[go: up one dir, main page]

JP5504940B2 - 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム - Google Patents

仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム Download PDF

Info

Publication number
JP5504940B2
JP5504940B2 JP2010024696A JP2010024696A JP5504940B2 JP 5504940 B2 JP5504940 B2 JP 5504940B2 JP 2010024696 A JP2010024696 A JP 2010024696A JP 2010024696 A JP2010024696 A JP 2010024696A JP 5504940 B2 JP5504940 B2 JP 5504940B2
Authority
JP
Japan
Prior art keywords
virtual private
private network
server
communication path
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010024696A
Other languages
English (en)
Other versions
JP2011166312A (ja
Inventor
雄司 横山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010024696A priority Critical patent/JP5504940B2/ja
Publication of JP2011166312A publication Critical patent/JP2011166312A/ja
Application granted granted Critical
Publication of JP5504940B2 publication Critical patent/JP5504940B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、VPN(Virtual Private Network:仮想プライベートネットワーク)システムに関する。
中継サーバを使用したVPNシステムの一例が、特許文献1に記載されている。図18は、特許文献1に開示されたシステムに関連するVPNシステムの構成図である。図18に示されるように、このVPNシステムに含まれるネットワークは、インターネットR1と、第1ネットワークR2と、第2ネットワークR4とである。また、第2ネットワークとインターネットR1との間にはルータR5(NAT機能付き)が設置され、インターネットR1と第1ネットワークR2との間にはファイアウォールR3(NAT機能付き)が設置される。第1ネットワークR2は、ファイアウォールR3及びハブR24(HUB)を介して接続された、インターネットR1側とのVPN接続用の認証機能を有するVPNサーバR21と、業務サーバR23と、メールサーバR29を備える。インターネットR1は、メールサーバR10と、中継サーバR11とを備える。第2ネットワークR4は、通信端末R41を備える。
このような構成を有する図18のVPNシステムは次のように動作する。まず、通信端末R41が接続情報要求を中継サーバR11へ送信する。中継サーバR11は、接続を一意に識別するための情報(識別情報)を、通信端末R41に送信する。すると、通信端末R41は、TCPコネクションを中継サーバR11へ張る。次に、通信端末R41は、制御メールを、VPNサーバR21に対して予め設定されているメールアドレス宛てに送信する。制御メールは、まずメールサーバR10に送信され、メールサーバR10からメールサーバR29へ転送される。制御メールには、VPN接続要求の識別情報を含が含まれる。通信端末R41は、例えば、制御メールのヘッダ部分に、VPN接続要求の識別情報を埋め込んでも良い。このように識別情報が含められることによって、制御メールと通常の電子メールとの識別が可能となる。さらに、中継サーバR11のIPアドレス、中継サーバR11から取得した接続を一意に識別するための情報等、第1ネットワークR2側から通信端末R41に対してVPN接続を行う為に必要な情報が制御メールに付加される。
VPNサーバR21は、定期的にメールサーバR29にアクセスし、自己宛電子メールが到達しているか否かを問い合わせる。自己宛電子メールが到達している場合、VPNサーバR21は、当該電子メールを取り込み、制御メールか否かを判別する。自己宛電子メールが制御メールである場合、VPNサーバR21の制御メール受信アプリケーションは、メールサーバR29に対し、当該制御メールを削除するよう命令する。また、制御メール受信アプリケーションは、中継サーバR11に対しTCPコネクションを確立し、一意に識別するための情報を含めた接続完了メッセージを送信する。中継サーバR11は、VPNサーバR21からの接続完了メッセージに含まれる識別情報と、通信端末R41との間の識別情報とに基づいて、双方からのTCPコネクションを結びつける。そして、中継サーバR11は、接続完了メッセージを通信端末R41へ送信する。通信端末R41は、中継サーバR11を介してVPNサーバR21と暗号化情報を交換する。そして、通信端末R41は、この暗号化情報を用いて、ユーザIDやパスワードを暗号化し、VPNサーバR21に送信する。以上の処理によって、通信端末R41とVPNサーバR21との間でVPN接続が確立する。VPN接続が確立すると、第2ネットワークR4にある通信端末R41は、VPNサーバR21を経由して、第1ネットワークR1内にある業務サーバR23に対してアクセスすることが可能になる。
上記方式の利点は、VPNコネクションが、第1ネットワークR2にあるVPNサーバR21からインターネットR1にある中継サーバR11への方向で確立されることである。すなわち、このようにVPNコネクションが確立されるため、既存のファイアウォールR3の設定を変更することなく、VPNシステムを導入できることにある。しかしながら、メールサーバR10及びメールサーバR29は既存のものを使用できるために導入しやすいという利点はあるものの、制御メールの伝送には遅延が生じることがある。そのため、VPN接続が完了するまでに時間がかかることがあった。そこで、接続要求の転送を、メールを利用した手段ではなく、中継サーバR11を利用するようにしたシステムが考案され、商品化された。
図19は、中継サーバR11を利用してVPNコネクションを確立するためのVPNシステムの構成図である。図19に示されるVPNシステムに含まれるネットワークは、インターネットR1と、第1ネットワークR2と、第2ネットワークR4とである。また、第2ネットワークR4とインターネットR1との間にはルータR5(NAT機能付き)が設置され、インターネットR1と第1ネットワークR2との間にはファイアウォールR3(NAT機能付き)が設置される。第1ネットワークR2は、ファイアウォールR3及びハブR24(HUB)を介して接続された、インターネットR1側とのVPN接続用の認証機能を有するVPNサーバR21と、業務サーバR23と、を備える。インターネットR1は、中継サーバR11を備える。第2ネットワークR4は、通信端末R41を備える。
以下、図19のVPNシステムの動作について説明する。図20は、図19のVPNシステムにおけるVPNサーバR21と中継サーバR11との間の通信の概略を示す図である。第1ネットワークR2の外部から、第1ネットワークR2内にあるVPNサーバR21に対して接続要求を届けるためには、通常、ファイアウォールR3の設定を変更しなければならない。この設定変更を不要にするため、図19のVPNシステムでは、第1ネットワークR2にあるVPNサーバR21から、インターネットR1にある中継サーバR11に対してコネクション(図20の常設コネクション)を張っておく。すなわち、この常設コネクションは、接続要求の転送用のコネクションとなる。そして、中継サーバR11は、常設コネクションを通して、通信端末R41からの接続要求をVPNサーバR21へ転送する。
中継サーバR11は、443番ポートで接続を待ち受ける。VPNサーバR21には、予め中継サーバR11のIPアドレスが設定されている。VPNサーバR21は、起動すると、中継サーバR11へTCP接続で443ポート宛にコネクション(常設コネクション)を張る。常設コネクションが確立されると、VPNサーバR21は、通信が可能であるか否かを確認するため、定期的に生存確認メッセージを中継サーバR11へ常設コネクションを通して送信する。中継サーバR11は、生存確認メッセージを受信すると、生存確認応答を、送信元のVPNサーバR21へ常設コネクションを通して送信する。VPNサーバR21は、生存確認メッセージの送信に連続して失敗した場合、または送信は成功したものの中継サーバR11からの応答(生存確認応答)が受信されなかった場合は、中継サーバR11に対して常設コネクションを張り直す。
図21は、図19のVPNシステムにおけるVPN接続(VPNコネクション)の確立処理の概略を示す図である。まず、通信端末R41は、中継サーバR11へ接続要求メッセージ送信用の第1TCPコネクションを確立する。通信端末R41は、VPNサーバR21からVPNコネクションを張るために必要な情報(例えばクライアント識別情報など)を含んだ接続要求メッセージを作成する。そして、通信端末R41は、中継サーバR11に対し、接続要求メッセージを、第1TCPコネクションを通して送信する。この第1TCPコネクションが、従来のメールの代替になるものである。また、通信端末R41は、VPN接続用の第2TCPコネクションも中継サーバR11に対して張る。中継サーバR11は、第1TCPコネクションを通して接続要求メッセージを受信すると、受信した接続要求メッセージを、常設コネクションを通してVPNサーバR21へ転送する。VPNサーバR21は、接続要求メッセージを受信すると、中継サーバR11へ個別コネクションを張る。そして、中継サーバR11は、第2TCPコネクションと個別コネクションとを利用して、通信端末R41からVPNサーバR21へのVPNコネクションを確立する。
図22は、図19のVPNシステムに関連する他のVPNシステムの構成図である。図22のVPNシステムでは、第2ネットワークR4に複数の通信端末R41(R41−1及びR41−2)が接続され、それぞれがVPNサーバR21に接続されている。VPNでは、VPNサーバ/クライアント間で通信するすべてのデータは暗号化/復号化される。通信端末R41から業務サーバR28(R28−1又はR28−2)へデータが送信される場合、通信端末R41にインストールしてあるVPN用アプリケーションがデータを暗号化して送信する。送信されたデータは、VPNサーバR21によって復号化されてから、第1ネットワークR2にある宛先の業務サーバR28へ送信される。逆に、第1ネットワークR2にある業務サーバR28から通信端末R41へデータが送信される場合、まず業務サーバR28がVPNサーバR21へデータを送信する。VPNサーバR21は、データを暗号化してから、通信端末R41へ送信する。そして、通信端末R41にインストールしてあるVPN用アプリケーションが、データの復号化を行う。
特開2008−028996号公報
同時にVPN接続している通信端末R41の台数が多くなると、VPNサーバR21には通信の暗号化/復号化の処理のために大きな負荷がかかる。そのため、VPNサーバR21における暗号化/復号化処理が、VPN通信のボトルネックになってしまうという問題があった。また、VPNサーバR21に接続されているLANの容量を多数のVPNクライアント(通信端末R41)で共有することになるため、1台の通信端末R41当たりの通信容量が抑えられてしまうという問題もあった。
上記事情に鑑み、本発明は、上記のようなVPN通信におけるボトルネックの発生を軽減できる技術を提供することを目的としている。
本発明の一態様は、複数台の仮想プライベートネットワークサーバと、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムであって、前記仮想プライベートネットワークサーバは、自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知部、を備え、前記中継サーバは、前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶部と、前記負荷状況の通知を受けると、前記記憶部に記憶される負荷状況を更新する更新部と、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶部に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記仮想プライベートネットワークサーバを選択し、選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続部と、を備え、前記仮想プライベートネットワークサーバは、自装置と前記中継サーバとの間に第一通信路を確立する第一通信路確立部と、前記第一通信路を用いて前記中継サーバから接続要求を受信すると、自装置と前記中継サーバとの間に第二通信路を確立する第二通信路確立部と、をさらに備え、前記通知部は、前記第一通信路を用いて、前記負荷状況を前記中継サーバへ通知し、前記中継サーバの前記接続部は、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第一通信路を用いて、選択された仮想プライベートネットワークサーバへ前記接続要求を送信し、当該仮想プライベートネットワークサーバとの間の前記第二通信路を用いて前記通信路を確立することを特徴とする。
本発明の一態様は、複数台の仮想プライベートネットワークサーバと、前記複数台の仮想プライベートネットワークサーバを管理する管理装置と、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムであって、前記仮想プライベートネットワークサーバは、自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知部、を備え、前記管理装置は、前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶部と、前記負荷状況の通知を受けると、前記記憶部に記憶される負荷状況を更新する更新部と、前記中継サーバから接続要求を受信すると、前記記憶部に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記仮想プライベートネットワークサーバを選択する選択部と、を備え、前記中継サーバは、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記管理装置へ接続要求を転送し、前記管理装置によって選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続部と、を備えることを特徴とする。
本発明の一態様は、複数台の仮想プライベートネットワークサーバと、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムが行う通信方法であって、前記仮想プライベートネットワークサーバが、自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知ステップと、前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶装置を備える前記中継サーバが、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、前記中継サーバは、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記仮想プライベートネットワークサーバを選択し、選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、を備え、前記仮想プライベートネットワークサーバが、自装置と前記中継サーバとの間に第一通信路を確立する第一通信路確立ステップと、前記仮想プライベートネットワークサーバが、前記第一通信路を用いて前記中継サーバから接続要求を受信すると、自装置と前記中継サーバとの間に第二通信路を確立する第二通信路確立部ステップと、をさらに備え、前記仮想プライベートネットワークサーバが、前記通知ステップにおいて、前記第一通信路を用いて、前記負荷状況を前記中継サーバへ通知し、前記中継サーバが、前記接続ステップにおいて、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第一通信路を用いて、選択された仮想プライベートネットワークサーバへ前記接続要求を送信し、当該仮想プライベートネットワークサーバとの間の前記第二通信路を用いて前記通信路を確立することを特徴とする。
本発明の一態様は、複数台の仮想プライベートネットワークサーバと、前記複数台の仮想プライベートネットワークサーバを管理する管理装置と、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムが行う通信方法であって、前記仮想プライベートネットワークサーバが、自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知ステップと、前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶装置を備える前記管理装置が、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、前記管理装置が、前記中継サーバから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記仮想プライベートネットワークサーバを選択する選択ステップと、前記中継サーバが、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記管理装置へ接続要求を転送し、前記管理装置によって選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、を備えることを特徴とする。
本発明の一態様は、複数台の第一コンピュータと、仮想プライベートネットワーククライアントからの接続要求に応じて前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する第二コンピュータと、を備える仮想プライベートネットワークシステムにおいて、前記第一コンピュータに対し、自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知ステップ、を実行させ、前記負荷状況を前記第一コンピュータ毎に記憶する記憶装置を備える前記第二コンピュータに対し、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記第一コンピュータを選択し、選択された前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、を実行させ、前記第一コンピュータに対し、自装置と前記第二コンピュータとの間に第一通信路を確立する第一通信路確立ステップと、前記第一通信路を用いて前記第二コンピュータから接続要求を受信すると、自装置と前記第二コンピュータとの間に第二通信路を確立する第二通信路確立部ステップと、をさらに実行させ、前記第一コンピュータが、前記通知ステップにおいて、前記第一通信路を用いて、前記負荷状況を前記第二コンピュータへ通知し、前記第二コンピュータが、前記接続ステップにおいて、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第一通信路を用いて、選択された第一コンピュータへ前記接続要求を送信し、当該第一コンピュータとの間の前記第二通信路を用いて前記通信路を確立するためのコンピュータプログラムである。
本発明の一態様は、複数台の第一コンピュータと、前記複数台の第一コンピュータを管理する第三コンピュータと、仮想プライベートネットワーククライアントからの接続要求に応じて前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する第二コンピュータと、を備える仮想プライベートネットワークシステムにおいて、前記第一コンピュータに対し、自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知ステップ、を実行させ、前記負荷状況を前記第一コンピュータ毎に記憶する記憶装置を備える前記第三コンピュータに対し、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、前記第二コンピュータから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記第一コンピュータを選択する選択ステップと、を実行させ、前記第二コンピュータに対し、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第三コンピュータへ接続要求を転送し、前記第三コンピュータによって選択された前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、を実行させるためのコンピュータプログラムである。
本発明により、VPN通信におけるボトルネックの発生を軽減することが可能となる。
第一実施形態のVPNシステムのシステム構成を表す図である。 中継サーバのシステム構成を表す概略ブロック図である。 グループ設定ファイルの具体例を表す。 常設コネクション管理テーブルの具体例を表す図である。 VPNサーバのシステム構成を表す概略ブロック図である。 通信端末のシステム構成を表す概略ブロック図である。 中継サーバとVPNサーバとの間で行われる通信の概略を表す図である。 第一実施形態のVPNシステムの処理の流れを表すシーケンス図である。 第二実施形態のVPNシステムのシステム構成を表す図である。 中継サーバのシステム構成を表す概略ブロック図である。 第二実施形態のグループ設定ファイルの具体例を表す。 第二実施形態の常設コネクション管理テーブルの具体例を表す図である。 VPNサーバマネージャのシステム構成を表す概略ブロック図である。 マネージャ用常設コネクション管理テーブルの具体例を表す図である。 VPNサーバのシステム構成を表す概略ブロック図である。 中継サーバとVPNサーバマネージャとの間で行われる通信、及び、VPNサーバマネージャとVPNサーバとの間で行われる通信それぞれの概略を表す図である。 第二実施形態のVPNシステムの処理の流れを表すシーケンス図である。 特許文献1に開示されたシステムに関連するVPNシステムの構成図である。 中継サーバを利用してVPNコネクションを確立するためのVPNシステムの構成図である。 図19のVPNシステムにおけるVPNサーバと中継サーバとの間の通信の概略を示す図である。 図19のVPNシステムにおけるVPN接続(VPNコネクション)の確立処理の概略を示す図である。 図19のVPNシステムに関連する他のVPNシステムの構成図である。
[第一実施形態]
図1は、第一実施形態のVPN(Virtual Private Network)システムのシステム構成を表す図である。第一実施形態のVPNシステムは、ネットワークとして、インターネット1、第1ネットワーク2、第2ネットワーク4を備える。第2ネットワーク4とインターネット1との間にはルータ5が設置される。インターネット1と第1ネットワーク2との間には、ファイアウォール3が設置される。ファイアウォール3及びルータ5は、NAT(Network Address Translation)機能を有している。インターネット1には、中継サーバ11が接続される。第1ネットワーク2内には、HUB24(ハブ24)、3台のVPNサーバ21(21−1,21−2,21−3)、認証サーバ22、業務サーバ23が接続される。第2ネットワーク4内には通信端末41が接続される。第1ネットワーク2と第2ネットワーク4とは、インターネット1を介して通信可能に接続される。なお、第一実施形態のVPNシステムにおいて、1台の中継サーバ11に複数の第1ネットワーク2が接続されても良い。
認証サーバ22は、第1ネットワーク2に対してVPN接続を行うユーザの認証を行う。業務サーバ23は、通信端末41のユーザが所定の業務を行うために接続するサーバ装置である。HUB24は、VPNサーバ21−1〜21−3、認証サーバ22、及び業務サーバ23と、ファイアウォール3とを接続する通信装置である。通信端末41は、VPNシステムにおけるVPNクライアントとして動作する情報処理装置である。
図2は、中継サーバ11のシステム構成を表す概略ブロック図である。中継サーバ11は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、中継プログラムを実行することによって、送受信部111、設定ファイル記憶部112、管理テーブル記憶部113、常設コネクション管理部114、コネクション接続部115を備える装置として機能する。なお、中継サーバ11の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。
送受信部111は、NIC(Network Interface Card)等のネットワークインタフェースを用いて構成される。送受信部111は、インターネット1を経由して他の通信装置とデータの送受信を行う。
設定ファイル記憶部112は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、グループ設定ファイルを記憶する。図3は、グループ設定ファイルの具体例を表す。グループ設定ファイルは、予め設定されたVPNグループ毎に、認証サーバ情報と、当該VPNグループに含まれるVPNサーバ21のIPアドレス及びホスト名とが記録される。図3には、VPNグループとして、Group1及びGroup2に関する情報が図示されている。Group1を例にして、グループ設定ファイルに設定される情報について説明する。“auth−server=”に続いて記述されている数字“192.168.1.10”が、認証サーバのIPアドレスを表す。また、“IP Address”の文字列の下方に記述される3行の数字“192.168.1.11”、 “192.168.1.12”、 “192.168.1.13”が、それぞれ当該VPNグループに含まれるVPNサーバ21のIPアドレスを表す。また、“hostname”の文字列の下方に記述される3行の文字列が、それぞれ各IPアドレスのVPNサーバ21のホスト名を表す。グループ設定ファイルは、例えばグループ名をファイル名とし、グループ毎に別ファイルとして構成されても良い。また、グループ設定ファイルは、各グループの情報が1つのファイルにまとめて記述されても良い。
管理テーブル記憶部113は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、常設コネクション管理ファイルを記憶する。常設コネクション管理ファイルには、常設コネクション管理テーブルが記述されている。図4は、常設コネクション管理テーブルの具体例を表す図である。常設コネクション管理テーブルには、中継サーバ11に接続されているVPNサーバ21毎に、所属するVPNグループの名称、IPアドレス、ホスト名、負荷状況が格納される。負荷状況とは、VPNサーバ21に生じている負荷に関する情報であり、例えばCPU負荷(CPU使用率(%))、接続されているVPNクライアントの数、ネットワーク利用帯域情報(Mbps)等の情報である。
常設コネクション管理部114は、自装置(中継サーバ11)に対して確立される常設コネクションについての管理を行う。常設コネクション管理部114は、新たに自装置に対してVPNサーバ21から常設コネクションが確立された場合には、新たな常設コネクションの対向側に位置するVPNサーバ21に関する情報を、管理テーブル記憶部113の常設コネクション管理テーブルに新規に登録する。また、常設コネクション管理部114は、VPNサーバ21から生存確認メッセージを受信すると、生存確認メッセージに含まれる負荷状況の情報を用いて、管理テーブル記憶部113に記憶される常設コネクション管理テーブルの負荷状況の情報を更新する。また、常設コネクション管理部114は、生存確認メッセージの送信元であるVPNサーバ21に対して、生存確認応答メッセージを送信する。
コネクション接続部115は、管理テーブル記憶部113に記憶される常設コネクション管理テーブルの内容に応じて、VPNコネクションの接続先となるVPNサーバ21を選択する。具体的には、コネクション接続部115は、最も負荷が低いVPNサーバ21を選択する。そして、コネクション接続部115は、選択されたVPNサーバ21とVPNクライアント(通信端末41)との間でVPNコネクションを確立させる処理を行う。
最も負荷が低いVPNサーバ21は、常設コネクション管理テーブルに登録されている
負荷状況の値全てに基づいて判断されても良いし、負荷状況の値の一部に基づいて判断さ
れても良い。また、具体的にどのように負荷が低いかを判定するかは、設計者や管理者に
よって適宜設計される。例えば、コネクション接続部115は、ネットワーク利用帯域情
報の値を、接続されているVPNクライアントの数で除算する。そして、コネクション接
続部115は、算出された値(VPNクライアント1台当たりのネットワーク利用帯域(
Mbps))が最のVPNサーバ21を、最も負荷が低いVPNサーバ21として選択
しても良い。
図5は、VPNサーバ21のシステム構成を表す概略ブロック図である。VPNサーバ21は、バスで接続されたCPUやメモリや補助記憶装置などを備え、VPNサーバ用プログラムを実行することによって、送受信部211、常設コネクション確立部212、生存確認管理部213、個別コネクション確立部214、VPN制御部215を備える装置として機能する。なお、VPNサーバ21の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
送受信部211は、NIC等のネットワークインタフェースを用いて構成される。送受信部211は、第1ネットワーク2を経由して他の通信装置とデータの送受信を行う。
常設コネクション確立部212は、予め中継サーバ11のIPアドレスを記憶しており、中継サーバ11との間で常設コネクションを確立させる。
生存確認管理部213は、所定のタイミングで生存確認メッセージを生成し、中継サーバ11に対し送信する。生存確認メッセージは、中継サーバ11に対して生存確認応答メッセージの返信を要求するメッセージと、自装置(VPNサーバ21)の負荷状況を表すメッセージとを含む。また、生存確認管理部213は、中継サーバ11から、生存確認メッセージに対する生存確認応答メッセージを受信する。
個別コネクション確立部214は、VPNクライアント(通信端末41)から接続要求メッセージを受信すると、中継サーバ11との間でTCPコネクションを確立する。個別コネクション確立部214によって確立されるTCPコネクションは、接続要求メッセージの送信元である通信端末41との間のVPNコネクションの一部として用いられるコネクションである。以下、このTCPコネクションを「個別コネクション」という。
VPN制御部215は、いわゆる従来のVPNサーバとしての処理を行う。具体的には、VPN制御部215は、VPNクライアント(通信端末41)との間で確立したVPNコネクションを通じて、VPNサービスをVPNクライアントに提供する。例えば、VPN制御部215は、VPNクライアントが、第1ネットワーク2内の業務サーバ23にVPNによってアクセスしてデータの送受信を行うことを可能とする。
図6は、通信端末41のシステム構成を表す概略ブロック図である。通信端末41は、バスで接続されたCPUやメモリや補助記憶装置などを備え、VPNクライアント用プログラムを実行することによって、送受信部411、第1コネクション確立部412、第2コネクション確立部413、認証要求部414、VPN制御部415を備える装置として機能する。なお、通信端末41の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
送受信部411は、NIC等のネットワークインタフェースを用いて構成される。送受信部411は、第2ネットワーク4を経由して他の通信装置とデータの送受信を行う。
第1コネクション確立部412は、予め中継サーバ11のIPアドレスを記憶しており、中継サーバ11との間で第1TCPコネクションを確立させる。第1TCPコネクションは、通信端末41から中継サーバ11に対し接続要求メッセージを送信する際に用いられるコネクションである。また、第1コネクション確立部412は、第1TCPコネクションを通して接続要求メッセージを中継装置11へ送信する。接続要求メッセージには、VPNクライアントに対してVPNサーバ21がVPNコネクションを確立するために必要な情報を含む。具体的には、接続要求メッセージは、通信端末41が接続を希望するVPNグループの識別情報(例えばグループ名)、通信端末41の識別情報などを含む。
第2コネクション確立部413は、予め中継サーバ11のIPアドレスを記憶しており、中継サーバ11との間で第2TCPコネクションを確立させる。第2TCPコネクションは、通信端末41とVPNサーバ21との間のVPNコネクションの一部として用いられるコネクションである。
認証要求部414は、認証要求メッセージを作成する。認証要求メッセージは、認証サーバ22において認証を受けるために必要となるユーザ名及びパスワードを含む。認証要求部414は、予め中継サーバ11のIPアドレスを記憶しており、中継サーバ11へ認証要求メッセージを送信する。
VPN制御部415は、いわゆる従来のVPNクライアントとしての処理を行う。具体的には、VPN制御部415は、VPNサーバ(VPNサーバ21)との間で確立したVPNコネクションを通じて、第1ネットワーク2内の通信装置にアクセスする。例えば、VPN制御部415は、VPNサーバ21を介して、第1ネットワーク2内の業務サーバ23にVPNによってアクセスしてデータの送受信を行う。
図7は、中継サーバ11とVPNサーバ21との間で行われる通信の概略を表す図である。VPNサーバ21の常設コネクション確立部212は、中継サーバ11へTCP接続で所定のポートに対し常設コネクションを確立する。所定のポートとは、予め設定されたポートであり、例えば443番ポートなどである。常設コネクションの確立は、例えばVPNサーバ21の電源が投入され起動した直後に行われても良いし、管理者によって確立指示が入力された際に行われても良いし、他のタイミングに行われても良い。この常設コネクションを通じて、VPNサーバ21の生存確認管理部213は生存確認メッセージを中継サーバ11へ送信する。また、中継サーバ11の常設コネクション管理部114は、VPNサーバ21から生存確認メッセージを受信すると、常設コネクションを通じて、VPNサーバ21に対し生存確認応答メッセージを送信する。
図8は、第一実施形態のVPNシステムの処理の流れを表すシーケンス図である。まず、中継サーバ11は、所定のポート(443番ポート)で、VPNサーバ21−1〜21−3からの接続を待ち受ける。各VPNサーバ21−1〜21−3の常設コネクション確立部212は、予め中継サーバ11のIPアドレスを記憶している。各VPNサーバ21−1〜21−3の常設コネクション確立部212は、中継サーバ11に対して常設コネクションを確立する(ステップS101−1〜S101−3)。
中継サーバ11の常設コネクション管理部114は、各VPNサーバ21−1〜21−3からの常設コネクションの接続を受け付けると、接続元のVPNサーバ21−1〜21−3のIPアドレス及びホスト名を常設コネクション管理テーブルに登録する。なお、常設コネクションの確立の際に、中継サーバ11の常設コネクション管理部114は、各VPNサーバ21−1〜21−3について認証を行うように構成されても良い。このように構成されることによって、中継サーバ11に不正にVPNサーバ等の装置が接続することを防止できる。
次に、各VPNサーバ21−1〜21−3の生存確認管理部213は、通信が可能であることを確認するため、所定のタイミングで生存確認メッセージを中継サーバ11へ送信する(ステップS102−1〜S102−3)。このとき、各生存確認管理部213は、常設コネクションを通して、生存確認メッセージを送信する。中継サーバ11の常設コネクション管理部114は、生存確認メッセージを受信すると、送信元のVPNサーバ21−1〜21−3に対し生存確認応答メッセージを送信する(ステップS103−1〜S103−3)。このとき、常設コネクション管理部114は、常設コネクションを通して生存確認応答メッセージを送信する。また、常設コネクション管理部114は、受信された生存確認メッセージに含まれる負荷状況の情報を用いて、常設コネクション管理テーブルを更新する。
各VPNサーバ21−1〜21−3の生存確認管理部213は、生存確認メッセージの送信に連続して失敗した場合や、送信は成功したものの中継サーバ11から生存確認応答メッセージを所定時間内に受信できなかった場合には、常設コネクション確立部212に対しエラー通知を行う。常設コネクション確立部212は、生存確認管理部213からエラー通知を受けると、中継サーバ11に対し常設コネクションを確立し直す。
次に、VPNクライアントとなる通信端末41がVPNコネクションを確立する処理について説明する。まず、通信端末41の第1コネクション確立部412が、中継サーバ11に対し第1TCPコネクションを確立する。そして、第1コネクション確立部は、接続要求メッセージを作成し、中継サーバ11に対し第1TCPコネクションを通じて送信する(ステップS104)。
また、通信端末41の第2コネクション確立部413は、ステップS104の処理の後又は並行して、中継サーバ11に対し第2TCPコネクションを確立する(ステップS105)。
中継サーバ11のコネクション接続部115は、第1TCPコネクションを通じて接続要求メッセージを受信すると、管理テーブル記憶部113の常設コネクション管理テーブルを参照する。そして、コネクション接続部115は、受信された接続要求メッセージに含まれるVPNグループの名称が、常設コネクション管理テーブルに登録されているか否か判定する。VPNグループの名称が登録されている場合は、コネクション接続部115は、当該VPNグループに所属しているVPNサーバ21の中から、最も負荷が低いVPNサーバ21を選択する。コネクション接続部115は、選択されたVPNサーバ21(21−1)に対し、常設コネクションを通じて接続要求メッセージを転送する(ステップS106)。
VPNサーバ21−1の個別コネクション確立部214は、中継サーバ11から接続要求メッセージを受信すると、通信端末41へのVPNコネクションを確立するために必要な情報を、受信した接続要求メッセージから取得する。そして、個別コネクション確立部214は、接続要求メッセージを中継サーバ11に送信することによって、個別コネクションを中継サーバ11との間で確立する(ステップS107)。
中継サーバ11のコネクション接続部115は、通信端末41から受信された接続要求メッセージと、VPNサーバ21−1から受信された接続要求メッセージとに含まれている情報をそれぞれ参照し、第2TCPコネクション及び個別コネクションを結びつける。この処理によって、コネクション接続部115は、通信端末41とVPNサーバ21−1間の通信路を確立する。コネクション接続部115は、通信路の確立が完了すると、第2TCPコネクションを通じて、通信端末41へ接続完了メッセージを送信する(ステップS108)。
通信端末41のVPN制御部415は、中継サーバ11から接続完了メッセージを受信すると、認証要求部414に対し認証処理を開始することを指示する。認証要求部414は、VPN制御部415からの指示に応じて、認証要求メッセージを作成し、中継サーバ11へ送信する(ステップS109)。
中継サーバ11のコネクション接続部115は、通信端末41から認証要求メッセージを受信すると、グループ設定ファイルを参照し、該当するVPNグループの認証サーバ22のIPアドレスを検索する。そして、コネクション接続部115は、VPNサーバ21−1を経由して、認証要求メッセージを認証サーバ22へ転送する(ステップS110)。このとき、中継サーバ11とVPNサーバ21−1との間は、認証要求メッセージは個別コネクションを通って送受信される。
認証サーバ22は、認証要求メッセージを受信すると、認証要求メッセージに含まれるユーザ名及びパスワードに基づいて認証処理を行う。そして、認証サーバ22は、認証結果を表す認証結果通知メッセージを作成し、中継サーバ11へ送信する(ステップS111)。中継サーバ11は、認証結果通知メッセージをVPNサーバ21−1へ転送する(ステップS112)。VPNサーバ21−1のVPN制御部215は、受信された認証結果通知メッセージが表す認証結果の内容に基づいて、通信端末41からのアクセスの許否を判断する。具体的には、認証結果の内容が、通信端末41のユーザが正当なユーザであることを表す場合には、VPN制御部215は、通信端末41との間でVPNコネクションを確立する。このとき、VPN制御部215は、中継サーバ11によって既に接続されている第2TCPコネクション及び個別コネクションを用いて、VPNコネクションを確立する。そして、VPNサーバ21−1のVPN制御部215は、通信端末41と、第1ネットワーク2内の業務サーバ23との間の通信を中継する(ステップS113)。一方、認証結果の内容が、通信端末41のユーザが正当なユーザではないことを表す場合には、VPN制御部215は、VPNコネクションを確立せず、通信端末41と第1ネットワーク2内の業務サーバ23との間の通信を中継しない。
第一実施形態のVPNシステムでは、VPNサーバ21の負荷状況が所定のタイミングで中継サーバ11へ通知される。そして、中継サーバ11は、新たなVPNコネクションの接続要求があった際に、最も負荷が低いVPNサーバ21とVPNクライアント(通信端末41)との間でVPNコネクションを確立する。そのため、特定のVPNサーバ21に対して負荷が集中してしまうことを抑止できる。したがって、VPNサーバ21においてVPN通信のボトルネックが生じてしまうことを抑止できる。
また、通信端末41のユーザは、より多くのネットワーク帯域を利用することが可能となる。その理由は以下のとおりである。通信端末41のユーザが利用できるネットワーク帯域は、VPNサーバ21に接続されているLANケーブルの容量を最大値として、VPNサーバ21に接続している各通信端末41で分け合う形になる。そのため、上記のように特定のVPNサーバ21に対して負荷が集中してしまうことを抑止することによって、各通信端末41に割り当てられるネットワーク帯域が増大する。
[第二実施形態]
図9は、第二実施形態のVPNシステムのシステム構成を表す図である。以下、第二実施形態のVPNシステムについて、第一実施形態のVPNシステムと異なる点を主に説明する。
第二実施形態のVPNシステムは、中継サーバ11に代えて中継サーバ12を備える点、第1ネットワーク2内にVPNサーバマネージャ20を備える点、VPNサーバ21−1〜21−3に代えてVPNサーバ25−1〜25−3を備える点、第1ネットワーク2内に認証サーバ22を備えない点で、第一実施形態のVPNシステムと異なる。なお、第二実施形態のVPNシステムにおいて、1台の中継サーバ12に複数の第1ネットワーク2が接続されても良い。
図10は、中継サーバ12のシステム構成を表す概略ブロック図である。中継サーバ12は、バスで接続されたCPUやメモリや補助記憶装置などを備え、中継プログラムを実行することによって、送受信部121、設定ファイル記憶部122、管理テーブル記憶部123、常設コネクション管理部124、コネクション接続部125を備える装置として機能する。なお、中継サーバ12の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
送受信部121は、NIC等のネットワークインタフェースを用いて構成される。送受信部121は、インターネット1を経由して他の通信装置とデータの送受信を行う。
設定ファイル記憶部122は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、グループ設定ファイルを記憶する。図11は、第二実施形態のグループ設定ファイルの具体例を表す。第二実施形態のグループ設定ファイルは、予め設定されたVPNグループ毎に、VPNサーバマネージャ情報が記録される。図11には、VPNグループとして、Group1及びGroup2に関する情報が図示されている。Group1を例にして、グループ設定ファイルに設定される情報について説明する。“manager=”に続いて記述されている数字“192.168.1.1”が、VPNサーバマネージャのIPアドレスを表す。グループ設定ファイルは、例えばグループ名をファイル名とし、グループ毎に別ファイルとして構成されても良い。また、グループ設定ファイルは、各グループの情報が1つのファイルにまとめて記述されても良い。
管理テーブル記憶部123は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、常設コネクション管理ファイルを記憶する。常設コネクション管理ファイルには、常設コネクション管理テーブルが記述されている。図12は、第二実施形態の常設コネクション管理テーブルの具体例を表す図である。第二実施形態の常設コネクション管理テーブルには、中継サーバ12に接続されているVPNサーバマネージャ20毎に、IPアドレス及びホスト名が格納される。
常設コネクション管理部124は、自装置(中継サーバ12)に対して確立される常設コネクションについての管理を行う。常設コネクション管理部124は、新たに自装置に対してVPNサーバマネージャ20から常設コネクションが確立された場合には、新たな常設コネクションの対向側に位置するVPNサーバマネージャ20に関する情報を、管理テーブル記憶部123の常設コネクション管理テーブルに新規に登録する。また、常設コネクション管理部124は、生存確認メッセージの送信元であるVPNサーバマネージャ20に対して、生存確認応答メッセージを送信する。
コネクション接続部125は、VPNサーバ25とVPNクライアント(通信端末41)との間でVPNコネクションを確立させる処理を行う。
図13は、VPNサーバマネージャ20のシステム構成を表す概略ブロック図である。VPNサーバマネージャ20は、バスで接続されたCPUやメモリや補助記憶装置などを備え、VPNサーバマネージャプログラムを実行することによって、送受信部201、管理テーブル記憶部202、常設コネクション管理部203、コネクション接続部204、常設コネクション確立部205、生存確認管理部206、認証部207を備える装置として機能する。なお、VPNサーバマネージャ20の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
送受信部201は、NIC等のネットワークインタフェースを用いて構成される。送受信部201は、第1ネットワーク2を経由して他の通信装置とデータの送受信を行う。
管理テーブル記憶部202は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成され、マネージャ用常設コネクション管理ファイルを記憶する。マネージャ用常設コネクション管理ファイルには、マネージャ用常設コネクション管理テーブルが記述されている。図14は、マネージャ用常設コネクション管理テーブルの具体例を表す図である。マネージャ用常設コネクション管理テーブルには、VPNサーバマネージャ20に接続されているVPNサーバ25毎に、IPアドレス、ホスト名、負荷状況が格納される。負荷状況の内容は、第一実施形態の負荷状況と同じである。
常設コネクション管理部203は、自装置(VPNサーバマネージャ20)に対して確立される常設コネクションについての管理を行う。常設コネクション管理部203は、新たに自装置に対してVPNサーバ25から常設コネクションが確立された場合には、新たな常設コネクションの対向側に位置するVPNサーバ25に関する情報を、管理テーブル記憶部202のマネージャ用常設コネクション管理テーブルに新規に登録する。また、常設コネクション管理部203は、VPNサーバ25から生存確認メッセージを受信すると、生存確認メッセージに含まれる負荷状況の情報を用いて、管理テーブル記憶部202に記憶されるマネージャ用常設コネクション管理テーブルの負荷状況の情報を更新する。また、常設コネクション管理部203は、生存確認メッセージの送信元であるVPNサーバ25に対して、生存確認応答メッセージを送信する。
コネクション接続部204は、管理テーブル記憶部202に記憶されるマネージャ用常設コネクション管理テーブルの内容に応じて、VPNコネクションの接続先となるVPNサーバ25を選択する。具体的には、コネクション接続部204は、最も負荷が低いVPNサーバ25を選択する。そして、コネクション接続部204は、選択されたVPNサーバ25とVPNクライアント(通信端末41)との間でVPNコネクションを確立させる処理を行う。
常設コネクション確立部205は、予め中継サーバ12のIPアドレスを記憶しており、中継サーバ12との間で常設コネクションを確立させる。
生存確認管理部206は、所定のタイミングで生存確認メッセージを生成し、中継サーバ12に対し送信する。生存確認メッセージは、中継サーバ12に対して生存確認応答メッセージの返信を要求するメッセージを含む。また、生存確認管理部206は、中継サーバ12から、生存確認メッセージに対する生存確認応答メッセージを受信する。
認証部207は、第一実施形態における認証サーバ22と同様の処理を行う。具体的には、認証部207は、VPNクライアントから認証要求メッセージを受信し、認証処理を行い、認証結果を出力する。
図15は、VPNサーバ25のシステム構成を表す概略ブロック図である。VPNサーバ25は、バスで接続されたCPUやメモリや補助記憶装置などを備え、VPNサーバ用プログラムを実行することによって、送受信部251、常設コネクション確立部252、生存確認管理部253、個別コネクション確立部254、VPN制御部255を備える装置として機能する。なお、VPNサーバ25の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。
送受信部251は、NIC等のネットワークインタフェースを用いて構成される。送受信部251は、第1ネットワーク2を経由して他の通信装置とデータの送受信を行う。
常設コネクション確立部252は、予めVPNサーバマネージャ20のIPアドレスを記憶しており、VPNサーバマネージャ20との間で常設コネクションを確立させる。
生存確認管理部253は、所定のタイミングで生存確認メッセージを生成し、VPNサーバマネージャ20に対し送信する。生存確認メッセージは、VPNサーバマネージャ20に対して生存確認応答メッセージの返信を要求するメッセージと、自装置(VPNサーバ25)の負荷状況を表すメッセージとを含む。また、生存確認管理部253は、VPNサーバマネージャ20から、生存確認メッセージに対する生存確認応答メッセージを受信する。
個別コネクション確立部254は、VPNクライアント(通信端末41)から接続要求メッセージを受信すると、中継サーバ12との間でTCPコネクションを確立する。個別コネクション確立部254によって確立されるTCPコネクションは、接続要求メッセージの送信元である通信端末41との間のVPNコネクションの一部として用いられるコネクションである。
VPN制御部255は、いわゆる従来のVPNサーバとしての処理を行う。具体的には、VPN制御部255は、VPNクライアント(通信端末41)との間で確立したVPNコネクションを通じて、VPNサービスをVPNクライアントに提供する。
図16は、中継サーバ12とVPNサーバマネージャ20との間で行われる通信、及び、VPNサーバマネージャ20とVPNサーバ25との間で行われる通信それぞれの概略を表す図である。
VPNサーバマネージャ20の常設コネクション確立部203は、中継サーバ12へTCP接続で所定のポートに対し常設コネクションを確立する。所定のポートとは、予め設定されたポートであり、例えば443番ポートなどである。常設コネクションの確立は、例えばVPNサーバマネージャ20の電源が投入され起動した直後に行われても良いし、管理者によって確立指示が入力された際に行われても良いし、他のタイミングに行われても良い。この常設コネクションを通じて、VPNサーバマネージャ20の生存確認管理部206は生存確認メッセージを中継サーバ12へ送信する。また、中継サーバ12の常設コネクション管理部124は、VPNサーバマネージャ20から生存確認メッセージを受信すると、常設コネクションを通じて、VPNサーバマネージャ20に対し生存確認応答メッセージを送信する。
VPNサーバ25の常設コネクション確立部252は、VPNサーバマネージャ20へTCP接続で所定のポートに対し常設コネクションを確立する。所定のポートとは、予め設定されたポートであり、例えば443ポートなどである。常設コネクションの確立は、例えばVPNサーバ25の電源が投入され起動した直後に行われても良いし、管理者によって確立指示が入力された際に行われても良いし、他のタイミングに行われても良い。この常設コネクションを通じて、VPNサーバ25の生存確認管理部253は生存確認メッセージをVPNサーバマネージャ20へ送信する。また、VPNサーバマネージャ20の常設コネクション管理部203は、VPNサーバ25から生存確認メッセージを受信すると、常設コネクションを通じて、VPNサーバ25に対し生存確認応答メッセージを送信する。
図17は、第二実施形態のVPNシステムの処理の流れを表すシーケンス図である。まず、VPNサーバマネージャ20は、所定のポート(443番ポート)で、VPNサーバ25−1〜25−3からの接続を待ち受ける。各VPNサーバ25−1〜25−3の常設コネクション確立部212は、予めVPNサーバマネージャ20のIPアドレスを記憶している。各VPNサーバ25−1〜25−3の常設コネクション確立部252は、VPNサーバマネージャ20に対して常設コネクション25−20を確立する(ステップS201−1〜S201−3)。VPNサーバマネージャ20の常設コネクション管理部204は、各VPNサーバ25−1〜25−3からの常設コネクション25−20の接続を受け付けると、接続元のVPNサーバ25−1〜25−3のIPアドレス及びホスト名を常設コネクション管理テーブルに登録する。
中継サーバ12は、所定のポート(443番ポート)で、VPNサーバマネージャ20からの接続を待ち受ける。VPNサーバマネージャ20の常設コネクション確立部205は、予め中継サーバ12のIPアドレスを記憶している。VPNサーバマネージャ20の常設コネクション確立部205は、1台以上のVPNサーバ25−1〜25−3から常設コネクション25−20を確立されると、中継サーバ12対して常設コネクション20−12を確立する(ステップS201−2)。中継サーバ12の常設コネクション管理部124は、VPNサーバマネージャ20からの常設コネクション20−12の接続を受け付けると、接続元のVPNサーバマネージャ20のIPアドレス及びホスト名を常設コネクション管理テーブルに登録する。なお、常設コネクションの確立の際に、中継サーバ12の常設コネクション確立部124は、VPNサーバマネージャ20について認証を行うように構成されても良い。
次に、各VPNサーバ25−1〜25−3の生存確認管理部253は、通信が可能であるかを確認するため、所定のタイミングで生存確認メッセージをVPNサーバマネージャ20へ送信する(ステップS203−1〜S203−3)。このとき、各生存確認管理部253は、常設コネクション25−20を通して生存確認メッセージを送信する。VPNサーバマネージャ20の常設コネクション管理部203は、生存確認メッセージを受信すると、送信元のVPNサーバ25−1〜25−3に対し生存確認応答メッセージを送信する(ステップS204−1〜S204−3)。このとき、常設コネクション管理部203は、常設コネクション25−20を通して生存確認応答メッセージを送信する。また、常設コネクション管理部203は、受信された生存確認メッセージに含まれる負荷状況の情報を用いて、常設コネクション管理テーブルを更新する。
各VPNサーバ25−1〜25−3の生存確認管理部253は、生存確認メッセージの送信に連続して失敗した場合や、送信は成功したもののVPNサーバマネージャ20から生存確認応答メッセージを所定時間内に受信できなかった場合には、常設コネクション確立部252に対しエラー通知を行う。常設コネクション確立部252は、生存確認管理部253からエラー通知を受けると、VPNサーバマネージャ20に対し常設コネクション25−20を確立し直す。
また、VPNサーバマネージャ20の生存確認管理部206は、通信が可能であるかを確認するため、所定のタイミングで生存確認メッセージを中継サーバ12へ送信する。このとき、生存確認管理部206は、常設コネクション20−12を通して生存確認メッセージを送信する。中継サーバ12の常設コネクション管理部124は、生存確認メッセージを受信すると、送信元のVPNサーバマネージャ20に対し生存確認応答メッセージを送信する。このとき、常設コネクション管理部124は、常設コネクション20−12を通して生存確認応答メッセージを送信する。
VPNサーバマネージャ20の生存確認管理部206は、生存確認メッセージの送信に連続して失敗した場合や、送信は成功したものの中継サーバ12から生存確認応答メッセージを所定時間内に受信できなかった場合には、常設コネクション確立部205に対しエラー通知を行う。常設コネクション確立部205は、生存確認管理部206からエラー通知を受けると、中継サーバ12に対し常設コネクション20−12を確立し直す。
次に、VPNクライアントとなる通信端末41がVPNコネクションを確立する処理について説明する。まず、通信端末41の第1コネクション確立部412が、中継サーバ12に対し第1TCPコネクションを確立する。そして、第1コネクション確立部は、接続要求メッセージを作成し、中継サーバ12に対し第1TCPコネクションを通じて送信する(ステップS205)。このとい、接続要求メッセージに含まれる情報は、第一実施形態のように、接続先となるVPNグループの識別情報(例えばグループ名)であっても良いし、接続先となるVPNサーバマネージャ20のIPアドレスやホスト名であっても良い。通信端末41は、接続要求メッセージの送信に成功すると、第1TCPコネクションを切断する。また、通信端末41の第2コネクション確立部413は、ステップS205の処理の後又は並行して、中継サーバ12に対し第2TCPコネクションを確立する(ステップS207)。
中継サーバ12のコネクション接続部125は、接続要求メッセージを受信すると、設定ファイルや常設コネクション管理テーブルなどを参照し、接続要求メッセージの接続先に該当するVPNサーバマネージャ20のIPアドレスを検索する。そして、接続要求メッセージに含まれるIPアドレスが、常設コネクション管理テーブルに登録されているか否か検索する。登録されていない場合には、コネクション接続部125は、接続要求メッセージの送信元である通信端末41に対してエラーを通知する。一方、登録されている場合には、コネクション接続部125は、常設コネクション20−12を通して、接続要求メッセージをVPNサーバマネージャ20へ転送する(ステップS206)。
VPNサーバマネージャ20のコネクション接続部204は、常設コネクション20−12を通じて接続要求メッセージを受信すると、管理テーブル記憶部202の常設コネクション管理テーブルを参照する。そして、コネクション接続部204は、常設コネクション管理テーブルに登録されているVPNサーバ25の中から、最も負荷が低いVPNサーバ25を選択する。コネクション接続部204は、選択されたVPNサーバ25(25−1)に対し、常設コネクション25−20を通じて接続要求メッセージを転送する(ステップS208)。
VPNサーバ25−1の個別コネクション確立部254は、VPNサーバマネージャ20から接続要求メッセージを受信すると、通信端末41へのVPNコネクションを確立するために必要な情報を、受信した接続要求メッセージから取得する。そして、個別コネクション確立部254は、接続要求メッセージを中継サーバ12に送信することによって、個別コネクションを中継サーバ12との間で確立する(ステップS209)。
中継サーバ12のコネクション接続部125は、通信端末41から受信された接続要求メッセージと、VPNサーバ25−1から受信された接続要求メッセージとに含まれている情報をそれぞれ参照し、第2TCPコネクション及び個別コネクションを結びつける。この処理によって、コネクション接続部125は、通信端末41とVPNサーバ25−1間の通信路(VPNコネクション)を確立する。コネクション接続部125は、VPNコネクションの確立が完了すると、第2TCPコネクションを通じて、通信端末41へ接続完了メッセージを送信する(ステップS210)。
通信端末41のVPN制御部415は、中継サーバ12から接続完了メッセージを受信すると、認証要求部414に対し認証処理を開始することを指示する。認証要求部414は、VPN制御部415からの指示に応じて、認証要求メッセージを作成し、中継サーバ12へ送信する(ステップS211)。
中継サーバ12のコネクション接続部125は、通信端末41から認証要求メッセージを受信すると、VPNサーバマネージャ20に対し、認証要求メッセージを送信する(ステップS212)。
VPNサーバマネージャ20の認証部207は、認証要求メッセージを受信すると、認証要求メッセージに含まれるユーザ名及びパスワードに基づいて認証処理を行う。そして、認証部207は、認証結果を表す認証結果通知メッセージを作成し、中継サーバ12へ送信する(ステップS213)。中継サーバ12は、認証結果通知メッセージをVPNサーバ25−1へ転送する(ステップS214)。VPNサーバ25−1のVPN制御部255は、受信された認証結果通知メッセージが表す認証結果の内容に基づいて、通信端末41からのアクセスの許否を判断する。具体的には、認証結果の内容が、通信端末41のユーザが正当なユーザであることを表す場合には、VPN制御部255は、通信端末41との間でVPNコネクションを確立する。このとき、VPN制御部255は、中継サーバ12によって既に接続されている第2TCPコネクション及び個別コネクションを用いて、VPNコネクションを確立する。そして、VPNサーバ25−1のVPN制御部255は、通信端末41と、第1ネットワーク2内の業務サーバ23との間の通信を中継する(ステップS215)。一方、認証結果の内容が、通信端末41のユーザが正当なユーザではないことを表す場合には、VPN制御部255は、VPNコネクションを確立せず、通信端末41と第1ネットワーク2内の業務サーバ23との間の通信を中継しない。
第一実施形態のVPNシステムでは、複数の各拠点(各第1ネットワーク)でVPNサーバの負荷分散を行う場合、負荷分散を行うための中継サーバへの通信量が多くなってしまう。また、中継サーバのCPU使用率が上昇してしまう。そのため、VPN通信に使える帯域が減ってしまうおそれがある。これに対し、第二実施形態のVPNシステムでは、複数台のVPNサーバ25をまとめて管理するVPNサーバマネージャ20を各第1ネットワークに設置し、VPNサーバ25とVPNサーバマネージャ20とが負荷情報のやりとりを行う。このような処理によって、VPNサーバ25の負荷分散処理を行い特定のVPNサーバ25に負荷が増加してしまうことを防ぐことができる。さらに、中継サーバ12に処理が集中してしまうことを防ぐことができる。
なお、第二実施形態では、VPNサーバマネージャ20を新たに導入する必要がある。しかしながら、VPNサーバマネージャ20に認証機能を実装することによって、認証サーバが不要になっている。そのため、消費電力や管理工数などは第一実施形態とほとんど変わりはない。
上記の第一実施形態又は第二実施形態のVPNシステムは、データセンタなど大量のVPNを高速処理する必要がある場合に適用できる。また、同様にデータセンタなど大量のサーバを扱うクラウドコンピューティング分野にも適用できる。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
11,12…中継サーバ(第二コンピュータ), 20…VPNサーバマネージャ(管理装置,第三コンピュータ), 21(21−1〜21−3),25(25−1〜25−3)…VPNサーバ(第一コンピュータ), 22…認証サーバ, 23…業務サーバ, 41…通信端末, 111,121…送受信部, 112,122…設定ファイル記憶部, 113,123…管理テーブル記憶部(記憶部), 114,124…常設コネクション管理部(更新部), 115,125…コネクション接続部(接続部), 201送受信部, 202…管理テーブル記憶部(記憶部), 203…常設コネクション管理部(更新部), 204…コネクション接続部(選択部), 205…常設コネクション確立部, 206…生存確認管理部, 207…認証部, 211,251…送受信部, 212,252…常設コネクション確立部(第一通信路確立部), 213,253…生存確認管理部(通知部), 214,254…個別コネクション確立部(第二通信路確立部), 215,255…VPN制御部, 411…送受信部, 412…第1コネクション確立部, 413…第2コネクション確立部, 414…認証要求部, 415…VPN制御部

Claims (9)

  1. 複数台の仮想プライベートネットワークサーバと、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムであって、
    前記仮想プライベートネットワークサーバは、
    自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知部、
    を備え、
    前記中継サーバは、
    前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶部と、
    前記負荷状況の通知を受けると、前記記憶部に記憶される負荷状況を更新する更新部と、
    前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶部に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記仮想プライベートネットワークサーバを選択し、選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続部と、
    を備え
    前記仮想プライベートネットワークサーバは、
    自装置と前記中継サーバとの間に第一通信路を確立する第一通信路確立部と、
    前記第一通信路を用いて前記中継サーバから接続要求を受信すると、自装置と前記中継サーバとの間に第二通信路を確立する第二通信路確立部と、
    をさらに備え、
    前記通知部は、前記第一通信路を用いて、前記負荷状況を前記中継サーバへ通知し、
    前記中継サーバの前記接続部は、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第一通信路を用いて、選択された仮想プライベートネットワークサーバへ前記接続要求を送信し、当該仮想プライベートネットワークサーバとの間の前記第二通信路を用いて前記通信路を確立することを特徴とする仮想プライベートネットワークシステム。
  2. 前記通知部は、前記中継サーバに対し、生存確認メッセージをさらに送信し、
    前記第一通信路確立部は、前記通知部が前記生存確認メッセージを前記中継サーバへ送信できない場合又は前記中継サーバから前記生存確認メッセージに対する応答を受信できない場合には、前記第一通信路を確立しなおす、
    ことを特徴とする請求項1に記載の仮想プライベートネットワークシステム。
  3. 複数台の仮想プライベートネットワークサーバと、前記複数台の仮想プライベートネットワークサーバを管理する管理装置と、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムであって、
    前記仮想プライベートネットワークサーバは、
    自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知部、
    を備え、
    前記管理装置は、
    前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶部と、
    前記負荷状況の通知を受けると、前記記憶部に記憶される負荷状況を更新する更新部と、
    前記中継サーバから接続要求を受信すると、前記記憶部に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記仮想プライベートネットワークサーバを選択する選択部と、
    を備え、
    前記中継サーバは、
    前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記管理装置へ接続要求を転送し、前記管理装置によって選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続部と、
    を備えることを特徴とする仮想プライベートネットワークシステム。
  4. 前記仮想プライベートネットワークサーバは、
    自装置と前記管理装置との間に第一通信路を確立する第一通信路確立部と、
    前記第一通信路を用いて前記管理装置から接続要求を受信すると、自装置と前記中継サーバとの間に第二通信路を確立する第二通信路確立部と、
    をさらに備え、
    前記通知部は、前記第一通信路を用いて、前記負荷状況を前記管理装置へ通知し、
    前記管理装置の前記選択部は、前記仮想プライベートネットワーククライアントからの接続要求を受信すると、前記第一通信路を用いて、当該仮想プライベートネットワークサーバへ前記接続要求を送信し、
    前記接続部は、選択された仮想プライベートネットワークサーバとの間の前記第二通信路を用いて前記通信路を確立する、
    ことを特徴とする請求項に記載の仮想プライベートネットワークシステム。
  5. 前記通知部は、前記管理装置に対し、生存確認メッセージをさらに送信し、
    前記第一通信路確立部は、前記通知部が前記生存確認メッセージを前記管理装置へ送信できない場合又は前記管理装置から前記生存確認メッセージに対する応答を受信できない場合には、前記第一通信路を確立しなおす、
    ことを特徴とする請求項又はに記載の仮想プライベートネットワークシステム。
  6. 複数台の仮想プライベートネットワークサーバと、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムが行う通信方法であって、
    前記仮想プライベートネットワークサーバが、自装置の負荷状況を取得し、前記負荷状況を前記中継サーバへ通知する通知ステップと、
    前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶装置を備える前記中継サーバが、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、
    前記中継サーバ、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記仮想プライベートネットワークサーバを選択し、選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、
    を備え
    前記仮想プライベートネットワークサーバが、自装置と前記中継サーバとの間に第一通信路を確立する第一通信路確立ステップと、
    前記仮想プライベートネットワークサーバが、前記第一通信路を用いて前記中継サーバから接続要求を受信すると、自装置と前記中継サーバとの間に第二通信路を確立する第二通信路確立部ステップと、
    をさらに備え、
    前記仮想プライベートネットワークサーバが、前記通知ステップにおいて、前記第一通信路を用いて、前記負荷状況を前記中継サーバへ通知し、
    前記中継サーバが、前記接続ステップにおいて、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第一通信路を用いて、選択された仮想プライベートネットワークサーバへ前記接続要求を送信し、当該仮想プライベートネットワークサーバとの間の前記第二通信路を用いて前記通信路を確立することを特徴とする通信方法。
  7. 複数台の仮想プライベートネットワークサーバと、前記複数台の仮想プライベートネットワークサーバを管理する管理装置と、仮想プライベートネットワーククライアントからの接続要求に応じて前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する中継サーバと、を備える仮想プライベートネットワークシステムが行う通信方法であって、
    前記仮想プライベートネットワークサーバが、自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知ステップと、
    前記負荷状況を前記仮想プライベートネットワークサーバ毎に記憶する記憶装置を備える前記管理装置が、前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、
    前記管理装置が、前記中継サーバから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記仮想プライベートネットワークサーバを選択する選択ステップと、
    前記中継サーバが、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記管理装置へ接続要求を転送し、前記管理装置によって選択された前記仮想プライベートネットワークサーバと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、
    を備えることを特徴とする通信方法。
  8. 複数台の第一コンピュータと、仮想プライベートネットワーククライアントからの接続要求に応じて前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する第二コンピュータと、を備える仮想プライベートネットワークシステムにおいて、
    前記第一コンピュータに対し、
    自装置の負荷状況を取得し、前記負荷状況を前記第二コンピュータへ通知する通知ステ
    ップ、
    を実行させ、
    前記負荷状況を前記第一コンピュータ毎に記憶する記憶装置を備える前記第二コンピュータに対し、
    前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、
    前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記第一コンピュータを選択し、選択された前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、
    を実行させ
    前記第一コンピュータに対し、自装置と前記第二コンピュータとの間に第一通信路を確立する第一通信路確立ステップと、
    前記第一通信路を用いて前記第二コンピュータから接続要求を受信すると、自装置と前記第二コンピュータとの間に第二通信路を確立する第二通信路確立部ステップと、
    をさらに実行させ、
    前記第一コンピュータが、前記通知ステップにおいて、前記第一通信路を用いて、前記負荷状況を前記第二コンピュータへ通知し、
    前記第二コンピュータが、前記接続ステップにおいて、前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第一通信路を用いて、選択された第一コンピュータへ前記接続要求を送信し、当該第一コンピュータとの間の前記第二通信路を用いて前記通信路を確立するためのコンピュータプログラム。
  9. 複数台の第一コンピュータと、前記複数台の第一コンピュータを管理する第三コンピュータと、仮想プライベートネットワーククライアントからの接続要求に応じて前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する第二コンピュータと、を備える仮想プライベートネットワークシステムにおいて、
    前記第一コンピュータに対し、
    自装置の負荷状況を取得し、前記負荷状況を前記管理装置へ通知する通知ステップ、
    を実行させ、
    前記負荷状況を前記第一コンピュータ毎に記憶する記憶装置を備える前記第三コンピュータに対し、
    前記負荷状況の通知を受けると、前記記憶装置に記憶される負荷状況を更新する更新ステップと、
    前記第二コンピュータから接続要求を受信すると、前記記憶装置に記憶される負荷状況に応じて、前記仮想プライベートネットワーククライアント1台当たりのネットワーク利用帯域が最大の前記第一コンピュータを選択する選択ステップと、
    を実行させ、
    前記第二コンピュータに対し、
    前記仮想プライベートネットワーククライアントから接続要求を受信すると、前記第三コンピュータへ接続要求を転送し、前記第三コンピュータによって選択された前記第一コンピュータと前記仮想プライベートネットワーククライアントとの間の通信路を確立する接続ステップと、
    を実行させるためのコンピュータプログラム。
JP2010024696A 2010-02-05 2010-02-05 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム Expired - Fee Related JP5504940B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010024696A JP5504940B2 (ja) 2010-02-05 2010-02-05 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010024696A JP5504940B2 (ja) 2010-02-05 2010-02-05 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2011166312A JP2011166312A (ja) 2011-08-25
JP5504940B2 true JP5504940B2 (ja) 2014-05-28

Family

ID=44596513

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010024696A Expired - Fee Related JP5504940B2 (ja) 2010-02-05 2010-02-05 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP5504940B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013196508A (ja) * 2012-03-21 2013-09-30 Ricoh Co Ltd 機器管理システム、機器管理方法、サーバ装置、及び機器管理プログラム
WO2015181931A1 (ja) * 2014-05-29 2015-12-03 三菱電機株式会社 管理装置及び管理方法及びプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3995580B2 (ja) * 2002-11-05 2007-10-24 富士通株式会社 負荷分散処理システム
JP4340848B2 (ja) * 2003-03-25 2009-10-07 日本電気株式会社 リモートアクセスシステムおよびリモートアクセス方法
JP2005228036A (ja) * 2004-02-13 2005-08-25 Nec Commun Syst Ltd 負荷分散装置、その制御方法、その制御プログラム、及びクライアントサーバシステム
JP4492248B2 (ja) * 2004-08-04 2010-06-30 富士ゼロックス株式会社 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法

Also Published As

Publication number Publication date
JP2011166312A (ja) 2011-08-25

Similar Documents

Publication Publication Date Title
US11115391B2 (en) Securing end-to-end virtual machine traffic
US11140162B2 (en) Response method and system in virtual network computing authentication, and proxy server
CN107210929B (zh) 互联网协议安全隧道的负载均衡
JP5987902B2 (ja) ネットワークシステム、コントローラ、及びパケット認証方法
CN112333143B (zh) 经代理安全会话的粒度卸载
US10498529B1 (en) Scalable node for secure tunnel communications
US8332464B2 (en) System and method for remote network access
JP2018521534A (ja) パケットシグネチャを使用してセッションを処理するためのネットワークデバイスと方法
US9246906B1 (en) Methods for providing secure access to network resources and devices thereof
EP3272059B1 (en) Apparatus and method for using certificate data to route data
JP6793056B2 (ja) 通信装置及びシステム及び方法
US10516652B1 (en) Security association management
US20220070092A1 (en) Device information method and apparatus for directing link-layer communication
US10795912B2 (en) Synchronizing a forwarding database within a high-availability cluster
EP3577876B1 (en) Service endpoint interconnect in a virtual private gateway
JP5445262B2 (ja) 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
US20240146728A1 (en) Access control method, access control system, and related device
KR101143050B1 (ko) 네트워크로의 액세스 관리
US10931662B1 (en) Methods for ephemeral authentication screening and devices thereof
JP5504940B2 (ja) 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム
CN109450849B (zh) 一种基于区块链的云服务器组网方法
CN114598724B (zh) 电力物联网的安全防护方法、装置、设备及存储介质
US10270692B1 (en) Establishing a connection to multiple network devices using a single internet protocol (IP) address
JP5622088B2 (ja) 認証システム、認証方法
US9246880B2 (en) Methods for secure communication between network device services and devices thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131001

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140303

R150 Certificate of patent or registration of utility model

Ref document number: 5504940

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees