JP3813908B2 - プライベート網間接続方法およびゲートウェイ制御装置 - Google Patents
プライベート網間接続方法およびゲートウェイ制御装置 Download PDFInfo
- Publication number
- JP3813908B2 JP3813908B2 JP2002216264A JP2002216264A JP3813908B2 JP 3813908 B2 JP3813908 B2 JP 3813908B2 JP 2002216264 A JP2002216264 A JP 2002216264A JP 2002216264 A JP2002216264 A JP 2002216264A JP 3813908 B2 JP3813908 B2 JP 3813908B2
- Authority
- JP
- Japan
- Prior art keywords
- packet communication
- communication network
- gateway
- address
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
【発明の属する技術分野】
本発明は、プライベート網間接続方法およびゲートウェイ制御装置に関し、物理的に閉域に構成されたプライベート網間の接続および、IP−VPN(IP Virtual Private Network)やVLAN(Virtual Local Area Network)などの、論理的に構成された仮想プライベート網間の接続も実現するためのプライベート網間接続方法およびゲートウェイ制御装置に関するものである。
【0002】
【従来の技術】
現在、公衆ネットワークでは、公衆ネットワークを専用線通信網のように利用する仮想プライベート網(以下、VPNという:Virtual Private Network)のサービスが提供されている。
このVPNは、各ユーザの通信を多重し、収容効率を高めるため、専用線システムより安価なサービスとして提供されていることから、企業をはじめとして多くの利用者が導入している。
【0003】
このようなVPNは、プロバイダ通信網やインターネットなどの広域パケット通信網を利用するVPN、いわゆる広域イントラネットを構築する例もあり、セキュアなネットワークを容易に構築できるため多くの注目を集めている。
広域パケット通信網を用いたVPNでは、個々のVPN間における通信を実現するため、エクストラネット接続と呼ばれるサービスも提供されている。
このエクストラネット接続では、パケットフィルタリングやアドレス変換などのパケット制御を行うことにより、VPN間におけるパケット通信を実現している。
【0004】
従来、このようなエクストラネット接続を実現するものとして、各VPNを管理するプライベート網間接続システムを構築し、上記のようなパケット制御を、プライベート網間接続システムに設置されたVPN間接続装置によって集中的に制御するものが提案されている(例えば、特開2002−94508号公報など参照)。
【0005】
これによれば、そのVPN間接続装置の設定について、VPN間の接続規則をポリシとしてポリシサーバで管理し、ユーザの契約情報や接続要求などに応じて、ポリシサーバがVPN間接続装置の制御設定を自動的に生成し、VPN間接続装置のパケットフィルタリングテーブルやアドレス変換テーブルの設定を行うものとなっている。
さらに、ユーザパケット通信網のVPNへの接続については、RADIUS(Remote Authentication Dial In User Service)サーバが、ユーザ認証情報およびユーザヘのアドレス割当を管理し、ユーザの認証を行い、ユーザパケット通信網のゲートウェイとVPNとの接続を制御するものとなっている。
【0006】
【発明が解決しようとする課題】
しかしながら、このような従来のプライベート網間接続方法では、効率よくかつ柔軟にプライベート網間を接続できないという問題点があった。
すなわち、従来のプライベート網間接続方法では、そのシステムに含まれる任意のプライベート網間における、エクストラネットの通信トラフィックはVPN間接続装置を必ず経由するものとなっている。
【0007】
このため、エクストラネットの通信を行うユーザの増加および、ユーザ網とサービス網の接続の広帯域化にしたがって、多数のエクストラネットの通信トラフィック間で干渉を招くという問題点がある。
また、干渉を低下させるために十分な転送処理性能のVPN間接続装置はコストが高くなるという問題点もある。
【0008】
したがって、従来のように、エクストラネット接続サービスをVPN間接続装置によって提供する場合、エクストラネットの通信トラフィックがVPN間接続装置に集中し、VPN間通信のスループット低下およびVPN間接続装置のコスト上昇を招く。
本発明はこのような課題を解決するためのものであり、効率よくかつ柔軟にプライベート網間を接続できるプライベート網間接続方法およびゲートウェイ制御装置を提供することを目的としている。
【0009】
【課題を解決するための手段】
このような目的を達成するために、本発明にかかるプライベート網間接続方法は、複数のパケット通信網と、これらパケット通信網間を接続するとともに、自己のフィルタリングテーブルを参照してパケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行うパケット通信網間接続装置と、パケット通信網間の通信可否の規則をポリシとして管理して、パケット通信網間接続装置のフィルタリングテーブルおよびアドレス変換テーブルを制御するポリシ制御装置と、ネットワークを介して接続される各ユーザパケット通信網のゲートウェイとパケット通信網との間に接続され、ユーザパケット通信網とパケット通信網との間で通信されるパケットの転送または廃棄の制御を行う複数のアクセス制御装置と、ユーザ認証情報およびユーザパケット通信網への割当アドレスを管理し、ユーザの認証結果に基づいてアクセス制御装置での転送制御およびユーザパケット通信網へのアドレス割当を制御する接続認証制御装置とを有するプライベート網間接続システムで用いられ、各パケット通信網と、各パケット通信網に接続した各ユーザパケット通信網と、各ユーザパケット通信網に接続したユーザ端末とで構成される複数のプライベート網について、これらプライベート網間でのパケットのやり取りを実現するプライベート網間接続方法を前提としている。
【0010】
そして、このようなプライベート網間接続方法において、ネットワークを介して各ユーザパケット通信網に接続したゲートウェイと各パケット通信網のアクセス制御装置とを個別に接続し、各ゲートウェイで、当該ゲートウェイのルーティングテーブルを参照して各パケット通信網へのパケットの経路を制御し、当該ゲートウェイのフィルタリングテーブルを参照してパケットの転送または廃棄の制御を行い、当該ゲートウェイのアドレス変換テーブルを参照してパケットのアドレス変換制御を行い、プライベート網間接続システムに設けられたゲートウェイ制御装置で、接続認証制御装置からアドレス割当情報を収集し、ポリシ制御装置からアドレス変換情報およびフィルタリング情報を収集し、これら情報に基づいて、ゲートウェイで用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成するようにしたものである。
【0012】
また、本発明にかかるゲートウェイ制御装置は、複数のパケット通信網と、これらパケット通信網間を接続するとともに、自己のフィルタリングテーブルを参照してパケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行うパケット通信網間接続装置と、パケット通信網間の通信可否の規則をポリシとして管理して、パケット通信網間接続装置のフィルタリングテーブルおよびアドレス変換テーブルを制御するポリシ制御装置と、ネットワークを介して接続される各ユーザパケット通信網のゲートウェイとパケット通信網との間に接続され、ユーザパケット通信網とパケット通信網との間で通信されるパケットの転送または廃棄の制御を行う複数のアクセス制御装置と、ユーザ認証情報およびユーザパケット通信網への割当アドレスを管理し、ユーザの認証結果に基づいてアクセス制御装置での転送制御およびユーザパケット通信網へのアドレス割当を制御する接続認証制御装置とを有し、各パケット通信網と、各パケット通信網に接続した各ユーザパケット通信網と、各ユーザパケット通信網に接続したユーザ端末とで構成される複数のプライベート網について、これらプライベート網間でのパケットのやり取りを実現するプライベート網間接続システムで用いられ、各ゲートウェイを制御するゲートウェイ制御装置を前提としている。
【0013】
そして、このようなゲートウェイ制御装置において、接続認証制御装置から収集した、各プライベート網の構成に用いるアドレス割当情報と、ポリシ制御装置から収集したアドレス変換情報およびフィルタリング情報とに基づいて、ネットワークを介して各パケット通信網のアクセス制御装置と個別に接続されるゲートウェイで用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成するテーブル生成部を備えるものである。
【0014】
このとき、ユーザ端末との間でHTTPプロトコルにより通信を行うWWWサーバ機能部と、このWWWサーバ機能部で受け付けた接続要求先のIPアドレスが、ユーザ端末が属していないプライベート網のIPアドレスである場合、接続要求をパケット通信網間接続要求として受け付けるパケット通信網間接続要求受付部と、このパケット通信網間接続要求受付部での要求受付に応じてテーブル生成部で生成された各テーブルを所望のゲートウェイへ設定するゲートウェイ設定部とをさらに備え、テーブル生成部で、要求受付に応じてユーザ端末が接続されているユーザパケット通信網のゲートウェイで用いる各テーブルを生成し、ゲートウェイ設定部で、各テーブルを当該ゲートウェイに対して設定するようにしてもよい。
【0015】
あるいは、ユーザ端末からのIPアドレス問い合わせに対して対応するIPアドレスを通知するDNSサーバ機能部と、このDNSサーバ機能部で受け付けた問い合わせ先のIPアドレスが、ユーザ端末が属していないプライベート網のIPアドレスである場合、問い合わせをパケット通信網間接続要求として受け付けるパケット通信網間接続要求受付部と、このパケット通信網間接続要求受付部での要求受付に応じてテーブル生成部で生成された各テーブルを所望のゲートウェイへ設定するゲートウェイ設定部とをさらに備え、テーブル生成部で、要求受付に応じてユーザ端末が接続されているユーザパケット通信網のゲートウェイで用いる各テーブルを生成し、ゲートウェイ設定部で、各テーブルを当該ゲートウェイに対して設定するようにしてもよい。
【0016】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
図1は本発明の一実施の形態にかかるプライベート網間接続システムの構成を示すブロック図である。
このプライベート網間接続システム10は、ユーザパケット通信網4,5間を接続する複数のパケット通信網1,2と、これらパケット通信網1,2を制御してユーザパケット網間のエクストラネット接続を実現するための各種制御装置と、これら制御装置間を接続する管理網3と、アクセス網6,7を介してユーザパケット通信網4,5をパケット通信網1,2側へ接続するゲートウェイ41,51から構成されている。
【0017】
ユーザパケット通信網4,5には、それぞれユーザ端末42,52が接続されており、またゲートウェイ41,51を介して、アクセス網6,7の論理的なコネクションであるPPPコネクション61〜64によって、アクセス制御装置11,21,12,22に接続されている。
また、サーバ83,84が接続されているユーザパケット通信網8は、専用接続回線80およびルータ23を介してパケット通信網2と接続されている。
【0018】
プライベート網間接続システム10には、制御装置としては、ポリシ制御装置31、ゲートウェイ制御装置32、接続認証制御装置33、パケット通信網間接続装置34、およびアクセス制御装置11,12,21,22が設けられている。
パケット通信網間接続装置34は、パケット通信網1,2を接続し、自己のフィルタリングテーブルを参照してこれらパケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行う。
【0019】
ポリシ制御装置31は、パケット通信網1,2間の通信の可否の規則をポリシとして管理して、パケット通信網間接続装置34のフィルタリングテーブルおよびアドレス変換テーブルを制御する。
アクセス制御装置11,12,21,22は、アクセス網6,7を介してプライベート網間接続システム10に接続されるユーザパケット通信網4,5のゲートウェイ41,51とパケット通信網1,2とを接続し、ユーザパケット通信網4,5とパケット通信網1,2との間でやり取りされるパケットの転送または廃棄の制御を行う。
【0020】
接続認証制御装置33は、各ユーザのユーザ認証情報、ユーザパケット通信網4,5への割当アドレスを管理し、ユーザの認証結果に基づいて、アクセス制御装置11,12,21,22の転送制御およびユーザパケット通信網4,5へのアドレス割当を行う。
ゲートウェイ制御装置32は、ポリシ制御装置31からアドレス変換情報およびフィルタリング情報を収集するとともに、接続認証制御装置33からアドレス割当情報を収集する。
そして、これら情報に基づいて、ゲートウェイ41,51で用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成し、所望のゲートウェイ41,51へ設定する。
【0021】
ユーザパケット通信網4,5に接続したゲートウェイ41,51は、パケット通信網1,2のアクセス制御装置11,12,21,22にアクセス網6,7を介して接続する。このとき、ゲートウェイ41,51では、自己のルーティングテーブルを参照してパケット通信網1,2へのパケットの経路を制御する。
また、自己のフィルタリングテーブルを参照してパケットの転送または廃棄の制御を行うとともに、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行う。
【0022】
図2は、プライベート網の構成例を示す説明図である。
ユーザ端末42,52は、パケット通信網1を用いて構成されるプライベート網Aに属しており、接続認証制御装置33によって、パケット通信網1において利用可能なIPアドレスA1,A2が個々に割り当てられている。
これらIPアドレスA1,A2は、パケット通信網1におけるパケット送受信に用いられる。IPアドレスA0はA1,A2が属するプライベート網Aのネットワークアドレスを示す。
【0023】
サーバ83,84は、パケット通信網2を用いて構成されるプライベート網Dに属しており、接続認証制御装置33によって、パケット通信網2において利用可能なIPアドレスD3,D4が割り当てられている。
これらIPアドレスD3,D4は、パケット通信網2におけるパケット送受信に用いられる。IPアドレスD0はIPアドレスD3,D4が属するプライベート網Dのネットワークアドレスを示す。
【0024】
また、プライベート網Aとプライベート網Dにおいて、アドレスはそれぞれ独立に割り当てられるため、アドレスが重複する場合、すなわち、IPアドレスA1またはIPアドレスA2とIPアドレスD3またはIPアドレスD4が同一の値となる場合があるため、ユーザ端末42,52とサーバ83,84との間のプライベート網間通信においては、アドレスの変換を行う。
この例では、ユーザ端末42,52に対して、プライベート網Dにおいて利用可能でありIPアドレスD3,D4と重複しないIPアドレスC1,C2が、接続認証制御装置33によって個別に割り当てられており、IPアドレスA1,A2とIPアドレスC1,C2とのアドレス変換規則はポリシ制御装置31が保持している。
【0025】
また、サーバ83,84に対して、プライベート網Aにおいて利用可能でありIPアドレスA1,A2と重複しないIPアドレスB3,B4が割り当てられており、IPアドレスD3,D4とIPアドレスB3,B4とのアドレス変換規則はポリシ制御装置31が保持している。
【0026】
図3にゲートウェイ制御装置32の構成例を示す。
このゲートウェイ制御装置32には、アドレス割当情報321、アドレス変換情報322、フィルタリング情報323、WWWサーバ機能部324、パケット通信網間接続要求受付部325、テーブル生成部326、ゲートウェイ設定部327が設けられている。
【0027】
ゲートウェイ制御装置32では、HTTPプロトコルを用いてユーザ端末42とデータ通信を行うことにより、ユーザ端末42からの任意のウェブページに対する接続要求をWWWサーバ機能部324で受け付ける。
そして、パケット通信網間接続要求受付部325では、その接続要求先のIPアドレスを解析し、そのIPアドレスがユーザ端末42の属していないプライベート網のIPアドレスである場合、その接続要求をパケット通信網間接続要求として受け付ける。
【0028】
テーブル生成部326では、パケット通信網間接続要求受付部325でパケット通信網間接続要求が受け付けられた場合、当該ユーザ端末42のユーザパケット通信網4が接続されているゲートウェイ41で用いるテーブルとして、ルーティングテーブル、フィルタリングテーブルおよびアドレス変換テーブルをそれぞれ生成する。そして、ゲートウェイ設定部327で、各テーブルをゲートウェイ41へ設定する。
以上の動作により、ポリシ制御装置31によって制御されるパケット通信網間接続装置34と同一の規則に基づき、ユーザ端末42から送信されたエクストラネット接続の要求に応じて、自動的にゲートウェイ41を制御し、ユーザ端末42にエクストラネット接続を提供することが可能となる。
【0029】
次に、図4を参照して、ゲートウェイ制御装置32の動作について説明する。図4はゲートウェイ制御装置32の処理動作を示す説明図である。
ゲートウェイ制御装置32は、接続認証制御装置33からアドレス割当情報321を取得するとともに、ポリシ制御装置31からアドレス変換情報322とフィルタリング情報323を取得し、これらを保持する。
テーブル生成部326では、これら情報に基づきゲートウェイで用いる各種テーブルを生成する。すなわち、アドレス割当情報321とアドレス変換情報322から、ルーティングテーブルを生成し、アドレス割当情報321、アドレス変換情報322およびフィルタリング情報323から、フィルタリングテーブルを生成し、アドレス割当情報321とアドレス変換情報322から、アドレス変換テーブルを生成する。
【0030】
ゲートウェイ制御装置32は、このようにして生成した各テーブルをゲートウェイ、例えばゲートウェイ41に設定する。テーブルの設定については、SNMP(Simple Network Management Protocol)などの一般的な管理用プロトコルを用いればよい。
以上の動作により、ゲートウェイ41は、ポリシ制御装置31によって制御されたパケット通信網間接続装置34と同一の規則に基づいた、ユーザパケット通信網4からユーザパケット通信網8へのエクストラネット接続の設定を自動的に行うことが可能となる。
【0031】
図5は、ゲートウェイ41のテーブル構成例を示す説明図である。なお、各テーブルにおいて、Prefixは、アドレス変換テーブル検索時にアドレス内で参照すべき部分を示す値である。
ルーティングテーブル411は、ユーザパケット通信網4側から受信したパケットの宛先IPアドレス(宛先IP)と、そのパケットを出力すべきアクセス網6の出力リンクとの対応関係を示すテーブルである。
【0032】
フィルタリングテーブル412は、ユーザパケット通信網4側から受信したパケットの宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)の組み合わせと、そのパケットの制御すなわち転送または廃棄との対応関係を示すテーブルである。
アドレス変換テーブル413は、ユーザパケット通信網4側から受信したパケットの宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)の組み合わせと、そのアドレス変換後の宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)との対応関係を示すテーブルである。
【0033】
ルーティングテーブル414は、パケット通信網2側(PPPコネクション62)から受信したパケットの宛先IPアドレスとアクセス網6の出力リンクとの対応関係を示すテーブルである。
フィルタリングテーブル415は、パケット通信網2側から受信したパケットの宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)の組み合わせと、そのパケットの制御すなわち転送または廃棄との対応関係を示すテーブルである。
アドレス変換テーブル416は、パケット通信網2側から受信したパケットの宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)の組み合わせと、そのアドレス変換後の宛先IPアドレス(宛先IP)および送信元IPアドレス(送信元IP)との対応関係を示すテーブルである。
【0034】
次に、図1、図2および図5を参照して、プライベート網間接続システム10の動作について説明する。
まず、同一のプライベート網A(ネットワークアドレスA0)に属するユーザ端末42,52間でパケットをやり取りする場合について説明する。
【0035】
IPアドレスA1を割り当てられたユーザ端末42が、IPアドレスA2を割り当てられたユーザ端末52にパケットを送信する場合、ゲートウェイ41は、ユーザ端末42からユーザパケット通信網4を介してパケットを受信し、図5のルーティングテーブル411を参照する。
そして、そのパケットの宛先IPアドレスがA2であり、その宛先IPアドレスA2が属するネットワークアドレスA0の出力リンクが61を示すことから、そのパケットの転送方路としてアクセス網6のPPPコネクション61を決定する。
【0036】
このとき、フィルタリングテーブル412およびアドレス変換テーブル413を参照するが、いずれのテーブルの設定内容にも該当しないため、パケットのフィルタリングやアドレス変換は施さずにパケットを転送する。
以上の動作により、ユーザ端末42はフィルタリングおよびアドレス変換の処理を施されずにパケット通信網1と接続され、同一プライベート網Aの端末としてユーザ端末52とパケット通信可能となる。
【0037】
次に、プライベート網Aに属するユーザ端末42と、他のプライベート網Dに属するサーバ83およびサーバ84との間でパケットをやり取りする場合について説明する。
ユーザ端末42が、サーバ83にパケットを送信する場合、サーバ83のパケット通信網1で使用可能なIPアドレスB3を送信先としてパケットを送信する。ゲートウェイ41は、ルーティングテーブル411を参照し、その宛先IPアドレスB3が属するネットワークアドレスB0に対応する転送方路としてPPPコネクション62を決定する。
【0038】
このとき、フィルタリングテーブル412を参照し、宛先IPアドレスB3および送信元IPアドレスA1の組に対応する制御が転送を示すことから、そのパケットの転送を決定する。
また、アドレス変換テーブル413を参照し、上記組に対応する変換後のアドレスとして宛先IPアドレスD3および送信元IPアドレスC1が設定されていることから、これらアドレスの書き換えを行って転送する。
【0039】
また、ユーザ端末42が、サーバ84にパケットを送信する場合、サーバ84のパケット通信網1で使用可能なIPアドレスB4を送信先としてパケットを送信する。ゲートウェイ41は、ルーティングテーブル411を参照し、宛先IPアドレスB4のネットワークアドレスB0に基づき転送方路をPPPコネクション62と決定する。
ここで、フィルタリングテーブル412を参照し、宛先IPのネットワークアドレスB0と送信元IPアドレスA0の組に対応することから、そのパケットを転送せずに廃棄する。
【0040】
一方、サーバ83がユーザ端末42にパケットを送信する場合、ユーザ端末42のパケット通信網2で使用可能なIPアドレスC1を送信先としてパケットを送信する。
ゲートウェイ41は、PPPコネクション62を介してこのパケットを受信し、ルーティングテーブル414を参照し、宛先IPアドレスC1に対応する転送方路としてユーザパケット通信網4を決定する。
【0041】
このとき、フィルタリングテーブル415を参照し、宛先IPアドレスC1および送信元IPアドレスD3の組に対応する制御が転送を示すことから、そのパケットの転送を決定する。
また、アドレス変換テーブル416を参照し、上記組に対応する変換後のアドレスとして宛先IPアドレスA1および送信元IPアドレスB3が設定されていることから、これらアドレスの書き換えを行って転送する。
【0042】
また、サーバ84がユーザ端末42にパケットを送信する場合、ユーザ端末42のパケット通信網2で使用可能なIPアドレスC1を送信先としてパケットを送信する。
ゲートウェイ41は、PPPコネクション62を介してこのパケットを受信し、ルーティングテーブル414を参照し、宛先IPアドレスC1に基づき転送方路をユーザパケット通信網4と決定するが、フィルタリングテーブル415を参照し、宛先IPのネットワークアドレスC0と送信元IPアドレスD0の組に対応することから、そのパケットを廃棄する。
【0043】
以上の動作により、ユーザ端末42は、パケット通信網間接続装置34を経由することなく、ユーザパケット通信網8とエクストラネット通信することが可能であり、ユーザ端末42とサーバ83の間のパケット通信は許可され、ユーザ端末42とサーバ84の間のパケット通信は拒絶される。
なお、ゲートウェイ51についても前述と同様のテーブル構成を有しており、前述と同様の処理動作が行われる。
【0044】
このように、各ユーザパケット通信網のゲートウェイと各パケット通信網のアクセス制御装置とを個別に接続し、各ゲートウェイにおいて、当該ゲートウェイのルーティングテーブルを参照して各パケット通信網へのパケットの経路を制御し、当該ゲートウェイのフィルタリングテーブルを参照してパケットの転送または廃棄の制御を行い、当該ゲートウェイのアドレス変換テーブルを参照してパケットのアドレス変換制御を行うことにより、各パケット通信網を用いて構成される各プライベート網間でパケットをやり取りするようにしたので、パケット通信網間接続装置を用いることなく、効率よくかつ柔軟にプライベート網間を接続できる。
したがって、従来のようにパケット通信網間接続装置へエクストラネットの通信トラフィックが集中せずに、各ゲートウェイへ分散されるため、プライベート網間通信のスループット低下およびプライベート網間接続装置のコスト上昇を回避できる。
【0045】
また、従来の仮想プライベートネットワーク間接続方法では、ユーザパケット通信網は接続する際に異なるアドレスを割り当てられるため、プライベート網間のエクストラネット通信のルーティングテーブル、フィルタリングテーブル、アドレス変換テーブルは接続する毎に異なり、パケット通信網間接続装置における集中的な接続制御を行う従来のポリシサーバでは制御できない。
したがって、エクストラネット通信の制御をユーザパケット通信網のゲートウェイにおいて制御できない。
これに対して、本実施の形態によれば、接続認証制御装置およびポリシ制御装置からアドレス割当情報、ポリシ情報等を取得し、ゲートウェイに設定する各テーブルを生成するようにしたため、上記のような問題は発生しない。
【0046】
図6にゲートウェイ制御装置32の他の構成例を示す。
このゲートウェイ制御装置32には、図5のWWWサーバ機能部324に代えてDNS(Domain Name System)サーバ機能部328が設けられているほかは、前述のゲートウェイ制御装置と同様である。
ゲートウェイ制御装置32では、ユーザ端末42とデータ通信を行うことにより、ユーザ端末42からのIPアドレス問い合わせをDNSサーバ機能部328で受け付ける。
このとき、パケット通信網間接続要求受付部325では、その問い合わせ先のIPアドレスを解析し、ユーザ端末42が属していないプライベート網のIPアドレスである場合、その問い合わせをパケット通信網間接続要求として受け付ける。
【0047】
テーブル生成部326では、パケット通信網間接続要求受付部325でパケット通信網間接続要求が受け付けられた場合、図3に示したような、当該ユーザ端末42のユーザパケット通信網4が接続されているゲートウェイ41で用いるテーブルとして、ルーティングテーブル、フィルタリングテーブルおよびアドレス変換テーブルをそれぞれ生成する。そして、ゲートウェイ設定部327で、各テーブルをゲートウェイ41へ設定する。
以上の動作により、ポリシ制御装置31によって制御されるパケット通信網間接続装置34と同一の規則に基づき、ユーザ端末42から送信されたエクストラネット接続の要求に応じて、自動的にゲートウェイ41を制御し、ユーザ端末42にエクストラネット接続を提供することが可能となる。
【0048】
従来のプライベート網間接続方法では、プライベート網間のエクストラネット通信に必要なルーティングテーブル、フィルタリングテーブル、アドレス変換テーブルを、ユーザのエクストラネット通信を要求する手続きを基してに生成する。
したがって、ユーザパケット通信網が複数のプライベート網に接続している場合においても、エクストラネット通信を行うために接続の手続きが必要であり、ユーザの利便性が低下する。
【0049】
本実施の形態では、上記のように、ゲートウェイ制御装置において、WWWサーバ機能部やDNSサーバ機能部とパケット通信網間接続要求受付部とを連携させ、パケット通信網間接続要求の検出に応じて、ゲートウェイで用いるテーブルを生成して設定するようにした。
これにより、その通信に必要なプライベート網間のエクストラネット接続が、ユーザによる、エクストラネット接続のための特別な設定要求操作を必要とすることなく、ゲートウェイ制御装置のWWWサーバ機能部やDNSサーバ機能へアクセスするという極めて容易な作業により実現できる。
【0050】
なお、前述した実施の形態では、VPNとして伝送プロトコルをIPに限定したIP−VPNを例に説明したが、これに限定されるものではなく、例えばLAN用プロトコルを利用できるVLANなど、各種のVPNに適用でき、同様の作用効果が得られる。
また、ゲートウェイ41,51と各アクセス制御装置11〜14を接続する際、各アクセス網6,7にPPP(Point-to-Point Protocol)コネクション61〜64を介して接続する場合を例として説明したが、これに限定されるものではなく、例えばイーサネット(登録商標)などVLANで用いられるLAN用プロトコルを用いて接続することもできる。
また、アクセス制御装置11,12を論理的機能として、同一の装置として構成することもできる。
【0051】
【発明の効果】
以上説明したように、本発明は、ネットワークを介して各ユーザパケット通信網のゲートウェイと各パケット通信網のアクセス制御装置とを個別に接続し、各ゲートウェイで、当該ゲートウェイのルーティングテーブルを参照して各パケット通信網へのパケットの経路を制御し、当該ゲートウェイのフィルタリングテーブルを参照してパケットの転送または廃棄の制御を行い、当該ゲートウェイのアドレス変換テーブルを参照してパケットのアドレス変換制御を行い、プライベート網間接続システムに設けられたゲートウェイ制御装置で、接続認証制御装置からアドレス割当情報を収集し、ポリシ制御装置からアドレス変換情報およびフィルタリング情報を収集し、これら情報に基づいて、ゲートウェイで用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成するようにしたので、パケット通信網間を接続するパケット通信網間接続装置を経由せずにエクストラネット通信を行うことができ、効率よくかつ柔軟にプライベート網間を接続できる。
したがって、従来のようにパケット通信網間接続装置へエクストラネットの通信トラフィックが集中せずに、各ゲートウェイへ分散されるため、プライベート網間通信のスループット低下およびプライベート網間接続装置のコスト上昇を回避できる。
【0052】
また、ゲートウェイ制御装置において、WWWサーバ機能部やDNSサーバ機能部とパケット通信網間接続要求受付部とを連携させ、パケット通信網間接続要求の検出に応じて、ゲートウェイで用いるテーブルを生成して設定するようにしたので、その通信に必要なVPN間のエクストラネット接続が、ユーザによる、エクストラネット接続のための特別な設定要求操作を必要とすることなく、ゲートウェイ制御装置のWWWサーバ機能部やDNSサーバ機能へアクセスするという極めて容易な作業により実現できる。
【図面の簡単な説明】
【図1】 本発明の一実施の形態にかかるプライベート網間接続システムを示すブロック図である。
【図2】 プライベート網の構成例である。
【図3】 ゲートウェイ制御装置の構成例である。
【図4】 ゲートウェイ制御装置の処理動作を示す説明図である。
【図5】 ゲートウェイのテーブル構成例である。
【図6】 ゲートウェイ制御装置の他の構成例である。
【符号の説明】
1,2…パケット通信網、A,D…プライベート網、10…プライベート網間接続システム、11,12,21,22…アクセス制御装置、23…ルータ、3…管理網、31…ポリシ制御装置、32…ゲートウェイ制御装置、33…接続認証制御装置、34…パケット通信網間接続装置、4,5,8…ユーザパケット通信網、41,51…ゲートウェイ、42,52…ユーザ端末、6,7…アクセス網、61,62,63,64…PPPコネクション、80…専用接続回線、83,84…サーバ、321…アドレス割当情報、322…アドレス変換情報、323…フィルタリング情報、324…WWWサーバ機能部、325…パケット通信網間接続要求受付部、326…テーブル生成部、327…ゲートウェイ設定部、328…DNSサーバ機能部、411,414…ルーティングテーブル、412,415…フィルタリングテーブル、413,416…アドレス変換テーブル。
Claims (4)
- 複数のパケット通信網と、
これらパケット通信網間を接続するとともに、自己のフィルタリングテーブルを参照して前記パケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行うパケット通信網間接続装置と、
前記パケット通信網間の通信可否の規則をポリシとして管理して、前記パケット通信網間接続装置のフィルタリングテーブルおよびアドレス変換テーブルを制御するポリシ制御装置と、
ネットワークを介して接続される各ユーザパケット通信網のゲートウェイと前記パケット通信網との間に接続され、前記ユーザパケット通信網と前記パケット通信網との間で通信されるパケットの転送または廃棄の制御を行う複数のアクセス制御装置と、
ユーザ認証情報および前記ユーザパケット通信網への割当アドレスを管理し、ユーザの認証結果に基づいて前記アクセス制御装置での転送制御および前記ユーザパケット通信網へのアドレス割当を制御する接続認証制御装置とを有するプライベート網間接続システムで用いられ、
前記各パケット通信網と、前記各パケット通信網に接続した前記各ユーザパケット通信網と、前記各ユーザパケット通信網に接続したユーザ端末とで構成される複数のプライベート網について、これらプライベート網間でのパケットのやり取りを実現するプライベート網間接続方法であって、
前記ネットワークを介して前記各ユーザパケット通信網に接続したゲートウェイと前記各パケット通信網の前記アクセス制御装置とを個別に接続し、
前記各ゲートウェイで、
当該ゲートウェイのルーティングテーブルを参照して前記各パケット通信網へのパケットの経路を制御し、
当該ゲートウェイのフィルタリングテーブルを参照して前記パケットの転送または廃棄の制御を行い、
当該ゲートウェイのアドレス変換テーブルを参照して前記パケットのアドレス変換制御を行い、
前記プライベート網間接続システムに設けられたゲートウェイ制御装置で、
前記接続認証制御装置からアドレス割当情報を収集し、前記ポリシ制御装置からアドレス変換情報およびフィルタリング情報を収集し、
これら情報に基づいて、前記ゲートウェイで用いるルーティングテーブル、フィルタリンクテーブルおよびアドレス変換テーブルを生成することを特徴とするプライベート網間接続方法。 - 複数のパケット通信網と、
これらパケット通信網間を接続するとともに、自己のフィルタリングテーブルを参照して前記パケット通信網間で通信されるパケットの転送または廃棄の制御を行い、自己のアドレス変換テーブルを参照してパケットのアドレス変換制御を行うパケット通信網間接続装置と、
前記パケット通信網間の通信可否の規則をポリシとして管理して、前記パケット通信網間接続装置のフィルタリングテーブルおよびアドレス変換テーブルを制御するポリシ制御装置と、
ネットワークを介して接続される各ユーザパケット通信網のゲートウェイと前記パケット通信網との間に接続され、前記ユーザパケット通信網と前記パケット通信網との間で通信されるパケットの転送または廃棄の制御を行う複数のアクセス制御装置と、
ユーザ認証情報および前記ユーザパケット通信網への割当アドレスを管理し、ユーザの認証結果に基づいて前記アクセス制御装置での転送制御および前記ユーザパケット通信網へのアドレス割当を制御する接続認証制御装置とを有し、
前記各パケット通信網と、前記各パケット通信網に接続した前記各ユーザパケット通信網と、前記各ユーザパケット通信網に接続したユーザ端末とで構成される複数のプライベート網について、これらプライベート網間でのパケットのやり取りを実現するプライベート網間接続システムで用いられ、前記各ゲートウェイを制御するゲートウェイ制御装置であって、
前記接続認証制御装置から収集した、前記各プライベート網の構成に用いるアドレス割当情報と、前記ポリシ制御装置から収集したアドレス変換情報およびフィルタリング情報とに基づいて、前記ネットワークを介して前記各パケット通信網の前記アクセス制御装置と個別に接続される前記ゲートウェイで用いるルーティングテーブル、フィルタリングテーブルおよびアドレス変換テーブルを生成するテーブル生成部を備えることを特徴とするゲートウェイ制御装置。 - 請求項2に記載のゲートウェイ制御装置において、
前記ユーザ端末との間でHTTPプロトコルにより通信を行うWWWサーバ機能部と、
このWWWサーバ機能部で受け付けた接続要求先のIPアドレスが、前記ユーザ端末が属していないプライベート網のIPアドレスである場合、前記接続要求をパケット通信網間接続要求として受け付けるパケット通信網間接続要求受付部と、
このパケット通信網間接続要求受付部での前記要求受付に応じて前記テーブル生成部で生成された各テーブルを所望のゲートウェイへ設定するゲートウェイ設定部とをさらに備え、
前記テーブル生成部は、前記要求受付に応じて前記ユーザ端末が接続されているユーザパケット通信網のゲートウェイで用いる各テーブルを生成し、
前記ゲートウェイ設定部は、前記各テーブルを当該ゲートウェイに対して設定することを特徴とするゲートウェイ制御装置。 - 請求項2に記載のゲートウェイ制御装置において、
前記ユーザ端末からのIPアドレス問い合わせに対して対応するIPアドレスを通知するDNSサーバ機能部と、
このDNSサーバ機能部で受け付けた問い合わせ先のIPアドレスが、前記ユーザ端末が属していないプライベート網のIPアドレスである場合、前記問い合わせをパケット通信網間接続要求として受け付けるパケット通信網間接続要求受付部と、
このパケット通信網間接続要求受付部での前記要求受付に応じて前記テーブル生成部で生成された各テーブルを所望のゲートウェイへ設定するゲートウェイ設定部とをさらに備え、
前記テーブル生成部は、前記要求受付に応じて前記ユーザ端末が接続されているユーザパケット通信網のゲートウェイで用いる各テーブルを生成し、
前記ゲートウェイ設定部は、前記各テーブルを当該ゲートウェイに対して設定することを特徴とするゲートウェイ制御装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002216264A JP3813908B2 (ja) | 2002-07-25 | 2002-07-25 | プライベート網間接続方法およびゲートウェイ制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002216264A JP3813908B2 (ja) | 2002-07-25 | 2002-07-25 | プライベート網間接続方法およびゲートウェイ制御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004064182A JP2004064182A (ja) | 2004-02-26 |
JP3813908B2 true JP3813908B2 (ja) | 2006-08-23 |
Family
ID=31938066
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002216264A Expired - Fee Related JP3813908B2 (ja) | 2002-07-25 | 2002-07-25 | プライベート網間接続方法およびゲートウェイ制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3813908B2 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8590032B2 (en) | 2003-12-10 | 2013-11-19 | Aventail Llc | Rule-based routing to resources through a network |
US8255973B2 (en) | 2003-12-10 | 2012-08-28 | Chris Hopen | Provisioning remote computers for accessing resources |
US8661158B2 (en) * | 2003-12-10 | 2014-02-25 | Aventail Llc | Smart tunneling to resources in a network |
JP3970857B2 (ja) * | 2004-03-19 | 2007-09-05 | Necパーソナルプロダクツ株式会社 | 通信システム、ゲートウェイ装置 |
US7730294B2 (en) * | 2004-06-04 | 2010-06-01 | Nokia Corporation | System for geographically distributed virtual routing |
WO2006044820A2 (en) | 2004-10-14 | 2006-04-27 | Aventail Corporation | Rule-based routing to resources through a network |
JP4630225B2 (ja) * | 2006-05-15 | 2011-02-09 | 富士通株式会社 | 通信制御システム |
JP4931888B2 (ja) * | 2008-09-29 | 2012-05-16 | アラクサラネットワークス株式会社 | 転送装置、転送方法、およびコンピュータプログラム |
EP2693705B1 (en) | 2011-03-31 | 2018-11-21 | Fujitsu Limited | Gateway device and gateway selection method |
JP5552460B2 (ja) * | 2011-04-13 | 2014-07-16 | 日本電信電話株式会社 | 拠点間接続システム、拠点間接続方法、アドレス変換情報生成装置、アドレス変換情報生成方法、及びプログラム |
EP2628281B1 (en) | 2011-04-18 | 2017-08-16 | Nec Corporation | Terminal, control device, communication method,communication system, communication module, program, and information processing device |
SG194457A1 (en) | 2011-04-18 | 2013-12-30 | Nec Corp | Terminal, control device, communication method, communication system, communication module,program, and information processing device |
CN103597787B (zh) | 2011-04-18 | 2017-06-09 | 日本电气株式会社 | 终端、控制装置、通信方法、通信系统、通信模块以及信息处理装置 |
CN113612801B (zh) * | 2021-09-30 | 2022-01-04 | 浙江国利信安科技有限公司 | Epa网关设备和epa跨网通信的方法 |
-
2002
- 2002-07-25 JP JP2002216264A patent/JP3813908B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004064182A (ja) | 2004-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7489700B2 (en) | Virtual access router | |
JP4692258B2 (ja) | ルータ装置及び通信システム | |
JP3813908B2 (ja) | プライベート網間接続方法およびゲートウェイ制御装置 | |
Funke et al. | Performance evaluation of firewalls in gigabit-networks | |
EP2400693A2 (en) | Routing and service performance management in an application acceleration environment | |
US20020184388A1 (en) | Layered approach to virtual private routing | |
JP2006042327A (ja) | ネットワークにセキュリティポリシーを実装する方法および装置 | |
WO2012088982A1 (zh) | 路由信息发布方法、设备及虚拟专用网系统 | |
JP2004112801A (ja) | Ipアドレス割当装置及び方法 | |
CN101043430B (zh) | 一种设备之间网络地址转换的方法 | |
JP2001237876A (ja) | Ip仮想プライベート網の構築方法及びip仮想プライベート網 | |
US7280534B2 (en) | Managed IP routing services for L2 overlay IP virtual private network (VPN) services | |
JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
Cisco | Configuring IPX Multilayer Switching | |
Cisco | Configuring Novell IPX | |
Cisco | Product Overview | |
Cisco | Overview of Layer 3 Switching and Software Features | |
Cisco | Overview of Layer 3 Switching and Software Features | |
Cisco | Feature-By-Feature Configuration | |
Cisco | Configuring IP Services | |
Cisco | Configuring Novell IPX | |
Cisco | Configuring Novell IPX | |
Cisco | Configuring Novell IPX | |
Cisco | Network Scenarios | |
Cisco | Configuring Novell IPX |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040723 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060302 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060307 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060501 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060530 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060601 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090609 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100609 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100609 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110609 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120609 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130609 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140609 Year of fee payment: 8 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |