JP4649465B2 - 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 - Google Patents

仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 Download PDF

Info

Publication number
JP4649465B2
JP4649465B2 JP2007311186A JP2007311186A JP4649465B2 JP 4649465 B2 JP4649465 B2 JP 4649465B2 JP 2007311186 A JP2007311186 A JP 2007311186A JP 2007311186 A JP2007311186 A JP 2007311186A JP 4649465 B2 JP4649465 B2 JP 4649465B2
Authority
JP
Japan
Prior art keywords
virtual network
router
client
specific service
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007311186A
Other languages
English (en)
Other versions
JP2009135805A (ja
Inventor
敏彦 栗田
武 大谷
稔彦 成冨
充浩 佐藤
寛 橋元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007311186A priority Critical patent/JP4649465B2/ja
Publication of JP2009135805A publication Critical patent/JP2009135805A/ja
Application granted granted Critical
Publication of JP4649465B2 publication Critical patent/JP4649465B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

この発明は、広域に拠点やセンタが分散した企業網において、クライアント・サーバ間をセキュアに接続する情報ネットワークに関する仮想網構築プログラム、仮想網構築装置、および仮想網構築方法に関する。ここで「セキュア」とは、第三者の盗聴が困難であったり、盗聴できたとしてもデータ解読が困難であることを言う。
下記特許文献1には、IP(Internet Protocol)サービスネットワークにアクセス認証情報管理装置を備え、ユーザ認証されるとIPサービスネットワークのprefixとVLAN(Virtual Local Area Network)の識別子とを対応付けし、複数のIPサービスネットワークに接続するシステムが開示されている。
下記特許文献2には、移動体網において、移動してきたユーザが到着した時に使えるように、網サービスおよび資源を事前準備し、ユーザが到着した時にハンドオーバして接続する技術が開示されている。
下記特許文献3には、SGSN(注:携帯網とIP網のゲートウェイ)が端末から受信したトンネリング識別子を判定し、動的制御であれば、端末間のパス設定を行い、予め設定された(サービス起動時のプロビジョニング)トンネリング区間を使用して接続する技術が開示されている。
特開2004−312482号公報 特表2000−502521号公報 特開2004−215117号公報
しかしながら、上記特許文献1の従来技術では、中継ゲートウェイまでのVLANをIP網(キャリア網に相当)に割付けるが、IP網箇所ではIP−VPNのようなセキュアパスに割当てているわけではなく、単純に生のデータを網に渡してルーティングさせるのみである。したがって、つまりセキュアな区間は中継ゲートウェイまでであり、エンド・ツー・エンドでセキュアではない。
また、クライアントの中での複数サービスに対するプロセスのセキュリティ分離、つまり各プロセスをサービス毎に独立な経路に括りつけることは行っておらず、異なるサービスの経路間でデータが混在してしまい、セキュアではない。したがって、上記特許文献1の従来技術では、セキュリティ上問題がある。さらに、IPv6網が必須条件(IPv6の固有機能を利用)であり、現在広く使われているIPv4では実現できず、汎用性が低いという問題がある。
また、上記特許文献2および特許文献3の従来技術では、クライアントの中での複数サービスに対するプロセスのセキュリティ分離、つまり各プロセスをサービス毎に独立な経路に括りつけることは行っておらず、異なるサービスの経路間でデータが混在してしまい、セキュアではない。また、経路管理やユーザ認証によるサービス選択が提供できず、サービス毎のエンド・ツー・エンドのセキュリティを確保することができないという問題がある。
また、企業ネットワークでは拠点と業務センタとの間をWANにより接続することで企業ネットワークが構築されている。この企業ネットワークにおけるIPsec−VPNによる拠点間接続は、WAN部分のみをIPsecで対地毎(拠点−拠点、拠点−業務センタ、業務センタ−業務センタ)に暗号化する。IP単位の制御であり、同一地点間のデータはすべて一括して扱われる。
このIPsec−VPNによる拠点間接続では、セキュアな区間がWAN部のみであり、セキュリティ上問題がある。また、拠点で情報漏洩の危険性が高いが、IPsec−VPNによる拠点間接続では、拠点部分において何も対処していないか、WAN部VPNと独立な静的なVLANでクライアントをグルーピングするのみである。すなわち、扱う粒度がIP単位のため、サービス毎に処理を分けることができない。クライアントでは、複数の業務サービス(業務センタ)に1つのインターフェース(プロセス)で同時アクセスできるため、クライアントにおいて不用意に業務サービス間でデータを中継してしまう危険性がある。
また、SSL(Secure Socket Layer)−VPNによるエンド間接続により、クライアント・サーバ間をSSLでTCP(Transmission Control Protocol)コネクション毎に暗号化する方法もある。TCPコネクション単位の制御であり、個々のTCPコネクションが別々に扱われる。
しかしながら、SSL−VPNによるエンド間接続では、TCPコネクション毎の制御であるためエンドシステムの処理が重くなり、大規模なシステムに適用することができないという問題がある。したがって、アプリケーション毎に対応モジュールを開発する必要があり、設備コストの増大を招くこととなる。
この発明は、上述した従来技術による問題点を解消するため、サービス毎のエンド・ツー・エンドのセキュリティ、クライアントでのサービス間のセキュリティ、および大規模システムに対するスケーラビリティ(拡張性)を実現することができる仮想網構築プログラム、仮想網構築装置、および仮想網構築方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、第1の仮想網構築プログラム、仮想網構築装置、および仮想網構築方法は、特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータと、前記拠点内において前記ルータと通信可能なクライアントとにおいて、前記クライアントからの認証要求に基づいて、前記クライアントを認証し、前記認証要求と認証されたクライアントからのサービス要求とを受け付け、前記サービス要求が受け付けられた場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出し、抽出されたIPアドレスにより特定される前記拠点内の特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報を設定し、設定された前記第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を生成し、生成された前記第2の仮想網の構築要求を、前記クライアントおよび前記特定のルータに送信することを要件とする。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、構築要求を受け付けたクライアントおよび特定のルータにより、拠点内部でサービスごとの仮想網(第2の仮想網)を構築することができる。
また、上記仮想網構築プログラム、仮想網構築装置、および仮想網構築方法において、認証されたクライアントに提供可能なサービスを起動するソフトを前記クライアントに送信し、前記クライアントにより前記提供可能なサービスの中から前記特定のサービスが起動された場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出することとしてもよい。
また、認証されたクライアントに提供可能なサービスの識別情報を前記クライアントに送信し、前記クライアントにより前記提供可能なサービスの中から前記特定のサービスが起動された場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出することとしてもよい。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、特定のサービスにアクセスしようとするクライアントのユーザの認証を行い、当該ユーザに対して認可されたサービスリストのみを配布し、当該サービスリストの中から選ばれた特定のサービスに基づくアクセス制御をクライアントが行うことで、特定のサービスに対するアクセスを、仮想ネットワークの入口で制限することができる。
また、上記仮想網構築プログラム、仮想網構築装置、および仮想網構築方法において、前記クライアントが実行する前記特定のサービスに関するプロセスと前記仮想プライベート網との連結指示を生成し、前記第2の仮想網の構築要求とともに、前記連結指示を前記クライアントおよび前記特定のルータに送信することとしてもよい。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、第1の仮想網、仮想プライベート網、および第2の仮想網が連結されたサーバとクライアント間のエンド・ツー・エンドの仮想ネットワークを構築することができる。
また、第2の仮想網構築プログラム、仮想網構築装置、および仮想網構築方法は、特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータに対して通信可能なクライアントにおいて、前記特定のサービスに関するプロセスの起動を検出し、前記拠点内のルータの中から選ばれた特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付け、受け付けられた構築要求に基づいて、起動が検出された前記特定のサービスに関するプロセスのインターフェースを作成し、インターフェースが作成された前記特定のサービスに関するプロセスと前記第2の仮想網に関する固有の識別情報とを関連付け、関連付け結果に基づいて、前記特定のサービスに関するプロセスと前記特定のルータとの通信をおこなうことを要件とする。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、構築要求を受け付けた特定のルータとともに、拠点内部でサービスごとの仮想網(第2の仮想網)を構築することができる。
また、第3の仮想網構築プログラム、仮想網構築装置、および仮想網構築方法は、特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと拠点内のクライアントとの通信の中継をおこなうルータにおいて、前記ルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付け、前記第2の仮想網の構築要求が受け付けられた場合、前記ルータと前記第2の仮想網とを連結するための第1のインターフェースを作成し、作成された第1のインターフェースの識別情報と前記仮想プライベート網と前記ルータとを連結する第2のインターフェースの識別情報とを関連付けることを要件とする。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、第1のインターフェースで受信されたパケットの宛先を第2のインターフェースに設定することができ、第2のインターフェースで受信されたパケットの宛先を第1のインターフェースに設定することができる。
また、上記仮想網構築プログラム、仮想網構築装置、および仮想網構築方法において、前記第1のインターフェースに受信されたパケットに、前記第2のインターフェースの識別情報を宛先として設定することにより、前記パケットを前記第2のインターフェースに引き渡す中継処理を実行することとしてもよい。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、第2の仮想網から仮想プライベート網にパケットを転送することができる。
また、上記仮想網構築プログラム、仮想網構築装置、および仮想網構築方法において、前記中継処理と非中継処理のうち前記中継処理を特定するフラグを、前記第1のインターフェースおよび前記中継処理と前記非中継処理との分岐ポイントに設定し、前記第1のインターフェースに受信されたパケットに前記フラグを付与し、前記分岐ポイントに設定されたフラグと前記パケットに付与されたフラグが一致するか否かを判定し、その判定結果に基づいて、前記中継処理を実行することとしてもよい。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、前記中継処理と前記非中継処理とを区別することができるため、第2の仮想網から仮想プライベート網へのパケット転送を動的に設定することができる。
また、上記仮想網構築プログラム、仮想網構築装置、および仮想網構築方法において、前記第2のインターフェースに受信されたパケットに、前記第1のインターフェースの識別情報を宛先として設定することにより、前記パケットを前記第1のインターフェースに引き渡す中継処理を実行することとしてもよい。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、仮想プライベート網から第2の仮想網にパケットを転送することができる。
また、上記仮想網構築プログラム、仮想網構築装置、および仮想網構築方法において、前記中継処理と非中継処理のうち前記中継処理を特定するフラグを、前記第2のインターフェースおよび前記中継処理と前記非中継処理との分岐ポイントに設定し、前記第2のインターフェースに受信されたパケットに前記フラグを付与し、前記分岐ポイントに設定されたフラグと前記パケットに付与されたフラグが一致するか否かを判定し、その判定結果に基づいて、前記中継処理を実行することとしてもよい。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、前記中継処理と前記非中継処理とを区別することができるため、仮想プライベート網から第2の仮想網へのパケット転送を動的に設定することができる。
この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法によれば、サービス毎のエンド・ツー・エンドのセキュリティ、クライアントでのサービス間のセキュリティ、および大規模システムに対するスケーラビリティ(拡張性)を実現することができるという効果を奏する。
以下に添付図面を参照して、この仮想網構築プログラム、仮想網構築装置、および仮想網構築方法の好適な実施の形態を詳細に説明する。なお、本実施の形態にかかる仮想網構築装置は、パス制御サーバ、クライアント、拠点ルータ、またはセンタルータにより実現することができる。
図1は、本実施の形態にかかる企業ネットワークを示す説明図である。図1において、企業ネットワーク100は、運用管理センタ101と業務センタ102と拠点103とがWAN104(Wide Area Network)とに接続されて相互に通信可能に構成されている。WAN104は、通信キャリアが提供する広域VPN(Virtual Private Network;仮想プライベート網)サービス(たとえば、IPsec(IP Security;セキュアな暗号化通信に欠かせないセキュリティプロトコル)−VPNなど)で構成されている。
運用管理センタ101は、当該企業のシステム部門が運用し、企業網全体(拠点103〜WAN104〜業務センタ102)の運用管理を実施する。そのため、運用管理センタ101として、WAN104上にパス制御サーバ111が配置されている。パス制御サーバ111には、パス制御ソフト112がインストールされており、クライアント131とユーザ認証やサービス認可を実行し、VLAN構築やVPNとの連結指示を発行する。
業務センタ102は、業務サービス(たとえば、受発注システム、従業員検索システムなどの業務システム)を提供する。そのため、業務センタ102には、WAN104と接続するセンタルータ121と業務サービスを提供するアプリサーバ122がスイッチハブ123を介して接続されている。アプリサーバ122には、提供する業務に関する業務アプリ124がインストールされている。業務センタ102は複数でもよい。この場合、スイッチハブ123にそれぞれ接続されることとなる。
拠点103は、ユーザ(たとえば、従業員)が業務サービスにアクセスするための、入出力操作を行うクライアント131を収容する。拠点103とは、たとえば、企業ネットワーク100において業務をおこなう箇所(店舗、本店、支店など)であり、ユーザが使用するクライアント131がスイッチハブ132を介して拠点ルータ133と接続されている。
また、クライアント131にはクライアント制御ソフト134がインストールされている。クライアントプロセス135は、アプリサーバ122からの業務サービスの提供を受ける。クライアント131は複数でもよい。この場合、スイッチハブ132にそれぞれ接続されることとなる。拠点ルータ133には、拠点制御ソフト136がインストールされている。
図1では、業務サービスに対するWAN部VPN140(たとえば、IPsec−VPN)および業務センタ部VLAN150(たとえば、Port−VLAN)を管理者が事前に設定しておき、かつこれらと業務アプリ124を連結し、他からのアクセスは受け付けないようにダイレクトに中継する。
ここで、WAN部VPN140+業務センタ部VLAN150+業務アプリ124で、1つの提供する業務サービスに相当する。通常、システム上では複数のサービスが提供されており、実際にはこれらを利用するための口が各拠点103に複数提供されていることになる。ただし初期状態では、クライアント131はパス制御サーバ111とのみ通信可能で、サービスの口へのアクセスはできないように拠点ルータ133の経路を設定する。すなわち、図2で説明する認証を経ないと業務サービスへのアクセスはできないこととなる。
図2は、企業ネットワーク100におけるエンド・ツー・エンド仮想ネットワークの構築処理を示す説明図である。図2において、拠点ルータ133とセンタルータ121との間には、WAN部VPN140としてIPsec−VPNが事前に静的に設定されているものとする。また、センタルータ121とアプリサーバ122との間には、業務センタ部VLAN150としてPort−VLANが事前に静的に設定されているものとする。Port−VLAN(ポートVLAN)とは、スイッチハブ123のポート単位で物理的な回線によりグループを構成する仮想網である。
(1)まず、サービスを利用しようとするクライアント131は、クライアント制御ソフト134により、認証要求をパス制御サーバ111に送信する。(2)パス制御サーバ111では、受信した認証要求により認証すると、ランチャーソフトをクライアント131に送信する。ランチャーソフトとは、当該ユーザが利用可能なサービスのみをメニューから起動することができる起動ソフトウェアである。
(3)クライアント131では、ランチャーソフトを起動して利用可能なサービスを選択すると、対応するパス構築要求がパス制御サーバ111に送信される。(4)パス制御サーバ111では、パス構築要求を受信すると、クライアント131に対して拠点ルータ133との連結指示を発行するとともに、(5)拠点ルータ133に対してクライアント131との連結指示を発行する。これにより、クライアント131と拠点ルータ133間の拠点内VLAN160として、Tag−VLANを動的に構築することができる。Tag−VLAN(タグVLAN)とは、通信させるデータにグループの識別ができるタグを付与して、所属するVLANをデータごとに識別させる仮想網である。
すなわち、(4)および(5)では、パス制御サーバ111が、サービスアクセスの口に該当する拠点ルータ133を決定し、クライアント131および拠点ルータ133に対して、拠点103内でのタグVLAN作成、クライアントプロセス135(以下、CLプロセスと表記)およびWAN部VPN140との連結を指示することで、エンド・ツー・エンド仮想ネットワーク170を構築する。これにより、CLプロセスから業務アプリ124に至る経路が作成され、CLプロセスはエンド・ツー・エンド仮想ネットワーク170を利用して業務アプリ124の提供する業務サービスを受けることができる。
なお、上記例では、ランチャーソフトをパス制御サーバ111で作成してクライアント131に送信することとしているが、ランチャーソフトをクライアント131にインストールしておき、提供可能なサービスに関する情報(たとえばサービスIDのリスト)のみをパス制御サーバ111からクライアント131に送信し、クライアント131では受信したサービスIDにより特定される業務サービスを起動できる構成としてもよい。
また、1つのクライアント131から複数の業務サービスを利用する場合、それぞれの業務サービスに対応するCLプロセスがクライアント131内に個別に生成され、業務サービス毎のエンド・ツー・エンド仮想ネットワーク170に括り付けられる。これにより、各業務サービスに対応するCLプロセス間および仮想ネットワーク間はアイソレート(セキュリティ分離)され、直接のデータのやりとりが禁止される。
図3は、複数の業務サービスを利用する場合のアイソレートされたエンド・ツー・エンド仮想ネットワーク170を示す説明図である。図3においては、業務アプリ124別に符号の末尾にアルファベットを付している。たとえば、業務センタ102Aは、業務アプリ124Aを実行するアプリサーバ122Aを有する業務センタ102である。同様に、ユーザ別に符号のハイフンのあとに数字を付与している。
たとえば、クライアント131−2は、ユーザ302が使用するクライアント131である。また、CLプロセス135−1Aは、ユーザ301が使用するクライアント131−1で立ち上がり、アプリサーバ122Aから業務サービスの提供を受けるCLプロセス135である。
すなわち、エンド・ツー・エンド仮想ネットワーク170Aは、業務サービスAを提供する仮想ネットワークであり、クライアント131−1のみが業務サービスAの提供を受けることができ、クライアント131−2は受けることができない。一方、エンド・ツー・エンド仮想ネットワーク170Bは、業務サービスBを提供する仮想ネットワークであり、クライアント131−1,131−2が業務サービスBの提供を受けることができる。図4は、図1に示した各構成に付与されているネットワークアドレスを示す説明図である。
図5は、パス制御サーバ111の機能的構成を示すブロック図である。図5において、パス制御サーバ111は、管理コマンド受付部501と、ユーザコマンド受付部502と、認証・認可部503と、パス設定処理部504と、制御コマンド/レスポンス発行部505と、から構成されている。これら各機能は、パス制御サーバ111の記憶部に記憶された当該機能に関するプログラム(パス制御ソフト112)をCPUに実行させることにより、または、入出力I/Fにより、当該機能を実現することができる。
また、各機能からの出力データは上記記憶部に保持される。また、図5中矢印で示した接続先の機能は、接続元の機能からの出力データを記憶部から読み込んで、当該機能に関するプログラムをCPUに実行させるものとする。
まず、管理コマンド受付部501は、管理者の操作入力により入力された管理コマンドを受け付ける機能を有する。たとえば、管理者からVPN設定要求が受け付けられると、制御コマンド/レスポンス発行部505に当該VPN設定要求を渡す。
ユーザコマンド受付部502は、クライアント131から送信されてくる各種ユーザコマンドを受け付ける機能を有する。たとえば、クライアント131からの認証要求やパス構築要求といったユーザコマンドを受け付け、認証・認可部503あるいはパス設定処理部504に当該要求を渡す。
認証・認可部503は、ユーザの認証機能とランチャーソフトのダウンロード許可機能とを有する。たとえば、認証要求が渡されると、ユーザ情報テーブル510を参照して、クライアント131(またはそのユーザ)を認証する。そして、認証されると、ランチャーソフトを設定(作成しても呼び出してもよい)して、制御コマンド/レスポンス発行部505に渡す。
パス設定処理部504は、適用するVLAN−IDを設定する機能を有する。たとえば、拠点ルータ情報テーブル520と拠点VLAN−ID情報テーブル530を参照して、要求されている業務サービスに対する拠点ルータ133を割り出し、適用するVLAN−IDを決定する。
制御コマンド/レスポンス発行部505は、制御コマンドやレスポンスを発行する機能を有する。たとえば、クライアント131やルータに対しては、VLAN構築依頼といった制御コマンドを発行して送信し、クライアント131に対しては、認証要求のレスポンスとしてランチャーソフトを送信する。
ユーザ情報テーブル510は、ユーザIDに対するパスワードとサービスリストを管理するテーブルである。拠点ルータ情報テーブル520は、当該クライアント131が収容される拠点103(ネットワークアドレスとアドレスマスクで識別)に対する拠点ルータ133のIP(拠点ルータIP)を管理するテーブルである。拠点VLAN−ID情報テーブル530は、当該拠点103において、VLAN−IDを一意に割当てるための情報(たとえば、割当済VLAN−ID)を管理するテーブルである。
図6は、図5に示したユーザ情報テーブル510の記憶内容を示す説明図である。図6において、ユーザ情報テーブル510には、エントリごとに、項番、ユーザID、パスワード、サービスリストが保持されている。項番は、エントリを特定する一意の番号である。ユーザIDはユーザ固有の識別情報である。パスワードは認証するための文字列である。サービスリストは、認可する業務サービスのサービスIDのリストである。サービスIDの組み合わせで示されており、各サービスIDは個々の業務サービスに対応する。
たとえば、サービスID=1000は業務サービスA(業務アプリ124A)に、サービスID=2000は業務サービスB(業務アプリ124B)に、サービスID=3000は業務サービスCに対応する。したがって、たとえば、項番1のユーザ(ユーザID:sato)は、そのサービスリストが“1000+2000”であるため、業務サービスAおよび業務サービスBを受けることができる。
図7は、図5に示した拠点ルータ情報テーブル520の記憶内容を示す説明図である。図7において、拠点ルータ情報テーブル520には、エントリごとに、項番、ネットワークアドレス、アドレスマスク、拠点ルータIPが保持されている。項番は、エントリを特定する一意の番号である。ネットワークアドレスは、当該拠点ルータ133が収容するネットワークアドレスである。アドレスマスクは、ネットワークアドレスに対するマスク値である。拠点ルータIPは、拠点103に配置された拠点ルータ133のIPアドレスである。
図8は、図5に示した拠点VLAN−ID情報テーブル530の記憶内容を示す説明図である。図8において、拠点VLAN−ID情報テーブル530には、エントリごとに、項番、拠点ルータIP、クライアントIP、VLAN−ID、サービスIDが保持されている。項番は、エントリを特定する一意の番号である。クライアントIPは、クライアント131のIPアドレスである。VLAN−IDは、拠点内VLAN160に割り当てるVLANタグ値である。
図9は、クライアント131、拠点ルータ133およびパス制御サーバ111間の動作シーケンス図である。括弧数字は、図2に示した括弧数字に対応する。この動作シーケンスに先立ち、システムの初期設定として、WAN部VPN140および業務センタ部VLAN150を設定しておき、業務アプリ124と対応付けておく。本初期設定は、管理者が拠点ルータ133およびセンタルータ121に対して、既存のルータに組込まれている設定機能(VPN設定、VLAN設定、ルーティング機能、フィルタ機能など)を使って実行する。
なお、センタルータ121におけるWAN部VPN140と業務センタ部VPN150の対応付けに関しては、ルータの既存機能ではなく、後述するルータ制御機能1601とスイッチング機能1602の追加によっても可能である。この場合、高速な処理が可能となる。
図9において、業務サービスを利用しようとするクライアント131は、パス制御サーバ111へ認証要求(ユーザIDとパスワードを含む)を送信する(ステップS901)。これを受けてパス制御サーバ111では、認証要求中のユーザIDとパスワードからユーザ認証/サービス認可処理を実行し(ステップS902)、当該ユーザに対して許可されているサービスリストをランチャーソフトとしてクライアント131へ返す(ステップS903)。
クライアント131では、このランチャーソフトを起動し(ステップS904)、選択可能なメニューの中から所望の業務サービスを選択すると、当該業務サービスに対するパス構築要求(クライアントIPおよびサービスIDを含む)をパス制御サーバ111に送信する(ステップS905)。
パス制御サーバ111では、パス構築要求に含まれているクライアントIPから該当する拠点ルータ133を決定し(ステップS906)、クライアント131および拠点ルータ133へ拠点103内タグVLAN作成、CLプロセス135およびWAN部VPN140との連結を指示することで(ステップS907,S908)、クライアント131および拠点ルータ133でVLAN設定括付け処理を実行する(ステップS909,S910)。これにより、エンド・ツー・エンド仮想ネットワーク170が構築される。この後、CLプロセスは、エンド・ツー・エンド仮想ネットワーク170を使って業務アプリ124が提供するサービスを受けることができる。
図10は、図9に示したユーザ認証/サービス認可処理(ステップS902)の詳細な処理手順を示すフローチャートである。図10において、まず、認証要求が受信されるのを待ち受け(ステップS1001:No)、認証要求が受信されると(ステップS1001:Yes)、認証要求に含まれているパスワードと一致するパスワードがユーザ情報テーブル510にあるか否かを判断する(ステップS1002)。
一致するパスワードがない場合(ステップS1002:No)、認証要求を送信してきたクライアント131に対してNG情報を送信する(ステップS1003)。一方、一致するパスワードがある場合(ステップS1002:Yes)、そのサービスリストで特定される業務サービスが選択可能なランチャーソフトを作成して、認証要求を送信してきたクライアント131に対して送信する(ステップS1004)。
図11は、図9に示したVLAN箇所決定処理(ステップS906)の詳細な処理手順を示すフローチャートである。図11において、まず、パス構築要求が受信されたか否かを判断し(ステップS1101)、所定時間内にパス構築要求が受信されなかった場合(ステップS1101:No)、NG情報を送信する(ステップS1108)。一方、所定時間内にパス構築要求が受信されると(ステップS1101:Yes)、該当するネットワークアドレスが拠点ルータ情報テーブル520にあるか否かを判断する(ステップS1102)。
該当するネットワークアドレスがある場合(ステップS1102:Yes)、そのネットワークアドレスに関連付けされた拠点ルータIPを拠点ルータ情報テーブル520から抽出する(ステップS1103)。一方、該当するネットワークアドレスがない場合(ステップS1102:No)、NG情報を送信する(ステップS1108)。
たとえば、パス制御サーバ111がクライアント131からパス構築要求(クライアントIP=192.168.1.1,サービスID=1000)を受け付けたとする。パス制御サーバ111は、該当する拠点ルータ133を検索するため、パス構築要求からクライアントIPである“192.168.1.1”を抽出する。
そして、拠点ルータ情報テーブル520から、抽出したクライアントIPと拠点ルータ情報テーブル520中の各エントリのアドレスマスクとのANDの値(ネットワークアドレス)を算出する。この例では、クライアントIP“192.168.1.1”とアドレスマスク“255.255.255.0”とのANDの値、すなわち、ネットワークアドレスが“192.168.1.0”となる。したがって、拠点ルータ情報テーブル520中、項番1のエントリが抽出される。本エントリより、拠点ルータIPとして“192.168.10.10”が抽出される。
つぎに、抽出拠点ルータIPに関連付けされたVLAN−ID以外のVLAN−IDを、新規に割り当てるVLAN−IDに決定する(ステップS1104)。具体的には、拠点VLAN−ID情報テーブル530の中から、拠点ルータIPの項目が抽出拠点ルータIPに一致するエントリをすべて抽出する。上記の例では、抽出拠点ルータIP“192.168.10.10”に一致する項番1と項番2のエントリが抽出される。これらのエントリのVLAN−IDは“100”と“101”であるから、新規に割り当てるVLAN−IDとしてこれら以外の値、例えば、“102”を決定する。
そして、パス構築要求に対応する新規のエントリとして、(拠点ルータIP=192.168.10.10,クライアントIP=192.168.1.1,VLAN−ID=102,サービスID=1000)を、拠点ルータ情報テーブル520に登録する(ステップS1105)。
図12は、新規エントリの登録後の拠点ルータ情報テーブル520の記憶内容を示す説明図である。このあと、パス制御サーバ111は、パス構築要求を送信してきたクライアント131と抽出拠点ルータIPで特定される拠点ルータ133に対するVLAN構築依頼を生成する(ステップS1106)。上記の例では、VLAN−ID=102,サービスID=1000を含むVLAN構築依頼を生成する。
そして、生成されたVLAN構築依頼をクライアント131および拠点ルータ133に送信する(ステップS1107)。上記の例では、パス構築要求を送信してきたクライアント131は、クライアントIP“192.168.1.1”で特定されるクライアント131であり、拠点ルータ133は、抽出拠点ルータIP“192.168.10.10”で特定される拠点ルータ133である。したがって、当該クライアント131および拠点ルータ133に対してVLAN構築依頼を送信する。
つぎに、クライアント131について説明する。図13は、クライアント131の機能を示す説明図であり、図14は、クライアント131の管理情報テーブルの説明図である。図13において、クライアント131は、クライアント制御機能1301(以下、CL制御機能1301)およびマッピング処理機能1302を有する。CL制御機能1301はパス制御サーバ111とのインターフェースおよびクライアント131内のプロセス管理を実行する機能であり、マッピング処理機能1302はCLプロセス135とVLANとの対応付けの管理を実行する機能である。
これら各機能は、クライアント131の記憶部に記憶された当該機能に関するプログラム(CL制御ソフト134)をCPUに実行させることにより、または、入出力I/Fにより、当該機能を実現することができる。
図13において、符号1200Aは業務サービスAに関する業務クライアントアプリ(以下、「業務CLアプリ」)であり、符号1200Bは業務サービスBに関する業務CLアプリである。各業務CLアプリ1200A,1200B内の黒丸はCLプロセス135(スレッド、イベント、フローでもよい)を示す。
図13に示したクライアント131の基本動作(1)〜(5)は以下のとおりである。
(1)ユーザ認証・サービス認可の中継。
(2)起動された業務CLアプリ(Webブラウザでもよい)の識別。この識別は、CLプロセス135/スレッド/イベント/フローなどを監視することで実現する。一般に、1つの業務に対する業務CLアプリは、複数のCLプロセス135やスレッドから構成されたり、複数のTCPコネクションから成る。本機能はこれらを1つの業務として識別する。
(3)パス制御サーバ111へのパス構築要求。これにより、パス制御サーバ111は、エンド・ツー・エンド仮想ネットワーク170を作成する。
(4)VLANインターフェースの作成。図13では、業務CLアプリ1300Aについては、VLANインターフェース1310Aを作成し、業務CLアプリ1300Bについては、VLANインターフェース1310Bを作成する。
(5)業務CLアプリとVLANとのマッピングの設定。上記(2)で識別した業務情報と対応ポリシに基づく対応付け(当該のサービスIDに対し、どのプロセスIDをどのVLAN−IDに対応付けるか)を決定し、図14に示した管理情報テーブル1400に書き込む。マッピング処理機能1302において、管理情報テーブル1400に基づくマッピング(括り付け)を実行する。実際に通信を行う場合には、対応付けされたサービスID、プロセスIDおよびVLAN−IDを参照することで、パケットの宛先を特定することができ、拠点内仮想VLANを利用した通信をおこなうことができる。
すなわち、クライアント131において、パス制御サーバ111とのユーザ認証・サービス認可の後、サービスリストから選択して起動した業務CLアプリを識別し、パス制御サーバ111の指示により、業務サービスに対応した仮想ネットワークの入口となるVLANインターフェースを作成し、識別業務と対応ポリシに基づいて業務CLアプリとVLAN間のクローズドな括り付けを行う。
本マッピング処理機能1302は、クライアント131側ソフトが業務CLアプリであるクライアント/サーバシステム、WebブラウザであるWebシステムの双方に適用可能である。このCL制御機能1301およびマッピング処理機能1302により、業務CLアプリ(またはWebブラウザ)ごとのセキュリティ分離が実現され、データの混在防止が可能になる。
図15はクライアント131のGUI画面例である。業務CLアプリを起動すると、認証入力画面1501が表示され、ユーザは、入力欄にユーザIDおよびパスワードを入力することができる。そして、ログインボタンをクリックすると、認証要求がパス制御サーバ111に送信される。
パス制御サーバ111により認証・許可されるとクライアント131にはランチャーソフトが送信される。ランチャーソフトを起動すると、業務メニュー画面1502が表示される。この業務メニュー画面1502では、業務Aおよび業務Bが選択可能で、業務Cは選択不可能となっている。業務を選択すると、エンド・ツー、エンド仮想ネットワーク170が構築される。そして、エンド・ツー・エンド仮想ネットワーク170によりアプリサーバ122からデータを受け取って、業務処理画面1503が表示されることとなる。
つぎに、拠点ルータ133について説明する。図16は、拠点ルータ133の機能を示す説明図であり、図17は、拠点ルータ133の管理情報テーブルの記憶内容を示す説明図である。図16において、拠点ルータ133は、ルータ制御機能1601およびスイッチング機能1602を有する。ルータ制御機能1601は、パス制御サーバ111とのインターフェースおよびVLAN・VPN管理を実行する機能であり、スイッチング機能1602はVPNとVLANとのダイレクトな対応付けの管理を実行する機能である。これら各機能は、クライアント131の記憶部に記憶された当該機能に関するプログラム(拠点ルータ制御ソフト136)をCPUに実行させることにより、または、入出力I/Fにより、当該機能を実現することができる。
拠点ルータ133においては、パス制御サーバ111からの指示により、業務CLアプリに対応した拠点内VLAN160を作成の上、そのVLANインターフェース1600とIPsecインターフェース1610に内部フラグおよび内部タグを付与・削除し、この内部フラグおよび内部タグと制御ポリシに基づいて、拠点103内VLANと事前設定したWAN部VPN140との間のクローズドな括り付けを行う。
ここで内部フラグとは、スイッチング機能1602による処理を実行するか通常のIP処理を実行するかを振り分けるビット情報(たとえば、“1”ならスイッチング機能1602による処理、“0”なら通常のIP処理)であり、図16中の分岐ポイントP1,P2で判定される。また内部タグは、VLANまたはIPsecを拠点ルータ133内で一意に識別するための識別子である。図16に示した拠点ルータ133の基本動作(1)〜(3)は以下のとおりである。
(1)パス制御サーバ111からのVLAN構築依頼の受付。
(2)VLANインターフェースの作成。これにより、内部フラグ、タグの付与をおこなう。VLANインターフェースを消去する場合は内部フラグやタグを消去する。これにより、VLANインターフェースが存在する間、仮想ネットワークを動的に設定することができる。なお、IPsecインターフェース1610は事前設定により作成済みである。
(3)VLANとIPsecとのマッピングの設定(管理情報テーブル1700に対するポリシ設定)。各VLANインターフェース1600で付与・削除された内部フラグ、タグに基づくマッピング制御を実行する。そして、対応付け(該当のサービスIDに対し、どのIPsec−IDをどのVLAN−IDに対応付けるか)を決定し、図17に示した管理情報テーブル1700のエントリに書き込む。(1VPNに複数VLANの対応付けも可能である。
ここで、拠点ルータ133の動作について図17に示した拠点ルータ133の管理情報テーブル1700を用いて、具体的に説明する。IPsec−VPNが事前に設定されており、パス制御サーバ111からVLAN構築依頼を受けた時、VLANを動的に構築してIPsec−VPNに括り付ける設定動作、および設定された経路を使ってパケットが中継処理される動作を説明する。
事前に、管理者が管理コンソールなどから拠点ルータ133およびセンタルータ121にIPsec設定コマンド(既存のルータ機能として標準的に具備されるもの)を発行し、拠点ルータ133とセンタルータ121の間にIPsecを設定する。ここで、サービスID=1000の業務サービスに対し、当該業務サービスを提供するアプリサーバ122を収容するセンタルータ121との間にIPsecを設定することとし、このIPsecに対する識別子としてIPSEC−ID(IPsecの決定する値)として“5”を得たものとする。
このIPSEC−ID(=5)を、スイッチング機能1602にポリシとして保持される拠点ルータ133の管理情報テーブル1700に、エントリとしてサービスIDとあわせて追加しておく。すなわち、図17の(A)に示したVLAN構築依頼受付前の管理情報テーブル1700において、サービスID=1000の業務サービスについてのIPSEC−IDは“5”と書き込まれる(図中、網掛け表示)。
この状態では拠点103内VLANとの括り付けはないため、項番1のエントリのVLAN−IDの項はφ(don‘t care)となっている。つまり、本IPsecは特別な制限なくどのパケットも扱うことができる。この時、このIPsecインターフェース1610に対し、追加情報1620としてフラグ値“0”(通常のIP処理;デフォルト値)とスイッチタグIDであるsw_tag値“5”を対応付けておく。
つぎに、パス制御サーバ111から(1)VLAN構築依頼(VLANタグ値=102,サービスID=1000)を受け付けたとする。拠点ルータ133のルータ制御機能1601で本VLAN構築依頼を解釈し、(2)VLAN作成と(3)IPsecとの括り付け設定を行う。具体的には、拠点ルータ133のVLAN設定コマンド(既存のルータ機能として標準的に具備されるもの)をクライアント131側のIFに発行し、VLAN−ID(VLANタグ値)が“102”であるVLANを作成する。
つぎに、図17(A)の管理情報テーブル1700から、サービスID=1000のエントリを検索すると、項番1のエントリがマッチする。本エントリのVLAN−IDがφなので、これをクライアント131側のIFに発行したVLAN−IDの値“102”に書き替えて、当該エントリを更新する。
図17(B)は、更新後の管理情報テーブル1700を示している。さらに、2つのインターフェース(VLANインターフェース1600とIPsecインターフェース1610)に関係付けられた追加情報1620のフラグ値をデフォルトの“0”から“1”(スイッチング機能1602による処理)にセットする。以上の操作により、VLANとIPsecの括り付けが設定される。
このように設定された経路に対し、クライアント131より当該VLANを経由して受信したパケットを中継処理する際の動作について説明する。パケット到着時、VLANのインターフェースであるVLANインターフェース1600でパケット受信を検知する。
ここでVLANインターフェース1600は上述した動作でフラグ値が“1”(上位のスイッチング機能1602による処理)に設定されているため、本パケット自体に対して、VLANインターフェース1600で保持されている追加情報1620をポインタの形で付与する。ここで、付与される値は、フラグ値=1,sw_tag=102(VLAN−ID)である。
図16に示した分岐ポイントP1では、パケットに付与されたフラグ値を判定し、“1”であることからIP処理へは渡さずにスイッチング機能1602に直接渡す(図16中、点線矢印L1で表記)。
スイッチング機能1602では、図17(B)の管理情報テーブルを検索し、そのVLAN−IDが当該パケットからポインタされるスイッチタグID(sw_tag=102)に一致する項番1のエントリがマッチする。このエントリのIPSEC−IDが“5”であることから、本パケットを該当するインターフェースであるIPsecインターフェース1610から送出することを決定する。そして、パケットは、IPsecインターフェース1610に向けて、フラグ値およびスイッチタグIDの追加情報1620をポインタとして付したまま渡される。
図16の分岐ポイントP2では、パケットに付与されたフラグ値を判定し、“1”であることからIP処理へは渡さずに宛先インターフェースであるIPsecインターフェース1610に直接渡す(図16中、点線矢印L2で表記)。本パケットを受けたIPsecインターフェース1610は、パケットをIPsecインターフェース1610からWAN部VPN140を経由してセンタルータ121に送出する。
このように、上述した拠点ルータ133では、制御レイヤの異なる仮想リンク間でのクローズドなマッピング処理が可能になる。このマッピング処理は、内部フラグによる振分けにより、通常パケット処理と共存が可能である。本機能は、ルータの既存機能(ルーティング機能およびフィルタ機能)で行った場合に比べて、高速な処理が可能であり、また設定も簡易化される。すなわち、本機能では仮想リンクの識別子を指定すればよいのに対し、既存機能では拠点103や業務センタ102のIPアドレスを逐一詳細に設定する必要がある。
なお、図16および図17では、拠点ルータ133について説明したが、センタルータ121の動作についても同様である。すなわち、センタルータ121は基本的に拠点ルータ133と左右対称な動作を実行するものであり、クライアント131からアプリサーバ122への方向に対し、入側がWAN104(IPSECを設定)、出側がLAN側(VLANを設定)となる。
センタルータ121では、原則として事前にWAN部VPN140と業務センタ部VLAN150を設定し、括り付けまで行っておく。したがって、拠点ルータ133について説明したIPSEC事前設定およびVLAN動的設定を、管理者がすべて管理コンソールなどから事前設定で行っておく。設定順序は、拠点ルータ133と同様である。なお、WAN部VPN140および業務センタ部VLAN150は必ずしも事前設定である必要はなく、クライアント131からのリクエストを受けたパス制御サーバ111から、動的に設定するように構成することも可能である。
また、パケットが到着した時の動作は、拠点ルータ133の場合と同様である。センタルータ121においては、拠点ルータ133で示したVLAN側からIPSEC側への中継処理が、業務センタ部VLAN150からWAN部VPN140への中継(アプリサーバ122からクライアント131への方向)に相当するが、逆方向であるWAN部VPN140から業務センタ部VLAN150への中継(クライアント131からアプリサーバ122への方向)についても動作は同様である。
このように、上述した実施の形態では、拠点103内で、各ユーザがサービス毎にアイソレート(セキュリティ分離)されたVLANをダイナミック(動的)に設定することで、セキュアな状態で業務サービス(WAN部VPN140+業務センタ部VLAN150+業務アプリ124)にエンド・ツー・エンドのアクセスすることが可能となる。
また、クライアント131で、CLプロセス135を対応する仮想ネットワークに括り付けることにより、複数の業務サービスに対して相互のデータの混在を防止してアクセスすることができる。また、WAN部VPN140およびセンタ部VLANをサービス単位で事前設定し、ネットワークでトラフィックを集約して扱うことができる。さらに、業務サービスへのアクセス権限のないユーザのリクエストを拠点ルータ133ではじき、WAN104やパス制御サーバ111のリソースを使わせないことも可能となる。
以上のことから、従来は、拠点103内は通常何もしないため、拠点103内のセキュリティが低かったが、上述した実施の形態では、業務サービス毎のエンド・ツー・エンドのセキュリティを提供することができる。また、従来は、クライアント131内ではデータは混在しており、サービス間のセキュリティが低かったが、本実施の形態により、クライアント131でのサービス間のセキュリティを提供することができる。
さらに、従来は、SSL−VPNではTCPコネクション毎でエンドの処理が重いため拡張性が低いが、上述した実施の形態では、トラフィック集約およびネットワークでのアクセス制限による大規模システムに対するスケーラビリティを提供することができる。
なお、本実施の形態で説明した仮想網構築方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。またこのプログラムは、インターネット等のネットワークを介して配布することが可能な媒体であってもよい。
また、本実施の形態で説明した仮想網構築装置(パス制御サーバ111、クライアント131、拠点ルータ133、またはセンタルータ121)は、スタンダードセルやストラクチャードASIC(Application Specific Integrated Circuit)などの特定用途向けIC(以下、単に「ASIC」と称す。)やFPGAなどのPLD(Programmable Logic Device)によっても実現することができる。具体的には、たとえば、上述した仮想網構築装置の機能をHDL記述によって機能定義し、そのHDL記述を論理合成してASICやPLDに与えることにより、仮想網構築装置を製造することができる。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータと、前記拠点内において前記ルータと通信可能なクライアントと、にアクセス可能なコンピュータを、
前記クライアントからの認証要求に基づいて、前記クライアントを認証する認証手段、
前記認証要求と前記認証手段によって認証されたクライアントからのサービス要求とを受け付ける受付手段、
前記受付手段によって前記サービス要求が受け付けられた場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出する抽出手段、
前記抽出手段によって抽出されたIPアドレスにより特定される前記拠点内の特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報を設定する設定手段、
前記設定手段によって設定された前記第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を生成する生成手段、
前記生成手段によって生成された前記第2の仮想網の構築要求を、前記クライアントおよび前記特定のルータに送信する送信手段、
として機能させることを特徴とする仮想網構築プログラム。
(付記2)前記送信手段は、
前記認証手段によって認証されたクライアントに提供可能なサービスを起動するソフトを前記クライアントに送信し、
前記抽出手段は、
前記クライアントにより前記提供可能なサービスの中から前記特定のサービスが起動された場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出することを特徴とする付記1に記載の仮想網構築プログラム。
(付記3)前記送信手段は、
前記認証手段によって認証されたクライアントに提供可能なサービスの識別情報を前記クライアントに送信し、
前記抽出手段は、
前記クライアントにより前記提供可能なサービスの中から前記特定のサービスが起動された場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出することを特徴とする付記1に記載の仮想網構築プログラム。
(付記4)前記生成手段は、
前記クライアントが実行する前記特定のサービスに関するプロセスと前記仮想プライベート網との連結指示を生成し、
前記送信手段は、
前記第2の仮想網の構築要求とともに、前記連結指示を前記クライアントおよび前記特定のルータに送信することを特徴とする付記1〜3のいずれか一つに記載の仮想網構築プログラム。
(付記5)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータに対して通信可能なクライアントを制御するコンピュータを、
前記特定のサービスに関するプロセスの起動を検出する検出手段、
前記拠点内のルータの中から選ばれた特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付手段、
前記受付手段によって受け付けられた構築要求に基づいて、前記検出手段によって起動が検出された前記特定のサービスに関するプロセスのインターフェースを作成する作成手段、
前記作成手段によってインターフェースが作成された前記特定のサービスに関するプロセスと前記第2の仮想網に関する固有の識別情報とを関連付ける関連付け手段、
前記関連付け手段による関連付け結果に基づいて、前記特定のサービスに関するプロセスと前記特定のルータとの通信をおこなう通信手段、
として機能させることを特徴とする仮想網構築プログラム。
(付記6)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと拠点内のクライアントとの通信の中継をおこなうルータを制御するコンピュータを、
前記ルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付手段、
前記受付手段によって前記第2の仮想網の構築要求が受け付けられた場合、前記ルータと前記第2の仮想網とを連結するための第1のインターフェースを作成する作成手段、
前記作成手段によって作成された第1のインターフェースの識別情報と前記仮想プライベート網と前記ルータとを連結する第2のインターフェースの識別情報とを関連付ける関連付け手段、
として機能させることを特徴とする仮想網構築プログラム。
(付記7)前記コンピュータを、
前記第1のインターフェースに受信されたパケットに、前記第2のインターフェースの識別情報を宛先として設定することにより、前記パケットを前記第2のインターフェースに引き渡す中継処理を実行する中継手段として機能させることを特徴とする付記6に記載の仮想網構築プログラム。
(付記8)前記コンピュータを、
前記中継処理と非中継処理のうち前記中継処理を特定するフラグを、前記第1のインターフェースおよび前記中継処理と前記非中継処理との分岐ポイントに設定する設定手段、
前記第1のインターフェースに受信されたパケットに前記フラグを付与する付与手段、
前記分岐ポイントに設定されたフラグと前記パケットに付与されたフラグが一致するか否かを判定する判定手段として機能させ、
前記中継手段は、
前記判定手段によって判定された判定結果に基づいて、前記中継処理を実行することを特徴とする付記7に記載の仮想網構築プログラム。
(付記9)前記コンピュータを、
前記第2のインターフェースに受信されたパケットに、前記第1のインターフェースの識別情報を宛先として設定することにより、前記パケットを前記第1のインターフェースに引き渡す中継手段として機能させることを特徴とする付記6に記載の仮想網構築プログラム。
(付記10)前記コンピュータを、
前記中継処理と非中継処理のうち前記中継処理を特定するフラグを、前記第2のインターフェースおよび前記中継処理と前記非中継処理との分岐ポイントに設定する設定手段、
前記第2のインターフェースに受信されたパケットに前記フラグを付与する付与手段、
前記分岐ポイントに設定されたフラグと前記パケットに付与されたフラグが一致するか否かを判定する判定手段として機能させ、
前記中継手段は、
前記判定手段によって判定された判定結果に基づいて、前記中継処理を実行することを特徴とする付記9に記載の仮想網構築プログラム。
(付記11)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータと、前記拠点内において前記ルータと通信可能なクライアントと、にアクセス可能な仮想網構築装置であって、
前記クライアントからの認証要求に基づいて、前記クライアントを認証する認証手段と、
前記認証要求と前記認証手段によって認証されたクライアントからのサービス要求とを受け付ける受付手段と、
前記受付手段によって前記サービス要求が受け付けられた場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出する抽出手段と、
前記抽出手段によって抽出されたIPアドレスにより特定される前記拠点内の特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報を設定する設定手段と、
前記設定手段によって設定された前記第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を生成する生成手段と、
前記生成手段によって生成された前記第2の仮想網の構築要求を、前記クライアントおよび前記特定のルータに送信する送信手段と、
を備えることを特徴とする仮想網構築装置。
(付記12)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータに対して通信可能な仮想網構築装置であって、
前記特定のサービスに関するプロセスの起動を検出する検出手段と、
前記拠点内のルータの中から選ばれた特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付手段と、
前記受付手段によって受け付けられた構築要求に基づいて、前記検出手段によって起動が検出された前記特定のサービスに関するプロセスのインターフェースを作成する作成手段と、
前記作成手段によってインターフェースが作成された前記特定のサービスに関するプロセスと前記第2の仮想網に関する固有の識別情報とを関連付ける関連付け手段と、
前記関連付け手段による関連付け結果に基づいて、前記特定のサービスに関するプロセスと前記特定のルータとの通信をおこなう通信手段と、
を備えることを特徴とする仮想網構築装置。
(付記13)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと拠点内のクライアントとの通信の中継をおこなう仮想網構築装置であって、
前記ルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付手段と、
前記受付手段によって前記第2の仮想網の構築要求が受け付けられた場合、前記ルータと前記第2の仮想網と連結するための第1のインターフェースを作成する作成手段と、
前記作成手段によって作成された第1のインターフェースの識別情報と前記仮想プライベート網と前記ルータとを連結する第2のインターフェースの識別情報とを関連付ける関連付け手段と、
を備えることを特徴とする仮想網構築装置。
(付記14)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータと、前記拠点内において前記ルータと通信可能なクライアントと、にアクセス可能な仮想網構築方法であって、
前記クライアントからの認証要求に基づいて、前記クライアントを認証する認証工程と、
前記認証要求と前記認証工程によって認証されたクライアントからのサービス要求とを受け付ける受付工程と、
前記受付工程によって前記サービス要求が受け付けられた場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出する抽出工程と、
前記抽出工程によって抽出されたIPアドレスにより特定される前記拠点内の特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報を設定する設定工程と、
前記設定工程によって設定された前記第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を生成する生成工程と、
前記生成工程によって生成された前記第2の仮想網の構築要求を、前記クライアントおよび前記特定のルータに送信する送信工程と、
を含んだことを特徴とする仮想網構築方法。
(付記15)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータに対して通信可能な仮想網構築方法であって、
前記特定のサービスに関するプロセスの起動を検出する検出工程と、
前記拠点内のルータの中から選ばれた特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付工程と、
前記受付工程によって受け付けられた構築要求に基づいて、前記検出工程によって起動が検出された前記特定のサービスに関するプロセスのインターフェースを作成する作成工程と、
前記作成工程によってインターフェースが作成された前記特定のサービスに関するプロセスと前記第2の仮想網に関する固有の識別情報とを関連付ける関連付け工程と、
前記関連付け工程による関連付け結果に基づいて、前記特定のサービスに関するプロセスと前記特定のルータとの通信をおこなう通信工程と、
を含んだことを特徴とする仮想網構築方法。
(付記16)特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと拠点内のクライアントとの通信の中継をおこなう仮想網構築方法であって、
前記ルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付工程と、
前記受付工程によって前記第2の仮想網の構築要求が受け付けられた場合、前記ルータと前記第2の仮想網と連結するための第1のインターフェースを作成する作成工程と、
前記作成工程によって作成された第1のインターフェースの識別情報と前記仮想プライベート網と前記ルータとを連結する第2のインターフェースの識別情報とを関連付ける関連付け工程と、
を含んだことを特徴とする仮想網構築方法。
本実施の形態にかかる企業ネットワークを示す説明図である。 企業ネットワークにおけるエンド・ツー・エンド仮想ネットワークの構築処理を示す説明図である。 複数の業務サービスを利用する場合のアイソレートされたエンド・ツー・エンド仮想ネットワークを示す説明図である。 図1に示した各構成に付与されているネットワークアドレスを示す説明図である。 パス制御サーバの機能的構成を示すブロック図である。 図5に示したユーザ情報テーブルの記憶内容を示す説明図である。 図5に示した拠点ルータ情報テーブルの記憶内容を示す説明図である。 図5に示した拠点VLAN−ID情報テーブルの記憶内容を示す説明図である。 クライアント、拠点ルータおよびパス制御サーバ間の動作シーケンス図である。 図9に示したユーザ認証/サービス認可処理(ステップS902)の詳細な処理手順を示すフローチャートである。 図9に示したVLAN箇所決定処理(ステップS906)の詳細な処理手順を示すフローチャートである。 新規エントリの登録後の拠点ルータ情報テーブルの記憶内容を示す説明図である クライアントの機能を示す説明図である。 クライアントの管理情報テーブルの説明図である。 クライアントのGUI画面例である。 拠点ルータの機能を示す説明図である。 拠点ルータの管理情報テーブルの記憶内容を示す説明図である。
符号の説明
100 企業ネットワーク
101 運用管理センタ
102 業務センタ
103 拠点
111 パス制御サーバ
121 センタルータ
122 アプリサーバ
131 クライアント
133 拠点ルータ
135 クライアントプロセス
140 WAN部VPN
150 業務センタ部VLAN
160 拠点内VLAN
170 エンド・ツー・エンド仮想ネットワーク
510 ユーザ情報テーブル
520 拠点ルータ情報テーブル
530 拠点VLAN−ID情報テーブル
1301 クライアント制御機能
1302 マッピング処理機能
1400 クライアントの管理情報テーブル
1601 ルータ制御機能
1602 スイッチング機能
1620 追加情報
1700 拠点ルータの管理情報テーブル

Claims (8)

  1. 特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータと、前記拠点内において前記ルータと通信可能なクライアントと、にアクセス可能なコンピュータを、
    前記クライアントからの認証要求に基づいて、前記クライアントを認証する認証手段、
    前記認証要求と前記認証手段によって認証されたクライアントからのサービス要求とを受け付ける受付手段、
    前記受付手段によって前記サービス要求が受け付けられた場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出する抽出手段、
    前記抽出手段によって抽出されたIPアドレスにより特定される前記拠点内の特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報を設定する設定手段、
    前記設定手段によって設定された前記第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を生成する生成手段、
    前記生成手段によって生成された前記第2の仮想網の構築要求を、前記クライアントおよび前記特定のルータに送信する送信手段、
    として機能させることを特徴とする仮想網構築プログラム。
  2. 特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータに対して通信可能なクライアントを制御するコンピュータを、
    前記特定のサービスに関するプロセスの起動を検出する検出手段、
    前記拠点内のルータの中から選ばれた特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付手段、
    前記受付手段によって受け付けられた構築要求に基づいて、前記検出手段によって起動が検出された前記特定のサービスに関するプロセスのインターフェースを作成する作成手段、
    前記作成手段によってインターフェースが作成された前記特定のサービスに関するプロセスと前記第2の仮想網に関する固有の識別情報とを関連付ける関連付け手段、
    前記関連付け手段による関連付け結果に基づいて、前記特定のサービスに関するプロセスと前記特定のルータとの通信をおこなう通信手段、
    として機能させることを特徴とする仮想網構築プログラム。
  3. 特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと拠点内のクライアントとの通信の中継をおこなうルータを制御するコンピュータを、
    前記ルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付手段、
    前記受付手段によって前記第2の仮想網の構築要求が受け付けられた場合、前記ルータと前記第2の仮想網とを連結するための第1のインターフェースを作成する作成手段、
    前記作成手段によって作成された第1のインターフェースの識別情報と前記仮想プライベート網と前記ルータとを連結する第2のインターフェースの識別情報とを関連付ける関連付け手段、
    として機能させることを特徴とする仮想網構築プログラム。
  4. 特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータと、前記拠点内において前記ルータと通信可能なクライアントと、にアクセス可能な仮想網構築装置であって、
    前記クライアントからの認証要求に基づいて、前記クライアントを認証する認証手段と、
    前記認証要求と前記認証手段によって認証されたクライアントからのサービス要求とを受け付ける受付手段と、
    前記受付手段によって前記サービス要求が受け付けられた場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出する抽出手段と、
    前記抽出手段によって抽出されたIPアドレスにより特定される前記拠点内の特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報を設定する設定手段と、
    前記設定手段によって設定された前記第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を生成する生成手段と、
    前記生成手段によって生成された前記第2の仮想網の構築要求を、前記クライアントおよび前記特定のルータに送信する送信手段と、
    を備えることを特徴とする仮想網構築装置。
  5. 特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータに対して通信可能な仮想網構築装置であって、
    前記特定のサービスに関するプロセスの起動を検出する検出手段と、
    前記拠点内のルータの中から選ばれた特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付手段と、
    前記受付手段によって受け付けられた構築要求に基づいて、前記検出手段によって起動が検出された前記特定のサービスに関するプロセスのインターフェースを作成する作成手段と、
    前記作成手段によってインターフェースが作成された前記特定のサービスに関するプロセスと前記第2の仮想網に関する固有の識別情報とを関連付ける関連付け手段と、
    前記関連付け手段による関連付け結果に基づいて、前記特定のサービスに関するプロセスと前記特定のルータとの通信をおこなう通信手段と、
    を備えることを特徴とする仮想網構築装置。
  6. 特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと拠点内のクライアントとの通信の中継をおこなう仮想網構築装置であって、
    前記ルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付手段と、
    前記受付手段によって前記第2の仮想網の構築要求が受け付けられた場合、前記ルータと前記第2の仮想網と連結するための第1のインターフェースを作成する作成手段と、
    前記作成手段によって作成された第1のインターフェースの識別情報と前記仮想プライベート網と前記ルータとを連結する第2のインターフェースの識別情報とを関連付ける関連付け手段と、
    を備えることを特徴とする仮想網構築装置。
  7. 特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータと、前記拠点内において前記ルータと通信可能なクライアントと、にアクセス可能な仮想網構築方法であって、
    前記クライアントからの認証要求に基づいて、前記クライアントを認証する認証工程と、
    前記認証要求と前記認証工程によって認証されたクライアントからのサービス要求とを受け付ける受付工程と、
    前記受付工程によって前記サービス要求が受け付けられた場合、前記拠点内のルータの中から前記クライアントに関するネットワークアドレスに関連付けされたルータに関するIPアドレスを抽出する抽出工程と、
    前記抽出工程によって抽出されたIPアドレスにより特定される前記拠点内の特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報を設定する設定工程と、
    前記設定工程によって設定された前記第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を生成する生成工程と、
    前記生成工程によって生成された前記第2の仮想網の構築要求を、前記クライアントおよび前記特定のルータに送信する送信工程と、
    を含んだことを特徴とする仮想網構築方法。
  8. 特定のサービスを提供するためにセンタ内に構築された第1の仮想網および当該第1の仮想網に連結された仮想プライベート網を介して前記センタ内の前記特定のサービスを提供するサーバと通信可能な拠点内のルータに対して通信可能な仮想網構築方法であって、
    前記特定のサービスに関するプロセスの起動を検出する検出工程と、
    前記拠点内のルータの中から選ばれた特定のルータと前記クライアントとの間に構築する第2の仮想網に関する固有の識別情報に前記特定のサービスの識別情報を関連付けた前記第2の仮想網の構築要求を受け付ける受付工程と、
    前記受付工程によって受け付けられた構築要求に基づいて、前記検出工程によって起動が検出された前記特定のサービスに関するプロセスのインターフェースを作成する作成工程と、
    前記作成工程によってインターフェースが作成された前記特定のサービスに関するプロセスと前記第2の仮想網に関する固有の識別情報とを関連付ける関連付け工程と、
    前記関連付け工程による関連付け結果に基づいて、前記特定のサービスに関するプロセスと前記特定のルータとの通信をおこなう通信工程と、
    を含んだことを特徴とする仮想網構築方法。
JP2007311186A 2007-11-30 2007-11-30 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 Expired - Fee Related JP4649465B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007311186A JP4649465B2 (ja) 2007-11-30 2007-11-30 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007311186A JP4649465B2 (ja) 2007-11-30 2007-11-30 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法

Publications (2)

Publication Number Publication Date
JP2009135805A JP2009135805A (ja) 2009-06-18
JP4649465B2 true JP4649465B2 (ja) 2011-03-09

Family

ID=40867246

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007311186A Expired - Fee Related JP4649465B2 (ja) 2007-11-30 2007-11-30 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法

Country Status (1)

Country Link
JP (1) JP4649465B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5494668B2 (ja) 2009-10-07 2014-05-21 日本電気株式会社 情報システム、制御サーバ、仮想ネットワーク管理方法およびプログラム
JP5273078B2 (ja) * 2010-03-29 2013-08-28 ブラザー工業株式会社 Vpnルータ、サーバおよび通信システム
US8588088B2 (en) * 2010-11-01 2013-11-19 Alcatel Lucent Content based VLAN classification and framework for ethernet network to support content based bridging
CN103283190A (zh) * 2010-12-24 2013-09-04 日本电气株式会社 通信系统、控制装置、策略管理装置、通信方法和程序
EP2666264B1 (en) * 2011-01-20 2017-04-19 Nec Corporation Communication system, control device, policy management device, communication method, and program
JP5904285B2 (ja) * 2012-11-22 2016-04-13 日本電気株式会社 通信システム、仮想ネットワーク管理装置、通信ノード、通信方法及びプログラム
JP2016100739A (ja) 2014-11-21 2016-05-30 株式会社日立製作所 ネットワークシステム、ネットワークシステムの管理方法及びゲートウェイ装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005086820A (ja) * 2003-09-06 2005-03-31 Fujitsu Ltd チャネライズイーサネットオーバーソネット(EoS)インターフェースを用いる仮想プライベートネットワーク(VPN)、エッジルータ及び方法
JP2005252762A (ja) * 2004-03-05 2005-09-15 Nippon Telegr & Teleph Corp <Ntt> Vpn接続制御方法及びシステム
JP2006262131A (ja) * 2005-03-17 2006-09-28 Japan Telecom Co Ltd 通信制御システム及び方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005086820A (ja) * 2003-09-06 2005-03-31 Fujitsu Ltd チャネライズイーサネットオーバーソネット(EoS)インターフェースを用いる仮想プライベートネットワーク(VPN)、エッジルータ及び方法
JP2005252762A (ja) * 2004-03-05 2005-09-15 Nippon Telegr & Teleph Corp <Ntt> Vpn接続制御方法及びシステム
JP2006262131A (ja) * 2005-03-17 2006-09-28 Japan Telecom Co Ltd 通信制御システム及び方法

Also Published As

Publication number Publication date
JP2009135805A (ja) 2009-06-18

Similar Documents

Publication Publication Date Title
JP6306640B2 (ja) 管理されたコンピュータネットワークのための論理ネットワーキング機能の提供
JP4649465B2 (ja) 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法
US7574738B2 (en) Virtual private network crossovers based on certificates
US20040093492A1 (en) Virtual private network management with certificates
JP6619894B2 (ja) アクセス制御
US20010042201A1 (en) Security communication method, security communication system, and apparatus thereof
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
JP4634349B2 (ja) IPSec処理装置、ネットワークシステム、及びIPSec処理プログラム
JP2013527532A (ja) 仮想ネットワークのメンバの相互接続
WO2010068698A2 (en) System and method for providing virtual private networks
JP2002335265A (ja) 統合サービス管理システム
US11689581B2 (en) Segregating VPN traffic based on the originating application
CN106209838A (zh) Ssl vpn的ip接入方法及装置
CN112866077B (zh) 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质
US20020126667A1 (en) Packet relaying apparatus and relaying method
JP2005277498A (ja) 通信システム
JP4253569B2 (ja) 接続制御システム、接続制御装置、及び接続管理装置
JP2000324104A (ja) バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
JP5601067B2 (ja) 中継装置
US20060143701A1 (en) Techniques for authenticating network protocol control messages while changing authentication secrets
CN112787940A (zh) 一种多级vpn加密传输方法、系统、设备及存储介质
JP2002335274A (ja) パケット中継装置およびパケット中継方法
JP2010093716A (ja) 複数組織共有システム
JP2014200017A (ja) 中継装置、情報処理方法、及びプログラム
CN115037717A (zh) 通信方法、中继节点、分支节点及通信系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101130

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101213

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4649465

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees