WO2014156009A1

WO2014156009A1 - 転送装置

Info

Publication number: WO2014156009A1
Application number: PCT/JP2014/001338
Authority: WO
Inventors: 崇弘宮本
Original assignee: Kddi株式会社
Priority date: 2013-03-26
Filing date: 2014-03-10
Publication date: 2014-10-02
Also published as: EP2981030B1; EP2981030A1; JP5997367B2; EP2981030A4; US20160014074A1; JPWO2014156009A1

Abstract

第１のネットワーク及び仮想プライベート・ネットワークに接続し、第１のネットワークと仮想プライベート・ネットワークとの間でのパケットの転送を行う転送装置は、第１のネットワークの第１の通信装置から第２のネットワークの第２の通信装置との通信要求又は前記第２の通信装置のアドレスの問い合わせを受信すると、第１の通信装置と第２の通信装置の仮想プライベート・ネットワーク経由での通信が許可されているかを判定する判定部と、第１の通信装置と第２の通信装置の仮想プライベート・ネットワーク経由での通信が許可されていると、第１の通信装置が第２の通信装置と通信する際に使用する宛先アドレスを決定し、宛先アドレスを第１の通信装置に通知するアドレス決定部と、を備えている。

Description

転送装置

　本発明は、仮想プライベート・ネットワーク（ＶＰＮ）における名前解決技術に関する。

　企業の複数の拠点のローカル・エリア・ネットワーク（ＬＡＮ）を相互接続するために、ＶＰＮが使用されている。ＬＡＮ内の通信装置は、インターネット上で公開されている通信装置を除き、プライベートＩＰ（インターネット・プロトコル）アドレスのみを使用している。したがって、異なるＬＡＮに接続された２つの通信装置が同じＩＰアドレスを使用している場合が存在し得る。このため、特許文献１は、異なるＬＡＮ内のＩＰアドレスが重複する場合にアドレス変換する構成を開示している。また、特許文献２は、複数のＬＡＮ間をＶＰＮ経由で接続するＶＰＮ装置を一括制御するＶＰＮ管理装置を開示している。

特開２００５－１４２７０２号公報特開２００３－１０１５６９号公報

　現在、ＶＰＮは、異なる企業のＬＡＮを相互接続するためにも使用され始めている。異なる企業間のＬＡＮをＶＰＮで接続する場合、セキュリティの関係上、異なる企業のＬＡＮに接続された任意の通信装置間での通信を許可することはなく、ＶＰＮ経由での通信を特定の通信装置間でのみ可能な様に制限する必要がある。また、通常、ＬＡＮ内の通信装置はプライベートＩＰアドレスを使用しているため、インターネット上で利用可能なＤＮＳ（ドメイン・ネーム・システム）では、企業内のＬＡＮのみに接続された通信装置の名前解決を行うことはできない。さらに、異なる企業のＬＡＮに接続された２つの通信装置が重複したＩＰアドレスを使用している場合もある。

　特許文献１は、重複したＩＰアドレスを変換する構成を開示しているが、特定の通信装置でのみ通信を許可する様に制御することはできない。また、特許文献１及び２に記載の方法では、通信先である、他の企業のＬＡＮに接続された通信装置の名前解決ができない。

　本発明の一態様によると、第１のネットワークの通信装置と第２のネットワークの通信装置との仮想プライベート・ネットワーク経由での通信のために、前記第１のネットワーク及び前記仮想プライベート・ネットワークに接続し、前記第１のネットワークと前記仮想プライベート・ネットワークとの間でのパケットの転送を行う転送装置であって、前記第１のネットワークの第１の通信装置から前記第２のネットワークの第２の通信装置との通信要求又は前記第２の通信装置のアドレスの問い合わせを受信すると、前記第１の通信装置と前記第２の通信装置の前記仮想プライベート・ネットワーク経由での通信が許可されているかを判定する判定手段と、前記第１の通信装置と前記第２の通信装置の前記仮想プライベート・ネットワーク経由での通信が許可されていると、前記第１の通信装置が前記第２の通信装置と通信する際に使用する宛先アドレスを決定し、前記宛先アドレスを前記第１の通信装置に通知するアドレス決定手段と、を備えていることを特徴とする。

　本発明のその他の特徴及び利点は、添付図面を参照とした以下の説明により明らかになるであろう。なお、添付図面においては、同じ若しくは同様の構成には、同じ参照番号を付す。

　添付図面は明細書に含まれ、その一部を構成し、本発明の実施の形態を示し、その記述と共に本発明の原理を説明するために用いられる。
一実施形態によるシステム構成図。一実施形態によるＶＰＮ装置の構成図。一実施形態による名前解決及びアドレス割り当てのシーケンス図。一実施形態による名前解決及びアドレス割り当てのシーケンス図。一実施形態によるコントローラが保持する情報を示す図。一実施形態によるコントローラが保持する情報を示す図。一実施形態によるＶＰＮ装置が保持する情報を示す図。

　以下、本発明の例示的な実施形態について図面を参照して説明する。なお、以下の各図においては、実施形態の説明に必要ではない構成要素については図から省略する。

　図１は、一実施形態の説明に使用するシステム構成図である。図１において、ＶＰＮ装置１１は、ＶＰＮ装置１２及び１３と、ＶＰＮ４を介して接続している。なお、本実施形態において、ＶＰＮ装置とは、ＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ）とＬＡＮ（Ｌｏａｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）との中継を行う転送装置を意味する。また、図１の例において、ＬＡＮ３１、３２及び３３は、それぞれ、異なる企業の企業内ネットワークであるものとする。なお、図１においては、通信装置である、端末５１、サーバ５２、サーバ５３がそれぞれ、ＬＡＮ３１、ＬＡＮ３２、ＬＡＮ３３に接続されている。コントローラ２は、例えば、ＶＰＮ４を提供する通信事業者が設置し、どの企業のどの通信装置間での通信が許可されるかと、許可された装置間での通信について、ＶＰＮ４内において使用するアドレスとを示す接続情報を保持している。なお、図示しないが、ＬＡＮ３１、３２、３３はインターネットにも接続している。以下、図１の構成を例にして、実施形態の説明を行う。

　コントローラ２が保持する接続情報の例を図５Ａに示す。図５Ａの番号＃１のエントリは、ＬＡＮ３１の端末５１とＬＡＮ３２のサーバ５２が、ＶＰＮ４経由での通信が許可されていることを示している。さらに、番号＃１のエントリは、ＬＡＮ３１の端末５１と、ＬＡＮ３２のサーバ５２がＶＰＮ４経由で通信する際に、ＶＰＮ４内においては、アドレスＸを端末５１のアドレスとして使用し、アドレスＡをサーバ５２のアドレスとして使用することを示している。なお、ＬＡＮ３１の端末５１と、ＬＡＮ３３のサーバ５３との組み合わせは、図５Ａの接続情報には含まれていないものとする。よって、図５Ａの接続情報は、ＬＡＮ３１の端末５１と、ＬＡＮ３３のサーバ５３とのＶＰＮ４経由での通信は許可されていないことを示している。

　図３は、ＬＡＮ３１の端末５１が、ＬＡＮ３２のサーバ５２と通信する際のシーケンスを示している。Ｓ１１において、端末５１は、ＶＰＮ装置１１との間で認証処理を行う。なお、認証処理には、例えば、ＩＥＥＥ８０２．１Ｘに従う方法を使用することができる。本実施形態においては、端末５１が認証処理において送信する認証情報を、ＶＰＮ装置１１はコントローラ２に送信し、コントローラ２が端末５１の認証を行って、認証結果をＶＰＮ装置１１に送信するものとしている。しかしながら、ＶＰＮ装置１１で認証を行っても良い。また、ＶＰＮ装置１１は、端末５１の認証が成功すると、その旨を所定期間保存しておく。この構成により、既に端末５１の認証が成功したとの情報をＶＰＮ装置１１が保持している場合、Ｓ１１におけるＶＰＮ装置１１とコントローラ２との間の処理については省略することができる。

　Ｓ１２で、ＶＰＮ装置１１は、端末５１のＩＰアドレスを割り当てる。なお、既に端末５１にＩＰアドレスを割り当てている場合にはＳ１２の処理は省略される。Ｓ１３で、端末５１は、サーバ５２と通信するために、サーバ５２への通信要求をＶＰＮ装置１１に送信する。通信要求は、サーバ５２の識別情報を含み、サーバ５２のＩＰアドレスを問い合わせるためのメッセージである。なお、サーバ５２の識別情報には、例えば、完全修飾ドメイン名を使用できる。ＶＰＮ装置１１は、Ｓ１４で、端末５１とサーバ５２とのＶＰＮ４経由での通信が許可されているかをコントローラ２に問い合わせる。本例では、図５Ａに示す様に、端末５１とサーバ５２とのＶＰＮ４経由での通信が許可されているため、コントローラ２は、図５Ａの番号＃１のエントリに対応する接続情報を、Ｓ１５でＶＰＮ装置１１に送信する。

　ＶＰＮ装置１１は、コントローラ２から接続情報を受信すると、Ｓ１６で、端末５１とサーバ５２との通信において、端末５１が宛先アドレスとして使用するアドレスを生成する。ここでは、１０．０．０．１を生成したものとする。ＶＰＮ装置１１は、Ｓ１７において、Ｓ１６で生成したアドレスを端末５１に通知する。また、ＶＰＮ装置１１は、図５Ｃに示す様に、サーバ５２のアドレスとして通知したアドレスを、端末５１に割り当てたアドレスに対応づけて管理しておく。

　Ｓ１８で、端末５１が、サーバ５２のアドレスを宛先アドレスとするパケットを送信すると、ＶＰＮ装置１１は、Ｓ１９で図５Ｃに示す情報に従い、送信元アドレス、つまり、１９２．１６８．０．１と、宛先アドレス、つまり、１０．０．０．１を、それぞれ、アドレスＸ、アドレスＡに変換して、Ｓ２０でＶＰＮ装置１２に送信する。

　なお、ＶＰＮ装置１２は、宛先アドレスＡに対応するＬＡＮ３２上の通信装置が特定できない場合には、コントローラ２に問い合わせを行う。また、Ｓ１６において、図５Ｃに示す情報をＶＰＮ装置１１は保存するため、以後、端末５１から宛先アドレスを１０．０．０．１としたパケットを受信した際には、図５Ｃに示す情報に従いパケットを転送することになり、Ｓ１１からＳ１７の処理は不要となる。なお、図５Ｃに示す情報については、例えば、有効期限を設け、有効期限経過後に廃棄する構成としても良い。これにより、コントローラ２の設定が変更された場合でも、その変更をＶＰＮ装置１１において反映することができる。

　以上、本実施形態によるＶＰＮ装置は、異なるＬＡＮの通信装置間での通信が許可されているかを、ＶＰＮ４を管理するコントローラ２に問い合わせ、許可されている場合には、ＶＰＮ装置自身が、宛先として使用するアドレスを決定して、通信の要求元の通信装置に通知する。ここで決定するアドレスは、ＶＰＮ装置が接続しているＬＡＮの通信装置のアドレスと重複しないアドレスを、実際の通信相手が使用しているアドレスとは無関係に決定できる。例えば、決定するアドレスは、ＶＰＮ装置が接続しているＬＡＮとは異なるサブネットのアドレスとすることができる。なお、決定するアドレスは、既に宛先アドレスとして、ＶＰＮ装置が接続しているＬＡＮの各通信装置に通知したアドレスと重複しないものとすることができる。しかしながら、送信元アドレスと宛先アドレスとの組で、宛先アドレスが示す通信装置を特定する場合、決定するアドレスを、通信の要求元の通信装置に既に宛先アドレスとして通知したものと異なるものとすれば良い。この場合、ＶＰＮ装置は、パケットを受信すると、送信元アドレスと宛先アドレスの組に基づき、宛先の通信装置を特定して、ＶＰＮ４で使用するアドレスに変換する。この構成により、ＶＰＮ装置における宛先アドレス決定の自由度が増加する。以上の構成により、異なるＬＡＮ間のＶＰＮ４経由での接続において、ＩＰアドレス重複の問題を解決し、名前解決を提供することができる。また、ＶＰＮ４経由での通信を許可された通信装置間に限定することができる。

　図４は、ＬＡＮ３１の端末５１が、ＬＡＮ３３のサーバ５３と通信する際のシーケンスを示している。なお、既に説明した様に、端末５１とサーバ５３とは、ＶＰＮ４経由での通信が許可されていない。なお、本例では、サーバ５３は、インターネットに公開されているサーバであり、よって、端末５１とサーバ５３とはインターネット経由での通信は可能であるものとする。

　図４のＳ３１及びＳ３２は、図３のＳ１１及びＳ１２と同様であり、再度の説明は省略する。Ｓ３３で、端末５１は、サーバ５３と通信するために、サーバ５３の識別情報をＶＰＮ装置１１に送信して、サーバ５３のＩＰアドレスを問い合わせる。ＶＰＮ装置１１は、Ｓ３４で、端末５１とサーバ５３とのＶＰＮ４経由での通信が許可されているかをコントローラ２に問い合わせる。本例では、端末５１とサーバ５３とのＶＰＮ４経由での通信が許可されていないため、コントローラ２は、Ｓ３５で許可されていない旨をＶＰＮ装置１１に通知する。

　この場合、端末５１とサーバ５３との通信は、インターネット経由となるため、ＶＰＮ装置１１は、Ｓ３６で、サーバ５３のＩＰアドレスを、外部のＤＮＳサーバに問い合わせて、サーバ５３にインターネット経由でアクセスする際のＩＰアドレスを取得する。その後、ＶＰＮ装置１１は、Ｓ３７において、Ｓ３６で取得したサーバ５３のＩＰアドレスを端末５１に通知する。Ｓ３８において、端末５１は、ＶＰＮ装置１１から通知されたＩＰアドレスを使用して、インターネット経由でサーバ５３にアクセスする。なお、本例において、サーバ５３がインターネットに公開されていない通信装置である場合、ＶＰＮ装置１１は、サーバ５３のＩＰアドレスをＳ３６で取得できず、よって、Ｓ３７においてはその旨を端末５１に通知する。

　なお、説明した実施形態において、コントローラ２は、ＶＰＮ４経由で通信可能な２つの通信装置の組を示す情報を保持していた。しかしながら、例えば、複数の通信装置の任意の２つの間での通信が可能である場合、コントローラ２は、図５Ｂに示す様に、相互に通信が可能な複数の通信装置をグループとして管理することができる。例えば、図５Ｂでは、２つのグループ＃１及び＃２が存在し、端末５１は、両グループに属することが示されている。ここで、例えば、グループ＃１内の各通信装置の任意の２つは、たとえ、異なるＬＡＮに属するものであっても、総て、ＶＰＮ４経由での通信が許可されている。したがって、例えば、図３のＳ１４で、端末５１とサーバ５２との通信可否の問い合わせを受けると、コントローラ２は、図５Ｂに示すグループ＃１のグループ情報を接続情報としてＶＰＮ装置１１に送信することもできる。或いは、グループ情報の端末５１とサーバ５２についてのＶＰＮ側アドレスと、グループ識別子のみを送信する形態であっても良い。ＶＰＮ装置１１は、受信したグループ識別子も図５Ｃに示す情報に追加して管理しておく。例えば、他の通信装置間の通信における名前解決で同一グループ識別子をコントローラ２から受信することで、ＶＰＮ装置１１は、この他の通信装置と、端末５１又はサーバ５２とがＶＰＮ４経由で通信できることを、コントローラ２に問い合わせることなく判定することができる。

　図２は、一実施形態によるＶＰＮ装置の概略的な構成図である。送受信部１０５は、ＬＡＮとの間でパケットを送受信し、送受信部１０７はＶＰＮ４との間でパケットの送受信を行う。また、変換部１０６は、アドレス管理部１０４が保持する図５Ｃのアドレス変換情報に基づきＬＡＮとＶＰＮ４との間で送受信されるパケットのアドレス変換を行う。なお、アドレス管理部１０４は、図３のＳ１２におけるアドレス割り当て処理や、Ｓ１６におけるアドレス決定処理や、Ｓ１７における宛先アドレスの通知処理も行う。さらに、Ｓ３６におけるＤＮＳサーバへの問い合わせも行う。

　認証管理部１０３は、図３のＳ１１に示す認証処理を行う。さらに、認証管理部１０３は、Ｓ１４及びＳ１５の処理を実行して、ＩＰアドレスの問い合わせを行った通信装置について、問い合わせ対象の通信装置とのＶＰＮ４経由での通信が許可されているかを、コントローラ２に問い合わせることで、或いは、図５Ｃの情報により判定する。コントローラ連携部１０１は、コントローラ２との通信処理を行う。ＤＮＳ連携部１０２は、図４のＳ３６における外部ＤＮＳサーバからのＩＰアドレスの取得処理を行う。

　本発明は上記実施の形態に制限されるものではなく、本発明の精神及び範囲から離脱することなく、様々な変更及び変形が可能である。例えば、説明した実施形態では、ＬＡＮ３１、３２、３３は、異なる企業のネットワークであるものとしたが、同じ企業に属するものであっても本発明を適用可能である。これは、同じ企業であっても、拠点間でのアドレスの調整等が不要になる利点があるからである。従って、本発明の範囲を公にするために、以下の請求項を添付する。

　本願は、２０１３年３月２６日提出の日本国特許出願特願２０１３－０６４８７２を基礎として優先権を主張するものであり、その記載内容の全てを、ここに援用する。

Claims

　第１のネットワークの通信装置と第２のネットワークの通信装置との仮想プライベート・ネットワーク経由での通信のために、前記第１のネットワーク及び前記仮想プライベート・ネットワークに接続し、前記第１のネットワークと前記仮想プライベート・ネットワークとの間でのパケットの転送を行う転送装置であって、
　前記第１のネットワークの第１の通信装置から前記第２のネットワークの第２の通信装置との通信要求又は前記第２の通信装置のアドレスの問い合わせを受信すると、前記第１の通信装置と前記第２の通信装置の前記仮想プライベート・ネットワーク経由での通信が許可されているかを判定する判定手段と、
　前記第１の通信装置と前記第２の通信装置の前記仮想プライベート・ネットワーク経由での通信が許可されていると、前記第１の通信装置が前記第２の通信装置と通信する際に使用する宛先アドレスを決定し、前記宛先アドレスを前記第１の通信装置に通知するアドレス決定手段と、
を備えている転送装置。
　前記アドレス決定手段が決定する宛先アドレスは、前記第１のネットワークに接続する通信装置と重複しないアドレスである請求項１に記載の転送装置。
　前記判定手段は、前記第１の通信装置と前記第２の通信装置の前記仮想プライベート・ネットワーク経由での通信が許可されているとの情報を保持していない場合、前記仮想プライベート・ネットワークのコントローラに前記第１の通信装置と前記第２の通信装置の前記仮想プライベート・ネットワーク経由での通信が許可されているかを問い合わせる請求項１又は２に記載の転送装置。
　前記第１の通信装置から、前記決定した宛先アドレスを含むパケットを受信すると、前記パケットの前記宛先アドレスと、前記パケットの送信元アドレスを、前記仮想プライベート・ネットワークで使用する所定のアドレスに変換して前記仮想プライベート・ネットワークに送信する送信手段をさらに備えている請求項１から３のいずれか１項に記載の転送装置。
　前記送信手段は、前記パケットの前記宛先アドレスと、前記パケットの送信元アドレスの組み合わせに応じて、前記仮想プライベート・ネットワークで使用する所定のアドレスへの変換を行う請求項４に記載の転送装置。
　前記仮想プライベート・ネットワークで使用する所定のアドレスは、前記仮想プライベート・ネットワークのコントローラから取得したものである請求項４又は５に記載の転送装置。
　前記アドレス決定手段は、前記第１の通信装置と前記第２の通信装置の前記仮想プライベート・ネットワーク経由での通信が許可されていないと、インターネットのサーバに前記第２の通信装置のアドレスを問い合わせ、前記インターネットのサーバから前記第２の通信装置のアドレスを取得できると、前記取得したアドレスを前記第１の通信装置に通知することを特徴とする請求項１から６のいずれか１項に記載の転送装置。
　前記判定手段は、前記第１のネットワークの複数の通信装置の任意の１つと、前記第２のネットワークの複数の通信装置の任意の１つとの前記仮想プライベート・ネットワーク経由での通信が許可されている場合、前記第１のネットワークの前記複数の通信装置と前記第２のネットワークの前記複数の通信装置を１つのグループとして管理することを特徴とする請求項１から７のいずれか１項に記載の転送装置。