JP2005012485A - インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法 - Google Patents

インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法 Download PDF

Info

Publication number
JP2005012485A
JP2005012485A JP2003174170A JP2003174170A JP2005012485A JP 2005012485 A JP2005012485 A JP 2005012485A JP 2003174170 A JP2003174170 A JP 2003174170A JP 2003174170 A JP2003174170 A JP 2003174170A JP 2005012485 A JP2005012485 A JP 2005012485A
Authority
JP
Japan
Prior art keywords
vpn
router
termination function
address
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003174170A
Other languages
English (en)
Inventor
Koichi Matsumoto
浩一 松本
Teiichiro Ogushi
貞一郎 大串
Yasuhiro Miyao
泰寛 宮尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003174170A priority Critical patent/JP2005012485A/ja
Publication of JP2005012485A publication Critical patent/JP2005012485A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】サービス提供者が保守要員の派遣や要員教育を削減し、加入者自身の技術的知識を必要とせず、容易にインタネットVPNを構築可能なインタネットVPN構築システムを提供する。
【解決手段】VPN終端機能付きルータ12はインタネット100を経由したVPN装置3との間でIPSecによる暗号化及びカプセル化される経路の構築し、制御用VPN112を確立する。VPN終端機能付きルータ12が制御サーバ1に対して認証要求を行うと、制御サーバ1は個別識別子によってVPN終端機能付きルータ12の認証を行い、認証に成功すると、VPN終端機能付きルータ12はISP#Bから割当てられた動的なグローバルIPアドレスを制御サーバ1に通知する。制御サーバ1は通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとして保存する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明はインタネットVPN構築システム及びそれに用いるサービス提供方法に関し、特にインタネットを用いて構築されるインタネットVPN(Virtual Private Network:仮想私設網)に関する。
【0002】
【従来の技術】
従来、この種のインタネットVPNにおいては、VPN機能を持つファイアウォールマシンやルータを拠点間で利用することで実現している。ここで、VPN機能は、プライベートアドレスを使うIP(Internet Protocol)パケットを暗号化してグローバルアドレスを使うIPパケットにカプセル化する機能と、事前登録しておいたグローバルアドレスを持つIPパケット以外はフィルタリングして通さない機能とを備えている。
【0003】
上記のインタネットVPNでは、接続されている端末に故障が発生した時に当該端末のメンテナンスを行う場合、その端末における故障検出にともなって、所定の共有認証情報に基づいて端末の認証を行った後、その端末の故障に係る故障コード及びグローバルIPアドレスを保守サーバに送信する方法が提案されている(例えば、特許文献1参照)。
【0004】
この場合、保守サーバからコマンド制御されるVPNゲートウェイに、IPsec(IP security protocol)の認証鍵の設定及びIPsecのイニシエータ設定を書込むことで、保守サーバは端末との間に設定されるVPNトンネルを通して端末のサーバ部及びルータ部に対してリモートメンテナンスを行う。
【0005】
【特許文献1】
特開2001−197058号公報(第11〜14頁、図1)
【0006】
【発明が解決しようとする課題】
上述した従来のインタネットVPNサービスでは、インタネットVPNを構築するため、ユーザ拠点にVPN終端機能付きルータを設置し、ユーザまたはサービス事業者の保守要員が設定を行う必要があるため、人件費等の保守費用のコスト増大、また設定を行うための技術的知識を有することが必要とされている。
【0007】
また、従来のインタネットVPNサービスでは、動的IPアドレスが利用可能であるが、必ず固定IPアドレス接続拠点が必要となるため、動的IPアドレスが全てのユーザ拠点において利用可能になるとは限らないという問題がある。
【0008】
さらに、従来のインタネットVPNサービスでは、拠点の増設や撤去が発生した場合、他の拠点のVPN終端機能付きルータの設定変更が必要になるという問題もある。その際、他の拠点のVPN終端機能付きルータの設定変更は、上記と同様に、保守要員によって行われる。
【0009】
さらにまた、従来のインタネットVPNサービスでは、ある拠点内のIPアドレスやサブネットマスクの変更が発生した場合、他の拠点のVPN終端機能付きルータの設定変更が必要になるという問題がある。この場合も、他の拠点のVPN終端機能付きルータの設定変更は、上記と同様に、保守要員によって行われる。
【0010】
そこで、本発明の目的は上記の問題点を解消し、サービス提供者が保守要員の派遣や要員教育を削減することができ、加入者自身の技術的知識を必要とせず、容易にインタネットVPNを構築することができるインタネットVPN構築システム及びそれに用いるサービス提供方法を提供することにある。
【0011】
【課題を解決するための手段】
本発明によるインタネットVPN構築システムは、複数のユーザ拠点間に設置されたVPN(Virtual Private Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNを設定するVPN装置と、
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを含む制御サーバとを備えている。
【0012】
本発明による制御サーバは、VPN(Virtual Private Network)装置で設定されかつ複数のユーザ拠点間に設置されたVPN終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、
前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを備えている。
【0013】
本発明によるサービス提供方法は、複数のユーザ拠点間に設置されたVPN(Virtual Private Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをVPN装置と前記VPN終端機能付きルータとの間に設定し、
前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行い、その認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基づいた前記IPSecの設定情報を制御サーバから前記VPN終端機能付きルータに送信している。
【0014】
すなわち、本発明のインタネットVPN(Virtual Private Network:仮想私設網)構築システムは、インタネットを利用した遠隔制御によって人手を介さずに自動的にインタネットVPNの構築を行うシステムと、そのサービス提供におけるビジネスモデルとを提供するものである。
【0015】
より具体的に説明すると、本発明のインタネットVPN構築システムでは、サービス提供者がサービス事業者内に制御サーバとHMI(Human−Machine Interface)端末とVPN装置とを設置して運用している。ここで、VPN装置はインタネットに通信回線で接続されている。
【0016】
インタネットVPNサービスを受けるエンドユーザは、ユーザ拠点AにVPN終端機能付きルータを設置し、もう一つの拠点Bに他のVPN終端機能付きルータを設置している。ユーザ拠点AのVPN終端機能付きルータはISP(Internet Service Provider:インタネット接続サービス事業者)#Xを経由し、通信回線でインタネットに接続されている。また、ユーザ拠点BのVPN終端機能付きルータはISP#Yを経由し、通信回線でインタネットに接続されている。
【0017】
上記の制御サーバ及びVPN装置は固定のグローバルIP(InternetProtocol)アドレスが割当てられており、ユーザ拠点A及びユーザ拠点B各々のVPN終端機能付きルータには、制御サーバとVPN装置とのホスト名またはグローバルIPアドレスが記録されている。
【0018】
上述した構成において、サービス事業者はサービスを開始する前にHMI端末からユーザ情報、拠点情報、ユーザ拠点A及びユーザ拠点B各々のVPN終端機能付きルータの個別識別子を制御サーバに入力する。
【0019】
ユーザ拠点AのVPN終端機能付きルータは電源投入を契機にインタネットへの接続を行うために、ユーザが設定する設定情報(ユーザ名、パスワード、IPアドレスまたはホスト名等)を基にISP#Xにアクセスし、ISP#XのIPアドレス割当てサーバに対し、IPアドレス要求を行う。
【0020】
IPアドレス割当てサーバは要求されたユーザ拠点AのVPN終端機能付きルータに対し、プールされている任意のグローバルIPアドレスを割当てる。ユーザ拠点AのVPN終端機能付きルータは割当てられたグローバルIPアドレスと、を使用してインタネットに接続可能となる。
【0021】
次に、ユーザ拠点AのVPN終端機能付きルータはVPN装置のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置に対するIPSec(IP Security protocol)による暗号化及びカプセル化される経路としての制御用VPNの設定を自装置に行う。これによって、ユーザ拠点AのVPN終端機能付きルータはインタネットを経由したVPN装置との間でIPSecによる暗号化及びカプセル化される経路の構築し、制御用VPNを確立する。
【0022】
制御用VPNの確立以降、ユーザ拠点AのVPN終端機能付きルータは制御サーバに対し、制御用VPNを経由した通信を行い、制御サーバに対して認証要求を行う。この認証要求にはVPN終端機能付きルータ個体に記録されている個別識別子を送信する。
【0023】
制御サーバは個別識別子によってユーザ拠点AのVPN終端機能付きルータの認証を行う。認証に成功した場合、ユーザ拠点AのVPN終端機能付きルータはISPから割当てられた動的なグローバルIPアドレスを制御サーバに通知する。制御サーバは通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとして保存する。
【0024】
ユーザ拠点BのVPN終端機能付きルータも、上述したユーザ拠点AのVPN終端機能付きルータと同様な処理を行い、制御サーバにグローバルIPアドレスが保存される。
【0025】
次に、ユーザ拠点AのVPN終端機能付きルータは設定情報要求を制御サーバに対して送信する。制御サーバは設定情報要求を受信すると、ユーザ拠点AのVPN終端機能付きルータに対し、該当ユーザの拠点間を結ぶユーザVPNを構築するためのIPSecの設定情報を送信する。ユーザ拠点AのVPN終端機能付きルータは制御サーバからの設定情報を受信すると、設定情報を自装置に設定する。
【0026】
ユーザ拠点BのVPN終端機能付きルータも、上述したユーザ拠点AのVPN終端機能付きルータと同様に、ユーザVPNの設定情報を自装置に設定するので、ユーザVPNが構築される。
【0027】
【発明の実施の形態】
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるインタネットVPN(Virtual Private Network:仮想私設網)構築システムの構成を示すブロック図である。この図1を参照して本発明の一実施例によるインタネットVPN構築システムについて説明する。
【0028】
サービス提供者はサービス事業者A内に制御サーバ1と、HMI(Human−Machine Interface)端末2と、VPN装置3とを設置して運用している。VPN装置3はインタネット100に通信回線101で接続されている。
【0029】
インタネットVPNサービスを受けるエンドユーザは、ユーザ拠点DにVPN終端機能付きルータ42を設置し、もう一つのユーザ拠点EにVPN終端機能付きルータ52を設置している。ユーザ拠点AのVPN終端機能付きルータ42はISP#Bを経由して通信回線111でインタネット100に接続されている。また、ユーザ拠点EのVPN終端機能付きルータ52はISP#Cを経由して通信回線121でインタネット100に接続されている。
【0030】
制御サーバ1とVPN装置3とには固定のグローバルIP(InternetProtocol)アドレスが割当てられており、VPN終端機能付きルータ42,52には制御サーバ1及びVPN装置3各々のホスト名またはグローバルIPアドレスが記録されている。
【0031】
本実施例において、サービス事業者Aはサービスを開始する前にHMI端末2からユーザ情報、拠点情報、VPN終端機能付きルータ42,52の個別識別子を制御サーバ1に入力する。ユーザ拠点DのVPN終端機能付きルータ42は電源投入を契機にインタネット100への接続を行うために、ユーザからの設定情報(ユーザ名、パスワード、IPアドレスまたはホスト名等)に基づいてISP#Bにアクセスし、ISP#BのIPアドレス割当てサーバ41に対してIPアドレス要求を行う。
【0032】
IPアドレス割当てサーバ41は要求されたVPN終端機能付きルータ42に対し、プールされている任意のグローバルIPアドレスを割当てる。VPN終端機能付きルータ42は割当てられたグローバルIPアドレスを使用してインタネット100に接続可能となる。
【0033】
次に、VPN終端機能付きルータ42はVPN装置3のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置3に対するIPSec(IP Security protocol)による暗号化及びカプセル化される経路としての制御用VPN112の設定をVPN終端機能付きルータ42自身に行う。
【0034】
これによって、VPN終端機能付きルータ42はインタネット100を経由したVPN装置3との間でIPSecによる暗号化及びカプセル化される経路の構築し、制御用VPN112を確立する。
【0035】
制御用VPN112の確立以降、VPN終端機能付きルータ42は制御サーバ1に対し、制御用VPN112を経由した通信を行い、制御サーバ1に対して認証要求を行う。この認証要求にはVPN終端機能付きルータ42の個体に記録されている個別識別子を送信する。
【0036】
制御サーバ1は個別識別子によって、VPN終端機能付きルータ42の認証を行う。認証に成功した場合、VPN終端機能付きルータ42はISP#Bから割当てられた動的なグローバルIPアドレスを制御サーバ1に通知する。制御サーバ1は通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとして保存する。
【0037】
ユーザ拠点EのVPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行うので、制御サーバ1にはVPN終端機能付きルータ52に割当てられたグローバルIPアドレスが保存される。
【0038】
次に、VPN終端機能付きルータ42は設定情報要求を制御サーバ1に対して送信する。制御サーバ1は設定情報要求を受信すると、VPN終端機能付きルータ42に対し、該当ユーザの拠点間を結ぶユーザVPN113を構築するためのIPSecの設定情報を送信する。ここで、制御サーバ1にはIPSecの設定情報が予めテンプレートとして登録されており、IPSecの設定情報を送信する際にはグローバルIPアドレス部分のみを置換することとなる。
【0039】
VPN終端機能付きルータ42は制御サーバ1からの設定情報を受信すると、設定情報を自装置に設定する。同様に、VPN終端機能付きルータ52も、ユーザVPN113の設定情報を自装置に設定するので、ユーザVPN113が構築される。
【0040】
図2は図1の制御サーバ1の構成を示すブロック図である。図2において、制御サーバ1は通信手段11と、メッセージ認識手段12と、認証手段13と、個体情報保存手段14と、設定情報作成手段15と、設定情報配信手段16と、データベース17とから構成されている。
【0041】
通信手段11はVPN装置3及びインタネット100を経由してVPN終端機能付きルータ42,52との間の通信を行う。メッセージ認識手段12はVPN終端機能付きルータ42,52からのメッセージを認識し、その認識結果を認証手段13と個体情報保存手段14と設定情報配信手段16とにそれぞれ通知する。
【0042】
認証手段13はVPN終端機能付きルータ42,52からの個別識別子とデータベース17に保存された個別識別子とを比較し、VPN終端機能付きルータ42,52の認証を行う。この認証結果はメッセージ認識手段12と通信手段11とを経由してVPN終端機能付きルータ42,52に通知される。
【0043】
認証に成功すると、VPN終端機能付きルータ42,52はISP#B,#Cから割当てられた動的なグローバルIPアドレスをそれぞれ制御サーバ1に通知する。制御サーバ1では個体情報保存手段14がVPN終端機能付きルータ42,52から通知されてきたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子と関係付けたデータとしてデータベース17に保存する。
【0044】
設定情報作成手段15は予めテンプレートとしてデータベース17に登録されたIPSecの設定情報のグローバルIPアドレス部分のみを、VPN終端機能付きルータ42,52から通知されてきたグローバルIPアドレスで置換することで、IPSecの設定情報を作成し、IPSecの設定情報をデータベース17に保存する。
【0045】
設定情報配信手段16は通信手段11及びメッセージ認識手段12を経由してVPN終端機能付きルータ42,52からの設定情報要求を受取ると、データベース17に保存されているIPSecの設定情報を読出してVPN終端機能付きルータ42,52各々に配信する。
【0046】
図3は本発明の一実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートであり、図4は本発明の一実施例によるインタネットVPN構築システムに用いるデータの構成を示す図である。これら図1〜図4を参照して本発明の一実施例によるインタネットVPN構築システムの動作について説明する。
【0047】
サービス事業者Aはサービスを開始する前に、HMI端末2からユーザ情報、拠点情報、VPN終端機能付きルータ42,52の個別識別子を制御サーバ1に入力する(図3ステップS21)。制御サーバ1は入力された情報を基にVPN終端機能付きルータ42,52との制御VPNを構築するためのIPSecの設定をVPN装置3に設定する(図3ステップS11)。
【0048】
ユーザ拠点DのVPN終端機能付きルータ42は電源投入を契機に、インタネット100への接続を開始するため、ISP#Bにアクセスし、ISP#BのIPアドレス割当てサーバ41に対してIPアドレス要求を行う(図3ステップS51〜S53)。
【0049】
IPアドレス割当てサーバ41は要求されたVPN終端機能付きルータ42に対し、プールされている任意のグローバルIPアドレスを割当てる(図3ステップS41)。VPN終端機能付きルータ42は割当てられたグローバルIPアドレスを使用してインタネット100に接続可能となる。
【0050】
次に、VPN終端機能付きルータ42は自装置に記録されているVPN装置3のホスト名からグローバルIPアドレスを探索するか、または直接グローバルIPアドレスを指定することで、VPN装置3に対する制御用VPN112の設定を自装置に行い、インタネット100を経由してVPN装置3にIPSecによるパケットを暗号化及びカプセル化する経路の確立要求を行う(図3ステップS54)。
【0051】
これによって、本実施例では、VPN終端機能付きルータ42とVPN装置3との間において、制御用VPN112としてIPSecによる暗号化及びカプセル化による経路が確立され、第三者による盗聴や改ざんを防ぐことが可能となる(図3ステップS31,S55)。
【0052】
制御用VPN112の確立以降、VPN終端機能付きルータ42と制御サーバ1との間は、制御用VPN112を経由した通信を行う。VPN終端機能付きルータ42は第三者によるなりすましやデータの改ざんがされていないことを保証するために、制御サーバ1に対して認証要求を行う(図3ステップS56)。この認証要求としては、VPN終端機能付きルータ42の個体に記録されている個別識別子を送信する。
【0053】
制御サーバ1は個別識別子によって、VPN終端機能付きルータ42の認証判定を行う(図3ステップS12,S13)。認証が成功した場合、VPN終端機能付きルータ42はISP#Bから割当てられた動的なグローバルIPアドレスを制御サーバ1に通知する(図3ステップS57)。
【0054】
制御サーバ1は、図4に示すデータ構成のように、通知されたグローバルIPアドレスをユーザ情報、拠点情報、個別識別子とを関係付けたデータとして保存する(図3ステップS14,S15)。
【0055】
この保存されてデータは、図4に示すように、インタネットVPNサービスの利用者名またはIDを示すユーザ情報と、VPN終端機能付きルータ42,52各々が設置される拠点名またはIDを示す拠点情報と、VPN終端機能付きルータ42,52各々の識別子を示す個別識別子と、VPN終端機能付きルータ42,52各々から通知されるグローバルIPアドレスとからなる。
【0056】
VPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行い、制御サーバ1にグローバルIPアドレスが保存される。制御サーバ1は記録されたデータから、VPN終端機能付きルータ42,52間をIPSecによって暗号化及びカプセル化される経路であるユーザVPN113で接続するための設定情報を生成する。
【0057】
次に、VPN終端機能付きルータ42,52間のユーザVPN113を構築するために、VPN終端機能付きルータ42は設定情報要求を制御サーバ1に対して送信する(図3ステップS58)。
【0058】
制御サーバ1は設定情報要求を受信すると、VPN終端機能付きルータ42に対し、該当ユーザの拠点間を結ぶユーザVPN113を構築するための設定情報を送信する(図3ステップS16)。
【0059】
VPN終端機能付きルータ42は制御サーバ1からの設定情報を受信すると、その設定情報を自装置に設定する(図3ステップS59)。VPN終端機能付きルータ52も、上述したVPN終端機能付きルータ42と同様な処理を行い、ユーザVPN113の設定情報を自装置に設定し、ユーザVPN113が構築される(図3ステップS61,S17,S62)。
【0060】
また、制御サーバ1は各拠点D,EのVPN終端機能付きルータ42,52に対し、定期的に任意のメッセージの送受信を行い、VPN終端機能付きルータ42,52の起動状態を監視する。
【0061】
図5及び図6は図1の制御サーバ1の動作を示すフローチャートである。これら図1と図5と図6とを参照して制御サーバ1の動作について説明する。図5には制御サーバ1がユーザVPN113を構築するまでの処理を示しており、図6には制御サーバ1がユーザVPN113を構築した後の処理を示している。
【0062】
制御サーバ1は、複数拠点D,Eにある複数のVPN終端機能付きルータ42,52が非同期で電源投入停止(起動停止)されるため、認証要求検出(図5ステップa1)、認証処理(図5ステップa2)、情報通知検出(図5ステップa3)の各処理によって、各拠点D,EのVPN終端機能付きルータ42,52の起動状態を判定し、起動状態のVPN終端機能付きルータのみを接続するユーザVPNの構築を行う(図5ステップa4〜a6)。
【0063】
制御サーバ1はユーザVPN113を構築後(図5のステップa1〜a6の処理を行った以降)、各拠点D,EのVPN終端機能付きルータ42,52と定期的に任意のメッセージの送受信を行い、各拠点D,EとVPN装置3との間の制御用VPNの通信状態を含め、VPN終端機能付きルータ42,52の起動状態確認を常時行う(図6ステップb1,b2)。
【0064】
制御サーバ1は起動状態確認において、制御VPNの通信異常を含む、あるVPN終端機能付きルータが起動状態でないことを検出した場合(図6ステップb3)、該当時点で残りの起動状態であるVPN終端機能付きルータ42,52のみを接続するユーザVPNの再構築を行うため、ユーザVPNの設定情報を更新し(図6ステップb4,b5)、送信した設定情報を起動状態にあるVPN終端機能付きルータ42,52に送信する(図6ステップb6)。
【0065】
ユーザ拠点D,Eに設置されているVPN終端機能付きルータ42,52は、受信した設定情報を自装置に設定し、異常が検出された拠点を除いたユーザVPNに更新される。
【0066】
このように、本実施例では、ユーザ拠点D,Eに設置するVPN終端機能付きルータ42,52に対し、人手を介した初期設定が不要であるため、サービス提供者が保守要員の派遣や要員教育を削減することができる。
【0067】
また、本実施例では、ユーザ拠点D,Eに設置するVPN終端機能付きルータ42,52に対して人手を介した簡単な初期設定が必要であるが、VPN終端機能付きルータ42,52に対する全ての設定を行う必要はないので、加入者自身が技術的知識を必要とせず、容易にインタネットVPNを構築することができる。
【0068】
さらに、本実施例では、ISP#B,#Cから動的に割当てられるグローバルIPアドレスを制御サーバ1へ自動的に通知し、制御サーバ1で一括管理するため、固定IP接続サービスだけでなく、動的IPアドレスのインタネット接続サービスを利用することができる。
【0069】
さらにまた、本実施例では、ISP#B,#Cから動的に割当てられるグローバルIPアドレスを割当てられる度に制御サーバ1で一括管理するため、モバイル機器においても、インタネットVPNサービスを利用することができ、複数のVPN終端機能付きルータ42,52同士を直接インタネットVPNで接続することができる。
【0070】
本実施例では、制御サーバ1がサブネットアドレス変更情報を一元管理し、そのサブネットアドレス変更情報を各拠点D,EのVPN終端機能付きルータ42,52に設定するため、ネットワークトポロジを動的に変更することができる。
【0071】
図7は本発明の他の実施例によるインタネットVPN構築システムの構成を示すブロック図である。図7において、本発明の他の実施例では、サービス事業者AがダイナミックDNS(Domain Name System)サーバ6を設置・運用し、かつISP#F、IPアドレス割当てサーバ7を経由してVPN装置3がインタネット100に接続される構成とした以外は上記の図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0072】
これによって、本発明の他の実施例では、VPN装置3のIPアドレスが動的なIPアドレスによるインタネット接続を利用する点が本発明の一実施例と異なっている。
【0073】
VPN装置3はインタネット100に接続するため、ISP#FのIPアドレス割当てサーバ7に対してIPアドレス要求を行う。IPアドレス割当てサーバ7はプールされているグローバルIPアドレスの中から、任意のグローバルIPアドレスをVPN装置3に割当てる。
【0074】
VPN装置3は割当てられたグローバルIPアドレスによって、インタネット100に接続する。VPN装置3は割当てられたIPアドレスを、ダイナミックDNSサーバ6に登録する。
【0075】
次に、VPN終端機能付きルータ12,22は、図1に示す処理に基づいて、ダイナミックDNSサーバ6からVPN装置3のグローバルIPアドレスを探索し、VPN装置3に対して制御用VPNを構築する。本実施例では、VPN装置3の接続においてダイナミックDNSを利用することで、サービス事業者Aにおいても動的なIPアドレスによるインタネット接続を利用することができる。
【0076】
図8は本発明の別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。図8において、本発明の別の実施例では、サービス事業者AにVPN機能を有するルータ(Router)8を設置した以外は上記の図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0077】
本実施例ではサービス事業者AにおいてユーザVPN113,123がルータ8を経由して接続される点が上述した本発明の一実施例とは異なる。また、ルータ8は固定のグローバルIPアドレスによってインタネット接続されている。
【0078】
図9は本発明の別の実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。これら図8及び図9を参照して本発明の別の実施例によるインタネットVPN構築システムの動作について説明する。
【0079】
VPN終端機能付きルータ42,52の制御サーバ1での認証処理、通知処理は、上記の本発明の一実施例と同様である(図9ステップS81,S71,S72,S91,S73,S74)。制御サーバ1は通知処理を受け、各拠点D,EのVPN終端機能付きルータ42,52のIPアドレスをデータとして記録する。
【0080】
次に、制御サーバ1はルータ8に対して、VPN終端機能付きルータ42,52のグローバルIPアドレスを指定したルーティング情報を設定する(図9ステップS75)。VPN終端機能付きルータ42からの設定情報要求に対しては(図9ステップS82)、VPN終端機能付きルータ42からルータ8へのIPSecによるユーザVPN113の設定情報をVPN終端機能付きルータ42に送信し(図9ステップS76)、ユーザVPN113を構築する。
【0081】
同様に、VPN終端機能付きルータ52からの設定情報要求に対しては(図9ステップS92)、VPN終端機能付きルータ52からルータ8へのIPSecによるユーザVPN123の設定情報をVPN終端機能付きルータ52に送信し(図9ステップS77)、ユーザVPN123を構築する。このように、VPN終端機能付きルータ42はユーザVPN113、ルータ8、ユーザVPN123を経由してVPN終端機能付きルータ52に接続される。
【0082】
本実施例では、ユーザVPNがサービス事業者Aのルータ8を経由するため、VPN終端機能付きルータ42,52同士を接続する場合に大規模構成ではメッシュ接続となり、VPN終端機能付きルータ42,52の性能劣化問題が解決されるという新しい効果がある。
【0083】
本実施例で示されるVPN機能を有するルータ8は、サービス事業者Aの拠点D,E内に設置・運用されているが、これは一実施例であり、VPN機能を有するルータ8はユーザ拠点D,Eで設置・運用されても、上記と同様の動作及び効果がある。
【0084】
図10は本発明のさらに別の実施例によるインタネットVPN構築システムの構成を示すブロック図であり、図11は本発明のさらに別の実施例によるインタネットVPN構築システムに用いてるデータの構成を示す図である。図10において、本発明のさらに別の実施例では、サービス事業者A内にプライベートIPアドレスプール9を設け、各拠点D,EのVPN終端機能付きルータ42,52内にDHCP(Dynamic Host Configuration Protocol)サーバ機能42a,52aを設け、拠点D,E内にコンピュータ431〜43n,531〜53nを設けた以外は図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は本発明の一実施例と同様である。
【0085】
図10において、サービス事業者Aの制御サーバ1はHMI端末2から入力された拠点のコンピュータ数を基に、プライベートIPアドレスプール9から要求数のIPアドレスを割振り、ユーザ情報、拠点情報に関連付けて記録する(図10参照)。
【0086】
この記録されたデータは、図10に示すように、インタネットVPNサービスの利用者名またはIDを示すユーザ情報と、VPN終端機能付きルータ42,52各々が設置される拠点名またはIDを示す拠点情報と、VPN終端機能付きルータ42,52各々が設置される拠点のLANで使用されるIPアドレスの数を示す拠点内IP数と、VPN終端機能付きルータ42,52各々の識別子を示す個別識別子と、VPN終端機能付きルータ42,52各々から通知されるグローバルIPアドレスと、VPN終端機能付きルータ42,52各々が設置される拠点のLANに割当てるIPアドレスを示すプライベートIPアドレスプールとからなる。
【0087】
制御サーバ1は各拠点D,Eに割当てたプライベートIPアドレスプールを各拠点D,EのVPN終端機能付きルータ42,52に対して通知する。VPN終端機能付きルータ42はその通知を受けると、通知されたプライベートIPアドレス領域のIPアドレスを拠点内のコンピュータ431〜43nにDHCPサーバ機能42aを経由して払い出す。
【0088】
また、制御サーバ1は上記のプライベートIPアドレス領域に加え、プライベートIPアドレスによるユーザVPN間のルーティングテーブル設定情報をVPN終端機能付きルータ42,52に送信する。VPN終端機能付きルータ42,52は受信したルーティングテーブル設定情報を自装置に設定する。
【0089】
本実施例では、制御用VPNを介して、ユーザ拠点内のプライベートIPアドレスの払い出し及び管理とルーティングテーブルの更新を行うことで、ユーザ拠点D,EはIPアドレスの管理が不要となり、コンピュータ431〜43n,531〜53n等を含めネットワークに対する設定が不要となる。また、プライベートIPアドレスを一括管理することで、拠点D,E間でプライベートIPアドレスの重複等の問題が解決される。
【0090】
【発明の効果】
以上説明したように本発明は、上記のような構成及び動作とすることで、サービス提供者が保守要員の派遣や要員教育を削減することができ、加入者自身の技術的知識を必要とせず、容易にインタネットVPNを構築することができるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の一実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図2】図1の制御サーバの構成を示すブロック図である。
【図3】本発明の一実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。
【図4】本発明の一実施例によるインタネットVPN構築システムに用いるデータの構成を示す図である。
【図5】図1の制御サーバの動作を示すフローチャートである。
【図6】図1の制御サーバの動作を示すフローチャートである。
【図7】本発明の他の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図8】本発明の別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図9】本発明の別の実施例によるインタネットVPN構築システムの動作を示すシーケンスチャートである。
【図10】本発明のさらに別の実施例によるインタネットVPN構築システムの構成を示すブロック図である。
【図11】本発明のさらに別の実施例によるインタネットVPN構築システムに用いてるデータの構成を示す図である。
【符号の説明】
1 制御サーバ
2 HMI端末
3 VPN装置
6 ダイナミックDNSサーバ
7,41,51 IPアドレス割当てサーバ
8 ルータ
9 プライベートIPアドレスプール
11 通信手段
12 メッセージ認識手段
13 認証手段
14 個体情報保存手段
15 設定情報作成手段
16 設定情報配信手段
17 データベース
42,52 VPN終端機能付きルータ
42a,52a DHCPサーバ機能
A サービス事業者
B,C,F ISP
D,E ユーザ拠点
100 インタネット
101,111,121 通信回線
112,122 制御用VPN
113,123 ユーザVPN
431〜43n,
531〜53n コンピュータ

Claims (21)

  1. 複数のユーザ拠点間に設置されたVPN(Virtual Private Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNを設定するVPN装置と、
    前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを含む制御サーバとを有することを特徴とするインタネットVPN構築システム。
  2. 前記制御サーバは、前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基に前記VPN終端機能付きルータ間を結ぶユーザVPNを構築するためのIPSecの設定情報を送信し、
    前記VPN終端機能付きルータが前記制御サーバからの設定情報を自装置に設定することで前記ユーザVPNを構築することを特徴とする請求項1記載のインタネットVPN構築システム。
  3. 前記VPN装置と前記制御サーバとにそれぞれ固定IPアドレスを割当てたことを特徴とする請求項1または請求項2記載のインタネットVPN構築システム。
  4. 前記VPN装置に接続されたインタネットと前記VPN終端機能付きルータとの間に設けられかつ前記VPN終端機能付きルータ各々に前記動的IPアドレスを割当てるIPアドレス割当てサーバを含むことを特徴とする請求項1から請求項3のいずれか記載のインタネットVPN構築システム。
  5. 前記VPN終端機能付きルータ各々は、前記制御サーバ及び前記VPN装置各々のホスト名及び前記固定IPアドレスのいずれかを記録することを特徴とする請求項3または請求項4記載のインタネットVPN構築システム。
  6. ユーザ情報、拠点情報、前記VPN終端機能付きルータの個別識別子を前記制御サーバに入力する端末を含むことを特徴とする請求項1から請求項5のいずれか記載のインタネットVPN構築システム。
  7. 前記インタネットと前記VPN装置との間に設けられかつ前記VPN装置に動的IPアドレスを割当てるIPアドレス割当てサーバと、前記VPN終端機能付きルータからの要求に対して前記VPN装置の動的IPアドレスを返却するダイナミックDNS(Domain Name System)サーバとを含むことを特徴とする請求項1と請求項4と請求項6とのいずれか記載のインタネットVPN構築システム。
  8. 固定IPアドレスによって前記インタネットに接続されかつVPN機能を持つルータを含み、前記VPN終端機能付きルータと前記ルータとの間を結ぶユーザVPNを構築することで前記VPN終端機能付きルータ間を結ぶことを特徴とする請求項1から請求項7のいずれか記載のインタネットVPN構築システム。
  9. VPN(Virtual Private Network)装置で設定されかつ複数のユーザ拠点間に設置されたVPN終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行う手段と、
    前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスに基づいた前記IPSecの設定情報を前記VPN終端機能付きルータに送信する手段とを有することを特徴とする制御サーバ。
  10. 前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基に前記VPN終端機能付きルータ間を結ぶユーザVPNを構築するためのIPSecの設定情報を送信し、前記VPN終端機能付きルータに前記IPSecの設定情報が設定されることで前記ユーザVPNが構築されることを特徴とする請求項9記載の制御サーバ。
  11. 前記VPN装置とともに自端末にそれぞれ固定IPアドレスが割当てられたことを特徴とする請求項9または請求項10記載の制御サーバ。
  12. 端末からユーザ情報、拠点情報、前記VPN終端機能付きルータの個別識別子が入力されることを特徴とする請求項9から請求項11のいずれか記載の制御サーバ。
  13. 固定IPアドレスによって前記インタネットに接続されかつVPN機能を持つルータと前記VPN終端機能付きルータとの間を結ぶユーザVPNを構築するよう制御することで前記VPN終端機能付きルータ間を結ぶことを特徴とする請求項9から請求項12のいずれか記載の制御サーバ。
  14. 複数のユーザ拠点間に設置されたVPN(VirtualPrivate Network)終端機能付きルータ各々からの要求に応じて当該VPN終端機能付きルータとの間にIPSec(Internet Protocol Security protocol)による暗号化及びカプセル化される経路としての制御用VPNをVPN装置と前記VPN終端機能付きルータとの間に設定し、
    前記制御用VPNを経由した前記VPN終端機能付きルータからの認証要求の受信時に当該VPN終端機能付きルータの認証を行い、その認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基づいた前記IPSecの設定情報を制御サーバから前記VPN終端機能付きルータに送信することを特徴とするVPN構築方法。
  15. 前記認証の成功時に前記VPN終端機能付きルータから通知される動的IPアドレスを基に前記VPN終端機能付きルータ間を結ぶユーザVPNを構築するためのIPSecの設定情報を前記制御サーバから前記VPN終端機能付きルータに送信し、
    前記VPN終端機能付きルータが前記制御サーバからの設定情報を自装置に設定することで前記ユーザVPNを構築することを特徴とするVPN構築方法。
  16. 前記VPN装置と前記制御サーバとにそれぞれ固定IPアドレスを割当てたことを特徴とする請求項15記載のVPN構築方法。
  17. 前記VPN終端機能付きルータ各々に前記動的IPアドレスを割当てるIPアドレス割当てサーバを前記VPN装置に接続されたインタネットと前記VPN終端機能付きルータとの間に設けたことを特徴とする請求項15または請求項16記載のVPN構築方法。
  18. 前記VPN終端機能付きルータ各々が、前記制御サーバ及び前記VPN装置各々のホスト名及び前記固定IPアドレスのいずれかを記録することを特徴とする請求項16または請求項17記載のVPN構築方法。
  19. ユーザ情報、拠点情報、前記VPN終端機能付きルータの個別識別子を外部から前記制御サーバに入力することを特徴とする請求項15から請求項18のいずれか記載のVPN構築方法。
  20. 前記VPN装置に動的IPアドレスを割当てるIPアドレス割当てサーバを前記インタネットと前記VPN装置との間に設け、前記VPN終端機能付きルータからの要求に対して前記VPN装置の動的IPアドレスを返却するダイナミックDNS(Domain Name System)サーバを設けたことを特徴とする請求項15と請求項17と請求項19とのいずれか記載のVPN構築方法。
  21. VPN機能を持つルータを固定IPアドレスによって前記インタネットに接続し、前記VPN終端機能付きルータと前記ルータとの間を結ぶユーザVPNを構築することで前記VPN終端機能付きルータ間を結ぶことを特徴とする請求項15から請求項20のいずれか記載のVPN構築方法。
JP2003174170A 2003-06-19 2003-06-19 インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法 Pending JP2005012485A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003174170A JP2005012485A (ja) 2003-06-19 2003-06-19 インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003174170A JP2005012485A (ja) 2003-06-19 2003-06-19 インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法

Publications (1)

Publication Number Publication Date
JP2005012485A true JP2005012485A (ja) 2005-01-13

Family

ID=34097726

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003174170A Pending JP2005012485A (ja) 2003-06-19 2003-06-19 インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法

Country Status (1)

Country Link
JP (1) JP2005012485A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009028098A1 (ja) * 2007-08-31 2009-03-05 Fujitsu Limited コンフィグレーション情報作成装置、コンフィグレーション情報作成方法、プログラム、及び記録媒体
JP2009100062A (ja) * 2007-10-13 2009-05-07 A2 Network Kk 通信方法
JP2011049841A (ja) * 2009-08-27 2011-03-10 Nippon Telegr & Teleph Corp <Ntt> ネットワーク制御方法およびネットワークシステム
JP2015167295A (ja) * 2014-03-03 2015-09-24 株式会社ネットリソースマネジメント Vpn接続システム及びvpn接続方法
CN108883013A (zh) * 2016-03-23 2018-11-23 尤妮佳股份有限公司 吸收性物品
WO2023182203A1 (ja) * 2022-03-25 2023-09-28 ソニーグループ株式会社 情報処理方法、情報処理装置、及び情報処理システム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009028098A1 (ja) * 2007-08-31 2009-03-05 Fujitsu Limited コンフィグレーション情報作成装置、コンフィグレーション情報作成方法、プログラム、及び記録媒体
JP2009100062A (ja) * 2007-10-13 2009-05-07 A2 Network Kk 通信方法
JP2011049841A (ja) * 2009-08-27 2011-03-10 Nippon Telegr & Teleph Corp <Ntt> ネットワーク制御方法およびネットワークシステム
JP2015167295A (ja) * 2014-03-03 2015-09-24 株式会社ネットリソースマネジメント Vpn接続システム及びvpn接続方法
CN108883013A (zh) * 2016-03-23 2018-11-23 尤妮佳股份有限公司 吸收性物品
WO2023182203A1 (ja) * 2022-03-25 2023-09-28 ソニーグループ株式会社 情報処理方法、情報処理装置、及び情報処理システム

Similar Documents

Publication Publication Date Title
CN101340334B (zh) 一种网络接入方法及***和装置
US8467355B2 (en) System and method for providing wireless local area networks as a service
JP5871916B2 (ja) 電気通信ネットワークと顧客構内機器との間の接続の効率的な管理及び/又は構成のための方法、電気通信ネットワーク、及びプログラム
JP2006040274A (ja) 装置のグループをプロテクトするファイヤウォール、システムに参加する装置及びシステム内のファイヤウォール・ルールを更新する方法
CN109600292B (zh) 一种lac路由器自拨号发起l2tp隧道连接的方法及***
JP2005252717A (ja) ネットワーク管理方法及びネットワーク管理サーバ
WO2019237683A1 (zh) 一种协议报文以及虚拟客户终端设备的管理方法
JP4253569B2 (ja) 接続制御システム、接続制御装置、及び接続管理装置
WO2018039901A1 (zh) 用于ip地址分配的方法、装置、***和计算机程序产品
CN116155649A (zh) 基于二层隧道协议的工业互联网络的构建方法
CN103227822B (zh) 一种p2p通信连接建立方法和设备
JP2005012485A (ja) インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JP2005236394A (ja) ネットワークシステム及びネットワーク制御方法
CN114884771B (zh) 基于零信任理念的身份化网络构建方法、装置和***
JP2011217174A (ja) 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム
WO2019058612A1 (ja) リモートアクセス制御システム
TW201517654A (zh) 傳輸路徑控制系統
CN105119797A (zh) 社会资源接入终端、接入管理服务设备、方法及***
JP2007174209A (ja) セキュリティ通信システム
WO2021103986A1 (zh) 一种网络设备管理方法、装置、网络管理设备及介质
JP2004144817A (ja) 映像音声再生装置の開局方法、映像音声再生装置および開局サーバ
JPH11331270A (ja) ネットワークシステム
JP5875507B2 (ja) 中継装置、プログラム、情報処理方法、及び情報処理装置
JP2018029233A (ja) クライアント端末認証システム及びクライアント端末認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060516

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080415

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080602

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090203