JP5901851B2 - 中継装置及び通信方式選択方法及びプログラム - Google Patents
中継装置及び通信方式選択方法及びプログラム Download PDFInfo
- Publication number
- JP5901851B2 JP5901851B2 JP2015517991A JP2015517991A JP5901851B2 JP 5901851 B2 JP5901851 B2 JP 5901851B2 JP 2015517991 A JP2015517991 A JP 2015517991A JP 2015517991 A JP2015517991 A JP 2015517991A JP 5901851 B2 JP5901851 B2 JP 5901851B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- address
- vpn
- network
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2535—Multiple local networks, e.g. resolving potential IP address conflicts
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L25/00—Baseband systems
- H04L25/02—Details ; arrangements for supplying electrical power along data transmission lines
- H04L25/20—Repeater circuits; Relay circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、内部ネットワーク内の通信装置が外部ネットワークと通信する際の通信方式を複数の通信方式の中から選択する方法に関する。
VPN(Virtual Private Network)によって拠点間を接続する場合は、拠点間でIP(Internet Protocol)アドレスが衝突しないようなネットワーク設計を行う必要がある。
しかしながら、それぞれが独立したプライベートIPアドレスで運用中の複数の拠点をVPNで接続する場合などは、拠点間でIPアドレスの衝突が発生する可能性がある。
このような不都合を避けるために、VPN上でユニークとなる仮想IPアドレスを管理し、拠点のVPN GW(GateWay)装置(以下、VPN GWという)や中継センターにおいてNAT(Network Address Translation)(非特許文献1)によるアドレス変換を行う方法がある。
しかしながら、それぞれが独立したプライベートIPアドレスで運用中の複数の拠点をVPNで接続する場合などは、拠点間でIPアドレスの衝突が発生する可能性がある。
このような不都合を避けるために、VPN上でユニークとなる仮想IPアドレスを管理し、拠点のVPN GW(GateWay)装置(以下、VPN GWという)や中継センターにおいてNAT(Network Address Translation)(非特許文献1)によるアドレス変換を行う方法がある。
NATによるアドレス変換を行うVPN GWの動作を説明する。
例えばある拠点1の端末1(IPアドレス:192.168.1.2)から拠点2の端末2(IPアドレス:192.168.1.3)にアクセスする場合を想定する。
拠点1と拠点2のネットワークアドレス(192.168.1.0/24)が同じであるため、拠点1の端末1と拠点2の端末2がアドレス変換なしに通信した場合にはアドレスが衝突し、正しくルーティングされない。
例えばある拠点1の端末1(IPアドレス:192.168.1.2)から拠点2の端末2(IPアドレス:192.168.1.3)にアクセスする場合を想定する。
拠点1と拠点2のネットワークアドレス(192.168.1.0/24)が同じであるため、拠点1の端末1と拠点2の端末2がアドレス変換なしに通信した場合にはアドレスが衝突し、正しくルーティングされない。
そこで、拠点1のVPN GW1と拠点2のVPN GW2が、それぞれ、他拠点の端末を仮想IPアドレスにより指定する。
例えば、拠点2のVPN GW2は端末1の仮想IPアドレスを10.10.10.2と指定し、拠点1のVPN GW1は端末2の仮想IPアドレスを10.10.20.3と指定する。
そして、端末1が送信先のアドレスとして端末2の仮想IPアドレスを指定してパケットを送信し、VPN GW1とVPN GW2が、次のように仮想IPアドレスと実IPアドレスとの間のアドレス変換を行うことで、プライベートIPアドレスの衝突を回避することができる。
1)端末1 → VPN GW1:
送信元:端末1の拠点1内のIPアドレス(192.168.1.2)
送信先:端末2の仮想IPアドレス(10.10.20.3)
2)VPN GW1 → VPN GW2:
送信元:端末1の仮想IPアドレス(10.10.10.2)
送信先:端末2の仮想IPアドレス(10.10.20.3)
3)VPN GW2 → 端末2:
送信元:端末1の仮想IPアドレス(10.10.10.2)
送信先:端末2の拠点2内のIPアドレス(192.168.1.3)
例えば、拠点2のVPN GW2は端末1の仮想IPアドレスを10.10.10.2と指定し、拠点1のVPN GW1は端末2の仮想IPアドレスを10.10.20.3と指定する。
そして、端末1が送信先のアドレスとして端末2の仮想IPアドレスを指定してパケットを送信し、VPN GW1とVPN GW2が、次のように仮想IPアドレスと実IPアドレスとの間のアドレス変換を行うことで、プライベートIPアドレスの衝突を回避することができる。
1)端末1 → VPN GW1:
送信元:端末1の拠点1内のIPアドレス(192.168.1.2)
送信先:端末2の仮想IPアドレス(10.10.20.3)
2)VPN GW1 → VPN GW2:
送信元:端末1の仮想IPアドレス(10.10.10.2)
送信先:端末2の仮想IPアドレス(10.10.20.3)
3)VPN GW2 → 端末2:
送信元:端末1の仮想IPアドレス(10.10.10.2)
送信先:端末2の拠点2内のIPアドレス(192.168.1.3)
RFC2663:IP Network Address Translator (NAT) Terminology and Considerations
上記のNAT方式では、VPN GWとVPNに接続される端末が同じネットワークセグメントにある場合であれば、端末は、仮想IPアドレスが記述された通信パケットをVPN GWにルーティングすることができる。
例えば上記の例にてVPN GW1のIPアドレスが192.168.1.100の場合には、端末にてVPN GWをデフォルトゲートウェイに指定することにより、仮想IPアドレスが指定されたパケットをVPN GWにルーティングすることができる。
一方、VPN GWと端末のネットワークセグメントが異なる場合、例えば、端末1のIPアドレスが192.168.2.2である場合には、VPN GWをデフォルトゲートウェイに指定できない。
このため、仮想IPアドレスが記述されたパケットがVPN GWにルーティングされないという課題がある。
そのため、拠点内に複数のネットワークセグメントがある場合には、既存のルータの設定変更を行う必要があり、VPNの導入の手間が著しく増加する。
例えば上記の例にてVPN GW1のIPアドレスが192.168.1.100の場合には、端末にてVPN GWをデフォルトゲートウェイに指定することにより、仮想IPアドレスが指定されたパケットをVPN GWにルーティングすることができる。
一方、VPN GWと端末のネットワークセグメントが異なる場合、例えば、端末1のIPアドレスが192.168.2.2である場合には、VPN GWをデフォルトゲートウェイに指定できない。
このため、仮想IPアドレスが記述されたパケットがVPN GWにルーティングされないという課題がある。
そのため、拠点内に複数のネットワークセグメントがある場合には、既存のルータの設定変更を行う必要があり、VPNの導入の手間が著しく増加する。
この課題に対して、拠点内の端末からVPN GWに対してトンネリング接続し、トンネル内に仮想IPアドレスが記述されたパケットを流すという方法がある。
トンネリングのプロトコルとしては例えばRFC2637:PPTP(Point−to−Point Tunneling Protocol)がある。
トンネリングのプロトコルとしては例えばRFC2637:PPTP(Point−to−Point Tunneling Protocol)がある。
拠点内でトンネリング方式による接続を行う場合の端末及びVPN GWの動作を説明する。
例えば上述の拠点1の端末1のIPアドレスが192.168.2.2の場合、端末1からVPN GW1(IPアドレス192.168.1.100)にトンネリング接続を行う。
端末1から拠点2の端末2にアクセスを行う場合には、端末1は、端末2の仮想IPアドレスをトンネル処理(カプセル化処理)したパケットをVPN GW1に送信すればよい。
例えば上述の拠点1の端末1のIPアドレスが192.168.2.2の場合、端末1からVPN GW1(IPアドレス192.168.1.100)にトンネリング接続を行う。
端末1から拠点2の端末2にアクセスを行う場合には、端末1は、端末2の仮想IPアドレスをトンネル処理(カプセル化処理)したパケットをVPN GW1に送信すればよい。
上述のNAT方式のみを使用した通信方法では、適用対象が、VPN GWと同一のネットワークセグメントにある端末のみに限られるという課題がある。
トンネリング方式のみを使用した通信方法では、トンネリング接続機能を持たない端末(シーケンサ等の非PC(Personal Computer)機器など)をVPN接続できないという課題がある。
NAT方式とトンネリング方式の両方を使用した通信方法では、拠点内の端末をVPN GWに登録する際に、その端末とVPN GWのネットワーク内の関係に応じて、どのような中継方式でVPN接続するかをユーザが選択し、選択した接続方式を設定する必要がある。
そのため、VPN GWの設置に高度なネットワークの知識が必要となり、VPN GWの設置を円滑に進められないという課題がある。
トンネリング方式のみを使用した通信方法では、トンネリング接続機能を持たない端末(シーケンサ等の非PC(Personal Computer)機器など)をVPN接続できないという課題がある。
NAT方式とトンネリング方式の両方を使用した通信方法では、拠点内の端末をVPN GWに登録する際に、その端末とVPN GWのネットワーク内の関係に応じて、どのような中継方式でVPN接続するかをユーザが選択し、選択した接続方式を設定する必要がある。
そのため、VPN GWの設置に高度なネットワークの知識が必要となり、VPN GWの設置を円滑に進められないという課題がある。
本発明は上記のような課題を解決することを主な目的とする。
より具体的には、本発明は、ユーザに負担をかけることなく、複数の通信方式の中から適切な通信方式を選択する構成を得ることを主な目的とする。
より具体的には、本発明は、ユーザに負担をかけることなく、複数の通信方式の中から適切な通信方式を選択する構成を得ることを主な目的とする。
本発明に係る中継装置は、
複数のネットワークセグメントに分割されている内部ネットワークのいずれかのネットワークセグメントに属し、
前記内部ネットワークと前記内部ネットワーク外の外部ネットワークとの間の通信を、複数の通信方式の中から選択された通信方式に対応させて中継する中継装置であって、
前記内部ネットワークに属するいずれかの通信装置から、当該通信装置の通信アドレス及び前記内部ネットワークに属する他の通信装置の通信アドレスのいずれかを、通信方式の選択対象である選択対象通信装置の通信アドレスとして、通知するアドレス通知情報を受信するアドレス通知情報受信部と、
前記選択対象通信装置の通信アドレスと前記中継装置の通信アドレスとに基づき、前記選択対象通信装置が前記中継装置と同じネットワークセグメントに属しているか否かを判定するセグメント判定部と、
前記セグメント判定部による判定結果に基づき、前記選択対象通信装置と前記外部ネットワークとの間の通信方式を前記複数の通信方式の中から選択する通信方式選択部とを有することを特徴とする。
複数のネットワークセグメントに分割されている内部ネットワークのいずれかのネットワークセグメントに属し、
前記内部ネットワークと前記内部ネットワーク外の外部ネットワークとの間の通信を、複数の通信方式の中から選択された通信方式に対応させて中継する中継装置であって、
前記内部ネットワークに属するいずれかの通信装置から、当該通信装置の通信アドレス及び前記内部ネットワークに属する他の通信装置の通信アドレスのいずれかを、通信方式の選択対象である選択対象通信装置の通信アドレスとして、通知するアドレス通知情報を受信するアドレス通知情報受信部と、
前記選択対象通信装置の通信アドレスと前記中継装置の通信アドレスとに基づき、前記選択対象通信装置が前記中継装置と同じネットワークセグメントに属しているか否かを判定するセグメント判定部と、
前記セグメント判定部による判定結果に基づき、前記選択対象通信装置と前記外部ネットワークとの間の通信方式を前記複数の通信方式の中から選択する通信方式選択部とを有することを特徴とする。
本発明に係る中継装置は、選択対象通信装置が中継装置と同じサブネットワークに属しているか否かを判定し、判定結果に基づき選択対象通信装置と外部ネットワークとの間の通信方式を選択している。
このため、本発明によれば、ユーザに負担をかけることなく、適切な通信方式を選択することができる。
このため、本発明によれば、ユーザに負担をかけることなく、適切な通信方式を選択することができる。
実施の形態1.
以下では、本発明に係るVPNシステムの実施の形態について説明する。
以下に説明する実施の形態は、本発明の一例を示すものであって、具体的構成を限定するものではない。
以下では、本発明に係るVPNシステムの実施の形態について説明する。
以下に説明する実施の形態は、本発明の一例を示すものであって、具体的構成を限定するものではない。
図1は、本実施の形態に係るVPNシステムの構成例を示す。
図1において、拠点1と拠点2の間で外部ネットワーク及び管理サーバ3を介してVPN接続が行われる。
拠点1内のネットワーク、拠点2内のネットワークを、それぞれ内部ネットワークともいう。
拠点1のルータ21と拠点2のルータ22と管理サーバ3のVPNサーバ41は外部ネットワークに接続される。
外部ネットワークは有線あるいは無線によるインターネットを用いることができる。
なお、図1では省略されているが、外部ネットワークと内部ネットワークとの接続部分にはファイアウォールやプロキシーサーバが配置されていてもよい。
また、複数台のルータをカスケード接続してもよい。
拠点1内のネットワーク、拠点2内のネットワークを、それぞれ内部ネットワークともいう。
拠点1のルータ21と拠点2のルータ22と管理サーバ3のVPNサーバ41は外部ネットワークに接続される。
外部ネットワークは有線あるいは無線によるインターネットを用いることができる。
なお、図1では省略されているが、外部ネットワークと内部ネットワークとの接続部分にはファイアウォールやプロキシーサーバが配置されていてもよい。
また、複数台のルータをカスケード接続してもよい。
拠点1のプライベートネットワーク(内部ネットワーク)は、ネットワークセグメント1(192.168.1.0/24)及びネットワークセグメント2(192.168.2.0/24)に分割される。
そして、ネットワークセグメント1とネットワークセグメント2が、ルータ21を介して外部ネットワークに接続される。
ネットワークセグメント1には、VPN GW11と端末31が接続され、ネットワークセグメント2には、端末32及び端末33が接続されている。
拠点2のプライベートネットワークは、ネットワークセグメント3(192.168.1.0/24)がルータ22を介して外部ネットワークに接続されている。
ネットワークセグメント3にはVPN GW12と端末34が接続されている。
VPN GW11及びVPN GW12は、仮想ネットワーク管理装置である。
VPN GW11及びVPN GW12は、VPNサーバ41との間でVPN接続を行う。
端末31〜34は、例えば、PC、サーバ、タブレット、スマートフォン等のユーザインタフェースを含むコンピューティングデバイスである。
また、端末31〜34は、シーケンサ、生産装置、電力計測機器等を含むネットワーク接続機器であってもよい。
VPN GW11及びVPN GW12は、拠点内の端末と外部ネットワークとの間の通信方式を複数の通信方式の中から選択する。
また、VPN GW11及びVPN GW12は、拠点内の端末と外部ネットワークとの間の通信を、選択した通信方式に対応させて中継する。
なお、VPN GW11及びVPN GW12は、中継装置の例に相当する。
また、端末31〜34は、通信装置の例に相当する。
そして、ネットワークセグメント1とネットワークセグメント2が、ルータ21を介して外部ネットワークに接続される。
ネットワークセグメント1には、VPN GW11と端末31が接続され、ネットワークセグメント2には、端末32及び端末33が接続されている。
拠点2のプライベートネットワークは、ネットワークセグメント3(192.168.1.0/24)がルータ22を介して外部ネットワークに接続されている。
ネットワークセグメント3にはVPN GW12と端末34が接続されている。
VPN GW11及びVPN GW12は、仮想ネットワーク管理装置である。
VPN GW11及びVPN GW12は、VPNサーバ41との間でVPN接続を行う。
端末31〜34は、例えば、PC、サーバ、タブレット、スマートフォン等のユーザインタフェースを含むコンピューティングデバイスである。
また、端末31〜34は、シーケンサ、生産装置、電力計測機器等を含むネットワーク接続機器であってもよい。
VPN GW11及びVPN GW12は、拠点内の端末と外部ネットワークとの間の通信方式を複数の通信方式の中から選択する。
また、VPN GW11及びVPN GW12は、拠点内の端末と外部ネットワークとの間の通信を、選択した通信方式に対応させて中継する。
なお、VPN GW11及びVPN GW12は、中継装置の例に相当する。
また、端末31〜34は、通信装置の例に相当する。
拠点1のネットワークセグメント1と拠点2のネットワークセグメント3は同じネットワークアドレス192.168.1.0/24が使用されている。
このため、VPNにより2拠点を実IPアドレスを用いて接続すると、IPアドレスが重複して通信を行うことができない場合がある。
例えば、端末31と端末34はIPアドレスが重複する。
そのため、VPN GW〜VPNサーバ〜VPN GWの間のVPN上では、端末がユニークに識別可能な仮想IPアドレスを使用する。
以下では仮想IPアドレスの管理、払い出しはVPNサーバ41で集中管理する場合の例を説明する。
しかしながら、各VPN GWが仮想IPアドレスの管理及び払い出しを行う構成であってもよい。
本実施の形態では、以下の仮想IPアドレスを想定する。
拠点1のネットワークアドレスを10.10.10.0/24と想定する。
拠点2のネットワークアドレスを10.10.20.0/24と想定する。
端末31の仮想IPアドレスを10.10.10.2と想定する。
端末32の仮想IPアドレスを10.10.10.3と想定する。
端末33の仮想IPアドレスを10.10.10.4と想定する。
端末34の仮想IPアドレスを10.10.20.2と想定する。
このため、VPNにより2拠点を実IPアドレスを用いて接続すると、IPアドレスが重複して通信を行うことができない場合がある。
例えば、端末31と端末34はIPアドレスが重複する。
そのため、VPN GW〜VPNサーバ〜VPN GWの間のVPN上では、端末がユニークに識別可能な仮想IPアドレスを使用する。
以下では仮想IPアドレスの管理、払い出しはVPNサーバ41で集中管理する場合の例を説明する。
しかしながら、各VPN GWが仮想IPアドレスの管理及び払い出しを行う構成であってもよい。
本実施の形態では、以下の仮想IPアドレスを想定する。
拠点1のネットワークアドレスを10.10.10.0/24と想定する。
拠点2のネットワークアドレスを10.10.20.0/24と想定する。
端末31の仮想IPアドレスを10.10.10.2と想定する。
端末32の仮想IPアドレスを10.10.10.3と想定する。
端末33の仮想IPアドレスを10.10.10.4と想定する。
端末34の仮想IPアドレスを10.10.20.2と想定する。
VPN GW11は、拠点1内の登録された端末から拠点2に対応する仮想IPアドレスを有する通信パケットを受信する。
そして、VPN GW11は、VPNサーバ41との間のVPNトンネルを通じてその通信パケットをVPNサーバ41に転送する。
VPNサーバ41は、その通信パケットの仮想IPアドレスにより、拠点2にルーティングを行う。
そして、VPNサーバ41は、VPNサーバ41とVPN GW12との間のVPNトンネルを通じてその通信パケットをVPN GW12に送信する。
VPN GW12は、受信した通信パケットを対応する拠点2内の端末に送信する。
以上述べたように、拠点間にてプライベートIPアドレスが重複する場合であっても拠点間の通信が可能となる。
また、管理サーバ3は、本実施の形態においてはVPNの通信データを中継するが、拠点間の接続管理のみを管理サーバで行い、管理サーバ3を経由せずに拠点1と拠点2の間でピアツーピア通信が行われる構成としてもよい。
そして、VPN GW11は、VPNサーバ41との間のVPNトンネルを通じてその通信パケットをVPNサーバ41に転送する。
VPNサーバ41は、その通信パケットの仮想IPアドレスにより、拠点2にルーティングを行う。
そして、VPNサーバ41は、VPNサーバ41とVPN GW12との間のVPNトンネルを通じてその通信パケットをVPN GW12に送信する。
VPN GW12は、受信した通信パケットを対応する拠点2内の端末に送信する。
以上述べたように、拠点間にてプライベートIPアドレスが重複する場合であっても拠点間の通信が可能となる。
また、管理サーバ3は、本実施の形態においてはVPNの通信データを中継するが、拠点間の接続管理のみを管理サーバで行い、管理サーバ3を経由せずに拠点1と拠点2の間でピアツーピア通信が行われる構成としてもよい。
次に、図2及び図3を参照して、VPN GW11及びVPNサーバ41のより詳細な説明を行う。
なお、VPN GW12はVPN GW11と同様の構成であるため説明を省略する。
なお、VPN GW12はVPN GW11と同様の構成であるため説明を省略する。
図2に示すように、VPN GW11は、LAN(Local Area Network)インタフェース部110を介して拠点内のプライベートネットワークに接続される。
また、VPN GW11は、VPN接続クライアント部120、アドレス・ポート変換部130、トンネリング接続部140、アドレス判定部150、接続方式設定部160、接続設定サーバ部170を備える。
また、VPN GW11は、VPN接続クライアント部120、アドレス・ポート変換部130、トンネリング接続部140、アドレス判定部150、接続方式設定部160、接続設定サーバ部170を備える。
図3に示すように、VPNサーバ41は、VPN接続管理部410、VPN接続サーバ部420、仮想IPアドレス割当部430を備える。
VPN GW11において、LANインタフェース部110は、前述の通り、有線LANに対応したインタフェースであってもよいし、無線LANに対応したインタフェースであってもよい。
VPN GW11が有線LANに接続されている場合は、LANインタフェース部110として、例えば、イーサネット(登録商標)のインタフェースを用いることができる。
また、図2では、1つのLANインタフェース部を図示しているが、VPN GW11に2つ以上のLANインタフェースを持たせることも可能である。
例えば、VPNに接続するためのLANインタフェースと、拠点内の端末と接続するためのLANインタフェースとを持たせるという構成を取ることもできる。
VPN GW11が有線LANに接続されている場合は、LANインタフェース部110として、例えば、イーサネット(登録商標)のインタフェースを用いることができる。
また、図2では、1つのLANインタフェース部を図示しているが、VPN GW11に2つ以上のLANインタフェースを持たせることも可能である。
例えば、VPNに接続するためのLANインタフェースと、拠点内の端末と接続するためのLANインタフェースとを持たせるという構成を取ることもできる。
VPN接続クライアント部120は、VPN接続サーバ部420との間でVPNトンネルを確立する。
VPNトンネルの確立は、周知のVPNソフトウェアやハードウェアを利用して実現することができる。
本実施の形態においては、OpenVPNにてVPNトンネルを確立する例にて説明を行う。
VPN接続に先立って、VPN GW11の管理者は、VPNサーバ41のVPN接続管理部410にアクセスし、VPN GW11及び拠点内のVPN接続端末の情報を登録する。
VPNトンネルの確立は、周知のVPNソフトウェアやハードウェアを利用して実現することができる。
本実施の形態においては、OpenVPNにてVPNトンネルを確立する例にて説明を行う。
VPN接続に先立って、VPN GW11の管理者は、VPNサーバ41のVPN接続管理部410にアクセスし、VPN GW11及び拠点内のVPN接続端末の情報を登録する。
VPN接続管理部410は、例えばWebアプリケーション等により実装される。
VPN GW11の管理者が、拠点内の端末からWebブラウザあるいは専用クライアントアプリケーションを用いてVPN接続管理部410にアクセスし、VPN GWの識別子、VPNに接続される拠点内の端末のIPアドレスをVPN接続管理部410に登録する。
登録されたVPN GW用の仮想IPアドレス、登録された端末用の仮想IPアドレスが仮想IPアドレス割当部430により割り当てられる。
そして、仮想IPアドレス割当部430により割り当てられた仮想IPアドレスが、VPN接続サーバ部420に保存される。
仮想IPアドレスの割当方法は、同じVPNに接続されるVPN GWや端末がユニークに識別できればいかなる方法でもよい。
例えば前述のように、VPN GWごとに、VPN GWの配下の端末に利用可能な仮想IPアドレスの範囲を予め割り当てておく方法などが利用できる。
VPN GW11の管理者が、拠点内の端末からWebブラウザあるいは専用クライアントアプリケーションを用いてVPN接続管理部410にアクセスし、VPN GWの識別子、VPNに接続される拠点内の端末のIPアドレスをVPN接続管理部410に登録する。
登録されたVPN GW用の仮想IPアドレス、登録された端末用の仮想IPアドレスが仮想IPアドレス割当部430により割り当てられる。
そして、仮想IPアドレス割当部430により割り当てられた仮想IPアドレスが、VPN接続サーバ部420に保存される。
仮想IPアドレスの割当方法は、同じVPNに接続されるVPN GWや端末がユニークに識別できればいかなる方法でもよい。
例えば前述のように、VPN GWごとに、VPN GWの配下の端末に利用可能な仮想IPアドレスの範囲を予め割り当てておく方法などが利用できる。
VPN GW11のアドレス・ポート変換部130は、LANインタフェース部110がLANから受信した通信パケット及びVPN接続クライアント部120がVPNから受信した通信パケットのIPアドレス及びポート番号の変換を行う。
後述する接続方式設定部160は、図6に示す設定結果情報を保持している。
設定結果情報は、実IPアドレスと仮想IPアドレスと接続方式(NAT方式、トンネリング方式、NAPT方式)とが対応付けられている情報である。
アドレス・ポート変換部130は、設定結果情報を参照して、IPアドレス及びポート番号の変換を行う。
なお、設定結果情報の詳細は、後述する。
後述する接続方式設定部160は、図6に示す設定結果情報を保持している。
設定結果情報は、実IPアドレスと仮想IPアドレスと接続方式(NAT方式、トンネリング方式、NAPT方式)とが対応付けられている情報である。
アドレス・ポート変換部130は、設定結果情報を参照して、IPアドレス及びポート番号の変換を行う。
なお、設定結果情報の詳細は、後述する。
アドレス・ポート変換部130によるIPアドレス及びポート番号の変換は、次の規則に基づいて行われる。
(1)NAT方式(VPNから受信したパケット)
VPN接続クライアント部120が受信した通信パケットの送信先IPアドレスが設定結果情報においてNAT方式と対応付けて登録されている仮想IPアドレスに合致する場合に、アドレス・ポート変換部130は、仮想IPアドレスである送信先IPアドレスを、対応する実IPアドレスに変換する。
そして、アドレス・ポート変換部130は、アドレス変換後の通信パケットをLANインタフェース部110に送信する。
(2)NAT方式(拠点内の端末から受信したパケット)
LANインタフェース部110が受信した通信パケットの送信元IPアドレスが設定結果情報においてNAT方式と対応付けて登録されている実IPアドレスに合致し、送信先IPアドレスが設定結果情報においてNAT方式と対応付けて登録されている仮想IPアドレスに合致する場合に、アドレス・ポート変換部130は、実IPアドレスである送信元IPアドレスを、対応する仮想IPアドレスに変換する。
そして、アドレス・ポート変換部130は、アドレス変換後の通信パケットをVPN接続クライアント部120に送信する。
VPN接続クライアント部120が受信した通信パケットの送信先IPアドレスが設定結果情報においてNAT方式と対応付けて登録されている仮想IPアドレスに合致する場合に、アドレス・ポート変換部130は、仮想IPアドレスである送信先IPアドレスを、対応する実IPアドレスに変換する。
そして、アドレス・ポート変換部130は、アドレス変換後の通信パケットをLANインタフェース部110に送信する。
(2)NAT方式(拠点内の端末から受信したパケット)
LANインタフェース部110が受信した通信パケットの送信元IPアドレスが設定結果情報においてNAT方式と対応付けて登録されている実IPアドレスに合致し、送信先IPアドレスが設定結果情報においてNAT方式と対応付けて登録されている仮想IPアドレスに合致する場合に、アドレス・ポート変換部130は、実IPアドレスである送信元IPアドレスを、対応する仮想IPアドレスに変換する。
そして、アドレス・ポート変換部130は、アドレス変換後の通信パケットをVPN接続クライアント部120に送信する。
(3)NAPT方式(VPNから受信したパケット)
VPN接続クライアント部120が受信した通信パケットの送信先IPアドレスが設定結果情報においてNAPT方式と対応付けて登録されている仮想IPアドレスに合致する場合に、アドレス・ポート変換部130は、仮想IPアドレスである送信先IPアドレスを、対応する実IPアドレスに変換する。
さらに、アドレス・ポート変換部130は、送信元IPアドレス及び送信元ポート番号及びVPN GW11にて新たに取得したポート番号を関連付けて変換テーブルに登録する。
また、アドレス・ポート変換部130は、送信元IPアドレスをVPN GW11の拠点内IPアドレスに変換し、送信元ポート番号を新たに取得したポート番号に変換する。
そして、アドレス・ポート変換部130は、アドレス及びポート番号を変換した後の通信パケットをLANインタフェース部110に送信する。
VPN接続クライアント部120が受信した通信パケットの送信先IPアドレスが設定結果情報においてNAPT方式と対応付けて登録されている仮想IPアドレスに合致する場合に、アドレス・ポート変換部130は、仮想IPアドレスである送信先IPアドレスを、対応する実IPアドレスに変換する。
さらに、アドレス・ポート変換部130は、送信元IPアドレス及び送信元ポート番号及びVPN GW11にて新たに取得したポート番号を関連付けて変換テーブルに登録する。
また、アドレス・ポート変換部130は、送信元IPアドレスをVPN GW11の拠点内IPアドレスに変換し、送信元ポート番号を新たに取得したポート番号に変換する。
そして、アドレス・ポート変換部130は、アドレス及びポート番号を変換した後の通信パケットをLANインタフェース部110に送信する。
(4)NAPT方式(拠点内の端末から受信したパケット)
LANインタフェース部110が受信した通信パケットの送信元IPアドレスが設定結果情報においてNAPT方式と対応付けて登録されている実IPアドレスに合致する場合に、アドレス・ポート変換部130は、実IPアドレスである送信元IPアドレスを、対応する仮想IPアドレスに変換する。
また、アドレス・ポート変換部130は、送信先ポート番号を元に(3)の変換テーブルを検索し、合致するレコードの送信元IPアドレスと送信元ポート番号をそれぞれ送信先IPアドレスと送信先ポート番号にセットする。
そして、アドレス・ポート変換部130は、アドレス及びポート番号を変換した後の通信パケットをVPN接続クライアント部120に送信する。
LANインタフェース部110が受信した通信パケットの送信元IPアドレスが設定結果情報においてNAPT方式と対応付けて登録されている実IPアドレスに合致する場合に、アドレス・ポート変換部130は、実IPアドレスである送信元IPアドレスを、対応する仮想IPアドレスに変換する。
また、アドレス・ポート変換部130は、送信先ポート番号を元に(3)の変換テーブルを検索し、合致するレコードの送信元IPアドレスと送信元ポート番号をそれぞれ送信先IPアドレスと送信先ポート番号にセットする。
そして、アドレス・ポート変換部130は、アドレス及びポート番号を変換した後の通信パケットをVPN接続クライアント部120に送信する。
図4は、アドレス・ポート変換部130がIPアドレス及びポート番号を変換するための設定例を示す。
図4は、Linux(登録商標) OS(Operating System)に搭載されているiptablesを用いた場合の設定例を示す。
図4は、Linux(登録商標) OS(Operating System)に搭載されているiptablesを用いた場合の設定例を示す。
図4の例では、拠点1の端末31を宛先とする通信パケットに記述されているアドレス及び拠点1の端末31からの通信パケットに記述されているアドレスはNAT方式により変換される。
具体的には、図4の5行目及び17行目に、上記(1)NAT方式(VPNから受信したパケット)の変換の設定が記述されている。
図4の設定例で定義されている仮想IPアドレスは10.10.10.2であり、実IPアドレスは192.168.1.2である。
また、7行目及び20行目に、上記(2)NAT方式(拠点内の端末から受信したパケット)の変換の設定が記述されている。
送信先IPアドレスとして定義されている仮想IPアドレスは、拠点2の仮想IPアドレス範囲である10.10.20.0/24である。
具体的には、図4の5行目及び17行目に、上記(1)NAT方式(VPNから受信したパケット)の変換の設定が記述されている。
図4の設定例で定義されている仮想IPアドレスは10.10.10.2であり、実IPアドレスは192.168.1.2である。
また、7行目及び20行目に、上記(2)NAT方式(拠点内の端末から受信したパケット)の変換の設定が記述されている。
送信先IPアドレスとして定義されている仮想IPアドレスは、拠点2の仮想IPアドレス範囲である10.10.20.0/24である。
また、図4の例では、拠点1の端末33を宛先とする通信パケットに記述されているアドレスとポート番号及び拠点1の端末33からの通信パケットに記述されているアドレスとポート番号はNAPT方式により変換される。
具体的には、6行目、9行目、10行目、11行目及び18行目に、上記(3)NAPT方式(VPNから受信したパケット)の変換の設定が記述されている。
ここでは送信先IPアドレスがNAPT方式と対応付けて登録されている仮想IPアドレスに合致するかどうかの判定として2段階のステップを踏んでいる。
まず、送信先IPアドレスが、6行目に定義されている仮想IPアドレスに合致する場合に、送信先IPアドレスを、6行目に記載の実IPアドレスに変換する。
そして、9、10行目にて、変換後の実IPアドレスがNAPT方式を利用しないIPアドレス(ここではセグメント1のアドレス及び端末32の仮想IPアドレス10.10.10.3)に合致する場合には、現在対象としている送信先IPアドレスが含まれた通信パケットにはNAPT方式を利用しないと判定する。
それ以外、すなわち、変換後の実IPアドレスがNAPT方式を利用するIPアドレスに合致する場合には、11行目に進んで送信元IPアドレス・ポートの変換を行う。
11行目では、送信元IPアドレスが拠点1と異なる拠点の仮想IPアドレス(ここでは拠点2の仮想IPアドレス範囲10.10.20.0/24)であり、送信先IPアドレスがLANインタフェース部110に転送されるべきアドレスである場合に、NAPT方式による送信元IPアドレス・ポート変換を行う。変換前の送信元IPアドレス、ポート番号および変換後のポート番号の関連付けはiptablesにて管理される。
6行目に記載の仮想IPアドレスは10.10.10.4であり、実IPアドレスは192.168.2.3である。
具体的には、6行目、9行目、10行目、11行目及び18行目に、上記(3)NAPT方式(VPNから受信したパケット)の変換の設定が記述されている。
ここでは送信先IPアドレスがNAPT方式と対応付けて登録されている仮想IPアドレスに合致するかどうかの判定として2段階のステップを踏んでいる。
まず、送信先IPアドレスが、6行目に定義されている仮想IPアドレスに合致する場合に、送信先IPアドレスを、6行目に記載の実IPアドレスに変換する。
そして、9、10行目にて、変換後の実IPアドレスがNAPT方式を利用しないIPアドレス(ここではセグメント1のアドレス及び端末32の仮想IPアドレス10.10.10.3)に合致する場合には、現在対象としている送信先IPアドレスが含まれた通信パケットにはNAPT方式を利用しないと判定する。
それ以外、すなわち、変換後の実IPアドレスがNAPT方式を利用するIPアドレスに合致する場合には、11行目に進んで送信元IPアドレス・ポートの変換を行う。
11行目では、送信元IPアドレスが拠点1と異なる拠点の仮想IPアドレス(ここでは拠点2の仮想IPアドレス範囲10.10.20.0/24)であり、送信先IPアドレスがLANインタフェース部110に転送されるべきアドレスである場合に、NAPT方式による送信元IPアドレス・ポート変換を行う。変換前の送信元IPアドレス、ポート番号および変換後のポート番号の関連付けはiptablesにて管理される。
6行目に記載の仮想IPアドレスは10.10.10.4であり、実IPアドレスは192.168.2.3である。
また、8行目、11行目及び21行目にて、上記(4)NAPT方式(拠点内の端末から受信したパケット)の変換の設定を行う。
まず、11行目にて上記(3)の逆変換を実行する。すなわち、送信先IPアドレス、ポート番号が、上記(3)の変換後の送信元IPアドレス、ポート番号に合致する場合に、送信先IPアドレス、ポート番号を(3)の変換前の送信元IPアドレス、ポート番号に変換する。8行目、21行目には、送信元IPアドレスの変換の設定が記述されている。送信元IPアドレスが実IPアドレス192.168.2.3であり、送信先IPアドレスが拠点2の仮想IPアドレス範囲である10.10.20.0/24の場合に、送信元IPアドレスを仮想IPアドレス10.10.10.4に変換する。
なお、10行目、19行目、22行目は、端末32がトンネリング方式を使用する場合の設定例を示している。
つまり、10行目、19行目、22行目は、アドレス変換を行わずにトンネリング接続部140とVPN接続クライアント部120の間の通信パケットの転送のみを行う設定を示す。
また、図4でeth0はLANインタフェース部110のインタフェース名を示す。
また、tun0はVPN接続クライアント部120のインタフェース名を示す。
図4の設定は一例であり、同等のことを別の設定により実現可能であることは当業者には明らかである。
図4の設定には、接続方式設定部160により生成された設定結果情報に示されるアドレス及び接続方式が反映されている。
まず、11行目にて上記(3)の逆変換を実行する。すなわち、送信先IPアドレス、ポート番号が、上記(3)の変換後の送信元IPアドレス、ポート番号に合致する場合に、送信先IPアドレス、ポート番号を(3)の変換前の送信元IPアドレス、ポート番号に変換する。8行目、21行目には、送信元IPアドレスの変換の設定が記述されている。送信元IPアドレスが実IPアドレス192.168.2.3であり、送信先IPアドレスが拠点2の仮想IPアドレス範囲である10.10.20.0/24の場合に、送信元IPアドレスを仮想IPアドレス10.10.10.4に変換する。
なお、10行目、19行目、22行目は、端末32がトンネリング方式を使用する場合の設定例を示している。
つまり、10行目、19行目、22行目は、アドレス変換を行わずにトンネリング接続部140とVPN接続クライアント部120の間の通信パケットの転送のみを行う設定を示す。
また、図4でeth0はLANインタフェース部110のインタフェース名を示す。
また、tun0はVPN接続クライアント部120のインタフェース名を示す。
図4の設定は一例であり、同等のことを別の設定により実現可能であることは当業者には明らかである。
図4の設定には、接続方式設定部160により生成された設定結果情報に示されるアドレス及び接続方式が反映されている。
トンネリング接続部140は、拠点内の端末からのトンネリング接続要求を受け付けて拠点内の端末とトンネリング接続部140との間にトンネリング接続を確立する。
トンネリング接続部140は、トンネルを介して受信したパケットをVPN接続クライアント部120に送信する。
また、トンネリング接続部140は、VPN接続クライアント部120が受信したパケットの送信先IPアドレスが設定結果情報においてトンネリング方式と対応付けて登録されている仮想IPアドレスに合致する場合に、その仮想IPアドレスに関連するトンネルに対してパケットを送信する。
トンネリング接続部140は、トンネルを介して受信したパケットをVPN接続クライアント部120に送信する。
また、トンネリング接続部140は、VPN接続クライアント部120が受信したパケットの送信先IPアドレスが設定結果情報においてトンネリング方式と対応付けて登録されている仮想IPアドレスに合致する場合に、その仮想IPアドレスに関連するトンネルに対してパケットを送信する。
トンネリング接続部140としてはPPTP(Point−to−Point Tunneling Protocol)サーバ等が利用可能である。
PPTPサーバは、Linux(登録商標) OS上で動作するpptpdソフトウェアで実現が可能である。
なお、このトンネリング接続は拠点内の通信を行うものであるため、データの暗号化を行う必要は無い。
暗号化を行わないことによりVPN GWの処理量を削減することができる。
端末32からPPTPサーバへの接続には、Windows(登録商標) OSの場合、OSに標準で付属するインターネット接続(VPN)の機能を使用することができる。
PPTPサーバは、Linux(登録商標) OS上で動作するpptpdソフトウェアで実現が可能である。
なお、このトンネリング接続は拠点内の通信を行うものであるため、データの暗号化を行う必要は無い。
暗号化を行わないことによりVPN GWの処理量を削減することができる。
端末32からPPTPサーバへの接続には、Windows(登録商標) OSの場合、OSに標準で付属するインターネット接続(VPN)の機能を使用することができる。
接続設定サーバ部170は、例えばWebアプリケーション等により実装される。
接続設定サーバ部170は、VPNに接続される拠点内の端末のIPアドレスの登録及び接続方式の設定を行う。
ユーザが拠点内の端末においてWebブラウザあるいは専用クライアントアプリケーションを操作して、IPアドレスの登録をVPN接続管理部410又は接続設定サーバ部170に要求し、VPN接続管理部410又は接続設定サーバ部170がIPアドレスの登録及び接続方式の設定を行う。
VPN接続管理部410と接続設定サーバ部170との間のIPアドレスの登録の同期方法は例えば以下の2つがある。
1つ目は、VPN接続管理部410が登録した複数のIPアドレスをVPN GWに配信し、接続設定サーバ部170が複数のIPアドレスを登録する。
2つ目は、接続設定サーバ部170が登録した複数のIPアドレスをVPN接続管理部410にアップロードし、VPN接続管理部410が複数のIPアドレスを登録する。
また、接続設定サーバ部170は、拠点内の端末からのアクセスにより、新しくVPNに接続される端末の登録の指示を受け付ける。
接続設定サーバ部170は、例えば、登録作業を実行する端末(以下、登録実行端末ともいう)に対して、IPアドレスの入力のための画面情報(Web画面)を送信する。
そして、ユーザが、登録実行端末に表示されたWeb画面上のIPアドレスの入力用のテキスト入力欄に登録対象の端末(選択対象通信装置)のIPアドレスを入力する。
または、ユーザは、登録実行端末に表示されたWeb画面上の登録対象候補のIPアドレスの一覧からチェックボックス等により登録対象の端末(選択対象通信装置)のIPアドレスを選択する。
ユーザは、登録実行端末(ユーザが現在操作している端末)と同じネットワークセグメントに属する、登録実行端末以外の端末のIPアドレスを登録対象にすることができる。
そして、ユーザがWeb画面上の登録ボタンを押下することで、登録対象のIPアドレスの情報が端末からVPN GW11に送信される。
また、接続設定サーバ部170は、登録実行端末のIPアドレスを取得する。
接続設定サーバ部170がWebアプリケーションの場合、接続設定サーバ部170は、RFC3875(The Common Gateway Interface (CGI) Version 1.1)にて定められているREMOTE_ADDRにより、ブラウザを実行した端末のIPアドレスを知ることができる。
また、例えば、接続設定サーバ部170がJava(登録商標)によるサーブレットであれば、接続設定サーバ部170は、getRemoteAddr()なるAPIを使用することにより、ブラウザを実行した端末のIPアドレスを知ることができる。
その他の実行環境が用いられている場合にも、接続設定サーバ部170は、同等の機能により、ブラウザを実行した端末のIPアドレスを知ることができる。
なお、接続設定サーバ部170は、アドレス通知情報受信部及び画面情報送信部の例に相当する。
接続設定サーバ部170は、VPNに接続される拠点内の端末のIPアドレスの登録及び接続方式の設定を行う。
ユーザが拠点内の端末においてWebブラウザあるいは専用クライアントアプリケーションを操作して、IPアドレスの登録をVPN接続管理部410又は接続設定サーバ部170に要求し、VPN接続管理部410又は接続設定サーバ部170がIPアドレスの登録及び接続方式の設定を行う。
VPN接続管理部410と接続設定サーバ部170との間のIPアドレスの登録の同期方法は例えば以下の2つがある。
1つ目は、VPN接続管理部410が登録した複数のIPアドレスをVPN GWに配信し、接続設定サーバ部170が複数のIPアドレスを登録する。
2つ目は、接続設定サーバ部170が登録した複数のIPアドレスをVPN接続管理部410にアップロードし、VPN接続管理部410が複数のIPアドレスを登録する。
また、接続設定サーバ部170は、拠点内の端末からのアクセスにより、新しくVPNに接続される端末の登録の指示を受け付ける。
接続設定サーバ部170は、例えば、登録作業を実行する端末(以下、登録実行端末ともいう)に対して、IPアドレスの入力のための画面情報(Web画面)を送信する。
そして、ユーザが、登録実行端末に表示されたWeb画面上のIPアドレスの入力用のテキスト入力欄に登録対象の端末(選択対象通信装置)のIPアドレスを入力する。
または、ユーザは、登録実行端末に表示されたWeb画面上の登録対象候補のIPアドレスの一覧からチェックボックス等により登録対象の端末(選択対象通信装置)のIPアドレスを選択する。
ユーザは、登録実行端末(ユーザが現在操作している端末)と同じネットワークセグメントに属する、登録実行端末以外の端末のIPアドレスを登録対象にすることができる。
そして、ユーザがWeb画面上の登録ボタンを押下することで、登録対象のIPアドレスの情報が端末からVPN GW11に送信される。
また、接続設定サーバ部170は、登録実行端末のIPアドレスを取得する。
接続設定サーバ部170がWebアプリケーションの場合、接続設定サーバ部170は、RFC3875(The Common Gateway Interface (CGI) Version 1.1)にて定められているREMOTE_ADDRにより、ブラウザを実行した端末のIPアドレスを知ることができる。
また、例えば、接続設定サーバ部170がJava(登録商標)によるサーブレットであれば、接続設定サーバ部170は、getRemoteAddr()なるAPIを使用することにより、ブラウザを実行した端末のIPアドレスを知ることができる。
その他の実行環境が用いられている場合にも、接続設定サーバ部170は、同等の機能により、ブラウザを実行した端末のIPアドレスを知ることができる。
なお、接続設定サーバ部170は、アドレス通知情報受信部及び画面情報送信部の例に相当する。
図5は、接続設定サーバ部170が登録実行端末に対して送信する端末登録画面(Web画面)の一例を示す。
端末登録画面500には、ラジオボタン501、テキストボックス502、ラジオボタン503、テキストボックス504、登録ボタン505が含まれる。
ラジオボタン501は、登録実行端末(図5の例では端末31)を選択するためのラジオボタンである。
テキストボックス502は、登録実行端末のIPアドレスが表示されるテキストボックスである。
ユーザがラジオボタン501を選択した際に、接続設定サーバ部170が上記の方法にて取得した、登録実行端末のIPアドレスがテキストボックス502に自動で表示される。
なお、この方法に代えて、ユーザが、テキストボックス502に登録実行端末のIPアドレスを入力するようにしてもよい。
ラジオボタン503は、登録実行端末とは異なる他の端末を選択するためのラジオボタンである。
テキストボックス504は、他の端末のIPアドレスを入力するためのテキストボックスである。
登録ボタン505は、IPアドレスの登録を実行するためのボタンである。
ユーザは端末に表示された図5の画面にて、登録対象の端末が、ユーザが利用中の端末(登録実行端末)であるか別の端末であるのかを選択する。
そして、登録対象の端末が別の端末であれば、別の端末のIPアドレスをテキストボックス504に入力する。
登録実行端末のIPアドレス又は別の端末のIPアドレスがテキストボックスに表示された状態で、ユーザが登録ボタン505を押すと、テキストボックス内のIPアドレス(登録対象のIPアドレス)を通知する情報が接続設定サーバ部170に送信される。
なお、図5の画面を表示する前に、ユーザのログイン画面を表示する等のセキュリティ対策が可能であることは当業者には明らかである。
端末登録画面500には、ラジオボタン501、テキストボックス502、ラジオボタン503、テキストボックス504、登録ボタン505が含まれる。
ラジオボタン501は、登録実行端末(図5の例では端末31)を選択するためのラジオボタンである。
テキストボックス502は、登録実行端末のIPアドレスが表示されるテキストボックスである。
ユーザがラジオボタン501を選択した際に、接続設定サーバ部170が上記の方法にて取得した、登録実行端末のIPアドレスがテキストボックス502に自動で表示される。
なお、この方法に代えて、ユーザが、テキストボックス502に登録実行端末のIPアドレスを入力するようにしてもよい。
ラジオボタン503は、登録実行端末とは異なる他の端末を選択するためのラジオボタンである。
テキストボックス504は、他の端末のIPアドレスを入力するためのテキストボックスである。
登録ボタン505は、IPアドレスの登録を実行するためのボタンである。
ユーザは端末に表示された図5の画面にて、登録対象の端末が、ユーザが利用中の端末(登録実行端末)であるか別の端末であるのかを選択する。
そして、登録対象の端末が別の端末であれば、別の端末のIPアドレスをテキストボックス504に入力する。
登録実行端末のIPアドレス又は別の端末のIPアドレスがテキストボックスに表示された状態で、ユーザが登録ボタン505を押すと、テキストボックス内のIPアドレス(登録対象のIPアドレス)を通知する情報が接続設定サーバ部170に送信される。
なお、図5の画面を表示する前に、ユーザのログイン画面を表示する等のセキュリティ対策が可能であることは当業者には明らかである。
アドレス判定部150は、ユーザからの情報(ラジオボタンの選択結果、テキストボックスに記述されている実IPアドレス)を接続設定サーバ部170から入力する。
また、アドレス判定部150は、LANインタフェース部110に設定されたVPN GW11のIPアドレス及びネットマスクを接続設定サーバ部170から入力する。
これらの入力情報に基づき、アドレス判定部150は、以下の3タイプの中から1つのタイプを選択する。
(タイプ1)
登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれるアドレスの場合
例)端末31(IPアドレス192.168.1.2)にて、端末31自身のIPアドレスの登録を行う場合は、端末31のIPアドレスは、VPN GW11と同じネットワークセグメントに含まれる。
(タイプ2)
登録実行端末のIPアドレスが登録対象のIPアドレスであり、かつ、登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれない場合
例)端末32(IPアドレス192.168.2.2)にて、端末32自身の登録を行う場合は、端末32のIPアドレスは、VPN GW11と同じネットワークセグメントに含まれない。
(タイプ3)
登録実行端末のIPアドレスが登録対象のIPアドレスではなく、かつ、登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれない場合
例)端末31(IPアドレス192.168.1.2)にて、端末33(IPアドレス192.168.2.3)の登録を行う場合は、端末33のIPアドレスは、VPN GW11と同じネットワークセグメントに含まれない。
なお、アドレス判定部150は、登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれるか否かを判定し(タイプ1の判定)、登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれない場合に、登録実行端末のIPアドレス=登録対象のIPアドレスであるか否かを判定する(タイプ2、タイプ3の判定)。
アドレス判定部150は、セグメント判定部の例に相当する。
また、アドレス判定部150は、LANインタフェース部110に設定されたVPN GW11のIPアドレス及びネットマスクを接続設定サーバ部170から入力する。
これらの入力情報に基づき、アドレス判定部150は、以下の3タイプの中から1つのタイプを選択する。
(タイプ1)
登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれるアドレスの場合
例)端末31(IPアドレス192.168.1.2)にて、端末31自身のIPアドレスの登録を行う場合は、端末31のIPアドレスは、VPN GW11と同じネットワークセグメントに含まれる。
(タイプ2)
登録実行端末のIPアドレスが登録対象のIPアドレスであり、かつ、登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれない場合
例)端末32(IPアドレス192.168.2.2)にて、端末32自身の登録を行う場合は、端末32のIPアドレスは、VPN GW11と同じネットワークセグメントに含まれない。
(タイプ3)
登録実行端末のIPアドレスが登録対象のIPアドレスではなく、かつ、登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれない場合
例)端末31(IPアドレス192.168.1.2)にて、端末33(IPアドレス192.168.2.3)の登録を行う場合は、端末33のIPアドレスは、VPN GW11と同じネットワークセグメントに含まれない。
なお、アドレス判定部150は、登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれるか否かを判定し(タイプ1の判定)、登録対象のIPアドレスがVPN GW11と同じネットワークセグメントに含まれない場合に、登録実行端末のIPアドレス=登録対象のIPアドレスであるか否かを判定する(タイプ2、タイプ3の判定)。
アドレス判定部150は、セグメント判定部の例に相当する。
接続方式設定部160は、アドレス判定部150による判定結果に基づき、登録対象の端末の接続方式(通信方式)を以下のように選択する。
そして、接続方式設定部160は、アドレス・ポート変換部130あるいはトンネリング接続部140に対して、接続方式や登録対象端末のIPアドレス等の情報の設定を行う。
(タイプ1)
アドレス・ポート変換部130によるNAT方式による接続
(タイプ2)
トンネリング接続部140によるトンネリング方式による接続
(タイプ3)
アドレス・ポート変換部130によるNAPT方式による接続
また、接続方式設定部160は、選択の結果を接続設定サーバ部170に返してもよい。
この場合は、接続設定サーバ部170が、ユーザに対し、接続設定サーバ部170により選択された接続方式を了承するか否かの確認を促す画面を提示するようにしてもよい。
また、接続設定サーバ部170が、追加で必要となる情報(トンネリング接続のパスワード等のパラメータ)をユーザに入力させる画面を提示するようにしてもよい。
さらには、接続設定サーバ部170が、ユーザに対して登録対象端末の設定方法を表示する画面を提示するようにしてもよい。
例えば、接続設定サーバ部170は、NAT方式が選択された場合は登録対象端末のルーティング設定を変更するために、routeコマンドの実行方法を示す。
あるいは、接続設定サーバ部170は、デフォルトゲートウェイの変更方法を示す。
また、トンネリング方式が選択された場合にも、接続設定サーバ部170は、登録対象端末のトンネリング接続の作成方法をOSごとに示す。
さらには、接続設定サーバ部170は、これらの方法を示すのみではなく、登録対象端末でこれらの設定を行うプログラムを、ダウンロード可能としてもよい。例えば、NAT方式が選択された場合に、登録対象端末のルーティング設定を行うために、routeコマンドと入力パラメータ(ルーティング設定内容)を合わせた内容の実行可能プログラムをダウンロードしてユーザが実行可能とすることで、面倒なコマンドおよびパラメータ入力の手間を省くことができる。同様に、トンネリング方式が選択された場合に、登録対象端末のトンネリング接続を自動作成するプログラムを設定内容(接続先IPアドレスや接続パラメータ等)を含めて接続設定サーバ部170が作成し、ユーザにダウンロード、実行させることで、面倒なトンネリング接続作成の手間を省くことができる。
そして、接続方式設定部160は、アドレス・ポート変換部130あるいはトンネリング接続部140に対して、接続方式や登録対象端末のIPアドレス等の情報の設定を行う。
(タイプ1)
アドレス・ポート変換部130によるNAT方式による接続
(タイプ2)
トンネリング接続部140によるトンネリング方式による接続
(タイプ3)
アドレス・ポート変換部130によるNAPT方式による接続
また、接続方式設定部160は、選択の結果を接続設定サーバ部170に返してもよい。
この場合は、接続設定サーバ部170が、ユーザに対し、接続設定サーバ部170により選択された接続方式を了承するか否かの確認を促す画面を提示するようにしてもよい。
また、接続設定サーバ部170が、追加で必要となる情報(トンネリング接続のパスワード等のパラメータ)をユーザに入力させる画面を提示するようにしてもよい。
さらには、接続設定サーバ部170が、ユーザに対して登録対象端末の設定方法を表示する画面を提示するようにしてもよい。
例えば、接続設定サーバ部170は、NAT方式が選択された場合は登録対象端末のルーティング設定を変更するために、routeコマンドの実行方法を示す。
あるいは、接続設定サーバ部170は、デフォルトゲートウェイの変更方法を示す。
また、トンネリング方式が選択された場合にも、接続設定サーバ部170は、登録対象端末のトンネリング接続の作成方法をOSごとに示す。
さらには、接続設定サーバ部170は、これらの方法を示すのみではなく、登録対象端末でこれらの設定を行うプログラムを、ダウンロード可能としてもよい。例えば、NAT方式が選択された場合に、登録対象端末のルーティング設定を行うために、routeコマンドと入力パラメータ(ルーティング設定内容)を合わせた内容の実行可能プログラムをダウンロードしてユーザが実行可能とすることで、面倒なコマンドおよびパラメータ入力の手間を省くことができる。同様に、トンネリング方式が選択された場合に、登録対象端末のトンネリング接続を自動作成するプログラムを設定内容(接続先IPアドレスや接続パラメータ等)を含めて接続設定サーバ部170が作成し、ユーザにダウンロード、実行させることで、面倒なトンネリング接続作成の手間を省くことができる。
アドレス判定部150によりタイプ1と判定された場合は、登録対象端末がVPN GW11と同じネットワークセグメントに属しているので、登録対象端末はVPN GW11をデフォルトゲートウェイに指定することができる。
このため、接続方式設定部160は、アドレス判定部150の判定結果がタイプ1である場合は、NAT方式を選択する。
また、アドレス判定部150によりタイプ2と判定された場合は、登録対象端末と登録実行端末が同じである。
本実施の形態では、登録実行端末はPC機器であることを想定している。
このため、アドレス判定部150によりタイプ2と判定された場合は、登録対象端末(=登録実行端末)がPC機器であるため、登録対象端末において通信パケットのカプセル化処理が可能であり、接続方式設定部160は、トンネリング方式を選択する。
また、アドレス判定部150によりタイプ3と判定された場合は、登録対象端末と登録実行端末が同じではない。
本実施の形態では、PC機器である登録実行端末が、シーケンサ等の非PC機器の登録作業を代行することを想定している。
このため、アドレス判定部150によりタイプ3と判定された場合は、登録対象端末が非PC機器であるため、登録対象端末において通信パケットのカプセル化処理ができず、接続方式設定部160は、NAPT方式を選択する。
このため、接続方式設定部160は、アドレス判定部150の判定結果がタイプ1である場合は、NAT方式を選択する。
また、アドレス判定部150によりタイプ2と判定された場合は、登録対象端末と登録実行端末が同じである。
本実施の形態では、登録実行端末はPC機器であることを想定している。
このため、アドレス判定部150によりタイプ2と判定された場合は、登録対象端末(=登録実行端末)がPC機器であるため、登録対象端末において通信パケットのカプセル化処理が可能であり、接続方式設定部160は、トンネリング方式を選択する。
また、アドレス判定部150によりタイプ3と判定された場合は、登録対象端末と登録実行端末が同じではない。
本実施の形態では、PC機器である登録実行端末が、シーケンサ等の非PC機器の登録作業を代行することを想定している。
このため、アドレス判定部150によりタイプ3と判定された場合は、登録対象端末が非PC機器であるため、登録対象端末において通信パケットのカプセル化処理ができず、接続方式設定部160は、NAPT方式を選択する。
接続方式設定部160は、さらに、設定結果情報をデータベースとして保存するようにしてもよい。
図6に設定結果情報のテーブルの例を示す。
図6において、番号はテーブルのレコードの連番である。
図6に示すように、設定結果情報では、拠点内の実IPアドレスと対応する仮想IPアドレス、及び接続方式が関連付けて記録される。
データベースはRDBMS(Relational DataBase Management System)やファイルなどにより保存することができる。
また、レコードの項目として、端末名や登録日、登録抹消日、ステータス(有効/無効)、ネットマスク、ゲートウェイ、その他の属性項目を設定結果情報に含むようにしてもよい。
なお、接続方式設定部160は、通信方式選択部の例に相当する。
図6に設定結果情報のテーブルの例を示す。
図6において、番号はテーブルのレコードの連番である。
図6に示すように、設定結果情報では、拠点内の実IPアドレスと対応する仮想IPアドレス、及び接続方式が関連付けて記録される。
データベースはRDBMS(Relational DataBase Management System)やファイルなどにより保存することができる。
また、レコードの項目として、端末名や登録日、登録抹消日、ステータス(有効/無効)、ネットマスク、ゲートウェイ、その他の属性項目を設定結果情報に含むようにしてもよい。
なお、接続方式設定部160は、通信方式選択部の例に相当する。
次に動作について説明する。
図7は、本実施の形態に係るVPN GW11のVPN接続端末登録設定動作を示すフローチャートである。
図7は、本実施の形態に係るVPN GW11のVPN接続端末登録設定動作を示すフローチャートである。
ユーザが、ある端末をVPN接続のためにVPN GW11に登録する場合、拠点内の端末(登録実行端末)においてWebブラウザやクライアントアプリケーションを用いて、VPN GW11の接続設定サーバ部170に接続する(S101)。
その際、接続設定サーバ部170は、登録実行端末の実IPアドレスを取得する(S102)。
また、接続設定サーバ部170は、取得した実IPアドレスの表示を含む端末登録画面(図5)を登録実行端末に出力する(S103)。
その際、接続設定サーバ部170は、登録実行端末の実IPアドレスを取得する(S102)。
また、接続設定サーバ部170は、取得した実IPアドレスの表示を含む端末登録画面(図5)を登録実行端末に出力する(S103)。
ユーザはラジオボタン501又はラジオボタン503により登録対象の端末を選択する。
ラジオボタン501を選択した場合は、ユーザは、登録ボタン505を押下する。
登録実行端末とは別の端末を登録する場合には、ユーザは、その登録対象端末(別の端末)の実IPアドレスをテキストボックス504に入力して、登録ボタン505を押下する(S104)。
ラジオボタン501を選択した場合は、ユーザは、登録ボタン505を押下する。
登録実行端末とは別の端末を登録する場合には、ユーザは、その登録対象端末(別の端末)の実IPアドレスをテキストボックス504に入力して、登録ボタン505を押下する(S104)。
接続設定サーバ部170が、ユーザからの情報(ラジオボタンの選択結果、テキストボックスに記述されている実IPアドレス)を受信し、ユーザからの情報と、VPN GW11のIPアドレス及びネットマスクの情報をアドレス判定部150に出力する。
アドレス判定部150は、ユーザからの情報と、VPN GW11のIPアドレス及びネットマスクの情報から、登録のタイプを判定する(S105)。
アドレス判定部150の判定結果がタイプ1である場合には、接続方式設定部160は、NAT方式による接続を選択し、NAT方式による接続の設定を行う(S106)(図4の5、7、17、20行目の記述を生成する)。
アドレス判定部150の判定結果がタイプ2である場合には、接続方式設定部160は、トンネリング方式による接続を選択し、トンネリング方式による接続の設定を行う(S107)(図4の19、22行目の記述を生成する)。
アドレス判定部150の判定結果がタイプ3である場合には、接続方式設定部160は、NAPT方式による接続を選択し、NAPT方式による接続の設定を行う(S108)(図4の6、8〜11、18、21行目の記述を生成する)。
そして、接続方式設定部160は、設定結果情報をデータベースに保存する(S109)。
最後に、接続設定サーバ部170が登録実行端末に登録完了画面を出力して(S110)、登録が完了する。
アドレス判定部150は、ユーザからの情報と、VPN GW11のIPアドレス及びネットマスクの情報から、登録のタイプを判定する(S105)。
アドレス判定部150の判定結果がタイプ1である場合には、接続方式設定部160は、NAT方式による接続を選択し、NAT方式による接続の設定を行う(S106)(図4の5、7、17、20行目の記述を生成する)。
アドレス判定部150の判定結果がタイプ2である場合には、接続方式設定部160は、トンネリング方式による接続を選択し、トンネリング方式による接続の設定を行う(S107)(図4の19、22行目の記述を生成する)。
アドレス判定部150の判定結果がタイプ3である場合には、接続方式設定部160は、NAPT方式による接続を選択し、NAPT方式による接続の設定を行う(S108)(図4の6、8〜11、18、21行目の記述を生成する)。
そして、接続方式設定部160は、設定結果情報をデータベースに保存する(S109)。
最後に、接続設定サーバ部170が登録実行端末に登録完了画面を出力して(S110)、登録が完了する。
以上述べたように、本実施の形態に係るVPN GWは、登録実行端末による登録実行アクセス時に取得したIPアドレスと、ユーザ入力による登録対象端末のIPアドレスと、VPN GWのIPアドレス及びネットマスクの情報を用いて登録のタイプを判定する。
そして、本実施の形態に係るVPN GWは、タイプごとに適した接続方式を自動的に設定できる。
このため、複数のセグメントがあるようなネットワークであっても、ユーザがネットワークの構成を意識することなく、簡易にVPN接続設定ができる。
そして、本実施の形態に係るVPN GWは、タイプごとに適した接続方式を自動的に設定できる。
このため、複数のセグメントがあるようなネットワークであっても、ユーザがネットワークの構成を意識することなく、簡易にVPN接続設定ができる。
以上、本実施の形態では、複数の拠点をVPNを介して接続するために拠点内に置かれる仮想ネットワーク管理装置を説明した。
より具体的には、
仮想ネットワークに接続される端末を登録する際に登録を実行する登録実行端末から接続され、仮想ネットワークに接続される登録対象端末の接続設定を入力する接続設定サーバ部と、
登録実行端末と登録対象端末と仮想ネットワーク管理装置自身のIPアドレス情報からネットワーク接続状況を判定するアドレス判定部と、
登録対象端末をVPNに接続する第一の仮想ネットワーク接続部と、
第二の仮想ネットワーク接続部と、
アドレス判定部の判定結果から登録対象端末の接続方式として第一の仮想ネットワーク接続部または第二の仮想ネットワーク接続部を選択し、選択した選択方式を設定する接続方式設定部を備える仮想ネットワーク管理装置を説明した。
より具体的には、
仮想ネットワークに接続される端末を登録する際に登録を実行する登録実行端末から接続され、仮想ネットワークに接続される登録対象端末の接続設定を入力する接続設定サーバ部と、
登録実行端末と登録対象端末と仮想ネットワーク管理装置自身のIPアドレス情報からネットワーク接続状況を判定するアドレス判定部と、
登録対象端末をVPNに接続する第一の仮想ネットワーク接続部と、
第二の仮想ネットワーク接続部と、
アドレス判定部の判定結果から登録対象端末の接続方式として第一の仮想ネットワーク接続部または第二の仮想ネットワーク接続部を選択し、選択した選択方式を設定する接続方式設定部を備える仮想ネットワーク管理装置を説明した。
また、本実施の形態では、前記第一の仮想ネットワーク接続部が、拠点内とVPNの間の通信パケットのIPアドレスとポート番号を変換するアドレス・ポート変換部であることを説明した。
さらに、前記アドレス・ポート変換部が、第一のアドレス・ポート変換方式として、
拠点内の端末から別の拠点の端末への通信パケットに対して、送信元IPアドレスを対応するVPN上の仮想IPアドレスに変換し、
別の拠点の端末から拠点内の端末への通信パケットに対して、送信先IPアドレスをVPN上の仮想IPアドレスから対応する拠点内IPアドレスに変換することを説明した。
さらに、前記アドレス・ポート変換部が、第一のアドレス・ポート変換方式として、
拠点内の端末から別の拠点の端末への通信パケットに対して、送信元IPアドレスを対応するVPN上の仮想IPアドレスに変換し、
別の拠点の端末から拠点内の端末への通信パケットに対して、送信先IPアドレスをVPN上の仮想IPアドレスから対応する拠点内IPアドレスに変換することを説明した。
また、本実施の形態では、前記アドレス・ポート変換部が、第二のアドレス・ポート変換方式として、第一のアドレス・ポート変換方式に加えて、
別の拠点の端末から拠点内の端末への通信パケットに対して、送信元IPアドレスと送信元ポート番号の新たな送信元ポート番号の組を記憶して、送信元IPアドレスを仮想ネットワーク管理装置のIPアドレスに変換し、送信元ポート番号を新たな送信元ポート番号に変換し、
拠点内の端末から別の拠点の端末への通信パケットに対して、送信先IPアドレスと送信先ポート番号を記憶した送信元IPアドレスと送信元ポート番号に変換することを説明した。
別の拠点の端末から拠点内の端末への通信パケットに対して、送信元IPアドレスと送信元ポート番号の新たな送信元ポート番号の組を記憶して、送信元IPアドレスを仮想ネットワーク管理装置のIPアドレスに変換し、送信元ポート番号を新たな送信元ポート番号に変換し、
拠点内の端末から別の拠点の端末への通信パケットに対して、送信先IPアドレスと送信先ポート番号を記憶した送信元IPアドレスと送信元ポート番号に変換することを説明した。
また、本実施の形態では、前記接続方式設定部が、
登録対象端末のIPアドレスが仮想ネットワーク管理装置と同じネットワークセグメントに含まれるアドレスの場合に、アドレス・ポート変換部による第一のアドレス・ポート変換方式を用いる設定を行い、
登録実行端末のIPアドレス=登録対象端末のIPアドレスであり、かつ、登録対象端末のIPアドレスが仮想ネットワーク管理装置と同じネットワークセグメントに含まれないアドレスの場合に、トンネリング接続部を用いる設定を行い、
登録実行端末のIPアドレス≠登録対象端末のIPアドレスであり、かつ、登録対象端末のIPアドレスが仮想ネットワーク管理装置と同じネットワークセグメントに含まれないアドレスの場合に、アドレス・ポート変換部により第二のアドレス・ポート変換方式を用いる設定を行うことを説明した。
登録対象端末のIPアドレスが仮想ネットワーク管理装置と同じネットワークセグメントに含まれるアドレスの場合に、アドレス・ポート変換部による第一のアドレス・ポート変換方式を用いる設定を行い、
登録実行端末のIPアドレス=登録対象端末のIPアドレスであり、かつ、登録対象端末のIPアドレスが仮想ネットワーク管理装置と同じネットワークセグメントに含まれないアドレスの場合に、トンネリング接続部を用いる設定を行い、
登録実行端末のIPアドレス≠登録対象端末のIPアドレスであり、かつ、登録対象端末のIPアドレスが仮想ネットワーク管理装置と同じネットワークセグメントに含まれないアドレスの場合に、アドレス・ポート変換部により第二のアドレス・ポート変換方式を用いる設定を行うことを説明した。
また、本実施の形態では、前記第二の仮想ネットワーク接続部が、仮想ネットワーク管理装置と拠点内の端末との間のトンネリング接続を行うトンネリング接続部であることを説明した。
そして、前記トンネリング接続部が、
PPTPによるトンネリング接続を受け付け、
拠点内の端末に対して、拠点間のVPN上の対応する仮想IPアドレスを払い出すことを説明した。
そして、前記トンネリング接続部が、
PPTPによるトンネリング接続を受け付け、
拠点内の端末に対して、拠点間のVPN上の対応する仮想IPアドレスを払い出すことを説明した。
また、本実施の形態では、前記接続設定サーバ部が、
登録対象端末として、登録実行端末から取得したIPアドレスを表示し、登録実行端末のIPアドレスをユーザに選択させるか、または、
登録対象端末として、登録実行端末とは別の端末をユーザに選択させ、別の端末のIPアドレスをユーザに入力させる登録画面を出力することを説明した。
登録対象端末として、登録実行端末から取得したIPアドレスを表示し、登録実行端末のIPアドレスをユーザに選択させるか、または、
登録対象端末として、登録実行端末とは別の端末をユーザに選択させ、別の端末のIPアドレスをユーザに入力させる登録画面を出力することを説明した。
なお、以上では、中継装置の例としてVPN GWを説明したが、本願に係る中継装置は、VPN GWに限定されない。
複数のネットワークセグメントに分割されている内部ネットワークのいずれかのネットワークセグメントに属し、内部ネットワークと外部ネットワークとの間の通信を中継する中継装置であれば、本願発明を適用することができる。
複数のネットワークセグメントに分割されている内部ネットワークのいずれかのネットワークセグメントに属し、内部ネットワークと外部ネットワークとの間の通信を中継する中継装置であれば、本願発明を適用することができる。
最後に、本実施の形態に示したVPN GW11、12のハードウェア構成例を図8を参照して説明する。
VPN GW11、12はコンピュータであり、VPN GW11、12の各要素をプログラムで実現することができる。
VPN GW11、12のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
VPN GW11、12はコンピュータであり、VPN GW11、12の各要素をプログラムで実現することができる。
VPN GW11、12のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、LANインタフェース部110の物理層に対応する。
入出力装置905は、例えば入力キー、ディスプレイ装置等である。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、LANインタフェース部110の物理層に対応する。
入出力装置905は、例えば入力キー、ディスプレイ装置等である。
プログラムは、通常は外部記憶装置902に記憶されており、主記憶装置903にロードされた状態で、順次演算装置901に読み込まれ、実行される。
プログラムは、図2に示す「〜部」として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図2に示す「〜部」の機能を実現するプログラムを実行する。
また、本実施の形態の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
また、暗号鍵・復号鍵や乱数値やパラメータが、主記憶装置903にファイルとして記憶されてもよい。
プログラムは、図2に示す「〜部」として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図2に示す「〜部」の機能を実現するプログラムを実行する。
また、本実施の形態の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
また、暗号鍵・復号鍵や乱数値やパラメータが、主記憶装置903にファイルとして記憶されてもよい。
なお、図8の構成は、あくまでもVPN GW11、12のハードウェア構成の一例を示すものであり、VPN GW11、12のハードウェア構成は図8に記載の構成に限らず、他の構成であってもよい。
また、本実施の形態に示した端末、ルータ及びVPNサーバも、図8のハードウェア構成をしていてもよいし、他のハードウェア構成であってもよい。
また、本実施の形態に示した端末、ルータ及びVPNサーバも、図8のハードウェア構成をしていてもよいし、他のハードウェア構成であってもよい。
また、本実施の形態に示す手順により、本発明に係る通信方式選択方法を実現可能である。
1 拠点、2 拠点、3 管理サーバ、11 VPN GW、12 VPN GW、21 ルータ、22 ルータ、31 端末、32 端末、33 端末、34 端末、41 VPNサーバ、110 LANインタフェース部、120 VPN接続クライアント部、130 アドレス・ポート変換部、140 トンネリング接続部、150 アドレス判定部、160 接続方式設定部、170 接続設定サーバ部、410 VPN接続管理部、420 VPN接続サーバ部、430 仮想IPアドレス割当部。
Claims (9)
- 複数のネットワークセグメントに分割されている内部ネットワークのいずれかのネットワークセグメントに属し、
前記内部ネットワークと前記内部ネットワーク外の外部ネットワークとの間の通信を、複数の通信方式の中から選択された通信方式に対応させて中継する中継装置であって、
前記内部ネットワークに属するいずれかの通信装置から、当該通信装置の通信アドレス及び前記内部ネットワークに属する他の通信装置の通信アドレスのいずれかを、通信方式の選択対象である選択対象通信装置の通信アドレスとして、通知するアドレス通知情報を受信するアドレス通知情報受信部と、
前記選択対象通信装置の通信アドレスと前記中継装置の通信アドレスとに基づき、前記選択対象通信装置が前記中継装置と同じネットワークセグメントに属しているか否かを判定するセグメント判定部と、
前記セグメント判定部による判定結果に基づき、前記選択対象通信装置と前記外部ネットワークとの間の通信方式を前記複数の通信方式の中から選択する通信方式選択部とを有することを特徴とする中継装置。 - 前記セグメント判定部は、
前記選択対象通信装置が前記中継装置と同じネットワークセグメントに属していないと判定した場合に、前記選択対象通信装置が前記アドレス通知情報の送信元の通信装置であるか否かを判定することを特徴とする請求項1に記載の中継装置。 - 前記通信方式選択部は、
前記セグメント判定部により、前記選択対象通信装置が前記中継装置と同じネットワークセグメントに属していると判定された場合に、
前記選択対象通信装置と前記外部ネットワークとの間の通信方式として、前記中継装置が、通信パケットに記述されたIP(Internet Protocol)アドレスの変換を行う通信方式を選択することを特徴とする請求項1又は2に記載の中継装置。 - 前記通信方式選択部は、
前記セグメント判定部により、前記選択対象通信装置が前記アドレス通知情報の送信元の通信装置であると判定された場合に、
前記選択対象通信装置と前記外部ネットワークとの間の通信方式として、前記選択対象通信装置が、通信パケットのカプセル化処理を行う通信方式を選択することを特徴とする請求項2に記載の中継装置。 - 前記通信方式選択部は、
前記セグメント判定部により、前記選択対象通信装置が前記アドレス通知情報の送信元の通信装置以外の通信装置であると判定された場合に、
前記選択対象通信装置と前記外部ネットワークとの間の通信方式として、前記中継装置が、通信パケットに記述されたIP(Internet Protocol)アドレスの変換及びポート番号の変換を行う通信方式を選択することを特徴とする請求項2に記載の中継装置。 - 前記中継装置は、更に、
前記内部ネットワーク内の通信装置に、前記選択対象通信装置の通信アドレスの指定のための画面情報を送信する画面情報送信部を有し、
前記アドレス通知情報受信部は、
前記画面情報に対して指定された前記選択対象通信装置の通信アドレスを通知するアドレス通知情報を受信することを特徴とする請求項1〜5のいずれかに記載の中継装置。 - 前記中継装置は、
前記内部ネットワーク内の通信装置と、前記外部ネットワークに接続されている通信装置との間でVPN(Virtual Private Network)を設定し、前記VPNを用いて前記内部ネットワーク内の通信装置と前記外部ネットワークに接続されている通信装置との間の通信を中継するVPNゲートウェイ装置であることを特徴とする請求項1〜6のいずれかに記載の中継装置。 - 複数のネットワークセグメントに分割されている内部ネットワークのいずれかのネットワークセグメントに属し、
前記内部ネットワークと前記内部ネットワーク外の外部ネットワークとの間の通信を、複数の通信方式の中から選択された通信方式に対応させて中継するコンピュータが行う通信方式選択方法であって、
前記コンピュータが、前記内部ネットワークに属するいずれかの通信装置から、当該通信装置の通信アドレス及び前記内部ネットワークに属する他の通信装置の通信アドレスのいずれかを、通信方式の選択対象である選択対象通信装置の通信アドレスとして、通知するアドレス通知情報を受信し、
前記コンピュータが、前記選択対象通信装置の通信アドレスと前記コンピュータの通信アドレスとに基づき、前記選択対象通信装置が前記コンピュータと同じネットワークセグメントに属しているか否かを判定し、
判定結果に基づき、前記コンピュータが、前記選択対象通信装置と前記外部ネットワークとの間の通信方式を前記複数の通信方式の中から選択することを特徴とする通信方式選択方法。 - 複数のネットワークセグメントに分割されている内部ネットワークのいずれかのネットワークセグメントに属し、
前記内部ネットワークと前記内部ネットワーク外の外部ネットワークとの間の通信を、複数の通信方式の中から選択された通信方式に対応させて中継するコンピュータに、
前記内部ネットワークに属するいずれかの通信装置から、当該通信装置の通信アドレス及び前記内部ネットワークに属する他の通信装置の通信アドレスのいずれかを、通信方式の選択対象である選択対象通信装置の通信アドレスとして、通知するアドレス通知情報を受信するアドレス通知情報受信処理と、
前記選択対象通信装置の通信アドレスと前記コンピュータの通信アドレスとに基づき、前記選択対象通信装置が前記コンピュータと同じネットワークセグメントに属しているか否かを判定するセグメント判定処理と、
前記セグメント判定処理による判定結果に基づき、前記選択対象通信装置と前記外部ネットワークとの間の通信方式を前記複数の通信方式の中から選択する通信方式選択処理とを実行させることを特徴とするプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2013/064307 WO2014188551A1 (ja) | 2013-05-23 | 2013-05-23 | 中継装置及び通信方式選択方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5901851B2 true JP5901851B2 (ja) | 2016-04-13 |
JPWO2014188551A1 JPWO2014188551A1 (ja) | 2017-02-23 |
Family
ID=51933136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015517991A Expired - Fee Related JP5901851B2 (ja) | 2013-05-23 | 2013-05-23 | 中継装置及び通信方式選択方法及びプログラム |
Country Status (7)
Country | Link |
---|---|
US (1) | US20160057105A1 (ja) |
JP (1) | JP5901851B2 (ja) |
KR (1) | KR101880346B1 (ja) |
CN (1) | CN105229971B (ja) |
DE (1) | DE112013007099T5 (ja) |
TW (1) | TWI514824B (ja) |
WO (1) | WO2014188551A1 (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102169302B1 (ko) * | 2014-04-30 | 2020-10-23 | 삼성전자주식회사 | 통신 서비스를 제공하기 위한 방법, 단말, 그리고 서버 |
US9832118B1 (en) | 2014-11-14 | 2017-11-28 | Amazon Technologies, Inc. | Linking resource instances to virtual networks in provider network environments |
CN107431661B (zh) * | 2015-02-25 | 2020-08-18 | 三菱电机大楼技术服务株式会社 | 网络系统、中心侧路由器、据点侧路由器以及napt表更新方法 |
TWI580227B (zh) * | 2015-06-17 | 2017-04-21 | 財團法人工業技術研究院 | 路由閘道器選擇方法、控制器及交通網路系統 |
TWI625950B (zh) * | 2016-08-04 | 2018-06-01 | 群暉科技股份有限公司 | 於一網路系統中藉助於網路位址轉譯來轉送封包之方法與裝置 |
CN106210174A (zh) * | 2016-08-29 | 2016-12-07 | 东方网力科技股份有限公司 | 一种解决网络设备ip地址冲突的方法和vpn服务器 |
US11881963B2 (en) * | 2020-02-28 | 2024-01-23 | Juniper Networks, Inc. | Service-based transport classes for mapping services to tunnels |
CN111404801B (zh) * | 2020-03-27 | 2021-09-28 | 四川虹美智能科技有限公司 | 跨云厂商的数据处理方法、装置及系统 |
CN113194017B (zh) * | 2021-04-08 | 2022-08-16 | 广州极飞科技股份有限公司 | 设备通信控制方法、装置、设备、系统和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011160103A (ja) * | 2010-01-29 | 2011-08-18 | Oki Networks Co Ltd | ゲートウェイ装置及びプログラム、並びに、通信システム |
JP2011188448A (ja) * | 2010-03-11 | 2011-09-22 | Evrika Inc | ゲートウェイ装置、通信方法および通信用プログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7107614B1 (en) * | 1999-01-29 | 2006-09-12 | International Business Machines Corporation | System and method for network address translation integration with IP security |
US20020083344A1 (en) * | 2000-12-21 | 2002-06-27 | Vairavan Kannan P. | Integrated intelligent inter/intra networking device |
JP3965160B2 (ja) * | 2003-01-21 | 2007-08-29 | 三星電子株式会社 | 相異なる私設網に位置したネットワーク装置間の通信を支援するネットワーク接続装置 |
TWI225736B (en) * | 2003-10-16 | 2004-12-21 | Academia Sinica | Mobile network agent |
CN100470518C (zh) * | 2004-04-14 | 2009-03-18 | 日本电信电话株式会社 | 地址变换方法、访问控制方法及使用这些方法的装置 |
EP1753180B1 (en) * | 2004-05-20 | 2018-12-26 | Freebit Co., Ltd. | Server for routing a connection to a client device |
WO2010127610A1 (zh) * | 2009-05-04 | 2010-11-11 | 成都市华为赛门铁克科技有限公司 | 一种虚拟专用网节点信息的处理方法、设备及系统 |
TWI389525B (zh) * | 2010-02-25 | 2013-03-11 | Gemtek Technology Co Ltd | 具有多網段存取性的資料傳輸系統及其方法 |
US9204336B2 (en) * | 2010-08-17 | 2015-12-01 | Telefonaktiebolaget L M Ericsson (Publ) | Technique of processing network traffic that has been sent on a tunnel |
US9716659B2 (en) * | 2011-03-23 | 2017-07-25 | Hughes Network Systems, Llc | System and method for providing improved quality of service over broadband networks |
US8955078B2 (en) * | 2011-06-30 | 2015-02-10 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
JP5713865B2 (ja) * | 2011-09-30 | 2015-05-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Vpn終端装置、通信システム、パケット転送方法、及びプログラム |
-
2013
- 2013-05-23 JP JP2015517991A patent/JP5901851B2/ja not_active Expired - Fee Related
- 2013-05-23 WO PCT/JP2013/064307 patent/WO2014188551A1/ja active Application Filing
- 2013-05-23 CN CN201380076747.9A patent/CN105229971B/zh not_active Expired - Fee Related
- 2013-05-23 US US14/779,439 patent/US20160057105A1/en not_active Abandoned
- 2013-05-23 DE DE112013007099.5T patent/DE112013007099T5/de not_active Ceased
- 2013-05-23 KR KR1020157035719A patent/KR101880346B1/ko active IP Right Grant
- 2013-07-02 TW TW102123603A patent/TWI514824B/zh not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011160103A (ja) * | 2010-01-29 | 2011-08-18 | Oki Networks Co Ltd | ゲートウェイ装置及びプログラム、並びに、通信システム |
JP2011188448A (ja) * | 2010-03-11 | 2011-09-22 | Evrika Inc | ゲートウェイ装置、通信方法および通信用プログラム |
Also Published As
Publication number | Publication date |
---|---|
JPWO2014188551A1 (ja) | 2017-02-23 |
US20160057105A1 (en) | 2016-02-25 |
CN105229971B (zh) | 2018-10-30 |
KR20160009675A (ko) | 2016-01-26 |
DE112013007099T5 (de) | 2016-02-11 |
KR101880346B1 (ko) | 2018-07-19 |
WO2014188551A1 (ja) | 2014-11-27 |
TW201445937A (zh) | 2014-12-01 |
CN105229971A (zh) | 2016-01-06 |
TWI514824B (zh) | 2015-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5901851B2 (ja) | 中継装置及び通信方式選択方法及びプログラム | |
JP6024474B2 (ja) | マルチテナントシステム、管理装置、管理プログラム、およびマルチテナントシステムの制御方法 | |
JP5348094B2 (ja) | 支援装置及びコンピュータプログラム | |
US9712485B2 (en) | Dynamic DNS-based service discovery | |
CN105453488B (zh) | 用于处理dns请求的方法和系统 | |
JP4561983B2 (ja) | ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム | |
JP7413415B2 (ja) | ハイブリッドクラウド環境における通信方法、ゲートウェイ、並びに管理方法及び装置 | |
CN108965036B (zh) | 配置跨公网设备互访方法、系统、服务器及存储介质 | |
JP6402583B2 (ja) | 中継装置、中継システム、中継方法、及び、プログラム | |
JP2007215090A (ja) | ネットワークシステム、端末およびゲートウェイ装置 | |
WO2015068255A1 (ja) | ネットワークシステム、通信制御装置、及び通信方法 | |
TWI535323B (zh) | 點對點裝置與點對點連線方法 | |
Aazam et al. | Impact of ipv4-ipv6 coexistence in cloud virtualization environment | |
CN111565237B (zh) | 网络参数确定方法、装置、计算机设备及存储介质 | |
US10904037B2 (en) | Relaying apparatus, relaying method, and relaying system | |
CN105516121B (zh) | 无线局域网中ac与ap通信的方法及系统 | |
JP6551266B2 (ja) | 無線通信装置、無線通信方法およびプログラム | |
JP4480605B2 (ja) | ネットワーク、ルータ装置及びそれらに用いるプライベートアドレス間通信方法並びにそのプログラム | |
US20230038620A1 (en) | Method of setting user-defined virtual network | |
JP6403225B2 (ja) | 中継装置のipアドレス解決方法、中継装置、及び、プログラム | |
JP7463458B2 (ja) | 設定情報提供装置、設定情報提供方法、及びプログラム | |
JP2016158116A (ja) | Lanアクセス方法及びアドレス登録サーバ | |
JP2009206876A (ja) | サービス公開システム、通信中継装置、およびサービス公開装置 | |
JP5041381B2 (ja) | 名前解決システム、名前解決サーバ、名前解決方法及び名前解決プログラム | |
JP2013141060A (ja) | 中継サーバ及び中継通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160209 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160308 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5901851 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |