專利名稱:中繼裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及使用VPN(虛擬專用網(wǎng))將多個LAN(局域網(wǎng))相互連接起來的技術(shù)��。
背景技術(shù):
作為用于連接諸如LAN的網(wǎng)絡(luò)的中繼設(shè)備的VPN路由器遂穿并加密網(wǎng)絡(luò)之間的通信以中繼通信數(shù)據(jù)�����。IPsec(因特網(wǎng)協(xié)議安全體系結(jié)構(gòu))��、PPTP(點對點隧道協(xié)議)和 L2TP (第二層隧道協(xié)議)被廣泛用作實施VPN的協(xié)議���。一般來說,由VPN路由器進(jìn)行的VPN設(shè)置是很復(fù)雜的��。因此�,例如,為了簡化設(shè)置操作��,專利文獻(xiàn)1和專利文獻(xiàn)2公開了服務(wù)器以統(tǒng)一的方式生成設(shè)置詳情并且通過網(wǎng)絡(luò)將這些設(shè)置詳情提供給各個路由器的技術(shù)�。不過,在這種格局中���,由于處理負(fù)荷都集中在服務(wù)器上�����,因此很難將這一技術(shù)應(yīng)用在大規(guī)模網(wǎng)絡(luò)上��。此外����,當(dāng)服務(wù)器出了某些問題時,整個系統(tǒng)都會不工作��。例如�,專利文獻(xiàn)3公開了一種在終端之間的通信中使用諸如分布式散列表這樣的結(jié)構(gòu)化重疊的技術(shù)。按照這種技術(shù)��,當(dāng)裝置加入或退出通信時��,不必改變設(shè)置��,也就不必提供以統(tǒng)一方式管理信息的服務(wù)器����。引文列表專利文獻(xiàn)專利文獻(xiàn)1 JP-A-2004-104542專利文獻(xiàn)2 JP-A-2006-54704專利文獻(xiàn)3 JP-A-2008-17270
發(fā)明內(nèi)容
技術(shù)問題正如在專利文獻(xiàn)3中公開的那樣��,可以使用結(jié)構(gòu)化重疊在點之間實現(xiàn)通信����。在這種情況下����,必須在參與通信的所有終端中安裝用于構(gòu)造結(jié)構(gòu)化重疊的軟件并且預(yù)先登記設(shè)置�。此外,在按照現(xiàn)有技術(shù)使用例如IPsec的結(jié)構(gòu)中�,當(dāng)增加或移除所有參與到VPN中的裝置時,需要更改邏輯路徑或路徑的設(shè)置���。此外�,為了實現(xiàn)全網(wǎng)通信��,需要依據(jù)接入網(wǎng)絡(luò)的終端的數(shù)量��,設(shè)置大量邏輯路徑或路徑的設(shè)置�。本發(fā)明是針對上述問題而做出的,并且本發(fā)明的目的是使用與不同中繼裝置連接的通信終端之間的VPN幫助實現(xiàn)通信���。問題的解決方案為了解決上述問題��,本發(fā)明提供一種中繼裝置�����,該中繼裝置使用VPN(虛擬專用網(wǎng))與另一個中繼裝置連接并且對與該中繼裝置連接的通信終端和與另一個中繼裝置連接的通信終端之間的通信進(jìn)行中繼�����,該中繼裝置包括重疊構(gòu)造構(gòu)件��,用于通過與其它中繼裝置的連接來構(gòu)造結(jié)構(gòu)化重疊并且使用該結(jié)構(gòu)化重疊來在構(gòu)成該結(jié)構(gòu)化重疊的中繼裝置之間對路徑數(shù)據(jù)庫進(jìn)行分布式管理��,在該路徑數(shù)據(jù)庫中�����,與通信終端的專用地址相關(guān)的信息與指出通信終端所連接的中繼裝置的全局地址的信息相關(guān)聯(lián)����;第一接收構(gòu)件,用于接收通信數(shù)據(jù)����,該通信數(shù)據(jù)從與該中繼裝置相連的通信終端發(fā)出�����、并且包括指出作為通信數(shù)據(jù)目的地的通信終端的專用地址的目的地信息����;指定構(gòu)件�,用于通過參照分布式管理的路徑數(shù)據(jù)庫來指定與第一接收構(gòu)件接收到的通信數(shù)據(jù)的目的地信息所指出的專用地址相對應(yīng)的全局地址�;第二發(fā)送構(gòu)件,用于將第一接收構(gòu)件接收到的通信數(shù)據(jù)發(fā)送到被設(shè)置了由指定構(gòu)件指定的全局地址的另一個中繼裝置��;第二接收構(gòu)件��,用于接收從該另一個中繼裝置發(fā)送來的通信數(shù)據(jù)��;和第一發(fā)送構(gòu)件����,用于將由第二接收構(gòu)件接收到的通信數(shù)據(jù)發(fā)送到與由通信數(shù)據(jù)的目的地信息指出的專用地址相對應(yīng)的通信終端。在另一個優(yōu)選方面�����,第二發(fā)送構(gòu)件在發(fā)送通信數(shù)據(jù)時用特定的加密密鑰對通信數(shù)據(jù)進(jìn)行加密���,第一發(fā)送構(gòu)件對由第二接收構(gòu)件接收到的通信數(shù)據(jù)進(jìn)行解密����、并且將通信數(shù)據(jù)發(fā)送到與通信數(shù)據(jù)的目的地信息相關(guān)的通信終端�����,并且第二發(fā)送構(gòu)件在將通信數(shù)據(jù)發(fā)送給構(gòu)造結(jié)構(gòu)化重疊的任何其它中繼裝置的時候用公用加密密鑰對通信數(shù)據(jù)進(jìn)行加密。在另一個優(yōu)選方案�,中繼裝置此外還包括臨時存儲構(gòu)件,用于將信息臨時存儲給定時段��,在該信息中����,指定構(gòu)件所指定的另一個中繼裝置的全局地址與用于指定全局地址的通信終端的專用地址的相關(guān)信息相關(guān)聯(lián),并且第二發(fā)送構(gòu)件參照臨時存儲構(gòu)件中存儲的信息��,并且在所存儲的信息包括與第一接收構(gòu)件接收到的通信數(shù)據(jù)的目的地信息所指出的專用地址相關(guān)聯(lián)的全局地址的時候���,該第二發(fā)送構(gòu)件將由第一接收構(gòu)件接收到的通信數(shù)據(jù)發(fā)送到設(shè)置了該全局地址的另一個中繼裝置��。在另一個優(yōu)選方面�����,與分布式管理的路徑數(shù)據(jù)庫中的通信終端的專用地址相關(guān)的信息指出包括專用地址的網(wǎng)絡(luò)地址�����,中繼裝置此外還包括存儲構(gòu)件�,用于存儲前綴規(guī)則表格���,該前綴規(guī)則表格指出通信終端的專用地址與網(wǎng)絡(luò)地址之間的對應(yīng)關(guān)系�����,并且指定構(gòu)件通過參照存儲構(gòu)件中所存儲的前綴規(guī)則表格和分布式管理的路徑數(shù)據(jù)庫來指定與第一接收構(gòu)件接收到的通信數(shù)據(jù)的目的地信息中的專用地址相對應(yīng)的全局地址�。在另一個優(yōu)選方面�����,中繼裝置此外還包括登記構(gòu)件�,用于當(dāng)中繼裝置與另一個中繼裝置相連時,在路徑數(shù)據(jù)庫中登記與除了路徑數(shù)據(jù)庫中所包含的專用地址之外的專用地址有關(guān)的信息�,以便參照分布式管理的路徑數(shù)據(jù)庫將該信息與中繼裝置的全局地址關(guān)聯(lián)起來;和分配構(gòu)件����,用于將與登記構(gòu)件所登記的信息相關(guān)的專用地址分配給與中繼裝置相連的通信終端。發(fā)明的有益效果按照本發(fā)明���,可以使用與不同中繼裝置相連的通信終端之間的VPN幫助進(jìn)行通
fn °
圖1是示出按照本發(fā)明實施方式的通信系統(tǒng)的結(jié)構(gòu)的框圖�����。圖2是示出按照本發(fā)明實施方式的中繼裝置的結(jié)構(gòu)的框圖���。圖3是示出實現(xiàn)中繼裝置的通信處理功能的結(jié)構(gòu)的示意圖�。圖4是示出I3R表格的結(jié)構(gòu)的示意圖����。圖5是示出路徑數(shù)據(jù)庫的結(jié)構(gòu)的示意圖。圖6是示出通信終端之間數(shù)據(jù)通信中通信處理的操作的示意圖�。
圖7是示出按照變型例1的中繼裝置的網(wǎng)絡(luò)地址登記處理的示意圖。
具體實施例方式在下文中��,將會介紹本發(fā)明的一種實施方式�����。<實施方式>圖1是示出按照本發(fā)明實施方式的通信系統(tǒng)1的結(jié)構(gòu)的框圖���。通信系統(tǒng)1包括分別在點A�����、B���、C和D處提供的中繼裝置20A���、20B�����、20C和20D (下文中�,在不對這些中繼裝置加以區(qū)分的時候,稱為中繼裝置20)�,并且包括LAN 30A、30B���、30C和30D (下文中����,在不對這些 LAN進(jìn)行區(qū)分時�����,稱為LAN 30)����,這些LAN包括與中繼裝置20相連的通信終端(未示出)。 各個中繼裝置20將各個LAN 30連接到通信網(wǎng)絡(luò)10上,通信網(wǎng)絡(luò)10是公共網(wǎng)絡(luò)�,比如因特網(wǎng),并且各個中繼裝置20將來自各個LAN 30中的通信終端的通信中繼到另一個LAN30中的通信終端���。中繼裝置20例如是VPN路由器并且按照具體的通信協(xié)議(例如�,IP(因特網(wǎng)協(xié)議))接收數(shù)據(jù)包����,這些數(shù)據(jù)包是從通信網(wǎng)絡(luò)10發(fā)出的數(shù)據(jù)塊。當(dāng)所接收數(shù)據(jù)包的目的地是與中繼裝置20相連的LAN 30中的通信終端時����,中繼裝置20將該數(shù)據(jù)包發(fā)送到作為目的地的通信終端。中繼裝置20將從LAN 30發(fā)送來的數(shù)據(jù)包發(fā)送到與作為數(shù)據(jù)包目的地的通信終端相連的中繼裝置20��。此外��,由VPN利用VPN處理單元213(見圖幻(下面將會介紹) 通過通信網(wǎng)絡(luò)10將中繼裝置20與另一個中繼裝置20連接起來��。中繼裝置20使用結(jié)構(gòu)化重疊處理單元212(見圖3)構(gòu)成結(jié)構(gòu)化重疊����,比如分布式散列表,后面將對此加以介紹�����。將參照圖2介紹中繼裝置20的結(jié)構(gòu)。圖2是示出按照本發(fā)明實施方式的中繼裝置20的結(jié)構(gòu)的框圖���。中繼裝置20包括控制單元21�����、UI (用戶界面)單元22、第一通信IF (接口)單元23��、第二通信IF單元M和存儲單元25���,這些單元通過總線沈彼此連接���。控制單元21包括�,例如,CPU(中央處理單元)���、R0M(只讀存儲器)和RAM(隨機(jī)存取存儲器)����。CPU讀取ROM中存儲的控制程序、將控制程序加載到RAM中并且運行該控制程序以通過總線沈控制中繼裝置20的各個部件�,從而實現(xiàn)通信處理功能,后面將對此加以介紹����。RAM在CPU處理各個數(shù)據(jù)項的時候起到工作區(qū)的作用。UI單元22包括操作單元和顯示單元�,操作單元比如是由管理員用來設(shè)置中繼裝置20的各種設(shè)置的鍵盤或操作按鈕,顯示單元比如是用于顯示與控制單元21的控制相應(yīng)的信息(比如設(shè)定屏幕)的液晶顯示器����。當(dāng)對操作單元進(jìn)行操作時,UI單元22向控制單元21輸出表示操作內(nèi)容的數(shù)據(jù)����。可以不提供UI單元22����。在這種情況下,管理員使用管理設(shè)備(未示出)通過諸如通信網(wǎng)絡(luò)10或LAN 30之類的網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程操作����,以設(shè)定各種設(shè)置。第一通信IF單元23和第二通信IF單元M各自都是通信裝置��,比如NIC(網(wǎng)絡(luò)接口卡)。第一通信IF單元23與LAN 30相連接�����。具體地說��,中繼裝置20A�����、20B���、20C和20D 的第一通信IF單元23分別與LAN 30A、30B�、30C和30D相連接。第二通信IF單元M與通信網(wǎng)絡(luò)10相連接����。當(dāng)?shù)谝煌ㄐ臝F單元23和第二通信IF單元M分別從與它們連接的網(wǎng)絡(luò)接收到數(shù)據(jù)包時,它們將這些數(shù)據(jù)包輸出到控制單元21并且將從控制單元21輸出的數(shù)據(jù)包發(fā)送到與它們連接的網(wǎng)絡(luò)(通信網(wǎng)絡(luò)10或LAN 30)����。存儲單元25例如是硬盤或非易失性存儲器并且由控制單元21將數(shù)據(jù)從存儲單元 25中讀出或者寫入到存儲單元25中。存儲單元25存儲��,例如,表明通過UI單元22或某些控制程序的操作對中繼裝置20設(shè)置的內(nèi)容的設(shè)置信息����。此外,存儲單元25存儲�,例如, PR(前綴規(guī)則)表格251��、路徑表格252�、路徑記錄253、路徑緩存2M和加密密鑰255 (見圖 3)���,后面將對這些進(jìn)行詳細(xì)介紹���。接下來,將介紹中繼裝置20的結(jié)構(gòu)�。下面,將參照圖3到圖5介紹由控制單元21所運行的控制程序?qū)崿F(xiàn)的通信處理功能����。通信處理功能通過連接到通信網(wǎng)絡(luò)10的各個中繼裝置20來構(gòu)成結(jié)構(gòu)化重疊,并且對與中繼裝置20連接的LAN 30中的通信終端和與另一個中繼裝置20連接的LAN 30中的通信終端之間的通信進(jìn)行中繼��。下面的通信處理功能中的各個組成部分都可以用硬件實現(xiàn)�����。圖3是示出實現(xiàn)通信處理功能的結(jié)構(gòu)的示意圖。使用數(shù)據(jù)包處理單元211�、結(jié)構(gòu)化重疊處理單元212、VPN處理單元213�、路徑管理單元214以及存儲單元25中存儲的I3R表格 251、路徑表格252�����、路徑記錄253���、路徑緩存2M和加密密鑰255來實現(xiàn)通信處理功能���。首先,將會介紹存儲單元25中存儲的各個信息項����。圖4是示出ra表格251的結(jié)構(gòu)的示意圖�����。I3R表格251具有指示網(wǎng)絡(luò)地址的信息����, 網(wǎng)絡(luò)地址包括數(shù)據(jù)包的目的地信息中的專用地址�����。在ra表格251中��,作為用于檢索路徑數(shù)據(jù)庫(后面將對其加以介紹)的檢索關(guān)鍵詞的網(wǎng)絡(luò)地址與網(wǎng)絡(luò)地址的前綴長度(PL)相關(guān)聯(lián)�����。例如�,在圖4所示的I3R表格251中�����,網(wǎng)絡(luò)地址“192. 168. 100.0”的前綴長度為 “26”�����,并且包括從“192. 168. 100.0”到“192. 168. 100. 63”的范圍之內(nèi)的專用地址�。因此, 例如�����,當(dāng)專用地址為“192. 168. 100. 7”時,相應(yīng)的網(wǎng)絡(luò)地址是“192. 168. 100.0”�����。當(dāng)與專用地址相應(yīng)的網(wǎng)絡(luò)地址沒有被包含在I3R表格251中時�����,就認(rèn)為前綴長度是“24”�����,這是一個缺省值��。如此一來�,I3R表格251表明了網(wǎng)絡(luò)地址與專用地址之間的對應(yīng)關(guān)系。預(yù)定要與通信網(wǎng)絡(luò)10連接的所有中繼裝置20的網(wǎng)絡(luò)地址與前綴長度之間的關(guān)系都被預(yù)先登記在ra 表格251中�,從而將網(wǎng)絡(luò)地址與前綴長度彼此關(guān)聯(lián)起來。不過�����,當(dāng)如路徑數(shù)據(jù)庫中那樣(稍后將對此加以介紹)使用結(jié)構(gòu)化重疊來進(jìn)行分布式管理時��,可以僅僅存儲中繼裝置的網(wǎng)絡(luò)地址與前綴長度之間的對應(yīng)關(guān)系�。將存儲了路徑表格252的中繼裝置20的網(wǎng)絡(luò)地址登記在路徑表格252中。就是說�,路徑表格252是將與中繼裝置20相連的LAN 30的網(wǎng)絡(luò)地址與設(shè)置給中繼裝置20的全局地址關(guān)聯(lián)起來的信息?���?梢詫⒅欣^裝置20的全局地址登記為主機(jī)路徑。此外��,可以登記與路徑表格相對應(yīng)的信息�,比如現(xiàn)有技術(shù)中使用的路由表。路徑記錄253存儲路徑數(shù)據(jù)庫中采用結(jié)構(gòu)化重疊來分布式管理的部分����。路徑數(shù)據(jù)庫是通過整合與通信網(wǎng)絡(luò)10相連的各個中繼裝置20中存儲的路徑表格252而獲得的。因此����,路徑記錄253具有與各個中繼裝置20中的路徑表格252相應(yīng)的內(nèi)容,并且部分包括��,例如�,自身中繼裝置的路徑表格252和其它中繼裝置20的路徑表格252。當(dāng)與通信網(wǎng)絡(luò)10連接的其它中繼裝置20被改變或者其它中繼裝置20中的路徑表格252被改變�����,造成路徑數(shù)據(jù)庫中發(fā)生改變時,結(jié)構(gòu)化重疊處理單元212更新路徑記錄253的內(nèi)容���。圖5是示出的路徑數(shù)據(jù)庫的結(jié)構(gòu)的示意圖�����。如上所述����,路徑數(shù)據(jù)庫是利用結(jié)構(gòu)化重疊來以各個中繼裝置20的路徑記錄253的形式分布式管理的���。整個數(shù)據(jù)庫具有通過將各個中繼裝置20的所有路徑表格252整合為與路徑相關(guān)的數(shù)據(jù)而獲得的內(nèi)容��。因此��,在路徑數(shù)據(jù)庫中����,網(wǎng)絡(luò)地址與具有該網(wǎng)絡(luò)地址的中繼裝置20的全局地址相關(guān)聯(lián)���。例如����,在圖5中所示的路徑數(shù)據(jù)庫中�����,網(wǎng)絡(luò)地址“192. 168. 100. 0”對應(yīng)于具有全局地址“2xx. 100. 200. 1”的中繼裝置20�����。當(dāng)結(jié)構(gòu)化重疊處理單元212 (后面將對其加以介紹) 使用該網(wǎng)絡(luò)地址作為檢索關(guān)鍵詞來查詢路徑數(shù)據(jù)庫時���,可以作為響應(yīng)����,從而獲得相應(yīng)中繼裝置20的全局地址��。如此一來���,當(dāng)采用結(jié)構(gòu)化重疊來對路徑數(shù)據(jù)庫進(jìn)行分布式管理時�,各個中繼裝置20的路徑表格252可能不會與路徑數(shù)據(jù)庫相同���?��?梢詫⒙窂綌?shù)據(jù)庫構(gòu)造成這樣與通信網(wǎng)絡(luò)10連接的各個中繼裝置20的全局地址和與各個中繼裝置20連接的LAN 30中的通信終端的專用地址之間的對應(yīng)關(guān)系是已知的���。因此,可以不用網(wǎng)絡(luò)地址表示與全局地址相應(yīng)的信息�����,而是可以使用與專用地址相關(guān)的任何信息����。例如,與專用地址相關(guān)的信息可以是專用地址或該范圍內(nèi)指定的信息�。當(dāng)使用由網(wǎng)絡(luò)地址和前綴長度表示的信息時,可以不提供I3R表格251���。路徑緩存254臨時存儲以這種方式獲得的網(wǎng)絡(luò)地址和全局地址之間的對應(yīng)關(guān)系�����。 對于同一個網(wǎng)絡(luò)地址��,可以通過參照路徑緩存254��,而不是查詢路徑數(shù)據(jù)庫���,來以較高速度獲得對應(yīng)關(guān)系����。VPN處理單元213 (后面將對其加以介紹)使用加密密鑰255來進(jìn)行加密或解密���。 在這個例子中,使用公用密鑰來對傳送給各個中繼裝置20的數(shù)據(jù)進(jìn)行加密���。不過��,也可以使用對應(yīng)于各個中繼裝置20的密鑰�。上面已經(jīng)介紹了存儲單元25中存儲的各個信息項�。接著,回到圖3���,將會介紹數(shù)據(jù)包處理單元211�����、結(jié)構(gòu)化重疊處理單元212��、VPN處理單元213和路徑管理單元214�。當(dāng)?shù)谝煌ㄐ臝F單元23接收到數(shù)據(jù)包(是從與中繼裝置20連接的LAN 30中的通信終端發(fā)出的通信數(shù)據(jù))時,數(shù)據(jù)包處理單元211獲得所接收的數(shù)據(jù)包�。該數(shù)據(jù)包包括指示出作為目的地的通信終端的專用地址的目的地信息。數(shù)據(jù)包處理單元211參照路徑表格 252���,并且當(dāng)該數(shù)據(jù)包的目的地的專用地址不是與中繼裝置20相連的LAN 30中的通信終端時����,數(shù)據(jù)包處理單元211將該數(shù)據(jù)包輸出到VPN處理單元213�����。然后�����,數(shù)據(jù)包處理單元211 作為對輸出的響應(yīng)來獲得經(jīng)過了 VPN發(fā)送處理(后面將對此加以介紹)的數(shù)據(jù)包�����,并且通過通信網(wǎng)絡(luò)10將該數(shù)據(jù)包從第二通信IF單元M發(fā)送到具有通過后面的方法確定的全局地址的另一個中繼裝置20���。當(dāng)?shù)诙ㄐ臝F單元M從通信網(wǎng)絡(luò)10接收到經(jīng)過了 VPN發(fā)送處理的數(shù)據(jù)包時��,數(shù)據(jù)包處理單元211獲得所接收的數(shù)據(jù)包�����。然后���,數(shù)據(jù)包處理單元211將該數(shù)據(jù)包輸出到VPN 處理單元213��。數(shù)據(jù)包處理單元211作為對輸出的響應(yīng)來獲得經(jīng)過了 VPN接收處理(后面將對此加以介紹)的數(shù)據(jù)包�����,并且通過參照路徑表格252將該數(shù)據(jù)包從第一通信IF單元23 發(fā)送到具有由目的地信息指示的專用地址的通信終端。結(jié)構(gòu)化重疊處理單元212按照預(yù)定的結(jié)構(gòu)化重疊協(xié)議通過數(shù)據(jù)包處理單元211和第二通信IF單元M控制與另一個中繼裝置20的通信���,以在與通信網(wǎng)絡(luò)10連接的中繼裝置20之間構(gòu)造結(jié)構(gòu)化重疊�����。于是����,結(jié)構(gòu)化重疊處理單元212使用結(jié)構(gòu)化重疊以各個中繼裝置20的路徑記錄253的形式對路徑數(shù)據(jù)庫進(jìn)行分布式管理�����。此外,當(dāng)使用網(wǎng)絡(luò)地址作為檢索關(guān)鍵詞來查詢路徑數(shù)據(jù)庫時����,結(jié)構(gòu)化重疊處理單元212作為響應(yīng)獲得指示出另一個中繼裝置20的全局地址。這樣�����,指定了將會發(fā)送數(shù)據(jù)包的中繼裝置20的全局地址��。結(jié)構(gòu)化重疊處理單元212參照I3R表格251來認(rèn)定與從VPN處理單元213接收到的專用地址相應(yīng)的網(wǎng)絡(luò)地址�,并且使用該網(wǎng)絡(luò)地址作為用于查詢分布式數(shù)據(jù)庫(后面將對此加以介紹)的檢索關(guān)鍵詞。然后��,結(jié)構(gòu)化重疊處理單元212將所指定的全局地址通知給 VPN處理單元213����。當(dāng)從數(shù)據(jù)包處理單元211輸入了由第一通信IF單元23接收到的數(shù)據(jù)包時,VPN 處理單元213進(jìn)行VPN發(fā)送處理�����。VPN發(fā)送處理是按照如下方式進(jìn)行的��。首先,VPN處理單元213獲得輸入數(shù)據(jù)包的目的地信息中的專用地址�。然后,VPN處理單元213參照路徑緩存2M來確定是否有與該專用地址相對應(yīng)的全局地址��。當(dāng)有與該專用地址相對應(yīng)的全局地址時���,VPN處理單元213獲得該全局地址�。另一方面�����,當(dāng)沒有與該專用地址相對應(yīng)的全局地址時��,VPN處理單元213將該專用地址通知給結(jié)構(gòu)化重疊處理單元212并且獲得作為來自路徑數(shù)據(jù)庫的響應(yīng)的全局地址�。在這種情況下���,VPN處理單元213將專用地址與所獲得的全局地址之間的對應(yīng)關(guān)系臨時存儲在路徑緩存254中�。然后����,VPN處理單元213參照加密密鑰255對數(shù)據(jù)包進(jìn)行加密并且通過數(shù)據(jù)包處理單元211和第二通信IF單元M將加密后的數(shù)據(jù)包發(fā)送到與所獲得的全局地址相對應(yīng)的中繼裝置20。前面已經(jīng)介紹了 VPN發(fā)送處理���。當(dāng)從數(shù)據(jù)包處理單元211輸入了由第二通信IF單元M接收到的數(shù)據(jù)包(在另一個中繼裝置20中進(jìn)行了 VPN發(fā)送處理的數(shù)據(jù)包)時�,VPN處理單元213進(jìn)行VPN接收處理。VPN接收處理參照加密密鑰255對已加密的數(shù)據(jù)包進(jìn)行解密并且將解密后的數(shù)據(jù)包輸出到數(shù)據(jù)包處理單元211��。如上所述�����,當(dāng)輸出了解密后的數(shù)據(jù)包時���,將其通過數(shù)據(jù)包處理單元211和第一通信IF單元23發(fā)送到具有數(shù)據(jù)包的目的地信息中的專用地址的通信終端�����。路徑管理單元214按照諸如OSPF (開放式最短路徑優(yōu)先)或RIP (路由信息協(xié)議) 之類的路由協(xié)議�,管理結(jié)構(gòu)化重疊處理單元212的路徑并且更新路徑表格252���。此外�,路徑管理單元214可以不使用路由協(xié)議而靜態(tài)地設(shè)置路徑�。一般來說,在很多情況下�,當(dāng)設(shè)置VPN的路徑時,會定義與作為發(fā)送目的地的各個中繼裝置相對應(yīng)的虛擬接口�,并且描述以虛擬接口作為目的地的路徑。不過,在這種方法中����,必須要根據(jù)加入到網(wǎng)絡(luò)中的中繼裝置的數(shù)量的增減來更改路徑,這會導(dǎo)致管理負(fù)擔(dān)的增加����。與此相反,在本發(fā)明中��,可以僅僅定義通過整合多個作為發(fā)送目的地的中繼裝置20 獲得的一個虛擬接口���,并且可以描述以該接口為目的地的路徑���。這樣,即使加入到網(wǎng)絡(luò)中的中繼裝置20的數(shù)量增加或減少時���,也不用改變路徑的設(shè)置就可以操作系統(tǒng)。因此���,可以減小管理負(fù)擔(dān)���。前面已經(jīng)介紹了通信處理功能。接下來,將介紹中繼裝置20的操作�����。首先��,將會介紹中繼裝置被加入到網(wǎng)絡(luò)中時該中繼裝置的操作�,然后將會參照圖6介紹在通信終端之間進(jìn)行通信期間通信系統(tǒng)1的操作。首先�����,中繼裝置20的管理員設(shè)置初始節(jié)點�、預(yù)先共享的密鑰和各個中繼裝置20的裝置名。初始節(jié)點指的是首先訪問網(wǎng)絡(luò)以便加入網(wǎng)絡(luò)的裝置�����。初始節(jié)點不是諸如服務(wù)器之類的特定節(jié)點��,但是設(shè)置了加入到網(wǎng)絡(luò)中的任意節(jié)點(例如另一個中繼裝置20)的全局地址���。預(yù)先共享的密鑰不同于由VPN處理單元213使用的加密密鑰255���,結(jié)構(gòu)化重疊處理單元 212使用該預(yù)先共享的密鑰來對諸如結(jié)構(gòu)化重疊的消息之類的控制消息進(jìn)行加密的����。裝置名用于標(biāo)識網(wǎng)絡(luò)上的中繼裝置20并且被用作結(jié)構(gòu)化重疊上的節(jié)點的標(biāo)識符�。各個中繼裝置20根據(jù)設(shè)置而加入網(wǎng)絡(luò),并且對采用結(jié)構(gòu)化重疊分布式管理的路徑數(shù)據(jù)庫中所存儲的路徑記錄253進(jìn)行初始化����。按照對路徑數(shù)據(jù)庫進(jìn)行分布式管理的結(jié)構(gòu),當(dāng)新的中繼裝置具有前面提到的設(shè)置時�,即使新的中繼裝置20加入網(wǎng)絡(luò),也不需要改變網(wǎng)絡(luò)上的中繼裝置20的設(shè)置�。當(dāng)被加入到網(wǎng)絡(luò)中時,中繼裝置20可以將其路徑表格252 登記到采用結(jié)構(gòu)化重疊來分布式管理的路徑數(shù)據(jù)庫中����,以通知其它中繼裝置20該中繼裝置20的存在。圖6是示出通信終端之間數(shù)據(jù)通信中通信處理的操作的示意圖����。在下面的介紹中,假設(shè)通信數(shù)據(jù)包是從與中繼裝置20A連接的通信終端A-X發(fā)出�,并且數(shù)據(jù)包的目的地信息指出與中繼裝置20B(全局地址“2xx. 100. 200. 1”)連接的通信終端B-Y(專用地址 “192. 168. 100. 2”)。此外�����,假設(shè)冊表格251具有圖4中所示的內(nèi)容并且采用結(jié)構(gòu)化重疊分布式管理的路徑數(shù)據(jù)庫具有圖5所示的內(nèi)容�。首先,通信終端A-X向通信終端B-Y發(fā)送數(shù)據(jù)(步驟S110)�����。當(dāng)接收到所發(fā)送的數(shù)據(jù)包時��,中繼裝置20A參照數(shù)據(jù)包的目的地信息認(rèn)定出作為目的地的通信終端的專用地址(步驟S120)�。當(dāng)認(rèn)定出專用地址“192. 168. 100. 2”時,中繼裝置20A參照I3R表格251 提取出相應(yīng)的網(wǎng)絡(luò)地址作為檢索關(guān)鍵詞(步驟S130)���。所提取的檢索關(guān)鍵詞具有網(wǎng)絡(luò)地址 “192. 168. 100. 0”�。然后�����,中繼裝置20A確定在其路徑緩存254中是否有與該檢索關(guān)鍵詞相應(yīng)的地址 (步驟S135)��。當(dāng)有與該檢索關(guān)鍵詞相應(yīng)的地址時(步驟S135 ��;是)���,中繼裝置20A將具有該地址的中繼裝置20B認(rèn)定為數(shù)據(jù)包傳輸路徑(步驟S160)�����。另一方面�����,當(dāng)沒有與該檢索關(guān)鍵詞相應(yīng)的地址時(步驟S135 ��;否)��,中繼裝置20A使用該檢索關(guān)鍵詞對采用結(jié)構(gòu)化重疊分布式管理的路徑數(shù)據(jù)庫(路徑DB)進(jìn)行查詢(步驟S140)����。然后,中繼裝置20A參照路徑數(shù)據(jù)庫(步驟S150)并且被告知從參照結(jié)果中獲得的與檢索關(guān)鍵詞相應(yīng)的地址(全局地址〃 hx. 100.200. 1〃)�。中繼裝置20A將具有該全局地址的中繼裝置20B認(rèn)定為數(shù)據(jù)包傳輸路徑(步驟S160)。中繼裝置20A將通過參照路徑數(shù)據(jù)庫認(rèn)定出的路徑登記在其路徑緩存254中���。中繼裝置20A對從通信終端A-X接收到的數(shù)據(jù)包進(jìn)行VPN發(fā)送處理(步驟S170) 并且將加密數(shù)據(jù)包通過通信網(wǎng)絡(luò)10從虛擬接口發(fā)送到作為目的地的中繼裝置20B�����。中繼裝置20B使用虛擬接口從結(jié)構(gòu)化重疊的網(wǎng)絡(luò)中接收在中繼裝置20A中進(jìn)行了 VPN發(fā)送處理的數(shù)據(jù)包并且對該數(shù)據(jù)包進(jìn)行VPN接收處理(步驟S180)以解密該數(shù)據(jù)包�。然后�����,中繼裝置20B認(rèn)定出具有由解密之后的數(shù)據(jù)包的目的地信息所指示的專用地址 “192. 168. 100. 2”的通信終端(通信終端B_Y)(步驟S190)并且將解密之后的數(shù)據(jù)包發(fā)送到通信終端B-Y����。然后,通信終端B-Y接收從中繼裝置20B發(fā)來的數(shù)據(jù)包�����,從而接收從通信終端A-X發(fā)來的數(shù)據(jù)(步驟S200)�。如此,在本發(fā)明的實施方式中�,中繼裝置20參照采用結(jié)構(gòu)化重疊分布式管理的路徑數(shù)據(jù)庫,來將與所連接的通信終端發(fā)送來的數(shù)據(jù)包的目的地信息相對應(yīng)的另一個中繼裝置20認(rèn)定為傳輸路徑�,并且沿著該傳輸路徑發(fā)送數(shù)據(jù)包,從而使得該數(shù)據(jù)包可以被連接到作為傳輸目的地的中繼裝置20的通信終端接收到���。在這種情況下�,由于路徑數(shù)據(jù)庫是被分布式管理的����,因此即使有新的中繼裝置20接入網(wǎng)絡(luò)或者有中繼裝置20從網(wǎng)絡(luò)中脫離,也不需要預(yù)先改變另一個中繼裝置20的設(shè)置�����,從而可以減少要存儲在各個中繼裝置20中的路徑表格252的數(shù)據(jù)量。此外�����,與中繼裝置20連接的通信終端并不需要例如對結(jié)構(gòu)化重疊進(jìn)行使用的特殊軟件��,并且可以與中繼裝置20連接來進(jìn)行通信���。由于可以不提供管理整個系統(tǒng)的可能成為單一故障點的服務(wù)器�����,因此該系統(tǒng)是強(qiáng)健的��。前面已經(jīng)介紹了本發(fā)明的實施方式�����,可以進(jìn)行如下的本發(fā)明的各種不同變型��。< 變型 1>在前面介紹的實施方式中����,中繼裝置20對應(yīng)的網(wǎng)絡(luò)地址被預(yù)先登記在路徑表格 252中。不過����,在增加了還未被登記的中繼裝置對應(yīng)的網(wǎng)絡(luò)地址的情況下,當(dāng)有登記網(wǎng)絡(luò)地址的指令并且中繼裝置20接入網(wǎng)絡(luò)時����,可以自動登記除了另一個中繼裝置20對應(yīng)的網(wǎng)絡(luò)地址之外的其它網(wǎng)絡(luò)地址���。將參照圖7介紹登記處理的例子��。圖7是示出按照變型1的中繼裝置20的網(wǎng)絡(luò)地址登記處理的示意圖���。當(dāng)有將網(wǎng)絡(luò)地址登記到路徑表格252中的指令時,中繼裝置20啟動網(wǎng)絡(luò)地址登記處理���。首先��,中繼裝置20確定暫定地址�����,該暫定地址是要被登記的網(wǎng)絡(luò)地址的候選對象(步驟S310)����。然后, 中繼裝置20使用該暫定地址作為檢索關(guān)鍵詞來對采用結(jié)構(gòu)化重疊分布式管理的路徑數(shù)據(jù)庫(DB)進(jìn)行查詢(步驟S320)�。當(dāng)作為對查詢的響應(yīng)而被告知了相應(yīng)的全局地址時(步驟S330 是),由于被確定為暫定地址的網(wǎng)絡(luò)地址是對應(yīng)于具有該全局地址的中繼裝置20��,因此改變該暫定地址(步驟S340)�����。中繼裝置再次查詢路徑數(shù)據(jù)庫(步驟S320)���。另一方面��,當(dāng)作為對查詢的響應(yīng)而沒有被告知相應(yīng)的全局地址時(步驟S330 否)���,被確定為暫定地址的網(wǎng)絡(luò)地址不對應(yīng)于任何中繼裝置20。因此��,該網(wǎng)絡(luò)地址被登記在路徑表格252中作為對應(yīng)于主機(jī)裝置的網(wǎng)絡(luò)地址����,并且還被登記在路徑數(shù)據(jù)庫中(步驟 S350)����。按照這種結(jié)構(gòu)���,與各個中繼裝置20對應(yīng)的網(wǎng)絡(luò)地址并不與另一個中繼裝置20的網(wǎng)絡(luò)地址重疊��。此外����,以這種方式登記的網(wǎng)絡(luò)地址中包含的專用地址可以被自動地分配給與主機(jī)裝置相連的通信終端�。在中繼裝置20接入網(wǎng)絡(luò)并且與該中繼裝置20對應(yīng)的網(wǎng)絡(luò)地址被登記到路徑數(shù)據(jù)庫中的情況下���,當(dāng)已經(jīng)登記了網(wǎng)絡(luò)地址與全局地址之間的對應(yīng)關(guān)系的時候�,可以通報錯誤來提示管理員更改網(wǎng)絡(luò)地址����,或者可以初始化中繼裝置20的路徑表格252并且可以啟動網(wǎng)絡(luò)地址登記處理。此外���,特定中繼裝置20對應(yīng)的網(wǎng)絡(luò)地址與該中繼裝置20的全局地址之間的對應(yīng)關(guān)系可以被登記在路徑數(shù)據(jù)庫中�����,而不管該中繼裝置20是否接入網(wǎng)絡(luò)�,并且可以保留該網(wǎng)絡(luò)地址,使得另一個中繼裝置20無法使用該網(wǎng)絡(luò)地址�。< 變型 2>按照上述實施方式的控制程序被存儲在計算機(jī)可讀記錄介質(zhì)中,比如磁記錄介質(zhì) (例如�����,磁帶或磁盤)��、光學(xué)記錄介質(zhì)(例如����,光盤)、磁光記錄介質(zhì)或者半導(dǎo)體存儲器����,并且然后被提供。在這種情況下����,可以在中繼裝置20中提供用于從記錄介質(zhì)中讀取數(shù)據(jù)的接口。此外��,控制程序可以通過網(wǎng)絡(luò)下載�����。附圖標(biāo)記表1 通信系統(tǒng)10:通信網(wǎng)絡(luò)
20,20A�����,20B�����,20C���,20D 中繼裝置21 控制單元22 =UI 單元23 第一通信IF單元24 第二通信IF單元25 存儲單元26 總線211 數(shù)據(jù)包處理單元212 結(jié)構(gòu)化重疊處理單元213:VPN 處理單元214 路徑管理單元251:PR 表格252 路徑表格253 路徑記錄254 路徑緩存255 加密密鑰30����,30A, 30B, 30C, 30D =LAN
權(quán)利要求
1.一種中繼裝置�����,該中繼裝置使用VPN(虛擬專用網(wǎng))與另一個中繼裝置連接并且對與該中繼裝置連接的通信終端和與另一個中繼裝置連接的通信終端之間的通信進(jìn)行中繼�����,該中繼裝置包括重疊構(gòu)造構(gòu)件����,用于通過與其它中繼裝置的連接來構(gòu)造結(jié)構(gòu)化重疊、并且使用該結(jié)構(gòu)化重疊來在構(gòu)成該結(jié)構(gòu)化重疊的中繼裝置之間對路徑數(shù)據(jù)庫進(jìn)行分布式管理��,在該路徑數(shù)據(jù)庫中�����,與通信終端的專用地址相關(guān)的信息與指出該通信終端所連接的中繼裝置的全局地址的信息相關(guān)聯(lián)�;第一接收構(gòu)件,用于接收通信數(shù)據(jù)�,該通信數(shù)據(jù)從與該中繼裝置相連的通信終端發(fā)送、 并且包括指出作為通信數(shù)據(jù)目的地的通信終端的專用地址的目的地信息����;指定構(gòu)件,用于通過參照分布式管理的路徑數(shù)據(jù)庫來指定與第一接收構(gòu)件接收到的通信數(shù)據(jù)的目的地信息所表示的專用地址相對應(yīng)的全局地址���;第二發(fā)送構(gòu)件��,用于將第一接收構(gòu)件接收到的通信數(shù)據(jù)發(fā)送到被設(shè)置了由指定構(gòu)件指定的全局地址的另一個中繼裝置�;第二接收構(gòu)件��,用于接收從該另一個中繼裝置發(fā)送來的通信數(shù)據(jù)��;和第一發(fā)送構(gòu)件,用于將由第二接收構(gòu)件接收到的通信數(shù)據(jù)發(fā)送到與由通信數(shù)據(jù)的目的地信息指出的專用地址相對應(yīng)的通信終端��。
2.按照權(quán)利要求1所述的中繼裝置��,其中�,第二發(fā)送構(gòu)件在發(fā)送通信數(shù)據(jù)的時候用特定的加密密鑰對通信數(shù)據(jù)進(jìn)行加密, 第一發(fā)送構(gòu)件對由第二接收構(gòu)件接收到的通信數(shù)據(jù)進(jìn)行解密����、并且將通信數(shù)據(jù)發(fā)送到與通信數(shù)據(jù)的目的地信息相關(guān)的通信終端,并且第二發(fā)送構(gòu)件在將通信數(shù)據(jù)發(fā)送給構(gòu)造結(jié)構(gòu)化重疊的任何其它中繼裝置的時候用公用加密密鑰對通信數(shù)據(jù)進(jìn)行加密���。
3.按照權(quán)利要求1或2所述的中繼裝置�,還包括臨時存儲構(gòu)件���,用于將信息臨時存儲給定時段��,在該信息中��,指定構(gòu)件所指定的另一個中繼裝置的全局地址與用于指定全局地址的通信終端的專用地址的相關(guān)信息相關(guān)聯(lián),其中第二發(fā)送構(gòu)件參照臨時存儲構(gòu)件中存儲的信息���,并且在所存儲的信息包括與第一接收構(gòu)件接收到的通信數(shù)據(jù)的目的地信息所指出的專用地址相關(guān)聯(lián)的全局地址的時候��,該第二發(fā)送構(gòu)件將由第一接收構(gòu)件接收到的通信數(shù)據(jù)發(fā)送到設(shè)置了該全局地址的另一個中繼裝置��。
4.按照權(quán)利要求1到3中任何一項所述的中繼裝置���,其中與分布式管理的路徑數(shù)據(jù)庫中的通信終端的專用地址相關(guān)的信息指出包括專用地址的網(wǎng)絡(luò)地址����,中繼裝置還包括存儲構(gòu)件����,用于存儲前綴規(guī)則表格,該前綴規(guī)則表格指出通信終端的專用地址與網(wǎng)絡(luò)地址之間的對應(yīng)關(guān)系���,并且指定構(gòu)件通過參照存儲構(gòu)件中所存儲的前綴規(guī)則表格和分布式管理的路徑數(shù)據(jù)庫來指定與第一接收構(gòu)件接收到的通信數(shù)據(jù)的目的地信息中的專用地址相對應(yīng)的全局地址��。
5.按照權(quán)利要求1到4中任何一項所述的中繼裝置����,還包括登記構(gòu)件�,用于當(dāng)中繼裝置與另一個中繼裝置相連時,在路徑數(shù)據(jù)庫中登記與除了路徑數(shù)據(jù)庫中包含的專用地址之外的專用地址有關(guān)的信息�,以便參照分布式管理的路徑數(shù)據(jù)庫將該信息與中繼裝置的全局地址關(guān)聯(lián)起來;和分配構(gòu)件�,用于將與登記構(gòu)件所登記的信息相關(guān)的專用地址分配給與中繼裝置相連的通信終端�����。
全文摘要
本發(fā)明提供了一種中繼裝置��,其使用VPN來使得在與不同中繼裝置相連的通信終端之間的通信變得容易����。所提供的中繼裝置對采用結(jié)構(gòu)化重疊分布式管理的路徑數(shù)據(jù)庫進(jìn)行參照���,將與所連接的通信終端發(fā)送的數(shù)據(jù)包中的地址信息相應(yīng)的另一個中繼裝置認(rèn)定為傳輸路徑��,并且沿著該傳輸路徑發(fā)送該數(shù)據(jù)包��,從而使得該數(shù)據(jù)包能夠被連接到目的地的中繼裝置的通信終端接收�。由于路徑數(shù)據(jù)庫是分布式管理的�����,因此即使新的中繼裝置接入網(wǎng)絡(luò)或者中繼裝置從網(wǎng)絡(luò)中脫離�,也不需要預(yù)先更改另一個中繼裝置的設(shè)置。此外���,與所提供的中繼裝置連接的通信終端并不需要特殊軟件來使用結(jié)構(gòu)化重疊���,而是僅僅通過連接到該中繼裝置就能夠進(jìn)行通信。
文檔編號H04L12/56GK102474459SQ20108003308
公開日2012年5月23日 申請日期2010年7月23日 優(yōu)先權(quán)日2009年7月24日
發(fā)明者上村信彥, 木村俊洋, 淺野貴裕, 渥美章佳 申請人:雅馬哈株式會社