TWI523455B - Relay servers, relay communication systems and routing machines - Google Patents
Relay servers, relay communication systems and routing machines Download PDFInfo
- Publication number
- TWI523455B TWI523455B TW101107654A TW101107654A TWI523455B TW I523455 B TWI523455 B TW I523455B TW 101107654 A TW101107654 A TW 101107654A TW 101107654 A TW101107654 A TW 101107654A TW I523455 B TWI523455 B TW I523455B
- Authority
- TW
- Taiwan
- Prior art keywords
- address
- routing
- information
- relay
- relay server
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2535—Multiple local networks, e.g. resolving potential IP address conflicts
Description
本發明主要是有關於,使得被不同LAN(Local Area Network)所連接之終端間可以通訊的中繼伺服器。
先前以來,一種稱作虛擬私人網路(Virtual Private Network,VPN)的通訊技術,已為人知(例如參照專利文獻1)。該VPN的用途係為,例如,使設在各地區的複數分公司(據點)的LAN上所連接的終端彼此能夠透過網際網路來通訊。若利用前記VPN,則可將位於遠端的其他LAN,當作恰似直接連接之網路來使用。
〔專利文獻1〕日本特開2002-217938號公報
可是,在此種系統中,是使用已被連接在LAN上的終端的IP位址(私人IP位址)來進行終端彼此的通訊。IP位址雖然在同一LAN內是以不重複的方式而被指派,但在連接至不同LAN的終端間,有時候會重複。此時,於VPN中,同一IP位址會存在2者以上,導致無法進行適切的通訊。
為了避免這點,當IP位址有重複時,必須要先一度結束VPN(或令被設定重複IP位址的機器從VPN中登出),其後進行IP位址的再設定。可是,由於IP位址的再設定,係對被連接在同一LAN上的其他機器也會造成影響,因此隨著LAN的不同,有時候IP位址的變更是無法實現的。於VPN中,期望能夠改善此點。
本發明係有鑑於以上事情而研發,其主要目的為,提供一種中繼伺服器,係可建構出即使將位址有重複之LAN彼此做連接時,不變更已被設定之位址就能進行通訊的VPN。
本發明所欲解決之課題係如上述,以下說明用以解決課題之手段和其效果。
若依照本發明的第1觀點,則可提供以下構成的中繼伺服器。亦即,該中繼伺服器,係具備:中繼群組資訊記憶部、中繼伺服器資訊記憶部、VPN群組資訊記憶部、位址過濾器資訊記憶部、通訊控制部。前記中繼群組資訊記憶部,係將可與自身之間彼此連接之其他中繼伺服器加以含有的中繼群組之資訊,加以記憶。前記中繼伺服器資訊記憶部,係記憶著中繼伺服器資訊,該中繼伺服器資訊係含有:前記中繼群組中所屬之前記中繼伺服器的啟動資訊、前記中繼群組中所屬之前記中繼伺服器上所被連接之客戶端終端的啟動資訊及登錄資訊。前記VPN群組資訊記
憶部,係關於由基於前記中繼群組之資訊及前記中繼伺服器資訊而構成中繼通訊系統的通訊機器當中已被設定成路由端點的通訊機器亦即路由機器所構成、透過該當路由機器間所被建立之路由會談而以虛擬私人網路進行通訊的VPN群組,將構成該當VPN群組之前記路由機器的識別資訊、及表示被彼此連接之前記路由機器的路由會談資訊,加以記憶。前記位址過濾器資訊記憶部,係將前記路由機器所能指定成為封包傳送目標之路由對象裝置之位址加以表示的位址過濾器資訊,與該當路由機器的識別資訊建立對應而記憶。前記通訊控制部,係當偵測到前記位址過濾器資訊中所含有之位址是在同一VPN群組中有重複時,則進行:將該當VPN群組中未被使用之位址亦即轉換位址,與該當重複之位址建立對應,記憶在前記位址過濾器資訊中,將該當位址過濾器資訊發送至其他前記路由機器之控制、和基於前記位址過濾器資訊及前記轉換位址來進行路由之控制。
藉此,中繼伺服器,係可與從構成中繼通訊系統之其他通訊機器(其他中繼伺服器及客戶端終端)中所選擇出來的路由機器,建構VPN,因此可僅與必要的通訊機器之間,進行檔案分享等。又,即使是在被指派了同一位址的網路彼此間建構VPN的情況下,仍不須變更實際位址,就可進行封包的繞送。
於前記之中繼伺服器中,前記通訊控制部係進行送訊來源位址轉換處理與送訊目的地位址轉換處理當中之至少
一方,較為理想。所謂送訊來源位址轉換處理,係為當接收到送訊來源位址是被指定為實際位址的封包時,將前記封包的送訊來源位址,從實際位址轉換成前記轉換位址的處理。所謂送訊目的地位址轉換處理,係為當接收到前記封包之送訊目的地位址是被指定為前記轉換位址的封包時,將送訊目的地位址,從前記轉換位址轉換成實際位址的處理。
藉此,藉由進行送訊來源位址轉換處理,就可對封包之送訊目的地,告知該當封包的送訊來源。又,藉由進行送訊目的地位址轉換處理,就可向適切的送訊目的地,發送封包。
於前記之中繼伺服器中,若身為送訊來源側之路由端點而發揮機能時,則前記通訊控制部係進行,前記送訊來源位址轉換處理及前記送訊目的地位址轉換處理當中之至少一方,較為理想。
於前記之中繼伺服器中,若身為送訊來源側之路由端點而發揮機能時,則前記通訊控制部係進行前記送訊來源位址轉換處理,透過路由會談而向其他前記路由機器發送封包,較為理想。
於前記之中繼伺服器中,係設計成以下構成,較為理想。亦即,若身為送訊來源側之路由端點而發揮機能時,則前記通訊控制部係進行,前記送訊來源位址轉換處理及前記送訊目的地位址轉換處理之雙方。前記通訊控制部,係透過路由會談而向其他前記路由機器發送封包。
於前記之中繼伺服器中,若身為送訊目的地側之路由端點而發揮機能時,則前記通訊控制部係進行,前記送訊來源位址轉換處理及前記送訊目的地位址轉換處理當中尚未被送訊來源側之路由端點所進行過的位址轉換處理,較為理想。
於前記之中繼伺服器中,若身為送訊目的地側之路由端點而發揮機能時,則在進行過前記送訊目的地位址轉換處理時,基於轉換後之位址亦即實際位址,來傳送封包,較為理想。
如以上,送訊目的地位址轉換處理及送訊來源位址轉換處理,係可在任意的時序上進行。尤其是,在本發明中,係基於位址過濾器資訊來選擇路由會談,藉此,就可將封包發送至適切的路由機器為止,因此在送訊來源側之路由端點上也可以變更送訊目的地位址。因此,在送訊來源側的路由端點上,不只進行送訊來源位址之轉換,還進行送訊目的地位址之轉換,藉此就可省略送訊目的地側的路由端點上的位址轉換處理。又,若中繼伺服器是身為送訊目的地側之路由端點而發揮機能的情況下,則藉由進行尚未在送訊來源側之路由端點上所進行過之位址轉換處理,就可使得關於送訊目的地位址與送訊來源位址之雙方位址的轉換被完整進行。
於前記之中繼伺服器中,可將實際位址及前記轉換位址,與該當位址所被設定之路由對象裝置的名稱建立對應,而顯示在外部之顯示裝置上,較為理想。
藉此,就可讓使用者獲知轉換位址是已經與哪台機器建立對應。因此,例如,用來指定轉換位址來作為送訊目的地位址所需的設定,就可被簡單地進行。
於前記之中繼伺服器中,係設計成以下構成,較為理想。亦即,前記VPN群組資訊記憶部,係將最初進行用來建立路由會談所需之通訊控制之一側的前記路由機器的識別資訊、和接受該當通訊控制之一側的前記路由機器的識別資訊,當作前記路由會談資訊而加以記憶。在與自身之間所建立的所有路由會談中,當自身是被設定成為最先進行前記通訊控制的一側時,前記通訊控制部係進行,將前記轉換位址建立對應至發生重複之位址,將該當轉換位址,發送至其他前記路由機器之控制。
藉此,於VPN群組中,就會通常是由1台路由機器來進行作成轉換位址之控制。因此,可防止轉換位址之對應等處理被複數執行之事態。
若依照本發明的第2觀點,則可提供以下構成的中繼通訊系統。亦即,該中繼通訊系統係具備:複數之中繼伺服器、客戶端終端。前記客戶端終端,係可透過前記中繼伺服器而彼此連接。前記中繼伺服器係具備:中繼群組資訊記憶部、中繼伺服器資訊記憶部、VPN群組資訊記憶部、位址過濾器資訊記憶部、通訊控制部。前記中繼群組資訊記憶部,係將可與該當中繼伺服器之間彼此連接之其他中繼伺服器加以含有的中繼群組之資訊,加以記憶。前記中繼伺服器資訊記憶部,係記憶著中繼伺服器資訊,該中
繼伺服器資訊係含有:前記中繼群組中所屬之前記中繼伺服器的啟動資訊、與前記客戶端終端的啟動資訊及登錄資訊。前記VPN群組資訊記憶部,係關於由前記中繼伺服器及前記客戶端終端當中已被設定成路由端點之路由機器所構成、透過在該當路由機器間所被建立之路由會談而以虛擬私人網路進行通訊的VPN群組,將構成該當VPN群組之前記路由機器的識別資訊及表示被彼此連接之前記路由機器的路由會談資訊,加以記憶。前記位址過濾器資訊記憶部,係將前記路由機器所能指定成為封包傳送目標之路由對象裝置加以表示的位址過濾器資訊,與該當路由機器的識別資訊建立對應而記憶。前記通訊控制部,係當偵測到前記位址過濾器資訊中所含有之位址是在同一VPN群組中有重複時,則進行:將該當VPN群組中未被使用之位址亦即轉換位址,與該當重複之位址建立對應,記憶在前記位址過濾器資訊中,將該當位址過濾器資訊發送至其他前記路由機器之控制、和基於前記位址過濾器資訊及前記轉換位址來進行路由之控制。
藉此,由於可使用從中繼伺服器及客戶端終端中所選擇出來的路由機器來建構VPN,因此可僅在必要機器之間進行檔案分享等。又,該中繼通訊系統係即使是在被指派了同一位址的網路彼此間建構VPN的情況下,仍不須變更實際位址,就可進行封包的繞送。
接著,參照圖面來說明本發明的實施形態。首先,參照圖1,說明第1實施形態的中繼通訊系統100的概要。圖1係第1實施形態所述之中繼通訊系統100的全體構成之說明圖。
如圖1所示,此中繼通訊系統100,係由連接至Wide Area Network(WAN、廣域通訊網)80的複數LAN10、20、30、40所構成。各個LAN10、20、30、40係在限定之場所所建構的規模較小之網路,分別被配置在實體上遠離的場所。此外,在本實施形態中,是使用網際網路來作為WAN80。
以下具體說明各個LAN。如圖1所示,LAN10上係被連接有:中繼伺服器1、客戶端終端11、通訊裝置12。在LAN20上係連接有,中繼伺服器2、客戶端終端21、檔案伺服器22、檔案伺服器23、通訊裝置24。在LAN30上係連接有,中繼伺服器3、客戶端終端31、通訊裝置32、通訊裝置33。在LAN40上係連接有,中繼伺服器4、客戶端終端41、通訊裝置42。
各個中繼伺服器1、2、3、4,係不只連接LAN10、20、30、40還連接著WAN80,因此不只可和被連接在同一LAN上的客戶端終端進行通訊,還可和被配置於其他LAN上的中繼伺服器進行通訊。因此,對中繼伺服器1、2、3、4,除了給予全球IP位址以外,還賦予了私人IP位址。
客戶端終端11、21、31、41,係例如由個人電腦所構
成,可透過中繼伺服器1、2、3、4而彼此進行通訊。通訊裝置12、24、32、33、42,係例如由個人電腦所構成,可分別透過LAN10、20、30、40而向例如客戶端終端11、21、31、41發送封包。檔案伺服器22、23,係例如由網路連接儲存設備所構成,可透過LAN20,而向例如客戶端終端21發送封包。
接著說明中繼伺服器1、2、3、4。此外,這4台中繼伺服器,係除了部分的記憶內容以外其餘皆是大略相同之構成,因此僅以中繼伺服器1為代表來說明。首先,參照圖2,說明中繼伺服器1所具備之構成。圖2係中繼伺服器1、2、3、4的機能區塊圖。
如圖2所示,中繼伺服器1係具備:記憶部50、控制部60、介面部70。
介面部70,係可利用私人IP位址,而對LAN10內的終端進行通訊。又,介面部70係可利用全球IP位址,來進行經由WAN80的通訊。
控制部60係例如具有控制及演算機能的CPU,藉由從記憶部50讀出的程式,而可執行各種處理。該控制部60係可控制,依照TCP/IP、UDP、SIP等之協定的各種通訊。如圖2所示,控制部60係具備:介面驅動程式61、LAN側IP封包處理部62、通訊控制部63、WAN側IP封包處理部64。
介面驅動程式61,係用來控制介面部70的驅動程式軟體。LAN側IP封包處理部62,係將從LAN10側所接收
到的封包進行適宜處理而輸出至通訊控制部63。WAN側IP封包處理部64,係將從WAN80側所接收到的封包進行適宜處理而輸出至通訊控制部63。
通訊控制部63,係針對所接收到的封包,基於該當封包所示之資訊與記憶部50中所記憶之資訊來決定送訊目的地,向已決定之送訊目的地,發送該當封包。又,通訊控制部63係可基於從其他終端所接收到之資訊,來更新記憶部50的記憶內容。
記憶部50,係例如由硬碟或非揮發性RAM所構成,可保存各種資料。記憶部50係具備:中繼群組資訊記憶部51、中繼伺服器資訊記憶部52、客戶端終端資訊記憶部53、VPN群組資訊記憶部54、位址過濾器資訊記憶部55。以下,參照圖3至圖7,說明記憶部50的記憶內容。圖3係中繼群組資訊之內容的圖示。圖4係中繼伺服器資訊之內容的圖示。圖5係客戶端終端資訊之內容的圖示。圖6係VPN群組資訊之內容的圖示。圖7係位址過濾器資訊之內容的圖示。
中繼群組資訊記憶部51,係記憶著中繼群組資訊,其係用來表示中繼群組、和構成該當中繼群組的中繼伺服器。
如圖3所示,中繼群組資訊中係描述有:group標籤、將該group標籤當作母要素的子要素之site標籤。group標籤中係描述有,關於中繼群組的群組資訊511。作為該群組資訊511係描述有:中繼群組的識別資訊(「
id」)、最終更新時刻(「lastmod」)、中繼群組的名稱(「name」)。site標籤中係描述有,關於構成中繼群組之中繼伺服器的群組構成資訊512。該群組構成資訊512中係描述有,該當中繼伺服器的識別資訊(「id」)。又,中繼群組係可追加作成,此時,對新的中繼群組係會賦予與其他中繼群組不同的唯一識別資訊。藉此,僅在特定中繼群組內進行資料交換等之設定,就成為可能。
此外,該中繼群組資訊係在構成該當中繼群組的中繼伺服器1、2、3、4之間被分享。而且,當某台中繼伺服器裡進行了變更中繼群組之處理時,該意旨會對其他中繼伺服器發送而更新中繼群組資訊。如此一來,中繼群組資訊係被動態地共用。
中繼伺服器資訊記憶部52,係記憶著中繼伺服器資訊,其係表示進行中繼通訊之中繼伺服器及隸屬於該當中繼伺服器之客戶端終端的概要。
在圖4所示的中繼伺服器資訊中係描述有,對每一中繼伺服器而描述的site標籤、和將前記site標籤當作母要素的子要素之node標籤。site標籤中係描述有,關於中繼伺服器1的伺服器資訊521。作為該伺服器資訊521係描述有,中繼伺服器的識別資訊(「id」)、中繼伺服器的名稱(「name」)、啟動資訊(「stat」)。此外,當stat的內容是「active」時係表示中繼伺服器已登入至中繼通訊系統100,當stat是空欄時則表示係為登出中。site標籤之子要素的node標籤中係描述有,表示中繼伺
服器裡所屬之客戶端終端的所屬資訊522。作為所屬資訊522係描述有,所屬之中繼群組的名稱(「group」)、客戶端終端的識別資訊(「id」)、客戶端終端的名稱(「name」)、登入目標之中繼伺服器的識別資訊(「site」)。此外,客戶端終端未登入至中繼伺服器(中繼通訊系統100)時,「site」係為空欄。
此外,中繼群組所致之通訊,係基於上記之中繼群組資訊及中繼伺服器資訊,而進行如下。例如當從客戶端終端11向客戶端終端21發送封包時,首先,客戶端終端11係向自己所連接之中繼伺服器亦即中繼伺服器1,發送封包。此外,可交換封包的中繼伺服器,係可基於上記之中繼群組資訊來掌握,中繼伺服器底下所屬之客戶端終端的識別資訊及連接可否,係可基於上記的中繼伺服器資訊來掌握。中繼伺服器1,係基於這些資訊,而向客戶端終端21所連接之中繼伺服器亦即中繼伺服器2,發送封包。然後,該中繼伺服器2係向客戶端終端21發送封包。如此一來,就可在客戶端終端11、21彼此間進行中繼通訊。
關於該中繼伺服器資訊也是和中繼群組資訊同樣地,係在構成該當中繼群組的中繼伺服器1、2、3、4之間,被資訊分享。而且,當某台中繼伺服器裡進行了變更中繼伺服器資訊之處理時,該意旨會對其他中繼伺服器發送而更新中繼伺服器資訊。如此一來,中繼伺服器資訊係被動態地共用。
客戶端終端資訊記憶部53,係記憶著關於客戶端終端
的詳細資訊亦即客戶端終端資訊。此外,中繼伺服器1、2、3、4係僅記憶著,關於自己底下所屬之客戶端終端的客戶端終端資訊。例如,在中繼伺服器1裡,係如圖1所示般地有客戶端終端11隸屬之,因此在中繼伺服器1所具備的客戶端終端資訊記憶部53中,係僅記憶著客戶端終端11的客戶端終端資訊。
中繼伺服器1的客戶端終端資訊記憶部53所記憶的客戶端終端資訊,係示於圖5(a)。同樣地,中繼伺服器2所記憶的客戶端終端資訊係示於圖5(b),中繼伺服器3所記憶的客戶端終端資訊係示於圖5(c),中繼伺服器4所記憶的客戶端終端資訊係示於圖5(d)。
在圖5所示的客戶端終端資訊中,係描述有node標籤。在該node標籤中係描述有:客戶端終端的私人IP位址(「addr」)、所屬之中繼群組的名稱(「group」)、識別資訊(「id」)、名稱(「name」)、用來登入至中繼伺服器所需之密碼(「pass」)、連接埠資訊(「port」)。
VPN群組資訊記憶部54係記憶著,從構成中繼群組之中繼伺服器及客戶端終端中所選擇出來的機器(以下稱作路由機器)所構成之VPN群組所相關的資訊亦即VPN群組資訊。VPN群組係為在中繼群組內所構成的群組,藉由在路由機器間建立路由會談,就可建構出虛擬網路。
在圖6所示的VPN群組資訊中,係描述有vnet標籤。在該vnet標籤中係描述有:VPN群組基本資訊541、路
由端點資訊542、路由會談資訊543。VPN群組基本資訊541中係描述有:VPN群組所屬之中繼群組的名稱(「group」)、VPN群組的識別資訊(「id」)、最終更新時刻(「lastmod」)、VPN群組的名稱(「name」)。在路由端點資訊542中係描述有,在VPN群組間進行通訊時,進行路由之路由機器的識別資訊。於圖6的例子中,作為路由機器係描述有:客戶端終端11、客戶端終端21、中繼伺服器3。在路由會談資訊543中係描述有,於VPN群組中被彼此連接之路由機器。
在路由會談資訊543中,路由機器係分成,在VPN群組中開始VPN所需之路由會談建立處理中,最初進行通訊控制的一側(「sp(start point)」)、和接受其通訊控制的一側(「ep(end point)」)而定。此外,在以下的說明中,將最初進行路由會談建立所需之通訊控制之一側的路由機器稱作「起點」,將接受其通訊控制之一側的路由機器稱作「終點」。
該VPN群組資訊也是和中繼伺服器資訊及中繼群組資訊同樣地,在構成VPN群組的中繼伺服器1、2、3之間被分享。然後,當在某台中繼伺服器裡進行了變更VPN群組資訊之處理時,該意旨會對構成VPN群組的其他中繼伺服器發送而更新VPN群組資訊。如此一來,VPN群組資訊係被動態地共用。此外,關於該VPN群組的作成處理,將於後述。
位址過濾器資訊記憶部55係記憶著位址過濾器資訊
,其係用來表示,在VPN開始而由路由機器進行路由之際,路由機器所能指定成封包傳送目標的路由對象裝置。
圖7(a)中係圖示了位址過濾器資訊的概要。如圖7(a)所示,客戶端終端11係可對通訊裝置12,發送封包。客戶端終端21係可對檔案伺服器22、檔案伺服器23、及通訊裝置24,發送封包。中繼伺服器3,係可對LAN30上所連接的所有機器,發送封包。
位址過濾器資訊記憶部55,係如圖7(b)所示,將路由機器的識別資訊、和該當路由機器所能指定的路由對象裝置的IP位址及名稱,建立對應而記憶。作為路由對象裝置的名稱,係可設定讓使用者容易辨識之名稱等的任意名稱,例如可考慮機器的種類(處理裝置、通訊裝置、檔案伺服器等)及LAN的配置場所等,來進行設定。此外,各個作為路由端點的中繼伺服器,係亦可令位址過濾器資訊被顯示在外部的顯示裝置等。又,該位址過濾器資訊係如後述的圖12等所示,被構成為,在VPN開始時,可在路由機器彼此間交換。
中繼伺服器1、2、3、4,係被構成如上。此外,關於客戶端終端11、21、31、41之構成係省略詳細說明,但具備有實質上與中繼伺服器1、2、3、4同樣構成的記憶部50及控制部60。
接著說明,建構VPN群組,而在已建構之VPN群組中,進行封包之繞送時的處理。
首先,關於建構VPN群組時之流程,參照圖8及圖
12來說明。圖8係VPN群組作成處理的流程圖。圖12係作成VPN群組之通訊處理及更新位址過濾器資訊之通訊處理的序列圖。
利用中繼通訊系統100的使用者,係藉由操作客戶端終端11、21、31等,而可令其顯示出VPN群組的設定畫面。此處係說明使用客戶端終端11來進行設定的情形。令客戶端終端11所顯示的設定畫面中係顯示有,該當客戶端終端11所屬之複數中繼群組。使用者係從該複數中繼群組中,選擇出欲建構VPN群組的中繼群組(S101)。
一旦選擇了中繼群組,則在客戶端終端11的畫面上係顯示出,隸屬於已選擇之中繼群組,且可成為路由端點而發揮機能的中繼伺服器及客戶端終端的識別資訊之一覽(S102)。然後,使用者係在所建構之VPN群組中,選擇出令其作為路由端點而發揮機能的中繼伺服器及客戶端終端的識別資訊(S103)。在本次的說明中,客戶端終端11、客戶端終端21、及中繼伺服器3的識別資訊,是讓使用者來選擇。
然後,基於該已被選擇之路由端點,作成路由會談資訊(S104)。又,基於已被選擇之中繼伺服器等的識別資訊,作成路由端點的識別資訊(S104)。藉由對這些已被作成之資訊中附加VPN群組的識別資訊等,就作成了圖6所示的VPN群組資訊,VPN群組資訊記憶部54,係將該VPN群組資訊予以記憶(S105)。
然後,客戶端終端11係將已作成之VPN群組資訊,發送至其他路由機器(客戶端終端21及中繼伺服器3)(S106),以通知VPN群組已被作成之事實。此外,對客戶端終端21的VPN群組資訊之送訊,係如圖12所示,是透過中繼伺服器1及中繼伺服器2而進行(序號1,createVpnGroup)。又,對中繼伺服器3的VPN群組資訊之送訊,係透過中繼伺服器1而進行(序號2,createVpnGroup)。
藉此,就結束VPN群組之建構處理。此外,如以上所示,雖然在本實施形態中,機器間的通訊是經由中繼伺服器1、2、3、4而進行,但在以下的說明中,省略經由中繼伺服器1、2、3、4之通訊處理的具體說明而記載為「客戶端終端11是向客戶端終端21發送封包。」等。
接著,在已建構之VPN群組中開始VPN時之流程,參照圖9及圖13來說明。圖9至圖11係VPN開始處理的流程圖。圖13係建立路由會談之通訊處理及進行封包送訊之通訊處理的序列圖。
使用者係藉由操作客戶端終端11、21等,而可令已建構之VPN群組,被顯示在畫面上。然後,藉由從已被顯示之VPN群組中選擇出適當的VPN群組(S201),就可進行用來開始VPN所需之處理。在本次的說明中,假設是使用者操作客戶端終端11,來選擇上記所作成的VPN群組(將客戶端終端11、客戶端終端21、及中繼伺服器3當作路由機器的VPN群組)。
客戶端終端11,係首先將自己所被建立對應到的位址過濾器資訊,予以讀出(S202)。客戶端終端11的識別資訊所被建立對應到的位址過濾器資訊中,係如圖7所示,描述有可對通訊裝置12發送封包之意旨。接著,客戶端終端11係將已選擇之VPN群組中所屬的路由端點,予以讀出(S203)。藉此,基於圖6所示之VPN群組資訊的內容,而讀出客戶端終端21及中繼伺服器3的識別資訊。
客戶端終端11,係基於中繼伺服器資訊,而首先判斷客戶端終端21是否為登入中(「site」裡是否描述有中繼伺服器的識別資訊,或者空欄)(S204)。若依據圖4所示的中繼伺服器資訊,則客戶端終端21係為登入中,因此客戶端終端11係向客戶端終端21發送VPN群組的開始命令(S205,圖12的序號3,startVpn)。此時,已被選擇之VPN群組的識別資訊(VpnGroupID)、和客戶端終端11的識別資訊所被建立對應到的位址過濾器資訊(addr01),也被同時發送。
藉此,客戶端終端21係可特定出進行開始處理的VPN群組,可取得客戶端終端11的識別資訊所被建立對應到的最新位址過濾器。又,客戶端終端21係將已接收到訊號之意旨,通知給客戶端終端11,並且將自己所被建立對應到的位址過濾器資訊(addr02),發送至客戶端終端11。
客戶端終端11係接受來自客戶端終端21的回應(
S206),將所收到的位址過濾器資訊,記憶在位址過濾器資訊記憶部55中(S207)。又,客戶端終端11,係將客戶端終端21,登錄成為已經完成開始VPN之準備的路由端點(S208)。
接著,客戶端終端11係進行是否還有其他路由端點之判斷(S209)。在對客戶端終端21之VPN開始處理完成的時點上,由於對中繼伺服器3還未進行VPN之開始處理,因此客戶端終端11這次係以中繼伺服器3為對象而進行S204~S208之處理。具體而言,客戶端終端11係對中繼伺服器3,進行VPN的開始命令及位址過濾器資訊之送訊(圖12的序號5,startVpn)。然後,和客戶端終端21的情況同樣地,從中繼伺服器3接收位址過濾器資訊並加以記憶。
此外,該VPN群組的開始命令及位址過濾器資訊之收送訊,係也在客戶端終端21與中繼伺服器3之間進行(序號4,startVpn)。藉由以上,客戶端終端11、客戶端終端21、及中繼伺服器3就可取得其他路由機器的位址過濾器資訊。
如此,在開始VPN之際,由於各個路由機器會與其他路由機器交換(取得)位址過濾器資訊,因此可使用最新的位址過濾器資訊來建構VPN。因此,在VPN開始前的階段下即使一部分路由機器中的位址過濾器資訊有被變更,仍可在已經將該變更反映至所有路由機器的狀態下開始VPN,因此可防止封包繞送時發生矛盾,可提升信賴性
。
接著,客戶端終端11係從VPN群組資訊記憶部54的記憶內容中,抽出路由會談資訊(S210)。然後,客戶端終端11係參照S207中所記憶的位址過濾器資訊,進行位址過濾器資訊所示之IP位址中是否有重複(圖7(b)中所示之路由對象裝置的IP位址中是否有重複)之判斷(S211)。此外,以下係先說明,位址過濾器資訊所示之IP位址沒有重複時,客戶端終端11所進行之處理,其後說明,位址過濾器資訊所示之IP位址有重複時,客戶端終端11所進行之處理。
如圖7所示,在位址過濾器資訊記憶部55的記憶內容中,由於路由對象裝置的IP位址全都不同,因此位址過濾器資訊所示之IP位址係沒有重複。因此,客戶端終端11係參照在S210中所抽出之路由會談資訊,判斷是否有描述以自己為起點之路由會談(S215)。在圖6的路由會談資訊中描述有,於客戶端終端21及中繼伺服器3之間所應建立的路由會談中,客戶端終端11係為起點。
於是,首先,客戶端終端11係選擇客戶端終端21,判斷客戶端終端21是否為已經完成開始VPN之準備的路由端點(S216)。藉由上記S208,由於客戶端終端21係已經完成準備,因此從客戶端終端11對客戶端終端21進行用來建立路由會談所需之通訊控制(S217,序號6,createVpnSsn)。
客戶端終端11係判斷是否還描述有其他以自己為連
接起點的路由會談(S218)。對客戶端終端21之路由會談建立處理已完成的時點上,由於與中繼伺服器3之間尚未進行路由會談建立處理,因此客戶端終端11係即使對於中繼伺服器3也是進行和客戶端終端21中所進行之通訊控制同樣的通訊控制(序號8,createVpnSsn)。藉此,在客戶端終端11與中繼伺服器3之間就會建立路由會談。
又,如圖6所示,由於在路由會談資訊中有描述,客戶端終端21必須要為與中繼伺服器3之間的路由會談之起點,因此用來建立路由會談所需之通訊控制,係也會從客戶端終端21對中繼伺服器3進行之(序號7,createVpnSsn)。藉由以上,在客戶端終端11與客戶端終端21之間、客戶端終端11與中繼伺服器3之間、及客戶端終端21與中繼伺服器3之間,就會分別建立路由會談。其後,開始封包的路由控制(S219)。此外,各個路由機器,係如果路由會談資訊中沒有描述讓自己成為起點之意旨則不會進行路由會談建立所需之最初之通訊控制,因此可防止通訊控制的碰撞,可以簡單的控制就能建立起機器間的路由會談。
接著說明,關於使用已建立之路由會談來進行封包繞送之處理。以下說明,第1封包至第3封包之3種類封包時的繞送。
首先說明,當客戶端終端21是從檔案伺服器22接收到,送訊目的地位址為(192.168.33.132)(送訊目的地
是被指定成通訊裝置32)的第1封包時的情形(序號9,packet01)。此外,該第1封包的送訊來源位址,係為檔案伺服器22的IP位址,亦即(192.168.22.122)。客戶端終端21係在接收到該第1封包後,將送訊目的地IP位址與圖7所示的位址過濾器資訊,進行比較。然後,偵測出可對第1封包中所記載的送訊目的地發送封包的路由端點。
如圖7所示,第1封包之送訊目的地IP位址,係被包含在中繼伺服器3的識別資訊所被建立對應到的位址過濾器資訊中。此時,客戶端終端21,係透過與中繼伺服器3之間所建立的路由會談,而將第1封包發送至該當中繼伺服器3。
接收到該第1封包的中繼伺服器3也是和客戶端終端21同樣地,將送訊目的地位址與位址過濾器資訊,進行比較。其結果為,中繼伺服器3係偵測出自己被描述成為,可對第1封包中所記載的送訊目的地發送封包的路由端點。然後,中繼伺服器3係將第1封包,對通訊裝置32進行送訊。此外,通訊裝置32係可從已接收之第1封包的送訊來源位址,偵測出該當第1封包的送訊來源是檔案伺服器22。
此外,像是第1封包之送訊時的客戶端終端21那樣,從自己所屬之LAN的路由對象裝置(送訊來源)收取封包,往適切的路由會談發送封包的路由機器,以下有時候會稱之為「身為送訊來源側之路由端點而發揮機能的路
由機器」。另一方面,像是第1封包之送訊時的中繼伺服器3那樣,透過路由會談而接收封包,往自己所屬之LAN的路由對象裝置(送訊目的地)發送封包的路由機器,以下有時候會稱之為「身為送訊目的地側之路由端點而發揮機能的路由機器」。
接著說明,中繼伺服器3從通訊裝置32接收到送訊目的地位址為(192.168.22.122)(送訊目的地是被指定成檔案伺服器22)的第2封包時的情形(序號10,packet02)。若依據圖7的位址過濾器資訊,則作為可對第2封包中所記載的送訊目的地發送封包的路由端點,是指定了客戶端終端21。因此,中繼伺服器3,係透過與客戶端終端21之間所建立的路由會談,而將第2封包發送至該當客戶端終端21。然後,客戶端終端21係偵測出自己被描述成為可對第2封包中所記載的送訊目的地發送封包的路由端點,將第2封包對送訊目的地之檔案伺服器22進行送訊。此外,檔案伺服器22係可從已接收之第2封包的送訊來源位址,偵測出該當第2封包的送訊來源是通訊裝置32。
於第2封包之送訊時,中繼伺服器3係相當於身為送訊來源側之路由端點而發揮機能的路由機器,客戶端終端21係相當於身為送訊目的地側之路由端點而發揮機能的路由機器。
接著說明,客戶端終端11從通訊裝置12,送訊目的地IP位址為(192.168.5.51)的第3封包,被客戶端終端
11接收時的情形(序號11,packet03)。客戶端終端11,係比較送訊目的地IP位址與位址過濾器資訊,結果會偵測出沒有描述可以對送訊目的地發送封包的路由端點。此時,客戶端終端11係不將所接收到的第3封包發送至任何地方。
如此,在本實施形態中係構成為,是以應用層的路由會談,來流通路由對象的資料。因此,以上所說明的路由,係與通常的IP路由不同。
以應用層來進行路由,就可不意識到WAN,讓遠端的LAN彼此可利用私人IP位址來進行相互通訊。又,如上述,路由機器係可顯示出,可被指定成為封包傳送目標的路由對象裝置的名稱。因此,使用者係可容易辨識,可使用VPN向哪台機器發送封包。
接著說明,當偵測到位址過濾器資訊所示之位址有發生重複時,路由機器所進行之處理,和基於該處理而將封包予以繞送時之控制。首先,關於當偵測到位址過濾器資訊所示之位址有發生重複時,路由機器所進行之處理,參照圖10、圖14及圖15來說明。圖14係在轉換位址表的通知後,位址過濾器資訊記憶部的記憶內容之一例的圖示。圖15係令通訊用之IP位址被顯示在外部顯示裝置上時的顯示內容之圖示。
以下說明,位址過濾器資訊的記憶內容並非如圖7而是如圖14(a)所示時的情形。此時,於圖14(a)的被2點鎖線所圈起的部分裡,位址過濾器資訊所示之IP位址
係發生重複(具體而言,客戶端終端21所被建立對應到的位址過濾器資訊,係與中繼伺服器3所被建立對應到的位址過濾器資訊,發生碰撞)。因此,在上記S211(圖10)中,客戶端終端11係判斷,在位址過濾器資訊所示之IP位址裡有重複。然後,客戶端終端11係基於S210中所讀出的路由會談資訊,而在與自身之間所建立的所有路由會談中,判斷自身是否被設定成為最先進行前記通訊控制的一側(起點)(S212)。
在本次的說明中,係如圖6所示,客戶端終端11係在與自身之間所被建立的所有(2個)路由會談中,都被設定成為起點。因此,客戶端終端11係進行轉換位址表的作成(S213)。所謂的轉換位址表係為,發生重複之IP位址、和啟動處理執行中的VPN群組裡未被使用之IP位址亦即通訊用的IP位址(轉換位址),所建立對應而成的表格(具體而言係為圖14(b)之中央2列所示的表格)。藉由使用該通訊用的IP位址,就可不必變更實際的IP位址而開始VPN。
然後,客戶端終端11,係將已作成之轉換位址表,發送至其他路由機器(S214)。其後,客戶端終端11、及接收到轉換位址表的其他路由機器,係基於轉換位址表,而如圖14(b)所示,在位址過濾器資訊記憶部的記憶內容中,追加通訊用的IP位址。
此外,客戶端終端11(或中繼伺服器3),係為了將該已被追加之通訊用的IP位址通知給使用者,而可在該
當客戶端終端11所具備的顯示器(或外部顯示裝置)上,顯示出圖15所示的內容。於該顯示中,表示通訊裝置12的實際IP位址的欄位中係記入了短線,但這是表示通訊用的IP位址與實際的IP位址是相同的意思。當然,亦可取代短線改成顯示IP位址,也可顯示通訊用的IP位址與實際的IP位址為相同之意旨。又,於該顯示畫面中,係除了圖15所示的內容外,亦可追加顯示「請使用通訊用的IP位址來進行通訊」。
此外,於S212的判斷中,客戶端終端11以外的路由機器,係如圖6所示,由於友自己被設定成為接受通訊控制之一側(終點)的1個以上之路由會談存在,因此不進行轉換位址表的作成及送訊。如此,由於在本實施形態中,進行轉換位址表之作成等的路由機器係被決定為只有1個,因此可控制S212及S213之處理被複數執行。
接著,關於使用通訊用的IP位址來繞送封包時之控制,參照圖16至圖18來說明。圖16係接收到路由封包時,路由機器所進行之處理的流程圖。圖17及圖18係使用實際的IP位址與通訊用的IP位址所進行之通訊處理之流程的圖示。
藉由客戶端終端11所具備之顯示器等,看到通訊用的IP位址已被作成之意旨的顯示的使用者,係進行設定,而使通訊用的IP位址被使用來作為,使用通訊裝置等來發送封包時的送訊目的地位址。另一方面,作為使用通訊裝置等來發送封包時的送訊來源位址,係沒有必要特地
進行變更,而使用通訊裝置等的實際IP位址。
路由機器係若身為送訊來源側之路由端點而發揮機能時(S301),則針對已接收之封包(詳細而言係為路由封包)判斷是否需要進行送訊來源位址的轉換(S302)。路由機器,基於對應於該當路由機器的轉換位址表,來進行該S302之判斷。具體而言,路由機器係當已接收之封包的送訊來源位址(實際的IP位址)是已經與通訊用的IP位址建立對應的時候,基於該轉換位址表,而將送訊來源位址從實際的IP位址轉換成通訊用的IP位址(S303)。如此,當接收到需要轉換送訊來源位址的封包時,將該當封包之送訊來源位址進行轉換之處理,以下稱之為送訊來源位址轉換處理。
然後,路由機器係選擇可對於已接收之封包的送訊目的地位址(通訊用的IP位址)中所記載的送訊目的地發送該當封包的路由機器,透過路由會談而向該當路由機器發送封包(S304)。此外,於S302的判斷中,當送訊來源位址並未與通訊用的IP位址建立對應時,係不進行送訊來源位址的轉換,向適切的路由機器發送封包(S304)。
如此,送訊來源位址的轉換,就會被身為送訊來源側之路由端點而發揮機能的路由機器所進行。
另一方面,路由機器係若身為送訊目的地側之路由端點而發揮機能時(S305),則針對已接收之封包判斷是否需要進行送訊目的地位址的轉換(S306)。路由機器,基
於對應於該當路由機器的轉換位址表,來進行該判斷。具體而言,路由機器係當已接收之封包的送訊目的地位址是通訊用的IP位址時,則基於該轉換位址表,而將送訊目的地位址從通訊用的IP位址轉換成實際的IP位址(S307)。如此,當接收到需要轉換送訊目的地位址的封包時,將該當封包之封包之送訊目的地位址進行轉換之處理,以下稱之為送訊目的地位址轉換處理。然後,向送訊目的地的路由對象裝置,發送封包(S308)。此外,由於已接收之封包的送訊目的地位址是實際的IP位址時就沒有必要轉換,因此不進行轉換處理,就向送訊目的地的路由對象裝置,發送封包(S308)。此外,當路由機器不是身為送訊來源側及送訊目的地側的路由端點而發揮機能時,係進行其他處理(封包的丟棄等)(S309)。
如此,送訊目的地位址的轉換,就會被路由機器是身為送訊來源側之路由端點而發揮機能的路由機器所進行。
如以上所述,藉由使用該通訊用的IP位址,就可不必變更實際的IP位址,就能開始VPN而進行封包的收送訊。此外,位址過濾器資訊所示的IP位址中是否有重複的判斷(S211),係亦可不只在VPN的啟動時,在VPN的啟動中也可進行。然後,當在VPN啟動中偵測到重複時,也可藉由進行和上述同等的控制,就可不必停止VPN,而持續以該當VPN進行封包之收送訊。
以下,如圖13的序號9及10所示,具體說明從檔案伺服器22往通訊裝置32發送封包(詳細而言係為路由封
包)時路由機器所進行之處理,和從通訊裝置32往檔案伺服器22回送封包時路由機器所進行之處理。
首先,從檔案伺服器22往通訊裝置32發送封包時的情形,參照圖17來說明之。於圖17的上段中,封包係從左往右依序發送,此時的封包之送訊目的地位址的變化係示於中段,送訊來源位址的變化係示於下段。如上述,檔案伺服器22所致之封包的送訊時的該當封包之送訊目的地位址,係為通訊裝置32的通訊用IP位址。另一方面,該封包的送訊來源位址,係為檔案伺服器22的實際IP位址。客戶端終端21,係為了成為送訊來源側的路由端點而發揮機能,因此針對已接收之封包,判斷是否需要轉換送訊來源位址(S302)。此處,如圖14(b)所示,檔案伺服器22的實際IP位址,係與通訊用的IP位址建立了對應,因此客戶端終端21係基於轉換位址表,而將封包的送訊來源位址從實際的IP位址轉換成通訊用的IP位址(S303,送訊來源位址轉換處理)。
若依據圖14(b)的位址過濾器資訊,則作為可對通訊裝置32的通訊用IP位址發送封包的路由端點,是指定了中繼伺服器3。因此,客戶端終端21,係透過與中繼伺服器3之間所建立的路由會談,而將封包發送至該當中繼伺服器3(S304)。
然後,接收到該封包的中繼伺服器3,係身為送訊來源側之路由端點而發揮機能,因此會針對已接收之封包,判斷是否需要進行送訊目的地位址的轉換(S306)。如此
一來,基於圖14(b)所示的轉換位址表,就可了解送訊目的地位址是通訊裝置32的通訊用IP位址,因此中繼伺服器3,係將送訊目的地位址從通訊用的IP位址轉換成實際的IP位址(S307,送訊目的地位址轉換處理)。然後,向送訊目的地的通訊裝置32,發送封包(S308)。此外,通訊裝置32係可從已接收之封包的送訊來源位址,偵測出該當封包的送訊來源是檔案伺服器22。
接著,關於從通訊裝置32往檔案伺服器22回送封包(詳細而言係為路由封包)時的情形,參照圖18來說明。於圖18的上段中,封包係從右往左依序發送,此時的封包之送訊目的地位址的變化係示於中段,送訊來源位址的變化係示於下段。此時,中繼伺服器3係成為送訊來源側的路由端點而發揮機能,客戶端終端21係成為送訊目的地側的路由端點而發揮機能。因此,從通訊裝置32接收到回訊用封包的中繼伺服器3,係判斷是否需要轉換送訊來源位址(S302),將送訊來源位址從實際的IP位址轉換成通訊用的IP位址(S303,送訊來源位址轉換處理)。然後,透過路由會談而向客戶端終端21發送封包(S304)。
另一方面,透過路由會談而接收到回訊用封包的客戶端終端21,係判斷是否需要轉換送訊目的地位址(S306),將送訊目的地位址從通訊用的IP位址轉換成實際的IP位址(S307,送訊目的地位址轉換處理)。然後,透過路由會談而向檔案伺服器22發送封包(S308)。
接著,關於結束VPN的處理,參照圖19來加以說明。圖19係結束VPN群組的通訊處理的序列圖。使用者係藉由操作客戶端終端11、21等,就可開始用來結束VPN之處理。本次的說明中係假設是使用者操作客戶端終端11而開始用以結束VPN的處理。
客戶端終端11,係一旦收到結束VPN的指示,則連同VPN群組的識別資訊而將該意旨,對客戶端終端21及中繼伺服器3進行送訊(序號12、13,stopVpn)。此外,客戶端終端21及中繼伺服器3,係藉由從客戶端終端11所接收到的VPN群組之識別資訊,就可獲知以哪個VPN群組為對象之VPN要被結束。
客戶端終端11係將已經受理VPN結束之意旨的訊號,從客戶端終端21及中繼伺服器3予以接收後,對客戶端終端21發送路由會談的結束命令(序號14,closeVpnSsn)。又,客戶端終端11,係即使對中繼伺服器3,也發送出路由會談的結束命令(序號16,closeVpnSsn)。
該路由會談的結束命令之送訊,係也會從客戶端終端21對中繼伺服器3進行之(序號15,closeVpnSsn)。藉由以上,在客戶端終端11與客戶端終端21之間、客戶端終端11與中繼伺服器3之間、及客戶端終端21與中繼伺服器3之間所被建立的路由會談,就會被分別結束。然後,VPN群組所致之VPN就結束。
如以上所示,中繼伺服器3,係具備:中繼群組資訊
記憶部51、中繼伺服器資訊記憶部52、VPN群組資訊記憶部54、位址過濾器資訊記憶部55、通訊控制部63。中繼群組資訊記憶部51,係將可與自身(中繼伺服器3)之間彼此連接之其他中繼伺服器1、2、4加以含有的中繼群組之資訊(群組資訊511及群組構成資訊512),加以記憶。中繼伺服器資訊記憶部52,係將中繼伺服器資訊,加以記憶;該中繼伺服器資訊係由以下所構成:將中繼群組下所屬之中繼伺服器1、2、3、4的啟動資訊加以含有的伺服器資訊521、和將中繼群組下所屬之中繼伺服器1、2、3、4上所連接之客戶端終端11、21、31、41的啟動資訊及登錄資訊加以含有的所屬資訊522。VPN群組資訊記憶部54,係關於由基於中繼群組之資訊及中繼伺服器資訊而構成中繼通訊系統的通訊機器當中已被設定成路由端點的通訊機器亦即路由機器(客戶端終端11、客戶端終端21、及中繼伺服器3)所構成、透過該當路由機器間所被建立的路由會談而以虛擬私人網路進行通訊的VPN群組,將構成該當VPN群組之路由機器的識別資訊(路由端點資訊542)及表示被彼此連接之前記路由機器的路由會談資訊543,加以記憶。位址過濾器資訊記憶部55,係將路由機器所能指定成為封包傳送目標之路由對象裝置之位址加以表示的位址過濾器資訊,與該當路由機器的識別資訊建立對應而記憶。通訊控制部63,係當偵測到位址過濾器資訊中所含有之位址是在同一VPN群組中有重複時,進行:將該當VPN群組中未被使用之位址亦即通訊用IP
位址(轉換位址),建立對應至該當重複之位址,記憶在位址過濾器資訊中,將該當位址過濾器資訊發送至其他路由機器之控制、和基於位址過濾器資訊及轉換位址來進行路由之控制。
藉此,中繼伺服器3,係可與從構成中繼通訊系統之其他通訊機器(其他中繼伺服器及客戶端終端)中所選擇出來的路由機器,建構VPN,因此可僅與必要的通訊機器之間,進行檔案分享等。又,即使是在被指派了同一位址的網路彼此間建構VPN的情況下,仍不須變更實際位址,就可進行封包的繞送。
又,於本實施形態的中繼伺服器3中,通訊控制部63係進行送訊來源位址轉換處理、和送訊目的地位址轉換處理。尤其是,在本實施形態中,當中繼伺服器3是身為送訊來源側的路由端點而發揮機能時,則進行送訊來源位址轉換處理,當中繼伺服器3是身為送訊目的地側的路由端點而發揮機能時,則進行送訊目的地位址轉換處理。
藉此,藉由進行送訊來源位址轉換處理,就可對封包之送訊目的地,告知該當封包的送訊來源。又,藉由進行送訊目的地位址轉換處理,就可向適切的送訊目的地,發送封包。
又,於本實施形態的中繼伺服器3中,係可將實際的IP位址及通訊用的IP位址,與該當位址所被設定的路由對象裝置建立對應,而顯示在外部的顯示裝置上。
藉此,就可讓使用者獲知通訊用的IP位址是已經與
哪個路由對象裝置建立對應。因此,例如,用來指定通訊用IP位址來作為送訊目的地位址所需的設定,就可被簡單地進行。
又,於本實施形態的中繼伺服器3中,VPN群組資訊記憶部54,係作為路由會談資訊543,是記憶著最初進行用來建立路由會談所需之通訊控制之一側的路由機器(起點)的識別資訊'、和接受該當通訊控制之一側的路由機器(終點)的識別資訊。在與自身之間所建立的所有路由會談中,當自身是被設定成為最先進行通訊控制的一側時,通訊控制部63係進行,將通訊用的IP位址建立對應至發生重複之位址,將該當通訊用的IP位址,發送至其他路由機器之控制。
藉此,於VPN群組中,就會通常是由1台路由機器來進行作成通訊用IP位址之控制。因此,可防止通訊用IP位址之對應等處理被複數執行之事態。
接著,關於第2實施形態,參照圖20來加以說明。圖20係於第2實施形態中接收到路由封包時,路由機器所進行之處理的流程圖。此外,圖20所示的處理,係含有和圖16所示之處理相同的處理,因此省略或簡化部分的說明。
在上記第1實施形態中,是在送訊來源側的路由端點上進行送訊來源位址轉換處理,在送訊目的地側的路由端點上進行送訊目的地位址轉換處理之構成。可是,進行送訊來源位址轉換處理及送訊目的地位址轉換處理的時序係
不限定於上記第1實施形態,亦可在送訊來源側或送訊目的地側之任一路由端點上進行。又,其組合也為任意。以下說明的第2實施形態中,係於送訊來源側的路由端點中,不只進行送訊來源位址轉換處理,還進行送訊目的地位址轉換處理之構成。
亦即,路由機器係若身為送訊來源側之路由端點而發揮機能時(S401),會判斷是否需要進行送訊目的地位址之轉換(S402)。該判斷係和第1實施形態的S306同樣地進行。然後,當判斷為需要轉換送訊目的地位址時,將送訊目的地位址轉換成實際的IP位址(S403,送訊目的地位址轉換處理)。接著,路由機器係和第1實施形態與同樣地,進行送訊來源位址轉換處理(S405)。然後,路由機器係和第1實施形態同樣地,基於位址過濾器資訊來選擇路由會談,透過該當路由會談,而向適切的路由機器發送封包(S406)。
此外,在送訊來源側的路由端點上將送訊目的地位址轉換成實際的IP位址時,由於該實際的IP位址係與其他機器的IP位址重複,因此一般認為無法將封包發送至適切的路由機器。可是,送訊來源側的路由機器,係基於位址過濾器資訊來選擇路由會談,藉此,就可將封包發送至適切的路由機器為止。因此,在本發明的構成中,即使在送訊來源側的路由機器上轉換了送訊目的地位址的情況下,仍可向適切的送訊目的地,發送封包。
又,當路由機器是身為送訊目的地側的路由端點而發
揮機能時(S407),由於所接收之封包之送訊目的地位址是因應需要而已經備轉換過了,因此不進行送訊目的地位址轉換所需之處理。
如以上所示,第2變形例的中繼伺服器(詳細而言係為通訊控制部63),係進行送訊來源位址轉換處理及送訊目的地位址轉換處理之雙方。通訊控制部63,係透過路由會談而向其他路由機器發送封包。
藉此,在送訊來源側的路由端點上,不只進行送訊來源位址之轉換,還可進行送訊目的地位址之轉換。因此,送訊目的地側的路由端點上的位址轉換處理,係可省略。
以上雖然說明本發明的理想實施形態,但上記構成係可例如做以下的變更。
路由機器所指派的通訊用的IP位址(轉換位址),若為VPN群組中未被使用之IP位址,則可指派任意之位址。
上記之中繼群組資訊、中繼伺服器資訊、客戶端終端資訊、VPN群組資訊、位址過濾器資訊等的儲存格式係不限定於XML格式,可以適宜的格式來儲存各資訊。
亦可取代上記實施形態之構成,而將各中繼伺服器間之通訊時所使用的外部伺服器設置在網際網路上,使其發揮SIP(Session Initiaion Protocol)之機能而進行通訊之構成。
1、2、3、4‧‧‧中繼伺服器
11、21、31、41‧‧‧客戶端終端
10、20、30、40‧‧‧LAN
50‧‧‧記憶部
60‧‧‧控制部
63‧‧‧通訊控制部
100‧‧‧中繼通訊系統
〔圖1〕第1實施形態所述之中繼通訊系統的全體構成之說明圖。
〔圖2〕中繼伺服器的機能區塊圖。
〔圖3〕中繼群組資訊之內容的圖示。
〔圖4〕中繼伺服器資訊之內容的圖示。
〔圖5〕客戶端終端資訊之內容的圖示。
〔圖6〕VPN群組資訊之內容的圖示。
〔圖7〕位址過濾器資訊記憶部之記憶內容之一例的圖示。
〔圖8〕VPN群組作成處理的流程圖。
〔圖9〕VPN之開始處理的流程圖。
〔圖10〕VPN之開始處理的流程圖。
〔圖11〕VPN之開始處理的流程圖。
〔圖12〕作成VPN群組之通訊處理及更新位址過濾器資訊之通訊處理的序列圖。
〔圖13〕建立路由會談之通訊處理及進行封包送訊之通訊處理的序列圖。
〔圖14〕在轉換位址表的通知後,位址過濾器資訊記憶部的記憶內容之一例的圖示。
〔圖15〕令通訊用之IP位址被顯示在外部顯示裝置上時的顯示內容之圖示。
〔圖16〕接收到路由封包時,路由機器所進行之處理的流程圖。
〔圖17〕使用實際的IP位址與通訊用的IP位址所進
行之通訊處理之流程的圖示。
〔圖18〕使用實際的IP位址與通訊用的IP位址所進行之通訊處理之流程的圖示。
〔圖19〕結束VPN群組的通訊處理的序列圖。
〔圖20〕於第2實施形態中接收到路由封包時,路由機器所進行之處理的流程圖。
2、3‧‧‧中繼伺服器
21‧‧‧客戶端終端
22‧‧‧檔案伺服器
32‧‧‧通訊裝置
Claims (12)
- 一種中繼伺服器,其特徵為,具備:中繼群組資訊記憶部,係將可與自身之間彼此連接之其他中繼伺服器加以含有的中繼群組之資訊,加以記憶;和中繼伺服器資訊記憶部,係記憶著中繼伺服器資訊,該中繼伺服器資訊係含有:前記中繼群組中所屬之前記中繼伺服器的啟動資訊、與前記中繼群組中所屬之前記中繼伺服器上所被連接之客戶端終端的啟動資訊及登錄資訊;和VPN群組資訊記憶部,係關於由基於前記中繼群組之資訊及前記中繼伺服器資訊而構成中繼通訊系統的通訊機器當中已被設定成路由端點的通訊機器亦即路由機器所構成、透過該當路由機器間所被建立之路由會談而以虛擬私人網路進行通訊的VPN群組,將構成該當VPN群組之前記路由機器的識別資訊、及表示被彼此連接之前記路由機器的路由會談資訊,加以記憶;和位址過濾器資訊記憶部,係將前記路由機器所能指定成為封包傳送目標之路由對象裝置之位址加以表示的位址過濾器資訊,與該當路由機器的識別資訊建立對應而記憶;和通訊控制部,係進行:作成複數VPN群組,並將它們記憶在前記VPN群組資訊記憶部中之控制;和從前記VPN群組資訊記憶部中所記憶之複數VPN群組中,選擇 了要啟動的VPN群組時,判斷該當VPN群組中所屬之路由機器彼此間,前記位址過濾器資訊中所含之位址是否有在同一VPN群組內重複,在測知位址有重複時,作成將該當VPN群組中未被使用之位址亦即轉換位址與該當重複之位址建立對應而成的轉換位址表,將該當轉換位址表,發送至前記已被選擇之VPN群組中所屬之其他前記路由機器之控制;和基於前記轉換位址表而進行路由之控制。
- 如請求項1所記載之中繼伺服器,其中,前記通訊控制部,係至少進行以下當中之一方:送訊來源位址轉換處理,係當接收到送訊來源位址是被指定為實際位址的封包時,將前記封包的送訊來源位址,從實際位址轉換成前記轉換位址;和送訊目的地位址轉換處理,係當接收到送訊目的地位址是被指定為前記轉換位址的封包時,將前記封包之送訊目的地位址,從前記轉換位址予以轉換成實際位址。
- 如請求項2所記載之中繼伺服器,其中,若身為送訊來源側之路由端點而發揮機能時,則前記通訊控制部係進行,前記送訊來源位址轉換處理及前記送訊目的地位址轉換處理當中之至少一方。
- 如請求項3所記載之中繼伺服器,其中,若身為送訊來源側之路由端點而發揮機能時,則前記通訊控制部係進行前記送訊來源位址轉換處理,透過路由會談而向其他前記路由機器發送封包。
- 如請求項3所記載之中繼伺服器,其中,若身為送訊來源側之路由端點而發揮機能時,則前記通訊控制部係進行前記送訊來源位址轉換處理及前記送訊目的地位址轉換處理之雙方,透過路由會談而向其他前記路由機器發送封包。
- 如請求項2所記載之中繼伺服器,其中,若身為送訊目的地側之路由端點而發揮機能時,則前記通訊控制部係進行,前記送訊來源位址轉換處理及前記送訊目的地位址轉換處理當中尚未被送訊來源側之路由端點所進行過的位址轉換處理。
- 如請求項6所記載之中繼伺服器,其中,若身為送訊目的地側之路由端點而發揮機能時,則前記通訊控制部,係在進行過前記送訊目的地位址轉換處理時,基於轉換後之位址亦即實際位址,來傳送封包。
- 如請求項1所記載之中繼伺服器,其中,可將實際位址及前記轉換位址,與該當位址所被設定之前記路由對象裝置的名稱建立對應,而顯示在外部之顯示裝置上。
- 如請求項1所記載之中繼伺服器,其中,前記VPN群組資訊記憶部,係將最初進行用來建立路由會談所需之通訊控制之一側的前記路由機器的識別資訊、和接受該當通訊控制之一側的前記路由機器的識別資訊,當作前記路由會談資訊而加以記憶; 在與自身之間所建立的所有路由會談中,當自身是被設定成為最先進行前記通訊控制的一側時,前記通訊控制部係進行,將前記轉換位址建立對應至發生重複之位址,將該當轉換位址,發送至其他前記路由機器之控制。
- 一種中繼通訊系統,其特徵為,具備:複數之中繼伺服器;和可透過前記中繼伺服器而彼此連接的客戶端終端;前記中繼伺服器係具備:中繼群組資訊記憶部,係將可與該當中繼伺服器之間彼此連接之其他中繼伺服器加以含有的中繼群組之資訊,加以記憶;和中繼伺服器資訊記憶部,係記憶著中繼伺服器資訊,該中繼伺服器資訊係含有:前記中繼群組中所屬之前記中繼伺服器的啟動資訊、與前記客戶端終端的啟動資訊及登錄資訊;和VPN群組資訊記憶部,係關於由前記中繼伺服器及前記客戶端終端當中已被設定成路由端點之路由機器所構成、透過在該當路由機器間所被建立之路由會談而以虛擬私人網路進行通訊的VPN群組,將構成該當VPN群組之前記路由機器的識別資訊及表示被彼此連接之前記路由機器的路由會談資訊,加以記憶;和位址過濾器資訊記憶部,係將前記路由機器所能指定成為封包傳送目標之路由對象裝置加以表示的位址過濾器 資訊,與該當路由機器的識別資訊建立對應而記憶;和通訊控制部,係進行:作成複數VPN群組,並將它們記憶在前記VPN群組資訊記憶部中之控制;和從前記VPN群組資訊記憶部中所記憶之複數VPN群組中,選擇了要啟動的VPN群組時,判斷該當VPN群組中所屬之路由機器彼此間,前記位址過濾器資訊中所含之位址是否有在同一VPN群組內重複,在測知位址有重複時,作成將該當VPN群組中未被使用之位址亦即轉換位址與該當重複之位址建立對應而成的轉換位址表,將該當轉換位址表,發送至前記已被選擇之VPN群組中所屬之其他前記路由機器之控制;和基於轉換位址表而進行路由之控制。
- 一種路由機器,其特徵為,具備:中繼群組資訊記憶部,係將可相互連接之中繼伺服器所構成的中繼群組之資訊,加以記憶;和中繼伺服器資訊記憶部,係記憶著中繼伺服器資訊,該中繼伺服器資訊係含有:前記中繼群組中所屬之前記中繼伺服器的啟動資訊、與前記中繼群組中所屬之前記中繼伺服器上所被連接之客戶端終端的啟動資訊及登錄資訊;和VPN群組資訊記憶部,係關於由基於前記中繼群組之資訊及前記中繼伺服器資訊而構成中繼通訊系統的通訊機器當中已被設定成路由端點的通訊機器亦即路由機器所構成、透過該當路由機器間所被建立之路由會談而以虛擬私人網路進行通訊的VPN群組,將構成該當VPN群組之前 記路由機器的識別資訊、及表示被彼此連接之前記路由機器的路由會談資訊,加以記憶;和位址過濾器資訊記憶部,係將前記路由機器所能指定成為封包傳送目標之路由對象裝置之位址加以表示的位址過濾器資訊,與該當路由機器的識別資訊建立對應而記憶;和通訊控制部,係進行:作成複數VPN群組,並將它們記憶在前記VPN群組資訊記憶部中之控制;和從前記VPN群組資訊記憶部中所記憶之複數VPN群組中,選擇了要啟動的VPN群組時,判斷該當VPN群組中所屬之路由機器彼此間,前記位址過濾器資訊中所含之位址是否有重複,在測知位址有重複時,作成將該當VPN群組中未被使用之位址亦即轉換位址與該當重複之位址建立對應而成的轉換位址表,將該當轉換位址表,發送至前記已被選擇之VPN群組中所屬之其他前記路由機器之控制;和基於前記轉換位址表而進行路由之控制。
- 一種中繼通訊系統,其特徵為,具備:複數之中繼伺服器;和可透過前記中繼伺服器而彼此連接的客戶端終端;前記中繼伺服器及前記客戶端終端當中已被設定成路由端點之路由機器係具備:中繼群組資訊記憶部,係將可相互連接之前記中繼伺服器所構成的中繼群組之資訊,加以記憶;和 中繼伺服器資訊記憶部,係記憶著中繼伺服器資訊,該中繼伺服器資訊係含有:前記中繼群組中所屬之前記中繼伺服器的啟動資訊、與前記客戶端終端的啟動資訊及登錄資訊;和VPN群組資訊記憶部,係關於由前記路由機器所構成、透過在該當路由機器間所被建立之路由會談而以虛擬私人網路進行通訊的VPN群組,將構成該當VPN群組之前記路由機器的識別資訊及表示被彼此連接之前記路由機器的路由會談資訊,加以記憶;和位址過濾器資訊記憶部,係將前記路由機器所能指定成為封包傳送目標之路由對象裝置加以表示的位址過濾器資訊,與該當路由機器的識別資訊建立對應而記憶;和通訊控制部,係進行:作成複數VPN群組,並將它們記憶在前記VPN群組資訊記憶部中之控制;和從前記VPN群組資訊記憶部中所記憶之複數VPN群組中,選擇了要啟動的VPN群組時,判斷該當VPN群組中所屬之路由機器彼此間,前記位址過濾器資訊中所含之位址是否有重複,在測知位址有重複時,作成將該當VPN群組中未被使用之位址亦即轉換位址與該當重複之位址建立對應而成的轉換位址表,將該當轉換位址表,發送至前記已被選擇之VPN群組中所屬之其他前記路由機器之控制;和基於前記轉換位址表而進行路由之控制。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011051834A JP5569697B2 (ja) | 2011-03-09 | 2011-03-09 | 中継サーバ及び中継通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201238293A TW201238293A (en) | 2012-09-16 |
| TWI523455B true TWI523455B (zh) | 2016-02-21 |
Family
ID=46797747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101107654A TWI523455B (zh) | 2011-03-09 | 2012-03-07 | Relay servers, relay communication systems and routing machines |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9596178B2 (zh) |
| EP (1) | EP2685673A4 (zh) |
| JP (1) | JP5569697B2 (zh) |
| KR (1) | KR101501973B1 (zh) |
| CN (1) | CN103583020B (zh) |
| TW (1) | TWI523455B (zh) |
| WO (1) | WO2012120767A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5621639B2 (ja) * | 2011-02-08 | 2014-11-12 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
| US9385990B2 (en) | 2011-11-30 | 2016-07-05 | Murata Machinery, Ltd. | Relay server and relay communication system |
| US10541966B1 (en) * | 2015-07-02 | 2020-01-21 | Aviatrix Systems, Inc. | System and method for enabling communication between networks with overlapping IP address ranges |
| JP7073841B2 (ja) * | 2018-03-28 | 2022-05-24 | 株式会社リコー | 情報処理装置、パケット中継方法 |
| US11283699B2 (en) | 2020-01-17 | 2022-03-22 | Vmware, Inc. | Practical overlay network latency measurement in datacenter |
| US11736436B2 (en) * | 2020-12-31 | 2023-08-22 | Vmware, Inc. | Identifying routes with indirect addressing in a datacenter |
| US11336533B1 (en) | 2021-01-08 | 2022-05-17 | Vmware, Inc. | Network visualization of correlations between logical elements and associated physical elements |
| US11706109B2 (en) | 2021-09-17 | 2023-07-18 | Vmware, Inc. | Performance of traffic monitoring actions |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL123129A (en) * | 1998-01-30 | 2010-12-30 | Aviv Refuah | Www addressing |
| JP3581251B2 (ja) * | 1998-06-16 | 2004-10-27 | 株式会社東芝 | 通信システム、データパケット転送方法、ルータ装置及びパケット中継装置 |
| JP4231985B2 (ja) | 2001-01-16 | 2009-03-04 | 村田機械株式会社 | 中継サーバおよび通信システム |
| US20020095506A1 (en) | 2001-01-15 | 2002-07-18 | Murata Kikai Kabushiki Kaisha | Relay server, communication system and facsimile system |
| US7099319B2 (en) * | 2002-01-23 | 2006-08-29 | International Business Machines Corporation | Virtual private network and tunnel gateway with multiple overlapping, remote subnets |
| US7366188B2 (en) | 2003-01-21 | 2008-04-29 | Samsung Electronics Co., Ltd. | Gateway for supporting communications between network devices of different private networks |
| KR100552475B1 (ko) * | 2003-01-21 | 2006-02-15 | 삼성전자주식회사 | 서로 다른 사설망에 위치한 네트워크 장치들 사이의통신을 지원하는 망접속장치 |
| US20060221955A1 (en) * | 2005-04-05 | 2006-10-05 | Mark Enright | IP addressing in joined private networks |
| JP4660682B2 (ja) * | 2005-10-20 | 2011-03-30 | 独立行政法人情報通信研究機構 | ネットワーク通信システム及びその通信システムに用いられる通信装置及びプログラム |
| WO2007141840A1 (ja) * | 2006-06-05 | 2007-12-13 | Hitachi Communication Technologies, Ltd. | 中継ネットワークシステム及び端末アダプタ装置 |
| JP4957225B2 (ja) | 2006-12-11 | 2012-06-20 | 村田機械株式会社 | 中継サーバおよび中継通信システム |
| US8010647B2 (en) | 2006-12-11 | 2011-08-30 | Murata Machinery, Ltd. | Relay server and relay communication system arranged to share resources between networks |
| US8050267B2 (en) * | 2007-02-19 | 2011-11-01 | Cisco Technology, Inc. | Simple virtual private network for small local area networks |
| JP4816572B2 (ja) * | 2007-05-30 | 2011-11-16 | 富士ゼロックス株式会社 | 仮想ネットワーク接続システム及び装置 |
| JP4416035B2 (ja) | 2007-12-28 | 2010-02-17 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
| WO2009116948A1 (en) * | 2008-03-20 | 2009-09-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for communication of data packets between local networks |
| KR100995906B1 (ko) * | 2008-12-22 | 2010-11-23 | 한국전자통신연구원 | Mpls l3vpn에서 포워딩 테이블 구축 방법 |
| WO2011021371A1 (ja) | 2009-08-20 | 2011-02-24 | 村田機械株式会社 | 中継通信システム及びアクセス管理装置 |
-
2011
- 2011-03-09 JP JP2011051834A patent/JP5569697B2/ja active Active
-
2012
- 2012-01-25 WO PCT/JP2012/000460 patent/WO2012120767A1/ja active Application Filing
- 2012-01-25 KR KR1020137024597A patent/KR101501973B1/ko active IP Right Grant
- 2012-01-25 US US14/003,558 patent/US9596178B2/en active Active
- 2012-01-25 CN CN201280011289.6A patent/CN103583020B/zh active Active
- 2012-01-25 EP EP12754541.6A patent/EP2685673A4/en not_active Withdrawn
- 2012-03-07 TW TW101107654A patent/TWI523455B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| US20130346487A1 (en) | 2013-12-26 |
| CN103583020A (zh) | 2014-02-12 |
| EP2685673A1 (en) | 2014-01-15 |
| KR20130124571A (ko) | 2013-11-14 |
| JP2012191340A (ja) | 2012-10-04 |
| KR101501973B1 (ko) | 2015-03-12 |
| TW201238293A (en) | 2012-09-16 |
| WO2012120767A1 (ja) | 2012-09-13 |
| US9596178B2 (en) | 2017-03-14 |
| EP2685673A4 (en) | 2014-12-10 |
| CN103583020B (zh) | 2016-09-21 |
| JP5569697B2 (ja) | 2014-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI523455B (zh) | Relay servers, relay communication systems and routing machines | |
| US8316134B2 (en) | File server device arranged in a local area network and being communicable with an external server arranged in a wide area network | |
| JP4222397B2 (ja) | 中継サーバ | |
| TWI551086B (zh) | Relay server and relay communication system | |
| US8554935B2 (en) | Relay server and relay communication system | |
| TWI527405B (zh) | Relay server and relay communication system | |
| TWI542169B (zh) | Relay server and relay communication system | |
| TWI500294B (zh) | Relay server and relay communication system | |
| JPWO2013080475A1 (ja) | 中継サーバ及び中継通信システム | |
| JP5874354B2 (ja) | 中継サーバ及び中継通信システム | |
| JP5874356B2 (ja) | 中継サーバ及び中継通信システム | |
| JP2012170008A (ja) | 中継サーバ及び中継通信システム | |
| JP4992944B2 (ja) | 中継サーバ及び中継通信システム | |
| JP5920563B2 (ja) | 中継サーバ及び中継通信システム | |
| JP5773205B2 (ja) | 中継サーバ及び中継通信システム | |
| JP5633694B2 (ja) | 中継サーバ及び中継通信システム | |
| JP2013141058A (ja) | 中継サーバ及び中継通信システム |