JP4549180B2 - Vpnネットワーク中継装置 - Google Patents

Vpnネットワーク中継装置 Download PDF

Info

Publication number
JP4549180B2
JP4549180B2 JP2004376783A JP2004376783A JP4549180B2 JP 4549180 B2 JP4549180 B2 JP 4549180B2 JP 2004376783 A JP2004376783 A JP 2004376783A JP 2004376783 A JP2004376783 A JP 2004376783A JP 4549180 B2 JP4549180 B2 JP 4549180B2
Authority
JP
Japan
Prior art keywords
communication
vpn
base
information
base information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004376783A
Other languages
English (en)
Other versions
JP2006186561A (ja
Inventor
拓哉 星川
貴浩 白川
博司 大野
弘亮 坂井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004376783A priority Critical patent/JP4549180B2/ja
Publication of JP2006186561A publication Critical patent/JP2006186561A/ja
Application granted granted Critical
Publication of JP4549180B2 publication Critical patent/JP4549180B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信元拠点の配下のネットワークに接続された端末および通信先拠点の配下のネットワークに接続された端末の間でVPN通信を行う際にVPN通信パスを生成するために用いる拠点情報を管理する拠点情報管理装置を備えるVPNネットワークシステムの、通信元拠点および通信先拠点に設置されるVPNネットワーク中継装置に関するものである。
VPN通信を行うVPNネットワークシステムの従来技術(以下、従来例1という)としては、ユーザが使用する端末搭載のアクセス手段が最寄りの送受信機器(VPNネットワーク中継装置)を認識して認証に必要な個人識別情報を送信し、送受信機器はアクセス手段からの情報にアクセス手段の搭載位置情報を付加してVPN網内設置の網制御器に発信し、網制御器は予め登録されている個人識別情報と前記アクセス手段からの個人識別情報とを照合し、VPN網へのアクセス許容情報、許容通信相手情報を前記アクセス手段に返送し、前記アクセス手段は受信したアクセス許容情報、許容通信相手情報に基づき許可された通信相手とのVPN通信を開始するもの(例えば特許文献1参照)がある。この従来例1のVPNネットワークシステムでは、VPN通信を行う際に必要な情報の全てが網制御器を経由してやり取りされるように構成されており、前記網制御器は、VPN通信パスを生成するために用いる拠点情報を管理する拠点情報管理装置に相当する機能を有している。
また、VPN通信を行うVPNネットワークシステムの他の従来技術(以下、従来例2という)としては、例えば非特許文献1に記載されたものがある。
特開2001−251345号公報 "GeoStream Si-Rシリーズ「機能説明書、第二章 機能概要、2.13 IPsec機能」(登録日2004年11月7日)"、Si-Rシリーズ)ネットワー製品)章単位での参照)機能説明書より、富士通ネットワーク製品マニュアルページへのリンク先:< http://telecom.fujitsu.com/jp/products/manual/sir/ > (平成16年11月30日検索)
上記従来例1、従来例2のVPNネットワークシステムを含む従来のVPNネットワークシステムでは、スター型の通信形態が多く使用されているため、拠点間の通信量が増加するにつれてセンタに設置する装置(上記従来例1の場合、網制御器)の負荷が増大してしまい、センタに設置する装置として高価な機器が必要になってしまうという問題がある。また、現在のVPNネットワークシステムでは、VPNを行う際には事前に通信元拠点および通信先拠点の双方が互いに相手の拠点情報を取得済みであることが前提になっており、通信元拠点および通信先拠点間に事前に通信パスを設定(生成)しておく必要があるため、拠点毎に通信先拠点数に応じて多数の通信パスを事前設定してなければならないことから、全通信先拠点に対する通信パスの全てを実現し得る収容力を有する大規模かつ高価なVPNネットワーク中継装置を用いる必要がある。
本発明は、必要に応じてVPN通信パスを設定する動的なVPN通信パス生成方法を採用したVPNネットワークシステムを構築するのに適した、小規模かつ安価なVPNネットワーク中継装置を提供することを目的とする。
上記目的を達成するため、請求項1に記載の第1発明は、通信元拠点の配下のネットワークに接続された端末および通信先拠点の配下のネットワークに接続された端末の間でVPN通信を行う際にVPN通信パスを生成するために用いる拠点情報を管理する拠点情報管理装置を備えるVPNネットワークシステムの、通信元拠点および通信先拠点に設置されるVPNネットワーク中継装置であって、
通信元拠点の拠点情報を拠点情報管理装置に登録する通信元拠点情報登録手段と、前記VPNネットワークシステムに設けられた複数の拠点の中から通信先拠点の配下のネットワークに接続された端末を通信先として選択して、該通信先拠点を特定する通信先選択手段と、該通信先選択手段により選択された端末が含まれる当該特定した通信先拠点の登録済みの拠点情報を前記拠点情報管理装置から取得する通信先拠点情報取得手段とを備え、前記拠点情報管理装置から取得した通信先拠点の拠点情報に基づいてVPN通信パスを生成するようにしたことを特徴とする。
請求項2に記載の第2発明は、前記通信元拠点情報登録手段は、前記拠点情報管理装置に対し登録する前記通信元拠点の拠点情報に、通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを挿入することを特徴とする。
請求項3に記載の第3発明は、前記通信元拠点情報登録手段は、前記VPNネットワークシステムが複数の拠点情報管理装置を備えるとともに前記通信元拠点の配下のネットワークが複数の端末を備える場合、拠点情報を登録する拠点情報管理装置を端末毎に選択することを特徴とする。
請求項4に記載の第4発明は、前記通信先選択手段は、前記通信元拠点の配下のネットワークのトラフィックの監視中に、前記通信元拠点の配下のネットワークに接続された端末からのトラフィックが前記通信先拠点に関する情報を含んでいた場合に、前記通信先拠点情報取得手段を作動させて、前記通信先拠点の登録済みの拠点情報を前記拠点情報管理装置から取得することを特徴とする。
請求項5に記載の第5発明は、通信先拠点に対してVPN通信パス接続要求を発行する機能および受信したVPN通信パス接続要求と自拠点の通信元拠点情報とを交換する機能を有する通信情報交換手段を備えることを特徴とする。
請求項6に記載の第6発明は、前記通信情報交換手段は、通信先拠点に対して送信するメッセージ中に通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを挿入することを特徴とする。
請求項7に記載の第7発明は、当該VPNネットワーク中継装置の処理能力を超えたか否かによりVPN通信パスの生成の可否を決定する通信可否決定手段を備えることを特徴とする。
請求項8に記載の第8発明は、前記通信可否決定手段は、VPN通信パスの上限数を超えたか否かによりVPN通信パスの生成の可否を決定することを特徴とする。
請求項9に記載の第9発明は、前記通信可否決定手段は、取得した通信先拠点の拠点情報に基づいて認証を行い、認証が成功したか否かによりVPN通信パスの生成の可否を決定することを特徴とする。
請求項10に記載の第10発明は、前記通信可否決定手段による認証によってVPN通信パスの生成が許可された場合に、VPN通信パスを生成するVPN通信手段を備えることを特徴とする。
請求項11に記載の第11発明は、VPN通信パスの通信利用状況の監視中に、前記VPN通信パスが一定時間以上利用されなかった場合に当該通信先拠点に対して切断要求を送信する機能および通信先拠点からの切断要求を受信する機能を有する切断処理手段を備えることを特徴とする。
請求項12に記載の第12発明は、前記切断処理手段は、通信元拠点の配下のネットワークに接続された端末が当該VPN通信を終了したときにVPN通信パスを切断することを特徴とする。
請求項13に記載の第13発明は、前記拠点情報管理装置に登録済みの複数の通信先拠点の拠点情報の各々に優先順位を設定する優先順位設定手段を備えることを特徴とする。
請求項14に記載の第14発明は、前記切断処理手段は、生成中のVPN通信パス数が上限数を超えたとき、前記優先順位設定手段によって設定された優先順位の低い方から順にVPN通信パスを切断することを特徴とする。
請求項15に記載の第15発明は、前記通信元拠点情報登録手段は、通信先拠点との間でVPN通信を行うときに、前記通信元の拠点情報を前記拠点情報管理装置に登録することを特徴とする。
第1発明によれば、通信元拠点の配下のネットワークに接続された端末および通信先拠点の配下のネットワークに接続された端末の間でVPN通信を行う際にVPN通信パスを生成するために用いる拠点情報を管理する拠点情報管理装置を備えるVPNネットワークシステムの、通信元拠点および通信先拠点に設置されるVPNネットワーク中継装置は、通信元拠点の拠点情報を拠点情報管理装置に登録する通信元拠点情報登録手段と、通信先拠点を選択する通信先選択手段と、該通信先選択手段により選択された通信先拠点の登録済みの拠点情報を前記拠点情報管理装置から取得する通信先拠点情報取得手段とを備えており、前記拠点情報管理装置から取得した通信先拠点の拠点情報に基づいてVPN通信パスを生成するように構成されているから、このVPNネットワーク中継装置を通信元拠点および通信先拠点に設置して構築したVPNネットワークシステムでは、通信元拠点の配下のネットワークに接続された端末が通信先拠点の配下のネットワークに接続された端末に対してVPN通信を行う際に、通信先選択手段によって選択された通信先拠点の登録済みの拠点情報を通信先拠点情報取得手段によってVPNネットワークシステム上に設けられた拠点情報管理装置から取得して、その通信先拠点の登録済みの拠点情報に基づいてVPN通信パスを動的に生成することができる。その際、全通信先拠点に対する通信パスの全てを実現し得る収容力を有する大規模かつ高価なVPNネットワーク中継装置である必要はないので、必要に応じてVPN通信パスを設定する動的なVPN通信パス生成方法を採用したVPNネットワークシステムを構築するのに適した、小規模で安価なVPNネットワーク中継装置を提供することができる。
第2発明によれば、前記通信元拠点情報登録手段は、前記通信元拠点情報登録手段は、前記拠点情報管理装置に対し登録する前記通信元拠点の拠点情報に、通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを挿入するから、通信元拠点の配下のネットワークに接続された端末が通信先拠点の配下のネットワークに接続された端末に対してVPN通信を行う際に、前記拠点情報管理装置から取得した通信先拠点の登録済みの拠点情報に含まれている通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを用いて、VPN通信パスを動的に生成できるようになる。
