WO2007066752A1

WO2007066752A1 - 中継装置及びクライアント機器とサーバとの接続方法

Info

Publication number: WO2007066752A1
Application number: PCT/JP2006/324527
Authority: WO
Inventors: Jun Kitamura; Shinpei Yashima; Atsuki Ishida
Original assignee: Freebit Co., Ltd.
Priority date: 2005-12-08
Filing date: 2006-12-08
Publication date: 2007-06-14
Also published as: ES2544748T3; JP4038221B2; HK1123649A1; CN101326782A; US8774183B2; EP1971092A1; EP1971092A4; JP2007159012A; CN101326782B; KR20080080140A; EP1971092B1; KR100977176B1; US20100054250A1

Abstract

【課題】簡易な手段で家庭内ネットワークとインターネットを介した仮想ネットワーク通信を可能にする。【手段】中継装置４を、ネットワーク・プロトコルスタック１３とネットワークデバイス１０、１１との間に設けられ、自己宛、ＶＬＡＮ、ブロードキャストの要求パケット以外はブリッジするブリッジモジュール１２、サーバのグローバルアドレスを記憶するサーバアドレス記憶部１７、このグローバルアドレスに基づきサーバとの間にトンネリング接続を確立するトンネリングセッション確立部２０、発信元アドレスをカプセリングしトンネリング接続を介してサーバへ送出するカプセリング処理部２１、及び自己宛パケットをディカプセリングし、このパケットに含まれるあて先仮想ネットワークアドレスをクライアント機器のＬＡＮ上のプライベートＩＰアドレスに変換して前記ブリッジモジュールを介してＬＡＮ上に流す仮想ＩＰアドレス・プライベートＩＰアドレス変換部２２で構成した。

Description

明細書

中継装置及びクライアント機器とサーバとの接続方法

技術分野

[0001] この発明は、 IPv4 (Internet Protocol version 4)が普及した現状のインフラ環境の下で、比較的簡易な手段により異なる LANに属する端末同士を、インターネットを通してかつセキュリティの高い方法で双方向の通信を可能とする、中継装置及びクライアント機器とサーバとの接続方法に関するものである。

背景技術

[0002] 一般に、インターネットを中心とした公衆ネットワークを通したサービス提供環境においては、全ての情報の価値は、クライアント側ではなぐサーバ側に集まるようになつている。

[0003] すなわち、各クライアントである端末機器は、基本的にインターネット上の情報を閲覧するための単なるビューヮ一にしか過ぎない。また、各クライアントはインターネット側に様々な情報の要求を発しており、インターネット側ではそのような各クライアントの情報を得ることができる。すなわち、全ての情報は、インターネット側に集められ、ィンターネット側からは定型的な情報が一方的に与えられるに過ぎなレ、。このため、クライアント端末機を製造しているメーカーは付加価値が生み出しづらい状況となっている。

[0004] このような状況を変えるためには、アクセス方向を逆行させ、サーバとクライアントの立場を逆転させることが必要である。すなわち、インターネットに接続される家庭内ネットワークがある場合、インターネット側から家庭内ネットワークへのアクセスが開始され、家庭内ネットワーク側からインターネット側へサービスが提供されるような状態を作り出す必要がある。

[0005] このためには、ホームネットワークに接続された機器のそれぞれ力インターネット側からユニークに特定できること、家庭内のルーティングの問題、セキュリティの問題を解決する必要がある。このような課題に対応し、ひとつの解決を見出せる技術として、 IPv6 (Internet Protocol version 6:第 6世代インターネットプロトコノレ）がある。 [0006] しかしながら、現在の日本のキャリアやインターネットサービスプロバイダを取り巻く環境を鑑みると、 IPv6の普及にはかなりの時間が力かるものと考えられる。例えば、現在使用している IPv4の機材償却に最低 2年〜 3年は必要であり、テスト的なサービスが行われてレ、るのみである。

[0007] 今すぐにメーカーが IPv6対応ネットワークを実現するには、 ISPレベルのサービスにまで手を出すしかなレ、が、非常にコストがかかることであり、多くのメーカーにとって現実的ではない。家庭内ネットワークの事情が様々で非常に大きく異なることや、キヤリアや ISPによって接続の仕組みが大きく異なることもあり、これらの差を吸収して画一的なアプローチで IPv6環境を実現するための仕組みが必要である。

[0008] この出願に係る発明の新規性や進歩性を否定するものではないが、上述した事情に関連する先行技術文献として以下のものがある。

特許文献 1：特開 2001— 274845号公報

[0009] 従来の IPv4環境下で、 IPv6ネットワークで実現されるような家庭内ネットワークとィンターネットとの間の双方向のアクセスを実現しょうとする場合、以下のような問題がある。

[0010] 例えば、現在の IPv4環境下においては、自宅にネットワーク家電を設置する場合、自宅ネットワークを通して、インターネットに接続されたルータに繋げて使用する。このため、ネットワーク家電の IPアドレスは、プライベートアドレスになってしまい、自宅ネットワーク以外からはアクセスすることはできない。

[0011] そこで、従来は、自宅のネットワーク家電にアクセスするために、ネットワーク家電をコントロールする機能を有する専用のルータを使用したり、ネットワーク家電をコント口ールするための情報を一度インターネット上に設置されたデータセンターに蓄積し、ネットワーク家電からポーリングを行って取りに行く必要があった。

[0012] しかし、専用のルータを使用した場合、汎用性が低くなりコストも嵩む。ポーリングを行ってコントロール情報を取りに行く場合、リアルタイムでのアクセスは行えず、ネットワークやサーバへの負荷も高くなる。

[0013] このような課題を解決するため、本出願人が 2005年 5月 20日に提出した国際出願 PCT/JP2005/9280号に開示されたネットワーク接続方法及び中継装置がある（ PCT/JP2005/9280号は、この言及によりこの明細書に組み込まれる）。この発明によれば、プライベートネットワーク内のコンピュータシステムとインターネット上の In terServerとの間にトンネリング接続のセッションを確立することにより比較的簡易な手段により家庭内ネットワークとインターネット間の双方向の通信が可能になる。

[0014] し力、しながら、この出願に開示された中継装置は主にルータとして動作するもの若しくは各クライアント機器に仮想デバイスドライバ及びプログラムの形でインストールされるものであったため、以下のような改善の余地がある。すなわち、ルータとして動作するようなものでなぐかつ、仮想デバイスドライバ等としてインストールできない機器、例えばプリンタ、カメラ、スキャナなどが接続されたネットワーク上でも上記出願と同様の接続が確立できる手段を提供することである。

[0015] この発明はこのような事情に鑑みてなされたもので、仮想デバイスドライバがインストールできない機器が接続されたプライベートネットワーク環境において、ルータを取り替える必要がなぐ比較的簡易な手段により家庭内ネットワークとインターネットを介した仮想ネットワーク通信を可能とするインターネット接続システムを提供することを目的とするものである。

発明の開示

課題を解決するための手段

[0016] 上記目的を達成するため、この発明の主要な観点によれば、 LAN上のクライアント機器を、インターネット上のサーバを通した仮想ネットワークに接続するために、前記 LAN上の前記クライアント機器の上流側に設置される中継装置であって、この中継装置は、ブリッジモジュールを有し、このブリッジモジュールは、ローカル通信プロトコノレスタックとネットワークデバイスとの間に設けられ、自己宛、ブロードキャスト及び仮想ネットワークのアドレス宛の要求パケット以外のパケットはローカル通信プロトコルスタックに渡さずに単に前記 LANの上流側と下流側とをブリッジするものであり、この中継装置は、さらに、前記インターネット上のサーバのグローバルアドレスを記憶するサーバアドレス記憶部と、前記サーバのグローバルアドレスに基づき、この中継装置とサーバとの間にトンネリング接続を確立するためのトンネリング接続確立部と、前記ブリッジモジュールにより前記クライアント機器からの上記仮想ネットワーク上の仮想ネットワークアドレスを含む要求パケットを捕捉し、発信元アドレスとして前記クライアント機器の仮想ネットワークアドレスを付したものをカプセリングし、前記トンネリング接続を介して前記サーバへ送出するカプセリング処理部と、前記ローカル通信プロトコルスタックを通して受け取ったトンネリング接続における自己宛パケットをディカプセリングすると共に、このディカプセリングしたパケットに含まれる宛先仮想ネットワークアドレスを前記クライアント機器の LAN上のプライベート IPアドレスに変換し、このバケツトをブリッジモジュールにより当該クライアント機器に送出するディカプセリング処理部とを有することを特徴とする中継装置が提供される。

[0017] このような構成によれば、 LAN上のクライアント機器と、他の特定の LAN上にある他のクライアント機器を、前記サーバを通した仮想ネットワークにより双方向通信可能に接続することができる。この中継装置によれば、上記クライアント機器やノレ一タを含む LANの構成要素はなんら変更することなぐこの中継装置を設置するだけで上記仮想ネットワークによる通信が可能になる。

[0018] また、この中継装置は、仮想ネットワークアドレスを含むパケットのみを捕捉し、その他のパケット（ブロードキャストも含む）は単にブリッジ（透過）させるのみであるので、この中継装置を挟んで位置するネットワーク下流側機器と上流側機器は同じ LANにある機器としてシームレスに通信することができるし、下流側機器は上流側にあるルータを介してインターネットに接続することもできる。

[0019] このような特徴を備えているため仮想ネットワークドライバをインストールできないプリンタゃ Webカメラなどの機器を、上記仮想ネットワークドライバをインストールすることなく仮想ネットワークに参加させることができ、かつ、今までの LAN環境を全く損なわないというものである。すなわち、この中継装置は、 LANネットワークの配線の一本のケーブルをこの中継装置に置き換えるだけで動作するものである。

好ましい 1の実施形態によれば、前記中継装置は、インターネット上に設けられたトンネル仲介サーバに接続し、この仲介サーバから前記サーバのグローバルアドレスを受け取るものである。

また、 1の実施形態によれば、前記中継装置は、クライアント機器に割り当てる仮想ネットワークアドレスを前記サーバから受け取り、各クライアント機器の LAN上のプラィペート IPアドレスとこのクライアントに割り当てた仮想ネットワークアドレスを関連付けて記憶するものである。ここで、この中継装置は、前記 LAN下流側のネットワークデバイスに到達する全てのパケットを監視することで前記クライアント機器のプライべ一ト IPアドレス及び MACアドレスを検出する下流側クライアント機器検出部を有することが好ましい。また、この下流側クライアント機器検出部は、ブロードキャストの応答要求を定期的若しくは任意に LANの下流側に送信し、前記クライアント機器の応答を促す機能を有することがさらに好ましい。

また、別の好ましい 1の実施形態によれば、前記クライアント機器は、ネットワーク対応の家電であるが、ユーザが仮想ネットワークドライバ等をインストールできない家電を含むものである。また、前記クライアント機器は、前記中継装置とは通信可能である力自らはインターネットに接続することができない周辺装置を含むものであっても良い。

さらに、この発明の他の主要な観点によれば、 LAN上のクライアント機器と、このし AN上の前記クライアント機器の上流側に接続された中継装置と、前記クライアント機器がインターネットを介して接続されるサーバと、を有するインターネット接続環境において実行される、前記クライアント機器とサーバとの接続方法であって、

(a)前記中継装置が前記サーバのグローバル IPアドレスを受け取り格納する工程と、

(b)前記中継装置が、前記で通知されたグローバル IPアドレスを使用して前記中継装置と前記サーバとの間で、トンネリング接続による TCP/IPセッションを確立する工程と、

(c)前記中継装置が、前記クライアント機器に仮想ネットワーク IPアドレスを割り当て、前記サーバから前記トンネリング接続を通して受け取った仮想ネットワーク IPアドレス宛のパケットを前記クライアント機器の LAN上のプライベート IPアドレス宛に書き換えて前記 LANの下流側に送出する工程と、

(d)前記中継装置が、前記クライアント機器からの上記仮想ネットワーク IPアドレスを含むパケットを捕獲し、前記トンネリング接続を通して前記サーバへ送出する工程とを有することを特徴とする接続方法が提供される。

この場合、前記中継装置は、前記クライアント機器の属する LAN上に設置されるものであり、この方法は、この中継装置宛、ブロードキャスト及び仮想ネットワークのアドレス宛の要求パケット以外のパケットは前記（c)、 (d)工程を行なわずに LAN上で単にブリッジするものである。

また、好ましい 1の実施形態によれば、この方法は、さらに、前記サーバが前記中継装置に前記クライアント機器用の仮想ネットワーク IPアドレスを通知する工程を有する。さらに、好ましい 1の実施形態によれば、この方法は、前記中継装置が、インターネット上に設けられたトンネル仲介サーバに接続し、この仲介サーバから前記サーバのグローバルアドレスを受け取る工程をさらに有するものである。

また、更なる他の好ましい 1の実施形態によれば、この方法は、前記中継装置が、前記クライアント機器に割り当てる仮想ネットワークアドレスを前記サーバから受け取り、各クライアント機器の LAN上のプライベート IPアドレスとこのクライアントに割り当てた仮想ネットワークアドレスを関連付けて記憶する工程をさらに有するものである。この場合、前記中継装置が、前記 LAN下流側のネットワークデバイスに到達する全てのパケットを監視することで前記クライアント機器のプライベート IPアドレス及び MA Cアドレスを検出する工程をさらに有し、この工程では、前記中継装置が、ブロードキャストの応答要求を定期的若しくは任意に LANの下流側に送信し、前記クライアント機器の応答を促す機能を有することが好ましレ、。

なお、この発明の更なる他の特徴と顕著な効果は次の発明を実施するための最良の形態の項に記載された実施形態及び図面を参照することによって当業者にとって理解される。

発明を実施するための最良の形態

[0020] 以下、この発明の一実施形態を図面を参照して説明する。

[0021] 図 1は、この実施形態に係るネットワーク構成の例を示したものである。

[0022] 図中 1は、 IPv4 (第 1の通信プロトコル)で通信を行う各種クライアント機器 (PC、力メラ、プリンタ、スキャナ）が接続されてなる LANである。

[0023] この LAN1は、ゲートウェイとなるルータ 2と、このルータ 2に接続された上流側ィーサネット（登録商標） 3と、この上流側イーサネット（登録商標） 3の下流側に接続された中継装置 4と、この中継装置 4の下流側に接続された下流側イーサネット（登録商標） 5とからなる。そして、下流側イーサネット（登録商標） 5に、仮想ネットワークに接続したい各種クライアント機器 6a〜6dが接続されている。このようなクライアント機器としては、それぞれネットワーク接続に対応したプリンタ 6a、カメラ 6b、スキャナ 6cがある。また、上記 PCT出願に開示したような仮想デバイスをインストールしない PC6dもこれに含まれる。

[0024] すなわち、各クライアント機器 6a〜6dには、仮想ネットワーク接続をするための機能はなんらインストールされていないものである。

[0025] したがって、この LAN1は、前記中継装置 4を除けば、職場や家庭に見られるような通常の構成であり、ただ単に、前記中継装置 4が前記クライアント機器 6a〜6dが接続されたイーサネット（登録商標） 5の上流側、すなわちルータ 2との間に位置するように導入されてレ、るだけである。

[0026] したがって、各クライアント機器 6a〜6dは、前記ルータ 2及び通信キャリア/ ISP (ィンターネットサービスプロバイダ：図示せず）を介してインターネット 7に接続することができ、このインターネット 7上の各種コンピュータと IPv4を用いて通信が行なわれるようになつている。

[0027] そして、このインターネット 7上には、前記仮想ネットワーク上の通信を制御するための ELサーバ 8 (この発明の「サーバ」、 ELは発明者らが考案した識別符号、 PCT出願の InterServerに対応するもので同様の構成を有するもの）が接続されている。この ELサーバ 8は、後で詳しく説明するように、この LAN1上の前記クライアント機器 6 a〜6dと、他の LAN9上のクライアント機器（図示せず）との間の仮想ネットワークを通した双方向通信、及びインターネット 7上からの前記クライアント機器 6a〜6dとの間の双方向通信すベてを仲介する機能を有するものである。

[0028] ここで、中継装置 4と ELサーバ 8は、同じメーカー若しくは統一された規格の下に製造されることが意図されており、予め連動するように設計されたものである。そして、中継装置 4には、後で説明するように、 ELサーバ 8から仮想ネットワーク接続用のプライベートァドレス/グローバルアドレスが付与され、 ISPやキャリアを問わず前記 ELサーバ 8にトンネリング接続による TCPZIPセッションが確立されて通信ができるようになっている。また、この中継装置 4は、前記 ELサーバ 8から割り当てられたクライアント機器用の仮想ネットワーク接続用アドレスを記憶するようになっている。

[0029] なお、前記クライアント機器 6a〜6dのアドレスが常にユニークに生成できるのであれば、この中継装置 4によって生成されるようになってレ、ても構わなレ、。

[0030] また、前記クライアント機器 6a〜6dが自らはインターネットに接続できないビデオやテレビのような家電である場合には、前記中継装置 4とそのクライアント機器は所定の通信インタフェース（IEEE1394)を介して接続され、それぞれに仮想 IPアドレスを割り付けておけば良い。

[0031] 図 2は、中継装置 4を示す概略構成図である。

[0032] この中継装置 4は、この実施形態では、〇Sとしてリナックス（商品名、以下同じ）がィンストールされてなるものである。

[0033] 図中 10、 11は、パケットを送受信する通信インタフェースとしてのイーサネット（登録商標）ワークデバイスである。ここでは ethOが上流ネットワーク 3、 ethlが下流ネットワーク 5に接続されている。

[0034] また、図中 12は、 ELブリッジモジユーノレ（この発明のブリッジモジユーノレ）である。このブリッジモジュール 12は、リナツタスのカーネルに組み込まれるものであり、パケットを解釈し所定の場所に届けるネットワーク 'プロトコルスタック 13より先にパケットを受け取り、以下の動作を行う。

(1)イーサネット（登録商標）のパケットを ethOから受信した場合、

•パケットの形式が IPではない場合はそのままブリッジ (一点鎖線で示す経路を参照

)して ethlから送信する。

[0035] 'あて先の IPアドレスが自分（中継装置 4)と関係ないアドレスの場合、ブリッジして et hiから送信する。

[0036] 'あて先の IPアドレスが自分宛であればネットワーク 'プロトコルスタック 13にパケットを返す。

[0037] ·あて先のパケットがブロードキャストであれば、パケットを複製して、 ethlから送信するとともに、受け取ったパケットをネットワーク 'プロトコルスタック 13に返す。従ってこのブリッジモジュール 12はブロードキャストを通過させるとともに、自身もパケットを受け取る。 (2)イーサネット（登録商標）のパケットを ethlから受信した場合

•パケットの形式が IPでない場合はそのまま ethOから送信する。

[0038] ·あて先の IPアドレスが仮想、ネットワークのものであれば、そのようなパケットが来たことを上位層 15へ伝えパケットの内容を蓄える。

[0039] 'あて先の IPアドレスが自分宛であればネットワーク 'プロトコルスタック 13にパケットを返す。

[0040] ·あて先のパケットがブロードキャストであれば、パケットを複製して、 ethlから送信するとともに、受け取ったパケットをネットワーク 'プロトコルスタック 13に返す。従ってこのブリッジモジュール 12はブロードキャストを通過させるとともに、自身もパケットを受け取る。

(3)上位層 15からパケットを渡された場合は、内容を確認せず ethlから送信する。

(4)上位層 15から要求があった場合は、蓄えてあった仮想ネットワークアドレス向けのパケットを渡す。

(5) ethlから受信したパケットの IPアドレスと MACアドレスの対の一覧を持ち、上位層から要求があった場合は、その一覧を渡す。

[0041] そして、上位層 15には、プログラムもしくは記憶領域として、前記 ELサーバの IPv4 でのグローバルアドレスを記憶するサーバアドレス記憶部 17と、この中継装置 4に割り当てられた仮想ネットワーク上でのプライベートアドレス（仮想 IPアドレス）を記憶する中継装置アドレス記憶部 18と、仮想プライベートネットワークを構成するための、前記 ELサーバ 8から割当られたクライアント機器の仮想 IPアドレス（1若しくはそれ以上 )を記憶するクライアント機器用仮想 IPアドレス記憶部 19と、 ELサーバ 8のアドレスに基づいて ELサーバ 8との間でトンネリング接続を確立するトンネリングセッション (接続）確立部 20と、 IPv4ZlPv6でのパケットを IPv4でカプセリング/ディカプセリングして前記 ELサーバ 8との間でトンネリング送受信を行うためのカプセリング処理部 21 と、クライアント機器 6a〜6dの仮想 IPアドレスと LAN上のプライベート IPアドレスとを変換する仮想 IPアドレス 'プライベート IPアドレス変換部 22と、前記 LAN下流側のクライアント機器 6a〜6dのプライベート IPアドレス及び MACアドレスを検出するクライアント機器検出部 23とを有するを有する。前記 ELサーバ 8との間で送受信されるパケットは、このアドレス変換部 22 を介して前記ブリッジモジュール 12/ネットワーク 'プロトコルスタック 13との間で受け渡される。

[0042] このような構成によれば、ブリッジモジュール 12はリナックスカーネルのネットワーク

'プロトコルスタックの間にデータの受信口と送信口を持つので、リナツタスのネットヮーク機能を使わずにパケットの送受信を行うことができる。

[0043] そして、 ethOと ethlとの間のパケットの転送はアドレスのみを判断基準として行われるので、もしパケットの中身が壊れていてもそのことには中継装置は一切関知しない。このため通常は、この中継装置 4は、通常ネットワークにとってケーブルと全く同じ機

[0044] また上位層 15からの送信要求されたパケットは中身を解釈せず送信するので、パケットの発信元アドレスが自分自身ではないパケットも自由に送信できる。ただし、ネットワーク'プロトコルスタック 13を通さないため、規格に則ったパケットを作成するのは全て上位層 15のアプリケーションの責任となる。

[0045] また、このブリッジモジュール 12は、 ethlで受信したパケットの IPアドレスと MACアドレスの一覧を保持しているため、下流側ネットワーク 5に繋がる機器 6a〜6dのァドレスを検知することができる。

[0046] 指定の条件に合致するパケットは蓄えて、そのパケットを受信したことを上位層 15 に伝える機能があるため、仮想ネットワーク向けのパケットを横取りすることで仮想ネットワークを構成することができる。この機能のため下流側に繋がっている機器は従来の VLANルータと異なり、機器の存在を知る必要が無く特別な設定を行わずに仮想ネットワークの構成要素となることができる。

[0047] また、ブロードキャストを通過させるため下流側機器と上流側機器は同じ LANにある機器としてシームレスに使用することができる。

[0048] そして、以上のような特徴を備えているため、仮想ネットワークドライバをインスト一ルできないプリンタやウェブカメラなどの機器を設定なしで仮想ネットワークに参加させること力 Sできるとともに、今までの LAN環境を全く損なわないという利点がある。

[0049] なお、ここで、上記「トンネリング」とは、 IPv4や IPv6のネットワーク（ノレータ）同士を I Pv4ネットワークを介して接続するための技術であり、特に、ここでは、異なるネットヮークに属する機器同士を仮想ネットワーク (VPN：バーチャル 'プライベート 'ネットヮーク）で終端するためにトンネリングするものをいう。そして、この実施形態では、機器間で通信される IPv4パケットを IPv4でカプセリングしてやり取りする。

なお、上記では、 IPプロトコルのみブリッジするように記載されている力 ether上で動作する appletalk等の IPも素通しするように構成されてレ、る。

[0050] また、上記中継装置 4の前記各構成要素は、実際には例えば、コンピュータシステムに設けられたハードディスク等の RAM若しくは ROM等のメモリに確保された一定の領域及びそこにインストールされたコンピュータソフトウェアプログラム、これらのメモリを制御して前記プログラムを読み出して実行するための CPU、一時記憶装置その他入出力装置等の周辺機器から構成される。また、〇S等のプログラムは表示していないが、実際にはこの実施形態の各構成要素は〇Sと協働して動作する場合がある。

[0051] また、前記 ELサーバ 8は、負荷を分散するために互いに接続された複数のコンビュータシステムから構成されていることが好ましい。 1つの ELサーバ 8で複数の異なる仮想ネットワークに対応する場合が通常であると考えられるからである。

[0052] 次に、上記中継装置 4の各構成の詳細な構成及び機能を、図 3の通信例を参照して詳しく説明する。

[0053] 図 3は、中継装置 4が接続されている LAN1上のクライアント機器 6a〜6dと、他の L AN9にある他のクライアント機器 (これに限られないが）とが、前記 ELサーバ 8を介して通信を行う場合を示したものである。上記他の LAN9にも、当該 LAN1と同様の構成で中継装置が設けられているものとする。

[0054] まず、中継装置 4と ELサーバ 8との間でトンネリングセッションが確立される。

[0055] この場合、前記中継装置 4は、まず、通常のインターネット接続方法で、図に 25で示すトンネルブローカーに接続する。このトンネルブローカー 25は、アドレスデータべースからトンネル接続を確立する先の ELサーバ 8を選択し、前記中継装置 4にこの E Lサーバ 8の IPv4アドレスを通知する。このことで、前記中継装置 4は ELサーバ 8を識別可能になり、ユーザ認証を行った後、 ELサーバ 8から受け取った仮想 IPアドレスを用いてトンネリングセッションを確立し通信を行うことができる。

[0056] すなわち、前記中継装置 4が ELサーバ 8に接続すると接続確立のための認証が行われ、これに基づいて ELサーバ 8から中継装置 4に対して特定の仮想プライベートネットワーク用の仮想 IPアドレスの割り当てが行われる。また、このとき、 ELサーバ 8 からは、前記クライアント機器 6a〜6dのための数個の仮想 IPアドレスの害 ijり当ても行なわれ、このクライアント機器用仮想 IPアドレスはクライアント機器用仮想 IPアドレス記憶部 19に格納される。

また、前記アドレス変換部 22は、このクライアント機器用仮想 IPアドレスと、各クライアント機器に割り当てられたこの LAN1上の IPアドレスとの変換表（変換ルール）を保持する。この変換表は、この実施形態では、前記クライアント機器検出部 23が前記クライアント機器を検出することで自動的に作成されるようになっている。すなわち、前記中継装置のブリッジモジュールは、前記クライアント機器のブロードキャスト通信を含む下流側のパケットをすベて監視できるので、このクライアント機器検出部 23は、前記クライアント機器の LAN1上の IPアドレス及び MACアドレスを検出することができる。また、このクライアント機器検出部 23は、さらに、ブロードキャストの応答要求 (IC MP ECHO)を定期的若しくは任意に LANの下流側に送信し、前記クライアント機器の応答（ICMP REPLYパケット）を促すことで、確実に下流側のクライアント機器を検出する機能を有する。なお、このような自動検出を使用しない場合には、ユーザが手動で前記 LAN1の IPアドレスを入力し、かつ仮想アドレスとの割り当てを行って前記変換ノレールを生成できるようになつていても良い。また、この場合、前記割当てのみを自動で行なうようにしても良レ、し、自動/手動をユーザが選択できるように構成されていても良い。なお、各クライアント機器への LAN1上の IPアドレスは、前記ルータ 2 によって割り当てられたものである。

[0057] 図 3の符号 26で示す経路は、前記 ELサーバ 8のアドレス、中継装置 4に割当てられた仮想 IPアドレスに基づき、前記トンネリングセッション確立部 20により前記中継装置 4との間でトンネリング接続内の通信セッションを確立されている状態を示している。また、他の LAN9との間にも同様にトンネリング接続による通信セッションが確立されている（経路 27)。そして、この LAN1と LAN9とは、同一の仮想ネットワーク（VLA N)に属するものとしてグノレープ化されるものとする。

[0058] この状態において、前記クライアント機器 6a〜6dへのパケットは、前記カプセリング処理部 21によって前記中継装置 4向けの IPv4パケットでカプセリングされて送信される。中継装置 4は、カプセリング処理部 21がそのパケットをディカプセリングすると共に、前記変換部 22が送信先アドレスを当該プライベートネットワークのプライベート IPアドレスに変換して前記ブリッジモジュール 12に受け渡す。ブリッジモジュール 12 は、受け取ったパケットをそのまま ethOから下流側に流す。このようにして、例えば家庭内の LAN1上のクライアント機器 6a〜6dへの接続を、外部にあるサーバ 8や他の LAN9側からの起動により行うことができる。

[0059] また、前記クライアント機器 6a〜6dからの仮想ネットワークへの通信は、仮想 IPアドレス宛に送出される。この仮想 IPアドレスを含むパケットが下流側のデバイス ethlから中継装置 4に入ると、このパケットは前記ブリッジモジュール 12に捕捉され、前記上位層 15で前記 ELサーバ宛のパケットにカプセリングされ、前記ローカル通信プロトコノレスタック、 ethOを介してトンネリング接続により前記サーバ 8に送出される。

[0060] このような構成によれば、例えば、前記クライアント機器 6a〜6dが自宅の LANに接続されたネットワーク対応の家庭内監視カメラであるとすると、前記中継装置 4により前記カメラに仮想 IPアドレスが割り当てられ、他のネットワークの中継装置 4との間に形成された仮想ネットワークにより他のネットワーク上から直接操作できるようになる。

[0061] また、この中継装置 4は、前記 ELサーバ 8が仮想ネットワーク上のハブのように動作する場合であっても、ハブを介さなレ、 PPP接続の場合であっても同じように対応すること力 Sできる。

[0062] 以上のような構成によれば、仮想ネットワークを通したクライアント機器 6a〜6dとの通信は、すべて、キャリアや ISPに関らず、前記 ELサーバ 8を通して行われることになるから、家庭や職場のホームネットワーク上のクライアント機器 6a〜6dを ELサーバ 8側から自由に設定 *制御することが可能になる。これにより、従来問題であった、インターネット上のサーバからのプライベートネットワーク中のネットワーク家電の個体認識、家庭内ルーティング及びセキュリティの問題を全て解決でき、極めてオープンかつ、クローズドなネットワークの構築を実現することが可能になる。 [0063] なお、以上説明した実施形態は、この発明の一つの実施形態に過ぎないのであつて、その要旨を変更しなレ、範囲で種々の形態をとりうることはレ、うまでもなレ、。

[0064] 例えば、上記一実施形態では、 IPv4 ' OVER' IPv4によるカプセリングであつたが、 LANのプロトコルが IPv6であってもよレ、。また、他の LANのプロトコルも IPv6であつてもよレ、。さらに、両方ともに上記以外のプロトコルであっても良レ、。

また、上記一実施形態では、前記中継装置は、独立した装置として開示されていた力 LAN1上のいずれかのコンピュータにソフトウェアとしてインストールされたものであってもい。

さらに、上記一実施形態では、中継装置の〇Sはリナックスであったが、これに限定されるものではないことは当然である。

図面の簡単な説明

[0065] [図 1]この発明の一実施形態に係るネットワーク構成の例を示す図。

[図 2]同じく中継装置の例を示す概略構成図。

[図 3]同じく通信例を示す図。

符号の説明

[0066] 1〜LAN

2…ノレータ

3…上流側イーサネット（登録商標）

4…中継装置

5…下流側イーサネット（登録商標）

6a…プリンタ

6b…カメラ

6c…スキャナ

6d- - -PC

7…インターネット

8 -ELサーバ

9· · -LAN

10…イーサネット（登録商標）ワークデバイス · · 'イーサネット（登録商標）ワークデバイス …ブリッジモジュール

· "ネットワーク ·プロトコノレスタック

…上位層

…サーバアドレス記憶部

…中継装置アドレス記憶部

— IPアドレス記憶部

- · -トンネリングセッション確立部

…力プセリング処理部

…仮想 IPアドレス 'プレイべート IPアドレス変換部 …クライアント機器検出部

…トンネルブローカー

、 27…経路

Claims

請求の範囲

[1] LAN上のクライアント機器を、インターネット上のサーバを通した仮想ネットワークに接続するために、前記 LAN上の前記クライアント機器の上流側に設置される中継装置であって、

この中継装置は、ブリッジモジュールを有し、このブリッジモジュールは、ローカル通信プロトコルスタックとネットワークデバイスとの間に設けられ、自己宛、ブロードキャスト及び仮想ネットワークのアドレス宛の要求パケット以外のパケットはローカル通信プロトコルスタックに渡さずに単に前記 LANの上流側と下流側とをブリッジするものであり、

この中継装置は、さらに、

前記インターネット上のサーバのグローバルアドレスを記憶するサーバアドレス記憶部と、

前記サーバのグローバルアドレスに基づき、この中継装置とサーバとの間にトンネリング接続を確立するためのトンネリング接続確立部と、

前記ブリッジモジュールにより前記クライアント機器からの上記仮想ネットワーク上の仮想ネットワークアドレスを含む要求パケットを捕捉し、発信元アドレスとして前記クライアント機器の仮想ネットワークアドレスを付したものをカプセリングし、前記トンネリング接続を介して前記サーバへ送出するカプセリング処理部と、

前記ローカル通信プロトコルスタックを通して受け取ったトンネリング接続における自己宛パケットをディカプセリングすると共に、このディカプセリングしたパケットに含まれる宛先仮想ネットワークアドレスを前記クライアント機器の LAN上のプライベート I Pアドレスに変換し、このパケットをブリッジモジュールにより当該クライアント機器に送出するディカプセリング処理部と

を有することを特徴とする中継装置。

[2] 請求項 1記載の中継装置において、

前記中継装置は、前記 LANにおいて、クライアント機器力ルータに至る経路の途中に設置されるものであることを特徴とする中継装置。

[3] 請求項 1記載の中継装置において、前記中継装置は、インターネット上に設けられたトンネル仲介サーバに接続し、この仲介サーバ力前記サーバのグローバルアドレスを受け取るものである

ことを特徴とする中継装置。

[4] 請求項 1記載の中継装置において、

前記中継装置は、

クライアント機器に割り当てる仮想ネットワークアドレスを前記サーバから受け取り、各クライアント機器の LAN上のプライベート IPアドレスとこのクライアントに割り当てた仮想ネットワークアドレスを関連付けて記憶するものである

ことを特徴とする中継装置。

[5] 請求項 4記載の中継装置において、

前記 LAN下流側のネットワークデバイスに到達する全てのパケットを監視することで前記クライアント機器のプライベート IPアドレス及び MACアドレスを検出する下流側クライアント機器検出部を有するものである

ことを特徴とする中継装置。

[6] 請求項 5記載の中継装置において、

前記下流側クライアント機器検出部は、ブロードキャストの応答要求を定期的若しくは任意に LANの下流側に送信し、前記クライアント機器の応答を促す機能を有することを特徴とする中継装置。

[7] 請求項 1記載の中継装置において、

前記クライアント機器は、ネットワーク対応の家電であるが、ユーザが仮想ネットヮークドライバ等をインストールできなレ、家電を含むことを特徴とする中継装置。

[8] 請求項 1記載の中継装置において、

前記クライアント機器は、前記中継装置とは通信可能であるが、自らはインターネットに接続することができない周辺装置を含むものであることを特徴とする中継装置。

[9] 請求項 1記載の中継装置において、

前記ブリッジモジュールは、ブロードキャストの要求パケットは、前記通信プロトコルスタックに渡すと共に、前記ブリッジするものであることを特徴とする中継装置。

[10] LAN上のクライアント機器と、この LAN上の前記クライアント機器の上流側に接続された中継装置と、前記クライアント機器がインターネットを介して接続されるサーバと、を有するインターネット接続環境において実行される、前記クライアント機器とサーバとの接続方法であって、

(a)前記中継装置が前記サーバのグローバル IPアドレスを受け取り格納する工程と

(c)前記中継装置が、前記クライアント機器に仮想ネットワーク IPアドレスを割り当て、前記サーバから前記トンネリング接続を通して受け取った仮想ネットワーク IPァドレス宛のパケットを前記クライアント機器の LAN上のプライベート IPアドレス宛に書き換えて前記 LANの下流側に送出する工程と、

(d)前記中継装置が、前記クライアント機器からの上記仮想ネットワーク IPアドレスを含むパケットを捕獲し、前記トンネリング接続を通して前記サーバへ送出する工程と

を有することを特徴とする接続方法。

[11] 請求項 10記載の接続方法において、

前記中継装置は、前記クライアント機器の属する LAN上に設置されるものであり、この方法は、この中継装置宛、ブロードキャスト及び仮想ネットワークのアドレス宛の要求パケット以外のパケットは前記（c)、 (d)工程を行なわずに LAN上で単にブリツジするものである

ことを特徴とする方法。

[12] 請求項 10記載の方法において、

さらに、前記サーバが前記中継装置に前記クライアント機器用の仮想ネットワーク I Pアドレスを通知する工程を有することを特徴とする方法。

[13] 請求項 10記載の方法において、

前記中継装置が、インターネット上に設けられたトンネル仲介サーバに接続し、この仲介サーバから前記サーバのグローバルアドレスを受け取る工程をさらに有することを特徴とする方法。

[14] 請求項 10記載の方法において、

前記中継装置が、前記クライアント機器に割り当てる仮想ネットワークアドレスを前記サーバから受け取り、各クライアント機器の LAN上のプライベート IPアドレスとこのクライアントに割り当てた仮想ネットワークアドレスを関連付けて記憶する工程をさらに有するものである

ことを特徴とする方法。

[15] 請求項 14記載の方法において、

前記中継装置が、前記 LAN下流側のネットワークデバイスに到達する全てのパケットを監視することで前記クライアント機器のプライベート IPアドレス及び MACァドレスを検出する工程をさらに有する

ことを特徴とする方法。

[16] 請求項 15記載の方法において、

前記中継装置が、ブロードキャストの応答要求を定期的若しくは任意に LANの下流側に送信し、前記クライアント機器の応答を促す機能を有する

ことを特徴とする方法。