[go: up one dir, main page]

JP3668731B2 - Virtual private network (VPN) system and relay node - Google Patents

Virtual private network (VPN) system and relay node Download PDF

Info

Publication number
JP3668731B2
JP3668731B2 JP2002313852A JP2002313852A JP3668731B2 JP 3668731 B2 JP3668731 B2 JP 3668731B2 JP 2002313852 A JP2002313852 A JP 2002313852A JP 2002313852 A JP2002313852 A JP 2002313852A JP 3668731 B2 JP3668731 B2 JP 3668731B2
Authority
JP
Japan
Prior art keywords
vpn
address
base
terminal
relay node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002313852A
Other languages
Japanese (ja)
Other versions
JP2004153366A (en
Inventor
欣也 松田
守久 桜井
丈成 吉田
真治 八森
郁 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toda Corp
Original Assignee
Toda Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toda Corp filed Critical Toda Corp
Priority to JP2002313852A priority Critical patent/JP3668731B2/en
Publication of JP2004153366A publication Critical patent/JP2004153366A/en
Application granted granted Critical
Publication of JP3668731B2 publication Critical patent/JP3668731B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、仮想プライベートネットワーク、特にインターネット等の公衆データ通信網において、暗号化(カプセル化)通信することで仮想的に構築されたプライベートネットワークシステムに関する。
【0002】
【従来の技術】
現在はインターネットプロトコル(IP)で構築したプライベートネットワークが多数存在し、1つの企業が複数の地域で構築しているプライベートネットワークを専用線と同等のセキュリティを確保して接続する必要性が高まっている。
【0003】
このようなセキュリティ確保の実現ができる通信技術に、仮想プライベートネットワーク(VPN)という技術がある。
【0004】
この技術は、プライベートネットワークを構成する各拠点に、IPパケットをカプセル化するVPN装置を設置する。そして、インターネット上ではカプセルヘッダに基づいてデータを転送する。このようにデータをカプセル化することで第三者の盗聴等を防ぐことができ、インターネット上でセキュリティを確保することができる。また、受信側に設置されたVPN装置は、カプセル化されたデータをデカプセル化し、あて先の端末等にデータを転送する。
【0005】
このように、インターネットという専用線に比べて安価なインフラを用いて構築された仮想的なプライベートネットワークを仮想プライベートネットワーク(以下、VPN)という。
【0006】
ここで、さらに詳しくVPNのパケットの流れを説明する。
【0007】
通常パケットは、図2に示すように、データの前にヘッダとして、あて先アドレスBと送信元アドレスAが付与されている。このヘッダを元に、パケットは、目的のあて先までルータ等を経由して送られる。
【0008】
VPN通信の場合、図3に示すように、VPN装置によって、パケットはカプセル化されて、新たにヘッダとして、例えば、送信元VPN装置のアドレスCと転送先VPN装置のアドレスDが付与され、インターネット上に送信される。
【0009】
送信元VPN装置は、予め登録された、あて先アドレスと転送先VPN装置アドレスとが関連付けられている経路情報をもとに、転送先VPN装置のアドレスDの付与を行う。
【0010】
【特許文献1】
特開2001−237876
【0011】
【発明が解決しようとする課題】
一般的にVPNの接続形態としては、メッシュ型を利用する。この場合、各拠点のVPN装置は、通信を行うすべての拠点の経路情報を登録しなければならない。したがって、VPNを構成する拠点数が多いほど、この経路情報を管理するのは大変である。
【0012】
別の接続形態としては、一拠点を中心として構成するハブ&スポーク型がある。この場合、中心拠点のVPN装置を経由して、2つの拠点間でVPN(トンネリング)通信を行うことになる。
【0013】
したがって、各拠点のVPN装置は中心拠点にあるVPN装置への経路情報のみを管理すればよいため、管理は楽である。しかし、中心拠点にあるVPN装置には、すべての拠点の経路情報を登録して管理しなければならない。
【0014】
さらに、VPNを利用する場合、各拠点のクライアントは、拠点間のVPN通信以外の通信を目的としてインターネットに接続する場合は、各拠点のVPN装置経由で接続する。したがって、セキュリティレベルは、各拠点のVPN装置に依存してしまうという問題があった。
【0015】
上記に示す経路情報の管理の問題を解決する方法として、VPNを構成する各拠点をすべて、第三者が管理するVPN装置を経由する構成にすることが考えられる。これにより、ユーザは、第三者が管理するVPN装置への経路情報のみ管理すればよいため、管理が楽になる。
【0016】
この場合、委託先の第三者は、各VPNごとに中継ノードを用意して、各VPNの経路情報を管理することも考えられる。この場合は、VPNごとに独立となるため、複数のVPN間でプライベートアドレスが重複しても問題は生じない。しかし、VPNごとに中継ノードを準備することは、管理費用的にも、構築費用的にも問題がある。したがって、複数のVPNの経路情報を一括して一つの中継ノードにて管理できることが望ましい。
【0017】
しかし、上述のように、経路情報には、あて先アドレスと転送先アドレスとが関連付けられている。通常あて先アドレスは、どのユーザでも使用可能な、プライベートアドレスを使用する。したがって、複数のVPNを1つの中継ノードで管理しようとした場合、プライベートアドレスがVPN間で重複してしまうことがあるため、上記の経路情報のみでは、複数のVPNを一括して管理することができない。
【0018】
本発明は、上記の課題を鑑みてなされたものであり、各VPN間でアドレスが重複する場合でも、複数のVPNを一括して管理できるシステムを提供することで、VPNを利用するユーザのVPN装置の管理を楽にし、かつ、各拠点のセキュリティレベルのバラツキをなくすことを目的とする。
【0019】
【課題を解決するための手段】
発明は、トンネリング通信することで、公衆ネットワーク上に仮想的に構築されるプライベートネットワーク(VPN)が複数存在するVPNシステムであって、各VPNに属する拠点に設置された拠点ノード間でのトンネリング通信を、各VPNごとに独立して中継する中継ノードを備え、前記各拠点ノードは、外部向けのパケットをすべて前記中継ノードに転送し、前記中継ノードは、各VPNごとに定められ、VPN内のすべての拠点ノードにつき、拠点ノードのアドレスと該拠点ノードに含まれる受信パケットの最終あて先となる端末のアドレスとを関連付けた経路情報を有し、どのVPNに属する拠点ノードから受信したパケットかを判断した後、該当するVPNの経路情報とその受信パケットに含まれる最終あて先の端末アドレスとを参照し、その最終あて先の端末アドレスに対応する拠点ノードのアドレスを特定し、その受信パケットを特定した転送先拠点ノードに転送することを特徴とする。
【0020】
このように構成されたVPNシステムでは、各拠点の拠点ノードは、中継ノードを経由してVPN(トンネリング)通信をする。そして、この中継ノードは、どのVPNに属する拠点ノードからのパケットかを判断した後、該当するVPNの経路情報を元にパケットを転送する。
【0021】
この中継ノードを第三者が管理することで、拠点ノードは中継ノードへの経路情報を登録しておくだけで、各拠点とVPN通信することができるため、各拠点のVPN装置の経路情報の管理が楽になる。
【0022】
また、中継ノードは、複数のVPNを一括して管理することができるため、VPNごとの管理工数、費用を大幅に削減することができる。
【0023】
本発明の好適な態様では、前記中継ノードは、インターネット接続機能を有し、前記経路情報には、受信パケットに含まれる最終あて先が各拠点の端末のアドレス以外のアドレスに対する転送先アドレスが登録され、各VPNに属する各拠点の前記端末がインターネット接続する場合、前記経路情報を参照し、前記各拠点の端末のアドレス以外のアドレスに対する転送先アドレスを経由して、前記インターネット接続機能によりインターネット接続することを特徴とする。
【0024】
このように構成されたVPNシステムでは、各拠点は、インターネット接続する場合は、必ず中継ノードを経由することになるため、各拠点のインターネット接続の際のセキュリティ等の条件は、中継ノードでの条件で決定する。
【0025】
したがって、インターネット接続条件の管理を一括して管理することができ、各拠点のネットワーク管理が楽になる。
【0026】
本発明の別の好適な態様では、前記中継ノードは、セキュリティチェック機能を有し、各VPNに属する各拠点の前記端末がインターネット接続する際に、セキュリティチェックを行うことを特徴とする。
【0027】
このように構成されたVPNシステムでは、各拠点のセキュリティレベルの統一ができ、中継ノードがセキュリティチェックをすることで、セキュリティ管理を一元化できる。
【0028】
本発明は、トンネリング通信することで、公衆ネットワーク上に仮想的に構築されるプライベートネットワーク(VPN)が複数存在し、各VPNに属する拠点に設置された拠点ノード間でのトネリング通信を各VPNごとに独立して中継する中継ノードであって、各VPNごとに定められ、VPN内のすべての拠点ノードにつき、拠点ノードのアドレスと該拠点ノードに含まれる受信パケットの最終あて先となる端末のアドレスとを関連付けた経路情報を有し、どのVPNに属する拠点ノードから受信したパケットかを判断した後、該当するVPNの経路情報とその受信パケットに含まれる最終あて先の端末アドレスとを参照し、その最終あて先の端末アドレスに対応する拠点ノードのアドレスを特定し、その受信パケットを特定した転送先拠点ノードに転送することを特徴とする。
【0029】
このように構成された中継ノードは、複数のVPNを一括で管理することができる。
【0030】
したがって、この中継ノードをデータセンタなどに設置し、第三者が管理することで、拠点ノードは中継ノードへの経路情報を登録しておけば、各拠点とVPN通信することができる。よって、各拠点のVPN装置の経路情報の管理が楽になる。
【0031】
また、中継ノードは、複数のVPNを一括して管理することができるため、VPNあたりの管理工数、費用を大幅に削減することができる。
【0032】
本発明の好適な態様では、前記中継ノードはインターネット接続するためのインターネット接続機能を有し、前記経路情報には、受信パケットに含まれる最終あて先が各拠点の端末のアドレス以外のアドレスに対する転送先アドレスが登録され、各VPNに属する各拠点の前記端末がインターネット接続する場合、前記経路情報を参照し、前記各拠点の端末のアドレス以外のアドレスに対する転送先アドレスを経由して、前記インターネット接続機能によりインターネット接続することを特徴とする。
【0033】
このように構成された中継ノードでは、各拠点は、インターネット接続する場合は、必ず中継ノードを経由することになる。
【0034】
したがって、各拠点のインターネット接続の際のセキュリティ等の条件は、中継ノードでの条件で決定する。
【0035】
よって、インターネット接続条件の管理を一括して管理することができ、各拠点のネットワーク管理が楽になる。
【0036】
本発明の別の好適な態様では、各VPNに属する各拠点に属する前記端末がインターネット接続する際に、セキュリティチェックを行うセキュリティチェック機能を有することを特徴とする。
【0037】
このように構成された中継ノードでは、各拠点のセキュリティレベルの統一ができ、中継ノードがセキュリティチェックをすることで、セキュリティ管理を一元化できる。
【0038】
【発明の実施の形態】
以下、本発明の実施の形態(以下実施形態という)を、図面を用いて説明する。
【0039】
図1は、本発明の実施形態におけるネットワーク構成図である。図1には、A社のVPNとB社のVPNが存在し、各拠点は、各拠点に設置されたVPN装置(拠点ノードに該当)及びインターネット1を介して、第三者が管理するデータセンタ2(中継ノードに該当)を経由して、VPN(トンネリング)通信を行う。
【0040】
各VPNに属する拠点からのパケットは、データセンタに設置のルータ3を通り、ロードバランサ4により、負荷の少ないデータセンタ設置のVPN装置5に送られる。そして、VPN装置5からさらに目的の拠点にパケットが転送される。なお、VPN装置の機能は、ハードウェアあるいはソフトウェアいずれを用いて実現してもよい。
【0041】
なお、各拠点からISP6までの回線7としては、アナログ回線、ISDN、ADSL、光ファイバ、携帯電話、PHS、無線LAN、衛星、CATV、有線放送等があり、通信速度や回線費用により選択する。
【0042】
ここで、さらに詳しくパケットの流れを説明する。
【0043】
まず、A社第一営業所11からA社本社10のイントラサーバ8にアクセスする場合ついて説明する。ここで、各装置のIPアドレスを以下のように定義する。
【0044】
A社第一営業所のPC:A
A社本社のイントラサーバ:B
A社第一営業所のVPN装置:C
データセンタに設置のルータ:D
A社本社のVPN装置:E
データセンタ設置のプロキシサーバ:F
インターネット上のWWWサーバ:G
【0045】
A社第一営業所11のPCからA社本社のイントラサーバに送信されるIPパケットは、図2のようになる。
【0046】
A社第一営業所11のVPN装置がこのパケットを受け取ると、VPN装置内にある経路情報を参照して処理を行う。各拠点(本社、営業所)のVPN装置の経路情報は、図4に示すようなものである。すなわち、外部向けのすべてのIPアドレスに対して、データセンタ2内のルータ3へIPパケットをカプセル化して送信するように設定されている。送信されるカプセル化されたパケットは、図3(a)のようになる。
【0047】
その後、インターネット1に送信するとカプセルヘッダに基づいてインターネット内を転送されるため、データセンタ2内のルータ3に送信される。
【0048】
ルータ3で受け取ったパケットは、図1に示すロードバランサ4を通り、負荷の軽いVPN装置5に送られる。VPN装置5で受け取ったカプセルヘッダにある送信元アドレスは、それぞれ、各拠点のVPN装置に付与されているアドレスであり、インターネット内で一意に識別できるグローバルIPアドレスである。
【0049】
このグローバルIPアドレスから、どのVPNに属するVPN装置から送られてきたパケットかを特定する。図5にVPN装置のグローバルIPアドレスとVPNの対応テーブルの例を示す。
【0050】
受信したパケットのカプセルヘッダ内にある送信元のVPN装置のグローバルIPアドレスを得て、このアドレスをキーにして図5に示す対応テーブルからVPN1からnのいずれに属するかを決定する。
【0051】
そして、パケットの転送先を決定する経路情報はVPN毎にあるため、どのVPNに属するかを図5に示す対応テーブルから決定したのち、どの経路情報を選択するかを決定する。図6に、選択された経路情報の例を示す。
【0052】
さらにVPN装置5はカプセルヘッダをとりはずし、本来のパケットを取り出す。そして、先ほど決定した図6に示す経路情報を参照し、取り出したパケットのあて先のIPアドレスBが本社内のIPアドレスであることを把握して、あて先を本社のVPN装置と決定する。また、カプセル化の有無が有となっているためパケットをカプセル化して、上記送信元とあて先ヘッダを付与して送信する。この時のカプセルは図3(b)のようになる。
【0053】
カプセル化されたパケットはインターネットに送信され、カプセルヘッダのあて先に基づき本社のVPN装置へ転送される。本社のVPN装置は、カプセルヘッダを取り除き、パケットを取り出す。そして、本社内のIPアドレスBをもつイントラサーバ8へ転送する。
【0054】
上記で説明したようにインターネット1内ではパケットはカプセルにより保護されるため本社と営業所間の通信は安全に保たれる。上記は営業所のパソコンから本社のイントラサーバをアクセスする例につき説明したが、本社から営業所への通信、営業所と営業所との間の通信も全く同様にしてVPN通信が行われる。
【0055】
また、データセンタ設置のVPN装置では、図5の対応テーブルを元にどのVPNに属するVPN装置からきたパケットかを決定したのち、該当するVPNの経路情報を決定する。
【0056】
このように、各拠点に設置されたVPN装置のアドレス、すなわち、インターネット内で一意に決まるグローバルIPアドレスを元に、どのVPNに属するパケットかを決定する。
【0057】
したがって、各拠点内のパソコン等のアドレスが、各VPNごとに重複する恐れがあるプライベートIPアドレスを用いていたとしても、問題なくVPNごとにパケットを転送することができる。
【0058】
次に各拠点のパソコンからインターネット上のWWWサーバ9にアクセスした場合について説明する。
【0059】
説明を簡単にするために、前記と同じA社第一営業所11のパソコンからインターネット上のWWWサーバ9をアクセスした場合を考える。A社第一営業所のパソコンのIPアドレスはAであり、WWWサーバ9のIPアドレスはGである。
【0060】
A社第一営業所内のパソコンからデータセンタを経由してインターネット上のWWWサーバ9にアクセスする時には、送信元のA社第一営業所内のVPN装置のグローバルIPアドレスCとA社第一営業所内のパソコンのIPアドレスAをデータセンタ設置のプロキシサーバに記憶しておく。
【0061】
そして、WWWサーバ9からプロキシサーバに戻ってきたパケットに対し、A社第一営業所内のVPN装置のグローバルIPアドレスとパソコンのIPアドレスを復元し、データセンタ内のVPN装置に送信する。
【0062】
データセンタ内のVPN装置は、プロキシサーバが記憶した送信元VPN装置のグローバルIPアドレスからどのVPNに属するかを決定し、対応する図6に示す経路情報を取得し、これに従いカプセル化してインターネットに送信する。
【0063】
このカプセルはA社第一営業所のVPN装置に到達し、さらにパソコンに送信される。なお、営業所内のPCとしては、作業所、倉庫、仮置き場、移動拠点等にあるPCも含まれ、一時的に設置されたり、移動したりするものに対しても有効である。
【0064】
上記の記載でもわかるように、各拠点内のパソコンとインターネット上のWWWサーバとの通信においては、データセンタ内にあるファイアウォールを通過する。
【0065】
各拠点から直接、インターネット上のWWWサーバと通信する場合は、セキュリティレベルは各拠点にあるファイアウォールに依存する。ところが本発明によれば、セキュリティレベルがVPNを構成する複数の拠点で統一され、且つセキュリティレベルが第三者が管理するデータセンタ内にあるファイアウォールで一元管理される。したがって、セキュリティ管理を高品質かつ効率的に行うことができる。
【0066】
図1のデータセンタにおいては、ファイアウォール上にプロキシサーバも実装されている。ここで、プロキシサーバを透過プロキシに設定する。透過プロキシでは、ゲートウェイ(ここでは、VPN装置)が、HTTPのパケットを自動的にプロキシサーバに渡す。このことによりファイアウォール内のパソコンがプロキシサーバの存在を意識することなくインターネットにアクセスすることができるようになる。
【0067】
各拠点内のパソコンはインターネットのアクセスに関してはデータセンタ内のファイアウォールに対しファイアウォール内になるため、データセンタ内のプロキシサーバを透過プロキシに設定することにより各拠点内のパソコンは各パソコンでのプロキシの設定にかかわらずインターネットにアクセスできる。
【0068】
またデータセンタ内にあるウィルスチェックサーバによりウィルスの伝播の監視および駆除を行うことができる。
【0069】
データセンタのVPN装置を経由する通信量を、各拠点のVPN装置の有するグローバルIPアドレス毎に測定することにより、VPNごとの通信量および拠点ごとの通信量を木目細かく把握することが可能になり、課金に使用することもできる。
【0070】
本発明によれば、データセンタを経由する通信となっているため、各VPNの通信量をデータセンタなどに設置された中継ノード1ヶ所で測定できるため、各拠点での通信量を効率良く測定することができる。
【0071】
【発明の効果】
以上説明したように、本発明によれば、各VPNに属する拠点は、第3者所有の中継ノードを経由してVPN通信を行うようにすることで、VPNの管理を第3者にまかせることができ、管理工数の削減を図ることができる。
【0072】
また中継ノードを、複数のVPNの経由点として使用することができるため、データセンタなどで中継ノードを管理する場合、VPNあたりのハードウエアコスト、ソフトウエアコスト、管理工数の削減を図ることができる。
【0073】
また複数のVPNが中継ノードを経由して通信を行うため、中継ノード一個所で複数のVPNの通信量を測定できる。よって、複数のVPNの通信量測定が大変効率よく行えるという効果がある。また、通信量測定結果を課金などに使用することができる。
【0074】
また本発明によればVPNに属する拠点内のパソコンからインターネットにアクセスする際、中継ノードにあるファイアウォールを通過するため、各拠点のセキュリティレベルの統一ができる。
【0075】
さらにセキュリティの専門スキルを有する者が管理する中継ノード内のファイアウォールでセキュリティチェックを行えば、セキュリティ管理が一元化され、セキュリティ管理を高品質かつ効率的に行うことができる。
【0076】
また本発明によれば、中継ノード内のプロキシサーバを透過プロキシに設定することによりプライベートネットワーク内のパソコンからパソコンのプロキシの設定に依存せずインターネットにアクセスすることができる。透過プロキシを用いない場合は、すべての拠点のすべてのPCに対し、プロキシを利用する設定をするという膨大な作業を行う必要がある。
【0077】
さらに、中継ノード内にあるウィルスチェックサーバによるウィルスの伝播の監視および駆除を行うことができる。
【図面の簡単な説明】
【図1】 本発明の実施形態におけるネットワーク構成図である。
【図2】 カプセル化されていないパケットを示すイメージ図である。
【図3】 カプセル化されたパケットを示すイメージ図である。
【図4】 本発明の実施形態における、各拠点のVPN装置が保有している経路情報の一例である。
【図5】 本発明の実施形態における、データセンタ設置のVPN装置が保有する対応テーブルの一例である。
【図6】 本発明の実施形態における、データセンタ設置のVPN装置が保有する経路情報の一例である。
【符号の説明】
1 インターネット、2 データセンタ(中継ノード)、3 ルータ、4 ロードバランサ、5 VPN装置、6 ISP、7 回線、8 イントラサーバ、9 WWWサーバ、10 A社本社、11 A社第一営業所、20 B社本社、21 B社第一営業所。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a private network system constructed virtually by performing encrypted (encapsulated) communication in a virtual private network, particularly in a public data communication network such as the Internet.
[0002]
[Prior art]
Currently, there are many private networks built using the Internet Protocol (IP), and there is an increasing need to connect private networks built by multiple companies in multiple regions with the same level of security as a dedicated line. .
[0003]
As a communication technology capable of realizing such security, there is a technology called virtual private network (VPN).
[0004]
According to this technology, a VPN apparatus that encapsulates an IP packet is installed at each site constituting a private network. On the Internet, data is transferred based on the capsule header. By encapsulating data in this way, eavesdropping or the like by a third party can be prevented, and security can be ensured on the Internet. The VPN apparatus installed on the receiving side decapsulates the encapsulated data, and transfers the data to a destination terminal or the like.
[0005]
In this way, a virtual private network constructed using an infrastructure that is less expensive than a dedicated line called the Internet is called a virtual private network (hereinafter referred to as VPN).
[0006]
Here, the flow of the VPN packet will be described in more detail.
[0007]
As shown in FIG. 2, a normal packet has a destination address B and a source address A as headers before data. Based on this header, the packet is sent to a target destination via a router or the like.
[0008]
In the case of VPN communication, as shown in FIG. 3, the packet is encapsulated by the VPN device, and, for example, the address C of the source VPN device and the address D of the transfer destination VPN device are newly added as headers. Sent over.
[0009]
The transmission source VPN apparatus assigns the address D of the transfer destination VPN apparatus based on the path information in which the destination address and the transfer destination VPN apparatus address are associated in advance.
[0010]
[Patent Document 1]
JP 2001-237876 A
[0011]
[Problems to be solved by the invention]
Generally, a mesh type is used as a VPN connection form. In this case, the VPN apparatus at each base must register the route information of all bases that perform communication. Therefore, it is more difficult to manage this route information as the number of bases constituting the VPN increases.
[0012]
As another connection form, there is a hub-and-spoke type configured with one base as a center. In this case, VPN (tunneling) communication is performed between the two bases via the VPN device at the central base.
[0013]
Therefore, since the VPN device at each base only needs to manage the route information to the VPN device at the central base, the management is easy. However, it is necessary to register and manage the route information of all bases in the VPN device at the central base.
[0014]
In addition, when using VPN, clients at each site connect via the VPN device at each site when connecting to the Internet for communication other than VPN communication between sites. Therefore, there is a problem that the security level depends on the VPN device at each base.
[0015]
As a method for solving the above-described problem of management of route information, it is conceivable that all bases constituting the VPN are configured to pass through a VPN device managed by a third party. As a result, the user only needs to manage the route information to the VPN device managed by the third party.
[0016]
In this case, it is conceivable that the third party as a consignee prepares a relay node for each VPN and manages the route information of each VPN. In this case, since each VPN is independent, there is no problem even if private addresses overlap among a plurality of VPNs. However, preparing a relay node for each VPN has problems in terms of management cost and construction cost. Therefore, it is desirable that route information of a plurality of VPNs can be collectively managed by one relay node.
[0017]
However, as described above, the destination information and the transfer destination address are associated with the route information. Normally, a private address that can be used by any user is used as the destination address. Therefore, when a plurality of VPNs are managed by one relay node, private addresses may be duplicated between VPNs. Therefore, a plurality of VPNs can be managed collectively only by the above route information. Can not.
[0018]
The present invention has been made in view of the above problems, and even when addresses overlap between VPNs, by providing a system capable of managing a plurality of VPNs collectively, VPNs of users using VPNs are provided. The purpose is to ease the management of the equipment and to eliminate variations in the security level of each site.
[0019]
[Means for Solving the Problems]
The present invention is a VPN system in which a plurality of private networks (VPNs) virtually built on a public network by tunneling communication exist, and tunneling is performed between base nodes installed at bases belonging to each VPN. communicating, comprising a relay node to independently relayed to each VPN, each site node forwards the packet for the outside all the relay nodes, the relay nodes is defined for each VPN, the VPN For each of the base nodes, there is route information that associates the address of the base node with the address of the terminal that is the final destination of the received packet included in the base node, and the packet received from which base node belongs to which VPN After the determination, the route information of the corresponding VPN and the terminal address of the final destination included in the received packet are displayed. The address of the base node corresponding to the terminal address of the final destination is specified, and the received packet is transferred to the specified transfer destination base node.
[0020]
In the VPN system configured as described above, the base node of each base performs VPN (tunneling) communication via the relay node. Then, after determining which VPN the base node belongs to, the relay node transfers the packet based on the path information of the corresponding VPN.
[0021]
By managing this relay node by a third party, the base node can perform VPN communication with each base only by registering the route information to the relay node. Management becomes easier.
[0022]
Further, since the relay node can manage a plurality of VPNs at once, the management man-hour and cost for each VPN can be greatly reduced.
[0023]
In a preferred aspect of the present invention, the relay node has an Internet connection function, and a transfer destination address for an address other than the address of the terminal at each base is registered in the route information in the route information. When the terminal at each site belonging to each VPN is connected to the Internet, the route information is referred to and the Internet is connected by the Internet connection function via a forwarding address for an address other than the address of the terminal at each site. It is characterized by that.
[0024]
In the VPN system configured in this way, each site always goes through a relay node when connecting to the Internet. Therefore, the conditions such as security at the time of Internet connection at each site are the conditions at the relay node. To decide.
[0025]
Therefore, the management of Internet connection conditions can be collectively managed, and network management at each site becomes easy.
[0026]
In another preferred aspect of the present invention, the relay node has a security check function, and performs security check when the terminal at each site belonging to each VPN is connected to the Internet.
[0027]
In the VPN system configured as described above, the security level of each base can be unified, and the security management can be unified by the relay node performing a security check.
[0028]
This onset Ming, by tunneling communication, private network built virtually on the public network (VPN) there is a plurality, the tons Neringu communication between the installed base node to bases belonging to each VPN a relay node to independently relayed to each VPN, determined for each VPN, per all locations nodes in VPN, the final destination of the received packet included in the address and該拠point node bases node terminals After determining which VPN the base node belongs to, the route information of the relevant VPN and the terminal address of the final destination included in the received packet are referred to. The base node address corresponding to the terminal address of the final destination is specified, and the received packet is specified. It is characterized by transferring to the destination base node.
[0029]
The relay node configured as described above can collectively manage a plurality of VPNs.
[0030]
Therefore, by installing this relay node in a data center or the like and managed by a third party, the base node can perform VPN communication with each base if the route information to the relay node is registered. Therefore, it becomes easy to manage the route information of the VPN device at each base.
[0031]
Further, since the relay node can manage a plurality of VPNs at once, the management man-hour and cost per VPN can be greatly reduced.
[0032]
In a preferred embodiment of the present invention, the relay node has an Internet connection function to connect the Internet, the route information, to the final destination address other than the address of the terminal at each location included in the received packet When the transfer destination address is registered and the terminal of each base belonging to each VPN is connected to the Internet, the route information is referred to and the Internet is transmitted via the transfer destination address for an address other than the address of the terminal of each base. wherein the Internet connection to Rukoto by connection function.
[0033]
In the relay node configured as described above, each base always goes through the relay node when connected to the Internet.
[0034]
Accordingly, conditions such as security at the time of Internet connection at each site are determined by conditions at the relay node.
[0035]
Therefore, it is possible to collectively manage the Internet connection conditions, and network management at each site becomes easy.
[0036]
Another preferred aspect of the present invention is characterized in that the terminal belonging to each base belonging to each VPN has a security check function for performing a security check when connecting to the Internet.
[0037]
In the relay node configured as described above, the security level of each base can be unified, and security management can be unified by the relay node performing a security check.
[0038]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, an embodiment of the present invention (hereinafter referred to as an embodiment) will be described with reference to the drawings.
[0039]
FIG. 1 is a network configuration diagram according to an embodiment of the present invention. In FIG. 1, there are VPNs of Company A and Company B, and each site has a VPN device (corresponding to a site node) installed at each site and data managed by a third party via the Internet 1. VPN (tunneling) communication is performed via the center 2 (corresponding to a relay node).
[0040]
Packets from bases belonging to each VPN pass through the router 3 installed in the data center, and are sent by the load balancer 4 to the VPN apparatus 5 installed in the data center with a low load. Then, the packet is transferred from the VPN apparatus 5 to the target site. The function of the VPN device may be realized using either hardware or software.
[0041]
The line 7 from each base to the ISP 6 includes an analog line, ISDN, ADSL, optical fiber, mobile phone, PHS, wireless LAN, satellite, CATV, cable broadcasting, etc., and is selected according to the communication speed and line cost.
[0042]
Here, the packet flow will be described in more detail.
[0043]
First, a case where the first sales office 11 of the A company accesses the intra server 8 of the head office 10 of the A company will be described. Here, the IP address of each device is defined as follows.
[0044]
Company A's first sales office PC: A
Company A head office intra-server: B
Company A's first sales office VPN equipment: C
Router installed in data center: D
Company A headquarters VPN device: E
Proxy server installed at data center: F
WWW server on the Internet: G
[0045]
An IP packet transmitted from the PC of the first sales office 11 of the A company to the intra server of the head office of the A company is as shown in FIG.
[0046]
When the VPN apparatus of the first sales office 11 of Company A receives this packet, it performs processing with reference to the route information in the VPN apparatus. The route information of the VPN device at each base (head office, sales office) is as shown in FIG. That is, the IP packet is set to be encapsulated and transmitted to the router 3 in the data center 2 for all the external IP addresses. The encapsulated packet to be transmitted is as shown in FIG.
[0047]
Thereafter, when it is transmitted to the Internet 1, it is transferred within the Internet based on the capsule header, so that it is transmitted to the router 3 in the data center 2.
[0048]
The packet received by the router 3 passes through the load balancer 4 shown in FIG. 1 and is sent to the VPN device 5 having a light load. The transmission source address in the capsule header received by the VPN apparatus 5 is an address assigned to the VPN apparatus at each site, and is a global IP address that can be uniquely identified in the Internet.
[0049]
From this global IP address, a VPN device belonging to which VPN device belongs is specified. FIG. 5 shows an example of a correspondence table between the global IP address of the VPN apparatus and the VPN.
[0050]
The global IP address of the source VPN apparatus in the capsule header of the received packet is obtained, and it is determined from the correspondence table shown in FIG.
[0051]
Since there is route information for determining the packet transfer destination for each VPN, it is determined from the correspondence table shown in FIG. 5 which VPN information belongs to which VPN information is to be selected. FIG. 6 shows an example of the selected route information.
[0052]
Further, the VPN apparatus 5 removes the capsule header and takes out the original packet. Then, referring to the route information shown in FIG. 6 determined earlier, it is determined that the destination IP address B of the extracted packet is an IP address in the head office, and the destination is determined to be the VPN apparatus at the head office. Further, since the presence or absence of encapsulation is present, the packet is encapsulated and transmitted with the transmission source and destination headers added thereto. The capsule at this time is as shown in FIG.
[0053]
The encapsulated packet is transmitted to the Internet, and transferred to the VPN apparatus at the head office based on the destination of the capsule header. The VPN apparatus at the head office removes the capsule header and takes out the packet. Then, the data is transferred to the intra server 8 having the IP address B in the head office.
[0054]
As described above, since the packet is protected by the capsule in the Internet 1, the communication between the head office and the sales office is kept safe. The above has described an example of accessing the intra-office server at the head office from a personal computer at the sales office. However, VPN communication is performed in exactly the same way from the head office to the sales office and between the sales office and the sales office.
[0055]
Further, in the VPN apparatus installed in the data center, after determining which VPN apparatus belongs to which VPN apparatus based on the correspondence table of FIG. 5, the path information of the corresponding VPN is determined.
[0056]
As described above, based on the address of the VPN apparatus installed at each base, that is, the global IP address uniquely determined in the Internet, it is determined which VPN the packet belongs to.
[0057]
Therefore, even if the address of a personal computer or the like in each base uses a private IP address that may be duplicated for each VPN, a packet can be transferred for each VPN without any problem.
[0058]
Next, the case where the personal computer at each site accesses the WWW server 9 on the Internet will be described.
[0059]
In order to simplify the explanation, consider the case where the WWW server 9 on the Internet is accessed from the same personal computer of the first sales office 11 of Company A as described above. The IP address of the personal computer of Company A's first sales office is A, and the IP address of the WWW server 9 is G.
[0060]
When accessing the WWW server 9 on the Internet via a data center from a personal computer in Company A's first business office, the global IP address C of the VPN device in Company A's first business office and the company A's first business office The IP address A of the personal computer is stored in a proxy server installed in the data center.
[0061]
Then, for the packet returned from the WWW server 9 to the proxy server, the global IP address of the VPN device in the first sales office of Company A and the IP address of the personal computer are restored and transmitted to the VPN device in the data center.
[0062]
The VPN apparatus in the data center determines which VPN belongs to the global IP address of the source VPN apparatus stored in the proxy server, acquires the corresponding route information shown in FIG. 6, encapsulates it according to this, and encapsulates it on the Internet. Send.
[0063]
This capsule reaches the VPN device of Company A's first sales office and is further sent to a personal computer. Note that the PCs in the sales office include PCs in work places, warehouses, temporary storage places, mobile bases, etc., and are effective for those that are temporarily installed or moved.
[0064]
As can be seen from the above description, communication between a personal computer in each site and a WWW server on the Internet passes through a firewall in the data center.
[0065]
When communicating directly with a WWW server on the Internet from each site, the security level depends on the firewall at each site. However, according to the present invention, the security level is unified at a plurality of bases constituting the VPN, and the security level is centrally managed by the firewall in the data center managed by a third party. Therefore, security management can be performed with high quality and efficiency.
[0066]
In the data center of FIG. 1, a proxy server is also mounted on the firewall. Here, the proxy server is set as a transparent proxy. In the transparent proxy, a gateway (here, a VPN device) automatically passes an HTTP packet to a proxy server. As a result, the personal computer in the firewall can access the Internet without being aware of the existence of the proxy server.
[0067]
Since the PCs in each site are in the firewall with respect to the firewall in the data center when accessing the Internet, setting the proxy server in the data center as a transparent proxy allows the PCs in each site to proxy for each computer. You can access the Internet regardless of your settings.
[0068]
Virus propagation can be monitored and removed by a virus check server in the data center.
[0069]
By measuring the amount of traffic that passes through the VPN device at the data center for each global IP address of the VPN device at each site, it becomes possible to grasp the traffic for each VPN and the traffic at each site in detail. It can also be used for billing.
[0070]
According to the present invention, since communication is performed via a data center, the traffic volume of each VPN can be measured at one relay node installed in the data center or the like, so the traffic volume at each site can be measured efficiently. can do.
[0071]
【The invention's effect】
As described above, according to the present invention, bases belonging to each VPN perform VPN communication via a relay node owned by the third party, thereby allowing the third party to manage the VPN. And management man-hours can be reduced.
[0072]
In addition, since a relay node can be used as a waypoint for a plurality of VPNs, when managing a relay node in a data center or the like, it is possible to reduce hardware costs, software costs, and management man-hours per VPN. .
[0073]
Further, since a plurality of VPNs communicate via the relay node, the traffic volume of the plurality of VPNs can be measured at one relay node. Therefore, there is an effect that the traffic volume measurement of a plurality of VPNs can be performed very efficiently. Further, the traffic volume measurement result can be used for billing or the like.
[0074]
In addition, according to the present invention, when accessing the Internet from a personal computer in a base belonging to a VPN, the security level of each base can be unified because it passes through the firewall in the relay node.
[0075]
Further, if a security check is performed by a firewall in the relay node managed by a person having specialized security skills, the security management is unified and the security management can be performed with high quality and efficiency.
[0076]
Further, according to the present invention, by setting the proxy server in the relay node as a transparent proxy, it is possible to access the Internet from a personal computer in the private network without depending on the proxy setting of the personal computer. When the transparent proxy is not used, it is necessary to perform enormous work of setting the proxy to be used for all the PCs at all the bases.
[0077]
Furthermore, it is possible to monitor and remove virus propagation by a virus check server in the relay node.
[Brief description of the drawings]
FIG. 1 is a network configuration diagram according to an embodiment of the present invention.
FIG. 2 is an image diagram showing a packet that is not encapsulated.
FIG. 3 is an image diagram showing an encapsulated packet.
FIG. 4 is an example of route information held by a VPN apparatus at each base in the embodiment of the present invention.
FIG. 5 is an example of a correspondence table held by a VPN apparatus installed in a data center in the embodiment of the present invention.
FIG. 6 is an example of route information held by a VPN apparatus installed in a data center in the embodiment of the present invention.
[Explanation of symbols]
1 Internet, 2 data center (relay node), 3 router, 4 load balancer, 5 VPN device, 6 ISP, 7 lines, 8 intra server, 9 WWW server, 10 A company headquarters, 11 A company first sales office, 20 Company B headquarters, Company B first sales office.

Claims (6)

トンネリング通信することで、公衆ネットワーク上に仮想的に構築されるプライベートネットワーク(VPN)が複数存在するVPNシステムであって、
各VPNに属する拠点に設置された拠点ノード間でのトンネリング通信を、各VPNごとに独立して中継する中継ノードを備え、
前記各拠点ノードは、外部向けのパケットをすべて前記中継ノードに転送し、
前記中継ノードは、各VPNごとに定められ、VPN内のすべての拠点ノードにつき、拠点ノードのアドレスと該拠点ノードに含まれる受信パケットの最終あて先となる端末のアドレスとを関連付けた経路情報を有し、どのVPNに属する拠点ノードから受信したパケットかを判断した後、該当するVPNの経路情報とその受信パケットに含まれる最終あて先の端末アドレスとを参照し、その最終あて先の端末アドレスに対応する拠点ノードのアドレスを特定し、その受信パケットを特定した転送先拠点ノードに転送することを特徴とするVPNシステム。A VPN system in which a plurality of private networks (VPNs) virtually constructed on a public network by tunneling communication exist,
A relay node that relays tunneling communication between base nodes installed at bases belonging to each VPN independently for each VPN;
Each base node forwards all external packets to the relay node,
The relay node is determined for each VPN, and has routing information that associates the address of the base node with the address of the terminal that is the final destination of the received packet included in the base node for all base nodes in the VPN. Then, after determining from which base node the VPN belongs to which VPN, the route information of the corresponding VPN and the terminal address of the final destination included in the received packet are referred to, and the terminal address of the final destination is corresponded A VPN system characterized by specifying an address of a base node and transferring the received packet to the specified transfer destination base node. 請求項1に記載のVPNシステムであって、
前記中継ノードは、インターネット接続機能を有し、
前記経路情報には、受信パケットに含まれる最終あて先が前記各拠点の端末のアドレス以外のアドレスに対する転送先アドレスが登録され、
各VPNに属する各拠点に属する前記端末がインターネット接続する場合、前記経路情報を参照し、前記各拠点の端末のアドレス以外のアドレスに対する転送先アドレスを経由して、前記インターネット接続機能によりインターネット接続することを特徴とするVPNシステム。The VPN system according to claim 1,
The relay node has an Internet connection function,
In the route information, a transfer destination address for an address other than the address of the terminal of each base is registered as the final destination included in the received packet,
When the terminal belonging to each site belonging to each VPN is connected to the Internet, the route information is referred to, and the Internet connection function is connected via the transfer destination address to an address other than the address of the terminal of each site. VPN system characterized by this. 請求項2に記載のVPNシステムであって、
前記中継ノードは、セキュリティチェック機能を有し、各VPNに属する各拠点に属する前記端末がインターネット接続する際に、セキュリティチェックを行うことを特徴とするVPNシステム。The VPN system according to claim 2, wherein
The VPN system has a security check function, and performs a security check when the terminal belonging to each site belonging to each VPN connects to the Internet. トンネリング通信することで、公衆ネットワーク上に仮想的に構築されるプライベートネットワーク(VPN)が複数存在し、各VPNに属する拠点に設置された拠点ノード間でのトネリング通信を各VPNごとに独立して中継する中継ノードであって、
各VPNごとに定められ、VPN内のすべての拠点ノードにつき、拠点ノードのアドレスと該拠点ノードに含まれる受信パケットの最終あて先となる端末のアドレスとを関連付けた経路情報を有し、どのVPNに属する拠点ノードから受信したパケットかを判断した後、該当するVPNの経路情報とその受信パケットに含まれる最終あて先の端末アドレスとを参照し、その最終あて先の端末アドレスに対応する拠点ノードのアドレスを特定し、その受信パケットを特定した転送先拠点ノードに転送することを特徴とする中継ノード。By tunneling communication, private network built virtually on the public network (VPN) there are multiple, independent tons Neringu communication between the installed base node to bases belonging to each VPN to each VPN A relay node that relays
It is determined for each VPN, and has route information that associates the address of the base node with the address of the terminal that is the final destination of the received packet included in the base node for all base nodes in the VPN. After determining whether the packet is received from the base node to which it belongs, the route information of the corresponding VPN and the terminal address of the final destination included in the received packet are referred to, and the address of the base node corresponding to the terminal address of the final destination is determined. relay node, wherein the identified and transferred to the transfer destination base node identified the received packet. 請求項4に記載の中継ノードにおいて、
前記中継ノードはインターネット接続機能を有し、
前記経路情報には、受信パケットに含まれる最終あて先が各拠点の端末のアドレス以外のアドレスに対する転送先アドレスが登録され、
各VPNに属する各拠点に属する前記端末がインターネット接続する場合、前記経路情報を参照し、前記各拠点の端末のアドレス以外のアドレスに対する転送先アドレスを経由して、前記インターネット接続機能によりインターネット接続することを特徴とする中継ノード。In the relay node according to claim 4,
The relay node has an Internet connection function ,
In the route information, a transfer destination address for an address other than the address of the terminal of each base is registered as the final destination included in the received packet,
If the terminal belonging to each location belonging to each VPN is Internet connection, the reference to the route information, via a forwarding address the relative address other than the address of the base terminal, Internet connection by the Internet connection function relay node, wherein to Rukoto. 請求項5に記載の中継ノードにおいて、
各VPNに属する各拠点に属する前記端末がインターネット接続する際に、セキュリティチェックを行うセキュリティチェック機能を有することを特徴とする中継ノード。In the relay node according to claim 5,
A relay node having a security check function for performing a security check when the terminal belonging to each site belonging to each VPN connects to the Internet.
JP2002313852A 2002-10-29 2002-10-29 Virtual private network (VPN) system and relay node Expired - Fee Related JP3668731B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002313852A JP3668731B2 (en) 2002-10-29 2002-10-29 Virtual private network (VPN) system and relay node

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002313852A JP3668731B2 (en) 2002-10-29 2002-10-29 Virtual private network (VPN) system and relay node

Publications (2)

Publication Number Publication Date
JP2004153366A JP2004153366A (en) 2004-05-27
JP3668731B2 true JP3668731B2 (en) 2005-07-06

Family

ID=32458332

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002313852A Expired - Fee Related JP3668731B2 (en) 2002-10-29 2002-10-29 Virtual private network (VPN) system and relay node

Country Status (1)

Country Link
JP (1) JP3668731B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730294B2 (en) * 2004-06-04 2010-06-01 Nokia Corporation System for geographically distributed virtual routing
US20060059043A1 (en) * 2004-09-14 2006-03-16 Chan Wesley T Method and system to provide wireless access at a reduced rate
JP4561983B2 (en) * 2005-01-13 2010-10-13 日本電気株式会社 Local content connection system, mobile terminal, local content connection method, and client program
JP4495049B2 (en) * 2005-08-10 2010-06-30 エヌ・ティ・ティ・コミュニケーションズ株式会社 Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device
WO2007094059A1 (en) * 2006-02-15 2007-08-23 R & W, Inc. Data transmitting and receiving method
JP4727460B2 (en) * 2006-03-09 2011-07-20 株式会社エヌ・ティ・ティ・データ VPN management apparatus, program, and VPN management method
JP4603505B2 (en) * 2006-05-10 2010-12-22 富士通株式会社 Packet routing control program, packet routing control method, and computer system
JP5589210B2 (en) * 2010-03-31 2014-09-17 株式会社ネクステック Information processing apparatus, program, information processing method, and information processing system
JP2013077995A (en) * 2011-09-30 2013-04-25 Ntt Data Corp Vpn system and vpn connection method
CN103840995B (en) * 2012-11-26 2017-10-24 华为技术有限公司 IP message processing methods, device and network system

Also Published As

Publication number Publication date
JP2004153366A (en) 2004-05-27

Similar Documents

Publication Publication Date Title
EP1413094B1 (en) Distributed server functionality for emulated lan
US7117530B1 (en) Tunnel designation system for virtual private networks
US10454880B2 (en) IP packet processing method and apparatus, and network system
US7317717B2 (en) Integrated wireline and wireless end-to-end virtual private networking
US7263106B2 (en) System and protocol for frame relay service over the internet
JP2004510358A (en) Method and apparatus for handling network data transmission
CN111884902B (en) VPN scene network shunting method and device
JP3668731B2 (en) Virtual private network (VPN) system and relay node
CN109600292A (en) A kind of LAC router initiates the method and system of L2TP Tunnel connection from dialing
JP2007104440A (en) Packet transmission system, its method, and tunneling device
JP2002141952A (en) Virtual network and virtual network connection system
WO2005081464A1 (en) Access network system, subscriber station device, and network terminal device
US7054321B1 (en) Tunneling ethernet
CN103036761B (en) A kind of tunnel server and client terminal device
JP5345651B2 (en) Secure tunneling platform system and method
CN103095862A (en) Connection Server, Communication System, And Communication Method
CN110086720B (en) Method and system for realizing L3VPN based on two-dimensional routing protocol
JP3490358B2 (en) Inter-network communication method, server device, and inter-network communication system
CN112769670B (en) VPN data security access control method and system
WO2003003664A1 (en) System and method for address and key distribution in virtual networks
JP4088179B2 (en) Network device connection management device
US20050216598A1 (en) Network access system and associated methods
EP1686756B1 (en) Communication system, method and apparatus for providing mirroring service in the communication system
KR102694199B1 (en) L2-based virtual private network management device for network separation between apartment houses
JPH07212364A (en) Wireless LAN device

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040924

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041019

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050411

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080415

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110415

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140415

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees