JP5633748B2 - Relay server and relay communication system - Google Patents
Relay server and relay communication system Download PDFInfo
- Publication number
- JP5633748B2 JP5633748B2 JP2011095323A JP2011095323A JP5633748B2 JP 5633748 B2 JP5633748 B2 JP 5633748B2 JP 2011095323 A JP2011095323 A JP 2011095323A JP 2011095323 A JP2011095323 A JP 2011095323A JP 5633748 B2 JP5633748 B2 JP 5633748B2
- Authority
- JP
- Japan
- Prior art keywords
- operator
- relay server
- target device
- connection target
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、主として、異なるLAN(Local Area Network)に接続されている端末間の通信を可能とする中継サーバに関する。 The present invention mainly relates to a relay server that enables communication between terminals connected to different LANs (Local Area Networks).
従来から、仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている(例えば、特許文献1を参照)。このVPNは、例えば、地域ごとに設けられた複数の支社(拠点)のLANに接続された端末同士でインターネットを介して通信する用途に用いられている。前記VPNを利用すれば、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。 Conventionally, a communication technique called a virtual private network (VPN) is known (see, for example, Patent Document 1). This VPN is used, for example, for applications in which terminals connected to LANs of a plurality of branch offices (bases) provided for each region communicate via the Internet. If the VPN is used, another remote LAN can be used as if it were a directly connected network.
ところで、この種のシステムにおいては、機器のIPアドレス及び識別情報等を用いて、機器間での通信を行うことが一般的である。一方、この種のシステムにおいて作業を行う場合、オペレータの使用する機器は常に同じとは限らず、移動先及び出張先等では、異なる機器を使用することがある。これはVPNの構成機器の変更を意味するため、通常は、VPNの設定を変更する必要が生じる。しかし、ネットワークの設定の変更等が生じた場合、これらの変更は他の機器に反映させなければならず、処理が繁雑になってしまう。 By the way, in this type of system, communication between devices is generally performed using the IP address and identification information of the devices. On the other hand, when working in this type of system, the equipment used by the operator is not always the same, and different equipment may be used at the destination and the destination. Since this means a change in VPN configuration equipment, it is usually necessary to change the VPN settings. However, when changes to the network settings occur, these changes must be reflected on other devices, resulting in complicated processing.
本発明は以上の事情に鑑みてされたものであり、その主要な目的は、オペレータの利用する機器に合わせてVPNを柔軟かつ機動的に構築可能な中継サーバを提供することにある。 The present invention has been made in view of the above circumstances, and a main object of the present invention is to provide a relay server that can flexibly and flexibly construct a VPN in accordance with equipment used by an operator.
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。 The problems to be solved by the present invention are as described above. Next, means for solving the problems and the effects thereof will be described.
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、自身がパケットを転送可能なアドレスである第1アドレスフィルタ情報と、他の中継サーバ及びクライアント端末を示す接続対象機器がパケットを転送可能なアドレスである第2アドレスフィルタ情報と、を記憶する手段と、LANで接続された通信装置を介してログイン操作するオペレータの識別情報を受け付ける手段と、ログインを受け付けたオペレータの識別情報に基づいて、当該オペレータが接続可能な前記接続対象機器のリストを取得する手段と、接続可能な前記接続対象機器のリストの中からオペレータによる前記接続対象機器の選択を受け付ける手段と、オペレータに選択された前記接続対象機器とルーティングセッションを確立する手段と、を備える。中継サーバは、オペレータがログイン操作した前記通信装置のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置のアドレスを前記接続対象機器へ送信する。中継サーバは、前記接続対象機器から受信したアドレスを第2アドレスフィルタ情報として記憶する。中継サーバは、受信したパケットの送信先が前記第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信する。中継サーバは、受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信する。 According to a first aspect of the present invention, a relay server having the following configuration is provided. That is, the relay server has first address filter information that is an address to which the packet can be transferred, and second address filter information that is an address to which the connection target device indicating the other relay server and the client terminal can transfer the packet. And means for accepting identification information of an operator who performs a login operation via a communication device connected via a LAN, and the connection to which the operator can connect based on the identification information of the operator who has accepted the login Means for acquiring a list of target devices, means for receiving selection of the connection target device by an operator from the list of connectable target devices, and establishing a routing session with the connection target device selected by the operator Means. The relay server stores, as first address filter information, the address of the communication device on which the operator has logged in, and transmits the address of the communication device to the connection target device. The relay server stores the address received from the connection target device as second address filter information. If the transmission destination of the received packet is stored as the first address filter information, the relay server transmits the packet to the transmission destination. When the transmission destination of the received packet is stored as the second address filter information, the relay server transmits the packet to the routing session.
これにより、オペレータは、中継サーバと選択された接続対象機器との間に確立されたルーティングセッションを利用して通信を行うことができる。また、上記の構成では、オペレータ毎に接続可能な接続対象機器が設定されている。そのため、オペレータがログインに用いる通信装置が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手とルーティングセッションを確立して通信を行うことができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。 Thus, the operator can perform communication using the routing session established between the relay server and the selected connection target device. In the above configuration, a connection target device that can be connected for each operator is set. Therefore, even if the communication device used by the operator is changed, if the operator who logs in is the same, it is possible to establish a routing session with the same partner as before and perform communication. Further, different access control can be easily performed for each operator.
本発明の第2の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、自身(中継サーバ)がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。前記制御部は、接続対象機器取得制御部と、VPN開始制御部と、アドレスフィルタ情報通信制御部と、ルーティングセッション確立制御部と、ルーティング制御部と、を備える。前記接続対象機器取得制御部は、自身(中継サーバ)又は自身が接続可能な他の中継サーバが記憶する情報であって、自身及び前記接続対象機器を含んで構成される中継通信システムにログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。前記VPN開始制御部は、取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部は、オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身(中継サーバ)の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶する。ルーティングセッション確立制御部は、選択された前記接続対象機器に対してルーティングセッションを確立する。ルーティング制御部は、受信したパケットの送信先が、自身(中継サーバ)の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身(中継サーバ)と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する。 According to a second aspect of the present invention, a relay server having the following configuration is provided. That is, the relay server includes an address filter information storage unit and a control unit. The address filter information storage unit can store address filter information indicating an address of a routing target device that can be specified as a packet transfer destination by itself (relay server) in association with its own identification information, and is connected to itself. The connection target device indicating the possible connection target relay server and the client terminal belonging to the connection target relay server receives the address filter information indicating the address of the routing target device that can be designated as the packet transfer destination of the connection target device. It can be stored in association with the identification information. The control unit includes a connection target device acquisition control unit, a VPN start control unit, an address filter information communication control unit, a routing session establishment control unit, and a routing control unit. The connection target device acquisition control unit is information stored in itself (relay server) or another relay server to which the connection target device can be connected, and can log in to a relay communication system including the device and the connection target device. The connection that can be connected by the operator who made the login request based on the connection permission information that is the information that associates the identification information of the correct operator with the identification information of the connection target device that can be connected by the operator Get the target device. The VPN start control unit performs a virtual private network start process on the selected connection target device among the acquired connection target devices. The address filter information communication control unit stores, in the address filter information storage unit, the address of the communication device operated by the operator to make a login request as address filter information associated with the identification information of itself (relay server). The address filter information is transmitted to the connection target device, and the address filter information received from the connection target device is stored in the address filter information storage unit as address filter information associated with the identification information of the connection target device. The routing session establishment control unit establishes a routing session for the selected connection target device. When the destination of the received packet is specified in the address filter information associated with the identification information of itself (relay server), the routing control unit transmits the packet to the destination, When the transmission destination is specified in the address filter information associated with the identification information of the connection target device, the connection is made via a routing session established between itself (relay server) and the connection target device. Send the packet to the target device.
これにより、構築したVPNを利用して、オペレータがログイン要求を行うために操作した通信装置と、接続対象機器がパケットを転送可能なルーティング対象装置と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、当該オペレータによる接続が可能な接続対象機器の識別情報と、が対応付けられている。そのため、オペレータがログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。 Thereby, using the constructed VPN, communication can be performed between the communication device operated by the operator to make a login request and the routing target device to which the connection target device can transfer the packet. In the connection permission information, the identification information of the operator is associated with the identification information of the connection target device that can be connected by the operator. Therefore, even if the device used for login by the operator is changed, if the operator who logs in is the same, a VPN including the same partner as before can be easily constructed and used on the spot. Further, different access control can be easily performed for each operator.
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、この中継サーバは、自身(中継サーバ)を含む中継サーバの管理を行う管理機能付き中継サーバの識別情報を記憶する管理先情報記憶部を備える。前記接続許可情報は、前記管理機能付き中継サーバによって記憶される。前記制御部は、オペレータからログイン要求を受け付けたときに、前記管理先情報記憶部の記憶内容に基づいて前記管理機能付き中継サーバにアクセスすることにより、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。 The relay server preferably has the following configuration. That is, the relay server includes a management destination information storage unit that stores identification information of a relay server with a management function that manages a relay server including itself (relay server). The connection permission information is stored by the relay server with management function. When the control unit receives a login request from an operator, the control unit can connect to the relay server with management function based on the storage contents of the management destination information storage unit, so that the operator who has made the login request can connect. The connection target device is acquired.
これにより、管理機能付き中継サーバが接続許可情報を集中的に管理する構成となるため、複数の機器によって接続許可情報を共有させる必要がない。従って、当該機器間における接続許可情報の同期制御が不要となり、中継サーバで行われる処理を軽くすることができる。 Accordingly, since the relay server with a management function is configured to centrally manage the connection permission information, it is not necessary to share the connection permission information by a plurality of devices. Therefore, the synchronization control of the connection permission information between the devices becomes unnecessary, and the processing performed by the relay server can be lightened.
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、この中継サーバは、前記接続許可情報を記憶する接続許可情報記憶部を備える。前記制御部は、オペレータからログイン要求を受け付けたときに、前記接続許可情報記憶部に記憶された前記接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。 The relay server preferably has the following configuration. That is, the relay server includes a connection permission information storage unit that stores the connection permission information. When the control unit receives a login request from an operator, the control unit acquires the connection target device that can be connected by the operator who has made the login request, based on the connection permission information stored in the connection permission information storage unit. To do.
即ち、上述の構成のように接続許可情報を管理機能付き中継サーバが集中的に管理する場合、オペレータからログイン要求を受け付ける毎に当該中継サーバにアクセスする必要がある。この点、上記の構成では、自身(中継サーバ)の記憶内容を参照するだけで、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得できる。このため、VPNを開始するまでの処理を単純にすることができる。 That is, when the relay server with a management function centrally manages the connection permission information as in the above configuration, it is necessary to access the relay server every time a login request is received from the operator. In this regard, in the above configuration, the connection target device that can be connected by the operator who has made the login request can be acquired simply by referring to the stored content of itself (relay server). For this reason, the process up to the start of VPN can be simplified.
前記の中継サーバにおいては、自身(中継サーバ)又は前記接続対象機器は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶し、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な前記接続対象機器の識別情報をオペレータグループ毎に記憶することが好ましい。 In the relay server, the device itself (relay server) or the connection target device stores an operator group composed of a plurality of operators using identification information of operators constituting the operator group, and creates a virtual private network. It is preferable to store, for each operator group, identification information of the connection target device that can be connected by an operator when building.
これにより、複数のオペレータでチームを作り、当該チームにおいて所定の接続対象機器(及びルーティング対象装置)のメンテナンス等を行っている場合において、接続許可情報記憶部の記憶内容を単純にすることができる。また、このチームを構成するオペレータに変更があった場合においても、当該オペレータの識別情報をオペレータグループから削除又はオペレータグループに追加するだけで良いため、接続許可情報の設定を容易にすることができる。 This makes it possible to simplify the storage content of the connection permission information storage unit when a team is formed by a plurality of operators and maintenance of a predetermined connection target device (and routing target device) is performed in the team. . In addition, even when there is a change in the operators that make up this team, it is only necessary to delete the operator's identification information from the operator group or add it to the operator group, making it easy to set connection permission information. .
本発明の第3の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、中継サーバと、前記中継サーバに所属するクライアント端末と、を備える。前記中継サーバのうち接続元の中継サーバとして機能する前記中継サーバは、アドレスフィルタ情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、自身(中継サーバ)がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。前記制御部は、接続対象機器取得制御部と、VPN開始制御部と、アドレスフィルタ情報通信制御部と、ルーティングセッション確立制御部と、ルーティング制御部と、を備える。前記接続対象機器取得制御部は、オペレータの識別情報と、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。前記VPN開始制御部は、取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部は、オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身(中継サーバ)の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶する。ルーティングセッション確立制御部は、選択された前記接続対象機器に対してルーティングセッションを確立する。ルーティング制御部は、受信したパケットの送信先が、自身(中継サーバ)の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する。 According to the 3rd viewpoint of this invention, the relay communication system of the following structures is provided. That is, the relay communication system includes a relay server and a client terminal belonging to the relay server. The relay server that functions as a connection source relay server among the relay servers includes an address filter information storage unit and a control unit. The address filter information storage unit can store address filter information indicating an address of a routing target device that can be specified as a packet transfer destination by itself (relay server) in association with its own identification information, and is connected to itself. The connection target device indicating the possible connection target relay server and the client terminal belonging to the connection target relay server receives the address filter information indicating the address of the routing target device that can be designated as the packet transfer destination of the connection target device. It can be stored in association with the identification information. The control unit includes a connection target device acquisition control unit, a VPN start control unit, an address filter information communication control unit, a routing session establishment control unit, and a routing control unit. The connection target device acquisition control unit is based on connection permission information that is information in which operator identification information is associated with identification information of the connection target device that can be connected by the operator when constructing a virtual private network. Then, the connection target device that can be connected by the operator who made the login request is acquired. The VPN start control unit performs a virtual private network start process on the selected connection target device among the acquired connection target devices. The address filter information communication control unit stores, in the address filter information storage unit, the address of the communication device operated by the operator to make a login request as address filter information associated with the identification information of itself (relay server). The address filter information is transmitted to the connection target device, and the address filter information received from the connection target device is stored in the address filter information storage unit as address filter information associated with the identification information of the connection target device. The routing session establishment control unit establishes a routing session for the selected connection target device. When the destination of the received packet is specified in the address filter information associated with the identification information of itself (relay server), the routing control unit transmits the packet to the destination, When the transmission destination is specified in the address filter information associated with the identification information of the connection target device, the packet is transmitted to the connection target device via a routing session established between itself and the connection target device. Send.
これにより、構築したVPNを利用して、オペレータがログイン要求を行うために操作した通信装置と、接続対象機器がパケットを転送可能なルーティング対象装置と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、当該オペレータによる接続が可能な接続対象機器の識別情報と、が対応付けられている。そのため、オペレータがログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス範囲を設定することが可能となる。 Thereby, using the constructed VPN, communication can be performed between the communication device operated by the operator to make a login request and the routing target device to which the connection target device can transfer the packet. In the connection permission information, the identification information of the operator is associated with the identification information of the connection target device that can be connected by the operator. Therefore, even if the device used for login by the operator is changed, if the operator who logs in is the same, a VPN including the same partner as before can be easily constructed and used on the spot. In addition, it is possible to set different access ranges for each operator.
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本発明の一実施形態に係る中継通信システム100の全体構成を示す説明図である。
Next, embodiments of the present invention will be described with reference to the drawings. First, an overview of the
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数の中継サーバ1,2,3と、中継サーバ1,2,3とLAN10,20,30,40,45を介して接続されるクライアント端末11,21,42,47と、で構成されている。また、LAN10,20,30は、それぞれ物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
As shown in FIG. 1, the
次に、それぞれのLANを説明する。図1に示すように、LAN10には、中継サーバ1と、クライアント端末11と、が接続されている。LAN20には、中継サーバ2と、クライアント端末21と、通信装置22,23と、が接続されている。LAN30には、中継サーバ3と、ファイルサーバ31が接続されている。また、LAN30には、ルータ32を介して別のLAN40が接続されるとともに、ルータ33を介して更に別のLAN45が接続されている。LAN40には、ファイルサーバ41と、クライアント端末42と、が接続されている。LAN45には、ファイルサーバ46と、クライアント端末47と、が接続されている。また、各クライアント端末は、当該クライアント端末に接続された中継サーバを介して、他の中継サーバ又は他の中継サーバに接続されたクライアント端末と通信できる。なお、図1には一部だけが図示されているが、LAN20,30には多数のクライアント端末等が配置されているものとする。
Next, each LAN will be described. As shown in FIG. 1, a
この中継通信システム100を運用するにあたっては、LAN20が設置されている場所にオペレータを待機させている。LAN30,40,45には、当該オペレータがメンテナンス等を行う対象であるファイルサーバ31,41,46が配置されている。また、LAN10が設置されている場所はオペレータによるメンテナンス業務を管理する拠点となっており、中継サーバ1には、オペレータ毎のアクセス権限が(後述の接続許可情報として)予め設定されている。オペレータは、通信装置22,23等を用いて、オペレータ自身が有するアクセス権限の範囲内でファイルサーバ31,41,46等にアクセスし、メンテナンスを行う。
In operating the
このように、この中継通信システム100では、オペレータからメンテナンス先へ接続を行うことが想定されている。以下の説明では、中継サーバ2のように、接続元となるLANに接続された中継サーバを接続元の中継サーバと称し、中継サーバ3のように、接続対象となる中継サーバを接続対象の中継サーバと称することがある。また、接続対象の中継サーバと、当該中継サーバに所属するクライアント端末と、をまとめて、接続対象機器と称することがある。
Thus, in this
次に、図2及び図3を参照して、中継サーバ1,2,3について説明する。図2は、管理機能付き中継サーバである中継サーバ1の機能ブロック図である。図3は、中継サーバ2,3の機能ブロック図である。
Next, the
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続されたクライアント端末と通信可能であるだけでなく、他のLANに配置された中継サーバと通信可能となっている。そのため、中継サーバ1,2,3には、グローバルIPアドレスに加えてプライベートIPアドレスが付与されている。
Since each of the
また、本実施形態の中継通信システム100において、当該システムに含まれる中継サーバのうち1つの中継サーバが管理機能付き中継サーバとして動作し、その他の中継サーバが管理対象の中継サーバとして動作するように構成されている。本実施形態では、中継サーバ1が管理機能付き中継サーバとして、残りの中継サーバ2,3が管理対象の中継サーバとして、それぞれ動作するように設定されている。以下では、まず管理機能付きの中継サーバ1を主に説明し、次に管理対象の中継サーバ2,3について説明する。
In the
図2に示すように、管理機能付きの中継サーバ1は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
As illustrated in FIG. 2, the
インタフェース部70は、プライベートIPアドレスを利用して、LAN10内の端末に対して通信を行うことができる。また、インタフェース部70は、グローバルIPアドレスを利用して、WAN80を経由した通信を行うことができる。
The
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。図2に示すように、制御部60は、インタフェースドライバ61と、LAN側IPパケット処理部62と、通信制御部63と、WAN側IPパケット処理部64と、を備えている。
The
インタフェースドライバ61は、インタフェース部70を制御するドライバソフトウェアである。LAN側IPパケット処理部62は、LAN10から受信したパケットに適宜の処理を行って通信制御部63に出力する。WAN側IPパケット処理部64は、WAN80から受信したパケットに適宜の処理を行って通信制御部63に出力する。
The
通信制御部63は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて送信先を決定し、決定した送信先へ当該パケットを送信する。また、通信制御部63は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。通信制御部63は、図4に示すように、接続対象機器取得制御部631と、VPN開始制御部632と、アドレスフィルタ情報通信制御部633と、ルーティングセッション確立制御部634と、ルーティング制御部635と、を備える。なお、上記の各制御部が行う制御については後述する。
For the received packet, the
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、オペレータ情報記憶部51と、接続許可情報記憶部52と、を備えている。以下、図5及び図6を参照して、記憶部50の記憶内容について説明する。図5は、オペレータ情報の内容を示す図である。図6は、接続許可情報の内容を示す図である。
The
中継サーバ1が備えるオペレータ情報記憶部51は、中継通信システム100にログイン可能なオペレータを特定するための情報及びオペレータの利用状況等を示す情報であるオペレータ情報を記憶している。なお、このオペレータ情報記憶部51は、管理機能付きの中継サーバ1のみが備える構成となっており、図3に示すように、中継サーバ2,3は、このオペレータ情報記憶部51を備えていない。以下、オペレータ情報の内容について具体的に説明する。
The operator
図5に示すオペレータ情報においては、「オペレータID」と記述された列において、中継通信システム100にログイン可能なオペレータIDの一覧が記述されている。このオペレータIDは、オペレータ毎に設定される固有の文字列で構成されている。また、「パスワード」と記述された列では、同じ行に記述されたオペレータIDを使用して中継通信システム100にログインするために必要なパスワードが記述されている。各オペレータは、自身に設定されたオペレータID及びパスワードを用いて、中継通信システム100にログインすることができる。
In the operator information shown in FIG. 5, a list of operator IDs that can log in to the
このオペレータID及びパスワードを用いて、オペレータが中継通信システム100にログインするときの流れを簡単に説明する。オペレータは、通信装置22,23等を用いて中継サーバ2又はクライアント端末21にアクセスし、所定のログイン画面においてオペレータIDとパスワードを入力することにより、中継通信システム100へのログイン要求を行うことができる。このログイン要求を受け付けた中継サーバ2又はクライアント端末21は、この入力内容を中継サーバ1に送信する。この入力内容を受信した中継サーバ1は、オペレータが入力したオペレータID及びパスワードについて、オペレータ情報記憶部51が記憶するオペレータ情報と照合するとともに、他の中継サーバを介して当該オペレータIDが既にログイン済みか否かを判定する。中継サーバ1は、この結果に基づいてログインの可否を決定する。
The flow when the operator logs in to the
図5には、中継サーバ1のオペレータ情報記憶部51が記憶するオペレータ情報の例が示されている。このオペレータ情報記憶部51において、「使用機器情報」と記述された列では、同じ行に記述されたオペレータIDを使用してオペレータが中継通信システム100にログイン済みである場合に、当該オペレータが中継通信システム100へのログインに使用している中継通信システム100側の機器(具体的には、通信装置22,23ではなく、中継サーバ2又はクライアント端末21を示す。以下使用機器と称する)に関する情報(使用機器情報)が記述されている。
FIG. 5 shows an example of operator information stored in the operator
具体的には、オペレータが中継サーバを使用してログインしている場合は、当該中継サーバの識別情報が使用機器情報となる。例えば、図1におけるオペレータ92が通信装置22を介して中継サーバ2にログインした場合は、中継サーバ1のオペレータ情報記憶部51では、図5に示すように、その中継サーバ2の識別情報が、オペレータ92のオペレータID(Op2)に対応付けた使用機器情報として記述される。
Specifically, when an operator logs in using a relay server, the identification information of the relay server is used device information. For example, when the operator 92 in FIG. 1 logs in to the
一方、オペレータがクライアント端末を使用してログインしている場合は、当該クライアント端末の識別情報と、当該クライアント端末の所属先である中継サーバの識別情報と、の両方が使用機器情報となる。例えば、図1におけるオペレータ91が通信装置23を介してクライアント端末21にログインした場合は、中継サーバ1のオペレータ情報記憶部51では、当該クライアント端末21の識別情報及び中継サーバ2の識別情報が、図5に示すように、オペレータ91のオペレータID(Op1)に対応付けた使用機器情報として記述される。
On the other hand, when the operator logs in using a client terminal, both the identification information of the client terminal and the identification information of the relay server to which the client terminal belongs are used device information. For example, when the operator 91 in FIG. 1 logs into the
なお、オペレータが中継通信システム100にログインしていない場合は、使用機器情報は空欄となる(図5のOp3及びOp4に対応する使用機器情報を参照)。
When the operator is not logged in to the
オペレータ情報記憶部51が記憶するオペレータ情報のうち、ログイン可能なオペレータIDの一覧と、当該オペレータID毎に設定されるパスワードと、は各オペレータ及び管理者等によって予め設定されている。一方、使用機器情報は、オペレータがログイン又はログアウトする度に最新の情報に更新される。
Among the operator information stored in the operator
接続許可情報記憶部52は、中継通信システム100にログイン可能なオペレータのアクセス権限を示す接続許可情報を記憶している。なお、この接続許可情報記憶部52は、本実施形態では管理機能付きの中継サーバ1のみが備える構成となっており、図3に示すように、中継サーバ2,3は、この接続許可情報記憶部52を備えていない。以下、接続許可情報の内容について具体的に説明する。
The connection permission
図6に示す接続許可情報においては、「オペレータID」と記述された列において、中継通信システム100にログイン可能なオペレータIDの一覧が記述されている。また、「接続対象機器の識別情報」と記述された列では、同じ行に記述されたオペレータIDを用いて接続することが許可されている前記接続対象機器の識別情報が記述されている。具体的には、オペレータ92(オペレータID=Op2)が通信装置22を操作して中継サーバ2にアクセスし、当該中継サーバ2を使用して中継通信システム100にログインしたときには、当該オペレータ92は、この中継サーバ2(使用機器)と、図6の接続許可情報においてオペレータ92に対応している接続対象機器(具体的にはクライアント端末42又はクライアント端末47)と、の接続を利用することができる。この場合、この中継サーバ2(使用機器)を始点とし、中継サーバ3を経由して、クライアント端末42又はクライアント端末47を終点とするルーティングセッションが確立されるとともに、このルーティングセッションを利用した仮想プライベートネットワーク(VPN)が構築される。
In the connection permission information illustrated in FIG. 6, a list of operator IDs that can log in to the
ここで、接続許可情報記憶部52が記憶する接続許可情報(図6)においては、接続対象機器が、(使用機器の識別情報ではなく)オペレータIDと対応付けられている。このため、オペレータ92がログイン時に使用した機器が異なる場合においても、接続可能な接続対象機器は上記と同じである。例えば、仮にオペレータ92が通信装置23を操作してクライアント端末21にアクセスし、当該クライアント端末21を使用して中継通信システム100にログインした場合は、このクライアント端末21(使用機器)を始点とし、中継サーバ2及び中継サーバ3を経由して、クライアント端末42又はクライアント端末47を終点とするルーティングセッションが確立されるとともに、このルーティングセッションを利用したVPNが構築される。
Here, in the connection permission information (FIG. 6) stored in the connection permission
次に、図7等を参照して、中継サーバ2,3の構成について説明する。図7は、アドレスフィルタ情報記憶部の記憶内容を示す図である。なお、中継サーバ3は、中継サーバ2と略同等の構成であるため、代表して中継サーバ2について説明する。
Next, the configuration of the
中継サーバ2は、中継サーバ1と同等に構成される制御部60及びインタフェース部70を備える。一方、中継サーバ2の記憶部50は、中継サーバ1の記憶部50と、その記憶内容の一部が異なっている。具体的には、中継サーバ2は、記憶部50内において、管理先情報記憶部53と、アドレスフィルタ情報記憶部54と、を備えている。
The
管理先情報記憶部53は、自身を管理対象とする管理機能付き中継サーバである中継サーバ1の識別情報を記憶している。従って、中継サーバ2は、この管理先情報記憶部53の記憶内容を参照することにより、管理機能付き中継サーバである中継サーバ1にアクセスすることができる。なお、メンテナンス等の事情で管理機能付き中継サーバが変更された場合は、その旨が他の中継サーバに通知され、管理先情報記憶部53の記憶内容が更新される。
The management destination
アドレスフィルタ情報記憶部54は、オペレータが中継サーバ2にログインした結果として当該中継サーバ2が他の機器とルーティングセッションを形成し、このルーティングセッションを利用したVPNが構築された場合に、どのような送信先を有するパケットであれば中継サーバ2が当該パケットの転送を行うのかを示すアドレスフィルタ情報を記憶している。なお、以下の説明では、他の機器とルーティングセッションを形成してパケットの転送を行う機器をルーティング機器と称することがある。本実施形態では、中継サーバがルーティング機器として機能することも、クライアント端末がルーティング機器として機能することもできるようになっているが、中継サーバ2のアドレスフィルタ情報記憶部54は、当該中継サーバ2がルーティング機器として機能する場合に使用されるものである。
The address filter
図7(a)には、アドレスフィルタ情報記憶部54の記憶内容の概要が例示されている。図7(a)において、右側の「ルーティング対象装置」の列は、転送が許可されるパケットの送信先の機器を示している。従って、図7(a)の例でいうと、中継サーバ2がルーティング機器として機能する場合、当該中継サーバ2が受信したパケットの送信先がファイルサーバ46又は通信装置22であれば、中継サーバ2は当該パケットを他の機器へ転送する。この場合の転送先としては、他のルーティング機器である場合と、パケットの送信先そのものである場合と、の2通りが考えられる。一方で、パケットの送信先が上記の機器の何れでもない場合は、当該パケットを転送しない。
FIG. 7A illustrates an overview of the contents stored in the address filter
従って、この「ルーティング対象装置」の列が、アドレスフィルタ情報に相当する。このアドレスフィルタ情報は、上記のとおり、パケットの転送の可否をその送信先に基づいて判断する(パケットをフィルタリングする)ために用いられる。 Therefore, this “routing target device” column corresponds to address filter information. As described above, this address filter information is used to determine whether or not a packet can be transferred based on the transmission destination (filter the packet).
図7(a)の左側の「ルーティング機器」の列は、右側の列で示されるパケットの送信先に対して、パケットを直接的に送信可能なルーティング機器を示している。ここで、「直接的に送信可能」とは、ルーティング機器が、他のルーティング機器を経由させずに、その送信先にパケットを送信可能であることをいう。 The “routing device” column on the left side of FIG. 7A indicates a routing device that can directly transmit a packet to the packet transmission destination indicated in the right column. Here, “directly transmittable” means that a routing device can transmit a packet to its destination without passing through another routing device.
図7(a)の表に示すように、アドレスフィルタ情報記憶部54において、アドレスフィルタ情報は、当該アドレスフィルタ情報が示す送信先に対してパケットを直接的に送信可能なルーティング機器(自身を含む)に対応付けられた形で記憶される。従って、図7(a)の表は、転送を許可するパケットをフィルタリングする際に参照されるだけでなく、パケットの転送経路を決定する(パケットをルーティングする)目的でも用いられる。以下の説明では、図7(a)のように、VPNを構築する際に使用される自身及びそれ以外のルーティング機器と、それぞれに対応付けたアドレスフィルタ情報と、を含む情報を、パケット転送制御情報と呼ぶことがある。
As shown in the table of FIG. 7A, in the address filter
即ち、図7(a)の例に照らせば、中継サーバ2が受信したパケットの送信先が通信装置22である場合は、中継サーバ2は他のルーティング機器を介さず当該パケットを通信装置22に送信することができる。従って、中継サーバ2は、受信したパケットを通信装置22に転送する。このように、自身と対応付けられたアドレスフィルタ情報(即ち、自身がパケットを転送可能なアドレス)を、以下では第1アドレスフィルタ情報と称することがある。
That is, according to the example of FIG. 7A, when the transmission destination of the packet received by the
一方で、中継サーバ2が受信したパケットの送信先がファイルサーバ46である場合は、図7(a)によると、当該パケットをファイルサーバ46に届けるためには、他のルーティング機器であるクライアント端末47を経由させなければならないことが分かる。従って、中継サーバ2は先ずパケットを、中継サーバ3を介して、クライアント端末47に転送する。このパケットを受信したクライアント端末47は、ルーティング機器として機能し、当該パケットを更にファイルサーバ46へ転送する。このように、他のルーティング機器と対応付けられたアドレスフィルタ情報(即ち、他のルーティング機器がパケットを転送可能なアドレス)を、以下では第2アドレスフィルタ情報と称することがある。このように、中継サーバ2は、第1アドレスフィルタ情報と第2アドレスフィルタ情報とを記憶する手段(アドレスフィルタ情報記憶部54)を備えている。
On the other hand, when the transmission destination of the packet received by the
図7(b)にはアドレスフィルタ情報記憶部54の具体的な記憶内容が示されるが、この実質的な意味は図7(a)と同様である。この図7(b)に示すように、アドレスフィルタ情報記憶部54は、VPNで用いられるそれぞれのルーティング機器の識別情報と、当該ルーティング機器がパケットを直接的に送信可能なルーティング対象装置のIPアドレス及び名称と、を対応付けて記憶している。
FIG. 7B shows specific storage contents of the address filter
図7(b)の右側の列の「ルーティング対象装置の名称」としては、例えば、機器の種類(処理装置、通信装置、ファイルサーバ等)及び配置される場所等を考慮する等して、ユーザが任意の名称を設定することができる。この設定されたルーティング装置の名称は、中継サーバ2に接続される通信装置22等に表示させることができる。また、中継サーバ2は、装置の名称を表示するだけでなく、当該装置を使用機器として中継通信システム100にログインしているオペレータのオペレータID等を中継サーバ1に問い合わせることで取得し、これを通信装置22等に表示するように構成することもできる。以上の構成により、パケット転送先のルーティング対象装置等を分かり易く管理することができる。
As the “routing target device name” in the column on the right side of FIG. 7B, for example, considering the type of device (processing device, communication device, file server, etc.) and the location where the device is placed, etc. Can set any name. The set name of the routing device can be displayed on the
中継サーバ2は、以上のように構成される。なお、クライアント端末11,21,42,47の構成については詳細な説明を省略するが、中継サーバ2と実質的に同様に構成された記憶部50及び制御部60を備えている。特に、クライアント端末は、中継サーバ2,3が備えるアドレスフィルタ情報記憶部54と同様の内容を記憶可能なアドレスフィルタ情報記憶部を備えている。
The
次に、それぞれのルーティング機器(中継サーバ及びクライアント端末)において、図7に示すような前記パケット転送制御情報を作成する処理について説明する。パケット転送制御情報は、上述のとおり、VPNの実現のためにルーティング機器が行うパケット転送制御のルールを定めるものである。一方、本実施形態の中継通信システム100では、構成機器が互いに異なるVPNを複数構築することができる。このような中継通信システム100を実現するために、中継サーバ及びクライアント端末が備えるアドレスフィルタ情報記憶部は、パケット転送制御情報をVPN毎に記憶できるようになっている。即ち、新しいVPNが構築される毎に、新しいパケット転送制御情報が作成されて、これがルーティング機器のアドレスフィルタ情報記憶部に記憶されることになる。
Next, the process of creating the packet transfer control information as shown in FIG. 7 in each routing device (relay server and client terminal) will be described. As described above, the packet transfer control information defines rules for packet transfer control performed by the routing device for realizing the VPN. On the other hand, in the
VPNのための前記ルーティングセッションは、オペレータがログインした使用機器と、VPNの作成を指示するときにオペレータが指定した接続対象機器と、の間で形成される。即ち、VPNを作成するにあたっては、ルーティング機器として機能する前記使用機器及び接続対象機器のそれぞれにおいて、図7に示すようなパケット転送制御情報を作成してアドレスフィルタ情報記憶部に記憶することになる。 The routing session for VPN is formed between a device used by the operator and a connection target device designated by the operator when instructing creation of the VPN. That is, when creating a VPN, packet transfer control information as shown in FIG. 7 is created and stored in the address filter information storage unit in each of the used devices and connection target devices that function as routing devices. .
このため、VPNの構築時には、ルーティング機器として機能することになった中継サーバ又はクライアント端末は、自身に対応付けられたアドレスフィルタ情報を相手側のルーティング機器に送信できるようになっている。このアドレスフィルタ情報の交換により、それぞれのルーティング機器は、自身に対応付けられたアドレスフィルタ情報と他のルーティング機器に対応付けられたアドレスフィルタ情報を合成して、図7に示すようなパケット転送制御情報を作成し、自身が備えるアドレスフィルタ情報記憶部に記憶する。 For this reason, when a VPN is constructed, a relay server or client terminal that has functioned as a routing device can transmit address filter information associated with itself to a routing device on the other side. By exchanging the address filter information, each routing device synthesizes the address filter information associated with itself and the address filter information associated with another routing device, and performs packet transfer control as shown in FIG. Information is created and stored in the address filter information storage unit provided in itself.
このとき、自身に対応付けられたアドレスフィルタ情報としては、自身(ルーティング機器)が使用機器であるか接続対象機器であるかに応じて、異なるものが採用される。即ち、ルーティング機器として機能する可能性がある中継サーバ及びクライアント端末は、アドレスフィルタ情報記憶部に、自身がパケットを直接的に送信可能な装置を示すように予め設定されたアドレスフィルタ情報(以下、既定アドレスフィルタ情報と呼ぶことがある)を少なくとも記憶している。そして、中継サーバ又はクライアント端末は、自身が接続対象機器として指定されることによりルーティング機器として機能する場合、VPNの構築時に、前記既定アドレスフィルタ情報を、自身に対応付けられたアドレスフィルタ情報とする。 At this time, as address filter information associated with itself, different information is adopted depending on whether the device itself (routing device) is a used device or a connection target device. That is, the relay server and the client terminal that may function as a routing device have address filter information (hereinafter, referred to as “address filter information”) set in advance in the address filter information storage unit so as to indicate a device that can directly transmit a packet. (Sometimes called default address filter information). When the relay server or the client terminal functions as a routing device by specifying itself as a connection target device, the default address filter information is set as address filter information associated with the relay server or client terminal when the VPN is constructed. .
一方、自身が使用機器になった結果(自身をオペレータがログインに使用した結果)、ルーティング機器として機能することになった場合、中継サーバ又はクライアント端末は、VPNの構築時に、前記既定アドレスフィルタ情報ではなく、自身へのログインのためにオペレータによって直接操作された機器のアドレスを、自身に対応付けられたアドレスフィルタ情報とする。 On the other hand, when the device itself becomes a used device (the result of the operator using himself / herself for login) and functions as a routing device, the relay server or the client terminal may receive the default address filter information when constructing the VPN. Instead, the address of the device directly operated by the operator for logging in to the device is used as address filter information associated with the device.
次に、主に図8を参照して、オペレータ92が中継通信システム100にログインしてVPNを構築するときの具体的な流れを説明する。図8は、本発明におけるVPNを開始する処理の流れを示すシーケンス図である。
Next, a specific flow when the operator 92 logs into the
オペレータ92は、上述のように、通信装置22に適宜の操作を行って中継サーバ2にアクセスし、当該中継サーバ2を使用機器としたログイン要求を行う。このログイン要求では、オペレータIDとパスワードの入力が求められる。そして、オペレータ92が、自身に対応するオペレータID(Op2)及びパスワード(def)を入力して、入力内容を確定させることにより、中継サーバ2はログイン要求を受け付ける(シーケンス番号1)。このように、中継サーバ2は、ログイン操作するオペレータの識別情報を受け付ける手段を備えている。そして、中継サーバ2は、入力されたオペレータID、パスワード、及び使用機器情報(具体的には中継サーバ2の識別情報)とともに、ログイン要求を中継サーバ1に対して送信する(シーケンス番号2)。
As described above, the operator 92 performs an appropriate operation on the
このログイン要求等を受信した中継サーバ1は、図5に示すオペレータ情報に基づいて、オペレータIDとパスワードの認証を行う(シーケンス番号3)。また、中継サーバ1は、同一のオペレータIDでの多重ログインを防止するために、入力されたオペレータIDを使用したログインが他に行われているか否かを判定する(シーケンス番号4)。そして、オペレータの認証に成功し、かつ多重ログインが行われていない場合、中継サーバ1はログインを許可し、オペレータ情報記憶部51のオペレータ情報を更新する(シーケンス番号5)。つまり、Op2と対応する使用機器情報として、中継サーバ2の識別情報を記憶する。
The
そして、中継サーバ1は、接続許可情報記憶部52が記憶する接続許可情報を参照し、ログインを許可したオペレータ92による接続が可能な接続対象機器のリストを読み出す(シーケンス番号6)。今回の例では、図6に示す接続許可情報において、オペレータ92にはクライアント端末42,47が対応付けられている。従って、中継サーバ1は、クライアント端末42,47の識別情報を、ログインを許可する旨とともに、中継サーバ2に対して送信する(シーケンス番号7)。
Then, the
中継サーバ2の接続対象機器取得制御部631は、この通知に基づいて、オペレータ92による接続可能な接続対象機器(即ち、クライアント端末42,47)を取得することができる。つまり、中継サーバ2は、オペレータが接続可能な接続対象機器のリストを取得する手段を備えている。また、中継サーバ2は、オペレータ92による接続が可能な接続対象機器を、ログインが許可された旨とともに、通信装置22に表示する(シーケンス番号8)。そして、オペレータ92が、クライアント端末42,47のうち、ルーティング機器(接続対象機器)として機能させる対象としてクライアント端末47を選択したものとする。中継サーバ2はオペレータの選択を受け付ける手段を備えており、オペレータの選択を受け付けると(シーケンス番号9)、オペレータ92がログイン要求時に直接操作した通信装置22のIPアドレスを、中継サーバ2の識別情報と対応付けて、第1アドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する(シーケンス番号10)。具体的には、図7の表における下段の情報がアドレスフィルタ情報記憶部54に記憶される。次に、中継サーバ2のVPN開始制御部632によって、VPNの開始コマンドが中継サーバ3を介してクライアント端末47に送信されるとともに、アドレスフィルタ情報通信制御部633によって、自身の識別情報と対応付けて記憶したアドレスフィルタ情報(第1アドレスフィルタ情報)が中継サーバ3を介してクライアント端末47に送信される(シーケンス番号11)。
Based on this notification, the connection target device
この開始コマンドを受信したクライアント端末47は、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部に記憶する(シーケンス番号12)。ここで、上述のように、クライアント端末47のアドレスフィルタ情報記憶部には、自身(クライアント端末47)の識別情報と対応付けた形で、ファイルサーバ46を指定するアドレスフィルタ情報が予め(前記既定アドレスフィルタ情報として)記憶されている。従って、クライアント端末47のアドレスフィルタ情報記憶部には、図7に示すように、2つのアドレスフィルタ情報からなるパケット転送制御情報が記憶されることとなる。クライアント端末47は、信号を受信した旨とともに、自身に対応付けられたアドレスフィルタ情報(図7の表の上段の情報)を、中継サーバ3を介して中継サーバ2に対して送信する(シーケンス番号13)。
The
中継サーバ2は、クライアント端末47からの応答を受けて、受信したアドレスフィルタ情報を第2アドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する(シーケンス番号14)。これにより、中継サーバ2のアドレスフィルタ情報記憶部54にも、図7に示すように、2つのアドレスフィルタ情報からなるパケット転送制御情報が記憶されることとなる。以上のようにして、中継サーバ2とクライアント端末47との間で、アドレスフィルタ情報の交換が完了する。アドレスフィルタ情報の交換後においては、中継サーバ2のアドレスフィルタ情報記憶部54及びクライアント端末47のアドレスフィルタ情報記憶部は、ともに図7に示す内容を記憶している。
In response to the response from the
中継サーバ2はルーティングセッションを確立する手段(ルーティングセッション確立制御部634)を備えており、クライアント端末47とルーティングセッションを確立するための通信制御を、中継サーバ3を介して当該クライアント端末47に行う(シーケンス番号15)。これにより、中継サーバ2を始点として、中継サーバ3を経由して、クライアント端末47を終点とするルーティングセッションが確立される。
The
なお、上記では、使用機器としての中継サーバ2と、接続対象機器としてのクライアント端末47と、の間にルーティングセッションを確立する処理を説明したが、上記以外の組み合わせでルーティングセッションを確立することも勿論可能である。例えば、オペレータ91が通信装置23からクライアント端末21にアクセスし、当該クライアント端末21を使用機器として中継通信システム100にログインした場合について考える。図6に示すように、オペレータ91は中継サーバ3との接続が許可されている。従って、この場合では、クライアント端末21を始点として、中継サーバ2を経由して、中継サーバ3を終点とするルーティングセッションを確立させることができる。このときのルーティング機器(クライアント端末21及び中継サーバ3)のアドレスフィルタ情報記憶部には、クライアント端末21の識別情報に対応付けた形で、通信装置23のアドレスがアドレスフィルタ情報として記憶される。
In the above description, the processing for establishing a routing session between the
次に、確立したルーティングセッションを利用して中継サーバ2のルーティング制御部635が行うルーティング制御について説明する。図9は、通信装置22がファイルサーバ46にパケットを送信するときの経路を説明する図である。図10は、ファイルサーバ46が通信装置22にパケットを送信するときの経路を説明する図である。
Next, routing control performed by the
初めに、図9に示す第1パケット(packet01)を中継サーバ2が受信した場合の処理について説明する。この第1パケットは通信装置22が送信したものであり、送信先アドレスとしてファイルサーバ46のIPアドレス(192.168.45.100)が指定されている。
First, processing when the
中継サーバ2は、この第1パケットを受信すると、アドレスフィルタ情報記憶部54の記憶内容(図7)を第1パケットの送信先アドレスと比較する。そして、第1パケットに記された送信先に対してパケットを直接的に送信可能なルーティング機器を調べる。図7に示すように、第1パケットの送信先アドレス(192.168.45.100)は、クライアント端末47に対応付けられたアドレスフィルタ情報(第2アドレスフィルタ情報)として記憶されている。従って、中継サーバ2は第1パケットの転送を許可し、中継サーバ2とクライアント端末47との間に確立されたルーティングセッションを介して、クライアント端末47を最終的な送信先として、第1パケットを中継サーバ3に送信する。
When the
この第1パケットを受信したクライアント端末47も中継サーバ2と同様に、アドレスフィルタ情報記憶部の記憶内容(図7)を、第1パケットの送信先アドレスと比較する。この結果、クライアント端末47は、第1パケットに記された送信先(192.168.45.100)が第1アドレスフィルタ情報として記憶されていることから、自身がパケットを直接的に送信可能なことを検出する。従って、クライアント端末47は第1パケットの転送を許可し、当該第1パケットをファイルサーバ46に対して送信する。
Similarly to the
次に、図10に示す第2パケット(packet02)をクライアント端末47が受信した場合の処理について説明する。この第2パケットはファイルサーバ46が送信したものであり、送信先アドレスとして通信装置22のIPアドレス(200.1.20.100)が指定されている。
Next, processing when the
クライアント端末47は、この第2パケットを受信した後に、上記と同様に処理を行い、第2パケットの送信先アドレス(200.1.20.100)が、中継サーバ2に対応付けられたアドレスフィルタ情報によって指定されていることを検出する。従って、クライアント端末47は第2パケットの転送を許可し、クライアント端末47と中継サーバ2との間に確立されたルーティングセッションを介して、中継サーバ2を最終的な送信先として、第2パケットを中継サーバ3に送信する。
After receiving the second packet, the
この第2パケットを受信した中継サーバ2も、上記同様に処理を行い、第2パケットの送信先アドレス(200.1.20.100)が、自身(中継サーバ2)に対応付けられたアドレスフィルタ情報によって指定されていることを検出する。従って、中継サーバ2は第2パケットの転送を許可し、当該第2パケットを通信装置22に対して送信する。
The
このように、本実施形態では、アプリケーション層のルーティングセッションで、ルーティング対象のデータを流すように構成されている。従って、以上で説明したルーティングは、通常のIPルーティングとは異なっている。 As described above, in the present embodiment, the routing target data is flowed in the routing session of the application layer. Therefore, the routing described above is different from normal IP routing.
アプリケーション層でルーティングを行うことにより、WANを意識することなく、遠隔地のLAN同士がプライベートIPアドレスを利用して相互に通信することができる。また、上述のように、ルーティング機器は、パケットの転送先として指定可能なルーティング対象装置の名称を表示可能となっている。そのため、ユーザは、VPNを用いてどの機器にパケットを送信可能であるかを容易に認識することができる。 By performing routing in the application layer, remote LANs can communicate with each other using private IP addresses without being aware of the WAN. Further, as described above, the routing device can display the names of routing target devices that can be designated as packet transfer destinations. Therefore, the user can easily recognize to which device the packet can be transmitted using the VPN.
以上に示したように、本実施形態の中継サーバ2は、自身がパケットを転送可能なアドレスである第1アドレスフィルタ情報と、他の接続対象機器であるクライアント端末47がパケットを転送可能なアドレスである第2アドレスフィルタ情報と、を記憶する手段(アドレスフィルタ情報記憶部54)を備えている。また、中継サーバ2は、LAN20で接続された通信装置22を介してログイン操作するオペレータ92の識別情報を受け付ける手段と、ログインを受け付けたオペレータ92の識別情報(Op2)に基づいて、当該オペレータ92が接続可能な接続対象機器のリストを取得する手段と、接続可能な前記接続対象機器のリストの中からオペレータ92による接続対象機器(クライアント端末47)の選択を受け付ける手段と、オペレータ92に選択されたクライアント端末47とルーティングセッションを確立する手段(ルーティングセッション確立制御部634)と、を備える。中継サーバ2は、オペレータ92がログイン操作した通信装置22のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置22のアドレスをクライアント端末47へ送信する。中継サーバ2は、クライアント端末47から受信したファイルサーバ46のアドレスを第2アドレスフィルタ情報として記憶する。中継サーバ2は、受信したパケットの送信先が第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信する。中継サーバ2は、受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信する。
As described above, the
これにより、オペレータ92は、中継サーバ2と、選択されたクライアント端末47と、の間に確立されたルーティングセッションを利用して通信を行うことができる。また、上記の構成では、オペレータ毎に接続可能な接続対象機器が設定されている。そのため、オペレータ92がログインに用いる通信装置が変更されても、以前と同一の相手とルーティングセッションを確立して通信を行うことができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
As a result, the operator 92 can communicate using the routing session established between the
また、本実施形態の中継サーバ2は、アドレスフィルタ情報記憶部54と、制御部60と、を備える。アドレスフィルタ情報記憶部54は、中継サーバ2がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を中継サーバ2の識別情報と対応付けて記憶可能であるとともに、中継サーバ2と接続可能な接続対象機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。中継サーバ2が接続可能な管理機能付きの中継サーバ1においては、中継通信システム100にログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、が対応付けられた接続許可情報を記憶している。制御部60は、接続対象機器取得制御部631と、VPN開始制御部632と、アドレスフィルタ情報通信制御部633と、ルーティングセッション確立制御部634と、ルーティング制御部635と、を備える。接続対象機器取得制御部631は、管理機能付きの中継サーバ1が記憶する接続許可情報に基づいて、ログイン要求を行ったオペレータ92が接続可能な接続対象機器(クライアント端末42,47)を取得する。VPN開始制御部632は、中継サーバ2の制御部60は、読み出した接続対象機器のうち選択されたクライアント端末47に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部633は、オペレータ92がログイン要求を行うために操作した通信装置22のアドレスを、自身(中継サーバ2)の識別情報と対応付けたアドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶するとともに当該アドレスフィルタ情報をクライアント端末47に送信し、クライアント端末47から受信したアドレスフィルタ情報を、当該クライアント端末47の識別情報と対応付けたアドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する。ルーティングセッション確立制御部634は、クライアント端末47に対してルーティングセッションを確立する。ルーティング制御部635は、受信したパケットの送信先が、中継サーバ2の識別情報と対応付けられたアドレスフィルタ情報において指定されているとき(例えば送信先が通信装置22であるとき)は、当該送信先にパケットを送信し、受信したパケットの送信先がクライアント端末47の識別情報と対応付けられたアドレスフィルタ情報において指定されているとき(例えば送信先がファイルサーバ46であるとき)は、中継サーバ2とクライアント端末47との間に確立されたルーティングセッションを介して当該クライアント端末47にパケットを送信する。
The
これにより、構築したVPNを利用して、オペレータ92がログイン要求を行うために操作した通信装置22と、クライアント端末47がパケットを転送可能なファイルサーバ46と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、接続対象機器の識別情報と、が対応付けられている。そのため、例えばオペレータ92は、通信装置22を操作して中継サーバ2にログインする場合は、中継サーバ2及びクライアント端末47をルーティング機器とし、当該通信装置22とファイルサーバ46との間でVPNを構築することができる。そして、ログアウトしたオペレータ92が、今度は通信装置23を操作してクライアント端末21にログインする場合は、クライアント端末21及びクライアント端末47をルーティング機器とし、通信装置23とファイルサーバ46との間でVPNを構築することができる。このように、ログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
Thus, using the constructed VPN, communication can be performed between the
また、本実施形態の中継サーバ2は、管理機能付き中継サーバである中継サーバ1の識別情報を記憶する管理先情報記憶部53を備える。接続許可情報は、中継サーバ1によって記憶される。中継サーバ2の制御部60は、オペレータ92からログイン要求を受け付けたときに、管理先情報記憶部53の記憶内容に基づいて中継サーバ1にアクセスすることにより、ログイン要求を行ったオペレータ92が接続可能な接続対象機器(クライアント端末42,47)を取得する。
Further, the
これにより、中継サーバ1が接続許可情報を集中的に管理する構成となるため、複数の機器によって接続許可情報を共有させる必要がない。従って、当該機器間における接続許可情報の同期制御が不要となり、中継サーバで行われる処理を軽くすることができる。
Accordingly, since the
次に、上記実施形態の変形例について、図11から図13までを参照して説明する。図11は、中継サーバ2の変形例を示す機能ブロック図である。図12は、オペレータグループ情報の内容を示す図である。図13は、変形例における接続許可情報の内容を示す図である。なお、以下の変形例の説明において、上記実施形態と同一又は類似の構成については、同一の符号を付して説明を省略する場合がある。
Next, a modification of the above embodiment will be described with reference to FIGS. FIG. 11 is a functional block diagram illustrating a modified example of the
図11に示すように、本変形例の中継サーバ2は、オペレータ情報記憶部51と、接続許可情報記憶部521と、アドレスフィルタ情報記憶部54と、オペレータグループ情報記憶部55と、を備える。
As shown in FIG. 11, the
このように、本変形例では、上記実施形態で中継サーバ1が備えていたオペレータ情報記憶部51及び接続許可情報記憶部52を、中継サーバ2が備える構成となっている。そのため、本変形例の中継サーバ2は、管理機能付き中継サーバとして機能するとともに、接続元の中継サーバとして機能する。従って、本変形例では、接続元の中継サーバとしての中継サーバ2と、接続対象の中継サーバとしての中継サーバ3(上記実施形態と同じ構成)において、上記実施形態と同様の中継通信システム100が実現できる。
Thus, in this modification, the
また、本変形例では、1又は複数のオペレータで構成されるオペレータグループが作成されており、このオペレータグループに関する情報が中継サーバ2のオペレータグループ情報記憶部55に記憶されている。オペレータグループ情報記憶部55は、複数のオペレータで構成されるオペレータグループを、図12に示すように、グループの名称と、当該オペレータグループを構成する(オペレータグループに所属する)オペレータのオペレータIDと、を用いて記憶している。
In this modification, an operator group including one or a plurality of operators is created, and information related to the operator group is stored in the operator group
そして、本変形例の接続許可情報記憶部521は、図13に示すように、上記オペレータグループの名称と、接続対象機器の識別情報と、を対応付けて記憶している。従って、図13の例では、グループ1に所属するオペレータ(オペレータIDがOp1,Op2,Op3であるオペレータ)がクライアント端末21を使用機器としてログインした場合は、当該クライアント端末21と、中継サーバ3と、の接続を利用することができる。なお、オペレータのログイン処理及びVPNの構築処理については、上記実施形態と同様であるため説明を省略する。
Then, as shown in FIG. 13, the connection permission
以上に示したように、本変形例の中継サーバ2は、接続許可情報を記憶する接続許可情報記憶部521を備える。制御部60は、オペレータからログイン要求を受け付けたときに、接続許可情報記憶部521の記憶内容に基づいて、ログイン要求を行ったオペレータが接続可能な接続対象機器を取得する。
As described above, the
これにより、中継サーバ2は、自身の記憶内容を参照するだけで、ログイン要求を行ったオペレータが接続可能な接続対象機器を取得できる。このため、VPNを開始するまでの処理を単純にすることができる。
Thereby, the
また、本変形例の中継サーバ2は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶するオペレータグループ情報記憶部55を備える。接続許可情報記憶部521は、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な接続対象機器の識別情報をオペレータグループ毎に記憶する。
In addition, the
これにより、複数のオペレータでチームを作り、当該チームにおいて所定の接続対象機器(及びルーティング対象装置)のメンテナンス等を行っている場合において、接続許可情報記憶部521の記憶内容を単純にすることができる。そのため、この構成は、中継通信システム100においてメンテナンスを行うオペレータが多い場合に特に好適である。また、このチームを構成するオペレータに変更があった場合においても、当該オペレータの識別情報をオペレータグループから削除又はオペレータグループに追加するだけで良いため、接続許可情報の設定を容易にすることができる。
Thereby, when a team is formed by a plurality of operators, and maintenance of a predetermined connection target device (and routing target device) is performed in the team, the storage content of the connection permission
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。 The preferred embodiment of the present invention has been described above, but the above configuration can be modified as follows, for example.
上記のオペレータ情報、オペレータグループ情報、利用状況情報等は、適宜の形式(例えばXML形式)で格納することができる。 The above operator information, operator group information, usage status information, and the like can be stored in an appropriate format (for example, XML format).
上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。 Instead of the configuration of the above-described embodiment, an external server used for communication between each relay server may be installed on the Internet, and a communication may be performed by exhibiting a function as a SIP (Session Initiation Protocol) server. .
1,2,3 中継サーバ
11,21,42,47 クライアント端末
10,20,30,40,45 LAN
50 記憶部
51 オペレータ情報記憶部
52 接続許可情報記憶部
53 管理先情報記憶部
54 アドレスフィルタ情報記憶部
60 制御部
100 中継通信システム
1, 2, 3
DESCRIPTION OF
Claims (6)
LANで接続された通信装置を介してログイン操作するオペレータの識別情報を受け付ける手段と、
ログインを受け付けたオペレータの識別情報に基づいて、当該オペレータが接続可能な前記接続対象機器のリストを取得する手段と、
接続可能な前記接続対象機器のリストの中からオペレータによる前記接続対象機器の選択を受け付ける手段と、
オペレータに選択された前記接続対象機器とルーティングセッションを確立する手段と、
を備え、
オペレータがログイン操作した前記通信装置のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置のアドレスを前記接続対象機器へ送信し、
前記接続対象機器から受信したアドレスを第2アドレスフィルタ情報として記憶し、
受信したパケットの送信先が前記第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信し、
受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信することを特徴とする中継サーバ。 Means for storing first address filter information that is an address to which a packet can be transferred, and second address filter information that is an address to which a connection target device indicating another relay server and a client terminal can transfer a packet; ,
Means for receiving identification information of an operator who performs a login operation via a communication device connected via a LAN;
Based on the identification information of the operator who accepted the login, means for obtaining a list of the connection target devices that can be connected to the operator
Means for receiving selection of the connection target device by an operator from a list of connectable target devices;
Means for establishing a routing session with the connection target device selected by the operator;
With
The address of the communication device that the operator has logged in is stored as first address filter information, the address of the communication device is transmitted to the connection target device,
Storing the address received from the connection target device as second address filter information;
When the destination of the received packet is stored as the first address filter information, the packet is transmitted to the destination,
A relay server that transmits a packet to the routing session when a transmission destination of the received packet is stored as the second address filter information.
制御部と、
を備え、
前記制御部は、
自身又は自身が接続可能な他の中継サーバが記憶する情報であって、自身及び前記接続対象機器を含んで構成される中継通信システムにログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する接続対象機器取得制御部と、
取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行うVPN開始制御部と、
オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するアドレスフィルタ情報通信制御部と、
選択された前記接続対象機器に対してルーティングセッションを確立するルーティングセッション確立制御部と、
受信したパケットの送信先が、自身の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する制御と、を行うルーティング制御部と、
を備えることを特徴とする中継サーバ。 Address filter information indicating the address of a routing target device that can be designated as a packet transfer destination can be stored in association with its own identification information, and can be connected to itself as a connection target relay server and the connection target Address filter that can be stored by the connection target device indicating the client terminal belonging to the relay server in association with the address filter information indicating the address of the routing target device that can be designated as the packet transfer destination in association with the identification information of the connection target device An information storage unit;
A control unit;
With
The controller is
Information stored by itself or another relay server that can be connected to itself, and identification information of an operator who can log in to the relay communication system including the device and the connection target device, and connection by the operator is possible A connection target device acquisition control unit that acquires the connection target device that can be connected by an operator who has made a login request, based on connection permission information that is information associated with the identification information of the connection target device.
A VPN start control unit that performs a virtual private network start process on the connection target device selected from the acquired connection target devices;
The address of the communication device operated by the operator to make a login request is stored in the address filter information storage unit as address filter information associated with its own identification information, and the address filter information is transmitted to the connection target device. An address filter information communication control unit for storing address filter information received from the connection target device in the address filter information storage unit as address filter information associated with identification information of the connection target device;
A routing session establishment control unit for establishing a routing session for the selected connection target device;
When the destination of the received packet is specified in the address filter information associated with its own identification information, the packet is transmitted to the destination, and the destination of the received packet is the identification of the connection target device Routing that performs control to transmit a packet to the connection target device via a routing session established between itself and the connection target device when specified in the address filter information associated with the information A control unit;
A relay server comprising:
自身を含む中継サーバの管理を行う管理機能付き中継サーバの識別情報を記憶する管理先情報記憶部を備え、
前記接続許可情報は、前記管理機能付き中継サーバによって記憶され、
前記制御部は、オペレータからログイン要求を受け付けたときに、前記管理先情報記憶部の記憶内容に基づいて前記管理機能付き中継サーバにアクセスすることにより、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得することを特徴とする中継サーバ。 The relay server according to claim 2,
A management destination information storage unit for storing identification information of a relay server with a management function for managing a relay server including itself;
The connection permission information is stored by the management function relay server,
When the control unit receives a login request from an operator, the control unit can connect to the relay server with management function based on the storage contents of the management destination information storage unit, so that the operator who has made the login request can connect. A relay server that acquires the connection target device.
前記接続許可情報を記憶する接続許可情報記憶部を備え、
前記制御部は、オペレータからログイン要求を受け付けたときに、前記接続許可情報記憶部に記憶された前記接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得することを特徴とする中継サーバ。 The relay server according to claim 2,
A connection permission information storage unit for storing the connection permission information;
When the control unit receives a login request from an operator, the control unit acquires the connection target device that can be connected by the operator who has made the login request, based on the connection permission information stored in the connection permission information storage unit. A relay server characterized by
自身又は前記接続対象機器は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶し、オペレータによる接続が可能な前記接続対象機器の識別情報をオペレータグループ毎に記憶することを特徴とする中継サーバ。 The relay server according to any one of claims 1 to 4, wherein
The device itself or the connection target device stores an operator group composed of a plurality of operators using the identification information of the operators constituting the operator group, and the identification information of the connection target device that can be connected by the operator is stored in the operator. A relay server storing each group.
前記中継サーバに所属するクライアント端末と、
を備える中継通信システムであって、
前記中継サーバのうち接続元の中継サーバとして機能する前記中継サーバは、
自身がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能であるアドレスフィルタ情報記憶部と、
制御部と、
を備え、
前記制御部は、
オペレータの識別情報と、オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する接続対象機器取得制御部と、
取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行うVPN開始制御部と、
オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するアドレスフィルタ情報通信制御部と、
選択された前記接続対象機器に対してルーティングセッションを確立するルーティングセッション確立制御部と、
受信したパケットの送信先が、自身の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信するルーティング制御部と、
を備えることを特徴とする中継通信システム。 A relay server;
A client terminal belonging to the relay server;
A relay communication system comprising:
Among the relay servers, the relay server functioning as a connection source relay server is:
Address filter information indicating the address of a routing target device that can be designated as a packet transfer destination can be stored in association with its own identification information, and can be connected to itself as a connection target relay server and the connection target Address filter that can be stored by the connection target device indicating the client terminal belonging to the relay server in association with the address filter information indicating the address of the routing target device that can be designated as the packet transfer destination in association with the identification information of the connection target device An information storage unit;
A control unit;
With
The controller is
The connection target device that can be connected by the operator who has made a login request based on connection permission information that is information that associates the identification information of the operator with the identification information of the connection target device that can be connected by the operator Connection target device acquisition control unit for acquiring
A VPN start control unit that performs a virtual private network start process on the connection target device selected from the acquired connection target devices;
The address of the communication device operated by the operator to make a login request is stored in the address filter information storage unit as address filter information associated with its own identification information, and the address filter information is transmitted to the connection target device. An address filter information communication control unit for storing address filter information received from the connection target device in the address filter information storage unit as address filter information associated with identification information of the connection target device;
A routing session establishment control unit for establishing a routing session for the selected connection target device;
When the destination of the received packet is specified in the address filter information associated with its own identification information, the packet is transmitted to the destination, and the destination of the received packet is the identification of the connection target device When specified in the address filter information associated with the information, a routing control unit that transmits a packet to the connection target device via a routing session established between itself and the connection target device;
A relay communication system comprising:
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011095323A JP5633748B2 (en) | 2011-04-21 | 2011-04-21 | Relay server and relay communication system |
PCT/JP2012/002267 WO2012144134A1 (en) | 2011-04-21 | 2012-04-02 | Relay server and relay communication system |
US14/112,716 US9191320B2 (en) | 2011-04-21 | 2012-04-02 | Relay server and relay communication system |
CN201280019441.5A CN103503384B (en) | 2011-04-21 | 2012-04-02 | Relay Server and relay communications system |
TW101113017A TWI500294B (en) | 2011-04-21 | 2012-04-12 | Relay server and relay communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011095323A JP5633748B2 (en) | 2011-04-21 | 2011-04-21 | Relay server and relay communication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012227834A JP2012227834A (en) | 2012-11-15 |
JP5633748B2 true JP5633748B2 (en) | 2014-12-03 |
Family
ID=47277518
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011095323A Active JP5633748B2 (en) | 2011-04-21 | 2011-04-21 | Relay server and relay communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5633748B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7209593B2 (en) * | 2019-07-01 | 2023-01-20 | 株式会社ソラコム | Relay method, relay system, and relay program |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3415456B2 (en) * | 1998-10-19 | 2003-06-09 | 日本電気株式会社 | Network system, command use authority control method, and storage medium storing control program |
JP5212282B2 (en) * | 2009-07-07 | 2013-06-19 | 村田機械株式会社 | Relay communication system |
JP5141638B2 (en) * | 2009-05-15 | 2013-02-13 | 村田機械株式会社 | Relay communication system |
-
2011
- 2011-04-21 JP JP2011095323A patent/JP5633748B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012227834A (en) | 2012-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8798082B2 (en) | Relay communication system and first relay server | |
US8316134B2 (en) | File server device arranged in a local area network and being communicable with an external server arranged in a wide area network | |
JP4998526B2 (en) | Relay server and relay communication system | |
JP5569697B2 (en) | Relay server and relay communication system | |
KR101472426B1 (en) | Relay server and relay communication system | |
TW201308942A (en) | Relay server and relay communication system | |
JP5760493B2 (en) | Relay communication system | |
WO2012144134A1 (en) | Relay server and relay communication system | |
JP5621639B2 (en) | Relay server and relay communication system | |
JP5633748B2 (en) | Relay server and relay communication system | |
JP2011055450A (en) | Relay server and relay communication system | |
JP5652312B2 (en) | Relay server and relay communication system | |
JP2012170008A (en) | Relay server and relay communication system | |
JP4992944B2 (en) | Relay server and relay communication system | |
JP2017076888A (en) | Relay device and relay communication system | |
JP5633750B2 (en) | Relay server and relay communication system | |
JP5786620B2 (en) | Relay server | |
JP5633749B2 (en) | Relay server and relay communication system | |
JP5483064B2 (en) | Management relay server and relay communication system | |
JP5633692B2 (en) | Relay server and relay communication system | |
JP5633694B2 (en) | Relay server and relay communication system | |
JP2012231265A (en) | Relay server and relay communication system | |
JP5668536B2 (en) | Relay server and relay communication system | |
JP5633693B2 (en) | Relay server and relay communication system | |
JP2012221051A (en) | Relay server and relay communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140225 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140918 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141001 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5633748 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |