JP2013141060A - Relay server and relay communication system - Google Patents

Relay server and relay communication system Download PDF

Info

Publication number
JP2013141060A
JP2013141060A JP2011289541A JP2011289541A JP2013141060A JP 2013141060 A JP2013141060 A JP 2013141060A JP 2011289541 A JP2011289541 A JP 2011289541A JP 2011289541 A JP2011289541 A JP 2011289541A JP 2013141060 A JP2013141060 A JP 2013141060A
Authority
JP
Japan
Prior art keywords
address
relay server
routing
routing target
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011289541A
Other languages
Japanese (ja)
Inventor
Yasutake Ueda
泰毅 上田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP2011289541A priority Critical patent/JP2013141060A/en
Publication of JP2013141060A publication Critical patent/JP2013141060A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • Y02P70/54

Abstract

PROBLEM TO BE SOLVED: To provide a relay server that is configured to rationally assign a virtual address in the case a virtual address is used to perform communication using a VPN.SOLUTION: A relay server 3 stores the addresses of object terminals 31, 32, 33 and the addresses of operation PCs 11, 12. The relay server 3 exchanges a routing object address with a relay server 1, and establishes a routing session. The relay server 3 assigns the received addresses of the operation PCs 11, 12 virtual addresses so that the network parts of the respective addresses of the operation PCs 11, 12 will be the same and will be different from the network part of a virtual address assigned to another relay server. The relay server 3 relays communication between routing object devices by use of the virtual addresses.

Description

本発明は、主として、異なるLAN(Local Area Network)に接続されている機器間の通信を可能とする中継サーバに関する。   The present invention mainly relates to a relay server that enables communication between devices connected to different LANs (Local Area Networks).

従来から、物理的に離れた場所に設置されたLAN同士で通信を行う仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている。特許文献1に示す例では、物理的に離れた位置に設置された複数のLANのそれぞれに中継サーバ及び通信端末等が接続されている。通信端末は、このVPNを利用して、他のLANに接続された通信端末へパケットを送信することができる。具体的には、通信端末が送信するパケットは、初めに同一LAN内の中継サーバへ送られる。この中継サーバは、インターネットを介して、宛先の通信端末と同一のLAN内の中継サーバへパケットを送信(転送)する。そして、このパケットを受信した中継サーバは、宛先の通信端末へパケットを送信(転送)する。   2. Description of the Related Art Conventionally, a communication technique called a virtual private network (VPN) that performs communication between LANs installed at physically separated locations is known. In the example shown in Patent Document 1, a relay server, a communication terminal, and the like are connected to each of a plurality of LANs installed at physically separated positions. A communication terminal can transmit a packet to a communication terminal connected to another LAN using this VPN. Specifically, a packet transmitted by a communication terminal is first sent to a relay server in the same LAN. This relay server transmits (transfers) the packet to the relay server in the same LAN as the destination communication terminal via the Internet. The relay server that receives this packet transmits (transfers) the packet to the destination communication terminal.

このVPNを利用することにより、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。   By using this VPN, other remote LANs can be used as if they were directly connected networks.

特開2010−268312号公報JP 2010-268312 A

ところで、この種のシステムにおいては、LANに接続された端末のプライベートIPアドレス(以下、単にアドレスと称することがある)を用いて端末同士の通信を行っている。従って、VPNを利用した通信を行う場合、自分のLANに設定されたアドレスを相手側のLANへ送信する必要がある。   By the way, in this type of system, terminals communicate with each other using private IP addresses of terminals connected to the LAN (hereinafter sometimes simply referred to as addresses). Therefore, when performing communication using VPN, it is necessary to transmit the address set in its own LAN to the LAN on the other side.

この点、例えば同一企業同士でVPNを構築する場合、相手にIPアドレスを知られても問題にはなりにくい。しかし、異なる企業同士でVPNを構築する場合、セキュリティ上の観点から、相手にIPアドレスを知られることは好ましくない。   In this regard, for example, when a VPN is constructed between the same companies, even if the other party knows the IP address, it is unlikely to be a problem. However, when a VPN is constructed between different companies, it is not preferable that the IP address is known to the other party from the viewpoint of security.

そこで、本願発明者らは、上記の点を考慮して、仮想アドレスを利用してVPNによる通信を行う構成を開発した。しかし、この構成は、通信端末のアドレスに予め登録した仮想アドレスを順番に割り当てていく構成であり、異なるLANに接続される機器に連番で仮想アドレスが割り当てられることもあった。   In view of the above, the inventors of the present application have developed a configuration for performing communication by VPN using a virtual address. However, this configuration is a configuration in which virtual addresses registered in advance are sequentially assigned to the addresses of the communication terminals, and virtual addresses may be assigned sequentially to devices connected to different LANs.

このように仮想アドレスが割り当てられる場合、ユーザの混乱を招き、誤ったアドレスを指定してパケットを送信してしまうことが考えられる。また、アドレスを指定してリモートデスクトップ等の制限を行う場合、LAN毎に指定を行うことができず、手間が掛かっていた。   When virtual addresses are assigned in this way, it is conceivable that the user will be confused and a packet will be transmitted by specifying an incorrect address. Also, when specifying an address to restrict a remote desktop or the like, it is not possible to specify for each LAN, which is troublesome.

本発明は以上の事情に鑑みてされたものであり、その目的は、仮想アドレス用いてVPNを利用した通信を行う場合において、仮想アドレスを合理的に割り当てる構成の中継サーバを提供することにある。   The present invention has been made in view of the above circumstances, and an object thereof is to provide a relay server having a configuration in which virtual addresses are rationally allocated in the case of performing communication using VPN using virtual addresses. .

課題を解決するための手段及び効果Means and effects for solving the problems

本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。   The problems to be solved by the present invention are as described above. Next, means for solving the problems and the effects thereof will be described.

本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、仮想アドレス割当情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置し(中継サーバが)パケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記仮想アドレス割当情報記憶部は、前記第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する。前記制御部は、前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、受信した前記第2ルーティング対象アドレスにネットワーク部とホスト部とからなる前記仮想アドレスを割り当てる際に、それぞれの前記第2ルーティング対象アドレスでネットワーク部が同一となるように、かつ、当該ネットワーク部が前記第2ルーティング対象アドレス以外のルーティング対象アドレスのネットワーク部と異なるようにし、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する。前記制御部は、前記第1ルーティング対象装置から前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第2ルーティング対象アドレスに変換して前記ルーティングセッションへパケットを転送する。前記制御部は、前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照してパケットの送信元アドレスを、前記第2ルーティング対象アドレスに割り当てられた前記仮想アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する。   According to a first aspect of the present invention, a relay server having the following configuration is provided. That is, the relay server includes an address filter information storage unit, a virtual address allocation information storage unit, and a control unit. The address filter information storage unit is located in the first LAN (the relay server) is capable of transferring packets, and the first routing target address that is the address of the first routing target device and the second relay server located in the second LAN Stores the second routing target address that is the address of the second routing target device that can transfer the packet. The virtual address assignment information storage unit stores the second routing target address and the virtual address assigned to the second routing target address in association with each other. The control unit transmits the first routing target address to the second relay server, receives the second routing target address from the second relay server, and establishes a routing session with the second relay server. The controller, when assigning the virtual address composed of a network part and a host part to the received second routing target address, so that the network part is the same at each of the second routing target addresses, and The network unit is made different from the network unit of the routing target address other than the second routing target address, and the allocation relationship is stored in the virtual address allocation information storage unit. When the control unit receives a packet destined for the virtual address from the first routing target device, the control unit refers to the virtual address allocation information storage unit and associates the destination address of the packet with the virtual address. The packet is transferred to the routing session after being converted to the second routing target address. When the control unit receives a packet destined for the first routing target address from the routing session, the control unit refers to the virtual address allocation information storage unit to determine the source address of the packet as the second routing target address. And the packet is transferred to the destination first routing target device.

これにより、同一のLANに接続されるルーティング対象装置の仮想アドレスのセグメントを同じにすることができる。従って、セキュリティを確保しつつ、アドレスからネットワークの構成が把握し易くすることができる。また、ユーザは、同じLANに接続されるルーティング対象装置の仮想アドレスをまとめて指定できるので、簡単な操作で、LAN単位でのリモートデスクトップの制限等を行うことができる。   Thereby, the segment of the virtual address of the routing object apparatus connected to the same LAN can be made the same. Therefore, it is possible to easily grasp the network configuration from the address while ensuring security. In addition, since the user can collectively specify the virtual addresses of the routing target devices connected to the same LAN, it is possible to restrict the remote desktop in units of LAN with a simple operation.

前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、前記制御部は、前記第2ルーティング対象アドレスに前記仮想アドレスを割り当てる際に、他の前記第2ルーティング対象アドレスに前記仮想アドレスを割当て済みか否かを判断する。当該他の第2ルーティング対象アドレスに前記仮想アドレスが割当て済みであった場合は、割当て済みの前記仮想アドレスのネットワーク部と同一になるように、新たな仮想アドレスを前記第2ルーティング対象アドレスに割り当てる。   The relay server preferably has the following configuration. That is, the control unit determines whether or not the virtual address has been assigned to another second routing target address when the virtual address is assigned to the second routing target address. If the virtual address has already been assigned to the other second routing target address, a new virtual address is assigned to the second routing target address so as to be the same as the network part of the assigned virtual address. .

これにより、第2ルーティング対象アドレスに割り当てられた仮想アドレスのネットワーク部を確実に同一にすることができる。   As a result, the network part of the virtual address assigned to the second routing target address can be reliably made the same.

前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、前記制御部は、前記第2ルーティング対象アドレスに前記仮想アドレスを割り当てる際に、他の前記第2ルーティング対象アドレスに前記仮想アドレスを割当て済みか否かを判断する。当該他の第2ルーティング対象アドレスに前記仮想アドレスが割当て済みでなかった場合は、前記第2ルーティング対象アドレス以外のルーティング対象アドレスとネットワーク部が異なるように、新たな仮想アドレスを前記第2ルーティング対象アドレスに割り当てる。   The relay server preferably has the following configuration. That is, the control unit determines whether or not the virtual address has been assigned to another second routing target address when the virtual address is assigned to the second routing target address. If the virtual address has not been assigned to the other second routing target address, a new virtual address is assigned to the second routing target so that the routing target address other than the second routing target address is different from the network unit. Assign to an address.

これにより、第2ルーティング対象装置に仮想アドレスをまだ割り当てていない場合であっても、他の仮想アドレスとネットワーク部が被らないように新たな仮想アドレスを割り当てることができる。   As a result, even if a virtual address has not yet been assigned to the second routing target device, a new virtual address can be assigned so as not to cover other virtual addresses and the network unit.

前記の中継サーバにおいては、前記第2ルーティング対象アドレスに割り当てる前記仮想アドレスのネットワーク部を予め受付可能であることが好ましい。   In the relay server, it is preferable that the network unit of the virtual address assigned to the second routing target address can be received in advance.

これにより、第2ルーティング対象アドレスに割り当てられる仮想アドレスのネットワーク部が接続毎に変化しないので、ネットワーク部が示すLANを一層分かり易くすることができる。従って、パケットの送信先又はリモートデスクトップの制限対象について選択ミスをより低減することができる。   Thereby, since the network part of the virtual address assigned to the second routing target address does not change every connection, the LAN indicated by the network part can be made easier to understand. Accordingly, it is possible to further reduce selection mistakes regarding the packet transmission destination or the remote desktop restriction target.

前記の中継サーバにおいては、前記制御部は、前記第2ルーティング対象アドレスに割り当てる前記仮想アドレスのネットワーク部を自動的に決定することが好ましい。   In the relay server, it is preferable that the control unit automatically determines a network unit of the virtual address to be allocated to the second routing target address.

これにより、ルーティング対象装置にどの仮想アドレスを割り当てるかを予め設定しなくて良いため、ユーザの手間を省くことができる。また、上記の構成は、1つの仮想アドレスを複数の中継サーバで使いまわすことができるので、仮想アドレスとして予め確保しておくアドレスを少なくすることができる。従って、将来的なネットワークの拡張等に柔軟に対応することができる。   Thereby, since it is not necessary to set in advance which virtual address is assigned to the routing target device, it is possible to save the user's trouble. In the above configuration, since one virtual address can be reused by a plurality of relay servers, the number of addresses reserved in advance as virtual addresses can be reduced. Accordingly, it is possible to flexibly cope with future network expansion and the like.

前記の中継サーバにおいては、前記制御部は、前記仮想アドレスを利用せずに通信を行う旨の指示を受け付けた場合は、前記第2ルーティング対象アドレスを利用して通信を行うことが好ましい。   In the relay server, the control unit preferably performs communication using the second routing target address when receiving an instruction to perform communication without using the virtual address.

これにより、例えば割当可能な仮想アドレスが存在しない場合であっても、VPNの開始処理をやり直すことなく、ルーティング対象装置同士で通信を行うことができる。   Thereby, even if there is no assignable virtual address, for example, the routing target devices can communicate with each other without redoing the VPN start process.

本発明の第2の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、仮想アドレス割当情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置し(中継サーバが)パケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記仮想アドレス割当情報記憶部は、前記第1ルーティング対象アドレスと、当該第1ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する。前記制御部は、ネットワーク部とホスト部とからなる前記仮想アドレスのうちネットワーク部が互いに異なる複数組の前記仮想アドレスを、1組の前記第1ルーティング対象アドレスに割り当て、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する。前記制御部は、前記第2中継サーバへ、当該第2中継サーバ以外の中継サーバに送信した前記仮想アドレスとネットワーク部が異なる前記仮想アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記ルーティングセッションから前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第1ルーティング対象アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの送信元アドレスを、前記第2中継サーバへ送信した前記仮想アドレスに変換して前記ルーティングセッションへパケットを転送する。   According to a second aspect of the present invention, a relay server having the following configuration is provided. That is, the relay server includes an address filter information storage unit, a virtual address allocation information storage unit, and a control unit. The address filter information storage unit is located in the first LAN (the relay server) is capable of transferring packets, and the first routing target address that is the address of the first routing target device and the second relay server located in the second LAN Stores the second routing target address that is the address of the second routing target device that can transfer the packet. The virtual address assignment information storage unit stores the first routing target address and the virtual address assigned to the first routing target address in association with each other. The control unit allocates a plurality of sets of virtual addresses having different network units among the virtual addresses composed of a network unit and a host unit to a set of first routing target addresses, and assigns the allocation relationship to the virtual address Store in the allocation information storage unit. The control unit transmits the virtual address having a network part different from the virtual address transmitted to the relay server other than the second relay server to the second relay server, and transmits the second routing from the second relay server to the second routing server. A target address is received and a routing session is established with the second relay server. When the control unit receives a packet destined for the virtual address from the routing session, the control unit refers to the virtual address assignment information storage unit and sets the destination address of the packet corresponding to the virtual address to the first address. The packet is transferred to the routing target address and transferred to the destination first routing target device. When the control unit receives a packet destined for the second routing target device from the first routing target device, the control unit refers to the virtual address allocation information storage unit to determine the source address of the packet in the first routing target device. 2 Convert the packet to the virtual address transmitted to the relay server and transfer the packet to the routing session.

これにより、中継サーバが送信する仮想アドレスのネットワーク部が通信先のLAN毎に異なるので、所定のネットワーク部の仮想アドレスを無効とすることで、対応するLANからのアクセスを一括して制限することができる。   As a result, since the network part of the virtual address transmitted by the relay server is different for each communication destination LAN, the access from the corresponding LAN can be restricted in a lump by invalidating the virtual address of the predetermined network part. Can do.

本発明の第3の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、第1中継サーバ及び第2中継サーバを含んで構成される。第1LAN内に位置する前記第1中継サーバは、アドレスフィルタ情報記憶部と、仮想アドレス割当情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記仮想アドレス割当情報記憶部は、第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する。前記制御部は、前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、受信した前記第2ルーティング対象アドレスにネットワーク部とホスト部とからなる前記仮想アドレスを割り当てる際に、それぞれの前記第2ルーティング対象アドレスでネットワーク部が同一となるように、かつ、当該ネットワーク部が前記第2ルーティング対象アドレス以外のルーティング対象アドレスのネットワーク部と異なるようにし、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する。前記制御部は、前記第1ルーティング対象装置から前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第2ルーティング対象アドレスに変換して前記ルーティングセッションへパケットを転送する。前記制御部は、前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照してパケットの送信元アドレスを、前記第2ルーティング対象アドレスに割り当てられた前記仮想アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する。   According to the 3rd viewpoint of this invention, the relay communication system of the following structures is provided. That is, the relay communication system includes a first relay server and a second relay server. The first relay server located in the first LAN includes an address filter information storage unit, a virtual address allocation information storage unit, and a control unit. The address filter information storage unit includes a first routing target address that is an address of a first routing target device to which the first relay server can transfer a packet, and the second relay server located in a second LAN transfers the packet. And a second routing target address that is an address of a possible second routing target device. The virtual address assignment information storage unit stores a second routing target address and a virtual address assigned to the second routing target address in association with each other. The control unit transmits the first routing target address to the second relay server, receives the second routing target address from the second relay server, and establishes a routing session with the second relay server. The controller, when assigning the virtual address composed of a network part and a host part to the received second routing target address, so that the network part is the same at each of the second routing target addresses, and The network unit is made different from the network unit of the routing target address other than the second routing target address, and the allocation relationship is stored in the virtual address allocation information storage unit. When the control unit receives a packet destined for the virtual address from the first routing target device, the control unit refers to the virtual address allocation information storage unit and associates the destination address of the packet with the virtual address. The packet is transferred to the routing session after being converted to the second routing target address. When the control unit receives a packet destined for the first routing target address from the routing session, the control unit refers to the virtual address allocation information storage unit to determine the source address of the packet as the second routing target address. And the packet is transferred to the destination first routing target device.

これにより、ユーザは、通信状況や通信の許可状況等を即座に把握することができる。また、同じLANに接続されるルーティング対象装置をまとめて指定できるので、例えばリモートデスクトップの利用をLAN単位で容易に制限することができる。   Thereby, the user can immediately grasp the communication status, the communication permission status, and the like. In addition, since the routing target devices connected to the same LAN can be specified collectively, for example, the use of the remote desktop can be easily restricted in units of LAN.

本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。BRIEF DESCRIPTION OF THE DRAWINGS Explanatory drawing which shows the whole structure of the relay communication system which concerns on one Embodiment of this invention. 中継サーバの機能ブロック図。The functional block diagram of a relay server. 中継グループ情報の内容を示す図。The figure which shows the content of relay group information. 中継サーバ情報の内容を示す図。The figure which shows the content of relay server information. クライアント端末情報の内容を示す図。The figure which shows the content of client terminal information. VPNグループ情報の内容を示す図。The figure which shows the content of VPN group information. それぞれの中継サーバに予め登録されるアドレスフィルタ情報の内容を示す図。The figure which shows the content of the address filter information registered beforehand in each relay server. VPNの構築後に中継サーバ3が記憶するアドレスフィルタ情報及び仮想アドレスを示す図。The figure which shows the address filter information and virtual address which the relay server 3 memorize | stores after construction | assembly of VPN. 仮想アドレス登録情報の内容及び仮想アドレスの構成を示す図。The figure which shows the content of virtual address registration information, and the structure of a virtual address. 予め中継サーバに行う設定を示すフローチャート。The flowchart which shows the setting performed to a relay server beforehand. VPNグループを作成する処理を示すフローチャート。The flowchart which shows the process which produces a VPN group. VPNを構築する処理を示すフローチャート。The flowchart which shows the process which builds VPN. VPNを構築する処理を示すフローチャート。The flowchart which shows the process which builds VPN. 仮想アドレスの割り当てを行う際に中継サーバが行う処理を示すフローチャート。The flowchart which shows the process which a relay server performs when allocating a virtual address. LANからパケットを受信したときに中継サーバが行うルーティング制御を示すフローチャート。The flowchart which shows the routing control which a relay server performs when a packet is received from LAN. ルーティングセッションからパケットを受信したときに中継サーバが行うルーティング制御を示すフローチャート。The flowchart which shows the routing control which a relay server performs when a packet is received from a routing session. 仮想アドレスを用いたルーティング制御を示す説明図。Explanatory drawing which shows the routing control using a virtual address. 別の実施形態に係るアドレスフィルタ情報及び仮想アドレスを示す図。The figure which shows the address filter information and virtual address which concern on another embodiment. 別の実施形態に係るルーティング制御を示す説明図。Explanatory drawing which shows the routing control which concerns on another embodiment.

次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本実施形態に係る中継通信システム100の全体構成を示す説明図である。   Next, embodiments of the present invention will be described with reference to the drawings. First, an overview of the relay communication system 100 of the present embodiment will be described with reference to FIG. FIG. 1 is an explanatory diagram showing the overall configuration of the relay communication system 100 according to the present embodiment.

図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数のLAN10,20,30で構成されている。それぞれのLAN10,20,30は、限定された場所で構築される比較的小規模なネットワークである。また、LAN10,20,30は、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。   As shown in FIG. 1, this relay communication system 100 includes a plurality of LANs 10, 20, and 30 connected to a wide area network (WAN) 80. Each of the LANs 10, 20, and 30 is a relatively small network constructed in a limited place. Further, the LANs 10, 20, and 30 are arranged at locations that are physically separated from each other. In the present embodiment, the Internet is used as the WAN 80.

以下、それぞれのLANを具体的に説明する。図1に示すように、LAN(第2LAN)10には、中継サーバ(第2中継サーバ)1と、第2ルーティング対象装置としての操作PC11,12と、クライアント端末13と、が接続されている。LAN20には、中継サーバ2と、操作PC21と、クライアント端末22と、が接続されている。LAN(第1LAN)30には、中継サーバ(第1中継サーバ)3と、第1ルーティング対象装置としての対象端末31,32,33と、クライアント端末34と、が接続されている。   Each LAN will be specifically described below. As shown in FIG. 1, a relay server (second relay server) 1, operation PCs 11 and 12 as second routing target devices, and a client terminal 13 are connected to a LAN (second LAN) 10. . A relay server 2, an operation PC 21, and a client terminal 22 are connected to the LAN 20. Connected to the LAN (first LAN) 30 are a relay server (first relay server) 3, target terminals 31, 32 and 33 as first routing target devices, and a client terminal 34.

それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続された機器と通信可能であるだけでなく、他のLANに配置された中継サーバとも通信可能となっている。操作PC11,12,21は、例えばオペレータが操作するためのパーソナルコンピュータである。対象端末31,32,33は、パーソナルコンピュータ、又は、ファイルサーバ等であり、例えばオペレータは、操作PC11等を操作して、対象端末31等に所定のデータを要求すること、及び、対象端末31の記憶内容を更新することが想定されている。クライアント端末13,22,34は、例えばパーソナルコンピュータで構成されており、それぞれ自身が所属する中継サーバ1,2,3を介して、互いに通信可能である。   Since each of the relay servers 1, 2, and 3 is connected not only to the LANs 10, 20, and 30 but also to the WAN 80, it can communicate with devices connected to the same LAN and is also arranged in another LAN. It is also possible to communicate with the relay server. The operation PCs 11, 12, and 21 are personal computers that are operated by an operator, for example. The target terminals 31, 32, and 33 are personal computers or file servers. For example, the operator operates the operation PC 11 or the like to request predetermined data from the target terminal 31 or the like, and the target terminal 31 It is assumed that the stored content of is updated. The client terminals 13, 22, and 34 are configured by, for example, a personal computer, and can communicate with each other via the relay servers 1, 2, and 3 to which the client terminals 13, 22, and 34 belong.

次に、図2を参照して、中継サーバ1,2,3の詳細な構成について説明する。図2は、中継サーバ3の機能ブロック図である。なお、中継サーバ3は中継サーバ1,2と略同じ構成であるので、以下では、主として中継サーバ3について説明する。   Next, a detailed configuration of the relay servers 1, 2, and 3 will be described with reference to FIG. FIG. 2 is a functional block diagram of the relay server 3. Since the relay server 3 has substantially the same configuration as the relay servers 1 and 2, the relay server 3 will be mainly described below.

図2に示すように、中継サーバ3は、記憶部50と、制御部60と、インタフェース部70と、を備えている。   As illustrated in FIG. 2, the relay server 3 includes a storage unit 50, a control unit 60, and an interface unit 70.

インタフェース部70は、LAN10内の端末に対して通信を実行する。また、インタフェース部70は、WAN80に対して通信を実行する。インタフェース部70は、LAN30又はWAN80から受信したパケットに適宜の処理を行って制御部60へ出力する。   The interface unit 70 performs communication with terminals in the LAN 10. The interface unit 70 performs communication with the WAN 80. The interface unit 70 performs an appropriate process on the packet received from the LAN 30 or the WAN 80 and outputs the packet to the control unit 60.

制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。具体的には、制御部60は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて宛先を決定し、決定した宛先へ当該パケットを送信する。また、制御部60は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。   The control unit 60 is a CPU having control and calculation functions, for example, and can execute various processes by a program read from the storage unit 50. The control unit 60 can control various communications according to protocols such as TCP / IP, UDP, and SIP. Specifically, the control unit 60 determines a destination of the received packet based on information indicated by the packet and information stored in the storage unit 50, and transmits the packet to the determined destination. Moreover, the control part 60 can update the memory content of the memory | storage part 50 based on the information received from the other terminal.

記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、クライアント端末情報記憶部53と、VPNグループ情報記憶部54と、アドレスフィルタ情報記憶部55と、仮想アドレス登録情報記憶部56と、仮想アドレス割当情報記憶部57と、を備えている。以下、図3から図9までを参照して、記憶部50の記憶内容について説明する。図3から図9までは、主として、中継サーバ3の記憶部50の記憶内容を示す図である。   The storage unit 50 is composed of, for example, a hard disk or a nonvolatile RAM, and can store various data. The storage unit 50 includes a relay group information storage unit 51, a relay server information storage unit 52, a client terminal information storage unit 53, a VPN group information storage unit 54, an address filter information storage unit 55, and a virtual address registration information storage. Unit 56 and virtual address allocation information storage unit 57. Hereinafter, the contents stored in the storage unit 50 will be described with reference to FIGS. 3 to 9. 3 to 9 are diagrams mainly showing the storage contents of the storage unit 50 of the relay server 3.

中継グループ情報記憶部51は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。   The relay group information storage unit 51 stores relay group information indicating a relay group and a relay server that constitutes the relay group.

図3に示すように、中継グループ情報においては、groupタグと、このgroupタグを親要素とする子要素のsiteタグと、が記述されている。groupタグには中継グループに関するグループ情報511が記述されている。このグループ情報511としては、中継グループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、中継グループの名称(「name」)と、が記述されている。siteタグには、中継グループを構成する中継サーバに関するグループ構成情報512が記述されている。このグループ構成情報512には、当該中継サーバの識別情報(「id」)が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。   As shown in FIG. 3, in the relay group information, a group tag and a site tag of a child element whose parent element is the group tag are described. In the group tag, group information 511 related to the relay group is described. As the group information 511, relay group identification information (“id”), last update time (“lastmod”), and relay group name (“name”) are described. In the site tag, group configuration information 512 related to the relay server that configures the relay group is described. In this group configuration information 512, identification information (“id”) of the relay server is described. Further, additional relay groups can be created. In this case, unique identification information different from other relay groups is given to the new relay group. As a result, settings such as data exchange only within a specific relay group are possible.

なお、この中継グループ情報は、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。   This relay group information is shared between the relay servers 1, 2, and 3 that constitute the relay group. When a process for changing a relay group is performed in a certain relay server, the fact is transmitted to the other relay server and the relay group information is updated. In this way, relay group information is dynamically shared.

中継サーバ情報記憶部52は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。   The relay server information storage unit 52 stores relay server information indicating an outline of a relay server that performs relay communication and a client terminal that belongs to the relay server.

図4に示す中継サーバ情報においては、中継サーバ毎に記述されるsiteタグと、前記siteタグを親要素とする子要素のnodeタグと、が記述されている。siteタグには中継サーバ1に関するサーバ情報521が記述されている。このサーバ情報521としては、中継サーバの識別情報(「id」)と、中継サーバの名称(「name」)と、起動情報(「stat」)と、が記述されている。なお、「stat」の内容が「active」の場合は中継サーバが中継通信システム100にログインしていることを示し、statが空欄であるときはログオフ中であることを示す。siteタグの子要素であるnodeタグには、中継サーバに所属するクライアント端末を示す所属情報522が記述されている。所属情報522としては、所属する中継グループの名称(「group」)と、クライアント端末の識別情報(「id」)と、クライアント端末の名称(「name」)と、所属先の中継サーバの識別情報(「site」)と、が記述されている。なお、クライアント端末が中継通信システム100にログインしていないときは、「site」は空欄となる。   In the relay server information shown in FIG. 4, a site tag described for each relay server and a node tag of a child element whose parent element is the site tag are described. In the site tag, server information 521 regarding the relay server 1 is described. As the server information 521, relay server identification information (“id”), a relay server name (“name”), and activation information (“stat”) are described. When the content of “stat” is “active”, it indicates that the relay server is logged in to the relay communication system 100, and when stat is blank, it indicates that the log-off is being performed. In a node tag that is a child element of the site tag, affiliation information 522 indicating a client terminal belonging to the relay server is described. The belonging information 522 includes the name of the relay group to which it belongs (“group”), the identification information of the client terminal (“id”), the name of the client terminal (“name”), and the identification information of the relay server to which it belongs. ("Site"). When the client terminal is not logged in to the relay communication system 100, “site” is blank.

なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末13からクライアント端末22にパケットを送信する場合、初めに、クライアント端末13は、自身が接続している中継サーバである中継サーバ1にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ1は、これらの情報に基づいて、クライアント端末22が接続している中継サーバである中継サーバ2へパケットを転送する。そして、このパケットを受信した中継サーバ2がクライアント端末22へパケットを転送する。このようにして、クライアント端末13,22同士で中継通信を行うことができる。   Note that the communication by the relay group is performed as follows based on the relay group information and the relay server information. For example, when a packet is transmitted from the client terminal 13 to the client terminal 22, the client terminal 13 first transmits the packet to the relay server 1 that is a relay server to which the client terminal 13 is connected. The relay server capable of exchanging packets can be grasped based on the above relay group information, and the identification information of the client terminal belonging to the relay server and the connection possibility can be determined based on the above relay server information. I can grasp it. Based on these pieces of information, the relay server 1 transfers the packet to the relay server 2 that is a relay server to which the client terminal 22 is connected. The relay server 2 that has received this packet transfers the packet to the client terminal 22. Thus, relay communication can be performed between the client terminals 13 and 22.

この中継サーバ情報に関しても中継グループ情報と同様に、当該中継グループを構成する中継サーバ1,2,3の間で情報が共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。   As with the relay group information, the relay server information is shared between the relay servers 1, 2, and 3 that constitute the relay group. When a process for changing the relay server information is performed in a certain relay server, the fact is transmitted to the other relay server and the relay server information is updated. In this way, the relay server information is dynamically shared.

クライアント端末情報記憶部53は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ1,2,3は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。中継サーバ3には、クライアント端末34が所属しているため、中継サーバ3が備えるクライアント端末情報記憶部53には、クライアント端末34についてのクライアント端末情報のみが記憶されている。   The client terminal information storage unit 53 stores client terminal information that is detailed information about the client terminal. Note that the relay servers 1, 2, and 3 store only client terminal information related to client terminals belonging to the relay server. Since the client terminal 34 belongs to the relay server 3, only the client terminal information about the client terminal 34 is stored in the client terminal information storage unit 53 provided in the relay server 3.

中継サーバ3のクライアント端末情報記憶部53が記憶するクライアント端末情報は、図5(c)に示されている。同様に、中継サーバ1が記憶するクライアント端末情報が図5(a)に、中継サーバ2が記憶するクライアント端末情報が図5(b)に、それぞれ示されている。   The client terminal information stored in the client terminal information storage unit 53 of the relay server 3 is shown in FIG. Similarly, the client terminal information stored in the relay server 1 is shown in FIG. 5A, and the client terminal information stored in the relay server 2 is shown in FIG. 5B.

図5に示すクライアント端末情報においては、nodeタグが記述されている。このnodeタグには、クライアント端末のプライベートIPアドレス(「addr」)と、所属する中継グループの名称(「group」)と、識別情報(「id」)と、名称(「name」)と、中継サーバにログインするためのパスワード(「pass」)と、ポート情報(「port」)と、が記述されている。   In the client terminal information shown in FIG. 5, a node tag is described. The node tag includes a private IP address (“addr”) of the client terminal, a name of the relay group to which the client terminal belongs (“group”), identification information (“id”), a name (“name”), a relay A password for logging in to the server (“pass”) and port information (“port”) are described.

VPNグループ情報記憶部54は、中継グループを構成する中継サーバ及びクライアント端末からルーティングポイントとして選択された機器(以下、ルーティング機器と称する)で構成されたVPNグループに関する情報であるVPNグループ情報を記憶している。同一のVPNグループに所属するルーティング機器同士でルーティングセッションを確立させることにより、VPNを利用した通信を開始することができる。   The VPN group information storage unit 54 stores VPN group information, which is information related to a VPN group configured by a relay server and a device selected as a routing point from the client terminal (hereinafter referred to as a routing device). ing. By establishing a routing session between routing devices belonging to the same VPN group, communication using VPN can be started.

図6に示すVPNグループ情報においては、vnetタグが記述されている。このvnetタグには、VPNグループ基本情報541と、ルーティングポイント情報542と、ルーティングセッション情報543と、が記述されている。VPNグループ基本情報541には、VPNグループが所属する中継グループの名称(「group」)と、VPNグループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、VPNグループの名称(「name」)と、が記述されている。ルーティングポイント情報542には、VPNグループ間で通信を行うときにルーティングを行うルーティング機器の識別情報が記述されている。図6(a)の例においては、ルーティング機器として、中継サーバ1と、中継サーバ3と、が記述されている。ルーティングセッション情報543には、VPNグループにおいて互いに接続されるルーティング機器が記述されている。ルーティングセッション情報543において、ルーティング機器は、VPNグループでVPNを構築して通信を開始するためのルーティングセッション確立処理において、通信制御を最初に行う側(「sp(start point)」)と、その通信制御を受ける側(「ep(end point)」)と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング機器を「始点」と、その通信制御を受ける側のルーティング機器を「終点」と、それぞれ称することがある。   In the VPN group information shown in FIG. 6, a vnet tag is described. In this vnet tag, VPN group basic information 541, routing point information 542, and routing session information 543 are described. The VPN group basic information 541 includes a relay group name (“group”) to which the VPN group belongs, a VPN group identification information (“id”), a last update time (“lastmod”), and a VPN group name. ("Name"). The routing point information 542 describes identification information of a routing device that performs routing when communication is performed between VPN groups. In the example of FIG. 6A, a relay server 1 and a relay server 3 are described as routing devices. The routing session information 543 describes routing devices connected to each other in the VPN group. In the routing session information 543, the routing device first performs communication control (“sp (start point)”) in the routing session establishment process for establishing the VPN in the VPN group and starting communication, and its communication. It is determined separately for the control side (“ep (end point)”). In the following description, a routing device that first performs communication control for establishing a routing session may be referred to as a “start point”, and a routing device that receives the communication control may be referred to as a “end point”.

図6(a)に示すVPNグループ情報からは、VPNグループ(VPN−GROUP1)が、中継サーバ1と中継サーバ3とで構成されることが分かる。また、このVPN−GROUP1での通信の開始時には、中継サーバ3から中継サーバ1へルーティングセッションを確立するための通信制御が行われることが分かる。同様に、図6(b)に示すVPNグループ情報からは、VPN−GROUP2が、中継サーバ2と中継サーバ3とで構成されることが分かる。また、この、VPN−GROUP2での通信の開始時には、中継サーバ3から中継サーバ2へルーティングセッションを確立するための通信制御が行われることが分かる。   From the VPN group information shown in FIG. 6A, it can be seen that the VPN group (VPN-GROUP 1) is composed of the relay server 1 and the relay server 3. It can also be seen that at the start of communication in the VPN-GROUP 1, communication control for establishing a routing session from the relay server 3 to the relay server 1 is performed. Similarly, from the VPN group information shown in FIG. 6B, it can be seen that VPN-GROUP 2 is composed of the relay server 2 and the relay server 3. Further, it can be seen that at the start of communication in the VPN-GROUP 2, communication control for establishing a routing session from the relay server 3 to the relay server 2 is performed.

このVPNグループ情報も中継サーバ情報及び中継グループ情報と同様に、同じVPNグループに所属する中継サーバの間で共有されている。そして、ある中継サーバにおいてVPNグループ情報を変更する処理が行われた場合は、同じVPNグループに所属する他の中継サーバに対してその旨が送信されてVPNグループ情報が更新される。このようにして、VPNグループ情報が動的に共有される。なお、このVPNグループを作成する処理については後述する。   This VPN group information is also shared among relay servers belonging to the same VPN group, similarly to the relay server information and the relay group information. When a process for changing VPN group information is performed in a certain relay server, the fact is transmitted to other relay servers belonging to the same VPN group, and the VPN group information is updated. In this way, VPN group information is dynamically shared. The process for creating this VPN group will be described later.

アドレスフィルタ情報記憶部55は、VPNを利用したルーティング制御を行う際に用いられる情報であるアドレスフィルタ情報を記憶する。アドレスフィルタ情報記憶部55は、VPNの構築前においては、中継サーバ3自身がパケットを直接的に送信可能な装置(ルーティング対象装置)を示す情報(中継サーバ3のアドレスフィルタ情報)を記憶する。なお、アドレスフィルタ情報には、ルーティング対象装置のアドレス(ルーティング対象アドレス)と、ルーティング対象装置の名称と、が含まれる。   The address filter information storage unit 55 stores address filter information that is information used when performing routing control using VPN. The address filter information storage unit 55 stores information (address filter information of the relay server 3) indicating a device (routing target device) to which the relay server 3 itself can directly transmit a packet before the VPN is constructed. The address filter information includes the address of the routing target device (routing target address) and the name of the routing target device.

図7(c)には、中継サーバ3自身に予め登録されたアドレスフィルタ情報の例が示されている。この例では、中継サーバ3がパケットを直接的に送信可能な機器が対象端末31,32,33であることが記述されている。なお、図7(a)には、中継サーバ1に予め登録されたアドレスフィルタ情報が示され、図7(b)には、中継サーバ2に予め登録されたアドレスフィルタ情報が示されている。   FIG. 7C shows an example of address filter information registered in advance in the relay server 3 itself. In this example, it is described that devices to which the relay server 3 can directly transmit packets are the target terminals 31, 32, and 33. 7A shows the address filter information registered in advance in the relay server 1, and FIG. 7B shows the address filter information registered in advance in the relay server 2.

上述のように、中継サーバ3のアドレスフィルタ情報記憶部55は、VPNを構築する前においては、図7(c)に示すアドレスフィルタ情報のみを記憶する。そして、中継サーバ3は、例えば中継サーバ1とルーティングセッションを確立させるときに、自身に予め登録されたアドレスフィルタ情報(図7(c))を中継サーバ1へ送信するとともに、中継サーバ1からアドレスフィルタ情報(図7(a))を受信する。そして、中継サーバ3は、中継サーバ1のアドレスフィルタ情報を当該中継サーバ1の識別情報と対応付けてアドレスフィルタ情報記憶部55に記憶する。   As described above, the address filter information storage unit 55 of the relay server 3 stores only the address filter information shown in FIG. 7C before constructing the VPN. When the relay server 3 establishes a routing session with the relay server 1, for example, the relay server 3 transmits address filter information (FIG. 7C) registered in advance to the relay server 1 and addresses from the relay server 1. The filter information (FIG. 7A) is received. Then, the relay server 3 stores the address filter information of the relay server 1 in the address filter information storage unit 55 in association with the identification information of the relay server 1.

これにより、中継サーバ3のアドレスフィルタ情報記憶部55には、自身のアドレスフィルタ情報に加え、図8(a)に示すように、中継サーバ1のアドレスフィルタ情報が記憶されることになる。同様に、中継サーバ1のアドレスフィルタ情報記憶部55には、中継サーバ1及び中継サーバ3のアドレスフィルタ情報が記憶される。そして、中継サーバ1,3は、この取得したアドレスに基づいて、ルーティング制御を行う(詳細な制御については後述)。なお、以下では、中継サーバ3のアドレスフィルタ情報に含まれるルーティング対象アドレス(対象端末31,32,33のアドレス)を第1ルーティング対象アドレスと称し、中継サーバ1のアドレスフィルタ情報に含まれるルーティング対象アドレス(操作PC11,12のアドレス)を第2ルーティング対象アドレスと称することがある。   As a result, the address filter information storage unit 55 of the relay server 3 stores the address filter information of the relay server 1 as shown in FIG. 8A in addition to its own address filter information. Similarly, the address filter information storage unit 55 of the relay server 1 stores the address filter information of the relay server 1 and the relay server 3. Then, the relay servers 1 and 3 perform routing control based on the acquired address (detailed control will be described later). Hereinafter, a routing target address (addresses of target terminals 31, 32, and 33) included in the address filter information of the relay server 3 is referred to as a first routing target address, and the routing target included in the address filter information of the relay server 1 The address (the address of the operation PCs 11 and 12) may be referred to as a second routing target address.

本実施形態では、中継サーバ1と中継サーバ3とでルーティングセッションを確立して通信を行う場合(VPN−GROUP1で通信を行う場合)、中継サーバ3と対象端末31,32,33との間の通信では、操作PC11,12の実際のアドレスを用いずに、仮想アドレスを用いて通信を行う。仮想アドレスは、LAN30内で重複しないアドレス(LAN30内の機器に割り当てられておらず、かつその予約もされていないアドレス)が予め登録されて、中継サーバ3の仮想アドレス登録情報記憶部56に記憶されている。本実施形態では、図9(a)に示すアドレスが仮想アドレスとして登録されている。   In the present embodiment, when communication is performed by establishing a routing session between the relay server 1 and the relay server 3 (when communication is performed using VPN-GROUP 1), between the relay server 3 and the target terminals 31, 32, and 33. In communication, communication is performed using a virtual address without using the actual addresses of the operation PCs 11 and 12. As the virtual address, an address that does not overlap in the LAN 30 (an address that is not assigned to a device in the LAN 30 and that is not reserved) is registered in advance and stored in the virtual address registration information storage unit 56 of the relay server 3. Has been. In the present embodiment, the addresses shown in FIG. 9A are registered as virtual addresses.

同様に、中継サーバ2と中継サーバ3とでルーティングセッションを確立して通信を行う場合(VPN−GROUP2で通信を行う場合)、中継サーバ3と対象端末31,32,33との間の通信では、操作PC21の実際のアドレスを用いずに、仮想アドレスを用いて通信を行う。   Similarly, when communication is established by establishing a routing session between the relay server 2 and the relay server 3 (when communication is performed using VPN-GROUP 2), communication between the relay server 3 and the target terminals 31, 32, and 33 is performed. The communication is performed using the virtual address without using the actual address of the operation PC 21.

中継サーバ3は、上記のようにアドレスフィルタ情報を交換して中継サーバ1(又は中継サーバ2)から操作PC11,12(又は操作PC21)のアドレスを取得して、当該アドレスに仮想アドレスを割り当てる。仮想アドレス割当情報記憶部57は、受信したアドレスと仮想アドレスとの対応関係(割当関係)を記憶する。   The relay server 3 exchanges the address filter information as described above, acquires the addresses of the operation PCs 11 and 12 (or the operation PC 21) from the relay server 1 (or the relay server 2), and assigns a virtual address to the address. The virtual address assignment information storage unit 57 stores a correspondence relationship (assignment relationship) between the received address and the virtual address.

なお、本実施形態の仮想アドレスは、IPv4形式で記述されている。以下の説明では、この32ビットのうち、始めの24ビットをネットワーク部と称し、後の8ビットをホスト部と称する(図9(b)を参照)。本実施形態では、中継サーバ3は、接続先のLAN毎(即ち接続先の中継サーバ毎)にネットワーク部が異なるように仮想アドレスを割り当てる。   Note that the virtual address of this embodiment is described in the IPv4 format. In the following description, among the 32 bits, the first 24 bits are referred to as a network part, and the subsequent 8 bits are referred to as a host part (see FIG. 9B). In the present embodiment, the relay server 3 assigns virtual addresses so that the network unit is different for each connection destination LAN (that is, for each connection destination relay server).

具体的には、操作PC11,12には、図8(a)に示すように、(150.100.10.1),(150.100.10.2)という仮想アドレスが割り当てられる。また、操作PC21には、図8(b)に示すように、(180.50.10.1)という仮想アドレスが割り当てられる。   Specifically, virtual addresses (150.100.10.1) and (150.100.10.2) are assigned to the operation PCs 11 and 12, as shown in FIG. Further, a virtual address (180.50.10.1) is assigned to the operation PC 21 as shown in FIG.

このように、接続先のLAN毎に(中継サーバ毎に)ネットワーク部が異なるように仮想アドレスを割り当てることにより、仮想アドレスを見るだけで、同じLANどの仮想アドレス同士が中継サーバの接続先を把握することができる。従って、ユーザが誤った仮想アドレスを指定してしまうことを防止できる。また、ユーザは、同じLANに接続されるルーティング対象装置の仮想アドレスを、(150.100.10.0/24)のようにして、まとめて指定できるので、簡単な操作で、LAN単位でのリモートデスクトップの制限等を行うことができる。   In this way, by assigning virtual addresses so that the network part is different for each LAN of connection destinations (for each relay server), just looking at the virtual address, the virtual addresses of the same LAN can grasp the connection destination of the relay server. can do. Therefore, it is possible to prevent the user from specifying an incorrect virtual address. In addition, since the user can specify the virtual addresses of the routing target devices connected to the same LAN as in (150.100.10.0/24), it is possible to easily specify in units of LANs. Remote desktop restrictions can be made.

次に、VPNを利用した通信を行うための準備について説明する。初めに、図10を参照して中継サーバに予め行う設定について説明し、次に、図11を参照してVPNグループを作成するときの流れについて説明する。図10は、予め中継サーバに行う設定を示すフローチャートである。図11は、VPNグループを作成する処理を示すフローチャートである。以下では、中継サーバ3を例に挙げて、中継サーバ3に対して行う設定及び中継サーバ3が実行する処理について説明するが、中継サーバ1,2にも同様の設定が行われるとともに、同様の処理を実行可能である。   Next, preparation for performing communication using VPN will be described. First, the setting performed in advance in the relay server will be described with reference to FIG. 10, and the flow when creating a VPN group will be described with reference to FIG. FIG. 10 is a flowchart showing settings to be made to the relay server in advance. FIG. 11 is a flowchart showing processing for creating a VPN group. In the following, the relay server 3 is taken as an example, and the settings performed on the relay server 3 and the processing executed by the relay server 3 will be described. Processing can be executed.

中継サーバ3に予め行う設定としては、当該中継サーバ3のアドレスフィルタ情報の登録(S101)がある。この登録は、中継通信システム100を利用するユーザが、中継サーバ3のルーティング対象装置として指定する機器等のアドレス(第1ルーティング対象アドレス)と、名称と、を所定の方法で入力することにより行う。ここでは、ユーザは、対象端末31,32,33のアドレス及び名称を入力したものとする。ここで登録されたアドレスフィルタ情報は、アドレスフィルタ情報記憶部55に記憶される。   The setting to be made in advance in the relay server 3 includes registration of address filter information of the relay server 3 (S101). This registration is performed by a user using the relay communication system 100 by inputting an address (first routing target address) of a device or the like designated as a routing target device of the relay server 3 and a name by a predetermined method. . Here, it is assumed that the user has input the addresses and names of the target terminals 31, 32, and 33. The registered address filter information is stored in the address filter information storage unit 55.

次に、仮想アドレスを用いた通信を行う場合は、ユーザは、中継サーバ3が接続するLAN30内で重複しないアドレスを仮想アドレスとして登録する(S102)。ここで登録された仮想アドレスは、仮想アドレス登録情報記憶部56に記憶される。   Next, when performing communication using a virtual address, the user registers an address that does not overlap within the LAN 30 to which the relay server 3 is connected as a virtual address (S102). The virtual address registered here is stored in the virtual address registration information storage unit 56.

以下、VPNグループを作成するときの流れについて説明する。ユーザは、初めに、クライアント端末13,22,34等を操作することによって、VPNグループの設定画面を表示させることができる。ここでは、クライアント端末34を用いて設定を行う場合について説明する。クライアント端末34に表示させた設定画面には、当該クライアント端末34が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、VPNグループを構築したい中継グループを選択する(S201)。   Hereinafter, the flow when creating a VPN group will be described. First, the user can display a VPN group setting screen by operating the client terminals 13, 22, 34, and the like. Here, a case where setting is performed using the client terminal 34 will be described. On the setting screen displayed on the client terminal 34, a plurality of relay groups to which the client terminal 34 belongs are displayed. The user selects a relay group for which a VPN group is to be constructed from the plurality of relay groups (S201).

中継グループが選択されると、クライアント端末34の画面には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバ及びクライアント端末の識別情報の一覧が表示される(S202)。そして、ユーザは、構築するVPNグループにおいてルーティングポイントとして機能させる中継サーバ及びクライアント端末を選択する(S203)。今回の説明では、中継サーバ1と、中継サーバ3と、がユーザに選択されたものとする。   When a relay group is selected, a list of identification information of relay servers and client terminals that belong to the selected relay group and that can function as a routing point is displayed on the screen of the client terminal 34 (S202). Then, the user selects a relay server and a client terminal that function as a routing point in the VPN group to be constructed (S203). In this description, it is assumed that the relay server 1 and the relay server 3 are selected by the user.

そして、選択された中継サーバの識別情報に基づいて、ルーティングポイントの識別情報及び前記ルーティングセッション情報が作成される(S204)。そして、これらの情報にVPNグループの識別情報等を付加することにより、図6(a)で示したVPNグループ情報が作成される。クライアント端末34は、このVPNグループ情報を、同じVPNグループに所属する中継サーバ1,3へ送信する(S205)。そして、中継サーバ1,3は、受信したVPNグループ情報をVPNグループ情報記憶部54に記憶する。以上により、中継サーバ1,3で構成されるVPN−GROUP1の構築処理が完了する。なお、中継サーバ2,3で構成されるVPN−GROUP2についても所定のタイミングで作成されたものとする。   Then, based on the identification information of the selected relay server, the identification information of the routing point and the routing session information are created (S204). The VPN group information shown in FIG. 6A is created by adding VPN group identification information or the like to these pieces of information. The client terminal 34 transmits this VPN group information to the relay servers 1 and 3 belonging to the same VPN group (S205). Then, the relay servers 1 and 3 store the received VPN group information in the VPN group information storage unit 54. Thus, the VPN-GROUP 1 construction process configured by the relay servers 1 and 3 is completed. It is assumed that VPN-GROUP 2 composed of the relay servers 2 and 3 is also created at a predetermined timing.

次に、構築したVPNグループでVPNを利用した通信を開始するまでの流れについて、図12から図14までを参照して説明する。図12及び図13は、VPNを利用した通信を開始するまでに行う処理を示すフローチャートである。図14は、仮想アドレスの割り当てを行う際に中継サーバ3が行う処理を示すフローチャートである。   Next, a flow until communication using VPN in the constructed VPN group is started will be described with reference to FIGS. FIG. 12 and FIG. 13 are flowcharts showing processing performed until communication using VPN is started. FIG. 14 is a flowchart illustrating processing performed by the relay server 3 when assigning virtual addresses.

ユーザは、クライアント端末13等又は操作PC11等を操作することによって、構築したVPNグループを画面に表示させることができる。そして、表示されたVPNグループから適当なVPNグループを選択することにより(S301)、VPNを構築するための処理を行わせることができる。今回の説明では、上記で作成したVPNグループ(中継サーバ1,3で構成されるVPNグループ)の開始処理を中継サーバ3が行う例を説明する。   The user can display the constructed VPN group on the screen by operating the client terminal 13 or the operation PC 11 or the like. Then, by selecting an appropriate VPN group from the displayed VPN groups (S301), a process for constructing the VPN can be performed. In this description, an example will be described in which the relay server 3 performs the start process of the VPN group created above (a VPN group composed of the relay servers 1 and 3).

中継サーバ3は、初めに、自身に対応付けられたアドレスフィルタ情報を読み出す(S302)。ここで読み出される情報は、S101で登録された内容(図7(c)に示す内容)である。次に、中継サーバ3は、選択されたVPNグループに属するルーティングポイントの読出しを行う(S303)。これにより、図6(a)に示すVPNグループ情報の内容に基づいて、中継サーバ1が読み出される。   The relay server 3 first reads out address filter information associated with itself (S302). The information read here is the content registered in S101 (the content shown in FIG. 7C). Next, the relay server 3 reads the routing points belonging to the selected VPN group (S303). Thereby, the relay server 1 is read based on the contents of the VPN group information shown in FIG.

中継サーバ3は、中継サーバ情報に基づいて、初めに、中継サーバ1がログイン中か否か(「stat」がactiveか空欄か)を判断する(S304)。図4に示す中継サーバ情報によれば中継サーバ1はログイン中であるため、中継サーバ3は、中継サーバ1へVPNグループの識別情報とともに、VPNグループの開始コマンドを送信する(S305)。   Based on the relay server information, the relay server 3 first determines whether the relay server 1 is logged in (“stat” is active or blank) (S304). According to the relay server information shown in FIG. 4, since the relay server 1 is logged in, the relay server 3 transmits a VPN group start command together with the VPN group identification information to the relay server 1 (S305).

中継サーバ3は、この開始コマンドに対する中継サーバ1からの応答を受けると(S306)、中継サーバ1を、VPNを構築する準備が完了したルーティングポイントとして登録する(S307)。   When the relay server 3 receives a response from the relay server 1 in response to the start command (S306), the relay server 1 registers the relay server 1 as a routing point that is ready to construct a VPN (S307).

次に、中継サーバ3は、同じVPNグループに所属する他の機器が有るか否かの判断を行う(S308)。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他の機器は存在しない。なお、仮に他の機器が存在していた場合は、中継サーバ3は、今度は当該機器を対象としてS304〜S307の処理を行う。   Next, the relay server 3 determines whether there is another device belonging to the same VPN group (S308). Since the currently created VPN group is composed of only the relay server 1 and the relay server 3, there is no other device. If there is another device, the relay server 3 performs the processing of S304 to S307 this time for the device.

次に、中継サーバ3は、VPNグループ情報記憶部54の記憶内容からルーティングセッション情報を抽出する(図13のS309)。そして、中継サーバ3は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する(S310)。図6(a)のルーティングセッション情報においては、中継サーバ1と中継サーバ3との間で確立されるべきルーティングセッションにおいて、自身(中継サーバ3)が始点となることが記述されている。   Next, the relay server 3 extracts routing session information from the contents stored in the VPN group information storage unit 54 (S309 in FIG. 13). Then, the relay server 3 refers to the extracted routing session information, and determines whether or not a routing session starting from itself is described (S310). In the routing session information of FIG. 6A, it is described that itself (relay server 3) is the starting point in the routing session to be established between the relay server 1 and the relay server 3.

そのため、中継サーバ3は、中継サーバ1に対して所定の通信制御を行ってルーティングセッションを確立する(S311)。なお、この通信制御を行う際に、前述のように、アドレスフィルタ情報が交換される(S312)。   Therefore, the relay server 3 establishes a routing session by performing predetermined communication control on the relay server 1 (S311). When performing this communication control, the address filter information is exchanged as described above (S312).

次に、中継サーバ3は、受信したアドレスフィルタ情報に含まれるルーティング対象アドレスに仮想アドレスの割当てを行う(S313)。この仮想アドレスの割当ては、詳細には、図14に示すフローチャートに沿って行われる。   Next, the relay server 3 assigns a virtual address to the routing target address included in the received address filter information (S313). This virtual address assignment is performed in detail according to the flowchart shown in FIG.

以下、操作PC11、操作PC12の順に仮想アドレスを割り当てる際に中継サーバ3が行う処理について説明する。中継サーバ3は、初めに、同一LANの他の機器に仮想アドレスを割当て済みか否かの判断を行う(S401)。現時点では、操作PC11,12の何れにも仮想アドレスが割り当てられていないので、中継サーバ3は、未使用のネットワーク部を有する仮想アドレスが仮想アドレス登録情報記憶部56に登録されているか否かを判断する(S402)。   Hereinafter, processing performed by the relay server 3 when assigning virtual addresses in the order of the operation PC 11 and the operation PC 12 will be described. The relay server 3 first determines whether a virtual address has been assigned to another device on the same LAN (S401). At present, since no virtual address is assigned to any of the operation PCs 11 and 12, the relay server 3 determines whether or not a virtual address having an unused network unit is registered in the virtual address registration information storage unit 56. Judgment is made (S402).

未使用のネットワーク部を有する仮想アドレスが登録されている場合、当該仮想アドレスを用いて、仮想アドレスの割当てが行われる(S404)。これにより、他のルーティング対象装置に割り当てた仮想アドレスとネットワーク部が異なる仮想アドレスを新たに割り当てることができる。具体的には、中継サーバ3は、操作PC11に(150.100.10.1)という仮想アドレスを割り当てる。   When a virtual address having an unused network part is registered, a virtual address is assigned using the virtual address (S404). This makes it possible to newly assign a virtual address that is different from the virtual address assigned to another routing target device. Specifically, the relay server 3 assigns a virtual address (150.100.10.1) to the operation PC 11.

なお、操作PC11に割り当てられる仮想アドレスのネットワーク部は、予めユーザが設定したものを用いる構成であっても良いし、中継サーバ3が仮想アドレス登録情報記憶部56を参照して未使用のネットワーク部を自動的に選択する構成であっても良い。   Note that the network unit of the virtual address assigned to the operation PC 11 may use a configuration set in advance by the user, or the relay server 3 refers to the virtual address registration information storage unit 56 and uses an unused network unit. May be selected automatically.

前者の場合、第2ルーティング対象アドレスに割り当てられる仮想アドレスのネットワーク部が接続毎に変化しないので、ネットワーク部が示すLANを一層分かり易くすることができる。一方、後者の場合、ルーティング対象装置にどの仮想アドレスを割り当てるかを予め設定しなくて良いため、ユーザの手間を省くことができる。また、後者の場合は、例えば、中継サーバ1とのVPNを終了して仮想アドレスの割当てを解除した後に、当該仮想アドレスを中継サーバ1以外の中継サーバに割り当てることができる。つまり、仮想アドレスを使いまわすことができるので、仮想アドレスとして予め確保しておくアドレスを少なくすることができる。従って、将来的なネットワークの拡張等に柔軟に対応することができる。   In the former case, since the network part of the virtual address assigned to the second routing target address does not change for each connection, the LAN indicated by the network part can be made easier to understand. On the other hand, in the latter case, since it is not necessary to set in advance which virtual address is assigned to the routing target device, it is possible to save the user's trouble. In the latter case, for example, the virtual address can be assigned to a relay server other than the relay server 1 after terminating the VPN with the relay server 1 and releasing the assignment of the virtual address. That is, since virtual addresses can be reused, it is possible to reduce the number of addresses reserved in advance as virtual addresses. Accordingly, it is possible to flexibly cope with future network expansion and the like.

そして、中継サーバ3は、VPNを利用した通信の開始処理を継続して行う(S405)。なお、中継サーバ3は、未使用のネットワーク部を有する仮想アドレスが登録されていない場合、その旨をユーザに通知する(S403)。   And the relay server 3 continues and performs the start process of the communication using VPN (S405). In addition, when the virtual address which has an unused network part is not registered, the relay server 3 notifies that to a user (S403).

次に、中継サーバ3は、操作PC12に仮想アドレスを割り当てる。今回は、S401の判断において、同一LANの他の機器(即ち操作PC11)に仮想アドレスを割当て済みである。従って、中継サーバ3は、既に割り当てた仮想アドレスのネットワーク部(150.100.10)を用いて仮想アドレスを割り当てる(S406)。これにより、操作PC12に(150.100.10.2)という仮想アドレスが割り当てられる。次に、中継サーバ3は、仮想アドレスの割当てに成功したか否かの判断を行う(S407)。中継サーバ3は、仮想アドレスの割当てに成功した場合、VPNを利用した通信の開始処理を継続して行う(S405)。一方、中継サーバ3は、仮想アドレスの割当てに失敗した場合、その旨をユーザに通知する(S408)。   Next, the relay server 3 assigns a virtual address to the operation PC 12. This time, in the determination of S401, a virtual address has been assigned to another device (that is, the operation PC 11) of the same LAN. Therefore, the relay server 3 assigns a virtual address using the network part (150.100.10) of the already assigned virtual address (S406). As a result, a virtual address (150.100.10.2) is assigned to the operation PC 12. Next, the relay server 3 determines whether or not the virtual address has been successfully allocated (S407). If the relay server 3 succeeds in assigning the virtual address, the relay server 3 continues the communication start processing using the VPN (S405). On the other hand, if the allocation of the virtual address fails, the relay server 3 notifies the user to that effect (S408).

