知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5874355
(24)【登録日】2016年1月29日
(45)【発行日】2016年3月2日
(54)【発明の名称】中継サーバ及び中継通信システム
(51)【国際特許分類】
H04L 12/70 20130101AFI20160218BHJP
H04L 12/66 20060101ALI20160218BHJP
【FI】
H04L12/70 100Z
H04L12/70 D
H04L12/66 B
【請求項の数】6
【全頁数】21
(21)【出願番号】特願2011-263032(P2011-263032)
(22)【出願日】2011年11月30日
(65)【公開番号】特開2013-115778(P2013-115778A)
(43)【公開日】2013年6月10日
【審査請求日】2014年8月25日
(73)【特許権者】
【識別番号】000006297
【氏名又は名称】村田機械株式会社
(74)【代理人】
【識別番号】100118784
【弁理士】
【氏名又は名称】桂川 直己
(72)【発明者】
【氏名】谷本 好史
【審査官】
衣鳩 文彦
(56)【参考文献】
【文献】
特開2011−077842(JP,A)
【文献】
特開平07−264178(JP,A)
【文献】
特開2008−085819(JP,A)
【文献】
特開2004−356915(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00〜12/955
(57)【特許請求の範囲】
【請求項1】
第1LAN内に位置しパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
パケットを受信した旨を通知する条件である通知条件を記憶する通知条件記憶部と、
制御部と、を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う制御と、
を行い、
前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれることを特徴とする中継サーバ。
パケットを受信した旨を通知する条件である通知条件を記憶する通知条件記憶部と、
制御部と、を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う制御と、
を行い、
前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれることを特徴とする中継サーバ。
【請求項2】
請求項1に記載の中継サーバであって、
前記通知条件記憶部が記憶する通知条件と、前記第2中継サーバが記憶する前記通知条件と、が等しいことを特徴とする中継サーバ。
前記通知条件記憶部が記憶する通知条件と、前記第2中継サーバが記憶する前記通知条件と、が等しいことを特徴とする中継サーバ。
【請求項3】
請求項2に記載の中継サーバであって、
前記制御部は、前記第1ルーティング対象アドレスとともに前記通知条件を前記第2中継サーバへ送信することを特徴とする中継サーバ。
前記制御部は、前記第1ルーティング対象アドレスとともに前記通知条件を前記第2中継サーバへ送信することを特徴とする中継サーバ。
【請求項4】
請求項1から3までの何れか一項に記載の中継サーバであって、
前記制御部は、前記通知条件を満たすと判定した場合に、前記第1LANに所属する端末及び前記第2LANに所属する端末の両方へ通知を行うことを特徴とする中継サーバ。
前記制御部は、前記通知条件を満たすと判定した場合に、前記第1LANに所属する端末及び前記第2LANに所属する端末の両方へ通知を行うことを特徴とする中継サーバ。
【請求項5】
請求項1から4までの何れか一項に記載の中継サーバであって、
前記制御部は、前記通知条件を満たすと判定して通知を行った場合に、当該通知内容を記録することを特徴とする中継サーバ。
前記制御部は、前記通知条件を満たすと判定して通知を行った場合に、当該通知内容を記録することを特徴とする中継サーバ。
【請求項6】
第1中継サーバ及び第2中継サーバを含んで構成される中継通信システムにおいて、
第1LAN内に位置する中継サーバは、
当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
パケットを受信した旨を通知する条件である通知条件を記憶する通知条件記憶部と、
制御部と、
を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う制御と、
を行い、
前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれることを特徴とする中継通信システム。
第1LAN内に位置する中継サーバは、
当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶するアドレスフィルタ情報記憶部と、
パケットを受信した旨を通知する条件である通知条件を記憶する通知条件記憶部と、
制御部と、
を備え、
前記制御部は、
前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する制御と、
前記第1ルーティング対象装置から前記第2ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する制御と、
前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する制御と、
前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う制御と、
を行い、
前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれることを特徴とする中継通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主として、異なるLAN(Local Area Network)に接続されている機器間の通信を可能とする中継サーバに関する。
【背景技術】
【0002】
従来から、物理的に離れた場所に設置されたLAN同士で通信を行う仮想プライベートネットワーク(Virtual Private Network,VPN)と呼ばれる通信技術が知られている。特許文献1に示す例では、物理的に離れた位置に設置された複数のLANのそれぞれに中継サーバ及び通信端末等が接続されている。通信端末は、このVPNを利用して、他のLANに接続された通信端末へパケットを送信することができる。具体的には、通信端末が送信するパケットは、初めに同一LAN内の中継サーバへ送られる。この中継サーバは、インターネットを介して、宛先の通信端末と同一のLAN内の中継サーバへパケットを送信(転送)する。そして、このパケットを受信した中継サーバは、宛先の通信端末へパケットを送信(転送)する。
【0003】
このVPNを利用することにより、遠隔地にある他のLANを、あたかも直接接続されているネットワークであるかのように使用することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2010−268312号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、VPNを利用して通信を行う場合、登録されていない機器から不正なアクセスが行われる可能性がある。この不正なアクセスによって、最悪の場合は情報が漏洩してしまう。また、登録されている機器からのアクセスであっても、例えば権限のないユーザによって個人情報又は営業秘密等の情報が取得されることは情報管理上好ましくない。
【0006】
このように、VPNを利用して通信を行う場合、セキュリティの観点から、通信の流れを把握できる構成が望まれていた。
【0007】
本発明は以上の事情に鑑みてされたものであり、その主要な目的は、ルーティングセッションを介して行われる通信の流れを把握可能な中継通信システムを構築できる中継サーバを提供することにある。
【課題を解決するための手段及び効果】
【0008】
本発明の解決しようとする課題は以上の如くであり、次にこの課題を解決するための手段とその効果を説明する。
【0009】
本発明の第1の観点によれば、以下の構成の中継サーバが提供される。即ち、この中継サーバは、アドレスフィルタ情報記憶部と、通知条件記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、第1LAN内に位置し(中継サーバが)パケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記通知条件記憶部は、パケットを受信した旨を通知する条件である通知条件を記憶する。前記制御部は、前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する。前記制御部は、前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する。前記制御部は、前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う。前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれる。
【0010】
これにより、ユーザは、中継通信システムで行われる通信のうち通知条件を満たす通信があったことを知ることができる。従って、ユーザは、例えば登録されていない端末からのアクセス等、セキュリティの観点から注意を払うべき通信を把握することができる。そのため、ユーザは、情報の漏洩を未然に防ぐことが可能となる。また、ユーザは、万が一情報が漏洩した場合であっても、事態の拡大を防ぐための対応を即座に行うことが可能となる。
【0011】
前記の中継サーバにおいては、前記通知条件記憶部が記憶する通知条件と、前記第2中継サーバが記憶する前記通知条件と、が等しいことが好ましい。
【0012】
これにより、通知が行われる条件を中継通信システム内で同一にできるので、統一した管理ができる。また、本発明の中継サーバ以外に他の中継サーバがアクセスの監視を行うので、本発明の中継サーバに到達しないパケットについても監視対象とすることができる。
【0013】
前記の中継サーバにおいては、前記制御部は、前記第1ルーティング対象アドレスとともに前記通知条件を前記第2中継サーバへ送信することが好ましい。
【0014】
これにより、通知条件を独立して送信する場合と比較して、中継サーバ間の通信を単純にすることができる。
【0015】
前記の中継サーバにおいては、前記制御部は、前記通知条件を満たすと判定した場合に、前記第1LANに所属する端末及び前記第2LANに所属する端末の両方へ通知を行うことが好ましい。
【0016】
これにより、登録されていない端末からアクセスがあったことを、より多くの端末へ通知することができる。従って、例えば第1LANの設置先が無人である場合又は第1LANの設置先に通知に対応可能なユーザがいない場合であっても、通知に即座に対応することができる。
【0017】
前記の中継サーバにおいては、前記制御部は、前記通知条件を満たすと判定して通知を行った場合に、当該通知内容を記録することが好ましい。
【0018】
これにより、ユーザ等は、記録された過去の通知内容を分析して、当該分析結果に基づいて不審なアクセス等に対処することができる。
【0019】
本発明の第2の観点によれば、以下の構成の中継通信システムが提供される。即ち、中継通信システムは、第1中継サーバ及び第2中継サーバを含んで構成される。第1LAN内に位置する中継サーバは、アドレスフィルタ情報記憶部と、通知条件記憶部と、制御部と、を備える。前記アドレスフィルタ情報記憶部は、当該第1中継サーバがパケットを転送可能な第1ルーティング対象装置のアドレスである第1ルーティング対象アドレスと、第2LAN内に位置する前記第2中継サーバがパケットを転送可能な第2ルーティング対象装置のアドレスである第2ルーティング対象アドレスと、を記憶する。前記通知条件記憶部は、パケットを受信した旨を通知する条件である通知条件を記憶する。前記制御部は、前記第2中継サーバへ前記第1ルーティング対象アドレスを送信するとともに、前記第2中継サーバから前記第2ルーティング対象アドレスを受信し、前記第2ルーティング対象アドレスを前記アドレスフィルタ情報記憶部に記憶し、前記第2中継サーバとルーティングセッションを確立する。前記制御部は、前記第1ルーティング対象装置から前記第2ルーティングアドレスを宛先とするパケットを受信した際に、当該パケットを、前記ルーティングセッションを介して前記第2中継サーバへ転送する。前記制御部は、前記ルーティングセッションから前記第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の前記第1ルーティング対象装置へ転送する。前記制御部は、前記ルーティングセッション又は前記第1LANからパケットを受信したときに、前記通知条件を満たすか否かを判定し、前記通知条件を満たすと判定した場合に通知を行う。前記通知条件には、パケットの宛先アドレス又は送信元アドレスが、前記アドレスフィルタ情報記憶部に記憶されていないアドレスであることが含まれる。
【0020】
これにより、ユーザは、中継通信システムで行われる通信のうち通知条件を満たす通信があったことを知ることができる。従って、ユーザは、例えば登録されていない端末からのアクセス等、セキュリティの観点から注意を払うべき通信を把握することができる。そのため、ユーザは、情報の漏洩を未然に防ぐことが可能となる。また、ユーザは、万が一情報が漏洩した場合であっても、事態の拡大を防ぐための対応を即座に行うことが可能となる。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態に係る中継通信システムの全体構成を示す説明図。
【図2】中継サーバの機能ブロック図。
【図3】中継グループ情報の内容を示す図。
【図4】中継サーバ情報の内容を示す図。
【図5】クライアント端末情報の内容を示す図。
【図6】VPNグループ情報の内容を示す図。
【図7】それぞれの中継サーバに予め登録されるアドレスフィルタ情報の内容を示す図。
【図8】VPN構築後にアドレスフィルタ情報記憶部が記憶する内容を示す図。
【図9】通知条件の内容を示す図。
【図10】通知ログの内容を示す図。
【図11】予め中継サーバに行う設定を示すフローチャート。
【図12】VPNグループを作成する処理を示すフローチャート。
【図13】VPNを構築する処理を示すフローチャート。
【図14】VPNを構築する処理を示すフローチャート。
【図15】LANからパケットを受信したときのルーティング制御を示すフローチャート。
【図16】ルーティングセッションからパケットを受信したときのルーティング制御を示すフローチャート。
【発明を実施するための形態】
【0022】
次に、図面を参照して本発明の実施の形態を説明する。初めに、図1を参照して、本実施形態の中継通信システム100の概要について説明する。図1は、本実施形態に係る中継通信システム100の全体構成を示す説明図である。
【0023】
図1に示すように、この中継通信システム100は、Wide Area Network(WAN、広域通信網)80に接続された複数のLAN10,20,30で構成されている。それぞれのLAN10,20,30は、限定された場所で構築される比較的小規模なネットワークである。また、LAN10,20,30は、それぞれが物理的に離れた場所に配置されている。なお、本実施形態ではWAN80としてインターネットが使用されている。
【0024】
以下、それぞれのLANを具体的に説明する。図1に示すように、LAN(第2LAN)10には、中継サーバ(第2中継サーバ)1と、第2ルーティング対象装置としての操作PC11,12と、クライアント端末13と、が接続されている。LAN20には、中継サーバ2と、操作PC21と、クライアント端末22と、が接続されている。LAN(第1LAN)30には、中継サーバ(第1中継サーバ)3と、第1ルーティング対象装置としての対象端末31,32,33と、クライアント端末34と、が接続されている。
【0025】
それぞれの中継サーバ1,2,3は、LAN10,20,30だけでなくWAN80にも接続されているため、同一のLANに接続された機器と通信可能であるだけでなく、他のLANに配置された中継サーバとも通信可能となっている。操作PC11,12,21は、例えばオペレータが操作するためのパーソナルコンピュータである。対象端末31,32,33は、パーソナルコンピュータ、又は、ファイルサーバ等であり、例えばオペレータは、操作PC11等を操作して、対象端末31等に所定のデータを要求すること、及び、対象端末31の記憶内容を更新することが想定されている。クライアント端末13,22,34は、例えばパーソナルコンピュータで構成されており、それぞれ自身が所属する中継サーバ1,2,3を介して、互いに通信可能である。
【0026】
次に、図2を参照して、中継サーバ1,2,3の詳細な構成について説明する。図2は、中継サーバ3の機能ブロック図である。なお、中継サーバ3は中継サーバ1,2と略同じ構成であるので、以下では、主として中継サーバ3について説明する。
【0027】
図2に示すように、中継サーバ3は、記憶部50と、制御部60と、インタフェース部70と、を備えている。
【0028】
インタフェース部70は、LAN10内の端末に対して通信を実行する。また、インタフェース部70は、WAN80に対して通信を実行する。インタフェース部70は、LAN30又はWAN80から受信したパケットに適宜の処理を行って制御部60へ出力する。
【0029】
制御部60は、例えば制御及び演算の機能を有するCPUであり、記憶部50から読み出したプログラムにより各種の処理を実行可能である。この制御部60は、TCP/IP、UDP、SIP等のプロトコルに従った様々な通信を制御することができる。具体的には、制御部60は、受信したパケットについて、当該パケットが示す情報と記憶部50に記憶された情報とに基づいて宛先を決定し、決定した宛先へ当該パケットを送信する。また、制御部60は、他の端末から受信した情報に基づいて、記憶部50の記憶内容を更新することができる。
【0030】
記憶部50は、例えばハードディスク又は不揮発性RAMで構成されており、各種データを保存可能である。記憶部50は、中継グループ情報記憶部51と、中継サーバ情報記憶部52と、クライアント端末情報記憶部53と、VPNグループ情報記憶部54と、アドレスフィルタ情報記憶部55と、通知条件記憶部56と、通知ログ記憶部57と、を備えている。以下、図3から図10までを参照して、記憶部50の記憶内容について説明する。図3から図10までは、主として、中継サーバ3の記憶部50の記憶内容を示す図である。
【0031】
中継グループ情報記憶部51は、中継グループと、当該中継グループを構成する中継サーバと、を示した中継グループ情報を記憶している。
【0032】
図3に示すように、中継グループ情報においては、groupタグと、このgroupタグを親要素とする子要素のsiteタグと、が記述されている。groupタグには中継グループに関するグループ情報511が記述されている。このグループ情報511としては、中継グループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、中継グループの名称(「name」)と、が記述されている。siteタグには、中継グループを構成する中継サーバに関するグループ構成情報512が記述されている。このグループ構成情報512には、当該中継サーバの識別情報(「id」)が記述されている。また、中継グループは追加作成が可能であり、その場合、新しい中継グループには、他の中継グループと異なる一意の識別情報が付与される。これにより、特定の中継グループ内だけでデータのやり取りを行う等の設定が可能になっている。
【0033】
なお、この中継グループ情報は、当該中継グループを構成する中継サーバ1,2,3の間で共有されている。そして、ある中継サーバにおいて中継グループを変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継グループ情報が更新される。このようにして、中継グループ情報が動的に共有される。
【0034】
中継サーバ情報記憶部52は、中継通信を行う中継サーバ及び当該中継サーバに所属するクライアント端末の概要を示す中継サーバ情報を記憶している。
【0035】
図4に示す中継サーバ情報においては、中継サーバ毎に記述されるsiteタグと、前記siteタグを親要素とする子要素のnodeタグと、が記述されている。siteタグには中継サーバ1に関するサーバ情報521が記述されている。このサーバ情報521としては、中継サーバの識別情報(「id」)と、中継サーバの名称(「name」)と、起動情報(「stat」)と、が記述されている。なお、「stat」の内容が「active」の場合は中継サーバが中継通信システム100にログインしていることを示し、statが空欄であるときはログオフ中であることを示す。siteタグの子要素であるnodeタグには、中継サーバに所属するクライアント端末を示す所属情報522が記述されている。所属情報522としては、所属する中継グループの名称(「group」)と、クライアント端末の識別情報(「id」)と、クライアント端末の名称(「name」)と、所属先の中継サーバの識別情報(「site」)と、が記述されている。なお、クライアント端末が中継通信システム100にログインしていないときは、「site」は空欄となる。
【0036】
なお、中継グループによる通信は、上記の中継グループ情報及び中継サーバ情報に基づいて、以下のようにして行われる。例えばクライアント端末13からクライアント端末22にパケットを送信する場合、初めに、クライアント端末13は、自身が接続している中継サーバである中継サーバ1にパケットを送信する。なお、パケットのやり取りが可能な中継サーバは上記の中継グループ情報に基づいて把握することができ、中継サーバに所属しているクライアント端末の識別情報及び接続の可否は上記の中継サーバ情報に基づいて把握することができる。中継サーバ1は、これらの情報に基づいて、クライアント端末22が接続している中継サーバである中継サーバ2へパケットを転送する。そして、このパケットを受信した中継サーバ2がクライアント端末22へパケットを転送する。このようにして、クライアント端末13,22同士で中継通信を行うことができる。
【0037】
この中継サーバ情報に関しても中継グループ情報と同様に、当該中継グループを構成する中継サーバ1,2,3の間で情報が共有されている。そして、ある中継サーバにおいて中継サーバ情報を変更する処理が行われた場合は、他の中継サーバに対してその旨が送信されて中継サーバ情報が更新される。このようにして、中継サーバ情報が動的に共有される。
【0038】
クライアント端末情報記憶部53は、クライアント端末に関する詳細な情報であるクライアント端末情報を記憶している。なお、中継サーバ1,2,3は、自身に所属するクライアント端末に関するクライアント端末情報のみを記憶している。中継サーバ3には、クライアント端末34が所属しているため、中継サーバ3が備えるクライアント端末情報記憶部53には、クライアント端末34についてのクライアント端末情報のみが記憶されている。
【0039】
中継サーバ3のクライアント端末情報記憶部53が記憶するクライアント端末情報は、図5(c)に示されている。同様に、中継サーバ1が記憶するクライアント端末情報が図5(a)に、中継サーバ2が記憶するクライアント端末情報が図5(b)に、それぞれ示されている。
【0040】
図5に示すクライアント端末情報においては、nodeタグが記述されている。このnodeタグには、クライアント端末のプライベートIPアドレス(「addr」)と、所属する中継グループの名称(「group」)と、識別情報(「id」)と、名称(「name」)と、中継サーバにログインするためのパスワード(「pass」)と、ポート情報(「port」)と、が記述されている。
【0041】
VPNグループ情報記憶部54は、中継グループを構成する中継サーバ及びクライアント端末からルーティングポイントとして選択された機器(以下、ルーティング機器と称する)で構成されたVPNグループに関する情報であるVPNグループ情報を記憶している。同一のVPNグループに所属するルーティング機器同士でルーティングセッションを確立させることにより、VPNを利用した通信を開始することができる。
【0042】
図6に示すVPNグループ情報においては、vnetタグが記述されている。このvnetタグには、VPNグループ基本情報541と、ルーティングポイント情報542と、ルーティングセッション情報543と、が記述されている。VPNグループ基本情報541には、VPNグループが所属する中継グループの名称(「group」)と、VPNグループの識別情報(「id」)と、最終更新時刻(「lastmod」)と、VPNグループの名称(「name」)と、が記述されている。ルーティングポイント情報542には、VPNグループ間で通信を行うときにルーティングを行うルーティング機器の識別情報が記述されている。図6の例においては、ルーティング機器として、中継サーバ1と、中継サーバ3と、が記述されている。ルーティングセッション情報543には、VPNグループにおいて互いに接続されるルーティング機器が記述されている。ルーティングセッション情報543において、ルーティング機器は、VPNグループでVPNを構築して通信を開始するためのルーティングセッション確立処理において、通信制御を最初に行う側(「sp(start point)」)と、その通信制御を受ける側「ep(end point)」と、に分けて定められている。なお、以下の説明では、ルーティングセッション確立のための通信制御を最初に行う側のルーティング機器を「始点」と、その通信制御を受ける側のルーティング機器を「終点」と、それぞれ称することがある。
【0043】
図6に示すVPNグループ情報からは、VPNグループ(VPN−GROUP1)が、中継サーバ1と中継サーバ3とで構成されることが分かる。また、このVPNグループの開始時には、中継サーバ3から中継サーバ1へルーティングセッションを確立するための通信制御が行われることが分かる。
【0044】
このVPNグループ情報も中継サーバ情報及び中継グループ情報と同様に、同じVPNグループに所属する中継サーバ1,3の間で共有されている。そして、ある中継サーバにおいてVPNグループ情報を変更する処理が行われた場合は、同じVPNグループに所属する他の中継サーバに対してその旨が送信されてVPNグループ情報が更新される。このようにして、VPNグループ情報が動的に共有される。なお、このVPNグループを作成する処理については後述する。
【0045】
アドレスフィルタ情報記憶部55は、VPNを利用したルーティング制御を行う際に用いられる情報であるアドレスフィルタ情報を記憶する。アドレスフィルタ情報記憶部55は、VPNの構築前においては、中継サーバ3自身がパケットを直接的に送信可能な装置(ルーティング対象装置)を示す情報(中継サーバ3のアドレスフィルタ情報)を記憶する。なお、アドレスフィルタ情報には、ルーティング対象装置のアドレス(ルーティング対象アドレス)と、ルーティング対象装置の名称と、が含まれる。
【0046】
図7(c)には、中継サーバ3自身に予め登録されたアドレスフィルタ情報の例が示されている。この例では、中継サーバ3がパケットを直接的に送信可能な機器が対象端末31,32,33であることが記述されている。なお、図7(a)には、中継サーバ1に予め登録されたアドレスフィルタ情報が示され、図7(b)には、中継サーバ2に予め登録されたアドレスフィルタ情報が示されている。
【0047】
上述のように、中継サーバ3のアドレスフィルタ情報記憶部55は、VPNを構築する前においては、図7(c)に示すアドレスフィルタ情報のみを記憶する。そして、中継サーバ3は、例えば中継サーバ1とルーティングセッションを確立させるときに、自身に予め登録されたアドレスフィルタ情報(図7(c))を中継サーバ1へ送信するとともに、中継サーバ1からもアドレスフィルタ情報(図7(a))を受信する。そして、中継サーバ3は、中継サーバ1のアドレスフィルタ情報を当該中継サーバ1の識別情報と対応付けてアドレスフィルタ情報記憶部55に記憶する。
【0048】
これにより、中継サーバ3のアドレスフィルタ情報記憶部55には、図8に示す内容が記憶されることになる。なお、中継サーバ1のアドレスフィルタ情報記憶部55にも同内容の情報が記憶される。そして、中継サーバ1,3は、この取得したアドレスに基づいて、ルーティング制御を行う(詳細な制御については後述)。なお、以下では、中継サーバ3のアドレスフィルタ情報に含まれるルーティング対象アドレスを第1ルーティング対象アドレスと称し、中継サーバ1のアドレスフィルタ情報に含まれるルーティング対象アドレスを第2ルーティング対象アドレスと称することがある。
【0049】
通知条件記憶部56は、図9に示すような通知条件を記憶する。通知条件とは、パケットを受信した旨をユーザに通知するか否かを規定するものである。つまり、中継サーバ3は、パケットを受信したときに、受信したパケットがこの通知条件を満たすか否かを判定し、通知条件を満たすと判定したときにユーザへ通知を行う。
【0050】
なお、中継サーバ3は、例えば中継サーバ1とVPNを構築する場合、中継サーバ1へ通知条件を送信する。そして、中継サーバ1,3は、同じ通知条件を用いてパケットの監視を行う。なお、中継サーバ1,3の両方を介してパケットが送信される場合、通知の重複を防ぐために何れか一方のみの通知が行われるものとする。
【0051】
本実施形態では、図9に示すように、通知条件の条件項目として、宛先アドレス、送信元アドレス、データ量、及び通信時間が登録されている。宛先アドレス及び送信元アドレスには、不明な端末からのアクセスがあったことを検出するために、未登録アドレス(交換後のアドレスフィルタ情報に記載されていないアドレス)が登録されている。また、本実施形態では、対象端末33には、個人情報及び営業秘密等の重要な情報が記憶されているものとする。そのため、対象端末33へのアクセスを把握するために、対象端末33のアドレスも通知条件として登録されている。また、データ量が大きい場合及び通信時間が長い場合等は、不要なアクセスが行われている可能性があるため、通知条件として登録されている。
【0052】
通知ログ記憶部57は、図10に示す通知ログを記録する。通知ログとは、通知条件を満たしたときに行われる通知の内容を記録した情報である。通知ログには、図10に示すように、通知ID、通知元、通知時刻、通知内容等が含まれる。通知IDの欄には、通知を識別するためのIDが記述されている。通知元の欄には、通知を行ったルーティング機器が記述されている。通知時刻の欄には、通知が行われた時刻が記述されている。通知内容の欄には、満たした通知条件の条件項目及び宛先アドレス又は送信元アドレス等が記述される。なお、中継サーバ1,3の両方を介してパケットが送信される場合、通知ログの重複を防ぐために何れか一方の通知ログが作成されるものとする。
【0053】
次に、VPNを利用した通信を行うための準備について説明する。初めに、図11を参照して中継サーバに予め行う設定について説明し、次に、図12を参照してVPNグループを作成するときの流れについて説明する。図11は、予め中継サーバに行う設定を示すフローチャートである。図12は、VPNグループを作成する処理を示すフローチャートである。以下では、中継サーバ3を例に挙げて、中継サーバ3に対して行う設定及び中継サーバ3が実行する処理について説明するが、中継サーバ1,2にも同様の設定が行われるとともに、同様の処理を実行可能であるとする。
【0054】
中継サーバ3に予め行う設定としては、当該中継サーバ3のアドレスフィルタ情報の登録(S101)がある。この登録は、中継通信システム100を利用するユーザが、ルーティング対象装置として指定する機器等のアドレス(第1ルーティング対象アドレス)と、名称と、を所定の方法で入力することにより行う。ここでは、ユーザは、対象端末31,32,33のアドレス及び名称を入力したものとする。ここで登録されたアドレスフィルタ情報は、アドレスフィルタ情報記憶部55に記憶される。
【0055】
次に、ユーザは、前記通知条件の登録を行う(S102)。ここで登録された通知条件は、中継サーバ3の通知条件記憶部56にのみ記憶される。
【0056】
なお、アドレスフィルタ情報の登録は、ルーティング機器毎に行う必要がある。従って、ユーザは、中継サーバ1,2に対してもルーティング対象アドレスを入力してアドレスフィルタ情報を登録する。一方、本実施形態では中継サーバ3に登録された通知条件を他の中継サーバへ送信する構成である。従って、ユーザによる通知条件の登録は、中継サーバ3に対してのみ行われる。
【0057】
以下、VPNグループを作成するときの流れについて説明する。ユーザは、初めに、クライアント端末13,22,34等を操作することによって、VPNグループの設定画面を表示させることができる。ここでは、クライアント端末34を用いて設定を行う場合について説明する。クライアント端末34に表示させた設定画面には、当該クライアント端末34が属する複数の中継グループが表示される。ユーザは、この複数の中継グループから、VPNグループを構築したい中継グループを選択する(S201)。
【0058】
中継グループが選択されると、クライアント端末34の画面には、選択した中継グループに属し、かつルーティングポイントとして機能可能な中継サーバ及びクライアント端末の識別情報の一覧が表示される(S202)。そして、ユーザは、構築するVPNグループにおいてルーティングポイントとして機能させる中継サーバ及びクライアント端末を選択する(S203)。今回の説明では、中継サーバ1と、中継サーバ3と、がユーザに選択されたものとする。
【0059】
そして、選択された中継サーバの識別情報に基づいて、ルーティングポイントの識別情報及び前記ルーティングセッション情報が作成される(S204)。そして、これらの情報にVPNグループの識別情報等を付加することにより、図6で示したVPNグループ情報が作成される。クライアント端末34は、このVPNグループ情報を、同じVPNグループに所属する中継サーバ1,3へ送信する(S205)。そして、中継サーバ1,3は、受信したVPNグループ情報をVPNグループ情報記憶部54に記憶する。以上により、VPNグループの構築処理が完了する。
【0060】
次に、構築したVPNグループでVPNを利用した通信を開始するまでの流れについて、図13及び図14を参照して説明する。図13及び図14は、VPNを利用した通信を開始するまでに行う処理を示すフローチャートである。
【0061】
ユーザは、クライアント端末13等又は操作PC11等を操作することによって、構築したVPNグループを画面に表示させることができる。そして、表示されたVPNグループから適当なVPNグループを選択することにより(S301)、VPNを構築するための処理を行わせることができる。今回の説明では、上記で作成したVPNグループ(中継サーバ1,3で構成されるVPNグループ)の開始処理を中継サーバ3が行う例を説明する。
【0062】
中継サーバ3は、初めに、自身に対応付けられたアドレスフィルタ情報を読み出す(S302)。ここで読み出される情報は、S101で登録された内容(図7(c)に示す内容)である。次に、中継サーバ3は、選択されたVPNグループに属するルーティングポイントの読出しを行う(S303)。これにより、図6に示すVPNグループ情報の内容に基づいて、中継サーバ1が読み出される。
【0063】
中継サーバ3は、中継サーバ情報に基づいて、初めに、中継サーバ1がログイン中か否か(「stat」がactiveか空欄か)を判断する(S304)。図4に示す中継サーバ情報によれば中継サーバ1はログイン中であるため、中継サーバ3は、中継サーバ1へVPNグループの識別情報とともに、VPNグループの開始コマンドを送信する(S305)。
【0064】
中継サーバ3は、この開始コマンドに対する中継サーバ1からの応答を受けると(S306)、中継サーバ1を、VPNを構築する準備が完了したルーティングポイントとして登録する(S307)。
【0065】
次に、中継サーバ3は、同じVPNグループに所属する他の機器が有るか否かの判断を行う(S308)。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他の機器は存在しない。なお、仮に他の機器が存在していた場合は、中継サーバ3は、今度は当該機器を対象としてS304〜S307の処理を行う。
【0066】
次に、中継サーバ3は、VPNグループ情報記憶部54の記憶内容からルーティングセッション情報を抽出する(図14のS309)。そして、中継サーバ3は、抽出したルーティングセッション情報を参照して、自身が始点となるルーティングセッションが記述されているか否かを判断する(S310)。図6のルーティングセッション情報においては、中継サーバ1と中継サーバ3との間で確立されるべきルーティングセッションにおいて、自身(中継サーバ3)が始点となることが記述されている。
【0067】
そのため、中継サーバ3は、中継サーバ1に対してルーティングセッションを確立するための通信制御を行う(S311)。なお、この通信制御を行う際に、前述のように、アドレスフィルタ情報が交換されるとともに(S312)、中継サーバ3から中継サーバ1へ通知条件が送信される(S312)。これにより、中継サーバ1,3のアドレスフィルタ情報記憶部55には、図8に示す内容が記憶される。また、中継サーバ1,3の通知条件記憶部56には、図9に示す内容が記憶される。
【0068】
このように、本実施形態ではVPNを構築する際に、それぞれのルーティング機器が他のルーティング機器とアドレスフィルタ情報を交換(取得)するため、最新のアドレスフィルタ情報を用いてVPNを構築することができる。従って、VPN開始前の段階で一部のルーティング機器においてアドレスフィルタ情報が変更された場合でも、その変更を全てのルーティング機器に反映させた状態でVPNを構築して通信を開始できるので、パケットのルーティングにおける矛盾の発生を防止でき、信頼性を向上させることができる。
【0069】
また、本実施形態では、中継サーバ3に登録された通知条件を中継サーバ1へ送信するため、中継サーバ1に通知条件を登録する必要がない。更に、中継サーバ3と中継サーバ1との通知条件を同一にできるので、統一した管理を行うことができる。あるいは、中継サーバ3で登録された通知条件と中継サーバ1で登録された通知条件をアドレスフィルタ情報と同じように(自分の通知条件を残しつつ通信相手の通知条件を追加するように)交換(取得)することで、それぞれの中継サーバで個別に通知条件を登録していても中継通信システム全体で統一した管理を行うことができる。
【0070】
次に、中継サーバ3は、再びS310の処理を行う。現在作成中のVPNグループは、中継サーバ1と中継サーバ3のみで構成されるため、他のルーティングセッションはVPNグループ情報には記述されていない。従って、中継サーバ3は、パケットのルーティング制御を開始する(S313)。なお、仮に他のルーティングセッションがある場合は、中継サーバ3は、再びS311,S312の処理を行う。
【0071】
また、図14のフローチャートには記載していないが、S310において自身が接続の始点となるルーティングセッションが無い場合(自身がルーティングの終点となる場合)であっても、始点となるルーティング機器からの通信制御を受けてルーティングセッションの確立処理及びアドレスフィルタ情報の交換が行われる。
【0072】
なお、それぞれのルーティング機器は、自身が始点である旨がルーティングセッション情報に記述されていない限りはルーティングセッション確立のための最初の通信制御を行わないので、通信制御の衝突を防止し、機器間のルーティングセッションを簡素な制御で確立することができる。
【0073】
次に、図15及び図16を参照して、中継サーバ3がパケットをルーティングする際に行う制御について説明する。図15は、LAN30からパケットを受信したときに中継サーバ3が行うルーティング制御を示すフローチャートである。図16は、ルーティングセッションからパケットを受信したときに中継サーバ3が行うルーティング制御を示すフローチャートである。
【0074】
初めに、中継サーバ3がLAN30からパケットを受信したときに行う処理について説明する。中継サーバ3は、LAN30からパケットを受信するまで待機している(S401)。そして、LAN30からパケットを受信した場合、初めに、当該パケットの宛先が自機(中継サーバ3)であるか否かの判断を行う(S402)。中継サーバ3は、パケットの宛先が自機であった場合、当該パケットの受信を行う(S403)。一方、中継サーバ3は、パケットの宛先が自機以外であった場合、通知設定が有効になっているか否かの判断を行う(S404)。本実施形態では中継サーバ3には通知条件が設定されているので、通知設定が有効である。なお、中継サーバ3は、仮に通知設定が有効でない場合、以下のS405とS406の処理をスキップする。
【0075】
次に、中継サーバ3は、受信したパケットが通知条件を満たすか否かの判断を行う(S405)。通知条件を満たさない場合、以下のS406の処理をスキップする。一方、受信したパケットが通知条件を満たす場合、中継サーバ3は、LAN10及びLAN30内の所定の機器へ通知を行う(S406)。この通知は、電子メールで行うことができる他、中継通信システムの管理画面等にメッセージを表示することでユーザに通知を行っても良い。ユーザは、この通知を確認することにより、VPNを利用して行われている通信を把握することができる。
【0076】
また、中継サーバ3は、この通知を行う前後に、通知内容のログを作成して通知ログ記憶部57に記憶する(S406)。なお、中継サーバ3は、自機が備える通知ログ記憶部57に通知内容を記憶するだけではなく、他の中継サーバ1へ通知内容を送信して通知ログ記憶部57に記憶させても良い。
【0077】
次に、中継サーバ3は、受信したパケットの宛先アドレスと、アドレスフィルタ情報(図8を参照)と、を比較する(S407)。中継サーバ3は、宛先アドレスがアドレスフィルタ情報に登録されていない場合、パケットを破棄する(S408)。一方、中継サーバ3は、宛先アドレスがアドレスフィルタ情報に登録されていた場合、当該アドレスフィルタ情報に対応するルーティングセッションへパケットを送信する(S409)。例えば、パケットの宛先アドレスが(200.1.40.10)であった場合、図8に示すようにこのアドレスは中継サーバ1に対応付けられているので、中継サーバ3は、パケットを中継サーバ1へ送信する。
【0078】
以上のように処理を行うことで、LAN30から受信したパケットについて、通知条件に基づいた通知、及び、アドレスフィルタ情報に基づいたルーティングを行うことができる。
【0079】
なお、S408で示したように、ルーティング機器は、パケットの宛先アドレスが未登録であった場合、他のルーティング機器へパケットを送信しない。従って、例えばS408の処理を中継サーバ1が行った場合、中継サーバ3は、宛先アドレスが未登録のパケット(通知対象となるパケット)が送信されたことを検出できない。この点、本実施形態では、中継サーバ3だけでなく中継サーバ1も同じ通知条件で通知を行う構成であるので、パケットの検出漏れを防止して、セキュリティを向上させることができる。
【0080】
次に、中継サーバ3がルーティングセッションからパケットを受信したときに行う処理について説明する。中継サーバ3は、ルーティングセッションからパケットを受信するまで待機している(S501)。そして、中継サーバ3は、パケットを受信した場合、通知設定が有効になっているか否かの判断を行う(S502)。本実施形態では中継サーバ3には通知条件が設定されているので、通知設定が有効である。なお、中継サーバ3は、通知設定が有効でない場合、S503とS504の処理をスキップする。
【0081】
次に、中継サーバ3は、受信したパケットが通知条件を満たすか否かの判断を行う(S503)。通知条件を満たさない場合、以下のS504の処理をスキップする。一方、受信したパケットが通知条件を満たす場合、中継サーバ3は、LAN10及びLAN30内の所定の機器へ通知を行うとともに、通知内容を通知ログ記憶部57に記憶する(S504)。
【0082】
次に、中継サーバ3は、受信したパケットの宛先アドレスと、アドレスフィルタ情報(図8を参照)と、を比較して、パケットの宛先アドレスが自機のアドレスフィルタ情報に対応付けて登録されているか否かの判断を行う(S505)。パケットの宛先アドレスが自機のアドレスフィルタ情報に対応付けて登録されている場合、中継サーバ3は、宛先が示す機器(対象端末31,32,33)へ、パケットを転送する(S506)。
【0083】
また、中継サーバ3は、宛先アドレスが自機のアドレスフィルタ情報に対応付けて登録されていない場合、当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報に対応付けて登録されているか否かの判断を行う(S507)。当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報に対応付けて登録されている場合、中継サーバ3は、当該アドレスフィルタ情報に対応するルーティングセッションへパケットを送信する(S508)。
【0084】
一方、当該宛先アドレスが他のルーティング機器のアドレスフィルタ情報にも登録されていない場合、中継サーバ3は、当該パケットを破棄する(S509)。
【0085】
以上のように処理を行うことで、ルーティングセッションから受信したパケットについて、通知条件に基づいた通知、及び、アドレスフィルタ情報に基づいたルーティングを行うことができる。
【0086】
また、ユーザは、中継サーバ3(又は中継サーバ1)から通知を受けることで、送信元アドレス又は宛先アドレスが未登録アドレスである通信、及び、対象端末33への通信があったこと等を把握することができる。特に、本実施形態では通知ログが作成されているので、ユーザは、通知ログを参照することにより、過去の通知内容も考慮して対応を行うことができる。
【0087】
以下、通知ログの活用方法を簡単に説明する。例えば、同じ送信元アドレスから頻繁にアクセスが行われている場合、何者かがVPNに侵入を試みている可能性がある。また、対象端末33へ必要以上にアクセスが行われている場合、不要なアクセスが行われている可能性がある。例えば上記のことを検出したときに所定の対応を行うことで、情報の漏洩を未然に防ぐことが可能となる。
【0088】
以上に示したように、本実施形態の中継サーバ3は、アドレスフィルタ情報記憶部55と、通知条件記憶部56と、制御部60と、を備える。アドレスフィルタ情報記憶部55は、第1ルーティング対象アドレスと、第2ルーティング対象アドレスと、を記憶する。通知条件記憶部56は、パケットを受信した旨を通知する条件である通知条件を記憶する。中継サーバ3は、中継サーバ1へ第1ルーティング対象アドレスを送信するとともに、中継サーバ1から第2ルーティング対象アドレスを受信し、中継サーバ1とルーティングセッションを確立する。中継サーバ3は、第1ルーティング対象装置から第2ルーティング対象装置を宛先とするパケットを受信した際に、当該パケットを、ルーティングセッションを介して中継サーバ1へ転送する。中継サーバ3は、ルーティングセッションから第1ルーティング対象アドレスを宛先とするパケットを受信した際に、当該パケットを、宛先の第1ルーティング対象装置へ転送する。中継サーバ3は、ルーティングセッション又はLAN30からパケットを受信したときに、通知条件を満たすか否かを判定し、通知条件を満たすと判定した場合に通知を行う。
【0089】
これにより、ユーザは、VPNを利用して行われる通信のうち通知条件を満たす通信があったことを知ることができる。従って、ユーザは、例えば登録されていない端末からのアクセス等、セキュリティの観点から注意を払うべき通信を把握することができる。そのため、ユーザは、情報の漏洩を未然に防ぐことが可能となる。また、ユーザは、万が一情報が漏洩した場合であっても、事態の拡大を防ぐための対応を即座に行うことが可能となる。
【0090】
また、本実施形態では、中継サーバ3の通知条件記憶部56が記憶する通知条件と、中継サーバ1が記憶する通知条件と、が等しい。
【0091】
これにより、通知が行われる条件をVPNグループ内で同一にできるので、統一した管理を行うことができる。また、中継サーバ3以外に中継サーバ1がアクセスの監視を行うので、中継サーバ3に到達しないパケットについても監視対象とすることができる。
【0092】
また、本実施形態の中継サーバ3は、第1ルーティング対象アドレスとともに通知条件を中継サーバ1へ送信する。
【0093】
これにより、通知条件を独立して送信する場合と比較して、中継サーバ間の通信を単純にすることができる。
【0094】
また、本実施形態の中継サーバ3は、通知条件を満たすと判定した場合に、LAN30に所属する端末及びLAN10に所属する端末の両方へ通知を行う。
【0095】
これにより、登録されていない端末からアクセスがあったことを、より多くの端末へ通知することができる。従って、例えばLAN30の設置先が無人である場合、又は対応可能なユーザがいない場合であっても、他のLAN10のユーザが通知に対応する等の柔軟な対応が可能になる。
【0096】
また、本実施形態の中継サーバ3は、通知条件を満たすと判定して通知を行った場合に、当該通知内容を記録する。
【0097】
これにより、ユーザ等は、記録された過去の通知内容を分析して、当該分析結果に基づいて不審なアクセス等に対処することができる。
【0098】
以上に本発明の好適な実施の形態及び変形例を説明したが、上記の構成は例えば以下のように変更することができる。
【0099】
通知条件を満たしたときの通知方法は、上記に限られず適宜の方法を用いることができる。また、通知先としては、上記実施形態のように同一LAN内の機器及び他LAN内の機器の両方に限られず、例えば片方のみであっても良い。
【0100】
パケットの監視は、中継サーバ3のみで行っても良いし、中継サーバ1と中継サーバ3とで異なる通知条件を用いて行っても良い。
【0101】
通知条件は、上記実施形態で示した条件以外であっても良い。例えば、通信が行われた時刻を条件項目として追加しても良い。また、複数の条件を満たしたときにのみ通知が行われる構成であっても良い。また、通知条件の宛先アドレス又は送信元アドレスとしては、個別のアドレスだけでなく、範囲指定されたアドレス(例えばセグメント単位で指定されたアドレス)を用いて登録を行っても良い。通知手段は、中継サーバから電子メールを特定のメールアドレスに送信するようにしても良いし、LAN内の特定の通信端末にXML等の所定のデータ形式で通知情報を送信するようにしても良いし、SNMPなどの汎用的なネットワーク監視プロトコルを利用して通知しても良い。
【0102】
上記では、ルーティングセッションの確立と略同時にアドレスフィルタ情報の交換を行う構成である。これに対し、VPNグループの開始コマンドの送信(S305)とともにアドレスフィルタ情報を送信し、応答(S306)とともにアドレスフィルタ情報を受信する構成でも良い。
【0103】
上記では、中継サーバのみがルーティングポイントとして機能する構成であるが、クライアント端末がルーティングポイントとして機能する構成であっても良い。また、VPNグループ内のルーティングポイントの数は2つに限られず、3つ以上であっても良い。また、1つのルーティング機器が複数のVPNグループに所属していても良い。
【0104】
上記の中継グループ情報、中継サーバ情報、クライアント端末情報、VPNグループ情報、アドレスフィルタ情報等を格納する形式はXML形式に限定されず、適宜の形式で各情報を格納することができる。
【0105】
上記実施形態の構成に代えて、各中継サーバ間での通信に用いられる外部サーバをインターネット上に設置し、SIP(Session Initiaion Protocol)サーバとしての機能を発揮させて通信を行う構成にしても良い。
【符号の説明】
【0106】
1 中継サーバ(第2中継サーバ)3 中継サーバ(第1中継サーバ)
11,12 操作PC(第2ルーティング対象装置)
31,32,33 対象端末(第1ルーティング対象装置)
10 LAN(第2LAN)
30 LAN(第1LAN)
55 アドレスフィルタ情報記憶部
56 通知条件記憶部
57 通知ログ記憶部
100 中継通信システム