WO2005027438A1 - パケット中継装置 - Google Patents

パケット中継装置 Download PDF

Info

Publication number
WO2005027438A1
WO2005027438A1 PCT/JP2003/011623 JP0311623W WO2005027438A1 WO 2005027438 A1 WO2005027438 A1 WO 2005027438A1 JP 0311623 W JP0311623 W JP 0311623W WO 2005027438 A1 WO2005027438 A1 WO 2005027438A1
Authority
WO
WIPO (PCT)
Prior art keywords
address
host
group
gateway
packet
Prior art date
Application number
PCT/JP2003/011623
Other languages
English (en)
French (fr)
Inventor
Yuji Nomura
Shinji Yamane
Kazumasa Ushiki
Yoshitoshi Kurose
Mitsunori Fukazawa
Original Assignee
Fujitsu Limited
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Limited filed Critical Fujitsu Limited
Priority to EP03818656A priority Critical patent/EP1667382A4/en
Priority to CNA038270587A priority patent/CN1839592A/zh
Priority to US10/571,577 priority patent/US20070081530A1/en
Priority to PCT/JP2003/011623 priority patent/WO2005027438A1/ja
Priority to JP2005508916A priority patent/JPWO2005027438A1/ja
Publication of WO2005027438A1 publication Critical patent/WO2005027438A1/ja

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5069Address allocation for group communication, multicast communication or broadcast communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1886Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with traffic restrictions for efficiency improvement, e.g. involving subnets or subdomains

Definitions

  • the present application relates to a technology for virtually grouping arbitrary hosts connected by a communication network to provide a closed network.
  • An object of the present invention is to realize closed communication within a group without increasing the processing load of a host even when the number of group members or the like increases.
  • the present invention has been made in order to solve the above-mentioned problems.
  • IP network including IP hosts having a global address or a private address
  • arbitrary hosts are selected and grouped.
  • a packet relay device located on the boundary between the local network and the global network, and manages the host belonging to the group by using an IP address.
  • a list consisting of host names for managing dresses and groups, and identifying hosts that are group members and hosts outside the group based on this list, and blocking communication from hosts outside the group And means for performing the following.
  • the present invention can be specified as follows.
  • the determination means refers to the list so as to correspond to a source address and a destination address of the IP packet arriving from the one network.
  • the loop is the same, it is determined that the IP packet is an IP packet related to the same group. This is an example of the criterion for the judgment by the judging means.
  • FIG. 2 is a diagram for explaining a schematic configuration of the network system according to the first embodiment.
  • FIG. 3 is a functional block diagram of the gateway according to the first embodiment.
  • FIG. 4 is a flowchart for explaining the operation of the gateway.
  • FIG. 11 is a sequence diagram of an inter-gateway setting protocol.
  • Fig. 12 is an example of the local list held by the gateway GW-B.
  • the packet filtering unit 100 transmits an IP packet from the local network B to the local network A via the Internet (that is, the source IP address and the destination IP address are respectively local network addresses). IP address of the host connected to host B (IP bucket which is the IP address of the host connected to local network A). The bucket filtering unit 100 sets the received IP bucket to the same group. The group member list indicates whether or not the received IP packet is the same as the source IP address (SA) and the destination IP address (DA) of the received IP packet. Contact the management section 110.
  • SA source IP address
  • DA destination IP address
  • the domain name is formed by connecting the host name (mypc, tv, etc.) and the group identification information (gr1, gr2, etc.) for identifying the group to which the host belongs with ",". Therefore, the group member list management unit 110 refers to the group member list and, by referring to the group member list, the group (dual-path identification information) corresponding to the source IP address and the destination IP address. By comparing the identified groups (group identification information), it is possible to determine whether or not the two are the same, and this determination result is returned to the bucket filtering unit 100.
  • mypc sends an IP bucket to the virtual IP address V-VCR.
  • this packet always passes through the gateway GW-A. Therefore, in the gateway GW-A, this destination address V-VCR is a virtual IP address, it is actually addressed to the host ideo under the gateway GW-B, and my pc is the gateway.
  • the address conversion functions required for these functions can basically use the existing functions of NAPT.
  • various methods such as existing PPPoverSSH and IPSec can be used for IP tunnel communication between gateways. If SH or IP Sec is used for IP tunnel communication, the communication between the gateways GW-A and GW-B will be encrypted with respect to the virtual subnet. Can prevent wiretapping.
  • Gateway GW sends a packet to mypc power S, Video, which has a virtual IP address of 10.20.20.10 belonging to A, that is, a virtual IP address 10.20.10.102, and receives it at gateway GW—B. Suppose you did.
  • gateway GW-B it is necessary to create a global list and a local list. This can be set and created for the group member list management unit 210 from a remote host using, for example, a command line interface and telnet, or a Web interface and HTTP.
  • the gateway GW-A and GW-B This will be described as an example.
  • the group membership management unit 210 refers to the local list, and finds the opposite GW (tunnel number) found earlier and the source IP address (mypc of mypc) of the received IP bucket. You can know the virtual IP address V-PC corresponding to the real IP address (R-PC). The found virtual IP address V-PC is returned to the NAT processing unit 250.
  • the group member list management unit 210 refers to the local list. Illuminate.
  • the local list describes the correspondence between the real IP address of the host, the counterpart GW and the virtual IP address. Therefore, the group member list management unit 210 refers to the local list, and finds the opposite GW (tunnel number) found earlier and the destination IP address (virtual IP address V) of the received IP packet. -You can know the real IP address R-PC corresponding to (PC). The determined real IP address R-PC is sent to the NAT processing unit 250.
  • the gateway GW-B requests a list of hosts from the gateway GW- in order to know this (or uses some keyword). Search for this) (S401). This step can also be omitted if the gateway GW-B knows the name of the host (optional).
  • the gateway GW-C responds to the requesting gateway GW-B with a list of hosts under its own (including the host name PDA) (S 4 0 3).
  • the communication destination IP address is a virtual address, and the real IP address is hidden. This is realized by mapping the real address and the virtual IP address in the local list (from this, even if the real address changes, the individual and the virtual IP address are As long as the mapping can be maintained, it will not be affected by the change of the real IP address due to such DHCP.
  • DNS name management is not performed at the gateway, but an inquiry is made to the centrally managed system using existing methods such as DNS relay.
  • the address of the DNS server to be inquired is given to the gateway GW in advance.
  • [Global] list the conversion pattern from the domain name to the real address and the conversion pattern from the real address to the virtual I address are described (see Fig. 15).
  • an ARP request is sent (S500) 'before the transmission of an IP packet to cam power, et al. Mypc, but the gateway GW — Respond to the ARP request with address al: bl: cl: dl: el: fl as if B were virtually mypc instead of mypc (S501).
  • the global list shown in FIG. 16 is referenced.
  • cam since cam has obtained the layer 2 address of my pc, it actually starts transmitting the I packet to the gateway GW through the L2 layer (S502).
  • gateway 0 ⁇ —3 When gateway 0 ⁇ —3 receives the L2 bucket, it refers to the global list, and the L2 bucket destined for al: bl: cl: dl: el: n virtually exists as my pc in the gateway GW-A This can be terminated because it is recognized that Thereafter, the IP packet is transferred to the gateway GW-A by the same processing as before (S503).
  • the gateway GW-A prepares the same as the above embodiment, receives the IP packet, performs address conversion, and transfers the converted IP packet to my pc under its own control (S 5 04).
  • the gateway can provide a function that allows any host to virtually communicate as a host belonging to the same subnet. (Modification)
  • IPv6 It is not necessary to consider the differences between IPV6.
  • the global address has the same meaning in both IPv4 and IPv6.
  • a host for example, a mobile terminal such as a mobile phone, a PDA (Personal Digital Assistance), a network home appliance such as a cooler, a washing machine, and a video
  • a host for example, a mobile terminal such as a mobile phone, a PDA (Personal Digital Assistance), a network home appliance such as a cooler, a washing machine, and a video
  • a host for example, a mobile terminal such as a mobile phone, a PDA (Personal Digital Assistance), a network home appliance such as a cooler, a washing machine, and a video

Abstract

ネットワーク間に設けられ、特定のグループに属するホストに関するIPパケットを通過させるIPパケット中継装置であって、ホストが持つIPアドレスとそのホストが属するグループを識別するためのグループ識別子とを対応付けたリストと、一方のネットワークから到着した他方のネットワークに接続されたホスト宛のIPパケットが同一のグループに関するIPパケットか否かを、前記リストを参照することにより判定する判定手段と、同一のグループに関するIPパケットであると判定されたIPパケットを、前記他方のネットワークに中継するフォワード手段と、を備える。

Description

明 細 書
バケツ ト中継装置 技術分野
本出願は、 通信ネッ トワークで接続された任意のホス トを仮想的にグ ループ化し、 閉域網を提供する技術に関する。 背景技術 '
I P (Internet Protocol)ネッ トワークが急速に一般化してきている。 これに伴い、 I Pネッ トワークには、 パーソナルコンピュータ (PC) 以 外のホス ト (例えば I P通信が可能な家電製品等の機器) も接続される よ うになつてきている。 これまでの高機能なパーソナルコンピュータ (PC)が主役の I Pネッ トワークから、 家電製品を制御したり、 I P対応 の家電製品間でコンテンツを送受信するなどの利用が始まり、 I P通信 が可能な機器 (以下、 ホス ト) の数と種類が増え、 特に今まで接続され なかった PCよりも低機能のホス トも接続されるようになってきた。
ホス ト数が増えることによりホス トをグループ化して多数のホス トを 簡単に管理する必要が生じ、 また低機能のホストが増えることでよりホ ス トに負担が少ない単純な方法でグループ間の通信を実現する必要が生 じる。 グループ化する意味は例えば、 あるホス トを探す場合に探索範囲 を絞る効果があり検索に必要な処理量や時間を短縮し、 また別の面では グループに属するホス トとそうでない普通のホス トを識別することであ り、 例えばホス トにおける外部からのアクセスをメンバだけに制限する ことでセキュリティを確保する意味がある。
従来技術では、 任意の数の I Pホス トによってある 1グループを構成 する場合、 グループに属するホス トが互いにグループメンバとして情報 を登録し、 互いに通信するのが一般的である。 この場合、 グループに属 する全てのホス トには以下の手段が必要であった。
1. 同じグループに所属するメ ンバのリ ス ト、 2. 上記メンバリス トにホス トを登録、 削除する機能、 およぴメンパ間 で共有 · 同期する機能、
3. メ ンバリ ス トに基づきユーザ認証をする認証手段、
4. メンバリス トに含まれるホス トからの通信とメ ンバ以外のホス ト を識別する手段。
なお、 ァドレス変換に関する資料としては例えば非特許文献 1および 2がある。 また、 VPN に関する資料としては例えば非特許文献 3および 4がある。
非特許文献 1
RFC1631
非特許文献 2
RFC2391
非特許文献 3
NS2001- 263 (情報システム研究会 NS) 2002. 3、 複数ネッ トワーク接 続に適した分散型 VPNのデザィン、 田島佳武(NTT)
非特許文献 4
NS2001_262 (情報システム研究会 NS) 2002. 3、 仮想ネッ トヮーキン グサービスプラッ トフオーム (VNSP)におけるマルチ VP サービスサービ ス提供方式、 岡大祐(NTT)、 他
特許文献 5
特開 2 0 0 1— 2 6 8 1 2 5号公報
従来技術は、 ホス トにおける実装コス トが高く、 ホス ト数に対してス ケーラビリティが無いという問題点がある。第一に上記 1〜4までの機能 はグループに参加する全てのホス トが実装しなければならず、 特に、 ュ 一ザの認証や通信を制限する機能はファイアウォールゃゲートウエイな ど専用機で実現されている機能であり、 実装コス トが極めて高い。 この ような機能を通信 ·計算資源に乏しい、 携帯電話、 PDA (Personal Di gital Ass i stance)などの携帯端末、 クーラ、 洗濯機、 ビデオなどのネッ トヮー ク家電通信で実装するのは困難である。 例えば、 受信した I Pバケツ ト毎に認証済みのホス トカゝどうかをチェ ックする処理は、 受信するバケツ ト数およびメンバ数に比例して増大す るため、 ホス トでの処理負荷は大きく なり、 スケールしなく なるという 問題がある。
第二に、 この方法では各ホス ト間の通信がフルメ ッシュで発生するた め、 ホス ト数が増加するとそれに比例してホス トにおける処理メ ッセー ジ数が増加する。例えば、グループに参加するメンバが増減するたぴに、 各ホス トではメンバリス トを更新する必要があるが、 このメ ンバ変更の メ ッセージは全てのホス 卜に対して送信されるため、 送信ホス ト、 受信 ホス ト ともに処理負荷が大きく なり、 スケールしなく なるという問題が める。
以上のよ うに、 ホス トには負担をできるだけかけずに、 スケールする グループ化の技術が必要となる。具体的な要求条件は以下の 3つである。
1. ホス トにおける T C P / I Pプロ トコルスタック、 およぴ既存ァプ リケーショ ンは一切変更しないこと。
2. ホス トにおけるグループ化の機能を利用するァプリケーシヨ ンは 既存の T C P / I P機能だけを利用すること。
3. 認証されたホス トのみグループメンパにアクセスできる、 つまりホ ス トからは認証済みのホス トからしか通信が発生していないよ うに見え る と。
また、 付加機能と して以下の要件を満たすことが望ましい。
1. グループ構成ゃメンパ登録は自動的に実行されること。
2. ァ ドレス空間に制約が無く、 グローバルとプライべ一トア ドレスの 両方が使える
3. I Pア ドレスとホス トの対応は DHCPなどを使う と一意でないため、 I P了 ドレス以外の個体認証機能を持つこと。
4. ホス トにおけるアプリ ケーショ ンにおいてグループの判別が容易 であること。 発明の開示
本発明の課題は、 グループメンバ数等が増えてもホス トの処理負荷を 増大させることなく、 グループ内に閉じた通信を実現することにある。 本発明は、 上記課題を解決するためになされたものであり、 グ.ローバ ルァドレスまたはプライべ一トァドレスを持つ I Pホス トで構成された I Pネッ トワークにおいて、 任意のホス トを選択してグループ化し、 グ ループ内に閉じた通信を実現するために、 ローカルネッ トワークとグロ 一バルネッ トワークの境界に位置するバケツ ト中継装置であって、 ダル ープに属するホス トを管理するために、 I Pア ドレス とグループを管理 するためのホス ト名から構成されるリス トと、 このリス トを元にグルー プメンバであるホス トとグループ外のホス トを識別しグループ外のホス トからの通信を遮断する手段と、 を備える構成とした。
本発明によれば、各ホス ト自身がメ ンバリ ス ト等を備える必要がなレ、。 このため、 グループメンバ数等が増えてもホス トの処理負荷を増大させ ることなく、 グループ内に閉じた通信を実現することが可能となる。 上記パケッ ト中継装置においては、 例えば、 グローバルアドレスとプ ライべートァドレスを相互に変換する変換装置をさらに備える。
このよ う にすれば、 プライベート網とグローバル網、 およびプライべ 一ト網同士の通信が可能となる。
上記パケッ ト中継装置においては、 例えば、 任意のホス トには仮想的 な I Pサブネッ トに対する仮想的なプライべ一トア ドレス (仮想 I Pァ ドレスともいう) が割り付けられる。
このようにすれば、 仮想的にホス トグループを I Pサブネッ トでダル ープ化することが可能となる。
上記パケッ ト中継装置においては、 例えば、 他のパケッ ト中継装置と の間の通信を暗号化する手段をさらに備える。
このよ うにすれば、 中継経路上で情報が漏洩することを防止すること が可能となる。
上記バケツ ト中継装置においては、 例えば、 所定のトンネルプロ トコ ルにより、 他のバケツ ト中継装置との間のトンネル設定を自動化する手 段をさらに備える。
このようにすれば、 トンネル設定の自動化が可能となる。
上記パケッ ト中継装置においては、 例えば、 仮想グループ設定プロ ト コルにより、 他のバケツ ト中継装置との間におけるグループ設定を自動 化する手段をさらに備える。
このようにすれば、 グループ設定の自動化が可能となる。
上記バケツ ト中継装置においては、 例えば、 仮想グループ設定プロ ト コルにより、 他のパケッ ト中継装置との間におけるグループに属するメ ンバ設定を自動化する手段をさらに備える。
このようにすれば、 メンバ設定の自動化が可能となる。
上記パケッ ト中継装置においては、 例えば、 他のパケッ ト中継装置と の間で認証することにより、 互いが信頼できるものであるか無いかを確 認する手段をさらに備える。
このようにすれば、信頼できる相手とのみ通信することが可能となる。 上記パケッ ト中継装置においては、 例えば、 パケッ ト中継装置とホス トは、 他のホス トと接続されずに、 直接接続される。
このようにすれば、 バケツ ト中継装置とホス ト間の中継経路上で情報 が漏洩することを防止可能となる。
上記パケッ ト中.継装置においては、 例えば、 非 I P端末を仮想的に I
Pホス トとしてグループに存在するように他のホス トから見せかける仮 想 I Pホス トを構築する。
このようにすれば、非 I P端末との間でも通信することが可能となる。 上記パケッ ト中継装置においては、 例えば、 ホス トのレイヤ 2ァドレ ス (L2ア ドレス) をホス ト固有の識別子 ( I D ) と してマシンと一対一 に対応させる。
このよ うにすれば、 ホス トが移動したり、 一時停止して DHCPで I Pァ ドレスが変わってもグループメンバからは同じように見せることが可能 となる。 上記パケッ ト中継装置においては、 例えば、 グループに属するホス ト の代理で仮想、のレイヤ 2ァ ドレスを用いて ARP (Address Resolution Protocol) に応答し、 グループ内の通信をローカルサブネッ トレベルで実現する。 上記パケッ ト中継装置においては、 例えば、 ゲートウェイで名前解決 を行わず、 D N Sサーバで一元的に名前を解決し、 かつ実ア ドレスと仮 想的なプライべ一トァドレスの変換をパターンで記述する。
このよ うにすれば、 ァ ドレス変換にかかるリ ソースと処理時間を削減 することが可能となる。
本発明は次のように特定することもできる。
ネッ トワーク間に設けられ、 特定のグループに属するホス トに関する I Pバケツ トを通過させる I Pバケツ ト中継装置であって、 ホス トが持 つ I Pア ドレスとそのホス トが属するグループを識別するためのグルー プ識別子とを対応付けたリス トと、 一方のネッ トワークから到着した他 方のネッ トワークに接続されたホス ト宛の I Pパケッ トが同一のグルー プに関する I Pバケツ トか否かを、 前記リス トを参照することにより判 定する判定手段と、 同一のグループに関する I Pパケッ トであると判定 された I Pパケッ トを、 前記他方のネッ トワークに中継するフォワード 手段と、 を備える I Pパケッ ト中継装置。
このようによれば、 各ホス ト自身がメンバリス ト等を備える必要がな い。 このため、 グループメンバ数等が増えてもホス トの処理負荷を増大 させることなく、グループ内に閉じた通信を実現することが可能となる。 また、 上記 I Pパケッ ト中継装置においては、 例えば、 前記判定手段 は、 前記リス トを参照することにより、 前記一方のネッ トワークから到 着した I Pバケツ トの送信元ァドレスおよび宛先ァドレスに対応するグ ループが同一である場合に、 該 I Pパケッ トが同一のグループに関する I Pパケッ トであると判定する。 これは、 判定手段による判定基準の一 例を示したものである。
本発明は、 通信ホス トに変更を加えず、 同じ目的を持つ任意のホス ト ^セキュアかつスケーラブルにグループ化するために、 ゲートウエイ装 置がグループを管理し、 さらに実 I Pア ドレスと仮想 I Pア ドレスを変 換することで仮想的に I Pサブネッ トワークを構築し、 I Pア ドレスで グループを識別できることを特徴とする。
本発明の基本的なアイデアはグループ化に必要な機能をゲートウェイ 装置に持たせることである。 つまり、 上記の要求条件を満たすためにグ ループに属するホス ト同士を接続するゲートウェイ (=ルータ) 装置を 新たに設置する。 このゲートゥヱイ装置は既存のルータ、 スィッチ装置 などと同様に物理的に分けられたネッ トワーク間を接続する機能を持ち. これらの装置に対してグループ化に必要な機能を新たに追加したもので ある。 これにより従来技術でホス トに必要であった全ての機能がゲート ウェイに実装され、ホス トは低機能で単純な T C P / I Pプロ トコルスタ ックのみでグループ化通信が実現される。
通常はホス トの機能を低減するため、 各ホス トそれぞれに対して異な るゲートウェイ装置、 つまり 2台以上のゲートウェイ装置を介してグル ープ化通信が実現される (図 1参照)。
課題を解決する手段をまとめると次の 3つの手段を新しくゲートゥェ ィに備えることが本発明の基本的なアイデアである。
1. アクセス制限機能:ゲートウェイ装置はグループメンバ外からのグ ループメンバであるホス トへのアクセスを遮断するために、 グループメ ンバのア ドレスをリ ス ト と して持ち、 この リ ス トによ り グループメ ンバ を識別し、 メンバ以外からの通信を遮断もしくは制限する。
2. メンバ識別をホス トで可能にする機能: また、 このゲートウエイ装 置は各グループメンバが標準.の T C P / I Pプロ トコルを用いてグルー プを参照できるように DNS を利用して通信相手先のグループ名を含む文 字列を応答する機能を持つ。
3. グループメンパ管理機能: また、 このグートウェイ装置は新しく グ ループに参加するホス トを認証し、 グループメンパリ ス トに登録する手 段、 あるホス トがグループメンバから離脱するときにホス トを削除する 機能を備える。 また、 管理を簡単にするために、 ゲートウェイ間でグル ープとそのメンバ情報を同期させる手段を備えることもオプションとし てあり うる。 図面の簡単な説明
図 1は、 第一の実施形態のネッ トワークシステムの概略構成を説明 するための図である。
図 2は、 第一の実施形態のネッ トワークシステムの概略構成を説明 するための図である。
図 3は、 第一の実施形態のゲートウェイの機能プロック図である。 図 4は、 ゲートウエイの動作について説明するためのフローチヤ一 トである。
図 5は、 ゲートウエイの動作について説明するためのフローチヤ一 トである。
図 6は、 ゲートウエイの動作について説明するためのシーケンス図 である。
図 7は、 主として、 第二の実施形態のネッ トワークシステムの概略 構成を説明するための図である。
図 8は、 第二の実施形態のグートウェイの機能プロック図である。 図 9は、 ゲートウェイの動作について説明するためのフローチヤ一 トである。
図 1 0は、 ゲートウェイの動作について説明するためのフローチヤ ートである。
図 1 1は、 ゲートウェイ間設定プロ トコルのシーケンス図である。 図 1 2は、 ゲートウエイ G W— Bが保持するローカルリ ス ト例であ る。
図 1 3は、 ゲートウエイ G W— Bが保持するグローバルリス ト例で ある。
図 1 4は、 個体識別子を含むローカルリ ス ト例である。
図 1 5は、 ゲートウエイ B W— Bが保持するグローバルリ ス ト例で ある。
図 1 6は、 グローバルリス ト例である。
図 1 7は、 第七の実施形態のゲー トウヱイの動作について説明する ためのシーケンス図である。 発明を実施するための最良の形態
以下、 本発明の第一の実施形態であるゲー トウェイ (G Wまたはゲー トウェイ装置ともレ、う) を包含するネッ トワークシステムについて図面 を参照しながら説明する。
(第一の実施形態)
(ネッ トワークシステムの概要)
図 1およぴ図 2は、 本実施形態のネッ トヮーグシステムの概略構成を 説明するための図である。
図 2 に示すよ うに、 本実施形態のネッ トワークシステムは、 ローカル ネッ トワーク A (以下ローカルネッ ト Aという)、 ロー力/レネッ トワーク B (以下ローカルネッ ト Bとレヽう)、 およびィンターネッ トからなる。 口 一カルネッ ト Aおよびローカルネッ ト Bには、 グループ化の対象と され るホス ト (ここではホス ト 1 1〜1 4およびホス ト 2 1〜 2 5 ) が接続 されている。 なお、 グループ化の対象と されるホス トの数は適宜の数と することができる。
各ホス トは、 I Pバケツ トによる通信を行う機能を有する家電製品等 の端末である。 この I Pバケツ トによる通信のために、 各ホス トはグロ 一バル I Pア ドレスを持つ。 ここでは、 I P v 4による I Pア ドレス と する。 ローカルネッ ト Aとィンターネッ トとはゲー トウエイ A 1 を介し て接続されている。 また、 ローカルネッ ト B とインターネッ トとはゲー トウヱイ B 1 を介して接続されている。
ローカノレネッ ト Bからインターネッ トを経由してローカルネッ ト Aへ 向かう I Pパケッ ト (すなわち、 送信元 I Pァ ドレスおよび宛先 I Pァ ドレスがそれぞれ、 ローカルネッ ト Bに接続されたホス トの I Pァ ドレ スおよびローカルネッ ト Aに接続されたホス トの I P了 ドレスである I Pパケッ ト) は、ゲートウェイ A 1に到着するようになっている。逆に、 ローカノレネッ ト Aからインターネッ トを経由してローカノレネッ ト Bへ向 かう I Pバケツ ト (すなわち、 送信元 I Pァドレスおよび宛先 I Pア ド レスがそれぞれ、 ローカルネッ ト Aに接続されたホス トが持つ I Pア ド レスおょぴロー力ルネッ ト Bに接続されたホス トが持つ I Pァ ドレスで ある I Pバケツ ト)は、ゲートウエイ B 1に到着するようになつている。 本実施形態では、 ゲートウェイ A 1および B 1は、 その到着した I P パケッ トに対して後述のフィルタリング処理等を実行する。これにより、 グループ内に閉じた通信を実現することが可能となる。 以下に、 その詳 細について説明する。
(ゲートウエイの概略構成)
次に、ゲートウェイの概略構成について図面を参照しながら説明する。 図 3は、 ゲートウェイの機能ブロック図である。
ゲートウェイ A 1 (ゲートウェイ B 1も同様) は、 グローバルァ ドレ スを持つ I Pホス トで構成された I Pネッ トワークにおいて、 任意のホ ス トを選択してグループ化し、 グループ内に閉じた通信を実現するため に、 ロー力ノレネッ トワーク (例えばローカルネッ ト A又は B ) とグロ一 バルネッ トワーク (例えばインターネッ ト) との間に設けられるバケツ ト中継装置である。
具体的には、 ゲートウェイ A 1は、 図 3に示すように、 パケッ トフィ ルタリ ング部 1 0 0、 グループメンバーリス ト管理部 1 1 0、 D N S処 理部 1 2 0、 およぴパケッ ト送受信部 1 3 0を備えている。
ノ ケッ トフィルタリ ング部 1 0 0は、 ローカルネッ ト Bからインター ネッ トを経由してローカルネッ ト Aへ向かう I Pバケツ ト (すなわち、 送信元 I Pァ ドレスおょぴ宛先 I Pァドレスがそれぞれ、 ローカルネッ ト Bに接続されたホス トの I Pァドレスおょぴローカルネッ ト Aに接続 されたホス トの I Pァ ドレスである I Pバケツ ト) を受信する。 バケツ トフィルタリ ング部 1 0 0は、 その受信した I Pバケツ トが同一グルー プに関するものか否か (ここでは、 その受信した I Pパケッ トの送信元 I Pア ドレス (S A ) および宛先 I Pア ドレス (D A ) に対応するダル ープが同一か否か) を、 グループメンバーリス ト管理部 1 1 0に問い合 わせる。
パケッ トフィルタリング部 1 0 0からの問い合わせを受けると、 ダル ープメンバーリス ト管理部 1 1 0は、 自己が管理するグループメンバー リス トを参照して、 送信元 I Pァ ドレスおよび宛先 I Pァ ドレスに対応 するグループが同一か否かを判定する。 グループメンパーリス トには、 各ホス ト (ホス ト 1 1〜 1 4およびホス ト 2 1〜 2 5 ) とそのホス トの I Pア ドレスとそのホス トの ドメイン名との対応関係が記述されている c なお、 説明の都合上、 図 3に示すグループメンバーリス トには、 図 2に 示すホス ト数よりも少ない数の対応関係を記述している。
ドメイン名は、 そのホス ト名 (m y p cや t v等) とそのホス トが属 するグループを識別するた のグループ識別情報 ( g r 1や g r 2等) とを"ノ, で連結して構成したものである。 従って、 グループメンバーリ ス ト管理部 1 1 0は、 グループメンバーリス トを参照することにより、 送信元 I Pァ ドレスおよぴ宛先 I Pア ドレスに対応するグループ (ダル 一プ識別情報) を知ることができる。 そして、 その判明したグループ (グ ループ識別情報) を比較することにより、 両者が同一か否かを判定でき る。 この判定結果はバケツ トフィルタリ ング部 1 0 0に返される。
送信元 I Pァドレスおよび宛先 I P了 ドレスに対応するグループが同 一であるとの判定結果を受けると、バケツ トフィルタ リ ング部 1 0 0は、 その受信した I Pバケツ トをローカルネッ ト A (宛先) にフォヮ一ドす る。 一方、 送信元 I Pァ ドレスおよび宛先 I Pァ ドレスに対応するダル ープが同一でないとの判定結果を受けると、 パケッ トフィルタリング部 1 0 0は、 その受信した I Pバケツ トをローカルネッ ト Aにフォワード することなく、 例えば、 廃棄する。
(グループメンバーリス ト)
グループメンバーリス トは各種の方法で作成することが可能である。 例えば、 仮想的なグループ g r 1, g r 2をネッ トワーク上に新規に作 成し、 次にこれに属するホス トの I Pァ ドレスおよび名前 (ここではド メイン名(D N S名)) を登録し、 最終的にグループとそのメンバが記憶 されたア ドレス リ ス トを得ることが考えられる。 図 3はこのようにして 得たグループメンバーリス トを示している。
これらの一連の作業はネッ トワークの管理者が管理端末をシリアルで 接続し、 コマン ド · ライン · インタフェースを利用して手動でゲートゥ ヱイ A 1に設定する。 または、管理設定用の遠隔設定プロ トコル (Telnet や HTTP等)を使って設定してもよい。例えば、 H T T Pを利用する場合、 ゲートウエイ A 1においてグループを作成するための W e bインタフエ ースを持つグループ、 およびそのメ ンバの登録 ' 管理機能が存在し、 あ るホス トはゲートウエイの登録画面において、 I Dとパスヮードを入力 して認証することにより登録用の W e bページに進むことができるなど の、 アクセス制限があってもよい。 登録用のページではグループ名を入 力するとグループを登録でき、 また、 既存のグループ名に対してホス ト I Pァドレスを登録するとグループに属するメンバであるホス トを定義 できる。これらの登録ステッフ。はユーザィンタフェースの設計に依存し、 これらは一例であって、 グループとそのメンバホス トが登録する機能を 有すれば他の登録方法でもよい。
以上の結果、 ホス トの I Pア ドレス と D N S名、 およびホス トが属す るグループ名が記慷されるグループメンバリス トを作成することができ る。
(ドメイン名登録)
次にゲートウヱイによる D N Sとしての動作について図面を参照しな がら説明する。 図 4は、 ゲートウェイの動作について説明するためのフ ローチャー 卜でめる。
上記と同様に、 I Pア ドレス毎に固有の名前を定義し、 先ほどのダル ープ名とあわせて適当なドメイン名を定義することができる。 例えば、 ホス ト 1 2力 S 「m y p c」 という名前であることを登録し、 これが属す るグループ名力 S 「 g l」 であるとすると、 ゲートウェイではホス ト 1 2 の I Pア ドレス 「133.100.51.3 J に対して 「m y p c . g 1」 とレヽぅ D N S名を割り当てる。
ゲートウェイ A 1は、 例えば、 グループ内に既に登録済みのホス トか ら 「my p c . g l」 という D N S名に対する I Pア ドレスの解決要求 を含む I Pバケツ トを受信すると ( S 1 0 0 )、 その受信した I Pパケッ トの送信元 I Pア ドレス ( S A) がグループメンバーリ ス トに存在する か否かを、 グループメ ンバーリ ス ト管理部 1 1 0に問い合わせる (S 1 0 1 )。 その結果、 その送信元 I Pア ドレス ( S A) がグループメンバー リ ス トに存在しない場合には ( S 1 0 1 : N o )、 ゲートウエイ A 1は、 通常の D N S要求として応答を返す ( S 1 0 2 )。 一方、 その送信元 I P アドレス (S A) がグループメンバーリス トに存在する場合には (S 1 0 1 : Y e s )、 ゲートウエイ A 1は、 その送信元 I Pア ドレス ( S A) に対応する (属する) グループを" A" として記憶する ( S 1 0 3 )。 そ して、 ゲートウェイ A 1は、 解決しよう としているホス トが先ほど記憶 したグループ" A"に存在するか否かを判定する (S 1 0 4)。その結果、 そのホス トがグループ" A" に存在しない場合には (S 1 0 4 : N o )、 ゲートウェイ A 1は、 通常の D N S要求として応答を返す (S 1 0 2)。 一方、 そのホス トがグループ" A" に存在する場合には (S 1 0 4 : Y e s )、 ゲートウエイ A 1は、 グループメンバリス トを参照して、 「m y p c . g l」 という D N S名に対応する I Pア ドレス 「133.100.51.3」 を得る。ゲートウエイ A lは、この解決した I Pア ドレス「 133.100.51.3 J を" I P"、 DN S名 「m y p c . g 1 J を" N a m e " として記憶する ( S 1 0 5 )。
次に、 ゲートウェイ A 1は、 ホス トからの要求が D N S名の解決要求 か否かを判定する ( S 1 0 6 )。 その結果、 ホス トからの要求が DN S名 の解決要求である場合には (S 1 0 6 : Y e s;)、 DN S名を、 要求元の ホス トに応答する (S 1 0 7)。 一方、 ホス トからの要求が DN S名の解 決要求でない場合には (S 1 0 6 : N o )、 I Pア ドレスを、 要求元のホ ス トに応答する ( S 1 0 8 )。 ここでは、 ホス トからの要求が I Pァ ドレ スの解決要求であるため (S 1 0 0、 S 1 0 6 : N o )、 ゲートウエイ A 1は、 DN S名「m y p c . g l」に対応する I Pァドレス「133.100.51.3」 を、 ァ ドレス解決要求元のホス トに応答することになる ( S 1 0 8 )。 な お、 S 1 0 0においてホス トから I Pア ドレス 「133.100.51.3」 に対す る D N S名の解決要求を含む I Pバケツ トを受信した場合には、 ゲート ウェイ A 1は、 その I Pア ドレスに対応する P N S名 「m y p c . g l」 を、 D N S名の解決要求元のホス トに応答することになる (S 1 0 7)。 なお、 グループメンバリス トに基づく D N S応答はローカルネッ トヮ ーク側でのみ有効であるように制限するのが一般的である。 例えば、 D N S要求の送信元 I P了 ドレスが先に作成したメンバリ ス トに存在し、 かつ、 同一のグループに属するホス トに対する要求のみを受け付けるよ うに制限することが考えられる。
以上の結果、 I P了 ドレス毎の D N S名を記憶したグループメンバリ ス トを定義し、 これに対する要求に対して応答することが可能となる。
(アクセス制限)
次に上記構成のゲートウエイによる、 グループ内に閉じた通信を実現 するための動作について図 5を参照しながら説明する。 図 5は、 ゲート ウェイの動作について説明するためのフローチャートである。
まず、 同一のグループ g r 1に属するホス ト 1 1 とホス ト 2 2 との間 の通信を例に説明する。 なお、 ゲートウェイ A 1 (ゲートウェイ B l 同様) のグループメ ンパーリ ス トには、 ホス ト 1 1およびホス ト 2 2等 が持つ I Pァ ドレスとこれらのホス トのドメイン名 (ホス ト名とグルー プ識別子とから構成される) との対応関係が記述されている。
まず、 ホス ト 2 2がホス ト 1 1に対して I Pパケッ ト (すなわち、 送 信元 I Pア ドレスおょぴ宛先 I Pァ ドレスがそれぞれ、 ホス ト 2 2の I Pア ドレスおよびホス ト 1 1の I Pア ドレスである I Pパケッ ト) を送 信したとする。 その I Pパケッ トは、 インターネッ トを経由してゲート ウェイ A 1に到着する。 ゲートウェイ A 1は、 そのパケッ トフィルタリ ング部 1 0 0により、 その到着したバケツ トを受信する ( S 2 0 0 )。 ノ、 ° ケッ トフィルタリ ング部 1 0 0は、 その受信した I Pパケッ トが同一グ ループに関するものか否か (ここでは、 その受信した I Pパケッ トの送 信元 I Pア ドレス (S A) および宛先 I Pア ドレス (DA) に対応する グループが同一か否か) を、 グループメンバーリ ス ト管理部 1 1 0に問 い合わせる ( S 2 0 1 )。
バケツ トフィルタリング部 1 0 0からの問い合わせを受けると、 ダル ープメンバーリ ス ト管理部 1 1 0は、 自己が管理するグループメンバー リ ス トを参照して、 送信元 I Pァドレスおょぴ宛先 I Pァドレスに対応 するグループが同一か否かを判定する (S 2 0 2および S 2 0 3 )。 グル ープメ ンバーリ ス トには、 各ホス ト (ホス ト 1 1〜 1 4およびホス ト 2 1〜 2 5 ) とそのホス トが持つ I Pァ ドレス とそのホス トの ドメイ ン名 との対応関係が記述されている (図 3参照)。 なお、 説明の都合上、 図 3 に示すグループメンバーリ ス トには、 図 2に示すホス ト数より少ない数 の対応関係を記述している。 ドメイン名は、 そのホス ト名 (m y p cや t V等) とそのホス トが属するグループを識別するためのグループ識別 情報 ( g r 1や g r 2等) とを"ノ, で連結して構成したものである。
従って、 グループメンバーリス ト管理部 1 1 0は、 グループメンバー リス トを参照することにより、 送信元 I P了ドレスおよび宛先 I Pア ド レスに対応するグループ (ここではいずれも g r l ) を知ることができ る (S 2 0 2 : Y e s )。 そして、 その判明したグループ (ここではいず れも g r 1 ) を比較することにより、両者が同一か否かを判定できる ( S 2 0 3 : Y e s )。 この判定結果はバケツ トフィルタリング部 1 0 0に返 される。 なお、 S 2 0 2または S 2 0 3での判断が N oであれば、 該当 パケッ トは廃棄される (S 2 0 5 )。
ここでは、 バケツ トフィルタ リ ング部 1 0 0は、 送信元 I Pア ドレス および宛先 I Pァドレスに対応するグループが同一であるとの判定結果 を受けることになる。 その判定結果を受けると、 パケッ トフィルタリン グ部 1 0 0は、 その受信した I Pパケッ トをロー力ルネッ ト A (宛先) にフォワードする ( S 2 04 )。 これは、 一般的にフィルタ リ ングと呼ば れる処理と同様の処理である。
次に、 異なるグループに属するホス ト 1 1 ( g r lに属する) とホス ト 2 1 (g r 2に属する) との間の通信を例に説明する。
まず、 ホス ト 2 1がホス ト 1 1に対して I Pパケッ ト (すなわち、 送 信元 I Pァ ドレスおよび宛先 I P了 ドレスがそれぞれ、 ホス ト 2 1の I Pア ドレスおよびホス ト 1 1の I Pア ドレスである I Pパケッ ト) を送 信したとする。 その I Pパケッ トは、 ィンターネッ トを経由してゲート ウェイ A 1に到着する。 ゲートウェイ A 1は、 そのパケッ トフィルタ リ ング部 1 0 0によ り、 その到着したバケツ トを受信する (S 2 ◦ 0 )。 パ ケッ トフィルタ リ ング部 1 0 0は、 その受信した I Pバケツ トが同一グ ループに関するものか否か (ここでは、 その受信した I Pパケッ トの送 信元 I Pア ドレス (S A) および宛先 I Pア ドレス (DA) に対応する グループが同一か否か) を、 グループメンバーリ ス ト管理部 1 1 0に問 い合わせる ( S 2 0 1 )。
バケツ トフィルタ リ ング部 1 0 0からの問い合わせを受けると、 ダル ープメンバーリス ト管理部 1 1 0は、 自己が管理するグループメンバー リ ス トを参照して、 送信元 I P了 ドレスおよび宛先 I P了 ドレスに対応 するグループが同一か否かを判定する (S 2 0 2および S 2 0 3 )。 ダル ープメンバーリ ス トには、 各ホス ト (ホス ト 1 1〜 1 4およびホス ト 2 1〜 2 5) ごとに、 そのホス トが持つ I Pア ドレスとそのホス トの ドメ イン名との対応関係が記述されている(図 3参照)。なお、説明の都合上、 図 3に示すグループメ ンバーリス トには、 図 2に示すホス ト数よ り少な い数の対応関係を記述している。 ドメイン名は、 そのホス ト名 (my p cや t v等) とそのホス トが属するグループを識別するためのグループ 識別情報 (g r 1や g r 2) とを"ノ' で連結して構成したものである。 従って、 グループメンバーリス ト管理部 1 1 0は、 グループメンバー リス トを参照することによ り、 送信元 I Pァ ドレスおょぴ宛先 I Pア ド レスに対応するグループ (ここでは g r l、 g r 2 ) を知ることができ る ( S 2 0 2 : Y e s )。 そして、 その判明したグループ (ここでは g r 1、 g r 2 ) を比較することにより、 両者が同一か否かを判定できる ( s 2 0 3 : Y e s )。 この判定結果はバケツ トフィルタ リ ング部 1 0 0に返 される。
ここでは、 バケツ トフィルタ リ ング部 1 0 0は、 送信元 I Pア ドレス および宛先 I Pァ ドレスに対応するグループが同一でないとの判定結果 を受けることになる。 その判定結果を受けると、 パケッ トフィルタ リ ン グ部 1 0 0は、 その受信した I Pバケツ トをローカルネッ ト Aにフォヮ ードすることなく、 例えば、 廃棄する ( S 2 0 5 )。
以上説明したよ うに、 本実施形態のゲー トウェイ装置によれば、 ダル ープメ ンバー外からのアクセスを制限する機能を提供する。 即ち、 本実 施形態のゲー トウェイ装置は、 グループメ ンバーリ ス トを参照すること によ り、 送信元ホス トから到着した I Pパケッ トが、 同一グループに関 する I Pパケッ トであるか否かを判定し、 同一グループに関する I Pパ ケッ トであると判定された I Pバケツ トを宛先へフォヮ一ドする。一方、 同一グループに関する I pバケツ トであると判定されなかった I pパケ ッ トについてはフォワードされることなく廃棄される。 これによ り、 本 実施形態のグー トウェイ装置は、 グループ内に閉じた通信を実現するこ とが可能となっている。
なお、 グループメンパーリ ス トに記憶されている送信元以外からパケ ッ トが到着した場合に関する動作はネッ トワーク管理者のポリ シ次第で ある。 例えば、 そのよ うなパケッ トについては、 廃棄することも可能で ある。 または、 そのよ うなパケッ トであったと しても、 宛先ア ドレスが 特定の I Pア ドレスのバケツ トについては、 廃棄することなくそのまま ホス トへ転送することも可能である。 これらの動作に関しては別にダル ープメンバリ ス トに記載しておいても良い。
上記実施形態においては、 ゲー トウェイ装置 A 1は、 外部ネッ トヮー クからローカノレネッ トワーク Aへ向かう I Pバケツ トに対して、 フィノレ タ リ ング処理を行う よ うに説明したが、 本発明はこれに限定されない。 例えば、 ゲー トウェイ装置 A 1は、 ローカルネッ トワーク Aから外部ネ ッ トワークへ向かう I Pバケツ トに対しても、 フィルタ リ ング処理を行 う よ うにしてもよい。 このよ うにすれば、 ゲートウェイ装置 A 1におけ るフィルタリ ング処理等の負荷が増大するものの、 ゲー トウェイ装置 B 1を導入することなく、 ゲートウェイ装置 A 1のみで、 上記グループ内 に閉じた通信を実現することが可能となる。
(グループ間通信の具体例)
図 4および図 5に示したグループ間通信を実現するための一連の処理 についてシーケンス図を用いて説明する。 図 6は、 ゲー トウェイの動作 ついて説明するためのシーケンス図である。
まず、 my p cが v i d e o と通信したい場合、 ゲー トウエイ GW— Aに対して D N S解決要求を送信して V i d e o の I Pア ドレス 82.5.218.4を得たとする。 次に、 この I Pア ドレスを利用して m y p c から v i d e oに I Pバケツ トを送信して通信が始まる。 これに対する 応答バケツ トが v i d e oから m y p cに対して送信された場合、 グー トウエイ G W— Aはこのバケツ トを受信すると、 m y p cにフォワー ド する前に、 グループメンバリス トをチェック して my p c と V i d e o が同一のグループにあることを確認するとバケツ トを m y p cにフォヮ ードする。
ここで例えば P C 2というグループメンバリス トに登録されていない ホス トから my p cに対する通信バケツ トが送信され、 ゲー トウヱイ G W—Aに到着すると、 ゲー トウェイ GW— Aはこのバケツ トの送信元ァ ドレス (S A) をチェック して P C 2がリス トに存在しないことからこ のパケッ トを廃棄する。 これにより、 グループ外のホス トとの通信を遮 断してセキュリティを向上させることが可能となる。
(グループに属する全てのホス トを応答する具体例)
(グループメンバの I Pァ ドレス一覧)
ゲー トウェイは登録されたホス ト名とその I Pァ ドレスの対応を応答 するだけではなく、 グループ名とそのメンバ全てを応答することが出来 る。 これは、 例えば g 1 というグループ名に対するァ ドレス解決要求を 受けた場合は、 ゲートウェイは g 1 というグループ名を持つホス トアド レスの全てを D N S応答メッセージの中に入れて応答することで実現で きる。 このような応答メッセージは既存の D N Sの仕様で認められてい るものなので、 特に D N Sの機能を拡張しなくても 1つの名前に対して 複数の I Pァドレス応答を受信することが可能である。
この機能を応用することで例えばホス トは自分の属する g 1 というグ ループに属する全てのメンバの一覧を入手することが可能なため、 例え ば、 既存のメーリングリス トの機能と同等の機能として、 すべてのメン バにメ ッセージやファイルを送信するなどの機能が実現できることにな る。
(第二の実施形態)
次に、 本発明の第二の実施形態であるゲートウェイ (G Wまたはグー トウェイ装置ともいう) を包含するネッ トワークシステムについて図面 を参照しながら説明する。
上記第一の実施形態では、 各ホス トの I Pァ ドレスはグローバルァド レスである必要があることから、 現実にはプライベート I Pァ ドレスが 多用されている環境では利用できない。 加えて、 あるホス トがグループ メンバであるか否かは D N Sを利用してグループ名を確認する以外に手 段がない。
例えば、 あるホス トがファイルの読み取り権限を与えるグループと読 み書き全制御を許すグループの 2つのグループに属するとき、 未知のホ ス トからアクセスがあった場合、 DNS を利用してグループを認識しなけ れば未知のホス トがどの権限を持つのか分からない。 このような問題を 解決するために、 ゲートウェイ装置において、 新たに以下の機能を追加 する。
1.グループ毎に異なる任意の仮想プライべ一トネッ トワークァドレス を割り当て、 2. 各グループメンバには割り当てたネッ トワークァ ドレス に属する仮想 I Pァドレスを割り当て、 上記の仮想 I Pア ドレスと実 I Pァ ドレスを通信時に相互変換する NAT (Network Address Translation) 機能。
(ネッ トワークシステムの概要)
図 7は、 本実施形態のネッ トワークシステムの概略構成を説明するた めの図である。
図 7に示すように、 本実施形態のネッ トワークシステムは、 自宅に敷 設されたローカルネッ トワーク (以下自宅ネッ トという)、 実家に敷設さ れたローカルネッ トワーク (以下実家ネッ トという)、 およぴィンターネ ッ トからなる。 自宅ネッ トおよび実家ネッ トには、 グループ化の対象と されるホス トが接続されている。例えば、自宅ネッ トには m y p c等が、 実家ネッ トには V i d e o等が接続されている。 本実施形態では、 自宅 ネッ トに接続されているホス トと実家ネッ トに接続されているホス トの 中から 4つのホス ト (m y p c、 v i d e o等) を取り出して、 これら を一つのグループと して考える。 なお、 グループ化の対象と されるホス トの数は適宜の数とすることができる。
各ホス トは、 I Pパケッ トによる通信を行う機能を有する。 この I P パケッ トによる通信のために、各ホス トはローカル I Pァ ドレスを持つ。 ここでは、 I P v 4による I Pア ドレスとする。 自宅ネッ トとインター ネッ トとはゲートウェイ G W _ Aを介して接続されている。 また、 実家 ネッ トとィンターネッ トとはゲー トウエイ G W— Bを介して接続されて いる。
しかしながら、 本実施形態では、 第一の実施形態とは異なり、 各ホス トはローカル I Pァ ドレスを持つことから、 自宅ネッ ト と実家ネッ トの ア ドレス空間は重なっている (図 7参照)。 例えば、 自宅ネッ トに接続さ れた m y p c というホス トと、 実家ネッ トに接続された V i d e o とレヽ うホス トとは、 同一のローカル I Pァ ドレス 192. 168. 0. 5 を持つことか ら、 ア ドレス空間は重なっている。 このよ うな環境では、 自宅ネッ トと 実家ネッ トとの間で通信することはできない。 加えて、 あるホス トがグ ループメンバであるか否かは D N Sを利用してグループ名を確認する以 外に手段がない。 例えば、 あるホス トがファイルの読み取り権限を与え るグループと読み書き全制御を許すグループの 2つのグループに属する とき、 未知のホス トからアクセスがあった場合、 DN Sを利用してグル ープを認識しなければ未知のホス トがどの権限を持つのか分からない。 本実施形態では、 ゲートゥヱイ GW— Aおよび GW— Bは NAT変換 機能を持つ。 これによ り、 ローカル以外のネッ トワークに存在するホス トを異なる別のァ ドレスを持つホス トと してローカルホス トに見せかけ ることが可能となる。
例えば、 図 7に示すよ う に、 自宅にある m y p c とレヽ ぅ ホス トが
192.168.0.5 という実ア ドレスを持ち、 同じく実家にある v i d e o と いうホス トが 192, 168.0· 5 という実ア ドレスを持ち、 m y p c と V i d e o とがゲー トウヱイ GW— Aおよび GW— Bを介して通信する場合を 考える。
自 宅の m y ρ c 力 ら は v i d e o と レヽ ぅ ホ ス ト は仮想、的に 10.10.10.102 とレ、う仮想 I Pア ドレスを持つホス ト と してゲー トゥェ ィ GW— Aに、 同様に実家の V i d e o力、らは my p c とレヽぅホス トは 仮想的に 10.20.20.10 という仮想 I Pア ドレスを持つホス トと してゲー トウエイ GW— Bに、 それぞれ登録しておく。
最初に、 my p c力 S v i d e o という DN S名を持つホス トの I Pァ ドレスをゲー トウエイ GW— Aに問い合わせると、 ゲー トウエイ GW— Aは仮想 I Pア ドレスである 10.10.10.102(=V-VCR)というァ ドレスで 応答する。 m y p cはその仮想 I Pア ドレス V- VCR宛に I Pバケツ トを 送信する。 ここで、 このパケッ トは必ずゲー トウェイ GW— Aを通過す る。 このため、 ゲー トウェイ GW— Aにおいて、 この宛先ア ドレス V- VCR は仮想 I Pァ ドレスであること、 実際にはグー トウエイ GW— B配下の ホス ト i d e o宛であること、 および my p cはゲー トウェイ GW— B配下のホス トでは 10.20.20.10(=V-PC)とレヽぅァ ドレスを持つこと、 力 S わ力 る。
そ こ で 、 ゲー ト ウ ェ イ G W — A で は 、 送信元 ア ド レ ス R- PC (192. 168. 0. 5)をゲートウェイ G W— Bにおける仮想 I Pア ドレス である V - PC ( 10. 20. 20. 10)に変換し、 このパケッ トをゲートウェイ G W — B宛に、 I P トンネルを利用して送信する。
ゲートウェイ G W— Bでは、 このパケッ トを受信すると、 ゲートゥェ ィ G W _ Aから受け取ったパケッ トには仮想 I Pァ ドレスが使われてい ることが分かる。 このため、 ゲートウェイ G W— Bは、 宛先ァ ドレス V-VCR を実ァ ドレスである 192. 168. 0. 5 に変換し、 このバケツ トを v i d e oに対して送信する。
以上のステップと逆の変換を v i d e oから m y p cに対しても行う ことにより、 仮想 I Pァ ドレスを用いて任意のホス ト間で通信すること が可能になる。
なお、これらに必要なァドレス変換機能は基本的には既存の NAPTの機 能を利用することが可能である。 また、 ゲートウェイ間の I P トンネル 通信も既存の PPPoverSSHや I P Secなどの様々な手法を利用することが 可能である。 I P トンネル通信として SHや I P Secを利用すれようにす れば、 仮想サブネッ トに関してゲートウエイ G W— Aと G W— Bとの間 の通信が暗号化されることから、 通信内容がグローバル I Pコアネッ ト 区間で盗聴されることを防止できる。
また、 ホス トとゲートウェイとの間の接続に関し も、 イーサネッ ト におけるブロードキャス ト ドメインを構成せず、 Point- to- Pointで接続 する L2ネッ トワークを利用することから、グループメンバ以外からの接 続を遮断することが可能になる。
(動作要件)
以上の動作を実現するための要件は以下の通りである。
1.パケッ ト送信時、 ゲートウェイ G W—Aまたは G W— Bで、 トンネ ル (対向 G W ) を選択するルーティングを行う。 ルーティングは宛先仮 想 I Pァドレスを用いて、 対向 G W (トンネル) を決定する。
2. ローカルホス トは所属するグループ毎、 加えて、 対向 G W毎にも異 なる仮想 I Pァ ドレスを持つ。 この仮想 I Pア ドレスはこれを利用する 対向 GWと共有される。
3. ローカルホス トの持つ仮想 I Pア ドレス と実 I Pァ ドレスの変換 はローカルゲートウェイ GWで管理する。 宛先網におけるゲートウェイ GWでは、 送信元ホス トの仮想 I Pさえ知っていれば良く、 実 I Pア ド レスは知る必要がないためである。
4. よって、 ローカルゲートウェイ GWでは、 ローカルホス トにおける 仮想 I Pア ドレス と実ア ドレスの変換をする。 この要件から、 グローバ ルリス トと呼ぶグループメンバ全ての仮想 I Pァ ドレスとその DN S名 を管理するリ ス ト、 およびローカルリ ス トと呼ぶローカルに接続されて いる各ホス トに関してグループを構成する対向 GWにおける仮想 I P了 ドレス と対応 GW番号を含んだリ ス トの 2つのリ ス トを GWでは管理 . 維持する必要がある。
例えば、 図 8では、 ゲートウェイ G W— Bにおけるグローバルリ ス ト は、 v i d e o とレ、う ローカルホス ト (ア ドレス 192.168.0.5) が属す る 2つのグノレープ g 1、 g 2における、 メンバホス ト m y p c、 c a m、 v i d e o、 n o t eに対する仮想 I Pァドレスを示している。
このグローバ/レリ ス トは v i d e o以外のゲー トウエイ GW— Bに接 続されているホス トに関しても同じリス トを利用してもよい。この場合、 エントリはどのローカルホス トと同じグループメンバかを判定する手段 が必要になる。 例えば、 ローカルリス トに所属グループ (所属 G という 列) に関する識別子を記憶させておけば、 グローバルリス トには D N S 名にホス トが属するグループが記述されているので、 グループ関係を認 識することが可能である。 結果としてグローバルリス トに記憶されてい るホス トについて、 どのローカルホス トと同じグループかを判別するこ とができる。
なお、これ以外にもグローバルリス トをローカルホス ト毎に用意するな どの手段でも同じことができる。 同様に、 ローカルリス トには V i d e oに関する仮想 I Pア ドレスを記憶しており、 この場合は、 対向 GW毎 に異なる I Pア ドレスを仮想 I Pア ドレスとして利用されている。 この ローカノレリ ス トは、 V i d e o以外のホス トの仮想 I Pァドレスを管理 してもよく、 単にリ ス トにホス トに関するエン ト リを追加するだけでよ レ、。
(ゲートウエイの概略構成)
次に、グートウェイの概略構成について図面を参照しながら説明する。 図 8は、 ゲートウェイの機能ブロック図である。
図 8に示すように、 ゲートウェイ G W— B (ゲートウェイ G W— Aも 同様) は、 パケッ ト送受信部 2 0 0、 グループメ ンバーリ ス ト管理部 2 1 0、 D N S処理部 2 2 0、 トンネル処理部 2 3 0、 トンネル設定管理 部 2 4 0、 および N A T処理部 2 5 0を備えている。
グ口一バル I Pネッ トワークとプライベート (ロー力ノレ) ネッ トヮー クがこのゲートウェイ装置 G W— Bで分離されている。 グループ間で通 信されるバケツ トは任意の I Pア ドレスを含むことから、このままでは、 I Pバケツ トをグローバル I Pネッ トワークに.送信するこ とができないで ここでは、 I Pパケッ トは、 ゲートウェイ G W— Aと G W— Bとの間に 設定された I P トンネル (これは一例であり、 何らかの トンネルであれ ばよい) 経由で送受信される。 この場合、 I P トンネルを構成する I P パケッ トの送信元 ·宛先ァ ドレスともに、 必ずゲートウエイ G Wのァド レスとなる。
そこで、 グートウヱイ G W— Bは、 I Pバケツ トを受信すると自己宛 以外のバケツ トを、そのパケッ ト送受信部 2 0 0により廃棄する。次に、 ゲートウェイ G Wは、 その受信したパケッ トが、 自己宛の I P トンネル バケツ トかそれとも自己宛の制御パケッ トかを、 宛先ポート番号から判 断する。 その結果、 そのポート番号が I P トンネル用の I Pポート番号 (も しく はプロ トコル番号) と判断された場合には、 この受信した I P バケツ トをトンネル処理部 2 3 0により処理する。
トンネル処理部 2 3 0は、 この受信した I Pバケツ ト群により構成さ れる トンネルを終端する。 そして、 トンネル処理部 2 3 0は、 その I P バケツ ト群が暗号化されている場合には、その暗号化を解除し、その後、 トンネルによって運ばれている内側の I Pバケツ トを抽出する。 この処 理は一例である。概念は I P- I P トンネルなどと呼ばれ広く知られてい る手法である。 従って、 上記 I P トンネルに代えて、 PPP、 I PSecなど 様々なトンネル処理技術を利用することが可能である。
この後、 I P トンネルより抽出された I Pパケッ トは NAT処理部 2 5 0によりパケッ トの送信先が書き換えられる。 これは、 上記の要件で 述べたように、 宛先ァ ドレスと仮想 I Pァドレスの対応は宛先ホス トを 収容しているローカルゲートウェイ GWで処理するのが基本であること それゆえローカルゲートウェイ GWにおける NAT処理部 2 5 0がこの 処理を担当できる唯一の機能であるからである。
NAT処理部 2 5 0は、 受信した I Pパケッ トの対向 G W (= トンネ ル) およぴ受信パケッ トの宛先ァ ドレスから、 仮想 I Pァ ドレスを取得 する。 NAT処理部 2 5 0は、 この 2つの値をキーにグループメンバリ ス ト管理部 2 1 0に記憶されている 「ローカルリス ト」 を参照して、 宛 先実 I Pア ドレスを求める。 そして、 N A T処理部 2 5 0は、 仮想 I P ア ドレスを実ア ドレスに書き換えた I Pパケッ トを最終的にローカルネ ッ トワーク側に送信する。
この例では、 上記の要件を元に、 NAT処理部 2 5 0が受信した I P バケツ トは、 宛先 I Pァドレスを実ァ ドレスに変換するように説明した が、 この手段以外の手段も考えられる。 ゲートウェイは通信系路上に送 信側と受信側の 2対存在するため、 仮想 I Pァ ドレスを持つバケツ トの 宛先 ·送信元ァドレスを実ァ ドレスに変換する処理はそのどちらかのゲ 一トウエイの NAT処理部 2 5 0で実現できればょレ、。従って、例えば、 送信側のゲートウェイで宛先ア ドレスに関して NAT処理により実 I P 了 ドレスに変換するようにすれば、 受信側のゲートウエイでは NAT処 理は不要になる。 ただし、 この場合、 送信側のゲートウェイにおいて宛 先ホス トの実 I pア ドレスを知る必要があることから、 処理負荷が高く なる。 なお、 パケッ ト送信時における、 ア ドレス変換に関する処理もほ ぼ同様の機能プロックを利用する。 なお、 パケッ ト送受信部 20 0および DN S処理部 2 2 0は、 第一実 施形態で説明したパケッ ト送受信部 1 3 0および DN S処理部 1 2 0 と 同様に機能する。
(バケツ ト受信時の具体的な動作)
ゲートウェイ GW— Aに属する 10.20.20.10 という仮想 I Pア ドレス を持つ m y p c 力 S、 V i d e o 、 すなわち仮想 I P ア ド レ ス 10.20.10.102宛にパケッ トを送信し、 これをゲートウェイ GW— Bで受 信したとする。
ゲートウヱイ GW— Bは、 受信バケツ トの送信元ァ ドレスをキーにグ ローバルリス トを検索する (もしく はバケツ トの受信インタフェースを 認識する) ことにより、 トンネル 1、 すなわち対向 GW番号 1で受信し たことをを知る。 加えて、 宛先ァドレスは 10.20.10.102であることが分 かる。 ゲートウェイ GW—Bは、 この 2つをキーに 「ローカルリ ス ト」 を検索することにより、 宛先の実 I Pア ドレスが I92.168.0.5であるこ とを知る。 これを元に、 宛先ア ドレスを NAT変換部により変換して、 最終的に受信バケツ トをローカルネッ トワークに送信することで、 ゲー トウエイ GW— Bの処理が完了する。
(バケツ ト送信時の具体的な動作)
このゲートウェイ GW— Bを利用して、 「 g l」グループに属する V i d e o とレヽぅホス トが、 対向する異なるゲートウェイ GW— A配下のホ ス ト 「m y p c」 に対して仮想 I Pネッ トワークにより通信する場合を 考える。
はじめに、 通常の I P通信と同様、 DN Sを利用して DN S名から I Pア ドレスを求める。 ここでは、 ローカルホス トはゲートウェイ GW— Bを D N Sサーバとして登録しており、 かつ、 ゲートウェイ GW— Bが ア ドレス解決手段 (DNSサーバ) を実装しているものとする。
ゲートウェイ GW—Bは、 ゲートウェイ宛の DN S要求を自己宛のパ ケッ トとしてバケツ ト送受信部により受信する。 バケツ ト送受信部は、 この受信パケッ トを、 DN S処理部に転送する。 DN S処理部は、 ダル ープメンバリス トの うちグローバルリス トを参照して、 例えば、 「 g 1」 グループの 「my p c」 とレ、うホス トと通信したいとすると、 I Pア ド レス と して 10.20.20.1を得る。 ホス ト 「 v i d e o」 は、 DN Sの応答 としてこのア ドレスを得る。 そして、 実際のデータ通信が V i d e o と m y p c との間で始まる。 具体的には、 v i d e oが通信パケッ トを m y p c宛に送信する。
ゲートウェイ GW— Bはローカル側からこの I Pパケッ トを受信する と、 グループメ ンバリ ス ト管理部 2 1 0に記憶されている 「グローバル リス ト」 を参照して、 宛先の仮想 I Pァ ドレスをキーにそのバケツ トを 送信する と き に利用する ト ンネル番号を取得する。 こ こ では、 192.168.0.5 とレ、う I Pア ドレスを持つ送信元ホス ト v i d e oが宛先 I Pア ドレス 10.20.20.10 のホス ト m y p cに対してパケッ トを送信し たので、 宛先 I Pア ドレス (=仮想 I Pア ドレス) から トンネル番号は 1であることが分かる。 このトンネル番号はローカルネッ トワークのあ るホス トが仮想ネッ トヮ一ク毎に異なる仮想 I Pア ドレスを割り当てら れている場合に、 どの仮想 I Pァドレスが使われるかを決定するために 利用する。 ここではトンネル番号を用いたが、 本質的には仮想 I Pア ド レスに相当する宛先ホス トが属するゲートウェイ GWを見つけることが でき、 かつゲートウェイ GWがパケッ トを受信したときに、 送信元の仮 想 I Pア ドレス と実 I Pァドレスの対応が認識できるのであれば、 どの ような番号を用いてもよい。 例えば、 ゲートウェイ GWのグローバルァ ドレスやローカルで管理する任意の I Dでもよレ、。
ここで求めた 「 トンネル番号」 および送信元の 「実 I Pア ドレス」 を キーにローカルリス トを参照し、 「仮想 I Pァ ドレス」 を取得し、 バケツ トの送信元ァ ドレスをこの仮想 I Pァ ドレスに変換して、 この変換後の パケッ トをトンネル番号と一致する トンネルで送信するようにトンネル 処理部 2 3 0に通知する。
この例では、 トンネル処理部 2 3 0ではトンネル番号に基づき、 予め 設定してある I P- I P トンネルを利用する。 なお、 本手法ではゲートゥ エイ GW間のトンネル手段は任意の既存技術を利用可能であり、 I P- I P トンネル以外にも MPLSや Etherフレームを利用した L2 レベルでの トンネル手段を利用してもよい。 この場合も トンネルの識別子として ト ンネル番号を利用できる。
以上の手段により、 V i d e oから m y p cに対して仮想 I Pァ ドレ スを利用した I P通信が可能になり、 この手段により仮想 I Pア ドレス を用いたグループ化が実現される。
(グートウェイにおける各種情報の登録機能)
ゲートウェイ GW— Bにおいては、 グローバルリ ス ト、 ローカルリ ス トを作成する必要がある。 これは、 例えばコマンドラインインタフエ一 スと telnet、 もしくは Webインタフェースと HTTPなどを使って、 遠隔 ホス トからグループメンバリス ト管理部 2 1 0に対して設定、 作成する ことが可能である。
I P- I P トンネル、 または同様の機能を提供する L2 レベルのトンネ ルも トンネル設定管理部に対して、 同じく telnetや HTTPを利用して遠 隔から設定することが可能である。
次に、ゲートウエイ GW— Aとゲートウエイ Bとの間の通信について、 図面を参照しながら、 より詳細に説明する。
以下、図 7に示すように、 自宅ネッ トに接続されたホス ト m y p c (実 I P ア ド レ ス 192.168.0.5 (=R- PC) お ょ ぴ仮想 I P ア ド レ ス 10.20.20.10) と実家ネッ トに接続されたホス ト v i d e o (実 I Pア ド レス 192.168.0.5 (=R- VCR)および仮想 I Pア ドレス 10.10.10.102) がゲ 一トウヱイ GW— Aおよび GW— Bを介して通信する場合を例に説明す る。
なお、 ゲートウェイ GW— Bが保持するグロ一パルリス トには、 m y p c ( ドメ イ ン名 : m y p c . g 1 ) と そ の仮想 I P ア ド レス 10.20.20.10 (=V-PC)との対応関係が記述されている(図 8参照)。同様に、 ゲートウヱイ GW— Aが保持するグローバルリス トには、 V i d e o (ド メイン名 :省略) とその仮想 I Pアドレス 10.10.10.102 (V - VCR)との対 応関係が記述されている。 各ゲートウェイがこのようなグローバルリ ス トを保持している結果、 例えば、 自宅ネッ トに接続されているホス ト m y p c力 らは、 実家ネッ トに接続されているホス ト V i d e oは仮想的 に V - VCR というア ドレスを持つホス トとして見える。 同様に、 実家ネッ トに接続されているホス ト V i d e oからは、 自宅ネッ トに接続されて いるホス ト my p cは仮想的に V - PC というァドレスを持つホス トとし て見える。 ·
(ゲートウエイ GW— Aによるァドレス解決)
図 7に示すように、 ホス ト my p cは、 DN S名 「v i d e o」 を持 つホス トの I Pァ ドレスをゲートウェイ GW— Aに問い合わせる (S 3 0.0 )。 ゲートウェイ GW— Aは、 その要求を DN S処理部 2 2 0により 受信する。 D N S処理部 2 2 0は、 ドメイン名 「v i d e o」 に対応す る I Pア ドレスを、 グループメンバーリス ト管理部 2 1 0に問い合わせ る。
グループメンバリス ト管理部 2 1 0が管理するグローバルリ ス トには- 各ホス トの ドメイン名と仮想 I Pア ドレスと対向 GW (トンネル番号) との対応関係が記述されている。 ドメイン名は、 ホス ト名 (my p cや v i d e o等) とそのホス トが属するグループを識別するためのグルー プ識別情報 (§ 1ゃ§ 2) とを' 'ノ' で連結して構成したものである。
従って、 グループメンバーリ ス ト管理部 2 1 0は、 グループメンバー リ ス トを参照することにより、 DN S処理部 2 2 0から問い合わせのあ つたドメイン名 V i d e o J に対応する仮想 I Pア ドレス V- VCRを知 ることができる。 この判明した仮想 I Pア ドレス V - VCRは解決要求元の ホス ト my p cに返される (S 3 0 l )。 ホス ト my p cは、 ゲートゥェ ィ GW— Aからの仮想 I Pア ドレス V - VCRを受信する。
(ホス ト my p cによる送信処理)
ホス ト my p cは、 ホス ト v i d e o向けの I Pノ ケッ トと して、 送 信元 I Pァドレスおよび宛先 I Pァドレスがそれぞれ、 ホス ト m y p c の実 I Pァ ドレス 192.168.0.5 (=R- PC)およぴ先ほど解決した仮想 I P ァ ドレス V-VCRである I Pバケツ トを作成して送信する (S 3 0 2 )。 (ゲートウェイ GW— Aによるァドレス変換処理おょぴ転送処理) ' ホス ト MY P Cからの I Pパケッ トは必ずゲートウエイ GW— Aを通 過する。 ゲートウェイ GW— Aは、 この I Pパケッ トをその N AT処理 部により受信する。 NAT処理部は、 その受信した I Pパケッ トの宛先 I Pア ドレス (先ほど解決したホス ト v i d e oの仮想 I Pア ドレス V-VCR) に対応する トンネル番号を、 グループメ ンバリス ト管理部 2 1 0 に問い合わせる。 グループメンバリス ト管理部 2 1 0が管理しているグ ローバルリ ス トには、 各ホス トの ドメイ ン名と仮想 I Pァ ドレス と対向 GW ( トンネル番号) との対応関係が記述されている。
従って、 グループメンバーリ ス ト管理部 2 1 0は、 グローバルリ ス ト を参照することにより、 宛先 I Pア ドレス (先ほど解決したホス ト V i d e oの仮想 I Pア ドレス V- VCR) に対応する対向 GW ( トンネル番号) を知ることができる。
また、 グループメンバリス ト管理部 2 1 0が管理しているローカルリ ス トには、 ホス ト v i d e oの実 I Pア ドレス R- VCR と対向 G Wと仮想 I Pア ドレス V-VCRとの対応関係が記述されている。
従って、 グループメ ンバリ ス ト管理部 2 1 0は、 ローカルリ ス トを参 照することにより、 先ほど判明した対向 GW ( トンネル番号) とその受 信した I Pバケツ トの送信元 I Pア ドレス (m y p cの実 I Pア ドレス R-PC) に対応する仮想 I Pア ドレス V- PCを知ることができる。 この判明 した仮想 I Pア ドレス V- PCは N A T処理部 2 5 0に返される。
この仮想 I Pア ドレス V- PCを受けると、 NAT処理部 2 5 0は、 その 受信した I Pパケッ トの送信元 I Pア ドレス (My P cの実 I Pァ ドレ ス R- PC) を、 その判明した仮想 I Pア ドレス V- PC に変換する (S 3 0 3)。
そして、 NAT処理部 2 5 0は、 その変換後の I Pパケッ トを、 先ほ ど判明した対向 GW ( トンネル番号) と一致する トンネルで送信するよ うに、 トンネル処理部 2 3 0に通知する。 トンネル処理部 2 3 0は、 N AT処理部 2 5 0からの通知を受けると、 そのトンネルを介してその変 換後の I Pパケッ トを送信する (S 3 04)。
以上のようにして、 ホス ト my p cはホス ト V i d e o向けの I Pノ ケッ トを送信し、 ゲートウェイ GW— Aは、 そのホス ト v i d e o向け の I Pバケツ トについてァ ドレス変換し、 その変換後の I Pバケツ トを 中継する。
(ゲートウェイ GW— Bによるァドレス変換処理おょぴ転送処理) 次に、 ゲートウェイ GW—Bによるァ ドレス変換処理について図面を 参照しながら詳細に説明する。 図 9は、 ゲートウェイ GW— Bによるァ ドレス変換処理および転送処理について説明するためのフローチヤ一ト である。
ゲートウエイ GW— Bは、 S 3 0 4でゲートウエイ GW—Aから中継 されたホス ト V i d e o向けの I Pバケツ トをバケツ ト送受信部 2 0 0 により受信する (S 3 0 5 0)。 このとき、 そのパケッ トを受信したトン ネル番号が" B" として記憶される (S S 3 0 5 1 )。 パケッ ト送受信部 は、 その受信した I Pバケツ トの宛先ァドレス V - VCRに対応する対向 G Wを、 グループメンバーリ ス ト管理部 2 1 0に問い合わせる。 グローバ ルリ ス トには、 仮想 I Pア ドレス と対向 GWとの対応関係が記述されて いる。 従って、 グループメンバーリ ス ト管理部 2 1 0は、 グローバルリ ス トを参照することにより、 その受信した I Pパケッ トの宛先ア ドレス V-VCRに対応する対向 GWを知ることができる。
また、 ローカルリス トには、 ホス トの実 I Pァ ドレスと対向 GWと仮 想 I Pア ドレスとの対応関係が記述されている。
従って、 グループメンバーリ ス ト管理部 2 1 0は、 ローカルリ ス トを 参照することにより、 先ほど判明した対向 GW (トンネル番号" B") と その受信した I Pバケツ トの宛先 I Pァ ド レス (仮想 I Pァ ドレス V-VCR) に対応する実 I Pア ドレス R- VCRを知ることができる。 これは該 当するエントリがローカルリ ス トに存在したことを意味する (S 3 0 5 3 : Y e s )。 この判明した実 I Pア ドレス R- VCRは N A T処理部に送ら れる。 なお、 該当するエントリがローカルリス トに存在しない場合には (S 3 0 5 3 : N o )、 その I Pバケツ トは廃棄される (S 3 0 5 6 )。 NAT処理部 2 5 0は、 その受信した I Pパケッ トの宛先 I Pァ ドレ ス (仮想 I Pア ドレス V- VCR) を、 その判明した実 I Pア ドレス R- VCR に変換 (置換) する ( S 3 0 5 4)。 そして、 NAT処理部は、 その変換 後の I Pバケツ トを実家ネッ トに送信する (S 3 0 5 5 )。
以上のようにして、 ゲートウェイ GW— Bは、 ホス ト v i d e o向け の I Pバケツ トを中継する。
(ホス ト V i d e oによる送信処理)
図 7に示すように、 ホス ト v i d e oは、 ホス ト m y p c向けの I P パケッ ト (応答パケッ ト) と して、 送信元 I Pア ドレスおよび宛先 I P ァ ドレスがそれぞれ、 ホス ト V i d e oの実 I Pア ドレス R-VCRおよぴ 仮想 I Pア ドレス V- PC (受信 I Pバケツ トの送信元 I Pア ドレス) であ る I Pパケッ トを作成して送信する (S 3 0 6 )。
(ゲートウエイ GW— Bによるァドレス変換処理おょぴ転送処理) 次に、 ゲートウェイ GW— Bによるア ドレス変換処理 (S 3 0 7 ) に ついて図 7を参照しながら詳細に説明する。
ホス ト V i d e o力 らの I Pパケッ トは必ずゲートウェイ GW— Bを 通過する。 ゲートウェイ GW—Bは、 この I Pパケッ トを受信する (S 3 0 7 0)。 ゲートウェイ GW— Bは、 その受信した I Pバケツ トの宛先 I Pア ドレス (D A) がグローバルリス トに存在するか否かを判定する ( S 3 0 7 1 )0 その宛先 I Pア ドレス (D A) がグローバルリス トに存 在しなければ (S 3 0 7 1 : N o ), その I Pバケツ トは廃棄される (S 3 0 7 2 )。
一方、 その宛先 I Pア ドレス (DA) がグローバルリス トに存在する のであれば (S 3 0 7 1 : Y e s )、 その受信した I Pパケッ トの宛先 I Pア ドレス (ホス ト m y p cの仮想 I Pア ドレス V- PC) に対応する対向 GW (トンネル番号) がグロ一パルリス トから読み出されて、 これが" A" として記憶される (S 3 0 7 2)。 次に、 ローカルリス トから、 先ほど記憶された" A " と S 1 0 8 0で 受信した I Pパケッ トの送信元 I Pア ドレス ( V i d e oの実 I Pア ド レス R-VCR)に対応するェントリが検索される(S 3 0 7 3 )。その結果、 該当するエン ト リがローカルリ ス トに存在しなければ ( S 3 0 7 4 : N 。)、 その I Pパケッ トは廃棄される ( S 3 0 7 2 )。
一方、 該当するエント リがローカルリス トに存在するのであれば (S 3 0 7 4 : Y e s )、 S 3 0 7 0で受信した I Pパケッ トの送信元 I P了 ドレス (v i d e oの実 I Pア ドレス R-VCR) を、 そのエント リ 中の仮 想 I Pァ ドレス (すなわち、 先ほど記憶された" A" と S 3 0 7 0で受 信した I Pパケッ トの送信元 I Pア ドレス ( V i d e oの実 I Pァ ドレ ス R- VCR) に対応する仮想 I Pア ドレス V- VCR) に変換 (置換) する (S 3 0 7 5 )。 この変換後の I Pバケツ トはトンネル" A" を介して送信さ れる (S 3 0 7 6 )。
以上のようにして、 ホス ト V i d e oはホス ト m y p c向けの I Pノ ケッ トを送信し、 ゲートウェイ GW— Bは、 そのホス ト m y p c向けの I Pバケツ トについてァドレス変換し、 その変換後の I Pバケツ トを中 継する。
(ゲートウヱイ GW— Aによるァドレス変換処理おょぴ転送処理) 次に、 ゲートウエイ GW— Aの受信処理について説明する。
ゲートウェイ GW— Aは、 S 3 0 7 6でゲートウェイ GW— Bから中 継されたホス ト m y p c向けの I Pバケツ トをバケツ ト送受信部 2 0 0 により受信する。 パケッ ト送受信部 2 0 0は、 その受信した I Pバケツ トの送信元ァドレス V- VCRに対応する対向 GWを、 グループメンバーリ ス ト管理部 2 1 0に問い合わせる。 グローバルリス トには、 仮想 I Pァ ドレス と対向 GWとの対応関係が記述されている。 従って、 グループメ ンバーリ ス ト管理部 2 1 0は、グローバルリ ス トを参照することにより、 その受信した I Pパケッ トの送信元ァドレス V- VCRに対応する対向 GW を知ることができる。
次に、 グループメンバーリ ス ト管理部 2 1 0は、 ローカルリ ス トを参 照する。 ローカルリス トには、 ホス トの実 I Pア ドレスと対向 G Wと仮 想 I Pア ドレスとの対応関係が記述されている。 従って、 グループメン バーリス ト管理部 2 1 0は、 ローカルリス トを参照することにより、 先 ほど判明した対向 G W (トンネル番号) とその受信した I Pパケッ トの 宛先 I Pア ドレス (仮想 I Pア ドレス V- PC) に対応する実 I Pア ドレス R-PC を知ることができる。 この判明した実 I Pア ドレス R-PC は N A T 処理部 2 5 0に送られる。
N A T処理部 2 5 0は、 その受信した I Pバケツ トの宛先 I Pァ ドレ ス (仮想 I Pア ドレス V- PC) を、 その判明した実 I Pア ドレス R- PC に 変換する ( S 3 0 8 )。 そして、 N A T処理部 2 5 0は、 その変換後の I Pパケッ トを自宅ネッ トに送信する (S 3 0 9 )。
以上のようにして、 ゲートウェイ G W— Aは、 ホス ト P C向けの I P バケツ トを中継する。
(第三の実施形態)
次に、 本発明の第三の実施形態であるゲートウェイ (G Wまたはゲー トウェイ装置ともいう) を包含するネッ トワークシステムについて図面 を参照しながら説明する。
上記第二の実施形態ではグートウエイ間で トンネル接続ゃグローバ ル . ローカルリス トを作成するのはネッ トワーク管理者が手動で設定す る必要があった。 本実施形態では、 これを自動化するための手段につい て図面を参照しながら説明する。 ここでは、 そのような手段と して、 ゲ 一トウェイ間でこれらの設定情報を送受信するプロ トコルを用いる例に ついて説明する。 図 1 1は、 このプロ トコルによる処理のシーケンス図 である。
以下、 ゲートウェイ G W— Bが主導で、 ゲートウェイ G W— Bに属す るホス ト V i d e oとゲートウェイ G W— Cに属する PDA という名前の ホス トとを含むグループ g3を作成するためのプロ トコルを考える。
1. (ゲートウェイ間の認証)
既存の認証方法 (例えば I Dとパスヮードなどを利用する認証方法) を利用して、ゲートウェイ間でお互いが信頼できる GWかどうかを最初に 認証する ( S 4 0 0 )。 ゲートウェイ間で認証することは一般には望まし い処理であるが、 必要が無い場合には、 このステップを省略することも 可能である (ォプション)。
2. 次に、 ゲートウェイ GW— Bは、 ゲートウェイ GW— Cに属するホ ス トを知らないとすると、 これを知るために、 ゲートウェイ GW— に 対してホス トの一覧を要求する (もしくは何らかのキーワードでこれを 検索する) (S 4 0 1 )。 このステップも、 仮にゲートウヱイ GW— Bが そのホス トの名前を知っている場合には、省略可能である(ォプション)。 ゲートウェイ GW— Bからの一覧要求を受けると、 ゲートウェイ GW— Cは、 自己の配下にあるホス トの一覧 (PDAというホス ト名を含む) を、 要求元のゲートウェイ GW— Bに応答する (S 4 0 3 )。
3. ゲートウェイ GW— Bは、 ゲートウェイ GW— Cからのホス ト一覧 により、 ゲートウエイ GW— C配下には PDA というホス ト名を持つホス トがあることを知る。 このホス ト P DA.と自己の配下にある V i d e o とを含む新しいグループ g3の作成は、ゲートウエイ GW— Bで新しく V i d e o という名前のホス トに対して、新しくグループ g3のためのェン トリを作成することで実現される。 同時にゲートウェイ GW— Bは、 自 己にとってグループ g3 に割り当てるのに都合の良い仮想ネッ トワーク ア ドレスを自身で作成する。 ここでは、 10.22.0.0/24というネッ トヮー クを新規に作成する。
次に、 この新しく作ったグループ g 3をゲートウェイ G W _ Cでも作 成させるために、 グループ登録要求をゲートウエイ GW— Cに送信する ( S 4 0 4)。 この要求を受け取ったゲートウェイ GW— Cは、 AC Kを ゲートウェイ GW— Bに返す (S 4 0 5 ) とともに、 ローカルで都合の 良いグループ名を選択し作成する。 ここでは gll というグループ名を割 り当て、 10.50.0, 0/2 とレヽぅネッ トワークァドレスも同時に割り当てる c なお、 ここでは、 ゲートウェイ GW— Bと GW— Cとは異なるグルー プ名を選択したが、 両ゲートウェイ間で同じ名前を選択して作成しても よい。 その場合、 プロ トコルは要求 ·応答を繰り返して互いで一意のグ ループ名を選択したり、 互いが送信するメッセージの中に都合の良い名 前の一覧を入れて、そこから選択することで実現することが考えられる。
4. ゲートウェイ GW— Bはグループ g3に属するホス トとして名前 V i d e oを持つホス トに対する仮想 I Pァ ドレスを割り当てるように、 ゲートウエイ GW— Cに対して要求する (S 4 0 6 )。 ゲートウエイ GW 一 Cは、 グループ gll 用に作成したア ドレス空間 10.50.0.0 上に、 10.50.0.10 とレヽぅァ ドレスを PDA. gll用に割り当て、 これをゲートウェ ィ GW— Bに応答する (S 4 0 7 )。 この応答を受け取ったゲートウエイ GW— Bは、 ローカルリ ス トエントリに新しく V i d e o . g3 という名 前の 10.50, 0.10という仮想 I Pァドレスを作成する (図 1 2参照)。
5. 最後に、 ゲートウェイ GW— Bは PDA. g3に対して、 10.22.0.0/24 のア ドレス空間から 10.22, 0.3 というア ドレスを新たに割り当て、 グロ ーバルリス トエントリに新しく追加し (図 1 3参照)、 これをゲートウヱ ィ GW— Cに仮想 I Pア ドレスとして通知する (S 4 0 8)。 これを受信 したゲー トウエイ GW— Cは、 既存のローカルリス トに対して新しく こ のエント リを追加する。 ゲートウェイ GW— Cはこれを作成すると、 Ack メッセージをゲートウェイ GW— Bに応答する ( S 4 0 9 )。
なお、 S 4 0 0から S 4 0 9までの手順は、 一例である。 例えば、 手 順 4. と 5. とは順序が入れ替わってもよい。 また、 上記の手順をひと つのメ ッセージで複数送信してもよい。 また、 トランスポート層と して は既存のあらゆるプロ トコルを流用することが可能である。 HTTPや S I Pを利用してもよい。 また、 メ ッセージフォーマッ トは XMLを利用して SOAP で力プセル化してこれらの トランスポートプロ トコルで運ぶこと が可能である。
また、 トンネル接続に関してもこのプロ トコルに含めることができ、 ゲートウェイ間で認証が成立した後であれば、 通信が始まる前の任意の 時刻にトンネルを作成することができる。 また、 すでに実在するグルー プに対して、 新たにホス トをグループメンバとして追加する場合には、 手順 3 . を省略する。 また、 この実現例では 2対のゲー トウェイ間での 設定を示したが、 特に 2対に限ったわけではなく、 任意のゲー トウェイ 間でこのプロ トコルを動作させることによ り、 任意の数のゲー トウエイ 間でグループおよびそのメンバの設定を自動化させることが可能となる, (第四の実施形態)
次に、 本発明の第四の実施形態であるゲー トウェイ (G Wまたはゲー トウェイ装置ともいう) を包含するネッ トワークシステムについて図面 を参照しながら説明する。
本実施形態では、 ゲー トウェイ G Wに、 I Pによる通信機能が使えな いデバイス (非 I P端末) が接続されている。 この非 I P端末は、 ゲー トウヱイ G Wからの何らかのテキス ト形式またはバイナリ形式のコマン ドの送受信で制御される機能を有する。
このよ うな場合、 仮想 I Pア ドレスを割り当てるのと同様に、 仮想的 にゲー トウエイ G Wにおいて仮想 I Pホス トを作成し、 これに仮想 I P ア ドレスを割り当てると ともに、これが外部からの T C P / I P通信を終 端することで、コマンドの送受信を T C P / I Pネッ トワークを利用して 実現可能となる。
例えば、 telnet や HTTP などの既存のプロ トコルを利用して、 遠隔の ホス トがコマンドを運ぴ、 ゲー トウエイ G Wにおいて te lnet, HTTPを終 端し、 コマンド部分を抽出して、 あらためて非 I Pホス トに送信するこ とで、 遠隔のホス トからはあたかも I Pホス トと通信しているよ うな制 御 · 通信が可能となる。
このよ うな非 I P端末の数だけ、 グー トウエイ G Wが仮想 I Pァ ドレ スを割り当てればプライべ一ト I Pア ドレスの数だけ非 I P端末を収容 でき、 かつグループ化も全く同様に実現することが可能となる。
(第五の実施形態)
次に、 本発明の第五の実施形態であるゲー トウェイ (G Wまたはグー トウェイ装置ともいう) を包含するネッ トワークシステムについて図面 を参照しながら説明する。 通常、 ロ ー力ノレネ ッ ト ワーク では DHCP (Dynamic Host Configuration Protocol)などの I Pア ドレス自動割当プロ トコルが動作しているこ とか ら、 ホス トに割り 当てられる I Pア ドレスは同一とは限らない。 このよ うな環境においては、 I Pア ドレスは I Pホス トの個体を識別する I D としては不適当である。
本発明では通信先の I Pァ ドレスは仮想的なァ ドレスであり実 I Pァ ドレスが隠蔽されている。 これは、 ローカルリ ス トにおいて実ア ドレス と仮想 I Pァ ドレスがマッピングされていることによ り実現されている ( このことから、 たとえ実ア ドレスが変化しても個体と仮想 I Pア ドレス とのマッピングさえ維持できるのであれば、このよ うな DHCPなどによる 実 I Pァ ドレス変化の影響を受けることがなくなる。
例えば、 ゲートウエイ GWにおいて MACァ ドレスによる個体識別を 利用する と、 個体と仮想 I Pア ドレス とのマッビングを実 I Pア ドレス に関わらず維持することができる。 これは、 ゲートウェイ GWにおける ローカノレリ ス トのェン ト リ に MACァ ドレスのフィールドを追カロするこ とで実現できる (図 1 4参照)。 このようにすれば、 実ァ ドレスが変化し ても、 ローカルリス トでは常に MACァ ドレスを見て個体を識別するよ うにすれば、 上記の効果が得られる。
例 え ば、 V i d e o と い う 名 前の個 体は M A C ァ ド レ ス aa:bb:cc:dd:ee:ff によって一意に識別することが可能である。 これは ゲー トウエイ GWと V i d e o との通信時に Ether を使っていれば ARP 応答などでこの値を取得して、ローカルリス トに入力すれば実現できる。 例え、 DHCPを利用していたり、 I Pァ ドレス割り当てが変化して実ァ ドレスが変化しても、 MACア ドレスは不変であるため、 この値を元に このテーブルの値を管理維持すればよい。
(第六の実施形態)
次に、 本発明の第六の実施形態であるゲー トウェイ (GWまたはゲー トウヱイ装置ともいう) を包含するネッ トワークシステムについて図面 を参照しながら説明する。 全く異なるネッ トワークに属するホス トから仮想グループが構成され るときは、 名前と仮想 I Pア ドレス、 および仮想 I Pア ドレス と実ア ド レスの対応にパターンはない。 しかしながら、 例えばサブネッ トに属す るホス ト全てを仮想グループとして構成する場合には、 変換にはルール があることから、 大幅にェントリ数を削減することが可能である。
こ こでは、 D N S名の管理をゲートウェイでは行わず、 D N S リ レー などの既存手法を利用して、一元的に管理するシステムに問い合わせる。 ゲートウエイ G Wには問い合わせる D N Sサーバのァ ドレスを予め与え ておく。 次に、 グローバル ] ス トには ドメイ ン名から実ア ドレスの変換 パターン、 およぴ実ア ドレスから仮想 I Ρァ ドレスへの変換パターンが 記載されている (図 1 5参照)。
この表中の" *" は任意の値を意味し、 それにマッチするデータをその まま利用することを意味する。 例えば、 V i d e o . dl の I Ρア ドレス を D N Sサーバに問い合わせたとして、その応答が 192. 168. 0. 17であつ たとすると、 グローバルリ ス トの 1番目にヒ ッ ト し、 そのときの仮想 I Pア ドレスは 10. 20. 20. 17に変換されることを意味している。
このようなリ ス トを持つことにより、 連続したァ ドレス空間をリ ス ト に登録する場合には、 リ ス トを検索するための処理時間 · およぴリス ト を構成するためのリ ソースを大幅に削減することが可能になる。
(第七の実施形態)
次に、 本発明の第七の実施形態であるグートウェイ (G Wまたはゲー トウェイ装置ともいう) を包含するネッ トワークシステムについて図面 を参照しながら説明する。
ゲートウェイは仮想的にあるグループが仮想的に同じサブネッ トに存 在するようにホス トに教えることが可能である。 これまでの例ではダル ープにアクセスするときは必ずゲートウェイを通過するようにホス トか らは見えた。 本実施形態によれば、 Ether の L2 レベルで同じサブネッ ト に属するように見せかけることができる。
今、 g l というグループのホス トが 2つ存在し、 それぞれ実際には異な る遠隔のゲートウエイに属しているとして、 ゲー トウエイ GW— Bにお いて、同じローカルサブネッ トである 192.168.0.0/24とレ、ぅネッ トヮー クに存在する V i d e o といホス トに対して、 同じサブネッ トに属する ように通信させる場合を考える。
これまでの実施形態で利用したグローバルリ ス トに対して、 新たに仮 想レイヤ 2ア ドレスのフィール ドを追加し、 他のホス トと同一にならな レヽよ う にレイヤ 2ア ド レスを m y p c, c a mに対してそれぞれ al:bl:cl:dl:el:fl、 a2: b2: c2: d2: e2: f 2を割り当てたとする (図 1 6参 照)。 また、 これまでと同様に仮想 I Pァ ドレスを割り当てるが、 ここで はホス ト V i d e o と同じサブネッ トア ドレスを割り当てる。
図 1 7に示すように、 c a m力、ら m y p cに対して I Pバケツ トの送 信を始める前に、 ARP のリクエス トが送信される (S 5 0 0)'が、 これ に対してゲートウエイ GW— Bが m y p cに代わって仮想的に m y p c であるかのように、 ARPリクエス トに対してァ ドレス al:bl:cl:dl:el:fl で応答する (S 5 0 1 )。 このとき、 図 1 6に示すグローバルリス トが参 照される。 これによつて、 c a mは m y p cのレイヤ 2ア ドレスを ί巴握 したため、 実際にはゲートウェイ GW— Βに対して I Ρパケッ トを L2 レイヤで送信を開始する (S 5 0 2 )。
ゲートウヱイ 0 ¥— 3は L2 バケツ トを受信するとグローバルリス ト を参照し、宛先 al:bl:cl:dl:el:n宛の L2バケツ トは仮想的にゲートゥ エイ GW— Aにおいて my p c として存在することが認識されるためこ れを終端できる。 以降はこれまでと同様の処理で、 ゲートウェイ GW— A宛に I Pパケッ トを転送する (S 5 0 3 )。 ゲートウェイ GW— Aは、 上記実施形態と同用意、 その I Pパケッ トを受信してァ ドレス変換を行 い、 この変換後の I Pパケッ トを自己の配下の my p cに対して転送す る ( S 5 04 )。
また、 ゲートウェイ GW— Bから c a m宛に my p cからのバケツ ト を送信時するときは、これまでの実施形態と同様にァドレス変換を終え、 最終的にローカルネッ トワークに送信するときに、 送信元レイヤ 2ア ド レスとして al:bl:cl:dl:el:flを付けて、 L2ネッ トワーク上の m y p c に対して L2バケツ トを送信する。
以上の結果、 任意のホス トを仮想的に同一のサブネッ トに属するホス トとして通信させる機能をゲートウェイが提供することが可能になる。 (変形例)
上記実施形態においては、 I Pア ドレスは I P V 4によるア ドレスで あると説明したが、 本発明はこれに限定されない。 例えば、 I P V 6に よるア ドレスを用いることも可能である。 この場合は、 I P v 4のプラ ィペー トア ドレスの代わりに、 I P v 6のサイ ト ローカノレア ドレスを利 用することで実現可能であある。 例えば、 上記実施形態の 「プライべ一 ト (ア ドレス)」 を 「サイ トローカル (ア ドレス)」 と読みかえれば、 処 理手順や処理方法は全く同一であり、 本発明の実施に当たり I P V 4 と
I P V 6の違いを考慮する必要はない。 なお、 グローバルア ドレスは I P v 4と I P v 6 とも同じ意味を持つ。
本発明は、その精神または主要な特徴から逸脱することなく、他の様々 な形で実施することができる。 このため、 上記の実施形態は、 あらゆる 点で単なる例示にすぎず、 限定的に解釈されるものではない。 産業上の利用可能性
本発明によれば、 通信 ·計算資源に乏しいホス ト (例えば、携帯電話、 PDA (Personal Digital Assistance)などの携帯端末、 クーラ、 洗濯機、 ビデオなどのネッ トワーク家電) の処理負荷を増大させることなく、 グ ループ内に閉じた通信を実現することが可能となる。

Claims

請求の範囲
1 . グローバルァ ドレスを持つ I Pホス トで構成された I Pネッ トヮ ークにおいて、 任意のホス トを選択してグループ化し、 グループ内に閉 じた通信を実現するために、 ローカルネッ トワークとグロ一バルネッ ト ワークの境界に位置するパケッ ト中継装置であって、
グループに属するホス トを管理するために、 I Pア ドレスとグループ を管理するためのホス ト名から構成されるリス トと、
このリス トを元にグノレープメンバであるホス トとグノレープ外のホス ト を識別しグループ外のホス トからの通信を遮断する手段と、
を備えるバケツ ト中継装置。
2 . グローバルア ドレスとプライベートァ ドレスを相互に変換する変 換装置をさらに備える請求項 1に記載のバケツ ト中継装置。
3 . 任意のホス トには仮想的な I Pサブネッ トに対する仮想的なブラ ィベートァドレスが割り付けられる請求項 2に記載のバケツ ト中継装置 (
4 . 他のバケツ ト中継装置との間の通信を暗号化する手段をさらに備 える請求項 2または 3に記載のパケッ ト中継装置。
5 . 所定のトンネルプロ トコルにより、 他のパケッ ト中継装置との間 のトンネル設定を自動化する手段をさらに備える請求項 2から 4のいず れかに記載のバケツ ト中継装置。
6 . 仮想グループ設定プロ トコルにより、 他のパケッ ト中継装置との 間におけるグループ設定を自動化する手段をさらに備える請求項 2から 5のいずれかに記載のバケツ ト中継装置。
7 . 仮想グループ設定プロ トコルにより、 他のパケッ ト中継装置との 間におけるグループに属するメンバ設定を自動化する手段をさらに備え る請求項 2カゝら 6のいずれかに記載のパケッ ト中継装置。
8 . 他のパケッ ト中継装置との間で認証することにより、 互いが信頼 できるものであるか無いかを確認する手段をさらに備える請求項 5から 7のいずれかに記載のバケツ ト中継装置。
9 . パケッ ト中継装置とホス トは、 他のホス トと接続されずに、 直接 接続される請求項 2または 3に記載のバケツ ト中継装置。
1 0 . 非 I P端末を仮想的に I Pホス ト としてグループに存在するよ うに他のホス トから見せかける仮想 I Pホス トを構築する請求項 3に記 載のバケツ ト中継装置。
1 1 . ホス トのレイヤ 2ア ドレスをホス ト固有の識別子と してマシン と一対一に対応させる請求項 3に記載のバケツ ト中継装置。
1 2 . グループに属するホス トの代理で仮想のレイヤ 2ア ドレスを用 いて ARPに応答し、 グループ内の通信をローカルサブネッ トレベルで実 現する請求項 3に記載のパケッ ト中継装置。
1 3 . ゲートウェイで名前解決を行わず、 D N Sサーバで一元的に名 前を解決し、 かつ実ア ドレスと仮想的なプライべ一トァ ドレスの変換を パターンで記述する請求項 1から 3のいずれかに記載のバケツ ト中継装
1 4 . ネッ トワーク間に設けられ、 特定のグループに属するホス トに 関する I Pパケッ トを通過させる I Pパケッ ト中継装置であって、 ホス トが持つ I Pア ドレスとそのホス トが属するグループを識別する ためのグループ識別子とを対応付けたリス トと、
一方のネッ トワークから到着した他方のネッ トワークに接続されたホ ス ト宛の I Pパケッ トが同一のグループに関する I Pバケツ トか否かを, 前記リス トを参照することにより判定する判定手段と、
同一のグループに関する I Pバケツ トであると判定された I Pバケツ トを、 前記他方のネッ トワークに中継するフオフ一ド手段と、
を備える I Pバケツ ト中継装置。
1 5 . 前記判定手段は、 前記リ ス トを参照することにより、 前記一方 のネッ トワークから到着した I Pバケツ トの送信元ァ ドレスおょぴ宛先 ァドレスに対応するグループが同一である場合に、 該 I Pバケツ トが同 一のグループに関する I Pパケッ トであると判定する請求項 1 4に記載 の I Pバケツ ト中継装置。
PCT/JP2003/011623 2003-09-11 2003-09-11 パケット中継装置 WO2005027438A1 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
EP03818656A EP1667382A4 (en) 2003-09-11 2003-09-11 PACKET RELAY DEVICE
CNA038270587A CN1839592A (zh) 2003-09-11 2003-09-11 包中继装置
US10/571,577 US20070081530A1 (en) 2003-09-11 2003-09-11 Packet relay apparatus
PCT/JP2003/011623 WO2005027438A1 (ja) 2003-09-11 2003-09-11 パケット中継装置
JP2005508916A JPWO2005027438A1 (ja) 2003-09-11 2003-09-11 パケット中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2003/011623 WO2005027438A1 (ja) 2003-09-11 2003-09-11 パケット中継装置

Publications (1)

Publication Number Publication Date
WO2005027438A1 true WO2005027438A1 (ja) 2005-03-24

Family

ID=34308211

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2003/011623 WO2005027438A1 (ja) 2003-09-11 2003-09-11 パケット中継装置

Country Status (5)

Country Link
US (1) US20070081530A1 (ja)
EP (1) EP1667382A4 (ja)
JP (1) JPWO2005027438A1 (ja)
CN (1) CN1839592A (ja)
WO (1) WO2005027438A1 (ja)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007049499A (ja) * 2005-08-10 2007-02-22 Fractalist Inc 通信方法および装置
JP2007049498A (ja) * 2005-08-10 2007-02-22 Fractalist Inc 通信方法及び通信装置
JP2008092170A (ja) * 2006-09-29 2008-04-17 Fujitsu Ltd パケット中継装置
JP2009152973A (ja) * 2007-12-21 2009-07-09 Mitsubishi Electric Corp 中継通信システム
JP2010062933A (ja) * 2008-09-04 2010-03-18 Murata Machinery Ltd 中継サーバ、中継通信システム
JP2012156656A (ja) * 2011-01-24 2012-08-16 Fujitsu Ltd アドレス変換方法、アドレス変換代理応答方法、アドレス変換装置及びアドレス変換代理応答装置
JP2013502180A (ja) * 2009-08-13 2013-01-17 クゥアルコム・インコーポレイテッド ネットワークアドレスルックアップ中のロケーション判定
JP2013510506A (ja) * 2009-11-06 2013-03-21 マイクロソフト コーポレーション ネットワークを介する接続をセキュアにするためのオーバレイの利用方法及びシステム
JP2013115780A (ja) * 2011-11-30 2013-06-10 Murata Mach Ltd 中継サーバ及び中継通信システム
JP2013115777A (ja) * 2011-11-30 2013-06-10 Murata Mach Ltd 中継サーバ及び中継通信システム
JPWO2015111223A1 (ja) * 2014-01-27 2017-03-23 三菱電機株式会社 通信装置、列車ネットワークシステムおよびネットワーク設定方法
JP2017108469A (ja) * 2017-03-23 2017-06-15 エヌ・ティ・ティ・コミュニケーションズ株式会社 エッジノード装置、リソース制御方法、及びプログラム
JP2018042119A (ja) * 2016-09-08 2018-03-15 富士ゼロックス株式会社 情報処理装置及びプログラム
WO2018101452A1 (ja) * 2016-11-30 2018-06-07 株式会社Lte-X 通信方法および中継装置
JP2018125647A (ja) * 2017-01-31 2018-08-09 日本電信電話株式会社 仮想閉域網の形成システム及び方法並びにプログラム
JP2018142761A (ja) * 2017-02-24 2018-09-13 株式会社ソラコム 通信システム及び通信方法
JP2019033310A (ja) * 2017-08-04 2019-02-28 Necプラットフォームズ株式会社 ネットワーク装置、ネットワークシステム、ネットワーク接続方法及びネットワーク接続プログラム
CN109564554A (zh) * 2016-12-22 2019-04-02 三菱电机株式会社 中继装置、显示装置、连接信息发送方法、以及网络结构显示方法
JP2022016708A (ja) * 2017-02-24 2022-01-21 株式会社ソラコム 通信システム及び通信方法
CN115280818A (zh) * 2020-03-10 2022-11-01 Bsh家用电器有限公司 用于控制对电设备的访问的装置和方法

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1758649B (zh) * 2004-10-05 2010-04-28 华为技术有限公司 版本不同的网间互联协议网络互通的方法
US20060140190A1 (en) * 2004-12-23 2006-06-29 Alcatel Method and apparatus for configuring a communication path
US7930346B2 (en) * 2005-08-24 2011-04-19 Microsoft Corporation Security in peer to peer synchronization applications
US7539216B2 (en) * 2005-11-16 2009-05-26 Cable Television Laboratories, Inc. Method and system of determining last hop device addresses
JP4580865B2 (ja) * 2005-11-30 2010-11-17 株式会社東芝 電話システム及びこの電話システムのチャネル捕捉方法
US20070233844A1 (en) * 2006-03-29 2007-10-04 Murata Kikai Kabushiki Kaisha Relay device and communication system
US20090059848A1 (en) * 2006-07-14 2009-03-05 Amit Khetawat Method and System for Supporting Large Number of Data Paths in an Integrated Communication System
JP4222397B2 (ja) 2006-09-12 2009-02-12 村田機械株式会社 中継サーバ
US8249081B2 (en) * 2006-09-29 2012-08-21 Array Networks, Inc. Dynamic virtual private network (VPN) resource provisioning using a dynamic host configuration protocol (DHCP) server, a domain name system (DNS) and/or static IP assignment
DE602007012475D1 (de) * 2006-10-11 2011-03-24 Murata Machinery Ltd Relaisserver
TW200822633A (en) * 2006-11-03 2008-05-16 Hon Hai Prec Ind Co Ltd Network device and packet forwarding method thereof
US7852861B2 (en) * 2006-12-14 2010-12-14 Array Networks, Inc. Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method
US7840701B2 (en) * 2007-02-21 2010-11-23 Array Networks, Inc. Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method
US8667095B2 (en) * 2007-11-09 2014-03-04 Cisco Technology, Inc. Local auto-configuration of network devices connected to multipoint virtual connections
US8953486B2 (en) * 2007-11-09 2015-02-10 Cisco Technology, Inc. Global auto-configuration of network devices connected to multipoint virtual connections
KR101499551B1 (ko) * 2008-03-31 2015-03-18 삼성전자주식회사 원격 접속을 고려하여 네트워크 주소 충돌을 해결하는 UPnP 장치 및 그 방법
EP2314019A4 (en) * 2008-07-31 2011-09-07 Juma Technology Corp METHOD FOR RESOLVING ADDRESS CONFLICTS BETWEEN DISPARATE NETWORKS IN A NETWORK MANAGEMENT SYSTEM
US9386097B2 (en) * 2010-04-23 2016-07-05 Cisco Technology, Inc. Using values represented as internet protocol (IP) addresses to access resources in a non-internet protocol address space
US9716672B2 (en) 2010-05-28 2017-07-25 Brocade Communications Systems, Inc. Distributed configuration management for virtual cluster switching
US9270486B2 (en) 2010-06-07 2016-02-23 Brocade Communications Systems, Inc. Name services for virtual cluster switching
US8867552B2 (en) 2010-05-03 2014-10-21 Brocade Communications Systems, Inc. Virtual cluster switching
US9769016B2 (en) 2010-06-07 2017-09-19 Brocade Communications Systems, Inc. Advanced link tracking for virtual cluster switching
US9608833B2 (en) 2010-06-08 2017-03-28 Brocade Communications Systems, Inc. Supporting multiple multicast trees in trill networks
US9628293B2 (en) 2010-06-08 2017-04-18 Brocade Communications Systems, Inc. Network layer multicasting in trill networks
US9806906B2 (en) 2010-06-08 2017-10-31 Brocade Communications Systems, Inc. Flooding packets on a per-virtual-network basis
US9807031B2 (en) 2010-07-16 2017-10-31 Brocade Communications Systems, Inc. System and method for network configuration
US9143480B2 (en) * 2011-01-10 2015-09-22 Secure Global Solutions, Llc Encrypted VPN connection
US9736085B2 (en) 2011-08-29 2017-08-15 Brocade Communications Systems, Inc. End-to end lossless Ethernet in Ethernet fabric
US9699117B2 (en) 2011-11-08 2017-07-04 Brocade Communications Systems, Inc. Integrated fibre channel support in an ethernet fabric switch
US9450870B2 (en) 2011-11-10 2016-09-20 Brocade Communications Systems, Inc. System and method for flow management in software-defined networks
US9742693B2 (en) 2012-02-27 2017-08-22 Brocade Communications Systems, Inc. Dynamic service insertion in a fabric switch
US9154416B2 (en) 2012-03-22 2015-10-06 Brocade Communications Systems, Inc. Overlay tunnel in a fabric switch
US9020888B1 (en) 2012-04-04 2015-04-28 Nectar Services Corp. Data replicating systems and data replication methods
US10277464B2 (en) 2012-05-22 2019-04-30 Arris Enterprises Llc Client auto-configuration in a multi-switch link aggregation
WO2013177289A1 (en) * 2012-05-23 2013-11-28 Brocade Communications Systems, Inc. Layer-3 overlay gateways
EP2863665B1 (en) * 2012-06-19 2020-12-09 LG Electronics Inc. Location update method for terminal supporting multiple radio access technologies
US9008095B2 (en) * 2012-10-02 2015-04-14 Cisco Technology, Inc. System and method for hardware-based learning of internet protocol addresses in a network environment
US9246998B2 (en) * 2012-10-16 2016-01-26 Microsoft Technology Licensing, Llc Load balancer bypass
US8948181B2 (en) 2012-10-23 2015-02-03 Cisco Technology, Inc. System and method for optimizing next-hop table space in a dual-homed network environment
US9401872B2 (en) 2012-11-16 2016-07-26 Brocade Communications Systems, Inc. Virtual link aggregations across multiple fabric switches
US9253140B2 (en) 2012-11-20 2016-02-02 Cisco Technology, Inc. System and method for optimizing within subnet communication in a network environment
US9413691B2 (en) 2013-01-11 2016-08-09 Brocade Communications Systems, Inc. MAC address synchronization in a fabric switch
US9548926B2 (en) 2013-01-11 2017-01-17 Brocade Communications Systems, Inc. Multicast traffic load balancing over virtual link aggregation
US9565099B2 (en) 2013-03-01 2017-02-07 Brocade Communications Systems, Inc. Spanning tree in fabric switches
US9401818B2 (en) 2013-03-15 2016-07-26 Brocade Communications Systems, Inc. Scalable gateways for a fabric switch
US9912612B2 (en) 2013-10-28 2018-03-06 Brocade Communications Systems LLC Extended ethernet fabric switches
JP2015095698A (ja) * 2013-11-11 2015-05-18 セイコーエプソン株式会社 通信制御サーバーおよびサービス提供システム
KR102013862B1 (ko) * 2014-01-13 2019-08-23 한국전자통신연구원 네트워크 연속성 보장 방법 및 장치
US9548873B2 (en) 2014-02-10 2017-01-17 Brocade Communications Systems, Inc. Virtual extensible LAN tunnel keepalives
US10581758B2 (en) 2014-03-19 2020-03-03 Avago Technologies International Sales Pte. Limited Distributed hot standby links for vLAG
US10476698B2 (en) 2014-03-20 2019-11-12 Avago Technologies International Sales Pte. Limited Redundent virtual link aggregation group
JP6368127B2 (ja) * 2014-04-09 2018-08-01 キヤノン株式会社 通信装置、制御方法、及びプログラム
US10063473B2 (en) 2014-04-30 2018-08-28 Brocade Communications Systems LLC Method and system for facilitating switch virtualization in a network of interconnected switches
US9800471B2 (en) 2014-05-13 2017-10-24 Brocade Communications Systems, Inc. Network extension groups of global VLANs in a fabric switch
US10616108B2 (en) 2014-07-29 2020-04-07 Avago Technologies International Sales Pte. Limited Scalable MAC address virtualization
US9729580B2 (en) 2014-07-30 2017-08-08 Tempered Networks, Inc. Performing actions via devices that establish a secure, private network
US9807007B2 (en) 2014-08-11 2017-10-31 Brocade Communications Systems, Inc. Progressive MAC address learning
US9699029B2 (en) 2014-10-10 2017-07-04 Brocade Communications Systems, Inc. Distributed configuration management in a switch group
CN104243632A (zh) * 2014-10-13 2014-12-24 三星电子(中国)研发中心 使非ip设备接入虚拟ip网络的方法和系统
US9628407B2 (en) 2014-12-31 2017-04-18 Brocade Communications Systems, Inc. Multiple software versions in a switch group
US9626255B2 (en) 2014-12-31 2017-04-18 Brocade Communications Systems, Inc. Online restoration of a switch snapshot
US10003552B2 (en) 2015-01-05 2018-06-19 Brocade Communications Systems, Llc. Distributed bidirectional forwarding detection protocol (D-BFD) for cluster of interconnected switches
US9942097B2 (en) 2015-01-05 2018-04-10 Brocade Communications Systems LLC Power management in a network of interconnected switches
US9667538B2 (en) * 2015-01-30 2017-05-30 Telefonaktiebolget L M Ericsson (Publ) Method and apparatus for connecting a gateway router to a set of scalable virtual IP network appliances in overlay networks
US9807005B2 (en) 2015-03-17 2017-10-31 Brocade Communications Systems, Inc. Multi-fabric manager
US10038592B2 (en) 2015-03-17 2018-07-31 Brocade Communications Systems LLC Identifier assignment to a new switch in a switch group
JP6378121B2 (ja) * 2015-03-20 2018-08-22 株式会社Nttドコモ ゲートウェイ装置及び通信方法
US10579406B2 (en) 2015-04-08 2020-03-03 Avago Technologies International Sales Pte. Limited Dynamic orchestration of overlay tunnels
US10439929B2 (en) 2015-07-31 2019-10-08 Avago Technologies International Sales Pte. Limited Graceful recovery of a multicast-enabled switch
US10171303B2 (en) 2015-09-16 2019-01-01 Avago Technologies International Sales Pte. Limited IP-based interconnection of switches with a logical chassis
US9912614B2 (en) 2015-12-07 2018-03-06 Brocade Communications Systems LLC Interconnection of switches based on hierarchical overlay tunneling
WO2017111404A1 (ko) * 2015-12-23 2017-06-29 주식회사 케이티 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템
KR101821794B1 (ko) * 2015-12-23 2018-03-08 주식회사 케이티 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템
US9729581B1 (en) 2016-07-01 2017-08-08 Tempered Networks, Inc. Horizontal switch scalability via load balancing
US10237090B2 (en) 2016-10-28 2019-03-19 Avago Technologies International Sales Pte. Limited Rule-based network identifier mapping
US11218485B1 (en) * 2017-12-12 2022-01-04 Berryville Holdings, LLC Systems and methods for providing transparent simultaneous access to multiple secure enclaves
US10069726B1 (en) 2018-03-16 2018-09-04 Tempered Networks, Inc. Overlay network identity-based relay
US10116539B1 (en) 2018-05-23 2018-10-30 Tempered Networks, Inc. Multi-link network gateway with monitoring and dynamic failover
US10158545B1 (en) 2018-05-31 2018-12-18 Tempered Networks, Inc. Monitoring overlay networks
WO2020061853A1 (en) * 2018-09-26 2020-04-02 Siemens Aktiengesellschaft Web-architecture based on client-controlled cap configuration
US10911418B1 (en) 2020-06-26 2021-02-02 Tempered Networks, Inc. Port level policy isolation in overlay networks
US11070594B1 (en) 2020-10-16 2021-07-20 Tempered Networks, Inc. Applying overlay network policy based on users
US10999154B1 (en) 2020-10-23 2021-05-04 Tempered Networks, Inc. Relay node management for overlay networks
US11683286B2 (en) * 2021-11-18 2023-06-20 Cisco Technology, Inc. Anonymizing server-side addresses
US11601395B1 (en) * 2021-12-22 2023-03-07 Uab 360 It Updating parameters in a mesh network
US11799830B2 (en) 2021-12-29 2023-10-24 Uab 360 It Access control in a mesh network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10243021A (ja) * 1997-02-21 1998-09-11 Nippon Telegr & Teleph Corp <Ntt> 相手選択型アドレス解決方法及びその装置
JPH11331254A (ja) * 1998-05-18 1999-11-30 Nippon Telegr & Teleph Corp <Ntt> グループ通信装置
JP2000059357A (ja) * 1998-08-07 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> 閉域グループ通信システム,管理サーバ装置および通信端末,ならびにそれらのプログラム記憶媒体
JP2001333099A (ja) * 2000-05-23 2001-11-30 Mitsubishi Electric Corp 閉域通信管理装置、閉域通信システムおよびその管理方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5550816A (en) * 1994-12-29 1996-08-27 Storage Technology Corporation Method and apparatus for virtual switching
US6167052A (en) * 1998-04-27 2000-12-26 Vpnx.Com, Inc. Establishing connectivity in networks
US20020186698A1 (en) * 2001-06-12 2002-12-12 Glen Ceniza System to map remote lan hosts to local IP addresses
KR100485801B1 (ko) * 2002-03-07 2005-04-28 삼성전자주식회사 서로 다른 사설망에 존재하는 네트워크장치들 간의직접접속을 제공하는 망접속장치 및 방법
KR100474485B1 (ko) * 2002-03-11 2005-03-09 삼성전자주식회사 홈네트워크내의 독립망기기 제어장치 및 방법
WO2004107683A1 (ja) * 2003-05-29 2004-12-09 Nec Corporation パケット中継装置及びパケット中継方法並びにプログラム
US7483374B2 (en) * 2003-08-05 2009-01-27 Scalent Systems, Inc. Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10243021A (ja) * 1997-02-21 1998-09-11 Nippon Telegr & Teleph Corp <Ntt> 相手選択型アドレス解決方法及びその装置
JPH11331254A (ja) * 1998-05-18 1999-11-30 Nippon Telegr & Teleph Corp <Ntt> グループ通信装置
JP2000059357A (ja) * 1998-08-07 2000-02-25 Nippon Telegr & Teleph Corp <Ntt> 閉域グループ通信システム,管理サーバ装置および通信端末,ならびにそれらのプログラム記憶媒体
JP2001333099A (ja) * 2000-05-23 2001-11-30 Mitsubishi Electric Corp 閉域通信管理装置、閉域通信システムおよびその管理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP1667382A4 *

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007049499A (ja) * 2005-08-10 2007-02-22 Fractalist Inc 通信方法および装置
JP2007049498A (ja) * 2005-08-10 2007-02-22 Fractalist Inc 通信方法及び通信装置
JP4712481B2 (ja) * 2005-08-10 2011-06-29 パナソニックシステムネットワークス株式会社 通信方法および装置
JP2008092170A (ja) * 2006-09-29 2008-04-17 Fujitsu Ltd パケット中継装置
JP4629639B2 (ja) * 2006-09-29 2011-02-09 富士通株式会社 パケット中継装置
JP2009152973A (ja) * 2007-12-21 2009-07-09 Mitsubishi Electric Corp 中継通信システム
JP2010062933A (ja) * 2008-09-04 2010-03-18 Murata Machinery Ltd 中継サーバ、中継通信システム
JP2013502180A (ja) * 2009-08-13 2013-01-17 クゥアルコム・インコーポレイテッド ネットワークアドレスルックアップ中のロケーション判定
JP2013510506A (ja) * 2009-11-06 2013-03-21 マイクロソフト コーポレーション ネットワークを介する接続をセキュアにするためのオーバレイの利用方法及びシステム
JP2012156656A (ja) * 2011-01-24 2012-08-16 Fujitsu Ltd アドレス変換方法、アドレス変換代理応答方法、アドレス変換装置及びアドレス変換代理応答装置
JP2013115780A (ja) * 2011-11-30 2013-06-10 Murata Mach Ltd 中継サーバ及び中継通信システム
JP2013115777A (ja) * 2011-11-30 2013-06-10 Murata Mach Ltd 中継サーバ及び中継通信システム
JPWO2015111223A1 (ja) * 2014-01-27 2017-03-23 三菱電機株式会社 通信装置、列車ネットワークシステムおよびネットワーク設定方法
JP2018042119A (ja) * 2016-09-08 2018-03-15 富士ゼロックス株式会社 情報処理装置及びプログラム
WO2018101452A1 (ja) * 2016-11-30 2018-06-07 株式会社Lte-X 通信方法および中継装置
CN109564554A (zh) * 2016-12-22 2019-04-02 三菱电机株式会社 中继装置、显示装置、连接信息发送方法、以及网络结构显示方法
JP2018125647A (ja) * 2017-01-31 2018-08-09 日本電信電話株式会社 仮想閉域網の形成システム及び方法並びにプログラム
JP2018142761A (ja) * 2017-02-24 2018-09-13 株式会社ソラコム 通信システム及び通信方法
JP2022016708A (ja) * 2017-02-24 2022-01-21 株式会社ソラコム 通信システム及び通信方法
JP7321235B2 (ja) 2017-02-24 2023-08-04 株式会社ソラコム 通信システム及び通信方法
JP2017108469A (ja) * 2017-03-23 2017-06-15 エヌ・ティ・ティ・コミュニケーションズ株式会社 エッジノード装置、リソース制御方法、及びプログラム
JP2019033310A (ja) * 2017-08-04 2019-02-28 Necプラットフォームズ株式会社 ネットワーク装置、ネットワークシステム、ネットワーク接続方法及びネットワーク接続プログラム
CN115280818A (zh) * 2020-03-10 2022-11-01 Bsh家用电器有限公司 用于控制对电设备的访问的装置和方法

Also Published As

Publication number Publication date
JPWO2005027438A1 (ja) 2006-11-24
EP1667382A4 (en) 2006-10-04
US20070081530A1 (en) 2007-04-12
CN1839592A (zh) 2006-09-27
EP1667382A1 (en) 2006-06-07

Similar Documents

Publication Publication Date Title
WO2005027438A1 (ja) パケット中継装置
JP3965160B2 (ja) 相異なる私設網に位置したネットワーク装置間の通信を支援するネットワーク接続装置
US7796616B2 (en) Apparatus and method for offering connections between network devices located in different home networks
US8077732B2 (en) Techniques for inserting internet protocol services in a broadband access network
KR101399002B1 (ko) 가상 사설 네트워크의 실현 방법 및 시스템
US8295285B2 (en) Method and apparatus for communication of data packets between local networks
JP4303600B2 (ja) 異なるアドレス領域を有するネットワーク間の接続設定機構
JP5368459B2 (ja) ユーザ装置における三重動作サービスのサポート
JP2003087336A (ja) アドレス変換方法
JP2003273935A (ja) 相異なるプライベートネットワークに存在するネットワーク機器間の直接接続を提供するネットワーク接続装置及びその方法
KR101901341B1 (ko) 사용자 장치의 이동성을 지원하는 네트워크 접속 방법 및 장치
JP2004120534A (ja) ルータと中継装置、フォワーディング方法
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
KR101907933B1 (ko) 사용자 맞춤형 가상 네트워크 및 그것의 구축 방법
WO2020240046A1 (en) Transparent multiplexing of ip endpoints
JP4925130B2 (ja) 通信制御方法およびシステム
JP2009010606A (ja) トンネル接続システム、トンネル管理サーバ、トンネル接続装置、及びトンネル接続方法
JP3656134B2 (ja) Vpn選択接続ゲートウェイおよびそれによる通信方法
JP5241665B2 (ja) 通信装置、通信システムおよび通信方法
KR100552475B1 (ko) 서로 다른 사설망에 위치한 네트워크 장치들 사이의통신을 지원하는 망접속장치
JP4615435B2 (ja) ネットワーク中継装置
KR20180007898A (ko) 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법
JP3912269B2 (ja) ゲートウェイ装置、情報機器装置及び通信制御方法
JP3808471B2 (ja) ネットワーク及びルータ装置並びにそれらに用いるアドレス通知方法
KR20040007389A (ko) 아이피 버전 6 주소 사용 시스템 및 방법

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 03827058.7

Country of ref document: CN

AK Designated states

Kind code of ref document: A1

Designated state(s): CN JP

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FR GB GR HU IE IT LU MC NL PT RO SI SK TR

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2005508916

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 2003818656

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2003818656

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2007081530

Country of ref document: US

Ref document number: 10571577

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 10571577

Country of ref document: US