なお、中継サーバ3は、S403及びS408でエラーを通知した際に、実際のアドレスを利用した通信を行うか否かをユーザに問い合わせる(S409)。中継サーバ3は、ユーザから実際のアドレスによる通信を行う許可が得られた場合、VPNを利用した通信の開始処理を継続して行う(S405)。これにより、例えば緊急事態の発生時又は相手にアドレスを知られても構わない状況等においても適切に通信を開始することができる。一方、ユーザから許可が得られなかった場合、中継サーバ3は、この開始処理を停止する。   When the relay server 3 notifies the error in S403 and S408, the relay server 3 inquires of the user whether or not to perform communication using the actual address (S409). The relay server 3 continues the communication start process using the VPN when the user is permitted to perform communication using the actual address (S405). Thereby, for example, communication can be appropriately started even when an emergency situation occurs or in a situation where the address may be known to the other party. On the other hand, when permission is not obtained from the user, the relay server 3 stops the start process.

次に、中継サーバ3は、再びS310の処理を行う。なお、ルーティング対象アドレス間で重複がないと判定した場合も再びS310の処理を行う。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他のルーティングセッションはVPNグループ情報には記述されていない。従って、中継サーバ3は、パケットのルーティング制御を開始する(S316)。なお、仮に他のルーティングセッションがある場合は、中継サーバ3は、再びS311〜S314の処理を行う。   Next, the relay server 3 performs the process of S310 again. Even when it is determined that there is no duplication between the routing target addresses, the process of S310 is performed again. Since the currently created VPN group is composed of only the relay server 1 and the relay server 3, other routing sessions are not described in the VPN group information. Accordingly, the relay server 3 starts packet routing control (S316). If there is another routing session, the relay server 3 performs the processes of S311 to S314 again.

このように、本実施形態では、VPNを構築する際に、それぞれのルーティング機器が他のルーティング機器とアドレスフィルタ情報を交換(取得)するため、最新のアドレスフィルタ情報を用いてVPNを構築することができる。従って、VPN開始前の段階で一部のルーティング機器においてアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング機器に反映させた状態でVPNを構築して通信を開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。   As described above, in this embodiment, when a VPN is constructed, each routing device exchanges (acquires) address filter information with other routing devices. Therefore, the VPN is constructed using the latest address filter information. Can do. Therefore, even if the address filter information is changed in some routing devices at the stage before the VPN start, the VPN can be constructed and communication can be started with the change reflected in all the routing devices. Inconsistency in routing can be prevented, and reliability can be improved.

また、図13のフローチャートには記載していないが、S310において自身が接続の始点となるルーティングセッションが無い場合(自身がルーティングの終点となる場合)であっても、始点となるルーティング機器からの通信制御を受けてルーティングセッションの確立処理及びアドレスフィルタ情報の交換が行われる。それと同時に、仮想アドレスを用いた通信を行う場合は、仮想アドレスの割当て等も行われる。   Although not described in the flowchart of FIG. 13, even if there is no routing session that is the starting point of the connection in S310 (when it is the end point of routing), the routing device from the starting point Under the communication control, routing session establishment processing and address filter information exchange are performed. At the same time, when communication using virtual addresses is performed, virtual addresses are assigned.

なお、それぞれのルーティング機器は、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。   Each routing device does not perform the initial communication control for establishing a routing session unless the routing session information indicates that it is the starting point. The routing session can be established with simple control.

以上のように中継サーバ3は、中継サーバ1とVPNを構築する。また、中継サーバ3は、ユーザからVPN−GROUP2の開始指示を受けた場合、中継サーバ2に対しても同様にVPNを構築する。そして、中継サーバ3は、図14の処理を行うことにより、操作PC11,12とネットワーク部が異なる仮想アドレスを操作PC21に割り当てる。   As described above, the relay server 3 constructs a VPN with the relay server 1. Further, when the relay server 3 receives a VPN-GROUP 2 start instruction from the user, the relay server 3 also constructs a VPN for the relay server 2 in the same manner. Then, the relay server 3 assigns a virtual address having a network part different from that of the operation PCs 11 and 12 to the operation PC 21 by performing the process of FIG.

次に、確立したルーティングセッションを用いてパケットのルーティングを行う処理について説明する。   Next, a process for routing a packet using the established routing session will be described.

初めに、中継サーバ3がLAN30からパケットを受信したときに行う制御について図15を参照して説明する。図15は、この制御の流れを示すフローチャートである。   First, control performed when the relay server 3 receives a packet from the LAN 30 will be described with reference to FIG. FIG. 15 is a flowchart showing the flow of this control.

なお、LAN30内のルーティング対象装置は、他のルーティング対象装置にパケットを送信する際は、その宛先とすべき当該他のルーティング対象アドレスを、中継サーバ3に問い合わせることで取得する。このとき、仮想アドレスが割り当てられている場合は、LAN30内のルーティング対象装置が中継サーバ3に行う上記の問い合わせに対して、中継サーバ3は、実際のアドレスではなく仮想アドレスを回答する。従って、例えば対象端末31から操作PC11へパケットが送信される場合、対象端末31は中継サーバ3から、宛先アドレスとして、操作PC11に割り当てられた仮想アドレス(150.100.10.1)を取得することになる。   Note that when a packet is transmitted to another routing target device, the routing target device in the LAN 30 acquires the other routing target address to be the destination by inquiring the relay server 3. At this time, when a virtual address is assigned, the relay server 3 returns a virtual address instead of an actual address in response to the inquiry made by the routing target device in the LAN 30 to the relay server 3. Therefore, for example, when a packet is transmitted from the target terminal 31 to the operation PC 11, the target terminal 31 acquires from the relay server 3 the virtual address (150.100.10.1) assigned to the operation PC 11 as the destination address. It will be.

中継サーバ3は、LAN30からパケットを受信するまで待機している(S501)。そして、LAN30からパケットを受信した場合、初めに、当該パケットの宛先が自身(中継サーバ3)であるか否かの判断を行う(S502)。   The relay server 3 stands by until a packet is received from the LAN 30 (S501). When a packet is received from the LAN 30, first, it is determined whether or not the destination of the packet is itself (relay server 3) (S502).

中継サーバ3は、パケットの宛先が自身であった場合、当該パケットの受信を行う(S503)。一方、パケットの宛先が自身以外であった場合、中継サーバ3は、受信したパケットの宛先アドレスと、アドレスフィルタ情報(図9(a)を参照)と、を比較して、宛先アドレスがアドレスフィルタ情報に登録されているか否かの判断を行う(S504)。中継サーバ3は、宛先アドレスがアドレスフィルタ情報に登録されていない場合、パケットを破棄する(S505)。一方、中継サーバ3は、宛先アドレスがアドレスフィルタ情報に登録されていた場合、当該アドレスフィルタ情報に対応するルーティングセッションを特定する(S506)。   When the packet destination is itself, the relay server 3 receives the packet (S503). On the other hand, when the destination of the packet is other than itself, the relay server 3 compares the destination address of the received packet with the address filter information (see FIG. 9A), and the destination address is the address filter. It is determined whether or not the information is registered (S504). When the destination address is not registered in the address filter information, the relay server 3 discards the packet (S505). On the other hand, when the destination address is registered in the address filter information, the relay server 3 specifies a routing session corresponding to the address filter information (S506).

次に、中継サーバ3は、仮想アドレス割当情報記憶部57を参照して、宛先アドレスが仮想アドレスか否かの判断を行う(S507)。宛先アドレスが仮想アドレスである場合、中継サーバ3は、宛先アドレスを実際のアドレスに変換し(S508)、S506で特定したルーティングセッションへパケットを送信(転送)する(S509)。   Next, the relay server 3 refers to the virtual address assignment information storage unit 57 and determines whether or not the destination address is a virtual address (S507). When the destination address is a virtual address, the relay server 3 converts the destination address into an actual address (S508), and transmits (transfers) the packet to the routing session specified in S506 (S509).

次に、中継サーバ3がルーティングセッションからパケットを受信したときに行う制御について図16を参照して説明する。図16は、この制御の流れを示すフローチャートである。   Next, control performed when the relay server 3 receives a packet from the routing session will be described with reference to FIG. FIG. 16 is a flowchart showing the flow of this control.

中継サーバ3は、ルーティングセッションからパケットを受信するまで待機している(S601)。そして、中継サーバ3は、パケットを受信した場合、当該パケットの宛先アドレスと、アドレスフィルタ情報(図8(a)を参照)と、を比較して、パケットの宛先アドレスが自身のアドレスフィルタ情報に対応付けて登録されているか否かの判断を行う(S602)。   The relay server 3 stands by until a packet is received from the routing session (S601). When the relay server 3 receives the packet, the relay server 3 compares the destination address of the packet with the address filter information (see FIG. 8A), and the destination address of the packet becomes its own address filter information. It is determined whether or not they are registered in association with each other (S602).

パケットの宛先アドレスが自身のアドレスフィルタ情報に対応付けて登録されている場合、仮想アドレス割当情報記憶部57を参照して、送信元アドレスに仮想アドレスが割り当てられているか否かの判断を行う(S603)。送信元アドレスに仮想アドレスが割り当てられている場合、中継サーバ3は、送信元アドレスを仮想アドレスに変換し(S604)、宛先アドレスが示す機器(対象端末31,32,33)へ、パケットを転送する(S605)。なお、送信元アドレスに仮想アドレスが割り当てられていない場合、中継サーバ3は、アドレスを変換することなく、宛先が示す機器へパケットを転送する(S605)。   When the destination address of the packet is registered in association with its own address filter information, the virtual address assignment information storage unit 57 is referred to determine whether or not a virtual address is assigned to the source address ( S603). When a virtual address is assigned to the transmission source address, the relay server 3 converts the transmission source address into a virtual address (S604), and transfers the packet to the device (target terminals 31, 32, 33) indicated by the destination address. (S605). If a virtual address is not assigned to the transmission source address, the relay server 3 transfers the packet to the device indicated by the destination without converting the address (S605).

また、中継サーバ3は、宛先アドレスが自身のアドレスフィルタ情報に対応付けて登録されていない場合、当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報に対応付けて登録されているか否かの判断を行う(S606)。当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報に対応付けて登録されている場合、中継サーバ3は、該当するルーティングセッションを特定し(S607)、このルーティングセッションへパケットを送信(転送)する(S608)。   Further, when the destination address is not registered in association with its own address filter information, the relay server 3 determines whether or not the destination address is registered in association with the address filter information of another routing device. This is performed (S606). When the destination address is registered in association with the address filter information of another routing device, the relay server 3 identifies the corresponding routing session (S607), and transmits (transfers) the packet to this routing session ( S608).

一方、当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報にも登録されていない場合、中継サーバ3は、当該パケットを破棄する(S609)。   On the other hand, when the destination address is not registered in the address filter information of another routing device, the relay server 3 discards the packet (S609).

以上の制御を行うことにより、仮想アドレスを利用して中継通信システム100による通信を行うことができる。   By performing the above control, communication by the relay communication system 100 can be performed using the virtual address.

次に、上記の制御を行う中継サーバ3を介して、操作PC11と対象端末31とがパケットをやり取りするときの流れについて図17を参照して簡単に説明する。   Next, a flow when the operation PC 11 and the target terminal 31 exchange packets via the relay server 3 that performs the above control will be briefly described with reference to FIG.

図17(a)は、対象端末31から操作PC11へパケットが送信される場合を示している。この場合、中継サーバ3は、LAN30からパケットを受信するため、図15に示す制御を行う。   FIG. 17A shows a case where a packet is transmitted from the target terminal 31 to the operation PC 11. In this case, the relay server 3 performs the control shown in FIG. 15 in order to receive a packet from the LAN 30.

対象端末31は、上述のように操作PC11の仮想アドレスを宛先アドレスとしてパケットを送信する。このパケットを受信した中継サーバ3は、アドレスフィルタ情報(図9(a)を参照)に基づいて、パケットの宛先アドレスに対応するルーティング機器として中継サーバ1が記述されていることを認識してルーティングセッションを特定する(S506)。次に、中継サーバ3は、宛先アドレスが仮想アドレスであることを認識して、宛先アドレスを実際のアドレスに変換する(S508)。そして、中継サーバ3は、ルーティングセッションを介して中継サーバ1へパケットを送信する(S509)。   The target terminal 31 transmits a packet with the virtual address of the operation PC 11 as the destination address as described above. The relay server 3 that has received this packet recognizes that the relay server 1 is described as a routing device corresponding to the destination address of the packet based on the address filter information (see FIG. 9A) and performs routing. A session is specified (S506). Next, the relay server 3 recognizes that the destination address is a virtual address, and converts the destination address into an actual address (S508). Then, the relay server 3 transmits a packet to the relay server 1 via the routing session (S509).

このパケットを受信した中継サーバ1は、アドレスフィルタ情報に基づいて、パケットの宛先アドレスに対応するルーティング機器として自身(中継サーバ1)が記述されていることを認識する。そして、中継サーバ1は、宛先の操作PC11へパケットを送信する。   The relay server 1 that has received this packet recognizes that itself (relay server 1) is described as a routing device corresponding to the destination address of the packet based on the address filter information. Then, the relay server 1 transmits the packet to the destination operation PC 11.

図17(b)は、操作PC11から対象端末31へパケットが送信される場合を示している。この場合、中継サーバ3は、ルーティングセッションからパケットを受信するため、図16に示す制御を行う。   FIG. 17B shows a case where a packet is transmitted from the operation PC 11 to the target terminal 31. In this case, the relay server 3 performs the control shown in FIG. 16 in order to receive a packet from the routing session.

操作PC11は、対象端末31の実際のアドレスを宛先アドレスとしてパケットを送信する。このパケットを受信した中継サーバ1は、パケットの宛先アドレスに対応するルーティング機器として中継サーバ3が記述されていることを認識する。そして、中継サーバ1は、ルーティングセッションを介して中継サーバ3へパケットを送信する処理を行う。   The operation PC 11 transmits a packet with the actual address of the target terminal 31 as the destination address. The relay server 1 that has received this packet recognizes that the relay server 3 is described as a routing device corresponding to the destination address of the packet. And the relay server 1 performs the process which transmits a packet to the relay server 3 via a routing session.

このパケットを受信した中継サーバ3は、アドレスフィルタ情報(図8(b)を参照)に基づいて、パケットの宛先アドレスに対応するルーティング機器として自身(中継サーバ3)が記述されていることを認識する。そして、中継サーバ3は、仮想アドレス割当情報記憶部57を参照して、送信元アドレスに仮想アドレスが割り当てられていることを認識する。そして、中継サーバ3は、送信元アドレスを仮想アドレスに変換して(S604)、宛先の対象端末31へパケットを送信する(S605)。   The relay server 3 that has received this packet recognizes that itself (the relay server 3) is described as a routing device corresponding to the destination address of the packet based on the address filter information (see FIG. 8B). To do. Then, the relay server 3 refers to the virtual address assignment information storage unit 57 and recognizes that the virtual address is assigned to the transmission source address. Then, the relay server 3 converts the transmission source address into a virtual address (S604), and transmits the packet to the destination target terminal 31 (S605).

以上により、操作PC11と対象端末31との間で、当該操作PC11の実際のアドレスを隠蔽したままパケットのやり取りを行うことができる。そのため、セキュリティを確保しつつルーティング対象装置間で通信を行うことができる。   As described above, packets can be exchanged between the operation PC 11 and the target terminal 31 while hiding the actual address of the operation PC 11. Therefore, communication can be performed between the routing target devices while ensuring security.

以上に説明したように、本実施形態の中継サーバ3は、アドレスフィルタ情報記憶部55と、仮想アドレス割当情報記憶部57と、制御部6060と、を備える。アドレスフィルタ情報記憶部55は、第1ルーティング対象アドレス(対象端末31,32,33のアドレス)と、第2ルーティング対象アドレス(操作PC11,12のアドレス)と、を記憶する。仮想アドレス割当情報記憶部は、第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する。制御部60は、中継サーバ1とルーティング対象アドレスを交換して、ルーティングセッションを確立する。制御部60は、それぞれの操作PC11,12のアドレスでネットワーク部が同一となるように、かつ、中継サーバ2に割り当てた仮想アドレスのネットワーク部と異なるように、仮想アドレスを割り当てる。制御部60は、第1ルーティング対象装置から仮想アドレスを宛先とするパケットを受信した際に、パケットの宛先アドレスを第2ルーティング対象アドレスに変換してルーティングセッションへパケットを転送する。制御部60は、ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、パケットの送信元アドレスを仮想アドレスに変換して宛先の対象端末31,32,33へパケットを転送する。   As described above, the relay server 3 of this embodiment includes the address filter information storage unit 55, the virtual address allocation information storage unit 57, and the control unit 6060. The address filter information storage unit 55 stores the first routing target address (addresses of the target terminals 31, 32, and 33) and the second routing target address (addresses of the operation PCs 11 and 12). The virtual address assignment information storage unit stores the second routing target address and the virtual address assigned to the second routing target address in association with each other. The control unit 60 exchanges routing target addresses with the relay server 1 to establish a routing session. The control unit 60 assigns a virtual address so that the network unit is the same for the addresses of the operation PCs 11 and 12 and is different from the network unit of the virtual address assigned to the relay server 2. When receiving a packet whose destination is a virtual address from the first routing target device, the control unit 60 converts the destination address of the packet into a second routing target address and transfers the packet to the routing session. When receiving a packet destined for the first routing target address from the routing session, the control unit 60 converts the packet source address into a virtual address and transfers the packet to the destination target terminals 31, 32, and 33. .

これにより、同一のLANに接続されるルーティング対象装置の仮想アドレスのセグメントを同じにすることができる。従って、セキュリティを確保しつつ、アドレスからネットワークの構成が把握し易くすることができる。また、ユーザは、同じLANに接続されるルーティング対象装置の仮想アドレスをまとめて指定できるので、簡単な操作で、LAN単位でのリモートデスクトップの制限等を行うことができる。   Thereby, the segment of the virtual address of the routing object apparatus connected to the same LAN can be made the same. Therefore, it is possible to easily grasp the network configuration from the address while ensuring security. In addition, since the user can collectively specify the virtual addresses of the routing target devices connected to the same LAN, it is possible to restrict the remote desktop in units of LAN with a simple operation.

次に、上記実施形態と異なる構成の実施形態を説明する。図18は、別の実施形態に係るアドレスフィルタ情報及び仮想アドレスを示す図である。図19は、別の実施形態に係るルーティング制御を示す説明図である。なお、以下の説明においては、上記実施形態と同一又は類似の部材には図面に同一の符号を付し、説明を省略する場合がある。   Next, an embodiment having a configuration different from the above embodiment will be described. FIG. 18 is a diagram illustrating address filter information and virtual addresses according to another embodiment. FIG. 19 is an explanatory diagram illustrating routing control according to another embodiment. In the following description, members that are the same as or similar to those in the above embodiment are denoted by the same reference numerals in the drawings, and description thereof may be omitted.

上記実施形態では、中継サーバ3は、他の中継サーバのルーティング対象装置(即ち、操作PC11,12,21)に仮想アドレスを割り当てる。これに対し、本実施形態(別の実施形態)では、中継サーバ3は、自身のルーティング対象装置(即ち、対象端末31,32,33)に仮想アドレスを割り当てる。   In the above embodiment, the relay server 3 assigns virtual addresses to the routing target devices (that is, the operation PCs 11, 12, and 21) of other relay servers. On the other hand, in this embodiment (another embodiment), the relay server 3 assigns a virtual address to its own routing target device (that is, the target terminals 31, 32, 33).

従って、中継サーバ3は、アドレスフィルタ情報の交換後ではなく交換前に、仮想アドレスの割り当てを行い、割り当てた仮想アドレスを他の中継サーバへ送信する。また、中継サーバ3は、通信先の中継サーバ毎にネットワーク部が異なるように(即ち中継サーバ1と中継サーバ2でネットワーク部が異なるように)仮想アドレスを割り当てる。即ち、本実施形態では、1組のルーティング対象装置に対して、複数組の仮想アドレスが対応することなる。   Accordingly, the relay server 3 assigns a virtual address before the exchange of the address filter information, not after the exchange, and transmits the assigned virtual address to another relay server. Further, the relay server 3 assigns virtual addresses so that the network unit is different for each relay server as the communication destination (that is, the network unit is different between the relay server 1 and the relay server 2). That is, in this embodiment, a plurality of sets of virtual addresses correspond to a set of routing target devices.

以上により、中継サーバ1,2は、それぞれ図18(a),図18(b)に示すようなアドレスフィルタ情報を記憶する。   As described above, the relay servers 1 and 2 store address filter information as shown in FIGS. 18A and 18B, respectively.

また、この仮想アドレスを用いて通信を行う場合、上記実施形態とアドレスの変換方法を異ならせることで、適切に通信を行うことができる。即ち、中継サーバ3は、第1ルーティング対象装置(対象端末31,32,33)からパケットを受信した場合、宛先アドレスではなく送信元アドレスを仮想アドレスに変換する。一方、中継サーバ3は、ルーティングセッションからパケットを受信した場合、送信元アドレスではなく宛先アドレスを実際のアドレスに変換する。   Further, when communication is performed using this virtual address, communication can be performed appropriately by making the address conversion method different from that of the above embodiment. That is, when the relay server 3 receives a packet from the first routing target device (target terminals 31, 32, 33), the relay server 3 converts the source address, not the destination address, into a virtual address. On the other hand, when receiving the packet from the routing session, the relay server 3 converts the destination address instead of the transmission source address into an actual address.

これにより、中継サーバ3が送信する仮想アドレスのネットワーク部が通信先の中継サーバ1と中継サーバ2で異なるので、何れかのネットワーク部を含む仮想アドレスを一括して無効とすることで(例えば(150.100.20.0/24)を無効とすることで)、対応するLANからのアクセスを一括して制限することができる。   Thereby, since the network part of the virtual address transmitted by the relay server 3 is different between the relay server 1 and the relay server 2 as communication destinations, the virtual address including any one of the network parts is invalidated collectively (for example, ( By invalidating 150.100.20.0/24), access from the corresponding LANs can be restricted collectively.

以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。   The preferred embodiment of the present invention has been described above, but the above configuration can be modified as follows, for example.

仮想アドレスにおけるネットワーク部とホスト部の区切りは上記実施形態で示した位置に限られない。例えば、始めの16ビットがネットワーク部で、残りの16ビットがホスト部となる形式であっても良い。   The partition between the network part and the host part in the virtual address is not limited to the position shown in the above embodiment. For example, the first 16 bits may be a network part and the remaining 16 bits may be a host part.

IPv4形式のIPアドレスに代えて、IPv6形式のIPアドレスを用いることができる。この場合、仮想アドレスも同様にIPv6にしても良い。   An IPv6 format IP address may be used instead of the IPv4 format IP address. In this case, the virtual address may be IPv6 as well.

仮想アドレスの割当てを行うタイミングは任意であり、例えば、開始コマンドの送信とともにアドレスフィルタ情報を交換し、その直後に仮想アドレスを割り当てても良い。   The timing for assigning the virtual address is arbitrary. For example, the address filter information may be exchanged together with the transmission of the start command, and the virtual address may be assigned immediately thereafter.

上記では、中継サーバのみがルーティングポイントとして機能する構成であるが、クライアント端末がルーティングポイントとして機能する構成であっても良い。また、VPNグループ内のルーティングポイントの数は2つに限られず、3つ以上であっても良い。また、1つのルーティング機器が複数のVPNグループに所属していても良い。   In the above, only the relay server functions as a routing point. However, the client terminal may function as a routing point. Further, the number of routing points in the VPN group is not limited to two and may be three or more. One routing device may belong to a plurality of VPN groups.

上記の中継グループ情報、中継サーバ情報、クライアント端末情報、VPNグループ情報、アドレスフィルタ情報等を格納する形式はXML形式に限定されず、適宜の形式で各情報を格納することができる。   The format for storing the relay group information, relay server information, client terminal information, VPN group information, address filter information, etc. is not limited to the XML format, and each information can be stored in an appropriate format.

上記の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。   Instead of the above-described configuration, an external server used for communication between each relay server may be installed on the Internet, and a communication may be performed by exhibiting a function as a SIP (Session Initiation Protocol) server.

1 中継サーバ(第2中継サーバ)
3 中継サーバ(第1中継サーバ)
11,12 操作PC(第2ルーティング対象装置)
31,32,33 対象端末(第1ルーティング対象装置)
10 LAN(第2LAN)
30 LAN(第1LAN)
54 VPNグループ情報記憶部
55 アドレスフィルタ情報記憶部
56 仮想アドレス登録情報記憶部
57 仮想アドレス割当情報記憶部
60 制御部
100 中継通信システム 1 Relay server (second relay server)
3 Relay server (first relay server)
11, 12 Operation PC (second routing target device)
31, 32, 33 Target terminal (first routing target device)
10 LAN (second LAN)
30 LAN (first LAN)
54 VPN Group Information Storage Unit 55 Address Filter Information Storage Unit 56 Virtual Address Registration Information Storage Unit 57 Virtual Address Assignment Information Storage Unit 60 Control Unit 100 Relay Communication System

Claims (8)

第1LAN内に位置しパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
前記第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する仮想アドレス割当情報記憶部と、
制御部と、を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
受信した前記第2ルーティング対象アドレスにネットワーク部とホスト部とからなる前記仮想アドレスを割り当てる際に、それぞれの前記第2ルーティング対象アドレスでネットワーク部が同一となるように、かつ、当該ネットワーク部が前記第2ルーティング対象アドレス以外のルーティング対象アドレスのネットワーク部と異なるようにし、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する制御と、
前記第1ルーティング対象装置から前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第2ルーティング対象アドレスに変換して前記ルーティングセッションへパケットを転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照してパケットの送信元アドレスを、前記第2ルーティング対象アドレスに割り当てられた前記仮想アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する制御と、
を行うことを特徴とする中継サーバ。 A first routing target address that is an address of a first routing target device that is located in the first LAN and can transfer a packet, and an address of a second routing target device that can be transferred by a second relay server located in the second LAN An address filter information storage unit for storing the second routing target address,
A virtual address assignment information storage unit that stores the second routing target address and the virtual address assigned to the second routing target address in association with each other;
A control unit,
The controller is
A control for transmitting the first routing target address to the second relay server, receiving the second routing target address from the second relay server, and establishing a routing session with the second relay server;
When allocating the virtual address composed of a network unit and a host unit to the received second routing target address, the network unit is the same in each of the second routing target addresses, and the network unit is Control different from the network portion of the routing target address other than the second routing target address, and storing the allocation relationship in the virtual address allocation information storage unit;
When a packet destined for the virtual address is received from the first routing target device, the destination address of the packet is referred to the second routing target corresponding to the virtual address by referring to the virtual address allocation information storage unit Control to convert the address into a packet and transfer the packet to the routing session;
When a packet destined for the first routing target address is received from the routing session, the source address of the packet is allocated to the second routing target address with reference to the virtual address allocation information storage unit Control for converting the packet into a virtual address and transferring the packet to the destination first routing target device;
The relay server characterized by performing. 請求項1に記載の中継サーバであって、
前記制御部は、前記第2ルーティング対象アドレスに前記仮想アドレスを割り当てる際に、他の前記第2ルーティング対象アドレスに前記仮想アドレスを割当て済みか否かを判断し、
当該他の第2ルーティング対象アドレスに前記仮想アドレスが割当て済みであった場合は、割当て済みの前記仮想アドレスのネットワーク部と同一になるように、新たな仮想アドレスを前記第2ルーティング対象アドレスに割り当てることを特徴とする中継サーバ。 The relay server according to claim 1,
The controller determines whether the virtual address has been assigned to another second routing target address when the virtual address is assigned to the second routing target address;
If the virtual address has already been assigned to the other second routing target address, a new virtual address is assigned to the second routing target address so as to be the same as the network part of the assigned virtual address. A relay server characterized by that. 請求項1又は2に記載の中継サーバであって、
前記制御部は、前記第2ルーティング対象アドレスに前記仮想アドレスを割り当てる際に、他の前記第2ルーティング対象アドレスに前記仮想アドレスを割当て済みか否かを判断し、
当該他の第2ルーティング対象アドレスに前記仮想アドレスが割当て済みでなかった場合は、前記第2ルーティング対象アドレス以外のルーティング対象アドレスとネットワーク部が異なるように、新たな仮想アドレスを前記第2ルーティング対象アドレスに割り当てることを特徴とする中継サーバ。 The relay server according to claim 1 or 2,
The controller determines whether the virtual address has been assigned to another second routing target address when the virtual address is assigned to the second routing target address;
If the virtual address has not been assigned to the other second routing target address, a new virtual address is assigned to the second routing target so that the routing target address other than the second routing target address is different from the network unit. A relay server that is assigned to an address. 請求項1から3までの何れか一項に記載の中継サーバであって、
前記制御部は、
前記第2ルーティング対象アドレスに割り当てる前記仮想アドレスのネットワーク部を予め受付可能であることを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
The controller is
The relay server, wherein a network part of the virtual address assigned to the second routing target address can be received in advance. 請求項1から3までの何れか一項に記載の中継サーバであって、
前記制御部は、前記第2ルーティング対象アドレスに割り当てる前記仮想アドレスのネットワーク部を自動的に決定することを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
The said control part determines automatically the network part of the said virtual address allocated to a said 2nd routing object address, The relay server characterized by the above-mentioned. 請求項1から5までの何れか一項に記載の中継サーバであって、
前記制御部は、前記仮想アドレスを利用せずに通信を行う旨の指示を受け付けた場合は、前記第2ルーティング対象アドレスを利用して通信を行うことを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 5,
When the control unit receives an instruction to perform communication without using the virtual address, the control unit performs communication using the second routing target address. 第1LAN内に位置しパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
前記第1ルーティング対象アドレスと、当該第1ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する仮想アドレス割当情報記憶部と、
制御部と、を備え、
前記制御部は、
ネットワーク部とホスト部とからなる前記仮想アドレスのうちネットワーク部が互いに異なる複数組の前記仮想アドレスを、1組の前記第1ルーティング対象アドレスに割り当て、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する制御と、
前記第2中継サーバへ、当該第2中継サーバ以外の中継サーバに送信した前記仮想アドレスとネットワーク部が異なる前記仮想アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記ルーティングセッションから前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第1ルーティング対象アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの送信元アドレスを、前記第2中継サーバへ送信した前記仮想アドレスに変換して前記ルーティングセッションへパケットを転送する制御と、
を行うことを特徴とする中継サーバ。 A first routing target address that is an address of a first routing target device that is located in the first LAN and can transfer a packet, and an address of a second routing target device that can be transferred by a second relay server located in the second LAN An address filter information storage unit for storing the second routing target address,
A virtual address assignment information storage unit that stores the first routing target address and the virtual address assigned to the first routing target address in association with each other;
A control unit,
The controller is
Among the virtual addresses composed of a network part and a host part, a plurality of sets of virtual addresses having different network parts are assigned to a set of first routing target addresses, and the assignment relation is stored in the virtual address assignment information storage part. Control to memorize,
The virtual address transmitted to the second relay server is different from the virtual address transmitted to the relay server other than the second relay server, and the second routing target address is received from the second relay server. Control for establishing a routing session with the second relay server;
When a packet destined for the virtual address is received from the routing session, the destination address of the packet is converted into the first routing target address corresponding to the virtual address with reference to the virtual address allocation information storage unit And a control for transferring the packet to the first routing target device as a destination,
When a packet destined for the second routing target device is received from the first routing target device, the source address of the packet is transmitted to the second relay server with reference to the virtual address allocation information storage unit Control to convert the virtual address to the packet and transfer the packet to the routing session;
The relay server characterized by performing. 第1中継サーバ及び第2中継サーバを含んで構成される中継通信システムにおいて、
第1LAN内に位置する前記第1中継サーバは、
当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
第2ルーティング対象アドレスと、当該第2ルーティング対象アドレスに割り当てられた仮想アドレスと、を対応付けて記憶する仮想アドレス割当情報記憶部と、
制御部と、を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
受信した前記第2ルーティング対象アドレスにネットワーク部とホスト部とからなる前記仮想アドレスを割り当てる際に、それぞれの前記第2ルーティング対象アドレスでネットワーク部が同一となるように、かつ、当該ネットワーク部が前記第2ルーティング対象アドレス以外のルーティング対象アドレスのネットワーク部と異なるようにし、当該割当関係を前記仮想アドレス割当情報記憶部に記憶する制御と、
前記第1ルーティング対象装置から前記仮想アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照して、パケットの宛先アドレスを、前記仮想アドレスに対応する前記第2ルーティング対象アドレスに変換して前記ルーティングセッションへパケットを転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、前記仮想アドレス割当情報記憶部を参照してパケットの送信元アドレスを、前記第2ルーティング対象アドレスに割り当てられた前記仮想アドレスに変換して宛先の前記第1ルーティング対象装置へパケットを転送する制御と、
を行うことを特徴とする中継通信システム。 In the relay communication system including the first relay server and the second relay server,
The first relay server located in the first LAN is
A first routing target address which is an address of a first routing target device to which the first relay server can transfer a packet, and a second routing target device to which the second relay server located in the second LAN can transfer a packet. An address filter information storage unit that stores a second routing target address that is an address;
A virtual address assignment information storage unit that stores a second routing target address and a virtual address assigned to the second routing target address in association with each other;
A control unit,
The controller is
A control for transmitting the first routing target address to the second relay server, receiving the second routing target address from the second relay server, and establishing a routing session with the second relay server;
When allocating the virtual address composed of a network unit and a host unit to the received second routing target address, the network unit is the same in each of the second routing target addresses, and the network unit is Control different from the network portion of the routing target address other than the second routing target address, and storing the allocation relationship in the virtual address allocation information storage unit;
When a packet destined for the virtual address is received from the first routing target device, the destination address of the packet is referred to the second routing target corresponding to the virtual address by referring to the virtual address allocation information storage unit Control to convert the address into a packet and transfer the packet to the routing session;
When a packet destined for the first routing target address is received from the routing session, the source address of the packet is allocated to the second routing target address with reference to the virtual address allocation information storage unit Control for converting the packet into a virtual address and transferring the packet to the destination first routing target device;
A relay communication system.
JP2011289541A 2011-12-28 2011-12-28 Relay server and relay communication system Pending JP2013141060A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011289541A JP2013141060A (en) 2011-12-28 2011-12-28 Relay server and relay communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011289541A JP2013141060A (en) 2011-12-28 2011-12-28 Relay server and relay communication system

Publications (1)

Publication Number Publication Date
JP2013141060A true JP2013141060A (en) 2013-07-18

Family

ID=49038156

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011289541A Pending JP2013141060A (en) 2011-12-28 2011-12-28 Relay server and relay communication system

Country Status (1)

Country Link
JP (1) JP2013141060A (en)

Similar Documents

Publication Publication Date Title
JP5682782B2 (en) Relay server and relay communication system
JP5569697B2 (en) Relay server and relay communication system
JP5668954B2 (en) Relay server and relay communication system
JP5874354B2 (en) Relay server and relay communication system
JP5621639B2 (en) Relay server and relay communication system
JP5874356B2 (en) Relay server and relay communication system
JP2012170008A (en) Relay server and relay communication system
JP5773205B2 (en) Relay server and relay communication system
JP2013141060A (en) Relay server and relay communication system
JP5054666B2 (en) VPN connection device, packet control method, and program
JP5920563B2 (en) Relay server and relay communication system
JP2013141058A (en) Relay server and relay communication system
JP2013141056A (en) Relay server and relay communication system
JP5633693B2 (en) Relay server and relay communication system
JP2010157856A (en) Vpn connection device, packet control method, and program