第3発明によれば、前記通信元拠点情報登録手段は、前記VPNネットワークシステムが複数の拠点情報管理装置を備えるとともに前記通信元拠点の配下のネットワークが複数の端末を備える場合、拠点情報を登録する拠点情報管理装置を端末毎に選択するから、例えば端末毎に異なる拠点情報管理装置に拠点情報を登録することにより、端末毎に異なる通信先拠点を選択できるようになる。
第4発明によれば、前記通信先選択手段は、前記通信元拠点の配下のネットワークのトラフィックの監視中に、前記通信元拠点の配下のネットワークに接続された端末からのトラフィックが前記通信先拠点に関する情報を含んでいた場合に、前記通信先拠点情報取得手段を作動させて、前記通信先拠点の登録済みの拠点情報を前記拠点情報管理装置から取得するから、前記通信元拠点の配下のネットワークに接続された端末からのトラフィックが前記通信先拠点に関する情報を含んでいた場合にのみ、前記通信先拠点情報取得手段による前記拠点情報管理装置からの前記通信先拠点の登録済みの拠点情報の取得を行えばよいので、VPNネットワーク中継装置の処理能力を軽減することができる。
第5発明によれば、前記VPNネットワーク中継装置は、通信先拠点に対してVPN通信パス接続要求を発行する機能および受信したVPN通信パス接続要求と自拠点の通信元拠点情報とを交換する機能を有する通信情報交換手段を備えるから、通信元拠点の配下のネットワークに接続された端末が通信先拠点の配下のネットワークに接続された端末に対してVPN通信を行う際には、通信先拠点では受信したVPN通信パス接続要求と自拠点の通信元拠点情報とが交換されるので、通信元拠点は、通信先拠点の登録済みの拠点情報を取得して、VPN通信パスを動的に生成できるようになる。
第6発明によれば、前記通信情報交換手段は、通信先拠点に対して送信するメッセージ(例えば後述するINVITEメッセージ)中に通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを挿入するから、通信元拠点の配下のネットワークに接続された端末が通信先拠点の配下のネットワークに接続された端末に対してVPN通信を行う際に、通信先拠点に対して送信されるメッセージに含まれている通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを用いて、VPN通信パスを動的に生成できるようになる。
第7発明によれば、前記VPNネットワーク中継装置は、当該VPNネットワーク中継装置の処理能力を超えたか否かによりVPN通信パスの生成の可否を決定する通信可否決定手段を備えるから、当該VPNネットワーク中継装置の処理能力を超えるようなVPN通信パスの生成要求は拒否されることになるので、前記VPNネットワーク中継装置に要求される処理能力を一定レベルに維持することができる。
第8発明によれば、前記通信可否決定手段は、VPN通信パスの上限数を超えたか否かによりVPN通信パスの生成の可否を決定するから、VPN通信パスの上限数を超えるようなVPN通信パスの生成要求は拒否されることになるので、前記VPNネットワーク中継装置に要求される処理能力を一定レベルに維持することができる。
第9発明によれば、前記通信可否決定手段は、取得した通信先拠点の拠点情報に基づいて認証を行い、認証が成功したか否かによりVPN通信パスの生成の可否を決定するから、所定の認証条件が成立する認証OKの場合に限り、VPN通信パスが生成されることになるので、所望の通り、セキュリティを確保することができる。
第10発明によれば、前記VPNネットワーク中継装置は、前記通信可否決定手段による認証によってVPN通信パスの生成が許可された場合に、VPN通信パスを生成するVPN通信手段を備えるから、認証OKの場合に限り、前記VPN通信手段によってVPN通信パスが生成されることになるので、所望の通り、セキュリティを確保することができる。
第11発明によれば、前記VPNネットワーク中継装置は、VPN通信パスの通信利用状況の監視中に、前記VPN通信パスが一定時間以上利用されなかった場合に当該通信先拠点に対して切断要求を送信する機能および通信先拠点からの切断要求を受信する機能を有する切断処理手段を備えるから、一旦生成したVPN通信パスであっても当該VPN通信パスが一定時間以上利用されなかった場合には、当該通信先拠点に対して当該VPN通信パスの切断要求が送信されるので、その切断要求を受信した通信先拠点において当該VPN通信パスを動的に切断することによりVPN通信におけるトラフィックを削減できるようになる。
第12発明によれば、前記切断処理手段は、通信元拠点の配下のネットワークに接続された端末が当該VPN通信を終了したときにVPN通信パスを切断するから、不要になったVPN通信パスを切断することによりVPN通信におけるトラフィックを削減できるようになる。
第13発明によれば、前記VPNネットワーク中継装置は、前記拠点情報管理装置に登録済みの複数の通信先拠点の拠点情報の各々に優先順位を設定する優先順位設定手段を備えるから、VPN通信中に当該通信元拠点にとって重要度の高い通信先拠点を重視する優先制御を行い得るようになる。
第14発明によれば、前記切断処理手段は、生成中のVPN通信パス数が上限数を超えたとき、前記優先順位設定手段によって設定された優先順位の低い方から順にVPN通信パスを切断するから、VPN通信中に当該通信元拠点にとって重要度の高い通信先拠点を重視する優先制御を行い得るようになる。
第15発明によれば、前記通信元拠点情報登録手段は、通信先拠点との間でVPN通信を行うときに、前記通信元の拠点情報を前記拠点情報管理装置に登録するから、VPN通信パスを動的に生成できるようになる。
以下、本発明を実施するための最良の形態を図面に基づき詳細に説明する。
[第1実施形態]
図1は本発明の第1実施形態のVPNネットワーク中継装置の構成を示すブロック図であり、図2は第1実施形態のVPNネットワーク中継装置を通信元拠点および通信先拠点に用いて構成したVPNネットワークシステムの全体構成を例示する図である。なお、第1実施形態のVPNネットワークシステムは、通信元拠点のVPNネットワーク中継装置と拠点情報管理装置との間の通信ならびに拠点情報管理装置と通信先拠点のVPNネットワーク中継装置との間の通信にSIP(Session Initiation Protocol:RFC3261)プロトコルを使用するように構成されている。
まず、先に、本実施形態のVPNネットワークシステムの全体構成について説明する。本実施形態のVPNネットワークシステムには、図2に例示するように、複数の拠点である拠点A、拠点B、拠点C、拠点Dが設けられており、拠点A、拠点B、拠点C、拠点Dにはそれぞれ、本実施形態のVPNネットワーク中継装置10(10A、10B、10C、10D)と、前記各拠点の配下(プライベート側)のネットワーク11A、11B、11C、11Dと、ネットワーク11A、11B、11C、11Dのそれぞれに接続される少なくとも1つの端末12(図示例の場合、端末12A、12B、12C、12D)とが設けられており、これら端末12A、12B、12C、12Dには、自拠点のVPNネットワーク中継装置10のIPアドレスを事前に記憶させておくものとする。以下においては、拠点Aの配下のネットワーク11Aに接続された端末12Aおよび拠点Dの配下のネットワーク12Dに接続された端末12Dの間でVPN通信を行う場合を例に挙げて説明を展開するため、拠点Aを通信元拠点、通信元拠点Aと呼び、拠点Dを通信先拠点、通信先拠点Dと呼ぶことにする。なお、上記VPNネットワークシステムに本実施形態のVPNネットワーク中継装置10と従来のVPNネットワーク中継装置とを混在させることは可能であるが、以下に説明する本実施形態のVPN通信の全ての機能を実現するためには、少なくとも通信元拠点および通信先拠点に本実施形態のVPNネットワーク中継装置10が設置されている必要がある。
本実施形態のVPNネットワークシステムには、さらに、図2に例示するように、上記複数の拠点である拠点A、拠点B、拠点C、拠点Dをインターネット網13を介してネットワーク接続するために、インターネット網13に接続される経路制御装置14と、経路制御装置14に接続される少なくとも1つの拠点情報管理装置15(図示例の場合、3つの拠点情報管理装置15−1、15−2、15−3)とが設けられている。
上記経路制御装置14は、本実施形態のVPNネットワークシステムにおいてVPN通信を行う際に、各拠点の端末が拠点情報等の授受に使用する拠点情報管理装置15を切り換えるものである。
上記拠点情報管理装置15(15−1、15−2、15−3)は、本実施形態のVPNネットワークシステムにおいてVPN通信を行う際にVPN通信パスを生成するために用いる拠点情報を管理するものであり、図示例のように3つ設けた場合には、それぞれの拠点情報管理装置の負荷を分散させるためである。
なお、上記経路制御装置14および拠点情報管理装置15(15−1、15−2、15−3)は、例えば本実施形態のVPNネットワーク中継装置10A、10B、10C、10Dをそれぞれ設置する拠点A、拠点B、拠点C、拠点Dが所定の会社組織の支店に対応する場合、前記所定の会社組織の本店(または本店とは別に設けられている情報管理センタ)に設置するものとする。
次に、本実施形態のVPNネットワーク中継装置について説明する。本実施形態のVPNネットワーク中継装置10A、10B、10C、10Dは、図1に例示するように、通信元拠点情報登録手段21と、通信先選択手段22と、通信先拠点情報取得手段23と、通信情報交換手段24と、通信可否決定手段25と、VPN通信手段26と、切断処理手段27と、優先順位設定手段28と、ネットワークインターフェース29とを具備して成る。
上記通信元拠点情報登録手段21は、例えば通信元拠点のユーザによる所定の情報登録操作に応じて、自拠点である通信元拠点の拠点情報を拠点情報管理装置15に登録する拠点情報登録機能を有するものである。前記通信元拠点の拠点情報には、通信元拠点AのIPアドレスおよび通信元拠点Aの配下のネットワーク11Aにおけるネットワークアドレスが含まれる他、認証のために用いる鍵情報等の各種情報が含まれている
なお、上記通信元拠点情報登録手段21は、通信先拠点との間でVPN通信を行うときまでに自拠点である通信元拠点の拠点情報を拠点情報管理装置15に登録すればよいので、自拠点である通信元拠点の拠点情報がVPN通信開始時に未登録であっても、VPN通信を行うことが可能である。
上記通信先選択手段22は、例えば通信元拠点のユーザによる所定の通信先選択操作に応じて、VPNネットワークシステムに設けられた複数の拠点の中から所望の拠点の配下のネットワークに接続された端末(例えば通信先拠点Dの配下のネットワーク11Dに接続された端末12D)を通信先として選択する通信先選択機能を有するものである。
なお、上記通信先選択手段22はさらに、通信元拠点の配下のネットワークのトラフィックを監視するトラフィック監視機能と、トラフィックの監視中に通信元拠点の配下のネットワークに接続された端末からのトラフィックが通信先拠点に関する情報を含んでいた場合に、後述する通信先拠点情報取得手段23を作動させる通信先拠点情報取得手段作動機能とを有している。
上記通信先拠点情報取得手段23は、上記通信先選択手段22により選択された通信先拠点の登録済みの拠点情報を拠点情報管理装置15から取得する拠点情報取得機能を有するものである。なお、上記通信先拠点情報取得手段23は、通信先拠点の登録済みの拠点情報を予め取得しておく必要はなく、必要になった時点で通信先拠点の登録済みの拠点情報を取得する動作を行えばよい。
上記通信情報交換手段24は、通信先拠点に対してVPN通信パス接続要求を発行するVPN通信パス接続要求発行機能と、受信したVPN通信パス接続要求と自拠点の通信元拠点情報とを交換する交換機能とを有するものである。なお、上記通信情報交換手段24は、VPN通信パス接続要求発行時に通信先拠点に対して送信するメッセージ(例えば後述するINVITEメッセージ)中に、通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを挿入するものとする。
上記通信可否決定手段25は、当該VPNネットワーク中継装置10の処理能力を超えたか否かによりVPN通信パスの生成の可否を決定するVPN通信パス生成可否決定機能を有しており、このVPN通信パス生成可否決定機能は、原則的には、当該VPNネットワーク中継装置10におけるVPN通信パスの上限数を超えるまではVPN通信パスの生成を許可し、上限数を超えたらVPN通信パスの生成を拒否することにより実現するものとする。なお、VPNネットワーク中継装置10におけるVPN通信パスの上限数は、例えば数百〜数千とする。
上記通信可否決定手段25は、拠点情報管理装置15から取得した通信先拠点の登録済みの拠点情報には、認証のために用いる鍵情報等の各種情報が含まれているので、取得した通信先拠点の登録済みの拠点情報に基づいて認証を行い、認証がOKの場合にはVPN通信パスの生成を許可し、認証がNGの場合にはVPN通信パスの生成を拒否するものとする。その際の認証条件としては、「通信元拠点および通信先拠点の鍵情報が一致すること」の他、「INVITEメッセージに含まれるネットワーク情報が、接続済みまたは接続処理中の拠点と同一の情報を1つでも含んでいないこと」および「VPN接続用インターフェースが確保できる状況にあること」の全てが成立した場合に、認証OKとするようにすればよい。
上記VPN通信手段26は、上記通信可否決定手段25による認証によってVPN通信パスの生成が許可された場合に、VPN通信パスを生成するVPN通信パス生成機能を有するものである。
上記切断処理手段27は、VPN通信パスの通信利用状況を監視するVPN通信パス監視機能と、VPN通信パスの通信利用状況の監視中に前記VPN通信パスが一定時間以上利用されなかった場合に当該通信先拠点に対して切断要求を送信する切断要求送信機能と、通信先拠点からの切断要求を受信する機能と、通信元拠点の配下のネットワークに接続された端末が当該VPN通信を終了したときにVPN通信パスを切断するVPN通信パス切断機能とを有するものである。なお、上記切断処理手段27のVPN通信パス切断機能は、例えば、生成中のVPN通信パス数が上限数を超えたときに、後述する優先順位設定手段28によって設定された優先順位の低い方から順にVPN通信パスを切断することにより実現するものとする。
上記優先順位設定手段28は、例えば通信元拠点のユーザによる所定の優先順位設定操作に応じて、拠点情報管理装置15に登録済みの複数の通信先拠点の拠点情報の各々に優先順位を設定する優先順位設定機能を有するものである。なお、設定された優先順位情報は、例えば当該VPNネットワーク中継装置10内の図示しない記憶手段に記憶するものとする。
上記ネットワークインターフェース29は、VPNネットワーク中継装置10に設けられた通信元拠点情報登録手段21、通信先選択手段22、通信先拠点情報取得手段23、通信情報交換手段24、通信可否決定手段25、VPN通信手段26、切断処理手段27および優先順位設定手段28が、インターネット網13を介して、通信先拠点Dの配下のネットワーク11Dに接続された端末12Dや拠点情報管理装置15にアクセスする際の入出力制御を行うものである。
次に、本実施形態のVPNネットワーク中継装置を拠点A、拠点B、拠点C、拠点Dに設置して構成したVPNネットワークシステムにおける各種動作を図3〜図7に基づいて説明する。
[通信元拠点情報登録動作]
例えば通信元拠点Aの配下のネットワーク11Aに接続された端末12Aから通信先拠点Dの配下のネットワーク12Dに接続された端末12DにVPN通信を行うために、通信元拠点のユーザにより所定の通信先選択操作を行う際に、前記ユーザにより所定の情報登録操作が行われた場合には、図3に示すように、通信元拠点Aに設置されたVPNネットワーク中継装置10Aは、経路制御装置14によって決定(選択)された拠点情報管理装置15(図示例では拠点情報管理装置15−1)に対してREGISTERメッセージ(VPN通信方式、通信元拠点のネットワークアドレス、ドメイン名を含むSIP URI(Session Initiation Protocol Uniform Resource Identifier :RFC326)と、拠点情報管理装置15−1との通信に利用する通信元拠点のIPアドレスおよび通信元拠点のポート番号とを含んでいる)を送信し、拠点情報管理装置15−1より正常応答(RESPONSE CODE:200)を受信することにより、通信元拠点の拠点情報を登録する。
[通信先拠点情報取得動作]
例えば通信元拠点Aの配下のネットワーク11Aに接続された端末12Aから通信先拠点Dの配下のネットワーク12Dに接続された端末12DにVPN通信を行うために、通信元拠点のユーザにより所定の通信先選択操作が行われた場合には、図4に示すように、通信元拠点Aに設置されたVPNネットワーク中継装置10Aは、経路制御装置14によって決定(選択)された拠点情報管理装置15−1に対して端末12DとVPN通信するための情報を含む通信先拠点情報要求を送信する。このとき、拠点情報管理装置15−1により認証OKと判断された場合には、拠点情報管理装置15−1から通信先拠点Dの拠点情報が返送されるので、VPNネットワーク中継装置10Aはその通信先拠点Dの拠点情報を取得する。
[VPN通信パスの確立動作]
上記のようにして拠点情報管理装置15−1により認証OKと判断されて、VPNネットワーク中継装置10Aが通信先拠点Dの拠点情報を取得した後、図5に示すように、VPNネットワーク中継装置10Aは、通信先拠点Dに対して、拠点情報管理装置15−1を経由して、接続要求であるINVITEメッセージ(上記REGISTERメッセージにおけるSIP URIと同様の情報を含む通信先SIP URIと、自拠点のSIP URIと、VPN通信パスを接続するためのVPN接続アドレスと、自拠点のネットワークアドレスとを含んでいる)を送信する。このINVITEメッセージを受信した通信先拠点Dに設置されたVPNネットワーク中継装置10Dは、通信可否決定手段25によりVPN通信パスの生成が許可された場合に接続応答である正常応答(Response code:200)を返送する。なお、VPNネットワーク中継装置10Aが通信先拠点Dの拠点情報を事前に取得済みである場合には、VPNネットワーク中継装置10Aは、通信先拠点Dに対して、拠点情報管理装置15−1を経由せず直接、接続要求であるINVITEメッセージを送信するものとする。
上記正常応答を受信したVPNネットワーク中継装置10Aは、VPNネットワーク中継装置10Dに応答メッセージであるACKメッセージ(図示せず)を返送し、このACKメッセージを受信したVPNネットワーク中継装置10DのVPN通信手段26がVPN通信パスを生成するためのネゴシエーションを開始することにより、図6に示すようにVPN通信パスが確立し、以後、通信元拠点Aの配下のネットワーク11Aに接続された端末12Aおよび通信先拠点Dの配下のネットワーク12Dに接続された端末12Dの間でVPN通信を行うことになる。
[VPN通信パスの切断動作]
VPN通信パスが一定時間以上利用されなかったとき、または、通信元拠点Aの配下のネットワーク11Aに接続された端末12Aが当該VPN通信を終了したときには、図7に示すように、VPNネットワーク中継装置10Aの切断処理手段27は、拠点情報管理装置15−1を経由して、通信先拠点DのVPNネットワーク中継装置10Dに切断要求を送信し、この切断要求を受信したVPNネットワーク中継装置10Dの切断処理手段27は、当該VPN通信パスを切断する。
以上説明したように、本実施形態のVPNネットワーク中継装置10を通信元拠点および通信先拠点に設置して構築したVPNネットワークシステムによれば、通信元拠点Aの配下のネットワーク11Aに接続された端末12Aから通信先拠点Dの配下のネットワーク12Dに接続された端末12DにVPN通信を行う際に、通信先拠点Dの登録済みの拠点情報を拠点情報管理装置15−1から取得して、その通信先拠点の登録済みの拠点情報に基づいてVPN通信パスを動的に生成することができる。
したがって、本実施形態のVPNネットワーク中継装置は、全通信先拠点に対する通信パスの全てを実現し得る収容力を有する大規模かつ高価なVPNネットワーク中継装置である必要はなく、かつ、必要な時にのみVPN通信パスを生成し得る能力があればよいので、小規模で安価なVPNネットワーク中継装置となるとともに、必要に応じてVPN通信パスを設定する動的なVPN通信パス生成方法を採用したVPNネットワークシステムを構築するのに適したVPNネットワーク中継装置となるとともに、センタの負荷集中を防止し得るVPNネットワーク中継装置となる。
また、本実施形態のVPNネットワーク中継装置は、小規模なVPNネットワークシステムから大規模なVPNネットワークシステムまで同様に負荷分散型のVPNネットワークシステムを構築できるので、スケーラビリティに優れている。
さらに、本実施形態のVPNネットワーク中継装置は、ある拠点で定義変更が生じた場合に、他の各拠点では定義変更をせずに運用ができるため、運用性および保守性に優れている。
[第2実施形態]
図8は本発明の第2実施形態のVPNネットワーク中継装置を通信元拠点および通信先拠点に用いて構成したVPNネットワークシステムの全体構成を例示する図である。本実施形態のVPNネットワーク中継装置は、自拠点の配下のネットワークに接続された端末が複数である場合に対応するように、通信元拠点情報登録手段21の機能を拡張したものであり、その他の部分は上記第1実施形態と同様に構成する。
図8に示すように本実施形態のVPNネットワーク中継装置10を拠点A、拠点B、拠点C、拠点Dに設置して構成したVPNネットワークシステムにおいては、通信元拠点Aの配下のネットワーク11Aには、複数の端末である端末12A−1、12A−2が接続されている。本実施形態の通信元拠点情報登録手段21は、拠点情報を登録する拠点情報管理装置を端末毎に選択する拠点情報管理装置選択機能を有しているため、例えば図8に示すように端末12A−1の拠点情報を拠点情報管理装置15−1に登録し、端末12A−2の拠点情報を拠点情報管理装置15−3に登録した場合には、端末毎に異なる通信先拠点を選択できるようになる。
本発明の第1実施形態のVPNネットワーク中継装置の構成を示すブロック図である。 第1実施形態のVPNネットワーク中継装置を通信元拠点および通信先拠点に用いて構成したVPNネットワークシステムの全体構成を例示する図である。 第1実施形態のVPNネットワークシステムにおける通信元拠点情報登録動作を説明するための図である。 第1実施形態のVPNネットワークシステムにおける通信先拠点情報取得動作を説明するための図である。 第1実施形態のVPNネットワークシステムにおけるVPN通信パスの確立動作を説明するための図である。 第1実施形態のVPNネットワークシステムにおけるVPN通信パスの確立動作を説明するための図である。 第1実施形態のVPNネットワークシステムにおけるVPN通信パスの切断動作を説明するための図である。 本発明の第2実施形態のVPNネットワーク中継装置を通信元拠点および通信先拠点に用いて構成したVPNネットワークシステムの全体構成を例示する図である。
符号の説明
10、10A、10B、10C、10D VPNネットワーク中継装置
11A、11B、11C、11D ネットワーク
12、12A、12B、12C、12D 端末
13 インターネット網
14 経路制御装置
15、15−1、15−2、15−3 拠点情報管理装置
21 通信元拠点情報登録手段
22 通信先選択手段
23 通信先拠点情報取得手段
24 通信情報交換手段
25 通信可否決定手段
26 VPN通信手段
27 切断処理手段
28 優先順位設定手段
29 ネットワークインターフェース

Claims (15)

  1. 通信元拠点の配下のネットワークに接続された端末および通信先拠点の配下のネットワークに接続された端末の間でVPN通信を行う際にVPN通信パスを生成するために用いる拠点情報を管理する拠点情報管理装置を備えるVPNネットワークシステムの、通信元拠点および通信先拠点に設置されるVPNネットワーク中継装置であって、
    通信元拠点の拠点情報を拠点情報管理装置に登録する通信元拠点情報登録手段と、前記VPNネットワークシステムに設けられた複数の拠点の中から通信先拠点の配下のネットワークに接続された端末を通信先として選択して、該通信先拠点を特定する通信先選択手段と、該通信先選択手段により選択された端末が含まれる当該特定した通信先拠点の登録済みの拠点情報を前記拠点情報管理装置から取得する通信先拠点情報取得手段とを備え、前記拠点情報管理装置から取得した通信先拠点の拠点情報に基づいてVPN通信パスを生成するようにしたことを特徴とするVPNネットワーク中継装置。
  2. 前記通信元拠点情報登録手段は、前記拠点情報管理装置に対し登録する前記通信元拠点の拠点情報に、通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを挿入することを特徴とする請求項1記載のVPNネットワーク中継装置。
  3. 前記通信元拠点情報登録手段は、前記VPNネットワークシステムが複数の拠点情報管理装置を備えるとともに前記通信元拠点の配下のネットワークが複数の端末を備える場合、拠点情報を登録する拠点情報管理装置を端末毎に選択することを特徴とする請求項1または2記載のVPNネットワーク中継装置。
  4. 前記通信先選択手段は、前記通信元拠点の配下のネットワークのトラフィックの監視中に、前記通信元拠点の配下のネットワークに接続された端末からのトラフィックが前記通信先拠点に関する情報を含んでいた場合に、前記通信先拠点情報取得手段を作動させて、前記通信先拠点の登録済みの拠点情報を前記拠点情報管理装置から取得することを特徴とする請求項1〜3の何れか1項記載のVPNネットワーク中継装置。
  5. 通信先拠点に対してVPN通信パス接続要求を発行する機能および受信したVPN通信パス接続要求と自拠点の通信元拠点情報とを交換する機能を有する通信情報交換手段を備えることを特徴とする請求項1〜4の何れか1項記載のVPNネットワーク中継装置。
  6. 前記通信情報交換手段は、通信先拠点に対して送信するメッセージ中に通信元拠点のIPアドレスおよび通信元拠点配下のネットワークアドレスを挿入することを特徴とする請求項1〜5の何れか1項記載のVPNネットワーク中継装置。
  7. 当該VPNネットワーク中継装置の処理能力を超えたか否かによりVPN通信パスの生成の可否を決定する通信可否決定手段を備えることを特徴とする請求項1〜6の何れか1項記載のVPNネットワーク中継装置。
  8. 前記通信可否決定手段は、VPN通信パスの上限数を超えたか否かによりVPN通信パスの生成の可否を決定することを特徴とする請求項7記載のVPNネットワーク中継装置。
  9. 前記通信可否決定手段は、取得した通信先拠点の拠点情報に基づいて認証を行い、認証が成功したか否かによりVPN通信パスの生成の可否を決定することを特徴とする請求項7または8記載のVPNネットワーク中継装置。
  10. 前記通信可否決定手段による認証によってVPN通信パスの生成が許可された場合に、VPN通信パスを生成するVPN通信手段を備えることを特徴とする請求項9記載のVPNネットワーク中継装置。
  11. VPN通信パスの通信利用状況の監視中に、前記VPN通信パスが一定時間以上利用されなかった場合に当該通信先拠点に対して切断要求を送信する機能および通信先拠点からの切断要求を受信する機能を有する切断処理手段を備えることを特徴とする請求項10記載のVPNネットワーク中継装置。
  12. 前記切断処理手段は、通信元拠点の配下のネットワークに接続された端末が当該VPN通信を終了したときにVPN通信パスを切断することを特徴とする請求項11記載のVPNネットワーク中継装置。
  13. 前記拠点情報管理装置に登録済みの複数の通信先拠点の拠点情報の各々に優先順位を設定する優先順位設定手段を備えることを特徴とする請求項1〜11の何れか1項記載のVPNネットワーク中継装置。
  14. 前記切断処理手段は、生成中のVPN通信パス数が上限数を超えたとき、前記優先順位設定手段によって設定された優先順位の低い方から順にVPN通信パスを切断することを特徴とする請求項13記載のVPNネットワーク中継装置。
  15. 前記通信元拠点情報登録手段は、通信先拠点との間でVPN通信を行うときに、前記通信元の拠点情報を前記拠点情報管理装置に登録することを特徴とする請求項1〜14の何れか1項記載のVPNネットワーク中継装置。
JP2004376783A 2004-12-27 2004-12-27 Vpnネットワーク中継装置 Expired - Fee Related JP4549180B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004376783A JP4549180B2 (ja) 2004-12-27 2004-12-27 Vpnネットワーク中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004376783A JP4549180B2 (ja) 2004-12-27 2004-12-27 Vpnネットワーク中継装置

Publications (2)

Publication Number Publication Date
JP2006186561A JP2006186561A (ja) 2006-07-13
JP4549180B2 true JP4549180B2 (ja) 2010-09-22

Family

ID=36739353

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004376783A Expired - Fee Related JP4549180B2 (ja) 2004-12-27 2004-12-27 Vpnネットワーク中継装置

Country Status (1)

Country Link
JP (1) JP4549180B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4213176B2 (ja) 2006-11-16 2009-01-21 シャープ株式会社 センサデバイス、サーバノード、センサネットワークシステム、通信経路の構築方法、制御プログラム、および記録媒体
JP5151197B2 (ja) * 2007-03-20 2013-02-27 日本電気株式会社 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法
JP5131118B2 (ja) * 2008-09-24 2013-01-30 富士ゼロックス株式会社 通信システム、管理装置、中継装置、及びプログラム
JP5402181B2 (ja) * 2009-04-09 2014-01-29 村田機械株式会社 中継通信システム
JP2012039238A (ja) * 2010-08-04 2012-02-23 Hitachi Ltd 通信ネットワークシステム、パケット転送装置、宅内パケット転送装置、及び通信ネットワークシステム用セッション制御方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328066A (ja) * 2003-04-21 2004-11-18 Mitsubishi Electric Corp Vpn装置
JP2006166028A (ja) * 2004-12-07 2006-06-22 Ntt Data Corp Vpn接続構築システム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328066A (ja) * 2003-04-21 2004-11-18 Mitsubishi Electric Corp Vpn装置
JP2006166028A (ja) * 2004-12-07 2006-06-22 Ntt Data Corp Vpn接続構築システム

Also Published As

Publication number Publication date
JP2006186561A (ja) 2006-07-13

Similar Documents

Publication Publication Date Title
CN107306214B (zh) 终端连接虚拟专用网的方法、系统及相关设备
CN1790980B (zh) 安全验证通告协议
JP5628227B2 (ja) ネットワーク接続装置および方法
CN101335692B (zh) 协商pcc和pce之间安全能力的方法及其网络系统
CN101431529B (zh) 对等网络
CN102340650B (zh) 终端视频监控的方法及系统
CN104521210B (zh) 网络辅助的邻近服务会话管理
CN102055816A (zh) 一种通信方法、业务服务器、中间设备、终端及通信系统
EP2161962A1 (en) Ad-hoc connection in communications system
US7818437B2 (en) Connection management system, connection management method, and management server
JP2005027253A (ja) ピア・ツー・ピア通信システム
JP5051656B2 (ja) 通信制御システムおよび通信制御方法
JP4549180B2 (ja) Vpnネットワーク中継装置
JP3992067B1 (ja) ネットワークシステム
CN108259249A (zh) 网络接入方法、路由器、终端设备、服务器及网络系统
JP6453154B2 (ja) ネットワーク管理システム及びネットワーク管理方法
KR20180081965A (ko) 네트워크 서비스 장치 및 방법
JP6462783B2 (ja) Ip−pbxシステム、ip−pbx設定自動化方法およびip−pbx設定自動化プログラム
CN100576815C (zh) 基于移动网际协议的网络上的路由器发现方法
WO2005039125A1 (ja) ホームリンク設定方法、ホームゲートウェイ装置、および移動端末
JP2011077691A (ja) 無線通信中継装置、無線通信中継方法および無線通信中継プログラム
CN102223372A (zh) Rsvp认证方法及装置
CN102447616B (zh) 一种路由协议组密钥管理方法、系统及设备
JP4992944B2 (ja) 中継サーバ及び中継通信システム
CN105099928B (zh) 双栈路由器及其实现带宽共享的方法

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070613

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100317

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100317

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100706

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100706

R150 Certificate of patent or registration of utility model

Ref document number: 4549180

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130716

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees