JP5171608B2 - VPN connection device, packet control method, and program - Google Patents

VPN connection device, packet control method, and program Download PDF

Info

Publication number
JP5171608B2
JP5171608B2 JP2008334386A JP2008334386A JP5171608B2 JP 5171608 B2 JP5171608 B2 JP 5171608B2 JP 2008334386 A JP2008334386 A JP 2008334386A JP 2008334386 A JP2008334386 A JP 2008334386A JP 5171608 B2 JP5171608 B2 JP 5171608B2
Authority
JP
Japan
Prior art keywords
vpn
address
connection device
opposite
vpn connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008334386A
Other languages
Japanese (ja)
Other versions
JP2010157856A (en
Inventor
貴允 内山
弘幸 市川
浩昭 波多
由香 上水流
智広 西谷
実 梅枝
善治 石山
洋城 稲葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2008334386A priority Critical patent/JP5171608B2/en
Publication of JP2010157856A publication Critical patent/JP2010157856A/en
Application granted granted Critical
Publication of JP5171608B2 publication Critical patent/JP5171608B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、VPN(Virtual Private Network)技術に関するものであり、特に、既存のネットワークを変更することなく、VPNを簡易かつ柔軟に導入することを可能とする技術に関するものである。   The present invention relates to a VPN (Virtual Private Network) technology, and more particularly, to a technology that makes it possible to easily and flexibly introduce a VPN without changing an existing network.

近年、企業内ネットワークの拠点間接続等に、専用線に代えてVPNが用いられるケースが増えている。VPNは、トンネリング技術を利用して、インターネット等の公衆回線をあたかも専用回線のように利用して拠点間の接続を可能とする技術である。   In recent years, VPNs are increasingly used in place of dedicated lines for inter-company network connection. VPN is a technology that enables connection between bases by using a public line such as the Internet as if it is a dedicated line using tunneling technology.

VPNの導入形態としては種々のものがあるが、VPNを構築しようとする企業等が、通信事業者にVPN構築に係る申し込みを行い、通信事業者が、機器の設置、ネットワークの設定等を行うのが一般的である。   There are various types of VPN implementations, but companies that want to build VPNs apply to VPN operators for VPN construction, and carriers set up devices and set up networks. It is common.

なお、VPNに関する従来技術として例えば特許文献1に記載された技術がある。
特開2004−064182号公報 As a conventional technique related to VPN, there is a technique described in Patent Document 1, for example.
JP 2004-066418 A

上述したような一般的なVPN構築においては、企業における既存のネットワーク機器の一部をVPN専用の機器に変更したり、既存のネットワーク構成を変更する必要がある。また、新たなVPNの構築が完了するまでにある程度の期間がかかる。   In the general VPN construction as described above, it is necessary to change some of the existing network devices in the company to VPN dedicated devices or to change the existing network configuration. In addition, it takes a certain amount of time to complete the construction of a new VPN.

従って、例えば、ある期間だけ特定の拠点間をVPNで接続したいという要望があっても、既存ネットワークの設定変更等の手間やコストを考慮すると、そのような要望に応えることは困難であった。また、ある拠点内での特定のメンバーと、他の拠点内の特定のメンバーのみをVPNに参加させるといった柔軟な接続形態をとることも従来技術では困難であった。   Therefore, for example, even if there is a request to connect a specific base with a VPN for a certain period of time, it is difficult to meet such a request in consideration of the effort and cost of changing the settings of the existing network. In addition, it has been difficult in the prior art to adopt a flexible connection form in which only a specific member in one base and a specific member in another base participate in the VPN.

本発明は上記の点に鑑みてなされたものであり、既存のネットワークの構成を変更することなく容易にVPNを構築でき、VPNに参加するホスト装置を柔軟に設定可能な技術を提供することを目的とする。   The present invention has been made in view of the above points, and it is possible to easily construct a VPN without changing the configuration of an existing network, and to provide a technology capable of flexibly setting a host device participating in the VPN. Objective.

上記の課題を解決するために、本発明は、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、前記対向VPN接続装置の識別情報と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、前記判定手段により含まれると判定された場合に、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた前記識別情報で識別される前記VPNを利用して前記パケットを前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備えたことを特徴とするVPN接続装置として構成される。 In order to solve the above problems, the present invention is a VPN connection device having a function of setting a VPN between a counter VPN connection device, a network connection means for connecting to a communication network, and the VPN Host device connection means for connecting a host device to be used , identification information of the opposite VPN connection device, an address of the opposite host device using the VPN on the opposite VPN connection device side, and the VPN connection device to the VPN connection device Storage means for storing VPN transfer condition information including the address of a host device that uses the VPN connected by the host device connection means, and a host device connected to the VPN connection device via the host device connection means Determining means for receiving a packet and determining whether a pair of destination address and source address of the packet is included in the VPN transfer condition information stored in the storage means; and If it is determined to be included by means of the packet by using the VPN identified by the identification information associated with the set of destination address and source address of the packet to the counter VPN connection apparatus And a packet control means for transmitting via the network connection means.

また、本発明は、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、通信ネットワークに接続するための網接続手段と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、前記対向VPN接続装置の識別情報と、前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、前記判定手段により含まれると判定された場合に、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた前記識別情報で識別される前記VPNを利用して前記パケットを前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備えたことを特徴とするVPN接続装置として構成することもできる。
Further, the present invention is a VPN connection device having a function of setting a VPN between the opposite VPN connection device, a network connection means for connecting to a communication network, and the VPN on the opposite VPN connection device side. As a virtual address of the opposite host device to be used, an address is obtained using an address distribution means arranged in the communication network, and an address acquisition means for setting in the VPN connection device; identification information of the opposite VPN connection device; the virtual address, which is connected via the network connection unit to the VPN connection device, a storage unit for storing the VPN forwarding condition information including the address of the host device using the VPN, the said VPN connection device A packet having the virtual address as a destination address is received from a host device connected via a network connection means, and the destination address and source address of the packet are received. And set the determination means for determining whether included in the VPN forwarding condition information stored in said storage means, if it is determined to contain by the determination means, a set of destination address and source address of the packet Packet control means for transmitting the packet to the opposite VPN connection apparatus side via the network connection means using the VPN identified by the identification information associated with the network. It can also be configured as a VPN connection device.

本発明によれば、VPN接続装置を既存のネットワークに設置することにより、既存ネットワークの構成を変更することなしに容易にVPNを構築できるようになる。また、ホスト装置から送出されるパケットのアドレス等を参照し、VPN転送条件情報に基づきパケットをVPNに送出するかどうかを判定するように構成したため、VPN転送条件情報を適宜設定することによりVPNに参加するホスト装置を柔軟に設定できる。   According to the present invention, a VPN can be easily constructed without changing the configuration of an existing network by installing the VPN connection device in the existing network. In addition, it is configured to refer to the address of the packet sent from the host device and determine whether to send the packet to the VPN based on the VPN transfer condition information. The host device to participate can be set flexibly.

以下、図面を参照して本発明の実施の形態について説明する。以下では、2つの方式を第1の実施の形態及び第2の実施の形態として説明する。   Embodiments of the present invention will be described below with reference to the drawings. In the following, the two methods will be described as the first embodiment and the second embodiment.

<第1の実施の形態>
(システム構成)
図1に第1の実施の形態に係るシステムの構成図を示す。図1に示すように、第1の実施の形態に係るシステムは、プライベートネットワーク100とプライベートネットワーク200とがインターネット300を介して接続されるとともに、通信制御サーバ310がインターネット300に接続されている。 <First Embodiment>
(System configuration)
FIG. 1 shows a configuration diagram of a system according to the first embodiment. As shown in FIG. 1, in the system according to the first embodiment, a private network 100 and a private network 200 are connected via the Internet 300, and a communication control server 310 is connected to the Internet 300.

プライベートネットワーク100は、インターネット300にルータ110を介して接続され、プライベートネットワーク200は、インターネット300にルータ210を介して接続されている。   The private network 100 is connected to the Internet 300 via a router 110, and the private network 200 is connected to the Internet 300 via a router 210.

プライベートネットワーク100では、ホスト装置130、ホスト装置120、及びVPN装置140が備えられる。ホスト装置130とVPN装置140はLANに接続され、ホスト装置120はVPN装置140に接続される。このように、既存ネットワーク(LAN)とVPNに参加するホスト装置の間にVPN装置140を挟み込む形で設置することにより、VPN装置140は、その配下に接続されるホスト装置から送出されるパケットを常時監視可能になっている。   The private network 100 includes a host device 130, a host device 120, and a VPN device 140. The host device 130 and the VPN device 140 are connected to the LAN, and the host device 120 is connected to the VPN device 140. In this way, by installing the VPN device 140 between the existing network (LAN) and the host device participating in the VPN, the VPN device 140 allows the packet sent from the host device connected to the VPN device 140 to be transmitted. Monitoring is always possible.

同様に、プライベートネットワーク200では、ホスト装置230、ホスト装置220、及びVPN装置240が備えられる。ホスト装置230とVPN装置240はLANに接続され、ホスト装置220はVPN装置240に接続される。   Similarly, the private network 200 includes a host device 230, a host device 220, and a VPN device 240. The host device 230 and the VPN device 240 are connected to the LAN, and the host device 220 is connected to the VPN device 240.

なお、図1に示すシステムでは、2つの拠点が示され、VPN装置配下に1つのホスト装置が示されているが、これらは代表として示されているだけであり、実際にはより多くの拠点及びホスト装置が接続され得る。   In the system shown in FIG. 1, two bases are shown and one host device is shown under the VPN device. However, these are only shown as representatives, and more bases are actually shown. And a host device can be connected.

図1に示すシステムにおいて、通信制御サーバ310は、VPN装置140とVPN装置240との間にセキュアな通信路であるVPNを構築するための制御を行う装置である。本実施の形態では、通信制御サーバ310はSIPサーバであり、VPN装置間での通信制御サーバ310を介したSIPによるメッセージ交換により名前解決や鍵交換を行って、VPN装置間でVPNを確立している。このような方式によるセキュアな通信路の確立方法自体は既存技術である。   In the system shown in FIG. 1, the communication control server 310 is a device that performs control for building a VPN, which is a secure communication path, between the VPN device 140 and the VPN device 240. In this embodiment, the communication control server 310 is a SIP server, and name exchange and key exchange are performed by exchanging messages between the VPN devices via the SIP via the communication control server 310 to establish a VPN between the VPN devices. ing. A method for establishing a secure communication path by such a method is an existing technology.

図2に、VPN装置140の機能構成図を示す。VPN装置240はVPN装置140と同じ構成であるので、VPN装置140のみについて説明する。   FIG. 2 shows a functional configuration diagram of the VPN device 140. Since the VPN device 240 has the same configuration as the VPN device 140, only the VPN device 140 will be described.

図2に示すように、VPN装置140は、PVN(プライベートネットワーク)側インターフェース部146、制御部148、VPN配下端末側インターフェース部147、Web設定インターフェース部144、データベース145を有する。制御部148は、パケット取得制御部141、通信制御部142、NAT制御部143を有する。   As illustrated in FIG. 2, the VPN apparatus 140 includes a PVN (private network) side interface unit 146, a control unit 148, a VPN subordinate terminal side interface unit 147, a web setting interface unit 144, and a database 145. The control unit 148 includes a packet acquisition control unit 141, a communication control unit 142, and a NAT control unit 143.

PVN(プライベートネットワーク)側インターフェース部146は、プライベートネットワーク100を構成するLANとの間でデータの送受信を行うための機能部である。VPN配下端末側インターフェース部147は、VPN装置140を利用したVPN通信を可能とするためにVPN装置140に接続されるホスト装置(端末)との間でパケットの送受信を行うための機能部である。   The PVN (private network) side interface unit 146 is a functional unit for transmitting and receiving data to and from the LAN configuring the private network 100. The VPN subordinate terminal side interface unit 147 is a functional unit for transmitting and receiving packets to and from a host device (terminal) connected to the VPN device 140 in order to enable VPN communication using the VPN device 140. .

Web設定インターフェース部144は、VPN装置140に接続される端末に対してWeb画面を提供し、そのWeb画面から種々の設定情報を入力するための機能部である。データベース145は、設定情報を格納するための記憶部である。   The web setting interface unit 144 is a functional unit for providing a web screen to a terminal connected to the VPN apparatus 140 and inputting various setting information from the web screen. The database 145 is a storage unit for storing setting information.

制御部148における通信制御部142は、通信制御サーバ310を介して対向側のVPN装置240との間でSIPに基づくメッセージ送受信を行うことにより、VPN装置140とVPN装置240間でVPNを設定する機能を有する。また、通信制御部142は、パケット取得制御部141からパケットを受け取り、VPNを用いて相手側にパケットを送信する機能、及び、VPNを介して受信したパケットをパケット取得制御部141に渡す機能も有する。更に、通信制御部142は、パケットをVPNを介して送信するかどうかの判定を行うVPN転送条件の情報を生成し、データベース145に格納する機能も有する。   The communication control unit 142 in the control unit 148 sets a VPN between the VPN device 140 and the VPN device 240 by performing message transmission / reception based on SIP with the VPN device 240 on the opposite side via the communication control server 310. It has a function. The communication control unit 142 also has a function of receiving a packet from the packet acquisition control unit 141 and transmitting the packet to the other party using the VPN, and a function of passing the packet received via the VPN to the packet acquisition control unit 141. Have. Further, the communication control unit 142 has a function of generating information on VPN transfer conditions for determining whether or not to transmit a packet via a VPN and storing the information in the database 145.

NAT制御部143は、ルータ110がNAT機能を備える場合に、SIP通信等のパケット通信を正常に行うためにNAT越えのための制御を行う機能部である。NAT越えの技術自体は既存技術を用いることができる。   The NAT control unit 143 is a functional unit that performs control for NAT traversal in order to normally perform packet communication such as SIP communication when the router 110 has a NAT function. Existing technology can be used for NAT traversal technology itself.

パケット取得制御部141は、VPN装置140の配下のホスト装置から受信したパケットに含まれる情報が、データベース145に格納されているVPN転送条件に合致するかどうかを調べ、合致する場合に、該当のVPNを用いてパケットを送信することを決定する機能を有する。また、パケット取得制御部141は、VPNから受信したパケットに含まれる情報が、データベース145に格納されている情報に合致するかどうかを調べることにより、当該パケットを宛先のホスト装置に転送するかどうかを決定する機能も有する。   The packet acquisition control unit 141 checks whether the information included in the packet received from the host device under the control of the VPN device 140 matches the VPN transfer condition stored in the database 145. It has a function to decide to transmit a packet using VPN. Further, the packet acquisition control unit 141 checks whether the information included in the packet received from the VPN matches the information stored in the database 145, thereby determining whether to transfer the packet to the destination host device. It also has the function of determining

VPN装置140は、例えば、CPUやメモリ等の記憶装置等を有し、通信プログラム、Web用プログラム、データベース用プログラム等の一般的なプログラムを備えたコンピュータに、制御部148の機能に対応するプログラムを実行させることにより実現可能である。当該プログラムは、メモリ等の記録媒体に格納しておき、当該記録媒体から上記コンピュータにインストールすることが可能である。   The VPN device 140 has, for example, a storage device such as a CPU and a memory, and a program corresponding to the function of the control unit 148 in a computer having a general program such as a communication program, a Web program, and a database program. This can be realized by executing. The program can be stored in a recording medium such as a memory and installed in the computer from the recording medium.

(システムの動作)
以下、図1、図2に示したシステムにおける動作例を図3、4に示したシーケンスチャートを参照して説明する。以下の例では、プライベートネットワーク100におけるホスト装置120とプライベートネットワーク200におけるホスト装置220間で、VPNを介した通信が行われる。 (System operation)
Hereinafter, an operation example of the system shown in FIGS. 1 and 2 will be described with reference to the sequence charts shown in FIGS. In the following example, communication via a VPN is performed between the host device 120 in the private network 100 and the host device 220 in the private network 200.

まず、VPN装置140の通信制御部142が、通信制御サーバ310に対して登録要求メッセージを送信する(ステップ11)。この登録要求メッセージには、VPN装置140の識別情報と、VPN装置140に対応するIPアドレスが含まれ、通信制御サーバ310において、当該識別情報とIPアドレスが対応付けて格納されることにより登録が行われる。登録が行われた後、応答メッセージが返される(ステップ12)。VPN装置240においても同様の登録処理が行われる(ステップ13、14)。   First, the communication control unit 142 of the VPN device 140 transmits a registration request message to the communication control server 310 (step 11). This registration request message includes the identification information of the VPN device 140 and the IP address corresponding to the VPN device 140, and the communication control server 310 stores the identification information and the IP address in association with each other to register the information. Done. After registration, a response message is returned (step 12). A similar registration process is performed in the VPN device 240 (steps 13 and 14).

続いて、プライベートネットワーク100側のホスト装置120のユーザが、ホスト装置120からWeb設定I/F部144にアクセスすることにより、VPN構築に必要な情報の入力を行う(ステップ15、16)。   Subsequently, the user of the host device 120 on the private network 100 side accesses the Web setting I / F unit 144 from the host device 120 to input information necessary for VPN construction (steps 15 and 16).

本実施形態では、VPN装置140の接続相手はVPN装置240であり、VPN装置140の配下でVPN装置140とVPN装置240との間のVPNを使用した通信を行うのはホスト装置120であることから、ここでは、VPN装置140の識別情報(VPN-Aとする)及びVPN装置240の識別情報(VPN-Bとする)と、ホスト装置120のIPアドレス(アドレスAとする)が入力され、これらがデータベース145に格納される。なお、本例では、ホスト装置120からVPN装置140に対する情報設定を行っているが、情報設定は任意の端末から行ってよい。   In the present embodiment, the VPN apparatus 140 is connected to the VPN apparatus 240, and the host apparatus 120 performs communication between the VPN apparatus 140 and the VPN apparatus 240 under the VPN apparatus 140. From here, the identification information of VPN device 140 (referred to as VPN-A), the identification information of VPN device 240 (referred to as VPN-B), and the IP address of host device 120 (referred to as address A) are input. These are stored in the database 145. In this example, information setting is performed from the host device 120 to the VPN device 140, but information setting may be performed from an arbitrary terminal.

プライベートネットワーク100側と同様にして、プライベートネットワーク200の側では、VPN装置240の識別情報(VPN-B)及びVPN装置140の識別情報(VPN-A)と、ホスト装置220のIPアドレス(アドレスB)がデータベース245に格納される(ステップ17、18)。   Similar to the private network 100 side, on the private network 200 side, the identification information (VPN-B) of the VPN device 240 and the identification information (VPN-A) of the VPN device 140 and the IP address (address B of the host device 220). ) Is stored in the database 245 (steps 17 and 18).

続いて、本例では、ホスト装置120からWeb設定I/F部144に対してVPN装置140とVPN装置240間でVPNを設定する旨の指示を行う(ステップ19)。この指示には、それぞれの識別情報(VPN-A、VPN-B)が含まれる。   Subsequently, in this example, the host device 120 instructs the Web setting I / F unit 144 to set a VPN between the VPN device 140 and the VPN device 240 (step 19). This instruction includes identification information (VPN-A, VPN-B).

通信制御部142は、Web設定I/F部144から指示を受けとり(ステップ20)、接続要求メッセージを通信制御サーバ310に送信する(ステップ21)。本実施の形態において、接続要求メッセージはINVITEメッセージであり、INVITEメッセージには、宛先の識別情報としてVPN-Bが含まれ、送信元の識別情報としてVPN-Aが含まれている。   The communication control unit 142 receives an instruction from the Web setting I / F unit 144 (step 20), and transmits a connection request message to the communication control server 310 (step 21). In the present embodiment, the connection request message is an INVITE message, and the INVITE message includes VPN-B as destination identification information and VPN-A as transmission source identification information.

接続要求メッセージを受信した通信制御サーバ310では、VPN-Bに基づき登録情報からVPN装置240のIPアドレスを取得し、そのIPアドレス宛に接続要求メッセージを転送する(ステップ22)。接続要求メッセージを受信した通信制御部242は、接続要求に係るVPN接続(VPN装置140との接続)を行うことが設定されているかどうかをデータベース245を参照して確認する(ステップ23)。ここでは、ステップ17、18において設定が行われているので、通信制御部242は、応答メッセージを通信制御サーバ310を介してVPN装置140に返す(ステップ24〜26)。   The communication control server 310 that has received the connection request message acquires the IP address of the VPN device 240 from the registration information based on VPN-B, and transfers the connection request message to the IP address (step 22). The communication control unit 242 that has received the connection request message confirms with reference to the database 245 whether or not the VPN connection (connection with the VPN device 140) related to the connection request is set (step 23). Here, since the settings have been made in steps 17 and 18, the communication control unit 242 returns a response message to the VPN apparatus 140 via the communication control server 310 (steps 24-26).

このような処理により、VPN装置140とVPN装置240との間でセキュアな通信路であるVPNが確立される(ステップ27)。   Through such processing, a VPN, which is a secure communication path, is established between the VPN device 140 and the VPN device 240 (step 27).

その後、通信制御部142は、ステップ16で保存した情報から、VPN装置140の識別情報(VPN-A、対向VPN装置にとってVPNの識別情報でもある)と、その配下のホスト装置120のIPアドレス(アドレスA)とを読み出し(ステップ28)、それらをVPNを利用してVPN装置240に送信する(ステップ29)。同様に、VPN装置240の通信制御部242は、ステップ18で保存した情報から、自身の識別情報(VPN-B)と、その配下のホスト装置220のIPアドレス(アドレスB)とを読み出し、それらをVPNを利用してVPN装置140に送信する(ステップ30、31)。   Thereafter, the communication control unit 142 uses the information stored in Step 16 to identify the VPN device 140 identification information (VPN-A, which is also VPN identification information for the opposite VPN device), and the IP address of the subordinate host device 120 ( Address A) is read out (step 28) and transmitted to the VPN apparatus 240 using the VPN (step 29). Similarly, the communication control unit 242 of the VPN device 240 reads out its own identification information (VPN-B) and the IP address (address B) of the subordinate host device 220 from the information stored in step 18, and Is transmitted to the VPN apparatus 140 using VPN (steps 30 and 31).

対向のVPN装置240から上記情報を受け取った通信制御部142は、既に保存してある情報とあわせて、受け取った情報をテーブルとしてデータベース145に格納する(ステップ32)。当該テーブルの例を図5に示す。   The communication control unit 142 that has received the information from the opposing VPN device 240 stores the received information in the database 145 as a table together with the information that has already been saved (step 32). An example of the table is shown in FIG.

図5に示すテーブルには、自分(VPN装置140)に対してVPN接続される相手のVPN装置240の識別情報(VPN-B)、自分(VPN装置140)に接続されており、かつ、VPN装置140とVPN装置240との間のVPNを利用するホスト装置として指定されたホスト装置のアドレス(アドレスA)、及び、VPN装置240とVPN装置140との間のVPNを利用するホスト装置として相手側で指定されたホスト装置のアドレス(アドレスB)が格納される。同様にして、VPN装置240側のデータベース245には、図6に示すテーブルが格納される(図3のステップ33)。なお、図5には、VPN-Cで識別される対向VPN装置に係る設定も示されている。この設定では、ホスト装置120は、VPN-Cで識別される対向VPN装置配下のアドレスCのホスト装置ともVPN通信可能である。   In the table shown in FIG. 5, the identification information (VPN-B) of the other VPN device 240 that is VPN-connected to the user (VPN device 140), the information connected to the user (VPN device 140), and the VPN The host device address (address A) designated as the host device that uses the VPN between the device 140 and the VPN device 240, and the partner as the host device that uses the VPN between the VPN device 240 and the VPN device 140 The address (address B) of the host device specified on the host side is stored. Similarly, the database 245 on the VPN device 240 side stores the table shown in FIG. 6 (step 33 in FIG. 3). FIG. 5 also shows settings related to the opposing VPN device identified by VPN-C. In this setting, the host device 120 can also perform VPN communication with the host device of the address C under the opposing VPN device identified by VPN-C.

上記の例では、VPN転送条件として、IPアドレスを用いているが、IPアドレスの他にMACアドレスを用いてもよい。また、アドレスに加えて、プロトコルを条件として用いてもよい。第2の実施の形態でも同様である。   In the above example, an IP address is used as the VPN transfer condition, but a MAC address may be used in addition to the IP address. In addition to the address, a protocol may be used as a condition. The same applies to the second embodiment.

次に、ホスト装置120からパケットを送信する場合の例1、例2について図4を参照して説明する。   Next, Example 1 and Example 2 in the case of transmitting a packet from the host device 120 will be described with reference to FIG.

例1は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、プライベートネットワーク100、200外のグローバルなアドレスである場合の例である。   Example 1 is an example where the destination address set in the header of a packet sent from the host device 120 is a global address outside the private networks 100 and 200.

この場合、ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ41)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図5に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組がテーブルに存在するかどうかをチェックするための検索を行う(ステップ42、43)。例1では、宛先アドレスはテーブルに設定されていないので、検索に失敗する。検索に失敗した場合、パケット取得制御部141は、VPNを用いることなくパケットをPVN側インターフェース部146を介して送出する。すると、パケットは、VPNを介さずに、通常のルーティングに従って、宛先に届けられる(ステップ44)。   In this case, the packet transmitted from the host device 120 is received by the VPN device 140 and acquired by the packet acquisition control unit 141 in the VPN device 140 (step 41). The packet acquisition control unit 141 acquires the source address and destination address of the packet from the packet header. Then, the packet acquisition control unit 141 refers to the table shown in FIG. 5 and performs a search for checking whether the combination of the transmission source address and the destination address exists in the table (steps 42 and 43). In Example 1, since the destination address is not set in the table, the search fails. When the search fails, the packet acquisition control unit 141 transmits the packet via the PVN side interface unit 146 without using the VPN. Then, the packet is delivered to the destination according to the normal routing without going through the VPN (step 44).

例2は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、ホスト装置220のアドレス(アドレスB)である場合の例である。   Example 2 is an example where the destination address set in the header of the packet sent from the host device 120 is the address (address B) of the host device 220.

ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ51)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図5に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ52、53)。例2では、上記送信元アドレス及び宛先アドレスの組であるアドレスAとアドレスBの組がテーブルに設定されているので、検索に成功する。   The packet transmitted from the host device 120 is received by the VPN device 140 and acquired by the packet acquisition control unit 141 in the VPN device 140 (step 51). The packet acquisition control unit 141 acquires the source address and destination address of the packet from the packet header. Then, the packet acquisition control unit 141 refers to the table shown in FIG. 5 and performs a search based on the combination of the transmission source address and the destination address (steps 52 and 53). In Example 2, since the set of address A and address B, which is a set of the source address and the destination address, is set in the table, the search is successful.

そして、パケット取得制御部141は、アドレスAとアドレスBの組に対応する接続先のVPN装置の識別情報(VPN-B)を取得し(ステップ53)、ホスト装置120から受信したパケットを送出すべきVPNは、VPN-Bに対して設定されたVPNであると判定する。そして、パケット取得制御部141は、VPN-Bとパケットを通信制御部142に渡し(ステップ54)、通信制御部142は、パケットを当該VPNを用いて送信する(ステップ55)。なお、パケットの宛先がアドレスCであったならば、図5のテーブルより、VPN-Cに対して設定されたVPNを利用してパケットが送信されることになる。   Then, the packet acquisition control unit 141 acquires the identification information (VPN-B) of the connection destination VPN device corresponding to the pair of address A and address B (step 53), and sends the packet received from the host device 120. The VPN that should be determined is the VPN set for VPN-B. Then, the packet acquisition control unit 141 passes VPN-B and the packet to the communication control unit 142 (step 54), and the communication control unit 142 transmits the packet using the VPN (step 55). If the destination of the packet is address C, the packet is transmitted using the VPN set for VPN-C from the table of FIG.

通信制御部142から送信されたパケットは、VPN装置240の通信制御部240により受信され、通信制御部240は受信したパケットをパケット取得制御部241に渡す(ステップ56)。パケット取得制御部241は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得し、図6に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ57、58)。ここでは、検索に成功し、パケット取得制御部241は、パケットを宛先であるホスト装置220に送信する(ステップ59)。もし、ここで検索に失敗した場合には、例えば、ホスト装置220に送信することなく、パケットを廃棄する。なお、パケットの受信側では、上記のようなテーブルを参照したチェックを行わずにパケットを宛先に送信してもよい。   The packet transmitted from the communication control unit 142 is received by the communication control unit 240 of the VPN device 240, and the communication control unit 240 passes the received packet to the packet acquisition control unit 241 (step 56). The packet acquisition control unit 241 acquires the transmission source address and the destination address of the packet from the header of the packet, refers to the table shown in FIG. 6, and performs a search based on the combination of the transmission source address and the destination address (step 57). 58). Here, the search is successful, and the packet acquisition control unit 241 transmits the packet to the host device 220 that is the destination (step 59). If the search fails here, for example, the packet is discarded without being transmitted to the host device 220. Note that the packet receiving side may transmit the packet to the destination without performing a check referring to the table as described above.

<第2の実施の形態>
次に、本発明の第2の実施の形態について説明する。 <Second Embodiment>
Next, a second embodiment of the present invention will be described.

(システム構成)
図7に第2の実施の形態に係るシステムの構成図を示す。図7に示すように、第2の実施の形態に係るシステムは、プライベートネットワーク100とプライベートネットワーク200とがインターネット300を介して接続されるとともに、通信制御サーバ310がインターネット300に接続されている。 (System configuration)
FIG. 7 shows a configuration diagram of a system according to the second embodiment. As shown in FIG. 7, in the system according to the second embodiment, a private network 100 and a private network 200 are connected via the Internet 300, and a communication control server 310 is connected to the Internet 300.

プライベートネットワーク100は、インターネット300にルータ110を介して接続され、プライベートネットワーク200は、インターネット300にルータ210を介して接続されている。   The private network 100 is connected to the Internet 300 via a router 110, and the private network 200 is connected to the Internet 300 via a router 210.

プライベートネットワーク100では、ホスト装置130、ホスト装置120、及びVPN装置140が備えられる。ホスト装置120、ホスト装置130、及びVPN装置150はそれぞれLANに接続される。このように、本実施の形態では、第1の実施の形態と異なり、VPN装置150の配下にホスト装置は接続されず、各ホスト装置とVPN装置140が同等にLANに接続される。   The private network 100 includes a host device 130, a host device 120, and a VPN device 140. The host device 120, the host device 130, and the VPN device 150 are each connected to a LAN. Thus, in the present embodiment, unlike the first embodiment, the host device is not connected to the VPN device 150, and each host device and the VPN device 140 are equally connected to the LAN.

プライベートネットワーク200でも同様に、ホスト装置220、ホスト装置230、及びVPN装置250はそれぞれLANに接続される。   Similarly, in the private network 200, the host device 220, the host device 230, and the VPN device 250 are each connected to a LAN.

図7に示す通信制御サーバ310は、第1の実施の形態で説明した通信制御サーバ310と同じものである。   The communication control server 310 shown in FIG. 7 is the same as the communication control server 310 described in the first embodiment.

図8に、第2の実施の形態におけるVPN装置150の機能構成図を示す。VPN装置150はVPN装置250と同じ構成であるので、VPN装置150のみについて説明する。   FIG. 8 shows a functional configuration diagram of the VPN apparatus 150 according to the second embodiment. Since the VPN device 150 has the same configuration as the VPN device 250, only the VPN device 150 will be described.

図8に示すように、VPN装置150は、制御部157、インターフェース部156、Web設定インターフェース部154、データベース155を有する。制御部157は、パケット取得制御部151、通信制御部152、NAT制御部153を有する。   As illustrated in FIG. 8, the VPN apparatus 150 includes a control unit 157, an interface unit 156, a web setting interface unit 154, and a database 155. The control unit 157 includes a packet acquisition control unit 151, a communication control unit 152, and a NAT control unit 153.

インターフェース部156は、第1の実施の形態におけるPVN側インターフェース部146と同様のものであり、プライベートネットワークを構成するLANとの間でデータの送受信を行うための機能部である。また、Web設定インターフェース部154、通信制御部152、NAT制御部153は、それぞれ第1の実施の形態におけるWeb設定インターフェース部144、通信制御部142、NAT制御部143と同様の機能を有するものである。データベース155は、第1の実施の形態におけるデータベース145と同様に、各種設定情報を格納する格納部であるが、格納する情報の内容は異なる。また、通信制御部152が生成するVPN転送条件情報は、通信制御部142が生成するVPN転送条件情報と異なる。   The interface unit 156 is the same as the PVN-side interface unit 146 in the first embodiment, and is a functional unit for transmitting and receiving data to and from the LAN configuring the private network. The web setting interface unit 154, the communication control unit 152, and the NAT control unit 153 have the same functions as the web setting interface unit 144, the communication control unit 142, and the NAT control unit 143 in the first embodiment, respectively. is there. Similar to the database 145 in the first embodiment, the database 155 is a storage unit that stores various setting information, but the contents of the stored information are different. Further, the VPN transfer condition information generated by the communication control unit 152 is different from the VPN transfer condition information generated by the communication control unit 142.

パケット取得制御部151は、ルータ110等に備えられているIPアドレス配布手段(DHCPサーバ機能等)に対して要求を行うことにより、IPアドレスを取得し、取得したIPアドレスをVPN装置150に設定する機能、及び、設定したIPアドレス宛(つまり自分自身に)送られてきたパケットを取得し、当該パケットに含まれる情報が、データベース155に格納されているVPN転送条件に合致するかどうかを調べ、合致する場合に、該当のVPNを用いてパケットを送信することを決定する機能を有する。また、パケット取得制御部151は、VPNを介して受信したパケットに含まれる情報が、データベース155に格納されている情報に合致するかどうかを調べることにより、当該パケットを宛先のホスト装置に転送するかどうかを決定する機能も有する。   The packet acquisition control unit 151 acquires an IP address by making a request to the IP address distribution means (DHCP server function or the like) provided in the router 110 or the like, and sets the acquired IP address in the VPN device 150 Function, and the packet sent to the set IP address (that is, to itself) is acquired, and it is checked whether the information included in the packet matches the VPN transfer conditions stored in the database 155 In the case of a match, it has a function of determining to transmit a packet using the corresponding VPN. Further, the packet acquisition control unit 151 forwards the packet to the destination host device by checking whether the information included in the packet received via the VPN matches the information stored in the database 155. It also has a function of determining whether or not.

VPN装置150は、例えば、CPUやメモリ等の記憶装置等を有し、通信プログラム、Web用プログラム、データベース用プログラム等の一般的なプログラムを備えたコンピュータに、制御部157の機能に対応するプログラムを実行させることにより実現可能である。   The VPN device 150 includes a storage device such as a CPU and a memory, and has a program corresponding to the function of the control unit 157 in a computer having a general program such as a communication program, a Web program, and a database program. This can be realized by executing.

(システムの動作)
以下、図7、図8に示したシステムにおける動作例を図9、10に示したシーケンスチャートを参照して説明する。以下の例では、プライベートネットワーク100におけるホスト装置120とプライベートネットワーク200におけるホスト装置220間で、VPNを介した通信が行われるものとする。また、第1の実施の形態と同様に、ホスト装置120のIPアドレスをアドレスA、ホスト装置220のIPアドレスをアドレスB、VPN装置150の識別情報をVPN-A、VPN装置250の識別情報をVPN-Bとする。 (System operation)
Hereinafter, an operation example of the system shown in FIGS. 7 and 8 will be described with reference to the sequence charts shown in FIGS. In the following example, it is assumed that communication via a VPN is performed between the host device 120 in the private network 100 and the host device 220 in the private network 200. As in the first embodiment, the IP address of the host device 120 is the address A, the IP address of the host device 220 is the address B, the identification information of the VPN device 150 is VPN-A, and the identification information of the VPN device 250 is VPN-B.

まず、VPN装置150におけるパケット取得制御部151が、他のホスト装置と同様にして、アドレス配布手段を利用してIPアドレスを取得し、VPN装置150に設定する(ステップ61、62)。VPN装置250の側でも同様にIPアドレスが取得され、設定される(ステップ63、64)。   First, the packet acquisition control unit 151 in the VPN apparatus 150 acquires an IP address using the address distribution unit and sets it in the VPN apparatus 150 in the same manner as other host apparatuses (steps 61 and 62). The IP address is similarly acquired and set on the VPN device 250 side (steps 63 and 64).

次に、第1の実施の形態におけるステップ11、12の処理と同様に、VPN装置150の通信制御部152が、通信制御サーバ310に対して登録要求メッセージを送信し、応答メッセージを受信する(ステップ65、66)。VPN装置250においても同様の登録処理が行われる(ステップ67、68)。   Next, similarly to the processing of steps 11 and 12 in the first embodiment, the communication control unit 152 of the VPN apparatus 150 transmits a registration request message to the communication control server 310 and receives a response message ( Steps 65 and 66). Similar registration processing is performed in the VPN device 250 (steps 67 and 68).

続いて、第1の実施の形態におけるステップ15、16の処理と同様に、プライベートネットワーク100側のホスト装置120のユーザが、ホスト装置120からWeb設定I/F部154にアクセスすることにより、VPN構築に必要な情報の入力を行う(ステップ69、70)。VPN装置250側でも同様である(ステップ71、72)。ここで各データベースに格納される情報は第1の実施の形態と同じである。つまり、VPN装置150側のデータベース155には、VPN-A、VPN-B、アドレスAが格納され、VPN装置250側のデータベース255には、VPN-A、VPN-B、アドレスBが格納される。   Subsequently, as in the processing of steps 15 and 16 in the first embodiment, the user of the host device 120 on the private network 100 side accesses the Web setting I / F unit 154 from the host device 120, so that the VPN Information necessary for construction is input (steps 69 and 70). The same applies to the VPN device 250 (steps 71 and 72). Here, the information stored in each database is the same as in the first embodiment. That is, VPN-A, VPN-B, and address A are stored in the database 155 on the VPN device 150 side, and VPN-A, VPN-B, and address B are stored in the database 255 on the VPN device 250 side. .

続いて、第1の実施の形態と同様の手順で、VPNが確立される(ステップ73)。   Subsequently, a VPN is established by the same procedure as in the first embodiment (step 73).

その後、第1の実施の形態と同様にして、通信制御部152は、ステップ70で保存した情報から、VPN装置150の識別情報(VPN-A)と、VPNを利用するものとして指定されたホスト装置120のIPアドレス(アドレスA)とを読み出し(ステップ74)、それらをVPNを利用してVPN装置250に送信する(ステップ75)。同様に、VPN装置250の通信制御部252は、ステップ72で保存した情報から、自身の識別情報(VPN-B)と、ホスト装置220のIPアドレス(アドレスB)とを読み出し、それらをVPNを利用してVPN装置150に送信する(ステップ76、77)。   After that, in the same manner as in the first embodiment, the communication control unit 152 uses the information stored in step 70 to identify the VPN device 150 identification information (VPN-A) and the host designated to use the VPN. The IP address (address A) of the device 120 is read (step 74) and transmitted to the VPN device 250 using the VPN (step 75). Similarly, the communication control unit 252 of the VPN device 250 reads out its own identification information (VPN-B) and the IP address (address B) of the host device 220 from the information stored in step 72, and uses them as a VPN. The data is transmitted to the VPN device 150 by using it (steps 76 and 77).

対向のVPN装置250から上記情報を受け取った通信制御部152は、既に保存してある情報とあわせて受け取った情報をテーブルとしてデータベース145に格納する(ステップ78)。VPN装置250側でも同様である(ステップ79)。   The communication control unit 152 that has received the above information from the opposing VPN device 250 stores the received information together with the already stored information in the database 145 as a table (step 78). The same applies to the VPN device 250 (step 79).

この時点では、VPN装置150、VPN装置250の各データベースに格納される情報は、図5、、図6に示したものと同様である。   At this time, the information stored in each database of the VPN device 150 and the VPN device 250 is the same as that shown in FIGS.

次に、VPN装置150のパケット取得制御部151は、テーブル(図5に示したものと同様)を参照することにより、VPN接続先においてVPNを利用してVPN装置150側と通信を行うホスト装置の数を決定する(ステップ80)。本例ではその数は1(ホスト装置120のみ)とする。そして、その数の分だけのIPアドレスをルータ110のアドレス配布手段に要求し、その数分のIPアドレスを取得し、VPN装置150に設定する(ステップ81、82)。すなわち、この時点で、VPN装置150は、プライベートネットワーク100において上記IPアドレスを宛先として送出されたパケットを、自分宛のパケットとして取得できる状態にある。   Next, the packet acquisition control unit 151 of the VPN device 150 refers to the table (similar to that shown in FIG. 5), and uses the VPN at the VPN connection destination to communicate with the VPN device 150 side. Is determined (step 80). In this example, the number is 1 (only the host device 120). Then, IP addresses corresponding to the number are requested to the address distribution means of the router 110, and the IP addresses corresponding to the number are acquired and set in the VPN apparatus 150 (steps 81 and 82). In other words, at this point, the VPN apparatus 150 is in a state where it can acquire a packet sent to the private network 100 destined for the IP address as a packet addressed to itself.

そして、パケット取得制御部151は、取得したIPアドレスを、VPN装置250側のホスト装置に割り当てる。つまり、テーブルにおけるVPN装置250側のホスト装置のIPアドレスに対応付けて格納する(ステップ83)。このIPアドレスは、実際にはVPN装置150に割り当てられ、仮想的にVPN装置250側のホスト装置に割り当てられるものであるから、仮想アドレスと称してよい。   Then, the packet acquisition control unit 151 assigns the acquired IP address to the host device on the VPN device 250 side. That is, the table is stored in association with the IP address of the host device on the VPN device 250 side (step 83). Since this IP address is actually assigned to the VPN device 150 and virtually assigned to the host device on the VPN device 250 side, it may be referred to as a virtual address.

本例では、VPN装置250側のホスト装置は1つ(ホスト装置220)なので、取得したIPアドレスは、そのホスト装置220に割り当てられられる。その結果、データベース155に格納されるテーブルとして、図11に示すテーブルが得られる。   In this example, since there is one host device (host device 220) on the VPN device 250 side, the acquired IP address is assigned to the host device 220. As a result, the table shown in FIG. 11 is obtained as the table stored in the database 155.

VPN装置250側でも同様の処理が行われ(ステップ84〜87)、データベース255には、図12に示すテーブルが格納される。   The same processing is also performed on the VPN device 250 side (steps 84 to 87), and the table shown in FIG.

ここで、プライベートネットワーク100内の各ホスト装置あるいは各ホスト装置のユーザは、プライベートネットワーク200側の各ホスト装置のIPアドレスは把握しているものとする。しかし、ステップ80〜83の処理により、どのような仮想アドレスが、VPN接続先のホスト装置のIPアドレスに対応付けられたかはわからない。そこで、ステップ88、89において、VPN装置150は、プライベートネットワーク100内に、VPN接続先(VPN装置250側)のホスト装置のIPアドレスと、当該IPアドレスに対応付けられた仮想アドレスとを広告する。これらの情報は、プライベートネットワーク100内における全てのホスト装置が受信し、各ホスト装置及びそのユーザは、VPNを介してVPN接続先のホスト装置宛のパケットを送信する場合には、VPN接続先のホスト装置の実際のIPアドレスに対応付けられた上記の仮想アドレス宛にパケットを送信すればよいことを把握する。   Here, it is assumed that each host device in the private network 100 or the user of each host device knows the IP address of each host device on the private network 200 side. However, it is not known what virtual address is associated with the IP address of the VPN connection destination host device by the processing in steps 80 to 83. Therefore, in steps 88 and 89, the VPN device 150 advertises the IP address of the host device at the VPN connection destination (on the VPN device 250 side) and the virtual address associated with the IP address in the private network 100. . These pieces of information are received by all the host devices in the private network 100, and when each host device and its user transmit a packet addressed to the host device of the VPN connection destination via the VPN, the VPN connection destination It is understood that it is only necessary to transmit a packet to the virtual address associated with the actual IP address of the host device.

以上の処理と同様の処理がVPN装置250の側でも行われる(ステップ90、91)。   Processing similar to the above processing is also performed on the VPN device 250 side (steps 90 and 91).

次に、ホスト装置120からパケットを送信する場合の例について図10を参照して説明する。   Next, an example of transmitting a packet from the host device 120 will be described with reference to FIG.

この例は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、対向のホスト装置220のアドレス(アドレスB)に対応付けられたアドレスXである場合の例である。   In this example, the destination address set in the header of the packet sent from the host device 120 is the address X associated with the address (address B) of the opposite host device 220.

ホスト装置130から送出されたパケットは、アドレスXを有するVPN装置150が受信し、VPN装置150においてパケット取得制御部151により取得される(ステップ101)。パケット取得制御部151は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部151は、図11に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ102、103)。この例では、上記送信元アドレス及び宛先アドレスの組であるアドレスAとアドレスXの組がテーブルに設定されているので、検索に成功する。   The packet transmitted from the host device 130 is received by the VPN device 150 having the address X, and is acquired by the packet acquisition control unit 151 in the VPN device 150 (step 101). The packet acquisition control unit 151 acquires the source address and destination address of the packet from the packet header. Then, the packet acquisition control unit 151 refers to the table shown in FIG. 11 and performs a search based on the combination of the transmission source address and the destination address (steps 102 and 103). In this example, since the set of the address A and the address X, which is a set of the source address and the destination address, is set in the table, the search is successful.

そして、パケット取得制御部151は、パケットのヘッダにおるアドレスXをアドレスBに置き換える。また、パケット取得制御部151は、アドレスAとアドレスB(アドレスX)の組に対応する接続先のVPN装置250の識別情報(VPN-B)を取得し、ホスト装置120から受信したパケットを送出すべきVPNは、VPN-Bに対して設定されたVPNであると決定する。そして、パケット取得制御部151は、VPN-Bとパケットを通信制御部152に渡し、通信制御部152は、パケットを当該VPNを用いて送信する(ステップ104、105)。   Then, the packet acquisition control unit 151 replaces the address X in the packet header with the address B. Further, the packet acquisition control unit 151 acquires the identification information (VPN-B) of the VPN device 250 of the connection destination corresponding to the set of the address A and the address B (address X), and sends the packet received from the host device 120. The VPN to be issued is determined to be the VPN set for VPN-B. Then, the packet acquisition control unit 151 passes the VPN-B and the packet to the communication control unit 152, and the communication control unit 152 transmits the packet using the VPN (steps 104 and 105).

なお、上記の例では、パケットのヘッダにおるアドレスXをアドレスBに置き換える処理をVPN装置150側で行っているが、アドレスBに対応するアドレスXを事前にVPN装置250側に送信しておくことにより、VPN装置250側でアドレスXをアドレスBに置き換えてもよい。   In the above example, the process of replacing the address X in the packet header with the address B is performed on the VPN device 150 side, but the address X corresponding to the address B is transmitted to the VPN device 250 side in advance. Accordingly, the address X may be replaced with the address B on the VPN device 250 side.

通信制御部152から送信されたパケットは、VPN装置250の通信制御部252により受信され、通信制御部252は受信したパケットをパケット取得制御部251に渡す(ステップ106)。パケット取得制御部251は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得し、図12に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ107、108)。ここでは、検索に成功し、パケット取得制御部251は、パケットを宛先であるホスト装置220に送信する(ステップ109)。
以上説明したように、本発明に基づく技術を適用することにより、VPN装置を既存のネットワークに設置するだけで容易にVPNを構築できるようになる。また、ホスト装置から送出されるパケットのアドレス等を参照し、VPN転送条件情報に基づきパケットをVPNに送出するかどうかを判定するように構成したため、VPN転送条件情報を適宜設定することによりVPNに参加するホスト装置を柔軟に設定できる。 The packet transmitted from the communication control unit 152 is received by the communication control unit 252 of the VPN apparatus 250, and the communication control unit 252 passes the received packet to the packet acquisition control unit 251 (step 106). The packet acquisition control unit 251 acquires the transmission source address and the destination address of the packet from the header of the packet, refers to the table shown in FIG. 12, and performs a search based on the combination of the transmission source address and the destination address (step 107). 108). Here, the search is successful, and the packet acquisition control unit 251 transmits the packet to the host device 220 that is the destination (step 109).
As described above, by applying the technology based on the present invention, a VPN can be easily constructed simply by installing a VPN device in an existing network. In addition, it is configured to refer to the address of the packet sent from the host device and determine whether to send the packet to the VPN based on the VPN transfer condition information. The host device to participate can be set flexibly.

このような特徴を有するので、本発明に基づく技術を適用したVPN装置を用いることにより、短期間で店舗や拠点の入れ替えが発生する百貨店やコンビになどの業界や、流動的な現場移動が発生する建築業界等でもVPNが利用可能になる。   Because it has such features, using a VPN device to which the technology based on the present invention is applied, industries such as department stores and combinations that require replacement of stores and bases in a short period of time, and fluid on-site movements occur. VPNs can be used even in the construction industry.

本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.

第1の実施の形態に係るシステムの構成図である。1 is a configuration diagram of a system according to a first embodiment. VPN装置140の機能構成図である。2 is a functional configuration diagram of a VPN device 140. FIG. 第1の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。It is a sequence chart for demonstrating operation | movement of the system which concerns on 1st Embodiment. 第1の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。It is a sequence chart for demonstrating operation | movement of the system which concerns on 1st Embodiment. データベース145に格納されるテーブルを示す図である。It is a figure which shows the table stored in the database. データベース245に格納されるテーブルを示す図である。It is a figure which shows the table stored in the database. 第2の実施の形態に係るシステムの構成図である。It is a block diagram of the system which concerns on 2nd Embodiment. VPN装置150の機能構成図である。2 is a functional configuration diagram of a VPN device 150. FIG. 第2の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。It is a sequence chart for demonstrating operation | movement of the system which concerns on 2nd Embodiment. 第2の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。It is a sequence chart for demonstrating operation | movement of the system which concerns on 2nd Embodiment. データベース155に格納されるテーブルを示す図である。It is a figure which shows the table stored in the database. データベース155に格納されるテーブルを示す図である。It is a figure which shows the table stored in the database.

符号の説明Explanation of symbols

100 プライベートネットワーク
200 プライベートネットワーク
300 インターネット
110、210 ルータ
310 通信制御サーバ
120、130、220、230 ホスト装置
140、150 VPN装置ホスト
146 PVN(プライベートネットワーク)側インターフェース部
147 VPN配下端末側インターフェース部
148、157 制御部
142、152 通信制御部
143、153 NAT制御部
144、154 Web設定インターフェース部
145、155 データベース
141、151 パケット取得制御部
154 Web設定インターフェース部
156 インターフェース部 100 Private network 200 Private network 300 Internet 110, 210 Router 310 Communication control server 120, 130, 220, 230 Host device 140, 150 VPN device host 146 PVN (private network) side interface unit 147 VPN subordinate terminal side interface unit 148, 157 Control unit 142, 152 Communication control unit 143, 153 NAT control unit 144, 154 Web setting interface unit 145, 155 Database 141, 151 Packet acquisition control unit 154 Web setting interface unit 156 Interface unit

Claims (18)

対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、
通信ネットワークに接続するための網接続手段と、
前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置の識別情報と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた前記識別情報で識別される前記VPNを利用して前記パケットを前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、
を備えたことを特徴とするVPN接続装置。 A VPN connection device having a function of setting a VPN with the opposite VPN connection device,
Network connection means for connecting to a communication network;
Host device connection means for connecting a host device using the VPN;
Identification information of the opposite VPN connection device, an address of the opposite host device that uses the VPN on the opposite VPN connection device side, and a host device that is connected to the VPN connection device by the host device connection means and uses the VPN Storage means for storing VPN transfer condition information including the address of
A packet is received from a host device connected to the VPN connection device via the host device connection means, and a pair of a destination address and a source address of the packet is included in the VPN transfer condition information stored in the storage means Determining means for determining whether or not
When it is determined that the packet is included by the determination unit, the opposite VPN connection device uses the VPN identified by the identification information associated with a set of a destination address and a source address of the packet. Packet control means for transmitting to the side via the network connection means,
A VPN connection device characterized by comprising: 前記VPN接続装置の識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記対向VPN接続装置の識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報を用いて前記VPN転送条件情報を生成する手段を備えたことを特徴とする請求項1に記載のVPN接続装置。 Information including the identification information of the VPN connection device and the address of the host device is transmitted to the opposite VPN connection device via the VPN, and includes the identification information of the opposite VPN connection device and the address of the opposite host device. 2. The information processing apparatus according to claim 1, further comprising means for receiving information from the opposite VPN connection device via the VPN and generating the VPN transfer condition information using the information received from the opposite VPN connection device. VPN connection device. 前記VPN接続装置の識別情報と前記ホスト装置のアドレスを含む前記情報の入力を受け付ける設定情報入力手段を備え、  Comprising setting information input means for receiving input of the information including the identification information of the VPN connection device and the address of the host device;
前記設定情報入力手段により入力された前記情報を前記VPNを介して前記対向VPN接続装置に送信するThe information input by the setting information input means is transmitted to the opposing VPN connection device via the VPN.
ことを特徴とする請求項2に記載のVPN接続装置。  The VPN connection device according to claim 2, wherein: 対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、
通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記対向VPN接続装置の識別情報と、前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた前記識別情報で識別される前記VPNを利用して前記パケットを前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、
を備えたことを特徴とするVPN接続装置。 A VPN connection device having a function of setting a VPN with the opposite VPN connection device,
Network connection means for connecting to a communication network;
An address acquisition unit that acquires an address using an address distribution unit arranged in the communication network as a virtual address of the opposite host device that uses the VPN on the opposite VPN connection device side, and sets the VPN connection device; ,
A storage for storing VPN transfer condition information including identification information of the opposing VPN connection device, the virtual address, and an address of a host device connected to the VPN connection device via the network connection means and using the VPN Means,
A packet having the virtual address as a destination address is received from a host device connected to the VPN connection device via the network connection means, and a set of the destination address and the source address of the packet is stored in the storage means Determination means for determining whether or not included in the VPN transfer condition information,
When it is determined that the packet is included by the determination unit, the opposite VPN connection device uses the VPN identified by the identification information associated with a set of a destination address and a source address of the packet. Packet control means for transmitting to the side via the network connection means,
A VPN connection device characterized by comprising: 前記VPN接続装置の識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記対向VPN接続装置の識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報と、前記アドレス取得手段により取得したアドレスとを用いて前記VPN転送条件情報を生成する手段を備えたことを特徴とする請求項4に記載のVPN接続装置。 Information including the identification information of the VPN connection device and the address of the host device is transmitted to the opposite VPN connection device via the VPN, and includes the identification information of the opposite VPN connection device and the address of the opposite host device. Means for receiving information from the opposite VPN connection device via the VPN, and generating the VPN transfer condition information using the information received from the opposite VPN connection device and the address acquired by the address acquisition means The VPN connection device according to claim 4, wherein: 前記VPN接続装置の識別情報と前記ホスト装置のアドレスを含む前記情報の入力を受け付ける設定情報入力手段を備え、  Comprising setting information input means for receiving input of the information including the identification information of the VPN connection device and the address of the host device;
前記設定情報入力手段により入力された前記情報を前記VPNを介して前記対向VPN接続装置に送信するThe information input by the setting information input means is transmitted to the opposing VPN connection device via the VPN.
ことを特徴とする請求項5に記載のVPN接続装置。  The VPN connection device according to claim 5. 対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置が実行するパケット制御方法であって、
前記VPN接続装置は、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置の識別情報と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記パケット制御方法は、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定ステップと、
前記判定ステップにより含まれると判定された場合に、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた前記識別情報で識別される前記VPNを利用して前記パケットを前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御ステップと、
を備えたことを特徴とするパケット制御方法。 A packet control method executed by a VPN connection device having a function of setting a VPN with an opposite VPN connection device,
The VPN connection device includes network connection means for connecting to a communication network, host device connection means for connecting a host device that uses the VPN,
Identification information of the opposite VPN connection device, an address of the opposite host device that uses the VPN on the opposite VPN connection device side, and a host device that is connected to the VPN connection device by the host device connection means and uses the VPN Storage means for storing VPN transfer condition information including the address of the packet, and the packet control method comprises:
A packet is received from a host device connected to the VPN connection device via the host device connection means, and a pair of a destination address and a source address of the packet is included in the VPN transfer condition information stored in the storage means A determination step for determining whether or not
When it is determined that the packet is included in the determination step, the opposite VPN connection device uses the VPN identified by the identification information associated with the pair of the destination address and the source address of the packet. Packet control step for transmitting to the side via the network connection means;
A packet control method comprising: 前記VPN接続装置の識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記対向VPN接続装置の識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報を用いて前記VPN転送条件情報を生成する生成ステップを備えたことを特徴とする請求項7に記載のパケット制御方法。Information including the identification information of the VPN connection device and the address of the host device is transmitted to the opposite VPN connection device via the VPN, and includes the identification information of the opposite VPN connection device and the address of the opposite host device. 8. The method according to claim 7, further comprising a generation step of receiving information from the opposite VPN connection device via the VPN and generating the VPN transfer condition information using the information received from the opposite VPN connection device. The packet control method as described. 前記VPN接続装置の識別情報と前記ホスト装置のアドレスを含む前記情報の入力を受け付ける設定情報入力ステップを備え、  A setting information input step for receiving input of the information including identification information of the VPN connection device and an address of the host device;
前記生成ステップにおいて、前記設定情報入力ステップにより入力された前記情報を前記VPNを介して前記対向VPN接続装置に送信するIn the generation step, the information input in the setting information input step is transmitted to the opposing VPN connection device via the VPN.
ことを特徴とする請求項8に記載のパケット制御方法。  The packet control method according to claim 8. 対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置が実行するパケット制御方法であって、
前記VPN接続装置は、通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記対向VPN接続装置の識別情報と、前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記パケット制御方法は、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの当該宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定ステップと、
前記判定ステップにより含まれると判定された場合に、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた前記識別情報で識別される前記VPNを利用して前記パケットを前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御ステップと、
を備えたことを特徴とするパケット制御方法。 A packet control method executed by a VPN connection device having a function of setting a VPN with an opposite VPN connection device,
The VPN connection device includes network connection means for connecting to a communication network;
An address acquisition unit that acquires an address using an address distribution unit arranged in the communication network as a virtual address of the opposite host device that uses the VPN on the opposite VPN connection device side, and sets the VPN connection device; ,
A storage for storing VPN transfer condition information including identification information of the opposing VPN connection device, the virtual address, and an address of a host device connected to the VPN connection device via the network connection means and using the VPN And the packet control method comprises:
A packet having the virtual address as a destination address is received from a host device connected to the VPN connection device via the network connection unit, and a set of the destination address and the source address of the packet is stored in the storage unit A determination step of determining whether or not the included VPN transfer condition information is included,
When it is determined that the packet is included in the determination step, the opposite VPN connection device uses the VPN identified by the identification information associated with the pair of the destination address and the source address of the packet. Packet control step for transmitting to the side via the network connection means;
A packet control method comprising: 前記VPN接続装置の識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記対向VPN接続装置の識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報と、前記アドレス取得手段により取得したアドレスとを用いて前記VPN転送条件情報を生成する生成ステップを備えたことを特徴とする請求項10に記載のパケット制御方法。Information including the identification information of the VPN connection device and the address of the host device is transmitted to the opposite VPN connection device via the VPN, and includes the identification information of the opposite VPN connection device and the address of the opposite host device. Generating from the information received from the opposite VPN connection device via the VPN, and generating the VPN transfer condition information using the information received from the opposite VPN connection device and the address acquired by the address acquisition means; The packet control method according to claim 10, comprising: a packet control method according to claim 10. 前記VPN接続装置の識別情報と前記ホスト装置のアドレスを含む前記情報の入力を受け付ける設定情報入力ステップを備え、  A setting information input step for receiving input of the information including identification information of the VPN connection device and an address of the host device;
前記生成ステップにおいて、前記設定情報入力ステップにより入力された前記情報を前記VPNを介して前記対向VPN接続装置に送信するIn the generation step, the information input in the setting information input step is transmitted to the opposing VPN connection device via the VPN.
ことを特徴とする請求項11に記載のパケット制御方法。  The packet control method according to claim 11. コンピュータを、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置として機能させるプログラムであって、
前記コンピュータは、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置の識別情報と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記プログラムは、前記コンピュータを、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段、
前記判定手段により含まれると判定された場合に、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた前記識別情報で識別される前記VPNを利用して前記パケットを前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段、
として機能させるためのプログラム。 A program for causing a computer to function as a VPN connection device having a function of setting a VPN between the opposite VPN connection device,
The computer includes a network connection means for connecting to a communication network, a host device connection means for connecting a host device using the VPN,
Identification information of the opposite VPN connection device, an address of the opposite host device that uses the VPN on the opposite VPN connection device side, and a host device that is connected to the VPN connection device by the host device connection means and uses the VPN Storage means for storing VPN transfer condition information including the address of the computer, the program, the computer,
A packet is received from a host device connected to the VPN connection device via the host device connection means, and a pair of a destination address and a source address of the packet is included in the VPN transfer condition information stored in the storage means Means for determining whether or not
When it is determined that the packet is included by the determination unit, the opposite VPN connection device uses the VPN identified by the identification information associated with a set of a destination address and a source address of the packet. Packet control means for transmitting to the side via the network connection means,
Program to function as. 前記プログラムは、前記コンピュータを、The program causes the computer to
前記VPN接続装置の識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記対向VPN接続装置の識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報を用いて前記VPN転送条件情報を生成する生成手段として更に機能させる請求項13に記載のプログラム。  Information including the identification information of the VPN connection device and the address of the host device is transmitted to the opposite VPN connection device via the VPN, and includes the identification information of the opposite VPN connection device and the address of the opposite host device. 14. The program according to claim 13, wherein the program further functions as a generation unit that receives information from the opposite VPN connection device via the VPN and generates the VPN transfer condition information using the information received from the opposite VPN connection device. 前記コンピュータは、前記VPN接続装置の識別情報と前記ホスト装置のアドレスを含む前記情報の入力を受け付ける設定情報入力手段を備え、  The computer includes setting information input means for receiving input of the information including identification information of the VPN connection device and an address of the host device,
前記生成手段は、前記設定情報入力手段により入力された前記情報を前記VPNを介して前記対向VPN接続装置に送信するThe generation unit transmits the information input by the setting information input unit to the opposing VPN connection device via the VPN.
ことを特徴とする請求項14に記載のプログラム。  The program according to claim 14. コンピュータを、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置として機能させるためのプログラムであって、
前記コンピュータは、通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記対向VPN接続装置の識別情報と、前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記プログラムは、前記コンピュータを、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの当該宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段、
前記判定手段により含まれると判定された場合に、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた前記識別情報で識別される前記VPNを利用して前記パケットを前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段、
として機能させるためのプログラム。 A program for causing a computer to function as a VPN connection device having a function of setting a VPN between the opposite VPN connection device,
The computer includes network connection means for connecting to a communication network;
An address acquisition unit that acquires an address using an address distribution unit arranged in the communication network as a virtual address of the opposite host device that uses the VPN on the opposite VPN connection device side, and sets the VPN connection device; ,
A storage for storing VPN transfer condition information including identification information of the opposing VPN connection device, the virtual address, and an address of a host device connected to the VPN connection device via the network connection means and using the VPN Means, and the program causes the computer to
A packet having the virtual address as a destination address is received from a host device connected to the VPN connection device via the network connection unit, and a set of the destination address and the source address of the packet is stored in the storage unit Determining means for determining whether or not included in the transmitted VPN transfer condition information,
When it is determined that the packet is included by the determination unit, the opposite VPN connection device uses the VPN identified by the identification information associated with a set of a destination address and a source address of the packet. Packet control means for transmitting to the side via the network connection means,
Program to function as. 前記プログラムは、前記コンピュータを、The program causes the computer to
前記VPN接続装置の識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記対向VPN接続装置の識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報と、前記アドレス取得手段により取得したアドレスとを用いて前記VPN転送条件情報を生成する生成手段として更に機能させる請求項16に記載のプログラム。Information including the identification information of the VPN connection device and the address of the host device is transmitted to the opposite VPN connection device via the VPN, and includes the identification information of the opposite VPN connection device and the address of the opposite host device. As generation means for receiving information from the opposite VPN connection device via the VPN, and generating the VPN transfer condition information using the information received from the opposite VPN connection device and the address acquired by the address acquisition means The program according to claim 16, further causing the program to function. 前記コンピュータは、前記VPN接続装置の識別情報と前記ホスト装置のアドレスを含む前記情報の入力を受け付ける設定情報入力手段を備え、  The computer includes setting information input means for receiving input of the information including identification information of the VPN connection device and an address of the host device,
前記生成手段は、前記設定情報入力手段により入力された前記情報を前記VPNを介して前記対向VPN接続装置に送信するThe generation unit transmits the information input by the setting information input unit to the opposing VPN connection device via the VPN.
ことを特徴とする請求項17に記載のプログラム。  The program according to claim 17.
JP2008334386A 2008-12-26 2008-12-26 VPN connection device, packet control method, and program Active JP5171608B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008334386A JP5171608B2 (en) 2008-12-26 2008-12-26 VPN connection device, packet control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008334386A JP5171608B2 (en) 2008-12-26 2008-12-26 VPN connection device, packet control method, and program

Publications (2)

Publication Number Publication Date
JP2010157856A JP2010157856A (en) 2010-07-15
JP5171608B2 true JP5171608B2 (en) 2013-03-27

Family

ID=42575433

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008334386A Active JP5171608B2 (en) 2008-12-26 2008-12-26 VPN connection device, packet control method, and program

Country Status (1)

Country Link
JP (1) JP5171608B2 (en)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002208946A (en) * 2001-01-11 2002-07-26 Hitachi Ltd Route information notification method and vpn service and edge router device

Also Published As

Publication number Publication date
JP2010157856A (en) 2010-07-15

Similar Documents

Publication Publication Date Title
US8457014B2 (en) Method for configuring control tunnel and direct tunnel in IPv4 network-based IPv6 service providing system
US7852861B2 (en) Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method
RU2543304C2 (en) Packet relay method and device
US8458303B2 (en) Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset
US8867553B2 (en) Performing interactive connectivity checks in a mobility environment
JP4766976B2 (en) Node connection method and apparatus
US7716368B2 (en) Network system and communication method, information processing apparatus and method, and program
IL193564A (en) Connecting multi-hop mesh networks using mac bridge
JP2011160103A (en) Gateway device and program, and communication system
CN103618801A (en) Method, device and system for sharing P2P (Peer-to-Peer) resources
JP6558492B2 (en) Network address translation device, setting request device, communication system, communication method, and program
JP5638063B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM
JP5054666B2 (en) VPN connection device, packet control method, and program
JP5171608B2 (en) VPN connection device, packet control method, and program
JP5084716B2 (en) VPN connection apparatus, DNS packet control method, and program
WO2008083572A1 (en) A method for transfering the ip transmission session and the equipment whereto
JP2008010934A (en) Gateway apparatus, communication control method, program, and storage medium with the program stored
JP2007166146A (en) Communication device whose address can be changed during communication, system, and communication method
CN103944795A (en) Virtual private network communication system, routing devices and method thereof
WO2008069504A1 (en) Method for configuring control tunnel and direct tunnel in ipv4 network-based ipv6 service providing system
JP2011019007A (en) Method, device, system and program for avoiding network address overlap
JP6898120B2 (en) Network system, network system address resolution method, and base-side connection device
JP4498984B2 (en) Service providing apparatus and communication control program
JP3808471B2 (en) Network and router apparatus and address notification method used therefor
CN105099928A (en) Dual-stack router and method for realizing bandwidth sharing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110316

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121211

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121225

R150 Certificate of patent or registration of utility model

Ref document number: 5171608

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250