JP2013126219A - Transfer server and transfer program - Google Patents
Transfer server and transfer program Download PDFInfo
- Publication number
- JP2013126219A JP2013126219A JP2011275591A JP2011275591A JP2013126219A JP 2013126219 A JP2013126219 A JP 2013126219A JP 2011275591 A JP2011275591 A JP 2011275591A JP 2011275591 A JP2011275591 A JP 2011275591A JP 2013126219 A JP2013126219 A JP 2013126219A
- Authority
- JP
- Japan
- Prior art keywords
- address
- data
- network
- packet data
- transfer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012546 transfer Methods 0.000 title claims abstract description 133
- 230000005540 biological transmission Effects 0.000 claims abstract description 96
- 238000012545 processing Methods 0.000 claims abstract description 78
- 238000006243 chemical reaction Methods 0.000 claims abstract description 58
- 239000000284 extract Substances 0.000 abstract description 2
- 238000011144 upstream manufacturing Methods 0.000 description 37
- 238000000034 method Methods 0.000 description 28
- 238000004891 communication Methods 0.000 description 27
- 238000013519 translation Methods 0.000 description 16
- 238000013507 mapping Methods 0.000 description 4
- 230000005764 inhibitory process Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ユーザの利用する端末に第1のネットワークを介して接続するとともに、端末にサービスを提供する処理サーバに第2のネットワークを介して接続し、端末および処理サーバの間でパケットを転送する転送サーバおよび転送プログラムに関する。 The present invention connects to a terminal used by a user via a first network, and connects to a processing server that provides services to the terminal via a second network, and transfers packets between the terminal and the processing server. The present invention relates to a transfer server and a transfer program.
一般的な通信ネットワークにおいて、通信端末の増加に対する対応やセキュリティ確保のために、ネットワークアドレス変換が用いられる。このネットワークアドレス変換において、プライベートネットワーク環境から、グローバルネットワーク環境に接続する際、プライベートネットワーク環境の通信端末のIPアドレスおよびポートを、グローバル環境のIPアドレスおよびポートに変換する。このネットワークアドレス変換は、NAT(Network Address Translation)とも称される場合がある。プライベートネットワーク環境とグローバルネットワーク環境の両方に属するネットワークアドレス変換装置が、ネットワークアドレス変換を担う。 In a general communication network, network address translation is used to cope with an increase in the number of communication terminals and to ensure security. In this network address conversion, when connecting from the private network environment to the global network environment, the IP address and port of the communication terminal in the private network environment are converted into the IP address and port of the global environment. This network address translation is sometimes referred to as NAT (Network Address Translation). Network address translation devices belonging to both the private network environment and the global network environment are responsible for network address translation.
ネットワークアドレス変換に、動的NATと呼ばれる技術がある。動的NATは、プライベートネットワークから送信されたパケットに、予め用意されたグローバル環境の複数のIPアドレスのいずれかを動的に割り振る技術である(例えば、特許文献1参照)。特許文献1に記載の技術において、ネットワークアドレス変換装置は、アドレス変換用のマッピングテーブルを作成する。アドレス変換用のマッピングテーブルは、プライベートアドレス環境に属する通信端末のプライベートアドレスを、ネットワークアドレス変換装置が保持するグローバルアドレスの任意のグローバルアドレスに対応づける。さらにネットワークアドレス変換装置は、TCPセッションが終了した時点から一定の時間が経過するまで、このマッピングテーブルを保持し、一定の時間が経過した後、このマッピングテーブルを消去する。 There is a technique called dynamic NAT for network address translation. Dynamic NAT is a technique for dynamically allocating any of a plurality of IP addresses in a global environment prepared in advance to a packet transmitted from a private network (see, for example, Patent Document 1). In the technique described in Patent Document 1, a network address translation device creates a mapping table for address translation. The mapping table for address translation associates the private address of the communication terminal belonging to the private address environment with an arbitrary global address of the global address held by the network address translation device. Further, the network address translation device holds this mapping table until a certain time has elapsed from the end of the TCP session, and erases this mapping table after the certain time has elapsed.
一方、昨今のクラウドサービスの普及に伴い、ユーザの利用するコンピュータ端末にかかわらず、同様のサービスを享受することが可能となっている。例えば、クラウドサービスにおいて、ユーザは、ネットワーク上のソフトウェアを稼働して、ネットワーク上のストレージに作業内容を保存することができる。従って、ユーザは、クラウドサービスを享受できる環境であれば、会社内でも自宅でも、同様の作業を続けることができる。 On the other hand, with the recent spread of cloud services, it is possible to enjoy similar services regardless of the computer terminals used by users. For example, in a cloud service, a user can operate software on a network and save work contents in a storage on the network. Therefore, the user can continue the same work in the office or at home as long as the user can enjoy the cloud service.
しかしながら、クラウドサービスを実現するためには、クラウドサービスにおいて、ユーザを一意に識別することが必要になるところ、クラウドサービスにおいて容易にユーザを識別する必要がある。このように、接続先の処理サーバにおいて、ユーザの端末に依存せず、ユーザを容易に識別可能な方法の確立が期待されている。 However, in order to realize a cloud service, it is necessary to uniquely identify a user in the cloud service, but it is necessary to easily identify the user in the cloud service. As described above, it is expected to establish a method capable of easily identifying a user without depending on the user's terminal in the connection processing server.
そこで本発明の目的は、処理サーバにおいてユーザを容易に識別できるように、パケットを処理サーバに転送する転送サーバおよび転送プログラムを提供することである。 Therefore, an object of the present invention is to provide a transfer server and a transfer program for transferring a packet to a processing server so that the user can be easily identified in the processing server.
上記課題を解決するために、本発明の第1の特徴は、ユーザの利用する端末に第1のネットワークを介して接続するとともに、端末にサービスを提供する処理サーバに第2のネットワークを介して接続し、端末および処理サーバの間でパケットを転送する転送サーバに関する。即ち本発明の第1の特徴に係る転送サーバは、ユーザの識別子と、第1のネットワークのアドレスと、第2のネットワークのアドレスとを対応づけた変換データを記憶する記憶装置と、端末から送信された受信パケットデータについて、変換データから、当該受信パケットデータを送信したユーザの識別子と、第1のネットワークのアドレスとして当該受信パケットデータの送信元アドレスと、が対応づけられた第2のネットワークのアドレスを抽出し、受信パケットデータの送信元アドレスを、変換データから抽出したアドレスに変換して送信パケットデータを生成するアドレス変換手段と、送信パケットデータを、第2のネットワークに送信するパケット送信手段を備える。 In order to solve the above-mentioned problem, the first feature of the present invention is that the terminal used by the user is connected via the first network, and the processing server that provides the service to the terminal via the second network. The present invention relates to a transfer server that connects and transfers packets between a terminal and a processing server. That is, the transfer server according to the first aspect of the present invention includes a storage device that stores conversion data in which a user identifier, a first network address, and a second network address are associated with each other, and a transmission from the terminal. For the received packet data, the identifier of the user who transmitted the received packet data from the converted data and the transmission source address of the received packet data as the first network address are associated with each other. Address converting means for extracting the address, converting the transmission source address of the received packet data into an address extracted from the converted data to generate transmission packet data, and packet transmitting means for transmitting the transmission packet data to the second network Is provided.
ここで変換データはさらに、ユーザの識別子に対応して、パケットの転送の拒否条件を対応づけても良い。この場合、変換データから、受信パケットデータを送信したユーザの識別子に対応づけられた拒否条件を取得し、当該受信パケットデータが、取得した当該拒否条件に一致しない場合、パケット送信手段が送信パケットデータを送信する。 Here, the conversion data may further correspond to a packet transfer rejection condition corresponding to the identifier of the user. In this case, if the rejection condition associated with the identifier of the user who transmitted the received packet data is acquired from the converted data, and the received packet data does not match the acquired rejection condition, the packet transmitting means transmits the transmitted packet data. Send.
本発明の第2の特徴は、ユーザの利用する端末に第1のネットワークを介して接続するとともに、端末にサービスを提供する処理サーバに第2のネットワークを介して接続し、端末および処理サーバの間でパケットを転送する転送サーバに用いられる転送プログラムに関する。即ち本発明の第2の特徴に係る転送プログラムは、コンピュータを、ユーザの識別子と、第1のネットワークのアドレスと、第2のネットワークのアドレスとを対応づけた変換データを記憶する記憶手段と、端末から送信された受信パケットデータについて、変換データから、当該受信パケットデータを送信したユーザの識別子と、第1のネットワークのアドレスとして当該受信パケットデータの送信元アドレスと、が対応づけられた第2のネットワークのアドレスを抽出し、受信パケットデータの送信元アドレスを、変換データから抽出したアドレスに変換して送信パケットデータを生成するアドレス変換手段と、送信パケットデータを、第2のネットワークに送信するパケット送信手段として機能させる。 According to a second aspect of the present invention, a terminal used by a user is connected via a first network, and a processing server providing a service to the terminal is connected via a second network. The present invention relates to a transfer program used for a transfer server that transfers packets between. That is, the transfer program according to the second aspect of the present invention includes a storage unit that stores conversion data in which a computer is associated with an identifier of a user, an address of a first network, and an address of a second network; For the received packet data transmitted from the terminal, the second identifier in which the identifier of the user who transmitted the received packet data is associated with the transmission source address of the received packet data as the first network address from the converted data. The address of the network is extracted, the source address of the received packet data is converted to the address extracted from the converted data, and the transmission packet data is transmitted to the second network. It functions as a packet transmission means.
本発明によれば、処理サーバにおいてユーザを容易に識別できるように、パケットを処理サーバに転送する転送サーバおよび転送プログラムを提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the transfer server and transfer program which transfer a packet to a processing server can be provided so that a user can be easily identified in a processing server.
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一または類似の部分には同一または類似の符号を付している。 Next, embodiments of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals.
(実施の形態)
まず図1を参照して、本発明の実施の形態に係る通信システム100を説明する。通信システム100は、ユーザが端末を処理サーバ6に接続して、処理サーバ6のサービスを享受するためのシステムである。通信システム100は、転送サーバ1、セッション管理サーバ2、VPN(Virtual Private Network)サーバ3、社内システム4、ユーザ端末5、処理サーバ6を備える。これらの装置は、下り側ネットワーク(第1のネットワーク)101、上り側ネットワーク(第2のネットワーク)102、公衆有線ネットワーク103および公衆無線ネットワーク104を介して、相互に通信可能に接続される。
(Embodiment)
First, a communication system 100 according to an embodiment of the present invention will be described with reference to FIG. The communication system 100 is a system for a user to connect a terminal to the processing server 6 and enjoy the service of the processing server 6. The communication system 100 includes a transfer server 1, a session management server 2, a VPN (Virtual Private Network) server 3, an in-house system 4, a user terminal 5, and a processing server 6. These devices are communicably connected to each other via a downstream network (first network) 101, an upstream network (second network) 102, a public wired network 103, and a public wireless network 104.
図1に示す例では、通信システム100は、第1のVPNサーバ3aおよび第2のVPNサーバ3bを備えるが、これらのVPNサーバを区別しない場合、単にVPNサーバ3と記載する場合がある。また、通信システム100は、A社内システム4aおよびB社内システム4bを備えるが、これらを区別しない場合、単に社内システム4と記載する場合がある。またA社内システム4aは社内端末41aを備え、B社内システム4bは社内端末41bを備えるが、これらの社内端末を区別しない場合、単に社内端末41と記載する場合がある。通信システム100は、ユーザ端末5a、5b、5cを備えるが、これらのユーザ端末を区別しない場合、単にユーザ端末5と記載する場合がある。また、社内端末41とユーザ端末5とを特に区別しない場合、単に端末と記載する場合がある。通信システム100は、第1の処理サーバ6a、第2の処理サーバ6b、第3の処理サーバ6cおよび第4の処理サーバ6dを備えるが、これらの処理サーバを区別しない場合、単に処理サーバ6と記載する場合がある。
In the example illustrated in FIG. 1, the communication system 100 includes a first VPN server 3a and a second VPN server 3b. However, when these VPN servers are not distinguished from each other, they may be simply described as the VPN server 3. Further, the communication system 100 includes the A in-
公衆有線ネットワーク103は、VPNを提供するとともに、社内システム4と第1のVPNサーバ3aとを相互に接続する。公衆無線ネットワーク104は、VPNを提供するとともに、ユーザ端末5と第2のVPNサーバ3bとを相互に接続する。 The public wired network 103 provides VPN and connects the in-house system 4 and the first VPN server 3a to each other. The public wireless network 104 provides VPN and connects the user terminal 5 and the second VPN server 3b to each other.
下り側ネットワーク101および上り側ネットワーク102は、プライベート高速ネットワークである。下り側ネットワーク101は、転送サーバ1、セッション管理サーバ2、第1のVPNサーバ3aおよび第2のVPNサーバ3bを相互に通信可能に接続する。上り側ネットワーク102は、転送サーバ1と処理サーバ6とを相互に通信可能に接続する。 The downstream network 101 and the upstream network 102 are private high-speed networks. The downstream network 101 connects the transfer server 1, the session management server 2, the first VPN server 3a, and the second VPN server 3b so that they can communicate with each other. The upstream network 102 connects the transfer server 1 and the processing server 6 so that they can communicate with each other.
社内システム4は、社内端末41を備える。簡略のため、図1に示す例では、各社内システムが、それぞれ一つの社内端末41を備えているが、複数の社内端末41を備える場合が一般的である。これらの社内端末41は、社内LANによって、相互に通信可能に接続される。社内端末41は、一般的なコンピュータであって、処理サーバ6によるクラウドサービスのクライアント端末である。ユーザは、社内端末41を操作して処理サーバ6に接続し、データを更新または処理する。社内システム4は、公衆有線ネットワーク103に設けられたVPNを介して、処理サーバ6に接続する。 The in-house system 4 includes an in-house terminal 41. For the sake of simplicity, in the example shown in FIG. 1, each in-house system has one in-house terminal 41, but a plurality of in-house terminals 41 is generally provided. These in-house terminals 41 are connected by an in-house LAN so that they can communicate with each other. The in-house terminal 41 is a general computer, and is a client terminal for cloud service by the processing server 6. The user operates the in-house terminal 41 to connect to the processing server 6 and updates or processes data. The in-house system 4 is connected to the processing server 6 via a VPN provided in the public wired network 103.
ユーザ端末5は、ユーザが利用する情報通信端末であって、例えば、携帯電話機、スマートフォン、パーソナルコンピュータなどである。ユーザ端末5は、公衆無線ネットワーク104に設けられたVPNを介して、処理サーバ6に接続する。本発明の実施の形態においてユーザ端末5は、処理サーバ6によるクラウドサービスのクライアント端末である。図1に示す例では、ユーザ端末5は、公衆無線ネットワーク104を介して処理サーバ6に接続する場合を説明するが、任意の通信プロバイダが提供する有線ネットワークを介して接続しても良い。 The user terminal 5 is an information communication terminal used by the user, and is, for example, a mobile phone, a smartphone, a personal computer, or the like. The user terminal 5 is connected to the processing server 6 via a VPN provided in the public wireless network 104. In the embodiment of the present invention, the user terminal 5 is a client terminal of a cloud service by the processing server 6. In the example illustrated in FIG. 1, the case where the user terminal 5 is connected to the processing server 6 via the public wireless network 104 will be described. However, the user terminal 5 may be connected via a wired network provided by an arbitrary communication provider.
ユーザは、社内システム4の社内端末41から処理サーバ6に接続することができるとともに、ユーザ端末5から処理サーバ6に接続することができる。従ってユーザは、社内端末41を利用する場合もユーザ端末5を利用する場合も、処理サーバ6によるクラウドサービスを同様に享受することができる。これによりユーザは、どのような端末を用いても、同じデータを処理することができる。例えばユーザは、社内端末41から入力したデータを、ユーザ端末5で参照することができ、またユーザ端末5で入力したデータを、社内端末41で参照することができる。 The user can connect to the processing server 6 from the in-house terminal 41 of the in-house system 4 and can connect to the processing server 6 from the user terminal 5. Therefore, the user can enjoy the cloud service provided by the processing server 6 in the same manner whether the in-house terminal 41 or the user terminal 5 is used. As a result, the user can process the same data using any terminal. For example, the user can refer to data input from the in-house terminal 41 on the user terminal 5, and can refer to data input on the user terminal 5 on the in-house terminal 41.
第1のVPNサーバ3aは、公衆有線ネットワーク103に設けられたVPNの終端装置である。第1のVPNサーバ3aは、社内端末41から公衆有線ネットワーク103を介して受信したパケットを、下り側ネットワーク101を介して、転送サーバ1に送信する。第2のVPNサーバ3bは、公衆無線ネットワーク104に設けられたVPNの終端装置である。第2のVPNサーバ3bは、ユーザ端末5から公衆無線ネットワーク104を介して受信したパケットを、下り側ネットワーク101を介して、転送サーバ1に送信する。 The first VPN server 3 a is a VPN termination device provided in the public wired network 103. The first VPN server 3 a transmits a packet received from the in-house terminal 41 via the public wired network 103 to the transfer server 1 via the downlink network 101. The second VPN server 3 b is a VPN termination device provided in the public wireless network 104. The second VPN server 3 b transmits a packet received from the user terminal 5 via the public wireless network 104 to the transfer server 1 via the downlink network 101.
セッション管理サーバ2は、社内端末41およびユーザ端末5などの端末と、処理サーバ6とのセッションの情報を保持する。セッション管理サーバ2で保持されるセッション情報は、転送サーバ1によって取得され参照される。 The session management server 2 holds information on sessions between the processing server 6 and terminals such as the in-house terminal 41 and the user terminal 5. The session information held in the session management server 2 is acquired and referenced by the transfer server 1.
処理サーバ6は、ユーザの端末にサービスを提供する。本発明の実施の形態に係る通信システム100においては特に、ユーザの属性に応じて、社内端末41およびユーザ端末5などの端末にクラウドサービスを提供する。図1に示す例において、4つの処理サーバ6は、それぞれ異なるIPアドレスを持つ。これらの処理サーバ6は、端末に、それぞれ異なる機能を提供しても良いし、同じ機能を提供しても良い。 The processing server 6 provides a service to the user terminal. In the communication system 100 according to the embodiment of the present invention, in particular, a cloud service is provided to terminals such as the in-house terminal 41 and the user terminal 5 according to user attributes. In the example shown in FIG. 1, the four processing servers 6 have different IP addresses. These processing servers 6 may provide different functions to the terminals, or may provide the same functions.
転送サーバ1は、VPNサーバ3に下り側ネットワーク101を介して接続するとともに、処理サーバ6に上り側ネットワーク102を介して接続する。転送サーバ1は、VPNサーバ3および処理サーバ6の間でパケットを転送する。 The transfer server 1 is connected to the VPN server 3 via the downstream network 101 and is connected to the processing server 6 via the upstream network 102. The transfer server 1 transfers the packet between the VPN server 3 and the processing server 6.
本発明の実施の形態において転送サーバ1は、NAT(Network Address Translation)機能を実装するサーバである。転送サーバ1は、社内端末41およびユーザ端末5から、下り側ネットワーク101を介して送信された受信パケットデータについて、送信元アドレスおよび送信元ポート番号を変換する。転送サーバ1は、変換後のパケットを、上り側ネットワーク102に送信する。 In the embodiment of the present invention, the transfer server 1 is a server that implements a NAT (Network Address Translation) function. The transfer server 1 converts the source address and source port number of the received packet data transmitted from the in-house terminal 41 and the user terminal 5 via the downlink network 101. The transfer server 1 transmits the converted packet to the upstream network 102.
ここで転送サーバ1は、社内端末41およびユーザ端末5を利用するユーザの属性に併せて、パケットの送信元アドレスおよび送信元ポートを変換する。さらに転送サーバ1は、変換後のパケットを、受信パケットデータの宛先アドレスおよび宛先ポートに対応する処理サーバ6に送信する。 Here, the transfer server 1 converts the source address and source port of the packet in accordance with the attributes of the users who use the in-house terminal 41 and the user terminal 5. Further, the transfer server 1 transmits the converted packet to the processing server 6 corresponding to the destination address and destination port of the received packet data.
本発明の実施の形態に係る転送サーバ1は、パケットを送信したユーザ端末5の「ユーザ」に対応して、送信元アドレスおよび送信元ポート番号を変換し、処理サーバ6に送信する。これにより、処理サーバ6は、送信元アドレスおよび送信元ポート番号に基づいて、ユーザに対応するサービスを提供することができる。 The transfer server 1 according to the embodiment of the present invention converts the transmission source address and the transmission source port number in correspondence with the “user” of the user terminal 5 that has transmitted the packet, and transmits it to the processing server 6. Accordingly, the processing server 6 can provide a service corresponding to the user based on the transmission source address and the transmission source port number.
(転送サーバ)
図2を参照して、本発明の実施の形態に係る転送サーバ1を説明する。転送サーバ1は、一般的なコンピュータに、転送プログラムがインストールされ実行されることによって、実現される。転送プログラムは、コンピュータに、転送サーバ1の所定の機能を実現させるためのプログラムである。
(Transfer server)
With reference to FIG. 2, the transfer server 1 which concerns on embodiment of this invention is demonstrated. The transfer server 1 is realized by installing and executing a transfer program in a general computer. The transfer program is a program for causing a computer to realize a predetermined function of the transfer server 1.
転送サーバ1は、記憶装置10、演算処理制御装置20および通信制御装置30を備える。
The transfer server 1 includes a
記憶装置10は、例えば、ハードディスク、ROM、RAMなどである。記憶装置10は、転送サーバ1において処理されるデータを保持する記憶媒体である。記憶装置10に記憶されたデータは、演算処理制御装置20によって参照され、更新される。
The
演算処理制御装置20は、転送サーバ1の処理を制御する。演算処理制御装置20は、記憶装置10からデータを読み出して処理したり、処理したデータを記憶装置10に記憶したりする。また演算処理制御装置20は、通信制御装置30を介してネットワークを介して受信したデータを処理し、処理したデータを通信制御装置30を介してネットワークに送出する。
The arithmetic processing control device 20 controls processing of the transfer server 1. The arithmetic processing control device 20 reads data from the
通信制御装置30は、転送サーバ1を通信ネットワークに接続させるための装置である。通信制御装置30は、図1に示すように、転送サーバ1を下り側ネットワーク101および上り側ネットワーク102に接続させる。
The
本発明の実施の形態に係る記憶装置10は、図2に示すように、変換データ11、セッションデータ12、受信パケットデータ13、送信パケットデータ14および変換済テーブルデータ16を記憶する。演算処理制御装置20の各処理手段が、変換データ11、セッションデータ12、受信パケットデータ13、送信パケットデータ14および変換済テーブルデータ16を、記憶装置10に記憶する。演算処理制御装置20には、転送プログラムによって、変換データ生成手段21、セッションデータ取得手段22およびパケット転送手段23が実装される。
The
変換データ生成手段21は、変換データ11を生成して記憶装置10に記憶する記憶手段である。本発明の実施の形態において変換データ生成手段21は、どのような手法で変換データを生成しても良い。例えば、管理者が転送サーバ1の入力装置を操作することで、変換データ生成手段21が変換データ11を生成しても良い。また、管理者が予め生成した変換データ11を、変換データ生成手段21が取得して、変換データ11を記憶装置10に記憶しても良い。
The conversion
変換データ11は、ユーザの識別子と、下り側ネットワーク101のアドレスと、上り側ネットワーク102のアドレスとを対応づけたデータである。変換データ11は、さらに、下り側ネットワーク101および上り側ネットワーク102におけるポート番号も対応付けても良い。
The
下り側ネットワーク101のアドレスおよびポート番号は、このユーザの端末から下り側ネットワーク101を介して転送サーバ1に送信された受信パケットデータの、送信元アドレスおよび送信元ポート番号である。上り側ネットワーク102のアドレスおよびポート番号は、転送サーバ1がユーザの端末から送信されたパケットを、上り側ネットワーク102に送信する際の送信元アドレスおよび送信元ポート番号である。 The address and port number of the downstream network 101 are the transmission source address and the transmission source port number of the received packet data transmitted from the user terminal to the transfer server 1 via the downstream network 101. The address and port number of the upstream network 102 are a transmission source address and a transmission source port number when the transfer server 1 transmits a packet transmitted from the user terminal to the upstream network 102.
変換データ11は、図3に示すようなデータである。図3に示す例で変換データ11は、ユーザ識別子”User_A”に対応づけられた2つのレコードを含む。一つ目のレコードは、下り側ネットワークのIPアドレス”IP_A1”およびポート番号”Port_A1”と、上り側ネットワークのIPアドレス”IP_A2”およびポート番号”Port_A2”を対応づける。二つ目のレコードは、下り側ネットワークのIPアドレス”IP_a1”およびポート番号”Port_a1”と、上り側ネットワークのIPアドレス”IP_a2”およびポート番号”Port_a2”を対応づける。
The
ここで例えば、IPアドレス”IP_A1”は、社内システム4における社内端末41のIPアドレスである。また、IPアドレス”IP_a1”は、ユーザ端末5のIPアドレスである。本発明の実施の形態において転送サーバ1は、ユーザ識別子と、ユーザの送信したパケットの送信元IPアドレスおよび送信元ポート番号に基づいて、そのユーザの利用している端末を特定する。さらに転送サーバ1は、この端末を考慮して、受信パケットデータの送信元IPアドレスおよび送信元ポート番号を変換して、送信パケットデータを生成し、上り側ネットワーク102に送信する。 Here, for example, the IP address “IP_A1” is the IP address of the in-house terminal 41 in the in-house system 4. The IP address “IP_a1” is the IP address of the user terminal 5. In the embodiment of the present invention, the transfer server 1 specifies a terminal used by the user based on the user identifier, the source IP address and the source port number of the packet transmitted by the user. Further, the transfer server 1 converts the transmission source IP address and the transmission source port number of the reception packet data in consideration of this terminal, generates transmission packet data, and transmits the transmission packet data to the upstream network 102.
図3に示す例において、ユーザ識別子”User_A”の受信パケットデータ13について、送信元IPアドレスおよび送信元ポート番号を変換して送信パケットデータ14を生成する際、2通りの変換方法があることを示す。具体的には、送信元IPアドレス”IP_A1”および送信元ポート番号”Port_A1”の場合、転送サーバ1は、送信元IPアドレス”IP_A2”および送信元ポート番号”Port_A2”に変換した送信パケットデータ14を生成する。送信元IPアドレス”IP_a1”および送信元ポート番号”Port_a1”の場合、転送サーバ1は、送信元IPアドレス”IP_a2”および送信元ポート番号”Port_a2”に変換した送信パケットデータ14を生成する。この場合、処理サーバ6は、送信元IPアドレスおよびポート番号に基づいて、ユーザ識別子およびユーザの利用している端末に対応したサービスを提供することができる。
In the example shown in FIG. 3, when the
図3に示す例において、一人のユーザについて、下り側ネットワーク101のIPアドレスごとに、上り側ネットワーク102のIPアドレスを対応づける場合を説明したがこれに限られない。例えば、一人のユーザについて、下り側ネットワーク101のIPアドレスに関わらず、一つの上り側ネットワーク102のIPアドレスを対応づけても良い。この場合、処理サーバ6は、送信元IPアドレスおよびポート番号に基づいて、ユーザ識別子に対応したサービスを提供することができる。 In the example illustrated in FIG. 3, the case has been described in which the IP address of the upstream network 102 is associated with the IP address of the downstream network 101 for one user. However, the present invention is not limited to this. For example, an IP address of one upstream network 102 may be associated with one user regardless of the IP address of the downstream network 101. In this case, the processing server 6 can provide a service corresponding to the user identifier based on the transmission source IP address and the port number.
下り側ネットワーク101のIPアドレスおよびポート番号は、例えばユーザが同じ社内端末41を使った場合などが考えられるので、変換データ11内で異なるユーザ識別子に重複して設定される場合がある。また、上り側ネットワーク102のIPアドレスおよびポート番号は、セッション継続中に付与するIPアドレスおよびポート番号が重複しなければ、変換データ11内で重複して設定されても良い。また、図3に示す変換データ11において、IPアドレスは、サブネットマスクを用いて指定されても良い。
The IP address and port number of the downstream network 101 may be set, for example, by overlapping with different user identifiers in the
変換データ11は、図3に示すようにさらに、拒否対応のデータを対応づけても良い。拒否対応データは、転送サーバ1が、受信パケットデータ13を、上り側パケットに転送するか否かを決定する条件と、拒否する場合の対応のデータである。図3に示す例では、拒否対応データは、ユーザ識別子および下り側ネットワーク101のIPアドレスおよびポート番号ごとに設ける場合を説明するが、これに限られない。例えば、拒否対応データは、ユーザ識別子ごとに設けられても良い。また、拒否対応データは、下り側ネットワーク101あついは上り側ネットワークのIPアドレスごとに設けられても良い。
As shown in FIG. 3, the
拒否対応データは、拒否条件と、応答処理の各データ項目を備える。拒否条件は、パケットのペイロードや属性に基づいて、パケットを転送しない条件である。応答処理は、拒否条件に合致するパケットを受信した場合の、転送サーバ1の応答処理を特定する。 The rejection handling data includes a rejection condition and each data item of response processing. The rejection condition is a condition in which the packet is not transferred based on the payload or attribute of the packet. The response process specifies the response process of the transfer server 1 when a packet matching the rejection condition is received.
例えば、パケットのペイロードに特定の文字列が含まれている場合や、特定の時間内にパケットを受信した場合に、パケットの転送を拒否することが考えられる。この場合、変換データ11は、拒否条件として、この特定の文字列や、この特定の時間を設定する。また、パケットを拒否する際、転送サーバ1は、エラーメッセージをペイロードに設定したパケットを、送信元の端末に送信する場合や、そのままパケットを破棄する場合が考えられる。この場合、変換データ11は、応答処理として、ペイロードに設定するエラーメッセージや、パケットの破棄する旨の指示を保持する。
For example, when a packet includes a specific character string or when a packet is received within a specific time, the packet transfer may be rejected. In this case, the
図3に示す例では、拒否対応データは、ユーザ識別子、下り側ネットワーク101のIPアドレスおよびポート番号ごとに設けられる。これにより転送サーバ1は、例えば、同じユーザでも、社内端末からアクセスした際は、パケットを転送するが、他のIPアドレスからアクセスした際は、パケットの転送を拒否することができる。また、拒否対応データは、ユーザ識別子ごとに設けられても良い。これにより転送サーバ1は、ユーザの利用する端末にかかわらず、ユーザごとに異なる拒否条件を設定して、パケットの転送を拒否することができる。 In the example shown in FIG. 3, the rejection correspondence data is provided for each user identifier, IP address and port number of the downstream network 101. Thereby, for example, even when the same user accesses from an in-house terminal, the transfer server 1 transfers the packet, but when accessed from another IP address, the transfer server 1 can reject the packet transfer. Further, the rejection handling data may be provided for each user identifier. Thereby, the transfer server 1 can set different rejection conditions for each user and reject the packet transfer regardless of the terminal used by the user.
このように、変換データ生成手段21が生成した変換データ11は、転送サーバ1がパケットを転送する際に参照される。転送サーバ1が下り側ネットワーク101から受信パケットデータ13を受信すると、転送サーバ1は、その受信パケットデータ13が拒否条件を満たしているかいないか判断する。拒否条件を満たしていない場合、転送サーバ1は、受信パケットデータ13の送信元IPアドレスおよびポート番号を変換して送信パケットデータ14を生成し、上り側ネットワーク102に送信する。また、拒否条件を満たしている場合、エラーメッセージを返し、またはパケットを破棄するなどの送信パケットデータを生成して、応答処理で設定される処理をする。
Thus, the
セッションデータ取得手段22は、セッション管理サーバ2から、セッションデータ12を取得して記憶装置10に記憶する記憶手段である。セッションデータ12は、図5に示すように、セッションID、IPアドレス、ポート番号およびユーザ識別子とを対応づけたデータである。図4に示す例では、セッションID”Session_A”のセッションは、ユーザ識別子”User_A”に関するセッションで、IPアドレス”IP_A1”およびポート番号”Port_A1”の端末とのセッションであることを示している。
The session
セッションデータ12は、セッション管理サーバ2で保持されるセッションデータと同様である。セッション管理サーバ2は、一般的な方法で、セッションデータを生成し保持する。セッションデータ取得手段22は、逐次、セッション管理サーバ2から最新のセッションデータ12を、取得しても良い。また、セッション管理サーバ2が逐次、最新のセッションデータ12を転送サーバ1に送信しても良い。
The
図1に示す例では、転送サーバ1とセッション管理サーバ2とがそれぞれ別のコンピュータで実装される場合を説明するが、これに限られない。例えば、セッション管理サーバ2の機能を転送サーバ1上で実装し、同一のコンピュータで実装しても良い。 In the example illustrated in FIG. 1, a case where the transfer server 1 and the session management server 2 are mounted on different computers will be described, but the present invention is not limited to this. For example, the function of the session management server 2 may be mounted on the transfer server 1 and mounted on the same computer.
パケット転送手段23は、VPNサーバ3および処理サーバ6間で、パケットを転送する。本発明の実施の形態においては特に、VPNサーバ3を介して下り側ネットワーク101に送出されたユーザのパケットを、処理サーバ6に向けて、上り側ネットワーク102に送出する場合を説明する。
The
パケット転送手段23は、パケット受信手段24、アドレス変換手段25、転送可否決定手段26、パケット送信手段27を備える。ここで、アドレス変換手段25および転送可否決定手段26は、下り側ネットワーク101からパケットを受信した際、このパケットを処理するために実行される。
The
パケット受信手段24は、下り側ネットワーク101を介して、VPNサーバ3からパケットを受信すると、その受信パケットデータ13を記憶装置10に記憶する。またパケット受信手段24は、上り側ネットワーク102を介して、処理サーバ6からパケットを受信すると、一般的な転送処理に従って、下り側ネットワーク101にパケットを転送する。
When the
パケット送信手段27は、アドレス変換手段25によって生成された送信パケットデータ14を、通信制御装置30を介して、上り側ネットワーク102に送出する。またパケット送信手段27は、転送可否決定手段26によって生成された応答パケットデータ15を、通信制御装置30を介して、下り側ネットワーク101に送出する。
The
アドレス変換手段25は、パケット受信手段24によって受信した受信パケットデータ13の送信元アドレスを変換して、送信パケットデータ14を生成する。アドレス変換手段25は、VPNサーバ3から受信した受信パケットデータ13について、変換データ11から、上り側ネットワーク102のアドレスを抽出する。この上り側ネットワーク102のアドレスは、変換データ11において、受信パケットデータ13を送信したユーザの識別子と、下り側ネットワーク101のアドレスとして受信パケットデータ13の送信元アドレスと、が対応づけられたレコードの、上り側ネットワーク102のアドレスである。さらにアドレス変換手段25は、受信パケットデータ13の送信元アドレスを、変換データ11から抽出したアドレスに変換して送信パケットデータ14を生成する。
The
具体的にはアドレス変換手段25は、パケット受信手段24が受信パケットデータ13を受信すると、受信パケットデータ13の送信元IPアドレスおよび送信元ポート番号を取得する。ここでアドレス変換手段25は、セッションデータ12を読み出して、取得した送信元IPアドレスおよび送信元ポート番号に対応するユーザ識別子を取得する。さらにアドレス変換手段25は、変換データ11において、ユーザ識別子と、下り側ネットワーク101のIPアドレスおよびポート番号として、受信パケットデータ13から取得した送信元IPアドレスおよび送信元ポート番号とが対応づけられたレコードを特定する。アドレス変換手段25は、特定したレコードにおいて、上り側ネットワーク102のIPアドレスおよびポート番号を取得する。
Specifically, when the
アドレス変換手段25は、受信パケットデータ13の送信元IPアドレスおよび送信元ポート番号を、変換データ11から取得した、上り側ネットワーク102のIPアドレスおよびポート番号に変換して、送信パケットデータ14を生成する。ここで、アドレス変換手段25は、宛先IPアドレスおよび宛先ポート番号を変換しない。従って、送信パケットデータ14の宛先IPアドレスおよび宛先ポート番号は、受信パケットデータ13の宛先IPアドレスおよび宛先ポート番号と同様である。
The
アドレス変換手段25は、生成した送信パケットデータ14を、パケット送信手段27に入力する。
The
転送可否決定手段26は、受信パケットデータ13が、変換データ11で定義された拒否条件に一致するか否かを判定する。一致しない場合、転送可否決定手段26は、アドレス変換手段25によって生成された送信パケットデータ14を、パケット送信手段27に送信させる。
The transfer enable / disable determining
具体的には転送可否決定手段26は、アドレス変換手段25で特定されたレコードから、拒否条件および拒否応答に対応する拒否対応データを取得する。転送可否決定手段26は、取得した拒否対応データに基づいて、受信パケットデータ13を処理する。拒否条件に一致しない場合、転送可否決定手段26は、アドレス変換手段25が生成した送信パケットデータ14を、上り側ネットワーク102に送出し、処理サーバ6に送信する。
Specifically, the transfer permission /
一方、拒否条件に合致する場合、転送可否決定手段26は、変換データ11で指定される応答処理に基づいて、受信したパケットを処理する。例えば、応答処理として、ペイロードに設定するエラーメッセージが指定されている場合、転送可否決定手段26は、ペイロードにエラーメッセージを表示する旨のコマンドを含む応答パケットデータ15を送信する。この応答パケットデータ15の宛先IPアドレスおよび宛先ポート番号は、受信パケットデータ13の送信元IPアドレスおよび送信元ポート番号である。さらに転送可否決定手段26は、生成した応答パケットデータ15を、パケット送信手段27に入力する。
On the other hand, when the rejection condition is met, the transfer enable / disable determining
また、応答処理として、パケットを破棄する旨が指定されている場合、転送可否決定手段26は、受信パケットデータ13と、この受信パケットデータ13に基づいて生成した送信パケットデータ14を、記憶装置10から削除する。このとき、パケット送信手段27は、応答パケットデータを送信しない。
When it is specified that the packet is to be discarded as a response process, the transfer permission /
パケット送信手段27は、受信パケットデータ13が拒否条件に一致しない場合、送信パケットデータ14を、上り側ネットワーク102に送信する。パケット送信手段27は、転送可否決定手段26において、拒否条件に一致しない受信パケットデータ13に基づいて、アドレス変換手段25で生成された送信パケットデータ14を、上り側ネットワーク102に送信する。またパケット送信手段27は、転送可否決定手段26において、拒否条件に一致する受信パケットデータ13に基づいて応答パケットデータ15が生成された場合、応答パケットデータ15を、下り側ネットワーク101に送信する。
The
なお、上り側ネットワーク102から下り側ネットワーク101にパケットを転送する際のアドレス変換は、どのような方法で行われても良い。アドレス変換手段25が受信パケットデータ13の送信元アドレスおよび送信元ポート番号を変換すると、パケット転送手段23は、その変換前後のアドレスおよびポート番号を、変換済テーブルデータ16に記憶しても良い。例えばパケット転送手段23は、変換前のIPアドレス”IP_A1”およびポート番号”Port_A1”と、変換後のIPアドレス”IP_A2”およびポート番号”Port_A2”とを対応づけて、変換済テーブルデータ16に記憶する。
It should be noted that the address conversion when the packet is transferred from the upstream network 102 to the downstream network 101 may be performed by any method. When the
パケット転送手段23は、変換済テーブルデータ16によって、上り側ネットワーク102から受信したパケットを転送することができる。パケット転送手段23が、IPアドレス”IP_A2”およびポート番号”Port_A2”宛のパケットを受信した場合を考える。この場合パケット転送手段23は、変換済テーブルデータ16を参照して、パケットの宛先を、IPアドレス”IP_A2”およびポート番号”Port_A2”から、IPアドレス”IP_A1”およびポート番号”Port_A1”に変換する。パケット転送手段23は、宛先をIPアドレス”IP_A1”およびポート番号”Port_A1”に変換したパケットを、下り側ネットワーク101に送信する。
The packet transfer means 23 can transfer the packet received from the upstream network 102 by the converted
パケット転送手段23は、変換前のIPアドレスおよびポート番号と、変換後のIPアドレスおよびポート番号とを対応づけたレコードを、変換済テーブルデータ16に所定時間保持する。
The
(転送方法)
図5を参照して、本発明の実施の形態に係る通信システムにおけるパケットの転送方法を説明する。図5は、社内端末41から処理サーバ6にパケット送信する場合の転送処理を示す。ここで、パケット送信元となる社内端末41のIPアドレスは、”IP_A1”である。また、処理サーバ6のIPアドレスは、”IP_S1”である。図2に示す例において、第1の社内端末41aから第1のVPNサーバ3aおよび転送サーバ1を介して第1の処理サーバ6にパケットを送信する場合を説明するが、他のルートで送信する場合も、ユーザ端末5から送信する場合も同様である。
(Transfer method)
With reference to FIG. 5, the packet transfer method in the communication system according to the embodiment of the present invention will be described. FIG. 5 shows a transfer process when a packet is transmitted from the in-house terminal 41 to the processing server 6. Here, the IP address of the in-house terminal 41 serving as the packet transmission source is “IP_A1”. The IP address of the processing server 6 is “IP_S1”. In the example shown in FIG. 2, the case where a packet is transmitted from the first in-
図5に示す例では、ユーザ識別子およびIPアドレスに基づいて、IPアドレスを変換する場合を説明する。他に、ユーザ識別子、IPアドレスおよびポート番号に基づいて、IPアドレスおよびポート番号を変換する実施例も考えられる。 In the example shown in FIG. 5, the case where an IP address is converted based on a user identifier and an IP address will be described. In another embodiment, the IP address and the port number are converted based on the user identifier, the IP address and the port number.
ステップS1においてユーザは、社内端末41から処理サーバ6宛に要求パケットデータを、公衆有線ネットワーク103に送出する。この要求パケットデータの送信元IPアドレスは、社内端末41のIPアドレス”IP_A1”で、宛先IPアドレスは、処理サーバ6のIPアドレス”IP_S1”である。社内端末41から要求パケットデータが送信されると、ステップS2において、VPNサーバ3が要求パケットデータを受信する。VPNサーバ3は、受信した要求パケットデータを、下り側ネットワーク101に送出し、転送サーバ1に転送する。 In step S <b> 1, the user sends request packet data from the in-house terminal 41 to the processing server 6 to the public wired network 103. The source IP address of this request packet data is the IP address “IP_A1” of the in-house terminal 41, and the destination IP address is the IP address “IP_S1” of the processing server 6. When request packet data is transmitted from the in-house terminal 41, the VPN server 3 receives the request packet data in step S2. The VPN server 3 sends the received request packet data to the downstream network 101 and transfers it to the transfer server 1.
VPNサーバ3から要求パケットデータを受信すると、ステップS3において転送サーバ1は、その送信元IPアドレスから、ユーザ識別子を取得する。具体的には転送サーバ1は、セッションデータ12を参照して、送信元IPアドレスに対応づけられたユーザ識別子を取得する。ここで取得したユーザ識別子は、”User_A”とする。
When the request packet data is received from the VPN server 3, the transfer server 1 obtains a user identifier from the transmission source IP address in step S3. Specifically, the transfer server 1 refers to the
ステップS4において転送サーバ1は、ステップS3で取得したユーザ識別子と、受信パケットデータ13の送信元IPアドレスから、新たな送信元IPアドレスに変換して、送信パケットデータ14を生成する。この新たな送信元IPアドレスは、変換データ11において上り側ネットワーク102のIPアドレスとして設定されるIPアドレスである。
In step S4, the transfer server 1 converts the user identifier acquired in step S3 and the transmission source IP address of the
図3に示す変換データ11において、ユーザ識別子”User_A”と、下り側ネットワーク101のIPアドレス”IP_A1”に、上り側ネットワーク102のIPアドレス”IP_A2”が対応づけられている。そこで転送サーバ1は、ステップS2で受信した受信パケットデータ13の送信元IPアドレスを”IP_A2”に変換して、送信パケットデータ14を生成する。このとき転送サーバ1は、この変換に基づいて、変換済テーブルデータ16を更新する。具体的には転送サーバ1は、下り側ネットワーク101のIPアドレス”IP_A1”を、上り側ネットワーク102のIPアドレス”IP_A2”に変換したことを、変換済テーブルデータ16に記録する。
In the
ステップS5において転送サーバ1は、ステップS2で受信した受信パケットデータ13について、拒否条件を満たしているか否かを判定する。具体的には転送サーバ1は、変換データ11から、受信パケットデータ13の送信元IPアドレスと、ユーザ識別子に対応づけられた拒否対応データを取得する。さらに転送サーバ1は、拒否対応データの拒否条件が、受信パケットデータ13に一致しているか否かを判定する。
In step S5, the transfer server 1 determines whether or not the rejection condition is satisfied for the
一致している場合、転送サーバ1は、拒否対応データの応答処理に基づいて、受信パケットデータ13を処理する。例えば、エラーメッセージを返信する場合、ペイロードにエラーメッセージを含む応答パケットデータ15を生成する。この応答パケットデータ15の宛先IPアドレスは、”IP_A1”である。
If they match, the transfer server 1 processes the received
ステップS6において転送サーバ1は、応答パケットデータ15をVPNサーバ3に向けて、下り側ネットワーク101に送出する。応答パケットデータ15を受信すると、ステップS7においてVPNサーバ3は、応答パケットデータ15を公衆有線ネットワーク103に送出し、社内端末41に転送する。
In step S <b> 6, the transfer server 1 sends the
一方、ステップS5において拒否条件を満たしていないと判定した場合、ステップS8において転送サーバ1は、ステップS4で生成した送信パケットデータ14を、上り側ネットワーク102に送出し、処理サーバ6に転送する。
On the other hand, if it is determined in step S5 that the rejection condition is not satisfied, the transfer server 1 transmits the
処理サーバ6は、ステップS8においてユーザ端末5からの要求パケットデータを受信すると、ステップS9において、そのペイロードに基づいてデータを処理する。処理サーバ6は、この処理に基づいて、応答パケットデータを生成する。この応答パケットデータの送信元IPアドレスは、処理サーバ6のIPアドレス”IP_S1”で、宛先IPアドレスは、ステップS4で取得された新たな送信元IPアドレス”IP_A2”である。処理サーバ6は、応答パケットデータを上り側ネットワーク102に送出する。 When the processing server 6 receives the request packet data from the user terminal 5 in step S8, the processing server 6 processes the data based on the payload in step S9. The processing server 6 generates response packet data based on this processing. The source IP address of the response packet data is the IP address “IP_S1” of the processing server 6, and the destination IP address is the new source IP address “IP_A2” acquired in step S4. The processing server 6 sends response packet data to the upstream network 102.
応答パケットデータを受信すると、ステップS11において転送サーバ1は、宛先IPアドレスを、新たな宛先IPアドレスに変換する。具体的には転送サーバ1は、変換済テーブルデータ16を参照して、受信した応答パケットデータの宛先IPアドレス”IP_A2”に対応づけられた下り側ネットワーク101のアドレス”IP_A1”を取得する。転送サーバ1は、ステップS10で取得した応答パケットデータの宛先IPアドレスを、”IP_A2”から”IP_A1”に変換する。転送サーバ1は、ステップS12において変換後の応答パケットデータを、下り側ネットワーク101に送出し、VPNサーバ3に転送する。
When the response packet data is received, the transfer server 1 converts the destination IP address into a new destination IP address in step S11. Specifically, the transfer server 1 refers to the converted
VPNサーバ3は、転送サーバ1から応答パケットデータを受信すると、ステップS13において、応答パケットデータを公衆有線ネットワーク103に送出し、社内端末41に転送する。 Upon receiving the response packet data from the transfer server 1, the VPN server 3 sends the response packet data to the public wired network 103 and transfers it to the in-house terminal 41 in step S13.
このように本発明の実施の形態に係る転送サーバ1は、ユーザごとに、送信元アドレスを変換することができるので、ユーザが利用する端末のアドレスに関わらず、処理サーバ6は、送信元アドレスを参照して、ユーザを特定し、ユーザに応じたサービスを提供することができる。 Thus, since the transfer server 1 according to the embodiment of the present invention can convert the transmission source address for each user, the processing server 6 can transmit the transmission source address regardless of the address of the terminal used by the user. Referring to the above, it is possible to specify a user and provide a service according to the user.
また転送サーバ1は、ユーザと、そのユーザが利用する端末のアドレスごとに、送信元アドレスを変換しても良い。これにより処理サーバ6は、ユーザと、ユーザが利用する端末に応じたサービスを提供することができる。 Further, the transfer server 1 may convert the source address for each address of the user and the terminal used by the user. Thereby, the processing server 6 can provide a service according to the user and the terminal used by the user.
(その他の実施の形態)
上記のように、本発明の実施の形態によって記載したが、この開示の一部をなす論述および図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例および運用技術が明らかとなる。
(Other embodiments)
As described above, the embodiments of the present invention have been described. However, it should not be understood that the descriptions and drawings constituting a part of this disclosure limit the present invention. From this disclosure, various alternative embodiments, examples, and operational techniques will be apparent to those skilled in the art.
例えば、本発明の実施の形態に記載した転送サーバ1は、図2に示すように一つのハードウェア上に構成されても良いし、その機能や処理数に応じて複数のハードウェア上に構成されても良い。また、既存のセッション管理サーバ2上に実現されても良い。 For example, the transfer server 1 described in the embodiment of the present invention may be configured on a single piece of hardware as shown in FIG. 2, or may be configured on a plurality of pieces of hardware according to the functions and the number of processes. May be. Further, it may be realized on the existing session management server 2.
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。 It goes without saying that the present invention includes various embodiments not described herein. Therefore, the technical scope of the present invention is defined only by the invention specifying matters according to the scope of claims reasonable from the above description.
1 転送サーバ
2 セッション管理サーバ
3 VPNサーバ
4 社内システム
5 ユーザ端末
6 処理サーバ
10 記憶装置
11 変換データ
12 セッションデータ
13 受信パケットデータ
14 送信パケットデータ
15 応答パケットデータ
16 変換済テーブルデータ
20 演算処理制御装置
21 変換データ生成手段
22 セッションデータ取得手段
23 パケット転送手段
24 パケット受信手段
25 アドレス変換手段
26 転送可否決定手段
27 パケット送信手段
30 通信制御装置
41 社内端末
100 通信システム
101 下り側ネットワーク
102 上り側ネットワーク
103 公衆有線ネットワーク
104 公衆無線ネットワーク
DESCRIPTION OF SYMBOLS 1 Transfer server 2 Session management server 3 VPN server 4 In-house system 5 User terminal 6
Claims (3)
ユーザの識別子と、前記第1のネットワークのアドレスと、前記第2のネットワークのアドレスとを対応づけた変換データを記憶する記憶装置と、
前記端末から送信された受信パケットデータについて、前記変換データから、当該受信パケットデータを送信したユーザの識別子と、前記第1のネットワークのアドレスとして当該受信パケットデータの送信元アドレスと、が対応づけられた前記第2のネットワークのアドレスを抽出し、受信パケットデータの送信元アドレスを、前記変換データから抽出したアドレスに変換して送信パケットデータを生成するアドレス変換手段と、
前記送信パケットデータを、前記第2のネットワークに送信するパケット送信手段
を備えることを特徴とする転送サーバ。 Connects to a terminal used by a user via a first network, and connects to a processing server providing a service to the terminal via a second network, and transfers a packet between the terminal and the processing server. A transfer server,
A storage device for storing conversion data in which a user identifier, an address of the first network, and an address of the second network are associated;
For the received packet data transmitted from the terminal, the identifier of the user who transmitted the received packet data is associated with the source address of the received packet data as the address of the first network from the converted data. Address converting means for extracting the address of the second network, converting the transmission source address of the received packet data into an address extracted from the converted data, and generating transmission packet data;
A transfer server, comprising: packet transmission means for transmitting the transmission packet data to the second network.
前記変換データから、前記受信パケットデータを送信したユーザの識別子に対応づけられた拒否条件を取得し、当該受信パケットデータが、取得した当該拒否条件に一致しない場合、前記パケット送信手段が前記送信パケットデータを送信する
ことを特徴とする請求項1に記載の転送サーバ。 The converted data further corresponds to a packet transfer rejection condition corresponding to the user identifier,
If the rejection condition associated with the identifier of the user who transmitted the received packet data is acquired from the converted data, and the received packet data does not match the acquired rejection condition, the packet transmitting means transmits the transmission packet The transfer server according to claim 1, wherein data is transmitted.
コンピュータを、
ユーザの識別子と、前記第1のネットワークのアドレスと、前記第2のネットワークのアドレスとを対応づけた変換データを記憶する記憶手段と、
前記端末から送信された受信パケットデータについて、前記変換データから、当該受信パケットデータを送信したユーザの識別子と、前記第1のネットワークのアドレスとして当該受信パケットデータの送信元アドレスと、が対応づけられた前記第2のネットワークのアドレスを抽出し、受信パケットデータの送信元アドレスを、前記変換データから抽出したアドレスに変換して送信パケットデータを生成するアドレス変換手段と、
前記送信パケットデータを、前記第2のネットワークに送信するパケット送信手段
として機能させるための転送プログラム。 Connects to a terminal used by a user via a first network, and connects to a processing server that provides services to the terminal via a second network, and transfers packets between the terminal and the processing server. A transfer program used for a transfer server,
Computer
Storage means for storing conversion data in which an identifier of a user, an address of the first network, and an address of the second network are associated with each other;
For the received packet data transmitted from the terminal, the identifier of the user who transmitted the received packet data is associated with the source address of the received packet data as the address of the first network from the converted data. Address converting means for extracting the address of the second network, converting the transmission source address of the received packet data into an address extracted from the converted data, and generating transmission packet data;
A transfer program for causing the transmission packet data to function as packet transmission means for transmitting to the second network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011275591A JP2013126219A (en) | 2011-12-16 | 2011-12-16 | Transfer server and transfer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011275591A JP2013126219A (en) | 2011-12-16 | 2011-12-16 | Transfer server and transfer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013126219A true JP2013126219A (en) | 2013-06-24 |
Family
ID=48777199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011275591A Pending JP2013126219A (en) | 2011-12-16 | 2011-12-16 | Transfer server and transfer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2013126219A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5676067B1 (en) * | 2014-07-16 | 2015-02-25 | かもめエンジニアリング株式会社 | Communication method and communication system |
WO2021149160A1 (en) * | 2020-01-21 | 2021-07-29 | 三菱電機株式会社 | Controller, communication device, communication system, control circuit, storage medium, and communication method |
JP2021184605A (en) * | 2015-08-28 | 2021-12-02 | ニシラ, インコーポレイテッド | Distribution of remote device management attribute to service node for service rule processing |
-
2011
- 2011-12-16 JP JP2011275591A patent/JP2013126219A/en active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5676067B1 (en) * | 2014-07-16 | 2015-02-25 | かもめエンジニアリング株式会社 | Communication method and communication system |
WO2016009505A1 (en) * | 2014-07-16 | 2016-01-21 | かもめエンジニアリング株式会社 | Communication method and communication system |
TWI549553B (en) * | 2014-07-16 | 2016-09-11 | Kamome Engineering Inc | Communication methods and communication systems |
US9917926B2 (en) | 2014-07-16 | 2018-03-13 | Kamome Engineering, Inc. | Communication method and communication system |
JP2021184605A (en) * | 2015-08-28 | 2021-12-02 | ニシラ, インコーポレイテッド | Distribution of remote device management attribute to service node for service rule processing |
JP7273899B2 (en) | 2015-08-28 | 2023-05-15 | ニシラ, インコーポレイテッド | Distribution of remote device management attributes to service nodes for service rule processing |
WO2021149160A1 (en) * | 2020-01-21 | 2021-07-29 | 三菱電機株式会社 | Controller, communication device, communication system, control circuit, storage medium, and communication method |
JPWO2021149160A1 (en) * | 2020-01-21 | 2021-07-29 | ||
JP7026866B2 (en) | 2020-01-21 | 2022-02-28 | 三菱電機株式会社 | Controllers, communication devices, communication systems, control circuits, storage media and communication methods |
CN114946161A (en) * | 2020-01-21 | 2022-08-26 | 三菱电机株式会社 | Controller, communication device, communication system, control circuit, storage medium, and communication method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8650326B2 (en) | Smart client routing | |
KR101877188B1 (en) | Service layer interworking using mqtt protocol | |
US8892768B2 (en) | Load balancing apparatus and load balancing method | |
US20220070095A1 (en) | Data transmission method and apparatus, network adapter, and storage medium | |
US9246819B1 (en) | System and method for performing message-based load balancing | |
TW201815131A (en) | Data transmission method and network equipment | |
WO2014023003A1 (en) | Method, apparatus, and system for controlling data transmission | |
CN108200158B (en) | Request Transmission system, method, apparatus and storage medium | |
CN107786669B (en) | Load balancing processing method, server, device and storage medium | |
EP3226518B1 (en) | Content delivery across heterogeneous networks | |
CN106464596A (en) | Openflow communication method, system, controller, and service gateway | |
EP3226516B1 (en) | Unified data networking across heterogeneous networks | |
CN106789993B (en) | TCP agent method and device | |
CN112968965B (en) | Metadata service method, server and storage medium for NFV network node | |
WO2015027931A1 (en) | Method and system for realizing cross-domain remote command | |
JP2013126219A (en) | Transfer server and transfer program | |
CN104168302B (en) | Equipment manipulation implementation method, system and proxy gateway | |
JP2008148243A (en) | Communication apparatus, communication system, communication method and communication program | |
WO2017219816A1 (en) | Data transmission method and network address translation device | |
EP2965204B1 (en) | Server to client reverse persistence | |
CN105516121B (en) | The method and system that AC is communicated with AP in WLAN | |
CN110809033B (en) | Message forwarding method and device and switching server | |
JP5438230B2 (en) | Internet connection system | |
EP3176986A1 (en) | Method, device and system for remote desktop protocol gateway to conduct routing and switching | |
CN110798542A (en) | Method and system for acquiring IP address |