JP3491828B2 - 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム - Google Patents
閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステムInfo
- Publication number
- JP3491828B2 JP3491828B2 JP2000266397A JP2000266397A JP3491828B2 JP 3491828 B2 JP3491828 B2 JP 3491828B2 JP 2000266397 A JP2000266397 A JP 2000266397A JP 2000266397 A JP2000266397 A JP 2000266397A JP 3491828 B2 JP3491828 B2 JP 3491828B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- processing means
- closed
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
術に係わり、特に、インターネットのようなオープンな
ネットワークを介して、閉域網へのアクセスサービスや
閉域網に対するホスティングサービスを効率的に提供す
るのに好適な閉域網間接続システムと閉域網間接続方法
およびその処理プログラムを記録した記録媒体ならびに
ホスティングサービスシステムに関するものである。
プンなネットワークの利用が広く普及する一方で、多く
の企業においては、イントラネット等の閉域網の構築を
行っている。
慮して、専用線を使用するのが一般的である。しかし、
専用線の使用は高価であり、閉域網間の接続に、このよ
うな高価な専用線を使用する代わりに、低価格なインタ
ーネットなどの広域ネットワークを活用することが普及
しつつある。
するための要素技術として、IPトンネル技術の一つで
あるIPsec(トンネリングモード)がある。このIP
sec(Security Architecture for Internet Protoco
l)は、閉域網内からのIPパケットに、広域ネットワ
ーク内での転送に使用するIPヘッダを付与してカプセ
ル化し(IPトンネリング)、かつ、暗号化処理をほど
こすことにより、閉域網間を接続する安全性の高い仮想
トンネルを作成する技術である。
衆インターネット網を介して、閉域網である企業ネット
ワーク同士を安全に接続して、さらに広範囲な閉域網を
構成するVPN(Vertual Private Network)の利用促
進が図られている。
介して、閉域網へアクセスするための要素技術として、
L2TP(Layer two Tunneling Protocol)がある。こ
のL2TPでは、端末から公衆電話網を経由して、イン
ターネットプロバイダ(ISP)などに設置されたLA
C(L2TP Access Concentrator)と呼ばれるアクセスサ
ーバに接続し、さらに、LACは、閉域網内に用意され
たLNS(L2TP Network Server)と仮想的なトンネル
を確立する。これにより、端末からは、閉域網内と、P
PP(Point-to-Point Protocol)による接続が確立さ
れたようにみえる。
3者機関が、広域ネットワークを介して、ホスティング
サービスを提供したり、その閉域網へのアクセスサービ
スを提供するには、図5に示すように、各閉域網毎に機
器およびネットワークを用意することで対応できる。
を接続するネットワーク構成例を示すブロック図であ
る。
N(1)51a」、「VPN(2)51b」)毎に、機
器(ルータ52a,52b、アクセスサーバ53a,5
3b,54a,54b)およびネットワーク(広域ネッ
トワーク55a,55b)を用意し、ISP等の第3者
機関は、広域ネットワーク55a,55bを介して、V
PN(1)51aおよびVPN(2)51bに対して、
アクセスサーバ53a,53b,54a,54bによる
ホスティングサービスを提供し、また、VPN(1)5
1aおよびVPN(2)51bへのアクセスサービスを
提供する。
1a」、「VPN(2)51b」)毎に、機器(ルータ
52a,52b、アクセスサーバ53a,53b,54
a,54b)およびネットワーク(広域ネットワーク5
5a,55b)を用意する技術は、サービスを実現する
ための最も単純な技術であるが、初期投資や運用コス
ト、管理コスト等がかかる。
図6に示すように、各閉域網からの接続を集約して1箇
所で終端することが有効である。
ネットワーク構成例を示すブロック図である。
(2)61bのそれぞれは、同じ広域ネットワーク65
を介して同じルータ62に接続され、各アクセスサーバ
63,64によるホスティングサービスを利用すること
ができる。
(1)61aおよびVPN(2)61bにおいて同じア
ドレス空間を使用している場合には、通常のIPルーテ
ィングでは正しく動作しない可能性がある。
ィングなどのサービスを提供する場合に発生する、PP
PやIPsecなどのIPトンネルを経由して到着したパ
ケットの異なる閉域網同士のアドレス衝突の問題を解決
する技術として、例えば、特願平11−183067号
や特願平11−313355号等において提案されてい
る「R−NAT」と呼ばれる、NAT(Network Addres
s Translation/Translator;社内LANで使用されるプ
ライベートIPアドレスを、インターネットで使用され
るグローバルIPアドレスに変換する機能で、ファイア
ウォールなどに実装されている)を拡張した技術があ
る。
ローバルアドレスを確保しておき、IPトンネル経由で
到着したパケットを、そのアドレスに変換することによ
り、閉域網同士のアドレスの衝突を回避するものであ
る。
成では、ルータ62において各VPN(1)61a,
(2)62a用に衝突が起こらないように予め個別のア
ドレス空間を用意しておき、VPN(1)61a,
(2)62a側からのパケットを、このアドレスに変換
してからルーティングすることにより、VPN(1)6
1a,(2)62a同士のアドレスの衝突を回避するこ
とができる。
のような問題が潜在的に存在する。 ルータ62において、各VPN(1)61a,(2)
62a毎にセッションの状態を保持しなければならな
い。すなわち、どのアドレスをどのアドレスに変換した
かを記憶しなければならない。
うなパケットの認証等が行われた場合には、アドレスの
変換によりヘッダが書き換えられるため、認証等が行え
ない。 アドレスの変換が行われるため、サーバ側において
は、VPN内のどの端末から接続が行われているかを識
別することができない。 NAT拡張であることからも分かるように、サーバ側
からVPN内の端末へのアクセスは行えない。
点は、従来の技術では、それぞれ同一のアドレス空間を
用いて構成される可能性のある複数の閉域網に対してホ
スティングなどのサービスを提供する場合に発生するア
ドレス衝突を回避するために、アドレスの変換を行って
おり、ルーティング処理負荷が大きくなってしまう点
と、IPsec等でのIPパケットの認証を行うことが
できない点と、サーバ側においては、VPN内のどの
端末から接続が行われているかを識別することができな
い点と、サーバ側からVPN内の端末にアクセスする
ことができない点である。
解決し、それぞれ同一のアドレス空間を用いて構成され
る可能性のある複数の閉域網間を、低価格なインターネ
ットなどの広域ネットワークを用いて、安全かつ効率的
に接続することを可能とする閉域網間接続システムと閉
域網間接続方法およびその処理プログラムを記録した記
録媒体ならびにホスティングサービスシステムを提供す
ることである。
め、本発明の閉域網間接続システムと閉域網間接続方法
およびホスティングサービスシステムでは、相互に接続
する閉域網の識別情報とこの閉域網間で送受信されるI
Pパケットのアドレス情報との組に基づき、IPパケッ
トの転送先を特定する。このことにより、それぞれ同じ
アドレス空間を用いて構成された複数の閉域網から同じ
IPアドレス情報を有するIPパケットが送られてきた
場合でも、それぞれ異なる所定の転送先に転送すること
ができ、閉域性を失うことなく各閉域網間を接続するこ
とができる。特に、IPアドレスの変換を行うことなく
アドレス衝突を回避できるので、例えば、IPsecで
のパケットの認証を行い安全性を向上させることや、第
3者機関による閉域網のためのホスティングサービスや
閉域網へのアクセスサービスの提供に要するコストを軽
減できる。
IP(IPsec)トンネル、VLAN(Virtual LA
N)、PPPによるネットワークを用いることで、容易
に取得できる。例えば、IP(IPsec)トンネルで
は、カプセル化されたIPヘッダのソースアドレスによ
り、また、VLANの場合にはVLANタグにより、そ
して、PPPの場合には、point-to-pointであることか
ら、インタフェースにより、それぞれ閉域網を識別でき
る。
面により詳細に説明する。図1は、本発明に係る閉域網
間接続システムおよびホスティングサービスシステムの
構成例を示すブロック図である。
PN(Vertual Private Network)(1),(2)、3
は低コストの広域ネットワークとしてのインターネッ
ト、4は本発明に係わるIPパケットの転送制御を行う
ルータ、5は閉域網としてのVLAN(Vertual Local
Area Network)、6〜9はVLAN5内のサーバであ
る。
1,2に対して、VLAN5内に閉じた各サーバ6〜9
を貸し出すサービス、すなわち、ホスティングサービス
を実施する場合を例にして説明を行う。尚、ルータ4よ
り図中の右側の各設備が、第3者の事業者の設備であ
る。
ータ4は、インターネット3を介して、IPsecトンネ
ルにより接続される。VPN(1)1およびVPN
(2)2にはルータ4と同様の機能を有する図示してい
ないルータが設けられている。
を2つ持っており、それぞれを「if0」、「if1」
とする。if0は、インターネット3側のインタフェー
スであり、グローバルアドレス[129.0.0、1]
がふられている。また、ルータ4のインタフェースif
1側には、サーバ6〜9を有するVLAN5(以下、
「VLAN−NET」ともいう)からなるネットワーク
が構成されている。
2内は、いずれも同じローカルアドレス[10.0.
0.0/24]により構成されている。また、VPN
(1)1は、グローバルアドレス[129.1.0.
1]によりインターネット3と接続され、VPN(2)
2は、グローバルアドレス[129.2.0.1]によ
りインターネット3と接続されている。
PN(1)1向けのサーバであり、それぞれ、ローカル
アドレス[10.0.1.1]と[10.0.1.2]
がふられている。また、サーバ8とサーバ9は、VPN
(2)2向けのサーバであり、それぞれ、ローカルアド
レス[10.0.1.1]と[10.0.1.2]がふ
られている。
ュータシステムで構成され、ルーティングテーブル4a
とルーティング処理部4bを有し、ルーティングテーブ
ル4aには、図3に示すようなルーティング情報を保持
している。
すブロック図である。
y Tube)やLCD(Liquid Crysta1 Disp1ay)等から
なる表示装置、22はキーボードやマウス等からなる入
力装置、23はHDD(Hard Disk Drive)等からなる
外部記憶装置、24はCPU(Central Processing Uni
t)24aや主メモリ24b等を具備して蓄積プログラ
ム方式によるコンピュータ処理を行なう情報処理装置、
25は本発明に係わるプログラムやデータを記録したC
D−ROM(Compact Disc-Read Only Memory)もしく
はDVD(Digital Video Disc/Digital Versatile Dis
c)等からなる光ディスク、26は光ディスク25に記
録されたプログラムおよびデータを読み出すための駆動
装置、27はLAN(Local Area Network)カードやモ
デム等からなる通信装置である。
よびデータを情報処理装置24により駆動装置26を介
して外部記憶装置23内にインストールした後、外部記
憶装置23から主メモリ24bに読み込みCPU24a
で処理することにより、情報処理装置24内に図1に示
すルータ4としての機能が実装される。
ーティングテーブル内の情報例を示す説明図である。
「source address」(送信元IPアドレス)と「destin
ation address」(送信先IPアドレス)と共に、「sou
rce network」および「送出先」の各項目において、同
じローカルアドレスで構成されるVPN(1)とVPN
(2)を識別可能に管理している。
aの第1行と第2行では、「sourceaddress」と「desti
nation address」がそれぞれ同じ(「10.0.0.0
/24」、「10.0.1.0/24」内容となってお
り、これだけのアドレス情報だけでは、アドレス衝突を
回避することができないが、本例では、「source netwo
rk」および「送出先」の各項目において、第1行は「in
ternet/VPN1」と「if1/VLAN tag1」、第2行は「int
ernet/VPN2」と「if1/VLAN tag2」として、異なる内
容となっており、同じローカルアドレスで構成される図
1のVPN(1)1とVPN(2)2を識別管理してい
る。
ング処理部4bにおいて、以下のような機能(A),
(B),(C)を実行する。
したパケットを復号化した後に、送信元に応じたソケッ
トに送り込む機能およびその逆の機能。 (B)ユーザプロセスからVLANタグの付いたパケッ
トをインタフェースに直接書き込む機能およびその逆の
機能。 (C)上記の機能(A)と機能(B)を用いて、ユーザ
プロセスにおいてルーティングを行う機能。
ような、ネットワークドライバ41層とIP層43の間
に入れられたモジュール(IPsec処理部43)により
実現される。
よび処理動作例を示す説明図である。
リンク層での処理を行うネットワークドライバ処理部
(図中、「Network Driver」と記載)、
42は上述の機能(A)を実現するIPsec処理部(図
中、「IPsec Layer」と記載)、43はネット
ワーク層での処理を行うIP処理部(図中、「IP L
ayer」と記載)、44はトランスポート層での処理
を行うUDP(TCP)処理部(図中、「UDP(TC
P) Layer」と記載)、45はセッション層での
処理を行うSocket処理部(図中、「Socket
Layer」と記載)、46はプレゼンテーション層
およびアプリケーション層での処理を行うユーザプロセ
ス(図中、「Process」と記載)である。
信側処理を説明する。まず、図中の(a)において、ネ
ットワークドライバ層41から、IPsecにより暗号化
されたパケット([IPb(ESP)][IPa][P
AYLOAD])を、IPsec処理部42が受け取る。
るIPヘッダを表し、[IPb]は、グローバルアドレ
スでトンネルする際に付与されるIPヘッダを表す。ま
た、[IPb(ESP)]における「ESP」は、「En
capsulating Security Payload」の略であり、暗号化さ
れていることを示す。
いて、IPsecパケットの復号化を行い、パケット
([IPb][IPa][PAYLOAD])を得、
(c)において、特定のソケット(例えば、「UDP
(User Datagram Protocol)」)に上げるために、[I
Pb]に応じて、UDPのヘッダ([UDPx])を付
け、パケット([IPb][UDPx][IPa][P
AYLOAD])を得る。
[IPa][PAYLOAD])は、IP処理部43に
おいて[IPb]が、また、UDP(TCP)処理部4
4において[UDPx]が取り除かれ、図中の(d)に
おいて、[IPa][PAYLOAD]がSocket
処理部45を介してユーザプロセス46に渡される。
は以下のようになる。まず、図中の(e)において、ユ
ーザプロセス46が、Socket処理部45を介して
パケット[IPa][PAYLOAD]を書き込む。
D]に、UDP(TCP)処理部44において[UDP
x]が、また、IP処理部43において[IPb]が付
加され、パケット[IPb][UDPx][IPa]
[PAYLOAD]として、IPsec処理部42に渡さ
れる。
ット[IPb][UDPx][IPa][PAYLOA
D]に対して、図中の(f)において、[IPb]およ
び[UDPx](IPヘッダ、UDPヘッダ)を取り除
く。そして、(g)において、パケット[IPa][P
AYLOAD]をIPsecトンネリングモ―ドの処理に
よりパケット[IPb(ESP)][IPa][PAY
LOAD]とし、ネットワークドライバ層41に送出す
る。
例を説明する。尚、本例では、図1におけるVPN
(1)1向けのパケットは、UDPポート番号は、ソー
ス(送信元)、デスティネーション(送信先)共に「8
000」番を用いる。また、VPN(2)2に関しては
「80001」番を用いる。
への通信に関して説明する。ここでは、VPN(1)1
内のホストHOST(A)(10.0.0.1)からサ
ーバ6に向けて通信を行う場合を例にして説明する。
ットを送出する。
1][PAYLOAD]
0.1.1]は、ソースアドレスが「10.0.0.
1」でデステイネーションアドレスが「10.0.1.
1」であるIPヘッダを表す。
ecトンネリングモードによるカプセル化および暗号化
が行われ、以下のようなパケットが、アドレスが[12
9.0.0.1]のルータ4に向けて、インターネット
3に送出される。尚、下記パケットにおける「(ES
P)」は暗号化されていることを示す。
0.1(ESP)][10.0.0.1−>10.0.
1.1][PAYLOAD]
して、アドレスが「129.0.0.1」のルータに転
送される。このようにしてルータ4に到着したパケット
は、ルータ4において、上述の機能(A)により復号化
され、以下のようなパケットとなり、UDPポート80
00番のソケットに送られる。
1][PAYLOAD]
セス46は、ソケットから下記のようなパケットを受け
取る。
1][PAYLOAD]
ことから、ユーザプロセス46は、このパケットが、V
PN(1)1から到着したことが分かる。そして、図2
のルーティングテーブル4aを検索することにより、V
LAN−NETのtag1を付けて送出すればよいこと
が分かる.
ag1」が付与された送信先アドレス、ここでは「1
0.0.1.1」であり、サーバ6向けのフレームヘッ
ダ(MACアドレス)を追加し、下記のようなパケット
をインタフェースif1に送出する。
0.0.0.1−>10.0.1.1][PAYLOA
D]
うなパケットを受け取る。
1][PAYLOAD]
VPN(2)2への通信に関して説明する。ここでは、
サーバ6からVPN(1)1内のホストHOST(A)
(10.0.0.1)に向けて通信を行う場合を例にし
て説明する。
する。
0.0.1.1−>10.0.0.1][PAYLOA
D]
インタフェース(if1)から以下のパケットを読み込
む。
0.0.1.1−>10.0.0.1][PAYLOA
D]
が付与されることから、図2のルーティングテーブル4
aを検索し、VPN(1)1へ送出すれば良いことが分
かるので、ルータ4は、図4におけるユーザプロセス4
6においてSocket処理部45を通して、以下のよ
うなパケットをUDPポート8000番に向けて送出す
る。
1][PAYLOAD]
は、図4におけるUDP(TCP)処理部44、IP処
理部43での処理を行い、IPsec処理部42に以下
のようなパケットを渡す。
・1][UDP][10.0.1.1−>10.0.
0.1][PAYLOAD]
ットからUDPヘッダを取り除いた後に、IPsecトン
ネリングモードの処理を行い、カプセル化および暗号化
を行い以下のようなパケットを生成して、インタフェー
スif0からインターネット3に送出する。
0.1(ESP)][10.0.1.1−>10.0.
0.1][PAYLOAD]
PN(1)1のルータで受信され、このルータにおい
て、IPsec処理により復号化され、カプセル化が取り
除かれ、以下のパケットがHOST(A)に向けて送出
される。
1][PAYLOAD]
に、本例では、IPトンネルやVLANのような送信元
の閉域網や端末の識別が可能なネットワークを経由し
て、各閉域網間を接続する。これにより、ISPなどの
第3者の事業者が各閉域網に対して閉域性を失うことな
く、各閉域網にサービスを提供することが可能となる。
く閉域網と接続できることになることから、従来は各閉
域網が独自に用意していた公衆網電話網などからのアク
セスサービスを、第3者の業者に委託することが可能と
なり、現在ISPが行っているVPNサービスの新しい
サービスとしての展開が見込める。
管理を第3者業者が行う場合にも閉域網間を接続するた
めの技術としても利用される見込みがある。
情報流通プラットフォームを構築する手段としての利用
が見込める。
た例に限定されるものではなく、その要旨を逸脱しない
範囲において種々変更可能である。例えば、本例では、
閉域網の識別できるネットワークとしてIPsecトン
ネルやVLANを用いた構成としているが、PPPを用
いた構成とすることでも良い。すなわち、図1における
ルータ4のインタフェースif1側に、VLAN5の代
わりにPPPをによるネットワークを構成することでも
良い。
のコンピュータ構成例を示したが、キーボードや光ディ
スクの駆動装置の無いコンピュータ構成としても良い。
また、本例では、光ディスクを記録媒体として用いてい
るが、FDを記録媒体として用いることでも良い。ま
た、プログラムのインストールに関しても、通信装置を
介してネットワーク経由でプログラムをダウンロードし
てインストールすることでも良い。
ス空間を用いて構成される可能性のある複数の閉域網間
を、低価格なインターネットなどの広域ネットワークを
用いて、安全かつ効率的に接続することができると共
に、その接続の際に、アドレスの変換を行うことなくア
ドレス衝突を回避しているので、アドレスの変換状況
を記憶する必要がなくなり、IPsec等でのIPパケ
ットの認証を行うことができ、サーバ側において、相
手先閉域網内のどの端末から接続が行われているかを識
別することができ、サーバ側から相手先閉域網内の端
末にアクセスすることができ、ISPなどの第3者の事
業者が各閉域網に対して閉域性を失うことなく、各閉域
網にサービスを提供することが可能となり、従来は各閉
域網が独自に用意していた公衆網電話網などからの閉域
網へのアクセスサービスを第3者の業者に委託すること
や、データセンタサービスの保守管理を第3者機関へ委
託するなど、閉域網向けの新しい情報流通プラットフォ
ームの構築が可能である。
ティングサービスシステムの構成例を示すブロック図で
ある。
である。
ーブル内の情報例を示す説明図である。
例を示す説明図である。
ットワーク構成例を示すブロック図である。
構成例を示すブロック図である。
ット(IPsecトンネル)、4:ルータ、4a:ルー
ティングテーブル、4b:ルーティング処理部、5:V
LAN、6〜9:サーバ、21:表示装置、22:入力
装置、23:外部記憶装置、24:情報処理装置、2
5:光ディスク、26:駆動装置、27:通信装置、4
1:ネットワークドライバ処理部(「Network
Driver」)、42:IPsec処理部(「IPsec
Layer」)、43:IP処理部(「IP Lay
er」)、44:UDP(TCP)処理部(「UDP
(TCP) Layer」)、45:Socket処理
部(「Socket Layer」)、46:ユーザプ
ロセス(「Process」)、51a:VPN
(1)、51b:VPN(2)、52a,52b:ルー
タ、53a,53b,54a,54b:アクセスサー
バ、55a,55b:広域ネットワーク、61a:VP
N(1)、61b:VPN(2)、62:ルータ、6
3,64:アクセスサーバ、65:広域ネットワーク。
Claims (4)
- 【請求項1】 IPsecにより広域ネットワークを介
して接続された複数の閉域網のいずれかと、VLAN内
の複数の閉域網のいずれかとの間のIPパケットの転送
を行うシステムであって、 上記広域ネットワークを介して接続された複数の閉域網
のそれぞれの識別情報と上記VLAN内の複数の閉域網
のそれぞれの識別情報(VLANタグ)および各閉域網
内で用いているIPアドレスを対応付けるルーティング
テーブルを構成して登録する手段と、 物理層およびデータリンク層での処理を行うネットワー
クドライバ処理手段と、 IPsecパケットに対する復号化および暗号化を含む
IPsecパケット処理を行うIPsec処理手段と、 ネットワーク層での処理を行うIP処理手段と、 トランスポート層での処理を行うUDP処理手段もしく
はTCP処理手段と、 セッション層での処理を行うSocket処理手段と、 プレゼンテーション層およびアプリケーション層での処
理を行うユーザプロセス手段とを有し、 上記広域ネットワークからIPsecトンネリングモー
ドで転送されてきたパケットを上記VLAN側に転送す
る場合、 上記IPsec処理手段は、上記ネットワークドライバ
処理手段から当該パケットを受け取り復号化した後、該
パケットのグローバルアドレスに応じたポート番号を付
けて上記IP処理手段に渡し、 該IP処理手段は上記IPsec処理手段からのパケッ
トをグローバルアドレスを取り除いて上記UDP処理手
段もしくはTCP処理手段に渡し、 該UDP処理手段もしくはTCP処理手段は上記IP処
理手段からのパケットを、ポート番号を含むヘッダを取
り除いて上記Socket処理手段を介して上記ユーザ
プロセス処理手段に渡し、 該ユーザプロセス処理手段は、上記パケットを受信した
ポート番号に基づき当該パケットの送信元の閉域網を判
別し、上記ルーティングテーブルを検索して当該送信元
の閉域網に対応付けられた上記VLAN内の閉域網の識
別情報(VLANタグ)を取得して、該VLANタグを
付与して上記VLAN側に送出し、 上記VLAN側から転送されてきたVLANタグ付きの
パケットを上記広域ネットワーク側にIPsecトンネ
リングモードで転送する場合、 上記ユーザプロセス処理手段は、当該パケットのVLA
Nタグに基づき上記ルーティングテーブルを検索して当
該パケットの送出先の閉域網を判別し、当該閉域網に対
応するポート番号に向けて当該パケットを送出し、 上記Socket処理手段と上記UDP処理手段もしく
はTCP処理手段および上記IP処理手段は、上記ユー
ザプロセス処理手段からのパケットにポート番号と送出
先の閉域網のグローバルアドレスを付与して上記IPs
ec処理手段に渡し、 該IPsec処理手段は、上記パケットからポート番号
を含むヘッダを取り除いた後に、IPsecトンネリン
グモードでのカプセル化および暗号化を行い上記ネット
ワークドライバ処理手段を介して上記広域ネットワーク
に送出することを特徴とする閉域網間接続システム。 - 【請求項2】 IPsecにより広域ネットワークを介
して接続された複数の閉域網のいずれかと、PPPネッ
トワーク内の複数の閉域網のいずれかとの間のIPパケ
ットの転送を行うシステムであって、 上記広域ネットワークを介して接続された複数の閉域網
のそれぞれの識別情報と上記PPPネットワーク内の複
数の閉域網のそれぞれの識別情報および各閉域網内で用
いているIPアドレスを対応付けるルーティングテーブ
ルを構成して登録する手段と、 物理層およびデータリンク層での処理を行うネットワー
クドライバ処理手段と、 IPsecパケットに対する復号化および暗号化を含む
IPsecパケット処理を行うIPsec処理手段と、 ネットワーク層での処理を行うIP処理手段と、 トランスポート層での処理を行うUDP処理手段もしく
はTCP処理手段と、 セッション層での処理を行うSocket処理手段と、 プレゼンテーション層およびアプリケーション層での処
理を行うユーザプロセス手段とを有し、 上記広域ネットワークからIPsecトンネリングモー
ドで転送されてきたパケットを上記PPP側のネットワ
ーク側に転送する場合、 上記IPsec処理手段は、上記ネットワークドライバ
処理手段から当該パケットを受け取り復号化した後、該
パケットのグローバルアドレスに応じたポート番号を付
けて上記IP処理手段に渡し、 該IP処理手段は上記IPsec処理手段からのパケッ
トをグローバルアドレスを取り除いて上記UDP処理手
段もしくはTCP処理手段に渡し、 該UDP処理手段もしくはTCP処理手段は上記IP処
理手段からのパケットを、ポート番号を含むヘッダを取
り除いて上記Socket処理手段を介して上記ユーザ
プロセス処理手段に渡し、 該ユーザプロセス処理手段は、上記パケットを受信した
ポート番号に基づき当該パケットの送信元の閉域網を判
別し、上記ルーティングテーブルを検索して当該送信元
の閉域網に対応付けられた上記PPPネットワーク内の
閉域網の識別情報を取得して、該識別情報に対応するP
PPのヘッダを付与して上記PPPネットワークに送出
し、 上記PPP側のネットワークから転送されてきたPPP
ヘッダ付きのパケットを上記広域ネットワーク側にIP
secトンネリングモードで転送する場合、 上記ユーザプロセス処理手段は、当該パケットのPPP
ヘッダに基づき上記ルーティングテーブルを検索して当
該パケットの送出先の閉域網を判別し、当該閉域網に対
応するポート番号に向けて当該パケットを送出し、 上記Socket処理手段と上記UDP処理手段もしく
はTCP処理手段および上記IP処理手段は、上記ユー
ザプロセス処理手段からのパケットにポート番号と送出
先の閉域網のグローバルアドレスを付与して上記IPs
ec処理手段に渡し、 該IPsec処理手段は、上記パケットからポート番号
を含むヘッダを取り除いた後に、IPsecトンネリン
グモードでのカプセル化および暗号化を行い上記ネット
ワークドライバ処理手段を介して上記広域ネットワーク
に送出することを特徴とする閉域網間接続システム。 - 【請求項3】 コンピュータを、請求項1もしくは請求
項2のいずれかに記載の閉域網間接続システムにおける
各手段として機能させるためのプログラムを記録したこ
とを特徴とするコンピュータ読み取り可能な記録媒体。 - 【請求項4】 IPsecにより広域ネットワークを介
して接続された複数の閉域網のいずれかと、VLAN、
PPPのいずれかのネットワーク内の複数の閉域網のい
ずれかとの間のIPパケットの転送を行うシステムの閉
域網間接続方法であって、 上記広域ネットワークを介して接続された複数の閉域網
のそれぞれの識別情報と上記VLAN、PPPのいずれ
かのネットワーク内の複数の閉域網のそれぞれの識別情
報および各閉域網内で用いているIPアドレスを対応付
けるルーティングテーブルを構成して登録し、 上記広域ネットワークからIPsecトンネリングモー
ドで転送されてきたパケットを上記VLAN、PPPの
いずれかのネットワーク側に転送する場合、 当該パケットを受け取り復号化した後、該パケットのグ
ローバルアドレスに応じたポート番号を付与する手順
と、 該パケットからグローバルアドレスを取り除く手順と、 該パケットからポート番号を含むヘッダを取り除く手順
と、 該パケットを受信したポート番号に基づき当該パケット
の送信元の閉域網を判別し、上記ルーティングテーブル
を検索して当該送信元の閉域網に対応付けられた上記V
LAN、PPPのいずれかのネットワーク内の閉域網の
識別情報を取得して、該識別情報を付与して上記VLA
N、PPPのいずれかのネットワーク側に送出する手順
とを実行し、 上記VLAN、PPPのいずれかのネットワーク側から
転送されてきた閉域網の識別情報付きのパケットを上記
広域ネットワーク側にIPsecトンネリングモードで
転送する場合、 当該パケットに付与された識別情報に基づき上記ルーテ
ィングテーブルを検索して当該パケットの送出先の閉域
網を判別し、当該閉域網に対応するポート番号に向けて
当該パケットを送出する手順と、 該パケットにポート番号と送出先の閉域網のグローバル
アドレスを付与する手順と、 該パケットからポート番号を含むヘッダを取り除いた後
に、IPsecトンネリングモードでのカプセル化およ
び暗号化を行い上記広域ネットワークに送出する手順と
を実行することを特徴とする閉域網間接続方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000266397A JP3491828B2 (ja) | 2000-09-04 | 2000-09-04 | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000266397A JP3491828B2 (ja) | 2000-09-04 | 2000-09-04 | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002077275A JP2002077275A (ja) | 2002-03-15 |
JP3491828B2 true JP3491828B2 (ja) | 2004-01-26 |
Family
ID=18753487
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000266397A Expired - Fee Related JP3491828B2 (ja) | 2000-09-04 | 2000-09-04 | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3491828B2 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003098880A1 (fr) * | 2002-05-20 | 2003-11-27 | Fujitsu Limited | Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau |
JP2006128803A (ja) * | 2004-10-26 | 2006-05-18 | Japan Telecom Co Ltd | ネットワーク中継装置及びネットワークシステム |
JP4561983B2 (ja) | 2005-01-13 | 2010-10-13 | 日本電気株式会社 | ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム |
JP4630296B2 (ja) * | 2007-02-15 | 2011-02-09 | 日本電信電話株式会社 | ゲートウェイ装置および認証処理方法 |
JP5816872B2 (ja) * | 2010-03-31 | 2015-11-18 | 株式会社ネクステック | 情報処理装置、プログラム、情報処理方法、および情報処理システム |
JP5261432B2 (ja) * | 2010-03-31 | 2013-08-14 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム |
US8935427B2 (en) * | 2010-09-23 | 2015-01-13 | Microsoft Corporation | Providing virtual networks using multi-tenant relays |
JP2013077995A (ja) * | 2011-09-30 | 2013-04-25 | Ntt Data Corp | Vpnシステム、vpn接続方法 |
JP6028992B2 (ja) * | 2012-03-22 | 2016-11-24 | アースコンシャス株式会社 | 灌水監視装置及び灌水監視システム |
CN105577502B (zh) * | 2014-10-17 | 2020-03-10 | 中兴通讯股份有限公司 | 业务传送方法及装置 |
CN105357331A (zh) * | 2015-10-28 | 2016-02-24 | 烽火通信科技股份有限公司 | 基于动态ip的伪静态ip的实现方法及系统 |
-
2000
- 2000-09-04 JP JP2000266397A patent/JP3491828B2/ja not_active Expired - Fee Related
Non-Patent Citations (1)
Title |
---|
忠海均,企業通信とIP−VPN技術,電子情報通信学会誌,2000年 4月25日,第83巻,第4号,第286−294頁 |
Also Published As
Publication number | Publication date |
---|---|
JP2002077275A (ja) | 2002-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7450584B2 (en) | Network repeater apparatus, network repeater method and network repeater program | |
US8189600B2 (en) | Method for IP routing when using dynamic VLANs with web based authentication | |
US7656872B2 (en) | Packet forwarding apparatus and communication network suitable for wide area Ethernet service | |
US7159109B2 (en) | Method and apparatus to manage address translation for secure connections | |
RU2544766C2 (ru) | Способ, устройство и система маршрутизации данных между сегментами сетей | |
US7792972B2 (en) | Packet forwarding control method and packet forwarding apparatus | |
US6765881B1 (en) | Virtual L2TP/VPN tunnel network and spanning tree-based method for discovery of L2TP/VPN tunnels and other layer-2 services | |
US6438612B1 (en) | Method and arrangement for secure tunneling of data between virtual routers | |
US8250643B2 (en) | Communication device, communication system, communication method, and program | |
EP2031803B1 (en) | Relay network system and terminal adapter apparatus | |
US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
US7317717B2 (en) | Integrated wireline and wireless end-to-end virtual private networking | |
CN110650076B (zh) | Vxlan的实现方法,网络设备和通信系统 | |
JP3491828B2 (ja) | 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム | |
WO2009143729A1 (zh) | 实现dhcp用户业务批发的方法、系统和设备 | |
CN113904866B (zh) | Sd-wan业务流量安全处置引流方法、设备、系统以及介质 | |
JP2005277498A (ja) | 通信システム | |
KR20140122335A (ko) | 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치 | |
CN100490393C (zh) | 一种访问客户网络管理平台的方法 | |
JP2002204252A (ja) | 重複プライベートアドレス変換システム | |
JP5893546B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
JP4312650B2 (ja) | アクセスネットワークシステム及び方法 | |
Zhang | The solution and management of VPN based IPSec technology | |
JP4724636B2 (ja) | プロトコル処理システム及びプロトコル処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071114 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081114 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091114 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101114 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101114 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111114 Year of fee payment: 8 |
|
LAPS | Cancellation because of no payment of annual fees |