Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5453941B2 - Communication control device - Google Patents
[go: Go Back, main page]

JP5453941B2 - Communication control device - Google Patents

Communication control device Download PDF

Info

Publication number
JP5453941B2
JP5453941B2 JP2009138195A JP2009138195A JP5453941B2 JP 5453941 B2 JP5453941 B2 JP 5453941B2 JP 2009138195 A JP2009138195 A JP 2009138195A JP 2009138195 A JP2009138195 A JP 2009138195A JP 5453941 B2 JP5453941 B2 JP 5453941B2
Authority
JP
Japan
Prior art keywords
packet
tunnel
function unit
local server
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009138195A
Other languages
Japanese (ja)
Other versions
JP2010287944A (en
Inventor
健太郎 澤
俊之 久世
昌平 飯島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2009138195A priority Critical patent/JP5453941B2/en
Publication of JP2010287944A publication Critical patent/JP2010287944A/en
Application granted granted Critical
Publication of JP5453941B2 publication Critical patent/JP5453941B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明はローカルネットワークとインターネットサービスプロバイダー(ISP)ネットワークの間で通信を行う通信システムおよびこの通信システムで用いられる通信制御装置に関するものである。   The present invention relates to a communication system for performing communication between a local network and an Internet service provider (ISP) network, and a communication control apparatus used in the communication system.

インターネットや通信事業者の持つ公衆回線を用いる従来の通信システムでは、IPアドレス取得のためのレイヤ2経路確保や、セキュリティの問題によって、ローカルネットワークのアクセスポイント(AP)とインターネットサービスプロバイダー(ISP)ネットワークの間に、トンネルを構築する通信方法が用いられている。このトンネリング技術は、拠点同士を仮想的に接続するVPN(Virtual Private Network)やL2TP(Layer 2 Tunneling Protocol)などの技術に用いられており、パケットに新たなヘッダを挿入するカプセル化によって実現されている(例えば、特許文献1参照)。   In a conventional communication system using a public line of the Internet or a communication carrier, an access point (AP) of a local network and an Internet service provider (ISP) network are secured due to a layer 2 route acquisition for obtaining an IP address and security problems. In the meantime, a communication method for constructing a tunnel is used. This tunneling technology is used in technologies such as VPN (Virtual Private Network) and L2TP (Layer 2 Tunneling Protocol) that virtually connect bases, and is realized by encapsulation that inserts a new header into a packet. (For example, refer to Patent Document 1).

図7に、ローカルネットワークとISPネットワークの通信例を示す。ローカルネットワーク1にあるユーザ端末5は、同ネットワーク内のアクセスポイント4とISPネットワーク3のトンネル終端装置7の間で構築されるトンネル6を経由することで、公衆回線2を用いてISPネットワーク3へ接続する。ISPネットワークには、IPアドレスを割り当てるDHCPサーバ9や公衆回線接続装置12などが配備される。 FIG. 7 shows an example of communication between the local network and the ISP network. The user terminal 5 in the local network 1 goes to the ISP network 3 using the public line 2 through the tunnel 6 established between the access point 4 in the network and the tunnel termination device 7 of the ISP network 3. Connecting. In the ISP network, a DHCP server 9 for assigning an IP address, a public line connection device 12, and the like are provided.

トンネル内で送信されるパケットのフレームフォーマットを、図8に示す。ここでは、L2TPを用いたPPP(Point−to−Point Protocol)通信を例としている。公衆回線やインターネットへ送信されるデータ14に対して、L2TPヘッダとUDPヘッダ、トンネル用のIPヘッダを用いてカプセル化し、トンネル内データ13を構築する。トンネル用のIPヘッダは、ローカルネットワークのAPとISPネットワークのトンネル終端装置間のアドレスとなる。この技術を用いることで、クライアントやサーバからは、あたかも専用回線のように見え、通信経路の確保、およびセキュアな通信を実現することができる。 FIG. 8 shows a frame format of a packet transmitted in the tunnel. Here, PPP (Point-to-Point Protocol) communication using L2TP is taken as an example. The data 14 transmitted to the public line or the Internet is encapsulated using the L2TP header, the UDP header, and the tunnel IP header, and the in-tunnel data 13 is constructed. The tunnel IP header is an address between the AP of the local network and the tunnel terminating device of the ISP network. By using this technology, it looks like a dedicated line from the client or server, and it is possible to secure a communication path and realize secure communication.

特開平11−146016号公報Japanese Patent Laid-Open No. 11-146016

以上のようなシステムにおいては、例えばローカルネットワーク固有のローカルサーバへのアクセスのように、ISPネットワークにアクセスする必要がないローカルネットワークに閉じた通信がアクセスポイント4からは不可能であるという課題があった。 In the system as described above, there is a problem that communication closed to the local network that does not need to access the ISP network, such as access to a local server unique to the local network, is impossible from the access point 4. It was.

この発明は、インターネットサービスプロバイダネットワークとインターネットサービスプロバイダーネットワーク用トンネリングを使用して通信を行うアクセスポイントを備えるローカルネットワーク内に設けられる通信制御装置であって、当該通信制御装置を通過するパケットの宛先アドレスを監視し、該宛先アドレスが上記ローカルネットワーク内に設けられたローカルサーバのアドレスであれば、上記インターネットサービスプロバイダーネットワーク用トンネリングを終端して上記アクセスポイントと上記ローカスサーバ間のローカルサーバアクセス用トンネリングを行う機能と、上記宛先アドレスが上記ローカルサーバのアドレス以外であれば上記インターネットサービスプロバイダーネットワーク用トンネリングルをそのまま使用するよう制御するようにしたものである。   The present invention relates to a communication control apparatus provided in a local network including an access point that performs communication using an Internet service provider network and tunneling for the Internet service provider network, and a destination address of a packet passing through the communication control apparatus If the destination address is the address of a local server provided in the local network, the tunneling for the Internet service provider network is terminated and the tunneling for local server access between the access point and the locus server is performed. If the destination address is other than the address of the local server, the tunnel for the Internet service provider network is used as it is. It is obtained so as to control so as to use.

本発明によれば、トンネリング技術を用いた通信においても、ローカルサーバとの通信が可能となる。 According to the present invention, communication with a local server is possible even in communication using a tunneling technique.

実施の形態1のローカルサーバアクセス機能を示すシステム構成図である。FIG. 2 is a system configuration diagram illustrating a local server access function according to the first embodiment. 実施の形態1における通信制御装置の構成例を示す図である。3 is a diagram illustrating a configuration example of a communication control device according to Embodiment 1. FIG. 実施の形態1における通信制御装置のパケット処理例を示すフローチャートである。4 is a flowchart illustrating an example of packet processing of the communication control device in the first embodiment. 実施の形態2における通信制御装置の構成例を示す図である。6 is a diagram illustrating a configuration example of a communication control device according to Embodiment 2. FIG. 実施の形態2における通信制御装置のDNS処理例を示すフローチャートである。10 is a flowchart illustrating an example of DNS processing of the communication control device in the second embodiment. 実施の形態2における外部アクセス制御メッセージのフレームフォーマット例を示す図である。FIG. 11 is a diagram illustrating an example of a frame format of an external access control message in the second embodiment. 既存トンネリング技術を用いた通信システムの構成を示す図である。It is a figure which shows the structure of the communication system using the existing tunneling technique. 既存トンネリング技術に用いられるカプセル化フレームフォーマットの例を示す図である。It is a figure which shows the example of the encapsulation frame format used for the existing tunneling technique.

実施の形態1.
図1は、この発明のローカルサーバアクセス機能を示すシステム構成図である。
Embodiment 1 FIG.
FIG. 1 is a system configuration diagram showing a local server access function of the present invention.

図1において、ローカルネットワーク1では、アクセスポイント4とトンネル終端装置7の間に、通信制御装置15を配置し、アクセスポイント4と通信制御装置15の間にトンネル17を、通信制御装置15とトンネル終端装置7の間にトンネル19を構築する。ローカルサーバ16は、通信制御装置15と接続されており、通信制御装置15とローカルサーバ16の間にトンネル18を構築する。   In FIG. 1, in the local network 1, a communication control device 15 is disposed between the access point 4 and the tunnel termination device 7, a tunnel 17 is provided between the access point 4 and the communication control device 15, and the communication control device 15 and the tunnel are provided. A tunnel 19 is constructed between the terminal devices 7. The local server 16 is connected to the communication control device 15 and constructs a tunnel 18 between the communication control device 15 and the local server 16.

さらに、通信制御装置15は、図2に示すように、トンネル終端/構築機能部22とパケット監視機能部23とから構成される。   Further, as shown in FIG. 2, the communication control device 15 includes a tunnel termination / construction function unit 22 and a packet monitoring function unit 23.

次に動作について説明する。
まず、アクセスポイント4とトンネル終端装置7間に、トンネル17およびトンネル19を構築する。ここでは、トンネル17とトンネル19を便宜上分割して記載しているが、この2つのトンネルは同一のものである。ユーザ端末5は、上記トンネル17および19を使用して、ISPネットワークとの認証処理やIPアドレス取得など、接続の確立などを実施する。
Next, the operation will be described.
First, a tunnel 17 and a tunnel 19 are constructed between the access point 4 and the tunnel termination device 7. Here, the tunnel 17 and the tunnel 19 are divided for convenience, but the two tunnels are the same. The user terminal 5 uses the tunnels 17 and 19 to perform connection establishment such as authentication processing with the ISP network and IP address acquisition.

通信制御装置15は、パケット監視機能部23においてユーザ端末5から送信されるパケットの宛先アドレスを監視してこの宛先アドレスをトンネル終端/構築機能部22に通知し、トンネル終端/構築機能部22は宛先アドレスが指定される宛先アドレス以外であれば、トンネル17からトンネル19へパケットを透過させる。一方、指定される宛先アドレスであれば、ローカルサーバ用のトンネル18への付け替え処理を行う。ここで、指定される宛先アドレスは、ローカルサーバのアドレスであり、通信制御装置のパラメータで指定しても良いし、SNMP(Simple Network Management Protocol)を用いて遠隔操作で設定しても良いし、その方法によって本発明の効果が限定されるものではない。 The communication control device 15 monitors the destination address of the packet transmitted from the user terminal 5 in the packet monitoring function unit 23 and notifies the tunnel termination / construction function unit 22 of the destination address. If the destination address is other than the designated destination address, the packet is transmitted from tunnel 17 to tunnel 19. On the other hand, if it is a designated destination address, a replacement process to the local server tunnel 18 is performed. Here, the specified destination address is the address of the local server, and may be specified by a parameter of the communication control device, or may be set by remote operation using SNMP (Simple Network Management Protocol), The effect of the present invention is not limited by the method.

また、ISPネットワーク側から受信されるパケットについても同様で、パケット監視機能部23においてパケットの宛先アドレスを監視し、この宛先アドレスをトンネル終端/構築機能部22に通知し、トンネル終端/構築機能部22は宛先アドレスが指定されるアドレス以外であればトンネル19からトンネル17へパケットを透過し、指定されるアドレスであればローカルサーバ用のトンネル18への付け替え処理を行う。
一方、ローカルサーバから受信されるパケットについては、ユーザ端末宛であればトンネル17へ付け替えを行い、それ以外の宛先であればトンネル19へ付け替えを行う。
The same applies to packets received from the ISP network side. The packet monitoring function unit 23 monitors the packet destination address, notifies the tunnel termination / construction function unit 22 of the destination address, and the tunnel termination / construction function unit. If the destination address is other than the designated address, the packet is transmitted from the tunnel 19 to the tunnel 17, and if it is the designated address, the replacement process to the local server tunnel 18 is performed.
On the other hand, the packet received from the local server is reassigned to the tunnel 17 if it is destined for the user terminal, and is reassigned to the tunnel 19 if it is any other destination.

図3に、通信制御装置の動作を表すフローチャート図を示す。まず、通信制御装置では、受信したパケットの受信ポート判定24を行う。ユーザ端末側ポートからパケットを受信した場合、宛先アドレス判定25を行う。宛先アドレスが、指定されるアドレス以外であれば、トンネル17からトンネル19へパケットを透過26し、ISPネットワーク側へ送信27する。また、宛先アドレスが、指定アドレスであれば、ISPネットワーク用のトンネル17を終端28し、ローカルサーバ用のトンネル18を構築29した後、ローカルサーバ側へ送信30する。ここで、トンネルの終端は、カプセル化されたパケットのうちトンネル用に用いられるプロトコルを終端する機能である。また、トンネルの構築は、パケットをカプセル化する機能を示している。 FIG. 3 is a flowchart showing the operation of the communication control apparatus. First, the communication control apparatus performs reception port determination 24 for the received packet. When a packet is received from the user terminal side port, destination address determination 25 is performed. If the destination address is other than the designated address, the packet is transmitted 26 from the tunnel 17 to the tunnel 19 and transmitted 27 to the ISP network side. If the destination address is a designated address, the ISP network tunnel 17 is terminated 28 and a local server tunnel 18 is constructed 29, and then transmitted 30 to the local server side. Here, the termination of the tunnel is a function for terminating the protocol used for the tunnel among the encapsulated packets. Also, the construction of a tunnel indicates a function for encapsulating a packet.

また、受信ポート判定24において、ISPネットワーク側ポートからパケットを受信した場合、宛先アドレス判定31を行う。宛先アドレスが、指定されるアドレス以外であれば、トンネル19からトンネル17へパケットを透過32し、ユーザ端末側へ送信33する。また、宛先アドレスが指定アドレスであれば、ISPネットワーク用のトンネル19を終端34し、ローカルサーバ用のトンネル18を構築35した後、ローカルサーバ側へ送信36する。 In the reception port determination 24, when a packet is received from the ISP network side port, a destination address determination 31 is performed. If the destination address is other than the designated address, the packet is transmitted 32 from the tunnel 19 to the tunnel 17 and transmitted 33 to the user terminal side. If the destination address is the designated address, the ISP network tunnel 19 is terminated 34, the local server tunnel 18 is constructed 35, and then transmitted 36 to the local server side.

さらに、受信ポートの判定24において、ローカルサーバ側ポートからパケットを受信した場合、宛先アドレス判定37を行う。宛先アドレスが、ユーザ端末のアドレス、またはそれを含むネットワークアドレスである場合、ローカルサーバ用のトンネル18を終端38し、ISPネットワーク用のトンネル17を構築39した後、ユーザ端末側へ送信40する。一方、宛先アドレスがISPネットワーク側のアドレスであれば、ローカルサーバ用のトンネル18を終端41し、ISPネットワーク用のトンネル19を構築42した後、ISPネットワーク側へ送信43する。 Further, in the reception port determination 24, when a packet is received from the local server side port, a destination address determination 37 is performed. When the destination address is the address of the user terminal or a network address including the user terminal, the local server tunnel 18 is terminated 38 and the ISP network tunnel 17 is constructed 39, and then transmitted 40 to the user terminal side. On the other hand, if the destination address is an address on the ISP network side, the local server tunnel 18 is terminated 41, the ISP network tunnel 19 is constructed 42, and then transmitted to the ISP network side 43.

本実施の形態では、受信ポートによって通信制御装置の処理を判別しているが、送信元アドレスやネットワークアドレスによって判別しても良い。また、受信トンネルの識別子によって、処理を判別することも可能である。さらに、宛先アドレスによる判別処理においても、送信先を判別できる識別子であれば、同様の処理を行うことが可能である。 In the present embodiment, the processing of the communication control device is determined by the reception port, but may be determined by the transmission source address or the network address. It is also possible to determine the processing based on the identifier of the receiving tunnel. Further, in the discrimination processing based on the destination address, the same processing can be performed as long as the identifier can discriminate the transmission destination.

さらに、本実施の形態では、図1に示すようにアクセスポイントと独立した装置として通信制御装置を設置するシステム構成例を示したが、アクセスポイントと一体型の装置として動作させることにより、トンネルの終端/構築処理を少なくすることが可能となる。 Furthermore, in the present embodiment, an example of a system configuration in which a communication control device is installed as a device independent of an access point as shown in FIG. 1 has been shown. However, by operating as an integrated device with an access point, It is possible to reduce the termination / construction process.

以上のように、ローカルネットワーク内に通信制御装置を設置し、宛先アドレスによってトンネルを終端/構築することで、トンネリング技術を用いた通信においても、ローカルサーバとの通信が可能となる。これにより、設備や場所に特徴を持つ情報を、ローカルネットワーク内に配信することが可能となる。上記使用例としては、列車内への運行情報や路線沿いの地域情報配信、公共設備内への設備情報やイベント情報などが挙げられる。上記効果に加え、ローカルネットワーク内に閉じた通信となるため、遅延の少ない通信を実現できると共に、公衆網の回線負荷の軽減効果が得られる。この効果は、特に、公衆回線が無線伝送となる携帯電話網やWiMAX網などに有効である。   As described above, by installing the communication control device in the local network and terminating / constructing the tunnel with the destination address, communication with the local server is possible even in communication using the tunneling technology. This makes it possible to distribute information having characteristics of facilities and places within the local network. Examples of the use include operation information within a train, regional information distribution along a route, facility information within a public facility, event information, and the like. In addition to the above effects, the communication is closed in the local network, so that communication with less delay can be realized and the effect of reducing the line load of the public network can be obtained. This effect is particularly effective for a mobile phone network or a WiMAX network in which a public line is wirelessly transmitted.

実施の形態2.
以上の実施の形態1では、ローカルサーバ通信を実現するようにしたものであるが、次にローカルネットワーク利用を促し、外部ネットワークのアクセス制御を行うための実施の形態を示す。
Embodiment 2. FIG.
In the first embodiment described above, local server communication is realized. Next, an embodiment for encouraging the use of a local network and controlling access to an external network will be described.

図4は、このような場合の通信制御装置の構成図を示したものである。
図4では、ローカルサーバ通信を実現するパケット監視機能部23とトンネル終端/構築機能部22に加えて、DNSを用いたアクセス制御を行うDNSエージェント機能部20と、ユーザ端末毎にアクセス制御状態を管理するアクセス制御状態管理部21から構成する。
FIG. 4 shows a configuration diagram of the communication control apparatus in such a case.
In FIG. 4, in addition to the packet monitoring function unit 23 and the tunnel termination / construction function unit 22 that implement local server communication, the DNS agent function unit 20 that performs access control using DNS, and the access control status for each user terminal. It comprises an access control state management unit 21 to be managed.

次に、通信制御装置によるアクセス制御動作を示す。
本実施の形態では、ユーザ端末から外部サーバへアクセスする際に送信されるDNSメッセージを利用したアクセス制御を行う。DNSは、ユーザ端末からDNSサーバに対して、DNSリクエストメッセージを用いたドメイン問合せを行い、DNSサーバは、問合せのあったドメインに対応するIPアドレスを、DNSレスポンスを用いて通知する動作である。
Next, an access control operation by the communication control apparatus will be described.
In the present embodiment, access control is performed using a DNS message transmitted when accessing an external server from a user terminal. The DNS is an operation in which a user terminal makes a domain inquiry using a DNS request message to the DNS server, and the DNS server notifies an IP address corresponding to the inquired domain using a DNS response.

パケット監視機能部23は、ユーザ端末から受信されるパケットを監視し、DNSリクエストメッセージであれば、DNSエージェント機能部20へ通知を行う。DNSエージェント機能部20は、アクセス制御状態管理部21へ当該MSのアクセス制御状態を問合せ、外部ネットワークへのアクセス許可状態であれば、DNSリクエストをそのままISPネットワークへ送信する。一方、当該MSのアクセス制御状態が、外部ネットワークへのアクセス制限状態であれば、DNSレスポンスを用いてローカルサーバのIPアドレスを通知する。 The packet monitoring function unit 23 monitors a packet received from the user terminal, and notifies the DNS agent function unit 20 if the packet is a DNS request message. The DNS agent function unit 20 inquires of the access control state management unit 21 about the access control state of the MS. If the access control state management unit 21 permits access to the external network, the DNS agent function unit 20 directly transmits a DNS request to the ISP network. On the other hand, if the access control state of the MS is an access restriction state to the external network, the IP address of the local server is notified using a DNS response.

図5に、アクセス制御のフローチャートを示す。ユーザ端末からDNSリクエスト受信44した場合、アクセス制御状態の判定45を行う。外部アクセス制限状態であれば、全てのDNSリクエストに対してローカルサーバIPアドレスの通知46、ユーザ端末へDNSレスポンス送信47行い、外部アクセスの制限を実施する。一方、アクセス制御状態が外部アクセス許可状態であれば、DNSリクエストをDNSサーバへそのまま送信48する。 FIG. 5 shows a flowchart of access control. When the DNS request is received 44 from the user terminal, the access control state determination 45 is performed. If it is in the external access restricted state, the local server IP address notification 46 and DNS response transmission 47 to the user terminal are performed for all DNS requests to restrict external access. On the other hand, if the access control state is the external access permission state, the DNS request is transmitted 48 to the DNS server as it is.

ローカルサーバでは、ユーザ端末の外部アクセス制限または許可を判定し、通信制御装置へ外部アクセス制御メッセージを用いて通知を行う。ローカルサーバでの上記判定は、ユーザIDとパスワードによる認証や、その他認証アルゴリズムを用いても良い。また、タイマー等によってアクセス許可時間を設定し、タイムアウト時に外部アクセス許可状態から外部アクセス制限状態へ移行し、通信制御装置へ外部アクセス制御メッセージを用いた通知を行う方法も考えられる。通信制御装置への外部アクセス制御メッセージは、例えば、図6に示すようなフレーム構成を持ち、ユーザ端末の識別子49、外部アクセス許可/制限50を通知可能なメッセージとする。
外部アクセス制御メッセージを受信した通信制御装置は、アクセス制御状態管理部21において、ユーザ端末毎に外部アクセス制御状態を管理する。
The local server determines the external access restriction or permission of the user terminal, and notifies the communication control device using an external access control message. The determination at the local server may be performed by authentication using a user ID and password, or other authentication algorithms. A method is also conceivable in which an access permission time is set by a timer or the like, the external access permission state is shifted to the external access restriction state at the time of timeout, and the communication control device is notified using an external access control message. The external access control message to the communication control device has a frame structure as shown in FIG. 6, for example, and is a message that can notify the user terminal identifier 49 and the external access permission / restriction 50.
The communication control apparatus that has received the external access control message manages the external access control state for each user terminal in the access control state management unit 21.

また、外部アクセス許可状態である場合、DNSエージェント機能部20は、ローカルサーバへのDNSリクエストを用いた問合せに対して、ローカルサーバのIPアドレスを、DNSレスポンスメッセージを用いて代理応答する。 In the external access permission state, the DNS agent function unit 20 makes a proxy response to the local server IP address using a DNS response message in response to an inquiry using the DNS request to the local server.

本実施の形態では、ローカルサーバにおいてユーザ端末の認証を行い、通信制御装置へ通知する構成例を示したが、通信制御装置に認証機能を持たせることも可能である。上記構成では、外部アクセス制御メッセージは不要となる。 In the present embodiment, the configuration example in which the user terminal is authenticated in the local server and notified to the communication control apparatus has been described. However, the communication control apparatus can be provided with an authentication function. In the above configuration, the external access control message is not necessary.

以上のように、本実施の形態ではDNSメッセージを用いた外部アクセス制御機能によって、ユーザ端末の外部アクセス許可/制限状態を制御することで、ユーザ端末に対してローカルネットワークの利用を促し、ネットワークのトラヒック負荷を軽減することができる。また、外部ネットワークへのユーザ端末認証を実施することで正規ユーザ端末の識別を行い、セキュアな通信が可能となる。 As described above, in this embodiment, the external access control function using the DNS message is used to control the external access permission / restriction state of the user terminal, thereby prompting the user terminal to use the local network and Traffic load can be reduced. Further, by authenticating the user terminal to the external network, the authorized user terminal is identified, and secure communication is possible.

以上のように、この発明はトンネルを用いたネットワーク間通信に適用可能である。   As described above, the present invention is applicable to communication between networks using a tunnel.

1 ローカルネットワーク、2 公衆回線、3 ISPネットワーク、4 アクセスポイント、5 ユーザ端末、7 トンネル終端装置、15 通信制御装置、16 ローカルサーバ、17 トンネル、18 トンネル、19 トンネル、20 DNSエージェント機能部、22 トンネル終端/構築機能部、23 パケット機能監視部、49 ユーザ端末識別子、50 アクセス許可/制限。 1 local network, 2 public line, 3 ISP network, 4 access point, 5 user terminal, 7 tunnel termination device, 15 communication control device, 16 local server, 17 tunnel, 18 tunnel, 19 tunnel, 20 DNS agent function unit, 22 Tunnel termination / construction function unit, 23 packet function monitoring unit, 49 user terminal identifier, 50 access permission / restriction.

Claims (3)

パケットの宛先アドレスとパケットがDNSリクエストメッセージか否かとを監視して通知するパケット監視機能部と、
前記パケット監視機能部から通知されるパケットの宛先アドレスに基づいて、パケットをカプセル化して送信するトンネルを終端し及び構築するトンネル終端/構築機能部と、
ローカルネットワーク内のローカルサーバから通知されるユーザ端末の外部サーバへのアクセス許可又は制限を示すアクセス制御メッセージに基づいて前記ユーザ端末のアクセス制御状態を通知するアクセス制御状態管理部と、
前記アクセス制御状態管理部から通知される前記アクセス制御状態に基づいて、前記パケット監視機能部から通知されるDNSリクエストメッセージを前記外部サーバへ送信するか判定するDNSエージェント機能部と、
を備え
前記トンネル終端/構築機能部は、前記ローカルネットワーク内のアクセスポイントとインターネットサービスプロバイダーネットワーク内のトンネル終端装置との間にインターネットサービスプロバイダーネットワーク用トンネルを構築し、
前記パケット監視機能部から通知されるパケットの宛先アドレスが前記ローカルサーバのアドレスであれば、前記インターネットサービスプロバイダーネットワーク用トンネルを終端し、前記ローカルサーバとの間にローカルサーバアクセス用トンネルを構築し、通知されるパケットを送信し、
前記パケット監視機能部から通知されるパケットの宛先アドレスが前記ローカルサーバのアドレス以外であれば、通知されるパケットを前記インターネットサービスプロバイダーネットワーク用トンネルで送信することを特徴とする通信制御装置。
A packet monitoring function unit that monitors and notifies whether the destination address of the packet and the packet is a DNS request message;
A tunnel termination / construction function unit for terminating and constructing a tunnel for encapsulating and transmitting a packet based on a destination address of the packet notified from the packet monitoring function unit;
An access control state management unit for notifying the access control state of the user terminal based on an access control message indicating access permission or restriction to the external server of the user terminal notified from the local server in the local network;
A DNS agent function unit for determining whether to transmit a DNS request message notified from the packet monitoring function unit to the external server based on the access control state notified from the access control state management unit;
Equipped with a,
The tunnel termination / construction function unit constructs a tunnel for an Internet service provider network between an access point in the local network and a tunnel termination device in an Internet service provider network,
If the destination address of the packet notified from the packet monitoring function unit is the address of the local server, the Internet service provider network tunnel is terminated, and a local server access tunnel is established with the local server, Send notified packet,
If the destination address of the packet sent from the packet monitoring unit is other than the address of the local server, the communication control apparatus characterized that you send a packet to be notified by the Internet service provider network tunnel.
前記DNSエージェント機能部は、前記ユーザ端末が外部アクセス制限状態であれば、DNSリクエストメッセージに対して前記ローカルサーバのアドレスを応答することを特徴とする請求項1に記載の通信制御装置。The communication control apparatus according to claim 1, wherein the DNS agent function unit responds to the DNS request message with the address of the local server when the user terminal is in an external access restricted state. 前記DNSエージェント機能部は、前記ユーザ端末が外部アクセス許可状態であれば、前記ローカルサーバへ問合せをするDNSリクエストメッセージに対して前記ローカルサーバのアドレスを応答し、その他のDNSリクエストメッセージを前記外部サーバへ送信することを特徴とする請求項1又は2に記載の通信制御装置。If the user terminal is in an external access permitted state, the DNS agent function unit responds to the DNS request message for inquiring the local server with the address of the local server, and sends other DNS request messages to the external server. The communication control device according to claim 1, wherein the communication control device transmits to the communication device.
JP2009138195A 2009-06-09 2009-06-09 Communication control device Expired - Fee Related JP5453941B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009138195A JP5453941B2 (en) 2009-06-09 2009-06-09 Communication control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009138195A JP5453941B2 (en) 2009-06-09 2009-06-09 Communication control device

Publications (2)

Publication Number Publication Date
JP2010287944A JP2010287944A (en) 2010-12-24
JP5453941B2 true JP5453941B2 (en) 2014-03-26

Family

ID=43543356

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009138195A Expired - Fee Related JP5453941B2 (en) 2009-06-09 2009-06-09 Communication control device

Country Status (1)

Country Link
JP (1) JP5453941B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5345651B2 (en) * 2010-12-30 2013-11-20 ヴァルサフスキ マーティン Secure tunneling platform system and method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003043276A1 (en) * 2001-11-13 2003-05-22 Matsushita Electric Industrial Co., Ltd. Provider connection system, packet exchange apparatus thereof, dns server, packet exchange method, and computer program thereof
JP3858884B2 (en) * 2003-11-05 2006-12-20 日本電気株式会社 Network access gateway, network access gateway control method and program

Also Published As

Publication number Publication date
JP2010287944A (en) 2010-12-24

Similar Documents

Publication Publication Date Title
US10097517B2 (en) Secure tunnels for the internet of things
EP3317774B1 (en) Method and system for internetwork communication with machine devices
CN107995052B (en) Method and apparatus for common control protocol for wired and wireless nodes
US8359644B2 (en) Seamless data networking
EP2207321B1 (en) An accessing method, system and equipment of layer-3 session
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
EP2590368B1 (en) Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network
KR101936662B1 (en) Access node device for forwarding data packets
JP2012504898A (en) Traffic management method and configuration in communication system with home base station
CN107005534A (en) Secure connection is set up
CN102143136B (en) Method for accessing service wholesale network, equipment, server and system
WO2009012675A1 (en) Access network gateway, terminal, method and system for setting up a data connection
WO2009029774A1 (en) System and method for management and administration of repeaters and antenna systems
WO2014176964A1 (en) Communication managing method and communication system
JP2004328029A (en) Network access system
JP5764085B2 (en) Port open / close control system
WO2018098630A1 (en) X2 service transmission method, and network apparatus
JP5453941B2 (en) Communication control device
EP2506489A1 (en) Wireless authentication terminal
JP5982706B2 (en) Secure tunneling platform system and method
JP5986044B2 (en) Network system, communication control method, communication control apparatus, and program
JP6664232B2 (en) Wireless LAN access system, router device, and access control method
JP5947763B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
KR101401008B1 (en) Method for detecting connectivity and computer readable recording medium thereof
JP5875507B2 (en) Relay device, program, information processing method, and information processing device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120120

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131001

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131223

LAPS Cancellation because of no payment of annual fees