(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024106030
(43)【公開日】2024-08-07
(54)【発明の名称】通信制御装置、制御方法、及びプログラム
(51)【国際特許分類】
H04L 45/00 20220101AFI20240731BHJP
H04L 61/2517 20220101ALI20240731BHJP
【FI】
H04L45/00
H04L61/2517
【審査請求】有
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2023010086
(22)【出願日】2023-01-26
(71)【出願人】
【識別番号】000227205
【氏名又は名称】NECプラットフォームズ株式会社
(74)【代理人】
【識別番号】100080816
【弁理士】
【氏名又は名称】加藤 朝道
(74)【代理人】
【識別番号】100098648
【弁理士】
【氏名又は名称】内田 潔人
(72)【発明者】
【氏名】山田 真寛
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA12
5K030HC01
5K030HC13
5K030HD06
5K030HD09
5K030LB05
(57)【要約】
【課題】プライベートネットワークや、グローバルネットワークを問わず通信を継続することが可能である、シームレスに通信が継続可能な通信制御装置、制御方法、及びプログラの提供。
【解決手段】LAN側ネットワークインタフェースと、WAN側ネットワークインタフェースとを有する通信制御装置であって、パケットを受信する受信部と、前記受信部がパケットを受信したネットワークインタフェースを判定するネットワークインタフェース判定部と、前記パケットの宛先を示す宛先情報を判定する宛先情報判定部と、パケットを転送する転送部と、を有し、前記転送部は、前記ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果に応じてLAN側ネットワークの所定アドレスにパケットを転送する、通信制御装置を提供する。
【選択図】図2
【解決手段】LAN側ネットワークインタフェースと、WAN側ネットワークインタフェースとを有する通信制御装置であって、パケットを受信する受信部と、前記受信部がパケットを受信したネットワークインタフェースを判定するネットワークインタフェース判定部と、前記パケットの宛先を示す宛先情報を判定する宛先情報判定部と、パケットを転送する転送部と、を有し、前記転送部は、前記ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果に応じてLAN側ネットワークの所定アドレスにパケットを転送する、通信制御装置を提供する。
【選択図】図2
【特許請求の範囲】
【請求項1】
LAN側ネットワークインタフェースと、WAN側ネットワークインタフェースとを有する通信制御装置であって、
パケットを受信する受信部と、
前記受信部がパケットを受信したネットワークインタフェースを判定するネットワークインタフェース判定部と、
前記パケットの宛先を示す宛先情報を判定する宛先情報判定部と、
パケットを転送する転送部と、
を有し、
前記転送部は、前記ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果に応じてLAN側ネットワークの所定アドレスにパケットを転送する、
通信制御装置。
パケットを受信する受信部と、
前記受信部がパケットを受信したネットワークインタフェースを判定するネットワークインタフェース判定部と、
前記パケットの宛先を示す宛先情報を判定する宛先情報判定部と、
パケットを転送する転送部と、
を有し、
前記転送部は、前記ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果に応じてLAN側ネットワークの所定アドレスにパケットを転送する、
通信制御装置。
【請求項2】
前記ネットワークインタフェース判定部は前記パケットを受信したネットワークインタフェースがLAN側であるか否かを判定し、
前記宛先情報判定部は、前記宛先情報が、所定のアドレスかつ所定のポートであるか否かを判定し、
前記転送部は更に、前記ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果が共に真の場合にLAN側ネットワークの所定アドレスにパケットを転送する、
請求項1の通信制御装置。
前記宛先情報判定部は、前記宛先情報が、所定のアドレスかつ所定のポートであるか否かを判定し、
前記転送部は更に、前記ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果が共に真の場合にLAN側ネットワークの所定アドレスにパケットを転送する、
請求項1の通信制御装置。
【請求項3】
前記宛先情報判定部における、前記宛先情報の所定のアドレスはグローバルアドレスである、
請求項2の通信制御装置。
請求項2の通信制御装置。
【請求項4】
所定のNAPT(Network Address Port Translation)ルールに基づいてパケットを転送するNAPT部を、
更に有し、
前記転送部は更に、NAPT部による転送に代えて、前記所定のNAPTルールに基づいてパケットを転送する、
請求項3の通信制御装置。
更に有し、
前記転送部は更に、NAPT部による転送に代えて、前記所定のNAPTルールに基づいてパケットを転送する、
請求項3の通信制御装置。
【請求項5】
