JP6107498B2 - 通信方法、通信装置及び通信プログラム - Google Patents

通信方法、通信装置及び通信プログラム Download PDF

Info

Publication number
JP6107498B2
JP6107498B2 JP2013148823A JP2013148823A JP6107498B2 JP 6107498 B2 JP6107498 B2 JP 6107498B2 JP 2013148823 A JP2013148823 A JP 2013148823A JP 2013148823 A JP2013148823 A JP 2013148823A JP 6107498 B2 JP6107498 B2 JP 6107498B2
Authority
JP
Japan
Prior art keywords
communication
path
router
tunnel
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013148823A
Other languages
English (en)
Other versions
JP2015023361A (ja
Inventor
祐二 今井
祐二 今井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013148823A priority Critical patent/JP6107498B2/ja
Priority to US14/299,529 priority patent/US9838220B2/en
Priority to EP14172136.5A priority patent/EP2827551B1/en
Publication of JP2015023361A publication Critical patent/JP2015023361A/ja
Application granted granted Critical
Publication of JP6107498B2 publication Critical patent/JP6107498B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信方法に関し、更には通信装置及び通信プログラムに関する。
国または地域を単位として広域に分散配置される複数の拠点対応のイントラネット間を中継回線及び中継ネットワークの少なくとも一方を含む中継伝送媒体によって接続して、通信を行わせる広域イントラネット間通信システムが存在する。この広域イントラネット間通信システムにおいては、通信データの外部漏洩を防止することが必須である。
特開平10−271167号公報
この広域イントラネット間通信システムにおけるイントラネット間接続は、主に次の3つの形態Type1,2,3に分類される。
Type1(図1(A)参照)は、通信事業者が保有するデータセンタ(例えば、DC東京、DC大阪)及びデータセンタ間の構内線を利用して、イントラネット(例えば、企業内ネットワーク)間を接続する形態である。また、Type1は、自営網運用者が中継伝送媒体として貸し出されたダークファイバ(dark fiber)により、イントラネット間を接続する形態である。このType1の接続形態においては、各イントラネット配置のルータには複数のクライアントコンピュータ(ホスト)が接続される。
Type2(図1(B)参照)は、通信事業者が提供する常時接続(1対1通信)の専用線(leased line)サービスを利用したり、通信事業者のIP(Internet Protocol)ネットワーク上に第三者がアクセスできない仮想閉域網(仮想私設網)を設定するIP−VPN(Internet Protocol-Virtual Private Network)サービスなどを利用して、イント
ラネット間を接続する形態である。このType2の接続形態においては、通信事業者のネットワーク配置のエッジルータとイントラネット配置のルータとが対向し、各イントラネット配置のルータには複数のクライアントコンピュータが接続される。
Type3(図1(C)参照)は、公衆網であるインターネットを企業通信のための仮想専用網とするインターネットVPN(Internet Virtual Private Network)を利用して、イントラネット間を接続する形態である。このType3の接続形態においては、通信事業者(ここでは、インターネット接続事業者:ISP(Internet Service Provider)
)のネットワーク配置のエッジルータ(R)とイントラネット配置のルータとが対向し、各イントラネット配置のルータには複数のクライアントコンピュータが接続される。また、各イントラネット配置のルータ(VPNルータ)間には、セキュリティ保証のためのIPsecトンネルが設定される。
上述したType1,2の接続形態においては、自営網運用者を含む通信事業者が中継伝送媒体である中継回線及び中継ネットワークの隔離に責任を持つので、通信データの外部漏洩の問題はない。
上述したType3の接続形態においては、インターネットを企業通信の仮想専用網に
利用するので、Type1,2の接続形態に対比してコストを大幅に抑制できる。しかし、通信データを伝送する通信事業者(ISP)が通信経路の往路及び復路で時々刻々変化するので、中継伝送媒体の管理責任を特定困難であり、通信データの外部漏洩を防止する対策が必要である。
上記IPsecトンネルは、IPsec(IP Security Protocol)におけるESP(Encapsulating Security Payload)プロトコルに則って暗号化された通信データ(カプセル化暗号パケット)を伝送するためのセキュリティ保証トンネルであり、通信データの外部漏洩を防止可能である。
Type3の接続形態においては、VPNルータが通信データに静的に暗号化を施し、IPsecトンネルを通してカプセル化暗号パケットを送受信することにより、VPNルータの管理者の責任で隔離性を確保している。しかし、カプセル化暗号パケットを送受信する場合、暗号(認証を含む)処理及びカプセル処理に起因し、カプセル化暗号パケットのパケット長が元の平文のIPパケットと比較して増大する。パケット長の増大は、通信性能を固定的に劣化させるので、遅延を抑制した広帯域な仮想ネットワークサービスの提供を推進するときの阻害要因になる。
課題は、イントラネット間通信における通信データの外部漏洩を防止し、かつ遅延を抑制した広帯域な仮想ネットワークサービスの提供を推進可能にする技術を提供することにある。
上記課題を解決するために、通信方法は、対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する複数の中継伝送装置に対応する通信事業者の識別番号の異同状態を判定し、イントラネット間に設定される第1の仮想通信路を通して前記対向の通信装置と暗号化された通信データを送受信する第1の通信形態及び前記イントラネット間に設定される第2の仮想通信路を通して前記対向の通信装置と平文の通信データを送受信する第2の通信形態を前記通信事業者の識別番号の異同状態の判定に応じて動的に代替使用するように、前記第1の仮想通信路及び前記第2の仮想通信路を切替える。
開示した通信方法によれば、対向の通信装置までの通過往路及び対向の通信装置からの通過復路の双方の安全性を動的に確認するので、イントラネット間通信における通信データの外部漏洩を防止し、かつ遅延を抑制した広帯域な仮想ネットワークサービスの提供を推進することができる。
他の課題、特徴及び利点は、図面及び特許請求の範囲とともに取り上げられる際に、以下に記載される発明を実施するための形態を読むことにより明らかになるであろう。
関連技術における広域イントラネット間接続形態を説明するための図。 第1の実施の形態におけるシステム及びVPNルータの構成を示す図。 第1の実施の形態のシステムにおいて送受信されるパケットを説明するための図。 第1の実施の形態におけるVPNルータのハードウェア構成を示す図。 第1の実施の形態のシステムにおける通過ルータ走査処理を説明するためのフローチャート。 第1の実施の形態のシステムにおける通過ルータ走査処理を説明するための図。 第1の実施の形態のシステムにおける通過ルータ走査処理を説明するための図。 第2の実施の形態におけるシステム及びVPNルータの構成を示す図。 第2の実施の形態のシステムにおける事業者間経路情報取得処理を説明するためのフローチャート。 第2の実施の形態のシステムにおける事業者間経路情報取得処理を説明するためのフローチャート。 変形例におけるシステム及びVPNルータを説明するための図。
以下、添付図面を参照して、さらに詳細に説明する。図面には好ましい実施形態が示されている。しかし、多くの異なる形態で実施されることが可能であり、本明細書に記載される実施形態に限定されない。
[第1の実施の形態]
[システム]
第1の実施の形態におけるシステムの構成を示す図2を参照すると、広域イントラネット間通信システムSYSは、国または地域を単位として広域に分散配置される複数の拠点対応のイントラネット(例えば、企業内ネットワーク)間を中継伝送媒体によって接続して通信を行わせる。
この広域イントラネット間通信システムSYSは、中継伝送媒体としてのインターネット1を企業通信のための仮想専用網とするインターネットVPN(Internet Virtual Private Network)を利用して、第1のイントラネット2及び第2のイントラネット3間を接続する形態(上記Type3参照)を採る。
この広域イントラネット間通信システムSYSにおいては、インターネット1を通して、対向する第1のイントラネット2及び第2のイントラネット3間で(厳密には、これらのイントラネット2,3にそれぞれ収容されるクライアントコンピュータ間で)通信データがパケット形態で送受信される。
この場合、第1のイントラネット2に収容されているVPNルータ10A及び第2のイントラネット3に収容されているVPNルータ10Bは、インターネット1に仮想的に設定される通信路であるトンネルを通してトンネリング接続される。
VPNルータ10A及びVPNルータ10Bは、セキュリティ保証のために、第1のIPトンネル(IPsecトンネル)4Aを通して暗号化された通信データ(カプセル化暗号パケット)を送受信する第1の通信形態を採る。ここで、IPsecトンネルは、IPsec(IP Security Protocol)におけるESP(Encapsulating Security Payload)プロトコルに則ってカプセル化暗号パケットを伝送(特に、限定を要しないときは、交換及び転送を含む)するためのセキュリティ保証トンネルであり、通信データの外部漏洩を防止可能である。
IPsecトンネル4Aを通してカプセル化暗号パケットを送受信する場合、暗号(認証を含む)処理及びカプセル処理に起因し、カプセル化暗号パケットのパケット長が元の平文のIPパケット(単に、平文パケットと記載することもある)と比較して増大する。パケット長の増大は、通信性能を固定的に劣化させるので、遅延を抑制した広帯域な仮想ネットワークサービスの提供を推進するときの阻害要因になる。
したがって、この広域イントラネット間通信システムSYSにおけるVPNルータ10A及びVPNルータ10Bは、後に詳述する許容条件が満足されているときは、第2のIPトンネル(平文トンネル)4Bを通してカプセル化平文パケットを送受信する第2の通信形態を採る。これらの第1の通信形態及び第2の通信形態は、許容条件に応じて、動的に代替使用される。
図3を参照すると、インターネット1に対して送信側に存在するVPNルータ10Aは、第1のイントラネット2内のクライアントコンピュータ(送信ホスト)5から送出された平文のIPパケットを暗号化した後、対向のVPNルータ10B宛のIPヘッダ(トンネル用IPヘッダ)とESPヘッダ(暗号ヘッダ)とを付加したカプセル化暗号パケットをインターネット1のIPsecトンネル4Aへ送信する。
また、インターネット1のIPsecトンネル4Aの受信側に存在するVPNルータ10Bは、受信したカプセル化暗号パケットからトンネル用IPヘッダ及び暗号ヘッダを取り除き、復号化した後に、第2のイントラネット3内のクライアントコンピュータ(受信ホスト)6へ平文のIPパケットを中継する。ここで、平文のIPパケットは、IPヘッダ、TCP(Transmission Control Protocol)ヘッダ、及びペイロードデータを含む。
平文トンネル4Bを通して送受信されるカプセル化平文パケットは、平文のIPパケットにトンネル用IPヘッダだけを付加した形態を採る。
再び、図2を参照すると、インターネット1においては、複数の通信事業者(ここでは、インターネット接続事業者ISP)により保有(運用)される、BGP(Border Gateway Protocol)ルータ7,8を含む複数のルータが配備されている。
また、インターネット1においては、IPアドレスレジストリのデータベースDB(具体的には、Whois DB)を含むサーバ9が配備されている。このIPアドレスレジストリは、地域インターネットレジストリ(RIR:Regional Internet Registry)であり、特定地域内のIPアドレス及びAS(Autonomous System)番号の割当て管理を行う
ためのレジストリである。APNIC(Asia Pacific Network Information Center)、
ARIN(American Registry for Internet Numbers)、及びRIPE NCC(Reseaux IP Europeans Network Coordination Center)などの5つの管理機関が存在する。
[VPNルータ]
次に、広域イントラネット間通信システムSYSにおけるVPNルータ10A及びVPNルータ10Bの詳細について説明する。
図2及び図4を参照すると、通信装置としてのVPNルータ10A及びVPNルータ10Bは、ハードウェア構成として、次の要素を含んでいる。つまり、プロセッサとしてのCPU(Central Processing Unit)11と、作業用メモリとしてのRAM(Random Access Memory)12と、立ち上げのためのブートプログラムを格納したROM(Read Only Memory)13とを備える。
また、VPNルータ10A及びVPNルータ10Bは、OS(Operating System)、各種アプリケーションプログラム、及び各種情報(データを含む)を書換え可能に格納する不揮発性のフラッシュメモリ14と、通信インタフェース15などとを備える。
更に詳述すると、VPNルータ10A及びVPNルータ10Bは、パケット処理部20、トンネル切替部30、及び判定部としての通過ルータ走査部40を機能構成要素として備える。
パケット処理部20がVPNルータ管理者からの指示に基づいて予め設定して参照する設定情報テーブル21には、設定項目と設定値とが対応付けて格納されている。
この例では、VPNルータ10Aの設定情報テーブル21は、インターネット宛先IPアドレス:192.0.2.1、秘密鍵交換情報:IKEv2/RSA−2048、秘密鍵A及び公開鍵B、及びトンネル暗号化情報:GRE/AES−256を格納(保持)している。このインターネット宛先IPアドレス[192.0.2.1]は、対向関係が予め定められているVPNルータ10Bのインターネット対応ポートのIPアドレスである。
また、VPNルータ10Bの設定情報テーブル21は、インターネット宛先IPアドレス:198.51.100.1、秘密鍵交換情報:IKEv2/RSA−2048、秘密鍵B及び公開鍵A、及びトンネル暗号化情報:GRE/AES−256を格納している。このインターネット宛先IPアドレス[198.51.100.1]は、対向関係が予め定められているVPNルータ10Aのインターネット対応ポートのIPアドレスである。
トンネル切替部30が設定して参照するトンネル種別テーブル31には、トンネル種別と開設状況とが対応付けて格納されている。この例では、VPNルータ10A,10Bのトンネル種別テーブル31は、前提(初期)条件として、IPsecトンネル:開設済、及び平文トンネル:開設なし(閉鎖)を格納している。
通過ルータ走査部40が設定して参照する通過ルータテーブル41には、通過IPアドレスとAS番号とが対応付けて格納されている。ここで、通過IPアドレスはインターネット宛先IPアドレスまでに通過するルータ対応のIPアドレス(例えば、198.51.100.10)である。また、AS番号は通過ルータを所有するISP事業者番号(例えば、65536)である。通過ルータ走査部40は、IPアドレスレジストリのデータベースDBを含むサーバ9に事業者情報問合せを行うことにより、通過IPアドレスに対応するAS番号を取得する。
後に詳述するパケット処理部20、トンネル切替部30及び通過ルータ走査部40によるパケット処理機能及び通過ルータ走査処理機能を論理的に実現するには、VPNルータ10A及びVPNルータ10Bにおいて、フラッシュメモリ14に制御プログラムをアプリケーションプログラムとしてインストールしておく。そして、VPNルータ10A及びVPNルータ10Bにおいては、電源投入を契機に、CPU11がこの制御プログラムをRAM12に常時展開して実行する。設定情報テーブル21、トンネル種別テーブル31及び通過ルータテーブル41はフラッシュメモリ14に構成可能である。
[パケット処理]
続いて、広域イントラネット間通信システムSYSのVPNルータ10A及びVPNルータ10Bにおけるパケット処理について説明する。
図2を参照すると、第1のイントラネット2に収容されている送信側のVPNルータ10Aにおいては、パケット処理部20は、受信部(図示省略)で受信したクライアントコンピュータ5からの平文のIPパケットに対して、暗号処理、認証処理及びカプセル処理を施して、カプセル化暗号パケットを生成する。
この生成過程において、パケット処理部20は、予め設定されている設定情報テーブル21を参照することにより、トンネル暗号化情報対応の暗号アルゴリズム及び秘密鍵交換情報対応の認証アルゴリズムに従って、暗号処理及び認証処理を行う。
生成されたカプセル化暗号パケットのトンネル用IPヘッダ内の送信元(ソース)アドレス(Source Address)及び宛先アドレス(Destination Address)には、VPNルータ
10A対応のIPアドレス[198.51.100.1]及びVPNルータ10B対応のIPアドレス[192.0.2.1]が、パケット処理部20によりそれぞれ設定される。
カプセル化暗号パケットは、送信部(図示省略)からインターネット1のIPsecトンネル4Aを通して、対向のVPNルータ10Bに送信される。
第2のイントラネット3に収容されている受信側のVPNルータ10Bにおいては、受信部(図示省略)は対向のVPNルータ10Aから送信されたカプセル化暗号パケットをインターネット1のIPsecトンネル4Aを通して受信する。
パケット処理部20は、受信されたカプセル化暗号パケットに対して、復号処理、認証処理、及びデカプセル処理を施して、平文パケットを生成する。
この生成過程において、パケット処理部20は、予め設定されている設定情報テーブル21を参照することにより、トンネル暗号化情報対応の暗号アルゴリズム及び秘密鍵交換情報対応の認証アルゴリズムに従って、復号処理及び認証処理を行う。
生成された平文パケットは、送信部(図示省略)から第2のイントラネット3の受信端に対応するクライアントコンピュータ6に送信される。
なお、対向するVPNルータ10A及びVPNルータ10Bがカプセル化平文パケットをインターネット1の平文トンネル4Bを通して送受信するときは、VPNルータ10Aのパケット処理部20による暗号処理及び認証処理、更にVPNルータ10Bのパケット処理部20による復号処理及び認証処理は実施されない。
各VPNルータ10A,10Bのパケット処理部20が、上述したパケット処理を実施するとき、IPsecトンネル4Aを通してカプセル化暗号パケットを送受信する第1の通信形態と、平文トンネル4Bを通してカプセル化平文パケットを送受信する第2の通信形態とのいずれを採用するかは、トンネル切替部30及び通過ルータ走査部40による通過ルータ走査処理との連携に基づいて決定する。
上述した広域イントラネット間通信システムSYSにおけるVPNルータ10A及びVPNルータ10Bは、送信側及び受信側のパケット処理機能だけをそれぞれ有する構成として説明したが、実際の運用では、各VPNルータ10A,10Bが双方のパケット処理機能を有する構成であることは、当業者が容易に理解できることである。
[通過ルータ走査処理]
続いて、広域イントラネット間通信システムSYSのVPNルータ10A及びVPNルータ10Bにおける通過ルータ走査処理について、図2、図5、図6及び図7を併せ参照して説明する。
VPNルータ10A及びVPNルータ10Bにおけるパケット処理部20、トンネル切替部30及び通過ルータ走査部40は、制御プログラムから起動された後、次に説明する通過ルータ走査処理を並行して実施する。
S1:例えば、VPNルータ10Aにおけるトンネル切替部30は、制御プログラムから起動されると、対向のVPNルータ10Bまでの通信経路(通過往路)を探索するため
に、通過ルータ走査部40に通過ルータ走査(厳密には、通過IPアドレス走査)を指示する。
S2:指示された通過ルータ走査部40は、通過ルータ走査を行い、検出した全ルータのIPアドレスについて、IPアドレスレジストリのデータベースDBで通信事業者のAS番号を検索する。
詳述すると、VPNルータ10Aにおける通過ルータ走査部40は、トンネル切替部30から通過ルータ走査を指示されると、例えば、ICMP(Internet Control Message Protocol)パケットにより対向のVPNルータ10Bまでの走査コマンド(ここでは、ト
レースルート(traceroute))を実行する。
この走査コマンドを実行することにより、次に例示するように、対向のVPNルータ10Bまでのネクストホップアドレス、つまりルーティングの際に次にパケットを転送する隣接ルータのIPアドレスの一覧が各応答時間とともに得られる。
$ traceroute−A oviss2.jp.fj.com
1 198.51.100.10 4.705ms
2 133.160.152.241 10.764ms
3 133.160.152.253 11.392ms
4 133.160.127.5 13.003ms
5 133.160.100.5 17.574ms
6 133.160.101.58 24.734ms
7 192.0.2.10 27.935ms
8 192.0.2.1 31.564ms
次に、通過ルータ走査部40は、IPアドレスレジストリのデータベースDB(具体的には、Whois DB)を含むサーバ9に対して、この走査コマンドの実行により得られたBGPルータ7のIPアドレス[198.51.100.10]、BGPルータ8のIPアドレス[192.0.2.10]、及びVPNルータ10BのIPアドレス[192.0.2.1]などについて接続サービスを行う通信事業者のAS番号(ISP事業者番号)を問合せる(図6,図7参照)。
この問合せを受けたサーバ9は、IPアドレスレジストリのデータベースDBを検索し、各IPアドレスと、対応するAS番号とを通過ルータ走査部40に応答する。
ここで、図6に示す例では、対応するAS番号として同一のAS番号[65536]が通過ルータ走査部40に応答される。また、図7に示す例では、対応するAS番号として異なるAS番号[65536]及び[75576]が通過ルータ走査部40に応答される。図6に示す例は、事業譲渡によりVPNルータ10Aに対して接続サービスを行う通信事業者が変更になったために、IPアドレスレジストリのデータベースDBにおけるアドレス収容替えが行われた場合などが該当する。
この問合せコマンド及び応答の一例は次に示すとおりである。
$ whois −h whois.apnic.net 192.0.2.1
ASN|IP|Name
65536|192.0.2.1|FJ LIMITED
VPNルータ10Aの通過ルータ走査部40は、サーバ9からの応答内容を通過ルータテーブル41に格納する。
S3:VPNルータ10Aの通過ルータ走査部40は、通過ルータテーブル41を参照
して、通過IPアドレスが全て同一のAS番号に対応していることを判定する。ここで、肯定判定のときは、処理S4が実施され、否定判定のときは、処理S6が実施される。
S4:VPNルータ10Aの通過ルータ走査部40は、処理S3において肯定判定のときは、対向のVPNルータ10Aまでの通信経路(通過復路)を探索するために、通過ルータ走査を同様に並行して実施している対向VPNルータ10Bの通過ルータ走査部40に走査状況を問合せる。
S5:VPNルータ10Aの通過ルータ走査部40は、対向VPNルータ10Bからの走査結果が[通過IPアドレスが全て同一のAS番号に対応していることを示す]かを判定する。ここで、肯定判定のときは、処理S13が実施され、否定判定のときは、処理S6が実施される。
S6:VPNルータ10Aの通過ルータ走査部40は、処理S3またはS5において否定判定のときは、IPsecトンネル4Aの開設をトンネル切替部30に要求する。トンネ
ル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況[開設済]を確認した後、パケット処理部20にパケット中継の開始を要求する。パケット処理部20は、IPsecトンネル4Aを通して、対向VPNルータ10Bのパケット処理部20とのパケット通信を実施する。
S7:トンネル切替部30は、定期的に(例えば、500msec,1sec間隔など)通信経路を探索するために、通過ルータ走査部40に通過ルータ走査を指示する。
S8:指示された通過ルータ走査部40は、サーバ9と連携して、上述した処理S2と同様の処理を実施する。
S9:通過ルータ走査部40は、通過ルータテーブル41を参照して、通過IPアドレスが全て同一のAS番号に対応していることを判定する。ここで、肯定判定のときは、処理S10が実施され、否定判定のときは、処理S6が実施される。
S10:通過ルータ走査部40は、処理S9において肯定判定のときは、対向VPNルータ10Bの通過ルータ走査部40に走査状況を問合せる。
S11:通過ルータ走査部40は、対向VPNルータ10Bからの走査結果が[通過IPアドレスが全て同一のAS番号に対応していることを示す]かを判定する。ここで、肯定判定のときは、処理S12が実施され、否定判定のときは、処理S7が実施される。
S12:通過ルータ走査部40は、処理S11において肯定判定のときは、IPsecト
ンネル4Aの閉鎖をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況を[開設済]から[開設なし(閉鎖)]に変更した後、パケット処理部20にパケット中継の中断を要求する。パケット処理部20は、IPsecトンネル4Aを通した対向VPNルータ10Bのパケット処理部20とのパケット通信を停止する。
S13:通過ルータ走査部40は、処理S5において肯定判定のときまたは処理S12に続いて、平文トンネル4Bの開設をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、平文トンネル4Bの開設状況を[開設なし(閉鎖)]から[開設済]に変更した後、パケット処理部20にパケット中継の開始を要求する。パケット処理部20は、平文トンネル4Bを通して、対向VPNルータ10Bのパケット処理部20とのパケット通信を実施する。このとき、パケット処理部20は、処
理12において中継を中断したパケットについて、必要に応じて再送処理を行う。
S14:トンネル切替部30は、定期的に通信経路を探索するために、通過ルータ走査部40に通過ルータ走査を指示する。
S15:指示された通過ルータ走査部40は、サーバ9と連携して、上述した処理S2と同様の処理を実施する。
S16:通過ルータ走査部40は、通過ルータテーブル41を参照して、通過IPアドレスが全て同一のAS番号に対応していることを判定する。ここで、肯定判定のときは、処理S14が実施され、否定判定のときは、処理S17が実施される。
S17:通過ルータ走査部40は、処理S16において否定判定のときは、対向VPNルータ10Bの通過ルータ走査部40に[通過IPアドレスが全て同一のAS番号に対応していないことを示す]走査結果を通報する。
S18:通過ルータ走査部40は、対向VPNルータ10Bの通過ルータ走査部40から[通過IPアドレスが全て同一のAS番号に対応していないことを示す]走査結果が通報されたときは、これを受信する。
S19:通過ルータ走査部40は、処理S17またはS18に続いて、平文トンネル4Bの閉鎖をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、平文トンネル4Bの開設状況を[開設済]から[開設なし(閉鎖)]に変更した後、パケット処理部20にパケット中継の中断を要求する。パケット処理部20は、平文トンネル4Bを通した対向VPNルータ10Bのパケット処理部20とのパケット通信を停止する。この処理S19に続いて処理S6が実施される。
[第1の実施の形態の効果]
上述した第1の実施の形態の広域イントラネット間通信システムSYSにおけるVPNルータ10Aは、イントラネット2,3間に設定されるIPsecトンネル4Aを通して対向のVPNルータ10Bと暗号化された通信データ(カプセル化暗号パケット)を送受信する第1の通信形態と、イントラネット2,3間に設定される平文トンネル4Bを通して対向のVPNルータ10Bと平文の通信データ(平文パケット)を送受信する第2の通信形態とを、対向のVPNルータ10Bまでの通過往路及び対向のVPNルータ10Bからの通過復路にそれぞれ存在する複数の中継伝送装置としてのルータに対応する通信事業者のAS番号の異同状態の判定に応じて動的に代替使用するように、IPsecトンネル4A及び平文トンネル4Bを切替える。
この通信方法によれば、対向のVPNルータ10Bまでの通過往路及び対向のVPNルータ10Bからの通過復路の双方の安全性を動的に確認するので、イントラネット間通信における通信データの外部漏洩を防止し、かつ遅延を抑制した広帯域な仮想ネットワークサービスの提供を推進することができる。
この通信方法によれば、対向のVPNルータ10Bまでの通過往路及び対向のVPNルータ10Bからの通過復路の双方の安全性を動的に確認するので、AS番号の異なる通信事業者対応のルータが通過経路に新たに導入されたことを確実に判定し、イントラネット間通信における通信データの外部漏洩を防止することができる。
[第2の実施の形態]
次に詳述する第2の実施の形態においては、上述した第1の実施の形態と同一事項は不
明確を生じない限り省略する。
[システム及びVPNルータ]
図8を参照すると、第2の実施の形態の広域イントラネット間通信システムSYSにおいては、第1のイントラネット2に収容されているVPNルータ10A及び第2のイントラネット3に収容されているVPNルータ10Bは、インターネット1のエッジに自律システム(AS)として配備される通信事業者のエッジルータであるBGPルータ7及びBGPルータ8と連携して事業者間経路情報を取得する。
第2の実施の形態の広域イントラネット間通信システムSYSにおける通信装置としてのVPNルータ10A及びVPNルータ10Bは、第1の実施の形態の広域イントラネット間通信システムSYSにおけるVPNルータ10A及びVPNルータ10Bと同一のハードウェア構成要素(図4参照)を含んでいる。また、VPNルータ10A及びVPNルータ10Bは、パケット処理部20、トンネル切替部30、及び判定部としての事業者間経路情報監視部50を機能構成要素として備える。
パケット処理部20がVPNルータ管理者からの指示に基づいて予め設定して参照する設定情報テーブル21には、設定項目と設定値とが対応付けて格納されている。
この例では、VPNルータ10Aの設定情報テーブル21は、インターネット宛先IPアドレス:192.0.2.1、秘密鍵交換情報:IKEv2/RSA−2048、秘密鍵A及び公開鍵B、トンネル暗号化情報:GRE/AES−256、及び隣接BGPルータIPアドレス:198.51.100.10を格納(保持)している。このインターネット宛先IPアドレス[192.0.2.1]は、対向関係が予め定められているVPNルータ10Bのインターネット対応ポートのIPアドレスである。また、隣接BGPルータIPアドレス[198.51.100.10]はBGPルータ7のIPアドレスである。
VPNルータ10Bの設定情報テーブル21は、インターネット宛先IPアドレス:198.51.100.1、秘密鍵交換情報:IKEv2/RSA−2048、秘密鍵B及び公開鍵A、トンネル暗号化情報:GRE/AES−256、及び隣接BGPルータIPアドレス:192.0.2.10を格納している。このインターネット宛先IPアドレス[198.51.100.1]は、対向関係が予め定められているVPNルータ10Aのインターネット対応ポートのIPアドレスである。また、隣接BGPルータIPアドレス[192.0.2.10]はBGPルータ8のIPアドレスである。
トンネル切替部30が設定して参照するトンネル種別テーブル31には、トンネル種別と開設状況とが対応付けて格納されている。この例では、VPNルータ10A,10Bのトンネル種別テーブル31は、前提(初期)条件として、IPsecトンネル:開設済、及び平文トンネル:開設なし(閉鎖)を格納している。
事業者間経路情報監視部50が設定して参照する事業者間経路情報テーブル51には、宛先AS番号と事業者間経路情報(ASPATH)とベストパス識別情報とが対応付けて格納されている。ここで、宛先AS番号は、対向のVPNルータのIPアドレスについて接続サービスを行う通信事業者のISP事業者番号(例えば、65536)である。事業者間経路情報は、宛先に到達するまでに経由した隣接BGPルータを含む通過BGPルータを所有(運用)するAS番号(ISP事業者番号)のリスト、つまりASパスである。また、ベストパス識別情報は、事業者間経路情報が最短経路またはより短い経路であることを示し、該当パスには予め定められたフラグが設定される。
各VPNルータ10A,10Bのパケット処理部20が、パケット処理を実施するとき、IPsecトンネル4Aを通してカプセル化暗号パケットを送受信する第1の通信形態と、平文トンネル4Bを通してカプセル化平文パケットを送受信する第2の通信形態とのいずれを採用するかは、トンネル切替部30及び事業者間経路情報監視部50による事業者間経路情報取得処理との連携に基づいて決定する。
後に詳述するパケット処理部20、トンネル切替部30及び事業者間経路情報監視部50による事業者間経路情報取得処理機能を論理的に実現するには、VPNルータ10A及びVPNルータ10Bにおいて、フラッシュメモリ14に制御プログラムをアプリケーションプログラムとしてインストールしておく。そして、VPNルータ10A及びVPNルータ10Bにおいては、電源投入を契機に、CPU11がこの制御プログラムをRAM12に常時展開して実行する。設定情報テーブル21、トンネル種別テーブル31及び事業者間経路情報テーブル51はフラッシュメモリ14に構成可能である。
[事業者間経路情報取得処理]
続いて、広域イントラネット間通信システムSYSのVPNルータ10A及びVPNルータ10Bにおける事業者間経路情報取得処理について、図8、図9及び図10を併せ参照して説明する。
VPNルータ10A及びVPNルータ10Bにおけるパケット処理部20、トンネル切替部30及び事業者間経路情報監視部50は、制御プログラムから起動されたとき、またはBGPルータ7,8からBGP経路情報が通知されたとき、次に説明する事業者間経路情報取得処理を並行して実施する。
S31(図9参照):例えば、VPNルータ10Aにおけるトンネル切替部30は、制御プログラムから起動されると、事業者間経路情報監視部50に対向のVPNルータ10Bまでの通信経路(通過往路)のベストパスの決定を指示する。
指示された事業者間経路情報監視部50は、BGP(Border Gateway Protocol)に則
り、インターネット1のエッジに自律システム(AS)として配備されている通信事業者のエッジルータであるBGPルータ7から宛先AS番号[65536]に向かう事業者間経路情報を取得し、通信事業者により選択された通信経路が異なる通信事業者を通過(経由)していないことを確認する。
この結果、VPNルータ10Aにおける事業者間経路情報監視部50は、事業者間経路情報テーブル51における事業者間経路情報[65536]をベストパスとして決定し、予め定められたフラグ[○]を設定する。
なお、インターネット1に自律システムとして配備されている各通信事業者のエッジルータである全てのBGPルータは、変更発生時にUPDATEメッセージを交換することにより、最新の事業者間経路情報を保持している。
S32:事業者間経路情報監視部50は、事業者間経路情報テーブル51を参照して、ベストパスが1つのAS番号に対応していることを判定する。ここで、肯定判定のときは、処理S33が実施され、否定判定のときは、処理S36が実施される。
S33:事業者間経路情報監視部50は、処理S32において肯定判定のときは、対向のVPNルータ10Aまでの通信経路(通過復路)の事業者間経路情報取得処理を同様に並行して実施している対向VPNルータ10Bの事業者間経路情報監視部50に事業者間経路情報取得状況を問合せる。
S34:事業者間経路情報監視部50は、対向VPNルータ10Bからの事業者間経路情報取得結果が[ベストパスが全て同一のAS番号に対応していることを示す]かを判定する。ここで、肯定判定のときは、処理S35が実施され、否定判定のときは、処理S36が実施される。
S35:事業者間経路情報監視部50は、処理S34において肯定判定のときは、平文トンネル4Bの開設をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、平文トンネル4Bの開設状況を[開設なし(閉鎖)]から[開設済]に変更した後、パケット処理部20にパケット中継の開始を要求する。パケット処理部20は、平文トンネル4Bを通して、対向VPNルータのパケット処理部20とのパケット通信を実施する。
S36:事業者間経路情報監視部50は、処理S32またはS34において否定判定のときは、IPsecトンネル4Aの開設をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況[開設済]を確認した後、パケット処理部20にパケット中継の開始を要求する。パケット処理部20は、IPsecトンネル4Aを通して、対向VPNルータのパケット処理部20とのパケット通信を実施する。
S41:VPNルータ10Aにおけるトンネル切替部30は、BGPルータ7からBGP経路情報が定期的に(例えば、180msec,544msec間隔など)または変更発生時にUPDATEメッセージにより通知されると、事業者間経路情報監視部50に事業者間経路情報のベストパスの再決定を指示する。
指示された事業者間経路情報監視部50は、プロトコルBGPに則り、インターネット1のエッジに自律システムとして配備されている通信事業者のエッジルータであるBGPルータ7から宛先AS番号[65536]に向かう事業者間経路情報を取得し、通信事業者により選択された通信経路が異なる通信事業者を通過していないことを確認する。
この結果、VPNルータ10Aにおける事業者間経路情報監視部50は、更新した事業者間経路情報テーブル51において、決定したベストパスの項目に予め定められたフラグを設定する。
S42:事業者間経路情報監視部50は、事業者間経路情報テーブル51を参照して、ベストパスが1つのAS番号に対応していることを判定する。ここで、肯定判定のときは、処理S43が実施され、否定判定のときは、処理S44が実施される。
S43:事業者間経路情報監視部50は、処理S42において肯定判定のときは、平文トンネル4Bが開設済であることをトンネル切替部30に確認する。平文トンネル4Bが開設済であるときは、パケット処理部20は、平文トンネル4Bを通して、対向VPNルータのパケット処理部20とのパケット通信を継続する。ここで、否定判定のときは、処理S48が実施される。
S44:事業者間経路情報監視部50は、処理S42において否定判定のときは、IPsecトンネル4Aが開設済であることをトンネル切替部30に確認する。IPsecトンネル4Aが開設済であるときは、パケット処理部20は、IPsecトンネル4Aを通して、対向VPNルータのパケット処理部20とのパケット通信を継続する。ここで、否定判定のときは、処理S45が実施される。
S45:事業者間経路情報監視部50は、処理S44において否定判定のときは、平文トンネル4Bの閉鎖をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、平文トンネル4Bの開設状況を[開設済]から[開設なし(閉鎖)]に変更した後、パケット処理部20にパケット中継の一時停止を要求する。パケット処理部20は、平文トンネル4Bを通した対向VPNルータのパケット処理部20とのパケット通信を停止する。
S46:事業者間経路情報監視部50は、処理S45に続いて、対向VPNルータ10Bのトンネル切替部30にIPsecトンネル4Aへの切替えを要請する。
S47:事業者間経路情報監視部50は、処理S46に続いて、IPsecトンネル4Aの開設をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況を[開設なし(閉鎖)]から[開設済]に変更した後、パケット処理部20にパケット中継の再開を要求する。パケット処理部20は、IPsecトンネル4Aを通して、対向VPNルータのパケット処理部20とのパケット通信を実施する。
S48:事業者間経路情報監視部50は、処理S43において否定判定のときは、対向VPNルータ10Bの事業者間経路情報監視部50に事業者間経路情報取得状況を問合せる。
S49:事業者間経路情報監視部50は、対向VPNルータ10Bからの事業者間経路情報取得結果が[ベストパスが全て同一のAS番号に対応していることを示す]かを判定する。ここで、肯定判定のときは、処理S50が実施される。また、否定判定のときは、パケット処理部20は、IPsecトンネル4Aを通して、対向VPNルータのパケット処理部20とのパケット通信を継続する。
S50:事業者間経路情報監視部50は、処理S49において肯定判定のときは、対向VPNルータ10Bのトンネル切替部30に平文トンネル4Bへの切替えを要請する。
S51:事業者間経路情報監視部50は、処理S50に続いて、IPsecトンネル4Aの閉鎖をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況を[開設済]から[開設なし(閉鎖)]に変更した後、パケット処理部20にパケット中継の一時停止を要求する。パケット処理部20は、IPsecトンネル4Aを通した対向VPNルータのパケット処理部20とのパケット通信を停止する。
S52:事業者間経路情報監視部50は、処理S51に続いて、平文トンネル4Bの開設をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、平文トンネル4Bの開設状況を[開設なし(閉鎖)]から[開設済]に変更した後、パケット処理部20にパケット中継の再開を要求する。パケット処理部20は、平文トンネル4Bを通して、対向VPNルータのパケット処理部20とのパケット通信を再開する。
S461(図10参照):処理S46に関し、対向VPNルータ(例えば、VPNルータ10A)のトンネル切替部30からIPsecトンネル4Aへの切替えを要請された対向VPNルータ(例えば、VPNルータ10B)の事業者間経路情報監視部50は、平文トンネル4Bの閉鎖をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、平文トンネル4Bの開設状況を[開設済]から[開設なし(閉鎖)]に変更した後、パケット処理部20にパケット中継の一時停止を要求する。パ
ケット処理部20は、平文トンネル4Bを通した対向VPNルータ(例えば、VPNルータ10A)のパケット処理部20とのパケット通信を一時停止する。
S462:事業者間経路情報監視部50は、処理S461に続いて、IPsecトンネル4Aの開設をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況を[開設なし(閉鎖)]から[開設済]に変更した後、パケット処理部20にパケット中継の再開を要求する。パケット処理部20は、IPsecトンネル4Aを通して、対向VPNルータのパケット処理部20とのパケット通信を実施する。
S501(図10参照):処理S50に関し、対向VPNルータ(例えば、VPNルータ10A)のトンネル切替部30から平文トンネル4Bへの切替えを要請された対向VPNルータ(例えば、VPNルータ10B)の事業者間経路情報監視部50は、IPsecトンネル4Aの閉鎖をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、IPsecトンネル4Aの開設状況を[開設済]から[開設なし(閉鎖)]に変更した後、パケット処理部20にパケット中継の一時停止を要求する。パケット処理部20は、IPsecトンネル4Aを通した対向VPNルータ(例えば、VPNルータ10A)のパケット処理部20とのパケット通信を一時停止する。
S502:事業者間経路情報監視部50は、処理S501に続いて、平文トンネル4Bの開設をトンネル切替部30に要求する。トンネル切替部30は、トンネル種別テーブル31を参照して、平文トンネル4Bの開設状況を[開設なし(閉鎖)]から[開設済]に変更した後、パケット処理部20にパケット中継の再開を要求する。パケット処理部20は、平文トンネル4Bを通して、対向VPNルータのパケット処理部20とのパケット通信を実施する。
[第2の実施の形態の効果]
上述した第2の実施の形態の広域イントラネット間通信システムSYSにおいても第1の実施の形態のシステムと同様の効果を有する。
[変形例]
上述した第1及び第2の実施の形態の広域イントラネット間通信システムSYSにおけるIPsecトンネル4A及び平文トンネル4Bの双方は、暗号化された通信データであるカプセル化暗号パケットを伝送する予備仮想通信路及び平文の通信データである平文パケットを伝送する現用仮想通信路として予め設定され、対向のVPNルータ10Bまでの通過往路及び対向のVPNルータ10Bからの通過復路にそれぞれ存在する複数のルータに対応する通信事業者のAS番号の異同状態に応じて切替使用される構成としてもよい(図11参照)。
この変形例によると、AS番号の異なる通信事業者対応のルータが通過経路に新たに導入されたことを判定したとき、現用仮想通信路の平文トンネル4Bから予備仮想通信路のIPsecトンネル4Aに瞬時に切替えることで、切替時間を短縮することができる。
上述した各処理はコンピュータで実行可能なプログラムとして提供され、CD−ROMやフレキシブルディスクなどの非一時的コンピュータ可読記録媒体、さらには通信回線を経て提供可能である。
また、上述した各処理はその任意の複数または全てを選択し組合せて実施することもできる。
SYS 広域イントラネット間通信システム
1 インターネット
2 第1のイントラネット
3 第2のイントラネット
4A IPsecトンネル
4B 平文トンネル
5 クライアントコンピュータ
6 クライアントコンピュータ
7 BGPルータ
8 BGPルータ
9 サーバ
10A VPNルータ
10B VPNルータ
20 パケット処理部
30 トンネル切替部
40 通過ルータ走査部
50 事業者間経路情報監視部

Claims (6)

  1. 対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する複数の中継伝送装置に対応する通信事業者の識別番号の異同状態を判定し、
    イントラネット間に設定される第1の仮想通信路を通して前記対向の通信装置と暗号化された通信データを送受信する第1の通信形態及び前記イントラネット間に設定される第2の仮想通信路を通して前記対向の通信装置と平文の通信データを送受信する第2の通信形態を前記通信事業者の識別番号の異同状態の判定に応じて動的に代替使用するように、前記第1の仮想通信路及び前記第2の仮想通信路を切替える、
    ことをプロセッサが実行する通信方法。
  2. 前記対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する前記複数の中継伝送装置に対応する前記通信事業者の識別番号が同一状態であると判定したときに限り、前記第2の通信形態を使用するように、前記第1の仮想通信路から前記第2の仮想通信路に切替える、
    請求項1記載の通信方法。
  3. 前記第1の仮想通信路及び前記第2の仮想通信路はトンネリング接続により設定され、
    前記暗号化された通信データはカプセル化暗号パケットであり、
    前記平文の通信データはカプセル化平文パケットである、
    請求項1または2記載の通信方法。
  4. 前記第1の仮想通信路及び前記第2の仮想通信路の双方は、前記暗号化された通信データを伝送する予備仮想通信路及び前記平文の通信データを伝送する現用仮想通信路として予め設定され、前記通信事業者の識別番号の異同状態の判定に応じて切替使用される、
    請求項1、2または3記載の通信方法。
  5. 対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する複数の中継伝送装置に対応する通信事業者の識別番号の異同状態を判定する判定部と、
    イントラネット間に設定される第1の仮想通信路を通して前記対向の通信装置と暗号化された通信データを送受信する第1の通信形態及び前記イントラネット間に設定される第2の仮想通信路を通して前記対向の通信装置と平文の通信データを送受信する第2の通信形態を前記通信事業者の識別番号の異同状態の判定に応じて動的に代替使用するように、前記第1の仮想通信路及び前記第2の仮想通信路を切替える切替部と、
    を備える通信装置。
  6. 対向の通信装置までの通過往路及び前記対向の通信装置からの通過復路にそれぞれ存在する複数の中継伝送装置に対応する通信事業者の識別番号の異同状態を判定し、
    イントラネット間に設定される第1の仮想通信路を通して前記対向の通信装置と暗号化された通信データを送受信する第1の通信形態及び前記イントラネット間に設定される第2の仮想通信路を通して前記対向の通信装置と平文の通信データを送受信する第2の通信形態を前記通信事業者の識別番号の異同状態の判定に応じて動的に代替使用するように、前記第1の仮想通信路及び前記第2の仮想通信路を切替える、
    ことをプロセッサに実行させる通信プログラム。
JP2013148823A 2013-07-17 2013-07-17 通信方法、通信装置及び通信プログラム Expired - Fee Related JP6107498B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013148823A JP6107498B2 (ja) 2013-07-17 2013-07-17 通信方法、通信装置及び通信プログラム
US14/299,529 US9838220B2 (en) 2013-07-17 2014-06-09 Communication method, communication apparatus and non-transitory readable medium
EP14172136.5A EP2827551B1 (en) 2013-07-17 2014-06-12 Communication method, communication apparatus and communication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013148823A JP6107498B2 (ja) 2013-07-17 2013-07-17 通信方法、通信装置及び通信プログラム

Publications (2)

Publication Number Publication Date
JP2015023361A JP2015023361A (ja) 2015-02-02
JP6107498B2 true JP6107498B2 (ja) 2017-04-05

Family

ID=50980147

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013148823A Expired - Fee Related JP6107498B2 (ja) 2013-07-17 2013-07-17 通信方法、通信装置及び通信プログラム

Country Status (3)

Country Link
US (1) US9838220B2 (ja)
EP (1) EP2827551B1 (ja)
JP (1) JP6107498B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9979698B2 (en) 2014-06-27 2018-05-22 iPhotonix Local internet with quality of service (QoS) egress queuing
US9590911B2 (en) 2014-06-27 2017-03-07 iPhotonix Wireless area network (WAN) overloading
US9565277B2 (en) * 2014-06-27 2017-02-07 iPhotonix Dual-homed external network access in a distributed internet protocol (IP) router
US9794172B2 (en) 2014-06-27 2017-10-17 iPhotonix Edge network virtualization
US10567347B2 (en) * 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service
US11121963B2 (en) * 2019-11-04 2021-09-14 Arrcus Inc. Best path computation offload in a network computing environment
US11265296B1 (en) * 2021-05-11 2022-03-01 Roqos, Inc. System and method to create and implement virtual private networks over internet for multiple internet access types
CN114500177B (zh) * 2022-04-13 2022-08-12 北京全路通信信号研究设计院集团有限公司 一种传输通信方式确定方法及其系统
US12199868B2 (en) * 2022-05-27 2025-01-14 Cisco Technology, Inc. Optimizing IPSec for hierarchical SD-WAN

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3005490B2 (ja) 1997-03-27 2000-01-31 九州日本電気ソフトウェア株式会社 Hub間データ暗号化によるデータセキュリティ確保装置と方法
GB2352370B (en) 1999-07-21 2003-09-03 Int Computers Ltd Migration from in-clear to encrypted working over a communications link
WO2006043463A1 (ja) 2004-10-19 2006-04-27 Nec Corporation Vpnゲートウェイ装置およびホスティングシステム
JP2008252456A (ja) * 2007-03-30 2008-10-16 Toshiba Corp 通信装置、及び通信方法
US8289845B1 (en) * 2007-05-15 2012-10-16 Avaya Inc. Assured path optimization
JP2010220038A (ja) * 2009-03-18 2010-09-30 Oki Networks Co Ltd ゲートウェイ装置

Also Published As

Publication number Publication date
EP2827551B1 (en) 2016-02-17
EP2827551A2 (en) 2015-01-21
US20150023357A1 (en) 2015-01-22
JP2015023361A (ja) 2015-02-02
US9838220B2 (en) 2017-12-05
EP2827551A3 (en) 2015-03-04

Similar Documents

Publication Publication Date Title
JP6107498B2 (ja) 通信方法、通信装置及び通信プログラム
EP4315806B1 (en) A unified network service that connects multiple disparate private networks and end user client devices operating on separate networks
US8713305B2 (en) Packet transmission method, apparatus, and network system
CN110870277B (zh) 将中间盒引入到客户端与服务器之间的安全通信中
US7447901B1 (en) Method and apparatus for establishing a dynamic multipoint encrypted virtual private network
US9258282B2 (en) Simplified mechanism for multi-tenant encrypted virtual networks
US20110113236A1 (en) Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism
WO2019024880A1 (zh) 发送报文的方法和网络设备
EP4038824B1 (en) Security association reuse for multiple connections
CN103259724B (zh) 一种mpls vpn的实现方法、系统及客户边缘设备
US20250350669A1 (en) Parameter advertisement method and apparatus, device, and system
JP2023531034A (ja) サービス伝送方法、装置、ネットワーク機器及び記憶媒体
US12289600B2 (en) Establishing multiple security associations in a connection operation
Carthern et al. Advanced Routing
WO2023197137A1 (en) End-to-end mac-security path setup in level 3 virtual private networks
EP4195599A1 (en) Communication method and apparatus, and device and system
WO2024156013A2 (en) Sd-wan traffic engineering
Varet et al. Security capability discovery protocol over unsecured IP-based topologies
Doss et al. A Layered Framework Strategy for Deploying High Assurance VPNs

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170220

R150 Certificate of patent or registration of utility model

Ref document number: 6107498

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees