JP4342527B2 - パケット中継装置および方法 - Google Patents
パケット中継装置および方法 Download PDFInfo
- Publication number
- JP4342527B2 JP4342527B2 JP2006069386A JP2006069386A JP4342527B2 JP 4342527 B2 JP4342527 B2 JP 4342527B2 JP 2006069386 A JP2006069386 A JP 2006069386A JP 2006069386 A JP2006069386 A JP 2006069386A JP 4342527 B2 JP4342527 B2 JP 4342527B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- network
- dns
- global
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、異なるIPアドレスを用いる複数のIPパケット網間を接続したネットワーク間接続装置に関し、特に、IPパケットのIPアドレス変換情報を隠蔽する技術に関する。
IPパケット網におけるクライアントは、接続したいサーバのホスト名を用いてDNS(Domain
Name Server)サーバにIPアドレスを問い合わせ、DNSサーバから取得したIPアドレスを用いて通信を行う。従来技術であるRFC3022に従ったIPアドレス変換装置あるいはDNSサーバは、プライベート網のIPアドレスの変換のみに対応している。
Name Server)サーバにIPアドレスを問い合わせ、DNSサーバから取得したIPアドレスを用いて通信を行う。従来技術であるRFC3022に従ったIPアドレス変換装置あるいはDNSサーバは、プライベート網のIPアドレスの変換のみに対応している。
"NATを用いた重複ネットワークアドレスの設定事例"、[online]、Technical Tips、[平成18年1月27日検索]、インターネット<URL:http://www.cisco.com/Japanese/warp/public/3/jp/service/info/tips/router/nat/nat_overlap.htm>
しかしながら、このような従来のアドレス変換装置では、次のような問題点があった。
例えば、2つの企業間接続を想定した図6のように、A社ネットワーク100において、サーバ101〜10N、DNSサーバ110、クライアント121が存在し、B社ネットワーク150において、サーバ151〜15N、DNSサーバ160が存在し、A社クライアント121のIPアドレスがB社ネットワーク150では別の端末用に利用され、B社サーバ151〜15N、B社DNSサーバ160のIPアドレスが、A社ネットワーク100で別の端末用に利用されていた場合でも、A社クライアント121からB社サーバ151に接続性を確保せねばならない。
A社クライアント121が接続先ホスト名B社サーバ151をDNSサーバ110またはDNSサーバ160に問い合わせ、B社サーバ151のB社内アドレスではなく、A社から接続可能なアドレスを通知してもらう必要がある。
このような場合には、B社DNSサーバ160に、予めA社クライアント121からの問い合わせに答えるための情報を登録しておくか、別にDNSサーバを準備する必要がある。
しかし、他社情報であるA社に関するIPアドレスをB社DNSサーバ160に登録した場合には、他社のアドレス情報の蓄積先としてDNSサーバ160を攻撃すれば全ての情報を得ることができ、さらに、A社独自でアドレス変更を行った場合などもB社DNSサーバ160にも変更が必要となり管理コストに影響がある。
また、DNSサーバを接続点に別に準備した場合には、他社のアドレス変換情報の蓄積先としてDNSサーバのIPアドレスが特定され、ここを攻撃されてアドレス変換情報が漏洩すれば、公開サーバ全てについて、公開アドレスと内部アドレスの対応が全て特定され、セキュリティ面で大変心配である。
これを解決させるには、アドレス変換情報がどこにあるかわからぬようにし、IPパケット、DNSパケット両方について、IPアドレスを持たずに自端末側、接続先側両方共にアドレス変換する技術が重要である。なお、ここで、DNSパケットとは、DNSサーバとアクセスするためのIPパケットであり、DNSペイロードを有するIPパケットのことをいう。
本発明は、このような課題を解決するためのものであり、アドレス変換情報がどこにあるかわからぬようにしながら、異なる複数のIPパケット網間で相互に送受信されるIPパケットのIPアドレス変換を行うことができるパケット中継装置および方法を提供することを目的とする。
上述した課題を解決するために、本発明のパケット中継装置自体は、IPアドレスを持たず、他から見ると本発明のパケット中継装置の存在は隠蔽されている。このように本発明のパケット中継装置は、他から存在を隠蔽しつつ、IPパケット網間を接続し、所定条件に基づきIPアドレス変換を行うためのIPアドレス変換条件リストを持ち、自パケット中継装置を通過するパケットのうち前記所定条件を満たすIPパケットまたはDNSパケットの双方について、所定条件に従い、IPアドレス変換を行い、所定条件の出力先であるVLANまたはVCなどに出力するものである。
すなわち、本発明は、物理的または論理的に多重された複数の伝送路を収容し、IPパケットまたはDNSペイロードを有するIPパケットであるDNSパケットのIPアドレスおよびポート番号の書き換えを行うパケット中継装置であって、本発明の特徴とするところは、発信側ネットワークおよび着信側ネットワークそれぞれのプライベート側IPアドレスおよびポート番号とグローバル側IPアドレスおよびポート番号との対応関係が記録されたIPアドレス変換条件リストと、到着したIPパケットのヘッダ内に、前記IPアドレス変換条件リストにおいて、発信側ネットワークにおけるプライベート網からグローバル網向きのパケットであって発信側ネットワークのプライベート側IPアドレスおよびポート番号に一致する情報が見出された場合、または、着信側ネットワークにおけるグローバル網からプライベート網向きのパケットであって着信側ネットワークのグローバル側IPアドレスおよびポート番号に一致する情報が見出された場合には、これを発信側ネットワークのグローバル側IPアドレスおよびポート番号、または、着信側ネットワークのプライベート側IPアドレスおよびポート番号に書き換える手段と、到着したIPパケットがDNSパケットであるか否かを判定するDNS判定手段と、到着したパケットがDNSパケットであると前記DNS判定手段が判定し、そのDNSペイロード内に、前記IPアドレス変換条件リストにおいて、発信側ネットワークにおけるプライベート網からグローバル網向きのパケットであって発信側ネットワークのプライベート側IPアドレスに一致する情報が見出された場合、または、着信側ネットワークにおけるグローバル網からプライベート網向きのパケットであって着信側ネットワークのグローバル側IPアドレスに一致する情報が見出された場合には、これを発信側ネットワークのグローバル側IPアドレス、または、着信側ネットワークのプライベート側IPアドレスに書き換える手段とを備えたところにある。
また、前記IPアドレス変換条件リストに既に記録されているプライベート側IPアドレス以外のプライベート側IPアドレスを有するIPパケットまたはDNSパケットが到着したときには、新規に当該プライベート側IPアドレスに対応するグローバル側IPアドレスを払い出す手段を備え、前記IPアドレス変換条件リストは、前記払い出す手段により払い出された新規のプライベート側IPアドレスおよびグローバル側IPアドレスを追記する手段と、所定時間内に一度も利用されない前記対応関係についてはこれを削除する手段とを備えることができる。
これによれば、新規にクライアントが追加された場合や休止中のクライアントが有るなど、ネットワーク環境の変化に柔軟に対応することができる。
本発明をパケット中継方法の観点から見ることができる。すなわち、本発明は、物理的または論理的に多重された複数の伝送路を収容し、IPパケットまたはDNSペイロードを有するIPパケットであるDNSパケットのIPアドレスおよびポート番号の書き換えを行うパケット中継装置が実行するパケット中継方法であって、本発明の特徴とするところは、発信側ネットワークおよび着信側ネットワークそれぞれのプライベート側IPアドレスおよびポート番号とグローバル側IPアドレスおよびポート番号との対応関係が記録されたIPアドレス変換条件リストを有し、到着したIPパケットのヘッダ内に、前記IPアドレス変換条件リストにおいて、発信側ネットワークにおけるプライベート網からグローバル網向きのパケットであって発信側ネットワークのプライベート側IPアドレスおよびポート番号に一致する情報が見出された場合、または、着信側ネットワークにおけるグローバル網からプライベート網向きのパケットであって着信側ネットワークのグローバル側IPアドレスおよびポート番号に一致する情報が見出された場合には、これを発信側ネットワークのグローバル側IPアドレスおよびポート番号、または、着信側ネットワークのプライベート側IPアドレスおよびポート番号に書き換えるステップと、到着したIPパケットがDNSパケットであるか否かを判定するDNS判定ステップと、到着したパケットがDNSパケットであると前記DNS判定ステップにより判定し、そのDNSペイロード内に、前記IPアドレス変換条件リストにおいて、発信側ネットワークにおけるプライベート網からグローバル網向きのパケットであって発信側ネットワークのプライベート側IPアドレスに一致する情報が見出された場合、または、着信側ネットワークにおけるグローバル網からプライベート網向きのパケットであって着信側ネットワークのグローバル側IPアドレスに一致する情報が見出された場合には、これを発信側ネットワークのグローバル側IPアドレス、または、着信側ネットワークのプライベート側IPアドレスに書き換えるステップとを実行するところにある。
また、前記IPアドレス変換条件リストに既に記録されているプライベート側IPアドレス以外のプライベート側IPアドレスを有するIPパケットまたはDNSパケットが到着したときには、新規に当該プライベート側IPアドレスに対応するグローバル側IPアドレスを払い出すステップと、前記払い出すステップにより払い出された新規のプライベート側IPアドレスおよびグローバル側IPアドレスを前記IPアドレス変換条件リストに追記するステップと、所定時間内に一度も利用されない前記対応関係についてはこれを前記IPアドレス変換条件リストから削除するステップとを実行することができる。
また、本発明をプログラムの観点から見ることができる。すなわち、本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に、本発明のパケット中継装置に相応する機能を実現させるプログラムである。本発明のプログラムは記録媒体に記録されることにより、前記汎用の情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
これにより、汎用の情報処理装置を用いて、本発明のパケット中継装置を実現し、本発明のパケット中継方法を実行させることができる。また、前記記録媒体についても本発明の一つの観点として見ることができる。
本発明によれば、アドレス変換情報がどこにあるかわからぬようにしながら、異なる複数のIPパケット網間で相互に送受信されるIPパケットのIPアドレス変換を行うことができる。
(第一実施例)
第一実施例のパケット中継装置を図1、図2、図4、図5を参照して説明する。図1は本実施例のパケット中継装置が適用されるネットワーク構成を示す図である。図2は第一実施例のパケット中継装置のブロック構成図である。図4はIPアドレス変換条件リストの一例を示す図である。図5はIPアドレス変換テーブルの一例を示す図である。
第一実施例のパケット中継装置を図1、図2、図4、図5を参照して説明する。図1は本実施例のパケット中継装置が適用されるネットワーク構成を示す図である。図2は第一実施例のパケット中継装置のブロック構成図である。図4はIPアドレス変換条件リストの一例を示す図である。図5はIPアドレス変換テーブルの一例を示す図である。
以下、パケット網については、Ethernet(登録商標)上のVLANまたはATM上のVCにて形成されたIP網を指すものであり、VLAN−IDは、Ethernet上のVLANにおけるVLAN−IDを、VCはATMのVPI、VCIの対を指すものとする。
図1に示すように、パケット中継装置130は、サーバ101〜10N、DNSサーバ110、クライアント121が接続されたA社パケット網と、サーバ151〜15N、DNSサーバ160が接続されたB社パケット網のパケット網間に位置し、この2つのパケット網を接続し、1つの入力パケット網に対して1つの出力パケット網に出力する機能を有している。
クライアント121は、信号手順に従い、DNSサーバ160に接続してサーバ151のIPアドレスを入手し、サーバ151に接続する。
図2は、第一実施例のパケット中継装置210の処理を示している。第一実施例のパケット中継装置210は、図2に示すように、VLANまたはATMからの受信処理機能部として受信部211を有し、受信されたパケットを処理するメイン処理部212を有する。また、VLANまたはATMへの送信処理機能部として送信部222を有する。なお、メイン処理部212の下位機能は、以下のとおりである。
DNSパケット判定処理機能部としてDNSパケット判定処理部213を有し、DNSパケットのペイロード内のアドレス変換処理機能部として発側DNSパケットアドレス変換処理部214、着側DNSパケットアドレス変換処理部216を有し、IPパケットのアドレス変換処理機能部として発側アドレス変換処理部218および着側アドレス変換処理部220を有する。
また、発側DNSパケットアドレス変換処理部214、着側DNSパケットアドレス変換処理部216、発側アドレス変換部218、着側アドレス変換部220がアドレス変換処理に用いるIPアドレス変換条件リスト215、217を有し、さらに、発側アドレス変換処理部218および着側アドレス変換処理部220のアドレス変換処理に際し、新規にプライベート側IPアドレスとグローバル側IPアドレスとの対応関係を生成するためのIPアドレス変換テーブル219、221を有する。
なお、パケット網はIP網の場合とする。出力機能は、Ethernet上のVLANにおけるVLAN−IDの書き換えでもよいし、ATMにおけるVPI値、VCI値の書き換えでもよいし、EthernetまたはATMの出力先の物理線を変更する機能でもよい。また、パケット中継装置210は、入力のVLANまたはVCに対して、予め決められたVLANまたはVCに出力する機能を有しているものとする。
次に、第一実施例のパケット中継装置の動作を説明する。上述したように、パケット中継装置210は、受信部211、メイン処理部212、送信部222の3つの機能からなり、メイン処理部212は、発側DNSパケットアドレス変換処理部214、着側DNSパケットアドレス変換処理部216、発側アドレス変換処理部218、着側アドレス変換処理部220の4つの機能からなる。
パケット中継装置210にIPパケットが到着すると、受信部211は外部から受信したIPパケットと、受信ネットワークを識別するVLAN−IDまたはVC、ならびに、受信ネットワークと対となる送信ネットワークのVLAN−IDまたはVCをメイン処理部212に渡す。
メイン処理部212では、DNSパケット判定処理部213によりDNSパケット判定処理を実施し、DNSパケットと判定された場合に、発側DNSパケットアドレス変換処理部214と着側DNSパケットアドレス変換処理部216とによりIPパケットのDNSペイロードにおけるIPアドレス変換を実行した後、発側アドレス変換処理部218と着側アドレス変換処理部220とによりIPパケットのヘッダにおけるIPアドレス変換を実行する。
DNSパケット判定処理部213では、受信したIPパケットのヘッダ情報と、予め決められたDNSパケット判定条件とを照らし合わせ、条件が一致した場合にDNSパケットと判定する。DNSパケットと判定されれば、受信ネットワークを識別するVLAN−IDまたはVCと、送信ネットワークを識別するVLAN−IDまたはVCと、受信したIPパケットの3つを発側DNSパケットアドレス変換処理部214に渡す。
DNSパケットでない場合は、受信ネットワークを識別するVLAN−IDまたはVCと、送信ネットワークを識別するVLAN−IDまたはVCと、受信したIPパケットを、発側アドレス変換処理部218に渡す。
DNSパケット判定条件は、特に指定がない場合には、プロトコルがUDP、かつ発信側または着信側ポート番号が53(RFC1035の4.2Transport参照)となっていた場合にDNSパケットと判定する。
IPアドレス変換条件リスト215は、端末201が所属するネットワークの実際に払い出されているIPアドレスのプライベート側とグローバル側との対照表であり、IPアドレス変換条件リスト217は、端末231が所属するネットワークの実際に払い出されているIPアドレスのプライベート側とグローバル側との対照表であり、図4に示す要素を持つアドレス変換表を指す。なお、IPアドレス変換条件リストのエントリ(1行)は、所定時間内に、一度もDNSパケット変換処理またはアドレス変換処理に利用されない場合には自動的に削除される。
IPアドレス変換テーブル219は、端末201が所属するネットワークにおいて事前に設定されたアドレス変換テーブルであり、IPアドレス変換テーブル221は、端末231が所属するネットワークにおいて事前に設定されたアドレス変換テーブルである。なお、当該テーブルの上位条件は、下位条件よりも優先される。IPアドレス変換テーブルの一例を図5に示す。
発側DNSパケットアドレス変換処理部214では、受信ネットワークを識別するVLAN−IDまたはVC用のIPアドレス変換条件リスト215を用いて、受信IPパケットのDNSペイロード中のIPアドレスと比較し、IPアドレス変換条件リスト215のプライベート側IPアドレスと一致するものがないかを探索し、一致するものがあればアドレス変換条件リスト215のグローバル側IPアドレスに受信IPパケットのDNSペイロード中を書き換え、受信IPパケット、受信ネットワークを識別するVLAN−IDまたはVC、送信ネットワークを識別するVLAN−IDまたはVCの3種類を着側DNSパケットアドレス変換処理部216に渡す。前記比較の結果、一致するものが無ければ何の処理も行わない。
なお、IPアドレス変換条件リスト215中に複数当てはまるプライベート側IPアドレスがあった場合に、上位条件を優先する。
着側DNSパケットアドレス変換処理部216では、送信ネットワークを識別するVLAN−IDまたはVC用のIPアドレス変換条件リスト217を用いて、受信IPパケットのDNSペイロード中のIPアドレスと比較し、IPアドレス変換条件リスト217のグローバル側IPアドレスと一致するものがないかを探索し、一致するものがあればIPアドレス変換条件リスト217のプライベート側IPアドレスに受信IPパケットのDNSペイロード中を書き換え、受信IPパケット、受信ネットワークを識別するVLAN−IDまたはVC、送信ネットワークを識別するVLAN−IDまたはVCの3種類をDNSパケット判定処理部213に返す。前記比較の結果、一致するものが無ければ何の処理も行わない。
DNSパケット判定処理部213では、着側DNSパケットアドレス変換処理部216から受信IPパケット、受信ネットワークを識別するVLAN−IDまたはVC、送信ネットワークを識別するVLAN−IDまたはVCの3種類を受け取ると、そのまま発側アドレス変換処理部218に渡す。
発側アドレス変換処理部218では、受信ネットワークを識別するVLAN−IDまたはVC用のIPアドレス変換条件リスト215を用いて、受信IPパケットのIPヘッダの発信元IPアドレスとポート番号とを、IPアドレス変換条件リスト215のプライベート側IPアドレス、プライベート側ポート番号と比較し、一致するものがあれば、アドレス変換条件リスト215のグローバル側IPアドレス、グローバル側ポート番号、ならびにアドレス変換種別にしたがって、受信IPパケットの発信元IPアドレスとポート番号とを書き換える。
また、IPアドレス変換条件リスト215に一致しなかった場合は、IPアドレス変換テーブル219を参照し、該当するものがあれば、そのアドレス変換種別(RFC3022)にしたがってグローバル側IPアドレスとグローバル側ポート番号とを払い出し、払い出した情報をIPアドレス変換条件リスト215に追加した上で、受信IPパケットの発信元IPアドレスとポート番号もグローバル側IPアドレスとグローバル側ポート番号に書き換える。
着側アドレス変換処理部220では、受信ネットワークを識別するVLAN−IDまたはVC用のIPアドレス変換条件リスト217を用いて、受信IPパケットのIPヘッダの送信先IPアドレスとポート番号とを、IPアドレス変換条件リスト217のグローバル側IPアドレス、グローバル側ポート番号と比較し、一致するものがあれば、IPアドレス変換条件リスト217のプライベート側IPアドレス、プライベート側ポート番号に受信IPパケットの送信先IPアドレスとポート番号とを書き換える。
また、IPアドレス変換条件リスト217に一致しなかった場合は、IPアドレス変換テーブル221を参照し、該当するものがあれば、そのアドレス変換種別(RFC3022)にしたがってグローバル側IPアドレスとグローバル側ポート番号とを払い出し、払い出した情報をIPアドレス変換条件リスト217に追加した上で、受信IPパケットの送信先IPアドレスとポート番号もグローバル側IPアドレスとグローバル側ポート番号に書き換える。
以下、図1のクライアント121がDNSサーバ160からサーバ151のIPアドレスを入手する手順ならびに、サーバ151へのアクセス手順を示す。クライアント121は、自身のプライベート側IPアドレスからDNSサーバ160のグローバル側IPアドレスに対して、サーバ151のホスト名によるIPアドレス取得要求のDNSパケットを送信する。
パケット中継装置では、DNSパケットと判定されるが、DNSパケットのペイロード中にIPアドレスがないため、DNSパケットアドレス変換処理は行われず、IPパケットのヘッダ情報のみ、発信元はクライアント121のグローバル側IPアドレスとグローバル側ポート番号に、送信先はDNSサーバ160のプライベート側IPアドレスとプライベート側ポート番号に変換され、DNSサーバ160に渡される。
DNSサーバ160では、サーバ151のホスト名から、サーバ151のプライベート側IPアドレスを含んだDNSの返答パケットをクライアント121のグローバル側IPアドレスならびにグローバル側ポート番号に向けて返答する。パケット中継装置にて、DNSパケットと判定され、さらに、DNSパケットアドレス変換処理が行われ、DNSパケットのペイロード中にあるサーバ151のプライベート側IPアドレスがグローバル側IPアドレスに書き換わり、さらに、IPパケットのヘッダ情報も、発信元がDNSサーバ160のグローバル側IPアドレスとグローバル側ポート番号に、送信先がクライアント121のプライベート側IPアドレスとプライベート側ポート番号に書き換わり、クライアント121に返される。
クライアント121では、返答されたDNSパケットのペイロード中にあるサーバ151のグローバル側IPアドレスを用いて、接続要求を行い、パケット中継装置にて、IPパケットのヘッダ情報の発信元IPアドレスとポート番号、送信先IPアドレスとポート番号が書き換わり、クライアント121とサーバ151の通信が成立する。
(第二実施例)
所定の通信において、図2の発側アドレス変換処理部218、着側アドレス変換処理部220は、受信IPパケットのIPヘッダのアドレス変換だけでなく、HTTP、FTP、SIP、RTP、RTCPなどの上位レイヤのペイロード中のIPアドレスの変換機能があってもよい。
所定の通信において、図2の発側アドレス変換処理部218、着側アドレス変換処理部220は、受信IPパケットのIPヘッダのアドレス変換だけでなく、HTTP、FTP、SIP、RTP、RTCPなどの上位レイヤのペイロード中のIPアドレスの変換機能があってもよい。
(第三実施例)
所定の通信において、図3のように、DNSパケットの判定処理ならびにアドレス変換処理が、IPパケットのアドレス変換処理と分離していてもよいし、DNSパケットの判定処理ならびにアドレス変換処理も、発側と着側とが分離していてもよい。なお、IPアドレス変換テーブル314と334とはそれぞれ同じデータを設定し、IPアドレス変換テーブル324と344とはそれぞれ同じデータを設定する必要がある。また、図3では各装置310、320、330、340がIPアドレス変換テーブル314、324、334、344を持つが、IPアドレス変換テーブル314と334とを同一のもの、IPアドレス変換テーブル324と344とを同一のものとし、装置外にあってもよい。
所定の通信において、図3のように、DNSパケットの判定処理ならびにアドレス変換処理が、IPパケットのアドレス変換処理と分離していてもよいし、DNSパケットの判定処理ならびにアドレス変換処理も、発側と着側とが分離していてもよい。なお、IPアドレス変換テーブル314と334とはそれぞれ同じデータを設定し、IPアドレス変換テーブル324と344とはそれぞれ同じデータを設定する必要がある。また、図3では各装置310、320、330、340がIPアドレス変換テーブル314、324、334、344を持つが、IPアドレス変換テーブル314と334とを同一のもの、IPアドレス変換テーブル324と344とを同一のものとし、装置外にあってもよい。
なお、DNSパケットのアドレス変換処理については、IPアドレス変換テーブル314、324、334、344における静的なアドレス変換種別であるstaticNAT、staticNAPTを参照することとする。
(第四実施例)
第四実施例は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本実施例のパケット中継装置に相応する機能を実現させるプログラムである。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、上記各実施例におけるパケット中継装置130、210、310、320、330、340にそれぞれ相応する機能を実現させることができる。
第四実施例は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本実施例のパケット中継装置に相応する機能を実現させるプログラムである。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、上記各実施例におけるパケット中継装置130、210、310、320、330、340にそれぞれ相応する機能を実現させることができる。
本発明によれば、アドレス変換情報がどこにあるかわからぬようにしながら、異なる複数のIPパケット網間で相互に送受信されるIPパケットのIPアドレス変換を行うことができるので、複数企業間におけるサーバ・クライアント通信の接続性を確保し、DNSサーバの管理コストを低減でき、さらにアドレス変換情報の流出を防ぐことができる。これにより、ネットワークユーザの利便性の向上に寄与することができる。
100 A社ネットワーク
101〜10N A社のサーバ
110 A社のDNSサーバ
121 A社のクライアント
130、210 パケット中継装置
150 B社ネットワーク
151〜15N B社のサーバ
160 B社のDNSサーバ
201、231、301、351 端末
211 受信部
212 メイン処理部
213、312、322 DNSパケット判定処理部
214 発側DNSパケットアドレス変換処理部
215、217、333、343 IPアドレス変換条件リスト
21、320 着側DNSパケットアドレス変換処理部
218 発側アドレス変換処理部
219、221、314、324、334、344 IPアドレス変換テーブル
220 着側アドレス変換処理部
222 送信部
310 発側DNSパケットアドレス変換装置
311、321、331、341 送受信部
313 DNSパケット発側アドレス変換処理部
323 DNSパケット着側アドレス変換処理部
330 発側アドレス変換装置
332 IPパケット発側アドレス変換処理部
340 着側アドレス変換装置
342 IPパケット着側アドレス変換処理部
101〜10N A社のサーバ
110 A社のDNSサーバ
121 A社のクライアント
130、210 パケット中継装置
150 B社ネットワーク
151〜15N B社のサーバ
160 B社のDNSサーバ
201、231、301、351 端末
211 受信部
212 メイン処理部
213、312、322 DNSパケット判定処理部
214 発側DNSパケットアドレス変換処理部
215、217、333、343 IPアドレス変換条件リスト
21、320 着側DNSパケットアドレス変換処理部
218 発側アドレス変換処理部
219、221、314、324、334、344 IPアドレス変換テーブル
220 着側アドレス変換処理部
222 送信部
310 発側DNSパケットアドレス変換装置
311、321、331、341 送受信部
313 DNSパケット発側アドレス変換処理部
323 DNSパケット着側アドレス変換処理部
330 発側アドレス変換装置
332 IPパケット発側アドレス変換処理部
340 着側アドレス変換装置
342 IPパケット着側アドレス変換処理部
Claims (6)
- VLANまたはATM上のVCにて形成されるIPパケット網を複数収容してそれらの複数のIPパケット網間を接続し、IPパケットまたはDNSペイロードを有するIPパケットであるDNSパケットのIPアドレスおよびポート番号の書き換えを行って、入力のVLANまたはVCに対して予め決められたVLANまたはVCへ出力するパケット中継装置であって、
VLANまたはATMからの受信処理を行う受信部と、
VLANまたはATMへの送信処理を行う送信部と、
受信ネットワークを識別するVLAN−IDまたはVC毎および送信ネットワークを識別するVLAN−IDまたはVC毎に設けられ、プライベート側IPアドレスおよびポート番号とグローバル側IPアドレスおよびポート番号との対応関係が記録されたIPアドレス変換条件リストと、
到着したIPパケットのヘッダ内に、前記IPアドレス変換条件リストにおいて、送信ネットワークにおけるプライベート網からグローバル網向きのパケットであって送信ネットワークのプライベート側IPアドレスおよびポート番号に一致する情報が見出された場合、または、受信ネットワークにおけるグローバル網からプライベート網向きのパケットであって受信ネットワークのグローバル側IPアドレスおよびポート番号に一致する情報が見出された場合には、これを送信ネットワークのグローバル側IPアドレスおよびポート番号、または、受信ネットワークのプライベート側IPアドレスおよびポート番号に書き換える手段と、
到着したIPパケットがDNSパケットであるか否かを判定するDNS判定手段と、
到着したパケットがDNSパケットであると前記DNS判定手段が判定し、そのDNSペイロード内に、前記IPアドレス変換条件リストにおいて、送信ネットワークにおけるプライベート網からグローバル網向きのパケットであって送信ネットワークのプライベート側IPアドレスに一致する情報が見出された場合、または、受信ネットワークにおけるグローバル網からプライベート網向きのパケットであって受信ネットワークのグローバル側IPアドレスに一致する情報が見出された場合には、これを送信ネットワークのグローバル側IPアドレス、または、受信ネットワークのプライベート側IPアドレスに書き換える手段と
を備え、
自分自身ではIPアドレスを持たずに前記複数のIPパケット網間で相互に送受信されるIPパケットのIPアドレス変換を行う
ことを特徴とするパケット中継装置。 - 前記IPアドレス変換条件リストに既に記録されているプライベート側IPアドレス以外のプライベート側IPアドレスを有するIPパケットまたはDNSパケットが到着したときには、新規に当該プライベート側IPアドレスに対応するグローバル側IPアドレスを払い出す手段を備え、
前記IPアドレス変換条件リストは、
前記払い出す手段により払い出された新規のプライベート側IPアドレスおよびグローバル側IPアドレスを追記する手段と、
所定時間内に一度も利用されない前記対応関係についてはこれを削除する手段と
を備えた請求項1記載のパケット中継装置。 - VLANまたはATM上のVCにて形成されるIPパケット網を複数収容してそれらの複数のIPパケット網間を接続し、IPパケットまたはDNSペイロードを有するIPパケットであるDNSパケットのIPアドレスおよびポート番号の書き換えを行って、入力のVLANまたはVCに対して予め決められたVLANまたはVCへ出力するパケット中継装置が実行するパケット中継方法であって、
前記パケット中継装置には、VLANまたはATMからの受信処理を行う受信部と、VLANまたはATMへの送信処理を行う送信部と、受信ネットワークを識別するVLAN−IDまたはVC毎および送信ネットワークを識別するVLAN−IDまたはVC毎に設けられ、プライベート側IPアドレスおよびポート番号とグローバル側IPアドレスおよびポート番号との対応関係が記録されたIPアドレス変換条件リストとを有し、
到着したIPパケットのヘッダ内に、前記IPアドレス変換条件リストにおいて、送信ネットワークにおけるプライベート網からグローバル網向きのパケットであって送信ネットワークのプライベート側IPアドレスおよびポート番号に一致する情報が見出された場合、または、受信ネットワークにおけるグローバル網からプライベート網向きのパケットであって受信ネットワークのグローバル側IPアドレスおよびポート番号に一致する情報が見出された場合には、これを送信ネットワークのグローバル側IPアドレスおよびポート番号、または、受信ネットワークのプライベート側IPアドレスおよびポート番号に書き換えるステップと、
到着したIPパケットがDNSパケットであるか否かを判定するDNS判定ステップと、
到着したパケットがDNSパケットであると前記DNS判定ステップにより判定し、そのDNSペイロード内に、前記IPアドレス変換条件リストにおいて、送信ネットワークにおけるプライベート網からグローバル網向きのパケットであって送信ネットワークのプライベート側IPアドレスに一致する情報が見出された場合、または、受信ネットワークにおけるグローバル網からプライベート網向きのパケットであって受信ネットワークのグローバル側IPアドレスに一致する情報が見出された場合には、これを送信ネットワークのグローバル側IPアドレス、または、受信ネットワークのプライベート側IPアドレスに書き換えるステップと
を実行し、
自分自身ではIPアドレスを持たずに前記複数のIPパケット網間で相互に送受信されるIPパケットのIPアドレス変換を行う
ことを特徴とするパケット中継方法。 - 前記IPアドレス変換条件リストに既に記録されているプライベート側IPアドレス以外のプライベート側IPアドレスを有するIPパケットまたはDNSパケットが到着したときには、新規に当該プライベート側IPアドレスに対応するグローバル側IPアドレスを払い出すステップと、
前記払い出すステップにより払い出された新規のプライベート側IPアドレスおよびグローバル側IPアドレスを前記IPアドレス変換条件リストに追記するステップと、
所定時間内に一度も利用されない前記対応関係についてはこれを前記IPアドレス変換条件リストから削除するステップと
を実行する請求項3記載のパケット中継方法。 - 汎用の情報処理装置にインストールすることにより、その情報処理装置に、請求項1または2記載のパケット中継装置に相応する機能を実現させるプログラム。
- 請求項5記載のプログラムが記録された前記情報処理装置が読取可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006069386A JP4342527B2 (ja) | 2006-03-14 | 2006-03-14 | パケット中継装置および方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006069386A JP4342527B2 (ja) | 2006-03-14 | 2006-03-14 | パケット中継装置および方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007251374A JP2007251374A (ja) | 2007-09-27 |
| JP4342527B2 true JP4342527B2 (ja) | 2009-10-14 |
Family
ID=38595238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006069386A Active JP4342527B2 (ja) | 2006-03-14 | 2006-03-14 | パケット中継装置および方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4342527B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107534690A (zh) | 2015-08-31 | 2018-01-02 | 慧与发展有限责任合伙企业 | 采集域名系统流量 |
-
2006
- 2006-03-14 JP JP2006069386A patent/JP4342527B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007251374A (ja) | 2007-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2253123B1 (en) | Method and apparatus for communication of data packets between local networks | |
| Ford et al. | Issues with IP address sharing | |
| US7684397B2 (en) | Symmetric network address translation system using STUN technique and method for implementing the same | |
| US9787503B2 (en) | Utilizing proxy internet protocol addressing in a gateway for communicating with multiple service provider networks | |
| US8656052B2 (en) | Systems and methods of mapped network address translation | |
| JP4236364B2 (ja) | 通信データ中継装置 | |
| US8650312B2 (en) | Connection establishing management methods for use in a network system and network systems using the same | |
| US8254286B2 (en) | Method and system for detection of NAT devices in a network | |
| US20080107112A1 (en) | Network device and packet forwarding method thereof | |
| US20100014521A1 (en) | Address conversion device and address conversion method | |
| US20130185410A1 (en) | Load balancing among network servers | |
| JP5926164B2 (ja) | セッションボーダーコントローラに対する高速振り分け方法及び接続システム | |
| JP4342527B2 (ja) | パケット中継装置および方法 | |
| JP2005260594A (ja) | ネットワークシステム及び通信装置 | |
| US7499448B2 (en) | Method for data exchange between network elements in networks with different address ranges | |
| JP4718638B2 (ja) | Tcp/ip基盤のアドレス変更方法及び装置 | |
| JP4870882B2 (ja) | Ipネットワーク間の通信方法 | |
| Lee et al. | An expanded NAT with server connection ability | |
| JP4279847B2 (ja) | 通信システム、通信方法、ならびに、プログラム | |
| US20230388397A1 (en) | Resolving Overlapping IP Addresses in Multiple Locations | |
| US20080137544A1 (en) | Method and terminal for setting up a packet-oriented communication link | |
| KR20100059739A (ko) | IPv4/IPv6 연동 게이트웨이 | |
| KR20020037223A (ko) | 공인 및 사설 아이피주소를 이용한 통신서비스방법 및시스템 | |
| US8572283B2 (en) | Selectively applying network address port translation to data traffic through a gateway in a communications network | |
| JP2011151604A (ja) | 信号処理装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081017 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081111 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090106 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090109 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20090602 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090602 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090602 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090707 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090707 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120717 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4342527 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130717 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |