JP5893546B2 - Network system, communication control method, communication control apparatus, and communication control program - Google Patents
Network system, communication control method, communication control apparatus, and communication control program Download PDFInfo
- Publication number
- JP5893546B2 JP5893546B2 JP2012262609A JP2012262609A JP5893546B2 JP 5893546 B2 JP5893546 B2 JP 5893546B2 JP 2012262609 A JP2012262609 A JP 2012262609A JP 2012262609 A JP2012262609 A JP 2012262609A JP 5893546 B2 JP5893546 B2 JP 5893546B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- communication data
- destination
- tunneling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000006854 communication Effects 0.000 title claims description 363
- 238000004891 communication Methods 0.000 title claims description 363
- 238000000034 method Methods 0.000 title claims description 144
- 238000012545 processing Methods 0.000 claims description 222
- 230000005641 tunneling Effects 0.000 claims description 123
- 238000005538 encapsulation Methods 0.000 claims description 86
- 230000005540 biological transmission Effects 0.000 claims description 50
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 38
- 230000006870 function Effects 0.000 description 37
- 238000005516 engineering process Methods 0.000 description 12
- 238000012546 transfer Methods 0.000 description 8
- 230000010365 information processing Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 239000000284 extract Substances 0.000 description 6
- 230000007175 bidirectional communication Effects 0.000 description 2
- 239000002775 capsule Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 102100029203 F-box only protein 8 Human genes 0.000 description 1
- 101100334493 Homo sapiens FBXO8 gene Proteins 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Description
この発明は、ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムに関する。 The present invention relates to a network system, a communication control method, a communication control apparatus, and a communication control program.
従来、ユーザ宅において構築されたホームネットワーク(HNW:Home Network)における新たなサービスを実現するために、ホームゲートウェイ(HGW:Home Gateway)が利用されている。しかしながら、HGW(または、ブロードバンドルータなど)は、市中に普及させるために、低コストで製造されることが要求されており、CPU・メモリ・ハードディスクなどの計算機リソースの制約が厳しく、また、性能・機能を外付け装置の接続によって拡張することも困難である。 Conventionally, a home gateway (HGW) is used in order to realize a new service in a home network (HNW: Home Network) constructed at a user's home. However, HGWs (or broadband routers, etc.) are required to be manufactured at low cost in order to spread them throughout the city, and there are severe restrictions on computer resources such as CPU, memory, hard disk, and performance. -It is also difficult to expand the functions by connecting external devices.
そこで、近年、仮想化技術の発展に伴い、HGWを仮想化する技術が検討されている。かかる技術は、計算機リソースをオンデマンドで拡張・縮退することが可能なクラウドコンピューティング技術を適用したデータセンタ上などで仮想化されたHGWを動作させるものであり、これにより、計算機リソースの制約から解放され、HGWの性能・機能をさらに拡張させることが可能となる。 Therefore, in recent years, with the development of virtualization technology, a technology for virtualizing the HGW has been studied. This technology operates a virtualized HGW on a data center or the like to which cloud computing technology capable of expanding / degrading computer resources on demand is used. It is released and it becomes possible to further expand the performance and function of the HGW.
上述したHGWの仮想化技術では、これまでHGWを配置していたユーザ宅側のホームネットワーク(以下、RHNW:Real Home Networkと記す)と、RHNWに対して遠隔拠点にあって、仮想化されたHGW(以下、VHGW:Virtual Home Gatewayと記す)を配置したデータセンタ側のユーザ用のネットワーク(以下、VHNW:Virtual Home Networkと記す)とが、例えば、レイヤ2(Layer2)のトンネリング(Tunneling)技術で接続される。これは、RHNWとVHNWとが、Ethernet(登録商標)などが適用されるレイヤ2において、同一セグメントのネットワークとして扱えるようにするためである。
In the above-described HGW virtualization technology, the home network on the user's home side (hereinafter referred to as RHNW: Real Home Network) where the HGW has been placed and the RHNW are located at remote locations and virtualized. A network for users on the data center side (hereinafter referred to as VHNW: Virtual Home Network) in which HGW (hereinafter referred to as VHGW: Virtual Home Gateway) is arranged is, for example, a
しかしながら、上述した従来技術では、インターネットへのアクセスにおいて、通信効率が低下する場合があった。例えば、RHNWに含まれる端末がVHGWを介して、インターネットにアクセスする場合に、通信効率が低下する場合があった。 However, in the above-described conventional technology, communication efficiency may be reduced when accessing the Internet. For example, when a terminal included in the RHNW accesses the Internet via the VHGW, communication efficiency may be reduced.
そこで、本願に係る技術は、上述した従来技術の問題に鑑みてなされたものであって、インターネットへのアクセスにおける通信効率の低下を低減することを可能にするネットワークシステム、通信制御装置、通信制御プログラム及び通信制御方法を提供することを目的とする。 Therefore, the technology according to the present application has been made in view of the above-described problems of the prior art, and it is possible to reduce a decrease in communication efficiency in accessing the Internet, a network control device, a communication control, and the like. It is an object to provide a program and a communication control method.
上述した課題を解決し、目的を達成するため、本願に係るネットワークシステムは、第1のネットワーク内の第1の装置と、前記第1のネットワークおよび外部ネットワークと接続される第2のネットワーク内の第2の装置とを備えるネットワークシステムであって、前記第1の装置は、前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、又は、前記外部ネットワークであるかを識別する識別部と、前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部とを備え、前記第2の装置は、前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理部による処理の解除を実行する第2のトンネリング処理部と、前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信部とを備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, a network system according to the present application includes a first device in a first network, a second network connected to the first network, and an external network. A network system comprising a second device, wherein the first device is configured such that a destination of communication data received from a terminal in the first network is in the second network, or An identification unit for identifying whether the network is an external network, and when the destination of the communication data identified by the identification unit is within the second network, at least an encryption process and the second If the destination of the communication data identified by the identification unit is the external network Includes: a first tunneling processing unit that executes a capsuling process for tunnel communication with the second device on the communication data; and communication data that has been processed by the first tunneling processing unit A first communication unit that transmits to the first device, wherein the second device receives the communication data transmitted from the first device and cancels the processing by the first tunneling processing unit. And a second communication unit that transmits the communication data released by the second tunneling process to a destination of the communication data.
本願に係るネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムは、インターネットへのアクセスにおける通信効率の低下を低減することを可能にする。 A network system, a communication control method, a communication control apparatus, and a communication control program according to the present application make it possible to reduce a decrease in communication efficiency in accessing the Internet.
以下に添付図面を参照して、本願に係るネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムの実施形態を詳細に説明する。なお、本願に係るネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムは、以下の実施形態により限定されるものではない。 Exemplary embodiments of a network system, a communication control method, a communication control apparatus, and a communication control program according to the present application will be described below in detail with reference to the accompanying drawings. Note that the network system, the communication control method, the communication control apparatus, and the communication control program according to the present application are not limited to the following embodiments.
(第1の実施形態)
まず、第1の実施形態に係るネットワークシステムについて説明する。以下、図1を用いて、第1の実施形態に係るネットワークシステムの構成の一例を説明する。図1は、第1の実施形態に係るネットワークシステム1の構成の一例を説明するための図である。図1に示すように、例えば、第1の実施形態に係るネットワークシステム1は、ユーザ宅内に構築されたホームネットワーク(RHNW)2と、データセンタ(DC: Data Center)10とを有する。そして、ネットワークシステム1は、例えば、アクセスネットワークなどの閉域網や、インターネットなどのネットワーク4を介してRHNW2上のネットワーク装置(CPE:Customer Premises Equipment)100とDC10内に構築されたVHNW3上のVHGW200とが接続される。
(First embodiment)
First, the network system according to the first embodiment will be described. Hereinafter, an example of the configuration of the network system according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram for explaining an example of a configuration of a network system 1 according to the first embodiment. As shown in FIG. 1, for example, the network system 1 according to the first embodiment includes a home network (RHNW) 2 constructed in a user's home and a data center (DC: Data Center) 10. The network system 1 includes, for example, a network device (CPE: Customer Premises Equipment) 100 on the
RHNW2は、CPE100に加えて、例えば、端末などが接続される。また、VHNW3は、VHGW200に加えて、例えば、仮想サービスAP(仮想アプリケーションサーバ)や、仮想ストレージ(仮想ストレージサーバ)などの通信装置が構築される。そして、ネットワークシステム1においては、CPE100とVHGW200とがL2トンネル接続されることで、RHNW2とVHNW3とが、同一サブネット化(同一セグメント化)される。これにより、ユーザ宅内のRHNW2と、遠隔拠点にあるDC10におけるVHNW3とが、一つのホームネットワークとして利用することができる。
For example, a terminal is connected to the
このように、ネットワークシステム1は、VHNW3がDC10に配置されていることから、計算機リソースの制約がなくなり、ホームゲートウェイとしての性能や機能を仮想化技術などによって容易に拡張することができる。ここで、このようなネットワークシステム1においては、RHNW2内の端末からVHNW3内の装置(例えば、仮想サービスAPや、仮想ストレージなど)にアクセスする場合も、RHNW2の端末からインターネット上の装置にアクセスする場合も、同一のL2(レイヤ2:OSI参照モデルのデータリンク層、または第2層)トンネルを経由することとなる。
As described above, since the VHNW 3 is arranged in the
上述したように、ネットワークシステム1においては、RHNW2とVHNW3とがアクセスネットワークや、インターネットなどのネットワーク4の上をL2トンネルで接続される。従って、例えば、DC10がインターネット上に位置する(インターネット上にL2トンネルを構築する)場合には、暗号などが適用されたセキュアなL2VPN(L2 Virtual Private Network)がトンネルリング技術として適用されるのが一般的である。
As described above, in the network system 1, the
ここで、従来技術においては、RHNW2内の端末からVHNW3内の装置にアクセスする場合も、RHNW2内の端末からVHNW3とは異なるインターネットなどの外部ネットワーク上の装置にアクセスする場合も、L2VPNによって構築されたL2トンネルを経由することとなる。例えば、RHNW2からVHNW3内の装置にアクセスするということは、従来のホームネットワークで例えると、ホームネットワーク内の端末から、同じホームネットワーク内の通信装置にアクセスすることと同じである。従って、このアクセスに関する通信内容はホームネットワークの外部から秘匿化されることが望ましいため、通信路に暗号化などが施されたセキュアなL2VPNによって構築されたL2トンネルをそのまま利用してRHNW2からVHNW3へアクセスするのが望ましい。
Here, in the prior art, when a terminal in the RHNW2 accesses a device in the VHNW3 or when a terminal in the RHNW2 accesses a device on an external network such as the Internet different from the VHNW3, it is constructed by the L2VPN. Via the L2 tunnel. For example, accessing a device in the VHNW3 from the RHNW2 is the same as accessing a communication device in the same home network from a terminal in the home network when compared with a conventional home network. Therefore, it is desirable to conceal the communication contents related to this access from the outside of the home network. Therefore, from the
一方、ネットワークシステム1のようなネットワーク環境では、RHNW2からインターネット上の通信装置へアクセスする場合、インターネットへのゲートウェイが配置されているVHNW3を経由する必要があるので、L2トンネルを通過することになる。つまり、インターネットへアクセスする場合も、画一的にセキュアなL2VPNによって構築されたトンネルを通ることとなる。かかる場合、そもそもインターネットに出ていく通信であるため、通信内容全体の暗号化などは必須ではない通信であっても、セキュアなL2VPNを経由することとなるため、必須ではない暗号・認証・署名などの処理を要してしまい、通信パフォーマンスが低下してしまう。また、L2トンネルを通る通信は、その分のトンネリング(IPカプセリング)のためのヘッダサイズ分だけオーバヘッドが発生して1回の通信で送信できるデータサイズが減少し、通信効率が低下してしまうため、通信処理に係るコストは、可能な限り抑える必要がある。
On the other hand, in a network environment such as the network system 1, when accessing a communication device on the Internet from the
そこで、第1の実施形態にかかるネットワークシステム1では、以下、詳細に説明するCPE100及びVHGW200の処理により、インターネットへのアクセスにおける通信効率の低下を低減することを可能にする。なお、第1の実施形態に係るCPE100やVHGW200では、図1に示すように、IPv4及び/またはIPv6などのアドレス管理機能を備える。
Therefore, in the network system 1 according to the first embodiment, it is possible to reduce a decrease in communication efficiency in accessing the Internet by processing of the
以下、CPE100及びVHGW200の詳細について説明する。まず、RHNW2内の通信装置(端末)が送信元であり、宛先がVHNW3内の通信装置(仮想サービスAP又は仮想ストレージ)又はインターネット上の通信装置である場合について説明する。図2は、第1の実施形態に係るCPE100の構成の一例を示す図である。
Details of the
図2に示すように、CPE100は、通信部110と、宛先識別部120と、判定部130と、トンネリング処理部140とを備える。通信部110は、例えば、LAN(Local Area Network)インターフェースや、WAN(Wide Area Network)インターフェースなどであり、通信データである、L2のフレームやその中のL3(レイヤ3:OSI参照モデルのネットワーク層、または第3層)のパケットの送受信を実行する。具体的には、通信部110は、後述するトンネリング処理部140による処理後の通信を、トンネルの対向終端装置であるVHGW200との間で実行する。また、通信部110は、スイッチ、ハブ、ブリッジ機能などを備える。
As illustrated in FIG. 2, the
宛先識別部120は、RHNW2に含まれる端末からの通信の宛先が、トンネルの対向側のネットワークであるVHNW3内であるか、又は、ホームネットワーク(RHNW2とVHNW3からなる同一L2セグメントネットワーク)とは異なるインターネットなどの外部ネットワークであるかを識別する。具体的には、宛先識別部120は、RHNW2内の端末からのL2フレームまたはパケットの宛先がVHNW3内であるか、又はインターネットであるかを識別する。図3は、第1の実施形態に係るCPE100による宛先識別処理及びトンネリング処理を説明するための図である。なお、説明上不要な情報は割愛している。
The
ここで、図3においては、図3の(A)にRHNW2内の端末から受信したL2フレームを示す。また、図3においては、図3の(B)にパケットの宛先がVHNW3内の通信装置であった場合のL2VPNを構成するパケットの構造例を示す。また、図3においては、図3の(C)にパケットの宛先がインターネット上の通信装置であった場合のL2VPN内のパケットの構造例を示す。なお、図3の(B)及び(C)については、トンネリング処理部140を説明する際に、詳細を説明する。 Here, in FIG. 3, (A) of FIG. 3 shows an L2 frame received from a terminal in RHNW2. FIG. 3B shows an example of the structure of a packet constituting the L2VPN when the packet destination is a communication device in the VHNW3. 3 shows an example of the structure of a packet in the L2VPN when the destination of the packet is a communication device on the Internet. The details of (B) and (C) in FIG. 3 will be described when the tunneling processing unit 140 is described.
例えば、端末から受信したL2フレームは、図3の(A)に示すように、ペイロードと、TCPまたはUDPの宛先ポート番号と、TCPまたはUDPの送信元ポート番号と、宛先IPアドレスと、送信元IPアドレスと、宛先MACアドレスと、送信元MACアドレスとを含む。なお、TCPやUDPを使用しない通信では、宛先ポート番号と送信元ポート番号は含まれない。 For example, as shown in FIG. 3A, an L2 frame received from a terminal includes a payload, a TCP or UDP destination port number, a TCP or UDP source port number, a destination IP address, and a source It includes an IP address, a destination MAC address, and a source MAC address. Note that in communication not using TCP or UDP, the destination port number and the source port number are not included.
例えば、宛先識別部120は、通信部110が図3の(A)に示すL2フレームまたはパケットを受信すると、L2のフレームレベル、或いは、L3のパケットレベルで宛先を識別する。例えば、L2のフレームレベルで識別する場合には、宛先識別部120は、受信したL2フレームの宛先MACアドレスを参照して、格納されたMACアドレスが、VHNW3内の通信装置宛であるか、或いは、インターネット上の通信装置宛(つまり、インターネットとの間のゲートウェイ装置のMACアドレス)であるかを識別する。ここで、宛先識別部120は、通信部110のL2スイッチ機能に備えられたMACアドレス学習を利用して、宛先を識別することも可能である。
For example, when the
かかる場合には、例えば、宛先識別部120は、通信部110によるMACアドレス学習によって、スイッチのポートと、そのポートの接続先の通信装置のMACアドレスとを対応付けて記憶することで、記憶したMACアドレスの情報を用いて宛先を特定することができる。例えば、宛先識別部120は、L2トンネルに使用するポートと対応付けて記憶されているMACアドレスを宛先MACアドレスとする通信の宛先をVHNW3内として特定する。この手法は、MACアドレス学習によって、ホームネットワーク(RHNW2とVHNW3からなる同一セグメントのL2ネットワーク)内の通信装置のMACアドレスを学習した後には、処理負荷の面でも、有用な識別方法である。
In such a case, for example, the
また、例えば、L3のパケットレベルで識別する場合には、宛先識別部120は、受信したパケットの宛先IPアドレスを参照して、格納されたIPアドレスが、VHNW3内の通信装置宛であるか、或いは、インターネット上の通信装置宛であるかを識別する。例えば、宛先識別部120は、格納されたIPアドレスがホームネットワーク(RHNW2とVHNW3からなる同一セグメントのL2ネットワーク)内のプライベートアドレスであるか、或いは、ホームネットワークの外部ネットワークのグローバルアドレスであるかにより、宛先を識別する。なお、上記した識別方法は、いずれか1つを用いる場合であってもよく、或いは、複数を組み合わせて用いる場合であってもよい。
Further, for example, when identifying at the packet level of L3, the
宛先識別部120は、上記した識別方法を用いて、宛先として、VHNW3内の通信装置及びインターネット上の通信装置に加えて、RHNW2内の通信装置(端末)を識別することも可能である。
The
図2に戻って、判定部130は、宛先識別部120によって識別された宛先に応じた処理を判定する。例えば、送信元端末から受信したL2フレームまたはパケットの宛先がVHNW3内の通信装置であると識別された場合には、判定部130は、受信したL2フレームに対してL2トンネリング処理におけるL2VPNを実行すると判定する。すなわち、判定部130は、受信したL2フレームに対して暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理(L2フレームに対するIPカプセリング処理)とを実行すると判定する。一例を挙げると、判定部130は、受信したL2フレームに対してL2TPv3(L2 Tunneling Protocol version 3)とIPSecとを組み合わせた処理や、OpenVPN(登録商標)による処理を実行するように判定する。
Returning to FIG. 2, the
また、例えば、送信元端末から受信したL2フレームまたはパケットの宛先がインターネット上の通信装置であると識別された場合には、判定部130は、受信したL2フレームまたはパケットに対してL2トンネリング処理におけるL2カプセリング処理(IPカプセリング処理)のみを実行すると判定する。
For example, when the destination of the L2 frame or packet received from the transmission source terminal is identified as a communication device on the Internet, the
また、例えば、送信元端末から受信したL2フレームの宛先がRHNW2内の通信装置であると識別された場合には、判定部130は、受信したL2フレームをスイッチやブリッジ機能によってL2レベルの処理で転送するように判定する。
For example, when the destination of the L2 frame received from the transmission source terminal is identified as the communication device in the RHNW2, the
トンネリング処理部140は、判定部130によって判定されたL2トンネリング処理を実行する。具体的には、トンネリング処理部140は、端末からの通信の宛先がVHNW3内である場合には、L2VPN(通信に対して通信内容であるL2フレーム全体の暗号化等のセキュリティ処理及びL2カプセリング処理)を実行し、端末からの通信の宛先が外部ネットワークである場合には、通信に対してL2カプセリング処理を実行する。
The tunneling processing unit 140 executes the L2 tunneling process determined by the
例えば、受信したL2フレームに対して暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理とを実行すると判定された場合には、トンネリング処理140は、図3の(B)に示すように、L2フレームをL2VPNの暗号化対象部分として暗号化などの処理をして、L2トンネルヘッダやその他のヘッダと、宛先IPアドレスと、送信元IPアドレスとを付加する。ここで、L2トンネルヘッダやその他のヘッダは、L2VPNを識別する識別情報などを格納する領域として利用されてもよい。例えば、トンネリング処理部140は、判定部130の判定結果や、自身が実行した処理内容を示す情報をL2トンネルヘッダやその他のヘッダに格納する。また、付加された宛先IPアドレスは、VHGW200側のトンネル終端装置のグローバルアドレスが格納される領域である。また、付加された送信元IPアドレスは、CPE100側のトンネル終端装置のグローバルアドレスが格納される領域である。
For example, when it is determined that security processing such as encryption / authentication / signature and L2 encapsulation processing are executed on the received L2 frame, the tunneling processing 140 is performed as shown in FIG. The L2 frame is encrypted using the L2VPN encryption target part, and the L2 tunnel header and other headers, the destination IP address, and the source IP address are added. Here, the L2 tunnel header and other headers may be used as an area for storing identification information for identifying the L2VPN. For example, the tunneling processing unit 140 stores the determination result of the
また、例えば、受信したL2フレームに対してL2カプセリング処理のみを実行するように判定された場合には、トンネリング処理部140は、図3の(C)に示すように、L2フレームに、トンネルヘッダやその他のヘッダと、宛先IPアドレスと、送信元IPアドレスとを付加する。 For example, when it is determined that only the L2 encapsulation process is performed on the received L2 frame, the tunneling processing unit 140 includes a tunnel header in the L2 frame as illustrated in FIG. And other headers, a destination IP address, and a source IP address are added.
また、受信したL2フレームをL2スイッチやブリッジ機能によってL2レイヤの処理で転送するように判定された場合には、具体的には、宛先が同じRHNW2内である場合は、トンネリング処理部140は特別な処理は実行しない。 In addition, when it is determined that the received L2 frame is transferred by the L2 switch or the bridge function by the processing of the L2 layer, specifically, when the destination is in the same RHNW2, the tunneling processing unit 140 is special. Does not execute any processing.
通信部110は、トンネリング処理部140によって処理されたパケットをVHGW200に対して送信する。また、通信部110は、L2スイッチやブリッジ機能によってパケットをRHNW2内の通信装置に転送する。
The
次に、VHGW200による処理を説明する。図4は、第1の実施形態に係るVHGW200の構成の一例を示す図である。図4に示すように、VHGW200は、通信部210と、トンネリング処理部240とを備える。通信部210は、LANインターフェースや、WANインターフェースなどであり、L2フレームやパケットを送受信する。具体的には、通信部210は、L2トンネルを介してCPE100からL2トンネリング処理されたパケットを受信する。また、後述するトンネリング処理部240による処理後のパケットをVHNW3内或いは、インターネットに送信する。
Next, processing by the
トンネリング処理部240は、L2トンネル対向側からの通信を受信して通信に施されている処理を識別して、通信内容全体に対する暗号化などのセキュリティ処理及びL2カプセリング処理の解除、又は、通信に対するL2カプセリングの解除を実行する。具体的には、トンネリング処理部240は、CPE100との間でL2トンネルの接続を確立して、トンネル経由で受信したパケットのL2トンネルヘッダやその他のヘッダに格納された識別情報などを参照して、対応したL2トンネリング処理を解除してパケットを取り出す。
The
上述したように、通信部210は、暗号化などのセキュリティ処理及びL2カプセリング処理、又は、L2カプセリング処理が解除された状態で、VHNW3、又はインターネットを宛先とする通信を実行する。
As described above, the
上述した例では、RHNW2内の端末が送信元の端末であり、CPE100からVHGW200に対してパケットが送信される場合について説明した。次に、VHNW3内の通信装置またはインターネットなどの外部ネットワークの通信装置からRHNW2内の通信装置へのパケット通信の場合について説明する。図5は、第1の実施形態に係るVHGW200の構成の一例を示す図である。ここで、図5においては、図4に示すVHGW200に新たに送信元識別部220及び判定部230が追加され、通信部210及びトンネリング処理部240に新たな機能が追加されたものである。
In the above-described example, the case where the terminal in the
VHNW3内の通信装置またはインターネットなどの外部ネットワークの通信装置からRHNW2内の通信装置へパケットを送信する場合には、通信部210は、VHNW3内又はインターネット上の通信装置からパケットを受信する。そして、後述するトンネリング処理部240の処理後のパケットをCPE100に対して送信する。
When transmitting a packet from a communication device in VHNW3 or a communication device in an external network such as the Internet to a communication device in RHNW2,
送信元識別部220は、通信部210によって受信されたL2フレームまたはパケットの送信元を識別する。具体的には、送信元識別部220は、通信部210によって受信されたL2フレームの送信元MACアドレス、パケットの送信元IPアドレスに基づいて、送信元がVHNW3内の通信装置であるか、或いは、インターネット上の通信装置であるかを識別する(図3の(A)参照)。すなわち、CPE100の宛先識別部120と同様に、L2のフレームレベル、又はL3のパケットレベルで送信元を識別する。なお、送信元識別部220は、宛先識別部120と同様に、通信部210によるMACアドレス学習を利用した送信元の識別も実行する。なお、送信元識別部220は、受信したL2フレームまたはパケットの宛先が、RHNW2内宛かVHNW3内宛かを宛先MACアドレスまたは宛先IPアドレスに基づいて識別し、RHNW2内宛と識別されたL2フレームまたはパケットに対して上述の識別を行う。
The transmission
判定部230は、送信元識別部220によって識別された送信元に応じたL2トンネリング処理を判定する。具体的には、受信したL2フレームまたはパケットの送信元がVHNW3内の通信装置であると識別された場合には、判定部230は、受信したL2フレームに対してL2VPNを実行すると判定する。すなわち、判定部230は、L2フレームに対して暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理とを実行すると判定する。
The
また、例えば、受信したL2フレームまたはパケットの送信元がインターネット上の通信装置であると識別された場合には、判定部230は、受信したL2フレームに対してL2カプセリング処理のみを実行すると判定する。
Also, for example, when the transmission source of the received L2 frame or packet is identified as a communication device on the Internet, the
また、例えば、受信したL2フレームまたはパケットの送信元及び宛先の端末がVHNW3内の通信装置であると識別された場合には、判定部230は、受信したL2フレームをL2スイッチやブリッジ機能によってL2レベルの処理で転送するように判定する。
Further, for example, when the source and destination terminals of the received L2 frame or packet are identified as a communication device in the VHNW3, the
トンネリング処理部240は、宛先がRHNW2内であって、送信元端末がVHNW3内にある場合には、通信に対して通信内容全体の暗号化などのセキュリティ処理及びL2カプセリング処理を実行し、送信元端末が外部ネットワークにある場合には、通信に対してL2カプセリング処理を実行する。具体的には、トンネリング処理部240は、受信したL2フレームに対して、判定部230によって判定された処理を実行する。
When the destination is in RHNW2 and the transmission source terminal is in VHNW3,
例えば、受信したL2フレームに対して暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理とを実行すると判定された場合には、トンネリング処理240は、L2フレームをL2VPNの暗号化対象部分として暗号化などの処理をして、L2トンネルヘッダやその他のヘッダと、宛先IPアドレスと、送信元IPアドレスとを付加する(図3の(B)参照)。ここで、トンネリング処理部240は、判定部230の判定結果や、自身が実行した処理内容を示す情報をL2トンネルヘッダやその他のヘッダに格納することとしてもよい。
For example, when it is determined that security processing such as encryption / authentication / signature and L2 encapsulation processing are executed on the received L2 frame, the
また、例えば、受信したL2フレームに対してL2カプセリング処理のみを実行するように判定された場合には、トンネリング処理部240は、L2フレームに、L2トンネルヘッダやその他のヘッダと、宛先IPアドレスと、送信元IPアドレスとを付加する(図3の(C)参照)。また、受信したL2フレームをL2スイッチやブリッジ機能によってL2レベルの処理で転送するように判定された場合には、トンネリング処理部240は特別な処理は実行しない。そして、通信部210は、トンネリング処理部240によって処理されたパケットをCPE100に対して送信する。また、通信部210は、VHNW3内の通信装置から同じVHNW3内の通信装置への通信の場合は、スイッチ機能等により転送し、インターネット上の通信装置からVHNW3内の通信装置への通信の場合は、IPルーティングする。
For example, when it is determined that only the L2 encapsulation process is performed on the received L2 frame, the
次に、VHNW3内の通信装置またはインターネットなどの外部ネットワークの通信装置からRHNW2内の通信装置へパケットを送信する場合のCPE100について説明する。かかる場合のCPE100は、少なくとも通信部110と、トンネリング処理部140から構成される。従って、以下、図2を参照して説明する。
Next, the
かかる場合、通信部110は、L2トンネルを介してVHGW200からL2トンネリング処理されたパケットを受信する。また、後述するトンネリング処理部140による処理後のパケットをRHNW2内に送信する。
In such a case, the
通信部110は、VHGW200からの通信データを受信して、トンネリング処理部140は、通信に施されている処理を識別して、受信した通信内容全体に対する暗号化などのセキュリティ処理及びL2カプセリング処理の解除、又は、通信データに対するL2カプセリング処理の解除を実行して、L2フレームまたはパケットを取り出す。通信部110は、暗号化などのセキュリティ処理及びL2カプセリング処理、又は、L2カプセリング処理が解除された状態で、RHNW2内を宛先とする通信を実行する。
The
上述したように、第1の実施形態に係るネットワークシステム1においては、RHNW2内の通信装置が送信元である通信においては、CPE100にて通信の宛先に基づいて、セキュアなL2VPNによるL2トンネルにより通信するか、或いは、単純なカプセリングによるL2トンネルにより通信するかを判定する。また、第1の実施形態に係るネットワークシステム1においては、VHNW3や外部ネットワークの通信装置が送信元であって宛先がRHNW2内の通信装置である通信においては、VHGW200にて通信の送信元に基づいて、セキュアなL2VPNによるL2トンネルにより通信するか、或いは、単純なカプセリングによるL2トンネルにより通信するかを判定する。図6は、第1の実施形態に係るネットワークシステム1の概要を模式的に示す図である。
As described above, in the network system 1 according to the first embodiment, in communication in which the communication device in the
図6に示すように、パケットの通信順路において、RHNW2内の通信端末が送信元の場合には、宛先がVHNW3である場合に、ネットワークシステム1は、L2VPNなどのセキュアなVPNでL2トンネルによる通信を実行する。一方、宛先がインターネット側である場合に、ネットワークシステム1は、L2カプセリングなどのIPカプセリングによりL2トンネルによる通信を実行する。従って、第1の実施形態に係るネットワークシステム1は、RHNW2からVHNW3へのアクセス時には、同じホームネットワーク内の通信とみなして、セキュアな通信を確立しつつ、RHNW2からインターネットへのアクセス時には、必須ではない暗号化などを実行しないようにすることで、インターネットへのアクセスにおける通信効率の低下を低減することを可能とする。なお、第1の実施形態に係るネットワークシステム1は、RHNW2内の通信にはスイッチ機能などを用いて対応することができる。
As shown in FIG. 6, in the packet communication route, when the communication terminal in the RHNW2 is the transmission source and the destination is the VHNW3, the network system 1 communicates with the L2 tunnel using a secure VPN such as L2VPN. Execute. On the other hand, when the destination is the Internet side, the network system 1 executes communication using the L2 tunnel by IP encapsulation such as L2 encapsulation. Therefore, the network system 1 according to the first embodiment is regarded as communication in the same home network when accessing from the RHNW2 to the VHNW3, and is indispensable when accessing the Internet from the RHNW2 while establishing secure communication. It is possible to reduce a decrease in communication efficiency in accessing the Internet by not performing encryption or the like that is not performed. Note that the network system 1 according to the first embodiment can cope with communication within the
また、図6に示すように、パケットの通信順路において、宛先がRHNW2内の通信装置である場合には、送信元がVHNW3である場合に、ネットワークシステム1は、L2VPNなどのセキュアなVPNでL2トンネルによる通信を実行する。一方、送信元がインターネット側である場合に、ネットワークシステム1は、L2カプセリングなどのIPカプセリングによりL2トンネルによる通信を実行する。従って、第1の実施形態に係るネットワークシステム1は、VHNW3からRHNW2へのアクセス時には、同じホームネットワーク内の通信とみなして、セキュアな通信を確立しつつ、インターネットからRHNW2へのアクセス時には、必須ではない暗号化などを実行しないようにすることで、インターネットからのアクセスにおける通信効率の低下も低減することを可能とする。なお、第1の実施形態に係るネットワークシステム1は、VHNW3からインターネットへのアクセス、インターネットからVHNW3へのアクセス、及びVHNW3内の通信にはスイッチ機能やルーティング機能などを用いて対応することができる。
Also, as shown in FIG. 6, in the packet communication route, when the destination is a communication device in the RHNW2, when the transmission source is the VHNW3, the network system 1 uses the secure VPN such as L2VPN and the L2 Execute communication by tunnel. On the other hand, when the transmission source is the Internet side, the network system 1 executes communication using the L2 tunnel by IP encapsulation such as L2 encapsulation. Therefore, the network system 1 according to the first embodiment is regarded as communication in the same home network when accessing the RHNW2 from the VHNW3, and is indispensable when accessing the RHNW2 from the Internet while establishing secure communication. By not performing encryption or the like, it is possible to reduce a decrease in communication efficiency in access from the Internet. Note that the network system 1 according to the first embodiment can cope with access from the
次に、図7及び図8を用いて、第1の実施形態に係るネットワークシステム1の処理の手順を説明する。図7は、第1の実施形態に係るネットワークシステム1の第1処理の手順を説明するためのシーケンス図である。図8は、第1の実施形態に係るネットワークシステムの第2処理の手順を説明するためのシーケンス図である。図7においては、CPE100からVHGW200への通信における処理の手順を示す。また、図8においては、VHGW200からCPE100への通信における処理の手順を示す。
Next, a processing procedure of the network system 1 according to the first embodiment will be described with reference to FIGS. 7 and 8. FIG. 7 is a sequence diagram for explaining the procedure of the first process of the network system 1 according to the first embodiment. FIG. 8 is a sequence diagram for explaining the procedure of the second process of the network system according to the first embodiment. FIG. 7 shows a processing procedure in communication from the
CPE100からVHGW200への通信では、図7に示すように、第1の実施形態に係るネットワークシステム1において、CPE100の通信部110がL2フレームまたはパケットを受信すると(ステップS101)、宛先識別部120が宛先を判定する(ステップS102)。ここで、宛先がVHNW3宛てである場合には(ステップS103肯定)、トンネリング処理部130は、L2VPNなどのセキュアなL2トンネリング処理を実行して、通信部110がVHGW200に対してパケットを送信する(ステップS104)。
In communication from the
一方、ステップS103において、宛先がVHNW3宛てではない外部ネットワーク宛である場合には(ステップS103否定)、トンネリング処理部130は、L2カプセリング処理などの単純なL2トンネリング処理を実行して、通信部110がVHGW200に対してパケットを送信する(ステップS105)。なお、宛先がRHNW2内である場合は、スイッチ機能等により転送されることとなる。
On the other hand, when the destination is not the address addressed to VHNW3 in step S103 (No in step S103), the
VHGW200は、通信部210がパケットを受信すると(ステップS106)、トンネリング処理部240が、識別情報などを参照して、実施されたL2トンネリング処理に対応するL2トンネリング処理の解除を実行して、パケットを取得する(ステップS107)。そして、通信部210が宛先に対してパケットを送信する(ステップS108)。
In the
次に、VHGW200からCPE100への通信では、図8に示すように、第1の実施形態に係るネットワークシステム1において、VHGW200の通信部210がL2フレームまたはパケットを受信すると(ステップS201)、宛先がRHNW2宛である通信に対して、送信元識別部220が送信元を判定する(ステップS202)。ここで、送信元がVHNW3内である場合には(ステップS203肯定)、トンネリング処理部230は、L2VPNなどのセキュアなL2トンネリング処理を実行して、通信部210がCPE100に対してパケットを送信する(ステップS204)。なお、VHGW200の通信部210が受信したパケットの宛先の識別は、送信元識別部220で行ってもよい。
Next, in communication from the
一方、ステップS203において、送信元がVHNW3内ではない外部ネットワークかである場合には、(ステップS203否定)、トンネリング処理部230は、L2カプセリング処理などの単純なL2トンネリング処理を実行して、通信部210がCPE100に対してパケットを送信する(ステップS205)。
On the other hand, in step S203, if the transmission source is an external network that is not in VHNW3 (No in step S203), the
CPE100は、通信部110がパケットを受信すると(ステップS206)、トンネリング処理部140が、識別情報などを参照して、実施されたL2トンネリング処理に対応するL2トンネリング処理の解除を実行して、パケットを取得する(ステップS207)。そして、通信部110が宛先に対してパケットを送信する(ステップS208)。
When the
上述した第1の実施形態では、RHNW2側からVHNW3側への通信と、VHNW3側からRHNW2側への通信とを分けて説明したが、双方向の通信が発生する場合は、CPE100とVHGW200が備える構成は同等のものとなってもよい。図9は、第1の実施形態に係るCPE100及びVHGW200の構成の変形例を示す図である。例えば、CPE100及びVHGW200は、図9に示すように、それぞれ同一の構成を有し、双方向の通信を実行する。
In the first embodiment described above, communication from the RHNW2 side to the VHNW3 side and communication from the VHNW3 side to the RHNW2 side have been described separately. However, when bidirectional communication occurs, the
また、上述した第1の実施形態では、ネットワークシステム1として、VHGW200を経由してインターネットに接続される場合について説明した。しかしながら、実施形態はこれに限定されるものではなく、例えば、CPE100を経由してインターネットに接続される場合であってもよい。図10は、第1の実施形態に係るネットワークシステム1の変形例を説明するための図である。
Further, in the first embodiment described above, the case where the network system 1 is connected to the Internet via the
例えば、図10に示すように、インターネットがCPE100から接続される場合には、RHNW2、VHNW3、CPE100及びVHGW200は、以下のような構成となる。つまり、図6の構成と「アクセスネットワーク/インターネット」を基に対称的な構成となる。RHNW2は、上述したVHNW3と同様の構成となる。すなわち、RHNW2には、サービスAPや、ストレージ装置が接続される(図1参照)。また、VHNW3は、上述したRHNW2と同様の構成となる。すなわち、VHNW3には、端末が接続される(図1参照)。
For example, as shown in FIG. 10, when the Internet is connected from the
CPE100は、上述したVHGW200と同様の構成となる。すなわち、少なくとも通信部210、トンネリング処理部240と同様の機能を備えた各部を備え(図4参照)、さらに、送信元識別部220、判定部230と同様の機能を備えた各部を備えてもよい(図5参照)。また、CPE100は、IPv4インターネット、IPv6インターネット、或いは、これらの両方のインターネットをルーティングすることができる。
The
VHGW200は、上述したCPE100と同様の構成となる。すなわち、通信部110、送信元識別部120、判定部130及びトンネリング処理部140と同様の機能を備えた各部を備える(図2参照)。
The
第1の実施形態に係る変形例では、上述した構成を備えたRHNW2、VHNW3、CPE100及びVHGW200により、図10に示すように、各パケット通信順路に応じて、L2VPNか、或いは、L2カプセリングかを判定して、L2トンネルによる通信を実行する。 In the modification according to the first embodiment, the RHNW2, VHNW3, CPE100, and VHGW200 having the above-described configuration are used to determine whether L2VPN or L2 encapsulation is performed according to each packet communication route as shown in FIG. Judgment is made and communication by the L2 tunnel is executed.
[第1の実施形態の効果]
上述したように、第1の実施形態によれば、ネットワークシステム1は、RHNW2に含まれるCPE100と、RHNW2とL2トンネル接続されるVHNW3に含まれるVHGW200とを備えるネットワークシステムであって、CPE100の宛先識別部120は、RHNW2内の端末からの通信の宛先が、VHNW3内であるか、又は、インターネットなどの外部ネットワークであるかを識別する。そして、トンネリング処理部120は、端末からの通信の宛先がVHNW3内である場合には、通信データに対して暗号化などのセキュリティ処理及びL2カプセリング処理を実行し、端末からの通信の宛先が外部ネットワークである場合には、通信に対してL2カプセリング処理を実行する。そして、通信部110は、トンネリング処理部120による処理後の通信を、VHGW200との間で実行する。VHGW200のトンネリング処理部220は、CPE100からの通信データを受信して、通信データに対する暗号化などのセキュリティ処理及びL2カプセリング処理の解除、又は、通信に対するL2カプセリング処理の解除を実行する。通信部210は、暗号化などのセキュリティ処理及びL2カプセリング処理、又は、L2カプセリング処理が解除された状態で、VHNW3内、又は外部ネットワークを宛先とする通信を実行する。従って、第1の実施形態に係るネットワークシステム1は、宛先に応じてセキュアなL2トンネル接続と、IPカプセリングのみL2トンネル接続による使い分けることができ、インターネットへのアクセスにおける通信効率の低下を低減することを可能にする。
[Effect of the first embodiment]
As described above, according to the first embodiment, the network system 1 is a network system including the
(第2の実施形態)
上述した第1の実施形態においては、インターネットなどの外部ネットワーク上の通信装置を宛先とした通信において、L2トンネリング処理におけるL2カプセリング処理のみを実行する場合について説明した。かかる場合、第1の実施形態においては、送信元端末から送信されたL2フレームは平文のままである。CPE100とVHGW200との間の通信路が、インターネットを経由することなく、第三者による盗聴や改ざんなどの無いセキュアな閉域網のみを通る場合はこれでもよい。しかしながら、この通信路がインターネットなどを経由する場合は、以下を考慮するのが望ましい場合がある。
(Second Embodiment)
In the first embodiment described above, the case has been described in which only the L2 encapsulation process in the L2 tunneling process is executed in communication destined for a communication device on an external network such as the Internet. In such a case, in the first embodiment, the L2 frame transmitted from the transmission source terminal remains in plain text. This may be used when the communication path between the
例えば、一般のホームネットワークでは、通信においてホームネットワークの外に出ない情報は、本発明においても、平文のままではホームネットワークの外に出ない方が望ましい場合がある。一例を挙げると、通信装置のMACアドレスは、その通信装置の所有者のプライバシー情報とみなされる場合がある。また、IPv4による通信の場合、送信元端末の送信元プライベートアドレスや送信元ポート番号も秘匿されるべき情報とみなされる場合があり、一般のホームネットワークでは、ホームゲートウェイでNAT(Network Address Translation)やNAPT(Network Address Port Translation)の処理によって別の値に変換されて外部ネットワークに出る。そこで、第2の実施形態では、送信元端末が送信するL2フレームのうち、少なくともこのような情報を第三者に盗聴されないように秘匿処理を施す。つまり、第1の実施形態で説明したL2カプセリングの処理に対してさらに秘匿化処理を行う。 For example, in a general home network, information that does not go out of the home network in communication may be desirable in the present invention not to go out of the home network as plain text. In one example, the MAC address of a communication device may be considered privacy information for the owner of the communication device. In addition, in the case of communication using IPv4, the source private address and source port number of the source terminal may be regarded as information to be kept secret. In a general home network, NAT (Network Address Translation) or The value is converted into another value by a NAPT (Network Address Port Translation) process, and is output to the external network. Therefore, in the second embodiment, a concealment process is performed so that at least such information is not intercepted by a third party in the L2 frame transmitted by the transmission source terminal. That is, the concealment process is further performed on the L2 encapsulation process described in the first embodiment.
以下、第2の実施形態として、インターネット上の通信装置に送信するパケットの一部を秘匿化する場合について説明する。図11は、第2の実施形態に係るCPE100の構成の一例を示す図である。ここで、第2の実施形態に係るCPE100は、第1の実施形態に係るCPE100と比較して、トンネリング処理部140に新たなにルール記憶部141と、秘匿処理部142とを備える点が異なる。以下、これらを中心に説明する。
Hereinafter, as a second embodiment, a case where a part of a packet to be transmitted to a communication device on the Internet is concealed will be described. FIG. 11 is a diagram illustrating an example of the configuration of the
ルール記憶部141は、L2フレームやパケット内の所定の情報に対して秘匿処理を実行するための参照情報を記憶する。具体的には、ルール記憶部141は、送信元端末から受信したL2フレームにおいて、どの領域をどのように秘匿処理するかを示すルール情報を記憶する。例えば、ルール記憶部141は、フレームがEthernet(登録商標)のフレームである場合に、L2フレーム内の送信元及び宛先のMACアドレス、送信元端末のプライベートアドレス(L3がIPv4の場合など)、また、TCPやUDPを用いた通信である場合は、送信元端末が設定したポート番号のうち、少なくとも1つ以上の情報について、あらかじめ秘匿する対象として指定されたルール情報を記憶する。 The rule storage unit 141 stores reference information for executing concealment processing on predetermined information in the L2 frame or packet. Specifically, the rule storage unit 141 stores rule information indicating which area is to be concealed and how in the L2 frame received from the transmission source terminal. For example, when the frame is an Ethernet (registered trademark) frame, the rule storage unit 141 stores the source and destination MAC addresses in the L2 frame, the private address of the source terminal (such as when L3 is IPv4), and In the case of communication using TCP or UDP, rule information designated as a target to be concealed in advance is stored for at least one piece of information among the port numbers set by the transmission source terminal.
ルール記憶部141によって記憶される秘匿処理としては、MACアドレスやIPアドレス、ポート番号の値全体を秘匿してもよいが、例えば、MACアドレス48ビットのうち、機器製造者が独自に割り当てる下位24ビットのみを秘匿化対象とすることとしてもよい。また、送信元IPv4アドレス32ビットのうち、下位24/16/8ビットのみを、送信元IPv6アドレス128ビットのうち、インターフェースIDである64ビットのみを、秘匿化対象とすることとしてもよい。すなわち、秘匿処理は、指定された情報に対して、その情報のみを公知の暗号化処理をしてもよく、第三者が特定することが困難なルールに基づいて、元の情報を特定することが困難な、元の情報とは異なる値や文字などに置換・変換してもよく、または難読化することでもよい。または、指定した情報の全体ではなく、さらにその情報の所定または任意の一部分のみを秘匿対象としてもよい。言い換えると、この情報が一意に特定されなければよい。なお、これらのルールは、CPE100とVHGW200との間で事前に共有される。
As the concealment process stored by the rule storage unit 141, the entire MAC address, IP address, and port number values may be concealed. For example, the lower 24 assigned by the device manufacturer uniquely among the 48 bits of the MAC address. Only bits may be targeted for concealment. Alternatively, only the lower 24/16/8 bits of the 32 bits of the source IPv4 address may be targeted for concealment, and only 64 bits of the interface ID of the 128 bits of the source IPv6 address may be targeted for concealment. In other words, in the confidential processing, only the information may be subjected to known encryption processing for the specified information, and the original information is specified based on a rule that is difficult for a third party to specify. However, it may be replaced or converted to a value or character different from the original information, or may be obfuscated. Alternatively, instead of the entire designated information, only a predetermined or arbitrary part of the information may be a secret object. In other words, this information need not be uniquely identified. These rules are shared in advance between the
その他、ルールの一例として、数値・文字を異なる数値・文字・記号に1対1の変換をする変換テーブルであってもよく、任意のエンコード・デコード処理でもよい。また、この変換テーブルやエンコード・デコード処理のアルゴリズムを所定の契機、所定の期間ごとに変更してもよく、この場合は、CPE100とVHGW200の間で変更内容が同期される必要がある。また、変換前後でデータサイズが変わらないルールとする方が通信データサイズ全体に影響を与えずに済むので望ましい。なお、上記した例では、L2がEthernet(登録商標)である場合について説明したが、L2がEthernet(登録商標)でない場合は、そのプロトコルに対応する情報が対象となる。
In addition, as an example of a rule, it may be a conversion table for converting numerical values / characters into different numerical values / characters / symbols on a one-to-one basis, or any encoding / decoding process. In addition, the conversion table and the encoding / decoding processing algorithm may be changed every predetermined period and every predetermined period. In this case, it is necessary to synchronize the change contents between the
秘匿処理部142は、端末からの通信の宛先がインターネット上である場合に、通信における所定の通信内容を秘匿化する。具体的には、秘匿処理部142は、宛先識別部120によって通信の宛先がインターネット上の通信装置であると識別された場合に、ルール記憶部141によって記憶されたルール情報に基づいて、平文のL2フレームの所定領域に秘匿処理を実行する。ここで、秘匿処理部142は、実行した秘匿処理に係る情報をVPN通信のトンネル終端するためのパケットのヘッダ領域などに識別情報として格納する。具体的には、秘匿処理部142は、どの領域にどのようなルールの秘匿処理をしたのかを識別できる情報を識別できる情報を識別情報として格納する。なお、秘匿処理の対象領域が固定であって、秘匿処理が1通りの場合は、秘匿処理されていることを示す識別情報さえ格納されていればよい。
The concealment processing unit 142 conceals predetermined communication contents in communication when the destination of communication from the terminal is on the Internet. Specifically, the concealment processing unit 142, based on the rule information stored in the rule storage unit 141, when the
図12は、第2の実施形態に係る秘匿処理部142による秘匿処理の対象の例を示す図である。例えば、秘匿処理部142は、図12に示すように、L2トンネリング処理が実行されるパケットの送信元MACアドレス、宛先MACアドレス、送信元IPアドレス及び送信元ポート番号のうち少なくとも1つ以上からなる組に対してルール情報に基づいた秘匿処理を実行する。ここで、図12に示す4つの領域は、インターネットに送出されるパケットが通常秘匿化される領域である。従って、これらの領域を秘匿化することにより、例えば、CPE100とVHGW200との間のネットワークにインターネットが用いられた場合であっても、通常外部ネットワークに出ない情報を秘匿して通信を実行することができる。
FIG. 12 is a diagram illustrating an example of the target of the confidential processing by the confidential processing unit 142 according to the second embodiment. For example, as shown in FIG. 12, the concealment processing unit 142 includes at least one of a transmission source MAC address, a destination MAC address, a transmission source IP address, and a transmission source port number of a packet on which L2 tunneling processing is executed. A concealment process based on the rule information is executed for the set. Here, the four areas shown in FIG. 12 are areas where packets sent to the Internet are normally concealed. Therefore, by concealing these areas, for example, even when the Internet is used for the network between the
図13は、第2の実施形態に係るVHGW200の構成の一例を示す図である。図13に示すように、第2の実施形態に係るVHGW200は、第1の実施形態に係るVHGW200と比較して、トンネリング処理部140に新たなにルール記憶部241と、秘匿処理部242とを備える点が異なる。以下、これらを中心に説明する。
FIG. 13 is a diagram illustrating an example of the configuration of the
ルール情報記憶部241は、パケットに対して秘匿処理を実行するための参照情報を記憶する。すなわち、ルール記憶部241は、上述したルール情報記憶部141と同様のルール情報を記憶する。これらの情報は、ネットワークシステム1の管理者などによって予め設定され、ルール記憶部141とルール記憶部241とで共有される。 The rule information storage unit 241 stores reference information for executing concealment processing on the packet. That is, the rule storage unit 241 stores the same rule information as the rule information storage unit 141 described above. These pieces of information are set in advance by the administrator of the network system 1 or the like, and are shared by the rule storage unit 141 and the rule storage unit 241.
秘匿処理部242は、秘匿処理部142による所定の通信内容の秘匿化を解除する。具体的には、秘匿処理部242は、L2トンネルの対向側から受信したパケットに含まれている識別情報を参照して、秘匿処理された情報を復元する。なお、上述した例では、CPE100からVHGW200に対してL2カプセリング処理したパケットを送信する場合について説明したが、VHGW200からCPE100に対してL2カプセリング処理したパケットを送信する場合にも適用できる。かかる場合には、秘匿処理部142と、秘匿処理部242とが上述した処理をそれぞれ逆に実行する。
The concealment processing unit 242 releases the concealment of predetermined communication contents by the concealment processing unit 142. Specifically, the concealment processing unit 242 refers to the identification information included in the packet received from the opposite side of the L2 tunnel and restores the concealed information. In the above-described example, the case where a packet subjected to the L2 encapsulation process is transmitted from the
次に、図14及び図15を用いて、第2の実施形態に係るネットワークシステム1による処理の手順を説明する。図14は、第2の実施形態に係るネットワークシステムの第1処理の手順を説明するためのシーケンス図である。図15は、第2の実施形態に係るネットワークシステムの第2処理の手順を説明するためのシーケンス図である。図14においては、CPE100からVHGW200への通信における処理の手順を示す。また、図14においては、VHGW200からCPE100への通信における処理の手順を示す。
Next, a processing procedure by the network system 1 according to the second embodiment will be described with reference to FIGS. 14 and 15. FIG. 14 is a sequence diagram for explaining the procedure of the first process of the network system according to the second embodiment. FIG. 15 is a sequence diagram for explaining the procedure of the second process of the network system according to the second embodiment. FIG. 14 shows a processing procedure in communication from the
CPE100からVHGW200への通信では、図14に示すように、第2の実施形態に係るネットワークシステム1において、CPE100の通信部110がL2フレームまたはパケットを受信すると(ステップS301)、宛先識別部120が宛先を判定する(ステップS302)。ここで、宛先がVHNW3宛てである場合には(ステップS303肯定)、トンネリング処理部130は、L2VPNなどのセキュアなL2トンネリング処理を実行して、通信部110がVHGW200に対してパケットを送信する(ステップS304)。
In communication from the
一方、ステップS303において、宛先がVHNW3宛てではない外部ネットワークである場合には(ステップS303否定)、秘匿処理部142が秘匿処理を実行する(ステップS305)。そして、トンネリング処理部130は、L2カプセリング処理などの単純なL2トンネリング処理を実行して、通信部110がVHGW200に対してパケットを送信する(ステップS306)。
On the other hand, if the destination is an external network that is not addressed to VHNW3 in Step S303 (No in Step S303), the concealment processing unit 142 executes concealment processing (Step S305). The
VHGW200は、通信部210がL2フレームまたはパケットを受信すると(ステップS307)、トンネリング処理部240が、識別情報などを参照して、実施されたL2トンネリング処理に対応するL2トンネリング処理の解除を実行して、L2フレームまたはパケットを取得する(ステップS308)。そして、秘匿処理部242が、秘匿処理された情報があるか否かを判定する(ステップS309)。ここで、秘匿処理された情報がある場合には(ステップS309肯定)、秘匿処理部242が、秘匿処理された情報を復元して(ステップS310)、通信部210が宛先に対してパケットを送信する(ステップS311)。一方、秘匿処理された情報がない場合には(ステップS309否定)、通信部210が宛先に対してパケットを送信する(ステップS311)。なお、RHNW2から外部ネットワーク宛の通信は、必ず秘匿処理するようCPE100とVHGW200とで事前設定されている場合は、ステップS309の処理はスキップしてもよい。
In the
次に、VHGW200からCPE100への通信では、図15に示すように、第2の実施形態に係るネットワークシステム1において、VHGW200の通信部210がL2フレームまたはパケットを受信すると(ステップS401)、送信元識別部220が送信元を判定する(ステップS402)。ここで、送信元がVHNW3内である場合には(ステップS403肯定)、トンネリング処理部230は、L2VPNなどのセキュアなL2トンネリング処理を実行して、通信部210がCPE100に対してパケットを送信する(ステップS404)。
Next, in communication from the
一方、ステップS403において、送信元がVHNW3内ではない外部ネットワークからである場合には(ステップS403否定)、秘匿処理部242が秘匿処理を実行する(ステップS405)。そして、トンネリング処理部230は、L2カプセリング処理などの単純なL2トンネリング処理を実行して、通信部210がCPE100に対してパケットを送信する(ステップS406)。
On the other hand, in step S403, when the transmission source is from an external network that is not in VHNW3 (No in step S403), the concealment processing unit 242 executes concealment processing (step S405). Then, the
CPE100は、通信部110がパケットを受信すると(ステップS407)、トンネリング処理部140が、識別情報などを参照して、実施されたL2トンネリング処理に対応するL2トンネリング処理の解除を実行して、L2フレームまたはパケットを取得する(ステップS408)。そして、秘匿処理部241が、秘匿処理された情報があるか否かを判定する(ステップS409)。ここで、秘匿処理された情報がある場合には(ステップS409肯定)、秘匿処理部241が、秘匿処理された情報を復元して(ステップS410)、通信部210が宛先に対してパケットを送信する(ステップS411)。一方、秘匿処理された情報がない場合には(ステップS409否定)、通信部210が宛先に対してパケットを送信する(ステップS411)。上述した図14のステップS309と同様にステップS409の処理はスキップしてもよい。
In the
なお、上述した処理の手順においては、秘匿処理を実行した後に、L2トンネリング処理を実行する場合について説明した。しかしながら、実施形態はこれに限定されるものではなく、例えば、L2トンネリング処理が実行された後に、秘匿処理が実行される場合であってもよい。 In the processing procedure described above, the case where the L2 tunneling process is executed after the concealment process is executed has been described. However, the embodiment is not limited to this, and may be a case where the concealment process is executed after the L2 tunneling process is executed, for example.
[第2の実施形態の効果]
上述したように、第2の実施形態によれば、CPE100の秘匿処理部141は、端末からの通信の宛先がインターネット上にある場合に、通信における所定の通信内容を秘匿化する。そして、通信部110は、トンネリング処理部140及び秘匿処理部141の処理後の通信を、VHGW200との間で実行する。そして、VHGW200の秘匿処理部242は、秘匿処理部142による所定の通信内容の秘匿化を解除する。そして、通信部210は、トンネリング処理240及び所定の通信内容の秘匿化が解除された状態で、インターネット上の宛先への通信を実行する。従って、第2の実施形態に係るネットワークシステム1は、L2トンネル接続に用いるネットワークがインターネットのような公衆網の場合に、最低限のセキュリティを備えさせることができ、かつ、通信効率の低下を低減することを可能にする。
[Effects of Second Embodiment]
As described above, according to the second embodiment, the concealment processing unit 141 of the
(第3の実施形態)
上述した第1及び第2の実施形態では、ネットワークシステムの構成例について説明した。第3の実施形態では、利用環境の一例を説明する。ここで、近年のグローバルIPv4アドレスの枯渇により、今後は1つのグローバルIPv4アドレスを複数ユーザ間で共用するケースが増えることが予想される。そこでは、大規模NAT(Large Scale NATやCarrier Grade NATと呼ばれる)という技術が適用され、ホームゲートウェイとISP(Internet Service Provider)で計2回、またはISPでNAT処理をすることで1つのグローバルIPv4アドレスを複数ユーザで共用することになる。
(Third embodiment)
In the first and second embodiments described above, the configuration example of the network system has been described. In the third embodiment, an example of a usage environment will be described. Here, due to the recent depletion of global IPv4 addresses, it is expected that the number of cases where one global IPv4 address is shared among a plurality of users will increase in the future. There, a technology called large-scale NAT (called Large Scale NAT or Carrier Grade NAT) is applied, and one global IPv4 is performed by performing NAT processing twice at home gateway and ISP (Internet Service Provider) or ISP. The address is shared by multiple users.
このような、大規模NATが適用される環境では、NAT処理の負荷も小さくはないので、また、メンテナンスコストも考慮すると、ホームゲートウェイでのNAT処理を回避できる方が望ましい。また、今後のIPv6技術の普及に伴い、IPv6によるネットワークが増えることが容易に予想されることを考慮する。そこで、第3の実施形態では、例えば、図16に示すネットワークシステムについて説明する。 In such an environment where a large-scale NAT is applied, the load of NAT processing is not small, and considering the maintenance cost, it is desirable that NAT processing at the home gateway can be avoided. In addition, it is considered that the number of IPv6 networks is easily expected to increase with the spread of IPv6 technology in the future. Therefore, in the third embodiment, for example, a network system shown in FIG. 16 will be described.
図16は、第3の実施形態に係るネットワークシステムの概要を模式的に示す図である。すなわち、第3の実施形態に係るネットワークシステムでは、図16に示すように、IPv4によるインターネット通信については、VHGW200でルーティングし、IPv6によるインターネット通信は、CPE100でルーティングして、それぞれ外部ネットワークに出ていくシステム構成について説明する。またこの実施形態では、「アクセスネットワーク/インターネット」はIPv6によるネットワークであるものとし、CPE100とVHGW200とはIPv6のL2トンネル接続を確立できる機能を備えているものとする。
FIG. 16 is a diagram schematically illustrating an overview of a network system according to the third embodiment. That is, in the network system according to the third embodiment, as shown in FIG. 16, the Internet communication by IPv4 is routed by the
図17は、第3の実施形態に係るネットワークシステム1の構成の一例を示す図である。例えば、図17に示すように、ネットワークシステム1においては、RHNW2内のCPE100は、主な機能として、IPv6に関するルーティング機能と、L2トンネリング処理の機能とを有する。一方、VHNW3内のVHGW200は、主な機能として、IPv4に関するルーティング機能と、L2トンネリング処理の機能とを有する。また、トンネル終端するためのIPv6ルーティング機能を有する、またはVHGW200とは異なる装置がこの機能を備えることとしてもよい。
FIG. 17 is a diagram illustrating an example of a configuration of the network system 1 according to the third embodiment. For example, as shown in FIG. 17, in the network system 1, the
ここで、例えば、RHNW2及びVHNW3内の端末からIPv6インターネットにアクセスする場合には、CPE100からIPv6パケットが外部ネットワークへルーティングされる。また、例えば、RHNW2及びVHNW3内の端末からIPv4インターネットにアクセスする場合には、VHGW200からIPv4パケットが外部ネットワークへルーティングされる。つまり、RHNW2内の端末から送信されるIPv4インターネットあてのパケットは、第1、第2の実施形態で説明したように、CPE100からL2トンネルを経由してVHGW200から外部ネットワークへルーティングされる。
Here, for example, when accessing the IPv6 Internet from a terminal in the RHNW2 and VHNW3, the IPv6 packet is routed from the
一方、VHNW3内の端末から送信されるIPv6インターネット宛てのパケットは、第1、第2の実施形態で説明した構成と対称となるもの、すなわち、第1の実施形態の変形例で説明したようにVHGW200からL2トンネルを経由してCPE100から外部ネットワークへルーティングされる。
On the other hand, the packet addressed to the IPv6 Internet transmitted from the terminal in VHNW3 is symmetrical with the configuration described in the first and second embodiments, that is, as described in the modification of the first embodiment. Routing from the
ここで、IPv4インターネットにアクセスする場合、VHGW200のWAN側インターフェースに付与されるアドレスがグローバルIPv4アドレスとなるが、大規模NATを適用する場合、このグローバルアドレスを複数のユーザ、つまり、複数のVHGW200で共有することになる。例えば、このVHGW200のWAN側インターフェースにさらに異なるネットワークドメインの共用プライベートアドレスを付与して、IPv4インターネットへのゲートウェイ(GW)にNAT装置を置き、このNAT装置が共用プライベートアドレスをグローバルIPv4アドレスに変換して、IPv4インターネットと通信することとしてもよい。この場合は、DC10内にユーザごとのVHNW3が構築され、この複数のVHNW3のIPv4インターネットとのゲートウェイを集約することになる。
Here, when accessing the IPv4 Internet, the address assigned to the WAN side interface of the
ここで、例えば、IPv4インターネットからRHNW2にアクセスされる場合、NAT装置のグローバルIPv4アドレス宛にパケットが送信され、NAT装置がVHGW200に割り当てられた共用プライベートアドレス宛にパケットを送信する。VHGW200は、受信したパケットをIPカプセリング及び/又は秘匿処理を実行してCPE100に送信する。CPE100は、受信したパケットをRHNW2内に送信する。一方、例えば、IPv4インターネットからVHNW3にアクセスされる場合、NAT装置のグローバルIPv4アドレス宛にパケットが送信され、NAT装置がVHGW200に割り当てられた共用プライベートアドレス宛にパケットを送信する。VHGW200は、受信したパケットをさらにアドレス変換してホームネットワーク内のプライベートアドレスに変換して、VHNW3内に転送する。
Here, for example, when the
また、例えば、IPv6インターネットからRHNW2にアクセスされる場合、CPE100は、IPv6インターネットから受信したパケットをRHNW2に転送する。一方、例えば、IPv6インターネットからVHNW3にアクセスされる場合、CPE100は、受信したパケットをIPカプセリング及び/又は秘匿処理を実行してVHGW200に送信する。VHGW200は、受信したパケットをVHGW3内に送信する。
For example, when the RHNW2 is accessed from the IPv6 Internet, the
上述したように、第3の実施形態によれば、RHNW2内のCPE100と、RHNW2とL2トンネル接続されるVHNW3内のVHGW200とを備えるネットワークシステムであって、CPE100の宛先識別部は、RHNW2内の端末からの通信の宛先が、IPv4インターネット宛であるかを識別する。トンネリング処理部140は、宛先がIPv4インターネット宛である場合には、通信に対してトンネリング処理を実行する。通信部110は、トンネリング処理部140による処理後の通信を、VHGW200との間で実行し、かつ、VHGW200は、受信したパケットをIPv4インターネットへ転送する。VHGW200の宛先識別部は、VHNW3内の端末からの通信の宛先がIPv6インターネット宛であるかを識別する。トンネリング処理部240は、宛先がIPv6インターネット宛である場合には、通信に対してトンネリング処理を実行する。IPv4インターネットに対して通信を実行する際に、DC10に配置したNAT装置によって、VHGW200にてホームネットワークのプライベートアドレスからアドレス変換された共用プライベートアドレスをグローバルアドレスに変換した後に実行する。または、この共用プライベートアドレスを用いずに、VHGW200が受信したIPv4プライベートアドレスをNAT装置によって直接グローバルアドレスに変換してもよい。従って、第3の実施形態に係るネットワークシステム1は、グローバルIPv4アドレスの枯渇に対応するネットワークシステムを構築することを可能にする。上述のように、2回のアドレス変換処理することなく、1回のアドレス変換処理で実施することとしてもよい。
As described above, according to the third embodiment, the network system includes the
(第4の実施形態)
これまで第1〜第3の実施形態を説明したが、本願に係る実施形態は、第1〜第3の実施形態に限定されるものではない。すなわち、これらの実施形態は、その他の様々な形態で実行されることが可能であり、種々の省略、置き換え、変更を行うことができる。
(Fourth embodiment)
Although the first to third embodiments have been described so far, the embodiment according to the present application is not limited to the first to third embodiments. That is, these embodiments can be executed in various other forms, and various omissions, replacements, and changes can be made.
上述した実施形態におけるCPE100とVHGW200との間のL2トンネルは、L2VPNによるトンネルと、L2カプセリングによるトンネルの両方を確立しておき、判定部の判定結果に応じて、利用するトンネルを選択するようにしてもよい。
As the L2 tunnel between the
また、CPE100とVHGW200の間で1本のL2トンネルのみを利用する場合は、判定部の判定結果に基づいて、L2VPNの処理「セキュリティ処理(暗号、認証、署名)+L2カプセリング」をするか、L2カプセリングの処理をするかを都度選択的に行ってもよい。ここで、例えば、デフォルトの処理をL2VPNとして、選択的にL2VPNのうちセキュリティ処理を実施しないL2カプセリングの処理をしてもよく、この逆に、デフォルトの処理をL2カプセリングとして、選択的にさらにセキュリティ処理を実施することでL2VPNの処理をしてもよい。
Further, when only one L2 tunnel is used between the
また、RHNW2またはVHNW3とインターネットなどの外部ネットワークとがL2トンネル経由でアクセスする場合、L2−カプセリングによる通信を行うものとして説明した。しかしながら、このような通信では、L2フレーム全体をトンネル対向側に送信することは必須ではないため、実施形態はこれに限定されるものではなく、例えば、この通信をL3カプセリング、つまり、IP−in−IP、IP tunnelingを適用してもよい。図18は、第4の実施形態に係るIPカプセリング処理の一例を説明するための図である。図18に示すように、L3カプセリング処理によってパケットをカプセル化して送信する場合であってもよい。秘匿処理対象は、図18に示す2つの領域の全体であってもよく、2つの領域のうち一部であってもよく、これらは事前に決定されていればよい。 Further, the description has been given on the assumption that communication by L2-encapsulation is performed when the RHNW2 or VHNW3 and an external network such as the Internet access via the L2 tunnel. However, in such communication, since it is not essential to transmit the entire L2 frame to the tunnel opposite side, the embodiment is not limited to this. For example, this communication is L3 encapsulation, that is, IP-in -IP and IP tunneling may be applied. FIG. 18 is a diagram for explaining an example of IP encapsulation processing according to the fourth embodiment. As shown in FIG. 18, the packet may be encapsulated and transmitted by the L3 encapsulation process. The whole of the two areas shown in FIG. 18 or a part of the two areas may be used as the concealment process target, and these may be determined in advance.
これは、内部ネットワーク用のIPパケットに外部用のIPパケットで直接カプセル化することで、他のネットワーク経由で転送可能にするためのトンネリング技術である。この時、第2、3の実施形態において、ホームネットワークである内部ネットワーク用のL2フレームヘッダ情報がインターネット上に流れることがなくなるので、L3以上の秘匿すべき情報のみを秘匿処理すればよくなる。秘匿処理に関する情報は、トンネル用IPヘッダのオプション部分に格納することとしてもよい。例えば、GRE(Generic Routing Encapsulation)を用いる場合、GREヘッダ内に格納してもよい。また、L2フレームヘッダ情報を送信しないため、1パケット当たり送信できるデータ量が増えることになり、通信効率が向上する。 This is a tunneling technology for enabling the transfer through another network by directly encapsulating the IP packet for the internal network with the IP packet for the external network. At this time, in the second and third embodiments, the L2 frame header information for the internal network, which is the home network, does not flow on the Internet, so that only the information to be concealed of L3 or higher needs to be concealed. Information related to the concealment process may be stored in an optional part of the tunnel IP header. For example, when GRE (Generic Routing Encapsulation) is used, it may be stored in the GRE header. Further, since the L2 frame header information is not transmitted, the amount of data that can be transmitted per packet is increased, and the communication efficiency is improved.
以下、上述した第1〜第3の実施形態に係るネットワークシステム1において、L3カプセリングを行う場合の詳細について説明する。まず、第1の実施形態に係るネットワークシステム1にてL3カプセリングを行う場合について説明する。かかる場合、CPE100は、RHNW2内の通信装置からインターネット側を宛先とするパケットを受信すると、受信したパケットに対して、L3カプセリング処理を実行して、対向するVHGW200に送信する。VHGW200は、受信したL3カプセリング処理されたパケットのL3カプセリングを解除して、パケットを取り出し、取り出したパケットをインターネット側の宛先に送信する。
Hereinafter, details in the case of performing L3 encapsulation in the network system 1 according to the first to third embodiments described above will be described. First, a case where L3 encapsulation is performed in the network system 1 according to the first embodiment will be described. In this case, when the
また、VHGW200は、インターネット側からRHNW2内宛のパケットを受信すると、受信したパケットに対して、L3カプセリング処理を実行して、対向するCPE100に送信する。CPE100は、受信したL3カプセリング処理されたパケットのL3カプセリングを解除してパケットを取り出し、取り出したパケットをRHNW2内の宛先の通信装置に送信する。
In addition, when receiving a packet addressed to the
次に、第2の実施形態に係るネットワークシステム1にてL3カプセリングを行う場合について説明する。かかる場合、CPE100は、RHNW2内の通信装置からインターネット側をあて先とするパケットを受信すると、受信したパケットのL3ヘッダの所定の部分に秘匿処理を実行する。そして、CPE100は、秘匿処理を実行したパケットに対して、L3カプセリング処理を実行して、対向するVHGW200に送信する。VHGW200は、受信したL3カプセリング処理されたパケットのL3カプセリングを解除して、秘匿処理されたパケットを取り出す。そして、VHGW200は、取り出したパケットのうち秘匿処理された情報を復元してインターネット側の宛先に送信する。
Next, a case where L3 encapsulation is performed in the network system 1 according to the second embodiment will be described. In such a case, when the
また、VHGW200は、インターネット側からRHNW2内宛のパケットを受信すると、受信したパケットのL3ヘッダに秘匿処理を実行する。そして、VHGW200は、秘匿処理を実行したパケットに対して、L3カプセリング処理を実行して、対向するCPE100に送信する。CPE100は、受信したL3カプセリング処理されたパケットのL3カプセリングを解除して、秘匿処理されたパケットを取り出す。そして、CPE100は、取り出したパケットのうち秘匿処理された情報を復元してRHNW2内の宛先の通信装置に送信する。
In addition, when receiving a packet addressed to the
次に、第3の実施形態に係るネットワークシステム1にてL3カプセリングを行う場合について説明する。かかる場合、CPE100は、RHNW2内の通信装置からIPv4インターネット側を宛先とするパケットを受信すると、受信したパケットに対して、L3カプセリング処理を実行して、対向するVHGW200に送信する。VHGW200は、受信したL3カプセリング処理されたパケットのL3カプセリングを解除して、パケットを取り出し、取り出したパケットをNAT装置に送信する。NAT装置は、受信したパケットをインターネット側の宛先に送信する。
Next, a case where L3 encapsulation is performed in the network system 1 according to the third embodiment will be described. In such a case, when receiving a packet destined for the IPv4 Internet side from the communication device in the
また、CPE100は、IPv6インターネット側からVHNW3宛のパケットを受信すると、受信したパケットに対して、L3カプセリング処理を実行して、対向するVHGW200に送信する。VHGW200は、受信したL3カプセリング処理されたパケットのL3カプセリングを解除して、パケットを取り出し、取り出したパケットをVHNW3内の通信装置に送信する。
Further, when the
また、VHGW200は、VHNW3内の通信装置からIPv6インターネット側をあて先とするパケットを受信すると、受信したパケットに対して、L3カプセリング処理を実行して、対向するCPE100に送信する。CPE100は、受信したL3カプセリング処理されたパケットのL3カプセリングを解除して、パケットを取り出し、取り出したパケットをIPv6インターネット側の宛先に送信する。
In addition, when the
また、IPv4インターネット側からRHNW2宛にパケットを送信する場合には、まず、NAT装置がIPv4インターネットからパケットを受信して、受信したパケットのグローバルIPv4アドレスを共用プライベートアドレスに変換して、VHGW200に送信する。VHGW200は、NAT装置からRHNW2内宛のパケットを受信すると、受信したパケットに対して、L3カプセリング処理を実行して、対向するCPE100に送信する。CPE100は、受信したL3カプセリング処理されたパケットのL3カプセリングを解除してパケットを取り出し、取り出したパケットをRHNW2内の宛先の通信装置に送信する。なお、上述した第3の実施形態に係るネットワークシステム1において、秘匿処理を実行する場合には、CPE100及びVHGW200は、対向側にパケットを送信する際に、パケットのL3ヘッダの所定の部分に秘匿処理を実行する。
When a packet is transmitted from the IPv4 Internet side to the RHNW2, the NAT device first receives the packet from the IPv4 Internet, converts the global IPv4 address of the received packet into a shared private address, and transmits the packet to the
また、VHNW3は、仮想化されたネットワークとして説明したが、仮想化されていない物理的なネットワークであってもよい。また、RHNW2は、物理的なネットワークとして説明したが、仮想化されたネットワークであってもよい。また、RHNW2とVHNW3とを同一セグメントのL2ネットワークとして扱えるようにするため、CPE100とVHGW200とをL2VPNで接続するものとして説明したが、これに限らず、L3VPNによって接続してもよい。
Further, although the
また、通信の送信元や宛先に基づいて秘匿処理の要否を判断するものとして説明したが、これに限らず、通信プロトコルや通信のメッセージの種類や内容に基づいて秘匿処理の要否を判断してもよい。または、通信プロトコル、通信のメッセージ、送信元、送信先のうちいずれか一以上からなる組合せに基づいて秘匿処理の要否を判断してもよい。この場合、CPE100やVHGW200は、秘匿処理をする/しない通信プロトコルやメッセージに関する条件も事前に記憶しておくこととなる。また、RHNW2とVHNW3との間の通信において、例えばセキュリティよりも低遅延であることが要求される特定の通信がある場合は、通信プロトコルやメッセージに基づいてその通信を特定して、セキュリティ処理を省略してカプセリング処理のみを実施することとしてもよく、または、カプセリング処理と秘匿処理を実施することとしてもよい。
In addition, although it has been described that the necessity of the confidential processing is determined based on the transmission source and destination of the communication, the present invention is not limited to this, and the necessity of the confidential processing is determined based on the communication protocol and the type and content of the communication message. May be. Alternatively, the necessity of the concealment process may be determined based on a combination of one or more of a communication protocol, a communication message, a transmission source, and a transmission destination. In this case, the
また、秘匿処理は、単純に、L2フレームであれば、L2ヘッダ情報とL3ヘッダ情報のすべて、パケットであれば、L3ヘッダ情報のすべて、を秘匿処理対象とするものであってもよい。 In addition, the concealment process may simply target all the L2 header information and L3 header information for the L2 frame, and all the L3 header information for the packet.
VHGW200は、仮想化された装置として説明したが、仮想化されていない物理的な装置であってもよい。CPE100は、物理的な装置として説明したが、仮想化された装置であってもよい。
Although the
RHNW2内やVHNW3内の通信装置は、仮想化されたサーバなどでもよく、仮想化されていない物理的なサーバなどであってもよい。また、サーバではない通信装置でもよい。 The communication device in the RHNW2 or VHNW3 may be a virtual server or the like, or may be a physical server that is not virtualized. Further, a communication device that is not a server may be used.
上述した実施形態では、ホームネットワーク、ホームゲートウェイを例に説明したが、実施形態はこれに限定されるものではなく、例えば、対象が企業ネットワークなどでもよい。 In the above-described embodiment, the home network and the home gateway have been described as examples. However, the embodiment is not limited thereto, and the target may be, for example, a corporate network.
CPE100やVHGW200の各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、宛先識別部120と、判定部130とを一つの処理部として統合してもよく、一方、トンネリング処理部140を暗号化させる暗号処理部と、トンネリング処理を実行するトンネリング部とに分散してもよい。また、各装置は、アクセスネットワーク/インターネットなどの外部ネットワークと通信するためのIPルーティング機能を備えていてもよく、IPルーティングは別の装置に具備するものであってもよい。さらに、各装置は、NATやDHCP、DNSに係る一般的なルータの機能を備えてもよく、または、これらの機能を別の装置に具備するものであってもよい。
The specific form (for example, the form of FIG. 2) of the dispersion / integration of each device of the
また、宛先識別部120をCPE100の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、宛先識別部120及び判定部130を別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したCPE100の機能を実現するようにしてもよい。
In addition, the
また、L2トンネルを形成させる機能を有する装置を、CPE100及びVHGW200の外部装置としてネットワーク経由で接続されて協働することで、CPE100とVHGW200との間にL2トンネルを形成させるようにしてもよい。
In addition, an L2 tunnel may be formed between the
上述した実施形態で説明したCPE100及びVHGW200は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示したCPE100又は図4で示したVHGW200と同様の機能を実現するプログラムを実行するコンピュータの一例を説明する。
The
図19は、第4の実施形態に係る通信制御プログラムを実行するコンピュータ1000を示す図である。図19に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
FIG. 19 is a diagram illustrating a
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
The
ここで、図19に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログムモジュール1093およびプログラムデータ1094を記憶する。第4の実施形態に係る通信制御プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。具体的には、CPE100と同様の機能を実現する場合、上記実施形態で説明した通信部110と同様の情報処理を実行する通信ステップと、宛先識別部120と同様の情報処理を実行する宛先識別ステップと、判定部130と同様の情報処理を実行する判定ステップと、トンネリング処理部140と同様の情報処理を実行するトンネリング処理ステップとが記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。一方、VHGW200と同様の機能を実現する場合、上記実施形態で説明した通信部210と同様の情報処理を実行する通信ステップと、トンネリング処理部240と同様の情報処理を実行するトンネリング処理ステップとが記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
Here, as shown in FIG. 19, the hard disk drive 1090 stores, for example, an OS (Operating System) 1091, an
また、上記実施形態で説明したデータベースに記憶されるデータのように、プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM1012に読み出して、通信ステップと、宛先識別ステップと、判定ステップと、トンネリング処理ステップとを実行する、或いは、通信ステップと、トンネリング処理ステップとを実行する。
Further, like the data stored in the database described in the above embodiment, data used for information processing by the program is stored as program data, for example, in the hard disk drive 1090. Then, the
なお、プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュールやプログラムデータは、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
Note that the program module and program data relating to the program are not limited to being stored in the hard disk drive 1090, but may be stored in a removable storage medium and read out by the
これらの実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 These embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.
1 ネットワークシステム
2 RHNW
3 VHNW
4 ネットワーク
10 DC
100 CPE
110、210 通信部
120、250 宛先識別部
130、230 判定部
140、240 トンネリング処理部
141、241 ルール記憶部
142、242 秘匿処理部
200 VHGW
220 送信元識別部
1
3 VHNW
4
100 CPE
110, 210
220 Source identification unit
Claims (8)
前記第1の装置は、
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、又は、前記外部ネットワークであるかを識別する識別部と、
前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、
前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、
を備え、
前記第2の装置は、
前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理部による処理の解除を実行する第2のトンネリング処理部と、
前記第2のトンネリング処理部により解除された通信データを、当該通信データの宛先へ送信する第2の通信部と、
を備えたことを特徴とするネットワークシステム。 A network system comprising a first device in a first network and a second device in a second network capable of communicating with the first network and an external network,
The first device includes:
An identification unit for identifying whether a destination of communication data received from a terminal in the first network is in the second network or the external network;
If the destination of the communication data identified by the identification unit is within the second network, at least an encryption process and a encapsulation process for tunnel communication with the second device are performed on the communication data And when the destination of the communication data identified by the identification unit is the external network, a first tunneling process for executing a encapsulation process for tunnel communication with the second device for the communication data And
A first communication unit that transmits communication data after processing by the first tunneling processing unit to the second device;
With
The second device includes:
A second tunneling processing unit that receives the communication data transmitted from the first device and executes release of processing by the first tunneling processing unit;
A second communication unit that transmits the communication data released by the second tunneling processing unit to a destination of the communication data;
A network system characterized by comprising:
前記第1の通信部は、前記第1のトンネリング処理部及び前記第1の秘匿処理部の処理後の通信データを前記第2の装置へ送信し、
前記第2の装置は、前記第1の秘匿処理部による処理を解除する第2の秘匿処理部をさらに備え、
前記第2の通信部は、前記第2のトンネリング処理部及び前記第2の秘匿処理部により解除された通信データに対して当該通信データの宛先への送信を実行することを特徴とする請求項1に記載のネットワークシステム。 The first apparatus is configured to conceal a predetermined part of the communication data when the identification unit identifies that the destination of data communication received from the terminal is the external network. Further comprising
The first communication unit transmits the communication data after processing of the first tunneling processing unit and the first concealment processing unit to the second device,
The second device further includes a second concealment processing unit that cancels the processing by the first concealment processing unit,
The said 2nd communication part performs transmission to the destination of the said communication data with respect to the communication data cancelled | released by the said 2nd tunneling process part and the said 2nd concealment process part. 2. The network system according to 1.
前記第1の装置は、
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、又は、前記第2のネットワークと通信可能なIPv4インターネットであるかを識別する第1の識別部と、
前記第1の識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記第1の識別部で識別された通信データの宛先が前記IPv4インターネットである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、
前記第1のトンネリング処理部による処理後の通信データを前記第2の装置を介して宛先に送信し、かつ、前記第1のネットワークと通信可能なIPv6インターネットに対する通信データを送受信する第1の通信部と、
を備え、
前記第2の装置は、
前記第2のネットワーク内の端末から受信した通信データの宛先が、前記第1のネットワーク内であるか、又は、前記第1のネットワークと通信可能なIPv6インターネットであるかを識別する第2の識別部と、
前記第2の識別部で識別された通信データの宛先が前記第1のネットワーク内である場合には、前記通信データに対して少なくとも暗号化処理及び前記第1の装置とトンネル通信するためのカプセリング処理を実行し、前記第2の識別部で識別された通信データの宛先が前記IPv6インターネットである場合には、前記通信データに対して前記第1の装置とトンネル通信するためのカプセリング処理を実行する第2のトンネリング処理部と、
前記第2のトンネリング処理部による処理後の通信データを前記第1の装置を介して宛先に送信し、かつ、前記第2のネットワークと通信可能なIPv4インターネットに対する通信データを送受信する際に、前記第2の装置に予め割り当てられたプライベートアドレスとグローバルアドレスとの変換を実行する第2の通信部と、
を備えたことを特徴とするネットワークシステム。 And IPv6 Internet and the first device in the communicable first network, a network system and a second device of the first network and the IPv4 Internet and the communicable second network,
The first device includes:
First identification for identifying whether a destination of communication data received from a terminal in the first network is in the second network or the IPv4 Internet capable of communicating with the second network And
When the destination of the communication data identified by the first identification unit is within the second network, at least an encryption process for the communication data and encapsulation for tunnel communication with the second device And when the destination of the communication data identified by the first identification unit is the IPv4 Internet, executes a encapsulation process for tunnel communication with the second device for the communication data A first tunneling processor to
1st communication which transmits the communication data with respect to the IPv6 Internet which can transmit the communication data after the process by the said 1st tunneling process part to a destination via the said 2nd apparatus, and can communicate with the said 1st network. And
With
The second device includes:
Second identification for identifying whether the destination of communication data received from a terminal in the second network is in the first network or the IPv6 Internet capable of communicating with the first network And
When the destination of the communication data identified by the second identification unit is within the first network, at least an encryption process for the communication data and encapsulation for tunnel communication with the first device When the destination of the communication data identified by the second identification unit is the IPv6 Internet, a encapsulation process for performing tunnel communication with the first device is performed on the communication data. A second tunneling processing unit to
When the communication data after processing by the second tunneling processing unit is transmitted to the destination via the first device and communication data for the IPv4 Internet that can communicate with the second network is transmitted and received, A second communication unit that performs conversion between a private address pre-assigned to the second device and a global address;
A network system characterized by comprising:
前記第1の装置によって実行される、
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、又は、前記外部ネットワークであるかを識別する識別工程と、
前記識別工程で識別された通信データの宛先が前記第2のネットワーク内である場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記識別工程で識別された通信データの宛先が前記外部ネットワークである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理工程と、
前記第1のトンネリング処理工程による処理後の通信データを前記第2の装置へ送信する第1の通信工程と、
前記第2の装置によって実行される、
前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理工程による処理の解除を実行する第2のトンネリング処理工程と、
前記第2のトンネリング処理工程により解除された通信データを、当該通信データの宛先へ送信する第2の通信工程と、
を含んだことを特徴とする通信制御方法。 A communication control method executed by a network system comprising a first device in a first network and a second device in a second network capable of communicating with the first network and an external network,
Executed by the first device;
An identification step for identifying whether a destination of communication data received from a terminal in the first network is in the second network or the external network;
If the destination of the communication data identified in the identification step is within the second network, at least an encryption process and a encapsulation process for tunnel communication with the second device are performed on the communication data And when the destination of the communication data identified in the identification step is the external network, a first tunneling process for executing a encapsulation process for tunnel communication with the second device for the communication data Process,
A first communication step of transmitting communication data after processing by the first tunneling processing step to the second device;
Executed by the second device;
A second tunneling process step of receiving communication data transmitted from the first device and executing cancellation of the process by the first tunneling process step;
A second communication step of transmitting the communication data released by the second tunneling processing step to a destination of the communication data;
The communication control method characterized by including.
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第1のネットワークと通信可能な第2のネットワーク内であるか、又は、当該第2のネットワークと通信可能な外部ネットワークであるかを識別する識別部と、
前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、前記通信データに対して少なくとも暗号化処理及び前記第2のネットワーク内の第2の装置とトンネル通信するためのカプセリング処理を実行し、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行するトンネリング処理部と、
前記トンネリング処理部による処理後の通信データを前記第2の装置へ送信する通信部と、
を備えたことを特徴とする通信制御装置。 A communication control device in the first network,
The destination of communication data received from a terminal in the first network is in a second network that can communicate with the first network, or an external network that can communicate with the second network. An identification part for identifying
When the destination of the communication data identified by the identification unit is in the second network, at least encryption processing is performed on the communication data and tunnel communication is performed with the second device in the second network. When the destination of the communication data identified by the identification unit is the external network, the encapsulation process for tunnel communication with the second device is performed on the communication data. A tunneling processing unit,
A communication unit for transmitting communication data after processing by the tunneling processing unit to the second device;
A communication control apparatus comprising:
前記第1のネットワーク内の通信装置から送信された通信データを受信して、受信した通信データに対して実行されている暗号化処理及びトンネル通信するためのカプセリング処理、又は、トンネル通信するためのカプセリング処理の解除を実行するトンネリング処理部と、
前記トンネリング処理部により解除された通信データを、当該通信データの宛先へ送信する通信部と、
を備えたことを特徴とする通信制御装置。 A communication control device in a second network capable of communicating with the first network,
For receiving communication data transmitted from a communication device in the first network and performing encryption processing and tunneling communication for the received communication data, or tunnel communication A tunneling processing unit for canceling the capsuling process;
A communication unit that transmits the communication data released by the tunneling processing unit to a destination of the communication data;
A communication control apparatus comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012262609A JP5893546B2 (en) | 2012-11-30 | 2012-11-30 | Network system, communication control method, communication control apparatus, and communication control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012262609A JP5893546B2 (en) | 2012-11-30 | 2012-11-30 | Network system, communication control method, communication control apparatus, and communication control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014110454A JP2014110454A (en) | 2014-06-12 |
JP5893546B2 true JP5893546B2 (en) | 2016-03-23 |
Family
ID=51030871
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012262609A Expired - Fee Related JP5893546B2 (en) | 2012-11-30 | 2012-11-30 | Network system, communication control method, communication control apparatus, and communication control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5893546B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015012594A (en) * | 2013-07-02 | 2015-01-19 | 日本電信電話株式会社 | Network system, communication control method, communication control device, and program |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6075871B2 (en) * | 2013-05-09 | 2017-02-08 | 日本電信電話株式会社 | Network system, communication control method, communication control apparatus, and communication control program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2919778A1 (en) * | 2007-07-30 | 2009-02-06 | Canon Kk | METHOD FOR TRANSMITTING DATA PACKETS IN A TUNNEL, COMPUTER PROGRAM PRODUCT, CORRESPONDING STORAGE MEDIUM AND TUNNEL HEAD |
-
2012
- 2012-11-30 JP JP2012262609A patent/JP5893546B2/en not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015012594A (en) * | 2013-07-02 | 2015-01-19 | 日本電信電話株式会社 | Network system, communication control method, communication control device, and program |
Also Published As
Publication number | Publication date |
---|---|
JP2014110454A (en) | 2014-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8805977B2 (en) | Method and system for address conflict resolution | |
JP5161262B2 (en) | Method and system for resolving addressing conflicts based on tunnel information | |
ES2815568T3 (en) | Systems and Methods for Providing Multiple Secure Link Architecture | |
US20130182651A1 (en) | Virtual Private Network Client Internet Protocol Conflict Detection | |
KR20150079236A (en) | Virtual private network gateway and method for secure communication thereof | |
CN103391234A (en) | Method for realizing multi-user fixed port mapping and PPTP VPN server side | |
US10652204B2 (en) | ReNAT systems and methods | |
CN107733930B (en) | Method and system for forwarding Internet Protocol (IP) packets at multiple WAN network gateways | |
AU2023203289A1 (en) | Systems and methods for providing a ReNAT communications environment | |
JP5893546B2 (en) | Network system, communication control method, communication control apparatus, and communication control program | |
JP3491828B2 (en) | Closed network connection system, closed network connection method, recording medium storing a processing program therefor, and hosting service system | |
Abdulla | Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms | |
JP6075871B2 (en) | Network system, communication control method, communication control apparatus, and communication control program | |
Yakhlef et al. | Simulation of Routing in NAT, PAT and Inter_VLAN Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150123 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150918 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150929 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160223 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160224 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5893546 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |