VPN接続装置、パケット制御方法、及びプログラム
【課題】既存のネットワーク構成を変更することなく簡易にVPNを構築する。
【解決手段】対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置において、網接続手段と、ホスト装置接続手段と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備える。
【解決手段】対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置において、網接続手段と、ホスト装置接続手段と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、VPN(Virtual Private Network)技術に関するものであり、特に、既存のネットワークを変更することなく、VPNを簡易かつ柔軟に導入することを可能とする技術に関するものである。
【背景技術】
【0002】
近年、企業内ネットワークの拠点間接続等に、専用線に代えてVPNが用いられるケースが増えている。VPNは、トンネリング技術を利用して、インターネット等の公衆回線をあたかも専用回線のように利用して拠点間の接続を可能とする技術である。
【0003】
VPNの導入形態としては種々のものがあるが、VPNを構築しようとする企業等が、通信事業者にVPN構築に係る申し込みを行い、通信事業者が、機器の設置、ネットワークの設定等を行うのが一般的である。
【0004】
なお、VPNに関する従来技術として例えば特許文献1に記載された技術がある。
【特許文献1】特開2004−064182号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上述したような一般的なVPN構築においては、企業における既存のネットワーク機器の一部をVPN専用の機器に変更したり、既存のネットワーク構成を変更する必要がある。また、新たなVPNの構築が完了するまでにある程度の期間がかかる。
【0006】
従って、例えば、ある期間だけ特定の拠点間をVPNで接続したいという要望があっても、既存ネットワークの設定変更等の手間やコストを考慮すると、そのような要望に応えることは困難であった。また、ある拠点内での特定のメンバーと、他の拠点内の特定のメンバーのみをVPNに参加させるといった柔軟な接続形態をとることも従来技術では困難であった。
【0007】
本発明は上記の点に鑑みてなされたものであり、既存のネットワークの構成を変更することなく容易にVPNを構築でき、VPNに参加するホスト装置を柔軟に設定可能な技術を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記の課題を解決するために、本発明は、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備えたことを特徴とするVPN接続装置として構成される。
【0009】
また、本発明は、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、通信ネットワークに接続するための網接続手段と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備えたことを特徴とするVPN接続装置として構成することもできる。
【発明の効果】
【0010】
本発明によれば、VPN接続装置を既存のネットワークに設置することにより、既存ネットワークの構成を変更することなしに容易にVPNを構築できるようになる。また、ホスト装置から送出されるパケットのアドレス等を参照し、VPN転送条件情報に基づきパケットをVPNに送出するかどうかを判定するように構成したため、VPN転送条件情報を適宜設定することによりVPNに参加するホスト装置を柔軟に設定できる。
【発明を実施するための最良の形態】
【0011】
以下、図面を参照して本発明の実施の形態について説明する。以下では、2つの方式を第1の実施の形態及び第2の実施の形態として説明する。
【0012】
<第1の実施の形態>
(システム構成)
図1に第1の実施の形態に係るシステムの構成図を示す。図1に示すように、第1の実施の形態に係るシステムは、プライベートネットワーク100とプライベートネットワーク200とがインターネット300を介して接続されるとともに、通信制御サーバ310がインターネット300に接続されている。
【0013】
プライベートネットワーク100は、インターネット300にルータ110を介して接続され、プライベートネットワーク200は、インターネット300にルータ210を介して接続されている。
【0014】
プライベートネットワーク100では、ホスト装置130、ホスト装置120、及びVPN装置140が備えられる。ホスト装置130とVPN装置140はLANに接続され、ホスト装置120はVPN装置140に接続される。このように、既存ネットワーク(LAN)とVPNに参加するホスト装置の間にVPN装置140を挟み込む形で設置することにより、VPN装置140は、その配下に接続されるホスト装置から送出されるパケットを常時監視可能になっている。
【0015】
同様に、プライベートネットワーク200では、ホスト装置230、ホスト装置220、及びVPN装置240が備えられる。ホスト装置230とVPN装置240はLANに接続され、ホスト装置220はVPN装置240に接続される。
【0016】
なお、図1に示すシステムでは、2つの拠点が示され、VPN装置配下に1つのホスト装置が示されているが、これらは代表として示されているだけであり、実際にはより多くの拠点及びホスト装置が接続され得る。
【0017】
図1に示すシステムにおいて、通信制御サーバ310は、VPN装置140とVPN装置240との間にセキュアな通信路であるVPNを構築するための制御を行う装置である。本実施の形態では、通信制御サーバ310はSIPサーバであり、VPN装置間での通信制御サーバ310を介したSIPによるメッセージ交換により名前解決や鍵交換を行って、VPN装置間でVPNを確立している。このような方式によるセキュアな通信路の確立方法自体は既存技術である。
【0018】
図2に、VPN装置140の機能構成図を示す。VPN装置240はVPN装置140と同じ構成であるので、VPN装置140のみについて説明する。
【0019】
図2に示すように、VPN装置140は、PVN(プライベートネットワーク)側インターフェース部146、制御部148、VPN配下端末側インターフェース部147、Web設定インターフェース部144、データベース145を有する。制御部148は、パケット取得制御部141、通信制御部142、NAT制御部143を有する。
【0020】
PVN(プライベートネットワーク)側インターフェース部146は、プライベートネットワーク100を構成するLANとの間でデータの送受信を行うための機能部である。VPN配下端末側インターフェース部147は、VPN装置140を利用したVPN通信を可能とするためにVPN装置140に接続されるホスト装置(端末)との間でパケットの送受信を行うための機能部である。
【0021】
Web設定インターフェース部144は、VPN装置140に接続される端末に対してWeb画面を提供し、そのWeb画面から種々の設定情報を入力するための機能部である。データベース145は、設定情報を格納するための記憶部である。
【0022】
制御部148における通信制御部142は、通信制御サーバ310を介して対向側のVPN装置240との間でSIPに基づくメッセージ送受信を行うことにより、VPN装置140とVPN装置240間でVPNを設定する機能を有する。また、通信制御部142は、パケット取得制御部141からパケットを受け取り、VPNを用いて相手側にパケットを送信する機能、及び、VPNを介して受信したパケットをパケット取得制御部141に渡す機能も有する。更に、通信制御部142は、パケットをVPNを介して送信するかどうかの判定を行うVPN転送条件の情報を生成し、データベース145に格納する機能も有する。
【0023】
NAT制御部143は、ルータ110がNAT機能を備える場合に、SIP通信等のパケット通信を正常に行うためにNAT越えのための制御を行う機能部である。NAT越えの技術自体は既存技術を用いることができる。
【0024】
パケット取得制御部141は、VPN装置140の配下のホスト装置から受信したパケットに含まれる情報が、データベース145に格納されているVPN転送条件に合致するかどうかを調べ、合致する場合に、該当のVPNを用いてパケットを送信することを決定する機能を有する。また、パケット取得制御部141は、VPNから受信したパケットに含まれる情報が、データベース145に格納されている情報に合致するかどうかを調べることにより、当該パケットを宛先のホスト装置に転送するかどうかを決定する機能も有する。
【0025】
VPN装置140は、例えば、CPUやメモリ等の記憶装置等を有し、通信プログラム、Web用プログラム、データベース用プログラム等の一般的なプログラムを備えたコンピュータに、制御部148の機能に対応するプログラムを実行させることにより実現可能である。当該プログラムは、メモリ等の記録媒体に格納しておき、当該記録媒体から上記コンピュータにインストールすることが可能である。
【0026】
(システムの動作)
以下、図1、図2に示したシステムにおける動作例を図3、4に示したシーケンスチャートを参照して説明する。以下の例では、プライベートネットワーク100におけるホスト装置120とプライベートネットワーク200におけるホスト装置220間で、VPNを介した通信が行われる。
【0027】
まず、VPN装置140の通信制御部142が、通信制御サーバ310に対して登録要求メッセージを送信する(ステップ11)。この登録要求メッセージには、VPN装置140の識別情報と、VPN装置140に対応するIPアドレスが含まれ、通信制御サーバ310において、当該識別情報とIPアドレスが対応付けて格納されることにより登録が行われる。登録が行われた後、応答メッセージが返される(ステップ12)。VPN装置240においても同様の登録処理が行われる(ステップ13、14)。
【0028】
続いて、プライベートネットワーク100側のホスト装置120のユーザが、ホスト装置120からWeb設定I/F部144にアクセスすることにより、VPN構築に必要な情報の入力を行う(ステップ15、16)。
【0029】
本実施形態では、VPN装置140の接続相手はVPN装置240であり、VPN装置140の配下でVPN装置140とVPN装置240との間のVPNを使用した通信を行うのはホスト装置120であることから、ここでは、VPN装置140の識別情報(VPN-Aとする)及びVPN装置240の識別情報(VPN-Bとする)と、ホスト装置120のIPアドレス(アドレスAとする)が入力され、これらがデータベース145に格納される。なお、本例では、ホスト装置120からVPN装置140に対する情報設定を行っているが、情報設定は任意の端末から行ってよい。
【0030】
プライベートネットワーク100側と同様にして、プライベートネットワーク200の側では、VPN装置240の識別情報(VPN-B)及びVPN装置140の識別情報(VPN-A)と、ホスト装置220のIPアドレス(アドレスB)がデータベース245に格納される(ステップ17、18)。
【0031】
続いて、本例では、ホスト装置120からWeb設定I/F部144に対してVPN装置140とVPN装置240間でVPNを設定する旨の指示を行う(ステップ19)。この指示には、それぞれの識別情報(VPN-A、VPN-B)が含まれる。
【0032】
通信制御部142は、Web設定I/F部144から指示を受けとり(ステップ20)、接続要求メッセージを通信制御サーバ310に送信する(ステップ21)。本実施の形態において、接続要求メッセージはINVITEメッセージであり、INVITEメッセージには、宛先の識別情報としてVPN-Bが含まれ、送信元の識別情報としてVPN-Aが含まれている。
【0033】
接続要求メッセージを受信した通信制御サーバ310では、VPN-Bに基づき登録情報からVPN装置240のIPアドレスを取得し、そのIPアドレス宛に接続要求メッセージを転送する(ステップ22)。接続要求メッセージを受信した通信制御部242は、接続要求に係るVPN接続(VPN装置140との接続)を行うことが設定されているかどうかをデータベース245を参照して確認する(ステップ23)。ここでは、ステップ17、18において設定が行われているので、通信制御部242は、応答メッセージを通信制御サーバ310を介してVPN装置140に返す(ステップ24〜26)。
【0034】
このような処理により、VPN装置140とVPN装置240との間でセキュアな通信路であるVPNが確立される(ステップ27)。
【0035】
その後、通信制御部142は、ステップ16で保存した情報から、VPN装置140の識別情報(VPN-A、対向VPN装置にとってVPNの識別情報でもある)と、その配下のホスト装置120のIPアドレス(アドレスA)とを読み出し(ステップ28)、それらをVPNを利用してVPN装置240に送信する(ステップ29)。同様に、VPN装置240の通信制御部242は、ステップ18で保存した情報から、自身の識別情報(VPN-B)と、その配下のホスト装置220のIPアドレス(アドレスB)とを読み出し、それらをVPNを利用してVPN装置140に送信する(ステップ30、31)。
【0036】
対向のVPN装置240から上記情報を受け取った通信制御部142は、既に保存してある情報とあわせて、受け取った情報をテーブルとしてデータベース145に格納する(ステップ32)。当該テーブルの例を図5に示す。
【0037】
図5に示すテーブルには、自分(VPN装置140)に対してVPN接続される相手のVPN装置240の識別情報(VPN-B)、自分(VPN装置140)に接続されており、かつ、VPN装置140とVPN装置240との間のVPNを利用するホスト装置として指定されたホスト装置のアドレス(アドレスA)、及び、VPN装置240とVPN装置140との間のVPNを利用するホスト装置として相手側で指定されたホスト装置のアドレス(アドレスB)が格納される。同様にして、VPN装置240側のデータベース245には、図6に示すテーブルが格納される(図3のステップ33)。なお、図5には、VPN-Cで識別される対向VPN装置に係る設定も示されている。この設定では、ホスト装置120は、VPN-Cで識別される対向VPN装置配下のアドレスCのホスト装置ともVPN通信可能である。
【0038】
上記の例では、VPN転送条件として、IPアドレスを用いているが、IPアドレスの他にMACアドレスを用いてもよい。また、アドレスに加えて、プロトコルを条件として用いてもよい。第2の実施の形態でも同様である。
【0039】
次に、ホスト装置120からパケットを送信する場合の例1、例2について図4を参照して説明する。
【0040】
例1は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、プライベートネットワーク100、200外のグローバルなアドレスである場合の例である。
【0041】
この場合、ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ41)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図5に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組がテーブルに存在するかどうかをチェックするための検索を行う(ステップ42、43)。例1では、宛先アドレスはテーブルに設定されていないので、検索に失敗する。検索に失敗した場合、パケット取得制御部141は、VPNを用いることなくパケットをPVN側インターフェース部146を介して送出する。すると、パケットは、VPNを介さずに、通常のルーティングに従って、宛先に届けられる(ステップ44)。
【0042】
例2は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、ホスト装置220のアドレス(アドレスB)である場合の例である。
【0043】
ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ51)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図5に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ52、53)。例2では、上記送信元アドレス及び宛先アドレスの組であるアドレスAとアドレスBの組がテーブルに設定されているので、検索に成功する。
【0044】
そして、パケット取得制御部141は、アドレスAとアドレスBの組に対応する接続先のVPN装置の識別情報(VPN-B)を取得し(ステップ53)、ホスト装置120から受信したパケットを送出すべきVPNは、VPN-Bに対して設定されたVPNであると判定する。そして、パケット取得制御部141は、VPN-Bとパケットを通信制御部142に渡し(ステップ54)、通信制御部142は、パケットを当該VPNを用いて送信する(ステップ55)。なお、パケットの宛先がアドレスCであったならば、図5のテーブルより、VPN-Cに対して設定されたVPNを利用してパケットが送信されることになる。
【0045】
通信制御部142から送信されたパケットは、VPN装置240の通信制御部240により受信され、通信制御部240は受信したパケットをパケット取得制御部241に渡す(ステップ56)。パケット取得制御部241は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得し、図6に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ57、58)。ここでは、検索に成功し、パケット取得制御部241は、パケットを宛先であるホスト装置220に送信する(ステップ59)。もし、ここで検索に失敗した場合には、例えば、ホスト装置220に送信することなく、パケットを廃棄する。なお、パケットの受信側では、上記のようなテーブルを参照したチェックを行わずにパケットを宛先に送信してもよい。
【0046】
<第2の実施の形態>
次に、本発明の第2の実施の形態について説明する。
【0047】
(システム構成)
図7に第2の実施の形態に係るシステムの構成図を示す。図7に示すように、第2の実施の形態に係るシステムは、プライベートネットワーク100とプライベートネットワーク200とがインターネット300を介して接続されるとともに、通信制御サーバ310がインターネット300に接続されている。
【0048】
プライベートネットワーク100は、インターネット300にルータ110を介して接続され、プライベートネットワーク200は、インターネット300にルータ210を介して接続されている。
【0049】
プライベートネットワーク100では、ホスト装置130、ホスト装置120、及びVPN装置140が備えられる。ホスト装置120、ホスト装置130、及びVPN装置150はそれぞれLANに接続される。このように、本実施の形態では、第1の実施の形態と異なり、VPN装置150の配下にホスト装置は接続されず、各ホスト装置とVPN装置140が同等にLANに接続される。
【0050】
プライベートネットワーク200でも同様に、ホスト装置220、ホスト装置230、及びVPN装置250はそれぞれLANに接続される。
【0051】
図7に示す通信制御サーバ310は、第1の実施の形態で説明した通信制御サーバ310と同じものである。
【0052】
図8に、第2の実施の形態におけるVPN装置150の機能構成図を示す。VPN装置150はVPN装置250と同じ構成であるので、VPN装置150のみについて説明する。
【0053】
図8に示すように、VPN装置150は、制御部157、インターフェース部156、Web設定インターフェース部154、データベース155を有する。制御部157は、パケット取得制御部151、通信制御部152、NAT制御部153を有する。
【0054】
インターフェース部156は、第1の実施の形態におけるPVN側インターフェース部146と同様のものであり、プライベートネットワークを構成するLANとの間でデータの送受信を行うための機能部である。また、Web設定インターフェース部154、通信制御部152、NAT制御部153は、それぞれ第1の実施の形態におけるWeb設定インターフェース部144、通信制御部142、NAT制御部143と同様の機能を有するものである。データベース155は、第1の実施の形態におけるデータベース145と同様に、各種設定情報を格納する格納部であるが、格納する情報の内容は異なる。また、通信制御部152が生成するVPN転送条件情報は、通信制御部142が生成するVPN転送条件情報と異なる。
【0055】
パケット取得制御部151は、ルータ110等に備えられているIPアドレス配布手段(DHCPサーバ機能等)に対して要求を行うことにより、IPアドレスを取得し、取得したIPアドレスをVPN装置150に設定する機能、及び、設定したIPアドレス宛(つまり自分自身に)送られてきたパケットを取得し、当該パケットに含まれる情報が、データベース155に格納されているVPN転送条件に合致するかどうかを調べ、合致する場合に、該当のVPNを用いてパケットを送信することを決定する機能を有する。また、パケット取得制御部151は、VPNを介して受信したパケットに含まれる情報が、データベース155に格納されている情報に合致するかどうかを調べることにより、当該パケットを宛先のホスト装置に転送するかどうかを決定する機能も有する。
【0056】
VPN装置150は、例えば、CPUやメモリ等の記憶装置等を有し、通信プログラム、Web用プログラム、データベース用プログラム等の一般的なプログラムを備えたコンピュータに、制御部157の機能に対応するプログラムを実行させることにより実現可能である。
【0057】
(システムの動作)
以下、図7、図8に示したシステムにおける動作例を図9、10に示したシーケンスチャートを参照して説明する。以下の例では、プライベートネットワーク100におけるホスト装置120とプライベートネットワーク200におけるホスト装置220間で、VPNを介した通信が行われるものとする。また、第1の実施の形態と同様に、ホスト装置120のIPアドレスをアドレスA、ホスト装置220のIPアドレスをアドレスB、VPN装置150の識別情報をVPN-A、VPN装置250の識別情報をVPN-Bとする。
【0058】
まず、VPN装置150におけるパケット取得制御部151が、他のホスト装置と同様にして、アドレス配布手段を利用してIPアドレスを取得し、VPN装置150に設定する(ステップ61、62)。VPN装置250の側でも同様にIPアドレスが取得され、設定される(ステップ63、64)。
【0059】
次に、第1の実施の形態におけるステップ11、12の処理と同様に、VPN装置150の通信制御部152が、通信制御サーバ310に対して登録要求メッセージを送信し、応答メッセージを受信する(ステップ65、66)。VPN装置250においても同様の登録処理が行われる(ステップ67、68)。
【0060】
続いて、第1の実施の形態におけるステップ15、16の処理と同様に、プライベートネットワーク100側のホスト装置120のユーザが、ホスト装置120からWeb設定I/F部154にアクセスすることにより、VPN構築に必要な情報の入力を行う(ステップ69、70)。VPN装置250側でも同様である(ステップ71、72)。ここで各データベースに格納される情報は第1の実施の形態と同じである。つまり、VPN装置150側のデータベース155には、VPN-A、VPN-B、アドレスAが格納され、VPN装置250側のデータベース255には、VPN-A、VPN-B、アドレスBが格納される。
【0061】
続いて、第1の実施の形態と同様の手順で、VPNが確立される(ステップ73)。
【0062】
その後、第1の実施の形態と同様にして、通信制御部152は、ステップ70で保存した情報から、VPN装置150の識別情報(VPN-A)と、VPNを利用するものとして指定されたホスト装置120のIPアドレス(アドレスA)とを読み出し(ステップ74)、それらをVPNを利用してVPN装置250に送信する(ステップ75)。同様に、VPN装置250の通信制御部252は、ステップ72で保存した情報から、自身の識別情報(VPN-B)と、ホスト装置220のIPアドレス(アドレスB)とを読み出し、それらをVPNを利用してVPN装置150に送信する(ステップ76、77)。
【0063】
対向のVPN装置250から上記情報を受け取った通信制御部152は、既に保存してある情報とあわせて受け取った情報をテーブルとしてデータベース145に格納する(ステップ78)。VPN装置250側でも同様である(ステップ79)。
【0064】
この時点では、VPN装置150、VPN装置250の各データベースに格納される情報は、図5、、図6に示したものと同様である。
【0065】
次に、VPN装置150のパケット取得制御部151は、テーブル(図5に示したものと同様)を参照することにより、VPN接続先においてVPNを利用してVPN装置150側と通信を行うホスト装置の数を決定する(ステップ80)。本例ではその数は1(ホスト装置120のみ)とする。そして、その数の分だけのIPアドレスをルータ110のアドレス配布手段に要求し、その数分のIPアドレスを取得し、VPN装置150に設定する(ステップ81、82)。すなわち、この時点で、VPN装置150は、プライベートネットワーク100において上記IPアドレスを宛先として送出されたパケットを、自分宛のパケットとして取得できる状態にある。
【0066】
そして、パケット取得制御部151は、取得したIPアドレスを、VPN装置250側のホスト装置に割り当てる。つまり、テーブルにおけるVPN装置250側のホスト装置のIPアドレスに対応付けて格納する(ステップ83)。このIPアドレスは、実際にはVPN装置150に割り当てられ、仮想的にVPN装置250側のホスト装置に割り当てられるものであるから、仮想アドレスと称してよい。
【0067】
本例では、VPN装置250側のホスト装置は1つ(ホスト装置220)なので、取得したIPアドレスは、そのホスト装置220に割り当てられられる。その結果、データベース155に格納されるテーブルとして、図11に示すテーブルが得られる。
【0068】
VPN装置250側でも同様の処理が行われ(ステップ84〜87)、データベース255には、図12に示すテーブルが格納される。
【0069】
ここで、プライベートネットワーク100内の各ホスト装置あるいは各ホスト装置のユーザは、プライベートネットワーク200側の各ホスト装置のIPアドレスは把握しているものとする。しかし、ステップ80〜83の処理により、どのような仮想アドレスが、VPN接続先のホスト装置のIPアドレスに対応付けられたかはわからない。そこで、ステップ88、89において、VPN装置150は、プライベートネットワーク100内に、VPN接続先(VPN装置250側)のホスト装置のIPアドレスと、当該IPアドレスに対応付けられた仮想アドレスとを広告する。これらの情報は、プライベートネットワーク100内における全てのホスト装置が受信し、各ホスト装置及びそのユーザは、VPNを介してVPN接続先のホスト装置宛のパケットを送信する場合には、VPN接続先のホスト装置の実際のIPアドレスに対応付けられた上記の仮想アドレス宛にパケットを送信すればよいことを把握する。
【0070】
以上の処理と同様の処理がVPN装置250の側でも行われる(ステップ90、91)。
【0071】
次に、ホスト装置120からパケットを送信する場合の例について図10を参照して説明する。
【0072】
この例は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、対向のホスト装置220のアドレス(アドレスB)に対応付けられたアドレスXである場合の例である。
【0073】
ホスト装置130から送出されたパケットは、アドレスXを有するVPN装置150が受信し、VPN装置150においてパケット取得制御部151により取得される(ステップ101)。パケット取得制御部151は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部151は、図11に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ102、103)。この例では、上記送信元アドレス及び宛先アドレスの組であるアドレスAとアドレスXの組がテーブルに設定されているので、検索に成功する。
【0074】
そして、パケット取得制御部151は、パケットのヘッダにおるアドレスXをアドレスBに置き換える。また、パケット取得制御部151は、アドレスAとアドレスB(アドレスX)の組に対応する接続先のVPN装置250の識別情報(VPN-B)を取得し、ホスト装置120から受信したパケットを送出すべきVPNは、VPN-Bに対して設定されたVPNであると決定する。そして、パケット取得制御部151は、VPN-Bとパケットを通信制御部152に渡し、通信制御部152は、パケットを当該VPNを用いて送信する(ステップ104、105)。
【0075】
なお、上記の例では、パケットのヘッダにおるアドレスXをアドレスBに置き換える処理をVPN装置150側で行っているが、アドレスBに対応するアドレスXを事前にVPN装置250側に送信しておくことにより、VPN装置250側でアドレスXをアドレスBに置き換えてもよい。
【0076】
通信制御部152から送信されたパケットは、VPN装置250の通信制御部252により受信され、通信制御部252は受信したパケットをパケット取得制御部251に渡す(ステップ106)。パケット取得制御部251は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得し、図12に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ107、108)。ここでは、検索に成功し、パケット取得制御部251は、パケットを宛先であるホスト装置220に送信する(ステップ109)。
以上説明したように、本発明に基づく技術を適用することにより、VPN装置を既存のネットワークに設置するだけで容易にVPNを構築できるようになる。また、ホスト装置から送出されるパケットのアドレス等を参照し、VPN転送条件情報に基づきパケットをVPNに送出するかどうかを判定するように構成したため、VPN転送条件情報を適宜設定することによりVPNに参加するホスト装置を柔軟に設定できる。
【0077】
このような特徴を有するので、本発明に基づく技術を適用したVPN装置を用いることにより、短期間で店舗や拠点の入れ替えが発生する百貨店やコンビになどの業界や、流動的な現場移動が発生する建築業界等でもVPNが利用可能になる。
【0078】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【図面の簡単な説明】
【0079】
【図1】第1の実施の形態に係るシステムの構成図である。
【図2】VPN装置140の機能構成図である。
【図3】第1の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。
【図4】第1の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。
【図5】データベース145に格納されるテーブルを示す図である。
【図6】データベース245に格納されるテーブルを示す図である。
【図7】第2の実施の形態に係るシステムの構成図である。
【図8】VPN装置150の機能構成図である。
【図9】第2の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。
【図10】第2の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。
【図11】データベース155に格納されるテーブルを示す図である。
【図12】データベース155に格納されるテーブルを示す図である。
【符号の説明】
【0080】
100 プライベートネットワーク
200 プライベートネットワーク
300 インターネット
110、210 ルータ
310 通信制御サーバ
120、130、220、230 ホスト装置
140、150 VPN装置ホスト
146 PVN(プライベートネットワーク)側インターフェース部
147 VPN配下端末側インターフェース部
148、157 制御部
142、152 通信制御部
143、153 NAT制御部
144、154 Web設定インターフェース部
145、155 データベース
141、151 パケット取得制御部
154 Web設定インターフェース部
156 インターフェース部
【技術分野】
【0001】
本発明は、VPN(Virtual Private Network)技術に関するものであり、特に、既存のネットワークを変更することなく、VPNを簡易かつ柔軟に導入することを可能とする技術に関するものである。
【背景技術】
【0002】
近年、企業内ネットワークの拠点間接続等に、専用線に代えてVPNが用いられるケースが増えている。VPNは、トンネリング技術を利用して、インターネット等の公衆回線をあたかも専用回線のように利用して拠点間の接続を可能とする技術である。
【0003】
VPNの導入形態としては種々のものがあるが、VPNを構築しようとする企業等が、通信事業者にVPN構築に係る申し込みを行い、通信事業者が、機器の設置、ネットワークの設定等を行うのが一般的である。
【0004】
なお、VPNに関する従来技術として例えば特許文献1に記載された技術がある。
【特許文献1】特開2004−064182号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上述したような一般的なVPN構築においては、企業における既存のネットワーク機器の一部をVPN専用の機器に変更したり、既存のネットワーク構成を変更する必要がある。また、新たなVPNの構築が完了するまでにある程度の期間がかかる。
【0006】
従って、例えば、ある期間だけ特定の拠点間をVPNで接続したいという要望があっても、既存ネットワークの設定変更等の手間やコストを考慮すると、そのような要望に応えることは困難であった。また、ある拠点内での特定のメンバーと、他の拠点内の特定のメンバーのみをVPNに参加させるといった柔軟な接続形態をとることも従来技術では困難であった。
【0007】
本発明は上記の点に鑑みてなされたものであり、既存のネットワークの構成を変更することなく容易にVPNを構築でき、VPNに参加するホスト装置を柔軟に設定可能な技術を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記の課題を解決するために、本発明は、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備えたことを特徴とするVPN接続装置として構成される。
【0009】
また、本発明は、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、通信ネットワークに接続するための網接続手段と、前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、を備えたことを特徴とするVPN接続装置として構成することもできる。
【発明の効果】
【0010】
本発明によれば、VPN接続装置を既存のネットワークに設置することにより、既存ネットワークの構成を変更することなしに容易にVPNを構築できるようになる。また、ホスト装置から送出されるパケットのアドレス等を参照し、VPN転送条件情報に基づきパケットをVPNに送出するかどうかを判定するように構成したため、VPN転送条件情報を適宜設定することによりVPNに参加するホスト装置を柔軟に設定できる。
【発明を実施するための最良の形態】
【0011】
以下、図面を参照して本発明の実施の形態について説明する。以下では、2つの方式を第1の実施の形態及び第2の実施の形態として説明する。
【0012】
<第1の実施の形態>
(システム構成)
図1に第1の実施の形態に係るシステムの構成図を示す。図1に示すように、第1の実施の形態に係るシステムは、プライベートネットワーク100とプライベートネットワーク200とがインターネット300を介して接続されるとともに、通信制御サーバ310がインターネット300に接続されている。
【0013】
プライベートネットワーク100は、インターネット300にルータ110を介して接続され、プライベートネットワーク200は、インターネット300にルータ210を介して接続されている。
【0014】
プライベートネットワーク100では、ホスト装置130、ホスト装置120、及びVPN装置140が備えられる。ホスト装置130とVPN装置140はLANに接続され、ホスト装置120はVPN装置140に接続される。このように、既存ネットワーク(LAN)とVPNに参加するホスト装置の間にVPN装置140を挟み込む形で設置することにより、VPN装置140は、その配下に接続されるホスト装置から送出されるパケットを常時監視可能になっている。
【0015】
同様に、プライベートネットワーク200では、ホスト装置230、ホスト装置220、及びVPN装置240が備えられる。ホスト装置230とVPN装置240はLANに接続され、ホスト装置220はVPN装置240に接続される。
【0016】
なお、図1に示すシステムでは、2つの拠点が示され、VPN装置配下に1つのホスト装置が示されているが、これらは代表として示されているだけであり、実際にはより多くの拠点及びホスト装置が接続され得る。
【0017】
図1に示すシステムにおいて、通信制御サーバ310は、VPN装置140とVPN装置240との間にセキュアな通信路であるVPNを構築するための制御を行う装置である。本実施の形態では、通信制御サーバ310はSIPサーバであり、VPN装置間での通信制御サーバ310を介したSIPによるメッセージ交換により名前解決や鍵交換を行って、VPN装置間でVPNを確立している。このような方式によるセキュアな通信路の確立方法自体は既存技術である。
【0018】
図2に、VPN装置140の機能構成図を示す。VPN装置240はVPN装置140と同じ構成であるので、VPN装置140のみについて説明する。
【0019】
図2に示すように、VPN装置140は、PVN(プライベートネットワーク)側インターフェース部146、制御部148、VPN配下端末側インターフェース部147、Web設定インターフェース部144、データベース145を有する。制御部148は、パケット取得制御部141、通信制御部142、NAT制御部143を有する。
【0020】
PVN(プライベートネットワーク)側インターフェース部146は、プライベートネットワーク100を構成するLANとの間でデータの送受信を行うための機能部である。VPN配下端末側インターフェース部147は、VPN装置140を利用したVPN通信を可能とするためにVPN装置140に接続されるホスト装置(端末)との間でパケットの送受信を行うための機能部である。
【0021】
Web設定インターフェース部144は、VPN装置140に接続される端末に対してWeb画面を提供し、そのWeb画面から種々の設定情報を入力するための機能部である。データベース145は、設定情報を格納するための記憶部である。
【0022】
制御部148における通信制御部142は、通信制御サーバ310を介して対向側のVPN装置240との間でSIPに基づくメッセージ送受信を行うことにより、VPN装置140とVPN装置240間でVPNを設定する機能を有する。また、通信制御部142は、パケット取得制御部141からパケットを受け取り、VPNを用いて相手側にパケットを送信する機能、及び、VPNを介して受信したパケットをパケット取得制御部141に渡す機能も有する。更に、通信制御部142は、パケットをVPNを介して送信するかどうかの判定を行うVPN転送条件の情報を生成し、データベース145に格納する機能も有する。
【0023】
NAT制御部143は、ルータ110がNAT機能を備える場合に、SIP通信等のパケット通信を正常に行うためにNAT越えのための制御を行う機能部である。NAT越えの技術自体は既存技術を用いることができる。
【0024】
パケット取得制御部141は、VPN装置140の配下のホスト装置から受信したパケットに含まれる情報が、データベース145に格納されているVPN転送条件に合致するかどうかを調べ、合致する場合に、該当のVPNを用いてパケットを送信することを決定する機能を有する。また、パケット取得制御部141は、VPNから受信したパケットに含まれる情報が、データベース145に格納されている情報に合致するかどうかを調べることにより、当該パケットを宛先のホスト装置に転送するかどうかを決定する機能も有する。
【0025】
VPN装置140は、例えば、CPUやメモリ等の記憶装置等を有し、通信プログラム、Web用プログラム、データベース用プログラム等の一般的なプログラムを備えたコンピュータに、制御部148の機能に対応するプログラムを実行させることにより実現可能である。当該プログラムは、メモリ等の記録媒体に格納しておき、当該記録媒体から上記コンピュータにインストールすることが可能である。
【0026】
(システムの動作)
以下、図1、図2に示したシステムにおける動作例を図3、4に示したシーケンスチャートを参照して説明する。以下の例では、プライベートネットワーク100におけるホスト装置120とプライベートネットワーク200におけるホスト装置220間で、VPNを介した通信が行われる。
【0027】
まず、VPN装置140の通信制御部142が、通信制御サーバ310に対して登録要求メッセージを送信する(ステップ11)。この登録要求メッセージには、VPN装置140の識別情報と、VPN装置140に対応するIPアドレスが含まれ、通信制御サーバ310において、当該識別情報とIPアドレスが対応付けて格納されることにより登録が行われる。登録が行われた後、応答メッセージが返される(ステップ12)。VPN装置240においても同様の登録処理が行われる(ステップ13、14)。
【0028】
続いて、プライベートネットワーク100側のホスト装置120のユーザが、ホスト装置120からWeb設定I/F部144にアクセスすることにより、VPN構築に必要な情報の入力を行う(ステップ15、16)。
【0029】
本実施形態では、VPN装置140の接続相手はVPN装置240であり、VPN装置140の配下でVPN装置140とVPN装置240との間のVPNを使用した通信を行うのはホスト装置120であることから、ここでは、VPN装置140の識別情報(VPN-Aとする)及びVPN装置240の識別情報(VPN-Bとする)と、ホスト装置120のIPアドレス(アドレスAとする)が入力され、これらがデータベース145に格納される。なお、本例では、ホスト装置120からVPN装置140に対する情報設定を行っているが、情報設定は任意の端末から行ってよい。
【0030】
プライベートネットワーク100側と同様にして、プライベートネットワーク200の側では、VPN装置240の識別情報(VPN-B)及びVPN装置140の識別情報(VPN-A)と、ホスト装置220のIPアドレス(アドレスB)がデータベース245に格納される(ステップ17、18)。
【0031】
続いて、本例では、ホスト装置120からWeb設定I/F部144に対してVPN装置140とVPN装置240間でVPNを設定する旨の指示を行う(ステップ19)。この指示には、それぞれの識別情報(VPN-A、VPN-B)が含まれる。
【0032】
通信制御部142は、Web設定I/F部144から指示を受けとり(ステップ20)、接続要求メッセージを通信制御サーバ310に送信する(ステップ21)。本実施の形態において、接続要求メッセージはINVITEメッセージであり、INVITEメッセージには、宛先の識別情報としてVPN-Bが含まれ、送信元の識別情報としてVPN-Aが含まれている。
【0033】
接続要求メッセージを受信した通信制御サーバ310では、VPN-Bに基づき登録情報からVPN装置240のIPアドレスを取得し、そのIPアドレス宛に接続要求メッセージを転送する(ステップ22)。接続要求メッセージを受信した通信制御部242は、接続要求に係るVPN接続(VPN装置140との接続)を行うことが設定されているかどうかをデータベース245を参照して確認する(ステップ23)。ここでは、ステップ17、18において設定が行われているので、通信制御部242は、応答メッセージを通信制御サーバ310を介してVPN装置140に返す(ステップ24〜26)。
【0034】
このような処理により、VPN装置140とVPN装置240との間でセキュアな通信路であるVPNが確立される(ステップ27)。
【0035】
その後、通信制御部142は、ステップ16で保存した情報から、VPN装置140の識別情報(VPN-A、対向VPN装置にとってVPNの識別情報でもある)と、その配下のホスト装置120のIPアドレス(アドレスA)とを読み出し(ステップ28)、それらをVPNを利用してVPN装置240に送信する(ステップ29)。同様に、VPN装置240の通信制御部242は、ステップ18で保存した情報から、自身の識別情報(VPN-B)と、その配下のホスト装置220のIPアドレス(アドレスB)とを読み出し、それらをVPNを利用してVPN装置140に送信する(ステップ30、31)。
【0036】
対向のVPN装置240から上記情報を受け取った通信制御部142は、既に保存してある情報とあわせて、受け取った情報をテーブルとしてデータベース145に格納する(ステップ32)。当該テーブルの例を図5に示す。
【0037】
図5に示すテーブルには、自分(VPN装置140)に対してVPN接続される相手のVPN装置240の識別情報(VPN-B)、自分(VPN装置140)に接続されており、かつ、VPN装置140とVPN装置240との間のVPNを利用するホスト装置として指定されたホスト装置のアドレス(アドレスA)、及び、VPN装置240とVPN装置140との間のVPNを利用するホスト装置として相手側で指定されたホスト装置のアドレス(アドレスB)が格納される。同様にして、VPN装置240側のデータベース245には、図6に示すテーブルが格納される(図3のステップ33)。なお、図5には、VPN-Cで識別される対向VPN装置に係る設定も示されている。この設定では、ホスト装置120は、VPN-Cで識別される対向VPN装置配下のアドレスCのホスト装置ともVPN通信可能である。
【0038】
上記の例では、VPN転送条件として、IPアドレスを用いているが、IPアドレスの他にMACアドレスを用いてもよい。また、アドレスに加えて、プロトコルを条件として用いてもよい。第2の実施の形態でも同様である。
【0039】
次に、ホスト装置120からパケットを送信する場合の例1、例2について図4を参照して説明する。
【0040】
例1は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、プライベートネットワーク100、200外のグローバルなアドレスである場合の例である。
【0041】
この場合、ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ41)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図5に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組がテーブルに存在するかどうかをチェックするための検索を行う(ステップ42、43)。例1では、宛先アドレスはテーブルに設定されていないので、検索に失敗する。検索に失敗した場合、パケット取得制御部141は、VPNを用いることなくパケットをPVN側インターフェース部146を介して送出する。すると、パケットは、VPNを介さずに、通常のルーティングに従って、宛先に届けられる(ステップ44)。
【0042】
例2は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、ホスト装置220のアドレス(アドレスB)である場合の例である。
【0043】
ホスト装置120から送出されたパケットは、VPN装置140が受信し、VPN装置140においてパケット取得制御部141により取得される(ステップ51)。パケット取得制御部141は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部141は、図5に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ52、53)。例2では、上記送信元アドレス及び宛先アドレスの組であるアドレスAとアドレスBの組がテーブルに設定されているので、検索に成功する。
【0044】
そして、パケット取得制御部141は、アドレスAとアドレスBの組に対応する接続先のVPN装置の識別情報(VPN-B)を取得し(ステップ53)、ホスト装置120から受信したパケットを送出すべきVPNは、VPN-Bに対して設定されたVPNであると判定する。そして、パケット取得制御部141は、VPN-Bとパケットを通信制御部142に渡し(ステップ54)、通信制御部142は、パケットを当該VPNを用いて送信する(ステップ55)。なお、パケットの宛先がアドレスCであったならば、図5のテーブルより、VPN-Cに対して設定されたVPNを利用してパケットが送信されることになる。
【0045】
通信制御部142から送信されたパケットは、VPN装置240の通信制御部240により受信され、通信制御部240は受信したパケットをパケット取得制御部241に渡す(ステップ56)。パケット取得制御部241は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得し、図6に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ57、58)。ここでは、検索に成功し、パケット取得制御部241は、パケットを宛先であるホスト装置220に送信する(ステップ59)。もし、ここで検索に失敗した場合には、例えば、ホスト装置220に送信することなく、パケットを廃棄する。なお、パケットの受信側では、上記のようなテーブルを参照したチェックを行わずにパケットを宛先に送信してもよい。
【0046】
<第2の実施の形態>
次に、本発明の第2の実施の形態について説明する。
【0047】
(システム構成)
図7に第2の実施の形態に係るシステムの構成図を示す。図7に示すように、第2の実施の形態に係るシステムは、プライベートネットワーク100とプライベートネットワーク200とがインターネット300を介して接続されるとともに、通信制御サーバ310がインターネット300に接続されている。
【0048】
プライベートネットワーク100は、インターネット300にルータ110を介して接続され、プライベートネットワーク200は、インターネット300にルータ210を介して接続されている。
【0049】
プライベートネットワーク100では、ホスト装置130、ホスト装置120、及びVPN装置140が備えられる。ホスト装置120、ホスト装置130、及びVPN装置150はそれぞれLANに接続される。このように、本実施の形態では、第1の実施の形態と異なり、VPN装置150の配下にホスト装置は接続されず、各ホスト装置とVPN装置140が同等にLANに接続される。
【0050】
プライベートネットワーク200でも同様に、ホスト装置220、ホスト装置230、及びVPN装置250はそれぞれLANに接続される。
【0051】
図7に示す通信制御サーバ310は、第1の実施の形態で説明した通信制御サーバ310と同じものである。
【0052】
図8に、第2の実施の形態におけるVPN装置150の機能構成図を示す。VPN装置150はVPN装置250と同じ構成であるので、VPN装置150のみについて説明する。
【0053】
図8に示すように、VPN装置150は、制御部157、インターフェース部156、Web設定インターフェース部154、データベース155を有する。制御部157は、パケット取得制御部151、通信制御部152、NAT制御部153を有する。
【0054】
インターフェース部156は、第1の実施の形態におけるPVN側インターフェース部146と同様のものであり、プライベートネットワークを構成するLANとの間でデータの送受信を行うための機能部である。また、Web設定インターフェース部154、通信制御部152、NAT制御部153は、それぞれ第1の実施の形態におけるWeb設定インターフェース部144、通信制御部142、NAT制御部143と同様の機能を有するものである。データベース155は、第1の実施の形態におけるデータベース145と同様に、各種設定情報を格納する格納部であるが、格納する情報の内容は異なる。また、通信制御部152が生成するVPN転送条件情報は、通信制御部142が生成するVPN転送条件情報と異なる。
【0055】
パケット取得制御部151は、ルータ110等に備えられているIPアドレス配布手段(DHCPサーバ機能等)に対して要求を行うことにより、IPアドレスを取得し、取得したIPアドレスをVPN装置150に設定する機能、及び、設定したIPアドレス宛(つまり自分自身に)送られてきたパケットを取得し、当該パケットに含まれる情報が、データベース155に格納されているVPN転送条件に合致するかどうかを調べ、合致する場合に、該当のVPNを用いてパケットを送信することを決定する機能を有する。また、パケット取得制御部151は、VPNを介して受信したパケットに含まれる情報が、データベース155に格納されている情報に合致するかどうかを調べることにより、当該パケットを宛先のホスト装置に転送するかどうかを決定する機能も有する。
【0056】
VPN装置150は、例えば、CPUやメモリ等の記憶装置等を有し、通信プログラム、Web用プログラム、データベース用プログラム等の一般的なプログラムを備えたコンピュータに、制御部157の機能に対応するプログラムを実行させることにより実現可能である。
【0057】
(システムの動作)
以下、図7、図8に示したシステムにおける動作例を図9、10に示したシーケンスチャートを参照して説明する。以下の例では、プライベートネットワーク100におけるホスト装置120とプライベートネットワーク200におけるホスト装置220間で、VPNを介した通信が行われるものとする。また、第1の実施の形態と同様に、ホスト装置120のIPアドレスをアドレスA、ホスト装置220のIPアドレスをアドレスB、VPN装置150の識別情報をVPN-A、VPN装置250の識別情報をVPN-Bとする。
【0058】
まず、VPN装置150におけるパケット取得制御部151が、他のホスト装置と同様にして、アドレス配布手段を利用してIPアドレスを取得し、VPN装置150に設定する(ステップ61、62)。VPN装置250の側でも同様にIPアドレスが取得され、設定される(ステップ63、64)。
【0059】
次に、第1の実施の形態におけるステップ11、12の処理と同様に、VPN装置150の通信制御部152が、通信制御サーバ310に対して登録要求メッセージを送信し、応答メッセージを受信する(ステップ65、66)。VPN装置250においても同様の登録処理が行われる(ステップ67、68)。
【0060】
続いて、第1の実施の形態におけるステップ15、16の処理と同様に、プライベートネットワーク100側のホスト装置120のユーザが、ホスト装置120からWeb設定I/F部154にアクセスすることにより、VPN構築に必要な情報の入力を行う(ステップ69、70)。VPN装置250側でも同様である(ステップ71、72)。ここで各データベースに格納される情報は第1の実施の形態と同じである。つまり、VPN装置150側のデータベース155には、VPN-A、VPN-B、アドレスAが格納され、VPN装置250側のデータベース255には、VPN-A、VPN-B、アドレスBが格納される。
【0061】
続いて、第1の実施の形態と同様の手順で、VPNが確立される(ステップ73)。
【0062】
その後、第1の実施の形態と同様にして、通信制御部152は、ステップ70で保存した情報から、VPN装置150の識別情報(VPN-A)と、VPNを利用するものとして指定されたホスト装置120のIPアドレス(アドレスA)とを読み出し(ステップ74)、それらをVPNを利用してVPN装置250に送信する(ステップ75)。同様に、VPN装置250の通信制御部252は、ステップ72で保存した情報から、自身の識別情報(VPN-B)と、ホスト装置220のIPアドレス(アドレスB)とを読み出し、それらをVPNを利用してVPN装置150に送信する(ステップ76、77)。
【0063】
対向のVPN装置250から上記情報を受け取った通信制御部152は、既に保存してある情報とあわせて受け取った情報をテーブルとしてデータベース145に格納する(ステップ78)。VPN装置250側でも同様である(ステップ79)。
【0064】
この時点では、VPN装置150、VPN装置250の各データベースに格納される情報は、図5、、図6に示したものと同様である。
【0065】
次に、VPN装置150のパケット取得制御部151は、テーブル(図5に示したものと同様)を参照することにより、VPN接続先においてVPNを利用してVPN装置150側と通信を行うホスト装置の数を決定する(ステップ80)。本例ではその数は1(ホスト装置120のみ)とする。そして、その数の分だけのIPアドレスをルータ110のアドレス配布手段に要求し、その数分のIPアドレスを取得し、VPN装置150に設定する(ステップ81、82)。すなわち、この時点で、VPN装置150は、プライベートネットワーク100において上記IPアドレスを宛先として送出されたパケットを、自分宛のパケットとして取得できる状態にある。
【0066】
そして、パケット取得制御部151は、取得したIPアドレスを、VPN装置250側のホスト装置に割り当てる。つまり、テーブルにおけるVPN装置250側のホスト装置のIPアドレスに対応付けて格納する(ステップ83)。このIPアドレスは、実際にはVPN装置150に割り当てられ、仮想的にVPN装置250側のホスト装置に割り当てられるものであるから、仮想アドレスと称してよい。
【0067】
本例では、VPN装置250側のホスト装置は1つ(ホスト装置220)なので、取得したIPアドレスは、そのホスト装置220に割り当てられられる。その結果、データベース155に格納されるテーブルとして、図11に示すテーブルが得られる。
【0068】
VPN装置250側でも同様の処理が行われ(ステップ84〜87)、データベース255には、図12に示すテーブルが格納される。
【0069】
ここで、プライベートネットワーク100内の各ホスト装置あるいは各ホスト装置のユーザは、プライベートネットワーク200側の各ホスト装置のIPアドレスは把握しているものとする。しかし、ステップ80〜83の処理により、どのような仮想アドレスが、VPN接続先のホスト装置のIPアドレスに対応付けられたかはわからない。そこで、ステップ88、89において、VPN装置150は、プライベートネットワーク100内に、VPN接続先(VPN装置250側)のホスト装置のIPアドレスと、当該IPアドレスに対応付けられた仮想アドレスとを広告する。これらの情報は、プライベートネットワーク100内における全てのホスト装置が受信し、各ホスト装置及びそのユーザは、VPNを介してVPN接続先のホスト装置宛のパケットを送信する場合には、VPN接続先のホスト装置の実際のIPアドレスに対応付けられた上記の仮想アドレス宛にパケットを送信すればよいことを把握する。
【0070】
以上の処理と同様の処理がVPN装置250の側でも行われる(ステップ90、91)。
【0071】
次に、ホスト装置120からパケットを送信する場合の例について図10を参照して説明する。
【0072】
この例は、ホスト装置120から送出されるパケットのヘッダに設定される宛先アドレスが、対向のホスト装置220のアドレス(アドレスB)に対応付けられたアドレスXである場合の例である。
【0073】
ホスト装置130から送出されたパケットは、アドレスXを有するVPN装置150が受信し、VPN装置150においてパケット取得制御部151により取得される(ステップ101)。パケット取得制御部151は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得する。そして、パケット取得制御部151は、図11に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ102、103)。この例では、上記送信元アドレス及び宛先アドレスの組であるアドレスAとアドレスXの組がテーブルに設定されているので、検索に成功する。
【0074】
そして、パケット取得制御部151は、パケットのヘッダにおるアドレスXをアドレスBに置き換える。また、パケット取得制御部151は、アドレスAとアドレスB(アドレスX)の組に対応する接続先のVPN装置250の識別情報(VPN-B)を取得し、ホスト装置120から受信したパケットを送出すべきVPNは、VPN-Bに対して設定されたVPNであると決定する。そして、パケット取得制御部151は、VPN-Bとパケットを通信制御部152に渡し、通信制御部152は、パケットを当該VPNを用いて送信する(ステップ104、105)。
【0075】
なお、上記の例では、パケットのヘッダにおるアドレスXをアドレスBに置き換える処理をVPN装置150側で行っているが、アドレスBに対応するアドレスXを事前にVPN装置250側に送信しておくことにより、VPN装置250側でアドレスXをアドレスBに置き換えてもよい。
【0076】
通信制御部152から送信されたパケットは、VPN装置250の通信制御部252により受信され、通信制御部252は受信したパケットをパケット取得制御部251に渡す(ステップ106)。パケット取得制御部251は、パケットのヘッダからパケットの送信元アドレス及び宛先アドレスを取得し、図12に示したテーブルを参照し、上記送信元アドレス及び宛先アドレスの組に基づき検索を行う(ステップ107、108)。ここでは、検索に成功し、パケット取得制御部251は、パケットを宛先であるホスト装置220に送信する(ステップ109)。
以上説明したように、本発明に基づく技術を適用することにより、VPN装置を既存のネットワークに設置するだけで容易にVPNを構築できるようになる。また、ホスト装置から送出されるパケットのアドレス等を参照し、VPN転送条件情報に基づきパケットをVPNに送出するかどうかを判定するように構成したため、VPN転送条件情報を適宜設定することによりVPNに参加するホスト装置を柔軟に設定できる。
【0077】
このような特徴を有するので、本発明に基づく技術を適用したVPN装置を用いることにより、短期間で店舗や拠点の入れ替えが発生する百貨店やコンビになどの業界や、流動的な現場移動が発生する建築業界等でもVPNが利用可能になる。
【0078】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【図面の簡単な説明】
【0079】
【図1】第1の実施の形態に係るシステムの構成図である。
【図2】VPN装置140の機能構成図である。
【図3】第1の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。
【図4】第1の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。
【図5】データベース145に格納されるテーブルを示す図である。
【図6】データベース245に格納されるテーブルを示す図である。
【図7】第2の実施の形態に係るシステムの構成図である。
【図8】VPN装置150の機能構成図である。
【図9】第2の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。
【図10】第2の実施の形態に係るシステムの動作を説明するためのシーケンスチャートである。
【図11】データベース155に格納されるテーブルを示す図である。
【図12】データベース155に格納されるテーブルを示す図である。
【符号の説明】
【0080】
100 プライベートネットワーク
200 プライベートネットワーク
300 インターネット
110、210 ルータ
310 通信制御サーバ
120、130、220、230 ホスト装置
140、150 VPN装置ホスト
146 PVN(プライベートネットワーク)側インターフェース部
147 VPN配下端末側インターフェース部
148、157 制御部
142、152 通信制御部
143、153 NAT制御部
144、154 Web設定インターフェース部
145、155 データベース
141、151 パケット取得制御部
154 Web設定インターフェース部
156 インターフェース部
【特許請求の範囲】
【請求項1】
対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、
通信ネットワークに接続するための網接続手段と、
前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、
を備えたことを特徴とするVPN接続装置。
【請求項2】
前記VPN転送条件情報は、前記対向ホスト装置のアドレスと前記ホスト装置のアドレスとに加えて、VPNの識別情報を有し、前記パケット制御手段は、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた識別情報で識別されるVPNを利用して前記パケットを送信することを特徴とする請求項1に記載のVPN接続装置。
【請求項3】
前記VPNの識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記VPNの識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報を用いて前記VPN転送条件情報を生成する手段を備えたことを特徴とする請求項1又は2に記載のVPN接続装置。
【請求項4】
対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、
通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、
を備えたことを特徴とするVPN接続装置。
【請求項5】
前記VPN転送条件情報は、前記対向ホスト装置の仮想アドレスと前記ホスト装置のアドレスとに加えて、VPNの識別情報を有し、前記パケット制御手段は、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた識別情報で識別されるVPNを利用して前記パケットを送信することを特徴とする請求項4に記載のVPN接続装置。
【請求項6】
前記VPNの識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記VPNの識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報と、前記アドレス取得手段により取得したアドレスとを用いて前記VPN転送条件情報を生成する手段を備えたことを特徴とする請求項4又は5に記載のVPN接続装置。
【請求項7】
対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置が実行するパケット制御方法であって、
前記VPN接続装置は、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記パケット制御方法は、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定ステップと、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御ステップと、
を備えたことを特徴とするパケット制御方法。
【請求項8】
対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置が実行するパケット制御方法であって、
前記VPN接続装置は、通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記パケット制御方法は、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの当該宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定ステップと、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御ステップと、
を備えたことを特徴とするパケット制御方法。
【請求項9】
コンピュータを、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置として機能させるプログラムであって、
前記コンピュータは、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記プログラムは、前記コンピュータを、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段、
として機能させるためのプログラム。
【請求項10】
コンピュータを、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置として機能させるためのプログラムであって、
前記コンピュータは、通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記プログラムは、前記コンピュータを、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの当該宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段、
として機能させるためのプログラム。
【請求項1】
対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、
通信ネットワークに接続するための網接続手段と、
前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、
を備えたことを特徴とするVPN接続装置。
【請求項2】
前記VPN転送条件情報は、前記対向ホスト装置のアドレスと前記ホスト装置のアドレスとに加えて、VPNの識別情報を有し、前記パケット制御手段は、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた識別情報で識別されるVPNを利用して前記パケットを送信することを特徴とする請求項1に記載のVPN接続装置。
【請求項3】
前記VPNの識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記VPNの識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報を用いて前記VPN転送条件情報を生成する手段を備えたことを特徴とする請求項1又は2に記載のVPN接続装置。
【請求項4】
対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置であって、
通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段と、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段と、
を備えたことを特徴とするVPN接続装置。
【請求項5】
前記VPN転送条件情報は、前記対向ホスト装置の仮想アドレスと前記ホスト装置のアドレスとに加えて、VPNの識別情報を有し、前記パケット制御手段は、前記パケットの宛先アドレスと送信元アドレスの組に対応付けられた識別情報で識別されるVPNを利用して前記パケットを送信することを特徴とする請求項4に記載のVPN接続装置。
【請求項6】
前記VPNの識別情報と前記ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置に送信し、前記VPNの識別情報と前記対向ホスト装置のアドレスとを含む情報を前記VPNを介して前記対向VPN接続装置から受信し、当該対向VPN接続装置から受信した情報と、前記アドレス取得手段により取得したアドレスとを用いて前記VPN転送条件情報を生成する手段を備えたことを特徴とする請求項4又は5に記載のVPN接続装置。
【請求項7】
対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置が実行するパケット制御方法であって、
前記VPN接続装置は、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記パケット制御方法は、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定ステップと、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御ステップと、
を備えたことを特徴とするパケット制御方法。
【請求項8】
対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置が実行するパケット制御方法であって、
前記VPN接続装置は、通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記パケット制御方法は、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの当該宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定ステップと、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御ステップと、
を備えたことを特徴とするパケット制御方法。
【請求項9】
コンピュータを、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置として機能させるプログラムであって、
前記コンピュータは、通信ネットワークに接続するための網接続手段と、前記VPNを利用するホスト装置を接続するためのホスト装置接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置のアドレスと、前記VPN接続装置に前記ホスト装置接続手段により接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記プログラムは、前記コンピュータを、
前記VPN接続装置に前記ホスト装置接続手段を介して接続されたホスト装置からパケットを受信し、当該パケットの宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段、
として機能させるためのプログラム。
【請求項10】
コンピュータを、対向VPN接続装置との間にVPNを設定する機能を有するVPN接続装置として機能させるためのプログラムであって、
前記コンピュータは、通信ネットワークに接続するための網接続手段と、
前記対向VPN接続装置側で前記VPNを利用する対向ホスト装置の仮想アドレスとして、前記通信ネットワークに配置されたアドレス配布手段を利用してアドレスを取得し、前記VPN接続装置に設定するアドレス取得手段と、
前記仮想アドレスと、前記VPN接続装置に前記網接続手段を介して接続され、前記VPNを利用するホスト装置のアドレスとを含むVPN転送条件情報を格納する記憶手段と、を備え、前記プログラムは、前記コンピュータを、
前記VPN接続装置に前記網接続手段を介して接続されたホスト装置から、宛先アドレスとして前記仮想アドレスを有するパケットを受信し、当該パケットの当該宛先アドレスと送信元アドレスの組が前記記憶手段に格納されたVPN転送条件情報に含まれるかどうかを判定する判定手段、
前記判定手段により含まれると判定された場合に、前記パケットを前記VPNを利用して前記対向VPN接続装置側に前記網接続手段を介して送信するパケット制御手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−157856(P2010−157856A)
【公開日】平成22年7月15日(2010.7.15)
【国際特許分類】
【出願番号】特願2008−334386(P2008−334386)
【出願日】平成20年12月26日(2008.12.26)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
【公開日】平成22年7月15日(2010.7.15)
【国際特許分類】
【出願日】平成20年12月26日(2008.12.26)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
[ Back to top ]