JP4773987B2 - 端末所属切換システム - Google Patents

端末所属切換システム Download PDF

Info

Publication number
JP4773987B2
JP4773987B2 JP2007023124A JP2007023124A JP4773987B2 JP 4773987 B2 JP4773987 B2 JP 4773987B2 JP 2007023124 A JP2007023124 A JP 2007023124A JP 2007023124 A JP2007023124 A JP 2007023124A JP 4773987 B2 JP4773987 B2 JP 4773987B2
Authority
JP
Japan
Prior art keywords
terminal
dhcp
information
network
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007023124A
Other languages
English (en)
Other versions
JP2008193231A (ja
JP2008193231A5 (ja
Inventor
元英 能見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2007023124A priority Critical patent/JP4773987B2/ja
Priority to US11/833,749 priority patent/US8194537B2/en
Publication of JP2008193231A publication Critical patent/JP2008193231A/ja
Publication of JP2008193231A5 publication Critical patent/JP2008193231A5/ja
Application granted granted Critical
Publication of JP4773987B2 publication Critical patent/JP4773987B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5076Update or notification mechanisms, e.g. DynDNS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5084Providing for device mobility

Description

本発明は、少なくとも第1及び第2のネットワークの間で端末の所属を切り換えるための技術に関するものである。
認証・検疫ネットワークシステムでは、検疫ネットワークと業務ネットワークとの間で通信が行えないように、また、認証ネットワークシステムでは、認証前ネットワークと認証後ネットワークとの間で通信が行えないように、ネットワークの独立性をそれぞれ保つ必要がある。そのような独立性を保つために、例えば、パケット中継装置は、各々のネットワークに、別々のVLAN(Virtual Local Area Network)を割り当てる。このような異なるVLANを割り当てることにより、論理的に通信が分離される。
図10は認証・検疫ネットワークシステムに適用した従来の端末所属切換システムを模式的に示すブロック図である。認証・検疫ネットワークシステムでは、図10に示すように、パケット中継装置RS10によって、まず、セキュリティポリシに合致しない端末PC10を、検疫ネットワークNW1に対応するVLAN100に所属させ、検疫ネットワークNW1に接続される認証サーバSV1や検疫サーバSV2によって、その端末PC10に対し認証・検疫を行わせる。その後、その端末PC10がセキュリティポリシに合致するようになったら、パケット中継装置RS10によって、その端末PC10を、業務ネットワークNW2に対応するVLAN200に所属させるようにする。
一方、パケット中継装置RS10は、端末PC10が通信できるようにするために、内部にあるDHCPサーバ部1121によって、その端末PC10にIPアドレスを割り当てる。従来においては、異なるVLAN間でもレイヤ3にて中継することがあるため、パケット中継装置RS10内のDHCPサーバ部1121は、VLAN毎に所属している端末に対して、異なるIPアドレスを割り当てる必要があった。具体的には、レイヤ3にてルーティングを行う場合、VLANごとに違うサブネットのIPアドレスが割り当てられていなければ、パケット中継装置は、どのVLANにパケットを中継してよいのかわからず、通信を行うことができないからである。そのため、検疫ネットワークNW1のVLAN100から業務ネットワークNW2のVLAN200に端末PC10の所属を変更する場合に、DHCPサーバ部1121は、端末PC10に対して、DHCPサーバ部1121は、端末PC10に対して、検疫ネットワークNW1のVLAN100に所属していた場合と、所属変更後に、業務ネットワークNW2のVLAN200に所属した場合と、で別のIPアドレスを割り当てることになる。
なお、図10において、パケット中継装置RS10は、DHCPサーバ部1121の他、VLAN100を管理するVLAN100処理部1401と、VLAN200を管理するVLAN200処理部1501と、VLAN100とVLAN200との間で端末所属の切り換えを行う認証デーモン1301と、ルーティングを管理するルーティング部1111を備えている。また、DHCPサーバ部1121は、DHCPテーブル1122を備えており、ルーティング部1111は、ルーティングテーブル1112を備えている。また、業務ネットワークNW2には、業務用サーバSV3が接続されている。
図11は認証ネットワークシステムに適用した従来の端末所属切換システムを模式的に示すブロック図である。認証ネットワークシステムでは、図11に示すように、パケット中継装置RS20によって、まず、認証前の端末PC10を、認証前ネットワークNW3に対応するVLAN100に所属させ、パケット中継装置RS20に接続される認証サーバSV1によって、その端末PC10に対し認証を行わせる。その後、認証が完了したら、パケット中継装置RS10によって、その端末PC10を、認証後ネットワークである業務ネットワークNW2に対応するVLAN200に所属させるようにする。
一方、パケット中継装置RS20は、端末PC10が通信できるようにするために、内部にあるDHCPサーバ部1121によって、その端末PC10にIPアドレスを割り当てる。従来においては、認証・検疫システムと同様に、認証前ネットワークNW3のVLAN100から認証後ネットワークである業務ネットワークNW2のVLAN100に端末PC10の所属を変更する場合に、DHCPサーバ部1121は、端末PC10に対して、認証前ネットワークNW3のVLAN100に所属していた場合と、所属変更後に、認証後ネットワークである業務ネットワークNW2のVLAN200に所属した場合と、で別のIPアドレスを割り当てることになる。
なお、図11においても、図10と同様の構成要素には、同じ符号が付されている。従って、それについての説明は省略する。なお、認証前ネットワークNW3は、パケット中継装置RS10内のVLAN100処理部1401だけが所属するネットワークとして構成されている。
以上のような認証システムとしては、例えば、下記の特許文献1に記載のものが知られている。
特開2006−33206号公報
上記したとおり、従来において、DHCPサーバ部1121は、端末PC10に対し、その端末PC10の所属するVLANが変更されるたびに、別のIPアドレスを割り当てる必要があった。DHCPサーバ部1121から端末PC10へのIPアドレスの割り当ては、端末PC10からDHCPサーバ部1121に対し、IPアドレスの割り当て要求を行うことにより、実行される。しかし、端末PC10は、所属するVLANが変更されても、一定のリース時間が経たないと、DHCPサーバ部1121に対してIPアドレスの割り当て要求をしない。そのため、端末PC10は、業務ネットワーク(認証後ネットワーク)NW2のVLAN100に所属が変更されても、上記したリース時間が経過するまでの間は、変更される前のIPアドレスのままであるので、しばらく通信を行うことができない。
従って、本発明の目的は、上記した従来技術の問題点を解決し、端末の所属するVLANが変更されても、端末が通信を継続することができる技術することにある。
上記した目的の少なくとも一部を達成するために、本発明の第1のシステムは、少なくとも第1及び第2のネットワークの間で端末の所属を切り換えるための端末所属切換システムであって、前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える端末所属切換部と、前記端末が前記第1のネットワークに所属する場合に、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第1のDHCPサーバ部と、前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第2のDHCPサーバ部と、を備え、前記第1及び第2のDHCPサーバ部は、前記第1及び第2のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、一方のDHCPテーブル内の情報を変更した際には、その変更を他方のDHCPテーブル内の情報にも反映させることを要旨とする。
このように、第1のシステムでは、第1及び第2のDHCPサーバ部は、一方のDHCPテーブル内の情報を変更した際には、その変更を他方のDHCPテーブル内の情報にも反映させ、第1及び第2のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するようにしている。
従って、第1のシステムによれば、第1のDHCPテーブル内の情報と第2のDHCPテーブル内の情報とを常に同期するようにしているため、端末の所属するネットワークが変更されても、端末はIPアドレスを変更することなく、通信を継続することができる。
本発明の端末所属切換システムにおいて、前記端末所属切換部並びに前記第1及び第2のDHCPサーバ部は、同一の装置内に含まれていてもよい。
また、前記第1及び第2のDHCPサーバ部は、同一の装置内に含まれており、前記端末所属切換部は、前記装置とは異なる装置内に含まれていてもよい。
さらに、前記第1及び第2のDHCPサーバ部は、互いに異なる装置内に含まれていてもよい。
このように、端末所属切換部並びに第1及び第2のDHCPサーバ部は、同一の装置内であっても、異なる装置内であっても、上記した効果を奏することができる。
また、前記第1及び第2のDHCPサーバ部は、同じパケット中継装置内に含まれていることが好ましい。このように構成することにより、IPアドレスの管理をそのパケット中継装置だけで行うことができる。
本発明の端末所属切換システムにおいて、前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPNであって、互いに、ルーティング及びフォワーディングが別々に行われていることが好ましい。このように構成することにより、第1及び第2のネットワークは互いに影響を受けることなく、独立して通信を行うことができる。
本発明の第2のシステムは、少なくとも第1及び第2のネットワークの間で端末の所属を切り換えるための端末所属切換システムであって、前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える端末所属切換部と、前記端末が前記第1のネットワークに所属する場合には、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当て、前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てるDHCPサーバ部と、を備え、前記DHCPサーバ部は、前記第1及び第2のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、一方のDHCPテーブル内の情報を変更した際には、その変更を他方のDHCPテーブル内の情報にも反映させることを要旨とする。
このように、DHCPサーバ部によって、第1及び第2のDHCPテーブルの両者を管理するようにしてもよく、このような場合でも、端末の所属するネットワークが変更された際に、端末はIPアドレスを変更することなく、通信を継続することができる。
本発明の第3のシステムは、少なくとも第1及び第2のネットワークの間で端末の所属を切り換えるための端末所属切換システムであって、前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、VRRP(Virtual Router Redundancy Protocol)に対応した複数のパケット中継装置を備え、これらパケット中継装置のうち、マスタとなる第1のパケット中継装置は、前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える第1の端末所属切換部と、前記端末が前記第1のネットワークに所属する場合に、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第1のDHCPサーバ部と、前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第2のDHCPサーバ部と、を備え、バックアップとなる第2のパケット中継装置は、前記第2のパケット中継装置がマスタとなった場合に、前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える第2の端末所属切換部と、前記第2のパケット中継装置がマスタとなった場合であって、前記端末が前記第1のネットワークに所属する場合に、第3のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第3のDHCPサーバ部と、前記第2のパケット中継装置がマスタとなった場合であって、前記端末が前記第2のネットワークに所属する場合には、第4のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第4のDHCPサーバ部と、を備え、マスタとなる前記パケット中継装置の前記第1及び第2のDHCPサーバ部は、前記第1ないし第4のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、前記第1及び第2のDHCPテーブル内の情報のうち、一方のDHCPテーブル内の情報を変更した際には、その変更を、他方のDHCPテーブル内の情報に反映させると共に、前記第3及び第4のDHCPテーブル内の情報にも反映させることを要旨とする。
このように、第3のシステムでは、マスタとなる前記パケット中継装置の前記第1及び第2のDHCPサーバ部は、前記第1及び第2のDHCPテーブル内の情報のうち、一方のDHCPテーブル内の情報を変更した際には、その変更を、他方のDHCPテーブル内の情報に反映させると共に、前記第3及び第4のDHCPテーブル内の情報にも反映させて、前記第1ないし第4のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するようにしている。
従って、第3のシステムによれば、第1のDHCPテーブル内の情報と第2のDHCPテーブル内の情報だけでなく、バックアップとなる第2のパケット中継装置における第3のDHCPテーブル内の情報と第4のDHCPテーブル内の情報も同期するようにしているため、マスタである第1のパケット中継装置が障害を起こし、第2のパケット中継装置がマスタとなって通信を受け継いだ場合に、端末の所属するネットワークが変更されても、端末はIPアドレスを変更することなく、通信を継続することができる。
なお、本発明は、上記した端末所属切換システムに限ることなく、パケット中継装置やDHCPサーバとしても実現することができる。また、これら装置発明の態様に限ることなく、端末所属切換方法法などの方法発明としての態様で実現することも可能である。
A.第1の実施例:
図1は本発明の第1の実施例としての端末所属切換システムを模式的に示すブロック図である。本実施例における端末所属切換システムは、認証・検疫ネットワークシステムに適用されるものである。
図1に示すように、本実施例における端末所属切換システムは、認証・検疫ネットワークシステム内のパケットを中継するパケット中継装置RS1と、そのパケット中継装置RS1にネットワークを介して接続される端末PC1と、認証・検疫ネットワークシステムのネットワークを構成する検疫ネットワークNW1及び業務ネットワークNW2と、を備えている。
検疫ネットワークNW1には、認証サーバSV1及び検疫サーバSV2が接続されており、業務ネットワークNW2には、業務用サーバSV3が接続されている。検疫ネットワークNW1は、ネットワークのセキュリティポリシに合致しない端末を隔離するために用いられる。業務ネットワークNW2は、ネットワークへの接続を認証し、かつ、セキュリティポリシに合致した端末を、業務用サーバSV3等で作業させるために用いられる。従って、検疫ネットワークNW1と業務ネットワークNW2は、双方間で通信ができない独立したネットワークで構成されている。具体的には、パケット中継装置RS1によって、検疫ネットワークNW1には、VLAN100が割り当てられ、業務ネットワークNW2には、VLAN200が割り当てられており、両者は論理的に通信が分離されている。
認証サーバSV1は、端末PC1のネットワークへの接続可否を判定するための認証データベース(図示せず)を保持しており、認証データベースにはユーザ名,パスワード等の情報が登録されている。認証サーバSV1は、端末PC1がユーザ名,パスワード等を用いて認証を要求してきた場合に、それらの情報が認証データベースに登録されている情報と一致するか否かを判定する。
一方、検疫サーバSV2は、ネットワークへの接続を認証された端末PC1に対して、セキュリティポリシに合致するか否かを判定する。セキュリティポリシに合致していない(すなわち、セキュリティポリシに違反している)端末PC1に対しては、セキュリティポリシに合致するように、治療を行う。
パケット中継装置RS1は、端末PC1がネットワーク接続しようとしたときに、端末PC1がセキュリティポリシに違反している場合には、検疫ネットワークNW1のVLAN100のみに接続させるようにし、端末PC1がセキュリティポリシに合致している場合には、業務ネットワークNW2のVLAN200のみに接続させるようにする。
また、本実施例では、さらに、パケット中継装置RS1によって、検疫ネットワークNW1のVLAN100は、図示せざる他のVLAN110,VLAN120と共に、VPN(Virtual Private Network)♯1を構成し、業務ネットワークNW2のVLAN200は、図示せざる他のVLAN210,VLAN220と共に、VPN♯2を構成している。
パケット中継装置RS1は、図1に示すように、VPN#1処理部101と、VPN#2処理部201と、認証デーモン301と、を備えている。VPN#1処理部101は、検疫ネットワークNW1に対応するVPN♯1内において通信するパケットのルーティング及びフォワーディングを行うと共に、VPN♯1に所属する端末にIPアドレスの割り当てを行う。VPN#2処理部201は、業務ネットワークNW2に対応するVPN♯2内において通信するパケットのルーティング及びフォワーディングを行うと共に、VPN♯2に所属する端末にIPアドレスの割り当てを行う。認証デーモン301は、端末PC1に対して認証処理を行う場合に、端末PC1の認証要求を認証サーバSV1に問い合わせ、認証サーバSV1からの指示によって、端末PC1を検疫ネットワークNW1に対応するVLAN100もしくは業務ネットワークNW2に対応するVLAN200のどちらかに所属させる処理を行う。
VPN#1処理部101は、VPN♯1内で通信するパケットのルーティング処理を行うルーティング部111と、VPN♯1に所属する端末に対してIPアドレスを割り当てるDHCPサーバ部121と、を備える。ルーティング部111は、VPN♯1における経路情報を登録しているルーティングテーブル112を有する。DHCPサーバ部121は、端末に割り当てるIPアドレスの割当状態を登録するDHCPテーブル122を有する。
VPN#2処理部201は、VPN♯2内で通信するパケットのルーティング処理を行うルーティング部211と、VPN♯2に所属する端末に対してIPアドレスを割り当てるDHCPサーバ部221と、を備える。ルーティング部211は、VPN♯2における経路情報を登録しているルーティングテーブル212を有する。DHCPサーバ部221は、端末に割り当てるIPアドレスの割当状態を登録するDHCPテーブル222を有する。
本実施例では、いわゆるVRF(Virtual Routing and Forwarding)を利用することにより、パケット中継装置RS1において、独立した複数のルーティングポリシを持つことを可能にしている。これにより、パケット中継装置RS1では、VPN#1のルーティングテーブル112とVPN#2のルーティングテーブル212とを別々に持ち、ルーティング部111とルーティング部211とによって、VPN♯1,VPN♯2に関し別々に独立でルーティングするようにしている。このため、VPN♯1とVPN♯2とは、IPアドレスが重複しても良い。
図2は図1におけるVPN毎のルーティングテーブルの登録例を示す説明図である。図2において、(a)はVPN#1のルーティングテーブルであって、ルーティング部111内のルーティングテーブル112の登録例を示す。(b)はVPN#2のルーティングテーブルであって、ルーティング部211内のルーティングテーブル212の登録例を示す。
図2(a)に示すように、VPN#1のルーティングテーブル112には、VPN#1に設定したIPインターフェイス(IP I/F)が登録されている。IPインターフェイスの各エントリT1Rn(n=1〜3)には、VLAN番号と、IPアドレスと、サブネットマスクがそれぞれ設定されている。
IPインターフェイスは、IPアドレスとVLANとの対応関係を表したものであって、端末が所属するサブネットを示している。例えば、VLAN100では、エントリT1R1に示すように、パケット中継装置RS1に割り当てられたIPアドレスは、10.0.0.1であり、各端末はIPアドレス10.0.0.2〜10.0.0.254の何れかに割り付けられる。また、VLAN110では、エントリT1R2に示すように、パケット中継装置RS1に割り当てられたIPアドレスは、11.0.0.1であり、各端末はIPアドレス11.0.0.2〜11.0.0.254の何れかに割り付けられる。さらに、VLAN300では、エントリT1R3に示すように、パケット中継装置RS1に割り当てられたIPアドレスは、12.0.0.1であり、各端末はIPアドレス12.0.0.2〜12.0.0.254の何れかに割り付けられる。
一方、図2(b)に示すように、VPN#2のルーティングテーブル212には、VPN#2に設定したIPインターフェイス(IP I/F)が登録されている。IPインターフェイスの各エントリT2Rn(n=1〜3)には、VLAN番号、IPアドレス、サブネットマスクがそれぞれ設定されている。
前述したとおり、本実施例では、VRFを利用することにより、VPN♯1とVPN♯2とはIPアドレスが重複しても良いため、図2(b)に示すVPN♯2のルーティングテーブル212における各エントリT2Rn(n=1〜3)は、図2(a)に示したVPN♯1のルーティングテーブル112における各エントリT1Rn(n=1〜3)と、IPアドレス及びサブネットマスクがそれぞれ重複している。
このように、IPアドレス及びサブネットマスクがそれぞれ重複しても、VPN♯1とVPN♯2とでは別々に独立してルーティングがなされるため、問題はない。
例えば、パケット中継装置RS1がVPN♯1に属する端末からパケット受信した場合、VPN♯1に対応するルーティング部111が動作する。そして、そのパケットに記載された宛先が10.0.0.2〜10.0.0.254のIPアドレス範囲である場合には、VLAN100にそのパケットを中継し、宛先が11.0.0.2〜11.0.0.254のIPアドレス範囲である場合には、図2(a)のルーティングテーブル112に従って、VLAN110にそのパケットを中継し、宛先が12.0.0.2〜12.0.0.254のIPアドレス範囲である場合には、VLAN120にそのパケットを中継することになる。また、パケット中継装置RS1がVPN♯2に属する端末からパケット受信した場合には、VPN♯2に対応するルーティング部211が動作する。そして、そのパケットに記載された宛先が10.0.0.2〜10.0.0.254のIPアドレス範囲である場合には、図2(b)のルーティングテーブル212に従って、VLAN200にそのパケットを中継し、宛先が11.0.0.2〜11.0.0.254のIPアドレス範囲である場合には、VLAN210にそのパケットを中継し、宛先が12.0.0.2〜12.0.0.254のIPアドレス範囲である場合には、VLAN220にそのパケットを中継することになる。
本実施例においては、VPN#1処理部101におけるDHCPサーバ部121とVPN#2処理部201におけるDHCPサーバ部221とは、各々が保持しているDHCPテーブル122とDHCPテーブル222の登録情報を常に同期するようにしている。こうすることで、端末PC1の所属が、検疫ネットワークNW1のVLAN100から業務ネットワークNW2のVLAN200に移った場合でも、端末PC1はIPアドレスを変更せずに通信を継続させることができる。
図3は図1におけるVPN毎のDHCPテーブルの登録例を示す説明図である。図3において、(a)はVPN#1のDHCPテーブルであって、DHCPサーバ部121内のDHCPテーブル122の登録例を示す。(b)はVPN#2のDHCPテーブルであって、DHCPサーバ部221内のDHCPテーブル222の登録例を示す。
図3(a)に示すように、VPN#1のDHCPテーブル122には、VPN#1について、プールしているIPアドレスに関する情報が登録されている。IPアドレスの各エントリT1Dn(n=1〜3)には、そのIPアドレスと、そのIPアドレスを使用している端末のMACアドレスと、そのIPアドレスの使用状況がそれぞれ設定されている。
例えば、IPアドレス10.0.0.2は、エントリT1D1に示すように、MACアドレスがXXXX:XXX:0001である端末に割り当てられ、現在、使用中となっている。また、IPアドレス10.0.0.3は、エントリT1D2に示すように、未だ何れの端末にも割り当てられておらず、現在、未使用となっている。
一方、図3(b)に示すように、VPN#2のDHCPテーブル222には、VPN#2について、プールしているIPアドレスに関する情報が登録されている。IPアドレスの各エントリT2Dn(n=1〜3)には、そのIPアドレスと、そのIPアドレスを使用している端末のMACアドレスと、そのIPアドレスの使用状況がそれぞれ設定されている。
前述したとおり、本実施例では、VPN#1のDHCPテーブル122の登録情報とVPN#2のDHCPテーブル222の登録情報とを常に同期するようにしている。従って、図3(b)に示すVPN♯2のDHCPテーブル222における各エントリT2Dn(n=1〜3)は、図3(a)に示したVPN♯1のDHCPテーブル122における各エントリT1Dn(n=1〜3)と、IPアドレス、MACアドレス、及び使用状況が一致している。
従って、例えば、VPN#1において、或る端末からIPアドレスの割り当て要求があった場合、DHCPサーバ部121は、VPN#1のDHCPテーブル122を参照して、その端末に対し、未使用のIPアドレスの割り当てを行う。この際、DHCPサーバ部121は、VPN#1のDHCPテーブル122に対し、そのIPアドレスに対応するエントリに、その端末のMACアドレスを書き込むと共に、使用状況を未使用から使用中に書き換える。さらに、DHCPサーバ部121は、そのIPアドレスに対応するエントリに、その端末のMACアドレスを書き込むと共に、使用状況を未使用から使用中に書き換える。こうして、DHCPサーバ部121は、VPN#1において、端末にIPアドレスの割り当てを行う場合、VPN#1のDHCPテーブル122の登録情報を変更すると共に、それと同じ変更をDHCPサーバ部121を通じてVPN#2のDHCPテーブル222の登録情報にも反映させる。
同様に、DHCPサーバ部221は、VPN#2において、IPアドレスの割り当て要求があった端末に対しIPアドレスの割り当てを行う場合、VPN#2のDHCPテーブル222の登録情報を変更すると共に、それと同じ変更をDHCPサーバ部121を通じてVPN#1のDHCPテーブル122の登録情報に反映させる。
一方、IPアドレスの使用状況を使用中から未使用にする場合には、DHCPサーバ部121,221が、それぞれ、対応するネットワーク(VPN#1,VPN#2)上に、対象となるIPアドレスを使用している端末が無いことを、確認してから、両方のDHCPテーブル122,222において、対象となるIPアドレスの使用状況を使用中から未使用に変更する。
本実施例において、認証デーモン301は請求項における端末所属切換部に、DHCPサーバ部121,221は請求項における第1及び第2のDHCPサーバ部に、DHCPテーブル122,222は請求項における第1及び第2のDHCPテーブルに、それぞれ対応している。
図4は図1におけるパケット中継装置RS1の処理フローを示すフローチャートである。このフローチャートに従って、以下に認証・検疫処理時におけるIPアドレス配布の動作について説明する。本実施例では、認証方式としてIEEE802.1x認証を用いている。IEEE802.1x認証は、レイヤ2レベルでの通信によって行われるので、IPアドレスが無くても、端末PC1はユーザ名とバスワードさえあれば、認証を行うことができる。
図4に示すように、まず、パケット中継装置RS1において、認証デーモン301は、端末PC1から認証要求を受ける(ステップS101)。この際、端末PC1からユーザ名,パスワード等の情報も併せて受け取る。次に、認証デーモン301は、受け取った情報を認証サーバSV1に送信し、認証サーバSV1に対し、端末PC1の認証可否を問い合わせる(ステップS102)。これにより、認証サーバSV1は、受信した情報が認証データベースに登録されている情報と一致するか否かを判定する。
認証デーモン301は、認証サーバSV1から認証結果を受け取って、その認証結果に応じて処理を分ける(ステップS103)。その認証結果が認証NGである場合には、認証デーモン301は、一連の処理を終了する。認証OKの場合には、認証デーモン301は、検疫サーバSV2に対し、端末PC1がセキュリティポリシに合致しているか否かを問い合わせる(ステップS104)。これにより、検疫サーバSV2は、端末PC1に対して、セキュリティポリシに合致するか否かを判定する。
認証デーモン301は、検疫サーバSV2から判定結果を取得して、その判定結果に応じて処理を分ける(ステップS105)。判定結果がOKである場合、すなわち、端末PC1がセキュリティポリシに合致している場合には、認証デーモン301は、端末PC1を、業務ネットワークNW2のVLAN200に所属させる(ステップS106)。
次に、VPN#2のDHCPサーバ部221は、DHCPテーブル222から端末PC1に割り当てるべき未使用のIPアドレスを確保し、DHCPテーブル222において、そのIPアドレスに関する登録情報を変更すると共に(ステップS106)、それと同じ変更をDHCPサーバ部121を通じてVPN#1のDHCPテーブル122の登録情報にも反映させる(ステップS107)。さらに、DHCPサーバ部221は、端末PC1に、確保したIPアドレスを配布する(ステップS109)。
一方、判定結果がNGである場合、すなわち、端末PC1がセキュリティポリシに違反している場合には、認証デーモン301は、端末PC1を、検疫ネットワークNW1のVLAN100に所属させる(ステップS110)。
次に、VPN#1のDHCPサーバ部121は、DHCPテーブル122から端末PC1に割り当てるべき未使用のIPアドレスを確保し、DHCPテーブル122において、そのIPアドレスに関する登録情報を変更すると共に(ステップS111)、それと同じ変更をDHCPサーバ部221を通じてVPN#2のDHCPテーブル222の登録情報にも反映させる(ステップS112)。さらに、DHCPサーバ部121は、端末PC1に、確保したIPアドレスを配布する(ステップS113)。
次に、検疫サーバSV2は、端末PC1がセキュリティポリシに合致するように、治療を行う。その後、検疫サーバSV2は、治療が終わったことを認証サーバSV1を介してパケット中継装置RS1に通知する(ステップS114)。それを受けて、認証デーモン301は、端末PC1の所属を、検疫ネットワークNW1のVLAN100から、業務ネットワークNW2のVLAN200に切り換える(ステップS115)。
この結果、端末PC1は、所属するVLANの切り換え時にIPアドレスを変更することなく、業務用サーバSV3と通信を行うことができる。
以上説明したように、本実施例によれば、認証・検疫ネットワークシステムにおいて、VPN♯1のDHCPテーブル122の登録情報とVPN♯2のDHCPテーブル222の登録情報とを常に同期するようにしているため、端末PC1の所属するVLANが変更されても、端末はIPアドレスを変更することなく、通信を継続することができる。
B.第2の実施例:
図5は本発明の第2の実施例としての端末所属切換システムを模式的に示すブロック図である。本実施例における端末所属切換システムは、認証ネットワークシステムに適用されるものである。
図5に示すように、本実施例における端末所属切換システムは、認証ネットワークシステム内のパケットを中継するパケット中継装置RS2と、そのパケット中継装置RS2にネットワークを介して接続される端末PC1と、認証ネットワークシステムのネットワークを構成する認証前ネットワークNW3及び業務ネットワーク(認証後ネットワーク)NW2と、を備えている。
パケット中継装置RS2には、認証サーバSV1が接続されており、業務ネットワークNW2には、第1の実施例の場合と同様、業務用サーバSV3が接続されている。認証前ネットワークNW3は、認証前の端末を隔離するために用いられ、業務ネットワークNW2は、ネットワークへの接続を認証した端末を、業務用サーバSV3等で作業させるために用いられる。従って、本実施例においても、第1の実施例の場合と同様に、認証前ネットワークNW3と業務ネットワークNW2は、双方間で通信ができない独立したネットワークで構成されている。具体的には、パケット中継装置RS2によって、認証前ネットワークNW3には、VLAN100が割り当てられ、業務ネットワークNW2には、VLAN200が割り当てられており、両者は論理的に通信が分離されている。なお、認証前ネットワークNW3は、パケット中継装置RS2内のVPN#1処理部101だけが所属するネットワークとして構成されている。これは、認証前の端末を、パケット中継装置の外部と通信させないためである。
本実施例において、認証サーバSV1及び業務用サーバSV3は、第1の実施例の場合と同様であるので、それらについての説明は省略する。
パケット中継装置RS2は、端末PC1がネットワーク接続しようとしたときに、まず、端末PC1を認証前ネットワークNW3のVLAN100のみに接続させるようにし、その後、端末PC1が認証された場合に、業務ネットワークNW2のVLAN200のみに接続させるようにする。
また、本実施例においても、第1の実施例と同様に、パケット中継装置RS2によって、認証前ネットワークNW3のVLAN100は、図示せざる他のVLAN110,VLAN120と共に、VPN♯1を構成し、業務ネットワークNW2のVLAN200は、図示せざる他のVLAN210,VLAN220と共に、VPN♯2を構成している。
本実施例において、パケット中継装置RS2の構成は、第1の実施例におけるパケット中継装置RS1の構成と同じであるので、それらについての説明は省略する。
図6は図5におけるパケット中継装置RS2の処理フローを示すフローチャートである。このフローチャートに従って、以下に認証処理時におけるIPアドレス配布の動作について説明する。本実施例では、認証方式としてWeb認証を用いている。Web認証は、レイヤ3レベルでの通信によって行われるので、端末PC1は当初からIPアドレスが必要となる。
図6に示すように、まず、パケット中継装置RS2において、VPN#1のDHCPサーバ部121は、DHCPテーブル122から端末PC1に割り当てるべき未使用のIPアドレスを確保し、DHCPテーブル122において、そのIPアドレスに関する登録情報を変更すると共に(ステップS201)、それと同じ変更をDHCPサーバ部221を通じてVPN#2のDHCPテーブル222の登録情報にも反映させる(ステップS202)。さらに、DHCPサーバ部121は、端末PC1に、確保したIPアドレスを配布する(ステップS203)。
次に、認証デーモン301は、端末PC1から認証要求を受ける(ステップS204)。この際、端末PC1からユーザ名,パスワード等の情報も併せて受け取る。次に、認証デーモン301は、受け取った情報を認証サーバSV1に送信し、認証サーバSV1に対し、端末PC1の認証可否を問い合わせる(ステップS205)。これにより、認証サーバSV1は、受信した情報が認証データベースに登録されている情報と一致するか否かを判定する。
認証デーモン301は、認証サーバSV1から認証結果を受け取って、その認証結果に応じて処理を分ける(ステップS206)。その認証結果が認証NGである場合には、認証デーモン301は、一連の処理を終了する。認証OKの場合には、認証デーモン301は、端末PC1の所属を、認証前ネットワークNW3のVLAN100から、業務ネットワークNW2のVLAN200に切り換える(ステップS207)。
この結果、端末PC1は、所属するVLANの切り換え時にIPアドレスを変更することなく、業務用サーバSV3と通信を行うことができる。
以上説明したように、本実施例では、認証ネットワークシステムにおいても、第1の実施例における認証・検疫ネットワークシステムの場合と同様に、端末PC1の所属するVLANが変更されても、端末はIPアドレスを変更することなく、通信を継続することができる。
C.第3の実施例:
図7は本発明の第3の実施例としての端末所属切換システムを模式的に示すブロック図である。本実施例における端末所属切換システムは、認証・検疫ネットワークシステムに適用されるものである。
本実施例が第1の実施例と異なる点は、パケット中継装置が、DHCPサーバ部121,221を備えるパケット中継装置RS3と、認証デーモン301を備えるパケット中継装置RS4と、にそれぞれ別体で分かれており、それらが互いに物理回線を介して接続されている点である。
すなわち、パケット中継装置RS3は、図7に示すように、VPN#1処理部101と、VPN#2処理部201と、を備えている。本実施例において、VPN#1処理部101及びVPN#2処理部201の構成は、第1の実施例の場合と同様であるので、それらについての説明は省略する。なお、ルーティング部111及びルーティング部211については、図面の都合上、図示を省略されている。また、パケット中継装置RS2には、認証サーバSV1が接続されている。
一方、パケット中継装置RS4は、図7に示すように、認証デーモン301の他、VLAN100を管理するVLAN100処理部401と、VLAN200を管理するVLAN200処理部501と、を備えている。
これらのうち、パケット中継装置RS3は、例えば、レイヤ3スイッチで構成されており、パケット中継装置RS4は、レイヤ2スイッチで構成されている。このため、パケット中継装置RS4については、IPアドレスは不要である。なお、パケット中継装置RS4から出力されるパケットのヘッダには、VLAN100かVLAN200かを示すVLANタグが付されるため、パケット中継装置RS3は、そのVLANタグにより、を付けることにより、VLAN100のパケットか、VLAN200のパケットかを識別する。 その他の構成については、第1の実施例と同様であるので、それらについての説明は省略する。
まず、パケット中継装置RS4において、認証デーモン301は、端末PC1から、ユーザ名,パスワード等の情報と共に認証要求を受ける。認証デーモン301は、受け取った情報を認証サーバSV1に送信し、認証サーバSV1に対し、端末PC1の認証可否を問い合わせる。認証サーバSV1は、受信した情報が認証データベースに登録されている情報と一致するか否かを判定する。
認証デーモン301は、認証サーバSV1から認証結果を受け取り、その認証結果が認証OKの場合には、検疫サーバSV2に対し、端末PC1がセキュリティポリシに合致しているか否かを問い合わせる。検疫サーバSV2は、端末PC1に対して、セキュリティポリシに合致するか否かを判定する。
認証デーモン301は、検疫サーバSV2から判定結果を取得して、その判定結果がNGである場合、すなわち、端末PC1がセキュリティポリシに違反している場合には、端末PC1を、検疫ネットワークNW1のVLAN100に所属させる。
次に、パケット中継装置RS3において、VPN#1のDHCPサーバ部121は、DHCPテーブル122から端末PC1に割り当てるべき未使用のIPアドレスを確保し、DHCPテーブル122において、そのIPアドレスに関する登録情報を変更すると共に、それと同じ変更をDHCPサーバ部221を通じてVPN#2のDHCPテーブル222の登録情報にも反映させる。さらに、DHCPサーバ部121は、端末PC1に、確保したIPアドレスを配布する。
次に、検疫サーバSV2は、端末PC1がセキュリティポリシに合致するように、治療を行う。その後、検疫サーバSV2は、治療が終わったことを認証サーバSV1を介してパケット中継装置RS4に通知する。それを受けて、パケット中継装置RS4における認証デーモン301は、端末PC1の所属を、検疫ネットワークNW1のVLAN100から、業務ネットワークNW2のVLAN200に切り換える。
この結果、端末PC1は、所属するVLANの切り換え時にIPアドレスを変更することなく、業務用サーバSV3と通信を行うことができる。
以上説明したように、本実施例では、パケット中継装置を、DHCPサーバ部121,221を備えるパケット中継装置RS3と、認証デーモン301を備えるパケット中継装置RS4と、にそれぞれ別体に分けた場合でも、第1の実施例と同様の効果を奏することができる。
D.第4の実施例:
図8は本発明の第4の実施例としての端末所属切換システムを模式的に示すブロック図である。本実施例における端末所属切換システムは、認証・検疫ネットワークシステムに適用されるものである。
本実施例が第1の実施例と異なる点は、パケット中継装置が、VPN♯1に対するDHCPサーバ部121しか備えず、VPN♯2に対するDHCPサーバは、パケット中継装置の外部に設けた点である。
すなわち、パケット中継装置RS5は、図8に示すように、VPN#2処理部201から、DHCPサーバ部221が削除されており、その代わりに、業務ネットワークNW2には、VPN♯2に所属する端末に対してIPアドレスを割り当てるDHCPサーバSV4が接続されている。DHCPサーバSV4は、独立した装置がDHCPテーブル部を備えたものであり、端末に割り当てるIPアドレスの割当状態を登録するDHCPテーブル224を有している。なお、DHCPサーバSV4は、パケット中継装置RS5におけるDHCPサーバ部121と通信して、DHCPテーブル224の登録情報と、DHCPテーブル122の登録情報と、を相互に同期させ得る機能を有している。
その他の構成については、第1の実施例と同様であるので、それらについての説明は省略する。
まず、パケット中継装置RS5において、認証デーモン301は、端末PC1から、ユーザ名,パスワード等の情報と共に認証要求を受ける。認証デーモン301は、受け取った情報を認証サーバSV1に送信し、認証サーバSV1に対し、端末PC1の認証可否を問い合わせる。認証サーバSV1は、受信した情報が認証データベースに登録されている情報と一致するか否かを判定する。
認証デーモン301は、認証サーバSV1から認証結果を受け取り、その認証結果が認証OKの場合には、検疫サーバSV2に対し、端末PC1がセキュリティポリシに合致しているか否かを問い合わせる。検疫サーバSV2は、端末PC1に対して、セキュリティポリシに合致するか否かを判定する。
認証デーモン301は、検疫サーバSV2から判定結果を取得して、その判定結果がNGである場合、すなわち、端末PC1がセキュリティポリシに違反している場合には、端末PC1を、検疫ネットワークNW1のVLAN100に所属させる。
次に、パケット中継装置RS3において、VPN#1のDHCPサーバ部121は、DHCPテーブル122から端末PC1に割り当てるべき未使用のIPアドレスを確保し、DHCPテーブル122において、そのIPアドレスに関する登録情報を変更する。それと同時に、DHCPサーバ部121は、それと同じ変更をDHCPサーバSV4を通じてVPN#2のDHCPテーブル224の登録情報にも反映させる。さらに、DHCPサーバ部121は、端末PC1に、確保したIPアドレスを配布する。
次に、検疫サーバSV2は、端末PC1がセキュリティポリシに合致するように、治療を行う。その後、検疫サーバSV2は、治療が終わったことを認証サーバSV1を介してパケット中継装置RS4に通知する。それを受けて、パケット中継装置RS4における認証デーモン301は、端末PC1の所属を、検疫ネットワークNW1のVLAN100から、業務ネットワークNW2のVLAN200に切り換える。
この結果、端末PC1は、所属するVLANの切り換え時にIPアドレスを変更することなく、業務用サーバSV3と通信を行うことができる。
以上説明したように、本実施例では、VPN♯1に対するDHCPサーバ部121をパケット中継装置RS5の内部に設け、VPN♯2に対するDHCPサーバSV4を、パケット中継装置RS5の外部に別の装置として設けた場合でも、第1の実施例と同様の効果を奏することができる。
E.第5の実施例:
図9は本発明の第5の実施例としての端末所属切換システムを模式的に示すブロック図である。
本実施例における端末所属切換システムでは、ネットワークの冗長化を図るために、パケット中継装置として、VRRP(Virtual Router Redundancy Protocol)に対応した2つのパケット中継装置RS,RSを備えている。これら2つのパケット中継装置RS,RSのうち、例えば、パケット中継装置RSはマスタに、パケット中継装置RSはバックアップに、それぞれ設定されている。通常は、マスタであるパケット中継装置RSが通信を行なうが、そのパケット中継装置RSが障害を起こした場合には、バックアップであるパケット中継装置RSが、パケット中継装置RSの代わりに、マスタとなって、自動的に通信を受け継ぐ。パケット中継装置RSとRSとの間では、定期的に制御信号のやり取りを行い、障害が起きていないかどうか常時監視している。
これら2つのパケット中継装置RS,RSは、それぞれ、第1の実施例におけるパケット中継装置RS1と同様に、VPN#1処理部101a,bと、VPN#2処理部201a,bと、認証デーモンと、を備えている。なお、認証デーモンは、図面の都合上、図示を省略されている。そして、VPN#1処理部101a,b及びVPN#2処理部201a,bの構成は、第1の実施例の場合と同様であるので、それらについての説明は省略する。なお、ルーティング部111及びルーティング部211については、図面の都合上、図示を省略されている。
本実施例では、マスタであるパケット中継装置RSにおいて、VPN#1のDHCPテーブル122aの登録情報とVPN#2のDHCPテーブル222aの登録情報と常に同期するようにすると共に、バックアップであるパケット中継装置RSにおけるVPN#1のDHCPテーブル122bの登録情報とVPN#2のDHCPテーブル222bの登録情報とも常に同期するようにする。
例えば、マスタであるパケット中継装置RSにおけるDHCPサーバ部121aが、VPN#1において、端末にIPアドレスの割り当てを行う場合、VPN#1のDHCPテーブル122の登録情報を変更すると共に、それと同じ変更をDHCPサーバ部121を通じてVPN#2のDHCPテーブル222の登録情報にも反映させる。さらに、DHCPサーバ部121aは、上記と同じ変更を、バックアップであるパケット中継装置RSにおけるDHCPサーバ部121bを通じてVPN#1のDHCPテーブル122bの登録情報にも反映させ、DHCPサーバ部221bを通じてVPN#2のDHCPテーブル222bの登録情報にも反映させる。
このように、本実施例によれば、バックアップであるパケット中継装置RSにおけるDHCPテーブルの登録情報についても、同期させるようにしているため、マスタであるパケット中継装置RSが障害を起こし、パケット中継装置RSがマスタとなって通信を受け継いだ場合に、端末PC1の所属するVLANが変更されても、端末はIPアドレスを変更することなく、通信を継続することができる。
F.変形例:
なお、本発明は上記した実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様にて実施することが可能である。
上記した実施例においては、VPN毎にDHCPサーバ部(またはDHCPサーバ)を用意するようにしたが、本発明はこれに限定されるものではなく、VPN毎にDHCPテーブルを管理することができるのであれば、DHCPサーバ部(またはDHCPサーバ)をVPN毎に用意する必要はなく、1つであってもよい。
本発明の第1の実施例としての端末所属切換システムを模式的に示すブロック図である。 図1におけるVPN毎のルーティングテーブルの登録例を示す説明図である。 図1におけるVPN毎のDHCPテーブルの登録例を示す説明図である。 図1におけるパケット中継装置RS1の処理フローを示すフローチャートである。 本発明の第2の実施例としての端末所属切換システムを模式的に示すブロック図である。 図5におけるパケット中継装置RS2の処理フローを示すフローチャートである。 本発明の第3の実施例としての端末所属切換システムを模式的に示すブロック図である。 本発明の第4の実施例としての端末所属切換システムを模式的に示すブロック図である。 本発明の第5の実施例としての端末所属切換システムを模式的に示すブロック図である。 認証・検疫ネットワークシステムに適用した従来の端末所属切換システムを模式的に示すブロック図である。 認証ネットワークシステムに適用した従来の端末所属切換システムを模式的に示すブロック図である。
符号の説明
111…ルーティング部
1111…ルーティング部
1112…ルーティングテーブル
112…ルーティングテーブル
1121…DHCPサーバ部
1122…DHCPテーブル
121…DHCPサーバ部
121a…DHCPサーバ部
121b…DHCPサーバ部
122…DHCPテーブル
122a…DHCPテーブル
122b…DHCPテーブル
1301…認証デーモン
211…ルーティング部
212…ルーティングテーブル
221…DHCPサーバ部
221b…DHCPサーバ部
222…DHCPテーブル
222a…DHCPテーブル
222b…DHCPテーブル
224…DHCPテーブル
301…認証デーモン
NW1…検疫ネットワーク
NW2…業務ネットワーク
NW3…認証前ネットワーク
PC1…端末
PC10…端末
RS1…パケット中継装置
RS10…パケット中継装置
RS2…パケット中継装置
RS20…パケット中継装置
RS3…パケット中継装置
RS4…パケット中継装置
RS5…パケット中継装置
RS6…パケット中継装置
RS7…パケット中継装置
SV1…認証サーバ
SV2…検疫サーバ
SV3…業務用サーバ

Claims (11)

  1. 少なくとも第1及び第2のネットワークの間で端末の所属を切り換えるための端末所属切換システムであって、
    前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、
    前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える端末所属切換部と、
    前記端末が前記第1のネットワークに所属する場合に、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第1のDHCP(Dynamic Host Configuration Protocol)サーバ部と、
    前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第2のDHCPサーバ部と、
    を備え、
    前記第1及び第2のDHCPサーバ部は、前記第1及び第2のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、一方のDHCPテーブル内の情報を変更した際には、その変更を他方のDHCPテーブル内の情報にも反映させることを特徴とする端末所属切換システム。
  2. 請求項1に記載の端末所属切換システムにおいて、
    前記端末所属切換部並びに前記第1及び第2のDHCPサーバ部は、同一の装置内に含まれていることを特徴とする端末所属切換システム。
  3. 請求項1に記載の端末所属切換システムにおいて、
    前記第1及び第2のDHCPサーバ部は、同一の装置内に含まれており、前記端末所属切換部は、前記装置とは異なる装置内に含まれていることを特徴とする端末所属切換システム。
  4. 請求項1に記載の端末所属切換システムにおいて、
    前記第1及び第2のDHCPサーバ部は、互いに異なる装置内に含まれていることを特徴とする端末所属切換システム。
  5. 請求項3に記載の端末所属切換システムにおいて、
    前記第1及び第2のDHCPサーバ部は、同じパケット中継装置内に含まれていることを特徴とする端末所属切換システム。
  6. 少なくとも第1及び第2のネットワークの間で端末の所属を切り換えるための端末所属切換システムであって、
    前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、
    前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える端末所属切換部と、
    前記端末が前記第1のネットワークに所属する場合には、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当て、前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てるDHCPサーバ部と、
    を備え、
    前記DHCPサーバ部は、前記第1及び第2のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、一方のDHCPテーブル内の情報を変更した際には、その変更を他方のDHCPテーブル内の情報にも反映させることを特徴とする端末所属切換システム。
  7. 少なくとも第1及び第2のネットワークの間で端末の所属を切り換えるための端末所属切換システムであって、
    前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、
    VRRP(Virtual Router Redundancy Protocol)に対応した複数のパケット中継装置を備え、これらパケット中継装置のうち、
    マスタとなる第1のパケット中継装置は、
    前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える第1の端末所属切換部と、
    前記端末が前記第1のネットワークに所属する場合に、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第1のDHCPサーバ部と、
    前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第2のDHCPサーバ部と、
    を備え、
    バックアップとなる第2のパケット中継装置は、
    前記第2のパケット中継装置がマスタとなった場合に、前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える第2の端末所属切換部と、
    前記第2のパケット中継装置がマスタとなった場合であって、前記端末が前記第1のネットワークに所属する場合に、第3のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第3のDHCPサーバ部と、
    前記第2のパケット中継装置がマスタとなった場合であって、前記端末が前記第2のネットワークに所属する場合には、第4のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第4のDHCPサーバ部と、
    を備え、
    マスタとなる前記パケット中継装置の前記第1及び第2のDHCPサーバ部は、前記第1ないし第4のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、前記第1及び第2のDHCPテーブル内の情報のうち、一方のDHCPテーブル内の情報を変更した際には、その変更を、他方のDHCPテーブル内の情報に反映させると共に、前記第3及び第4のDHCPテーブル内の情報にも反映させることを特徴とする端末所属切換システム。
  8. 少なくとも第1及び第2のネットワークの間で所属が切り換えられる端末に対してIPアドレスを割り当てるパケット中継装置であって、
    前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、
    前記端末が前記第1のネットワークに所属する場合に、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第1のDHCPサーバ部と、
    前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てる第2のDHCPサーバ部と、
    を備え、
    前記第1及び第2のDHCPサーバ部は、前記第1及び第2のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、一方のDHCPテーブル内の情報を変更した際には、その変更を他方のDHCPテーブル内の情報にも反映させることを特徴とするパケット中継装置。
  9. 少なくとも第1及び第2のネットワークの間で所属が切り換えられる端末に対してIPアドレスを割り当てるパケット中継装置であって、
    前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、
    前記端末が前記第1のネットワークに所属する場合に、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てるDHCPサーバとの間で通信を行うことが可能であると共に、前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てるDHCPサーバ部を備え、
    前記DHCPサーバ部は、前記第1及び第2のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、前記第2のDHCPテーブル内の情報を変更した際には、その変更を前記第1のDHCPテーブル内の情報にも反映させることを特徴とするパケット中継装置。
  10. 請求項または請求項に記載のパケット中継装置において、
    前記端末の所属するネットワークを前記第1及び第2のネットワークの間で切り換える端末所属切換部をさらに備えるパケット中継装置。
  11. 少なくとも第1及び第2のネットワークの間で所属が切り換えられる端末に対してIPアドレスを割り当てるDHCPサーバであって、
    前記第1及び第2のネットワークは、互いの間で通信することができない独立したVPN(Virtual Private Network)であり、別々のルーティングテーブルに基づいて別々にルーティング及びフォワーディングが行われており、
    前記端末が前記第1のネットワークに所属する場合に、第1のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当てるDHCPサーバ部を備えるパケット中継装置との間で通信を行うことが可能であると共に、
    前記端末が前記第2のネットワークに所属する場合には、第2のDHCPテーブル内の情報に基づいて、前記端末に対してIPアドレスを割り当て、
    前記第1及び第2のDHCPテーブル内の情報のうち、少なくとも端末とIPアドレスとの対応関係を表す情報が互いに一致するように、前記第2のDHCPテーブル内の情報を変更した際には、その変更を前記第1のDHCPテーブル内の情報にも反映させることを特徴とするDHCPサーバ。
JP2007023124A 2007-02-01 2007-02-01 端末所属切換システム Active JP4773987B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007023124A JP4773987B2 (ja) 2007-02-01 2007-02-01 端末所属切換システム
US11/833,749 US8194537B2 (en) 2007-02-01 2007-08-03 Terminal affiliation switchover system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007023124A JP4773987B2 (ja) 2007-02-01 2007-02-01 端末所属切換システム

Publications (3)

Publication Number Publication Date
JP2008193231A JP2008193231A (ja) 2008-08-21
JP2008193231A5 JP2008193231A5 (ja) 2009-08-06
JP4773987B2 true JP4773987B2 (ja) 2011-09-14

Family

ID=39676104

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007023124A Active JP4773987B2 (ja) 2007-02-01 2007-02-01 端末所属切換システム

Country Status (2)

Country Link
US (1) US8194537B2 (ja)
JP (1) JP4773987B2 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006003914A1 (ja) * 2004-07-02 2006-01-12 Ibm Japan Ltd. 検疫システム
US9021253B2 (en) 2004-07-02 2015-04-28 International Business Machines Corporation Quarantine method and system
US7596615B2 (en) * 2006-02-22 2009-09-29 Microsoft Corporation Multi-server automated redundant service configuration
JP5138527B2 (ja) * 2008-09-29 2013-02-06 株式会社日立ソリューションズ ポリシーベースのファイルサーバアクセス制御方法及びシステム
JP5245837B2 (ja) * 2009-01-06 2013-07-24 富士ゼロックス株式会社 端末装置、中継装置及びプログラム
JP2010263261A (ja) * 2009-04-30 2010-11-18 Nec Corp ネットワーク構成機器、情報通信ネットワーク及びそれらに用いるネットワーク自動構築方法
JP5398410B2 (ja) * 2009-08-10 2014-01-29 アラクサラネットワークス株式会社 ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム
JP5498102B2 (ja) * 2009-09-02 2014-05-21 アラクサラネットワークス株式会社 ネットワークシステム、ネットワーク中継装置、それらの制御方法
CN101651553B (zh) * 2009-09-03 2013-02-27 华为技术有限公司 用户侧组播业务主备保护系统、方法及路由设备
US8635367B2 (en) * 2009-12-23 2014-01-21 Citrix Systems, Inc. Systems and methods for managing static proximity in multi-core GSLB appliance
JP5416596B2 (ja) * 2010-01-07 2014-02-12 アラクサラネットワークス株式会社 ネットワーク中継装置、ネットワークシステム、それらの制御方法
JP5501052B2 (ja) * 2010-03-24 2014-05-21 キヤノン株式会社 通信装置、通信装置の制御方法、プログラム
CN102365845B (zh) * 2010-04-23 2014-12-03 华为技术有限公司 本地路由实现方法及系统、网络设备
WO2011130920A1 (zh) * 2010-04-23 2011-10-27 华为技术有限公司 本地路由实现方法及系统、网络设备
JP5088517B2 (ja) * 2010-09-30 2012-12-05 日本電気株式会社 検疫装置、検疫システム、検疫方法、及びプログラム
JP5364671B2 (ja) * 2010-10-04 2013-12-11 アラクサラネットワークス株式会社 ネットワーク認証における端末接続状態管理
JP5419907B2 (ja) * 2011-02-17 2014-02-19 日本電信電話株式会社 ネットワークシステム、及び通信復旧方法
JP5703848B2 (ja) * 2011-03-03 2015-04-22 富士通株式会社 通信方法、並びに通信システム、ルータ及びサーバ
WO2013020267A1 (zh) * 2011-08-08 2013-02-14 华为数字技术有限公司 Ip地址分配方法和系统以及设备
JP2013061932A (ja) * 2011-08-23 2013-04-04 Ricoh Co Ltd レポート処理プログラム、情報処理装置、及び情報管理システム
JP5607011B2 (ja) * 2011-09-30 2014-10-15 富士通テレコムネットワークス株式会社 サーバ冗長化システム、仮想ルータおよびサーバ
US8908698B2 (en) * 2012-01-13 2014-12-09 Cisco Technology, Inc. System and method for managing site-to-site VPNs of a cloud managed network
JP5613193B2 (ja) * 2012-04-05 2014-10-22 日本電信電話株式会社 ポーリング試験装置およびポーリング試験方法
JP5919981B2 (ja) * 2012-04-09 2016-05-18 日本電気株式会社 検疫ネットワークシステム、検疫サーバ、検疫方法、及びプログラム
CN110071905B (zh) 2013-12-20 2021-08-03 瑞典爱立信有限公司 用于提供连接的方法、边界网络以及ip服务器
US9350709B2 (en) * 2014-04-07 2016-05-24 Cisco Technology, Inc. Synchronizing a routing-plane and crypto-plane for routers in virtual private networks
JP2017033538A (ja) * 2015-08-04 2017-02-09 株式会社リコー 通信システム、中継装置、情報処理装置、通信制御方法及びプログラム
JP6600606B2 (ja) * 2016-07-04 2019-10-30 エイチ・シー・ネットワークス株式会社 サーバ装置およびネットワークシステム
GB2555791B (en) * 2016-11-08 2020-06-03 Siemens Mobility Ltd Safety-critical router
CN108243078B (zh) * 2016-12-23 2020-01-03 新华三技术有限公司 地址分配方法和装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001230788A (ja) * 2000-02-16 2001-08-24 Hitachi Cable Ltd 多重化DHCP(DynamicHostConfigurationProtocol)サーバ
JP2002009791A (ja) * 2000-06-23 2002-01-11 Yaskawa Electric Corp Ipアドレスを動的に割り当てるdhcpサーバシステム及びipアドレスを動的に割り当てるdhcpサーバ
US20060047835A1 (en) * 2004-07-02 2006-03-02 Greaux Jeffrey E Method and System for LAN and WLAN access to e-commerce sites via Client Server Proxy
JP4920878B2 (ja) 2004-07-14 2012-04-18 日本電気株式会社 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP2006262141A (ja) * 2005-03-17 2006-09-28 Fujitsu Ltd Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム
US20070002833A1 (en) * 2005-06-30 2007-01-04 Symbol Technologies, Inc. Method, system and apparatus for assigning and managing IP addresses for wireless clients in wireless local area networks (WLANs)
US7903647B2 (en) * 2005-11-29 2011-03-08 Cisco Technology, Inc. Extending sso for DHCP snooping to two box redundancy
US7840514B2 (en) * 2006-09-22 2010-11-23 Maxsp Corporation Secure virtual private network utilizing a diagnostics policy and diagnostics engine to establish a secure network connection

Also Published As

Publication number Publication date
JP2008193231A (ja) 2008-08-21
US20080186977A1 (en) 2008-08-07
US8194537B2 (en) 2012-06-05

Similar Documents

Publication Publication Date Title
JP4773987B2 (ja) 端末所属切換システム
US8054804B2 (en) Method of and system for support of user devices roaming between routing realms by a single network server
US8108496B2 (en) Method and apparatus for selecting forwarding modes
US7836203B2 (en) Automatic route setup via snooping dynamic addresses
KR20120081189A (ko) 익명 통신 방법, 등록 방법, 정보 송수신 방법 및 시스템
CN107547351B (zh) 地址分配方法和装置
US20060193330A1 (en) Communication apparatus, router apparatus, communication method and computer program product
JP2005142702A (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
JP6445408B2 (ja) 通信システムおよび設定方法
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
JP6028639B2 (ja) ネットワーク中継装置および方法
JP2002217941A (ja) ネットワークアドレス再割り当て方法及びルータ
US11178100B1 (en) Systems and methods for communicating between private networks with conflicting internet protocol (IP) addresses
JP5350333B2 (ja) パケット中継装置及びネットワークシステム
JP6360012B2 (ja) ネットワーク統合システムおよびネットワーク統合方法
Cisco IP Routing
Cisco IP Routing
Cisco IP Routing
Cisco IP Routing
Cisco IP Routing
JP6600606B2 (ja) サーバ装置およびネットワークシステム
US8732335B2 (en) Device communications over unnumbered interfaces
CN114765601A (zh) 一种地址前缀获取方法及装置
JP7176992B2 (ja) Dhcpサーバ、ネットワークシステム、固定ipアドレスの割り当て方法
JP3947141B2 (ja) ネットワーク間通信方法及び管理サーバ並びにユーザ網管理サーバ

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090623

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090623

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110301

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110602

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110621

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110624

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140701

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4773987

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250