JP2004356861A - 論理的及び物理的に遠隔である複数のネットワークに接続された機器のipネットワーク・トポロジに依存しない通信を可能にする通信ネットワーク管理システム及び方法 - Google Patents
論理的及び物理的に遠隔である複数のネットワークに接続された機器のipネットワーク・トポロジに依存しない通信を可能にする通信ネットワーク管理システム及び方法 Download PDFInfo
- Publication number
- JP2004356861A JP2004356861A JP2003150922A JP2003150922A JP2004356861A JP 2004356861 A JP2004356861 A JP 2004356861A JP 2003150922 A JP2003150922 A JP 2003150922A JP 2003150922 A JP2003150922 A JP 2003150922A JP 2004356861 A JP2004356861 A JP 2004356861A
- Authority
- JP
- Japan
- Prior art keywords
- network
- devices
- meta
- communication
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【解決手段】複数の機器(103、104)が接続された通信ネットワークを管理するシステムであって、前記複数の機器が通信動作を行うときにはこれら複数の機器に対して動的にIPアドレスを割り当てるIPアドレス配布機能を有しメタネットワーク(100)を仮想的に実現するメタネットワーク構成手段(101)と、IPブリッジ機能を備え前記複数の機器を前記メタネットワークに接続するメタネットワーク終端手段(102)とで構成される。
【選択図】 図1
Description
【発明の属する技術分野】
本発明は、広くはネットワークに接続された機器の管理システムに関し、さらに詳しくはネットワークに接続された機器の集中的な管理と利用可能なサービスの制御及び記録とを可能にするシステムに関する。
【0002】
【従来の技術及び発明が解決しようとする課題】
TCP/IPプロトコルに基づく現在のインターネットを構成するIPネットワークにおいては、ネットワークに接続された機器に一意的なIPアドレスを付与し、付与されたIPアドレスを識別子として用いることにより、ネットワーク上の複数の機器の間で通信が行われている。その際に、IPアドレスは、一定数のIPアドレスを含むIPネットワークごとにまとめて管理されるのが一般的である。
【0003】
しかし、物理的に距離が離れている場合や、管理上の理由によりIPネットワークを論理的に分割する必要がある場合には、同一の組織内においても、複数のIPネットワークによってその組織全体のネットワークが構成されるように、分割して設計されるのが一般的である。
【0004】
IPネットワークは、一定数のIPアドレスをまとめるものであり、通信サービスの制御を行う単位として一般的に利用されている。しかし、IPネットワークは物理的又は論理的に様々な制約下で設計されるため、同一のIPネットワークの中においても必ずしも同じ形質をもった機器ばかりが存在するわけではない。このため、IPネットワークは、通信サービスの制御を行う単位としては不完全である。具体的な例として、無線LANを運用する場合を考えると、無線通信の到達性が距離によって制限されるという無線LANの特性により、同一なものとして管理することを望む無線LANによるIPネットワークを、いくつかに細分化する必要がある。
【0005】
この問題に対応する技術の1つとして、例えば、ネットワークに接続された端末のグループ化をLANスイッチを用いて実現する仮想LAN(VLAN)がある。VLAN機能を使用すれば、物理的な接続形態に制限されることなく論理的なサブネットを構成できるため、上述の無線LANの例におけるIPネットワークを細分化することなく構成することが可能になる。
【0006】
しかし、上述の問題を解決するための従来技術は、このVLANを含めて物理層で実装され、従って、ネットワーク機器に依存する。ところが、現実のIPネットワークの設計には遠隔地の存在など物理的な制約が存在し、このためネットワーク機器の実装によって提供される物理層では対応できないケースが多々発生している。また、ネットワーク機器に依存する解決方法では、いったんネットワークを構築した後に管理方法が変更されると、ネットワークの物理的な構成まで変更する必要があるなど、管理上の問題点も存在する。
【0007】
【課題を解決するための手段】
以上のような従来技術における問題点に対処するため、本発明では、物理的又は論理的な制約を回避するメタネットワーク・システムを構築し、このメタネットワーク上では複数の拠点から接続された機器が、その管理目的にあったIPアドレスを有することを可能にしている。
【0008】
本発明の1つの実施例によると、複数の機器が接続された通信ネットワークを管理するシステムであって、(1)メタネットワークを仮想的に実現するメタネットワーク構成手段であって、前記複数の機器が通信動作を行うときにはこれら複数の機器に対して動的又は静的に前記メタネットワーク上のIPアドレスを割り当てるIPアドレス配布機能を有しているメタネットワーク構成手段と、(2)IPブリッジ機能を備え、前記複数の機器を前記メタネットワークに接続するメタネットワーク終端手段と、を備えている通信ネットワーク管理システムが提供される。
【0009】
更に、本発明による通信ネットワーク管理システムにおいては、(3)前記メタネットワーク構成手段に接続され、前記複数の機器の機種情報を含むユーザ情報が記憶されているデータベース手段を更に備え、前記メタネットワーク構成手段は、前記データベース手段に記憶されているユーザ情報を参照することにより、前記複数の機器の中の特定のものが前記メタネットワーク構成手段に接続する際に所定のIPアドレスを配布し、もって、前記複数の機器に対して同一の通信環境を提供することができる。
【0010】
更に、本発明による通信ネットワーク管理システムにおいては、(4)前記メタネットワーク構成手段と前記複数の機器との間の通信内容を暗号化する手段を更に備えることができる。
【0011】
更に、本発明による通信ネットワーク管理システムにおいては、前記メタネットワーク構成手段は、前記複数の機器が前記メタネットワーク構成手段に接続する際に、前記複数の機器のそれぞれに配布され前記データベース手段に記憶されているIPアドレスと当該IPアドレスが配布された機器との関連を表すリンクID情報を参照することにより、リアルタイムで前記複数の機器の利用情報を把握する手段を備えることができる。
【0012】
更に、本発明による通信ネットワーク管理システムにおいては、前記データベース手段に記憶されているリンクIDを参照することにより、ユーザによる明示的な認証なしに、前記複数の機器の中の特定の機器によるサービスの利用の有無を判断するサービス・ゲートウェイ手段を更に備えることができる。
【0013】
なお、本発明は、通信ネットワークを管理する方法として実現することも可能である。
【0014】
【発明の実施の形態】
図1には、本発明によるメタネットワーク・システムの概略が示されている。メタネットワーク100を仮想的に実現するメタネットワーク構成装置101がこのシステムの中心に配置され、パーソナル・コンピュータなどの通信機器をメタネットワーク100に接続するネットワークにはメタネットワーク終端装置102が配置されている。ここで、メタネットワーク構成装置101に接続されるIPネットワークとメタネットワーク終端装置102に接続されるIPネットワークとは、同一のIPネットワークでなくても、本発明の機能になんら障害はない。メタネットワーク構成装置101とメタネットワーク終端装置102との間の通信は、その必要があれば適宜暗号化されるため、通常のインターネットを経由した場合でも、通信内容の安全性は確保される。
【0015】
メタネットワーク終端装置102が接続されたIPネットワークの通信は、メタネットワーク終端装置102が有するIPブリッジ機能によって、適宜、メタネットワーク構成装置101の中に仮想的に実現されるメタネットワーク100に転送される。これにより、ネットワーク設計上の物理的又は論理的な制約のために通常であれば別のIPネットワークに接続されることになる機器は、同一のIPネットワークに接続されたのと同等の効果が得られる。従って、論理的及び物理的に遠隔である複数のネットワークに接続された機器のIPネットワーク・トポロジに依存しない通信が可能になる。
【0016】
図1に示されているようにメタネットワーク構成装置101とメタネットワーク終端装置102とによって実現されている本発明のメタネットワーク・システムは、一般的な仮想プライベート・ネットワーク(VPN)技術とは異なる。というのは、メタネットワーク100は、IPブリッジによって実現されているため、イーサネット(登録商標)などで構築される実ネットワーク上で可能な通信をほぼすべて適応することが可能である。従って、一般的な通信回線を用いて接続されているデスクトップ・コンピュータ103や、無線LAN局経由で接続されているラップトップ・コンピュータ104などの機器から見ても、接続されたネットワークがメタネットワークか実ネットワークかの区別はほとんどつかず、ユーザはメタネットワークに接続されたことを意識する必要がほとんどない。この点は、一般的なVPNとは事情が異なっている。
【0017】
また、メタネットワーク構成装置101は、例えば、各クライアントに対して起動時に動的にIPアドレスを割り当て終了時には割り当てたIPアドレスを回収するプロトコルであるDHCPによるIPアドレス配布機能を有することにより、メタネットワーク100上の機器のIPアドレスを、管理目的に合致するように制御することが可能である。更に、メタネットワーク構成装置101は、ユーザの機器の機種情報(MACアドレス)や、そのユーザの利用可能な日時及び時間帯などを管理するユーザ情報管理データベース105と連携して動作し、ユーザの機器によるメタネットワーク100への接続の可否を判断することができ、更には、ユーザの機器が接続した段階でDHCPによって特定のユーザの機器に特定のIPアドレスを配布することも可能である。これによりIPアドレスとユーザとを関連付けることができ、利用されているIPアドレスからユーザを特定することが可能となる。なお、このIPアドレスとユーザとの関連を表す情報をリンクID情報と呼ぶ。
【0018】
更に、特定のユーザには特定のIPアドレスを付与することが可能であるため、物理的又は論理的に異なるネットワークからこのメタネットワーク100へ接続した場合でも、ユーザに同一の通信環境を提供できる。
【0019】
また、メタネットワーク構成装置101は、PPTP、L2TP/IPsecなどのリモート・ユーザVPN終端機能を有することにより、ユーザが無線LAN環境を利用しているなどユーザ機器とメタネットワーク構成装置101との間の通信内容を秘匿する必要が発生した場合でも、その通信内容を暗号化することで通信内容を保全することが可能である。
【0020】
メタネットワーク構成装置101はユーザ機器の接続によって発生したリンクID情報をユーザ情報管理データベース105に送信し、ユーザ情報管理データベース105はその情報を蓄積する。よってユーザ情報管理データベース105に蓄積されているリンクID情報を検索することにより、その時点でメタネットワーク100を利用しているユーザの情報を一覧することができ、リアルタイムでユーザの利用状況を把握することが可能となる。このようなリアルタイムでの利用状況の把握は、従来型のネットワークでは困難であった。
【0021】
メタネットワーク100に接続されたユーザのサービスの利用は、サービス・ゲートウェイ装置106を用いることにより制御可能である。ユーザによるサービスを利用するために、発生する通信をサービス・ゲートウェイ装置106を経由させた場合には、サービス・ゲートウェイ装置106は、サービス利用元のIPアドレスに対し、ユーザ情報管理データベース105に蓄積されているリンクID情報を参照して適用することにより、ユーザによる明示的な認証手続きがない場合であっても、ユーザを特定することができる。このようにして、サービス・ゲートウェイ装置106において設定したユーザごとのサービスの利用権限により、ユーザごとにサービスの利用の可否を判断することが可能となる。
【0022】
また、メタネットワーク構成装置101及びユーザ情報管理データベース105は外部の認証システムへのゲートウェイ機能を有するため、サービス・ゲートウェイ装置106によってユーザを特定する際に、ハードウェア・トークンや、指紋認証など、より強度の高い認証方式を用いることも可能である。
【0023】
なお、サービス・ゲートウェイ装置106におけるサービスの利用権限設定では、デスクトップ・コンピュータ103やラップトップ・コンピュータ104などのユーザ機器とメタネットワーク構成装置101との間の通信の暗号化方式や認証方式の指定も可能であるため、特定のサービス利用の通信の秘匿を一定のレベルに保つことができる。これは、サービス内容の保全に有効である。
【0024】
【発明の効果】
以上で説明したように、本発明によるメタネットワーク・システムを用いることにより、物理的又は論理的に別のネットワークに接続された機器を、あたかも同一のIPネットワーク上にあるように管理することが可能となる。
【0025】
これによりIPネットワークを一元的に管理でき、ネットワークの管理・運用コストの低減が見込まれる。例えば、既設のIPネットワークのネットワーク構成を変更する場合には多大なコストが発生するが、本発明によるメタネットワーク100を構築することにより、既設のネットワークを変更することなく、ネットワーク・トポロジーを容易に変更できる。
【0026】
また、一時的にネットワークの構成を変更したいときなどは、メタネットワーク100の構成を変更することで柔軟なネットワーク運用が可能となる。
【0027】
本発明によるメタネットワーク100では、ネットワーク機器の固有情報を事前にメタネットワーク・システムに登録すれば、ネットワーク接続後の明示的な認証行為がない場合であっても、どのユーザがどの機器から利用しているのかを自動的に判断することができる。従って、ユーザの機器への特別なソフトウェアの導入やそれに伴うユーザの教育などの追加コストが発生することなしに、ユーザごとの詳細なサービス利用の制限も可能となる。認証方法や暗号化方法によりサービスの利用制限をすれば、サービス利用時の通信の安全性を高めることも可能となる。
【0028】
更に、既に述べたように、本発明によると、ネットワーク管理やサービス利用の管理を一元化できるため、別々に管理する場合よりもコストを低減することできるとともに、管理上のミスを防ぐことができる。従って、より安全なネットワーク・システムの構築が可能となる。
【図面の簡単な説明】
【図1】本発明によるメタネットワーク・システムの概略が示されている。
Claims (10)
- 複数の機器が接続された通信ネットワークを管理するシステムであって、
メタネットワークを仮想的に実現するメタネットワーク構成手段であり、前記複数の機器が通信動作を行うときにはこれら複数の機器に対して動的又は静的に前記メタネットワーク上のIPアドレスを割り当てるIPアドレス配布機能を有しているメタネットワーク構成手段と、
IPブリッジ機能を備え、前記複数の機器を前記メタネットワークに接続するメタネットワーク終端手段と、
を備えていることを特徴とする通信ネットワーク管理システム。 - 請求項1記載の通信ネットワーク管理システムにおいて、
前記メタネットワーク構成手段に接続され、前記複数の機器の機種情報を含むユーザ情報が記憶されているデータベース手段を更に備え、
前記メタネットワーク構成手段は、前記データベース手段に記憶されているユーザ情報を参照することにより、前記複数の機器の中の特定のものが前記メタネットワーク構成手段に接続する際に所定のIPアドレスを配布し、もって、前記複数の機器に対して同一の通信環境を提供することを特徴とする通信ネットワーク管理システム。 - 請求項2記載の通信ネットワーク管理システムにおいて、
前記メタネットワーク構成手段と前記複数の機器との間の通信内容を暗号化する手段を更に備えていることを特徴とする通信ネットワーク管理システム。 - 請求項2又は請求項3記載の通信ネットワーク管理システムにおいて、前記メタネットワーク構成手段は、
前記複数の機器が前記メタネットワーク構成手段に接続する際に、前記複数の機器のそれぞれに配布され前記データベース手段に記憶されているIPアドレスと当該IPアドレスが配布された機器との関連を表すリンクID情報を参照することにより、リアルタイムで前記複数の機器の利用情報を把握する手段を備えていることを特徴とする通信ネットワーク管理システム。 - 請求項2ないし請求項4の任意の請求項に記載の通信ネットワーク管理システムにおいて、
前記データベース手段に記憶されているリンクIDを参照することにより、ユーザによる明示的な認証なしに、前記複数の機器の中の特定の機器によるサービスの利用の有無を判断するサービス・ゲートウェイ手段を更に備えていることを特徴とする通信ネットワーク管理システム。 - 複数の機器が接続された通信ネットワークを管理する方法であって、
メタネットワークを仮想的に実現するステップであって、前記複数の機器が通信動作を行うときにはこれら複数の機器に対して動的又は静的に前記メタネットワーク上のIPアドレスを割り当てるステップと、
IPブリッジ機能を用いて、前記複数の機器を前記メタネットワークに接続するステップと、
を含むことを特徴とする方法。 - 請求項6記載の方法において、
前記複数の機器の機種情報を含むユーザ情報を記憶するステップと、
前記記憶されているユーザ情報を参照することにより、前記複数の機器の中の特定のものが前記メタネットワークに接続する際に所定のIPアドレスを配布するステップと、
を更に含み、もって、前記複数の機器に対して同一の通信環境を提供することを特徴とする方法。 - 請求項7記載の方法において、
前記メタネットワークと前記複数の機器との間の通信内容を暗号化するステップを更に含むことを特徴とする方法。 - 請求項7又は請求項8記載の方法において、
前記複数の機器が前記メタネットワークに接続する際に、前記複数の機器のそれぞれに配布され記憶されているIPアドレスと当該IPアドレスが配布された機器との関連を表すリンクID情報を参照することによりリアルタイムで前記複数の機器の利用情報を把握するステップを更に含むことを特徴とする方法。 - 請求項7ないし請求項9の任意の請求項に記載の方法において、
前記データベース手段に記憶されているリンクIDを参照することにより、ユーザによる明示的な認証なしに、前記複数の機器の中の特定の機器によるサービスの利用の有無を判断するステップを更に含むことを特徴とする方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003150922A JP2004356861A (ja) | 2003-05-28 | 2003-05-28 | 論理的及び物理的に遠隔である複数のネットワークに接続された機器のipネットワーク・トポロジに依存しない通信を可能にする通信ネットワーク管理システム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003150922A JP2004356861A (ja) | 2003-05-28 | 2003-05-28 | 論理的及び物理的に遠隔である複数のネットワークに接続された機器のipネットワーク・トポロジに依存しない通信を可能にする通信ネットワーク管理システム及び方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004356861A true JP2004356861A (ja) | 2004-12-16 |
Family
ID=34046584
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003150922A Pending JP2004356861A (ja) | 2003-05-28 | 2003-05-28 | 論理的及び物理的に遠隔である複数のネットワークに接続された機器のipネットワーク・トポロジに依存しない通信を可能にする通信ネットワーク管理システム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004356861A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8495370B2 (en) | 2011-03-30 | 2013-07-23 | Fujitsu Limited | Information processing apparatus and authentication bypassing method |
US9183489B2 (en) | 2005-01-19 | 2015-11-10 | Nxp B.V. | Device for and method of providing operating data and/or data associated with playback data to a remote device |
-
2003
- 2003-05-28 JP JP2003150922A patent/JP2004356861A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9183489B2 (en) | 2005-01-19 | 2015-11-10 | Nxp B.V. | Device for and method of providing operating data and/or data associated with playback data to a remote device |
US8495370B2 (en) | 2011-03-30 | 2013-07-23 | Fujitsu Limited | Information processing apparatus and authentication bypassing method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11082304B2 (en) | Methods, systems, and computer readable media for providing a multi-tenant software-defined wide area network (SD-WAN) node | |
US8607301B2 (en) | Deploying group VPNS and security groups over an end-to-end enterprise network | |
CN101918926B (zh) | 用于通过虚拟ip地址访问没有可访问地址的联网装置的各种方法和设备 | |
US6701437B1 (en) | Method and apparatus for processing communications in a virtual private network | |
US6154839A (en) | Translating packet addresses based upon a user identifier | |
US7925737B2 (en) | System and method for dynamic configuration of network resources | |
US6079020A (en) | Method and apparatus for managing a virtual private network | |
JP2019525669A (ja) | ネットワーク制御システムのパブリッククラウドへの拡張 | |
US20090287810A1 (en) | Virtual private network management | |
US20060010491A1 (en) | Firewall system protecting a community of appliances, appliance participating in the system and method of updating the firewall rules within the system | |
US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
JP2005518117A (ja) | ファイアウォールとnatとを介してコネクションを開始する方法 | |
WO2007031597A1 (en) | Wireless local area network, adapter unit and equipment | |
WO2008039506B1 (en) | Deploying group vpns and security groups over an end-to-end enterprise network and ip encryption for vpns | |
US8571038B2 (en) | Method to tunnel UDP-based device discovery | |
JP2005072636A (ja) | 通信システム、同通信システムにおけるセキュリティポリシーの配布方法、サーバ装置、ならびにセキュリティポリシーの配布プログラム | |
CN110519259B (zh) | 云平台对象间通讯加密配置方法、装置及可读存储介质 | |
CN103067531A (zh) | 一种公网ip地址资源管理分配方法 | |
JP4202286B2 (ja) | Vpn接続制御方法及びシステム | |
JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
CN108259633A (zh) | 实现管理报文三层通信的方法、系统及装置 | |
JP2005341084A (ja) | Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法 | |
JP2012044668A (ja) | Udpブロードキャストのトンネリングのための様々な方法および装置 | |
CN113259347B (zh) | 一种工业互联网内的设备安全系统及设备行为管理方法 | |
JP2004356861A (ja) | 論理的及び物理的に遠隔である複数のネットワークに接続された機器のipネットワーク・トポロジに依存しない通信を可能にする通信ネットワーク管理システム及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051124 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051129 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060130 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060328 |
|
A521 | Written amendment |
Effective date: 20060529 Free format text: JAPANESE INTERMEDIATE CODE: A523 |
|
A911 | Transfer of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20060814 |
|
A912 | Removal of reconsideration by examiner before appeal (zenchi) |
Effective date: 20060825 Free format text: JAPANESE INTERMEDIATE CODE: A912 |