特定部13bは、ネットワーク部に実ネットワークアドレス192.168.0.0/24を、ホスト部に宛先端末2bの代用IPアドレス10.0.1.10を採用した実アドレス192.168.0.10を作成し、アドレス変換部14bは、IPヘッダの宛先アドレスを変換する。その後、処理はステップS214へ進む。
ステップS214およびS215では、ゲートウェイ1bと宛先端末2bとの間でパケットが送受信される。ゲートウェイ1bは、ステップS213におけるアドレス変換が施されたパケットを、宛先端末2bへ送信する(ステップS214)。ここで送信されるパケットは、ステップS213におけるアドレス変換の結果、宛先アドレスが宛先端末2b
の実IPアドレスとなっているため、送信されるパケットは、ゲートウェイ1b配下のプライベートネットワークにおいて適切にアドレス解決され、転送される。宛先端末2bは、送信されたパケットを受信する(ステップS215)。その後、本フローチャートに示された処理は終了する。
の実IPアドレスとなっているため、送信されるパケットは、ゲートウェイ1b配下のプライベートネットワークにおいて適切にアドレス解決され、転送される。宛先端末2bは、送信されたパケットを受信する(ステップS215)。その後、本フローチャートに示された処理は終了する。
宛先端末2bによって受信されたパケットの送信元アドレスは、ステップS207におけるアドレス変換の結果、送信元端末2aの代用アドレスとなっている。このため、宛先端末2bは、送信元端末2aに対して応答パケット等を送信する場合に、実アドレスと代用アドレスとの関係を特に意識することなく、送信元端末2aの代用アドレスを宛先アドレスとしてパケットを送信することが出来る。宛先端末2bが新たな送信元端末2bとなって送信する応答パケット等の送信についても、宛先と送信元との立場が逆転するのみであり、図9を用いて説明した通りである。
また、本実施形態では、VPN対象となるパケットにつき、本発明に係るアドレス変換を一律で行うこととして説明を行ったが、VPN対象となるパケットであっても、異なるサイトに属する送信元と宛先との間で実IPアドレスが重複しないと判断できる場合には、本発明に係るアドレス変換を行わずに、実IPアドレスを用いて通信することとしてもよい。この場合、ゲートウェイ1a、1bは、本発明に係るアドレス変換を行わずに、VPN処理のみ施して、サイト間でパケットを転送する。また、ゲートウェイ1a、1bにおける、実アドレスが重複しない場合のアドレス変換の要否(換言すれば、重複する実アドレスの存否)の自動判定の有効化/無効化は、設定により変更可能としてもよい。
なお、本実施形態では、IPヘッダのみを本発明に係るアドレス変換の対象として説明したが、必要であれば、代用アドレスを用いた本発明に係るアドレス変換は、FTP(File Transfer Protocol)等の、パケットのペイロードに含まれる実アドレスの変換に用いられてもよい。
本実施形態に係るVPNシステムによれば、拠点ネットワーク間でネットワークアドレスや端末2a、2bのアドレスが共通すること等の事情がある場合にも、拠点ネットワークを容易にVPNに参加させることが可能となる。より具体的には、本実施形態に係るVPNシステムによれば、従来NAT/NAPTを超えることが出来なかった通信であっても、ゲートウェイを超えることが可能となるため、異なるプライベートアドレス体系を採用した複数の拠点ネットワークを、単一のクラウドに参加させることが可能となる。このクラウドは、グローバルIPアドレスを用いて構成されているインターネットとは別のネットワーク空間をユーザに提供するものであり、従来のNAPTおよびHTTPSを用いて顧客端末をネットワーク上に構築されたコンシューマクラウドとは異なる、企業向けに適したネットワークインフラをユーザに提供することが可能となる。また、本発明をIPネットワークに適用する場合には、IPv4を用いて企業クラウドにVPNを提供することが可能となるため、IPv6に対応していない端末を含むネットワークであっても、容易にVPNに参加させることが出来る。
1a、1b VPNゲートウェイ
2a ユーザ端末
2b サーバ端末
3 管理サーバ
11a、11b 保持部
12a、12b 送受信部
13a、13b アドレス特定部
14a、14b アドレス変換部
15a、15b VPN処理部
16a、16b 通知部
31 サイト情報受付部
32 代用アドレス割当部
33 アドレス変換情報管理部
34 アドレス変換情報配信部
2a ユーザ端末
2b サーバ端末
3 管理サーバ
11a、11b 保持部
12a、12b 送受信部
13a、13b アドレス特定部
14a、14b アドレス変換部
15a、15b VPN処理部
16a、16b 通知部
31 サイト情報受付部
32 代用アドレス割当部
33 アドレス変換情報管理部
34 アドレス変換情報配信部
Claims (11)
- 管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置であって、
複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持手段と、
前記管理下のネットワークに属する送信元端末から送信されたパケットを受信する受信手段と、
前記パケットの宛先アドレスが、前記他のゲートウェイ装置の管理下のネットワークに属する端末の代用アドレスである場合に、パケットの送信元アドレスに基づいて前記アドレス変換情報を参照することで、前記送信元端末の代用アドレスを特定する代用アドレス特定手段と、
前記パケットの送信元アドレスを、前記送信元端末の実アドレスから、前記代用アドレス特定手段によって特定された代用アドレスに変換する変換手段と、
前記変換手段によってアドレス変換されたパケットに、前記他のゲートウェイ装置へパケットを転送するための情報を付加することでカプセル化するカプセル化手段と、
前記カプセル化手段によってカプセル化されたパケットを、前記他のゲートウェイ装置に送信する送信手段と、
を備えるゲートウェイ装置。 - 前記保持手段は、実ネットワークアドレスと代用ネットワークアドレスとの対応関係が記録されたテーブルを含むアドレス変換情報を保持し、
前記代用アドレス特定手段は、前記テーブルを参照することで、前記送信元端末の代用アドレスを特定する、
請求項1に記載のゲートウェイ装置。 - 前記受信手段は、管理下のネットワークに属する端末から送信された、通信したい相手方端末のアドレスの問い合わせパケットを受信し、
前記問い合わせパケットに係るアドレス問い合わせの対象端末が、他のゲートウェイ装置の管理下のネットワークに属する端末である場合に、前記アドレス変換情報を参照することで、該対象端末の代用アドレスを特定する問い合わせアドレス特定手段と、
前記問い合わせアドレス特定手段によって特定された代用アドレスを、アドレス問い合わせの結果として、前記アドレス問い合わせパケットの送信元の端末へ通知する通知手段と、
を更に備える、請求項1または2に記載のゲートウェイ装置。 - 管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置であって、
複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持手段と、
他のゲートウェイ装置から送信された、宛先アドレスが管理下のネットワークに属する端末の代用アドレスであり、転送のための情報が付加されたカプセル化パケットを受信する受信手段と、
前記受信手段によって受信されたカプセル化パケットから、転送のための情報が付加される前のパケットを取り出すパケット取出手段と、
前記パケット取出手段によって取り出されたパケットの宛先アドレスに設定されている宛先端末の代用アドレスに基づいて前記アドレス変換情報を参照することで、該宛先端末の実アドレスを特定する実アドレス特定手段と、
前記取り出されたパケットの宛先アドレスを、前記宛先端末の代用アドレスから、前記実アドレス特定手段によって特定された実アドレスに変換する変換手段と、
前記変換手段によってアドレス変換されたパケットを前記管理下のネットワークに送信する送信手段と、
を備えるゲートウェイ装置。 - 前記保持手段は、実ネットワークアドレスと代用ネットワークアドレスとの対応関係が記録されたテーブルを含むアドレス変換情報を保持し、
前記実アドレス特定手段は、前記テーブルを参照することで、前記宛先端末の実アドレスを特定する、
請求項4に記載のゲートウェイ装置。 - 管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置としてのコンピュータが、
複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持ステップと、
前記管理下のネットワークに属する送信元端末から送信されたパケットを受信する受信ステップと、
前記パケットの宛先アドレスが、前記他のゲートウェイ装置の管理下のネットワークに属する端末の代用アドレスである場合に、パケットの送信元アドレスに基づいて前記アドレス変換情報を参照することで、前記送信元端末の代用アドレスを特定する代用アドレス特定ステップと、
前記パケットの送信元アドレスを、前記送信元端末の実アドレスから、前記代用アドレス特定ステップにおいて特定された代用アドレスに変換する変換ステップと、
前記変換ステップにおいてアドレス変換されたパケットに、前記他のゲートウェイ装置へパケットを転送するための情報を付加することでカプセル化するカプセル化ステップと、
前記カプセル化ステップにおいてカプセル化されたパケットを、前記他のゲートウェイ装置に送信する送信ステップと、
を実行する通信方法。 - 前記受信ステップでは、管理下のネットワークに属する端末から送信された、通信したい相手方端末のアドレスの問い合わせパケットを受信し、
前記コンピュータが、
前記問い合わせパケットに係るアドレス問い合わせの対象端末が、他のゲートウェイ装置の管理下のネットワークに属する端末である場合に、前記アドレス変換情報を参照することで、該対象端末の代用アドレスを特定する問い合わせアドレス特定ステップと、
前記問い合わせアドレス特定ステップにおいて特定された代用アドレスを、アドレス問い合わせの結果として、前記アドレス問い合わせパケットの送信元の端末へ通知する通知ステップと、
を更に実行する、請求項6に記載の通信方法。 - 管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置としてのコンピュータが、
複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持ステップと、
他のゲートウェイ装置から送信された、宛先アドレスが管理下のネットワークに属する端末の代用アドレスであり、転送のための情報が付加されたカプセル化パケットを受信す
る受信ステップと、
前記受信ステップにおいて受信されたカプセル化パケットから、転送のための情報が付加される前のパケットを取り出すパケット取出ステップと、
前記パケット取出ステップにおいて取り出されたパケットの宛先アドレスに設定されている宛先端末の代用アドレスに基づいて前記アドレス変換情報を参照することで、該宛先端末の実アドレスを特定する実アドレス特定ステップと、
前記取り出されたパケットの宛先アドレスを、前記宛先端末の代用アドレスから、前記実アドレス特定ステップにおいて特定された実アドレスに変換する変換ステップと、
前記変換ステップにおいてアドレス変換されたパケットを前記管理下のネットワークに送信する送信ステップと、
を実行する通信方法。 - 管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置としてのコンピュータを、
複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持手段と、
前記管理下のネットワークに属する送信元端末から送信されたパケットを受信する受信手段と、
前記パケットの宛先アドレスが、前記他のゲートウェイ装置の管理下のネットワークに属する端末の代用アドレスである場合に、パケットの送信元アドレスに基づいて前記アドレス変換情報を参照することで、前記送信元端末の代用アドレスを特定する代用アドレス特定手段と、
前記パケットの送信元アドレスを、前記送信元端末の実アドレスから、前記代用アドレス特定手段によって特定された代用アドレスに変換する変換手段と、
前記変換手段によってアドレス変換されたパケットに、前記他のゲートウェイ装置へパケットを転送するための情報を付加することでカプセル化するカプセル化手段と、
前記カプセル化手段によってカプセル化されたパケットを、前記他のゲートウェイ装置に送信する送信手段と、
として機能させるための通信用プログラム。 - 前記受信手段は、管理下のネットワークに属する端末から送信された、通信したい相手方端末のアドレスの問い合わせパケットを受信し、
前記コンピュータを、
前記問い合わせパケットに係るアドレス問い合わせの対象端末が、他のゲートウェイ装置の管理下のネットワークに属する端末である場合に、前記アドレス変換情報を参照することで、該対象端末の代用アドレスを特定する問い合わせアドレス特定手段と、
前記問い合わせアドレス特定手段によって特定された代用アドレスを、アドレス問い合わせの結果として、前記アドレス問い合わせパケットの送信元の端末へ通知する通知手段と、
として更に機能させるための、請求項9に記載の通信用プログラム。 - 管理下のネットワークと、他のゲートウェイ装置の管理下のネットワークとの間の通信を仲介するゲートウェイ装置としてのコンピュータを、
複数のゲートウェイ装置の管理下にある複数のネットワーク間で重複しないように設定された、端末の代用アドレスと該端末との対応関係を特定可能なアドレス変換情報を保持する保持手段と、
他のゲートウェイ装置から送信された、宛先アドレスが管理下のネットワークに属する端末の代用アドレスであり、転送のための情報が付加されたカプセル化パケットを受信する受信手段と、
前記受信手段によって受信されたカプセル化パケットから、転送のための情報が付加される前のパケットを取り出すパケット取出手段と、
前記パケット取出手段によって取り出されたパケットの宛先アドレスに設定されている宛先端末の代用アドレスに基づいて前記アドレス変換情報を参照することで、該宛先端末の実アドレスを特定する実アドレス特定手段と、
前記取り出されたパケットの宛先アドレスを、前記宛先端末の代用アドレスから、前記実アドレス特定手段によって特定された実アドレスに変換する変換手段と、
前記変換手段によってアドレス変換されたパケットを前記管理下のネットワークに送信する送信手段と、
として機能させるための通信用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010054668A JP2011188448A (ja) | 2010-03-11 | 2010-03-11 | ゲートウェイ装置、通信方法および通信用プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010054668A JP2011188448A (ja) | 2010-03-11 | 2010-03-11 | ゲートウェイ装置、通信方法および通信用プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011188448A true JP2011188448A (ja) | 2011-09-22 |
Family
ID=44794151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010054668A Pending JP2011188448A (ja) | 2010-03-11 | 2010-03-11 | ゲートウェイ装置、通信方法および通信用プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011188448A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013247678A (ja) * | 2012-05-23 | 2013-12-09 | Gemtec Technology Co Ltd | ルーティング装置 |
| WO2014188551A1 (ja) * | 2013-05-23 | 2014-11-27 | 三菱電機株式会社 | 中継装置及び通信方式選択方法及びプログラム |
| WO2015092876A1 (ja) * | 2013-12-18 | 2015-06-25 | 株式会社 日立製作所 | 接続管理システム、接続管理方法、および接続管理装置 |
| WO2016013118A1 (ja) * | 2014-07-25 | 2016-01-28 | 株式会社 日立製作所 | 中継装置、ネットワークシステム、及びネットワークシステムの制御方法 |
| JP2016507968A (ja) * | 2013-01-02 | 2016-03-10 | アクセレレイション システムズ,リミティド ライアビリティ カンパニー | ReNAT通信環境を提供するシステム及び方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008301024A (ja) * | 2007-05-30 | 2008-12-11 | Fuji Xerox Co Ltd | 仮想ネットワーク接続システム及び装置 |
-
2010
- 2010-03-11 JP JP2010054668A patent/JP2011188448A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008301024A (ja) * | 2007-05-30 | 2008-12-11 | Fuji Xerox Co Ltd | 仮想ネットワーク接続システム及び装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013247678A (ja) * | 2012-05-23 | 2013-12-09 | Gemtec Technology Co Ltd | ルーティング装置 |
| US9130884B2 (en) | 2012-05-23 | 2015-09-08 | Gemtek Technology Co., Ltd. | Routing device |
| JP2016507968A (ja) * | 2013-01-02 | 2016-03-10 | アクセレレイション システムズ,リミティド ライアビリティ カンパニー | ReNAT通信環境を提供するシステム及び方法 |
| WO2014188551A1 (ja) * | 2013-05-23 | 2014-11-27 | 三菱電機株式会社 | 中継装置及び通信方式選択方法及びプログラム |
| JP5901851B2 (ja) * | 2013-05-23 | 2016-04-13 | 三菱電機株式会社 | 中継装置及び通信方式選択方法及びプログラム |
| KR101880346B1 (ko) * | 2013-05-23 | 2018-07-19 | 미쓰비시덴키 가부시키가이샤 | 중계 장치 및 통신 방식 선택 방법 및 프로그램을 기억한 기억 매체 |
| WO2015092876A1 (ja) * | 2013-12-18 | 2015-06-25 | 株式会社 日立製作所 | 接続管理システム、接続管理方法、および接続管理装置 |
| WO2016013118A1 (ja) * | 2014-07-25 | 2016-01-28 | 株式会社 日立製作所 | 中継装置、ネットワークシステム、及びネットワークシステムの制御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4708376B2 (ja) | プライベートネットワークへのアクセスを安全にする方法およびシステム | |
| JP4327142B2 (ja) | 情報処理システム、トンネル通信装置、トンネル通信方法、代理応答装置、及び代理応答方法 | |
| JP4816572B2 (ja) | 仮想ネットワーク接続システム及び装置 | |
| JP2009111437A (ja) | ネットワークシステム | |
| JP2008521305A (ja) | IPv6パケットをトンネリングする方法、システム、及びコンピュータ・プログラム | |
| JP2003273935A (ja) | 相異なるプライベートネットワークに存在するネットワーク機器間の直接接続を提供するネットワーク接続装置及びその方法 | |
| CN107948150B (zh) | 报文转发方法及装置 | |
| KR101880346B1 (ko) | 중계 장치 및 통신 방식 선택 방법 및 프로그램을 기억한 기억 매체 | |
| CN107306198B (zh) | 报文转发方法、设备和系统 | |
| CN114556868B (zh) | 虚拟专用网络vpn客户端的专用子网络 | |
| JP2011188448A (ja) | ゲートウェイ装置、通信方法および通信用プログラム | |
| JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| JP2004328029A (ja) | ネットワークアクセスシステム | |
| US9680792B2 (en) | ReNAT systems and methods | |
| AU2021269297A1 (en) | Systems and methods for providing a ReNAT communications environment | |
| JP3935823B2 (ja) | Httpセッション・トンネリング・システム、その方法、及びそのプログラム | |
| JP5131118B2 (ja) | 通信システム、管理装置、中継装置、及びプログラム | |
| JP2008079059A (ja) | IPsecの複数セッションを処理する通信装置及びその処理方法 | |
| JP2009218926A (ja) | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 | |
| JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
| JP5158021B2 (ja) | トンネル通信装置及び方法 | |
| JP2005065204A (ja) | パーソナルipシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130218 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130725 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130821 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130821 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140311 |