JP2013141060A - Relay server and relay communication system - Google Patents
Relay server and relay communication system Download PDFInfo
- Publication number
- JP2013141060A JP2013141060A JP2011289541A JP2011289541A JP2013141060A JP 2013141060 A JP2013141060 A JP 2013141060A JP 2011289541 A JP2011289541 A JP 2011289541A JP 2011289541 A JP2011289541 A JP 2011289541A JP 2013141060 A JP2013141060 A JP 2013141060A
- Authority
- JP
- Japan
- Prior art keywords
- address
- relay server
- routing
- routing target
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y02P70/54—
Abstract
Description
本発明は、主として、異なるLAN(Local Area Network)に接続されている機器間の通信を可能とする中継サーバに関する。 The present invention mainly relates to a relay server that enables communication between devices connected to different LANs (Local Area Networks).
従来から、物理的に離れた場所に設置されたLAN同士で通信を行う仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている。特許文献1に示す例では、物理的に離れた位置に設置された複数のLANのそれぞれに中継サーバ及び通信端末等が接続されている。通信端末は、このVPNを利用して、他のLANに接続された通信端末へパケットを送信することができる。具体的には、通信端末が送信するパケットは、初めに同一LAN内の中継サーバへ送られる。この中継サーバは、インターネットを介して、宛先の通信端末と同一のLAN内の中継サーバへパケットを送信(転送)する。そして、このパケットを受信した中継サーバは、宛先の通信端末へパケットを送信(転送)する。
2. Description of the Related Art Conventionally, a communication technique called a virtual private network (VPN) that performs communication between LANs installed at physically separated locations is known. In the example shown in
このVPNを利用することにより、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。 By using this VPN, other remote LANs can be used as if they were directly connected networks.
ところで、この種のシステムにおいては、LANに接続された端末のプライベートIPアドレス(以下、単にアドレスと称することがある)を用いて端末同士の通信を行っている。従って、VPNを利用した通信を行う場合、自分のLANに設定されたアドレスを相手側のLANへ送信する必要がある。 By the way, in this type of system, terminals communicate with each other using private IP addresses of terminals connected to the LAN (hereinafter sometimes simply referred to as addresses). Therefore, when performing communication using VPN, it is necessary to transmit the address set in its own LAN to the LAN on the other side.
この点、例えば同一企業同士でVPNを構築する場合、相手にIPアドレスを知られても問題にはなりにくい。しかし、異なる企業同士でVPNを構築する場合、セキュリティ上の観点から、相手にIPアドレスを知られることは好ましくない。 In this regard, for example, when a VPN is constructed between the same companies, even if the other party knows the IP address, it is unlikely to be a problem. However, when a VPN is constructed between different companies, it is not preferable that the IP address is known to the other party from the viewpoint of security.
そこで、本願発明者らは、上記の点を考慮して、仮想アドレスを利用してVPNによる通信を行う構成を開発した。しかし、この構成は、通信端末のアドレスに予め登録した仮想アドレスを順番に割り当てていく構成であり、異なるLANに接続される機器に連番で仮想アドレスが割り当てられることもあった。 In view of the above, the inventors of the present application have developed a configuration for performing communication by VPN using a virtual address. However, this configuration is a configuration in which virtual addresses registered in advance are sequentially assigned to the addresses of the communication terminals, and virtual addresses may be assigned sequentially to devices connected to different LANs.
このように仮想アドレスが割り当てられる場合、ユーザの混乱を招き、誤ったアドレスを指定してパケットを送信してしまうことが考えられる。また、アドレスを指定してリモートデスクトップ等の制限を行う場合、LAN毎に指定を行うことができず、手間が掛かっていた。 When virtual addresses are assigned in this way, it is conceivable that the user will be confused and a packet will be transmitted by specifying an incorrect address. Also, when specifying an address to restrict a remote desktop or the like, it is not possible to specify for each LAN, which is troublesome.
本発明は以上の事情に鑑みてされたものであり、その目的は、仮想アドレス用いてVPNを利用した通信を行う場合において、仮想アドレスを合理的に割り当てる構成の中継サーバを提供することにある。 The present invention has been made in view of the above circumstances, and an object thereof is to provide a relay server having a configuration in which virtual addresses are rationally allocated in the case of performing communication using VPN using virtual addresses. .
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。 The problems to be solved by the present invention are as described above. Next, means for solving the problems and the effects thereof will be described.
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、仮想アドレス割当情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置し(中継サーバが)パケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記仮想アドレス割当情報記憶部は、前記第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する。前記制御部は、前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、受信した前記第2ルーティング対象アドレスにネットワーク部とホスト部とからなる前記仮想アドレスを割り当てる際に、それぞれの前記第2ルーティング対象アドレスでネットワーク部が同一となるように、かつ、当該ネットワーク部が前記第2ルーティング対象アドレス以外のルーティング対象アドレスのネットワーク部と異なるようにし、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する。前記制御部は、前記第1ルーティング対象装置から前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第2ルーティング対象アドレスに変換して前記ルーティングセッションへパケットを転送する。前記制御部は、前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照してパケットの送信元アドレスを、前記第2ルーティング対象アドレスに割り当てられた前記仮想アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する。 According to a first aspect of the present invention, a relay server having the following configuration is provided. That is, the relay server includes an address filter information storage unit, a virtual address allocation information storage unit, and a control unit. The address filter information storage unit is located in the first LAN (the relay server) is capable of transferring packets, and the first routing target address that is the address of the first routing target device and the second relay server located in the second LAN Stores the second routing target address that is the address of the second routing target device that can transfer the packet. The virtual address assignment information storage unit stores the second routing target address and the virtual address assigned to the second routing target address in association with each other. The control unit transmits the first routing target address to the second relay server, receives the second routing target address from the second relay server, and establishes a routing session with the second relay server. The controller, when assigning the virtual address composed of a network part and a host part to the received second routing target address, so that the network part is the same at each of the second routing target addresses, and The network unit is made different from the network unit of the routing target address other than the second routing target address, and the allocation relationship is stored in the virtual address allocation information storage unit. When the control unit receives a packet destined for the virtual address from the first routing target device, the control unit refers to the virtual address allocation information storage unit and associates the destination address of the packet with the virtual address. The packet is transferred to the routing session after being converted to the second routing target address. When the control unit receives a packet destined for the first routing target address from the routing session, the control unit refers to the virtual address allocation information storage unit to determine the source address of the packet as the second routing target address. And the packet is transferred to the destination first routing target device.
これにより、同一のLANに接続されるルーティング対象装置の仮想アドレスのセグメントを同じにすることができる。従って、セキュリティを確保しつつ、アドレスからネットワークの構成が把握し易くすることができる。また、ユーザは、同じLANに接続されるルーティング対象装置の仮想アドレスをまとめて指定できるので、簡単な操作で、LAN単位でのリモートデスクトップの制限等を行うことができる。 Thereby, the segment of the virtual address of the routing object apparatus connected to the same LAN can be made the same. Therefore, it is possible to easily grasp the network configuration from the address while ensuring security. In addition, since the user can collectively specify the virtual addresses of the routing target devices connected to the same LAN, it is possible to restrict the remote desktop in units of LAN with a simple operation.
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、前記制御部は、前記第2ルーティング対象アドレスに前記仮想アドレスを割り当てる際に、他の前記第2ルーティング対象アドレスに前記仮想アドレスを割当て済みか否かを判断する。当該他の第2ルーティング対象アドレスに前記仮想アドレスが割当て済みであった場合は、割当て済みの前記仮想アドレスのネットワーク部と同一になるように、新たな仮想アドレスを前記第2ルーティング対象アドレスに割り当てる。 The relay server preferably has the following configuration. That is, the control unit determines whether or not the virtual address has been assigned to another second routing target address when the virtual address is assigned to the second routing target address. If the virtual address has already been assigned to the other second routing target address, a new virtual address is assigned to the second routing target address so as to be the same as the network part of the assigned virtual address. .
これにより、第2ルーティング対象アドレスに割り当てられた仮想アドレスのネットワーク部を確実に同一にすることができる。 As a result, the network part of the virtual address assigned to the second routing target address can be reliably made the same.
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、前記制御部は、前記第2ルーティング対象アドレスに前記仮想アドレスを割り当てる際に、他の前記第2ルーティング対象アドレスに前記仮想アドレスを割当て済みか否かを判断する。当該他の第2ルーティング対象アドレスに前記仮想アドレスが割当て済みでなかった場合は、前記第2ルーティング対象アドレス以外のルーティング対象アドレスとネットワーク部が異なるように、新たな仮想アドレスを前記第2ルーティング対象アドレスに割り当てる。 The relay server preferably has the following configuration. That is, the control unit determines whether or not the virtual address has been assigned to another second routing target address when the virtual address is assigned to the second routing target address. If the virtual address has not been assigned to the other second routing target address, a new virtual address is assigned to the second routing target so that the routing target address other than the second routing target address is different from the network unit. Assign to an address.
これにより、第2ルーティング対象装置に仮想アドレスをまだ割り当てていない場合であっても、他の仮想アドレスとネットワーク部が被らないように新たな仮想アドレスを割り当てることができる。 As a result, even if a virtual address has not yet been assigned to the second routing target device, a new virtual address can be assigned so as not to cover other virtual addresses and the network unit.
前記の中継サーバにおいては、前記第2ルーティング対象アドレスに割り当てる前記仮想アドレスのネットワーク部を予め受付可能であることが好ましい。 In the relay server, it is preferable that the network unit of the virtual address assigned to the second routing target address can be received in advance.
これにより、第2ルーティング対象アドレスに割り当てられる仮想アドレスのネットワーク部が接続毎に変化しないので、ネットワーク部が示すLANを一層分かり易くすることができる。従って、パケットの送信先又はリモートデスクトップの制限対象について選択ミスをより低減することができる。 Thereby, since the network part of the virtual address assigned to the second routing target address does not change every connection, the LAN indicated by the network part can be made easier to understand. Accordingly, it is possible to further reduce selection mistakes regarding the packet transmission destination or the remote desktop restriction target.
前記の中継サーバにおいては、前記制御部は、前記第2ルーティング対象アドレスに割り当てる前記仮想アドレスのネットワーク部を自動的に決定することが好ましい。 In the relay server, it is preferable that the control unit automatically determines a network unit of the virtual address to be allocated to the second routing target address.
これにより、ルーティング対象装置にどの仮想アドレスを割り当てるかを予め設定しなくて良いため、ユーザの手間を省くことができる。また、上記の構成は、1つの仮想アドレスを複数の中継サーバで使いまわすことができるので、仮想アドレスとして予め確保しておくアドレスを少なくすることができる。従って、将来的なネットワークの拡張等に柔軟に対応することができる。 Thereby, since it is not necessary to set in advance which virtual address is assigned to the routing target device, it is possible to save the user's trouble. In the above configuration, since one virtual address can be reused by a plurality of relay servers, the number of addresses reserved in advance as virtual addresses can be reduced. Accordingly, it is possible to flexibly cope with future network expansion and the like.
前記の中継サーバにおいては、前記制御部は、前記仮想アドレスを利用せずに通信を行う旨の指示を受け付けた場合は、前記第2ルーティング対象アドレスを利用して通信を行うことが好ましい。 In the relay server, the control unit preferably performs communication using the second routing target address when receiving an instruction to perform communication without using the virtual address.
これにより、例えば割当可能な仮想アドレスが存在しない場合であっても、VPNの開始処理をやり直すことなく、ルーティング対象装置同士で通信を行うことができる。 Thereby, even if there is no assignable virtual address, for example, the routing target devices can communicate with each other without redoing the VPN start process.
本発明の第2の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、仮想アドレス割当情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置し(中継サーバが)パケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記仮想アドレス割当情報記憶部は、前記第1ルーティング対象アドレスと、当該第1ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する。前記制御部は、ネットワーク部とホスト部とからなる前記仮想アドレスのうちネットワーク部が互いに異なる複数組の前記仮想アドレスを、1組の前記第1ルーティング対象アドレスに割り当て、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する。前記制御部は、前記第2中継サーバへ、当該第2中継サーバ以外の中継サーバに送信した前記仮想アドレスとネットワーク部が異なる前記仮想アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記ルーティングセッションから前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第1ルーティング対象アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの送信元アドレスを、前記第2中継サーバへ送信した前記仮想アドレスに変換して前記ルーティングセッションへパケットを転送する。 According to a second aspect of the present invention, a relay server having the following configuration is provided. That is, the relay server includes an address filter information storage unit, a virtual address allocation information storage unit, and a control unit. The address filter information storage unit is located in the first LAN (the relay server) is capable of transferring packets, and the first routing target address that is the address of the first routing target device and the second relay server located in the second LAN Stores the second routing target address that is the address of the second routing target device that can transfer the packet. The virtual address assignment information storage unit stores the first routing target address and the virtual address assigned to the first routing target address in association with each other. The control unit allocates a plurality of sets of virtual addresses having different network units among the virtual addresses composed of a network unit and a host unit to a set of first routing target addresses, and assigns the allocation relationship to the virtual address Store in the allocation information storage unit. The control unit transmits the virtual address having a network part different from the virtual address transmitted to the relay server other than the second relay server to the second relay server, and transmits the second routing from the second relay server to the second routing server. A target address is received and a routing session is established with the second relay server. When the control unit receives a packet destined for the virtual address from the routing session, the control unit refers to the virtual address assignment information storage unit and sets the destination address of the packet corresponding to the virtual address to the first address. The packet is transferred to the routing target address and transferred to the destination first routing target device. When the control unit receives a packet destined for the second routing target device from the first routing target device, the control unit refers to the virtual address allocation information storage unit to determine the source address of the packet in the first routing target device. 2 Convert the packet to the virtual address transmitted to the relay server and transfer the packet to the routing session.
これにより、中継サーバが送信する仮想アドレスのネットワーク部が通信先のLAN毎に異なるので、所定のネットワーク部の仮想アドレスを無効とすることで、対応するLANからのアクセスを一括して制限することができる。 As a result, since the network part of the virtual address transmitted by the relay server is different for each communication destination LAN, the access from the corresponding LAN can be restricted in a lump by invalidating the virtual address of the predetermined network part. Can do.
本発明の第3の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、第1中継サーバ及び第2中継サーバを含んで構成される。第1LAN内に位置する前記第1中継サーバは、アドレスフィルタ情報記憶部と、仮想アドレス割当情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記仮想アドレス割当情報記憶部は、第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する。前記制御部は、前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、受信した前記第2ルーティング対象アドレスにネットワーク部とホスト部とからなる前記仮想アドレスを割り当てる際に、それぞれの前記第2ルーティング対象アドレスでネットワーク部が同一となるように、かつ、当該ネットワーク部が前記第2ルーティング対象アドレス以外のルーティング対象アドレスのネットワーク部と異なるようにし、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する。前記制御部は、前記第1ルーティング対象装置から前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第2ルーティング対象アドレスに変換して前記ルーティングセッションへパケットを転送する。前記制御部は、前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照してパケットの送信元アドレスを、前記第2ルーティング対象アドレスに割り当てられた前記仮想アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する。 According to the 3rd viewpoint of this invention, the relay communication system of the following structures is provided. That is, the relay communication system includes a first relay server and a second relay server. The first relay server located in the first LAN includes an address filter information storage unit, a virtual address allocation information storage unit, and a control unit. The address filter information storage unit includes a first routing target address that is an address of a first routing target device to which the first relay server can transfer a packet, and the second relay server located in a second LAN transfers the packet. And a second routing target address that is an address of a possible second routing target device. The virtual address assignment information storage unit stores a second routing target address and a virtual address assigned to the second routing target address in association with each other. The control unit transmits the first routing target address to the second relay server, receives the second routing target address from the second relay server, and establishes a routing session with the second relay server. The controller, when assigning the virtual address composed of a network part and a host part to the received second routing target address, so that the network part is the same at each of the second routing target addresses, and The network unit is made different from the network unit of the routing target address other than the second routing target address, and the allocation relationship is stored in the virtual address allocation information storage unit. When the control unit receives a packet destined for the virtual address from the first routing target device, the control unit refers to the virtual address allocation information storage unit and associates the destination address of the packet with the virtual address. The packet is transferred to the routing session after being converted to the second routing target address. When the control unit receives a packet destined for the first routing target address from the routing session, the control unit refers to the virtual address allocation information storage unit to determine the source address of the packet as the second routing target address. And the packet is transferred to the destination first routing target device.
これにより、ユーザは、通信状況や通信の許可状況等を即座に把握することができる。また、同じLANに接続されるルーティング対象装置をまとめて指定できるので、例えばリモートデスクトップの利用をLAN単位で容易に制限することができる。 Thereby, the user can immediately grasp the communication status, the communication permission status, and the like. In addition, since the routing target devices connected to the same LAN can be specified collectively, for example, the use of the remote desktop can be easily restricted in units of LAN.
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本実施形態に係る中継通信システム100の全体構成を示す説明図である。
Next, embodiments of the present invention will be described with reference to the drawings. First, an overview of the
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数のLAN10,20,30で構成されている。それぞれのLAN10,20,30は、限定された場所で構築される比較的小規模なネットワークである。また、LAN10,20,30は、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
As shown in FIG. 1, this
以下、それぞれのLANを具体的に説明する。図1に示すように、LAN(第2LAN)10には、中継サーバ(第2中継サーバ)1と、第2ルーティング対象装置としての操作PC11,12と、クライアント端末13と、が接続されている。LAN20には、中継サーバ2と、操作PC21と、クライアント端末22と、が接続されている。LAN(第1LAN)30には、中継サーバ(第1中継サーバ)3と、第1ルーティング対象装置としての対象端末31,32,33と、クライアント端末34と、が接続されている。
Each LAN will be specifically described below. As shown in FIG. 1, a relay server (second relay server) 1,
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続された機器と通信可能であるだけでなく、他のLANに配置された中継サーバとも通信可能となっている。操作PC11,12,21は、例えばオペレータが操作するためのパーソナルコンピュータである。対象端末31,32,33は、パーソナルコンピュータ、又は、ファイルサーバ等であり、例えばオペレータは、操作PC11等を操作して、対象端末31等に所定のデータを要求すること、及び、対象端末31の記憶内容を更新することが想定されている。クライアント端末13,22,34は、例えばパーソナルコンピュータで構成されており、それぞれ自身が所属する中継サーバ1,2,3を介して、互いに通信可能である。
Since each of the
次に、図2を参照して、中継サーバ1,2,3の詳細な構成について説明する。図2は、中継サーバ3の機能ブロック図である。なお、中継サーバ3は中継サーバ1,2と略同じ構成であるので、以下では、主として中継サーバ3について説明する。
Next, a detailed configuration of the
図2に示すように、中継サーバ3は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
As illustrated in FIG. 2, the
インタフェース部70は、LAN10内の端末に対して通信を実行する。また、インタフェース部70は、WAN80に対して通信を実行する。インタフェース部70は、LAN30又はWAN80から受信したパケットに適宜の処理を行って制御部60へ出力する。
The
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。具体的には、制御部60は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて宛先を決定し、決定した宛先へ当該パケットを送信する。また、制御部60は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。
The
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、クライアント端末情報記憶部53と、VPNグループ情報記憶部54と、アドレスフィルタ情報記憶部55と、仮想アドレス登録情報記憶部56と、仮想アドレス割当情報記憶部57と、を備えている。以下、図3から図9までを参照して、記憶部50の記憶内容について説明する。図3から図9までは、主として、中継サーバ3の記憶部50の記憶内容を示す図である。
The
中継グループ情報記憶部51は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。
The relay group
図3に示すように、中継グループ情報においては、groupタグと、このgroupタグを親要素とする子要素のsiteタグと、が記述されている。groupタグには中継グループに関するグループ情報511が記述されている。このグループ情報511としては、中継グループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、中継グループの名称(「name」)と、が記述されている。siteタグには、中継グループを構成する中継サーバに関するグループ構成情報512が記述されている。このグループ構成情報512には、当該中継サーバの識別情報(「id」)が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。
As shown in FIG. 3, in the relay group information, a group tag and a site tag of a child element whose parent element is the group tag are described. In the group tag,
なお、この中継グループ情報は、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。
This relay group information is shared between the
中継サーバ情報記憶部52は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。
The relay server
図4に示す中継サーバ情報においては、中継サーバ毎に記述されるsiteタグと、前記siteタグを親要素とする子要素のnodeタグと、が記述されている。siteタグには中継サーバ1に関するサーバ情報521が記述されている。このサーバ情報521としては、中継サーバの識別情報(「id」)と、中継サーバの名称(「name」)と、起動情報(「stat」)と、が記述されている。なお、「stat」の内容が「active」の場合は中継サーバが中継通信システム100にログインしていることを示し、statが空欄であるときはログオフ中であることを示す。siteタグの子要素であるnodeタグには、中継サーバに所属するクライアント端末を示す所属情報522が記述されている。所属情報522としては、所属する中継グループの名称(「group」)と、クライアント端末の識別情報(「id」)と、クライアント端末の名称(「name」)と、所属先の中継サーバの識別情報(「site」)と、が記述されている。なお、クライアント端末が中継通信システム100にログインしていないときは、「site」は空欄となる。
In the relay server information shown in FIG. 4, a site tag described for each relay server and a node tag of a child element whose parent element is the site tag are described. In the site tag,
なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末13からクライアント端末22にパケットを送信する場合、初めに、クライアント端末13は、自身が接続している中継サーバである中継サーバ1にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ1は、これらの情報に基づいて、クライアント端末22が接続している中継サーバである中継サーバ2へパケットを転送する。そして、このパケットを受信した中継サーバ2がクライアント端末22へパケットを転送する。このようにして、クライアント端末13,22同士で中継通信を行うことができる。
Note that the communication by the relay group is performed as follows based on the relay group information and the relay server information. For example, when a packet is transmitted from the
この中継サーバ情報に関しても中継グループ情報と同様に、当該中継グループを構成する中継サーバ1,2,3の間で情報が共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。
As with the relay group information, the relay server information is shared between the
クライアント端末情報記憶部53は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ1,2,3は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。中継サーバ3には、クライアント端末34が所属しているため、中継サーバ3が備えるクライアント端末情報記憶部53には、クライアント端末34についてのクライアント端末情報のみが記憶されている。
The client terminal
中継サーバ3のクライアント端末情報記憶部53が記憶するクライアント端末情報は、図5(c)に示されている。同様に、中継サーバ1が記憶するクライアント端末情報が図5(a)に、中継サーバ2が記憶するクライアント端末情報が図5(b)に、それぞれ示されている。
The client terminal information stored in the client terminal
図5に示すクライアント端末情報においては、nodeタグが記述されている。このnodeタグには、クライアント端末のプライベートIPアドレス(「addr」)と、所属する中継グループの名称(「group」)と、識別情報(「id」)と、名称(「name」)と、中継サーバにログインするためのパスワード(「pass」)と、ポート情報(「port」)と、が記述されている。 In the client terminal information shown in FIG. 5, a node tag is described. The node tag includes a private IP address (“addr”) of the client terminal, a name of the relay group to which the client terminal belongs (“group”), identification information (“id”), a name (“name”), a relay A password for logging in to the server (“pass”) and port information (“port”) are described.
VPNグループ情報記憶部54は、中継グループを構成する中継サーバ及びクライアント端末からルーティングポイントとして選択された機器(以下、ルーティング機器と称する)で構成されたVPNグループに関する情報であるVPNグループ情報を記憶している。同一のVPNグループに所属するルーティング機器同士でルーティングセッションを確立させることにより、VPNを利用した通信を開始することができる。
The VPN group
図6に示すVPNグループ情報においては、vnetタグが記述されている。このvnetタグには、VPNグループ基本情報541と、ルーティングポイント情報542と、ルーティングセッション情報543と、が記述されている。VPNグループ基本情報541には、VPNグループが所属する中継グループの名称(「group」)と、VPNグループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、VPNグループの名称(「name」)と、が記述されている。ルーティングポイント情報542には、VPNグループ間で通信を行うときにルーティングを行うルーティング機器の識別情報が記述されている。図6(a)の例においては、ルーティング機器として、中継サーバ1と、中継サーバ3と、が記述されている。ルーティングセッション情報543には、VPNグループにおいて互いに接続されるルーティング機器が記述されている。ルーティングセッション情報543において、ルーティング機器は、VPNグループでVPNを構築して通信を開始するためのルーティングセッション確立処理において、通信制御を最初に行う側(「sp(start point)」)と、その通信制御を受ける側(「ep(end point)」)と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング機器を「始点」と、その通信制御を受ける側のルーティング機器を「終点」と、それぞれ称することがある。
In the VPN group information shown in FIG. 6, a vnet tag is described. In this vnet tag, VPN group
図6(a)に示すVPNグループ情報からは、VPNグループ(VPN−GROUP1)が、中継サーバ1と中継サーバ3とで構成されることが分かる。また、このVPN−GROUP1での通信の開始時には、中継サーバ3から中継サーバ1へルーティングセッションを確立するための通信制御が行われることが分かる。同様に、図6(b)に示すVPNグループ情報からは、VPN−GROUP2が、中継サーバ2と中継サーバ3とで構成されることが分かる。また、この、VPN−GROUP2での通信の開始時には、中継サーバ3から中継サーバ2へルーティングセッションを確立するための通信制御が行われることが分かる。
From the VPN group information shown in FIG. 6A, it can be seen that the VPN group (VPN-GROUP 1) is composed of the
このVPNグループ情報も中継サーバ情報及び中継グループ情報と同様に、同じVPNグループに所属する中継サーバの間で共有されている。そして、ある中継サーバにおいてVPNグループ情報を変更する処理が行われた場合は、同じVPNグループに所属する他の中継サーバに対してその旨が送信されてVPNグループ情報が更新される。このようにして、VPNグループ情報が動的に共有される。なお、このVPNグループを作成する処理については後述する。 This VPN group information is also shared among relay servers belonging to the same VPN group, similarly to the relay server information and the relay group information. When a process for changing VPN group information is performed in a certain relay server, the fact is transmitted to other relay servers belonging to the same VPN group, and the VPN group information is updated. In this way, VPN group information is dynamically shared. The process for creating this VPN group will be described later.
アドレスフィルタ情報記憶部55は、VPNを利用したルーティング制御を行う際に用いられる情報であるアドレスフィルタ情報を記憶する。アドレスフィルタ情報記憶部55は、VPNの構築前においては、中継サーバ3自身がパケットを直接的に送信可能な装置(ルーティング対象装置)を示す情報(中継サーバ3のアドレスフィルタ情報)を記憶する。なお、アドレスフィルタ情報には、ルーティング対象装置のアドレス(ルーティング対象アドレス)と、ルーティング対象装置の名称と、が含まれる。
The address filter
図7(c)には、中継サーバ3自身に予め登録されたアドレスフィルタ情報の例が示されている。この例では、中継サーバ3がパケットを直接的に送信可能な機器が対象端末31,32,33であることが記述されている。なお、図7(a)には、中継サーバ1に予め登録されたアドレスフィルタ情報が示され、図7(b)には、中継サーバ2に予め登録されたアドレスフィルタ情報が示されている。
FIG. 7C shows an example of address filter information registered in advance in the
上述のように、中継サーバ3のアドレスフィルタ情報記憶部55は、VPNを構築する前においては、図7(c)に示すアドレスフィルタ情報のみを記憶する。そして、中継サーバ3は、例えば中継サーバ1とルーティングセッションを確立させるときに、自身に予め登録されたアドレスフィルタ情報(図7(c))を中継サーバ1へ送信するとともに、中継サーバ1からアドレスフィルタ情報(図7(a))を受信する。そして、中継サーバ3は、中継サーバ1のアドレスフィルタ情報を当該中継サーバ1の識別情報と対応付けてアドレスフィルタ情報記憶部55に記憶する。
As described above, the address filter
これにより、中継サーバ3のアドレスフィルタ情報記憶部55には、自身のアドレスフィルタ情報に加え、図8(a)に示すように、中継サーバ1のアドレスフィルタ情報が記憶されることになる。同様に、中継サーバ1のアドレスフィルタ情報記憶部55には、中継サーバ1及び中継サーバ3のアドレスフィルタ情報が記憶される。そして、中継サーバ1,3は、この取得したアドレスに基づいて、ルーティング制御を行う(詳細な制御については後述)。なお、以下では、中継サーバ3のアドレスフィルタ情報に含まれるルーティング対象アドレス(対象端末31,32,33のアドレス)を第1ルーティング対象アドレスと称し、中継サーバ1のアドレスフィルタ情報に含まれるルーティング対象アドレス(操作PC11,12のアドレス)を第2ルーティング対象アドレスと称することがある。
As a result, the address filter
本実施形態では、中継サーバ1と中継サーバ3とでルーティングセッションを確立して通信を行う場合(VPN−GROUP1で通信を行う場合)、中継サーバ3と対象端末31,32,33との間の通信では、操作PC11,12の実際のアドレスを用いずに、仮想アドレスを用いて通信を行う。仮想アドレスは、LAN30内で重複しないアドレス(LAN30内の機器に割り当てられておらず、かつその予約もされていないアドレス)が予め登録されて、中継サーバ3の仮想アドレス登録情報記憶部56に記憶されている。本実施形態では、図9(a)に示すアドレスが仮想アドレスとして登録されている。
In the present embodiment, when communication is performed by establishing a routing session between the
同様に、中継サーバ2と中継サーバ3とでルーティングセッションを確立して通信を行う場合(VPN−GROUP2で通信を行う場合)、中継サーバ3と対象端末31,32,33との間の通信では、操作PC21の実際のアドレスを用いずに、仮想アドレスを用いて通信を行う。
Similarly, when communication is established by establishing a routing session between the
中継サーバ3は、上記のようにアドレスフィルタ情報を交換して中継サーバ1(又は中継サーバ2)から操作PC11,12(又は操作PC21)のアドレスを取得して、当該アドレスに仮想アドレスを割り当てる。仮想アドレス割当情報記憶部57は、受信したアドレスと仮想アドレスとの対応関係(割当関係)を記憶する。
The
なお、本実施形態の仮想アドレスは、IPv4形式で記述されている。以下の説明では、この32ビットのうち、始めの24ビットをネットワーク部と称し、後の8ビットをホスト部と称する(図9(b)を参照)。本実施形態では、中継サーバ3は、接続先のLAN毎(即ち接続先の中継サーバ毎)にネットワーク部が異なるように仮想アドレスを割り当てる。
Note that the virtual address of this embodiment is described in the IPv4 format. In the following description, among the 32 bits, the first 24 bits are referred to as a network part, and the subsequent 8 bits are referred to as a host part (see FIG. 9B). In the present embodiment, the
具体的には、操作PC11,12には、図8(a)に示すように、(150.100.10.1),(150.100.10.2)という仮想アドレスが割り当てられる。また、操作PC21には、図8(b)に示すように、(180.50.10.1)という仮想アドレスが割り当てられる。
Specifically, virtual addresses (150.100.10.1) and (150.100.10.2) are assigned to the
このように、接続先のLAN毎に(中継サーバ毎に)ネットワーク部が異なるように仮想アドレスを割り当てることにより、仮想アドレスを見るだけで、同じLANどの仮想アドレス同士が中継サーバの接続先を把握することができる。従って、ユーザが誤った仮想アドレスを指定してしまうことを防止できる。また、ユーザは、同じLANに接続されるルーティング対象装置の仮想アドレスを、(150.100.10.0/24)のようにして、まとめて指定できるので、簡単な操作で、LAN単位でのリモートデスクトップの制限等を行うことができる。 In this way, by assigning virtual addresses so that the network part is different for each LAN of connection destinations (for each relay server), just looking at the virtual address, the virtual addresses of the same LAN can grasp the connection destination of the relay server. can do. Therefore, it is possible to prevent the user from specifying an incorrect virtual address. In addition, since the user can specify the virtual addresses of the routing target devices connected to the same LAN as in (150.100.10.0/24), it is possible to easily specify in units of LANs. Remote desktop restrictions can be made.
次に、VPNを利用した通信を行うための準備について説明する。初めに、図10を参照して中継サーバに予め行う設定について説明し、次に、図11を参照してVPNグループを作成するときの流れについて説明する。図10は、予め中継サーバに行う設定を示すフローチャートである。図11は、VPNグループを作成する処理を示すフローチャートである。以下では、中継サーバ3を例に挙げて、中継サーバ3に対して行う設定及び中継サーバ3が実行する処理について説明するが、中継サーバ1,2にも同様の設定が行われるとともに、同様の処理を実行可能である。
Next, preparation for performing communication using VPN will be described. First, the setting performed in advance in the relay server will be described with reference to FIG. 10, and the flow when creating a VPN group will be described with reference to FIG. FIG. 10 is a flowchart showing settings to be made to the relay server in advance. FIG. 11 is a flowchart showing processing for creating a VPN group. In the following, the
中継サーバ3に予め行う設定としては、当該中継サーバ3のアドレスフィルタ情報の登録(S101)がある。この登録は、中継通信システム100を利用するユーザが、中継サーバ3のルーティング対象装置として指定する機器等のアドレス(第1ルーティング対象アドレス)と、名称と、を所定の方法で入力することにより行う。ここでは、ユーザは、対象端末31,32,33のアドレス及び名称を入力したものとする。ここで登録されたアドレスフィルタ情報は、アドレスフィルタ情報記憶部55に記憶される。
The setting to be made in advance in the
次に、仮想アドレスを用いた通信を行う場合は、ユーザは、中継サーバ3が接続するLAN30内で重複しないアドレスを仮想アドレスとして登録する(S102)。ここで登録された仮想アドレスは、仮想アドレス登録情報記憶部56に記憶される。
Next, when performing communication using a virtual address, the user registers an address that does not overlap within the
以下、VPNグループを作成するときの流れについて説明する。ユーザは、初めに、クライアント端末13,22,34等を操作することによって、VPNグループの設定画面を表示させることができる。ここでは、クライアント端末34を用いて設定を行う場合について説明する。クライアント端末34に表示させた設定画面には、当該クライアント端末34が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、VPNグループを構築したい中継グループを選択する(S201)。
Hereinafter, the flow when creating a VPN group will be described. First, the user can display a VPN group setting screen by operating the
中継グループが選択されると、クライアント端末34の画面には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバ及びクライアント端末の識別情報の一覧が表示される(S202)。そして、ユーザは、構築するVPNグループにおいてルーティングポイントとして機能させる中継サーバ及びクライアント端末を選択する(S203)。今回の説明では、中継サーバ1と、中継サーバ3と、がユーザに選択されたものとする。
When a relay group is selected, a list of identification information of relay servers and client terminals that belong to the selected relay group and that can function as a routing point is displayed on the screen of the client terminal 34 (S202). Then, the user selects a relay server and a client terminal that function as a routing point in the VPN group to be constructed (S203). In this description, it is assumed that the
そして、選択された中継サーバの識別情報に基づいて、ルーティングポイントの識別情報及び前記ルーティングセッション情報が作成される(S204)。そして、これらの情報にVPNグループの識別情報等を付加することにより、図6(a)で示したVPNグループ情報が作成される。クライアント端末34は、このVPNグループ情報を、同じVPNグループに所属する中継サーバ1,3へ送信する(S205)。そして、中継サーバ1,3は、受信したVPNグループ情報をVPNグループ情報記憶部54に記憶する。以上により、中継サーバ1,3で構成されるVPN−GROUP1の構築処理が完了する。なお、中継サーバ2,3で構成されるVPN−GROUP2についても所定のタイミングで作成されたものとする。
Then, based on the identification information of the selected relay server, the identification information of the routing point and the routing session information are created (S204). The VPN group information shown in FIG. 6A is created by adding VPN group identification information or the like to these pieces of information. The
次に、構築したVPNグループでVPNを利用した通信を開始するまでの流れについて、図12から図14までを参照して説明する。図12及び図13は、VPNを利用した通信を開始するまでに行う処理を示すフローチャートである。図14は、仮想アドレスの割り当てを行う際に中継サーバ3が行う処理を示すフローチャートである。
Next, a flow until communication using VPN in the constructed VPN group is started will be described with reference to FIGS. FIG. 12 and FIG. 13 are flowcharts showing processing performed until communication using VPN is started. FIG. 14 is a flowchart illustrating processing performed by the
ユーザは、クライアント端末13等又は操作PC11等を操作することによって、構築したVPNグループを画面に表示させることができる。そして、表示されたVPNグループから適当なVPNグループを選択することにより(S301)、VPNを構築するための処理を行わせることができる。今回の説明では、上記で作成したVPNグループ(中継サーバ1,3で構成されるVPNグループ)の開始処理を中継サーバ3が行う例を説明する。
The user can display the constructed VPN group on the screen by operating the
中継サーバ3は、初めに、自身に対応付けられたアドレスフィルタ情報を読み出す(S302)。ここで読み出される情報は、S101で登録された内容(図7(c)に示す内容)である。次に、中継サーバ3は、選択されたVPNグループに属するルーティングポイントの読出しを行う(S303)。これにより、図6(a)に示すVPNグループ情報の内容に基づいて、中継サーバ1が読み出される。
The
中継サーバ3は、中継サーバ情報に基づいて、初めに、中継サーバ1がログイン中か否か(「stat」がactiveか空欄か)を判断する(S304)。図4に示す中継サーバ情報によれば中継サーバ1はログイン中であるため、中継サーバ3は、中継サーバ1へVPNグループの識別情報とともに、VPNグループの開始コマンドを送信する(S305)。
Based on the relay server information, the
中継サーバ3は、この開始コマンドに対する中継サーバ1からの応答を受けると(S306)、中継サーバ1を、VPNを構築する準備が完了したルーティングポイントとして登録する(S307)。
When the
次に、中継サーバ3は、同じVPNグループに所属する他の機器が有るか否かの判断を行う(S308)。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他の機器は存在しない。なお、仮に他の機器が存在していた場合は、中継サーバ3は、今度は当該機器を対象としてS304〜S307の処理を行う。
Next, the
次に、中継サーバ3は、VPNグループ情報記憶部54の記憶内容からルーティングセッション情報を抽出する(図13のS309)。そして、中継サーバ3は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する(S310)。図6(a)のルーティングセッション情報においては、中継サーバ1と中継サーバ3との間で確立されるべきルーティングセッションにおいて、自身(中継サーバ3)が始点となることが記述されている。
Next, the
そのため、中継サーバ3は、中継サーバ1に対して所定の通信制御を行ってルーティングセッションを確立する(S311)。なお、この通信制御を行う際に、前述のように、アドレスフィルタ情報が交換される(S312)。
Therefore, the
次に、中継サーバ3は、受信したアドレスフィルタ情報に含まれるルーティング対象アドレスに仮想アドレスの割当てを行う(S313)。この仮想アドレスの割当ては、詳細には、図14に示すフローチャートに沿って行われる。
Next, the
以下、操作PC11、操作PC12の順に仮想アドレスを割り当てる際に中継サーバ3が行う処理について説明する。中継サーバ3は、初めに、同一LANの他の機器に仮想アドレスを割当て済みか否かの判断を行う(S401)。現時点では、操作PC11,12の何れにも仮想アドレスが割り当てられていないので、中継サーバ3は、未使用のネットワーク部を有する仮想アドレスが仮想アドレス登録情報記憶部56に登録されているか否かを判断する(S402)。
Hereinafter, processing performed by the
未使用のネットワーク部を有する仮想アドレスが登録されている場合、当該仮想アドレスを用いて、仮想アドレスの割当てが行われる(S404)。これにより、他のルーティング対象装置に割り当てた仮想アドレスとネットワーク部が異なる仮想アドレスを新たに割り当てることができる。具体的には、中継サーバ3は、操作PC11に(150.100.10.1)という仮想アドレスを割り当てる。
When a virtual address having an unused network part is registered, a virtual address is assigned using the virtual address (S404). This makes it possible to newly assign a virtual address that is different from the virtual address assigned to another routing target device. Specifically, the
なお、操作PC11に割り当てられる仮想アドレスのネットワーク部は、予めユーザが設定したものを用いる構成であっても良いし、中継サーバ3が仮想アドレス登録情報記憶部56を参照して未使用のネットワーク部を自動的に選択する構成であっても良い。
Note that the network unit of the virtual address assigned to the
前者の場合、第2ルーティング対象アドレスに割り当てられる仮想アドレスのネットワーク部が接続毎に変化しないので、ネットワーク部が示すLANを一層分かり易くすることができる。一方、後者の場合、ルーティング対象装置にどの仮想アドレスを割り当てるかを予め設定しなくて良いため、ユーザの手間を省くことができる。また、後者の場合は、例えば、中継サーバ1とのVPNを終了して仮想アドレスの割当てを解除した後に、当該仮想アドレスを中継サーバ1以外の中継サーバに割り当てることができる。つまり、仮想アドレスを使いまわすことができるので、仮想アドレスとして予め確保しておくアドレスを少なくすることができる。従って、将来的なネットワークの拡張等に柔軟に対応することができる。
In the former case, since the network part of the virtual address assigned to the second routing target address does not change for each connection, the LAN indicated by the network part can be made easier to understand. On the other hand, in the latter case, since it is not necessary to set in advance which virtual address is assigned to the routing target device, it is possible to save the user's trouble. In the latter case, for example, the virtual address can be assigned to a relay server other than the
そして、中継サーバ3は、VPNを利用した通信の開始処理を継続して行う(S405)。なお、中継サーバ3は、未使用のネットワーク部を有する仮想アドレスが登録されていない場合、その旨をユーザに通知する(S403)。
And the
次に、中継サーバ3は、操作PC12に仮想アドレスを割り当てる。今回は、S401の判断において、同一LANの他の機器(即ち操作PC11)に仮想アドレスを割当て済みである。従って、中継サーバ3は、既に割り当てた仮想アドレスのネットワーク部(150.100.10)を用いて仮想アドレスを割り当てる(S406)。これにより、操作PC12に(150.100.10.2)という仮想アドレスが割り当てられる。次に、中継サーバ3は、仮想アドレスの割当てに成功したか否かの判断を行う(S407)。中継サーバ3は、仮想アドレスの割当てに成功した場合、VPNを利用した通信の開始処理を継続して行う(S405)。一方、中継サーバ3は、仮想アドレスの割当てに失敗した場合、その旨をユーザに通知する(S408)。
Next, the
なお、中継サーバ3は、S403及びS408でエラーを通知した際に、実際のアドレスを利用した通信を行うか否かをユーザに問い合わせる(S409)。中継サーバ3は、ユーザから実際のアドレスによる通信を行う許可が得られた場合、VPNを利用した通信の開始処理を継続して行う(S405)。これにより、例えば緊急事態の発生時又は相手にアドレスを知られても構わない状況等においても適切に通信を開始することができる。一方、ユーザから許可が得られなかった場合、中継サーバ3は、この開始処理を停止する。
When the
次に、中継サーバ3は、再びS310の処理を行う。なお、ルーティング対象アドレス間で重複がないと判定した場合も再びS310の処理を行う。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他のルーティングセッションはVPNグループ情報には記述されていない。従って、中継サーバ3は、パケットのルーティング制御を開始する(S316)。なお、仮に他のルーティングセッションがある場合は、中継サーバ3は、再びS311〜S314の処理を行う。
Next, the
このように、本実施形態では、VPNを構築する際に、それぞれのルーティング機器が他のルーティング機器とアドレスフィルタ情報を交換(取得)するため、最新のアドレスフィルタ情報を用いてVPNを構築することができる。従って、VPN開始前の段階で一部のルーティング機器においてアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング機器に反映させた状態でVPNを構築して通信を開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。 As described above, in this embodiment, when a VPN is constructed, each routing device exchanges (acquires) address filter information with other routing devices. Therefore, the VPN is constructed using the latest address filter information. Can do. Therefore, even if the address filter information is changed in some routing devices at the stage before the VPN start, the VPN can be constructed and communication can be started with the change reflected in all the routing devices. Inconsistency in routing can be prevented, and reliability can be improved.
また、図13のフローチャートには記載していないが、S310において自身が接続の始点となるルーティングセッションが無い場合(自身がルーティングの終点となる場合)であっても、始点となるルーティング機器からの通信制御を受けてルーティングセッションの確立処理及びアドレスフィルタ情報の交換が行われる。それと同時に、仮想アドレスを用いた通信を行う場合は、仮想アドレスの割当て等も行われる。 Although not described in the flowchart of FIG. 13, even if there is no routing session that is the starting point of the connection in S310 (when it is the end point of routing), the routing device from the starting point Under the communication control, routing session establishment processing and address filter information exchange are performed. At the same time, when communication using virtual addresses is performed, virtual addresses are assigned.
なお、それぞれのルーティング機器は、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。 Each routing device does not perform the initial communication control for establishing a routing session unless the routing session information indicates that it is the starting point. The routing session can be established with simple control.
以上のように中継サーバ3は、中継サーバ1とVPNを構築する。また、中継サーバ3は、ユーザからVPN−GROUP2の開始指示を受けた場合、中継サーバ2に対しても同様にVPNを構築する。そして、中継サーバ3は、図14の処理を行うことにより、操作PC11,12とネットワーク部が異なる仮想アドレスを操作PC21に割り当てる。
As described above, the
次に、確立したルーティングセッションを用いてパケットのルーティングを行う処理について説明する。 Next, a process for routing a packet using the established routing session will be described.
初めに、中継サーバ3がLAN30からパケットを受信したときに行う制御について図15を参照して説明する。図15は、この制御の流れを示すフローチャートである。
First, control performed when the
なお、LAN30内のルーティング対象装置は、他のルーティング対象装置にパケットを送信する際は、その宛先とすべき当該他のルーティング対象アドレスを、中継サーバ3に問い合わせることで取得する。このとき、仮想アドレスが割り当てられている場合は、LAN30内のルーティング対象装置が中継サーバ3に行う上記の問い合わせに対して、中継サーバ3は、実際のアドレスではなく仮想アドレスを回答する。従って、例えば対象端末31から操作PC11へパケットが送信される場合、対象端末31は中継サーバ3から、宛先アドレスとして、操作PC11に割り当てられた仮想アドレス(150.100.10.1)を取得することになる。
Note that when a packet is transmitted to another routing target device, the routing target device in the
中継サーバ3は、LAN30からパケットを受信するまで待機している(S501)。そして、LAN30からパケットを受信した場合、初めに、当該パケットの宛先が自身(中継サーバ3)であるか否かの判断を行う(S502)。
The
中継サーバ3は、パケットの宛先が自身であった場合、当該パケットの受信を行う(S503)。一方、パケットの宛先が自身以外であった場合、中継サーバ3は、受信したパケットの宛先アドレスと、アドレスフィルタ情報(図9(a)を参照)と、を比較して、宛先アドレスがアドレスフィルタ情報に登録されているか否かの判断を行う(S504)。中継サーバ3は、宛先アドレスがアドレスフィルタ情報に登録されていない場合、パケットを破棄する(S505)。一方、中継サーバ3は、宛先アドレスがアドレスフィルタ情報に登録されていた場合、当該アドレスフィルタ情報に対応するルーティングセッションを特定する(S506)。
When the packet destination is itself, the
次に、中継サーバ3は、仮想アドレス割当情報記憶部57を参照して、宛先アドレスが仮想アドレスか否かの判断を行う(S507)。宛先アドレスが仮想アドレスである場合、中継サーバ3は、宛先アドレスを実際のアドレスに変換し(S508)、S506で特定したルーティングセッションへパケットを送信(転送)する(S509)。
Next, the
次に、中継サーバ3がルーティングセッションからパケットを受信したときに行う制御について図16を参照して説明する。図16は、この制御の流れを示すフローチャートである。
Next, control performed when the
中継サーバ3は、ルーティングセッションからパケットを受信するまで待機している(S601)。そして、中継サーバ3は、パケットを受信した場合、当該パケットの宛先アドレスと、アドレスフィルタ情報(図8(a)を参照)と、を比較して、パケットの宛先アドレスが自身のアドレスフィルタ情報に対応付けて登録されているか否かの判断を行う(S602)。
The
パケットの宛先アドレスが自身のアドレスフィルタ情報に対応付けて登録されている場合、仮想アドレス割当情報記憶部57を参照して、送信元アドレスに仮想アドレスが割り当てられているか否かの判断を行う(S603)。送信元アドレスに仮想アドレスが割り当てられている場合、中継サーバ3は、送信元アドレスを仮想アドレスに変換し(S604)、宛先アドレスが示す機器(対象端末31,32,33)へ、パケットを転送する(S605)。なお、送信元アドレスに仮想アドレスが割り当てられていない場合、中継サーバ3は、アドレスを変換することなく、宛先が示す機器へパケットを転送する(S605)。
When the destination address of the packet is registered in association with its own address filter information, the virtual address assignment
また、中継サーバ3は、宛先アドレスが自身のアドレスフィルタ情報に対応付けて登録されていない場合、当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報に対応付けて登録されているか否かの判断を行う(S606)。当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報に対応付けて登録されている場合、中継サーバ3は、該当するルーティングセッションを特定し(S607)、このルーティングセッションへパケットを送信(転送)する(S608)。
Further, when the destination address is not registered in association with its own address filter information, the
一方、当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報にも登録されていない場合、中継サーバ3は、当該パケットを破棄する(S609)。
On the other hand, when the destination address is not registered in the address filter information of another routing device, the
以上の制御を行うことにより、仮想アドレスを利用して中継通信システム100による通信を行うことができる。
By performing the above control, communication by the
次に、上記の制御を行う中継サーバ3を介して、操作PC11と対象端末31とがパケットをやり取りするときの流れについて図17を参照して簡単に説明する。
Next, a flow when the
図17(a)は、対象端末31から操作PC11へパケットが送信される場合を示している。この場合、中継サーバ3は、LAN30からパケットを受信するため、図15に示す制御を行う。
FIG. 17A shows a case where a packet is transmitted from the
対象端末31は、上述のように操作PC11の仮想アドレスを宛先アドレスとしてパケットを送信する。このパケットを受信した中継サーバ3は、アドレスフィルタ情報(図9(a)を参照)に基づいて、パケットの宛先アドレスに対応するルーティング機器として中継サーバ1が記述されていることを認識してルーティングセッションを特定する(S506)。次に、中継サーバ3は、宛先アドレスが仮想アドレスであることを認識して、宛先アドレスを実際のアドレスに変換する(S508)。そして、中継サーバ3は、ルーティングセッションを介して中継サーバ1へパケットを送信する(S509)。
The
このパケットを受信した中継サーバ1は、アドレスフィルタ情報に基づいて、パケットの宛先アドレスに対応するルーティング機器として自身(中継サーバ1)が記述されていることを認識する。そして、中継サーバ1は、宛先の操作PC11へパケットを送信する。
The
図17(b)は、操作PC11から対象端末31へパケットが送信される場合を示している。この場合、中継サーバ3は、ルーティングセッションからパケットを受信するため、図16に示す制御を行う。
FIG. 17B shows a case where a packet is transmitted from the
操作PC11は、対象端末31の実際のアドレスを宛先アドレスとしてパケットを送信する。このパケットを受信した中継サーバ1は、パケットの宛先アドレスに対応するルーティング機器として中継サーバ3が記述されていることを認識する。そして、中継サーバ1は、ルーティングセッションを介して中継サーバ3へパケットを送信する処理を行う。
The
このパケットを受信した中継サーバ3は、アドレスフィルタ情報(図8(b)を参照)に基づいて、パケットの宛先アドレスに対応するルーティング機器として自身(中継サーバ3)が記述されていることを認識する。そして、中継サーバ3は、仮想アドレス割当情報記憶部57を参照して、送信元アドレスに仮想アドレスが割り当てられていることを認識する。そして、中継サーバ3は、送信元アドレスを仮想アドレスに変換して(S604)、宛先の対象端末31へパケットを送信する(S605)。
The
以上により、操作PC11と対象端末31との間で、当該操作PC11の実際のアドレスを隠蔽したままパケットのやり取りを行うことができる。そのため、セキュリティを確保しつつルーティング対象装置間で通信を行うことができる。
As described above, packets can be exchanged between the
以上に説明したように、本実施形態の中継サーバ3は、アドレスフィルタ情報記憶部55と、仮想アドレス割当情報記憶部57と、制御部6060と、を備える。アドレスフィルタ情報記憶部55は、第1ルーティング対象アドレス(対象端末31,32,33のアドレス)と、第2ルーティング対象アドレス(操作PC11,12のアドレス)と、を記憶する。仮想アドレス割当情報記憶部は、第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する。制御部60は、中継サーバ1とルーティング対象アドレスを交換して、ルーティングセッションを確立する。制御部60は、それぞれの操作PC11,12のアドレスでネットワーク部が同一となるように、かつ、中継サーバ2に割り当てた仮想アドレスのネットワーク部と異なるように、仮想アドレスを割り当てる。制御部60は、第1ルーティング対象装置から仮想アドレスを宛先とするパケットを受信した際に、パケットの宛先アドレスを第2ルーティング対象アドレスに変換してルーティングセッションへパケットを転送する。制御部60は、ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、パケットの送信元アドレスを仮想アドレスに変換して宛先の対象端末31,32,33へパケットを転送する。
As described above, the
これにより、同一のLANに接続されるルーティング対象装置の仮想アドレスのセグメントを同じにすることができる。従って、セキュリティを確保しつつ、アドレスからネットワークの構成が把握し易くすることができる。また、ユーザは、同じLANに接続されるルーティング対象装置の仮想アドレスをまとめて指定できるので、簡単な操作で、LAN単位でのリモートデスクトップの制限等を行うことができる。 Thereby, the segment of the virtual address of the routing object apparatus connected to the same LAN can be made the same. Therefore, it is possible to easily grasp the network configuration from the address while ensuring security. In addition, since the user can collectively specify the virtual addresses of the routing target devices connected to the same LAN, it is possible to restrict the remote desktop in units of LAN with a simple operation.
次に、上記実施形態と異なる構成の実施形態を説明する。図18は、別の実施形態に係るアドレスフィルタ情報及び仮想アドレスを示す図である。図19は、別の実施形態に係るルーティング制御を示す説明図である。なお、以下の説明においては、上記実施形態と同一又は類似の部材には図面に同一の符号を付し、説明を省略する場合がある。 Next, an embodiment having a configuration different from the above embodiment will be described. FIG. 18 is a diagram illustrating address filter information and virtual addresses according to another embodiment. FIG. 19 is an explanatory diagram illustrating routing control according to another embodiment. In the following description, members that are the same as or similar to those in the above embodiment are denoted by the same reference numerals in the drawings, and description thereof may be omitted.
上記実施形態では、中継サーバ3は、他の中継サーバのルーティング対象装置(即ち、操作PC11,12,21)に仮想アドレスを割り当てる。これに対し、本実施形態(別の実施形態)では、中継サーバ3は、自身のルーティング対象装置(即ち、対象端末31,32,33)に仮想アドレスを割り当てる。
In the above embodiment, the
従って、中継サーバ3は、アドレスフィルタ情報の交換後ではなく交換前に、仮想アドレスの割り当てを行い、割り当てた仮想アドレスを他の中継サーバへ送信する。また、中継サーバ3は、通信先の中継サーバ毎にネットワーク部が異なるように(即ち中継サーバ1と中継サーバ2でネットワーク部が異なるように)仮想アドレスを割り当てる。即ち、本実施形態では、1組のルーティング対象装置に対して、複数組の仮想アドレスが対応することなる。
Accordingly, the
以上により、中継サーバ1,2は、それぞれ図18(a),図18(b)に示すようなアドレスフィルタ情報を記憶する。
As described above, the
また、この仮想アドレスを用いて通信を行う場合、上記実施形態とアドレスの変換方法を異ならせることで、適切に通信を行うことができる。即ち、中継サーバ3は、第1ルーティング対象装置(対象端末31,32,33)からパケットを受信した場合、宛先アドレスではなく送信元アドレスを仮想アドレスに変換する。一方、中継サーバ3は、ルーティングセッションからパケットを受信した場合、送信元アドレスではなく宛先アドレスを実際のアドレスに変換する。
Further, when communication is performed using this virtual address, communication can be performed appropriately by making the address conversion method different from that of the above embodiment. That is, when the
これにより、中継サーバ3が送信する仮想アドレスのネットワーク部が通信先の中継サーバ1と中継サーバ2で異なるので、何れかのネットワーク部を含む仮想アドレスを一括して無効とすることで(例えば(150.100.20.0/24)を無効とすることで)、対応するLANからのアクセスを一括して制限することができる。
Thereby, since the network part of the virtual address transmitted by the
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。 The preferred embodiment of the present invention has been described above, but the above configuration can be modified as follows, for example.
仮想アドレスにおけるネットワーク部とホスト部の区切りは上記実施形態で示した位置に限られない。例えば、始めの16ビットがネットワーク部で、残りの16ビットがホスト部となる形式であっても良い。 The partition between the network part and the host part in the virtual address is not limited to the position shown in the above embodiment. For example, the first 16 bits may be a network part and the remaining 16 bits may be a host part.
IPv4形式のIPアドレスに代えて、IPv6形式のIPアドレスを用いることができる。この場合、仮想アドレスも同様にIPv6にしても良い。 An IPv6 format IP address may be used instead of the IPv4 format IP address. In this case, the virtual address may be IPv6 as well.
仮想アドレスの割当てを行うタイミングは任意であり、例えば、開始コマンドの送信とともにアドレスフィルタ情報を交換し、その直後に仮想アドレスを割り当てても良い。 The timing for assigning the virtual address is arbitrary. For example, the address filter information may be exchanged together with the transmission of the start command, and the virtual address may be assigned immediately thereafter.
上記では、中継サーバのみがルーティングポイントとして機能する構成であるが、クライアント端末がルーティングポイントとして機能する構成であっても良い。また、VPNグループ内のルーティングポイントの数は2つに限られず、3つ以上であっても良い。また、1つのルーティング機器が複数のVPNグループに所属していても良い。 In the above, only the relay server functions as a routing point. However, the client terminal may function as a routing point. Further, the number of routing points in the VPN group is not limited to two and may be three or more. One routing device may belong to a plurality of VPN groups.
上記の中継グループ情報、中継サーバ情報、クライアント端末情報、VPNグループ情報、アドレスフィルタ情報等を格納する形式はXML形式に限定されず、適宜の形式で各情報を格納することができる。 The format for storing the relay group information, relay server information, client terminal information, VPN group information, address filter information, etc. is not limited to the XML format, and each information can be stored in an appropriate format.
上記の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。 Instead of the above-described configuration, an external server used for communication between each relay server may be installed on the Internet, and a communication may be performed by exhibiting a function as a SIP (Session Initiation Protocol) server.
1 中継サーバ(第2中継サーバ)
3 中継サーバ(第1中継サーバ)
11,12 操作PC(第2ルーティング対象装置)
31,32,33 対象端末(第1ルーティング対象装置)
10 LAN(第2LAN)
30 LAN(第1LAN)
54 VPNグループ情報記憶部
55 アドレスフィルタ情報記憶部
56 仮想アドレス登録情報記憶部
57 仮想アドレス割当情報記憶部
60 制御部
100 中継通信システム
1 Relay server (second relay server)
3 Relay server (first relay server)
11, 12 Operation PC (second routing target device)
31, 32, 33 Target terminal (first routing target device)
10 LAN (second LAN)
30 LAN (first LAN)
54 VPN Group
Claims (8)
前記第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する仮想アドレス割当情報記憶部と、
制御部と、を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
受信した前記第2ルーティング対象アドレスにネットワーク部とホスト部とからなる前記仮想アドレスを割り当てる際に、それぞれの前記第2ルーティング対象アドレスでネットワーク部が同一となるように、かつ、当該ネットワーク部が前記第2ルーティング対象アドレス以外のルーティング対象アドレスのネットワーク部と異なるようにし、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する制御と、
前記第1ルーティング対象装置から前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第2ルーティング対象アドレスに変換して前記ルーティングセッションへパケットを転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照してパケットの送信元アドレスを、前記第2ルーティング対象アドレスに割り当てられた前記仮想アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する制御と、
を行うことを特徴とする中継サーバ。 A first routing target address that is an address of a first routing target device that is located in the first LAN and can transfer a packet, and an address of a second routing target device that can be transferred by a second relay server located in the second LAN An address filter information storage unit for storing the second routing target address,
A virtual address assignment information storage unit that stores the second routing target address and the virtual address assigned to the second routing target address in association with each other;
A control unit,
The controller is
A control for transmitting the first routing target address to the second relay server, receiving the second routing target address from the second relay server, and establishing a routing session with the second relay server;
When allocating the virtual address composed of a network unit and a host unit to the received second routing target address, the network unit is the same in each of the second routing target addresses, and the network unit is Control different from the network portion of the routing target address other than the second routing target address, and storing the allocation relationship in the virtual address allocation information storage unit;
When a packet destined for the virtual address is received from the first routing target device, the destination address of the packet is referred to the second routing target corresponding to the virtual address by referring to the virtual address allocation information storage unit Control to convert the address into a packet and transfer the packet to the routing session;
When a packet destined for the first routing target address is received from the routing session, the source address of the packet is allocated to the second routing target address with reference to the virtual address allocation information storage unit Control for converting the packet into a virtual address and transferring the packet to the destination first routing target device;
The relay server characterized by performing.
前記制御部は、前記第2ルーティング対象アドレスに前記仮想アドレスを割り当てる際に、他の前記第2ルーティング対象アドレスに前記仮想アドレスを割当て済みか否かを判断し、
当該他の第2ルーティング対象アドレスに前記仮想アドレスが割当て済みであった場合は、割当て済みの前記仮想アドレスのネットワーク部と同一になるように、新たな仮想アドレスを前記第2ルーティング対象アドレスに割り当てることを特徴とする中継サーバ。 The relay server according to claim 1,
The controller determines whether the virtual address has been assigned to another second routing target address when the virtual address is assigned to the second routing target address;
If the virtual address has already been assigned to the other second routing target address, a new virtual address is assigned to the second routing target address so as to be the same as the network part of the assigned virtual address. A relay server characterized by that.
前記制御部は、前記第2ルーティング対象アドレスに前記仮想アドレスを割り当てる際に、他の前記第2ルーティング対象アドレスに前記仮想アドレスを割当て済みか否かを判断し、
当該他の第2ルーティング対象アドレスに前記仮想アドレスが割当て済みでなかった場合は、前記第2ルーティング対象アドレス以外のルーティング対象アドレスとネットワーク部が異なるように、新たな仮想アドレスを前記第2ルーティング対象アドレスに割り当てることを特徴とする中継サーバ。 The relay server according to claim 1 or 2,
The controller determines whether the virtual address has been assigned to another second routing target address when the virtual address is assigned to the second routing target address;
If the virtual address has not been assigned to the other second routing target address, a new virtual address is assigned to the second routing target so that the routing target address other than the second routing target address is different from the network unit. A relay server that is assigned to an address.
前記制御部は、
前記第2ルーティング対象アドレスに割り当てる前記仮想アドレスのネットワーク部を予め受付可能であることを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
The controller is
The relay server, wherein a network part of the virtual address assigned to the second routing target address can be received in advance.
前記制御部は、前記第2ルーティング対象アドレスに割り当てる前記仮想アドレスのネットワーク部を自動的に決定することを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
The said control part determines automatically the network part of the said virtual address allocated to a said 2nd routing object address, The relay server characterized by the above-mentioned.
前記制御部は、前記仮想アドレスを利用せずに通信を行う旨の指示を受け付けた場合は、前記第2ルーティング対象アドレスを利用して通信を行うことを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 5,
When the control unit receives an instruction to perform communication without using the virtual address, the control unit performs communication using the second routing target address.
前記第1ルーティング対象アドレスと、当該第1ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する仮想アドレス割当情報記憶部と、
制御部と、を備え、
前記制御部は、
ネットワーク部とホスト部とからなる前記仮想アドレスのうちネットワーク部が互いに異なる複数組の前記仮想アドレスを、1組の前記第1ルーティング対象アドレスに割り当て、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する制御と、
前記第2中継サーバへ、当該第2中継サーバ以外の中継サーバに送信した前記仮想アドレスとネットワーク部が異なる前記仮想アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記ルーティングセッションから前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第1ルーティング対象アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの送信元アドレスを、前記第2中継サーバへ送信した前記仮想アドレスに変換して前記ルーティングセッションへパケットを転送する制御と、
を行うことを特徴とする中継サーバ。 A first routing target address that is an address of a first routing target device that is located in the first LAN and can transfer a packet, and an address of a second routing target device that can be transferred by a second relay server located in the second LAN An address filter information storage unit for storing the second routing target address,
A virtual address assignment information storage unit that stores the first routing target address and the virtual address assigned to the first routing target address in association with each other;
A control unit,
The controller is
Among the virtual addresses composed of a network part and a host part, a plurality of sets of virtual addresses having different network parts are assigned to a set of first routing target addresses, and the assignment relation is stored in the virtual address assignment information storage part. Control to memorize,
The virtual address transmitted to the second relay server is different from the virtual address transmitted to the relay server other than the second relay server, and the second routing target address is received from the second relay server. Control for establishing a routing session with the second relay server;
When a packet destined for the virtual address is received from the routing session, the destination address of the packet is converted into the first routing target address corresponding to the virtual address with reference to the virtual address allocation information storage unit And a control for transferring the packet to the first routing target device as a destination,
When a packet destined for the second routing target device is received from the first routing target device, the source address of the packet is transmitted to the second relay server with reference to the virtual address allocation information storage unit Control to convert the virtual address to the packet and transfer the packet to the routing session;
The relay server characterized by performing.
第1LAN内に位置する前記第1中継サーバは、
当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する仮想アドレス割当情報記憶部と、
制御部と、を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
受信した前記第2ルーティング対象アドレスにネットワーク部とホスト部とからなる前記仮想アドレスを割り当てる際に、それぞれの前記第2ルーティング対象アドレスでネットワーク部が同一となるように、かつ、当該ネットワーク部が前記第2ルーティング対象アドレス以外のルーティング対象アドレスのネットワーク部と異なるようにし、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する制御と、
前記第1ルーティング対象装置から前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第2ルーティング対象アドレスに変換して前記ルーティングセッションへパケットを転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照してパケットの送信元アドレスを、前記第2ルーティング対象アドレスに割り当てられた前記仮想アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する制御と、
を行うことを特徴とする中継通信システム。 In the relay communication system including the first relay server and the second relay server,
The first relay server located in the first LAN is
A first routing target address which is an address of a first routing target device to which the first relay server can transfer a packet, and a second routing target device to which the second relay server located in the second LAN can transfer a packet. An address filter information storage unit that stores a second routing target address that is an address;
A virtual address assignment information storage unit that stores a second routing target address and a virtual address assigned to the second routing target address in association with each other;
A control unit,
The controller is
A control for transmitting the first routing target address to the second relay server, receiving the second routing target address from the second relay server, and establishing a routing session with the second relay server;
When allocating the virtual address composed of a network unit and a host unit to the received second routing target address, the network unit is the same in each of the second routing target addresses, and the network unit is Control different from the network portion of the routing target address other than the second routing target address, and storing the allocation relationship in the virtual address allocation information storage unit;
When a packet destined for the virtual address is received from the first routing target device, the destination address of the packet is referred to the second routing target corresponding to the virtual address by referring to the virtual address allocation information storage unit Control to convert the address into a packet and transfer the packet to the routing session;
When a packet destined for the first routing target address is received from the routing session, the source address of the packet is allocated to the second routing target address with reference to the virtual address allocation information storage unit Control for converting the packet into a virtual address and transferring the packet to the destination first routing target device;
A relay communication system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011289541A JP2013141060A (en) | 2011-12-28 | 2011-12-28 | Relay server and relay communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011289541A JP2013141060A (en) | 2011-12-28 | 2011-12-28 | Relay server and relay communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013141060A true JP2013141060A (en) | 2013-07-18 |
Family
ID=49038156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011289541A Pending JP2013141060A (en) | 2011-12-28 | 2011-12-28 | Relay server and relay communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2013141060A (en) |
-
2011
- 2011-12-28 JP JP2011289541A patent/JP2013141060A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5682782B2 (en) | Relay server and relay communication system | |
JP5569697B2 (en) | Relay server and relay communication system | |
JP5668954B2 (en) | Relay server and relay communication system | |
JP5874354B2 (en) | Relay server and relay communication system | |
JP5621639B2 (en) | Relay server and relay communication system | |
JP5874356B2 (en) | Relay server and relay communication system | |
JP2012170008A (en) | Relay server and relay communication system | |
JP5773205B2 (en) | Relay server and relay communication system | |
JP2013141060A (en) | Relay server and relay communication system | |
JP5054666B2 (en) | VPN connection device, packet control method, and program | |
JP5920563B2 (en) | Relay server and relay communication system | |
JP2013141058A (en) | Relay server and relay communication system | |
JP2013141056A (en) | Relay server and relay communication system | |
JP5633693B2 (en) | Relay server and relay communication system | |
JP2010157856A (en) | Vpn connection device, packet control method, and program |