JP7540823B2 - NETWORK MANAGEMENT SYSTEM, VPN DEVICE, NETWORK MANAGEMENT METHOD, AND NETWORK MANAGEMENT PROGRAM - Google Patents

NETWORK MANAGEMENT SYSTEM, VPN DEVICE, NETWORK MANAGEMENT METHOD, AND NETWORK MANAGEMENT PROGRAM Download PDF

Info

Publication number
JP7540823B2
JP7540823B2 JP2022035253A JP2022035253A JP7540823B2 JP 7540823 B2 JP7540823 B2 JP 7540823B2 JP 2022035253 A JP2022035253 A JP 2022035253A JP 2022035253 A JP2022035253 A JP 2022035253A JP 7540823 B2 JP7540823 B2 JP 7540823B2
Authority
JP
Japan
Prior art keywords
address
local terminal
management table
terminal management
local
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022035253A
Other languages
Japanese (ja)
Other versions
JP2023130772A (en
Inventor
寛 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2022035253A priority Critical patent/JP7540823B2/en
Publication of JP2023130772A publication Critical patent/JP2023130772A/en
Application granted granted Critical
Publication of JP7540823B2 publication Critical patent/JP7540823B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、ネットワーク管理システム、VPN装置、ネットワーク管理方法及びネットワーク管理プログラムに関する。特に、VPN装置に接続された端末を管理するネットワーク管理システム、VPN装置、ネットワーク管理方法及びネットワーク管理プログラムに関する。 The present invention relates to a network management system, a VPN device, a network management method, and a network management program. In particular, the present invention relates to a network management system, a VPN device, a network management method, and a network management program that manage terminals connected to a VPN device.

特許文献1、2に開示されるように、VPN(Virtual Private Network)と称される、遠隔地に存在する複数のプライベートネットワークを単一の仮想プライベートネットワークとして管理する技術が存在する。 As disclosed in Patent Documents 1 and 2, there is a technology known as a VPN (Virtual Private Network) that manages multiple private networks located in remote locations as a single virtual private network.

特開2006-262131号公報JP 2006-262131 A 国際公開第2007/141840号WO 2007/141840

以下の分析は、本発明の観点からなされたものである。なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。 The following analysis has been made from the perspective of the present invention. The disclosures of the above-mentioned prior art documents are incorporated herein by reference.

従来では、遠隔地間の端末の移動であっても端末のIPアドレスを変更している。そのため、IPアドレスベースのセキュリティポリシを適用する場合は、セキュリティポリシを動的に更新しなければならず、ネットワーク管理上のコストが高いという問題がある。また、アドレスが変更された場合は端末同士の通信も切断される場合が多々あるという問題がある。 Conventionally, the IP address of a terminal is changed even when the terminal moves between remote locations. Therefore, when applying an IP address-based security policy, the security policy must be dynamically updated, resulting in high network management costs. In addition, there is also the problem that communication between terminals is often interrupted when the address is changed.

特許文献1には、異なるプライベートネットワークに対して同時に接続可能にする技術が開示されている。また特許文献2には、モバイルルータ等を用いる技術が開示されている。しかしながら、いずれの技術であっても、低機能装置(小型IoT(Internet of Things)デバイスなど)の全てに実装することは困難である。 Patent Document 1 discloses a technology that enables simultaneous connection to different private networks. Patent Document 2 discloses a technology that uses a mobile router or the like. However, it is difficult to implement either technology in all low-function devices (such as small IoT (Internet of Things) devices).

そこで、本発明では、ネットワーク管理上のコストを抑えつつ、端末間の通信を遮断することなく端末が遠隔地を移動させることが可能となる技術を提供することを目的とする。 The present invention aims to provide a technology that enables terminals to move between remote locations without interrupting communication between terminals, while reducing network management costs.

本発明の第1の視点によれば、
複数のVPN(仮想プライベートネットワーク)装置を含み、
各VPN装置が、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知部と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、を有する、
ネットワーク管理システム、が提供される。 According to a first aspect of the present invention,
A plurality of VPN (Virtual Private Network) devices are included;
Each VPN device:
a local terminal management table for managing, in association with each other, IP addresses and MAC addresses of local terminals that are terminals connected to a private network managed by the local terminal management device;
a remote terminal management table for managing identifiers of other devices in association with IP addresses of remote terminals that are terminals connected to a private network managed by the other devices;
a local terminal registration unit that assigns an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registers the IP address in the local terminal management table;
a notification unit that notifies other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration unit that, when receiving a notification of an IP address from another device, registers the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay unit which reads an IP address of a destination terminal from a packet, and relays the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relays the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
A network management system is provided.

本発明の第2の視点によれば、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知部と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、
を有する、VPN(仮想プライベートネットワーク)装置、が提供される。 According to a second aspect of the present invention,
a local terminal management table for managing, in association with each other, IP addresses and MAC addresses of local terminals that are connected to a private network managed by the local terminal management device;
a remote terminal management table for managing identifiers of other devices in association with IP addresses of remote terminals that are terminals connected to a private network managed by the other devices;
a local terminal registration unit that assigns an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registers the IP address in the local terminal management table;
a notification unit that notifies other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration unit that, when receiving a notification of an IP address from another device, registers the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay unit that reads an IP address of a destination terminal from a packet, and relays the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relays the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
A VPN (Virtual Private Network) device is provided, comprising:

本発明の第3の視点によれば、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各VPN装置が、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録ステップと、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知ステップと、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録ステップと、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継ステップと、を実行する、
ネットワーク管理方法、が提供される。 According to a third aspect of the present invention,
Each VPN device includes a local terminal management table for associating and managing an IP address and a MAC address of a local terminal that is a terminal connected to a private network managed by the device itself, and a remote terminal management table for associating and managing an identifier of another device with an IP address of a remote terminal that is a terminal connected to a private network managed by the other device,
a local terminal registration step of assigning an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local device and other devices to the local terminal and registering the IP address in the local terminal management table;
a notification step of notifying another device of the IP address of the local terminal registered in the local terminal management table;
a remote terminal registration step of, when receiving a notification of an IP address from another device, registering the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay step of reading an IP address of a destination terminal from the packet, and relaying the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relaying the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
A method for managing a network is provided.

本発明の第4の視点によれば、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各VPN装置としてのコンピュータに、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録処理と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知処理と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録処理と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継処理と、を実行させる、
ネットワーク管理プログラム、が提供される。 According to a fourth aspect of the present invention,
A computer as each VPN device includes a local terminal management table for associating and managing IP addresses and MAC addresses of local terminals that are terminals connected to a private network managed by the device itself, and a remote terminal management table for associating and managing identifiers of other devices and IP addresses of remote terminals that are terminals connected to the private network managed by the other devices,
a local terminal registration process for assigning an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registering the IP address in the local terminal management table;
a notification process for notifying other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration process for, when receiving a notification of an IP address from another device, registering the received IP address in the remote terminal management table in association with an identifier of the other device that is the sender;
executes a packet relay process for reading an IP address of a destination terminal from the packet, and relaying the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relaying the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
A network management program is provided.

本発明の各視点によれば、ネットワーク管理上のコストを抑えつつ、端末間の通信を遮断することなく端末が遠隔地を移動させることに貢献するネットワーク管理システム、VPN装置、ネットワーク管理方法及びネットワーク管理プログラムが提供される。 According to each aspect of the present invention, a network management system, a VPN device, a network management method, and a network management program are provided that contribute to terminals being able to move between remote locations without interrupting communications between terminals while reducing network management costs.

本発明の概要を説明するための図である。FIG. 1 is a diagram for explaining an overview of the present invention. VPN装置100の構成の一例を示すブロック図である。1 is a block diagram showing an example of a configuration of a VPN device 100. FIG. ローカル端末管理テーブル10に登録される情報の一例を示す図である。3 is a diagram showing an example of information registered in a local terminal management table 10. FIG. リモート端末管理テーブル20に登録される情報の一例を示す図である。4 is a diagram showing an example of information registered in a remote terminal management table 20. FIG. 従来技術と本発明との比較を説明する上での従来技術を示す図であるFIG. 1 is a diagram showing a conventional technique for explaining a comparison between the conventional technique and the present invention; 従来技術と本発明との比較を説明する上での本発明を示す図であるFIG. 1 is a diagram illustrating the present invention in comparison with the prior art; VPN装置100による処理の流れを示すフローチャートである。4 is a flowchart showing a flow of processing by the VPN device 100. VPN装置100による処理の流れを示すフローチャートである。4 is a flowchart showing a flow of processing by the VPN device 100. VPN装置100による処理の流れを示すフローチャートである。4 is a flowchart showing a flow of processing by the VPN device 100. VPN装置100による処理の流れを示すフローチャートである。4 is a flowchart showing a flow of processing by the VPN device 100. VPN装置100による処理の流れを示すフローチャートである。4 is a flowchart showing a flow of processing by the VPN device 100. VPN装置100による処理の流れを示すフローチャートである。4 is a flowchart showing a flow of processing by the VPN device 100. VPN装置100による処理の流れを示すフローチャートである。4 is a flowchart showing a flow of processing by the VPN device 100. VPN装置100としてのコンピュータの一例を示す図である。FIG. 1 illustrates an example of a computer serving as a VPN device 100.

本発明のとり得る好適な実施形態について図面を参照して詳細に説明する。なお、以下の記載に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。 A preferred embodiment of the present invention will be described in detail with reference to the drawings. Note that the reference symbols in the drawings are added to each element for convenience as an example to aid understanding, and are not intended to limit the present invention to the illustrated form. Furthermore, the connection lines between blocks in each drawing include both bidirectional and unidirectional lines. One-way arrows are used to indicate the flow of the main signal (data) and do not exclude bidirectionality. Furthermore, although not explicitly shown, input and output ports exist at the input and output ends of each connection line in the circuit diagrams, block diagrams, internal configuration diagrams, connection diagrams, etc. shown in this disclosure. The same applies to input/output interfaces.

先ず、本発明の一概要について説明する。図1に示すように、ネットワーク管理システム1000は、複数のVPN(仮想プライベートネットワーク:Virtual Private Network)装置100を含む。各VPN装置100は同様の構成を有し、VPN番号1~3によって識別される。なお、例えば、VPN番号1のVPN装置100は、VPN装置(1)と表記する。VPN装置(1)には端末1、2が接続され、PN1(プライベートネットワーク1)を管理する。同様にVPN装置(2)には、端末3、4が接続されてPN2を管理し、VPN装置(3)には、端末5、6が接続されてPN3を管理する。 First, an overview of the present invention will be described. As shown in FIG. 1, a network management system 1000 includes multiple VPN (Virtual Private Network) devices 100. Each VPN device 100 has the same configuration and is identified by VPN numbers 1 to 3. For example, the VPN device 100 with VPN number 1 is written as VPN device (1). Terminals 1 and 2 are connected to VPN device (1) and manage PN1 (private network 1). Similarly, terminals 3 and 4 are connected to VPN device (2) and manage PN2, and terminals 5 and 6 are connected to VPN device (3) and manage PN3.

各VPN装置100は、図2に示すように、ローカル端末管理テーブル10、リモート端末管理テーブル20、ローカル端末登録部30、通知部40、リモート端末登録部50、及びパケット中継部60を備える。 As shown in FIG. 2, each VPN device 100 includes a local terminal management table 10, a remote terminal management table 20, a local terminal registration unit 30, a notification unit 40, a remote terminal registration unit 50, and a packet relay unit 60.

ローカル端末管理テーブル10は、自装置(自VPN装置)が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理する(図3参照)。リモート端末管理テーブル20は、他装置(他VPN装置)の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理する(図4参照)。ローカル端末登録部30は、自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、ローカル端末に対して付与してローカル端末管理テーブル10に登録する。通知部40は、ローカル端末管理テーブル10に登録されたローカル端末のIPアドレスを他装置に対して通知する。リモート端末登録部50は、他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスをリモート端末管理テーブル20に登録する。パケット中継部60は、パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスがローカル端末管理テーブル10に登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継する。また、パケット中継部60は、読み出したIPアドレスがリモート端末管理テーブル20に登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継する。 The local terminal management table 10 manages the IP address and MAC address of a local terminal, which is a terminal connected to a private network managed by the own device (own VPN device), in association with each other (see FIG. 3). The remote terminal management table 20 manages the identifier of another device (another VPN device) in association with the IP address of a remote terminal, which is a terminal connected to a private network managed by the other device (see FIG. 4). The local terminal registration unit 30 assigns an IP address corresponding to a security policy commonly used in multiple private networks managed by the own device and the other device to the local terminal and registers it in the local terminal management table 10. The notification unit 40 notifies the other device of the IP address of the local terminal registered in the local terminal management table 10. When the remote terminal registration unit 50 receives a notification of an IP address from the other device, it registers the received IP address in the remote terminal management table 20 in association with the identifier of the other device that is the sender. The packet relay unit 60 reads the IP address of the destination terminal from the packet, and if the read IP address is registered in the local terminal management table 10, relays the packet to a local terminal with a MAC address corresponding to the read IP address. If the read IP address is registered in the remote terminal management table 20, the packet relay unit 60 relays the packet to another device with an identifier corresponding to the read IP address.

このようにすることで、本発明では、ネットワーク管理上のコストを抑えつつ、端末間の通信を遮断することなく端末が遠隔地を移動させることが可能となる。 By doing this, the present invention makes it possible to reduce network management costs and to allow terminals to move between remote locations without interrupting communications between terminals.

従来技術との比較という点で説明すると、従来では、例えば図5に示すように、プライベートネットワーク毎にネットワークセグメントが決められる。そして、各ファイアウォールにはそれぞれの遠隔地に割り当てられたネットワークアドレスセグメントに対するセキュリティポリシが設定される。例えば、VPN装置Aが管理するプライベートネットワークでは192.168.0.XXXなどのセキュリティポリシが設定され、VPN装置Aの配下の端末A1にはIPアドレス192.168.0.001などが付与される。また、VPN装置Bが管理するプライベートネットワークでは192.168.1.XXXなどのVPN装置Aの配下とは異なるセキュリティポリシが設定される。このような状況下において、VPN装置Aの配下の端末A1をVPN装置Bの配下へ移動させた場合には、VPN装置Bの配下でのセキュリティポリシは端末A1に適用されない。そのため、VPN装置Bの配下へ移動させた端末A1に対してIPアドレス:192.168.1.003などを新たに付与することが必要となる。あるいは、端末A1に対してVPN装置Bの配下でのセキュリティポリシが適用されるように、セキュリティポリシそのものを動的に変更する必要がある。 In terms of comparison with the conventional technology, in the past, a network segment was determined for each private network, as shown in FIG. 5. Then, a security policy for the network address segment assigned to each remote location is set in each firewall. For example, a security policy such as 192.168.0.XXX is set in the private network managed by VPN device A, and an IP address such as 192.168.0.001 is assigned to terminal A1 under VPN device A. Also, a security policy such as 192.168.1.XXX, which is different from that under VPN device A, is set in the private network managed by VPN device B. Under such circumstances, if terminal A1 under VPN device A is moved to VPN device B, the security policy under VPN device B is not applied to terminal A1. Therefore, it is necessary to newly assign an IP address such as 192.168.1.003 to terminal A1 that has been moved to VPN device B. Alternatively, the security policy itself needs to be dynamically changed so that the security policy under VPN device B is applied to terminal A1.

一方で、本発明では、VPN装置C、Dの配下では192.168.000.XXXなどの共通したセキュリティポリシが設定され、各VPN装置の配下の端末に対しては共通して使用されるセキュリティポリシに対応するIPアドレスが付与される。このような状況下において、VPN装置Cの配下の端末C1をVPN装置Dの配下へ移動させた場合に、本発明では端末C1のIPアドレス:192.168.000.001を変更することなく、VPN装置Dの配下でのセキュリティポリシが適用される。また、VPN装置Dの配下でのセキュリティポリシを変更する必要もない。つまり、本発明では端末がプライベートネットワーク間を移動した場合であってもIPアドレスを維持したままで移動先のセキュリティポリシが適用される。そのため、本発明によれば、ネットワーク管理上のコストを抑えつつ、端末間の通信を遮断することなく端末が遠隔地を移動させることが可能となる。 On the other hand, in the present invention, a common security policy such as 192.168.000.XXX is set under VPN devices C and D, and terminals under each VPN device are assigned IP addresses corresponding to the commonly used security policy. Under such circumstances, when terminal C1 under VPN device C is moved to VPN device D, the present invention applies the security policy under VPN device D without changing the IP address of terminal C1: 192.168.000.001. There is also no need to change the security policy under VPN device D. In other words, in the present invention, even if a terminal moves between private networks, the security policy of the destination is applied while maintaining the IP address. Therefore, according to the present invention, it is possible to move a terminal to a remote location without interrupting communication between terminals while suppressing network management costs.

[実施形態1]
次に、実施形態1として、上述のネットワーク管理システム1000をより具体的に説明する。実施形態1のネットワーク管理システム1000の構成は、上記一概要(図1)と同様であり、特に各VPN装置100はVPN通信によって互いに接続される。各VPN装置100の構成も、上記一概要(図2)と同様である。 [Embodiment 1]
Next, the above-mentioned network management system 1000 will be described in more detail as embodiment 1. The configuration of the network management system 1000 of embodiment 1 is similar to the above-mentioned overview (FIG. 1), and in particular, each VPN device 100 is connected to each other by VPN communication. The configuration of each VPN device 100 is also similar to the above-mentioned overview (FIG. 2).

ローカル端末管理テーブル10は、図3に示すようにローカル端末のIPアドレス及びMACアドレスを対応付けて記憶する。リモート端末管理テーブル20は、図4に示すように、他装置(他VPN装置)の識別子であるPN番号と、リモート端末のIPアドレスとを対応付けて記憶する。 The local terminal management table 10 stores the IP addresses and MAC addresses of local terminals in association with each other, as shown in FIG. 3. The remote terminal management table 20 stores the PN numbers, which are identifiers of other devices (other VPN devices), in association with the IP addresses of remote terminals, as shown in FIG. 4.

ローカル端末登録部30は、ARP(Address Resolution Protocol)によって自装置(自VPN装置)への端末接続を検出し、検出した端末のMACアドレス及びIPアドレスの組をローカル端末管理テーブル10に追加する。例えば、図1のVPN装置(1)が端末1の接続を検出した場合には、端末1のMACアドレスであるXX:XX:XX:XX:XX:XXと、IPアドレス192.168.000.001との組をローカル端末管理テーブル10に追加する。IPアドレスは、例えば、DHCP(Dynamic Host Configuration Protocol)に従って付与される。このIPアドレスは、全てのプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するものである。 The local terminal registration unit 30 detects a terminal connection to its own device (its own VPN device) using ARP (Address Resolution Protocol), and adds a pair of the detected terminal's MAC address and IP address to the local terminal management table 10. For example, when the VPN device (1) in FIG. 1 detects a connection of terminal 1, it adds a pair of terminal 1's MAC address XX:XX:XX:XX:XX:XX:XX and IP address 192.168.000.001 to the local terminal management table 10. The IP address is assigned, for example, according to DHCP (Dynamic Host Configuration Protocol). This IP address corresponds to a security policy commonly used in all private networks.

なお、ローカル端末登録部30は、接続を検出した端末に既に付与されているIPアドレスがセキュリティポリシに対応するものである場合には、既に付与されているIPアドレスを維持しても良い。すなわち、端末に既に付与されているIPアドレスがセキュリティポリシに対応するものである場合には、当該端末は、他のVPN装置100の配下から移動してきたものとみなされる。一方で、端末に既に付与されているIPアドレスがセキュリティポリシに対応するものでない場合には、例えば認証VLAN(Virtual Local Area Network)とDHCPとを併用することで、セキュリティポリシに対応する新たなIPアドレスが付与される。このようにすれば、端末がVPN内で移動する限りIPアドレスを維持することが可能になる。 The local terminal registration unit 30 may maintain the IP address already assigned to the terminal that detected the connection if the IP address corresponds to the security policy. In other words, if the IP address already assigned to the terminal corresponds to the security policy, the terminal is considered to have moved from under another VPN device 100. On the other hand, if the IP address already assigned to the terminal does not correspond to the security policy, a new IP address corresponding to the security policy is assigned, for example, by using an authentication VLAN (Virtual Local Area Network) in combination with DHCP. In this way, it becomes possible to maintain the IP address as long as the terminal moves within the VPN.

また、ローカル端末登録部30は、ARPによって端末切断を検出したら、ローカル端末管理テーブル10からMACアドレス及びIPアドレスの組を削除する。例えば、図1のVPN装置(1)が端末2の切断を検出した場合には、ローカル端末登録部30は、IPアドレス192.168.000.002とYY:YY:YY:YY:YY:YYの組を図1のローカル端末管理テーブル10から削除する。 Furthermore, when the local terminal registration unit 30 detects a terminal disconnection by ARP, it deletes the pair of MAC address and IP address from the local terminal management table 10. For example, when the VPN device (1) in FIG. 1 detects the disconnection of terminal 2, the local terminal registration unit 30 deletes the pair of IP address 192.168.000.002 and YY:YY:YY:YY:YY:YY from the local terminal management table 10 in FIG. 1.

通知部40は、ローカル端末登録部30によって端末接続が検出された場合に、全ての他装置(他VPN装置100)に対して端末のIPアドレス情報の追加をVPN接続を経由して送信する。例えば、図1のVPN装置(1)が端末1の接続を検出した場合、IPアドレス192.168.000.001の追加をVPN装置(2)及びVPN装置(3)に対して送信する。また、通知部40は、ローカル端末登録部30によって端末切断が検出された場合に、全ての他装置(他VPN装置100)に対して端末のIPアドレス情報の削除をVPN接続を経由して送信する。また、通知部40は、遠隔地間のVPN接続が新たに確立した場合は、ローカル端末管理テーブル10にある全てのIPアドレスの追加を、接続されたVPN装置100に対して送信する。例えば、図1のVPN装置(1)がVPN装置(2)とのVPN接続の確立を検出した場合は、IPアドレス192.168.000.001と192.168.000.002の追加をVPN2に送信する。 When the local terminal registration unit 30 detects a terminal connection, the notification unit 40 transmits the addition of the terminal's IP address information to all other devices (other VPN devices 100) via the VPN connection. For example, when the VPN device (1) in FIG. 1 detects the connection of terminal 1, the notification unit 40 transmits the addition of IP address 192.168.000.001 to VPN device (2) and VPN device (3). When the local terminal registration unit 30 detects a terminal disconnection, the notification unit 40 transmits the deletion of the terminal's IP address information to all other devices (other VPN devices 100) via the VPN connection. When a new VPN connection between remote locations is established, the notification unit 40 transmits the addition of all IP addresses in the local terminal management table 10 to the connected VPN device 100. For example, if VPN device (1) in Figure 1 detects the establishment of a VPN connection with VPN device (2), it sends the addition of IP addresses 192.168.000.001 and 192.168.000.002 to VPN2.

リモート端末登録部50は、VPN接続を経由して端末のIPアドレスの追加を受信した場合は、ローカル端末管理テーブル10及びリモート端末管理テーブル20にそのIPアドレスに関する情報があれば削除する。そして、リモート端末登録部50は、新たにPN番号とIPアドレスの組をリモート端末管理テーブル20に追加する。例えば、図1のVPN装置(1)がVPN装置(2)からIPアドレス192.168.000.003の追加を受信した場合には、PN2とIPアドレス192.168.000.003の組をリモート端末管理テーブル20に追加する。また、リモート端末登録部50は、VPN接続を経由して端末のIPアドレス情報の削除を受信した場合は、PN番号とIPアドレスの組をリモート端末管理テーブル20から削除する。例えば、図1のVPN装置(1)がVPN装置(3)からIPアドレス192.168.000.005の削除を受信した場合には、PN3とIPアドレス192.168.000.005の組をリモート端末管理テーブル20から削除する。また、リモート端末登録部50は、遠隔地間のVPN接続が切断された場合は、リモート端末管理テーブル20からVPN接続に対応するすべての情報を削除する。例えば、図1のVPN装置(1)がVPN装置(2)とのVPN接続の切断を検出した場合は、PN2とIPアドレス192.168.000.003の組と、PN2とIPアドレス192.168.000.004の組を削除する。 When the remote terminal registration unit 50 receives an addition of a terminal's IP address via a VPN connection, it deletes any information about that IP address from the local terminal management table 10 and the remote terminal management table 20. The remote terminal registration unit 50 then adds a new pair of PN number and IP address to the remote terminal management table 20. For example, when the VPN device (1) in FIG. 1 receives an addition of IP address 192.168.000.003 from the VPN device (2), it adds a pair of PN2 and IP address 192.168.000.003 to the remote terminal management table 20. When the remote terminal registration unit 50 receives a deletion of the terminal's IP address information via a VPN connection, it deletes the pair of PN number and IP address from the remote terminal management table 20. For example, when the VPN device (1) in FIG. 1 receives a deletion of IP address 192.168.000.005 from the VPN device (3), it deletes the pair of PN3 and IP address 192.168.000.005 from the remote terminal management table 20. Also, when the VPN connection between remote locations is disconnected, the remote terminal registration unit 50 deletes all information corresponding to the VPN connection from the remote terminal management table 20. For example, when the VPN device (1) in FIG. 1 detects the disconnection of the VPN connection with the VPN device (2), it deletes the pair of PN2 and IP address 192.168.000.003 and the pair of PN2 and IP address 192.168.000.004.

パケット中継部60は、端末又は他のVPN装置100からパケットを受信した場合に、以下の手順でパケットの転送を行う。
(1)パケット送信先IPアドレスを読み取る。
(2)ローカル端末管理テーブル10に読み取ったIPアドレスが存在する場合は、対応するMACアドレスに向けてパケットを送信する。
(3)リモート端末管理テーブル20に読み取ったIPアドレスが存在する場合は、対応するVPN装置100に向けてVPN接続経由でパケットを送信する。
(4)上記(2)及び(3)でパケットが送信されなかった場合はパケットを廃棄する。 When the packet relay unit 60 receives a packet from a terminal or another VPN device 100, it forwards the packet in the following procedure.
(1) Read the packet destination IP address.
(2) If the read IP address exists in the local terminal management table 10, a packet is sent to the corresponding MAC address.
(3) If the read IP address exists in the remote terminal management table 20, the packet is sent to the corresponding VPN device 100 via the VPN connection.
(4) If the packet was not sent in (2) and (3) above, the packet is discarded.

以下では、VPN装置100による処理の流れを説明する。図7に示すように、VPN装置100は、ARPによって自装置への端末接続を検出した場合に(ステップS01、Yes)、検出した端末のMACアドレス及びIPアドレスの組をローカル端末管理テーブル10に追加する(ステップS02)。そして、VPN装置100は、全ての他装置(他VPN装置100)に対して端末のIPアドレス情報の追加をVPN接続を経由して送信する(ステップS03)。 The following describes the flow of processing by the VPN device 100. As shown in FIG. 7, when the VPN device 100 detects a terminal connection to its own device by ARP (step S01, Yes), it adds a pair of the MAC address and IP address of the detected terminal to the local terminal management table 10 (step S02). The VPN device 100 then transmits the addition of the terminal's IP address information to all other devices (other VPN devices 100) via the VPN connection (step S03).

また、図8に示すように、VPN装置100は、ARPによって端末切断を検出した場合に(ステップS11、Yes)、ローカル端末管理テーブル10からMACアドレス及びIPアドレスの組を削除する(ステップS12)。そして、VPN装置100は、全ての他装置(他VPN装置100)に対して、IPアドレス情報の削除をVPN接続を経由して送信する(ステップS13)。 As shown in FIG. 8, when the VPN device 100 detects a terminal disconnection by ARP (step S11, Yes), it deletes the pair of MAC address and IP address from the local terminal management table 10 (step S12). Then, the VPN device 100 transmits a deletion of the IP address information to all other devices (other VPN devices 100) via the VPN connection (step S13).

また、図9に示すように、VPN装置100は、遠隔地間のVPN接続が新たに確立した場合は(ステップS21、Yes)、ローカル端末管理テーブル10にある全てのIPアドレスの追加を、接続されたVPN装置100に対して送信する(ステップS22)。 Also, as shown in FIG. 9, when a new VPN connection is established between remote locations (step S21, Yes), the VPN device 100 sends an addition of all IP addresses in the local terminal management table 10 to the connected VPN device 100 (step S22).

また、図10に示すように、VPN装置100は、IPアドレスの追加を受信した場合には(ステップS31、Yes)、PN番号とIPアドレスの組をリモート端末管理テーブル20に追加する(ステップS32)。 Also, as shown in FIG. 10, when the VPN device 100 receives a request to add an IP address (step S31, Yes), it adds a pair of the PN number and the IP address to the remote terminal management table 20 (step S32).

また、図11に示すように、VPN装置100は、IPアドレス情報の削除を受信した場合には(ステップS41、Yes)、PN番号とIPアドレスの組をリモート端末管理テーブル20から削除する(ステップS42)。 Also, as shown in FIG. 11, when the VPN device 100 receives a command to delete IP address information (step S41, Yes), it deletes the pair of PN number and IP address from the remote terminal management table 20 (step S42).

また、図12に示すように、VPN装置100は、遠隔地間のVPN接続が切断された場合には(ステップS51、Yes)、リモート端末管理テーブルからVPN接続に対応するすべての情報を削除する(ステップS52)。 Also, as shown in FIG. 12, if the VPN connection between remote locations is disconnected (step S51, Yes), the VPN device 100 deletes all information corresponding to the VPN connection from the remote terminal management table (step S52).

また、図13に示すように、VPN装置100は、パケットを受信した場合に(ステップS61、Yes)、パケット送信先IPアドレスを読み取る(ステップS62)。ここで、読み取ったIPアドレスがローカル端末管理テーブル10に存在する場合には(ステップS63、Yes)、VPN装置100は、対応するMACアドレスに向けてパケットを送信する(ステップS64)。読み取ったIPアドレスがリモート端末管理テーブル20に存在する場合には(ステップS65、Yes)、VPN装置100は、対応するVPN装置100に向けてVPN接続経由でパケットを送信する(ステップS66)。ステップS63、S65のいずれもがNoの場合には、VPN装置100はパケットを廃棄する(ステップS67)。ステップS64、S66、S67の後に、VPN装置100は再びパケットの受信を待機する(ステップS61)。 As shown in FIG. 13, when the VPN device 100 receives a packet (step S61, Yes), it reads the packet destination IP address (step S62). If the read IP address exists in the local terminal management table 10 (step S63, Yes), the VPN device 100 transmits the packet to the corresponding MAC address (step S64). If the read IP address exists in the remote terminal management table 20 (step S65, Yes), the VPN device 100 transmits the packet to the corresponding VPN device 100 via the VPN connection (step S66). If both steps S63 and S65 are No, the VPN device 100 discards the packet (step S67). After steps S64, S66, and S67, the VPN device 100 waits to receive a packet again (step S61).

なお、本発明は、VPN装置100としてのコンピュータによって実現することも可能である。具体的には、図14に示すようにVPN装置100としてのコンピュータはメモリ、インターフェイス、CPU(Central Processing Unit)などを備える。メモリは、ローカル端末管理テーブル10及びリモート端末管理テーブル20を記憶する。CPUは、メモリからプログラムを読み出してローカル端末登録部30、通知部40、リモート端末登録部50及びパケット中継部60に相当する処理モジュールを実現する。 The present invention can also be realized by a computer serving as the VPN device 100. Specifically, as shown in FIG. 14, the computer serving as the VPN device 100 includes a memory, an interface, a CPU (Central Processing Unit), and the like. The memory stores a local terminal management table 10 and a remote terminal management table 20. The CPU reads out a program from the memory and realizes processing modules corresponding to the local terminal registration unit 30, the notification unit 40, the remote terminal registration unit 50, and the packet relay unit 60.

上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。 Some or all of the above embodiments may be described as follows, but are not limited to the following:

(付記1)
複数のVPN(仮想プライベートネットワーク)装置を含み、
各VPN装置が、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知部と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、を有する、
ネットワーク管理システム。 (Appendix 1)
A plurality of VPN (Virtual Private Network) devices are included;
Each VPN device:
a local terminal management table for managing, in association with each other, IP addresses and MAC addresses of local terminals that are connected to a private network managed by the local terminal management device;
a remote terminal management table for managing identifiers of other devices in association with IP addresses of remote terminals that are terminals connected to a private network managed by the other devices;
a local terminal registration unit that assigns an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registers the IP address in the local terminal management table;
a notification unit that notifies other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration unit that, when receiving a notification of an IP address from another device, registers the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay unit which reads an IP address of a destination terminal from a packet, and relays the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relays the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
Network Management Systems.

(付記2)
前記ローカル端末登録部は、前記ローカル端末に対して既に付与されているIPアドレスが、前記複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスである場合には、前記既に付与されているIPアドレスを前記ローカル端末管理テーブルに登録する、
付記1に記載のネットワーク管理システム。 (Appendix 2)
the local terminal registration unit, when an IP address already assigned to the local terminal corresponds to a security policy commonly used in the plurality of private networks, registers the already assigned IP address in the local terminal management table;
2. The network management system of claim 1.

(付記3)
前記ローカル端末登録部が、ARP(Address Resolution Protocol)によって自装置への端末接続を検出し、検出した端末のMACアドレス及びIPアドレスの組をローカル端末管理テーブルに追加する、付記1又は2に記載のネットワーク管理システム。 (Appendix 3)
3. The network management system according to claim 1, wherein the local terminal registration unit detects a terminal connection to the local device using ARP (Address Resolution Protocol) and adds a pair of a MAC address and an IP address of the detected terminal to a local terminal management table.

(付記4)
各VPN装置がVPN通信によって互いに接続される、付記1又は2に記載のネットワーク管理システム。 (Appendix 4)
3. The network management system according to claim 1, wherein each VPN device is connected to each other by VPN communication.

(付記5)
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知部と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、
を有する、VPN(仮想プライベートネットワーク)装置。 (Appendix 5)
a local terminal management table for managing, in association with each other, IP addresses and MAC addresses of local terminals that are terminals connected to a private network managed by the local terminal management device;
a remote terminal management table for managing identifiers of other devices in association with IP addresses of remote terminals that are terminals connected to a private network managed by the other devices;
a local terminal registration unit that assigns an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registers the IP address in the local terminal management table;
a notification unit that notifies other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration unit that, when receiving a notification of an IP address from another device, registers the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay unit that reads an IP address of a destination terminal from a packet, and relays the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relays the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
A VPN (Virtual Private Network) device comprising:

(付記6)
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各VPN装置が、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録ステップと、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知ステップと、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録ステップと、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継ステップと、を実行する、
ネットワーク管理方法。 (Appendix 6)
Each VPN device includes a local terminal management table for associating and managing an IP address and a MAC address of a local terminal that is a terminal connected to a private network managed by the device itself, and a remote terminal management table for associating and managing an identifier of another device with an IP address of a remote terminal that is a terminal connected to a private network managed by the other device,
a local terminal registration step of assigning an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local device and other devices to the local terminal and registering the IP address in the local terminal management table;
a notification step of notifying another device of the IP address of the local terminal registered in the local terminal management table;
a remote terminal registration step of, when receiving a notification of an IP address from another device, registering the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay step of reading an IP address of a destination terminal from the packet, and relaying the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relaying the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
Network management methods.

(付記7)
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各VPN装置としてのコンピュータに、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録処理と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知処理と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録処理と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継処理と、を実行させる、
ネットワーク管理プログラム。 (Appendix 7)
A computer as each VPN device includes a local terminal management table for associating and managing IP addresses and MAC addresses of local terminals that are terminals connected to a private network managed by the device itself, and a remote terminal management table for associating and managing identifiers of other devices and IP addresses of remote terminals that are terminals connected to the private network managed by the other devices,
a local terminal registration process for assigning an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registering the IP address in the local terminal management table;
a notification process for notifying other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration process for, when receiving an IP address notification from another device, registering the received IP address in the remote terminal management table in association with an identifier of the other device that is the sender;
a packet relay process for reading an IP address of a destination terminal from the packet, and relaying the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relaying the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
Network management programs.

なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込み記載されているものとし、必要に応じて本発明の基礎ないし一部として用いることが出来るものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。さらに、上記引用した文献の各開示事項は、必要に応じ、本発明の趣旨に則り、本発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれるものと、みなされる。 The disclosures of the above cited patent documents are incorporated into this document by reference and may be used as the basis or part of the present invention as necessary. Within the framework of the entire disclosure of the present invention (including the scope of claims), modifications and adjustments of the embodiments and examples are possible based on the basic technical ideas. Furthermore, within the framework of the entire disclosure of the present invention, various combinations or selections (including partial deletions) of various disclosed elements (including each element of each claim, each element of each embodiment or example, each element of each drawing, etc.) are possible. In other words, the present invention naturally includes various modifications and corrections that a person skilled in the art would be able to make in accordance with the entire disclosure, including the scope of claims, and the technical ideas. In particular, with regard to the numerical ranges described in this document, any numerical value or small range included within the range should be interpreted as being specifically described even if not otherwise specified. Furthermore, the disclosures of the above cited documents may be used in part or in whole in combination with the descriptions in this document as part of the disclosure of the present invention in accordance with the spirit of the present invention as necessary, and are considered to be included in the disclosures of this application.

10 :ローカル端末管理テーブル
20 :リモート端末管理テーブル
30 :ローカル端末登録部
40 :通知部
50 :リモート端末登録部
60 :パケット中継部
100 :VPN装置
1000 :ネットワーク管理システム 10: Local terminal management table 20: Remote terminal management table 30: Local terminal registration unit 40: Notification unit 50: Remote terminal registration unit 60: Packet relay unit 100: VPN device 1000: Network management system

Claims (7)

複数のVPN(仮想プライベートネットワーク)装置を含み、
各VPN装置が、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知部と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、を有する、
ネットワーク管理システム。 A plurality of VPN (Virtual Private Network) devices are included;
Each VPN device:
a local terminal management table for managing, in association with each other, IP addresses and MAC addresses of local terminals that are terminals connected to a private network managed by the local terminal management device;
a remote terminal management table for managing identifiers of other devices in association with IP addresses of remote terminals that are terminals connected to a private network managed by the other devices;
a local terminal registration unit that assigns an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registers the IP address in the local terminal management table;
a notification unit that notifies other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration unit that, when receiving a notification of an IP address from another device, registers the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay unit which reads an IP address of a destination terminal from a packet, and relays the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relays the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
Network Management Systems. 前記ローカル端末登録部は、前記ローカル端末に対して既に付与されているIPアドレスが、前記複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスである場合には、前記既に付与されているIPアドレスを前記ローカル端末管理テーブルに登録する、
請求項1に記載のネットワーク管理システム。 the local terminal registration unit, when an IP address already assigned to the local terminal corresponds to a security policy commonly used in the plurality of private networks, registers the already assigned IP address in the local terminal management table;
2. The network management system of claim 1. 前記ローカル端末登録部が、ARP(Address Resolution Protocol)によって自装置への端末接続を検出し、検出した端末のMACアドレス及びIPアドレスの組をローカル端末管理テーブルに追加する、請求項1又は2に記載のネットワーク管理システム。 The network management system according to claim 1 or 2, wherein the local terminal registration unit detects a terminal connection to the device itself by ARP (Address Resolution Protocol) and adds a pair of the MAC address and IP address of the detected terminal to the local terminal management table. 各VPN装置がVPN通信によって互いに接続される、請求項1又は2に記載のネットワーク管理システム。 The network management system according to claim 1 or 2, wherein each VPN device is connected to each other by VPN communication. 自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知部と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、
を有する、VPN(仮想プライベートネットワーク)装置。 a local terminal management table for managing, in association with each other, IP addresses and MAC addresses of local terminals that are connected to a private network managed by the local terminal management device;
a remote terminal management table for managing identifiers of other devices in association with IP addresses of remote terminals that are terminals connected to a private network managed by the other devices;
a local terminal registration unit that assigns an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registers the IP address in the local terminal management table;
a notification unit that notifies other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration unit that, when receiving a notification of an IP address from another device, registers the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay unit that reads an IP address of a destination terminal from a packet, and relays the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relays the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
A VPN (Virtual Private Network) device comprising: 自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各VPN装置が、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録ステップと、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知ステップと、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録ステップと、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継ステップと、を実行する、
ネットワーク管理方法。 Each VPN device includes a local terminal management table for associating and managing an IP address and a MAC address of a local terminal that is a terminal connected to a private network managed by the device itself, and a remote terminal management table for associating and managing an identifier of another device with an IP address of a remote terminal that is a terminal connected to a private network managed by the other device,
a local terminal registration step of assigning an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local device and other devices to the local terminal and registering the IP address in the local terminal management table;
a notification step of notifying another device of the IP address of the local terminal registered in the local terminal management table;
a remote terminal registration step of, when receiving a notification of an IP address from another device, registering the received IP address in the remote terminal management table in association with an identifier of the other device that is a sender;
a packet relay step of reading an IP address of a destination terminal from the packet, and relaying the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relaying the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
Network management methods. 自装置が管理するプライベートネットワークに接続される端末であるローカル端末のIPアドレス及びMACアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のIPアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各VPN装置としてのコンピュータに、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するIPアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録処理と、
前記ローカル端末管理テーブルに登録されたローカル端末のIPアドレスを他装置に対して通知する通知処理と、
他装置からIPアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したIPアドレスを前記リモート端末管理テーブルに登録するリモート端末登録処理と、
パケットから宛先端末のIPアドレスを読み出し、読み出したIPアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したIPアドレスに対応するMACアドレスのローカル端末に対してパケットを中継し、読み出したIPアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したIPアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継処理と、を実行させる、
ネットワーク管理プログラム。 A computer as each VPN device includes a local terminal management table for associating and managing IP addresses and MAC addresses of local terminals that are terminals connected to a private network managed by the device itself, and a remote terminal management table for associating and managing identifiers of other devices and IP addresses of remote terminals that are terminals connected to the private network managed by the other devices,
a local terminal registration process for assigning an IP address corresponding to a security policy commonly used in a plurality of private networks managed by the local terminal and other devices to the local terminal and registering the IP address in the local terminal management table;
a notification process for notifying other devices of an IP address of the local terminal registered in the local terminal management table;
a remote terminal registration process for, when receiving a notification of an IP address from another device, registering the received IP address in the remote terminal management table in association with an identifier of the other device that is the sender;
a packet relay process for reading an IP address of a destination terminal from the packet, and relaying the packet to a local terminal having a MAC address corresponding to the read IP address if the read IP address is registered in the local terminal management table, and relaying the packet to another device having an identifier corresponding to the read IP address if the read IP address is registered in the remote terminal management table;
Network management programs.
JP2022035253A 2022-03-08 2022-03-08 NETWORK MANAGEMENT SYSTEM, VPN DEVICE, NETWORK MANAGEMENT METHOD, AND NETWORK MANAGEMENT PROGRAM Active JP7540823B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022035253A JP7540823B2 (en) 2022-03-08 2022-03-08 NETWORK MANAGEMENT SYSTEM, VPN DEVICE, NETWORK MANAGEMENT METHOD, AND NETWORK MANAGEMENT PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022035253A JP7540823B2 (en) 2022-03-08 2022-03-08 NETWORK MANAGEMENT SYSTEM, VPN DEVICE, NETWORK MANAGEMENT METHOD, AND NETWORK MANAGEMENT PROGRAM

Publications (2)

Publication Number Publication Date
JP2023130772A JP2023130772A (en) 2023-09-21
JP7540823B2 true JP7540823B2 (en) 2024-08-27

Family

ID=88050488

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022035253A Active JP7540823B2 (en) 2022-03-08 2022-03-08 NETWORK MANAGEMENT SYSTEM, VPN DEVICE, NETWORK MANAGEMENT METHOD, AND NETWORK MANAGEMENT PROGRAM

Country Status (1)

Country Link
JP (1) JP7540823B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073642A1 (en) 2002-09-30 2004-04-15 Iyer Prakash N. Layering mobile and virtual private networks using dynamic IP address management
JP2004342072A (en) 2003-04-24 2004-12-02 Nec Corp Security management support system, security management support method, and program
JP2010212749A (en) 2009-03-06 2010-09-24 Panasonic Corp Information processing system and packet transfer method
JP2022021595A (en) 2020-07-22 2022-02-03 株式会社リコー Communication device, program, network management method, and communication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073642A1 (en) 2002-09-30 2004-04-15 Iyer Prakash N. Layering mobile and virtual private networks using dynamic IP address management
JP2004342072A (en) 2003-04-24 2004-12-02 Nec Corp Security management support system, security management support method, and program
JP2010212749A (en) 2009-03-06 2010-09-24 Panasonic Corp Information processing system and packet transfer method
JP2022021595A (en) 2020-07-22 2022-02-03 株式会社リコー Communication device, program, network management method, and communication system

Also Published As

Publication number Publication date
JP2023130772A (en) 2023-09-21

Similar Documents

Publication Publication Date Title
RU2270531C2 (en) System and method for using ip-address as an identifier of wireless device
KR101399002B1 (en) Virtual private network implemaentation method and system
KR101340495B1 (en) Implementation method and system of virtual private network
JP4692258B2 (en) Router device and communication system
JPWO2005027438A1 (en) Packet relay device
CN113872845B (en) Method for establishing VXLAN tunnel and related equipment
JP6118122B2 (en) COMMUNICATION DEVICE, ITS CONTROL METHOD, PROGRAM
KR101786620B1 (en) Method, apparatus and computer program for subnetting of software defined network
WO2017107871A1 (en) Access control method and network device
EP2536099A2 (en) Method and access node for preventing address conflict
US20190007368A1 (en) DHCP in Layer-3 Overlay with Anycast Address Support and Network Address Transparency
JP2006033206A (en) Authentication system, hub, authentication method used for them and program thereof
US8437357B2 (en) Method of connecting VLAN systems to other networks via a router
JP4825501B2 (en) Wireless LAN access point, IP address management method and management program using the same
US7570647B2 (en) LAN type internet access network and subscriber line accommodation method for use in the same network
JP4495049B2 (en) Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device
JP7540823B2 (en) NETWORK MANAGEMENT SYSTEM, VPN DEVICE, NETWORK MANAGEMENT METHOD, AND NETWORK MANAGEMENT PROGRAM
KR20040011936A (en) Switching apparatus for ethernet having a plurality of vlans and communication method by using same
US11902166B2 (en) Policy based routing in extranet networks
US11509536B2 (en) Relay functionality in an application centric infrastructure (ACI) fabric
KR102207290B1 (en) Method for supporting vlans in software defined network
US12095765B2 (en) Cloud delivered access
KR20170076066A (en) Method, apparatus and computer program for subnetting of software defined network
JP2005323316A (en) Gateway apparatus
EP1998509A1 (en) Transparent backup IP router in a local area network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230704

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240709

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240716

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240808

R150 Certificate of patent or registration of utility model

Ref document number: 7540823

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150