[go: up one dir, main page]

JP5874355B2 - Relay server and relay communication system - Google Patents

Relay server and relay communication system Download PDF

Info

Publication number
JP5874355B2
JP5874355B2 JP2011263032A JP2011263032A JP5874355B2 JP 5874355 B2 JP5874355 B2 JP 5874355B2 JP 2011263032 A JP2011263032 A JP 2011263032A JP 2011263032 A JP2011263032 A JP 2011263032A JP 5874355 B2 JP5874355 B2 JP 5874355B2
Authority
JP
Japan
Prior art keywords
relay server
address
routing
packet
notification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011263032A
Other languages
Japanese (ja)
Other versions
JP2013115778A (en
Inventor
谷本 好史
好史 谷本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP2011263032A priority Critical patent/JP5874355B2/en
Publication of JP2013115778A publication Critical patent/JP2013115778A/en
Application granted granted Critical
Publication of JP5874355B2 publication Critical patent/JP5874355B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、主として、異なるLAN(Local Area Network)に接続されている機器間の通信を可能とする中継サーバに関する。   The present invention mainly relates to a relay server that enables communication between devices connected to different LANs (Local Area Networks).

従来から、物理的に離れた場所に設置されたLAN同士で通信を行う仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている。特許文献1に示す例では、物理的に離れた位置に設置された複数のLANのそれぞれに中継サーバ及び通信端末等が接続されている。通信端末は、このVPNを利用して、他のLANに接続された通信端末へパケットを送信することができる。具体的には、通信端末が送信するパケットは、初めに同一LAN内の中継サーバへ送られる。この中継サーバは、インターネットを介して、宛先の通信端末と同一のLAN内の中継サーバへパケットを送信(転送)する。そして、このパケットを受信した中継サーバは、宛先の通信端末へパケットを送信(転送)する。   2. Description of the Related Art Conventionally, a communication technique called a virtual private network (VPN) that performs communication between LANs installed at physically separated locations is known. In the example shown in Patent Document 1, a relay server, a communication terminal, and the like are connected to each of a plurality of LANs installed at physically separated positions. A communication terminal can transmit a packet to a communication terminal connected to another LAN using this VPN. Specifically, a packet transmitted by a communication terminal is first sent to a relay server in the same LAN. This relay server transmits (transfers) the packet to the relay server in the same LAN as the destination communication terminal via the Internet. The relay server that receives this packet transmits (transfers) the packet to the destination communication terminal.

このVPNを利用することにより、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。   By using this VPN, other remote LANs can be used as if they were directly connected networks.

特開2010−268312号公報JP 2010-268312 A

ところで、VPNを利用して通信を行う場合、登録されていない機器から不正なアクセスが行われる可能性がある。この不正なアクセスによって、最悪の場合は情報が漏洩してしまう。また、登録されている機器からのアクセスであっても、例えば権限のないユーザによって個人情報又は営業秘密等の情報が取得されることは情報管理上好ましくない。   By the way, when performing communication using VPN, there is a possibility that unauthorized access is performed from an unregistered device. This unauthorized access leaks information in the worst case. Further, even when accessing from a registered device, it is not preferable in terms of information management that, for example, information such as personal information or a trade secret is acquired by an unauthorized user.

このように、VPNを利用して通信を行う場合、セキュリティの観点から、通信の流れを把握できる構成が望まれていた。   Thus, when communicating using VPN, the structure which can grasp | ascertain the flow of communication was desired from a viewpoint of security.

本発明は以上の事情に鑑みてされたものであり、その主要な目的は、ルーティングセッションを介して行われる通信の流れを把握可能な中継通信システムを構築できる中継サーバを提供することにある。   The present invention has been made in view of the above circumstances, and a main object thereof is to provide a relay server capable of constructing a relay communication system capable of grasping the flow of communication performed via a routing session.

課題を解決するための手段及び効果Means and effects for solving the problems

本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。   The problems to be solved by the present invention are as described above. Next, means for solving the problems and the effects thereof will be described.

本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、通知条件記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置し(中継サーバが)パケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記通知条件記憶部は、パケットを受信した旨を通知する条件である通知条件を記憶する。前記制御部は、前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する。前記制御部は、前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する。前記制御部は、前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う。前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれる。 According to a first aspect of the present invention, a relay server having the following configuration is provided. That is, the relay server includes an address filter information storage unit, a notification condition storage unit, and a control unit. The address filter information storage unit is located in the first LAN (the relay server) is capable of transferring packets, and the first routing target address that is the address of the first routing target device and the second relay server located in the second LAN Stores the second routing target address that is the address of the second routing target device that can transfer the packet. The notification condition storage unit stores a notification condition that is a condition for notifying that a packet has been received. The control unit transmits the first routing target address to the second relay server, receives the second routing target address from the second relay server, and stores the second routing target address in the address filter information storage And establish a routing session with the second relay server. When the control unit receives a packet destined for the second routing target address from the first routing target device, the control unit transfers the packet to the second relay server via the routing session. When receiving a packet destined for the first routing target address from the routing session, the control unit transfers the packet to the destination first routing target device. The control unit determines whether or not the notification condition is satisfied when a packet is received from the routing session or the first LAN, and performs notification when it is determined that the notification condition is satisfied. The notification condition includes that the destination address or source address of the packet is an address that is not stored in the address filter information storage unit.

これにより、ユーザは、中継通信システムで行われる通信のうち通知条件を満たす通信があったことを知ることができる。従って、ユーザは、例えば登録されていない端末からのアクセス等、セキュリティの観点から注意を払うべき通信を把握することができる。そのため、ユーザは、情報の漏洩を未然に防ぐことが可能となる。また、ユーザは、万が一情報が漏洩した場合であっても、事態の拡大を防ぐための対応を即座に行うことが可能となる。   Thereby, the user can know that there existed communication which satisfy | fills notification conditions among the communications performed by a relay communication system. Therefore, the user can grasp the communication to which attention should be paid from the viewpoint of security, such as access from an unregistered terminal. Therefore, the user can prevent information leakage. In addition, even if information is leaked, the user can immediately take action to prevent the situation from expanding.

前記の中継サーバにおいては、前記通知条件記憶部が記憶する通知条件と、前記第2中継サーバが記憶する前記通知条件と、が等しいことが好ましい。   In the relay server, it is preferable that the notification condition stored in the notification condition storage unit and the notification condition stored in the second relay server are equal.

これにより、通知が行われる条件を中継通信システム内で同一にできるので、統一した管理ができる。また、本発明の中継サーバ以外に他の中継サーバがアクセスの監視を行うので、本発明の中継サーバに到達しないパケットについても監視対象とすることができる。   As a result, the conditions under which the notification is performed can be made the same in the relay communication system, so that unified management can be performed. In addition to the relay server of the present invention, other relay servers monitor access. Therefore, packets that do not reach the relay server of the present invention can be monitored.

前記の中継サーバにおいては、前記制御部は、前記第1ルーティング対象アドレスとともに前記通知条件を前記第2中継サーバへ送信することが好ましい。   In the relay server, the control unit preferably transmits the notification condition together with the first routing target address to the second relay server.

これにより、通知条件を独立して送信する場合と比較して、中継サーバ間の通信を単純にすることができる。   Thereby, compared with the case where notification conditions are transmitted independently, communication between relay servers can be simplified.

前記の中継サーバにおいては、前記制御部は、前記通知条件を満たすと判定した場合に、前記第1LANに所属する端末及び前記第2LANに所属する端末の両方へ通知を行うことが好ましい。   In the relay server, when it is determined that the notification condition is satisfied, the control unit preferably notifies both the terminal belonging to the first LAN and the terminal belonging to the second LAN.

これにより、登録されていない端末からアクセスがあったことを、より多くの端末へ通知することができる。従って、例えば第1LANの設置先が無人である場合又は第1LANの設置先に通知に対応可能なユーザがいない場合であっても、通知に即座に対応することができる。   As a result, it is possible to notify more terminals that there is an access from an unregistered terminal. Therefore, for example, even when the installation location of the first LAN is unattended or when there is no user who can respond to the notification at the installation location of the first LAN, it is possible to respond immediately to the notification.

前記の中継サーバにおいては、前記制御部は、前記通知条件を満たすと判定して通知を行った場合に、当該通知内容を記録することが好ましい。   In the relay server, when the control unit determines that the notification condition is satisfied and makes a notification, the control unit preferably records the notification content.

これにより、ユーザ等は、記録された過去の通知内容を分析して、当該分析結果に基づいて不審なアクセス等に対処することができる。   As a result, the user or the like can analyze the recorded past notification contents and deal with a suspicious access or the like based on the analysis result.

本発明の第2の観点によれば、以下の構成の中継通信システムが提供される。即ち、中継通信システムは、第1中継サーバ及び第2中継サーバを含んで構成される。第1LAN内に位置する中継サーバは、アドレスフィルタ情報記憶部と、通知条件記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記通知条件記憶部は、パケットを受信した旨を通知する条件である通知条件を記憶する。前記制御部は、前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティングアドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する。前記制御部は、前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する。前記制御部は、前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う。前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれる。 According to the 2nd viewpoint of this invention, the relay communication system of the following structures is provided. That is, the relay communication system includes a first relay server and a second relay server. The relay server located in the first LAN includes an address filter information storage unit, a notification condition storage unit, and a control unit. The address filter information storage unit includes a first routing target address that is an address of a first routing target device to which the first relay server can transfer a packet, and the second relay server located in a second LAN transfers the packet. And a second routing target address that is an address of a possible second routing target device. The notification condition storage unit stores a notification condition that is a condition for notifying that a packet has been received. The control unit transmits the first routing target address to the second relay server, receives the second routing target address from the second relay server, and stores the second routing target address in the address filter information storage And establish a routing session with the second relay server. When receiving a packet destined for the second routing address from the first routing target device, the control unit transfers the packet to the second relay server via the routing session. When receiving a packet destined for the first routing target address from the routing session, the control unit transfers the packet to the destination first routing target device. The control unit determines whether or not the notification condition is satisfied when a packet is received from the routing session or the first LAN, and performs notification when it is determined that the notification condition is satisfied. The notification condition includes that the destination address or source address of the packet is an address that is not stored in the address filter information storage unit.

これにより、ユーザは、中継通信システムで行われる通信のうち通知条件を満たす通信があったことを知ることができる。従って、ユーザは、例えば登録されていない端末からのアクセス等、セキュリティの観点から注意を払うべき通信を把握することができる。そのため、ユーザは、情報の漏洩を未然に防ぐことが可能となる。また、ユーザは、万が一情報が漏洩した場合であっても、事態の拡大を防ぐための対応を即座に行うことが可能となる。   Thereby, the user can know that there existed communication which satisfy | fills notification conditions among the communications performed by a relay communication system. Therefore, the user can grasp the communication to which attention should be paid from the viewpoint of security, such as access from an unregistered terminal. Therefore, the user can prevent information leakage. In addition, even if information is leaked, the user can immediately take action to prevent the situation from expanding.

本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。BRIEF DESCRIPTION OF THE DRAWINGS Explanatory drawing which shows the whole structure of the relay communication system which concerns on one Embodiment of this invention. 中継サーバの機能ブロック図。The functional block diagram of a relay server. 中継グループ情報の内容を示す図。The figure which shows the content of relay group information. 中継サーバ情報の内容を示す図。The figure which shows the content of relay server information. クライアント端末情報の内容を示す図。The figure which shows the content of client terminal information. VPNグループ情報の内容を示す図。The figure which shows the content of VPN group information. それぞれの中継サーバに予め登録されるアドレスフィルタ情報の内容を示す図。The figure which shows the content of the address filter information registered beforehand in each relay server. VPN構築後にアドレスフィルタ情報記憶部が記憶する内容を示す図。The figure which shows the content which an address filter information storage part memorize | stores after VPN construction. 通知条件の内容を示す図。The figure which shows the content of notification conditions. 通知ログの内容を示す図。The figure which shows the content of the notification log. 予め中継サーバに行う設定を示すフローチャート。The flowchart which shows the setting performed to a relay server beforehand. VPNグループを作成する処理を示すフローチャート。The flowchart which shows the process which produces a VPN group. VPNを構築する処理を示すフローチャート。The flowchart which shows the process which builds VPN. VPNを構築する処理を示すフローチャート。The flowchart which shows the process which builds VPN. LANからパケットを受信したときのルーティング制御を示すフローチャート。The flowchart which shows routing control when a packet is received from LAN. ルーティングセッションからパケットを受信したときのルーティング制御を示すフローチャート。The flowchart which shows routing control when a packet is received from a routing session.

次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本実施形態に係る中継通信システム100の全体構成を示す説明図である。   Next, embodiments of the present invention will be described with reference to the drawings. First, an overview of the relay communication system 100 of the present embodiment will be described with reference to FIG. FIG. 1 is an explanatory diagram showing the overall configuration of the relay communication system 100 according to the present embodiment.

図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数のLAN10,20,30で構成されている。それぞれのLAN10,20,30は、限定された場所で構築される比較的小規模なネットワークである。また、LAN10,20,30は、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。   As shown in FIG. 1, this relay communication system 100 includes a plurality of LANs 10, 20, and 30 connected to a wide area network (WAN) 80. Each of the LANs 10, 20, and 30 is a relatively small network constructed in a limited place. Further, the LANs 10, 20, and 30 are arranged at locations that are physically separated from each other. In the present embodiment, the Internet is used as the WAN 80.

以下、それぞれのLANを具体的に説明する。図1に示すように、LAN(第2LAN)10には、中継サーバ(第2中継サーバ)1と、第2ルーティング対象装置としての操作PC11,12と、クライアント端末13と、が接続されている。LAN20には、中継サーバ2と、操作PC21と、クライアント端末22と、が接続されている。LAN(第1LAN)30には、中継サーバ(第1中継サーバ)3と、第1ルーティング対象装置としての対象端末31,32,33と、クライアント端末34と、が接続されている。   Each LAN will be specifically described below. As shown in FIG. 1, a relay server (second relay server) 1, operation PCs 11 and 12 as second routing target devices, and a client terminal 13 are connected to a LAN (second LAN) 10. . A relay server 2, an operation PC 21, and a client terminal 22 are connected to the LAN 20. Connected to the LAN (first LAN) 30 are a relay server (first relay server) 3, target terminals 31, 32 and 33 as first routing target devices, and a client terminal 34.

それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続された機器と通信可能であるだけでなく、他のLANに配置された中継サーバとも通信可能となっている。操作PC11,12,21は、例えばオペレータが操作するためのパーソナルコンピュータである。対象端末31,32,33は、パーソナルコンピュータ、又は、ファイルサーバ等であり、例えばオペレータは、操作PC11等を操作して、対象端末31等に所定のデータを要求すること、及び、対象端末31の記憶内容を更新することが想定されている。クライアント端末13,22,34は、例えばパーソナルコンピュータで構成されており、それぞれ自身が所属する中継サーバ1,2,3を介して、互いに通信可能である。   Since each of the relay servers 1, 2, and 3 is connected not only to the LANs 10, 20, and 30 but also to the WAN 80, it can communicate with devices connected to the same LAN and is also arranged in another LAN. It is also possible to communicate with the relay server. The operation PCs 11, 12, and 21 are personal computers that are operated by an operator, for example. The target terminals 31, 32, and 33 are personal computers or file servers. For example, the operator operates the operation PC 11 or the like to request predetermined data from the target terminal 31 or the like, and the target terminal 31 It is assumed that the stored content of is updated. The client terminals 13, 22, and 34 are configured by, for example, a personal computer, and can communicate with each other via the relay servers 1, 2, and 3 to which the client terminals 13, 22, and 34 belong.

次に、図2を参照して、中継サーバ1,2,3の詳細な構成について説明する。図2は、中継サーバ3の機能ブロック図である。なお、中継サーバ3は中継サーバ1,2と略同じ構成であるので、以下では、主として中継サーバ3について説明する。   Next, a detailed configuration of the relay servers 1, 2, and 3 will be described with reference to FIG. FIG. 2 is a functional block diagram of the relay server 3. Since the relay server 3 has substantially the same configuration as the relay servers 1 and 2, the relay server 3 will be mainly described below.

図2に示すように、中継サーバ3は、記憶部50と、制御部60と、インタフェース部70と、を備えている。   As illustrated in FIG. 2, the relay server 3 includes a storage unit 50, a control unit 60, and an interface unit 70.

インタフェース部70は、LAN10内の端末に対して通信を実行する。また、インタフェース部70は、WAN80に対して通信を実行する。インタフェース部70は、LAN30又はWAN80から受信したパケットに適宜の処理を行って制御部60へ出力する。   The interface unit 70 performs communication with terminals in the LAN 10. The interface unit 70 performs communication with the WAN 80. The interface unit 70 performs an appropriate process on the packet received from the LAN 30 or the WAN 80 and outputs the packet to the control unit 60.

制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。具体的には、制御部60は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて宛先を決定し、決定した宛先へ当該パケットを送信する。また、制御部60は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。   The control unit 60 is a CPU having control and calculation functions, for example, and can execute various processes by a program read from the storage unit 50. The control unit 60 can control various communications according to protocols such as TCP / IP, UDP, and SIP. Specifically, the control unit 60 determines a destination of the received packet based on information indicated by the packet and information stored in the storage unit 50, and transmits the packet to the determined destination. Moreover, the control part 60 can update the memory content of the memory | storage part 50 based on the information received from the other terminal.

記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、クライアント端末情報記憶部53と、VPNグループ情報記憶部54と、アドレスフィルタ情報記憶部55と、通知条件記憶部56と、通知ログ記憶部57と、を備えている。以下、図3から図10までを参照して、記憶部50の記憶内容について説明する。図3から図10までは、主として、中継サーバ3の記憶部50の記憶内容を示す図である。   The storage unit 50 is composed of, for example, a hard disk or a nonvolatile RAM, and can store various data. The storage unit 50 includes a relay group information storage unit 51, a relay server information storage unit 52, a client terminal information storage unit 53, a VPN group information storage unit 54, an address filter information storage unit 55, and a notification condition storage unit 56. And a notification log storage unit 57. Hereinafter, the contents stored in the storage unit 50 will be described with reference to FIGS. FIGS. 3 to 10 are diagrams mainly showing the contents stored in the storage unit 50 of the relay server 3.

中継グループ情報記憶部51は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。   The relay group information storage unit 51 stores relay group information indicating a relay group and a relay server that constitutes the relay group.

図3に示すように、中継グループ情報においては、groupタグと、このgroupタグを親要素とする子要素のsiteタグと、が記述されている。groupタグには中継グループに関するグループ情報511が記述されている。このグループ情報511としては、中継グループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、中継グループの名称(「name」)と、が記述されている。siteタグには、中継グループを構成する中継サーバに関するグループ構成情報512が記述されている。このグループ構成情報512には、当該中継サーバの識別情報(「id」)が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。   As shown in FIG. 3, in the relay group information, a group tag and a site tag of a child element whose parent element is the group tag are described. In the group tag, group information 511 related to the relay group is described. As the group information 511, relay group identification information (“id”), last update time (“lastmod”), and relay group name (“name”) are described. In the site tag, group configuration information 512 related to the relay server that configures the relay group is described. In this group configuration information 512, identification information (“id”) of the relay server is described. Further, additional relay groups can be created. In this case, unique identification information different from other relay groups is given to the new relay group. As a result, settings such as data exchange only within a specific relay group are possible.

なお、この中継グループ情報は、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。   This relay group information is shared between the relay servers 1, 2, and 3 that constitute the relay group. When a process for changing a relay group is performed in a certain relay server, the fact is transmitted to the other relay server and the relay group information is updated. In this way, relay group information is dynamically shared.

中継サーバ情報記憶部52は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。   The relay server information storage unit 52 stores relay server information indicating an outline of a relay server that performs relay communication and a client terminal that belongs to the relay server.

図4に示す中継サーバ情報においては、中継サーバ毎に記述されるsiteタグと、前記siteタグを親要素とする子要素のnodeタグと、が記述されている。siteタグには中継サーバ1に関するサーバ情報521が記述されている。このサーバ情報521としては、中継サーバの識別情報(「id」)と、中継サーバの名称(「name」)と、起動情報(「stat」)と、が記述されている。なお、「stat」の内容が「active」の場合は中継サーバが中継通信システム100にログインしていることを示し、statが空欄であるときはログオフ中であることを示す。siteタグの子要素であるnodeタグには、中継サーバに所属するクライアント端末を示す所属情報522が記述されている。所属情報522としては、所属する中継グループの名称(「group」)と、クライアント端末の識別情報(「id」)と、クライアント端末の名称(「name」)と、所属先の中継サーバの識別情報(「site」)と、が記述されている。なお、クライアント端末が中継通信システム100にログインしていないときは、「site」は空欄となる。   In the relay server information shown in FIG. 4, a site tag described for each relay server and a node tag of a child element whose parent element is the site tag are described. In the site tag, server information 521 regarding the relay server 1 is described. As the server information 521, relay server identification information (“id”), a relay server name (“name”), and activation information (“stat”) are described. When the content of “stat” is “active”, it indicates that the relay server is logged in to the relay communication system 100, and when stat is blank, it indicates that the log-off is being performed. In a node tag that is a child element of the site tag, affiliation information 522 indicating a client terminal belonging to the relay server is described. The belonging information 522 includes the name of the relay group to which it belongs (“group”), the identification information of the client terminal (“id”), the name of the client terminal (“name”), and the identification information of the relay server to which it belongs. ("Site"). When the client terminal is not logged in to the relay communication system 100, “site” is blank.

なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末13からクライアント端末22にパケットを送信する場合、初めに、クライアント端末13は、自身が接続している中継サーバである中継サーバ1にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ1は、これらの情報に基づいて、クライアント端末22が接続している中継サーバである中継サーバ2へパケットを転送する。そして、このパケットを受信した中継サーバ2がクライアント端末22へパケットを転送する。このようにして、クライアント端末13,22同士で中継通信を行うことができる。   Note that the communication by the relay group is performed as follows based on the relay group information and the relay server information. For example, when a packet is transmitted from the client terminal 13 to the client terminal 22, the client terminal 13 first transmits the packet to the relay server 1 that is a relay server to which the client terminal 13 is connected. The relay server capable of exchanging packets can be grasped based on the above relay group information, and the identification information of the client terminal belonging to the relay server and the connection possibility can be determined based on the above relay server information. I can grasp it. Based on these pieces of information, the relay server 1 transfers the packet to the relay server 2 that is a relay server to which the client terminal 22 is connected. The relay server 2 that has received this packet transfers the packet to the client terminal 22. Thus, relay communication can be performed between the client terminals 13 and 22.

この中継サーバ情報に関しても中継グループ情報と同様に、当該中継グループを構成する中継サーバ1,2,3の間で情報が共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。   As with the relay group information, the relay server information is shared between the relay servers 1, 2, and 3 that constitute the relay group. When a process for changing the relay server information is performed in a certain relay server, the fact is transmitted to the other relay server and the relay server information is updated. In this way, the relay server information is dynamically shared.

クライアント端末情報記憶部53は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ1,2,3は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。中継サーバ3には、クライアント端末34が所属しているため、中継サーバ3が備えるクライアント端末情報記憶部53には、クライアント端末34についてのクライアント端末情報のみが記憶されている。   The client terminal information storage unit 53 stores client terminal information that is detailed information about the client terminal. Note that the relay servers 1, 2, and 3 store only client terminal information related to client terminals belonging to the relay server. Since the client terminal 34 belongs to the relay server 3, only the client terminal information about the client terminal 34 is stored in the client terminal information storage unit 53 provided in the relay server 3.

中継サーバ3のクライアント端末情報記憶部53が記憶するクライアント端末情報は、図5(c)に示されている。同様に、中継サーバ1が記憶するクライアント端末情報が図5(a)に、中継サーバ2が記憶するクライアント端末情報が図5(b)に、それぞれ示されている。   The client terminal information stored in the client terminal information storage unit 53 of the relay server 3 is shown in FIG. Similarly, the client terminal information stored in the relay server 1 is shown in FIG. 5A, and the client terminal information stored in the relay server 2 is shown in FIG. 5B.

図5に示すクライアント端末情報においては、nodeタグが記述されている。このnodeタグには、クライアント端末のプライベートIPアドレス(「addr」)と、所属する中継グループの名称(「group」)と、識別情報(「id」)と、名称(「name」)と、中継サーバにログインするためのパスワード(「pass」)と、ポート情報(「port」)と、が記述されている。   In the client terminal information shown in FIG. 5, a node tag is described. The node tag includes a private IP address (“addr”) of the client terminal, a name of the relay group to which the client terminal belongs (“group”), identification information (“id”), a name (“name”), a relay A password for logging in to the server (“pass”) and port information (“port”) are described.

VPNグループ情報記憶部54は、中継グループを構成する中継サーバ及びクライアント端末からルーティングポイントとして選択された機器(以下、ルーティング機器と称する)で構成されたVPNグループに関する情報であるVPNグループ情報を記憶している。同一のVPNグループに所属するルーティング機器同士でルーティングセッションを確立させることにより、VPNを利用した通信を開始することができる。   The VPN group information storage unit 54 stores VPN group information, which is information related to a VPN group configured by a relay server and a device selected as a routing point from the client terminal (hereinafter referred to as a routing device). ing. By establishing a routing session between routing devices belonging to the same VPN group, communication using VPN can be started.

図6に示すVPNグループ情報においては、vnetタグが記述されている。このvnetタグには、VPNグループ基本情報541と、ルーティングポイント情報542と、ルーティングセッション情報543と、が記述されている。VPNグループ基本情報541には、VPNグループが所属する中継グループの名称(「group」)と、VPNグループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、VPNグループの名称(「name」)と、が記述されている。ルーティングポイント情報542には、VPNグループ間で通信を行うときにルーティングを行うルーティング機器の識別情報が記述されている。図6の例においては、ルーティング機器として、中継サーバ1と、中継サーバ3と、が記述されている。ルーティングセッション情報543には、VPNグループにおいて互いに接続されるルーティング機器が記述されている。ルーティングセッション情報543において、ルーティング機器は、VPNグループでVPNを構築して通信を開始するためのルーティングセッション確立処理において、通信制御を最初に行う側(「sp(start point)」)と、その通信制御を受ける側「ep(end point)」と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング機器を「始点」と、その通信制御を受ける側のルーティング機器を「終点」と、それぞれ称することがある。   In the VPN group information shown in FIG. 6, a vnet tag is described. In this vnet tag, VPN group basic information 541, routing point information 542, and routing session information 543 are described. The VPN group basic information 541 includes a relay group name (“group”) to which the VPN group belongs, a VPN group identification information (“id”), a last update time (“lastmod”), and a VPN group name. ("Name"). The routing point information 542 describes identification information of a routing device that performs routing when communication is performed between VPN groups. In the example of FIG. 6, a relay server 1 and a relay server 3 are described as routing devices. The routing session information 543 describes routing devices connected to each other in the VPN group. In the routing session information 543, the routing device first performs communication control (“sp (start point)”) in the routing session establishment process for establishing the VPN in the VPN group and starting communication, and its communication. It is determined separately for the side to be controlled “ep (end point)”. In the following description, a routing device that first performs communication control for establishing a routing session may be referred to as a “start point”, and a routing device that receives the communication control may be referred to as a “end point”.

図6に示すVPNグループ情報からは、VPNグループ(VPN−GROUP1)が、中継サーバ1と中継サーバ3とで構成されることが分かる。また、このVPNグループの開始時には、中継サーバ3から中継サーバ1へルーティングセッションを確立するための通信制御が行われることが分かる。   It can be seen from the VPN group information shown in FIG. 6 that the VPN group (VPN-GROUP 1) is composed of the relay server 1 and the relay server 3. It can also be seen that at the start of this VPN group, communication control for establishing a routing session from the relay server 3 to the relay server 1 is performed.

このVPNグループ情報も中継サーバ情報及び中継グループ情報と同様に、同じVPNグループに所属する中継サーバ1,3の間で共有されている。そして、ある中継サーバにおいてVPNグループ情報を変更する処理が行われた場合は、同じVPNグループに所属する他の中継サーバに対してその旨が送信されてVPNグループ情報が更新される。このようにして、VPNグループ情報が動的に共有される。なお、このVPNグループを作成する処理については後述する。   This VPN group information is also shared between the relay servers 1 and 3 belonging to the same VPN group, like the relay server information and the relay group information. When a process for changing VPN group information is performed in a certain relay server, the fact is transmitted to other relay servers belonging to the same VPN group, and the VPN group information is updated. In this way, VPN group information is dynamically shared. The process for creating this VPN group will be described later.

アドレスフィルタ情報記憶部55は、VPNを利用したルーティング制御を行う際に用いられる情報であるアドレスフィルタ情報を記憶する。アドレスフィルタ情報記憶部55は、VPNの構築前においては、中継サーバ3自身がパケットを直接的に送信可能な装置(ルーティング対象装置)を示す情報(中継サーバ3のアドレスフィルタ情報)を記憶する。なお、アドレスフィルタ情報には、ルーティング対象装置のアドレス(ルーティング対象アドレス)と、ルーティング対象装置の名称と、が含まれる。   The address filter information storage unit 55 stores address filter information that is information used when performing routing control using VPN. The address filter information storage unit 55 stores information (address filter information of the relay server 3) indicating a device (routing target device) to which the relay server 3 itself can directly transmit a packet before the VPN is constructed. The address filter information includes the address of the routing target device (routing target address) and the name of the routing target device.

図7(c)には、中継サーバ3自身に予め登録されたアドレスフィルタ情報の例が示されている。この例では、中継サーバ3がパケットを直接的に送信可能な機器が対象端末31,32,33であることが記述されている。なお、図7(a)には、中継サーバ1に予め登録されたアドレスフィルタ情報が示され、図7(b)には、中継サーバ2に予め登録されたアドレスフィルタ情報が示されている。   FIG. 7C shows an example of address filter information registered in advance in the relay server 3 itself. In this example, it is described that devices to which the relay server 3 can directly transmit packets are the target terminals 31, 32, and 33. 7A shows the address filter information registered in advance in the relay server 1, and FIG. 7B shows the address filter information registered in advance in the relay server 2.

上述のように、中継サーバ3のアドレスフィルタ情報記憶部55は、VPNを構築する前においては、図7(c)に示すアドレスフィルタ情報のみを記憶する。そして、中継サーバ3は、例えば中継サーバ1とルーティングセッションを確立させるときに、自身に予め登録されたアドレスフィルタ情報(図7(c))を中継サーバ1へ送信するとともに、中継サーバ1からもアドレスフィルタ情報(図7(a))を受信する。そして、中継サーバ3は、中継サーバ1のアドレスフィルタ情報を当該中継サーバ1の識別情報と対応付けてアドレスフィルタ情報記憶部55に記憶する。   As described above, the address filter information storage unit 55 of the relay server 3 stores only the address filter information shown in FIG. 7C before constructing the VPN. Then, when establishing a routing session with the relay server 1, for example, the relay server 3 transmits address filter information (FIG. 7C) registered in advance to the relay server 1 and also from the relay server 1. Address filter information (FIG. 7A) is received. Then, the relay server 3 stores the address filter information of the relay server 1 in the address filter information storage unit 55 in association with the identification information of the relay server 1.

これにより、中継サーバ3のアドレスフィルタ情報記憶部55には、図8に示す内容が記憶されることになる。なお、中継サーバ1のアドレスフィルタ情報記憶部55にも同内容の情報が記憶される。そして、中継サーバ1,3は、この取得したアドレスに基づいて、ルーティング制御を行う(詳細な制御については後述)。なお、以下では、中継サーバ3のアドレスフィルタ情報に含まれるルーティング対象アドレスを第1ルーティング対象アドレスと称し、中継サーバ1のアドレスフィルタ情報に含まれるルーティング対象アドレスを第2ルーティング対象アドレスと称することがある。   As a result, the contents shown in FIG. 8 are stored in the address filter information storage unit 55 of the relay server 3. The same information is also stored in the address filter information storage unit 55 of the relay server 1. Then, the relay servers 1 and 3 perform routing control based on the acquired address (detailed control will be described later). Hereinafter, the routing target address included in the address filter information of the relay server 3 is referred to as a first routing target address, and the routing target address included in the address filter information of the relay server 1 is referred to as a second routing target address. is there.

通知条件記憶部56は、図9に示すような通知条件を記憶する。通知条件とは、パケットを受信した旨をユーザに通知するか否かを規定するものである。つまり、中継サーバ3は、パケットを受信したときに、受信したパケットがこの通知条件を満たすか否かを判定し、通知条件を満たすと判定したときにユーザへ通知を行う。   The notification condition storage unit 56 stores notification conditions as shown in FIG. The notification condition defines whether to notify the user that a packet has been received. That is, when the relay server 3 receives a packet, the relay server 3 determines whether the received packet satisfies the notification condition, and notifies the user when it determines that the notification condition is satisfied.

なお、中継サーバ3は、例えば中継サーバ1とVPNを構築する場合、中継サーバ1へ通知条件を送信する。そして、中継サーバ1,3は、同じ通知条件を用いてパケットの監視を行う。なお、中継サーバ1,3の両方を介してパケットが送信される場合、通知の重複を防ぐために何れか一方のみの通知が行われるものとする。   Note that the relay server 3 transmits a notification condition to the relay server 1 when constructing a VPN with the relay server 1, for example. Then, the relay servers 1 and 3 monitor packets using the same notification conditions. In addition, when a packet is transmitted via both of the relay servers 1 and 3, only one of the notifications is performed in order to prevent duplication of notification.

本実施形態では、図9に示すように、通知条件の条件項目として、宛先アドレス、送信元アドレス、データ量、及び通信時間が登録されている。宛先アドレス及び送信元アドレスには、不明な端末からのアクセスがあったことを検出するために、未登録アドレス(交換後のアドレスフィルタ情報に記載されていないアドレス)が登録されている。また、本実施形態では、対象端末33には、個人情報及び営業秘密等の重要な情報が記憶されているものとする。そのため、対象端末33へのアクセスを把握するために、対象端末33のアドレスも通知条件として登録されている。また、データ量が大きい場合及び通信時間が長い場合等は、不要なアクセスが行われている可能性があるため、通知条件として登録されている。   In the present embodiment, as shown in FIG. 9, a destination address, a transmission source address, a data amount, and a communication time are registered as condition items of the notification condition. In the destination address and the source address, an unregistered address (an address not described in the address filter information after the exchange) is registered in order to detect that there is an access from an unknown terminal. In the present embodiment, it is assumed that important information such as personal information and trade secrets is stored in the target terminal 33. Therefore, in order to grasp the access to the target terminal 33, the address of the target terminal 33 is also registered as a notification condition. Further, when the amount of data is large and when the communication time is long, unnecessary access may be performed, and thus it is registered as a notification condition.

通知ログ記憶部57は、図10に示す通知ログを記録する。通知ログとは、通知条件を満たしたときに行われる通知の内容を記録した情報である。通知ログには、図10に示すように、通知ID、通知元、通知時刻、通知内容等が含まれる。通知IDの欄には、通知を識別するためのIDが記述されている。通知元の欄には、通知を行ったルーティング機器が記述されている。通知時刻の欄には、通知が行われた時刻が記述されている。通知内容の欄には、満たした通知条件の条件項目及び宛先アドレス又は送信元アドレス等が記述される。なお、中継サーバ1,3の両方を介してパケットが送信される場合、通知ログの重複を防ぐために何れか一方の通知ログが作成されるものとする。   The notification log storage unit 57 records the notification log shown in FIG. The notification log is information that records the content of notification performed when the notification condition is satisfied. As shown in FIG. 10, the notification log includes a notification ID, a notification source, a notification time, a notification content, and the like. In the notification ID column, an ID for identifying the notification is described. In the notification source column, the routing device that made the notification is described. The notification time column describes the time at which the notification was made. In the notification content column, a condition item of the satisfied notification condition, a destination address, a transmission source address, and the like are described. In addition, when a packet is transmitted via both of the relay servers 1 and 3, it is assumed that one of the notification logs is created to prevent the notification logs from being duplicated.

次に、VPNを利用した通信を行うための準備について説明する。初めに、図11を参照して中継サーバに予め行う設定について説明し、次に、図12を参照してVPNグループを作成するときの流れについて説明する。図11は、予め中継サーバに行う設定を示すフローチャートである。図12は、VPNグループを作成する処理を示すフローチャートである。以下では、中継サーバ3を例に挙げて、中継サーバ3に対して行う設定及び中継サーバ3が実行する処理について説明するが、中継サーバ1,2にも同様の設定が行われるとともに、同様の処理を実行可能であるとする。   Next, preparation for performing communication using VPN will be described. First, the setting performed in advance on the relay server will be described with reference to FIG. 11, and the flow when creating a VPN group will be described with reference to FIG. FIG. 11 is a flowchart showing settings to be made to the relay server in advance. FIG. 12 is a flowchart showing processing for creating a VPN group. In the following, the relay server 3 is taken as an example, and the settings performed on the relay server 3 and the processing executed by the relay server 3 will be described. It is assumed that the process can be executed.

中継サーバ3に予め行う設定としては、当該中継サーバ3のアドレスフィルタ情報の登録(S101)がある。この登録は、中継通信システム100を利用するユーザが、ルーティング対象装置として指定する機器等のアドレス(第1ルーティング対象アドレス)と、名称と、を所定の方法で入力することにより行う。ここでは、ユーザは、対象端末31,32,33のアドレス及び名称を入力したものとする。ここで登録されたアドレスフィルタ情報は、アドレスフィルタ情報記憶部55に記憶される。   The setting to be made in advance in the relay server 3 includes registration of address filter information of the relay server 3 (S101). This registration is performed by a user using the relay communication system 100 by inputting an address (first routing target address) of a device or the like designated as a routing target device and a name by a predetermined method. Here, it is assumed that the user has input the addresses and names of the target terminals 31, 32, and 33. The registered address filter information is stored in the address filter information storage unit 55.

次に、ユーザは、前記通知条件の登録を行う(S102)。ここで登録された通知条件は、中継サーバ3の通知条件記憶部56にのみ記憶される。   Next, the user registers the notification condition (S102). The notification conditions registered here are stored only in the notification condition storage unit 56 of the relay server 3.

なお、アドレスフィルタ情報の登録は、ルーティング機器毎に行う必要がある。従って、ユーザは、中継サーバ1,2に対してもルーティング対象アドレスを入力してアドレスフィルタ情報を登録する。一方、本実施形態では中継サーバ3に登録された通知条件を他の中継サーバへ送信する構成である。従って、ユーザによる通知条件の登録は、中継サーバ3に対してのみ行われる。   It is necessary to register address filter information for each routing device. Therefore, the user also inputs the routing target address to the relay servers 1 and 2 and registers the address filter information. On the other hand, in this embodiment, the notification condition registered in the relay server 3 is transmitted to another relay server. Therefore, registration of the notification condition by the user is performed only for the relay server 3.

以下、VPNグループを作成するときの流れについて説明する。ユーザは、初めに、クライアント端末13,22,34等を操作することによって、VPNグループの設定画面を表示させることができる。ここでは、クライアント端末34を用いて設定を行う場合について説明する。クライアント端末34に表示させた設定画面には、当該クライアント端末34が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、VPNグループを構築したい中継グループを選択する(S201)。   Hereinafter, the flow when creating a VPN group will be described. First, the user can display a VPN group setting screen by operating the client terminals 13, 22, 34, and the like. Here, a case where setting is performed using the client terminal 34 will be described. On the setting screen displayed on the client terminal 34, a plurality of relay groups to which the client terminal 34 belongs are displayed. The user selects a relay group for which a VPN group is to be constructed from the plurality of relay groups (S201).

中継グループが選択されると、クライアント端末34の画面には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバ及びクライアント端末の識別情報の一覧が表示される(S202)。そして、ユーザは、構築するVPNグループにおいてルーティングポイントとして機能させる中継サーバ及びクライアント端末を選択する(S203)。今回の説明では、中継サーバ1と、中継サーバ3と、がユーザに選択されたものとする。   When a relay group is selected, a list of identification information of relay servers and client terminals that belong to the selected relay group and that can function as a routing point is displayed on the screen of the client terminal 34 (S202). Then, the user selects a relay server and a client terminal that function as a routing point in the VPN group to be constructed (S203). In this description, it is assumed that the relay server 1 and the relay server 3 are selected by the user.

そして、選択された中継サーバの識別情報に基づいて、ルーティングポイントの識別情報及び前記ルーティングセッション情報が作成される(S204)。そして、これらの情報にVPNグループの識別情報等を付加することにより、図6で示したVPNグループ情報が作成される。クライアント端末34は、このVPNグループ情報を、同じVPNグループに所属する中継サーバ1,3へ送信する(S205)。そして、中継サーバ1,3は、受信したVPNグループ情報をVPNグループ情報記憶部54に記憶する。以上により、VPNグループの構築処理が完了する。   Then, based on the identification information of the selected relay server, the identification information of the routing point and the routing session information are created (S204). The VPN group information shown in FIG. 6 is created by adding VPN group identification information or the like to these pieces of information. The client terminal 34 transmits this VPN group information to the relay servers 1 and 3 belonging to the same VPN group (S205). Then, the relay servers 1 and 3 store the received VPN group information in the VPN group information storage unit 54. Thus, the VPN group construction process is completed.

次に、構築したVPNグループでVPNを利用した通信を開始するまでの流れについて、図13及び図14を参照して説明する。図13及び図14は、VPNを利用した通信を開始するまでに行う処理を示すフローチャートである。   Next, a flow until communication using VPN is started in the constructed VPN group will be described with reference to FIGS. 13 and 14. FIG. 13 and FIG. 14 are flowcharts showing processing performed until communication using VPN is started.

ユーザは、クライアント端末13等又は操作PC11等を操作することによって、構築したVPNグループを画面に表示させることができる。そして、表示されたVPNグループから適当なVPNグループを選択することにより(S301)、VPNを構築するための処理を行わせることができる。今回の説明では、上記で作成したVPNグループ(中継サーバ1,3で構成されるVPNグループ)の開始処理を中継サーバ3が行う例を説明する。   The user can display the constructed VPN group on the screen by operating the client terminal 13 or the operation PC 11 or the like. Then, by selecting an appropriate VPN group from the displayed VPN groups (S301), a process for constructing the VPN can be performed. In this description, an example will be described in which the relay server 3 performs the start process of the VPN group created above (a VPN group composed of the relay servers 1 and 3).

中継サーバ3は、初めに、自身に対応付けられたアドレスフィルタ情報を読み出す(S302)。ここで読み出される情報は、S101で登録された内容(図7(c)に示す内容)である。次に、中継サーバ3は、選択されたVPNグループに属するルーティングポイントの読出しを行う(S303)。これにより、図6に示すVPNグループ情報の内容に基づいて、中継サーバ1が読み出される。   The relay server 3 first reads out address filter information associated with itself (S302). The information read here is the content registered in S101 (the content shown in FIG. 7C). Next, the relay server 3 reads the routing points belonging to the selected VPN group (S303). Thereby, the relay server 1 is read based on the content of the VPN group information shown in FIG.

中継サーバ3は、中継サーバ情報に基づいて、初めに、中継サーバ1がログイン中か否か(「stat」がactiveか空欄か)を判断する(S304)。図4に示す中継サーバ情報によれば中継サーバ1はログイン中であるため、中継サーバ3は、中継サーバ1へVPNグループの識別情報とともに、VPNグループの開始コマンドを送信する(S305)。   Based on the relay server information, the relay server 3 first determines whether the relay server 1 is logged in (“stat” is active or blank) (S304). According to the relay server information shown in FIG. 4, since the relay server 1 is logged in, the relay server 3 transmits a VPN group start command together with the VPN group identification information to the relay server 1 (S305).

中継サーバ3は、この開始コマンドに対する中継サーバ1からの応答を受けると(S306)、中継サーバ1を、VPNを構築する準備が完了したルーティングポイントとして登録する(S307)。   When the relay server 3 receives a response from the relay server 1 in response to the start command (S306), the relay server 1 registers the relay server 1 as a routing point that is ready to construct a VPN (S307).

次に、中継サーバ3は、同じVPNグループに所属する他の機器が有るか否かの判断を行う(S308)。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他の機器は存在しない。なお、仮に他の機器が存在していた場合は、中継サーバ3は、今度は当該機器を対象としてS304〜S307の処理を行う。   Next, the relay server 3 determines whether there is another device belonging to the same VPN group (S308). Since the currently created VPN group is composed of only the relay server 1 and the relay server 3, there is no other device. If there is another device, the relay server 3 performs the processing of S304 to S307 this time for the device.

次に、中継サーバ3は、VPNグループ情報記憶部54の記憶内容からルーティングセッション情報を抽出する(図14のS309)。そして、中継サーバ3は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する(S310)。図6のルーティングセッション情報においては、中継サーバ1と中継サーバ3との間で確立されるべきルーティングセッションにおいて、自身(中継サーバ3)が始点となることが記述されている。   Next, the relay server 3 extracts routing session information from the contents stored in the VPN group information storage unit 54 (S309 in FIG. 14). Then, the relay server 3 refers to the extracted routing session information, and determines whether or not a routing session starting from itself is described (S310). In the routing session information of FIG. 6, it is described that in the routing session to be established between the relay server 1 and the relay server 3, itself (the relay server 3) is the starting point.

そのため、中継サーバ3は、中継サーバ1に対してルーティングセッションを確立するための通信制御を行う(S311)。なお、この通信制御を行う際に、前述のように、アドレスフィルタ情報が交換されるとともに(S312)、中継サーバ3から中継サーバ1へ通知条件が送信される(S312)。これにより、中継サーバ1,3のアドレスフィルタ情報記憶部55には、図8に示す内容が記憶される。また、中継サーバ1,3の通知条件記憶部56には、図9に示す内容が記憶される。   Therefore, the relay server 3 performs communication control for establishing a routing session with the relay server 1 (S311). When performing this communication control, as described above, the address filter information is exchanged (S312), and a notification condition is transmitted from the relay server 3 to the relay server 1 (S312). Accordingly, the contents shown in FIG. 8 are stored in the address filter information storage unit 55 of the relay servers 1 and 3. Further, the contents shown in FIG. 9 are stored in the notification condition storage unit 56 of the relay servers 1 and 3.

このように、本実施形態ではVPNを構築する際に、それぞれのルーティング機器が他のルーティング機器とアドレスフィルタ情報を交換(取得)するため、最新のアドレスフィルタ情報を用いてVPNを構築することができる。従って、VPN開始前の段階で一部のルーティング機器においてアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング機器に反映させた状態でVPNを構築して通信を開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。   As described above, in this embodiment, when a VPN is constructed, each routing device exchanges (acquires) address filter information with other routing devices. Therefore, it is possible to construct a VPN using the latest address filter information. it can. Therefore, even if the address filter information is changed in some routing devices at the stage before the VPN start, the VPN can be constructed and communication can be started with the change reflected in all the routing devices. Inconsistency in routing can be prevented, and reliability can be improved.

また、本実施形態では、中継サーバ3に登録された通知条件を中継サーバ1へ送信するため、中継サーバ1に通知条件を登録する必要がない。更に、中継サーバ3と中継サーバ1との通知条件を同一にできるので、統一した管理を行うことができる。あるいは、中継サーバ3で登録された通知条件と中継サーバ1で登録された通知条件をアドレスフィルタ情報と同じように(自分の通知条件を残しつつ通信相手の通知条件を追加するように)交換(取得)することで、それぞれの中継サーバで個別に通知条件を登録していても中継通信システム全体で統一した管理を行うことができる。   In the present embodiment, the notification condition registered in the relay server 3 is transmitted to the relay server 1, so that it is not necessary to register the notification condition in the relay server 1. Furthermore, since the notification conditions of the relay server 3 and the relay server 1 can be made the same, unified management can be performed. Alternatively, the notification condition registered in the relay server 3 and the notification condition registered in the relay server 1 are exchanged in the same manner as the address filter information (so that the notification condition of the communication partner is added while leaving the own notification condition) ( Acquisition), it is possible to perform unified management for the entire relay communication system even if notification conditions are individually registered in each relay server.

次に、中継サーバ3は、再びS310の処理を行う。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他のルーティングセッションはVPNグループ情報には記述されていない。従って、中継サーバ3は、パケットのルーティング制御を開始する(S313)。なお、仮に他のルーティングセッションがある場合は、中継サーバ3は、再びS311,S312の処理を行う。   Next, the relay server 3 performs the process of S310 again. Since the currently created VPN group is composed of only the relay server 1 and the relay server 3, other routing sessions are not described in the VPN group information. Accordingly, the relay server 3 starts packet routing control (S313). If there is another routing session, the relay server 3 performs the processes of S311 and S312 again.

また、図14のフローチャートには記載していないが、S310において自身が接続の始点となるルーティングセッションが無い場合(自身がルーティングの終点となる場合)であっても、始点となるルーティング機器からの通信制御を受けてルーティングセッションの確立処理及びアドレスフィルタ情報の交換が行われる。   Further, although not described in the flowchart of FIG. 14, even if there is no routing session that is the connection start point in S <b> 310 (when it is the routing end point), the routing device from the routing device that is the start point Under the communication control, routing session establishment processing and address filter information exchange are performed.

なお、それぞれのルーティング機器は、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。   Each routing device does not perform the initial communication control for establishing a routing session unless the routing session information indicates that it is the starting point. The routing session can be established with simple control.

次に、図15及び図16を参照して、中継サーバ3がパケットをルーティングする際に行う制御について説明する。図15は、LAN30からパケットを受信したときに中継サーバ3が行うルーティング制御を示すフローチャートである。図16は、ルーティングセッションからパケットを受信したときに中継サーバ3が行うルーティング制御を示すフローチャートである。   Next, control performed when the relay server 3 routes a packet will be described with reference to FIGS. 15 and 16. FIG. 15 is a flowchart showing the routing control performed by the relay server 3 when a packet is received from the LAN 30. FIG. 16 is a flowchart showing the routing control performed by the relay server 3 when a packet is received from the routing session.

初めに、中継サーバ3がLAN30からパケットを受信したときに行う処理について説明する。中継サーバ3は、LAN30からパケットを受信するまで待機している(S401)。そして、LAN30からパケットを受信した場合、初めに、当該パケットの宛先が自機(中継サーバ3)であるか否かの判断を行う(S402)。中継サーバ3は、パケットの宛先が自機であった場合、当該パケットの受信を行う(S403)。一方、中継サーバ3は、パケットの宛先が自機以外であった場合、通知設定が有効になっているか否かの判断を行う(S404)。本実施形態では中継サーバ3には通知条件が設定されているので、通知設定が有効である。なお、中継サーバ3は、仮に通知設定が有効でない場合、以下のS405とS406の処理をスキップする。   First, a process performed when the relay server 3 receives a packet from the LAN 30 will be described. The relay server 3 stands by until a packet is received from the LAN 30 (S401). When a packet is received from the LAN 30, first, it is determined whether or not the destination of the packet is the own device (relay server 3) (S402). The relay server 3 receives the packet when the destination of the packet is its own device (S403). On the other hand, if the destination of the packet is other than its own, the relay server 3 determines whether the notification setting is valid (S404). In the present embodiment, the notification condition is set in the relay server 3, so the notification setting is effective. Note that if the notification setting is not valid, the relay server 3 skips the following processes of S405 and S406.

次に、中継サーバ3は、受信したパケットが通知条件を満たすか否かの判断を行う(S405)。通知条件を満たさない場合、以下のS406の処理をスキップする。一方、受信したパケットが通知条件を満たす場合、中継サーバ3は、LAN10及びLAN30内の所定の機器へ通知を行う(S406)。この通知は、電子メールで行うことができる他、中継通信システムの管理画面等にメッセージを表示することでユーザに通知を行っても良い。ユーザは、この通知を確認することにより、VPNを利用して行われている通信を把握することができる。   Next, the relay server 3 determines whether or not the received packet satisfies the notification condition (S405). If the notification condition is not satisfied, the following process of S406 is skipped. On the other hand, when the received packet satisfies the notification condition, the relay server 3 notifies a predetermined device in the LAN 10 and the LAN 30 (S406). This notification can be performed by e-mail, or may be notified to the user by displaying a message on a management screen or the like of the relay communication system. By confirming this notification, the user can grasp the communication performed using the VPN.

また、中継サーバ3は、この通知を行う前後に、通知内容のログを作成して通知ログ記憶部57に記憶する(S406)。なお、中継サーバ3は、自機が備える通知ログ記憶部57に通知内容を記憶するだけではなく、他の中継サーバ1へ通知内容を送信して通知ログ記憶部57に記憶させても良い。   Further, the relay server 3 creates a log of notification contents before and after making this notification, and stores it in the notification log storage unit 57 (S406). Note that the relay server 3 may not only store the notification content in the notification log storage unit 57 included in the own server, but also transmit the notification content to another relay server 1 and store the notification content in the notification log storage unit 57.

次に、中継サーバ3は、受信したパケットの宛先アドレスと、アドレスフィルタ情報(図8を参照)と、を比較する(S407)。中継サーバ3は、宛先アドレスがアドレスフィルタ情報に登録されていない場合、パケットを破棄する(S408)。一方、中継サーバ3は、宛先アドレスがアドレスフィルタ情報に登録されていた場合、当該アドレスフィルタ情報に対応するルーティングセッションへパケットを送信する(S409)。例えば、パケットの宛先アドレスが(200.1.40.10)であった場合、図8に示すようにこのアドレスは中継サーバ1に対応付けられているので、中継サーバ3は、パケットを中継サーバ1へ送信する。   Next, the relay server 3 compares the destination address of the received packet with the address filter information (see FIG. 8) (S407). When the destination address is not registered in the address filter information, the relay server 3 discards the packet (S408). On the other hand, when the destination address is registered in the address filter information, the relay server 3 transmits a packet to the routing session corresponding to the address filter information (S409). For example, when the destination address of the packet is (200.1.40.10), since this address is associated with the relay server 1 as shown in FIG. 8, the relay server 3 sends the packet to the relay server. Send to 1.

以上のように処理を行うことで、LAN30から受信したパケットについて、通知条件に基づいた通知、及び、アドレスフィルタ情報に基づいたルーティングを行うことができる。   By performing the processing as described above, it is possible to perform notification based on the notification condition and routing based on the address filter information for the packet received from the LAN 30.

なお、S408で示したように、ルーティング機器は、パケットの宛先アドレスが未登録であった場合、他のルーティング機器へパケットを送信しない。従って、例えばS408の処理を中継サーバ1が行った場合、中継サーバ3は、宛先アドレスが未登録のパケット(通知対象となるパケット)が送信されたことを検出できない。この点、本実施形態では、中継サーバ3だけでなく中継サーバ1も同じ通知条件で通知を行う構成であるので、パケットの検出漏れを防止して、セキュリティを向上させることができる。   As shown in S408, the routing device does not transmit the packet to other routing devices when the destination address of the packet is not registered. Therefore, for example, when the relay server 1 performs the process of S408, the relay server 3 cannot detect that a packet whose destination address is unregistered (a packet to be notified) is transmitted. In this regard, in the present embodiment, not only the relay server 3 but also the relay server 1 is configured to perform notification under the same notification conditions, so that packet detection failure can be prevented and security can be improved.

次に、中継サーバ3がルーティングセッションからパケットを受信したときに行う処理について説明する。中継サーバ3は、ルーティングセッションからパケットを受信するまで待機している(S501)。そして、中継サーバ3は、パケットを受信した場合、通知設定が有効になっているか否かの判断を行う(S502)。本実施形態では中継サーバ3には通知条件が設定されているので、通知設定が有効である。なお、中継サーバ3は、通知設定が有効でない場合、S503とS504の処理をスキップする。   Next, processing performed when the relay server 3 receives a packet from the routing session will be described. The relay server 3 stands by until a packet is received from the routing session (S501). Then, when receiving the packet, the relay server 3 determines whether the notification setting is valid (S502). In the present embodiment, the notification condition is set in the relay server 3, so the notification setting is effective. Note that if the notification setting is not valid, the relay server 3 skips the processing of S503 and S504.

次に、中継サーバ3は、受信したパケットが通知条件を満たすか否かの判断を行う(S503)。通知条件を満たさない場合、以下のS504の処理をスキップする。一方、受信したパケットが通知条件を満たす場合、中継サーバ3は、LAN10及びLAN30内の所定の機器へ通知を行うとともに、通知内容を通知ログ記憶部57に記憶する(S504)。   Next, the relay server 3 determines whether or not the received packet satisfies the notification condition (S503). If the notification condition is not satisfied, the following process of S504 is skipped. On the other hand, when the received packet satisfies the notification condition, the relay server 3 notifies a predetermined device in the LAN 10 and the LAN 30 and stores the notification content in the notification log storage unit 57 (S504).

次に、中継サーバ3は、受信したパケットの宛先アドレスと、アドレスフィルタ情報(図8を参照)と、を比較して、パケットの宛先アドレスが自機のアドレスフィルタ情報に対応付けて登録されているか否かの判断を行う(S505)。パケットの宛先アドレスが自機のアドレスフィルタ情報に対応付けて登録されている場合、中継サーバ3は、宛先が示す機器(対象端末31,32,33)へ、パケットを転送する(S506)。   Next, the relay server 3 compares the destination address of the received packet with the address filter information (see FIG. 8), and the packet destination address is registered in association with its own address filter information. It is determined whether or not there is (S505). When the destination address of the packet is registered in association with its own address filter information, the relay server 3 transfers the packet to the device (target terminals 31, 32, 33) indicated by the destination (S506).

また、中継サーバ3は、宛先アドレスが自機のアドレスフィルタ情報に対応付けて登録されていない場合、当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報に対応付けて登録されているか否かの判断を行う(S507)。当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報に対応付けて登録されている場合、中継サーバ3は、当該アドレスフィルタ情報に対応するルーティングセッションへパケットを送信する(S508)。   Further, when the destination address is not registered in association with the address filter information of the own device, the relay server 3 determines whether or not the destination address is registered in association with the address filter information of another routing device. (S507). When the destination address is registered in association with the address filter information of another routing device, the relay server 3 transmits a packet to the routing session corresponding to the address filter information (S508).

一方、当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報にも登録されていない場合、中継サーバ3は、当該パケットを破棄する(S509)。   On the other hand, when the destination address is not registered in the address filter information of another routing device, the relay server 3 discards the packet (S509).

以上のように処理を行うことで、ルーティングセッションから受信したパケットについて、通知条件に基づいた通知、及び、アドレスフィルタ情報に基づいたルーティングを行うことができる。   By performing the processing as described above, it is possible to perform notification based on the notification condition and routing based on the address filter information for the packet received from the routing session.

また、ユーザは、中継サーバ3(又は中継サーバ1)から通知を受けることで、送信元アドレス又は宛先アドレスが未登録アドレスである通信、及び、対象端末33への通信があったこと等を把握することができる。特に、本実施形態では通知ログが作成されているので、ユーザは、通知ログを参照することにより、過去の通知内容も考慮して対応を行うことができる。   In addition, by receiving notification from the relay server 3 (or the relay server 1), the user grasps that there is communication that the source address or destination address is an unregistered address, communication to the target terminal 33, and the like. can do. In particular, since a notification log is created in the present embodiment, the user can take action by referring to the notification log in consideration of past notification contents.

以下、通知ログの活用方法を簡単に説明する。例えば、同じ送信元アドレスから頻繁にアクセスが行われている場合、何者かがVPNに侵入を試みている可能性がある。また、対象端末33へ必要以上にアクセスが行われている場合、不要なアクセスが行われている可能性がある。例えば上記のことを検出したときに所定の対応を行うことで、情報の漏洩を未然に防ぐことが可能となる。   Hereinafter, a method of using the notification log will be briefly described. For example, if there is frequent access from the same source address, there is a possibility that someone is trying to invade the VPN. Further, when the target terminal 33 is accessed more than necessary, unnecessary access may be performed. For example, by performing a predetermined response when the above is detected, it is possible to prevent information leakage.

以上に示したように、本実施形態の中継サーバ3は、アドレスフィルタ情報記憶部55と、通知条件記憶部56と、制御部60と、を備える。アドレスフィルタ情報記憶部55は、第1ルーティング対象アドレスと、第2ルーティング対象アドレスと、を記憶する。通知条件記憶部56は、パケットを受信した旨を通知する条件である通知条件を記憶する。中継サーバ3は、中継サーバ1へ第1ルーティング対象アドレスを送信するとともに、中継サーバ1から第2ルーティング対象アドレスを受信し、中継サーバ1とルーティングセッションを確立する。中継サーバ3は、第1ルーティング対象装置から第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、ルーティングセッションを介して中継サーバ1へ転送する。中継サーバ3は、ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の第1ルーティング対象装置へ転送する。中継サーバ3は、ルーティングセッション又はLAN30からパケットを受信したときに、通知条件を満たすか否かを判定し、通知条件を満たすと判定した場合に通知を行う。   As described above, the relay server 3 of this embodiment includes the address filter information storage unit 55, the notification condition storage unit 56, and the control unit 60. The address filter information storage unit 55 stores the first routing target address and the second routing target address. The notification condition storage unit 56 stores a notification condition that is a condition for notifying that a packet has been received. The relay server 3 transmits the first routing target address to the relay server 1, receives the second routing target address from the relay server 1, and establishes a routing session with the relay server 1. When the relay server 3 receives a packet destined for the second routing target device from the first routing target device, the relay server 3 transfers the packet to the relay server 1 via the routing session. When the relay server 3 receives a packet destined for the first routing target address from the routing session, the relay server 3 transfers the packet to the destination first routing target device. The relay server 3 determines whether or not the notification condition is satisfied when a packet is received from the routing session or the LAN 30, and performs notification when it is determined that the notification condition is satisfied.

これにより、ユーザは、VPNを利用して行われる通信のうち通知条件を満たす通信があったことを知ることができる。従って、ユーザは、例えば登録されていない端末からのアクセス等、セキュリティの観点から注意を払うべき通信を把握することができる。そのため、ユーザは、情報の漏洩を未然に防ぐことが可能となる。また、ユーザは、万が一情報が漏洩した場合であっても、事態の拡大を防ぐための対応を即座に行うことが可能となる。   Thereby, the user can know that there existed communication which satisfy | fills notification conditions among the communications performed using VPN. Therefore, the user can grasp the communication to which attention should be paid from the viewpoint of security, such as access from an unregistered terminal. Therefore, the user can prevent information leakage. In addition, even if information is leaked, the user can immediately take action to prevent the situation from expanding.

また、本実施形態では、中継サーバ3の通知条件記憶部56が記憶する通知条件と、中継サーバ1が記憶する通知条件と、が等しい。   In the present embodiment, the notification condition stored in the notification condition storage unit 56 of the relay server 3 is equal to the notification condition stored in the relay server 1.

これにより、通知が行われる条件をVPNグループ内で同一にできるので、統一した管理を行うことができる。また、中継サーバ3以外に中継サーバ1がアクセスの監視を行うので、中継サーバ3に到達しないパケットについても監視対象とすることができる。   Thereby, since the conditions under which notification is performed can be made the same in the VPN group, unified management can be performed. Further, since the relay server 1 monitors access other than the relay server 3, packets that do not reach the relay server 3 can be monitored.

また、本実施形態の中継サーバ3は、第1ルーティング対象アドレスとともに通知条件を中継サーバ1へ送信する。   In addition, the relay server 3 according to the present embodiment transmits a notification condition to the relay server 1 together with the first routing target address.

これにより、通知条件を独立して送信する場合と比較して、中継サーバ間の通信を単純にすることができる。   Thereby, compared with the case where notification conditions are transmitted independently, communication between relay servers can be simplified.

また、本実施形態の中継サーバ3は、通知条件を満たすと判定した場合に、LAN30に所属する端末及びLAN10に所属する端末の両方へ通知を行う。   In addition, when it is determined that the notification condition is satisfied, the relay server 3 according to the present embodiment notifies both the terminal belonging to the LAN 30 and the terminal belonging to the LAN 10.

これにより、登録されていない端末からアクセスがあったことを、より多くの端末へ通知することができる。従って、例えばLAN30の設置先が無人である場合、又は対応可能なユーザがいない場合であっても、他のLAN10のユーザが通知に対応する等の柔軟な対応が可能になる。   As a result, it is possible to notify more terminals that there is an access from an unregistered terminal. Therefore, for example, even when the installation destination of the LAN 30 is unattended or when there is no user who can respond, a flexible response such that a user of another LAN 10 responds to the notification becomes possible.

また、本実施形態の中継サーバ3は、通知条件を満たすと判定して通知を行った場合に、当該通知内容を記録する。   In addition, when the relay server 3 according to the present embodiment determines that the notification condition is satisfied and performs notification, the relay server 3 records the notification content.

これにより、ユーザ等は、記録された過去の通知内容を分析して、当該分析結果に基づいて不審なアクセス等に対処することができる。   As a result, the user or the like can analyze the recorded past notification contents and deal with a suspicious access or the like based on the analysis result.

以上に本発明の好適な実施の形態及び変形例を説明したが、上記の構成は例えば以下のように変更することができる。   The preferred embodiments and modifications of the present invention have been described above, but the above configuration can be modified as follows, for example.

通知条件を満たしたときの通知方法は、上記に限られず適宜の方法を用いることができる。また、通知先としては、上記実施形態のように同一LAN内の機器及び他LAN内の機器の両方に限られず、例えば片方のみであっても良い。   The notification method when the notification condition is satisfied is not limited to the above, and an appropriate method can be used. Further, the notification destination is not limited to both a device in the same LAN and a device in another LAN as in the above-described embodiment, and may be only one, for example.

パケットの監視は、中継サーバ3のみで行っても良いし、中継サーバ1と中継サーバ3とで異なる通知条件を用いて行っても良い。   Packet monitoring may be performed only by the relay server 3 or may be performed using different notification conditions for the relay server 1 and the relay server 3.

通知条件は、上記実施形態で示した条件以外であっても良い。例えば、通信が行われた時刻を条件項目として追加しても良い。また、複数の条件を満たしたときにのみ通知が行われる構成であっても良い。また、通知条件の宛先アドレス又は送信元アドレスとしては、個別のアドレスだけでなく、範囲指定されたアドレス(例えばセグメント単位で指定されたアドレス)を用いて登録を行っても良い。通知手段は、中継サーバから電子メールを特定のメールアドレスに送信するようにしても良いし、LAN内の特定の通信端末にXML等の所定のデータ形式で通知情報を送信するようにしても良いし、SNMPなどの汎用的なネットワーク監視プロトコルを利用して通知しても良い。   The notification condition may be other than the conditions shown in the above embodiment. For example, the time at which communication was performed may be added as a condition item. Further, the notification may be performed only when a plurality of conditions are satisfied. In addition, as a destination address or a source address of the notification condition, registration may be performed using not only individual addresses but also range-designated addresses (for example, addresses designated in segment units). The notification unit may transmit an e-mail from the relay server to a specific mail address, or may transmit notification information in a predetermined data format such as XML to a specific communication terminal in the LAN. However, notification may be made using a general-purpose network monitoring protocol such as SNMP.

上記では、ルーティングセッションの確立と略同時にアドレスフィルタ情報の交換を行う構成である。これに対し、VPNグループの開始コマンドの送信(S305)とともにアドレスフィルタ情報を送信し、応答(S306)とともにアドレスフィルタ情報を受信する構成でも良い。   In the above configuration, address filter information is exchanged almost simultaneously with the establishment of the routing session. On the other hand, the address filter information may be transmitted together with the transmission of the VPN group start command (S305), and the address filter information may be received together with the response (S306).

上記では、中継サーバのみがルーティングポイントとして機能する構成であるが、クライアント端末がルーティングポイントとして機能する構成であっても良い。また、VPNグループ内のルーティングポイントの数は2つに限られず、3つ以上であっても良い。また、1つのルーティング機器が複数のVPNグループに所属していても良い。   In the above, only the relay server functions as a routing point. However, the client terminal may function as a routing point. Further, the number of routing points in the VPN group is not limited to two and may be three or more. One routing device may belong to a plurality of VPN groups.

上記の中継グループ情報、中継サーバ情報、クライアント端末情報、VPNグループ情報、アドレスフィルタ情報等を格納する形式はXML形式に限定されず、適宜の形式で各情報を格納することができる。   The format for storing the relay group information, relay server information, client terminal information, VPN group information, address filter information, etc. is not limited to the XML format, and each information can be stored in an appropriate format.

上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。   Instead of the configuration of the above-described embodiment, an external server used for communication between each relay server may be installed on the Internet, and a communication may be performed by exhibiting a function as a SIP (Session Initiation Protocol) server. .

1 中継サーバ(第2中継サーバ)
3 中継サーバ(第1中継サーバ)
11,12 操作PC(第2ルーティング対象装置)
31,32,33 対象端末(第1ルーティング対象装置)
10 LAN(第2LAN)
30 LAN(第1LAN)
55 アドレスフィルタ情報記憶部
56 通知条件記憶部
57 通知ログ記憶部
100 中継通信システム 1 Relay server (second relay server)
3 Relay server (first relay server)
11, 12 Operation PC (second routing target device)
31, 32, 33 Target terminal (first routing target device)
10 LAN (second LAN)
30 LAN (first LAN)
55 Address Filter Information Storage Unit 56 Notification Condition Storage Unit 57 Notification Log Storage Unit 100 Relay Communication System

Claims (6)

第1LAN内に位置しパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
パケットを受信した旨を通知する条件である通知条件を記憶する通知条件記憶部と、
制御部と、を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う制御と、
を行い、
前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれることを特徴とする中継サーバ。 A first routing target address that is an address of a first routing target device that is located in the first LAN and can transfer a packet, and an address of a second routing target device that can be transferred by a second relay server located in the second LAN. An address filter information storage unit for storing the second routing target address,
A notification condition storage unit that stores a notification condition that is a condition for notifying that a packet has been received;
A control unit,
The controller is
Transmitting the first routing target address to the second relay server, receiving the second routing target address from the second relay server, and storing the second routing target address in the address filter information storage unit; Control to establish a routing session with the second relay server;
When receiving a packet destined for the second routing target address from the first routing target device, transferring the packet to the second relay server via the routing session;
When receiving a packet destined for the first routing target address from the routing session, transferring the packet to the destination first routing target device;
Control for determining whether or not the notification condition is satisfied when a packet is received from the routing session or the first LAN, and performing notification when it is determined that the notification condition is satisfied;
The stomach line,
The relay server according to claim 1, wherein the notification condition includes a destination address or a source address of a packet that is not stored in the address filter information storage unit . 請求項1に記載の中継サーバであって、
前記通知条件記憶部が記憶する通知条件と、前記第2中継サーバが記憶する前記通知条件と、が等しいことを特徴とする中継サーバ。 The relay server according to claim 1,
The relay server characterized in that the notification condition stored in the notification condition storage unit is equal to the notification condition stored in the second relay server. 請求項2に記載の中継サーバであって、
前記制御部は、前記第1ルーティング対象アドレスとともに前記通知条件を前記第2中継サーバへ送信することを特徴とする中継サーバ。 The relay server according to claim 2,
The control unit transmits the notification condition together with the first routing target address to the second relay server. 請求項1から3までの何れか一項に記載の中継サーバであって、
前記制御部は、前記通知条件を満たすと判定した場合に、前記第1LANに所属する端末及び前記第2LANに所属する端末の両方へ通知を行うことを特徴とする中継サーバ。 A relay server according to any one of claims 1 to 3,
When the control unit determines that the notification condition is satisfied, the control unit performs notification to both the terminal belonging to the first LAN and the terminal belonging to the second LAN. 請求項1から4までの何れか一項に記載の中継サーバであって、
前記制御部は、前記通知条件を満たすと判定して通知を行った場合に、当該通知内容を記録することを特徴とする中継サーバ。 The relay server according to any one of claims 1 to 4, wherein
The said control part records the said notification content, when it determines with satisfy | filling the said notification conditions and performs notification, The relay server characterized by the above-mentioned. 第1中継サーバ及び第2中継サーバを含んで構成される中継通信システムにおいて、
第1LAN内に位置する中継サーバは、
当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
パケットを受信した旨を通知する条件である通知条件を記憶する通知条件記憶部と、
制御部と、
を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う制御と、
を行い、
前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれることを特徴とする中継通信システム。 In the relay communication system including the first relay server and the second relay server,
The relay server located in the first LAN is
A first routing target address which is an address of a first routing target device to which the first relay server can transfer a packet, and a second routing target device to which the second relay server located in the second LAN can transfer a packet. An address filter information storage unit that stores a second routing target address that is an address;
A notification condition storage unit that stores a notification condition that is a condition for notifying that a packet has been received;
A control unit;
With
The controller is
Transmitting the first routing target address to the second relay server, receiving the second routing target address from the second relay server, and storing the second routing target address in the address filter information storage unit; Control to establish a routing session with the second relay server;
When receiving a packet destined for the second routing target address from the first routing target device, transferring the packet to the second relay server via the routing session;
When receiving a packet destined for the first routing target address from the routing session, transferring the packet to the destination first routing target device;
Control for determining whether or not the notification condition is satisfied when a packet is received from the routing session or the first LAN, and performing notification when it is determined that the notification condition is satisfied;
The stomach line,
The relay communication system , wherein the notification condition includes a destination address or a source address of a packet that is not stored in the address filter information storage unit .
JP2011263032A 2011-11-30 2011-11-30 Relay server and relay communication system Active JP5874355B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011263032A JP5874355B2 (en) 2011-11-30 2011-11-30 Relay server and relay communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011263032A JP5874355B2 (en) 2011-11-30 2011-11-30 Relay server and relay communication system

Publications (2)

Publication Number Publication Date
JP2013115778A JP2013115778A (en) 2013-06-10
JP5874355B2 true JP5874355B2 (en) 2016-03-02

Family

ID=48710893

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011263032A Active JP5874355B2 (en) 2011-11-30 2011-11-30 Relay server and relay communication system

Country Status (1)

Country Link
JP (1) JP5874355B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07264178A (en) * 1994-03-23 1995-10-13 Mitsubishi Electric Corp Security system
JP4259183B2 (en) * 2003-05-28 2009-04-30 学校法人千葉工業大学 Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network
JP2008085819A (en) * 2006-09-28 2008-04-10 Oki Electric Ind Co Ltd Network abnormality detection system, network abnormality detection method, and network abnormality detection program
JP5387300B2 (en) * 2009-09-30 2014-01-15 村田機械株式会社 Relay server and relay communication system

Also Published As

Publication number Publication date
JP2013115778A (en) 2013-06-10

Similar Documents

Publication Publication Date Title
JP5569697B2 (en) Relay server and relay communication system
TWI551086B (en) Relay server and relay communication system
TWI527405B (en) Relay server and relay communication system
JP5668954B2 (en) Relay server and relay communication system
JP5621639B2 (en) Relay server and relay communication system
JP5874354B2 (en) Relay server and relay communication system
JP5874355B2 (en) Relay server and relay communication system
JP5874356B2 (en) Relay server and relay communication system
JP2012170008A (en) Relay server and relay communication system
JP2012244428A (en) Relay server and relay communication system
JP5773205B2 (en) Relay server and relay communication system
WO2012144135A1 (en) Relay server and relay communication system
JP5633694B2 (en) Relay server and relay communication system
JP5668536B2 (en) Relay server and relay communication system
JP5920563B2 (en) Relay server and relay communication system
JP2012231265A (en) Relay server and relay communication system
JP5633693B2 (en) Relay server and relay communication system
JP2013038589A (en) Relay server and relay communication system
JP2013141058A (en) Relay server and relay communication system
JP2017168988A (en) Communication device, communication system, and communication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140825

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150730

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160104

R150 Certificate of patent or registration of utility model

Ref document number: 5874355

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250