JP2013141071A - Relay server - Google Patents
Relay server Download PDFInfo
- Publication number
- JP2013141071A JP2013141071A JP2011289644A JP2011289644A JP2013141071A JP 2013141071 A JP2013141071 A JP 2013141071A JP 2011289644 A JP2011289644 A JP 2011289644A JP 2011289644 A JP2011289644 A JP 2011289644A JP 2013141071 A JP2013141071 A JP 2013141071A
- Authority
- JP
- Japan
- Prior art keywords
- address
- relay server
- unit
- filter
- wan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、主として、異なるLANに接続されている端末間の通信を可能とする中継サーバの構成に関する。 The present invention mainly relates to a configuration of a relay server that enables communication between terminals connected to different LANs.
遠隔地にあるLAN(Local Area Network)同士を、インターネットなどのWAN(Wide Area Network)を介して接続するVPN(Virtual Private Network)が開発されている。このような技術は、例えば特許文献1に開示されている。特許文献1に記載の技術は、各LANに中継サーバを設置し、当該中継サーバ同士がWANを介した中継通信を行うことにより、異なるLANに所属しているクライアント端末同士を相互に通信可能とするものである。 A VPN (Virtual Private Network) that connects LANs (Local Area Networks) at remote locations via a WAN (Wide Area Network) such as the Internet has been developed. Such a technique is disclosed in Patent Document 1, for example. The technology described in Patent Document 1 enables a client server belonging to a different LAN to communicate with each other by installing a relay server in each LAN and performing relay communication between the relay servers via the WAN. To do.
中継サーバは、自身が接続されるLANのゲートウェイを介して、WANにアクセスする。この場合、中継サーバにはLAN内のプライベートIPアドレスを割り当てることができる。従って、当該中継サーバへのアクセスはプライベートIPアドレスで行われることになるので、LANの外部から中継サーバへの無用な接続を防ぎ、セキュリティを高めることができる。 The relay server accesses the WAN via a LAN gateway to which the relay server is connected. In this case, a private IP address in the LAN can be assigned to the relay server. Therefore, since the access to the relay server is performed with the private IP address, unnecessary connection from the outside of the LAN to the relay server can be prevented and security can be improved.
一方で、近年、WANに対して有線で接続することが難しい環境でもVPNに参加したいというニーズが高まっている。このようなニーズに対応するため、前記中継サーバに、携帯電話回線(移動体通信網)に接続するための無線通信端末(いわゆるデータ通信カード)を設ける場合がある。この無線通信端末を備えた中継サーバは、携帯電話回線を介してWANに接続することができるので、有線でWANに接続することが難しい環境であってもVPNに参加することが可能となる。例えば特許文献2は、携帯電話をPCに接続することで、携帯電話通信網を利用してVPNを行う構成を開示している。 On the other hand, in recent years, there is an increasing need to participate in VPN even in an environment where it is difficult to connect to a WAN by wire. In order to respond to such needs, a wireless communication terminal (so-called data communication card) for connecting to a mobile phone line (mobile communication network) may be provided in the relay server. Since the relay server provided with this wireless communication terminal can be connected to the WAN via the mobile phone line, it can participate in the VPN even in an environment where it is difficult to connect to the WAN by wire. For example, Patent Document 2 discloses a configuration in which VPN is performed using a mobile phone communication network by connecting a mobile phone to a PC.
中継サーバが携帯電話回線を利用してWANに接続する場合、当該中継サーバにはグローバルIPアドレスが割り当てられるので、当該中継サーバへのアクセスはグローバルIPアドレスで行うことになる。グローバルIPアドレスでアクセスできるということは、当該IPアドレスさえ分かれば誰でもアクセスできるということであるため、セキュリティ上の観点から改善の余地がある。 When a relay server connects to a WAN using a mobile phone line, a global IP address is assigned to the relay server, so access to the relay server is performed using the global IP address. Accessing with a global IP address means that anyone who has access to the IP address can access it, so there is room for improvement from the viewpoint of security.
本発明は以上の事情に鑑みてされたものであり、その目的は、無線通信端末を利用してWANに接続する中継サーバのセキュリティを向上させた構成を提供することにある。 The present invention has been made in view of the above circumstances, and an object thereof is to provide a configuration in which the security of a relay server connected to a WAN using a wireless communication terminal is improved.
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。 The problems to be solved by the present invention are as described above. Next, means for solving the problems and the effects thereof will be described.
本発明の観点によれば、以下の中継サーバが提供される。即ち、この中継サーバは、第1LAN内のクライアント端末と、第2LAN内のライアント端末と、の通信を、前記第2LANに接続された第2中継サーバとの間でWANを介して中継するために、前記第1LANに接続される。当該中継サーバは、第1通信部と、第2通信部と、アドレスフィルタ部と、フィルタ用アドレス記憶部と、フィルタ設定部と、を備える。前記第1通信部は、前記WANに接続する際に、自身のIPアドレスとして、前記第1LANのゲートウェイでアドレス変換されたアドレスを利用する。前記第2通信部は、前記WANに接続する際に、自身のIPアドレスとして、グローバルIPアドレスを利用する。前記アドレスフィルタ部は、設定されたIPアドレスに基づいてパケットのフィルタリングを行う。前記フィルタ用アドレス記憶部は、前記アドレスフィルタ部での前記フィルタリングのために設定する前記IPアドレスを記憶する。前記フィルタ設定部は、前記第2通信部によって前記WANに接続する際に、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定する。 According to an aspect of the present invention, the following relay server is provided. That is, the relay server relays communication between the client terminal in the first LAN and the client terminal in the second LAN via the WAN between the second relay server connected to the second LAN. , Connected to the first LAN. The relay server includes a first communication unit, a second communication unit, an address filter unit, a filter address storage unit, and a filter setting unit. When the first communication unit is connected to the WAN, the first communication unit uses an address converted by the gateway of the first LAN as its own IP address. The second communication unit uses a global IP address as its own IP address when connecting to the WAN. The address filter unit performs packet filtering based on a set IP address. The filter address storage unit stores the IP address set for the filtering in the address filter unit. The filter setting unit sets an IP address stored in the filter address storage unit in the address filter unit when connecting to the WAN by the second communication unit.
上記のように、グローバルIPアドレスを利用してWANに接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。 As described above, security can be enhanced by setting so as to perform packet filtering when connecting to a WAN using a global IP address.
前記中継サーバは、以下のように構成することが好ましい。即ち、前記第1通信部は、前記WANに接続する際には、前記第1LANの前記ゲートウェイを介して前記WANに接続する。前記第2通信部は、前記WANに接続する際には、移動体通信網に無線接続し、当該移動体通信網を介して前記WANに接続する。 The relay server is preferably configured as follows. That is, when connecting to the WAN, the first communication unit connects to the WAN via the gateway of the first LAN. When the second communication unit is connected to the WAN, the second communication unit wirelessly connects to the mobile communication network, and connects to the WAN via the mobile communication network.
即ち、LANのゲートウェイを介してWANに接続する場合は、アドレス変換されたIPアドレス(プライベートIPアドレス)を中継サーバに割り当てることができる。しかし、移動体通信網を介してWANに接続する場合はグローバルIPアドレスが中継サーバに割り当てられる。このため、移動体通信網を利用する際には、セキュリティ上の不安がある。そこで上記のように、移動体通信網を利用する場合(第2通信部によってWANに接続する際)にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。 That is, when connecting to a WAN via a LAN gateway, an IP address (private IP address) whose address has been converted can be assigned to the relay server. However, when connecting to a WAN via a mobile communication network, a global IP address is assigned to the relay server. For this reason, there is a security concern when using a mobile communication network. Therefore, as described above, security can be enhanced by setting to perform packet filtering when using the mobile communication network (when connecting to the WAN by the second communication unit).
上記の中継サーバは、以下のように構成することが好ましい。即ち、この中継サーバは、前記第2通信部がWANに接続可能な場合、当該第2通信部によって前記WANに接続するとともに、前記第1通信部による前記WANへの接続を禁止するWAN接続選択部を備える。 The relay server is preferably configured as follows. That is, when the second communication unit is connectable to the WAN, the relay server connects to the WAN by the second communication unit and prohibits connection to the WAN by the first communication unit. A part.
即ち、移動体通信網を介してWANへ接続する第2通信部がわざわざ有効化されているということは、当該第2通信部によってWANに接続することが意図されていると考えられる。そこで、第2通信部がWANに接続できる場合には、当該第2通信部による接続を、第1通信部よりも優先させる。 That is, the fact that the second communication unit connected to the WAN via the mobile communication network is bothered to be effective is considered to be intended to connect to the WAN by the second communication unit. Therefore, when the second communication unit can connect to the WAN, priority is given to the connection by the second communication unit over the first communication unit.
上記の中継サーバは、以下のように構成することが好ましい。即ち、前記フィルタ設定部は、前記第1通信部によってWANに接続する場合は、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定しない。 The relay server is preferably configured as follows. That is, when the filter setting unit is connected to the WAN by the first communication unit, the IP address stored in the filter address storage unit is not set in the address filter unit.
即ち、アドレス変換されたIPアドレス(プライベートIPアドレス)によってWANに接続するときは、中継サーバに対してWAN側から自由にアクセスすることはできないので、アドレスフィルタの条件を緩くすることができる。そこで、第1接続部でWANに接続するときは、IPアドレスをアドレスフィルタ部に設定しないことにより、不必要なアクセス制限によって利便性が損なわれてしまうことを防ぐ。 In other words, when connecting to the WAN by the IP address (private IP address) whose address has been converted, the relay server cannot be freely accessed from the WAN side, so the address filter conditions can be relaxed. Therefore, when the first connection unit is connected to the WAN, the IP address is not set in the address filter unit, thereby preventing the convenience from being lost due to unnecessary access restrictions.
上記の中継サーバは、以下のように構成することもできる。即ち、前記フィルタ設定部は、前記第1通信部によってWANに接続する際にも、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定する。 The relay server can also be configured as follows. That is, the filter setting unit sets the IP address stored in the filter address storage unit in the address filter unit even when connecting to the WAN by the first communication unit.
このように、アドレス変換されたIPアドレスによってWANに接続するときにも、グローバルIPアドレスでWANに接続するときと同様のフィルタリングを行っても良い。 In this way, when connecting to the WAN with the IP address whose address has been converted, filtering similar to that when connecting to the WAN with the global IP address may be performed.
次に、図面を参照して本発明の実施の形態を説明する。図1は、本実施形態に係る中継サーバを用いて構築されたVPN(仮想プライベートネットワーク)10の概略的な構成を示している。このVPN10は、例えば、遠隔地に設置された第1LAN11と第2LAN12を、インターネット(WAN)14を介して接続するためのものである。
Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows a schematic configuration of a VPN (virtual private network) 10 constructed using a relay server according to the present embodiment. The
第1LAN11及び第2LAN12の構成は特に限定されないが、通常、各LANは1つ以上のクライアント端末を含んでいる。例えば図1の場合、第1LAN11にはクライアント端末17,18,19,20が、第2LANにはクライアント端末21,22が、それぞれ接続されている。また、各LANは、比較的小規模なLANを複数接続した構成であっても良い。例えば図1の場合、第1LAN11は、LAN23,24,25を、ルータ26,27によって接続した構成となっている。
The configurations of the
図1に示すように、第1LAN11内には第1中継サーバ15が、第2LAN12内には第2中継サーバ16が、それぞれ接続されている。第1中継サーバ15と第2中継サーバ16は、それぞれインターネット14に接続可能に構成されている。
As shown in FIG. 1, a
図1の第1LAN11は、インターネット14に対して有線では接続することが難しい環境に構築されたLANを想定したものである。このようなLANでもVPN10に接続できるようにするため、本実施形態の第1中継サーバ15は、携帯電話回線(移動体通信網)30に接続可能な無線通信端末29を備えている。具体的には、この無線通信端末29は、携帯電話のアクセスポイント31との間で無線通信が可能である。アクセスポイント31は、携帯電話回線30に接続されている。この携帯電話回線30には、プロバイダが提供するゲートウェイ33が配置されており、このゲートウェイ33においてプロトコル変換等が行われて、携帯電話回線30とインターネット14とが相互に通信可能となっている。
The
以上の構成で、第1中継サーバ15が、携帯電話回線30を介してインターネット14に無線で接続することが可能となっている。これにより、インターネット14に対して有線では接続することが難しい第1LAN11であっても、VPN10に参加することができる。なお、プロバイダのゲートウェイ33においては、第1中継サーバ15に対してグローバルIPv4アドレスが割り当てられる。従って、第1中継サーバ15は、自身に割り当てられたグローバルIPv4アドレスによってインターネット14に接続することになる。
With the above configuration, the
図1の第2LAN12は、インターネット14に対して有線で接続できているLANを想定したものである。従って、第2LAN12に接続される第2中継サーバ16の場合は、第1中継サーバ15のような無線通信端末29は不要である。即ち、第2中継サーバ16は、第2LAN12のゲートウェイ28を介してインターネット14に接続することができる。
The
なお、第2LAN12のゲートウェイ28は、ネットワークアドレス変換(Network Address Translation,NAT)を行うことにより、第2LAN12内の機器にプライベートIPv4アドレスをマッピングするように構成されている。従って、本実施形態の第2中継サーバ16は、自身に割り当てられたプライベートIPアドレスによってインターネット14に接続することになる。
Note that the
続いて、中継サーバ15,16の構成について説明する。なお、第1中継サーバ15と第2中継サーバ16は、無線通信端末29の有無を除いて同一のハードウェアからなっている。図2に示すように、中継サーバ15,16は、LANインタフェース(第1通信部)34と、USBインタフェース(第2通信部)35と、制御部36と、フィルタ用アドレス記憶部41と、を備えている。
Next, the configuration of the
LANインタフェース34は、LANケーブルを接続可能であるとともに、当該LANケーブルを介してデータの送受信が可能に構成されている。第1中継サーバ15は、このLANインタフェース34によって第1LAN11に(より具体的にはLAN23に)接続されている。また、第2中継サーバ16は、LANインタフェース34よって、第2LAN12に接続されている。
The
前述のように、第2LAN12はゲートウェイ28を介してインターネット14に接続されているので、当該第2LAN12に接続されている第2中継サーバ16は、LANインタフェース34によってインターネット14に接続することができる。第2中継サーバ16には、プライベートIPアドレスが割り当てられ、当該プライベートIPアドレスを利用してインターネット14に接続することになる。
As described above, since the
なお、第1中継サーバ15もLANインタフェース34を備えているが、後述のWAN接続選択部39によって、当該LANインタフェース34によるインターネット14への接続が禁止されている。従って、本実施形態の場合、第1中継サーバ15は、LANインタフェース34によってインターネット14に接続することはない。
Although the
従って、中継サーバ15,16が備えるLANインタフェース34は、インターネット14に接続する際には、プライベートIPアドレスを利用してインターネット14に接続するものであると言うことができる。
Therefore, it can be said that the
USBインタフェース35は、USB(Universal Serial Bus)規格の機器を接続可能であるとともに、当該機器との間でデータのやり取りを行うことができるように構成されている。本実施形態において、前記無線通信端末29は、いわゆるUSBデータ通信カードであり、USBインタフェース35に接続可能に構成されている。第1中継サーバ15のUSBインタフェース35には、この無線通信端末29が接続されている。これにより、第1中継サーバ15のUSBインタフェース35は、無線通信端末29を介してインターネット14に接続可能となっている。前述のように、第1中継サーバ16には、グローバルIPアドレスが割り当てられ、当該グローバルIPアドレスを利用してインターネットに接続することになる。
The
なお、第2中継サーバ16のUSBインタフェース35には、無線通信端末29が接続されていない。従って、第2中継サーバ16は、USBインタフェース35によってインターネット14に接続することはない。
Note that the
従って、中継サーバ15,16が備えるUSBインタフェース35は、インターネット14に接続する際には、グローバルIPアドレスを利用してインターネット14に接続するものであると言うことができる。
Therefore, it can be said that the
制御部36は、図略のCPU、ROM、RAM等のハードウェアを備えたコンピュータとして構成されている。また、前記RAMには、サーバアプリケーション等のソフトウェアが記憶されている。制御部36において前記サーバアプリケーションを実行することにより、当該制御部36を、アドレスフィルタ部37、パケット転送部38、WAN接続選択部39、及びフィルタ設定部42等として機能させることができる。
The
パケット転送部38は、LANインタフェース34又はUSBインタフェース35で受信されたパケットを、適切な転送先に転送するように機能する。
The
ただし、インターネット14から受信したパケットを無制限に転送するようでは、セキュリティの面で好ましくない場合がある。そこで、アドレスフィルタ部37は、必要に応じて、パケット転送部38が転送するパケットのアドレスフィルタリングを行うように構成されている。
However, it may not be preferable in terms of security if packets received from the
アドレスフィルタ部37には、インターネット14から受信したパケットの転送を許可するIPアドレスを設定可能である。このようにアドレスフィルタ部37に設定されるIPアドレスを、「許可アドレス」と呼ぶ。アドレスフィルタ部37は、インターネット14から受信したパケットの送信先が許可アドレスとして設定されたIPアドレスの何れかに一致している場合は、当該パケットを前記送信先へと転送することを許可する。一方、アドレスフィルタ部37は、インターネット14から受信したパケットの送信先が許可アドレスとして設定されたIPアドレスの何れにも一致しない場合は、当該パケットを遮断する。なお、許可アドレスが1つも設定されていない場合は、アドレスフィルタ部37によるフィルタリングは行われない。
The
アドレスフィルタ部37に設定すべき許可アドレスは、フィルタ用アドレス記憶部41に記憶されている。第1中継サーバ15のフィルタ用アドレス記憶部41に記憶されている許可アドレスの例を、図3に示す。図3の例では、クライアント端末17のIPアドレス(192.168.1.1)が一行目に、クライアント端末19,20が接続されているLAN25のアドレス(192.168.2.0/24)が二行目に記述されている。このように、許可アドレスは複数設定することができる。また、図3の二行目に示すように、ネットワーク全体(図3の場合はLAN25全体)を示す許可アドレスを設定することもできる。
The permitted address to be set in the
フィルタ用アドレス記憶部41に対する許可アドレスの登録は、ユーザが適宜の操作を行うことにより行うことができる。例えば、ユーザは、何れかのクライアント端末から第1中継サーバ15にアクセスし、適宜操作することで、図4に示すような許可アドレス登録画面を表示させる。この許可アドレス登録画面では、ユーザが適宜操作を行うことにより、フィルタ用アドレス記憶部41に記憶させる許可アドレスを追加することができる。また、フィルタ用アドレス記憶部41に記憶されている許可アドレスを削除することもできる。
Registration of the permission address to the filter
フィルタ設定部42は、フィルタ用アドレス記憶部41に記憶されている許可アドレスを、アドレスフィルタ部37に設定するように構成されている。これにより、ユーザが図4の画面で登録した許可アドレスに基づいて、アドレスフィルタ部37によるパケットのフィルタリングを行うことができる。逆に言うと、ユーザが図4の画面によって許可アドレスをフィルタ用アドレス記憶部41に登録したとしても、フィルタ設定部42によってアドレスフィルタ部37に許可アドレスが設定されない限りは、アドレスフィルタ部37によるアドレスフィルタは行われない。
The
より具体的には、フィルタ設定部42は、中継サーバがUSBインタフェース35によってインターネット14に接続している場合に、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定するように構成されている。即ち、中継サーバがUSBインタフェース35を利用してインターネット14に接続している場合、当該中継サーバはグローバルIPアドレスによってインターネット14に接続することになるので、インターネット14から不正なアクセスを受ける危険性がある。そこで、上記のように中継サーバがUSBインタフェース35を利用してインターネット14に接続している場合、アドレスフィルタ部37に許可アドレスを設定する。これにより、ユーザが図4の画面で登録した許可アドレスに基づいて、アドレスフィルタ部37によるパケットのアドレスフィルタを行うことができる。従って、インターネット14からの無用な接続を遮断することができるので、セキュリティを高めることができる。
More specifically, the
また、フィルタ設定部42は、中継サーバがLANインタフェース34によってインターネット14に接続している場合は、アドレスフィルタ部37に対して許可アドレスを設定しないように構成されている。即ち、中継サーバがLANインタフェース34を利用してインターネット14に接続している場合、当該中継サーバはゲートウェイ28によって割り当てられたプライベートIPアドレスによってインターネット14に接続することになるので、インターネット14から不正な接続を受ける危険性は低い。そこで、上記のように、中継サーバがLANインタフェース34によってインターネット14に接続している場合は、アドレスフィルタ部37に対して許可アドレスを設定しないことにより、アドレスフィルタ部37によるパケットのアドレスフィルタを行わない。これにより、無用なフィルタリングが行われてしまうことを防止できる。
The
フィルタ設定部42を上記のように構成することで、グローバルIPアドレスでインターネット14に接続している場合と、プライベートIPアドレスでインターネット14に接続している場合とでアドレスフィルタ部37の動作を自動的に変更することができる。これにより、中継サーバ15,16のインターネット14への接続状況に応じて、適切にセキュリティを確保することができる。
By configuring the
WAN接続選択部39は、LANインタフェース34とUSBインタフェース35の何れを利用してインターネット14に接続するかを選択するように機能する。即ち、本実施形態の中継サーバは、USBインタフェース35に無線通信端末29を接続した場合、当該USBインタフェース35とLANインタフェース34の両方でインターネット14に接続可能な状態となる。このような場合は、何れのインタフェースを用いてインターネット14に接続するかを選択しなければ、中継サーバをインターネット14に適切に接続させることができない。
The WAN
ところで、本実施形態において、無線通信端末29はUSB機器として構成されているので、不必要な場合はUSBインタフェース35から無線通信端末29を取り外しておくことができる。もし仮に、中継サーバ15,16を設置する際に、VPN10の管理者が、当該中継サーバをLANインタフェース34によってインターネット14に接続することを意図していたとすれば、無線通信端末29をUSBインタフェース35にわざわざ接続するとは考えにくい。つまり、無線通信端末29がUSBインタフェース35に接続されている場合は、当該USBインタフェース35によってインターネット14に接続することが意図されているものと考えられる。
By the way, in this embodiment, since the
そこで、WAN接続選択部39は、USBインタフェース35によってインターネット14に接続可能な場合(無線通信端末29がUSBインタフェース35に接続されている場合、つまりUSBインタフェース35が有効化されている場合)には、LANインタフェース34によってインターネット14に接続することを禁止するとともに、前記USBインタフェース35を利用してインターネット14に接続するように設定する。このように、無線通信端末29を利用可能な場合には、USBインタフェース35を優先的に利用してインターネット14に接続することで、中継サーバ15,16を適切にインターネット14に接続することができる。一方、USBインタフェース35によってインターネットに接続できない場合(USBインタフェース35に無線通信端末29が接続されていない場合、つまりUSBインタフェース35が無効化されている場合)は、WAN接続選択部39は、LANインタフェース34を利用して、中継サーバをインターネット14に接続するように設定する。
Therefore, the WAN
続いて、本実施形態のVPN10の動作について、簡単に説明する。なお、以下では、第1LAN11内のクライアント端末17が、第2LAN12内のクライアント端末21に対してパケットを送信する場合を例として説明する。
Next, the operation of the
クライアント端末17とクライアント端末21は互いに異なるLANに属しているので、パケットのやり取りを直接的に行うことはできない。このような場合に、本実施形態の中継サーバ15,16を利用して、第1LAN11と第2LAN12の間をVPN10で結ぶことにより、クライアント端末17とクライアント端末21の間でパケットのやり取りが可能となる。
Since the
まず、何れかのクライアント端末のユーザ、又はVPN10の管理者によって、第1中継サーバ15と第2中継サーバ16の間に、インターネット14を介した通信セッションを確立する操作が行われる。
First, an operation for establishing a communication session via the
次に、クライアント端末17において、当該クライアント端末17からクライアント端末21に向けてVPN10を介してパケットを送信する操作が行われる。このパケットは、まず第1中継サーバ15に送信される。
Next, the
パケットを受信した第1中継サーバ15のパケット転送部38は、既に確立されている通信セッションによって、前記パケットを第2中継サーバ16に転送する。
The
第2中継サーバ16がインターネット14から前記パケットを受信した場合、当該第2中継サーバ16のアドレスフィルタ部37は、前記パケットに対してアドレスフィルタリングを行う。ただし、本実施形態において、第2中継サーバ16はLANインタフェース34によってインターネット14に接続されている。従って、この第2中継サーバ16のフィルタ設定部42は、アドレスフィルタ部37に許可アドレスを設定していない。このように、アドレスフィルタ部37に許可アドレスが設定されていない場合、当該アドレスフィルタ部37は、インターネット14から受信されたパケットのフィルタリングは行わずに、全てのパケットを通過させる。
When the
パケット転送部38は、アドレスフィルタ部37を通過したパケットを、当該パケットの送信先として指定されているクライアント端末21に転送する。
The
以上のように、第1中継サーバ15と第2中継サーバ16の間にインターネットを介した通信セッションを確立させておき、当該通信セッションを介してパケットを転送することにより、異なるLAN11,12に属しているクライアント端末17,21の間でパケットのやり取りを行うことができる。
As described above, a communication session via the Internet is established between the
次に、第2LAN12内のクライアント端末21から、第1LAN11内のクライアント端末17に対してパケットを送信する場合を例として説明する。
Next, a case where a packet is transmitted from the
この場合、クライアント端末21において、当該クライアント端末21からクライアント端末17に向けてVPN10を介してパケットを送信する操作が行われる。このパケットは、まず第2中継サーバ16に送信される。
In this case, the
パケットを受信した第2中継サーバ16のパケット転送部38は、前記通信セッションによって、前記パケットを第1中継サーバ15に転送する。
The
インターネット14から前記パケットを受信した第1中継サーバ15のアドレスフィルタ部37は、当該パケットのアドレスフィルタリングを行う。第1中継サーバ15はUSBインタフェース35によってインターネット14に接続しているので、フィルタ設定部42によって、アドレスフィルタ部37に許可アドレスが設定されている。このように、アドレスフィルタ部37に許可アドレスが設定されている場合、当該アドレスフィルタ部37は、インターネット14から受信されたパケットの送信先が、設定された許可アドレスの何れかに一致している場合にのみ、当該パケットを通過させる。例えば図4に示した許可アドレスには、クライアント端末17のIPアドレス(192.168.1.1)が含まれている。従って、図4に示すような許可アドレスが第1中継サーバ15のアドレスフィルタ部37に設定されている場合において、当該第1中継サーバ15がクライアント端末17宛てのパケットをインターネット14から受信した場合、アドレスフィルタ部37は、当該パケットを通過させる。
The
パケットがアドレスフィルタ部37を通過した場合、パケット転送部38は、当該パケットを、送信先として指定されているクライアント端末17に転送する。
When the packet passes through the
以上のように、グローバルIPアドレスを用いてインターネット14に接続している第1中継サーバ15においては、インターネット14から受信したパケットを転送する際に、パケットフィルタリングを行う。これにより、インターネット14からの不正な接続を防止し、セキュリティを高めることができる。
As described above, the
以上で説明したように、本実施形態の中継サーバ15,16は、LANインタフェース34と、USBインタフェース35と、アドレスフィルタ部37と、フィルタ用アドレス記憶部41と、フィルタ設定部42と、を備えている。LANインタフェース34は、インターネット14に接続する際には、自身のIPアドレスとして、ゲートウェイ28でアドレス変換されたプライベートIPアドレスを利用する。USBインタフェース35は、インターネット14に接続する際には、自身のIPアドレスとして、グローバルIPアドレスを利用する。アドレスフィルタ部37は、設定された許可アドレスに基づいてパケットのフィルタリングを行う。フィルタ用アドレス記憶部41は、アドレスフィルタ部37での前記フィルタリングのために設定する許可アドレスを記憶する。フィルタ設定部42は、USBインタフェース35によってインターネットに接続する際に、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定する。
As described above, the
上記のように、グローバルIPアドレスを利用してインターネット14に接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。
As described above, security can be enhanced by setting to perform packet filtering when connecting to the
また、本実施形態の中継サーバ15,16は、以下のように構成されている。即ち、LANインタフェース34は、インターネット14に接続する際には、LANのゲートウェイを介してインターネット14に接続する。USBインタフェース35は、インターネット14に接続する際には、携帯電話回線30に無線接続し、当該携帯電話回線30を介してインターネット14に接続する。
Moreover, the
即ち、LANのゲートウェイを介してWANに接続する場合は、アドレス変換されたIPアドレス(プライベートIPアドレス)を中継サーバに割り当てることができる。しかし、携帯電話回線30を介してWANに接続する場合はグローバルIPアドレスが中継サーバに割り当てられる。このため、携帯電話回線30を利用する際には、セキュリティ上の不安がある。そこで上記のように、USBインタフェース35によってWANに接続する際にパケットフィルタリングを行うように設定することで、セキュリティを高めることができる。
That is, when connecting to a WAN via a LAN gateway, an IP address (private IP address) whose address has been converted can be assigned to the relay server. However, when connecting to the WAN via the
また、本実施形態の中継サーバ15,16は、USBインタフェース35がインターネット14に接続可能な場合、当該USBインタフェース35によってインターネット14に接続するとともに、LANインタフェース34によるインターネット14への接続を禁止するWAN接続選択部39を備えている。
In addition, when the
即ち、USBインタフェース35に無線通信端末29がわざわざ接続されているということは、当該USBインタフェース35によってインターネット14に接続することが意図されていると考えられる。そこで、USBインタフェース35がインターネット14に接続できる(無線通信端末29が接続されている)場合には、当該USBインタフェース35による接続を、LANインタフェース34よりも優先させる。
That is, the fact that the
また、本実施形態の中継サーバ15,16において、フィルタ設定部42は、LANインタフェース34によってインターネット14に接続する場合は、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定しない。
Further, in the
即ち、アドレス変換されたIPアドレス(プライベートIPアドレス)によってインターネット14に接続するときは、中継サーバに対してWAN側から自由にアクセスすることはできないので、アドレスフィルタの条件を緩くすることができる。そこで、LANインタフェース34でインターネット14に接続するときは、許可アドレスをアドレスフィルタ部37に設定しないことにより、不必要なアクセス制限によって利便性が損なわれてしまうことを防ぐ。
That is, when connecting to the
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。 The preferred embodiment of the present invention has been described above, but the above configuration can be modified as follows, for example.
上記実施形態の第1LAN11は、有線でLANに接続することが難しい環境に敷設されているとした。しかし、環境が変化して、第1LAN11が有線でインターネット14に接続可能になった場合(例えば、第1LAN11の設置地域まで光ケーブルが敷設された場合など)は、第1中継サーバ15のUSBインタフェース35から無線通信端末29を取り外せば良い。これにより、USBインタフェース35によってインターネット14に接続することができなくなるので、WAN接続選択部39は、LANインタフェース34によってインターネット14に接続するように設定を変更する。フィルタ設定部42は、LANインタフェース34によってインターネット14に接続するように設定されたことを検出すると、アドレスフィルタ部37に許可アドレスを設定しなくなる。つまり、無線通信端末29を取り外すことにより、アドレスフィルタ部37におけるアドレスフィルタを行わないようにすることができる。このように、無線通信端末29が不要になった場合には、当該無線通信端末29を取り外すだけで、インターネット14に接続するためのインタフェースの選択、及びパケットフィルタリングの設定などが自動的に変更される。従って、設定変更の手間を省くことができる。
The
アドレスフィルタ部37におけるフィルタリングの態様、フィルタ設定部42がアドレスフィルタ部37にIPアドレスを設定する態様等は、上記実施形態の構成に限定されない。要は、中継サーバがグローバルIPアドレスを利用してWANに接続する場合と、アドレス変換されたIPアドレス(プライベートIPアドレス)を利用してWANに接続する場合と、でアドレスフィルタリングの設定を変更することができれば良い。これにより、プライベートIPアドレスとグローバルIPアドレスの何れを利用しているかに応じて、適切なフィルタリングを実現し、良好なセキュリティを実現することができる。
The mode of filtering in the
上記実施形態では、無線通信端末29はUSB機器であり、中継サーバから取り外し可能であるとした。しかしこれに限らず、無線通信端末が中継サーバに内蔵されていて、取り外し不可能に構成されていても良い。なおこの場合、無線通信端末による通信を無効化する手段(例えばスイッチなど)を設けておけば好適である。
In the above embodiment, the
無線通信端末29を中継サーバから取り外し可能とする場合、当該無線通信端末29を中継サーバの第2通信部に接続するインタフェースはUSB規格に限定されず、例えばPCカード等の他の規格であっても良い。つまり、第2通信部はUSBインタフェースに限らず、その他のインタフェースであっても良い。更には、第2通信部は必ずしも無線でWANに接続するものでなくても良い。また、第1通信部は必ずしも有線でWANに接続するものでなくても良い。第2通信部がグローバルIPアドレスを利用してWANに接続し、第1通信部がアドレス変換されたIPアドレスを利用してWANに接続する構成の中継サーバであれば、第1通信部及び第2通信部の詳細にかかわらず本願発明を適用できる。
When the
上記実施形態では、IPv4のIPアドレスを利用するとしたが、例えばIPv6のIPアドレスを利用しても良い。 In the above embodiment, an IPv4 IP address is used. However, for example, an IPv6 IP address may be used.
上記の中継サーバ15,16は、以下のように構成することもできる。即ち、フィルタ設定部42は、LANインタフェース34によってインターネット14に接続する際にも、フィルタ用アドレス記憶部41に記憶されている許可アドレスをアドレスフィルタ部37に設定する。このように、プライベートIPアドレスでインターネット14に接続するときも、グローバルIPアドレスでインターネット14に接続するときと同様のフィルタリングを行っても良い。
The
11 第1LAN
12 第2LAN
14 インターネット(WAN)
15 第1中継サーバ
16 第2中継サーバ
29 無線通信端末
34 LANインタフェース(第1通信部)
35 USBインタフェース(第2通信部)
37 アドレスフィルタ部
41 フィルタ用アドレス記憶部
42 フィルタ設定部
11 First LAN
12 Second LAN
14 Internet (WAN)
15
35 USB interface (second communication unit)
37
Claims (5)
WANに接続する際に、自身のIPアドレスとして、前記第1LANのゲートウェイでアドレス変換されたIPアドレスを利用する第1通信部と、
WANに接続する際に、自身のIPアドレスとして、グローバルIPアドレスを利用する第2通信部と、
設定されたIPアドレスに基づいてパケットのフィルタリングを行うアドレスフィルタ部と、
前記アドレスフィルタ部での前記フィルタリングのために設定する前記IPアドレスを記憶するフィルタ用アドレス記憶部と、
前記第2通信部によって前記WANに接続する際に、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定するフィルタ設定部と、
を備えることを特徴とする中継サーバ。 Connected to the first LAN to relay communication between the client terminal in the first LAN and the client terminal in the second LAN via the WAN to the second relay server connected to the second LAN. A relay server,
A first communication unit that uses an IP address converted by the gateway of the first LAN as its own IP address when connecting to the WAN;
A second communication unit that uses a global IP address as its own IP address when connecting to the WAN;
An address filter unit that filters packets based on the set IP address;
A filter address storage unit for storing the IP address set for the filtering in the address filter unit;
A filter setting unit that sets an IP address stored in the filter address storage unit in the address filter unit when connecting to the WAN by the second communication unit;
A relay server comprising:
前記第1通信部は、前記WANに接続する際に、前記第1LANの前記ゲートウェイを介して前記WANに接続し、
前記第2通信部は、前記WANに接続する際に、移動体通信網に無線接続し、当該移動体通信網を介して前記WANに接続することを特徴とする中継サーバ。 The relay server according to claim 1,
The first communication unit connects to the WAN via the gateway of the first LAN when connecting to the WAN,
The second communication unit, when connecting to the WAN, wirelessly connects to a mobile communication network and connects to the WAN via the mobile communication network.
前記第2通信部がWANに接続可能な場合、当該第2通信部によって前記WANに接続するとともに、前記第1通信部による前記WANへの接続を禁止するWAN接続選択部を備えることを特徴とする中継サーバ。 The relay server according to claim 2,
When the second communication unit is connectable to a WAN, the second communication unit includes a WAN connection selection unit that connects to the WAN by the second communication unit and prohibits connection to the WAN by the first communication unit. Relay server to be used.
前記フィルタ設定部は、前記第1通信部によってWANに接続する場合は、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定しないことを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
When the filter setting unit is connected to the WAN by the first communication unit, the relay server is characterized in that the IP address stored in the filter address storage unit is not set in the address filter unit.
前記フィルタ設定部は、前記第1通信部によってWANに接続する際にも、前記フィルタ用アドレス記憶部に記憶されているIPアドレスを前記アドレスフィルタ部に設定することを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
The said filter setting part sets the IP address memorize | stored in the said address storage part for a filter to the said address filter part also when connecting with WAN by the said 1st communication part, The relay server characterized by the above-mentioned.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011289644A JP5845898B2 (en) | 2011-12-28 | 2011-12-28 | Relay server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011289644A JP5845898B2 (en) | 2011-12-28 | 2011-12-28 | Relay server |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013141071A true JP2013141071A (en) | 2013-07-18 |
JP5845898B2 JP5845898B2 (en) | 2016-01-20 |
Family
ID=49038165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011289644A Active JP5845898B2 (en) | 2011-12-28 | 2011-12-28 | Relay server |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5845898B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003008683A (en) * | 2001-06-18 | 2003-01-10 | Nec Corp | Cellular phone apparatus with usb reconnection function, and communication recovery method of the device |
WO2005122492A1 (en) * | 2004-06-07 | 2005-12-22 | Nippon Telegraph And Telephone Corporation | Domestic network setting method, home gateway device, home gateway program, and recording medium |
JP2008219643A (en) * | 2007-03-06 | 2008-09-18 | Nec Corp | Mobile terminal device, mobile phone, vpn connection system, vpn connection method, and program |
JP2009157825A (en) * | 2007-12-27 | 2009-07-16 | Murata Mach Ltd | Relay server and relay communication system |
JPWO2010073563A1 (en) * | 2008-12-24 | 2012-06-07 | パナソニック株式会社 | CONFERENCE DEVICE AND COMMUNICATION SETTING METHOD |
-
2011
- 2011-12-28 JP JP2011289644A patent/JP5845898B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003008683A (en) * | 2001-06-18 | 2003-01-10 | Nec Corp | Cellular phone apparatus with usb reconnection function, and communication recovery method of the device |
WO2005122492A1 (en) * | 2004-06-07 | 2005-12-22 | Nippon Telegraph And Telephone Corporation | Domestic network setting method, home gateway device, home gateway program, and recording medium |
JP2008219643A (en) * | 2007-03-06 | 2008-09-18 | Nec Corp | Mobile terminal device, mobile phone, vpn connection system, vpn connection method, and program |
JP2009157825A (en) * | 2007-12-27 | 2009-07-16 | Murata Mach Ltd | Relay server and relay communication system |
JPWO2010073563A1 (en) * | 2008-12-24 | 2012-06-07 | パナソニック株式会社 | CONFERENCE DEVICE AND COMMUNICATION SETTING METHOD |
Non-Patent Citations (1)
Title |
---|
JPN6015022372; ソフトバンク: '製品情報' USBスティックSoftBankC01C , 20090306, ソフトバンク株式会社 * |
Also Published As
Publication number | Publication date |
---|---|
JP5845898B2 (en) | 2016-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9173117B2 (en) | Enhancing a mobile backup channel to address a node failure in a wireline network | |
EP2745471B1 (en) | Architecture for virtualized home ip service delivery | |
JP5378494B2 (en) | Data transmission system and method using relay server | |
JP4989745B2 (en) | Apparatus, method, and program for relaying communication | |
JP5763849B2 (en) | Device configuration and method for realizing a data transfer network used in remote control of properties | |
JP6082156B1 (en) | COMMUNICATION SYSTEM, ADDRESS NOTIFICATION DEVICE, COMMUNICATION CONTROL DEVICE, TERMINAL, COMMUNICATION METHOD, AND PROGRAM | |
JP5682782B2 (en) | Relay server and relay communication system | |
JP5367764B2 (en) | Virtual network system, configuration change method, tunnel connection apparatus, and program | |
CN106416146B (en) | Communication apparatus, communication method, and communication system | |
JP5687388B2 (en) | Device configuration for remote control of buildings | |
TWI527405B (en) | Relay server and relay communication system | |
US8554935B2 (en) | Relay server and relay communication system | |
JP5621639B2 (en) | Relay server and relay communication system | |
JP2010283762A (en) | Communication route setting device, communication route setting method, program, and storage medium | |
JP5437518B2 (en) | Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program | |
CN109039849B (en) | Multi-device common networking method, storage medium and multi-device all-in-one machine | |
JP5845898B2 (en) | Relay server | |
JP5874356B2 (en) | Relay server and relay communication system | |
JP2005150794A (en) | Computer apparatus and computer program | |
JP4371955B2 (en) | Button telephone system and voice data communication method used therefor | |
JP5849695B2 (en) | Relay server | |
JP2012170008A (en) | Relay server and relay communication system | |
JP2010278858A (en) | Communication network system, terminal setting method and ip telephone set | |
JP2005311658A (en) | Radio access point and radio system | |
JP6755171B2 (en) | Connection switching system, connection switching method, and connection destination device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141030 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150529 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150604 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150803 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151027 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151109 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5845898 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |