WO2005083959A1

WO2005083959A1 - ネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体

Info

Publication number: WO2005083959A1
Application number: PCT/JP2005/003215
Authority: WO
Inventors: Norihito Fujita; Yuichi Ishikawa; Akio Iijima
Original assignee: Nec Corporation
Priority date: 2004-03-01
Filing date: 2005-02-25
Publication date: 2005-09-09
Also published as: TW200601752A; JPWO2005083959A1; JP4600394B2

Abstract

　ＬＡＮ内ノードとターゲット網内ノードとの間のパケットを途中でＮＡＴせずに、ＬＡＮ内ノードが、利用するターゲット網に応じてソースＩＰアドレスを選択してターゲット網内ノードと通信を行うことを可能にするネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体を提供する。　ネットワークアクセスルータＢ１は、配下の端末とターゲット網Ｄ１、Ｄ２との間の通信に対応するパケットを、前記ノードと自ルータとの間の区間において、端末Ａ１１と自ルータとの間に確立された通信トンネル上を転送させるために、自ルータにおける設定とノードにおける設定とを行うターゲット網接続設定部を備えているので、ネットワークアクセスルータＢ１は、端末Ａ１１からのターゲット網接続要求に応じて、自ノードにおいて設定を行うとともに、端末Ａ１１において実行されるべき設定スクリプトを生成してその設定スクリプトを端末Ａ１１に応答して実行させる。

Description

明細書

ネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体

技術分野

[0001] 本発明は、ネットワークアクセスルータ、ネットワークアクセス方法、ネットワークァクセスルータのプログラム（以下「プログラム」という）、及び記録媒体に関し、特に、家庭やオフィス、さらには、ホットスポット（IEEE802. l ib等の無線 LANを設置し、インタ一ネット接続サービスを提供している店舗や公共施設）、マンション、オフィスビルディング等の LAN (Local Area Network)内に存在するノードからのインターネットァクセスゃ企業網等へのリモートアクセス (モデム等の公衆回線を経由して外部カゝら LAN に接続し、 LAN上の資源を利用すること）に利用されるネットワークアクセスルータ、ネットワークアクセス方法、プログラム、及び記録媒体に関する。

背景技術

[0002] 従来のネットワークアクセスルータは、家庭やオフィス、さらには、ホットスポット、マンシヨン、オフィスビルディング等の LAN内に存在するノードを、インターネットアクセスや VPN (Virtual Private Network:仮想閉域網）リモートアクセスを行わせるためのァクセスルータとして利用されている。

[0003] この種のネットワークアクセスルータは、インターネットや VPN (以下ターゲット網）と PPP (Point-to-Point Protocol: 2地点間を直結して WANで構成するためのプロトコル）、 L2TP (Layer 2 Tunneling Protocol:インターネット経由で VPNを構築する場合ムズ社の L2Fとを一本ィ匕したもの）、 IPsec (TCPZlP通信に、認証の機能と暗号ィ匕の機能とを追加してパケットの改ざんやなりすまし、盗聴に対する対策とするもの）、 I EEE802. lx等のプロトコルを利用してターゲット網への接続を行う。また、ターゲット網とイーサネット (登録商標)等のリンクとで直接接続される場合もある。ターゲット網への接続を行う際に用いられる IPアドレスやターゲット網内の DNSサーバアドレス等は、 PPP等のプロトコル手順内で払い出される力あるいは DHCP (Dynamic Host Configuration Protocol:ネットワーククライアントにおける TCP/IP関連の設定を自動化するための仕組み）等のプロトコルによって払い出され、ネットワークアクセスルータの WAN側インターフェースに設定される。

[0004] ネットワークアクセスルータの LAN側においては、プライベート IPアドレスが利用され、 LAN内のノードが送信したパケットがネットワークアクセスルータから WANへ転送される際は、ネットワークアクセスルータの WAN側インターフェースに設定された I Pアドレスにソース IPアドレスが NAT (Network Address Translation: LANをインターネット接続する際に、 LAN側で使用されているプライベート IPアドレスを、インターネット側で割り当てを受けたグローバル IPアドレスに変換する技術)されるのが一般的である。

[0005] また、 PPP接続や IPsec接続等を複数同時に確立することにより、複数のターゲット網への接続を同時に行うことができるネットワークアクセスルータも存在する。この場合は、接続ごとに払い出された IPアドレスがネットワークアクセスルータの WAN側ィンターフェースに設定され、転送する先のターゲット網に応じて LAN内ノード力のパケットに対して NATされるソース IPアドレスが使い分けられる。

上記のように、現状用いられているネットワークアクセスルータでは、ターゲット網から払、だされた IPアドレスにソース IPアドレスを NATするのが一般的である力利用するアプリケーションによっては NATを経由させることによって通信ができなくなる等の問題がある。ストリーミングゃ IP電話等で用いられる通信プロトコルがその代表例であり、 NAT経由でも通信が可能となるよう、アプリケーション側あるいは NAT側にお V、てさまざまな対応がなされて、る。

[0006] しかしながら、全てのプロトコルに対して NAT経由でも通信ができるように対応するのは非現実的であり、途中で NATを行うことなくターゲット網との通信を行える環境が望まれている。ネットワークアクセスルータ配下のノードとターゲット網内のノードとが途中で NATされることなく通信を行うための 1つの仕組みとして、 PD (Prefix Delegation)方式が IPv6におけるアドレス払い出し方式として提案されている。 PD方式では、ターゲット網からネットワークアクセスルータに対して 2001:260:0:1::/64等の I Pアドレスプレフィクスを払い出し、ネットワークアクセスルータが払い出された IPアドレスプレフィクスから作られる個別の IPアドレス（例えば、

2001 :260:0: 1:200:4cff:fe23:9ed2)を RA (Router Advertisement:ルータが自分につながって、る Ipv6対応マシン等に対してネットワーク設定情報を知らせる仕組み)や D HCPv6等の方式を用いて LAN内のノードに対して払い出す。これにより、 LAN内のノードは、ターゲット網から払い出されたアドレスをソース IPアドレスとして、 NATを経由せずにターゲット網内のノードと通信することが可能となる（例えば、特許文献 1 参照)。

特許文献 1 :特許第 3153173号明細書 (第 5頁、図 1)

発明の開示

発明が解決しょうとする課題

[0007] ところで、上述した従来技術には、ネットワークアクセスルータにおいて NATをせずに、 LAN内ノードに対してターゲット網の IPアドレスを直接払い出す場合、 LAN内ノードは複数のターゲット網への接続を同時に行うことができないという問題があった。従来の NATを用いたターゲット網へのアクセス方式の場合、 LAN内ノードは、ネットワークアクセスルータ配下だけで利用可能なプライベートアドレスを割り当てられて V、た。この方式でネットワークアクセスルータが複数のターゲット網へ接続して、る場合は、ネットワークアクセスルータにおいて、 LAN内ノードからターゲット網側へ送信されたパケットの宛先 IPアドレスをみてそのパケットを転送すべき先のターゲット網を決定し、対応するターゲット網から払、だされた IPアドレスにソース IPアドレスを NAT して送信することにより、複数のターゲット網の使い分けが実現できた。

これに対し、 PD方式を用いて LAN内ノードに対してターゲット網の IPアドレスを直接払い出す場合、途中で NATを行わないため、 LAN内ノードに対して複数の IPァドレスを払い出し、 LAN内のノードが利用するターゲット網に応じてソース IPアドレスを選択してパケットを送信しなければならない。

[0008] しかしながら、ネットワークルータから LAN内ノードに対して IPアドレスを払い出すために用いられる RAや DHCPv6といった従来の方式では、 LAN内ノードに対して複数の IPアドレスを払い出すことはできない。 LAN内ノードが複数のインターフエ一スをもっていれば、インターフェースごとに IPアドレスを持つことが可能ではある力 R Aや DHCPv6等の従来方式では LAN内ノードのインターフェースごとに IPアドレスを選択して払い出すといった動作はできず、また、ネットワークアクセスルータ配下の LANに接続されるノードは、 PCやプリンタ等が主であり、一般的には 1つのインターフェースし力もっていない。そのため、従来方式では複数のターゲット網を同時に利用できな!/、と!/、う問題点があった。

そこで、本発明の目的は、 LAN内ノードとターゲット網内ノードとの間のパケットを途中で NATせずに、 LAN内ノードが、利用するターゲット網に応じてソース IPァドレスを選択してターゲット網内ノードと通信を行うことを可能にするネットワークアクセスルータ、ネットワークアクセス方法、ネットワークアクセスルータのプログラム、及び記録媒体を提供することにある。

課題を解決するための手段

[0009] 上記課題を解決するために、請求項 1記載の発明は、配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータであって、前記ノードと前記ターゲット網のうちいずれか 1つ以上との間の通信に対応するパケットを、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に確立された通信トンネル上を転送させることを特徴とする。

[0010] 請求項 2記載の発明は、請求項 1記載の発明において、前記通信トンネルは、前記ネットワークアクセスルータ自体が前記ノードに対して提供する設定スクリプトを前記ノードに実行させることによって確立されることを特徴とする。

[0011] 請求項 3記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータであって、前記ノードと前記ターゲット網のうちいずれか 1 つ以上との間の通信に対応するパケットを、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に確立された通信トンネル上を転送させるために、前記ネットワークアクセスルータ自体における設定と前記ノードにおける設定とを行うターゲット網接続設定部を備えることを特徴とする。

[0012] 請求項 4記載の発明は、請求項 3記載の発明において、前記通信トンネルは、前記ノードが通信する前記ターゲット網に対して、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、個別に設定されることを特徴とする。

[0013] 請求項 5記載の発明は、請求項 3または 4記載の発明において、前記ターゲット網接続設定部は、前記ノードと前記ターゲット網のうちいずれか 1つ以上との間の通信に対応するパケットを、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に確立された通信トンネル上を転送させるための、前記ネットワークアクセスルータ自体および前記ノードにおける設定に必要なパラメータを保持すルータゲット網接続ポリシ管理部と、前記ネットワークアクセスルータ自体における LAN側インターフェースに対してトンネリングインターフェースの設定を行うインターフェース設定部と、前記ネットワークァクセスルータ自体におけるルーティングテーブルに対してエントリの設定を行うルーティング設定部と、前記ノードにぉヽて前記通信トンネルを確立させるために実行させる設定スクリプトを作成する設定スクリプト作成部とを備えることを特徴とする。

[0014] 請求項 6記載の発明は、請求項 5記載の発明において、前記ノードにおいて前記通信トンネルを確立させるために実行させる前記設定スクリプトは、前記ノードにおいて、前記通信トンネルを終端するトンネリングィンターフェースの作成と、前記通信トンネルを経由して接続される前記ターゲット網に対応する IPアドレスの前記トンネリングインターフェース上に対する割り当てと、前記ターゲット網へのパケットに対して、対応する前記通信トンネルを経由させるためのルーティングテーブルの設定とに対応するコマンドを含むことを特徴とする。

[0015] 請求項 7記載の発明は、請求項 6記載の発明において、前記作成されたトンネリングィンターフェース上に割り当てられる、前記通信トンネルを経由して接続される前記ターゲット網に対応する IPアドレスは、 IPv6アドレスであり、前記 IPv6アドレスの下位

64ビットを、前記ノードの物理インターフェースの MACアドレスから自動的に生成することを特徴とする。

[0016] 請求項 8記載の発明は、請求項 6または 7記載の発明において、前記ターゲット網へのパケットに対して、対応する前記通信トンネルを経由させるためのルーティングテーブルの設定において、予め前記ノードにおいて DHCPまたは RAによって自動設定されて、るデフォルトルートを、前記自動設定されたデフォルトルートのメトリックよりも小さい値のメトリックを指定することによって上書きし、デフォルトルートとして前記通信トンネルを経由させることを特徴とする。

[0017] 請求項 9記載の発明は、請求項 3から 8のいずれか 1項記載の発明において、前記通信トンネルは、 IPv6 over IPv4トンネリングプロトコルなどの、アウターヘッダにおける IPアドレスによって前記通信トンネルの識別が行われるプロトコルであり、前記ノードと前記ネットワークアクセスルータ自体との間で複数の前記通信トンネルを使用するために、前記ネットワークアクセスルータ自体の LAN側インターフェースにお!/ヽて、エイリアスアドレスを用い、前記通信トンネルに応じて、前記通信トンネルのァウタ一ヘッダにおける前記ネットワークアクセスルータ自体側の IPアドレスを使、分けることを特徴とする。

[0018] 請求項 10記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータであって、前記ノードからの、前記ノードと前記ターゲット網のうちいずれか 1つ以上との間の通信要求を受け付けるための Web画面を提供し、前記ノードが前記 Web画面に対して前記ノードと前記ターゲット網のうちいずれか 1 つ以上との間の通信要求を行うことによって前記ノードと前記ターゲット網のうちいずれカ 1つ以上との間の通信を可能とすることを特徴とする。

[0019] 請求項 11記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータであって、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ターゲット網の間の通信に対応するパケットを、前記ノードが通信を行って、る前記ターゲット網に応じて異なる通信トンネルを用いて転送することを特徴とする。

[0020] 請求項 12記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのアクセス方法であって、前記ノードと前記ネットワークァクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に通信トンネルを確立し、前記ノードと前記ターゲット網のうちいずれか

1つ以上との間の通信に対応するパケットを、前記通信トンネル上に転送させることを特徴とする。

[0021] 請求項 13記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのアクセス方法であって、前記ノードと前記ネットワークァクセスルータ自体との間の区間において、前記ノードと前記ターゲット網の間の通信に対応するパケットを、前記ノードが通信を行っている前記ターゲット網に応じて異なる通信トンネルを用いて転送することを特徴とする。

[0022] 請求項 14記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムであって、ターゲット網接続設定部に、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に通信トンネルを確立する手順 Aと、前記ノードと前記ターゲット網のうちいずれか 1つ以上との間の通信に対応するパケットを、前記通信トンネル上に転送させる手順 Bとを実行させることを特徴とする。

[0023] 請求項 15記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムであって、ターゲット網接続設定部に、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードが通信を行っている前記ターゲット網に応じて異なる通信トンネルを確立する手順ひと、前記ノードと前記ターゲット網の間の通信に対応するパケットを、前記異なる通信トンネルを用いて転送する手順 βとを実行させることを特徴とする。

[0024] 請求項 16記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムを記録した記録媒体であって、ターゲット網接続設定部に、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に通信トンネルを確立する手順 Aと、前記ノードと前記ターゲット網のうちいずれ力 1つ以上との間の通信に対応するパケットを、前記通信トンネル上に転送させる手順 Bとを実行させるプログラムを記録したことを特徴とする。

[0025] 請求項 17記載の発明は、配下の LANに接続されているノードと、前記ノードがァクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムを記録した記録媒体であって、ターゲット網接続設定部に、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードが通信を行って、る前記ターゲット網に応じて異なる通信トンネルを確立する手順 αと、前記ノードと前記ターゲット網の間の通信に対応するパケットを、前記異なる通信トンネルを用いて転送する手順 βとを実行させるプログラムを記録したことを特徴とする。

[0026] 本発明のネットワークアクセスルータは、上記の構成、動作を行うことにより、 LAN 内ノードであるノードとターゲット網との間の通信を、ノードとネットワークアクセスルータ自体 (以下「自ルータ」 t ヽぅ。）との間で確立された通信トンネル経由で行わせることができる。この通信トンネルは、ノードが通信するターゲット網に応じた数だけ確立することができ、ノードにおいて通信トンネルを終端するトンネリングィンターフェースに各ターゲット網力も払い出された IPアドレスを直接割り当てることができる。したがつて、ノードが複数のターゲット網と通信する環境下においても、ノードとターゲット網の間の通信を、途中で NATをすることなく行うことが可能となり、したがって本発明の目的を達成できる。

発明の効果

[0027] 本発明の効果として、 LAN内ノードとターゲット網内ノードとの間のパケットを途中で NATせずに、 LAN内ノードが、利用するターゲット網に応じてソース IPアドレスを選択してターゲット網内ノードと通信を行わせることを実現できることが挙げられる。その理由は、本発明のネットワークアクセスルータは、配下の LAN内ノードから、配下の LAN内ノードがターゲット網へアクセスするための要求を受け付け、その要求に対し、自ルータの LANインターフェース上にトンネリングィンターフェースの作成を行い、そのターゲット網からその LAN内ノードへ向けられたパケットを自ルータとその L AN内ノードとの間における対応する通信トンネル上へ転送するようにルーティングテ一ブルの設定を行う。さらに本発明のネットワークアクセスルータは、 LAN内ノードと該ターゲット網との間のパケットが自ルータと LAN内ノードとの間において対応する通信トンネル上で行われるように、 LAN内ノードにおいて各ターゲット網との通信に用いるトンネリングィンターフェースの作成、トンネリングィンターフェースへの各ターゲット網から払、だされた IPアドレスの割り当て、およびルーティングの設定を行うスタリブトを LAN内ノードに対して応答し、 LAN内ノードにスクリプトを実行させるからである。

発明を実施するための最良の形態

[0028] 次に、本発明をネットワークアクセスルータに適用した場合の実施の形態について図面を参照して詳細に説明する。

図 1を参照すると、本発明の一実施の形態は、 LAN— A1と、アクセス網 C1と、ターゲット網 Dl、 D2との 3種類のネットワークを含む。 LAN— A1内には端末 Al lを含む 1つ以上の LAN内ノードが接続されている。 LAN— A1とアクセス網 C1の間にはネットワークアクセスルータ B1が配置され、 LAN内ノードはネットワークアクセスルータ B1 力も確立された通信トンネル Btl、 Bt2をそれぞれ経由してターゲット網 Dl、 D2に対して通信を行う。アクセス網 C1とターゲット網 Dl、 D2との間にはそれぞれアクセスサーバ Dl l、 D21が配置され、ネットワークアクセスルータ B1との間で確立される通信トンネルを終端する。ターゲット網 Dl、 D2だけでなぐアクセス網 C1も IP網である場合は、 LAN内ノードはアクセス網 C1に対してもターゲット網の 1つとして通信を行うことがでさる。

[0029] 以下ではアクセス網 C1も IP網であるとし、 LAN内ノードがアクセス網 C1内ノードと通信することも考える。また、アクセス網 C1およびターゲット網 Dl、 D2は IPv6網、 L AN— A1は IPv4ZlPv6デュアル網であるものとして説明を行う。

アクセスサーバ Dl l、 D21はそれぞれターゲット網 Dl、 D2とアクセス網 C1との境界に設置され、ネットワークアクセスルータ B1との間で確立される通信トンネル Btl、 Bt2をそれぞれ終端する。これらの通信トンネルは、ネットワークアクセスルータ BUS 下の LAN— A1内ノードとターゲット網 Dl、 D2内のノードが通信する際に経由される。通信トンネルの一例としては、 PPPoE (Point- to- Point Protocol over Ethernet (登録商標））、 L2TP、 IPsec等が挙げられる。

端末 Al lは、アクセス網 CIおよびターゲット網 Dl、 D2内のノードと通信を行う LA N— A1内のノードであり、 PC (Personal Computer)、携帯端末、ワークステーション、 I P電話機等が例に挙げられる。他にも、ルータやネットワークスィッチ等のネットワーク機器も例に挙げられるが、以下、このようなノードも含めて端末 Al lとして説明する。

[0030] 端末 Al lは IPアドレスとして、アクセス網 C1およびターゲット網 Dl、 D2に対して通信するための IPv6アドレスの他、 LAN— A1内で利用される IPv4アドレスをもつ。この IPv4アドレスは、端末 Al lのユーザが手動で設定してもよいし、ネットワークァクセスルータ B1または他のサーバの提供する DHCP (Dynamic Host Configuration Protocol)機能を用いて取得してもよい。端末 Al lは、アクセス網 C1およびターゲット網 Dl、 D2に対して通信するために、それぞれのネットワーク力払いだされた IPv6 アドレスをもたなければならない。本実施の形態では、以下の方法でそれぞれのネットワークから払いだされた 3つの IPv6アドレスを 1つの物理インターフェース上に割り当てる。

[0031] (1)アクセス網 C1の IPv6アドレス：物理インターフェース上に割り当てる。この IPv6ァドレスは、ネットワークアクセスルータ B1から RAまたは DHCPv6によって払い出される。ここで払い出される IPv6アドレスは、 PD方式によりアクセス網 C1からネットワークアクセスルータ B1に対して払い出された IPアドレスプレフィクスの範囲となる。

[0032] (2)ターゲット網 Dl、 D2の IPv6アドレス：端末 Al lの物理インターフェース上に作成されるトンネリングィンターフェース上に割り当てる。端末 Al lのユーザがネットワークアクセスルータ B1の Webサーバ部 Bl 1に接続し、 Webサーバ部 Bl 1から提供されるスクリプトを実行することにより、端末 Al lの物理インターフェース上において、トンネリングィンターフェースの作成、トンネリングィンターフェース上へのアドレス割り当て、ルーティングテーブルの設定を行う。割り当てる必要のある IPv6アドレスの数分だけトンネリングィンターフェースを作成することにより、任意の数のターゲット網に対して通信を行うことが可能となる。

[0033] 上記（2)の方式で端末 Al 1にお、て設定されるトンネリングィンターフェースの例としては、 IPv6 over IPv4トンネリングィンターフェース、 IPsecトンネリングィンターフェース、 PPTP (Point- to- Point Tunneling Protocol)トンネリングィンターフェース等が挙げられる。特に、 IPv6 over IPv4トンネリングィンターフェースは、 IPv4ネットワーク上で IPv6パケットの転送を行うためのプロトコルとして一般的に利用でき、現在広く用いられて、る OS (Operation System)であるマイクロソフト社の Windows (登録商標） XPにおいても標準機能として提供されている。

[0034] ネットワークアクセスルータ B1は、 Webサーバ部 B11とターゲット網接続設定部 B1 2とルーティングテーブル B13とインターフェースドライバ部 B14と WANインターフエース B15と LANインターフェース B16とを有する。この他、 LAN— A1内ノードに対して IPv4アドレス割り当てを行うための DHCPサーバ機能、 IPv6アドレス割り当てを行うための RA機能、アクセスサーバ Dl l、 D21へ通信トンネルを確立するためのトンネル設定機能等を備えるが、これらネットワークアクセスルータとして一般的な機能については公知なものとして説明を省くものとし、本発明に特徴的な機能についてのみ詳細に述べる。

[0035] Webサーバ部 B11は、端末 A 11から HTTP (Hyper Text Transfer Protocol : Web サーバと Webブラウザとの間で、 HTML文書をはじめとする Webコンテンツの授受のために使用されるプロトコルの名称）によって接続され、端末 Al lのブラウザ上にネットワークアクセスルータ B1における設定情報や設定変更画面等を表示する。 We bサーバ部 B11は、端末 Al lからのターゲット網 Dl、 D2への接続要求に対して、端末 Al 1がターゲット網 Dl、 D2と通信可能にするために端末 Al 1にお、て実行されるべき設定スクリプトを提供する。該設定スクリプトは、端末 Al lにおいてトンネリングインターフェースの作成、該トンネリングィンターフェース上へのアドレス割り当て、ル一ティングテーブルの設定を行うためのものである。

[0036] 端末 Al lは、 Webサーバ部 B11によって端末 Al lのブラウザ画面上でリンクをタリックする力、あるいは直接 URL (Universal Resource Locator)を指定することによって、これらのスクリプトを実行する。 Webサーバ部 B11は、端末 Al lからのターゲット網 Dl、 D2に対する接続要求を受け付け、該要求に対して端末 Al lに対して設定スクリプトを応答することができる機能を有するものであれば、 Web以外の他の機能で代用可能である力端末 Al lが汎用的に利用できるプロトコルとして Webが用いられるものとして以下説明する。

ターゲット網接続設定部 B12は、端末 Al lが、ネットワークアクセスルータ B1を経由しターゲット網 D1、D2に対して NATをせずに通信を行うための設定機能を有する。本設定機能は、端末 Al lに対する設定機能と、ネットワークアクセスルータ B1自身に対する設定機能とを含む。端末 Al lに対する設定は、先述のとおり、 Webサーバ部 Bl 1を経由して、端末 Al 1に設定スクリプトを実行させることによって行われる。ターゲット網接続設定部 B12は、その構成要素として、ターゲット網接続ポリシ管理部 B121と、インターフェース設定部 B122と、ルーティング設定部 B123と、端末設定スクリプト生成部 B 124とを含む。

[0037] ターゲット網接続ポリシ管理部 B121は、端末 Al lと、ターゲット網 Dl、 D2との間の通信を可能にするためのネットワークアクセスルータ B1および端末 Al 1における設定に必要なパラメータが管理されて、る。

インターフェース設定部 B122は、ネットワークアクセスルータ B1を経由しターゲット網 Dl、 D2に対して NATをせずに通信を行えるようにするために、インターフェースドライバ部 B 14に対して設定を行う。具体的には、端末 Al lとターゲット網 Dl、 D2との間の通信を、端末 Al 1とネットワークアクセスルータ B1との間の区間で通信トンネルを経由させるために、ネットワークアクセスルータ B1の LANインターフェース B16 にお、て、この通信トンネルを終端するトンネリングィンターフェースを作成するように要求を行う。設定に必要なパラメータは、ターゲット網接続ポリシ管理部 B121から取得する。

[0038] ただし、端末 Al lとネットワークアクセスルータ B1との間で PPPや IPsecのようなクライアントーサーバ型の通信トンネルが使われる場合は、ネットワークアクセスルータ B 1の LANインターフェース B16において通信トンネルごとにトンネリングィンターフェースを作成する必要はなぐ 1つのトンネリングィンターフェースで複数の通信トンネルを収容することが可能である。以下では、 IPv6 over IPv4トンネリングプロトコルのように通信トンネルごとにトンネリングィンターフェースを作成する必要のある、ピアツーピア型 (コンピュータとコンピュータとが主従の関係が無く対等に通信するネットヮ →)の通信トンネルが使われる場合にっ、て説明する。

[0039] ルーティング設定部 B123は、ネットワークアクセスルータ B1を経由しターゲット網 D 1、 D2に対して NATをせずに通信を行えるようにするために、ルーティングテーブル B13に対して設定を行う。具体的には、ターゲット網 Dl、 D2から端末 Al lへ転送されるパケットを、ネットワークアクセスルータ B1から端末 Al 1へ設定された対応する通信トンネル上へ転送するエントリを追加する。この設定に必要なパラメータは、ターゲット網接続ポリシ管理部 B121から取得する。

端末設定スクリプト生成部 B 124は、ネットワークアクセスルータ B 1を経由しターゲット網 Dl、 D2に対して NATをせずに通信を行えるようにするために、端末 Al lにおいて実行されるべきスクリプトを生成し、 Webサーバ部へ渡す。具体的には、端末 A1 1におけるトンネリングィンターフェースの作成と、トンネリングィンターフェース上へのアドレス割り当てと、ルーティングテーブルの設定とが挙げられる。設定スクリプト作成に必要なパラメータは、ターゲット網接続ポリシ管理部 B121から取得する。

[0040] ルーティングテーブル B 13は、ネットワークアクセスルータ B1における IPルーティングの設定情報が格納されているテーブルである。ルーティングテーブル B13は、ルーティング設定部 B123からエントリの設定を行うことができる。

インターフェースドライバ部 B14は、ネットワークアクセスルータ B1におけるインターフェースの管理を行う。インターフェースドライバ部 B14は、インターフェース設定部 B 122からの要求を受け付けと、実際にトンネリングィンターフェースの作成 Z削除と、トンネリングィンターフェースにおけるパラメータの設定とを行う。

[0041] WANインターフェース B15は、ネットワークアクセスルータ B1における WAN側の物理インターフェースである。ネットワークアクセスルータ B1は、 WANインターフエ一ス B15が提供するリンクによって、アクセス網 C1へ接続されている。また、 WANインターフェース B 15は、提供するリンク上で確立される通信トンネルのための仮想的なインターフェースとして、トンネリングィンターフェース B151、 B152を含んでヽる。ここでは、トンネリングィンターフェース B151、 B152はそれぞれ、通信トンネル Btl、 B t2を確立するための仮想インターフェースであり、ターゲット網 Dl、 D2との通信に用いられる。 WANインターフェース B 15は、ネットワークアクセスルータ B1が接続するターゲット網の数に応じて、任意の数のトンネリングィンターフェースをもつことが可能である。

[0042] LANインターフェース B 16は、ネットワークアクセスルータ B1における LAN— A1側の物理インターフェースである。ネットワークアクセスルータ B1は、 LANインターフエース B16が提供するリンクによって、 LAN— A 1へ接続されている。ここでは、トンネリングィンターフェース B161、 B162は、端末 Al lとネットワークアクセスルータ B1との間で通信トンネルを確立するための仮想的なインターフェースであり、それぞれ、端末 Al lがターゲット網 Dl、 D2との間で通信を行うために用いられる。 LANインターフェース B16は、ネットワークアクセスルータ B1に接続している LAN内ノードの数および LAN内ノードが接続するターゲット網の数に応じて、任意の数のトンネリングィンターフェースをもつことが可能である。

[0043] 次に、図 2—図 10を参照して、本実施の形態において、端末 Al lとターゲット網 D 1、 D2との間の通信をネットワークアクセスルータ B1で NATをせず実現するためにネットワークアクセスルータ B1が行う動作について詳細に説明する。

初期状態として、ネットワークアクセスルータ B1は、アクセス網 C1に対して WANィンターフェース B15によって直接接続されており、また、トンネリング B151、 B152によって、ターゲット網 Dl、 D2に対してそれぞれ通信トンネル Btl、 Bt2を経由して接続されている。

[0044] 図 2は、本発明の一実施の形態のネットワークアクセスルータにおけるターゲット網接続動作を示す図である。図 3は、本発明の一実施の形態のネットワークアクセスルータにおけるインターフェースリストを示す図である。図 4は、本発明の一実施の形態のネットワークアクセスルータにおけるルーティングテーブルを示す図である。図 5は、本発明の一実施の形態の LAN内端末におけるインターフェースリストを示す図である。図 6は、本発明の一実施の形態の LAN内端末におけるルーティングテーブルを示す図である。図 7は、本発明の一実施の形態のメッセージシーケンスを示す図である。図 8は、本発明の一実施の形態のネットワークアクセスルータにおけるターゲット網接続ポリシテーブルを示す図である。図 9は、本発明の一実施の形態のネットヮークアクセスルータが作成する設定スクリプトを示す図である。図 10は、本発明の一実施の形態のパケットフォーマットを示す図である。

[0045] 図 3、図 4に示すインターフェースリスト 101、ルーティングテーブル 102は、それぞれ、ネットワークアクセスルータ B1におけるネットワークインターフェースの状態とルーティングテーブル B13の例を示すものである。初期状態においては、インターフエ一スリスト 101の 1一 4番目のエントリだけが存在する。

[0046] 第 1番目のエントリは、 LANインターフェース B16における IPv4アドレス、 IPv6アドレスおよびエイリアスアドレスが登録されている。ここで、エイリアスアドレスは、端末 A 11とネットワークアクセスルータ B1との間で用いられる通信トンネルのプロトコルの種類によっては必ずしも必要ないが、 IPv6 over IPv4トンネル等、通信トンネルの識別にベースの IPアドレス（IPv6 over IPv4トンネルの場合は、 IPv4ヘッダのソース IPアドレス Z宛先 IPアドレスのこと）が用いられるプロトコルが使われる場合は必要となることがある。

[0047] 第 2番目のエントリでは、 WANインターフェース B15における IPv6アドレスが登録されている。

[0048] 第 3番目のエントリと第 4番目のエントリとは、 WANインターフェース B15上のトンネリングインターフェース B151、 B152の設定をそれぞれ示しており、両方とも、 IPsec プロトコルによる通信トンネルである。また、ベースアドレス（この場合は外側のヘッダにおける IPv6アドレスのこと）が示されており、例えば 3番目のエントリの場合は、 2001:c90:0:2:200:9alF:febc:deiD (ネットワークアクセスルータ B1の IPv6アドレス）と 2001 :c90: 1 :0:： 1 (アクセスサーバ Dl 1の IPv6アドレス）との間で IPsecトンネルが確立されていることが示されている。また、ルーティングテーブル 102においては、初期状態では第 1番目のエントリから第 6番目のエントリだけが存在する。

[0049] 第 1番目のエントリと第 2番目のエントリとは、それぞれ LAN— A1への IPv4パケット、 IPv6パケットを LANインターフェース B16側に転送するためのエントリである。

[0050] 第 3番目のエントリと第 4番目のエントリとは、アクセス網 C1への IPv6パケットを WA Nインターフェース B15側に転送するためのエントリである。 [0051] 第 5番目のエントリと第 6番目のエントリとは、それぞれターゲット網 Dl、 D2への IPv 6パケットをインターフェース B151、 B152を介し通信トンネル Btl、 Bt2を経由して転送するためのエントリである。また、端末 Al lは初期状態において、ネットワークァクセスルータ B1から LAN— A1内で利用される IPv4アドレスが DHCPあるいはその他の手段によって割り当てられ、また、アクセス網 C1から払い出された IPv6アドレスが RA、 DHCPv6あるいはその他の手段によって割り当てられている。これらの IPァドレスの割り当ては、端末 Al 1が LAN— A1に接続した時点で行われ、割り当てられた IPv4アドレスを用いた LAN— A 1内ノードとの IPv4通信、および割り当てられた IP v6アドレスを用いた LAN— Al内ノード、アクセス網 C1との IPv6通信を行うことが可會こなっている。

[0052] 図 5、図 6は、それぞれ端末 Al lにおけるインターフェースリスト 201およびルーティングテーブル 202の例を示したものである。初期状態においては、インターフェースリスト 201には 1番目のエントリだけが存在し、端末 Al 1における物理インターフェースを示す ethOに対して、 IPv4アドレスと IPv6アドレスとがそれぞれ割り当てられて!/、る。また、ルーティングテーブル 202には 1一 3番目のエントリだけが存在し、 IPv4パケットおよび IPv6パケットに対する経路がそれぞれ登録されている。

[0053] 図 7は、ネットワークアクセスルータ B1配下の LAN— A1に端末 Al lが接続した後の端末 Al lとネットワークアクセスルータ B1との間のメッセージシーケンスの一例を示したものである。この場合は、端末 A1は DHCPによって IPv4アドレスを取得し（図 7のステップ S201)、 RAによって IPv6アドレスを取得する（ステップ S202)ことにより、 LAN— A1内ノードとの IPv4通信、 LAN— A1内ノードおよびアクセス網 C1との IPv 6通信を行うことが可能になっている。

初期状態では、ターゲット網 Dl、 D2から払い出された IPv6アドレスは、まだ端末 A 11に割り当てられていないため、端末 Al lはターゲット網 Dl、 D2から払い出整理された IPv6アドレスを用いてターゲット網 Dl、 D2と通信することはできない。そのため、端末 Al lは、ブラウザを用いてネットワークアクセスルータ B1に対して HTTP接続してターゲット網接続設定用 Web画面を開き、ターゲット網 Dl、 D2との通信を行えるようにする。 [0054] ターゲット網接続ポリシ管理部 Bl 21においては、端末 Al lをはじめとする LAN— A1内のノードとターゲット網 Dl、 D2との間の通信を可能にするためのネットワークァクセスルータ B1および端末 Al lにおける設定に必要なパラメータとして、図 8に示すターゲット網接続ポリシテーブル 201に示す例のように設定パラメータが管理されているとする。ターゲット網接続ポリシテーブル 201をみると、ターゲット網 D1は、ネットワークアクセスルータ B1における ipsecOトンネリングィンターフェースを介して接続されており、サポートする IPアドレススコープ（LAN— A1内ノードがターゲット D1に対して転送すべき IPパケットの宛先 IPアドレスの範囲）力 :/0 (すなわちデフォルトルート）であることが示されている。また、ターゲット網 D1から割り当てられた IPアドレスプレフイクスは 2001:218:0:1::/64であり、この範囲の IPアドレスを LAN— A1内ノードに対して割り当てることができる。

[0055] ターゲット網 D1と LAN内ノードとの間で転送される IPパケットは、ネットワークァクセスルータ B1と LAN— A1内ノードとの間において IPv6 over IPv4トンネルによって転送されることが示されており、 IPv6 over IPv4トンネルにおけるローカル側（ネットワークアクセスルータ B1側）のベースアドレス（この場合は外側のヘッダにおける IP v4アドレスのこと）は 192. 168. 0. 254であることが示されている。ターゲット網 D2 に対する設定も同様に示されている。ターゲット網接続ポリシテーブル 201における設定は、ネットワークアクセスルータ B1の管理者が行ってもよいし、あるいはネットヮークアクセスルータ B1からアクセスサーバ Dl l、 D21に対する通信トンネル Btl、 Bt 2の設定時にアクセスサーバ Dl l、 D21から自動的に取得してもよい。アクセスサーノ Dl l、 D21からこのようなパラメータを自動的に取得するためのプロトコルとして、 I Psec【こお（7る、 ISAKMP (Internet security Association and Key Management Protocol) Configuration Methodや、 PPPにおける IPCP (IP Control Protocol) 等が挙げられる。

[0056] ネットワークアクセスルータ Blの Webサーバ部 Bl lが端末 Al lからのターゲット網接続設定用 Web画面を開くための HTTPメッセージ (例えば、

http：〃 www.cpe.myhome/connect.htmlへの HTTP GETメッセージ）を受信すると（図 2のステップ S101)、 Webサーバ部 B11は、端末 Al lに対してターゲット網接続設定用 Web画面を表示するための HTTPメッセージを応答する (ステップ S 102)。表示される Web画面の一例を図 11の Web画面 401に示す。

[0057] 図 11は、本発明の一実施の形態のネットワークアクセスルータが表示する Web画面を示す図である。

ターゲット網接続設定用 Web画面には、図 11の画面 401における「接続」ボタンのように、ターゲット網接続設定要求を行うためのリンクが貼り付けられており、端末 A1 1のユーザがこのリンクをクリックすると、 Webサーバ部 B11は端末 Al lからターゲット網接続設定要求を HTTPメッセージとして受信する (ステップ S 103)。

ステップ B103でターゲット網接続設定要求を受信すると、 Webサーバ部は、ターゲット網接続設定部 B12に対して、端末 Al lがターゲット網 Dl、 D2と通信を行えるようにするための各種の設定を行うように要求する。ターゲット網接続設定部 B12はまず、インターフェース設定部 B122を介して、端末 Al lとターゲット網 Dl、 D2との通信に対して通信端末 Al lとネットワークアクセスルータ B1との間の区間で経由させる通信トンネルのために、 LANインターフェース B16上にトンネリングィンターフェ一スを設定する (ステップ S 104)。

[0058] このトンネリングィンターフェースは、端末 Al lが通信を行うターゲット網の数だけ作られる。本設定においては、ターゲット網接続ポリシ管理部 B121において管理されている設定パラメータが用いられる。例えば、図 8に示すターゲット網接続ポリシテーブル 201が管理されている場合は、図 3に示すインターフェースリストにおいて、 5番目及び 6番目のエントリに対応するトンネリングィンターフェース（sitOと sitl)が追加されることになる。トンネリングィンターフェース sitOはターゲット網 D1と端末 Al lとの間の通信に用いられ、トンネリングィンターフェース sitlはターゲット網 D2と端末 Al lとの間の通信に用いられるものである。この例は、トンネリングプロトコルとして、 IPv6 over IPv4が用いられる場合であり、ベースアドレスとして、ネットワークアクセスルータ B11と端末 Al lの IPv4アドレスがそれぞれオプションパラメータとして登録されている。

[0059] ここで、 IPv6 over IPv4が使われる場合は、同じトンネリングィンターフェースのベースアドレスとして、ネットワークアクセスルータ B11と端末 Al lの IPv4アドレスとの組み合わせが同じであってはならないので（個々の IPv6 over IPv4トンネルは、ベースアドレスで識別されるため）、一方のネットワークアクセスルータ B11側のベースアドレスとして、エイリアスアドレスである 192. 168. 0. 253が用いられていることに注意する。

[0060] 次に、ターゲット網接続設定部 B12は、ルーティング設定部 B 123を介して、ルーテイングテーブルの設定を行う（ステップ S 105)。例えば、図 8に示すターゲット網接続ポリシテーブル 201が管理されている場合は、図 4に示すルーティングテーブル 102 において、第 7番目のエントリと第 8番目のエントリとが追加されることになる。後のステップ S 107で端末 Al 1に応答されるスクリプトによって、端末 Al 1の LANインターフエース B16上にトンネリングィンターフェースが作成され、トンネリングィンターフェース上にターゲット網 Dl、 D2の IPv6アドレスが割り当てられる力これらのエントリは、割り当てられた IPv6アドレス宛のパケットに対する経路を指定するものである。例えば、 7番目のエントリは、ターゲット網 D1と通信するために端末 Al lに割り当てられた IPv 6アドレスである 2001:218:0:l:200:4cff:fe23:9ed2宛の IPv6パケットに対して、ネットヮークアクセスルータ B1にお!/、て、トンネリングィンターフェース sitOから送信することを指定するものである。これにより、端末 Al lは、ターゲット網から端末 Al lへ送信された IPv6パケットを、ターゲット網に応じたトンネリングィンターフェース力も受信することが可能となる。

[0061] ステップ S104、 S105によってトンネリングィンターフェース、ルーティングテーブルの設定を行うと、図 7におけるステップ S203の状態になり、ターゲット網接続設定部 B 12は次に、端末 Al 1にお、て実行されるべき設定スクリプトを端末設定スクリプト生成部 B124によって作成する（ステップ S106)。ここで、ターゲット網接続ポリシ管理部 B121にお、て管理されて、る設定パラメータが設定スクリプト作成時に用いられ、端末 Al lにおいて、ターゲット網 Dl、 D2への接続に必要なトンネリングィンターフェースの作成、トンネリングィンターフェース上へのアドレス割り当て、ルーティングテーブルの設定を行うスクリプトが作成される。

[0062] ステップ S106の後、ターゲット網接続設定部 B12は、 Webサーバ部 B 11にステツプ S 106で作成された設定スクリプトを渡し、 Webサーバ部 B11は、渡された設定スクリプトを端末 Al lに対して応答する (ステップ S107)。本設定スクリプトは、ステップ S 103において受信したターゲット網接続設定要求に対する応答メッセージとして応答される。ステップ S 107の後、端末 Al lにおいて応答された設定スクリプトが実行され、端末 Al lにお!/ヽてトンネリングィンターフェースの作成、トンネリングィンターフェ一ス上へのアドレス割り当て、ルーティングテーブルの設定が行われる。ただし、一般的なブラウザでは、セキュリティの観点から、端末 Al lにおいてトンネリングィンターフェースを設定するようなスクリプトをブラウザが自動的に実行することを許していない。そのため、端末 Al 1に設定スクリプトを実行させるために汎用的に利用できる方法として、以下に示す例を説明する。

[0063] ステップ S102において表示する Web画面に張られたターゲット網接続設定要求を行うためのリンクを、該設定スクリプトへのリンク（例えば、

http：〃 www.cpe.myhome/connect.batへのリンク）とし（この時点で設定スクリプトは生成されていなくてもよい）、ステップ S103におけるターゲット網接続設定要求を、設定スクリプトを取得する HTTPリクエストとして送信させる。一般的なブラウザでは、スクリブトファイルの要求に対する応答が返されると、ブラウザで「ファイルを開くか、フアイルをコンピュータにダウンロードする力選択してください」というダイアログが開かれる 1S ここで「開く」を選択させることによって、該設定スクリプトを端末 Al l上において実行させることができる。

[0064] 図 9に示す設定スクリプト 301は、ターゲット網接続ポリシ管理部 B121において図 8 に示したターゲット網接続ポリシテーブル 201が管理されている場合に、端末設定スタリブト生成部 B124が作成する設定スクリプトの一例である。第 1行目から第 3行目は、ターゲット網 D1に対応するトンネリングィンターフェースの作成、トンネリングィンターフェース上へのアドレス割り当て、ルーティングテーブルの設定を行うためのコマンドであり、第 4行目から第 6行目はターゲット網 D2に対応するトンネリングィンターフエースの作成、トンネリングィンターフェース上へのアドレス割り当て、ルーティングテ一ブルの設定を行うためのコマンドである。

[0065] ここで、第 2行目及び第 5行目にお、て割り当てる IPv6アドレスの下位 64ビット部分は、端末 Al 1における物理インターフェースの MACアドレスを用いて EUI— 64規則で自動的に生成してもよ、し、他の LAN— A1内ノードと重複しな、ように任意の値を割り当ててもよい。 MACアドレスを用いて自動的に生成する場合は、ネットワークアクセスルータ B1にお!/、てアドレス重複管理を行わな、で済む利点がある。第 7行目は、端末 Al lにおけるルーティングテーブルにおいて、 RAによって自動設定されて、るアクセス網 C1に対する経路 (RAでは:: /0 (デフォルトルート）が自動設定されてしまう）を、これをアクセス網 C1の IPアドレススコープに対する経路に変更するためのものである。第 7行目のコマンドは、ターゲット網 D1に対する経路として:: /0が指定されているため、ターゲット網 D1に対するルーティングテーブルの設定によってァクセス網 C1に対する経路が上書きされてしまうために、アクセス網 C1に対する経路を指定しなおす動作として必要である力ターゲット網 Dl、 D2に対するルーティングテ一ブルの設定で、アクセス網 C1に対する経路が上書きされな、場合は必ずしも必要ない。

[0066] ステップ S 107で端末 Al 1に対して応答された設定スクリプトを端末 Al 1が実行し、端末 Al 1にお!/ヽてトンネリングィンターフェースの作成、トンネリングィンターフェース上への IPアドレス割り当て、ルーティングテーブルの設定が成功した場合、端末 Al l におけるネットワークインターフェースの状態は、図 5のインターフェースリスト 201において第 2番目のエントリと第 3番目のエントリとが追加された状態となる。トンネリングインターフェース sitO、 sitlはそれぞれ、ターゲット網 Dl、 D2へ通信する際に用いられるものである。また、ルーティングテーブル B13は、図 6のルーティングテーブル 20 2は 4一 6番目のエントリが追加された状態となる。

[0067] 第 4番目のエントリは、 RAで払い出された IPv6のデフォルトルートを、アクセス網 C 1宛ではなぐターゲット網 D1宛へと上書きするものである。ここで、 RAにより自動的に登録されたデフォルトルートである第 3番目のエントリのメトリックよりも、新しく登録するデフォルトルートのメトリックを小さくすることによって、上書きが実現できる。第 5 番目のエントリは、第 4番目のエントリによって上書きされてしまったアクセス網 C1宛の IPv6パケットの経路を、改めて宛先 IPv6アドレスプレフィクスを指定して登録しているものである。第 6番目のエントリは、ターゲット網 D2宛の IPv6パケットの経路を指定するものである。 [0068] ステップ S 107で応答する設定スクリプトには、端末 Al lにおいて設定が成功したか否かの通知を Webサーバ部 Bl 1に返すスクリプトが含まれており（図 9の設定スクリブト 301における第 8行目一第 12行目）、端末 Al lは、設定スクリプトの実行を行つた後、成功した力否かの通知を Webサーバ部 B11に対して行う。本通知は、設定スタリブト実行の成否に応じて異なる URLに対する HTTPリクエストを行わせることで実現が可能である。例えば、成功した場合は http：〃 www.cpe.myhome/success.htmlへの HTTPリクエストを行わせ、失敗した場合は http：〃 www.cpe.myhome/failure.html への HTTPリクエストを行わせる。そして、 http：〃 www.cpe.myhome/success.htmlへの HTTPリクエストを受信した場合は、 Webサーバ部 B11は、ターゲット網への接続に成功したことを表示する Web画面を端末 Al lに応答し (ステップ S 108、 S109)、 http：〃 www.cpe.myhome/failure.htmlへの HTTPリクエストを受信した場合は、ターゲット網への接続に失敗したことを表示する Web画面を応答する (ステップ S 108、 S11 0)。さらに、 Webサーバ部 B11は、端末 Al lにおいて設定スクリプト実行に失敗したことを通知されると、ターゲット網接続設定部 B12に対して本情報を通知する。ターゲット網接続設定部 B12は、本通知を受け取ると、ステップ S104、 S105において行つたトンネリングィンターフェースの設定およびルーティングテーブルの設定を削除する（ステップ S 111)。

[0069] ステップ S109の後、ターゲット網への接続が成功すると、図 7におけるステップ S20 4の状態となり、端末 Al lはターゲット網 Dl、 D2と通信可能になる。図 10に、端末 A 11とアクセス網 C1内ノード C11と、ターゲット網 D1内ノード D12と、ターゲット網 D2 内ノード D22と通信する際におけるそれぞれの場合に対応するパケットフォーマットの例を示す。この例は、端末 Al lとターゲット網 Dl、 D2との間の通信を可能にするために、ネットワークアクセスルータ B1とアクセスルータ Dl l、 D12との間において IP secトンネルが用いられ、端末 Al lとネットワークアクセスルータ B1との間で IPv6 ov er IPv4トンネルが用いられる場合である。

[0070] 以上、本実施の形態における、端末 Al lがターゲット網 Dl、 D2に対して通信を行えるようになるためにネットワークアクセスルータ B1が行う動作について説明した。なお、上記の動作は、端末 Al lとターゲット網 Dl、 D2との間の通信を可能にする設定を行うための動作であつたが、その設定をもとに戻し、端末 Al lとターゲット網 Dl、 D 2との通信を切断するための動作も同様に存在する。この動作は、端末 Al lが LAN A1から離脱する際や、ターゲット網 Dl、 D2との間の通信が不要になった際に行うことが必要である。図 11にネットワークアクセスルータ B1において、端末 Al lからの要求に基づいてターゲット網切断設定の動作を示す。端末 Al lは、ブラウザを用いてネットワークアクセスルータ B1に対して HTTP接続してターゲット網切断設定用 W eb画面を開き、例えば図 11における Web画面 401における「切断」ボタンを押すことによって、ターゲット網 Dl、 D2との通信を切断する。

[0071] 図 12は、本発明の一実施の形態のネットワークアクセスルータにおけるターゲット網切断動作を示す図である。

図 12に示すステップ S301— S310の動作は、図 2に示したステップ S101— S110 にそれぞれ対応しており、詳細な説明は省くが、ステップ S101— S110で行った接続ための各設定を、削除し元通りに戻す動作を行うものである。ステップ S301— S3 10の動作によって、ターゲット網切断設定が終了すると、ネットワークアクセスルータ B1にお!/ヽては図 7におけるステップ S205の状態、端末 Al 1にお!/ヽてはステップ S2 06の状態となり、端末 Al lはターゲット網 Dl、 D1と通信することができなくなる。

[0072] 以下、本実施の形態力考えられる他の実施の形態についても併せて説明する。

上述した実施の形態では、端末 Al lの通信相手ノードの属する網に応じて、端末 Al lとネットワークアクセスルータ B1との間で IPパケットが運ばれるメディアが使い分けられた。すなわち、端末 Al lがアクセス網 C1と通信する際は、 IPパケットは直接ィーサネット (登録商標）等のデータリンク上で運ばれ、端末 Al lがターゲット網 Dl、 D 2と通信する際は、 IPパケットは対応する通信トンネル上で運ばれた。この他にも、端末 Al lがターゲット網 D1と通信する際は、 IPパケットが直接イーサネット (登録商標）等のデータリンク上で運ばれるようにし、端末 Al lがアクセス網 Cl、ターゲット網 D2 と通信する際は、 IPパケットが対応する通信トンネル上で運ばれるようにする形態も考えられる。

[0073] また、アクセス網 Cl、ターゲット網 Dl、 D2は IPv6網であるものとして説明を行った力 IPv4網である場合も適用可能である。この場合は、端末 Al lとネットワークァクセスルータ Blとの間で用いられる通信トンネルとして、 PPPoE、 IPsec、 IPv4 over I Pv4トンネリングプロトコル等が挙げられる。

[0074] 次に本実施の形態の効果について説明する。

本実施の形態では、ネットワークアクセスルータ B1は、 LAN— A1内ノードである端末 Al lから端末 Al lがターゲット網 D1、D2へアクセスするための要求を受け付け、この要求に対し、自ルータの LANインターフェース B16上にトンネリングィンターフェースの作成を行い、ターゲット網 Dl、 D2から端末 Al lへ向けられたパケットを自ルータと端末 Al lとの間における対応する通信トンネル上へ転送するようにルーティングテーブル B 13の設定を行う。さらにネットワークアクセスルータ B1は、端末 Al lとタ一ゲット網 Dl、 D2との間のパケットが自ルータと端末 Al lとの間において対応する通信トンネル上で行われるように、端末 Al 1におヽて各ターゲット網との通信に用いるトンネリングィンターフェースの作成、トンネリングィンターフェースへの各ターゲット網から払!、だされた IPアドレスの割り当て、およびルーティングの設定を行うスクリプトを端末 Al lに対して応答し、端末 Al lが該スクリプトを実行することによって端末 A1 1とターゲット網 Dl、 D2との間の通信が途中で NATをすることなく可能となる。

[0075] LAN内ノードと複数のターゲット網との間の通信において、 LAN— A1内ノードが各ターゲット網力割り当てられた IPアドレスを用いながら、し力も途中で NATをすることなく実現することは従来不可能であつたが、本実施の形態で提供されるネットワークアクセスルータ B1を用いることにより、 LAN内ノードとターゲット網内ノードとの間のパケットを途中で NATせずに、 LAN内ノードが、利用するターゲット網に応じてソース IPアドレスを選択してターゲット網内ノードと通信を行うことが実現できる。

[0076] 尚、本実施の形態ではネットワークアクセスルータの場合で説明した力本発明はこれに限定されるものではなぐネットワークアクセス方法、ネットワークアクセスルータのプログラム、及び記録媒体に適用することができる。

すなわち、本発明は、配下の LANに接続されているノードと、ノードがアクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットヮークアクセス方法であって、ノードと自ルータとの間の区間において、ノードと自ルータとの間に通信トンネルを確立し、ノードとターゲット網のうちいずれか 1つ以上との間の通信に対応するパケットを、通信トンネル上に転送させてもよい。

[0077] また、本発明は、配下の LANに接続されているノードと、ノードがアクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークァクセスルータのアクセス方法であって、ノードとネットワークアクセスルータ自体との間の区間において、ノードとターゲット網の間の通信に対応するパケットを、ノードが通信を行って、るターゲット網に応じて異なる通信トンネルを用いて転送させてもょ、。

[0078] また、本発明は、配下の LANに接続されているノードと、ノードがアクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークァクセスルータのプログラムであって、ターゲット網接続設定部に、ノードと自ノレータとの間の区間において、ノードと自ルータとの間に通信トンネルを確立する手順 Aと、ノードとターゲット網のうちいずれか 1つ以上との間の通信に対応するパケットを、通信トンネル上に転送させる手順 Bとを実行させてもょ、。

[0079] また、本発明は、配下の LANに接続されているノードと、ノードがアクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークァクセスルータのプログラムであって、ターゲット網接続設定部に、ノードとネットワークアクセスルータ自体との間の区間において、ノードが通信を行っているターゲット網に応じて異なる通信トンネルを確立する手順 αと、ノードとターゲット網の間の通信に対応するパケットを、異なる通信トンネルを用いて転送する手順 j8とを実行させてもよい

[0080] また、本発明は、配下の LANに接続されているノードと、ノードがアクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークァクセスルータのプログラムを記録した記録媒体であって、ターゲット網接続設定部に、ノードと自ルータとの間の区間にお、て、ノードと自ルータとの間に通信トンネルを確立する手順 Aと、ノードとターゲット網のうちいずれ力 1つ以上との間の通信に対応するパケットを、通信トンネル上に転送させる手順 Bとを実行させるプログラムを記録してちょい。

[0081] さらに、本発明は、配下の LANに接続されているノードと、ノードがアクセスする対象のネットワークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムを記録した記録媒体であって、ターゲット網接続設定部に、ノードとネットワークアクセスルータ自体との間の区間において、ノードが通信を行つているターゲット網に応じて異なる通信トンネルを確立する手順 αと、ノードとターゲット網の間の通信に対応するパケットを、異なる通信トンネルを用いて転送する手順 j8とを実行させるプログラムを記録してもよい。

ここで、記録媒体としては、例えば、 HDD (ハードディスクドライバ）、 CDROM、フレキシブルディスク、半導体メモリ等が挙げられる。

図面の簡単な説明

[図 1]本発明の一実施の形態の構成を示すブロック図である。

[図 2]本発明の一実施の形態のネットワークアクセスルータにおけるターゲット網接続動作を示す図である。

[図 3]本発明の一実施の形態のネットワークアクセスルータにおけるインターフェースリストを示す図である。

[図 4]本発明の一実施の形態のネットワークアクセスルータにおけるルーティングテーブルを示す図である。

[図 5]本発明の一実施の形態の LAN内端末におけるインターフェースリストを示す図である。

[図 6]本発明の一実施の形態の LAN内端末におけるルーティングテーブルを示す図である。

[図 7]本発明の一実施の形態のメッセージシーケンスを示す図である。

[図 8]本発明の一実施の形態のネットワークアクセスルータにおけるターゲット網接続ポリシテーブルを示す図である。

[図 9]本発明の一実施の形態のネットワークアクセスルータが作成する設定スクリプトを示す図である。

[図 10]本発明の一実施の形態のパケットフォーマットを示す図である。

[図 11]本発明の一実施の形態のネットワークアクセスルータが表示する Web画面を示す図である。

[図 12]ネットワークアクセスルータ B1にお!/、て、端末 Al 1からの要求に基づ!/、てターゲット網切断設定の動作を示す図である。

符号の説明

Al LAN

Al l 端末

B1 ネットワークアクセスルータ

Bl l Webサーバ部

B12 ターゲット網接続設定部

B121 ターゲット網接続ポリシ管理部

B122 インターフェース設定咅 ^

B123 ルーティング設定部

B124 端末設定スクリプト生成部

B13 ルーティングテーブル

B14 インターフェースドライノ咅 ^

B15 WANインターフェース

B16 LANインターフェース

B151, B152、 B161, B162 卜ンネジングィンターフェース

Btl、Bt2 通信トンネル

C1 アクセス網

C11 アクセス網内ノード

Dl、 D2 ターゲット網

D11、D21 アクセスサーバ

D12、 D22 ターゲット網内ノード

101、 201 インターフェースリスト

102、 202 ノレ一ティングテープノレ

103 ターゲット網接続ポリシテーブル

301 設定スクリプト

401 Web画面

Claims

請求の範囲

[1] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータであって、

前記ノードと前記ターゲット網のうちいずれ力 1つ以上との間の通信に対応するパケットを、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に確立された通信トンネル上を転送させることを特徴とするネットワークアクセスルータ。

[2] 前記通信トンネルは、前記ネットワークアクセスルータ自体が前記ノードに対して提供する設定スクリプトを前記ノードに実行させることによって確立されることを特徴とする請求項 1に記載のネットワークアクセスルータ。

[3] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータであって、

前記ノードと前記ターゲット網のうちいずれ力 1つ以上との間の通信に対応するパケットを、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に確立された通信トンネル上を転送させるために、前記ネットワークアクセスルータ自体における設定と前記ノードにおける設定とを行うターゲット網接続設定部を備えることを特徴とするネットワークァクセスノレータ。

[4] 前記通信トンネルは、前記ノードが通信する前記ターゲット網に対して、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、個別に設定されることを特徴とする請求項 3に記載のネットワークアクセスルータ。

[5] 前記ターゲット網接続設定部は、前記ノードと前記ターゲット網のうちいずれか 1つ以上との間の通信に対応するパケットを、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に確立された通信トンネル上を転送させるための、前記ネットワークアクセスルータ自体および前記ノードにおける設定に必要なパラメータを保持すルータゲット網接続ポリシ管理部と、

前記ネットワークアクセスルータ自体における LAN側インターフェースに対してトンネリングィンターフェースの設定を行うインターフェース設定部と、

前記ネットワークアクセスルータ自体におけるルーティングテーブルに対してェントリの設定を行うルーティング設定部と、

前記ノードにぉヽて前記通信トンネルを確立させるために実行させる設定スクリプトを作成する設定スクリプト作成部とを備えることを特徴とする請求項 3または 4に記載のネットワークアクセスルータ。

[6] 前記ノードにお！ヽて前記通信トンネルを確立させるために実行させる前記設定スクリプトは、前記ノードにおいて、前記通信トンネノレを終端するトンネリングィンターフェースの作成と、

前記通信トンネルを経由して接続される前記ターゲット網に対応する IPアドレスの前記トンネリングィンターフェース上に対する割り当てと、

前記ターゲット網へのパケットに対して、対応する前記通信トンネルを経由させるためのルーティングテーブルの設定とに対応するコマンドを含むことを特徴とする請求項 5に記載のネットワークアクセスルータ。

[7] 前記作成されたトンネリングィンターフェース上に割り当てられる、前記通信トンネルを経由して接続される前記ターゲット網に対応する IPアドレスは、 IPv6アドレスであり、前記 IPv6アドレスの下位 64ビットを、前記ノードの物理インターフェースの MA Cアドレスから自動的に生成することを特徴とする請求項 6に記載のネットワークァクセスノレータ。

[8] 前記ターゲット網へのパケットに対して、対応する前記通信トンネルを経由させるためのルーティングテーブルの設定において、予め前記ノードにおいて DHCPまたは RAによって自動設定されて!ヽるデフォルトルートを、前記自動設定されたデフォルトルートのメトリックよりも小さい値のメトリックを指定することによって上書きし、デフオルトルートとして前記通信トンネルを経由させることを特徴とする請求項 6または 7に記載のネットワークアクセスルータ。

[9] 前記通信トンネルは、 IPv6 over IPv4トンネリングプロトコルなどの、アウターへッダにおける IPアドレスによって前記通信トンネルの識別が行われるプロトコルであり、前記ノードと前記ネットワークアクセスルータ自体との間で複数の前記通信トンネルを使用するために、前記ネットワークアクセスルータ自体の LAN側インターフェースにおいて、エイリアスアドレスを用い、前記通信トンネルに応じて、前記通信トンネルのアウターヘッダにおける前記ネットワークアクセスルータ自体側の IPアドレスを使、分けることを特徴とする請求項 3から 8のいずれか 1項に記載のネットワークアクセスルータ。

[10] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータであって、

前記ノードからの、前記ノードと前記ターゲット網のうちいずれか 1つ以上との間の通信要求を受け付けるための Web画面を提供し、

前記ノードが前記 Web画面に対して前記ノードと前記ターゲット網のうちいずれか 1 つ以上との間の通信要求を行うことによって前記ノードと前記ターゲット網のうちいずれカ 1つ以上との間の通信を可能とすることを特徴とするネットワークアクセスルータ。

[11] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータであって、

前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ターゲット網の間の通信に対応するパケットを、前記ノードが通信を行っている前記ターゲット網に応じて異なる通信トンネルを用いて転送することを特徴とするネットワークアクセスルータ。

[12] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのアクセス方法であって、

前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ネットワークアクセスルータ自体との間に通信トンネルを確立し、前記ノードと前記ターゲット網のうちいずれか 1つ以上との間の通信に対応するパケットを、前記通信トンネル上に転送させることを特徴とするネットワークアクセスルータのアクセス方法。

[13] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのアクセス方法であって、

前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードと前記ターゲット網の間の通信に対応するパケットを、前記ノードが通信を行っている前記ターゲット網に応じて異なる通信トンネルを用いて転送することを特徴とするネットワークアクセスルータのアクセス方法。

[14] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムであって、

ターゲット網接続設定部に、前記ノードと前記ネットワークアクセスルータ自体との間の区間にお、て、前記ノードと前記ネットワークアクセスルータ自体との間に通信トンネルを確立する手順 Aと、前記ノードと前記ターゲット網のうちいずれ力 1つ以上との間の通信に対応するパケットを、前記通信トンネル上に転送させる手順 Bとを実行させることを特徴とするプログラム。

[15] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムであって、

ターゲット網接続設定部に、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードが通信を行っている前記ターゲット網に応じて異なる通信トンネルを確立する手順 αと、前記ノードと前記ターゲット網の間の通信に対応するパケットを、前記異なる通信トンネルを用いて転送する手順 j8とを実行させることを特徴とするプログラム。

[16] 配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムを記録した記録媒体であって、ターゲット網接続設定部に、前記ノードと前記ネットワークアクセスルータ自体との間の区間にお、て、前記ノードと前記ネットワークアクセスルータ自体との間に通信トンネルを確立する手順 Aと、前記ノードと前記ターゲット網のうちいずれ力 1つ以上との間の通信に対応するパケットを、前記通信トンネル上に転送させる手順 Bとを実行させるプログラムを記録したことを特徴とする記録媒体。

配下の LANに接続されているノードと、前記ノードがアクセスする対象のネットヮークである 1つ以上のターゲット網との間の通信を可能にするネットワークアクセスルータのプログラムを記録した記録媒体であって、

ターゲット網接続設定部に、前記ノードと前記ネットワークアクセスルータ自体との間の区間において、前記ノードが通信を行っている前記ターゲット網に応じて異なる通信トンネルを確立する手順 αと、前記ノードと前記ターゲット網の間の通信に対応するパケットを、前記異なる通信トンネルを用いて転送する手順 j8とを実行させるプログラムを記録したことを特徴とする記録媒体。