專利名稱::用于探測虛擬專用網(wǎng)通信的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種虛擬專用網(wǎng)(VPN)��,尤其涉及一種用于探測正在與內(nèi)部網(wǎng)上的節(jié)點(diǎn)進(jìn)行VPN通信的外部網(wǎng)上的節(jié)點(diǎn)的方法和設(shè)備�����。
背景技術(shù):
:連接遠(yuǎn)程位置的基礎(chǔ)網(wǎng)絡(luò)的形式包括一種被稱為虛擬專用網(wǎng)(VPN)的技術(shù)���。3層VPN(L3VPN)是一種通過進(jìn)行“封裝”����,即將IP包存儲在真實(shí)網(wǎng)絡(luò)中的IP包中而在真實(shí)網(wǎng)絡(luò)上構(gòu)建虛擬網(wǎng)絡(luò)的技術(shù)��。有時將這種技術(shù)稱為IP-VPN��、InternetVPN等����。不過,L3VPN是基于封裝傳輸IP包的VPN��,不能處理任何使用IP之外的協(xié)議的數(shù)據(jù)包�����,且在處理廣播和多播通信時需要特殊考慮����。連接遠(yuǎn)程位置的基站的形式包括一種被稱為2層虛擬專用網(wǎng)(L2VPN)的技術(shù)。通常����,遠(yuǎn)程位置的基站屬于不同的網(wǎng)絡(luò)。不過����,根據(jù)該項技術(shù),2層幀(例如以太網(wǎng)(注冊商標(biāo))幀)是在上層封裝的且是在遠(yuǎn)程位置之間傳輸?shù)?���,從而使得該系統(tǒng)看起來像一個虛擬的第2層。這種技術(shù)能夠有助于統(tǒng)一策略等并減小管理員的負(fù)荷���,且允許用戶屬于相同的網(wǎng)絡(luò)�����,而不論他/她的位置在哪里�。在一些情況下,商務(wù)或政府機(jī)構(gòu)限制通過VPN從外部進(jìn)行訪問以防止信息泄漏���。有一種設(shè)備可用于探測通過防火墻的VPN通信(例如參見“OnePointWall”�,NetAgentCo.����,Ltd),以控制或調(diào)節(jié)通過VPN從外部訪問內(nèi)部網(wǎng)的主機(jī)����。這是一種防火墻設(shè)備,其特征在于監(jiān)測通過該設(shè)備的通信的數(shù)據(jù)包的模式并且如果通信模式是使用了公知VPN協(xié)議的那種���,則判定VPN連接���。如果通過VPN從外部訪問內(nèi)部網(wǎng),VPN通信通常會通過的連接到外部的中繼設(shè)備諸如路由器�����。因此�����,如果VPN通信是公知的VPN協(xié)議,監(jiān)測通過的包就能夠判定該包是否是VPN通信包���。然而,由于大部分VPN通信是加密的����,因此難以僅通過觀察經(jīng)過的包來探測VPN通信。在“OnePointWall”中所述的上述防火墻設(shè)備被設(shè)計成通過監(jiān)測通信包模式來探測VPN通信包�����,如果通信包模式與公知模式一致��,即使通信被加密��,該設(shè)備也能利用公知的VPN協(xié)議探測出通信是VPN通信��。不過�,除非防火墻設(shè)備已經(jīng)知道該模式,否則���,不可能探測VPN通信包�。因此,該防火墻設(shè)備不能基于該設(shè)備不知道的協(xié)議�,例如由防火墻設(shè)備新開發(fā)的VPN協(xié)議和改進(jìn)的VPN協(xié)議,來探測任何用于VPN通信的VPN通信包��。計算機(jī)的廣泛使用以及高速永遠(yuǎn)在線網(wǎng)絡(luò)的改進(jìn)已經(jīng)允許用戶隨便地使用VPN�����。另一方面�����,為了保護(hù)版權(quán)����,也有這樣的需求,即���,禁止一個房間內(nèi)的設(shè)備之外的任何設(shè)備連接到安裝于該房間內(nèi)的設(shè)備����。在DTCP(數(shù)字傳輸內(nèi)容保護(hù))/IP的標(biāo)準(zhǔn)化中曾提出過一種使用RTT(往返時間)的技術(shù)���,用于探測給定的通信伙伴(節(jié)點(diǎn))是否正在通過VPN進(jìn)行訪問�。不過,上述情形不能僅由該技術(shù)單獨(dú)來處理�。此外,在“OnePointWall”中所述的上述防火墻設(shè)備被設(shè)計成探測VPN通信包���,能夠通過監(jiān)測所經(jīng)過的通信利用公知的VPN協(xié)議探測VPN通信包�。即使該設(shè)備能夠探測VPN通信包���,也不能探測通過VPN連接的節(jié)點(diǎn)。如上所述��,常規(guī)設(shè)備不能容易地探測正在與內(nèi)部網(wǎng)上的節(jié)點(diǎn)進(jìn)行VPN通信的外部網(wǎng)上的節(jié)點(diǎn)��。另一個問題是�,該設(shè)備不能容易地探測在內(nèi)部網(wǎng)節(jié)點(diǎn)和外部網(wǎng)節(jié)點(diǎn)之間發(fā)送/接收的通信包中用于VPN通信的任何包,無論該VPN協(xié)議是否已知���。
發(fā)明內(nèi)容根據(jù)本發(fā)明的實(shí)施例�,一種VPN(虛擬專用網(wǎng))通信探測設(shè)備�,用于探測兩個VPN節(jié)點(diǎn)之間的VPN通信,所述VPN節(jié)點(diǎn)之一位于內(nèi)部網(wǎng)上�,所述VPN節(jié)點(diǎn)的另一個位于通過中繼設(shè)備連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上,所述連接到所述內(nèi)部網(wǎng)的VPN通信探測設(shè)備包括發(fā)送單元����,被配置成向測試目標(biāo)節(jié)點(diǎn)發(fā)送響應(yīng)請求包�;接收單元���,被配置成接收來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)于所述響應(yīng)請求包的響應(yīng)包����;測量單元��,被配置成測量從發(fā)送所述響應(yīng)請求包的第一時間點(diǎn)到接收到所述響應(yīng)包的第二時間點(diǎn)的響應(yīng)時間���;以及判決單元��,被配置成基于所述響應(yīng)時間和當(dāng)測試目標(biāo)包通過所述中繼設(shè)備時由所述中繼設(shè)備插入的延遲時間之間的相關(guān)性判決所述測試目標(biāo)節(jié)點(diǎn)是否是所述VPN節(jié)點(diǎn)中的所述另一個��,如果所述測試目標(biāo)節(jié)點(diǎn)是所述VPN節(jié)點(diǎn)中的所述另一個�����,所述測試目標(biāo)包包括所述響應(yīng)請求包或所述響應(yīng)包���。根據(jù)本發(fā)明的另一實(shí)施例,一種VPN(虛擬專用網(wǎng))通信探測設(shè)備,用于探測兩個VPN節(jié)點(diǎn)之間的VPN通信�����,所述VPN節(jié)點(diǎn)之一位于內(nèi)部網(wǎng)上�����,所述VPN節(jié)點(diǎn)的另一個位于通過中繼設(shè)備連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上�,所述連接到所述內(nèi)部網(wǎng)的VPN通信探測設(shè)備包括切換單元,被配置成將所述中繼設(shè)備切換到包拋棄模式和正常模式之一�����,所述包拋棄模式拋棄從所述內(nèi)部網(wǎng)和所述外部網(wǎng)之一發(fā)送到所述內(nèi)部網(wǎng)和所述外部網(wǎng)的另一個的包中的至少一個�,所述正常模式不拋棄任何包��;發(fā)送單元�,被配置成當(dāng)所述中繼設(shè)備處于所述包拋棄模式中時向測試目標(biāo)節(jié)點(diǎn)發(fā)送第一響應(yīng)請求包且在所述中繼設(shè)備處于所述正常模式中時向所述測試目標(biāo)節(jié)點(diǎn)發(fā)送第二響應(yīng)請求包;第一探測單元���,被配置成探測是否收到來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)于所述第一響應(yīng)請求包的第一響應(yīng)包��;第二探測單元��,被配置成探測是否收到來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)于所述第二響應(yīng)請求包的第二響應(yīng)包��;以及判決單元��,被配置成基于由所述第一和第二探測單元獲得的探測結(jié)果判決所述測試目標(biāo)節(jié)點(diǎn)是否是所述VPN節(jié)點(diǎn)的所述另一個��。圖1為用于解釋VPN通信的圖示�����;圖2為用于解釋VPN通信的圖示�����,其示出了當(dāng)從內(nèi)部網(wǎng)觀看時包的流動�����;圖3為用于解釋VPN通信的圖示��,其示出了包的實(shí)際流動�;圖4為示意性示出一種狀態(tài)的圖示,在該狀態(tài)中��,節(jié)點(diǎn)C利用L3VPN訪問內(nèi)部網(wǎng)�����,其中為節(jié)點(diǎn)C分配了不同于內(nèi)部網(wǎng)的地址段的地址段中的地址;圖5示意性示出一種狀態(tài)的圖示�����,在該狀態(tài)中�����,節(jié)點(diǎn)C利用L3VPN訪問內(nèi)部網(wǎng)�����,其中為節(jié)點(diǎn)C分配了用于內(nèi)部網(wǎng)的地址段中的地址����;圖6為方框圖���,示出了根據(jù)第一實(shí)施例的探測設(shè)備的布置例�;圖7為方框圖�,示出了根據(jù)第一實(shí)施例的網(wǎng)絡(luò)布置的例子;圖8為流程圖����,用于解釋探測設(shè)備的處理操作��,該探測設(shè)備使用了通過延遲經(jīng)過中繼設(shè)備的包來探測VPN通信的第一探測方法����;圖9為順序圖�����,用于解釋根據(jù)第一探測方法的網(wǎng)絡(luò)中的數(shù)據(jù)流動�,其示出了測試目標(biāo)節(jié)點(diǎn)是正在與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的節(jié)點(diǎn)的情形;圖10為順序圖��,用于解釋根據(jù)第一探測方法的網(wǎng)絡(luò)中的數(shù)據(jù)流動�����,其示出了測試目標(biāo)節(jié)點(diǎn)是內(nèi)部網(wǎng)節(jié)點(diǎn)的情形��;圖11為解釋根據(jù)第一實(shí)施例的網(wǎng)絡(luò)中的數(shù)據(jù)流動的圖示���,其示出了在測試目標(biāo)節(jié)點(diǎn)是正在與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的節(jié)點(diǎn)的情形中直到探測包抵達(dá)節(jié)點(diǎn)C的點(diǎn)的數(shù)據(jù)流動����;圖12為解釋根據(jù)第一實(shí)施例的網(wǎng)絡(luò)中的數(shù)據(jù)流動的圖示,其示出了在測試目標(biāo)節(jié)點(diǎn)是正在與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的節(jié)點(diǎn)的情形中直到來自節(jié)點(diǎn)C的響應(yīng)包抵達(dá)探測設(shè)備的點(diǎn)的數(shù)據(jù)流動���;圖13為示出了探測包的例子的圖示����;圖14為示出了從節(jié)點(diǎn)B發(fā)出的包含探測包的請求VPN包的例子的圖示���;圖15為示出了地址指向節(jié)點(diǎn)B且包含響應(yīng)包的響應(yīng)VPN包的例子的圖示���;圖16為示出了響應(yīng)包的例子的圖示;圖17為解釋判決單元的判決處理的圖示��,其示出了在改變延遲時間的長度的同時�����,在測得的響應(yīng)時間β上的疊加結(jié)果的例子�;圖18為流程圖,用于解釋探測設(shè)備的處理操作��,該設(shè)備使用了通過拋棄經(jīng)過中繼設(shè)備的包來探測VPN通信的第二探測方法���;圖19為順序圖�����,用于解釋用于獲得經(jīng)過中繼設(shè)備的包的包屬性信息的連接監(jiān)測處理�����;圖20為示出了存儲著作為連接監(jiān)測處理結(jié)果而獲得的包屬性信息的連接控制表的例子的圖示�����;圖21為流程圖��,用于解釋中繼設(shè)備的處理操作�����,該中繼設(shè)備使用了通過延遲預(yù)先從經(jīng)過中繼設(shè)備的包中選出的測試目標(biāo)包來探測VPN通信的第三探測方法��;圖22為順序圖���,用于解釋根據(jù)第三探測方法的網(wǎng)絡(luò)中的數(shù)據(jù)流動,其示出了測試目標(biāo)節(jié)點(diǎn)是正與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的節(jié)點(diǎn)的情形�;圖23為示出了探測包的例子的圖示;圖24為示出了從節(jié)點(diǎn)B發(fā)送的包含探測包的請求VPN包的另一例的圖示�;圖25為示出了響應(yīng)包的另一例的圖示�;圖26為示出了地址指向節(jié)點(diǎn)B且包含響應(yīng)包的響應(yīng)包的另一例的圖示����;圖27為示出了為了利用第三探測方法探測VPN通信而將要對每一測試目標(biāo)包執(zhí)行的處理的內(nèi)容的圖示,更具體而言���,示出了針對每一測試目標(biāo)包當(dāng)其通過時的延遲時間以及在插入延遲時間時發(fā)送探測包的次數(shù)��;圖28為示出了當(dāng)探測設(shè)備執(zhí)行如圖27所示的處理時獲得的VPN通信的探測結(jié)果的圖示�;圖29為流程圖�,用于解釋中繼設(shè)備的處理操作,該設(shè)備使用了通過拋棄預(yù)先從經(jīng)過中繼設(shè)備的包中選出的測試目標(biāo)包來探測VPN通信的第四探測方法��;圖30為示出了為了利用第四探測方法探測VPN通信而將要對每一測試目標(biāo)包執(zhí)行的處理的內(nèi)容的圖示��,更具體而言�����,示出了將被拋棄的測試目標(biāo)包以及在拋棄測試目標(biāo)包時發(fā)送探測包的次數(shù)���;圖31為示出了通過使探測設(shè)備執(zhí)行圖30所示的處理而獲得的VPN通信探測結(jié)果的圖示�����;圖32為示出了根據(jù)第二實(shí)施例的探測設(shè)備的布置例的圖示����;圖33為示出了根據(jù)第二實(shí)施例的網(wǎng)絡(luò)布置的例子的圖示�;圖34為用于解釋根據(jù)第二實(shí)施例的網(wǎng)絡(luò)中的數(shù)據(jù)流動的圖示��,其示出了在測試目標(biāo)節(jié)點(diǎn)是正在與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的節(jié)點(diǎn)的情形中直到探測包抵達(dá)節(jié)點(diǎn)C的點(diǎn)的數(shù)據(jù)流動���;圖35為解釋根據(jù)第二實(shí)施例的網(wǎng)絡(luò)中的數(shù)據(jù)流動的圖示�����,其示出了在測試目標(biāo)節(jié)點(diǎn)是正在與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的節(jié)點(diǎn)的情形中直到來自節(jié)點(diǎn)C的響應(yīng)包抵達(dá)探測設(shè)備的點(diǎn)的數(shù)據(jù)流動;圖36為順序圖����,用于解釋在根據(jù)第二實(shí)施例將第一探測方法應(yīng)用于探測設(shè)備和中繼設(shè)備的情況下網(wǎng)絡(luò)中的數(shù)據(jù)流動,其示出了測試目標(biāo)節(jié)點(diǎn)為內(nèi)部網(wǎng)節(jié)點(diǎn)的情形��;圖37為順序圖�,用于解釋在根據(jù)第二實(shí)施例的探測設(shè)備和中繼設(shè)備中的連接監(jiān)測處理;以及圖38為順序圖����,用于解釋在根據(jù)第二實(shí)施例將第三探測方法應(yīng)用于探測設(shè)備和中繼設(shè)備的情況下網(wǎng)絡(luò)中的數(shù)據(jù)流動�����,其示出了測試目標(biāo)節(jié)點(diǎn)為內(nèi)部網(wǎng)節(jié)點(diǎn)的情形����。具體實(shí)施例方式以下將參考附圖的圖示描述本發(fā)明的實(shí)施例���。首先將參考圖1到5描述VPN通信概要以及與探測進(jìn)行VPN通信的節(jié)點(diǎn)相關(guān)的常規(guī)技術(shù)中的問題�。(VPN通信概要)如圖1所示����,當(dāng)節(jié)點(diǎn)B與節(jié)點(diǎn)C進(jìn)行VPN(隧道)通信時,通過VPN隧道在節(jié)點(diǎn)C或節(jié)點(diǎn)C物理連接的網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間傳輸網(wǎng)絡(luò)包�。圖2為示出了在節(jié)點(diǎn)A和節(jié)點(diǎn)C之間通信期間包的流動的圖示,包的流動由箭頭表示�,作為通過VPN隧道的包的流動的例子。從包括節(jié)點(diǎn)A的內(nèi)部網(wǎng)上的節(jié)點(diǎn)的角度來看�,似乎能通過節(jié)點(diǎn)B訪問節(jié)點(diǎn)C或節(jié)點(diǎn)C所連接的網(wǎng)絡(luò)(該通往節(jié)點(diǎn)C的路由由圖1和2中的虛擬隧道表示)。然而�,如圖3所示,實(shí)際的VPN通信是通過路由器RA與外部網(wǎng)之間進(jìn)行的���。亦即�,地址指向節(jié)點(diǎn)C且從節(jié)點(diǎn)A發(fā)出的包首先到達(dá)節(jié)點(diǎn)B。節(jié)點(diǎn)B將所接收到的地址指向節(jié)點(diǎn)C的包封裝成VPN包并發(fā)送該VPN包���。該VPN包通過路由器RA被發(fā)送到外部網(wǎng)并到達(dá)節(jié)點(diǎn)C���。節(jié)點(diǎn)C從所接收的VPN包中提取出由節(jié)點(diǎn)A發(fā)送的包�����。這等價于從節(jié)點(diǎn)A發(fā)送該包且到達(dá)節(jié)點(diǎn)C�����。封裝使得通過VPN隧道虛擬連接到節(jié)點(diǎn)C成為可能�,如圖2所示。(探測通過L3VPN連接的節(jié)點(diǎn))將作為例子描述在探測由L3VPN連接的節(jié)點(diǎn)過程中出現(xiàn)的問題���。從理論上講�,外部節(jié)點(diǎn)與內(nèi)部節(jié)點(diǎn)的通信是通過隧道執(zhí)行的����。不過,實(shí)際中路由器RA允許與外部節(jié)點(diǎn)交換封裝的包。圖4示出了在節(jié)點(diǎn)C利用L3VPN訪問內(nèi)部網(wǎng)的情況下網(wǎng)絡(luò)布置的例子���。內(nèi)部網(wǎng)使用地址段“10.0.0.0/24”工作���。當(dāng)通過L3VPN連接時,需要為節(jié)點(diǎn)C分配不同于內(nèi)部網(wǎng)地址塊的地址塊��,因此為節(jié)點(diǎn)C的隧道端點(diǎn)分配了例如地址段“10.0.1.0/24”的IP地址�。當(dāng)節(jié)點(diǎn)C訪問內(nèi)部網(wǎng)上的節(jié)點(diǎn)(例如節(jié)點(diǎn)A)時,從理論上講�,通過節(jié)點(diǎn)B將來自節(jié)點(diǎn)C沿隧道前進(jìn)的包傳輸?shù)絻?nèi)部網(wǎng)并使其到達(dá)節(jié)點(diǎn)A。相反�,從節(jié)點(diǎn)A到節(jié)點(diǎn)C的包通過節(jié)點(diǎn)B被傳輸并通過隧道到達(dá)節(jié)點(diǎn)C。許多L3VPN方案的設(shè)計并不傳輸任何用于從以太網(wǎng)(注冊商標(biāo))中的IP地址檢驗MAC地址的ARP協(xié)議包��。因此�����,即使為節(jié)點(diǎn)C分配內(nèi)部網(wǎng)IP地址段的IP地址�,由于節(jié)點(diǎn)C不能發(fā)送任何ARP響應(yīng),節(jié)點(diǎn)不能向內(nèi)部網(wǎng)上的節(jié)點(diǎn)告知MAC地址�。因此,內(nèi)部網(wǎng)上的節(jié)點(diǎn)不能訪問節(jié)點(diǎn)C����。在這種布置中����,盡管節(jié)點(diǎn)C的IP地址與內(nèi)部網(wǎng)的IP地址不匹配�,也不能從IP地址的差異判定某節(jié)點(diǎn)屬于內(nèi)部網(wǎng)。這是因為在內(nèi)部網(wǎng)中����,可能會有被分配了另一IP地址段的子網(wǎng)工作���。如果代理ARP功能在節(jié)點(diǎn)B中運(yùn)行���,向節(jié)點(diǎn)C分配與內(nèi)部網(wǎng)相同的地址段允許節(jié)點(diǎn)進(jìn)行通信。圖5示出了節(jié)點(diǎn)C是如何利用L3VPN連接到內(nèi)部網(wǎng)的例子���。與圖4所示的布置不同的是�,在圖5所示的布置中�,為節(jié)點(diǎn)C設(shè)置內(nèi)部網(wǎng)的地址段的地址。當(dāng)節(jié)點(diǎn)B接收ARP包用于查詢相對于節(jié)點(diǎn)C的IP地址的MAC地址時���,節(jié)點(diǎn)B的代理ARP功能發(fā)出響應(yīng)���,指出節(jié)點(diǎn)C的MAC地址與節(jié)點(diǎn)B的MAC地址匹配���。這意味著地址指向節(jié)點(diǎn)C的所有包都被發(fā)送到節(jié)點(diǎn)B。一旦接收到地址指向節(jié)點(diǎn)C的IP地址的包�,節(jié)點(diǎn)B就通過隧道將該包傳輸?shù)焦?jié)點(diǎn)C。相反����,從節(jié)點(diǎn)C指向內(nèi)部網(wǎng)的包通過隧道被傳輸?shù)焦?jié)點(diǎn)B,且節(jié)點(diǎn)B將該包傳輸?shù)絻?nèi)部網(wǎng)��。假設(shè)使用了L3VPN且VPN隧道的兩端的IP地址是不同的子網(wǎng)地址�����。在這種情況下����,從IP地址的差異可以知道對應(yīng)的節(jié)點(diǎn)不在同一子網(wǎng)中。不過�,這可能表示另一個子網(wǎng)工作在該內(nèi)部網(wǎng)中且沒有節(jié)點(diǎn)通過VPN從外部連接到內(nèi)部網(wǎng)。因此不能僅從IP地址的差異進(jìn)行探測����。此外��,在使用L3VPN時(稍后將描述該方案)可以將VPN隧道兩端的IP地址分配成同樣的子網(wǎng)地址�。在這種布置中���,盡管對應(yīng)于通過VPN連接的節(jié)點(diǎn)的IP地址的MAC地址與內(nèi)部網(wǎng)中終結(jié)VPN的節(jié)點(diǎn)的MAC地址相一致����,這并不允許判定外部訪問是通過隧道進(jìn)行的���。還有一種可能����,即向節(jié)點(diǎn)B分配了多個IP地址����,或者節(jié)點(diǎn)C在內(nèi)部網(wǎng)中且通過內(nèi)部網(wǎng)中的隧道進(jìn)行通信����。以上描述舉例說明了內(nèi)部網(wǎng)使用IPv4(互聯(lián)網(wǎng)協(xié)議版本4)的情形。不過�,當(dāng)內(nèi)部網(wǎng)使用另一種網(wǎng)絡(luò)協(xié)議,例如IPv6(互聯(lián)網(wǎng)協(xié)議版本6)時在VPN探測中也會發(fā)生類似問題�。(探測通過L2VPN連接的節(jié)點(diǎn))將描述在上述網(wǎng)絡(luò)布置中使用L2VPN進(jìn)行隧道通信的情形�����。顯然��,其他終端無法意識到L2VPN的使用���。如圖2所示,不僅單播幀���,而且例如廣播幀都是通過L2隧道被傳輸?shù)搅硪粋€網(wǎng)絡(luò)的(例如�,在Windows(注冊商標(biāo))中通過廣播傳輸?shù)拿Q解決序列或利用多播由UPnP(注冊商標(biāo))傳輸?shù)难b置發(fā)現(xiàn)序列)���。然而����,如圖3所示��,在實(shí)際中���,具有通往上游網(wǎng)絡(luò)的路由器傳輸通過L2VPN隧道前進(jìn)的所有包����。當(dāng)通過L2VPN從外部訪問某節(jié)點(diǎn)時,能夠傳輸以太網(wǎng)(注冊商標(biāo))2層幀等���。這可能使得似乎節(jié)點(diǎn)直接連接到內(nèi)部網(wǎng)�,即使其是通過VPN連接到它的�����。因此�����,常規(guī)技術(shù)不能提供有效的手段來判定是否通過L2VPN建立了外部連接��。(前提)以下將描述用于如下實(shí)施例的描述的網(wǎng)絡(luò)布置的例子����。在這種情況下,該實(shí)施例的前提假設(shè)是滿足以下條件的網(wǎng)絡(luò)·與外部網(wǎng)的通信����,例如VPN通信總是通過探測設(shè)備或諸如路由器的中繼設(shè)備���。假設(shè)沒有探測設(shè)備或中繼設(shè)備就不能建立到外部網(wǎng)的連接�����。如果有多個通往外部的路由�����,將探測設(shè)備或中繼設(shè)備分別設(shè)置在這種路由中���,并使它們彼此協(xié)作(稍后將詳細(xì)描述探測設(shè)備或中繼設(shè)備)����?���!?nèi)部網(wǎng)是這樣的網(wǎng)絡(luò)其在探測設(shè)備或中繼設(shè)備的控制下進(jìn)行連接,且經(jīng)配置通過探測設(shè)備或中繼設(shè)備訪問外部網(wǎng)�。·存在于內(nèi)部網(wǎng)中且終結(jié)VPN的節(jié)點(diǎn)在內(nèi)部網(wǎng)和VPN隧道之間傳輸包����。該實(shí)施例并非基于如下假設(shè)將終結(jié)VPN的節(jié)點(diǎn)設(shè)置成不將任何包傳輸?shù)絻?nèi)部網(wǎng)?!ぷ鳛闇y試目標(biāo)的節(jié)點(diǎn)響應(yīng)于來自探測設(shè)備的響應(yīng)請求向探測設(shè)備返回響應(yīng)。用于發(fā)出響應(yīng)請求的通信協(xié)議的例子包括ICMPecho、ARP和ICMPv6ND�����。(第一實(shí)施例)1.探測設(shè)備圖6示出了根據(jù)第一實(shí)施例的探測設(shè)備1的布置的例子��。圖6中的探測設(shè)備1包括連接控制單元101�、判決單元102和收發(fā)單元103。連接控制單元101監(jiān)測通過路由器的連接�����,控制根據(jù)需要在包的傳輸期間插入的延遲�����,并控制是否傳輸包����。連接監(jiān)測是一種查詢通過路由器的包的類型,即包屬性信息的功能��。例如�����,根據(jù)Linux(注冊商標(biāo))���,該功能對應(yīng)于“iptables”和“tc(iproute2)”����。該功能使得能夠插入任意的延遲和拋棄任意包�����。判決單元102向連接控制單元101發(fā)出延遲包的指令�、拋棄包的指令和取消上述指令的指令。此外����,判決單元102向收發(fā)單元103發(fā)出發(fā)送判決包的指令并基于兩個結(jié)果判決對應(yīng)的包是否是通過該隧道的包。收發(fā)單元103根據(jù)來自判決單元102的請求向內(nèi)部網(wǎng)發(fā)送判決包并接收響應(yīng)����。然后收發(fā)單元103測量接收來自內(nèi)部網(wǎng)的響應(yīng)所用的時間。圖7示出了網(wǎng)絡(luò)布置的例子��,其中內(nèi)部網(wǎng)包括圖6中的探測設(shè)備1���。在這種情況下�,內(nèi)部網(wǎng)例如為地址段為“133.196.16.0/24”的IPv4子網(wǎng),且對應(yīng)于節(jié)點(diǎn)C的通信設(shè)備通過L2VPN連接到內(nèi)部網(wǎng)���。該L2VPN使用TCP來分布數(shù)據(jù)����。參考圖7�,探測設(shè)備1探測到節(jié)點(diǎn)C通過VPN連接以及通過像圖3所示的路由由VPN通信傳輸?shù)陌?.第一探測方法當(dāng)探測設(shè)備插入傳送延遲并執(zhí)行探測時在這種方法中,探測設(shè)備1延遲其轉(zhuǎn)發(fā)的所有包����,并檢查每個所插入的延遲和向測試目標(biāo)節(jié)點(diǎn)發(fā)送請求響應(yīng)的包(探測包)之后響應(yīng)包返回所需的時間(響應(yīng)時間)之間的相互相關(guān)性,由此探測測試目標(biāo)節(jié)點(diǎn)是否是外部網(wǎng)上的節(jié)點(diǎn)并隨后通過VPN隧道連接到內(nèi)部網(wǎng)���。為探測設(shè)備1(其判決單元102)給出測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)的MAC地址和IP地址����。以下將參考圖8所示的流程圖�����、圖9所示的順序圖和圖11和12所示的網(wǎng)絡(luò)中的數(shù)據(jù)流動描述第一探測方法��。圖8為用于解釋探測設(shè)備1的處理操作的流程圖��。圖9示出了順序圖,其示出了在根據(jù)第一實(shí)施例的網(wǎng)絡(luò)中的數(shù)據(jù)流動��。圖11和12為解釋根據(jù)第一實(shí)施例的網(wǎng)絡(luò)中的數(shù)據(jù)流動的圖示�����。圖11示出了在測試目標(biāo)節(jié)點(diǎn)為正在與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的節(jié)點(diǎn)的情況下直到探測包抵達(dá)節(jié)點(diǎn)C的點(diǎn)的數(shù)據(jù)流動����。圖12為示出直到來自節(jié)點(diǎn)C的響應(yīng)包抵達(dá)探測設(shè)備的點(diǎn)的數(shù)據(jù)流動�����。參考圖8��,判決單元102指示連接控制單元101使通過探測設(shè)備1的包延遲時間α(α為可變值)(步驟S1)�����。連接控制單元101通知判決單元102延遲插入的開始(步驟S2)��。接著��,連接控制單元101將從路由器RA側(cè)向探測設(shè)備1輸入的包和從內(nèi)部網(wǎng)側(cè)向探測設(shè)備1輸入的包中的一者或兩者延遲時間α�����,將從路由器RA側(cè)向探測設(shè)備1輸入的包傳輸?shù)絻?nèi)部網(wǎng)側(cè)并將從內(nèi)部網(wǎng)側(cè)向探測設(shè)備1輸入的包傳輸?shù)铰酚善鱎A側(cè),直到接收到來自判決單元102的處理停止指令(步驟S22)�����。判決單元102指示收發(fā)單元103向測試目標(biāo)節(jié)點(diǎn)(例如節(jié)點(diǎn)C)發(fā)送探測包連同MAC地址和IP地址(例如節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址)(步驟S3)���。一旦接收到該指令���,收發(fā)單元103就向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包(步驟S4)。探測包使用了設(shè)計成接收對(基于例如ICMPecho(ICMP回顯請求)���、ARP或ICMPv6ND(鄰居發(fā)現(xiàn))的)請求的響應(yīng)的包���。圖13示出了探測包(幀)的例子,其例示了含有ICMP回顯請求的探測包����。收發(fā)單元103包括測量裝置,用于測量在向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包之后接收響應(yīng)包所需的時間����,即響應(yīng)時間���。在向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包時,為了測量該響應(yīng)時間�,收發(fā)單元103存儲探測包的傳輸時間(步驟S5)。在圖9的步驟S6中�,一旦接收到探測包,節(jié)點(diǎn)B就封裝探測包以生成包含加密的L2VPN數(shù)據(jù)的VPN包(請求VPN包)����,加密的L2VPN數(shù)據(jù)包含如圖14所示的探測包���。節(jié)點(diǎn)B向路由器RA發(fā)送該請求VPN包����。當(dāng)該請求VPN包通過探測設(shè)備1時�,連接控制單元101將該包延遲時間α,并將其傳輸?shù)铰酚善鱎A側(cè)(步驟S8)�。路由器RA接收通過連接控制單元101的請求VPN包,如圖9所示(步驟S10)����。路由器RA從所接收的請求VPN包除去MAC報頭(圖14中的目的和傳輸源MAC地址D2和S2)并將該請求VPN包中包含的IP包發(fā)送到外部網(wǎng)(步驟S11)。在這種情況下���,IP包的目的IP地址是節(jié)點(diǎn)C的IP地址“202.249.10.100”�,而傳輸源IP地址為節(jié)點(diǎn)B的IP地址。節(jié)點(diǎn)C通過路由器RB接收IP包(IP包中加入了MAC報頭)�。節(jié)點(diǎn)C發(fā)送地址指向路由器RA的VPN包,該包是通過封裝地址指向探測設(shè)備1的“IF1”且含有ICMP回顯響應(yīng)的L2VPN數(shù)據(jù)獲得的�����。路由器RB除去響應(yīng)VPN包的MAC報頭�����,并向外部網(wǎng)發(fā)送響應(yīng)VPN包中所含的地址指向節(jié)點(diǎn)B的IP包(目的IP地址為節(jié)點(diǎn)B的IP地址)(步驟S12)���。路由器RA接收地址指向節(jié)點(diǎn)B的IP包��。路由器RA在向IP包加入MAC報頭后向內(nèi)部網(wǎng)發(fā)送如圖15所示的響應(yīng)VPN包��,該MAC報頭含有作為目的地的節(jié)點(diǎn)B的MAC地址和作為傳輸源的路由器RA的MAC地址(步驟S13)���。將如圖15所示的響應(yīng)VPN包發(fā)送到探測設(shè)備1。探測設(shè)備1的連接控制單元101在延遲時間α之后將從路由器RA發(fā)送的包傳輸?shù)絻?nèi)部網(wǎng)側(cè)(步驟S8’)�����。參考圖9,當(dāng)從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包通過探測設(shè)備1時�,包在步驟S8和S8’中被延遲時間α。不過����,可以使其任一者延遲該延遲時間α。例如����,使從內(nèi)部網(wǎng)到外部網(wǎng)的包在步驟S8中延遲該延遲時間α并將從路由器RA發(fā)送的包無延遲地(跳過步驟S8’)傳輸?shù)絻?nèi)部網(wǎng)側(cè)是足夠的?����;蛘?���,無延遲地將來自內(nèi)部網(wǎng)的包傳輸至外部網(wǎng)(跳過步驟S8)并在步驟S8’中延遲該延遲時間α之后將從路由器RA發(fā)送的包傳輸?shù)絻?nèi)部網(wǎng)是足夠的���。當(dāng)為通過探測設(shè)備1的從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包兩者插入延遲時間α?xí)r�,總的延遲時間成為2α�����。當(dāng)為它們中任一者插入延遲時間α?xí)r,總的延遲時間成為α�。在前一種情況下,執(zhí)行以下將要描述的判決處理以檢查所插入的延遲時間2α和所測的響應(yīng)時間β之間的相關(guān)性��。在這種情況下�����,為了簡單起見���,以下描述將例示將延遲時間插入到通過探測設(shè)備1的從內(nèi)部網(wǎng)到外部網(wǎng)的包或從外部網(wǎng)到內(nèi)部網(wǎng)的包任一者的情形(延遲時間α在步驟S8或步驟S8’任一者中插入)���,即,由探測設(shè)備1插入的總延遲時間為α的情形����。圖15所示的VPN包通過探測設(shè)備1被傳輸?shù)絻?nèi)部網(wǎng)并由節(jié)點(diǎn)B接收(步驟S14)。節(jié)點(diǎn)B從圖15所示的所接收的VPN包中所含的L2VPN中提取對應(yīng)于上述探測包的響應(yīng)包(參見圖16)并將響應(yīng)包發(fā)送到內(nèi)部網(wǎng)(步驟S15)���,響應(yīng)包含有作為目的地的探測設(shè)備1的MAC地址IF1以及作為傳輸源的節(jié)點(diǎn)C的MAC地址�����。在圖8中的步驟S16中����,收發(fā)單元103通過探測設(shè)備1的IF1接收該響應(yīng)包。收發(fā)單元103從該響應(yīng)包的MAC報頭(圖16中的D3和S3)以及IP報頭判決該響應(yīng)包是否是來自測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)的響應(yīng)包��。如果傳輸源與節(jié)點(diǎn)C的MAC地址和節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址匹配��,就判定該響應(yīng)包是來自測試目標(biāo)節(jié)點(diǎn)的響應(yīng)包且過程前進(jìn)至步驟S17����。在步驟S17中,如果響應(yīng)包是來自節(jié)點(diǎn)C的響應(yīng)包��,收發(fā)單元103就存儲響應(yīng)包的接收時間���。然后收發(fā)單元103通知判決單元102探測包傳輸?shù)綔y試目標(biāo)節(jié)點(diǎn)C的時間(傳輸時間)和響應(yīng)于探測包接收響應(yīng)包的時間(接收時間)之間的差異,即響應(yīng)時間β(步驟S18)�����。判決單元102對應(yīng)于延遲時間α存儲從收發(fā)單元103告知的響應(yīng)時間β(步驟S19)�����。將從步驟S1到步驟S19的處理重復(fù)預(yù)定次數(shù)(步驟S20)。在將從步驟S1到步驟S19的處理重復(fù)預(yù)定次數(shù)之后���,該過程前進(jìn)到步驟S21b以改變延遲時間α的值并將從步驟S1到步驟S19的處理重復(fù)預(yù)定次數(shù)�。在針對多個不同(預(yù)定數(shù)量的)延遲時間α執(zhí)行從步驟S1到步驟S19的處理之后���,其中插入延遲時間并測量β的值(步驟S21a)�����,判決單元102前進(jìn)至步驟S22�。在步驟S22中��,判決單元102指示連接控制單元101停止向通過探測設(shè)備1的包插入延遲α并指示收發(fā)單元103停止處理����。一旦接收到上述停止指令,連接控制單元101就停止圖8所示的延遲插入操作(步驟S23)�����。一旦接收到該停止指令�,收發(fā)單元103就停止圖8所示的處理(步驟S24)。判決單元102在收發(fā)單元103通知的多個測量結(jié)果(延遲時間α和響應(yīng)時間β)的基礎(chǔ)上判決測試目標(biāo)節(jié)點(diǎn)C是否通過VPN隧道連接到內(nèi)部網(wǎng)(步驟S25)�。例如��,如圖17所示�,假設(shè)當(dāng)延遲時間為“0.00”秒時�����,測量指定次數(shù)的β的平均值為“0.01”秒���,當(dāng)延遲時間為“0.20”秒時�,測量指定次數(shù)的β的平均值為“0.21”秒����,且當(dāng)延遲時間為“0.25”秒時,測量指定次數(shù)的β的平均值為“0.26”秒�。在這種情況下,隨著延遲時間增加�����,β值增大���;β的值受到延遲時間α的變化的影響。亦即��,α和β之間的相關(guān)性高。這表明��,由于是在探測設(shè)備1發(fā)送探測包的時間點(diǎn)和接收到對應(yīng)的響應(yīng)包的時間點(diǎn)之間將延遲時間α插入響應(yīng)時間β中的���,被延遲該延遲時間α的包是從內(nèi)部網(wǎng)向外部網(wǎng)傳輸?shù)陌蛘邚耐獠烤W(wǎng)向內(nèi)部網(wǎng)傳輸?shù)陌?��。亦即,探測到測試目標(biāo)節(jié)點(diǎn)C通過VPN隧道連接到內(nèi)部網(wǎng)���。如果測試目標(biāo)節(jié)點(diǎn)C在內(nèi)部網(wǎng)中����,由收發(fā)單元103發(fā)送的探測包被測試目標(biāo)節(jié)點(diǎn)C直接接收���,且在步驟S4中向探測設(shè)備的IF1發(fā)送對應(yīng)的響應(yīng)包�,如圖10所示����。在該操作中,未插入延遲時間��。亦即�,由于沒有探測包通過探測設(shè)備1和路由器RA�����,即使向通過探測設(shè)備1的包插入的延遲時間α變化或者不插入延遲時間���,在發(fā)送探測包之后接收來自測試目標(biāo)節(jié)點(diǎn)的響應(yīng)包所用的時間也不變化且?guī)缀鹾愣ā��;蛘?,如果該時間因為某些因素而變動且表現(xiàn)出相反關(guān)系的函數(shù)(例如,當(dāng)α=0時β=0.1��,而當(dāng)α=0.2時β=0.01)��,即����,節(jié)點(diǎn)C存在于內(nèi)部網(wǎng)中,延遲時間α和β之間的相關(guān)性低�����。3.第二探測方法當(dāng)探測設(shè)備拋棄包并執(zhí)行探測時在這種方法中���,探測設(shè)備1拋棄所有被轉(zhuǎn)發(fā)的包并比較拋棄包時包到達(dá)測試目標(biāo)節(jié)點(diǎn)的可達(dá)性和未拋棄包時的可達(dá)性�,以探測測試目標(biāo)節(jié)點(diǎn)是否是外部網(wǎng)的節(jié)點(diǎn)以及是否通過VPN隧道連接到內(nèi)部網(wǎng)����。以下描述將例示這樣的情形當(dāng)從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包中的從外部網(wǎng)到內(nèi)部網(wǎng)的包被通過路由器RA輸入到探測設(shè)備1時,探測設(shè)備1拋棄所有的包�����。預(yù)先為探測設(shè)備1(其判決單元102)提供測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)的MAC地址和IP地址�。將參考圖18描述第二探測方法。參考圖18����,判決單元102指示連接控制單元101開始拋棄通過探測設(shè)備1的包(步驟S101)。連接控制單元101具有一種包拋棄模式和一種不拋棄任何包的正常模式���,在包拋棄模式中�,拋棄從外部網(wǎng)輸入且地址指向內(nèi)部網(wǎng)節(jié)點(diǎn)的包和從內(nèi)部網(wǎng)輸入且地址指向外部網(wǎng)節(jié)點(diǎn)的包中的任一者或兩者�。一旦接收到上述包拋棄開始指令,連接控制單元101從正常模式切換到包拋棄模式����。然后連接控制單元101通知判決單元102包拋棄的開始(步驟S102)。接著�����,連接控制單元101一直拋棄通過路由器RA的包,直到在步驟S111中接收到來自判決單元102的處理停止指令����。判決單元102指示收發(fā)單元103向測試目標(biāo)節(jié)點(diǎn)連同測試目標(biāo)節(jié)點(diǎn)(例如節(jié)點(diǎn)C)的MAC地址和IP地址(節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址)一起發(fā)送探測包(步驟S103)。一旦接收到該指令����,收發(fā)單元103就向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包(步驟S104)。作為探測包�����,使用被設(shè)計成接收對(例如基于ICMPecho(ICMP回顯請求)�����、ARP或ICMPv6ND的)請求的響應(yīng)的包�����。例如��,發(fā)送如圖13所示的探測包。如果測試目標(biāo)節(jié)點(diǎn)位于VPN隧道的端點(diǎn)�,節(jié)點(diǎn)B首先如在第一探測方法中所述接收探測包。節(jié)點(diǎn)B封裝探測包以產(chǎn)生包含加密的L2VPN數(shù)據(jù)的VPN包(請求VPN包)��,該數(shù)據(jù)包含如圖14所示的探測包�����。節(jié)點(diǎn)B向路由器RA發(fā)送該請求VPN包����。在這種情況下���,請求VPN包通過探測設(shè)備1并直接被輸入到路由器RA�。路由器RA從圖14所示的請求VPN包除去MAC報頭(圖14中的D2和S2)并將請求VPN包中所含的IP包發(fā)送到外部網(wǎng)���。在這種情況下�����,IP包的目的IP地址與節(jié)點(diǎn)C的IP地址(202.249.10.100)吻合��,且傳輸源IP地址與節(jié)點(diǎn)B的IP地址吻合�。節(jié)點(diǎn)C通過路由器RB接收該IP包(例如向IP包中加入了MAC地址)����。節(jié)點(diǎn)C發(fā)送通過如圖16所示封裝含有響應(yīng)包的L2VPN數(shù)據(jù)獲得的響應(yīng)VPN包��,其地址指向探測設(shè)備2的“IF1”并包含對所接收的包中包含的ICMP回顯請求的ICMP回顯響應(yīng)��。路由器RB除去該響應(yīng)VPN包的MAC報頭并向外部網(wǎng)發(fā)送該響應(yīng)VPN包中所含的地址指向節(jié)點(diǎn)B的IP包(目的IP地址與節(jié)點(diǎn)B的IP地址一致)��。路由器RA接收地址指向節(jié)點(diǎn)B的IP包�。路由器RA向探測設(shè)備1發(fā)送如圖15所示的響應(yīng)VPN包�����,該響應(yīng)VPN包是通過向IP包添加MAC報頭獲得的�����,該MAC報頭具有作為目的地的節(jié)點(diǎn)B的MAC地址和作為傳輸源的路由器RA的MAC地址�。探測設(shè)備1的連接控制單元101拋棄從路由器RA側(cè)輸入的上述響應(yīng)VPN包(步驟S105)。因此�����,由于響應(yīng)VPN包不抵達(dá)節(jié)點(diǎn)B�,在向節(jié)點(diǎn)C發(fā)送探測包(步驟S107)之后的預(yù)定時間期間內(nèi)收發(fā)單元103不接收如圖16所示的來自節(jié)點(diǎn)C的任何響應(yīng)包。注意,收發(fā)單元103包括測量裝置����,用于在發(fā)送響應(yīng)包之后測量上述預(yù)定時間期間。如果節(jié)點(diǎn)C是內(nèi)部網(wǎng)上的節(jié)點(diǎn)�����,即使探測設(shè)備1的連接控制單元101拋棄包��,由于從收發(fā)單元103發(fā)送的探測包不通過探測設(shè)備1��,所以包仍抵達(dá)節(jié)點(diǎn)C��。一旦接收到探測包�,節(jié)點(diǎn)C就發(fā)送如圖16所示的響應(yīng)包����。結(jié)果,在發(fā)送地址指向節(jié)點(diǎn)C的探測包(步驟S107)之后的預(yù)定時間期間中收發(fā)單元103接收來自節(jié)點(diǎn)C的如圖16所示的上述響應(yīng)包���。當(dāng)收發(fā)單元103在該預(yù)定時間期間之后在以上預(yù)定時間期間中從節(jié)點(diǎn)C接收上述響應(yīng)包時���,該過程進(jìn)行到步驟S108。在步驟S108中,收發(fā)單元103向判決單元102通知一個信息�����,指明是否其接收到來自節(jié)點(diǎn)C的響應(yīng)包�。一旦接收到該通知,判決單元102就存儲該信息��,表明所通知的響應(yīng)包是否被接收到(步驟S109)�。通過上述從步驟S101到步驟S109的處理,當(dāng)連接控制單元101將要拋棄包時�����,它檢查是否要在發(fā)送探測包之后的預(yù)定時間期間內(nèi)接收來自節(jié)點(diǎn)C的響應(yīng)包�,且過程從步驟S110進(jìn)行到步驟S111。當(dāng)連接控制單元101不準(zhǔn)備拋棄任何包時��,它檢查是否要接收來自節(jié)點(diǎn)C的響應(yīng)包�����。為此����,首先�,在步驟S111中向連接控制單元101發(fā)出停止包拋棄的指令��。一旦接收到該指令�,連接控制單元101就停止包的拋棄并切換到正常模式。此后���,判決單元102返回到步驟S103�,指示收發(fā)單元103再次發(fā)送地址指向測試目標(biāo)節(jié)點(diǎn)C的探測包����。一旦接收到該指示,收發(fā)單元103就向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包(步驟S104)���。在這種情況下,從節(jié)點(diǎn)B發(fā)送且地址指向路由器RA的請求VPN包經(jīng)過路由器RA并經(jīng)由路由器RB抵達(dá)節(jié)點(diǎn)C���。如圖15所示的包含從節(jié)點(diǎn)C發(fā)送且如圖16所示的響應(yīng)包的響應(yīng)VPN包�,即�����,包含作為目的地IP地址的節(jié)點(diǎn)B的IP地址和作為傳輸源IP地址的節(jié)點(diǎn)C的IP地址(202.249.10.100)的包通過路由器RA并被輸入到探測設(shè)備1��。不過,該包被傳輸?shù)絻?nèi)部網(wǎng)而不被連接控制單元101拋棄���。因此上述如圖16所示的響應(yīng)包通過節(jié)點(diǎn)B被發(fā)送到探測設(shè)備2�。結(jié)果��,在發(fā)送地址指向節(jié)點(diǎn)C的探測包(步驟S106)之后的預(yù)定時間期間中收發(fā)單元103接收從節(jié)點(diǎn)C發(fā)送的如圖16所示的上述響應(yīng)包(步驟S107)�����。當(dāng)收發(fā)單元103在該預(yù)定時間期間之后或在預(yù)定時間期間中從節(jié)點(diǎn)C接收上述響應(yīng)包時�����,該過程進(jìn)行到步驟S108��。在步驟S108中��,收發(fā)單元103向判決單元102通知一個信息�,指明是否其接收到來自節(jié)點(diǎn)C的響應(yīng)包。一旦接收到該通知���,判決單元102就存儲該信息���,表明所通知的響應(yīng)包是否被接收到(步驟S109)��。然后該過程進(jìn)行到步驟S113���,向收發(fā)單元103發(fā)出處理停止指令。一旦接收到上述停止指令���,收發(fā)單元103就停止如圖18所示的處理(步驟S114)���。判決單元102在收發(fā)單元103所告知的指明在進(jìn)行和不進(jìn)行包拋棄時是否接收到響應(yīng)包的信息判決測試目標(biāo)節(jié)點(diǎn)C是否通過VPN隧道連接到內(nèi)部網(wǎng)(步驟S115)。在步驟S115中���,當(dāng)連接控制單元101不進(jìn)行包拋棄時��,判決單元102接收來自節(jié)點(diǎn)C的響應(yīng)包�。不過�,當(dāng)連接控制單元101進(jìn)行包拋棄且判決單元102不接收來自節(jié)點(diǎn)C的響應(yīng)包時���,就探測到測試目標(biāo)節(jié)點(diǎn)C通過VPN隧道連接到內(nèi)部網(wǎng)��。在連接控制單元101不進(jìn)行包拋和進(jìn)行包拋棄的任一種情形中����,當(dāng)從節(jié)點(diǎn)C接收到響應(yīng)包時,就探測到測試目標(biāo)節(jié)點(diǎn)C存在于內(nèi)部網(wǎng)中而不是通過VPN隧道連接到內(nèi)部網(wǎng)的節(jié)點(diǎn)��。以上描述例示了這樣的情形當(dāng)從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包中的從外部網(wǎng)到內(nèi)部網(wǎng)的包被通過路由器RA輸入到探測設(shè)備1時��,探測設(shè)備1拋棄所有的包�����。不過�����,本發(fā)明不限于此���。例如����,當(dāng)從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包中的從內(nèi)部網(wǎng)到外部網(wǎng)的包通過探測設(shè)備1時�����,探測設(shè)備1可以拋棄該包��?���;蛘?��,當(dāng)從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包通過探測設(shè)備1時,探測設(shè)備1可以拋棄所有的包����。在任一種情況下,根據(jù)圖18所示的程序可以獲得類似于上述的效果��。4.第三探測方法當(dāng)探測設(shè)備向每個連接插入傳送延遲并進(jìn)行探測時設(shè)計該方法以針對每種類型的包(例如被選做測試目標(biāo)包的包)向探測設(shè)備1轉(zhuǎn)發(fā)的每個包插入延遲時間�����,并檢查所插入的延遲和在向測試目標(biāo)節(jié)點(diǎn)發(fā)送要求響應(yīng)的包(探測包)之后接收響應(yīng)包所需的時間(響應(yīng)時間)之間的相關(guān)性�����,由此探測測試目標(biāo)節(jié)點(diǎn)是否是外部網(wǎng)上的節(jié)點(diǎn)且是否通過VPN隧道連接到內(nèi)部網(wǎng)��。該探測允許判定被延遲的包是與測試目標(biāo)節(jié)點(diǎn)交換的VPN包��。在這種情況下�,通過屬性信息被標(biāo)識的包被稱為“連接”�,屬性信息如MAC地址��、IP地址����、諸如IPv4����、IPv6、TCP或UDP的通信協(xié)議和諸如TCP或UDP的端口號��。例如�,將把具有包括傳輸源IP地址“A”、目的IP地址“B”�����、傳輸源TCP端口號“C”和目的地TCP端口號“D”的屬性信息的包稱為連接�����。首先將描述連接監(jiān)測處理操作�,該操作被作為探測操作的預(yù)操作而執(zhí)行,用于獲得屬性信息以標(biāo)識每個通過路由器RA的包����,執(zhí)行探測操作是為了探測通過VPN連接的節(jié)點(diǎn)以及用于VPN通信的包��。(1)連接監(jiān)測處理以下將參考圖19所示的順序圖描述連接監(jiān)測操作��。在這種情況下�,探測設(shè)備1預(yù)先具有測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)的MAC地址和IP地址���。首先�,判決單元102指示連接控制單元101開始連接監(jiān)測操作(步驟S201)���。一旦接收到開始連接監(jiān)測操作的指令���,連接控制單元101就開始連接監(jiān)測操作并通知判決單元102相應(yīng)的信息(步驟S202)。判決單元102指示收發(fā)單元103發(fā)送地址指向測試目標(biāo)節(jié)點(diǎn)的探測包(步驟S203)�。收發(fā)單元103向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包(步驟S204)。探測包使用被設(shè)計成接收對(例如基于ICMPecho�、APP或ICMPv6ND的)請求的響應(yīng)的包。例如����,發(fā)送如圖13所示的探測包。如果測試目標(biāo)節(jié)點(diǎn)位于VPN隧道的端點(diǎn)���,節(jié)點(diǎn)B首先接收探測包����。節(jié)點(diǎn)B封裝探測包以生成含有加密的L2VPN數(shù)據(jù)的VPN包(請求VPN包)�����,該加密的L2VPN數(shù)據(jù)含有如圖14所示的探測包���。節(jié)點(diǎn)B向路由器RA發(fā)送該請求VPN包(步驟S205)�����。上述請求VPN包首先抵達(dá)探測設(shè)備1��。已經(jīng)抵達(dá)探測設(shè)備1的VPN包通過連接控制單元101���。連接控制單元101提取與包相關(guān)的信息(包屬性信息),向該信息加入VPN包和用于標(biāo)識該包的包標(biāo)識信息�����,并在預(yù)先準(zhǔn)備的表中存儲所得的信息(連接控制表)(步驟S206)���。包屬性信息包含VPN包的目的MAC地址(圖14中的D2)����、傳輸源MAC地址(圖14中的S2)、IP報頭中包含的目的IP地址(圖14中的節(jié)點(diǎn)C的IP地址“202.249.10.100”(DIP2))�����、傳輸源IP地址(圖14中的節(jié)點(diǎn)B的IP地址SIP2)���、VPN包的鏈路層報頭或IP報頭中所含的協(xié)議號���、目的端口號(圖14中的DPort2)、傳輸源端口號(圖14中的SPort2)等����。例如,向圖14所示的VPN包加入“ID3”作為包標(biāo)識信息��,且如圖20所示�����,在連接控制表中彼此對應(yīng)地存儲從VPN包中所獲得的包屬性信息和包標(biāo)識信息“ID3”��。路由器RA接收通過連接控制單元101的VPN包。路由器RA除去MAC報頭(圖14中的目的地和傳輸源MAC地址D2和S2)并向外部網(wǎng)發(fā)送VPN包所含的IP包(步驟S207)�����。在這種情況下�,IP包的目的IP地址與節(jié)點(diǎn)C的IP地址“202.249.10.100”一致�����,且傳輸IP地址與節(jié)點(diǎn)B的IP地址一致�����。節(jié)點(diǎn)C通過路由器RB接收IP包���。節(jié)點(diǎn)C封裝含有ICMP回顯且地址指向探測設(shè)備1的L2VPN數(shù)據(jù)并發(fā)送地址指向路由器RA的VPN包���。路由器RB除去VPN包的MAC報頭并向外部網(wǎng)發(fā)送VPN包中包含的且地址指向節(jié)點(diǎn)B的IP包(步驟S208)。路由器RA接收IP包��。路由器RA向內(nèi)部網(wǎng)發(fā)送如圖15所示的VPN包��,該VPN包是通過向IP包添加MAC報頭獲得的�,該MAC報頭具有作為目的地的節(jié)點(diǎn)B的MAC地址和作為傳輸源的路由器RA的MAC地址(步驟S209)�����。探測設(shè)備1發(fā)送如圖15所示的VPN包��。已經(jīng)抵達(dá)探測設(shè)備1的如圖15所示的VPN包通過連接控制單元101�。在這種情況下����,如在步驟S206中那樣,連接控制單元101提取與包相關(guān)的信息(包屬性信息)并將其存儲在預(yù)先準(zhǔn)備的表(連接控制表)中��,將VPN包和用于標(biāo)識包的包標(biāo)識信息加入該信息(步驟S210)�。例如,向圖15所示的VPN包加入“ID4”作為包標(biāo)識信息��,且如圖20所示��,在連接控制表中彼此對應(yīng)地存儲VPN包中所含的包屬性信息和包標(biāo)識信息“ID4”���。圖15所示的VPN包通過連接控制單元101并被節(jié)點(diǎn)B接收(步驟S211)��。節(jié)點(diǎn)B從圖15所示的所接收的VPN包中所包含的L2VPN數(shù)據(jù)中提取對應(yīng)于探測包的響應(yīng)包(參見圖16)��,響應(yīng)包含有作為目的地的探測設(shè)備1的IF1的MAC地址和作為傳輸源的節(jié)點(diǎn)C的MAC地址����,并向內(nèi)部網(wǎng)發(fā)送該響應(yīng)包(步驟S212)。收發(fā)單元103通過探測設(shè)備1的IF1接收該響應(yīng)包���。通過以上方式�,探測設(shè)備1能夠獲得通過路由器RA的每個包的屬性信息���。以上操作例示了與地址指向某節(jié)點(diǎn)的一個探測包相關(guān)的操作次序��。收發(fā)單元103通過在預(yù)定時間期間內(nèi)發(fā)送多個地址指向多個節(jié)點(diǎn)的探測包來執(zhí)行上述操作。連接控制單元101存儲在該預(yù)定時間期間內(nèi)通過路由器RA的每個包的屬性信息和標(biāo)識信息���。判決單元102測量上述時間期間���。當(dāng)該預(yù)定時間期間過去后,判決單元102輸出請求來停止向收發(fā)單元103發(fā)送探測包(步驟S213)����。連接控制單元101輸出連接監(jiān)測停止指令(步驟S214)。一旦接收到該連接監(jiān)測停止指令�,連接控制單元101就將存儲在連接控制表中的信息通知判決單元102(步驟S215)。一旦接收到該通知���,判決單元102就將其存儲在如圖20所示的連接控制表中���。在該階段����,探測設(shè)備1僅識別出每個通過路由器RA的包的屬性信息�,但未曾探測到例如具有包標(biāo)識信息“ID3”的包是用于VPN通信的包且節(jié)點(diǎn)C是通過VPN連接的。參考圖19��,向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包(在這種情況下為節(jié)點(diǎn)C)��。不過��,不必一直發(fā)送探測包�����。亦即�����,一旦接收到來自判決單元102的連接監(jiān)測開始指令���,連接控制單元101就可以獲得在預(yù)定時間期間內(nèi)通過探測設(shè)備1的每個包(從外部網(wǎng)到內(nèi)部網(wǎng)的包和從內(nèi)部網(wǎng)到外部網(wǎng)的包)的上述包屬性信息�。(2)探測處理接下來將描述利用探測設(shè)備1中的如圖20所示的連接控制表探測通過VPN連接的節(jié)點(diǎn)和用于VPN通信的包的探測方法。以下將參考圖21所示的流程圖���、圖22所示的順序圖和圖11和12所示的網(wǎng)絡(luò)中的數(shù)據(jù)流動來描述探測方法���。注意,與圖21相同的參考數(shù)字表示與圖8中相同的步驟��,且與圖22中相同的參考數(shù)字表示與圖9中相同的步驟����。首先,探測設(shè)備1預(yù)先具有測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)的MAC地址和IP地址�。此外�����,用戶在圖20所示的連接控制表中存儲的包標(biāo)識信息中指定包標(biāo)識信息或?qū)⒊蔀闇y試目標(biāo)的包或包屬性信息�。例如,假設(shè)用戶在圖20所示的連接控制表中的包標(biāo)識信息中指定了包含在包屬性信息中的協(xié)議號為“6”的幾條信息���,即包標(biāo)識信息“ID1”到“ID4”�����。參考圖21��,然后判決單元102從指定條的包標(biāo)識信息“ID1”到“ID”中選擇一條包標(biāo)識信息并將該包與所選包標(biāo)識信息設(shè)置為測試目標(biāo)節(jié)點(diǎn)���。判決單元102向連接控制單元101通知該測試目標(biāo)節(jié)點(diǎn)的包標(biāo)識信息(或包標(biāo)識信息和對應(yīng)于包標(biāo)識信息的包屬性信息)以及延遲時間α(α為可變值)并指示連接控制單元101開始延遲插入(步驟S1)�。以下描述將例示這種情形具有包標(biāo)識信息“ID4”的包被選擇且具有包標(biāo)識信息“ID4”的包被設(shè)置為測試目標(biāo)包��。注意��,具有包標(biāo)識信息“ID4”的包具有探測設(shè)備1的IF1的IP地址作為目的IP地址和節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址作為傳輸源IP地址�����。雖然從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包通過探測設(shè)備1��,以下描述將例示這種情形從內(nèi)部網(wǎng)到外部網(wǎng)的包被傳輸?shù)酵獠烤W(wǎng)而不插入延遲時間α�,而從路由器RA發(fā)送的包是在向其插入延遲時間α之后被傳輸?shù)絻?nèi)部網(wǎng)的。在這種情況下�����,在從發(fā)送請求包的時刻到接收到對應(yīng)的響應(yīng)包的時刻的響應(yīng)時間期間插入的總延遲時間為α����,且檢查α和β之間的相關(guān)性�����。然而本發(fā)明不限于該情形�����。如在上述第一探測方法中那樣�����,可以為從內(nèi)部網(wǎng)到外部網(wǎng)的包插入延遲時間α���,可以將從路由器RA發(fā)送的包直接傳輸?shù)絻?nèi)部網(wǎng)側(cè)而不插入延遲時間α。同樣在這種情況下��,在從發(fā)送請求包的時刻到接收到響應(yīng)包的時刻的響應(yīng)時間期間(由探測設(shè)備1)插入的總延遲時間為α����,且檢查α和β之間的相關(guān)性��。此外��,當(dāng)從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包都通過探測設(shè)備1時,可以為兩種包都插入延遲時間α����。在這種情況下,在從發(fā)送請求包的時刻到接收到響應(yīng)包的時刻的響應(yīng)時間期間(由探測設(shè)備1)插入的總延遲時間為2α����,且檢查2α和β之間的相關(guān)性。連接控制單元101向判決單元102通知延遲插入的開始(步驟S2)�����。判決單元102指示收發(fā)單元103連同測試目標(biāo)節(jié)點(diǎn)的MAC地址以及IP地址(例如節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址)一起將探測包發(fā)送到測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)(步驟S3)��。一旦接收到該指示�,收發(fā)單元103就向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包(步驟S4)。探測包使用被設(shè)計成接收對(例如基于ICMPecho(ICMP回顯請求)���、ARP或ICMPv6ND的)請求的響應(yīng)的包��。圖23示出了探測包(幀)的例子�����。該包例示了含有ARP請求的探測包�,ARP請求用于查詢對應(yīng)于節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址的MAC地址。該探測包的目的地址D1為內(nèi)部網(wǎng)中的廣播MAC地址����,而傳輸源地址S1為探測設(shè)備1的IF1的MAC地址。在向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包時����,收發(fā)單元103存儲探測包的發(fā)送時間(步驟S5)。如果測試目標(biāo)節(jié)點(diǎn)位于VPN隧道的端點(diǎn)�����,節(jié)點(diǎn)B首先接收探測包��,如圖22所示�����。在圖22的步驟S6中����,節(jié)點(diǎn)B封裝探測包以生成含有加密的L2VPN數(shù)據(jù)的VPN包(請求VPN包),該加密的L2VPN數(shù)據(jù)含有如圖24所示的探測包�����。節(jié)點(diǎn)B向路由器RA發(fā)送該請求VPN包�����。該請求VPN包首先通過探測設(shè)備1���。不過�����,由于請求VPN包是從內(nèi)部網(wǎng)輸入的�����,該包被直接傳輸?shù)铰酚善鱎A而沒有插入延遲時間α��,如圖22所示(步驟S10)�。路由器RA從所接收的請求VPN包除去MAC報頭(圖24中的目的地和傳輸源MAC地址D2和S2)并向外部網(wǎng)發(fā)送該請求VPN包中所含的IP包(步驟S11)���。在這種情況下�����,IP包的目的IP地址與節(jié)點(diǎn)C的IP地址“202.249.10.100”一致���,且傳輸源IP地址與節(jié)點(diǎn)B的IP地址一致��。節(jié)點(diǎn)C通過路由器RB接收該IP包(向IP包加入MAC報頭)���。響應(yīng)于所接收的包中所含的ARP請求,節(jié)點(diǎn)C發(fā)送通過如圖25所示封裝含有響應(yīng)包的L2VPN數(shù)據(jù)獲得的地址指向路由器RA的響應(yīng)VPN包��,該響應(yīng)包地址指向探測設(shè)備1的“IF1”以返回節(jié)點(diǎn)C的MAC地址���。路由器RB除去該響應(yīng)VPN包的MAC報頭并向外部網(wǎng)發(fā)送該響應(yīng)VPN包中所含的地址指向節(jié)點(diǎn)B的IP包(目的IP地址為節(jié)點(diǎn)B的IP地址)(步驟S12)��。路由器RA接收地址指向節(jié)點(diǎn)B的IP包����。路由器RA向內(nèi)部網(wǎng)發(fā)送如圖26所示的響應(yīng)VPN包��,該VPN包是通過向IP包添加MAC報頭獲得的�,該MAC報頭具有作為目的地的節(jié)點(diǎn)B的MAC地址和作為傳輸源的路由器RA的MAC地址(步驟S13)。將如圖26所示的響應(yīng)VPN包發(fā)送到探測設(shè)備1����。探測設(shè)備1的連接控制單元101檢查包屬性信息,例如從路由器RA發(fā)送的包的協(xié)議號��、IP報頭中的目的IP地址(圖26中的DIP3)和傳輸源IP地址(圖26中的SIP3)。如果包屬性信息與在步驟S1中連接控制單元101通知的測試目標(biāo)節(jié)點(diǎn)的包屬性信息匹配��,連接控制單元101就判定相應(yīng)的包為測試目標(biāo)節(jié)點(diǎn)(步驟S7)��,并在將其延遲該延遲時間α之后將該包傳輸?shù)絻?nèi)部網(wǎng)(步驟S8)��。如果從路由器RA發(fā)送的包的協(xié)議號或包的包屬性信息不同于在步驟S1中由判決單元102通知的測試目標(biāo)的協(xié)議號或包屬性信息�,連接控制單元101就判定相應(yīng)的包不是測試目標(biāo)節(jié)點(diǎn)(步驟S7)�����。然后該過程前進(jìn)到步驟S9��,不插入延遲時間α而向內(nèi)部網(wǎng)傳輸該包�。圖26所示的VPN包被通過探測設(shè)備1傳輸?shù)絻?nèi)部網(wǎng)并被節(jié)點(diǎn)B接收(步驟S14)。節(jié)點(diǎn)B從圖26所示的所接收的VPN包中所包含的L2VPN數(shù)據(jù)中提取對應(yīng)于上述探測包的響應(yīng)包(參見圖25)��,響應(yīng)包含有作為目的地的探測設(shè)備1的IF1的MAC地址和作為傳輸源的節(jié)點(diǎn)C的MAC地址����,并向內(nèi)部網(wǎng)發(fā)送該響應(yīng)包(步驟S15)���。在圖21的步驟S16中���,收發(fā)單元103通過探測設(shè)備1的IF1接收該響應(yīng)包�。收發(fā)單元103從該響應(yīng)包的MAC報頭(圖25中的D3和S3)以及IP報頭判定該響應(yīng)包是否是來自測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)的響應(yīng)包。如果傳輸源與節(jié)點(diǎn)C的MAC地址和節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址匹配����,它就判定該響應(yīng)包為來自測試目標(biāo)節(jié)點(diǎn)C的響應(yīng)包,該過程前進(jìn)到步驟S17��。在步驟S17中����,如果響應(yīng)包是來自節(jié)點(diǎn)C的包,收發(fā)單元103存儲該響應(yīng)包的接收時間��。然后收發(fā)單元103向判決單元102通知探測包向測試目標(biāo)節(jié)點(diǎn)C發(fā)送的時間(發(fā)送時間)與響應(yīng)于探測包接收響應(yīng)包的時間(接收時間)之間的差異β(步驟S18)���。判決單元102對應(yīng)于延遲時間α存儲收發(fā)單元103通知的時間β(步驟S19)���。在為一個測試目標(biāo)包“D4”插入延遲時間α(由表示第一延遲時間的α1代表)的情形下將從步驟S1到步驟S19處理重復(fù)預(yù)指定的次數(shù)(步驟S20)。在將步驟S1到步驟S19處理重復(fù)預(yù)指定次數(shù)之后��,該過程前進(jìn)到步驟S21b以改變延遲時間α的值(所得的值將由表示第二延遲時間的α2代表)�����。然后將從步驟S1到步驟S9的處理重復(fù)預(yù)指定次數(shù)。執(zhí)行從步驟S1到步驟S9的處理并測量響應(yīng)時間β的值���,其中為同一測試目標(biāo)包“ID4”插入具有不同長度的多個(預(yù)定數(shù)量的)延遲時間α(α1�����、α2......)。此后��,判決單元102改變測試目標(biāo)包(例如���,從具有指定協(xié)議號“6”的若干條包標(biāo)識信息中選擇未被選擇的包標(biāo)識信息)����,將具有選定的包標(biāo)識信息的包設(shè)置為新的測試目標(biāo)�,并針對多個延遲時間α(α1、α2����,......)中的每一個將步驟S1到步驟S9的處理重復(fù)預(yù)指定次數(shù)。當(dāng)相對于具有全部指定條的包標(biāo)識信息的包完成上述處理(步驟S21a)后���,該過程前進(jìn)到步驟S22�。在步驟S22中,判決單元102指示連接控制單元101停止向通過探測設(shè)備1的包插入延遲并指示收發(fā)單元103停止處理����。一旦接收到上述停止指令,連接控制單元101就停止圖21所示的延遲插入操作(步驟S23)�。一旦接收到上述停止指令,收發(fā)單元103就停止如圖21所示的處理(步驟S24)�����。判決單元102在收發(fā)單元103通知的多個測量結(jié)果(延遲時間α和所測的響應(yīng)時間β)的基礎(chǔ)上判斷測試目標(biāo)節(jié)點(diǎn)C是否通過VPN隧道連接到內(nèi)部網(wǎng)(步驟S25)�����。假設(shè)測試目標(biāo)節(jié)點(diǎn)為節(jié)點(diǎn)C且具有若干條包標(biāo)識信息“ID1”到“ID4”的包為測試目標(biāo)包�����。仍假設(shè)如圖27所示����,判決單元102已經(jīng)將為各測試目標(biāo)包插入的延遲時間α設(shè)置為“0”和“0.20”,已經(jīng)在每種情形下將每個探測包發(fā)送了10次���,且已經(jīng)在發(fā)送探測包之后檢查過延遲時間α和接收相應(yīng)的響應(yīng)包所需的時間β之間的相關(guān)性���。假設(shè)作為該處理的結(jié)果�����,獲得了如圖28所示的結(jié)果���。如圖28所示,在為每個測試目標(biāo)包將延遲時間α設(shè)置為“0”秒和“0.2”秒的每種情形下��,判決單元102計算在發(fā)送10次探測包后的響應(yīng)時間β的平均值�。如圖28所示���,對于諸條包標(biāo)識信息“ID1”和“ID2”而言��,即使插入到相應(yīng)的包中的延遲時間α在其通過探測設(shè)備1時發(fā)生變化���,在發(fā)送探測包之后接收相應(yīng)的響應(yīng)包所用的時間(響應(yīng)時間)β(β的平均值)也不變,且?guī)缀鹾愣?���。亦即,延遲時間α和β之間的相關(guān)性低。與此相反�����,對于諸條包標(biāo)識信息“ID3”和“ID4”而言���,當(dāng)插入于對應(yīng)包中的延遲時間α在其通過探測設(shè)備1時變化時���,β的平均值隨著該變化而變化。亦即����,由于β的值受到延遲時間α變化的影響,因此延遲時間α和β之間的相關(guān)性高��。α和β之間相關(guān)性高表明��,探測設(shè)備1在發(fā)送探測包之后接收響應(yīng)包所需的時間(響應(yīng)時間)包括在包通過探測設(shè)備1時插入的延遲時間α��。亦即�,具有諸條包標(biāo)識信息“ID3”和“ID4”的包是通過探測設(shè)備1和路由器RA在內(nèi)部網(wǎng)和外部網(wǎng)之間發(fā)送/接收的包,即�,用于VPN通信的包。由于插入具有諸條包標(biāo)識信息“ID3”和“ID4”的包的延遲時間α與向測試目標(biāo)節(jié)點(diǎn)C發(fā)送探測包之后接收響應(yīng)包所需的時間β之間相關(guān)性高�,因此判定測試目標(biāo)節(jié)點(diǎn)C通過VPN隧道連接到內(nèi)部網(wǎng)�����。亦即����,在這種情況下���,探測到節(jié)點(diǎn)C是通過VPN隧道連接到內(nèi)部網(wǎng)的節(jié)點(diǎn)���,且具有包標(biāo)識信息“ID3”和“ID4”的包是用于VPN通信的包。根據(jù)第三探測方法����,在連接監(jiān)測處理之后,通過縮小范圍對預(yù)先選擇的包執(zhí)行探測處理(例如��,在這種情況下是具有協(xié)議號“6”的包)�����。不過�,不用執(zhí)行上述連接監(jiān)測處理而在所有或某些通過連接控制單元101的包(例如���,TCP包��、UDP包或具有高熵的包)中執(zhí)行插入延遲的探測處理就足夠了���。在這種情況下�,難以探測到用于VPN通信的包自身��,但是可能如在以上情形中那樣探測到通過VPN連接的測試目標(biāo)節(jié)點(diǎn)���。5.第四探測方法當(dāng)探測設(shè)備拋棄用于每個連接的包且進(jìn)行探測時探測設(shè)備1比較要被轉(zhuǎn)發(fā)的包中的預(yù)指定類型的包在被拋棄時到達(dá)測試目標(biāo)節(jié)點(diǎn)的可達(dá)性與包不被拋棄時的可達(dá)性��,以探測測試目標(biāo)節(jié)點(diǎn)是否是外部網(wǎng)上的節(jié)點(diǎn)以及是否通過VPN隧道連接到內(nèi)部網(wǎng)��。如果探測到是這樣的���,就能夠判定在這種情況下拋棄的包包括與測試目標(biāo)交換的VPN包。在這種情況下����,通過屬性信息被標(biāo)識的包被稱為“連接”,屬性信息如MAC地址�、IP地址、諸如IPv4�����、IPv6、TCP或UDP的通信協(xié)議和諸如TCP或UDP的端口號�。例如,將把具有包括傳輸源IP地址“A”�、目的IP地址“B”、傳輸源TCP端口號“C”和目的地TCP端口號“D”的屬性信息的包稱為連接�����。如在上述第三探測方法的情況中那樣�,首先將描述連接監(jiān)測處理操作,該操作被作為探測操作的預(yù)操作而執(zhí)行����,用于獲得屬性信息以標(biāo)識每個通過路由器RA的包,執(zhí)行探測操作是為了探測通過VPN連接的節(jié)點(diǎn)以及用于VPN通信的包�。接著將參考圖29所示的流程圖描述利用圖20所示的連接控制表探測通過VPN連接的節(jié)點(diǎn)和用于VPN通信的包的探測方法,連接控制表是通過連接控制處理獲得的����。注意����,圖29中相同的參考數(shù)字表示與圖18中相同的步驟����。首先�,探測設(shè)備1預(yù)先被提供以測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)的MAC地址和IP地址。此外����,用戶在圖20所示的連接控制表中存儲的包標(biāo)識信息中指定包標(biāo)識信息或?qū)⒊蔀闇y試目標(biāo)的包或包屬性信息。例如�,假設(shè)用戶在圖20所示的連接控制表中的包標(biāo)識信息中指定了包含在包屬性信息中的協(xié)議號為“6”的幾條信息,即包標(biāo)識信息“ID1”到“ID4”��。參考圖29�����,然后判決單元102從指定條的包標(biāo)識信息“ID1”到“ID”中選擇一條包標(biāo)識信息并具有所選包標(biāo)識信息的包設(shè)置為測試目標(biāo)節(jié)點(diǎn)�。判決單元102向連接控制單元101通知該測試目標(biāo)節(jié)點(diǎn)的包標(biāo)識信息(或包標(biāo)識信息和被對應(yīng)于包標(biāo)識信息的包屬性信息)并指示連接控制單元101在測試目標(biāo)包通過探測設(shè)備1時拋棄測試目標(biāo)包(步驟S101)。以下描述將例示這種情形具有包標(biāo)識信息“ID4”的包被選擇且具有包標(biāo)識信息“ID4”的包被設(shè)置為測試目標(biāo)包�。注意,具有包標(biāo)識信息“ID4”的包具有IF1的IP地址作為目的IP地址和節(jié)點(diǎn)C的IP地址“202.249.10.100”作為傳輸源IP地址����。因此,該測試目標(biāo)包從外部網(wǎng)前進(jìn)并經(jīng)由路由器RA通過探測設(shè)備1����。一旦接收到來自判決單元102的拋棄具有包標(biāo)識信息“ID4”的指令����,當(dāng)相應(yīng)的包通過時���,連接控制單元101就通知判決單元102其已經(jīng)準(zhǔn)備好拋棄包�����,即開始包拋棄(步驟S102)����。判決單元102指示收發(fā)單元103連同測試目標(biāo)節(jié)點(diǎn)的MAC地址以及IP地址(例如節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址)一起將探測包發(fā)送到測試目標(biāo)節(jié)點(diǎn)(在這種情況下為節(jié)點(diǎn)C)(步驟S103)��。一旦接收到該指示�����,收發(fā)單元103就向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包(步驟S104)��。探測包使用被設(shè)計成接收對(例如基于ICMPecho(ICMP回顯請求)���、ARP或ICMPv6ND的)請求的響應(yīng)的包���。例如,發(fā)送如圖13所示的探測包���。如果測試目標(biāo)節(jié)點(diǎn)位于VPN隧道的端點(diǎn)����,節(jié)點(diǎn)B首先接收探測包��,如在第一探測方法中所述����。節(jié)點(diǎn)B封裝探測包以生成含有加密的L2VPN數(shù)據(jù)的VPN包(請求VPN包),該加密的L2VPN數(shù)據(jù)含有如圖14所示的探測包�����。節(jié)點(diǎn)B向路由器RA發(fā)送該請求VPN包����。上述請求VPN包通過探測設(shè)備1。連接控制單元101檢查多條包屬性信息�,例如從內(nèi)部網(wǎng)側(cè)和路由器RA側(cè)輸入的包的協(xié)議號、IP報頭中的目的IP地址(圖14中的DIP2和圖15中的DIP3)以及傳輸源IP地址(圖14中的SIP2和圖15中的SIP3)。如果在步驟S101中判定了該屬性信息與連接控制單元101通知的測試目標(biāo)包的屬性信息匹配��,連接控制單元101判定相應(yīng)的包為測試目標(biāo)包并拋棄該包(步驟S105)���。使測試目標(biāo)包之外的包通過�����。注意����,由于從節(jié)點(diǎn)B發(fā)送的圖14所示的請求VPN包在屬性信息方面不同于當(dāng)前測試目標(biāo)包����,路由器RA從該請求VPN包除去MAC報頭(圖14中的D2和S2)并向外部網(wǎng)發(fā)送該請求VPN包中含有的IP包。注意��,在這種情況下�����,IP包的目的IP地址為節(jié)點(diǎn)C的IP地址“202.249.10.100”��,且傳輸源IP地址為節(jié)點(diǎn)B的IP地址���。節(jié)點(diǎn)C通過路由器RB接收該IP包(其中IP包加入了MAC報頭)�����。節(jié)點(diǎn)C發(fā)送通過如圖16所示封裝含有響應(yīng)包的L2VPN數(shù)據(jù)獲得的響應(yīng)VPN包�����,其地址指向探測設(shè)備2的“IF1”并包含對所接收的包中包含的ICMP回顯請求的ICMP回顯響應(yīng)�����。路由器RB除去該響應(yīng)VPN包的MAC報頭并向外部網(wǎng)發(fā)送該響應(yīng)VPN包中所含的地址指向節(jié)點(diǎn)B的IP包(目的IP地址與節(jié)點(diǎn)B的IP地址一致)��。路由器RA接收地址指向節(jié)點(diǎn)B的IP包�����。路由器RA向連接控制單元101發(fā)送如圖15所示的響應(yīng)VPN包��,該響應(yīng)VPN包是通過向IP包添加MAC報頭獲得的��,該MAC報頭具有作為目的地的節(jié)點(diǎn)B的MAC地址和作為傳輸源的路由器RA的MAC地址��。圖15所示的響應(yīng)VPN包為具有包標(biāo)識信息“ID4”的當(dāng)前測試目標(biāo)包����。如果圖15所示的(具有包標(biāo)識信息“ID4”的)包是通過路由器RA輸入到探測設(shè)備1的,由于包的上述屬性信息與當(dāng)前測試目標(biāo)包的屬性信息相匹配����,連接控制單元101拋棄測試目標(biāo)包(步驟S105)。因此�,如圖15所示的從測試目標(biāo)節(jié)點(diǎn)C到節(jié)點(diǎn)B的響應(yīng)VPN包不到達(dá)節(jié)點(diǎn)B。結(jié)果�����,在發(fā)送地址指向節(jié)點(diǎn)C的探測包(步驟S106)之后的預(yù)定時間期間中收發(fā)單元103不接收來自節(jié)點(diǎn)C的如圖16所示的上述響應(yīng)包(步驟S107)�。另一方面,上述測試目標(biāo)包之外的包通過探測設(shè)備1而不被拋棄��。因此����,如果測試目標(biāo)包不是將被測試目標(biāo)節(jié)點(diǎn)C接收的含有探測包的請求VPN包或含有上述來自節(jié)點(diǎn)C的響應(yīng)包的響應(yīng)VPN包,由于該包未被連接控制單元101拋棄�����,收發(fā)單元103在發(fā)送地址指向節(jié)點(diǎn)C的探測包(步驟S106)之后的預(yù)定時間期間內(nèi)接收來自節(jié)點(diǎn)C的如圖16所示的上述響應(yīng)包(步驟S107)�����。假設(shè)測試目標(biāo)節(jié)點(diǎn)C為內(nèi)部網(wǎng)上的節(jié)點(diǎn)。在這種情況下���,即使探測設(shè)備1的連接控制單元101拋棄通過探測設(shè)備1的包����,從收發(fā)單元103發(fā)送的探測包也不通過探測設(shè)備1�����,從而到達(dá)節(jié)點(diǎn)C�。一旦接收到探測包�����,節(jié)點(diǎn)C就發(fā)送如圖16所示的響應(yīng)包��。結(jié)果����,在發(fā)送地址指向節(jié)點(diǎn)C的探測包(步驟S106)之后的預(yù)定時間期間中收發(fā)單元103接收從節(jié)點(diǎn)C發(fā)送的如圖16所示的上述響應(yīng)包(步驟S107)。當(dāng)收發(fā)單元103在該預(yù)定時間期間之后或在預(yù)定時間期間中從節(jié)點(diǎn)C接收上述響應(yīng)包時�,該過程進(jìn)行到步驟S108��。在步驟S108中����,收發(fā)單元103就通知判決單元102是否接收到來自節(jié)點(diǎn)C的響應(yīng)包��。一旦接收到該通知����,判決單元102就存儲表明所通知的響應(yīng)包是否被接收到的信息(步驟S109)。通過上述從步驟S101到步驟S109的處理���,當(dāng)連接控制單元101要拋棄具有對應(yīng)于包標(biāo)識信息“ID4”的屬性信息的測試目標(biāo)包時�,連接控制單元101檢查是否在發(fā)送探測包之后的預(yù)定時間期間內(nèi)接收來自節(jié)點(diǎn)C的響應(yīng)包�����,然后該過程從步驟S110前進(jìn)到步驟S111����。當(dāng)連接控制單元101不準(zhǔn)備拋棄測試目標(biāo)包時,它檢查是否要接收來自節(jié)點(diǎn)C的響應(yīng)包�。為此,首先�����,在步驟S111中向連接控制單元101發(fā)出停止包拋棄的指令。一旦接收到該指令�,連接控制單元101就停止包拋棄。此后����,判決單元102返回到步驟S103,指示收發(fā)單元103再次發(fā)送地址指向測試目標(biāo)節(jié)點(diǎn)C的探測包��。一旦接收到該指示��,收發(fā)單元103就向測試目標(biāo)節(jié)點(diǎn)發(fā)送探測包(步驟S104)��。在這種情況下��,從節(jié)點(diǎn)B發(fā)送且地址指向路由器RA的請求VPN包經(jīng)過探測設(shè)備1并經(jīng)由路由器RB抵達(dá)節(jié)點(diǎn)C���。如圖15所示的包含從節(jié)點(diǎn)C發(fā)送且如圖16所示的響應(yīng)包的響應(yīng)VPN包,即��,包含作為目的1P地址的節(jié)點(diǎn)B的IP地址和作為傳輸源IP地址的節(jié)點(diǎn)C的IP地址(202.249.10.100)的包通過探測設(shè)備1而不被連接控制單元101拋棄���。因此��,通過節(jié)點(diǎn)B發(fā)送如圖16所示的上述響應(yīng)包�����。結(jié)果��,在發(fā)送地址指向節(jié)點(diǎn)C的探測包(步驟S106)之后的預(yù)定時間期間中收發(fā)單元103接收從節(jié)點(diǎn)C發(fā)送的如圖16所示的上述響應(yīng)包(步驟S107)����。當(dāng)收發(fā)單元103在該預(yù)定時間期間之后或在預(yù)定時間期間中從節(jié)點(diǎn)C接收上述響應(yīng)包時,該過程進(jìn)行到步驟S108�����。在步驟S108中�����,收發(fā)單元103向判決單元102通知一個信息�����,指明是否其接收到來自節(jié)點(diǎn)C的響應(yīng)包��。一旦接收到該通知��,判決單元102就存儲該信息,表明所通知的響應(yīng)包是否被接收到(步驟S109)���。然后該過程前進(jìn)到步驟S116b到步驟S116a���,以將測試目標(biāo)包變?yōu)橹付òM中未被選擇的包。該過程隨后前進(jìn)到步驟S101以指示連接控制單元101開始拋棄新的測試目標(biāo)包�����。接著��,在步驟S102到S110中�,在拋棄新的測試目標(biāo)包和不拋棄包的情形下,向測試目標(biāo)節(jié)點(diǎn)C發(fā)送探測包并檢查是否接收到響應(yīng)包��。當(dāng)相對于所有具有指定的包標(biāo)識信息的包完成上述處理(步驟S116a)后����,該過程前進(jìn)到步驟S113以指示收發(fā)單元103停止處理��。一旦接收到上述停止指令��,收發(fā)單元103就停止如圖29所示的處理(步驟S114)�。判決單元102在收發(fā)單元103所告知的指明在進(jìn)行包拋棄時是否接收到響應(yīng)包的信息判決測試目標(biāo)節(jié)點(diǎn)C是否通過VPN隧道連接到內(nèi)部網(wǎng)(步驟S115)����。在步驟S115中���,盡管在不拋棄給定測試目標(biāo)包時連接控制單元101接收來自節(jié)點(diǎn)C的響應(yīng)包�,當(dāng)連接控制單元101拋棄測試目標(biāo)包且沒有接收任何來自節(jié)點(diǎn)C的響應(yīng)包時�,連接控制單元101探測到測試目標(biāo)節(jié)點(diǎn)C通過VPN隧道連接到內(nèi)部網(wǎng)。此外��,連接控制單元101探測到測試目標(biāo)包為用于與節(jié)點(diǎn)C進(jìn)行VPN通信的包����。當(dāng)連接控制單元101接收來自節(jié)點(diǎn)C的響應(yīng)包時,即使該單元拋棄指定包組的任何測試目標(biāo)包�,當(dāng)前指定的包組,即具有協(xié)議號“6”的包組可能不包括任何用于與節(jié)點(diǎn)C進(jìn)行VPN通信的包����,或者測試目標(biāo)節(jié)點(diǎn)C可能不是通過VPN通信從外部網(wǎng)連接到內(nèi)部網(wǎng)的節(jié)點(diǎn)。因此���,相對于另一包組(例如�,具有協(xié)議號“17”的包組),向測試目標(biāo)節(jié)點(diǎn)C發(fā)送如圖29所示的探測包以檢查是否接收到任何響應(yīng)包��。重復(fù)該處理就能夠在測試目標(biāo)節(jié)點(diǎn)C通過VPN隧道連接到內(nèi)部網(wǎng)時從這種包組的任一個中探測到用于與節(jié)點(diǎn)C進(jìn)行VPN通信的包��。參考圖29��,優(yōu)選地���,在拋棄和不拋棄測試目標(biāo)包的每種情形下將探測包發(fā)送預(yù)定次數(shù)��,并在每種情形下檢查是否接收到響應(yīng)包����。假設(shè)測試目標(biāo)節(jié)點(diǎn)為節(jié)點(diǎn)C且具有若干條包標(biāo)識信息“ID1”到“ID4”的包為測試目標(biāo)包�����。仍假設(shè)在這種情況下如圖30所示�,判決單元102已經(jīng)在拋棄所有包和不拋棄測試目標(biāo)包的情形下針對每個測試目標(biāo)包發(fā)送了10次探測包,且已經(jīng)在拋棄測試目標(biāo)包和不拋棄測試目標(biāo)包的情形下檢查了響應(yīng)包的接收��。假設(shè)作為該操作的結(jié)果�����,獲得了如圖31所示的結(jié)果�����。如圖31所示���,判決單元102針對每個測試目標(biāo)包計算響應(yīng)包的接收率����,其表示在拋棄和不拋棄包時接收到響應(yīng)包的次數(shù)���。如圖31所示�����,對于諸條包標(biāo)識信息“ID1”和“ID2”而言����,當(dāng)相應(yīng)包通過探測設(shè)備1時拋棄它們時獲得的包接收率為100%�,這與在不拋棄包時獲得的相同。即使拋棄包��,也總能接收到對應(yīng)于探測包的響應(yīng)包�����。亦即,包拋棄和響應(yīng)包接收率之間的相關(guān)性低���。與此相反����,對于諸條包標(biāo)識信息“ID3”和“ID4”而言��,當(dāng)使相應(yīng)的包不被拋棄而通過探測設(shè)備1時�,總能夠接收到響應(yīng)包(響應(yīng)包接收率為100%)。在拋棄包時����,響應(yīng)包接收率為“0”。亦即���,包拋棄和響應(yīng)包接收率之間的相關(guān)性高�����。結(jié)果����,探測到具有諸條包標(biāo)識信息“ID3”和“ID4”的包是通過探測設(shè)備1和路由器RA在內(nèi)部網(wǎng)和外部網(wǎng)之間發(fā)送/接收的包,即�,用于VPN通信的包�。因此判定測試目標(biāo)節(jié)點(diǎn)C是通過VPN隧道連接到內(nèi)部網(wǎng)的。根據(jù)第四探測方法��,在執(zhí)行連接監(jiān)測處理之后����,對預(yù)先縮小范圍的包(例如,具有協(xié)議號“6”的包)執(zhí)行探測處理����。不過,不用執(zhí)行上述連接監(jiān)測處理而對所有或某些通過連接控制單元101的包(例如���,TCP包�、UDP包或具有高熵的包)執(zhí)行拋棄的探測處理就足夠了���。在這種情況下��,難以探測到用于VPN通信的包自身�����,但是可能如在以上情形中那樣探測到測試目標(biāo)包是否是通過VPN連接的�。已經(jīng)通過例示探測基于L2VPN的VPN包的情形描述了第三和第四探測方法。不過�,本發(fā)明不限于此,甚至能用于通過檢查所插入的延遲時間α和所測的響應(yīng)時間β之間的相關(guān)性來探測基于L3VPN的包(IPsec等)����,即通過IPIP隧道(移動IP/IPV6、6到4隧道等)進(jìn)行VPN通信的包的情形����。第三和第四探測方法用IP報頭中的目的IP地址、傳輸源IP地址�、協(xié)議號等作為用于標(biāo)識每個包的屬性信息。不過���,本發(fā)明不限于此����。例如�,當(dāng)使用IPv6作為IP協(xié)議時,可以使用IP報頭中的數(shù)據(jù)流ID��、通信級別等�。在IP協(xié)議為IPsec�����、ESF(封裝的安全凈荷)報頭中的SPI(安全參數(shù)索引)�、包凈荷的隨機(jī)性(熵值)等的情況下�,這些方法還可以使用TCP報頭中的傳輸源端口號和目的端口號�����、UDP報頭中的傳輸源端口號和目的端口號���、AH(認(rèn)證報頭)中的SPI(安全參數(shù)索引)作為用于標(biāo)識每個包的屬性信息����。包凈荷的高隨機(jī)性(熵值)表明數(shù)據(jù)的高隨機(jī)性���,因此表明數(shù)據(jù)被加密的可能性高�。第三和第四探測方法在連接監(jiān)測處理中使用ICMP回顯請求作為探測包�����。不過���,本發(fā)明不限于此�����。例如����,使用不要求響應(yīng)的包(幀)就足夠了,只要它們抵達(dá)將要判定其是否是通過VPN連接的節(jié)點(diǎn)的測試目標(biāo)節(jié)點(diǎn)(例如節(jié)點(diǎn)C)即可��。第三探測方法在探測處理中使用ARP請求作為探測包�����,第四探測方法在探測處理中使用ICMP回顯請求作為探測包��。不過���,本發(fā)明不限于此���。例如,使用抵達(dá)將要判定其是否是通過VPN連接的節(jié)點(diǎn)的測試目標(biāo)節(jié)點(diǎn)(例如節(jié)點(diǎn)C)且被允許希望得到響應(yīng)的包(幀)就足夠了�����。例如,這些方法可以在IPv4的情況下使用ARP請求���,使用RARP請求幀��、ICMP/ICMPV6回顯請求和ICMPv6ND包作為探測包�。此外����,連接控制單元101可以不等待監(jiān)測開始的指定而執(zhí)行連接監(jiān)測��。雖然執(zhí)行該處理以選擇該類型的包作為測試目標(biāo)���,當(dāng)要檢查所有類型的包時���,可以不進(jìn)行連接監(jiān)測來執(zhí)行檢查?�;蛘?���,不發(fā)送任何探測包而執(zhí)行連接監(jiān)測處理是足夠的。在這種情況下����,然而���,由于在連接監(jiān)測期間可能不發(fā)生任何VPN通信,在發(fā)送探測包同時進(jìn)行連接監(jiān)測提高了VPN通信的探測精度���,如圖19所示�����。6.應(yīng)用第三和第四探測方法的例子接著將描述應(yīng)用第三和第四探測方法的例子����。參考圖7��,假設(shè)節(jié)點(diǎn)A是運(yùn)動圖像分布服務(wù)器���。為了保護(hù)運(yùn)動圖像的版權(quán)���,節(jié)點(diǎn)A希望拒絕來自通過VPN連接到內(nèi)部網(wǎng)的節(jié)點(diǎn)的連接。不過�,節(jié)點(diǎn)A不能容易地知道某節(jié)點(diǎn)是否是通過VPN連接的。因此,例如�����,當(dāng)節(jié)點(diǎn)C試圖連接到節(jié)點(diǎn)A時����,節(jié)點(diǎn)A讓探測設(shè)備1檢查節(jié)點(diǎn)C是否是通過VPN從外部網(wǎng)連接的。例如�����,節(jié)點(diǎn)A向探測設(shè)備1發(fā)送包含測試目標(biāo)節(jié)點(diǎn)C的MAC地址和IP地址的探測處理請求�。一旦接收到該探測處理請求,探測設(shè)備1執(zhí)行如上所述的連接監(jiān)測處理和探測處理�����,由此探測節(jié)點(diǎn)C是否是通過VPN連接的且還探測用于VPN通信的包(其屬性信息)��。一旦接收到來自探測設(shè)備1的這種探測的通知���,節(jié)點(diǎn)A就能夠進(jìn)行控制,例如拒絕來自節(jié)點(diǎn)C通過VPN的訪問���。為了防止諸如個人信息��、與防御相關(guān)的信息等的機(jī)密信息泄漏����,優(yōu)選防止外部網(wǎng)上的節(jié)點(diǎn)在沒有內(nèi)部網(wǎng)的許可的情況下進(jìn)行VPN通信。然而�,如果不能知道哪個包是用于VPN通信的,探測設(shè)備1就執(zhí)行如上所述的連接監(jiān)測處理和探測處理���,以探測節(jié)點(diǎn)C是通過VPN連接的且還探測用于VPN通信的包(其屬性信息)����。接著����,探測設(shè)備1檢查從內(nèi)部網(wǎng)輸入的該包的上述屬性信息。如果屬性信息與所探測到的用于VPN通信的包的屬性信息相匹配��,探測設(shè)備1就拋棄包以防止其被從內(nèi)部網(wǎng)輸出����。探測設(shè)備1還檢查從路由器RA側(cè)輸入的包的屬性信息。如果屬性信息與所探測到的用于VPN通信的包的屬性信息相匹配�����,探測設(shè)備1就拋棄包以防止其被輸入到內(nèi)部網(wǎng)。如上所述��,根據(jù)第一實(shí)施例的第一到第四探測方法����,容易探測到正在與內(nèi)部網(wǎng)上的節(jié)點(diǎn)進(jìn)行VPN通信的外部網(wǎng)上的節(jié)點(diǎn)。此外��,根據(jù)第一實(shí)施例的第三和第四探測方法��,容易探測到正在與內(nèi)部網(wǎng)上的節(jié)點(diǎn)進(jìn)行VPN通信的外部網(wǎng)上的節(jié)點(diǎn)����,且還探測到在內(nèi)部網(wǎng)節(jié)點(diǎn)和外部網(wǎng)節(jié)點(diǎn)之間發(fā)送/接收的通信包中的用于VPN通信的包。(第二實(shí)施例)第一實(shí)施例已經(jīng)例示了探測設(shè)備1包括連接控制單元101����、判決單元102和收發(fā)單元103的情形�。第二實(shí)施例將例示如下的情形將上述探測設(shè)備1的功能分成兩部分,探測設(shè)備(在這種情況下為探測設(shè)備2)包括判決單元102和收發(fā)單元103����,且連接控制單元101包括諸如路由器RA的連接在內(nèi)部網(wǎng)和外部網(wǎng)之間的中繼設(shè)備。1.探測設(shè)備和轉(zhuǎn)發(fā)設(shè)備的布置圖32示出了根據(jù)第二實(shí)施例的探測設(shè)備2和中繼設(shè)備RA的布置的例子。圖32中相同的參考數(shù)字表示與圖6中相同的部分���。如在第一實(shí)施例中那樣�����,探測設(shè)備包括判決單元102和收發(fā)單元103�,還包括通信單元104��,通信單元104用于和路由器RA進(jìn)行用于上述連接監(jiān)測處理和探測處理的通信�。路由器RA包括連接控制單元101,還包括通信單元105��,通信單元105用于和探測設(shè)備2進(jìn)行用于上述連接監(jiān)測處理和探測處理的通信��。圖33示出了將圖32中的探測設(shè)備2放在內(nèi)部網(wǎng)中的網(wǎng)絡(luò)布置的例子�����。從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包必定通過路由器RA���。因此�����,根據(jù)第二實(shí)施例��,路由器RA包括連接控制單元101����,連接控制單元101如在第一實(shí)施例中所述那樣插入延遲時間(α)并拋棄包。這使得不必將探測設(shè)備2放在從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包一定通過探測設(shè)備的位置����。如圖32所示,探測設(shè)備2被放在內(nèi)部網(wǎng)中的任意位置����。在這種情況下,作為中繼設(shè)備的路由器RA包括連接控制單元101���。不過�,本發(fā)明不限于此��。包括連接控制單元101的中繼設(shè)備可以是任何設(shè)備��,只要是一種能夠在內(nèi)部網(wǎng)和外部網(wǎng)之間轉(zhuǎn)發(fā)包并執(zhí)行延遲插入和包拋棄的通信設(shè)備即可�����。例如�����,該設(shè)備可以是諸如路由器�����、防火墻或具有這種功能的集線器的通信設(shè)備��。參考圖33���,內(nèi)部網(wǎng)例如是地址段為“133.196.16.0/24”的IPv4子網(wǎng)�����,對應(yīng)于節(jié)點(diǎn)C的通信設(shè)備通過L2VPN連接到內(nèi)部網(wǎng)��。該L2VPN使用TCP進(jìn)行數(shù)據(jù)分布�����。以下將描述第一和第二實(shí)施例之間的不同點(diǎn)�����。第二實(shí)施例與第一實(shí)施例的不同在于第二實(shí)施例被設(shè)計成通過通信單元104和路由器RA和通信單元105之間的通信在判決單元102和連接控制單元101之間交換信息(例如����,圖8和21中的步驟S1和S22中的指令、圖18和29中步驟S2中的通知����、步驟S101和S111中的指令、圖19中的步驟S201和S214中的指令以及步驟S202和S215中的通知)���。假設(shè)將要在內(nèi)部網(wǎng)節(jié)點(diǎn)和通過VPN隧道連接到內(nèi)部網(wǎng)的外部網(wǎng)節(jié)點(diǎn)之間交換的包是從內(nèi)部網(wǎng)到外部網(wǎng)且從外部網(wǎng)到內(nèi)部網(wǎng)被傳輸?shù)?��。在這種情況下,在第一實(shí)施例中�����,包通過探測設(shè)備1和路由器RA兩者�。相反,在第二實(shí)施例中��,包僅通過路由器RA���?���?梢詫⒌谝粚?shí)施例中所述的第一到第四探測方法以與第一實(shí)施例相同的方式應(yīng)用到圖32所示的探測設(shè)備2和路由器RA�����,不同之處在于在第二實(shí)施例中��,信息是通過探測設(shè)備2的通信單元104和路由器RA的通信單元105之間的通信在判決單元102和連接控制單元101之間交換的����,而在內(nèi)部網(wǎng)和外部網(wǎng)之間發(fā)送/接收的包通過路由器RA而不通過探測設(shè)備2。2.第一探測方法首先將通過例示如下情形參考圖8和34到36描述根據(jù)第二實(shí)施例的第一探測方法����,在該情形中,當(dāng)測試目標(biāo)節(jié)點(diǎn)是通過VPN隧道連接到內(nèi)部網(wǎng)的外部網(wǎng)節(jié)點(diǎn)C且從外部網(wǎng)到內(nèi)部網(wǎng)的包通過連接控制單元101時�,連接控制單元101為該包插入延遲時間α。圖34到36相同的參考數(shù)字表示與圖11��、12和9相同的部分��。圖34和35為解釋在根據(jù)第二實(shí)施例的網(wǎng)絡(luò)中數(shù)據(jù)的流動的圖示����。當(dāng)測試目標(biāo)節(jié)點(diǎn)是正在與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的節(jié)點(diǎn)時�����,圖34示出了直到探測包抵達(dá)節(jié)點(diǎn)C的步驟的過程�����。圖35示出了直到來自節(jié)點(diǎn)C的響應(yīng)包抵達(dá)探測設(shè)備的步驟的過程���。與第一實(shí)施例類似,第一探測方法在被路由器RA轉(zhuǎn)發(fā)的所有從外部網(wǎng)到內(nèi)部網(wǎng)的包中插入延遲�,并檢查所插入的每個延遲時間的長度和在向測試目標(biāo)節(jié)點(diǎn)發(fā)送要求響應(yīng)的包(探測包)之后接收響應(yīng)包所需的時間(響應(yīng)時間)之間的相關(guān)性,以探測測試目標(biāo)節(jié)點(diǎn)是否是外部網(wǎng)上的節(jié)點(diǎn)且是否通過VPN隧道連接到內(nèi)部網(wǎng)����。判決單元102通過通信單元104和105指示路由器RA的連接控制單元101為通過(連接控制單元101的)路由器RA的包插入延遲時間α(α為可變值)(步驟S1)。連接控制單元101通過通信單元104和105向判決單元102通知延遲插入的開始(步驟S2)����。接著,在接收從外部網(wǎng)輸入的包時�,連接控制單元101在將包延遲該延遲時間α之后將該包傳輸?shù)絻?nèi)部網(wǎng),直到接收到來自判決單元102的處理停止指令為止(步驟S22)���。判決單元102指示收發(fā)單元103連同MAC地址以及IP地址(例如節(jié)點(diǎn)C的內(nèi)部網(wǎng)IP地址)一起將探測包發(fā)送到測試目標(biāo)節(jié)點(diǎn)(例如節(jié)點(diǎn)C)(步驟S3)�����。如在圖9中所示的相同的方式下����,在圖34和36的步驟S4中收發(fā)單元103發(fā)送地址指向測試目標(biāo)節(jié)點(diǎn)C的如圖13所示的探測包���,并在圖36的步驟S5中存儲探測包的發(fā)送時間�����。在圖34和36的步驟S6中��,一旦接收到該探測包���,節(jié)點(diǎn)B封裝探測包以生成含有加密的L2VPN數(shù)據(jù)的VPN包(請求VPN包),該加密的L2VPN數(shù)據(jù)含有如圖14所示的探測包��。節(jié)點(diǎn)B向節(jié)點(diǎn)C(IP地址“202.249.10.100”)發(fā)送該請求VPN包��。一旦接收到上述請求VPN包�,路由器RA從所接收到的請求VPN包除去MAC報頭(圖14中的目的地和傳輸源MAC地址D2和S2)并向外部網(wǎng)發(fā)送請求VPN包所含的IP包(圖34和36中的步驟S11)。在這種情況下,IP包的目的IP地址為節(jié)點(diǎn)C的IP地址“202.249.10.100”��,且傳輸源IP地址為節(jié)點(diǎn)B的IP地址�����。節(jié)點(diǎn)C通過路由器RB接收該IP包(IP包中加入了MAC報頭)���。節(jié)點(diǎn)C發(fā)送地址指向節(jié)點(diǎn)B的響應(yīng)VPN包(目的IP地址節(jié)點(diǎn)B�����,目的地MAC地址路由器RB)���,該響應(yīng)VPN包是通過封裝含有地址指向探測設(shè)備1的“IF1”的ICMP回顯響應(yīng)的L2VPN數(shù)據(jù)獲得的。路由器RB除去該響應(yīng)VPN包的MAC報頭并向外部網(wǎng)發(fā)送該響應(yīng)VPN包中所含的地址指向節(jié)點(diǎn)B的IP包(目的IP地址為節(jié)點(diǎn)B的IP地址)(圖35和36中的步驟S12)��。路由器RA接收地址指向節(jié)點(diǎn)B的IP包�����。路由器RA在向IP包添加MAC報頭后��,向連接控制單元101輸出如圖15所示的響應(yīng)VPN包�,該MAC報頭包含作為目的地的節(jié)點(diǎn)B的MAC地址和作為傳輸源的路由器RA的MAC地址����。連接控制單元101在將包延遲該延遲時間α之后向內(nèi)部網(wǎng)側(cè)傳輸如圖15所示的包(步驟S8’)��。參考圖36�,當(dāng)從外部網(wǎng)到內(nèi)部網(wǎng)的包通過路由器RA時,在步驟S8’中為包插入延遲時間α�����。不過����,本發(fā)明不限于此���。即使在包通過路由器RA����,且在步驟S8’中插入或不插入延遲時間α的情況下���,在包被傳輸?shù)酵獠烤W(wǎng)時為從內(nèi)部網(wǎng)到外部網(wǎng)的包插入延遲時間α也是足夠的�����。當(dāng)為通過路由器RA的從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包兩者都插入延遲時間α?xí)r����,在發(fā)送探測包的時刻到接收到相應(yīng)響應(yīng)包的時刻之間的時間內(nèi)插入的總延遲時間為2α。當(dāng)為它們之一插入延遲時間α?xí)r����,總的延遲時間成為α。在執(zhí)行判決處理期間�,在前一種情形下,從嚴(yán)格意義上講�����,檢查了所插入的延遲時間2α和實(shí)際上測得的響應(yīng)時間β之間的相關(guān)性��。在后一種情形下��,檢查了所插入的延遲時間α和實(shí)際測得的響應(yīng)時間β之間的相關(guān)性��。在將包延遲該延遲時間α之后�����,節(jié)點(diǎn)B接收從路由器RA輸出到內(nèi)部網(wǎng)的如圖15所示的VPN包(圖35和36中的步驟S14)�。節(jié)點(diǎn)B從圖15所示的所接收的VPN包中所包含的L2VPN數(shù)據(jù)中提取對應(yīng)于上述探測包的響應(yīng)包(參見圖16)���,該響應(yīng)包含有作為目的地的探測設(shè)備2的IF1的MAC地址和作為傳輸源的節(jié)點(diǎn)C的MAC地址,并向內(nèi)部網(wǎng)發(fā)送該響應(yīng)包(圖35和36中的步驟S15)����。收發(fā)單元103通過探測設(shè)備2的IF1接收該響應(yīng)包。從圖8的步驟S16開始的處理與在第一實(shí)施例中的相同���。3.第二探測方法接著將通過例示如下情形描述根據(jù)第二實(shí)施例的第二探測方法����,在該情形中當(dāng)測試目標(biāo)節(jié)點(diǎn)是通過VPN隧道連接到內(nèi)部網(wǎng)的外部網(wǎng)節(jié)點(diǎn)C時��,連接控制單元101就拋棄通過路由器RA的包�����。注意�,這種情形下的探測設(shè)備2和路由器RA的連接控制單元101的操作幾乎與第一實(shí)施例的第二探測方法(圖18)中的相同�����,不同之處在于信息(例如圖18中的步驟S101和S111中的指令)是通過探測設(shè)備2的通信單元104和路由器RA的通信單元105之間的通信交換的���,而在內(nèi)部網(wǎng)和外部網(wǎng)之間發(fā)送/接收的包直接通過路由器RA而不通過探測設(shè)備2����。該方法的效果與上述第一實(shí)施例中的相同。此外�����,如果測試目標(biāo)節(jié)點(diǎn)是通過VPN隧道連接到內(nèi)部網(wǎng)的外部網(wǎng)節(jié)點(diǎn)C�,探測包和響應(yīng)包的傳送路由與圖34和35中的相同。4.第三探測方法接著將通過例示測試目標(biāo)節(jié)點(diǎn)是通過VPN隧道連接到內(nèi)部網(wǎng)的外部網(wǎng)節(jié)點(diǎn)C的情形描述將第一實(shí)施例中的第三探測方法應(yīng)用于第二實(shí)施例的情形�����。首先將參考圖37所示的順序圖描述連接監(jiān)測處理��。圖37相同的參考數(shù)字表示與圖19相同的部分�����,且將僅描述圖37和圖19中的處理之間的不同部分�。參考圖37,在內(nèi)部網(wǎng)和外部網(wǎng)之間發(fā)送/接收的包直接通過路由器RA�����,因此被從節(jié)點(diǎn)B發(fā)送,且路由器RA首先接收如圖14所示的請求VPN包(步驟S205)����。一旦接收到請求VPN包,路由器RA就從連接控制單元101中的請求VPN包提取上述包屬性信息���,并將其與包標(biāo)識信息一起存儲在連接控制表中(步驟S206)���。路由器RA從存儲有包屬性信息的請求VPN包除去MAC報頭(圖14中的目的地和傳輸源MAC地址D2和S2)并向外部網(wǎng)發(fā)送VPN包所含的IP包(步驟S207)。路由器RA首先接收地址指向節(jié)點(diǎn)B的IP包���,該IP包是從節(jié)點(diǎn)C發(fā)送到路由器RB的��,且是通過封裝地址指向探測設(shè)備1的ICMP回顯響應(yīng)中所含的L2VPN數(shù)據(jù)獲得的(步驟S208)�����。路由器RA在向IP包添加MAC報頭后���,向連接控制單元101輸出如圖15所示的VPN包�����,該MAC報頭包含作為目的地的節(jié)點(diǎn)B的MAC地址和作為傳輸源的路由器RA的MAC地址。如在上述步驟S206中那樣�����,連接控制單元101從如圖15所示的VPN包中提取包屬性信息�����,將其添加到用于標(biāo)識包屬性信息的包標(biāo)識信息中����,并在連接控制表中存儲所得的信息(步驟S210)。上述處理與圖19所示的相同��,只是信息是通過探測設(shè)備2的通信單元104和路由器RA的通信單元105之間的通信而在判決單元102和連接控制單元101之間交換的�。該處理的效果也與上述第一實(shí)施例中的相同。接下來將描述利用探測設(shè)備2中的如圖20所示的連接控制表探測通過VPN連接的節(jié)點(diǎn)和用于VPN通信的包的探測方法����。以下將參考圖21所示的流程圖和圖38所示的順序圖描述該探測方法。雖然從內(nèi)部網(wǎng)到外部網(wǎng)的包和從外部網(wǎng)到內(nèi)部網(wǎng)的包二者都通過路由器RA��,圖38例示了這種情形從內(nèi)部網(wǎng)到外部網(wǎng)的包被直接傳輸?shù)酵獠烤W(wǎng)而不插入延遲時間α���,而為從外部網(wǎng)到內(nèi)部網(wǎng)的包插入延遲時間α���。因此����,由路由器RA插入的總延遲時間為α����,且檢查α和β之間的相關(guān)性。圖38中相同的參考數(shù)字表示與圖22中相同的部分�����。以下將描述該處理與第一實(shí)施例中的處理之間的不同部分�����。參考圖38�����,由于在內(nèi)部網(wǎng)和外部網(wǎng)之間發(fā)送/接收的包直接通過路由器RA�����,因此節(jié)點(diǎn)B發(fā)送該包��。路由器RA首先接收圖24所示的請求VPN包(步驟S6)���。一旦接收到上述請求VPN包���,路由器RA從該請求VPN包除去MAC報頭(圖24中的目的地和傳輸源MAC地址D2和S2)并直接向外部網(wǎng)發(fā)送請求VPN包所含的IP包(不插入延遲時間α)(步驟S11)。在這種情況下��,該IP包的目的IP地址是節(jié)點(diǎn)C的IP地址“202.249.10.100”�,且傳輸源IP地址為節(jié)點(diǎn)B的IP地址。節(jié)點(diǎn)C通過路由器RB接收該IP包(其中IP包加入了MAC報頭)����。節(jié)點(diǎn)C發(fā)送通過封裝含有如圖25所示響應(yīng)包的L2VPN數(shù)據(jù)獲得的、地址指向路由器RA的響應(yīng)VPN包���,其中響應(yīng)包地址指向探測設(shè)備1的“IF1”以返回節(jié)點(diǎn)C的MAC地址�。路由器RB除去該響應(yīng)VPN包的MAC報頭并向外部網(wǎng)發(fā)送該響應(yīng)VPN包中所含的地址指向節(jié)點(diǎn)B的IP包(目的IP地址為節(jié)點(diǎn)B的IP地址)(步驟S12)��。路由器RA接收地址指向節(jié)點(diǎn)B的IP包���。路由器RA在向IP包添加MAC報頭后���,向連接控制單元101發(fā)送如圖26所示的響應(yīng)VPN包����,該MAC報頭包含作為目的地的節(jié)點(diǎn)B的MAC地址和作為傳輸源的路由器RA的MAC地址���。連接控制單元101檢查包屬性信息�����,例如響應(yīng)VPN包的協(xié)議號�����、IP報頭中的目的IP地址(圖26中的DIP3)和傳輸源IP地址(圖26中的SIP3)��。如果包屬性信息與在步驟S1中連接控制單元101通知的測試目標(biāo)節(jié)點(diǎn)的包屬性信息匹配�����,連接控制單元101就判定相應(yīng)的包為測試目標(biāo)節(jié)點(diǎn)(步驟S7)�,并在將其延遲該延遲時間α之后將該包傳輸?shù)絻?nèi)部網(wǎng)(步驟S8)���。上述處理與圖22所示的相同�,只是信息是通過探測設(shè)備2的通信單元104和路由器RA的通信單元105之間的通信而在判決單元102和連接控制單元101之間交換的。該處理的效果也與上述第一實(shí)施例中的相同����。此外,如果測試目標(biāo)節(jié)點(diǎn)是通過VPN隧道連接到內(nèi)部網(wǎng)的外部網(wǎng)節(jié)點(diǎn)C�����,探測包和響應(yīng)包的傳送路由與圖34和35中的相同����。4.第四探測方法接著將通過例示測試目標(biāo)節(jié)點(diǎn)是通過VPN隧道連接到內(nèi)部網(wǎng)的外部網(wǎng)節(jié)點(diǎn)C的情形描述將第一實(shí)施例中的第四探測方法應(yīng)用于第二實(shí)施例的情形�。連接控制處理與圖37所示的相同。將參考圖29所示的流程圖描述利用如圖20所示的連接控制表探測通過VPN連接的節(jié)點(diǎn)和用于VPN通信的包的探測方法�����。注意��,這種情形下的探測設(shè)備2和路由器RA的連接控制單元101的操作幾乎與第一實(shí)施例的第四探測方法(圖29)中的相同���,只是信息(例如圖29中的步驟S101和S111中的指令)是通過探測設(shè)備2的通信單元104和路由器RA的通信單元105之間的通信交換的���,而在內(nèi)部網(wǎng)和外部網(wǎng)之間發(fā)送/接收的包直接通過路由器RA而不通過探測設(shè)備2�。該方法的效果與上述第一實(shí)施例中的相同���。此外���,如果測試目標(biāo)節(jié)點(diǎn)是通過VPN隧道連接到內(nèi)部網(wǎng)的外部網(wǎng)節(jié)點(diǎn)C,探測包和響應(yīng)包的傳送路由與圖34和35中的相同���。如上所述�����,第二實(shí)施例的第一到第四探測方法能夠容易地探測到正在與內(nèi)部網(wǎng)節(jié)點(diǎn)進(jìn)行VPN通信的外部網(wǎng)節(jié)點(diǎn)��。第二實(shí)施例的第三和第四探測方法能夠容易地探測到正在與內(nèi)部網(wǎng)上的節(jié)點(diǎn)進(jìn)行VPN通信的外部網(wǎng)上的節(jié)點(diǎn)�,且還能容易地探測到在內(nèi)部網(wǎng)節(jié)點(diǎn)和外部網(wǎng)節(jié)點(diǎn)之間發(fā)送/接收的通信包中的用于VPN通信的包�����。此外�,可以將上述第一實(shí)施例的第一到第四探測方法的應(yīng)用的以上例子直接應(yīng)用到第二實(shí)施例。(有多個到外部網(wǎng)的路由的情形下的探測方法)在第一和第二實(shí)施例中���,如果有多條從內(nèi)部網(wǎng)到外部網(wǎng)的路由���,通過以下方法進(jìn)行探測��。1.在使用探測設(shè)備1時在通往外部網(wǎng)的所有路由上安裝探測設(shè)備使得能夠進(jìn)行探測����。否則�,當(dāng)VPN通信通過未安裝探測設(shè)備1的路由連接到外部時,由于不能探測到該通信����,因此必須要在所有路由上安裝探測設(shè)備�����。此外���,探測設(shè)備1需要彼此協(xié)作地工作�����。根據(jù)第一實(shí)施例的第一探測方法��,安裝在內(nèi)部網(wǎng)中的所有探測設(shè)備1需要同時插入延遲�。第一實(shí)施例的第三探測方法向多個探測設(shè)備1中至少一個預(yù)定的探測設(shè)備1(以下稱為主探測設(shè)備)通知由相應(yīng)探測設(shè)備獲得的結(jié)果,指定相對于其他探測設(shè)備的延遲時間和將要插入延遲的包�,并指示它們插入延遲。這就能夠以與安裝一個探測設(shè)備的上述情形同樣的方式進(jìn)行探測�����。2.在使用探測設(shè)備2時通往外部網(wǎng)的所有路由上的所有中繼設(shè)備都包括連接控制單元101并需要在接收到來自內(nèi)部網(wǎng)上的探測設(shè)備2的指令后執(zhí)行上述操作�����。例如���,在為所有通過中繼設(shè)備的包插入延遲時間的第一探測方法中�,探測設(shè)備2向所有中繼設(shè)備發(fā)出開始延遲插入的指令(包括延遲時間的指定)��,且每個中繼設(shè)備執(zhí)行上述延遲時間插入操作����,這使得能夠進(jìn)行探測。根據(jù)為通過中繼設(shè)備的包中的測試目標(biāo)包插入延遲的第三探測方法��,探測設(shè)備2指示所有的中繼設(shè)備開始連接監(jiān)測��。每個中繼設(shè)備都向探測設(shè)備2通知連接控制結(jié)果��,即,關(guān)于圖20所示的連接控制表的信息�。讓探測設(shè)備2指示每個中繼設(shè)備開始延遲插入能夠以與使用一個中繼設(shè)備的情形相同的方式進(jìn)行探測。如果有多個探測設(shè)備2����,每個中繼設(shè)備向多個探測設(shè)備2中的至少一個預(yù)定的探測設(shè)備2(主探測設(shè)備)通知通過連接監(jiān)測獲得的結(jié)果。一旦接收到該通知��,主探測設(shè)備在每個中繼設(shè)備通知的連接監(jiān)測結(jié)果的基礎(chǔ)上向每個中繼設(shè)備發(fā)出延遲插入開始指令等��。(選擇測試目標(biāo)包的方法)在根據(jù)第一和第二實(shí)施例的第三和第四探測方法中��,即使將通過探測設(shè)備1或中繼設(shè)備中的連接控制單元101的所有類型的包都設(shè)置為測試目標(biāo)�����,也能夠探測VPN通信(包和節(jié)點(diǎn))�����。不過����,如果包類型的數(shù)量大(連接的數(shù)量大)���,用于探測處理的處理量就大���。這使得難以執(zhí)行該方法���。為了解決這個問題,可以考慮在以下條件下選擇測試目標(biāo)包的方法·明確地基于已知VPN協(xié)議(例如PPTP�����、L2TP或IPsec)的包���;·似乎被加密的包�;以及·基于未知協(xié)議(例如�,具有未知協(xié)議號或未知報頭)的包。檢查包中數(shù)據(jù)的熵使得能夠估計通信是否被加密�。根據(jù)探測設(shè)備工作的環(huán)境,例如��,探測設(shè)備的吞吐量�、安裝探測設(shè)備的網(wǎng)絡(luò)環(huán)境、以及探測設(shè)備需要的探測精度���,恰當(dāng)?shù)剡x擇一種類型的包作為測試目標(biāo)將帶來探測設(shè)備負(fù)荷的減少�����。如上所述��,上述實(shí)施例能夠容易地探測到正在與內(nèi)部網(wǎng)上的節(jié)點(diǎn)進(jìn)行VPN通信的外部網(wǎng)上的節(jié)點(diǎn)�,且能容易地探測到在內(nèi)部網(wǎng)節(jié)點(diǎn)和外部網(wǎng)節(jié)點(diǎn)之間發(fā)送/接收的通信包中的用于VPN通信的包。權(quán)利要求1.一種利用連接到內(nèi)部網(wǎng)的中繼設(shè)備(RA)和探測設(shè)備(1)探測兩個VPN(虛擬專用網(wǎng))節(jié)點(diǎn)之間的VPN通信的VPN通信探測方法��,所述VPN節(jié)點(diǎn)之一位于所述內(nèi)部網(wǎng)上��,所述VPN節(jié)點(diǎn)的另一個位于通過所述中繼設(shè)備連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上���,所述方法的特征在于包括由所述探測設(shè)備向測試目標(biāo)節(jié)點(diǎn)發(fā)送第一響應(yīng)請求包�,由所述中繼設(shè)備或所述探測設(shè)備使通過所述中繼設(shè)備或所述探測設(shè)備的包中的至少一個延遲第一延遲時間���,所述包中的每一個被延遲第一延遲時間之后從所述內(nèi)部網(wǎng)和所述外部網(wǎng)之一發(fā)送到所述內(nèi)部網(wǎng)和所述外部網(wǎng)中的另一個;由所述探測設(shè)備接收來自所述測試目標(biāo)節(jié)點(diǎn)的對所述第一響應(yīng)請求包的第一響應(yīng)包����;由所述探測設(shè)備測量從發(fā)送所述第一響應(yīng)請求包的第一時間點(diǎn)到接收到所述第一響應(yīng)包的第二時間點(diǎn)的第一響應(yīng)時間;由所述探測設(shè)備向所述測試目標(biāo)節(jié)點(diǎn)發(fā)送第二響應(yīng)請求包��;由所述中繼設(shè)備或所述探測設(shè)備使通過所述中繼設(shè)備或所述探測設(shè)備的包中的至少一個延遲不同于所述第一延遲時間的第二延遲時間,所述包中的每一個從所述內(nèi)部網(wǎng)和所述外部網(wǎng)之一發(fā)送到所述內(nèi)部網(wǎng)和所述外部網(wǎng)中的另一個��;由所述探測設(shè)備接收來自所述測試目標(biāo)節(jié)點(diǎn)的對所述第二響應(yīng)請求包的第二響應(yīng)包�����;由所述探測設(shè)備測量從發(fā)送所述第二響應(yīng)請求包的第三時間點(diǎn)到接收到所述第二響應(yīng)包的第四時間點(diǎn)的第二響應(yīng)時間����;以及當(dāng)所述第一響應(yīng)時間和所述第二響應(yīng)時間隨著所述第一延遲時間和所述第二延遲時間之間的差異而變化時,由所述探測設(shè)備判定所述測試目標(biāo)節(jié)點(diǎn)為所述VPN節(jié)點(diǎn)中的所述另一個�。2.根據(jù)權(quán)利要求1所述的方法,其特征在于���,在所述判定中包括當(dāng)不管所述第一延遲時間和所述第二延遲時間之間的差異如何變化�,所述第一響應(yīng)時間和所述第二響應(yīng)時間基本恒定時�����,判定所述測試目標(biāo)節(jié)點(diǎn)不是所述VPN節(jié)點(diǎn)中的所述另一個�����。3.根據(jù)權(quán)利要求1所述的方法��,其特征在于,所述第一延遲時間和所述第二延遲時間之一為“0”秒�����。4.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,當(dāng)所述測試目標(biāo)節(jié)點(diǎn)為所述VPN節(jié)點(diǎn)中的所述另一個時�����,所述第一響應(yīng)時間包括所述第一響應(yīng)請求包通過所述VPN節(jié)點(diǎn)所述之一和所述中繼設(shè)備抵達(dá)所述測試目標(biāo)節(jié)點(diǎn)所用的時間�、從所述測試目標(biāo)節(jié)點(diǎn)發(fā)送的所述第一響應(yīng)包通過所述中繼設(shè)備和所述VPN節(jié)點(diǎn)的所述之一抵達(dá)所述探測設(shè)備所用的時間�����、以及所述第一延遲時間����。5.一種利用連接到內(nèi)部網(wǎng)的探測設(shè)備(1)和中繼設(shè)備(RA)探測兩個VPN(虛擬專用網(wǎng))節(jié)點(diǎn)之間的VPN通信的VPN通信探測方法����,所述VPN節(jié)點(diǎn)之一位于所述內(nèi)部網(wǎng)上���,所述VPN節(jié)點(diǎn)的另一個位于通過所述中繼設(shè)備連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上,所述中繼設(shè)備或所述探測設(shè)備具有包拋棄模式和正常模式�,在所述包拋棄模式中,拋棄從所述內(nèi)部網(wǎng)和所述外部網(wǎng)之一發(fā)送到所述內(nèi)部網(wǎng)和所述外部網(wǎng)中的另一個的全部包中的至少一個�����,在所述正常模式中�����,不拋棄任何包�����,所述方法的特征在于包括將所述中繼設(shè)備或所述探測設(shè)備切換到所述包拋棄模式�;由所述探測設(shè)備向測試目標(biāo)節(jié)點(diǎn)發(fā)送第一響應(yīng)請求包,由所述中繼設(shè)備或所述探測設(shè)備探測是否響應(yīng)于所述第一響應(yīng)請求包接收到來自所述測試目標(biāo)節(jié)點(diǎn)的第一響應(yīng)包�;將所述中繼設(shè)備或所述探測設(shè)備切換到所述正常模式;由所述探測設(shè)備向所述測試目標(biāo)節(jié)點(diǎn)發(fā)送第二響應(yīng)請求包�;由所述中繼設(shè)備或所述探測設(shè)備探測是否響應(yīng)于所述第二響應(yīng)請求包接收到來自所述測試目標(biāo)節(jié)點(diǎn)的第二響應(yīng)包;以及由所述探測設(shè)備判定����,(a)當(dāng)未探測到所述第一響應(yīng)包的接收且探測到所述第二響應(yīng)包的接收時��,所述測試目標(biāo)節(jié)點(diǎn)為所述VPN節(jié)點(diǎn)中的所述另一個����,以及(b)當(dāng)探測到所述第一和第二響應(yīng)包的接收時����,所述測試目標(biāo)節(jié)點(diǎn)不是所述VPN節(jié)點(diǎn)中的所述另一個。6.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,延遲操作使包中由屬性信息指定的測試目標(biāo)包延遲,屬性信息包括目的MAC地址��、傳輸源MAC地址��、目的IP地址�、傳輸源IP地址、協(xié)議號��、目的端口號和傳輸源端口號中的至少一個�����。7.根據(jù)權(quán)利要求5所述的方法�����,其特征在于����,在所述包拋棄模式中所述中繼設(shè)備或所述探測設(shè)備拋棄包中由屬性信息指定的測試目標(biāo)包,所述屬性信息包括目的MAC地址���、傳輸源MAC地址����、目的IP地址����、傳輸源IP地址、協(xié)議號����、目的端口號和傳輸源端口號中的至少一個。8.根據(jù)權(quán)利要求6所述的方法���,其特征在于所述判定包括����,當(dāng)判定所述測試目標(biāo)節(jié)點(diǎn)為所述VPN節(jié)點(diǎn)中的所述另一個時判定所述測試目標(biāo)包為用于VPN通信的包。9.根據(jù)權(quán)利要求7所述的方法��,其特征在于所述判定包括��,當(dāng)判定所述測試目標(biāo)節(jié)點(diǎn)為所述VPN節(jié)點(diǎn)中的所述另一個時判定所述測試目標(biāo)包為用于VPN通信的包��。10.根據(jù)權(quán)利要求6所述的方法�����,其特征在于延遲包括獲取每個所述包的所述屬性信息���,在存儲器中存儲所述每個包的所述屬性信息��,以及基于存儲在所述存儲器中的所述每個包的所述屬性信息選擇所述測試目標(biāo)包���。11.根據(jù)權(quán)利要求7所述的方法,其特征在于延遲包括獲取每個所述包的所述屬性信息�����,在存儲器中存儲所述每個包的所述屬性信息,以及基于存儲在所述存儲器中的所述每個包的所述屬性信息選擇所述測試目標(biāo)包�����。12.一種VPN(虛擬專用網(wǎng))通信探測設(shè)備����,用于探測兩個VPN節(jié)點(diǎn)之間的VPN通信�,所述VPN節(jié)點(diǎn)之一位于內(nèi)部網(wǎng)上,所述VPN節(jié)點(diǎn)的另一個位于連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上�����,連接到所述內(nèi)部網(wǎng)的所述VPN通信探測設(shè)備特征在于包括發(fā)送單元(103)��,被配置成向測試目標(biāo)節(jié)點(diǎn)發(fā)送響應(yīng)請求包�����;延遲單元(101)�,被配置成使通過所述VPN通信探測設(shè)備的包中的至少一個延遲多個不同延遲時間中的指定延遲時間,所述包中每一個均從所述內(nèi)部網(wǎng)和所述外部網(wǎng)之一發(fā)送到所述內(nèi)部網(wǎng)和所述外部網(wǎng)的另一個���;接收單元(103)����,被配置成響應(yīng)于所述響應(yīng)請求包接收來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)包;測量單元(103)����,被配置成測量從發(fā)送所述響應(yīng)請求包的第一時間點(diǎn)到接收到所述響應(yīng)包的第二時間點(diǎn)的響應(yīng)時間;以及判決單元(102)����,被配置成基于由所述延遲單元插入的每個延遲時間和插入所述每個延遲時間時測量的所述響應(yīng)時間之間的相關(guān)性判決所述測試目標(biāo)節(jié)點(diǎn)是否是所述VPN節(jié)點(diǎn)中的所述另一個。13.根據(jù)權(quán)利要求12所述的設(shè)備���,其特征在于��,當(dāng)所述響應(yīng)時間隨著由所述延遲單元插入的所述每個延遲時間變化時�����,所述判決單元判定所述測試目標(biāo)節(jié)點(diǎn)為所述VPN節(jié)點(diǎn)中的所述另一個�。14.根據(jù)權(quán)利要求12所述的設(shè)備�,其特征在于所述延遲時間之一為“0”秒。15.根據(jù)權(quán)利要求12所述的設(shè)備���,其特征在于��,當(dāng)不管由所述延遲單元插入的所述每個延遲時間如何變化�����,所述響應(yīng)時間基本保持恒定時�����,所述判決單元判定所述測試目標(biāo)節(jié)點(diǎn)不是所述VPN節(jié)點(diǎn)中的所述另一個�����。16.一種VPN(虛擬專用網(wǎng))通信探測設(shè)備(1)���,用于探測兩個VPN節(jié)點(diǎn)之間的VPN通信,所述VPN節(jié)點(diǎn)之一位于內(nèi)部網(wǎng)上�����,所述VPN節(jié)點(diǎn)的另一個位于連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上����,連接到所述內(nèi)部網(wǎng)的所述VPN通信探測設(shè)備特征在于包括切換單元(102),被配置成切換到包拋棄模式和正常模式之一,所述包拋棄模式拋棄從所述內(nèi)部網(wǎng)和所述外部網(wǎng)之一發(fā)送到所述內(nèi)部網(wǎng)和所述外部網(wǎng)的另一個的全部包中的至少一個�����,所述正常模式不拋棄任何包�����;發(fā)送單元(103)�,被配置成在所述包拋棄模式中向測試目標(biāo)節(jié)點(diǎn)發(fā)送第一響應(yīng)請求包且在所述正常模式中向所述測試目標(biāo)節(jié)點(diǎn)發(fā)送第二響應(yīng)請求包;第一探測單元(103)�,被配置成在所述包拋棄模式中探測是否收到來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)于所述第一響應(yīng)請求包的第一響應(yīng)包;第二探測單元(103)�,被配置成在所述正常模式中探測是否收到來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)于所述第二響應(yīng)請求包的第二響應(yīng)包;以及判決單元(102)����,被配置成基于由所述第一探測單元和所述第二探測單元獲得的探測結(jié)果判決所述測試目標(biāo)節(jié)點(diǎn)是否是所述VPN節(jié)點(diǎn)的所述另一個。17.根據(jù)權(quán)利要求16所述的設(shè)備����,其特征在于,當(dāng)所述第一探測單元未探測到所述第一響應(yīng)包的接收且所述第二探測單元探測到所述第二響應(yīng)包的接收時���,所述判決單元判定所述測試目標(biāo)節(jié)點(diǎn)是所述VPN節(jié)點(diǎn)中的所述另一個���。18.根據(jù)權(quán)利要求16所述的設(shè)備�,其特征在于�����,當(dāng)所述第一和第二探測單元探測到所述第一和第二響應(yīng)包的接收時���,所述判決單元判定所述測試目標(biāo)節(jié)點(diǎn)不是所述VPN節(jié)點(diǎn)中的所述另一個�。19.根據(jù)權(quán)利要求12所述的設(shè)備����,其特征在于,所述延遲單元使包中由屬性信息指定的測試目標(biāo)包延遲����,所述屬性信息包括目的MAC地址���、傳輸源MAC地址�、目的IP地址����、傳輸源IP地址����、協(xié)議號�、目的端口號和傳輸源端口號中的至少一個。20.根據(jù)權(quán)利要求16所述的設(shè)備�����,其特征在于��,在所述包拋棄模式中��,拋棄包中由屬性信息指定的測試目標(biāo)包����,所述屬性信息包括目的MAC地址、傳輸源MAC地址����、目的IP地址、傳輸源IP地址��、協(xié)議號��、目的端口號和傳輸源端口號中的至少一個��。21.根據(jù)權(quán)利要求19所述的設(shè)備,其特征在于����,當(dāng)判定所述測試目標(biāo)節(jié)點(diǎn)為所述VPN節(jié)點(diǎn)中的所述另一個時,所述判決單元判定所述測試目標(biāo)包為用于VPN通信的包�����。22.根據(jù)權(quán)利要求20所述的設(shè)備���,其特征在于�,當(dāng)判定所述測試目標(biāo)節(jié)點(diǎn)為所述VPN節(jié)點(diǎn)中的所述另一個時�,所述判決單元判定所述測試目標(biāo)包為用于VPN通信的包。23.根據(jù)權(quán)利要求19所述的設(shè)備���,其特征在于所述延遲單元包括獲取單元��,被配置成獲取每個所述包的所述屬性信息�����,存儲器,存儲所述每個包的所述屬性信息���,以及選擇單元�����,被配置成基于存儲在所述存儲器中的所述每個包的所述屬性信息選擇所述測試目標(biāo)包��。24.根據(jù)權(quán)利要求20所述的設(shè)備���,其特征在于還包括包拋棄單元(101)����,其被配置成在所述包拋棄模式中�,(a)獲取每個所述包的所述屬性信息,(b)在存儲器中存儲所述每個包的所述屬性信息��,(c)基于存儲在所述存儲器中的每個所述包的所述屬性信息選擇所述測試目標(biāo)包�����,以及(d)拋棄所述測試目標(biāo)包�。25.一種VPN(虛擬專用網(wǎng))通信探測設(shè)備(2),用于探測兩個VPN節(jié)點(diǎn)之間的VPN通信����,所述VPN節(jié)點(diǎn)之一位于內(nèi)部網(wǎng)上�,所述VPN節(jié)點(diǎn)的另一個位于通過中繼設(shè)備連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上��,連接到所述內(nèi)部網(wǎng)的所述VPN通信探測設(shè)備特征在于包括發(fā)送單元(103)��,被配置成向測試目標(biāo)節(jié)點(diǎn)發(fā)送響應(yīng)請求包�;接收單元(103),被配置成接收來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)于所述響應(yīng)請求包的響應(yīng)包�����;測量單元(103)��,被配置成測量從發(fā)送所述響應(yīng)請求包的第一時間點(diǎn)到接收到所述響應(yīng)包的第二時間點(diǎn)的響應(yīng)時間���;以及判決單元(102)�,被配置成基于所述響應(yīng)時間和當(dāng)測試目標(biāo)包通過所述中繼設(shè)備時由所述中繼設(shè)備插入的延遲時間之間的相關(guān)性���,判決所述測試目標(biāo)節(jié)點(diǎn)是否是所述VPN節(jié)點(diǎn)中的所述另一個��,如果所述測試目標(biāo)節(jié)點(diǎn)是所述VPN節(jié)點(diǎn)中的所述另一個��,所述測試目標(biāo)包包括所述響應(yīng)請求包或所述響應(yīng)包��。26.一種VPN(虛擬專用網(wǎng))通信探測設(shè)備(2)��,用于探測兩個VPN節(jié)點(diǎn)之間的VPN通信�����,所述VPN節(jié)點(diǎn)之一位于內(nèi)部網(wǎng)上����,所述VPN節(jié)點(diǎn)的另一個位于通過中繼設(shè)備連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上����,連接到所述內(nèi)部網(wǎng)的所述VPN通信探測設(shè)備特征在于包括切換單元(102),被配置成將所述中繼設(shè)備切換到包拋棄模式和正常模式之一���,所述包拋棄模式拋棄從所述內(nèi)部網(wǎng)和所述外部網(wǎng)之一發(fā)送到所述內(nèi)部網(wǎng)和所述外部網(wǎng)的另一個的全部包中的至少一個��,所述正常模式不拋棄任何包�;發(fā)送單元(103)�����,被配置成當(dāng)所述中繼設(shè)備處于所述包拋棄模式中時向測試目標(biāo)節(jié)點(diǎn)發(fā)送第一響應(yīng)請求包且在所述中繼設(shè)備處于所述正常模式中時向所述測試目標(biāo)節(jié)點(diǎn)發(fā)送第二響應(yīng)請求包��;第一探測單元(103),被配置成探測是否收到來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)于所述第一響應(yīng)請求包的第一響應(yīng)包�;第二探測單元(103),被配置成探測是否收到來自所述測試目標(biāo)節(jié)點(diǎn)的響應(yīng)于所述第二響應(yīng)請求包的第二響應(yīng)包�;以及判決單元(102),被配置成基于由所述第一和第二探測單元獲得的探測結(jié)果判決所述測試目標(biāo)節(jié)點(diǎn)是否是所述VPN節(jié)點(diǎn)的所述另一個����。全文摘要一種VPN(虛擬專用網(wǎng))通信探測設(shè)備(2),連接到內(nèi)部網(wǎng)����,用于探測通過中繼設(shè)備(RA)連接到所述內(nèi)部網(wǎng)的外部網(wǎng)上的VPN節(jié)點(diǎn),該探測設(shè)備向測試目標(biāo)節(jié)點(diǎn)發(fā)送(103)響應(yīng)請求包���,接收(103)來自于所述測試目標(biāo)節(jié)點(diǎn)響應(yīng)于所述響應(yīng)請求包的響應(yīng)包��,測量(103)從發(fā)送響應(yīng)請求包的第一時間點(diǎn)到接收到響應(yīng)包的第二時間點(diǎn)的響應(yīng)時間���,并基于所述響應(yīng)時間與在所述測試目標(biāo)包通過所述中繼設(shè)備時由所述中繼設(shè)備插入的延遲時間之間的相關(guān)性判決(102)所述測試目標(biāo)節(jié)點(diǎn)是否是VPN節(jié)點(diǎn),如果所述測試目標(biāo)節(jié)點(diǎn)是所述VPN節(jié)點(diǎn)的所述另一個�,所述測試目標(biāo)包包括所述響應(yīng)請求包或響應(yīng)包。文檔編號H04L29/06GK101039246SQ20071008628公開日2007年9月19日申請日期2007年3月13日優(yōu)先權(quán)日2006年3月13日發(fā)明者米良惠介,江坂直紀(jì),松澤茂雄申請人:株式會社東芝