前記NAPT部における前記所定のNAPTルールは、静的NAPTを設定するためのルールである、
請求項4の通信制御装置。
請求項4の通信制御装置。
【請求項6】
前記転送部は、前記宛先情報に含まれる所定のアドレスと、所定のポートと、が前記所定のNAPTルールのWAN側アドレスとWAN側ポートと、にいずれも一致する場合に、パケットを前記NAPTルールのLAN側アドレスとLAN側ポートと、に転送する、
請求項5の通信制御装置。
請求項5の通信制御装置。
【請求項7】
前記転送部は、前記転送部にて転送されたパケットに対する応答パケットの送信元アドレス及び送信元ポートを、転送先のアドレス及びポートから、前記宛先情報に含まれる所定のアドレスと、所定のポートと、に書き換えて転送する、
請求項1から6のいずれか一の通信制御装置。
請求項1から6のいずれか一の通信制御装置。
【請求項8】
LAN側ネットワークインタフェースと、WAN側ネットワークインタフェースとを有する通信制御装置の制御方法であって、
前記通信制御装置が、
パケットを受信するステップと、
前記パケットを受信したネットワークインタフェースを判定するステップと、
前記パケットの宛先を示す宛先情報を判定するステップと、
ネットワークインタフェースの判定結果と、宛先情報の判定結果と、に応じてLAN側ネットワークの所定アドレスにパケットを転送するステップと、
を実行する制御方法。
前記通信制御装置が、
パケットを受信するステップと、
前記パケットを受信したネットワークインタフェースを判定するステップと、
前記パケットの宛先を示す宛先情報を判定するステップと、
ネットワークインタフェースの判定結果と、宛先情報の判定結果と、に応じてLAN側ネットワークの所定アドレスにパケットを転送するステップと、
を実行する制御方法。
【請求項9】
LAN側ネットワークインタフェースと、WAN側ネットワークインタフェースと、を介する通信の制御プログラムであって、
パケットを受信する処理と、
前記パケットを受信したネットワークインタフェースを判定する処理と、
前記パケットの宛先を示す宛先情報を判定する処理と、
ネットワークインタフェースの判定結果と、宛先情報の判定結果と、に応じてLAN側ネットワークの所定アドレスにパケットを転送する処理と、
をコンピュータに実行させるためのプログラム。
パケットを受信する処理と、
前記パケットを受信したネットワークインタフェースを判定する処理と、
前記パケットの宛先を示す宛先情報を判定する処理と、
ネットワークインタフェースの判定結果と、宛先情報の判定結果と、に応じてLAN側ネットワークの所定アドレスにパケットを転送する処理と、
をコンピュータに実行させるためのプログラム。
【請求項10】
請求項9のプログラムをルータ装置にモジュールとしてアドオンした通信制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信制御装置、制御方法、及びプログラムに関する。
【背景技術】
【0002】
通信制御装置の標準的な仕様として、OSI参照モデル(Open Systems Interconnection reference model)のレイヤ3(ネットワーク層)においてIPパケットの通信仕様が定められている。また、グローバルネットワークとプライベートネットワーク間で通信を行うための一般的なアドレス変換技術として、NAPT(Network Address Port Translation)が知られている。
【0003】
特許文献1には以下のような情報通信システム等が開示されている。通信キャリアやプロバイダなどの大きなトラフィックを扱うネットワーク中枢部に設置されるNAT装置配下の端末同士を、NAT装置によるヘアピン接続に頼らず直接通信させることが可能な情報通信システムが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2010-239516号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。
【0006】
特許文献1の技術では、発呼端末が着呼端末に対し、サーバ装置経由でグローバルIPアドレスとプライベートIPアドレスを送信し、着呼端末は、送られてきたグローバルIPアドレスが自身のグローバルIPアドレスと同じかどうかを調べ、同じであればプライベートIPアドレスを用いて発呼端末との通信を開始する。これにより、NAT装置そのものにマッピングテーブルの実装が不要となり、動作負荷も大きくなく、かつ、特殊なNAT装置を必要としない構成を実現できる。
【0007】
しかしながら特許文献1の技術では、発呼端末が通信にプライベートIPアドレスを用いているため、例えば発呼端末がプライベートネットワークから出てグローバルアドレスで通信を行おうとすると、その通信は継続して行うことはできず、継続するためには端末あるいはサーバ装置にて切換処理が必要となる。
【0008】
現実の運用上は、ネットワーク管理者やリモートアクセスを提供するサービスがグローバルネットワーク上からのリモートアクセスしか想定しておらず、プライベートネットワーク側からのアクセスに必要な情報が提供されないケースが多く存在する。
【0009】
そこで、本発明はプライベートネットワークや、グローバルネットワークを問わず通信を継続することが可能である、シームレスに通信が継続可能な通信制御装置、制御方法、及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明乃至開示の第一の視点によれば、LAN側ネットワークインタフェースと、WAN側ネットワークインタフェースとを有する通信制御装置であって、パケットを受信する受信部と、前記受信部がパケットを受信したネットワークインタフェースを判定するネットワークインタフェース判定部と、前記パケットの宛先を示す宛先情報を判定する宛先情報判定部と、パケットを転送する転送部と、を有し、前記転送部は、前記ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果に応じてLAN側ネットワークの所定アドレスにパケットを転送する、通信制御装置が提供される。
【0011】
本発明乃至開示の第二の視点によれば、LAN側ネットワークインタフェースと、WAN側ネットワークインタフェースとを有する通信制御装置の制御方法であって、前記通信制御装置が、パケットを受信するステップと、前記パケットを受信したネットワークインタフェースを判定するステップと、前記パケットの宛先を示す宛先情報を判定するステップと、ネットワークインタフェースの判定結果と、宛先情報の判定結果と、に応じてLAN側ネットワークの所定アドレスにパケットを転送するステップと、を実行する制御方法が提供される。
【0012】
本発明乃至開示の第三の視点によれば、LAN側ネットワークインタフェースと、WAN側ネットワークインタフェースと、を介する通信の制御プログラムであって、パケットを受信する処理と、前記パケットを受信したネットワークインタフェースを判定する処理と、前記パケットの宛先を示す宛先情報を判定する処理と、ネットワークインタフェースの判定結果と、宛先情報の判定結果と、に応じてLAN側ネットワークの所定アドレスにパケットを転送する処理と、をコンピュータに実行させるためのプログラムが提供される。
【発明の効果】
【0013】
本発明乃至開示の各視点によれば、本発明は、プライベートネットワークや、グローバルネットワークを問わず通信を継続することが可能である、シームレスに通信が継続可能な通信制御装置、制御方法、及びプログラムが提供される。
【図面の簡単な説明】
【0014】
【図1】一実施形態に係る通信制御装置の構成の一例を示すブロック図である。
【図2】第1の実施形態にかかる通信制御装置の処理の概要を示す概略図である。
【図3】第1の実施形態に係る通信制御装置の構成の一例を示すブロック図である。
【図4】第1の実施形態の通信制御装置の動作の一例を示すためのフローチャートである。
【図5】第1の実施形態にかかる通信制御装置のハードウエア構成の一例を示す図である。
【図6】実施例に係る通信制御装置の構成の一例を示すブロック図である。
【図7】実施例における通信制御装置の動作を説明するためのフローチャートである。
【図8】他の実施例に係る通信制御装置の構成の一例を示すブロック図である。
【図9】他の実施例における通信制御装置の動作を説明するためのフローチャートである。
【発明を実施するための形態】
【0015】
初めに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。更に、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インタフェースも同様である。
【0016】
図1は一実施形態に係る通信制御装置の構成の一例を示すブロック図である。この図にあるように、一実施形態に係る通信制御装置10は、LAN側ネットワークインタフェース11と、WAN側ネットワークインタフェース12と、受信部13と、ネットワークインタフェース判定部14と、宛先情報判定部15と、転送部16と、を有する。
【0017】
一実施形態の通信制御装置10は、LAN側ネットワークインタフェース11と、WAN側ネットワークインタフェース12を有する。受信部13はパケットを受信する。ネットワークインタフェース判定部14は、受信部13がパケットを受信したネットワークインタフェースを判定する。宛先情報判定部15はパケットの宛先を示す宛先情報を判定する。転送部16はパケットを転送する。一実施形態の通信制御装置10は、転送部16が、ネットワークインタフェース判定部14と、宛先情報判定部15と、の判定結果に応じてLAN側ネットワークの所定アドレスにパケットを転送する。
【0018】
上記の通り、一実施形態の通信制御装置10では、パケットを受信したネットワークインタフェースと、パケットの宛先情報と、に応じてLAN側ネットワークの所定アドレスにパケットを転送することで、端末がプライベートネットワークに位置しているか、あるいはグローバルネットワークに位置しているか、に関わらずプライベートアドレスが付されたLAN側のネットワークに存在する通信機器と通信を実行することが可能である。
【0019】
以下に具体的な実施の形態について、図面を参照して更に詳しく説明する。なお、各実施形態において同一構成要素には同一の符号を付し、その説明を省略する。
【0020】
[第1の実施形態]
[処理の概要]
図2は、第1の実施形態にかかる通信制御装置10の処理の概要を示す概略図である。まず、通常時のNAPTを用いたアクセスは、端末20bによるものである。端末20bはWAN側ネットワークインタフェース12に対して接続する。WAN側ネットワークインタフェース12は特定のグローバルアドレス及び特定のポートを有している。NAPT部17は所定のNAPTルールに基づいて特定のグローバルアドレス及び特定のポートに対する接続をLAN側ネットワークインタフェース11の特定のプライベートアドレス及び特定のポートへの接続に変換する。変換された接続は、プライベートネットワーク内の当該特定のプライベートアドレス及び当該特定のポートを有するサーバ30へ接続される。
[処理の概要]
図2は、第1の実施形態にかかる通信制御装置10の処理の概要を示す概略図である。まず、通常時のNAPTを用いたアクセスは、端末20bによるものである。端末20bはWAN側ネットワークインタフェース12に対して接続する。WAN側ネットワークインタフェース12は特定のグローバルアドレス及び特定のポートを有している。NAPT部17は所定のNAPTルールに基づいて特定のグローバルアドレス及び特定のポートに対する接続をLAN側ネットワークインタフェース11の特定のプライベートアドレス及び特定のポートへの接続に変換する。変換された接続は、プライベートネットワーク内の当該特定のプライベートアドレス及び当該特定のポートを有するサーバ30へ接続される。
【0021】
次に端末20aからアクセスした場合の通信制御装置10の動作について説明する。端末20aはプライベートネットワークから、リモートアクセスでサーバ30に接続を試みている。ここで、リモートアクセスに関する情報は、特定のグローバルアドレスと特定のポート番号のみが知らされている。プライベートネットワークからグローバルアドレスに接続を行うため端末20aからのアクセスは一度通信制御装置10のLAN側ネットワークインタフェースに接続され、特定のグローバルアドレスを有するWAN側ネットワークインタフェースに転送されることとなる。従来技術の通信制御装置では、この接続は接続元アドレスがプライベートアドレスなので、応答に失敗するため接続に失敗する。
【0022】
本実施形態の通信制御装置10では、プライベートアドレスを接続元として、NAPTルールに記載されている特定のグローバルアドレス及び特定のポートへの接続であった場合に、NAPTルールに記載されている転送先へパケットを転送する処理(図内「FWD」と記載)を実行する。ここでは通信制御装置10の特定のグローバルアドレス及び特定のポートへの接続は、サーバ30が有するアドレス及びポートに転送するというNAPTルールが設定されているので、パケットはサーバ30へ到達する。
【0023】
[構成]
図3は第1の実施形態に係る通信制御装置10の構成の一例を示すブロック図である。この図にあるように、本実施形態の通信制御装置10は、LAN側ネットワークインタフェース11と、WAN側ネットワークインタフェース12と、受信部13と、ネットワークインタフェース判定部14と、宛先情報判定部15と、転送部16と、NAPT部17と、を有する。
図3は第1の実施形態に係る通信制御装置10の構成の一例を示すブロック図である。この図にあるように、本実施形態の通信制御装置10は、LAN側ネットワークインタフェース11と、WAN側ネットワークインタフェース12と、受信部13と、ネットワークインタフェース判定部14と、宛先情報判定部15と、転送部16と、NAPT部17と、を有する。
【0024】
LAN側ネットワークインタフェース11と、WAN側ネットワークインタフェース12には、LAN側及びWAN側の通信機器が接続する。LAN側ネットワークインタフェース11にはプライベートネットワークアドレスが付与され、WAN側ネットワークインタフェース12にはグローバルアドレスが付与されている。図3ではそれぞれ一のインタフェースを有する構成となっているが、例えばLAN側ネットワークインタフェースを複数有する構成でも良い。
【0025】
受信部13はパケットを受信する。LAN側ネットワークインタフェース11と、WAN側ネットワークインタフェース12において受信されたパケットを受け取り、後述する転送部16又はNAPT部17へ送る。また、受信部13はパケットのヘッダ情報を取得する。取得されたヘッダ情報は、後述するネットワークインタフェース判定部14と、宛先情報判定部15と、に送られる。
【0026】
ネットワークインタフェース判定部14は、受信部13がパケットを受信したネットワークインタフェースを判定する。受信部13からパケットのヘッダ情報を取得して、宛先アドレスを参照することで受信されたネットワークインタフェースを特定する。例えば、図3のように通信制御装置10がLAN側とWAN側それぞれ1つずつのネットワークインタフェースを有する場合には、宛先アドレスがプライベートアドレスかグローバルアドレスかで判定が可能である。判定の結果は転送部16等に送られる。
【0027】
宛先情報判定部15は、パケットの宛先を示す宛先情報を判定する。具体的には、パケットの宛先が所定の宛先となっているか否かを判断する。例えば、パケットの宛先が、NAPTルールで定めた、グローバルアドレス側の所定のアドレス及びポート番号であるか否かを判断する。判定の結果は転送部16等に送られる。
【0028】
転送部16は、パケットを転送する。具体的には、受信部で受信されたパケットを所定のポートから各ネットワークインタフェースに転送する。転送部16は、ネットワークインタフェース判定部14と、宛先情報判定部15と、の判定結果に応じてLAN側ネットワークの所定アドレスにパケットを転送しても良い。具体的には例えば、WAN側ネットワークインタフェースへの接続であって、宛先情報がNAPTルールで定めたアドレス及びポートである場合、つまりネットワークインタフェース判定部14と、宛先情報判定部15と、の判定結果が共に真の場合にLAN側ネットワークインタフェースにパケットを転送しても良い。
【0029】
転送部16はNAPTルールを読み込んで後述するNAPT部17による転送に代えてパケットを転送しても良い。
【0030】
応答パケット(LAN内の接続先の端末等からのパケット)について転送部16は、転送されたパケットに対する応答パケットの送信元アドレス及び送信元ポートを、転送先のアドレス及びポートから、前記宛先情報に含まれる所定のアドレスと、所定のポートと、に書き換えて転送する処理を行っても良い。これによりプライベートネットワーク(LAN)とグローバルネットワーク(WAN)間での通信の整合性が保たれる。
【0031】
NAPT部17はNAPTルールに基づいてパケットを転送する。例えば、LAN内にWebサーバ等の外部公開用のサーバを配置し、外部からの所定アドレス及び所定のポートへのアクセスを静的NAPTルールにより外部公開用のサーバの宛先アドレス及びポートにパケットを転送する。
【0032】
ここで転送部16は、上記の通りNAPTルールを読み込んでNAPTルールに基づいて転送を行っても良いし、NAPT部17にパケットを委ねてNAPT部17により転送処理を行っても良い。
【0033】
[動作の説明]
図4は第1の実施形態の通信制御装置10の動作の一例を示すためのフローチャートである。この図にあるように、通信制御装置10は、まずパケットを受信する(ステップS41)。次に、受信を所定のネットワークインタフェースでしたか否かを判断する(ステップS42)。所定のインタフェースではない場合には通常のパケット受信処理を行う(ステップS48)。所定のインタフェースで受信したとの判断結果の場合には更に所定の宛先で受信したか否かを判断する(ステップS44)。所定の宛先で受信したとの判断結果の場合にはNAPTルールに基づいてパケットを転送する(ステップS45)。所定の宛先で受信をしていないとの判断結果の場合には通常のパケット受信処理を行う(ステップS48)。
図4は第1の実施形態の通信制御装置10の動作の一例を示すためのフローチャートである。この図にあるように、通信制御装置10は、まずパケットを受信する(ステップS41)。次に、受信を所定のネットワークインタフェースでしたか否かを判断する(ステップS42)。所定のインタフェースではない場合には通常のパケット受信処理を行う(ステップS48)。所定のインタフェースで受信したとの判断結果の場合には更に所定の宛先で受信したか否かを判断する(ステップS44)。所定の宛先で受信したとの判断結果の場合にはNAPTルールに基づいてパケットを転送する(ステップS45)。所定の宛先で受信をしていないとの判断結果の場合には通常のパケット受信処理を行う(ステップS48)。
【0034】
転送(ステップS45)又は通常のパケット受信処理(ステップS48)後に、サーバによる応答を受信する(ステップS46)と、通常のパケット受信処理(ステップS48)を行った場合には通常のパケット応答処理(ステップS49)を実行する。NAPTルールに基づいてパケットの転送を行った場合には(ステップS45)、宛先情報に含まれる所定のアドレスと所定のポートにパケットヘッダを書き換えて応答を転送する(ステップS47)。
【0035】
[ハードウエア構成]
本実施形態の通信制御装置10は、情報処理装置(コンピュータ)により構成可能であり、図5に例示する構成を備える。例えば、通信制御装置10は、内部バス55により相互に接続される、CPU(Central Processing Unit)51、メモリ52、入出力インタフェース53及び通信手段であるNIC(Network Interface Card)54a、54b等を備える。
本実施形態の通信制御装置10は、情報処理装置(コンピュータ)により構成可能であり、図5に例示する構成を備える。例えば、通信制御装置10は、内部バス55により相互に接続される、CPU(Central Processing Unit)51、メモリ52、入出力インタフェース53及び通信手段であるNIC(Network Interface Card)54a、54b等を備える。
【0036】
但し、図5に示す構成は、通信制御装置10のハードウエア構成を限定する趣旨ではない。通信制御装置10は、図示しないハードウエアを含んでもよいし、必要に応じて入出力インタフェース53を備えていなくともよい。また、通信制御装置10に含まれるCPU等の数も図5の例示に限定する趣旨ではなく、例えば、複数のCPUが通信制御装置10に含まれていてもよい。またNIC54に関しても3以上のNICが通信制御装置10に含まれていてもよい。
【0037】
メモリ52は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)である。
【0038】
入出力インタフェース53は、図示しない表示装置や入力装置のインタフェースとなる手段である。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、タッチパネル、キーボードやマウス等のユーザ操作を受付ける装置である。
【0039】
通信制御装置10の機能は、メモリ52に格納された受信プログラム、ネットワークインタフェース判定プログラム、応答受付プログラム、宛先情報判定プログラム、転送プログラム、NAPTプログラム等といったプログラム群(処理モジュール)と、メモリ52に保持されている宛先情報やNAPTルール等のデータ群により実現される。当該処理モジュールは、例えば、メモリ52に格納された各プログラムをCPU51が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。更に、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能を何らかのハードウエア、及び/又は、ソフトウェアで実行する手段があればよい。
【0040】
なお、これらプログラム等の一部また全てを処理モジュールとしてパッケージ化して既存のルータ装置に導入(アドオン)することで、上記実施形態の機能を有する通信制御装置を実現する態様であっても良い。
【0041】
この場合において、例えば既存の通信制御装置においてパケットの受信をフックして上記処理モジュールの処理へ分岐して、一連の処理を実行し、処理結果を返すという態様をとっても良い。
【0042】
[ハードウエアの動作]
通信制御装置10は動作を開始すると、受信プログラムがメモリ52から呼び出され、CPU51により実行状態とされる。同プログラムは、パケットの到来を待つ。パケットが到来すると、パケットのヘッダ情報を取得する。次にネットワークインタフェース判定プログラムがメモリ52から呼び出されCPU51により実行状態とされる。同プログラムは取得されたヘッダ情報を読み込み、所定のインタフェースによる受信であるか否かを判断する。次に、宛先情報判定プログラムがメモリ52から呼び出されCPU51により実行状態とされる。同プログラムは所定の宛先情報データをメモリ52から読み込み、取得されたヘッダ情報に含まれる宛先情報と同一か否かの判断を実行する。
通信制御装置10は動作を開始すると、受信プログラムがメモリ52から呼び出され、CPU51により実行状態とされる。同プログラムは、パケットの到来を待つ。パケットが到来すると、パケットのヘッダ情報を取得する。次にネットワークインタフェース判定プログラムがメモリ52から呼び出されCPU51により実行状態とされる。同プログラムは取得されたヘッダ情報を読み込み、所定のインタフェースによる受信であるか否かを判断する。次に、宛先情報判定プログラムがメモリ52から呼び出されCPU51により実行状態とされる。同プログラムは所定の宛先情報データをメモリ52から読み込み、取得されたヘッダ情報に含まれる宛先情報と同一か否かの判断を実行する。
【0043】
上記判断の結果、取得したヘッダ情報から、所定のインタフェースによる受信であって、かつ所定の宛先情報と同一であるとの判断結果が得られた場合には、転送プログラムがメモリから呼び出されCPU51により実行状態となる。同プログラムは、NAPTルールを参照して受信したパケットをLAN側ネットワークインタフェースの所定のポートに転送する。転送されたパケットは、接続先のサーバに到達する。
【0044】
なお、所定のインタフェース以外による受信又は所定の宛先情報以外への受信の場合には通常のルータとして通信制御装置10は機能する。
【0045】
接続先のサーバにパケットが到達してこれに対する応答パケットが通信制御装置10に到達すると、LAN側ネットワークインタフェースのNIC54aでこれを受信する。受信プログラムは転送プログラムにパケットを渡し、転送プログラムはパケットのヘッダ情報を書き換えて転送する。具体的には、送信元のアドレスとポートをサーバが有するプライベートアドレスから、宛先情報に含まれるアドレスとポートへ書き換える。書き換えられたパケットは再びLANインタフェースを用いてプライベートアドレスを有する送信先の端末等へ送信される。
【0046】
[効果の説明]
上記第1の実施形態に係る通信制御装置により、LAN側に設置されたサーバに対してグローバルアドレスによるリモートアクセスがLAN側及びWAN側いずれからも可能となる。アクセスは常に所定のグローバルアドレスと所定のポートによるので、端末側で設定を変更することなく、シームレスな接続が可能である。また、LAN側のアドレス等を開示する必要がなくなるので、セキュリティが向上する。
上記第1の実施形態に係る通信制御装置により、LAN側に設置されたサーバに対してグローバルアドレスによるリモートアクセスがLAN側及びWAN側いずれからも可能となる。アクセスは常に所定のグローバルアドレスと所定のポートによるので、端末側で設定を変更することなく、シームレスな接続が可能である。また、LAN側のアドレス等を開示する必要がなくなるので、セキュリティが向上する。
【0047】
[実施例]
[実施例の概要]
本発明の実施例の構成を図6に示す。図6の通信制御装置A1は、ソフトウェア上のデータとしてユーザの設定をしたリモートアクセス用情報を保持することができるとともに、本発明を実現するLAN側リモートアクセス対応アルゴリズムRA100に従って動作する機能を有する。
[実施例の概要]
本発明の実施例の構成を図6に示す。図6の通信制御装置A1は、ソフトウェア上のデータとしてユーザの設定をしたリモートアクセス用情報を保持することができるとともに、本発明を実現するLAN側リモートアクセス対応アルゴリズムRA100に従って動作する機能を有する。
【0048】
通信制御装置A1のリモートアクセス用情報としては、以下の値を設定する。リモートアクセス用WAN側IPアドレス情報RW1としては、通信制御装置A1のWAN側IPアドレスW1と同じ値を設定する。リモートアクセス用LAN側IPアドレス情報RL1としては、通信制御装置A1のLAN側IPアドレスL1と同じ値を設定する。リモートアクセス用ポート番号情報RP1としては、通信制御装置A1のHTTPサーバに該当するTCPポート番号443を設定する。
【0049】
[動作の説明]
LAN側のネットワークに接続された端末B21が通信制御装置A1のHTTPSサーバに対してリモートアクセスを試みたケースを考える。図7は本発明の実施例における通信制御装置の動作を説明するためのフローチャートである。端末B21はIPアドレスW1、TCPポート番号443宛てのパケットを通信制御装置A1に対して送信する。LAN側ネットワークインタフェースで該当パケットを受信した通信制御装置A1は、LAN側リモートアクセス対応アルゴリズムRA100に従って処理を行い、ステップ101、ステップ102で処理対象のパケットが本発明による解決手段の適用対象パケットであることを判断する。
LAN側のネットワークに接続された端末B21が通信制御装置A1のHTTPSサーバに対してリモートアクセスを試みたケースを考える。図7は本発明の実施例における通信制御装置の動作を説明するためのフローチャートである。端末B21はIPアドレスW1、TCPポート番号443宛てのパケットを通信制御装置A1に対して送信する。LAN側ネットワークインタフェースで該当パケットを受信した通信制御装置A1は、LAN側リモートアクセス対応アルゴリズムRA100に従って処理を行い、ステップ101、ステップ102で処理対象のパケットが本発明による解決手段の適用対象パケットであることを判断する。
【0050】
通信制御装置A1はアルゴリズムRA100に従ってLAN側からのリモートアクセス対応処理であるステップ103、104、105の処理を実行する。一連の処理の結果、LAN側の端末B21からのHTTPSリモートアクセス要求に対して、通信制御装置A1上のHTTPSサーバが応答を行い、応答パケットが端末B21で処理されることにより、両端末間でのHTTPSリモートアクセス通信が成功する。
【0051】
なお、通信制御装置A1が本発明の解決手段の対象外であるパケットを受信した場合、ステップ101及びステップ102の判定によってステップ110に分岐し、従来の既存動作と同様に通常のパケット受信処理が実行される。
【0052】
なお、本発明の実施例では通信制御装置A1上で動作するHTTPSサーバに対してリモートアクセスするケースを例示したが、用途に応じてHTTP、SSH、FTP等の任意のプロトコルによるリモートアクセスに対応することが可能である。その場合、リモートアクセス用ポート番号情報RP1として対応するポート番号を設定する。
【0053】
[他の実施例]
本発明の他の実施例の構成を図8に示す。図8では、図6に示した本発明の実施例に構成に加え、通信制御装置A1が第3のインタフェースを有するものとし、このインタフェースのIPアドレスをL2とする。該当インタフェースはIPアドレスL1の配下とは異なるプライベートネットワークに接続し、該当プライベートネットワークを介して端末B31と接続しているものとする。端末B31は端末B21と同等の機能、情報を有し、HTTPSサーバに対してリモートアクセスを行う機能を有するものとする。
本発明の他の実施例の構成を図8に示す。図8では、図6に示した本発明の実施例に構成に加え、通信制御装置A1が第3のインタフェースを有するものとし、このインタフェースのIPアドレスをL2とする。該当インタフェースはIPアドレスL1の配下とは異なるプライベートネットワークに接続し、該当プライベートネットワークを介して端末B31と接続しているものとする。端末B31は端末B21と同等の機能、情報を有し、HTTPSサーバに対してリモートアクセスを行う機能を有するものとする。
【0054】
他の実施例での通信制御装置A1は、図7に示したアルゴリズムRA100に代わり、図9に示した本発明の他の実施例を実現するアルゴリズムRA200に従って動作する機能を有する。アルゴリズムRA200のステップ201は、処理対象のパケットを受信したインタフェースがWAN側ネットワークインタフェースであった場合に分岐2011に進み、その他のインタフェースであった場合は分岐2012に進む。アルゴリズムRA200のステップ201以外の処理はアルゴリズム100と同等である。
【0055】
端末B31が通信制御装置A1に対して、図6に示した端末B21と同条件でHTTPSリモートアクセスを要求した場合を考える。端末B31は宛先IPアドレスW1、宛先TCPポート番号443宛てにHTTPS通信の要求パケットを送信する。通信制御装置A1はアルゴリズムRA200に従って動作し、ステップ201の判定を行う。ここで受信インタフェースはWAN側のインタフェースではないため、分岐2012に進む。ステップ202の判定ではパケットの宛先情報が分岐2022の条件に合致するため、アルゴリズムRA200の処理はステップ203以降のリモートアクセス対応処理に進む。以降は図6に示したケースと同様に動作し、通信制御装置A1のHTTPSサーバは端末B31に対してHTTPSの応答パケットを送信する。
【0056】
一連の動作により、リモートアクセスを要求した端末B31は通信制御端末上のサーバからの応答を受信することに成功し、一連のリモートアクセスの応答が完了する。このように本発明の他の実施例の解決方法を用いることで、リモートアクセスの接続元端末がどの領域のネットワークに存在しても、NAPTの構成を意識せずにリモートアクセスを行うことが可能となる。この他、ステップ201やステップ202の判定条件を調整することで、任意の条件に当てはまるアクセスに対してのみ本発明の処理を許可することでネットワークへの影響を低減するとともに、セキュリティ性を向上させることが可能である。
【0057】
前述の実施形態の一部又は全部は、以下の各付記のようにも記載することができる。しかしながら、以下の各付記は、あくまでも、本発明の単なる例示に過ぎず、本発明は、かかる場合のみに限るものではない。
[付記1]
上述の第一の視点に係る通信制御装置のとおりである。
[付記2]
ネットワークインタフェース判定部は前記パケットを受信したネットワークインタフェースがLAN側であるか否かを判定し、宛先情報判定部は、宛先情報が、所定のアドレスかつ所定のポートであるか否かを判定し、転送部は更に、ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果が共に真の場合にLAN側ネットワークの所定アドレスにパケットを転送する、好ましくは付記1の通信制御装置。
[付記3]
宛先情報判定部における、宛先情報の所定のアドレスはグローバルアドレスである、好ましくは付記2の通信制御装置。
[付記4]
所定のNAPT(Network Address Port Translation)ルールに基づいてパケットを転送するNAPT部を、更に有し、前記転送部は更に、NAPT部による転送に代えて、前記所定のNAPTルールに基づいてパケットを転送する、好ましくは付記3の通信制御装置。
[付記5]
NAPT部における所定のNAPTルールは、静的NAPTを設定するためのルールである、好ましくは付記4の通信制御装置。
[付記6]
転送部は、宛先情報に含まれる所定のアドレスと、所定のポートと、が所定のNAPTルールのWAN側アドレスとWAN側ポートと、にいずれも一致する場合に、パケットをNAPTルールのLAN側アドレスとLAN側ポートと、に転送する、好ましくは付記5の通信制御装置。
[付記7]
転送部は、転送部にて転送されたパケットに対する応答パケットの送信元アドレス及び送信元ポートを、転送先のアドレス及びポートから、宛先情報に含まれる所定のアドレスと、所定のポートと、に書き換えて転送する、好ましくは付記1から6のいずれか一の通信制御装置。
[付記8]
上述の第二の視点に係る制御方法のとおりである。
[付記9]
上述の第三の視点に係るプログラムのとおりである。
[付記10]
付記9のプログラムをルータ装置にモジュールとしてアドオンした通信制御装置。
なお、付記8及び付記9は、付記1と同様に、付記2~付記7に展開することが可能である。
[付記1]
上述の第一の視点に係る通信制御装置のとおりである。
[付記2]
ネットワークインタフェース判定部は前記パケットを受信したネットワークインタフェースがLAN側であるか否かを判定し、宛先情報判定部は、宛先情報が、所定のアドレスかつ所定のポートであるか否かを判定し、転送部は更に、ネットワークインタフェース判定部と、宛先情報判定部と、の判定結果が共に真の場合にLAN側ネットワークの所定アドレスにパケットを転送する、好ましくは付記1の通信制御装置。
[付記3]
宛先情報判定部における、宛先情報の所定のアドレスはグローバルアドレスである、好ましくは付記2の通信制御装置。
[付記4]
所定のNAPT(Network Address Port Translation)ルールに基づいてパケットを転送するNAPT部を、更に有し、前記転送部は更に、NAPT部による転送に代えて、前記所定のNAPTルールに基づいてパケットを転送する、好ましくは付記3の通信制御装置。
[付記5]
NAPT部における所定のNAPTルールは、静的NAPTを設定するためのルールである、好ましくは付記4の通信制御装置。
[付記6]
転送部は、宛先情報に含まれる所定のアドレスと、所定のポートと、が所定のNAPTルールのWAN側アドレスとWAN側ポートと、にいずれも一致する場合に、パケットをNAPTルールのLAN側アドレスとLAN側ポートと、に転送する、好ましくは付記5の通信制御装置。
[付記7]
転送部は、転送部にて転送されたパケットに対する応答パケットの送信元アドレス及び送信元ポートを、転送先のアドレス及びポートから、宛先情報に含まれる所定のアドレスと、所定のポートと、に書き換えて転送する、好ましくは付記1から6のいずれか一の通信制御装置。
[付記8]
上述の第二の視点に係る制御方法のとおりである。
[付記9]
上述の第三の視点に係るプログラムのとおりである。
[付記10]
付記9のプログラムをルータ装置にモジュールとしてアドオンした通信制御装置。
なお、付記8及び付記9は、付記1と同様に、付記2~付記7に展開することが可能である。
【0058】
なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示(特許請求の範囲を含む)の枠内において、更にその基本的技術思想に基づいて、実施形態ないし実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択(部分的削除を含む)が可能である。すなわち、本発明は、特許請求の範囲を含む全開示、技術的思想に従って当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
【符号の説明】
【0059】
10:通信制御装置
11:LAN側ネットワークインタフェース
12:WAN側ネットワークインタフェース
13:受信部
14:ネットワークインタフェース判定部
15:宛先情報判定部
16:転送部
17:NAPT部
20a、20b:端末
30:サーバ
31:端末
51:CPU
52:メモリ
53:入出力インタフェース
54、54a、54b:NIC(Network Interface Card)
55:内部バス
A1:通信制御装置
B21、B31:端末
11:LAN側ネットワークインタフェース
12:WAN側ネットワークインタフェース
13:受信部
14:ネットワークインタフェース判定部
15:宛先情報判定部
16:転送部
17:NAPT部
20a、20b:端末
30:サーバ
31:端末
51:CPU
52:メモリ
53:入出力インタフェース
54、54a、54b:NIC(Network Interface Card)
55:内部バス
A1:通信制御装置
B21、B31:端末
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】