特許7540823 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

青山学院大学 (神奈川県相模原市中央区淵野辺)

▶ ＮＥＣプラットフォームズ株式会社の特許一覧

特許7540823ネットワーク管理システム、ＶＰＮ装置、ネットワーク管理方法及びネットワーク管理プログラム

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10
11
12
13
14

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-08-19

(45)【発行日】2024-08-27

(54)【発明の名称】ネットワーク管理システム、ＶＰＮ装置、ネットワーク管理方法及びネットワーク管理プログラム

(51)【国際特許分類】

H04L 41/0895 20220101AFI20240820BHJP

H04L 12/46 20060101ALI20240820BHJP

【ＦＩ】

H04L41/0895

H04L12/46 V

【請求項の数】 7

(21)【出願番号】P 2022035253

(22)【出願日】2022-03-08

(65)【公開番号】P2023130772

(43)【公開日】2023-09-21

【審査請求日】2023-07-04

(73)【特許権者】

【識別番号】000227205

【氏名又は名称】ＮＥＣプラットフォームズ株式会社

(74)【代理人】

【識別番号】100080816

【弁理士】

【氏名又は名称】加藤朝道

(74)【代理人】

【識別番号】100098648

【弁理士】

【氏名又は名称】内田潔人

(72)【発明者】

【氏名】伊藤寛

【審査官】吉田歩

(56)【参考文献】

【文献】米国特許出願公開第２００４／００７３６４２（ＵＳ，Ａ１）

【文献】特開２０１０－２１２７４９（ＪＰ，Ａ）

【文献】特開２００４－３４２０７２（ＪＰ，Ａ）

【文献】特開２０２２－０２１５９５（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ４１／０８９５

Ｈ０４Ｌ１２／４６

(57)【特許請求の範囲】

【請求項1】

複数のＶＰＮ（仮想プライベートネットワーク）装置を含み、
各ＶＰＮ装置が、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知部と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、を有する、
ネットワーク管理システム。

【請求項2】

前記ローカル端末登録部は、前記ローカル端末に対して既に付与されているＩＰアドレスが、前記複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスである場合には、前記既に付与されているＩＰアドレスを前記ローカル端末管理テーブルに登録する、
請求項１に記載のネットワーク管理システム。

【請求項3】

前記ローカル端末登録部が、ＡＲＰ（Address Resolution Protocol）によって自装置への端末接続を検出し、検出した端末のＭＡＣアドレス及びＩＰアドレスの組をローカル端末管理テーブルに追加する、請求項１又は２に記載のネットワーク管理システム。

【請求項4】

各ＶＰＮ装置がＶＰＮ通信によって互いに接続される、請求項１又は２に記載のネットワーク管理システム。

【請求項5】

自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知部と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、
を有する、ＶＰＮ（仮想プライベートネットワーク）装置。

【請求項6】

自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各ＶＰＮ装置が、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録ステップと、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知ステップと、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録ステップと、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継ステップと、を実行する、
ネットワーク管理方法。

【請求項7】

自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各ＶＰＮ装置としてのコンピュータに、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録処理と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知処理と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録処理と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継処理と、を実行させる、
ネットワーク管理プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ネットワーク管理システム、ＶＰＮ装置、ネットワーク管理方法及びネットワーク管理プログラムに関する。特に、ＶＰＮ装置に接続された端末を管理するネットワーク管理システム、ＶＰＮ装置、ネットワーク管理方法及びネットワーク管理プログラムに関する。

【背景技術】

【0002】

特許文献１、２に開示されるように、ＶＰＮ（Virtual Private Network）と称される、遠隔地に存在する複数のプライベートネットワークを単一の仮想プライベートネットワークとして管理する技術が存在する。

【先行技術文献】

【特許文献】

【0003】

【文献】特開２００６－２６２１３１号公報

【文献】国際公開第２００７／１４１８４０号

【発明の概要】

【発明が解決しようとする課題】

【0004】

以下の分析は、本発明の観点からなされたものである。なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。

【0005】

従来では、遠隔地間の端末の移動であっても端末のＩＰアドレスを変更している。そのため、ＩＰアドレスベースのセキュリティポリシを適用する場合は、セキュリティポリシを動的に更新しなければならず、ネットワーク管理上のコストが高いという問題がある。また、アドレスが変更された場合は端末同士の通信も切断される場合が多々あるという問題がある。

【0006】

特許文献１には、異なるプライベートネットワークに対して同時に接続可能にする技術が開示されている。また特許文献２には、モバイルルータ等を用いる技術が開示されている。しかしながら、いずれの技術であっても、低機能装置（小型ＩｏＴ（Internet of Things）デバイスなど）の全てに実装することは困難である。

【0007】

そこで、本発明では、ネットワーク管理上のコストを抑えつつ、端末間の通信を遮断することなく端末が遠隔地を移動させることが可能となる技術を提供することを目的とする。

【課題を解決するための手段】

【0008】

本発明の第１の視点によれば、
複数のＶＰＮ（仮想プライベートネットワーク）装置を含み、
各ＶＰＮ装置が、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知部と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、を有する、
ネットワーク管理システム、が提供される。

【0009】

本発明の第２の視点によれば、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知部と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、
を有する、ＶＰＮ（仮想プライベートネットワーク）装置、が提供される。

【0010】

本発明の第３の視点によれば、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各ＶＰＮ装置が、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録ステップと、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知ステップと、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録ステップと、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継ステップと、を実行する、
ネットワーク管理方法、が提供される。

【0011】

本発明の第４の視点によれば、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各ＶＰＮ装置としてのコンピュータに、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録処理と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知処理と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録処理と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継処理と、を実行させる、
ネットワーク管理プログラム、が提供される。

【発明の効果】

【0012】

本発明の各視点によれば、ネットワーク管理上のコストを抑えつつ、端末間の通信を遮断することなく端末が遠隔地を移動させることに貢献するネットワーク管理システム、ＶＰＮ装置、ネットワーク管理方法及びネットワーク管理プログラムが提供される。

【図面の簡単な説明】

【0013】

【図1】本発明の概要を説明するための図である。

【図2】ＶＰＮ装置１００の構成の一例を示すブロック図である。

【図3】ローカル端末管理テーブル１０に登録される情報の一例を示す図である。

【図4】リモート端末管理テーブル２０に登録される情報の一例を示す図である。

【図5】従来技術と本発明との比較を説明する上での従来技術を示す図である

【図6】従来技術と本発明との比較を説明する上での本発明を示す図である

【図7】ＶＰＮ装置１００による処理の流れを示すフローチャートである。

【図8】ＶＰＮ装置１００による処理の流れを示すフローチャートである。

【図9】ＶＰＮ装置１００による処理の流れを示すフローチャートである。

【図10】ＶＰＮ装置１００による処理の流れを示すフローチャートである。

【図11】ＶＰＮ装置１００による処理の流れを示すフローチャートである。

【図12】ＶＰＮ装置１００による処理の流れを示すフローチャートである。

【図13】ＶＰＮ装置１００による処理の流れを示すフローチャートである。

【図14】ＶＰＮ装置１００としてのコンピュータの一例を示す図である。

【発明を実施するための形態】

【0014】

本発明のとり得る好適な実施形態について図面を参照して詳細に説明する。なお、以下の記載に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号（データ）の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。

【0015】

先ず、本発明の一概要について説明する。図１に示すように、ネットワーク管理システム１０００は、複数のＶＰＮ（仮想プライベートネットワーク：Virtual Private Network）装置１００を含む。各ＶＰＮ装置１００は同様の構成を有し、ＶＰＮ番号１～３によって識別される。なお、例えば、ＶＰＮ番号１のＶＰＮ装置１００は、ＶＰＮ装置（１）と表記する。ＶＰＮ装置（１）には端末１、２が接続され、ＰＮ１（プライベートネットワーク１）を管理する。同様にＶＰＮ装置（２）には、端末３、４が接続されてＰＮ２を管理し、ＶＰＮ装置（３）には、端末５、６が接続されてＰＮ３を管理する。

【0016】

各ＶＰＮ装置１００は、図２に示すように、ローカル端末管理テーブル１０、リモート端末管理テーブル２０、ローカル端末登録部３０、通知部４０、リモート端末登録部５０、及びパケット中継部６０を備える。

【0017】

ローカル端末管理テーブル１０は、自装置（自ＶＰＮ装置）が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理する（図３参照）。リモート端末管理テーブル２０は、他装置（他ＶＰＮ装置）の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理する（図４参照）。ローカル端末登録部３０は、自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、ローカル端末に対して付与してローカル端末管理テーブル１０に登録する。通知部４０は、ローカル端末管理テーブル１０に登録されたローカル端末のＩＰアドレスを他装置に対して通知する。リモート端末登録部５０は、他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスをリモート端末管理テーブル２０に登録する。パケット中継部６０は、パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスがローカル端末管理テーブル１０に登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継する。また、パケット中継部６０は、読み出したＩＰアドレスがリモート端末管理テーブル２０に登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継する。

【0018】

このようにすることで、本発明では、ネットワーク管理上のコストを抑えつつ、端末間の通信を遮断することなく端末が遠隔地を移動させることが可能となる。

【0019】

従来技術との比較という点で説明すると、従来では、例えば図５に示すように、プライベートネットワーク毎にネットワークセグメントが決められる。そして、各ファイアウォールにはそれぞれの遠隔地に割り当てられたネットワークアドレスセグメントに対するセキュリティポリシが設定される。例えば、ＶＰＮ装置Ａが管理するプライベートネットワークでは１９２．１６８．０．ＸＸＸなどのセキュリティポリシが設定され、ＶＰＮ装置Ａの配下の端末Ａ１にはＩＰアドレス１９２．１６８．０．００１などが付与される。また、ＶＰＮ装置Ｂが管理するプライベートネットワークでは１９２．１６８．１．ＸＸＸなどのＶＰＮ装置Ａの配下とは異なるセキュリティポリシが設定される。このような状況下において、ＶＰＮ装置Ａの配下の端末Ａ１をＶＰＮ装置Ｂの配下へ移動させた場合には、ＶＰＮ装置Ｂの配下でのセキュリティポリシは端末Ａ１に適用されない。そのため、ＶＰＮ装置Ｂの配下へ移動させた端末Ａ１に対してＩＰアドレス：１９２．１６８．１．００３などを新たに付与することが必要となる。あるいは、端末Ａ１に対してＶＰＮ装置Ｂの配下でのセキュリティポリシが適用されるように、セキュリティポリシそのものを動的に変更する必要がある。

【0020】

一方で、本発明では、ＶＰＮ装置Ｃ、Ｄの配下では１９２．１６８．０００．ＸＸＸなどの共通したセキュリティポリシが設定され、各ＶＰＮ装置の配下の端末に対しては共通して使用されるセキュリティポリシに対応するＩＰアドレスが付与される。このような状況下において、ＶＰＮ装置Ｃの配下の端末Ｃ１をＶＰＮ装置Ｄの配下へ移動させた場合に、本発明では端末Ｃ１のＩＰアドレス：１９２．１６８．０００．００１を変更することなく、ＶＰＮ装置Ｄの配下でのセキュリティポリシが適用される。また、ＶＰＮ装置Ｄの配下でのセキュリティポリシを変更する必要もない。つまり、本発明では端末がプライベートネットワーク間を移動した場合であってもＩＰアドレスを維持したままで移動先のセキュリティポリシが適用される。そのため、本発明によれば、ネットワーク管理上のコストを抑えつつ、端末間の通信を遮断することなく端末が遠隔地を移動させることが可能となる。

【0021】

［実施形態１］
次に、実施形態１として、上述のネットワーク管理システム１０００をより具体的に説明する。実施形態１のネットワーク管理システム１０００の構成は、上記一概要（図１）と同様であり、特に各ＶＰＮ装置１００はＶＰＮ通信によって互いに接続される。各ＶＰＮ装置１００の構成も、上記一概要（図２）と同様である。

【0022】

ローカル端末管理テーブル１０は、図３に示すようにローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて記憶する。リモート端末管理テーブル２０は、図４に示すように、他装置（他ＶＰＮ装置）の識別子であるＰＮ番号と、リモート端末のＩＰアドレスとを対応付けて記憶する。

【0023】

ローカル端末登録部３０は、ＡＲＰ（Address Resolution Protocol）によって自装置（自ＶＰＮ装置）への端末接続を検出し、検出した端末のＭＡＣアドレス及びＩＰアドレスの組をローカル端末管理テーブル１０に追加する。例えば、図１のＶＰＮ装置（１）が端末１の接続を検出した場合には、端末１のＭＡＣアドレスであるＸＸ：ＸＸ：ＸＸ：ＸＸ：ＸＸ：ＸＸと、ＩＰアドレス１９２．１６８．０００．００１との組をローカル端末管理テーブル１０に追加する。ＩＰアドレスは、例えば、ＤＨＣＰ（Dynamic Host Configuration Protocol）に従って付与される。このＩＰアドレスは、全てのプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するものである。

【0024】

なお、ローカル端末登録部３０は、接続を検出した端末に既に付与されているＩＰアドレスがセキュリティポリシに対応するものである場合には、既に付与されているＩＰアドレスを維持しても良い。すなわち、端末に既に付与されているＩＰアドレスがセキュリティポリシに対応するものである場合には、当該端末は、他のＶＰＮ装置１００の配下から移動してきたものとみなされる。一方で、端末に既に付与されているＩＰアドレスがセキュリティポリシに対応するものでない場合には、例えば認証ＶＬＡＮ（Virtual Local Area Network）とＤＨＣＰとを併用することで、セキュリティポリシに対応する新たなＩＰアドレスが付与される。このようにすれば、端末がＶＰＮ内で移動する限りＩＰアドレスを維持することが可能になる。

【0025】

また、ローカル端末登録部３０は、ＡＲＰによって端末切断を検出したら、ローカル端末管理テーブル１０からＭＡＣアドレス及びＩＰアドレスの組を削除する。例えば、図１のＶＰＮ装置（１）が端末２の切断を検出した場合には、ローカル端末登録部３０は、ＩＰアドレス１９２．１６８．０００．００２とＹＹ：ＹＹ：ＹＹ：ＹＹ：ＹＹ：ＹＹの組を図１のローカル端末管理テーブル１０から削除する。

【0026】

通知部４０は、ローカル端末登録部３０によって端末接続が検出された場合に、全ての他装置（他ＶＰＮ装置１００）に対して端末のＩＰアドレス情報の追加をＶＰＮ接続を経由して送信する。例えば、図１のＶＰＮ装置（１）が端末１の接続を検出した場合、ＩＰアドレス１９２．１６８．０００．００１の追加をＶＰＮ装置（２）及びＶＰＮ装置（３）に対して送信する。また、通知部４０は、ローカル端末登録部３０によって端末切断が検出された場合に、全ての他装置（他ＶＰＮ装置１００）に対して端末のＩＰアドレス情報の削除をＶＰＮ接続を経由して送信する。また、通知部４０は、遠隔地間のＶＰＮ接続が新たに確立した場合は、ローカル端末管理テーブル１０にある全てのＩＰアドレスの追加を、接続されたＶＰＮ装置１００に対して送信する。例えば、図１のＶＰＮ装置（１）がＶＰＮ装置（２）とのＶＰＮ接続の確立を検出した場合は、ＩＰアドレス１９２．１６８．０００．００１と１９２．１６８．０００．００２の追加をＶＰＮ２に送信する。

【0027】

リモート端末登録部５０は、ＶＰＮ接続を経由して端末のＩＰアドレスの追加を受信した場合は、ローカル端末管理テーブル１０及びリモート端末管理テーブル２０にそのＩＰアドレスに関する情報があれば削除する。そして、リモート端末登録部５０は、新たにＰＮ番号とＩＰアドレスの組をリモート端末管理テーブル２０に追加する。例えば、図１のＶＰＮ装置（１）がＶＰＮ装置（２）からＩＰアドレス１９２．１６８．０００．００３の追加を受信した場合には、ＰＮ２とＩＰアドレス１９２．１６８．０００．００３の組をリモート端末管理テーブル２０に追加する。また、リモート端末登録部５０は、ＶＰＮ接続を経由して端末のＩＰアドレス情報の削除を受信した場合は、ＰＮ番号とＩＰアドレスの組をリモート端末管理テーブル２０から削除する。例えば、図１のＶＰＮ装置（１）がＶＰＮ装置（３）からＩＰアドレス１９２．１６８．０００．００５の削除を受信した場合には、ＰＮ３とＩＰアドレス１９２．１６８．０００．００５の組をリモート端末管理テーブル２０から削除する。また、リモート端末登録部５０は、遠隔地間のＶＰＮ接続が切断された場合は、リモート端末管理テーブル２０からＶＰＮ接続に対応するすべての情報を削除する。例えば、図１のＶＰＮ装置（１）がＶＰＮ装置（２）とのＶＰＮ接続の切断を検出した場合は、ＰＮ２とＩＰアドレス１９２．１６８．０００．００３の組と、ＰＮ２とＩＰアドレス１９２．１６８．０００．００４の組を削除する。

【0028】

パケット中継部６０は、端末又は他のＶＰＮ装置１００からパケットを受信した場合に、以下の手順でパケットの転送を行う。
（１）パケット送信先ＩＰアドレスを読み取る。
（２）ローカル端末管理テーブル１０に読み取ったＩＰアドレスが存在する場合は、対応するＭＡＣアドレスに向けてパケットを送信する。
（３）リモート端末管理テーブル２０に読み取ったＩＰアドレスが存在する場合は、対応するＶＰＮ装置１００に向けてＶＰＮ接続経由でパケットを送信する。
（４）上記（２）及び（３）でパケットが送信されなかった場合はパケットを廃棄する。

【0029】

以下では、ＶＰＮ装置１００による処理の流れを説明する。図７に示すように、ＶＰＮ装置１００は、ＡＲＰによって自装置への端末接続を検出した場合に（ステップＳ０１、Ｙｅｓ）、検出した端末のＭＡＣアドレス及びＩＰアドレスの組をローカル端末管理テーブル１０に追加する（ステップＳ０２）。そして、ＶＰＮ装置１００は、全ての他装置（他ＶＰＮ装置１００）に対して端末のＩＰアドレス情報の追加をＶＰＮ接続を経由して送信する（ステップＳ０３）。

【0030】

また、図８に示すように、ＶＰＮ装置１００は、ＡＲＰによって端末切断を検出した場合に（ステップＳ１１、Ｙｅｓ）、ローカル端末管理テーブル１０からＭＡＣアドレス及びＩＰアドレスの組を削除する（ステップＳ１２）。そして、ＶＰＮ装置１００は、全ての他装置（他ＶＰＮ装置１００）に対して、ＩＰアドレス情報の削除をＶＰＮ接続を経由して送信する（ステップＳ１３）。

【0031】

また、図９に示すように、ＶＰＮ装置１００は、遠隔地間のＶＰＮ接続が新たに確立した場合は（ステップＳ２１、Ｙｅｓ）、ローカル端末管理テーブル１０にある全てのＩＰアドレスの追加を、接続されたＶＰＮ装置１００に対して送信する（ステップＳ２２）。

【0032】

また、図１０に示すように、ＶＰＮ装置１００は、ＩＰアドレスの追加を受信した場合には（ステップＳ３１、Ｙｅｓ）、ＰＮ番号とＩＰアドレスの組をリモート端末管理テーブル２０に追加する（ステップＳ３２）。

【0033】

また、図１１に示すように、ＶＰＮ装置１００は、ＩＰアドレス情報の削除を受信した場合には（ステップＳ４１、Ｙｅｓ）、ＰＮ番号とＩＰアドレスの組をリモート端末管理テーブル２０から削除する（ステップＳ４２）。

【0034】

また、図１２に示すように、ＶＰＮ装置１００は、遠隔地間のＶＰＮ接続が切断された場合には（ステップＳ５１、Ｙｅｓ）、リモート端末管理テーブルからＶＰＮ接続に対応するすべての情報を削除する（ステップＳ５２）。

【0035】

また、図１３に示すように、ＶＰＮ装置１００は、パケットを受信した場合に（ステップＳ６１、Ｙｅｓ）、パケット送信先ＩＰアドレスを読み取る（ステップＳ６２）。ここで、読み取ったＩＰアドレスがローカル端末管理テーブル１０に存在する場合には（ステップＳ６３、Ｙｅｓ）、ＶＰＮ装置１００は、対応するＭＡＣアドレスに向けてパケットを送信する（ステップＳ６４）。読み取ったＩＰアドレスがリモート端末管理テーブル２０に存在する場合には（ステップＳ６５、Ｙｅｓ）、ＶＰＮ装置１００は、対応するＶＰＮ装置１００に向けてＶＰＮ接続経由でパケットを送信する（ステップＳ６６）。ステップＳ６３、Ｓ６５のいずれもがＮｏの場合には、ＶＰＮ装置１００はパケットを廃棄する（ステップＳ６７）。ステップＳ６４、Ｓ６６、Ｓ６７の後に、ＶＰＮ装置１００は再びパケットの受信を待機する（ステップＳ６１）。

【0036】

なお、本発明は、ＶＰＮ装置１００としてのコンピュータによって実現することも可能である。具体的には、図１４に示すようにＶＰＮ装置１００としてのコンピュータはメモリ、インターフェイス、ＣＰＵ（Central Processing Unit）などを備える。メモリは、ローカル端末管理テーブル１０及びリモート端末管理テーブル２０を記憶する。ＣＰＵは、メモリからプログラムを読み出してローカル端末登録部３０、通知部４０、リモート端末登録部５０及びパケット中継部６０に相当する処理モジュールを実現する。

【0037】

上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

【0038】

（付記１）
複数のＶＰＮ（仮想プライベートネットワーク）装置を含み、
各ＶＰＮ装置が、
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知部と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、を有する、
ネットワーク管理システム。

【0039】

（付記２）
前記ローカル端末登録部は、前記ローカル端末に対して既に付与されているＩＰアドレスが、前記複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスである場合には、前記既に付与されているＩＰアドレスを前記ローカル端末管理テーブルに登録する、
付記１に記載のネットワーク管理システム。

【0040】

（付記３）
前記ローカル端末登録部が、ＡＲＰ（Address Resolution Protocol）によって自装置への端末接続を検出し、検出した端末のＭＡＣアドレス及びＩＰアドレスの組をローカル端末管理テーブルに追加する、付記１又は２に記載のネットワーク管理システム。

【0041】

（付記４）
各ＶＰＮ装置がＶＰＮ通信によって互いに接続される、付記１又は２に記載のネットワーク管理システム。

【0042】

（付記５）
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、
他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルと、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録部と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知部と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録部と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継部と、
を有する、ＶＰＮ（仮想プライベートネットワーク）装置。

【0043】

（付記６）
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各ＶＰＮ装置が、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録ステップと、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知ステップと、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録ステップと、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継ステップと、を実行する、
ネットワーク管理方法。

【0044】

（付記７）
自装置が管理するプライベートネットワークに接続される端末であるローカル端末のＩＰアドレス及びＭＡＣアドレスを対応付けて管理するローカル端末管理テーブルと、他装置の識別子と、当該他装置が管理するプライベートネットワークに接続される端末であるリモート端末のＩＰアドレスとを対応付けて管理するリモート端末管理テーブルとを備える各ＶＰＮ装置としてのコンピュータに、
自装置及び他装置が管理する複数のプライベートネットワークにおいて共通して使用されるセキュリティポリシに対応するＩＰアドレスを、前記ローカル端末に対して付与して前記ローカル端末管理テーブルに登録するローカル端末登録処理と、
前記ローカル端末管理テーブルに登録されたローカル端末のＩＰアドレスを他装置に対して通知する通知処理と、
他装置からＩＰアドレスの通知を受信した場合に、送信元の他装置の識別子に対応付けて受信したＩＰアドレスを前記リモート端末管理テーブルに登録するリモート端末登録処理と、
パケットから宛先端末のＩＰアドレスを読み出し、読み出したＩＰアドレスが前記ローカル端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応するＭＡＣアドレスのローカル端末に対してパケットを中継し、読み出したＩＰアドレスが前記リモート端末管理テーブルに登録されている場合には読み出したＩＰアドレスに対応する識別子の他装置に対してパケットを中継するパケット中継処理と、を実行させる、
ネットワーク管理プログラム。

【0045】

なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込み記載されているものとし、必要に応じて本発明の基礎ないし一部として用いることが出来るものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし、選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。さらに、上記引用した文献の各開示事項は、必要に応じ、本発明の趣旨に則り、本発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれるものと、みなされる。

【符号の説明】

【0046】

１０：ローカル端末管理テーブル
２０：リモート端末管理テーブル
３０：ローカル端末登録部
４０：通知部
５０：リモート端末登録部
６０：パケット中継部
１００：ＶＰＮ装置
１０００：ネットワーク管理システム

【図1】