JP6028269B2 - Ipパケット処理方法および装置、ならびにネットワークシステム - Google Patents

Ipパケット処理方法および装置、ならびにネットワークシステム Download PDF

Info

Publication number
JP6028269B2
JP6028269B2 JP2015543279A JP2015543279A JP6028269B2 JP 6028269 B2 JP6028269 B2 JP 6028269B2 JP 2015543279 A JP2015543279 A JP 2015543279A JP 2015543279 A JP2015543279 A JP 2015543279A JP 6028269 B2 JP6028269 B2 JP 6028269B2
Authority
JP
Japan
Prior art keywords
operator
intranet
address
internal
service gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015543279A
Other languages
English (en)
Other versions
JP2016503627A (ja
Inventor
寅亮 胡
寅亮 胡
光 ▲陳▼
光 ▲陳▼
建 ▲陳▼
建 ▲陳▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2016503627A publication Critical patent/JP2016503627A/ja
Application granted granted Critical
Publication of JP6028269B2 publication Critical patent/JP6028269B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明の実施形態は通信技術に関し、詳細には、IPパケット処理方法および装置、ならびにネットワークシステムに関する。
企業の市場規模が成長し続けるにつれて、企業は支社の数を増やし、単一の地理的場所から複数の場所にわたる協同事務所へと拡張し、企業のネットワーク管理およびポリシ配信もまた、ますます複雑になる。地理的場所の拡張はさらに、企業がより多くのネットワークサービスを展開することを要求する。
相互接続および網間接続が本社と支社との間、および企業の支社の間で実装される必要があるとき、相互接続および網間接続は、中小企業の場合、専用回線サービスが高額であるため、一般に、インターネットプロトコルセキュリティ仮想プライベートネットワーク(IPSec VPN)を使用することによって実装される。
既存の企業内部ネットワークは、複雑な配備という問題を有し、これは、企業内部ネットワークのより困難かつ高価な管理および保守という問題と、企業内部ネットワーク内のハードウェアデバイスを更新するためのより高い投資費用とにさらにつながる。
本発明の実施形態は、企業内部ネットワークの配備の複雑さを軽減し、企業内部ネットワークの管理および保守の難しさおよび費用を軽減し、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減するために使用される、IPパケット処理方法および装置、ならびにネットワークシステムを提供する。
第1の態様によれば、本発明の一実施形態はIPパケット処理方法を提供し、本方法は、
オペレータサービスゲートウェイによって、企業の第1のイントラネットにIPアドレスを割り当てるステップと、
そのIPアドレスに従いオペレータサービスゲートウェイによって、その企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理するステップとを含む。
第1の態様の第1の可能な実装手法では、オペレータサービスゲートウェイによって企業の第1のイントラネットにIPアドレスを割り当てるステップは、
オペレータサービスゲートウェイによって、公開IPアドレスを第1のイントラネットに割り当て、その公開IPアドレスを使用することによって、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータとIPセキュリティIPSecネゴシエーションを実行するステップと、
対応が内部IPアドレスと公開IPアドレスとの間に存在する場合、内部IPアドレスを第1のイントラネット内のユーザ機器にオペレータサービスゲートウェイによって割り当てるステップとを含む。
第1の態様の第1の実装手法による第2の実装手法では、オペレータサービスゲートウェイによって第1のイントラネット内のユーザ機器に内部IPアドレスを割り当てるステップは、
オペレータサービスゲートウェイによって、ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された内部アドレス要求メッセージを受信するステップと、
オペレータアクセスデバイスがユーザ機器に内部IPアドレスを送信するように、オペレータサービスゲートウェイによって、オペレータアクセスデバイスに内部IPアドレスを含む内部アドレス応答メッセージを送信するステップとを含む。
第1の態様の第1または第2の可能な実装手法による第3の可能な実装手法では、IPアドレスに従いオペレータサービスゲートウェイによって企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理するステップは、
第1のサービスパケットが内部IPアドレスを含む場合、ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された第1のサービスパケットをオペレータサービスゲートウェイによって受信するステップと、
IPSecカプセル化された第1のサービスパケットが公開IPアドレスを含む場合、オペレータサービスゲートウェイによって第1のサービスパケットでIPSecカプセル化を実行するステップと、
オペレータサービスゲートウェイによって、IPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信するステップとを含む。
第1の態様の第3の可能な実装手法による第4の可能な実装手法では、IPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信した後に、本方法はさらに、
オペレータサービスゲートウェイによって、第2のイントラネットの公開IPアドレスを含む、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータによって送信された第2のサービスパケットを受信するステップと、
オペレータサービスゲートウェイによって、第2のサービスパケットでIPSecカプセル開放を実行するステップと、
オペレータアクセスデバイスが第2のサービスパケットを第1のイントラネット内のユーザ機器に送信するように、オペレータサービスゲートウェイによって、IPSecカプセル開放された第2のサービスパケットをオペレータアクセスデバイスに送信するステップとを含む。
第1の態様の第2の可能な実装手法による第5の可能な実装手法では、内部アドレス要求メッセージおよび内部アドレス応答メッセージは仮想ローカルエリアネットワークVLAN識別子を含み、そのVLAN識別子は第1のイントラネットに対応する。
第2の態様によれば、本発明の一実施形態はIPパケット処理方法を提供し、本方法は、
オペレータアクセスデバイスによって、企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信するステップと、
オペレータサービスゲートウェイが内部IPアドレスをユーザ機器に割り当てるように、オペレータアクセスデバイスによって、内部アドレス要求メッセージをオペレータサービスゲートウェイに送信するステップとを含む。
第2の態様の第1の可能な実装手法では、オペレータアクセスデバイスによって内部アドレス要求メッセージをオペレータサービスゲートウェイに送信した後に、本方法はさらに、
オペレータアクセスデバイスによって、内部IPアドレスを含む、オペレータサービスゲートウェイによって送信された内部アドレス応答メッセージを受信するステップと、
オペレータアクセスデバイスによって、その内部アドレス応答メッセージをユーザ機器に送信するステップとを含む。
第2の態様の第1の可能な実装手法による第2の可能な実装手法では、オペレータアクセスデバイスによって内部アドレス要求メッセージをオペレータサービスゲートウェイに送信するステップの前に、本方法はさらに、
VLAN識別子が第1のイントラネットに対応する場合、VLAN識別子をオペレータアクセスデバイスによって内部アドレス要求メッセージに追加するステップを含み、
オペレータアクセスデバイスによって、内部アドレス応答メッセージをユーザ機器に送信するステップは、
オペレータアクセスデバイスによって、その内部アドレス応答メッセージに含まれるVLAN識別子を削除し、そのVLAN識別子に対応する第1のイントラネット内のユーザ機器にその内部アドレス応答メッセージを送信するステップを含む。
第3の態様によれば、本発明の一実施形態はオペレータサービスゲートウェイを提供し、オペレータサービスゲートウェイは、
企業の第1のイントラネットにIPアドレスを割り当てるように構成された、割当てモジュールと、
IPアドレスに従って、企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理するように構成された、処理モジュールとを含む。
第3の態様の第1の可能な実装手法では、割当てモジュールは、特に、
第1のイントラネットに公開IPアドレスを割り当て、その公開IPアドレスを使用することによって、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータとIPセキュリティIPSecネゴシエーションを実行し、
内部IPアドレスを第1のイントラネット内のユーザ機器に割り当て、対応がその内部IPアドレスと公開IPアドレスとの間に存在するように構成される。
第3の態様の第1の可能な実装手法による第2の可能な実装手法では、割当てモジュールはさらに、
ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された内部アドレス要求メッセージを受信し、
オペレータアクセスデバイスがユーザ機器に内部IPアドレスを送信するように、オペレータアクセスデバイスに内部IPアドレスを含む内部アドレス応答メッセージを送信するように構成される。
第3の態様の第1のまたは第2の可能な実装手法による第3の可能な実装手法では、処理モジュールは、特に、
ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された第1のサービスパケットを受信し、その第1のサービスパケットは内部IPアドレスを含み、
第1のサービスパケットでIPSecカプセル化を実行し、そのIPSecカプセル化された第1のサービスパケットは公開IPアドレスを含み、
IPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信するように構成される。
第3の態様の第3の可能な実装手法による第4の可能な実装手法では、処理モジュールはさらに、
IPSecカプセル化された第1のサービスパケットが第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信された後に、第2のイントラネットの公開IPアドレスを含む、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータによって送信された第2のサービスパケットを受信し、
第2のサービスパケットでIPSecカプセル開放を実行し、
オペレータアクセスデバイスが第2のサービスパケットを第1のイントラネット内のユーザ機器に送信するように、IPSecカプセル開放された第2のサービスパケットをオペレータアクセスデバイスに送信するように構成される。
第1の態様の第2の可能な実装手法による第5の可能な実装手法では、内部アドレス要求メッセージおよび内部アドレス応答メッセージは仮想ローカルエリアネットワークVLAN識別子を含み、そのVLAN識別子は第1のイントラネットに対応する。
第4の態様で、本発明の一実施形態はオペレータアクセスデバイスを提供し、オペレータアクセスデバイスは、
企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信するように構成された、受信モジュールと、
オペレータサービスゲートウェイが内部IPアドレスをユーザ機器に割り当てるように、内部アドレス要求メッセージをオペレータサービスゲートウェイに送信するように構成された、送信モジュールとを含む。
第4の態様の第1の可能な実装手法では、受信モジュールはさらに、内部アドレス要求メッセージがオペレータサービスゲートウェイに送信された後に、内部IPアドレスを含む、オペレータサービスゲートウェイによって送信された内部アドレス応答メッセージを受信するように構成され、
送信モジュールはさらに、内部アドレス応答メッセージをユーザ機器に送信するように構成される。
第4の態様の第1の可能な実装手法による第2の可能な実施形態で、オペレータアクセスデバイスはさらに、
内部アドレス要求メッセージがオペレータサービスゲートウェイに送信される前に、VLAN識別子を内部アドレス要求メッセージに追加し、そのVLAN識別子は第1のイントラネットに対応するように構成された処理モジュールを含み、
処理モジュールはさらに、内部アドレス応答メッセージに含まれるVLAN識別子を削除するように構成され、
送信モジュールは、特に、その内部アドレス応答メッセージをそのVLAN識別子に対応する第1のイントラネット内のユーザ機器に送信するように構成される。
第5の態様で、本発明の一実施形態は、第3の態様または第3の態様の任意の可能な実装手法でのオペレータサービスゲートウェイと、第4の態様または第4の態様の任意の可能な実装手法でのオペレータアクセスデバイスとを含む、ネットワークシステムを提供する。
本IPパケット処理方法および装置と、本発明の実施形態によって提供されるネットワークシステムとによれば、オペレータサービスゲートウェイは企業の第1のイントラネットにIPアドレスを割り当て、オペレータサービスゲートウェイは、IPアドレスに従って、その企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理し、それによって、企業内部ネットワークの配備の複雑さを軽減し、企業内部ネットワークの管理および保守の難しさおよび費用を軽減し、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減する。
本発明の実施形態または先行技術での技術的解決法をより明確に説明するために、以下に、それらの実施形態または先行技術を説明するために必要とされる添付の図面を簡潔に紹介する。明らかに、以下の説明にある添付の図面は本発明のいくつかの実施形態を示し、当業者は、創造的な活動なしにこれらの添付の図面から他の図面をさらに導出し得る。
本発明によるIPパケット処理方法の実施形態1の流れ図である。 本発明によるIPパケット処理方法の実施形態2の流れ図である。 本発明によるIPパケット処理方法の実施形態3の流れ図である。 本発明によるIPパケット処理方法の実施形態4の流れ図である。 本発明によるオペレータサービスゲートウェイの実施形態1の概略構造図である。 本発明によるオペレータサービスゲートウェイの実施形態2の概略構造図である。 本発明によるオペレータアクセスデバイスの実施形態1の概略構造図である。 本発明によるオペレータアクセスデバイスの実施形態2の概略構造図である。 本発明によるオペレータアクセスデバイスの実施形態3の概略構造図である。 本発明によるネットワークシステムの実施形態1の概略構造図である。 図10Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の一実施形態でIPアドレス割当てフェーズを実装する流れ図である。 図10Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の実施形態でパケット送信および受信フェーズを実装する流れ図である。 本発明によるネットワークシステムの実施形態2の概略構造図である。 図11Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の一実施形態でIPアドレス割当てフェーズを実装する流れ図である。 図11Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の実施形態でパケット送信および受信フェーズを実装する流れ図である。 図11Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の実施形態でパケット送信および受信フェーズを実装する流れ図である。
本発明の実施形態の目的、技術的解決法、および利点をより明確にするために、以下で、本発明の実施形態での添付の図面を参照して本発明の実施形態での技術的解決法を明確かつ完全に説明する。明らかに、記載される実施形態は、本発明のすべての実施形態ではなくて、一部である。創造的活動なしに本発明の実施形態に基づいて当業者によって得られるすべての他の実施形態は、本発明の保護範囲内にあるものとする。
図1は、本発明によるIPパケット処理方法の実施形態1の流れ図である。図1に示すように、本実施形態によるIPパケット処理方法は、以下を含む。
S101:オペレータサービスゲートウェイが、企業の第1のイントラネットにIPアドレスを割り当てる。
具体的には、企業の第1のイントラネットは、企業の本社の内部ネットワークまたは企業の支社の内部ネットワークでもよい。支社と本社との間および企業の支社の間の相互接続および網間接続が、IPSec VPNを使用することによって実装されるとき、第1のイントラネットは、パブリックネットワークに接続するために使用することができるIPアドレスを取得する必要があり、第1のイントラネット内のユーザ機器は、別のイントラネット内のユーザ機器と連携して動作するために使用することができる内部IPアドレスを取得する必要がある。本実施形態で、オペレータサービスゲートウェイは、第1のイントラネットに公開IPアドレスを割り当て、かつ内部IPアドレスを第1のイントラネット内のユーザ機器に割り当てることができ、対応が、割り当てられた内部IPアドレスと前述の割り当てられた公開IPアドレスとの間に存在する。
たとえば、前述のオペレータサービスゲートウェイは、オペレータ広帯域ネットワークゲートウェイ(Broadband Network Gateway、略してBNG)でもよい。
先行技術では、第1のイントラネットによって公開IPアドレスを取得する方式において、第1のイントラネット内に配置されたアクセスルータが、ダイヤルすることによって、オペレータサービスゲートウェイに公開IPアドレスを要求し、オペレータサービスゲートウェイが、その要求を認証し、次いで、第1のイントラネット内のアクセスルータに公開IPアドレスを返す。しかし、本発明のこの実施形態で、オペレータサービスゲートウェイは、第1のイントラネットでの登録時に第1のイントラネットに公開IPアドレスを割り当てる。したがって、本発明のこの実施形態で、第1のイントラネット内のネットワークは、簡略化され得る。たとえば、アクセスルータは配置される必要がないことがあり、あるいは、アクセスルータまたは第1のイントラネット内の同様のデバイスの機能が簡略化され得る。
S102:オペレータサービスゲートウェイが、IPアドレスに従って、企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理する。
第1のイントラネット内のユーザ機器が企業の第2のイントラネット内のユーザ機器と対話することが、一例として使用される。オペレータサービスゲートウェイは、第1のイントラネット内のユーザ機器と第2のイントラネット内のユーザ機器との間で情報伝送を実装するために、企業の第1のイントラネットおよび企業の第1のイントラネット内のユーザ機器にそれぞれ割り当てられた公開IPアドレスおよび内部IPアドレスに従って、かつ企業の第2のイントラネットおよび企業の第2のイントラネット内のユーザ機器にそれぞれ割り当てられた公開IPアドレスおよび内部IPアドレスに従って、第1のイントラネット内のユーザ機器と第2のイントラネット内のユーザ機器との間で双方向IPパケットを処理することができる。
先行技術では、第1のイントラネットおよび第2のイントラネットが、別個に、公開IPアドレスを使用してIPSecネゴシエーションを実行し、かつ送信のためにIPSecトンネルにパケットを送信する動作が、第1のイントラネット内に配置されたアクセスルータと第2のイントラネット内に配置されたアクセスルータとの間で実装される。本発明のこの実施形態で、第1のイントラネットおよび第2のイントラネットが別個に公開IPアドレスを使用してIPSecネゴシエーションを実行し、送信のためにIPSecトンネルにパケットを送信する動作は、第1のイントラネットに対応するオペレータサービスゲートウェイと第2のイントラネット内に配置されたアクセスルータとの間で実装され得、あるいは、第1のイントラネットに対応するオペレータサービスゲートウェイと第2のイントラネットに対応するオペレータサービスゲートウェイとの間で実装され得る。
オペレータサービスゲートウェイは、企業内部ネットワークの配備の複雑さを軽減し、それによって、企業内部ネットワークの管理および保守の難しさおよび費用を軽減するために、IPアドレスを第1のイントラネットに割り当て、そのIPアドレスに従って、企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理する。さらに、企業が、サービス要件の増加またはネットワークトラフィックの増加を原因として内部ネットワークのアップグレートを必要とする場合、先行技術における企業内部ネットワーク内のハードウェアデバイスの交換を減らすために、本実施形態でIPパケット処理方法を実行するために使用されるオペレータサービスゲートウェイのソフトウェアのみが、そのアップグレードを実装するために更新される必要があり、それによって、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減する。
本実施形態によるIPパケット処理方法では、オペレータサービスゲートウェイが企業の第1のイントラネットにIPアドレスを割り当てて、そのオペレータサービスゲートウェイがその企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理し、それによって、企業内部ネットワークの配備の複雑さを軽減し、企業内部ネットワークの管理および保守の難しさおよび費用を軽減し、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減する。
図2は、本発明によるIPパケット処理方法の実施形態2の流れ図である。図2に示すように、本実施形態によるIPパケット処理方法は、以下を含む。
S201:オペレータサービスゲートウェイが、公開IPアドレスを第1のイントラネットに割り当て、その公開IPアドレスを使用することによって、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータとIPセキュリティIPSecネゴシエーションを実行する。
具体的には、オペレータサービスゲートウェイによって第1のイントラネットに割り当てられる公開IPアドレスは、静的または動的な公開IPアドレスでもよい。アクセスルータが第2のイントラネット内に配置される場合、オペレータサービスゲートウェイは、第1のイントラネットに割り当てられた公開IPアドレスを使用することによって、第2のイントラネット内のアクセスルータとIPSecネゴシエーションを実行する。アクセスルータが第2のイントラネットに配置されない場合、オペレータサービスゲートウェイは、第1のイントラネットに割り当てられた公開IPアドレスを使用することによって、第2のイントラネットに対応するオペレータサービスゲートウェイとIPSecネゴシエーションを実行する。
IPSecネゴシエーション結果は、情報を送信するために必要とされる認証プロトコル、およびセキュリティ機構によって必要とされる暗号鍵などの情報を含み得る。
S202:オペレータサービスゲートウェイが、内部IPアドレスを第1のイントラネット内のユーザ機器に割り当て、対応がその内部IPアドレスと公開IPアドレスとの間に存在する。
具体的には、第1のイントラネット内のユーザ機器が別のイントラネット内のユーザ機器と対話する必要がある場合、内部IPアドレスが取得される必要がある。
本実施形態でのユーザ機器は、本実施形態で限定されない、企業ネットワーク内で場合により使用される任意のデバイス、たとえば、パーソナルコンピュータ(personal computer、略してPC)でもよい。
さらに、ステップS202は、
ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された内部アドレス要求メッセージをオペレータサービスゲートウェイによって受信するステップを含み得る。
第1のイントラネット内のユーザ機器が内部IPアドレスを取得する必要があるとき、第1のイントラネット内のユーザ機器は、内部アドレス要求メッセージをオペレータアクセスデバイスに送信する。前述の内部アドレス要求メッセージを受信した後、オペレータアクセスデバイスは、その内部アドレス要求メッセージをオペレータサービスゲートウェイに転送する。
オペレータサービスゲートウェイが複数の企業イントラネットに供する場合、前述の内部アドレス要求メッセージの受信の後に、オペレータアクセスデバイスは、入口ポート番号に従って内部アドレス要求メッセージに仮想ローカルエリアネットワーク(Virtual Local Area Network、略してVLAN)識別子を追加する必要があり、そのVLAN識別子は第1のイントラネットに対応することが理解されよう。
オペレータアクセスデバイスがユーザ機器に内部IPアドレスを送信するように、オペレータサービスゲートウェイは、オペレータアクセスデバイスに内部IPアドレスを含む内部アドレス応答メッセージを送信する。
オペレータアクセスデバイスがユーザ機器に内部IPアドレスを送信するように、内部アドレス要求メッセージを受信した後、オペレータサービスゲートウェイは、オペレータアクセスデバイスに内部IPアドレスを含む内部アドレス応答メッセージを送信する。
S203:オペレータサービスゲートウェイが、ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された第1のサービスパケットを受信し、その第1のサービスパケットは内部IPアドレスを含む。
企業の第1のイントラネット内のユーザ機器が企業の第2のイントラネット内のユーザ機器と対話することが一例として使用される。第1のイントラネット内のユーザ機器が、サービス情報およびその内部IPアドレスと、ピアエンドの第2のイントラネット内のユーザ機器の内部IPアドレスとに従って、第1のサービスパケットを生成し、第1のサービスパケットをオペレータアクセスデバイスに送信する。同様に、オペレータサービスゲートウェイが複数の企業イントラネットに供する場合、前述の内部アドレス要求メッセージを受信した後、オペレータアクセスデバイスは、入口ポート番号に従って、第1のサービスパケットにVLAN識別子を追加する必要があり、そのVLAN識別子は第1のイントラネットに対応する。オペレータサービスゲートウェイが、VLAN識別子が追加され、オペレータアクセスゲートウェイによって転送された第1のサービスパケットを受信する。
S204:オペレータサービスゲートウェイが第1のサービスパケットでIPSecカプセル化を実行し、IPSecカプセル化された第1のサービスパケットは公開IPアドレスを含む。
具体的には、オペレータサービスゲートウェイによって受信された第1のサービスパケットがVLAN識別子を含む場合、そのVLAN識別子は、IPSecカプセル化が第1のサービスパケットで実行される前に、削除される必要がある。IPSecカプセル化された第1のサービスパケットは、第1のイントラネットの公開IPアドレスおよびピアエンドの第2のイントラネットの公開IPアドレスを含む。
S205:オペレータサービスゲートウェイが、IPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信する。
アクセスルータが第2のイントラネット内に配置される場合、サービスオペレータゲートウェイは、IPSecカプセル化された第1のサービスパケットを第2のイントラネット内のアクセスルータに送信する。アクセスルータが第2のイントラネット内に配置されない場合、サービスゲートウェイは、IPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイに送信する。
S206:オペレータサービスゲートウェイが、第2のイントラネットの公開IPアドレスを含む、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータによって送信された第2のサービスパケットを受信する。
IPSecカプセル化された前述の第1のサービスパケットを受信した後、第2のイントラネット内のユーザ機器が、第1のサービスパケットのフィードバックサービス情報、第2のイントラネット内のユーザ機器の内部IPアドレス、および第1のイントラネット内のユーザ機器の内部IPアドレスに従って、第2のサービスパケットを生成し、第2のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信するように、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータが、第1のサービスパケットでIPSecカプセル開放を実行し、IPSecカプセル開放された第1のサービスパケットを第2のイントラネット内のユーザ機器に送信する。第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータが、受信された第2のサービスパケットでIPSecカプセル化を実行する。
S207:オペレータサービスゲートウェイが、第2のサービスパケットでIPSecカプセル開放を実行する。
S208:オペレータアクセスデバイスが第2のサービスパケットを第1のイントラネット内のユーザ機器に送信するように、オペレータサービスゲートウェイが、IPSecカプセル開放された第2のサービスパケットをオペレータアクセスデバイスに送信する。
さらに、本実施形態において、内部アドレス要求メッセージおよび内部アドレス応答メッセージは仮想ローカルエリアネットワークVLAN識別子を含むことができ、そのVLAN識別子は第1のイントラネットに対応する。
本実施形態によるIPパケット処理方法では、オペレータサービスゲートウェイは、公開IPアドレスおよび内部IPアドレスを企業の第1のイントラネットおよび企業の第1のイントラネット内のユーザ機器にそれぞれ割り当て、公開IPアドレスおよび公開内部IPアドレスに従って、第1のイントラネット内のユーザ機器によって送信された第1のサービスパケットでIPSecカプセル化を実行し、IPSecカプセル化された第1のサービスパケットをパブリックネットワークを介して第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信し、次いで、オペレータアクセスデバイスが第2のサービスパケットを第1のイントラネット内のユーザ機器に送信するように、IPSecカプセル開放された第2のサービスパケットをオペレータアクセスデバイスに送信し、それによって、企業内部ネットワークの配備の複雑さを軽減し、企業内部ネットワークの管理および保守の難しさおよび費用を軽減し、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減する。
図3は、本発明によるIPパケット処理方法の実施形態3の流れ図である。図3に示すように、本実施形態によるIPパケット処理方法は、以下を含む。
S301:オペレータアクセスデバイスが、企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信する。
内部IPアドレスを取得する必要があるとき、第1のイントラネット内のユーザ機器は、内部アドレス要求メッセージをオペレータアクセスデバイスに送信する。前述の内部アドレス要求メッセージを受信した後、オペレータアクセスデバイスは、その内部アドレス要求メッセージをオペレータサービスゲートウェイに転送する。
オペレータサービスゲートウェイが複数の企業イントラネットに供する場合、前述の内部アドレス要求メッセージを受信した後、オペレータアクセスデバイスは、入口ポート番号に従って内部アドレス要求メッセージにVLAN識別子を追加する必要があり、そのVLAN識別子は第1のイントラネットに対応することが理解されよう。
S302:オペレータサービスゲートウェイが内部IPアドレスをユーザ機器に割り当てるように、オペレータアクセスデバイスが内部アドレス要求メッセージをオペレータサービスゲートウェイに送信する。
先行技術では、第1のイントラネット内のユーザ機器は、第1のイントラネット内に配置されたアクセスルータとの対話を用いて、内部IPアドレスを取得する。しかし、本発明のこの実施形態によるIPパケット処理方法では、ユーザ機器が内部IPアドレスを割り当てられるように、オペレータアクセスデバイスが、内部アドレス要求メッセージをオペレータサービスゲートウェイに転送し、オペレータサービスゲートウェイによってユーザ機器に割り当てられた内部IPアドレスをそのユーザ機器に転送する。
本実施形態によるIPパケット処理方法では、オペレータサービスゲートウェイが内部IPアドレスをユーザ機器に割り当てるように、オペレータアクセスデバイスは、企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信し、その内部アドレス要求メッセージをオペレータサービスゲートウェイに送信し、それによって、企業内部ネットワークの配備の複雑さを軽減し、企業内部ネットワークの管理および保守の難しさおよび費用を軽減し、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減する。
図4は、本発明によるIPパケット処理方法の実施形態4の流れ図である。図4に示すように、本実施形態によるIPパケット処理方法は、以下を含む。
S401:オペレータアクセスデバイスが、企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信する。
S402:オペレータアクセスデバイスが、その内部アドレス要求メッセージをオペレータサービスゲートウェイに送信する。
S403:オペレータアクセスデバイスが、オペレータサービスゲートウェイによって送信された、内部IPアドレスを含む内部アドレス応答メッセージを受信する。
オペレータサービスゲートウェイによって送信される内部アドレス応答メッセージは、第1のイントラネット内のユーザ機器に割り当てられた内部IPアドレスを含む。
S404:オペレータアクセスデバイスが、内部アドレス応答メッセージをユーザ機器に送信する。
さらに、オペレータサービスゲートウェイが複数の企業イントラネットに供する場合、前述のS402の前に、本方法はさらに、VLAN識別子が第1のイントラネットに対応する場合、VLAN識別子を内部アドレス要求メッセージにオペレータアクセスデバイスによって追加するステップを含む。
S404は、具体的には、オペレータアクセスデバイスが、内部アドレス応答メッセージに含まれるVLAN識別子を削除し、その内部アドレス応答メッセージをそのVLAN識別子に対応する第1のイントラネット内のユーザ機器に送信してもよい。
本実施形態によるIPパケット処理方法では、オペレータアクセスデバイスが、企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信し、オペレータサービスゲートウェイが内部IPアドレスをユーザ機器に割り当てるように、その内部アドレス要求メッセージをオペレータサービスゲートウェイに送信し、それによって、企業内部ネットワークの配備の複雑さを軽減し、企業内部ネットワークの管理および保守の難しさおよび費用を軽減し、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減する。
図5は、本発明によるオペレータサービスゲートウェイの実施形態1の概略構造図である。図5に示すように、本実施形態によるオペレータサービスゲートウェイは、割当てモジュール51および処理モジュール52を含み、割当てモジュール51は企業の第1のイントラネットにIPアドレスを割り当てるように構成され、処理モジュール52は、IPアドレスに従って、企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理するように構成される。
たとえば、本実施形態によるオペレータサービスゲートウェイは、BNGでもよい。
本実施形態による装置は、図1に示す本方法実施形態の技術的解決法を実行するために使用することができる。その実装原理および技術的効果は同様であり、詳細は本明細書において重ねて説明はされない。
本発明によるオペレータサービスゲートウェイの実施形態2で、割当てモジュール51は、特に、
第1のイントラネットに公開IPアドレスを割り当て、その公開IPアドレスを使用することによって、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータとIPセキュリティIPSecネゴシエーションを実行し、
内部IPアドレスを第1のイントラネット内のユーザ機器に割り当て、対応がその内部IPアドレスと公開IPアドレスとの間に存在するように構成される。
割当てモジュール51はさらに、
ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された内部アドレス要求メッセージを受信し、
オペレータアクセスデバイスがユーザ機器に内部IPアドレスを送信するように、オペレータアクセスデバイスに内部IPアドレスを含む内部アドレス応答メッセージを送信するように構成される。
処理モジュール52は、特に、
ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された第1のサービスパケットを受信し、その第1のサービスパケットは内部IPアドレスを含み、
第1のサービスパケットでIPSecカプセル化を実行し、IPSecカプセル化された第1のサービスパケットは公開IPアドレスを含み、
そのIPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信するように構成される。
処理モジュール52はさらに、
IPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信した後に、第2のイントラネットの公開IPアドレスを含む、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータによって送信された第2のサービスパケットを受信し、
第2のサービスパケットでIPSecカプセル開放を実行し、
オペレータアクセスデバイスが第2のサービスパケットを第1のイントラネット内のユーザ機器に送信するように、IPSecカプセル開放された第2のサービスパケットをオペレータアクセスデバイスに送信するように構成される。
さらに、前述の内部アドレス要求メッセージ、内部アドレス応答メッセージ、IPSecカプセル化の前の第1のサービスパケット、およびIPSecカプセル開放の後の第2のサービスパケットは、仮想ローカルエリアネットワークVLAN識別子を含み、そのVLAN識別子は第1のイントラネットに対応する。
本実施形態による装置は、図2に示す本方法実施形態の技術的解決法を実行するために使用することができる。その実装原理および技術的効果は同様であり、詳細は本明細書で重ねて説明はされない。
図5に示すオペレータサービスゲートウェイは、添付図面の図1から図4のうちのいずれか1つに対応する実施形態におけるオペレータサービスゲートウェイのすべての動作または機能を実行することができる。
図6は、本発明によるオペレータサービスゲートウェイの実施形態2の概略構造図である。図6に示すように、本実施形態におけるオペレータサービスゲートウェイは、少なくとも1つのプロセッサ601、たとえば、中央処理演算装置(Central Processing Unit、略してCPU)、少なくとも1つのネットワークインターフェース602および別のユーザインターフェース603、メモリ604、少なくとも1つの通信バス605、ならびにオペレーティングシステム606を含む。通信バス605は、これらの装置の間で接続および通信を実装するように構成される。メモリ604は、高速RAMメモリを含むことができ、または、不揮発性メモリ(non-volatile memory)、たとえば、少なくとも1つのディスクメモリを含み得る。メモリ604は、前述のプロセッサ601から遠くに置かれた少なくとも1つの記憶装置を任意で含み得る。オペレーティングシステム606は、様々なプログラムを含み、様々な基本サービスを実装し、ハードウェアベースのタスクを処理するように構成される。
プロセッサ601は、企業の第1のイントラネットにIPアドレスを割り当てるように構成される。
プロセッサ601は、IPアドレスに従って、企業の第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理するように構成される。
さらに、プロセッサ601は、特に、
第1のイントラネットに公開IPアドレスを割り当て、その公開IPアドレスを使用することによって、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータとIPセキュリティIPSecネゴシエーションを実行し、
内部IPアドレスを第1のイントラネット内のユーザ機器に割り当て、対応がその内部IPアドレスと公開IPアドレスとの間に存在するように構成される。
さらに、プロセッサ601はさらに、
ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された内部アドレス要求メッセージを受信し、
オペレータアクセスデバイスがユーザ機器に内部IPアドレスを送信するように、オペレータアクセスデバイスに内部IPアドレスを含む内部アドレス応答メッセージを送信するように構成される。
さらに、プロセッサ601は、特に、
ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された第1のサービスパケットを受信し、その第1のサービスパケットは内部IPアドレスを含み、
第1のサービスパケットでIPSecカプセル化を実行し、IPSecカプセル化された第1のサービスパケットは公開IPアドレスを含み、
そのIPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信するように構成される。
さらに、プロセッサ601はさらに、
IPSecカプセル化された第1のサービスパケットを第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータに送信した後に、第2のイントラネットの公開IPアドレスを含む、第2のイントラネットに対応するオペレータサービスゲートウェイまたは第2のイントラネットに対応するルータによって送信された第2のサービスパケットを受信し、
第2のサービスパケットでIPSecカプセル開放を実行し、
オペレータアクセスデバイスが第2のサービスパケットを第1のイントラネット内のユーザ機器に送信するように、IPSecカプセル開放された第2のサービスパケットをオペレータアクセスデバイスに送信するように構成される。
本実施形態に含まれるメッセージの一部またはすべてについて、メッセージの生成は、オペレータサービスゲートウェイのプロセッサ601、または別の構成要素/モジュール、あるいは別の構成要素/モジュールと結合されたプロセッサ601によって実装され得る。
メモリ604は、可読コンピュータ命令またはコンピュータプログラムを記憶することができる。少なくとも1つのプロセッサ601によって実行される様々な動作は、そのコンピュータ命令またはコンピュータプログラムに従って実装され得る。
本実施形態におけるオペレータサービスゲートウェイ内の少なくとも1つのプロセッサ601はさらに、メモリ604に記憶された可読コンピュータ命令またはコンピュータプログラムに従って、添付図面の図1から図4のいずれか1つに対応する実施形態でのオペレータサービスゲートウェイのすべての動作または機能を実行することができる。
本実施形態によるオペレータサービスゲートウェイは、図1または図2に示す本方法の実施形態の技術的解決法でオペレータサービスゲートウェイによって実行される部分を実行するために使用することができる。その実装原理および技術的効果は同様であり、詳細は本明細書において重ねて説明はされない。図6は、単に、本発明によるオペレータサービスゲートウェイの構造の概略図であり、具体的構造は実際の状況に従って調整され得る。
図7は、本発明によるオペレータアクセスデバイスの実施形態1の概略構造図である。図7に示すように、本実施形態でオペレータアクセスデバイスは、受信モジュール71および送信モジュール72を含み、受信モジュール71は、企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信するように構成され、送信モジュール72は、オペレータサービスゲートウェイが内部IPアドレスをユーザ機器に割り当てるように、内部アドレス要求メッセージをオペレータサービスゲートウェイに送信するように構成される。
本実施形態による装置は、図3に示す本方法の実施形態の技術的解決法を実行するために使用することができる。その実装原理および技術的効果は同様であり、詳細は本明細書において重ねて説明はされない。
図8は、本発明によるオペレータアクセスデバイスの実施形態2の概略構造図である。図8に示すように、本実施形態でのオペレータアクセスデバイスで、受信モジュール71はさらに、内部アドレス要求メッセージをオペレータサービスゲートウェイに送信した後、内部IPアドレスを含む、オペレータサービスゲートウェイによって送信された内部アドレス応答メッセージを受信するように構成される。
送信モジュール72はさらに、内部アドレス応答メッセージをユーザ機器に送信するように構成される。
本実施形態におけるオペレータアクセスデバイスはさらに、処理モジュール73を含む。処理モジュール73は、内部アドレス要求メッセージがオペレータサービスゲートウェイに送信される前に、VLAN識別子を内部アドレス要求メッセージに追加し、そのVLAN識別子は第1のイントラネットに対応するように構成される。
