JP5601067B2 - 中継装置 - Google Patents

中継装置 Download PDF

Info

Publication number
JP5601067B2
JP5601067B2 JP2010166287A JP2010166287A JP5601067B2 JP 5601067 B2 JP5601067 B2 JP 5601067B2 JP 2010166287 A JP2010166287 A JP 2010166287A JP 2010166287 A JP2010166287 A JP 2010166287A JP 5601067 B2 JP5601067 B2 JP 5601067B2
Authority
JP
Japan
Prior art keywords
relay device
communication
address
communication terminal
communication data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010166287A
Other languages
English (en)
Other versions
JP2011045050A (ja
Inventor
章佳 渥美
俊洋 木村
貴裕 浅野
信彦 上村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yamaha Corp
Original Assignee
Yamaha Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yamaha Corp filed Critical Yamaha Corp
Priority to JP2010166287A priority Critical patent/JP5601067B2/ja
Publication of JP2011045050A publication Critical patent/JP2011045050A/ja
Application granted granted Critical
Publication of JP5601067B2 publication Critical patent/JP5601067B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/44Distributed routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、複数のLAN(Local Area Network)をVPN(Virtual Private Network)により相互に接続する技術に関する。
LANなどのネットワーク間を相互に接続するための中継装置であるVPNルータは、ネットワーク間で行われる通信をトンネリング・暗号化して通信データの中継をする。VPNを実現するプロトコルとしては、IPsec(Security Architecture for Internet Protocol)、PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer-2 Tunneling Protocol)が広く用いられている。
一般に、VPNルータにおけるVPNの設定は複雑になることが多い。そのため、設定を簡素化する構成として、設定内容をサーバで一元的に生成し、ネットワークを介して各ルータに提供する技術が、例えば、特許文献1、2に開示されている。一方、この構成においては、サーバに処理の負荷が集中するため、大規模なネットワークへの適用が難しく、サーバが故障するとシステム全体が動作しなくなる。
ところで、端末間における通信において、分散ハッシュテーブルなどの構造化オーバレイを用いる技術が、例えば、特許文献3に開示されている。この技術によれば、通信への参加離脱において、設定を変更する必要がなく、情報を一元管理するサーバも不要である。
特開2004−104542号公報 特開2006−54704号公報 特開2008−172706号公報
特許文献3に示すように、構造化オーバレイを用いた拠点の通信を実現することは可能であるが、この場合、通信に参加する端末全てにおいて、構造化オーバレイを構成するためのソフトウエアをインストールして予め設定を登録する必要があった。また、従来のIPsecなどを用いた構成の場合、VPNに参加する全ての機器の追加・削除に伴い、論理パスの設定や経路の設定を変更する必要があり、また、フルメッシュ通信を実現するためには、参加する端末の数に応じて多くの論理パスの設定、経路の設定を行わなくてはならなかった。
本発明は、上述の事情に鑑みてなされたものであり、異なる中継装置に接続された通信端末間におけるVPNを用いた通信を容易に行うことを目的とする。
上述の課題を解決するため、本発明は、VPNを用いて他の中継装置に接続し、前記他の中継装置に接続される通信端末と自装置に接続される通信端末とにおける通信を中継する中継装置であって、前記他の中継装置との接続により構造化オーバレイを構成するとともに、当該構造化オーバレイを利用して、前記通信端末のプライベートアドレスに関する情報と当該通信端末が接続されている中継装置のグローバルアドレスを示す情報とを対応付けた経路データベースを、当該構造化オーバレイを構成する中継装置間で分散管理するオーバレイ構成手段と、自装置に接続される前記通信端末から送信される通信データであって、当該通信データの宛先となる前記通信端末のプライベートアドレスを示す宛先情報を有する通信データを受信する第1受信手段と、前記分散管理された経路データベースを参照し、前記第1受信手段によって受信した通信データの宛先情報が示すプライベートアドレスに対応するグローバルアドレスを特定する特定手段と、前記特定手段によって特定されたグローバルアドレスが設定された前記他の中継装置に対して、前記第1受信手段によって受信した通信データを送信する第2送信手段と、前記他の中継装置から送信される前記通信データを受信する第2受信手段と、前記第2受信手段によって受信された通信データを、当該通信データの宛先情報が示すプライベートアドレスの前記通信端末に対して送信する第1送信手段と、前記他の中継装置に接続すると、前記分散管理された経路データベースを参照し、当該経路データベースに含まれるプライベートアドレス以外のプライベートアドレスに関する情報を、自装置のグローバルアドレスに対応付けて当該経路データベースに登録する登録手段と、前記登録手段によって登録された情報に係るプライベートアドレスを、自装置に接続される前記通信端末に割り当てる割当手段と、を具備する中継装置を提供する。
また、別の好ましい態様において、前記第2送信手段は、通信データを送信するときには、特定の暗号鍵を用いて暗号化し、前記第1送信手段は、前記第2受信手段によって受信された通信データを復号化して、当該通信データの宛先情報に係る通信端末に対して送信し、前記第2送信手段における暗号化は、前記構造化オーバレイを構成するどの前記他の中継装置に送信する場合であっても、共通の暗号鍵を用いることを特徴とする。
また、別の好ましい態様において、前記特定手段によって特定された前記他の中継装置のグローバルアドレスと、当該グローバルアドレスを特定するために用いられた前記通信端末のプライベートアドレスに関する情報とを対応付けた情報を一定時間記憶する一時記憶手段をさらに具備し、前記第2送信手段は、前記一時記憶手段に記憶された情報を参照して、当該情報に、前記第1受信手段によって受信された通信データの宛先情報が示すプライベートアドレスに対応付けられたグローバルアドレスが存在する場合には、前記第1受信手段によって受信された通信データを、当該グローバルアドレスが設定された他の中継装置に対して送信することを特徴とする。
また、別の好ましい態様において、前記分散管理された経路データベースにおける前記通信端末のプライベートアドレスに関する情報とは、当該プライベートアドレスが含まれるネットワークアドレスを示し、前記通信端末のプライベートアドレスと前記ネットワークアドレスとの対応関係を示すプレフィックスルールテーブルを記憶する記憶手段をさらに具備し、前記特定手段は、前記記憶手段に記憶されたプレフィックスルールテーブルおよび前記分散管理された経路データベースを参照し、前記第1受信手段によって受信した通信データの宛先情報に示されるプライベートアドレスに対応するグローバルアドレスを特定することを特徴とする。
本発明によれば、異なる中継装置に接続された通信端末間におけるVPNを用いた通信を容易に行うことができる。
本発明の実施形態に係る通信システムの構成を示すブロック図である。 本発明の実施形態に係る中継装置の構成を示すブロック図である。 中継装置における通信処理機能を実現する構成を説明する図である。 PRテーブルの構成を説明する図である。 経路データベースの構成を説明する図である。 通信端末間のデータの通信における通信処理の動作を説明する図である。 変形例1に係る中継装置におけるネットワークアドレス登録処理を説明する図である。
以下、本発明の一実施形態について説明する。
<実施形態>
図1は、本発明の実施形態に係る通信システム1の構成を示すブロック図である。通信システム1は、拠点A、B、C、Dのそれぞれに設けられた中継装置20A、20B、20C、20D(以下、それぞれを区別しない場合には、中継装置20という)、および各中継装置20に接続される通信端末(図示略)により構成されるLAN30A、30B、30C、30D(以下、それぞれを区別しない場合には、LAN30という)を有している。各中継装置20は、各LAN30をインターネットなどの公衆網である通信網10に接続し、各LAN30における通信端末から他のLAN30における通信端末への通信を中継する。
中継装置20は、例えばVPNルータであり、特定の通信プロトコル(例えば、IP(Internet Protocol))に従って、通信網10から送信されてくるデータのブロックであるパケットを受信し、接続されているLAN30における各通信端末宛てのパケットである場合に、その宛先の通信端末にそのパケットを伝送する。一方、LAN30から送信されてくるパケットについては、パケットの宛先の通信端末が接続されている中継装置20に伝送する。また、中継装置20は、他の中継装置20と通信網10を介して後述するVPN処理部213(図3参照)によってVPNにより接続する。さらに、後述する構造化オーバレイ処理部212(図3参照)によって、分散ハッシュテーブルなどの構造化オーバレイを構成する。中継装置20の構成について図2を用いて説明する。
図2は、本発明の実施形態に係る中継装置20の構成を示すブロック図である。中継装置20は、制御部21、UI(User Interface)部22、第1通信IF(Interface)部23、第2通信IF部24、記憶部25を有し、これらの各構成はバス26を介して接続されている。
制御部21は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)などを有する。CPUは、ROMに記憶されている制御プログラムを読み出して、RAMにロードして実行することにより、中継装置20の各部について、バス26を介して制御し、後述する通信処理機能などを実現する。また、RAMは、CPUが各データの加工などを行う際のワークエリアとして機能する。
UI部22は、中継装置20の管理者によって各種設定が行われるときに用いられるキーボード、操作ボタンなどの操作部、設定画面表示など制御部21の制御に応じた表示を行う液晶ディスプレイなどの表示部を有している。UI部22は、操作部が操作されると、その操作内容を示すデータが制御部21へ出力される。なお、このUI部22は無くてもよく、この場合には、通信網10、LAN30などのネットワークを介して、図示しない管理装置における遠隔操作により各種設定を行う。
第1通信IF部23、第2通信IF部24は、NIC(Network Interface Card)などの通信手段である。第1通信IF部23はLAN30に接続し、より詳細には、中継装置20A、20B、20C、20Dにおける第1通信IF部23は、それぞれLAN30A、30B、30C、30Dと接続する。一方、第2通信IF部24は、通信網10と接続する。
第1通信IF部23、第2通信IF部24は、それぞれ接続されるネットワークからパケットを受信すると、制御部21に出力する一方、制御部21から出力されるパケットを接続されるネットワーク(通信網10またはLAN30)に送出する。
記憶部25は、例えば、ハードディスク、不揮発性メモリなどであり、制御部21によりデータの読み出し、書き込みが行われる。記憶部25には、例えば、UI部22の操作などにより中継装置20に設定された内容を示す設定情報、制御プログラムの一部などが記憶されている。また、その他にも、PR(プレフィックスルール(Prefix Rule))テーブル251、経路表252、経路レコード253、経路キャッシュ254、暗号鍵255(図3参照)などについても記憶されている。これらの詳細については後述する。以上が、中継装置20の構成についての説明である。
次に、制御部21が制御プログラムを実行することによって実現される通信処理機能について、図3から図5を用いて説明する。通信処理機能とは、通信網10に接続されている各中継装置20と構造化オーバレイを構成するとともに、この中継装置20に接続されたLAN30における通信端末と他の中継装置20に接続されたLAN30における通信端末との通信を中継する機能である。なお、以下に説明する通信処理機能における各構成については、ハードウエアによって実現してもよい。
図3は、通信処理機能を実現する構成を説明する図である。この通信処理機能の実現には、パケット処理部211、構造化オーバレイ処理部212、VPN処理部213、経路管理部214および記憶部25に記憶されたPRテーブル251、経路表252、経路レコード253、経路キャッシュ254、暗号鍵255を用いる。まず、記憶部25に記憶された各情報について説明する。
図4は、PRテーブル251の構成を説明する図である。PRテーブル251は、パケットの宛先情報に示されるプライベートアドレスが含まれるネットワークアドレスを示す情報であり、後述する経路データベースに問い合わせるときの検索キーとなるネットワークアドレスと、そのネットワークアドレスにおけるプレフィックスレングス(PL:Prefix Length)とを対応付けた情報である。
例えば、図4に示すPRテーブル251においては、ネットワークアドレス「192.168.100.0」は、プレフィックスレングス「26」であり、「192.168.100.0」から「192.168.100.63」の範囲のプライベートアドレスを含んでいることを示す。そのため、例えば、プライベートアドレスが「192.168.100.7」であれば、対応するネットワークアドレスは「192.168.100.0」となる。そして、プライベートアドレスに対応するネットワークアドレスがPRテーブル251上に無いものについては、デフォルトとしてプレフィックスレングスが「24」であるものとして扱われる。
このように、PRテーブル251は、ネットワークアドレスとプライベートアドレスとの対応関係を示すものである。なお、このPRテーブル251は、通信網10に接続されるものとして予定されている中継装置20の各々が配下にもつネットワークアドレス全てとプレフィックスレングスの関係が予め対応付けられて登録されているものとするが、後述する経路データベースのように構造化オーバレイを利用して分散管理するようにすれば、自装置の配下のネットワークアドレスとプレフィックスレングスの対応関係を記憶するだけでもよい。
経路表252は、この経路表252を記憶する中継装置20自身が配下に持つネットワークアドレスが登録されている。すなわち、この中継装置20に接続されるLAN30におけるネットワークアドレスと、この中継装置20自身に設定されているグローバルアドレスとを対応付けた情報である。なお、中継装置20自身のグローバルアドレスをホスト経路として登録してもよい。また、従来の技術で用いられているルーティングテーブルなどの経路表に対応する情報が登録されていてもよい。
経路レコード253は、構造化オーバレイを利用して分散管理される経路データベースの一部を記憶する。この経路データベースは、通信網10に接続される各中継装置20において記憶されている経路表252を統合したものである。そのため、経路レコード253は、各中継装置20の経路表252に応じた内容であり、例えば、自装置の経路表252と、他の中継装置20の経路表252の一部とを含むものである。この経路レコード253は、通信網10に接続される他の中継装置20が変更されたり、他の中継装置20の経路表252が変更されたりして、経路データベースが変更されると、構造化オーバレイ処理部212によって内容が更新される。
図5は、経路データベースの構成を説明する図である。経路データベースは、上述したように、構造化オーバレイを利用して、各中継装置20の経路レコード253として分散管理されるものであり、データベース全体として、各中継装置20における経路表252を統合した内容となっている。したがって、経路データベースは、ネットワークアドレスとそのネットワークアドレスを配下にもつ中継装置20のグローバルアドレスとを対応付けたものとなっている。
例えば、図5に示す経路データベースにおいては、ネットワークアドレス「192.168.100.0」は、グローバルアドレスが「2xx.100.200.1」の中継装置20の配下にあることを示している。後述する構造化オーバレイ処理部212により、ネットワークアドレスを検索キーとして経路データベースに問い合わせると、対応する中継装置20のグローバルアドレスを応答として取得できるようになっている。このように経路データベースを構造化オーバレイにより分散管理することにより、各中継装置20の経路表252を経路データベースと同じものとしなくてよい。
なお、経路データベースは、通信網10に接続される各中継装置20のグローバルアドレスと、各中継装置20に接続されるLAN30の通信端末のプライベートアドレスとの対応関係が分かるような構成となっていればよいから、グローバルアドレスに対応する情報がネットワークアドレスで表されるものでなくてもよく、プライベートアドレスに関する情報であればどのようなものであってもよい。例えば、プライベートアドレスに関する情報を、プライベートアドレスをそのものとしてもよいし、範囲で指定した情報であってもよい。また、ネットワークアドレスとプレフィックスレングスとにより示される情報とすれば、PRテーブル251が無くてもよい。
経路キャッシュ254は、上述のようにして取得したネットワークアドレスとグローバルアドレスとの対応関係を一定時間記憶しておき、同じネットワークアドレスについては、経路データベースへの問い合わせをしなくても、経路キャッシュ254を参照することにより、この対応関係の取得を高速化する。
暗号鍵255は、後述するVPN処理部213における暗号化、復号化において用いられる鍵である。この例においては、各中継装置20に対する送信に対して暗号化するときでも共通の鍵を用いるものとするが、中継装置20毎に対応する鍵を用いてもよい。以上が、記憶部25に記憶された各情報についての説明である。
次に、図3に戻って、パケット処理部211、構造化オーバレイ処理部212、VPN処理部213、経路管理部214について説明する。
パケット処理部211は、第1通信IF部23において、この中継装置20に接続されるLAN30の通信端末から送信された通信データであるパケットを受信すると、受信したパケットを取得する。このパケットには、宛先となる通信端末のプライベートアドレスを示す宛先情報が含まれている。パケット処理部211は、経路表252を参照して、このパケットの宛先のプライベートアドレスがこの中継装置20に接続されたLAN30の通信端末でない場合には、このパケットをVPN処理部213に出力する。そして、出力の応答として、後述するVPN送信処理が施されたパケットを取得して第2通信IF部24から通信網10を介して、後述のようにして決められたグローバルアドレスの他の中継装置20に対して送信する。
パケット処理部211は、第2通信IF部24において、通信網10からVPN送信処理が施されたパケットを受信すると、受信したパケットを取得する。そして、このパケットをVPN処理部213に出力する。出力の応答として、後述するVPN受信処理が施されたパケットを取得して、経路表252を参照して第1通信IF部23から宛先情報に示されるプライベートアドレスの通信端末に送信する。
構造化オーバレイ処理部212は、予め決められた構造化オーバレイのプロトコルに則って、パケット処理部211、第2通信IF部24を介して行われる他の中継装置20との通信を制御して、通信網10に接続された中継装置20間で構造化オーバレイを構成する。そして、構造化オーバレイ処理部212は、経路データベースを、構造化オーバレイを利用して各中継装置20で経路レコード253として分散管理し、この経路データベースにネットワークアドレスを検索キーとして問合せを行うと、応答として他の中継装置20を示すグローバルアドレスを取得することにより、パケットを送信すべき中継装置20のグローバルアドレスを特定するようになっている。
構造化オーバレイ処理部212は、後述するようにVPN処理部213から通知されるプライベートアドレスに対応するネットワークアドレスを、PRテーブル251を参照して認識し、このネットワークアドレスを経路データベースに問合せを行うときの検索キーとする。そして、特定したグローバルアドレスをVPN処理部213に通知する。
VPN処理部213は、第1通信IF部23によって受信されたパケットがパケット処理部211から入力されると、VPN送信処理を行う。VPN送信処理は、以下のように行う。まず、入力されたパケットの宛先情報に示されるプライベートアドレスを取得する。そして、経路キャッシュ254を参照して、このプライベートアドレスに対応するグローバルアドレスが存在するか否かを判定し、存在する場合には、そのグローバルアドレスを取得する。一方、存在しない場合には、構造化オーバレイ処理部212に対して、このプライベートアドレスを通知し、経路データベースからの応答であるグローバルアドレスを取得する。このとき、プライベートアドレスと取得したグローバルアドレスとの対応関係を経路キャッシュ254に一定時間記憶させる。
そして、暗号鍵255を参照して、このパケットを暗号化してパケット処理部211、第2通信IF部24を介して、暗号化したパケットを取得したグローバルアドレスの中継装置20に送信する。以上が、VPN送信処理である。
VPN処理部213は、第2通信IF部24によって受信されたパケット(他の中継装置20においてVPN送信処理済みのパケット)がパケット処理部211から入力されると、VPN受信処理を行う。VPN受信処理は、暗号鍵255を参照して、暗号化されたパケットの復号化を行いパケット処理部211に出力する処理である。上述したように、復号化したパケットを出力すると、このパケットは、パケット処理部211、第1通信IF部23を介して、パケットの宛先情報に示されるプライベートアドレスの通信端末に送信される。
経路管理部214は、OSPF(Open Shortest Path First)、RIP(routing information protocol)などのルーティングプロトコルにより、構造化オーバレイ処理部212における経路を管理、および経路表252の更新を行う。なお、ルーティングプロトコルを使用せずに静的に経路を設定してもよい。
一般的に、VPNの経路を設定するときには、送信先の中継装置のそれぞれに対応する仮想的なインターフェースを定義し、それを宛先とするような経路を記述することが多い。しかし、この方法では、ネットワークに参加する中継装置の増減に合わせて経路を変更する必要が生じ、管理の負担が大きくなる。これに対して本発明では、送信先の複数の中継装置20を集約した仮想的なインターフェースを1つだけ定義し、このインターフェースを宛先とする経路を記述すればよい。このようにすることで、ネットワークに参加する中継装置20の増減があっても経路の設定を変えずに運用でき、管理の負担を低減できる。以上が、通信処理機能についての説明である。
次に、中継装置20の動作について説明する。まず、ネットワークに参加するときの動作を説明し、その後、通信端末間の通信を行うときの通信システム1の動作について、図6を用いて説明する。
まず、中継装置20の管理者は、各中継装置20について、初期ノード、事前共有鍵、装置名称を設定する。初期ノードとは、ネットワークに参加するために最初にアクセスする装置を示し、サーバなどの特殊なノードでなく、ネットワークに参加する任意のノード、例えば、他の中継装置20のグローバルアドレスが設定される。事前共有鍵は、VPN処理部213で用いられる暗号鍵255とは異なり、構造化オーバレイ処理部212で用いられ、構造化オーバレイのメッセージなどの制御メッセージを暗号化する鍵である。装置名称とは、ネットワーク上でこの中継装置20を識別するための名前であって、構造化オーバレイ上でのノードの識別子として利用される。
各中継装置20は、これらの設定を元にネットワークに参加し、構造化オーバレイを利用して分散管理される経路データベースのうち、自装置に記憶されている経路レコード253を初期化する。経路データベースが分散管理されることにより、新たに中継装置20がネットワークに参加しても、新たな中継装置に上記設定がされていれば、すでにネットワーク上にある中継装置20については、設定を変更する必要はない。そして、中継装置20は、ネットワークに参加すると、構造化オーバレイを利用して分散管理される経路データベースに対して自装置の経路表252を登録することにより、他の中継装置20に対して自装置の存在を知らせることができる。
図6は、通信端末間のデータの通信における通信処理の動作を説明する図である。この説明においては、中継装置20Aに接続された通信端末A−Xからパケットにより通信データが送信され、パケットの宛先情報は、中継装置20B(グローバルアドレス「2xx.100.200.1」)に接続された通信端末B−Y(プライベートアドレス「192.168.100.2」)を示すものとする。また、PRテーブル251は図4に示す内容であり、構造化オーバレイを利用して分散管理された経路データベースは図5に示す内容であるものとする。
まず、通信端末A−Xは、通信端末B−Yに対するデータ送信の処理を行う(ステップS110)。これにより送信されるデータのパケットが中継装置20Aにおいて受信されると、中継装置20Aは、このパケットの宛先情報を参照して、宛先となる通信端末のプライベートアドレスを認識する(ステップS120)。中継装置20Aは、プライベートアドレス「192.168.100.2」を認識すると、PRテーブル251を参照し、対応するネットワークアドレスを検索キーとして抽出する(ステップS130)。これにより抽出される検索キーは、ネットワークアドレス「192.168.100.0」となる。
そして、中継装置20Aは、自装置の経路キャッシュ254に検索キーに対応したアドレスがあるか否かを判定(ステップS135)し、対応するアドレスがある場合(ステップS135;Yes)には、そのアドレスの中継装置20Bを、パケットを送信する経路として認識する(ステップS160)。一方、対応するアドレスが無い場合(ステップS135;No)には、構造化オーバレイを利用して分散管理される経路データベース(経路DB)に対して、検索キーにより問い合わせを行う(ステップS140)。そして、経路データベースを参照(ステップS150)した結果得られる検索キーに対応したアドレス(グローバルアドレス「2xx.100.200.1」)が中継装置20Aに通知され、中継装置20Aにおいて、このグローバルアドレスの中継装置20Bを、パケットを送信する経路として認識する(ステップS160)。ここで、経路データベースを参照することによって認識した経路については、自装置の経路キャッシュ254に登録しておく。
中継装置20Aは、通信端末A−Xから受信したパケットにVPN送信処理(ステップS170)を施し、中継装置20Bを宛先として、暗号化されたパケットを仮想インターフェースにより通信網10を通して中継装置20Bへ送信する。
中継装置20Bは、仮想インターフェースにより構造化オーバレイのネットワークから、中継装置20AにおいてVPN送信処理が施されたパケットを受信し、VPN受信処理(ステップS180)を施して復号化する。そして、復号化されたパケットの宛先情報が示すプライベートアドレス「192.168.100.2」の通信端末(通信端末B−Y)を認識(ステップS190)し、その通信端末B−Yに復号化されたパケットを送信する。そして、通信端末B−Yは、中継装置20Bから送信されたパケットを受信することによって、通信端末A−Xから送信されたデータを受信する(ステップS200)。
このように、本発明の実施形態における中継装置20は、構造化オーバレイを利用して分散管理される経路データベースを参照して、接続される通信端末から送信されるパケットの宛先情報に対応した他の中継装置20を送信経路として認識し、このパケットを送信経路に従って送信することにより、送信先の中継装置20に接続された通信端末に対して受信させることができる。このとき、経路データベースが分散管理されているから、新たに中継装置20がネットワークに参加したり、離脱したりしても、他の中継装置20の設定を事前に変更する必要はなく、また各中継装置20において記憶すべき経路表252のデータ量も少なくすることができる。さらに、中継装置20に接続される通信端末においては、構造化オーバレイを利用するための特別なソフトウエアなどを必要とせず、この中継装置20に接続して通信を行えばよく、単一障害点となるような全体を管理するサーバが存在しなくてもよいから、システムが堅牢である。
以上、本発明の実施形態について説明したが、本発明は以下のように、さまざまな態様で実施可能である。
<変形例1>
上述した実施形態においては、経路表252には、中継装置20の配下のネットワークアドレスが予め登録されていたが、登録されていない、また配下のネットワークアドレスを追加する場合などにより、ネットワークアドレスの登録指示があったときには、中継装置20がネットワークに参加するときに、他の中継装置20の配下のネットワークアドレス以外のネットワークアドレスを自動的に登録するようにしてもよい。この登録処理の一例について、図7を用いて説明する。
図7は、変形例1に係る中継装置20におけるネットワークアドレス登録処理を説明する図である。中継装置20は、経路表252へのネットワークアドレスの登録指示があると、ネットワークアドレス登録処理を開始する。まず、中継装置20は、登録すべきネットワークアドレスの候補となる仮アドレスを決定する(ステップS310)。そして、その仮アドレスを検索キーとして、構造化オーバレイを利用して分散管理された経路データベース(DB)に問い合わせる(ステップS320)。
問い合わせの応答として、対応するグローバルアドレスが通知された場合(ステップS330;Yes)には、仮アドレスとして決定したネットワークアドレスは、そのグローバルアドレスの中継装置20の配下にあるものであるから、仮アドレスを変更(ステップS340)して、再び経路データベースに問い合わせる(ステップS320)。
一方、問い合わせの応答として、対応するグローバルアドレスがなく、エラーが通知された場合(ステップS330;No)には、仮アドレスとして決定したネットワークアドレスは、どの中継装置20においても配下としていないものであるから、これを自装置の配下のネットワークアドレスとして経路表252に登録するとともに経路データベースにも登録する(ステップS350)。このようにすれば、各中継装置20において配下とするネットワークアドレスが、他の中継装置20と重複することがなくなる。なお、このようにして登録されたネットワークアドレスに含まれるプライベートアドレスを自装置に接続されている通信端末に自動的に割り当ててもよい。
また、中継装置20がネットワークに参加して、経路データベースに配下とするネットワークアドレスを登録するときに、すでにそのネットワークアドレスとグローバルアドレスとの対応関係が登録されているときには、エラー通知をして管理者に変更を促してもよいし、自装置の経路表252を初期化して上記のネットワークアドレス登録処理を開始してもよい。
また、特定の中継装置20の配下となるネットワークアドレスとその中継装置20のグローバルアドレスとの対応関係を、その中継装置20がネットワークに参加しているか否かにかかわらず、経路データベースに登録されるようにして、他の中継装置20においてそのネットワークアドレスが用いられないように予約しておいてもよい。
<変形例2>
上述した実施形態において、各中継装置20のVPN処理部213における暗号化、復号化において用いられる暗号鍵は、予め記憶部25に記憶された暗号鍵255であったが、構造化オーバレイを利用して、各中継装置20において分散管理されるようにしてもよい。
<変形例3>
上述した実施形態における制御プログラムは、磁気記録媒体(磁気テープ、磁気ディスクなど)、光記録媒体(光ディスクなど)、光磁気記録媒体、半導体メモリなどのコンピュータ読取り可能な記録媒体に記憶した状態で提供し得る。この場合には、記録媒体を読み取るインターフェイスを中継装置20に設ければよい。また、ネットワーク経由でダウンロードさせることも可能である。
1…通信システム、10…通信網、20,20A,20B,20C,20D…中継装置、21…制御部、22…UI部、23…第1通信IF部、24…第2通信IF部、25…記憶部、26…バス、211…パケット処理部、212…構造化オーバレイ処理部、213…VPN処理部、214…経路管理部、251…PRテーブル、252…経路表、253…経路レコード、254…経路キャッシュ、255…暗号鍵、30,30A,30B,30C,30D…LAN

Claims (4)

  1. VPNを用いて他の中継装置に接続し、前記他の中継装置に接続される通信端末と自装置に接続される通信端末とにおける通信を中継する中継装置であって、
    前記他の中継装置との接続により構造化オーバレイを構成するとともに、当該構造化オーバレイを利用して、前記通信端末のプライベートアドレスに関する情報と当該通信端末が接続されている中継装置のグローバルアドレスを示す情報とを対応付けた経路データベースを、当該構造化オーバレイを構成する中継装置間で分散管理するオーバレイ構成手段と、
    自装置に接続される前記通信端末から送信される通信データであって、当該通信データの宛先となる前記通信端末のプライベートアドレスを示す宛先情報を有する通信データを受信する第1受信手段と、
    前記分散管理された経路データベースを参照し、前記第1受信手段によって受信した通信データの宛先情報が示すプライベートアドレスに対応するグローバルアドレスを特定する特定手段と、
    前記特定手段によって特定されたグローバルアドレスが設定された前記他の中継装置に対して、前記第1受信手段によって受信した通信データを送信する第2送信手段と、
    前記他の中継装置から送信される前記通信データを受信する第2受信手段と、
    前記第2受信手段によって受信された通信データを、当該通信データの宛先情報が示すプライベートアドレスの前記通信端末に対して送信する第1送信手段と
    前記他の中継装置に接続すると、前記分散管理された経路データベースを参照し、当該経路データベースに含まれるプライベートアドレス以外のプライベートアドレスに関する情報を、自装置のグローバルアドレスに対応付けて当該経路データベースに登録する登録手段と、
    前記登録手段によって登録された情報に係るプライベートアドレスを、自装置に接続される前記通信端末に割り当てる割当手段と
    を具備する中継装置。
  2. 前記第2送信手段は、通信データを送信するときには、特定の暗号鍵を用いて暗号化し、
    前記第1送信手段は、前記第2受信手段によって受信された通信データを復号化して、当該通信データの宛先情報に係る通信端末に対して送信し、
    前記第2送信手段における暗号化は、前記構造化オーバレイを構成するどの前記他の中継装置に送信する場合であっても、共通の暗号鍵を用いる
    ことを特徴とする請求項1に記載の中継装置。
  3. 前記特定手段によって特定された前記他の中継装置のグローバルアドレスと、当該グローバルアドレスを特定するために用いられた前記通信端末のプライベートアドレスに関する情報とを対応付けた情報を一定時間記憶する一時記憶手段をさらに具備し、
    前記第2送信手段は、前記一時記憶手段に記憶された情報を参照して、当該情報に、前記第1受信手段によって受信された通信データの宛先情報が示すプライベートアドレスに対応付けられたグローバルアドレスが存在する場合には、前記第1受信手段によって受信された通信データを、当該グローバルアドレスが設定された他の中継装置に対して送信する
    ことを特徴とする請求項1または請求項2に記載の中継装置。
  4. 前記分散管理された経路データベースにおける前記通信端末のプライベートアドレスに関する情報とは、当該プライベートアドレスが含まれるネットワークアドレスを示し、
    前記通信端末のプライベートアドレスと前記ネットワークアドレスとの対応関係を示すプレフィックスルールテーブルを記憶する記憶手段をさらに具備し、
    前記特定手段は、前記記憶手段に記憶されたプレフィックスルールテーブルおよび前記分散管理された経路データベースを参照し、前記第1受信手段によって受信した通信データの宛先情報に示されるプライベートアドレスに対応するグローバルアドレスを特定する
    ことを特徴とする請求項1乃至請求項3のいずれかに記載の中継装置。
JP2010166287A 2009-07-24 2010-07-23 中継装置 Active JP5601067B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010166287A JP5601067B2 (ja) 2009-07-24 2010-07-23 中継装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2009173465 2009-07-24
JP2009173465 2009-07-24
JP2010166287A JP5601067B2 (ja) 2009-07-24 2010-07-23 中継装置

Publications (2)

Publication Number Publication Date
JP2011045050A JP2011045050A (ja) 2011-03-03
JP5601067B2 true JP5601067B2 (ja) 2014-10-08

Family

ID=43499207

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010166287A Active JP5601067B2 (ja) 2009-07-24 2010-07-23 中継装置

Country Status (3)

Country Link
JP (1) JP5601067B2 (ja)
CN (1) CN102474459B (ja)
WO (1) WO2011010735A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013187601A (ja) * 2012-03-06 2013-09-19 Sony Corp ルータ、ルータ内記憶部の電源供給方法
JP2013211684A (ja) * 2012-03-30 2013-10-10 Brother Ind Ltd 通信システム、サーバ装置、サーバ処理プログラム、及び接続要求転送方法
EP3481004B1 (en) 2016-06-29 2023-08-16 Prosper Creative Co., Ltd. Communications system, communications device used in same, management device, and information terminal
JP6962467B2 (ja) * 2018-06-15 2021-11-05 日本電信電話株式会社 ネットワーク管理システム、管理装置、中継装置、方法およびプログラム
CN111200816A (zh) * 2020-01-21 2020-05-26 南通大学 一种无线通信装置及无线通信方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11112577A (ja) * 1997-10-08 1999-04-23 Hitachi Ltd Lanシステム間相互接続方式及びネットワークサービスシステム
JP4225681B2 (ja) * 2000-12-06 2009-02-18 富士通株式会社 仮想閉域網構築方法及び装置並びに中継装置
JP2006129090A (ja) * 2004-10-28 2006-05-18 Sky Com:Kk 通信装置、通信管理装置、通信方法および通信制御プログラム
JP4712481B2 (ja) * 2005-08-10 2011-06-29 パナソニックシステムネットワークス株式会社 通信方法および装置
JP4490352B2 (ja) * 2005-08-30 2010-06-23 Kddi株式会社 Vpnサーバホスティングシステム、およびvpn構築方法
JP2007104593A (ja) * 2005-10-07 2007-04-19 Toshiba Corp 個別ネットワーク相互アクセスシステム
JP4628938B2 (ja) * 2005-12-02 2011-02-09 三菱電機株式会社 データ通信システム、端末装置およびvpn設定更新方法

Also Published As

Publication number Publication date
WO2011010735A1 (ja) 2011-01-27
JP2011045050A (ja) 2011-03-03
CN102474459A (zh) 2012-05-23
CN102474459B (zh) 2016-03-02

Similar Documents

Publication Publication Date Title
JP4016998B2 (ja) 通信装置およびプログラム
CN105847158B (zh) 用于处理路由数据的方法和系统
US10187356B2 (en) Connectivity between cloud-hosted systems and on-premises enterprise resources
JP2008301165A (ja) 仮想ネットワーク接続装置及びプログラム
JP5601067B2 (ja) 中継装置
EP2827551B1 (en) Communication method, communication apparatus and communication program
CN110537354B (zh) 用于配置虚拟专用网关的系统和方法
JP2016051921A (ja) 通信システム
US8954601B1 (en) Authentication and encryption of routing protocol traffic
JP5933371B2 (ja) ネットワーク中継装置及びプログラム
JP2016059022A (ja) 端末装置、ゲートウェイ装置および中継装置
US20180262473A1 (en) Encrypted data packet
WO2011010736A1 (ja) 中継装置
JP2012165269A (ja) 中継サーバ及び中継通信システム
JP2005057693A (ja) ネットワーク仮想化システム
JP2018174550A (ja) 通信システム
JP5131118B2 (ja) 通信システム、管理装置、中継装置、及びプログラム
JP5350333B2 (ja) パケット中継装置及びネットワークシステム
JP2015095698A (ja) 通信制御サーバーおよびサービス提供システム
JP5532993B2 (ja) 中継装置
US11888840B2 (en) Apparatus and method for selection and transmission of server certificate
JP2003198530A (ja) パケット通信装置及び暗号アルゴリズム設定方法
JP2022021818A (ja) 通信システム、鍵管理サーバ装置、ルータ及びプログラム
JP6601774B2 (ja) 通信システム及び通信装置
JP2009206876A (ja) サービス公開システム、通信中継装置、およびサービス公開装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140702

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140722

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140804

R150 Certificate of patent or registration of utility model

Ref document number: 5601067

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150