JP3491828B2 - 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム - Google Patents

閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム

Info

Publication number
JP3491828B2
JP3491828B2 JP2000266397A JP2000266397A JP3491828B2 JP 3491828 B2 JP3491828 B2 JP 3491828B2 JP 2000266397 A JP2000266397 A JP 2000266397A JP 2000266397 A JP2000266397 A JP 2000266397A JP 3491828 B2 JP3491828 B2 JP 3491828B2
Authority
JP
Japan
Prior art keywords
packet
network
processing means
closed
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000266397A
Other languages
English (en)
Other versions
JP2002077275A (ja
Inventor
利守 本庄
諭 小野
英隆 石本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000266397A priority Critical patent/JP3491828B2/ja
Publication of JP2002077275A publication Critical patent/JP2002077275A/ja
Application granted granted Critical
Publication of JP3491828B2 publication Critical patent/JP3491828B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、閉域網間の接続技
術に係わり、特に、インターネットのようなオープンな
ネットワークを介して、閉域網へのアクセスサービスや
閉域網に対するホスティングサービスを効率的に提供す
るのに好適な閉域網間接続システムと閉域網間接続方法
およびその処理プログラムを記録した記録媒体ならびに
ホスティングサービスシステムに関するものである。
【0002】
【従来の技術】今日、インターネットを始めとするオー
プンなネットワークの利用が広く普及する一方で、多く
の企業においては、イントラネット等の閉域網の構築を
行っている。
【0003】この閉域網間を接続する場合、安全性を考
慮して、専用線を使用するのが一般的である。しかし、
専用線の使用は高価であり、閉域網間の接続に、このよ
うな高価な専用線を使用する代わりに、低価格なインタ
ーネットなどの広域ネットワークを活用することが普及
しつつある。
【0004】閉域網間を広域ネットワークを用いて接続
するための要素技術として、IPトンネル技術の一つで
あるIPsec(トンネリングモード)がある。このIP
sec(Security Architecture for Internet Protoco
l)は、閉域網内からのIPパケットに、広域ネットワ
ーク内での転送に使用するIPヘッダを付与してカプセ
ル化し(IPトンネリング)、かつ、暗号化処理をほど
こすことにより、閉域網間を接続する安全性の高い仮想
トンネルを作成する技術である。
【0005】このIPsecの技術によって、例えば、公
衆インターネット網を介して、閉域網である企業ネット
ワーク同士を安全に接続して、さらに広範囲な閉域網を
構成するVPN(Vertual Private Network)の利用促
進が図られている。
【0006】また、端末等により、広域ネットワークを
介して、閉域網へアクセスするための要素技術として、
L2TP(Layer two Tunneling Protocol)がある。こ
のL2TPでは、端末から公衆電話網を経由して、イン
ターネットプロバイダ(ISP)などに設置されたLA
C(L2TP Access Concentrator)と呼ばれるアクセスサ
ーバに接続し、さらに、LACは、閉域網内に用意され
たLNS(L2TP Network Server)と仮想的なトンネル
を確立する。これにより、端末からは、閉域網内と、P
PP(Point-to-Point Protocol)による接続が確立さ
れたようにみえる。
【0007】このような閉域網に対して、ISP等の第
3者機関が、広域ネットワークを介して、ホスティング
サービスを提供したり、その閉域網へのアクセスサービ
スを提供するには、図5に示すように、各閉域網毎に機
器およびネットワークを用意することで対応できる。
【0008】図5は、従来の広域ネットワークに閉域網
を接続するネットワーク構成例を示すブロック図であ
る。
【0009】本図5に示す技術では、各閉域網(「VP
N(1)51a」、「VPN(2)51b」)毎に、機
器(ルータ52a,52b、アクセスサーバ53a,5
3b,54a,54b)およびネットワーク(広域ネッ
トワーク55a,55b)を用意し、ISP等の第3者
機関は、広域ネットワーク55a,55bを介して、V
PN(1)51aおよびVPN(2)51bに対して、
アクセスサーバ53a,53b,54a,54bによる
ホスティングサービスを提供し、また、VPN(1)5
1aおよびVPN(2)51bへのアクセスサービスを
提供する。
【0010】このように、各閉域網(「VPN(1)5
1a」、「VPN(2)51b」)毎に、機器(ルータ
52a,52b、アクセスサーバ53a,53b,54
a,54b)およびネットワーク(広域ネットワーク5
5a,55b)を用意する技術は、サービスを実現する
ための最も単純な技術であるが、初期投資や運用コス
ト、管理コスト等がかかる。
【0011】このようなコストの軽減を図るためには、
図6に示すように、各閉域網からの接続を集約して1箇
所で終端することが有効である。
【0012】図6は、複数の閉域網との接続を集約した
ネットワーク構成例を示すブロック図である。
【0013】本図6では、VPN(1)61a、VPN
(2)61bのそれぞれは、同じ広域ネットワーク65
を介して同じルータ62に接続され、各アクセスサーバ
63,64によるホスティングサービスを利用すること
ができる。
【0014】しかし、このような構成では、VPN
(1)61aおよびVPN(2)61bにおいて同じア
ドレス空間を使用している場合には、通常のIPルーテ
ィングでは正しく動作しない可能性がある。
【0015】このように、複数の閉域網に対してホステ
ィングなどのサービスを提供する場合に発生する、PP
PやIPsecなどのIPトンネルを経由して到着したパ
ケットの異なる閉域網同士のアドレス衝突の問題を解決
する技術として、例えば、特願平11−183067号
や特願平11−313355号等において提案されてい
る「R−NAT」と呼ばれる、NAT(Network Addres
s Translation/Translator;社内LANで使用されるプ
ライベートIPアドレスを、インターネットで使用され
るグローバルIPアドレスに変換する機能で、ファイア
ウォールなどに実装されている)を拡張した技術があ
る。
【0016】この技術は、各閉域網毎に、ある範囲のグ
ローバルアドレスを確保しておき、IPトンネル経由で
到着したパケットを、そのアドレスに変換することによ
り、閉域網同士のアドレスの衝突を回避するものであ
る。
【0017】このR−NATの技術によれば、図6の構
成では、ルータ62において各VPN(1)61a,
(2)62a用に衝突が起こらないように予め個別のア
ドレス空間を用意しておき、VPN(1)61a,
(2)62a側からのパケットを、このアドレスに変換
してからルーティングすることにより、VPN(1)6
1a,(2)62a同士のアドレスの衝突を回避するこ
とができる。
【0018】しかしながら、R−NATには下記〜
のような問題が潜在的に存在する。 ルータ62において、各VPN(1)61a,(2)
62a毎にセッションの状態を保持しなければならな
い。すなわち、どのアドレスをどのアドレスに変換した
かを記憶しなければならない。
【0019】エンド−ホスト間においてIPsecのよ
うなパケットの認証等が行われた場合には、アドレスの
変換によりヘッダが書き換えられるため、認証等が行え
ない。 アドレスの変換が行われるため、サーバ側において
は、VPN内のどの端末から接続が行われているかを識
別することができない。 NAT拡張であることからも分かるように、サーバ側
からVPN内の端末へのアクセスは行えない。
【0020】
【発明が解決しようとする課題】解決しようとする問題
点は、従来の技術では、それぞれ同一のアドレス空間を
用いて構成される可能性のある複数の閉域網に対してホ
スティングなどのサービスを提供する場合に発生するア
ドレス衝突を回避するために、アドレスの変換を行って
おり、ルーティング処理負荷が大きくなってしまう点
と、IPsec等でのIPパケットの認証を行うことが
できない点と、サーバ側においては、VPN内のどの
端末から接続が行われているかを識別することができな
い点と、サーバ側からVPN内の端末にアクセスする
ことができない点である。
【0021】本発明の目的は、これら従来技術の課題を
解決し、それぞれ同一のアドレス空間を用いて構成され
る可能性のある複数の閉域網間を、低価格なインターネ
ットなどの広域ネットワークを用いて、安全かつ効率的
に接続することを可能とする閉域網間接続システムと閉
域網間接続方法およびその処理プログラムを記録した記
録媒体ならびにホスティングサービスシステムを提供す
ることである。
【0022】
【課題を解決するための手段】上記目的を達成するた
め、本発明の閉域網間接続システムと閉域網間接続方法
およびホスティングサービスシステムでは、相互に接続
する閉域網の識別情報とこの閉域網間で送受信されるI
Pパケットのアドレス情報との組に基づき、IPパケッ
トの転送先を特定する。このことにより、それぞれ同じ
アドレス空間を用いて構成された複数の閉域網から同じ
IPアドレス情報を有するIPパケットが送られてきた
場合でも、それぞれ異なる所定の転送先に転送すること
ができ、閉域性を失うことなく各閉域網間を接続するこ
とができる。特に、IPアドレスの変換を行うことなく
アドレス衝突を回避できるので、例えば、IPsecで
のパケットの認証を行い安全性を向上させることや、第
3者機関による閉域網のためのホスティングサービスや
閉域網へのアクセスサービスの提供に要するコストを軽
減できる。
【0023】尚、相互に接続する閉域網の識別情報は、
IP(IPsec)トンネル、VLAN(Virtual LA
N)、PPPによるネットワークを用いることで、容易
に取得できる。例えば、IP(IPsec)トンネルで
は、カプセル化されたIPヘッダのソースアドレスによ
り、また、VLANの場合にはVLANタグにより、そ
して、PPPの場合には、point-to-pointであることか
ら、インタフェースにより、それぞれ閉域網を識別でき
る。
【0024】
【発明の実施の形態】以下、本発明の実施の形態を、図
面により詳細に説明する。図1は、本発明に係る閉域網
間接続システムおよびホスティングサービスシステムの
構成例を示すブロック図である。
【0025】図1において、1,2は閉域網としてのV
PN(Vertual Private Network)(1),(2)、3
は低コストの広域ネットワークとしてのインターネッ
ト、4は本発明に係わるIPパケットの転送制御を行う
ルータ、5は閉域網としてのVLAN(Vertual Local
Area Network)、6〜9はVLAN5内のサーバであ
る。
【0026】以下、第3者の事業者が、複数のVPN
1,2に対して、VLAN5内に閉じた各サーバ6〜9
を貸し出すサービス、すなわち、ホスティングサービス
を実施する場合を例にして説明を行う。尚、ルータ4よ
り図中の右側の各設備が、第3者の事業者の設備であ
る。
【0027】VPN(1)1およびVPN(2)2とル
ータ4は、インターネット3を介して、IPsecトンネ
ルにより接続される。VPN(1)1およびVPN
(2)2にはルータ4と同様の機能を有する図示してい
ないルータが設けられている。
【0028】ルータ4は、ネットワークインタフェース
を2つ持っており、それぞれを「if0」、「if1」
とする。if0は、インターネット3側のインタフェー
スであり、グローバルアドレス[129.0.0、1]
がふられている。また、ルータ4のインタフェースif
1側には、サーバ6〜9を有するVLAN5(以下、
「VLAN−NET」ともいう)からなるネットワーク
が構成されている。
【0029】VPN(1)1内、および、VPN(2)
2内は、いずれも同じローカルアドレス[10.0.
0.0/24]により構成されている。また、VPN
(1)1は、グローバルアドレス[129.1.0.
1]によりインターネット3と接続され、VPN(2)
2は、グローバルアドレス[129.2.0.1]によ
りインターネット3と接続されている。
【0030】VLAN5内のサーバ6とサーバ7は、V
PN(1)1向けのサーバであり、それぞれ、ローカル
アドレス[10.0.1.1]と[10.0.1.2]
がふられている。また、サーバ8とサーバ9は、VPN
(2)2向けのサーバであり、それぞれ、ローカルアド
レス[10.0.1.1]と[10.0.1.2]がふ
られている。
【0031】ルータ4は、次の図2に示すようなコンピ
ュータシステムで構成され、ルーティングテーブル4a
とルーティング処理部4bを有し、ルーティングテーブ
ル4aには、図3に示すようなルーティング情報を保持
している。
【0032】図2は、図1におけるルータの構成例を示
すブロック図である。
【0033】図2において、21はCRT(Cathode Ra
y Tube)やLCD(Liquid Crysta1 Disp1ay)等から
なる表示装置、22はキーボードやマウス等からなる入
力装置、23はHDD(Hard Disk Drive)等からなる
外部記憶装置、24はCPU(Central Processing Uni
t)24aや主メモリ24b等を具備して蓄積プログラ
ム方式によるコンピュータ処理を行なう情報処理装置、
25は本発明に係わるプログラムやデータを記録したC
D−ROM(Compact Disc-Read Only Memory)もしく
はDVD(Digital Video Disc/Digital Versatile Dis
c)等からなる光ディスク、26は光ディスク25に記
録されたプログラムおよびデータを読み出すための駆動
装置、27はLAN(Local Area Network)カードやモ
デム等からなる通信装置である。
【0034】光ディスク25に格納されたプログラムお
よびデータを情報処理装置24により駆動装置26を介
して外部記憶装置23内にインストールした後、外部記
憶装置23から主メモリ24bに読み込みCPU24a
で処理することにより、情報処理装置24内に図1に示
すルータ4としての機能が実装される。
【0035】図3は、図1におけるルータが保持するル
ーティングテーブル内の情報例を示す説明図である。
【0036】本例のルーティングテーブル4aでは、
「source address」(送信元IPアドレス)と「destin
ation address」(送信先IPアドレス)と共に、「sou
rce network」および「送出先」の各項目において、同
じローカルアドレスで構成されるVPN(1)とVPN
(2)を識別可能に管理している。
【0037】すなわち、例えばルーティングテーブル4
aの第1行と第2行では、「sourceaddress」と「desti
nation address」がそれぞれ同じ(「10.0.0.0
/24」、「10.0.1.0/24」内容となってお
り、これだけのアドレス情報だけでは、アドレス衝突を
回避することができないが、本例では、「source netwo
rk」および「送出先」の各項目において、第1行は「in
ternet/VPN1」と「if1/VLAN tag1」、第2行は「int
ernet/VPN2」と「if1/VLAN tag2」として、異なる内
容となっており、同じローカルアドレスで構成される図
1のVPN(1)1とVPN(2)2を識別管理してい
る。
【0038】また、図1におけるルータ4は、ルーティ
ング処理部4bにおいて、以下のような機能(A),
(B),(C)を実行する。
【0039】(A)IPsecトンネルモードにより到着
したパケットを復号化した後に、送信元に応じたソケッ
トに送り込む機能およびその逆の機能。 (B)ユーザプロセスからVLANタグの付いたパケッ
トをインタフェースに直接書き込む機能およびその逆の
機能。 (C)上記の機能(A)と機能(B)を用いて、ユーザ
プロセスにおいてルーティングを行う機能。
【0040】ただし、機能(A)は、以下の図4に示す
ような、ネットワークドライバ41層とIP層43の間
に入れられたモジュール(IPsec処理部43)により
実現される。
【0041】図4は、図1におけるルータの機能構成お
よび処理動作例を示す説明図である。
【0042】図4において、41は物理層およびデータ
リンク層での処理を行うネットワークドライバ処理部
(図中、「Network Driver」と記載)、
42は上述の機能(A)を実現するIPsec処理部(図
中、「IPsec Layer」と記載)、43はネット
ワーク層での処理を行うIP処理部(図中、「IP L
ayer」と記載)、44はトランスポート層での処理
を行うUDP(TCP)処理部(図中、「UDP(TC
P) Layer」と記載)、45はセッション層での
処理を行うSocket処理部(図中、「Socket
Layer」と記載)、46はプレゼンテーション層
およびアプリケーション層での処理を行うユーザプロセ
ス(図中、「Process」と記載)である。
【0043】本図4を用いて図1におけるルータ4の受
信側処理を説明する。まず、図中の(a)において、ネ
ットワークドライバ層41から、IPsecにより暗号化
されたパケット([IPb(ESP)][IPa][P
AYLOAD])を、IPsec処理部42が受け取る。
【0044】尚、[IPa]は、ローカルアドレスによ
るIPヘッダを表し、[IPb]は、グローバルアドレ
スでトンネルする際に付与されるIPヘッダを表す。ま
た、[IPb(ESP)]における「ESP」は、「En
capsulating Security Payload」の略であり、暗号化さ
れていることを示す。
【0045】IPsec処理部42では、次の(b)にお
いて、IPsecパケットの復号化を行い、パケット
([IPb][IPa][PAYLOAD])を得、
(c)において、特定のソケット(例えば、「UDP
(User Datagram Protocol)」)に上げるために、[I
Pb]に応じて、UDPのヘッダ([UDPx])を付
け、パケット([IPb][UDPx][IPa][P
AYLOAD])を得る。
【0046】このパケット([IPb][UDPx]
[IPa][PAYLOAD])は、IP処理部43に
おいて[IPb]が、また、UDP(TCP)処理部4
4において[UDPx]が取り除かれ、図中の(d)に
おいて、[IPa][PAYLOAD]がSocket
処理部45を介してユーザプロセス46に渡される。
【0047】また、図1におけるルータ4の送信側処理
は以下のようになる。まず、図中の(e)において、ユ
ーザプロセス46が、Socket処理部45を介して
パケット[IPa][PAYLOAD]を書き込む。
【0048】このパケット[IPa][PAYLOA
D]に、UDP(TCP)処理部44において[UDP
x]が、また、IP処理部43において[IPb]が付
加され、パケット[IPb][UDPx][IPa]
[PAYLOAD]として、IPsec処理部42に渡さ
れる。
【0049】IPsec処理部42では、受け取ったパケ
ット[IPb][UDPx][IPa][PAYLOA
D]に対して、図中の(f)において、[IPb]およ
び[UDPx](IPヘッダ、UDPヘッダ)を取り除
く。そして、(g)において、パケット[IPa][P
AYLOAD]をIPsecトンネリングモ―ドの処理に
よりパケット[IPb(ESP)][IPa][PAY
LOAD]とし、ネットワークドライバ層41に送出す
る。
【0050】以下、図1におけるネットワークでの動作
例を説明する。尚、本例では、図1におけるVPN
(1)1向けのパケットは、UDPポート番号は、ソー
ス(送信元)、デスティネーション(送信先)共に「8
000」番を用いる。また、VPN(2)2に関しては
「80001」番を用いる。
【0051】まず、VPN(1)1から各サーバ6〜9
への通信に関して説明する。ここでは、VPN(1)1
内のホストHOST(A)(10.0.0.1)からサ
ーバ6に向けて通信を行う場合を例にして説明する。
【0052】HOST(A)は以下のようなIPパケ
ットを送出する。
【0053】[10.0.0.1−>10.0.1.
1][PAYLOAD]
【0054】ここで、[10.0.0.1−>10.
0.1.1]は、ソースアドレスが「10.0.0.
1」でデステイネーションアドレスが「10.0.1.
1」であるIPヘッダを表す。
【0055】VPN(1)1のルータにより、IPs
ecトンネリングモードによるカプセル化および暗号化
が行われ、以下のようなパケットが、アドレスが[12
9.0.0.1]のルータ4に向けて、インターネット
3に送出される。尚、下記パケットにおける「(ES
P)」は暗号化されていることを示す。
【0056】[129.1.0.1−>129.0.
0.1(ESP)][10.0.0.1−>10.0.
1.1][PAYLOAD]
【0057】上記パケットは、インターネット3を介
して、アドレスが「129.0.0.1」のルータに転
送される。このようにしてルータ4に到着したパケット
は、ルータ4において、上述の機能(A)により復号化
され、以下のようなパケットとなり、UDPポート80
00番のソケットに送られる。
【0058】[10.0.0.1−>10.0.1.
1][PAYLOAD]
【0059】この結果、ルータ4におけるユーザプロ
セス46は、ソケットから下記のようなパケットを受け
取る。
【0060】[10.0.0.1−>10.0.1.
1][PAYLOAD]
【0061】ここでは、8000番ポートから受信した
ことから、ユーザプロセス46は、このパケットが、V
PN(1)1から到着したことが分かる。そして、図2
のルーティングテーブル4aを検索することにより、V
LAN−NETのtag1を付けて送出すればよいこと
が分かる.
【0062】その結果、ルータ4は、「VLAN t
ag1」が付与された送信先アドレス、ここでは「1
0.0.1.1」であり、サーバ6向けのフレームヘッ
ダ(MACアドレス)を追加し、下記のようなパケット
をインタフェースif1に送出する。
【0063】[MAC(VLAN tag1)][1
0.0.0.1−>10.0.1.1][PAYLOA
D]
【0064】このようにして、サーバ6は、下記のよ
うなパケットを受け取る。
【0065】[10.0.0.1−>10.0.1.
1][PAYLOAD]
【0066】次に、サーバ6〜9からVPN(1)1,
VPN(2)2への通信に関して説明する。ここでは、
サーバ6からVPN(1)1内のホストHOST(A)
(10.0.0.1)に向けて通信を行う場合を例にし
て説明する。
【0067】サーバ6は以下のようなパケットを送出
する。
【0068】[MAC(VLAN tag1)][1
0.0.1.1−>10.0.0.1][PAYLOA
D]
【0069】ルータ4は、上述の機能(B)により、
インタフェース(if1)から以下のパケットを読み込
む。
【0070】[MAC(VLAN tag1)][1
0.0.1.1−>10.0.0.1][PAYLOA
D]
【0071】このパケットには「VLAN タグ1」
が付与されることから、図2のルーティングテーブル4
aを検索し、VPN(1)1へ送出すれば良いことが分
かるので、ルータ4は、図4におけるユーザプロセス4
6においてSocket処理部45を通して、以下のよ
うなパケットをUDPポート8000番に向けて送出す
る。
【0072】[10.0.1.1−>10.0.0.
1][PAYLOAD]
【0073】(10)(図中「丸10」で記載)さらに、ルータ4
は、図4におけるUDP(TCP)処理部44、IP処
理部43での処理を行い、IPsec処理部42に以下
のようなパケットを渡す。
【0074】[129.0.0.1−>129.1.0
・1][UDP][10.0.1.1−>10.0.
0.1][PAYLOAD]
【0075】IPsec処理部42において、上記パケ
ットからUDPヘッダを取り除いた後に、IPsecトン
ネリングモードの処理を行い、カプセル化および暗号化
を行い以下のようなパケットを生成して、インタフェー
スif0からインターネット3に送出する。
【0076】[129.0.0.1−>129.1.
0.1(ESP)][10.0.1.1−>10.0.
0.1][PAYLOAD]
【0077】(11)(図中「丸11」で記載)上記パケットがV
PN(1)1のルータで受信され、このルータにおい
て、IPsec処理により復号化され、カプセル化が取り
除かれ、以下のパケットがHOST(A)に向けて送出
される。
【0078】[10.0.1.1−>10.0.0.
1][PAYLOAD]
【0079】以上、図1〜図4を用いて説明したよう
に、本例では、IPトンネルやVLANのような送信元
の閉域網や端末の識別が可能なネットワークを経由し
て、各閉域網間を接続する。これにより、ISPなどの
第3者の事業者が各閉域網に対して閉域性を失うことな
く、各閉域網にサービスを提供することが可能となる。
【0080】そして、このように、閉域性を失うことな
く閉域網と接続できることになることから、従来は各閉
域網が独自に用意していた公衆網電話網などからのアク
セスサービスを、第3者の業者に委託することが可能と
なり、現在ISPが行っているVPNサービスの新しい
サービスとしての展開が見込める。
【0081】また、データセンターサービスなどの保守
管理を第3者業者が行う場合にも閉域網間を接続するた
めの技術としても利用される見込みがある。
【0082】このように、本発明は閉域網向けの新しい
情報流通プラットフォームを構築する手段としての利用
が見込める。
【0083】尚、本発明は、図1〜図4を用いて説明し
た例に限定されるものではなく、その要旨を逸脱しない
範囲において種々変更可能である。例えば、本例では、
閉域網の識別できるネットワークとしてIPsecトン
ネルやVLANを用いた構成としているが、PPPを用
いた構成とすることでも良い。すなわち、図1における
ルータ4のインタフェースif1側に、VLAN5の代
わりにPPPをによるネットワークを構成することでも
良い。
【0084】また、本例では、ルータの構成として図2
のコンピュータ構成例を示したが、キーボードや光ディ
スクの駆動装置の無いコンピュータ構成としても良い。
また、本例では、光ディスクを記録媒体として用いてい
るが、FDを記録媒体として用いることでも良い。ま
た、プログラムのインストールに関しても、通信装置を
介してネットワーク経由でプログラムをダウンロードし
てインストールすることでも良い。
【0085】
【発明の効果】本発明によれば、それぞれ同一のアドレ
ス空間を用いて構成される可能性のある複数の閉域網間
を、低価格なインターネットなどの広域ネットワークを
用いて、安全かつ効率的に接続することができると共
に、その接続の際に、アドレスの変換を行うことなくア
ドレス衝突を回避しているので、アドレスの変換状況
を記憶する必要がなくなり、IPsec等でのIPパケ
ットの認証を行うことができ、サーバ側において、相
手先閉域網内のどの端末から接続が行われているかを識
別することができ、サーバ側から相手先閉域網内の端
末にアクセスすることができ、ISPなどの第3者の事
業者が各閉域網に対して閉域性を失うことなく、各閉域
網にサービスを提供することが可能となり、従来は各閉
域網が独自に用意していた公衆網電話網などからの閉域
網へのアクセスサービスを第3者の業者に委託すること
や、データセンタサービスの保守管理を第3者機関へ委
託するなど、閉域網向けの新しい情報流通プラットフォ
ームの構築が可能である。
【図面の簡単な説明】
【図1】本発明に係る閉域網間接続システムおよびホス
ティングサービスシステムの構成例を示すブロック図で
ある。
【図2】図1におけるルータの構成例を示すブロック図
である。
【図3】図1におけるルータが保持するルーティングテ
ーブル内の情報例を示す説明図である。
【図4】図1におけるルータの機能構成および処理動作
例を示す説明図である。
【図5】従来の広域ネットワークに閉域網を接続するネ
ットワーク構成例を示すブロック図である。
【図6】複数の閉域網との接続を集約したネットワーク
構成例を示すブロック図である。
【符号の説明】
1:VPN(1)、2:VPN(2)、3:インターネ
ット(IPsecトンネル)、4:ルータ、4a:ルー
ティングテーブル、4b:ルーティング処理部、5:V
LAN、6〜9:サーバ、21:表示装置、22:入力
装置、23:外部記憶装置、24:情報処理装置、2
5:光ディスク、26:駆動装置、27:通信装置、4
1:ネットワークドライバ処理部(「Network
Driver」)、42:IPsec処理部(「IPsec
Layer」)、43:IP処理部(「IP Lay
er」)、44:UDP(TCP)処理部(「UDP
(TCP) Layer」)、45:Socket処理
部(「Socket Layer」)、46:ユーザプ
ロセス(「Process」)、51a:VPN
(1)、51b:VPN(2)、52a,52b:ルー
タ、53a,53b,54a,54b:アクセスサー
バ、55a,55b:広域ネットワーク、61a:VP
N(1)、61b:VPN(2)、62:ルータ、6
3,64:アクセスサーバ、65:広域ネットワーク。
フロントページの続き (56)参考文献 特開2001−345864(JP,A) 特開2000−228674(JP,A) 特開 平11−177582(JP,A) 特開2001−136198(JP,A) 特開2001−16255(JP,A) 忠海均,企業通信とIP−VPN技 術,電子情報通信学会誌,2000年 4月 25日,第83巻,第4号,第286−294頁 (58)調査した分野(Int.Cl.7,DB名) H04L 12/56 H04L 12/46 H04L 12/66

Claims (4)

    (57)【特許請求の範囲】
  1. 【請求項1】 IPsecにより広域ネットワークを介
    して接続された複数の閉域網のいずれかと、VLAN内
    の複数の閉域網のいずれかとの間のIPパケットの転送
    を行うシステムであって、 上記広域ネットワークを介して接続された複数の閉域網
    のそれぞれの識別情報と上記VLAN内の複数の閉域網
    のそれぞれの識別情報(VLANタグ)および各閉域網
    内で用いているIPアドレスを対応付けるルーティング
    テーブルを構成して登録する手段と、 物理層およびデータリンク層での処理を行うネットワー
    クドライバ処理手段と、 IPsecパケットに対する復号化および暗号化を含む
    IPsecパケット処理を行うIPsec処理手段と、 ネットワーク層での処理を行うIP処理手段と、 トランスポート層での処理を行うUDP処理手段もしく
    TCP処理手段と、 セッション層での処理を行うSocket処理手段と、 プレゼンテーション層およびアプリケーション層での処
    理を行うユーザプロセス手段とを有し、 上記広域ネットワークからIPsecトンネリングモー
    ドで転送されてきたパケットを上記VLAN側に転送す
    る場合、 上記IPsec処理手段は、上記ネットワークドライバ
    処理手段から当該パケットを受け取り復号化した後、該
    パケットのグローバルアドレスに応じたポート番号を付
    けて上記IP処理手段に渡し、 該IP処理手段は上記IPsec処理手段からのパケッ
    トをグローバルアドレスを取り除いて上記UDP処理手
    段もしくはTCP処理手段に渡し、 該UDP処理手段もしくはTCP処理手段は上記IP処
    理手段からのパケットを、ポート番号を含むヘッダを取
    り除いて上記Socket処理手段を介して上記ユーザ
    プロセス処理手段に渡し、 該ユーザプロセス処理手段は、上記パケットを受信した
    ポート番号に基づき当該パケットの送信元の閉域網を判
    別し、上記ルーティングテーブルを検索して当該送信元
    の閉域網に対応付けられた上記VLAN内の閉域網の識
    別情報(VLANタグ)を取得して、該VLANタグを
    付与して上記VLAN側に送出し、 上記VLAN側から転送されてきたVLANタグ付きの
    パケットを上記広域ネットワーク側にIPsecトンネ
    リングモードで転送する場合、 上記ユーザプロセス処理手段は、当該パケットのVLA
    Nタグに基づき上記ルーティングテーブルを検索して当
    該パケットの送出先の閉域網を判別し、当該閉域網に対
    応するポート番号に向けて当該パケットを送出し、 上記Socket処理手段と上記UDP処理手段もしく
    TCP処理手段および上記IP処理手段は、上記ユー
    ザプロセス処理手段からのパケットにポート番号と送出
    先の閉域網のグローバルアドレスを付与して上記IPs
    ec処理手段に渡し、 該IPsec処理手段は、上記パケットからポート番号
    を含むヘッダを取り除いた後に、IPsecトンネリン
    グモードでのカプセル化および暗号化を行い上記ネット
    ワークドライバ処理手段を介して上記広域ネットワーク
    に送出することを特徴とする閉域網間接続システム。
  2. 【請求項2】 IPsecにより広域ネットワークを介
    して接続された複数の閉域網のいずれかと、PPPネッ
    トワーク内の複数の閉域網のいずれかとの間のIPパケ
    ットの転送を行うシステムであって、 上記広域ネットワークを介して接続された複数の閉域網
    のそれぞれの識別情報と上記PPPネットワーク内の複
    数の閉域網のそれぞれの識別情報および各閉域網内で用
    いているIPアドレスを対応付けるルーティングテーブ
    ルを構成して登録する手段と、 物理層およびデータリンク層での処理を行うネットワー
    クドライバ処理手段と、 IPsecパケットに対する復号化および暗号化を含む
    IPsecパケット処理を行うIPsec処理手段と、 ネットワーク層での処理を行うIP処理手段と、 トランスポート層での処理を行うUDP処理手段もしく
    TCP処理手段と、 セッション層での処理を行うSocket処理手段と、 プレゼンテーション層およびアプリケーション層での処
    理を行うユーザプロセス手段とを有し、 上記広域ネットワークからIPsecトンネリングモー
    ドで転送されてきたパケットを上記PPP側のネットワ
    ーク側に転送する場合、 上記IPsec処理手段は、上記ネットワークドライバ
    処理手段から当該パケットを受け取り復号化した後、該
    パケットのグローバルアドレスに応じたポート番号を付
    けて上記IP処理手段に渡し、 該IP処理手段は上記IPsec処理手段からのパケッ
    トをグローバルアドレスを取り除いて上記UDP処理手
    段もしくはTCP処理手段に渡し、 該UDP処理手段もしくはTCP処理手段は上記IP処
    理手段からのパケットを、ポート番号を含むヘッダを取
    り除いて上記Socket処理手段を介して上記ユーザ
    プロセス処理手段に渡し、 該ユーザプロセス処理手段は、上記パケットを受信した
    ポート番号に基づき当該パケットの送信元の閉域網を判
    別し、上記ルーティングテーブルを検索して当該送信元
    の閉域網に対応付けられた上記PPPネットワーク内の
    閉域網の識別情報を取得して、該識別情報に対応するP
    PPのヘッダを付与して上記PPPネットワークに送出
    し、 上記PPP側のネットワークから転送されてきたPPP
    ヘッダ付きのパケットを上記広域ネットワーク側にIP
    secトンネリングモードで転送する場合、 上記ユーザプロセス処理手段は、当該パケットのPPP
    ヘッダに基づき上記ルーティングテーブルを検索して当
    該パケットの送出先の閉域網を判別し、当該閉域網に対
    応するポート番号に向けて当該パケットを送出し、 上記Socket処理手段と上記UDP処理手段もしく
    TCP処理手段および上記IP処理手段は、上記ユー
    ザプロセス処理手段からのパケットにポート番号と送出
    先の閉域網のグローバルアドレスを付与して上記IPs
    ec処理手段に渡し、 該IPsec処理手段は、上記パケットからポート番号
    を含むヘッダを取り除いた後に、IPsecトンネリン
    グモードでのカプセル化および暗号化を行い上記ネット
    ワークドライバ処理手段を介して上記広域ネットワーク
    に送出することを特徴とする閉域網間接続システム。
  3. 【請求項3】 コンピュータを、請求項1もしくは請求
    項2のいずれかに記載の閉域網間接続システムにおける
    各手段として機能させるためのプログラムを記録したこ
    とを特徴とするコンピュータ読み取り可能な記録媒体。
  4. 【請求項4】 IPsecにより広域ネットワークを介
    して接続された複数の閉域網のいずれかと、VLAN、
    PPPのいずれかのネットワーク内の複数の閉域網のい
    ずれかとの間のIPパケットの転送を行うシステムの閉
    域網間接続方法であって、 上記広域ネットワークを介して接続された複数の閉域網
    のそれぞれの識別情報と上記VLAN、PPPのいずれ
    かのネットワーク内の複数の閉域網のそれぞれの識別情
    報および各閉域網内で用いているIPアドレスを対応付
    けるルーティングテーブルを構成して登録し、 上記広域ネットワークからIPsecトンネリングモー
    ドで転送されてきたパケットを上記VLAN、PPPの
    いずれかのネットワーク側に転送する場合、 当該パケットを受け取り復号化した後、該パケットのグ
    ローバルアドレスに応じたポート番号を付与する手順
    と、 該パケットからグローバルアドレスを取り除く手順と、 該パケットからポート番号を含むヘッダを取り除く手順
    と、 該パケットを受信したポート番号に基づき当該パケット
    の送信元の閉域網を判別し、上記ルーティングテーブル
    を検索して当該送信元の閉域網に対応付けられた上記V
    LAN、PPPのいずれかのネットワーク内の閉域網の
    識別情報を取得して、該識別情報を付与して上記VLA
    N、PPPのいずれかのネットワーク側に送出する手順
    とを実行し、 上記VLAN、PPPのいずれかのネットワーク側から
    転送されてきた閉域網の識別情報付きのパケットを上記
    広域ネットワーク側にIPsecトンネリングモードで
    転送する場合、 当該パケットに付与された識別情報に基づき上記ルーテ
    ィングテーブルを検索して当該パケットの送出先の閉域
    網を判別し、当該閉域網に対応するポート番号に向けて
    当該パケットを送出する手順と、 該パケットにポート番号と送出先の閉域網のグローバル
    アドレスを付与する手順と、 該パケットからポート番号を含むヘッダを取り除いた後
    に、IPsecトンネリングモードでのカプセル化およ
    び暗号化を行い上記広域ネットワークに送出する手順と
    を実行することを特徴とする閉域網間接続方法。
JP2000266397A 2000-09-04 2000-09-04 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム Expired - Fee Related JP3491828B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000266397A JP3491828B2 (ja) 2000-09-04 2000-09-04 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000266397A JP3491828B2 (ja) 2000-09-04 2000-09-04 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム

Publications (2)

Publication Number Publication Date
JP2002077275A JP2002077275A (ja) 2002-03-15
JP3491828B2 true JP3491828B2 (ja) 2004-01-26

Family

ID=18753487

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000266397A Expired - Fee Related JP3491828B2 (ja) 2000-09-04 2000-09-04 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム

Country Status (1)

Country Link
JP (1) JP3491828B2 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003098880A1 (fr) * 2002-05-20 2003-11-27 Fujitsu Limited Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau
JP2006128803A (ja) * 2004-10-26 2006-05-18 Japan Telecom Co Ltd ネットワーク中継装置及びネットワークシステム
JP4561983B2 (ja) 2005-01-13 2010-10-13 日本電気株式会社 ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム
JP4630296B2 (ja) * 2007-02-15 2011-02-09 日本電信電話株式会社 ゲートウェイ装置および認証処理方法
JP5816872B2 (ja) * 2010-03-31 2015-11-18 株式会社ネクステック 情報処理装置、プログラム、情報処理方法、および情報処理システム
JP5261432B2 (ja) * 2010-03-31 2013-08-14 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
US8935427B2 (en) * 2010-09-23 2015-01-13 Microsoft Corporation Providing virtual networks using multi-tenant relays
JP2013077995A (ja) * 2011-09-30 2013-04-25 Ntt Data Corp Vpnシステム、vpn接続方法
JP6028992B2 (ja) * 2012-03-22 2016-11-24 アースコンシャス株式会社 灌水監視装置及び灌水監視システム
CN105577502B (zh) * 2014-10-17 2020-03-10 中兴通讯股份有限公司 业务传送方法及装置
CN105357331A (zh) * 2015-10-28 2016-02-24 烽火通信科技股份有限公司 基于动态ip的伪静态ip的实现方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
忠海均,企業通信とIP−VPN技術,電子情報通信学会誌,2000年 4月25日,第83巻,第4号,第286−294頁

Also Published As

Publication number Publication date
JP2002077275A (ja) 2002-03-15

Similar Documents

Publication Publication Date Title
US7450584B2 (en) Network repeater apparatus, network repeater method and network repeater program
US8189600B2 (en) Method for IP routing when using dynamic VLANs with web based authentication
US7656872B2 (en) Packet forwarding apparatus and communication network suitable for wide area Ethernet service
US7159109B2 (en) Method and apparatus to manage address translation for secure connections
RU2544766C2 (ru) Способ, устройство и система маршрутизации данных между сегментами сетей
US7792972B2 (en) Packet forwarding control method and packet forwarding apparatus
US6765881B1 (en) Virtual L2TP/VPN tunnel network and spanning tree-based method for discovery of L2TP/VPN tunnels and other layer-2 services
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US8250643B2 (en) Communication device, communication system, communication method, and program
EP2031803B1 (en) Relay network system and terminal adapter apparatus
US10454880B2 (en) IP packet processing method and apparatus, and network system
US7317717B2 (en) Integrated wireline and wireless end-to-end virtual private networking
CN110650076B (zh) Vxlan的实现方法,网络设备和通信系统
JP3491828B2 (ja) 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム
WO2009143729A1 (zh) 实现dhcp用户业务批发的方法、系统和设备
CN113904866B (zh) Sd-wan业务流量安全处置引流方法、设备、系统以及介质
JP2005277498A (ja) 通信システム
KR20140122335A (ko) 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치
CN100490393C (zh) 一种访问客户网络管理平台的方法
JP2002204252A (ja) 重複プライベートアドレス変換システム
JP5893546B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
JP4312650B2 (ja) アクセスネットワークシステム及び方法
Zhang The solution and management of VPN based IPSec technology
JP4724636B2 (ja) プロトコル処理システム及びプロトコル処理方法

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071114

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081114

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091114

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101114

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101114

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111114

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees