WO2003098880A1 - Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau - Google Patents

Description

明 細 書 ネットワーク中継装置、 ネットワーク中継方法、 ネットワーク中継用プログラム 技術分野

本発明は、 通信ネットワークの中継技術及びセキュリティ技術、 サービス提供 環境構築技術に関し、 特にハブ、 スィッチ、 ブリッジ、 ルータなどのネットヮー ク中継装置、 サービスを提供するサーバ装置、 サービスへのアクセスを振り分け る振り分け装置、 ユーザ認証を行う認証装置への適用に優れたネットワーク中継 装置、 ネットワーク中継方法、 ネットワーク中継用プログラムに関する。 背景技術

企業や学校など組織等の単位毎に複数のネットワークが存在する環境や、 I S P (Internet Services Provider) やホールセール事業者 （自らは I S P事業は 行わないが、 ユーザと I S Pを結ぶ回線を提供する事業者） など、 ユーザや回線 提供先毎に複数のネットワークが存在する環境など、 セキュリティ面などの理由 から異なるネットワーク間で相互にアクセスすることが望ましくない複数のネッ トワークが存在する環境では、 ネットワーク間のセキュリティを確保する為、 V L AN (Virtual Local Area Network, 仮想ネットワーク）の利用や、 L 2 T P ( Layer2 Tunneling Protocol)などに代表されるトンネリングプロトコルの技術が 広く用いられている。

第 1 2図は、 V L ANを用いてセキュリティを確保した例である。 図中のネッ トワーク 1 a及びネットワーク 1 bは異なるネットワークであり、 ユーザ端末 1 2 aからの通信バケツトはネットワーク 1 aから出力され、 ユーザ端末 1 2 bか らの通信パケットはネットワーク 1 bから出力される。 図示される中継装置 1 9 は、 接続されているネットワーク 1 a、 1 bからの通信を中継する。 中継装置 1 9は一般に、 V L ANに対応したスイッチングハブ等であり、 特定ポートから入 力されたバケツトを設定した V L ANに収容する機能を有する。 図に示された例 では、 ネットワーク 1 aから入力されたバケツトを仮想ネットワーク 5 aに収容 し、 ネットワーク 1 bから入力されたバケツトを仮想ネットワーク 5 bに収容し ている。 このような技術によりネットワーク 1 aとネットワーク 1 b間の相互ァ クセスはなされず、 外部接続ネットワーク 1 8 a或いは 1 8 bを介して外部ネッ トワーク 1 0へ通信バケツトを送信することが可能となる。

第 1 3図は、 L 2 T Pを用いてセキュリティを確保した例である。 図中の中,継 装置 2 0は一般に、 L 2 T Pに対応したサーバやスィッチなどであり、 予め設定 された条件により入力されたバケツトをカプセル化して、 予め定められた外部接 続ネットワーク （1 8 a、 1 8 b ) に存在するゲートウェイやサーバ .スィッチ に向けて転送する。 図に示された例では、 ネットワーク 1 aから入力されたパケ ットをレイヤー 2トンネリング 2 1 aを使用して外部接続ネットワーク 1 8 aへ 転送し、 ネットワーク 1 bから入力されたバケツトをレイヤー 2 トンネリング 2 1 bを使用して外部接続ネットワーク 1 8 bへ転送している。 このような技術に よりネットワーク 1 aとネットワーク 1 b間の相互アクセスはなされず、 外部接 続ネットワーク 1 8 a及び 1 8 bを介して外部ネットワーク 1 0へ通信バケツト を送信することが可能となる。

実際、 ホールセール事業者は、 B A S (Broadband Access Server)などを用い 、 P P P o E (PPP over Ethernet)プロトコルなどによる認証や MA Cアドレス (Media Access Control address) による認証、 接続単位に対する I Pァドレス の払い出しなどによって、 ユーザ認証、 ネットワーク接続を行った後、 I S Pな どへ V L A Nやトンネリングプロトコルを使用して接続を行っている。

このように異なるネットワークが存在する環境においては、 上述した技術を用 いてセキュリティが確保されているが、 更に、 ネットワーク間のセキュリティを 保ちつつ、 外部ネットワーク経由など無駄なトラフィックを発生させることなく 、 またアクセス先装置に複数の個別ァドレスを設定するなど複雑な設定を行うこ となく、 共通の装置へのアクセスを可能とする装置や手法が求められている。 ネットワーク間でセキュリティが確保された状態から共通の装置ヘアクセスす る場合、 従来の方法には、 一旦セキュリティが確保されていない状態に戻すか、 共通の装置に各ネットワークのァドレスに対応したセキュリティ対応のインタフ エースを複数用意する方法、 外部ネッ トワークを経由する方法、 各ネットワーク にゲートウェイを設置しァドレス変換を行い共通の装置へアクセスする方法があ る。

第 1 4図は、 一時的にセキュリティが確保されていない状態に戻す場合の手法 を示した図である。 本図では、 共通のアクセス先である装置 6へ V L ANからァ クセスさせるために、 V L ANからネットワーク 2 3へルータ 2 2によってルー ティングを行う場合を示している。 この状態では、 仮想ネットワーク 5 aと仮想 ネットワーク 5 bのセキュリティは保たれないこととなる。

第 1 5図は、 共通の装置に各ネットワークのァドレスに対応したセキュリティ 対応のインタフェースを複数用意する手法を示した図である。 本図では、 共通の アクセス先である装置 6へ V L ANからアクセスさせるために、 装置 6に仮想ネ ットワーク 5 a用のインタフェース 2 4 aと仮想、ネットワーク 5 b用のインタフ エース 2 4 bを装備した構成となっている。 この場合、 インタフェース 2 4 a、 2 4 bには、 仮想ネットワーク 5 a、 5 bに所属するァドレスが割り当てられて いる必要がある。 この構成では、 入力ネットワーク毎に異なるアドレスを返す D N S (Domain Name System)サーバ （図示せず） が必要となる。 しかしながら、 一 般的な D N Sサーバでは問い合わせ元によつて回答するァドレスを変更するのは 困難である。 また、 D N Sサーバを I S P毎に配備する手法も考えられるが現実 的ではない。

第 1 6図は、 外部ネットワークを介してアクセスする手法を示した図である。 この構成では、 共通のアクセス先である装置 6のアドレスは第 1 5図の場合と異 なり、 入力ネットワークとは無関係になり 1つとなる。 しかしながらこの場合、 通信パケットは無駄な経路を流れることとなる。 すなわち、 無駄なトラフィック の発生や、 スループットの低下を発生させることとなる。 本手法をホールセール 事業者に適用する場合、 高速回線で構成されているホールセール事業者内のネッ トワークと異なり、 品質の低い外部ネットワークを介するので、 サービスの品質 が保てなくなる。

本発明は、 そのような問題を解決するためになされたものであって、 ネットヮ ークのセキュリティを保ちつつ、 共通の装置へのアクセスを可能にするネットヮ 一ク中継装置、 ネットワーク中継方法、 ネットワーク中継用プログラムを提供す ることを目的とする。 発明の開示

本発明は、 複数のネットワークと接続されたネットワーク中継装置であって、 前記複数のネットワークのうち、 いずれかのネットワークから通信バケツトが入 力された場合、 該通信パケットの所定の情報に基づいて、 該通信パケットに対し て所定の V L A Nタグに関する処理を行う V L A Nタグ処理手段と、 前記所定の 情報に基づいて、 前記通信バケツトの送信元のァドレスを変換する第 1ァドレス 変換手段と、 少なくとも前記 V L ANタグ処理手段による処理、 或いは前記第 1 ァドレス変換手段によるァドレス変換のいずれかがなされた通信バケツトを所定 の仮想ネットワークに出力する第 1出力手段とを備えてなるネットワーク中継装 置を提供する。

このような構成によれば、 V L ANを使用してネットワーク間のセキュリティ を確保した場合であっても、 通信バケツトに対し V L ANタグについて共通の装 置に対応した処理を行い、 且つ送信元アドレスに対しても適切な処理を実行する ことにより各ネットワークから共通の装置へのアクセスが可能になる。 また、 従 来の方法では、 共通の装置に対してアクセスさせる場合、 共通の装置に複数のィ ンタフエースや複数のネットワークァドレス、 名前解決を行う為に複数の設定を D N Sサーバに行うといった複雑な設定が必要となる力、 外部ネットワークを経 由してのアクセスとなるが、 本発明によれば、 複雑な設定は不要であり、 更に外 部ネットワークを経由することもないため、 無駄なトラフィックの発生や、 スル ープットの低下を防止することが可能となる。

なお、 本発明の実施の形態において、 V L A Nタグ処理手段は、 中継装置の V L A Nタグ付加部或レ、は V L A Nタグ書換部により構成され、 第 1アドレス変換 手段は、 ア ドレス変換部により構成され、 第 1出力手段は、 入出力部により構成 される。 また、 実施の形態において、 所定の情報は、 中継装置の記憶部内に格納 される。

更に、 本発明に係るネットワーク中継装置において、 前記 V L ANタグ処理手 段は、 前記入力された通信パケットに、 所定の V L ANタグを付加する V L AN タグ付加手段を備えてなる。

このような構成によれば、 仮想ネットワークに対応していないネットワークか らの通信パケットであっても、 VLANタグを付加することにより、 仮想ネット ワークに出力することができるため、 セキュリティを確保しつつ、 共通の装置へ のアクセスが可能となる。 本発明の実施の形態において、 V LANタグ付加手段 は、 V LANタグ付加部に相当する。

また、 本発明に係るネットワーク中継装置において、 前記 VLANタグ処理手 段は、 前記入力された通信パケットの送信元ネットワークが、 VLANタグを用 いた仮想ネットワークである場合に、 前記入力された通信パケットに既に付カロさ れている VLANタグを所定の VLANタグに書き換える第 1 VLANタグ書換 手段を備えてなる。

このような構成によれば、 入力ネットワークが通常のネットワークである力仮 想ネットワークであるかに関わらず、 通信バケツ卜に付加すべき VLANタグを 適切なものとすることができるため、 セキュリティの確保が確実になる。 なお、 本発明の実施の形態において、 第 1 VLANタグ書換手段は、 VLANタグ書換 部或いは第 1 VLANタグ書換部に相当する。

更に、 本発明に係るネットワーク中継装置において、 前記所定の情報は、 少な くとも前記通信バケツトの送信元ネットワーク或いは宛先に関する情報のいずれ かである。

このような構成によれば、 通信バケツ卜の宛先が共通にアクセスする装置であ るか否かに応じて、 VLANタグを付加或いは書き換えることができるため、 確 実に共通の装置にアクセスすることが可能となる。

また、 本発明に係るネットワーク中継装置において、 前記 VLANタグ付加手 段は、 前記通信バケツトの宛先が前記複数のネットワークにより共通にアクセス される装置である場合、 該装置に対応する VLANタグを前記通信パケットに付 加する。

このような構成によれば、 共通の装置を収容する仮想ネットワークのタグを、 通信バケツ卜に付加することができるため、 セキュリティを確保しつつ確実に通 信バケツトを共通の装置へ送信することが可能となる。 更に、 本発明に係るネットワーク中継装置において、 前記第 1アドレス変換手 段は、 前記通信バケツトの宛先が前記複数のネットワークにより共通にアクセス される装置である場合は、 該装置に対応するネットワークを送信元ネットワーク としたァドレスに前記通信バケツ卜の送信元のァドレスを変換する。

このような構成によれば、 通信パケットの送信元のアドレスを、 共通の装置を 収容する仮想ネットワークのァドレスとすることができるため、 セキュリティを 確保しつつ確実に共通の装置ヘアクセスすることが可能となる。

また、 本発明に係るネットワーク中継装置において、 前記第 1アドレス変換手 段は、 所定の外部装置内に設けられ、 該外部装置には更に、 前記第 1出力手段に より出力された通信パケットを入力する入力手段と、 前記入力手段により入力さ れた通信バケツトの前記所定の情報に基づいて、 前記入力された通信バケツ卜に 既に付カ卩されている V L ANタグを所定の V L ANタグに書き換える第 2 V L A Nタグ書換手段と、 少なくとも前記 V L A Nタグ処理手段による処理、 或いは前 記第 1ァドレス変換手段によるァドレス変換のいずれかがなされた通信バケツト を前記所定の仮想ネットワークに出力する第 2出力手段とを備え、 前記第 1アド レス変換手段は、 前記入力手段により入力された通信パケットに対して、 送信元 ァドレス変換を行う。

このような構成によれば、 システムに負荷のかかるァドレス変換処理を外付け にすることができ、 通過性能低下を防止することができる。 特に大規模ネットヮ ークの接続点においては、 髙通過性能が要望されるため、 その点で本構成は非常 に有効である。 また、 ネットワークの高速化にも十分対応できる。 なお、 本発明 の実施の形態において、 入力手段及び第 2出力手段は入出力部に相当し、 第 2 V L A Nタグ書換手段は V L A Nタグ書換部或レ、は第 2 V L A Nタグ書換部に相当 する。

更に、 本発明に係るネットワーク中継装置において、 前記第 1アドレス変換手 段による変換後のァ ドレス及び変換前のァドレスを対応付けて記憶する記憶手段 と、 前記記憶手段に記憶されたデータに基づいて、 前記通信パケットに対する返 信バケツトの宛先を変換する第 2アドレス変換手段を備えてなる。

また、 本発明に係るネットワーク中継装置において、 前記第 2アドレス変換手 段は、 前記通信パケットに対する返信パケッ トの宛先を、 前記記憶手段に記憶さ れた変換前のァドレスに変換する。

このような構成によれば、 通信バケツ卜の送信元のユーザ端末に対して共通の 装置から通信パケットを送信する場合に、 送信元アドレス （宛先アドレス） を変 換前のアドレスに戻して元のネットワークに出力することができるため、 確実に 送信元のユーザ端末に通信パケットを届けることができる。 なお、 本発明の実施 の形態において、 記憶手段は記憶部により構成され、 第 2アドレス変換手段は、 ァドレス変換部により構成される。

更に、 本発明に係るネットワーク中継装置において、 前記記憶手段と前記第 2 ァドレス変換手段は所定の外部装置内に設けられている。

このような構成によれば、 システムに負荷の係るァドレス変換処理を外付けに することができ、 通過性能低下を防止することができる。 特に大規模ネットヮー クの接続点においては、 高通過性能が要望されるため、 その点で本構成は非常に 有効である。 また、 ネットワークの高速化にも十分対応できる。

また、 本発明に係るネットワーク中継装置において、 前記複数のネットワーク は、 仮想ネットワークを含む。

このような構成によれば、 実ネッ トワーク及び仮想ネットワークを問わず、 様々なネットワークに柔軟に対応してセキュリティ確保の処理及び共通装置への アクセスのためのタグ処理或いはァドレス変換処理を円滑に行うことができ、 汎 用性が高い。

また、 本発明に係るネットワーク中継装置において、 更に、 前記複数のネット ワークのうち、 いずれかのネットワークから通信パケットが入力された場合、 該 通信バケツトの送信元のユーザを送信元ネットワーク毎に認証する認証手段を備 え、 前記第 1出力手段は、 前記認証手段により認証された場合にのみ、 前記通信 パケットを出力する。

このような構成によれば、 ネットワーク中継装置がユーザ端末から直接接続要 請を受信して認証作業を行うことができるため、 通信バケツトをユーザ端末から 即座に仮想ネットワークに収容させることができ、 入力ネットワーク側の負荷が 軽くなる。 例えば、 ホ一ルセール事業者などでは、 従来よりユーザ認証機能を統 合することにより認証時から一貫してセキュリティを確保しているが、 共通の装 置へアクセスする場合、 従来はネットワーク毎に共通の装置にインタフェースを 確保するなどの手法を取るか、 確保したセキュリティをー且解除する必要があつ た。 本構成をとることにより、 そうした問題は解決され、 セキュリティ確保及び 共通の装置へのアクセスをより容易に実現することができる。 なお、 本発明の実 施の形態において、 認証手段は認証部に相当する。

また、 本発明は、 複数のネットワークのうち、 いずれかのネットワークから通 信パケットが入力された場合、 該通信パケットの所定の情報に基づいて、 該通信 前記通信パケットに既に V L ANタグが付加されている場合に、 前記所定の情報 に基づレ、て該 V L A Nタグを書き換える V L A Nタグ書換ステツプと、 前記所定 の情報に基づいて、 前記通信バケツトの送信元のァドレスを変換する第 1ァドレ ス変換ステップと、 少なくとも前記 V L A Nタグ付加ステップ、 前記 V L ANタ グ書換ステップ、 或いは前記ァドレス変換ステップのいずれかのステップにおけ る処理がなされた通信バケツトを所定の仮想ネットワークに出力する出カステツ プとを備えてなるネットワーク中継方法を提供する。

更に、 本発明に係るネットワーク中継方法において、 前記通信パケットの宛先 が前記複数のネットワークにより共通にアクセスされる装置である場合、 前記 V L A Nタグ付加ステップにより付加された V L A Nタグ、 或いは前記 V L A Nタ グ書換ステップにより変換された V L ANタグは、 該装置に対応する V L ANタ グとなる。

更に、 本発明に係るネットワーク中継方法において、 前記第 1アドレス変換ス テツプは、 前記通信バケツトの宛先が前記複数のネットワークにより共通にァク セスされる装置である場合は、 該装置に対応するネットワークを送信元ネットヮ —クとしたァドレスに前記通信バケツ卜の送信元のァドレスを変換する。

また、 本発明に係るネットワーク中継方法は、 更に、 前記第 1アドレス変換ス テツプによる変換後のァドレス及び変換前のァドレスを対応付けて所定の記憶領 域に記憶する記憶ステップと、 前記通信バケツトに対する返信バケツトを入力し た場合、 前記記憶領域に記憶されたデータに基づいて、 前記通信パケットに対す る返信バケツトの宛先を変換する第 2アドレス変換ステップを備えてなる。

また、 本発明は、 コンピュータにより読取り可能な媒体に記憶され、 ネットヮ ーク中継処理をコンピュータに実行させるネットワーク中継用プログラムであつ て、 複数のネットワークのうち、 いずれかのネットワークから通信パケットが入 力された場合、 該通信パケットの所定の情報に基づいて、 該通信パケットに対し トに既に V L A Nタグが付加されている場合に、 前記所定の情報に基づいて該 V L ANタグを書き換える V L A Nタグ書換ステツプと、 前記所定の情報に基づレヽ て、 前記通信バケツトの送信元のァドレスを変換する第 1アドレス変換ステップ と、 少なくとも前記 V L A Nタグ付加ステップ、 前記 V L A Nタグ書換ステップ、 或いは前記ァドレス変換ステツプのレ、ずれかのステツプにおける処理がなされた 通信バケツトを所定の仮想ネットワークに出力する出力ステップとをコンビユー タに実行させるネットワーク中継用プログラムを提供する。

更に、 本発明に係るネットワーク中継用プログラムにおいて、 前記通信バケツ トの宛先が前記複数のネットワークにより共通にアクセスされる装置である場合、 前記 V L A Nタグ付加ステップにより付加された V L A Nタグ、 或いは前記 V L A Nタグ書換ステツプにより変換された V L A Nタグは、 該装置に対応する V L A Nタグとなる。

更に、 本発明に係るネットワーク中継用プログラムにおいて、 前記第 1ァドレ ス変換ステップは、 前記通信パケットの宛先が前記複数のネットワークにより共 通にアクセスされる装置である場合は、 該装置に対応するネットワークを送信元 ネットワークとしたァドレスに前記通信バケツトの送信元のァドレスを変換する。 また、 本発明に係るネットワーク中継用プログラムは、 更に、 前記第 1ァドレ ス変換ステップによる変換後のァドレス及び変換前のァドレスを対応付けて所定 の記憶領域に記憶する記憶ステップと、 前記通信パケットに対する返信パケット を入力した場合、 前記記憶領域に記憶されたデータに基づいて、 前記通信バケツ トに対する返信バケツトの宛先を変換する第 2アドレス変換ステップとをコンビ ユータに実行させる。

なお、 本発明において、 上記コンピュータにより読取り可能な媒体は、 C D— R OMやフレキシブルディスク、 D V Dディスク、 光磁気ディスク、 I Cカード 等の可搬型記憶媒体や、 コンピュータプログラムを保持するデータベース、 或い は、 他のコンピュータ並びにそのデータベースや、 更に回線上の伝送媒体をも含 むものである。 図面の簡単な説明

第 1図は、 実施の形態 1におけるネットワーク中継手法の概要を示した図であ る。

第 2図は、 実施の形態 1の V L ANタグに関する設定情報の一例である。 第 3図は、 実施の形態 1の V L ANタグ及びアドレスに関する設定情報の一例 である。

第 4図は、 第 1図のネットワーク中継手法を、 ホールセール事業者に適用した 場合の図である。

第 5図は、 実施の形態 2の概要を簡略的に示した図である。

第 6図は、 実施の形態 2の V L ANタグに関する設定情報の一例である。 第 7図は、 実施の形態 2の V L ANタグ及びァドレスに関する設定情報の一例 である。

第 8図は、 実施の形態 3の概要を簡略的に示した図である。

第 9図は、 実施の形態 3の V L ANタグ及びァドレスに関する設定情報の一例 である。

第 1 0図は、 実施の形態 4の概要を簡略的に示した図である。

第 1 1図は、 実施の形態 5の概要を簡略的に示した図である。

第 1 2図は、 V L ANを用いてセキュリティを確保した従来の手法の一例であ る。

第 1 3図は、 L 2 T Pを用いてセキュリティを確保した従来の手法の一例であ る。

第 1 4図は、 共通の装置へのアクセスを可能にするために、 一時的にセキユリ ティが確保されていない状態に戻す場合の手法を示した図である。

第 1 5図は、 共通の装置に各ネットワークのァドレスに対応したセキュリティ 対応のインタフェースを複数用意する手法を示した図である。

第 1 6図は、 外部ネットワークを介して共通の装置へアクセスする手法を示し た図である。 発明を実施するための最良の形態

以下、 本発明の実施の形態を図を用いて詳細に説明する。

実施の形態 1 .

第 1図は、 本実施の形態におけるネットワーク中継手法の概要を示した図であ る。 本図は、 中継装置を除いて、 従来の技術を示した上述の第 1 2図と同様の構 成を有するものとする。 図に示されるように、 中継装置 7は、 各種ネットワーク との間の入出力インタフェースである入出力部 1 1と、 各種データを記憶する記 憶部 1 3と、 入力された通信パケットに V L A Nタグを付加する V L A Nタグ付 加部 1 5と、 入力された通信バケツトの送信元ァドレスを変換するァドレス変換 部 1 6と、 V L ANタグ付加部 1 5により付加された V L A Nタグを書き換える V L ANタグ書換部 1 7とから構成されている。

本実施の形態の処理の概要を説明すると、 第 1図にあるように中継装置 7に接 続されているネットワーク 1 a、 1 bからの通信バケツトを仮想ネットワーク 5 a、 5 bに振り分ける。 この振り分け時に通信パケットの宛先が共通にアクセス する装置 6の場合、 仮想ネットワーク 5 cに振り分け、 送信元ァドレスも仮想ネ ットワーク 5 cのアドレスに変更する。 これにより、 装置 6への通信パケットは 仮想ネットワーク 5 cとして他のネットワークから分離され、 ユーザ端末 1 2 a や 1 2 bは装置 6へのアクセスが可能となる。 また、 装置 6から送信元への通信 バケツトは中継装置 7に戻ってくるため、 中継装置 7では変更されたァドレスを 元の送信元ァドレスにして宛先を書き換え、 元のネットワーク 1 aまたは 1 へ 通信パケットを出力する。

以下、 具体的な手法を示す。 ユーザ端末 1 2 aまたは 1 2 bから共通の装置 6 へアクセスする場合、 まず、 ユーザ端末側から名前解決の問い合わせを D N Sサ ーバ 9に対して行う。 外部ネットワーク 1 0に存在する D N Sサーバ 9は装置 6 のアドレスを問い合わせのあったユーザ端末に回答する。 ユーザ端末 1 2 aまた は 12 bは、 DNSサーバ 9から取得したアドレスへアクセスを開始する。 なお 、 ここではアドレスを、 「所属するネットワーク一端末番号」 （第 1図では 「5 c— 6」 ） と表現する。

中継装置 7では、 入出力部 1 1を介して、 ネットワーク 1 a或いは l bから通 信パケットを取得すると、 V L A Nタグ付加部 15は記憶部 13に格納された設 定情報に基づいて、 仮想ネッ トワークの VLANタグを決定し、 通信パケットに 対して該 V LANタグを付加する。 第 2図は、 該設定情報の一例である。 例えば 、 ネットワーク 1 aからの通信バケツトであれば、 VLANタグ付加部 15は、 第 2図から入力ネットワークが 1 aのレコードを参照して、 「出力ネットワーク 用 VLANタグ」 の項目に格納されたデータ （5 a) を取得する。 この 5 aを V LANタグとして通信バケツトに付加する。

続いて、 VLANタグ変換部 1 7が、 通信パケットの宛先アドレスを確認し、 記憶部 13に格納された設定情報に基づいて付加された V L A Nタグを書き換え る。 第 3図は、 該設定情報の一例である。 例えば、 通信パケットの入力ネットヮ ークが l aであり、 宛先アドレスが装置 6のアドレス （第 3図においては 「6」 ) であった場合には、 該当のレコード （第 3図では 1項） を参照して、 出力ネッ トワーク用 VLANタグの項目に格納されたデータ （5 c) を取得する。 VLA Nタグ書換部 17は、 VLANタグを 5 cに書き換える。 なお、 第 3図の 2項、 4項に示される宛先ァドレス 0は、 装置 6以外の任意の端末ァドレスを意味する 。 宛先アドレスが 0の場合には、 VLANタグ付カ卩部 15により付カ卩された VL A Nタグをそのまま用いればよいため、 書換処理は行われなレ、。

また、 ァドレス変換部 16は、 第 3図に基づいて通信バケツ卜の送信元ァドレ スを書き換える。 例えば、 通信パケッ トの宛先アドレスを確認し、 宛先アドレス が装置 6のアドレス （第 1図においては 「6」 ） であった場合には、 送信元アド レスを装置 6が属する仮想ネッ トワークのアドレスに書き換える。 すなわち、 第 3図において、 宛先ァドレスが 6であり、 入力ネットワークが 1 aの通信バケツ トに対しては、 「5 a_2 a」 となっていた送信元アドレスを 「 5 c— 12 a」 に書き換え （変換す） る。

この VLANタグと変換されたァドレスにより、 中継装置 7から出力された装 置 6行きの通信パケットは、 仮想ネットワーク 5 cを通り、 装置 6へと届く。 また、 装置 6から、 ユーザ端末 12 a或いは 12 bへの通信バケツトは、 仮想 ネットワーク 5 cを通り中継装置 7に入力される。 中継装置 7のァドレス変換部 16では第 3図の設定情報から、 入力された通信バケツトについて、 本来のユー ザ端末のアドレス （図では送信元ネットワークアドレス） を検索し、 宛先アドレ スを書き換える。 また、 V LANタグ付加部 1 5は通信パケットに付加されてい る VLANタグを削除する。 ここで、 入出力部 1 1から通信パケットが元のネッ トワークへ出力される。 上述した例で言えば、 アドレス変換部 16は、 宛先アド レスを、 変換後の送信元ネットワークアドレス （5 c— 12 a) から、 元の送信 元ネットワークアドレス （l a— 12 a) に書き換える。 更に、 V LANタグ付 加部 15は V LANタグ 5 cを消去し、 入出力部 1 1がネットワーク 1 aにパケ ットを出力する。

以上の処理により、 ネットワーク 1 aと 1 bのセキュリティが保持され、 且つ 共通の装置へのアクセスが可能となる。

なお、 本実施の形態では、 第 2図及び第 3図の双方を用いることにより処理を 行ったが、 第 3図のみを用いて直接 V LANタグを決定してもよい。 この場合は 第 2図は不要となる。

また、 設定情報は第 3図のような形態に限定されない。 し力 しながら、 ァドレ ス変換部 16による変換処理により変換前と変換後のアドレスが異なることとな つた場合、 その対応表は必ず内部で保持する必要がある。 なお、 全ての通信が終 わるか、 エラーがあった場合など、 データが必要ではなくなつた場合には、 対応 表の該当項目を消去するようにしてもよい。

第 4図は、 第 1図のネットワーク中継手法を、 ホールセール事業者に適用した 場合の図である。 図中の点線で囲まれた部分がホールセール事業者のネットヮー ク 30である。 ここで、 ユーザ端末 12 aを持つユーザは、 I S P— A (外部接 続ネットワーク 18 a ) と契約しており、 ユーザ端末 12 bを持つュ一ザは、 I

S P-B (外部接続ネットワーク 18 b) と契約しているとする。 I SP—A、

I SP— Bは、 インターネット （外部ネットワーク 10) におのおの接続してい る。 ホールセール事業者は、 ユーザと I SP— A、 I SP— Bとの間の回線接続 を提供している。

I S P— Aのユーザ端末である 1 2 aと I S P— Bのユーザ端末である 1 2 b は、 契約している I S Pが異なるので、 異なるアドレス体系のネッ トワークに存 在していることとなる。 また、 セキュリティの問題から I S P— Aのユーザと I S P— Bのユーザを同じネットワークに存在させ、 相互アクセスをホールセール 事業者内のネットワークで行うことはできない。 従って、 ここでは、 I S P別の 仮想ネットワーク 5 a、 5 bにユーザを収容して、 ユーザのセキュリティを確保 している。 そして仮想ネットワーク 5 a、 5 13は、 各々 1 3 ?—八、 I S P— B 向けにゲートウェイを有しており、 それぞれの I S Pに接続されている。

ホールセール事業者が、 自社と契約しているユーザ向けに、 共通の装置 6から のサービスを提供する場合、 I S P別に異なる仮想ネットワークにユーザを収容 するため、 ネットワークセキュリティを保ったまま装置 6にアクセスさせるには 、 従来の手法では、 各々の仮想ネットワークに装置 6が個別のァドレスで接続す るか、 一旦外部ネットワーク （インターネット） を介してアクセスさせるしか方 法がない。 しかしながら、 本発明によれば、 中継装置に入力された通信パケット に適宜 V L ANタグを付加し、 送信元アドレスを変換することによって、 ネット ワーク間のセキュリティを保ちつつ、 外部ネットワーク経由による無駄なトラフ ィックを発生させることなく、 アクセス先装置に複数の個別ァドレスを設定する など複雑な設定を行うことなく、 共通の装置へのァクセスを可能にする。 実施の形態 2 .

本実施の形態は、 実施の形態 1とほぼ同様の構成であるが、 接続されているネ ットワークが仮想ネットワークである場合を示している。 すなわち、 接続されて いるネットワークが既に仮想ネットワークなので、 共通の装置宛ではない通信パ ケットは、 入力ネットワークと同じ仮想ネットワークに出力することも可能であ る。 もちろん、 新しい仮想ネットワークに変換することも可能である。

第 5図は、 本実施の形態を簡略的に示した図である。

中継装置 7の V L ANタグ付カ卩部 1 5は、 入力された通信パケットに既に V L A Nタグが付加されているか否かを確認する。 図中のネットワーク 2 a及び 2 b が既に V L A Nタグが付加された仮 ネットワークであれば、 V L A Nタグが付 加されているものとされ、 付加処理は行われない。 ここで、 入力ネットワークと 同じ仮想ネットワークに出力する場合には、 V LANタグの書換は行うことはな いが、 別の仮想ネットワークに出力する場合には、 V LANタグ書換部 1 7によ りタグの書換を行う。 本書換処理は、 例えば、 記憶部 13に記憶された第 6図の テーブルを用いて書き換えられる。

V LANタグを用いない仮想ネットワークである場合には、 記憶部 13に記憶 された第 6図の設定情報を用いて、 V LANタグを付加する。

続いて、 VLANタグ書換部 1 7による VL ANタグ書換処理及びアドレス変 換部 16によるアドレス変換処理が第 7図の設定情報を用いて行われるが、 本処 理は、 上述した実施の形態 1と同様であるため、 説明を省略する。

なお、 入力ネットワークが既に VLANタグが付加されているネットワークで ある場合、 VLANタグ書換部 1 7では、 既に付加されている VLANタグを確 認し、 適宜 VLANタグを書き換えるが、 共通の装置宛ではない通信パケットに ついては、 入力ネットワークと同じ仮想ネットワークに出力するようにしてもよ い （すなわち、 タグ書換処理を行わない） 。 この場合には、 第 6図は不要である 。 もちろん、 新しい仮想ネットワークに変換することも可能であり、 この場合に は、 VLANタグが第 6図或いは第 7図を用いて VLANタグを書き換えること となる。

なお、 そうした送出先仮想ネットワークの決定を、 V L ANタグ付加部 15が 、 任意に行うようにしてもよい。 すなわち、 通信パケットをネットワーク毎に V LANに振り分けるカゝ （ネットワーク 2 aからの通信は仮想ネットワーク 5 aへ 、 ネットワーク 2 bからの通信は仮想ネットワーク 5 bへ振り分ける。 ） 、 もと の仮想ネットワーク （2 a, 2 b) のままにするかを決定するようにする。 更に、 中継装置 7に接続されるネットワークに、 実ネットワークと仮想ネット ワークの双方が存在していても、 上述した手法を用いることによって、 適切なネ ットワーク中継を行うことができる。 実施の形態 3. 本実施の形態では、 上述した中継装置の機能のうち、 V L ANタグ付加部の機 能を有する部分と、 ァドレス変換部と V L A Nタグ書換部の機能を有する部分と をそれぞれ別な装置として設備し、 ネットワーク中継を行う場合を例にとり説明 する。

第 8図は、 本実施の形態を簡略的に示した図である。

中継装置以外は、 第 1図と同様である。 第 1図での中継装置 7は、 第 8図の中 継装置 7 aと、 アドレス変換装置 7 bとに相当する。 図示されるように、 中継装 置 7 aは、 入出力部 1 1 aと、 記憶部 1 3 aと、 V L ANタグ付加部 1 5とから 構成されている。 了ドレス変換装置 7 bは、 入出力部 1 1 bと、 記憶部 1 3 bと 、 アドレス変換部 1 6と、 V L A Nタグ書換部 1 7とから構成されている。 以上の構成を用いて、 本実施の形態の手法を詳細に説明する。

中継装置 7にネットワーク 1 a或いは 1 bから通信バケツトが入力されるまで の処理は、 実施の形態 1と同様であるため説明を省略する。 中継装置 7 aに通信 バケツトが入力されると、 該入力された通信バケツトに V L ANタグ付加部 1 5 が記憶部 1 3 aに記憶された設定情報に基づいて V L ANタグを付加する。 該設 定情報は、 第 2図と同様である。 V L ANタグが付加された時点で、 入出力部 1 1 aから通信バケツトが出力される。

中継装置 7 aから出力された通信バケツトは、 仮想ネットワーク上に出力され 、 この時にアドレス変換装置 7 aに入力される。 なお中継装置 7 aから出力され た通信バケツトは全て、 ー且ァドレス変換装置 7 bで処理される。 ァドレス変換 装置 7 bの V L ANタグ書換部 1 7は、 記憶部 1 3 bに記憶された設定情報に基 づき、 通信パケットの宛先が共通にアクセスする装置 6の場合には、 V L ANタ グを仮想ネットワーク 5 cに書き換え、 ァドレス変換部 1 6は、 送信元ァドレス を仮想ネットワーク 5 cのァドレスに変更する。 該設定情報の一例を第 9図に示 す。 なお、 宛先が共通の装置 6でない場合には、 アドレス変換装置 7 bでは何の 処理もなされない。

これにより、 装置 6への通信バケツトは、 仮想ネットワーク 5 cとして他のネ ットワークから分離され、 ネットワーク 1 a或いはネットワーク 1 bから装置 6 へアクセスすることができる。 装置 6から送信元への通信バケツトは、 ァドレス変換装置 7 bに戻ってくるた め、 アドレス変換部 16は第 9図のデータを参照して、 元の送信元アドレスに宛 先を書き換え、 仮想ネットワーク 5 a， 5 bに出力される。 この時点では VLA Nタグは消去されない。 通信パケットが仮想ネットワークを介して中継装置 7 a に入力された時点で、 V LANタグ付加部 15が V LANタグを消去し、 入出力 部 1 1 aから元のネットワーク 1 aまたは 1 bへ通信バケツ卜が出力される。 このように、 アドレス変換部の機能を分離することにより、 通過性能が向上す る。 特に大規模ネッ トワークの接続点では、 高通過性能が求められるが、 ァドレ ス変換など中継装置に負荷のかかる処理が通過性能低下の原因となることがある ため、 そうした処理を外付けに設備することにより、 通過性を高く維持すること が可能となる。 実施の形態 4.

本実施の形態は、 実施の形態 3とほぼ同様の構成であるが、 接続されているネ ットワークが仮想ネットワークである場合を示している。 すなわち、 接続されて いるネットワークが既に仮想ネットワークなので、 共通の装置宛ではない通信パ ケットは、 入力ネットワークと同じ仮想ネットワークに出力することも可能であ る。 もちろん、 新しい仮想ネットワークに変換することも可能である。

第 10図は、 本実施の形態を簡略的に示した図である。

中継装置 7 cは、 VLANタグ付加部 1 5と第 1 VLANタグ書換部 1 7 aと 力 構成される。 また、 アドレス変換装置 7 dはアドレス変換装置 16と第 2 V LANタグ書換部 17 bとから構成される。 なお、 第 1 VLANタグ書換部 17 a及び第 2 VLANタグ書換部 17 bは、 上述の実施の形態の V LANタグ書換 部 17と同様の処理を行うこととする。

中継装置 7 cの VLANタグ付加部 15は、 入力された通信バケツ卜に既に V LANタグが付加されている力否かを確認する。 図中のネットワーク 2 a及び 2 bが既に VLANタグが付加された仮想ネットワークであれば、 VLANタグが 付カ卩されているものとされ、 付加処理は行われない。 ここで、 入力ネットワーク と同じ仮想ネットワークに出力する場合には、 VLANタグの書換は行うことは ないが、 別の仮想ネットワークに出力する場合には、 第 1 V L A Nタグ書換部 1 7 aによりタグの書換を行う。 本書換処理は、 例えば、 記憶部 1 3 aに記憶され た第 6図のテーブルを用いて書き換えられる。

また、 入力ネットワークが V L ANタグを用いない仮想ネットワークである場 合には、 同様に、 記憶部 1 3 aに記憶された第 6図の設定情報を用いて、 V L A Nタグを付加する。

V L ANタグ付加及び書換処理が行われると、 通信バケツトは仮想ネットヮー クに出力される。 続いて、 通信パケットはアドレス変換装置 7 dに入力されるが 、 以降の処理は、 実施の形態 3と同様であるため、 説明を省略する。

なお、 中継装置 7に接続されるネットワークに、 実ネットワークと仮 ¾|ネット ワークの双方が存在していても、 上述した手法を用いることによって、 適切なネ ットワーク中継を行うことができる。 実施の形態 5 .

本実施の形態では、 上述した実施の形態の中継装置にユーザ認証の機能を持た せた場合を例にとり詳細に説明する。 すなわち、 ユーザ認証機能を中継装置に統 合し、 I S Pや組織と共通にアクセスする装置の仮想ネットワークに分離収容し て、 該装置へのアクセスを可能にする。

第 1 1図は、 本実施の形態を簡略的に示した図である。 本図に示された中継装 置 7 eは、 実施の形態 1に示された中継装置 7に認証部 1 4が付加された構成と なっている。

中継装置 7 eでは、 接続されているユーザ端末 1 2 a， 1 2 bからの接続要請 を受信すると、 認証部 1 4で接続の可否を確認し、 認証が取れた端末からの通信 バケツトのみ取り扱う。 認証が取れた端末からの通信バケツトは、 I S Pゃネッ トワーク単位で V L ANに収容するため、 上述の実施の形態と同様に、 V L AN タグ付加処理及びアドレス変換処理を行う。 これ以降の処理は、 上述の実施の形 態と同様であるため、 説明を省略する。

具体的にホールセール事業者に適用した場合、 例えば、 第 4図に示されたホー ルセール事業者のネットワーク 3 0を例にとると、 中継装置に第 1 1図の中継装 置 7 eを適用すれば、 中継装置がユーザ端末から直接接続要請を受信して認証作 業を行うことができるため、 通信パケットをユーザ端末から即座に仮想ネットヮ ークに収容させることができ、 入力ネットワーク側の負荷が軽くなる。

なお、 上記認証部は、 本実施の形態では中継装置の内部に組み込まれるように したが、 別装置として外部に設備し連携するようにしてもよいのは言うまでもな レ、。 以上、 本発明の様々な実施の形態を説明したが、 本発明は上述した実施の形態 に限定されることはなく、 本発明の要旨を逸脱しない範囲において応用可能であ ることはもちろんである。

例えば、 本発明の中継装置は、 ネットワークインタフェースや形態に固定観念 はなく、 1つまたは、 複数のネットワークインタフェースを持つスイッチングハ ブゃノヽブのような形態から、 1つまたは複数のポートを持つコンピュータとその ソフトウェアといった形態でも構成可能である。 すなわち、 詳述した機能をコン ピュータ上で実行するためのプログラムを、 例えば中継装置の記憶部等にインス トールしておき、 或いは接続されたネットワークからダウンロードする等の処理 を行い、 実行するようにしてもよい。 具体的には、 中継装置に備えられたハード ディスク等の記憶媒体 （上述した実施の形態では記憶部に相当する） や、 その他 のコンピュータにより読取り可能な媒体、 例えば C D— R O Mやフレキシブルデ イスク、 D V Dディスク、 光磁気ディスク、 I Cカード等の可搬型記憶媒体や、 コンピュータプログラムを保持するデータベース、 或いは、 他のコンピュータ並 びにそのデータベースや、 更に回線上の伝送媒体 （全て図示せず） からプロダラ ムを取得し、 実行することでネットワーク中継を行うようにする。

また、 入出力ネットワークと本発明における中継装置との関係は、 単なるハブ ゃスィツチ、 ブリッジ的な関係から、 ネットワーク間のルータとなる関係、 ルー ティングは行わなレ、が特定ァプリケーシヨンのゲートウェイとなる関係でも問題 はない。 よってルータに本中継機能を実装することも可能である。

更に、 ネットワークインタフェースは、 入力と出力が対になる必要はなく、 仮 想ネットワークによって 1つのインタフェースに複数の入出力ネットワークを構 成することが可能である。

更に、 入力側ネットワークは、 1つまたは複数のネットワークだけでなく、 1 つまたは複数の仮想ネットワーク、 または実ネットワークと仮想ネットワークの 混在も可能である。 そして識別子やインタフェースなどによってネットワークが 識別可能であれば、 各入力ネットワークのァドレスが重複していても問題はない

。 また複数の入力ネットワークを 1つのネットワークとして极うことも可能であ る。

一方、 出力側ネットワークも、 1つまたは複数のネットワークだけでなく、 1 つまたは複数の仮想ネットワーク、 または実ネットワークと仮想ネットワークの 混在も可能である。 また、 識別子やインタフェース等によってネットワークが識 別可能であれば、 各出力ネットワークのァドレスが重複していても問題はない。 なお、 V L AN振り分けは、 タグ V L ANだけでなく、 ポート V L ANとする ことも可能である。 また V L ANに振り分けず 1つまたは複数のネットワークに 振り分けて出力することも可能である。

更に、 ルーティング機能を動作させない場合であれば、 入力ネットワーク間の アクセスを禁止することが可能である。 産業上の利用の可能性

以上説明したように、 本発明によれば、 異なるネットワークからの通信バケツ トを、 セキュリティを確保した出力ネットワークに分離して収容することが可能 となる。 更に、 この状態において、 各入力ネットワークから共通の装置にァクセ スが可能となるので、 企業や学校、 ホールセール事業者や I S Pなど、 ネットヮ ーク間アクセスを禁止しセキュリティを確保すべき複数のネットワークが存在す る環境において、 共通の装置からサービスを提供することができる。 また、 共通 の装置は、 一つのアドレスが与えられればアクセスが可能となるので、 1つまた は複数の D N Sサーバ等に対し複雑な設定をする必要がなくなるというメリット がある。 更に、 共通装置へのアクセスは、 外部ネットワークを経由することなく 直接行われるので、 セキュリティが確保されるほか、 品質の低い外部ネットヮー クを経由することによるァクセス品質の低下を防ぐことができる。

Claims

1. 複数のネットワークと接続されたネットワーク中継装置であって、 前記複数のネットワークのうち、 いずれかのネットワークから通信パケットが 入力された場合、 該通信パケットの所定の情報に基づいて、 該通信パケットに対 請

して所定の V L A Nタグに関する処理を行う V L A Nタグ処理手段と、

前記所定の情報に基づいて、 前記通信バケツトの送信元のアドレスを変換する の

第 1アドレス変換手段と、

少なくとも前記 VLANタグ処理手段による処理、 或いは前記第 1アドレス変 換手段によるァドレス変換のいずれかがなされた囲通信バケツトを所定の仮想ネッ トワークに出力する第 1出力手段とを備えてなるネットワーク中継装置。

2. 請求の範囲第 1項に記載のネットワーク中継装置において、

前記 VLANタグ処理手段は、 前記入力された通信パケットに、 所定の VLA Nタグを付加する V L A Nタグ付加手段を備えてなるネットワーク中継装置。

3. 請求の範囲第 1項に記載のネットワーク中継装置において、

前記 VLANタグ処理手段は、 前記入力された通信バケツトの送信元ネットヮ —クが、 VLANタグを用いた仮想ネットワークである場合に、 前記入力された 通信パケットに既に付加されている V L A Nタグを所定の VLANタグに書き換 える第 1VLANタグ書換手段を備えてなるネットワーク中,継装置。

4. 請求の範囲第 1項に記載のネットワーク中継装置において、

前記所定の情報は、 少なくとも前記通信パケットの送信元ネットワーク或いは 宛先に関する情報のいずれかであるネットワーク中継装置。

5. 請求の範囲第 3項に記載のネットワーク中継装置において、

前記 V L ANタグ付加手段は、 前記通信パケットの宛先が前記複数のネットヮ ークにより共通にアクセスされる装置である場合、 該装置に対応する V L ANタ グを前記通信パケットに付加するネットワーク中継装置。

6 . 請求の範囲第 3項に記載のネットワーク中継装置において、

前記第 1ァドレス変換手段は、 前記通信パケットの宛先が前記複数のネットヮ ークにより共通にアクセスされる装置である場合は、 該装置に对応するネットヮ ークを送信元ネットワークとしたァドレスに前記通信バケツトの送信元のァドレ スを変換するネットワーク中継装置。

7 . 請求の範囲第 1項に記載のネットワーク中継装置において、

前記第 1アドレス変換手段は、 所定の外部装置内に設けられ、

該外部装置には更に、

前記第 1出力手段により出力された通信パケットを入力する入力手段と、 前記入力手段により入力された通信バケツトの前記所定の情報に基づいて、 前 記入力された通信バケツトに既に付加されている V L A Nタグを所定の V L AN タグに書き換える第 2 V L ANタグ書換手段と、

少なくとも前記 V L A Nタグ処理手段による処理、 或いは前記第 1アドレス変 換手段によるァドレス変換のいずれかがなされた通信バケツトを前記所定の仮想 ネットワークに出力する第 2出力手段とを備え、

前記第 1ァドレス変換手段は、 前記入力手段により入力された通信バケツトに 対して、 送信元ァドレス変換を行うネットワーク中継装置。

8 . 請求の範囲第 1項に記載のネットワーク中継装置において、

前記第 1ァドレス変換手段による変換後のァドレス及び変換前のァドレスを対 応付けて記憶する記憶手段と、

前記記憶手段に記憶されたデータに基づいて、 前記通信バケツ卜に対する返信 バケツトの宛先を変換する第 2アドレス変換手段を備えてなるネットワーク中継

9. 請求の範囲第 7項に記載のネットワーク中継装置において、 前記第 2アドレス変換手段は、 前記通信バケツトに対する返信バケツトの宛先 を、 前記記憶手段に記憶された変換前のァドレスに変換するネットワーク中継装

10. 請求の範囲第 7項に記載のネットワーク中継装置において、

前記記憶手段と前記第 2アドレス変換手段は所定の外部装置内に設けられてい るネットワーク中継装置。

1 1. 請求の範囲第 1項に記載のネットワーク中継装置において、

前記複数のネットワークは、 仮想ネットワークを含むネットワーク中継装置。

12. 請求の範囲第 1項に記載のネットワーク中継装置において、 更に、 前記複数のネットワークのうち、 いずれかのネットワークから通信バケツトが 入力された場合、 該通信パケットの送信元のユーザを送信元ネットワーク毎に認 証する認証手段を備え、

前記第 1出力手段は、 前記認証手段により認証された場合にのみ、 前記通信パ ケットを出力するネットワーク中継装置。

13. 複数のネットワークのうち、 いずれかのネットワークから通信パケットが 入力された場合、 該通信パケットの所定の情報に基づいて、 該通信パケットに対 して所定の V L A Nタグを付加する V L A Nタグ付加ステップと、

前記通信バケツトに既に VLANタグが付加されている場合に、 前記所定の情 報に基づいて該 V LANタグを書き換える VLANタグ書換ステツプと、 前記所定の情報に基づいて、 前記通信パケットの送信元のアドレスを変換する 第 1ァドレス変換ステップと、

少なくとも前記 VLANタグ付加ステップ、 前記 VLANタグ書換ステップ、 或レ、は前記ァドレス変換ステップのいずれかのステップにおける処理がなされた 通信バケツトを所定の仮想ネットワークに出力する出力ステップとを備えてなる ネットワーク中継方法。

14. 請求の範囲第 13項に記載のネットワーク中継方法において、

前記通信バケツトの宛先が前記複数のネットワークにより共通にアクセスされ る装置である場合、 前記 VLANタグ付加ステップにより付加された VLANタ グ、 或いは前記 VLANタグ書換ステップにより変換された VLANタグは、 該 装置に対応する VLANタグとなるネットワーク中継方法。

15. 請求の範囲第 13項に記載のネットワーク中継方法において、

前記第 1ァドレス変換ステツプは、 前記通信パケットの宛先が前記複数のネッ トワークにより共通にアクセスされる装置である場合は、 該装置に対応するネッ トワークを送信元ネットワークとしたァドレスに前記通信バケツ卜の送信元のァ ドレスを変換するネットワーク中継方法。

16. 請求の範囲第 13項に記載のネットワーク中継方法において、 更に、 前記第 1ァドレス変換ステップによる変換後のァドレス及び変換前のァドレス を対応付けて所定の記憶領域に記憶する記憶ステツプと、

前記通信バケツ卜に対する返信バケツトを入力した場合、 前記記憶領域に記憶 されたデータに基づいて、 前記通信バケツトに対する返信バケツトの宛先を変換 する第 2アドレス変換ステップを備えてなるネットワーク中継方法。

17. コンピュータにより読取り可能な媒体に記憶され、 ネットワーク中継処理 をコンピュータに実行させるネットワーク中継用プログラムであって、

複数のネットワークのうち、 いずれかのネットワークから通信バケツ卜が入力 された場合、 該通信パケットの所定の情報に基づいて、 該通信パケットに対して 所定の V L A Nタグを付加する V L A Nタグ付加ステップと、

前記通信バケツトに既に VLANタグが付加されている場合に、 前記所定の情 報に基づいて該 VLANタグを書き換える VLANタグ書換ステップと、 前記所定の情報に基づいて、 前記通信バケツトの送信元のアドレスを変換する 第 1ア ドレス変換ステップと、

少なくとも前記 V L ANタグ付カ卩ステップ、 前記 V L ANタグ書換ステップ、 或レ、は前記ァドレス変換ステップのレ、ずれかのステップにおける処理がなされた 通信バケツトを所定の仮想ネットワークに出力する出力ステップとをコンビユー タに実行させるネットワーク中継用プログラム。

1 8 . 請求の範囲第 1 7項に記載のネットワーク中継用プログラムにおいて、 前記通信バケツトの宛先が前記複数のネットワークにより共通にアクセスされ る装置である場合、 前記 V L ANタグ付加ステップにより付加された V L ANタ グ、 或いは前記 V L ANタグ書換ステップにより変換された V L A Nタグは、 該 装置に対応する V L A Nタグとなるネットワーク中継プログラム。

1 9 . 請求の範囲第 1 7項に記載のネットワーク中継用プログラムにおいて、 前記第 1ァドレス変換ステップは、 前記通信パケットの宛先が前記複数のネッ トワークにより共通にアクセスされる装置である場合は、 該装置に対応するネッ トワークを送信元ネットワークとしたァドレスに前記通信バケツ卜の送信元のァ ドレスを変換するネットワーク中継用プログラム。

2 0 . 請求の範囲第 1 7項に記載のネットワーク中継用プログラムにおいて、 更 に、

前記第 1ァドレス変換ステップによる変換後のァドレス及び変換前のァドレス を対応付けて所定の記憶領域に記憶する記憶ステップと、

前記通信バケツトに対する返信バケツトを入力した場合、 前記記憶領域に記憶 されたデータに基づいて、 前記通信バケツトに対する返信バケツトの宛先を変換 する第 2アドレス変換ステップとをコンピュータに実行させるネットワーク中継 用プログラム。