[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5054666B2 - Vpn接続装置、パケット制御方法、及びプログラム - Google Patents

Vpn接続装置、パケット制御方法、及びプログラム Download PDF

Info

Publication number
JP5054666B2
JP5054666B2 JP2008334387A JP2008334387A JP5054666B2 JP 5054666 B2 JP5054666 B2 JP 5054666B2 JP 2008334387 A JP2008334387 A JP 2008334387A JP 2008334387 A JP2008334387 A JP 2008334387A JP 5054666 B2 JP5054666 B2 JP 5054666B2
Authority
JP
Japan
Prior art keywords
vpn
address
host device
packet
setting information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008334387A
Other languages
English (en)
Other versions
JP2010157857A (ja
Inventor
貴允 内山
弘幸 市川
浩昭 波多
由香 上水流
智広 西谷
実 梅枝
善治 石山
洋城 稲葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2008334387A priority Critical patent/JP5054666B2/ja
Publication of JP2010157857A publication Critical patent/JP2010157857A/ja
Application granted granted Critical
Publication of JP5054666B2 publication Critical patent/JP5054666B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、VPN(Virtual Private Network)技術に関するものであり、特に、既存のネットワークを変更することなく、VPNを簡易かつ柔軟に導入することを可能とする技術に関するものである。
近年、企業内ネットワークの拠点間接続等に、専用線に代えてVPNが用いられるケースが増えている。VPNは、トンネリング技術を利用して、インターネット等の公衆回線をあたかも専用回線のように利用して拠点間の接続を可能とする技術である。
VPNの導入形態としては種々のものがあるが、VPNを構築しようとする企業等が、通信事業者にVPN構築に係る申し込みを行い、通信事業者が、機器の設置、ネットワークの設定等を行うのが一般的である。
なお、VPNに関する従来技術として例えば特許文献1に記載された技術がある。
特開2004−064182号公報
上述したような一般的なVPN構築においては、企業における既存のネットワーク機器の一部をVPN専用の機器に変更したり、既存のネットワーク構成を変更する必要がある。また、新たなVPNの構築が完了するまでにある程度の期間がかかる。
従って、例えば、ある期間だけ特定の拠点間をVPNで接続したいという要望があっても、既存ネットワークの設定変更等の手間やコストを考慮すると、そのような要望に応えることは困難であった。また、ある拠点内での特定のメンバーと、他の拠点内の特定のメンバーのみをVPNに参加させるといった柔軟な接続形態をとることも従来技術では困難であった。
上記従来技術の問題を解消し、既存のネットワークの構成を変更することなく容易にVPNを構築でき、VPNに参加するホスト装置を柔軟に設定可能とした技術があれば、企業内の拠点間、あるいは異なる企業間での拠点間で簡易にVPN構築が可能になる。このような技術として、本発明の実施の形態において前提としている技術がある。
さて、各拠点のプライベートネットワークにおいては、各ホスト装置にプライベートアドレスが割り当てられる。プライベートアドレスは拠点内で閉じたアドレスであるから、VPN接続される一方の拠点で使用されるプライベートアドレスと、他方の拠点で使用されるプライベートアドレスとが重複している可能性がある。プライベートアドレスが重複している場合、一方の拠点のあるホスト装置がその拠点内のホスト装置にアクセスしようとしたにも関わらず、VPN接続された他方の拠点のホスト装置にアクセスしてしまう等、適切に接続を行うことができないという問題が生じる。
上記の問題は、VPN接続される拠点間において、プライベートアドレスを重複しないように各ホスト装置に割り当てれば解決されるが、そのための人為的な手間がかかる。
本発明は上記の点に鑑みてなされたものであり、既存のネットワークの構成を変更することなく容易にVPNを構築可能な技術において、VPN接続される各拠点のホスト装置に付与されるプライベートアドレスに依存せずに、適切にホスト装置間で通信を行うことを可能にする技術を提供することを目的とする。
上記の課題を解決するために、本発明は、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、記憶手段と、前記ホスト装置のアドレスを含む設定情報の入力を受け付ける設定情報入力手段と、前記設定情報入力手段により入力された前記設定情報を前記VPNを介して前記対向VPN接続装置に送信するとともに、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスを含む設定情報を前記VPNを介して前記対向VPN接続装置から受信し、受信した設定情報を前記ホスト装置のアドレスとともに前記記憶手段に格納する設定情報送受信手段と、前記設定情報送受信手段により前記記憶手段に格納された設定情報に含まれる前記対向ホスト装置のアドレスに対応付けて仮想アドレスを割り当て、前記記憶手段に格納するアドレス割当手段と、前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置から、宛先アドレスとして仮想アドレスを有するパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納された対向ホスト装置の仮想アドレスとホスト装置のアドレスとの組からなるVPN転送条件情報に含まれるかどうかを判定する判定手段と、前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備えたことを特徴とするVPN接続装置として構成される。
本発明によれば、VPN接続装置を既存のネットワークに設置することにより容易にVPNを構築できるようになる。また、ホスト装置から送出されるパケットのアドレス等を参照し、VPN転送条件情報に基づきパケットをVPNに送出するかどうかを判定するように構成したため、VPN転送条件情報を適宜設定することによりVPNに参加するホスト装置を柔軟に設定できる。
また、本発明によれば、VPN装置において、対向VPN装置配下のホスト装置に対して仮想アドレスを生成し、ホスト装置が対向側のホスト装置にパケットを送信する際には、当該仮想アドレスを宛先とすることとしたため、拠点間でのプライベートアドレスの割り当てに依存せずに適切に目的のホスト装置にパケットを送信できる。
以下、図面を参照して本発明の実施の形態について説明する。
(システム構成)
図1に本発明の実施の形態に係るシステムの構成図を示す。図1に示すように、本発明の実施の形態に係るシステムは、プライベートネットワーク100とプライベートネットワーク200とがインターネット300を介して接続されるとともに、通信制御サーバ310がインターネット300に接続されている。
プライベートネットワーク100は、インターネット300にルータ110を介して接続され、プライベートネットワーク200は、インターネット300にルータ210を介して接続されている。
プライベートネットワーク100では、ホスト装置130、ホスト装置120、VPN装置140、及びDNSサーバ160が備えられる。このDNSサーバ160は既存のものである。ホスト装置130とVPN装置140はLANに接続され、ホスト装置120はVPN装置140に接続される。このように、既存ネットワーク(LAN)とVPNに参加するホスト装置の間にVPN装置140を挟み込む形で設置することにより、VPN装置140は、その配下に接続されるホスト装置から送出されるパケットを常時監視可能になっている。
同様に、プライベートネットワーク200では、ホスト装置230、ホスト装置220、DNSサーバ260、及びVPN装置240が備えられる。ホスト装置230とVPN装置240はLANに接続され、ホスト装置220はVPN装置240に接続される。
なお、図1に示すシステムでは、2つの拠点が示され、VPN装置配下に1つのホスト装置が示されているが、これらは代表として示されているだけであり、実際にはより多くの拠点及びホスト装置が接続され得る。
図1に示すシステムにおいて、通信制御サーバ310は、VPN装置140とVPN装置240との間にセキュアな通信路であるVPNを構築するための制御を行う装置である。本実施の形態では、通信制御サーバ310はSIPサーバであり、VPN装置間での通信制御サーバ310を介したSIPによるメッセージ交換により名前解決や鍵交換を行って、VPN装置間でVPNを確立している。このような方式によるセキュアな通信路の確立方法自体は既存技術である。
また、DNSサーバ160は、プライベートネットワーク100内における装置のIPアドレスとホスト名とを対応付けて格納するDNSサーバであり、DNSサーバ260は、プライベートネットワーク200内における装置のIPアドレスとホスト名とを対応付けて格納するDNSサーバである。
図2に、VPN装置140の機能構成図を示す。VPN装置240はVPN装置140と同じ構成であるので、VPN装置140のみについて説明する。
図2に示すように、VPN装置140は、PVN(プライベートネットワーク)側インターフェース部146、制御部150、VPN配下端末側インターフェース部147、Web設定インターフェース部144、データベース145を有する。制御部150は、アドレス変換機能部149、DNS代理応答機能部148、パケット取得制御部141、通信制御部142、NAT制御部143を有する。
PVN(プライベートネットワーク)側インターフェース部146は、プライベートネットワーク100を構成するLANとの間でデータの送受信を行うための機能部である。VPN配下端末側インターフェース部147は、VPN装置140を利用したVPN通信を可能とするためにVPN装置140に接続されるホスト装置(端末)との間でパケットの送受信を行うための機能部である。
Web設定インターフェース部144は、VPN装置140に接続される端末に対してWeb画面を提供し、そのWeb画面から種々の設定情報を入力するための機能部である。データベース145は、設定情報を格納するための記憶部である。
制御部150における通信制御部142は、通信制御サーバ310を介して対向側のVPN装置240との間でSIPに基づくメッセージ送受信を行うことにより、VPN装置140とVPN装置240間でVPNを設定する機能を有する。また、通信制御部142は、VPNを用いて相手側にパケットを送信する機能、及び、VPNを介して受信したパケットをパケット取得制御部141に渡す機能も有する。更に、通信制御部142は、パケットをVPNを介して送信するかどうかの判定を行うためのVPN転送条件に関する情報と、対向側のVPN参加ホスト装置のホスト名を含むDNS代理応答条件の情報を生成し、データベース145に格納する機能も有する。
NAT制御部143は、ルータ110がNAT機能を備える場合に、SIP通信等のパケット通信を正常に行うためにNAT越えのための制御を行う機能部である。NAT越えの技術自体は既存技術を用いることができる。
パケット取得制御部141は、VPN装置140の配下のホスト装置から受信したパケットに含まれる情報が、データベース145に格納されているVPN転送条件に合致するかどうかを調べ、合致する場合に、該当のVPNを用いてパケットを送信することを決定する機能を有する。
DNS代理応答機能部148は、VPN装置140にVPN配下端末側インターフェース部147を介して接続されたホスト装置(本実施の形態ではホスト装置120)から送られるDNSクエリパケットを監視し、データベース145に格納された情報を参照することにより、対向VPN装置配下のホスト装置に対するDNSクエリパケットを受信したと判定した場合に、データベース145に格納された情報からDNSクエリに係るホスト装置のIPアドレスを抽出し、そのIPアドレスをDNS応答に含めて、DNSクエリパケットを送信したホスト装置に返す機能を有する。また、DNS代理応答機能部148は、対向側のVPN参加ホスト装置のホスト名を含むDNS代理応答条件の情報を生成し、データベース145に格納する機能も有する。
アドレス変換機能部149は、対向VPN装置配下のVPN参加ホスト装置の数に応じてアドレスを生成し、生成したアドレスを対向VPN装置配下のVPN参加ホスト装置に対応付けてデータベース145に格納する機能を有する。このアドレスは、VPN装置140において、対向VPN装置配下のVPN参加ホスト装置に対して仮想的に割り当てられるものであるから、これを仮想アドレスと呼ぶことにする。
この仮想アドレスは、VPN参加ホスト装置間で互いに重複しないとともに、VPN装置140が存在するプライベートネットワークにおけるいずれのプライベートアドレスとも重複しなければ、どのようなアドレスでもよい。ただし、実施上の利便性の観点から、仮想アドレスに適したアドレス体系として、同一セグメント内に閉じた通信のみを可能にし、十分に大きなアドレス空間を持ち、枯渇の心配が少なく、自動生成が可能であるものが望ましい。
そのようなアドレスとして、ルータを超えない範囲内のみで有効なIPアドレスであるIPv4リンクローカルアドレスがある。本実施の形態では、 アドレス変換機能部149は、仮想アドレスとしてIPv4リンクローカルアドレスを生成する。
IPv4リンクローカルアドレスのアドレス空間は169.254.0.0/16であり、非常に大きい。また、IPv4リンクローカルアドレスは、APIPA(Automatic Private IP Addressing)による自動生成が可能である。更に、IPv4リンクローカルアドレスのアドレス体系はルーティングされないアドレス体系であり、プライベートアドレスと重複することはない。
アドレス変換機能部149は、また、データベース145を参照することにより、パケットのヘッダに含まれる仮想アドレスを、本来のプライベートアドレスに置換する機能も有する。
なお、VPN装置140(VPN装置240も同様)における処理機能の各機能部への割り振りは上述したものや以下のシステム動作において説明するものに限られない。VPN装置140全体として目的とする処理を行うことができればよい。
VPN装置140は、例えば、CPUやメモリ等の記憶装置等を有し、通信プログラム、Web用プログラム、データベース用プログラム等の一般的なプログラムを備えたコンピュータに、制御部150の機能に対応するプログラムを実行させることにより実現可能である。当該プログラムは、メモリ等の記録媒体に格納しておき、当該記録媒体から上記コンピュータにインストールすることが可能である。
(システムの動作)
以下、図1、図2に示したシステムにおける動作例を図3〜5に示したシーケンスチャートを参照して説明する。以下の例では、プライベートネットワーク100におけるホスト装置120とプライベートネットワーク200におけるホスト装置220間で、VPNを介した通信が行われる。
まず、VPN装置140の通信制御部142が、通信制御サーバ310に対して登録要求メッセージを送信する(ステップ11)。この登録要求メッセージには、VPN装置140の識別情報と、VPN装置140に対応するIPアドレスが含まれ、通信制御サーバ310において、当該識別情報とIPアドレスが対応付けて格納されることにより登録が行われる。登録が行われた後、応答メッセージが返される(ステップ12)。VPN装置240においても同様の登録処理が行われる(ステップ13、14)。
続いて、プライベートネットワーク100側のホスト装置120のユーザが、ホスト装置120からWeb設定I/F部144にアクセスすることにより、VPN構築に必要な情報の入力を行う(ステップ15、16)。
本実施の形態では、VPN装置140の接続相手はVPN装置240であり、VPN装置140の配下でVPN装置140とVPN装置240との間のVPNを使用した通信を行うのはホスト装置120であることから、ここでは、VPN装置140の識別情報(VPN-Aとする)及びVPN装置240の識別情報(VPN-Bとする)と、ホスト装置120のIPアドレス(アドレスAとする)及びホスト名(host-Aとする)が入力され、これらがデータベース145に格納される。なお、本例では、ホスト装置120からVPN装置140に対する情報設定を行っているが、情報設定は任意の端末から行ってよい。
プライベートネットワーク100側と同様にして、プライベートネットワーク200の側では、VPN装置240の識別情報(VPN-B)及びVPN装置140の識別情報(VPN-A)と、ホスト装置220のIPアドレス(アドレスB)及びホスト名(host-Bとする)がデータベース245に格納される(ステップ17、18)。
続いて、本例では、ホスト装置120からWeb設定I/F部144に対してVPN装置140とVPN装置240間でVPNを設定する旨の指示を行う(ステップ19)。この指示には、それぞれの識別情報(VPN-A、VPN-B)が含まれる。通信制御部142は、Web設定I/F部144から指示を受けとり、接続要求メッセージ(宛先の識別情報としてVPN-Bが含まれ、送信元の識別情報としてVPN-Aが含まれるINVITEメッセージ)を通信制御サーバ310に送信する(ステップ20、21)。
接続要求メッセージを受信した通信制御サーバ310では、VPN-Bに基づき登録情報からVPN装置240のIPアドレスを取得し、そのIPアドレス宛に接続要求メッセージを転送する(ステップ22)。VPN装置240の通信制御部242は、接続要求に係る接続がデータベース245をに登録されているものであることを確認し、応答メッセージを通信制御サーバ310を介してVPN装置140に返す(ステップ24〜26)。
このような処理により、VPN装置140とVPN装置240との間でセキュアな通信路であるVPNが確立される(ステップ27)。
その後、通信制御部142は、ステップ16で保存した情報から、VPN装置140の識別情報(VPN-A、対向VPN装置にとってVPNの識別情報でもある)と、その配下のホスト装置120のIPアドレス(アドレスA)及びホスト名(host-A)とを読み出し(ステップ28)、それらをVPNを利用してVPN装置240に送信する(ステップ29)。同様に、VPN装置240の通信制御部242は、ステップ18で保存した情報から、自身の識別情報(VPN-B)と、その配下のホスト装置220のIPアドレス(アドレスB)及びホスト名(host-B)とを読み出し、それらをVPNを利用してVPN装置140に送信する(ステップ30、31)。
対向のVPN装置240から上記情報を受け取った通信制御部142は、既に保存してある情報とあわせて、受け取った情報をテーブルとしてデータベース145に格納する(ステップ32)。この時点でのテーブルを図6に示す。
図6に示すテーブルには、自分(VPN装置140)に対してVPN接続される相手のVPN装置240の識別情報(VPN-B)、自分(VPN装置140)に接続されており、かつ、VPN装置140とVPN装置240との間のVPNを利用するホスト装置として指定されたホスト装置のアドレス(アドレスA)、及び、VPN装置240とVPN装置140との間のVPNを利用するホスト装置として相手側で指定されたホスト装置のアドレス(アドレスB)及びそのホスト名(host-B)が格納される。同様にして、VPN装置240側のデータベース245には、図7に示すテーブルが格納される(図3のステップ33)。なお、図6には、VPN-Cで識別される対向VPN装置に係る設定も示されている。この設定では、ホスト装置120は、VPN-Cで識別される対向VPN装置配下のアドレスCのホスト装置ともVPN通信可能である。
上記の例では、VPN転送条件に係る情報として、IPアドレスを用いているが、IPアドレスの他にMACアドレスを用いてもよい。また、アドレスに加えて、プロトコルを条件として用いてもよい。
また、上記の例では、VPN転送条件に関する情報とDNS代理応答条件に関する情報とを同じタイミングで生成しているが、DNS代理応答条件情報のみを別のタイミングで生成してもよい。例えば、VPNに参加するあるホスト装置のホスト名もしくはアドレスが変更になった場合に、そのホスト装置から変更後のホスト名及びアドレスをVPN装置140に入力し、VPN装置140のDNS代理応答機能部148が当該ホスト名及びアドレスを通信制御部142を介して対向VPN装置に送信し、対向VPN装置の側でホスト名及びアドレスを用いてテーブルを更新する。また、VPN装置140が新たなホスト名及びアドレスを受信した場合には、DNS代理応答機能部148が当該新たなホスト名及びアドレスを用いてテーブルを更新する。
次に、VPN装置140のアドレス変換機能部149は、テーブル(図6に示したものと同様)を参照することにより、VPN接続先においてVPNを利用してVPN装置140側と通信を行うホスト装置の数を決定する(ステップ34)。本例ではその数は1(ホスト装置220のみ)とする。そして、その数の分だけの仮想アドレス(IPv4リンクローカルアドレス)を生成し、生成した仮想アドレスを、VPN装置240側のホスト装置に割り当てる。つまり、仮想アドレス(アドレスXとする)をテーブルにおけるVPN装置240側のホスト装置220のIPアドレス(アドレスB)に対応付けて格納する(ステップ35)。
本例では、VPN装置240側のホスト装置は1つ(ホスト装置220)なので、仮想アドレス(アドレスX)は、そのホスト装置220に割り当てられられる。その結果、データベース145に格納されるテーブルとして、図8に示すテーブルが得られる。
VPN装置240側でも同様の処理が行われ(ステップ36、37)、データベース245には、図9に示すテーブルが格納される。
図8、図9において、対向VPN装置の識別情報、自分配下のVPN利用ホスト装置のアドレス、及び対向VPN装置配下のVPN利用ホスト装置の仮想アドレスをまとめてVPN転送条件情報と呼ぶことができる。また、対向VPN装置配下のVPN利用ホスト装置の仮想アドレス及びホスト名をまとめてDNS代理応答条件情報と呼ぶことができる。
なお、VPN装置140が、上記のようにして割り当てられた仮想アドレスと対向側のホスト装置のアドレスとをVPN装置240に通知し、VPN装置240から同様にして仮想アドレスとアドレスとをVPN装置140に通知し、それぞれ、それらの情報をテーブルに加えることとしてもよい。その場合のテーブルの例を図10、図11に示す。
次に、ホスト装置120からDNSクエリパケットが送出される際の動作について図4を参照して説明する。図4では、DNSクエリパケットを通常のDNSサーバで処理する例1と、DNSクエリパケットに対する応答をVPN装置140が(代理で)行う例2を示している。
ホスト装置120からDNSクエリパケットが送出され、パケット取得制御部141がそれを受信し、パケット取得制御部141は当該パケットのヘッダ等から当該パケットがDNSクエリパケットであることを判別し、当該パケットをDNS代理応答機能部148に渡す(ステップ41、42)。
DNS代理応答機能部148は、図8に示したテーブルを検索し、DNSクエリパケットに含まれるホスト名が、当該テーブルに含まれているかどうかを判定する(ステップ43、44)。例1では、DNSクエリパケットに含まれるホスト名はテーブルに含まれていないので、DNS代理応答機能部148は、DNSクエリパケットをパケット取得制御部141及びPVN側インターフェース部146を介して外部に送出する(ステップ45、46)。DNSクエリパケットは、通常どおり、DNSサーバ160もしくはインターネット上のDNSサーバで処理される。
次に例2について説明する。
ホスト装置120からDNSクエリパケットが送出され、パケット取得制御部141がそれを受信し、パケット取得制御部141は当該パケットのヘッダ等から当該パケットがDNSクエリパケットであることを判別し、当該パケットをDNS代理応答機能部148に渡す(ステップ51、52)。
DNS代理応答機能部148は、図8に示したテーブルを検索し、DNSクエリパケットに含まれるホスト名が、当該テーブルに含まれているかどうかを判定する(ステップ53、54)。例2では、DNSクエリパケットに含まれるホスト名(host-B)はテーブルに含まれているので、DNS代理応答機能部148は、テーブルからhost-Bに対応する仮想アドレス(アドレスX)を取得して(ステップ54)、当該アドレスBを含むDNS応答パケットを生成し、パケット取得制御部141及びVPN配下端末側インターフェース部147を介してホスト装置120に返す(ステップ55、56)。これにより、ホスト装置120は、host-Bに対応するアドレスXを取得し、当該アドレスX宛にパケットを送信できる。
本実施の形態では、上記のようなDNS代理応答手段を使用して対向側ホスト装置の名前解決を行うこととしているが、あるホスト装置が対向側ホスト装置にアクセスする際に、アドレス(仮想アドレス)を直接入力することとすれば、上記のようなDNS代理応答手段はなくてもよい。仮想アドレスを直接入力する方式を採用する場合、配下のホスト装置が対向側ホスト装置の実際のアドレスを既に把握していることを前提として、VPN装置140は、対向側ホスト装置に割り当てた仮想アドレスと対向側ホスト装置の実際のアドレスとを、配下のホスト装置に事前に通知しておく。
次に、ホスト装置120から通信のためのパケットを送信する場合の例1、例2について図5を参照して説明する。
例1は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、仮想アドレスに該当しないグローバルなアドレスである場合の例である。
この場合、ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ61)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図8に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組がテーブルに存在するかどうかをチェックするための検索を行う(ステップ62、63)。例1では、宛先アドレスはテーブルに設定されていないので、検索に失敗する。検索に失敗した場合、パケット取得制御部141は、VPNを用いることなくパケットをPVN側インターフェース部146を介して送出する。すると、パケットは、VPNを介さずに、通常のルーティングに従って、宛先に届けられる(ステップ64)。
