[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2006180295A - アドレス変換装置およびアドレス変換方法 - Google Patents

アドレス変換装置およびアドレス変換方法 Download PDF

Info

Publication number
JP2006180295A
JP2006180295A JP2004372328A JP2004372328A JP2006180295A JP 2006180295 A JP2006180295 A JP 2006180295A JP 2004372328 A JP2004372328 A JP 2004372328A JP 2004372328 A JP2004372328 A JP 2004372328A JP 2006180295 A JP2006180295 A JP 2006180295A
Authority
JP
Japan
Prior art keywords
address
network
global
private
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004372328A
Other languages
English (en)
Inventor
Tomohito Tamura
智史 田村
Yuji Hashimoto
裕司 橋本
Satoshi Iino
聡 飯野
Kenichiro Iida
健一郎 飯田
Atsushi Kamikura
敦吏 神藏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2004372328A priority Critical patent/JP2006180295A/ja
Priority to US11/722,324 priority patent/US20100014521A1/en
Priority to CNA2005800442788A priority patent/CN101088264A/zh
Priority to PCT/JP2005/023030 priority patent/WO2006068024A1/ja
Publication of JP2006180295A publication Critical patent/JP2006180295A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • H04L69/085Protocols for interworking; Protocol conversion specially adapted for interworking of IP-based networks with other networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現すること。
【解決手段】 テーブル設定部307は、プライベートIPアドレスとグローバルIPアドレス間の対応関係を決定し、アドレス変換テーブル310に登録する。アドレス変換テーブル310は、プライベートIPアドレスとグローバルIPアドレスを対応づけて保持している。トワイスNAT処理部311は、アドレス変換テーブル310を参照して、プライベートネットワーク100またはグローバルネットワーク200からのパケットの送信元アドレスおよび宛先アドレスの双方をグローバルIPアドレスまたはプライベートIPアドレスに変換して送信部312または送信部315へ出力する。
【選択図】 図2

Description

本発明は、アドレス変換装置およびアドレス変換方法に関し、特に、グローバルネットワークとプライベートネットワークとの間のゲートウェイなどにおけるアドレス変換装置およびアドレス変換方法に関する。
現在、一般的なネットワークの構成においては、インターネットで使用可能なグローバルIPアドレスによって構成されるグローバルネットワークと、グローバルネットワークとは異なるアドレス空間によって構成される宅内ネットワークまたは企業ネットワークなどのプライベートネットワークとが混在している。プライベートネットワークでは、グローバルネットワークでは使用されないプライベートIPアドレスが自由に使用される。
このようなネットワーク構成において、グローバルネットワークとプライベートネットワークを跨る通信が行われる場合には、グローバルネットワークとプライベートネットワークの境界でプライベートIPアドレスとグローバルIPアドレスを相互に変換するアドレス変換(Network Address Transfer:NAT)が必要となる。これによって、例えばプライベートネットワーク内においてグローバルIPアドレスが割り当てられていないホストでも、グローバルネットワークへのアクセスが可能となる。
上述したNATを実現するためには、例えばネットワークの境界にプロキシサーバを配置する方法がある。プロキシサーバは、入力データをアプリケーションレイヤレベルで終端し、その後IPパケットに自サーバのIPアドレスを付与して転送先に転送する中継装置である。例えば、プライベートネットワーク内のホストからグローバルネットワーク内のWebサーバへのアクセスでは、ホストとWebサーバ間でHTTPプロトコルが使用され、ネットワーク境界にHTTPプロキシサーバが配置される。HTTPプロキシサーバは、ホストからのHTTPメッセージをアプリケーションレイヤレベルで終端する。その後、HTTPプロキシサーバは、自サーバのグローバルIPアドレスをIPパケットに設定して、Webサーバへ転送する。グローバルネットワーク内のホストからプライベートネットワーク内のWebサーバへのアクセスについては、上記と逆の処理が行われる。
しかし、上述したプロキシサーバによるNATでは、すべてのIPパケットに対してアプリケーションレイヤレベルの中継を実施するため、プロキシサーバの負荷が大きくなるとともに、プロキシサーバの対象外のアプリケーションについてはNATを実現することができない。
そこで、プロキシサーバを用いることなく、プライベートネットワークからグローバルネットワークへのNATを実現する方法として、例えば特許文献1に開示された技術が考えられている。
以下、特許文献1に開示された技術の概要について図22および図23を参照して説明する。特許文献1に開示されたネットワークは、図22に示すように、主にプライベートネットワーク10、グローバルネットワーク20、およびDMZ(DeMilitarized Zone:非武装地域)30から構成されている。図22において、「PA1」から「PA5」はプライベートIPアドレスを示しており、「GA1」から「GA5」はグローバルIPアドレスを示している。
プライベートネットワーク10は、ドメイン名「a.private.com」のホスト10a(プライベートIPアドレス「PA3」)、プライベートネットワーク10内のホストのドメイン名を管理するDNS(Domain Name System)サーバ10b(プライベートIPアドレス「PA2」)、およびL2−SW10cを有している。また、グローバルネットワーク20は、IP公衆網20a、ドメイン名「a.global.com」のホスト20b(グローバルIPアドレス「GA4」)、およびグローバルネットワーク20内のホストのドメイン名を管理するDNSサーバ20c(グローバルIPアドレス「GA5」)を有している。
また、プライベートネットワーク10およびグローバルネットワーク20の双方からアクセス可能なDMZ30は、アドレス変換を行うアドレス変換・フィルタリング装置30a(プライベートIPアドレス「PA1」およびグローバルIPアドレス「GA1」)、プライベートネットワーク10またはグローバルネットワーク20の名前解決を行うDNSサーバ30b(グローバルIPアドレス「GA2」)、グローバルネットワークへIPパケットを転送するルータ30c(グローバルIPアドレス「GA3」)、およびL2−SW30dを有している。
上記のようなネットワーク構成において、プライベートネットワーク10内のホスト10aからグローバルネットワーク20内のホスト20bへのアクセスは、例えば図23に示すように行われる。
すなわち、まずホスト10aは、ホスト20bのドメイン名「a.global.com」について、DNSサーバ10bへ名前解決の依頼(DNSクエリ)を送信する。DNSサーバ10bには、ドメイン名「a.global.com」が登録されていないため、DMZ30内のDNSサーバ30bへ再帰問い合わせが行われる。その際、アドレス変換・フィルタリング装置30aにて、送信元アドレスおよび宛先アドレスは、プライベートIPアドレスからグローバルIPアドレスへ変換される。ルータ30cおよびIP公衆網20aを介してDNSサーバ30bからの再帰問い合わせを受信したDNSサーバ20cは、自サーバに保持されている名前−アドレステーブルから「a.global.com」を検索し、ホスト20bのグローバルIPアドレス「GA4」を取得する(名前解決)。DNSサーバ20cは、取得されたグローバルIPアドレス「GA4」をDNSサーバ30bへ転送する。
そして、DNSサーバ30bは、自サーバに保持されているアドレス管理テーブルにおいて未使用のプライベートIPアドレス「PA5」をグローバルIPアドレス「GA4」に関連付けて、アドレス変換・フィルタリング装置30aへアドレス登録依頼を送信する。アドレス変換・フィルタリング装置30aは、自装置に保持されているアドレス変換テーブルに、プライベートIPアドレス「PA5」とグローバルIPアドレス「GA4」を登録し、アドレス登録完了をDNSサーバ30bへ転送する。その後、DNSサーバ30bは、アドレス変換・フィルタリング装置30aを介してプライベートネットワーク10内のDNSサーバ10bへプライベートIPアドレス「PA5」を送信する。
DNSサーバ10bは、ホスト10aへDNS回答を転送し、ホスト10aは、ホスト20bへのアクセスを開始する。すなわち、ホスト10aは、通知されたプライベートIPアドレス「PA5」を宛先アドレスとして、IPパケットをアドレス変換・フィルタリング装置30aへ送信する。アドレス変換・フィルタリング装置30aは、アドレス変換テーブルに基づいて、宛先アドレスのプライベートIPアドレス「PA5」をグローバルIPアドレス「GA4」に変換する。また、アドレス変換・フィルタリング装置30aは、送信元アドレス「PA3」に対するポートマッピングを生成してアドレス変換テーブルに登録し、送信元アドレス/ポートをそのマッピングに対応するグローバルIPアドレス/ポートに変換する。アドレス変換・フィルタリング装置30aは、上記のようにNATが行われたIPパケットをグローバルネットワーク20のホスト20bへ送信する。以後、プライベートネットワーク10のホスト10aからグローバルネットワーク20のホスト20bへの通信では、アドレス変換・フィルタリング装置30aにおいてアドレス変換テーブルに基づいた送信元アドレスおよび宛先アドレス双方の変換が行われるトワイスNAT(Twice-NAT)が実施される。
このように、プライベートネットワークとグローバルネットワークの間にDMZを設け、トワイスNATが実施されることにより、HTTPプロキシサーバやSIPプロキシサーバなどのプロキシサーバを用いなくてもプライベートネットワークからグローバルネットワークへのアクセスが可能となる。
特開2004−304235号公報
しかしながら、上記従来の技術においては、グローバルネットワークのホストからプライベートネットワークのホストへのアクセスが拒否されるという問題がある。この問題について、再び図22のネットワーク構成を例に挙げて説明する。図24は、図22のネットワーク構成における、グローバルネットワーク20内のホスト20bからプライベートネットワーク10内のホスト10aへのアクセスの例を示すシーケンス図である。
グローバルネットワーク20内のホスト20bは、ホスト10aのドメイン名「a.private.com」の名前解決を行うため、事前に登録されたDNSサーバ20cへDNSクエリを送信する。DNSサーバ20cは、自サーバに保持されている名前−アドレステーブルに「a.private.com」が登録されていないため、DMZ30内のDNSサーバ30bへ再帰問い合わせを行う。DNSサーバ30bは、「a.private.com」がプライベートネットワーク10内のDNSサーバ10bに登録されていることを知っているが、グローバルネットワーク20からの名前問い合わせのため、名前解決を拒否し、DNSサーバ20cへエラーを転送する。そして、DNSサーバ20cは、ホスト20bへエラーを転送する。したがって、グローバルネットワーク20内のホスト20bは、プライベートネットワーク10内のホスト10aへアクセスすることができない。
また、グローバルネットワーク20からの名前問い合わせに対して、アクセス拒否を行わないようにすれば、グローバルネットワーク20からプライベートネットワーク10へのアクセスが可能となるが、第三者が容易にプライベートネットワーク10へ侵入することができてしまい、セキュリティが損なわれてしまう。
本発明はかかる点に鑑みてなされたものであり、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現できるアドレス変換装置およびアドレス変換方法を提供することを目的とする。
本発明に係るアドレス変換装置は、パケット送信先が含まれる第1のネットワークおよびパケット送信元が含まれる第2のネットワークの間に設けられるアドレス変換装置であって、前記パケット送信先の前記第1のネットワーク内におけるアドレスに前記第2のネットワーク内における仮のアドレスを対応づけて設定する設定手段と、設定された仮のアドレスを前記パケット送信元へ送信する第1の送信手段と、前記パケット送信元から送信されるパケットの宛先アドレスおよび送信元アドレスを前記第1のネットワーク内におけるアドレスへ変換する変換手段と、アドレス変換後のパケットを前記パケット送信先へ送信する第2の送信手段と、を有する構成を採る。
本発明に係るアドレス変換方法は、パケット送信先が含まれる第1のネットワークおよびパケット送信元が含まれる第2のネットワークの間におけるアドレス変換方法であって、前記パケット送信先の前記第1のネットワーク内におけるアドレスに前記第2のネットワーク内における仮のアドレスを対応づけて設定するステップと、設定された仮のアドレスを前記パケット送信元へ送信するステップと、前記パケット送信元から送信されるパケットの宛先アドレスおよび送信元アドレスを前記第1のネットワーク内におけるアドレスへ変換するステップと、アドレス変換後のパケットを前記パケット送信先へ送信するステップと、を有するようにした。
これらによれば、パケット送信先に仮のアドレスを対応づけ、パケット送信元から仮のアドレス宛てに送信されたパケットの送信元アドレスおよび宛先アドレスを第1のネットワーク内におけるアドレスへ変換してからパケット送信先へ送信するため、パケット送信先に対してパケット送信元のアドレスを隠蔽できるとともにパケット送信元に対してパケット送信先のアドレスを隠蔽できる。したがって、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現できる。
本発明によれば、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現できる。
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
(実施の形態1)
図1は、本発明の実施の形態1に係るネットワーク構成の例を示す図である。同図に示すネットワークは、プライベートネットワーク100、グローバルネットワーク200、およびゲートウェイ装置300を有している。そして、プライベートネットワーク100は、ドメイン名「a.private.com」のホスト100a(プライベートIPアドレス「PA3」)、プライベートネットワーク100内のホストのドメイン名を管理するDNSサーバ100b(プライベートIPアドレス「PA2」)、およびL2−SW100cを有している。また、グローバルネットワーク200は、IP公衆網200a、ドメイン名「a.global.com」のホスト200b(グローバルIPアドレス「GA4」)、およびグローバルネットワーク200内のホストのドメイン名を管理するDNSサーバ200c(グローバルIPアドレス「GA3」)を有している。さらに、ゲートウェイ装置300には、プライベートネットワーク100側ではプライベートIPアドレス「PA1」が付与されており、グローバルネットワーク200側ではグローバルIPアドレス「GA1」、「GA2」、および「GA5」が付与されている。このゲートウェイ装置300は、DNSプロキシ機能とトワイスNAT機能を実装している。
図2は、本実施の形態に係るゲートウェイ装置300の構成を示すブロック図である。図2に示すように、ゲートウェイ装置300は、プライベートネットワークインタフェース部301、受信識別部302、DNSメッセージ識別部303、名前解決部304、名前−アドレステーブル305、DNSメッセージ生成部306、テーブル設定部307、プライベートIPアドレス管理テーブル308、グローバルIPアドレス管理テーブル309、アドレス変換テーブル310、トワイスNAT処理部311、送信部312、グローバルネットワークインタフェース部313、受信識別部314、および送信部315を有している。
プライベートネットワークインタフェース部301は、プライベートネットワーク100との間のインタフェースであり、プライベートネットワーク100から受信する信号を受信識別部302へ出力するとともに、送信部315から出力される信号をプライベートネットワーク100へ送信する。
受信識別部302は、プライベートネットワーク100からの信号が名前解決に関するDNSメッセージであるか否かを識別し、DNSメッセージをDNSメッセージ識別部303へ転送する一方、DNSメッセージ以外のメッセージをトワイスNAT処理部311へ転送する。
DNSメッセージ識別部303は、DNSメッセージがパケットの転送先のドメイン名を含む名前問い合わせのメッセージ(以下、単に「名前問い合わせ」という)またはパケットの転送先のIPアドレスを含むアドレス回答のメッセージ(以下、単に「アドレス回答」という)のいずれであるかを識別し、名前問い合わせを名前解決部304へ転送する一方、アドレス回答をテーブル設定部307へ転送する。
名前解決部304は、名前問い合わせに含まれるドメイン名を抽出し、名前−アドレステーブル305からドメイン名を検索し、このドメイン名に対応するアドレスを取得する。そして、名前解決部304は、IPアドレスを取得できた場合は、DNSメッセージ生成部306へIPアドレス情報を転送し、IPアドレス情報をアドレス回答として名前問い合わせの送信元へ転送することを指示する。一方、名前解決部304は、IPアドレスを取得できなかった場合は、名前問い合わせを名前解決が可能な他のDNSサーバへ転送することをDNSメッセージ生成部306へ指示する。
名前−アドレステーブル305は、例えば図3に示すように、ドメイン名とアドレスを対応づけて保持しており、名前解決部304による名前解決の際に参照される。なお、名前−アドレステーブル305に保持されるアドレスは、後述するアドレス変換テーブル310に登録されているアドレスであり、グローバルネットワーク200のホスト(例えばホスト200b)のドメイン名(例えば「a.global.com」)には、プライベートIPアドレス(例えば「PA4」)が対応づけられ、プライベートネットワーク100のホスト(例えばホスト100a)のドメイン名(例えば「a.private.com」)には、グローバルIPアドレス(例えば「GA2」)が対応づけられる。
DNSメッセージ生成部306は、名前問い合わせやアドレス回答のメッセージを生成し、指示された転送先へ転送する。
テーブル設定部307は、プライベートIPアドレスとグローバルIPアドレス間の対応関係を決定し、名前−アドレステーブル305およびアドレス変換テーブル310に登録する。テーブル設定部307の処理については、後に詳述する。
プライベートIPアドレス管理テーブル308は、例えば図4に示すように、グローバルネットワーク200のホスト(例えばホスト200b)に対して割り当て可能なプライベートIPアドレスのリストである。すなわち、プライベートIPアドレス管理テーブル308は、各プライベートIPアドレスの使用可否(他のマッピングに使用されている場合は「否」、使用されていない場合は「可」)を管理している。
グローバルIPアドレス管理テーブル309は、例えば図5に示すように、アドレスマッピングをする際に割り当て可能なグローバルIPアドレスのリストである。すなわち、グローバルIPアドレス管理テーブル309は、各グローバルIPアドレスの使用可否(他のマッピングに使用されている場合は「否」、使用されていない場合は「可」)を管理している。
アドレス変換テーブル310は、例えば図6に示すように、プライベートIPアドレスとグローバルIPアドレスを対応づけて保持しており、トワイスNAT処理部311によるトワイスNATの際に参照される。
トワイスNAT処理部311は、プライベートネットワーク100またはグローバルネットワーク200からのDNS以外のメッセージの送信元アドレスおよび宛先アドレスの双方をグローバルIPアドレスまたはプライベートIPアドレスに変換して送信部312または送信部315へ出力する。トワイスNAT処理部311の処理については、後に詳述する。
送信部312は、トワイスNAT処理部311から出力される信号をグローバルネットワークインタフェース部313を介してグローバルネットワーク200へ送信する。
グローバルネットワークインタフェース部313は、グローバルネットワーク200との間のインタフェースであり、送信部312から出力される信号をグローバルネットワーク200へ送信するとともに、グローバルネットワーク200から受信する信号を受信識別部314へ出力する。
受信識別部314は、グローバルネットワーク200からの信号が名前解決に関するDNSメッセージであるか否かを識別し、DNSメッセージをDNSメッセージ識別部303へ転送する一方、DNSメッセージ以外のメッセージをトワイスNAT処理部311へ転送する。
送信部315は、トワイスNAT処理部311から出力される信号をプライベートネットワークインタフェース部301を介してプライベートネットワーク100へ送信する。
次いで、テーブル設定部307の処理について、図7に示すフロー図を参照して説明する。
テーブル設定部307には、DNSメッセージのうちアドレス回答がDNSメッセージ識別部303から入力される。このアドレス回答からテーブル設定部307によって情報が抽出され(ST1000)、アドレス回答に含まれるIPアドレスがグローバルIPアドレスであるか否かが判定される(ST1100)。
IPアドレスがグローバルIPアドレスである場合は、テーブル設定部307によって、プライベートIPアドレス管理テーブル308から使用可能なプライベートIPアドレスが選択され、アドレス回答に含まれていたグローバルIPアドレスに対して、選択されたプライベートIPアドレスが割り当てられる(ST1200)。そして、これらのグローバルIPアドレスとプライベートIPアドレスとが対応づけられてアドレス変換テーブル310に登録される(ST1300)。また、グローバルIPアドレスに対応するドメイン名と選択されたプライベートIPアドレスとが名前−アドレステーブル305に登録される(ST1400)。その後、テーブル設定部307によって、ST1200で選択されたプライベートIPアドレスをアドレス回答としてプライベートネットワーク100内のDNSサーバ100bへ転送するように、DNSメッセージ生成部306へ指示が出される(ST1500)。
一方、ST1100の判定の結果、IPアドレスがグローバルIPアドレスではない場合は、テーブル設定部307によって、グローバルIPアドレス管理テーブル309から使用可能なグローバルIPアドレスが選択され、アドレス回答に含まれていたプライベートIPアドレスに対して、選択されたグローバルIPアドレスが割り当てられる(ST1600)。そして、これらのプライベートIPアドレスとグローバルIPアドレスとが対応づけられてアドレス変換テーブル310に登録される(ST1700)。また、プライベートIPアドレスに対応するドメイン名と選択されたグローバルIPアドレスとが名前−アドレステーブル305に登録される(ST1800)。その後、テーブル設定部307によって、ST1600で選択されたグローバルIPアドレスをアドレス回答としてグローバルネットワーク200内のDNSサーバ200cへ転送するように、DNSメッセージ生成部306へ指示が出される(ST1900)。
このようにアドレス変換テーブル310および名前−アドレステーブル305が設定されることにより、ゲートウェイ装置300において、プライベートネットワーク100内のホスト(例えばホスト100a)にはグローバルIPアドレスが割り当てられ、グローバルネットワーク200内のホスト(例えばホスト200b)にはプライベートIPアドレスが割り当てられたことになる。
次に、トワイスNAT処理部311の処理について、図8に示すフロー図を参照して説明する。
トワイスNAT処理部311には、DNSメッセージ以外のIPパケットなどのメッセージが受信識別部302または受信識別部314から入力される(ST2000)。そして、トワイスNAT処理部311によって、IPパケットの送信元アドレスおよび宛先アドレスが取得され(ST2010)、IPパケットの転送先がグローバルネットワーク200であるかプライベートネットワーク100であるかが判定される(ST2020)。
転送先がグローバルネットワーク200である場合は、トワイスNAT処理部311によって、アドレス変換テーブル310から宛先アドレスが検索され(ST2030)、宛先アドレスの有無が判定される(ST2040)。この結果、宛先アドレスがアドレス変換テーブル310に登録されていない場合は、パケットが廃棄される(ST2120)。また、宛先アドレスがアドレス変換テーブル310に登録されている場合は、アドレス変換テーブル310が参照され、宛先アドレスが対応するグローバルIPアドレスに変換される(ST2050)。
その後、アドレス変換テーブル310から送信元アドレスが検索され、送信元アドレスの有無が判定される(ST2060)。この結果、送信元アドレスがアドレス変換テーブル310に登録されている場合は、送信元アドレスが対応するグローバルIPアドレスに変換され(ST2070)、送信部312へIPパケットが転送される(ST2080)。また、送信元アドレスがアドレス変換テーブル310に登録されていない場合は、その旨がテーブル設定部307へ通知され、グローバルIPアドレス管理テーブル309から使用可能なグローバルIPアドレスが選択され(ST2090)、IPパケットの送信元アドレスと選択されたグローバルIPアドレスとが対応づけられてアドレス変換テーブル310に登録される(ST2100)。さらに、トワイスNAT処理部311によって、送信元アドレスが選択されたグローバルIPアドレスに変換され(ST2110)、送信部312へIPパケットが転送される(ST2080)。
一方、ST2020の判定の結果、転送先がプライベートネットワーク100である場合は、トワイスNAT処理部311によって、アドレス変換テーブル310から宛先アドレスが検索され(ST2130)、宛先アドレスの有無が判定される(ST2140)。この結果、宛先アドレスがアドレス変換テーブル310に登録されていない場合は、パケットが廃棄される(ST2120)。また、宛先アドレスがアドレス変換テーブル310に登録されている場合は、アドレス変換テーブル310が参照され、宛先アドレスが対応するプライベートIPアドレスに変換される(ST2150)。
その後、アドレス変換テーブル310から送信元アドレスが検索され、送信元アドレスの有無が判定される(ST2160)。この結果、送信元アドレスがアドレス変換テーブル310に登録されている場合は、送信元アドレスが対応するプライベートIPアドレスに変換され、(ST2170)、送信部315へIPパケットが転送される(ST2180)。また、送信元アドレスがアドレス変換テーブル310に登録されていない場合は、その旨がテーブル設定部307へ通知され、プライベートIPアドレス管理テーブル308から使用可能なプライベートIPアドレスが選択され(ST2190)、IPパケットの送信元アドレスと選択されたプライベートIPアドレスとが対応づけられてアドレス変換テーブル310に登録される(ST2200)。さらに、トワイスNAT処理部311によって、送信元アドレスが選択されたプライベートIPアドレスに変換され(ST2210)、送信部315へIPパケットが転送される(ST2180)。
このように、宛先アドレスおよび送信元アドレスの双方がゲートウェイ装置300においてパケット転送先のネットワークにおけるIPアドレスに変換されるため、2つのネットワークを跨ぐアクセスにおいては、パケット送信元のホストに対してパケット転送先の実際のIPアドレスを隠蔽することができ、セキュリティを向上することができる。
次に、プライベートネットワーク100とグローバルネットワーク200の間のアクセスについて説明する。まず、プライベートネットワーク100からグローバルネットワーク200へのアクセスについて、図9に示すシーケンス図を参照して説明する。
まず、プライベートネットワーク100内のホスト100aは、プライベートネットワーク100内のDNSサーバ100bへドメイン名「a.global.com」の名前解決の依頼(DNSクエリ)400を送信する。しかし、DNSサーバ100bには、ドメイン名「a.global.com」が登録されていないため、ゲートウェイ装置300へ名前問い合わせ401が送信される。
名前問い合わせ401は、ゲートウェイ装置300のプライベートネットワークインタフェース部301、受信識別部302、およびDNSメッセージ識別部303を経て名前解決部304へ入力され、名前解決部304にて名前解決が試みられる。すなわち、名前−アドレステーブル305においてドメイン名「a.global.com」が検索される。ここで、過去にプライベートネットワーク100からドメイン名「a.global.com」のホスト200bに対するアクセスが行われていれば、名前−アドレステーブル305にドメイン名「a.global.com」と対応するプライベートIPアドレスが登録されているため、このプライベートIPアドレスがホスト100aへ返送される。
以下では、過去にホスト200bに対するアクセスが行われておらず、ドメイン名「a.global.com」が名前−アドレステーブル305に登録されていないものとして説明を続ける。この場合、DNSメッセージ生成部306によって名前問い合わせが生成され、グローバルネットワーク200内のDNSサーバ200cへ名前問い合わせ402が転送される。DNSサーバ200cは、自サーバに保持されている名前−アドレステーブルから「a.global.com」を検索し、グローバルIPアドレス「GA4」を取得する。グローバルIPアドレス取得後、DNSサーバ200cは、ゲートウェイ装置300へグローバルIPアドレス「GA4」を含むアドレス回答403を転送する。
アドレス回答403を受信したゲートウェイ装置300は、上述したテーブル設定部307による処理を行う。すなわち、プライベートIPアドレス管理テーブル308から使用可能なプライベートIPアドレス「PA4」が選択され、実際のグローバルIPアドレス「GA4」に対応づけられて、アドレス変換テーブル310に登録される。また、名前−アドレステーブル305に、ドメイン名「a.global.com」とプライベートIPアドレス「PA4」が登録される。
テーブル設定部307による処理が終了した後、DNSメッセージ生成部306は、プライベートIPアドレス「PA4」を含むアドレス回答を生成し、アドレス回答404が送信部315からプライベートネットワークインタフェース部301を介してDNSサーバ100bへ送信される。DNSサーバ100bは、ホスト100aへドメイン名「a.global.com」のIPアドレスがプライベートIPアドレス「PA4」である旨のDNS回答405を転送する。したがって、プライベートネットワーク100内のホスト100aおよびDNSサーバ100bに対しては、グローバルネットワーク200内のホスト200bの実際のグローバルIPアドレス「GA4」が隠蔽されている。そして、ホスト100aは、送信元アドレスをプライベートIPアドレス「PA3」、宛先アドレスをプライベートIPアドレス「PA4」として、IPパケット406をゲートウェイ装置300へ送信する。
IPパケット406を受信したゲートウェイ装置300は、上述したトワイスNAT処理部311による処理を行う。すなわち、トワイスNAT処理部311によってアドレス変換テーブル310が参照され、宛先アドレスのプライベートIPアドレス「PA4」がグローバルIPアドレス「GA4」に変換される。また、トワイスNAT処理部311によって、送信元アドレスに対するアドレスマッピングが生成され、送信元アドレス「PA3」がそのマッピングに対応するグローバルIPアドレス「GA1」に変換される。このようにして、宛先アドレスおよび送信元アドレスの双方がグローバルIPアドレスに変換されるトワイスNATが行われた後、IPパケット407は、グローバルネットワーク200内のホスト200bへ送信される。したがって、グローバルネットワーク200内のホスト200bに対しては、プライベートネットワーク100内のホスト100aの実際のプライベートIPアドレス「PA3」が隠蔽されている。
以後、プライベートネットワーク100内のホスト100aからグローバルネットワーク200内のホスト200bへの通信では、ゲートウェイ装置300において、アドレス変換テーブル310に基づくトワイスNATが実施される。
次に、上記のアクセスとは反対方向のアクセス、すなわち、グローバルネットワーク200からプライベートネットワーク100へのアクセスについて、図10に示すシーケンス図を参照して説明する。
まず、グローバルネットワーク200内のホスト200bは、グローバルネットワーク200内のDNSサーバ200cへドメイン名「a.private.com」に関するDNSクエリ450を送信する。しかし、DNSサーバ200cには、ドメイン名「a.private.com」が登録されていないため、ゲートウェイ装置300へ名前問い合わせ451が送信される。
名前問い合わせ451は、グローバルネットワークインタフェース部313、受信識別部314、およびDNSメッセージ識別部303を経て名前解決部304へ入力され、名前解決部304にて名前解決が試みられる。ここでは、上述したプライベートネットワーク100からグローバルネットワーク200へのアクセスと同様に、ドメイン名「a.private.com」が名前−アドレステーブル305に登録されていないものとして説明を続ける。この場合、DNSメッセージ生成部306によって生成された名前問い合わせ452がプライベートネットワーク100内のDNSサーバ100bへ転送される。DNSサーバ100bは、自サーバに保持されている名前−アドレステーブルから「a.private.com」を検索し、プライベートIPアドレス「PA3」を取得する。プライベートIPアドレス取得後、DNSサーバ100bは、ゲートウェイ装置300へプライベートIPアドレス「PA3」を含むアドレス回答453を転送する。
アドレス回答453を受信したゲートウェイ装置300は、上述したテーブル設定部307による処理を行う。すなわち、グローバルIPアドレス管理テーブル309から使用可能なグローバルIPアドレス「GA2」が選択され、実際のプライベートIPアドレス「PA3」に対応づけられて、アドレス変換テーブル310に登録される。また、名前−アドレステーブル305に、ドメイン名「a.private.com」とグローバルIPアドレス「GA2」が登録される。
テーブル設定部307による処理が終了した後、DNSメッセージ生成部306は、グローバルIPアドレス「GA2」を含むアドレス回答を生成し、アドレス回答454が送信部312からグローバルネットワークインタフェース部313を介してDNSサーバ200cへ送信される。DNSサーバ200cは、ホスト200bへドメイン名「a.private.com」のIPアドレスがグローバルIPアドレス「GA2」である旨のDNS回答455を転送する。したがって、グローバルネットワーク200内のホスト200bおよびDNSサーバ200cに対しては、プライベートネットワーク100内のホスト100aの実際のプライベートIPアドレス「PA3」が隠蔽されている。そして、ホスト200bは、送信元アドレスをグローバルIPアドレス「GA4」、宛先アドレスをグローバルIPアドレス「GA2」として、IPパケット456をゲートウェイ装置300へ送信する。
IPパケット456を受信したゲートウェイ装置300は、上述したトワイスNAT処理部311による処理を行う。すなわち、トワイスNAT処理部311によってアドレス変換テーブル310が参照され、宛先アドレスのグローバルIPアドレス「GA2」がプライベートIPアドレス「PA3」に変換される。また、トワイスNAT処理部311によって、送信元アドレスに対応するプライベートIPアドレスとして使用可能なプライベートIPアドレス「PA4」がプライベートIPアドレス管理テーブル308から選択され、送信元アドレスであるグローバルIPアドレス「GA4」と選択されたプライベートIPアドレス「PA4」とがアドレス変換テーブル310に登録され、送信元アドレスがプライベートIPアドレス「PA4」に変換される。このようにして、宛先アドレスおよび送信元アドレスの双方がプライベートIPアドレスに変換されるトワイスNATが行われた後、IPパケット457は、プライベートネットワーク100内のホスト100aへ送信される。したがって、プライベートネットワーク100内のホスト100aに対しては、グローバルネットワーク内のホスト200bの実際のグローバルIPアドレス「GA4」が隠蔽されている。
以後、グローバルネットワーク200内のホスト200bからプライベートネットワーク100内のホスト100aへの通信では、ゲートウェイ装置300において、アドレス変換テーブル310に基づくトワイスNATが実施される。
以上のように、本実施の形態によれば、グローバルネットワークとプライベートネットワークの間の通信が行われる際、ゲートウェイ装置において、名前解決時にドメイン名に対応するIPアドレスを送信元のネットワーク内における未使用のIPアドレスに変換するとともに、IPパケットの送信時に送信元アドレスおよび宛先アドレスをパケット転送先のネットワーク内におけるIPアドレスに変換する。このため、互いのネットワークを越えて実際のIPアドレスがやり取りされることがなく、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現できる。
(実施の形態2)
本発明の実施の形態2の特徴は、名前−アドレステーブルに加えてポート番号の通知が可能なSRV(SeRVice)レコードを保持し、グローバルネットワークのホストからの名前問い合わせへのアドレス回答としてグローバルIPアドレスおよびポートを通知することにより、宛先アドレスの変換時にNATに代えてNAPT(Network Address Port Transfer)を使用する点である。
本実施の形態に係るネットワーク構成は、図1(実施の形態1)と同様であるため、その説明を省略する。ただし、実施の形態1と異なり、本実施の形態のゲートウェイ装置300には、グローバルネットワーク200側ではグローバルIPアドレス「GA1」のみが付与されている。
図11は、本実施の形態に係るゲートウェイ装置300の構成を示すブロック図である。同図において、図2と同じ部分には同じ符号を付し、その説明を省略する。図11に示すように、ゲートウェイ装置300は、プライベートネットワークインタフェース部301、受信識別部302、DNSメッセージ識別部303、名前解決部304、SRVレコード/名前−アドレステーブル501、DNSメッセージ生成部306、テーブル設定部502、アドレス管理テーブル503、ポート管理テーブル504、アドレス変換テーブル505、トワイスNAT処理部506、送信部312、グローバルネットワークインタフェース部313、受信識別部314、および送信部315を有している。
SRVレコード/名前−アドレステーブル501は、実施の形態1の名前−アドレステーブル305の情報に加え、例えば図12に示すSRVレコードを保持している。ここで、SRVレコードとは、IETF(The Internet Engineering Task Force)によって発行されたRFC(Request For Comment)2782に規定されており、負荷分散サービスの提供、冗長性の確保、およびサービスポート番号の通知という目的で、ドメイン名とIPアドレス以外のインターネットに必要な情報のことである。SRVレコードによれば、_Service._Proto.Nameで名前解決が行われる。_Service._Proto.Nameのうち_Serviceはサービス名を示し、RFC1700に規定されたもの(例えばWebサービスの場合はwww)や、独自に定義したものを使用することができる。また、_Protoはプロトコル名を示し、Nameはドメイン名を示している。例えば、Webサービスを有するprivate.comの場合、_Service._Proto.Nameは、_www._tcp.private.comとなる。また、SRVレコードにおける優先度(Priority)により、SRVレコードに登録されている各エントリに対して優先度を付与することができる。また、ポート(port)はサービスポート番号を示し、ターゲット(Target)はサービスを提供するホスト名を示している。本実施の形態のゲートウェイ装置300に登録されているポート番号は、すべてグローバルポートであるものとする。
テーブル設定部502は、プライベートIPアドレスとグローバルIPアドレス間の対応関係を決定し、SRVレコード/名前−アドレステーブル501およびアドレス変換テーブル505に登録するとともに、グローバルポートとプライベートポート間の対応関係を決定し、SRVレコード/名前−アドレステーブル501およびアドレス変換テーブル505に登録する。テーブル設定部502の処理については、後に詳述する。
アドレス管理テーブル503は、例えば図13に示すように、グローバルネットワーク200のホスト(例えばホスト200b)に対して割り当て可能なプライベートIPアドレスのリストである。すなわち、プライベートIPアドレス管理テーブル308は、各プライベートIPアドレスの使用可否(他のマッピングに使用されている場合は「否」、使用されていない場合は「可」)を管理している。
ポート管理テーブル504は、例えば図14に示すように、プライベートネットワーク100のホスト(例えばホスト100a)に対して割り当て可能なグローバルポートのリストである。すなわち、ポート管理テーブル504は、各グローバルポートの使用可否(他のマッピングに使用されている場合は「否」、使用されていない場合は「可」)を管理している。
アドレス変換テーブル505は、例えば図15に示すように、プライベートIPアドレス、プライベートポート、グローバルIPアドレス、およびグローバルポートを対応づけて保持しており、トワイスNAT処理部506によるトワイスNATの際に参照される。なお、アドレス変換テーブル505において、プライベートポートとグローバルポートが登録されていない場合には、トワイスNAT処理部506によるポートの変換は行われない。
トワイスNAT処理部506は、プライベートネットワーク100またはグローバルネットワーク200からのDNS以外のメッセージの送信元アドレスおよび宛先アドレスの双方をグローバルIPアドレスまたはプライベートIPアドレスに変換するとともに、グローバルポートとプライベートポートの変換をして送信部312または送信部315へ出力する。トワイスNAT処理部506の処理については、後に詳述する。
次いで、テーブル設定部502の処理について、図16に示すフロー図を参照して説明する。なお、同図において、図7(実施の形態1)と同じ部分には同じ符号を付し、その詳しい説明を省略する。
まず、実施の形態1と同様に、テーブル設定部502に入力されたアドレス回答に含まれるIPアドレスがグローバルIPアドレスであるか否かが判定される(ST1100)。IPアドレスがグローバルIPアドレスである場合は、このグローバルIPアドレスに対して、アドレス管理テーブル503から選択された使用可能なプライベートIPアドレスが割り当てられ(ST1200)、これらのグローバルIPアドレスとプライベートIPアドレスとが対応づけられてアドレス変換テーブル505に登録される(ST1300)。また、グローバルIPアドレスに対応するドメイン名と選択されたプライベートIPアドレスとがSRVレコード/名前−アドレステーブル501に登録される(ST3000)。その後、テーブル設定部502によって、選択されたプライベートIPアドレスを含むアドレス回答をDNSサーバ100bへ転送するように、DNSメッセージ生成部306へ指示が出される(ST1500)。
一方、ST1100の判定の結果、IPアドレスがグローバルIPアドレスではない場合は、テーブル設定部502によって、ポート管理テーブル504から使用可能なグローバルポートが選択され、アドレス回答に含まれていたプライベートIPアドレスおよびプライベートポート(以下、「プライベートIPアドレス/ポート」と表記する)に対して、選択されたグローバルポートが割り当てられる(ST3100)。そして、これらのプライベートIPアドレス/ポートとゲートウェイ装置300のグローバルIPアドレスおよび選択されたグローバルポートとが対応づけられてアドレス変換テーブル505に登録される(ST3200)。また、プライベートIPアドレスに対応するドメイン名とゲートウェイ装置300のグローバルIPアドレスと選択されたグローバルポートとがSRVレコード/名前−アドレステーブル501にSRVレコードとして登録される(ST3300)。その後、テーブル設定部502によって、ゲートウェイ装置300のグローバルIPアドレスおよびST3100で選択されたグローバルポートをアドレス回答としてグローバルネットワーク200内のDNSサーバ200cへ転送するように、DNSメッセージ生成部306へ指示が出される(ST3400)。
このようにアドレス変換テーブル505およびSRVレコード/名前−アドレステーブル501が設定されることにより、ゲートウェイ装置300において、プライベートネットワーク100内のホスト(例えばホスト100a)にはゲートウェイ装置300のグローバルIPアドレスおよびグローバルポートが割り当てられ、グローバルネットワーク200内のホスト(例えばホスト200b)にはプライベートIPアドレスが割り当てられたことになる。
次に、トワイスNAT処理部506の処理について、図17に示すフロー図を参照して説明する。なお、同図において、図8(実施の形態1)と同じ部分には同じ符号を付し、その詳しい説明を省略する。
トワイスNAT処理部506には、DNSメッセージ以外のIPパケットなどのメッセージが受信識別部302または受信識別部314から入力される(ST2000)。そして、実施の形態1と同様に、トワイスNAT処理部506によって、IPパケットの送信元アドレス、送信元ポート、および宛先アドレスが取得され(ST2010)、IPパケットの転送先が判定され(ST2020)、IPパケットの転送先がグローバルネットワーク200である場合は、アドレス変換テーブル505における宛先アドレスの有無が判定される(ST2040)。この結果、宛先アドレスがアドレス変換テーブル505に登録されていない場合は、パケットが廃棄される(ST2120)一方、宛先アドレスがアドレス変換テーブル505に登録されている場合は、宛先アドレスが対応するグローバルIPアドレスに変換される(ST2050)。
その後、アドレス変換テーブル505から送信元アドレスおよび送信元ポートが検索され、送信元アドレスおよび送信元ポートの有無が判定される(ST4000)。この結果、送信元アドレスおよび送信元ポートがアドレス変換テーブル505に登録されている場合は、送信元アドレスおよび送信元ポートがそれぞれ対応するグローバルIPアドレスおよびグローバルポートに変換され(ST4010)、送信部312へIPパケットが転送される(ST2080)。また、送信元アドレスおよび送信元ポートがアドレス変換テーブル505に登録されていない場合は、その旨がテーブル設定部502へ通知され、ポート管理テーブル504から使用可能なグローバルポートが選択され(ST4020)、IPパケットの送信元ポートと選択されたグローバルポートとが対応づけられてアドレス変換テーブル505に登録される(ST4030)。さらに、トワイスNAT処理部506によって、送信元アドレスおよび送信元ポートがそれぞれゲートウェイ装置300のグローバルIPアドレスおよび選択されたグローバルポートに変換され(ST4040)、送信部312へIPパケットが転送される(ST2080)。
一方、ST2020の判定の結果、転送先がプライベートネットワーク100である場合は、トワイスNAT処理部506によって、アドレス変換テーブル505から宛先アドレスが検索され(ST2130)、宛先ポートの有無が判定される(ST4050)。この結果、宛先ポートがアドレス変換テーブル505に登録されていない場合は、パケットが廃棄される(ST2120)。また、宛先ポートがアドレス変換テーブル505に登録されている場合は、アドレス変換テーブル505が参照され、宛先アドレスおよび宛先ポートがそれぞれ対応するプライベートIPアドレスおよびプライベートポートに変換される(ST4060)。
その後、実施の形態1と同様に、アドレス変換テーブル505から送信元アドレスが検索され、送信元アドレスがアドレス変換テーブル505に登録されている場合は、送信元アドレスが対応するプライベートIPアドレスに変換され、(ST2170)、送信部315へIPパケットが転送される(ST2180)。また、送信元アドレスがアドレス変換テーブル505に登録されていない場合は、使用可能なプライベートIPアドレスが送信元アドレスに割り当てられて登録された上で、送信元アドレスがこのプライベートIPアドレスに変換され(ST2210)、送信部315へIPパケットが転送される(ST2180)。
このように、宛先アドレスおよび送信元アドレスの双方と宛先ポートまたは送信元ポートとがゲートウェイ装置300においてパケット転送先のネットワークにおけるIPアドレスおよびポートに変換されるため、2つのネットワークを跨ぐアクセスにおいては、パケット送信元のホストに対してパケット転送先の実際のIPアドレスを隠蔽することができ、セキュリティを向上することができる。
次に、プライベートネットワーク100とグローバルネットワーク200の間のアクセスについて説明する。本実施の形態に係るプライベートネットワーク100からグローバルネットワーク200へのアクセスについては、送信元アドレスのみではなく送信元ポートがグローバルポートに変換される点を除いて実施の形態1と同様であるため、その説明を省略する。
したがって、以下ではグローバルネットワーク200からプライベートネットワーク100へのアクセスについて、図18に示すシーケンス図を参照して説明する。
まず、グローバルネットワーク200内のホスト200bは、グローバルネットワーク200内のDNSサーバ200cへ_Service._Proto.Name「_www._tcp.private.com」に関するDNSクエリ600を送信する。しかし、DNSサーバ200cには、_Service._Proto.Name「_www._tcp.private.com」が登録されていないため、ゲートウェイ装置300へ名前問い合わせ601が送信される。
名前問い合わせ601は、グローバルネットワークインタフェース部313、受信識別部314、およびDNSメッセージ識別部303を経て名前解決部304へ入力され、名前解決部304にて名前解決が試みられる。ここでは、_Service._Proto.Name「_www._tcp.private.com」がSRVレコード/名前−アドレステーブル501に登録されていないものとして説明を続ける。この場合、DNSメッセージ生成部306によって生成された名前問い合わせ602がプライベートネットワーク100内のDNSサーバ100bへ転送される。DNSサーバ100bは、自サーバに保持されている名前−アドレステーブルから「_www._tcp.private.com」を検索し、プライベートIPアドレス「PA3」およびプライベートポート「aaa」を取得する。プライベートIPアドレス/ポート取得後、DNSサーバ100bは、ゲートウェイ装置300へプライベートIPアドレス「PA3」およびプライベートポート「aaa」を含むアドレス/ポート回答603を転送する。
アドレス/ポート回答603を受信したゲートウェイ装置300は、上述したテーブル設定部502による処理を行う。すなわち、ポート管理テーブル504から使用可能なグローバルポート「xxx」が選択され、ゲートウェイ装置300のグローバルIPアドレス「GA1」、実際のプライベートIPアドレス「PA3」、およびプライベートポート「aaa」に対応づけられて、アドレス変換テーブル505に登録される。また、SRVレコード/名前−アドレステーブル501に、_Service._Proto.Name「_www._tcp.private.com」とグローバルIPアドレス「GA1」およびグローバルポート「xxx」とが対応づけられて登録される。
テーブル設定部502による処理が終了した後、DNSメッセージ生成部306は、グローバルIPアドレス「GA1」およびグローバルポート「xxx」を含むアドレス回答を生成し、アドレス/ポート回答604が送信部312からグローバルネットワークインタフェース部313を介してDNSサーバ200cへ送信される。DNSサーバ200cは、ホスト200bへ_Service._Proto.Name「_www._tcp.private.com」のIPアドレスがグローバルIPアドレス「GA1」であり、グローバルポートが「xxx」である旨のDNS回答605を転送する。したがって、グローバルネットワーク200内のホスト200bおよびDNSサーバ200cに対しては、プライベートネットワーク100内のホスト100aの実際のプライベートIPアドレス「PA3」およびプライベートポート「aaa」が隠蔽されている。そして、ホスト200bは、送信元アドレスをグローバルIPアドレス「GA4」、宛先アドレスをグローバルIPアドレス「GA1」、宛先ポートをグローバルポート「xxx」として、IPパケット606をゲートウェイ装置300へ送信する。
IPパケット606を受信したゲートウェイ装置300は、上述したトワイスNAT処理部506による処理を行う。すなわち、トワイスNAT処理部506によってアドレス変換テーブル505が参照され、宛先アドレスのグローバルIPアドレス「GA1」および宛先ポートのグローバルポート「xxx」がそれぞれプライベートIPアドレス「PA3」およびプライベートポート「aaa」に変換される。また、トワイスNAT処理部506によって、送信元アドレスに対応するプライベートIPアドレスとして使用可能なプライベートIPアドレス「PA4」がアドレス管理テーブル503から選択され、送信元アドレスであるグローバルIPアドレス「GA4」と選択されたプライベートIPアドレス「PA4」とがアドレス変換テーブル505に登録され、送信元アドレスがプライベートIPアドレス「PA4」に変換される。このようにして、宛先アドレスおよび送信元アドレスの双方がプライベートIPアドレスに変換されるトワイスNATが行われた後、IPパケット607は、プライベートネットワーク100内のホスト100aへ送信される。したがって、プライベートネットワーク100内のホスト100aに対しては、グローバルネットワーク内のホスト200bの実際のグローバルIPアドレス「GA4」が隠蔽されている。
以後、グローバルネットワーク200内のホスト200bからプライベートネットワーク100内のホスト100aへの通信では、ゲートウェイ装置300において、アドレス変換テーブル505に基づくトワイスNATが実施される。
以上のように、本実施の形態によれば、グローバルネットワークとプライベートネットワークの間の通信が行われる際、ゲートウェイ装置において、名前解決時にドメイン名に対応するIPアドレスを送信元のネットワーク内における未使用のIPアドレスに変換するとともに、IPパケットの送信時に送信元アドレスおよび宛先アドレスをパケット転送先のネットワーク内におけるIPアドレスに変換する。このため、互いのネットワークを越えて実際のIPアドレスがやり取りされることがなく、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現できる。
また、本実施の形態においては、ゲートウェイ装置にグローバルIPアドレスを1つのみ付与し、SRVレコードに含まれるポートによってグローバルIPアドレスの識別を行うため、多くのIPアドレスをゲートウェイ装置が占有することを防止することができる。
(実施の形態3)
本発明の実施の形態3の特徴は、プライベートネットワーク内のホストがUPnP(Universal Plug and Play)プロトコルなどのプラグアンドプレイの機能を搭載している場合、ゲートウェイ装置において自動的にポートマッピングを作成する点である。
本実施の形態に係るネットワーク構成は、図1(実施の形態1)と同様であるため、その説明を省略する。ただし、実施の形態1と異なり、本実施の形態のホスト100aには、UPnPプロトコルが搭載されている。また、本実施の形態のゲートウェイ装置300には、実施の形態2と同様に、グローバルネットワーク200側ではグローバルIPアドレス「GA1」のみが付与されている。
UPnPとは、家庭内のパソコン、パソコン周辺機器、AV機器、および家電製品などの機器をネットワークを通じて接続し、相互に機能を提供しあうために「UPnP Forum」と呼ばれる団体によって規格化された技術仕様である。UPnPは、インターネットで標準となっている技術を基盤とし、ネットワークに接続するだけで、複雑な操作や設定作業を伴うことなく機能することを目指して検討されている。また、UPnPは、主にデバイス検出、LAN内の機器からのポートマッピング要求、およびグローバルIPアドレスの通知などの機能を有する。
図19は、本実施の形態に係るゲートウェイ装置300の構成を示すブロック図である。同図において、図2および図11と同じ部分には同じ符号を付し、その説明を省略する。図19に示すように、ゲートウェイ装置300は、プライベートネットワークインタフェース部301、受信識別部701、DNSメッセージ識別部303、名前解決部304、SRVレコード/名前−アドレステーブル501、DNSメッセージ生成部306、テーブル設定部703、アドレス管理テーブル503、ポート管理テーブル504、アドレス変換テーブル505、トワイスNAT処理部506、送信部312、グローバルネットワークインタフェース部313、受信識別部314、送信部315、およびUPnP処理部702を有している。
受信識別部701は、プライベートネットワーク100からの信号がDNSメッセージであるか、UPnPメッセージであるか、またはそれ以外のメッセージであるかを識別し、DNSメッセージをDNSメッセージ識別部303へ転送し、UPnPメッセージをUPnP処理部702へ転送し、これら以外のメッセージをトワイスNAT処理部506へ転送する。
UPnP処理部702は、UPnPメッセージがポートマッピング要求の場合には、ホスト100aのプライベートIPアドレス/ポートを含むポートマッピング要求をテーブル設定部703へ送信する。また、UPnP処理部702は、テーブル設定部703からポートマッピング要求応答を受信し、通知されたグローバルポートを示すUPnPメッセージを送信部315へ転送する。
テーブル設定部703は、ポートマッピング要求をUPnP処理部702から受信すると、ポート管理テーブル504から使用可能なグローバルポートを選択し、ポートマッピング要求に含まれるプライベートIPアドレス/ポート、ゲートウェイ装置300のグローバルIPアドレス、および選択されたグローバルポートをアドレス変換テーブル505に登録する。また、テーブル設定部703は、SRVレコード/名前−アドレステーブル501に、ゲートウェイ装置300のグローバルIPアドレスと選択されたグローバルポートを登録する。
次いで、上記のように構成されたゲートウェイ装置300におけるアドレス変換テーブル505およびSRVレコード/名前−アドレステーブル501の設定動作を図20に示すシーケンス図を参照しながら説明する。
まず、ホスト100aが起動されると、ホスト100aのUPnPによって、ゲートウェイ装置300が検出(デバイス検出)され、ポートマッピング要求800が送信される。ゲートウェイ装置300は、UPnP処理部702にて受信したUPnPメッセージがポートマッピング要求であると判断し、テーブル設定部703へポートマッピング要求801を転送する。このとき、ポートマッピング要求801には、ホスト100aのプライベートIPアドレス「PA3」とプライベートポート「aaa」が含まれている。
テーブル設定部703は、ポート管理テーブル504から使用可能なグローバルポート「xxx」を選択し、アドレス変換テーブル登録802をアドレス変換テーブル505へ出力する。すなわち、テーブル設定部703は、プライベートIPアドレス「PA3」、プライベートポート「aaa」、ゲートウェイ装置300のグローバルIPアドレス「GA1」、および選択したポート「xxx」をアドレス変換テーブル505に登録する。
また、テーブル設定部703は、SRVレコード/名前−アドレステーブル登録803をSRVレコード/名前−アドレステーブル501へ出力する。すなわち、テーブル設定部703は、ゲートウェイ装置300のグローバルIPアドレス「GA1」と選択したポート「xxx」をSRVレコード/名前−アドレステーブル501に登録する。
このようにしてポートマッピングが行われた後、テーブル設定部703は、ポートマッピングが完了した旨のポートマッピング要求応答804をUPnP処理部702へ出力し、UPnP処理部702からポートマッピング要求応答805がホスト100aへ転送される。
以後、ホスト100aは、定期的にポートマッピング確認要求806をゲートウェイ装置300へ送信し、ゲートウェイ装置300のUPnP処理部702は、テーブル設定部703へポートマッピング確認要求807を出力し、テーブル設定部703は、アドレス変換テーブル参照808を行って、この結果をポートマッピング確認応答809としてUPnP処理部702へ返送する。UPnP処理部702は、ポートマッピング確認応答810をホスト100aへ転送することにより、ポートマッピングがアドレス変換テーブル505に設定されているか否かを確認する。
以上のような動作は、例えばプライベートネットワーク100内のホストが新規にサービスを提供する場合に実施される。
次に、グローバルネットワーク200からプライベートネットワーク100へのアクセスについて、図21に示すシーケンス図を参照して説明する。
まず、グローバルネットワーク200内のホスト200bは、グローバルネットワーク200内のDNSサーバ200cへ_Service._Proto.Name「_www._tcp.private.com」に関するDNSクエリ850を送信する。しかし、DNSサーバ200cには、_Service._Proto.Name「_www._tcp.private.com」が登録されていないため、ゲートウェイ装置300へ名前問い合わせ851が送信される。
名前問い合わせ851は、グローバルネットワークインタフェース部313、受信識別部314、およびDNSメッセージ識別部303を経て名前解決部304へ入力される。本実施の形態においては、プライベートネットワーク100内のホスト100aとの間でUPnPによって、事前にアドレス変換テーブル505およびSRVレコード/名前−アドレステーブル501が設定されているため、名前解決部304によって、SRVレコード/名前−アドレステーブル501から「_www._tcp.private.com」が検索され、プライベートIPアドレス「PA3」およびプライベートポート「aaa」が取得される。
取得されたプライベートIPアドレス「PA3」およびプライベートポート「aaa」は、アドレス変換テーブル505が参照されることにより、ゲートウェイ装置300のグローバルIPアドレス「GA1」およびグローバルポート「xxx」へ変換され、アドレス/ポート回答852としてグローバルネットワーク200内のDNSサーバ200cへ送信される。DNSサーバ200cは、ホスト200bへ_Service._Proto.Name「_www._tcp.private.com」のIPアドレスがグローバルIPアドレス「GA1」であり、グローバルポートが「xxx」である旨のDNS回答853を転送する。したがって、グローバルネットワーク200内のホスト200bおよびDNSサーバ200cに対しては、プライベートネットワーク100内のホスト100aの実際のプライベートIPアドレス「PA3」およびプライベートポート「aaa」が隠蔽されている。そして、ホスト200bは、送信元アドレスをグローバルIPアドレス「GA4」、宛先アドレスをグローバルIPアドレス「GA1」、宛先ポートをグローバルポート「xxx」として、IPパケット854をゲートウェイ装置300へ送信する。
以後、実施の形態2と同様のトワイスNAT処理が行われ、宛先アドレスがプライベートIPアドレス「PA3」、宛先ポートがプライベートポート「aaa」、および送信元アドレスがプライベートIPアドレス「PA4」にそれぞれ変換され、IPパケット855がホスト100aへ送信される。したがって、プライベートネットワーク100内のホスト100aに対しては、グローバルネットワーク内のホスト200bの実際のグローバルIPアドレス「GA4」が隠蔽されている。
以上のように、本実施の形態によれば、グローバルネットワークとプライベートネットワークの間の通信が行われる際、ゲートウェイ装置において、名前解決時にドメイン名に対応するIPアドレスを送信元のネットワーク内における未使用のIPアドレスに変換するとともに、IPパケットの送信時に送信元アドレスおよび宛先アドレスをパケット転送先のネットワーク内におけるIPアドレスに変換する。このため、互いのネットワークを越えて実際のIPアドレスがやり取りされることがなく、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現できる。
また、本実施の形態においては、UPnPによってプライベートネットワーク内のホストが起動されると同時にポートマッピングが作成されるため、プライベートネットワーク内にDNSサーバが無くてもゲートウェイ装置において名前解決を行うことができる。
なお、上記各実施の形態においては、グローバルネットワークからプライベートネットワークへのアクセス時には送信元アドレスのみが変換され、プライベートネットワークからグローバルネットワークへのアクセス時には宛先のアドレスのみが変換されている。したがって、上記各実施の形態においては、プライベートネットワークへ同時にアクセス可能なグローバルネットワーク内のホスト数は、ゲートウェイ装置が使用可能なプライベートIPアドレス数に依存する。また、プライベートネットワークから同時にアクセス可能なグローバルネットワーク内のホスト数も同様に、ゲートウェイ装置が使用可能なプライベートIPアドレス数に依存する。
そこで、本発明においては、グローバルネットワークからプライベートネットワークへのアクセス時に、送信元アドレスのみではなく、ポートも変換するようにしても良い。また、プライベートネットワークからグローバルネットワークへのアクセス時には、宛先アドレスおよびポートを変換するようにしても良い。
これにより、プライベートネットワークからアクセス可能なグローバルネットワークのホスト数、またはプライベートネットワークへアクセス可能なグローバルネットワークのホスト数は、ゲートウェイ装置が使用可能なプライベートIPアドレスに依存しなくなる。
本発明の第1の態様に係るアドレス変換装置は、パケット送信先が含まれる第1のネットワークおよびパケット送信元が含まれる第2のネットワークの間に設けられるアドレス変換装置であって、前記パケット送信先の前記第1のネットワーク内におけるアドレスに前記第2のネットワーク内における仮のアドレスを対応づけて設定する設定手段と、設定された仮のアドレスを前記パケット送信元へ送信する第1の送信手段と、前記パケット送信元から送信されるパケットの宛先アドレスおよび送信元アドレスを前記第1のネットワーク内におけるアドレスへ変換する変換手段と、アドレス変換後のパケットを前記パケット送信先へ送信する第2の送信手段と、を有する構成を採る。
この構成によれば、パケット送信先に仮のアドレスを対応づけ、パケット送信元から仮のアドレス宛てに送信されたパケットの送信元アドレスおよび宛先アドレスを第1のネットワーク内におけるアドレスへ変換してからパケット送信先へ送信するため、パケット送信先に対してパケット送信元のアドレスを隠蔽できるとともにパケット送信元に対してパケット送信先のアドレスを隠蔽できる。したがって、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現できる。
本発明の第2の態様に係るアドレス変換装置は、上記第1の態様において、前記設定手段は、自装置の前記第2のネットワーク内におけるアドレスを前記仮のアドレスとするとともに、前記パケット送信先のポート番号に前記第2のネットワーク内における仮のポート番号を対応づけて設定する構成を採る。
この構成によれば、仮のアドレスを自装置のアドレスとし、ポート番号に仮のポート番号を対応づけるため、ポート番号によってアドレスの識別を行うことができ、有限のアドレスを多く占有することを防止することができる。
本発明の第3の態様に係るアドレス変換装置は、上記第2の態様において、前記パケット送信先が起動する際に送信する要求メッセージであって前記パケット送信先のポート番号に前記第2のネットワーク内における仮のポート番号の対応づけを要求する要求メッセージを受信する受信手段、をさらに有し、前記設定手段は、前記要求メッセージが受信された時に前記パケット送信先のポート番号と前記仮のポート番号とを設定する構成を採る。
この構成によれば、パケット送信先の起動時にパケット送信先のポート番号と仮のポート番号とが対応づけられるため、第1のネットワーク内にDNSサーバなどが設置されていなくても名前解決を行うことができる。
本発明の第4の態様に係るアドレス変換方法は、パケット送信先が含まれる第1のネットワークおよびパケット送信元が含まれる第2のネットワークの間におけるアドレス変換方法であって、前記パケット送信先の前記第1のネットワーク内におけるアドレスに前記第2のネットワーク内における仮のアドレスを対応づけて設定するステップと、設定された仮のアドレスを前記パケット送信元へ送信するステップと、前記パケット送信元から送信されるパケットの宛先アドレスおよび送信元アドレスを前記第1のネットワーク内におけるアドレスへ変換するステップと、アドレス変換後のパケットを前記パケット送信先へ送信するステップと、を有するようにした。
この方法によれば、パケット送信先に仮のアドレスを対応づけ、パケット送信元から仮のアドレス宛てに送信されたパケットの送信元アドレスおよび宛先アドレスを第1のネットワーク内におけるアドレスへ変換してからパケット送信先へ送信するため、パケット送信先に対してパケット送信元のアドレスを隠蔽できるとともにパケット送信元に対してパケット送信先のアドレスを隠蔽できる。したがって、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現できる。
本発明のアドレス変換装置およびアドレス変換方法は、セキュリティを維持しつつグローバルネットワーク側からプライベートネットワーク側へのアクセスを可能として、グローバルネットワークとプライベートネットワーク間の相互通信を実現でき、例えばグローバルネットワークとプライベートネットワークとの間のゲートウェイなどにおけるアドレス変換装置およびアドレス変換方法などとして有用である。
本発明の実施の形態1に係るネットワーク構成の例を示す図 実施の形態1に係るゲートウェイ装置の構成を示すブロック図 実施の形態1に係る名前−アドレステーブルの例を示す図 実施の形態1に係るプライベートIPアドレス管理テーブルの例を示す図 実施の形態1に係るグローバルIPアドレス管理テーブルの例を示す図 実施の形態1に係るアドレス変換テーブルの例を示す図 実施の形態1に係るテーブル設定部の処理を示すフロー図 実施の形態1に係るトワイスNAT処理部の処理を示すフロー図 実施の形態1に係るプライベートネットワークおよびグローバルネットワーク間のアクセスの一例を示すシーケンス図 実施の形態1に係るプライベートネットワークおよびグローバルネットワーク間のアクセスの他の一例を示すシーケンス図 本発明の実施の形態2に係るゲートウェイ装置の構成を示すブロック図 実施の形態2に係るSRVレコードの例を示す図 実施の形態2に係るアドレス管理テーブルの例を示す図 実施の形態2に係るポート管理テーブルの例を示す図 実施の形態2に係るアドレス変換テーブルの例を示す図 実施の形態2に係るテーブル設定部の処理を示すフロー図 実施の形態2に係るトワイスNAT処理部の処理を示すフロー図 実施の形態2に係るプライベートネットワークおよびグローバルネットワーク間のアクセスの一例を示すシーケンス図 本発明の実施の形態3に係るゲートウェイ装置の構成を示すブロック図 実施の形態3に係るテーブル設定動作を示すシーケンス図 実施の形態3に係るプライベートネットワークおよびグローバルネットワーク間のアクセスの一例を示すシーケンス図 従来のネットワーク構成の例を示す図 従来のネットワーク構成におけるプライベートネットワークおよびグローバルネットワーク間のアクセスの一例を示すシーケンス図 従来のネットワーク構成におけるプライベートネットワークおよびグローバルネットワーク間のアクセスの他の一例を示すシーケンス図
符号の説明
301 プライベートネットワークインタフェース部
302、314、701 受信識別部
303 DNSメッセージ識別部
304 名前解決部
305 名前−アドレステーブル
306 DNSメッセージ生成部
307、502、703 テーブル設定部
308 プライベートIPアドレス管理テーブル
309 グローバルIPアドレス管理テーブル
310、505 アドレス変換テーブル
311、506 トワイスNAT処理部
312、315 送信部
313 グローバルネットワークインタフェース部
501 SRVレコード/名前−アドレステーブル
503 アドレス管理テーブル
504 ポート管理テーブル
702 UPnP処理部

Claims (4)

  1. パケット送信先が含まれる第1のネットワークおよびパケット送信元が含まれる第2のネットワークの間に設けられるアドレス変換装置であって、
    前記パケット送信先の前記第1のネットワーク内におけるアドレスに前記第2のネットワーク内における仮のアドレスを対応づけて設定する設定手段と、
    設定された仮のアドレスを前記パケット送信元へ送信する第1の送信手段と、
    前記パケット送信元から送信されるパケットの宛先アドレスおよび送信元アドレスを前記第1のネットワーク内におけるアドレスへ変換する変換手段と、
    アドレス変換後のパケットを前記パケット送信先へ送信する第2の送信手段と、
    を有することを特徴とするアドレス変換装置。
  2. 前記設定手段は、
    自装置の前記第2のネットワーク内におけるアドレスを前記仮のアドレスとするとともに、前記パケット送信先のポート番号に前記第2のネットワーク内における仮のポート番号を対応づけて設定することを特徴とする請求項1記載のアドレス変換装置。
  3. 前記パケット送信先が起動する際に送信する要求メッセージであって前記パケット送信先のポート番号に前記第2のネットワーク内における仮のポート番号の対応づけを要求する要求メッセージを受信する受信手段、をさらに有し、
    前記設定手段は、
    前記要求メッセージが受信された時に前記パケット送信先のポート番号と前記仮のポート番号とを設定することを特徴とする請求項2記載のアドレス変換装置。
  4. パケット送信先が含まれる第1のネットワークおよびパケット送信元が含まれる第2のネットワークの間におけるアドレス変換方法であって、
    前記パケット送信先の前記第1のネットワーク内におけるアドレスに前記第2のネットワーク内における仮のアドレスを対応づけて設定するステップと、
    設定された仮のアドレスを前記パケット送信元へ送信するステップと、
    前記パケット送信元から送信されるパケットの宛先アドレスおよび送信元アドレスを前記第1のネットワーク内におけるアドレスへ変換するステップと、
    アドレス変換後のパケットを前記パケット送信先へ送信するステップと、
    を有することを特徴とするアドレス変換方法。
JP2004372328A 2004-12-22 2004-12-22 アドレス変換装置およびアドレス変換方法 Pending JP2006180295A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2004372328A JP2006180295A (ja) 2004-12-22 2004-12-22 アドレス変換装置およびアドレス変換方法
US11/722,324 US20100014521A1 (en) 2004-12-22 2005-12-15 Address conversion device and address conversion method
CNA2005800442788A CN101088264A (zh) 2004-12-22 2005-12-15 地址变换装置以及地址变换方法
PCT/JP2005/023030 WO2006068024A1 (ja) 2004-12-22 2005-12-15 アドレス変換装置およびアドレス変換方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004372328A JP2006180295A (ja) 2004-12-22 2004-12-22 アドレス変換装置およびアドレス変換方法

Publications (1)

Publication Number Publication Date
JP2006180295A true JP2006180295A (ja) 2006-07-06

Family

ID=36601624

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004372328A Pending JP2006180295A (ja) 2004-12-22 2004-12-22 アドレス変換装置およびアドレス変換方法

Country Status (4)

Country Link
US (1) US20100014521A1 (ja)
JP (1) JP2006180295A (ja)
CN (1) CN101088264A (ja)
WO (1) WO2006068024A1 (ja)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008028461A (ja) * 2006-07-18 2008-02-07 Mitsubishi Electric Corp 宅内中継装置および宅内中継システム
JP2008067055A (ja) * 2006-09-07 2008-03-21 Fujitsu Ltd モバイルipに準拠する移動通信システム並びにそこで使用されるホームエージェント、モバイルノード及び方法
JP2009053733A (ja) * 2007-08-23 2009-03-12 Sony Broadband Solution Corp プレゼンテーションシステム
JP2012029221A (ja) * 2010-07-27 2012-02-09 Panasonic Electric Works Co Ltd 通信システム、制御装置及び制御プログラム
JP2013009259A (ja) * 2011-06-27 2013-01-10 Nippon Telegr & Teleph Corp <Ntt> 経路制御装置、経路制御プログラム、経路制御方法及び経路制御システム
JP2013070423A (ja) * 2007-11-29 2013-04-18 A10 Networks Inc 分散多重処理セキュリティゲートウエイのためのシステム及び方法
JP5459314B2 (ja) * 2009-05-27 2014-04-02 日本電気株式会社 無線lanアクセスポイント装置、移動通信端末、通信方法およびプログラム
WO2014142278A1 (ja) * 2013-03-14 2014-09-18 日本電気株式会社 制御装置、通信システム、通信方法及びプログラム
US9032502B1 (en) 2006-08-08 2015-05-12 A10 Networks, Inc. System and method for distributed multi-processing security gateway
US9118620B1 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US9596286B2 (en) 2012-05-25 2017-03-14 A10 Networks, Inc. Method to process HTTP header with hardware assistance
US9806943B2 (en) 2014-04-24 2017-10-31 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
JP2017204721A (ja) * 2016-05-11 2017-11-16 アライドテレシス株式会社 セキュリティシステム
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
US10020979B1 (en) 2014-03-25 2018-07-10 A10 Networks, Inc. Allocating resources in multi-core computing environments
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
US10491523B2 (en) 2012-09-25 2019-11-26 A10 Networks, Inc. Load distribution in data networks
JP2021103895A (ja) * 2014-06-30 2021-07-15 シーエフピーエイチ, エル.エル.シー. 金融ネットワーク
WO2024171404A1 (ja) * 2023-02-16 2024-08-22 日本電信電話株式会社 動的エントリ管理システム、動的エントリ管理方法及び動的エントリ管理プログラム

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8595357B2 (en) * 2007-03-01 2013-11-26 Cisco Technology, Inc. System and method for hosted network management
JP5214402B2 (ja) * 2008-10-22 2013-06-19 沖電気工業株式会社 パケット転送装置、パケット転送方法、パケット転送プログラム及び通信装置
JP4635095B2 (ja) * 2009-06-30 2011-02-16 株式会社東芝 通信システムとそのサーバ装置
PL2571207T3 (pl) * 2010-05-11 2018-07-31 Chepro Corporation Dwukierunkowy system komunikacyjny i urządzenie serwerowe wykorzystywane w nim
JP5742958B2 (ja) * 2011-10-17 2015-07-01 富士通株式会社 プログラム、情報処理装置、および経路設定方法
CN102572014B (zh) * 2012-03-07 2015-12-02 华为终端有限公司 消息处理方法、装置和系统
TWI535247B (zh) * 2012-04-10 2016-05-21 財團法人資訊工業策進會 用於網路位址轉換穿透的傳輸系統及傳輸方法
US9930004B2 (en) 2015-10-13 2018-03-27 At&T Intellectual Property I, L.P. Method and apparatus for expedited domain name system query resolution
US10762559B2 (en) * 2016-04-15 2020-09-01 Adp, Llc Management of payroll lending within an enterprise system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6608830B1 (en) * 1999-01-12 2003-08-19 Yamaha Corporation Router
JP4524906B2 (ja) * 2000-11-06 2010-08-18 ソニー株式会社 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体
JP4349766B2 (ja) * 2001-12-07 2009-10-21 株式会社日立製作所 アドレス変換装置
JP4077351B2 (ja) * 2003-03-28 2008-04-16 富士通株式会社 名前/アドレス変換装置
KR100550009B1 (ko) * 2003-11-13 2006-02-08 한국전자통신연구원 유비쿼터스 컴퓨팅을 위한 네트워크 장치 및 패킷 라우팅방법

Cited By (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008028461A (ja) * 2006-07-18 2008-02-07 Mitsubishi Electric Corp 宅内中継装置および宅内中継システム
US9344456B2 (en) 2006-08-08 2016-05-17 A10 Networks, Inc. Distributed multi-processing security gateway
US8918857B1 (en) 2006-08-08 2014-12-23 A10 Networks, Inc. Distributed multi-processing security gateway
US9124550B1 (en) 2006-08-08 2015-09-01 A10 Networks, Inc. Distributed multi-processing security gateway
US9258332B2 (en) 2006-08-08 2016-02-09 A10 Networks, Inc. Distributed multi-processing security gateway
US9032502B1 (en) 2006-08-08 2015-05-12 A10 Networks, Inc. System and method for distributed multi-processing security gateway
US8943577B1 (en) 2006-08-08 2015-01-27 A10 Networks, Inc. Distributed multi-processing security gateway
US8904512B1 (en) 2006-08-08 2014-12-02 A10 Networks, Inc. Distributed multi-processing security gateway
US8914871B1 (en) 2006-08-08 2014-12-16 A10 Networks, Inc. Distributed multi-processing security gateway
JP2008067055A (ja) * 2006-09-07 2008-03-21 Fujitsu Ltd モバイルipに準拠する移動通信システム並びにそこで使用されるホームエージェント、モバイルノード及び方法
JP2009053733A (ja) * 2007-08-23 2009-03-12 Sony Broadband Solution Corp プレゼンテーションシステム
JP2013070423A (ja) * 2007-11-29 2013-04-18 A10 Networks Inc 分散多重処理セキュリティゲートウエイのためのシステム及び方法
JP2013078134A (ja) * 2007-11-29 2013-04-25 A10 Networks Inc 分散多重処理セキュリティゲートウエイのためのシステム及び方法
JP5459314B2 (ja) * 2009-05-27 2014-04-02 日本電気株式会社 無線lanアクセスポイント装置、移動通信端末、通信方法およびプログラム
JP2012029221A (ja) * 2010-07-27 2012-02-09 Panasonic Electric Works Co Ltd 通信システム、制御装置及び制御プログラム
JP2013009259A (ja) * 2011-06-27 2013-01-10 Nippon Telegr & Teleph Corp <Ntt> 経路制御装置、経路制御プログラム、経路制御方法及び経路制御システム
US10069946B2 (en) 2012-03-29 2018-09-04 A10 Networks, Inc. Hardware-based packet editor
US9118620B1 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US9742879B2 (en) 2012-03-29 2017-08-22 A10 Networks, Inc. Hardware-based packet editor
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US9596286B2 (en) 2012-05-25 2017-03-14 A10 Networks, Inc. Method to process HTTP header with hardware assistance
US9843521B2 (en) 2012-05-25 2017-12-12 A10 Networks, Inc. Processing packet header with hardware assistance
US10348631B2 (en) 2012-05-25 2019-07-09 A10 Networks, Inc. Processing packet header with hardware assistance
US10862955B2 (en) 2012-09-25 2020-12-08 A10 Networks, Inc. Distributing service sessions
US10491523B2 (en) 2012-09-25 2019-11-26 A10 Networks, Inc. Load distribution in data networks
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
WO2014142278A1 (ja) * 2013-03-14 2014-09-18 日本電気株式会社 制御装置、通信システム、通信方法及びプログラム
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
US10020979B1 (en) 2014-03-25 2018-07-10 A10 Networks, Inc. Allocating resources in multi-core computing environments
US10110429B2 (en) 2014-04-24 2018-10-23 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
US10411956B2 (en) 2014-04-24 2019-09-10 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
US9806943B2 (en) 2014-04-24 2017-10-31 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
JP2021103895A (ja) * 2014-06-30 2021-07-15 シーエフピーエイチ, エル.エル.シー. 金融ネットワーク
JP7133675B2 (ja) 2014-06-30 2022-09-08 シーエフピーエイチ, エル.エル.シー. 金融ネットワーク
JP2017204721A (ja) * 2016-05-11 2017-11-16 アライドテレシス株式会社 セキュリティシステム
WO2024171404A1 (ja) * 2023-02-16 2024-08-22 日本電信電話株式会社 動的エントリ管理システム、動的エントリ管理方法及び動的エントリ管理プログラム

Also Published As

Publication number Publication date
WO2006068024A1 (ja) 2006-06-29
CN101088264A (zh) 2007-12-12
US20100014521A1 (en) 2010-01-21

Similar Documents

Publication Publication Date Title
JP2006180295A (ja) アドレス変換装置およびアドレス変換方法
US6591306B1 (en) IP network access for portable devices
JP5335886B2 (ja) ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置
US8805977B2 (en) Method and system for address conflict resolution
TWI441493B (zh) 網路位址轉換的系統與方法
US7792995B2 (en) Accessing data processing systems behind a NAT enabled network
US20070195800A1 (en) Communication using private IP addresses of local networks
JP2003188901A (ja) 通信システムおよび通信方法
US20060153230A1 (en) IPv6 / IPv4 translator
JP2008022213A (ja) Lanに接続された情報機器を、wanを介して制御するためのゲートウェイ及びプログラム
CN110691150A (zh) 一种基于SDN的IPv4与IPv6互联方法及系统
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
JP2007104624A (ja) ネットワーク装置及びその管理方法
US20130163601A1 (en) User centric virtual network and method of establishing the same
JP4766976B2 (ja) ノード間接続方法及び装置
EP3395049B1 (en) Router and method for connecting an ipv4 network and an ipv6 network
KR101124635B1 (ko) IPv4/IPv6 연동 게이트웨이
JP5054666B2 (ja) Vpn接続装置、パケット制御方法、及びプログラム
JP3575369B2 (ja) アクセスルーティング方法及びアクセス提供システム
JP2010130604A (ja) 動的ゲートウェイ探索システム、動的ゲートウェイ探索方法、及びプログラム
JP2009206876A (ja) サービス公開システム、通信中継装置、およびサービス公開装置
JP5600648B2 (ja) パケット通信システム
JP3808471B2 (ja) ネットワーク及びルータ装置並びにそれらに用いるアドレス通知方法
TWI385999B (zh) And a method of accessing the connection between the user side and the network device in the network system
JP2007074059A (ja) 通信支援装置、システム、通信方法及びコンピュータプログラム