[go: up one dir, main page]

JP2019169773A - Communication control device, information processing system, control method, and program - Google Patents

Communication control device, information processing system, control method, and program Download PDF

Info

Publication number
JP2019169773A
JP2019169773A JP2018054235A JP2018054235A JP2019169773A JP 2019169773 A JP2019169773 A JP 2019169773A JP 2018054235 A JP2018054235 A JP 2018054235A JP 2018054235 A JP2018054235 A JP 2018054235A JP 2019169773 A JP2019169773 A JP 2019169773A
Authority
JP
Japan
Prior art keywords
information
communication control
transmission
network
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018054235A
Other languages
Japanese (ja)
Other versions
JP7087516B2 (en
Inventor
遊 土屋
Yu Tsuchiya
遊 土屋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2018054235A priority Critical patent/JP7087516B2/en
Publication of JP2019169773A publication Critical patent/JP2019169773A/en
Application granted granted Critical
Publication of JP7087516B2 publication Critical patent/JP7087516B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】異なるセグメントを有する複数のネットワーク間の通信に仮想LANを適用したシステムにおいて、仮想LANに対応していない情報処理装置に対しても送受信情報の通信を行うことができる。【解決手段】複数のネットワークは、仮想LANのタグ情報を含まない第1のデータの通信を行う第1のネットワークと、タグ情報を含む第2のデータの通信を行う第2のネットワークとを含む。通信制御装置30は、情報処理装置10またはネットワーク機器から送受信情報を取得する取得手段と、取得された送受信情報に含まれる送信先および送信元の宛先情報のうちの少なくとも一方が、第1のネットワークに接続されたネットワーク機器である場合、取得された送受信情報を、送信先である情報処理装置10またはネットワーク機器へ送信する通信制御手段と、を備える。【選択図】図1In a system in which a virtual LAN is applied to communication between a plurality of networks having different segments, transmission / reception information communication can be performed even with an information processing apparatus that does not support the virtual LAN. The plurality of networks include a first network for communicating first data not including tag information of a virtual LAN, and a second network for communicating second data including tag information. . The communication control device 30 includes: an acquisition unit configured to acquire transmission / reception information from the information processing device 10 or a network device; If the network device is connected to a network device, the communication device includes communication control means for transmitting the acquired transmission / reception information to the information processing device 10 or the network device as the transmission destination. [Selection diagram] Fig. 1

Description

本発明は、通信制御装置、情報処理システム、制御方法およびプログラムに関する。   The present invention relates to a communication control device, an information processing system, a control method, and a program.

企業等の組織体内におけるネットワークシステムは、同じ組織体内でも異なるセグメントを有する複数のネットワークが存在することがある。このような場合、異なるネットワークに属する装置の間における通信は、例えば、ルータ等のネットワーク機器を介して行われる。   A network system in an organization such as a company may have a plurality of networks having different segments even in the same organization. In such a case, communication between devices belonging to different networks is performed via a network device such as a router, for example.

一方で、同じ組織体内でも異なるネットワークに属する装置の間における通信を制限したい場合がある。例えば、個人情報等の秘匿すべき情報が流れるネットワークと、売上や人事データ等の個人情報よりは秘匿性が高くない情報が流れるOA(Office Automation)系のネットワークが存在するような場合である。   On the other hand, there are cases where it is desired to restrict communication between devices belonging to different networks even within the same organization. For example, there is a network in which information to be concealed such as personal information flows and an OA (Office Automation) network in which information that is not concealed more than personal information such as sales and personnel data exists.

このようなシステムにおいて、異なるセグメントを有するネットワークを追加したい場合、タグVLAN(tagged Virtual Local Area Network:IEEE802.1Q等)を用いる技術が知られている。ネットワークシステムを構成する装置をタグVLANに対応させることで、物理的なリソースを追加せずに、柔軟にネットワークを構築することができる。   In such a system, a technique using a tagged VLAN (tagged Virtual Local Area Network: IEEE802.1Q) is known when it is desired to add a network having different segments. By making the devices constituting the network system compatible with the tag VLAN, the network can be flexibly constructed without adding physical resources.

例えば、特許文献1は、ネットワークのセキュリティを確保しつつ、共通の装置へのアクセスを可能にする目的で、ネットワーク中継装置が通信パケットの送信元ネットワークおよび宛先に関する情報に基づいて、通信パケットのVLANタグの処理と送信元アドレスの変換を行う技術を開示している。   For example, Patent Document 1 discloses that a network relay device uses a communication packet VLAN based on information on a transmission source network and a destination of a communication packet for the purpose of enabling access to a common device while ensuring network security. A technique for tag processing and source address conversion is disclosed.

しかしながら、特許文献1は、VLAN等の仮想LANのタグ処理および通信パケット(例えば、送受信情報)の送信元アドレス(例えば、宛先情報)の変換の両方を行わずに通信を行う方法を開示していない。そのため、仮想LANの機能に対応していない装置(例えば、情報処理装置)の場合、送受信情報の通信を行うことができないという課題があった。   However, Patent Document 1 discloses a method of performing communication without performing both tag processing of a virtual LAN such as VLAN and conversion of a source address (for example, destination information) of a communication packet (for example, transmission / reception information). Absent. Therefore, in the case of a device that does not support the virtual LAN function (for example, an information processing device), there is a problem that communication of transmission / reception information cannot be performed.

本発明に係る通信制御装置は、少なくとも一つの情報処理装置と、異なるセグメントを有する複数のネットワークのそれぞれに接続された複数のネットワーク機器との間の送受信情報の通信を制御する通信制御装置であって、前記複数のネットワークは、仮想LANのタグ情報を含まない第1のデータの通信を行う第1のネットワークと、前記タグ情報を含む第2のデータの通信を行う第2のネットワークとを含み、前記情報処理装置または前記ネットワーク機器から前記送受信情報を取得する取得手段と、前記取得された送受信情報に含まれる送信先および送信元の宛先情報のうちの少なくとも一方が、前記第1のネットワークに接続されたネットワーク機器である場合、前記取得された送受信情報を、前記送信先である前記情報処理装置または前記ネットワーク機器へ送信する通信制御手段と、を備える。   A communication control apparatus according to the present invention is a communication control apparatus that controls communication of transmission / reception information between at least one information processing apparatus and a plurality of network devices connected to each of a plurality of networks having different segments. The plurality of networks include a first network that performs communication of first data that does not include tag information of the virtual LAN, and a second network that performs communication of second data that includes the tag information. , At least one of acquisition means for acquiring the transmission / reception information from the information processing apparatus or the network device, and transmission destination and transmission destination information included in the acquired transmission / reception information is stored in the first network. In the case of a connected network device, the acquired information is sent to the information processing apparatus as the transmission destination. Other and a communication control means for transmitting to the network device.

本発明によれば、異なるセグメントを有する複数のネットワーク間の通信に仮想LANを適用したシステムにおいて、仮想LANに対応していない情報処理装置に対しても送受信情報の通信を行うことができる。   According to the present invention, in a system in which a virtual LAN is applied to communication between a plurality of networks having different segments, transmission / reception information can be communicated to an information processing apparatus that does not support the virtual LAN.

一実施形態に係る情報処理システムのシステム構成の一例を示す図である。It is a figure which shows an example of the system configuration | structure of the information processing system which concerns on one Embodiment. 一実施形態に係るコンピュータのハードウエア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the computer which concerns on one Embodiment. 一実施形態に係る通信制御装置の機能構成の一例を示す図である。It is a figure which shows an example of a function structure of the communication control apparatus which concerns on one Embodiment. 一実施形態に係るネットワーク管理テーブルの一例を示す図である。It is a figure which shows an example of the network management table which concerns on one Embodiment. 一実施形態に係る宛先管理テーブルの一例を示す図である。It is a figure which shows an example of the destination management table which concerns on one Embodiment. 一実施形態に係る通信制御装置の各部のIPアドレスを説明するための図である。It is a figure for demonstrating the IP address of each part of the communication control apparatus which concerns on one Embodiment. 一実施形態に係る通信制御装置の各部のIPアドレスを説明するための図である。It is a figure for demonstrating the IP address of each part of the communication control apparatus which concerns on one Embodiment. 一実施形態に係るブリッジ通信制御部の機能構成の一例を示す図である。It is a figure which shows an example of a function structure of the bridge | bridging communication control part which concerns on one Embodiment. 一実施形態に係る通信制御情報の一例を示す図である。It is a figure which shows an example of the communication control information which concerns on one Embodiment. 一実施形態に係るNAPT通信制御部の機能構成の一例を示す図である。It is a figure which shows an example of a function structure of the NAPT communication control part which concerns on one Embodiment. 一実施形態に係る第1のNAPT通信制御部の通信経路制御情報の一例を示す図である。It is a figure which shows an example of the communication path control information of the 1st NAPT communication control part which concerns on one Embodiment. 一実施形態に係る第2のNAPT通信制御部の通信経路制御情報の一例を示す図である。It is a figure which shows an example of the communication path control information of the 2nd NAPT communication control part which concerns on one Embodiment. 一実施形態に係るタグ処理部の処理フローを説明するための図である。It is a figure for demonstrating the processing flow of the tag process part which concerns on one Embodiment. 一実施形態に係る通信制御装置における、ネットワーク機器から情報処理装置へパケット情報を送信する際の処理フローを説明するためのフローチャートである。It is a flowchart for demonstrating the processing flow at the time of transmitting packet information from a network device to an information processing apparatus in the communication control apparatus which concerns on one Embodiment. 一実施形態に係る通信制御装置における、情報処理装置からネットワーク機器へファイル情報を送信する際の処理フローを説明するためのフローチャートである。It is a flowchart for demonstrating the processing flow at the time of transmitting file information from an information processing apparatus to a network device in the communication control apparatus which concerns on one Embodiment. 一実施形態の情報処理システムにおいて、ネットワークNet_A系のネットワーク機器から情報処理装置へ送信されるパケット情報の流れを説明するためのシーケンス図である。FIG. 6 is a sequence diagram for explaining a flow of packet information transmitted from a network Net_A system network device to an information processing device in the information processing system according to the embodiment. 一実施形態の情報処理システムにおいて、ネットワークNet_B系のネットワーク機器から情報処理装置へ送信されるパケット情報の流れを説明するためのシーケンス図である。FIG. 6 is a sequence diagram for explaining a flow of packet information transmitted from a network Net_B system network device to an information processing device in the information processing system according to the embodiment. その他の実施形態に係る情報処理システムのシステム構成の一例を示す図である。It is a figure which shows an example of the system configuration | structure of the information processing system which concerns on other embodiment. その他の実施形態に係る情報処理装置の機能構成の一例を示す図である。It is a figure which shows an example of a function structure of the information processing apparatus which concerns on other embodiment.

以下、図面を参照しながら、発明を実施するための形態を説明する。なお、図面の説明において同一要素には同一符号を付し、重複する説明は省略する。   Hereinafter, embodiments for carrying out the invention will be described with reference to the drawings. In the description of the drawings, the same elements are denoted by the same reference numerals, and redundant descriptions are omitted.

●実施形態●
●システム構成
図1は、一実施形態に係る情報処理システムのシステム構成の一例を示す図である。図1に示す情報処理システムは、異なるセグメントを有する複数のネットワーク間の通信にタグVLAN(tagged Virtual Local Area Network:IEEE802.1Q等)等の仮想LANを適用したシステムにおいて、仮想LANに対応していない情報処理装置10に対しても送受信情報の通信を行うことが可能なシステムである。これによって、本実施形態に係る情報処理システムは、情報処理装置10が仮想LANに対応しているか否かに関わらず、情報処理装置10を仮想LANに対応したより大規模なネットワークに接続させることができる。 ● Embodiment ●
System Configuration FIG. 1 is a diagram illustrating an example of a system configuration of an information processing system according to an embodiment. The information processing system shown in FIG. 1 supports a virtual LAN in a system in which a virtual LAN such as a tagged VLAN (tagged Virtual Local Area Network: IEEE802.1Q) is applied to communication between a plurality of networks having different segments. This is a system capable of communicating transmission / reception information even with no information processing apparatus 10. Thereby, the information processing system according to the present embodiment connects the information processing apparatus 10 to a larger network that supports the virtual LAN regardless of whether the information processing apparatus 10 supports the virtual LAN. Can do.

図1に示す情報処理システムは、情報処理装置10、通信制御装置30、VLAN対応スイッチ50、ルータ70(70a、70b、70c、以下、区別する必要のないときは、ルータ70とする。)、クライアント端末80(80a、80aa、80b、80bb、80c、80cc、以下、区別する必要のないときは、クライアント端末80とする。)およびサーバ装置90(90a、90b、90b、90c、以下、区別する必要のないときは、サーバ装置90とする。)によって構成される。   The information processing system shown in FIG. 1 includes an information processing device 10, a communication control device 30, a VLAN-compatible switch 50, and a router 70 (70a, 70b, 70c, hereinafter referred to as a router 70 when it is not necessary to distinguish). Client terminal 80 (80a, 80aa, 80b, 80bb, 80c, 80cc, hereinafter referred to as client terminal 80 when it is not necessary to distinguish) and server device 90 (90a, 90b, 90b, 90c, hereinafter distinguished) When it is not necessary, the server device 90 is used.

情報処理装置10は、通信制御装置30およびVLAN対応スイッチ50を介して、複数のネットワーク(Net_A0、Net_B0、Net_C0)にそれぞれ接続されている。VLAN対応スイッチ50のNativeVLANに対応するポートは、ネットワークNet_A0に接続されている。NativeVLANは、VLANタグ(VLAN ID)が付加されていないパケット情報を送受信可能なVLANである。   The information processing device 10 is connected to a plurality of networks (Net_A0, Net_B0, Net_C0) via the communication control device 30 and the VLAN compatible switch 50, respectively. The port corresponding to the Native VLAN of the VLAN switch 50 is connected to the network Net_A0. The Native VLAN is a VLAN that can transmit and receive packet information without a VLAN tag (VLAN ID) added thereto.

VLAN対応スイッチ50のVLAN10に対応するポートは、ネットワークNet_B0に接続されている。VLAN対応スイッチ50のVLAN30に対応するポートは、ネットワークNet_C0に接続されている。VLAN対応スイッチ50のトランキングポート(Trunk)は、通信制御装置30に接続されている。情報処理装置10は、通信制御装置30に接続されている。情報処理装置10は、タグVLANに対応していない装置である。なお、情報処理装置10のネットワークインターフェースは、例えば、「00-00-5E-00-53-22」のMACアドレスを有している。   The port corresponding to the VLAN 10 of the VLAN switch 50 is connected to the network Net_B0. The port corresponding to the VLAN 30 of the VLAN compatible switch 50 is connected to the network Net_C0. The trunking port (Trunk) of the VLAN compatible switch 50 is connected to the communication control device 30. The information processing apparatus 10 is connected to the communication control apparatus 30. The information processing apparatus 10 is an apparatus that does not support the tag VLAN. Note that the network interface of the information processing apparatus 10 has a MAC address of “00-00-5E-00-53-22”, for example.

ネットワークNet_A0は、ルータ70aを介して、ネットワークNet_A1に接続されている。ネットワークNet_B0は、ルータ70bを介して、ネットワークNet_B1に接続されている。また、ネットワークNet_C0は、ルータ70cを介して、ネットワークNet_C1に接続されている。さらに、情報処理装置10は、ネットワークNet_C0およびネットワークNet_Iを介して、インターネットに接続されている。   The network Net_A0 is connected to the network Net_A1 via the router 70a. The network Net_B0 is connected to the network Net_B1 via the router 70b. The network Net_C0 is connected to the network Net_C1 via the router 70c. Furthermore, the information processing apparatus 10 is connected to the Internet via the network Net_C0 and the network Net_I.

通信制御装置30およびVLAN対応スイッチ50を介して情報処理装置10に接続されるネットワークは、ネットワークNet_A0およびネットワークNet_A1をグループとしたネットワークNet_A系、ネットワークNet_B0およびネットワークNet_B1をグループとしたネットワークNet_B系、ネットワークNet_C0およびネットワークNet_C1をグループとしたネットワークNet_C系に分離されている。   The network connected to the information processing apparatus 10 via the communication control device 30 and the VLAN switch 50 includes a network Net_A system in which the network Net_A0 and the network Net_A1 are grouped, a network Net_B system in which the network Net_B0 and the network Net_B1 are grouped, and a network The network Net_C is divided into a network Net_C0 and a network Net_C1.

また、各系のネットワークの間は、IP(Internet Protocol)通信ができないように分離されている。なお、ネットワークNet_A系およびネットワークNet_B系は、通信セキュリティを考慮して、インターネットには接続できない構成となっているが、両者をインターネットに接続可能としてもよい。ネットワークNet_A0系のネットワークは、第1のネットワークの一例である。ネットワークNet_B0系またはネットワークNet_C0系のネットワークは、第2のネットワークの一例である。   In addition, the networks of each system are separated so that IP (Internet Protocol) communication cannot be performed. Note that the network Net_A system and the network Net_B system are configured so that they cannot be connected to the Internet in consideration of communication security, but both may be connectable to the Internet. The network Net_A0 system is an example of a first network. The network Net_B0 system or the network Net_C0 system network is an example of a second network.

本実施形態に係る情報処理システムは、互いに通信できないように分離された異なるセグメントを有する複数のネットワークにルータ70が設けられていることを前提として、直接接続されているネットワーク以外のネットワークへの経路についても制御する。これにより、本実施形態に係る情報処理システムは、複数のネットワーク間でルータ70を介した通信が可能となり、情報処理装置10を大規模なネットワークで利用可能としている。なお、本実施形態は、各系のネットワーク間で、IP通信ができないように分離されていることとして説明を進めるが、セキュリティの要件等に応じて、各系のネットワーク間で通信可能としてもよい。   The information processing system according to the present embodiment assumes that the router 70 is provided in a plurality of networks having different segments separated so that they cannot communicate with each other, and a route to a network other than the directly connected network Also controls. Thereby, the information processing system according to the present embodiment enables communication via the router 70 between a plurality of networks, and the information processing apparatus 10 can be used in a large-scale network. Although the present embodiment will be described as being separated so that IP communication is not possible between networks of each system, communication between networks of each system may be possible depending on security requirements and the like. .

クライアント端末80a、クライアント端末80bおよびクライアント端末80cは、ネットワークNet_A0、ネットワークNet_B0およびネットワークNet_C0に、それぞれ接続される。クライアント端末80aおよびサーバ装置90aは、ネットワークNet_A1に接続される。また、クライアント端末80bおよびサーバ装置90bは、ネットワークNet_B1に接続される。さらに、クライアント端末80cおよびサーバ装置90cは、ネットワークNet_C1に接続される。各ネットワークにそれぞれ接続されたクライアント端末80およびサーバ装置90は、通信制御装置30およびVLAN対応スイッチ50を介して、情報処理装置10と通信を行うことができる。   The client terminal 80a, the client terminal 80b, and the client terminal 80c are connected to the network Net_A0, the network Net_B0, and the network Net_C0, respectively. The client terminal 80a and the server device 90a are connected to the network Net_A1. The client terminal 80b and the server device 90b are connected to the network Net_B1. Further, the client terminal 80c and the server device 90c are connected to the network Net_C1. The client terminal 80 and the server device 90 connected to each network can communicate with the information processing device 10 via the communication control device 30 and the VLAN compatible switch 50.

情報処理装置10は、例えば、プリント機能、コピー機能、スキャナ機能およびFAX機能といった複数の機能を1つの筐体で実現する複合機等の画像形成装置である。画像形成装置は、複合機のほか、MFP(Multifunction Peripheral)、複写機等と呼ばれてもよい。情報処理装置10は、プリント機能、コピー機能、スキャナ機能またはFAX機能の1つだけを有していてもよい。この場合、情報処理装置10はプリンタ、複写機、スキャナ装置またはFAX装置と呼ばれる。また、情報処理装置10は、各機能を実行するための一または複数のアプリケーションがインストールされている。   The information processing apparatus 10 is an image forming apparatus such as a multifunction peripheral that realizes a plurality of functions such as a print function, a copy function, a scanner function, and a FAX function in a single housing. The image forming apparatus may be called an MFP (Multifunction Peripheral), a copier, or the like in addition to a multifunction peripheral. The information processing apparatus 10 may have only one of a print function, a copy function, a scanner function, or a FAX function. In this case, the information processing apparatus 10 is called a printer, a copier, a scanner apparatus, or a FAX apparatus. In the information processing apparatus 10, one or more applications for executing each function are installed.

なお、情報処理装置10は、IP通信が可能な装置であれば、画像形成装置に限られない。情報処理装置10は、例えば、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、デジタルサイネージ等の出力装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、ノートPC(Personal Computer)、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPCまたはデスクトップPC等でもあってもよい。   The information processing apparatus 10 is not limited to an image forming apparatus as long as it can perform IP communication. The information processing apparatus 10 includes, for example, a PJ (Projector), an IWB (Interactive White Board), an output device such as a digital signage, and a HUD (Head Up Display) device. , Output devices such as digital signage, industrial machines, imaging devices, sound collectors, medical equipment, network home appliances, notebook PCs (Personal Computers), mobile phones, smartphones, tablet terminals, game machines, PDAs (Personal Digital Assistants), digital It may be a camera, a wearable PC, a desktop PC, or the like.

通信制御装置30は、ネットワークNet_A系、ネットワークNet_B系およびネットワークNet_C系の各系間の通信を制限し、ネットワークNet_A系と情報処理装置10との間の通信、ネットワークNet_B系と情報処理装置10との間の通信およびネットワークNet_C系と情報処理装置10との間の通信を可能とする装置である。   The communication control device 30 restricts communication between each system of the network Net_A system, the network Net_B system, and the network Net_C system, and the communication between the network Net_A system and the information processing apparatus 10, and the network Net_B system and the information processing apparatus 10 And communication between the network Net_C system and the information processing apparatus 10.

VLAN対応スイッチ50は、VLAN10に対応するポートに接続されたネットワークNet_B0を介して送受信されるパケット情報に、「10」のVLANタグの付加または除去を行う。また、VLAN対応スイッチ50は、VLAN30に対応するポートに接続されたネットワークNet_C0を介して送受信されるパケット情報に、「30」のVLANタグの付加または除去を行う。一方で、VLAN対応スイッチ50は、NativeVLANに対応するポートに接続されたネットワークNet_A0を介して送受信されるパケット情報に、VLANタグの処理(VLANタグの付加または除去)は行わない。   The VLAN compatible switch 50 adds or removes a VLAN tag of “10” to / from packet information transmitted / received via the network Net_B0 connected to the port corresponding to the VLAN 10. Further, the VLAN compatible switch 50 adds or removes a VLAN tag of “30” to / from packet information transmitted / received via the network Net_C0 connected to the port corresponding to the VLAN 30. On the other hand, the VLAN compatible switch 50 does not perform VLAN tag processing (addition or removal of a VLAN tag) on packet information transmitted / received via the network Net_A0 connected to the port corresponding to the Native VLAN.

クライアント端末80は、各ネットワークにそれぞれ接続される通信装置である。クライアント端末80は、例えば、ノートPC等の利用者により携帯または操作可能な通信装置である。クライアント端末80は、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA、デジタルカメラ、ウェアラブルPC、デスクトップPC等でもよい。   The client terminal 80 is a communication device connected to each network. The client terminal 80 is a communication device that can be carried or operated by a user such as a notebook PC. The client terminal 80 may be a mobile phone, a smartphone, a tablet terminal, a game machine, a PDA, a digital camera, a wearable PC, a desktop PC, or the like.

サーバ装置90は、各ネットワークにそれぞれ接続されるジョブサーバや認証サーバ等のサーバ装置である。サーバ装置90は、例えば、クライアント端末80から要求された情報処理装置10に対するジョブを蓄積する。そして、サーバ装置90は、情報処理装置10へ蓄積したジョブを出力する。なお、各ネットワークに接続されたクライアント端末80およびサーバ装置90は、ネットワーク機器の一例である。   The server device 90 is a server device such as a job server or an authentication server connected to each network. For example, the server apparatus 90 stores a job for the information processing apparatus 10 requested from the client terminal 80. Then, the server apparatus 90 outputs the accumulated job to the information processing apparatus 10. The client terminal 80 and the server device 90 connected to each network are examples of network devices.

図1に示す情報処理システムにおいて、クライアント端末80は、例えば、情報処理装置10へ印刷要求およびSNMP(simple network management protocol)での機器情報の送信等を行う。情報処理装置10は、サーバ装置90にスキャン処理で形成したファイル情報の送信等を行う。なお、本実施形態で説明する印刷要求、SNMPでの機器情報の送信およびスキャン処理したファイル情報の送信等は、一例であり、これら以外の通信でもよい。また、図1は、情報処理装置10が三系統のネットワークに接続された例を説明したが、情報処理装置10が二系統のネットワークまたは四系統以上のネットワークに接続された構成であってもよい。   In the information processing system illustrated in FIG. 1, the client terminal 80 performs, for example, a print request to the information processing apparatus 10 and transmission of device information using SNMP (simple network management protocol). The information processing apparatus 10 transmits the file information formed by the scan process to the server apparatus 90 and the like. Note that the print request, transmission of device information by SNMP, transmission of scanned file information, and the like described in the present embodiment are examples, and communication other than these may be used. FIG. 1 illustrates an example in which the information processing apparatus 10 is connected to a three-system network, but the information processing apparatus 10 may be configured to be connected to a two-system network or four or more networks. .

●ハードウエア構成
続いて、実施形態に係る各装置のハードウエア構成について説明する。実施形態に係る各装置のハードウエア構成は、一般的なコンピュータの構成を有する。ここでは、一般的なコンピュータのハードウエア構成例について説明する。なお、実施形態に係る各装置のハードウエア構成は、必要に応じて構成要素が追加または削除されてもよい。 Hardware Configuration Next, the hardware configuration of each device according to the embodiment will be described. The hardware configuration of each apparatus according to the embodiment has a general computer configuration. Here, a hardware configuration example of a general computer will be described. Note that, in the hardware configuration of each device according to the embodiment, components may be added or deleted as necessary.

図2は、一実施形態に係るコンピュータのハードウエア構成の一例を示す図である。コンピュータ1000は、CPU(Central Processing Unit)1001、ROM(Read Only Memory)1002、RAM(Random Access Memory)1003、ストレージ1004、キーボード1005、ディスプレイインターフェース(I/F)1006、メディアインターフェース(I/F)1007、ネットワークインターフェース(I/F)1008およびバス1009を備える。   FIG. 2 is a diagram illustrating an example of a hardware configuration of a computer according to an embodiment. A computer 1000 includes a CPU (Central Processing Unit) 1001, a ROM (Read Only Memory) 1002, a RAM (Random Access Memory) 1003, a storage 1004, a keyboard 1005, a display interface (I / F) 1006, and a media interface (I / F). 1007, a network interface (I / F) 1008, and a bus 1009.

CPU1001は、ROM1002やストレージ1004等に格納された本発明に係るプログラムやデータをRAM1003上に読み出し、処理を実行することで、コンピュータ1000の各機能を実現する演算装置である。例えば、通信制御装置30は、本発明に係るプログラムが実行されることで本発明に係る制御方法を実現する。   The CPU 1001 is an arithmetic device that implements each function of the computer 1000 by reading the program or data according to the present invention stored in the ROM 1002 or the storage 1004 onto the RAM 1003 and executing the processing. For example, the communication control device 30 realizes the control method according to the present invention by executing the program according to the present invention.

ROM1002は、電源を切ってもプログラムやデータを保持することができる不揮発性のメモリである。ROM1002は、例えば、フラッシュROM等により構成される。ROM1002は、SDK(Software Development Kit)およびAPI(Application Programming Interface)等のアプリケーションをインストールしており、インストールされたアプリケーションを用いて、コンピュータ1000の機能やネットワーク接続等を実現することが可能である。   The ROM 1002 is a nonvolatile memory that can retain programs and data even when the power is turned off. The ROM 1002 is configured by, for example, a flash ROM. The ROM 1002 is installed with applications such as SDK (Software Development Kit) and API (Application Programming Interface), and the functions and network connection of the computer 1000 can be realized using the installed applications.

RAM1003は、CPU1001のワークエリア等として用いられる揮発性のメモリである。ストレージ1004は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)等のストレージデバイスである。ストレージ1004は、例えば、OS(Operation System)、アプリケーションプログラムおよび各種データ等を記憶する。   A RAM 1003 is a volatile memory used as a work area for the CPU 1001. The storage 1004 is a storage device such as an HDD (Hard Disk Drive) or an SSD (Solid State Drive). The storage 1004 stores, for example, an OS (Operation System), application programs, various data, and the like.

キーボード1005は、文字、数値、各種指示等の入力のための複数のキーを備えた入力手段の一種である。入力手段は、キーボード1005のみならず、例えば、マウス、タッチパネルまたは音声入力装置等であってもよい。ディスプレイインターフェース(I/F)1006は、LCD(Liquid Crystal Display)等のディスプレイ1006aに対するカーソル、メニュー、ウィンドウ、文字または画像等の各種情報の表示を制御する。ディスプレイ1006aは、入力手段を備えたタッチパネルディスプレイであってもよい。   The keyboard 1005 is a kind of input means having a plurality of keys for inputting characters, numerical values, various instructions, and the like. The input means may be not only the keyboard 1005 but also a mouse, a touch panel, a voice input device, or the like. A display interface (I / F) 1006 controls display of various information such as a cursor, menu, window, character, or image on a display 1006a such as an LCD (Liquid Crystal Display). The display 1006a may be a touch panel display provided with input means.

メディアインターフェース(I/F)1007は、USB(Universal Serial Bus)メモリ、メモリカード、光学ディスクまたはフラッシュメモリ等の記録メディア1007aに対するデータの読み出しまたは書き込み(記憶)を制御する。   A media interface (I / F) 1007 controls reading or writing (storage) of data with respect to a recording medium 1007a such as a USB (Universal Serial Bus) memory, a memory card, an optical disk, or a flash memory.

ネットワークインターフェース(I/F)1008は、コンピュータ1000をネットワークに接続し、他のコンピュータや、電子機器等とデータの送受信を行うためのインターフェースである。ネットワークインターフェース(I/F)1008は、例えば、有線または無線LAN(Local Area Network)等の通信インターフェースである。また、ネットワークインターフェース(I/F)1008は、3G(3rd Generation)、LTE(Long Term Evolution)、4G(4rd Generation)、5G(5rd Generation)、Zigbee(登録商標)、BLE(Bluetooth(登録商標)Low Energy)、ミリ波無線通信の通信インターフェースを備えてもよい。   A network interface (I / F) 1008 is an interface for connecting the computer 1000 to a network and transmitting / receiving data to / from other computers and electronic devices. The network interface (I / F) 1008 is a communication interface such as a wired or wireless LAN (Local Area Network). The network interface (I / F) 1008 includes 3G (3rd Generation), LTE (Long Term Evolution), 4G (4rd Generation), 5G (5rd Generation), Zigbee (registered trademark), and BLE (Bluetooth (registered trademark)). Low Energy) and millimeter wave wireless communication interfaces may be provided.

バス1009は、上記の各構成要素に共通に接続され、アドレス信号、データ信号、および各種制御信号等を伝送する。CPU1001、ROM1002、RAM1003、ストレージ1004、キーボード1005、ディスプレイインターフェース(I/F)1006、メディアインターフェース(I/F)1007およびネットワークインターフェース(I/F)1008は、バス1009を介して相互に接続されている。   The bus 1009 is commonly connected to the above-described components, and transmits an address signal, a data signal, various control signals, and the like. The CPU 1001, ROM 1002, RAM 1003, storage 1004, keyboard 1005, display interface (I / F) 1006, media interface (I / F) 1007, and network interface (I / F) 1008 are connected to each other via a bus 1009. Yes.

●機能構成
図3は、一実施形態に係る通信制御装置の機能構成の一例を示す図である。図3に示す通信制御装置30は、第1の送受信部11、タグ処理部12、記憶部13、ブリッジ通信制御部14、第1のNAPT(Network Address Port Translator)通信制御部15、第2のNAPT通信制御部16および第2の送受信部17を含む。 Functional Configuration FIG. 3 is a diagram illustrating an example of a functional configuration of a communication control apparatus according to an embodiment. 3 includes a first transmission / reception unit 11, a tag processing unit 12, a storage unit 13, a bridge communication control unit 14, a first NAPT (Network Address Port Translator) communication control unit 15, and a second The NAPT communication control unit 16 and the second transmission / reception unit 17 are included.

第1の送受信部11は、VLAN対応スイッチ50を介して、ネットワークNet_A0、ネットワークNet_B0およびネットワークNet_C0のそれぞれに接続されたネットワーク機器との間でデータをやり取りする機能である。第1の送受信部11は、例えば、ネットワーク機器から情報処理装置10への印刷要求等のパケット情報を受信する。また、第1の送受信部11は、例えば、情報処理装置10によってスキャン処理されたファイル情報等のパケット情報を、ネットワーク機器へ送信する。   The first transmission / reception unit 11 has a function of exchanging data with network devices connected to the network Net_A0, the network Net_B0, and the network Net_C0 via the VLAN compatible switch 50. For example, the first transmission / reception unit 11 receives packet information such as a print request from the network device to the information processing apparatus 10. The first transmission / reception unit 11 transmits packet information such as file information scanned by the information processing apparatus 10 to the network device, for example.

第1の送受信部11は、ネットワークNet_A系に接続されたネットワーク機器との間において、VLANタグを含まないパケット情報の送受信を行う。また、第1の送受信部11は、ネットワークNet_B系またはネットワークNet_C系に接続されたネットワーク機器との間において、VLANタグを含むパケット情報の送受信を行う。VLANタグを含まないパケット情報は、仮想LANのタグ情報を含まない第1のデータの一例である。また、VLANタグを含むパケット情報は、仮想LANのタグ情報を含む第2のデータの一例である。第1の送受信部11は、例えば、図2に示したネットワークインターフェース(I/F)1008およびCPU1001によって実行されるプログラム等により実現される。第1の送受信部11は、有線LAN(Ethernet(登録商標))通信、無線LAN通信、PCI Express、USB等を用いて、ネットワーク機器との通信を行う。   The first transmission / reception unit 11 transmits / receives packet information not including a VLAN tag to / from a network device connected to the network Net_A system. The first transmission / reception unit 11 transmits and receives packet information including a VLAN tag to and from network devices connected to the network Net_B system or the network Net_C system. The packet information that does not include the VLAN tag is an example of first data that does not include the tag information of the virtual LAN. The packet information including the VLAN tag is an example of second data including the virtual LAN tag information. The first transmission / reception unit 11 is realized, for example, by a network interface (I / F) 1008 and a program executed by the CPU 1001 shown in FIG. The first transmission / reception unit 11 communicates with a network device using wired LAN (Ethernet (registered trademark)) communication, wireless LAN communication, PCI Express, USB, or the like.

タグ処理部12は、ネットワークNet_B系またはネットワークNet_C系を介して送受信されるパケット情報に、VLANタグの付加または除去を行う機能である。ネットワークNet_B系またはネットワークNet_C系を介して送受信されるパケット情報は、VLANタグを含む。   The tag processing unit 12 has a function of adding or removing a VLAN tag to / from packet information transmitted / received via the network Net_B system or the network Net_C system. Packet information transmitted / received via the network Net_B system or the network Net_C system includes a VLAN tag.

タグ処理部12は、例えば、ネットワークNet_B0を介して送受信されるパケット情報に、ネットワークNet_B0に接続する通信ポートに対応するVLANタグ「10」の付加または除去を行う。また、タグ処理部12は、例えば、ネットワークNet_C0を介して送受信されるパケット情報に、ネットワークNet_C0に接続する通信ポートに対応するVLANタグ「30」の付加または除去を行う。   For example, the tag processing unit 12 adds or removes the VLAN tag “10” corresponding to the communication port connected to the network Net_B0 to the packet information transmitted / received via the network Net_B0. Further, the tag processing unit 12 adds or removes the VLAN tag “30” corresponding to the communication port connected to the network Net_C0 to, for example, packet information transmitted / received via the network Net_C0.

一方で、タグ処理部12は、VLANタグを含まないパケット情報の送受信を行うネットワークNet_A系を介して送受信されるパケット情報に、タグ処理(VLANタグの付加または除去)を行わない。具体的には、タグ処理部12は、第1の送受信部11によって受信されたパケット情報にVLANタグが含まれていない場合、タグ処理を行わずに、ブリッジ通信制御部14へ受信したパケット情報を送信する。また、タグ処理部12は、ブリッジ通信制御部14からパケット情報を直接受信した場合、タグ処理を行わずに、第1の送受信部11へ受信したパケット情報を送信する。タグ処理部12は、例えば、図3に示したCPU1001によって実行されるプログラム等により実現される。タグ処理部12は、タグ処理手段の一例である。   On the other hand, the tag processing unit 12 does not perform tag processing (addition or removal of a VLAN tag) on packet information transmitted / received via the network Net_A system that transmits / receives packet information not including a VLAN tag. Specifically, when the VLAN information is not included in the packet information received by the first transmitter / receiver 11, the tag processor 12 receives the packet information received by the bridge communication controller 14 without performing tag processing. Send. When the tag processing unit 12 directly receives packet information from the bridge communication control unit 14, the tag processing unit 12 transmits the received packet information to the first transmission / reception unit 11 without performing tag processing. The tag processing unit 12 is realized by, for example, a program executed by the CPU 1001 shown in FIG. The tag processing unit 12 is an example of a tag processing unit.

記憶部13は、図2に示したROM1002およびストレージ1004等に各種データを記憶させる機能である。記憶部13は、ネットワーク管理テーブル200および宛先管理テーブル210を記憶している。記憶部13は、記憶手段の一例である。ここで、図4および図5を用いて、ネットワーク管理テーブル200および宛先管理テーブル210の内容について説明する。図4は、一実施形態に係るネットワーク管理テーブルの一例を示す図である。ネットワーク管理テーブル200は、各ネットワークのネットワークアドレスおよびネットマスク(ビットマスク)を示している。なお、図4に示すネットワークアドレスは、IPv4アドレスであるが、ネットワークアドレスは、これに限られない。   The storage unit 13 has a function of storing various data in the ROM 1002 and the storage 1004 shown in FIG. The storage unit 13 stores a network management table 200 and a destination management table 210. The storage unit 13 is an example of a storage unit. Here, the contents of the network management table 200 and the destination management table 210 will be described with reference to FIGS. 4 and 5. FIG. 4 is a diagram illustrating an example of a network management table according to an embodiment. The network management table 200 shows the network address and netmask (bitmask) of each network. The network address shown in FIG. 4 is an IPv4 address, but the network address is not limited to this.

図4に示すように、ネットワークNet_A0のネットワークアドレスは、「192.168.1.0/24」である。ネットワークNet_A1のネットワークアドレスは、「192.168.10.0/24」である。ネットワークNet_B0のネットワークアドレスは、「172.16.1.0/24」である。ネットワークNet_B1のネットワークアドレスは、172.16.10.0/24」である。ネットワークNet_C0のネットワークアドレスは、「10.0.1.0/24」である。ネットワークNet_C1のネットワークアドレスは、「10.0.10.0/24」である。ネットワークNet_Iのネットワークアドレスは、「203.0.113.0/29」である。   As shown in FIG. 4, the network address of the network Net_A0 is “192.168.1.0/24”. The network address of the network Net_A1 is “192.168.10.0/24”. The network address of the network Net_B0 is “172.16.1.0/24”. The network address of the network Net_B1 is 172.16.10.0/24 ". The network address of the network Net_C0 is “10.0.1.0/24”. The network address of the network Net_C1 is “10.0.10.0/24”. The network address of the network Net_I is “203.0.113.0/29”.

また、ネットワークNet_B0に対応するVLANタグは「10」、ネットワークNet_C0に対応するVLANタグは「30」である。ネットワークNet_Iは、インターネット接続を図るためのセグメントである。図4に示すように、各ネットワークのネットワークアドレスは、重複しないように設定されている。なお、図4に示す設定例以外であっても、各ネットワークのネットワークアドレスは、通信制御装置30と直接通信するサーバ装置90のIPアドレスが重複しなければよい。また、通信制御装置30と直接通信するサーバ装置90のIPアドレスが重複している場合でも、静的なNAPT設定がされていればよい。   The VLAN tag corresponding to the network Net_B0 is “10”, and the VLAN tag corresponding to the network Net_C0 is “30”. The network Net_I is a segment for establishing an internet connection. As shown in FIG. 4, the network address of each network is set not to overlap. In addition to the setting example shown in FIG. 4, the network address of each network may be such that the IP address of the server device 90 that communicates directly with the communication control device 30 does not overlap. Even if the IP address of the server device 90 that communicates directly with the communication control device 30 is duplicated, it is sufficient that the static NAPT setting is made.

図5は、一実施形態に係る宛先管理テーブルの一例を示す図である。宛先管理テーブル210は、各ネットワークを介して通信制御装置30と通信可能な情報処理装置10、ルータ70、クライアント端末80およびサーバ装置90のIPアドレス、ネットマスク、デフォルトゲートウェイが示されている。   FIG. 5 is a diagram illustrating an example of a destination management table according to an embodiment. The destination management table 210 shows the IP addresses, netmasks, and default gateways of the information processing apparatus 10, router 70, client terminal 80, and server apparatus 90 that can communicate with the communication control apparatus 30 via each network.

宛先管理テーブル210は、通信制御装置30と通信可能な「機器」の情報と、「機器」の「Network address/netmask」および「default gateway」の情報を含む。「Network address/netmask」および「default gateway」は、情報処理装置10、ルータ70、クライアント端末80およびサーバ装置90の宛先情報の一例である。宛先管理テーブル210は、通信制御装置30と通信実績のある機器の宛先情報が記憶される。なお、宛先管理テーブル210に含まれる情報は、通信制御装置30と通信実績のある機器の情報だけでなく、適宜管理者により設定されてもよい。   The destination management table 210 includes information on “device” that can communicate with the communication control device 30, and information on “Network address / netmask” and “default gateway” of “device”. “Network address / netmask” and “default gateway” are examples of destination information of the information processing apparatus 10, the router 70, the client terminal 80, and the server apparatus 90. The destination management table 210 stores destination information of devices having a communication record with the communication control device 30. Note that the information included in the destination management table 210 may be set not only by information on devices having a communication record with the communication control device 30 but also by an administrator as appropriate.

図5に示す宛先管理テーブル210の場合、情報処理装置10(MFP)のIPアドレスは、「192.168.1.10/24」であり、デフォルトゲートウェイは、「192.168.1.1/24」である。クライアント端末80a(PC_A0)のIPアドレスは、「192.168.1.100/24」であり、デフォルトゲートウェイは、「192.168.1.1/24」である。ルータ70a(R_A)のIPアドレスは、「192.168.1.1/24」であり、サブネットマスクは、「192.168.10.1/24」である。   In the case of the destination management table 210 shown in FIG. 5, the IP address of the information processing apparatus 10 (MFP) is “192.168.1.10/24”, and the default gateway is “192.168.1.1/ 24 ". The IP address of the client terminal 80a (PC_A0) is “192.168.1.100/24”, and the default gateway is “192.168.1.1/24”. The IP address of the router 70a (R_A) is “192.168.1.1/24”, and the subnet mask is “192.168.10.1/24”.

クライアント端末80aa(PC_A1)のIPアドレスは、「192.168.10.100/24」であり、デフォルトゲートウェイは、「192.168.10.1/24」である。サーバ装置90a(SV_A1)のIPアドレスは、「192.168.10.11/24」であり、デフォルトゲートウェイは、「192.168.10.1/24」である。クライアント端末80b(PC_B0)のIPアドレスは、「172.16.1.100/24」であり、デフォルトゲートウェイは、「172.16.1.1/24」である。   The IP address of the client terminal 80aa (PC_A1) is “192.168.10.100/24”, and the default gateway is “192.168.10.1/24”. The IP address of the server apparatus 90a (SV_A1) is “192.168.10.11/24”, and the default gateway is “192.168.10.1/24”. The IP address of the client terminal 80b (PC_B0) is “172.6.1.100/24”, and the default gateway is “172.16.1.1/24”.

ルータ70b(R_B)のIPアドレスは、「172.16.1.1/24」であり、サブネットマスクは、「172.16.10.1/24」である。クライアント端末80bb(PC_B1)のIPアドレスは、「172.16.10.100/24」であり、デフォルトゲートウェイは、「172.16.10.1/24」である。サーバ装置90b(SV_B1)のIPアドレスは、「172.16.10.11/24」であり、デフォルトゲートウェイは、「172.16.10.1/24」である。クライアント端末80c(PC_C0)のIPアドレスは、「10.0.1.100/24」であり、デフォルトゲートウェイは、「10.0.1.1/24」である。   The IP address of the router 70b (R_B) is “172.16.1.1/24”, and the subnet mask is “172.6.10.1/24”. The IP address of the client terminal 80bb (PC_B1) is “172.16.10.100/24”, and the default gateway is “172.6.10.1/24”. The IP address of the server apparatus 90b (SV_B1) is “172.16.10.11/24”, and the default gateway is “172.16.10.1/24”. The IP address of the client terminal 80c (PC_C0) is “10.0.1.100/24”, and the default gateway is “10.0.1 / 24”.

インターネットにパケット情報の送信が可能であるルータ70c(R_C)のIPアドレスおよびサブネットマスクは、「10.0.1.1/24」、「10.0.10.1/24」および「203.0.113.2/29」であり、デフォルトゲートウェイは、「203.0.113.1/29」である。クライアント端末80cc(PC_C1)のIPアドレスは、「10.0.10.100/24」であり、デフォルトゲートウェイは、「10.0.10.1/24」である。サーバ装置90c(SV_C1)のIPアドレスは、「10.0.10.11/24」であり、デフォルトゲートウェイは、「10.0.10.1/24」である。   The IP address and subnet mask of the router 70c (R_C) capable of transmitting packet information to the Internet are “10.0.1 / 24”, “10.0.10.1/24”, and “203. 0.133.2 / 29 ”and the default gateway is“ 203.0.113.1/29 ”. The IP address of the client terminal 80cc (PC_C1) is “10.0.10.100/24”, and the default gateway is “10.0.10.1/24”. The IP address of the server apparatus 90c (SV_C1) is “10.0.10.11/24”, and the default gateway is “10.0.10.1/24”.

図5に示すように、情報処理装置10、クライアント端末80およびサーバ装置90には、それぞれネットワークを介した通信を可能とするIPアドレスが一つずつ割り当てられている。ルータ70には、接続されている各ネットワークを介した通信が可能となるように、複数のIPアドレスが割り当てられている。なお、サーバ装置90およびルータ70は、論理的には一台であっても、複数の機器により冗長構成としてもよい。なお、宛先管理テーブル210に含まれる機器および宛先情報は、これに限られない。   As shown in FIG. 5, each of the information processing apparatus 10, the client terminal 80, and the server apparatus 90 is assigned one IP address that enables communication via a network. A plurality of IP addresses are assigned to the router 70 so as to enable communication via each connected network. Note that the server device 90 and the router 70 may be logically one or may have a redundant configuration with a plurality of devices. Note that the device and destination information included in the destination management table 210 are not limited to this.

図3に戻り、通信制御装置30の機能構成の説明を続ける。ブリッジ通信制御部14は、第1の送受信部11または第2の送受信部17を介して受信したパケット情報の送出先を決定し、パケット情報の書き換え等を行う機能である。ブリッジ通信制御部14の詳細は、後述する。   Returning to FIG. 3, the description of the functional configuration of the communication control device 30 is continued. The bridge communication control unit 14 has a function of determining a transmission destination of packet information received via the first transmission / reception unit 11 or the second transmission / reception unit 17 and rewriting the packet information. Details of the bridge communication control unit 14 will be described later.

第1のNAPT通信制御部15は、第1の送受信部11または第2の送受信部17を介して受信されたパケット情報の送出先を決定し、パケット情報の書き換え等を行う機能である。第1のNAPT通信制御部15および第2のNAPT通信制御部16は、例えば、図2に示したCPU1001によって実行されるプログラム等により実現される。   The first NAPT communication control unit 15 has a function of determining a transmission destination of packet information received via the first transmission / reception unit 11 or the second transmission / reception unit 17 and rewriting the packet information. The first NAPT communication control unit 15 and the second NAPT communication control unit 16 are realized by, for example, a program executed by the CPU 1001 shown in FIG.

第1のNAPT通信制御部15および第2のNAPT通信制御部16は、NAPT処理用のNAPTテーブルをそれぞれ有している。第1のNAPT通信制御部15および第2のNAPT通信制御部16は、NAPTテーブル(後述するNAPTテーブル330およびNAPTテーブル350)を用いて、IPアドレスの変換処理およびポート番号の変換処理(NAPT処理)を実行する。   The first NAPT communication control unit 15 and the second NAPT communication control unit 16 each have a NAPT table for NAPT processing. The first NAPT communication control unit 15 and the second NAPT communication control unit 16 use the NAPT table (the NAPT table 330 and the NAPT table 350 described later) to perform IP address conversion processing and port number conversion processing (NAPT processing). ).

また、第1のNAPT通信制御部15および第2のNAPT通信制御部16は、異なるルーティングテーブル(後述する通信経路制御情報320および通信経路制御情報320)を有している。第1のNAPT通信制御部15および第2のNAPT通信制御部16は、ルーティングテーブル、NAPTテーブル、セッションテーブル(TCP/UDPのどのポートからどのポートに通信しているかを管理するテーブル)等のネットワークリソースが分離されている。すなわち、第1のNAPT通信制御部15および第2のNAPT通信制御部16は、それぞれ別々のネットワークリソースを有している。第1のNAPT通信制御部15および第2のNAPT通信制御部16の詳細は、後述する。   In addition, the first NAPT communication control unit 15 and the second NAPT communication control unit 16 have different routing tables (communication path control information 320 and communication path control information 320 described later). The first NAPT communication control unit 15 and the second NAPT communication control unit 16 are networks such as a routing table, a NAPT table, and a session table (a table for managing which port of TCP / UDP is communicating with which port). Resources are isolated. That is, the first NAPT communication control unit 15 and the second NAPT communication control unit 16 have different network resources. Details of the first NAPT communication control unit 15 and the second NAPT communication control unit 16 will be described later.

第2の送受信部17は、情報処理装置10からパケット情報を受信し、情報処理装置10にパケット情報を送信する機能である。第2の送受信部17は、無線LANまたはBluethooh(登録商標)等の無線通信を用いて、情報処理装置10との通信を行う。通信制御装置30は、情報処理装置10との通信に無線通信を利用することで、物理的なスペースを有効に活用でき、利用者の使い勝手を向上させることができる。なお、第2の送受信部17においても用いる通信方式は、無線通信に限られない。第2の送受信部17は、例えば、図2に示したネットワークインターフェース(I/F)1008およびCPU1001によって実行されるプログラム等により実現される。第2の送受信部17は、取得手段の一例である。   The second transmission / reception unit 17 has a function of receiving packet information from the information processing apparatus 10 and transmitting the packet information to the information processing apparatus 10. The second transmission / reception unit 17 communicates with the information processing apparatus 10 using wireless communication such as a wireless LAN or Bluetooth (registered trademark). By using wireless communication for communication with the information processing apparatus 10, the communication control apparatus 30 can effectively use a physical space and improve user convenience. Note that the communication method used in the second transmission / reception unit 17 is not limited to wireless communication. The second transmission / reception unit 17 is realized, for example, by a network interface (I / F) 1008 and a program executed by the CPU 1001 shown in FIG. The second transmission / reception unit 17 is an example of an acquisition unit.

第1の送受信部11および第2の送受信部17によって送受信されるパケット情報は、送信元ならびに送信先のネットワーク、または送信元ならびに送信先の装置の宛先情報(例えば、ネットワークアドレス、IPアドレス、MACアドレス等)を含む。通信制御装置30は、例えば、パケット情報の通信制御において、IPアドレス等を用いることで、ネットワーク管理者にとって既存のセキュリティポリシーと同様の手法で、ネットワーク機器との通信制御を行うことができる。   The packet information transmitted / received by the first transmission / reception unit 11 and the second transmission / reception unit 17 includes transmission source and transmission destination network, or transmission destination and transmission destination device destination information (for example, network address, IP address, MAC address). Address). For example, by using an IP address or the like in packet information communication control, the communication control device 30 can perform communication control with a network device in the same manner as an existing security policy for a network administrator.

また、第1の送受信部11および第2の送受信部17によって送受信されるパケット情報は、パケット情報を送受信する通信ポートの情報を含む。通信ポートの情報は、例えば、UDP(User Datagram Protocol)またはTCP(Transmission Control Protocol)等のポート番号である。通信制御装置30は、例えば、パケット情報の通信制御において、通信ポートの情報を用いることで、より細やかなネットワーク機器との通信制御を行うことができる。   Moreover, the packet information transmitted / received by the 1st transmission / reception part 11 and the 2nd transmission / reception part 17 contains the information of the communication port which transmits / receives packet information. The communication port information is, for example, a port number such as UDP (User Datagram Protocol) or TCP (Transmission Control Protocol). For example, the communication control device 30 can perform more detailed communication control with a network device by using information on a communication port in communication control of packet information.

○通信制御装置の各部のIPアドレス
ここで、図6および図7を用いて、通信制御装置30の各部のIPアドレスを説明する。ブリッジ通信制御部14のIPアドレス(BRI_A)は、第1の送受信部11を介して受信したパケット情報を情報処理装置10へ送信する場合に用いられるアドレスである。ブリッジ通信制御部14のIPアドレス(BRI_A)は、図7に示すように、例えば、「192.16.1.11/24」である。 ○ IP Address of Each Part of Communication Control Device Here, the IP address of each part of the communication control device 30 will be described with reference to FIGS. 6 and 7. The IP address (BRI_A) of the bridge communication control unit 14 is an address used when packet information received via the first transmission / reception unit 11 is transmitted to the information processing apparatus 10. As shown in FIG. 7, the IP address (BRI_A) of the bridge communication control unit 14 is, for example, “192.168.1.11/24”.

ブリッジ通信制御部14のIPアドレス(INT)は、情報処理装置10から受信したパケット情報を第1の送受信部11へ送信する場合に、通信制御装置30の内部でのみ用いられるアドレスである。ブリッジ通信制御部14のIPアドレス(INT)は、図7に示すように、例えば、「192.0.2.10/24」である。   The IP address (INT) of the bridge communication control unit 14 is an address used only within the communication control device 30 when packet information received from the information processing device 10 is transmitted to the first transmission / reception unit 11. The IP address (INT) of the bridge communication control unit 14 is, for example, “192.0.2.10/24” as illustrated in FIG.

第1のNAPT通信制御部15のIPアドレス(INT_B)は、第1の送受信部11を介して受信したパケット情報をブリッジ通信制御部14へ送信する場合に、通信制御装置30の内部でのみ用いられるアドレスである。第1のNAPT通信制御部15のIPアドレス(INT_B)は、図7に示すように、例えば、「192.0.2.12/24」である。   The IP address (INT_B) of the first NAPT communication control unit 15 is used only inside the communication control device 30 when packet information received via the first transmission / reception unit 11 is transmitted to the bridge communication control unit 14. Address. The IP address (INT_B) of the first NAPT communication control unit 15 is, for example, “192.02.12 / 24” as shown in FIG.

第2のNAPT通信制御部16のIPアドレス(INT_C)は、第1の送受信部11を介して受信したパケット情報をブリッジ通信制御部14へ送信する場合に、通信制御装置30の内部でのみ用いられるアドレスである。第2のNAPT通信制御部16のIPアドレス(INT_C)は、図7に示すように、例えば、「192.0.2.13/24」である。   The IP address (INT_C) of the second NAPT communication control unit 16 is used only inside the communication control device 30 when packet information received via the first transmission / reception unit 11 is transmitted to the bridge communication control unit 14. Address. The IP address (INT_C) of the second NAPT communication control unit 16 is, for example, “192.0.2.13/24” as shown in FIG.

第1のNAPT通信制御部15のIPアドレス(MFP_B)は、ネットワークNet_B系から情報処理装置10にアクセスするためのアドレスである。第1のNAPT通信制御部15のIPアドレス(MFP_B)は、図7に示すように、例えば、「172.16.1.10/24」である。   The IP address (MFP_B) of the first NAPT communication control unit 15 is an address for accessing the information processing apparatus 10 from the network Net_B system. The IP address (MFP_B) of the first NAPT communication control unit 15 is, for example, “172.16.1.10/24” as shown in FIG.

第1のNAPT通信制御部15のIPアドレス(INT_SV_B1)は、ブリッジ通信制御部14から受信したパケット情報をネットワークNet_B系上のサーバ装置90bへ送信する場合に、通信制御装置30の内部でのみ用いられるアドレスである。第1のNAPT通信制御部15のIPアドレス(INT_SV_B1)は、図7に示すように、例えば、「192.0.2.200/24」である。   The IP address (INT_SV_B1) of the first NAPT communication control unit 15 is used only inside the communication control device 30 when packet information received from the bridge communication control unit 14 is transmitted to the server device 90b on the network Net_B system. Address. The IP address (INT_SV_B1) of the first NAPT communication control unit 15 is, for example, “192.0.2.200/24” as shown in FIG.

第2のNAPT通信制御部16のIPアドレス(MFP_C)は、ネットワークNet_C系から情報処理装置10にアクセスするためのアドレスである。第2のNAPT通信制御部16のIPアドレス(MFP_C)は、図7に示すように、例えば、「10.0.1.10/24」である。   The IP address (MFP_C) of the second NAPT communication control unit 16 is an address for accessing the information processing apparatus 10 from the network Net_C system. The IP address (MFP_C) of the second NAPT communication control unit 16 is, for example, “10.0.10.10/24” as shown in FIG.

第2のNAPT通信制御部16のIPアドレス(INT_SV_C1)は、ブリッジ通信制御部14から受信したパケット情報をネットワークNet_C系上のサーバ装置90cへ送信する場合に、通信制御装置30の内部でのみ用いられるアドレスである。第2のNAPT通信制御部16のIPアドレス(INT_SV_C1)は、図7に示すように、例えば、「192.0.2.201/24」である。   The IP address (INT_SV_C1) of the second NAPT communication control unit 16 is used only inside the communication control device 30 when transmitting packet information received from the bridge communication control unit 14 to the server device 90c on the network Net_C system. Address. The IP address (INT_SV_C1) of the second NAPT communication control unit 16 is, for example, “192.0.2.201/24” as illustrated in FIG.

ここで、「192.0.2.0/24」のIPアドレスは、RFC5737(Request for Comments 5737)においてドキュメンテーション用として予約されており、ネットワーク内で利用されることはないアドレスである。なお、本実施形態に係る情報処理システムにおいて、「192.0.2.0/24」のIPアドレスを用いて通信制御装置30内で通信を行うこととしたが、ネットワーク内で利用されるIPアドレスとの重複が無ければ、通信制御装置30内での通信に用いられるIPアドレスは、これに限られない。   Here, the IP address “192.0.2.0/24” is reserved for documentation in RFC 5737 (Request for Comments 5737) and is not used in the network. In the information processing system according to the present embodiment, communication is performed in the communication control device 30 using the IP address “192.0.2.0/24”, but the IP used in the network is used. If there is no duplication with the address, the IP address used for communication in the communication control device 30 is not limited to this.

○ブリッジ通信制御部の構成
図8は、一実施形態のブリッジ通信制御部の構成の一例を示す図である。図8に示すように、ブリッジ通信制御部14は、通信部141、制御部142および記憶部143を有する。通信部141は、制御部142の制御に応じて、第1の送受信部11または第2の送受信部17から受信したパケット情報の送信、およびNAPT処理を含むパケット情報の書き換えを行う。通信部141は、例えば、図2に示したネットワークインターフェース(I/F)1008およびCPU1001によって実行されるプログラム等により実現される。制御部142は、記憶部143に記憶されている通信制御情報300に基づき、通信部141の通信を制御する。制御部142は、例えば、図2に示したCPU1001によって実行されるプログラム等により実現される。 Configuration of Bridge Communication Control Unit FIG. 8 is a diagram illustrating an example of a configuration of a bridge communication control unit according to an embodiment. As illustrated in FIG. 8, the bridge communication control unit 14 includes a communication unit 141, a control unit 142, and a storage unit 143. The communication unit 141 performs transmission of the packet information received from the first transmission / reception unit 11 or the second transmission / reception unit 17 and rewrite of the packet information including the NAPT process according to the control of the control unit 142. The communication unit 141 is realized, for example, by a network interface (I / F) 1008 and a program executed by the CPU 1001 shown in FIG. The control unit 142 controls communication of the communication unit 141 based on the communication control information 300 stored in the storage unit 143. The control unit 142 is realized by, for example, a program executed by the CPU 1001 illustrated in FIG.

記憶部143は、通信制御情報300およびNAPTテーブル310を記憶している。記憶部143は、例えば、図2に示したROM1002、ストレージ1004およびCPU1001で実行されるプログラム等により実現される。記憶部143は、記憶手段の一例である。通信制御情報300およびNAPTテーブル310は、制御部142による通信制御に用いられるルーティングテーブルである。   The storage unit 143 stores communication control information 300 and a NAPT table 310. The storage unit 143 is realized by, for example, a program executed by the ROM 1002, the storage 1004, and the CPU 1001 illustrated in FIG. The storage unit 143 is an example of a storage unit. The communication control information 300 and the NAPT table 310 are routing tables used for communication control by the control unit 142.

ここで、記憶部143に記憶されている通信制御情報300について説明する。図9は、一実施形態に係る通信制御情報の一例を示す図である。図9に示す通信制御情報300は、ブリッジ通信制御部14のパケット処理のルールを示したルーティングテーブルである。通信制御情報300は、処理決定情報の一例である。   Here, the communication control information 300 stored in the storage unit 143 will be described. FIG. 9 is a diagram illustrating an example of communication control information according to an embodiment. The communication control information 300 shown in FIG. 9 is a routing table showing packet processing rules of the bridge communication control unit 14. The communication control information 300 is an example of process determination information.

ブリッジ通信制御部14は、受信したパケット情報を用いて通信制御情報300のパケット処理ルールを上から順に走査する。ブリッジ通信制御部14は、受信したパケット情報に合致するパケット処理ルールを検出する。そして、ブリッジ通信制御部14は、検出したパケット処理ルールで示される、受信したパケット情報に対応する動作(actions)を実行する。ブリッジ通信制御部14は、アクションを実行した場合、通信制御情報300の走査を終了する。   The bridge communication control unit 14 scans the packet processing rules of the communication control information 300 in order from the top using the received packet information. The bridge communication control unit 14 detects a packet processing rule that matches the received packet information. Then, the bridge communication control unit 14 executes actions (actions) corresponding to the received packet information indicated by the detected packet processing rule. The bridge communication control unit 14 ends the scanning of the communication control information 300 when the action is executed.

通信制御情報300のパケット処理ルールは、図9に示すように、入力元(In port)、タイプ(type)、送信元(src:source)、送信先(dst:destination)、動作(actions)の各条件で構成されている。ブリッジ通信制御部14は、受信したパケット情報の条件が全てマッチするパケット処理ルールを、受信したパケット情報に対応するパケット処理ルールとして検出する。図9における「ANY」の条件は、どのようなパケット情報でもマッチすることを意味している。ブリッジ通信制御部14は、全ての条件にマッチするパケット処理ルールが存在しない場合、図9の最下段に示すデフォルト(default)の処理(破棄:drop)を実行する。   As shown in FIG. 9, the packet processing rule of the communication control information 300 includes an input source (In port), a type (type), a transmission source (src: source), a transmission destination (dst: destination), and an operation (actions). It consists of each condition. The bridge communication control unit 14 detects a packet processing rule that matches all the conditions of the received packet information as a packet processing rule corresponding to the received packet information. The condition “ANY” in FIG. 9 means that any packet information matches. When there is no packet processing rule that matches all the conditions, the bridge communication control unit 14 executes default processing (discard: drop) shown in the lowermost stage of FIG.

図9に示す「入力元」の条件は、パケット情報を受信したポートを示している。具体的には、「入力元」は、第1の送受信部11、タグ処理部12、第2の送受信部17、第1のNAPT通信制御部15および第2のNAPT通信制御部16等である。また、図9に示す「タイプ」の条件は、通信のタイプを示している。具体的には、「タイプ」は、データリンク層の通信、ネットワーク層の通信である。ブリッジ通信制御部14は、パケット情報がIP通信の場合、「タイプ」がIPの条件にマッチするものとして処理する。   The “input source” condition illustrated in FIG. 9 indicates a port that has received packet information. Specifically, the “input source” is the first transmission / reception unit 11, the tag processing unit 12, the second transmission / reception unit 17, the first NAPT communication control unit 15, the second NAPT communication control unit 16, and the like. . The “type” condition shown in FIG. 9 indicates the type of communication. Specifically, the “type” is data link layer communication or network layer communication. When the packet information is IP communication, the bridge communication control unit 14 processes that the “type” matches the IP condition.

図9に示す「送信元」の条件は、送信元アドレスを示している。また、「送信先」の条件は、送信先アドレスを示している。具体的には、「送信元」および「送信先」は、単一のIPアドレスの場合、ネットワークアドレスの場合、データリンク層に関するMACアドレスの場合がある。ブリッジ通信制御部14は、MACアドレスをマッチング処理の条件とすることで、特定の機器からのパケット情報を、NAPT処理の対象とすることができる。そのため、ブリッジ通信制御部14は、意図しない機器からネットワーク機器にパケットが送信される不都合を防止できる。なお、ブリッジ通信制御部14は、MACアドレスをマッチング処理の条件としなくてもよい。   The “transmission source” condition shown in FIG. 9 indicates a transmission source address. Further, the “transmission destination” condition indicates a transmission destination address. Specifically, the “source” and “destination” may be a single IP address, a network address, or a MAC address related to the data link layer. The bridge communication control unit 14 can set the packet information from a specific device as a target of the NAPT process by using the MAC address as a condition for the matching process. Therefore, the bridge communication control unit 14 can prevent inconvenience that packets are transmitted from an unintended device to a network device. The bridge communication control unit 14 may not use the MAC address as a condition for the matching process.

図9に示す動作は、パケット情報が、各条件にマッチしたときの動作を示している。なお、ブリッジ通信制御部14は、複数の動作を実行してもよい。図9に示す動作のうち、「drop」は、パケット情報を破棄する動作を意味している。「NAPT」は、NAPT処理の実行を意味している。ブリッジ通信制御部14は、パケット情報の第1引数に、SNAT(Source Network Address Translation)を検出した場合、NAPT処理として、送信元アドレスの変換(SNAT)を行う。また、ブリッジ通信制御部14は、パケット情報の第1引数に、DNAT(Destination Network Address Translation)を検出した場合、NAPT処理として、送信先アドレスの変換処理(DNAT)を行う。いずれの場合も、第2引数が、置き換えるIPアドレスとなっている。   The operation shown in FIG. 9 shows the operation when the packet information matches each condition. Note that the bridge communication control unit 14 may execute a plurality of operations. Of the operations shown in FIG. 9, “drop” means an operation of discarding packet information. “NAPT” means execution of NAPT processing. When the bridge communication control unit 14 detects SNAT (Source Network Address Translation) in the first argument of the packet information, the bridge communication control unit 14 performs source address translation (SNAT) as NAPT processing. Further, when the bridge communication control unit 14 detects DNAT (Destination Network Address Translation) in the first argument of the packet information, the bridge communication control unit 14 performs destination address conversion processing (DNAT) as NAPT processing. In either case, the second argument is the IP address to be replaced.

ブリッジ通信制御部14は、NAPT処理を実行する場合、NAPTテーブルの内容を書き換え、正しくNAPT処理ができるようにする。この場合、ブリッジ通信制御部14は、不正なTCPセッション等を確認し、不正なパケットの送信を防止する。   When executing the NAPT process, the bridge communication control unit 14 rewrites the contents of the NAPT table so that the NAPT process can be performed correctly. In this case, the bridge communication control unit 14 confirms an unauthorized TCP session or the like, and prevents unauthorized packet transmission.

図9に示す動作における「mod_mac」は、MACアドレスを置き換える動作を示している。また、図9に示す動作における「output」は、指定されたポートにパケット情報を出力する動作を示している。ブリッジ通信制御部14は、全てのパケット情報を破棄(drop)する動作が、デフォルトの動作となっている。   “Mod_mac” in the operation illustrated in FIG. 9 indicates an operation of replacing the MAC address. Further, “output” in the operation illustrated in FIG. 9 indicates an operation of outputting packet information to a designated port. The bridge communication control unit 14 has a default operation of dropping all packet information.

図9の「1」および「2」は、「送信元」の条件が通信制御装置30内部で用いる「192.0.2.0/24」のIPアドレスの場合の動作を示している。この場合、ブリッジ通信制御部14は、パケット情報を破棄(drop)する。これにより、通信制御装置30は、通信制御装置30内部で用いるIPアドレスのパケット情報を、外部から受信する不都合を防止するとともに、意図しないパケット情報の送信を防止することができる。   “1” and “2” in FIG. 9 indicate operations when the condition of “transmission source” is an IP address of “192.0.2.0/24” used inside the communication control device 30. In this case, the bridge communication control unit 14 drops the packet information. Thereby, the communication control apparatus 30 can prevent the inconvenience of receiving the packet information of the IP address used inside the communication control apparatus 30 from the outside, and can prevent the transmission of unintended packet information.

図9の「3」は、タグ処理部12から受信したパケット情報を全て(ANY)第2の送受信部17に出力する動作を示している。また、図9の「4」は、第1のNAPT通信制御部15から受信したパケット情報が、ブリッジ通信制御部14の「192.0.2.10(INT)」のIPアドレスを送信先とする場合の動作を示している。この場合、ブリッジ通信制御部14は、NAPT処理により、送信元アドレスをブリッジ通信制御部14のIPアドレス(BRI_A)に変換し、送信先アドレスを情報処理装置10のIPアドレス(MFP)に変換する。そして、ブリッジ通信制御部14は、MACアドレスをルータ70aのMACアドレスとして、パケット情報を第2の送受信部17に送信する。   “3” in FIG. 9 indicates an operation of outputting all packet information received from the tag processing unit 12 to the (ANY) second transmitting / receiving unit 17. Further, “4” in FIG. 9 indicates that the packet information received from the first NAPT communication control unit 15 uses the IP address of “192.20.10 (INT)” of the bridge communication control unit 14 as the transmission destination. It shows the operation when doing. In this case, the bridge communication control unit 14 converts the transmission source address to the IP address (BRI_A) of the bridge communication control unit 14 and converts the transmission destination address to the IP address (MFP) of the information processing apparatus 10 by NAPT processing. . Then, the bridge communication control unit 14 transmits the packet information to the second transmission / reception unit 17 using the MAC address as the MAC address of the router 70a.

図9の「5」は、第2のNAPT通信制御部16から受信したパケット情報が、ブリッジ通信制御部14の「192.0.2.10」のIPアドレス(INT)を送信先とする場合の動作を示している。この場合、ブリッジ通信制御部14は、NAPT処理により、送信元アドレスをブリッジ通信制御部14のIPアドレス(BRI_A)に変換し、送信先アドレスを情報処理装置10のIPアドレス(MFP)に変換する。そして、ブリッジ通信制御部14は、MACアドレスをルータ70aのMACアドレスとして、パケット情報を第2の送受信部17に送信する。   “5” in FIG. 9 is a case where the packet information received from the second NAPT communication control unit 16 uses the IP address (INT) of “192.20.10” of the bridge communication control unit 14 as the transmission destination. Shows the operation. In this case, the bridge communication control unit 14 converts the transmission source address to the IP address (BRI_A) of the bridge communication control unit 14 and converts the transmission destination address to the IP address (MFP) of the information processing apparatus 10 by NAPT processing. . Then, the bridge communication control unit 14 transmits the packet information to the second transmission / reception unit 17 using the MAC address as the MAC address of the router 70a.

図9の「6」は、第2の送受信部17を介して受信したパケット情報(例えば、スキャン処理により生成されたパケット情報)の送信先が、サーバ装置90bであった場合の動作を示している。この場合、ブリッジ通信制御部14は、NAPT処理により、送信元アドレスをサーバ装置90bのIPアドレス(INT_SV_B1)に変換し、送信先アドレスを第1のNAPT通信制御部15のIPアドレス(INT_B)に変換する。そして、ブリッジ通信制御部14は、パケット情報を第1のNAPT通信制御部15に送信する。   “6” in FIG. 9 indicates an operation when the transmission destination of the packet information (for example, packet information generated by the scanning process) received via the second transmission / reception unit 17 is the server apparatus 90b. Yes. In this case, the bridge communication control unit 14 converts the transmission source address to the IP address (INT_SV_B1) of the server device 90b by the NAPT process, and converts the transmission destination address to the IP address (INT_B) of the first NAPT communication control unit 15. Convert. Then, the bridge communication control unit 14 transmits the packet information to the first NAPT communication control unit 15.

図9の「7」の場合、第2の送受信部17を介して受信したパケット情報(例えば、スキャン処理により生成されたパケット情報)の送信先が、サーバ装置90cであった場合、ブリッジ通信制御部14は、NAPT処理により、送信元をサーバ装置90cのIPアドレス(INT_SV_C1)に変換すると共に、送信先を第2のNAPT通信制御部16のIPアドレス(INT_C)に変換して、第2のNAPT通信制御部16に送信する動作を示している。   In the case of “7” in FIG. 9, when the transmission destination of the packet information (for example, packet information generated by the scanning process) received via the second transmission / reception unit 17 is the server device 90 c, the bridge communication control The unit 14 converts the source to the IP address (INT_SV_C1) of the server device 90c and converts the destination to the IP address (INT_C) of the second NAPT communication control unit 16 by the NAPT process, An operation of transmitting to the NAPT communication control unit 16 is shown.

図9の「8」の場合、ブリッジ通信制御部14が、第2の送受信部17で受信したパケット情報を、どのようなパケット情報でも(ANY)、タグ処理部12へ送信する動作を示している。基本的には、ブリッジ通信制御部14は、第1の送受信部11および第2の送受信部17との間は、全て通信可能としているが、例えば内部通信、第1のNAPT通信制御部15、第2のNAPT通信制御部16に関連するパケット情報等の、一部のパケット情報以外、ブリッジ通信制御部14はブリッジ処理する。   In the case of “8” in FIG. 9, an operation in which the bridge communication control unit 14 transmits the packet information received by the second transmission / reception unit 17 to the tag processing unit 12 with any packet information (ANY) is shown. Yes. Basically, the bridge communication control unit 14 can communicate with the first transmission / reception unit 11 and the second transmission / reception unit 17, but for example, internal communication, the first NAPT communication control unit 15, The bridge communication control unit 14 performs a bridge process except for some pieces of packet information such as packet information related to the second NAPT communication control unit 16.

ここで、図9に示す通信制御情報300のパケット処理ルールの順番は、一例として、セキュリティ、合致する確率および制御のしやすさを考慮した順番となっている。本実施形態に係る情報処理システムは、例えば、第1の送受信部11と第2の送受信部17との間の通信が最も多く行われるとする。この場合、図9に示す通信制御情報300の第1番目に走査を行うパケット処理ルールとして、第1の送受信部11と第2の送受信部17との間の通信に対応するパケット処理ルールが設定される。この例は、合致する確率が高いパケット処理ルールから順に並べて走査する例である。この例のように、合致する確率の高いパケット処理ルールから順にパケット処理ルールの走査を行う場合には、より高速に合致するパケット処理ルールを検出できる。   Here, the order of the packet processing rules of the communication control information 300 shown in FIG. 9 is, for example, an order that considers security, the probability of matching, and ease of control. In the information processing system according to the present embodiment, for example, it is assumed that communication between the first transmission / reception unit 11 and the second transmission / reception unit 17 is performed most frequently. In this case, the packet processing rule corresponding to the communication between the first transmission / reception unit 11 and the second transmission / reception unit 17 is set as the packet processing rule to be scanned first in the communication control information 300 shown in FIG. Is done. In this example, scanning is performed in order from packet processing rules having a high probability of matching. As in this example, when the packet processing rules are scanned in order from the packet processing rule having the highest probability of matching, the packet processing rule that matches at higher speed can be detected.

○NAPT通信制御部の構成
図10は、一実施形態に係るNAPT通信制御部の機能構成の一例を示す図である。図10は、第1のNAPT通信制御部15および第2のNAPT通信制御部16の構成を示す。図10に示すように、第1のNAPT通信制御部15は、通信部151、制御部152および記憶部153を有する。 Configuration of NAPT Communication Control Unit FIG. 10 is a diagram illustrating an example of a functional configuration of a NAPT communication control unit according to an embodiment. FIG. 10 shows the configuration of the first NAPT communication control unit 15 and the second NAPT communication control unit 16. As illustrated in FIG. 10, the first NAPT communication control unit 15 includes a communication unit 151, a control unit 152, and a storage unit 153.

通信部151は、制御部152の制御に応じて、第1の送受信部11または第2の送受信部17から受信したパケット情報の送信、およびNAPT処理を含むパケット情報の書き換えを行う。通信部151は、例えば、図2に示したネットワークインターフェース(I/F)1008およびCPU1001によって実行されるプログラム等により実現される。制御部152は、記憶部153に記憶されている通信経路制御情報320およびNAPTテーブル330に記憶されている情報に基づき、通信部151を制御する。制御部152は、例えば、図2に示したCPU1001によって実行されるプログラム等により実現される。   The communication unit 151 performs transmission of packet information received from the first transmission / reception unit 11 or the second transmission / reception unit 17 and rewrite of packet information including NAPT processing in accordance with the control of the control unit 152. The communication unit 151 is realized by, for example, a program executed by the network interface (I / F) 1008 and the CPU 1001 shown in FIG. The control unit 152 controls the communication unit 151 based on the communication path control information 320 stored in the storage unit 153 and the information stored in the NAPT table 330. The control unit 152 is realized by, for example, a program executed by the CPU 1001 shown in FIG.

記憶部153は、通信経路制御情報320およびNAPTテーブル330を記憶している。記憶部153は、例えば、図2に示したROM1002、ストレージ1004およびCPU1001で実行されるプログラム等により実現される。記憶部153は、記憶手段の一例である。通信経路制御情報320およびNAPTテーブル330は、制御部152による通信制御に用いられるルーティングテーブルである。通信経路制御情報320およびNAPTテーブル330には、図11に示すフローテーブルおよびARP(Address Resolution Protocol)テーブル等の内部通信または外部通信を行うための制御情報が記憶される。ここで、記憶部153に記憶されている通信経路制御情報320およびNAPTテーブル330の内容について説明する。   The storage unit 153 stores communication path control information 320 and a NAPT table 330. The storage unit 153 is realized by, for example, a program executed by the ROM 1002, the storage 1004, and the CPU 1001 illustrated in FIG. The storage unit 153 is an example of a storage unit. Communication path control information 320 and NAPT table 330 are routing tables used for communication control by control unit 152. The communication path control information 320 and the NAPT table 330 store control information for performing internal communication or external communication such as a flow table and an ARP (Address Resolution Protocol) table shown in FIG. Here, the contents of the communication path control information 320 and the NAPT table 330 stored in the storage unit 153 will be described.

図11(a)は、第1のNAPT通信制御部15の記憶部153に記憶されているNAPTテーブル330の一例である。図11(a)に示すNAPTテーブル330において、デフォルトゲートウェイは、「172.16.1.1[ルータ70b(R_B)]」である。なお、図11(a)において、ゲートウェイが一つのみである例を示すが、ネットワークの構成に応じて、複数のルータを設定してもよい。   FIG. 11A is an example of the NAPT table 330 stored in the storage unit 153 of the first NAPT communication control unit 15. In the NAPT table 330 shown in FIG. 11A, the default gateway is “172.16.1.1 [router 70b (R_B)]”. Although FIG. 11A shows an example in which there is only one gateway, a plurality of routers may be set according to the network configuration.

図11(b)は、第1のNAPT通信制御部15の記憶部153に記憶されている通信経路制御情報320の一例である。図11(b)に示す通信経路制御情報320は、第1のNAPT通信制御部15のパケット処理ルールを示したものである。通信経路制御情報320は、処理決定情報の一例である。第1のNAPT通信制御部15は、ブリッジ通信制御部14と同様に、受信したパケット情報を用いて通信経路制御情報320のパケット処理ルールを上から順に走査することで、受信したパケット情報に合致するパケット処理ルールを検出する。第1のNAPT通信制御部15は、検出したパケット処理ルールで示される、受信したパケット情報に対応する動作(action)を実行する。第1のNAPT通信制御部15は、アクションを実行した場合、通信経路制御情報320の走査を終了する。   FIG. 11B is an example of communication path control information 320 stored in the storage unit 153 of the first NAPT communication control unit 15. Communication path control information 320 shown in FIG. 11B indicates packet processing rules of the first NAPT communication control unit 15. The communication path control information 320 is an example of process determination information. Similar to the bridge communication control unit 14, the first NAPT communication control unit 15 uses the received packet information to scan the packet processing rules of the communication path control information 320 in order from the top to match the received packet information. The packet processing rule to be detected is detected. The first NAPT communication control unit 15 executes an action corresponding to the received packet information indicated by the detected packet processing rule. The first NAPT communication control unit 15 ends the scanning of the communication path control information 320 when the action is executed.

具体的には、図11(b)に「デフォルト(default)」として示す動作は、第1のNAPT通信制御部15が、予期しないパケット情報を破棄(drop)する動作を示している。図11(b)に示す「2」および「3」は、第1のNAPT通信制御部15が、ネットワークNet_B系から受信したパケット情報のNAPT処理を実行し、パケット情報をブリッジ通信制御部14に送信する動作を示している。この場合、第1のNAPT通信制御部15は、アクセス制御設定により、送信元のIPアドレスを制限している。しかし、送信元のIPアドレスを制限しなくてもよい。   Specifically, the operation shown as “default” in FIG. 11B is an operation in which the first NAPT communication control unit 15 drops unexpected packet information. In “2” and “3” illustrated in FIG. 11B, the first NAPT communication control unit 15 performs the NAPT process on the packet information received from the network Net_B system, and sends the packet information to the bridge communication control unit 14. The operation | movement which transmits is shown. In this case, the first NAPT communication control unit 15 restricts the source IP address by the access control setting. However, the source IP address need not be restricted.

図11(b)に示す「4」は、第1のNAPT通信制御部15が、ネットワークNet_B系のサーバ装置90bからブリッジ通信制御部14を介して、第1のNAPT通信制御部15の「192.0.2.12:445」を送信先とするパケット情報を受信した場合の動作を示している。この場合、第1のNAPT通信制御部15は、情報処理装置10からサーバ装置90bへファイル情報等を送信する通信を行うように、受信したパケット情報のNAPT処理を実行し、パケット情報を第1の送受信部11に送信する。   In FIG. 11B, “4” indicates that the first NAPT communication control unit 15 receives “192” of the first NAPT communication control unit 15 from the network Net_B server device 90b via the bridge communication control unit 14. .0.2.12: 445 "shows the operation when receiving packet information having a transmission destination. In this case, the first NAPT communication control unit 15 performs a NAPT process on the received packet information so as to perform communication for transmitting file information and the like from the information processing apparatus 10 to the server apparatus 90b, and converts the packet information into the first information. Is transmitted to the transmission / reception unit 11.

第1のNAPT通信制御部15は、NAPT処理を行う場合、TCP(Transmission Control Protocol)セッションの状態を検出し、まだ開始されていないセッションについては、TCPセッションの途中状態のパケットを受け付けない。TCPセッションが開始されていない場合、第1のNAPT通信制御部15は、TCPセッションの確立のためのハンドシェイクを受け付けることで、例えば攻撃等の意図しないパケット送信を防止することができる。   When performing the NAPT process, the first NAPT communication control unit 15 detects the state of a TCP (Transmission Control Protocol) session, and does not accept a packet in the middle of the TCP session for a session that has not yet started. When the TCP session is not started, the first NAPT communication control unit 15 can prevent unintended packet transmission such as an attack by accepting a handshake for establishing the TCP session.

続いて、第2のNAPT通信制御部16の機能構成を説明する。第2のNAPT通信制御部16は、通信部161、制御部162および記憶部163を有する。通信部161は、制御部162の制御に応じて、第1の送受信部11または第2の送受信部17から受信したパケット情報の送信、およびNAPT処理を含むパケット情報の書き換えを行う。通信部161は、例えば、図2に示したネットワークインターフェース(I/F)1008およびCPU1001によって実行されるプログラム等により実現される。制御部162は、記憶部163に記憶されている通信経路制御情報340およびNAPTテーブル350に記憶されている情報に基づき、通信部161を制御する。制御部162は、例えば、図2に示したCPU1001によって実行されるプログラム等により実現される。   Next, the functional configuration of the second NAPT communication control unit 16 will be described. The second NAPT communication control unit 16 includes a communication unit 161, a control unit 162, and a storage unit 163. Under the control of the control unit 162, the communication unit 161 transmits packet information received from the first transmission / reception unit 11 or the second transmission / reception unit 17 and rewrites packet information including NAPT processing. The communication unit 161 is realized, for example, by a network interface (I / F) 1008 and a program executed by the CPU 1001 shown in FIG. The control unit 162 controls the communication unit 161 based on the communication path control information 340 stored in the storage unit 163 and the information stored in the NAPT table 350. The control unit 162 is realized by, for example, a program executed by the CPU 1001 shown in FIG.

記憶部163は、通信経路制御情報340およびNAPTテーブル350を記憶している。記憶部163は、例えば、図2に示したROM1002、ストレージ1004およびCPU1001で実行されるプログラム等により実現される。記憶部163は、記憶手段の一例である。通信経路制御情報340およびNAPTテーブル350は、制御部162による通信制御に用いられるルーティングテーブルである。通信経路制御情報340およびNAPTテーブル350には、図12に示すフローテーブルおよびARP(Address Resolution Protocol)テーブル等の内部通信または外部通信を行うための制御情報が記憶される。ここで、記憶部163に記憶されている通信経路制御情報340およびNAPTテーブル350の内容について説明する。   The storage unit 163 stores communication path control information 340 and a NAPT table 350. The storage unit 163 is realized by, for example, a program executed by the ROM 1002, the storage 1004, and the CPU 1001 illustrated in FIG. The storage unit 163 is an example of a storage unit. Communication path control information 340 and NAPT table 350 are routing tables used for communication control by control unit 162. The communication path control information 340 and the NAPT table 350 store control information for performing internal communication or external communication such as a flow table and an ARP (Address Resolution Protocol) table shown in FIG. Here, the contents of the communication path control information 340 and the NAPT table 350 stored in the storage unit 163 will be described.

図12(a)は、第2のNAPT通信制御部16の記憶部163に記憶されているNAPTテーブル350の一例である。図12(a)に示すNAPTテーブル350において、デフォルトゲートウェイは、「10.0.1.1[ルータ70c(R_C)]」である。なお、図12(a)において、ゲートウェイが一つのみである例を示すが、ネットワークの構成に応じて、複数のルータを設定してもよい。   FIG. 12A is an example of the NAPT table 350 stored in the storage unit 163 of the second NAPT communication control unit 16. In the NAPT table 350 shown in FIG. 12A, the default gateway is “10.0.1.1 [router 70c (R_C)]”. Although FIG. 12A shows an example in which there is only one gateway, a plurality of routers may be set according to the network configuration.

図12(b)は、第2のNAPT通信制御部16の記憶部163に記憶されている通信経路制御情報340の一例である。図12(b)に示す通信経路制御情報340は、第2のNAPT通信制御部16のパケット処理ルールを示したものである。通信経路制御情報340は、処理決定情報の一例である。第2のNAPT通信制御部16は、ブリッジ通信制御部14と同様に、受信したパケット情報を用いて通信経路制御情報340のパケット処理ルールを上から順に走査することで、受信したパケット情報に合致するパケット処理ルールを検出する。第2のNAPT通信制御部16は、検出したパケット処理ルールで示される、受信したパケット情報に対応する動作(action)を実行する。第2のNAPT通信制御部16は、アクションを実行した場合、通信経路制御情報340の走査を終了する。   FIG. 12B is an example of the communication path control information 340 stored in the storage unit 163 of the second NAPT communication control unit 16. Communication path control information 340 shown in FIG. 12B indicates packet processing rules of the second NAPT communication control unit 16. The communication path control information 340 is an example of process determination information. Similar to the bridge communication control unit 14, the second NAPT communication control unit 16 uses the received packet information to scan the packet processing rules of the communication path control information 340 in order from the top to match the received packet information. The packet processing rule to be detected is detected. The second NAPT communication control unit 16 executes an action corresponding to the received packet information indicated by the detected packet processing rule. The second NAPT communication control unit 16 ends the scanning of the communication path control information 340 when the action is executed.

具体的には、図12(b)に「デフォルト(default)」として示す動作は、第2のNAPT通信制御部16が、予期しないパケット情報を破棄(drop)する動作を示している。図12(b)に示す「2」および「3」は、第2のNAPT通信制御部16が、ネットワークNet_C系から受信したパケット情報のNAPT処理を実行し、パケット情報をブリッジ通信制御部14に送信する動作を示している。この場合、第2のNAPT通信制御部16は、アクセス制御設定により、送信元のIPアドレスを制限している。しかし、送信元のIPアドレスを制限しなくてもよい。   Specifically, the operation shown as “default” in FIG. 12B is an operation in which the second NAPT communication control unit 16 drops unexpected packet information. In “2” and “3” shown in FIG. 12B, the second NAPT communication control unit 16 performs the NAPT process on the packet information received from the network Net_C system, and sends the packet information to the bridge communication control unit 14. The operation | movement which transmits is shown. In this case, the second NAPT communication control unit 16 restricts the IP address of the transmission source by the access control setting. However, the source IP address need not be restricted.

図12(b)に示す「4」は、第2のNAPT通信制御部16が、ネットワークNet_C系のサーバ装置90cからブリッジ通信制御部14を介して、第2のNAPT通信制御部16の「192.0.2.13:445」を送信先とするパケット情報を受信した場合の動作を示している。この場合、第2のNAPT通信制御部16は、情報処理装置10からサーバ装置90cへファイル情報等を送信する通信を行うように、受信したパケット情報のNAPT処理を実行し、パケット情報を第1の送受信部11に送信する。   In FIG. 12B, “4” indicates that the second NAPT communication control unit 16 receives “192” of the second NAPT communication control unit 16 from the network Net_C system server device 90 c via the bridge communication control unit 14. ... 0.2.13: 445 ”shows the operation when the packet information having the transmission destination is received. In this case, the second NAPT communication control unit 16 performs a NAPT process on the received packet information so as to perform communication for transmitting file information and the like from the information processing apparatus 10 to the server apparatus 90c, and converts the packet information into the first information. Is transmitted to the transmission / reception unit 11.

第2のNAPT通信制御部16は、NAPT処理を行う場合、TCPセッションの状態を検出し、まだ開始されていないセッションについては、TCPセッションの途中状態のパケットを受け付けない。TCPセッションが開始されていない場合、第2のNAPT通信制御部16は、TCPセッションの確立のためのハンドシェイクを受け付けることで、例えば攻撃等の意図しないパケット送信を防止することができる。   When performing the NAPT process, the second NAPT communication control unit 16 detects the state of the TCP session, and does not accept a packet in the middle of the TCP session for a session that has not yet started. When the TCP session is not started, the second NAPT communication control unit 16 can prevent unintended packet transmission such as an attack by accepting a handshake for establishing the TCP session.

通信制御装置30は、第1のNAPT通信制御部15および第2のNAPT通信制御部16によって、パケット情報のNAPT変換が行われる例を説明したが、パケット情報のNAT(network address translator)変換が行われる構成にしてもよい。また、通信制御装置30は、第1のNAPT通信制御部15および第2のNAPT通信制御部16の二つを設けることとしたが、三つ以上のNAPT通信制御部を設けてもよい。   In the communication control device 30, the example in which the NAPT conversion of the packet information is performed by the first NAPT communication control unit 15 and the second NAPT communication control unit 16 has been described, but the NAT (network address translator) conversion of the packet information is performed. You may make it the structure performed. Further, although the communication control device 30 is provided with the first NAPT communication control unit 15 and the second NAPT communication control unit 16, three or more NAPT communication control units may be provided.

○タグ処理部のフローテーブル
続いて、図13を用いて、タグ処理部12の処理内容を説明する。図13は、一実施形態に係るタグ処理部の処理フローを説明するための図である。図13に示すフローテーブル230は、タグ処理部12におけるパケット処理のルールを示したルーティングテーブルである。フローテーブル230は、処理決定情報の一例である。図13に示すフローテーブル230は、IEEE802.1Qにおけるトランキング処理を想定している。図13に示すフローテーブル230は、例えば、記憶部13に記憶されている。なお、図13は、タグ処理部12における処理内容を簡単に記載したものであり、パケット情報の入出力は、予め設定された宛先情報(例えば、図7に示した通信制御装置30の各部のIPアドレス)に基づいて行われる。 ○ Flow table of tag processing unit Next, processing contents of the tag processing unit 12 will be described with reference to FIG. 13. FIG. 13 is a diagram for explaining the processing flow of the tag processing unit according to the embodiment. A flow table 230 illustrated in FIG. 13 is a routing table showing packet processing rules in the tag processing unit 12. The flow table 230 is an example of processing determination information. The flow table 230 shown in FIG. 13 assumes trunking processing in IEEE 802.1Q. For example, the flow table 230 illustrated in FIG. 13 is stored in the storage unit 13. FIG. 13 simply describes the processing contents in the tag processing unit 12, and input / output of packet information is performed on preset destination information (for example, each part of the communication control apparatus 30 shown in FIG. 7). IP address).

タグ処理部12は、受信したパケット情報を用いてフローテーブル230に示すパケット処理ルールを上から順に走査する。タグ処理部12は、受信したパケット情報に合致するパケット処理ルールを検出する。そして、タグ処理部12は、検出したパケット処理ルールに対応する動作(action)を実行する。タグ処理部12は、動作(action)を実行すると、フローテーブル230の走査を終了する。   The tag processing unit 12 scans the packet processing rules shown in the flow table 230 in order from the top using the received packet information. The tag processing unit 12 detects a packet processing rule that matches the received packet information. Then, the tag processing unit 12 executes an action corresponding to the detected packet processing rule. When the tag processing unit 12 executes an action, the tag processing unit 12 ends the scanning of the flow table 230.

具体的には、図13に示すように、タグ処理部12の「デフォルト(default)」の動作は、予期しないパケット情報を破棄(drop)する動作である。図13に示す「1」の条件において、タグ処理部12は、第1の送受信部11を介してVLANタグが付加されていないパケット情報を受信した場合、すなわちNativeVLANに対応する通信ポートによってパケット情報を受信した場合、受信したパケット情報の処理を行わない。そして、タグ処理部12は、受信したパケット情報をブリッジ通信制御部14へ送信する。   Specifically, as shown in FIG. 13, the “default” operation of the tag processing unit 12 is an operation of dropping unexpected packet information. In the condition “1” shown in FIG. 13, the tag processing unit 12 receives packet information to which a VLAN tag is not added via the first transmission / reception unit 11, that is, packet information by a communication port corresponding to Native VLAN. Is received, the received packet information is not processed. Then, the tag processing unit 12 transmits the received packet information to the bridge communication control unit 14.

図13に示す「4」の条件において、タグ処理部12は、ブリッジ通信制御部14からパケット情報を受信した場合、受信したパケット情報の処理を行わずに、受信したパケット情報を第1の送受信部11へ送信する。ここで、図13に示す「1」と「4」の条件の場合、タグ処理部12は、受信したパケット情報の処理を行わずに出力するが、情報処理装置10とVLAN対応スイッチ50のNativeVLANのIDは予め揃えておく必要がある。例えば、NativeVLANのIDは、「1」に設定されている。   In the condition “4” illustrated in FIG. 13, when the tag processing unit 12 receives packet information from the bridge communication control unit 14, the tag processing unit 12 performs the first transmission / reception of the received packet information without processing the received packet information. To the unit 11. Here, in the case of the conditions “1” and “4” shown in FIG. 13, the tag processing unit 12 outputs the received packet information without processing, but the native VLAN of the information processing apparatus 10 and the VLAN corresponding switch 50 is output. IDs must be prepared in advance. For example, the native VLAN ID is set to “1”.

図13に示す「2」の条件において、タグ処理部12は、第1の送受信部11を介してVLANタグが「10」のパケット情報を受信した場合、「10」のVLANタグをパケット情報から除去する。そして、タグ処理部12は、VLANタグを除去したパケット情報を、第1のNAPT通信制御部15へ出力する。   In the condition “2” illustrated in FIG. 13, when the tag processing unit 12 receives packet information with the VLAN tag “10” via the first transmission / reception unit 11, the tag processing unit 12 extracts the VLAN tag with “10” from the packet information. Remove. The tag processing unit 12 then outputs the packet information from which the VLAN tag has been removed to the first NAPT communication control unit 15.

図13に示す「3」の条件において、タグ処理部12は、第1の送受信部11を介してVLANタグが「30」のパケット情報を受信した場合、「30」のVLANタグをパケット情報から除去する。そして、タグ処理部12は、VLANタグを除去したパケット情報を、第2のNAPT通信制御部16へ出力する。   In the condition “3” shown in FIG. 13, when the tag processing unit 12 receives packet information with the VLAN tag “30” via the first transmission / reception unit 11, the tag processing unit 12 extracts the VLAN tag with “30” from the packet information. Remove. Then, the tag processing unit 12 outputs the packet information from which the VLAN tag has been removed to the second NAPT communication control unit 16.

図13に示す「5」の条件において、タグ処理部12は、第1のNAPT通信制御部15からパケット情報を受信した場合、受信したパケット情報に「10」のVLANタグを付加する。そして、タグ処理部12は、「10」のVLANタグを付加したパケット情報を、第1の送受信部11へ出力する。   When the packet processing unit 12 receives packet information from the first NAPT communication control unit 15 under the condition “5” illustrated in FIG. 13, the tag processing unit 12 adds a VLAN tag “10” to the received packet information. Then, the tag processing unit 12 outputs packet information to which the VLAN tag “10” is added to the first transmission / reception unit 11.

図13に示す「6」の条件において、タグ処理部12は、第2のNAPT通信制御部16からパケット情報を受信した場合、受信したパケット情報に「30」のVLANタグを付加する。そして、タグ処理部12は、「30」のVLANタグを付加したパケット情報を、第1の送受信部11へ出力する。   In the condition “6” shown in FIG. 13, when the tag processing unit 12 receives packet information from the second NAPT communication control unit 16, the tag processing unit 12 adds a VLAN tag “30” to the received packet information. Then, the tag processing unit 12 outputs packet information to which the VLAN tag “30” is added to the first transmission / reception unit 11.

●通信制御装置における通信制御処理
続いて、通信制御装置30における通信制御処理を説明する。図14は、第1の実施形態に係る通信制御装置における、ネットワーク機器から情報処理装置へパケット情報を送信する際の処理フローを説明するためのフローチャートである。 Communication Control Processing in Communication Control Device Next, communication control processing in the communication control device 30 will be described. FIG. 14 is a flowchart for explaining a processing flow when packet information is transmitted from the network device to the information processing apparatus in the communication control apparatus according to the first embodiment.

ステップS101において、通信制御装置30の第1の送受信部11は、ネットワーク機器からパケット情報を受信した場合、処理をステップS102へ移行させる(取得ステップの一例)。一方で、通信制御装置30の第1の送受信部11は、ネットワーク機器からパケット情報を受信していない場合、ステップS101の処理を繰り返す。   In step S101, when the first transmission / reception unit 11 of the communication control device 30 receives packet information from the network device, the process proceeds to step S102 (an example of an acquisition step). On the other hand, the first transmission / reception unit 11 of the communication control device 30 repeats the process of step S101 when packet information is not received from the network device.

ステップS102において、通信制御装置30のタグ処理部12は、第1の送受信部11によって受信されたパケット情報にVLANタグが付加されているか否かを識別する。通信制御装置30は、受信したパケット情報にVLANタグが付加されている場合、処理をステップS103へ移行させる。   In step S102, the tag processing unit 12 of the communication control device 30 identifies whether or not a VLAN tag is added to the packet information received by the first transmission / reception unit 11. If the VLAN tag is added to the received packet information, the communication control device 30 moves the process to step S103.

ステップS103において、通信制御装置30のタグ処理部12は、VLANタグが付加されているパケット情報からVLANタグを除去する。具体的には、ネットワークNet_B系およびネットワークNet_C系から送信されたパケット情報は、それぞれ受信した通信ポートに対応するVLANタグを含む。通信制御装置30のタグ処理部12は、タグVLANに対応していない情報処理装置10へパケット情報を送信するため、受信したパケット情報に含まれるVLANタグを取り除く。   In step S103, the tag processing unit 12 of the communication control device 30 removes the VLAN tag from the packet information to which the VLAN tag is added. Specifically, the packet information transmitted from the network Net_B system and the network Net_C system includes VLAN tags corresponding to the received communication ports. The tag processing unit 12 of the communication control apparatus 30 removes the VLAN tag included in the received packet information in order to transmit the packet information to the information processing apparatus 10 that does not support the tag VLAN.

そして、タグ処理部12は、パケット情報に含まれるVLANタグが「10」である場合、すなわちパケット情報に含まれる送信元の宛先情報がネットワークNet_B系に接続されたネットワーク機器である場合、VLANタグを除去したパケット情報を、第1のNAPT通信制御部15へ送信する。一方で、タグ処理部12は、パケット情報に含まれるVLANタグが「30」である場合、すなわちパケット情報に含まれる送信元の宛先情報がネットワークNet_C系に接続されたネットワーク機器である場合、VLANタグを除去したパケット情報を、第2のNAPT通信制御部16へ送信する。   When the VLAN tag included in the packet information is “10”, that is, when the destination information of the transmission source included in the packet information is a network device connected to the network Net_B system, the tag processing unit 12 The packet information from which is removed is transmitted to the first NAPT communication control unit 15. On the other hand, if the VLAN tag included in the packet information is “30”, that is, if the destination information of the transmission source included in the packet information is a network device connected to the network Net_C system, the tag processing unit 12 The packet information from which the tag is removed is transmitted to the second NAPT communication control unit 16.

ステップS104において、通信制御装置30の第1のNAPT通信制御部15または第2のNAPT通信制御部16は、受信したパケット情報のNAPT処理を実行する。具体的には、第1のNAPT通信制御部15の制御部152は、記憶部153に記憶された通信経路制御情報320を用いて、通信部151によって受信されたパケット情報のNAPT処理を実行する。この場合、制御部152は、通信部151によって受信されたパケット情報が、図11に示した通信経路制御情報320の「2」または「3」の条件に該当するため、該当する条件に対する動作を実行する。通信経路制御情報320の「2」または「3」に示すように、通信部151は、制御部152によってNAPT処理が行われたパケット情報を、ブリッジ通信制御部14へ出力する。   In step S104, the first NAPT communication control unit 15 or the second NAPT communication control unit 16 of the communication control device 30 performs a NAPT process on the received packet information. Specifically, the control unit 152 of the first NAPT communication control unit 15 uses the communication path control information 320 stored in the storage unit 153 to perform a NAPT process on the packet information received by the communication unit 151. . In this case, since the packet information received by the communication unit 151 corresponds to the condition “2” or “3” of the communication path control information 320 illustrated in FIG. Execute. As indicated by “2” or “3” of the communication path control information 320, the communication unit 151 outputs the packet information subjected to the NAPT process by the control unit 152 to the bridge communication control unit 14.

一方で、第2のNAPT通信制御部16の制御部162は、記憶部163に記憶された通信経路制御情報340を用いて、通信部161によって受信されたパケット情報のNAPT処理を実行する。この場合、制御部162は、通信部161によって受信されたパケット情報が、図12に示した通信経路制御情報340の「2」または「3」の条件に該当するため、該当する条件に対する動作を実行する。通信経路制御情報340の「2」または「3」に示すように、通信部161は、制御部162によってNAPT処理が行われたパケット情報を、ブリッジ通信制御部14へ出力する。   On the other hand, the control unit 162 of the second NAPT communication control unit 16 uses the communication path control information 340 stored in the storage unit 163 to perform a NAPT process on the packet information received by the communication unit 161. In this case, since the packet information received by the communication unit 161 corresponds to the condition “2” or “3” of the communication path control information 340 illustrated in FIG. Execute. As indicated by “2” or “3” of the communication path control information 340, the communication unit 161 outputs the packet information subjected to the NAPT process by the control unit 162 to the bridge communication control unit 14.

ステップS105において、通信制御装置30のブリッジ通信制御部14は、図9に示した通信制御情報300を用いて、第1のNAPT通信制御部15または第2のNAPT通信制御部16から受信したパケット情報の処理を実行する。具体的には、通信部141によって第1のNAPT通信制御部15から送信されたパケット情報が受信された場合、ブリッジ通信制御部14の制御部142は、図9に示した通信制御情報300の「4」の条件に該当するため、「4」の条件に対する動作を実行する。通信制御情報300の「4」に示すように、制御部142は、通信部141によって受信されたパケット情報のNAPT処理を実行する。そして、通信部141は、制御部142によってNAPT処理が行われたパケット情報を、第2の送受信部17へ出力する。   In step S105, the bridge communication control unit 14 of the communication control device 30 uses the communication control information 300 shown in FIG. 9 to receive the packet received from the first NAPT communication control unit 15 or the second NAPT communication control unit 16. Perform information processing. Specifically, when the packet information transmitted from the first NAPT communication control unit 15 is received by the communication unit 141, the control unit 142 of the bridge communication control unit 14 includes the communication control information 300 illustrated in FIG. Since the condition “4” is met, the operation for the condition “4” is executed. As indicated by “4” in the communication control information 300, the control unit 142 executes a NAPT process on the packet information received by the communication unit 141. Then, the communication unit 141 outputs the packet information subjected to the NAPT process by the control unit 142 to the second transmission / reception unit 17.

また、通信部141によって第2のNAPT通信制御部16から送信されたパケット情報が受信された場合、ブリッジ通信制御部14の制御部142は、図9に示した通信制御情報300の「5」の条件に該当するため、「5」の条件に対する動作を実行する。通信制御情報300の「5」に示すように、制御部142は、通信部151によって受信されたパケット情報のNAPT処理を実行する。そして、通信部141は、制御部142によってNAPT処理が行われたパケット情報を、第2の送受信部17へ出力する。   When the packet information transmitted from the second NAPT communication control unit 16 is received by the communication unit 141, the control unit 142 of the bridge communication control unit 14 sets “5” of the communication control information 300 illustrated in FIG. Therefore, the operation for the condition “5” is executed. As indicated by “5” in the communication control information 300, the control unit 142 performs a NAPT process on the packet information received by the communication unit 151. Then, the communication unit 141 outputs the packet information subjected to the NAPT process by the control unit 142 to the second transmission / reception unit 17.

一方で、ステップS102において、通信制御装置30は、第1の送受信部11によって受信されたパケット情報にVLANタグが付加されていない場合、処理をステップS106へ移行させる。   On the other hand, when the VLAN tag is not added to the packet information received by the first transmission / reception unit 11 in step S102, the communication control device 30 shifts the processing to step S106.

ステップS106において、通信制御装置30のブリッジ通信制御部14は、図9に示した通信制御情報300を用いて、タグ処理部12から受信したパケット情報の処理を実行する。具体的には、通信部141によってタグ処理部12から送信されたパケット情報が受信された場合、ブリッジ通信制御部14の制御部142は、図9に示した通信制御情報300の「2」の条件に該当するため、「2」の条件に対する動作を実行する。通信制御情報300の「2」に示すように、通信部141は、受信したパケット情報を第2の送受信部17へ送信する。すなわち、ステップS106の処理において、ブリッジ通信制御部14は、受信したパケット情報のNAPT処理を行なわずに、直接タグ処理部12から受信したパケット情報を、第2の送受信部17へ送信する。   In step S <b> 106, the bridge communication control unit 14 of the communication control device 30 executes processing of the packet information received from the tag processing unit 12 using the communication control information 300 illustrated in FIG. 9. Specifically, when the packet information transmitted from the tag processing unit 12 is received by the communication unit 141, the control unit 142 of the bridge communication control unit 14 sets “2” of the communication control information 300 illustrated in FIG. Since the condition is met, the operation for the condition “2” is executed. As indicated by “2” in the communication control information 300, the communication unit 141 transmits the received packet information to the second transmission / reception unit 17. That is, in the process of step S106, the bridge communication control unit 14 transmits the packet information received directly from the tag processing unit 12 to the second transmission / reception unit 17 without performing the NAPT process of the received packet information.

ステップS107において、通信制御装置30の第2の送受信部17は、ブリッジ通信制御部14から送信されたパケット情報を情報処理装置10へ送信する(通信制御ステップの一例)。これにより、本実施形態に係る情報処理システムにおいて、通信制御装置30は、VLANタグを含むパケット情報およびVLANタグを含まないパケット情報のいずれを受信した場合においても、情報処理装置10へパケット情報を送信する制御を行うことができる。   In step S107, the second transmission / reception unit 17 of the communication control device 30 transmits the packet information transmitted from the bridge communication control unit 14 to the information processing device 10 (an example of a communication control step). Thereby, in the information processing system according to the present embodiment, the communication control device 30 transmits packet information to the information processing device 10 when receiving either packet information including a VLAN tag or packet information not including a VLAN tag. Transmission control can be performed.

図15は、一実施形態に係る通信制御装置における、情報処理装置からネットワーク機器へファイル情報を送信する際の処理フローを説明するためのフローチャートである。図15に示す処理は、図14に示した処理と同様に、通信制御情報300、通信経路制御情報320、通信経路制御情報340およびタグ処理部12のフローテーブル230等の処理決定情報を用いて実行される。なお、情報処理装置10からネットワーク機器へ送信される情報は、ファイル情報に限られない。   FIG. 15 is a flowchart for explaining a processing flow when transmitting file information from the information processing apparatus to the network device in the communication control apparatus according to the embodiment. The process shown in FIG. 15 uses process determination information such as the communication control information 300, the communication path control information 320, the communication path control information 340, and the flow table 230 of the tag processing unit 12 in the same manner as the process shown in FIG. Executed. The information transmitted from the information processing apparatus 10 to the network device is not limited to file information.

ステップS201において、通信制御装置30は、第2の送受信部17において、情報処理装置10からファイル情報を受信した場合、処理をステップS202へ移行させる(取得ステップの一例)。一方で、通信制御装置30は、第2の送受信部17において、ファイル情報を受信していない場合、ステップS201の処理を繰り返す。   In step S201, when the second transmission / reception unit 17 receives file information from the information processing apparatus 10, the communication control apparatus 30 shifts the process to step S202 (an example of an acquisition step). On the other hand, the communication control apparatus 30 repeats the process of step S201, when the 2nd transmission / reception part 17 has not received file information.

ステップS202において、通信制御装置30は、第2の送受信部17によって受信されたファイル情報の処理を実行する。具体的には、ブリッジ通信制御部14の通信部141は、第2の送受信部17から送信されたファイル情報を受信する。そして、ブリッジ通信制御部14の制御部142は、記憶部143に記憶された通信制御情報300に基づいて、通信部141によって受信されたファイル情報の処理を実行する。   In step S <b> 202, the communication control device 30 executes processing of file information received by the second transmission / reception unit 17. Specifically, the communication unit 141 of the bridge communication control unit 14 receives the file information transmitted from the second transmission / reception unit 17. Then, the control unit 142 of the bridge communication control unit 14 performs processing of the file information received by the communication unit 141 based on the communication control information 300 stored in the storage unit 143.

ステップS203において、制御部142は、ファイル情報の送信先がネットワークNet_A系である場合、処理をステップS208へ移行させる。具体的には、制御部142は、通信部141により受信したファイル情報に含まれる送信先の宛先情報が、ネットワークNet_A系に接続されたネットワーク機器である場合、処理をステップS208へ移行させる。   In step S203, when the transmission destination of the file information is the network Net_A system, the control unit 142 shifts the process to step S208. Specifically, if the destination information included in the file information received by the communication unit 141 is a network device connected to the network Net_A system, the control unit 142 shifts the process to step S208.

ステップS208において、通信制御装置30は、第1の送受信部11を用いて、ネットワーク機器へファイル情報を送信する(通信制御ステップの一例)。具体的には、ブリッジ通信制御部14の通信部141は、タグ処理部12へファイル情報を送信する。タグ処理部12は、受信したファイル情報に含まれる送信先の宛先情報がネットワークNet_A系であるため、ファイル情報へのタグ情報の付加または削除は行わない。タグ処理部12は、受信したファイル情報を、第1の送受信部11へ送信する。そして、第1の送受信部11は、ネットワークNet_A系に接続されたネットワーク機器へ、ファイル情報を送信する。   In step S208, the communication control device 30 uses the first transmission / reception unit 11 to transmit file information to the network device (an example of a communication control step). Specifically, the communication unit 141 of the bridge communication control unit 14 transmits file information to the tag processing unit 12. The tag processing unit 12 does not add or delete the tag information to the file information because the destination information of the transmission destination included in the received file information is the network Net_A system. The tag processing unit 12 transmits the received file information to the first transmission / reception unit 11. Then, the first transmission / reception unit 11 transmits file information to a network device connected to the network Net_A system.

一方で、ステップS203において、通信制御装置30は、ファイル情報の送信先がネットワークNet_A系でない場合、処理をステップS204へ移行させる。ステップS204において、通信制御装置30は、ファイル情報の送信先がネットワークNet_B系である場合、処理をステップS205へ移行させる。   On the other hand, if the transmission destination of the file information is not the network Net_A system in step S203, the communication control device 30 shifts the process to step S204. In step S204, when the transmission destination of the file information is the network Net_B system, the communication control device 30 shifts the process to step S205.

ステップS205において、通信制御装置30は、第1のNAPT通信制御部15において、ファイル情報のNAPT処理を実行する。具体的には、ブリッジ通信制御部14の通信部141は、第1のNAPT通信制御部15へ、ファイル情報を送信する。そして、第1のNAPT通信制御部15の制御部152は、記憶部153に記憶された通信経路制御情報320を用いて、通信部151によって受信されたファイル情報のNAPT処理を実行する。   In step S <b> 205, the communication control apparatus 30 executes a NAPT process for file information in the first NAPT communication control unit 15. Specifically, the communication unit 141 of the bridge communication control unit 14 transmits file information to the first NAPT communication control unit 15. Then, the control unit 152 of the first NAPT communication control unit 15 uses the communication path control information 320 stored in the storage unit 153 to perform a NAPT process on the file information received by the communication unit 151.

この場合、制御部152は、通信部151によって受信されたファイル情報が、図11に示した通信経路制御情報320の「4」の条件に該当するため、「4」の条件に対する動作を実行する。通信経路制御情報320の「4」に示すように、制御部152は、通信部151によって受信されたファイル情報のNAPT処理を実行する。そして、通信部151は、制御部152によってNAPT処理が行われたパケット情報を、第1の送受信部11へ送信する。   In this case, since the file information received by the communication unit 151 corresponds to the condition “4” of the communication path control information 320 illustrated in FIG. 11, the control unit 152 performs an operation for the condition “4”. . As indicated by “4” in the communication path control information 320, the control unit 152 executes a NAPT process on the file information received by the communication unit 151. Then, the communication unit 151 transmits the packet information subjected to the NAPT process by the control unit 152 to the first transmission / reception unit 11.

一方で、ステップS204において、通信制御装置30は、ファイル情報の送信先がネットワークNet_B系でない場合、処理をステップS206へ移行させる。ステップS206において、通信制御装置30は、第2のNAPT通信制御部16において、ファイル情報のNAPT処理を実行する。   On the other hand, in step S204, when the transmission destination of the file information is not the network Net_B system, the communication control device 30 shifts the process to step S206. In step S <b> 206, the communication control apparatus 30 executes a NAPT process for file information in the second NAPT communication control unit 16.

具体的には、ブリッジ通信制御部14の通信部141は、第2のNAPT通信制御部16へ、ファイル情報を送信する。そして、第2のNAPT通信制御部16の制御部162は、記憶部163に記憶された通信経路制御情報340を用いて、通信部161によって受信されたファイル情報のNAPT処理を実行する。   Specifically, the communication unit 141 of the bridge communication control unit 14 transmits file information to the second NAPT communication control unit 16. Then, the control unit 162 of the second NAPT communication control unit 16 uses the communication path control information 340 stored in the storage unit 163 to perform a NAPT process on the file information received by the communication unit 161.

この場合、制御部162は、通信部161によって受信されたファイル情報が、図12に示した通信経路制御情報340の「4」の条件に該当するため、「4」の条件に対する動作を実行する。通信経路制御情報340の「4」に示すように、制御部162は、通信部161によって受信されたファイル情報のNAPT処理を実行する。そして、通信部161は、制御部162によってNAPT処理が行われたパケット情報を、第1の送受信部11へ送信する。   In this case, since the file information received by the communication unit 161 corresponds to the condition “4” of the communication path control information 340 illustrated in FIG. 12, the control unit 162 performs an operation for the condition “4”. . As indicated by “4” in the communication path control information 340, the control unit 162 performs a NAPT process on the file information received by the communication unit 161. Then, the communication unit 161 transmits the packet information subjected to the NAPT process by the control unit 162 to the first transmission / reception unit 11.

ステップS207において、通信制御装置30のタグ処理部12は、第1のNAPT通信制御部15または第2のNAPT通信制御部16から送信されたファイル情報に、VLANタグを付加する。具体的には、第1のNAPT通信制御部15からファイル情報が送信された場合、タグ処理部12は、図13に示したフローテーブル230の「5」の条件に該当するため、受信したファイル情報にVLANタグ「10」を付加する。そして、タグ処理部12は、図13に示したフローテーブル230の「5」に示すように、第1の送受信部11へ、VLANタグ「10」を付加したファイル情報を送信する。   In step S207, the tag processing unit 12 of the communication control device 30 adds a VLAN tag to the file information transmitted from the first NAPT communication control unit 15 or the second NAPT communication control unit 16. Specifically, when the file information is transmitted from the first NAPT communication control unit 15, the tag processing unit 12 satisfies the condition “5” of the flow table 230 illustrated in FIG. A VLAN tag “10” is added to the information. Then, the tag processing unit 12 transmits file information to which the VLAN tag “10” is added to the first transmission / reception unit 11 as indicated by “5” in the flow table 230 illustrated in FIG. 13.

第2のNAPT通信制御部16からファイル情報が送信された場合、タグ処理部12は、図13に示したフローテーブル230の「6」の条件に該当するため、受信したファイル情報にVLANタグ「30」を付加する。そして、タグ処理部12は、図13に示したフローテーブル230の「6」に示すように、第1の送受信部11へ、VLANタグ「30」を付加したファイル情報を送信する。   When the file information is transmitted from the second NAPT communication control unit 16, the tag processing unit 12 satisfies the condition “6” of the flow table 230 illustrated in FIG. 13, and therefore the VLAN tag “ 30 "is added. Then, the tag processing unit 12 transmits the file information with the VLAN tag “30” added to the first transmission / reception unit 11 as indicated by “6” in the flow table 230 shown in FIG.

ステップS208において、通信制御装置30の第1の送受信部11は、タグ処理部12から送信されたファイル情報を、ファイル情報に含まれる宛先情報が示す送信先のネットワーク機器へ、それぞれ送信する。具体的には、第1の送受信部11は、タグ処理部12から送信された、VLANタグ「10」が付加されたファイル情報を、ネットワークNet_B系に接続されたネットワーク機器へ送信する。また、第1の送受信部11は、タグ処理部12から送信された、VLANタグ「30」が付加されたファイル情報を、ネットワークNet_C系に接続されたネットワーク機器へ送信する。   In step S208, the first transmission / reception unit 11 of the communication control device 30 transmits the file information transmitted from the tag processing unit 12 to each of the destination network devices indicated by the destination information included in the file information. Specifically, the first transmission / reception unit 11 transmits the file information added with the VLAN tag “10” transmitted from the tag processing unit 12 to a network device connected to the network Net_B system. The first transmission / reception unit 11 transmits the file information to which the VLAN tag “30” is added, transmitted from the tag processing unit 12, to the network device connected to the network Net_C system.

これにより、本実施形態に係る情報処理システムにおいて、通信制御装置30は、VLANタグを含むパケット情報の送受信を行うネットワーク(ネットワークNet_A系)およびVLANタグを含まないパケット情報の送受信を行うネットワーク(ネットワークNet_B系またはネットワークNet_C系)のいずれのネットワークに対しても、情報処理装置10から送信されたパケット情報を送信する制御を行うことができる。   Accordingly, in the information processing system according to the present embodiment, the communication control device 30 includes a network (network Net_A system) that transmits and receives packet information including a VLAN tag and a network (network that transmits and receives packet information that does not include a VLAN tag). Control can be performed to transmit packet information transmitted from the information processing apparatus 10 to any network (Net_B system or network Net_C system).

○ネットワークNet_A系のネットワーク機器から情報処理装置へ送信されるパケット情報の流れ
次に、図1に示すネットワークNet_A系に設けられているクライアント端末80aから情報処理装置10へ送信されるパケット情報の流れを図16のシーケンス図を用いて説明する。図16において、パケット情報の「PC_A1:3000」の記載は、送信元(SRC)であるクライアント端末80a(PC_A1)のIPアドレスおよびポート番号を示す。すなわち、「PC_A1」の記載は、クライアント端末80a(PC_A1)のIPアドレスを示しており、「3000」の記載は、ポート番号を示している。 Flow of packet information transmitted from network device of network Net_A system to information processing apparatus Next, flow of packet information transmitted from client terminal 80a provided in network Net_A system shown in FIG. 1 to information processing apparatus 10 Will be described with reference to the sequence diagram of FIG. In FIG. 16, the description “PC_A1: 3000” in the packet information indicates the IP address and port number of the client terminal 80a (PC_A1) that is the transmission source (SRC). That is, “PC_A1” indicates the IP address of the client terminal 80a (PC_A1), and “3000” indicates the port number.

同様に、パケット情報の「MFP:9100」に記載は、送信先(DST)となる情報処理装置10(MFP)のIPアドレスおよびポート番号を示す。すなわち、「MFP」の記載は、送信先(DST)となる情報処理装置10のIPアドレスを示しており、「9100」の記載は、ポート番号を示している。   Similarly, “MFP: 9100” in the packet information indicates the IP address and port number of the information processing apparatus 10 (MFP) serving as the transmission destination (DST). That is, the description “MFP” indicates the IP address of the information processing apparatus 10 that is the transmission destination (DST), and the description “9100” indicates the port number.

ネットワークNet_A系に設けられているクライアント端末80aから情報処理装置10へパケット情報を送信する場合、通信制御装置30は、タグ処理部12およびブリッジ通信制御部14を介してパケット情報を送信する。この場合、通信制御装置30のタグ処理部12は、図13に示したフローテーブル230の「1」の条件に該当するため、パケット情報のタグ処理を行わない。また、通信制御装置30のブリッジ通信制御部14は、図9に示した通信制御情報300の「3」の条件に該当するため、パケット情報のNAPT処理等のパケット処理を行わない。   When transmitting packet information from the client terminal 80 a provided in the network Net_A system to the information processing apparatus 10, the communication control apparatus 30 transmits packet information via the tag processing unit 12 and the bridge communication control unit 14. In this case, the tag processing unit 12 of the communication control device 30 does not perform the tag processing of the packet information because the condition “1” in the flow table 230 illustrated in FIG. 13 is satisfied. Further, since the bridge communication control unit 14 of the communication control device 30 satisfies the condition “3” of the communication control information 300 illustrated in FIG. 9, the bridge communication control unit 14 does not perform packet processing such as NAPT processing of packet information.

このため、図16に示すように、パケット情報は、タグ処理およびNAPT処理が施されることなく、クライアント端末80a(PC_A1)→ルータ70a(R_A)→VLAN対応スイッチ50→第1の送受信部11→タグ処理部12→ブリッジ通信制御部14→第2の送受信部17→情報処理装置10(MFP)の順に送信される。   For this reason, as shown in FIG. 16, the packet information is not subjected to tag processing and NAPT processing, but is subjected to client terminal 80a (PC_A1) → router 70a (R_A) → VLAN compatible switch 50 → first transmission / reception unit 11 → Tag processing unit 12 → bridge communication control unit 14 → second transmission / reception unit 17 → information processing apparatus 10 (MFP).

同様に、情報処理装置10からネットワークNet_A系に設けられているクライアント端末80a(PC_A1)へパケット情報を送信する場合も、通信制御装置30は、タグ処理部12およびブリッジ通信制御部14を介してパケット情報を送信する。このため、図16に示すように、送信元(SRC)が「MFP:9100」、送信先(DST)が「PC_A1:3000」とされたパケット情報は、情報処理装置10(MFP)→第2の送受信部17→ブリッジ通信制御部14→タグ処理部12→第1の送受信部11→VLAN対応スイッチ50→ネットワークNet_A系のルータ70a(R_A)→クライアント端末80a(PC_A1)の順に送信される。   Similarly, when the packet information is transmitted from the information processing apparatus 10 to the client terminal 80a (PC_A1) provided in the network Net_A system, the communication control apparatus 30 passes through the tag processing unit 12 and the bridge communication control unit 14. Send packet information. For this reason, as shown in FIG. 16, the packet information in which the transmission source (SRC) is “MFP: 9100” and the transmission destination (DST) is “PC_A1: 3000” is information processing apparatus 10 (MFP) → second Transmission / reception unit 17 → bridge communication control unit 14 → tag processing unit 12 → first transmission / reception unit 11 → VLAN switch 50 → network Net_A router 70a (R_A) → client terminal 80a (PC_A1).

なお、クライアントとなる装置の送信元ポートは、パケットに着目した場合、セッション層またはアプリケーション層等の上位レイヤに応じて変更される。   Note that the transmission source port of the device serving as the client is changed according to an upper layer such as a session layer or an application layer when focusing on the packet.

○ネットワークNet_B系のネットワーク機器から情報処理装置へ送信されるパケット情報の流れ
次に、図1に示すネットワークNet_B系に設けられているクライアント端末80bから情報処理装置10へ送信されるパケット情報の流れを図17のシーケンス図を用いて説明する。図17において、パケット情報の「PC_B1:3000」の記載は、送信元(SRC)となるクライアント端末80b(PC_B1)のIPアドレスおよびポート番号を示す。すなわち、「PC_B1」の記載は、クライアント端末80b(PC_B1)のIPアドレスを示しており、「3000」の記載は、ポート番号を示している。 Flow of packet information transmitted from network device of network Net_B system to information processing apparatus Next, flow of packet information transmitted from client terminal 80b provided in network Net_B system shown in FIG. 1 to information processing apparatus 10 Will be described with reference to the sequence diagram of FIG. In FIG. 17, “PC_B1: 3000” in the packet information indicates the IP address and port number of the client terminal 80b (PC_B1) serving as the transmission source (SRC). That is, “PC_B1” indicates an IP address of the client terminal 80b (PC_B1), and “3000” indicates a port number.

同様に、パケット情報の「MFP:9100」に記載は、送信先(DST)となる情報処理装置10(MFP)のIPアドレスおよびポート番号を示す。すなわち、「MFP」の記載は、送信先(DST)となる情報処理装置10のIPアドレスを示しており、「9100」の記載は、ポート番号を示している。   Similarly, “MFP: 9100” in the packet information indicates the IP address and port number of the information processing apparatus 10 (MFP) serving as the transmission destination (DST). That is, the description “MFP” indicates the IP address of the information processing apparatus 10 that is the transmission destination (DST), and the description “9100” indicates the port number.

ネットワークNet_B系に設けられているクライアント端末80b(PC_B1)か ら情報処理装置10へパケット情報を送信する場合、通信制御装置30は、タグ処理部12、第1のNAPT通信制御部15およびブリッジ通信制御部14を介してパケット情報が送信する。このため、図17に示すように、パケット情報は、クライアント端末80b(PC_B1)→ルータ70b(R_B)→VLAN対応スイッチ50→第1の送受信部11→タグ処理部12→第1のNAPT通信制御部15→ブリッジ通信制御部14→第2の送受信部17→情報処理装置10(MFP)の順に送信される。   When transmitting packet information from the client terminal 80b (PC_B1) provided in the network Net_B system to the information processing apparatus 10, the communication control apparatus 30 includes the tag processing unit 12, the first NAPT communication control unit 15, and bridge communication. Packet information is transmitted via the control unit 14. Therefore, as shown in FIG. 17, the packet information includes the client terminal 80b (PC_B1) → the router 70b (R_B) → the VLAN switch 50 → the first transmission / reception unit 11 → the tag processing unit 12 → the first NAPT communication control. The data is transmitted in the order of unit 15 → bridge communication control unit 14 → second transmission / reception unit 17 → information processing apparatus 10 (MFP).

VLAN対応スイッチ50は、通信制御装置30に送信するパケット情報に、「10」のVLANタグを付加する。タグ処理部12は、VLANタグが付されたパケット情報を受信した場合、パケット情報からVLANタグ(この場合、「10」のVLANタグ)を除去して、第1のNAPT通信制御部15に送信する。   The VLAN compatible switch 50 adds a VLAN tag “10” to the packet information transmitted to the communication control device 30. When the tag processing unit 12 receives the packet information with the VLAN tag, the tag processing unit 12 removes the VLAN tag (in this case, the VLAN tag of “10”) from the packet information and transmits the packet information to the first NAPT communication control unit 15. To do.

第1のNAPT通信制御部15は、ブリッジ通信制御部14にパケット情報を送信する場合、図11(b)に示した通信経路制御情報320の「3」の条件に対応する処理(動作)を実行する。第1のNAPT通信制御部15は、送信元が「PC_B1:3000」、送信先が「MFP:9100」となっているパケット情報に対して、送信元を「INT_B:4000」とするNAPT処理を実行する。第1のNAPT通信制御部15は、NAPT処理を行ったパケット情報をブリッジ通信制御部14に送信する。   When transmitting packet information to the bridge communication control unit 14, the first NAPT communication control unit 15 performs processing (operation) corresponding to the condition “3” of the communication path control information 320 illustrated in FIG. Execute. The first NAPT communication control unit 15 performs a NAPT process in which the transmission source is “INT_B: 4000” for the packet information in which the transmission source is “PC_B1: 3000” and the transmission destination is “MFP: 9100”. Execute. The first NAPT communication control unit 15 transmits the packet information subjected to the NAPT process to the bridge communication control unit 14.

ここで、送信元のIPアドレスを「INT_B」に変換する意味は、パケット情報が送信元(この場合、サーバ装置90b(PC_B1))に戻される場合に、第2のNAPT通信制御部16のIPアドレスINT_Cと区別できるようにするためである(IPアドレスINT_Bからのパケット情報は、IPアドレスINT_Bに戻り、IPアドレスINT_Cからのパケット情報は、IPアドレスINT_Cに戻る)。   Here, the meaning of converting the IP address of the transmission source into “INT_B” is that when the packet information is returned to the transmission source (in this case, the server device 90b (PC_B1)), the IP address of the second NAPT communication control unit 16 This is so that it can be distinguished from the address INT_C (packet information from the IP address INT_B returns to the IP address INT_B, and packet information from the IP address INT_C returns to the IP address INT_C).

ブリッジ通信制御部14は、第2の送受信部17にパケット情報を送信する場合、図9に示した通信制御情報300の「4」の条件に対応する処理(動作)を実行する。具体的には、ブリッジ通信制御部14は、送信元が「INT_B:4000」となっているパケット情報に対して、送信元を「BRI_A:5000」とするNAPT処理を実行する。ブリッジ通信制御部14は、NAPT処理を行ったパケット情報を第2の送受信部17に送信する。これにより、ネットワークNet_B系に設けられているクライアント端末80b(PC_B1)からのパケット情報が、情報処理装置10へ送信される。   When transmitting packet information to the second transmission / reception unit 17, the bridge communication control unit 14 executes processing (operation) corresponding to the condition “4” of the communication control information 300 illustrated in FIG. 9. Specifically, the bridge communication control unit 14 performs NAPT processing with the transmission source “BRI_A: 5000” on the packet information whose transmission source is “INT_B: 4000”. The bridge communication control unit 14 transmits the packet information subjected to the NAPT process to the second transmission / reception unit 17. Accordingly, packet information from the client terminal 80b (PC_B1) provided in the network Net_B system is transmitted to the information processing apparatus 10.

本実施形態に係る情報処理システムは、通信制御装置30内で用いるIPアドレスである「INT_B:4000」を、通信制御装置30外で用いるIPアドレスである「BRI_A:5000」にNAPT処理する。そのため、本実施形態に係る情報処理システムは、「INT_B」等の通信制御装置30内で用いるIPアドレスが、外部で用いられる不都合を防止できる。   The information processing system according to the present embodiment performs a NAPT process on “INT_B: 4000”, which is an IP address used in the communication control apparatus 30, to “BRI_A: 5000”, which is an IP address used outside the communication control apparatus 30. Therefore, the information processing system according to the present embodiment can prevent inconvenience that an IP address used in the communication control device 30 such as “INT_B” is used outside.

また、ブリッジ通信制御部14は、送信元のMACアドレスを、ネットワークNet_A系上に設けられているルータ70a(R_A)のMACアドレスに変換する。これにより、情報処理装置10は、デフォルトゲートウェイであるルータ70a(R_A)からパケット情報が送信されていると認識する。このため、ネットワークNet_B系のクライアント端末80b(PC_B1)が、あたかもルータ70a(R_A)の先に設けられているものとして取り扱うことができる。   Further, the bridge communication control unit 14 converts the source MAC address into the MAC address of the router 70a (R_A) provided on the network Net_A system. Thereby, the information processing apparatus 10 recognizes that the packet information is transmitted from the router 70a (R_A) which is the default gateway. Therefore, the network Net_B system client terminal 80b (PC_B1) can be handled as if it were provided at the end of the router 70a (R_A).

一方、情報処理装置10からネットワークNet_B系に設けられているクライアント端末80b(PC_B1)へパケット情報を送信する場合、通信制御装置30は、ブリッジ通信制御部14、第1のNAPT通信制御部15およびタグ処理部12を介してパケット情報を送信する。このため、図10に示すように、パケット情報は、情報処理装置10(MFP)→第2の送受信部17→ブリッジ通信制御部14→第1のNAPT通信制御部15→タグ処理部12→第1の送受信部11→VLAN対応スイッチ50→ルータ70b(R_B)→クライアント端末80b(PC_B1)の順に送信される。   On the other hand, when transmitting packet information from the information processing apparatus 10 to the client terminal 80b (PC_B1) provided in the network Net_B system, the communication control apparatus 30 includes the bridge communication control unit 14, the first NAPT communication control unit 15, and Packet information is transmitted via the tag processing unit 12. For this reason, as shown in FIG. 10, the packet information is stored in the information processing apparatus 10 (MFP) → second transmission / reception unit 17 → bridge communication control unit 14 → first NAPT communication control unit 15 → tag processing unit 12 → first. 1 transmission / reception unit 11 → VLAN compatible switch 50 → router 70b (R_B) → client terminal 80b (PC_B1).

ブリッジ通信制御部14は、第1のNAPT通信制御部15にパケット情報を送信する場合、図9に示した通信制御情報300の「6」の条件に対応する処理(動作)を実行する。具体的には、ブリッジ通信制御部14は、送信元が「MFP:9100」、送信先が「BRI_A:5000」となっているパケット情報に対して、送信元を「INT:9100」、送信先を「INT_B4000」とするNAPT処理を実行する。そして、ブリッジ通信制御部14は、NAPT処理を行ったパケット情報を第1のNAPT通信制御部15に送信する。   When transmitting packet information to the first NAPT communication control unit 15, the bridge communication control unit 14 executes processing (operation) corresponding to the condition “6” of the communication control information 300 illustrated in FIG. 9. Specifically, for the packet information in which the transmission source is “MFP: 9100” and the transmission destination is “BRI_A: 5000”, the bridge communication control unit 14 sets the transmission source to “INT: 9100” and the transmission destination. NAPT processing with “INT_B4000” is executed. Then, the bridge communication control unit 14 transmits the packet information subjected to the NAPT process to the first NAPT communication control unit 15.

第1のNAPT通信制御部15は、タグ処理部12にパケット情報を送信する場合、図11に示した通信経路制御情報320の「4」の条件に対応する処理(動作)を実行する。具体的には、第1のNAPT通信制御部15は、送信元が「INT:9100」、送信先が「INT_B:4000」となっているパケット情報に対して、送信元を「MFP:9100」、送信先を「PC_B1:3000」とするNAPT処理を実行する。そして、第1のNAPT通信制御部15は、NAPT処理を行ったパケット情報をタグ処理部12に送信する。   When transmitting packet information to the tag processing unit 12, the first NAPT communication control unit 15 executes processing (operation) corresponding to the condition “4” of the communication path control information 320 illustrated in FIG. 11. Specifically, the first NAPT communication control unit 15 sets the transmission source to “MFP: 9100” for the packet information in which the transmission source is “INT: 9100” and the transmission destination is “INT_B: 4000”. , NAPT processing is executed with the transmission destination being “PC_B1: 3000”. Then, the first NAPT communication control unit 15 transmits the packet information subjected to the NAPT process to the tag processing unit 12.

タグ処理部12は、パケット情報を第1の送受信部11を介してVLAN対応スイッチ50に送信するために、図13に示したフローテーブル230の「3」の条件に対応する処理を実行する。具体的には、タグ処理部12は、送信元が「MFP:9100」、送信先が「PC_B1:3000」となっているパケット情報に、「10」のVLANタグを付加する。そして、タグ処理部12は、VLANタグ「10」を付加したパケット情報を第1の送受信部11へ送信する。   The tag processing unit 12 executes processing corresponding to the condition “3” in the flow table 230 illustrated in FIG. 13 in order to transmit the packet information to the VLAN compatible switch 50 via the first transmission / reception unit 11. Specifically, the tag processing unit 12 adds a VLAN tag of “10” to the packet information whose transmission source is “MFP: 9100” and whose transmission destination is “PC_B1: 3000”. Then, the tag processing unit 12 transmits packet information to which the VLAN tag “10” is added to the first transmission / reception unit 11.

VLAN対応スイッチ50は、第1の送受信部11を介して受信したパケット情報から、「10」のVLANタグを除去することで、送信元が「MFP:9100」、送信先が「PC_B1:3000」のパケット情報を形成し、ルータ70b(R_B)を介してクライアント端末80b(PC_B1)に送信する。これにより、情報処理装置10からネットワークNet_B系に設けられているクライアント端末80b(PC_B1)へパケット情報を送信することができる。   The VLAN switch 50 removes the VLAN tag “10” from the packet information received via the first transmission / reception unit 11, so that the transmission source is “MFP: 9100” and the transmission destination is “PC_B1: 3000”. Is transmitted to the client terminal 80b (PC_B1) via the router 70b (R_B). Thus, the packet information can be transmitted from the information processing apparatus 10 to the client terminal 80b (PC_B1) provided in the network Net_B system.

●実施形態の効果
以上説明したように、本実施形態に係る情報処理システムは、通信制御装置30がVLANタグ(仮想LANのタグ情報の一例)を含まないパケット情報(第1のデータの一例)の通信を行うネットワークNet_A系(第1のネットワークの一例)、並びにVLANタグを含むパケット情報(第2のデータの一例)の通信を行うネットワークNet_B系またはネットワークNet_C系(第2のネットワークの一例)のそれぞれに接続されたネットワーク機器と、情報処理装置10との間のパケット情報(送受信情報の一例)の通信制御を行う。 Advantages of Embodiment As described above, in the information processing system according to the present embodiment, the communication control device 30 includes packet information (an example of first data) that does not include a VLAN tag (an example of virtual LAN tag information). Network Net_A system (an example of the first network) that performs communication of the network, and network Net_B system or network Net_C system (an example of the second network) that performs communication of packet information (an example of the second data) including the VLAN tag Communication control of packet information (an example of transmission / reception information) between the network device connected to each of the information processing apparatuses 10 is performed.

通信制御装置30は、情報処理装置10またはネットワーク機器からVLANタグを含まないパケット情報を受信した場合、すなわち、受信したパケット情報に含まれる送信先および送信元の宛先情報の少なくとも一方が、ネットワークNet_A系に接続されたネットワーク機器である場合、パケット情報のタグ処理、並びにNAPT処理およびポート変換処理(宛先情報変換処理の一例)を実行せずに、パケット情報の送信先である情報処理装置10またはネットワーク機器へパケット情報を送信する。   When the communication control device 30 receives packet information that does not include a VLAN tag from the information processing device 10 or the network device, that is, at least one of transmission destination and transmission source destination information included in the received packet information is transmitted to the network Net_A. In the case of a network device connected to the system, the information processing apparatus 10 that is the transmission destination of the packet information without executing the tag processing of the packet information, the NAPT processing, and the port conversion processing (an example of the destination information conversion processing) or Send packet information to network devices.

一方で、通信制御装置30は、情報処理装置10またはネットワーク機器からVLANタグを含むパケット情報を受信した場合、すなわち、受信したパケット情報に含まれる送信先および送信元の宛先情報の少なくとも一方が、ネットワークNet_B系またはネットワークNet_C系に接続されたネットワーク機器である場合、パケット情報のタグ処理およびNAPT処理を実行する。そして、通信制御装置30は、タグ処理、並びにNAPT処理およびポート変換処理を行ったパケット情報を、パケット情報の送信先である情報処理装置10またはネットワーク機器へ送信する。   On the other hand, when the communication control device 30 receives the packet information including the VLAN tag from the information processing device 10 or the network device, that is, at least one of the transmission destination and the transmission destination destination information included in the received packet information, When the network device is connected to the network Net_B system or the network Net_C system, the packet information tag processing and NAPT processing are executed. Then, the communication control device 30 transmits the packet information subjected to the tag processing, the NAPT processing, and the port conversion processing to the information processing device 10 or the network device that is the transmission destination of the packet information.

これによって、本実施形態に係る情報処理システムは、異なるセグメントを有する複数のネットワーク間の通信にVLAN等の仮想LANを適用したシステムにおいて、仮想LANに対応していない情報処理装置10に対しても送受信情報の通信を行うことができる。そのため、本実施形態に係る情報処理システムは、情報処理装置10が仮想LANに対応しているか否かに関わらず、仮想LANに対応したより大規模なネットワークを形成することができる。   As a result, the information processing system according to the present embodiment applies to the information processing apparatus 10 that does not support a virtual LAN in a system in which a virtual LAN such as a VLAN is used for communication between a plurality of networks having different segments. Communication of transmission / reception information can be performed. Therefore, the information processing system according to the present embodiment can form a larger network that supports the virtual LAN regardless of whether the information processing apparatus 10 supports the virtual LAN.

●その他の実施形態●
次に、その他の実施形態に係る情報処理システムについて説明する。なお、上述した実施形態と同一構成および同一機能は、同一の符号を付して、その説明を省略する。その他の実施形態に係る情報処理システムは、図18および図19に示すように、情報処理装置10と通信制御装置30が一体となっている。情報処理装置10Aは、例えば、拡張ボードとして通信制御装置30を設けてもよい。 ● Other embodiments ●
Next, information processing systems according to other embodiments will be described. Note that the same configurations and functions as those of the above-described embodiment are denoted by the same reference numerals, and the description thereof is omitted. In an information processing system according to another embodiment, as illustrated in FIGS. 18 and 19, the information processing apparatus 10 and the communication control apparatus 30 are integrated. For example, the information processing apparatus 10A may include the communication control apparatus 30 as an expansion board.

図19は、その他の実施形態に係る情報処理装置の機能構成の一例を示す図である。情報処理装置10Aに内蔵された通信制御装置30は、第1の送受信部11を外部に開放し、VLAN対応スイッチ50を介して、各ネットワークと接続されている。また、第2の送受信部17は、情報処理装置10が本来有する第3の送受信部18と接続される。したがって、情報処理装置10Aは、通信制御装置30が内部に組み込まれていたとしても、上述の実施形態と同様の処理を行うことができる。   FIG. 19 is a diagram illustrating an example of a functional configuration of an information processing apparatus according to another embodiment. The communication control device 30 built in the information processing device 10A opens the first transmission / reception unit 11 to the outside, and is connected to each network via the VLAN compatible switch 50. The second transmission / reception unit 17 is connected to a third transmission / reception unit 18 that the information processing apparatus 10 originally has. Therefore, the information processing apparatus 10A can perform the same processing as in the above-described embodiment even if the communication control apparatus 30 is incorporated therein.

なお、その他の実施形態に係る情報処理システムは、通信制御装置30の一部を情報処理装置10Aの内部に設ける構成としてもよい。また、その他の実施形態に係る情報処理システムは、通信制御装置30とともに、または単独でVLAN対応スイッチ50を情報処理装置10Aの内部に設ける構成にしてもよい。   Note that information processing systems according to other embodiments may have a configuration in which a part of the communication control device 30 is provided inside the information processing device 10A. In addition, the information processing system according to other embodiments may be configured such that the VLAN compatible switch 50 is provided inside the information processing apparatus 10A together with the communication control apparatus 30 or independently.

●補足●
なお、各実施形態の機能は、アセンブラ、C、C++、C#、Java(登録商標)等のレガシープログラミング言語やオブジェクト指向プログラミング言語等で記述されたコンピュータ実行可能なプログラムにより実現でき、各実施形態の機能を実行するためのプログラムは、電気通信回線を通じて頒布することができる。 ● Supplement ●
The functions of the embodiments can be realized by a computer-executable program written in a legacy programming language such as an assembler, C, C ++, C #, Java (registered trademark), an object-oriented programming language, or the like. The program for executing the function can be distributed through a telecommunication line.

また、各実施形態の機能を実行するためのプログラムは、ROM、EEPROM(Electrically Erasable Programmable Read-Only Memory)、EPROM(Erasable Programmable Read-Only Memory)、フラッシュメモリ、フレキシブルディスク、CD(Compact Disc)−ROM、CD−RW(Re-Writable)、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MO(Magneto-Optical disc)等の装置可読な記録媒体に格納して頒布することもできる。   In addition, programs for executing the functions of the embodiments are ROM, EEPROM (Electrically Erasable Programmable Read-Only Memory), EPROM (Erasable Programmable Read-Only Memory), flash memory, flexible disk, CD (Compact Disc) − Store and distribute in device-readable recording media such as ROM, CD-RW (Re-Writable), DVD-ROM, DVD-RAM, DVD-RW, Blu-ray Disc, SD card, MO (Magneto-Optical disc), etc. You can also.

さらに、各実施形態の機能の一部または全部は、例えばFPGA(Field Programmable Gate Array)等のプログラマブル・デバイス(PD)上に実装することができ、またはASICとして実装することができ、各実施形態の機能をPD上に実現するためにPDにダウンロードする回路構成データ(ビットストリームデータ)、回路構成データを生成するためのHDL(Hardware Description Language)、VHDL(Very High Speed Integrated Circuits Hardware Description Language)、Verilog−HDL等により記述されたデータとして記録媒体により配布することができる。   Furthermore, part or all of the functions of each embodiment can be mounted on a programmable device (PD) such as an FPGA (Field Programmable Gate Array), or can be mounted as an ASIC. Circuit configuration data (bitstream data) downloaded to the PD in order to realize the above functions on the PD, HDL (Hardware Description Language) for generating the circuit configuration data, VHDL (Very High Speed Integrated Circuits Hardware Description Language), It can be distributed on a recording medium as data described in Verilog-HDL or the like.

これまで本発明の一実施形態に係る通信制御装置、情報処理システム、制御方法およびプログラムについて説明してきたが、本発明は、上述した実施形態に限定されるものではなく、他の実施形態の追加、変更または削除等、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。   The communication control device, the information processing system, the control method, and the program according to one embodiment of the present invention have been described so far, but the present invention is not limited to the above-described embodiment, and other embodiments are added. Any change can be made within the range that can be conceived by those skilled in the art, such as changes or deletions, and any embodiment is included in the scope of the present invention as long as the effects and advantages of the present invention are exhibited.

10 情報処理装置
30 通信制御装置
50 VLAN対応スイッチ
70 ルータ
80 クライアント端末(ネットワーク機器の一例)
90 サーバ装置(ネットワーク機器の一例)
11 第1の送受信部(取得手段の一例)
12 タグ処理部(タグ処理手段の一例)
13 記憶部(記憶手段の一例)
14 ブリッジ通信制御部(通信制御手段の一例)
15 第1のNAPT通信制御部(通信制御手段の一例)
16 第2のNAPT通信制御部(通信制御手段の一例)
17 第2の送受信部(取得手段の一例)
143 記憶部(記憶手段の一例)
153 記憶部(記憶手段の一例)
163 記憶部(記憶手段の一例) DESCRIPTION OF SYMBOLS 10 Information processing apparatus 30 Communication control apparatus 50 VLAN corresponding switch 70 Router 80 Client terminal (an example of network equipment)
90 Server device (an example of network equipment)
11 1st transmission / reception part (an example of an acquisition means)
12 Tag processing unit (an example of tag processing means)
13 Storage unit (an example of storage means)
14 Bridge communication control unit (an example of communication control means)
15 First NAPT communication control unit (an example of communication control means)
16 Second NAPT communication control unit (an example of communication control means)
17 2nd transmission / reception part (an example of an acquisition means)
143 storage unit (an example of storage means)
153 Storage unit (an example of storage means)
163 Storage unit (an example of storage means)

国際公開第2003/098880号International Publication No. 2003/098880

Claims (14)

少なくとも一つの情報処理装置と、異なるセグメントを有する複数のネットワークのそれぞれに接続された複数のネットワーク機器との間の送受信情報の通信を制御する通信制御装置であって、
前記複数のネットワークは、仮想LANのタグ情報を含まない第1のデータの通信を行う第1のネットワークと、前記タグ情報を含む第2のデータの通信を行う第2のネットワークとを含み、
前記情報処理装置または前記ネットワーク機器から前記送受信情報を取得する取得手段と、
前記取得された送受信情報に含まれる送信先および送信元の宛先情報のうちの少なくとも一方が、前記第1のネットワークに接続されたネットワーク機器である場合、前記取得された送受信情報を、前記送信先である前記情報処理装置または前記ネットワーク機器へ送信する通信制御手段と、
を備える通信制御装置。 A communication control device that controls communication of transmission / reception information between at least one information processing device and a plurality of network devices connected to each of a plurality of networks having different segments,
The plurality of networks includes a first network that performs communication of first data that does not include tag information of a virtual LAN, and a second network that performs communication of second data that includes the tag information,
Obtaining means for obtaining the transmission / reception information from the information processing apparatus or the network device;
When at least one of the transmission destination and the transmission destination information included in the acquired transmission / reception information is a network device connected to the first network, the acquired transmission / reception information is transmitted to the transmission destination. Communication control means for transmitting to the information processing apparatus or the network device,
A communication control device comprising: 請求項1に記載の通信制御装置であって、更に、
前記取得された送受信情報に含まれる送信元の宛先情報が、前記第2のネットワークに接続されたネットワーク機器である場合、前記取得された送受信情報に含まれる前記タグ情報を除去し、前記取得された送受信情報に含まれる送信先の宛先情報が、前記第2のネットワークに接続されたネットワーク機器である場合、前記取得された送受信情報に前記タグ情報を付加するタグ処理手段を備える、通信制御装置。 The communication control device according to claim 1, further comprising:
When the destination information of the transmission source included in the acquired transmission / reception information is a network device connected to the second network, the tag information included in the acquired transmission / reception information is removed and the acquired A communication control device comprising tag processing means for adding the tag information to the acquired transmission / reception information when the destination information included in the transmission / reception information is a network device connected to the second network. . 前記タグ処理手段は、前記取得された送受信情報に含まれる送信先および送信元の宛先情報のうちの少なくとも一方が、前記第1のネットワークに接続されたネットワーク機器である場合、前記取得された送受信情報に対する前記タグ情報の除去または付加を行わない、請求項2に記載の通信制御装置。   The tag processing means, when at least one of transmission destination and transmission destination information included in the acquired transmission / reception information is a network device connected to the first network, the acquired transmission / reception The communication control device according to claim 2, wherein the tag information is not removed or added to the information. 請求項1乃至3のいずれか一項に記載の通信制御装置であって、更に、
前記送受信情報の処理を決定するための処理決定情報を記憶する記憶手段を備え、
前記通信制御手段は、前記記憶された処理決定情報に対応する処理を実行することで、前記情報処理装置と前記ネットワーク機器との間の前記送受信情報の通信を制御する、通信制御装置。 The communication control device according to any one of claims 1 to 3, further comprising:
Storage means for storing processing determination information for determining processing of the transmission / reception information;
The communication control unit is configured to control communication of the transmission / reception information between the information processing apparatus and the network device by executing a process corresponding to the stored process determination information. 前記通信制御手段は、前記取得された送受信情報に含まれる送信元および送信先の宛先情報のうちの少なくとも一方を用いて、対応する前記処理決定情報を検出する、請求項4に記載の通信制御装置。   The communication control according to claim 4, wherein the communication control unit detects the corresponding processing determination information using at least one of transmission source and transmission destination destination information included in the acquired transmission / reception information. apparatus. 前記処理決定情報は、前記ネットワークごとの処理ルールを含み、
前記通信制御手段は、前記送受信情報の送信元または送信先であるネットワークに対応する処理ルールを用いて、前記情報処理装置と前記ネットワーク機器との間の前記送受信情報の通信を制御する、請求項4または請求項5に記載の通信制御装置。 The processing determination information includes a processing rule for each network,
The communication control unit controls communication of the transmission / reception information between the information processing apparatus and the network device using a processing rule corresponding to a network that is a transmission source or a transmission destination of the transmission / reception information. The communication control device according to claim 4 or 5. 前記通信制御手段は、当該通信制御装置の内部で前記送受信情報の通信を行う場合、前記送受信情報に含まれる前記宛先情報を当該通信制御装置の内部で用いる宛先情報に変換する宛先情報変換処理を実行し、外部装置へ前記送受信情報を送信する場合、前記送受信情報に含まれる前記宛先情報を、前記外部装置との通信に用いる宛先情報に変換する宛先情報変換処理を実行する、請求項1乃至6のいずれか一項に記載の通信制御装置。   The communication control unit performs destination information conversion processing for converting the destination information included in the transmission / reception information into destination information used inside the communication control device when the transmission / reception information is communicated inside the communication control device. And executing destination information conversion processing for converting the destination information included in the transmission / reception information into destination information used for communication with the external device when the transmission / reception information is transmitted to the external device. The communication control apparatus according to any one of claims 6 to 6. 前記通信制御手段は、前記宛先情報変換処理を実行するか否かを、ネットワークのセッションの状態に応じて決定する、請求項7に記載の通信制御装置。   The communication control apparatus according to claim 7, wherein the communication control unit determines whether or not to execute the destination information conversion processing according to a state of a network session. 前記通信制御手段は、前記宛先情報変換処理を実行するか否かを、前記送受信情報に含まれる送信元の宛先情報に応じて決定する、請求項7または請求項8に記載の通信制御装置。   The communication control device according to claim 7 or 8, wherein the communication control unit determines whether or not to execute the destination information conversion process according to destination information of a transmission source included in the transmission / reception information. 前記通信制御手段は、前記取得された送受信情報に含まれる送信先および送信元の宛先情報のうちの少なくとも一方が、前記第1のネットワークに接続されたネットワーク機器である場合、前記宛先情報変換処理を行わない、請求項7に通信制御装置。   When at least one of transmission destination and transmission destination information included in the acquired transmission / reception information is a network device connected to the first network, the communication control unit performs the destination information conversion process. The communication control device according to claim 7, wherein no communication is performed. 前記仮想LANは、IEEE802.1Qのプロトコルであり、
前記第1のネットワークは、NativeVLANに対応する、請求項1乃至10のいずれか一項に記載の通信制御装置。 The virtual LAN is an IEEE 802.1Q protocol,
The communication control apparatus according to any one of claims 1 to 10, wherein the first network corresponds to Native VLAN. 少なくとも一つの情報処理装置と、前記情報処理装置と異なるセグメントを有する複数のネットワークのそれぞれに接続された複数のネットワーク機器との間の送受信情報の通信を制御する通信制御装置と、を備えた情報処理システムであって、
前記複数のネットワークは、仮想LANのタグ情報を含まない第1のデータの通信を行う第1のネットワークと、前記タグ情報を含む第2のデータの通信を行う第2のネットワークとを含み、
前記情報処理装置または前記ネットワーク機器から前記送受信情報を取得する取得手段と、
前記取得された送受信情報に含まれる送信先および送信元の宛先情報のうちの少なくとも一方が、前記第1のネットワークに接続されたネットワーク機器である場合、前記取得された送受信情報を、前記送信先である前記情報処理装置または前記ネットワーク機器へ送信する通信制御手段と、
を備える情報処理システム。 Information comprising: at least one information processing device; and a communication control device that controls communication of transmission / reception information between a plurality of network devices connected to each of a plurality of networks having different segments from the information processing device. A processing system,
The plurality of networks includes a first network that performs communication of first data that does not include tag information of a virtual LAN, and a second network that performs communication of second data that includes the tag information,
Obtaining means for obtaining the transmission / reception information from the information processing apparatus or the network device;
When at least one of the transmission destination and the transmission destination information included in the acquired transmission / reception information is a network device connected to the first network, the acquired transmission / reception information is transmitted to the transmission destination. Communication control means for transmitting to the information processing apparatus or the network device,
An information processing system comprising: 少なくとも一つの情報処理装置と、異なるセグメントを有する複数のネットワークのそれぞれに接続された複数のネットワーク機器との間の送受信情報の通信を制御する通信制御装置が実行する制御方法であって、
前記複数のネットワークは、仮想LANのタグ情報を含まない第1のデータの通信を行う第1のネットワークと、前記タグ情報を含む第2のデータの通信を行う第2のネットワークとを含み、
前記通信制御装置は、
前記情報処理装置または前記ネットワーク機器から前記送受信情報を取得する取得ステップと、
前記取得された送受信情報に含まれる送信先および送信元の宛先情報の少なくとも一方が、前記第1のネットワークに接続されたネットワーク機器である場合、前記取得された送受信情報を、前記情報処理装置または前記ネットワーク機器へ送信する通信制御ステップと、
を実行する制御方法。 A control method executed by a communication control device that controls communication of transmission / reception information between at least one information processing device and a plurality of network devices connected to each of a plurality of networks having different segments,
The plurality of networks includes a first network that performs communication of first data that does not include tag information of a virtual LAN, and a second network that performs communication of second data that includes the tag information,
The communication control device includes:
An acquisition step of acquiring the transmission / reception information from the information processing apparatus or the network device;
When at least one of transmission destination and transmission destination information included in the acquired transmission / reception information is a network device connected to the first network, the acquired transmission / reception information is transmitted to the information processing apparatus or A communication control step for transmitting to the network device;
Control method to execute. コンピュータに、請求項13に記載の制御方法を実行させるプログラム。   A program that causes a computer to execute the control method according to claim 13.
JP2018054235A 2018-03-22 2018-03-22 Communication control device, information processing system, control method and program Active JP7087516B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018054235A JP7087516B2 (en) 2018-03-22 2018-03-22 Communication control device, information processing system, control method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018054235A JP7087516B2 (en) 2018-03-22 2018-03-22 Communication control device, information processing system, control method and program

Publications (2)

Publication Number Publication Date
JP2019169773A true JP2019169773A (en) 2019-10-03
JP7087516B2 JP7087516B2 (en) 2022-06-21

Family

ID=68108501

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018054235A Active JP7087516B2 (en) 2018-03-22 2018-03-22 Communication control device, information processing system, control method and program

Country Status (1)

Country Link
JP (1) JP7087516B2 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006345346A (en) * 2005-06-10 2006-12-21 Matsushita Electric Ind Co Ltd Information processing apparatus, server device, and information processing method
JP2012080216A (en) * 2010-09-30 2012-04-19 Nec Corp Quarantine apparatus, quarantine system, quarantine method and program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006345346A (en) * 2005-06-10 2006-12-21 Matsushita Electric Ind Co Ltd Information processing apparatus, server device, and information processing method
JP2012080216A (en) * 2010-09-30 2012-04-19 Nec Corp Quarantine apparatus, quarantine system, quarantine method and program

Also Published As

Publication number Publication date
JP7087516B2 (en) 2022-06-21

Similar Documents

Publication Publication Date Title
US8861522B2 (en) Method for providing an internal server with reduced IP addresses
EP1479008B1 (en) Method and system for resolving addressing conflicts based on tunnel information
US10382593B2 (en) IPv4/IPv6 bridge
US10999365B2 (en) Network communication system, communication control apparatus, and recording medium
JP7127718B2 (en) network devices, input/output devices, network systems, programs
US11038872B2 (en) Network device, information processing apparatus, authentication method, and recording medium
US10572202B2 (en) Network communication system, communication control apparatus, and recording medium
CN115150327A (en) An interface setting method, device, device and medium
WO2019167969A1 (en) Management system and management method
JP7087516B2 (en) Communication control device, information processing system, control method and program
JP6958176B2 (en) Information processing equipment, information processing systems, control methods and programs
JP7006098B2 (en) Communication control device, communication control program and network communication system
KR20100059739A (en) Connecting gateway with ipv4/ipv6
US10761788B2 (en) Information processing apparatus, system, and control method
CN110289979B (en) Bridge and network management method
JP7396411B2 (en) Network equipment, input/output devices, network systems, programs, methods
JP7625891B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND PROGRAM
JP2010130604A (en) System and method for searching dynamic gateway, and program
JP5370013B2 (en) Communication relay device, communication relay program, and communication system
JP2012142824A (en) Network device, communication system, and data transfer method used for them

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201211

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210916

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220523

R151 Written notification of patent or utility model registration

Ref document number: 7087516

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151