知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024046029
(43)【公開日】2024-04-03
(54)【発明の名称】通信システム及び制御方法
(51)【国際特許分類】
H04L 12/66 20060101AFI20240327BHJP
H04L 41/0895 20220101ALI20240327BHJP
【FI】
H04L12/66
H04L41/0895
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022151167
(22)【出願日】2022-09-22
(71)【出願人】
【識別番号】000006208
【氏名又は名称】三菱重工業株式会社
(74)【代理人】
【識別番号】100149548
【弁理士】
【氏名又は名称】松沼 泰史
(74)【代理人】
【識別番号】100162868
【弁理士】
【氏名又は名称】伊藤 英輔
(74)【代理人】
【識別番号】100161702
【弁理士】
【氏名又は名称】橋本 宏之
(74)【代理人】
【識別番号】100189348
【弁理士】
【氏名又は名称】古都 智
(74)【代理人】
【識別番号】100196689
【弁理士】
【氏名又は名称】鎌田 康一郎
(72)【発明者】
【氏名】竹内 公二
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA13
5K030HD03
5K030HD06
5K030LE02
5K030MA07
5K030MB02
5K030MC06
(57)【要約】
【課題】通信装置の増加を抑制しつつ、通信トラフィックの増大にも対応可能な通信システムを提供する。
【解決手段】通信システムは、異なるネットワーク間の通信を仲介する通信装置と予備装置を含み、通信装置が高負荷の場合には、通信装置がパケットの転送等の通信処理を行い、予備装置が認証や通信記録等の管理処理を行う分散構成とし、通信装置が低負荷の場合には、通信装置が、通信処理と管理処理の両方を行う集約構成をとる。
【選択図】図1
【解決手段】通信システムは、異なるネットワーク間の通信を仲介する通信装置と予備装置を含み、通信装置が高負荷の場合には、通信装置がパケットの転送等の通信処理を行い、予備装置が認証や通信記録等の管理処理を行う分散構成とし、通信装置が低負荷の場合には、通信装置が、通信処理と管理処理の両方を行う集約構成をとる。
【選択図】図1
【特許請求の範囲】
【請求項1】
異なるネットワーク間の通信を仲介する通信装置と予備装置を含む通信システムであって、
前記通信装置は、
自装置の負荷を監視する監視部と、
前記通信システムのシステム構成を制御する第1制御部と、
前記ネットワーク間の通信パケットの転送を行う通信処理部と、
前記ネットワーク間の通信の接続可否を判定する第1認証部と、
前記ネットワーク間の通信の履歴を記録する第1端末管理部と、
を備え、
前記予備装置は、
前記ネットワーク間の通信の接続可否を判定する第2認証部と、
前記ネットワーク間の通信の履歴を記録する第2端末管理部と、
を備え、
前記第1制御部は、
前記監視部が前記負荷は閾値未満と判定すると、前記システム構成を、前記第1認証部が前記通信の接続可否の判定を行い、前記通信処理部が、前記第1認証部によって前記接続が可能と判定された通信に係る前記通信パケットの転送を行い、前記第1端末管理部が、前記通信の履歴を記録する集約構成となるよう制御し、
前記監視部が前記負荷は閾値以上と判定すると、前記システム構成を、前記第2認証部が前記通信の接続可否の判定を行い、前記通信処理部が、前記第2認証部によって前記接続が可能と判定された通信に係る前記通信パケットの転送を行い、前記第2端末管理部が前記通信の履歴を記録する分散構成となるよう制御する、
通信システム。
前記通信装置は、
自装置の負荷を監視する監視部と、
前記通信システムのシステム構成を制御する第1制御部と、
前記ネットワーク間の通信パケットの転送を行う通信処理部と、
前記ネットワーク間の通信の接続可否を判定する第1認証部と、
前記ネットワーク間の通信の履歴を記録する第1端末管理部と、
を備え、
前記予備装置は、
前記ネットワーク間の通信の接続可否を判定する第2認証部と、
前記ネットワーク間の通信の履歴を記録する第2端末管理部と、
を備え、
前記第1制御部は、
前記監視部が前記負荷は閾値未満と判定すると、前記システム構成を、前記第1認証部が前記通信の接続可否の判定を行い、前記通信処理部が、前記第1認証部によって前記接続が可能と判定された通信に係る前記通信パケットの転送を行い、前記第1端末管理部が、前記通信の履歴を記録する集約構成となるよう制御し、
前記監視部が前記負荷は閾値以上と判定すると、前記システム構成を、前記第2認証部が前記通信の接続可否の判定を行い、前記通信処理部が、前記第2認証部によって前記接続が可能と判定された通信に係る前記通信パケットの転送を行い、前記第2端末管理部が前記通信の履歴を記録する分散構成となるよう制御する、
通信システム。
【請求項2】
前記予備装置は、
前記第1制御部の指示に基づいて、前記システム構成を制御する第2制御部、
をさらに備え、
前記システム構成が前記分散構成の場合、
前記第1制御部は、前記第1認証部と前記第1端末管理部を停止させ、
前記第2制御部は、前記第2認証部と前記第2端末管理部を起動し、
前記システム構成が前記集約構成の場合、
前記第1制御部は、前記第1認証部と前記第1端末管理部を起動し、
前記第2制御部は、前記第2認証部と前記第2端末管理部を停止させる、
請求項1に記載の通信システム。
前記第1制御部の指示に基づいて、前記システム構成を制御する第2制御部、
をさらに備え、
前記システム構成が前記分散構成の場合、
前記第1制御部は、前記第1認証部と前記第1端末管理部を停止させ、
前記第2制御部は、前記第2認証部と前記第2端末管理部を起動し、
前記システム構成が前記集約構成の場合、
前記第1制御部は、前記第1認証部と前記第1端末管理部を起動し、
前記第2制御部は、前記第2認証部と前記第2端末管理部を停止させる、
請求項1に記載の通信システム。
【請求項3】
前記第2制御部は、前記監視部から前記通信装置の負荷の情報を取得し、
取得した前記負荷の情報に基づいて、所定時間内に前記通信装置の負荷が閾値以上となるか否かを予測し、前記負荷が前記閾値以上となると予測すると、前記システム構成が前記集約構成であっても、前記第2認証部と前記第2端末管理部を起動する、
請求項2に記載の通信システム。
取得した前記負荷の情報に基づいて、所定時間内に前記通信装置の負荷が閾値以上となるか否かを予測し、前記負荷が前記閾値以上となると予測すると、前記システム構成が前記集約構成であっても、前記第2認証部と前記第2端末管理部を起動する、
請求項2に記載の通信システム。
【請求項4】
前記第1制御部は、
前記システム構成が前記集約構成のときに、前記監視部が、前記負荷が閾値以上と判定すると、前記接続が可能と判定され、前記接続が継続中の前記通信に係る端末の識別情報と、当該通信に係る通信時間およびデータ通信量と、を含む機能引継ぎ通知を前記予備装置へ通知し、
前記予備装置では、前記機能引継ぎ通知に基づいて、前記第2端末管理部が、前記識別情報を認証済みの前記端末の識別情報として記憶し、さらに前記通信時間および前記データ通信量に基づいて、前記通信の履歴を記録する、
請求項1又は請求項2に記載の通信システム。
前記システム構成が前記集約構成のときに、前記監視部が、前記負荷が閾値以上と判定すると、前記接続が可能と判定され、前記接続が継続中の前記通信に係る端末の識別情報と、当該通信に係る通信時間およびデータ通信量と、を含む機能引継ぎ通知を前記予備装置へ通知し、
前記予備装置では、前記機能引継ぎ通知に基づいて、前記第2端末管理部が、前記識別情報を認証済みの前記端末の識別情報として記憶し、さらに前記通信時間および前記データ通信量に基づいて、前記通信の履歴を記録する、
請求項1又は請求項2に記載の通信システム。
【請求項5】
前記第2制御部は、
前記システム構成が前記分散構成のときに、前記監視部が、前記負荷が閾値未満と判定すると、前記接続が可能と判定され、前記接続が継続中の前記通信に係る端末の識別情報と、当該通信に係る通信時間およびデータ通信量と、を含む切り戻し通知を前記通信装置へ通知し、
前記通信装置では、前記切り戻し通知に基づいて、前記第1端末管理部が前記識別情報を認証済みの前記端末の識別情報として記憶し、さらに前記通信時間および前記データ通信量に基づいて、前記通信の履歴を記録する、
請求項2又は請求項3に記載の通信システム。
前記システム構成が前記分散構成のときに、前記監視部が、前記負荷が閾値未満と判定すると、前記接続が可能と判定され、前記接続が継続中の前記通信に係る端末の識別情報と、当該通信に係る通信時間およびデータ通信量と、を含む切り戻し通知を前記通信装置へ通知し、
前記通信装置では、前記切り戻し通知に基づいて、前記第1端末管理部が前記識別情報を認証済みの前記端末の識別情報として記憶し、さらに前記通信時間および前記データ通信量に基づいて、前記通信の履歴を記録する、
請求項2又は請求項3に記載の通信システム。
【請求項6】
前記通信装置は、
前記ネットワーク間の通信の暗号化と復号を行う暗号化処理部、をさらに備えるVPN(Virtual Private Network)装置である、
請求項1又は請求項2に記載の通信システム。
前記ネットワーク間の通信の暗号化と復号を行う暗号化処理部、をさらに備えるVPN(Virtual Private Network)装置である、
請求項1又は請求項2に記載の通信システム。
【請求項7】
前記通信装置は、
認証された通信のみ接続を許可するためのアクセスゲートウェイである、
請求項1又は請求項2に記載の通信システム。
認証された通信のみ接続を許可するためのアクセスゲートウェイである、
請求項1又は請求項2に記載の通信システム。
【請求項8】
前記予備装置が課金対象のサーバに配備されている、
請求項1又は請求項2に記載の通信システム。
請求項1又は請求項2に記載の通信システム。
【請求項9】
異なるネットワーク間の通信を仲介する通信装置と予備装置を含む通信システムの制御方法であって、
前記通信装置が自装置の負荷を判定し、
前記負荷が閾値未満と判定されると、前記通信装置が、前記通信の接続可否の判定を行い、前記通信装置が、前記接続が可能と判定された前記通信に係る通信パケットの転送を行い、前記通信装置が、前記通信の履歴を記録する集約構成となるよう、前記通信システムのシステム構成を制御し、
前記負荷が閾値以上と判定されると、前記予備装置が、前記通信の接続可否の判定を行い、前記通信装置が、前記接続が可能と判定された前記通信に係る通信パケットの転送を行い、前記予備装置が、前記通信の履歴を記録する分散構成となるよう、前記通信システムのシステム構成を制御する、
制御方法。
前記通信装置が自装置の負荷を判定し、
前記負荷が閾値未満と判定されると、前記通信装置が、前記通信の接続可否の判定を行い、前記通信装置が、前記接続が可能と判定された前記通信に係る通信パケットの転送を行い、前記通信装置が、前記通信の履歴を記録する集約構成となるよう、前記通信システムのシステム構成を制御し、
前記負荷が閾値以上と判定されると、前記予備装置が、前記通信の接続可否の判定を行い、前記通信装置が、前記接続が可能と判定された前記通信に係る通信パケットの転送を行い、前記予備装置が、前記通信の履歴を記録する分散構成となるよう、前記通信システムのシステム構成を制御する、
制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、通信システム及び制御方法に関する。
【背景技術】
【0002】
近年、SDN(Software Defined Network)やNFV(Network Functions Virtualization)等の仮想ネットワーク技術が注目されている。仮想ネットワーク技術は、ネットワーク機器の機能を仮想マシン上に実装するものであるため、仮想化されたネットワーク機器の配置を動的に変更したり、増減させたりすることが比較的容易に実行できる。例えば、特許文献1には、仮想化されたネットワーク機器を含むシステム(サービスチェーン)の通信トラフィックを監視し、通信トラフィックの削減に寄与するネットワーク機器を特定し、特定したネットワーク機器を再配備することにより、動的にネットワーク構成を切り替え、トラフィック削減および通信サービスの性能・品質を向上することができるように構成したシステムが開示されている。
【0003】
また、図9Aに例示するような通信システム100が提供されている。通信システム100のネットワークNW1はインターネット等の公衆回線であり、ネットワークNW2は社内のプライベートネットワークであり、通信装置V1はネットワークNW1の終端に配置されたVPN(Virtual Private Network)サーバの機能を備えたゲートウェイである。通信システム100を用いると、端末TM1と通信装置V1の通信をIPSec等により暗号化し、自宅の端末TM1からオフィスの端末TM2まで、安全に接続することができる。このような構成において、通信装置V1は、通信パケットの暗号化、転送、認証、通信記録などを行う。通信トラフィックが増大すると、通信装置V1がボトルネックとなり、通信が遅くなる、通信パケットの欠損が発生する、ユーザ認証に時間がかかる等の影響が生じやすくなる。
【0004】
これに対し、図9Bに例示する通信システムが提供されている。通信システム100Aでは、通信装置V1´,V2´が冗長化され、認証用のデータベースが端末DB1に実装されている。このような構成であれば、トラフィックは、通信装置V1´,V2´で負荷分散されるので、通信の遅延や通信パケットの欠損などを防ぐことができる。また、複数の通信装置V1´,V2´それぞれに認証用データベースを設けることなく、端末DB1に集約することで認証用データベースの保守性を向上させることができる。しかし、通信トラフィックが少ない時間帯でも複数の通信装置V1´,V2´が必要となり、また、認証用の端末DB1も個別に設置する必要があるため、端末台数が増加し、コストが増大するおそれがある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】国際公開第2017/171011号
【発明の概要】
【発明が解決しようとする課題】
【0006】
通信装置の増加を抑制しつつ、通信トラフィックの増大にも対応可能な通信システムが必要とされている。
【0007】
本開示は、上記課題を解決することができる通信システム及び制御方法を提供する。
【課題を解決するための手段】
【0008】
本開示の通信システムは、異なるネットワーク間の通信を仲介する通信装置と予備装置を含む通信システムであって、前記通信装置は、自装置の負荷を監視する監視部と、前記通信システムのシステム構成を制御する第1制御部と、前記ネットワーク間の通信パケットの転送を行う通信処理部と、前記ネットワーク間の通信の接続可否を判定する第1認証部と、前記ネットワーク間の通信の履歴を記録する第1端末管理部と、を備え、前記予備装置は、前記ネットワーク間の通信の接続可否を判定する第2認証部と、前記ネットワーク間の通信の履歴を記録する第2端末管理部と、を備え、前記第1制御部は、前記監視部が、前記負荷が閾値未満と判定すると、前記システム構成が、前記第1認証部が前記通信の接続可否の判定を行い、前記通信処理部が前記第1認証部によって前記接続が可能と判定された通信に係る前記通信パケットの転送を行い、前記第1端末管理部が前記通信の履歴を記録する集約構成となるよう制御し、前記監視部が、前記負荷が閾値以上と判定すると、前記システム構成が、前記第2認証部が前記通信の接続可否の判定を行い、前記通信処理部が前記第2認証部によって前記接続が可能と判定された通信に係る前記通信パケットの転送を行い、前記第2端末管理部が前記通信の履歴を記録する分散構成となるよう制御する。
【0009】
本開示の制御方法は、異なるネットワーク間の通信を仲介する通信装置と予備装置を含む通信システムの制御方法であって、前記通信装置が自装置の負荷を判定し、前記負荷が閾値未満と判定されると、前記通信装置が、前記通信の接続可否の判定を行い、前記通信装置が、前記接続が可能と判定された前記通信に係る通信パケットの転送を行い、前記通信装置が、前記通信の履歴を記録する集約構成となるよう前記通信システムのシステム構成を制御し、前記負荷が閾値以上と判定されると、前記予備装置が、前記通信の接続可否の判定を行い、前記通信装置が、前記接続が可能と判定された前記通信に係る通信パケットの転送を行い、前記予備装置が、前記通信の履歴を記録する分散構成となるよう前記通信システムのシステム構成を制御する。
【発明の効果】
【0010】
上述の通信システム及び制御方法によれば、通信装置の増加を抑制しつつ、通信トラフィックの増大にも対応することができる。
【図面の簡単な説明】
【0011】
【図1】実施形態に係る通信システムの一例を示す図である。
【図2】実施形態に係る通信装置(VPN装置)の一例を示す図である。
【図3】実施形態に係るシステム構成の変更制御の一例を示すフローチャートである。
【図4】実施形態に係る分散構成への切り替え制御の一例を示すフローチャートである。
【図5】実施形態に係る集約構成への切り替え制御の一例を示すフローチャートである。
【図6】実施形態に係る予備装置の先行起動制御の一例を示すフローチャートである。
【図7】実施形態に係る冗長化された通信システムの一例を示す図である。
【図8】実施形態に係る通信装置(アクセスゲートウェイ)の一例を示す図である。
【図9A】一般的な通信システムの一例を示す第1の図である。
【図9B】一般的な通信システムの一例を示す第2の図である。
【図10】実施形態に係る通信装置のハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0012】
<実施形態>
以下、本開示の通信システムについて図面を参照して説明する。
図1は、実施形態に係る通信システム1の一例を示す図である。
通信システム1は、端末TM1と、VPN装置10と、予備装置20および/又は予備装置20´と、端末TM2と、を含む。端末TM1、VPN装置10、予備装置20~20´、端末TM2は、コンピュータによって構成される。端末TM1~TM2は、ユーザ端末である。VPN装置10は、通信の暗号化および復号、通信パケットの転送などの処理を行うゲートウェイである。予備装置20~20´は、VPN装置10の一部の機能を負担するために設けられている。端末TM1とVPN装置10はネットワークNW1を介して通信可能に接続されている。ネットワークNW1は、例えば、インターネット等の広域回線である。端末TM2とVPN装置10はネットワークNW2を介して通信可能に接続されている。ネットワークNW2は、例えば、社内ネットワーク等のプライベートネットワークである。予備装置20とVPN装置10はネットワークNW1を介して通信可能に接続されている。例えば、予備装置20は、所謂、クラウド上で稼働するサーバである。予備装置20´は、社内サーバ等であり、予備装置20´とVPN装置10はネットワークNW2を介して通信可能に接続されている。
以下、本開示の通信システムについて図面を参照して説明する。
図1は、実施形態に係る通信システム1の一例を示す図である。
通信システム1は、端末TM1と、VPN装置10と、予備装置20および/又は予備装置20´と、端末TM2と、を含む。端末TM1、VPN装置10、予備装置20~20´、端末TM2は、コンピュータによって構成される。端末TM1~TM2は、ユーザ端末である。VPN装置10は、通信の暗号化および復号、通信パケットの転送などの処理を行うゲートウェイである。予備装置20~20´は、VPN装置10の一部の機能を負担するために設けられている。端末TM1とVPN装置10はネットワークNW1を介して通信可能に接続されている。ネットワークNW1は、例えば、インターネット等の広域回線である。端末TM2とVPN装置10はネットワークNW2を介して通信可能に接続されている。ネットワークNW2は、例えば、社内ネットワーク等のプライベートネットワークである。予備装置20とVPN装置10はネットワークNW1を介して通信可能に接続されている。例えば、予備装置20は、所謂、クラウド上で稼働するサーバである。予備装置20´は、社内サーバ等であり、予備装置20´とVPN装置10はネットワークNW2を介して通信可能に接続されている。
【0013】
通信システム1は、ネットワークNW2外の端末TM1とネットワークNW2内の端末TM2の間の通信をVPN装置10によって仲介する。端末TM1とVPN装置10の間の通信はIPSecにより暗号化されたVPNトンネルとなっている。通信システム1は、VPN装置10の負荷に応じて、システム構成を動的に変更する機能を有している。具体的には、(a)VPN装置10の負荷が閾値以下のときには、VPN装置10のみが仲介処理を実行する構成をとり、(b)VPN装置10の負荷が閾値を上回ると、VPN装置10が実行する処理の一部を予備装置20又は予備装置20´が担当する構成をとる。
【0014】
図1では、予備装置20と予備装置20´の2台を図示したが、通信システム1には、少なくともどちらか1台のみが設けられていればよい。以下、予備装置20が用いられている場合を例に説明を行う。また、VPN装置10、端末TM1~2の数に制限は無く、それぞれが2台以上設けられていてもよい。VPN装置10の数に合わせて、予備装置20,20´は、2台以上設けられていてもよい。
【0015】
(システム構成)
図2は、実施形態に係る通信システム1の通信装置(VPN装置10、予備装置20)の機能構成の一例を示す図である。
VPN装置10は、監視部11と、制御部12と、通信処理部13と、暗号化処理部14と、認証部15と、端末管理部16と、を備える。
監視部11は、自装置(VPN装置10)の負荷を監視する。例えば、監視部11は、自装置が備えるCPU(Central Processing Unit)使用量、メモリ使用量、データ通信量を監視する。監視部11は、これらの値から自装置の負荷が高いかどうかを判定する。
制御部12は、監視部11の判定結果に基づいて通信システム1のシステム構成を変更する。具体的には、制御部12は、負荷が高いと判定すると、処理の一部を予備装置20に負担させる分散構成とし、分散構成中に自装置の負荷が低いと判定すると、自装置で全ての処理を実行する集約構成とするようシステム構成を変更する。また、制御部12は、システム構成の変更に伴う情報の引継ぎを行う。システム構成が分散構成の場合、制御部12は、端末管理情報(端末ごとの、通信時間、データ通信量など)を予備装置20へ転送する。
通信処理部13は、通信パケットの転送を行う。
暗号化処理部14は、通信パケットの暗号化や復号などの暗号化通信処理を行う。
認証部15は、ネットワークNW2内へ接続を試みる端末TM1等の認証を行う。認証部15は、認証クライアントと認証用データベースを含む。
端末管理部16は、接続中の端末TM1,TM2等およびその通信(例えば、接続時間、データ通信量)を記録する。
これらの機能部のうち、通信処理部13と暗号化処理部14を含む構成を通信機能部、認証部15と端末管理部16を含む構成を管理機能部と呼ぶ。
図2は、実施形態に係る通信システム1の通信装置(VPN装置10、予備装置20)の機能構成の一例を示す図である。
VPN装置10は、監視部11と、制御部12と、通信処理部13と、暗号化処理部14と、認証部15と、端末管理部16と、を備える。
監視部11は、自装置(VPN装置10)の負荷を監視する。例えば、監視部11は、自装置が備えるCPU(Central Processing Unit)使用量、メモリ使用量、データ通信量を監視する。監視部11は、これらの値から自装置の負荷が高いかどうかを判定する。
制御部12は、監視部11の判定結果に基づいて通信システム1のシステム構成を変更する。具体的には、制御部12は、負荷が高いと判定すると、処理の一部を予備装置20に負担させる分散構成とし、分散構成中に自装置の負荷が低いと判定すると、自装置で全ての処理を実行する集約構成とするようシステム構成を変更する。また、制御部12は、システム構成の変更に伴う情報の引継ぎを行う。システム構成が分散構成の場合、制御部12は、端末管理情報(端末ごとの、通信時間、データ通信量など)を予備装置20へ転送する。
通信処理部13は、通信パケットの転送を行う。
暗号化処理部14は、通信パケットの暗号化や復号などの暗号化通信処理を行う。
認証部15は、ネットワークNW2内へ接続を試みる端末TM1等の認証を行う。認証部15は、認証クライアントと認証用データベースを含む。
端末管理部16は、接続中の端末TM1,TM2等およびその通信(例えば、接続時間、データ通信量)を記録する。
これらの機能部のうち、通信処理部13と暗号化処理部14を含む構成を通信機能部、認証部15と端末管理部16を含む構成を管理機能部と呼ぶ。
【0016】
予備装置20は、制御部21と、認証部22と、端末管理部23と、を備える。
制御部21は、VPN装置10の制御部12と連携して、システム構成の変更を行う。例えば、制御部21は、VPN装置10からシステム構成変更の通知を待ち受け、認証部22と端末管理部23の稼働制御やシステム構成変更に伴う情報の引継ぎを行う。例えば、制御部21は、システム構成が集約構成の場合には認証部22と端末管理部23の機能を停止させ、分散構成となるとこれらの機能を稼働する。また、例えば、制御部21は、VPN装置10へ負荷状況の問い合わせを行って、負荷が上昇し続けると予測される場合には、VPN装置10による分散構成への変更決定前に、前もって認証部22と端末管理部23を稼働させ、速やかにシステム構成の変更が完了するように準備してもよい。
認証部22は、ネットワークNW2内へ接続を試みる端末TM1等の認証を行う。認証部22は、認証クライアントと認証用データベースを含む。認証部22は、認証部15と同様の機能を備えている。
端末管理部23は、接続中の端末TM1,TM2等およびその通信(例えば、接続時間、データ通信量)を記録する。端末管理部23は、端末管理部16と同様の機能を備えている。
これらの機能部のうち、認証部22と端末管理部23を含む構成を管理機能部と呼ぶ。また、予備装置20´の構成は、予備装置20と同様である。
制御部21は、VPN装置10の制御部12と連携して、システム構成の変更を行う。例えば、制御部21は、VPN装置10からシステム構成変更の通知を待ち受け、認証部22と端末管理部23の稼働制御やシステム構成変更に伴う情報の引継ぎを行う。例えば、制御部21は、システム構成が集約構成の場合には認証部22と端末管理部23の機能を停止させ、分散構成となるとこれらの機能を稼働する。また、例えば、制御部21は、VPN装置10へ負荷状況の問い合わせを行って、負荷が上昇し続けると予測される場合には、VPN装置10による分散構成への変更決定前に、前もって認証部22と端末管理部23を稼働させ、速やかにシステム構成の変更が完了するように準備してもよい。
認証部22は、ネットワークNW2内へ接続を試みる端末TM1等の認証を行う。認証部22は、認証クライアントと認証用データベースを含む。認証部22は、認証部15と同様の機能を備えている。
端末管理部23は、接続中の端末TM1,TM2等およびその通信(例えば、接続時間、データ通信量)を記録する。端末管理部23は、端末管理部16と同様の機能を備えている。
これらの機能部のうち、認証部22と端末管理部23を含む構成を管理機能部と呼ぶ。また、予備装置20´の構成は、予備装置20と同様である。
【0017】
(動作)
<1>システム構成の切り替え判定
図3にシステム構成の変更制御のフローチャートの一例を示す。
VPN装置10は、以下の処理を繰り返し実行する。監視部11は、VPN装置10の負荷情報を取得する(ステップS1)。監視部11は、VPN装置10におけるCPU使用率、メモリ使用量、データ通信量を取得する。次に監視部11は、VPN装置10の負荷が高いかどうかを判定する(ステップS2)。具体的には、監視部11は、取得したCPU使用率と、予め定められたCPU使用率が高いかどうかを判定する為の閾値とを比較して、CPU使用率が閾値以上かどうかを判定する。同様に、監視部11は、取得したメモリ使用量、データ通信量についても、それぞれについて予め定められた閾値(それぞれの値が大きいことを判定するための閾値)と比較して、それらの値が閾値以上かどうかを判定する。監視部11は、比較の結果に基づいて、VPN装置10の負荷が高いかどうかを判定する。例えば、監視部11は、CPU使用率、メモリ使用量、データ通信量の何れかが閾値以上となっていれば、あるいは、その状態が一定時間継続するか又は所定時間内にCPU使用率等の何れかが閾値以上となる状態が所定回数以上発生すれば、VPN装置10の負荷が高いと判定し、そうでない場合には、VPN装置10の負荷が高くないと判定する。VPN装置10の負荷が高い場合(ステップS2;Yes)、監視部11は、その判定結果を制御部12へ出力する。制御部12は、通信システム1のシステム構成が分散構成となっているかどうかを判定する(ステップS3)。既に分散構成となっている場合(ステップS3;Yes)、図3の処理フローを終了し、再びステップS1からの処理が実行される。分散構成ではない場合(ステップS3;No)、制御部12は、通信システム1のシステム構成を分散構成へ切り替えることを決定し、切り替え制御を行う(ステップS4)。具体的には、制御部12は、管理機能部(認証部15、端末管理部16)を予備装置20へ移すことを決定し、予備装置20の制御部21と連携して、管理機能部の移動・切り替えを行う。分散構成への切り替え制御については、次に図4を用いて説明する。分散構成への切り替え後は、ステップS1からの処理が繰り返し実行される。
<1>システム構成の切り替え判定
図3にシステム構成の変更制御のフローチャートの一例を示す。
VPN装置10は、以下の処理を繰り返し実行する。監視部11は、VPN装置10の負荷情報を取得する(ステップS1)。監視部11は、VPN装置10におけるCPU使用率、メモリ使用量、データ通信量を取得する。次に監視部11は、VPN装置10の負荷が高いかどうかを判定する(ステップS2)。具体的には、監視部11は、取得したCPU使用率と、予め定められたCPU使用率が高いかどうかを判定する為の閾値とを比較して、CPU使用率が閾値以上かどうかを判定する。同様に、監視部11は、取得したメモリ使用量、データ通信量についても、それぞれについて予め定められた閾値(それぞれの値が大きいことを判定するための閾値)と比較して、それらの値が閾値以上かどうかを判定する。監視部11は、比較の結果に基づいて、VPN装置10の負荷が高いかどうかを判定する。例えば、監視部11は、CPU使用率、メモリ使用量、データ通信量の何れかが閾値以上となっていれば、あるいは、その状態が一定時間継続するか又は所定時間内にCPU使用率等の何れかが閾値以上となる状態が所定回数以上発生すれば、VPN装置10の負荷が高いと判定し、そうでない場合には、VPN装置10の負荷が高くないと判定する。VPN装置10の負荷が高い場合(ステップS2;Yes)、監視部11は、その判定結果を制御部12へ出力する。制御部12は、通信システム1のシステム構成が分散構成となっているかどうかを判定する(ステップS3)。既に分散構成となっている場合(ステップS3;Yes)、図3の処理フローを終了し、再びステップS1からの処理が実行される。分散構成ではない場合(ステップS3;No)、制御部12は、通信システム1のシステム構成を分散構成へ切り替えることを決定し、切り替え制御を行う(ステップS4)。具体的には、制御部12は、管理機能部(認証部15、端末管理部16)を予備装置20へ移すことを決定し、予備装置20の制御部21と連携して、管理機能部の移動・切り替えを行う。分散構成への切り替え制御については、次に図4を用いて説明する。分散構成への切り替え後は、ステップS1からの処理が繰り返し実行される。
【0018】
VPN装置10の負荷が高くない場合(ステップS2;No)、制御部12は、通信システム1のシステム構成が分散構成となっているかどうかを判定する(ステップS5)。分散構成ではない場合(ステップS5;No)、図3の処理フローを終了し、再びステップS1からの処理が実行される。分散構成の場合(ステップS5;Yes)、監視部11は、分散構成のままにするか集約構成に切り替えるかを判定する(ステップS6)。具体的には、監視部11は、取得したCPU使用率と、予め定められたCPU使用率の閾値(CPU使用率が低いことを判定するための閾値)とを比較して、CPU使用率が閾値未満かどうかを判定する。同様に、監視部11は、取得したメモリ使用量、データ通信量についても、それぞれについて予め定められた閾値(それぞれの値が低いことを判定するための閾値)と比較して、それらの値が閾値未満かどうかを判定する。監視部11は、比較の結果に基づいて、分散構成のままにするか集約構成に戻すかを判定する。例えば、監視部11は、CPU使用率、メモリ使用量、データ通信量の全てが閾値未満となる状態が、一定期間継続すれば、あるいは、所定時間内にCPU使用率、メモリ使用量、データ通信量の全てが閾値未満となる状態が所定回数以上発生すれば、VPN装置10の負荷が低くなっていると考えられるため、分散構成を集約構成に替える(戻す)と判定し、そうでない場合には、分散構成のままにすると判定する。監視部11は、判定結果を制御部12へ出力する。通信システム1のシステム構成が分散構成で且つ集約構成に切り替えると判定された場合(ステップS6;Yes)、制御部12は、通信システム1のシステム構成を集約構成へ切り替えることを決定し、切り替え制御を行う(ステップS7)。具体的には、制御部12は、管理機能部(認証部22、端末管理部23)を予備装置20からVPN装置10へ戻すことを決定し、予備装置20の制御部21と連携して、管理機能部の移動・切り替えを行う。集約構成への切り替え制御については、後に図5を用いて説明する。分散構成のままにすると判定された場合(ステップS6;No)、図3の処理フローを終了し、再びステップS1からの処理が実行される。
【0019】
<2>分散構成への切り替え
図4を参照して、図3のステップS4の処理について説明する。制御部12が通信システム1のシステム構成を分散構成へ切り替えることを決定すると、VPN装置10と予備装置20は以下の手順で切り替え制御を行う。まず、VPN装置10の制御部12が、自装置の管理機能部(認証部15、端末管理部16)を停止する(ステップS11)。そして、制御部12は、予備装置20へ機能引継ぎ通知を行う(ステップS12)。管理機能部の引継ぎ前後で通信を継続するため、制御部12は、機能引継ぎ通知に、以下の情報を含める。(a1)認証部15の機能引継ぎのために、認証が許可され、通信利用中の端末TM1,M2等の端末ID(識別情報)の一覧、(a2)端末管理部16の機能引継ぎのために、通信利用中の端末IDごとの通信時間およびデータ通信量の記録。予備装置20の制御部21は、機能引継ぎ通知を受信し、自装置の管理機能部を起動する(ステップS13)。制御部21は、認証部22と端末管理部23を起動する。端末管理部23は起動すると、機能引継ぎ通知から(a1)認証許可済みの端末IDを取得して、取得した端末IDを認証済みの端末情報として記憶する。また、端末管理部23は起動すると、機能引継ぎ通知から(a2)端末IDごとの利用時間およびデータ通信量を取得してこれらの情報を記憶する。
図4を参照して、図3のステップS4の処理について説明する。制御部12が通信システム1のシステム構成を分散構成へ切り替えることを決定すると、VPN装置10と予備装置20は以下の手順で切り替え制御を行う。まず、VPN装置10の制御部12が、自装置の管理機能部(認証部15、端末管理部16)を停止する(ステップS11)。そして、制御部12は、予備装置20へ機能引継ぎ通知を行う(ステップS12)。管理機能部の引継ぎ前後で通信を継続するため、制御部12は、機能引継ぎ通知に、以下の情報を含める。(a1)認証部15の機能引継ぎのために、認証が許可され、通信利用中の端末TM1,M2等の端末ID(識別情報)の一覧、(a2)端末管理部16の機能引継ぎのために、通信利用中の端末IDごとの通信時間およびデータ通信量の記録。予備装置20の制御部21は、機能引継ぎ通知を受信し、自装置の管理機能部を起動する(ステップS13)。制御部21は、認証部22と端末管理部23を起動する。端末管理部23は起動すると、機能引継ぎ通知から(a1)認証許可済みの端末IDを取得して、取得した端末IDを認証済みの端末情報として記憶する。また、端末管理部23は起動すると、機能引継ぎ通知から(a2)端末IDごとの利用時間およびデータ通信量を取得してこれらの情報を記憶する。
【0020】
<3>分散構成切り替え後の処理
分散構成切り替え後のVPN装置10では、引き続き、監視部11によって、VPN装置10の負荷の監視が行われ、通信処理部13による通信パケットの転送と暗号化処理部14による暗号化処理が行われる。また、制御部12は、通信利用中の端末の端末IDと通信時間およびデータ通信量を予備装置20へ送信する。予備装置20では、端末管理部23が、認証済みの端末の通信をそのまま許可し、さらに、端末IDごとの通信時間およびデータ通信量をVPN装置10から受信して、機能引継ぎ通知に含まれるそれらの情報に加算して、端末IDごとの、通信時間およびデータ通信量の管理・記録を継続する。また、新たに端末TM1等から接続要求がきた場合には、VPN装置10の制御部12が、新たに接続要求を行ってきた端末のアカウント情報を予備装置20へ送信し認証を要求する。予備装置20では、認証部22が認証を行い、認証の結果をVPN装置10へ返信する。認証が成功した場合には、通信制御をVPN装置10の通信機能部(通信処理部13、暗号化処理部14)が行い、通信記録等の処理は予備装置20の管理機能部(認証部22、端末管理部23)が行う。認証に失敗した場合には、制御部12が、接続要求を行った端末TM1等へその旨を通知する。
分散構成切り替え後のVPN装置10では、引き続き、監視部11によって、VPN装置10の負荷の監視が行われ、通信処理部13による通信パケットの転送と暗号化処理部14による暗号化処理が行われる。また、制御部12は、通信利用中の端末の端末IDと通信時間およびデータ通信量を予備装置20へ送信する。予備装置20では、端末管理部23が、認証済みの端末の通信をそのまま許可し、さらに、端末IDごとの通信時間およびデータ通信量をVPN装置10から受信して、機能引継ぎ通知に含まれるそれらの情報に加算して、端末IDごとの、通信時間およびデータ通信量の管理・記録を継続する。また、新たに端末TM1等から接続要求がきた場合には、VPN装置10の制御部12が、新たに接続要求を行ってきた端末のアカウント情報を予備装置20へ送信し認証を要求する。予備装置20では、認証部22が認証を行い、認証の結果をVPN装置10へ返信する。認証が成功した場合には、通信制御をVPN装置10の通信機能部(通信処理部13、暗号化処理部14)が行い、通信記録等の処理は予備装置20の管理機能部(認証部22、端末管理部23)が行う。認証に失敗した場合には、制御部12が、接続要求を行った端末TM1等へその旨を通知する。
【0021】
<4>集約構成への切り替え
次に図5を参照して、図3のステップS7の処理について説明する。制御部12が通信システム1のシステム構成を集約構成へ切り替えることを決定すると、VPN装置10と予備装置20は以下の手順で切り替え制御を行う。まず、VPN装置10の制御部12が、予備装置20へシステム構成の変更を通知する(ステップS21)。すると、予備装置20の制御部21が、自装置の管理機能部(認証部22、端末管理部23)を停止する(ステップS22)。そして、制御部21は、VPN装置10へ切り戻し通知を行う(ステップS23)。管理機能部の引継ぎ前後で通信を継続するため、制御部12は、切り戻し通知に、以下の情報を含める。(a3)認証部22の機能引継ぎのために、認証が許可され、通信利用中の端末TM1,M2等の端末ID(識別情報)の一覧、(a4)端末管理部23の機能引継ぎのために、通信利用中の端末IDごとの通信時間およびデータ通信量の記録。VPN装置10の制御部12は、切り戻し通知を受信し、自装置の管理機能部を起動する(ステップS24)。制御部12は、認証部15と端末管理部16を起動する。端末管理部16は起動すると、切り戻し通知から(a3)認証許可済みの端末IDを取得して、取得した情報を認証済みの端末情報として記憶する。また、端末管理部16は起動すると、切り戻し通知から(a4)端末IDごとの利用時間およびデータ通信量を取得してこれらの情報を記憶する。
次に図5を参照して、図3のステップS7の処理について説明する。制御部12が通信システム1のシステム構成を集約構成へ切り替えることを決定すると、VPN装置10と予備装置20は以下の手順で切り替え制御を行う。まず、VPN装置10の制御部12が、予備装置20へシステム構成の変更を通知する(ステップS21)。すると、予備装置20の制御部21が、自装置の管理機能部(認証部22、端末管理部23)を停止する(ステップS22)。そして、制御部21は、VPN装置10へ切り戻し通知を行う(ステップS23)。管理機能部の引継ぎ前後で通信を継続するため、制御部12は、切り戻し通知に、以下の情報を含める。(a3)認証部22の機能引継ぎのために、認証が許可され、通信利用中の端末TM1,M2等の端末ID(識別情報)の一覧、(a4)端末管理部23の機能引継ぎのために、通信利用中の端末IDごとの通信時間およびデータ通信量の記録。VPN装置10の制御部12は、切り戻し通知を受信し、自装置の管理機能部を起動する(ステップS24)。制御部12は、認証部15と端末管理部16を起動する。端末管理部16は起動すると、切り戻し通知から(a3)認証許可済みの端末IDを取得して、取得した情報を認証済みの端末情報として記憶する。また、端末管理部16は起動すると、切り戻し通知から(a4)端末IDごとの利用時間およびデータ通信量を取得してこれらの情報を記憶する。
【0022】
<5>集約構成切り替え後の処理
分散構成切り替え後のVPN装置10では、引き続き、監視部11によって、VPN装置10の負荷の監視が行われ、通信処理部13による通信パケットの転送と暗号化処理部14による暗号化処理、認証部15による認証処理、端末管理部16による通信の記録などが行われる。
分散構成切り替え後のVPN装置10では、引き続き、監視部11によって、VPN装置10の負荷の監視が行われ、通信処理部13による通信パケットの転送と暗号化処理部14による暗号化処理、認証部15による認証処理、端末管理部16による通信の記録などが行われる。
【0023】
<6>システム構成変更の予測
上記の説明では、VPN装置10からの機能引継ぎ通知によって、予備装置20が管理機能部を起動することとしたが、予備装置20が近い将来に分散構成となることを予測して、先行的に管理機能部を起動するように構成してもよい。
図6に予備装置20による先行起動制御の一例を示す。図6の処理は、通信システム1が集約構成をとっているときに所定の周期で繰り返し実行される。
まず、予備装置20の制御部21が、SNMP(Simple Network Management Protocol)等のプロトコルを使って、VPN装置10から負荷情報を取得する(ステップS31)。負荷情報とは、例えば、VPN装置10のCPU使用率、メモリ使用量、データ通信量である。
上記の説明では、VPN装置10からの機能引継ぎ通知によって、予備装置20が管理機能部を起動することとしたが、予備装置20が近い将来に分散構成となることを予測して、先行的に管理機能部を起動するように構成してもよい。
図6に予備装置20による先行起動制御の一例を示す。図6の処理は、通信システム1が集約構成をとっているときに所定の周期で繰り返し実行される。
まず、予備装置20の制御部21が、SNMP(Simple Network Management Protocol)等のプロトコルを使って、VPN装置10から負荷情報を取得する(ステップS31)。負荷情報とは、例えば、VPN装置10のCPU使用率、メモリ使用量、データ通信量である。
【0024】
次に、制御部21が、VPN装置10の負荷を予測する(ステップS32)。例えば、CPU使用率が上昇する状態が継続している場合、制御部21は、今後も上昇すると予測し、同じ割合でCPU使用率が上昇する場合に所定時間内にCPU使用率が閾値(CPU使用率が高いことを判定するための閾値)以上となるかどうかを予測する。制御部21は、メモリ使用量やデータ通信量についても同様に予測する。CPU使用率、メモリ使用量、データ通信量の何れかが所定時間以内に閾値以上となると予測できる場合、制御部21は、負荷が高くなると予測する。
【0025】
また、例えば、CPU使用率が低下する状態が継続している場合、制御部21は、今後も低下すると予測し、同じ割合でCPU使用率が低下する場合に所定時間内にCPU使用率が閾値(CPU使用率が低いことを判定するための閾値)未満となるかどうかを予測する。制御部21は、メモリ使用量やデータ通信量についても同様に予測する。CPU使用率、メモリ使用量、データ通信量の全てが所定時間以内に閾値未満となると予測できる場合、制御部21は、VPN装置10の負荷が低くなると予測する。
【0026】
VPN装置10の負荷が高くなると予測した場合(ステップS33;Yes)、予備装置20の管理機能部が停止していれば(ステップS34;Yes)、制御部21は、管理機能部(認証部22、端末管理部23)を起動する(ステップS35)。管理機能部の起動後は、ステップS31からの処理が繰り返し実行される。VPN装置10の負荷が高くなると予測し(ステップS33;Yes)、予備装置20の管理機能部が既に起動済みの場合(ステップS34;No)、ステップS31からの処理が繰り返し実行される。
【0027】
VPN装置10の負荷が高くなると予測しなかった場合(ステップS33;No)、制御部21は、負荷が低くなると予測していれば(ステップS36;Yes)、通信システム1が集約構成を取っていることおよび予備装置20の管理機能部が起動済みであることを条件として(ステップS37;Yes)、管理機能部を停止する(ステップS38)。これは、負荷が高くなると予測し一旦管理機能部を起動したが、実際には、負荷が上昇しなかった場合の対策である。
【0028】
VPN装置10の負荷が高くなると予測せず、且つ、負荷が低くなると予測しなかった場合(ステップS36;No)や、負荷が低くなると予測した(ステップS36;Yes)が、管理機能部が起動済みでは無い場合(ステップS37;No)には、ステップS31からの処理が繰り返し実行される。これにより、VPN装置10の負荷が上昇した際に速やかに分散構成へ移行し、遅延なくサービスを継続することができる。
【0029】
なお、VPN装置10、予備装置20での負荷低減、コスト削減(後述)の観点から、図4~図6の説明では、使用する機能管理部のみを起動し、使用しない機能管理部についてはそのプロセスやサービスを停止することとしたが、使用しない機能管理部のプロセス等は起動したままとしてもよい。
【0030】
(効果)
以上説明したように、本実施形態によれば、VPN装置10の負荷に応じて、通信システム1の構成を変更することができる。負荷が低いときには、機能を集約して通信装置の台数を減らすことによりコストを削減し、1台の通信装置内で処理を完結させることにより処理時間の短縮化を図ることができる。反対に、負荷が高いときには、機能を分散して複数台の通信装置に負荷を分散することにより処理時間の増大を防ぎ、サービス品質の維持向上を図ることができる。
以上説明したように、本実施形態によれば、VPN装置10の負荷に応じて、通信システム1の構成を変更することができる。負荷が低いときには、機能を集約して通信装置の台数を減らすことによりコストを削減し、1台の通信装置内で処理を完結させることにより処理時間の短縮化を図ることができる。反対に、負荷が高いときには、機能を分散して複数台の通信装置に負荷を分散することにより処理時間の増大を防ぎ、サービス品質の維持向上を図ることができる。
【0031】
(課金対象のサーバに予備装置20を配備する利点)
予備装置20をクラウド上に配備すると、予備装置20を使用しない時間は費用を抑えることができるのでコストを削減することができる。具体的には、一般的なクラウドサービスでは、以下の場合に課金が発生する。
(1)リソース(CPU、メモリ等)使用時間
(2)ストレージ使用容量
(3)データ転送等通信量
図9Bに例示する一般的な通信システムの構成において、認証用データベースの端末DB1をクラウド上に配備すると、常に認証用のデータベースのサービスを起動しておかなければならない為、上記の(1)~(3)の費用が発生する。一方、本実施形態では、VPN装置10の負荷が低く単独で運用可能なときは、クラウド上の予備装置20の管理機能部は停止状態であり、(1)と(3)の費用が発生しない(正確に言えば、次に説明するように、機能引継ぎ通知の待ち受け用のサービスは起動しておかなければならない為、若干(1)の費用も発生するが、図9Bの構成に比べれば節約することができる。)
予備装置20をクラウド上に配備すると、予備装置20を使用しない時間は費用を抑えることができるのでコストを削減することができる。具体的には、一般的なクラウドサービスでは、以下の場合に課金が発生する。
(1)リソース(CPU、メモリ等)使用時間
(2)ストレージ使用容量
(3)データ転送等通信量
図9Bに例示する一般的な通信システムの構成において、認証用データベースの端末DB1をクラウド上に配備すると、常に認証用のデータベースのサービスを起動しておかなければならない為、上記の(1)~(3)の費用が発生する。一方、本実施形態では、VPN装置10の負荷が低く単独で運用可能なときは、クラウド上の予備装置20の管理機能部は停止状態であり、(1)と(3)の費用が発生しない(正確に言えば、次に説明するように、機能引継ぎ通知の待ち受け用のサービスは起動しておかなければならない為、若干(1)の費用も発生するが、図9Bの構成に比べれば節約することができる。)
【0032】
また、本実施形態において、予備装置20をクラウド上に配備した場合にコスト削減効果を最大限に引き出すためには、例えば、予備装置20の不使用時(負荷が閾値以下のとき)には、VPN装置10からの機能引継ぎ通知を待ち受ける機能以外を停止し、機能引き継ぎ通知を受け取ったタイミングで、管理機能部を起動するようにする。また、サービスの切り替え時間を短縮(サービス継続性)するためには、図6を用いて説明したように、予備装置20の方からSNMP等を使用して、定期的に負荷情報を確認し、負荷の上昇傾向が確認できたり、特定の閾値を越えたりしたタイミングで予備装置20の管理機能部を起動するようにする。これにより、リソース使用コストを低減しつつ、VPN装置10の負荷が上昇して、実際に分散構成をとることとなった場合に、速やかな機能引き継ぎが可能となる。
【0033】
なお、社内ネットワークに接続可能な遊休状態にあるサーバ等を予備装置20´として使用することができれば、クラウドの場合のような課金が発生しない為、さらにコストを削減できることはもちろんである。また、例えば、業務の閑散期には、社内のサーバを予備装置20´として活用し、当該サーバを使用する繁忙期のみクラウド上に仮想マシンを配備して、この仮想マシンを予備装置20として使用するような実施形態であってもよい。この構成の場合でも、不使用時には管理機能部を停止させておくことでコストを低減することができる。
【0034】
なお、図1では、VPN装置10が1台の構成を例示したが、ネットワークNW2に接続する端末数に応じて、例えば、図7に例示するようにVPN装置をVPN装置10-1とVPN装置10-2の2台構成(あるいはそれ以上)とすることもできる。この構成の場合であっても、図1の構成の場合と同様に、1台又は複数台の予備装置20をクラウド上に設けてもよいし(例えば、予備装置20-1,20-2)、ネットワークNW2上に設けてもよい。
【0035】
(アクセスゲートウェイへの適用例)
また、上記の実施形態では、通信装置が暗号化通信を終端するゲートウェイ(VPN装置10)である場合を例に説明を行ったが、ネットワークNW1とネットワークNW2の通信を仲介する通信装置は、VPN装置に限定されない。例えば、認証された(許可された)端末のみ接続を許可するための通信装置(以下、アクセスゲートウェイと呼ぶ)にも、本実施形態を適用することができる。アクセスゲートウェイ10aを通信装置として用いた場合の通信システム1aの構成は、図1のものと同様である。図1のVPN装置10をアクセスゲートウェイ10aと置き換えたシステムを通信システム1aとすることができる。図8に、通信システム1aを構成する通信装置(アクセスゲートウェイ10a、予備装置20)の機能構成の一例を示す。アクセスゲートウェイ10aは、社内ネットワークのような別のネットワークに接続する際や許可されたもののみアクセス可能なサーバにアクセスする際に、その接続の入り口に設置される通信装置である。
また、上記の実施形態では、通信装置が暗号化通信を終端するゲートウェイ(VPN装置10)である場合を例に説明を行ったが、ネットワークNW1とネットワークNW2の通信を仲介する通信装置は、VPN装置に限定されない。例えば、認証された(許可された)端末のみ接続を許可するための通信装置(以下、アクセスゲートウェイと呼ぶ)にも、本実施形態を適用することができる。アクセスゲートウェイ10aを通信装置として用いた場合の通信システム1aの構成は、図1のものと同様である。図1のVPN装置10をアクセスゲートウェイ10aと置き換えたシステムを通信システム1aとすることができる。図8に、通信システム1aを構成する通信装置(アクセスゲートウェイ10a、予備装置20)の機能構成の一例を示す。アクセスゲートウェイ10aは、社内ネットワークのような別のネットワークに接続する際や許可されたもののみアクセス可能なサーバにアクセスする際に、その接続の入り口に設置される通信装置である。
【0036】
アクセスゲートウェイ10aは、監視部11aと、制御部12aと、通信処理部13aと、認証部15aと、端末管理部16aと、を備える。監視部11a、制御部12a、通信処理部13a、認証部15a、端末管理部16aの機能は、図2を用いて説明した監視部11、制御部12、通信処理部13、認証部15、端末管理部16と同様である。
図8に例示する構成では、図1のVPN装置10と比較し、暗号化処理部14がない構成となっているが、ネットワークNW2、端末TM2にアクセスする際に暗号化が必要な場合は、暗号化処理部14を含む構成としてもよい。予備装置20は、制御部21と、認証部22と、端末管理部23と、を備える。予備装置20については、図1で説明したとおりである。また、VPN装置10の代わりにアクセスゲートウェイ10aを設ける場合の動作は、上記の図3~図6で説明した処理と同様である。
図8に例示する構成では、図1のVPN装置10と比較し、暗号化処理部14がない構成となっているが、ネットワークNW2、端末TM2にアクセスする際に暗号化が必要な場合は、暗号化処理部14を含む構成としてもよい。予備装置20は、制御部21と、認証部22と、端末管理部23と、を備える。予備装置20については、図1で説明したとおりである。また、VPN装置10の代わりにアクセスゲートウェイ10aを設ける場合の動作は、上記の図3~図6で説明した処理と同様である。
【0037】
これにより、負荷に応じて、通信システム1aのシステム構成を変更することができ、通信装置の台数を減らすことができる。また、例えば、予備装置20をクラウド上に配備することにより、予備装置20を使用しない時間の費用を抑え、コストを削減することができる。また、予備装置20を使用しない場合は、アクセスゲートウェイ10aの1台で通信サービスの提供が可能となり、処理時間を短縮化することができる。
【0038】
図10は、実施形態に係る通信装置のハードウェア構成の一例を示す図である。
コンピュータ900は、CPU901、主記憶装置902、補助記憶装置903、入出力インタフェース904、通信インタフェース905を備える。
上述の通信装置(VPN装置10、アクセスゲートウェイ10a、予備装置20,20´)は、コンピュータ900に実装される。そして、上述した各機能は、プログラムの形式で補助記憶装置903に記憶されている。CPU901は、プログラムを補助記憶装置903から読み出して主記憶装置902に展開し、当該プログラムに従って上記処理を実行する。また、CPU901は、プログラムに従って、記憶領域を主記憶装置902に確保する。また、CPU901は、プログラムに従って、処理中のデータを記憶する記憶領域を補助記憶装置903に確保する。
コンピュータ900は、CPU901、主記憶装置902、補助記憶装置903、入出力インタフェース904、通信インタフェース905を備える。
上述の通信装置(VPN装置10、アクセスゲートウェイ10a、予備装置20,20´)は、コンピュータ900に実装される。そして、上述した各機能は、プログラムの形式で補助記憶装置903に記憶されている。CPU901は、プログラムを補助記憶装置903から読み出して主記憶装置902に展開し、当該プログラムに従って上記処理を実行する。また、CPU901は、プログラムに従って、記憶領域を主記憶装置902に確保する。また、CPU901は、プログラムに従って、処理中のデータを記憶する記憶領域を補助記憶装置903に確保する。
【0039】
なお、通信装置(VPN装置10、アクセスゲートウェイ10a、予備装置20,20´)の全部または一部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより各機能部による処理を行ってもよい。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、CD、DVD、USB等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。また、このプログラムが通信回線によってコンピュータ900に配信される場合、配信を受けたコンピュータ900が当該プログラムを主記憶装置902に展開し、上記処理を実行しても良い。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
【0040】
以上のとおり、本開示に係るいくつかの実施形態を説明したが、これら全ての実施形態は、例として提示したものであり、発明の範囲を限定することを意図していない。これらの実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で種々の省略、置き換え、変更を行うことができる。これらの実施形態及びその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【0041】
<付記>
各実施形態に記載の通信システム及び制御方法は、例えば以下のように把握される。
各実施形態に記載の通信システム及び制御方法は、例えば以下のように把握される。
【0042】
(1)第1の態様に係る通信システムは、異なるネットワーク間の通信を仲介する通信装置と予備装置を含む通信システムであって、前記通信装置は、自装置の負荷を監視する監視部と、前記通信システムのシステム構成を制御する第1制御部と、前記ネットワーク間の通信パケットの転送を行う通信処理部と、前記ネットワーク間の通信の可否を判定する第1認証部と、前記ネットワーク間の通信の履歴を記録する第1端末管理部と、を備え、前記予備装置は、前記ネットワーク間の通信の可否を判定する第2認証部と、前記ネットワーク間の通信の履歴を記録する第2端末管理部と、を備え、前記第1制御部は、前記監視部が前記負荷は閾値未満と判定すると、前記システム構成が、前記第1認証部が前記通信の可否の判定を行い、前記通信処理部が前記第1認証部によって前記通信が可能と判定された通信に係る前記通信パケットの転送を行い、前記第1端末管理部が前記通信の履歴を記録する集約構成となるよう制御し、前記監視部が前記負荷は閾値以上と判定すると、前記システム構成が、前記第2認証部が前記通信の可否の判定を行い、前記通信処理部が前記第2認証部によって前記通信が可能と判定された通信に係る前記通信パケットの転送を行い、前記第2端末管理部が前記通信の履歴を記録する分散構成となるよう制御する。
これにより、通信装置の増加を抑制しつつ、通信トラフィックの増大にも対応することができる。
これにより、通信装置の増加を抑制しつつ、通信トラフィックの増大にも対応することができる。
【0043】
(2)第2の態様に係る通信システムは、(1)の通信システムであって、前記予備装置は、前記第1制御部の指示に基づいて、前記システム構成を制御する第2制御部、をさらに備え、前記システム構成が前記分散構成の場合、前記第1制御部は、前記第1認証部と前記第1端末管理部を停止させ、前記第2制御部は、前記第2認証部と前記第2端末管理部を起動し、前記システム構成が前記集約構成の場合、前記第1制御部は、前記第1認証部と前記第1端末管理部を起動し、前記第2制御部は、前記第2認証部と前記第2端末管理部を停止させる。
使用しない管理機能部を停止させることにより、負荷の抑制やコスト削減を図ることができる。
使用しない管理機能部を停止させることにより、負荷の抑制やコスト削減を図ることができる。
【0044】
(3)第3の態様に係る通信システムは、(2)の通信システムであって、前記第2制御部は、前記監視部から前記通信装置の負荷の情報を取得し、取得した前記負荷の情報に基づいて、所定時間内に前記通信装置の負荷が閾値以上となるか否かを予測し、前記負荷が前記閾値以上となると予測すると、前記システム構成が前記集約構成であっても、前記第2認証部と前記第2端末管理部を起動する。
これにより、分散構成へ移行した際のサービスの切り替え時間を短縮化し、サービスの継続性を向上することができる。
これにより、分散構成へ移行した際のサービスの切り替え時間を短縮化し、サービスの継続性を向上することができる。
【0045】
(4)第4の態様に係る通信システムは、(1)~(3)の通信システムであって、前記第1制御部は、前記システム構成が前記集約構成のときに、前記監視部が、前記負荷が閾値以上と判定すると、通信が可能と判定され、通信が継続している前記通信に係る端末の識別情報と、当該通信に係る通信時間およびデータ通信量を含む機能引継ぎ通知を前記予備装置へ通知し、前記予備装置では、前記機能引継ぎ通知に基づいて、前記第2端末管理部が前記識別情報を認証済みの前記端末の識別情報として記憶し、さらに前記通信時間および前記データ通信量に基づいて、前記通信の履歴を記録する。
これにより、分散構成へ移行した際にサービスを継続することができる。
これにより、分散構成へ移行した際にサービスを継続することができる。
【0046】
(5)第5の態様に係る通信システムは、(1)~(4)の通信システムであって、前記第2制御部は、前記システム構成が前記分散構成のときに、前記監視部が、前記負荷が閾値未満と判定すると、通信が可能と判定され、通信が継続している前記通信に係る端末の識別情報と、当該通信に係る通信時間およびデータ通信量を含む切り戻し通知を前記通信装置へ通知し、前記通信装置では、前記切り戻し通知に基づいて、前記第1端末管理部が前記識別情報を認証済みの前記端末の識別情報として記憶し、さらに前記通信時間および前記データ通信量に基づいて、前記通信の履歴を記録する。
これにより、集約構成へ移行した際にサービスを継続することができる。
これにより、集約構成へ移行した際にサービスを継続することができる。
【0047】
(6)第6の態様に係る通信システムは、(1)~(5)の通信システムであって、前記通信装置は、前記複数のネットワーク間の通信の暗号化と復号を行う暗号化処理部、をさらに備えるVPN(Virtual Private Network)装置である。
本実施形態の通信システムは、VPN装置に適用することができる。
本実施形態の通信システムは、VPN装置に適用することができる。
【0048】
(7)第7の態様に係る通信システムは、(1)~(6)の通信システムであって、前記通信装置は、認証された通信のみ接続を許可するためのアクセスゲートウェイである。
本実施形態の通信システムは、アクセスゲートウェイに適用することができる。
本実施形態の通信システムは、アクセスゲートウェイに適用することができる。
【0049】
(8)第8の態様に係る通信システムは、(1)~(7)の通信システムであって、前記予備装置が課金対象のサーバに配備されている。
予備装置をクラウド上に配備することにより、コスト削減を図ることができる。
予備装置をクラウド上に配備することにより、コスト削減を図ることができる。
【0050】
(9)第9の態様に係る制御装置は、異なるネットワーク間の通信を仲介する通信装置と予備装置を含む通信システムの制御方法であって、前記通信装置が自装置の負荷を判定し、前記負荷が閾値未満と判定されると、前記通信装置が、前記通信の可否の判定を行い、前記通信装置が、通信が可能と判定された前記通信に係る通信パケットの転送を行い、前記通信装置が、前記通信の履歴を記録する集約構成となるよう前記通信システムのシステム構成を制御し、前記負荷が閾値以上と判定されると、前記予備装置が、前記通信の可否の判定を行い、前記通信装置が、通信が可能と判定された前記通信に係る通信パケットの転送を行い、前記予備装置が、前記通信の履歴を記録する分散構成となるよう前記通信システムのシステム構成を制御する。
【符号の説明】
【0051】
1・・・通信システム
10・・・VPN装置
10a・・・アクセスゲートウェイ
11・・・監視部
12・・・制御部
13・・・通信処理部
14・・・暗号化処理部
15・・・認証部
16・・・端末管理部
20、20´・・・VPN装置
21・・・制御部
22・・・認証部
23・・・端末管理部
TM1、TM2・・・端末
NW1、NW2・・・ネットワーク
900・・・コンピュータ
901・・・CPU
902・・・主記憶装置
903・・・補助記憶装置
904・・・入出力インタフェース
905・・・通信インタフェース
10・・・VPN装置
10a・・・アクセスゲートウェイ
11・・・監視部
12・・・制御部
13・・・通信処理部
14・・・暗号化処理部
15・・・認証部
16・・・端末管理部
20、20´・・・VPN装置
21・・・制御部
22・・・認証部
23・・・端末管理部
TM1、TM2・・・端末
NW1、NW2・・・ネットワーク
900・・・コンピュータ
901・・・CPU
902・・・主記憶装置
903・・・補助記憶装置
904・・・入出力インタフェース
905・・・通信インタフェース
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図10】