WO2012107983A1

WO2012107983A1 - 中継サーバ及び中継通信システム

Info

Publication number: WO2012107983A1
Application number: PCT/JP2011/006862
Authority: WO
Inventors: 谷本　好史
Original assignee: 村田機械株式会社
Priority date: 2011-02-08
Filing date: 2011-12-08
Publication date: 2012-08-16
Also published as: JP2012165269A; CN103222240A; CN103222240B; TW201234808A; US9197557B2; JP5621639B2; US20130315249A1; TWI542169B

Abstract

　中継サーバは、自身と他のルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身とサブルーティング機器との間にサブルーティングセッションを確立する制御と、ルーティングセッション又はサブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。パケット転送制御は、サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。

Description

中継サーバ及び中継通信システム

　本発明は、主として、異なるＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）に接続されている端末間の通信を可能とする中継サーバに関する。

　従来から、仮想プライベートネットワーク（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ，ＶＰＮ）と呼ばれる通信技術が知られている（例えば、特許文献１を参照）。このＶＰＮは、例えば、地域ごとに設けられた複数の支社（拠点）のＬＡＮに接続された端末同士でインターネットを介して通信する用途に用いられている。前記ＶＰＮを利用すれば、遠隔地にある他のＬＡＮを、あたかも直接接続されているネットワークであるかのように使用することができる。

特開２００２－２１７９３８号公報

　ところで、この種のシステムにおいて、中継サーバが、自身が接続するＬＡＮ内の端末の識別情報及びＩＰアドレス等だけでなく、他のＬＡＮに接続される端末の識別情報及びＩＰアドレスを記憶し、この記憶内容に基づいて通信を行う構成が知られている。この構成においては、各ＬＡＮに多数の端末が接続されている場合に、中継サーバが記憶する情報量が膨大になる。また、この構成においては、各ＬＡＮに接続される端末が頻繁に変更される場合に、変更の度に中継サーバ同士で情報のやり取りが必要となる。そのため、処理が繁雑になるとともに、中継サーバ間でやり取りされる情報量が膨大なものとなる。

　本発明は以上の事情に鑑みてされたものであり、その主要な目的は、ネットワークが複雑化した場合においても、記憶する情報量及び送受信する情報量が肥大化することのないＶＰＮを構築可能な中継サーバを提供することにある。

課題を解決するための手段及び効果

　本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。

　本発明の第１の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、中継グループ情報記憶部と、中継サーバ情報記憶部と、ＶＰＮグループ情報記憶部と、サブＶＰＮグループ情報記憶部と、アドレスフィルタ情報記憶部と、サブアドレスフィルタ情報記憶部と、通信制御部と、を備える。前記中継グループ情報記憶部は、自身（中継サーバ）との間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する。前記中継サーバ情報記憶部は、前記中継グループに属する前記中継サーバの起動情報と、前記中継グループに属する前記中継サーバに所属するクライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。前記ＶＰＮグループ情報記憶部は、前記中継グループの情報及び前記中継サーバ情報に基づいて中継通信システムを構成する前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うＶＰＮグループに関し、当該ＶＰＮグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶する。前記サブＶＰＮグループ情報記憶部は、ある中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、自身（中継サーバ）のサブルーティング機器を示すサブルーティングポイント情報を含むサブＶＰＮグループ情報を記憶する。前記アドレスフィルタ情報記憶部は、あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。前記サブアドレスフィルタ情報記憶部は、自身（中継サーバ）のサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶する。前記通信制御部は、自身（中継サーバ）と前記ルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身と自身のサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。前記パケット転送制御は、前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において自身と対応付けられているときは、前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が自身のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。

　これにより、中継サーバは、中継通信システムを構成する他の中継サーバの中から選択されたルーティング中継サーバとＶＰＮを構築して、必要な中継サーバとの間でのみファイルの共有等を行うことができる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のＶＰＮと比較して、ＶＰＮグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部では、サブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることができる。

　前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、自身に所属する前記クライアント端末から、仮想プライベートネットワークを開始する旨の指示とともに、当該クライアント端末をサブルーティングポイントとして設定する旨の指示を受けたときに、前記通信制御部は、仮想プライベートネットワークを開始する旨の指示を行った前記クライアント端末を前記サブＶＰＮグループ情報に追加する制御と、当該クライアント端末についての前記アドレスフィルタ情報を他の前記ルーティング中継サーバに送信する制御と、自身と当該クライアント端末との間に前記サブルーティングセッションを確立する制御と、を行う。

　これにより、ＶＰＮを開始する旨の指示を行ったクライアント端末をサブルーティングポイントとして機能させる設定することが容易となる。

　前記の中継サーバにおいては、仮想プライベートネットワークを維持したまま、前記サブルーティングポイントを変更可能であることが好ましい。

　これにより、状況の変化に柔軟に対応可能なＶＰＮを構築できる。

　本発明の第２の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、複数の中継サーバと、クライアント端末と、を備える。前記クライアント端末は、前記中継サーバを介して互いに接続可能である。前記中継サーバは、中継グループ情報記憶部と、中継サーバ情報記憶部と、ＶＰＮグループ情報記憶部と、サブＶＰＮグループ情報記憶部と、アドレスフィルタ情報記憶部と、サブアドレスフィルタ情報記憶部と、通信制御部と、を備える。前記中継グループ情報記憶部は、当該中継サーバとの間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する。前記中継サーバ情報記憶部は、前記中継グループに属する前記中継サーバの起動情報と、前記クライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。前記ＶＰＮグループ情報記憶部は、前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うＶＰＮグループに関し、当該ＶＰＮグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶する。前記サブＶＰＮグループ情報記憶部は、当該中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、当該中継サーバのサブルーティング機器を示すサブルーティングポイント情報を含むサブＶＰＮグループ情報を記憶する。前記アドレスフィルタ情報記憶部は、あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。前記サブアドレスフィルタ情報記憶部は、当該中継サーバのサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶する。前記通信制御部は、他の前記ルーティング中継サーバとの間でルーティングセッションを確立する制御と、前記中継サーバとサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。前記パケット転送制御は、前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において当該中継サーバと対応付けられているときは、前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が当該中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。

　これにより、中継サーバから選択されたルーティング中継サーバを用いてＶＰＮを構築できるため、必要な中継サーバとの間でのみファイルの共有等を行うことが可能となる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のＶＰＮと比較して、ＶＰＮグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部では、サブＶＰＮグループに含まれるクライアント端末についてのアドレスフィルタ情報を、当該クライアント端末の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、各中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることが可能な中継通信システムを構築できる。

本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。中継サーバの機能ブロック図。中継グループ情報の内容を示す図。中継サーバ情報の内容を示す図。クライアント端末情報の内容を示す図。ＶＰＮグループ情報の内容を示す図。サブＶＰＮグループ情報の内容を示す図。アドレスフィルタ情報について説明する図。アドレスフィルタ情報記憶部の記憶内容を示す図。サブアドレスフィルタ情報記憶部の記憶内容を示す図。ＶＰＮグループを作成する処理を示すフローチャート。ＶＰＮグループを作成してＶＰＮを開始する通信処理を示すシーケンス図。ＶＰＮグループ情報に基づいてＶＰＮを開始するための処理を示すフローチャート。ＶＰＮグループ情報に基づいてＶＰＮを開始するための処理を示すフローチャート。サブＶＰＮグループ情報に基づいてＶＰＮを開始するための処理を示すフローチャート。サブＶＰＮグループ情報に基づいてＶＰＮを開始するための処理を示すフローチャート。パケットのルーティングを行う通信処理を示すシーケンス図。ＶＰＮを終了する通信処理を示すシーケンス図。

　次に、図面を参照して本発明の実施の形態を説明する。初めに、図１を参照して、本実施形態の中継通信システム１００の概要について説明する。図１は、本発明の一実施形態に係る中継通信システム１００の全体構成を示す説明図である。

　図１に示すように、この中継通信システム１００は、Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（ＷＡＮ、広域通信網）８０に接続された複数のＬＡＮ１０，２０，３０等で構成されている。それぞれのＬＡＮ１０，２０，３０は、限定された場所で構築される比較的小規模なネットワークであり、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではＷＡＮ８０としてインターネットが使用されている。

　以下、それぞれのＬＡＮを具体的に説明する。図１に示すように、ＬＡＮ１０には、中継サーバ１と、クライアント端末１１と、通信装置１２と、が接続されている。ＬＡＮ２０には、中継サーバ２と、クライアント端末２１と、通信装置２２と、通信装置２３と、が接続されている。ＬＡＮ３０には、ファイルサーバ３１が接続されている。また、ＬＡＮ３０には、ルータ３５を介して別のＬＡＮ３６が接続されている。このＬＡＮ３６には、クライアント端末３７と、ファイルサーバ３８と、クライアント端末３９と、が接続されている。更に、前記ＬＡＮ３０には、ルータ４０を介して更に別のＬＡＮ４１が接続されている。このＬＡＮ４１には、クライアント端末４２と、ファイルサーバ４３と、が接続されている。

　それぞれの中継サーバ１，２，３は、ＬＡＮ１０，２０，３０だけでなくＷＡＮ８０にも接続されているため、同一のＬＡＮに接続されたクライアント端末と通信可能であるだけでなく、他のＬＡＮに配置された中継サーバと通信可能となっている。そのため、中継サーバ１，２，３には、グローバルＩＰアドレスに加えてプライベートＩＰアドレスが付与されている。

　クライアント端末１１，２１，３７，３９，４２は、例えばパーソナルコンピュータで構成されており、中継サーバ１，２，３等を介して相互に通信を行うことができる。通信装置１２，２２，２３は、例えばパーソナルコンピュータで構成されており、自身が接続されるＬＡＮ等を介して、当該ＬＡＮに接続される端末にパケットを送信可能である。ファイルサーバ３１，３８，４３は、例えばネットワーク接続ストレージで構成されており、自身が接続されるＬＡＮ等を介して、当該ＬＡＮに接続される端末にパケットを送信可能である。

　次に、中継サーバ１，２，３について説明する。なお、これらの３つの中継サーバは、一部の記憶内容を除いて略同一の構成であるため、代表して中継サーバ３について説明する。初めに、図２を参照して、中継サーバ３が備える構成について説明する。図２は、中継サーバ３の機能ブロック図である。

　図２に示すように、中継サーバ３は、記憶部５０と、制御部６０と、インタフェース部７０と、を備えている。

　インタフェース部７０は、プライベートＩＰアドレスを利用して、ＬＡＮ３０及びＬＡＮ３６に接続される端末に対して通信を行うことができる。また、インタフェース部７０は、グローバルＩＰアドレスを利用して、ＷＡＮ８０を経由した通信を行うことができる。

　制御部６０は、例えば制御及び演算の機能を有するＣＰＵであり、記憶部５０から読み出したプログラムにより各種の処理を実行可能である。この制御部６０は、ＴＣＰ／ＩＰ、ＵＤＰ、ＳＩＰ等のプロトコルに従った様々な通信を制御することができる。図２に示すように、制御部６０は、インタフェースドライバ６１と、ＬＡＮ側ＩＰパケット処理部６２と、通信制御部６３と、ＷＡＮ側ＩＰパケット処理部６４と、を備えている。

　インタフェースドライバ６１は、インタフェース部７０を制御するドライバソフトウェアである。ＬＡＮ側ＩＰパケット処理部６２は、ＬＡＮ３０から受信したパケットに適宜の処理を行って通信制御部６３に出力する。ＷＡＮ側ＩＰパケット処理部６４は、ＷＡＮ８０から受信したパケットに適宜の処理を行って通信制御部６３に出力する。

　通信制御部６３は、受信したパケットについて、当該パケットが示す情報と記憶部５０に記憶された情報とに基づいて送信先を決定し、決定した送信先へ当該パケットを送信する。また、通信制御部６３は、他の端末から受信した情報に基づいて、記憶部５０の記憶内容を更新させることができる。

　記憶部５０は、例えばハードディスク又は不揮発性ＲＡＭで構成されており、各種データを保存可能である。記憶部５０は、中継グループ情報記憶部５１と、中継サーバ情報記憶部５２と、クライアント端末情報記憶部５３と、ＶＰＮグループ情報記憶部５４と、サブＶＰＮグループ情報記憶部５５と、アドレスフィルタ情報記憶部５６と、サブアドレスフィルタ情報記憶部５７と、を備えている。以下、図３から図１０までを参照して、記憶部５０の記憶内容について説明する。図３は、中継グループ情報の内容を示す図である。図４は、中継サーバ情報の内容を示す図である。図５は、クライアント端末情報の内容を示す図である。図６は、ＶＰＮグループ情報の内容を示す図である。図７は、サブＶＰＮグループ情報の内容を示す図である。図８は、アドレスフィルタ情報について説明する図である。図９は、アドレスフィルタ情報記憶部５６の記憶内容を示す図である。図１０は、サブアドレスフィルタ情報記憶部５７の記憶内容を示す図である。

　中継グループ情報記憶部５１は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。

　図３に示すように、中継グループ情報においては、ｇｒｏｕｐタグと、このｇｒｏｕｐタグを親要素とする子要素のｓｉｔｅタグと、が記述されている。ｇｒｏｕｐタグには中継グループに関するグループ情報５１１が記述されている。このグループ情報５１１としては、中継グループの識別情報（「ｉｄ」）と、最終更新時刻（「ｌａｓｔｍｏｄ」）と、中継グループの名称（「ｎａｍｅ」）と、が記述されている。ｓｉｔｅタグには、中継グループを構成する中継サーバに関するグループ構成情報５１２が記述されている。このグループ構成情報５１２には、当該中継サーバの識別情報（「ｉｄ」）が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。

　なお、この中継グループ情報は、当該中継グループを構成する中継サーバ１，２，３の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。

　中継サーバ情報記憶部５２は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。

　図４に示す中継サーバ情報においては、中継サーバごとに記述されるｓｉｔｅタグと、前記ｓｉｔｅタグを親要素とする子要素のｎｏｄｅタグと、が記述されている。ｓｉｔｅタグには中継サーバ１に関するサーバ情報５２１が記述されている。このサーバ情報５２１としては、中継サーバの識別情報（「ｉｄ」）と、中継サーバの名称（「ｎａｍｅ」）と、起動情報（「ｓｔａｔ」）と、が記述されている。なお、ｓｔａｔの内容が「ａｃｔｉｖｅ」の場合は中継サーバが中継通信システム１００にログインしていることを示し、ｓｔａｔが空欄であるときはログオフ中であることを示す。ｓｉｔｅタグの子要素であるｎｏｄｅタグには、中継サーバに所属するクライアント端末を示す所属情報５２２が記述されている。所属情報５２２としては、所属する中継グループの名称（「ｇｒｏｕｐ」）と、クライアント端末の識別情報（「ｉｄ」）と、クライアント端末の名称（「ｎａｍｅ」）と、ログイン先の中継サーバの識別情報（「ｓｉｔｅ」）と、が記述されている。なお、クライアント端末が中継サーバ（中継通信システム１００）にログインしていないときは、「ｓｉｔｅ」は空欄となる。

　なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末１１からクライアント端末２１にパケットを送信する場合、初めに、クライアント端末１１は、自身が接続している中継サーバである中継サーバ１にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ１は、これらの情報に基づいて、クライアント端末２１が接続している中継サーバである中継サーバ２にパケットを送信する。そして、この中継サーバ２がクライアント端末２１にパケットを送信する。このようにして、クライアント端末１１，２１同士で中継通信を行うことができる。

　この中継サーバ情報も中継グループ情報と同様に、当該中継グループを構成する中継サーバ１，２，３の間で共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。

　クライアント端末情報記憶部５３は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ１，２，３は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。例えば、中継サーバ１には、図１に示すようにクライアント端末１１が所属しているため、中継サーバ１が備えるクライアント端末情報記憶部５３には、クライアント端末１１のクライアント端末情報のみが記憶されている。

　中継サーバ１のクライアント端末情報記憶部５３が記憶するクライアント端末情報は、図５（ａ）に示されている。同様に、中継サーバ２が記憶するクライアント端末情報が図５（ｂ）に、中継サーバ３が記憶するクライアント端末情報が図５（ｃ）に、それぞれ示されている。

　図５に示すクライアント端末情報においては、ｎｏｄｅタグが記述されている。このｎｏｄｅタグには、クライアント端末のプライベートＩＰアドレス（「ａｄｄｒ」）と、所属する中継グループの名称（「ｇｒｏｕｐ」）と、識別情報（「ｉｄ」）と、名称（「ｎａｍｅ」）と、中継サーバにログインするためのパスワード（「ｐａｓｓ」）と、ポート情報（「ｐｏｒｔ」）と、が記述されている。

　ＶＰＮグループ情報記憶部５４は、中継グループを構成する中継サーバから選択された中継サーバ（以下、ルーティング中継サーバと称する）で構成されたＶＰＮグループに関する情報であるＶＰＮグループ情報を記憶している。ＶＰＮグループは、中継グループ内で構成されるグループであり、ルーティング中継サーバ間にルーティングセッションを確立させることにより、仮想ネットワーク（ＶＰＮ）を構築することができる。

　なお、１つの中継グループにおいて、複数のＶＰＮグループを作成することが可能となっている。本実施形態では、中継サーバ１と中継サーバ３とで構成されるＶＰＮグループ（ＶＰＮ－ＧＲＯＵＰ１）と、中継サーバ２と中継サーバ３とで構成されるＶＰＮグループ（ＶＰＮ－ＧＲＯＵＰ２）と、が作成されたものとする。ＶＰＮ－ＧＲＯＵＰ１についてのＶＰＮグループ情報は図６（ａ）に示されており、ＶＰＮ－ＧＲＯＵＰ２についてのＶＰＮグループ情報は図６（ｂ）に示されている。

　これらのＶＰＮグループ情報においては、ｖｎｅｔタグが記述されている。このｖｎｅｔタグには、ＶＰＮグループ基本情報５４１と、ルーティングポイント情報５４２と、ルーティングセッション情報５４３と、が記述されている。ＶＰＮグループ基本情報５４１には、ＶＰＮグループが所属する中継グループの名称（「ｇｒｏｕｐ」）と、ＶＰＮグループの識別情報（「ｉｄ」）と、最終更新時刻（「ｌａｓｔｍｏｄ」）と、ＶＰＮグループの名称（「ｎａｍｅ」）と、が記述されている。ルーティングポイント情報５４２には、ＶＰＮグループ内で通信を行うときにルーティングを行うルーティング中継サーバの識別情報が記述されている。ルーティングセッション情報５４３には、各ＶＰＮグループにおいて互いに接続されるルーティング中継サーバが記述されている。ルーティングセッション情報５４３において、ルーティング中継サーバは、ＶＰＮグループでＶＰＮを開始するためのルーティングセッション確立処理において、通信制御を最初に行う側（「ｓｐ（ｓｔａｒｔ　ｐｏｉｎｔ）」）と、その通信制御を受ける側「ｅｐ（ｅｎｄ　ｐｏｉｎｔ）」と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング中継サーバを「始点」と、その通信制御を受ける側のルーティング中継サーバを「終点」と、それぞれ称することがある。

　このＶＰＮグループ情報は、当該ＶＰＮグループを構成する中継サーバの間で共有されている。具体的には、ＶＰＮ－ＧＲＯＵＰ１についてのＶＰＮグループ情報が中継サーバ１と中継サーバ３とで共有され、ＶＰＮ－ＧＲＯＵＰ２についてのＶＰＮグループ情報が中継サーバ２と中継サーバ３とで共有されている。そして、ある中継サーバにおいてＶＰＮグループ情報を変更する処理が行われた場合は、ＶＰＮグループを構成する他の中継サーバに対してその旨が送信されてＶＰＮグループ情報が更新される。このようにして、ＶＰＮグループ情報が動的に共有される。なお、このＶＰＮグループを作成する処理については後述する。

　サブＶＰＮグループ情報記憶部５５は、自身（中継サーバ３）に所属するクライアント端末の中からサブルーティングポイントとして設定された１又は複数のクライアント端末（以下、サブルーティング機器と称する）で構成されるサブＶＰＮグループに関する情報（サブＶＰＮグループ情報）を記憶している。サブルーティング機器は、ルーティング中継サーバ同士のルーティングセッションが確立した後に、中継サーバ３との間でルーティングセッションを確立させることにより、ルーティングポイントのように振舞うことができる。なお、サブルーティングポイントとして設定されるクライアント端末は、ＶＰＮグループ毎に異ならせても良いし、同一にしても良い。また、以下の説明では、ルーティング中継サーバとサブルーティング機器との間で形成されるルーティングセッションを、特に「サブルーティングセッション」と呼ぶことがある。

　サブＶＰＮグループ情報記憶部５５は、具体的には、サブルーティングポイント情報と、サブルーティングセッション情報と、を前記ＶＰＮグループ毎に記憶している。図７（ａ）には、ＶＰＮ－ＧＲＯＵＰ２に対応するサブルーティングポイント情報が示されている。図７（ａ）に示すように、サブルーティングポイント情報には、サブルーティング機器の識別情報の一覧が記述されている。また、図７（ｂ）には、ＶＰＮ－ＧＲＯＵＰ２に対応するサブルーティングセッション情報が示されている。図７（ｂ）に示すように、サブルーティングセッション情報には、ルーティング中継サーバとサブルーティング機器とで確立されるサブルーティングセッションにおいて、通信制御を最初に行う側（始点側）の機器の識別情報と、その通信制御を受ける側（終点側）の機器の識別情報と、を対応付けて記憶している。

　上記のサブＶＰＮグループ情報は、ルーティング中継サーバとサブルーティング機器との間で共有される。一方で、このサブＶＰＮグループ情報は、ルーティング中継サーバ同士では共有されない。即ち、ルーティング中継サーバは、自身のサブＶＰＮグループ情報のみをサブＶＰＮグループ情報記憶部５５に記憶し、他の中継サーバ（ルーティング中継サーバ）のサブＶＰＮグループ情報は記憶しない。

　次に、アドレスフィルタ情報と、アドレスフィルタ情報記憶部５６及びサブアドレスフィルタ情報記憶部５７の記憶内容について説明する。アドレスフィルタ情報とは、ある機器が、パケットの転送を行う機器（ルーティング中継サーバ又はサブルーティング機器）に対して、パケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報である。以下の説明では、ルーティング中継サーバ（又はサブルーティング機器）がパケットを転送可能なルーティング対象装置のアドレスを示す情報を、ルーティング中継サーバ（又はサブルーティング機器）についてのアドレスフィルタ情報と称する。

　図８には、ルーティング中継サーバ等と、当該ルーティング中継サーバ等についてのアドレスフィルタ情報と、を対応させて示している。この図８に示すように、例えば中継サーバ１は、通信装置１２にパケットを転送可能である。

　アドレスフィルタ情報記憶部５６は、図９に示すように、ルーティング中継サーバについてのアドレスフィルタ情報と、サブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報に対応付けて記憶している。即ち、アドレスフィルタ情報記憶部５６では、クライアント端末３７についてのアドレスフィルタ情報であっても、（当該クライアント端末３７ではなく）中継サーバ３の識別情報に対応付けた形で記憶される。なお、アドレスフィルタ情報記憶部５６は、ルーティング対象装置のＩＰアドレスだけでなく、当該ルーティング対象装置の名称についても記憶している。ルーティング対象装置の名称としては、例えば、機器の種類（処理装置、通信装置、ファイルサーバ等）及び配置される場所等を考慮する等して任意の名称を設定することができるので、パケット転送先のルーティング対象装置を分かり易く管理することができる。なお、それぞれのルーティングポイントとしての中継サーバは、このアドレスフィルタ情報を外部の表示装置等に表示させることが可能となっている。

　サブアドレスフィルタ情報記憶部５７は、図１０に示すように、サブルーティング機器（クライアント端末３７）についてのアドレスフィルタ情報を、当該サブルーティング機器（クライアント端末３７）の識別情報に対応付けて記憶している。従って、サブアドレスフィルタ情報記憶部５７と前記アドレスフィルタ情報記憶部５６とでは、その記憶内容においてアドレスフィルタ情報が対応付けられる機器（識別情報）が異なっている。また、サブアドレスフィルタ情報記憶部５７は、自機（中継サーバ３）のサブルーティング機器についてのアドレスフィルタ情報のみを記憶し、他のルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報は記憶しない。そのため、サブアドレスフィルタ情報記憶部５７の記憶内容はルーティング中継サーバ間で共有されることはなく、その記憶内容はそれぞれの中継サーバで独自のものとなる。

　また、ルーティング中継サーバは、ＶＰＮを開始するときに、自身についてのアドレスフィルタ情報と、サブルーティング機器についてのアドレスフィルタ情報と、を他のルーティング中継サーバに通知する。この通知を受けたルーティング中継サーバは、通知内容に基づいて、アドレスフィルタ情報記憶部５６の記憶内容を更新するように構成されている（ただし、サブアドレスフィルタ情報記憶部５７の記憶内容は更新しない）。

　中継サーバ３は、以上のように構成される。なお、上記したように、サブＶＰＮグループ情報記憶部５５及びサブアドレスフィルタ情報記憶部５７の記憶内容は、当該中継サーバ３に関する内容のみが記憶され、他の中継サーバとの間で同期されることはない。従って、各中継サーバにおいて記憶内容が肥大化することを防止できる。また、中継サーバ１，２の構成については詳細な説明を省略するが、中継サーバ３と実質的に同様に構成された記憶部５０及び制御部６０を備えている。

　次に、ＶＰＮグループを構築して、構築したＶＰＮグループでパケットのルーティングを行うときの処理について説明する。

　初めにＶＰＮグループを構築するときの流れについて図１１及び図１２を参照して説明する。図１１は、ＶＰＮグループを作成する処理を示すフローチャートである。図１２は、ＶＰＮグループを作成してＶＰＮを開始する通信処理を示すシーケンス図である。

　中継通信システム１００を利用するユーザは、クライアント端末３９等から中継サーバ３にログインすることによって、ＶＰＮグループの設定画面を当該クライアント端末３９のディスプレイに表示させることができる。ここでは、クライアント端末３９を介して中継サーバ３にログインしてＶＰＮグループを構築する場合について説明する。クライアント端末３９に表示させた設定画面には、中継サーバ３が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、ＶＰＮグループを構築したい中継グループを選択する（Ｓ１０１）。

　中継グループが選択されると、クライアント端末３９には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバの識別情報の一覧が表示される（Ｓ１０２）。そして、ユーザは、構築するＶＰＮグループにおいてルーティングポイントとして機能させる中継サーバの識別情報を選択する（Ｓ１０３）。今回の説明では、ログイン中の中継サーバ３の識別情報に加え、中継サーバ２の識別情報がユーザに選択されたものとする。

　そして、この選択されたルーティングポイントに基づいて、ルーティングセッション情報が作成される（Ｓ１０４）。また、選択された中継サーバ等の識別情報に基づいて、ルーティングポイントの識別情報が作成される（Ｓ１０４）。これらの作成された情報にＶＰＮグループの識別情報等を付加することにより、図６（ｂ）で示したＶＰＮグループ情報が作成され、ＶＰＮグループ情報記憶部５４は、このＶＰＮグループ情報を記憶する（Ｓ１０５）。

　そして、作成されたＶＰＮグループ情報は、他のルーティング中継サーバ（中継サーバ２）に送信され（Ｓ１０６、図１２のシーケンス番号１、ｃｒｅａｔｅＶｐｎＧｒｏｕｐ）、ＶＰＮグループが作成されたことが通知される。

　次に、ユーザは、作成したＶＰＮグループに対応するサブＶＰＮグループを作成する。具体的には、ユーザは、初めに、ログイン中の中継サーバ３に所属するクライアント端末の一覧をクライアント端末３９に表示させる。そして、表示されたクライアント端末の中から、サブルーティングポイントとして機能させるクライアント端末を選択する。中継サーバ３は、この選択された情報に基づいてサブルーティングポイント情報及びサブルーティングセッション情報を作成して、サブＶＰＮグループ情報記憶部５５に記憶する。そして、中継サーバ３は、選択されたクライアント端末に対して、サブルーティングポイントとして選択された旨を、ＶＰＮグループの識別情報とともに送信する（シーケンス番号２、ｃｒｅａｔｅＶｐｎＳｕｂＧｒｏｕｐ）。ここでは、ＶＰＮ－ＧＲＯＵＰ２における中継サーバ３のサブルーティングポイントとしてクライアント端末３７が選択されたものとする。これにより、サブＶＰＮグループの構築処理が完了する。

　次に、構築したＶＰＮグループ情報に基づいて、ＶＰＮを開始するために行う処理について、図１３及び図１４を参照して説明する。図１３及び図１４は、ＶＰＮグループ情報に基づいてＶＰＮを開始するための処理を示すフローチャートである。

　ユーザは、例えばクライアント端末３９から中継サーバ３にログインして、作成済みのＶＰＮグループの一覧をクライアント端末３９に表示させる。そして、ユーザは、このＶＰＮグループから適当なＶＰＮグループを選択することにより（Ｓ２０１）、ＶＰＮを開始するための処理を中継サーバ３に行わせる。今回の説明では、ユーザがＶＰＮ－ＧＲＯＵＰ２を選択したものとする。

　なお、ＶＰＮグループの選択時等においては、ログインに用いた端末を、ログイン先の中継サーバ３におけるサブルーティングポイントとして設定するか否かの選択を行うことができる。ここで、ログインに用いた端末（ここではクライアント端末３９）をサブルーティングポイントとして設定する選択をユーザが行った場合、中継サーバ３が備えるサブＶＰＮグループ情報記憶部５５の記憶内容において、クライアント端末３９の識別情報等がサブルーティングポイント情報及びサブルーティングセッション情報に追記される。

　次に、中継サーバ３は、自身についてのアドレスフィルタ情報を読み出す（Ｓ２０２）。中継サーバ３についてのアドレスフィルタ情報は、ファイルサーバ３１のＩＰアドレスとなっている。次に、中継サーバ３は、選択したＶＰＮグループに属するルーティングポイントの読出しを行う（Ｓ２０３）。これにより、図６（ｂ）に示すＶＰＮグループ情報の内容に基づいて、中継サーバ２の識別情報が読み出される。

　中継サーバ３は、中継サーバ情報に基づいて、初めに、中継サーバ２がログイン中か否か（「ｓｔａｔ」がａｃｔｉｖｅか空欄か）を判断する（Ｓ２０４）。図４に示す中継サーバ情報によれば中継サーバ２は中継通信システム１００にログイン中であるため、中継サーバ３は、中継サーバ２に向けてＶＰＮグループの開始コマンドを送信する（図１２のシーケンス番号３、ｓｔａｒｔＶｐｎ）。このとき、選択されたＶＰＮグループの識別情報（ＶｐｎＧｒｏｕｐＩＤ）と、中継サーバ３についてのアドレスフィルタ情報（ａｄｄｒ０３）と、が同時に中継サーバ２に向けて送信される。

　これにより、中継サーバ２は、開始の処理を行うＶＰＮグループを特定できるとともに、中継サーバ３についての最新のアドレスフィルタ情報を取得することができる。また、中継サーバ２は、信号を受信した旨を中継サーバ３に通知するとともに、自身についてのアドレスフィルタ情報（ａｄｄｒ０２）を中継サーバ３に送信する。そして、中継サーバ３は、中継サーバ２からの応答を受けて（Ｓ２０６）、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部５６に記憶する（Ｓ２０７）。そして、中継サーバ３は、中継サーバ２を、ＶＰＮを開始する準備が完了したルーティングポイントとして登録する（Ｓ２０８）。

　このように、ＶＰＮを開始する際に、それぞれのルーティング中継サーバが他のルーティング中継サーバとアドレスフィルタ情報を交換（取得）するため、最新のアドレスフィルタ情報を用いてＶＰＮを構築することができる。従って、ＶＰＮ開始前の段階で一部のルーティング中継サーバについてのアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング中継サーバに反映させた状態でＶＰＮを開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。

　次に、中継サーバ３は、他にルーティングポイントが有るか否かの判断を行う（Ｓ２０９）。図６（ｂ）に示すように、ＶＰＮ－ＧＲＯＵＰ２におけるルーティングポイントは中継サーバ３と中継サーバ２のみであり、他のルーティングポイントは記述されていない。従って、中継サーバ３は、ＶＰＮグループ情報記憶部５４の記憶内容からルーティングセッション情報５４３を抽出する（Ｓ２１０）。

　次に、中継サーバ３は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する（Ｓ２１１）。図６（ｂ）のルーティングセッション情報５４３においては、中継サーバ３及び中継サーバ２との間で確立されるべきルーティングセッションにおいて、中継サーバ３が始点となることが記述されている。

　そこで、中継サーバ３は、中継サーバ２が、ＶＰＮを開始する準備が完了したルーティングポイントであるか否かを判断する（Ｓ２１２）。上記のＳ２０８により、中継サーバ２については準備完了が登録されているため、中継サーバ３から中継サーバ２に対してルーティングセッションを確立するための通信制御が行われる（Ｓ２１３、図１２のシーケンス番号４、ｃｒｅａｔｅＶｐｎＳｓｎ）。

　次に、中継サーバ３は、自身が接続の始点となるルーティングセッションが他に記述されているか否かを判断する（Ｓ２１４）。図６（ｂ）に示すように、中継サーバ２とのルーティングセッションを除いては、自身が接続の始点となるルーティングセッションはルーティングセッション情報に記述されていない。従って、一連の処理が完了する。

　以上のようにして、ＶＰＮを開始するための処理を行うことができる。なお、それぞれのルーティング中継サーバは、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。

　なお、ＶＰＮの起動中にＶＰＮグループが変更された場合は、変更があった旨が各ルーティング中継サーバに通知され、適宜の情報が更新される。そして、更新後の情報に基づいてＶＰＮによる通信を行うことにより、ＶＰＮを停止することなくＶＰＮグループの変更を行うことができる。

　次に、図１５及び図１６を参照して、サブＶＰＮグループ情報に基づいて、ＶＰＮを開始するために行う処理について説明する。図１５及び図１６は、サブＶＰＮグループ情報に基づいてＶＰＮを開始するための処理を示すフローチャートである。この図１５及び図１６に示す処理は、図１３及び図１４に示す処理と適切なタイミングで並行して行われる。なお、図１５及び図１６に示す処理は、図１３及び図１４に示す処理と同等の処理を行うことが多いため、説明を簡略化又は省略することがある。

　中継サーバ３は、初めに、サブルーティングポイント情報を参照して、Ｓ２０１において選択されたＶＰＮグループに対応付けられたサブルーティングポイントを読み出す（Ｓ３０１）。図７（ａ）に示すように、ＶＰＮ－ＧＲＯＵＰ２においては、中継サーバ３のサブルーティングポイントとして設定されたクライアント端末としてクライアント端末３７が記述されているため、当該クライアント端末３７が読み出される。このクライアント端末３７は上述のとおり、ルーティング中継サーバ（中継サーバ２及び中継サーバ３）と同様に、パケットを転送するルーティングポイントのように振舞うことができる。この機能を実現するために、詳細は図示しないが、クライアント端末３７は、アドレスフィルタ情報やルーティングセッション情報等を記憶可能な適宜の記憶部と、図２の制御部６０と同様に構成された制御部と、同じく図２のインタフェース部７０と同様に構成されたインタフェース部と、を備えている。

　Ｓ３０１の処理の後、中継サーバ３は、読み出されたクライアント端末３７がログイン中か否か（「ｓｉｔｅ」に中継サーバの識別情報が記述されているか、それとも空欄か）を中継サーバ情報に基づいて判断する（Ｓ３０２）。図４に示す中継サーバ情報によればクライアント端末３７はログイン中であるため、中継サーバ３は、クライアント端末３７に向けてＶＰＮグループの開始コマンドを送信する（Ｓ３０３、図１２のシーケンス番号５、ｓｔａｒｔＶｐｎ）。このとき、選択されたＶＰＮグループの識別情報と、上記で中継サーバ３が記憶しているアドレスフィルタ情報（ａｄｄｒ０２及びａｄｄｒ０３）も同時に送信される。これにより、クライアント端末３７は、中継サーバ２及び中継サーバ３についての最新のアドレスフィルタを取得することができる。

　また、クライアント端末３７は、信号を受信した旨を中継サーバ３に通知するとともに、当該クライアント端末３７が記憶部に記憶しているアドレスフィルタ情報（ａｄｄｒ３７）を中継サーバ３に送信する。なお、このアドレスフィルタ情報は当該クライアント端末３７についてのアドレスフィルタ情報であって、クライアント端末３７がサブルーティングポイントとして動作するときはファイルサーバ３８にパケットを転送可能であるように適宜設定されるものである。従って、クライアント端末３７においては、当該クライアント端末３７の識別情報と対応付けた形で、ファイルサーバ３８のＩＰアドレス（これがアドレスフィルタ情報に相当する）が記憶されている。

　中継サーバ３は、クライアント端末３７からの応答を受けて（Ｓ３０４）、クライアント端末３７についてのアドレスフィルタ情報をアドレスフィルタ情報記憶部５６及びサブアドレスフィルタ情報記憶部５７に記憶する（Ｓ３０５）。なお、上述したように、クライアント端末３７のアドレスフィルタ情報（ファイルサーバ３８のＩＰアドレス）は、アドレスフィルタ情報記憶部５６においては図９のように中継サーバ３の識別情報と対応付けて記憶され、サブアドレスフィルタ情報記憶部５７においては図１０のようにクライアント端末３７の識別情報と対応付けて記憶される。そして、中継サーバ３は、このクライアント端末３７についてのアドレスフィルタ情報を他のルーティング中継サーバ（中継サーバ２）に送信する（図１２のシーケンス番号６、ｓｅｎｄ（ａｄｄｒ３７））。中継サーバ２は、受信したクライアント端末３７についてのアドレスフィルタ情報を、中継サーバ３の識別情報と対応付けてアドレスフィルタ情報記憶部５６に追記する形で記憶する（ただし、サブアドレスフィルタ情報記憶部５７の記憶内容は更新しない）。

　そして、中継サーバ３は、クライアント端末３７を、ＶＰＮを開始する準備が完了したサブルーティングポイントとして登録する（Ｓ３０６）。

　次に、中継サーバ３は、他にサブルーティングポイントが有るか否かの判断を行う（Ｓ３０７）。図７（ａ）に示すように、ＶＰＮ－ＧＲＯＵＰ２におけるサブルーティングポイントはクライアント端末３７のみであり、他は記述されていない。従って、中継サーバ３は、サブＶＰＮグループ情報記憶部５５の記憶内容からサブルーティングセッション情報を抽出する（Ｓ３０８）。なお、仮に、ＶＰＮの開始時においてクライアント端末３９をサブルーティングポイントとして設定する選択をユーザが行った場合は、中継サーバ３は、当該クライアント端末３９についてもＳ３０２～Ｓ３０６の処理を行うことになる。

　次に、中継サーバ３は、抽出したサブルーティングセッション情報を参照して、自身が始点となるサブルーティングセッションが記述されているか否かを判断する（Ｓ３０９）。図７（ｂ）のサブルーティングセッション情報においては、中継サーバ３及びクライアント端末３７との間で確立されるべきサブルーティングセッションにおいて、中継サーバ３が始点となることが記述されている。

　そこで、中継サーバ３は、クライアント端末３７が、ＶＰＮを開始する準備が完了したサブルーティングポイントであるか否かを判断する（Ｓ３１０）。上記のＳ３０６により、クライアント端末３７については準備完了が登録されているため、中継サーバ３からクライアント端末３７に対してサブルーティングセッションを確立するための通信制御が行われる（Ｓ３１１、図１２のシーケンス番号７、ｃｒｅａｔｅＶｐｎＳｓｎ）。

　次に、中継サーバ３は、自身が接続の始点となるサブルーティングセッションが他に記述されているか否かを判断する（Ｓ３１２）。図７（ｂ）のサブルーティングセッション情報では、既に確立しているクライアント端末３７とのサブルーティングセッションを除き、自身が接続の始点となるサブルーティングセッションが記述されていない。従って、一連の処理を終了する。

　以上のようにして、サブＶＰＮグループ情報に基づいてＶＰＮを開始するための処理を行うことができる。なお、仮に、ＶＰＮの開始時においてクライアント端末３９をサブＶＰＮグループに含める選択をユーザが行った場合は、中継サーバ３は、クライアント端末３９との間でサブルーティングセッション確立処理等を行う。

　次に、ＶＰＮの起動中にサブルーティングポイントが変更された場合について説明する。例えば、図４に示す中継サーバ情報には記載されていないが、図１のクライアント端末４２が中継サーバ３に所属する旨が中継サーバ情報に予め記述されている状況において、ＶＰＮ（ＶＰＮ－ＧＲＯＵＰ２）の起動中に当該クライアント端末４２が当該ＶＰＮのサブルーティングポイントとして追加された場合を考える。この場合、中継サーバ３は、クライアント端末４２の識別情報をサブルーティングポイント情報及びサブルーティングセッション情報に追加し、サブＶＰＮグループ情報記憶部５５の記憶内容を更新する。そして中継サーバ３は、クライアント端末４２についてのアドレスフィルタ情報を当該クライアント端末４２から受信して、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部５６及びサブアドレスフィルタ情報記憶部５７に記憶する。

　ここで、クライアント端末４２についてのアドレスフィルタ情報は、当該クライアント端末４２がサブルーティングポイントとして動作するときはファイルサーバ４３にパケットを転送可能であるように、予め適宜設定されている。従って、クライアント端末４２から中継サーバ３に送信されるアドレスフィルタ情報はファイルサーバ４３のＩＰアドレスであり、これがアドレスフィルタ情報記憶部５６及びサブアドレスフィルタ情報記憶部５７に記憶される。そして、中継サーバ３とクライアント端末４２との間にサブルーティングセッションが確立される。

　次に、中継サーバ３は、クライアント端末４２についてのアドレスフィルタ情報を他のルーティング中継サーバ（中継サーバ２）に通知する。この通知を受けた中継サーバ２は、クライアント端末４２についてのアドレスフィルタ情報（即ち、ファイルサーバ４３のＩＰアドレス）を中継サーバ３の識別情報に対応付けた形でアドレスフィルタ情報記憶部５６に記憶する（ただし、サブアドレスフィルタ情報記憶部５７の記憶内容は更新しない）。以上でサブルーティングポイントの変更が完了し、以降は変更前と同様にＶＰＮ通信を行うことができる。

　このように、中継サーバ３に所属するサブルーティングポイントが変更された場合でも、他の中継サーバ２ではアドレスフィルタ情報記憶部５６の記憶内容だけを更新すれば良く、ＶＰＮグループ情報記憶部５４、サブＶＰＮグループ情報記憶部５５、及びサブアドレスフィルタ情報記憶部５７の記憶内容は何れも更新する必要がない。また、アドレスフィルタ情報記憶部５６の記憶内容の変更も、当該サブルーティングポイントの変更の結果として生じるＶＰＮの通信相手の変化分（上記の例に照らせば、ファイルサーバ４３のＩＰアドレスの追加）だけで良いのである。即ち、あるルーティング中継サーバにおいてサブルーティングポイントが変更される場合でも、それが他のルーティング中継サーバの記憶内容に及ぼす影響を相当に小さくすることができる。従って、本実施形態の構成はサブルーティングポイントが頻繁に変化する場合に特に好適であり、例えば上述のように、ＶＰＮを開始する機会を利用してサブルーティングポイントを（一時的に）追加するような機動的な運用も極めて容易である。なお、サブルーティングポイントの変更は上記のようにクライアント端末を追加する場合に限定されず、逆に既存のサブルーティングポイントを削除することも可能であることは勿論である。

　次に、確立したルーティングセッションを用いてパケットのルーティングを行う処理について主に図１７を参照して説明する。図１７は、パケットのルーティングを行う通信処理を示すシーケンス図である。以下では、ルーティングポイントとして機能する中継サーバ２が、第１パケットから第３パケットの３種類のパケットを受信したときについて説明する。

　初めに、送信先のＩＰアドレスが（１９２．１６８．３３．１３１）となっている第１パケットを受信したとき（シーケンス番号８、ｐａｃｋｅｔ０１）について説明する。中継サーバ２は、この第１パケットを受信した後に、送信先のＩＰアドレスと、アドレスフィルタ情報記憶部５６の記憶内容（図９を参照）と、を比較する。そして、第１パケットに記された送信先に対してパケットを送信可能なルーティングポイントを検出する。

　図１７に示すように、第１パケットの送信先のＩＰアドレスは、中継サーバ３の識別情報に対応付けられたアドレスフィルタ情報に含まれる。この結果、中継サーバ２は、中継サーバ３との間に確立されたルーティングセッションを介して第１パケットを当該中継サーバ３に送信する。

　この第１パケットを受信した中継サーバ３は、送信先のＩＰアドレスと、アドレスフィルタ情報記憶部５６の記憶内容（図９を参照）とを比較する。そして、第１パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。次に、中継サーバ３は、送信先のＩＰアドレスと、サブアドレスフィルタ情報記憶部５７の記憶内容（図１０を参照）とを比較する。そして、第１パケットに記された送信先に対してパケットを送信可能なサブルーティングポイントが設定されていないことを検出する。この結果、中継サーバ３は、第１パケットを送信先であるファイルサーバ３１に対して送信する。

　次に、送信先のＩＰアドレスが（１９２．１６８．３４．１３８）である第２パケットを中継サーバ２が受信したとき（シーケンス番号９、ｐａｃｋｅｔ０２）について説明する。アドレスフィルタ情報記憶部５６の記憶内容（図９を参照）においては、第１パケットと同様に、第２パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして中継サーバ３が指定されている。従って、中継サーバ２は、中継サーバ３との間に確立されたルーティングセッションを介して第２パケットを当該中継サーバ３に送信する。

　この第２パケットを受信した中継サーバ３は、送信先のＩＰアドレスと、アドレスフィルタ情報記憶部５６の記憶内容（図９を参照）とを比較する。そして、第２パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。次に、中継サーバ３は、送信先のＩＰアドレスと、サブアドレスフィルタ情報記憶部５７の記憶内容（図１０を参照）とを比較する。そして、第２パケットに記された送信先に対してパケットを送信可能なサブルーティングポイントとしてクライアント端末３７が記述されていることを検出する。この結果、中継サーバ３は、クライアント端末３７との間に確立されたサブルーティングセッションを介して、第２パケットを当該クライアント端末３７に対して送信する。

　この第２パケットを受信したクライアント端末３７は、中継サーバ３と類似した動作を行う。即ち、クライアント端末３７は、当該クライアント端末３７が備える記憶部で記憶されている、自身についてのアドレスフィルタ情報を参照する。そしてクライアント端末３７は、当該アドレスフィルタ情報に、第２パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。この結果、クライアント端末３７は、第２パケットを送信先であるファイルサーバ３８に対して送信する。

　次に、送信先のＩＰアドレスが（１９２．１６８．５．５１）である第３パケットを中継サーバ２が受信したとき（シーケンス番号１０、ｐａｃｋｅｔ０３）について説明する。クライアント端末１１は、送信先のＩＰアドレスとアドレスフィルタ情報とを比較した結果、送信先に対してパケットを送信可能なルーティングポイントが記述されていないことを検出する。この場合、クライアント端末１１は、受信した第３パケットをどこにも送信しない。

　このように、本実施形態では、アプリケーション層のルーティングセッションで、ルーティング対象のデータを流すように構成されている。従って、以上で説明したルーティングは、通常のＩＰルーティングとは異なっている。

　このようにアプリケーション層でルーティングを行うことにより、ＷＡＮを意識することなく、遠隔地のＬＡＮ同士がプライベートＩＰアドレスを利用して相互に通信することができる。また、上述のように、アドレスフィルタ情報記憶部５６は、パケットの送信先として指定可能な相手の名称を表示可能となっている。そのため、ユーザは、ＶＰＮを用いてどの機器にパケットを送信可能であるかを容易に認識することができる。

　次に、ＶＰＮを終了する処理について図１８を参照して説明する。図１８は、ＶＰＮグループを終了する通信処理を示すシーケンス図である。ユーザは、クライアント端末３７を介して中継サーバ３にログインして所定の操作を行うことによって、ＶＰＮを終了する処理を開始することができる。今回の説明では、クライアント端末３７を介して中継サーバ３が、ＶＰＮを終了する処理を開始したものとする。

　中継サーバ３は、ＶＰＮを終了する指示を受け付けると、ＶＰＮグループの識別情報とともにその旨を、中継サーバ２に対して送信する（シーケンス番号１１、ｓｔｏｐＶｐｎ）。なお、中継サーバ２は、中継サーバ３から受信したＶＰＮグループの識別情報によって、どのＶＰＮグループを対象としたＶＰＮが終了されるかを知ることができる。

　中継サーバ３は、ＶＰＮの終了を受け付けた旨の信号を中継サーバ２受信した後に、当該中継サーバ２に対して、ルーティングセッションの終了コマンドを送信する（シーケンス番号１２、ｃｌｏｓｅＶｐｎＳｓｎ）。

　次に、中継サーバ３は、クライアント端末３７に対しても、ＶＰＮを終了する旨の信号を送信する（シーケンス番号１３、ｓｔｏｐＶｐｎ）。そして、クライアント端末３７からの応答の受信後に、ルーティングセッションの終了コマンドを送信する（シーケンス番号１４、ｃｌｏｓｅＶｐｎＳｓｎ）。

　以上に示したように、本実施形態の中継サーバ３は、中継グループ情報記憶部５１と、中継サーバ情報記憶部５２と、ＶＰＮグループ情報記憶部５４と、サブＶＰＮグループ情報記憶部５５と、アドレスフィルタ情報記憶部５６と、サブアドレスフィルタ情報記憶部５７と、通信制御部６３と、を備える。中継グループ情報記憶部５１は、自身（中継サーバ３）との間で相互に接続可能な他の中継サーバ１，２を含む中継グループの情報を記憶する。中継サーバ情報記憶部５２は、中継グループに属する中継サーバ１，２，３の起動情報と、中継グループに属する中継サーバ１，２，３に接続されるクライアント端末１１，２１，３７，３９の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。ＶＰＮグループ情報記憶部５４は、ルーティング中継サーバ間に確立されるルーティングセッションを介してＶＰＮにより通信を行うＶＰＮグループに関し、当該ＶＰＮグループを構成するルーティング中継サーバの識別情報及び互いに接続されるルーティング中継サーバを示すルーティングセッション情報を記憶する。サブＶＰＮグループ情報記憶部５５は、中継サーバ３のサブルーティング機器を示すサブルーティングポイント情報を含むサブＶＰＮグループ情報を記憶する。アドレスフィルタ情報記憶部５６は、ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。サブアドレスフィルタ情報記憶部５７は、中継サーバ３のサブルーティング機器であるクライアント端末３７についてのアドレスフィルタ情報を、クライアント端末３７の識別情報と対応付けて記憶する。通信制御部６３は、中継サーバ３と他のルーティング中継サーバとの間にルーティングセッションを確立する制御と、中継サーバ３とクライアント端末３７との間にサブルーティングセッションを確立する制御と、ルーティングセッション又はサブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。パケット転送制御は、サブアドレスフィルタ情報記憶部５７の記憶内容においてパケットの送信先が中継サーバ３のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。

　これにより、中継サーバ３は、他のルーティング中継サーバとＶＰＮを構築して、必要な機器との間でのみファイルの共有等を行うことができる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のＶＰＮと比較して、ＶＰＮグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部５６では、サブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることができる。

　また、本実施形態の中継サーバ３は、クライアント端末３９から、ＶＰＮを開始する旨の指示とともに、当該クライアント端末３９を中継サーバ３のサブルーティングポイントとして設定する旨の指示を受けたときに、通信制御部６３は、クライアント端末３９をサブＶＰＮグループ情報（詳細にはサブルーティングポイント情報及びサブルーティングセッション情報）に追加する制御と、クライアント端末３９についてのアドレスフィルタ情報を他のルーティング中継サーバに送信する制御と、自身（中継サーバ３）と当該クライアント端末３９との間にルーティングセッションを確立する制御と、を行う。

　これにより、ＶＰＮを開始する旨の指示を行ったクライアント端末３９をサブルーティングポイントとして設定することが容易となる。

　また、本実施形態の中継サーバ３においては、仮想プライベートネットワークを維持したまま、サブルーティングポイントを変更することができる。

　以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。

　上記の中継グループ情報、中継サーバ情報、クライアント端末情報、ＶＰＮグループ情報、アドレスフィルタ情報等を格納する形式はＸＭＬ形式に限定されず、適宜の形式で各情報を格納することができる。

　上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、ＳＩＰ（Ｓｅｓｓｉｏｎ　Ｉｎｉｔｉａｉｏｎ　Ｐｒｏｔｏｃｏｌ）サーバとしての機能を発揮させて通信を行う構成にしても良い。

　１，２，３　中継サーバ
　１１，２１，３７，３９，４２　クライアント端末
　１０，２０，３０，３６，４１　ＬＡＮ
　５０　記憶部
　６０　制御部
　６３　通信制御部
　１００　中継通信システム

Claims

　自身との間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する中継グループ情報記憶部と、
　前記中継グループに属する前記中継サーバの起動情報と、前記中継グループに属する前記中継サーバに所属するクライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する中継サーバ情報記憶部と、
　前記中継グループの情報及び前記中継サーバ情報に基づいて中継通信システムを構成する前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うＶＰＮグループに関し、当該ＶＰＮグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶するＶＰＮグループ情報記憶部と、
　ある中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、自身のサブルーティング機器を示すサブルーティングポイント情報を含むサブＶＰＮグループ情報を記憶するサブＶＰＮグループ情報記憶部と、
　あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶するアドレスフィルタ情報記憶部と、
　自身のサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶するサブアドレスフィルタ情報記憶部と、
　自身と前記ルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身と自身のサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う通信制御部と、
を備え、
　前記パケット転送制御は、
　前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において自身と対応付けられているときは、
　前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が自身のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御であることを特徴とする中継サーバ。
　請求項１に記載の中継サーバであって、
　自身に所属する前記クライアント端末から、仮想プライベートネットワークを開始する旨の指示とともに、当該クライアント端末をサブルーティングポイントとして設定する旨の指示を受けたときに、
　前記通信制御部は、仮想プライベートネットワークを開始する旨の指示を行った前記クライアント端末を前記サブＶＰＮグループ情報に追加する制御と、当該クライアント端末についての前記アドレスフィルタ情報を他の前記ルーティング中継サーバに送信する制御と、自身と当該クライアント端末との間に前記サブルーティングセッションを確立する制御と、を行うことを特徴とする中継サーバ。
　請求項１に記載の中継サーバであって、
　仮想プライベートネットワークを維持したまま、前記サブルーティングポイントを変更可能であることを特徴とする中継サーバ。
　複数の中継サーバと、
　前記中継サーバを介して互いに接続可能なクライアント端末と、
を備え、
　前記中継サーバは、
　当該中継サーバとの間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する中継グループ情報記憶部と、
　前記中継グループに属する前記中継サーバの起動情報と、前記クライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する中継サーバ情報記憶部と、
　前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うＶＰＮグループに関し、当該ＶＰＮグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶するＶＰＮグループ情報記憶部と、
　当該中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、当該中継サーバのサブルーティング機器を示すサブルーティングポイント情報を含むサブＶＰＮグループ情報を記憶するサブＶＰＮグループ情報記憶部と、
　あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶するアドレスフィルタ情報記憶部と、
　当該中継サーバのサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶するサブアドレスフィルタ情報記憶部と、
　他の前記ルーティング中継サーバとの間でルーティングセッションを確立する制御と、前記中継サーバとサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う通信制御部と、
を備え、
　前記パケット転送制御は、
　前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において当該中継サーバと対応付けられているときは、
　前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が当該中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御であることを特徴とする中継通信システム。