中継サーバ及び中継通信システム
【課題】登録された機器同士で中継通信を行う場合において、選択された機器同士でのみ通信が可能な状態で中継通信を開始できる中継通信システムを構築可能な中継サーバを提供する。
【解決手段】中継サーバ3は、自機がパケットを転送可能なアドレスである第1ルーティング対象アドレスと、他のLANに位置する中継サーバ1がパケットを転送可能な第2ルーティング対象アドレスと、を記憶する。中継サーバ3は、初期通信設定と現在通信設定とを記憶する。中継サーバ3は、初期通信設定で許可とされた第1ルーティング対象アドレスのみを中継サーバ1へ送信するとともに、中継サーバ1から第2ルーティング対象アドレスを受信し、中継サーバ1とルーティングセッションを確立する。中継サーバ3は、初期通信設定を現在通信設定として登録する。中継サーバ3は、自機と中継サーバ1のアドレスフィルタ情報に基づいてパケットのルーティング制御を行う。
【解決手段】中継サーバ3は、自機がパケットを転送可能なアドレスである第1ルーティング対象アドレスと、他のLANに位置する中継サーバ1がパケットを転送可能な第2ルーティング対象アドレスと、を記憶する。中継サーバ3は、初期通信設定と現在通信設定とを記憶する。中継サーバ3は、初期通信設定で許可とされた第1ルーティング対象アドレスのみを中継サーバ1へ送信するとともに、中継サーバ1から第2ルーティング対象アドレスを受信し、中継サーバ1とルーティングセッションを確立する。中継サーバ3は、初期通信設定を現在通信設定として登録する。中継サーバ3は、自機と中継サーバ1のアドレスフィルタ情報に基づいてパケットのルーティング制御を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主として、異なるLAN(Local Area Network)に接続されている機器間の通信を可能とする中継サーバに関する。
【背景技術】
【0002】
従来から、物理的に離れた場所に設置されたLAN同士で通信を行う仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている。特許文献1に示す例では、物理的に離れた位置に設置された複数のLANのそれぞれに中継サーバ及び通信端末等が接続されている。通信端末は、このVPNを利用して、他のLANに接続された通信端末へパケットを送信することができる。具体的には、通信端末が送信するパケットは、初めに同一LAN内の中継サーバへ送られる。この中継サーバは、インターネットを介して、宛先の通信端末と同一のLAN内の中継サーバへパケットを送信(転送)する。そして、このパケットを受信した中継サーバは、宛先の通信端末へパケットを送信(転送)する。
【0003】
このVPNを利用することにより、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2010−268312号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、特許文献1のようにVPNを利用して通信を行う場合、通信を行う機器を予め登録しておき、VPNの構築後においては、登録された全ての機器同士で互いに通信できるように構成することが一般的である。
【0006】
しかし、セキュリティ上の観点から、一部の機器同士での通信を常に許可することが好ましくない場合がある。例えば、保守サービスを行う企業Aと、保守サービスを受ける企業Bと、でVPNを構築する例を考える。企業Bには、企業Bの所有する保守対象の機器と、企業Aが設置した監視用機器と、が設置されているとする。監視用機器は、保守対象の機器に不具合が発生したか否かを監視するために設置される。この場合、企業Aに設置された機器は、監視用機器とは常に通信できる必要がある。一方、企業Aに設置された機器は、セキュリティ上の観点から、必要ない場合にまで保守対象機器との通信を可能としておくことは好ましくない。
【0007】
従って、従来の構成では、VPNを構築した後に、企業Aに設置された機器から保守対象機器にアクセスできないように設定を行う必要がある。しかしながら、VPNを構築する毎に設定が必要になるのでは、ユーザにとって大きな負担となる。また、ユーザが設定を失念する可能性も考えられ、この場合、セキュリティが脆弱な部分を発生させてしまう。
【0008】
本発明は以上の事情に鑑みてされたものであり、その主要な目的は、登録された機器同士で中継通信を行う場合において、選択された機器同士でのみ通信が可能な状態で中継通信を開始できる中継通信システムを構築可能な中継サーバを提供することにある。
【課題を解決するための手段及び効果】
【0009】
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
【0010】
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、通信設定情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置し(中継サーバが)パケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記通信設定情報記憶部は、前記第1ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す初期通信設定と現在の設定を示す現在通信設定とを記憶する。前記制御部は、前記初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを前記第2中継サーバへ送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記初期通信設定の内容を前記現在通信設定として登録する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する。前記制御部は、前記ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する。
【0011】
これにより、通信を開始する段階においては、初期通信設定で禁止とされた第1ルーティング対象アドレスは他の中継サーバへ送信されないので、当該アドレスを宛先とした通信が行われない。従って、ある第1ルーティング対象装置へのアクセスを常に許可することがセキュリティ上の観点等から好ましくない場合、初期通信設定を禁止としておくことで、当該第1ルーティング対象装置へのアクセスを禁止した状態で、ルーティングセッションを介した通信を開始できる。従って、通信の開始後にユーザが手動で設定を変更する必要がないので、ユーザの手間を軽減することができる。また、ユーザが設定を忘れる等の人為的ミスが起こり得ないので、セキュリティを向上させることができる。
【0012】
前記の中継サーバにおいては、前記ルーティングセッションの確立後に前記現在通信設定が切り替えられたときに、切替後の内容を前記第2中継サーバへ送信することが好ましい。
【0013】
これにより、通信の許可/禁止が切り替わった旨を第2中継サーバへ通知することができるので、変更内容を反映した中継通信を行うことができる。
【0014】
前記の中継サーバにおいては、前記通信設定情報記憶部は、中継サーバ毎に異なる前記初期通信設定を記憶できることが好ましい。
【0015】
これにより、ある中継サーバを利用するユーザは、他の中継サーバのユーザとの関係等に基づいて、中継サーバ毎に異なる初期通信設定を行うことができる。従って、様々な状況に柔軟に対応可能な中継通信システムが実現できる。
【0016】
前記の中継サーバにおいては、複数の中継サーバを含んで構成されるグループであって、同じグループに所属する中継サーバ同士でルーティングセッションを確立させて互いに通信を行うグループを通信グループと称したときに、前記通信設定情報記憶部は、前記通信グループ毎に異なる前記初期通信設定を記憶できることが好ましい。
【0017】
これにより、中継通信システムを利用するユーザは、同じ通信グループに所属する相手との関係等を考慮して、通信グループ毎に異なる初期通信設定を行うことができる。従って、様々な状況に柔軟に対応可能な中継通信システムが実現できる。
【0018】
前記の中継サーバにおいては、前記制御部は、ルーティングセッションの確立後に前記現在通信設定が変更された場合であっても、ルーティングセッションの再確立時に前記現在通信設定を前記初期通信設定に戻すことが好ましい。
【0019】
これにより、通常はアクセスを受け付けない設定の第1ルーティング対象アドレスに意図せずに許可の設定がされることを防止できるので、セキュリティを向上させることができる。
【0020】
本発明の第2の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、第1中継サーバ及び第2中継サーバを含んで構成される。第1LAN内に位置する第1中継サーバは、アドレスフィルタ情報記憶部と、通信設定情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置する当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記通信設定情報記憶部は、前記第1ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す初期通信設定と現在の設定を示す現在通信設定とを記憶する。前記第1中継サーバの前記制御部は、前記初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを前記第2中継サーバへ送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記初期通信設定の内容を前記現在通信設定として登録する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する。前記制御部は、前記ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する。
【0021】
これにより、通信を開始する段階においては、初期通信設定で禁止とされた第1ルーティング対象アドレスは他の中継サーバへ送信されないので、当該アドレスを宛先とした通信が行われない。従って、セキュリティ上の観点等からある第1ルーティング対象装置へのアクセスを常に許可することが好ましくない場合、初期通信設定を禁止としておくことで、当該第1ルーティング対象装置へのアクセスを禁止した状態で、ルーティングセッションを介した通信を開始できる。従って、通信の開始後にユーザが手動で設定を変更する必要がないので、ユーザの手間を軽減することができる。また、ユーザが設定を忘れる等の人為的ミスが起こり得ないので、セキュリティを向上させることができる。
【図面の簡単な説明】
【0022】
【図1】本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。
【図2】中継サーバの機能ブロック図。
【図3】中継グループ情報の内容を示す図。
【図4】中継サーバ情報の内容を示す図。
【図5】クライアント端末情報の内容を示す図。
【図6】VPNグループ情報の内容を示す図。
【図7】それぞれの中継サーバに予め登録されるアドレスフィルタ情報及び通信設定情報の内容を示す図。
【図8】VPN構築後に中継サーバ1が記憶するアドレスフィルタ情報及び通信設定情報の内容を示す図。
【図9】VPN構築後に中継サーバ3が記憶するアドレスフィルタ情報及び通信設定情報の内容を示す図。
【図10】予め中継サーバに行う設定を示すフローチャート。
【図11】VPNグループを作成する処理を示すフローチャート。
【図12】VPNを構築する処理を示すフローチャート。
【図13】VPNを構築する処理を示すフローチャート。
【図14】VPNを構築する処理を示すフローチャート。
【図15】ルーティング制御を示す説明図。
【図16】現在通信設定の許可/禁止が切り替えられたときの処理を示すフローチャート。
【図17】変形例に係るアドレスフィルタ情報及び通信設定情報の内容を示す図。
【発明を実施するための形態】
【0023】
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本実施形態に係る中継通信システム100の全体構成を示す説明図である。
【0024】
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数のLAN10,20,30で構成されている。それぞれのLAN10,20,30は、限定された場所で構築される比較的小規模なネットワークである。また、LAN10,20,30は、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
【0025】
以下、それぞれのLANを具体的に説明する。図1に示すように、LAN(第2LAN)10には、中継サーバ(第2中継サーバ)1と、第2ルーティング対象装置としての操作PC11,12と、クライアント端末13と、が接続されている。LAN20には、中継サーバ2と、操作PC21と、クライアント端末22と、が接続されている。LAN(第1LAN)30には、中継サーバ(第1中継サーバ)3と、第1ルーティング対象装置としての対象端末31,32,33と、クライアント端末34と、が接続されている。
【0026】
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続された機器と通信可能であるだけでなく、他のLANに配置された中継サーバとも通信可能となっている。操作PC11,12,21は、例えばオペレータが操作するためのパーソナルコンピュータである。対象端末31,32,33は、パーソナルコンピュータ、又は、ファイルサーバ等であり、例えばオペレータは、操作PC11等を操作して、対象端末31等に所定のデータを要求すること、及び、対象端末31の記憶内容を更新することが想定されている。クライアント端末13,22,34は、例えばパーソナルコンピュータで構成されており、それぞれ自身が所属する中継サーバ1,2,3を介して、互いに通信可能である。
【0027】
次に、図2を参照して、中継サーバ1,2,3の詳細な構成について説明する。図2は、中継サーバ3の機能ブロック図である。なお、中継サーバ3は中継サーバ1,2と略同じ構成であるので、以下では、主として中継サーバ3について説明する。
【0028】
図2に示すように、中継サーバ3は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
【0029】
インタフェース部70は、LAN10内の端末に対して通信を実行する。また、インタフェース部70は、WAN80に対して通信を実行する。インタフェース部70は、LAN30又はWAN80から受信したパケットに適宜の処理を行って制御部60へ出力する。
【0030】
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。具体的には、制御部60は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて宛先を決定し、決定した宛先へ当該パケットを送信する。また、制御部60は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。
【0031】
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、クライアント端末情報記憶部53と、VPNグループ情報記憶部54と、アドレスフィルタ情報記憶部55と、通信設定情報記憶部56と、を備えている。以下、図3から図9までを参照して、記憶部50の記憶内容について説明する。図3から図9までは、主として、中継サーバ1,2,3の記憶部50の記憶内容を示す図である。
【0032】
中継グループ情報記憶部51は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。
【0033】
図3に示すように、中継グループ情報においては、groupタグと、このgroupタグを親要素とする子要素のsiteタグと、が記述されている。groupタグには中継グループに関するグループ情報511が記述されている。このグループ情報511としては、中継グループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、中継グループの名称(「name」)と、が記述されている。siteタグには、中継グループを構成する中継サーバに関するグループ構成情報512が記述されている。このグループ構成情報512には、当該中継サーバの識別情報(「id」)が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。
【0034】
なお、この中継グループ情報は、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。
【0035】
中継サーバ情報記憶部52は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。
【0036】
図4に示す中継サーバ情報においては、中継サーバ毎に記述されるsiteタグと、前記siteタグを親要素とする子要素のnodeタグと、が記述されている。siteタグには中継サーバ1に関するサーバ情報521が記述されている。このサーバ情報521としては、中継サーバの識別情報(「id」)と、中継サーバの名称(「name」)と、起動情報(「stat」)と、が記述されている。なお、「stat」の内容が「active」の場合は中継サーバが中継通信システム100にログインしていることを示し、statが空欄であるときはログオフ中であることを示す。siteタグの子要素であるnodeタグには、中継サーバに所属するクライアント端末を示す所属情報522が記述されている。所属情報522としては、所属する中継グループの名称(「group」)と、クライアント端末の識別情報(「id」)と、クライアント端末の名称(「name」)と、所属先の中継サーバの識別情報(「site」)と、が記述されている。なお、クライアント端末が中継通信システム100にログインしていないときは、「site」は空欄となる。
【0037】
なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末13からクライアント端末22にパケットを送信する場合、初めに、クライアント端末13は、自身が接続している中継サーバである中継サーバ1にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ1は、これらの情報に基づいて、クライアント端末22が接続している中継サーバである中継サーバ2へパケットを転送する。そして、このパケットを受信した中継サーバ2がクライアント端末22へパケットを転送する。このようにして、クライアント端末13,22同士で中継通信を行うことができる。
【0038】
この中継サーバ情報に関しても中継グループ情報と同様に、当該中継グループを構成する中継サーバ1,2,3の間で情報が共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。
【0039】
クライアント端末情報記憶部53は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ1,2,3は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。中継サーバ3には、クライアント端末34が所属しているため、中継サーバ3が備えるクライアント端末情報記憶部53には、クライアント端末34についてのクライアント端末情報のみが記憶されている。
【0040】
中継サーバ3のクライアント端末情報記憶部53が記憶するクライアント端末情報は、図5(c)に示されている。同様に、中継サーバ1が記憶するクライアント端末情報が図5(a)に、中継サーバ2が記憶するクライアント端末情報が図5(b)に、それぞれ示されている。
【0041】
図5に示すクライアント端末情報においては、nodeタグが記述されている。このnodeタグには、クライアント端末のプライベートIPアドレス(「addr」)と、所属する中継グループの名称(「group」)と、識別情報(「id」)と、名称(「name」)と、中継サーバにログインするためのパスワード(「pass」)と、ポート情報(「port」)と、が記述されている。
【0042】
VPNグループ情報記憶部54は、中継グループを構成する中継サーバ及びクライアント端末からルーティングポイントとして選択された機器(以下、ルーティング機器と称する)で構成されたVPNグループ(通信グループ)に関する情報であるVPNグループ情報を記憶している。同一のVPNグループに所属するルーティング機器同士でルーティングセッションを確立させることにより、VPNを利用した通信を開始することができる。
【0043】
図6に示すVPNグループ情報においては、vnetタグが記述されている。このvnetタグには、VPNグループ基本情報541と、ルーティングポイント情報542と、ルーティングセッション情報543と、が記述されている。VPNグループ基本情報541には、VPNグループが所属する中継グループの名称(「group」)と、VPNグループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、VPNグループの名称(「name」)と、が記述されている。ルーティングポイント情報542には、VPNグループ間で通信を行うときにルーティングを行うルーティング機器の識別情報が記述されている。図6の例においては、ルーティング機器として、中継サーバ1と、中継サーバ3と、が記述されている。ルーティングセッション情報543には、VPNグループにおいて互いに接続されるルーティング機器が記述されている。ルーティングセッション情報543において、ルーティング機器は、VPNグループでVPNを構築して通信を開始するためのルーティングセッション確立処理において、通信制御を最初に行う側(「sp(start point)」)と、その通信制御を受ける側「ep(end point)」と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング機器を「始点」と、その通信制御を受ける側のルーティング機器を「終点」と、それぞれ称することがある。
【0044】
図6に示すVPNグループ情報からは、VPNグループ(VPN−GROUP1)が、中継サーバ1と中継サーバ3とで構成されることが分かる。また、このVPNグループの開始時には、中継サーバ3から中継サーバ1へルーティングセッションを確立するための通信制御が行われることが分かる。
【0045】
このVPNグループ情報も中継サーバ情報及び中継グループ情報と同様に、同じVPNグループに所属する中継サーバ1,3の間で共有されている。そして、ある中継サーバにおいてVPNグループ情報を変更する処理が行われた場合は、同じVPNグループに所属する他の中継サーバに対してその旨が送信されてVPNグループ情報が更新される。このようにして、VPNグループ情報が動的に共有される。なお、このVPNグループを作成する処理については後述する。
【0046】
アドレスフィルタ情報記憶部55は、VPNを利用したパケットのルーティング制御を行う際に用いられる情報であるアドレスフィルタ情報を記憶する。アドレスフィルタ情報記憶部55は、VPNの構築前においては、中継サーバ3自身がパケットを直接的に送信可能な装置(ルーティング対象装置)を示す情報(中継サーバ3のアドレスフィルタ情報)を記憶する(図7(c)を参照)。なお、アドレスフィルタ情報には、ルーティング対象装置のアドレス(ルーティング対象アドレス)と、ルーティング対象装置の名称と、が含まれる。
【0047】
図7(c)に示す例には、中継サーバ3がパケットを直接的に送信可能な機器が対象端末31,32,33であることが記述されている。なお、図7(a)には、中継サーバ1に予め登録されたアドレスフィルタ情報が示され、図7(b)には、中継サーバ2に予め登録されたアドレスフィルタ情報が示されている。
【0048】
通信設定情報記憶部56は、初期通信設定と現在通信設定で構成される通信設定情報を記憶する。通信設定情報記憶部56は、図7(c)に示すように、初期通信設定と現在通信設定とをルーティング対象アドレスと対応付けて記憶する。初期通信設定とは、前記ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す情報である。現在通信設定とは、VPNを利用した通信が開始した後の前記ルーティング対象アドレスを宛先とした中継通信の許可/禁止の現在の設定を示す情報である。従って、VPNを利用した通信を開始する前では、図7(c)に示すように、現在通信設定は登録されていない。
【0049】
図7(c)に示す例では、対象端末31及び対象端末32の初期通信設定が「許可」であり、対象端末33の初期通信設定が「禁止」であることが記述されている。従って、中継サーバ3が中継サーバ1とルーティングセッションを確立した場合、現在通信設定を変更しない限り、LAN10側から対象端末33へアクセスすることはできない。
【0050】
以下、アドレスフィルタ情報及び初期通信設定を用いて行われる処理について説明する。上述のように、中継サーバ3のアドレスフィルタ情報記憶部55は、VPNを構築する前においては、図7(c)に示すアドレスフィルタ情報のみを記憶している。そして、中継サーバ3は、例えば中継サーバ1とルーティングセッションを確立させるときに、自身に予め登録されたアドレスフィルタ情報(図7(c))のうち、初期通信設定で「許可」とされているルーティング対象アドレスのみを中継サーバ1へ送信するとともに、中継サーバ1からもアドレスフィルタ情報(図7(a))を受信する。そして、中継サーバ3は、中継サーバ1のアドレスフィルタ情報を当該中継サーバ1の識別情報と対応付けてアドレスフィルタ情報記憶部55に記憶する。
【0051】
これにより、中継サーバ3には、図9(a)に示す内容が記憶されることになる。また、中継サーバ1には、図8(a)に示す内容が記憶されることになる。なお、中継サーバ3は対象端末33のアドレスを中継サーバ1へ送信していないので、図8(a)に示すように、中継サーバ1には、対象端末33が登録されていない。従って、LAN10側から対象端末33へのアクセスを行うことができない。なお、以下では、中継サーバ3のアドレスフィルタ情報に含まれるルーティング対象アドレスを第1ルーティング対象アドレスと称し、中継サーバ1のアドレスフィルタ情報に含まれるルーティング対象アドレスを第2ルーティング対象アドレスと称することがある。
【0052】
次に、VPNを利用した通信を行うための準備について説明する。初めに、図10を参照して中継サーバに予め行う設定について説明し、次に、図11を参照してVPNグループを作成するときの流れについて説明する。図10は、予め中継サーバ3に行う設定を示すフローチャートである。図11は、VPNグループを作成する処理を示すフローチャートである。以下では、中継サーバ3を例に挙げて、中継サーバ3に対して行う設定及び中継サーバ3が実行する処理について説明するが、中継サーバ1,2にも同様の設定が行われるとともに、中継サーバ1,2も同様の処理を実行可能であるとする。
【0053】
中継サーバ3に予め行う設定としては、当該中継サーバ3のアドレスフィルタ情報の登録(S101)がある。この登録は、中継通信システム100を利用するユーザが、ルーティング対象装置として指定する機器等のアドレス(第1ルーティング対象アドレス)と、名称と、を所定の方法で入力することにより行う。ここでは、ユーザは、対象端末31,32,33のアドレス及び名称を入力したものとする。ここで登録されたアドレスフィルタ情報は、アドレスフィルタ情報記憶部55に記憶される。
【0054】
次に、ユーザは、前記初期通信設定の登録を行う(S102)。ユーザは、ルーティング対象装置のうち、他のLANからのアクセスを通常は許容しない端末については「禁止」の登録を行い、それ以外の端末については「許可」の登録を行う。本実施形態では、対象端末33に「禁止」が登録され、対象端末31,32に「許可」が登録されたものとする。ここで登録された初期通信設定は、通信設定情報記憶部56に記憶される。
【0055】
次に、VPNグループを作成するときの流れについて説明する。ユーザは、初めに、クライアント端末13,22,34等を操作することによって、VPNグループの設定画面を表示させることができる。ここでは、クライアント端末34を用いて設定を行う場合について説明する。クライアント端末34に表示させた設定画面には、当該クライアント端末34が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、VPNグループを構築したい中継グループを選択する(S201)。
【0056】
中継グループが選択されると、クライアント端末34の画面には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバ及びクライアント端末の識別情報の一覧が表示される(S202)。そして、ユーザは、構築するVPNグループにおいてルーティングポイントとして機能させる中継サーバ及びクライアント端末を選択する(S203)。今回の説明では、中継サーバ1と、中継サーバ3と、がユーザに選択されたものとする。
【0057】
そして、選択された中継サーバの識別情報に基づいて、ルーティングポイントの識別情報及び前記ルーティングセッション情報が作成される(S204)。そして、これらの情報にVPNグループの識別情報等を付加することにより、図6で示したVPNグループ情報が作成される。クライアント端末34は、このVPNグループ情報を、同じVPNグループに所属する中継サーバ1,3へ送信する(S205)。そして、中継サーバ1,3は、受信したVPNグループ情報をVPNグループ情報記憶部54に記憶する。以上により、VPNグループの構築処理が完了する。
【0058】
次に、構築したVPNグループで通信を開始するまでの流れについて、図12から図14までを参照して説明する。図12から図14までは、VPNを利用した通信を開始するまでに行う処理を示すフローチャートである。
【0059】
ユーザは、クライアント端末13又は操作PC11等を操作することによって、構築したVPNグループを画面に表示させることができる。そして、表示されたVPNグループから適当なVPNグループを選択することにより(S301)、VPNを構築するための処理を行わせることができる。今回の説明では、上記で作成したVPNグループ(中継サーバ1,3で構成されるVPNグループ)の開始処理を中継サーバ3が行う例を説明する。
【0060】
中継サーバ3は、自身に対応付けられたアドレスフィルタ情報を読み出す(S302)。そして、アドレスフィルタ情報を構成する第1ルーティング対象アドレスのリストから1つを選択し、当該ルーティング対象アドレスに対応する初期通信設定を読み出す(S303)。次に、中継サーバは、読み出した初期通信設定の内容に従わずに、それとは異なる設定を例外的(一時的)に行う場合の指示を受け付ける(S304)。例えばメンテナンス作業が必要になった等の事情で、初期通信設定を採用せずに異なる設定(今回限りの設定)で通信を行わせたい場合は、ユーザは、所定の操作を中継サーバ3に行うことで、現在通信設定として登録する内容を通信初期設定から変更する指示を行うことができる。次に、中継サーバ3は、S304で受け付けた指示を優先的に考慮しつつ、読み出した初期通信設定の内容を現在通信設定として登録する(S305)。具体的には、S304で変更する指示があった場合は、当該指示に沿うように許可/禁止を現在通信設定として登録し、S304で指示がなかった場合は、初期通信設定の内容を現在通信設定として登録する。次に、中継サーバ3は、第1ルーティング対象アドレスのリストに記述された他の第1ルーティング対象アドレスについてもS304及びS305の処理を行う。以上のようにして、対象端末31,32,33について、初期通信設定が読み出され、現在通信設定として登録される。なお、中継サーバ3は、初期通信設定の内容を変更して登録する指示の受付け(S304)を行わずに、通信設定情報記憶部56が記憶している初期通信設定をそのまま用いてS305の処理を行う構成であっても良い。
【0061】
次に、中継サーバ3は、選択したVPNグループに属するルーティングポイントの読出しを行う(図13のS307)。これにより、図6に示すVPNグループ情報の内容に基づいて、中継サーバ1が読み出される。中継サーバ3は、中継サーバ情報に基づいて、初めに、中継サーバ1がログイン中か否か(「stat」がactiveか空欄か)を判断する(S308)。図4に示す中継サーバ情報によれば中継サーバ1はログイン中であるため、中継サーバ3は、中継サーバ1へVPNグループの識別情報とともに、VPNグループの開始コマンドを送信する(S309)。
【0062】
中継サーバ3は、この開始コマンドに対する中継サーバ1からの応答を受けると(S310)、中継サーバ1を、VPNを構築する準備が完了したルーティングポイントとして登録する(S311)。
【0063】
次に、中継サーバ3は、同じVPNグループに所属する他の機器が有るか否かの判断を行う(S312)。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他の機器は存在しない。なお、仮に他の機器が存在していた場合は、中継サーバ3は、今度は当該機器を対象としてS308〜S311の処理を行う。
【0064】
次に、中継サーバ3は、VPNグループ情報記憶部54の記憶内容からルーティングセッション情報を抽出する(図14のS313)。そして、中継サーバ3は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する(S314)。図6のルーティングセッション情報においては、中継サーバ1と中継サーバ3との間で確立されるべきルーティングセッションにおいて、自身(中継サーバ3)が始点となることが記述されている。
【0065】
そのため、中継サーバ3は、中継サーバ1に対して所定の通信制御を行ってルーティングセッションを確立する(S315)。なお、この通信制御を行う際に、前述のように、アドレスフィルタ情報が交換される。具体的には、中継サーバ3は、現在通信設定で「許可」とされたルーティング対象アドレスのみを抽出し、抽出したルーティング対象アドレスを中継サーバ1へ送信する(S316)。また、中継サーバ3は、中継サーバ1からルーティング対象アドレスを当該中継サーバ1から受信する(S317)。なお、ここで中継サーバ3が受信するルーティング対象アドレスは、図7(a)において、現在通信設定が「許可」とされたルーティング対象アドレスである。従って、中継サーバ3は、操作PC11,12の両方のルーティング対象アドレスを中継サーバ1から受信する。
【0066】
ここで、現在通信設定の内容は、S304で説明した例外的な設定の指示がない限り、初期通信設定の内容と一致する(S305を参照)。従って、S316で抽出されるアドレス(現在通信設定が「許可」になっているルーティング対象アドレス)は、実質的に、初期通信設定が「許可」になっているルーティング対象アドレスであるということができる。
【0067】
以上のようにして、中継サーバ3のアドレスフィルタ情報記憶部55には、図9(a)に示す内容が記憶される。また、中継サーバ1のアドレスフィルタ情報記憶部55には、図8(a)に示す内容が記憶される。
【0068】
このように、本実施形態ではVPNを構築する際に、それぞれのルーティング機器が他のルーティング機器とアドレスフィルタ情報を交換(取得)するため、最新のアドレスフィルタ情報を用いてVPNを構築することができる。従って、VPN開始前の段階で一部のルーティング機器においてアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング機器に反映させた状態でVPNを構築して通信を開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。
【0069】
次に、中継サーバ3は、再びS314の処理を行う。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他のルーティングセッションはVPNグループ情報には記述されていない。従って、中継サーバ3は、パケットのルーティング制御を開始する(S318)。なお、仮に他のルーティングセッションがある場合は、中継サーバ3は、再びS315〜S317の処理を行う。
【0070】
また、図14のフローチャートには記載していないが、S310において自身が接続の始点となるルーティングセッションが無い場合(自身がルーティングの終点となる場合)であっても、始点となるルーティング機器からの通信制御を受けてルーティングセッションの確立処理及びアドレスフィルタ情報の交換が行われる。
【0071】
なお、それぞれのルーティング機器は、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。
【0072】
次に、図15等を参照して、確立したルーティングセッションを用いてパケットのルーティングを行う処理について説明する。図15は、ルーティング制御を示す説明図である。
【0073】
初めに、対象端末31が操作PC11へパケットを送信するときの流れについて説明する。図15(a)に示すように、対象端末31は、宛先アドレスとして、操作PC11のアドレス(200.1.40.10)を指定し、送信元アドレスとして自身のアドレス(192.168.0.10)を指定する。このパケットを受信した中継サーバ3は、パケットの宛先アドレスと、記憶しているアドレスフィルタ情報(図9(a))と、を比較する。そして、宛先アドレスが中継サーバ1と対応付けられていることを認識し、ルーティングセッションを介して、パケットを中継サーバ1へ転送する。
【0074】
このパケットを受信した中継サーバ1は、受信したパケットの宛先アドレスと、記憶しているアドレスフィルタ情報(図8(a))と、を比較する。そして、宛先アドレスが自身(中継サーバ1)と対応付けられていることを認識し、パケットを操作PC11へ送信する。
【0075】
次に、操作PC11から対象端末31へパケットを送信するときの流れについて説明する。この図15(b)に示すように、操作PC11は、宛先アドレスとして対象端末31のアドレス(192.168.0.10)を指定し、送信元アドレスとして自身のアドレス(200.1.40.10)を指定してパケットを送信する。このパケットを受信した中継サーバ1は、受信したパケットの宛先アドレスと、記憶しているアドレスフィルタ情報(図8(a))と、を比較する。そして、宛先アドレスが中継サーバ3と対応付けられていることを認識し、ルーティングセッションを介して、パケットを中継サーバ3へ転送する。
【0076】
このパケットを受信した中継サーバ3は、受信したパケットの宛先アドレスと、記憶しているアドレスフィルタ情報(図9(a))と、を比較する。そして、宛先アドレスが自身(中継サーバ3)と対応付けられていることを認識し、パケットを対象端末31へ送信する。
【0077】
アドレスフィルタ情報を利用したルーティング制御は以上のように行われる。従って、仮に操作PC11から対象端末33へパケットを送信した場合であっても、中継サーバ1は、アドレスフィルタ情報に対象端末33のアドレスが記述されていないため、当該パケットを破棄する。つまり、本実施形態では、操作PC11,12から対象端末33へのアクセスを禁止した状態で、VPNを利用した通信を開始することができる。
【0078】
次に、通信開始後に現在通信設定が切り替えられたときに中継サーバ3が行う処理について図16を参照して説明する。図16は、現在通信設定の許可/禁止が切り替えられたときの処理を示すフローチャートである。
【0079】
以下では、対象端末33の現在通信設定を「禁止」から「許可」へ切り替えるときについて説明する。中継サーバ3は、VPNの構築後において、現在通信設定の切替え指示の有無を監視している(S401)。中継サーバ3は、ユーザから対象端末33の現在通信設定の切替えが指示された場合、指示内容に基づいて現在通信設定の値を切り替える(S402、図9(b)を参照)。従って、中継サーバ3が記憶する現在通信設定は、図9(b)に示すように更新される(鎖線部分を参照)。
【0080】
次に、中継サーバ3は、更新後のアドレスフィルタ情報を、VPNグループを構成する他のルーティング機器(本説明では中継サーバ1)へ送信する(S403)。このとき、中継サーバ3は、アドレスフィルタ情報の変更部分についてのみ中継サーバ1へ送信しても良いし、アドレスフィルタ情報の全体を中継サーバ1へ送信しても良い。
【0081】
中継サーバ1は、中継サーバ3からの通知を受けて、中継サーバ3と対応付けて記憶していたアドレスフィルタ情報を更新する。従って、中継サーバ1が記憶するアドレスフィルタ情報は、図8(b)に示すように更新される(鎖線部分を参照)。これにより、操作PC11,12は、対象端末33へアクセスできる状態になる。
【0082】
また、中継サーバ3は、現在通信設定の切替え指示の有無だけでなく、VPNの終了指示の有無についても監視を行っている(S404)。そして、ユーザによってVPNの終了が指示された場合、中継サーバ3は、VPNを終了する旨を他のルーティング機器(本説明では中継サーバ1)へ送信する等してVPNを終了させる。
【0083】
上述したように、本実施形態では、VPNが構築される毎に、中継サーバ3は、S304で例外的な設定がその都度指示されない限り、S305で、初期通信設定の内容が現在通信設定として登録される。従って、VPNの終了前に対象端末33の現在通信設定が「許可」となっていても、VPNを再構築したときには、対象端末33の現在通信設定は原則として、初期通信設定である「禁止」に強制的に戻ることになる。これにより、対象端末33に対する通信について「許可」の設定が意図せずにされることを防止できるので、セキュリティを向上させることができる。
【0084】
以上に示したように、本実施形態の中継サーバ3は、アドレスフィルタ情報記憶部55と、通信設定情報記憶部56と、制御部60と、を備える。アドレスフィルタ情報記憶部55は、LAN30内に位置し、中継サーバ3がパケットを転送可能なアドレスである第1ルーティング対象アドレスと、LAN10内に位置する中継サーバ1がパケットを転送可能な第2ルーティング対象アドレスと、を記憶する。通信設定情報記憶部56は、中継通信の許可/禁止の初期設定を示す初期通信設定と、現在の設定を示す現在通信設定と、を記憶する。制御部60は、初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを中継サーバ1へ送信するとともに、中継サーバ1から第2ルーティング対象アドレスを受信し、中継サーバ1とルーティングセッションを確立する。制御部60は、初期通信設定の内容を現在通信設定として登録する。制御部60は、第1ルーティング対象装置から第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、ルーティングセッションを介して中継サーバ1へ転送する。制御部60は、ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の第1ルーティング対象装置へ転送する。
【0085】
これにより、対象端末33の初期通信設定を「禁止」としておくことで、対象端末33へのアクセスを禁止にした状態で、VPNを利用した通信を開始できる。従って、(対象端末33へのアクセスを例外的に許可すべき場合を除いて)通信の開始後にユーザが手動で設定を変更する必要がないので、ユーザの手間を軽減することができる。また、ユーザが設定を忘れる等の人為的ミスが起こり得ないので、セキュリティを向上させることができる。
【0086】
また、本実施形態の中継サーバ3は、ルーティングセッションの確立後に現在通信設定が切り替えられたときに、切替後の内容を中継サーバ1へ送信する。
【0087】
これにより、通信の許可/禁止が切り替わった旨を中継サーバ1へ通知することができるので、変更内容を反映した中継通信を行うことができる。
【0088】
また、本実施形態の中継サーバ3において、制御部60は、ルーティングセッションの確立後に現在通信設定が変更された場合であっても、ルーティングセッションの再確立時に現在通信設定を初期通信設定に戻す。
【0089】
これにより、通常はアクセスを受け付けない設定の対象端末33との通信について「許可」の設定が意図せずにされることを防止できるので、セキュリティを向上させることができる。
【0090】
次に、上記実施形態の変形例について図17を参照して説明する。図17は、変形例に係るアドレスフィルタ情報及び通信設定情報の内容を示す図である。
【0091】
本変形例では、上記実施形態の構成を採用しつつ、設定可能な事項を充実させた構成である。具体的には、本変形例では、初期通信設定をVPNの構築相手の中継サーバ毎に設定することができる。
【0092】
この設定は、例えば中継サーバの設置先に基づいて決定することができる。例えば、中継サーバ3の設置先の企業が中継サーバ1の設置先の企業と異なる一方で、中継サーバ3の設置先の企業と中継サーバ2の設置先の企業とが同じであるとする。この場合、対象端末33への通信を中継サーバ1から常に受け付けるとセキュリティ上の観点から問題が生じる可能性がある。一方、対象端末33への通信を中継サーバ2から常に受け付けてもセキュリティ上問題ないことが多い。この場合、図17(a)に示すように、対象端末33の中継サーバ1への初期通信設定を「禁止」とし、中継サーバ2への初期通信設定を「許可」とすることで、上記に対応したVPNを構築することができる。
【0093】
また、中継サーバ毎に初期通信設定を切り替える構成だけでなく、例えばVPNグループ毎に初期通信設定を切替え可能な構成としても良い。例えば、同一の企業同士で構成されるVPNグループには初期通信設定を「許可」として、複数の企業で構成されるVPNグループには初期通信設定を「禁止」とする等の設定方法が考えられる。
【0094】
以上に本発明の好適な実施の形態及び変形例を説明したが、上記の構成は例えば以下のように変更することができる。
【0095】
読み出した初期通信設定の内容に従わない旨の特別な指示の受付け(S304)は、上記実施形態では、ルーティング対象アドレスを1つ登録する度に行われる。しかしながらこれに代えて、最初にルーティング対象アドレスの全てについて初期通信設定を現在通信設定にそのままコピーし、その後に、全てのルーティング対象アドレスについて現在通信設定の内容を例えばリスト形式で表示した上で上記の特別な指示を一括で受け付けるようにしても良い。
【0096】
上記実施形態では、通信を開始する段階において、中継サーバは、初期通信設定の内容を現在通信設定にコピーした上で(S303〜S306)、ルーティング対象アドレスを他の中継サーバに送信するか否かを現在通信設定の内容に基づいて定めている(S316)。しかしながらこれに代えて、中継サーバが、ルーティング対象アドレスを他の中継サーバに送信するか否かを初期通信設定の内容に基づいて定め、その後に、初期通信設定の内容を現在通信設定として登録するように構成しても良い。ただしこの場合も、S304でユーザが特別な指示を行った場合は、それを考慮すべきなのは勿論である。
【0097】
上記では、ルーティングセッションの確立と略同時にアドレスフィルタ情報の交換を行う構成である。これに対し、VPNグループの開始コマンドの送信(S309)とともにアドレスフィルタ情報を送信し、応答(S310)とともにアドレスフィルタ情報を受信する構成でも良い。
【0098】
上記では、操作PC11等の個別の機器がルーティング対象装置となっていたが、例えば、LAN10全体(200.1.40.0/24)を中継サーバ1のルーティング対象装置として設定しても良い。
【0099】
上記では、中継サーバのみがルーティングポイントとして機能する構成であるが、クライアント端末がルーティングポイントとして機能する構成であっても良い。また、VPNグループ内のルーティングポイントの数は2つに限られず、3つ以上であっても良い。また、1つのルーティング機器が複数のVPNグループに所属していても良い。
【0100】
上記の中継グループ情報、中継サーバ情報、クライアント端末情報、VPNグループ情報、アドレスフィルタ情報等を格納する形式はXML形式に限定されず、適宜の形式で各情報を格納することができる。
【0101】
上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。
【符号の説明】
【0102】
1 中継サーバ(第2中継サーバ)
3 中継サーバ(第1中継サーバ)
11,12 操作PC(第2ルーティング対象装置)
31,32,33 対象端末(第1ルーティング対象装置)
10 LAN(第2LAN)
30 LAN(第1LAN)
55 アドレスフィルタ情報記憶部
56 通信設定情報記憶部
60 制御部
100 中継通信システム
【技術分野】
【0001】
本発明は、主として、異なるLAN(Local Area Network)に接続されている機器間の通信を可能とする中継サーバに関する。
【背景技術】
【0002】
従来から、物理的に離れた場所に設置されたLAN同士で通信を行う仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている。特許文献1に示す例では、物理的に離れた位置に設置された複数のLANのそれぞれに中継サーバ及び通信端末等が接続されている。通信端末は、このVPNを利用して、他のLANに接続された通信端末へパケットを送信することができる。具体的には、通信端末が送信するパケットは、初めに同一LAN内の中継サーバへ送られる。この中継サーバは、インターネットを介して、宛先の通信端末と同一のLAN内の中継サーバへパケットを送信(転送)する。そして、このパケットを受信した中継サーバは、宛先の通信端末へパケットを送信(転送)する。
【0003】
このVPNを利用することにより、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2010−268312号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、特許文献1のようにVPNを利用して通信を行う場合、通信を行う機器を予め登録しておき、VPNの構築後においては、登録された全ての機器同士で互いに通信できるように構成することが一般的である。
【0006】
しかし、セキュリティ上の観点から、一部の機器同士での通信を常に許可することが好ましくない場合がある。例えば、保守サービスを行う企業Aと、保守サービスを受ける企業Bと、でVPNを構築する例を考える。企業Bには、企業Bの所有する保守対象の機器と、企業Aが設置した監視用機器と、が設置されているとする。監視用機器は、保守対象の機器に不具合が発生したか否かを監視するために設置される。この場合、企業Aに設置された機器は、監視用機器とは常に通信できる必要がある。一方、企業Aに設置された機器は、セキュリティ上の観点から、必要ない場合にまで保守対象機器との通信を可能としておくことは好ましくない。
【0007】
従って、従来の構成では、VPNを構築した後に、企業Aに設置された機器から保守対象機器にアクセスできないように設定を行う必要がある。しかしながら、VPNを構築する毎に設定が必要になるのでは、ユーザにとって大きな負担となる。また、ユーザが設定を失念する可能性も考えられ、この場合、セキュリティが脆弱な部分を発生させてしまう。
【0008】
本発明は以上の事情に鑑みてされたものであり、その主要な目的は、登録された機器同士で中継通信を行う場合において、選択された機器同士でのみ通信が可能な状態で中継通信を開始できる中継通信システムを構築可能な中継サーバを提供することにある。
【課題を解決するための手段及び効果】
【0009】
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
【0010】
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、通信設定情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置し(中継サーバが)パケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記通信設定情報記憶部は、前記第1ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す初期通信設定と現在の設定を示す現在通信設定とを記憶する。前記制御部は、前記初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを前記第2中継サーバへ送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記初期通信設定の内容を前記現在通信設定として登録する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する。前記制御部は、前記ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する。
【0011】
これにより、通信を開始する段階においては、初期通信設定で禁止とされた第1ルーティング対象アドレスは他の中継サーバへ送信されないので、当該アドレスを宛先とした通信が行われない。従って、ある第1ルーティング対象装置へのアクセスを常に許可することがセキュリティ上の観点等から好ましくない場合、初期通信設定を禁止としておくことで、当該第1ルーティング対象装置へのアクセスを禁止した状態で、ルーティングセッションを介した通信を開始できる。従って、通信の開始後にユーザが手動で設定を変更する必要がないので、ユーザの手間を軽減することができる。また、ユーザが設定を忘れる等の人為的ミスが起こり得ないので、セキュリティを向上させることができる。
【0012】
前記の中継サーバにおいては、前記ルーティングセッションの確立後に前記現在通信設定が切り替えられたときに、切替後の内容を前記第2中継サーバへ送信することが好ましい。
【0013】
これにより、通信の許可/禁止が切り替わった旨を第2中継サーバへ通知することができるので、変更内容を反映した中継通信を行うことができる。
【0014】
前記の中継サーバにおいては、前記通信設定情報記憶部は、中継サーバ毎に異なる前記初期通信設定を記憶できることが好ましい。
【0015】
これにより、ある中継サーバを利用するユーザは、他の中継サーバのユーザとの関係等に基づいて、中継サーバ毎に異なる初期通信設定を行うことができる。従って、様々な状況に柔軟に対応可能な中継通信システムが実現できる。
【0016】
前記の中継サーバにおいては、複数の中継サーバを含んで構成されるグループであって、同じグループに所属する中継サーバ同士でルーティングセッションを確立させて互いに通信を行うグループを通信グループと称したときに、前記通信設定情報記憶部は、前記通信グループ毎に異なる前記初期通信設定を記憶できることが好ましい。
【0017】
これにより、中継通信システムを利用するユーザは、同じ通信グループに所属する相手との関係等を考慮して、通信グループ毎に異なる初期通信設定を行うことができる。従って、様々な状況に柔軟に対応可能な中継通信システムが実現できる。
【0018】
前記の中継サーバにおいては、前記制御部は、ルーティングセッションの確立後に前記現在通信設定が変更された場合であっても、ルーティングセッションの再確立時に前記現在通信設定を前記初期通信設定に戻すことが好ましい。
【0019】
これにより、通常はアクセスを受け付けない設定の第1ルーティング対象アドレスに意図せずに許可の設定がされることを防止できるので、セキュリティを向上させることができる。
【0020】
本発明の第2の観点によれば、以下の構成の中継通信システムが提供される。即ち、この中継通信システムは、第1中継サーバ及び第2中継サーバを含んで構成される。第1LAN内に位置する第1中継サーバは、アドレスフィルタ情報記憶部と、通信設定情報記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置する当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記通信設定情報記憶部は、前記第1ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す初期通信設定と現在の設定を示す現在通信設定とを記憶する。前記第1中継サーバの前記制御部は、前記初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを前記第2中継サーバへ送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記初期通信設定の内容を前記現在通信設定として登録する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する。前記制御部は、前記ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する。
【0021】
これにより、通信を開始する段階においては、初期通信設定で禁止とされた第1ルーティング対象アドレスは他の中継サーバへ送信されないので、当該アドレスを宛先とした通信が行われない。従って、セキュリティ上の観点等からある第1ルーティング対象装置へのアクセスを常に許可することが好ましくない場合、初期通信設定を禁止としておくことで、当該第1ルーティング対象装置へのアクセスを禁止した状態で、ルーティングセッションを介した通信を開始できる。従って、通信の開始後にユーザが手動で設定を変更する必要がないので、ユーザの手間を軽減することができる。また、ユーザが設定を忘れる等の人為的ミスが起こり得ないので、セキュリティを向上させることができる。
【図面の簡単な説明】
【0022】
【図1】本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。
【図2】中継サーバの機能ブロック図。
【図3】中継グループ情報の内容を示す図。
【図4】中継サーバ情報の内容を示す図。
【図5】クライアント端末情報の内容を示す図。
【図6】VPNグループ情報の内容を示す図。
【図7】それぞれの中継サーバに予め登録されるアドレスフィルタ情報及び通信設定情報の内容を示す図。
【図8】VPN構築後に中継サーバ1が記憶するアドレスフィルタ情報及び通信設定情報の内容を示す図。
【図9】VPN構築後に中継サーバ3が記憶するアドレスフィルタ情報及び通信設定情報の内容を示す図。
【図10】予め中継サーバに行う設定を示すフローチャート。
【図11】VPNグループを作成する処理を示すフローチャート。
【図12】VPNを構築する処理を示すフローチャート。
【図13】VPNを構築する処理を示すフローチャート。
【図14】VPNを構築する処理を示すフローチャート。
【図15】ルーティング制御を示す説明図。
【図16】現在通信設定の許可/禁止が切り替えられたときの処理を示すフローチャート。
【図17】変形例に係るアドレスフィルタ情報及び通信設定情報の内容を示す図。
【発明を実施するための形態】
【0023】
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本実施形態に係る中継通信システム100の全体構成を示す説明図である。
【0024】
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数のLAN10,20,30で構成されている。それぞれのLAN10,20,30は、限定された場所で構築される比較的小規模なネットワークである。また、LAN10,20,30は、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
【0025】
以下、それぞれのLANを具体的に説明する。図1に示すように、LAN(第2LAN)10には、中継サーバ(第2中継サーバ)1と、第2ルーティング対象装置としての操作PC11,12と、クライアント端末13と、が接続されている。LAN20には、中継サーバ2と、操作PC21と、クライアント端末22と、が接続されている。LAN(第1LAN)30には、中継サーバ(第1中継サーバ)3と、第1ルーティング対象装置としての対象端末31,32,33と、クライアント端末34と、が接続されている。
【0026】
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続された機器と通信可能であるだけでなく、他のLANに配置された中継サーバとも通信可能となっている。操作PC11,12,21は、例えばオペレータが操作するためのパーソナルコンピュータである。対象端末31,32,33は、パーソナルコンピュータ、又は、ファイルサーバ等であり、例えばオペレータは、操作PC11等を操作して、対象端末31等に所定のデータを要求すること、及び、対象端末31の記憶内容を更新することが想定されている。クライアント端末13,22,34は、例えばパーソナルコンピュータで構成されており、それぞれ自身が所属する中継サーバ1,2,3を介して、互いに通信可能である。
【0027】
次に、図2を参照して、中継サーバ1,2,3の詳細な構成について説明する。図2は、中継サーバ3の機能ブロック図である。なお、中継サーバ3は中継サーバ1,2と略同じ構成であるので、以下では、主として中継サーバ3について説明する。
【0028】
図2に示すように、中継サーバ3は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
【0029】
インタフェース部70は、LAN10内の端末に対して通信を実行する。また、インタフェース部70は、WAN80に対して通信を実行する。インタフェース部70は、LAN30又はWAN80から受信したパケットに適宜の処理を行って制御部60へ出力する。
【0030】
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。具体的には、制御部60は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて宛先を決定し、決定した宛先へ当該パケットを送信する。また、制御部60は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。
【0031】
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、クライアント端末情報記憶部53と、VPNグループ情報記憶部54と、アドレスフィルタ情報記憶部55と、通信設定情報記憶部56と、を備えている。以下、図3から図9までを参照して、記憶部50の記憶内容について説明する。図3から図9までは、主として、中継サーバ1,2,3の記憶部50の記憶内容を示す図である。
【0032】
中継グループ情報記憶部51は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。
【0033】
図3に示すように、中継グループ情報においては、groupタグと、このgroupタグを親要素とする子要素のsiteタグと、が記述されている。groupタグには中継グループに関するグループ情報511が記述されている。このグループ情報511としては、中継グループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、中継グループの名称(「name」)と、が記述されている。siteタグには、中継グループを構成する中継サーバに関するグループ構成情報512が記述されている。このグループ構成情報512には、当該中継サーバの識別情報(「id」)が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。
【0034】
なお、この中継グループ情報は、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。
【0035】
中継サーバ情報記憶部52は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。
【0036】
図4に示す中継サーバ情報においては、中継サーバ毎に記述されるsiteタグと、前記siteタグを親要素とする子要素のnodeタグと、が記述されている。siteタグには中継サーバ1に関するサーバ情報521が記述されている。このサーバ情報521としては、中継サーバの識別情報(「id」)と、中継サーバの名称(「name」)と、起動情報(「stat」)と、が記述されている。なお、「stat」の内容が「active」の場合は中継サーバが中継通信システム100にログインしていることを示し、statが空欄であるときはログオフ中であることを示す。siteタグの子要素であるnodeタグには、中継サーバに所属するクライアント端末を示す所属情報522が記述されている。所属情報522としては、所属する中継グループの名称(「group」)と、クライアント端末の識別情報(「id」)と、クライアント端末の名称(「name」)と、所属先の中継サーバの識別情報(「site」)と、が記述されている。なお、クライアント端末が中継通信システム100にログインしていないときは、「site」は空欄となる。
【0037】
なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末13からクライアント端末22にパケットを送信する場合、初めに、クライアント端末13は、自身が接続している中継サーバである中継サーバ1にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ1は、これらの情報に基づいて、クライアント端末22が接続している中継サーバである中継サーバ2へパケットを転送する。そして、このパケットを受信した中継サーバ2がクライアント端末22へパケットを転送する。このようにして、クライアント端末13,22同士で中継通信を行うことができる。
【0038】
この中継サーバ情報に関しても中継グループ情報と同様に、当該中継グループを構成する中継サーバ1,2,3の間で情報が共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。
【0039】
クライアント端末情報記憶部53は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ1,2,3は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。中継サーバ3には、クライアント端末34が所属しているため、中継サーバ3が備えるクライアント端末情報記憶部53には、クライアント端末34についてのクライアント端末情報のみが記憶されている。
【0040】
中継サーバ3のクライアント端末情報記憶部53が記憶するクライアント端末情報は、図5(c)に示されている。同様に、中継サーバ1が記憶するクライアント端末情報が図5(a)に、中継サーバ2が記憶するクライアント端末情報が図5(b)に、それぞれ示されている。
【0041】
図5に示すクライアント端末情報においては、nodeタグが記述されている。このnodeタグには、クライアント端末のプライベートIPアドレス(「addr」)と、所属する中継グループの名称(「group」)と、識別情報(「id」)と、名称(「name」)と、中継サーバにログインするためのパスワード(「pass」)と、ポート情報(「port」)と、が記述されている。
【0042】
VPNグループ情報記憶部54は、中継グループを構成する中継サーバ及びクライアント端末からルーティングポイントとして選択された機器(以下、ルーティング機器と称する)で構成されたVPNグループ(通信グループ)に関する情報であるVPNグループ情報を記憶している。同一のVPNグループに所属するルーティング機器同士でルーティングセッションを確立させることにより、VPNを利用した通信を開始することができる。
【0043】
図6に示すVPNグループ情報においては、vnetタグが記述されている。このvnetタグには、VPNグループ基本情報541と、ルーティングポイント情報542と、ルーティングセッション情報543と、が記述されている。VPNグループ基本情報541には、VPNグループが所属する中継グループの名称(「group」)と、VPNグループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、VPNグループの名称(「name」)と、が記述されている。ルーティングポイント情報542には、VPNグループ間で通信を行うときにルーティングを行うルーティング機器の識別情報が記述されている。図6の例においては、ルーティング機器として、中継サーバ1と、中継サーバ3と、が記述されている。ルーティングセッション情報543には、VPNグループにおいて互いに接続されるルーティング機器が記述されている。ルーティングセッション情報543において、ルーティング機器は、VPNグループでVPNを構築して通信を開始するためのルーティングセッション確立処理において、通信制御を最初に行う側(「sp(start point)」)と、その通信制御を受ける側「ep(end point)」と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング機器を「始点」と、その通信制御を受ける側のルーティング機器を「終点」と、それぞれ称することがある。
【0044】
図6に示すVPNグループ情報からは、VPNグループ(VPN−GROUP1)が、中継サーバ1と中継サーバ3とで構成されることが分かる。また、このVPNグループの開始時には、中継サーバ3から中継サーバ1へルーティングセッションを確立するための通信制御が行われることが分かる。
【0045】
このVPNグループ情報も中継サーバ情報及び中継グループ情報と同様に、同じVPNグループに所属する中継サーバ1,3の間で共有されている。そして、ある中継サーバにおいてVPNグループ情報を変更する処理が行われた場合は、同じVPNグループに所属する他の中継サーバに対してその旨が送信されてVPNグループ情報が更新される。このようにして、VPNグループ情報が動的に共有される。なお、このVPNグループを作成する処理については後述する。
【0046】
アドレスフィルタ情報記憶部55は、VPNを利用したパケットのルーティング制御を行う際に用いられる情報であるアドレスフィルタ情報を記憶する。アドレスフィルタ情報記憶部55は、VPNの構築前においては、中継サーバ3自身がパケットを直接的に送信可能な装置(ルーティング対象装置)を示す情報(中継サーバ3のアドレスフィルタ情報)を記憶する(図7(c)を参照)。なお、アドレスフィルタ情報には、ルーティング対象装置のアドレス(ルーティング対象アドレス)と、ルーティング対象装置の名称と、が含まれる。
【0047】
図7(c)に示す例には、中継サーバ3がパケットを直接的に送信可能な機器が対象端末31,32,33であることが記述されている。なお、図7(a)には、中継サーバ1に予め登録されたアドレスフィルタ情報が示され、図7(b)には、中継サーバ2に予め登録されたアドレスフィルタ情報が示されている。
【0048】
通信設定情報記憶部56は、初期通信設定と現在通信設定で構成される通信設定情報を記憶する。通信設定情報記憶部56は、図7(c)に示すように、初期通信設定と現在通信設定とをルーティング対象アドレスと対応付けて記憶する。初期通信設定とは、前記ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す情報である。現在通信設定とは、VPNを利用した通信が開始した後の前記ルーティング対象アドレスを宛先とした中継通信の許可/禁止の現在の設定を示す情報である。従って、VPNを利用した通信を開始する前では、図7(c)に示すように、現在通信設定は登録されていない。
【0049】
図7(c)に示す例では、対象端末31及び対象端末32の初期通信設定が「許可」であり、対象端末33の初期通信設定が「禁止」であることが記述されている。従って、中継サーバ3が中継サーバ1とルーティングセッションを確立した場合、現在通信設定を変更しない限り、LAN10側から対象端末33へアクセスすることはできない。
【0050】
以下、アドレスフィルタ情報及び初期通信設定を用いて行われる処理について説明する。上述のように、中継サーバ3のアドレスフィルタ情報記憶部55は、VPNを構築する前においては、図7(c)に示すアドレスフィルタ情報のみを記憶している。そして、中継サーバ3は、例えば中継サーバ1とルーティングセッションを確立させるときに、自身に予め登録されたアドレスフィルタ情報(図7(c))のうち、初期通信設定で「許可」とされているルーティング対象アドレスのみを中継サーバ1へ送信するとともに、中継サーバ1からもアドレスフィルタ情報(図7(a))を受信する。そして、中継サーバ3は、中継サーバ1のアドレスフィルタ情報を当該中継サーバ1の識別情報と対応付けてアドレスフィルタ情報記憶部55に記憶する。
【0051】
これにより、中継サーバ3には、図9(a)に示す内容が記憶されることになる。また、中継サーバ1には、図8(a)に示す内容が記憶されることになる。なお、中継サーバ3は対象端末33のアドレスを中継サーバ1へ送信していないので、図8(a)に示すように、中継サーバ1には、対象端末33が登録されていない。従って、LAN10側から対象端末33へのアクセスを行うことができない。なお、以下では、中継サーバ3のアドレスフィルタ情報に含まれるルーティング対象アドレスを第1ルーティング対象アドレスと称し、中継サーバ1のアドレスフィルタ情報に含まれるルーティング対象アドレスを第2ルーティング対象アドレスと称することがある。
【0052】
次に、VPNを利用した通信を行うための準備について説明する。初めに、図10を参照して中継サーバに予め行う設定について説明し、次に、図11を参照してVPNグループを作成するときの流れについて説明する。図10は、予め中継サーバ3に行う設定を示すフローチャートである。図11は、VPNグループを作成する処理を示すフローチャートである。以下では、中継サーバ3を例に挙げて、中継サーバ3に対して行う設定及び中継サーバ3が実行する処理について説明するが、中継サーバ1,2にも同様の設定が行われるとともに、中継サーバ1,2も同様の処理を実行可能であるとする。
【0053】
中継サーバ3に予め行う設定としては、当該中継サーバ3のアドレスフィルタ情報の登録(S101)がある。この登録は、中継通信システム100を利用するユーザが、ルーティング対象装置として指定する機器等のアドレス(第1ルーティング対象アドレス)と、名称と、を所定の方法で入力することにより行う。ここでは、ユーザは、対象端末31,32,33のアドレス及び名称を入力したものとする。ここで登録されたアドレスフィルタ情報は、アドレスフィルタ情報記憶部55に記憶される。
【0054】
次に、ユーザは、前記初期通信設定の登録を行う(S102)。ユーザは、ルーティング対象装置のうち、他のLANからのアクセスを通常は許容しない端末については「禁止」の登録を行い、それ以外の端末については「許可」の登録を行う。本実施形態では、対象端末33に「禁止」が登録され、対象端末31,32に「許可」が登録されたものとする。ここで登録された初期通信設定は、通信設定情報記憶部56に記憶される。
【0055】
次に、VPNグループを作成するときの流れについて説明する。ユーザは、初めに、クライアント端末13,22,34等を操作することによって、VPNグループの設定画面を表示させることができる。ここでは、クライアント端末34を用いて設定を行う場合について説明する。クライアント端末34に表示させた設定画面には、当該クライアント端末34が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、VPNグループを構築したい中継グループを選択する(S201)。
【0056】
中継グループが選択されると、クライアント端末34の画面には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバ及びクライアント端末の識別情報の一覧が表示される(S202)。そして、ユーザは、構築するVPNグループにおいてルーティングポイントとして機能させる中継サーバ及びクライアント端末を選択する(S203)。今回の説明では、中継サーバ1と、中継サーバ3と、がユーザに選択されたものとする。
【0057】
そして、選択された中継サーバの識別情報に基づいて、ルーティングポイントの識別情報及び前記ルーティングセッション情報が作成される(S204)。そして、これらの情報にVPNグループの識別情報等を付加することにより、図6で示したVPNグループ情報が作成される。クライアント端末34は、このVPNグループ情報を、同じVPNグループに所属する中継サーバ1,3へ送信する(S205)。そして、中継サーバ1,3は、受信したVPNグループ情報をVPNグループ情報記憶部54に記憶する。以上により、VPNグループの構築処理が完了する。
【0058】
次に、構築したVPNグループで通信を開始するまでの流れについて、図12から図14までを参照して説明する。図12から図14までは、VPNを利用した通信を開始するまでに行う処理を示すフローチャートである。
【0059】
ユーザは、クライアント端末13又は操作PC11等を操作することによって、構築したVPNグループを画面に表示させることができる。そして、表示されたVPNグループから適当なVPNグループを選択することにより(S301)、VPNを構築するための処理を行わせることができる。今回の説明では、上記で作成したVPNグループ(中継サーバ1,3で構成されるVPNグループ)の開始処理を中継サーバ3が行う例を説明する。
【0060】
中継サーバ3は、自身に対応付けられたアドレスフィルタ情報を読み出す(S302)。そして、アドレスフィルタ情報を構成する第1ルーティング対象アドレスのリストから1つを選択し、当該ルーティング対象アドレスに対応する初期通信設定を読み出す(S303)。次に、中継サーバは、読み出した初期通信設定の内容に従わずに、それとは異なる設定を例外的(一時的)に行う場合の指示を受け付ける(S304)。例えばメンテナンス作業が必要になった等の事情で、初期通信設定を採用せずに異なる設定(今回限りの設定)で通信を行わせたい場合は、ユーザは、所定の操作を中継サーバ3に行うことで、現在通信設定として登録する内容を通信初期設定から変更する指示を行うことができる。次に、中継サーバ3は、S304で受け付けた指示を優先的に考慮しつつ、読み出した初期通信設定の内容を現在通信設定として登録する(S305)。具体的には、S304で変更する指示があった場合は、当該指示に沿うように許可/禁止を現在通信設定として登録し、S304で指示がなかった場合は、初期通信設定の内容を現在通信設定として登録する。次に、中継サーバ3は、第1ルーティング対象アドレスのリストに記述された他の第1ルーティング対象アドレスについてもS304及びS305の処理を行う。以上のようにして、対象端末31,32,33について、初期通信設定が読み出され、現在通信設定として登録される。なお、中継サーバ3は、初期通信設定の内容を変更して登録する指示の受付け(S304)を行わずに、通信設定情報記憶部56が記憶している初期通信設定をそのまま用いてS305の処理を行う構成であっても良い。
【0061】
次に、中継サーバ3は、選択したVPNグループに属するルーティングポイントの読出しを行う(図13のS307)。これにより、図6に示すVPNグループ情報の内容に基づいて、中継サーバ1が読み出される。中継サーバ3は、中継サーバ情報に基づいて、初めに、中継サーバ1がログイン中か否か(「stat」がactiveか空欄か)を判断する(S308)。図4に示す中継サーバ情報によれば中継サーバ1はログイン中であるため、中継サーバ3は、中継サーバ1へVPNグループの識別情報とともに、VPNグループの開始コマンドを送信する(S309)。
【0062】
中継サーバ3は、この開始コマンドに対する中継サーバ1からの応答を受けると(S310)、中継サーバ1を、VPNを構築する準備が完了したルーティングポイントとして登録する(S311)。
【0063】
次に、中継サーバ3は、同じVPNグループに所属する他の機器が有るか否かの判断を行う(S312)。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他の機器は存在しない。なお、仮に他の機器が存在していた場合は、中継サーバ3は、今度は当該機器を対象としてS308〜S311の処理を行う。
【0064】
次に、中継サーバ3は、VPNグループ情報記憶部54の記憶内容からルーティングセッション情報を抽出する(図14のS313)。そして、中継サーバ3は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する(S314)。図6のルーティングセッション情報においては、中継サーバ1と中継サーバ3との間で確立されるべきルーティングセッションにおいて、自身(中継サーバ3)が始点となることが記述されている。
【0065】
そのため、中継サーバ3は、中継サーバ1に対して所定の通信制御を行ってルーティングセッションを確立する(S315)。なお、この通信制御を行う際に、前述のように、アドレスフィルタ情報が交換される。具体的には、中継サーバ3は、現在通信設定で「許可」とされたルーティング対象アドレスのみを抽出し、抽出したルーティング対象アドレスを中継サーバ1へ送信する(S316)。また、中継サーバ3は、中継サーバ1からルーティング対象アドレスを当該中継サーバ1から受信する(S317)。なお、ここで中継サーバ3が受信するルーティング対象アドレスは、図7(a)において、現在通信設定が「許可」とされたルーティング対象アドレスである。従って、中継サーバ3は、操作PC11,12の両方のルーティング対象アドレスを中継サーバ1から受信する。
【0066】
ここで、現在通信設定の内容は、S304で説明した例外的な設定の指示がない限り、初期通信設定の内容と一致する(S305を参照)。従って、S316で抽出されるアドレス(現在通信設定が「許可」になっているルーティング対象アドレス)は、実質的に、初期通信設定が「許可」になっているルーティング対象アドレスであるということができる。
【0067】
以上のようにして、中継サーバ3のアドレスフィルタ情報記憶部55には、図9(a)に示す内容が記憶される。また、中継サーバ1のアドレスフィルタ情報記憶部55には、図8(a)に示す内容が記憶される。
【0068】
このように、本実施形態ではVPNを構築する際に、それぞれのルーティング機器が他のルーティング機器とアドレスフィルタ情報を交換(取得)するため、最新のアドレスフィルタ情報を用いてVPNを構築することができる。従って、VPN開始前の段階で一部のルーティング機器においてアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング機器に反映させた状態でVPNを構築して通信を開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。
【0069】
次に、中継サーバ3は、再びS314の処理を行う。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他のルーティングセッションはVPNグループ情報には記述されていない。従って、中継サーバ3は、パケットのルーティング制御を開始する(S318)。なお、仮に他のルーティングセッションがある場合は、中継サーバ3は、再びS315〜S317の処理を行う。
【0070】
また、図14のフローチャートには記載していないが、S310において自身が接続の始点となるルーティングセッションが無い場合(自身がルーティングの終点となる場合)であっても、始点となるルーティング機器からの通信制御を受けてルーティングセッションの確立処理及びアドレスフィルタ情報の交換が行われる。
【0071】
なお、それぞれのルーティング機器は、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。
【0072】
次に、図15等を参照して、確立したルーティングセッションを用いてパケットのルーティングを行う処理について説明する。図15は、ルーティング制御を示す説明図である。
【0073】
初めに、対象端末31が操作PC11へパケットを送信するときの流れについて説明する。図15(a)に示すように、対象端末31は、宛先アドレスとして、操作PC11のアドレス(200.1.40.10)を指定し、送信元アドレスとして自身のアドレス(192.168.0.10)を指定する。このパケットを受信した中継サーバ3は、パケットの宛先アドレスと、記憶しているアドレスフィルタ情報(図9(a))と、を比較する。そして、宛先アドレスが中継サーバ1と対応付けられていることを認識し、ルーティングセッションを介して、パケットを中継サーバ1へ転送する。
【0074】
このパケットを受信した中継サーバ1は、受信したパケットの宛先アドレスと、記憶しているアドレスフィルタ情報(図8(a))と、を比較する。そして、宛先アドレスが自身(中継サーバ1)と対応付けられていることを認識し、パケットを操作PC11へ送信する。
【0075】
次に、操作PC11から対象端末31へパケットを送信するときの流れについて説明する。この図15(b)に示すように、操作PC11は、宛先アドレスとして対象端末31のアドレス(192.168.0.10)を指定し、送信元アドレスとして自身のアドレス(200.1.40.10)を指定してパケットを送信する。このパケットを受信した中継サーバ1は、受信したパケットの宛先アドレスと、記憶しているアドレスフィルタ情報(図8(a))と、を比較する。そして、宛先アドレスが中継サーバ3と対応付けられていることを認識し、ルーティングセッションを介して、パケットを中継サーバ3へ転送する。
【0076】
このパケットを受信した中継サーバ3は、受信したパケットの宛先アドレスと、記憶しているアドレスフィルタ情報(図9(a))と、を比較する。そして、宛先アドレスが自身(中継サーバ3)と対応付けられていることを認識し、パケットを対象端末31へ送信する。
【0077】
アドレスフィルタ情報を利用したルーティング制御は以上のように行われる。従って、仮に操作PC11から対象端末33へパケットを送信した場合であっても、中継サーバ1は、アドレスフィルタ情報に対象端末33のアドレスが記述されていないため、当該パケットを破棄する。つまり、本実施形態では、操作PC11,12から対象端末33へのアクセスを禁止した状態で、VPNを利用した通信を開始することができる。
【0078】
次に、通信開始後に現在通信設定が切り替えられたときに中継サーバ3が行う処理について図16を参照して説明する。図16は、現在通信設定の許可/禁止が切り替えられたときの処理を示すフローチャートである。
【0079】
以下では、対象端末33の現在通信設定を「禁止」から「許可」へ切り替えるときについて説明する。中継サーバ3は、VPNの構築後において、現在通信設定の切替え指示の有無を監視している(S401)。中継サーバ3は、ユーザから対象端末33の現在通信設定の切替えが指示された場合、指示内容に基づいて現在通信設定の値を切り替える(S402、図9(b)を参照)。従って、中継サーバ3が記憶する現在通信設定は、図9(b)に示すように更新される(鎖線部分を参照)。
【0080】
次に、中継サーバ3は、更新後のアドレスフィルタ情報を、VPNグループを構成する他のルーティング機器(本説明では中継サーバ1)へ送信する(S403)。このとき、中継サーバ3は、アドレスフィルタ情報の変更部分についてのみ中継サーバ1へ送信しても良いし、アドレスフィルタ情報の全体を中継サーバ1へ送信しても良い。
【0081】
中継サーバ1は、中継サーバ3からの通知を受けて、中継サーバ3と対応付けて記憶していたアドレスフィルタ情報を更新する。従って、中継サーバ1が記憶するアドレスフィルタ情報は、図8(b)に示すように更新される(鎖線部分を参照)。これにより、操作PC11,12は、対象端末33へアクセスできる状態になる。
【0082】
また、中継サーバ3は、現在通信設定の切替え指示の有無だけでなく、VPNの終了指示の有無についても監視を行っている(S404)。そして、ユーザによってVPNの終了が指示された場合、中継サーバ3は、VPNを終了する旨を他のルーティング機器(本説明では中継サーバ1)へ送信する等してVPNを終了させる。
【0083】
上述したように、本実施形態では、VPNが構築される毎に、中継サーバ3は、S304で例外的な設定がその都度指示されない限り、S305で、初期通信設定の内容が現在通信設定として登録される。従って、VPNの終了前に対象端末33の現在通信設定が「許可」となっていても、VPNを再構築したときには、対象端末33の現在通信設定は原則として、初期通信設定である「禁止」に強制的に戻ることになる。これにより、対象端末33に対する通信について「許可」の設定が意図せずにされることを防止できるので、セキュリティを向上させることができる。
【0084】
以上に示したように、本実施形態の中継サーバ3は、アドレスフィルタ情報記憶部55と、通信設定情報記憶部56と、制御部60と、を備える。アドレスフィルタ情報記憶部55は、LAN30内に位置し、中継サーバ3がパケットを転送可能なアドレスである第1ルーティング対象アドレスと、LAN10内に位置する中継サーバ1がパケットを転送可能な第2ルーティング対象アドレスと、を記憶する。通信設定情報記憶部56は、中継通信の許可/禁止の初期設定を示す初期通信設定と、現在の設定を示す現在通信設定と、を記憶する。制御部60は、初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを中継サーバ1へ送信するとともに、中継サーバ1から第2ルーティング対象アドレスを受信し、中継サーバ1とルーティングセッションを確立する。制御部60は、初期通信設定の内容を現在通信設定として登録する。制御部60は、第1ルーティング対象装置から第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、ルーティングセッションを介して中継サーバ1へ転送する。制御部60は、ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の第1ルーティング対象装置へ転送する。
【0085】
これにより、対象端末33の初期通信設定を「禁止」としておくことで、対象端末33へのアクセスを禁止にした状態で、VPNを利用した通信を開始できる。従って、(対象端末33へのアクセスを例外的に許可すべき場合を除いて)通信の開始後にユーザが手動で設定を変更する必要がないので、ユーザの手間を軽減することができる。また、ユーザが設定を忘れる等の人為的ミスが起こり得ないので、セキュリティを向上させることができる。
【0086】
また、本実施形態の中継サーバ3は、ルーティングセッションの確立後に現在通信設定が切り替えられたときに、切替後の内容を中継サーバ1へ送信する。
【0087】
これにより、通信の許可/禁止が切り替わった旨を中継サーバ1へ通知することができるので、変更内容を反映した中継通信を行うことができる。
【0088】
また、本実施形態の中継サーバ3において、制御部60は、ルーティングセッションの確立後に現在通信設定が変更された場合であっても、ルーティングセッションの再確立時に現在通信設定を初期通信設定に戻す。
【0089】
これにより、通常はアクセスを受け付けない設定の対象端末33との通信について「許可」の設定が意図せずにされることを防止できるので、セキュリティを向上させることができる。
【0090】
次に、上記実施形態の変形例について図17を参照して説明する。図17は、変形例に係るアドレスフィルタ情報及び通信設定情報の内容を示す図である。
【0091】
本変形例では、上記実施形態の構成を採用しつつ、設定可能な事項を充実させた構成である。具体的には、本変形例では、初期通信設定をVPNの構築相手の中継サーバ毎に設定することができる。
【0092】
この設定は、例えば中継サーバの設置先に基づいて決定することができる。例えば、中継サーバ3の設置先の企業が中継サーバ1の設置先の企業と異なる一方で、中継サーバ3の設置先の企業と中継サーバ2の設置先の企業とが同じであるとする。この場合、対象端末33への通信を中継サーバ1から常に受け付けるとセキュリティ上の観点から問題が生じる可能性がある。一方、対象端末33への通信を中継サーバ2から常に受け付けてもセキュリティ上問題ないことが多い。この場合、図17(a)に示すように、対象端末33の中継サーバ1への初期通信設定を「禁止」とし、中継サーバ2への初期通信設定を「許可」とすることで、上記に対応したVPNを構築することができる。
【0093】
また、中継サーバ毎に初期通信設定を切り替える構成だけでなく、例えばVPNグループ毎に初期通信設定を切替え可能な構成としても良い。例えば、同一の企業同士で構成されるVPNグループには初期通信設定を「許可」として、複数の企業で構成されるVPNグループには初期通信設定を「禁止」とする等の設定方法が考えられる。
【0094】
以上に本発明の好適な実施の形態及び変形例を説明したが、上記の構成は例えば以下のように変更することができる。
【0095】
読み出した初期通信設定の内容に従わない旨の特別な指示の受付け(S304)は、上記実施形態では、ルーティング対象アドレスを1つ登録する度に行われる。しかしながらこれに代えて、最初にルーティング対象アドレスの全てについて初期通信設定を現在通信設定にそのままコピーし、その後に、全てのルーティング対象アドレスについて現在通信設定の内容を例えばリスト形式で表示した上で上記の特別な指示を一括で受け付けるようにしても良い。
【0096】
上記実施形態では、通信を開始する段階において、中継サーバは、初期通信設定の内容を現在通信設定にコピーした上で(S303〜S306)、ルーティング対象アドレスを他の中継サーバに送信するか否かを現在通信設定の内容に基づいて定めている(S316)。しかしながらこれに代えて、中継サーバが、ルーティング対象アドレスを他の中継サーバに送信するか否かを初期通信設定の内容に基づいて定め、その後に、初期通信設定の内容を現在通信設定として登録するように構成しても良い。ただしこの場合も、S304でユーザが特別な指示を行った場合は、それを考慮すべきなのは勿論である。
【0097】
上記では、ルーティングセッションの確立と略同時にアドレスフィルタ情報の交換を行う構成である。これに対し、VPNグループの開始コマンドの送信(S309)とともにアドレスフィルタ情報を送信し、応答(S310)とともにアドレスフィルタ情報を受信する構成でも良い。
【0098】
上記では、操作PC11等の個別の機器がルーティング対象装置となっていたが、例えば、LAN10全体(200.1.40.0/24)を中継サーバ1のルーティング対象装置として設定しても良い。
【0099】
上記では、中継サーバのみがルーティングポイントとして機能する構成であるが、クライアント端末がルーティングポイントとして機能する構成であっても良い。また、VPNグループ内のルーティングポイントの数は2つに限られず、3つ以上であっても良い。また、1つのルーティング機器が複数のVPNグループに所属していても良い。
【0100】
上記の中継グループ情報、中継サーバ情報、クライアント端末情報、VPNグループ情報、アドレスフィルタ情報等を格納する形式はXML形式に限定されず、適宜の形式で各情報を格納することができる。
【0101】
上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。
【符号の説明】
【0102】
1 中継サーバ(第2中継サーバ)
3 中継サーバ(第1中継サーバ)
11,12 操作PC(第2ルーティング対象装置)
31,32,33 対象端末(第1ルーティング対象装置)
10 LAN(第2LAN)
30 LAN(第1LAN)
55 アドレスフィルタ情報記憶部
56 通信設定情報記憶部
60 制御部
100 中継通信システム
【特許請求の範囲】
【請求項1】
第1LAN内に位置しパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
前記第1ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す初期通信設定と現在の設定を示す現在通信設定とを記憶する通信設定情報記憶部と、
制御部と、を備え、
前記制御部は、
前記初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを前記第2中継サーバへ送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記初期通信設定の内容を前記現在通信設定として登録する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
を行うことを特徴とする中継サーバ。
【請求項2】
請求項1に記載の中継サーバであって、
前記ルーティングセッションの確立後に前記現在通信設定が切り替えられたときに、切替後の内容を前記第2中継サーバへ送信することを特徴とする中継サーバ。
【請求項3】
請求項1又は2に記載の中継サーバであって、
前記通信設定情報記憶部は、中継サーバ毎に異なる前記初期通信設定を記憶できることを特徴とする中継サーバ。
【請求項4】
請求項1から3までの何れか一項に記載の中継サーバであって、
複数の中継サーバを含んで構成されるグループであって、同じグループに所属する中継サーバ同士でルーティングセッションを確立させて互いに通信を行うグループを通信グループと称したときに、
前記通信設定情報記憶部は、前記通信グループ毎に異なる前記初期通信設定を記憶できることを特徴とする中継サーバ。
【請求項5】
請求項1から4までの何れか一項に記載の中継サーバであって、
前記制御部は、ルーティングセッションの確立後に前記現在通信設定が変更された場合であっても、ルーティングセッションの再確立時に前記現在通信設定を前記初期通信設定に戻すことを特徴とする中継サーバ。
【請求項6】
第1中継サーバ及び第2中継サーバを含んで構成される中継通信システムにおいて、
第1LAN内に位置する第1中継サーバは、
第1LAN内に位置する当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
前記第1ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す初期通信設定と現在の設定を示す現在通信設定とを記憶する通信設定情報記憶部と、
制御部と、
を備え、
前記第1中継サーバの前記制御部は、
前記初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを前記第2中継サーバへ送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記初期通信設定の内容を前記現在通信設定として登録する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
を行うことを特徴とする中継通信システム。
【請求項1】
第1LAN内に位置しパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
前記第1ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す初期通信設定と現在の設定を示す現在通信設定とを記憶する通信設定情報記憶部と、
制御部と、を備え、
前記制御部は、
前記初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを前記第2中継サーバへ送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記初期通信設定の内容を前記現在通信設定として登録する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
を行うことを特徴とする中継サーバ。
【請求項2】
請求項1に記載の中継サーバであって、
前記ルーティングセッションの確立後に前記現在通信設定が切り替えられたときに、切替後の内容を前記第2中継サーバへ送信することを特徴とする中継サーバ。
【請求項3】
請求項1又は2に記載の中継サーバであって、
前記通信設定情報記憶部は、中継サーバ毎に異なる前記初期通信設定を記憶できることを特徴とする中継サーバ。
【請求項4】
請求項1から3までの何れか一項に記載の中継サーバであって、
複数の中継サーバを含んで構成されるグループであって、同じグループに所属する中継サーバ同士でルーティングセッションを確立させて互いに通信を行うグループを通信グループと称したときに、
前記通信設定情報記憶部は、前記通信グループ毎に異なる前記初期通信設定を記憶できることを特徴とする中継サーバ。
【請求項5】
請求項1から4までの何れか一項に記載の中継サーバであって、
前記制御部は、ルーティングセッションの確立後に前記現在通信設定が変更された場合であっても、ルーティングセッションの再確立時に前記現在通信設定を前記初期通信設定に戻すことを特徴とする中継サーバ。
【請求項6】
第1中継サーバ及び第2中継サーバを含んで構成される中継通信システムにおいて、
第1LAN内に位置する第1中継サーバは、
第1LAN内に位置する当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
前記第1ルーティング対象アドレスを宛先とした中継通信の許可/禁止の初期設定を示す初期通信設定と現在の設定を示す現在通信設定とを記憶する通信設定情報記憶部と、
制御部と、
を備え、
前記第1中継サーバの前記制御部は、
前記初期通信設定で許可とされた第1ルーティング対象アドレスを抽出し、抽出した第1ルーティング対象アドレスを前記第2中継サーバへ送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記初期通信設定の内容を前記現在通信設定として登録する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
を行うことを特徴とする中継通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2013−115780(P2013−115780A)
【公開日】平成25年6月10日(2013.6.10)
【国際特許分類】
【出願番号】特願2011−263034(P2011−263034)
【出願日】平成23年11月30日(2011.11.30)
【出願人】(000006297)村田機械株式会社 (4,916)
【Fターム(参考)】
【公開日】平成25年6月10日(2013.6.10)
【国際特許分類】
【出願日】平成23年11月30日(2011.11.30)
【出願人】(000006297)村田機械株式会社 (4,916)
【Fターム(参考)】
[ Back to top ]