ネットワーク制御方法およびネットワークシステム
【課題】VPNにおける端末が自身のIPネットワークから離脱した場合でも、確立済みのIPsecトンネルの再設定等を行わずにVPNによる通信環境を維持することを課題とする。
【解決手段】本発明は、第1のIPネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行うIPsecトンネルを確立することでVPNを構成するネットワークシステムに関する。第2のIPネットワーク内の端末が第2のIPネットワークから離脱した場合、第1のトンネル終端装置のIPsecトンネル方路決定用情報に、その離脱に関する情報を追加する。また、第2のトンネル終端装置、あるいは、その配下のルータに、その離脱に関する情報を追加する。それらの装置で最長一致検索によりパケットを転送することで当該離脱に対応できる。
【解決手段】本発明は、第1のIPネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行うIPsecトンネルを確立することでVPNを構成するネットワークシステムに関する。第2のIPネットワーク内の端末が第2のIPネットワークから離脱した場合、第1のトンネル終端装置のIPsecトンネル方路決定用情報に、その離脱に関する情報を追加する。また、第2のトンネル終端装置、あるいは、その配下のルータに、その離脱に関する情報を追加する。それらの装置で最長一致検索によりパケットを転送することで当該離脱に対応できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IP(Internet Protocol)ネットワークにおいてIPsec(security architecture for IP)トンネリングにより構成するVPN(Virtual Private Network)におけるアドレス割り当て、通信制御、経路制御等の技術に関する。
【背景技術】
【0002】
近年、情報通信の分野において、以下のような技術が用いられている。
【0003】
(1)IPsecESP(Encapsulating Security Payload)トンネルモード技術
IPネットワーク間をIPトンネリング技術で接続する代表的な技術として、IETF(Internet Engineering Task Force) RFC(Request for Comments)4301に規定されるIPsecESPトンネルモード(以下、「IPsecトンネル」という。)技術がある(非特許文献1参照)。本技術を用いることにより、パケット(IPパケット。以下同様)を更にパケットでカプセル化(暗号化)して転送することが可能となる。
【0004】
(2)IKEv2(Internet Key Exchange version 2)技術
前記(1)に示したIPsecトンネルを自動で確立するための技術として、IETF RFC4306に規定されるIKEv2の技術がある(非特許文献2参照)。本技術を用いることにより、接続しようとするトンネル終端装置間で、認証(相手装置が正規の装置であるか否かの認証。以下同様)を行うための情報の交換、IPsecトンネル内のIP通信を行うために利用するIPアドレス(またはIPプレフィクス)の割り当て、暗号化鍵の生成等を動的に行ったうえで、セキュアなIPsecトンネルを確立することができる。なお、認証は、認証サーバ等との連携による実現も可能である。
【0005】
(3)ダイナミックルーティング技術
ルータ等がパケットを転送するにあたり、パケットの宛先に応じた転送先情報を学習するための技術として、ダイナミックルーティング技術がある。ダイナミックルーティング技術については、例えば、IETF RFC2545(非特許文献3参照)やIETF RFC2858(非特許文献4参照)に規定されるBGP(Border Gateway Protocol)4+などがある。本技術を用いることにより、あらかじめ指定したIP機器間で、お互いが学習した経路情報を交換し、広域なIPネットワークを構成することが可能となる。
【0006】
これらの技術により、例えば、図14に示すような、仮想的なプライベートネットワーク(以下、「VPN」という。)が構築される。図14に示す例では、IPネットワークAとIPネットワークBを、それらの間に存在するIPネットワーク上に設けられるIPsecトンネルで接続することにより、VPNが実現される。
【0007】
図14に示す例では、IPネットワークA側からIPネットワークB側へ、IPネットワークB内で利用するIPプレフィクスがIKEv2により割り当てられている前提で説明する。なお、IPアドレスは、IPプレフィクスとホストアドレスからなる。また、図14に示す例において、IPプレフィクスは、IPネットワークAとIPネットワークBに対して、それぞれ1つずつ与えられるものとする。
【0008】
IPネットワークB側では、IPネットワークB内の各端末が、IPネットワークBに割り当てられたIPプレフィクスと所定のホストアドレスを組み合わせることで自身が用いるIPアドレスを決定して通信が可能となる。
【0009】
IPネットワークA側では、トンネル終端装置が、IPネットワークBに割り当てたIPプレフィクスをIPネットワークA内の各端末等に経路広告することで、IPネットワークA内の端末から、IPネットワークB内の端末へのパケットを、IPネットワークA内のトンネル終端装置に経由してIPネットワークB側に送信することが可能となる。
【0010】
なお、IPネットワークA内、IPネットワークB内それぞれに閉じた通信を端末間が行う場合には、IPsecトンネルを経由する必要をなくすため、それぞれのIPネットワークに配備されたルータ等により各IPネットワーク内で通信が行われるようパケットが転送される。
【先行技術文献】
【非特許文献】
【0011】
【非特許文献1】S. Kent, K. Seo, “Security Architecture for the Internet Protocol”, Request for Comments: 4301, Internet Engineering Task Force, December 2005
【非特許文献2】C. Kaufman, Ed., “Internet Key Exchange (IKEv2) Protocol”, Request for Comments: 4306, Internet Engineering Task Force, December 2005
【非特許文献3】P. Marques, F. Dupont, “Use of BGP-4 Multiprotocol Extensions for IPv6 Inter-Domain Routing”, Request for Comments: 2545, Internet Engineering Task Force, March 1999
【非特許文献4】T. Bates et al., “Multiprotocol Extensions for BGP-4”, Request for Comments: 2858, Internet Engineering Task Force, June 2000
【発明の概要】
【発明が解決しようとする課題】
【0012】
従来技術により構成されるVPNでは、IPネットワークB内の端末(以下、「外出端末」という。)が外出(IPネットワークBの外部に出ることをいう。以下同様)した場合、外出端末自らがトンネル終端装置となり、IPネットワークBの外部から、トンネル終端装置3Aとの間でIKEv2を用いることにより、IPsecトンネルを確立する。
【0013】
ここで、外出端末がIPネットワークB内で利用していたIPアドレスを継続利用して当該VPNに接続して通信しようとする場合に、外出端末が用いるIPアドレスは、前記のようにIPネットワークAから割り当てられていることを前提とする。しかし、それでも、外出端末が外出したことに伴い、IPネットワークA〜外出端末間の通信、IPネットワークB〜外出端末間の通信、および、IPネットワークA〜IPネットワークB間の通信を、同時に可能とするためには、IPネットワークA〜IPネットワークB間のIPsecトンネルの再設定や、IPネットワークA内のトンネル終端装置におけるIPネットワークA内での経路再広告を行う必要があり、処理が煩雑であった。
【0014】
本発明は、前記した問題を解決するためになされたものであり、VPNにおける端末が自身のIPネットワークから離脱した場合でも、確立済みのIPsecトンネルの再設定等を行わずにVPNによる通信環境を維持することを課題とする。
【課題を解決するための手段】
【0015】
前記した課題を解決するために、本発明は、第1のIPネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行うIPsecトンネルを確立することでVPNを構成するネットワークシステムに関する。第2のIPネットワーク内の端末が第2のIPネットワークから離脱した場合、第1のトンネル終端装置のIPsecトンネル方路決定用情報に、その離脱に関する情報を追加する。また、第2のトンネル終端装置、あるいは、その配下のルータに、その離脱に関する情報を追加する。それらの装置で最長一致検索によりパケットを転送することで当該離脱に対応できる。
【発明の効果】
【0016】
本発明によれば、VPNにおける端末が自身のIPネットワークから離脱した場合でも、確立済みのIPsecトンネルの再設定等を行わずにVPNによる通信環境を維持することができる。
【図面の簡単な説明】
【0017】
【図1】本実施形態のモード1における初期接続時について、(a)はネットワークシステムの構成図であり、(b)は各装置の処理の流れを示すフローチャートである。
【図2】本実施形態のトンネル終端装置の構成図で、(a)は通常のIPパケット転送時の処理の説明図であり、(b)はIPsecトンネルへの送り込み時の処理の説明図である。
【図3】本実施形態のモード1における外出端末の外出時について、(a)はネットワークシステムの構成図であり、(b)は各装置の処理の流れを示すフローチャートである。
【図4】本実施形態のモード1における初期接続時の各装置の各テーブルの構成図である。
【図5】本実施形態のモード1における外出端末の外出時の各装置の各テーブルの構成図である。
【図6】本実施形態のモード2における初期接続時について、(a)はネットワークシステムの構成図であり、(b)は各装置の処理の流れを示すフローチャートである。
【図7】本実施形態のモード2における外出端末の外出時について、各装置の処理の流れを示すフローチャートである。
【図8】本実施形態のモード2における初期接続時の各装置の各テーブルの構成図である。
【図9】本実施形態のモード2における外出端末の外出時の各装置の各テーブルの構成図である。
【図10】本実施形態のモード3における初期接続時について、(a)はネットワークシステムの構成図であり、(b)は各装置の処理の流れを示すフローチャートである。
【図11】本実施形態のモード3における外出端末の外出時について、各装置の処理の流れを示すフローチャートである。
【図12】本実施形態のモード3における初期接続時の各装置の各テーブルの構成図である。
【図13】本実施形態のモード3における外出端末の外出時の各装置の各テーブルの構成図である。
【図14】従来技術におけるVPNの説明図である。
【発明を実施するための形態】
【0018】
以下、図面を参照して、本発明を実施するための形態(以下、「実施形態」という。)について説明する。なお、本実施形態では、IPネットワークA側からIPネットワークB側へ、IPネットワークB内で利用するIPプレフィックスがIKEv2により割り当てられていることを前提とする。また、IPネットワークB側のトンネル終端装置の動作別に、3つのモード(モード1,2,3)に分けて説明する。また、モード1について説明した後、モード2,3の説明において、モード1の場合と重複する説明は適宜省略する。
【0019】
(モード1)
モード1では、IPネットワークB内のトンネル終端装置(3B)が、パススルーモードで動作し、ピアアドレスを配下ルータ(同じIPネットワーク内のルータ。以下同様)に通知する。そして、その配下ルータが、IPネットワークA内のトンネル終端装置(A)との経路交換(経路情報の交換。以下同様)を実施し、自身の経路テーブルを更新することで、外出端末の外出に対応する。
【0020】
図1(a)に示すように、本実施形態のモード1のネットワークシステムS(以下、VPNとして機能するときは「VPN」ともいう。)は、IPネットワークA(第1のIPネットワーク)、IPネットワークB(第2のIPネットワーク)およびIPネットワーク100から構成される。
【0021】
IPネットワークAには、端末1A、ルータ2A、トンネル終端装置3A(第1のトンネル終端装置)、認証サーバ4Aが存在する。IPネットワークBには、端末1B、ルータ2B、トンネル終端装置3B(第2のトンネル終端装置)、外出端末5(端末1Bと同様の装置。)が存在する。また、IPネットワーク100には、トンネル終端装置3Aが接続するアクセスルータ(AR)6Aと、トンネル終端装置3Bが接続するアクセスルータ(AR)62Bと、外出端末5が外出先(IPネットワークBの外部)で接続するアクセスルータ(AR)6Cが存在する。
【0022】
なお、図1(a)は模式図であるので、例えば、端末1A、ルータ2A、端末1B、ルータ2Bは、実際は1つではなく複数存在するのが通常である。その他、各装置の数や接続状況は、この例に限定されない。また、外出端末5は、例えば、ノートパソコンや携帯電話などの容易に持ち運びができるものである。
【0023】
ネットワークシステムSにおけるすべての装置は、通信機能を有し、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、通信インタフェース、通信ポート、入出力インタフェース、LSI(Large Scale Integration)等を適宜備える。
【0024】
具体的には、図2(a)、(b)に示すように、トンネル終端装置3(トンネル終端装置3A,3Bに対応)は、通信IPインタフェースやIPsecインタフェースからなる通信部31、マウス、キーボード、入出力インタフェース、LCD(Liquid Crystal Display)等からなるI/O部32、RAM、ROM、HDDなどからなる記憶部33(第1の記憶部)、CPUからなる処理部34(第1の処理部、第2の処理部)を備えて構成される。
【0025】
記憶部33には、IPsecトンネル方路決定用テーブル331および経路テーブル332が格納される。処理部34は、処理部(他)341、IPsec処理部342およびIP処理部343を備える。
【0026】
図2(a)を参照して、通常のIPパケット転送時の処理(図2(b)の場合の処理以外の処理)について説明する。トンネル終端装置3がパケットを受信した場合(ステップ(1))、IP処理部343が経路テーブル332で宛先方路を検索する(ステップ(2))。検索した結果、宛先方路が通信IPインタフェースであった場合(ステップ(3))、IP処理部343は通信部31におけるその通信IPインタフェースにパケットを出力する(ステップ(4))。
【0027】
次に、図2(b)を参照して、IPsecトンネルへのパケットの送り込みについて説明する。トンネル終端装置3がパケットを受信した場合(ステップ(1))、IP処理部343が経路テーブル332で宛先方路を検索する(ステップ(2))。検索した結果、宛先方路がIPsecインタフェースであった場合(ステップ(3))、IP処理部343はIPsec処理部342に処理を引き継ぐ(ステップ(4))。IPsec処理部342は、IPsecトンネル方路決定用テーブル331で送り込み先IPsecトンネル方路を検索する(ステップ(5))。送り込み先IPsecトンネル方路が決定すると(ステップ(6))、IPsec処理部342はIPsecトンネル化処理(暗号化、カプセル化)を実施する(ステップ(7))。その後、処理を引き継いだIP処理部343は、通信部31におけるそのIPsecトンネルにパケットを出力する(ステップ(8))。なお、ステップ(7)の後、IP処理部343によって再度、経路テーブル332を検索する場合もあるが、その説明については省略する。
【0028】
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。そのために、まず、図4を参照して、各装置が有するテーブルについて説明する。なお、図4において、「網A」はIPネットワークAを意味し、「網B」はIPネットワークBを意味する。
【0029】
図4に示すように、トンネル終端装置3Aは、経路テーブル332AとIPsecトンネル方路決定用テーブル331Aとを有する。各テーブルにおいて、IPネットワークA→IPネットワークB方向用、および、IPネットワークB→IPネットワークA方向用に、受信したパケットを処理するための情報として、送信元アドレス、宛先アドレス、および、動作(処理するべき主体やパケットの送り先などに関する情報)が関連付けられている。なお、図4において、[bbb]はIPネットワークBに割り当てられたIPプレフィクスを示す。また、「ANY」は任意であることを示す。
【0030】
また、トンネル終端装置3Bは、IPsecトンネル方路決定用テーブル331Bと経路テーブル332Bとを有する。さらに、ルータ2Bは経路テーブルを有する。それらのテーブルについても、同様に、受信したパケットを処理するための情報として、送信元アドレス、宛先アドレス、および、動作(処理するべき主体やパケットの送り先などに関する情報)が関連付けられている。
【0031】
次に、図1(b)を参照して、初期接続時における各装置の処理について説明する(適宜他図参照)。なお、以下において、各装置の処理の動作主体は処理部(CPUなど)であるが、その旨の記載は省略する。また、情報通信の途中に経由する装置については図示の通りとし、その説明は適宜省略する(図3では、さらに「転送」の場合も説明を適宜省略する)。
【0032】
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS21)。
【0033】
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクス([bbb])を決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS22)。また、ステップS22が完了した時点で、各テーブル(図4において「エントリ生成タイミング:S22」と記載されたテーブル)に、図示のようなエントリが設定される。
【0034】
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(第1のIPsecトンネル)(図3(a)参照)を確立する(ステップS23)。
【0035】
続いて、トンネル終端装置3Bは、IPネットワークB内のルータ2Bに対して、例えばDHCP(Dynamic Host Configuration Protocol)、RA(Router Advertisement)等を用いてIPプレフィクスを通知するとともに、通知されたピアアドレスを設定する(ステップS24)。この時点で、ルータ2Bの経路テーブルに、図4に示すようなエントリが設定される。
【0036】
次に、トンネル終端装置3Bは、IPネットワークB内の端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS25)。
【0037】
続いて、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS26)。
【0038】
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10(図3(a)参照)を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、ルータ2Bを中継して行われ、トンネル終端装置3BやIPsecトンネル10を経由することはない。IPネットワークA内の通信についても同様である。
【0039】
<外出端末5の外出>
次に、図3(b)を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。なお、図3(a)はステップS605の後の状態を示すものであり、図3(b)の処理が開始する時点では、外出端末5はIPネットワークB内に存在し、また、IPsecトンネル11(第2のIPsecトンネル)は未確立である。
【0040】
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS601)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図3(b)では不図示)。
【0041】
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS602)。
【0042】
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS603)。なお、IPプレフィクスを割り当てるか、IPアドレスを割り当てるかは、認証に用いるユーザID(IDentification)等に基づいて識別可能としておくことを前提とし、IPプレフィクスを割り当てる場合のみピアアドレスを通知し、IPアドレスを割り当てる場合にはピアアドレスは通知しない。ここでは、外出端末5にIPアドレスを割り当てるため、ピアアドレスは通知しない。
【0043】
次に、トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11(後記)へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS604)。なお、IPsecトンネル方路決定用テーブル331Aは、図5に示すように更新される。ここで、[zz]は外出端末5のホストアドレスである。つまり、外出端末5のIPアドレスについて、IPプレフィクスは[bbb]であり、ホストアドレスは[zz]である。
【0044】
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11を確立する(ステップS605)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため([bbb]が共通)、IPネットワークAへの経路広告を行わない(行う必要がない)。
【0045】
次に、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図5参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(ルータ2B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(ルータ2B)へ広告する(ステップS606)。
【0046】
その後、IPsecトンネル10経由でトンネル終端装置3Aからの広告を受けたルータ2Bは、外出端末5へ割り当てたIPアドレス宛のパケットを受信した場合にトンネル終端装置3B側へ転送するよう、自身の経路テーブルを更新する(図5参照)(ステップS607)。
【0047】
次に、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)をルータ2Bに送信すると、そのパケットは、各装置のテーブルのエントリに基づき(図5参照)、外出端末5へ到着する(ステップS608)。なお、この場合の経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。最長一致検索のアルゴリズムでは、宛先IPアドレスの候補が複数ある場合に、受信したパケットの宛先IPアドレスと一致する部分が一番多いもの(最長のもの)を選択する。つまり、この場合、宛先IPアドレスの候補が「bbb」と「bbb+zz」のとき、「bbb+zz」を選択する。
【0048】
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ到着する(ステップS609)。
【0049】
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
【0050】
<外出端末5の帰還>
外出端末5が外出している状態(図3(a)参照)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
【0051】
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、ルータ2Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。これにより各装置のテーブルは、図4の状態へ更新される(戻される)。
【0052】
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
【0053】
(モード2)
モード2では、IPネットワークB内のトンネル終端装置3Bが、プロキシモードで動作する。つまり、トンネル終端装置3Bは、トンネル終端装置Aとの経路交換を実施し、当該経路情報に関して、配下ルータ(ルータ2B)に対してプロキシARP(Address Resolution Protocol)/NDP(Neighbor Discovery Protocol)応答を実施する。そして、配下ルータ(ルータ2B)上の経路テーブルが更新される。
【0054】
図6(a)に示すように、ネットワークシステムSの構成は、モード1の場合(図1(a)参照)と同様である。
【0055】
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。各装置が有するテーブルについては、図8に示す通りである。
【0056】
次に、図6(b)を参照して、初期接続時における各装置の処理について説明する(適宜図7等参照)。
【0057】
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS31)。
【0058】
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクスを決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS32)。また、ステップS32が完了した時点で、各テーブル(図8において「エントリ生成タイミング:S32」と記載されたテーブル)に、図示のようなエントリが設定される。
【0059】
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(図3(a)のIPsecトンネル10と同様)を確立する(ステップS33)。
【0060】
続いて、トンネル終端装置3Bは、IPネットワークB内のルータ2B、端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS34)。この時点で、ルータ2Bの経路テーブルに、図8に示すようなエントリが設定される。
【0061】
また、トンネル終端装置3Bは、トンネル終端装置3Aから通知されたピアアドレスを自身に設定する(ステップS35)。
【0062】
その後、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS36)。
【0063】
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、ルータ2Bを中継して行われ、トンネル終端装置3BやIPsecトンネル10を経由することはない。IPネットワークA内の通信についても同様である。
【0064】
<外出端末5の外出>
次に、図7を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。
【0065】
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS701)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図7では不図示)。
【0066】
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS702)。
【0067】
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS703)。ここで、外出端末5には、IPネットワークBに割り当てられているIPプレフィクスに属するIPアドレスが割り当てられるものとする。
【0068】
トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS704)。なお、この時点で、IPsecトンネル方路決定用テーブル331Aは、図9に示すように更新される。
【0069】
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11(図3(a)のIPsecトンネル11と同様)を確立する(ステップS705)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため、IPネットワークAへの経路広告を行わない(行う必要がない)。
【0070】
ステップS705の後、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図9参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(トンネル終端装置3B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(トンネル終端装置3B)へ広告する(ステップS706)。
【0071】
次に、IPsecトンネル10経由でトンネル終端装置3Aからの経路広告を受けたトンネル終端装置3Bは、外出端末5へ割り当てたIPアドレス宛のIPパケットに関するARPまたはNDP要求に対して、代理応答するよう動作を開始する(ステップS707)。
【0072】
その後、ルータ2Bは、ARP又はNDP要求に対する代理応答を受信し、外出端末5宛のパケットはトンネル終端装置3Bへ転送するよう、自身の経路テーブルを更新する(図9参照)(ステップS708)。
【0073】
次似、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)をルータ2Bに送信すると、そのパケットは、各装置の各テーブルのエントリに基づき(図9参照)、外出端末5へ到着する(ステップS709)。なお、経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。
【0074】
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ転送される(ステップS710)。
【0075】
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
【0076】
<外出端末5の帰還>
外出端末5が外出している状態(図7のステップS708の直後の状態)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
【0077】
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、ルータ2Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。経路削除広告を受けたトンネル終端装置3Bは、外出端末5に関するARP、NDP要求に対する代理応答を停止する。これにより各装置の各テーブルは、図8の状態へ更新される(戻される)。
【0078】
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
【0079】
(モード3)
モード3では、IPネットワークB内のトンネル終端装置3Bが、経路交換モードモードで動作する。つまり、トンネル終端装置3Bは、トンネル終端装置Aとの経路交換を実施し、自身の経路テーブルを更新する。
【0080】
図10(a)に示すように、ネットワークシステムSの構成は、モード1の場合(図1(a)参照)と比較して、ルータ2Bが存在しない点で異なっている。なお、これは、IPネットワークBにルータが存在しないという意味ではなく、モード3の説明にルータ2Bの存在が不要であるという意味である。
【0081】
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。各装置が有するテーブルについては、図12に示す通りである。
【0082】
次に、図10(b)を参照して、初期接続時における各装置の処理について説明する(適宜図12等参照)。
【0083】
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS41)。
【0084】
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクスを決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS42)。また、この時点で、各装置の各テーブルに、図12に示すようなエントリが設定される。
【0085】
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(図3(a)のIPsecトンネル10と同様)を確立する(ステップS43)。
【0086】
続いて、トンネル終端装置3Bは、IPネットワークB内の端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS44)。
【0087】
また、トンネル終端装置3Bは、トンネル終端装置3Aから通知されたピアアドレスを自身に設定する(ステップS45)。
【0088】
その後、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS46)。
【0089】
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、トンネル終端装置3Bを中継して行われる。
【0090】
<外出端末5の外出>
次に、図11を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。
【0091】
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS801)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図11では不図示)。
【0092】
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS802)。
【0093】
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS803)。ここで、外出端末5には、IPネットワークBに割り当てられているIPプレフィクスに属するIPアドレスが割り当てられるものとする。
【0094】
次に、トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS804)。なお、IPsecトンネル方路決定用テーブル331Aは、図13に示すように更新される。
【0095】
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11(図3(a)のIPsecトンネル11と同様)を確立する(ステップS805)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため、IPネットワークAへの経路広告を行わない(行う必要がない)。
【0096】
次に、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図13参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(トンネル終端装置3B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(トンネル終端装置3B)へ広告する(ステップS806)。
【0097】
次に、IPsecトンネル10経由でトンネル終端装置3Aからの経路広告を受けたトンネル終端装置3Bは、外出端末5宛のパケットを、IPsecトンネル方路決定用テーブルを用いて処理するよう、自身の経路テーブル332Bを更新する(図13参照)(ステップS807)。
【0098】
その後、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)を送信すると、そのパケットは、各装置の各テーブルのエントリに基づき(図13参照)、外出端末5へ到着する(ステップS808)。なお、経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。
【0099】
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ転送される(ステップS809)。
【0100】
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
【0101】
<外出端末5の帰還>
外出端末5が外出している状態(図11のステップS807の直後の状態)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
【0102】
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、トンネル終端装置3Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。これにより、各装置のテーブルは、図12の状態へ更新される(戻される)。
【0103】
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
【0104】
以上で本実施形態の説明を終えるが、本発明の態様はこれらに限定されるものではない。
例えば、認証サーバ4Aの機能をトンネル終端装置3Aが具備してもよい。
【0105】
また、IPプレフィクスは、IPネットワークAとIPネットワークBに対して、それぞれ複数与えられてもよく、その場合でも、本発明を同様に適用することができる。
その他、具体的な構成や処理について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
【符号の説明】
【0106】
1A、1B 端末
2A、2B ルータ
3、3A、3B トンネル終端装置
4A 認証サーバ
5 外出端末
6A、6B、6C アクセスルータ
31 通信部
32 I/O部
33 記憶部
34 処理部
100、A、B IPネットワーク
331、331A、331B IPsecトンネル方路決定用テーブル
332、332A、332B 経路テーブル
【技術分野】
【0001】
本発明は、IP(Internet Protocol)ネットワークにおいてIPsec(security architecture for IP)トンネリングにより構成するVPN(Virtual Private Network)におけるアドレス割り当て、通信制御、経路制御等の技術に関する。
【背景技術】
【0002】
近年、情報通信の分野において、以下のような技術が用いられている。
【0003】
(1)IPsecESP(Encapsulating Security Payload)トンネルモード技術
IPネットワーク間をIPトンネリング技術で接続する代表的な技術として、IETF(Internet Engineering Task Force) RFC(Request for Comments)4301に規定されるIPsecESPトンネルモード(以下、「IPsecトンネル」という。)技術がある(非特許文献1参照)。本技術を用いることにより、パケット(IPパケット。以下同様)を更にパケットでカプセル化(暗号化)して転送することが可能となる。
【0004】
(2)IKEv2(Internet Key Exchange version 2)技術
前記(1)に示したIPsecトンネルを自動で確立するための技術として、IETF RFC4306に規定されるIKEv2の技術がある(非特許文献2参照)。本技術を用いることにより、接続しようとするトンネル終端装置間で、認証(相手装置が正規の装置であるか否かの認証。以下同様)を行うための情報の交換、IPsecトンネル内のIP通信を行うために利用するIPアドレス(またはIPプレフィクス)の割り当て、暗号化鍵の生成等を動的に行ったうえで、セキュアなIPsecトンネルを確立することができる。なお、認証は、認証サーバ等との連携による実現も可能である。
【0005】
(3)ダイナミックルーティング技術
ルータ等がパケットを転送するにあたり、パケットの宛先に応じた転送先情報を学習するための技術として、ダイナミックルーティング技術がある。ダイナミックルーティング技術については、例えば、IETF RFC2545(非特許文献3参照)やIETF RFC2858(非特許文献4参照)に規定されるBGP(Border Gateway Protocol)4+などがある。本技術を用いることにより、あらかじめ指定したIP機器間で、お互いが学習した経路情報を交換し、広域なIPネットワークを構成することが可能となる。
【0006】
これらの技術により、例えば、図14に示すような、仮想的なプライベートネットワーク(以下、「VPN」という。)が構築される。図14に示す例では、IPネットワークAとIPネットワークBを、それらの間に存在するIPネットワーク上に設けられるIPsecトンネルで接続することにより、VPNが実現される。
【0007】
図14に示す例では、IPネットワークA側からIPネットワークB側へ、IPネットワークB内で利用するIPプレフィクスがIKEv2により割り当てられている前提で説明する。なお、IPアドレスは、IPプレフィクスとホストアドレスからなる。また、図14に示す例において、IPプレフィクスは、IPネットワークAとIPネットワークBに対して、それぞれ1つずつ与えられるものとする。
【0008】
IPネットワークB側では、IPネットワークB内の各端末が、IPネットワークBに割り当てられたIPプレフィクスと所定のホストアドレスを組み合わせることで自身が用いるIPアドレスを決定して通信が可能となる。
【0009】
IPネットワークA側では、トンネル終端装置が、IPネットワークBに割り当てたIPプレフィクスをIPネットワークA内の各端末等に経路広告することで、IPネットワークA内の端末から、IPネットワークB内の端末へのパケットを、IPネットワークA内のトンネル終端装置に経由してIPネットワークB側に送信することが可能となる。
【0010】
なお、IPネットワークA内、IPネットワークB内それぞれに閉じた通信を端末間が行う場合には、IPsecトンネルを経由する必要をなくすため、それぞれのIPネットワークに配備されたルータ等により各IPネットワーク内で通信が行われるようパケットが転送される。
【先行技術文献】
【非特許文献】
【0011】
【非特許文献1】S. Kent, K. Seo, “Security Architecture for the Internet Protocol”, Request for Comments: 4301, Internet Engineering Task Force, December 2005
【非特許文献2】C. Kaufman, Ed., “Internet Key Exchange (IKEv2) Protocol”, Request for Comments: 4306, Internet Engineering Task Force, December 2005
【非特許文献3】P. Marques, F. Dupont, “Use of BGP-4 Multiprotocol Extensions for IPv6 Inter-Domain Routing”, Request for Comments: 2545, Internet Engineering Task Force, March 1999
【非特許文献4】T. Bates et al., “Multiprotocol Extensions for BGP-4”, Request for Comments: 2858, Internet Engineering Task Force, June 2000
【発明の概要】
【発明が解決しようとする課題】
【0012】
従来技術により構成されるVPNでは、IPネットワークB内の端末(以下、「外出端末」という。)が外出(IPネットワークBの外部に出ることをいう。以下同様)した場合、外出端末自らがトンネル終端装置となり、IPネットワークBの外部から、トンネル終端装置3Aとの間でIKEv2を用いることにより、IPsecトンネルを確立する。
【0013】
ここで、外出端末がIPネットワークB内で利用していたIPアドレスを継続利用して当該VPNに接続して通信しようとする場合に、外出端末が用いるIPアドレスは、前記のようにIPネットワークAから割り当てられていることを前提とする。しかし、それでも、外出端末が外出したことに伴い、IPネットワークA〜外出端末間の通信、IPネットワークB〜外出端末間の通信、および、IPネットワークA〜IPネットワークB間の通信を、同時に可能とするためには、IPネットワークA〜IPネットワークB間のIPsecトンネルの再設定や、IPネットワークA内のトンネル終端装置におけるIPネットワークA内での経路再広告を行う必要があり、処理が煩雑であった。
【0014】
本発明は、前記した問題を解決するためになされたものであり、VPNにおける端末が自身のIPネットワークから離脱した場合でも、確立済みのIPsecトンネルの再設定等を行わずにVPNによる通信環境を維持することを課題とする。
【課題を解決するための手段】
【0015】
前記した課題を解決するために、本発明は、第1のIPネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行うIPsecトンネルを確立することでVPNを構成するネットワークシステムに関する。第2のIPネットワーク内の端末が第2のIPネットワークから離脱した場合、第1のトンネル終端装置のIPsecトンネル方路決定用情報に、その離脱に関する情報を追加する。また、第2のトンネル終端装置、あるいは、その配下のルータに、その離脱に関する情報を追加する。それらの装置で最長一致検索によりパケットを転送することで当該離脱に対応できる。
【発明の効果】
【0016】
本発明によれば、VPNにおける端末が自身のIPネットワークから離脱した場合でも、確立済みのIPsecトンネルの再設定等を行わずにVPNによる通信環境を維持することができる。
【図面の簡単な説明】
【0017】
【図1】本実施形態のモード1における初期接続時について、(a)はネットワークシステムの構成図であり、(b)は各装置の処理の流れを示すフローチャートである。
【図2】本実施形態のトンネル終端装置の構成図で、(a)は通常のIPパケット転送時の処理の説明図であり、(b)はIPsecトンネルへの送り込み時の処理の説明図である。
【図3】本実施形態のモード1における外出端末の外出時について、(a)はネットワークシステムの構成図であり、(b)は各装置の処理の流れを示すフローチャートである。
【図4】本実施形態のモード1における初期接続時の各装置の各テーブルの構成図である。
【図5】本実施形態のモード1における外出端末の外出時の各装置の各テーブルの構成図である。
【図6】本実施形態のモード2における初期接続時について、(a)はネットワークシステムの構成図であり、(b)は各装置の処理の流れを示すフローチャートである。
【図7】本実施形態のモード2における外出端末の外出時について、各装置の処理の流れを示すフローチャートである。
【図8】本実施形態のモード2における初期接続時の各装置の各テーブルの構成図である。
【図9】本実施形態のモード2における外出端末の外出時の各装置の各テーブルの構成図である。
【図10】本実施形態のモード3における初期接続時について、(a)はネットワークシステムの構成図であり、(b)は各装置の処理の流れを示すフローチャートである。
【図11】本実施形態のモード3における外出端末の外出時について、各装置の処理の流れを示すフローチャートである。
【図12】本実施形態のモード3における初期接続時の各装置の各テーブルの構成図である。
【図13】本実施形態のモード3における外出端末の外出時の各装置の各テーブルの構成図である。
【図14】従来技術におけるVPNの説明図である。
【発明を実施するための形態】
【0018】
以下、図面を参照して、本発明を実施するための形態(以下、「実施形態」という。)について説明する。なお、本実施形態では、IPネットワークA側からIPネットワークB側へ、IPネットワークB内で利用するIPプレフィックスがIKEv2により割り当てられていることを前提とする。また、IPネットワークB側のトンネル終端装置の動作別に、3つのモード(モード1,2,3)に分けて説明する。また、モード1について説明した後、モード2,3の説明において、モード1の場合と重複する説明は適宜省略する。
【0019】
(モード1)
モード1では、IPネットワークB内のトンネル終端装置(3B)が、パススルーモードで動作し、ピアアドレスを配下ルータ(同じIPネットワーク内のルータ。以下同様)に通知する。そして、その配下ルータが、IPネットワークA内のトンネル終端装置(A)との経路交換(経路情報の交換。以下同様)を実施し、自身の経路テーブルを更新することで、外出端末の外出に対応する。
【0020】
図1(a)に示すように、本実施形態のモード1のネットワークシステムS(以下、VPNとして機能するときは「VPN」ともいう。)は、IPネットワークA(第1のIPネットワーク)、IPネットワークB(第2のIPネットワーク)およびIPネットワーク100から構成される。
【0021】
IPネットワークAには、端末1A、ルータ2A、トンネル終端装置3A(第1のトンネル終端装置)、認証サーバ4Aが存在する。IPネットワークBには、端末1B、ルータ2B、トンネル終端装置3B(第2のトンネル終端装置)、外出端末5(端末1Bと同様の装置。)が存在する。また、IPネットワーク100には、トンネル終端装置3Aが接続するアクセスルータ(AR)6Aと、トンネル終端装置3Bが接続するアクセスルータ(AR)62Bと、外出端末5が外出先(IPネットワークBの外部)で接続するアクセスルータ(AR)6Cが存在する。
【0022】
なお、図1(a)は模式図であるので、例えば、端末1A、ルータ2A、端末1B、ルータ2Bは、実際は1つではなく複数存在するのが通常である。その他、各装置の数や接続状況は、この例に限定されない。また、外出端末5は、例えば、ノートパソコンや携帯電話などの容易に持ち運びができるものである。
【0023】
ネットワークシステムSにおけるすべての装置は、通信機能を有し、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、通信インタフェース、通信ポート、入出力インタフェース、LSI(Large Scale Integration)等を適宜備える。
【0024】
具体的には、図2(a)、(b)に示すように、トンネル終端装置3(トンネル終端装置3A,3Bに対応)は、通信IPインタフェースやIPsecインタフェースからなる通信部31、マウス、キーボード、入出力インタフェース、LCD(Liquid Crystal Display)等からなるI/O部32、RAM、ROM、HDDなどからなる記憶部33(第1の記憶部)、CPUからなる処理部34(第1の処理部、第2の処理部)を備えて構成される。
【0025】
記憶部33には、IPsecトンネル方路決定用テーブル331および経路テーブル332が格納される。処理部34は、処理部(他)341、IPsec処理部342およびIP処理部343を備える。
【0026】
図2(a)を参照して、通常のIPパケット転送時の処理(図2(b)の場合の処理以外の処理)について説明する。トンネル終端装置3がパケットを受信した場合(ステップ(1))、IP処理部343が経路テーブル332で宛先方路を検索する(ステップ(2))。検索した結果、宛先方路が通信IPインタフェースであった場合(ステップ(3))、IP処理部343は通信部31におけるその通信IPインタフェースにパケットを出力する(ステップ(4))。
【0027】
次に、図2(b)を参照して、IPsecトンネルへのパケットの送り込みについて説明する。トンネル終端装置3がパケットを受信した場合(ステップ(1))、IP処理部343が経路テーブル332で宛先方路を検索する(ステップ(2))。検索した結果、宛先方路がIPsecインタフェースであった場合(ステップ(3))、IP処理部343はIPsec処理部342に処理を引き継ぐ(ステップ(4))。IPsec処理部342は、IPsecトンネル方路決定用テーブル331で送り込み先IPsecトンネル方路を検索する(ステップ(5))。送り込み先IPsecトンネル方路が決定すると(ステップ(6))、IPsec処理部342はIPsecトンネル化処理(暗号化、カプセル化)を実施する(ステップ(7))。その後、処理を引き継いだIP処理部343は、通信部31におけるそのIPsecトンネルにパケットを出力する(ステップ(8))。なお、ステップ(7)の後、IP処理部343によって再度、経路テーブル332を検索する場合もあるが、その説明については省略する。
【0028】
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。そのために、まず、図4を参照して、各装置が有するテーブルについて説明する。なお、図4において、「網A」はIPネットワークAを意味し、「網B」はIPネットワークBを意味する。
【0029】
図4に示すように、トンネル終端装置3Aは、経路テーブル332AとIPsecトンネル方路決定用テーブル331Aとを有する。各テーブルにおいて、IPネットワークA→IPネットワークB方向用、および、IPネットワークB→IPネットワークA方向用に、受信したパケットを処理するための情報として、送信元アドレス、宛先アドレス、および、動作(処理するべき主体やパケットの送り先などに関する情報)が関連付けられている。なお、図4において、[bbb]はIPネットワークBに割り当てられたIPプレフィクスを示す。また、「ANY」は任意であることを示す。
【0030】
また、トンネル終端装置3Bは、IPsecトンネル方路決定用テーブル331Bと経路テーブル332Bとを有する。さらに、ルータ2Bは経路テーブルを有する。それらのテーブルについても、同様に、受信したパケットを処理するための情報として、送信元アドレス、宛先アドレス、および、動作(処理するべき主体やパケットの送り先などに関する情報)が関連付けられている。
【0031】
次に、図1(b)を参照して、初期接続時における各装置の処理について説明する(適宜他図参照)。なお、以下において、各装置の処理の動作主体は処理部(CPUなど)であるが、その旨の記載は省略する。また、情報通信の途中に経由する装置については図示の通りとし、その説明は適宜省略する(図3では、さらに「転送」の場合も説明を適宜省略する)。
【0032】
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS21)。
【0033】
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクス([bbb])を決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS22)。また、ステップS22が完了した時点で、各テーブル(図4において「エントリ生成タイミング:S22」と記載されたテーブル)に、図示のようなエントリが設定される。
【0034】
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(第1のIPsecトンネル)(図3(a)参照)を確立する(ステップS23)。
【0035】
続いて、トンネル終端装置3Bは、IPネットワークB内のルータ2Bに対して、例えばDHCP(Dynamic Host Configuration Protocol)、RA(Router Advertisement)等を用いてIPプレフィクスを通知するとともに、通知されたピアアドレスを設定する(ステップS24)。この時点で、ルータ2Bの経路テーブルに、図4に示すようなエントリが設定される。
【0036】
次に、トンネル終端装置3Bは、IPネットワークB内の端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS25)。
【0037】
続いて、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS26)。
【0038】
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10(図3(a)参照)を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、ルータ2Bを中継して行われ、トンネル終端装置3BやIPsecトンネル10を経由することはない。IPネットワークA内の通信についても同様である。
【0039】
<外出端末5の外出>
次に、図3(b)を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。なお、図3(a)はステップS605の後の状態を示すものであり、図3(b)の処理が開始する時点では、外出端末5はIPネットワークB内に存在し、また、IPsecトンネル11(第2のIPsecトンネル)は未確立である。
【0040】
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS601)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図3(b)では不図示)。
【0041】
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS602)。
【0042】
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS603)。なお、IPプレフィクスを割り当てるか、IPアドレスを割り当てるかは、認証に用いるユーザID(IDentification)等に基づいて識別可能としておくことを前提とし、IPプレフィクスを割り当てる場合のみピアアドレスを通知し、IPアドレスを割り当てる場合にはピアアドレスは通知しない。ここでは、外出端末5にIPアドレスを割り当てるため、ピアアドレスは通知しない。
【0043】
次に、トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11(後記)へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS604)。なお、IPsecトンネル方路決定用テーブル331Aは、図5に示すように更新される。ここで、[zz]は外出端末5のホストアドレスである。つまり、外出端末5のIPアドレスについて、IPプレフィクスは[bbb]であり、ホストアドレスは[zz]である。
【0044】
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11を確立する(ステップS605)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため([bbb]が共通)、IPネットワークAへの経路広告を行わない(行う必要がない)。
【0045】
次に、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図5参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(ルータ2B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(ルータ2B)へ広告する(ステップS606)。
【0046】
その後、IPsecトンネル10経由でトンネル終端装置3Aからの広告を受けたルータ2Bは、外出端末5へ割り当てたIPアドレス宛のパケットを受信した場合にトンネル終端装置3B側へ転送するよう、自身の経路テーブルを更新する(図5参照)(ステップS607)。
【0047】
次に、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)をルータ2Bに送信すると、そのパケットは、各装置のテーブルのエントリに基づき(図5参照)、外出端末5へ到着する(ステップS608)。なお、この場合の経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。最長一致検索のアルゴリズムでは、宛先IPアドレスの候補が複数ある場合に、受信したパケットの宛先IPアドレスと一致する部分が一番多いもの(最長のもの)を選択する。つまり、この場合、宛先IPアドレスの候補が「bbb」と「bbb+zz」のとき、「bbb+zz」を選択する。
【0048】
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ到着する(ステップS609)。
【0049】
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
【0050】
<外出端末5の帰還>
外出端末5が外出している状態(図3(a)参照)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
【0051】
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、ルータ2Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。これにより各装置のテーブルは、図4の状態へ更新される(戻される)。
【0052】
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
【0053】
(モード2)
モード2では、IPネットワークB内のトンネル終端装置3Bが、プロキシモードで動作する。つまり、トンネル終端装置3Bは、トンネル終端装置Aとの経路交換を実施し、当該経路情報に関して、配下ルータ(ルータ2B)に対してプロキシARP(Address Resolution Protocol)/NDP(Neighbor Discovery Protocol)応答を実施する。そして、配下ルータ(ルータ2B)上の経路テーブルが更新される。
【0054】
図6(a)に示すように、ネットワークシステムSの構成は、モード1の場合(図1(a)参照)と同様である。
【0055】
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。各装置が有するテーブルについては、図8に示す通りである。
【0056】
次に、図6(b)を参照して、初期接続時における各装置の処理について説明する(適宜図7等参照)。
【0057】
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS31)。
【0058】
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクスを決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS32)。また、ステップS32が完了した時点で、各テーブル(図8において「エントリ生成タイミング:S32」と記載されたテーブル)に、図示のようなエントリが設定される。
【0059】
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(図3(a)のIPsecトンネル10と同様)を確立する(ステップS33)。
【0060】
続いて、トンネル終端装置3Bは、IPネットワークB内のルータ2B、端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS34)。この時点で、ルータ2Bの経路テーブルに、図8に示すようなエントリが設定される。
【0061】
また、トンネル終端装置3Bは、トンネル終端装置3Aから通知されたピアアドレスを自身に設定する(ステップS35)。
【0062】
その後、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS36)。
【0063】
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、ルータ2Bを中継して行われ、トンネル終端装置3BやIPsecトンネル10を経由することはない。IPネットワークA内の通信についても同様である。
【0064】
<外出端末5の外出>
次に、図7を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。
【0065】
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS701)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図7では不図示)。
【0066】
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS702)。
【0067】
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS703)。ここで、外出端末5には、IPネットワークBに割り当てられているIPプレフィクスに属するIPアドレスが割り当てられるものとする。
【0068】
トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS704)。なお、この時点で、IPsecトンネル方路決定用テーブル331Aは、図9に示すように更新される。
【0069】
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11(図3(a)のIPsecトンネル11と同様)を確立する(ステップS705)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため、IPネットワークAへの経路広告を行わない(行う必要がない)。
【0070】
ステップS705の後、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図9参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(トンネル終端装置3B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(トンネル終端装置3B)へ広告する(ステップS706)。
【0071】
次に、IPsecトンネル10経由でトンネル終端装置3Aからの経路広告を受けたトンネル終端装置3Bは、外出端末5へ割り当てたIPアドレス宛のIPパケットに関するARPまたはNDP要求に対して、代理応答するよう動作を開始する(ステップS707)。
【0072】
その後、ルータ2Bは、ARP又はNDP要求に対する代理応答を受信し、外出端末5宛のパケットはトンネル終端装置3Bへ転送するよう、自身の経路テーブルを更新する(図9参照)(ステップS708)。
【0073】
次似、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)をルータ2Bに送信すると、そのパケットは、各装置の各テーブルのエントリに基づき(図9参照)、外出端末5へ到着する(ステップS709)。なお、経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。
【0074】
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ転送される(ステップS710)。
【0075】
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
【0076】
<外出端末5の帰還>
外出端末5が外出している状態(図7のステップS708の直後の状態)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
【0077】
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、ルータ2Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。経路削除広告を受けたトンネル終端装置3Bは、外出端末5に関するARP、NDP要求に対する代理応答を停止する。これにより各装置の各テーブルは、図8の状態へ更新される(戻される)。
【0078】
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
【0079】
(モード3)
モード3では、IPネットワークB内のトンネル終端装置3Bが、経路交換モードモードで動作する。つまり、トンネル終端装置3Bは、トンネル終端装置Aとの経路交換を実施し、自身の経路テーブルを更新する。
【0080】
図10(a)に示すように、ネットワークシステムSの構成は、モード1の場合(図1(a)参照)と比較して、ルータ2Bが存在しない点で異なっている。なお、これは、IPネットワークBにルータが存在しないという意味ではなく、モード3の説明にルータ2Bの存在が不要であるという意味である。
【0081】
<初期接続>
次に、初期接続(IPネットワークA、B間のIPsecトンネル確立)時における各装置の処理等について説明する。各装置が有するテーブルについては、図12に示す通りである。
【0082】
次に、図10(b)を参照して、初期接続時における各装置の処理について説明する(適宜図12等参照)。
【0083】
まず、トンネル終端装置3Bは、トンネル終端装置3Aに対してIKEv2を起動する(ステップS41)。
【0084】
そのIKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、トンネル終端装置3Bについての認証を終えてから、IPネットワークBへ割り当てるIPプレフィクスを決定し、また、当該IPプレフィクスと所定のホストアドレスを組み合わせることで経路交換を行うためのピアアドレスを決定し、それら(IPプレフィクスとピアアドレス)をトンネル終端装置3Bに通知する(ステップS42)。また、この時点で、各装置の各テーブルに、図12に示すようなエントリが設定される。
【0085】
その後、トンネル終端装置3Aとトンネル終端装置3Bは、IKEv2のシーケンスを継続し、IPsecトンネル10(図3(a)のIPsecトンネル10と同様)を確立する(ステップS43)。
【0086】
続いて、トンネル終端装置3Bは、IPネットワークB内の端末1B、外出端末5に対して、例えばDHCP、RA等を用いてIPプレフィクスを通知する(ステップS44)。
【0087】
また、トンネル終端装置3Bは、トンネル終端装置3Aから通知されたピアアドレスを自身に設定する(ステップS45)。
【0088】
その後、トンネル終端装置3Aは、IPネットワークBに対して割り当てたIPプレフィクスを経路情報としてIPネットワークA内のルータ2A、端末1A、認証サーバ4Aに広告する(ステップS46)。
【0089】
以上の処理により、端末1Aと端末1B、および、端末1Aと外出端末5との間での通信が、IPsecトンネル10を経由して可能となる。なお、端末1Bと外出端末5との間の通信は、トンネル終端装置3Bを中継して行われる。
【0090】
<外出端末5の外出>
次に、図11を参照して、外出端末が外出(IPネットワークBから離脱)するときの各装置の処理について説明する(適宜他図参照)。
【0091】
まず、外出端末5は外出する(IPネットワークBの外部に出る)(ステップS801)。外出した外出端末5は、その後、IPネットワーク上のアクセスルータ6Cに接続する(図11では不図示)。
【0092】
次に、外出端末5は、トンネル終端装置3Aに対してIKEv2を起動する(アクセスルータ6Cとアクセスルータ6Aを経由してIPsecトンネルの確立要求をする)(ステップS802)。
【0093】
IKEv2のシーケンス中、トンネル終端装置3Aは、認証サーバ4Aと連携して、外出端末5の認証を終えた後、外出端末5へ割り当てるIPアドレスとして、IPネットワークBのIPプレフィクスと所定のホストアドレスとの組み合わせからなるIPアドレスを決定し、そのIPアドレスを、アクセスルータ6Aとアクセスルータ6Cを経由して外出端末5へ通知する(ステップS803)。ここで、外出端末5には、IPネットワークBに割り当てられているIPプレフィクスに属するIPアドレスが割り当てられるものとする。
【0094】
次に、トンネル終端装置3Aは、外出端末5宛のパケットをIPsecトンネル11へ送り込むよう、自身のIPsecトンネル方路決定用テーブル331Aを更新する(ステップS804)。なお、IPsecトンネル方路決定用テーブル331Aは、図13に示すように更新される。
【0095】
その後、外出端末5とトンネル終端装置3Aは、IKEv2のシーケンスを継続し、IPsecトンネル11(図3(a)のIPsecトンネル11と同様)を確立する(ステップS805)。なお、トンネル終端装置3Aは、外出端末5に対して割り当てたIPアドレスがIPネットワークBに割り当てたIPプレフィクスを含むため、IPネットワークAへの経路広告を行わない(行う必要がない)。
【0096】
次に、トンネル終端装置3Aは、IPsecトンネル方路決定用テーブル331A(図13参照)を参照して、IPsecトンネル10方路とIPsecトンネル11方路が包含関係にある(IPプレフィクスが共通である)ことを認識し、既にIPネットワークBに通知済みのピアアドレス(トンネル終端装置3B)に対してピア確立を行ったうえで、IPsecトンネル10を介して、外出端末5へ割り当てたIPアドレスを経路情報として当該ピア(トンネル終端装置3B)へ広告する(ステップS806)。
【0097】
次に、IPsecトンネル10経由でトンネル終端装置3Aからの経路広告を受けたトンネル終端装置3Bは、外出端末5宛のパケットを、IPsecトンネル方路決定用テーブルを用いて処理するよう、自身の経路テーブル332Bを更新する(図13参照)(ステップS807)。
【0098】
その後、端末1Bが、外出端末5宛のパケット(宛先IPアドレスがIPプレフィクス[bbb]とホストアドレス[zz]の組み合わせのパケット)を送信すると、そのパケットは、各装置の各テーブルのエントリに基づき(図13参照)、外出端末5へ到着する(ステップS808)。なお、経路検索には、最長一致検索(ロンゲストマッチ)のアルゴリズムを使用する。
【0099】
同様に、端末1Aから外出端末5へのパケットは、トンネル終端装置3AのIPsecトンネル方路決定用テーブル331Aを用いて最長一致検索で経路決定することにより、IPsecトンネル11経由で外出端末5へ転送される(ステップS809)。
【0100】
このようにして、外出した外出端末5がVPNへ接続した際に、確立済みのIPsecトンネル10の再設定や、IPネットワークA内での再経路広告、IPネットワークB内でのIPアドレス再設定等を行わなくても、端末1Aおよび端末1Bから外出端末5へのパケットは、外出端末5へ到達することができる。
【0101】
<外出端末5の帰還>
外出端末5が外出している状態(図11のステップS807の直後の状態)から、外出端末5がIPネットワークBに戻る場合、外出端末5は、IKEv2を用いてトンネル終端装置3Aに対してIPsecトンネル11の削除依頼を行う。
【0102】
IPsecトンネル11の削除依頼を受信したトンネル終端装置3Aは、トンネル終端装置3Bに対して経路削除広告を行った後、IPsecトンネル11を削除する。これにより、各装置のテーブルは、図12の状態へ更新される(戻される)。
【0103】
これらの処理により、ネットワークシステムSにおける通信環境は外出端末5が外出する前の状態に戻り、端末1A、1B等から送信された外出端末5宛のパケットは、外出端末5に正常に到達することができる。
【0104】
以上で本実施形態の説明を終えるが、本発明の態様はこれらに限定されるものではない。
例えば、認証サーバ4Aの機能をトンネル終端装置3Aが具備してもよい。
【0105】
また、IPプレフィクスは、IPネットワークAとIPネットワークBに対して、それぞれ複数与えられてもよく、その場合でも、本発明を同様に適用することができる。
その他、具体的な構成や処理について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
【符号の説明】
【0106】
1A、1B 端末
2A、2B ルータ
3、3A、3B トンネル終端装置
4A 認証サーバ
5 外出端末
6A、6B、6C アクセスルータ
31 通信部
32 I/O部
33 記憶部
34 処理部
100、A、B IPネットワーク
331、331A、331B IPsecトンネル方路決定用テーブル
332、332A、332B 経路テーブル
【特許請求の範囲】
【請求項1】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムにおけるネットワーク制御方法であって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のIPネットワークにおけるルータは、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。
【請求項2】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項1に記載のネットワーク制御方法。
【請求項3】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムにおけるネットワーク制御方法であって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、前記第2のIPネットワークにおけるルータに対して、その記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶させ、
前記第2のIPネットワークにおけるルータは、
その後、前記第2のトンネル終端装置による代理応答を介して、前記離脱した端末宛のパケットを受信したとき、前記記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。
【請求項4】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記第2のトンネル終端装置による代理応答を介して、前記記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項3に記載のネットワーク制御方法。
【請求項5】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムにおけるネットワーク制御方法であって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。
【請求項6】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のトンネル終端装置は、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項5に記載のネットワーク制御方法。
【請求項7】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムであって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記ネットワークシステムは、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2のIPネットワークにおけるルータを、備える
ことを特徴とするネットワークシステム。
【請求項8】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項7に記載のネットワークシステム。
【請求項9】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムであって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、前記第2のIPネットワークにおけるルータに対して、その記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶させる第2の処理部を、備え、
前記ネットワークシステムは、
前記第2のトンネル終端装置による代理応答を介して、前記離脱した端末宛のパケットを受信したとき、前記記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2のIPネットワークにおけるルータを、備える
ことを特徴とするネットワークシステム。
【請求項10】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記第2のトンネル終端装置による代理応答を介して、前記記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項9に記載のネットワークシステム。
【請求項11】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムであって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2の処理部を、備える
ことを特徴とするネットワークシステム。
【請求項12】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のトンネル終端装置の第2の処理部は、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項11に記載のネットワークシステム。
【請求項1】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムにおけるネットワーク制御方法であって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のIPネットワークにおけるルータは、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。
【請求項2】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項1に記載のネットワーク制御方法。
【請求項3】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムにおけるネットワーク制御方法であって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、前記第2のIPネットワークにおけるルータに対して、その記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶させ、
前記第2のIPネットワークにおけるルータは、
その後、前記第2のトンネル終端装置による代理応答を介して、前記離脱した端末宛のパケットを受信したとき、前記記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。
【請求項4】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記第2のトンネル終端装置による代理応答を介して、前記記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項3に記載のネットワーク制御方法。
【請求項5】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムにおけるネットワーク制御方法であって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、第1の処理部と、を備えており、
前記第1のトンネル終端装置の第1の処理部は、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定し、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する
ことを特徴とするネットワーク制御方法。
【請求項6】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のトンネル終端装置は、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項5に記載のネットワーク制御方法。
【請求項7】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムであって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記ネットワークシステムは、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記第2のトンネル終端装置を経由して前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2のIPネットワークにおけるルータを、備える
ことを特徴とするネットワークシステム。
【請求項8】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項7に記載のネットワークシステム。
【請求項9】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムであって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、前記第2のIPネットワークにおけるルータに対して、その記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶させる第2の処理部を、備え、
前記ネットワークシステムは、
前記第2のトンネル終端装置による代理応答を介して、前記離脱した端末宛のパケットを受信したとき、前記記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2のIPネットワークにおけるルータを、備える
ことを特徴とするネットワークシステム。
【請求項10】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のIPネットワークにおけるルータは、前記第2のトンネル終端装置による代理応答を介して、前記記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項9に記載のネットワークシステム。
【請求項11】
第1のIP(Internet Protocol)ネットワークにおける第1のトンネル終端装置と、第2のIPネットワークにおける第2のトンネル終端装置との間に、IPプレフィクスに基づくダイナミックルーティングを行う第1のIPsec(security architecture for IP)トンネルを確立することでVPN(Virtual Private Network)を構成するネットワークシステムであって、
前記第1のトンネル終端装置は、
受信したパケットを送り込むIPsecトンネルを決定するために、受信したパケットの宛先IPアドレスのうちのIPプレフィクスごとに、受信したパケットを送り込むIPsecトンネルを示す情報を格納したIPsecトンネル方路決定用情報を記憶する第1の記憶部と、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合に、
前記離脱した端末からのIPsecトンネルの確立要求を受けて、前記離脱した端末に対して前記第2のIPネットワークのIPプレフィクスと所定のホストアドレスからなるIPアドレスを決定して通知するとともに、前記離脱した端末との間に第2のIPsecトンネルを確立し、
前記第1の記憶部に記憶されたIPsecトンネル方路決定用情報に対して、前記前記離脱した端末のIPアドレス宛のパケットを、前記第2のIPsecトンネルに送り込む旨の情報を追加し、
その後、前記離脱した端末宛のパケットを受信したとき、前記情報を追加したIPsecトンネル方路決定用情報を参照し、宛先IPアドレスに関する最長一致検索により、前記第2のIPsecトンネルに当該パケットを送り込むことを決定する第1の処理部と、を備え、
前記第2のトンネル終端装置は、
前記第1のIPsecトンネルの確立時に前記第1のトンネル終端装置から、前記第2のIPネットワークのIPプレフィクスと、ピアアドレスと、を受信し、前記ピアアドレスを自身に設定し、
前記第2のIPネットワーク内の端末が前記第2のIPネットワークから離脱した場合、
前記第1のトンネル終端装置から前記離脱した端末のIPアドレスを受信し、自身の記憶部に、当該IPアドレス宛のパケットを前記第1のIPsecトンネルに送り込む旨の情報を記憶し、
その後、前記離脱した端末宛のパケットを受信したとき、前記自身の記憶部を参照し、宛先IPアドレスに関する最長一致検索により、前記第1のIPsecトンネルに当該パケットを送り込むことを決定する第2の処理部を、備える
ことを特徴とするネットワークシステム。
【請求項12】
前記離脱した端末が前記第2のIPネットワークに帰還した場合、
前記第1のトンネル終端装置の第1の処理部は、前記IPsecトンネル方路決定用情報から、前記追加した情報を削除し、
前記第2のトンネル終端装置の第2の処理部は、前記自身の記憶部から、前記記憶した情報を削除する
ことを特徴とする請求項11に記載のネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2011−49841(P2011−49841A)
【公開日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願番号】特願2009−196756(P2009−196756)
【出願日】平成21年8月27日(2009.8.27)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年3月10日(2011.3.10)
【国際特許分類】
【出願日】平成21年8月27日(2009.8.27)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]