DE112013007099T5 - Relais-Vorrichtung, Verfahren zum Auswählen eines Kommunikationsverfahrens und Programm - Google Patents

Relais-Vorrichtung, Verfahren zum Auswählen eines Kommunikationsverfahrens und Programm Download PDF

Info

Publication number
DE112013007099T5
DE112013007099T5 DE112013007099.5T DE112013007099T DE112013007099T5 DE 112013007099 T5 DE112013007099 T5 DE 112013007099T5 DE 112013007099 T DE112013007099 T DE 112013007099T DE 112013007099 T5 DE112013007099 T5 DE 112013007099T5
Authority
DE
Germany
Prior art keywords
address
communication
vpn
terminal
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE112013007099.5T
Other languages
English (en)
Inventor
Mamoru Kato
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112013007099T5 publication Critical patent/DE112013007099T5/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • H04L61/2535Multiple local networks, e.g. resolving potential IP address conflicts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L25/00Baseband systems
    • H04L25/02Details ; arrangements for supplying electrical power along data transmission lines
    • H04L25/20Repeater circuits; Relay circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2592Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Ein Verbindungseinstellungs-Server-Teil 170 empfängt von einem Endgerät Adressmitteilungsinformationen, die als Kommunikationsadresse eines Registrierungsziel-Endgeräts eine Kommunikationsadresse des einen Endgeräts oder eine Kommunikationsadresse eines anderen Endgeräts, das zum gleichen Netzsegment gehört wie das eine Endgerät, mitteilen. Ein Adressenüberprüfungsteil 150 prüft auf Basis der Kommunikationsadresse des Registrierungsziel-Endgeräts und einer Kommunikationsadresse eines VPN GW 11, ob oder ob nicht das Registrierungsziel-Endgerät zum gleichen Netzsegment gehört wie der VPN GW 11. Ein Kommunikationsverfahren-Wählteil 160 wählt auf Basis des Überprüfungsergebnisses des Segmentüberprüfungsteils 150 ein Kommunikationsverfahren zwischen der Wahlziel-Kommunikationsvorrichtung und dem externen Netzwerk aus den mehreren Kommunikationsverfahren aus.

Description

  • Gebiet der Technik
  • Die vorliegende Erfindung betrifft ein Verfahren zum Auswählen eines Kommunikationsverfahrens aus mehreren Kommunikationsverfahren für eine Kommunikation einer Kommunikationsvorrichtung in einem internen Netzwerk mit einem externen Netzwerk.
  • Allgemeiner Stand der Technik
  • In einem Fall, wo Standorte über ein VPN (Virtual Private Network) verbunden werden, ist es nötig, ein Netz so zu konzipieren, dass eine Kollision von IP(Internet Protocol)-Adressen zwischen den Standorten vermieden wird.
  • Wenn mehrere Standorte, die jeweils unter Verwendung unabhängiger privater IP-Adressen operieren, über das VPN verbunden werden, kann es jedoch zu der Kollision der IP-Adressen zwischen den Standorten kommen.
  • Um einen solchen Nachteil zu vermeiden, gibt es ein Adressenumwandlungsverfahren, das eine im VPN einmalige virtuelle IP-Adresse verwaltet und eine Adressenumwandlung mittels NAT (Network Address Translation) (Nicht-Patentdokument 1) auf VPN GW(GateWay)-Vorrichtungen (im Folgenden als VPN GW bezeichnet) oder Relais-Zentren der Standorte durchführt.
  • Es wird nun eine Funktionsweise eines VPN GW erläutert, der eine Adressenumwandlung mittels NAT durchführt.
  • Zum Beispiel wird angenommen, dass ein Endgerät 1 (IP-Adresse: 192.168.1.2) eines bestimmten Standorts 1 auf ein Endgerät 2 (IP-Adresse: 192.168.1.3) eines Standorts 2 zugreift.
  • Da der Standort 1 und der Standort 2 die gleichen Netzadressen (192.168.1.0/24) haben, kollidieren die Adressen, wenn das Endgerät 1 des Standorts 1 mit dem Endgerät 2 des Standorts 2 ohne Adressenumwandlung kommuniziert, wodurch ein korrektes Routing verhindert wird.
  • Somit geben der VPN GW 1 des Standorts 1 und der VPN GW 2 des Standorts 2 jeweils unter Verwendung einer virtuellen IP-Adresse Endgeräte eines anderen Standorts an.
  • Zum Beispiel gibt der VPN GW 2 des Standorts 2 eine virtuelle IP-Adresse des Endgeräts 1 mit 10.10.10.2 an, und der VPN GW 1 des Standorts 1 gibt eine virtuelle IP-Adresse des Endgeräts 2 mit 10.10.20.3 an.
  • Dann gibt das Endgerät 1 die virtuelle IP-Adresse des Endgeräts 2 als Zieladresse an und schickt ein Paket, der VPN GW 1 und der VPN GW 2 führen eine Adressenumwandlung zwischen der virtuellen IP-Adresse und der realen IP-Adresse auf eine nachstehend beschriebene Art und Weise durch, wodurch die Kollision der privaten IP-Adressen vermieden wird.
    • 1) Endgerät 1 → VPN GW 1: Sender: IP-Adresse (192.168.1.2), die zum Standort 1 des Endgeräts 1 gehört Ziel: virtuelle IP-Adresse des Endgeräts 2 (10.10.20.3)
    • 2) VPN GW 1 → VPN GW 2: Sender: virtuelle IP-Adresse des Endgeräts 1 (10.10.10.2) Ziel: virtuelle IP-Adresse des Endgeräts 2 (10.10.20.3)
    • 3) VPN GW 2 → Endgerät 2: Sender: virtuelle IP-Adresse des Endgeräts 1 (10.10.10.2) Ziel: IP-Adresse (192.168.1.3), die zum Standort 2 des Endgeräts 2 gehört
  • Liste der Entgegenhaltungen
  • Nicht-Patentdokumente
    • Nicht-Patentdokument 1: RFC2663: IP Network Address Translator (NAT) Terminology and Considerations
  • Kurzfassung der Erfindung
  • Technisches Problem
  • Wenn sich das Endgerät, das mit dem VPN verbunden wird, und der VPN GW im selben Netzsegment befinden, kann in dem oben genannten NAT-Verfahren das Endgerät das Kommunikationspaket, in dem die virtuelle IP-Adresse beschrieben ist, an den VPN GW leiten.
  • Wenn in dem oben genannten Beispiel die IP-Adresse des VPN GW 1 beispielsweise 192.168.1.100 ist, kann das Endgerät das Paket, in dem die virtuelle IP-Adresse angegeben ist, unter Angabe des VPN GW als Default-Gateway an den VPN GW leiten.
  • Wenn die Netzsegmente des VPN GW und des Endgeräts dagegen verschieden sind, wenn beispielsweise die IP-Adresse des Endgeräts 192.168.2.2 ist, dann kann das Endgerät den VPN GW nicht als Default-Gateway angeben.
  • Somit besteht das Problem, dass ein Paket, in dem die virtuelle IP-Adresse beschrieben ist, nicht an den VPN GW geleitet werden kann.
  • In einem Fall, wo mehrere Netzsegmenten innerhalb des Standorts vorhanden sind, sind somit Änderungen an den Einstellungen der vorhandenen Router nötig, wodurch die Einführung des VPN sehr aufwändig wird.
  • Um das genannte Problem zu lösen, gibt es ein Verfahren, wo eine Tunnelverbindung von dem Endgerät an dem Standort zum VPN GW durchgeführt wird und ein Paket, in dem die virtuelle IP-Adresse beschrieben ist, durch den Tunnel läuft.
  • Das Tunnelprotokoll beinhaltet zum Beispiel RFC 2637: PPTP (Point-to-Point Tunneling Protocol).
  • Nun wird die Funktionsweise des Endgeräts und des VPN GW beschrieben, die eine Verbindung gemäß dem Tunnelungsverfahren an dem Standort herstellen.
  • Wenn beispielsweise die IP-Adresse des Endgeräts 1 des Standorts 1 192.168.2.2 ist, wird eine Tunnelverbindung vom Endgerät 1 zum VPN GW 1 (zur IP-Adresse 192.168.1.100) hergestellt.
  • Wenn das Endgerät 1 auf das Endgerät 2 am Standort 2 zugreift, kann das Endgerät 1 ein Paket, in dem die Tunnelverarbeitung (die Kapselungsverarbeitung) an der virtuellen IP-Adresse des Endgeräts 2 durchgeführt ist, an den VPN GW 1 senden.
  • Es besteht das Problem, dass das Kommunikationsverfahren, das nur NAT verwendet, nur auf das Endgerät anwendbar ist, das in dem Netzsegment liegt, in dem sich der VPN GW befindet.
  • Ein anderes Problem besteht darin, dass das Kommunikationsverfahren, das nur das Tunnelverfahren nutzt, die VPN-Verbindung des Endgeräts, das keine Tunnelverbindungsfunktion aufweist (beispielsweise eines Nicht-PC(Personal Computer)-Vorrichtung, z.B. eines Sequenzers) nicht schaffen kann.
  • Wenn der VPN GW in dem Kommunikationsverfahren, das sowohl das NAT-Verfahren als auch das Tunnelverfahren nutzt, die Endgeräte am Standort registriert, muss der Anwender ein Relais-Verfahren zur Durchführung der VPN-Verbindung gemäß der Beziehung zwischen dem Endgerät und dem VPN GW innerhalb des Netzwerks auswählen und das ausgewählte Verbindungsverfahren einstellen.
  • Daher besteht das Problem, dass das Einstellen des VPN GW fortgeschrittene Netzwerkkenntnisse erfordert und daher eine Anwendung des VPN GW nicht problemlos vonstatten geht.
  • Das Hauptziel der vorliegenden Erfindung ist die Lösung der genannten Probleme. Genauer zielt die vorliegende Erfindung in erster Linie darauf ab, eine Konfiguration zu erhalten, die ein geeignetes Kommunikationsverfahren unter mehreren Kommunikationsverfahren auswählt, ohne den Anwender damit zu belasten.
  • Lösung des Problems
  • Gemäß der vorliegenden Erfindung, eine Relais-Vorrichtung, die zu einem Netzsegment eines internen Netzwerks gehört, das in mehrere Netzsegmente unterteilt ist, und die eine Kommunikation zwischen dem internen Netzwerk und einem externen Netzwerk, das außerhalb des internen Netzwerks liegt, durch Anpassung an ein Kommunikationsverfahren, das aus mehreren Kommunikationsverfahren ausgewählt wird, übermittelt, wobei die Relais-Vorrichtung aufweist:
    einen Adressmitteilungsinformationen-Empfangsteil, der von einer zum internen Netzwerk gehörenden Kommunikationsvorrichtung Adressmitteilungsinformationen, die entweder eine Kommunikationsadresse der einen Kommunikationsvorrichtung oder eine Kommunikationsadresse einer anderen Kommunikationsvorrichtung, die
  • zum internen Netzwerk gehört, mitteilen, als Kommunikationsadresse einer Wahlziel-Kommunikationsvorrichtung, die ein Wahlziel eines Kommunikationsverfahrens ist, empfängt;
    einen Segmentüberprüfungsteil, der auf Basis der Kommunikationsadresse der Wahlziel-Kommunikationsvorrichtung und der Kommunikationsadresse der Relais-Vorrichtung prüft, ob oder ob nicht die Wahlziel-Kommunikationsvorrichtung zum selben Netzsegment gehört wie die Relais-Vorrichtung; und
    einen Kommunikationsverfahren-Wählteil, der auf Basis eines Überprüfungsergebnisses des Segmentüberprüfungsteils ein Kommunikationsverfahren zwischen der Wahlziel-Kommunikationsvorrichtung und dem externen Netzwerk aus den mehreren Kommunikationsverfahren auswählt.
  • Vorteilhafte Wirkungen der Erfindung
  • Die Relais-Vorrichtung gemäß der vorliegenden Erfindung prüft, ob oder ob nicht die Wahlziel-Kommunikationsvorrichtung zum selben Teilnetzwerk gehört wie die Relais-Vorrichtung, und wählt auf Basis des Überprüfungsergebnisses ein Kommunikationsverfahren zwischen der Wahlziel-Kommunikationsvorrichtung und dem externen Netzwerk aus.
  • Somit kann die vorliegende Erfindung ein geeignetes Kommunikationsverfahren auswählen, ohne den Anwender damit zu belasten.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein Diagramm, das ein Konfigurierungsbeispiel für ein VPN-System gemäß einer ersten Ausführungsform darstellt.
  • 2 ist ein Diagramm, das ein Konfigurierungsbeispiel für einen VPN GW gemäß der ersten Ausführungsform darstellt.
  • 3 ist ein Diagramm, das ein Konfigurierungsbeispiel für einen VPN-Server gemäß der ersten Ausführungsform darstellt.
  • 4 ist ein Diagramm, das Verfahren für Einstellungen eines NAT-Verfahrens, eines Tunnelungsverfahrens und eines NAPT-Verfahrens gemäß der ersten Ausführungsform darstellt.
  • 5 ist ein Diagramm, das ein Beispiel für einen Endgeräteregistrierungs-Bildschirm gemäß der ersten Ausführungsform zeigt.
  • 6 ist ein Diagramm, das ein Beispiel für Einstellungsergebnisinformationen gemäß der ersten Ausführungsform zeigt.
  • 7 ist ein Diagramm, das ein Funktionsbeispiel für den VPN GW gemäß der ersten Ausführungsform darstellt.
  • 8 ist ein Diagramm, das ein Konfigurierungsbeispiel für den VPN GW gemäß der ersten Ausführungsform darstellt.
  • Beschreibung von Ausführungsformen
  • 1. Ausführungsform
  • Im Folgenden wird eine Ausführungsform eines VPN-Systems gemäß der vorliegenden Erfindung erläutert.
  • Die folgende Ausführungsform stellt nur ein Beispiel für die vorliegende Erfindung dar und gibt keine konkrete Konfiguration an.
  • 1 stellt ein Konfigurationsbeispiel für ein VPN-System gemäß der ersten Ausführungsform dar.
  • In 1 wird eine VPN-Verbindung zwischen einem Standort 1 und einem Standort 2 über ein externes Netzwerk und einen Verwaltungsserver 3 ausgeführt.
  • Ein Netzwerk innerhalb des Standorts 1 wird ebenso wie ein Netzwerk innerhalb des Standorts 2 als internes Netzwerk bezeichnet.
  • Ein Router 21 des Standorts 1, ein Router 22 des Standorts 2 und ein VPN-Server 41 des Verwaltungsservers 3 sind mit dem externen Netzwerk verbunden.
  • Als externes Netz kann ein über Kabel oder drahtlos verbundenes Internet verwendet werden.
  • Obwohl eine entsprechende Darstellung in 1 weggelassen ist, kann hierbei eine Firewall oder ein Proxy-Server am Verbindungsteil zwischen dem externen Netzwerk und dem internen Netzwerk angeordnet sein.
  • Ferner können mehrere Router in einer Kaskade verbunden sein.
  • Ein privates Netzwerk (internes Netzwerk) des Standorts 1 wird in ein Netzsegment 1 (192.168.1.0/24) und ein Netzsegment 2 (192.168.2.0/24) geteilt.
  • Dann werden das Netzsegment 1 und das Netzsegment 2 über den Router 21 mit dem externen Netzwerk verbunden.
  • Mit dem Netzsegment 1 sind der VPN GW 11 und das Endgerät 31 verbunden, und mit dem Netzsegment 2 sind das Endgerät 32 und das Endgerät 33 verbunden.
  • Im privaten Netz des Standorts 2 ist ein Netzsegment 3 (192.168.1.0/24) über einen Router 22 mit dem externen Netzwerk verbunden.
  • Mit dem Netzsegment 3 sind der VPN GW 12 und das Endgerät 34 verbunden.
  • Der VPN GW 11 und der VPN GW 12 sind Geräte zum Verwalten virtueller Netzwerke.
  • Der VPN GW 11 und der VPN GW 12 stellen die VPN-Verbindung mit dem VPN-Server 41 her.
  • Die Endgeräte 31 bis 34 sind Rechenvorrichtungen, die eine Anwenderschnittstelle beinhalten, beispielsweise ein PC, ein Server, ein Tablet, ein Smartphone und dergleichen.
  • Ferner können die Endgeräte 31 bis 34 Netzverbindungsvorrichtungen sein, die einen Sequenzer, eine Fertigungsanlage, eine Elektrizitätsmessvorrichtung und dergleichen beinhalten.
  • Der VPN GW 11 und der VPN GW 12 wählen ein Kommunikationsverfahren zwischen dem Endgerät am Standort und dem externen Netzwerk aus mehreren Kommunikationsverfahren aus.
  • Ferner steuern der VPN GW 11 und der VPN GW 12 die Kommunikation zwischen dem Endgerät am Standort und dem externen Netzwerk durch Anpassen an das ausgewählte Kommunikationsverfahren.
  • Hierbei entsprechen der VPN GW 11 und der VPN GW 12 den Beispielen für eine Relais-Vorrichtung.
  • Ferner entsprechen die Endgeräte 31 bis 34 Beispielen für eine Kommunikationsvorrichtung.
  • Für das Netzsegment 1 des Standorts 1 und das Netzsegment 3 des Standorts 2 werden dieselben Netzadressen 192.168.1.0/24 verwendet.
  • Somit kann es vorkommen, dass die Kommunikation wegen der Überlappung der IP-Adressen nicht implementiert werden kann, wenn die Standorte vom VPN unter Verwendung der realen IP-Adressen verbunden werden.
  • Zum Beispiel überlappen die IP-Adressen des Endgeräts 31 und des Endgeräts 34.
  • Daher verwendet im VPN zwischen dem VPN GW bis zum VPN-Server des VPN GW jedes Endgerät eine virtuelle IP-Adresse, mit der jedes Endgerät eindeutig identifiziert wird.
  • Im Folgenden wird ein Fall erläutert, wo die Verwaltung und die Zuordnung der virtuellen IP-Adresse zentral vom VPN-Server 41 administriert werden.
  • Jedoch kann auch eine andere Konfiguration gebildet werden, so dass jeder VPN GW die virtuellen IP-Adressen verwaltet und zuweist.
  • In der vorliegenden Ausführungsform werden die folgenden virtuellen IP-Adressen angenommen.
  • 10.10.10.0/24 wird als Netzadresse für den Standort 1 angenommen.
  • 10.10.20.0/24 wird als Netzadresse für den Standort 2 angenommen.
  • 10.10.10.2 wird als virtuelle IP-Adresse des Endgeräts 31 angenommen.
  • 10.10.10.3 wird als virtuelle IP-Adresse des Endgeräts 32 angenommen.
  • 10.10.10.4 wird als virtuelle IP-Adresse des Endgeräts 33 angenommen.
  • 10.10.20.2 wird als virtuelle IP-Adresse des Endgeräts 34 angenommen.
  • Der VPN GW 11 empfängt das Kommunikationspaket mit der virtuellen IP-Adresse, die dem Standort 2 entspricht, von dem Endgerät, das am Standort 1 registriert ist.
  • Dann überträgt der VPN GW 11 das Kommunikationspaket durch den VPN-Tunnel zwischen dem VPN GW 11 und dem VPN-Server 41 auf den VPN-Server 41.
  • Der VPN-Server 41 führt das Routing zum Standort 2 auf Basis der virtuellen IP-Adresse des Kommunikationspakets aus.
  • Dann schickt der VPN-Server 41 das Kommunikationspaket durch den VPN-Tunnel zwischen dem VPN-Server 41 und dem VPN GW 12 an den VPN GW 12.
  • Der VPN GW 12 schickt das empfangene Kommunikationspaket an das Endgerät am entsprechenden Standort 2.
  • Wie oben erörtert worden ist, ist selbst dann, wenn die privaten IP-Adressenn zwischen den Standorten überlappen, die Kommunikation zwischen den Standorten möglich.
  • Ferner übermittelt der Verwaltungsserver 3 in der vorliegenden Ausführungsform die Kommunikationsdaten des VPN; jedoch kann die Konfiguration auch eine andere sein, wo der Verwaltungsserver nur die Verbindung zwischen den Standorten verwaltet und eine Peer-to-Peer-Kommunikation zwischen dem Standort 1 und dem Standort 2 und nicht durch den Verwaltungsserver 3 durchgeführt wird.
  • Nun wird unter Bezugnahme auf 2 und 3 eine ausführliche Erläuterung des VPN GW 11 und des VPN-Servers 41 gegeben.
  • Da der VPN GW 12 die gleiche Konfiguration hat wie der VPN GW 11, wird auf seine Erläuterung hier verzichtet.
  • Wie in 2 dargestellt ist, ist der VPN GW 11 über einen LAN(Local Area Network)-Schnittstellenteil 110 mit dem privaten Netzwerk am Standort verbunden.
  • Ferner weist der VPN GW 11 einen VPN-Verbindungs-Client-Teil 120, einen Adressen-/Port-Umwandlungsteil 130, einen Tunnelverbindungsteil 140, einen Adressenüberprüfungsteil 150, einen Verbindungsverfahren-Einstellungsteil 160 und einen Verbindungseinstellungs-Server-Teil 170 auf.
  • Wie in 3 dargestellt ist, weist der VPN-Server 41 einen VPN-Verbindungs-Verwaltungsteil 410, einen VPN-Verbindungs-Server-Teil 420 und einen Teil 430 zum Zuweisen von virtuellen IP-Adressen auf.
  • Im VPN GW 11 kann der LAN-Schnittstellenteil 110, wie oben erörtert, eine Schnittstelle, die an das über Kabel verbundene LAN angepasst ist, oder die Schnittstelle sein, die an das drahtlose LAN angepasst ist.
  • In einem Fall, wo der VPN GW 11 beispielsweise mit dem über Kabel verbundenen LAN verbunden ist, kann die Schnittstelle für Ethernet (eingetragenes Warenzeichen) als LAN-Schnittstellenteil 110 verwendet werden.
  • Obwohl 2 nur einen LAN-Schnittstellenteil darstellt, kann der VPN GW 11 ferner mit zwei oder mehr LAN-Schnittstellen ausgestattet sein.
  • Zum Beispiel kann die Konfiguration eine LAN-Schnittstelle zur Verbindung mit dem VPN und eine LAN-Schnittstelle zur Verbindung mit dem Endgerät am Standort aufweisen.
  • Der VPN-Verbindungs-Client-Teil 120 richtet den VPN-Tunnel zwischen dem VPN-Verbindungs-Client-Teil 120 und dem VPN-Verbindungs-Server-Teil 420 ein.
  • Der VPN-Tunnel kann anhand der bekannten VPN-Software oder -Hardware eingerichtet werden.
  • Die vorliegende Ausführungsform soll anhand eines Beispiels erläutert werden, in dem der VPN-Tunnel durch Open VPN eingerichtet wird.
  • Vor der VPN-Verbindung greift der Administrator des VPN GW 11 auf den VPN-Verbindungs-Verwaltungsteil 410 des VPN-Servers 41 zu und registriert Informationen über den VPN GW 11 und das VPN-Verbindungs-Endgerät am Standort.
  • Der VPN-Verbindungs-Verwaltungsteil 410 wird beispielsweise durch die Web-Anwendung und dergleichen implementiert.
  • Der Administrator des VPN GW 11 greift unter Verwendung des Web-Browsers oder einer exklusiven Client-Anwendung vom Endgerät am Standort aus auf den VPN-Verbindungs-Verwaltungsteil 410 zu und registriert eine Kennung des VPN GW und eine IP-Adresse des Endgeräts am Standort, das mit dem VPN im VPN-Verbindungs-Verwaltungsteil 410 verbunden werden soll.
  • Die virtuelle IP-Adresse für den registrierten VPN GW und die virtuelle IP-Adresse für das registrierte Endgerät werden von dem Teil 430 zum Zuweisen von virtuellen IP-Adressen zugewiesen.
  • Dann werden die von dem Teil 430 zum Zuweisen von virtuellen IP-Adressen zugewiesenen virtuellen IP-Adressen im VPN-Verbindungs-Server-Teil 420 gespeichert.
  • Das Zuweisungsverfahren für die virtuellen IP-Adressen kann irgendeines sein, wenn gemäß einem solchen Verfahren der VPN GW oder das Endgerät, das mit demselben VPN verbunden werden sollen, eindeutig identifiziert werden können.
  • Wie oben erörtert, kann beispielsweise ein Bereich der virtuellen IP-Adressen, die für die Endgeräte unter dem VPN GW verfügbar sind, vorab für jeden VPN GW zugeteilt werden.
  • Der Adressen-/Port-Umwandlungsteil 130 des VPN GEW 11 führt die Umwandlung der IP-Adresse und der Port-Nummer zwischen dem Kommunikationspaket, das durch den LAN-Schnittstellenteil 110 vom LAN kommend empfangen wird, und dem Kommunikationspaket, das durch den VPN-Verbindungs-Client-Teil 120 vom VPN kommend empfangen wird, durch.
  • Der Verbindungsverfahren-Einstellungsteil 160, der später erörtert werden wird, bewahrt Einstellungsergebnisinformationen, die in 6 dargestellt sind.
  • Die Einstellungsergebnisinformationen sind Informationen, in denen die reale IP-Adresse, die virtuelle IP-Adresse und das Verbindungsverfahren (das NAT-Verfahren, das Tunnelungsverfahren und das NAPT-Verfahren) miteinander in Beziehung gesetzt sind.
  • Der Adressen-/Port-Umwandlungsteil 130 führt unter Bezugnahme auf die Einstellungsergebnisinformationen die Umwandlung der IP-Adresse und der Port-Nummer durch.
  • Einzelheiten zu den Einstellungsergebnisinformationen werden weiter unten erörtert.
  • Die Umwandlung der IP-Adresse und der Port-Nummer durch den Adressen-/Port-Umwandlungsteil 130 wird gemäß den folgenden Regeln durchgeführt:
  • (1) NAT-Verfahren (das Paket wird vom VPN kommend empfangen)
  • Falls die Ziel-IP-Adresse des Kommunikationspakets, das durch den VPN-Verbindungs-Client-Teil 120 empfangen wird, in den Einstellungsergebnisinformationen mit der registrierten virtuellen IP-Adresse in Bezug auf das NAT-Verfahren übereinstimmt, wandelt der Adressen-/Port-Umwandlungsteil 130 die Ziel-IP-Adresse, das heißt die virtuelle IP-Adresse, in die entsprechende reale IP-Adresse um.
  • Dann schickt der Adressen-/Port-Umwandlungsteil 130 das Kommunikationspaket, dessen Adresse umgewandelt worden ist, an den LAN-Schnittstellenteil 110.
  • (2) NAT-Verfahren (das Paket wird vom Endgerät am Standort kommend empfangen)
  • Falls die Sender-IP-Adresse des Kommunikationspakets, das durch den LAN-Schnittstellenteil 110 empfangen wird, in den Einstellungsergebnisinformationen mit der registrierten realen IP-Adresse in Bezug auf das NAT-Verfahren übereinstimmt und die Ziel-IP-Adresse in den Einstellungsergebnisinformationen mit der registrierten virtuellen IP-Adresse in Bezug auf das NAT-Verfahren übereinstimmt, wandelt der Adressen-/Port-Umwandlungsteil 130 die Sender-IP-Adresse, das heißt die reale IP-Adresse, in die entsprechende virtuelle IP-Adresse um.
  • Dann schickt der Adressen-/Port-Umwandlungsteil 130 das Kommunikationspaket, dessen Adresse umgewandelt worden ist, an den VPN-Verbindungs-Client-Teil 120.
  • (3) NAPT-Verfahren (das Paket wird vom VPN kommend empfangen)
  • Falls die Ziel-IP-Adresse des Kommunikationspakets, das durch den VPN-Verbindungs-Client-Teil 120 empfangen wird, in den Einstellungsergebnisinformationen mit der registrierten virtuellen IP-Adresse in Bezug auf das NAPT-Verfahren übereinstimmt, wandelt der Adressen-/Port-Umwandlungsteil 130 die Ziel-IP-Adresse, das heißt die virtuelle IP-Adresse, in die entsprechende reale IP-Adresse um.
  • Außerdem registriert der Adressen-/Port-Umwandlungsteil 130 die Sender-IP-Adresse, die Sender-Port-Nummer und die Port-Nummer im VPN GW 11, die neu erhalten worden ist, in der Umwandlungstabelle, indem er sie miteinander in Beziehung setzt.
  • Ferner wandelt der Adressen-/Port-Umwandlungsteil 130 die Sender-IP-Adresse in die IP-Adresse am Standort des VPN GW 11 und die Sender-Port-Nummer in die neu erhaltene Port-Nummer um.
  • Dann schickt der Adressen-/Port-Umwandlungsteil 130 das Kommunikationspaket, dessen Adresse und Port-Nummer umgewandelt worden sind, an den LAN-Schnittstellenteil 110.
  • (4) NAPT-Verfahren (das Paket wird vom Endgerät am Standort kommend empfangen)
  • Falls die Sender-IP-Adresse des Kommunikationspakets, das durch den LAN-Schnittstellenteil 110 empfangen wird, in den Einstellungsergebnisinformationen mit der registrierten realen IP-Adresse in Bezug auf das NAPT-Verfahren übereinstimmt, wandelt der Adressen-/Port-Umwandlungsteil 130 die Sender-IP-Adresse, das heißt die reale IP-Adresse, in die entsprechende virtuelle IP-Adresse um.
  • Ferner durchsucht der Adressen-/Port-Umwandlungsteil 130 auf Basis der Ziel-Port-Nummer die Umwandlungstabelle von (3) und stellt die Sender-IP-Adresse und die Sender-Port-Nummer der übereinstimmenden Eintragung als Ziel-IP-Adresse bzw. Sender-Port-Nummer ein.
  • Dann schickt der Adressen-/Port-Umwandlungsteil 130 das Kommunikationspaket, dessen Adresse und Port-Nummer umgewandelt worden sind, an den VPN-Verbindungs-Client-Teil 120.
  • 4 zeigt ein Einstellungsbeispiel für die Umwandlung der IP-Adresse und der Port-Nummer durch den Adressen-/Port-Umwandlungsteil 130.
  • 4 zeigt ein Einstellungsbeispiel, wenn Iptables verwendet wird, das auf einem Linux (eingetragenes Warenzeichen) OS (Betriebssystem) aufgespielt ist.
  • In dem Beispiel von 4 werden die Adresse, die in dem Kommunikationspaket beschrieben ist, dessen Ziel das Endgerät 31 am Standort 1 ist, und die Adresse, die in dem vom Endgerät 31 am Standort 1 kommenden Kommunikationspaket beschrieben ist, anhand des NAT-Verfahrens umgewandelt.
  • Genauer beschreiben die 5. Zeile und die 17. Zeile von 4 die Einstellung der Umwandlung des obigen (1) NAT-Verfahrens (das Paket wird vom VPN kommend empfangen).
  • Die virtuelle IP-Adresse, die in dem Einstellungsbeispiel von 4 definiert ist, ist 10.10.10.2, und die reale IP-Adresse ist 192.168.1.2.
  • Ferner beschreiben die 7. Zeile und die 20. Zeile die Einstellung der Umwandlung des obigen (2) NAT-Verfahrens (das Paket wird vom Endgerät am Standort kommend empfangen).
  • Die virtuelle IP-Adresse, die als die Ziel-IP-Adresse definiert ist, ist 10.10.20.0/24, was der Bereich der virtuellen IP-Adresse des Standorts 2 ist.
  • Im Beispiel von 4 werden ferner die Adresse und die Port-Nummer, die in dem Kommunikationspaket beschrieben sind, dessen Ziel das Endgerät 33 am Standort 1 ist, und die Adresse und die Port-Nummer, die in dem vom Endgerät 33 am Standort 1 kommenden Kommunikationspaket beschrieben sind, anhand des NAPT-Verfahrens umgewandelt.
  • Genauer wird in den Zeilen 6, 9, 10 11 und 18 die Einstellung der Umwandlung des obigen (3) NAPT-Verfahrens (das Paket wird vom VPN kommend empfangen) beschrieben.
  • Hierbei werden zwei Schritte ausgeführt, um zu überprüfen, ob oder ob nicht die Ziel-IP-Adresse mit der in Bezug auf das NAPT-Verfahren registrierten virtuellen IP-Adresse übereinstimmt.
  • Falls die Ziel-IP-Adresse mit der in der 6. Zeile definierten virtuellen IP-Adresse übereinstimmt, wird zunächst die Ziel-IP-Adresse in die reale IP-Adresse umgewandelt, die in der 6. Zeile beschrieben ist.
  • Wenn dann in der 9. und der 10. Zeile die reale IP-Adresse nach der Umwandlung mit der IP-Adresse übereinstimmt, die das NAPT-Verfahren nicht verwendet (in diesem Fall die Adresse des Segments 1 und die virtuelle IP-Adresse des Endgeräts 32, die 10.10.10.3 lautet), wird bestimmt, dass das NAPT-Verfahren für das Kommunikationspaket, das die aktuell angezielte Ziel-IP-Adresse enthält, nicht verwendet wird.
  • Ansonsten, das heißt wenn die reale IP-Adresse nach der Umwandlung mit der IP-Adresse übereinstimmt, die das NAPT-Verfahren verwendet, geht das Verfahren zur 11. Zeile weiter, und die IP-Adresse und der Port des Senders werden umgewandelt.
  • Wenn in der 11. Zeile die Sender-IP-Adresse die virtuelle IP-Adresse des Standorts ist, bei dem es sich nicht um den Standort 1 handelt (in diesem Fall 10.10.20.0/24, was der Bereich der virtuellen IP-Adresse des Standorts 2 ist), und die Ziel-IP-Adresse die Adresse ist, die auf den LAN-Schnittstellenteil 110 übertragen werden soll, werden die IP-Adresse und der Port des Senders anhand des NAPT-Verfahrens umgewandelt. Die gegenseitige Assoziierung der IP-Adresse und der Port-Nummer des Senders vor der Umwandlung und der Port-Nummer nach der Umwandlung wird durch Iptables verwaltet.
  • Die virtuelle IP-Adresse, die in der 6. Zeile beschrieben wird, ist 10.10.10.4, und die reale IP-Adresse ist 192.168.2.3.
  • Ferner wird in den Zeilen 8, 11 und 21 die Einstellung der Umwandlung des obigen (4) NAT-Verfahrens (das Paket wird vom Endgerät am Standort kommend empfangen) durchgeführt.
  • Zuerst wird in der 11. Zeile eine inverse Umwandlung des obigen (3) durchgeführt. Das heißt, wenn die Ziel-IP-Adresse und die Port-Nummer mit der Sender-IP-Adresse und der Port-Nummer nach der Umwandlung von (3) oben übereinstimmen, werden die Ziel-IP-Adresse und die Port-Nummer vor der Umwandlung von (3) oben in die IP-Adresse und die Port-Nummer des Senders umgewandelt. In den Zeilen 8 und 21 wird die Einstellung der Umwandlung der Sender-IP-Adresse beschrieben. Falls die Sender-IP-Adresse die reale IP-Adresse 192.168.2.3 ist und die Ziel-IP-Adresse 10.10.20.0/24 ist, was der Bereich der virtuellen IP-Adresse des Standorts 2 ist, wird die Sender-IP-Adresse in die virtuelle IP-Adresse 10.10.10.4 umgewandelt.
  • Hierbei stehen die Zeilen 10, 19 und 22 für Einstellungsbeispiele für einen Fall, wo das Endgerät 32 das Tunnelungsverfahren verwendet.
  • Das heißt, die Zeilen 10, 19 und 22 stellen Einstellungen dar, gemäß denen nur eine Übertragung des Kommunikationspakets zwischen dem Tunnelverbindungsteil 140 und dem VPN-Verbindungs-Client-Teil 120, ohne Adressenumwandlung, ausgeführt wird.
  • Ferner steht in 4 eth0 für einen Namen der Schnittstelle des LAN-Schnittstellenteils 110.
  • Ferner steht tun0 für einen Namen der Schnittstelle des VPN-Verbindungs-Client-Teils 120.
  • Die Einstellung von 4 zeigt nur ein Beispiel, und für den Fachmann liegt es nahe, eine gleichwertige Konfiguration mit einer anderen Einstellung zu implementieren.
  • Die Einstellung von Fig. gibt die Adresse und das Verbindungsverfahren wieder, das in den Einstellungsergebnisinformationen beschrieben wird, die von dem Verbindungsverfahren-Einstellungsteil 160 erzeugt werden.
  • Nach dem Empfang der Tunnelverbindungsanfrage vom Endgerät am Standort richtet der Tunnelverbindungsteil 140 die Tunnelverbindung zwischen dem Endgerät am Standort und dem Tunnelverbindungsteil 140 ein.
  • Der Tunnelverbindungsteil 140 schickt das empfangene Paket über den Tunnel an den VPN-Verbindungs-Client-Teil 120.
  • Wenn die Ziel-IP-Adresse des vom VPN-Verbindungs-Client-Teil 120 empfangenen Pakets mit der registrierten virtuellen IP-Adresse in Bezug auf das Tunnelungsverfahren in den Einstellungsergebnisinformationen übereinstimmt, schickt das Tunnelverbindungsteil 140 ferner das Paket an den Tunnel, welcher der virtuellen IP-Adresse entspricht.
  • Als Tunnelverbindungsteil 140 kann ein PPTP(Point-to-Point Tunneling Protocol)-Server und dergleichen verwendet werden.
  • Der PPTP-Server kann durch pptpd-Software implementiert werden, die auf Linux (eingetragenes Warenzeichen) OS läuft
  • Da die Tunnelverbindung somit der Kommunikation innerhalb des Standorts dient, ist eine Verschlüsselung der Daten unnötig.
  • Die Verarbeitungsmenge des VPN GW kann durch Eliminieren der Verschlüsselung verringert werden.
  • Für die Verbindung vom Endgerät 32 zum PPTP-Server kann im Falle eines Windows (eingetragenes Warenzeichen) OS die Funktion der Internetverbindung (VPN), die mit dem OS als Standardfunktion einhergeht, verwendet werden.
  • Der Verbindungseinstellungs-Server-Teil 170 wird beispielsweise durch die Web-Anwendung und dergleichen implementiert.
  • Der Verbindungseinstellungs-Server-Teil 170 führt die Registrierung der IP-Adresse und die Einstellung des Verbindungsverfahrens des Endgeräts am Standort, das mit dem VPN verbunden werden soll, durch.
  • Der Anwender führt den Web-Browser oder die exklusive Client-Anwendung im Endgerät am Standort aus und fordert den VPN-Verbindungs-Verwaltungsteil 410 oder den Verbindungseinstellungs-Server-Teil 170 auf, die IP-Adresse zu registrieren. Der VPN-Verbindungs-Verwaltungsteil 410 oder der Verbindungseinstellungs-Server-Teil 170 führt die Registrierung der IP-Adresse und die Einstellung am Verbindungsverfahren durch.
  • Zum Beispiel gibt es, wie oben beschrieben, zwei Verfahren zum Synchronisieren der Registrierung der IP-Adresse zwischen dem VPN-Verbindungs-Verwaltungsteil 410 und dem Verbindungseinstellungs-Server-Teil 170.
  • Das erste Verfahren besteht darin, dass eine Mehrzahl von IP-Adressen, die vom VPN-Verbindungs-Verwaltungsteil 410 registriert werden, an den VPN GW weitergegeben werden, und dass der Verbindungseinstellungs-Server-Teil 170 die mehreren IP-Adressen registriert.
  • Das zweite Verfahren besteht darin, dass die mehreren IP-Adressen, die vom Verbindungseinstellungs-Server-Teil 170 registriert werden, in den VPN-Verbindungs-Verwaltungsteil 410 hochgeladen werden und dass der VPN-Verbindungs-Verwaltungsteil 410 die mehreren IP-Adressen registriert.
  • Ferner wird vom Endgerät am Standort auf den Verbindungseinstellungs-Server-Teil 170 zugegriffen und dieser empfängt einen Befehl zum Registrieren des Endgeräts, das sich neu mit dem VPN verbunden hat.
  • Der Verbindungseinstellungs-Server-Teil 170 schickt zum Beispiel Bildschirminformationen (Web-Bildschirm) für die Eingabe der IP-Adresse an das Endgerät, das die Registrierungsoperation ausführt (im Folgenden auch als registrierungsausführendes Endgerät bezeichnet).
  • Dann gibt der Anwender die IP-Adresse des Endgeräts des Registrierungsziels (der Wahlziel-Ziel-Kommunikationsvorrichtung) in ein Texteingabefeld zum Eingeben der IP-Adresse am Web-Bildschirm, der am registrierungsausführenden Endgerät angezeigt wird, ein.
  • Oder der Anwender wählt die IP-Adresse des Endgeräts des Registrierungsziels (der zu Auswahl stehenden Ziel-Kommunikationsvorrichtung) aus einer Liste der IP-Adressen der in Frage kommenden Registrierungsziele auf dem Web-Bildschirm, der am registrierungsausführenden Endgerät angezeigt wird, mittels eines Kontrollkästchens usw. aus.
  • Der Anwender kann die IP-Adresse des Endgeräts, bei dem es sich nicht um das registrierungsausführende Endgerät handelt (des Endgeräts, mit dem der Anwender gerade arbeitet) und das zum selben Netzsegment gehört wie das registrierungsausführende Endgerät, als Registrierungziel einstellen.
  • Dann werden durch Aktivieren der Registrierungsschaltfläche auf dem Web-Bildschirm durch den Anwender Informationen über die IP-Adresse des Registrierungsziels vom Endgerät an den VPN GW 11 geschickt.
  • Ferner ruft der Verbindungseinstellungs-Server-Teil 170 die IP-Adresse des registrierungsausführenden Endgeräts ab.
  • Falls der Verbindungseinstellungs-Server-Teil 170 die Web-Anwendung ist, kann der Verbindungseinstellungs-Server-Teil 170 die IP-Adresse eines Endgeräts, das einen Browser ausgeführt hat, durch REMOTE_ADDR erkennen, wie von RFC 3875 (The Common Gateway Interface (CGI) Version 1.1) definiert wird.
  • Ferner ist der Verbindungseinstellungs-Server-Teil 170 zum Beispiel ein Servlet von Java (eingetragenes Warenzeichen), der Verbindungseinstellungs-Server-Teil 170 kann die IP-Adresse eines Endgeräts, das einen Browser ausgeführt hat, durch getRemoteAddr() erkennen.
  • Auch in einem Fall, wo eine andere Ausführungsumgebung verwendet wird, kann der Verbindungseinstellungs-Server-Teil 170 anhand der gleichwertigen Funktion die IP-Adresse eines Endgeräts erkennen, das einen Browser ausgeführt hat.
  • Hierbei entspricht der Verbindungseinstellungs-Server-Teil 170 einem Beispiel für einen Adressmitteilungsinformationen-Empfangsteil und einem Bildschirminformationen-Sendeteil.
  • 5 stellt ein Beispiel für den Endgeräteregistrierungs-Bildschirm (Web-Bildschirm) dar, den der Verbindungseinstellungs-Server-Teil 170 an das registrierungsausführende Endgerät schickt.
  • Ein Endgeräteregistrierungs-Bildschirm 500 beinhaltet eine Optionsschaltfläche 501, ein Textfeld 502, eine Optionsschaltfläche 503, ein Textfeld 504 und eine Registrierungsschaltfläche 505.
  • Die Optionsschaltfläche 501 ist eine Optionsschaltfläche zum Auswählen des registrierungsausführenden Endgeräts (des Endgeräts 31 in dem Beispiel von 5).
  • Das Textfeld 502 ist ein Textfeld zum Anzeigen der IP-Adresse des registrierungsausführenden Endgeräts.
  • In einem Fall, wo der Anwender die Optionsschaltfläche 501 auswählt, wird die IP-Adresse des registrierungsausführenden Endgeräts, die vom Verbindungseinstellungs-Server-Teil 170 anhand des oben beschriebenen Verfahrens abgerufen worden ist, automatisch im Textfeld 502 angezeigt.
  • Man beachte, dass alternativ dazu der Anwender die IP-Adresse des registrierungsausführenden Endgeräts in das Textfeld 502 eingegeben kann.
  • Die Optionsschaltfläche 503 ist eine Optionsschaltfläche zum Auswählen eines anderen Endgeräts, das sich vom registrierungsausführenden Endgerät unterscheidet.
  • Das Textfeld 504 ist ein Textfeld zum Eingeben der IP-Adresse des anderen Endgeräts.
  • Die Registrierungsschaltfläche 505 ist eine Schaltfläche zum Ausführen der Registrierung der IP-Adresse.
  • Der Anwender wählt unter Verwendung des Bildschirms von 5 am Endgerät aus, ob das Endgerät des Registrierungsziels das Endgerät, das der Anwender derzeit benutzt (das registrierungsausführende Endgerät), oder ein anderes Endgerät ist.
  • Wenn das Endgerät des Registrierungsziels das andere Endgerät ist, gibt der Anwender dann die IP-Adresse des anderen Endgeräts in das Textfeld 504 ein.
  • Während die IP-Adresse des registrierungsausführenden Endgeräts oder die IP-Adresse des anderen Endgeräts im Textfeld angezeigt wird, werden Informationen, welche die IP-Adresse (die IP-Adresse des Registrierungsziels) im Textfeld mitteilen, an den Verbindungseinstellungs-Server-Teil 170 geschickt, wenn der Anwender die Registrierungsschaltfläche 505 aktiviert.
  • Hierbei wird der Fachmann klar verstehen, dass vor dem Anzeigen auf dem Bildschirm von 5 Sicherheitsmaßnahmen ergriffen werden können, wie das Anzeigen des Anmeldebildschirms für den Anwender und dergleichen.
  • Der Adressenüberprüfungsteil 150 empfängt Informationen vom Anwender (das gewählte Ergebnis der Optionsschaltfläche, die reale IP-Adresse, die im Textfeld beschrieben wird) vom Verbindungseinstellungs-Server-Teil 170.
  • Ferner empfängt der Adressenüberprüfungsteil 150 die IP-Adresse und die Netzmaske des VPN GW 11, die im LAN-Schnittstellenteil 110 eingestellt sind, vom Verbindungseinstellungs-Server-Teil 170.
  • Auf Basis der empfangenen Informationen wählt der Adressenüberprüfungsteil 150 einen Typ aus den folgenden drei Typen aus.
    (Typ 1) In einem Fall, wo die IP-Adresse des Registrierungsziels eine Adresse ist, die im selben Netzsegment enthalten ist wie der VPN GW 11:
    Beispiel) Wenn das Endgerät 31 (IP-Adresse: 192.168.1.2) die IP-Adresse des Endgeräts 31 selbst registriert, ist die IP-Adresse des Endgeräts 31 im selben Netzsegment enthalten wie der VPN GW 11.
    (Typ 2) In einem Fall, wo die IP-Adresse des registrierungsausführenden Endgeräts die IP-Adresse des Registrierungsziels ist, und wenn ferner die IP-Adresse des Registrierungsziels nicht im selben Netzsegment enthalten ist wie der VPN GW 11:
    Beispiel) Wenn das Endgerät 32 (IP-Adresse: 192.168.2.2) das Endgerät 32 selbst registriert, ist die IP-Adresse des Endgeräts 32 nicht im selben Netzsegment enthalten wie der VPN GW 11.
    (Typ 3) In einem Fall, wo die IP-Adresse des registrierungsausführenden Endgeräts nicht die IP-Adresse des Registrierungsziels ist, und wenn ferner die IP-Adresse des Registrierungsziels nicht im selben Netzsegment enthalten ist wie der VPN GW 11:
    Beispiel) Wenn das Endgerät 31 (IP-Adresse: 192.168.1.2) das Endgerät 33 registriert (IP-Adresse: 192.168.2.3), ist die IP-Adresse des Endgeräts 33 nicht im selben Netzsegment enthalten wie der VPN GW 11.
  • Hierbei prüft der Adressenüberprüfungsteil 150, ob oder ob nicht die IP-Adresse des Registrierungsziels im selben Netzsegment enthalten ist wie der VPN GW 11 (Prüfung des Typs 1). Wenn die IP-Adresse des Registrierungsziels nicht im selben Netzsegment enthalten ist wie der VPN GW 11, prüft der Adressenüberprüfungsteil 150, ob oder ob nicht die IP-Adresse des registrierungsausführenden Endgeräts der IP-Adresse des Registrierungsziels gleich ist (Prüfung des Typs 2 und des Typs 3).
  • Der Adressenüberprüfungsteil 150 entspricht einem Beispiel für einen Segmentüberprüfungsteil.
  • Der Verbindungsverfahren-Einstellungsteil 160 wählt auf Basis des Überprüfungsergebnisses vom Adressenüberprüfungsteil 150 das Verbindungsverfahren (das Kommunikationsverfahren) des Endgeräts des Registrierungsziels auf die folgende Weise aus.
  • Dann führt das Verbindungsverfahren-Einstellungsteil 160 die Einstellung von Informationen wie des Verbindungsverfahrens und der IP-Adresse des Registrierungsziel-Endgeräts und dergleichen für das Adressen-/Port-Umwandlungsteil 130 oder das Tunnelverbindungsteil 140 durch.
    (Typ 1) Verbindung anhand des NAT-Verfahrens unter Verwendung des Adressen-/Port-Umwandlungsteils 130
    (Typ 2) Verbindung anhand des Tunnelungsverfahrens unter Verwendung des Tunnelverbindungsteils 140
    (Typ 3) Verbindung anhand des NAPT-Verfahrens unter Verwendung des Adressen-/Port-Umwandlungsteils 130
  • Ferner kann der Verbindungsverfahren-Einstellungsteil 160 das Ergebnis der Auswahl an den Verbindungseinstellungs-Server-Teil 170 zurückschicken.
  • In diesem Fall kann der Verbindungseinstellungs-Server-Teil 170 einen Bildschirm anzeigen, der den Anwender auffordert zu bestätigen, ob der Anwender das vom Verbindungseinstellungs-Server-Teil 170 ausgewählte Verbindungsverfahren akzeptiert oder nicht.
  • Ferner kann der Verbindungseinstellungs-Server-Teil 170 einen Bildschirm anzeigen, der den Anwender auffordert, Informationen einzugeben, die außerdem noch nötig sind (Parameter wie ein Passwort für die Tunnelverbindung).
  • Darüber hinaus kann der Verbindungseinstellungs-Server-Teil 170 einen Bildschirm anzeigen, der dem Anwender das Einstellungsverfahren für das Registrierungsziel-Endgerät mitteilt
  • Zum Beispiel zeigt der Verbindungseinstellungs-Server-Teil 170, wenn das NAT-Verfahren ausgewählt wird, ein Verfahren zum Ausführen eines Route-Befehls an, um die Einstellung des Routing des Registrierungsziel-Endgeräts zu ändern.
  • Oder der Verbindungseinstellungs-Server-Teil 170 zeigt ein Verfahren zum Ändern des Default-Gateway an.
  • Wenn das Tunnelungsverfahren ausgewählt ist, zeigt der Verbindungseinstellungs-Server-Teil 170 ein Verfahren zum Generieren der Tunnelverbindung des Registrierungsziel-Endgeräts für jedes OS an.
  • Außerdem kann der Verbindungseinstellungs-Server-Teil 170 außer dem Anzeigen dieser Verfahren auch Programme zum Ausführen dieser Einstellung herunterladen. Wenn beispielsweise das NAT-Verfahren ausgewählt wird, wird zur Ausführung der Routing-Einstellung für das Registrierungsziel-Endgerät das ausführbare Programm, das die kombinierten Inhalte des Route-Befehls und der Eingabeparameter (des Routing-Einstellungseinhalts) aufweist, vom Anwender heruntergeladen und ausgeführt, wodurch die Last der Eingabe aufwändiger Befehle und Parameter eliminiert wird. Ebenso wird, wenn das Tunnelungsverfahren ausgewählt wird, das Programm zum automatischen Erzeugen der Tunnelverbindung des Registrierungsziel-Endgeräts, das den Einstellungsinhalt enthält (die IP-Adresse, mit der eine Verbindung hergestellt werden soll, und die Verbindungsparameter und dergleichen), vom Verbindungseinstellungs-Server-Teil 170 generiert, vom Anwender heruntergeladen und ausgeführt, wodurch die Last der aufwändigen Generierung der Tunnelverbindung eliminiert wird.
  • Falls vom Adressenüberprüfungsteil 150 bestimmt wird, dass es um Typ 1 geht, gehört das Registrierungsziel-Endgerät zum selben Netzsegment wie der VPN GW 11, und daher kann das Registrierungsziel-Endgerät den VN GW 11 als Default-Gateway angeben.
  • Somit wählt der Verbindungseinstellungs-Server-Teil 160 das NAT-Verfahren aus, wenn das Überprüfungsergebnis des Adressenüberprüfungsteils 150 Typ 1 ist.
  • Falls vom Adressenüberprüfungsteil 150 bestimmt wird, dass es um Typ 2 geht, sind das Registrierungsziel-Endgerät und das registrierungsausführende Endgerät identisch.
  • In der vorliegenden Ausführungsform wird angenommen, dass das registrierungsausführende Endgerät eine PC-Vorrichtung ist.
  • Wenn vom Adressenüberprüfungsteil 150 bestimmt wird, dass es um Typ 2 geht, ist das Registrierungsziel-Endgerät (= das registrierungsausführende Endgerät) die PC-Vorrichtung, und daher ist ein Kapselungsprozess für das Kommunikationspaket am Registrierungsziel-Endgerät möglich, so dass der Verbindungsverfahren-Einstellungsteil 160 das Tunnelungsverfahren auswählt.
  • Falls ferner vom Adressenüberprüfungsteil 150 bestimmt wird, dass es um Typ 3 geht, ist das Registrierungsziel-Endgerät nicht identisch mit dem registrierungsausführenden Endgerät.
  • In der vorliegenden Ausführungsform wird angenommen, dass das registrierungsausführende Endgerät, das heißt die PC-Vorrichtung, die Registrierungsoperation für eine Nicht-PC-Vorrichtung, wie einen Sequenzer und dergleichen durchführt.
  • Wenn vom Adressenüberprüfungsteil 150 bestimmt wird, dass es um Typ 3 geht, ist das Registrierungsziel-Endgerät die Nicht-PC-Vorrichtung, und daher kann der Kapselungsprozess für das Kommunikationspaket am Registrierungsziel-Endgerät nicht durchgeführt werden und der Verbindungsverfahren-Einstellungsteil 160 wählt das NAPT-Verfahren aus.
  • Der Verbindungsverfahren-Einstellungsteil 160 kann ferner die Einstellungsergebnisinformationen als Datenbank speichern.
  • 6 zeigt ein Beispiel für eine Tabelle der Einstellungsergebnisinformationen.
  • In 6 sind Zahlen fortlaufende Nummern der Tabelleneinträge.
  • Wie in 6 dargestellt ist, werden in den Einstellungsergebnisinformationen die virtuelle IP-Adresse und das Verbindungsverfahren, das der realen IP-Adresse des Standorts entspricht, aufgezeichnet, indem sie miteinander in Beziehung gesetzt werden.
  • Die Datenbank kann durch RDBMS (Relational DataBase Management System) oder Dateien gespeichert werden.
  • Ferner können die Einstellungsergebnisinformationen als Aufzeichnungsobjekte Attributobjekte wie einen Namen des Endgeräts, ein Registrierungsdatum, ein Deregistrierungsdatum, einen Status (gültig/ungültig), eine Netzmaske, einen Gateway und dergleichen beinhalten.
  • Hier entspricht der Verbindungsverfahren-Einstellungsteil 160 einem Beispiel für einen Kommunikationsverfahren-Wählteil.
  • Nun wird die Funktionsweise erläutert.
  • 7 ist ein Ablaufschema, das die Registrierungseinstellungsoperation des VPN-Verbindungs-Endgeräts durch den VPN GW 11 gemäß der vorliegenden Ausführungsform darstellt.
  • In einem Fall, wo der Anwender ein bestimmtes Endgerät im VPN GW 11 für die VPN-Verbindung registriert, verbindet sich das Endgerät am Standort (das registrierungsausführende Endgerät) mit dem Verbindungseinstellungs-Server-Teil 170 des VPN GW 11 unter Verwendung des Web-Browsers oder einer Client-Anwendung (S101).
  • Zur gleichen Zeit ruft der Verbindungseinstellungs-Server-Teil 170 die reale IP-Adresse des registrierungsausführenden Endgeräts ab (S102).
  • Ferner gibt der Verbindungseinstellungs-Server-Teil 170 einen Endgeräteregistrierungs-Bildschirm (5), der die Anzeige der abgerufenen realen IP-Adresse enthält, an das registrierungsausführenden Endgerät aus (S103).
  • Der Anwender wählt das Endgerät des Registrierungsziels unter Verwendung der Optionsschaltfläche 501 oder der Optionsschaltfläche 503 aus.
  • Im Falle der Auswahl der Optionsschaltfläche 501 aktiviert der Anwender die Registrierungsschaltfläche 505
  • Im Falle der Registrierung eines anderen Endgerät, das sich vom registrierungsausführenden Endgerät unterscheidet, gibt der Anwender die reale IP-Adresse des Registrierungsziel-Endgeräts (des anderen Endgeräts) in das Textfeld 504 ein und aktiviert die Registrierungsschaltfläche 505 (S104).
  • Der Verbindungseinstellungs-Server-Teil 170 empfängt Informationen vom Anwender (das Wahlergebnis der Optionsschaltfläche und die reale IP-Adresse, die im Textfeld beschrieben ist) und gibt die Informationen vom Anwender und die Informationen über die IP-Adresse und die Netzmaske des VPN GW 11 an den Adressenüberprüfungsteil 150 aus.
  • Der Adressenüberprüfungsteil 150 bestimmt den Registrierungstyp auf Basis der Informationen vom Anwender und der Informationen über die IP-Adresse und die Netzmaske des VPN GW 11 (S105).
  • Falls das Überprüfungsergebnis des Adressenüberprüfungsteils 150 Typ 1 ist, wählt der Verbindungsverfahren-Einstellungsteil 160 die Verbindung anhand des NAT-Verfahrens aus und führt die Einstellung der Verbindung anhand des NAT-Verfahrens (S106) aus (die Beschreibung der Zeilen 5, 7, 17 und 20 von 4 wird generiert).
  • Falls das Überprüfungsergebnis des Adressenüberprüfungsteils 150 Typ 2 ist, wählt der Verbindungsverfahren-Einstellungsteil 160 die Verbindung anhand des Tunnelungsverfahrens aus und führt die Einstellung der Verbindung anhand des Tunnelungsverfahrens (S107) aus (die Beschreibung der Zeilen 19 und 22 von 4 wird generiert).
  • Falls das Überprüfungsergebnis des Adressenüberprüfungsteils 150 Typ 3 ist, wählt der Verbindungsverfahren-Einstellungsteil 160 die Verbindung anhand des NAPT-Verfahrens aus und führt die Einstellung der Verbindung anhand des NAPT-Verfahrens (S108) aus (die Beschreibung der Zeilen 6, 8 bis 11, 18 und 21 von 4 wird generiert).
  • Dann speichert der Verbindungsverfahren-Einstellungsteil 160 die Einstellungsergebnisinformationen in der Datenbank (S109).
  • Schließlich gibt der Verbindungseinstellungs-Server-Teil 170 einen Registrierungsabschluss-Bildschirm auf dem registrierungsausführenden Endgerät aus (S110), und die Registrierung ist abgeschlossen.
  • Wie oben erörtert, bestimmt der VPN GW gemäß der vorliegenden Ausführungsform den Typ der Registrierung unter Verwendung der Informationen über die IP-Adresse, die gleichzeitig mit dem Registrierungsausführungszugriff durch das registrierungsausführende Endgerät abgerufen wird, über die IP-Adresse des Registrierungsziel-Endgeräts, die vom Anwender eingegeben wird, und über die IP-Adresse und die Netzmaske des VPN GW.
  • Dann kann der VPN GW gemäß der vorliegenden Ausführungsform das Verbindungsverfahren, das für den jeweiligen Typ geeignet ist, automatisch einstellen.
  • Somit kann im Falle eines Netzwerks, das mehrere Segmente aufweist, das Einstellen der VPN-Verbindung vom Anwender leicht durchgeführt werden, ohne die Konfiguration des Netzwerks in Betracht ziehen zu müssen.
  • Vorstehend hat die vorliegende Ausführungsform eine Vorrichtung zum Verwalten des virtuellen Netzes, die am Standort angeordnet ist, für die Verbindung von mehreren Standorten über das VPN erläutert.
  • Genauer wurde erläutert, dass die Vorrichtung zum Verwalten des virtuellen Netzes aufweist:
    den Verbindungseinstellungs-Server-Teil, der vom registrierungsausführenden Endgerät, das die Registrierung ausführt, verbunden wird, wenn das Endgerät registriert wird, das mit dem virtuellen Netzwerk verbunden werden soll, und der die Verbindungseinstellung des Registrierungsziel-Endgeräts, das mit dem virtuellen Netzwerk verbunden werden soll, empfängt,
    den Adressenüberprüfungsteil, der den Netzverbindungsstatus aus den IP-Informationen des registrierungsausführenden Endgeräts, des Registrierungsziel-Endgeräts und der Vorrichtung zum Verwalten des virtuellen Netzes selbst bestimmt,
    einen Teil zum Verbinden des ersten virtuellen Netzwerks, der das Registrierungsziel-Endgerät mit dem VPN verbindet,
    einen Teil zum Verbinden des zweiten virtuellen Netzwerks und
    den Verbindungsverfahren-Einstellungsteil, der den Teil zum Verbinden des ersten virtuellen Netzwerks und den Teil zum Verbinden des zweiten virtuellen Netzwerks als Verbindungsverfahren für das Registrierungsziel-Endgerät auf Basis des Überprüfungsergebnisses des Adressenüberprüfungsteils auswählt und das ausgewählte Auswahlverfahren durchführt.
  • Ferner hat die vorliegende Ausführungsform erläutert, dass der Teil zum Verbinden des ersten virtuellen Netzwerks der Adressen-/Port-Umwandlungsteil ist, der die IP-Adersse und die Port-Nummer im Kommunikationspaket zwischen dem Standort-Inneren und dem VPN umwandelt.
  • Außerdem hat die vorliegende Ausführungsform erläutert, dass der Adressen-/Port-Umwandlungsteil als das erste Adressen-/Port-Umwandlungsverfahren
    für das Kommunikationspaket vom Endgerät am Standort zum Endgerät am anderen Standort die Sender-IP-Adresse in die virtuelle IP-Adresse am entsprechenden VPN umwandelt, und
    für das Kommunikationspaket vom Endgerät am anderen Standort zum Endgerät innerhalb des Standorts die virtuelle IP-Adresse am VPN in die IP-Adresse am entsprechenden Standort umwandelt.
  • Ferner hat die vorliegende Ausführungsform erläutert, dass der Adressen-/Port-Umwandlungsteil als das zweite Adressen-/Port-Umwandlungsverfahren zusätzlich zum ersten Adressen-/Port-Umwandlungsverfahren
    für das Kommunikationspaket vom Endgerät des anderen Standorts zum Endgerät am Standort einen Satz aus der Sender-IP-Adresse und einer neuen Sender-Port-Nummer der Sender-Port-Nummer speichert, die Sender-IP-Adresse in die IP-Adresse der Vorrichtung zum Verwalten des virtuellen Netzwerks umwandelt und die Sender-Port-Nummer in die neue Sender-Port-Nummer umwandelt, und
    für das Kommunikationspaket vom Endgerät am Standort zum Endgerät des anderen Standorts die Ziel-IP-Adresse und die Ziel-Port-Nummer in die Sender-IP-Adresse und die Sender-Port-Nummer umwandelt, die gespeichert worden sind.
  • Ferner hat die vorliegenden Ausführungsform erläutert, dass der Verbindungsverfahren-Einstellungsteil,
    falls die IP-Adresse des Registrierungsziel-Endgeräts die Adresse ist, die im gleichen Netzsegment enthalten ist wie die Vorrichtung zum Verwalten des virtuellen Netzwerks, die Einstellung unter Verwendung des ersten Adressen-/Port-Umwandlungsverfahrens durch den Adressen-/Port-Umwandlungsteil durchführt,
    falls die IP-Adresse des registrierungsausführenden Endgeräts der IP-Adresse des Registrierungsziel-Endgeräts gleich ist, und ferner die IP-Adresse des Registrierungsziel-Endgeräts die Adresse ist, die nicht im selben Netzsegment wie die Vorrichtung zum Verwalten des virtuellen Netzwerks enthalten ist, die Einstellung unter Verwendung des Tunnelverbindungsteils durchführt, und
    falls die IP-Adresse des registrierungsausführenden Endgeräts der IP-Adresse des Registrierungsziel-Endgeräts nicht gleich ist, und ferner die IP-Adresse des Registrierungsziel-Endgeräts die Adresse ist, die nicht im selben Netzsegment wie die Vorrichtung zum Verwalten des virtuellen Netzwerks enthalten ist, die Einstellung unter Verwendung des zweiten Adressen-/Port-Umwandlungsverfahrens durch den Adressen-/Port-Umwandlungsteil durchführt.
  • Ferner hat die vorliegende Ausführungsform erläutert, dass der Teil zum Verbinden des zweiten virtuellen Netzwerks der Tunnelverbindungsteil ist, der die Tunnelverbindung zwischen der Vorrichtung zum Verwalten des virtuellen Netzes und dem Endgerät am Standort durchführt.
  • Dann empfängt der Tunnelverbindungsteil die Tunnelverbindung über PPTP und weist dem Endgerät am Standort die entsprechende virtuelle IP-Adresse im VPN zu.
  • Ferner hat die vorliegende Ausführungsform erläutert, dass der Verbindungseinstellungs-Server-Teil den Registrierungsbildschirm ausgibt, der die vom registrierungsausführenden Endgerät abgerufene IP-Adresse als Registrierungsziel-Endgerät anzeigt, den Anwender auffordert, die IP-Adresse des registrierungsausführenden Endgeräts auszuwählen,
    oder den Anwender auffordert, ein anderes Endgerät, das sich vom registrierungsausführenden Endgerät unterscheidet, als Registrierungsziel-Endgerät auszuwählen und den Anwender auffordert, die IP-Adresse des anderen Endgeräts einzugeben.
  • Man beachte, dass in der obigen Erläuterung der VPN GW als Beispiel für die Relais-Vorrichtung erläutert worden ist; aber die Relais-Vorrichtung gemäß der vorliegenden Erfindung ist nicht auf den VPN GW beschränkt.
  • Die vorliegende Erfindung kann auf die Relais-Vorrichtung angewendet werden, die zu einem der Netzsegmente des internen Netzwerks gehört, das in mehrere Netzsegmente geteilt ist, und die Vorrichtung übermittelt die Kommunikation zwischen dem internen Netzwerk und dem externen Netzwerk.
  • Abschließend wird ein Beispiel für die Hardware-Konfigurationen der VPN GWs 11 und 12, die in der vorliegenden Ausführungsform beschrieben ist, unter Bezugnahme auf 8 beschrieben.
  • Die VPN GWs 11 und 12 sind Computer, jede Komponente der VPN GWs 11 und 12 kann von Programmen implementiert werden.
  • Was die Hardware-Konfiguration der VPN GWs 11 und 12 betrifft, so sind eine Rechenvorrichtung 901, eine externe Speichervorrichtung 902, eine Hauptspeichervorrichtung 903, eine Kommunikationsvorrichtung 904 und eine Eingabe/Ausgabe-Vorrichtung 905 mit einem Bus verbunden.
  • Die Rechenvorrichtung 901 ist eine CPU (zentrale Verarbeitungseinheit), die Programme ausführt.
  • Die externe Speichervorrichtung 902 ist beispielsweise ein ROM (Nur-Lese-Speicher), ein Flash-Memory oder ein Festplattenlaufwerk
  • Die Hauptspeichervorrichtung 903 ist ein RAM (Schreib-Lese-Speicher).
  • Die Kommunikationsvorrichtung 904 entspricht einer physikalischen Schicht des LAN-Schnittstellenteils 110.
  • Die Eingabe/Ausgabe-Vorrichtung 905 ist beispielsweise eine Eingabetaste, eine Anzeigevorrichtung und dergleichen.
  • Programme werden üblicherweise in der externen Speichervorrichtung 902 gespeichert und, während sie in die Hauptspeichervorrichtung 903 geladen werden, sequenziell von der Rechenvorrichtung 901 gelesen und ausgeführt.
  • Die Programme sind die Programme zur Implementierung der Funktionen, die als „Teil“ in 2 dargestellt sind.
  • Außerdem speichert die externe Speichervorrichtung 902 ein Betriebssystem (OS), zumindest ein Teil des OS wird in die Hauptspeichervorrichtung 903 geladen, während das OS ausgeführt wird, die Rechenvorrichtung 901 führt die Programme aus, welche die Funktionen des in 2 dargestellten „Teils“ implementieren.
  • Ferner Informationen, Daten, Signalwerte oder Variablenwerte, die ein Ergebnis der Verarbeitung einer „Bestimmung“, „Überprüfung“, „Extraktion“, „Detektion“, „Einstellung“, „Registrierung“, „Auswahl“, „Generierung“, „Eingabe“, „Ausgabe“ und dergleichen, die in der Erläuterung der vorliegenden Ausführungsform in der Hauptspeichervorrichtung 903 als Dateien.
  • Ferner können Verschlüsselungscodes, Entschlüsselungscodes, Zufallszahlenwerte oder Parameter als Dateien in der Hauptspeichervorrichtung 903 gespeichert werden.
  • Man beachte, dass die Konfiguration von 8 lediglich ein Beispiel für die Hardware-Konfiguration der VPN GWs 11 und 12 darstellt; die Hardware-Konfiguration der VPN GWs 11 und 12 ist nicht auf die in 8 dargestellte Konfiguration beschränkt und kann auch eine andere Konfiguration sein.
  • Ferner können das Endgerät, der Router und der VPN-Server, die in der vorliegenden Ausführungsform dargestellt sind, die Hardware-Konfiguration von 8 aufweisen und können auch eine andere Hardware-Konfiguration aufweisen.
  • Ferner kann durch die in der vorliegenden Ausführungsform dargestellte Vorgehensweise ein Verfahren zum Auswählen eines Kommunikationsverfahrens gemäß der vorliegenden Erfindung implementiert werden.
  • Liste der Bezugszeichen
    • 1: Standort; 2: Standort; 3: Verwaltungsserver; 11: VPN GW; 12: VPN GW; 21: Router; 22: Router; 31: Endgerät; 32: Endgerät; 33: Endgerät; 34: Endgerät; 41: VPN-Server; 110: LAN-Schnittstellenteil; 120: VPN-Verbindungs-Client-Teil; 130: Adressen-/Port-Umwandlungsteil; 140: Tunnelverbindungsteil; 150: Adressenüberprüfungsteil; 160: Verbindungsverfahren-Einstellungsteil; 170: Verbindungseinstellungs-Server-Teil; 410:. VPN-Verbindungs-Verwaltungsteil; 420: VPN-Verbindungs-Server-Teil; und 430: Teil zum Zuweisen einer virtuellen IP-Adresse.

Claims (9)

  1. Relais-Vorrichtung, die zu einem Netzsegment eines internen Netzwerks gehört, das in mehrere Netzsegmente unterteilt ist, und die eine Kommunikation zwischen dem internen Netzwerk und einem externen Netzwerk, das außerhalb des internen Netzwerks liegt, durch Anpassung an ein Kommunikationsverfahren, das aus mehreren Kommunikationsverfahren ausgewählt wird, vermittelt, wobei die Relais-Vorrichtung aufweist: einen Adressmitteilungsinformationen-Empfangsteil, der von einer zum internen Netzwerk gehörenden Kommunikationsvorrichtung Adressmitteilungsinformationen empfängt, die entweder eine Kommunikationsadresse der einen Kommunikationsvorrichtung oder eine Kommunikationsadresse einer anderen Kommunikationsvorrichtung, die zum internen Netzwerk gehört, als Kommunikationsadresse einer Wahlziel-Kommunikationsvorrichtung, die ein Wahlziel eines Kommunikationsverfahrens ist, mitteilen; einen Segmentüberprüfungsteil, der auf Basis der Kommunikationsadresse der Wahlziel-Kommunikationsvorrichtung und der Kommunikationsadresse der Relais-Vorrichtung prüft, ob oder ob nicht die Wahlziel-Kommunikationsvorrichtung zum selben Netzsegment gehört wie die Relais-Vorrichtung; und einen Kommunikationsverfahren-Wählteil, der auf Basis eines Überprüfungsergebnisses des Segmentüberprüfungsteils ein Kommunikationsverfahren zwischen der Wahlziel-Kommunikationsvorrichtung und dem externen Netzwerk aus den mehreren Kommunikationsverfahren auswählt.
  2. Relais-Vorrichtung nach Anspruch 1, wobei der Segmentüberprüfungsteil in einem Fall, wo bestimmt wird, dass die Wahlziel-Kommunikationsvorrichtung nicht zum gleichen Netzsegment gehört wie die Relais-Vorrichtung, prüft, ob oder ob nicht die Wahlziel-Kommunikationsvorrichtung eine Kommunikationsvorrichtung ist, die ein Sender der Adressmitteilungsinformationen ist.
  3. Relais-Vorrichtung nach einem der Ansprüche 1 und 2, wobei der Kommunikationsverfahren-Wählteil in einem Fall, wo vom Segmentüberprüfungsteil bestimmt wird, dass die Wahlziel-Kommunikationsvorrichtung zum gleichen Netzsegment gehört wie die Relais-Vorrichtung, als Kommunikationsverfahren zwischen der Wahlziel-Kommunikationsvorrichtung und dem externen Netzwerk ein Kommunikationsverfahren wählt, gemäß dem die Relais-Vorrichtung eine Umwandlung einer IP (Internet Protocol)-Adresse, die in einem Kommunikationspaket beschrieben ist, durchführt.
  4. Relais-Vorrichtung nach Anspruch 2, wobei der Kommunikationsverfahren-Wählteil in einem Fall, wo vom Segmentüberprüfungsteil bestimmt wird, dass die Wahlziel-Kommunikationsvorrichtung die Kommunikationsvorrichtung ist, die der Sender der Adressmitteilungsinformationen ist, als Kommunikationsverfahren zwischen der Wahlziel-Kommunikationsvorrichtung und dem externen Netzwerk ein Kommunikationsverfahren wählt, gemäß dem die Wahlziel-Kommunikationsvorrichtung einen Kapselungsprozess an einem Kommunikationspaket durchführt.
  5. Relais-Vorrichtung nach Anspruch 2, wobei der Kommunikationsverfahren-Wählteil in einem Fall, wo vom Segmentüberprüfungsteil bestimmt wird, dass die Wahlziel-Kommunikationsvorrichtung eine andere Kommunikationsvorrichtung ist als der Sender der Adressmitteilungsinformation, als Kommunikationsverfahren zwischen der Wahlziel-Kommunikationsvorrichtung und dem externen Netzwerk ein Kommunikationsverfahren wählt, gemäß dem die Relais-Vorrichtung eine Umwandlung einer IP(Internet Protocol)-Adresse und einer Port-Nummer, die in einem Kommunikationspaket beschrieben ist, durchführt.
  6. Relais-Vorrichtung nach einem der Ansprüche 1 bis 5, wobei die Relais-Vorrichtung ferner umfasst: einen Bildschirminformationen-Sendeteil, um Bildschirminformationen zum Angeben einer Kommunikationsadresse der Wahlziel-Kommunikationsvorrichtung an eine Kommunikationsvorrichtung im internen Netzwerk zu senden, und wobei der Adressmitteilungsinformationen-Empfangsteil die Adressmitteilungsinformationen empfängt, welche die Kommunikationsadresse der Wahlziel-Kommunikationsvorrichtung mitteilen, die in den Bildschirminformationen angegeben ist.
  7. Relais-Vorrichtung nach einem der Ansprüche 1 bis 6, wobei die Relais-Vorrichtung eine VPN-Gateway-Vorrichtung ist, die ein VPN (Virtual Private Network) zwischen einer Kommunikationsvorrichtung im internen Netzwerk und einer Kommunikationsvorrichtung, die mit dem externen Netzwerk verbunden ist, einstellt und unter Verwendung der VPN-Kommunikation zwischen der Kommunikationsvorrichtung im internen Netzwerk und der Kommunikationsvorrichtung, die mit dem externen Netzwerk verbunden ist, steuert.
  8. Verfahren zum Auswählen eines Kommunikationsverfahrens, das von einem Computer durchgeführt wird, der zu einem Netzsegment eines internen Netzwerks gehört, das in mehrere Netzsegmente unterteilt ist, und der eine Kommunikation zwischen dem internen Netzwerk und einem externen Netzwerk, das außerhalb des internen Netzwerks liegt, durch Anpassung an ein Kommunikationsverfahren, das aus mehreren Kommunikationsverfahren ausgewählt wird, vermittelt, wobei das Verfahren zum Auswählen des Kommunikationsverfahrens umfasst: Empfangen von Adressmitteilungsinformationen von einer zum internen Netzwerk gehörenden Kommunikationsvorrichtung, die entweder eine Kommunikationsadresse der einen Kommunikationsvorrichtung oder eine Kommunikationsadresse einer anderen Kommunikationsvorrichtung, die zum internen Netzwerk gehört, mitteilen, als Kommunikationsadresse einer ausgewählten Ziel-Kommunikationsvorrichtung, die in einem Kommunikationsverfahren zur Auswahl steht, durch den Computer; Überprüfen, ob oder ob nicht die Wahlziel-Kommunikationsvorrichtung zum selben Netzsegment gehört wie die Relais-Vorrichtung, durch den Computer auf Basis der Kommunikationsadresse der Wahlziel-Kommunikationsvorrichtung und der Kommunikationsadresse der Relais-Vorrichtung; und Auswählen eines Kommunikationsverfahrens zwischen der Wahlziel-Kommunikationsvorrichtung und dem externen Netzwerk aus den mehreren Kommunikationsverfahren durch den Computer auf Basis eines Überprüfungsergebnisses.
  9. Programm, das einen Computer dazu bringt, als Relais-Vorrichtung zu fungieren, wie sie in Anspruch 1 beschrieben ist.
DE112013007099.5T 2013-05-23 2013-05-23 Relais-Vorrichtung, Verfahren zum Auswählen eines Kommunikationsverfahrens und Programm Ceased DE112013007099T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/064307 WO2014188551A1 (ja) 2013-05-23 2013-05-23 中継装置及び通信方式選択方法及びプログラム

Publications (1)

Publication Number Publication Date
DE112013007099T5 true DE112013007099T5 (de) 2016-02-11

Family

ID=51933136

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112013007099.5T Ceased DE112013007099T5 (de) 2013-05-23 2013-05-23 Relais-Vorrichtung, Verfahren zum Auswählen eines Kommunikationsverfahrens und Programm

Country Status (7)

Country Link
US (1) US20160057105A1 (de)
JP (1) JP5901851B2 (de)
KR (1) KR101880346B1 (de)
CN (1) CN105229971B (de)
DE (1) DE112013007099T5 (de)
TW (1) TWI514824B (de)
WO (1) WO2014188551A1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102169302B1 (ko) * 2014-04-30 2020-10-23 삼성전자주식회사 통신 서비스를 제공하기 위한 방법, 단말, 그리고 서버
US9832118B1 (en) 2014-11-14 2017-11-28 Amazon Technologies, Inc. Linking resource instances to virtual networks in provider network environments
KR101979527B1 (ko) * 2015-02-25 2019-05-16 미쓰비시 덴키 빌딩 테크노 서비스 가부시키 가이샤 네트워크 시스템, 센터측 라우터, 거점측 라우터, napt 테이블의 갱신 방법
TWI580227B (zh) * 2015-06-17 2017-04-21 財團法人工業技術研究院 路由閘道器選擇方法、控制器及交通網路系統
TWI625950B (zh) * 2016-08-04 2018-06-01 群暉科技股份有限公司 於一網路系統中藉助於網路位址轉譯來轉送封包之方法與裝置
CN106210174A (zh) * 2016-08-29 2016-12-07 东方网力科技股份有限公司 一种解决网络设备ip地址冲突的方法和vpn服务器
US11881963B2 (en) * 2020-02-28 2024-01-23 Juniper Networks, Inc. Service-based transport classes for mapping services to tunnels
CN111404801B (zh) * 2020-03-27 2021-09-28 四川虹美智能科技有限公司 跨云厂商的数据处理方法、装置及***
CN113194017B (zh) * 2021-04-08 2022-08-16 广州极飞科技股份有限公司 设备通信控制方法、装置、设备、***和存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107614B1 (en) * 1999-01-29 2006-09-12 International Business Machines Corporation System and method for network address translation integration with IP security
US20020083344A1 (en) * 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
CN1301611C (zh) * 2003-01-21 2007-02-21 三星电子株式会社 用于在不同的专用网的网络设备之间支持通信的网关
TWI225736B (en) * 2003-10-16 2004-12-21 Academia Sinica Mobile network agent
CN100470518C (zh) * 2004-04-14 2009-03-18 日本电信电话株式会社 地址变换方法、访问控制方法及使用这些方法的装置
CA2567303C (en) * 2004-05-20 2015-03-24 Freebit Co., Ltd. Server for routing connection to client device
WO2010127610A1 (zh) * 2009-05-04 2010-11-11 成都市华为赛门铁克科技有限公司 一种虚拟专用网节点信息的处理方法、设备及***
JP2011160103A (ja) * 2010-01-29 2011-08-18 Oki Networks Co Ltd ゲートウェイ装置及びプログラム、並びに、通信システム
TWI389525B (zh) * 2010-02-25 2013-03-11 Gemtek Technology Co Ltd 具有多網段存取性的資料傳輸系統及其方法
JP2011188448A (ja) * 2010-03-11 2011-09-22 Evrika Inc ゲートウェイ装置、通信方法および通信用プログラム
EP2606631B1 (de) * 2010-08-17 2019-02-27 Telefonaktiebolaget LM Ericsson (publ) Verfahren zur verarbeitung von zu einem tunnel gesendeten netzwerkverkehr
US9716659B2 (en) * 2011-03-23 2017-07-25 Hughes Network Systems, Llc System and method for providing improved quality of service over broadband networks
US8955078B2 (en) * 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
JP5713865B2 (ja) * 2011-09-30 2015-05-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 Vpn終端装置、通信システム、パケット転送方法、及びプログラム

Also Published As

Publication number Publication date
KR101880346B1 (ko) 2018-07-19
WO2014188551A1 (ja) 2014-11-27
JP5901851B2 (ja) 2016-04-13
CN105229971A (zh) 2016-01-06
KR20160009675A (ko) 2016-01-26
US20160057105A1 (en) 2016-02-25
JPWO2014188551A1 (ja) 2017-02-23
TW201445937A (zh) 2014-12-01
CN105229971B (zh) 2018-10-30
TWI514824B (zh) 2015-12-21

Similar Documents

Publication Publication Date Title
DE112013007099T5 (de) Relais-Vorrichtung, Verfahren zum Auswählen eines Kommunikationsverfahrens und Programm
DE60121101T2 (de) Gesichtertes Kommunikationsverfahren, gesichtertes Kommunikationssystem und Gerät
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
EP2843487B1 (de) Messgerätezugangsvorrichtung, feldgerät und verfahren zum steuern des zugangs zu einem messgerät
DE60028229T2 (de) Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE112019001320T5 (de) Vorrichtungen, systeme und verfahren zum verbinden und authentifizieren lokaler vorrichtungen mit/gegenüber einer gemeinsamen gateway-vorrichtung
DE102008011191A1 (de) Client/Server-System zur Kommunikation gemäß dem Standardprotokoll OPC UA und mit Single Sign-On Mechanismen zur Authentifizierung sowie Verfahren zur Durchführung von Single Sign-On in einem solchen System
DE102015004127A1 (de) Verfahren und System zum Vergleichen von verschienenen Versionen einer cloud-basierten Anwendung in einer Produktionsumgebung unter Verwendung von getrennten Back-End-Systemen
DE112017006210T5 (de) Bereitstellen eines netzwerktestwerkzeugs in einem cloud-computersystem
DE202012013482U1 (de) Verteilung von Zugriffsinformationen auf Overlay-Netzwerken
DE112016001895T5 (de) Bereitstellen von Hybrid-Diensten
DE102018131480A1 (de) System und verfahren zum leiten einer vernetzten vorrichtung zu einer fahrzeugintern gespeicherten landing-page basierend auf einem verfügbaren guthaben oder einem datensaldo
DE112021004945T5 (de) Techniken der kompositionellen verifikation für rollenerreichbarkeitsanalysen in identitätssystemen
EP2201724B1 (de) Identifikation und/oder adressierung einer datenendeinrichtung eines lokalen netzwerkes
DE102013109884B3 (de) Verfahren zum Herstellen der Verbindung von Netzwerk-Endgeräten
DE102010055372A1 (de) Verfahren zum Konfigurieren eines Zugriffs auf eine Fahrzeug-Internetseite
DE112013006337T5 (de) Remoteclientanwendung
DE602004004157T2 (de) Verfahren, system und mobiles endgerät zur herstellung einer vpn-verbindung
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
DE102022108862A1 (de) Plattform für datenschutzgerechtes dezentrales lernen und die überwachung von netzwerkereignissen
EP3937451B1 (de) Verfahren zu herstellung einer verschlüsselten verbindung
DE102020129224B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
EP4179758B1 (de) Authentisierung eines kommunikationspartners an einem gerät
DE102020203031B3 (de) Vorrichtung und Verfahren zur Steuerung des Zugriffs auf ein Elektrogerät

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012700000

Ipc: H04L0045000000

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final