JP5241665B2 - COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD - Google Patents

COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD Download PDF

Info

Publication number
JP5241665B2
JP5241665B2 JP2009222575A JP2009222575A JP5241665B2 JP 5241665 B2 JP5241665 B2 JP 5241665B2 JP 2009222575 A JP2009222575 A JP 2009222575A JP 2009222575 A JP2009222575 A JP 2009222575A JP 5241665 B2 JP5241665 B2 JP 5241665B2
Authority
JP
Japan
Prior art keywords
terminal
identifier
address
communication
logical network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009222575A
Other languages
Japanese (ja)
Other versions
JP2011071870A (en
Inventor
肇 平井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2009222575A priority Critical patent/JP5241665B2/en
Publication of JP2011071870A publication Critical patent/JP2011071870A/en
Application granted granted Critical
Publication of JP5241665B2 publication Critical patent/JP5241665B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、仮想ネットワーク通信を行なう通信装置、通信システムおよび通信方法に関する。   The present invention relates to a communication device, a communication system, and a communication method for performing virtual network communication.

近年、多彩な商品の提供や経営効率化などを目的として、大企業同士での合併や持ち株会社の設立によりグループ企業を統合する事例が相次いでいる。企業の統合の際には、各社(各企業)が個別に構築管理していた企業内情報ネットワークを新しい組織の下で一本化することが想定される。このようにすることにより、各社が管理するデータベースの共有や業務サービスの連携が実現するとともに、通信回線やネットワーク機器を集約して運用コストの削減を図ることも可能となるからである。   In recent years, for the purpose of providing various products and improving management efficiency, there have been a series of cases where group companies have been merged by merging large companies or establishing holding companies. When companies are integrated, it is assumed that each company (each company) unifies and manages the corporate information network individually under a new organization. By doing so, sharing of databases managed by each company and cooperation of business services can be realized, and communication lines and network devices can be consolidated to reduce operation costs.

しかしながら、企業内の情報ネットワークでは機密性が高い情報を取り扱うことが少なくなく、あらゆる通信端末が情報ネットワークに無秩序に接続されることはセキュリティ面で不適切といえる。そのため、物理的には装置集約によってコスト削減を推し進めつつ、論理的には連携が必要な限られた端末間だけを最小限に接続できるネットワーク構成が求められる。   However, in-house information networks often handle highly confidential information, and it is inappropriate in terms of security that all communication terminals are randomly connected to the information network. Therefore, there is a demand for a network configuration in which only a limited number of terminals that need to be linked logically can be connected to a minimum while physically promoting cost reduction through device aggregation.

このような要求に対し、たとえば、下記特許文献1では「分散型仮想ネットワーク」として、通信グループとユーザを一意に示す識別子を格納してカプセル化したパケットを送受信することにより、ネットワークに接続する端末に対して論理的なグループ構成に基づく相互アクセスの機能を実現している。また、下記特許文献1に記載のオーバレイネットワークでは、下記非特許文献1に代表される分散ハッシュテーブル技術を利用してデータベース管理とルーティングを分散化することによって、耐障害性とスケーラビリティを兼ね備えた仮想ネットワーク通信機能を実現している。   In response to such a request, for example, in the following Patent Document 1, as a “distributed virtual network”, a terminal that is connected to a network by transmitting and receiving packets encapsulating and storing identifiers that uniquely identify communication groups and users A mutual access function based on a logical group structure is realized. Further, in the overlay network described in Patent Document 1 below, virtual management having both fault tolerance and scalability is achieved by distributing database management and routing using a distributed hash table technique represented by Non-Patent Document 1 below. The network communication function is realized.

特開2007−158594号公報JP 2007-158594 A “Chord: A Scalable Peer―to―Peer Lookup Service for Internet Applications”, Proc. ACM SIGCOMM,2001“Chord: A Scalable Peer-to-Peer Lookup Service for Internet Applications”, Proc. ACM SIGCOMM, 2001

しかしながら、上記特許文献1に記載のオーバレイネットワークでは、通信の両端となる端末の内部に仮想的な通信インタフェースとパケットへのラベル付加モジュールを備える構成をとっており、各端末では、通信用のソフトウェアのほかに専用のパケット処理ソフトウェアが動作している必要がある。しかし、大規模な企業連携ネットワークでは参加端末数が数十万から百万台に達する場合もあり、全ての端末にこのようなソフトウェアをインストールするのは非常に手間が掛かる、という問題があった。   However, the overlay network described in Patent Document 1 has a configuration in which a virtual communication interface and a label addition module for a packet are provided inside terminals serving as both ends of communication. In addition, dedicated packet processing software must be running. However, there are cases where the number of participating terminals may reach hundreds of thousands to millions in a large-scale corporate collaboration network, and it is very troublesome to install such software on all terminals. .

また、業務端末などパーソナルコンピュータ以外の端末では、内部がブラックボックス化している場合もあり、このような端末には独自ソフトウェアのインストール自体が不可能である。そのため、上記特許文献1に記載の方法では、ソフトウェアの追加が困難な端末を含む場合にはオーバレイネットワークを利用した仮想ネットワーク通信機能を提供することができない、という問題があった。   Also, terminals other than personal computers, such as business terminals, may have black boxes inside, and it is impossible to install unique software on such terminals. For this reason, the method described in Patent Document 1 has a problem in that a virtual network communication function using an overlay network cannot be provided when a terminal that is difficult to add software is included.

本発明は、上記に鑑みてなされたものであって、既存の端末にソフトウェアを追加することなく、仮想ネットワーク通信を実現することができる通信装置、通信システムおよび通信方法を得ることを目的とする。   The present invention has been made in view of the above, and an object of the present invention is to obtain a communication device, a communication system, and a communication method capable of realizing virtual network communication without adding software to an existing terminal. .

上述した課題を解決し、目的を達成するために、本発明は、端末と、前記端末に接続し前記端末の通信パケットを中継する通信装置と、前記通信装置に接続し、前記端末の識別子である端末識別子と論理網を識別する論理網識別子とに基づいて前記端末の通信パケットの転送を行なう中継装置と、で構成される通信システムにおける前記通信装置であって、自身に接続する前記端末の端末識別子とアドレスとの対応を保持する対応保持手段と、自身に接続する前記端末から、宛先の前記端末の端末識別子である宛先端末識別子と使用する論理網の論理網識別子とを用いて所定の変換規則に基づいて生成された仮想宛先アドレスを宛先アドレスとした通信パケットを受信した場合に、受信した通信パケットに含まれる仮想宛先アドレスと前記所定の変換規則とに基づいて、宛先端末識別子および論理網識別子を求め、また、受信した通信パケットの送信元アドレスを前記対応に基づいて、その通信パケットの送信元の端末の端末識別子である送信元端末識別子を求め、受信した通信パケットの所定の位置に、求めた前記宛先端末識別子、前記送信元識別子および前記論理網識別子を挿入するカプセル化処理を実施し、カプセル化処理後の通信パケットを前記中継装置へ送信するカプセル化処理手段と、前記中継装置から受信した通信パケットに含まれる宛先端末識別子と前記対応に基づいて宛先の前記端末のアドレスである宛先端末アドレスを求め、前記送信元識別子および論理網識別子と前記所定の変換規則とに基づいて求めた仮想アドレスを送信元仮想アドレスとして求め、前記中継装置から受信した通信パケットに対して、宛先アドレスに前記宛先端末アドレスを格納し、かつ送信元アドレスに前記送信元仮想アドレスを格納し、かつ宛先端末識別子、送信元識別子および論理網識別子を削除する、デカプセル処理を実施し、デカプセル処理後の通信パケットを自身に接続する前記端末に送信するデカプセル化処理手段と、を備えることを特徴とする。   In order to solve the above-described problems and achieve the object, the present invention provides a terminal, a communication device connected to the terminal and relaying a communication packet of the terminal, connected to the communication device, and an identifier of the terminal. A relay apparatus that transfers a communication packet of the terminal based on a certain terminal identifier and a logical network identifier that identifies the logical network, and the communication apparatus in a communication system configured to communicate with the terminal connected to itself A correspondence holding means for holding a correspondence between a terminal identifier and an address, and a predetermined terminal using a destination terminal identifier which is a terminal identifier of the destination terminal and a logical network identifier of a logical network to be used from the terminal connected to itself. When a communication packet having the destination address as the virtual destination address generated based on the conversion rule is received, the virtual destination address included in the received communication packet and the location A destination terminal identifier and a logical network identifier are obtained based on the conversion rule, and the transmission source address of the received communication packet is a transmission source which is a terminal identifier of the terminal of the communication packet transmission source based on the correspondence Obtaining a terminal identifier, performing an encapsulation process of inserting the obtained destination terminal identifier, the transmission source identifier, and the logical network identifier at a predetermined position of the received communication packet, and performing the encapsulation process on the communication packet Encapsulation processing means for transmitting to a relay device, a destination terminal identifier included in a communication packet received from the relay device and a destination terminal address that is an address of the destination terminal based on the correspondence, and determining the source identifier and A virtual address obtained based on a logical network identifier and the predetermined conversion rule is obtained as a source virtual address, For the communication packet received from the relay device, the destination terminal address is stored in the destination address, the source virtual address is stored in the source address, and the destination terminal identifier, source identifier, and logical network identifier are deleted. And decapsulation processing means for performing the decapsulation process and transmitting the communication packet after the decapsulation process to the terminal connected to itself.

本発明によれば、通信装置が、自身が接続する端末からパケットを受信した場合には、仮想IPアドレスに基づいて求めた端末識別子および論理網識別子と、送信元IPアドレスに基づいて求めた送信元端末識別子と、をIPアドレスとペイロードの間に挿入して送信して、自身が接続する中継装置へ送信し、また、通信装置は、中継装置からパケットを受信した場合には、そのパケットに対して、パケットに含まれる宛先端末識別子に基づいて求めたIPアドレスを宛先IPアドレスとし、論理網識別子および送信元端末識別子に基づいて求めた仮想IPアドレスを送信元IPアドレスとし、パケットに含まれる各識別子を削除して、自身に接続する端末に送信するようにしたので、既存の端末にソフトウェアを追加することなく、仮想ネットワーク通信を実現することができる、という効果を奏する。   According to the present invention, when a communication device receives a packet from a terminal to which the communication device is connected, the terminal identifier and logical network identifier obtained based on the virtual IP address and the transmission obtained based on the source IP address The original terminal identifier is inserted between the IP address and the payload and transmitted, and transmitted to the relay device to which it is connected. When the communication device receives a packet from the relay device, On the other hand, the IP address obtained based on the destination terminal identifier included in the packet is set as the destination IP address, and the virtual IP address obtained based on the logical network identifier and the source terminal identifier is set as the source IP address, and is included in the packet. Since each identifier is deleted and sent to the terminal connected to it, the virtual network is not added to the existing terminal. It is possible to realize the network communication, an effect that.

図1は、実施の形態1の通信システムの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a communication system according to the first embodiment. 図2は、実施の形態1のゲートウェイ装置の機能構成例を示す図である。FIG. 2 is a diagram illustrating a functional configuration example of the gateway device according to the first embodiment. 図3は、ゲートウェイ装置が生成するカプセル化パケットの形式の一例を示す図である。FIG. 3 is a diagram illustrating an example of a format of an encapsulated packet generated by the gateway device. 図4は、仮想ネットワークを利用する端末のIPアドレス体系を示す図である。FIG. 4 is a diagram illustrating an IP address system of a terminal using a virtual network. 図5は、カプセル化処理部が保持する端末識別子とIPアドレスの変換表の位置例を示す図である。FIG. 5 is a diagram illustrating a position example of a conversion table of terminal identifiers and IP addresses held by the encapsulation processing unit. 図6は、ネットワーク接続構成の一例を示す図である。FIG. 6 is a diagram illustrating an example of a network connection configuration. 図7は、送信側のゲートウェイ装置によるパケットのカプセル化処理の一例を示す図である。FIG. 7 is a diagram illustrating an example of packet encapsulation processing by the gateway device on the transmission side. 図8は、受信側のゲートウェイ装置が実施するパケットのデカプセル化処理を示す図である。FIG. 8 is a diagram illustrating a packet decapsulation process performed by the gateway device on the receiving side. 図9は、実施の形態2のゲートウェイ装置の構成例を示す図である。FIG. 9 is a diagram illustrating a configuration example of the gateway device according to the second embodiment. 図10は、擬似DHCPサーバ部が保持する認証済み端末を識別管理する管理表の一例を示す図である。FIG. 10 is a diagram illustrating an example of a management table for identifying and managing authenticated terminals held by the pseudo DHCP server unit. 図11は、実施の形態2のゲートウェイ装置の参加処理の手順の一例を示す図である。FIG. 11 is a diagram illustrating an example of a procedure of a participation process of the gateway device according to the second embodiment. 図12は、実施の形態2の離脱処理の手順の一例を示す図である。FIG. 12 is a diagram illustrating an example of the procedure of the leaving process according to the second embodiment. 図13は、実施の形態3のゲートウェイ装置の構成例を示す図である。FIG. 13 is a diagram illustrating a configuration example of the gateway device according to the third embodiment. 図14は、擬似DNSサーバ部を用いた名前解決処理の手順の一例を示す図である。FIG. 14 is a diagram illustrating an example of a procedure for name resolution processing using the pseudo DNS server unit.

以下に、本発明にかかる通信装置、通信システムおよび通信方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。   Embodiments of a communication device, a communication system, and a communication method according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.

実施の形態1.
図1は、本発明にかかる通信システムの実施の形態1の構成例を示す図である。図1に示すように、本実施の形態の通信システムは、ゲートウェイ装置1−1〜1−4と、端末2−1〜2−4と、中継装置3−1〜3−6と、で構成される。本実施の形態では、本発明にかかる通信装置としてゲートウェイ装置1−1〜1−4を例に説明する。 Embodiment 1 FIG.
FIG. 1 is a diagram showing a configuration example of a first embodiment of a communication system according to the present invention. As illustrated in FIG. 1, the communication system according to the present embodiment includes gateway devices 1-1 to 1-4, terminals 2-1 to 2-4, and relay devices 3-1 to 3-6. Is done. In the present embodiment, gateway devices 1-1 to 1-4 will be described as examples of communication devices according to the present invention.

中継装置3−1〜3−6は、IP(Internet Protocol)によって相互通信可能なネットワークを構成しており、中継装置3−1にゲートウェイ装置1−1〜1−3が接続し、中継装置3−5にゲートウェイ装置1−4が接続している。また、ゲートウェイ装置1−3には、端末2−1,2−2が接続し、ゲートウェイ装置1−4には、端末2−3,2−4が接続している。なお、図1の構成は一例であり、IPによるネットワークを構成する中継装置3−1〜3−6の台数はこれに限らず、何台としてもよい。また、1台の中継装置に接続するゲートウェイ装置1−1〜1−4の数は、これに限らず、0台以上の何台としてもよい。また、1台のゲートウェイ装置に接続する端末の数は、これに限らず0台以上の何台としてもよい。   The relay apparatuses 3-1 to 3-6 constitute a network that can communicate with each other by IP (Internet Protocol). Gateway apparatuses 1-1 to 1-3 are connected to the relay apparatus 3-1, and the relay apparatus 3 is connected. The gateway device 1-4 is connected to -5. In addition, terminals 2-1 and 2-2 are connected to the gateway apparatus 1-3, and terminals 2-3 and 2-4 are connected to the gateway apparatus 1-4. The configuration of FIG. 1 is an example, and the number of relay apparatuses 3-1 to 3-6 configuring the IP network is not limited to this, and any number is possible. Further, the number of gateway devices 1-1 to 1-4 connected to one relay device is not limited to this, and may be any number of zero or more. Further, the number of terminals connected to one gateway device is not limited to this and may be any number of zero or more.

ゲートウェイ装置1−1〜1−4は、同様の構成を有しており、ゲートウェイ装置1−1〜1−4のうちいずれであるかを特定せず一般化して示す場合には、ゲートウェイ装置1として表記する。また、同様に端末2−1〜2−4のうちいずれであるかを特定しない場合には、端末2として表記する。   When the gateway devices 1-1 to 1-4 have the same configuration and are generalized without specifying which of the gateway devices 1-1 to 1-4, the gateway device 1 It describes as. Similarly, when it is not specified which of the terminals 2-1 to 2-4, it is represented as the terminal 2.

図2は、本実施の形態のゲートウェイ装置1の機能構成例を示す図である。図2に示すように、ゲートウェイ装置1は、中継装置3−1〜3−6側に接続するネットワークインタフェース部11と、自身に接続する端末2−1〜2−4側に接続するネットワークインタフェース部12と、自身が接続する中継装置3−1〜3−6と制御メッセージを送受信する仮想ネットワーク制御部13と、自身に接続する端末2−1〜2−4から受信したパケットをカプセル化して自身が接続する中継装置3−1〜3−6側に送り出すカプセル化処理部14と、で構成される。   FIG. 2 is a diagram illustrating a functional configuration example of the gateway device 1 according to the present embodiment. As shown in FIG. 2, the gateway device 1 includes a network interface unit 11 connected to the relay devices 3-1 to 3-6 and a network interface unit connected to the terminals 2-1 to 2-4 connected to the gateway device 1 12, the virtual network control unit 13 that transmits and receives control messages to and from the relay devices 3-1 to 3-6 to which it is connected, and the packets received from the terminals 2-1 to 2-4 that are connected to itself And an encapsulation processing unit 14 that sends out to the side of the relay devices 3-1 to 3-6 connected.

図3は、ゲートウェイ装置1が生成するカプセル化パケットの形式の一例を示す図である。カプセル化処理部14は、自身に接続する端末2−1〜2−4から受信したパケットを図3に示すような形式にカプセル化して自身が接続する中継装置3−1〜3−6側に送信する。図3に示すように、本実施の形態のカプセル化パケットは、送信元IPアドレス,宛先IPアドレス,送信元端末識別子,宛先端末識別子,論理網識別子,ペイロードで構成される。通常のIPパケットは、IPヘッダの後にペイロードが続く形式であるが、本実施の形態のカプセル化パケットは両者の間に送信元端末の識別子である送信元端末識別子と、宛先端末を示す識別子である宛先端末識別子と、使用する論理通信グループを示す識別子である論理網識別子を挿入している。   FIG. 3 is a diagram illustrating an example of a format of an encapsulated packet generated by the gateway device 1. The encapsulation processing unit 14 encapsulates the packets received from the terminals 2-1 to 2-4 connected to itself into the format shown in FIG. Send. As shown in FIG. 3, the encapsulated packet according to the present embodiment includes a source IP address, a destination IP address, a source terminal identifier, a destination terminal identifier, a logical network identifier, and a payload. A normal IP packet has a format in which a payload follows an IP header, but an encapsulated packet according to the present embodiment includes a source terminal identifier that is an identifier of a source terminal and an identifier that indicates a destination terminal. A certain destination terminal identifier and a logical network identifier which is an identifier indicating a logical communication group to be used are inserted.

図4は、仮想ネットワークを利用する端末2のIPアドレス(仮想IPアドレス)体系を示す図である。仮想IPアドレスでは、全長128ビットのIPv6アドレスのうち上位32ビットを全ての端末で共通な仮想ネットワークプレフィクス(図中では2001:1::/32)とし、下位96ビットのうち前半32ビットに論理網識別子を、後半64ビットに端末識別子をそれぞれマッピングする。ただし、端末2の物理的なネットワークインタフェースに割り当てるホストIPアドレスは、グループ識別子部分を0で埋めたものを用いる。   FIG. 4 is a diagram showing an IP address (virtual IP address) system of the terminal 2 using the virtual network. In the virtual IP address, the upper 32 bits of the IPv6 address having a total length of 128 bits are set to a virtual network prefix common to all terminals (2001: 1 :: / 32 in the figure), and the first half of the lower 96 bits is set to 32 bits. The logical network identifier and the terminal identifier are mapped to the latter 64 bits. However, the host IP address assigned to the physical network interface of the terminal 2 uses a group identifier portion padded with zeros.

たとえば、端末識別子が513番(16進表記で401)となる端末2のホストIPアドレスは2001:1::401であるが、論理グループ80(16進表記で50)番で他の端末2から上記の端末2へパケット送信するときの宛先アドレスは2001:1:0:50::401となる。端末2が所属するネットワークのアドレスを2001::/64とすれば、端末2は、論理網識別子を指定したIPアドレスを他ネットワークのアドレスとみなす。さらに、端末2のデフォルトゲートウェイとしてゲートウェイ装置を指定するようにすることで、ゲートウェイ装置1は、端末2から送信される仮想ネットワーク通信のパケットを自動的に受信できるようになる。   For example, the host IP address of the terminal 2 whose terminal identifier is 513 (401 in hexadecimal notation) is 2001: 1 :: 401, but from the other terminal 2 in the logical group 80 (50 in hexadecimal notation). The destination address when transmitting a packet to the terminal 2 is 2001: 1: 0: 50 :: 401. If the address of the network to which the terminal 2 belongs is 2001 :: / 64, the terminal 2 regards the IP address specifying the logical network identifier as the address of another network. Further, by specifying the gateway device as the default gateway of the terminal 2, the gateway device 1 can automatically receive the virtual network communication packet transmitted from the terminal 2.

図5は、各ゲートウェイ装置1のカプセル化処理部14が保持する端末識別子とIPアドレスの変換表の位置例を示す図である。端末に割り当てた識別子(送信元端末識別子または宛先端末識別子)と、その端末が使用するIPアドレスを対応づけている。たとえば、図5の最上段のエントリは、0x101の識別子をもつ端末のIPアドレスが2001::1:0:5であることを示している。この変換表は、送信側と受信側で変換表を用いて検索する場合のキーが異なるため、端末識別子からIPアドレス,IPアドレスから端末識別子の双方を検索可能な構造をもつ必要がある。なお、各ゲートウェイ装置1は自身に接続している端末2の分だけのエントリを持てばよく、他のゲートウェイ装置1に接続する端末2の分までは管理しない。   FIG. 5 is a diagram illustrating a position example of a conversion table of terminal identifiers and IP addresses held by the encapsulation processing unit 14 of each gateway device 1. An identifier (source terminal identifier or destination terminal identifier) assigned to a terminal is associated with an IP address used by the terminal. For example, the top entry in FIG. 5 indicates that the IP address of the terminal having the identifier of 0x101 is 2001: 1: 1: 0: 5. Since this conversion table has different keys when searching using the conversion table on the transmission side and the reception side, it is necessary to have a structure capable of searching both the IP address from the terminal identifier and the terminal identifier from the IP address. Each gateway device 1 need only have entries for the terminals 2 connected to itself, and does not manage the number of terminals 2 connected to other gateway devices 1.

図6は、ネットワーク接続構成の一例を示す図である。端末2−1は、ゲートウェイ装置1−1に接続されているとし、端末2−2はゲートウェイ装置2−2に接続されているとする。この場合、端末2−1を送信元とし、端末2−2をあて先とする。端末2−1とゲートウェイ装置1−1は送信側ネットワーク4−1に属し、端末2−2とゲートウェイ装置1−2は受信側ネットワーク4−2に属する。また、ゲートウェイ装置1−1は中継装置3−1に接続し、ゲートウェイ装置1−2は中継装置3−4に接続している。中継装置3−1〜3−6は、図1と同様にIPによって相互通信可能なネットワークを構成している。   FIG. 6 is a diagram illustrating an example of a network connection configuration. The terminal 2-1 is assumed to be connected to the gateway device 1-1, and the terminal 2-2 is assumed to be connected to the gateway device 2-2. In this case, the terminal 2-1 is a transmission source and the terminal 2-2 is a destination. The terminal 2-1 and the gateway device 1-1 belong to the transmission side network 4-1, and the terminal 2-2 and the gateway device 1-2 belong to the reception side network 4-2. The gateway device 1-1 is connected to the relay device 3-1, and the gateway device 1-2 is connected to the relay device 3-4. The relay apparatuses 3-1 to 3-6 constitute a network capable of mutual communication by IP as in FIG.

送信側の端末2−1のIPアドレスを2001::1:0:1001とし、ゲートウェイ装置1−1のIPアドレスを2001::1:1:1とし、受信側の端末2−2のIPアドレスを2001::5:0:205とし、ゲートウェイ装置1−2のIPアドレスを2001::5:0:102とする。   The IP address of the terminal 2-1 on the transmission side is set to 2001 :: 1: 0: 1001, the IP address of the gateway apparatus 1-1 is set to 2001: 1: 1: 1: 1, and the IP address of the terminal 2-2 on the reception side Is set to 2001 :: 5: 0: 205, and the IP address of the gateway apparatus 1-2 is set to 2001 :: 5: 0: 102.

図7は、送信側のゲートウェイ装置1−1によるパケットのカプセル化処理の一例を示す図である。図7は、図6の構成を前提としている。通信を希望する送信側の端末2−1のアプリケーションは、端末自身のIPアドレス(2001::1:0:1001)を送信元IPアドレスとし、名前解決により取得した対向端末(宛先の端末2−2)の仮想IPアドレス(2001:1:0:50::402)を宛先IPアドレスとするパケットを生成してネットワークに送出する。なお、名前解決の方法はどのような方法を用いてもよいが、たとえば、別途設けたDNS(Domain Name System)サーバが、名前解決の処理を行い、端末2−1が、宛先のユーザ名とグループ名を通知してDNSサーバに問い合わせ、DNSサーバが対応する仮想IPアドレスを返信するようにする。この場合、DNSサーバは、ユーザ名と端末識別子の対応、グループ名と端末識別子の対応を、たとえば、後述の中継装置3−1〜3−6に問い合わせることにより取得する。   FIG. 7 is a diagram illustrating an example of packet encapsulation processing by the gateway device 1-1 on the transmission side. FIG. 7 is based on the configuration of FIG. The application of the terminal 2-1 on the transmission side that desires communication uses the terminal's own IP address (2001 :: 1: 0: 1001) as the source IP address, and the opposite terminal (destination terminal 2- 2) A packet having the destination IP address as the virtual IP address (2001: 1: 0: 50 :: 402) is generated and sent to the network. Any name resolution method may be used. For example, a separately provided DNS (Domain Name System) server performs name resolution processing, and the terminal 2-1 determines the destination user name and the name resolution method. The group name is notified, the DNS server is inquired, and the DNS server returns the corresponding virtual IP address. In this case, the DNS server acquires the correspondence between the user name and the terminal identifier and the correspondence between the group name and the terminal identifier, for example, by inquiring the relay devices 3-1 to 3-6 described later.

ゲートウェイ装置1−1のネットワークインタフェース部12が端末2−1から送信されたパケットを受信すると、カプセル化処理部14にそのパケットを転送する。カプセル化処理部14は、そのパケットに含まれる送信元IPアドレスおよび仮想IPアドレスに基づいて送信元端末識別子、宛先端末識別子および論理網識別子を求め、求めたこれらの各識別子をパケットに挿入する。具体的には、カプセル化処理部14は、上述の保持している端末識別子とIPアドレスの変換表に基づいて、パケットに含まれる送信元IPアドレスに対応する端末識別子を送信元端末識別子として求める。また、上述のように仮想IPアドレスは、図4に例示したように仮想ネットワークプレフィクスの後の下位96ビットのうち、前半32ビットに論理網識別子が後半64ビットに端末識別子が、それぞれ格納されている。したがって、カプセル化処理部14は、仮想IPアドレスに格納されている論理網識別子を求め、また仮想IPアドレスに格納されている端末識別子を宛先端末識別子として求める。   When the network interface unit 12 of the gateway device 1-1 receives the packet transmitted from the terminal 2-1, the packet is transferred to the encapsulation processing unit 14. The encapsulation processing unit 14 obtains a transmission source terminal identifier, a destination terminal identifier, and a logical network identifier based on the transmission source IP address and the virtual IP address included in the packet, and inserts each of these obtained identifiers into the packet. Specifically, the encapsulation processing unit 14 obtains a terminal identifier corresponding to the transmission source IP address included in the packet as the transmission source terminal identifier based on the held terminal identifier and IP address conversion table. . As described above, the virtual IP address stores the logical network identifier in the first 32 bits and the terminal identifier in the second 64 bits of the lower 96 bits after the virtual network prefix as illustrated in FIG. ing. Therefore, the encapsulation processing unit 14 obtains the logical network identifier stored in the virtual IP address, and obtains the terminal identifier stored in the virtual IP address as the destination terminal identifier.

また、カプセル化処理部14は、IPヘッダ部分については、送信元IPアドレスを、自装置(ゲートウェイ装置1−1)のネットワークインタフェース部11に割り当てたIPアドレス(2001::1:1:1)に書き換え、宛先IPアドレスを、ネットワークインタフェース部11に接続している中継装置3−1のIPアドレスに書き換える。   The encapsulation processing unit 14 also assigns the IP address assigned to the network interface unit 11 of its own device (gateway device 1-1) (2001 :: 1: 1: 1) for the IP header portion. And the destination IP address is rewritten to the IP address of the relay device 3-1 connected to the network interface unit 11.

カプセル化処理部14は、上述の処理を行った後のパケット(カプセル化パケット)を、ネットワークインタフェース部11を経由して中継装置3−1に送信する。中継装置3−1〜3−6間のパケット処理では、図3に示した各識別子の部分は変化しない。   The encapsulation processing unit 14 transmits the packet (encapsulated packet) after the above processing is performed to the relay device 3-1 via the network interface unit 11. In the packet processing between the relay apparatuses 3-1 to 3-6, the part of each identifier shown in FIG. 3 does not change.

中継装置3−1へ送信されたパケットは、中継装置3−1〜3−6が構成するネットワークを経由して中継装置3−4に転送され、中継装置3−4は、接続するゲートウェイ装置1−2へ受信したパケットを転送する。なお、中継装置3−1〜3−6間の転送については、後述する。   The packet transmitted to the relay device 3-1 is transferred to the relay device 3-4 via the network configured by the relay devices 3-1 to 3-6, and the relay device 3-4 connects to the gateway device 1 to be connected. -2 Transfer the received packet to -2. The transfer between the relay apparatuses 3-1 to 3-6 will be described later.

図8は、受信側のゲートウェイ装置1−2が実施するパケットのデカプセル化処理を示す図である。ゲートウェイ装置1−2では、ネットワークインタフェース部11が中継装置3−4から転送されたパケットを受信し、カプセル化処理部14に受信したパケットを転送する。カプセル化処理部14は、転送されたパケットに含まれる送信元端末識別子および論理網識別子に基づいて仮想IPアドレスを生成し、また、転送されたパケットに含まれる宛先端末識別子を保持している変換表に基づいてIPアドレスに変換する。そして、カプセル化処理部14は、転送されたパケットに対して、送信元IPアドレスを生成した仮想IPアドレスに書き換え、宛先IPアドレスを変換したIPアドレスに書き換え、各識別子(送信元端末識別子,宛先端末識別子,論理網識別子)を削除したIPパケットを生成する。カプセル化処理部14は、生成したIPパケットを、ネットワークインタフェース部12を経由して端末2−2へ送信する。   FIG. 8 is a diagram illustrating a packet decapsulation process performed by the gateway device 1-2 on the reception side. In the gateway device 1-2, the network interface unit 11 receives the packet transferred from the relay device 3-4, and transfers the received packet to the encapsulation processing unit 14. The encapsulation processing unit 14 generates a virtual IP address based on the source terminal identifier and the logical network identifier included in the transferred packet, and also converts the destination terminal identifier included in the transferred packet Convert to IP address based on table. Then, the encapsulation processing unit 14 rewrites the transferred packet with the generated virtual IP address, rewrites the destination IP address with the converted IP address, and transmits each identifier (source terminal identifier, destination). An IP packet from which the terminal identifier and logical network identifier) are deleted is generated. The encapsulation processing unit 14 transmits the generated IP packet to the terminal 2-2 via the network interface unit 12.

つぎに、中継装置3−1〜3−6間の転送について説明する。中継装置3−1〜3−6は、通常のIPアドレスに基づく転送だけでなく、図3で示したカプセル化パケットの識別子部分を解釈する機能を有していることとし、各識別子に基づいて受信したパケットを転送することとする。具体的には、中継装置3−1〜3−6は、仮想ネットワーク通信を行う(仮想ネットワーク通信を認可する)端末の情報をデータベースとして管理している。データベースとして含まれる内容は、たとえば、端末ごとの、MAC(Media Access Control)アドレス,端末識別子,対応する論理網識別子,仮想ネットワーク通信の可否,端末が接続するゲートウェイ装置のアドレスなどが含まれることとする。また、ユーザ名と端末識別子の対応、グループ名と論理網識別子の対応、などもデータベースに含まれることとする。なお、ここでは、端末2とユーザは一意に対応するとする。   Next, transfer between the relay apparatuses 3-1 to 3-6 will be described. The relay apparatuses 3-1 to 3-6 have a function of interpreting the identifier part of the encapsulated packet shown in FIG. 3 as well as the transfer based on the normal IP address. The received packet is transferred. Specifically, the relay devices 3-1 to 3-6 manage information on terminals that perform virtual network communication (permit virtual network communication) as a database. The contents included in the database include, for example, a MAC (Media Access Control) address, a terminal identifier, a corresponding logical network identifier, availability of virtual network communication, an address of a gateway device to which the terminal is connected, and the like for each terminal. To do. The database also includes correspondence between user names and terminal identifiers, correspondence between group names and logical network identifiers, and the like. Here, the terminal 2 and the user are assumed to correspond uniquely.

なお、データベースは、全ての中継装置3−1〜3−6が同一のデータベースを保持するようにしてもよいし、データベースを分割して分散データベースとし、中継装置3−1〜3−6間が各々の担当する分散データベースを分散管理するようにしてもよい。データベースを分散管理する場合、中継装置3−1〜3−6は、自身が保持する分散データベースに宛先端末識別子に対応する情報がない場合には、他の中継装置3−1〜3−6に問い合わせて情報を取得する。なお、データベースの分散管理の方法については、特に制約はなく、たとえば分散ハッシュテーブル技術を用いる方法等どのような方法を用いてもよい。   The database may be such that all the relay apparatuses 3-1 to 3-6 hold the same database, or the database is divided into a distributed database, and the relay apparatuses 3-1 to 3-6 are connected to each other. Each distributed database in charge may be managed in a distributed manner. When managing the database in a distributed manner, the relay apparatuses 3-1 to 3-6, when there is no information corresponding to the destination terminal identifier in the distributed database held by the relay apparatuses 3-1 to 3-6, Contact to get information. There are no particular restrictions on the database distribution management method, and any method such as a method using a distributed hash table technique may be used.

なお、本実施の形態では、ゲートウェイ装置1では、カプセル化処理部14が、送信側のカプセル化処理と、受信側のデカプセル処理の両方を実施するようにしたが、カプセル化処理部とデカプセル化処理部に分けて構成するようにしてもよい。また、その場合、端末識別子とIPアドレスの変換表(対応)を保持する記憶手段である変換表(対応)保持部を別途設け、変換表保持部をカプセル化処理部およびデカプセル化処理部が変換表保持部の変換表を参照して上記の処理を行うようにすればよい。   In the present embodiment, in the gateway device 1, the encapsulation processing unit 14 performs both the encapsulation processing on the transmission side and the decapsulation processing on the reception side, but the encapsulation processing unit and the decapsulation are performed. You may make it comprise separately to a process part. In this case, a conversion table (corresponding) holding unit, which is a storage unit that holds the conversion table (corresponding) between the terminal identifier and the IP address, is separately provided, and the conversion table holding unit is converted by the encapsulation processing unit and the decapsulation processing unit. The above processing may be performed with reference to the conversion table of the table holding unit.

以上のように、本実施の形態では、端末2が、送信するパケットの宛先IPアドレスを宛先の端末識別子と論理網識別子に基づいて生成された仮想IPアドレスを格納し、ゲートウェイ装置1が、自身が接続する端末2からパケットを受信した場合には、仮想IPアドレスに基づいて求めた端末識別子および論理網識別子と、送信元IPアドレスに基づいて求めた送信元端末識別子と、をIPアドレスとペイロードの間に挿入して送信して、自身が接続する中継装置3−1〜3−6へ送信する。また、ゲートウェイ装置1は、中継装置3−1〜3−6からパケットを受信した場合には、そのパケットに対して、パケットに含まれる宛先端末識別子に基づいて求めたIPアドレスを宛先IPアドレスとし、論理網識別子および送信元端末識別子に基づいて求めた仮想IPアドレスを送信元IPアドレスとし、パケットに含まれる各識別子を削除して、自身に接続する端末2に送信するようにした。そのため、既存の端末にソフトウェアを追加することなく、仮想ネットワーク通信を実現することができる。   As described above, in this embodiment, the terminal 2 stores the destination IP address of the packet to be transmitted, the virtual IP address generated based on the destination terminal identifier and the logical network identifier, and the gateway device 1 When the packet is received from the terminal 2 to which the terminal is connected, the terminal identifier and logical network identifier obtained based on the virtual IP address, and the source terminal identifier obtained based on the source IP address, the IP address and the payload Between the relay devices 3-1 to 3-6 to which it is connected. When the gateway apparatus 1 receives a packet from the relay apparatuses 3-1 to 3-6, the IP address obtained based on the destination terminal identifier included in the packet is set as the destination IP address for the packet. The virtual IP address obtained based on the logical network identifier and the source terminal identifier is set as the source IP address, and each identifier included in the packet is deleted and transmitted to the terminal 2 connected to itself. Therefore, virtual network communication can be realized without adding software to an existing terminal.

実施の形態2.
図9は、本発明にかかるゲートウェイ装置1aの実施の形態2の構成例を示す図である。図9に示すように、本実施の形態のゲートウェイ装置1aは、実施の形態1のゲートウェイ装置1に、端末2向けDHCP(Dynamic Host Configuration Protocol)インタフェースを提供するための擬似DHCPサーバ部15を追加する以外は実施の形態1のゲートウェイ装置1と同様である。また、本実施の形態の通信システムの構成は、ゲートウェイ装置1をゲートウェイ装置1aに換える以外は実施の形態1と同様である。実施の形態1と同様の機能を有する構成要素は、実施の形態1と同一の符号を付して説明を省略する。 Embodiment 2. FIG.
FIG. 9 is a diagram showing a configuration example of the second embodiment of the gateway device 1a according to the present invention. As illustrated in FIG. 9, the gateway device 1a according to the present embodiment adds a pseudo DHCP server unit 15 for providing a DHCP (Dynamic Host Configuration Protocol) interface for the terminal 2 to the gateway device 1 according to the first embodiment. Except for this, it is the same as the gateway device 1 of the first embodiment. The configuration of the communication system of the present embodiment is the same as that of the first embodiment except that the gateway device 1 is replaced with the gateway device 1a. Components having the same functions as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment, and description thereof is omitted.

従来技術では、ネットワークリソースの提供先を認可された端末に限定するため、仮想ネットワーク通信を行う端末を、あらかじめ中継装置のデータベースに登録しておき、端末が通信を開始する際に認証処理を行い、認証処理により認可されている端末であると判定された場合に通信を許可する。一方、認証処理は制御装置(中継装置)に対するメッセージ交換を伴うため、専用ソフトウェアを搭載しない端末は、単独で認証処理を行うことができない。そこで、本実施の形態では、ゲートウェイ装置1aに擬似DHCPサーバ部15を付加することで、端末2へのIPアドレス割り当ての自動化を行うとともに、端末2の認証処理を実現する。   In the prior art, in order to limit network resources to authorized terminals, a terminal that performs virtual network communication is registered in advance in the database of the relay device, and authentication processing is performed when the terminal starts communication. Communication is permitted when it is determined that the terminal is authorized by the authentication process. On the other hand, since authentication processing involves message exchange with the control device (relay device), a terminal not equipped with dedicated software cannot perform authentication processing alone. Therefore, in the present embodiment, by adding the pseudo DHCP server unit 15 to the gateway device 1a, the IP address assignment to the terminal 2 is automated and the authentication process of the terminal 2 is realized.

図10は、擬似DHCPサーバ部15が保持する認証済み端末を識別管理する管理表の一例を示す図である。一般に認証処理を実施する制御装置は、端末のアカウント情報を、MACアドレスを用いて管理する。本実施の形態では、中継装置3−1〜3−6が認証処理を行うこととし、中継装置3−1〜3−6が端末2のアカウント情報をMACアドレスで管理することとする。したがって、ゲートウェイ装置1aも自身に接続する端末2が、認証済みであるか否かを、MACアドレスを用いて管理する。図10に示すように、擬似DHCPサーバ部15は管理表として、自装置に接続する認証済みの端末2のMACアドレスと端末識別子の対応を保持する。   FIG. 10 is a diagram showing an example of a management table for identifying and managing authenticated terminals held by the pseudo DHCP server unit 15. In general, a control apparatus that performs authentication processing manages terminal account information using a MAC address. In the present embodiment, the relay apparatuses 3-1 to 3-6 perform authentication processing, and the relay apparatuses 3-1 to 3-6 manage the account information of the terminal 2 using MAC addresses. Therefore, the gateway device 1a also manages whether or not the terminal 2 connected to itself is authenticated by using the MAC address. As shown in FIG. 10, the pseudo DHCP server unit 15 holds a correspondence between the MAC address of the authenticated terminal 2 connected to the own apparatus and the terminal identifier as a management table.

ゲートウェイ装置1aは、パケットを受信した場合に、上記の管理表を参照し、パケットに含まれるMACアドレスが管理表にエントリがあるMACアドレスである場合、認証済みの端末としてパケット処理を行う。また、管理表の各エントリにはDHCPで配布するIPアドレスのリース期間と同期した有効期限を設ける。リース期間の満了後もIPアドレスを継続利用する端末はDHCPREQUESTを再送する。したがって、有効期限が満了するまでに、DHCPREQUEST再送がなかった場合には有効期限が満了した端末2が離脱したものと判定し、その端末2についてのエントリを削除する。   When the gateway device 1a receives a packet, the gateway device 1a refers to the management table described above. When the MAC address included in the packet is a MAC address having an entry in the management table, the gateway device 1a performs packet processing as an authenticated terminal. Each entry in the management table has an expiration date synchronized with the lease period of the IP address distributed by DHCP. The terminal that continues to use the IP address after the lease period expires retransmits DHCPREQUEST. Therefore, if there is no DHCPREQUEST retransmission before the expiration date expires, it is determined that the terminal 2 whose expiration date has expired has left, and the entry for that terminal 2 is deleted.

図11は、本実施の形態のゲートウェイ装置1aの参加処理(端末認証処理)の手順の一例を示す図である。なお、以下の参加処理のうちゲートウェイ装置1aの処理は、擬似DHCPサーバ部15が実施する。ゲートウェイ装置1aをDHCPサーバとするよう設定された端末2は、ネットワークに接続すると自身が使用するIPアドレスを取得するためDHCPサーバを発見するためのメッセージであるDHCPDISCOVERメッセージをブロードキャストする(ステップS11)。ゲートウェイ装置1aは、端末2からのDHCPDISCOVERメッセージの受信をトリガとして端末2の参加処理を開始する。   FIG. 11 is a diagram illustrating an example of a procedure of a participation process (terminal authentication process) of the gateway device 1a according to the present embodiment. Note that the pseudo DHCP server unit 15 performs the processing of the gateway device 1a among the following participation processing. The terminal 2 set to use the gateway device 1a as a DHCP server broadcasts a DHCPDISCOVER message, which is a message for finding a DHCP server in order to acquire an IP address used by the terminal 2 when connected to the network (step S11). The gateway device 1a starts the participation process of the terminal 2 with the reception of the DHCPDISCOVER message from the terminal 2 as a trigger.

ゲートウェイ装置1aは、中継装置3−1〜3−6は上述のように端末2の認証情報はMACアドレスをキーとするデータベースで管理されるため、自身が接続する中継装置3(中継装置3−1〜3−6のいずれか)へ、DHCPDISCOVERメッセージの送信元MACアドレスをキーとしてデータベースの検索を要求する認証情報探索要求を送信する(ステップS12)。   In the gateway device 1a, since the relay devices 3-1 to 3-6 are managed in the database using the MAC address as a key as described above, the authentication information of the terminal 2 is managed by the relay device 3 (relay device 3- 1 to 3-6), an authentication information search request for requesting a database search is transmitted using the DHCPDISCOVER message source MAC address as a key (step S12).

データベース探索要求を受信した中継装置3は、認証情報探索要求に含まれるキー(MACアドレス)に基づいて、自身が保持するデータベースを検索し、対応するエントリがあった場合、そのエントリとして登録されている認証情報を含む認証情報探索応答を返信する(ステップS13)。一方、中継装置3は、検索に失敗した場合(認証情報探索要求に含まれるキーに基づいて自身が保持するデータベースを検索し、対応するエントリがなかった場合)、認証情報探索要求に対して応答しない。ゲートウェイ装置1aは、応答がない場合には、以降の処理を行わないため、端末2はIPアドレスが取得できず通信を行うことができない。   The relay device 3 that has received the database search request searches the database held by itself based on the key (MAC address) included in the authentication information search request, and if there is a corresponding entry, it is registered as that entry. An authentication information search response including the existing authentication information is returned (step S13). On the other hand, the relay device 3 responds to the authentication information search request when the search fails (when the database held by itself is searched based on the key included in the authentication information search request and there is no corresponding entry). do not do. When there is no response, the gateway device 1a does not perform the subsequent processing, so the terminal 2 cannot acquire an IP address and cannot communicate.

認証情報探索応答として含む認証情報には、その端末2に対応する端末識別子とその端末2のユーザが参加可能なグループの識別子とを含める。ゲートウェイ装置1aは、ステップS13で受信した認証情報探索応答により取得したユーザ識別子に基づいてIPアドレスを生成して、端末2に生成したIPアドレスを含むDHCPOFFERメッセージ(IPアドレスの候補を通知するためのメッセージ)を返信する(ステップS14)。   The authentication information included as the authentication information search response includes a terminal identifier corresponding to the terminal 2 and a group identifier to which the user of the terminal 2 can participate. The gateway device 1a generates an IP address based on the user identifier acquired by the authentication information search response received in step S13, and the DHCPOFFER message including the generated IP address (for notifying IP address candidates). Message) is returned (step S14).

端末2は、DHCPOFFERメッセージを受信すると、DHCPOFFERメッセージで通知されたIPアドレスの取得を依頼するDHCPREQUESTメッセージをゲートウェイ装置1aへ送信する(ステップS15)。ゲートウェイ装置1aは、保持している管理表に端末2に対応するエントリがあるかを検索する(テーブルエントリ検索:ステップS16)。検索の結果、エントリがある場合は、IPアドレスの取得が正常終了したことを通知するDHCPACKメッセージを端末2に返送して処理を終了する。   Upon receiving the DHCPOFFER message, the terminal 2 transmits a DHCPREQUEST message requesting acquisition of the IP address notified by the DHCPOFFER message to the gateway device 1a (step S15). The gateway device 1a searches whether there is an entry corresponding to the terminal 2 in the held management table (table entry search: step S16). If there is an entry as a result of the search, a DHCPACK message notifying that the acquisition of the IP address has been normally completed is returned to the terminal 2 and the process is terminated.

ステップS16の検索の結果、エントリがない場合は、ゲートウェイ装置1aは、端末2の仮想ネットワーク(NW)への参加を要求する仮想NW参加要求メッセージを自身に接続する中継装置3へ送信する(ステップS17)。中継装置3は、データベースを検索し、端末2の仮想ネットワーク通信が認可されている場合には、仮想NW参加応答をゲートウェイ装置1aへ返送する(ステップS18)。   If there is no entry as a result of the search in step S16, the gateway apparatus 1a transmits a virtual NW participation request message for requesting the terminal 2 to participate in the virtual network (NW) to the relay apparatus 3 connected to itself (step S16). S17). The relay device 3 searches the database, and if the virtual network communication of the terminal 2 is authorized, the relay device 3 returns a virtual NW participation response to the gateway device 1a (step S18).

ゲートウェイ装置1aは、仮想NW参加応答を受信すると、認証情報で指定されたグループへの参加要求メッセージを中継装置3へ送信する(ステップS19)。中継装置3は、データベースを検索し、端末2が指定されたグループの通信を認可されている場合には、グループ参加応答をゲートウェイ装置1aへ返送する(ステップS20)。   When the gateway device 1a receives the virtual NW participation response, the gateway device 1a transmits a participation request message to the group designated by the authentication information to the relay device 3 (step S19). The relay device 3 searches the database, and when the terminal 2 is authorized to communicate with the designated group, returns a group participation response to the gateway device 1a (step S20).

グループ参加応答を受信すると、ゲートウェイ装置1aは、ステップS13で受信した認証情報に基づいて、図10に例示した管理表に端末2のMACアドレスと端末識別子を登録し(テーブルエントリ設定:ステップS21)、DHCPACKメッセージを端末2に送信する(ステップS22)。DHCPACKメッセージにはゲートウェイ装置1a自身のIPアドレスを格納しておくことで、以後端末2はゲートウェイ装置1aをデフォルトゲートウェイとして通信するようになる。   When receiving the group join response, the gateway device 1a registers the MAC address and the terminal identifier of the terminal 2 in the management table illustrated in FIG. 10 based on the authentication information received in step S13 (table entry setting: step S21). The DHCPACK message is transmitted to the terminal 2 (step S22). By storing the IP address of the gateway device 1a itself in the DHCPACK message, the terminal 2 thereafter communicates with the gateway device 1a as the default gateway.

なお、中継装置3は、ステップS12,ステップS17,ステップS19の各要求を受信した場合、データベースが分散管理されている場合には、他の中継装置3への問い合わせを実施することもある。   When the relay device 3 receives the requests in step S12, step S17, and step S19, and the database is distributedly managed, the relay device 3 may make an inquiry to another relay device 3.

端末2に割り当てたIPアドレスのリース期間が満了すると、端末2からDHCPREQUESTメッセージが再送されるが、同メッセージを送信してきた端末2のMACアドレスが図10に例示した管理表に登録されていれば、ゲートウェイ装置1aは改めて中継装置3に参加要求メッセージ(仮想NW参加要求,グループ参加要求)を送信しない。   When the lease period of the IP address assigned to the terminal 2 expires, the DHCPREQUEST message is retransmitted from the terminal 2. If the MAC address of the terminal 2 that has transmitted the message is registered in the management table illustrated in FIG. The gateway device 1a does not transmit a participation request message (virtual NW participation request, group participation request) to the relay device 3 again.

図12は、本実施の形態の離脱処理の手順の一例を示す図である。端末2の離脱処理は、図10に例示したテーブルエントリの期限切れ(IPアドレスのリース期間の満了)以外に、端末2から、IPアドレスの解放を要求するDHCPRELEASEメッセージを受信した場合にも実行される。   FIG. 12 is a diagram illustrating an example of the procedure of the separation process according to the present embodiment. In addition to the expiration of the table entry illustrated in FIG. 10 (expiration of the IP address lease period), the terminal 2 leaving process is also executed when a DHCPRELEASE message requesting the release of the IP address is received from the terminal 2. .

ゲートウェイ装置1aは、端末2からDHCPRELEASEメッセージを受信する(ステップS31)と、自身が接続する中継装置3に対して、端末2の仮想ネットワークからの離脱を要求する仮想NW離脱要求を送信する(ステップS32)。ゲートウェイ装置1aは、仮想NW離脱要求に対する応答である仮想NW離脱応答を中継装置3から受信する(ステップS33)と、端末2のグループからの離脱を要求するグループ離脱要求を中継装置3へ送信する(ステップS34)。そして、ゲートウェイ装置1aは、中継装置3から、グループ離脱要求に対する応答であるグループ離脱応答を受信する(ステップS35)と、管理表からその端末2のエントリを削除し(ステップS36)、端末2にDHCPACKメッセージを返送する(ステップS37)。以上述べた以外の本実施の形態の動作は実施の形態1と同様である。   When the gateway apparatus 1a receives the DHCPRELEASE message from the terminal 2 (step S31), the gateway apparatus 1a transmits a virtual NW leave request for requesting the terminal 2 to leave the virtual network to the relay apparatus 3 to which the gateway apparatus 1a is connected (step S31). S32). When the gateway apparatus 1a receives a virtual NW leave response, which is a response to the virtual NW leave request, from the relay apparatus 3 (step S33), the gateway apparatus 1a transmits a group leave request for requesting the terminal 2 to leave the group to the relay apparatus 3. (Step S34). When the gateway device 1a receives a group leave response that is a response to the group leave request from the relay device 3 (step S35), the gateway device 1a deletes the entry of the terminal 2 from the management table (step S36). A DHCPACK message is returned (step S37). The operations of the present embodiment other than those described above are the same as those of the first embodiment.

以上のように、本実施の形態では、ゲートウェイ装置1aが、疑似DHCPサーバ部15を備え、端末2からDHCPDISCOVERメッセージを受信した場合に、疑似DHCPサーバ部15が端末2に対する認証情報を中継装置3から取得し、取得した認証情報に基づいてIPアドレスを発行し、また、端末2の仮想ネットワークおよびグループへの参加要求を行うようにした。そのため、実施の形態1と同様の効果が得られるとともに、既存の端末2にソフトウェアを追加することなく、端末2の認証処理を実施することができる。   As described above, in the present embodiment, when the gateway device 1a includes the pseudo DHCP server unit 15 and receives the DHCPDISCOVER message from the terminal 2, the pseudo DHCP server unit 15 transmits the authentication information for the terminal 2 to the relay device 3. The IP address is issued based on the acquired authentication information, and a request to join the terminal 2 to the virtual network and group is made. Therefore, the same effects as those of the first embodiment can be obtained, and the authentication process of the terminal 2 can be performed without adding software to the existing terminal 2.

実施の形態3.
図13は、本発明にかかるゲートウェイ装置の実施の形態3の構成例を示す図である。図13に示すように、本実施の形態のゲートウェイ装置1bは、実施の形態2のゲートウェイ装置1aに、擬似DNSサーバ部16を追加する以外は実施の形態2のゲートウェイ装置1aと同様である。また、本実施の形態の通信システムの構成は、ゲートウェイ装置1をゲートウェイ装置1bに換える以外は実施の形態1と同様である。実施の形態1および実施の形態2と同様の機能を有する構成要素は、実施の形態1および実施の形態2と同一の符号を付して説明を省略する。 Embodiment 3 FIG.
FIG. 13: is a figure which shows the structural example of Embodiment 3 of the gateway apparatus concerning this invention. As shown in FIG. 13, the gateway device 1b of the present embodiment is the same as the gateway device 1a of the second embodiment except that a pseudo DNS server unit 16 is added to the gateway device 1a of the second embodiment. The configuration of the communication system of the present embodiment is the same as that of the first embodiment except that the gateway device 1 is replaced with the gateway device 1b. Components having the same functions as those in the first and second embodiments are denoted by the same reference numerals as those in the first and second embodiments, and description thereof is omitted.

本実施の形態の、擬似DNSサーバ部16は、端末2からのユーザ名とグループ名を指定した名前解決要求に対し、仮想IPアドレスを返信する。図14は、擬似DNSサーバ部16を用いた名前解決処理の手順の一例を示す図である。   The pseudo DNS server unit 16 of the present embodiment returns a virtual IP address in response to a name resolution request specifying a user name and a group name from the terminal 2. FIG. 14 is a diagram illustrating an example of a procedure for name resolution processing using the pseudo DNS server unit 16.

仮想ネットワークではドメイン名は「(ユーザ名).(グループ名)」のように、ユーザ名とグループ名を1個ずつ含む形式をとることとする。ゲートウェイ装置1bの擬似DNSサーバ部16は、端末2から宛先のユーザ名とグループ名を含む名前解決要求であるDNS queryを受信する(ステップS41)と、DNS queryからユーザ名とグループ名を抽出し、抽出したユーザ名およびグループ名に対応する情報がDNSキャッシュにあるかを検索する(ステップS42)。   In the virtual network, the domain name has a format including one user name and one group name, such as “(user name). (Group name)”. When the pseudo DNS server unit 16 of the gateway device 1b receives a DNS query that is a name resolution request including the destination user name and group name from the terminal 2 (step S41), the pseudo DNS server unit 16 extracts the user name and group name from the DNS query. Then, it is searched whether there is information in the DNS cache corresponding to the extracted user name and group name (step S42).

DNSキャッシュにエントリがない場合、擬似DNSサーバ部16は、抽出したユーザ名をキーとするデータベースの探索を要求する探索要求メッセージを自身が接続する中継装置3に送信する(ステップS43)。中継装置3は、ステップS43で送信された探索要求メッセージに含まれるユーザ名をキーとしてデータベースを検索し、ユーザ名に対応する端末識別子を含むデータベース探索応答メッセージをゲートウェイ装置1bへ返信する(ステップS44)。   When there is no entry in the DNS cache, the pseudo DNS server unit 16 transmits a search request message for requesting a database search using the extracted user name as a key to the relay device 3 to which the pseudo DNS server unit 16 is connected (step S43). The relay device 3 searches the database using the user name included in the search request message transmitted in step S43 as a key, and returns a database search response message including a terminal identifier corresponding to the user name to the gateway device 1b (step S44). ).

また、ゲートウェイ装置1bの擬似DNSサーバ部16は、DNS queryから抽出したグループ名をキーとするデータベースの探索を要求する探索要求メッセージを自身が接続する中継装置3に送信する(ステップS45)。中継装置3は、ステップS45で送信された探索要求メッセージに含まれるグループ名をキーとしてデータベースを検索し、グループ名に対応する論理網識別子を含むデータベース探索応答メッセージをゲートウェイ装置1bへ返信する(ステップS46)。   Further, the pseudo DNS server unit 16 of the gateway device 1b transmits a search request message for requesting a database search using the group name extracted from the DNS query as a key to the relay device 3 to which the gateway device 1b is connected (step S45). The relay device 3 searches the database using the group name included in the search request message transmitted in step S45 as a key, and returns a database search response message including a logical network identifier corresponding to the group name to the gateway device 1b (step). S46).

以上のステップS44およびステップS46で得られた端末識別子および論理網識別子に基づいて実施の形態1で述べたように仮想IPアドレスを生成する。そして、DNSキャッシュとしてユーザ名およびグループ名と端末識別子および論理網識別子と生成した仮想IPアドレスとの対応を保持し(ステップS47)、生成した仮想IPアドレスを含むDNS respondを端末2に返送する(ステップS48)。   Based on the terminal identifier and logical network identifier obtained in steps S44 and S46, a virtual IP address is generated as described in the first embodiment. Then, the correspondence between the user name and group name, the terminal identifier and the logical network identifier, and the generated virtual IP address is held as a DNS cache (step S47), and the DNS response including the generated virtual IP address is returned to the terminal 2 ( Step S48).

ステップS42で、抽出したユーザ名およびグループ名に対応する情報がDNSキャッシュにある場合は、ステップS43〜ステップS47を実施せず、DNSキャッシュを参照し、ユーザ名およびグループ名に対応する仮想IPアドレスを求め、その仮想IPアドレスを含むDNS respondを端末2に返送する。以上述べた以外の本実施の形態の動作は、実施の形態2と同様である。   If the information corresponding to the extracted user name and group name is in the DNS cache in step S42, the virtual IP address corresponding to the user name and group name is referred to by referring to the DNS cache without performing steps S43 to S47. DNS response including the virtual IP address is returned to the terminal 2. The operations of the present embodiment other than those described above are the same as those of the second embodiment.

なお、本実施の形態では、実施の形態2のゲートウェイ装置1aに擬似DNSサーバ部16を追加するようにしたが、実施の形態1のゲートウェイ装置1に擬似DNSサーバ部16を追加し、本実施の形態で述べた動作を実施するようにしてもよい。   In this embodiment, the pseudo DNS server unit 16 is added to the gateway device 1a of the second embodiment. However, the pseudo DNS server unit 16 is added to the gateway device 1 of the first embodiment, and this embodiment is performed. You may make it implement the operation | movement described in the form.

以上のように、本実施の形態では、ゲートウェイ装置1bが擬似DNSサーバ部16を備え、擬似DNSサーバ部16が端末からのDNS queryに含まれるユーザ名およびグループ名に基づいて中継装置3へ問い合わせを行って端末識別子および論理網識別子を取得する。そして、取得した端末識別子および論理網識別子に基づいて仮想IPアドレスを生成し、端末2に送信するようにした。そのため、別途DNSサーバを設けることなく、実施の形態2と同様の効果を得ることができる。   As described above, in the present embodiment, the gateway device 1b includes the pseudo DNS server unit 16, and the pseudo DNS server unit 16 inquires the relay device 3 based on the user name and group name included in the DNS query from the terminal. To obtain a terminal identifier and a logical network identifier. Then, based on the acquired terminal identifier and logical network identifier, a virtual IP address is generated and transmitted to the terminal 2. Therefore, the same effect as in the second embodiment can be obtained without providing a separate DNS server.

以上のように、本発明にかかる通信装置、通信システムおよび通信方法は、仮想ネットワーク通信を行なう通信システムに有用であり、特に、ソフトウェアの追加ができない端末を備える通信システムに適している。   As described above, the communication device, the communication system, and the communication method according to the present invention are useful for a communication system that performs virtual network communication, and are particularly suitable for a communication system including a terminal to which software cannot be added.

1,1−1〜1−4,1a,1b ゲートウェイ装置
2−1〜2−4 端末
3−1〜3−6 中継装置
11,12 ネットワークインタフェース部
13 仮想ネットワーク制御部
14 カプセル化処理部
15 擬似DHCPサーバ部
16 擬似DNSサーバ部 1, 1-1 to 1-4, 1a, 1b Gateway device 2-1 to 2-4 Terminal 3-1 to 3-6 Relay device 11, 12 Network interface unit 13 Virtual network control unit 14 Encapsulation processing unit 15 Pseudo DHCP server part 16 Pseudo DNS server part

Claims (8)

端末と、前記端末に接続し前記端末の通信パケットを中継する通信装置と、前記通信装置に接続し、前記端末の識別子である端末識別子と論理網を識別する論理網識別子とに基づいて前記端末の通信パケットの転送を行なう中継装置と、で構成される通信システムにおける前記通信装置であって、
自身に接続する前記端末の端末識別子とアドレスとの対応を保持する対応保持手段と、
自身に接続する前記端末から、宛先の前記端末の端末識別子である宛先端末識別子と使用する論理網の論理網識別子とを用いて所定の変換規則に基づいて生成された仮想宛先アドレスを宛先アドレスとした通信パケットを受信した場合に、受信した通信パケットに含まれる仮想宛先アドレスと前記所定の変換規則とに基づいて、宛先端末識別子および論理網識別子を求め、また、受信した通信パケットの送信元アドレスと前記対応とに基づいて、その通信パケットの送信元の端末の端末識別子である送信元端末識別子を求め、受信した通信パケットの所定の位置に、求めた前記宛先端末識別子、前記送信元識別子および前記論理網識別子を挿入するカプセル化処理を実施し、カプセル化処理後の通信パケットを前記中継装置へ送信するカプセル化処理手段と、
前記中継装置から受信した通信パケットに含まれる宛先端末識別子と前記対応に基づいて宛先の前記端末のアドレスである宛先端末アドレスを求め、前記送信元識別子および論理網識別子と前記所定の変換規則とに基づいて求めた仮想アドレスを送信元仮想アドレスとして求め、前記中継装置から受信した通信パケットに対して、宛先アドレスに前記宛先端末アドレスを格納し、かつ送信元アドレスに前記送信元仮想アドレスを格納し、かつ宛先端末識別子、送信元識別子および論理網識別子を削除する、デカプセル処理を実施し、デカプセル処理後の通信パケットを自身に接続する前記端末に送信するデカプセル化処理手段と、
を備えることを特徴とする通信装置。 A terminal, a communication device connected to the terminal and relaying a communication packet of the terminal, and the terminal connected to the communication device and based on a terminal identifier that is an identifier of the terminal and a logical network identifier that identifies a logical network The communication device in a communication system comprising: a relay device that transfers the communication packet of:
Correspondence holding means for holding a correspondence between a terminal identifier and an address of the terminal connected to itself;
A virtual destination address generated based on a predetermined conversion rule using a destination terminal identifier which is a terminal identifier of the destination terminal and a logical network identifier of a logical network to be used as a destination address from the terminal connected to itself When the received communication packet is received, the destination terminal identifier and the logical network identifier are obtained based on the virtual destination address included in the received communication packet and the predetermined conversion rule, and the source address of the received communication packet And determining the source terminal identifier that is the terminal identifier of the terminal that is the source of the communication packet based on the correspondence and the determined destination terminal identifier, the source identifier, and Encapsulation processing for inserting the logical network identifier is performed, and the encapsulated processing packet is transmitted to the relay device. And processing means,
Based on the correspondence between the destination terminal identifier included in the communication packet received from the relay device and the correspondence, the destination terminal address that is the address of the destination terminal is obtained, and the source identifier, the logical network identifier, and the predetermined conversion rule are obtained. The virtual address obtained based on the above is obtained as a transmission source virtual address, the destination terminal address is stored in the destination address, and the transmission source virtual address is stored in the transmission source address for the communication packet received from the relay device. And decapsulating processing means for deleting a destination terminal identifier, a transmission source identifier and a logical network identifier, performing a decapsulation process, and transmitting a communication packet after the decapsulation process to the terminal connected to itself,
A communication apparatus comprising: 前記中継装置が、論理網を用いた通信を許可する前記端末の物理アドレスおよび端末識別子を含む認証情報を保持することとし、
自身に接続する前記端末からアドレス配布要求を受信した場合には、前記アドレス配布要求の送信元の端末の物理アドレスを含み、その端末の認証情報の有無の検索を要求する認証情報探索要求を前記中継装置へ送信し、前記中継装置から、その端末の端末識別子を含み、その端末の認証情報が存在することを通知する認証情報探索応答を受信すると、受信した認証情報探索応答に含まれる端末識別子に基づいてアドレスを生成し、生成したアドレスを前記アドレス配布要求の送信元の端末に配布する擬似DHCPサーバ手段、
をさらに備えることを特徴とする請求項1に記載の通信装置。 The relay device holds authentication information including a physical address and a terminal identifier of the terminal that permits communication using a logical network,
When an address distribution request is received from the terminal connected to itself, an authentication information search request that includes a physical address of a terminal that is the transmission source of the address distribution request and requests a search for the presence or absence of authentication information of the terminal The terminal identifier included in the received authentication information search response is transmitted to the relay device, and when the authentication information search response is received from the relay device, including the terminal identifier of the terminal and notifying that the authentication information of the terminal exists. A pseudo DHCP server means for generating an address based on the address and distributing the generated address to the terminal of the transmission source of the address distribution request;
The communication apparatus according to claim 1, further comprising: 前記中継装置は、論理網を用いた通信へ前記端末を参加させるための所定の参加処理を行うこととし、
前記擬似DHCPサーバ手段は、前記アドレス配布要求の送信元の端末に関して前記所定の参加処理を実施することを要求する参加要求を前記中継装置へ送信し、前記参加要求に対して前記中継装置が正常に前記所定の参加処理を実施したことを示す応答である参加応答を受信した場合に、前記生成したアドレスを前記アドレス配布要求の送信元の端末に配布する、
ことを特徴とする請求項2に記載の通信装置。 The relay device performs a predetermined participation process for causing the terminal to participate in communication using a logical network,
The pseudo DHCP server means transmits to the relay device a participation request requesting that the predetermined participation processing be performed with respect to a terminal that is a transmission source of the address distribution request, and the relay device is normal with respect to the participation request. When the participation response which is a response indicating that the predetermined participation processing has been performed is received, the generated address is distributed to the terminal that is the transmission source of the address distribution request.
The communication device according to claim 2. 前記擬似DHCPサーバ手段は、前記参加応答を受信した場合に、前記アドレス配布要求の送信元の端末の物理アドレスと端末識別子との対応を認証済み端末情報として保持し、さらに、アドレス配布要求を受信すると、そのアドレス配布要求の送信元の端末の物理アドレスが前記認証済み端末情報に含まれない場合に、その端末に関する参加要求を送信し、そのアドレス配布要求の送信元の端末の物理アドレスが前記認証済み端末情報に含まれる場合には、その端末に関する参加要求を送信せずに前記生成したアドレスを前記アドレス配布要求の送信元の端末に配布する、
ことを特徴とする請求項3に記載の通信装置。 When the pseudo DHCP server means receives the participation response, the pseudo DHCP server means holds the correspondence between the physical address of the terminal that has transmitted the address distribution request and the terminal identifier as authenticated terminal information, and further receives the address distribution request. Then, when the physical address of the terminal of the address distribution request is not included in the authenticated terminal information, a participation request regarding the terminal is transmitted, and the physical address of the terminal of the source of the address distribution request is If it is included in the authenticated terminal information, distribute the generated address to the source terminal of the address distribution request without transmitting a participation request for the terminal,
The communication apparatus according to claim 3. 自身に接続する前記端末から宛先の名前を含む名前解決要求を受信した場合に、前記名前に基づいて端末識別子および論理網識別子を求め、前記端末識別子および論理網識別子に基づいて仮想アドレスを生成し、生成した仮想アドレスを名前解決応答に含めて送信する擬似DNS手段、
をさらに備えることを特徴とする請求項1〜4のいずれか1つに記載の通信装置。 When a name resolution request including a destination name is received from the terminal connected to itself, a terminal identifier and a logical network identifier are obtained based on the name, and a virtual address is generated based on the terminal identifier and the logical network identifier. Pseudo DNS means for sending the generated virtual address in the name resolution response,
The communication apparatus according to claim 1, further comprising: 前記名前は、端末を使用するユーザのユーザ名と、使用する論理網を示すグループ名と、を含むこととし、
前記中継装置が、ユーザ名と端末識別子の対応をユーザ名情報として保持し、グループ名と論理網識別子との対応をグループ名情報として保持することとし、
前記擬似DNS手段は、受信した名前解決要求に含まれる名前に基づいて前記ユーザ名およびグループ名を求め、前記ユーザ名に対応する端末識別子と、前記グループ名に対応する論理網識別子と、を前記中継装置へ問い合わせることにより前記端末識別子および論理網識別子を求め、求めた端末識別子および論理網識別子と名前との対応を名前解決情報として保持し、さらに名前解決要求を受信した場合には、その名前解決要求に含まれる名前が前記名前解決情報に存在する場合には、前記名前解決情報に基づいて前記端末識別子および論理網識別子を求める、
ことを特徴とする請求項5に記載の通信装置。 The name includes a user name of a user who uses the terminal and a group name indicating a logical network to be used.
The relay device holds the correspondence between the user name and the terminal identifier as user name information, and holds the correspondence between the group name and the logical network identifier as group name information.
The pseudo DNS means obtains the user name and group name based on a name included in the received name resolution request, and obtains a terminal identifier corresponding to the user name and a logical network identifier corresponding to the group name, The terminal identifier and logical network identifier are obtained by making an inquiry to the relay device, the correspondence between the obtained terminal identifier and logical network identifier and the name is held as name resolution information, and when a name resolution request is received, the name When the name included in the resolution request exists in the name resolution information, the terminal identifier and the logical network identifier are obtained based on the name resolution information.
The communication apparatus according to claim 5. 請求項1〜6のいずれか1つに記載の通信装置と、
前記通信装置に接続する端末と、
前記通信装置に接続し、前記端末の識別子である端末識別子と論理網を識別する論理網識別子とに基づいて前記端末の通信パケットの転送を行なう中継装置と、
を備えることを特徴とする通信システム。 A communication device according to any one of claims 1 to 6;
A terminal connected to the communication device;
A relay device that connects to the communication device and transfers a communication packet of the terminal based on a terminal identifier that is an identifier of the terminal and a logical network identifier that identifies a logical network;
A communication system comprising: 端末と、前記端末に接続し前記端末の通信パケットを中継する通信装置と、前記通信装置に接続し、前記端末の識別子である端末識別子と論理網を識別する論理網識別子とに基づいて前記端末の通信パケットの転送を行なう中継装置と、で構成される通信システムにおける通信方法であって、
前記通信装置が、自身に接続する前記端末の端末識別子とアドレスとの対応を保持する対応保持ステップと、
前記端末が、宛先の前記端末の端末識別子である宛先端末識別子と使用する論理網の論理網識別子とを用いて所定の変換規則に基づいて生成された仮想宛先アドレスを宛先アドレスとした通信パケットを送信する端末送信ステップと、
前記通信装置が、前記端末送信ステップで送信された通信パケットを受信した場合に、受信した通信パケットに含まれる仮想宛先アドレスと前記所定の変換規則とに基づいて、宛先端末識別子および論理網識別子を求め、また、受信した通信パケットの送信元アドレスと前記対応とに基づいて、その通信パケットの送信元の端末の端末識別子である送信元端末識別子を求め、受信した通信パケットの所定の位置に、求めた前記宛先端末識別子、前記送信元識別子および前記論理網識別子を挿入するカプセル化処理を実施し、カプセル化処理後の通信パケットを前記中継装置へ送信するカプセル化処理ステップと、
前記通信装置が、前記中継装置から受信した通信パケットに含まれる宛先端末識別子と前記対応に基づいて宛先の前記端末のアドレスである宛先端末アドレスを求め、前記送信元識別子および論理網識別子と前記所定の変換規則とに基づいて求めた仮想アドレスを送信元仮想アドレスとして求め、前記中継装置から受信した通信パケットに対して、宛先アドレスに前記宛先端末アドレスを格納し、かつ送信元アドレスに前記送信元仮想アドレスを格納し、かつ宛先端末識別子、送信元識別子および論理網識別子を削除する、デカプセル処理を実施し、デカプセル処理後の通信パケットを自身に接続する前記端末に送信するデカプセル化処理ステップと、
を含むことを特徴とする通信方法。 A terminal, a communication device connected to the terminal and relaying a communication packet of the terminal, and the terminal connected to the communication device and based on a terminal identifier that is an identifier of the terminal and a logical network identifier that identifies a logical network A communication method in a communication system comprising a relay device that transfers a communication packet of
A correspondence holding step for holding a correspondence between a terminal identifier and an address of the terminal connected to the communication device;
The terminal uses a destination terminal identifier that is a terminal identifier of the destination terminal and a logical network identifier of a logical network to be used, and a communication packet that uses a virtual destination address generated based on a predetermined conversion rule as a destination address. A terminal transmission step for transmission;
When the communication device receives the communication packet transmitted in the terminal transmission step, the destination terminal identifier and the logical network identifier are determined based on the virtual destination address included in the received communication packet and the predetermined conversion rule. Further, based on the transmission source address of the received communication packet and the correspondence, a transmission source terminal identifier that is a terminal identifier of the transmission source terminal of the communication packet is obtained, and a predetermined position of the received communication packet is obtained. Performing an encapsulation process to insert the obtained destination terminal identifier, the transmission source identifier and the logical network identifier, and transmitting a communication packet after the encapsulation process to the relay device;
The communication device obtains a destination terminal address which is an address of the destination terminal based on the destination terminal identifier included in the communication packet received from the relay device and the correspondence, and the source identifier, the logical network identifier, and the predetermined identifier A virtual address obtained based on the conversion rule of the above is obtained as a source virtual address, and for the communication packet received from the relay device, the destination terminal address is stored in the destination address, and the source in the source address A decapsulation process step of storing a virtual address and deleting a destination terminal identifier, a transmission source identifier, and a logical network identifier, performing a decapsulation process, and transmitting a communication packet after the decapsulation process to the terminal connected to itself;
A communication method comprising:
JP2009222575A 2009-09-28 2009-09-28 COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD Expired - Fee Related JP5241665B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009222575A JP5241665B2 (en) 2009-09-28 2009-09-28 COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009222575A JP5241665B2 (en) 2009-09-28 2009-09-28 COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD

Publications (2)

Publication Number Publication Date
JP2011071870A JP2011071870A (en) 2011-04-07
JP5241665B2 true JP5241665B2 (en) 2013-07-17

Family

ID=44016679

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009222575A Expired - Fee Related JP5241665B2 (en) 2009-09-28 2009-09-28 COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD

Country Status (1)

Country Link
JP (1) JP5241665B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2621206B1 (en) * 2010-09-24 2016-11-09 Fujitsu Limited Base station, method of controlling base station, and information processing system
US8867403B2 (en) * 2011-08-18 2014-10-21 International Business Machines Corporation Virtual network overlays
JP5797849B2 (en) * 2011-11-03 2015-10-21 華為技術有限公司Huawei Technologies Co.,Ltd. Extending the border gateway protocol for hosts to join / leave a virtual private network
JP6316009B2 (en) * 2014-01-30 2018-04-25 株式会社東芝 COMMUNICATION SYSTEM, STARTING DEVICE, RELAY DEVICE, AND TERMINING DEVICE

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2855697B1 (en) * 2003-05-26 2005-09-23 At & T Corp IPv4-BASED DATA CONVERSION SYSTEM IN IPv6-BASED DATA TO BE TRANSMITTED THROUGH IP-SWITCHED NETWORK
JP4729117B2 (en) * 2007-03-14 2011-07-20 富士通株式会社 Edge switch and forwarding table rewriting method

Also Published As

Publication number Publication date
JP2011071870A (en) 2011-04-07

Similar Documents

Publication Publication Date Title
US8090843B2 (en) Creating a public identity for an entity on a network
JP4579934B2 (en) Addressing method and apparatus for establishing a Host Identity Protocol (HIP) connection between a legacy node and a HIP node
Pan et al. MILSA: a mobility and multihoming supporting identifier locator split architecture for naming in the next generation internet
JP4234482B2 (en) Dynamic DNS registration method, domain name resolution method, proxy server, and address translation device
US20040107234A1 (en) Addressing method and system for using an anycast address
KR101381701B1 (en) Data message processing method, system and access service node
WO2005027438A1 (en) Packet relay device
CN104427010A (en) NAT (network address translation) method and device applied to DVPN (dynamic virtual private network)
US9154571B2 (en) Publish/subscribe networks
CN102546428A (en) System and method for internet protocol version 6 (IPv6) message switching based on dynamic host configuration protocol for IPv6 (DHCPv6) interception
JP2002141953A (en) Communication relay device, communication relay method, and communication terminal, and program storage medium
JP5241665B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD
Yan et al. Is DNS ready for ubiquitous Internet of Things?
JP4186733B2 (en) Communication system, terminal, and address generation method
JP2004253975A (en) Multicast data communication system and method thereof
JP5342070B2 (en) Method and system for realizing information interaction in next generation network
WO2011124121A1 (en) Inter-network data communication system and method
KR20180007898A (en) Method for separating groups within tenent in virtual private cloud network
Kafle et al. ID-based communication framework in future networks
JP3696816B2 (en) Address confidential communication method, system, and privacy gateway
WO2013185352A1 (en) Registration method, device, and system
US20030225910A1 (en) Host resolution for IP networks with NAT
JP5796898B2 (en) Data transfer device, transfer method, and program
JP2008206081A (en) Data relaying apparatus and data relaying method used for multi-homing communication system
JP5600648B2 (en) Packet communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120125

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130402

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160412

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5241665

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees