JP3714549B2 - ゲートウェイ装置及びそれによる通信方法 - Google Patents

ゲートウェイ装置及びそれによる通信方法 Download PDF

Info

Publication number
JP3714549B2
JP3714549B2 JP2002038328A JP2002038328A JP3714549B2 JP 3714549 B2 JP3714549 B2 JP 3714549B2 JP 2002038328 A JP2002038328 A JP 2002038328A JP 2002038328 A JP2002038328 A JP 2002038328A JP 3714549 B2 JP3714549 B2 JP 3714549B2
Authority
JP
Japan
Prior art keywords
virtual routing
network
routing means
communication
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002038328A
Other languages
English (en)
Other versions
JP2003244245A (ja
Inventor
佳武 田島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002038328A priority Critical patent/JP3714549B2/ja
Publication of JP2003244245A publication Critical patent/JP2003244245A/ja
Application granted granted Critical
Publication of JP3714549B2 publication Critical patent/JP3714549B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ADSL等の常時接続型データ通信アクセス回線に接続する複数のユーザ端末装置が企業用VPN、VLAN又はインターネット等の複数のネットワークに接続する場合において、接続先ネットワーク毎に定められたセキュリティを自動的に確保することを可能にする、ファイアウォール機能を有したゲートウェイ装置及びそれによる通信方法に関するものである。
【0002】
【従来の技術】
従来より、常時接続型データ通信アクセス回線としてADSL(Asymmetric Digital Subscriber Line )が知られている。また、企業のイントラネットのセキュリティを確保しつつ広域のネットワークを安価に構築するサービスとして、VPN(Virtual Private Network )やVLAN(Virtual Local Area Network)等を網の機能として提供するサービスが知られている。
【0003】
従来のADSLの常時接続データ通信アクセスのシステム構成では、端末装置がゲートウェイルータ、ADSLモデム(ATU−R)を介してアクセス回線に接続され、アクセス回線はDSLAM(Digital Subscriber Line Access Multiplexer)によって多重化されてBAS(Broadband Access Server )に接続され、アクセス網によって網終端装置(Network Termination Equipment)に接続される。網終端装置は、VPNサービス網、ISP(Internet Service Provider )網、企業の独自網など接続先ネットワーク毎に設置され、それぞれのネットワークと接続される。
【0004】
ゲートウェイルータからBASに対して、PPPoE(Point to Point Protocol over Ethernet(登録商標) )等の論理コネクションを設定し、PPP認証のユーザ名の一部として示されるレルム情報をもとに、BASで接続先網終端装置を判定し、BASから網終端装置に対して設定するL2TP(Layer2 Tunneling Protocol )の論理コネクション上に、前記PPPoEの論理コネクションごとにPPPの論理コネクションを設定する。前記PPPの論理コネクションの設定の認証は網終端装置を介して接続する接続先ネットワーク内のRADIUS(Remote Access Dial-In User Server )に基づいてBASで行われる。以上のゲートウェイルータと網終端装置との間の論理コネクション上でIP通信が行われる。
【0005】
一方、VPN,VLANサービス網は、単一の物理的な網において論理的に独立な網を設定して論理網間のセキュリティを確保しつつ、網内では複数の論理網のトラフィックを多重してコストを削減することを特徴とする通信サービス網である。MPLS(Multi-Protocol Label Switching)網では、パケットの送信元ユーザが接続する網終端装置でユーザが所属するVPNを識別して、VPN毎の転送テーブルを用いてVPN毎に異なるVPNラベルをパケットに付加して、網内の転送を行い、パケットの送信先のユーザが接続する網終端装置でVPNラベルをもとにVPN毎の転送テーブルを用いて論理的に独立な転送を行う。また、VLAN網ではVPNラベルの代わりにVLANタグを用いる。
【0006】
企業の社内LANなど拠点ごとに構成された複数の自営網を上記VPN,VLANサービス網に接続することによって、セキュリティの確保された広域の社内網を安価に構築することができる。自営網とVPN,VLANサービス網とを接続する回線として、ATM(Asynchronous Transfer Mode)を用いた専用線などを利用する。このような構成では広域社内網は他の網と論理的に独立である。インターネットなどの他の網と接続する場合、自営網にNAPT変換、パケットフィルタリングなどの機能を有するファイアウォールを設置し、広域社内網と他の網との通信のパケットの転送、廃棄を制御する。
【0007】
小規模拠点および家庭内の網とVPN,VLANサービス網との接続においては、上記ADSLなどのアクセス回線を用いて接続することで安価に広域社内網を構築することができる。一つのアクセス回線を用いて、VPNあるいはインターネットなどの複数の網との接続を行う場合、論理的に独立した複数の仮想ルーティング機能を有するゲートウェイルータを使用し、ゲートウェイルータとそれぞれの接続先網終端装置との間でPPPコネクションを設定する。
【0008】
【発明が解決しようとする課題】
第1の問題点は、ADSLなどのアクセス回線を用いてユーザ端末装置とVPNとを接続する場合、論理的に独立した複数の仮想ルーティング機能を有するゲートウェイルータを使用した場合においても、一つのアクセス回線を用いて一つのVPNに接続したユーザ端末装置は、同一のアクセス回線を用いてインターネットまたはVPNなどの他の網と通信できないことである。その理由は、複数の仮想ルーティング機能の間のルーティングができず、また仮想ルーティング機能間のルーティングをする場合に必要となる、仮想ルーティング機能間のファイアウォール機能がないためである。
【0009】
第2の問題点は、ADSLなどのアクセス回線を用いてユーザ端末装置とVPNとを接続する場合において、一つのアクセス回線を用いて一つのVPNに接続したユーザ端末装置が、同一のアクセス回線を用いてインターネットまたはVPNなどの他の網と通信を行う場合、インターネットまたはVPNサービス網と自営網との接続回線の帯域を消費して、ユーザ端末装置の通信速度の低下または企業の接続回線のコスト増大を招くことである。その理由は、一つのVPNに接続したユーザ端末装置はインターネットまたは他のVPNとの通信を行うためには、企業の自営網内に設置されたファイアウォールを経由する必要があるため、ユーザ端末装置とインターネットまたはVPNなどの他の網との通信によるトラフィックが企業の自営網を通過するからである。
【0010】
第3の問題点は、選択的に複数の網と接続を行うADSLなどのアクセス回線を用いて接続する場合、ルーティング機能の設定およびファイアウォール機能の設定を企業が社内網内で定める統一的なポリシによって設定できないことと、適切な仮想ルーティング機能およびファイアウォール機能を具備していないゲートウェイルータからの接続を排除できないことである。その理由は、各ユーザが接続の際に手動で設定を行った場合、仮想ルーティング機能およびファイアウォール機能の設定が企業の定める統一的なポリシに従って設定されるという保証ができず、また適切な仮想ルーティング機能およびファイアウォール機能を具備するゲートウェイルータのみを接続する機構がないためである。
【0011】
本発明の目的は、ユーザ端末装置がADSLなどのアクセス回線を用いてVPN,インターネットなどのネットワークに接続するコンピュータ通信システムにおいて、1つのアクセス回線を用いて第1のネットワークと接続したユーザ端末装置が、同一のアクセス回線を用いて他の第2のネットワークと同時に接続することを可能とするゲートウェイ装置及びそれによる通信方法を提供することである。
また、本発明の目的は、適切な仮想ルーティング機能およびファイアウォール機能を具備しないゲートウェイ装置からの接続を拒絶することを可能とするゲートウェイ装置及びそれによる通信方法を提供することである。
さらに、本発明の目的は、ユーザ端末装置と第2のネットワークとが、第1のネットワークで定められた統一的なセキュリティポリシに従ったファイアウォールを介して通信することを可能とし、またそのファイアウォール設定を自動化することを可能とするゲートウェイ装置及びそれによる通信方法を提供することである。
【0012】
【課題を解決するための手段】
本発明は、論理的に独立した複数のルータとして動作する複数の仮想ルーティング手段を備え、ユーザ端末装置と接続先ネットワークとを接続するゲートウェイ装置において、第1のネットワークを接続先とする第1の仮想ルーティング手段と第2のネットワークを接続先とする第2の仮想ルーティング手段との間の通信において、パケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つを変換するNAPT変換手段と、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信において、パケットの転送又は廃棄を行うパケットフィルタリング手段とを有するものである。
また、本発明のゲートウェイ装置の1構成例は、前記第1の仮想ルーティング手段に接続されたユーザ端末装置と前記第1のネットワークとの通信を行うとき、前記第1の仮想ルーティング手段と前記第1のネットワークとの接続を前記第1のネットワークのポリシサーバに対して要求する要求手段と、前記ポリシサーバからの回答に基づいて前記第1の仮想ルーティング手段及び前記パケットフィルタリング手段を設定する設定手段とを有するものである。
また、本発明のゲートウェイ装置の1構成例において、前記設定手段は、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のルーティング設定情報を前記第1の仮想ルーティング手段から削除し、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のパケットを全て廃棄するよう前記パケットフィルタリング手段を設定するものである。
また、本発明のゲートウェイ装置の1構成例は、ユーザ端末装置と前記第1のネットワークとが前記第1の仮想ルーティング手段を介して接続され、かつ前記ユーザ端末装置と前記第2のネットワークとの通信を行うとき、前記第1の仮想ルーティング手段と前記第2のネットワークとを前記第2の仮想ルーティング手段を介して接続するよう前記ポリシサーバに対して要求する要求手段と、前記ポリシサーバからの回答に基づいて前記第1の仮想ルーティング手段、前記第2の仮想ルーティング手段、前記NAPT変換手段及び前記パケットフィルタリング手段を設定する設定手段とを有するものである。
また、本発明のゲートウェイ装置の1構成例において、前記設定手段は、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のルーティング設定情報を前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段に設定し、前記第1の仮想ルーティング手段又は前記第2の仮想ルーティング手段から受信したパケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つに対して、前記ユーザ端末装置と前記第2のネットワークとの通信を可能にする変換を行うよう前記NAPT変換手段を設定し、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間のパケット転送を許可するよう前記パケットフィルタリング手段を設定するものである。
【0013】
また、本発明のゲートウェイ装置による通信方法は、第1のネットワークを接続先とする第1の仮想ルーティング手段と第2のネットワークを接続先とする第2の仮想ルーティング手段との間の通信において、パケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つを変換するNAPT変換手順と、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信において、パケットの転送又は廃棄を行うパケットフィルタリング手順とを実行するようにしたものである。
また、本発明のゲートウェイ装置による通信方法の1構成例は、前記第1の仮想ルーティング手段に接続されたユーザ端末装置と前記第1のネットワークとの通信を行うとき、前記第1の仮想ルーティング手段と前記第1のネットワークとの接続を前記第1のネットワークのポリシサーバに対して要求する要求手順と、前記ポリシサーバからの回答に基づいて前記第1の仮想ルーティング手段及び前記パケットフィルタリング手段を設定する設定手順とを実行するようにしたものである。
また、本発明のゲートウェイ装置による通信方法の1構成例は、前記第1の仮想ルーティング手段と前記第1のネットワークとの間に設けられたフィルタリング装置に対して、前記第1の仮想ルーティング手段と前記第1のネットワークとの間のパケット転送を許可するよう前記ポリシサーバから設定を行う手順を実行し、前記設定手順は、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のルーティング設定情報を前記第1の仮想ルーティング手段から削除し、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のパケットを全て廃棄するよう前記パケットフィルタリング手段を設定するようにしたものである。
また、本発明のゲートウェイ装置による通信方法の1構成例は、ユーザ端末装置と前記第1のネットワークとが前記第1の仮想ルーティング手段を介して接続され、かつ前記ユーザ端末装置と前記第2のネットワークとの通信を行うとき、前記第1の仮想ルーティング手段と前記第2のネットワークとを前記第2の仮想ルーティング手段を介して接続するよう前記ポリシサーバに対して要求する要求手順と、前記ポリシサーバからの回答に基づいて前記第1の仮想ルーティング手段、前記第2の仮想ルーティング手段、前記NAPT変換手段及び前記パケットフィルタリング手段を設定する設定手順とを実行するようにしたものである。
また、本発明のゲートウェイ装置による通信方法の1構成例において、前記設定手順は、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のルーティング設定情報を前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段に設定し、前記第1の仮想ルーティング手段又は前記第2の仮想ルーティング手段から受信したパケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つに対して、前記ユーザ端末装置と前記第2のネットワークとの通信を可能にする変換を行うよう前記NAPT変換手段を設定し、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間のパケット転送を許可するよう前記パケットフィルタリング手段を設定するようにしたものである。
【0014】
【発明の実施の形態】
[第1の実施の形態]
以下、本発明の実施の形態について図面を参照して詳細に説明する。図1は本発明の第1の実施の形態となる通信ネットワークシステムの構成を示すブロック図である。ユーザ端末装置1−1,1−2は、ゲートウェイ装置(GW)2−1を介してアクセス網3のBAS(Broadband Access Server )31と接続され、同様にユーザ端末装置1−3,1−4は、ゲートウェイ装置2−2を介してBAS31と接続される。
【0015】
BAS31は、アクセス網3の網終端装置(NTE )32−1,32−2,32−3と接続され、また接続先ネットワーク選択用のRADIUS(Remote Access Dial-In User Server )33と接続される。アクセス網3は、VPN(Virtual Private Network )サービス網4およびインターネット5と接続される。NTE32−1は、VPNサービス網4のフィルタリング装置(Filter)41−1と接続され、NTE32−2は、VPNサービス網4のフィルタリング装置41−2と接続される。
【0016】
フィルタリング装置41−1,41−2は、RADIUS42およびポリシサーバ(PS)43と接続される。また、フィルタリング装置41−1は、仮想ルータ(VR)44−1を介してVPN45−1と接続され、フィルタリング装置41−2は、VR44−2を介してVPN45−2と接続される。VPN45−1,45−2は、論理的に独立な網である。
【0017】
VPN45−1は、企業の自営網であるVPNサイト(Site)6−1と接続され、VPN45−2は、VPNサイト6−2と接続される。VPNサイト6−1は、ファイアウォール装置(FW)61−1を介してインターネット接続網(ISP )5と接続され、VPNサイト6−2は、ファイアウォール装置61−2を介してISP5と接続される。さらに、アクセス網3は、NTE32−3を介してISP5と接続される。
【0018】
図2は図1におけるゲートウェイ装置2−1の構成を示すブロック図である。ゲートウェイ装置2−1は、仮想ルーティング手段(VR)21−11,21−12と、ファイアウォール手段(FW)22−1と、VPNエージェント(Agent)23と、PPP終端手段24−1とから構成される。ファイアウォール手段22−1は、パケットフィルタリング手段(Filter)22−11,22−12と、NAPT(Network Address Port Translation)変換手段22−13とから構成される。
【0019】
第1の仮想ルーティング手段21−11は、リンクLL1によりユーザ端末装置1−1と接続され、第2の仮想ルーティング手段21−12は、リンクLL2によりユーザ端末装置1−2と接続される。また、第1の仮想ルーティング手段21−11は、ゲートウェイ装置2−1の内部リンクIL1により第1のパケットフィルタリング手段22−11と接続され、第2の仮想ルーティング手段21−12は、ゲートウェイ装置2−1の内部リンクIL2により第2のパケットフィルタリング手段22−12と接続される。NAPT変換手段22−13は、第1のパケットフィルタリング手段22−11,22−12と接続される。
【0020】
VPNエージェント23は、第1の仮想ルーティング手段21−11,21−12及びファイアウォール手段22−1と接続される。第1の仮想ルーティング手段21−11は、ゲートウェイ装置2−1の内部リンクWL1によりPPP終端手段24−1と接続され、第2の仮想ルーティング手段21−12は、ゲートウェイ装置2−1の内部リンクWL2によりPPP終端手段24−1と接続される。
【0021】
PPP終端手段24−1は、内部リンクWL1と外部のPPPコネクションPPP1とを接続し、内部リンクWL2と外部のPPPコネクションPPP2とを接続する。PPPコネクションPPP1は、VPN45−1と接続され、PPPコネクションPPP2は、ISP5と接続される。ゲートウェイ装置2−2の構成もゲートウェイ装置2−1と同様である。
【0022】
次に、本実施の形態の動作について説明する。ゲートウェイ装置2−1,2−2は、BAS31上においてRADIUS33の情報を基に、接続先ネットワークを選択してNTE32−1〜32−3に対してPPPコネクションを設定する。PPPコネクションの認証は、接続先ネットワークがVPNサービス網4である場合はRADIUS42の情報に基づいて行われ、接続先ネットワークがISP5である場合はRADIUS52の情報に基づいて行われる。
【0023】
RADIUS42,52は、ゲートウェイ装置2−1,2−2から送信されるユーザ名とパスワードにより認証を行い、認証結果をゲートウェイ装置2−1,2−2に返信する。RADIUS42,52で認証された場合のみPPPコネクションが設定される。
【0024】
フィルタリング装置41−1,41−2は、ゲートウェイ装置2−1,2−2からのパケットの送信元アドレスを基に当該パケットをVR44−1,44−2へ転送するか、または廃棄する。ただし、フィルタリング装置41−1,41−2は、ゲートウェイ装置2−1,2−2からRADIUS42及びポリシサーバ43へのパケットについては常に転送し、またゲートウェイ装置2−1,2−2からVR44−1,44−2へのパケットについては特に設定しない限り廃棄する。
【0025】
以上の動作により、ゲートウェイ装置2−1とNTE32−1間、およびゲートウェイ装置2−1とNTE32−3間にそれぞれPPPコネクションが設定された場合のゲートウェイ装置2−1の動作を以下で説明する。ゲートウェイ装置2−1とVPN45−1との接続においては、フィルタリング装置41−1においてパケットが廃棄されるため通信することはできない。
【0026】
また、ゲートウェイ装置2−1とISP5との通信においては、ゲートウェイ装置2−1のファイアウォール手段22−1を利用しないため、ゲートウェイ装置2−1の第2の仮想ルーティング手段21−12は、ISP5と通信することができる。この第2の仮想ルーティング手段21−12のルーティングテーブルは、図3のルーティングテーブル71のとおり設定されている。図3において、Dst.IPは送信先IPアドレス、Maskはサブネット・マスク、Out Linkは出力先リンクを示している。
【0027】
図3のようなルーティングテーブル71の設定により、第2の仮想ルーティング手段21−12は、通常は受信したパケットをリンクWL2に送出する。ただし、送信先IPアドレスが「IP#230」のパケットについてはリンクLL2に送出する。
【0028】
また、第2のパケットフィルタリング手段22−12の機能は利用しないため、第2のパケットフィルタリング手段22−12のフィルタリングテーブルは図4のフィルタリングテーブル72のとおり設定されている。図4において、Actionは第2のパケットフィルタリング手段22−12によるパケットの処理(転送又は廃棄)、Protoは通信プロトコル、Dst.IPは送信先IPアドレス、Maskは送信先IPアドレスのサブネット・マスク、Dst.PortはTCPヘッダに設定された送信先ポート番号、Src.IPは送信元IPアドレス、Maskは送信元IPアドレスのサブネット・マスク、Src.PortはTCPヘッダに設定された送信元ポート番号を示している。
【0029】
また、「allow」は転送の許可を意味し、「any」は任意の値を意味する。図4のようなフィルタリングテーブル72の設定により、第2のパケットフィルタリング手段22−12は、全てのパケットを転送することになる。
【0030】
ゲートウェイ装置2−1のVPNエージェント23は、予め定められた自動設定あるいはユーザ端末装置1−1からの要求に従って、ユーザ端末装置1−1とVPNサイト6−1との通信を開始させるため、ポリシサーバ43に対し、ゲートウェイ装置2−1の第1の仮想ルーティング手段21−11とVPN45−1とを接続するよう要求する。
【0031】
セキュリティポリシを管理するポリシサーバ43は、VPNエージェント23からの要求に対する回答として、第1の仮想ルーティング手段21−11とファイアウォール手段22−1における第1のパケットフィルタリング手段22−11の初期化をVPNエージェント23に要求する。
【0032】
ポリシサーバ43の要求に応じて、ゲートウェイ装置2−1のVPNエージェント23は、ゲートウェイ装置2−1の第1のパケットフィルタリング手段22−11のフィルタリングテーブルを図5のフィルタリングテーブル73のとおりに設定して初期化する。
【0033】
図5において、「deny」はパケットの廃棄を意味する。図5のようなフィルタリングテーブル73の設定により、第1のパケットフィルタリング手段22−11は、全てのパケットを廃棄するので、ゲートウェイ装置2−1の第1の仮想ルーティング手段21−11と第2の仮想ルーティング手段21−12との間の通信は遮断される。
【0034】
また、ゲートウェイ装置2−1のVPNエージェント23は、ポリシサーバ43の要求に応じて、ゲートウェイ装置2−1の第1の仮想ルーティング手段21−11のルーティングテーブルを図6のルーティングテーブル74のとおり設定して初期化する。
【0035】
図6のようなルーティングテーブル74の設定により、第1の仮想ルーティング手段21−11は、通常は受信したパケットをリンクWL1に送出する。ただし、送信先IPアドレスが「IP#110」のパケットについてはリンクLL1に送出する。
【0036】
さらに、ポリシサーバ43は、フィルタリング装置41−1に対して、ゲートウェイ装置2−1からのパケットを転送するように設定する。以上の動作により、ユーザ端末装置1−1とVPNサイト6−1とが、ゲートウェイ装置2−1の第1の仮想ルーティング手段21−11とアクセス網3とVPNサービス網4のフィルタリング装置41−1と仮想ルータ44−1とVPN45−1とを介して接続され、かつVPN45−1とISP5との論理的な独立性が確保される。
【0037】
以上のように、ポリシサーバ43は、ゲートウェイ装置2−1のVPNエージェント23からの要求に基づき、ゲートウェイ装置2−1とVPN45−1との間のパケット転送を許可するようフィルタリング装置41−1を設定するので、VPNエージェント23を具備しないゲートウェイ装置では、フィルタリング装置41−1によるファイアウォール機能を設定することができず、VPN45−1と接続することができない。VPNエージェント23を具備しないゲートウェイ装置とVPN45−1との接続を排除することができる。
【0038】
次に、ゲートウェイ装置2−1のVPNエージェント23は、予め定められた自動設定あるいはユーザ端末装置1−1からの要求に従って、ユーザ端末装置1−1とISP5との通信を開始させるため、第1の仮想ルーティング手段21−11から第2の仮想ルーティング手段21−12を経由したISP5との通信の許可をポリシサーバ43に要求する。
【0039】
ポリシサーバ43には、企業の自営網であるVPNサイト6−1で定められたセキュリティポリシ、すなわちVPNサイト6−1との接続のための設定情報が事前に蓄積・管理されている。この設定情報はファイアウォール装置61−1に設定されている情報と同一である。同様に、ポリシサーバ43には、VPNサイト6−2で定められたセキュリティポリシが事前に蓄積・管理されており、その設定情報はファイアウォール装置61−2に設定されている情報と同一である。
【0040】
ポリシサーバ43は、VPNエージェント23からの要求に対する回答として、VPNサイト6−1のセキュリティポリシに従ってゲートウェイ装置2−1の第1の仮想ルーティング手段21−11とISP5とが第2の仮想ルーティング手段21−12を介して接続されるように、第1の仮想ルーティング手段21−11のルーティング設定情報、第1のパケットフィルタリング手段22−11のパケットフィルタリング設定情報およびNAPT変換手段22−13のNAPT設定情報をVPNエージェント23に送信する。
【0041】
VPNエージェント23は、取得したパケットフィルタリング設定情報を基に第1のパケットフィルタリング手段22−11のフィルタリングテーブルを図7のフィルタリングテーブル75のとおり設定し、取得したルーティング設定情報を基に第1の仮想ルーティング手段21−11のルーティングテーブルを図8のルーティングテーブル76のとおり設定し、第2の仮想ルーティング手段21−12のルーティングテーブルを図9のルーティングテーブル77のとおり設定する。
【0042】
図7のようなフィルタリングテーブル75の設定により、第1のパケットフィルタリング手段22−11は、通常は全てのパケットを廃棄する。ただし、送信元ポート番号が「Port#1」で、送信先IPアドレスが「IP#110」のTCPプロトコルのパケット、及び送信元IPアドレスが「IP#110」、送信元ポート番号が「Port#2」で、送信先ポート番号が「Port#1」のパケットについては転送を許可する。これにより、ユーザ端末装置1−1を送信先とするパケット、あるいはユーザ端末装置1−1を送信元とするパケットは第1のパケットフィルタリング手段22−11を通過できる。
【0043】
また、図8のようなルーティングテーブル76の設定により、第1の仮想ルーティング手段21−11は、通常は受信したパケットをリンクIL1に送出する。ただし、送信先IPアドレスが「IP#110」のパケットについてはリンクLL1に送出し、送信先IPアドレスが「IP#160」のパケットについてはリンクWL1に送出する。
【0044】
これにより、第1の仮想ルーティング手段21−11は、ユーザ端末装置1−1を送信先とするパケットをユーザ端末装置1−1に向けて送出し、VPNサイト6−1を送信先とするパケットをVPN45−1に向けて送出し、その他のパケットをファイアウォール手段22−1の第1のパケットフィルタリング手段22−11に向けて送出する。
【0045】
また、図9のようなルーティングテーブル77の設定により、第2の仮想ルーティング手段21−12は、通常は受信したパケットをリンクIL2に送出する。ただし、送信先IPアドレスが「IP#23」のパケットについてはリンクLL2に送出し、送信先IPアドレスが「IP#210」のパケットについてはリンクWL2に送出する。
【0046】
これにより、第2の仮想ルーティング手段21−12は、ユーザ端末装置1−2を送信先とするパケットをユーザ端末装置1−2に向けて送出し、ISP5を送信先とするパケットをISP5に向けて送出し、その他のパケットをファイアウォール手段22−1の第2のパケットフィルタリング手段22−12に向けて送出する。
【0047】
さらに、VPNエージェント23は、取得したNAPT設定情報を基にNAPT変換手段22−13のNAPT変換テーブルを図10のNAPT変換テーブル78のとおり設定する。図10において、「変換前」の行はNAPT変換手段22−13による変換を受ける前のパケットの情報、「変換後」の行は変換後のパケットの情報を示している。
【0048】
NAPT変換手段22−13は、受信したパケットの送信元IPアドレス、送信元ポート番号、送信先IPアドレス及び送信先ポート番号のうち少なくとも1つをNAPT変換テーブル78に従って変換する。図10の例では、第1の仮想ルーティング手段21−11から第2の仮想ルーティング手段21−12へ転送される、送信元IPアドレスが「IP#11」、送信元ポート番号が「Port#2」のパケットについて、プライベートアドレス「IP#11」がグローバルアドレス「IP#23」に変換され、送信元ポート番号「Port#2」が「Port#3」に変換される。
【0049】
このとき、送信元ポート番号については、同一IPアドレスの送信元について送信元ポート番号が重複しないようにNAPT変換テーブル78に設定される。以上のようなNAPT変換の目的は、第1のネットワークであるVPN45−1で利用するアドレスが付与された複数のユーザ端末装置1が送受信するパケットについて、接続先の第2のネットワークであるISP5の1つの固定アドレスを用いて、パケットのアドレスまたはポート番号を変換することにより、第1のネットワークの複数のユーザ端末装置1と第2のネットワークとの通信を可能にすることにある。
【0050】
このため、NAPT変換テーブル78は、以下のような変換規則に基づいて設定される。
(A)接続先の第2のネットワークへのパケットについて、送信元アドレス(第1のネットワークのユーザ端末装置のアドレス)を接続先の第2のネットワークで利用可能な固定アドレスに変換する。
(B)変換後の送信元ポート番号が逆変換可能となるよう、すなわち送信元アドレスと送信元ポート番号と送信先アドレスと送信先ポート番号とからなる1組の情報が変換の前後で一意に対応するよう変換する。
【0051】
このような変換規則に基づいて設定されたNAPT変換テーブル78に従って、NAPT変換手段22−13は、ユーザ端末装置から第2のネットワークへのパケットについて、送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つを変換する。なお、第2のネットワークから転送されて到着する、送信先アドレスが前記固定アドレスのパケットについては、NAPT変換手段22−13は、NAPT変換テーブル78の変換規則に基づいて逆変換する(固定アドレスをユーザ端末装置のアドレスに変換し、ポート番号を元のポート番号に変換する)。
【0052】
以上の動作により、ユーザ端末装置1−1とISP5とが、VPNサイト6−1のセキュリティポリシに従って、ゲートウェイ装置2−1の第1の仮想ルーティング手段21−11とファイアウォール手段22−1と第2の仮想ルーティング手段21−12とアクセス網3とを介して接続され、VPNサイト6−1のセキュリティポリシに従って通信することが可能となる。
【0053】
【発明の効果】
本発明によれば、ゲートウェイ装置にNAPT変換手段とパケットフィルタリング手段とを設けることにより、1つのアクセス回線を用いて第1のネットワークと接続したユーザ端末装置が、同一のアクセス回線を用いて他の第2のネットワークと同時に接続することが可能となる。その理由は、第1の仮想ルーティング手段と第2の仮想ルーティング手段とNAPT変換手段とパケットフィルタリング手段とを用いて、ユーザ端末装置と2つのネットワークとの間で送受信されるパケットを転送するからである。また、1つのアクセス回線を用いて第1のネットワークと接続したユーザ端末装置が、同一のアクセス回線を用いて第2のネットワークと同時に接続することにより、ユーザ端末装置と第2のネットワークとの通信によるトラフィックが第1のネットワークを通過することがなくなるので、ユーザ端末装置の通信速度の低下や第1のネットワークの接続回線のコスト増大といった問題がなくなる。
【0054】
また、第1の仮想ルーティング手段に接続されたユーザ端末装置と第1のネットワークとの通信を行うとき、第1の仮想ルーティング手段と第1のネットワークとの接続を第1のネットワークのポリシサーバに対して要求する要求手段と、ポリシサーバからの回答に基づいて第1の仮想ルーティング手段及びパケットフィルタリング手段を設定する設定手段とをゲートウェイ装置に設けることにより、ゲートウェイ装置が接続する初期状態において、第1のネットワークと第2のネットワークの論理的独立性を確保することが可能になる。その理由は、ポリシサーバの回答に基づき、第1の仮想ルーティング手段と第2の仮想ルーティング手段との間の通信用のルーティング設定情報を第1の仮想ルーティング手段から削除し、第1の仮想ルーティング手段と第2の仮想ルーティング手段との間の通信用のパケットを全て廃棄するようパケットフィルタリング手段を設定するからである。
【0055】
また、ユーザ端末装置と第1のネットワークとが第1の仮想ルーティング手段を介して接続され、かつユーザ端末装置と第2のネットワークとの通信を行うとき、第1の仮想ルーティング手段と第2のネットワークとを第2の仮想ルーティング手段を介して接続するようポリシサーバに対して要求する要求手段と、ポリシサーバからの回答に基づいて第1の仮想ルーティング手段、第2の仮想ルーティング手段、NAPT変換手段及びパケットフィルタリング手段を設定する設定手段とをゲートウェイ装置に設けることにより、ユーザ端末装置と第2のネットワークとが、第1のネットワークで定められた統一的なセキュリティポリシに従ったファイアウォールを介して通信することを可能とし、またそのファイアウォール設定を自動化することができる。その理由は、第1の仮想ルーティング手段と第2のネットワークとを第2の仮想ルーティング手段を介して接続するようポリシサーバに対して要求し、ポリシサーバの回答から第1の仮想ルーティング手段及び第2の仮想ルーティング手段のルーティング設定情報とNAPT変換手段のNAPT設定情報とパケットフィルタリング手段の実行規則とを取得して、ルーティング設定情報を第1の仮想ルーティング手段と第2の仮想ルーティング手段に設定し、第1の仮想ルーティング手段又は第2の仮想ルーティング手段から受信したパケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つを変換するようNAPT変換手段を設定し、第1の仮想ルーティング手段と第2の仮想ルーティング手段との間のパケット転送を許可するようパケットフィルタリング手段を設定するからである。その結果、企業は、自営網を通過するトラフィックを抑制しつつファイアウォールの統一的な設定によりセキュリティを確保した広域社内網を構築することができる。
【0056】
また、第1の仮想ルーティング手段と第1のネットワークとの間に設けられたフィルタリング装置に対して、第1の仮想ルーティング手段と第1のネットワークとの間のパケット転送を許可するようポリシサーバから設定を行う手順を実行することにより、要求手段及び設定手段を具備しないゲートウェイ装置とネットワークとの接続を排除することができる。その理由は、ポリシサーバはゲートウェイ装置の要求手段からの要求に基づき第1の仮想ルーティング手段と第1のネットワークとの間のパケット転送を許可するようフィルタリング装置を設定するので、要求手段及び設定手段を具備しないゲートウェイ装置ではフィルタリング装置によるファイアウォール機能を設定することができないからである。
【図面の簡単な説明】
【図1】 本発明の第1の実施の形態となる通信ネットワークシステムの構成を示すブロック図である。
【図2】 本発明の第1の実施の形態におけるゲートウェイ装置の構成を示すブロック図である。
【図3】 本発明の第1の実施の形態におけるゲートウェイ装置の第2の仮想ルーティング手段のルーティングテーブルの1例を示す図である。
【図4】 本発明の第1の実施の形態におけるゲートウェイ装置の第2のパケットフィルタリング手段のフィルタリングテーブルの1例を示す図である。
【図5】 本発明の第1の実施の形態におけるゲートウェイ装置の第1のパケットフィルタリング手段のフィルタリングテーブルの1例を示す図である。
【図6】 本発明の第1の実施の形態におけるゲートウェイ装置の第1の仮想ルーティング手段のルーティングテーブルの1例を示す図である。
【図7】 本発明の第1の実施の形態におけるゲートウェイ装置の第1のパケットフィルタリング手段のフィルタリングテーブルの1例を示す図である。
【図8】 本発明の第1の実施の形態におけるゲートウェイ装置の第1の仮想ルーティング手段のルーティングテーブルの1例を示す図である。
【図9】 本発明の第1の実施の形態におけるゲートウェイ装置の第2の仮想ルーティング手段のルーティングテーブルの1例を示す図である。
【図10】 本発明の第1の実施の形態におけるゲートウェイ装置のNAPT変換手段のNAPT変換テーブルの1例を示す図である。
【符号の説明】
1−1〜1−4…ユーザ端末装置、2−1、2−2…ゲートウェイ装置、3…アクセス網、4…VPNサービス網、5…ISP、6−1、6−2…VPNサイト、21−11、21−12…仮想ルーティング手段、22−1…ファイアウォール手段、22−11、22−12…パケットフィルタリング手段、22−13…NAPT変換手段、23…VPNエージェント、24−1…PPP終端手段、31…BAS、32−1〜32−3…網終端装置、41−1、41−2…フィルタリング装置、43…ポリシサーバ、44−1、44−2…仮想ルータ、45−1、45−2…VPN、61−1、61−2…ファイアウォール装置。

Claims (10)

  1. 論理的に独立した複数のルータとして動作する複数の仮想ルーティング手段を備え、ユーザ端末装置と接続先ネットワークとを接続するゲートウェイ装置において、
    第1のネットワークを接続先とする第1の仮想ルーティング手段と第2のネットワークを接続先とする第2の仮想ルーティング手段との間の通信において、パケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つを変換するNAPT変換手段と、
    前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信において、パケットの転送又は廃棄を行うパケットフィルタリング手段とを有することを特徴とするゲートウェイ装置。
  2. 請求項1に記載のゲートウェイ装置において、
    前記第1の仮想ルーティング手段に接続されたユーザ端末装置と前記第1のネットワークとの通信を行うとき、前記第1の仮想ルーティング手段と前記第1のネットワークとの接続を前記第1のネットワークのポリシサーバに対して要求する要求手段と、
    前記ポリシサーバからの回答に基づいて前記第1の仮想ルーティング手段及び前記パケットフィルタリング手段を設定する設定手段とを有することを特徴とするゲートウェイ装置。
  3. 請求項2に記載のゲートウェイ装置において、
    前記設定手段は、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のルーティング設定情報を前記第1の仮想ルーティング手段から削除し、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のパケットを全て廃棄するよう前記パケットフィルタリング手段を設定することを特徴とするゲートウェイ装置。
  4. 請求項1に記載のゲートウェイ装置において、
    ユーザ端末装置と前記第1のネットワークとが前記第1の仮想ルーティング手段を介して接続され、かつ前記ユーザ端末装置と前記第2のネットワークとの通信を行うとき、前記第1の仮想ルーティング手段と前記第2のネットワークとを前記第2の仮想ルーティング手段を介して接続するよう前記ポリシサーバに対して要求する要求手段と、
    前記ポリシサーバからの回答に基づいて前記第1の仮想ルーティング手段、前記第2の仮想ルーティング手段、前記NAPT変換手段及び前記パケットフィルタリング手段を設定する設定手段とを有することを特徴とするゲートウェイ装置。
  5. 請求項4に記載のゲートウェイ装置において、
    前記設定手段は、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のルーティング設定情報を前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段に設定し、前記第1の仮想ルーティング手段又は前記第2の仮想ルーティング手段から受信したパケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つに対して、前記ユーザ端末装置と前記第2のネットワークとの通信を可能にする変換を行うよう前記NAPT変換手段を設定し、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間のパケット転送を許可するよう前記パケットフィルタリング手段を設定することを特徴とするゲートウェイ装置。
  6. 論理的に独立した複数のルータとして動作する複数の仮想ルーティング手段を備えたゲートウェイ装置による通信方法において、
    第1のネットワークを接続先とする第1の仮想ルーティング手段と第2のネットワークを接続先とする第2の仮想ルーティング手段との間の通信において、パケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つを変換するNAPT変換手順と、
    前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信において、パケットの転送又は廃棄を行うパケットフィルタリング手順とを実行することを特徴とするゲートウェイ装置による通信方法。
  7. 請求項6に記載のゲートウェイ装置による通信方法において、
    前記第1の仮想ルーティング手段に接続されたユーザ端末装置と前記第1のネットワークとの通信を行うとき、前記第1の仮想ルーティング手段と前記第1のネットワークとの接続を前記第1のネットワークのポリシサーバに対して要求する要求手順と、
    前記ポリシサーバからの回答に基づいて前記第1の仮想ルーティング手段及び前記パケットフィルタリング手段を設定する設定手順とを実行することを特徴とするゲートウェイ装置による通信方法。
  8. 請求項7に記載のゲートウェイ装置による通信方法において、
    前記第1の仮想ルーティング手段と前記第1のネットワークとの間に設けられたフィルタリング装置に対して、前記第1の仮想ルーティング手段と前記第1のネットワークとの間のパケット転送を許可するよう前記ポリシサーバから設定を行う手順を実行し、
    前記設定手順は、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のルーティング設定情報を前記第1の仮想ルーティング手段から削除し、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のパケットを全て廃棄するよう前記パケットフィルタリング手段を設定することを特徴とするゲートウェイ装置による通信方法。
  9. 請求項6に記載のゲートウェイ装置による通信方法において、
    ユーザ端末装置と前記第1のネットワークとが前記第1の仮想ルーティング手段を介して接続され、かつ前記ユーザ端末装置と前記第2のネットワークとの通信を行うとき、前記第1の仮想ルーティング手段と前記第2のネットワークとを前記第2の仮想ルーティング手段を介して接続するよう前記ポリシサーバに対して要求する要求手順と、
    前記ポリシサーバからの回答に基づいて前記第1の仮想ルーティング手段、前記第2の仮想ルーティング手段、前記NAPT変換手段及び前記パケットフィルタリング手段を設定する設定手順とを実行することを特徴とするゲートウェイ装置による通信方法。
  10. 請求項9に記載のゲートウェイ装置による通信方法において、
    前記設定手順は、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間の通信用のルーティング設定情報を前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段に設定し、前記第1の仮想ルーティング手段又は前記第2の仮想ルーティング手段から受信したパケットの送信元アドレス、送信元ポート番号、送信先アドレス及び送信先ポート番号のうち少なくとも1つに対して、前記ユーザ端末装置と前記第2のネットワークとの通信を可能にする変換を行うよう前記NAPT変換手段を設定し、前記第1の仮想ルーティング手段と前記第2の仮想ルーティング手段との間のパケット転送を許可するよう前記パケットフィルタリング手段を設定することを特徴とするゲートウェイ装置による通信方法。
JP2002038328A 2002-02-15 2002-02-15 ゲートウェイ装置及びそれによる通信方法 Expired - Fee Related JP3714549B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002038328A JP3714549B2 (ja) 2002-02-15 2002-02-15 ゲートウェイ装置及びそれによる通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002038328A JP3714549B2 (ja) 2002-02-15 2002-02-15 ゲートウェイ装置及びそれによる通信方法

Publications (2)

Publication Number Publication Date
JP2003244245A JP2003244245A (ja) 2003-08-29
JP3714549B2 true JP3714549B2 (ja) 2005-11-09

Family

ID=27779671

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002038328A Expired - Fee Related JP3714549B2 (ja) 2002-02-15 2002-02-15 ゲートウェイ装置及びそれによる通信方法

Country Status (1)

Country Link
JP (1) JP3714549B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5824911B2 (ja) 2011-06-29 2015-12-02 富士通株式会社 情報処理装置、情報処理プログラムおよび管理方法
JP5673398B2 (ja) * 2011-07-05 2015-02-18 富士通株式会社 情報処理装置、情報処理プログラムおよび管理方法
JP6191259B2 (ja) * 2013-06-11 2017-09-06 富士通株式会社 ネットワーク分離方法及びネットワーク分離装置

Also Published As

Publication number Publication date
JP2003244245A (ja) 2003-08-29

Similar Documents

Publication Publication Date Title
US6381646B2 (en) Multiple network connections from a single PPP link with partial network address translation
JP4738901B2 (ja) Vlanid動的割当方法及びパケット転送装置
US9419815B2 (en) Domain-less service selection
US8578441B2 (en) Enforcing network security policies with packet labels
EP1062784B1 (en) Providing secure access to network services
US7325058B1 (en) Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites
US20040223499A1 (en) Communications networks with converged services
US20030174714A1 (en) Zero-installation PPP-Bridge setup for lan-to-wan connectivity
US20080151906A1 (en) System and Method for Transparent Virtual Routing
JP2007536851A (ja) セッションベースのパケット交換装置
GB2418110A (en) Controlling traffic passed between logical zones in a network representing a layered tunnel model
EP1695508A1 (en) Ethernet dsl access multiplexer and method providing dynamic service selection and end-user configuration
JP3813908B2 (ja) プライベート網間接続方法およびゲートウェイ制御装置
JP3714549B2 (ja) ゲートウェイ装置及びそれによる通信方法
Cisco Network Scenarios
Cisco Miscellaneous Features
Cisco Using the Command Line Interface
Cisco Feature-By-Feature Configuration
Cisco Miscellaneous Features
Cisco Glossary
Cisco Release Notes for Cisco 7000 Family for Cisco IOS Release 12.2 B
Cisco Feature-By-Feature Router Configurations
Cisco Glossary
Cisco Glossary
Cisco Glossary

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050818

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080902

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090902

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090902

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100902

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100902

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110902

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120902

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130902

Year of fee payment: 8

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees