JP5453941B2 - 通信制御装置 - Google Patents
通信制御装置 Download PDFInfo
- Publication number
- JP5453941B2 JP5453941B2 JP2009138195A JP2009138195A JP5453941B2 JP 5453941 B2 JP5453941 B2 JP 5453941B2 JP 2009138195 A JP2009138195 A JP 2009138195A JP 2009138195 A JP2009138195 A JP 2009138195A JP 5453941 B2 JP5453941 B2 JP 5453941B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- tunnel
- function unit
- local server
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明はローカルネットワークとインターネットサービスプロバイダー(ISP)ネットワークの間で通信を行う通信システムおよびこの通信システムで用いられる通信制御装置に関するものである。
インターネットや通信事業者の持つ公衆回線を用いる従来の通信システムでは、IPアドレス取得のためのレイヤ2経路確保や、セキュリティの問題によって、ローカルネットワークのアクセスポイント(AP)とインターネットサービスプロバイダー(ISP)ネットワークの間に、トンネルを構築する通信方法が用いられている。このトンネリング技術は、拠点同士を仮想的に接続するVPN(Virtual Private Network)やL2TP(Layer 2 Tunneling Protocol)などの技術に用いられており、パケットに新たなヘッダを挿入するカプセル化によって実現されている(例えば、特許文献1参照)。
図7に、ローカルネットワークとISPネットワークの通信例を示す。ローカルネットワーク1にあるユーザ端末5は、同ネットワーク内のアクセスポイント4とISPネットワーク3のトンネル終端装置7の間で構築されるトンネル6を経由することで、公衆回線2を用いてISPネットワーク3へ接続する。ISPネットワークには、IPアドレスを割り当てるDHCPサーバ9や公衆回線接続装置12などが配備される。
トンネル内で送信されるパケットのフレームフォーマットを、図8に示す。ここでは、L2TPを用いたPPP(Point−to−Point Protocol)通信を例としている。公衆回線やインターネットへ送信されるデータ14に対して、L2TPヘッダとUDPヘッダ、トンネル用のIPヘッダを用いてカプセル化し、トンネル内データ13を構築する。トンネル用のIPヘッダは、ローカルネットワークのAPとISPネットワークのトンネル終端装置間のアドレスとなる。この技術を用いることで、クライアントやサーバからは、あたかも専用回線のように見え、通信経路の確保、およびセキュアな通信を実現することができる。
以上のようなシステムにおいては、例えばローカルネットワーク固有のローカルサーバへのアクセスのように、ISPネットワークにアクセスする必要がないローカルネットワークに閉じた通信がアクセスポイント4からは不可能であるという課題があった。
この発明は、インターネットサービスプロバイダネットワークとインターネットサービスプロバイダーネットワーク用トンネリングを使用して通信を行うアクセスポイントを備えるローカルネットワーク内に設けられる通信制御装置であって、当該通信制御装置を通過するパケットの宛先アドレスを監視し、該宛先アドレスが上記ローカルネットワーク内に設けられたローカルサーバのアドレスであれば、上記インターネットサービスプロバイダーネットワーク用トンネリングを終端して上記アクセスポイントと上記ローカスサーバ間のローカルサーバアクセス用トンネリングを行う機能と、上記宛先アドレスが上記ローカルサーバのアドレス以外であれば上記インターネットサービスプロバイダーネットワーク用トンネリングルをそのまま使用するよう制御するようにしたものである。
本発明によれば、トンネリング技術を用いた通信においても、ローカルサーバとの通信が可能となる。
実施の形態1.
図1は、この発明のローカルサーバアクセス機能を示すシステム構成図である。
図1は、この発明のローカルサーバアクセス機能を示すシステム構成図である。
図1において、ローカルネットワーク1では、アクセスポイント4とトンネル終端装置7の間に、通信制御装置15を配置し、アクセスポイント4と通信制御装置15の間にトンネル17を、通信制御装置15とトンネル終端装置7の間にトンネル19を構築する。ローカルサーバ16は、通信制御装置15と接続されており、通信制御装置15とローカルサーバ16の間にトンネル18を構築する。
さらに、通信制御装置15は、図2に示すように、トンネル終端/構築機能部22とパケット監視機能部23とから構成される。
次に動作について説明する。
まず、アクセスポイント4とトンネル終端装置7間に、トンネル17およびトンネル19を構築する。ここでは、トンネル17とトンネル19を便宜上分割して記載しているが、この2つのトンネルは同一のものである。ユーザ端末5は、上記トンネル17および19を使用して、ISPネットワークとの認証処理やIPアドレス取得など、接続の確立などを実施する。
まず、アクセスポイント4とトンネル終端装置7間に、トンネル17およびトンネル19を構築する。ここでは、トンネル17とトンネル19を便宜上分割して記載しているが、この2つのトンネルは同一のものである。ユーザ端末5は、上記トンネル17および19を使用して、ISPネットワークとの認証処理やIPアドレス取得など、接続の確立などを実施する。
通信制御装置15は、パケット監視機能部23においてユーザ端末5から送信されるパケットの宛先アドレスを監視してこの宛先アドレスをトンネル終端/構築機能部22に通知し、トンネル終端/構築機能部22は宛先アドレスが指定される宛先アドレス以外であれば、トンネル17からトンネル19へパケットを透過させる。一方、指定される宛先アドレスであれば、ローカルサーバ用のトンネル18への付け替え処理を行う。ここで、指定される宛先アドレスは、ローカルサーバのアドレスであり、通信制御装置のパラメータで指定しても良いし、SNMP(Simple Network Management Protocol)を用いて遠隔操作で設定しても良いし、その方法によって本発明の効果が限定されるものではない。
また、ISPネットワーク側から受信されるパケットについても同様で、パケット監視機能部23においてパケットの宛先アドレスを監視し、この宛先アドレスをトンネル終端/構築機能部22に通知し、トンネル終端/構築機能部22は宛先アドレスが指定されるアドレス以外であればトンネル19からトンネル17へパケットを透過し、指定されるアドレスであればローカルサーバ用のトンネル18への付け替え処理を行う。
一方、ローカルサーバから受信されるパケットについては、ユーザ端末宛であればトンネル17へ付け替えを行い、それ以外の宛先であればトンネル19へ付け替えを行う。
一方、ローカルサーバから受信されるパケットについては、ユーザ端末宛であればトンネル17へ付け替えを行い、それ以外の宛先であればトンネル19へ付け替えを行う。
図3に、通信制御装置の動作を表すフローチャート図を示す。まず、通信制御装置では、受信したパケットの受信ポート判定24を行う。ユーザ端末側ポートからパケットを受信した場合、宛先アドレス判定25を行う。宛先アドレスが、指定されるアドレス以外であれば、トンネル17からトンネル19へパケットを透過26し、ISPネットワーク側へ送信27する。また、宛先アドレスが、指定アドレスであれば、ISPネットワーク用のトンネル17を終端28し、ローカルサーバ用のトンネル18を構築29した後、ローカルサーバ側へ送信30する。ここで、トンネルの終端は、カプセル化されたパケットのうちトンネル用に用いられるプロトコルを終端する機能である。また、トンネルの構築は、パケットをカプセル化する機能を示している。
また、受信ポート判定24において、ISPネットワーク側ポートからパケットを受信した場合、宛先アドレス判定31を行う。宛先アドレスが、指定されるアドレス以外であれば、トンネル19からトンネル17へパケットを透過32し、ユーザ端末側へ送信33する。また、宛先アドレスが指定アドレスであれば、ISPネットワーク用のトンネル19を終端34し、ローカルサーバ用のトンネル18を構築35した後、ローカルサーバ側へ送信36する。
さらに、受信ポートの判定24において、ローカルサーバ側ポートからパケットを受信した場合、宛先アドレス判定37を行う。宛先アドレスが、ユーザ端末のアドレス、またはそれを含むネットワークアドレスである場合、ローカルサーバ用のトンネル18を終端38し、ISPネットワーク用のトンネル17を構築39した後、ユーザ端末側へ送信40する。一方、宛先アドレスがISPネットワーク側のアドレスであれば、ローカルサーバ用のトンネル18を終端41し、ISPネットワーク用のトンネル19を構築42した後、ISPネットワーク側へ送信43する。
本実施の形態では、受信ポートによって通信制御装置の処理を判別しているが、送信元アドレスやネットワークアドレスによって判別しても良い。また、受信トンネルの識別子によって、処理を判別することも可能である。さらに、宛先アドレスによる判別処理においても、送信先を判別できる識別子であれば、同様の処理を行うことが可能である。
さらに、本実施の形態では、図1に示すようにアクセスポイントと独立した装置として通信制御装置を設置するシステム構成例を示したが、アクセスポイントと一体型の装置として動作させることにより、トンネルの終端/構築処理を少なくすることが可能となる。
以上のように、ローカルネットワーク内に通信制御装置を設置し、宛先アドレスによってトンネルを終端/構築することで、トンネリング技術を用いた通信においても、ローカルサーバとの通信が可能となる。これにより、設備や場所に特徴を持つ情報を、ローカルネットワーク内に配信することが可能となる。上記使用例としては、列車内への運行情報や路線沿いの地域情報配信、公共設備内への設備情報やイベント情報などが挙げられる。上記効果に加え、ローカルネットワーク内に閉じた通信となるため、遅延の少ない通信を実現できると共に、公衆網の回線負荷の軽減効果が得られる。この効果は、特に、公衆回線が無線伝送となる携帯電話網やWiMAX網などに有効である。
実施の形態2.
以上の実施の形態1では、ローカルサーバ通信を実現するようにしたものであるが、次にローカルネットワーク利用を促し、外部ネットワークのアクセス制御を行うための実施の形態を示す。
以上の実施の形態1では、ローカルサーバ通信を実現するようにしたものであるが、次にローカルネットワーク利用を促し、外部ネットワークのアクセス制御を行うための実施の形態を示す。
図4は、このような場合の通信制御装置の構成図を示したものである。
図4では、ローカルサーバ通信を実現するパケット監視機能部23とトンネル終端/構築機能部22に加えて、DNSを用いたアクセス制御を行うDNSエージェント機能部20と、ユーザ端末毎にアクセス制御状態を管理するアクセス制御状態管理部21から構成する。
図4では、ローカルサーバ通信を実現するパケット監視機能部23とトンネル終端/構築機能部22に加えて、DNSを用いたアクセス制御を行うDNSエージェント機能部20と、ユーザ端末毎にアクセス制御状態を管理するアクセス制御状態管理部21から構成する。
次に、通信制御装置によるアクセス制御動作を示す。
本実施の形態では、ユーザ端末から外部サーバへアクセスする際に送信されるDNSメッセージを利用したアクセス制御を行う。DNSは、ユーザ端末からDNSサーバに対して、DNSリクエストメッセージを用いたドメイン問合せを行い、DNSサーバは、問合せのあったドメインに対応するIPアドレスを、DNSレスポンスを用いて通知する動作である。
本実施の形態では、ユーザ端末から外部サーバへアクセスする際に送信されるDNSメッセージを利用したアクセス制御を行う。DNSは、ユーザ端末からDNSサーバに対して、DNSリクエストメッセージを用いたドメイン問合せを行い、DNSサーバは、問合せのあったドメインに対応するIPアドレスを、DNSレスポンスを用いて通知する動作である。
パケット監視機能部23は、ユーザ端末から受信されるパケットを監視し、DNSリクエストメッセージであれば、DNSエージェント機能部20へ通知を行う。DNSエージェント機能部20は、アクセス制御状態管理部21へ当該MSのアクセス制御状態を問合せ、外部ネットワークへのアクセス許可状態であれば、DNSリクエストをそのままISPネットワークへ送信する。一方、当該MSのアクセス制御状態が、外部ネットワークへのアクセス制限状態であれば、DNSレスポンスを用いてローカルサーバのIPアドレスを通知する。
図5に、アクセス制御のフローチャートを示す。ユーザ端末からDNSリクエスト受信44した場合、アクセス制御状態の判定45を行う。外部アクセス制限状態であれば、全てのDNSリクエストに対してローカルサーバIPアドレスの通知46、ユーザ端末へDNSレスポンス送信47行い、外部アクセスの制限を実施する。一方、アクセス制御状態が外部アクセス許可状態であれば、DNSリクエストをDNSサーバへそのまま送信48する。
ローカルサーバでは、ユーザ端末の外部アクセス制限または許可を判定し、通信制御装置へ外部アクセス制御メッセージを用いて通知を行う。ローカルサーバでの上記判定は、ユーザIDとパスワードによる認証や、その他認証アルゴリズムを用いても良い。また、タイマー等によってアクセス許可時間を設定し、タイムアウト時に外部アクセス許可状態から外部アクセス制限状態へ移行し、通信制御装置へ外部アクセス制御メッセージを用いた通知を行う方法も考えられる。通信制御装置への外部アクセス制御メッセージは、例えば、図6に示すようなフレーム構成を持ち、ユーザ端末の識別子49、外部アクセス許可/制限50を通知可能なメッセージとする。
外部アクセス制御メッセージを受信した通信制御装置は、アクセス制御状態管理部21において、ユーザ端末毎に外部アクセス制御状態を管理する。
外部アクセス制御メッセージを受信した通信制御装置は、アクセス制御状態管理部21において、ユーザ端末毎に外部アクセス制御状態を管理する。
また、外部アクセス許可状態である場合、DNSエージェント機能部20は、ローカルサーバへのDNSリクエストを用いた問合せに対して、ローカルサーバのIPアドレスを、DNSレスポンスメッセージを用いて代理応答する。
本実施の形態では、ローカルサーバにおいてユーザ端末の認証を行い、通信制御装置へ通知する構成例を示したが、通信制御装置に認証機能を持たせることも可能である。上記構成では、外部アクセス制御メッセージは不要となる。
以上のように、本実施の形態ではDNSメッセージを用いた外部アクセス制御機能によって、ユーザ端末の外部アクセス許可/制限状態を制御することで、ユーザ端末に対してローカルネットワークの利用を促し、ネットワークのトラヒック負荷を軽減することができる。また、外部ネットワークへのユーザ端末認証を実施することで正規ユーザ端末の識別を行い、セキュアな通信が可能となる。
以上のように、この発明はトンネルを用いたネットワーク間通信に適用可能である。
1 ローカルネットワーク、2 公衆回線、3 ISPネットワーク、4 アクセスポイント、5 ユーザ端末、7 トンネル終端装置、15 通信制御装置、16 ローカルサーバ、17 トンネル、18 トンネル、19 トンネル、20 DNSエージェント機能部、22 トンネル終端/構築機能部、23 パケット機能監視部、49 ユーザ端末識別子、50 アクセス許可/制限。
Claims (3)
- パケットの宛先アドレスとパケットがDNSリクエストメッセージか否かとを監視して通知するパケット監視機能部と、
前記パケット監視機能部から通知されるパケットの宛先アドレスに基づいて、パケットをカプセル化して送信するトンネルを終端し及び構築するトンネル終端/構築機能部と、
ローカルネットワーク内のローカルサーバから通知されるユーザ端末の外部サーバへのアクセス許可又は制限を示すアクセス制御メッセージに基づいて前記ユーザ端末のアクセス制御状態を通知するアクセス制御状態管理部と、
前記アクセス制御状態管理部から通知される前記アクセス制御状態に基づいて、前記パケット監視機能部から通知されるDNSリクエストメッセージを前記外部サーバへ送信するか判定するDNSエージェント機能部と、
を備え、
前記トンネル終端/構築機能部は、前記ローカルネットワーク内のアクセスポイントとインターネットサービスプロバイダーネットワーク内のトンネル終端装置との間にインターネットサービスプロバイダーネットワーク用トンネルを構築し、
前記パケット監視機能部から通知されるパケットの宛先アドレスが前記ローカルサーバのアドレスであれば、前記インターネットサービスプロバイダーネットワーク用トンネルを終端し、前記ローカルサーバとの間にローカルサーバアクセス用トンネルを構築し、通知されるパケットを送信し、
前記パケット監視機能部から通知されるパケットの宛先アドレスが前記ローカルサーバのアドレス以外であれば、通知されるパケットを前記インターネットサービスプロバイダーネットワーク用トンネルで送信することを特徴とする通信制御装置。 - 前記DNSエージェント機能部は、前記ユーザ端末が外部アクセス制限状態であれば、DNSリクエストメッセージに対して前記ローカルサーバのアドレスを応答することを特徴とする請求項1に記載の通信制御装置。
- 前記DNSエージェント機能部は、前記ユーザ端末が外部アクセス許可状態であれば、前記ローカルサーバへ問合せをするDNSリクエストメッセージに対して前記ローカルサーバのアドレスを応答し、その他のDNSリクエストメッセージを前記外部サーバへ送信することを特徴とする請求項1又は2に記載の通信制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009138195A JP5453941B2 (ja) | 2009-06-09 | 2009-06-09 | 通信制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009138195A JP5453941B2 (ja) | 2009-06-09 | 2009-06-09 | 通信制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010287944A JP2010287944A (ja) | 2010-12-24 |
| JP5453941B2 true JP5453941B2 (ja) | 2014-03-26 |
Family
ID=43543356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009138195A Expired - Fee Related JP5453941B2 (ja) | 2009-06-09 | 2009-06-09 | 通信制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5453941B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5345651B2 (ja) * | 2010-12-30 | 2013-11-20 | ヴァルサフスキ マーティン | セキュアトンネリングプラットフォームシステム及び方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2003043276A1 (ja) * | 2001-11-13 | 2005-03-10 | 松下電器産業株式会社 | プロバイダ接続システム及びそのパケット交換装置並びにパケット交換方法及びそのコンピュータプログラム |
| JP3858884B2 (ja) * | 2003-11-05 | 2006-12-20 | 日本電気株式会社 | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム |
-
2009
- 2009-06-09 JP JP2009138195A patent/JP5453941B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010287944A (ja) | 2010-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107836104B (zh) | 与机器设备进行互联网络通信的方法和*** | |
| US10097517B2 (en) | Secure tunnels for the internet of things | |
| CN107995052B (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
| EP2207321B1 (en) | An accessing method, system and equipment of layer-3 session | |
| US7441043B1 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
| EP2590368B1 (en) | Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network | |
| US8359644B2 (en) | Seamless data networking | |
| EP3228059B1 (en) | Secure connections establishment | |
| JP2012504898A (ja) | ホーム基地局を備えた通信システムにおけるトラフィックの管理方法及び構成 | |
| KR101936662B1 (ko) | 데이터 패킷을 포워딩하는 액세스 노드 장치 | |
| WO2014176964A1 (zh) | 一种通信管理方法及通信*** | |
| WO2009012675A1 (fr) | Passerelle de réseau d'accès, terminal, procédé et système pour établir une connexion de données | |
| WO2009029774A1 (en) | System and method for management and administration of repeaters and antenna systems | |
| CN102143136A (zh) | 接入业务批发网络的方法、设备、服务器和*** | |
| JP2004328029A (ja) | ネットワークアクセスシステム | |
| WO2018098630A1 (zh) | 一种x2业务传输方法及网络设备 | |
| JP5453941B2 (ja) | 通信制御装置 | |
| EP2506489A1 (en) | Wireless authentication terminal | |
| JP5764085B2 (ja) | ポート開閉制御システム | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
| JP5986044B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム | |
| JP6664232B2 (ja) | 無線lanアクセスシステム、ルータ装置およびアクセス制御方法 | |
| KR101401008B1 (ko) | 연결성 검출 방법 및 이를 위한 컴퓨터 판독 가능한 기록매체 | |
| JP5875507B2 (ja) | 中継装置、プログラム、情報処理方法、及び情報処理装置 | |
| JP2015041970A (ja) | 通信システム、通信方法、および、通信プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120120 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121012 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130108 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131001 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131121 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131210 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131223 |
|
| LAPS | Cancellation because of no payment of annual fees |