中継サーバ及び中継通信システム
【課題】オペレータの利用する機器に合わせてVPNを柔軟かつ機動的に構築可能な中継サーバを提供する。
【解決手段】中継サーバ2は、オペレータと当該オペレータによる接続が可能な接続対象機器とを対応付けた接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な接続対象機器を取得する。取得した接続対象機器の中から例えばクライアント端末47が選択されると、中継サーバ2は、ログイン要求操作がされた通信装置のアドレスを、中継サーバ2の識別情報と対応付けたアドレスフィルタ情報として記憶するとともに、当該アドレスフィルタ情報をクライアント端末47に送信する。中継サーバ2は、クライアント端末47から受信したアドレスフィルタ情報を記憶する。次に、中継サーバ2とクライアント端末47との間でVPNのためのルーティングセッションが確立され、パケットがアドレスフィルタ情報に基づいてルーティングされる。
【解決手段】中継サーバ2は、オペレータと当該オペレータによる接続が可能な接続対象機器とを対応付けた接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な接続対象機器を取得する。取得した接続対象機器の中から例えばクライアント端末47が選択されると、中継サーバ2は、ログイン要求操作がされた通信装置のアドレスを、中継サーバ2の識別情報と対応付けたアドレスフィルタ情報として記憶するとともに、当該アドレスフィルタ情報をクライアント端末47に送信する。中継サーバ2は、クライアント端末47から受信したアドレスフィルタ情報を記憶する。次に、中継サーバ2とクライアント端末47との間でVPNのためのルーティングセッションが確立され、パケットがアドレスフィルタ情報に基づいてルーティングされる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主として、異なるLAN(Local Area Network)に接続されている端末間の通信を可能とする中継サーバに関する。
【背景技術】
【0002】
従来から、仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている(例えば、特許文献1を参照)。このVPNは、例えば、地域ごとに設けられた複数の支社(拠点)のLANに接続された端末同士でインターネットを介して通信する用途に用いられている。前記VPNを利用すれば、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2002−217938号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、この種のシステムにおいては、機器のIPアドレス及び識別情報等を用いて、機器間での通信を行うことが一般的である。一方、この種のシステムにおいて作業を行う場合、オペレータの使用する機器は常に同じとは限らず、移動先及び出張先等では、異なる機器を使用することがある。これはVPNの構成機器の変更を意味するため、通常は、VPNの設定を変更する必要が生じる。しかし、ネットワークの設定の変更等が生じた場合、これらの変更は他の機器に反映させなければならず、処理が繁雑になってしまう。
【0005】
本発明は以上の事情に鑑みてされたものであり、その主要な目的は、オペレータの利用する機器に合わせてVPNを柔軟かつ機動的に構築可能な中継サーバを提供することにある。
【課題を解決するための手段及び効果】
【0006】
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
【0007】
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、自身がパケットを転送可能なアドレスである第1アドレスフィルタ情報と、他の中継サーバ及びクライアント端末を示す接続対象機器がパケットを転送可能なアドレスである第2アドレスフィルタ情報と、を記憶する手段と、LANで接続された通信装置を介してログイン操作するオペレータの識別情報を受け付ける手段と、ログインを受け付けたオペレータの識別情報に基づいて、当該オペレータが接続可能な前記接続対象機器のリストを取得する手段と、接続可能な前記接続対象機器のリストの中からオペレータによる前記接続対象機器の選択を受け付ける手段と、オペレータに選択された前記接続対象機器とルーティングセッションを確立する手段と、を備える。中継サーバは、オペレータがログイン操作した前記通信装置のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置のアドレスを前記接続対象機器へ送信する。中継サーバは、前記接続対象機器から受信したアドレスを第2アドレスフィルタ情報として記憶する。中継サーバは、受信したパケットの送信先が前記第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信する。中継サーバは、受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信する。
【0008】
これにより、オペレータは、中継サーバと選択された接続対象機器との間に確立されたルーティングセッションを利用して通信を行うことができる。また、上記の構成では、オペレータ毎に接続可能な接続対象機器が設定されている。そのため、オペレータがログインに用いる通信装置が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手とルーティングセッションを確立して通信を行うことができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
【0009】
本発明の第2の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、自身(中継サーバ)がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。前記制御部は、接続対象機器取得制御部と、VPN開始制御部と、アドレスフィルタ情報通信制御部と、ルーティングセッション確立制御部と、ルーティング制御部と、を備える。前記接続対象機器取得制御部は、自身(中継サーバ)又は自身が接続可能な他の中継サーバが記憶する情報であって、自身及び前記接続対象機器を含んで構成される中継通信システムにログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。前記VPN開始制御部は、取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部は、オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身(中継サーバ)の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶する。ルーティングセッション確立制御部は、選択された前記接続対象機器に対してルーティングセッションを確立する。ルーティング制御部は、受信したパケットの送信先が、自身(中継サーバ)の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身(中継サーバ)と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する。
【0010】
これにより、構築したVPNを利用して、オペレータがログイン要求を行うために操作した通信装置と、接続対象機器がパケットを転送可能なルーティング対象装置と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、当該オペレータによる接続が可能な接続対象機器の識別情報と、が対応付けられている。そのため、オペレータがログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
【0011】
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、この中継サーバは、自身(中継サーバ)を含む中継サーバの管理を行う管理機能付き中継サーバの識別情報を記憶する管理先情報記憶部を備える。前記接続許可情報は、前記管理機能付き中継サーバによって記憶される。前記制御部は、オペレータからログイン要求を受け付けたときに、前記管理先情報記憶部の記憶内容に基づいて前記管理機能付き中継サーバにアクセスすることにより、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。
【0012】
これにより、管理機能付き中継サーバが接続許可情報を集中的に管理する構成となるため、複数の機器によって接続許可情報を共有させる必要がない。従って、当該機器間における接続許可情報の同期制御が不要となり、中継サーバで行われる処理を軽くすることができる。
【0013】
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、この中継サーバは、前記接続許可情報を記憶する接続許可情報記憶部を備える。前記制御部は、オペレータからログイン要求を受け付けたときに、前記接続許可情報記憶部に記憶された前記接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。
【0014】
即ち、上述の構成のように接続許可情報を管理機能付き中継サーバが集中的に管理する場合、オペレータからログイン要求を受け付ける毎に当該中継サーバにアクセスする必要がある。この点、上記の構成では、自身(中継サーバ)の記憶内容を参照するだけで、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得できる。このため、VPNを開始するまでの処理を単純にすることができる。
【0015】
前記の中継サーバにおいては、自身(中継サーバ)又は前記接続対象機器は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶し、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な前記接続対象機器の識別情報をオペレータグループ毎に記憶することが好ましい。
【0016】
これにより、複数のオペレータでチームを作り、当該チームにおいて所定の接続対象機器(及びルーティング対象装置)のメンテナンス等を行っている場合において、接続許可情報記憶部の記憶内容を単純にすることができる。また、このチームを構成するオペレータに変更があった場合においても、当該オペレータの識別情報をオペレータグループから削除又はオペレータグループに追加するだけで良いため、接続許可情報の設定を容易にすることができる。
【0017】
本発明の第3の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、中継サーバと、前記中継サーバに所属するクライアント端末と、を備える。前記中継サーバのうち接続元の中継サーバとして機能する前記中継サーバは、アドレスフィルタ情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、自身(中継サーバ)がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。前記制御部は、接続対象機器取得制御部と、VPN開始制御部と、アドレスフィルタ情報通信制御部と、ルーティングセッション確立制御部と、ルーティング制御部と、を備える。前記接続対象機器取得制御部は、オペレータの識別情報と、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。前記VPN開始制御部は、取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部は、オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身(中継サーバ)の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶する。ルーティングセッション確立制御部は、選択された前記接続対象機器に対してルーティングセッションを確立する。ルーティング制御部は、受信したパケットの送信先が、自身(中継サーバ)の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する。
【0018】
これにより、構築したVPNを利用して、オペレータがログイン要求を行うために操作した通信装置と、接続対象機器がパケットを転送可能なルーティング対象装置と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、当該オペレータによる接続が可能な接続対象機器の識別情報と、が対応付けられている。そのため、オペレータがログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス範囲を設定することが可能となる。
【図面の簡単な説明】
【0019】
【図1】本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。
【図2】管理機能付きの中継サーバ1の機能ブロック図。
【図3】管理対象の中継サーバ2,3の機能ブロック図。
【図4】中継サーバの通信制御部63の詳細な構成を示す機能ブロック図。
【図5】オペレータ情報の内容を示す図。
【図6】接続許可情報の内容を示す図。
【図7】中継サーバ2とクライアント端末47との間で共有されるアドレスフィルタ情報の内容を示す図。
【図8】本発明におけるVPNを開始する処理の流れを示すシーケンス図。
【図9】通信装置22がファイルサーバ46にパケットを送信するときの経路を説明する図。
【図10】ファイルサーバ46が通信装置22にパケットを送信するときの経路を説明する図。
【図11】中継サーバ2の変形例を示す機能ブロック図。
【図12】オペレータグループ情報の内容を示す図。
【図13】変形例における接続許可情報の内容を示す図。
【発明を実施するための形態】
【0020】
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本発明の一実施形態に係る中継通信システム100の全体構成を示す説明図である。
【0021】
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数の中継サーバ1,2,3と、中継サーバ1,2,3とLAN10,20,30,40,45を介して接続されるクライアント端末11,21,42,47と、で構成されている。また、LAN10,20,30は、それぞれ物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
【0022】
次に、それぞれのLANを説明する。図1に示すように、LAN10には、中継サーバ1と、クライアント端末11と、が接続されている。LAN20には、中継サーバ2と、クライアント端末21と、通信装置22,23と、が接続されている。LAN30には、中継サーバ3と、ファイルサーバ31が接続されている。また、LAN30には、ルータ32を介して別のLAN40が接続されるとともに、ルータ33を介して更に別のLAN45が接続されている。LAN40には、ファイルサーバ41と、クライアント端末42と、が接続されている。LAN45には、ファイルサーバ46と、クライアント端末47と、が接続されている。また、各クライアント端末は、当該クライアント端末に接続された中継サーバを介して、他の中継サーバ又は他の中継サーバに接続されたクライアント端末と通信できる。なお、図1には一部だけが図示されているが、LAN20,30には多数のクライアント端末等が配置されているものとする。
【0023】
この中継通信システム100を運用するにあたっては、LAN20が設置されている場所にオペレータを待機させている。LAN30,40,45には、当該オペレータがメンテナンス等を行う対象であるファイルサーバ31,41,46が配置されている。また、LAN10が設置されている場所はオペレータによるメンテナンス業務を管理する拠点となっており、中継サーバ1には、オペレータ毎のアクセス権限が(後述の接続許可情報として)予め設定されている。オペレータは、通信装置22,23等を用いて、オペレータ自身が有するアクセス権限の範囲内でファイルサーバ31,41,46等にアクセスし、メンテナンスを行う。
【0024】
このように、この中継通信システム100では、オペレータからメンテナンス先へ接続を行うことが想定されている。以下の説明では、中継サーバ2のように、接続元となるLANに接続された中継サーバを接続元の中継サーバと称し、中継サーバ3のように、接続対象となる中継サーバを接続対象の中継サーバと称することがある。また、接続対象の中継サーバと、当該中継サーバに所属するクライアント端末と、をまとめて、接続対象機器と称することがある。
【0025】
次に、図2及び図3を参照して、中継サーバ1,2,3について説明する。図2は、管理機能付き中継サーバである中継サーバ1の機能ブロック図である。図3は、中継サーバ2,3の機能ブロック図である。
【0026】
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続されたクライアント端末と通信可能であるだけでなく、他のLANに配置された中継サーバと通信可能となっている。そのため、中継サーバ1,2,3には、グローバルIPアドレスに加えてプライベートIPアドレスが付与されている。
【0027】
また、本実施形態の中継通信システム100において、当該システムに含まれる中継サーバのうち1つの中継サーバが管理機能付き中継サーバとして動作し、その他の中継サーバが管理対象の中継サーバとして動作するように構成されている。本実施形態では、中継サーバ1が管理機能付き中継サーバとして、残りの中継サーバ2,3が管理対象の中継サーバとして、それぞれ動作するように設定されている。以下では、まず管理機能付きの中継サーバ1を主に説明し、次に管理対象の中継サーバ2,3について説明する。
【0028】
図2に示すように、管理機能付きの中継サーバ1は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
【0029】
インタフェース部70は、プライベートIPアドレスを利用して、LAN10内の端末に対して通信を行うことができる。また、インタフェース部70は、グローバルIPアドレスを利用して、WAN80を経由した通信を行うことができる。
【0030】
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。図2に示すように、制御部60は、インタフェースドライバ61と、LAN側IPパケット処理部62と、通信制御部63と、WAN側IPパケット処理部64と、を備えている。
【0031】
インタフェースドライバ61は、インタフェース部70を制御するドライバソフトウェアである。LAN側IPパケット処理部62は、LAN10から受信したパケットに適宜の処理を行って通信制御部63に出力する。WAN側IPパケット処理部64は、WAN80から受信したパケットに適宜の処理を行って通信制御部63に出力する。
【0032】
通信制御部63は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて送信先を決定し、決定した送信先へ当該パケットを送信する。また、通信制御部63は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。通信制御部63は、図4に示すように、接続対象機器取得制御部631と、VPN開始制御部632と、アドレスフィルタ情報通信制御部633と、ルーティングセッション確立制御部634と、ルーティング制御部635と、を備える。なお、上記の各制御部が行う制御については後述する。
【0033】
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、オペレータ情報記憶部51と、接続許可情報記憶部52と、を備えている。以下、図5及び図6を参照して、記憶部50の記憶内容について説明する。図5は、オペレータ情報の内容を示す図である。図6は、接続許可情報の内容を示す図である。
【0034】
中継サーバ1が備えるオペレータ情報記憶部51は、中継通信システム100にログイン可能なオペレータを特定するための情報及びオペレータの利用状況等を示す情報であるオペレータ情報を記憶している。なお、このオペレータ情報記憶部51は、管理機能付きの中継サーバ1のみが備える構成となっており、図3に示すように、中継サーバ2,3は、このオペレータ情報記憶部51を備えていない。以下、オペレータ情報の内容について具体的に説明する。
【0035】
図5に示すオペレータ情報においては、「オペレータID」と記述された列において、中継通信システム100にログイン可能なオペレータIDの一覧が記述されている。このオペレータIDは、オペレータ毎に設定される固有の文字列で構成されている。また、「パスワード」と記述された列では、同じ行に記述されたオペレータIDを使用して中継通信システム100にログインするために必要なパスワードが記述されている。各オペレータは、自身に設定されたオペレータID及びパスワードを用いて、中継通信システム100にログインすることができる。
【0036】
このオペレータID及びパスワードを用いて、オペレータが中継通信システム100にログインするときの流れを簡単に説明する。オペレータは、通信装置22,23等を用いて中継サーバ2又はクライアント端末21にアクセスし、所定のログイン画面においてオペレータIDとパスワードを入力することにより、中継通信システム100へのログイン要求を行うことができる。このログイン要求を受け付けた中継サーバ2又はクライアント端末21は、この入力内容を中継サーバ1に送信する。この入力内容を受信した中継サーバ1は、オペレータが入力したオペレータID及びパスワードについて、オペレータ情報記憶部51が記憶するオペレータ情報と照合するとともに、他の中継サーバを介して当該オペレータIDが既にログイン済みか否かを判定する。中継サーバ1は、この結果に基づいてログインの可否を決定する。
【0037】
図5には、中継サーバ1のオペレータ情報記憶部51が記憶するオペレータ情報の例が示されている。このオペレータ情報記憶部51において、「使用機器情報」と記述された列では、同じ行に記述されたオペレータIDを使用してオペレータが中継通信システム100にログイン済みである場合に、当該オペレータが中継通信システム100へのログインに使用している中継通信システム100側の機器(具体的には、通信装置22,23ではなく、中継サーバ2又はクライアント端末21を示す。以下使用機器と称する)に関する情報(使用機器情報)が記述されている。
【0038】
具体的には、オペレータが中継サーバを使用してログインしている場合は、当該中継サーバの識別情報が使用機器情報となる。例えば、図1におけるオペレータ92が通信装置22を介して中継サーバ2にログインした場合は、中継サーバ1のオペレータ情報記憶部51では、図5に示すように、その中継サーバ2の識別情報が、オペレータ92のオペレータID(Op2)に対応付けた使用機器情報として記述される。
【0039】
一方、オペレータがクライアント端末を使用してログインしている場合は、当該クライアント端末の識別情報と、当該クライアント端末の所属先である中継サーバの識別情報と、の両方が使用機器情報となる。例えば、図1におけるオペレータ91が通信装置23を介してクライアント端末21にログインした場合は、中継サーバ1のオペレータ情報記憶部51では、当該クライアント端末21の識別情報及び中継サーバ2の識別情報が、図5に示すように、オペレータ91のオペレータID(Op1)に対応付けた使用機器情報として記述される。
【0040】
なお、オペレータが中継通信システム100にログインしていない場合は、使用機器情報は空欄となる(図5のOp3及びOp4に対応する使用機器情報を参照)。
【0041】
オペレータ情報記憶部51が記憶するオペレータ情報のうち、ログイン可能なオペレータIDの一覧と、当該オペレータID毎に設定されるパスワードと、は各オペレータ及び管理者等によって予め設定されている。一方、使用機器情報は、オペレータがログイン又はログアウトする度に最新の情報に更新される。
【0042】
接続許可情報記憶部52は、中継通信システム100にログイン可能なオペレータのアクセス権限を示す接続許可情報を記憶している。なお、この接続許可情報記憶部52は、本実施形態では管理機能付きの中継サーバ1のみが備える構成となっており、図3に示すように、中継サーバ2,3は、この接続許可情報記憶部52を備えていない。以下、接続許可情報の内容について具体的に説明する。
【0043】
図6に示す接続許可情報においては、「オペレータID」と記述された列において、中継通信システム100にログイン可能なオペレータIDの一覧が記述されている。また、「接続対象機器の識別情報」と記述された列では、同じ行に記述されたオペレータIDを用いて接続することが許可されている前記接続対象機器の識別情報が記述されている。具体的には、オペレータ92(オペレータID=Op2)が通信装置22を操作して中継サーバ2にアクセスし、当該中継サーバ2を使用して中継通信システム100にログインしたときには、当該オペレータ92は、この中継サーバ2(使用機器)と、図6の接続許可情報においてオペレータ92に対応している接続対象機器(具体的にはクライアント端末42又はクライアント端末47)と、の接続を利用することができる。この場合、この中継サーバ2(使用機器)を始点とし、中継サーバ3を経由して、クライアント端末42又はクライアント端末47を終点とするルーティングセッションが確立されるとともに、このルーティングセッションを利用した仮想プライベートネットワーク(VPN)が構築される。
【0044】
ここで、接続許可情報記憶部52が記憶する接続許可情報(図6)においては、接続対象機器が、(使用機器の識別情報ではなく)オペレータIDと対応付けられている。このため、オペレータ92がログイン時に使用した機器が異なる場合においても、接続可能な接続対象機器は上記と同じである。例えば、仮にオペレータ92が通信装置23を操作してクライアント端末21にアクセスし、当該クライアント端末21を使用して中継通信システム100にログインした場合は、このクライアント端末21(使用機器)を始点とし、中継サーバ2及び中継サーバ3を経由して、クライアント端末42又はクライアント端末47を終点とするルーティングセッションが確立されるとともに、このルーティングセッションを利用したVPNが構築される。
【0045】
次に、図7等を参照して、中継サーバ2,3の構成について説明する。図7は、アドレスフィルタ情報記憶部の記憶内容を示す図である。なお、中継サーバ3は、中継サーバ2と略同等の構成であるため、代表して中継サーバ2について説明する。
【0046】
中継サーバ2は、中継サーバ1と同等に構成される制御部60及びインタフェース部70を備える。一方、中継サーバ2の記憶部50は、中継サーバ1の記憶部50と、その記憶内容の一部が異なっている。具体的には、中継サーバ2は、記憶部50内において、管理先情報記憶部53と、アドレスフィルタ情報記憶部54と、を備えている。
【0047】
管理先情報記憶部53は、自身を管理対象とする管理機能付き中継サーバである中継サーバ1の識別情報を記憶している。従って、中継サーバ2は、この管理先情報記憶部53の記憶内容を参照することにより、管理機能付き中継サーバである中継サーバ1にアクセスすることができる。なお、メンテナンス等の事情で管理機能付き中継サーバが変更された場合は、その旨が他の中継サーバに通知され、管理先情報記憶部53の記憶内容が更新される。
【0048】
アドレスフィルタ情報記憶部54は、オペレータが中継サーバ2にログインした結果として当該中継サーバ2が他の機器とルーティングセッションを形成し、このルーティングセッションを利用したVPNが構築された場合に、どのような送信先を有するパケットであれば中継サーバ2が当該パケットの転送を行うのかを示すアドレスフィルタ情報を記憶している。なお、以下の説明では、他の機器とルーティングセッションを形成してパケットの転送を行う機器をルーティング機器と称することがある。本実施形態では、中継サーバがルーティング機器として機能することも、クライアント端末がルーティング機器として機能することもできるようになっているが、中継サーバ2のアドレスフィルタ情報記憶部54は、当該中継サーバ2がルーティング機器として機能する場合に使用されるものである。
【0049】
図7(a)には、アドレスフィルタ情報記憶部54の記憶内容の概要が例示されている。図7(a)において、右側の「ルーティング対象装置」の列は、転送が許可されるパケットの送信先の機器を示している。従って、図7(a)の例でいうと、中継サーバ2がルーティング機器として機能する場合、当該中継サーバ2が受信したパケットの送信先がファイルサーバ46又は通信装置22であれば、中継サーバ2は当該パケットを他の機器へ転送する。この場合の転送先としては、他のルーティング機器である場合と、パケットの送信先そのものである場合と、の2通りが考えられる。一方で、パケットの送信先が上記の機器の何れでもない場合は、当該パケットを転送しない。
【0050】
従って、この「ルーティング対象装置」の列が、アドレスフィルタ情報に相当する。このアドレスフィルタ情報は、上記のとおり、パケットの転送の可否をその送信先に基づいて判断する(パケットをフィルタリングする)ために用いられる。
【0051】
図7(a)の左側の「ルーティング機器」の列は、右側の列で示されるパケットの送信先に対して、パケットを直接的に送信可能なルーティング機器を示している。ここで、「直接的に送信可能」とは、ルーティング機器が、他のルーティング機器を経由させずに、その送信先にパケットを送信可能であることをいう。
【0052】
図7(a)の表に示すように、アドレスフィルタ情報記憶部54において、アドレスフィルタ情報は、当該アドレスフィルタ情報が示す送信先に対してパケットを直接的に送信可能なルーティング機器(自身を含む)に対応付けられた形で記憶される。従って、図7(a)の表は、転送を許可するパケットをフィルタリングする際に参照されるだけでなく、パケットの転送経路を決定する(パケットをルーティングする)目的でも用いられる。以下の説明では、図7(a)のように、VPNを構築する際に使用される自身及びそれ以外のルーティング機器と、それぞれに対応付けたアドレスフィルタ情報と、を含む情報を、パケット転送制御情報と呼ぶことがある。
【0053】
即ち、図7(a)の例に照らせば、中継サーバ2が受信したパケットの送信先が通信装置22である場合は、中継サーバ2は他のルーティング機器を介さず当該パケットを通信装置22に送信することができる。従って、中継サーバ2は、受信したパケットを通信装置22に転送する。このように、自身と対応付けられたアドレスフィルタ情報(即ち、自身がパケットを転送可能なアドレス)を、以下では第1アドレスフィルタ情報と称することがある。
【0054】
一方で、中継サーバ2が受信したパケットの送信先がファイルサーバ46である場合は、図7(a)によると、当該パケットをファイルサーバ46に届けるためには、他のルーティング機器であるクライアント端末47を経由させなければならないことが分かる。従って、中継サーバ2は先ずパケットを、中継サーバ3を介して、クライアント端末47に転送する。このパケットを受信したクライアント端末47は、ルーティング機器として機能し、当該パケットを更にファイルサーバ46へ転送する。このように、他のルーティング機器と対応付けられたアドレスフィルタ情報(即ち、他のルーティング機器がパケットを転送可能なアドレス)を、以下では第2アドレスフィルタ情報と称することがある。このように、中継サーバ2は、第1アドレスフィルタ情報と第2アドレスフィルタ情報とを記憶する手段(アドレスフィルタ情報記憶部54)を備えている。
【0055】
図7(b)にはアドレスフィルタ情報記憶部54の具体的な記憶内容が示されるが、この実質的な意味は図7(a)と同様である。この図7(b)に示すように、アドレスフィルタ情報記憶部54は、VPNで用いられるそれぞれのルーティング機器の識別情報と、当該ルーティング機器がパケットを直接的に送信可能なルーティング対象装置のIPアドレス及び名称と、を対応付けて記憶している。
【0056】
図7(b)の右側の列の「ルーティング対象装置の名称」としては、例えば、機器の種類(処理装置、通信装置、ファイルサーバ等)及び配置される場所等を考慮する等して、ユーザが任意の名称を設定することができる。この設定されたルーティング装置の名称は、中継サーバ2に接続される通信装置22等に表示させることができる。また、中継サーバ2は、装置の名称を表示するだけでなく、当該装置を使用機器として中継通信システム100にログインしているオペレータのオペレータID等を中継サーバ1に問い合わせることで取得し、これを通信装置22等に表示するように構成することもできる。以上の構成により、パケット転送先のルーティング対象装置等を分かり易く管理することができる。
【0057】
中継サーバ2は、以上のように構成される。なお、クライアント端末11,21,42,47の構成については詳細な説明を省略するが、中継サーバ2と実質的に同様に構成された記憶部50及び制御部60を備えている。特に、クライアント端末は、中継サーバ2,3が備えるアドレスフィルタ情報記憶部54と同様の内容を記憶可能なアドレスフィルタ情報記憶部を備えている。
【0058】
次に、それぞれのルーティング機器(中継サーバ及びクライアント端末)において、図7に示すような前記パケット転送制御情報を作成する処理について説明する。パケット転送制御情報は、上述のとおり、VPNの実現のためにルーティング機器が行うパケット転送制御のルールを定めるものである。一方、本実施形態の中継通信システム100では、構成機器が互いに異なるVPNを複数構築することができる。このような中継通信システム100を実現するために、中継サーバ及びクライアント端末が備えるアドレスフィルタ情報記憶部は、パケット転送制御情報をVPN毎に記憶できるようになっている。即ち、新しいVPNが構築される毎に、新しいパケット転送制御情報が作成されて、これがルーティング機器のアドレスフィルタ情報記憶部に記憶されることになる。
【0059】
VPNのための前記ルーティングセッションは、オペレータがログインした使用機器と、VPNの作成を指示するときにオペレータが指定した接続対象機器と、の間で形成される。即ち、VPNを作成するにあたっては、ルーティング機器として機能する前記使用機器及び接続対象機器のそれぞれにおいて、図7に示すようなパケット転送制御情報を作成してアドレスフィルタ情報記憶部に記憶することになる。
【0060】
このため、VPNの構築時には、ルーティング機器として機能することになった中継サーバ又はクライアント端末は、自身に対応付けられたアドレスフィルタ情報を相手側のルーティング機器に送信できるようになっている。このアドレスフィルタ情報の交換により、それぞれのルーティング機器は、自身に対応付けられたアドレスフィルタ情報と他のルーティング機器に対応付けられたアドレスフィルタ情報を合成して、図7に示すようなパケット転送制御情報を作成し、自身が備えるアドレスフィルタ情報記憶部に記憶する。
【0061】
このとき、自身に対応付けられたアドレスフィルタ情報としては、自身(ルーティング機器)が使用機器であるか接続対象機器であるかに応じて、異なるものが採用される。即ち、ルーティング機器として機能する可能性がある中継サーバ及びクライアント端末は、アドレスフィルタ情報記憶部に、自身がパケットを直接的に送信可能な装置を示すように予め設定されたアドレスフィルタ情報(以下、既定アドレスフィルタ情報と呼ぶことがある)を少なくとも記憶している。そして、中継サーバ又はクライアント端末は、自身が接続対象機器として指定されることによりルーティング機器として機能する場合、VPNの構築時に、前記既定アドレスフィルタ情報を、自身に対応付けられたアドレスフィルタ情報とする。
【0062】
一方、自身が使用機器になった結果(自身をオペレータがログインに使用した結果)、ルーティング機器として機能することになった場合、中継サーバ又はクライアント端末は、VPNの構築時に、前記既定アドレスフィルタ情報ではなく、自身へのログインのためにオペレータによって直接操作された機器のアドレスを、自身に対応付けられたアドレスフィルタ情報とする。
【0063】
次に、主に図8を参照して、オペレータ92が中継通信システム100にログインしてVPNを構築するときの具体的な流れを説明する。図8は、本発明におけるVPNを開始する処理の流れを示すシーケンス図である。
【0064】
オペレータ92は、上述のように、通信装置22に適宜の操作を行って中継サーバ2にアクセスし、当該中継サーバ2を使用機器としたログイン要求を行う。このログイン要求では、オペレータIDとパスワードの入力が求められる。そして、オペレータ92が、自身に対応するオペレータID(Op2)及びパスワード(def)を入力して、入力内容を確定させることにより、中継サーバ2はログイン要求を受け付ける(シーケンス番号1)。このように、中継サーバ2は、ログイン操作するオペレータの識別情報を受け付ける手段を備えている。そして、中継サーバ2は、入力されたオペレータID、パスワード、及び使用機器情報(具体的には中継サーバ2の識別情報)とともに、ログイン要求を中継サーバ1に対して送信する(シーケンス番号2)。
【0065】
このログイン要求等を受信した中継サーバ1は、図5に示すオペレータ情報に基づいて、オペレータIDとパスワードの認証を行う(シーケンス番号3)。また、中継サーバ1は、同一のオペレータIDでの多重ログインを防止するために、入力されたオペレータIDを使用したログインが他に行われているか否かを判定する(シーケンス番号4)。そして、オペレータの認証に成功し、かつ多重ログインが行われていない場合、中継サーバ1はログインを許可し、オペレータ情報記憶部51のオペレータ情報を更新する(シーケンス番号5)。つまり、Op2と対応する使用機器情報として、中継サーバ2の識別情報を記憶する。
【0066】
そして、中継サーバ1は、接続許可情報記憶部52が記憶する接続許可情報を参照し、ログインを許可したオペレータ92による接続が可能な接続対象機器のリストを読み出す(シーケンス番号6)。今回の例では、図6に示す接続許可情報において、オペレータ92にはクライアント端末42,47が対応付けられている。従って、中継サーバ1は、クライアント端末42,47の識別情報を、ログインを許可する旨とともに、中継サーバ2に対して送信する(シーケンス番号7)。
【0067】
中継サーバ2の接続対象機器取得制御部631は、この通知に基づいて、オペレータ92による接続可能な接続対象機器(即ち、クライアント端末42,47)を取得することができる。つまり、中継サーバ2は、オペレータが接続可能な接続対象機器のリストを取得する手段を備えている。また、中継サーバ2は、オペレータ92による接続が可能な接続対象機器を、ログインが許可された旨とともに、通信装置22に表示する(シーケンス番号8)。そして、オペレータ92が、クライアント端末42,47のうち、ルーティング機器(接続対象機器)として機能させる対象としてクライアント端末47を選択したものとする。中継サーバ2はオペレータの選択を受け付ける手段を備えており、オペレータの選択を受け付けると(シーケンス番号9)、オペレータ92がログイン要求時に直接操作した通信装置22のIPアドレスを、中継サーバ2の識別情報と対応付けて、第1アドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する(シーケンス番号10)。具体的には、図7の表における下段の情報がアドレスフィルタ情報記憶部54に記憶される。次に、中継サーバ2のVPN開始制御部632によって、VPNの開始コマンドが中継サーバ3を介してクライアント端末47に送信されるとともに、アドレスフィルタ情報通信制御部633によって、自身の識別情報と対応付けて記憶したアドレスフィルタ情報(第1アドレスフィルタ情報)が中継サーバ3を介してクライアント端末47に送信される(シーケンス番号11)。
【0068】
この開始コマンドを受信したクライアント端末47は、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部に記憶する(シーケンス番号12)。ここで、上述のように、クライアント端末47のアドレスフィルタ情報記憶部には、自身(クライアント端末47)の識別情報と対応付けた形で、ファイルサーバ46を指定するアドレスフィルタ情報が予め(前記既定アドレスフィルタ情報として)記憶されている。従って、クライアント端末47のアドレスフィルタ情報記憶部には、図7に示すように、2つのアドレスフィルタ情報からなるパケット転送制御情報が記憶されることとなる。クライアント端末47は、信号を受信した旨とともに、自身に対応付けられたアドレスフィルタ情報(図7の表の上段の情報)を、中継サーバ3を介して中継サーバ2に対して送信する(シーケンス番号13)。
【0069】
中継サーバ2は、クライアント端末47からの応答を受けて、受信したアドレスフィルタ情報を第2アドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する(シーケンス番号14)。これにより、中継サーバ2のアドレスフィルタ情報記憶部54にも、図7に示すように、2つのアドレスフィルタ情報からなるパケット転送制御情報が記憶されることとなる。以上のようにして、中継サーバ2とクライアント端末47との間で、アドレスフィルタ情報の交換が完了する。アドレスフィルタ情報の交換後においては、中継サーバ2のアドレスフィルタ情報記憶部54及びクライアント端末47のアドレスフィルタ情報記憶部は、ともに図7に示す内容を記憶している。
【0070】
中継サーバ2はルーティングセッションを確立する手段(ルーティングセッション確立制御部634)を備えており、クライアント端末47とルーティングセッションを確立するための通信制御を、中継サーバ3を介して当該クライアント端末47に行う(シーケンス番号15)。これにより、中継サーバ2を始点として、中継サーバ3を経由して、クライアント端末47を終点とするルーティングセッションが確立される。
【0071】
なお、上記では、使用機器としての中継サーバ2と、接続対象機器としてのクライアント端末47と、の間にルーティングセッションを確立する処理を説明したが、上記以外の組み合わせでルーティングセッションを確立することも勿論可能である。例えば、オペレータ91が通信装置23からクライアント端末21にアクセスし、当該クライアント端末21を使用機器として中継通信システム100にログインした場合について考える。図6に示すように、オペレータ91は中継サーバ3との接続が許可されている。従って、この場合では、クライアント端末21を始点として、中継サーバ2を経由して、中継サーバ3を終点とするルーティングセッションを確立させることができる。このときのルーティング機器(クライアント端末21及び中継サーバ3)のアドレスフィルタ情報記憶部には、クライアント端末21の識別情報に対応付けた形で、通信装置23のアドレスがアドレスフィルタ情報として記憶される。
【0072】
次に、確立したルーティングセッションを利用して中継サーバ2のルーティング制御部635が行うルーティング制御について説明する。図9は、通信装置22がファイルサーバ46にパケットを送信するときの経路を説明する図である。図10は、ファイルサーバ46が通信装置22にパケットを送信するときの経路を説明する図である。
【0073】
初めに、図9に示す第1パケット(packet01)を中継サーバ2が受信した場合の処理について説明する。この第1パケットは通信装置22が送信したものであり、送信先アドレスとしてファイルサーバ46のIPアドレス(192.168.45.100)が指定されている。
【0074】
中継サーバ2は、この第1パケットを受信すると、アドレスフィルタ情報記憶部54の記憶内容(図7)を第1パケットの送信先アドレスと比較する。そして、第1パケットに記された送信先に対してパケットを直接的に送信可能なルーティング機器を調べる。図7に示すように、第1パケットの送信先アドレス(192.168.45.100)は、クライアント端末47に対応付けられたアドレスフィルタ情報(第2アドレスフィルタ情報)として記憶されている。従って、中継サーバ2は第1パケットの転送を許可し、中継サーバ2とクライアント端末47との間に確立されたルーティングセッションを介して、クライアント端末47を最終的な送信先として、第1パケットを中継サーバ3に送信する。
【0075】
この第1パケットを受信したクライアント端末47も中継サーバ2と同様に、アドレスフィルタ情報記憶部の記憶内容(図7)を、第1パケットの送信先アドレスと比較する。この結果、クライアント端末47は、第1パケットに記された送信先(192.168.45.100)が第1アドレスフィルタ情報として記憶されていることから、自身がパケットを直接的に送信可能なことを検出する。従って、クライアント端末47は第1パケットの転送を許可し、当該第1パケットをファイルサーバ46に対して送信する。
【0076】
次に、図10に示す第2パケット(packet02)をクライアント端末47が受信した場合の処理について説明する。この第2パケットはファイルサーバ46が送信したものであり、送信先アドレスとして通信装置22のIPアドレス(200.1.20.100)が指定されている。
【0077】
クライアント端末47は、この第2パケットを受信した後に、上記と同様に処理を行い、第2パケットの送信先アドレス(200.1.20.100)が、中継サーバ2に対応付けられたアドレスフィルタ情報によって指定されていることを検出する。従って、クライアント端末47は第2パケットの転送を許可し、クライアント端末47と中継サーバ2との間に確立されたルーティングセッションを介して、中継サーバ2を最終的な送信先として、第2パケットを中継サーバ3に送信する。
【0078】
この第2パケットを受信した中継サーバ2も、上記同様に処理を行い、第2パケットの送信先アドレス(200.1.20.100)が、自身(中継サーバ2)に対応付けられたアドレスフィルタ情報によって指定されていることを検出する。従って、中継サーバ2は第2パケットの転送を許可し、当該第2パケットを通信装置22に対して送信する。
【0079】
このように、本実施形態では、アプリケーション層のルーティングセッションで、ルーティング対象のデータを流すように構成されている。従って、以上で説明したルーティングは、通常のIPルーティングとは異なっている。
【0080】
アプリケーション層でルーティングを行うことにより、WANを意識することなく、遠隔地のLAN同士がプライベートIPアドレスを利用して相互に通信することができる。また、上述のように、ルーティング機器は、パケットの転送先として指定可能なルーティング対象装置の名称を表示可能となっている。そのため、ユーザは、VPNを用いてどの機器にパケットを送信可能であるかを容易に認識することができる。
【0081】
以上に示したように、本実施形態の中継サーバ2は、自身がパケットを転送可能なアドレスである第1アドレスフィルタ情報と、他の接続対象機器であるクライアント端末47がパケットを転送可能なアドレスである第2アドレスフィルタ情報と、を記憶する手段(アドレスフィルタ情報記憶部54)を備えている。また、中継サーバ2は、LAN20で接続された通信装置22を介してログイン操作するオペレータ92の識別情報を受け付ける手段と、ログインを受け付けたオペレータ92の識別情報(Op2)に基づいて、当該オペレータ92が接続可能な接続対象機器のリストを取得する手段と、接続可能な前記接続対象機器のリストの中からオペレータ92による接続対象機器(クライアント端末47)の選択を受け付ける手段と、オペレータ92に選択されたクライアント端末47とルーティングセッションを確立する手段(ルーティングセッション確立制御部634)と、を備える。中継サーバ2は、オペレータ92がログイン操作した通信装置22のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置22のアドレスをクライアント端末47へ送信する。中継サーバ2は、クライアント端末47から受信したファイルサーバ46のアドレスを第2アドレスフィルタ情報として記憶する。中継サーバ2は、受信したパケットの送信先が第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信する。中継サーバ2は、受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信する。
【0082】
これにより、オペレータ92は、中継サーバ2と、選択されたクライアント端末47と、の間に確立されたルーティングセッションを利用して通信を行うことができる。また、上記の構成では、オペレータ毎に接続可能な接続対象機器が設定されている。そのため、オペレータ92がログインに用いる通信装置が変更されても、以前と同一の相手とルーティングセッションを確立して通信を行うことができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
【0083】
また、本実施形態の中継サーバ2は、アドレスフィルタ情報記憶部54と、制御部60と、を備える。アドレスフィルタ情報記憶部54は、中継サーバ2がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を中継サーバ2の識別情報と対応付けて記憶可能であるとともに、中継サーバ2と接続可能な接続対象機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。中継サーバ2が接続可能な管理機能付きの中継サーバ1においては、中継通信システム100にログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、が対応付けられた接続許可情報を記憶している。制御部60は、接続対象機器取得制御部631と、VPN開始制御部632と、アドレスフィルタ情報通信制御部633と、ルーティングセッション確立制御部634と、ルーティング制御部635と、を備える。接続対象機器取得制御部631は、管理機能付きの中継サーバ1が記憶する接続許可情報に基づいて、ログイン要求を行ったオペレータ92が接続可能な接続対象機器(クライアント端末42,47)を取得する。VPN開始制御部632は、中継サーバ2の制御部60は、読み出した接続対象機器のうち選択されたクライアント端末47に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部633は、オペレータ92がログイン要求を行うために操作した通信装置22のアドレスを、自身(中継サーバ2)の識別情報と対応付けたアドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶するとともに当該アドレスフィルタ情報をクライアント端末47に送信し、クライアント端末47から受信したアドレスフィルタ情報を、当該クライアント端末47の識別情報と対応付けたアドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する。ルーティングセッション確立制御部634は、クライアント端末47に対してルーティングセッションを確立する。ルーティング制御部635は、受信したパケットの送信先が、中継サーバ2の識別情報と対応付けられたアドレスフィルタ情報において指定されているとき(例えば送信先が通信装置22であるとき)は、当該送信先にパケットを送信し、受信したパケットの送信先がクライアント端末47の識別情報と対応付けられたアドレスフィルタ情報において指定されているとき(例えば送信先がファイルサーバ46であるとき)は、中継サーバ2とクライアント端末47との間に確立されたルーティングセッションを介して当該クライアント端末47にパケットを送信する。
【0084】
これにより、構築したVPNを利用して、オペレータ92がログイン要求を行うために操作した通信装置22と、クライアント端末47がパケットを転送可能なファイルサーバ46と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、接続対象機器の識別情報と、が対応付けられている。そのため、例えばオペレータ92は、通信装置22を操作して中継サーバ2にログインする場合は、中継サーバ2及びクライアント端末47をルーティング機器とし、当該通信装置22とファイルサーバ46との間でVPNを構築することができる。そして、ログアウトしたオペレータ92が、今度は通信装置23を操作してクライアント端末21にログインする場合は、クライアント端末21及びクライアント端末47をルーティング機器とし、通信装置23とファイルサーバ46との間でVPNを構築することができる。このように、ログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
【0085】
また、本実施形態の中継サーバ2は、管理機能付き中継サーバである中継サーバ1の識別情報を記憶する管理先情報記憶部53を備える。接続許可情報は、中継サーバ1によって記憶される。中継サーバ2の制御部60は、オペレータ92からログイン要求を受け付けたときに、管理先情報記憶部53の記憶内容に基づいて中継サーバ1にアクセスすることにより、ログイン要求を行ったオペレータ92が接続可能な接続対象機器(クライアント端末42,47)を取得する。
【0086】
これにより、中継サーバ1が接続許可情報を集中的に管理する構成となるため、複数の機器によって接続許可情報を共有させる必要がない。従って、当該機器間における接続許可情報の同期制御が不要となり、中継サーバで行われる処理を軽くすることができる。
【0087】
次に、上記実施形態の変形例について、図11から図13までを参照して説明する。図11は、中継サーバ2の変形例を示す機能ブロック図である。図12は、オペレータグループ情報の内容を示す図である。図13は、変形例における接続許可情報の内容を示す図である。なお、以下の変形例の説明において、上記実施形態と同一又は類似の構成については、同一の符号を付して説明を省略する場合がある。
【0088】
図11に示すように、本変形例の中継サーバ2は、オペレータ情報記憶部51と、接続許可情報記憶部521と、アドレスフィルタ情報記憶部54と、オペレータグループ情報記憶部55と、を備える。
【0089】
このように、本変形例では、上記実施形態で中継サーバ1が備えていたオペレータ情報記憶部51及び接続許可情報記憶部52を、中継サーバ2が備える構成となっている。そのため、本変形例の中継サーバ2は、管理機能付き中継サーバとして機能するとともに、接続元の中継サーバとして機能する。従って、本変形例では、接続元の中継サーバとしての中継サーバ2と、接続対象の中継サーバとしての中継サーバ3(上記実施形態と同じ構成)において、上記実施形態と同様の中継通信システム100が実現できる。
【0090】
また、本変形例では、1又は複数のオペレータで構成されるオペレータグループが作成されており、このオペレータグループに関する情報が中継サーバ2のオペレータグループ情報記憶部55に記憶されている。オペレータグループ情報記憶部55は、複数のオペレータで構成されるオペレータグループを、図12に示すように、グループの名称と、当該オペレータグループを構成する(オペレータグループに所属する)オペレータのオペレータIDと、を用いて記憶している。
【0091】
そして、本変形例の接続許可情報記憶部521は、図13に示すように、上記オペレータグループの名称と、接続対象機器の識別情報と、を対応付けて記憶している。従って、図13の例では、グループ1に所属するオペレータ(オペレータIDがOp1,Op2,Op3であるオペレータ)がクライアント端末21を使用機器としてログインした場合は、当該クライアント端末21と、中継サーバ3と、の接続を利用することができる。なお、オペレータのログイン処理及びVPNの構築処理については、上記実施形態と同様であるため説明を省略する。
【0092】
以上に示したように、本変形例の中継サーバ2は、接続許可情報を記憶する接続許可情報記憶部521を備える。制御部60は、オペレータからログイン要求を受け付けたときに、接続許可情報記憶部521の記憶内容に基づいて、ログイン要求を行ったオペレータが接続可能な接続対象機器を取得する。
【0093】
これにより、中継サーバ2は、自身の記憶内容を参照するだけで、ログイン要求を行ったオペレータが接続可能な接続対象機器を取得できる。このため、VPNを開始するまでの処理を単純にすることができる。
【0094】
また、本変形例の中継サーバ2は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶するオペレータグループ情報記憶部55を備える。接続許可情報記憶部521は、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な接続対象機器の識別情報をオペレータグループ毎に記憶する。
【0095】
これにより、複数のオペレータでチームを作り、当該チームにおいて所定の接続対象機器(及びルーティング対象装置)のメンテナンス等を行っている場合において、接続許可情報記憶部521の記憶内容を単純にすることができる。そのため、この構成は、中継通信システム100においてメンテナンスを行うオペレータが多い場合に特に好適である。また、このチームを構成するオペレータに変更があった場合においても、当該オペレータの識別情報をオペレータグループから削除又はオペレータグループに追加するだけで良いため、接続許可情報の設定を容易にすることができる。
【0096】
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。
【0097】
上記のオペレータ情報、オペレータグループ情報、利用状況情報等は、適宜の形式(例えばXML形式)で格納することができる。
【0098】
上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。
【符号の説明】
【0099】
1,2,3 中継サーバ
11,21,42,47 クライアント端末
10,20,30,40,45 LAN
50 記憶部
51 オペレータ情報記憶部
52 接続許可情報記憶部
53 管理先情報記憶部
54 アドレスフィルタ情報記憶部
60 制御部
100 中継通信システム
【技術分野】
【0001】
本発明は、主として、異なるLAN(Local Area Network)に接続されている端末間の通信を可能とする中継サーバに関する。
【背景技術】
【0002】
従来から、仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている(例えば、特許文献1を参照)。このVPNは、例えば、地域ごとに設けられた複数の支社(拠点)のLANに接続された端末同士でインターネットを介して通信する用途に用いられている。前記VPNを利用すれば、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2002−217938号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、この種のシステムにおいては、機器のIPアドレス及び識別情報等を用いて、機器間での通信を行うことが一般的である。一方、この種のシステムにおいて作業を行う場合、オペレータの使用する機器は常に同じとは限らず、移動先及び出張先等では、異なる機器を使用することがある。これはVPNの構成機器の変更を意味するため、通常は、VPNの設定を変更する必要が生じる。しかし、ネットワークの設定の変更等が生じた場合、これらの変更は他の機器に反映させなければならず、処理が繁雑になってしまう。
【0005】
本発明は以上の事情に鑑みてされたものであり、その主要な目的は、オペレータの利用する機器に合わせてVPNを柔軟かつ機動的に構築可能な中継サーバを提供することにある。
【課題を解決するための手段及び効果】
【0006】
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
【0007】
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、自身がパケットを転送可能なアドレスである第1アドレスフィルタ情報と、他の中継サーバ及びクライアント端末を示す接続対象機器がパケットを転送可能なアドレスである第2アドレスフィルタ情報と、を記憶する手段と、LANで接続された通信装置を介してログイン操作するオペレータの識別情報を受け付ける手段と、ログインを受け付けたオペレータの識別情報に基づいて、当該オペレータが接続可能な前記接続対象機器のリストを取得する手段と、接続可能な前記接続対象機器のリストの中からオペレータによる前記接続対象機器の選択を受け付ける手段と、オペレータに選択された前記接続対象機器とルーティングセッションを確立する手段と、を備える。中継サーバは、オペレータがログイン操作した前記通信装置のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置のアドレスを前記接続対象機器へ送信する。中継サーバは、前記接続対象機器から受信したアドレスを第2アドレスフィルタ情報として記憶する。中継サーバは、受信したパケットの送信先が前記第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信する。中継サーバは、受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信する。
【0008】
これにより、オペレータは、中継サーバと選択された接続対象機器との間に確立されたルーティングセッションを利用して通信を行うことができる。また、上記の構成では、オペレータ毎に接続可能な接続対象機器が設定されている。そのため、オペレータがログインに用いる通信装置が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手とルーティングセッションを確立して通信を行うことができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
【0009】
本発明の第2の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、自身(中継サーバ)がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。前記制御部は、接続対象機器取得制御部と、VPN開始制御部と、アドレスフィルタ情報通信制御部と、ルーティングセッション確立制御部と、ルーティング制御部と、を備える。前記接続対象機器取得制御部は、自身(中継サーバ)又は自身が接続可能な他の中継サーバが記憶する情報であって、自身及び前記接続対象機器を含んで構成される中継通信システムにログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。前記VPN開始制御部は、取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部は、オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身(中継サーバ)の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶する。ルーティングセッション確立制御部は、選択された前記接続対象機器に対してルーティングセッションを確立する。ルーティング制御部は、受信したパケットの送信先が、自身(中継サーバ)の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身(中継サーバ)と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する。
【0010】
これにより、構築したVPNを利用して、オペレータがログイン要求を行うために操作した通信装置と、接続対象機器がパケットを転送可能なルーティング対象装置と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、当該オペレータによる接続が可能な接続対象機器の識別情報と、が対応付けられている。そのため、オペレータがログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
【0011】
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、この中継サーバは、自身(中継サーバ)を含む中継サーバの管理を行う管理機能付き中継サーバの識別情報を記憶する管理先情報記憶部を備える。前記接続許可情報は、前記管理機能付き中継サーバによって記憶される。前記制御部は、オペレータからログイン要求を受け付けたときに、前記管理先情報記憶部の記憶内容に基づいて前記管理機能付き中継サーバにアクセスすることにより、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。
【0012】
これにより、管理機能付き中継サーバが接続許可情報を集中的に管理する構成となるため、複数の機器によって接続許可情報を共有させる必要がない。従って、当該機器間における接続許可情報の同期制御が不要となり、中継サーバで行われる処理を軽くすることができる。
【0013】
前記の中継サーバにおいては、以下の構成とすることが好ましい。即ち、この中継サーバは、前記接続許可情報を記憶する接続許可情報記憶部を備える。前記制御部は、オペレータからログイン要求を受け付けたときに、前記接続許可情報記憶部に記憶された前記接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。
【0014】
即ち、上述の構成のように接続許可情報を管理機能付き中継サーバが集中的に管理する場合、オペレータからログイン要求を受け付ける毎に当該中継サーバにアクセスする必要がある。この点、上記の構成では、自身(中継サーバ)の記憶内容を参照するだけで、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得できる。このため、VPNを開始するまでの処理を単純にすることができる。
【0015】
前記の中継サーバにおいては、自身(中継サーバ)又は前記接続対象機器は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶し、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な前記接続対象機器の識別情報をオペレータグループ毎に記憶することが好ましい。
【0016】
これにより、複数のオペレータでチームを作り、当該チームにおいて所定の接続対象機器(及びルーティング対象装置)のメンテナンス等を行っている場合において、接続許可情報記憶部の記憶内容を単純にすることができる。また、このチームを構成するオペレータに変更があった場合においても、当該オペレータの識別情報をオペレータグループから削除又はオペレータグループに追加するだけで良いため、接続許可情報の設定を容易にすることができる。
【0017】
本発明の第3の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、中継サーバと、前記中継サーバに所属するクライアント端末と、を備える。前記中継サーバのうち接続元の中継サーバとして機能する前記中継サーバは、アドレスフィルタ情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、自身(中継サーバ)がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。前記制御部は、接続対象機器取得制御部と、VPN開始制御部と、アドレスフィルタ情報通信制御部と、ルーティングセッション確立制御部と、ルーティング制御部と、を備える。前記接続対象機器取得制御部は、オペレータの識別情報と、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する。前記VPN開始制御部は、取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部は、オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身(中継サーバ)の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶する。ルーティングセッション確立制御部は、選択された前記接続対象機器に対してルーティングセッションを確立する。ルーティング制御部は、受信したパケットの送信先が、自身(中継サーバ)の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する。
【0018】
これにより、構築したVPNを利用して、オペレータがログイン要求を行うために操作した通信装置と、接続対象機器がパケットを転送可能なルーティング対象装置と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、当該オペレータによる接続が可能な接続対象機器の識別情報と、が対応付けられている。そのため、オペレータがログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス範囲を設定することが可能となる。
【図面の簡単な説明】
【0019】
【図1】本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。
【図2】管理機能付きの中継サーバ1の機能ブロック図。
【図3】管理対象の中継サーバ2,3の機能ブロック図。
【図4】中継サーバの通信制御部63の詳細な構成を示す機能ブロック図。
【図5】オペレータ情報の内容を示す図。
【図6】接続許可情報の内容を示す図。
【図7】中継サーバ2とクライアント端末47との間で共有されるアドレスフィルタ情報の内容を示す図。
【図8】本発明におけるVPNを開始する処理の流れを示すシーケンス図。
【図9】通信装置22がファイルサーバ46にパケットを送信するときの経路を説明する図。
【図10】ファイルサーバ46が通信装置22にパケットを送信するときの経路を説明する図。
【図11】中継サーバ2の変形例を示す機能ブロック図。
【図12】オペレータグループ情報の内容を示す図。
【図13】変形例における接続許可情報の内容を示す図。
【発明を実施するための形態】
【0020】
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本発明の一実施形態に係る中継通信システム100の全体構成を示す説明図である。
【0021】
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数の中継サーバ1,2,3と、中継サーバ1,2,3とLAN10,20,30,40,45を介して接続されるクライアント端末11,21,42,47と、で構成されている。また、LAN10,20,30は、それぞれ物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
【0022】
次に、それぞれのLANを説明する。図1に示すように、LAN10には、中継サーバ1と、クライアント端末11と、が接続されている。LAN20には、中継サーバ2と、クライアント端末21と、通信装置22,23と、が接続されている。LAN30には、中継サーバ3と、ファイルサーバ31が接続されている。また、LAN30には、ルータ32を介して別のLAN40が接続されるとともに、ルータ33を介して更に別のLAN45が接続されている。LAN40には、ファイルサーバ41と、クライアント端末42と、が接続されている。LAN45には、ファイルサーバ46と、クライアント端末47と、が接続されている。また、各クライアント端末は、当該クライアント端末に接続された中継サーバを介して、他の中継サーバ又は他の中継サーバに接続されたクライアント端末と通信できる。なお、図1には一部だけが図示されているが、LAN20,30には多数のクライアント端末等が配置されているものとする。
【0023】
この中継通信システム100を運用するにあたっては、LAN20が設置されている場所にオペレータを待機させている。LAN30,40,45には、当該オペレータがメンテナンス等を行う対象であるファイルサーバ31,41,46が配置されている。また、LAN10が設置されている場所はオペレータによるメンテナンス業務を管理する拠点となっており、中継サーバ1には、オペレータ毎のアクセス権限が(後述の接続許可情報として)予め設定されている。オペレータは、通信装置22,23等を用いて、オペレータ自身が有するアクセス権限の範囲内でファイルサーバ31,41,46等にアクセスし、メンテナンスを行う。
【0024】
このように、この中継通信システム100では、オペレータからメンテナンス先へ接続を行うことが想定されている。以下の説明では、中継サーバ2のように、接続元となるLANに接続された中継サーバを接続元の中継サーバと称し、中継サーバ3のように、接続対象となる中継サーバを接続対象の中継サーバと称することがある。また、接続対象の中継サーバと、当該中継サーバに所属するクライアント端末と、をまとめて、接続対象機器と称することがある。
【0025】
次に、図2及び図3を参照して、中継サーバ1,2,3について説明する。図2は、管理機能付き中継サーバである中継サーバ1の機能ブロック図である。図3は、中継サーバ2,3の機能ブロック図である。
【0026】
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続されたクライアント端末と通信可能であるだけでなく、他のLANに配置された中継サーバと通信可能となっている。そのため、中継サーバ1,2,3には、グローバルIPアドレスに加えてプライベートIPアドレスが付与されている。
【0027】
また、本実施形態の中継通信システム100において、当該システムに含まれる中継サーバのうち1つの中継サーバが管理機能付き中継サーバとして動作し、その他の中継サーバが管理対象の中継サーバとして動作するように構成されている。本実施形態では、中継サーバ1が管理機能付き中継サーバとして、残りの中継サーバ2,3が管理対象の中継サーバとして、それぞれ動作するように設定されている。以下では、まず管理機能付きの中継サーバ1を主に説明し、次に管理対象の中継サーバ2,3について説明する。
【0028】
図2に示すように、管理機能付きの中継サーバ1は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
【0029】
インタフェース部70は、プライベートIPアドレスを利用して、LAN10内の端末に対して通信を行うことができる。また、インタフェース部70は、グローバルIPアドレスを利用して、WAN80を経由した通信を行うことができる。
【0030】
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。図2に示すように、制御部60は、インタフェースドライバ61と、LAN側IPパケット処理部62と、通信制御部63と、WAN側IPパケット処理部64と、を備えている。
【0031】
インタフェースドライバ61は、インタフェース部70を制御するドライバソフトウェアである。LAN側IPパケット処理部62は、LAN10から受信したパケットに適宜の処理を行って通信制御部63に出力する。WAN側IPパケット処理部64は、WAN80から受信したパケットに適宜の処理を行って通信制御部63に出力する。
【0032】
通信制御部63は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて送信先を決定し、決定した送信先へ当該パケットを送信する。また、通信制御部63は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。通信制御部63は、図4に示すように、接続対象機器取得制御部631と、VPN開始制御部632と、アドレスフィルタ情報通信制御部633と、ルーティングセッション確立制御部634と、ルーティング制御部635と、を備える。なお、上記の各制御部が行う制御については後述する。
【0033】
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、オペレータ情報記憶部51と、接続許可情報記憶部52と、を備えている。以下、図5及び図6を参照して、記憶部50の記憶内容について説明する。図5は、オペレータ情報の内容を示す図である。図6は、接続許可情報の内容を示す図である。
【0034】
中継サーバ1が備えるオペレータ情報記憶部51は、中継通信システム100にログイン可能なオペレータを特定するための情報及びオペレータの利用状況等を示す情報であるオペレータ情報を記憶している。なお、このオペレータ情報記憶部51は、管理機能付きの中継サーバ1のみが備える構成となっており、図3に示すように、中継サーバ2,3は、このオペレータ情報記憶部51を備えていない。以下、オペレータ情報の内容について具体的に説明する。
【0035】
図5に示すオペレータ情報においては、「オペレータID」と記述された列において、中継通信システム100にログイン可能なオペレータIDの一覧が記述されている。このオペレータIDは、オペレータ毎に設定される固有の文字列で構成されている。また、「パスワード」と記述された列では、同じ行に記述されたオペレータIDを使用して中継通信システム100にログインするために必要なパスワードが記述されている。各オペレータは、自身に設定されたオペレータID及びパスワードを用いて、中継通信システム100にログインすることができる。
【0036】
このオペレータID及びパスワードを用いて、オペレータが中継通信システム100にログインするときの流れを簡単に説明する。オペレータは、通信装置22,23等を用いて中継サーバ2又はクライアント端末21にアクセスし、所定のログイン画面においてオペレータIDとパスワードを入力することにより、中継通信システム100へのログイン要求を行うことができる。このログイン要求を受け付けた中継サーバ2又はクライアント端末21は、この入力内容を中継サーバ1に送信する。この入力内容を受信した中継サーバ1は、オペレータが入力したオペレータID及びパスワードについて、オペレータ情報記憶部51が記憶するオペレータ情報と照合するとともに、他の中継サーバを介して当該オペレータIDが既にログイン済みか否かを判定する。中継サーバ1は、この結果に基づいてログインの可否を決定する。
【0037】
図5には、中継サーバ1のオペレータ情報記憶部51が記憶するオペレータ情報の例が示されている。このオペレータ情報記憶部51において、「使用機器情報」と記述された列では、同じ行に記述されたオペレータIDを使用してオペレータが中継通信システム100にログイン済みである場合に、当該オペレータが中継通信システム100へのログインに使用している中継通信システム100側の機器(具体的には、通信装置22,23ではなく、中継サーバ2又はクライアント端末21を示す。以下使用機器と称する)に関する情報(使用機器情報)が記述されている。
【0038】
具体的には、オペレータが中継サーバを使用してログインしている場合は、当該中継サーバの識別情報が使用機器情報となる。例えば、図1におけるオペレータ92が通信装置22を介して中継サーバ2にログインした場合は、中継サーバ1のオペレータ情報記憶部51では、図5に示すように、その中継サーバ2の識別情報が、オペレータ92のオペレータID(Op2)に対応付けた使用機器情報として記述される。
【0039】
一方、オペレータがクライアント端末を使用してログインしている場合は、当該クライアント端末の識別情報と、当該クライアント端末の所属先である中継サーバの識別情報と、の両方が使用機器情報となる。例えば、図1におけるオペレータ91が通信装置23を介してクライアント端末21にログインした場合は、中継サーバ1のオペレータ情報記憶部51では、当該クライアント端末21の識別情報及び中継サーバ2の識別情報が、図5に示すように、オペレータ91のオペレータID(Op1)に対応付けた使用機器情報として記述される。
【0040】
なお、オペレータが中継通信システム100にログインしていない場合は、使用機器情報は空欄となる(図5のOp3及びOp4に対応する使用機器情報を参照)。
【0041】
オペレータ情報記憶部51が記憶するオペレータ情報のうち、ログイン可能なオペレータIDの一覧と、当該オペレータID毎に設定されるパスワードと、は各オペレータ及び管理者等によって予め設定されている。一方、使用機器情報は、オペレータがログイン又はログアウトする度に最新の情報に更新される。
【0042】
接続許可情報記憶部52は、中継通信システム100にログイン可能なオペレータのアクセス権限を示す接続許可情報を記憶している。なお、この接続許可情報記憶部52は、本実施形態では管理機能付きの中継サーバ1のみが備える構成となっており、図3に示すように、中継サーバ2,3は、この接続許可情報記憶部52を備えていない。以下、接続許可情報の内容について具体的に説明する。
【0043】
図6に示す接続許可情報においては、「オペレータID」と記述された列において、中継通信システム100にログイン可能なオペレータIDの一覧が記述されている。また、「接続対象機器の識別情報」と記述された列では、同じ行に記述されたオペレータIDを用いて接続することが許可されている前記接続対象機器の識別情報が記述されている。具体的には、オペレータ92(オペレータID=Op2)が通信装置22を操作して中継サーバ2にアクセスし、当該中継サーバ2を使用して中継通信システム100にログインしたときには、当該オペレータ92は、この中継サーバ2(使用機器)と、図6の接続許可情報においてオペレータ92に対応している接続対象機器(具体的にはクライアント端末42又はクライアント端末47)と、の接続を利用することができる。この場合、この中継サーバ2(使用機器)を始点とし、中継サーバ3を経由して、クライアント端末42又はクライアント端末47を終点とするルーティングセッションが確立されるとともに、このルーティングセッションを利用した仮想プライベートネットワーク(VPN)が構築される。
【0044】
ここで、接続許可情報記憶部52が記憶する接続許可情報(図6)においては、接続対象機器が、(使用機器の識別情報ではなく)オペレータIDと対応付けられている。このため、オペレータ92がログイン時に使用した機器が異なる場合においても、接続可能な接続対象機器は上記と同じである。例えば、仮にオペレータ92が通信装置23を操作してクライアント端末21にアクセスし、当該クライアント端末21を使用して中継通信システム100にログインした場合は、このクライアント端末21(使用機器)を始点とし、中継サーバ2及び中継サーバ3を経由して、クライアント端末42又はクライアント端末47を終点とするルーティングセッションが確立されるとともに、このルーティングセッションを利用したVPNが構築される。
【0045】
次に、図7等を参照して、中継サーバ2,3の構成について説明する。図7は、アドレスフィルタ情報記憶部の記憶内容を示す図である。なお、中継サーバ3は、中継サーバ2と略同等の構成であるため、代表して中継サーバ2について説明する。
【0046】
中継サーバ2は、中継サーバ1と同等に構成される制御部60及びインタフェース部70を備える。一方、中継サーバ2の記憶部50は、中継サーバ1の記憶部50と、その記憶内容の一部が異なっている。具体的には、中継サーバ2は、記憶部50内において、管理先情報記憶部53と、アドレスフィルタ情報記憶部54と、を備えている。
【0047】
管理先情報記憶部53は、自身を管理対象とする管理機能付き中継サーバである中継サーバ1の識別情報を記憶している。従って、中継サーバ2は、この管理先情報記憶部53の記憶内容を参照することにより、管理機能付き中継サーバである中継サーバ1にアクセスすることができる。なお、メンテナンス等の事情で管理機能付き中継サーバが変更された場合は、その旨が他の中継サーバに通知され、管理先情報記憶部53の記憶内容が更新される。
【0048】
アドレスフィルタ情報記憶部54は、オペレータが中継サーバ2にログインした結果として当該中継サーバ2が他の機器とルーティングセッションを形成し、このルーティングセッションを利用したVPNが構築された場合に、どのような送信先を有するパケットであれば中継サーバ2が当該パケットの転送を行うのかを示すアドレスフィルタ情報を記憶している。なお、以下の説明では、他の機器とルーティングセッションを形成してパケットの転送を行う機器をルーティング機器と称することがある。本実施形態では、中継サーバがルーティング機器として機能することも、クライアント端末がルーティング機器として機能することもできるようになっているが、中継サーバ2のアドレスフィルタ情報記憶部54は、当該中継サーバ2がルーティング機器として機能する場合に使用されるものである。
【0049】
図7(a)には、アドレスフィルタ情報記憶部54の記憶内容の概要が例示されている。図7(a)において、右側の「ルーティング対象装置」の列は、転送が許可されるパケットの送信先の機器を示している。従って、図7(a)の例でいうと、中継サーバ2がルーティング機器として機能する場合、当該中継サーバ2が受信したパケットの送信先がファイルサーバ46又は通信装置22であれば、中継サーバ2は当該パケットを他の機器へ転送する。この場合の転送先としては、他のルーティング機器である場合と、パケットの送信先そのものである場合と、の2通りが考えられる。一方で、パケットの送信先が上記の機器の何れでもない場合は、当該パケットを転送しない。
【0050】
従って、この「ルーティング対象装置」の列が、アドレスフィルタ情報に相当する。このアドレスフィルタ情報は、上記のとおり、パケットの転送の可否をその送信先に基づいて判断する(パケットをフィルタリングする)ために用いられる。
【0051】
図7(a)の左側の「ルーティング機器」の列は、右側の列で示されるパケットの送信先に対して、パケットを直接的に送信可能なルーティング機器を示している。ここで、「直接的に送信可能」とは、ルーティング機器が、他のルーティング機器を経由させずに、その送信先にパケットを送信可能であることをいう。
【0052】
図7(a)の表に示すように、アドレスフィルタ情報記憶部54において、アドレスフィルタ情報は、当該アドレスフィルタ情報が示す送信先に対してパケットを直接的に送信可能なルーティング機器(自身を含む)に対応付けられた形で記憶される。従って、図7(a)の表は、転送を許可するパケットをフィルタリングする際に参照されるだけでなく、パケットの転送経路を決定する(パケットをルーティングする)目的でも用いられる。以下の説明では、図7(a)のように、VPNを構築する際に使用される自身及びそれ以外のルーティング機器と、それぞれに対応付けたアドレスフィルタ情報と、を含む情報を、パケット転送制御情報と呼ぶことがある。
【0053】
即ち、図7(a)の例に照らせば、中継サーバ2が受信したパケットの送信先が通信装置22である場合は、中継サーバ2は他のルーティング機器を介さず当該パケットを通信装置22に送信することができる。従って、中継サーバ2は、受信したパケットを通信装置22に転送する。このように、自身と対応付けられたアドレスフィルタ情報(即ち、自身がパケットを転送可能なアドレス)を、以下では第1アドレスフィルタ情報と称することがある。
【0054】
一方で、中継サーバ2が受信したパケットの送信先がファイルサーバ46である場合は、図7(a)によると、当該パケットをファイルサーバ46に届けるためには、他のルーティング機器であるクライアント端末47を経由させなければならないことが分かる。従って、中継サーバ2は先ずパケットを、中継サーバ3を介して、クライアント端末47に転送する。このパケットを受信したクライアント端末47は、ルーティング機器として機能し、当該パケットを更にファイルサーバ46へ転送する。このように、他のルーティング機器と対応付けられたアドレスフィルタ情報(即ち、他のルーティング機器がパケットを転送可能なアドレス)を、以下では第2アドレスフィルタ情報と称することがある。このように、中継サーバ2は、第1アドレスフィルタ情報と第2アドレスフィルタ情報とを記憶する手段(アドレスフィルタ情報記憶部54)を備えている。
【0055】
図7(b)にはアドレスフィルタ情報記憶部54の具体的な記憶内容が示されるが、この実質的な意味は図7(a)と同様である。この図7(b)に示すように、アドレスフィルタ情報記憶部54は、VPNで用いられるそれぞれのルーティング機器の識別情報と、当該ルーティング機器がパケットを直接的に送信可能なルーティング対象装置のIPアドレス及び名称と、を対応付けて記憶している。
【0056】
図7(b)の右側の列の「ルーティング対象装置の名称」としては、例えば、機器の種類(処理装置、通信装置、ファイルサーバ等)及び配置される場所等を考慮する等して、ユーザが任意の名称を設定することができる。この設定されたルーティング装置の名称は、中継サーバ2に接続される通信装置22等に表示させることができる。また、中継サーバ2は、装置の名称を表示するだけでなく、当該装置を使用機器として中継通信システム100にログインしているオペレータのオペレータID等を中継サーバ1に問い合わせることで取得し、これを通信装置22等に表示するように構成することもできる。以上の構成により、パケット転送先のルーティング対象装置等を分かり易く管理することができる。
【0057】
中継サーバ2は、以上のように構成される。なお、クライアント端末11,21,42,47の構成については詳細な説明を省略するが、中継サーバ2と実質的に同様に構成された記憶部50及び制御部60を備えている。特に、クライアント端末は、中継サーバ2,3が備えるアドレスフィルタ情報記憶部54と同様の内容を記憶可能なアドレスフィルタ情報記憶部を備えている。
【0058】
次に、それぞれのルーティング機器(中継サーバ及びクライアント端末)において、図7に示すような前記パケット転送制御情報を作成する処理について説明する。パケット転送制御情報は、上述のとおり、VPNの実現のためにルーティング機器が行うパケット転送制御のルールを定めるものである。一方、本実施形態の中継通信システム100では、構成機器が互いに異なるVPNを複数構築することができる。このような中継通信システム100を実現するために、中継サーバ及びクライアント端末が備えるアドレスフィルタ情報記憶部は、パケット転送制御情報をVPN毎に記憶できるようになっている。即ち、新しいVPNが構築される毎に、新しいパケット転送制御情報が作成されて、これがルーティング機器のアドレスフィルタ情報記憶部に記憶されることになる。
【0059】
VPNのための前記ルーティングセッションは、オペレータがログインした使用機器と、VPNの作成を指示するときにオペレータが指定した接続対象機器と、の間で形成される。即ち、VPNを作成するにあたっては、ルーティング機器として機能する前記使用機器及び接続対象機器のそれぞれにおいて、図7に示すようなパケット転送制御情報を作成してアドレスフィルタ情報記憶部に記憶することになる。
【0060】
このため、VPNの構築時には、ルーティング機器として機能することになった中継サーバ又はクライアント端末は、自身に対応付けられたアドレスフィルタ情報を相手側のルーティング機器に送信できるようになっている。このアドレスフィルタ情報の交換により、それぞれのルーティング機器は、自身に対応付けられたアドレスフィルタ情報と他のルーティング機器に対応付けられたアドレスフィルタ情報を合成して、図7に示すようなパケット転送制御情報を作成し、自身が備えるアドレスフィルタ情報記憶部に記憶する。
【0061】
このとき、自身に対応付けられたアドレスフィルタ情報としては、自身(ルーティング機器)が使用機器であるか接続対象機器であるかに応じて、異なるものが採用される。即ち、ルーティング機器として機能する可能性がある中継サーバ及びクライアント端末は、アドレスフィルタ情報記憶部に、自身がパケットを直接的に送信可能な装置を示すように予め設定されたアドレスフィルタ情報(以下、既定アドレスフィルタ情報と呼ぶことがある)を少なくとも記憶している。そして、中継サーバ又はクライアント端末は、自身が接続対象機器として指定されることによりルーティング機器として機能する場合、VPNの構築時に、前記既定アドレスフィルタ情報を、自身に対応付けられたアドレスフィルタ情報とする。
【0062】
一方、自身が使用機器になった結果(自身をオペレータがログインに使用した結果)、ルーティング機器として機能することになった場合、中継サーバ又はクライアント端末は、VPNの構築時に、前記既定アドレスフィルタ情報ではなく、自身へのログインのためにオペレータによって直接操作された機器のアドレスを、自身に対応付けられたアドレスフィルタ情報とする。
【0063】
次に、主に図8を参照して、オペレータ92が中継通信システム100にログインしてVPNを構築するときの具体的な流れを説明する。図8は、本発明におけるVPNを開始する処理の流れを示すシーケンス図である。
【0064】
オペレータ92は、上述のように、通信装置22に適宜の操作を行って中継サーバ2にアクセスし、当該中継サーバ2を使用機器としたログイン要求を行う。このログイン要求では、オペレータIDとパスワードの入力が求められる。そして、オペレータ92が、自身に対応するオペレータID(Op2)及びパスワード(def)を入力して、入力内容を確定させることにより、中継サーバ2はログイン要求を受け付ける(シーケンス番号1)。このように、中継サーバ2は、ログイン操作するオペレータの識別情報を受け付ける手段を備えている。そして、中継サーバ2は、入力されたオペレータID、パスワード、及び使用機器情報(具体的には中継サーバ2の識別情報)とともに、ログイン要求を中継サーバ1に対して送信する(シーケンス番号2)。
【0065】
このログイン要求等を受信した中継サーバ1は、図5に示すオペレータ情報に基づいて、オペレータIDとパスワードの認証を行う(シーケンス番号3)。また、中継サーバ1は、同一のオペレータIDでの多重ログインを防止するために、入力されたオペレータIDを使用したログインが他に行われているか否かを判定する(シーケンス番号4)。そして、オペレータの認証に成功し、かつ多重ログインが行われていない場合、中継サーバ1はログインを許可し、オペレータ情報記憶部51のオペレータ情報を更新する(シーケンス番号5)。つまり、Op2と対応する使用機器情報として、中継サーバ2の識別情報を記憶する。
【0066】
そして、中継サーバ1は、接続許可情報記憶部52が記憶する接続許可情報を参照し、ログインを許可したオペレータ92による接続が可能な接続対象機器のリストを読み出す(シーケンス番号6)。今回の例では、図6に示す接続許可情報において、オペレータ92にはクライアント端末42,47が対応付けられている。従って、中継サーバ1は、クライアント端末42,47の識別情報を、ログインを許可する旨とともに、中継サーバ2に対して送信する(シーケンス番号7)。
【0067】
中継サーバ2の接続対象機器取得制御部631は、この通知に基づいて、オペレータ92による接続可能な接続対象機器(即ち、クライアント端末42,47)を取得することができる。つまり、中継サーバ2は、オペレータが接続可能な接続対象機器のリストを取得する手段を備えている。また、中継サーバ2は、オペレータ92による接続が可能な接続対象機器を、ログインが許可された旨とともに、通信装置22に表示する(シーケンス番号8)。そして、オペレータ92が、クライアント端末42,47のうち、ルーティング機器(接続対象機器)として機能させる対象としてクライアント端末47を選択したものとする。中継サーバ2はオペレータの選択を受け付ける手段を備えており、オペレータの選択を受け付けると(シーケンス番号9)、オペレータ92がログイン要求時に直接操作した通信装置22のIPアドレスを、中継サーバ2の識別情報と対応付けて、第1アドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する(シーケンス番号10)。具体的には、図7の表における下段の情報がアドレスフィルタ情報記憶部54に記憶される。次に、中継サーバ2のVPN開始制御部632によって、VPNの開始コマンドが中継サーバ3を介してクライアント端末47に送信されるとともに、アドレスフィルタ情報通信制御部633によって、自身の識別情報と対応付けて記憶したアドレスフィルタ情報(第1アドレスフィルタ情報)が中継サーバ3を介してクライアント端末47に送信される(シーケンス番号11)。
【0068】
この開始コマンドを受信したクライアント端末47は、受信したアドレスフィルタ情報をアドレスフィルタ情報記憶部に記憶する(シーケンス番号12)。ここで、上述のように、クライアント端末47のアドレスフィルタ情報記憶部には、自身(クライアント端末47)の識別情報と対応付けた形で、ファイルサーバ46を指定するアドレスフィルタ情報が予め(前記既定アドレスフィルタ情報として)記憶されている。従って、クライアント端末47のアドレスフィルタ情報記憶部には、図7に示すように、2つのアドレスフィルタ情報からなるパケット転送制御情報が記憶されることとなる。クライアント端末47は、信号を受信した旨とともに、自身に対応付けられたアドレスフィルタ情報(図7の表の上段の情報)を、中継サーバ3を介して中継サーバ2に対して送信する(シーケンス番号13)。
【0069】
中継サーバ2は、クライアント端末47からの応答を受けて、受信したアドレスフィルタ情報を第2アドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する(シーケンス番号14)。これにより、中継サーバ2のアドレスフィルタ情報記憶部54にも、図7に示すように、2つのアドレスフィルタ情報からなるパケット転送制御情報が記憶されることとなる。以上のようにして、中継サーバ2とクライアント端末47との間で、アドレスフィルタ情報の交換が完了する。アドレスフィルタ情報の交換後においては、中継サーバ2のアドレスフィルタ情報記憶部54及びクライアント端末47のアドレスフィルタ情報記憶部は、ともに図7に示す内容を記憶している。
【0070】
中継サーバ2はルーティングセッションを確立する手段(ルーティングセッション確立制御部634)を備えており、クライアント端末47とルーティングセッションを確立するための通信制御を、中継サーバ3を介して当該クライアント端末47に行う(シーケンス番号15)。これにより、中継サーバ2を始点として、中継サーバ3を経由して、クライアント端末47を終点とするルーティングセッションが確立される。
【0071】
なお、上記では、使用機器としての中継サーバ2と、接続対象機器としてのクライアント端末47と、の間にルーティングセッションを確立する処理を説明したが、上記以外の組み合わせでルーティングセッションを確立することも勿論可能である。例えば、オペレータ91が通信装置23からクライアント端末21にアクセスし、当該クライアント端末21を使用機器として中継通信システム100にログインした場合について考える。図6に示すように、オペレータ91は中継サーバ3との接続が許可されている。従って、この場合では、クライアント端末21を始点として、中継サーバ2を経由して、中継サーバ3を終点とするルーティングセッションを確立させることができる。このときのルーティング機器(クライアント端末21及び中継サーバ3)のアドレスフィルタ情報記憶部には、クライアント端末21の識別情報に対応付けた形で、通信装置23のアドレスがアドレスフィルタ情報として記憶される。
【0072】
次に、確立したルーティングセッションを利用して中継サーバ2のルーティング制御部635が行うルーティング制御について説明する。図9は、通信装置22がファイルサーバ46にパケットを送信するときの経路を説明する図である。図10は、ファイルサーバ46が通信装置22にパケットを送信するときの経路を説明する図である。
【0073】
初めに、図9に示す第1パケット(packet01)を中継サーバ2が受信した場合の処理について説明する。この第1パケットは通信装置22が送信したものであり、送信先アドレスとしてファイルサーバ46のIPアドレス(192.168.45.100)が指定されている。
【0074】
中継サーバ2は、この第1パケットを受信すると、アドレスフィルタ情報記憶部54の記憶内容(図7)を第1パケットの送信先アドレスと比較する。そして、第1パケットに記された送信先に対してパケットを直接的に送信可能なルーティング機器を調べる。図7に示すように、第1パケットの送信先アドレス(192.168.45.100)は、クライアント端末47に対応付けられたアドレスフィルタ情報(第2アドレスフィルタ情報)として記憶されている。従って、中継サーバ2は第1パケットの転送を許可し、中継サーバ2とクライアント端末47との間に確立されたルーティングセッションを介して、クライアント端末47を最終的な送信先として、第1パケットを中継サーバ3に送信する。
【0075】
この第1パケットを受信したクライアント端末47も中継サーバ2と同様に、アドレスフィルタ情報記憶部の記憶内容(図7)を、第1パケットの送信先アドレスと比較する。この結果、クライアント端末47は、第1パケットに記された送信先(192.168.45.100)が第1アドレスフィルタ情報として記憶されていることから、自身がパケットを直接的に送信可能なことを検出する。従って、クライアント端末47は第1パケットの転送を許可し、当該第1パケットをファイルサーバ46に対して送信する。
【0076】
次に、図10に示す第2パケット(packet02)をクライアント端末47が受信した場合の処理について説明する。この第2パケットはファイルサーバ46が送信したものであり、送信先アドレスとして通信装置22のIPアドレス(200.1.20.100)が指定されている。
【0077】
クライアント端末47は、この第2パケットを受信した後に、上記と同様に処理を行い、第2パケットの送信先アドレス(200.1.20.100)が、中継サーバ2に対応付けられたアドレスフィルタ情報によって指定されていることを検出する。従って、クライアント端末47は第2パケットの転送を許可し、クライアント端末47と中継サーバ2との間に確立されたルーティングセッションを介して、中継サーバ2を最終的な送信先として、第2パケットを中継サーバ3に送信する。
【0078】
この第2パケットを受信した中継サーバ2も、上記同様に処理を行い、第2パケットの送信先アドレス(200.1.20.100)が、自身(中継サーバ2)に対応付けられたアドレスフィルタ情報によって指定されていることを検出する。従って、中継サーバ2は第2パケットの転送を許可し、当該第2パケットを通信装置22に対して送信する。
【0079】
このように、本実施形態では、アプリケーション層のルーティングセッションで、ルーティング対象のデータを流すように構成されている。従って、以上で説明したルーティングは、通常のIPルーティングとは異なっている。
【0080】
アプリケーション層でルーティングを行うことにより、WANを意識することなく、遠隔地のLAN同士がプライベートIPアドレスを利用して相互に通信することができる。また、上述のように、ルーティング機器は、パケットの転送先として指定可能なルーティング対象装置の名称を表示可能となっている。そのため、ユーザは、VPNを用いてどの機器にパケットを送信可能であるかを容易に認識することができる。
【0081】
以上に示したように、本実施形態の中継サーバ2は、自身がパケットを転送可能なアドレスである第1アドレスフィルタ情報と、他の接続対象機器であるクライアント端末47がパケットを転送可能なアドレスである第2アドレスフィルタ情報と、を記憶する手段(アドレスフィルタ情報記憶部54)を備えている。また、中継サーバ2は、LAN20で接続された通信装置22を介してログイン操作するオペレータ92の識別情報を受け付ける手段と、ログインを受け付けたオペレータ92の識別情報(Op2)に基づいて、当該オペレータ92が接続可能な接続対象機器のリストを取得する手段と、接続可能な前記接続対象機器のリストの中からオペレータ92による接続対象機器(クライアント端末47)の選択を受け付ける手段と、オペレータ92に選択されたクライアント端末47とルーティングセッションを確立する手段(ルーティングセッション確立制御部634)と、を備える。中継サーバ2は、オペレータ92がログイン操作した通信装置22のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置22のアドレスをクライアント端末47へ送信する。中継サーバ2は、クライアント端末47から受信したファイルサーバ46のアドレスを第2アドレスフィルタ情報として記憶する。中継サーバ2は、受信したパケットの送信先が第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信する。中継サーバ2は、受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信する。
【0082】
これにより、オペレータ92は、中継サーバ2と、選択されたクライアント端末47と、の間に確立されたルーティングセッションを利用して通信を行うことができる。また、上記の構成では、オペレータ毎に接続可能な接続対象機器が設定されている。そのため、オペレータ92がログインに用いる通信装置が変更されても、以前と同一の相手とルーティングセッションを確立して通信を行うことができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
【0083】
また、本実施形態の中継サーバ2は、アドレスフィルタ情報記憶部54と、制御部60と、を備える。アドレスフィルタ情報記憶部54は、中継サーバ2がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を中継サーバ2の識別情報と対応付けて記憶可能であるとともに、中継サーバ2と接続可能な接続対象機器がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能である。中継サーバ2が接続可能な管理機能付きの中継サーバ1においては、中継通信システム100にログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、が対応付けられた接続許可情報を記憶している。制御部60は、接続対象機器取得制御部631と、VPN開始制御部632と、アドレスフィルタ情報通信制御部633と、ルーティングセッション確立制御部634と、ルーティング制御部635と、を備える。接続対象機器取得制御部631は、管理機能付きの中継サーバ1が記憶する接続許可情報に基づいて、ログイン要求を行ったオペレータ92が接続可能な接続対象機器(クライアント端末42,47)を取得する。VPN開始制御部632は、中継サーバ2の制御部60は、読み出した接続対象機器のうち選択されたクライアント端末47に対して仮想プライベートネットワークの開始処理を行う。アドレスフィルタ情報通信制御部633は、オペレータ92がログイン要求を行うために操作した通信装置22のアドレスを、自身(中継サーバ2)の識別情報と対応付けたアドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶するとともに当該アドレスフィルタ情報をクライアント端末47に送信し、クライアント端末47から受信したアドレスフィルタ情報を、当該クライアント端末47の識別情報と対応付けたアドレスフィルタ情報としてアドレスフィルタ情報記憶部54に記憶する。ルーティングセッション確立制御部634は、クライアント端末47に対してルーティングセッションを確立する。ルーティング制御部635は、受信したパケットの送信先が、中継サーバ2の識別情報と対応付けられたアドレスフィルタ情報において指定されているとき(例えば送信先が通信装置22であるとき)は、当該送信先にパケットを送信し、受信したパケットの送信先がクライアント端末47の識別情報と対応付けられたアドレスフィルタ情報において指定されているとき(例えば送信先がファイルサーバ46であるとき)は、中継サーバ2とクライアント端末47との間に確立されたルーティングセッションを介して当該クライアント端末47にパケットを送信する。
【0084】
これにより、構築したVPNを利用して、オペレータ92がログイン要求を行うために操作した通信装置22と、クライアント端末47がパケットを転送可能なファイルサーバ46と、の間で通信を行うことができる。また、接続許可情報では、オペレータの識別情報と、接続対象機器の識別情報と、が対応付けられている。そのため、例えばオペレータ92は、通信装置22を操作して中継サーバ2にログインする場合は、中継サーバ2及びクライアント端末47をルーティング機器とし、当該通信装置22とファイルサーバ46との間でVPNを構築することができる。そして、ログアウトしたオペレータ92が、今度は通信装置23を操作してクライアント端末21にログインする場合は、クライアント端末21及びクライアント端末47をルーティング機器とし、通信装置23とファイルサーバ46との間でVPNを構築することができる。このように、ログインに用いる機器が変更されても、ログインを行うオペレータが同一であれば、以前と同一の相手を含むようなVPNをその場で容易に構築して利用することができる。また、オペレータ毎に異なるアクセス制御を容易に行うことができる。
【0085】
また、本実施形態の中継サーバ2は、管理機能付き中継サーバである中継サーバ1の識別情報を記憶する管理先情報記憶部53を備える。接続許可情報は、中継サーバ1によって記憶される。中継サーバ2の制御部60は、オペレータ92からログイン要求を受け付けたときに、管理先情報記憶部53の記憶内容に基づいて中継サーバ1にアクセスすることにより、ログイン要求を行ったオペレータ92が接続可能な接続対象機器(クライアント端末42,47)を取得する。
【0086】
これにより、中継サーバ1が接続許可情報を集中的に管理する構成となるため、複数の機器によって接続許可情報を共有させる必要がない。従って、当該機器間における接続許可情報の同期制御が不要となり、中継サーバで行われる処理を軽くすることができる。
【0087】
次に、上記実施形態の変形例について、図11から図13までを参照して説明する。図11は、中継サーバ2の変形例を示す機能ブロック図である。図12は、オペレータグループ情報の内容を示す図である。図13は、変形例における接続許可情報の内容を示す図である。なお、以下の変形例の説明において、上記実施形態と同一又は類似の構成については、同一の符号を付して説明を省略する場合がある。
【0088】
図11に示すように、本変形例の中継サーバ2は、オペレータ情報記憶部51と、接続許可情報記憶部521と、アドレスフィルタ情報記憶部54と、オペレータグループ情報記憶部55と、を備える。
【0089】
このように、本変形例では、上記実施形態で中継サーバ1が備えていたオペレータ情報記憶部51及び接続許可情報記憶部52を、中継サーバ2が備える構成となっている。そのため、本変形例の中継サーバ2は、管理機能付き中継サーバとして機能するとともに、接続元の中継サーバとして機能する。従って、本変形例では、接続元の中継サーバとしての中継サーバ2と、接続対象の中継サーバとしての中継サーバ3(上記実施形態と同じ構成)において、上記実施形態と同様の中継通信システム100が実現できる。
【0090】
また、本変形例では、1又は複数のオペレータで構成されるオペレータグループが作成されており、このオペレータグループに関する情報が中継サーバ2のオペレータグループ情報記憶部55に記憶されている。オペレータグループ情報記憶部55は、複数のオペレータで構成されるオペレータグループを、図12に示すように、グループの名称と、当該オペレータグループを構成する(オペレータグループに所属する)オペレータのオペレータIDと、を用いて記憶している。
【0091】
そして、本変形例の接続許可情報記憶部521は、図13に示すように、上記オペレータグループの名称と、接続対象機器の識別情報と、を対応付けて記憶している。従って、図13の例では、グループ1に所属するオペレータ(オペレータIDがOp1,Op2,Op3であるオペレータ)がクライアント端末21を使用機器としてログインした場合は、当該クライアント端末21と、中継サーバ3と、の接続を利用することができる。なお、オペレータのログイン処理及びVPNの構築処理については、上記実施形態と同様であるため説明を省略する。
【0092】
以上に示したように、本変形例の中継サーバ2は、接続許可情報を記憶する接続許可情報記憶部521を備える。制御部60は、オペレータからログイン要求を受け付けたときに、接続許可情報記憶部521の記憶内容に基づいて、ログイン要求を行ったオペレータが接続可能な接続対象機器を取得する。
【0093】
これにより、中継サーバ2は、自身の記憶内容を参照するだけで、ログイン要求を行ったオペレータが接続可能な接続対象機器を取得できる。このため、VPNを開始するまでの処理を単純にすることができる。
【0094】
また、本変形例の中継サーバ2は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶するオペレータグループ情報記憶部55を備える。接続許可情報記憶部521は、仮想プライベートネットワークを構築する際にオペレータによる接続が可能な接続対象機器の識別情報をオペレータグループ毎に記憶する。
【0095】
これにより、複数のオペレータでチームを作り、当該チームにおいて所定の接続対象機器(及びルーティング対象装置)のメンテナンス等を行っている場合において、接続許可情報記憶部521の記憶内容を単純にすることができる。そのため、この構成は、中継通信システム100においてメンテナンスを行うオペレータが多い場合に特に好適である。また、このチームを構成するオペレータに変更があった場合においても、当該オペレータの識別情報をオペレータグループから削除又はオペレータグループに追加するだけで良いため、接続許可情報の設定を容易にすることができる。
【0096】
以上に本発明の好適な実施の形態を説明したが、上記の構成は例えば以下のように変更することができる。
【0097】
上記のオペレータ情報、オペレータグループ情報、利用状況情報等は、適宜の形式(例えばXML形式)で格納することができる。
【0098】
上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。
【符号の説明】
【0099】
1,2,3 中継サーバ
11,21,42,47 クライアント端末
10,20,30,40,45 LAN
50 記憶部
51 オペレータ情報記憶部
52 接続許可情報記憶部
53 管理先情報記憶部
54 アドレスフィルタ情報記憶部
60 制御部
100 中継通信システム
【特許請求の範囲】
【請求項1】
自身がパケットを転送可能なアドレスである第1アドレスフィルタ情報と、他の中継サーバ及びクライアント端末を示す接続対象機器がパケットを転送可能なアドレスである第2アドレスフィルタ情報と、を記憶する手段と、
LANで接続された通信装置を介してログイン操作するオペレータの識別情報を受け付ける手段と、
ログインを受け付けたオペレータの識別情報に基づいて、当該オペレータが接続可能な前記接続対象機器のリストを取得する手段と、
接続可能な前記接続対象機器のリストの中からオペレータによる前記接続対象機器の選択を受け付ける手段と、
オペレータに選択された前記接続対象機器とルーティングセッションを確立する手段と、
を備え、
オペレータがログイン操作した前記通信装置のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置のアドレスを前記接続対象機器へ送信し、
前記接続対象機器から受信したアドレスを第2アドレスフィルタ情報として記憶し、
受信したパケットの送信先が前記第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信し、
受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信することを特徴とする中継サーバ。
【請求項2】
自身がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能であるアドレスフィルタ情報記憶部と、
制御部と、
を備え、
前記制御部は、
自身又は自身が接続可能な他の中継サーバが記憶する情報であって、自身及び前記接続対象機器を含んで構成される中継通信システムにログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する接続対象機器取得制御部と、
取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行うVPN開始制御部と、
オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するアドレスフィルタ情報通信制御部と、
選択された前記接続対象機器に対してルーティングセッションを確立するルーティングセッション確立制御部と、
受信したパケットの送信先が、自身の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する制御と、を行うルーティング制御部と、
を備えることを特徴とする中継サーバ。
【請求項3】
請求項2に記載の中継サーバであって、
自身を含む中継サーバの管理を行う管理機能付き中継サーバの識別情報を記憶する管理先情報記憶部を備え、
前記接続許可情報は、前記管理機能付き中継サーバによって記憶され、
前記制御部は、オペレータからログイン要求を受け付けたときに、前記管理先情報記憶部の記憶内容に基づいて前記管理機能付き中継サーバにアクセスすることにより、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得することを特徴とする中継サーバ。
【請求項4】
請求項2に記載の中継サーバであって、
前記接続許可情報を記憶する接続許可情報記憶部を備え、
前記制御部は、オペレータからログイン要求を受け付けたときに、前記接続許可情報記憶部に記憶された前記接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得することを特徴とする中継サーバ。
【請求項5】
請求項1から4までの何れか一項に記載の中継サーバであって、
自身又は前記接続対象機器は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶し、オペレータによる接続が可能な前記接続対象機器の識別情報をオペレータグループ毎に記憶することを特徴とする中継サーバ。
【請求項6】
中継サーバと、
前記中継サーバに所属するクライアント端末と、
を備える中継通信システムであって、
前記中継サーバのうち接続元の中継サーバとして機能する前記中継サーバは、
自身がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能であるアドレスフィルタ情報記憶部と、
制御部と、
を備え、
前記制御部は、
オペレータの識別情報と、オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する接続対象機器取得制御部と、
取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行うVPN開始制御部と、
オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するアドレスフィルタ情報通信制御部と、
選択された前記接続対象機器に対してルーティングセッションを確立するルーティングセッション確立制御部と、
受信したパケットの送信先が、自身の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信するルーティング制御部と、
を備えることを特徴とする中継通信システム。
【請求項1】
自身がパケットを転送可能なアドレスである第1アドレスフィルタ情報と、他の中継サーバ及びクライアント端末を示す接続対象機器がパケットを転送可能なアドレスである第2アドレスフィルタ情報と、を記憶する手段と、
LANで接続された通信装置を介してログイン操作するオペレータの識別情報を受け付ける手段と、
ログインを受け付けたオペレータの識別情報に基づいて、当該オペレータが接続可能な前記接続対象機器のリストを取得する手段と、
接続可能な前記接続対象機器のリストの中からオペレータによる前記接続対象機器の選択を受け付ける手段と、
オペレータに選択された前記接続対象機器とルーティングセッションを確立する手段と、
を備え、
オペレータがログイン操作した前記通信装置のアドレスを第1アドレスフィルタ情報として記憶し、当該通信装置のアドレスを前記接続対象機器へ送信し、
前記接続対象機器から受信したアドレスを第2アドレスフィルタ情報として記憶し、
受信したパケットの送信先が前記第1アドレスフィルタ情報として記憶されている場合には、送信先へパケットを送信し、
受信したパケットの送信先が前記第2アドレスフィルタ情報として記憶されている場合には、前記ルーティングセッションへパケットを送信することを特徴とする中継サーバ。
【請求項2】
自身がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能であるアドレスフィルタ情報記憶部と、
制御部と、
を備え、
前記制御部は、
自身又は自身が接続可能な他の中継サーバが記憶する情報であって、自身及び前記接続対象機器を含んで構成される中継通信システムにログイン可能なオペレータの識別情報と、当該オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する接続対象機器取得制御部と、
取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行うVPN開始制御部と、
オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するアドレスフィルタ情報通信制御部と、
選択された前記接続対象機器に対してルーティングセッションを確立するルーティングセッション確立制御部と、
受信したパケットの送信先が、自身の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信する制御と、を行うルーティング制御部と、
を備えることを特徴とする中継サーバ。
【請求項3】
請求項2に記載の中継サーバであって、
自身を含む中継サーバの管理を行う管理機能付き中継サーバの識別情報を記憶する管理先情報記憶部を備え、
前記接続許可情報は、前記管理機能付き中継サーバによって記憶され、
前記制御部は、オペレータからログイン要求を受け付けたときに、前記管理先情報記憶部の記憶内容に基づいて前記管理機能付き中継サーバにアクセスすることにより、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得することを特徴とする中継サーバ。
【請求項4】
請求項2に記載の中継サーバであって、
前記接続許可情報を記憶する接続許可情報記憶部を備え、
前記制御部は、オペレータからログイン要求を受け付けたときに、前記接続許可情報記憶部に記憶された前記接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得することを特徴とする中継サーバ。
【請求項5】
請求項1から4までの何れか一項に記載の中継サーバであって、
自身又は前記接続対象機器は、複数のオペレータで構成されるオペレータグループを、当該オペレータグループを構成するオペレータの識別情報を用いて記憶し、オペレータによる接続が可能な前記接続対象機器の識別情報をオペレータグループ毎に記憶することを特徴とする中継サーバ。
【請求項6】
中継サーバと、
前記中継サーバに所属するクライアント端末と、
を備える中継通信システムであって、
前記中継サーバのうち接続元の中継サーバとして機能する前記中継サーバは、
自身がパケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を自身の識別情報と対応付けて記憶可能であるとともに、自身と接続可能な接続対象の中継サーバ及び当該接続対象の中継サーバに所属するクライアント端末を示す接続対象機器が、パケットの転送先として指定可能なルーティング対象装置のアドレスを示すアドレスフィルタ情報を当該接続対象機器の識別情報と対応付けて記憶可能であるアドレスフィルタ情報記憶部と、
制御部と、
を備え、
前記制御部は、
オペレータの識別情報と、オペレータによる接続が可能な前記接続対象機器の識別情報と、を対応付けた情報である接続許可情報に基づいて、ログイン要求を行ったオペレータによる接続が可能な前記接続対象機器を取得する接続対象機器取得制御部と、
取得した前記接続対象機器のうち選択された前記接続対象機器に対して仮想プライベートネットワークの開始処理を行うVPN開始制御部と、
オペレータがログイン要求を行うために操作した通信装置のアドレスを、自身の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するとともに当該アドレスフィルタ情報を前記接続対象機器に送信し、前記接続対象機器から受信したアドレスフィルタ情報を、当該接続対象機器の識別情報と対応付けたアドレスフィルタ情報として前記アドレスフィルタ情報記憶部に記憶するアドレスフィルタ情報通信制御部と、
選択された前記接続対象機器に対してルーティングセッションを確立するルーティングセッション確立制御部と、
受信したパケットの送信先が、自身の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、当該送信先にパケットを送信し、受信したパケットの送信先が前記接続対象機器の識別情報と対応付けられたアドレスフィルタ情報において指定されているときは、自身と当該接続対象機器との間に確立されたルーティングセッションを介して当該接続対象機器にパケットを送信するルーティング制御部と、
を備えることを特徴とする中継通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2012−227834(P2012−227834A)
【公開日】平成24年11月15日(2012.11.15)
【国際特許分類】
【出願番号】特願2011−95323(P2011−95323)
【出願日】平成23年4月21日(2011.4.21)
【出願人】(000006297)村田機械株式会社 (4,916)
【Fターム(参考)】
【公開日】平成24年11月15日(2012.11.15)
【国際特許分類】
【出願日】平成23年4月21日(2011.4.21)
【出願人】(000006297)村田機械株式会社 (4,916)
【Fターム(参考)】
[ Back to top ]