処理モジュール73はさらに、その内部アドレス応答メッセージに含まれるVLAN識別子を削除するように構成される。
送信モジュール72は、特に、その内部アドレス応答メッセージをそのVLAN識別子に対応する第1のイントラネット内のユーザ機器に送信するように構成される。
本実施形態による装置は、図4に示す本方法の実施形態の技術的解決法を実行するために使用することができる。その実装原理および技術的効果は同様であり、詳細は本明細書において重ねて説明はされない。
図7または図8に示すオペレータアクセスデバイスは、添付図面の図1から図4のうちのいずれか1つに対応する実施形態におけるオペレータアクセスデバイスのすべての動作または機能を実行することができる。
図9は、本発明によるオペレータアクセスデバイスの実施形態3の概略構造図である。図9に示すように、本実施形態におけるオペレータアクセスデバイスは、少なくとも1つのプロセッサ901、たとえば、CPU、少なくとも1つのネットワークインターフェース902および別のユーザインターフェース903、メモリ904、少なくとも1つの通信バス905、ならびに、オペレーティングシステム906を含む。通信バス905は、これらの装置の間の接続および通信を実装するように構成される。メモリ904は、高速RAMメモリを含むことができ、不揮発性メモリ、たとえば、少なくとも1つのディスクメモリをさらに含み得る。メモリ904は、プロセッサ901から遠くに置かれた少なくとも1つの記憶装置を任意で含み得る。オペレーティングシステム906は、様々なプログラムを含み、様々な基本サービスを実装し、ハードウェアベースのタスクを処理するように構成される。
ネットワークインターフェース902は、企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信するように構成される。
ネットワークインターフェース902は、オペレータサービスゲートウェイが内部IPアドレスをユーザ機器に割り当てるように、内部アドレス要求メッセージをオペレータサービスゲートウェイに送信するように構成される。
さらに、ネットワークインターフェース902はさらに、内部アドレス要求メッセージをオペレータサービスゲートウェイに送信した後に、内部IPアドレスを含む、オペレータサービスゲートウェイによって送信された内部アドレス応答メッセージを受信するように構成される。
さらに、ネットワークインターフェース902はさらに、内部アドレス応答メッセージをユーザ機器に送信するように構成される。
プロセッサ901は、内部アドレス要求メッセージをオペレータサービスゲートウェイに送信する前に、VLAN識別子を内部アドレス要求メッセージに追加し、そのVLAN識別子は第1のイントラネットに対応するように構成される。
プロセッサ901はさらに、内部アドレス応答メッセージに含まれるVLAN識別子を削除するように構成される。
ネットワークインターフェース902は、特に、内部アドレス応答メッセージをそのVLAN識別子に対応する第1のイントラネット内のユーザ機器に送信するように構成される。
本実施形態に含まれるメッセージの一部またはすべてについて、メッセージの生成は、オペレータアクセスデバイスのプロセッサ901、または、別の構成要素/モジュール、あるいは、別の構成要素/モジュールと結合されたプロセッサ901によって、実装され得る。
メモリ904は、可読コンピュータ命令またはコンピュータプログラムを記憶することができる。少なくとも1つのプロセッサ901によって実行される様々な動作は、コンピュータ命令またはコンピュータプログラムに従って、実装され得る。
本実施形態におけるオペレータアクセスデバイス内の少なくとも1つのプロセッサ901はさらに、メモリ904で記憶された可読コンピュータ命令またはコンピュータプログラムに従って、添付図面の図1から図4のいずれか1つに対応する実施形態におけるオペレータアクセスデバイスのすべての動作または機能を実行することができる。
本実施形態によるオペレータアクセスデバイスは、図3または図4に示す本方法の実施形態の技術的解決法においてオペレータアクセスデバイスによって実行される部分を実行するために使用することができる。その実装原理および技術的効果は同様であり、詳細は本明細書において重ねて説明はされない。図9は、単に、本発明によるオペレータアクセスデバイスの構造の概略図であり、具体的構造は、実際の状況に従って調整され得る。
本発明の一実施形態によるネットワークシステムは、前述の実施形態での任意のオペレータサービスゲートウェイ、および、前述の実施形態での任意のオペレータアクセスデバイスを含む。
以下は、企業Aの支社ネットワークと企業Aの本社ネットワークとの間の網間接続を一例として使用する。企業Aの支社ネットワークは、前述の実施形態における第1のイントラネットでもよく、企業Aの本社ネットワークは、前述の実施形態における第2のイントラネットでもよい。ネットワークシステムの一実施形態の概略構造図と、本発明の一実施形態によるIPパケット処理方法の流れ図とを参照し、本発明のこの実施形態の技術的解決法が、さらに詳細に説明される。
図10Aは、本発明によるネットワークシステムの実施形態1の概略構造図である。本実施形態におけるネットワークシステムは、オペレータネットワーク300である。オペレータネットワーク300は、オペレータサービスゲートウェイ310およびオペレータアクセスデバイス320を含み得る。企業Aは、企業Aの支社ネットワーク100および企業Aの本社ネットワーク200を含み得る。企業Aの支社ネットワーク100は、PC、および、PCを接続しネットワークに接続するために使用されるスイッチのみを含む。PCは、前述の実施形態における第1のイントラネットまたは第2のイントラネット内のユーザ機器でもよい。PC、および、PCに接続しネットワークに接続するために使用されるスイッチに加えて、企業Aの本社ネットワーク200はさらに、アクセスルータ210を含む。本実施形態が目的とするシナリオは、企業Aの支社ネットワーク100および企業Aの本社ネットワーク200が同エリア内に置かれ、同オペレータサービスゲートウェイにアクセスするケースである。
本実施形態で、企業Aのより多数の支社ネットワークが、企業Aの支社ネットワーク100に加えて含まれ得、かつ、企業Aの支社ネットワーク100および企業Aの本社ネットワーク200に加えて、より多数の企業ネットワークが、オペレータネットワーク、たとえば、企業Bの支社ネットワークまたは企業Bの本社ネットワークなどの複数の他の組織および機関のネットワークにアクセスし得ることが理解されよう。本実施形態で、オペレータサービスゲートウェイ310およびオペレータアクセスデバイス320は、複数の組織および機関のネットワークにIPアドレスを同時に割り当て、割り当てたIPアドレスに従って、組織および機関のネットワークの間で双方向サービスパケットを処理することができる。たとえば、オペレータサービスゲートウェイ310およびオペレータアクセスデバイス320は、組織および機関のネットワークに対応するVLAN識別子を使用することによって、複数の組織および機関のネットワークを区別することができる。
図10Bは、図10Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の一実施形態におけるIPアドレス割当てフェーズを実装する流れ図である。図10Bおよび図10Aに示すように、本実施形態によるIPパケット処理方法でIPアドレス割当てフェーズは、以下を含む。
S1001:オペレータサービスゲートウェイが、企業Aの支社ネットワークに公開IPアドレスを割り当てる。
オペレータサービスゲートウェイによって企業Aの支社ネットワークに割り当てられる公開IPアドレスは、静的または動的公開IPアドレスでもよい。
S1002:オペレータサービスゲートウェイが、公開IPアドレスを使用することによって、企業Aの本社ネットワークに対応するルータとのIPセキュリティIPSecネゴシエーションを実行する。
企業Aの本社ネットワークに対応する前述のルータの公開IPアドレスは、固定IPアドレスである。
IPSecネゴシエーション結果は、情報を送信するために必要とされる認証プロトコルなどの情報、および、セキュリティ機構によって必要とされる暗号鍵を含み得る。
S1003:企業Aの支社ネットワーク内のPCが、内部IPアドレス要求メッセージをオペレータアクセスデバイスに送信する。
S1004:オペレータアクセスデバイスが、入口ポート番号に従って内部アドレス要求メッセージにVLAN識別子を追加し、そのVLAN識別子は企業Aの支社ネットワークに対応する。
オペレータサービスゲートウェイが複数の企業イントラネットに供する場合、企業Aの支社ネットワークに対応するVLAN識別子が追加される必要がある。
S1005:オペレータアクセスデバイスが、オペレータサービスゲートウェイにVLAN識別子を含む内部アドレス要求メッセージを送信する。
S1006:オペレータサービスゲートウェイが、内部IPアドレスを含む内部アドレス応答メッセージをオペレータアクセスデバイスに送信し、その内部アドレス応答メッセージは、企業Aの支社ネットワークに対応するVLAN識別子をさらに運ぶ。
S1007:オペレータアクセスデバイスが、VLAN識別子に従って、内部アドレス応答メッセージを企業Aの支社ネットワーク内のPCに送信し、同時にVLAN識別子を削除する。
S1008:企業Aの支社ネットワーク内のPCが、内部アドレス応答メッセージを受信する。
本実施形態では、前述のステップを実行することによって、オペレータサービスゲートウェイが公開IPアドレスを企業Aの支社ネットワークに割り当て、その公開IPアドレスに対応する内部IPアドレスを企業Aの支社ネットワーク内のPCに割り当てることが実施される。
さらに、図10Cは、図10Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の実施形態におけるパケット送信および受信フェーズを実装する流れ図である。図10Cおよび図10Aに示すように、本IPパケット処理方法のパケット送信および受信フェーズは、以下を含む。
S1009:企業Aの支社ネットワーク内のPCが、第1のサービスパケットをオペレータアクセスデバイスに送信する。
企業Aの支社ネットワーク内のPCが、サービス情報、内部IPアドレス、およびピアエンドの第2のイントラネット内のユーザ機器の内部IPアドレスに従って、第1のサービスパケットを生成する。
S1010:オペレータアクセスデバイスが、入口ポート番号に従って第1のサービスパケットにVLAN識別子を追加し、そのVLAN識別子は第1のイントラネットに対応する。
S1011:オペレータアクセスデバイスが、VLAN識別子が追加された第1のサービスパケットをオペレータサービスゲートウェイに送信する。
S1012:オペレータサービスゲートウェイが、第1のサービスパケットからVLAN識別子を削除し、第1のサービスパケットでIPSecカプセル化を実行する。
IPSecカプセル化された第1のサービスパケットは、サービス情報に加えて、企業Aの支社ネットワークの公開IPアドレスおよび企業Aの本社ネットワークの公開IPアドレスをさらに含む。
S1013:オペレータサービスゲートウェイが、VLAN識別子が削除されたIPSecカプセル化された第1のサービスパケットを企業Aの本社ネットワーク内のルータに送信する。
S1014:受信された第1のサービスパケットをカプセル開放した後、企業Aの本社ネットワーク内のルータが、カプセル開放された第1のサービスパケットを企業Aの本社ネットワーク内のPCに送信する。
S1015:企業Aの本社ネットワーク内のPCが、第2のサービスパケットを企業Aの本社ネットワーク内のルータに送信する。
企業Aの本社ネットワーク内のPCが、第1のサービスパケットのフィードバックサービス情報、第2のイントラネット内のユーザ機器の内部IPアドレス、および第1のイントラネット内のユーザ機器の内部IPアドレスに従って第2のサービスパケットを生成する。
S1016:企業Aの本社ネットワーク内のルータが、受信された第2のサービスパケットでIPSecカプセル化を実行し、IPSecカプセル化された第2のサービスパケットをオペレータサービスゲートウェイに送信する。
S1017:オペレータサービスゲートウェイが、受信された第2のサービスパケットでカプセル開放を実行し、企業Aの支社ネットワークに対応するVLAN識別子を追加し、カプセル開放された第2のサービスパケットをオペレータアクセスデバイスに送信する。
S1018:オペレータアクセスデバイスが、VLAN識別子に従って、カプセル開放された第2のサービスパケットを企業Aの支社ネットワーク内のPCに送信し、同時にVLAN識別子を削除する。
S1019:企業Aの支社ネットワーク内のPCが、第2のサービスパケットを受信する。
図10Aから図10Cに示す前述の実施形態に基づいて、アクセスルータは企業Aの本社ネットワーク200内に配置されなくてもよく、オペレータサービスゲートウェイ310は公開IPアドレスおよび内部IPアドレスを企業Aの本社ネットワーク200および企業Aの本社ネットワーク200内のPCにそれぞれ割り当て、IPアドレスに従って、企業Aの本社ネットワーク200内のPCと企業Aの支社ネットワーク100内のPCとの間で双方向サービスパケットを処理することが理解されよう。
本実施形態で、オペレータサービスゲートウェイは、それぞれ、公開IPアドレスおよび公開内部IPアドレスを企業Aの支社ネットワークおよび企業Aの支社ネットワーク内のユーザ機器に割り当てる。オペレータサービスゲートウェイは、公開IPアドレスおよび公開内部IPアドレスに従って、企業Aの支社ネットワーク内のユーザ機器によって送信された第1のサービスパケットでIPSecカプセル化を実行し、企業Aの本社ネットワークに対応するルータにパブリックネットワークを介してIPSecカプセル化された第1のサービスパケットを送信し、次いで、オペレータアクセスデバイスが第2のサービスパケットを企業Aの支社ネットワーク内のユーザ機器に送信するように、IPSecカプセル開放された第2のサービスパケットをオペレータアクセスデバイスに送信し、それによって、企業内部ネットワークの配備の複雑さを軽減し、企業内部ネットワークの管理および保守の難しさおよび費用を軽減し、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減する。
図11Aは、本発明によるネットワークシステムの実施形態2の概略構造図である。本実施形態におけるネットワークシステムは、オペレータネットワーク700であり、オペレータネットワーク700は、企業Aの支社ネットワーク500に対応する第1のオペレータサービスゲートウェイ710、企業Aの本社ネットワーク600に対応する第2のオペレータサービスゲートウェイ720、企業Aの支社ネットワーク500に対応する第1のオペレータアクセスデバイス730、および、企業Aの本社ネットワーク600に対応する第2のオペレータアクセスデバイス740を含み得る。企業Aの支社ネットワーク500および企業Aの本社ネットワーク600は、PC、および、PCを接続しネットワークに接続するために使用されるスイッチのみを含み、PCは前述の実施形態における第1のイントラネットまたは第2のイントラネット内のユーザ機器でもよい。本実施形態が目的とするシナリオは、企業Aの支社ネットワーク500および企業Aの本社ネットワーク600が異なるエリアに置かれ、異なるオペレータサービスゲートウェイにアクセスするケースである。
本実施形態では、企業Aのより多数の支社ネットワークが、企業Aの支社ネットワーク500に加えて含まれ得、かつ企業Aの支社ネットワーク500および企業Aの本社ネットワーク600に加えて、企業Bの支社ネットワークまたは企業Bの本社ネットワークなどの複数の他の組織および機関のネットワークがさらに含まれ得ることが、理解されよう。本実施形態で、第1のオペレータサービスゲートウェイ710および第1のオペレータアクセスデバイス730、あるいは第2のオペレータサービスゲートウェイ720および第2のオペレータアクセスデバイス740は、複数の組織および機関のネットワークにIPアドレスを同時に割り当て、割り当てたIPアドレスに従って、組織および機関のネットワークの間で双方向サービスパケットを処理することができる。たとえば、オペレータサービスゲートウェイおよびオペレータアクセスデバイスは、組織および機関のネットワークに対応するVLAN識別子を使用することによって、複数の組織および機関のネットワークを区別することができる。
図11Bは、図11Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の一実施形態におけるIPアドレス割当てフェーズを実装する流れ図である。図11Bおよび図11Aに示すように、本IPアドレス割当てフェーズは、以下を含む。
S1101:第1のオペレータサービスゲートウェイが、企業Aの支社ネットワークに公開IPアドレスを割り当てる。
S1102:第1のオペレータサービスゲートウェイが、その公開IPアドレスを使用することによって、第2のオペレータサービスゲートウェイとIPセキュリティIPSecネゴシエーションを実行する。
本実施形態によるIPパケット処理方法のIPアドレス割当てフェーズにおけるステップS1103からS1108は、図10BのステップS1003からS1008と同様であり、詳細は本明細書において重ねて説明はされない。
さらに、図11C-1および図11C-2は、図11Aに示すネットワークシステムによって、本発明によるIPパケット処理方法の実施形態におけるパケット送信および受信フェーズを実装する流れ図である。図11C-1および図11C-2および図11Aに示すように、本実施形態によるIPパケット処理方法のパケット送信および受信フェーズにおけるステップS1109からS1112は、図10CのステップS1009からS1012と同様であり、詳細は本明細書において重ねて説明はされない。
S1113:第1のオペレータサービスゲートウェイが、IPSecカプセル化された第1のサービスパケットを第2のオペレータサービスゲートウェイに送信する。
S1114:第2のサービスオペレータゲートウェイが、受信された第1のサービスパケットのカプセル開放を行い、VLAN識別子を第1のサービスパケットに追加し、その第1のサービスパケットを第2のオペレータアクセスデバイスに送信し、追加されるVLAN識別子は、企業Aの本社ネットワークに対応するVLAN識別子である。
S1115:第2のオペレータアクセスデバイスが、VLAN識別子に従って、受信された第1のサービスパケットを企業Aの本社ネットワーク内のPCに送信し、同時にVLAN識別子を削除する。
S1116:企業Aの本社ネットワーク内のPCが、第2のオペレータアクセスデバイスによって送信された第1のサービスパケットを受信する。
S1117:企業Aの本社ネットワーク内のPCが、第2のサービスパケットを第2のオペレータアクセスデバイスに送信する。
企業Aの本社ネットワーク内のPCが、第1のサービスパケットのフィードバックサービス情報、第2のイントラネット内のユーザ機器の内部IPアドレス、および第1のイントラネット内のユーザ機器の内部IPアドレスに従って第2のサービスパケットを生成する。
S1118:第2のオペレータアクセスデバイスが、入口ポート番号に従って第2のサービスパケットにVLAN識別子を追加し、そのVLAN識別子は企業Aの本社ネットワークに対応するVLAN識別子である。
S1119:第2のオペレータアクセスデバイスが、VLAN識別子が追加された第2のサービスパケットを第2のオペレータサービスゲートウェイに送信する。
S1120:第2のオペレータサービスゲートウェイが、受信された第2のサービスパケットでIPSecカプセル化を実行し、IPSecカプセル化された第2のサービスパケットを第1のオペレータサービスゲートウェイに送信する。
ステップS1121からS1123は、図10CのステップS1017からS1019と同様であり、詳細は本明細書において重ねて説明はされない。
前述の図11Aから図11C-1および図11C-2に示す実施形態に基づいて、アクセスルータは、企業Aの支社ネットワーク500および企業Aの本社ネットワーク600のうちの1つに配置され得ることが理解されよう。アクセスルータは、アクセスルータが配置された企業Aのネットワーク内のPCの内部IPアドレスを割り当て、IPアドレスに従って、企業Aの本社ネットワーク600内のPCと企業Aの支社ネットワーク500内のPCとの間で双方向サービスパケットを処理する。
本実施形態で、第1のオペレータサービスゲートウェイは、それぞれ、企業Aの支社ネットワークおよび企業Aの支社ネットワーク内のユーザ機器に公開IPアドレスおよび公開内部IPアドレスを割り当てる。第1のオペレータサービスゲートウェイは、公開IPアドレスおよび公開内部IPアドレスに従って、企業Aの支社ネットワーク内のユーザ機器によって送信された第1のサービスパケットでIPSecカプセル化を実行し、IPSecカプセル化された第1のサービスパケットをパブリックネットワークを介して第2のオペレータサービスゲートウェイに送信し、次いで、オペレータアクセスデバイスが第2のサービスパケットを企業Aの支社ネットワーク内のユーザ機器に送信するように、オペレータアクセスデバイスにIPSecカプセル開放された第2のサービスパケットを送信し、それによって、さらに企業内部ネットワークの配備の複雑さを軽減し、企業内部ネットワークの管理および保守の難しさおよび費用を軽減し、企業内部ネットワーク内のハードウェアデバイスの更新のための投資費用を軽減する。
本方法の実施形態のステップのすべてまたは一部は、関連ハードウェアに命令するプログラムによって実装され得ることが、当業者には理解されよう。そのプログラムは、コンピュータ可読記憶媒体で記憶され得る。プログラムが動作するとき、本方法の実施形態のステップが実行される。前述の記憶媒体は、ROM、RAM、磁気ディスク、または光ディスクなど、プログラムコードを記憶することができる任意の媒体を含む。
最後に、前述の実施形態は、単に本発明の技術的解決法を説明することを目的とし、本発明を限定することを目的としないことに留意されたい。本発明は、前述の実施形態を参照して詳細に説明されるが、本発明の実施形態の技術的解決法の範囲を逸脱することなしに、さらに、前述の実施形態に記載された技術的解決法に修正を行うことまたはその一部またはすべての技術的特徴と同等の置換えを行うことができることが、当業者には理解されよう。
51 割当てモジュール
52 処理モジュール
71 受信モジュール
72 送信モジュール
100 企業Aの支社ネットワーク
200 企業Aの本社ネットワーク
210 アクセスルータ
300 オペレータネットワーク
310 オペレータサービスゲートウェイ
320 オペレータアクセスデバイス
500 企業Aの支社ネットワーク
600 企業Aの本社ネットワーク
601 プロセッサ
602 ネットワークインターフェース
603 ユーザインターフェース
604 メモリ
605 通信バス
606 オペレーティングシステム
700 オペレータネットワーク
710 第1のオペレータサービスゲートウェイ
720 第2のオペレータサービスゲートウェイ
730 第1のオペレータアクセスデバイス
740 第2のオペレータアクセスデバイス
901 プロセッサ
902 ネットワークインターフェース
903 ユーザインターフェース
904 メモリ
905 通信バス
906 オペレーティングシステム

Claims (15)

  1. IPパケット処理方法であって、
    オペレータサービスゲートウェイによって、企業の第1のイントラネットにIPアドレスを割り当てるステップと、
    前記IPアドレスに従って前記オペレータサービスゲートウェイによって、前記企業の前記第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理するステップと
    を含み、
    オペレータサービスゲートウェイによって、企業の第1のイントラネットにIPアドレスを割り当てる前記ステップが、
    前記オペレータサービスゲートウェイによって、公開IPアドレスを前記第1のイントラネットに割り当て、前記公開IPアドレスを使用することによって、前記第2のイントラネットに対応するオペレータサービスゲートウェイまたは前記第2のイントラネットに対応するルータとのIPセキュリティ(IPSec)ネゴシエーションを実行するステップと、
    前記オペレータサービスゲートウェイによって、前記第1のイントラネット内のユーザ機器に内部IPアドレスを割り当てるステップであって、対応が前記内部IPアドレスと前記公開IPアドレスとの間に存在する、ステップと
    を含む、方法。
  2. 前記オペレータサービスゲートウェイによって、前記第1のイントラネット内のユーザ機器に内部IPアドレスを割り当てる前記ステップが、
    前記オペレータサービスゲートウェイによって、前記ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された内部アドレス要求メッセージを受信するステップと、
    前記オペレータアクセスデバイスが前記ユーザ機器に前記内部IPアドレスを送信するように、前記オペレータサービスゲートウェイによって、前記オペレータアクセスデバイスに前記内部IPアドレスを備える内部アドレス応答メッセージを送信するステップと
    を含む、請求項に記載の方法。
  3. 前記IPアドレスに従って前記オペレータサービスゲートウェイによって、前記企業の前記第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理する前記ステップが、
    前記オペレータサービスゲートウェイによって、前記ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された第1のサービスパケットを受信するステップであって、前記第1のサービスパケットが前記内部IPアドレスを備える、ステップと、
    前記オペレータサービスゲートウェイによって、前記第1のサービスパケットでIPSecカプセル化を実行するステップであって、IPSecカプセル化された前記第1のサービスパケットが前記公開IPアドレスを備える、ステップと、
    前記オペレータサービスゲートウェイによって、IPSecカプセル化された前記第1のサービスパケットを前記第2のイントラネットに対応するオペレータサービスゲートウェイまたは前記第2のイントラネットに対応するルータに送信するステップと
    を含む、請求項またはに記載の方法。
  4. IPSecカプセル化された前記第1のサービスパケットを前記第2のイントラネットに対応するオペレータサービスゲートウェイまたは前記第2のイントラネットに対応するルータに送信する前記ステップの後に、前記方法は、
    前記オペレータサービスゲートウェイによって、前記第2のイントラネットの公開IPアドレスを備える、前記第2のイントラネットに対応する前記オペレータサービスゲートウェイまたは前記第2のイントラネットに対応する前記ルータによって送信された第2のサービスパケットを受信するステップと、
    前記オペレータサービスゲートウェイによって、前記第2のサービスパケットでIPSecカプセル開放を実行するステップと、
    前記オペレータアクセスデバイスが前記第2のサービスパケットを前記第1のイントラネット内の前記ユーザ機器に送信するように、前記オペレータサービスゲートウェイによって、IPSecカプセル開放された前記第2のサービスパケットを前記オペレータアクセスデバイスに送信するステップと
    をさらに含む、請求項に記載の方法。
  5. 前記内部アドレス要求メッセージおよび前記内部アドレス応答メッセージが仮想ローカルエリアネットワーク(VLAN)識別子を備え、前記VLAN識別子が前記第1のイントラネットに対応する、請求項に記載の方法。
  6. IPパケット処理方法であって、
    オペレータアクセスデバイスによって、企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信するステップと、
    オペレータサービスゲートウェイが内部IPアドレスを前記ユーザ機器に割り当てるように、前記オペレータアクセスデバイスによって、前記内部アドレス要求メッセージを前記オペレータサービスゲートウェイに送信するステップと
    を含み、
    前記オペレータアクセスデバイスによって、前記内部アドレス要求メッセージをオペレータサービスゲートウェイに送信する前記ステップの後に、前記方法は、
    前記オペレータアクセスデバイスによって、前記内部IPアドレスを備え、かつ前記オペレータサービスゲートウェイによって送信された内部アドレス応答メッセージを受信するステップと、
    前記オペレータアクセスデバイスによって、前記内部アドレス応答メッセージを前記ユーザ機器に送信するステップと
    をさらに含み、
    前記オペレータアクセスデバイスによって、前記内部アドレス要求メッセージをオペレータサービスゲートウェイに送信する前記ステップの前に、
    前記オペレータアクセスデバイスによって、前記内部アドレス要求メッセージにVLAN識別子を追加するステップであって、前記VLAN識別子が前記第1のイントラネットに対応する、ステップ
    をさらに含み、
    前記オペレータアクセスデバイスによって、前記内部アドレス応答メッセージを前記ユーザ機器に送信する前記ステップが、
    前記オペレータアクセスデバイスによって、前記内部アドレス応答メッセージ内に含まれる前記VLAN識別子を削除し、前記VLAN識別子に対応する前記第1のイントラネット内の前記ユーザ機器に前記内部アドレス応答メッセージを送信するステップ
    を含む、方法。
  7. 企業の第1のイントラネットにIPアドレスを割り当てるように構成された、割当てモジュールと、
    前記IPアドレスに従って、前記企業の前記第1のイントラネットと第2のイントラネットとの間で双方向サービスパケットを処理するように構成された、処理モジュールと
    を備え
    前記割当てモジュールが、
    前記第1のイントラネットに公開IPアドレスを割り当て、前記公開IPアドレスを使用することによって、前記第2のイントラネットに対応するオペレータサービスゲートウェイまたは前記第2のイントラネットに対応するルータとのIPセキュリティ(IPSec)ネゴシエーションを実行し、
    内部IPアドレスを前記第1のイントラネット内のユーザ機器に割り当て、対応が前記内部IPアドレスと前記公開IPアドレスとの間に存在する
    ようにさらに構成された、オペレータサービスゲートウェイ。
  8. 前記割当てモジュールが、
    前記ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された内部アドレス要求メッセージを受信し、
    前記オペレータアクセスデバイスが前記ユーザ機器に前記内部IPアドレスを送信するように、前記オペレータアクセスデバイスに前記内部IPアドレスを備える内部アドレス応答メッセージを送信する
    ようにさらに構成された、請求項に記載のオペレータサービスゲートウェイ。
  9. 前記処理モジュールが、
    前記ユーザ機器によって送信され、オペレータアクセスデバイスによって転送された第1のサービスパケットを受信し、前記第1のサービスパケットが前記内部IPアドレスを備え、
    前記第1のサービスパケットでIPSecカプセル化を実行し、IPSecカプセル化された前記第1のサービスパケットが前記公開IPアドレスを備え、
    IPSecカプセル化された前記第1のサービスパケットを前記第2のイントラネットに対応する前記オペレータサービスゲートウェイまたは前記第2のイントラネットに対応する前記ルータに送信する
    ようにさらに構成された、請求項またはに記載のオペレータサービスゲートウェイ。
  10. 前記処理モジュールが、
    IPSecカプセル化された前記第1のサービスパケットを前記第2のイントラネットに対応する前記オペレータサービスゲートウェイまたは前記第2のイントラネットに対応する前記ルータに送信した後に、前記第2のイントラネットの公開IPアドレスを備える、前記第2のイントラネットに対応する前記オペレータサービスゲートウェイまたは前記第2のイントラネットに対応する前記ルータによって送信された第2のサービスパケットを受信し、
    前記第2のサービスパケットでIPSecカプセル開放を実行し、
    前記オペレータアクセスデバイスが前記第2のサービスパケットを前記第1のイントラネット内の前記ユーザ機器に送信するように、IPSecカプセル開放された前記第2のサービスパケットを前記オペレータアクセスデバイスに送信する
    ようにさらに構成された、請求項に記載のオペレータサービスゲートウェイ。
  11. 前記内部アドレス要求メッセージおよび前記内部アドレス応答メッセージが仮想ローカルエリアネットワーク(VLAN)識別子を備え、前記VLAN識別子が前記第1のイントラネットに対応する、請求項に記載のオペレータサービスゲートウェイ。
  12. 企業の第1のイントラネット内のユーザ機器によって送信された内部アドレス要求メッセージを受信するように構成された、受信モジュールと、
    オペレータサービスゲートウェイが内部IPアドレスを前記ユーザ機器に割り当てるように、前記内部アドレス要求メッセージをオペレータサービスゲートウェイに送信するように構成された、送信モジュールと
    を備えたオペレータアクセスデバイスであって
    前記受信モジュールが、前記送信モジュールが前記内部アドレス要求メッセージを前記オペレータサービスゲートウェイに送信した後に、前記内部IPアドレスを備え、かつ前記オペレータサービスゲートウェイによって送信された内部アドレス応答メッセージを受信するようにさらに構成され、
    前記送信モジュールが、前記内部アドレス応答メッセージを前記ユーザ機器に送信するようにさらに構成され
    前記オペレータアクセスデバイスが、
    前記内部アドレス要求メッセージを前記オペレータサービスゲートウェイに送信する前に、VLAN識別子を前記内部アドレス要求メッセージに追加するように構成された処理モジュールであって、前記VLAN識別子が前記第1のイントラネットに対応する、処理モジュール
    をさらに備え、
    前記処理モジュールが、前記内部アドレス応答メッセージ内に含まれる前記VLAN識別子を削除するようにさらに構成され、
    前記送信モジュールが、前記内部アドレス応答メッセージを前記VLAN識別子に対応する前記第1のイントラネット内の前記ユーザ機器に送信するようにさらに構成された
    オペレータアクセスデバイス。
  13. 請求項から11のいずれか一項に記載のオペレータサービスゲートウェイと、請求項12に記載のオペレータアクセスデバイスとを備える、ネットワークシステム。
  14. そこに記録されたプログラムを有するコンピュータ可読記憶媒体であって、前記プログラムが請求項1からのいずれか一項に記載の方法をコンピュータに実行させる、コンピュータ可読記憶媒体。
  15. そこに記録されたプログラムを有するコンピュータ可読記憶媒体であって、前記プログラムが請求項に記載の方法をコンピュータに実行させる、コンピュータ可読記憶媒体。
JP2015543279A 2012-11-26 2013-11-13 Ipパケット処理方法および装置、ならびにネットワークシステム Active JP6028269B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201210486610.8A CN103840995B (zh) 2012-11-26 2012-11-26 Ip报文处理方法、装置及网络系统
CN201210486610.8 2012-11-26
PCT/CN2013/087051 WO2014079335A1 (zh) 2012-11-26 2013-11-13 Ip报文处理方法、装置及网络系统

Publications (2)

Publication Number Publication Date
JP2016503627A JP2016503627A (ja) 2016-02-04
JP6028269B2 true JP6028269B2 (ja) 2016-11-16

Family

ID=50775531

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015543279A Active JP6028269B2 (ja) 2012-11-26 2013-11-13 Ipパケット処理方法および装置、ならびにネットワークシステム

Country Status (6)

Country Link
US (1) US10454880B2 (ja)
EP (1) EP2916499B1 (ja)
JP (1) JP6028269B2 (ja)
KR (1) KR101650831B1 (ja)
CN (1) CN103840995B (ja)
WO (1) WO2014079335A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105337894B (zh) * 2014-06-24 2018-11-30 华为技术有限公司 一种为业务报文提供服务质量QoS的装置、系统和方法
EP3245814B1 (en) 2015-02-11 2019-07-17 Sony Corporation Communications device, infrastructure equipment, mobile communications network and methods
US10405257B2 (en) 2015-02-11 2019-09-03 Sony Corporation Communications device, infrastructure equipment, and methods
GEP20207182B (en) 2015-08-13 2020-11-25 Merck Sharp & Dohme Cyclic di-nucleotide compounds as sting agonists
RS62410B1 (sr) 2016-10-04 2021-10-29 Merck Sharp & Dohme Benzo[b]tiofenska jedinjenja kao agonisti sting
US11466047B2 (en) 2017-05-12 2022-10-11 Merck Sharp & Dohme Llc Cyclic di-nucleotide compounds as sting agonists
CN109218157B (zh) * 2017-07-04 2020-10-09 大唐移动通信设备有限公司 一种虚拟专用网络系统的数据处理方法、装置和系统
MA49772A (fr) 2017-08-04 2021-04-21 Merck Sharp & Dohme Agonistes benzo[b]thiophène de sting pour le traitement du cancer
CN110365557B (zh) * 2018-03-26 2021-11-02 中兴通讯股份有限公司 一种网络互连的方法及装置
CA3095646A1 (en) 2018-04-03 2019-10-10 Merck Sharp & Dohme Corp. Benzothiophenes and related compounds as sting agonists
CN112261176B (zh) * 2020-12-24 2021-04-02 金锐同创(北京)科技股份有限公司 一种网络实际访问关系的获取方法及相关设备
CN114882631B (zh) * 2022-06-06 2023-08-01 创斯达科技集团(中国)有限责任公司 一种自适应智能闸机网络配置方法及闸机系统

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3490358B2 (ja) * 1999-11-04 2004-01-26 日本電信電話株式会社 ネットワーク間通信方法およびサーバ装置並びにネットワーク間通信システム
JP2003152768A (ja) * 2001-11-13 2003-05-23 Ntt Comware Corp 端末接続仲介方法、端末接続仲介装置およびプログラム
KR100479261B1 (ko) 2002-10-12 2005-03-31 한국전자통신연구원 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
JP3668731B2 (ja) * 2002-10-29 2005-07-06 株式会社Crcソリューションズ 仮想プライベートネットワーク(vpn)システム及び中継ノード
CN1301611C (zh) * 2003-01-21 2007-02-21 三星电子株式会社 用于在不同的专用网的网络设备之间支持通信的网关
US20050066035A1 (en) * 2003-09-19 2005-03-24 Williams Aidan Michael Method and apparatus for connecting privately addressed networks
JP4053967B2 (ja) * 2003-11-20 2008-02-27 株式会社日立コミュニケーションテクノロジー Vlanサーバ
WO2005069577A1 (en) * 2004-01-15 2005-07-28 Interactive People Unplugged Ab Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks
JP3970857B2 (ja) * 2004-03-19 2007-09-05 Necパーソナルプロダクツ株式会社 通信システム、ゲートウェイ装置
JP2006020085A (ja) * 2004-07-01 2006-01-19 Fujitsu Ltd ネットワークシステム、ネットワークブリッジ装置、ネットワーク管理装置およびネットワークアドレス解決方法
JP2006129090A (ja) * 2004-10-28 2006-05-18 Sky Com:Kk 通信装置、通信管理装置、通信方法および通信制御プログラム
WO2006095391A1 (ja) * 2005-03-04 2006-09-14 Fujitsu Limited パケット中継装置
US7903671B2 (en) * 2005-08-04 2011-03-08 Cisco Technology, Inc. Service for NAT traversal using IPSEC
DE602005013410D1 (de) * 2005-12-15 2009-04-30 Nokia Corp Verfahren, Apparat und Computerprogrammprodukt zur Beibehaltung von Abbildungszuordnungen
US20080089323A1 (en) * 2006-10-13 2008-04-17 At&T Knowledge Ventures, L.P. System and method for assigning virtual local area networks
CN101325759B (zh) * 2007-06-15 2012-06-27 华为技术有限公司 一种用户终端接入ims早期鉴权的方法及系统
CN100588171C (zh) * 2007-09-10 2010-02-03 杭州华三通信技术有限公司 实现通用路由封装隧道穿越的方法及设备
CN101499965B (zh) * 2008-02-29 2011-11-02 沈建军 一种基于IPSec安全关联的网络报文路由转发和地址转换方法
JP2009278261A (ja) * 2008-05-13 2009-11-26 Toshiba Corp 情報処理装置および通信制御方法
US7792046B2 (en) * 2008-06-05 2010-09-07 Vss Monitoring, Inc. Ethernet switch-based network monitoring system and methods
CN101674566B (zh) * 2008-09-08 2012-04-25 华为技术有限公司 一种无线接入设备的位置定位与验证方法、系统及归属服务器
CN101442565A (zh) * 2008-12-18 2009-05-27 成都市华为赛门铁克科技有限公司 一种固定虚拟网络地址的分配方法和网关
CN101534329B (zh) * 2009-04-16 2012-05-02 华为技术有限公司 一种ip地址分配方法及系统
EP2449742A1 (en) * 2009-07-01 2012-05-09 Solar Turbines Incorporated Method for connecting a first computer network to at least a second extended computer network
US9014184B2 (en) * 2009-09-24 2015-04-21 Nec Corporation System and method for identifying communication between virtual servers
US9036504B1 (en) * 2009-12-07 2015-05-19 Amazon Technologies, Inc. Using virtual networking devices and routing information to associate network addresses with computing nodes
CN102055816A (zh) * 2010-12-28 2011-05-11 华为技术有限公司 一种通信方法、业务服务器、中间设备、终端及通信系统
US8910300B2 (en) * 2010-12-30 2014-12-09 Fon Wireless Limited Secure tunneling platform system and method
EP2671399A1 (en) * 2011-02-01 2013-12-11 Telefonaktiebolaget L M Ericsson (PUBL) Method and apparatus for pcc support for scenarios with nat/napt in the pdn-gw
CN102724648B (zh) * 2011-03-30 2018-03-20 中兴通讯股份有限公司 一种隧道信息更新的方法和系统
WO2011144067A2 (zh) 2011-05-24 2011-11-24 华为技术有限公司 处理报文的方法和装置
WO2012162994A1 (zh) * 2011-09-30 2012-12-06 华为技术有限公司 对数据报文进行策略控制的方法和装置
US8661146B2 (en) * 2011-10-13 2014-02-25 Cisco Technology, Inc. Systems and methods for IP reachability in a communications network
US9549317B2 (en) * 2011-10-17 2017-01-17 Mitel Mobility Inc. Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
US9521145B2 (en) * 2011-10-17 2016-12-13 Mitel Mobility Inc. Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
US8832264B2 (en) * 2012-03-01 2014-09-09 Justin Pauley Network appliance for monitoring network requests for multimedia content
US9563480B2 (en) * 2012-08-21 2017-02-07 Rackspace Us, Inc. Multi-level cloud computing system
US9049114B2 (en) * 2012-08-31 2015-06-02 Cisco Technology, Inc. Network access device and method for automatically establishing connection to a wide area network
US8953592B2 (en) * 2012-09-28 2015-02-10 Juniper Networks, Inc. Network address translation for application of subscriber-aware services

Also Published As

Publication number Publication date
CN103840995A (zh) 2014-06-04
US10454880B2 (en) 2019-10-22
EP2916499B1 (en) 2020-01-08
JP2016503627A (ja) 2016-02-04
KR101650831B1 (ko) 2016-09-05
KR20150086529A (ko) 2015-07-28
US20150288651A1 (en) 2015-10-08
EP2916499A1 (en) 2015-09-09
CN103840995B (zh) 2017-10-24
WO2014079335A1 (zh) 2014-05-30
EP2916499A4 (en) 2015-12-09

Similar Documents

Publication Publication Date Title
JP6028269B2 (ja) Ipパケット処理方法および装置、ならびにネットワークシステム
CN107959654B (zh) 一种数据传输方法、装置及混合云系统
CN107580065B (zh) 一种私有云接入方法及设备
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
TWI225345B (en) Method and apparatus to manage address translation for secure connections
CN103023898B (zh) 一种访问vpn服务端内网资源的方法及装置
US20230133809A1 (en) Traffic forwarding and disambiguation by using local proxies and addresses
CN101964799B (zh) 点到网隧道方式下地址冲突的解决方法
US20120303949A1 (en) Packet transmission method, apparatus, and network system
CN106209838B (zh) Ssl vpn的ip接入方法及装置
CN105430059A (zh) 智能客户端路由
KR101640209B1 (ko) 휴대 모바일 가상사설망 서비스 지원장치 및 그 방법
WO2014075312A1 (zh) 一种网络穿越服务的提供方法、装置及系统
WO2009143729A1 (zh) 实现dhcp用户业务批发的方法、系统和设备
JP5679343B2 (ja) クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム
CN113904866B (zh) Sd-wan业务流量安全处置引流方法、设备、系统以及介质
US20140301396A1 (en) Method for constructing virtual private network, method for packet forwarding, and gateway apparatus using the methods
US11411771B1 (en) Networking in provider network substrate extensions
JP3491828B2 (ja) 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム
CN106027508A (zh) 一种认证加密的数据传输方法及装置
JP3935823B2 (ja) Httpセッション・トンネリング・システム、その方法、及びそのプログラム
CN109361684B (zh) 一种vxlan隧道的动态加密方法和系统
KR101382620B1 (ko) 가상사설망을 구성하는 장치 및 방법
KR102103704B1 (ko) Renat 통신 환경을 제공하기 위한 시스템 및 방법
CN108551496B (zh) 一种防止vpn客户端地址与本地地址冲突的解决方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160524

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160805

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160920

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160926

R150 Certificate of patent or registration of utility model

Ref document number: 6028269

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250