JP7470320B2 - Network Management Device - Google Patents

Network Management Device Download PDF

Info

Publication number
JP7470320B2
JP7470320B2 JP2020001712A JP2020001712A JP7470320B2 JP 7470320 B2 JP7470320 B2 JP 7470320B2 JP 2020001712 A JP2020001712 A JP 2020001712A JP 2020001712 A JP2020001712 A JP 2020001712A JP 7470320 B2 JP7470320 B2 JP 7470320B2
Authority
JP
Japan
Prior art keywords
network
virtual
packet
port
virtual network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020001712A
Other languages
Japanese (ja)
Other versions
JP2021111857A (en
Inventor
一郎 越島
芳宏 橋本
友規 尾川
稜 西田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya Institute of Technology NUC
Original Assignee
Nagoya Institute of Technology NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya Institute of Technology NUC filed Critical Nagoya Institute of Technology NUC
Priority to JP2020001712A priority Critical patent/JP7470320B2/en
Publication of JP2021111857A publication Critical patent/JP2021111857A/en
Application granted granted Critical
Publication of JP7470320B2 publication Critical patent/JP7470320B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、産業用制御システムに用いられるネットワーク管理装置に関するものである。 The present invention relates to a network management device used in an industrial control system.

従来、産業用制御システムにおいて、ネットワークの接続形態を動的に変更する技術が記載されている(例えば、特許文献1参照)。 Technology for dynamically changing the network connection topology in industrial control systems has been described (see, for example, Patent Document 1).

特開2016-158194号公報JP 2016-158194 A

上記のような技術を用いる場合、ネットワークの接続形態を変更するためには、複数のハードウェアを用いた複雑な経路設定を行ったり、ネットワークケーブルを付け替えたりする必要がある。本開示は、産業用制御システムにおいて、ネットワークの接続形態を従来よりも簡易に変更できる技術を提供することを目的とする。 When using the above-mentioned technology, changing the network connection topology requires complex routing using multiple pieces of hardware or changing network cables. The purpose of this disclosure is to provide a technology that makes it easier than ever to change the network connection topology in an industrial control system.

本開示の第1の観点によれば、産業用制御システムに用いられるネットワーク管理装置は、複数の通信装置(30~34、8)と通信するためのネットワークインターフェース(51)と、前記複数の通信装置の間の通信を媒介する仮想ネットワーク(90)の構成を記述する構成データ(52a)をメモリ(52)から読み出し、読み出した前記構成データに記述された前記仮想ネットワークの構成に従った配送形態で、前記複数の通信装置の間で送信および受信されるパケットを配送するネットワーク構築部(53a)と、
所定のイベントの発生に基づいて、前記構成データを書き換えることで、前記仮想ネットワークにおけるパケットの配送形態を変更するネットワーク変更部(53b)と、を備える。 According to a first aspect of the present disclosure, a network management device used in an industrial control system includes a network interface (51) for communicating with a plurality of communication devices (30-34, 8), a network construction unit (53a) that reads configuration data (52a) describing a configuration of a virtual network (90) that mediates communication between the plurality of communication devices from a memory (52), and distributes packets transmitted and received between the plurality of communication devices in a distribution form according to the configuration of the virtual network described in the read configuration data,
and a network change unit (53b) for changing the packet delivery mode in the virtual network by rewriting the configuration data based on the occurrence of a specified event.

このようにすることで、ネットワーク管理装置が、所定のイベントの発生に応じて、構成データを書き換えることで、複数の通信装置間の通信経路を一元的に柔軟に変更することができる。すなわち、ネットワークの接続形態を簡易に変更できる。 In this way, the network management device can flexibly change the communication paths between multiple communication devices in a centralized manner by rewriting the configuration data in response to the occurrence of a specific event. In other words, the network connection topology can be easily changed.

また、第2の観点によれば、前記構成データは、前記仮想ネットワークにおいてパケットの中継を行う仮想的な中継装置(91、92、93)におけるパケットの転送先を規定する仮想中継テーブルを含み、前記ネットワーク変更部は、前記仮想的な中継装置の作動を継続させながら前記仮想中継テーブルを書き換えることで、前記仮想ネットワークにおけるパケットの配送形態を変更する。 Also, according to a second aspect, the configuration data includes a virtual relay table that specifies the forwarding destination of packets in virtual relay devices (91, 92, 93) that relay packets in the virtual network, and the network change unit changes the packet delivery mode in the virtual network by rewriting the virtual relay table while continuing the operation of the virtual relay devices.

このように、仮想的な中継装置の作動を継続させながら仮想中継テーブルを書き換えることで、仮想的な中継装置を起動し直す場合に比べ、より迅速に仮想ネットワークにおけるパケットの配送形態を変更することができる。 In this way, by rewriting the virtual relay table while the virtual relay device continues to operate, the packet delivery mode in the virtual network can be changed more quickly than if the virtual relay device were to be restarted.

また、第3の観点によれば、前記仮想的な中継装置は、複数のポートを有し、前記複数のポートの各々にIDが設定可能であり、同じIDを有するポート間でパケットを配送し、異なるIDを有するポート間でパケットを配送しない仮想的なスイッチであり、前記ネットワーク変更部は、前記仮想中継テーブルにおいて前記複数のポートの少なくとも一部のIDを変更することで、前記仮想ネットワークにおけるパケットの配送形態を変更する。 Also, according to a third aspect, the virtual relay device has a plurality of ports, an ID can be set for each of the plurality of ports, and is a virtual switch that delivers packets between ports having the same ID and does not deliver packets between ports having different IDs, and the network change unit changes the packet delivery mode in the virtual network by changing the IDs of at least a portion of the plurality of ports in the virtual relay table.

このように、仮想的に構成されたスイッチのポートのIDを変更するという簡易な処理で、仮想ネットワークにおけるパケットの配送形態を変更することができる。 In this way, the packet delivery mode in a virtual network can be changed by the simple process of changing the port ID of a virtually configured switch.

また、第4の観点によれば、前記複数の通信装置は、現実の中継装置(55)に設けられた複数のアクセスポート(6)に接続され、前記ネットワークインターフェースは、前記現実の中継装置に設けられたトランクポート(5)に接続され、前記複数のアクセスポートには異なるIDが割り当てられており、前記構成データには、ポート対応テーブルが含まれており、前記ポート対応テーブルには、前記現実の中継装置の前記複数のアクセスポートに割り当てられたIDと、前記アクセスポートの前記仮想ネットワークにおける接続先との対応関係が記述されており、前記現実の中継装置は、前記複数のアクセスポートのうちいずれか1つのアクセスポートでパケットを受信した場合、当該パケットに、当該1つのアクセスポートに割り当てられたIDを追加し、前記トランクポートを介して前記ネットワークインターフェースに送信し、前記ネットワーク構築部は、前記ネットワークインターフェースから受信したパケット中のタグフレームに含まれるIDに対応する前記仮想ネットワーク中の接続先を、前記ポート対応テーブルに基づいて特定し、前記仮想ネットワークにおいて、当該接続先に当該パケットを送信し、前記ネットワーク構築部は、前記仮想ネットワークの或る接続先から前記仮想ネットワークの外部に送信されるパケットがある場合、前記接続先に対応するIDを前記ポート対応テーブルに基づいて特定し、特定したIDを含むタグフレームを当該パケットに含めて、前記ネットワークインターフェースから前記トランクポートに送信し、前記現実の中継装置は、前記トランクポートで受信したパケットにタグフレームが含まれている場合、当該タグフレーム中のIDが割り当てられたアクセスポートから、当該パケットを送信する。 According to a fourth aspect, the plurality of communication devices are connected to a plurality of access ports (6) provided in a real relay device (55), the network interface is connected to a trunk port (5) provided in the real relay device, different IDs are assigned to the plurality of access ports, the configuration data includes a port correspondence table, and the port correspondence table describes a correspondence between IDs assigned to the plurality of access ports of the real relay device and destinations of the access ports in the virtual network, and when the real relay device receives a packet at any one of the plurality of access ports, the real relay device adds the ID assigned to the one access port to the packet and transmits the packet to the network interface via the trunk port. the network construction unit identifies a destination in the virtual network that corresponds to an ID included in a tag frame in a packet received from the network interface based on the port correspondence table, and transmits the packet to the destination in the virtual network; when there is a packet to be transmitted from a destination in the virtual network to an outside of the virtual network, the network construction unit identifies an ID corresponding to the destination based on the port correspondence table, includes a tag frame including the identified ID in the packet, and transmits the packet from the network interface to the trunk port; when the packet received at the trunk port includes a tag frame, the real relay device transmits the packet from an access port to which the ID in the tag frame is assigned.

このように、ネットワーク管理装置における1つのネットワークインターフェースに、現実の中継装置を介して、複数の通信装置を接続させることで、ネットワーク管理装置側で設けるネットワークインターフェースの数を減らすことができる。また、ネットワーク管理装置50における1つのネットワークインターフェースに、複数の通信装置からパケットが届いても、現実の中継装置によってそれらパケットに含められたIDとポート対応テーブルに基づいて、仮想ネットワーク90内における適切な配送が実現する。 In this way, by connecting multiple communication devices to one network interface in the network management device via a real relay device, the number of network interfaces provided on the network management device side can be reduced. Also, even if packets arrive from multiple communication devices to one network interface in the network management device 50, appropriate delivery is achieved within the virtual network 90 based on the IDs and port correspondence table included in those packets by the real relay device.

また、ネットワーク管理装置50における1つのネットワークインターフェースに、複数の通信装置からパケットが届いても、現実の中継装置によってそれらパケットに含められたIDとポート対応テーブルに基づいて、仮想ネットワーク90内における適切な配送が実現する。 In addition, even if packets arrive from multiple communication devices to one network interface in the network management device 50, appropriate delivery is achieved within the virtual network 90 based on the IDs and port correspondence tables included in those packets by the actual relay device.

また、仮想ネットワークの或る接続先から仮想ネットワークの外部に送信されるパケットがある場合でも、当該接続先とポート対応テーブルに基づいて当該パケットにIDが付与されることで、仮想ネットワーク内から仮想ネットワーク外への適切な配送が実現する。 In addition, even if a packet is sent from a destination in a virtual network to an outside of the virtual network, an ID is assigned to the packet based on the destination and port correspondence table, ensuring proper delivery from within the virtual network to outside the virtual network.

また、第5の観点によれば、前記ネットワーク変更部は、前記仮想ネットワークの外部において、前記仮想ネットワーク中を配送されるパケットの内容に基づいて、前記所定のイベントが発生したか否かを判定する。このようにすることで、ネットワーク変更部を仮想ネットワーク内において仮想ネットワークを介してネットワーク変更部に対してパケットを送信するという複雑な構成を採用する必要がない。 Furthermore, according to a fifth aspect, the network change unit determines whether or not the specified event has occurred outside the virtual network based on the contents of a packet delivered through the virtual network. In this way, it is not necessary to adopt a complex configuration in which the network change unit is within the virtual network and transmits a packet to the network change unit via the virtual network.

また、第6の観点によれば、前記ネットワーク変更部は、前記所定のイベントの発生に基づいて、前記仮想ネットワーク内において第1のサブネット(VL2)に属する通信端末のうち一部(7d、7e)を前記第1のサブネットから第2のサブネット(VL3)に移動させ、前記第2のサブネットと前記仮想ネットワーク中の他のサブネット(VL1)との間のパケットの配送を中継する中継装置(9b)を生成する。このようにすることで、一部の通信端末を第1のサブネットから第2のサブネットに移動させて移動先の第2のサブネットと他のサブネットとの間を中継する中継装置を生成するという、ダイナミックな配送経路の切り替えが可能となる。 According to a sixth aspect, the network change unit, based on the occurrence of the predetermined event, moves some (7d, 7e) of the communication terminals belonging to a first subnetwork (VL2) in the virtual network from the first subnetwork to a second subnetwork (VL3), and generates a relay device (9b) that relays packet delivery between the second subnetwork and another subnetwork (VL1) in the virtual network. In this way, it becomes possible to dynamically switch delivery routes by moving some communication terminals from the first subnetwork to the second subnetwork and generating a relay device that relays between the second subnetwork to which the communication terminals are moved and the other subnetwork.

なお、各構成要素等に付された括弧付きの参照符号は、その構成要素等と後述する実施形態に記載の具体的な構成要素等との対応関係の一例を示すものである。 The reference symbols in parentheses attached to each component indicate an example of the correspondence between the component and the specific components described in the embodiments described below.

第1実施形態に係る通信ネットワークの構成図である。1 is a configuration diagram of a communication network according to a first embodiment. 仮想ネットワークの構成等を示す図である。FIG. 2 is a diagram showing the configuration of a virtual network. ポート対応テーブルの構成を示す図である。FIG. 13 is a diagram illustrating a configuration of a port correspondence table. パケットを外部から受信するときのネットワーク構築部の処理内容を示すフローチャートである。10 is a flowchart showing the process of the network construction unit when a packet is received from the outside. パケットを外部に送信受信するときのネットワーク構築部の処理内容を示すフローチャートである。10 is a flowchart showing the processing contents of the network construction unit when transmitting and receiving packets to the outside. 仮想スイッチの各ポートのVLAN IDを示す図である。FIG. 2 is a diagram showing VLAN IDs of each port of a virtual switch. ネットワーク変更部53bが実行する処理のフローチャートである。13 is a flowchart of a process executed by a network changing unit 53b. 仮想スイッチの各ポートのVLAN IDを示す図である。FIG. 2 is a diagram showing VLAN IDs of each port of a virtual switch. 他の実施形態に係る仮想ネットワークの一部の変更前の状態を示す図である。FIG. 13 is a diagram illustrating a state before a part of a virtual network according to another embodiment is changed. 他の実施形態に係る仮想ネットワークの一部の変更後の状態を示す図である。FIG. 13 is a diagram illustrating a state after a part of a virtual network according to another embodiment has been changed. 他の実施形態に係る仮想ネットワークの一部の変更後の状態を示す図である。FIG. 13 is a diagram illustrating a state after a part of a virtual network according to another embodiment has been changed.

以下、実施形態について説明する。図1に示すように、本実施形態にかかる通信システムは、ルータ11を介してインターネット等の広域ネットワーク1に接続されている。この通信システムは、例えば、企業等の団体に属して地理的に離れた複数の拠点L1、L2に配置されたローカルエリアネットワーク(以下、LANという)が互いに接続されて構成される。図1の例では、通信システムを構成するLANが配置された拠点の数は2個であるが、3個以上であってもよい。 The embodiment will be described below. As shown in FIG. 1, the communication system according to this embodiment is connected to a wide area network 1 such as the Internet via a router 11. This communication system is configured by connecting local area networks (hereinafter referred to as LANs) located at multiple geographically separated locations L1, L2 belonging to an organization such as a company. In the example of FIG. 1, the number of locations where the LANs that make up the communication system are located is two, but it may be three or more.

拠点L1は、例えば団体の本部機能を有する拠点である。拠点L1には、LAN20、30が配置されている。LAN20は、非武装ゾーンとも呼ばれるネットワークである。拠点L1内にあってLAN20に接続される装置としては、ルータ11、21、端末22、23等がある。ルータ11、21以外でLAN20に接続される端末22、23等は、ルータ11の設定により、広域ネットワークからの接続が許可される。しかし、ルータ21の設定により、LAN30およびその先の拠点L2のネットワーク内の装置への接続は許可されない。端末22、23は、例えば、外部向けのWebサーバであってもよい。 Base L1 is, for example, a base that functions as the headquarters of an organization. LANs 20 and 30 are located at base L1. LAN 20 is a network also known as a demilitarized zone. Devices within base L1 that are connected to LAN 20 include routers 11 and 21 and terminals 22 and 23. Terminals 22 and 23 that are connected to LAN 20 other than routers 11 and 21 are allowed to connect from the wide area network due to the settings of router 11. However, due to the settings of router 21, connections to LAN 30 and devices in the network of base L2 beyond it are not allowed. Terminals 22 and 23 may be, for example, external web servers.

LAN30は、団体内のタスクを効率化したり団体の構成員間で情報のやり取りをしたりするために設置されている、エンタープライズゾーンとも呼ばれるネットワークである。拠点L2内にあってLAN30に接続される装置としては、ルータ21、31、端末32、33、34等がある。 LAN 30 is a network also called an enterprise zone, which is installed to streamline tasks within an organization and to allow members of the organization to exchange information. Devices within base L2 that are connected to LAN 30 include routers 21 and 31, and terminals 32, 33, and 34.

拠点L2は、例えば工場等の生産機能を有する拠点である。拠点L2には、ネットワーク管理装置50、スイッチ55、および複数の通信装置8が配置されている。拠点L2に配置されるこれら機器は、全体として、産業用制御システムを構成する。そして、これら機器を接続するネットワークは、産業用制御ネットワークである。 Base L2 is a base that has production capabilities, such as a factory. A network management device 50, a switch 55, and multiple communication devices 8 are located at base L2. These devices located at base L2 as a whole constitute an industrial control system. The network that connects these devices is an industrial control network.

ネットワーク管理装置50は、上述のエンタープライズゾーンに接続する端末および拠点L2にある通信装置を合わせた複数の通信装置の間の通信を媒介する装置である。ネットワーク管理装置50は、その内部に仮想的にネットワークを構成し、その構成に従った配送形態で、これら複数の通信装置の間で送信および受信されるパケットを配送する。そしてネットワーク管理装置50は、所定のイベントの発生に応じてその仮想的なネットワークの構成を変更する。ネットワーク管理装置50の構成および作動については後述する。 The network management device 50 is a device that mediates communication between multiple communication devices, including terminals connected to the above-mentioned enterprise zone and communication devices at base L2. The network management device 50 configures a virtual network within itself, and distributes packets sent and received between these multiple communication devices in a delivery format that conforms to that configuration. The network management device 50 then changes the configuration of that virtual network in response to the occurrence of a specified event. The configuration and operation of the network management device 50 will be described later.

スイッチ55は、タグVLANに対応する現実の、すなわち、仮想的に生成されたのではない、中継装置であり、例えばレイヤ2スイッチである。スイッチ55には、イーサネットケーブルを介してネットワーク管理装置50に接続する1つのトランクポート5が設けられている。 The switch 55 is a real, i.e., not virtually generated, relay device that corresponds to the tagged VLAN, for example a Layer 2 switch. The switch 55 is provided with one trunk port 5 that connects to the network management device 50 via an Ethernet cable.

また、スイッチ55には、n個のアクセスポート6が設けられている。nは、2以上でもよいし、50以上でもよいし、1000以上でもよい。アクセスポート6のうち1つには、イーサネットケーブル等を介して拠点L1のルータ31が接続される。また、アクセスポート6には、通信装置8が、現実のイーサネットケーブルを介して、接続される。 The switch 55 is provided with n access ports 6. n may be 2 or more, 50 or more, or 1000 or more. One of the access ports 6 is connected to the router 31 of the base L1 via an Ethernet cable or the like. The access port 6 is also connected to a communication device 8 via a real Ethernet cable.

通信装置8の数は、2個以上でも、5個以上でも、10個以上でも、50個以上でも、1000個以上でもよい。通信装置8は、端末装置でもよいし、ゲートウウェイ、スイッチ等の中継装置でもよい。通信装置8は、拠点L2に設置された製造ラインで製品を製造するためのアクチュエータを制御する制御装置を含む。また、通信装置8は、SCADA(Supervisory Control And Data Acquisition)およびOPCサーバ(異なる製造元の各種制御機器間でリアルタイムでデータ通信を行うためのOPC:OLE for Process Controlプロトコルを用いたデータ管理サーバ)を含む。 The number of communication devices 8 may be 2 or more, 5 or more, 10 or more, 50 or more, or 1000 or more. Communication devices 8 may be terminal devices or relay devices such as gateways and switches. Communication devices 8 include a control device that controls actuators for manufacturing products on a manufacturing line installed at base L2. Communication devices 8 also include a SCADA (Supervisory Control And Data Acquisition) and an OPC server (a data management server that uses OPC:OLE for Process Control protocol for real-time data communication between various control devices from different manufacturers).

通信装置8のうち中継装置は、図1に示すように、2つ以上のアクセスポート6に接続されていてもよい。また、図1に示すように、複数の通信装置8が中継装置である1つの通信装置8を介してアクセスポート6に接続されてもよい。 As shown in FIG. 1, a relay device among the communication devices 8 may be connected to two or more access ports 6. Also, as shown in FIG. 1, multiple communication devices 8 may be connected to an access port 6 via one communication device 8 that is a relay device.

アクセスポート6の各々には、VLAN IDが設定可能である。同じVLAN IDを有するアクセスポート間は、スイッチ55内部においてパケットが配送可能である。異なるVLAN IDを有するポート間は、スイッチ55内部においてはパケットが配送できず、ネットワーク管理装置50を介してしかパケットが配送されない。トランクポート5は、どのVLAN IDのパケットも送受信できる。 A VLAN ID can be set for each access port 6. Packets can be distributed within the switch 55 between access ports with the same VLAN ID. Packets cannot be distributed within the switch 55 between ports with different VLAN IDs, and can only be distributed via the network management device 50. The trunk port 5 can send and receive packets of any VLAN ID.

アクセスポート6の各々には、他のアクセスポート6とは異なるVLAN IDが割り当てられている。つまり、アクセスポート6に割り当てられたVLAN IDはすべて異なる。このようにすることで、スイッチ55内においてアクセスポート6から他のアクセスポート6にパケットが転送されることがなくなる。そして、アクセスポート6間の通信は、必ずネットワーク管理装置50で中継される。なお、構成によってはアクセスポート6に同じVLAN IDを付加しても良く、この場合は複数のアクセスポート6がグループとして管理される。 Each access port 6 is assigned a VLAN ID that is different from the other access ports 6. In other words, the VLAN IDs assigned to the access ports 6 are all different. By doing this, packets are not forwarded from one access port 6 to another access port 6 within the switch 55. Communications between access ports 6 are always relayed by the network management device 50. Depending on the configuration, the same VLAN ID may be added to the access ports 6, in which case multiple access ports 6 are managed as a group.

また、トランクポート5からネットワーク管理装置50に送信されるパケットは、IEEE802.1Qで規定されるタグフレーム付きのイーサネットフレームである。タグフレームにはVLAN IDを示すデータが含まれる。 The packet sent from trunk port 5 to network management device 50 is an Ethernet frame with a tag frame defined by IEEE 802.1Q. The tag frame contains data indicating the VLAN ID.

スイッチ55は、通信装置8からまたはルータ31から送信されて或るアクセスポート6でパケットを受信した場合、当該パケットに、当該アクセスポート6に割り当てられたVLAN IDを含むタグフレームを追加し、トランクポート5を介してネットワークインターフェース51に送信する。 When the switch 55 receives a packet at an access port 6 sent from the communication device 8 or the router 31, it adds a tag frame including the VLAN ID assigned to the access port 6 to the packet and transmits it to the network interface 51 via the trunk port 5.

また、スイッチ55は、ネットワーク管理装置50から送信されてトランクポート5で受信したパケットにタグフレームが含まれている場合、当該タグフレーム中のVLAN IDが割り当てられたアクセスポート6から、当該パケットを送信する。このときスイッチ55は、当該パケットからタグフレームを削除してもよい。 In addition, when a packet transmitted from the network management device 50 and received at the trunk port 5 contains a tag frame, the switch 55 transmits the packet from the access port 6 to which the VLAN ID in the tag frame is assigned. At this time, the switch 55 may delete the tag frame from the packet.

ここで、ネットワーク管理装置50の詳細について説明する。ネットワーク管理装置50は、ネットワークインターフェースと、メモリ52と、CPU53と、を有している。 Here, we will explain the details of the network management device 50. The network management device 50 has a network interface, a memory 52, and a CPU 53.

ネットワークインターフェース51は、イーサネットケーブルを介してスイッチ55のトランクポート5に接続される。 The network interface 51 is connected to the trunk port 5 of the switch 55 via an Ethernet cable.

メモリ52は、RAM、ROM、フラッシュメモリ等の各種メモリを含む。RAMは、書き込み可能な揮発性記憶媒体である。ROMは、書き込み不可能な不揮発性記憶媒体である。フラッシュメモリは、書き込み可能な不揮発性記憶媒体である。RAM、ROM、フラッシュメモリは、いずれも非遷移的実体的記憶媒体である。CPU53は、ROMまたはフラッシュメモリに記憶された不図示のプログラムを実行し、その実行の際にRAMを作業領域として用いることで、後述する種々の処理を実現する。 Memory 52 includes various types of memory such as RAM, ROM, and flash memory. RAM is a writable volatile storage medium. ROM is a non-writable non-volatile storage medium. Flash memory is a writable non-volatile storage medium. RAM, ROM, and flash memory are all non-transient tangible storage media. CPU 53 executes a program (not shown) stored in ROM or flash memory, and uses RAM as a working area during execution to realize various processes described below.

本実施形態においては、CPU53は、ROMまたはフラッシュメモリに記憶された不図示のネットワーク構築プログラムを実行することで、図2に示すネットワーク構築部53aとして機能する。またCPU53は、ROMまたはフラッシュメモリに記憶された不図示のネットワーク変更プログラムを実行することで、図3に示すネットワーク変更部53bとして機能する。 In this embodiment, the CPU 53 functions as the network construction unit 53a shown in FIG. 2 by executing a network construction program (not shown) stored in the ROM or flash memory. The CPU 53 also functions as the network modification unit 53b shown in FIG. 3 by executing a network modification program (not shown) stored in the ROM or flash memory.

CPU53は、マルチタスク機能により同時並行的にネットワーク構築部53aおよびネットワーク変更部53bとして機能する。以下、簡単のため、CPU53がネットワーク構築プログラムを実行する処理を、単にネットワーク構築部53aが実行する処理として説明する。そして、CPU53がネットワーク変更プログラムを実行する処理を、単にネットワーク変更部53bが実行する処理として説明する。 The CPU 53 functions as a network construction unit 53a and a network modification unit 53b simultaneously in parallel by using a multitasking function. For simplicity, the process in which the CPU 53 executes the network construction program will be described below simply as the process executed by the network construction unit 53a. And the process in which the CPU 53 executes the network modification program will be described below simply as the process executed by the network modification unit 53b.

まず、ネットワーク構築部53aについて説明する。ネットワーク構築部53aは、図2に示すように、メモリ52にあらかじめ記録された構成データ52aを読み出し、読み出した構成データ52aの内容に従って、仮想ネットワーク90を生成およびエミュレートする。仮想ネットワークは、CPU53およびメモリ52のリソースを用いて仮想化技術によってソフトウェア的に生成された仮想環境である。 First, the network construction unit 53a will be described. As shown in FIG. 2, the network construction unit 53a reads configuration data 52a pre-recorded in the memory 52, and generates and emulates a virtual network 90 according to the contents of the read configuration data 52a. The virtual network is a virtual environment generated by software using virtualization technology with the resources of the CPU 53 and memory 52.

仮想ネットワーク90においては、複数個の仮想的な通信装置が生成される。それら複数個の仮想的な通信装置は、複数個の仮想的な中継装置を含む。これら仮想的な中継装置は、仮想ネットワーク90内において仮想的にパケットを中継する機能を有する。仮想的な中継装置としては、例えば、仮想的なルータ、仮想的なスイッチ、仮想的なリピータ等がある。また、仮想ネットワーク90においては、これら複数の仮想的な通信装置間のパケットの配送経路、および、これら複数の仮想的な通信装置と外部の現実の通信装置8との間の配送経路が、仮想的に生成される。これら複数の仮想的な通信装置の構成および機能、ならびに、上記の仮想的な配送経路を示す情報は、構成データ52aに記述される。 In the virtual network 90, a plurality of virtual communication devices are generated. The plurality of virtual communication devices includes a plurality of virtual relay devices. These virtual relay devices have the function of virtually relaying packets within the virtual network 90. Examples of virtual relay devices include a virtual router, a virtual switch, and a virtual repeater. In the virtual network 90, packet delivery paths between the plurality of virtual communication devices, and delivery paths between the plurality of virtual communication devices and an external real communication device 8 are virtually generated. The configurations and functions of the plurality of virtual communication devices, as well as information indicating the above virtual delivery paths, are described in the configuration data 52a.

ネットワーク構築部53aを実現するためのネットワーク構築プログラムとしては、例えば、Linux(登録商標)に用いられるKVM(Kernel-based Virtual Machine)が利用可能である。また、ソフトウェア定義型ネットワーク(SDN)を構築するKVM以外のアプリケーションも利用可能である。また、仮想的な中継装置およびそれによるパケットの配送形態を実現するためのプログラムとしては、OpenvSwitch、OpenFlow等が利用可能である。 As a network construction program for implementing the network construction unit 53a, for example, KVM (Kernel-based Virtual Machine) used in Linux (registered trademark) can be used. Applications other than KVM that build software-defined networks (SDN) can also be used. As a program for implementing a virtual relay device and the packet delivery form that results from it, OpenvSwitch, OpenFlow, etc. can be used.

本実施形態においては、仮想環境において、中継装置に該当する複数個の仮想スイッチ91、92、93が仮想的に生成される。仮想スイッチ91およびそれに接続する通信装置は、スーパーバイザリゾーンに属する。スーパーバイザリゾーンは、拠点L2の最上位に設置されており、拠点L2内の制御機器すべてのデータを集中させ、状態を一元的に監視するための通信装置が接続されている。また、スーパーバイザリゾーンでは、一段下のコントロールゾーンと通信するため、OPC-DAプロトコルやOPC-UAプロトコルが用いられ、SCADAのヒューマンマシンインターフェース用の端末が接続される。 In this embodiment, multiple virtual switches 91, 92, and 93 corresponding to relay devices are virtually generated in a virtual environment. Virtual switch 91 and the communication device connected to it belong to the supervisory zone. The supervisory zone is installed at the top of site L2, and is connected to a communication device that collects data from all control devices in site L2 and monitors their status in a centralized manner. In addition, the supervisory zone uses the OPC-DA protocol and OPC-UA protocol to communicate with the control zone one level below, and is connected to a terminal for a SCADA human-machine interface.

仮想スイッチ92、93およびそれに接続する通信装置は、コントロールゾーンに属する。コントロールゾーンは、スーパーバイザリゾーンより狭い単位で設置され、PLC、SLC等の制御機器と接続されている。ベンダーや制御機器ごとに通信方式は異なるが、それらを一つの汎用プロトコルに集約するOPCサーバがコントロールゾーンに設置される。コントロールゾーンでは、制御機器間の情報がやり取りされ、生産情報をリアルタイムで把握しコントロールできる。 The virtual switches 92 and 93 and the communication devices connected to them belong to the control zone. The control zone is installed in smaller units than the supervisory zone and is connected to control devices such as PLCs and SLCs. Although the communication methods differ depending on the vendor and control device, an OPC server that consolidates them into one general-purpose protocol is installed in the control zone. In the control zone, information is exchanged between control devices, making it possible to grasp and control production information in real time.

構成データ52aは、生成対象の仮想ネットワーク90の構成を記述するデータである。ネットワーク構築プログラムとしてKVM、OpenvSwitchおよびOpenFlowコントローラが用いられる場合、構成データは、仮想環境内の仮想マシンのイメージデータ、定義ファイル、OpenvSwitchの各種設定ファイル、OpenFlowのフローテーブル等が、構成データを構成する。ネットワーク管理装置50においては、メモリ52のフラッシュメモリに、この構成データが、作成されて記録されている。構成データは、あらかじめ他のコンピュータで作業者の操作に基づいて作成されたものであってもよい。あるいは、CPU53が、KVM、Openvswitch、OpenFlowを実行する時に、ネットワーク管理装置50に対するユーザの設定操作に基づいて、これら構成データを作成してもよい。 The configuration data 52a is data describing the configuration of the virtual network 90 to be generated. When KVM, OpenvSwitch, and OpenFlow controller are used as the network construction programs, the configuration data includes image data of the virtual machines in the virtual environment, definition files, various OpenvSwitch setting files, OpenFlow flow tables, etc. In the network management device 50, this configuration data is created and recorded in the flash memory of the memory 52. The configuration data may have been created in advance on another computer based on the operation of an operator. Alternatively, the configuration data may be created based on the user's setting operation on the network management device 50 when the CPU 53 executes KVM, Openvswitch, and OpenFlow.

本実施形態においては、ネットワーク構築部53aによって構築された仮想ネットワーク90において、上述の仮想スイッチ91、92、93が、上述のルータ31および通信装置8に接続されている。仮想スイッチ91、92、93、ルータ31、通信装置8間の接続形態も、構成データ52aに記述されている。ネットワーク構築部53aは、この構成データ52aの記述内容に従って、パケットを配送する。 In this embodiment, in the virtual network 90 constructed by the network construction unit 53a, the above-mentioned virtual switches 91, 92, and 93 are connected to the above-mentioned router 31 and communication device 8. The connection between the virtual switches 91, 92, and 93, the router 31, and the communication device 8 is also described in the configuration data 52a. The network construction unit 53a delivers packets according to the contents of the description in this configuration data 52a.

構成データ52aには、ポート対応テーブルが含まれる。このポート対応テーブルは、スイッチ55の各アクセスポート6に割り当てられたVLAN IDを、当該アクセスポート6の仮想ネットワーク90における接続先との対応関係を示すものである。本実施形態では、仮想ネットワーク90における接続先は、仮想ネットワーク90内において仮想的に生成される仮想スイッチ91、92、93等の通信機器および当該通信機器の通信ポートに対応する。 The configuration data 52a includes a port correspondence table. This port correspondence table indicates the correspondence between the VLAN ID assigned to each access port 6 of the switch 55 and the connection destination of the access port 6 in the virtual network 90. In this embodiment, the connection destination in the virtual network 90 corresponds to communication devices such as virtual switches 91, 92, and 93 that are virtually generated within the virtual network 90 and the communication ports of the communication devices.

例えば、ポート対応テーブルは、図3に示すように、複数のレコードを含み、各レコードは、アクセスポート6のVLAN IDと、当該VLAN IDに対応する通信機器およびポートと、を含んでいる。なお、図3では、参考のため、各レコードの左側に、当該レコードに対応する現実の通信装置8を示している。図3では、複数個のVLAN IDと、複数組の通信機器およびポートの組との間で、1対1の対応関係が規定される。 For example, as shown in FIG. 3, the port correspondence table includes multiple records, and each record includes the VLAN ID of an access port 6 and the communication device and port corresponding to that VLAN ID. For reference, FIG. 3 shows the actual communication device 8 corresponding to each record on the left side of the record. In FIG. 3, a one-to-one correspondence is defined between multiple VLAN IDs and multiple sets of communication devices and ports.

図3のポート対応テーブルにおいては、ルータ31が現実に接続しているスイッチ55のアクセスポート6に割り当てられたVLAN IDである「1」が、仮想スイッチ91のポート91aに対応付けられている。 In the port correspondence table of FIG. 3, the VLAN ID "1" assigned to the access port 6 of the switch 55 to which the router 31 is actually connected is associated with the port 91a of the virtual switch 91.

また、端末8a、8b、8cが現実に接続しているスイッチ55のアクセスポート6にそれぞれ割り当てられたVLAN IDである「2」、「3」、「4」が、それぞれ、仮想スイッチ91のポート91b、仮想スイッチ92のポート92a、仮想スイッチ93のポート93aに、対応付けられている。 Furthermore, the VLAN IDs "2", "3", and "4" respectively assigned to the access ports 6 of the switch 55 to which the terminals 8a, 8b, and 8c are actually connected are associated with the port 91b of the virtual switch 91, the port 92a of the virtual switch 92, and the port 93a of the virtual switch 93, respectively.

また、仮想スイッチ91と仮想スイッチ92の間を繋ぐルータ8dが現実に接続しているスイッチ55の2つのアクセスポート6に割り当てられたVLAN IDである「5」、「6」が、それぞれ、仮想スイッチ91のポート91c、仮想スイッチ92のポート92bに、対応付けられている。つまり、スイッチ55において「5」のVLAN IDが割り当てられたアクセスポート6は、ルータ8dの仮想スイッチ91側に対応するポートとなる。また、スイッチ55において「6」のVLAN IDが割り当てられたアクセスポート6は、ルータ8dの仮想スイッチ92側に対応するポートとなる。 The VLAN IDs "5" and "6" assigned to the two access ports 6 of the switch 55 to which the router 8d that connects between the virtual switches 91 and 92 is actually connected correspond to the port 91c of the virtual switch 91 and the port 92b of the virtual switch 92, respectively. That is, the access port 6 to which the VLAN ID "5" is assigned in the switch 55 corresponds to the virtual switch 91 side of the router 8d. The access port 6 to which the VLAN ID "6" is assigned in the switch 55 corresponds to the virtual switch 92 side of the router 8d.

また、仮想スイッチ91と仮想スイッチ93の間を繋ぐルータ8eが現実に接続しているスイッチ55の2つのアクセスポート6に割り当てられたVLAN IDである「7」、「8」が、それぞれ、仮想スイッチ91のポート91d、仮想スイッチ93のポート93bに、対応付けられている。つまり、スイッチ55において「7」のVLAN IDが割り当てられたアクセスポート6は、ルータ8eの仮想スイッチ91側に対応するポートとなる。また、スイッチ55において「8」のVLAN IDが割り当てられたアクセスポート6は、ルータ8eの仮想スイッチ93側に対応するポートとなる。 The VLAN IDs "7" and "8" assigned to the two access ports 6 of the switch 55 to which the router 8e that connects between the virtual switches 91 and 93 is actually connected are associated with the port 91d of the virtual switch 91 and the port 93b of the virtual switch 93, respectively. That is, the access port 6 to which the VLAN ID "7" is assigned in the switch 55 is the port that corresponds to the virtual switch 91 side of the router 8e. The access port 6 to which the VLAN ID "8" is assigned in the switch 55 is the port that corresponds to the virtual switch 93 side of the router 8e.

また、通信装置8fが現実に接続しているスイッチ55のアクセスポート6に割り当てられたVLAN IDである「9」が、仮想スイッチ92のポート92cに、対応付けられている。なお、通信装置8は、現実のスイッチ8gを介して、現実の制御機器8h、8i、8jと接続されている。制御機器には、制御対象であるアクチュエータが接続されている。これらアクチュエータは、製造ラインにおいて製品を生産するために使用される装置であり、例えば、ロボットアームである。 The VLAN ID "9" assigned to the access port 6 of the switch 55 to which the communication device 8f is actually connected is associated with the port 92c of the virtual switch 92. The communication device 8 is connected to real control devices 8h, 8i, and 8j via the real switch 8g. The control devices are connected to actuators that are to be controlled. These actuators are devices used to produce products on a manufacturing line, such as a robot arm.

また、後述する通信装置であるハニーポット8kが現実に接続しているスイッチ55のアクセスポート6に割り当てられたVLAN IDである「10」が、仮想スイッチ93のポート93cに、対応付けられている。 Furthermore, the VLAN ID "10" assigned to the access port 6 of the switch 55 to which the honeypot 8k, a communication device described below, is actually connected, is associated with the port 93c of the virtual switch 93.

ネットワーク構築部53aは、このポート対応テーブルに基づいて、仮想ネットワーク90内におけるパケットの配送を行う。具体的には、ネットワーク構築部53aは、図4の処理を常時行っている。ネットワーク構築部53aは、図4の処理において、まずステップS110で、自機外部から、すなわちスイッチ55から、パケットを受信するまで待機する。外部からパケットを受信すると、続いてステップS120に進み、受信したパケットに含まれるタグフレーム中のVLAN IDを読み出す。このタグフレームおよびその中のVLAN IDは、スイッチ55によってパケットに付与されている。 The network construction unit 53a distributes packets within the virtual network 90 based on this port correspondence table. Specifically, the network construction unit 53a constantly performs the process of FIG. 4. In the process of FIG. 4, the network construction unit 53a first waits in step S110 until it receives a packet from outside its own device, i.e., from the switch 55. When it receives a packet from outside, it proceeds to step S120 and reads the VLAN ID in the tag frame contained in the received packet. This tag frame and the VLAN ID therein are assigned to the packet by the switch 55.

続いてネットワーク構築部53aは、ステップS130で、読み出したVLAN IDに対応する仮想スイッチとポートを、ポート対応テーブルに基づいて特定する。例えば、図3の例では、ステップS120で読み出したVLAN IDが1であれば、仮想スイッチ91およびそのポート91aが、ステップS130で特定される。 Then, in step S130, the network construction unit 53a identifies the virtual switch and port corresponding to the read VLAN ID based on the port correspondence table. For example, in the example of FIG. 3, if the VLAN ID read in step S120 is 1, the virtual switch 91 and its port 91a are identified in step S130.

続いてステップS140では、ステップS110で受信したパケットから、タグフレームを除去する。続いてS150では、ステップS140でタグフレームが除去された後のパケットを、ステップS130で特定した当該仮想スイッチの当該ポートに、仮想ネットワーク90内で送信する。これにより、当該仮想スイッチは、当該仮想スイッチについて構成データ52aで規定された作動に従い、パケットの中継を行う。ネットワーク構築部53aは、ステップS150の後、ステップS110に戻る。 Next, in step S140, the tag frame is removed from the packet received in step S110. Next, in S150, the packet from which the tag frame has been removed in step S140 is transmitted within the virtual network 90 to the port of the virtual switch identified in step S130. This causes the virtual switch to relay the packet in accordance with the operation defined in the configuration data 52a for the virtual switch. After step S150, the network construction unit 53a returns to step S110.

以上の通り、ネットワーク構築部53aは、ネットワークインターフェース51から受信したパケット中のタグフレームに含まれるIDに対応する仮想ネットワーク90中の接続先を、ポート対応テーブルに基づいて特定する。そして、ネットワーク構築部53aは、仮想ネットワーク90において、上記のように特定した接続先に当該パケットを送信する。 As described above, the network construction unit 53a identifies a connection destination in the virtual network 90 that corresponds to the ID included in the tag frame in the packet received from the network interface 51, based on the port correspondence table. Then, the network construction unit 53a transmits the packet to the connection destination identified as described above in the virtual network 90.

このようにすることで、ネットワーク構築部53aは、ポート対応テーブルに規定された形態で、ネットワークインターフェース51を介して外部から受信したパケットを、仮想ネットワーク90内で配送することができる。したって、仮想ネットワーク90のネットワーク構成通りに、データが配送される。 By doing this, the network construction unit 53a can distribute packets received from the outside via the network interface 51 within the virtual network 90 in the format specified in the port correspondence table. Therefore, data is distributed according to the network configuration of the virtual network 90.

したがって、ネットワーク管理装置50におけるネットワークインターフェース51に、複数の通信装置8からパケットが届いても、スイッチ55によってそれらパケットに含められたIDとポート対応テーブルに基づいて、仮想ネットワーク90内における適切な配送が実現する。 Therefore, even if packets arrive from multiple communication devices 8 to the network interface 51 in the network management device 50, the switch 55 ensures appropriate delivery within the virtual network 90 based on the IDs and port correspondence table included in those packets.

また、ネットワーク構築部53aは、図5の処理を図4の処理および他の処理と同時並行的に常時行っている。ネットワーク構築部53aは、この図5の処理において、まずステップS210で、仮想ネットワーク90において、仮想スイッチのポートから仮想ネットワーク90の外部に送信されるパケットを取得する。このパケットは、当該仮想スイッチが他のポートから受信されたパケットなので、メモリ52のRAMに記録されている。 The network construction unit 53a constantly performs the process of FIG. 5 in parallel with the process of FIG. 4 and other processes. In the process of FIG. 5, the network construction unit 53a first acquires a packet in the virtual network 90, which is sent from a port of a virtual switch to the outside of the virtual network 90, in step S210. This packet is a packet received by the virtual switch from another port, and is therefore recorded in the RAM of the memory 52.

続いてネットワーク構築部53aは、ステップS220で、特定した仮想スイッチおよびポートに対応するVLAN IDを、ポート対応テーブルに基づいて特定する。続いてステップS230では、ステップS220で特定したVLAN IDを含むタグフレームを、ステップS210で取得したパケットに追加する。 Then, in step S220, the network construction unit 53a identifies the VLAN ID corresponding to the identified virtual switch and port based on the port correspondence table. Then, in step S230, a tag frame including the VLAN ID identified in step S220 is added to the packet obtained in step S210.

続いてステップS240では、ステップS230でタグフレームが追加されたパケットを、ネットワークインターフェース51を用いて、外部の装置すなわちスイッチ55に、送信する。ステップS240の後、ステップS210に戻る。 Next, in step S240, the packet to which the tag frame was added in step S230 is sent to an external device, i.e., the switch 55, using the network interface 51. After step S240, the process returns to step S210.

このようにしてネットワークインターフェース51から送信されたパケットは、スイッチ55のトランクポート5で受信される。スイッチ55は、受信したパケット中のVLAN IDが割り当てられたアクセスポート6を特定し、当該パケットからタグフレームを除去し、除去後のパケットを特定したアクセスポート6から送信する。 The packet transmitted from the network interface 51 in this way is received by the trunk port 5 of the switch 55. The switch 55 identifies the access port 6 to which the VLAN ID in the received packet is assigned, removes the tag frame from the packet, and transmits the packet after removal from the identified access port 6.

以上の通り、ネットワーク構築部53aは、仮想ネットワーク90の或る接続先から仮想ネットワーク90の外部に送信されるパケットがある場合、当該接続先に対応するIDをポート対応テーブルに基づいて特定する。そして、特定したIDを含むタグフレームを当該パケットに含めて、ネットワークインターフェース51からスイッチ55のトランクポート5に送信する。 As described above, when a packet is to be sent from a connection destination of the virtual network 90 to an outside of the virtual network 90, the network construction unit 53a identifies the ID corresponding to the connection destination based on the port correspondence table. Then, the network construction unit 53a includes a tag frame including the identified ID in the packet and transmits the packet from the network interface 51 to the trunk port 5 of the switch 55.

このようにすることで、ネットワーク構築部53aは、ポート対応テーブルに規定された形態で、仮想ネットワーク90内部で仮想スイッチから現実の通信装置8へパケットを送信する。したって、仮想ネットワーク90のネットワーク構成通りに、データが配送される。 By doing this, the network construction unit 53a transmits packets from the virtual switch to the real communication device 8 within the virtual network 90 in the format defined in the port correspondence table. Therefore, data is delivered according to the network configuration of the virtual network 90.

そして、仮想ネットワーク90の或る接続先(例えば、特定の仮想スイッチの特定のポート)から仮想ネットワーク90の外部に送信されるパケットがある場合でも、当該接続先とポート対応テーブルに基づいて当該パケットにIDが付与されることで、仮想ネットワーク90内から仮想ネットワーク90外への適切な配送が実現する。 Even if a packet is sent from a certain destination of virtual network 90 (e.g., a specific port of a specific virtual switch) to an outside of virtual network 90, an ID is assigned to the packet based on the destination and port correspondence table, thereby realizing appropriate delivery from within virtual network 90 to outside virtual network 90.

また、ネットワーク管理装置50における1つのネットワークインターフェース51に、現実の中継装置であるスイッチ55を介して、複数の通信装置8を接続させても、図4、図5の処理により、ネットワーク管理装置50側で設けるネットワークインターフェースの数を減らすことができる。 In addition, even if multiple communication devices 8 are connected to one network interface 51 in the network management device 50 via a switch 55, which is an actual relay device, the number of network interfaces provided on the network management device 50 side can be reduced by the processing shown in Figures 4 and 5.

なお、仮想ネットワーク90においては、仮想スイッチ91がルータ8dを介して仮想スイッチ92に接続され、ルータ8eを介して仮想スイッチ93に接続される。それ以外の仮想スイッチ91、92、93間のパケット配送経路はない。 In virtual network 90, virtual switch 91 is connected to virtual switch 92 via router 8d, and is connected to virtual switch 93 via router 8e. There are no other packet delivery paths between virtual switches 91, 92, and 93.

次に、ネットワーク変更部53bについて説明する。ネットワーク変更部53bは、ネットワーク構築部53aによって構成された仮想ネットワーク90に対して、構成データ52aを変更することで、仮想ネットワーク90の構成を変更する。仮想ネットワーク90の構成の変更は、具体的には、仮想スイッチのポートのVLAN IDを変更することで実現する。 Next, the network change unit 53b will be described. The network change unit 53b changes the configuration of the virtual network 90 configured by the network construction unit 53a by changing the configuration data 52a. Specifically, the change in the configuration of the virtual network 90 is realized by changing the VLAN ID of the port of the virtual switch.

仮想スイッチ91、92、93のポートの各々には、VLAN IDを設定することができる。各ポートのVLAN IDは、構成データ52a中の仮想中継テーブルに記述されている。具体的には、仮想中継テーブルには、仮想スイッチ91、92、93が有する複数のポートの各々について、当該ポートに割り当てられるVLAN IDが、記述されている。 A VLAN ID can be set for each of the ports of virtual switches 91, 92, and 93. The VLAN ID for each port is described in the virtual relay table in configuration data 52a. Specifically, the virtual relay table describes the VLAN ID to be assigned to each of the multiple ports that virtual switches 91, 92, and 93 have.

そして、ネットワーク構築部53aは、この仮想中継テーブルに基づいて、仮想スイッチ91、92、93に届けられたパケットの配送形態を制御する。すなわち、ある仮想スイッチのあるポートがパケットを受信した場合、同じ仮想スイッチにおいて当該ポートと同じVLAN IDが仮想中継テーブルにて割り当てられているポートから、当該パケットを送信させる。そして、同じ仮想スイッチにおいて当該ポートと異なるVLAN IDが仮想中継テーブルにて割り当てられているポートからは、当該パケットを送信させない。したがって、仮想スイッチのポートへのVLAN IDを割り当てることは、仮想スイッチにおけるパケットの転送先を規定することに該当する。 Then, the network construction unit 53a controls the delivery mode of packets delivered to the virtual switches 91, 92, and 93 based on this virtual relay table. That is, when a port of a virtual switch receives a packet, the packet is transmitted from a port in the same virtual switch to which the same VLAN ID as that port is assigned in the virtual relay table. The packet is not transmitted from a port in the same virtual switch to which a different VLAN ID than that of the port is assigned in the virtual relay table. Therefore, assigning a VLAN ID to a port of a virtual switch corresponds to specifying the forwarding destination of a packet in the virtual switch.

なお、ネットワーク変更部53bの作動について説明するため、図2で示した仮想ネットワーク90において、仮想スイッチ91、92、93の各ポートのVLAN IDは、図6に示すようなものになっていたとする。図6において、四角い枠のみ記載されたポートにはVLAN IDとして100が割り当てられ、四角く塗りつぶされたポートにはVLAN IDとして200が割り当てられる。 To explain the operation of the network change unit 53b, it is assumed that the VLAN IDs of the ports of the virtual switches 91, 92, and 93 in the virtual network 90 shown in FIG. 2 are as shown in FIG. 6. In FIG. 6, the ports shown only in a square frame are assigned a VLAN ID of 100, and the ports shown in a filled-in square are assigned a VLAN ID of 200.

したがって、仮想スイッチ92の各ポートにはVLAN IDとして100が割り当てられ、仮想スイッチ93の各ポートにはVLAN IDとして200が割り当てられている。そして、仮想スイッチ91のポートのうち、ルータ8eに接続されるポート91d以外のすべてのポートにはVLAN IDとして100が割り当てられ、ポート91dにはVLAN IDとして200が割り当てられている。 Therefore, each port of virtual switch 92 is assigned a VLAN ID of 100, and each port of virtual switch 93 is assigned a VLAN ID of 200. And, of the ports of virtual switch 91, all ports except port 91d connected to router 8e are assigned a VLAN ID of 100, and port 91d is assigned a VLAN ID of 200.

このような状態では、仮想スイッチ91と仮想スイッチ92とを介したパケットの送受信は可能となるが、仮想スイッチ91と仮想スイッチ93とを介したパケットの送受信ができなくなる。これは、仮想スイッチ91と仮想スイッチ92の各ポートに割り当てられたVLAN IDが同じで、仮想スイッチ93に割り当てられたVLAN IDがそれらと異なっているからである。 In this state, packets can be sent and received via virtual switches 91 and 92, but packets cannot be sent and received via virtual switches 91 and 93. This is because the VLAN IDs assigned to the ports of virtual switches 91 and 92 are the same, but the VLAN ID assigned to virtual switch 93 is different.

また、仮想スイッチ93には、通信装置8fと同じIPアドレスおよび同じMACアドレスが設定されたハニーポット8kが接続されている。ハニーポット8kは、通信装置8fに対して悪意のパケットを送信する攻撃者を欺瞞するための通信装置である。 In addition, a honeypot 8k, which is set to the same IP address and MAC address as the communication device 8f, is connected to the virtual switch 93. The honeypot 8k is a communication device for deceiving an attacker who sends malicious packets to the communication device 8f.

そして、ネットワーク変更部53bは、図7に示す処理を常時実行している。この処理において、ネットワーク変更部53bは、まずステップS310で、所定のイベントが発生したか否かを判定する。所定のイベントは、例えば、仮想スイッチ91fに、所定の通信許可条件を満たさない通信装置8f宛のパケットが届いたというイベントであってもよい。 The network change unit 53b constantly executes the process shown in FIG. 7. In this process, the network change unit 53b first determines whether a predetermined event has occurred in step S310. The predetermined event may be, for example, an event in which a packet addressed to the communication device 8f that does not satisfy a predetermined communication permission condition has arrived at the virtual switch 91f.

所定の通信許可条件は、例えば、メモリ52のフラッシュメモリにあらかじめ不図示のホワイトリストとして記録されていてもよい。例えば、ホワイトリストは、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルのうち1つまたは複数のパラメータから成るレコードが、複数個記録されている。 The predetermined communication permission conditions may be recorded in advance as a whitelist (not shown) in, for example, a flash memory of the memory 52. For example, the whitelist contains a plurality of records each consisting of one or more parameters selected from the source IP address, destination IP address, source port number, destination port number, and protocol.

そして、ネットワーク変更部53bは、仮想スイッチ91fに届いた通信装置8f宛のパケットの特徴が、これら複数のレコードのいずれか1つの記載内容に完全一致した場合、当該パケットが所定の通信許可条件を満たすと判定する。この場合、ネットワーク変更部53bは、所定のイベントが発生しないと判定する。 Then, if the characteristics of a packet that arrives at the virtual switch 91f and is addressed to the communication device 8f exactly match the contents of any one of the multiple records, the network change unit 53b determines that the packet satisfies the specified communication permission condition. In this case, the network change unit 53b determines that the specified event has not occurred.

また、ネットワーク変更部53bは、仮想スイッチ91fに届いた通信装置8f宛のパケットの特徴が、これら複数のレコードのうちどのレコードの記載内容にも完全一致しない場合、当該パケットが所定の通信許可条件を満たさないと判定する。この場合、ネットワーク変更部53bは、所定のイベントが発生したと判定する。通信許可条件を満たさないパケットは、ポートスキャン、マルウェア送信等のための、すなわち、通信装置8fを攻撃するための、パケットである可能性が高い。このパケットは、広域ネットワーク1を介して届いく場合もあれば、拠点L1において悪意の攻撃者に乗っ取られた通信装置から発信される場合もある。 In addition, if the characteristics of a packet addressed to communication device 8f that arrives at virtual switch 91f do not completely match the contents of any of these multiple records, network change unit 53b determines that the packet does not satisfy the specified communication permission conditions. In this case, network change unit 53b determines that a specified event has occurred. A packet that does not satisfy the communication permission conditions is likely to be a packet for port scanning, sending malware, etc., that is, for attacking communication device 8f. This packet may arrive via wide area network 1, or may be sent from a communication device at base L1 that has been taken over by a malicious attacker.

なお、このような方法で所定のイベントが発生したか否かを判定するため、仮想ネットワーク90の外部にあるネットワーク変更部53bが、仮想ネットワーク90内において仮想スイッチ91fに届いたパケットの内容を、読み取る。これは、仮想スイッチ91fとネットワーク変更部53bとの間の仮想ネットワーク90を用いないデータ交換によって実現される。仮想ネットワーク90を用いないデータ交換としては、記憶領域の共有、プロセス間通信がある。 To determine whether a specific event has occurred using this method, the network change unit 53b outside the virtual network 90 reads the contents of the packet that has arrived at the virtual switch 91f within the virtual network 90. This is achieved by data exchange between the virtual switch 91f and the network change unit 53b without using the virtual network 90. Examples of data exchange without using the virtual network 90 include memory area sharing and inter-process communication.

このように、ネットワーク変更部53bは、仮想ネットワーク90の外部において、仮想ネットワーク90中を配送されるパケットの内容に基づいて、所定のイベントが発生したか否かを判定する。このように、仮想ネットワーク90の外部においても仮想ネットワーク90中を配送されるパケットに基づいた判定をネットワーク変更部53bが行えるようにすることで、ネットワーク変更部53bを仮想ネットワーク90内において仮想ネットワーク90を介してネットワーク変更部53bに対してパケットを送信するという複雑な構成を採用する必要がない。 In this way, the network change unit 53b determines whether or not a specified event has occurred outside the virtual network 90, based on the contents of the packet delivered through the virtual network 90. In this way, by allowing the network change unit 53b to make a determination based on a packet delivered through the virtual network 90 even outside the virtual network 90, it is not necessary to employ a complex configuration in which the network change unit 53b transmits a packet to the network change unit 53b via the virtual network 90 within the virtual network 90.

ネットワーク変更部53bは、ステップS31で所定のイベントが発生したと判定した場合、ステップS320に進み、所定のイベントが発生していないと判定した場合、ステップS310の判定を再度行う。 If the network change unit 53b determines in step S31 that a specified event has occurred, it proceeds to step S320, and if it determines that a specified event has not occurred, it repeats the determination in step S310.

ネットワーク変更部53bは、ステップS320では、仮想ネットワーク90のネットワーク構成を変更する。具体的には、構成データ52a中の仮想中継テーブルを書き換えることで、仮想スイッチ91、92、93の各ポートのVLAN IDを図8に示すような形態に変更する。 In step S320, the network change unit 53b changes the network configuration of the virtual network 90. Specifically, the virtual relay table in the configuration data 52a is rewritten to change the VLAN IDs of the ports of the virtual switches 91, 92, and 93 to the form shown in FIG. 8.

すなわち、仮想スイッチ92、93の各ポートのVLAN IDは変更せず、仮想スイッチ91の各ポートのVLAN IDを変更する。具体的には、仮想スイッチ91のポートのうち、ルータ8d、8eに接続されるポート91c、91d以外のすべてのポートのVLAN IDを、100から200に変更し、ポート91c、91dのVLAN IDは変更しない。これにより、仮想スイッチ91のポートのうち、ルータ8dに接続されるポート91c以外のすべてのポートにはVLAN IDとして200が割り当てられ、ポート91cにはVLAN IDとして100が割り当てられる。 That is, the VLAN IDs of the ports of virtual switch 92 and 93 are not changed, and the VLAN IDs of the ports of virtual switch 91 are changed. Specifically, the VLAN IDs of all ports of virtual switch 91 other than ports 91c and 91d connected to routers 8d and 8e are changed from 100 to 200, and the VLAN IDs of ports 91c and 91d are not changed. As a result, the VLAN ID of 200 is assigned to all ports of virtual switch 91 other than port 91c connected to router 8d, and the VLAN ID of port 91c is assigned to 100.

このような状態では、仮想スイッチ91と仮想スイッチ93とを介したパケットの送受信は可能となるが、仮想スイッチ91と仮想スイッチ92とを介したパケットの送受信ができなくなる。これは、仮想スイッチ91と仮想スイッチ93の各ポートに割り当てられたVLAN IDが同じで、仮想スイッチ92に割り当てられたVLAN IDがそれらと異なっているからである。 In this state, packets can be sent and received via virtual switches 91 and 93, but packets cannot be sent and received via virtual switches 91 and 92. This is because the VLAN IDs assigned to the ports of virtual switches 91 and 93 are the same, but the VLAN ID assigned to virtual switch 92 is different.

そして、ハニーポット8kは、通信装置8fと同じIPアドレスおよびMACアドレスを有しているので、仮想スイッチ91に届いた通信装置8f宛のパケットは、仮想スイッチ93を介してハニーポット8kに届けられる。なお、ハニーポット8kは、スイッチ55に接続された現実の通信装置であってもよいし、仮想ネットワーク90内に仮想的に生成されたバーチャルマシンであってもよい。ハニーポット8kは、受信したパケットを自機の記憶媒体に記録し、更に、攻撃者から送られるマルウェアを自機の記憶媒体に記録する。このようになっていることで、通信装置8fに対する攻撃を防ぐことができると共に、ハニーポット8kがネットワークの切り替えに気付かれる事なく攻撃者の情報を取得することができる。 Since honeypot 8k has the same IP address and MAC address as communication device 8f, packets addressed to communication device 8f that arrive at virtual switch 91 are delivered to honeypot 8k via virtual switch 93. Note that honeypot 8k may be a real communication device connected to switch 55, or a virtual machine virtually generated within virtual network 90. Honeypot 8k records the received packets in its own storage medium, and also records malware sent by an attacker in its own storage medium. This makes it possible to prevent attacks on communication device 8f, and allows honeypot 8k to obtain information about the attacker without being aware of the network switch.

ネットワーク変更部53bは、ステップS320の後、ステップS310に戻り、所定のイベントが発生したか否かを判定する。例えば、パケットが所定の通信許可条件を満たさないと判定された後は、通信許可条件を満たさないパケットが最後に送信されてから所定時間(例えば1時間)以上経過することが、所定のイベントであってもよい。 After step S320, the network change unit 53b returns to step S310 and determines whether a predetermined event has occurred. For example, after it is determined that a packet does not satisfy a predetermined communication permission condition, the predetermined event may be the passage of a predetermined time (e.g., one hour) or more since the last transmission of a packet that does not satisfy the communication permission condition.

この場合、通信許可条件を満たさないパケットが最後に送信されてから所定時間以上経過した場合、ネットワーク変更部53bは、ステップS310からステップS320に進み、仮想中継テーブルを書き換えることで、仮想スイッチ91、92、93の各ポートのVLAN IDを図6に示すような形態に戻す。 In this case, if a predetermined time or more has passed since the last packet that does not satisfy the communication permission conditions was sent, the network change unit 53b proceeds from step S310 to step S320 and rewrites the virtual relay table to return the VLAN IDs of each port of the virtual switches 91, 92, and 93 to the form shown in FIG. 6.

すなわち、仮想スイッチ92、93の各ポートのVLAN IDは変更せず、仮想スイッチ91の各ポートのVLAN IDを変更する。具体的には、仮想スイッチ91のポートのうち、ルータ8d、8eに接続されるポート91c、91d以外のすべてのポートのVLAN IDを、200から100に変更し、ポート91c、91dのVLAN IDは変更しない。これにより、仮想スイッチ91のポートのうち、ルータ8eに接続されるポート91d以外のすべてのポートにはVLAN IDとして100が割り当てられ、ポート91dにはVLAN IDとして200が割り当てられている。 That is, the VLAN IDs of the ports of virtual switch 92 and 93 are not changed, and the VLAN IDs of the ports of virtual switch 91 are changed. Specifically, the VLAN IDs of all ports of virtual switch 91 other than ports 91c and 91d connected to routers 8d and 8e are changed from 200 to 100, and the VLAN IDs of ports 91c and 91d are not changed. As a result, the VLAN ID of 100 is assigned to all ports of virtual switch 91 other than port 91d connected to router 8e, and the VLAN ID of port 91d is assigned to 200.

このようにすることで、仮想スイッチ91と仮想スイッチ92とを介したパケットの送受信は可能となるが、仮想スイッチ91と仮想スイッチ93とを介したパケットの送受信ができなくなる。つまり、通信装置8f等の仮想スイッチ92に接続された通信装置が、再び仮想スイッチ91を介して通信可能となる。 By doing this, packets can be sent and received via virtual switches 91 and 92, but packets cannot be sent and received via virtual switches 91 and 93. In other words, communication devices connected to virtual switch 92, such as communication device 8f, can again communicate via virtual switch 91.

以上説明したとおり、ネットワーク変更部53bは、所定のイベントの発生に基づいて、構成データ52aを書き換えることで、仮想ネットワーク90におけるパケットの配送形態を変更する。このように、所定のイベントの発生に応じて、構成データを書き換えることで、複数の通信装置間の通信経路を一元的に柔軟に変更することができる。すなわち、ネットワークの接続形態を簡易に変更できる。 As described above, the network change unit 53b changes the packet delivery mode in the virtual network 90 by rewriting the configuration data 52a based on the occurrence of a specified event. In this way, by rewriting the configuration data in response to the occurrence of a specified event, it is possible to centrally and flexibly change the communication paths between multiple communication devices. In other words, the network connection mode can be easily changed.

もしこのようになっておらず、拠点L2において複数の現実の通信装置8を複数の現実のネットワークケーブルおよび複数の現実の中継装置で接続してネットワークを構成した場合、複数の現時の中継装置の各々で設定を変更したり、複数のネットワークケーブルの接続先を手作業で変更したりしなければならない。すなわち、通信経路を一元的に変更することも、柔軟に変更することも、困難である。 If this were not the case and a network were constructed by connecting multiple real communication devices 8 at site L2 with multiple real network cables and multiple real relay devices, it would be necessary to change the settings on each of the multiple real relay devices and manually change the connection destinations of the multiple network cables. In other words, it would be difficult to change the communication paths centrally or flexibly.

また、ネットワーク変更部53bは、仮想スイッチ91、92、93の作動を継続させながら仮想中継テーブルを書き換えることで、前記仮想ネットワークにおけるパケットの配送形態を変更する。 The network change unit 53b also changes the packet delivery mode in the virtual network by rewriting the virtual relay table while continuing to operate the virtual switches 91, 92, and 93.

このように、中継装置の作動を継続させながら仮想中継テーブルすることで、中継装置を仮想的に起動し直す場合に比べ、より迅速に仮想ネットワークにおけるパケットの配送形態を変更することができる。 In this way, by creating a virtual relay table while the relay device continues to operate, the packet delivery mode in the virtual network can be changed more quickly than if the relay device were to be virtually restarted.

また、ネットワーク変更部53bは、仮想中継テーブルにおいて複数のポートの少なくとも一部のIDを変更することで、仮想ネットワークにおけるパケットの配送形態を変更するこのように、仮想スイッチのポートのIDを変更するという簡易な処理で、仮想ネットワーク90におけるパケットの配送形態を変更することができる。 The network change unit 53b also changes the packet delivery mode in the virtual network by changing the IDs of at least some of the multiple ports in the virtual relay table. In this way, the packet delivery mode in the virtual network 90 can be changed by the simple process of changing the IDs of the ports of the virtual switch.

(他の実施形態)
なお、本開示は上記した実施形態に限定されるものではなく、適宜変更が可能である。また、上記実施形態において、実施形態を構成する要素は、特に必須であると明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではない。また、上記実施形態において、実施形態の構成要素の個数、数値、量、範囲等の数値が言及されている場合、特に必須であると明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではない。特に、ある量について複数個の値が例示されている場合、特に別記した場合および原理的に明らかに不可能な場合を除き、それら複数個の値の間の値を採用することも可能である。また、上記実施形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に特定の形状、位置関係等に限定される場合等を除き、その形状、位置関係等に限定されるものではない。また、本開示は、上記実施形態に対する以下のような変形例および均等範囲の変形例も許容される。なお、以下の変形例は、それぞれ独立に、上記実施形態に適用および不適用を選択できる。すなわち、以下の変形例のうち明らかに矛盾する組み合わせを除く任意の組み合わせを、上記実施形態に適用することができる。 Other Embodiments
It should be noted that the present disclosure is not limited to the above-mentioned embodiment, and can be modified as appropriate. In addition, in the above-mentioned embodiment, the elements constituting the embodiment are not necessarily essential, except when it is specifically stated that they are essential or when it is clearly considered to be essential in principle. In addition, in the above-mentioned embodiment, when the numerical values of the number, numerical value, amount, range, etc. of the components of the embodiment are mentioned, they are not limited to the specific number, except when it is specifically stated that they are essential or when it is clearly limited to a specific number in principle. In particular, when multiple values are exemplified for a certain amount, it is also possible to adopt a value between those multiple values, except when it is specifically stated otherwise or when it is clearly impossible in principle. In addition, in the above-mentioned embodiment, when referring to the shape, positional relationship, etc. of the components, etc., they are not limited to the shape, positional relationship, etc., except when it is specifically stated or when it is limited to a specific shape, positional relationship, etc. in principle. In addition, the present disclosure also allows the following modified examples and modified examples within an equivalent range to the above-mentioned embodiment. It should be noted that the following modified examples can be independently selected to be applied or not applied to the above-mentioned embodiment. That is, any combination of the following modified examples, except for combinations that are obviously contradictory, can be applied to the above-mentioned embodiment.

(変形例1)
上記実施形態では、ネットワーク変更部53bは、仮想スイッチ91、92、93の作動を継続させながら構成データ52a中の仮想中継テーブルを書き換えることで、仮想ネットワーク90におけるパケットの配送形態を変更する。しかし、必ずしもこのようになっておらずともよい。 (Variation 1)
In the above embodiment, the network change unit 53b changes the packet delivery mode in the virtual network 90 by rewriting the virtual relay table in the configuration data 52a while continuing the operation of the virtual switches 91, 92, and 93. However, this does not necessarily have to be the case.

例えば、ネットワーク変更部53bは、所定のイベントの発生に起因して、仮想スイッチ91、92、93と通信装置8との接続の組み合わせを変更してもよい。例えば、上記実施形態において、イベントが発生したことに基づいて、仮想スイッチ92のポート91eに接続する現実の通信装置を、通信装置8fからハニーポット8kに置き換えてもよい。このようにするためには、ネットワーク変更部53bは、構成データ52aのうち、図3に示したポート対応テーブルにおいて、VLAN IDの8と10を入れ替える。 For example, the network change unit 53b may change the combination of connections between the virtual switches 91, 92, and 93 and the communication device 8 due to the occurrence of a specified event. For example, in the above embodiment, based on the occurrence of an event, the actual communication device connected to port 91e of the virtual switch 92 may be replaced from communication device 8f to honeypot 8k. To do this, the network change unit 53b swaps the VLAN IDs 8 and 10 in the port correspondence table shown in FIG. 3 in the configuration data 52a.

あるいは、ネットワーク変更部53bは、所定のイベントの発生に起因して、仮想ネットワーク90内の中継装置群を他の中継装置群に置き換えてもよい。このようにするためには、ネットワーク変更部53bは、構成データ52aを書き換えることで、仮想ネットワーク90内の中継装置群を新たなものに置き換え、更に、ネットワーク構築部53aを再起動させる。これにより、ネットワーク構築部53aは、書き換えられたネットワーク構築部53aに従って、新たな中継装置群を有する仮想ネットワーク90を構成する。この置き換えによって、仮想ネットワーク90内の中継装置の数が増えてもよいし減ってもよい。また、仮想ネットワーク90内の同じ中継装置に接続されていた複数の通信装置が、この置き換えによって、仮想ネットワーク90内の異なる中継装置に接続されるようになってもよい。また逆に、仮想ネットワーク90内の異なる中継装置に接続されていた複数の通信装置が、この置き換えによって、仮想ネットワーク90内の同じ中継装置に接続されるようになってもよい。 Alternatively, the network change unit 53b may replace the relay device group in the virtual network 90 with another relay device group due to the occurrence of a predetermined event. To do this, the network change unit 53b replaces the relay device group in the virtual network 90 with a new one by rewriting the configuration data 52a, and further restarts the network construction unit 53a. As a result, the network construction unit 53a constructs the virtual network 90 having the new relay device group according to the rewritten network construction unit 53a. This replacement may increase or decrease the number of relay devices in the virtual network 90. In addition, multiple communication devices connected to the same relay device in the virtual network 90 may be connected to different relay devices in the virtual network 90 as a result of this replacement. Conversely, multiple communication devices connected to different relay devices in the virtual network 90 may be connected to the same relay device in the virtual network 90 as a result of this replacement.

このような中継装置の置き換えの具体例について、図9、図10、図11を用いて説明する。この例では、ある時点において、仮想ネットワーク90の一部を仮想的なサブネットVL1、VL2が構成する。 A specific example of such a relay device replacement will be described with reference to Figures 9, 10, and 11. In this example, at a certain point in time, virtual subnets VL1 and VL2 constitute part of the virtual network 90.

サブネットVL1には通信端末7aが接続され、サブネットVL2には通信端末7b、7c、7d、7eが接続されている。これら通信端末7a-7eは、SCADAでもよいしOPCサーバでもよいし、あるいは他の機能を有するコンピュータであってもよい。 The communication terminal 7a is connected to the subnetwork VL1, and the communication terminals 7b, 7c, 7d, and 7e are connected to the subnetwork VL2. These communication terminals 7a-7e may be SCADA or OPC servers, or may be computers with other functions.

通信端末7a-7eの各々は、現実の装置であってもよいし、仮想ネットワーク90内における仮想的な装置であってもよい。通信端末7a-7eの各々は、それが現実の装置である場合は、上記実施形態のように、スイッチ55のアクセスポート6に接続され、ポート対応テーブルによってサブネットVL1またはサブネットVL2に接続されることが規定される。通信端末7a-7eの各々は、それが仮想的に構成された装置である場合は、上記実施形態のように、ネットワーク構築部53aによって構成データ52aに基づき仮想化技術によってソフトウェア的に生成およびエミュレートされる。例えば、図9に示すように、通信端末7a、7b、7eが現実の装置で、通信端末7c、7dが仮想的に構成された装置であってもよい。 Each of the communication terminals 7a-7e may be a real device, or may be a virtual device within the virtual network 90. If each of the communication terminals 7a-7e is a real device, it is connected to the access port 6 of the switch 55 as in the above embodiment, and is specified to be connected to the subnetwork VL1 or the subnetwork VL2 by the port correspondence table. If each of the communication terminals 7a-7e is a virtually configured device, it is generated and emulated in software by the network construction unit 53a using virtualization technology based on the configuration data 52a as in the above embodiment. For example, as shown in FIG. 9, the communication terminals 7a, 7b, and 7e may be real devices, and the communication terminals 7c and 7d may be virtually configured devices.

また、サブネットVL1、VL2には、仮想的な中継装置9aが接続されている。中継装置9aは、サブネットVL1からサブネットVL2へ流れるパケットおよびその逆に流れるパケットを中継するルータまたはゲートウェイとして、仮想的に構成されている。すなわち、中継装置9aは、上記実施形態のように、ネットワーク構築部53aによって構成データ52aに基づき仮想化技術によってソフトウェア的に生成およびエミュレートされる。 A virtual relay device 9a is connected to the subnets VL1 and VL2. The relay device 9a is virtually configured as a router or gateway that relays packets flowing from the subnet VL1 to the subnet VL2 and packets flowing in the opposite direction. That is, the relay device 9a is generated and emulated in software by the network construction unit 53a using virtualization technology based on the configuration data 52a, as in the above embodiment.

サブネットVL1のネットワークアドレスは、192.168.1.0であり、サブネットマスクは255.255.255.0である。サブネットVL2のネットワークアドレスは、192.168.2.0であり、サブネットマスクは255.255.255.0である。また、中継装置9aのサブネットVL1側のネットワークインターフェースのIPアドレスは192.168.1.1であり、サブネットVL2側のネットワークインターフェースのIPアドレスは192.168.2.1である。 The network address of subnet VL1 is 192.168.1.0, and the subnet mask is 255.255.255.0. The network address of subnet VL2 is 192.168.2.0, and the subnet mask is 255.255.255.0. The IP address of the network interface on the subnet VL1 side of relay device 9a is 192.168.1.1, and the IP address of the network interface on the subnet VL2 side is 192.168.2.1.

通信端末7a-7eのIPアドレスは、図9に示す通りである。具体的には、通信端末7aのIPアドレスは、サブネットVL1に割り当てられたIPアドレスであり、通信端末7b-7eのIPアドレスは、サブネットVL2に割り当てられたIPアドレスである。 The IP addresses of communication terminals 7a-7e are as shown in FIG. 9. Specifically, the IP address of communication terminal 7a is an IP address assigned to subnet VL1, and the IP addresses of communication terminals 7b-7e are IP addresses assigned to subnet VL2.

このような構成において、ネットワーク変更部53bは、図7に示す処理において、ステップS310で、所定のイベントが発生したと判定したとする。所定のイベントが発生したか否かの判定基準は、上記実施形態と同様である。この場合、ネットワーク変更部53bは、続いてステップS320に進み、仮想ネットワーク90のネットワーク構成を変更する。具体的には、図10に示すように、構成データ52aを書き換えることで、サブネットVL1、VL2とは異なる新たな仮想的なサブネットVL3を生成し、通信端末7d、7eの接続先を、サブネットVL2からサブネットVL3に切り替える。 In this configuration, it is assumed that the network change unit 53b determines in step S310 in the process shown in FIG. 7 that a specified event has occurred. The criteria for determining whether or not a specified event has occurred are the same as in the above embodiment. In this case, the network change unit 53b then proceeds to step S320 and changes the network configuration of the virtual network 90. Specifically, as shown in FIG. 10, by rewriting the configuration data 52a, a new virtual subnet VL3 different from the subnets VL1 and VL2 is generated, and the connection destination of the communication terminals 7d and 7e is switched from the subnet VL2 to the subnet VL3.

このとき生成されるサブネットVL3のネットワークアドレスは、192.168.2.0であり、サブネットマスクは255.255.255.0である。そして、通信端末7d、7eのIPアドレスは変更されない。 The network address of the subnet VL3 generated at this time is 192.168.2.0, and the subnet mask is 255.255.255.0. The IP addresses of the communication terminals 7d and 7e are not changed.

また、サブネットVL3とサブネットVL1との間のデータの配送を中継する中継装置も、サブネットVL3とサブネットVL2との間のデータの配送を中継する中継装置も、生成されない。したがって、サブネットVL3は、仮想ネットワーク90内の他のサブネットから完全に切り離された状態となる。すなわち、サブネットVL3内の通信端末7d、7eは、仮想ネットワーク90内の他のサブネットに接続された通信装置と通信できなくなる。つまり、元々サブネットVL2内にあった通信端末7d、7eを、ゾーンとして切り離すことができる。このようになっていることで、仮想ネットワーク90が外部から攻撃された結果イベントが発生した場合に、通信端末7d、7eを攻撃から守ることができる。 In addition, neither a relay device that relays data delivery between subnetwork VL3 and subnetwork VL1 nor a relay device that relays data delivery between subnetwork VL3 and subnetwork VL2 is generated. Therefore, subnetwork VL3 is completely isolated from other subnetworks in virtual network 90. That is, communication terminals 7d and 7e in subnetwork VL3 will be unable to communicate with communication devices connected to other subnetworks in virtual network 90. In other words, communication terminals 7d and 7e that were originally in subnetwork VL2 can be isolated as a zone. In this way, if an event occurs as a result of an external attack on virtual network 90, communication terminals 7d and 7e can be protected from attack.

なお、通信端末7d、7eをゾーンとして切り離す方法として、他の方法を用いてもよい。例えば、サブネットVL2に属する中継装置9aおよび通信端末7b-7eのそれぞれは、仮想的に構成された不図示の仮想スイッチの各ポートに接続されていてもよい。この仮想スイッチは、上記実施形態の仮想スイッチ91-93と同様、ネットワーク構築部53aによって構成データ52aに基づき仮想化技術によってソフトウェア的に生成およびエミュレートされる。またこの仮想スイッチの各ポートには、上記実施形態の仮想スイッチ91-93と同様、仮想中継テーブルによってVLAN IDを設定することができる。 Note that other methods may be used to separate communication terminals 7d and 7e as zones. For example, relay device 9a and communication terminals 7b-7e belonging to subnet VL2 may each be connected to each port of a virtually configured virtual switch (not shown). This virtual switch is generated and emulated in software by network construction unit 53a using virtualization technology based on configuration data 52a, similar to virtual switches 91-93 in the above embodiment. Also, a VLAN ID can be set for each port of this virtual switch using a virtual relay table, similar to virtual switches 91-93 in the above embodiment.

この場合、ネットワーク変更部53bは、ステップS320で、それまで、この仮想スイッチの全ポートに同じVLAN IDが割り当てられていたところに、通信端末7d、7eが接続されたポートのVLAN IDのみ別のVLAN IDに割り当てる。このVLAN IDの切り替えは、仮想中継テーブルの書き換えによって実現される。これにより、通信端末7d、7eをゾーンとして切り離すことができる。このとき、通信端末7dが接続されたポートの変更後のVLAN IDと、通信端末7eが接続されたポートの変更後のVLAN IDとは、同じであってもよいし、異なっていてもよい。 In this case, in step S320, the network change unit 53b assigns a different VLAN ID only to the VLAN ID of the port to which the communication terminals 7d and 7e are connected, whereas the same VLAN ID was previously assigned to all ports of this virtual switch. This VLAN ID switching is achieved by rewriting the virtual relay table. This allows the communication terminals 7d and 7e to be separated as zones. At this time, the changed VLAN ID of the port to which the communication terminal 7d is connected and the changed VLAN ID of the port to which the communication terminal 7e is connected may be the same or different.

あるいは、ネットワーク変更部53bは、ステップS320で、通信端末7d、7eの接続先を元のサブネットVL2から新たなサブネットVL3に置き換えるのみならず、図11に示すように、新たな仮想的な中継装置9bを生成してもよい。この中継装置9bは、上記実施形態のように、ネットワーク構築部53aによって構成データ52aに基づき仮想化技術によってソフトウェア的に生成およびエミュレートされる。中継装置9bを生成する際、必要であれば、上記実施形態と同様に、ネットワーク構築部53aを再起動させる。 Alternatively, in step S320, the network change unit 53b may not only change the connection destination of the communication terminals 7d and 7e from the original subnetwork VL2 to the new subnetwork VL3, but may also generate a new virtual relay device 9b as shown in FIG. 11. This relay device 9b is generated and emulated in software by the network construction unit 53a using virtualization technology based on the configuration data 52a, as in the above embodiment. When generating the relay device 9b, if necessary, the network construction unit 53a is restarted, as in the above embodiment.

中継装置9bは、サブネットVL1からサブネットVL3へ流れるパケットおよびその逆に流れるパケットを中継するルータまたはゲートウェイとして、仮想的に構成されている。中継装置9bのサブネットVL1側のネットワークインターフェースのIPアドレスは、中継装置9aとは異なるよう、192.168.1.2に設定される。中継装置9bのサブネットVL3側のネットワークインターフェースのIPアドレスは、通信端末7d、7eと同じサブネットに属する192.168.2.1である。これにより、通信端末7d、7eのIPアドレスを変更しなくても、中継装置9bと通信端末7d、7eとが同じサブネット内で通信可能となる。 Relay device 9b is virtually configured as a router or gateway that relays packets flowing from subnet VL1 to subnet VL3 and vice versa. The IP address of the network interface on the subnet VL1 side of relay device 9b is set to 192.168.1.2 so that it is different from that of relay device 9a. The IP address of the network interface on the subnet VL3 side of relay device 9b is 192.168.2.1, which belongs to the same subnet as communication terminals 7d and 7e. This allows relay device 9b and communication terminals 7d and 7e to communicate within the same subnet without changing the IP addresses of communication terminals 7d and 7e.

このように、ネットワーク変更部53bは、仮想ネットワーク90内においてサブネットVL2に属する通信端末7d、7eをサブネットVL2からサブネットVL3に移動させる。そしてネットワーク変更部53bは、サブネットVL3と仮想ネットワーク90中の他のサブネットVL1との間のパケットの配送を中継する中継装置9bを生成する。このようにすることで、一部の通信端末をサブネットVL2からサブネットVL3に移動させて移動先のサブネットVL3と他のサブネットVL1との間を中継する中継装置9bを生成するという、ダイナミックな配送経路の切り替えが可能となる。そして、そのような切り替えにより、当該一部の通信端末の安全性の確保と通信経路の確保とが両立する。 In this way, the network change unit 53b moves the communication terminals 7d and 7e belonging to the subnetwork VL2 in the virtual network 90 from the subnetwork VL2 to the subnetwork VL3. The network change unit 53b then generates a relay device 9b that relays the delivery of packets between the subnetwork VL3 and another subnetwork VL1 in the virtual network 90. This makes it possible to dynamically switch the delivery route by moving some communication terminals from the subnetwork VL2 to the subnetwork VL3 and generating a relay device 9b that relays between the destination subnetwork VL3 and the other subnetwork VL1. This switching makes it possible to ensure both the safety of the some communication terminals and the communication route.

また、生成される中継装置9bの設定を中継装置9aとは異なるものとすることで、より攻撃に強い通信環境が実現される。中継装置9aとは異ならせる中継装置9bの設定としては、例えば、オペレーティングシステム(例えば、Linux、BSD/OS)、ディストリビューション(例えば、CentOS、Fedra)、管理者アカウント(例えばroot)のログインパスワード等がある。また、中継装置9a、9bがファイアーウォール機能を有していてもよい。なお、サブネットVL2が第1のサブネットに対応し、サブネットVL3が第2のサブネットに対応する。 In addition, by making the settings of the generated relay device 9b different from those of the relay device 9a, a communication environment that is more resistant to attacks is realized. Examples of settings of the relay device 9b that are made different from those of the relay device 9a include the operating system (e.g., Linux, BSD/OS), distribution (e.g., CentOS, Fedora), and login password of the administrator account (e.g., root). The relay devices 9a and 9b may also have a firewall function. Note that the subnetwork VL2 corresponds to the first subnetwork, and the subnetwork VL3 corresponds to the second subnetwork.

なお、中継装置9aのサブネットVL2側のIPアドレスと、中継装置9bのサブネットVL3側のIPアドレスが同じになるが、これはパケットの配送上の問題にならない。サブネットVL2内の装置から見れば中継装置9bのIPアドレスは192.168.1.2であって中継装置9aのIPアドレス192.168.2.1とは異なるからである。そして、サブネットVL3内の装置から見れば中継装置9aのIPアドレスは192.168.1.1であって中継装置9bのIPアドレス192.168.2.1とは異なるからである。 Note that the IP address of relay device 9a on the subnet VL2 side and the IP address of relay device 9b on the subnet VL3 side will be the same, but this does not cause a problem in terms of packet delivery. This is because, as viewed from devices in subnet VL2, the IP address of relay device 9b is 192.168.1.2, which is different from the IP address of relay device 9a, 192.168.2.1. And, as viewed from devices in subnet VL3, the IP address of relay device 9a is 192.168.1.1, which is different from the IP address of relay device 9b, 192.168.2.1.

また、必要であれば、中継装置9a、9bがIPマスカレード機能を有することで、サブネットVL2、VL3内のIPアドレスをそれぞれの外部から隠してもよい。つまり、サブネットVL2、VL3内のIPアドレスをプライベートIPアドレスとして使用してもよい。また、中継装置9a、9bはNAT(Network Address Translation)機能を有していてもよい。 If necessary, the relay devices 9a and 9b may have an IP masquerading function to hide the IP addresses in the subnets VL2 and VL3 from outside. In other words, the IP addresses in the subnets VL2 and VL3 may be used as private IP addresses. The relay devices 9a and 9b may also have a NAT (Network Address Translation) function.

また、ネットワーク変更部53bは、ステップS320で、発生したイベントの種類に応じて、図10のように仮想ネットワーク90を変更する場合と、図11のように仮想ネットワーク90を変更する場合とを切り替えてもよい。例えば、危険度がより高い攻撃があった場合は図10のように仮想ネットワーク90を変更し、危険度がより低い攻撃があった場合は図10のように仮想ネットワーク90を変更してもよい。つまり、ネットワーク変更部53bは、発生したイベントの内容に応じて、パケットの配送形態の変更内容を切り替えてもよい。 In addition, in step S320, the network change unit 53b may switch between changing the virtual network 90 as shown in FIG. 10 and changing the virtual network 90 as shown in FIG. 11 depending on the type of event that has occurred. For example, if a more dangerous attack has occurred, the virtual network 90 may be changed as shown in FIG. 10, and if a less dangerous attack has occurred, the virtual network 90 may be changed as shown in FIG. 10. In other words, the network change unit 53b may switch the change in the packet delivery mode depending on the content of the event that has occurred.

(変形例2)
上記実施形態では、ネットワーク変更部53bは、イベントの発生に基づいて、仮想スイッチ91、92、93のポートのうち、仮想スイッチ91の一部のポートのみのVLAN IDを変更している。しかし、必ずしもこのようになっておらずともよい。 (Variation 2)
In the above embodiment, the network change unit 53b changes the VLAN IDs of only some of the ports of the virtual switch 91 among the ports of the virtual switches 91, 92, and 93 based on the occurrence of an event. However, this does not necessarily have to be the case.

例えば、ネットワーク変更部53bは、イベントの発生に基づいて、仮想スイッチ91、92、93のポートのうち、仮想スイッチ91の一部のポートに加え、仮想スイッチ92、93の一部のポートのVLAN IDを変更してもよい。 For example, the network change unit 53b may change the VLAN IDs of some of the ports of virtual switches 91, 92, and 93, in addition to some of the ports of virtual switch 91, based on the occurrence of an event.

(変形例3)
上記実施形態では、ネットワーク変更部53bが構成データ52aを書き換える起因である所定のイベントの例として、「所定の通信許可条件を満たさない通信装置8f宛のパケットが届いたというイベント」および、「通信許可条件を満たさないパケットが最後に送信されてから所定時間以上経過するというイベント」が、挙げられている。 (Variation 3)
In the above embodiment, examples of specified events that cause the network change unit 53b to rewrite the configuration data 52a include "an event in which a packet addressed to a communication device 8f that does not satisfy the specified communication permission conditions arrives" and "an event in which a specified amount of time has passed since a packet that does not satisfy the communication permission conditions was last transmitted."

しかし、所定のイベントとしては、このようなものに限られない。例えば、所定のイベントは、仮想ネットワーク90内に特定の種類のパケットが送信されたというイベントであってもよい。あるいは、所定のイベントは、仮想ネットワーク90外の現実の通信装置に故障が発生したちというイベントであってもよい。あるいは、所定のイベントは、あらかじめ指定された時刻になったというイベントであってもよい。 However, the specified event is not limited to these. For example, the specified event may be an event that a particular type of packet is transmitted within the virtual network 90. Alternatively, the specified event may be an event that a failure occurs in a real communication device outside the virtual network 90. Alternatively, the specified event may be an event that a pre-specified time has arrived.

そして、ネットワーク変更部53bは、上記実施形態では、悪意の攻撃者に対して欺瞞を行って攻撃者の情報を取得する目的で、構成データ52aを書き換えているが、構成データ52aを書き換える目的は、このようなものに限られない。単に通信装置の負荷を軽減する目的であってもよいし、製造する製品の変化に対応する目的であってもよい。 In the above embodiment, the network change unit 53b rewrites the configuration data 52a for the purpose of deceiving a malicious attacker and obtaining information about the attacker, but the purpose of rewriting the configuration data 52a is not limited to this. It may be simply for the purpose of reducing the load on the communication device, or for the purpose of responding to changes in the products being manufactured.

(変形例4)
上記実施形態では、複数の通信装置8はスイッチ55を介してネットワーク管理装置50に接続されている。しかし、上記実施形態に対してスイッチ55が廃され、複数の通信装置8の各々がネットワーク管理装置50のポートにイーサネットケーブルを介して直接接続されてもよい。この場合、ネットワーク管理装置50は複数のポートを有する。その場合、ポート対応テーブルには、ネットワーク管理装置50の複数のポートに固有に割り当てられたIDと、当該ポートの仮想ネットワーク90における接続先との対応関係が記述される。 (Variation 4)
In the above embodiment, the multiple communication devices 8 are connected to the network management device 50 via the switch 55. However, the switch 55 may be eliminated from the above embodiment, and each of the multiple communication devices 8 may be directly connected to a port of the network management device 50 via an Ethernet cable. In this case, the network management device 50 has multiple ports. In this case, the port correspondence table describes the correspondence between IDs uniquely assigned to the multiple ports of the network management device 50 and the connection destinations of the ports in the virtual network 90.

(変形例5)
上記実施形態において、タグVLANに対応するレイヤ2スイッチであるスイッチ55は、現実の中継装置の一例として記載されている。しかし、現実の中継装置は、ルータでもよいし、レイヤ3スイッチでもよい。 (Variation 5)
In the above embodiment, the switch 55, which is a Layer 2 switch that supports tagged VLANs, is described as an example of an actual relay device. However, the actual relay device may be a router or a Layer 3 switch.

(変形例6)
上記実施形態において、仮想的な中継装置の例として、仮想スイッチ91、92、93が例示されている。しかし、仮想的な中継装置は、スイッチに限らず、ルータであってもよい。 (Variation 6)
In the above embodiment, examples of virtual relay devices are the virtual switches 91, 92, and 93. However, the virtual relay devices are not limited to switches and may be routers.

(変形例7)
上記実施形態では、ネットワーク管理装置50は、ネットワーク管理装置50は単一のネットワークインターフェース51を有している。しかし、ネットワーク管理装置50は、ネットワークインターフェース51以外のネットワークインターフェースを有していてもよい。 (Variation 7)
In the above embodiment, the network management device 50 has a single network interface 51. However, the network management device 50 may have a network interface other than the network interface 51.

(変形例8)
上記実施形態では、スイッチ55のアクセスポート6に対する仮想ネットワーク90における接続先は、仮想スイッチ91、92、93である。しかし、必ずしもそのようになっておらずともよい。スイッチ55のアクセスポート6に対する仮想ネットワーク90における接続先は、仮想スイッチ以外の仮想的な通信装置であってもよい。 (Variation 8)
In the above embodiment, the connection destination in the virtual network 90 for the access port 6 of the switch 55 is the virtual switches 91, 92, and 93. However, this does not necessarily have to be the case. The connection destination in the virtual network 90 for the access port 6 of the switch 55 may be a virtual communication device other than a virtual switch.

(変形例9)
上記実施形態において、ネットワーク構築部53aは、仮想ネットワーク90におけるファイアーウォール機能を実現してもよい。例えば、ネットワーク構築部53aは、仮想スイッチ91、92、93に届いたパケットが、所定のプロトコル(例えば、OPC-UAに規定されるプロトコル)に従ったパケットである場合に、仮想スイッチ91、92、93による当該パケットの転送を許可してもよい。そして、仮想スイッチ91、92、93に届いたパケットが、当該所定のプロトコルに従わないパケットである場合に、仮想スイッチ91、92、93による当該パケットの転送を禁止してもよい。 (Variation 9)
In the above embodiment, the network construction unit 53a may realize a firewall function in the virtual network 90. For example, when a packet that has arrived at the virtual switches 91, 92, and 93 is a packet that complies with a predetermined protocol (for example, a protocol defined in OPC-UA), the network construction unit 53a may permit the virtual switches 91, 92, and 93 to transfer the packet. When a packet that has arrived at the virtual switches 91, 92, and 93 is a packet that does not complies with the predetermined protocol, the network construction unit 53a may prohibit the virtual switches 91, 92, and 93 from transferring the packet.

1…広域ネットワーク、5…トランクポート、6…アクセスポート、8…通信装置、50…ネットワーク管理装置、51…ネットワークインターフェース、52a…構成データ、53a…ネットワーク構築部、53b…ネットワーク変更部、55…スイッチ、91、92、93…仮想スイッチ、L1、L2…拠点。 1...wide area network, 5...trunk port, 6...access port, 8...communication device, 50...network management device, 51...network interface, 52a...configuration data, 53a...network construction unit, 53b...network modification unit, 55...switch, 91, 92, 93...virtual switch, L1, L2...base.

Claims (6)

産業用制御システムに用いられるネットワーク管理装置であって、
複数の通信装置(30~34、8)と通信するためのネットワークインターフェース(51)と、
前記複数の通信装置の間の通信を媒介する仮想ネットワーク(90)の構成を記述する構成データ(52a)をメモリ(52)から読み出し、読み出した前記構成データに記述された前記仮想ネットワークの構成に従った配送形態で、前記複数の通信装置の間で送信および受信されるパケットを配送するネットワーク構築部(53a)と、
所定のイベントの発生に基づいて、前記構成データを書き換えることで、前記仮想ネットワークにおけるパケットの配送形態を変更するネットワーク変更部(53b)と、を備え
前記構成データは、前記仮想ネットワークにおいてパケットの中継を行う仮想的な中継装置(91、92、93)におけるパケットの転送先を規定する仮想中継テーブルを含み、
前記ネットワーク変更部は、前記仮想的な中継装置の作動を継続させながら前記仮想中継テーブルを書き換えることで、前記仮想ネットワークにおけるパケットの配送形態を変更する、ネットワーク管理装置。 A network management device for use in an industrial control system, comprising:
A network interface (51) for communicating with a plurality of communication devices (30 to 34, 8);
a network construction unit (53a) that reads configuration data (52a) describing a configuration of a virtual network (90) that mediates communications between the plurality of communication devices from a memory (52), and distributes packets to be transmitted and received between the plurality of communication devices in a distribution form according to the configuration of the virtual network described in the read configuration data;
a network change unit (53b) for changing a packet delivery mode in the virtual network by rewriting the configuration data based on the occurrence of a predetermined event ;
The configuration data includes a virtual relay table that specifies a packet forwarding destination in a virtual relay device (91, 92, 93) that relays packets in the virtual network,
The network change unit changes a packet delivery mode in the virtual network by rewriting the virtual relay table while continuing operation of the virtual relay device . 前記仮想的な中継装置は、複数のポートを有し、前記複数のポートの各々にIDが設定可能であり、同じIDを有するポート間でパケットを配送し、異なるIDを有するポート間でパケットを配送しない仮想的なスイッチであり、
前記ネットワーク変更部は、前記仮想中継テーブルにおいて前記複数のポートの少なくとも一部のIDを変更することで、前記仮想ネットワークにおけるパケットの配送形態を変更する請求項に記載のネットワーク管理装置。 the virtual relay device is a virtual switch having a plurality of ports, an ID being configurable for each of the plurality of ports, delivering packets between ports having the same ID and not delivering packets between ports having different IDs,
2. The network management device according to claim 1 , wherein the network change unit changes the IDs of at least a part of the plurality of ports in the virtual relay table, thereby changing a packet delivery mode in the virtual network. 前記複数の通信装置は、現実の中継装置(55)に設けられた複数のアクセスポート(6)に接続され、
前記ネットワークインターフェースは、前記現実の中継装置に設けられたトランクポート(5)に接続され、
前記複数のアクセスポートには異なるIDが割り当てられており、
前記構成データには、ポート対応テーブルが含まれており、
前記ポート対応テーブルには、前記現実の中継装置の前記複数のアクセスポートに割り当てられたIDと、前記アクセスポートの前記仮想ネットワークにおける接続先との対応関係が記述されており、
前記現実の中継装置は、前記複数のアクセスポートのうちいずれか1つのアクセスポートでパケットを受信した場合、当該パケットに、当該1つのアクセスポートに割り当てられたIDを追加し、前記トランクポートを介して前記ネットワークインターフェースに送信し、
前記ネットワーク構築部は、前記ネットワークインターフェースから受信したパケット中のタグフレームに含まれるIDに対応する前記仮想ネットワーク中の接続先を、前記ポート対応テーブルに基づいて特定し、前記仮想ネットワークにおいて、当該接続先に当該パケットを送信し、
前記ネットワーク構築部は、前記仮想ネットワークの或る接続先から前記仮想ネットワークの外部に送信されるパケットがある場合、前記接続先に対応するIDを前記ポート対応テーブルに基づいて特定し、特定したIDを含むタグフレームを当該パケットに含めて、前記ネットワークインターフェースから前記トランクポートに送信し、
前記現実の中継装置は、前記トランクポートで受信したパケットにタグフレームが含まれている場合、当該タグフレーム中のIDが割り当てられたアクセスポートから、当該パケットを送信する、請求項1または2に記載のネットワーク管理装置。 The plurality of communication devices are connected to a plurality of access ports (6) provided in a real relay device (55);
The network interface is connected to a trunk port (5) provided in the actual relay device,
The plurality of access ports are assigned different IDs,
The configuration data includes a port correspondence table;
the port correspondence table describes a correspondence relationship between IDs assigned to the plurality of access ports of the real relay device and connection destinations of the access ports in the virtual network,
when the actual relay device receives a packet at any one of the plurality of access ports, the actual relay device adds an ID assigned to the one access port to the packet and transmits the packet to the network interface via the trunk port;
the network construction unit specifies a connection destination in the virtual network corresponding to an ID included in a tag frame in a packet received from the network interface based on the port correspondence table, and transmits the packet to the connection destination in the virtual network;
the network construction unit, when a packet is to be transmitted from a connection destination of the virtual network to an outside of the virtual network, identifies an ID corresponding to the connection destination based on the port correspondence table, includes a tag frame including the identified ID in the packet, and transmits the packet from the network interface to the trunk port;
3. The network management device according to claim 1, wherein when a packet received at the trunk port contains a tag frame, the actual relay device transmits the packet from an access port to which an ID in the tag frame is assigned. 産業用制御システムに用いられるネットワーク管理装置であって、
複数の通信装置(30~34、8)と通信するためのネットワークインターフェース(51)と、
前記複数の通信装置の間の通信を媒介する仮想ネットワーク(90)の構成を記述する構成データ(52a)をメモリ(52)から読み出し、読み出した前記構成データに記述された前記仮想ネットワークの構成に従った配送形態で、前記複数の通信装置の間で送信および受信されるパケットを配送するネットワーク構築部(53a)と、
所定のイベントの発生に基づいて、前記構成データを書き換えることで、前記仮想ネットワークにおけるパケットの配送形態を変更するネットワーク変更部(53b)と、を備え
前記複数の通信装置は、現実の中継装置(55)に設けられた複数のアクセスポート(6)に接続され、
前記ネットワークインターフェースは、前記現実の中継装置に設けられたトランクポート(5)に接続され、
前記複数のアクセスポートには異なるIDが割り当てられており、
前記構成データには、ポート対応テーブルが含まれており、
前記ポート対応テーブルには、前記現実の中継装置の前記複数のアクセスポートに割り当てられたIDと、前記アクセスポートの前記仮想ネットワークにおける接続先との対応関係が記述されており、
前記現実の中継装置は、前記複数のアクセスポートのうちいずれか1つのアクセスポートでパケットを受信した場合、当該パケットに、当該1つのアクセスポートに割り当てられたIDを追加し、前記トランクポートを介して前記ネットワークインターフェースに送信し、
前記ネットワーク構築部は、前記ネットワークインターフェースから受信したパケット中のタグフレームに含まれるIDに対応する前記仮想ネットワーク中の接続先を、前記ポート対応テーブルに基づいて特定し、前記仮想ネットワークにおいて、当該接続先に当該パケットを送信し、
前記ネットワーク構築部は、前記仮想ネットワークの或る接続先から前記仮想ネットワークの外部に送信されるパケットがある場合、前記接続先に対応するIDを前記ポート対応テーブルに基づいて特定し、特定したIDを含むタグフレームを当該パケットに含めて、前記ネットワークインターフェースから前記トランクポートに送信し、
前記現実の中継装置は、前記トランクポートで受信したパケットにタグフレームが含まれている場合、当該タグフレーム中のIDが割り当てられたアクセスポートから、当該パケットを送信する、ネットワーク管理装置。 A network management device for use in an industrial control system, comprising:
A network interface (51) for communicating with a plurality of communication devices (30 to 34, 8);
a network construction unit (53a) that reads configuration data (52a) describing a configuration of a virtual network (90) that mediates communications between the plurality of communication devices from a memory (52), and distributes packets to be transmitted and received between the plurality of communication devices in a distribution form according to the configuration of the virtual network described in the read configuration data;
a network change unit (53b) for changing a packet delivery mode in the virtual network by rewriting the configuration data based on the occurrence of a predetermined event ;
The plurality of communication devices are connected to a plurality of access ports (6) provided in a real relay device (55);
The network interface is connected to a trunk port (5) provided in the actual relay device,
The plurality of access ports are assigned different IDs,
The configuration data includes a port correspondence table;
the port correspondence table describes a correspondence relationship between IDs assigned to the plurality of access ports of the real relay device and connection destinations of the access ports in the virtual network,
when the actual relay device receives a packet at any one of the plurality of access ports, the actual relay device adds an ID assigned to the one access port to the packet and transmits the packet to the network interface via the trunk port;
the network construction unit specifies a connection destination in the virtual network corresponding to an ID included in a tag frame in a packet received from the network interface based on the port correspondence table, and transmits the packet to the connection destination in the virtual network;
the network construction unit, when a packet is to be transmitted from a connection destination of the virtual network to an outside of the virtual network, identifies an ID corresponding to the connection destination based on the port correspondence table, includes a tag frame including the identified ID in the packet, and transmits the packet from the network interface to the trunk port;
A network management device in which, when a packet received at the trunk port contains a tag frame, the actual relay device transmits the packet from an access port to which an ID in the tag frame is assigned . 産業用制御システムに用いられるネットワーク管理装置であって、
複数の通信装置(30~34、8)と通信するためのネットワークインターフェース(51)と、
前記複数の通信装置の間の通信を媒介する仮想ネットワーク(90)の構成を記述する構成データ(52a)をメモリ(52)から読み出し、読み出した前記構成データに記述された前記仮想ネットワークの構成に従った配送形態で、前記複数の通信装置の間で送信および受信されるパケットを配送するネットワーク構築部(53a)と、
所定のイベントの発生に基づいて、前記構成データを書き換えることで、前記仮想ネットワークにおけるパケットの配送形態を変更するネットワーク変更部(53b)と、を備え
前記ネットワーク変更部は、前記仮想ネットワークの外部において、前記仮想ネットワーク中を配送されるパケットの内容に基づいて、前記所定のイベントが発生したか否かを判定する、ネットワーク管理装置。 A network management device for use in an industrial control system, comprising:
A network interface (51) for communicating with a plurality of communication devices (30 to 34, 8);
a network construction unit (53a) that reads configuration data (52a) describing a configuration of a virtual network (90) that mediates communications between the plurality of communication devices from a memory (52), and distributes packets to be transmitted and received between the plurality of communication devices in a distribution form according to the configuration of the virtual network described in the read configuration data;
a network change unit (53b) for changing a packet delivery mode in the virtual network by rewriting the configuration data based on the occurrence of a predetermined event ;
The network change unit determines whether or not the predetermined event has occurred outside the virtual network based on the contents of a packet delivered through the virtual network. 産業用制御システムに用いられるネットワーク管理装置であって、
複数の通信装置(30~34、8)と通信するためのネットワークインターフェース(51)と、
前記複数の通信装置の間の通信を媒介する仮想ネットワーク(90)の構成を記述する構成データ(52a)をメモリ(52)から読み出し、読み出した前記構成データに記述された前記仮想ネットワークの構成に従った配送形態で、前記複数の通信装置の間で送信および受信されるパケットを配送するネットワーク構築部(53a)と、
所定のイベントの発生に基づいて、前記構成データを書き換えることで、前記仮想ネットワークにおけるパケットの配送形態を変更するネットワーク変更部(53b)と、を備え
前記ネットワーク変更部は、前記所定のイベントの発生に基づいて、前記仮想ネットワーク内において第1のサブネット(VL2)に属する通信端末のうち一部(7d、7e)を前記第1のサブネットから第2のサブネット(VL3)に移動させ、前記第2のサブネットと前記仮想ネットワーク中の他のサブネット(VL1)との間のパケットの配送を中継する中継装置(9b)を生成する、ネットワーク管理装置。
 A network management device for use in an industrial control system, comprising:
A network interface (51) for communicating with a plurality of communication devices (30 to 34, 8);
a network construction unit (53a) that reads configuration data (52a) describing a configuration of a virtual network (90) that mediates communications between the plurality of communication devices from a memory (52), and distributes packets to be transmitted and received between the plurality of communication devices in a distribution form according to the configuration of the virtual network described in the read configuration data;
a network change unit (53b) for changing a packet delivery mode in the virtual network by rewriting the configuration data based on the occurrence of a predetermined event ;
The network change unit is a network management device that moves a portion (7d, 7e) of communication terminals belonging to a first subnet (VL2) in the virtual network from the first subnet to a second subnet (VL3) based on the occurrence of the specified event, and generates a relay device (9b) that relays the delivery of packets between the second subnet and another subnet (VL1) in the virtual network.
JP2020001712A 2020-01-08 2020-01-08 Network Management Device Active JP7470320B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020001712A JP7470320B2 (en) 2020-01-08 2020-01-08 Network Management Device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020001712A JP7470320B2 (en) 2020-01-08 2020-01-08 Network Management Device

Publications (2)

Publication Number Publication Date
JP2021111857A JP2021111857A (en) 2021-08-02
JP7470320B2 true JP7470320B2 (en) 2024-04-18

Family

ID=77060328

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020001712A Active JP7470320B2 (en) 2020-01-08 2020-01-08 Network Management Device

Country Status (1)

Country Link
JP (1) JP7470320B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115065495A (en) * 2022-04-07 2022-09-16 京东科技信息技术有限公司 Honeypot network operation method, device, equipment and storage medium

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003204348A (en) 2001-11-27 2003-07-18 Hitachi Ltd Storage device supporting vlan (virtual lan)
JP2007104668A (en) 2005-09-30 2007-04-19 Rockwell Automation Technologies Inc Extended address space capability for industrial protocol
JP2009519663A (en) 2005-12-13 2009-05-14 インターナショナル・ビジネス・マシーンズ・コーポレーション Virtual network, data network system, computer program, and method of operating computer program
WO2011043416A1 (en) 2009-10-07 2011-04-14 日本電気株式会社 Information system, control server, virtual network management method, and program
JP2014154925A (en) 2013-02-05 2014-08-25 Nomura Research Institute Ltd Network verification system
JP2016085669A (en) 2014-10-28 2016-05-19 ファナック株式会社 Numerical control device for detecting installation place by using ip address
JP2017034309A (en) 2015-07-28 2017-02-09 日本電信電話株式会社 Virtual switch control system and method
JP2018129710A (en) 2017-02-09 2018-08-16 富士通株式会社 Information processing device, information processing method, program, and information processing system
JP2019068352A (en) 2017-10-04 2019-04-25 富士通株式会社 Network construction program, network construction method, and network construction device
JP2019096223A (en) 2017-11-27 2019-06-20 東芝三菱電機産業システム株式会社 Malware countermeasure system for control system and malware check computer for control system

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003204348A (en) 2001-11-27 2003-07-18 Hitachi Ltd Storage device supporting vlan (virtual lan)
JP2007104668A (en) 2005-09-30 2007-04-19 Rockwell Automation Technologies Inc Extended address space capability for industrial protocol
JP2009519663A (en) 2005-12-13 2009-05-14 インターナショナル・ビジネス・マシーンズ・コーポレーション Virtual network, data network system, computer program, and method of operating computer program
WO2011043416A1 (en) 2009-10-07 2011-04-14 日本電気株式会社 Information system, control server, virtual network management method, and program
JP2014154925A (en) 2013-02-05 2014-08-25 Nomura Research Institute Ltd Network verification system
JP2016085669A (en) 2014-10-28 2016-05-19 ファナック株式会社 Numerical control device for detecting installation place by using ip address
JP2017034309A (en) 2015-07-28 2017-02-09 日本電信電話株式会社 Virtual switch control system and method
JP2018129710A (en) 2017-02-09 2018-08-16 富士通株式会社 Information processing device, information processing method, program, and information processing system
JP2019068352A (en) 2017-10-04 2019-04-25 富士通株式会社 Network construction program, network construction method, and network construction device
JP2019096223A (en) 2017-11-27 2019-06-20 東芝三菱電機産業システム株式会社 Malware countermeasure system for control system and malware check computer for control system

Also Published As

Publication number Publication date
JP2021111857A (en) 2021-08-02

Similar Documents

Publication Publication Date Title
US9667524B2 (en) Method to check health of automatically discovered controllers in software defined networks (SDNs)
US9215175B2 (en) Computer system including controller and plurality of switches and communication method in computer system
US10033622B2 (en) Controller-based dynamic routing in a software defined network environment
US8320388B2 (en) Autonomic network node system
US10263808B2 (en) Deployment of virtual extensible local area network
JP3850391B2 (en) Router interface backup execution method using VRRP (Virtual Router Redundancy Protocol)
US9183028B1 (en) Managing virtual computing nodes
JP5757552B2 (en) Computer system, controller, service providing server, and load distribution method
CN106487556B (en) Service function SF deployment method and device
JP4231773B2 (en) VRRP technology that maintains the confidentiality of VR
CN105051688A (en) Extended tag networking
CN106452857A (en) Method for generating configuration information and network control unit
US20180077048A1 (en) Controller, control method and program
JP4751811B2 (en) Network setting method, network system, and relay device
US8526437B2 (en) Communication system and communication control device
CN113114509B (en) Method and equipment for message forwarding simulation in SDN network environment
WO2016159192A1 (en) Control device, control method, and program
CN110971441A (en) Simplified configuration of a multi-level network architecture
US20190215191A1 (en) Deployment Of Virtual Extensible Local Area Network
US20160254951A1 (en) Virtual links for network appliances
JP3996922B2 (en) Centralized management system and method for network connection means in a network where different communication protocols coexist
JP6280223B2 (en) Method for providing control in a communication network
JP7470320B2 (en) Network Management Device
JP6635884B2 (en) Physical and Logical Asymmetric Routing Prevention Mechanism in Relay Unit Redundancy Configuration
US8078758B1 (en) Automatic configuration of source address filters within a network device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230905

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231102

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231114

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231128

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240328

R150 Certificate of patent or registration of utility model

Ref document number: 7470320

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150