中継サーバ及び中継通信システム
【課題】ネットワークが複雑化した場合においても、記憶する又は送受信するデータ量が肥大化することのないVPNを構築可能な中継サーバを提供する。
【解決手段】中継サーバは、自身と他のルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身とサブルーティング機器との間にサブルーティングセッションを確立する制御と、ルーティングセッション又はサブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。パケット転送制御は、サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。
【解決手段】中継サーバは、自身と他のルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身とサブルーティング機器との間にサブルーティングセッションを確立する制御と、ルーティングセッション又はサブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。パケット転送制御は、サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主として、異なるLAN(Local Area Network)に接続されている端末間の通信を可能とする中継サーバに関する。
【背景技術】
【0002】
従来から、仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている(例えば、特許文献1を参照)。このVPNは、例えば、地域ごとに設けられた複数の支社(拠点)のLANに接続された端末同士でインターネットを介して通信する用途に用いられている。前記VPNを利用すれば、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2002−217938号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、この種のシステムにおいて、中継サーバが、自身が接続するLAN内の端末の識別情報及びIPアドレス等だけでなく、他のLANに接続される端末の識別情報及びIPアドレスを記憶し、この記憶内容に基づいて通信を行う構成が知られている。この構成においては、各LANに多数の端末が接続されている場合に、中継サーバが記憶する情報量が膨大になる。また、この構成においては、各LANに接続される端末が頻繁に変更される場合に、変更の度に中継サーバ同士で情報のやり取りが必要となる。そのため、処理が繁雑になるとともに、中継サーバ間でやり取りされる情報量が膨大なものとなる。
【0005】
本発明は以上の事情に鑑みてされたものであり、その主要な目的は、ネットワークが複雑化した場合においても、記憶する情報量及び送受信する情報量が肥大化することのないVPNを構築可能な中継サーバを提供することにある。
【課題を解決するための手段及び効果】
【0006】
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
【0007】
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、中継グループ情報記憶部と、中継サーバ情報記憶部と、VPNグループ情報記憶部と、サブVPNグループ情報記憶部と、アドレスフィルタ情報記憶部と、サブアドレスフィルタ情報記憶部と、通信制御部と、を備える。前記中継グループ情報記憶部は、自身(中継サーバ)との間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する。前記中継サーバ情報記憶部は、前記中継グループに属する前記中継サーバの起動情報と、前記中継グループに属する前記中継サーバに所属するクライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。前記VPNグループ情報記憶部は、前記中継グループの情報及び前記中継サーバ情報に基づいて中継通信システムを構成する前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うVPNグループに関し、当該VPNグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶する。前記サブVPNグループ情報記憶部は、ある中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、自身(中継サーバ)のサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶する。前記アドレスフィルタ情報記憶部は、あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。前記サブアドレスフィルタ情報記憶部は、自身(中継サーバ)のサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶する。前記通信制御部は、自身(中継サーバ)と前記ルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身と自身のサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。前記パケット転送制御は、前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において自身と対応付けられているときは、前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が自身のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。
【0008】
これにより、中継サーバは、中継通信システムを構成する他の中継サーバの中から選択されたルーティング中継サーバとVPNを構築して、必要な中継サーバとの間でのみファイルの共有等を行うことができる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のVPNと比較して、VPNグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部では、サブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることができる。
【0009】
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、自身に所属する前記クライアント端末から、仮想プライベートネットワークを開始する旨の指示とともに、当該クライアント端末をサブルーティングポイントとして設定する旨の指示を受けたときに、前記通信制御部は、仮想プライベートネットワークを開始する旨の指示を行った前記クライアント端末を前記サブVPNグループ情報に追加する制御と、当該クライアント端末についての前記アドレスフィルタ情報を他の前記ルーティング中継サーバに送信する制御と、自身と当該クライアント端末との間に前記サブルーティングセッションを確立する制御と、を行う。
【0010】
これにより、VPNを開始する旨の指示を行ったクライアント端末をサブルーティングポイントとして機能させる設定することが容易となる。
【0011】
前記の中継サーバにおいては、仮想プライベートネットワークを維持したまま、前記サブルーティングポイントを変更可能であることが好ましい。
【0012】
これにより、状況の変化に柔軟に対応可能なVPNを構築できる。
【0013】
本発明の第2の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、複数の中継サーバと、クライアント端末と、を備える。前記クライアント端末は、前記中継サーバを介して互いに接続可能である。前記中継サーバは、中継グループ情報記憶部と、中継サーバ情報記憶部と、VPNグループ情報記憶部と、サブVPNグループ情報記憶部と、アドレスフィルタ情報記憶部と、サブアドレスフィルタ情報記憶部と、通信制御部と、を備える。前記中継グループ情報記憶部は、当該中継サーバとの間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する。前記中継サーバ情報記憶部は、前記中継グループに属する前記中継サーバの起動情報と、前記クライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。前記VPNグループ情報記憶部は、前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うVPNグループに関し、当該VPNグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶する。前記サブVPNグループ情報記憶部は、当該中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、当該中継サーバのサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶する。前記アドレスフィルタ情報記憶部は、あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。前記サブアドレスフィルタ情報記憶部は、当該中継サーバのサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶する。前記通信制御部は、他の前記ルーティング中継サーバとの間でルーティングセッションを確立する制御と、前記中継サーバとサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。前記パケット転送制御は、前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において当該中継サーバと対応付けられているときは、前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が当該中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。
【0014】
これにより、中継サーバから選択されたルーティング中継サーバを用いてVPNを構築できるため、必要な中継サーバとの間でのみファイルの共有等を行うことが可能となる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のVPNと比較して、VPNグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部では、サブVPNグループに含まれるクライアント端末についてのアドレスフィルタ情報を、当該クライアント端末の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、各中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることが可能な中継通信システムを構築できる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。
【図2】中継サーバの機能ブロック図。
【図3】中継グループ情報の内容を示す図。
【図4】中継サーバ情報の内容を示す図。
【図5】クライアント端末情報の内容を示す図。
【図6】VPNグループ情報の内容を示す図。
【図7】サブVPNグループ情報の内容を示す図。
【図8】アドレスフィルタ情報について説明する図。
【図9】アドレスフィルタ情報記憶部の記憶内容を示す図。
【図10】サブアドレスフィルタ情報記憶部の記憶内容を示す図。
【図11】VPNグループを作成する処理を示すフローチャート。
【図12】VPNグループを作成してVPNを開始する通信処理を示すシーケンス図。
【図13】VPNグループ情報に基づいてVPNを開始するための処理を示すフローチャート。
【図14】VPNグループ情報に基づいてVPNを開始するための処理を示すフローチャート。
【図15】サブVPNグループ情報に基づいてVPNを開始するための処理を示すフローチャート。
【図16】サブVPNグループ情報に基づいてVPNを開始するための処理を示すフローチャート。
【図17】パケットのルーティングを行う通信処理を示すシーケンス図。
【図18】VPNを終了する通信処理を示すシーケンス図。
【発明を実施するための形態】
【0016】
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本発明の一実施形態に係る中継通信システム100の全体構成を示す説明図である。
【0017】
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数のLAN10,20,30等で構成されている。それぞれのLAN10,20,30は、限定された場所で構築される比較的小規模なネットワークであり、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
【0018】
以下、それぞれのLANを具体的に説明する。図1に示すように、LAN10には、中継サーバ1と、クライアント端末11と、通信装置12と、が接続されている。LAN20には、中継サーバ2と、クライアント端末21と、通信装置22と、通信装置23と、が接続されている。LAN30には、ファイルサーバ31が接続されている。また、LAN30には、ルータ35を介して別のLAN36が接続されている。このLAN36には、クライアント端末37と、ファイルサーバ38と、クライアント端末39と、が接続されている。更に、前記LAN30には、ルータ40を介して更に別のLAN41が接続されている。このLAN41には、クライアント端末42と、ファイルサーバ43と、が接続されている。
【0019】
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続されたクライアント端末と通信可能であるだけでなく、他のLANに配置された中継サーバと通信可能となっている。そのため、中継サーバ1,2,3には、グローバルIPアドレスに加えてプライベートIPアドレスが付与されている。
【0020】
クライアント端末11,21,37,39,42は、例えばパーソナルコンピュータで構成されており、中継サーバ1,2,3等を介して相互に通信を行うことができる。通信装置12,22,23は、例えばパーソナルコンピュータで構成されており、自身が接続されるLAN等を介して、当該LANに接続される端末にパケットを送信可能である。ファイルサーバ31,38,43は、例えばネットワーク接続ストレージで構成されており、自身が接続されるLAN等を介して、当該LANに接続される端末にパケットを送信可能である。
【0021】
次に、中継サーバ1,2,3について説明する。なお、これらの3つの中継サーバは、一部の記憶内容を除いて略同一の構成であるため、代表して中継サーバ3について説明する。初めに、図2を参照して、中継サーバ3が備える構成について説明する。図2は、中継サーバ3の機能ブロック図である。
【0022】
図2に示すように、中継サーバ3は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
【0023】
インタフェース部70は、プライベートIPアドレスを利用して、LAN30及びLAN36に接続される端末に対して通信を行うことができる。また、インタフェース部70は、グローバルIPアドレスを利用して、WAN80を経由した通信を行うことができる。
【0024】
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。図2に示すように、制御部60は、インタフェースドライバ61と、LAN側IPパケット処理部62と、通信制御部63と、WAN側IPパケット処理部64と、を備えている。
【0025】
インタフェースドライバ61は、インタフェース部70を制御するドライバソフトウェアである。LAN側IPパケット処理部62は、LAN30から受信したパケットに適宜の処理を行って通信制御部63に出力する。WAN側IPパケット処理部64は、WAN80から受信したパケットに適宜の処理を行って通信制御部63に出力する。
【0026】
通信制御部63は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて送信先を決定し、決定した送信先へ当該パケットを送信する。また、通信制御部63は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新させることができる。
【0027】
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、クライアント端末情報記憶部53と、VPNグループ情報記憶部54と、サブVPNグループ情報記憶部55と、アドレスフィルタ情報記憶部56と、サブアドレスフィルタ情報記憶部57と、を備えている。以下、図3から図10までを参照して、記憶部50の記憶内容について説明する。図3は、中継グループ情報の内容を示す図である。図4は、中継サーバ情報の内容を示す図である。図5は、クライアント端末情報の内容を示す図である。図6は、VPNグループ情報の内容を示す図である。図7は、サブVPNグループ情報の内容を示す図である。図8は、アドレスフィルタ情報について説明する図である。図9は、アドレスフィルタ情報記憶部56の記憶内容を示す図である。図10は、サブアドレスフィルタ情報記憶部57の記憶内容を示す図である。
【0028】
中継グループ情報記憶部51は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。
【0029】
図3に示すように、中継グループ情報においては、groupタグと、このgroupタグを親要素とする子要素のsiteタグと、が記述されている。groupタグには中継グループに関するグループ情報511が記述されている。このグループ情報511としては、中継グループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、中継グループの名称(「name」)と、が記述されている。siteタグには、中継グループを構成する中継サーバに関するグループ構成情報512が記述されている。このグループ構成情報512には、当該中継サーバの識別情報(「id」)が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。
【0030】
なお、この中継グループ情報は、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。
【0031】
中継サーバ情報記憶部52は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。
【0032】
図4に示す中継サーバ情報においては、中継サーバごとに記述されるsiteタグと、前記siteタグを親要素とする子要素のnodeタグと、が記述されている。siteタグには中継サーバ1に関するサーバ情報521が記述されている。このサーバ情報521としては、中継サーバの識別情報(「id」)と、中継サーバの名称(「name」)と、起動情報(「stat」)と、が記述されている。なお、statの内容が「active」の場合は中継サーバが中継通信システム100にログインしていることを示し、statが空欄であるときはログオフ中であることを示す。siteタグの子要素であるnodeタグには、中継サーバに所属するクライアント端末を示す所属情報522が記述されている。所属情報522としては、所属する中継グループの名称(「group」)と、クライアント端末の識別情報(「id」)と、クライアント端末の名称(「name」)と、ログイン先の中継サーバの識別情報(「site」)と、が記述されている。なお、クライアント端末が中継サーバ(中継通信システム100)にログインしていないときは、「site」は空欄となる。
【0033】
なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末11からクライアント端末21にパケットを送信する場合、初めに、クライアント端末11は、自身が接続している中継サーバである中継サーバ1にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ1は、これらの情報に基づいて、クライアント端末21が接続している中継サーバである中継サーバ2にパケットを送信する。そして、この中継サーバ2がクライアント端末21にパケットを送信する。このようにして、クライアント端末11,21同士で中継通信を行うことができる。
【0034】
この中継サーバ情報も中継グループ情報と同様に、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。
【0035】
クライアント端末情報記憶部53は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ1,2,3は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。例えば、中継サーバ1には、図1に示すようにクライアント端末11が所属しているため、中継サーバ1が備えるクライアント端末情報記憶部53には、クライアント端末11のクライアント端末情報のみが記憶されている。
【0036】
中継サーバ1のクライアント端末情報記憶部53が記憶するクライアント端末情報は、図5(a)に示されている。同様に、中継サーバ2が記憶するクライアント端末情報が図5(b)に、中継サーバ3が記憶するクライアント端末情報が図5(c)に、それぞれ示されている。
【0037】
図5に示すクライアント端末情報においては、nodeタグが記述されている。このnodeタグには、クライアント端末のプライベートIPアドレス(「addr」)と、所属する中継グループの名称(「group」)と、識別情報(「id」)と、名称(「name」)と、中継サーバにログインするためのパスワード(「pass」)と、ポート情報(「port」)と、が記述されている。
【0038】
VPNグループ情報記憶部54は、中継グループを構成する中継サーバから選択された中継サーバ(以下、ルーティング中継サーバと称する)で構成されたVPNグループに関する情報であるVPNグループ情報を記憶している。VPNグループは、中継グループ内で構成されるグループであり、ルーティング中継サーバ間にルーティングセッションを確立させることにより、仮想ネットワーク(VPN)を構築することができる。
【0039】
なお、1つの中継グループにおいて、複数のVPNグループを作成することが可能となっている。本実施形態では、中継サーバ1と中継サーバ3とで構成されるVPNグループ(VPN−GROUP1)と、中継サーバ2と中継サーバ3とで構成されるVPNグループ(VPN−GROUP2)と、が作成されたものとする。VPN−GROUP1についてのVPNグループ情報は図6(a)に示されており、VPN−GROUP2についてのVPNグループ情報は図6(b)に示されている。
【0040】
これらのVPNグループ情報においては、vnetタグが記述されている。このvnetタグには、VPNグループ基本情報541と、ルーティングポイント情報542と、ルーティングセッション情報543と、が記述されている。VPNグループ基本情報541には、VPNグループが所属する中継グループの名称(「group」)と、VPNグループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、VPNグループの名称(「name」)と、が記述されている。ルーティングポイント情報542には、VPNグループ内で通信を行うときにルーティングを行うルーティング中継サーバの識別情報が記述されている。ルーティングセッション情報543には、各VPNグループにおいて互いに接続されるルーティング中継サーバが記述されている。ルーティングセッション情報543において、ルーティング中継サーバは、VPNグループでVPNを開始するためのルーティングセッション確立処理において、通信制御を最初に行う側(「sp(start point)」)と、その通信制御を受ける側「ep(end point)」と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング中継サーバを「始点」と、その通信制御を受ける側のルーティング中継サーバを「終点」と、それぞれ称することがある。
【0041】
このVPNグループ情報は、当該VPNグループを構成する中継サーバの間で共有されている。具体的には、VPN−GROUP1についてのVPNグループ情報が中継サーバ1と中継サーバ3とで共有され、VPN−GROUP2についてのVPNグループ情報が中継サーバ2と中継サーバ3とで共有されている。そして、ある中継サーバにおいてVPNグループ情報を変更する処理が行われた場合は、VPNグループを構成する他の中継サーバに対してその旨が送信されてVPNグループ情報が更新される。このようにして、VPNグループ情報が動的に共有される。なお、このVPNグループを作成する処理については後述する。
【0042】
サブVPNグループ情報記憶部55は、自身(中継サーバ3)に所属するクライアント端末の中からサブルーティングポイントとして設定された1又は複数のクライアント端末(以下、サブルーティング機器と称する)で構成されるサブVPNグループに関する情報(サブVPNグループ情報)を記憶している。サブルーティング機器は、ルーティング中継サーバ同士のルーティングセッションが確立した後に、中継サーバ3との間でルーティングセッションを確立させることにより、ルーティングポイントのように振舞うことができる。なお、サブルーティングポイントとして設定されるクライアント端末は、VPNグループ毎に異ならせても良いし、同一にしても良い。また、以下の説明では、ルーティング中継サーバとサブルーティング機器との間で形成されるルーティングセッションを、特に「サブルーティングセッション」と呼ぶことがある。
【0043】
サブVPNグループ情報記憶部55は、具体的には、サブルーティングポイント情報と、サブルーティングセッション情報と、を前記VPNグループ毎に記憶している。図7(a)には、VPN−GROUP2に対応するサブルーティングポイント情報が示されている。図7(a)に示すように、サブルーティングポイント情報には、サブルーティング機器の識別情報の一覧が記述されている。また、図7(b)には、VPN−GROUP2に対応するサブルーティングセッション情報が示されている。図7(b)に示すように、サブルーティングセッション情報には、ルーティング中継サーバとサブルーティング機器とで確立されるサブルーティングセッションにおいて、通信制御を最初に行う側(始点側)の機器の識別情報と、その通信制御を受ける側(終点側)の機器の識別情報と、を対応付けて記憶している。
【0044】
上記のサブVPNグループ情報は、ルーティング中継サーバとサブルーティング機器との間で共有される。一方で、このサブVPNグループ情報は、ルーティング中継サーバ同士では共有されない。即ち、ルーティング中継サーバは、自身のサブVPNグループ情報のみをサブVPNグループ情報記憶部55に記憶し、他の中継サーバ(ルーティング中継サーバ)のサブVPNグループ情報は記憶しない。
【0045】
次に、アドレスフィルタ情報と、アドレスフィルタ情報記憶部56及びサブアドレスフィルタ情報記憶部57の記憶内容について説明する。アドレスフィルタ情報とは、ある機器が、パケットの転送を行う機器(ルーティング中継サーバ又はサブルーティング機器)に対して、パケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報である。以下の説明では、ルーティング中継サーバ(又はサブルーティング機器)がパケットを転送可能なルーティング対象装置のアドレスを示す情報を、ルーティング中継サーバ(又はサブルーティング機器)についてのアドレスフィルタ情報と称する。
【0046】
図8には、ルーティング中継サーバ等と、当該ルーティング中継サーバ等についてのアドレスフィルタ情報と、を対応させて示している。この図8に示すように、例えば中継サーバ1は、通信装置12にパケットを転送可能である。
【0047】
アドレスフィルタ情報記憶部56は、図9に示すように、ルーティング中継サーバについてのアドレスフィルタ情報と、サブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報に対応付けて記憶している。即ち、アドレスフィルタ情報記憶部56では、クライアント端末37についてのアドレスフィルタ情報であっても、(当該クライアント端末37ではなく)中継サーバ3の識別情報に対応付けた形で記憶される。なお、アドレスフィルタ情報記憶部56は、ルーティング対象装置のIPアドレスだけでなく、当該ルーティング対象装置の名称についても記憶している。ルーティング対象装置の名称としては、例えば、機器の種類(処理装置、通信装置、ファイルサーバ等)及び配置される場所等を考慮する等して任意の名称を設定することができるので、パケット転送先のルーティング対象装置を分かり易く管理することができる。なお、それぞれのルーティングポイントとしての中継サーバは、このアドレスフィルタ情報を外部の表示装置等に表示させることが可能となっている。
【0048】
サブアドレスフィルタ情報記憶部57は、図10に示すように、サブルーティング機器(クライアント端末37)についてのアドレスフィルタ情報を、当該サブルーティング機器(クライアント端末37)の識別情報に対応付けて記憶している。従って、サブアドレスフィルタ情報記憶部57と前記アドレスフィルタ情報記憶部56とでは、その記憶内容においてアドレスフィルタ情報が対応付けられる機器(識別情報)が異なっている。また、サブアドレスフィルタ情報記憶部57は、自機(中継サーバ3)のサブルーティング機器についてのアドレスフィルタ情報のみを記憶し、他のルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報は記憶しない。そのため、サブアドレスフィルタ情報記憶部57の記憶内容はルーティング中継サーバ間で共有されることはなく、その記憶内容はそれぞれの中継サーバで独自のものとなる。
【0049】
また、ルーティング中継サーバは、VPNを開始するときに、自身についてのアドレスフィルタ情報と、サブルーティング機器についてのアドレスフィルタ情報と、を他のルーティング中継サーバに通知する。この通知を受けたルーティング中継サーバは、通知内容に基づいて、アドレスフィルタ情報記憶部56の記憶内容を更新するように構成されている(ただし、サブアドレスフィルタ情報記憶部57の記憶内容は更新しない)。
【0050】
中継サーバ3は、以上のように構成される。なお、上記したように、サブVPNグループ情報記憶部55及びサブアドレスフィルタ情報記憶部57の記憶内容は、当該中継サーバ3に関する内容のみが記憶され、他の中継サーバとの間で同期されることはない。従って、各中継サーバにおいて記憶内容が肥大化することを防止できる。また、中継サーバ1,2の構成については詳細な説明を省略するが、中継サーバ3と実質的に同様に構成された記憶部50及び制御部60を備えている。
【0051】
次に、VPNグループを構築して、構築したVPNグループでパケットのルーティングを行うときの処理について説明する。
【0052】
初めにVPNグループを構築するときの流れについて図11及び図12を参照して説明する。図11は、VPNグループを作成する処理を示すフローチャートである。図12は、VPNグループを作成してVPNを開始する通信処理を示すシーケンス図である。
【0053】
中継通信システム100を利用するユーザは、クライアント端末39等から中継サーバ3にログインすることによって、VPNグループの設定画面を当該クライアント端末39のディスプレイに表示させることができる。ここでは、クライアント端末39を介して中継サーバ3にログインしてVPNグループを構築する場合について説明する。クライアント端末39に表示させた設定画面には、中継サーバ3が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、VPNグループを構築したい中継グループを選択する(S101)。
【0054】
中継グループが選択されると、クライアント端末39には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバの識別情報の一覧が表示される(S102)。そして、ユーザは、構築するVPNグループにおいてルーティングポイントとして機能させる中継サーバの識別情報を選択する(S103)。今回の説明では、ログイン中の中継サーバ3の識別情報に加え、中継サーバ2の識別情報がユーザに選択されたものとする。
【0055】
そして、この選択されたルーティングポイントに基づいて、ルーティングセッション情報が作成される(S104)。また、選択された中継サーバ等の識別情報に基づいて、ルーティングポイントの識別情報が作成される(S104)。これらの作成された情報にVPNグループの識別情報等を付加することにより、図6(b)で示したVPNグループ情報が作成され、VPNグループ情報記憶部54は、このVPNグループ情報を記憶する(S105)。
【0056】
そして、作成されたVPNグループ情報は、他のルーティング中継サーバ(中継サーバ2)に送信され(S106、図12のシーケンス番号1、createVpnGroup)、VPNグループが作成されたことが通知される。
【0057】
次に、ユーザは、作成したVPNグループに対応するサブVPNグループを作成する。具体的には、ユーザは、初めに、ログイン中の中継サーバ3に所属するクライアント端末の一覧をクライアント端末39に表示させる。そして、表示されたクライアント端末の中から、サブルーティングポイントとして機能させるクライアント端末を選択する。中継サーバ3は、この選択された情報に基づいてサブルーティングポイント情報及びサブルーティングセッション情報を作成して、サブVPNグループ情報記憶部55に記憶する。そして、中継サーバ3は、選択されたクライアント端末に対して、サブルーティングポイントとして選択された旨を、VPNグループの識別情報とともに送信する(シーケンス番号2、createVpnSubGroup)。ここでは、VPN−GROUP2における中継サーバ3のサブルーティングポイントとしてクライアント端末37が選択されたものとする。これにより、サブVPNグループの構築処理が完了する。
【0058】
次に、構築したVPNグループ情報に基づいて、VPNを開始するために行う処理について、図13及び図14を参照して説明する。図13及び図14は、VPNグループ情報に基づいてVPNを開始するための処理を示すフローチャートである。
【0059】
ユーザは、例えばクライアント端末39から中継サーバ3にログインして、作成済みのVPNグループの一覧をクライアント端末39に表示させる。そして、ユーザは、このVPNグループから適当なVPNグループを選択することにより(S201)、VPNを開始するための処理を中継サーバ3に行わせる。今回の説明では、ユーザがVPN−GROUP2を選択したものとする。
【0060】
なお、VPNグループの選択時等においては、ログインに用いた端末を、ログイン先の中継サーバ3におけるサブルーティングポイントとして設定するか否かの選択を行うことができる。ここで、ログインに用いた端末(ここではクライアント端末39)をサブルーティングポイントとして設定する選択をユーザが行った場合、中継サーバ3が備えるサブVPNグループ情報記憶部55の記憶内容において、クライアント端末39の識別情報等がサブルーティングポイント情報及びサブルーティングセッション情報に追記される。
【0061】
次に、中継サーバ3は、自身についてのアドレスフィルタ情報を読み出す(S202)。中継サーバ3についてのアドレスフィルタ情報は、ファイルサーバ31のIPアドレスとなっている。次に、中継サーバ3は、選択したVPNグループに属するルーティングポイントの読出しを行う(S203)。これにより、図6(b)に示すVPNグループ情報の内容に基づいて、中継サーバ2の識別情報が読み出される。
【0062】
中継サーバ3は、中継サーバ情報に基づいて、初めに、中継サーバ2がログイン中か否か(「stat」がactiveか空欄か)を判断する(S204)。図4に示す中継サーバ情報によれば中継サーバ2は中継通信システム100にログイン中であるため、中継サーバ3は、中継サーバ2に向けてVPNグループの開始コマンドを送信する(図12のシーケンス番号3、startVpn)。このとき、選択されたVPNグループの識別情報(VpnGroupID)と、中継サーバ3についてのアドレスフィルタ情報(addr03)と、が同時に中継サーバ2に向けて送信される。
【0063】
これにより、中継サーバ2は、開始の処理を行うVPNグループを特定できるとともに、中継サーバ3についての最新のアドレスフィルタ情報を取得することができる。また、中継サーバ2は、信号を受信した旨を中継サーバ3に通知するとともに、自身についてのアドレスフィルタ情報(addr02)を中継サーバ3に送信する。そして、中継サーバ3は、中継サーバ2からの応答を受けて(S206)、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部56に記憶する(S207)。そして、中継サーバ3は、中継サーバ2を、VPNを開始する準備が完了したルーティングポイントとして登録する(S208)。
【0064】
このように、VPNを開始する際に、それぞれのルーティング中継サーバが他のルーティング中継サーバとアドレスフィルタ情報を交換(取得)するため、最新のアドレスフィルタ情報を用いてVPNを構築することができる。従って、VPN開始前の段階で一部のルーティング中継サーバについてのアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング中継サーバに反映させた状態でVPNを開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。
【0065】
次に、中継サーバ3は、他にルーティングポイントが有るか否かの判断を行う(S209)。図6(b)に示すように、VPN−GROUP2におけるルーティングポイントは中継サーバ3と中継サーバ2のみであり、他のルーティングポイントは記述されていない。従って、中継サーバ3は、VPNグループ情報記憶部54の記憶内容からルーティングセッション情報543を抽出する(S210)。
【0066】
次に、中継サーバ3は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する(S211)。図6(b)のルーティングセッション情報543においては、中継サーバ3及び中継サーバ2との間で確立されるべきルーティングセッションにおいて、中継サーバ3が始点となることが記述されている。
【0067】
そこで、中継サーバ3は、中継サーバ2が、VPNを開始する準備が完了したルーティングポイントであるか否かを判断する(S212)。上記のS208により、中継サーバ2については準備完了が登録されているため、中継サーバ3から中継サーバ2に対してルーティングセッションを確立するための通信制御が行われる(S213、図12のシーケンス番号4、createVpnSsn)。
【0068】
次に、中継サーバ3は、自身が接続の始点となるルーティングセッションが他に記述されているか否かを判断する(S214)。図6(b)に示すように、中継サーバ2とのルーティングセッションを除いては、自身が接続の始点となるルーティングセッションはルーティングセッション情報に記述されていない。従って、一連の処理が完了する。
【0069】
以上のようにして、VPNを開始するための処理を行うことができる。なお、それぞれのルーティング中継サーバは、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。
【0070】
なお、VPNの起動中にVPNグループが変更された場合は、変更があった旨が各ルーティング中継サーバに通知され、適宜の情報が更新される。そして、更新後の情報に基づいてVPNによる通信を行うことにより、VPNを停止することなくVPNグループの変更を行うことができる。
【0071】
次に、図15及び図16を参照して、サブVPNグループ情報に基づいて、VPNを開始するために行う処理について説明する。図15及び図16は、サブVPNグループ情報に基づいてVPNを開始するための処理を示すフローチャートである。この図15及び図16に示す処理は、図13及び図14に示す処理と適切なタイミングで並行して行われる。なお、図15及び図16に示す処理は、図13及び図14に示す処理と同等の処理を行うことが多いため、説明を簡略化又は省略することがある。
【0072】
中継サーバ3は、初めに、サブルーティングポイント情報を参照して、S201において選択されたVPNグループに対応付けられたサブルーティングポイントを読み出す(S301)。図7(a)に示すように、VPN−GROUP2においては、中継サーバ3のサブルーティングポイントとして設定されたクライアント端末としてクライアント端末37が記述されているため、当該クライアント端末37が読み出される。このクライアント端末37は上述のとおり、ルーティング中継サーバ(中継サーバ2及び中継サーバ3)と同様に、パケットを転送するルーティングポイントのように振舞うことができる。この機能を実現するために、詳細は図示しないが、クライアント端末37は、アドレスフィルタ情報やルーティングセッション情報等を記憶可能な適宜の記憶部と、図2の制御部60と同様に構成された制御部と、同じく図2のインタフェース部70と同様に構成されたインタフェース部と、を備えている。
【0073】
S301の処理の後、中継サーバ3は、読み出されたクライアント端末37がログイン中か否か(「site」に中継サーバの識別情報が記述されているか、それとも空欄か)を中継サーバ情報に基づいて判断する(S302)。図4に示す中継サーバ情報によればクライアント端末37はログイン中であるため、中継サーバ3は、クライアント端末37に向けてVPNグループの開始コマンドを送信する(S303、図12のシーケンス番号5、startVpn)。このとき、選択されたVPNグループの識別情報と、上記で中継サーバ3が記憶しているアドレスフィルタ情報(addr02及びaddr03)も同時に送信される。これにより、クライアント端末37は、中継サーバ2及び中継サーバ3についての最新のアドレスフィルタを取得することができる。
【0074】
また、クライアント端末37は、信号を受信した旨を中継サーバ3に通知するとともに、当該クライアント端末37が記憶部に記憶しているアドレスフィルタ情報(addr37)を中継サーバ3に送信する。なお、このアドレスフィルタ情報は当該クライアント端末37についてのアドレスフィルタ情報であって、クライアント端末37がサブルーティングポイントとして動作するときはファイルサーバ38にパケットを転送可能であるように適宜設定されるものである。従って、クライアント端末37においては、当該クライアント端末37の識別情報と対応付けた形で、ファイルサーバ38のIPアドレス(これがアドレスフィルタ情報に相当する)が記憶されている。
【0075】
中継サーバ3は、クライアント端末37からの応答を受けて(S304)、クライアント端末37についてのアドレスフィルタ情報をアドレスフィルタ情報記憶部56及びサブアドレスフィルタ情報記憶部57に記憶する(S305)。なお、上述したように、クライアント端末37のアドレスフィルタ情報(ファイルサーバ38のIPアドレス)は、アドレスフィルタ情報記憶部56においては図9のように中継サーバ3の識別情報と対応付けて記憶され、サブアドレスフィルタ情報記憶部57においては図10のようにクライアント端末37の識別情報と対応付けて記憶される。そして、中継サーバ3は、このクライアント端末37についてのアドレスフィルタ情報を他のルーティング中継サーバ(中継サーバ2)に送信する(図12のシーケンス番号6、send(addr37))。中継サーバ2は、受信したクライアント端末37についてのアドレスフィルタ情報を、中継サーバ3の識別情報と対応付けてアドレスフィルタ情報記憶部56に追記する形で記憶する(ただし、サブアドレスフィルタ情報記憶部57の記憶内容は更新しない)。
【0076】
そして、中継サーバ3は、クライアント端末37を、VPNを開始する準備が完了したサブルーティングポイントとして登録する(S306)。
【0077】
次に、中継サーバ3は、他にサブルーティングポイントが有るか否かの判断を行う(S307)。図7(a)に示すように、VPN−GROUP2におけるサブルーティングポイントはクライアント端末37のみであり、他は記述されていない。従って、中継サーバ3は、サブVPNグループ情報記憶部55の記憶内容からサブルーティングセッション情報を抽出する(S308)。なお、仮に、VPNの開始時においてクライアント端末39をサブルーティングポイントとして設定する選択をユーザが行った場合は、中継サーバ3は、当該クライアント端末39についてもS302〜S306の処理を行うことになる。
【0078】
次に、中継サーバ3は、抽出したサブルーティングセッション情報を参照して、自身が始点となるサブルーティングセッションが記述されているか否かを判断する(S309)。図7(b)のサブルーティングセッション情報においては、中継サーバ3及びクライアント端末37との間で確立されるべきサブルーティングセッションにおいて、中継サーバ3が始点となることが記述されている。
【0079】
そこで、中継サーバ3は、クライアント端末37が、VPNを開始する準備が完了したサブルーティングポイントであるか否かを判断する(S310)。上記のS306により、クライアント端末37については準備完了が登録されているため、中継サーバ3からクライアント端末37に対してサブルーティングセッションを確立するための通信制御が行われる(S311、図12のシーケンス番号7、createVpnSsn)。
【0080】
次に、中継サーバ3は、自身が接続の始点となるサブルーティングセッションが他に記述されているか否かを判断する(S312)。図7(b)のサブルーティングセッション情報では、既に確立しているクライアント端末37とのサブルーティングセッションを除き、自身が接続の始点となるサブルーティングセッションが記述されていない。従って、一連の処理を終了する。
【0081】
以上のようにして、サブVPNグループ情報に基づいてVPNを開始するための処理を行うことができる。なお、仮に、VPNの開始時においてクライアント端末39をサブVPNグループに含める選択をユーザが行った場合は、中継サーバ3は、クライアント端末39との間でサブルーティングセッション確立処理等を行う。
【0082】
次に、VPNの起動中にサブルーティングポイントが変更された場合について説明する。例えば、図4に示す中継サーバ情報には記載されていないが、図1のクライアント端末42が中継サーバ3に所属する旨が中継サーバ情報に予め記述されている状況において、VPN(VPN−GROUP2)の起動中に当該クライアント端末42が当該VPNのサブルーティングポイントとして追加された場合を考える。この場合、中継サーバ3は、クライアント端末42の識別情報をサブルーティングポイント情報及びサブルーティングセッション情報に追加し、サブVPNグループ情報記憶部55の記憶内容を更新する。そして中継サーバ3は、クライアント端末42についてのアドレスフィルタ情報を当該クライアント端末42から受信して、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部56及びサブアドレスフィルタ情報記憶部57に記憶する。
【0083】
ここで、クライアント端末42についてのアドレスフィルタ情報は、当該クライアント端末42がサブルーティングポイントとして動作するときはファイルサーバ43にパケットを転送可能であるように、予め適宜設定されている。従って、クライアント端末42から中継サーバ3に送信されるアドレスフィルタ情報はファイルサーバ43のIPアドレスであり、これがアドレスフィルタ情報記憶部56及びサブアドレスフィルタ情報記憶部57に記憶される。そして、中継サーバ3とクライアント端末42との間にサブルーティングセッションが確立される。
【0084】
次に、中継サーバ3は、クライアント端末42についてのアドレスフィルタ情報を他のルーティング中継サーバ(中継サーバ2)に通知する。この通知を受けた中継サーバ2は、クライアント端末42についてのアドレスフィルタ情報(即ち、ファイルサーバ43のIPアドレス)を中継サーバ3の識別情報に対応付けた形でアドレスフィルタ情報記憶部56に記憶する(ただし、サブアドレスフィルタ情報記憶部57の記憶内容は更新しない)。以上でサブルーティングポイントの変更が完了し、以降は変更前と同様にVPN通信を行うことができる。
【0085】
このように、中継サーバ3に所属するサブルーティングポイントが変更された場合でも、他の中継サーバ2ではアドレスフィルタ情報記憶部56の記憶内容だけを更新すれば良く、VPNグループ情報記憶部54、サブVPNグループ情報記憶部55、及びサブアドレスフィルタ情報記憶部57の記憶内容は何れも更新する必要がない。また、アドレスフィルタ情報記憶部56の記憶内容の変更も、当該サブルーティングポイントの変更の結果として生じるVPNの通信相手の変化分(上記の例に照らせば、ファイルサーバ43のIPアドレスの追加)だけで良いのである。即ち、あるルーティング中継サーバにおいてサブルーティングポイントが変更される場合でも、それが他のルーティング中継サーバの記憶内容に及ぼす影響を相当に小さくすることができる。従って、本実施形態の構成はサブルーティングポイントが頻繁に変化する場合に特に好適であり、例えば上述のように、VPNを開始する機会を利用してサブルーティングポイントを(一時的に)追加するような機動的な運用も極めて容易である。なお、サブルーティングポイントの変更は上記のようにクライアント端末を追加する場合に限定されず、逆に既存のサブルーティングポイントを削除することも可能であることは勿論である。
【0086】
次に、確立したルーティングセッションを用いてパケットのルーティングを行う処理について主に図17を参照して説明する。図17は、パケットのルーティングを行う通信処理を示すシーケンス図である。以下では、ルーティングポイントとして機能する中継サーバ2が、第1パケットから第3パケットの3種類のパケットを受信したときについて説明する。
【0087】
初めに、送信先のIPアドレスが(192.168.33.131)となっている第1パケットを受信したとき(シーケンス番号8、packet01)について説明する。中継サーバ2は、この第1パケットを受信した後に、送信先のIPアドレスと、アドレスフィルタ情報記憶部56の記憶内容(図9を参照)と、を比較する。そして、第1パケットに記された送信先に対してパケットを送信可能なルーティングポイントを検出する。
【0088】
図17に示すように、第1パケットの送信先のIPアドレスは、中継サーバ3の識別情報に対応付けられたアドレスフィルタ情報に含まれる。この結果、中継サーバ2は、中継サーバ3との間に確立されたルーティングセッションを介して第1パケットを当該中継サーバ3に送信する。
【0089】
この第1パケットを受信した中継サーバ3は、送信先のIPアドレスと、アドレスフィルタ情報記憶部56の記憶内容(図9を参照)とを比較する。そして、第1パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。次に、中継サーバ3は、送信先のIPアドレスと、サブアドレスフィルタ情報記憶部57の記憶内容(図10を参照)とを比較する。そして、第1パケットに記された送信先に対してパケットを送信可能なサブルーティングポイントが設定されていないことを検出する。この結果、中継サーバ3は、第1パケットを送信先であるファイルサーバ31に対して送信する。
【0090】
次に、送信先のIPアドレスが(192.168.34.138)である第2パケットを中継サーバ2が受信したとき(シーケンス番号9、packet02)について説明する。アドレスフィルタ情報記憶部56の記憶内容(図9を参照)においては、第1パケットと同様に、第2パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして中継サーバ3が指定されている。従って、中継サーバ2は、中継サーバ3との間に確立されたルーティングセッションを介して第2パケットを当該中継サーバ3に送信する。
【0091】
この第2パケットを受信した中継サーバ3は、送信先のIPアドレスと、アドレスフィルタ情報記憶部56の記憶内容(図9を参照)とを比較する。そして、第2パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。次に、中継サーバ3は、送信先のIPアドレスと、サブアドレスフィルタ情報記憶部57の記憶内容(図10を参照)とを比較する。そして、第2パケットに記された送信先に対してパケットを送信可能なサブルーティングポイントとしてクライアント端末37が記述されていることを検出する。この結果、中継サーバ3は、クライアント端末37との間に確立されたサブルーティングセッションを介して、第2パケットを当該クライアント端末37に対して送信する。
【0092】
この第2パケットを受信したクライアント端末37は、中継サーバ3と類似した動作を行う。即ち、クライアント端末37は、当該クライアント端末37が備える記憶部で記憶されている、自身についてのアドレスフィルタ情報を参照する。そしてクライアント端末37は、当該アドレスフィルタ情報に、第2パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。この結果、クライアント端末37は、第2パケットを送信先であるファイルサーバ38に対して送信する。
【0093】
次に、送信先のIPアドレスが(192.168.5.51)である第3パケットを中継サーバ2が受信したとき(シーケンス番号10、packet03)について説明する。クライアント端末11は、送信先のIPアドレスとアドレスフィルタ情報とを比較した結果、送信先に対してパケットを送信可能なルーティングポイントが記述されていないことを検出する。この場合、クライアント端末11は、受信した第3パケットをどこにも送信しない。
【0094】
このように、本実施形態では、アプリケーション層のルーティングセッションで、ルーティング対象のデータを流すように構成されている。従って、以上で説明したルーティングは、通常のIPルーティングとは異なっている。
【0095】
このようにアプリケーション層でルーティングを行うことにより、WANを意識することなく、遠隔地のLAN同士がプライベートIPアドレスを利用して相互に通信することができる。また、上述のように、アドレスフィルタ情報記憶部56は、パケットの送信先として指定可能な相手の名称を表示可能となっている。そのため、ユーザは、VPNを用いてどの機器にパケットを送信可能であるかを容易に認識することができる。
【0096】
次に、VPNを終了する処理について図18を参照して説明する。図18は、VPNグループを終了する通信処理を示すシーケンス図である。ユーザは、クライアント端末37を介して中継サーバ3にログインして所定の操作を行うことによって、VPNを終了する処理を開始することができる。今回の説明では、クライアント端末37を介して中継サーバ3が、VPNを終了する処理を開始したものとする。
【0097】
中継サーバ3は、VPNを終了する指示を受け付けると、VPNグループの識別情報とともにその旨を、中継サーバ2に対して送信する(シーケンス番号11、stopVpn)。なお、中継サーバ2は、中継サーバ3から受信したVPNグループの識別情報によって、どのVPNグループを対象としたVPNが終了されるかを知ることができる。
【0098】
中継サーバ3は、VPNの終了を受け付けた旨の信号を中継サーバ2受信した後に、当該中継サーバ2に対して、ルーティングセッションの終了コマンドを送信する(シーケンス番号12、closeVpnSsn)。
【0099】
次に、中継サーバ3は、クライアント端末37に対しても、VPNを終了する旨の信号を送信する(シーケンス番号13、stopVpn)。そして、クライアント端末37からの応答の受信後に、ルーティングセッションの終了コマンドを送信する(シーケンス番号14、closeVpnSsn)。
【0100】
以上に示したように、本実施形態の中継サーバ3は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、VPNグループ情報記憶部54と、サブVPNグループ情報記憶部55と、アドレスフィルタ情報記憶部56と、サブアドレスフィルタ情報記憶部57と、通信制御部63と、を備える。中継グループ情報記憶部51は、自身(中継サーバ3)との間で相互に接続可能な他の中継サーバ1,2を含む中継グループの情報を記憶する。中継サーバ情報記憶部52は、中継グループに属する中継サーバ1,2,3の起動情報と、中継グループに属する中継サーバ1,2,3に接続されるクライアント端末11,21,37,39の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。VPNグループ情報記憶部54は、ルーティング中継サーバ間に確立されるルーティングセッションを介してVPNにより通信を行うVPNグループに関し、当該VPNグループを構成するルーティング中継サーバの識別情報及び互いに接続されるルーティング中継サーバを示すルーティングセッション情報を記憶する。サブVPNグループ情報記憶部55は、中継サーバ3のサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶する。アドレスフィルタ情報記憶部56は、ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。サブアドレスフィルタ情報記憶部57は、中継サーバ3のサブルーティング機器であるクライアント端末37についてのアドレスフィルタ情報を、クライアント端末37の識別情報と対応付けて記憶する。通信制御部63は、中継サーバ3と他のルーティング中継サーバとの間にルーティングセッションを確立する制御と、中継サーバ3とクライアント端末37との間にサブルーティングセッションを確立する制御と、ルーティングセッション又はサブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。パケット転送制御は、サブアドレスフィルタ情報記憶部57の記憶内容においてパケットの送信先が中継サーバ3のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。
【0101】
これにより、中継サーバ3は、他のルーティング中継サーバとVPNを構築して、必要な機器との間でのみファイルの共有等を行うことができる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のVPNと比較して、VPNグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部56では、サブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることができる。
【0102】
また、本実施形態の中継サーバ3は、クライアント端末39から、VPNを開始する旨の指示とともに、当該クライアント端末39を中継サーバ3のサブルーティングポイントとして設定する旨の指示を受けたときに、通信制御部63は、クライアント端末39をサブVPNグループ情報(詳細にはサブルーティングポイント情報及びサブルーティングセッション情報)に追加する制御と、クライアント端末39についてのアドレスフィルタ情報を他のルーティング中継サーバに送信する制御と、自身(中継サーバ3)と当該クライアント端末39との間にルーティングセッションを確立する制御と、を行う。
【0103】
これにより、VPNを開始する旨の指示を行ったクライアント端末39をサブルーティングポイントとして設定することが容易となる。
【0104】
また、本実施形態の中継サーバ3においては、仮想プライベートネットワークを維持したまま、サブルーティングポイントを変更することができる。
【0105】
これにより、状況の変化に柔軟に対応可能なVPNを構築できる。
【0106】
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。
【0107】
上記の中継グループ情報、中継サーバ情報、クライアント端末情報、VPNグループ情報、アドレスフィルタ情報等を格納する形式はXML形式に限定されず、適宜の形式で各情報を格納することができる。
【0108】
上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。
【符号の説明】
【0109】
1,2,3 中継サーバ
11,21,37,39,42 クライアント端末
10,20,30,36,41 LAN
50 記憶部
60 制御部
63 通信制御部
100 中継通信システム
【技術分野】
【0001】
本発明は、主として、異なるLAN(Local Area Network)に接続されている端末間の通信を可能とする中継サーバに関する。
【背景技術】
【0002】
従来から、仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている(例えば、特許文献1を参照)。このVPNは、例えば、地域ごとに設けられた複数の支社(拠点)のLANに接続された端末同士でインターネットを介して通信する用途に用いられている。前記VPNを利用すれば、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2002−217938号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、この種のシステムにおいて、中継サーバが、自身が接続するLAN内の端末の識別情報及びIPアドレス等だけでなく、他のLANに接続される端末の識別情報及びIPアドレスを記憶し、この記憶内容に基づいて通信を行う構成が知られている。この構成においては、各LANに多数の端末が接続されている場合に、中継サーバが記憶する情報量が膨大になる。また、この構成においては、各LANに接続される端末が頻繁に変更される場合に、変更の度に中継サーバ同士で情報のやり取りが必要となる。そのため、処理が繁雑になるとともに、中継サーバ間でやり取りされる情報量が膨大なものとなる。
【0005】
本発明は以上の事情に鑑みてされたものであり、その主要な目的は、ネットワークが複雑化した場合においても、記憶する情報量及び送受信する情報量が肥大化することのないVPNを構築可能な中継サーバを提供することにある。
【課題を解決するための手段及び効果】
【0006】
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
【0007】
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、中継グループ情報記憶部と、中継サーバ情報記憶部と、VPNグループ情報記憶部と、サブVPNグループ情報記憶部と、アドレスフィルタ情報記憶部と、サブアドレスフィルタ情報記憶部と、通信制御部と、を備える。前記中継グループ情報記憶部は、自身(中継サーバ)との間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する。前記中継サーバ情報記憶部は、前記中継グループに属する前記中継サーバの起動情報と、前記中継グループに属する前記中継サーバに所属するクライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。前記VPNグループ情報記憶部は、前記中継グループの情報及び前記中継サーバ情報に基づいて中継通信システムを構成する前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うVPNグループに関し、当該VPNグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶する。前記サブVPNグループ情報記憶部は、ある中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、自身(中継サーバ)のサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶する。前記アドレスフィルタ情報記憶部は、あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。前記サブアドレスフィルタ情報記憶部は、自身(中継サーバ)のサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶する。前記通信制御部は、自身(中継サーバ)と前記ルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身と自身のサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。前記パケット転送制御は、前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において自身と対応付けられているときは、前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が自身のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。
【0008】
これにより、中継サーバは、中継通信システムを構成する他の中継サーバの中から選択されたルーティング中継サーバとVPNを構築して、必要な中継サーバとの間でのみファイルの共有等を行うことができる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のVPNと比較して、VPNグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部では、サブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることができる。
【0009】
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、自身に所属する前記クライアント端末から、仮想プライベートネットワークを開始する旨の指示とともに、当該クライアント端末をサブルーティングポイントとして設定する旨の指示を受けたときに、前記通信制御部は、仮想プライベートネットワークを開始する旨の指示を行った前記クライアント端末を前記サブVPNグループ情報に追加する制御と、当該クライアント端末についての前記アドレスフィルタ情報を他の前記ルーティング中継サーバに送信する制御と、自身と当該クライアント端末との間に前記サブルーティングセッションを確立する制御と、を行う。
【0010】
これにより、VPNを開始する旨の指示を行ったクライアント端末をサブルーティングポイントとして機能させる設定することが容易となる。
【0011】
前記の中継サーバにおいては、仮想プライベートネットワークを維持したまま、前記サブルーティングポイントを変更可能であることが好ましい。
【0012】
これにより、状況の変化に柔軟に対応可能なVPNを構築できる。
【0013】
本発明の第2の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、複数の中継サーバと、クライアント端末と、を備える。前記クライアント端末は、前記中継サーバを介して互いに接続可能である。前記中継サーバは、中継グループ情報記憶部と、中継サーバ情報記憶部と、VPNグループ情報記憶部と、サブVPNグループ情報記憶部と、アドレスフィルタ情報記憶部と、サブアドレスフィルタ情報記憶部と、通信制御部と、を備える。前記中継グループ情報記憶部は、当該中継サーバとの間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する。前記中継サーバ情報記憶部は、前記中継グループに属する前記中継サーバの起動情報と、前記クライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。前記VPNグループ情報記憶部は、前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うVPNグループに関し、当該VPNグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶する。前記サブVPNグループ情報記憶部は、当該中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、当該中継サーバのサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶する。前記アドレスフィルタ情報記憶部は、あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。前記サブアドレスフィルタ情報記憶部は、当該中継サーバのサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶する。前記通信制御部は、他の前記ルーティング中継サーバとの間でルーティングセッションを確立する制御と、前記中継サーバとサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。前記パケット転送制御は、前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において当該中継サーバと対応付けられているときは、前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が当該中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。
【0014】
これにより、中継サーバから選択されたルーティング中継サーバを用いてVPNを構築できるため、必要な中継サーバとの間でのみファイルの共有等を行うことが可能となる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のVPNと比較して、VPNグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部では、サブVPNグループに含まれるクライアント端末についてのアドレスフィルタ情報を、当該クライアント端末の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、各中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることが可能な中継通信システムを構築できる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。
【図2】中継サーバの機能ブロック図。
【図3】中継グループ情報の内容を示す図。
【図4】中継サーバ情報の内容を示す図。
【図5】クライアント端末情報の内容を示す図。
【図6】VPNグループ情報の内容を示す図。
【図7】サブVPNグループ情報の内容を示す図。
【図8】アドレスフィルタ情報について説明する図。
【図9】アドレスフィルタ情報記憶部の記憶内容を示す図。
【図10】サブアドレスフィルタ情報記憶部の記憶内容を示す図。
【図11】VPNグループを作成する処理を示すフローチャート。
【図12】VPNグループを作成してVPNを開始する通信処理を示すシーケンス図。
【図13】VPNグループ情報に基づいてVPNを開始するための処理を示すフローチャート。
【図14】VPNグループ情報に基づいてVPNを開始するための処理を示すフローチャート。
【図15】サブVPNグループ情報に基づいてVPNを開始するための処理を示すフローチャート。
【図16】サブVPNグループ情報に基づいてVPNを開始するための処理を示すフローチャート。
【図17】パケットのルーティングを行う通信処理を示すシーケンス図。
【図18】VPNを終了する通信処理を示すシーケンス図。
【発明を実施するための形態】
【0016】
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本発明の一実施形態に係る中継通信システム100の全体構成を示す説明図である。
【0017】
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数のLAN10,20,30等で構成されている。それぞれのLAN10,20,30は、限定された場所で構築される比較的小規模なネットワークであり、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
【0018】
以下、それぞれのLANを具体的に説明する。図1に示すように、LAN10には、中継サーバ1と、クライアント端末11と、通信装置12と、が接続されている。LAN20には、中継サーバ2と、クライアント端末21と、通信装置22と、通信装置23と、が接続されている。LAN30には、ファイルサーバ31が接続されている。また、LAN30には、ルータ35を介して別のLAN36が接続されている。このLAN36には、クライアント端末37と、ファイルサーバ38と、クライアント端末39と、が接続されている。更に、前記LAN30には、ルータ40を介して更に別のLAN41が接続されている。このLAN41には、クライアント端末42と、ファイルサーバ43と、が接続されている。
【0019】
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続されたクライアント端末と通信可能であるだけでなく、他のLANに配置された中継サーバと通信可能となっている。そのため、中継サーバ1,2,3には、グローバルIPアドレスに加えてプライベートIPアドレスが付与されている。
【0020】
クライアント端末11,21,37,39,42は、例えばパーソナルコンピュータで構成されており、中継サーバ1,2,3等を介して相互に通信を行うことができる。通信装置12,22,23は、例えばパーソナルコンピュータで構成されており、自身が接続されるLAN等を介して、当該LANに接続される端末にパケットを送信可能である。ファイルサーバ31,38,43は、例えばネットワーク接続ストレージで構成されており、自身が接続されるLAN等を介して、当該LANに接続される端末にパケットを送信可能である。
【0021】
次に、中継サーバ1,2,3について説明する。なお、これらの3つの中継サーバは、一部の記憶内容を除いて略同一の構成であるため、代表して中継サーバ3について説明する。初めに、図2を参照して、中継サーバ3が備える構成について説明する。図2は、中継サーバ3の機能ブロック図である。
【0022】
図2に示すように、中継サーバ3は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
【0023】
インタフェース部70は、プライベートIPアドレスを利用して、LAN30及びLAN36に接続される端末に対して通信を行うことができる。また、インタフェース部70は、グローバルIPアドレスを利用して、WAN80を経由した通信を行うことができる。
【0024】
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。図2に示すように、制御部60は、インタフェースドライバ61と、LAN側IPパケット処理部62と、通信制御部63と、WAN側IPパケット処理部64と、を備えている。
【0025】
インタフェースドライバ61は、インタフェース部70を制御するドライバソフトウェアである。LAN側IPパケット処理部62は、LAN30から受信したパケットに適宜の処理を行って通信制御部63に出力する。WAN側IPパケット処理部64は、WAN80から受信したパケットに適宜の処理を行って通信制御部63に出力する。
【0026】
通信制御部63は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて送信先を決定し、決定した送信先へ当該パケットを送信する。また、通信制御部63は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新させることができる。
【0027】
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、クライアント端末情報記憶部53と、VPNグループ情報記憶部54と、サブVPNグループ情報記憶部55と、アドレスフィルタ情報記憶部56と、サブアドレスフィルタ情報記憶部57と、を備えている。以下、図3から図10までを参照して、記憶部50の記憶内容について説明する。図3は、中継グループ情報の内容を示す図である。図4は、中継サーバ情報の内容を示す図である。図5は、クライアント端末情報の内容を示す図である。図6は、VPNグループ情報の内容を示す図である。図7は、サブVPNグループ情報の内容を示す図である。図8は、アドレスフィルタ情報について説明する図である。図9は、アドレスフィルタ情報記憶部56の記憶内容を示す図である。図10は、サブアドレスフィルタ情報記憶部57の記憶内容を示す図である。
【0028】
中継グループ情報記憶部51は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。
【0029】
図3に示すように、中継グループ情報においては、groupタグと、このgroupタグを親要素とする子要素のsiteタグと、が記述されている。groupタグには中継グループに関するグループ情報511が記述されている。このグループ情報511としては、中継グループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、中継グループの名称(「name」)と、が記述されている。siteタグには、中継グループを構成する中継サーバに関するグループ構成情報512が記述されている。このグループ構成情報512には、当該中継サーバの識別情報(「id」)が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。
【0030】
なお、この中継グループ情報は、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。
【0031】
中継サーバ情報記憶部52は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。
【0032】
図4に示す中継サーバ情報においては、中継サーバごとに記述されるsiteタグと、前記siteタグを親要素とする子要素のnodeタグと、が記述されている。siteタグには中継サーバ1に関するサーバ情報521が記述されている。このサーバ情報521としては、中継サーバの識別情報(「id」)と、中継サーバの名称(「name」)と、起動情報(「stat」)と、が記述されている。なお、statの内容が「active」の場合は中継サーバが中継通信システム100にログインしていることを示し、statが空欄であるときはログオフ中であることを示す。siteタグの子要素であるnodeタグには、中継サーバに所属するクライアント端末を示す所属情報522が記述されている。所属情報522としては、所属する中継グループの名称(「group」)と、クライアント端末の識別情報(「id」)と、クライアント端末の名称(「name」)と、ログイン先の中継サーバの識別情報(「site」)と、が記述されている。なお、クライアント端末が中継サーバ(中継通信システム100)にログインしていないときは、「site」は空欄となる。
【0033】
なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末11からクライアント端末21にパケットを送信する場合、初めに、クライアント端末11は、自身が接続している中継サーバである中継サーバ1にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ1は、これらの情報に基づいて、クライアント端末21が接続している中継サーバである中継サーバ2にパケットを送信する。そして、この中継サーバ2がクライアント端末21にパケットを送信する。このようにして、クライアント端末11,21同士で中継通信を行うことができる。
【0034】
この中継サーバ情報も中継グループ情報と同様に、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。
【0035】
クライアント端末情報記憶部53は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ1,2,3は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。例えば、中継サーバ1には、図1に示すようにクライアント端末11が所属しているため、中継サーバ1が備えるクライアント端末情報記憶部53には、クライアント端末11のクライアント端末情報のみが記憶されている。
【0036】
中継サーバ1のクライアント端末情報記憶部53が記憶するクライアント端末情報は、図5(a)に示されている。同様に、中継サーバ2が記憶するクライアント端末情報が図5(b)に、中継サーバ3が記憶するクライアント端末情報が図5(c)に、それぞれ示されている。
【0037】
図5に示すクライアント端末情報においては、nodeタグが記述されている。このnodeタグには、クライアント端末のプライベートIPアドレス(「addr」)と、所属する中継グループの名称(「group」)と、識別情報(「id」)と、名称(「name」)と、中継サーバにログインするためのパスワード(「pass」)と、ポート情報(「port」)と、が記述されている。
【0038】
VPNグループ情報記憶部54は、中継グループを構成する中継サーバから選択された中継サーバ(以下、ルーティング中継サーバと称する)で構成されたVPNグループに関する情報であるVPNグループ情報を記憶している。VPNグループは、中継グループ内で構成されるグループであり、ルーティング中継サーバ間にルーティングセッションを確立させることにより、仮想ネットワーク(VPN)を構築することができる。
【0039】
なお、1つの中継グループにおいて、複数のVPNグループを作成することが可能となっている。本実施形態では、中継サーバ1と中継サーバ3とで構成されるVPNグループ(VPN−GROUP1)と、中継サーバ2と中継サーバ3とで構成されるVPNグループ(VPN−GROUP2)と、が作成されたものとする。VPN−GROUP1についてのVPNグループ情報は図6(a)に示されており、VPN−GROUP2についてのVPNグループ情報は図6(b)に示されている。
【0040】
これらのVPNグループ情報においては、vnetタグが記述されている。このvnetタグには、VPNグループ基本情報541と、ルーティングポイント情報542と、ルーティングセッション情報543と、が記述されている。VPNグループ基本情報541には、VPNグループが所属する中継グループの名称(「group」)と、VPNグループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、VPNグループの名称(「name」)と、が記述されている。ルーティングポイント情報542には、VPNグループ内で通信を行うときにルーティングを行うルーティング中継サーバの識別情報が記述されている。ルーティングセッション情報543には、各VPNグループにおいて互いに接続されるルーティング中継サーバが記述されている。ルーティングセッション情報543において、ルーティング中継サーバは、VPNグループでVPNを開始するためのルーティングセッション確立処理において、通信制御を最初に行う側(「sp(start point)」)と、その通信制御を受ける側「ep(end point)」と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング中継サーバを「始点」と、その通信制御を受ける側のルーティング中継サーバを「終点」と、それぞれ称することがある。
【0041】
このVPNグループ情報は、当該VPNグループを構成する中継サーバの間で共有されている。具体的には、VPN−GROUP1についてのVPNグループ情報が中継サーバ1と中継サーバ3とで共有され、VPN−GROUP2についてのVPNグループ情報が中継サーバ2と中継サーバ3とで共有されている。そして、ある中継サーバにおいてVPNグループ情報を変更する処理が行われた場合は、VPNグループを構成する他の中継サーバに対してその旨が送信されてVPNグループ情報が更新される。このようにして、VPNグループ情報が動的に共有される。なお、このVPNグループを作成する処理については後述する。
【0042】
サブVPNグループ情報記憶部55は、自身(中継サーバ3)に所属するクライアント端末の中からサブルーティングポイントとして設定された1又は複数のクライアント端末(以下、サブルーティング機器と称する)で構成されるサブVPNグループに関する情報(サブVPNグループ情報)を記憶している。サブルーティング機器は、ルーティング中継サーバ同士のルーティングセッションが確立した後に、中継サーバ3との間でルーティングセッションを確立させることにより、ルーティングポイントのように振舞うことができる。なお、サブルーティングポイントとして設定されるクライアント端末は、VPNグループ毎に異ならせても良いし、同一にしても良い。また、以下の説明では、ルーティング中継サーバとサブルーティング機器との間で形成されるルーティングセッションを、特に「サブルーティングセッション」と呼ぶことがある。
【0043】
サブVPNグループ情報記憶部55は、具体的には、サブルーティングポイント情報と、サブルーティングセッション情報と、を前記VPNグループ毎に記憶している。図7(a)には、VPN−GROUP2に対応するサブルーティングポイント情報が示されている。図7(a)に示すように、サブルーティングポイント情報には、サブルーティング機器の識別情報の一覧が記述されている。また、図7(b)には、VPN−GROUP2に対応するサブルーティングセッション情報が示されている。図7(b)に示すように、サブルーティングセッション情報には、ルーティング中継サーバとサブルーティング機器とで確立されるサブルーティングセッションにおいて、通信制御を最初に行う側(始点側)の機器の識別情報と、その通信制御を受ける側(終点側)の機器の識別情報と、を対応付けて記憶している。
【0044】
上記のサブVPNグループ情報は、ルーティング中継サーバとサブルーティング機器との間で共有される。一方で、このサブVPNグループ情報は、ルーティング中継サーバ同士では共有されない。即ち、ルーティング中継サーバは、自身のサブVPNグループ情報のみをサブVPNグループ情報記憶部55に記憶し、他の中継サーバ(ルーティング中継サーバ)のサブVPNグループ情報は記憶しない。
【0045】
次に、アドレスフィルタ情報と、アドレスフィルタ情報記憶部56及びサブアドレスフィルタ情報記憶部57の記憶内容について説明する。アドレスフィルタ情報とは、ある機器が、パケットの転送を行う機器(ルーティング中継サーバ又はサブルーティング機器)に対して、パケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報である。以下の説明では、ルーティング中継サーバ(又はサブルーティング機器)がパケットを転送可能なルーティング対象装置のアドレスを示す情報を、ルーティング中継サーバ(又はサブルーティング機器)についてのアドレスフィルタ情報と称する。
【0046】
図8には、ルーティング中継サーバ等と、当該ルーティング中継サーバ等についてのアドレスフィルタ情報と、を対応させて示している。この図8に示すように、例えば中継サーバ1は、通信装置12にパケットを転送可能である。
【0047】
アドレスフィルタ情報記憶部56は、図9に示すように、ルーティング中継サーバについてのアドレスフィルタ情報と、サブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報に対応付けて記憶している。即ち、アドレスフィルタ情報記憶部56では、クライアント端末37についてのアドレスフィルタ情報であっても、(当該クライアント端末37ではなく)中継サーバ3の識別情報に対応付けた形で記憶される。なお、アドレスフィルタ情報記憶部56は、ルーティング対象装置のIPアドレスだけでなく、当該ルーティング対象装置の名称についても記憶している。ルーティング対象装置の名称としては、例えば、機器の種類(処理装置、通信装置、ファイルサーバ等)及び配置される場所等を考慮する等して任意の名称を設定することができるので、パケット転送先のルーティング対象装置を分かり易く管理することができる。なお、それぞれのルーティングポイントとしての中継サーバは、このアドレスフィルタ情報を外部の表示装置等に表示させることが可能となっている。
【0048】
サブアドレスフィルタ情報記憶部57は、図10に示すように、サブルーティング機器(クライアント端末37)についてのアドレスフィルタ情報を、当該サブルーティング機器(クライアント端末37)の識別情報に対応付けて記憶している。従って、サブアドレスフィルタ情報記憶部57と前記アドレスフィルタ情報記憶部56とでは、その記憶内容においてアドレスフィルタ情報が対応付けられる機器(識別情報)が異なっている。また、サブアドレスフィルタ情報記憶部57は、自機(中継サーバ3)のサブルーティング機器についてのアドレスフィルタ情報のみを記憶し、他のルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報は記憶しない。そのため、サブアドレスフィルタ情報記憶部57の記憶内容はルーティング中継サーバ間で共有されることはなく、その記憶内容はそれぞれの中継サーバで独自のものとなる。
【0049】
また、ルーティング中継サーバは、VPNを開始するときに、自身についてのアドレスフィルタ情報と、サブルーティング機器についてのアドレスフィルタ情報と、を他のルーティング中継サーバに通知する。この通知を受けたルーティング中継サーバは、通知内容に基づいて、アドレスフィルタ情報記憶部56の記憶内容を更新するように構成されている(ただし、サブアドレスフィルタ情報記憶部57の記憶内容は更新しない)。
【0050】
中継サーバ3は、以上のように構成される。なお、上記したように、サブVPNグループ情報記憶部55及びサブアドレスフィルタ情報記憶部57の記憶内容は、当該中継サーバ3に関する内容のみが記憶され、他の中継サーバとの間で同期されることはない。従って、各中継サーバにおいて記憶内容が肥大化することを防止できる。また、中継サーバ1,2の構成については詳細な説明を省略するが、中継サーバ3と実質的に同様に構成された記憶部50及び制御部60を備えている。
【0051】
次に、VPNグループを構築して、構築したVPNグループでパケットのルーティングを行うときの処理について説明する。
【0052】
初めにVPNグループを構築するときの流れについて図11及び図12を参照して説明する。図11は、VPNグループを作成する処理を示すフローチャートである。図12は、VPNグループを作成してVPNを開始する通信処理を示すシーケンス図である。
【0053】
中継通信システム100を利用するユーザは、クライアント端末39等から中継サーバ3にログインすることによって、VPNグループの設定画面を当該クライアント端末39のディスプレイに表示させることができる。ここでは、クライアント端末39を介して中継サーバ3にログインしてVPNグループを構築する場合について説明する。クライアント端末39に表示させた設定画面には、中継サーバ3が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、VPNグループを構築したい中継グループを選択する(S101)。
【0054】
中継グループが選択されると、クライアント端末39には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバの識別情報の一覧が表示される(S102)。そして、ユーザは、構築するVPNグループにおいてルーティングポイントとして機能させる中継サーバの識別情報を選択する(S103)。今回の説明では、ログイン中の中継サーバ3の識別情報に加え、中継サーバ2の識別情報がユーザに選択されたものとする。
【0055】
そして、この選択されたルーティングポイントに基づいて、ルーティングセッション情報が作成される(S104)。また、選択された中継サーバ等の識別情報に基づいて、ルーティングポイントの識別情報が作成される(S104)。これらの作成された情報にVPNグループの識別情報等を付加することにより、図6(b)で示したVPNグループ情報が作成され、VPNグループ情報記憶部54は、このVPNグループ情報を記憶する(S105)。
【0056】
そして、作成されたVPNグループ情報は、他のルーティング中継サーバ(中継サーバ2)に送信され(S106、図12のシーケンス番号1、createVpnGroup)、VPNグループが作成されたことが通知される。
【0057】
次に、ユーザは、作成したVPNグループに対応するサブVPNグループを作成する。具体的には、ユーザは、初めに、ログイン中の中継サーバ3に所属するクライアント端末の一覧をクライアント端末39に表示させる。そして、表示されたクライアント端末の中から、サブルーティングポイントとして機能させるクライアント端末を選択する。中継サーバ3は、この選択された情報に基づいてサブルーティングポイント情報及びサブルーティングセッション情報を作成して、サブVPNグループ情報記憶部55に記憶する。そして、中継サーバ3は、選択されたクライアント端末に対して、サブルーティングポイントとして選択された旨を、VPNグループの識別情報とともに送信する(シーケンス番号2、createVpnSubGroup)。ここでは、VPN−GROUP2における中継サーバ3のサブルーティングポイントとしてクライアント端末37が選択されたものとする。これにより、サブVPNグループの構築処理が完了する。
【0058】
次に、構築したVPNグループ情報に基づいて、VPNを開始するために行う処理について、図13及び図14を参照して説明する。図13及び図14は、VPNグループ情報に基づいてVPNを開始するための処理を示すフローチャートである。
【0059】
ユーザは、例えばクライアント端末39から中継サーバ3にログインして、作成済みのVPNグループの一覧をクライアント端末39に表示させる。そして、ユーザは、このVPNグループから適当なVPNグループを選択することにより(S201)、VPNを開始するための処理を中継サーバ3に行わせる。今回の説明では、ユーザがVPN−GROUP2を選択したものとする。
【0060】
なお、VPNグループの選択時等においては、ログインに用いた端末を、ログイン先の中継サーバ3におけるサブルーティングポイントとして設定するか否かの選択を行うことができる。ここで、ログインに用いた端末(ここではクライアント端末39)をサブルーティングポイントとして設定する選択をユーザが行った場合、中継サーバ3が備えるサブVPNグループ情報記憶部55の記憶内容において、クライアント端末39の識別情報等がサブルーティングポイント情報及びサブルーティングセッション情報に追記される。
【0061】
次に、中継サーバ3は、自身についてのアドレスフィルタ情報を読み出す(S202)。中継サーバ3についてのアドレスフィルタ情報は、ファイルサーバ31のIPアドレスとなっている。次に、中継サーバ3は、選択したVPNグループに属するルーティングポイントの読出しを行う(S203)。これにより、図6(b)に示すVPNグループ情報の内容に基づいて、中継サーバ2の識別情報が読み出される。
【0062】
中継サーバ3は、中継サーバ情報に基づいて、初めに、中継サーバ2がログイン中か否か(「stat」がactiveか空欄か)を判断する(S204)。図4に示す中継サーバ情報によれば中継サーバ2は中継通信システム100にログイン中であるため、中継サーバ3は、中継サーバ2に向けてVPNグループの開始コマンドを送信する(図12のシーケンス番号3、startVpn)。このとき、選択されたVPNグループの識別情報(VpnGroupID)と、中継サーバ3についてのアドレスフィルタ情報(addr03)と、が同時に中継サーバ2に向けて送信される。
【0063】
これにより、中継サーバ2は、開始の処理を行うVPNグループを特定できるとともに、中継サーバ3についての最新のアドレスフィルタ情報を取得することができる。また、中継サーバ2は、信号を受信した旨を中継サーバ3に通知するとともに、自身についてのアドレスフィルタ情報(addr02)を中継サーバ3に送信する。そして、中継サーバ3は、中継サーバ2からの応答を受けて(S206)、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部56に記憶する(S207)。そして、中継サーバ3は、中継サーバ2を、VPNを開始する準備が完了したルーティングポイントとして登録する(S208)。
【0064】
このように、VPNを開始する際に、それぞれのルーティング中継サーバが他のルーティング中継サーバとアドレスフィルタ情報を交換(取得)するため、最新のアドレスフィルタ情報を用いてVPNを構築することができる。従って、VPN開始前の段階で一部のルーティング中継サーバについてのアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング中継サーバに反映させた状態でVPNを開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。
【0065】
次に、中継サーバ3は、他にルーティングポイントが有るか否かの判断を行う(S209)。図6(b)に示すように、VPN−GROUP2におけるルーティングポイントは中継サーバ3と中継サーバ2のみであり、他のルーティングポイントは記述されていない。従って、中継サーバ3は、VPNグループ情報記憶部54の記憶内容からルーティングセッション情報543を抽出する(S210)。
【0066】
次に、中継サーバ3は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する(S211)。図6(b)のルーティングセッション情報543においては、中継サーバ3及び中継サーバ2との間で確立されるべきルーティングセッションにおいて、中継サーバ3が始点となることが記述されている。
【0067】
そこで、中継サーバ3は、中継サーバ2が、VPNを開始する準備が完了したルーティングポイントであるか否かを判断する(S212)。上記のS208により、中継サーバ2については準備完了が登録されているため、中継サーバ3から中継サーバ2に対してルーティングセッションを確立するための通信制御が行われる(S213、図12のシーケンス番号4、createVpnSsn)。
【0068】
次に、中継サーバ3は、自身が接続の始点となるルーティングセッションが他に記述されているか否かを判断する(S214)。図6(b)に示すように、中継サーバ2とのルーティングセッションを除いては、自身が接続の始点となるルーティングセッションはルーティングセッション情報に記述されていない。従って、一連の処理が完了する。
【0069】
以上のようにして、VPNを開始するための処理を行うことができる。なお、それぞれのルーティング中継サーバは、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。
【0070】
なお、VPNの起動中にVPNグループが変更された場合は、変更があった旨が各ルーティング中継サーバに通知され、適宜の情報が更新される。そして、更新後の情報に基づいてVPNによる通信を行うことにより、VPNを停止することなくVPNグループの変更を行うことができる。
【0071】
次に、図15及び図16を参照して、サブVPNグループ情報に基づいて、VPNを開始するために行う処理について説明する。図15及び図16は、サブVPNグループ情報に基づいてVPNを開始するための処理を示すフローチャートである。この図15及び図16に示す処理は、図13及び図14に示す処理と適切なタイミングで並行して行われる。なお、図15及び図16に示す処理は、図13及び図14に示す処理と同等の処理を行うことが多いため、説明を簡略化又は省略することがある。
【0072】
中継サーバ3は、初めに、サブルーティングポイント情報を参照して、S201において選択されたVPNグループに対応付けられたサブルーティングポイントを読み出す(S301)。図7(a)に示すように、VPN−GROUP2においては、中継サーバ3のサブルーティングポイントとして設定されたクライアント端末としてクライアント端末37が記述されているため、当該クライアント端末37が読み出される。このクライアント端末37は上述のとおり、ルーティング中継サーバ(中継サーバ2及び中継サーバ3)と同様に、パケットを転送するルーティングポイントのように振舞うことができる。この機能を実現するために、詳細は図示しないが、クライアント端末37は、アドレスフィルタ情報やルーティングセッション情報等を記憶可能な適宜の記憶部と、図2の制御部60と同様に構成された制御部と、同じく図2のインタフェース部70と同様に構成されたインタフェース部と、を備えている。
【0073】
S301の処理の後、中継サーバ3は、読み出されたクライアント端末37がログイン中か否か(「site」に中継サーバの識別情報が記述されているか、それとも空欄か)を中継サーバ情報に基づいて判断する(S302)。図4に示す中継サーバ情報によればクライアント端末37はログイン中であるため、中継サーバ3は、クライアント端末37に向けてVPNグループの開始コマンドを送信する(S303、図12のシーケンス番号5、startVpn)。このとき、選択されたVPNグループの識別情報と、上記で中継サーバ3が記憶しているアドレスフィルタ情報(addr02及びaddr03)も同時に送信される。これにより、クライアント端末37は、中継サーバ2及び中継サーバ3についての最新のアドレスフィルタを取得することができる。
【0074】
また、クライアント端末37は、信号を受信した旨を中継サーバ3に通知するとともに、当該クライアント端末37が記憶部に記憶しているアドレスフィルタ情報(addr37)を中継サーバ3に送信する。なお、このアドレスフィルタ情報は当該クライアント端末37についてのアドレスフィルタ情報であって、クライアント端末37がサブルーティングポイントとして動作するときはファイルサーバ38にパケットを転送可能であるように適宜設定されるものである。従って、クライアント端末37においては、当該クライアント端末37の識別情報と対応付けた形で、ファイルサーバ38のIPアドレス(これがアドレスフィルタ情報に相当する)が記憶されている。
【0075】
中継サーバ3は、クライアント端末37からの応答を受けて(S304)、クライアント端末37についてのアドレスフィルタ情報をアドレスフィルタ情報記憶部56及びサブアドレスフィルタ情報記憶部57に記憶する(S305)。なお、上述したように、クライアント端末37のアドレスフィルタ情報(ファイルサーバ38のIPアドレス)は、アドレスフィルタ情報記憶部56においては図9のように中継サーバ3の識別情報と対応付けて記憶され、サブアドレスフィルタ情報記憶部57においては図10のようにクライアント端末37の識別情報と対応付けて記憶される。そして、中継サーバ3は、このクライアント端末37についてのアドレスフィルタ情報を他のルーティング中継サーバ(中継サーバ2)に送信する(図12のシーケンス番号6、send(addr37))。中継サーバ2は、受信したクライアント端末37についてのアドレスフィルタ情報を、中継サーバ3の識別情報と対応付けてアドレスフィルタ情報記憶部56に追記する形で記憶する(ただし、サブアドレスフィルタ情報記憶部57の記憶内容は更新しない)。
【0076】
そして、中継サーバ3は、クライアント端末37を、VPNを開始する準備が完了したサブルーティングポイントとして登録する(S306)。
【0077】
次に、中継サーバ3は、他にサブルーティングポイントが有るか否かの判断を行う(S307)。図7(a)に示すように、VPN−GROUP2におけるサブルーティングポイントはクライアント端末37のみであり、他は記述されていない。従って、中継サーバ3は、サブVPNグループ情報記憶部55の記憶内容からサブルーティングセッション情報を抽出する(S308)。なお、仮に、VPNの開始時においてクライアント端末39をサブルーティングポイントとして設定する選択をユーザが行った場合は、中継サーバ3は、当該クライアント端末39についてもS302〜S306の処理を行うことになる。
【0078】
次に、中継サーバ3は、抽出したサブルーティングセッション情報を参照して、自身が始点となるサブルーティングセッションが記述されているか否かを判断する(S309)。図7(b)のサブルーティングセッション情報においては、中継サーバ3及びクライアント端末37との間で確立されるべきサブルーティングセッションにおいて、中継サーバ3が始点となることが記述されている。
【0079】
そこで、中継サーバ3は、クライアント端末37が、VPNを開始する準備が完了したサブルーティングポイントであるか否かを判断する(S310)。上記のS306により、クライアント端末37については準備完了が登録されているため、中継サーバ3からクライアント端末37に対してサブルーティングセッションを確立するための通信制御が行われる(S311、図12のシーケンス番号7、createVpnSsn)。
【0080】
次に、中継サーバ3は、自身が接続の始点となるサブルーティングセッションが他に記述されているか否かを判断する(S312)。図7(b)のサブルーティングセッション情報では、既に確立しているクライアント端末37とのサブルーティングセッションを除き、自身が接続の始点となるサブルーティングセッションが記述されていない。従って、一連の処理を終了する。
【0081】
以上のようにして、サブVPNグループ情報に基づいてVPNを開始するための処理を行うことができる。なお、仮に、VPNの開始時においてクライアント端末39をサブVPNグループに含める選択をユーザが行った場合は、中継サーバ3は、クライアント端末39との間でサブルーティングセッション確立処理等を行う。
【0082】
次に、VPNの起動中にサブルーティングポイントが変更された場合について説明する。例えば、図4に示す中継サーバ情報には記載されていないが、図1のクライアント端末42が中継サーバ3に所属する旨が中継サーバ情報に予め記述されている状況において、VPN(VPN−GROUP2)の起動中に当該クライアント端末42が当該VPNのサブルーティングポイントとして追加された場合を考える。この場合、中継サーバ3は、クライアント端末42の識別情報をサブルーティングポイント情報及びサブルーティングセッション情報に追加し、サブVPNグループ情報記憶部55の記憶内容を更新する。そして中継サーバ3は、クライアント端末42についてのアドレスフィルタ情報を当該クライアント端末42から受信して、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部56及びサブアドレスフィルタ情報記憶部57に記憶する。
【0083】
ここで、クライアント端末42についてのアドレスフィルタ情報は、当該クライアント端末42がサブルーティングポイントとして動作するときはファイルサーバ43にパケットを転送可能であるように、予め適宜設定されている。従って、クライアント端末42から中継サーバ3に送信されるアドレスフィルタ情報はファイルサーバ43のIPアドレスであり、これがアドレスフィルタ情報記憶部56及びサブアドレスフィルタ情報記憶部57に記憶される。そして、中継サーバ3とクライアント端末42との間にサブルーティングセッションが確立される。
【0084】
次に、中継サーバ3は、クライアント端末42についてのアドレスフィルタ情報を他のルーティング中継サーバ(中継サーバ2)に通知する。この通知を受けた中継サーバ2は、クライアント端末42についてのアドレスフィルタ情報(即ち、ファイルサーバ43のIPアドレス)を中継サーバ3の識別情報に対応付けた形でアドレスフィルタ情報記憶部56に記憶する(ただし、サブアドレスフィルタ情報記憶部57の記憶内容は更新しない)。以上でサブルーティングポイントの変更が完了し、以降は変更前と同様にVPN通信を行うことができる。
【0085】
このように、中継サーバ3に所属するサブルーティングポイントが変更された場合でも、他の中継サーバ2ではアドレスフィルタ情報記憶部56の記憶内容だけを更新すれば良く、VPNグループ情報記憶部54、サブVPNグループ情報記憶部55、及びサブアドレスフィルタ情報記憶部57の記憶内容は何れも更新する必要がない。また、アドレスフィルタ情報記憶部56の記憶内容の変更も、当該サブルーティングポイントの変更の結果として生じるVPNの通信相手の変化分(上記の例に照らせば、ファイルサーバ43のIPアドレスの追加)だけで良いのである。即ち、あるルーティング中継サーバにおいてサブルーティングポイントが変更される場合でも、それが他のルーティング中継サーバの記憶内容に及ぼす影響を相当に小さくすることができる。従って、本実施形態の構成はサブルーティングポイントが頻繁に変化する場合に特に好適であり、例えば上述のように、VPNを開始する機会を利用してサブルーティングポイントを(一時的に)追加するような機動的な運用も極めて容易である。なお、サブルーティングポイントの変更は上記のようにクライアント端末を追加する場合に限定されず、逆に既存のサブルーティングポイントを削除することも可能であることは勿論である。
【0086】
次に、確立したルーティングセッションを用いてパケットのルーティングを行う処理について主に図17を参照して説明する。図17は、パケットのルーティングを行う通信処理を示すシーケンス図である。以下では、ルーティングポイントとして機能する中継サーバ2が、第1パケットから第3パケットの3種類のパケットを受信したときについて説明する。
【0087】
初めに、送信先のIPアドレスが(192.168.33.131)となっている第1パケットを受信したとき(シーケンス番号8、packet01)について説明する。中継サーバ2は、この第1パケットを受信した後に、送信先のIPアドレスと、アドレスフィルタ情報記憶部56の記憶内容(図9を参照)と、を比較する。そして、第1パケットに記された送信先に対してパケットを送信可能なルーティングポイントを検出する。
【0088】
図17に示すように、第1パケットの送信先のIPアドレスは、中継サーバ3の識別情報に対応付けられたアドレスフィルタ情報に含まれる。この結果、中継サーバ2は、中継サーバ3との間に確立されたルーティングセッションを介して第1パケットを当該中継サーバ3に送信する。
【0089】
この第1パケットを受信した中継サーバ3は、送信先のIPアドレスと、アドレスフィルタ情報記憶部56の記憶内容(図9を参照)とを比較する。そして、第1パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。次に、中継サーバ3は、送信先のIPアドレスと、サブアドレスフィルタ情報記憶部57の記憶内容(図10を参照)とを比較する。そして、第1パケットに記された送信先に対してパケットを送信可能なサブルーティングポイントが設定されていないことを検出する。この結果、中継サーバ3は、第1パケットを送信先であるファイルサーバ31に対して送信する。
【0090】
次に、送信先のIPアドレスが(192.168.34.138)である第2パケットを中継サーバ2が受信したとき(シーケンス番号9、packet02)について説明する。アドレスフィルタ情報記憶部56の記憶内容(図9を参照)においては、第1パケットと同様に、第2パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして中継サーバ3が指定されている。従って、中継サーバ2は、中継サーバ3との間に確立されたルーティングセッションを介して第2パケットを当該中継サーバ3に送信する。
【0091】
この第2パケットを受信した中継サーバ3は、送信先のIPアドレスと、アドレスフィルタ情報記憶部56の記憶内容(図9を参照)とを比較する。そして、第2パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。次に、中継サーバ3は、送信先のIPアドレスと、サブアドレスフィルタ情報記憶部57の記憶内容(図10を参照)とを比較する。そして、第2パケットに記された送信先に対してパケットを送信可能なサブルーティングポイントとしてクライアント端末37が記述されていることを検出する。この結果、中継サーバ3は、クライアント端末37との間に確立されたサブルーティングセッションを介して、第2パケットを当該クライアント端末37に対して送信する。
【0092】
この第2パケットを受信したクライアント端末37は、中継サーバ3と類似した動作を行う。即ち、クライアント端末37は、当該クライアント端末37が備える記憶部で記憶されている、自身についてのアドレスフィルタ情報を参照する。そしてクライアント端末37は、当該アドレスフィルタ情報に、第2パケットに記された送信先に対してパケットを送信可能なルーティングポイントとして自身が記述されていることを検出する。この結果、クライアント端末37は、第2パケットを送信先であるファイルサーバ38に対して送信する。
【0093】
次に、送信先のIPアドレスが(192.168.5.51)である第3パケットを中継サーバ2が受信したとき(シーケンス番号10、packet03)について説明する。クライアント端末11は、送信先のIPアドレスとアドレスフィルタ情報とを比較した結果、送信先に対してパケットを送信可能なルーティングポイントが記述されていないことを検出する。この場合、クライアント端末11は、受信した第3パケットをどこにも送信しない。
【0094】
このように、本実施形態では、アプリケーション層のルーティングセッションで、ルーティング対象のデータを流すように構成されている。従って、以上で説明したルーティングは、通常のIPルーティングとは異なっている。
【0095】
このようにアプリケーション層でルーティングを行うことにより、WANを意識することなく、遠隔地のLAN同士がプライベートIPアドレスを利用して相互に通信することができる。また、上述のように、アドレスフィルタ情報記憶部56は、パケットの送信先として指定可能な相手の名称を表示可能となっている。そのため、ユーザは、VPNを用いてどの機器にパケットを送信可能であるかを容易に認識することができる。
【0096】
次に、VPNを終了する処理について図18を参照して説明する。図18は、VPNグループを終了する通信処理を示すシーケンス図である。ユーザは、クライアント端末37を介して中継サーバ3にログインして所定の操作を行うことによって、VPNを終了する処理を開始することができる。今回の説明では、クライアント端末37を介して中継サーバ3が、VPNを終了する処理を開始したものとする。
【0097】
中継サーバ3は、VPNを終了する指示を受け付けると、VPNグループの識別情報とともにその旨を、中継サーバ2に対して送信する(シーケンス番号11、stopVpn)。なお、中継サーバ2は、中継サーバ3から受信したVPNグループの識別情報によって、どのVPNグループを対象としたVPNが終了されるかを知ることができる。
【0098】
中継サーバ3は、VPNの終了を受け付けた旨の信号を中継サーバ2受信した後に、当該中継サーバ2に対して、ルーティングセッションの終了コマンドを送信する(シーケンス番号12、closeVpnSsn)。
【0099】
次に、中継サーバ3は、クライアント端末37に対しても、VPNを終了する旨の信号を送信する(シーケンス番号13、stopVpn)。そして、クライアント端末37からの応答の受信後に、ルーティングセッションの終了コマンドを送信する(シーケンス番号14、closeVpnSsn)。
【0100】
以上に示したように、本実施形態の中継サーバ3は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、VPNグループ情報記憶部54と、サブVPNグループ情報記憶部55と、アドレスフィルタ情報記憶部56と、サブアドレスフィルタ情報記憶部57と、通信制御部63と、を備える。中継グループ情報記憶部51は、自身(中継サーバ3)との間で相互に接続可能な他の中継サーバ1,2を含む中継グループの情報を記憶する。中継サーバ情報記憶部52は、中継グループに属する中継サーバ1,2,3の起動情報と、中継グループに属する中継サーバ1,2,3に接続されるクライアント端末11,21,37,39の起動情報及び登録情報と、を含む中継サーバ情報を記憶する。VPNグループ情報記憶部54は、ルーティング中継サーバ間に確立されるルーティングセッションを介してVPNにより通信を行うVPNグループに関し、当該VPNグループを構成するルーティング中継サーバの識別情報及び互いに接続されるルーティング中継サーバを示すルーティングセッション情報を記憶する。サブVPNグループ情報記憶部55は、中継サーバ3のサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶する。アドレスフィルタ情報記憶部56は、ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶する。サブアドレスフィルタ情報記憶部57は、中継サーバ3のサブルーティング機器であるクライアント端末37についてのアドレスフィルタ情報を、クライアント端末37の識別情報と対応付けて記憶する。通信制御部63は、中継サーバ3と他のルーティング中継サーバとの間にルーティングセッションを確立する制御と、中継サーバ3とクライアント端末37との間にサブルーティングセッションを確立する制御と、ルーティングセッション又はサブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う。パケット転送制御は、サブアドレスフィルタ情報記憶部57の記憶内容においてパケットの送信先が中継サーバ3のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御である。
【0101】
これにより、中継サーバ3は、他のルーティング中継サーバとVPNを構築して、必要な機器との間でのみファイルの共有等を行うことができる。また、上記の構成は、中継サーバに加えてクライアント端末がルーティングポイントとして機能する構成のVPNと比較して、VPNグループ情報を単純にすることができる。また、アドレスフィルタ情報記憶部56では、サブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報に対応付けずに、ルーティング中継サーバの識別情報に対応付けて記憶している。従って、サブルーティングポイントの数が多い構成のネットワークであっても、アドレスフィルタ情報記憶部の記憶内容が複雑化することを抑制できる。以上により、中継サーバが記憶する情報量を少なくすることができる。更に、これらの情報を他のルーティング中継サーバと同期する場合に、ルーティング中継サーバ同士でやり取りされる情報量を抑えることができる。
【0102】
また、本実施形態の中継サーバ3は、クライアント端末39から、VPNを開始する旨の指示とともに、当該クライアント端末39を中継サーバ3のサブルーティングポイントとして設定する旨の指示を受けたときに、通信制御部63は、クライアント端末39をサブVPNグループ情報(詳細にはサブルーティングポイント情報及びサブルーティングセッション情報)に追加する制御と、クライアント端末39についてのアドレスフィルタ情報を他のルーティング中継サーバに送信する制御と、自身(中継サーバ3)と当該クライアント端末39との間にルーティングセッションを確立する制御と、を行う。
【0103】
これにより、VPNを開始する旨の指示を行ったクライアント端末39をサブルーティングポイントとして設定することが容易となる。
【0104】
また、本実施形態の中継サーバ3においては、仮想プライベートネットワークを維持したまま、サブルーティングポイントを変更することができる。
【0105】
これにより、状況の変化に柔軟に対応可能なVPNを構築できる。
【0106】
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。
【0107】
上記の中継グループ情報、中継サーバ情報、クライアント端末情報、VPNグループ情報、アドレスフィルタ情報等を格納する形式はXML形式に限定されず、適宜の形式で各情報を格納することができる。
【0108】
上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。
【符号の説明】
【0109】
1,2,3 中継サーバ
11,21,37,39,42 クライアント端末
10,20,30,36,41 LAN
50 記憶部
60 制御部
63 通信制御部
100 中継通信システム
【特許請求の範囲】
【請求項1】
自身との間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する中継グループ情報記憶部と、
前記中継グループに属する前記中継サーバの起動情報と、前記中継グループに属する前記中継サーバに所属するクライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する中継サーバ情報記憶部と、
前記中継グループの情報及び前記中継サーバ情報に基づいて中継通信システムを構成する前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うVPNグループに関し、当該VPNグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶するVPNグループ情報記憶部と、
ある中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、自身のサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶するサブVPNグループ情報記憶部と、
あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶するアドレスフィルタ情報記憶部と、
自身のサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶するサブアドレスフィルタ情報記憶部と、
自身と前記ルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身と自身のサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う通信制御部と、
を備え、
前記パケット転送制御は、
前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において自身と対応付けられているときは、
前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が自身のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御であることを特徴とする中継サーバ。
【請求項2】
請求項1に記載の中継サーバであって、
自身に所属する前記クライアント端末から、仮想プライベートネットワークを開始する旨の指示とともに、当該クライアント端末をサブルーティングポイントとして設定する旨の指示を受けたときに、
前記通信制御部は、仮想プライベートネットワークを開始する旨の指示を行った前記クライアント端末を前記サブVPNグループ情報に追加する制御と、当該クライアント端末についての前記アドレスフィルタ情報を他の前記ルーティング中継サーバに送信する制御と、自身と当該クライアント端末との間に前記サブルーティングセッションを確立する制御と、を行うことを特徴とする中継サーバ。
【請求項3】
請求項1又は2に記載の中継サーバであって、
仮想プライベートネットワークを維持したまま、前記サブルーティングポイントを変更可能であることを特徴とする中継サーバ。
【請求項4】
複数の中継サーバと、
前記中継サーバを介して互いに接続可能なクライアント端末と、
を備え、
前記中継サーバは、
当該中継サーバとの間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する中継グループ情報記憶部と、
前記中継グループに属する前記中継サーバの起動情報と、前記クライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する中継サーバ情報記憶部と、
前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うVPNグループに関し、当該VPNグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶するVPNグループ情報記憶部と、
当該中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、当該中継サーバのサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶するサブVPNグループ情報記憶部と、
あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶するアドレスフィルタ情報記憶部と、
当該中継サーバのサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶するサブアドレスフィルタ情報記憶部と、
他の前記ルーティング中継サーバとの間でルーティングセッションを確立する制御と、前記中継サーバとサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う通信制御部と、
を備え、
前記パケット転送制御は、
前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において当該中継サーバと対応付けられているときは、
前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が当該中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御であることを特徴とする中継通信システム。
【請求項1】
自身との間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する中継グループ情報記憶部と、
前記中継グループに属する前記中継サーバの起動情報と、前記中継グループに属する前記中継サーバに所属するクライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する中継サーバ情報記憶部と、
前記中継グループの情報及び前記中継サーバ情報に基づいて中継通信システムを構成する前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うVPNグループに関し、当該VPNグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶するVPNグループ情報記憶部と、
ある中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、自身のサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶するサブVPNグループ情報記憶部と、
あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶するアドレスフィルタ情報記憶部と、
自身のサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶するサブアドレスフィルタ情報記憶部と、
自身と前記ルーティング中継サーバとの間にルーティングセッションを確立する制御と、自身と自身のサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う通信制御部と、
を備え、
前記パケット転送制御は、
前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において自身と対応付けられているときは、
前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が自身のサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御であることを特徴とする中継サーバ。
【請求項2】
請求項1に記載の中継サーバであって、
自身に所属する前記クライアント端末から、仮想プライベートネットワークを開始する旨の指示とともに、当該クライアント端末をサブルーティングポイントとして設定する旨の指示を受けたときに、
前記通信制御部は、仮想プライベートネットワークを開始する旨の指示を行った前記クライアント端末を前記サブVPNグループ情報に追加する制御と、当該クライアント端末についての前記アドレスフィルタ情報を他の前記ルーティング中継サーバに送信する制御と、自身と当該クライアント端末との間に前記サブルーティングセッションを確立する制御と、を行うことを特徴とする中継サーバ。
【請求項3】
請求項1又は2に記載の中継サーバであって、
仮想プライベートネットワークを維持したまま、前記サブルーティングポイントを変更可能であることを特徴とする中継サーバ。
【請求項4】
複数の中継サーバと、
前記中継サーバを介して互いに接続可能なクライアント端末と、
を備え、
前記中継サーバは、
当該中継サーバとの間で相互に接続可能な他の中継サーバを含む中継グループの情報を記憶する中継グループ情報記憶部と、
前記中継グループに属する前記中継サーバの起動情報と、前記クライアント端末の起動情報及び登録情報と、を含む中継サーバ情報を記憶する中継サーバ情報記憶部と、
前記中継サーバのうちルーティングポイントとして設定された前記中継サーバであるルーティング中継サーバを含んで構成され、当該ルーティング中継サーバ間に確立されるルーティングセッションを介して仮想プライベートネットワークにより通信を行うVPNグループに関し、当該VPNグループを構成する前記ルーティング中継サーバの識別情報及び互いに接続される前記ルーティング中継サーバを示すルーティングセッション情報を記憶するVPNグループ情報記憶部と、
当該中継サーバに所属するクライアント端末のうちサブルーティングポイントとして設定された前記クライアント端末を当該中継サーバのサブルーティング機器としたときに、当該中継サーバのサブルーティング機器を示すサブルーティングポイント情報を含むサブVPNグループ情報を記憶するサブVPNグループ情報記憶部と、
あるルーティング中継サーバ又はサブルーティング機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示す情報を当該ルーティング中継サーバ又はサブルーティング機器についてのアドレスフィルタ情報としたときに、前記ルーティング中継サーバについてのアドレスフィルタ情報と、当該ルーティング中継サーバのサブルーティング機器についてのアドレスフィルタ情報と、を当該ルーティング中継サーバの識別情報と対応付けて記憶するアドレスフィルタ情報記憶部と、
当該中継サーバのサブルーティング機器についてのアドレスフィルタ情報を、当該サブルーティング機器の識別情報と対応付けて記憶するサブアドレスフィルタ情報記憶部と、
他の前記ルーティング中継サーバとの間でルーティングセッションを確立する制御と、前記中継サーバとサブルーティング機器との間にサブルーティングセッションを確立する制御と、前記ルーティングセッション又は前記サブルーティングセッションを介して受信したパケットを転送するパケット転送制御と、を行う通信制御部と、
を備え、
前記パケット転送制御は、
前記ルーティングセッションを介してパケットを受信したときに、受信したパケットの送信先が前記アドレスフィルタ情報記憶部の記憶内容において当該中継サーバと対応付けられているときは、
前記サブアドレスフィルタ情報記憶部の記憶内容においてパケットの送信先が当該中継サーバのサブルーティング機器と対応付けられている場合には、当該サブルーティング機器にパケットを転送し、そうでない場合には、当該送信先にパケットを転送する制御であることを特徴とする中継通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2012−165269(P2012−165269A)
【公開日】平成24年8月30日(2012.8.30)
【国際特許分類】
【出願番号】特願2011−25262(P2011−25262)
【出願日】平成23年2月8日(2011.2.8)
【出願人】(000006297)村田機械株式会社 (4,916)
【Fターム(参考)】
【公開日】平成24年8月30日(2012.8.30)
【国際特許分類】
【出願日】平成23年2月8日(2011.2.8)
【出願人】(000006297)村田機械株式会社 (4,916)
【Fターム(参考)】
[ Back to top ]