次に、例2について説明する。例2は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、対向のホスト装置220のアドレス(アドレスB)に対応付けられた仮想アドレス(アドレスX)である場合の例である。
ホスト装置120から送出されたパケットは、VPN装置140においてパケット取得制御部141により取得される(ステップ71)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図8に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ72)。例2では、上記送信元アドレス及び宛先アドレスの組であるアドレスAとアドレスXの組がテーブルに設定されているので、検索に成功する。また、パケット取得制御部141は、アドレスAとアドレスXの組に対応する接続先のVPN装置240の識別情報(VPN-B)を取得し、ホスト装置120から受信したパケットを送出すべきVPNは、VPN-Bに対して設定されたVPNであると決定する。
検索に成功したので、パケット取得制御部141は、パケットとVPN装置240の識別情報(VPN-B)をパケット変換機能部149に渡す(ステップ73)。パケット変換機能部149は、図8に示したテーブルを参照し、アドレスXに対応するアドレスBを取得し、パケットのヘッダにおけるアドレスXをアドレスBに置き換える(ステップ74)。そして、パケット変換機能部149は、VPN-Bとパケットを通信制御部142に渡し、通信制御部142は、パケットを当該VPNを用いて送信する(ステップ75、76)。
通信制御部142から送信されたパケットは、VPN装置240の通信制御部242により受信され、通信制御部242は受信したパケットをパケット変換機能部249に渡す(ステップ77)。パケット変換機能部249は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得し、図9に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ78)。ここでは、検索に成功し、パケット変換機能部149は、送信元アドレス(アドレスA)を、それに対応する仮想アドレス(アドレスY)に置換して、当該パケットを宛先であるホスト装置220に送信する(ステップ79)。
なお、上記の例では、パケットのヘッダにおるアドレスXをアドレスBに置き換える処理をVPN装置140側で行い、送信元アドレス(アドレスA)を仮想アドレス(アドレスY)に置換する処理をVPN装置240側で行っているが、VPN装置240側で図11に示したテーブルを保持しておくことにより、VPN装置240側で宛先のアドレスXをアドレスBに置き換えてもよい。また、VPN装置140側で図10に示したテーブルを保持しておくことにより、VPN装置140側で送信元のアドレスAをアドレスYに置き換えてもよい。
以上説明したように、本発明に基づく技術を適用することにより、VPN装置を既存のネットワークに設置するだけで容易にVPNを構築できるようになる。また、VPN装置において、対向VPN装置配下のホスト装置に対し、いずれのプライベートアドレスとも重複しない仮想アドレスを生成し、対向側のホスト装置にパケットを送信する際には、当該仮想アドレスを宛先とすることとしたため、拠点間でのプライベートアドレスの割り当てに依存せずに(重複していても)適切に目的のホスト装置にパケットを送信できる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
本発明の実施の形態に係るシステムの構成図である。 VPN装置140の機能構成図である。 本発明の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。 本発明の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。 本発明の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。 データベース145に格納されるテーブルを示す図である。 データベース245に格納されるテーブルを示す図である。 データベース145に格納されるテーブルを示す図である。 データベース245に格納されるテーブルを示す図である。 データベース145に格納されるテーブルを示す図である。 データベース245に格納されるテーブルを示す図である。
符号の説明
100 プライベートネットワーク
200 プライベートネットワーク
300 インターネット
110、210 ルータ
310 通信制御サーバ
120、130、220、230 ホスト装置
140、240 VPN装置
150 制御部
141 パケット取得制御部
142 通信制御部
143 NAT制御部
144 Web設定インターフェース部
145 データベース
146 PVN(プライベートネットワーク)側インターフェース部
147 VPN配下端末側インターフェース部
148 DNS代理応答機能部
149 アドレス変換機能部

Claims (6)

  1. 対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、
    通信ネットワークに接続するための網接続手段と、
    前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
    記憶手段と、
    前記ホスト装置のアドレスを含む設定情報の入力を受け付ける設定情報入力手段と、
    前記設定情報入力手段により入力された前記設定情報を前記VPNを介して前記対向VPN接続装置に送信するとともに、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスを含む設定情報を前記VPNを介して前記対向VPN接続装置から受信し、受信した設定情報を前記ホスト装置のアドレスとともに前記記憶手段に格納する設定情報送受信手段と、
    前記設定情報送受信手段により前記記憶手段に格納された設定情報に含まれる前記対向ホスト装置のアドレスに対応付けて仮想アドレスを割り当て、前記記憶手段に格納するアドレス割当手段と、
    前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置から、宛先アドレスとして仮想アドレスを有するパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納された対向ホスト装置の仮想アドレスとホスト装置のアドレスとの組からなるVPN転送条件情報に含まれるかどうかを判定する判定手段と、
    前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、
    を備えたことを特徴とするVPN接続装置。
  2. 前記VPN転送条件情報は、前記対向ホスト装置の仮想アドレスと前記ホスト装置のアドレスとに加えて、VPNの識別情報を有し、前記パケット制御手段は、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた識別情報で識別されるVPNを利用して前記パケットを送信することを特徴とする請求項1に記載のVPN接続装置。
  3. 前記記憶手段は、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスと当該対向ホスト装置のホスト名とを含むDNS代理応答条件情報を格納し、前記VPN接続装置は、
    前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からDNSクエリパケットを受信し、当該DNSクエリパケットに含まれる問い合わせに係るホスト名が前記記憶手段に格納されたDNS代理応答条件情報に含まれるかどうかを判定するDNS応答判定手段と、
    前記DNS応答判定手段により含まれると判定された場合に、前記DNS代理応答条件情報から前記ホスト名に対応する仮想アドレスを取得し、当該仮想アドレスを含むDNS応答パケットを前記ホスト装置に送信し、前記DNS応答判定手段により含まれないと判定された場合に、前記DNSクエリパケットを前記網接続手段を介して前記通信ネットワークに送出する応答手段と、を備えたことを特徴とする請求項1又は2に記載のVPN接続装置。
  4. 前記仮想アドレスとしてIPv4リンクローカルアドレスを用いることを特徴とする請求項1ないしのうちいずれか1項に記載のVPN接続装置。
  5. 対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置が実行するパケット制御方法であって、
    前記VPN接続装置は、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、記憶手段と、を備え、前記パケット制御方法は、
    前記ホスト装置のアドレスを含む設定情報の入力を受け付ける設定情報入力ステップと、
    前記設定情報入力ステップにより入力された前記設定情報を前記VPNを介して前記対向VPN接続装置に送信するとともに、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスを含む設定情報を前記VPNを介して前記対向VPN接続装置から受信し、受信した設定情報を前記ホスト装置のアドレスとともに前記記憶手段に格納する設定情報送受信ステップと、
    前記設定情報送受信ステップにより前記記憶手段に格納された設定情報に含まれる前記対向ホスト装置のアドレスに対応付けて仮想アドレスを割り当て、前記記憶手段に格納するアドレス割当ステップと、
    前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置から、宛先アドレスとして仮想アドレスを有するパケットを受信し、当該パケットの当該宛先アドレスと送信元アドレスの組が前記記憶手段に格納された対向ホスト装置の仮想アドレスとホスト装置のアドレスとの組からなるVPN転送条件情報に含まれるかどうかを判定する判定ステップと、
    前記判定ステップにより含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御ステップと、
    を備えたことを特徴とするパケット制御方法。
  6. コンピュータを、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置として機能させるためのプログラムであって、
    前記コンピュータは、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、前記ホスト装置のアドレスを含む設定情報の入力を受け付ける設定情報入力手段と、記憶手段と、を備え、前記プログラムは、前記コンピュータを、
    前記設定情報入力手段により入力された前記設定情報を前記VPNを介して前記対向VPN接続装置に送信するとともに、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスを含む設定情報を前記VPNを介して前記対向VPN接続装置から受信し、受信した設定情報を前記ホスト装置のアドレスとともに前記記憶手段に格納する設定情報送受信手段、
    前記設定情報送受信手段により前記記憶手段に格納された設定情報に含まれる前記対向ホスト装置のアドレスに対応付けて仮想アドレスを割り当て、前記記憶手段に格納するアドレス割当手段、
    前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置から、宛先アドレスとして仮想アドレスを有するパケットを受信し、当該パケットの当該宛先アドレスと送信元アドレスの組が前記記憶手段に格納された対向ホスト装置の仮想アドレスとホスト装置のアドレスとの組からなるVPN転送条件情報に含まれるかどうかを判定する判定手段、
    前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段、
    として機能させるためのプログラム。
JP2008334387A 2008-12-26 2008-12-26 Vpn接続装置、パケット制御方法、及びプログラム Active JP5054666B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008334387A JP5054666B2 (ja) 2008-12-26 2008-12-26 Vpn接続装置、パケット制御方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008334387A JP5054666B2 (ja) 2008-12-26 2008-12-26 Vpn接続装置、パケット制御方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2010157857A JP2010157857A (ja) 2010-07-15
JP5054666B2 true JP5054666B2 (ja) 2012-10-24

Family

ID=42575434

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008334387A Active JP5054666B2 (ja) 2008-12-26 2008-12-26 Vpn接続装置、パケット制御方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP5054666B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015068255A1 (ja) * 2013-11-08 2015-05-14 株式会社 日立製作所 ネットワークシステム、通信制御装置、及び通信方法
JP6894060B2 (ja) * 2014-02-06 2021-06-23 イー^ナット テクノロジーズ リミティド ライアビリティ カンパニー 複合セキュアリンクアーキテクチャを提供するシステム及び方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4590765B2 (ja) * 2001-03-29 2010-12-01 住友電気工業株式会社 サービス提供者へのアクセスの切替サービスを提供するサーバ装置とネットワーク上の任意のユーザ端末との間の通信を中継するためのアクセス装置および方法、ならびにコンピュータを当該アクセス装置として動作させるためのプログラムとそのプログラムを記録したコンピュータ読取可能な記録媒体
JP3947141B2 (ja) * 2003-09-01 2007-07-18 日本電信電話株式会社 ネットワーク間通信方法及び管理サーバ並びにユーザ網管理サーバ
JP4816572B2 (ja) * 2007-05-30 2011-11-16 富士ゼロックス株式会社 仮想ネットワーク接続システム及び装置

Also Published As

Publication number Publication date
JP2010157857A (ja) 2010-07-15

Similar Documents

Publication Publication Date Title
US8457014B2 (en) Method for configuring control tunnel and direct tunnel in IPv4 network-based IPv6 service providing system
EP2645679B1 (en) Method and apparatus for message transmission
US8458303B2 (en) Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset
EP2306689B1 (en) Devices and method for accessing a web server in a local space
TWI441493B (zh) 網路位址轉換的系統與方法
US20050138166A1 (en) IP network node and middleware for establishing connectivity to both the IPv4 and IPv6 networks
CN104427010A (zh) 应用于动态虚拟专用网络的网络地址转换方法和装置
US7716368B2 (en) Network system and communication method, information processing apparatus and method, and program
JP2006086800A (ja) ソースアドレスを選択する通信装置
US8761170B2 (en) Communication device, communication method, integrated circuit, and program
CN103618801A (zh) 一种p2p资源共享的方法、设备及系统
JP2004120534A (ja) ルータと中継装置、フォワーディング方法
JP6558492B2 (ja) ネットワークアドレス変換装置、設定要求装置、通信システム、通信方法およびプログラム
JP4766976B2 (ja) ノード間接続方法及び装置
TW201701635A (zh) 用於多層網路位址轉譯器結構之網路傳輸方法及網路傳輸系統
JP4600394B2 (ja) ネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体
Tseng et al. Can: A context-aware NAT traversal scheme
JP2002217941A (ja) ネットワークアドレス再割り当て方法及びルータ
JP5054666B2 (ja) Vpn接続装置、パケット制御方法、及びプログラム
JP2019050628A5 (ja)
JP5084716B2 (ja) Vpn接続装置、dnsパケット制御方法、及びプログラム
JP2005197936A (ja) 通信システム、登録装置及び通信装置
JP2008010934A (ja) ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体
WO2008069504A1 (en) Method for configuring control tunnel and direct tunnel in ipv4 network-based ipv6 service providing system
JP5171608B2 (ja) Vpn接続装置、パケット制御方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110316

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120229

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120710

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120727

R150 Certificate of patent or registration of utility model

Ref document number: 5054666

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150803

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250