JP2005295140A - Monitoring system - Google Patents

Monitoring system Download PDF

Info

Publication number
JP2005295140A
JP2005295140A JP2004106179A JP2004106179A JP2005295140A JP 2005295140 A JP2005295140 A JP 2005295140A JP 2004106179 A JP2004106179 A JP 2004106179A JP 2004106179 A JP2004106179 A JP 2004106179A JP 2005295140 A JP2005295140 A JP 2005295140A
Authority
JP
Japan
Prior art keywords
address
monitoring
service providing
information
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004106179A
Other languages
Japanese (ja)
Inventor
Tsuyoshi Kawamoto
剛志 河本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ITMANAGE Inc
Original Assignee
ITMANAGE Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ITMANAGE Inc filed Critical ITMANAGE Inc
Priority to JP2004106179A priority Critical patent/JP2005295140A/en
Publication of JP2005295140A publication Critical patent/JP2005295140A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a monitoring system with high reliability wherein the cost and man-hours at the introduction can be reduced. <P>SOLUTION: The monitoring system 50 for monitoring a web server 120 for providing services via the Internet is provided with: a monitoring unit 210 for monitoring a state of the web server 120; a dedicated line 20 for monitoring purpose provided separately from the Internet; and a firewall 114 that converts a transmission destination address and a transmission source address of packets when the web server 120 transmits the packets to the monitoring unit 210 via the dedicated line 20 and that converts the transmission destination address and the transmission source address of packets when the monitoring unit 210 transmits the packets to the web server 120 via the dedicated line 20. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、監視システムに関し、特に、公開性を有する公開通信網を介してサービスを提供するサービス提供装置を監視するための監視システムに関する。   The present invention relates to a monitoring system, and more particularly to a monitoring system for monitoring a service providing apparatus that provides a service via a public communication network having openness.

インターネットの爆発的な普及に伴い、ウェブサーバなどのサービス提供装置から多種多様なサービスがインターネットを介して提供されるようになった。時間や場所に関係なく、いつでも世界中のサービス提供装置にアクセスすることが可能であるというインターネットの性格上、サービス提供装置は常時サービスを提供し続けることを要求される。システムの不具合などの理由によってサービス提供装置がアクセス不能となることは、サービス利用者にとってもサービス提供者にとっても好ましくない事態である。   With the explosive spread of the Internet, a wide variety of services have been provided via the Internet from service providing devices such as web servers. Due to the nature of the Internet that it is possible to access service providing devices all over the world at any time regardless of time or place, the service providing devices are required to continue to provide services at all times. Inability of the service providing apparatus to be accessed due to a system malfunction or the like is an undesirable situation for both the service user and the service provider.

サービス提供装置に不具合が生じたときに、これをいち早く発見して元の状態に復旧するためには、ネットワークに精通した技術者が常時サービス提供装置を監視している必要がある。ところが、ネットワーク技術者の需要の拡大に人材育成が追いつかず、慢性的な人手不足の状態にある。   When a problem occurs in the service providing apparatus, it is necessary for a technician who is familiar with the network to constantly monitor the service providing apparatus in order to quickly find this and restore it to the original state. However, human resource development has not been able to keep up with the growing demand of network engineers, and there is a chronic labor shortage.

このような問題を解決するために、本出願人は、遠隔からサービス提供装置を監視することが可能な監視システムを開発し、監視サービスを提供している(特許文献1参照)。特許文献1に記載された監視システムでは、インターネットを介してサービスを提供するサービス提供装置を、インターネットではなく、専用線を介して監視する。
特開2002−101101号公報 In order to solve such a problem, the present applicant has developed a monitoring system capable of remotely monitoring a service providing apparatus and provides a monitoring service (see Patent Document 1). In the monitoring system described in Patent Document 1, a service providing apparatus that provides a service via the Internet is monitored via a dedicated line instead of the Internet.
JP 2002-101101 A

サービス提供装置の管理者側からすると、いったん構築したサービス提供装置を含むネットワークの設定を変更することなく監視システムを導入したいという要望がある。本出願人は、このような事情を考慮して、導入時のコストや設定変更などの工数をさらに低減することが可能な監視システムを想到するに至った。   From the administrator side of the service providing apparatus, there is a desire to introduce a monitoring system without changing the network settings including the service providing apparatus once constructed. In consideration of such circumstances, the present applicant has come up with a monitoring system that can further reduce the man-hours required for introduction and cost changes.

本発明はこうした状況に鑑みてなされたものであり、その目的は、信頼性の高い監視技術を提供することにある。本発明の別の目的は、監視システムの導入時のコストや工数を低減する技術を提供することにある。   The present invention has been made in view of such circumstances, and an object thereof is to provide a highly reliable monitoring technique. Another object of the present invention is to provide a technique for reducing costs and man-hours when introducing a monitoring system.

本発明のある態様は、監視システムに関する。この監視システムは、公開性を有する公開通信網を介してサービスを提供するサービス提供装置を監視するための監視システムであって、前記サービス提供装置と通信し、前記サービス提供装置の状態を監視する監視装置と、前記公開通信網とは別に設けられた、前記監視装置と前記サービス提供装置との間で情報を送受信するための監視用通信網と、前記サービス提供装置から前記監視装置へ前記監視用通信網を介して第一の情報を送信するときに、前記第一の情報の送信先アドレス及び送信元アドレスを変換するとともに、前記監視装置から前記サービス提供装置へ前記監視用通信網を介して第二の情報を送信するときに、前記第二の情報の送信先アドレス及び送信元アドレスを変換するアドレス変換装置と、を備えたことを特徴とする。   One embodiment of the present invention relates to a monitoring system. The monitoring system is a monitoring system for monitoring a service providing apparatus that provides a service via a public communication network having openness, and communicates with the service providing apparatus and monitors a state of the service providing apparatus. A monitoring communication network for transmitting and receiving information between the monitoring device and the service providing device, provided separately from the monitoring device and the public communication network, and the monitoring from the service providing device to the monitoring device When transmitting the first information through the communication network, the transmission destination address and the transmission source address of the first information are converted, and the monitoring device to the service providing device via the monitoring communication network And an address translation device that translates the transmission destination address and the transmission source address of the second information when transmitting the second information.

前記アドレス変換装置は、前記監視装置を含むネットワークのアドレス体系において前記監視装置に割り当てられた前記監視装置の実アドレスと、前記サービス提供装置を含むネットワークのアドレス体系において前記監視装置に仮想的に割り当てられた前記監視装置の仮想アドレスとを対応づけて格納するとともに、前記サービス提供装置を含むネットワークのアドレス体系において前記サービス提供装置に割り当てられた前記サービス提供装置の実アドレスと、前記監視装置を含むネットワークのアドレス体系において前記サービス提供装置に仮想的に割り当てられた前記サービス提供装置の仮想アドレスとを対応づけて格納するアドレス変換テーブルを有してもよい。   The address translation device is virtually assigned to the monitoring device in the network address system including the monitoring device and the real address of the monitoring device assigned to the monitoring device in the network address system including the monitoring device. A virtual address of the monitoring device assigned to the service providing device, and a real address of the service providing device assigned to the service providing device in an address system of a network including the service providing device, and the monitoring device. You may have an address conversion table which matches and stores the virtual address of the said service provision apparatus virtually allocated to the said service provision apparatus in the address system of a network.

前記サービス提供装置は、前記第一の情報を前記監視装置へ送信するときに、送信元アドレスに前記サービス提供装置の実アドレスを、送信先アドレスに前記監視装置の仮想アドレスを設定し、前記監視装置は、前記第二の情報を前記サービス提供装置へ送信するときに、送信元アドレスの前記監視装置の実アドレスを、送信先アドレスに前記サービス提供装置の仮想アドレスを設定してもよい。   When the service providing apparatus transmits the first information to the monitoring apparatus, the service providing apparatus sets a real address of the service providing apparatus as a transmission source address and a virtual address of the monitoring apparatus as a transmission destination address. When transmitting the second information to the service providing apparatus, the apparatus may set a real address of the monitoring apparatus as a transmission source address and a virtual address of the service providing apparatus as a transmission destination address.

前記アドレス変換装置は、前記アドレス変換テーブルを参照して、前記第一の情報の送信先アドレスを、前記監視装置の仮想アドレスから前記監視装置の実アドレスに変換し、前記第一の情報の送信元アドレスを、前記サービス提供装置の実アドレスから前記サービス提供装置の仮想アドレスに変換し、前記第二の情報の送信先アドレスを、前記サービス提供装置の仮想アドレスから前記サービス提供装置の実アドレスに変換し、前記第二の情報の送信元アドレスを、前記監視装置の実アドレスから前記監視装置の仮想アドレスに変換してもよい。   The address conversion device refers to the address conversion table, converts a transmission destination address of the first information from a virtual address of the monitoring device to a real address of the monitoring device, and transmits the first information. The original address is converted from the real address of the service providing apparatus to the virtual address of the service providing apparatus, and the transmission destination address of the second information is changed from the virtual address of the service providing apparatus to the real address of the service providing apparatus. The source address of the second information may be converted from the real address of the monitoring device to the virtual address of the monitoring device.

前記アドレス変換装置は、前記サービス提供装置と前記監視用通信網との間における情報の送受信の可否を制御するファイアーウォール装置であってもよい。   The address translation device may be a firewall device that controls whether information can be transmitted and received between the service providing device and the monitoring communication network.

本発明によれば、信頼性の高い監視システムを実現することができる。   According to the present invention, a highly reliable monitoring system can be realized.

図1は、実施の形態に係る監視システム50の全体構成を概略的に示す。監視システム50は、公開性を有する公開通信網を介してサービスを提供するサービス提供装置を、専用線20を介して監視するためのシステムである。   FIG. 1 schematically shows an overall configuration of a monitoring system 50 according to an embodiment. The monitoring system 50 is a system for monitoring, via the dedicated line 20, a service providing apparatus that provides a service via a public communication network having openness.

サービス提供装置140は、公開通信網の一例としてのインターネット10を介してサービスを提供する。サービス利用者は、ユーザ端末5からインターネット10を介してサービス提供装置140へアクセスすることにより、サービス提供装置140が提供するサービスを利用することができる。   The service providing apparatus 140 provides a service via the Internet 10 as an example of a public communication network. The service user can use the service provided by the service providing apparatus 140 by accessing the service providing apparatus 140 from the user terminal 5 via the Internet 10.

監視装置210は、監視用通信網の一例としての専用線20を介してサービス提供装置140を監視する。監視担当者は、監視装置210から専用線20を介してサービス提供装置140へアクセスすることにより、サービス提供装置140の状態を監視することができる。インターネット10とは別に設けられた専用線20を介して監視を行うことで、監視のための情報の送受信によるトラフィックの増加を回避し、本来のサービスへの影響を最小限に抑えることができる。また、公開性を有する通信網からサービス提供装置140へアクセスすることによるセキュリティホールの発生を回避することができる。   The monitoring device 210 monitors the service providing device 140 via the dedicated line 20 as an example of a monitoring communication network. The person in charge of monitoring can monitor the state of the service providing apparatus 140 by accessing the service providing apparatus 140 from the monitoring apparatus 210 via the dedicated line 20. By performing monitoring via the dedicated line 20 provided separately from the Internet 10, it is possible to avoid an increase in traffic due to transmission / reception of information for monitoring and to minimize the influence on the original service. Moreover, it is possible to avoid the occurrence of a security hole due to access to the service providing apparatus 140 from a publicly available communication network.

本実施形態においては、サービス提供装置140はデータセンター100内に設けられている。データセンター100は、複数のサービス提供業者にネットワーク環境を提供する施設である。近年、サービス提供業者の急激な増加にネットワーク技術者の育成が追いつかず、ネットワーク技術者が慢性的に不足している。そのため、自社でネットワーク管理を行うことが困難になってきており、データセンター100のような施設にサービス提供装置を含むネットワークを構築し、ネットワーク管理を委託するケースが増えている。データセンター100の内部のネットワーク構成については、図2を用いて説明する。   In the present embodiment, the service providing apparatus 140 is provided in the data center 100. The data center 100 is a facility that provides a network environment to a plurality of service providers. In recent years, network engineers have not been able to keep up with the rapid increase in service providers, and there is a chronic shortage of network engineers. For this reason, it has become difficult to perform network management in-house, and there is an increasing number of cases in which a network including a service providing device is constructed in a facility such as the data center 100 and network management is outsourced. The internal network configuration of the data center 100 will be described with reference to FIG.

本実施形態においては、監視装置210は監視センター200内に設けられている。このように、本実施形態の監視システム50によれば、複数のデータセンター100に設けられているサービス提供装置140を、監視センター200において一元的に監視することができる。監視センター200の内部のネットワーク構成については、図3を用いて説明する。   In the present embodiment, the monitoring device 210 is provided in the monitoring center 200. As described above, according to the monitoring system 50 of the present embodiment, the service providing devices 140 provided in the plurality of data centers 100 can be centrally monitored in the monitoring center 200. The network configuration inside the monitoring center 200 will be described with reference to FIG.

図2は、データセンター100内のネットワークの構成を示す。データセンター100においては、複数のサービス提供業者がそれぞれ独自のネットワーク(以下、「セグメント」という)を構築している。それぞれのセグメントは、ルータ102を介してインターネット10に接続される。サービス提供業者は、それぞれのセグメント内にサービス提供装置を設け、インターネット10を介してユーザに各種サービスを提供する。   FIG. 2 shows a network configuration in the data center 100. In the data center 100, a plurality of service providers construct their own networks (hereinafter referred to as “segments”). Each segment is connected to the Internet 10 via the router 102. A service provider provides a service providing apparatus in each segment and provides various services to the user via the Internet 10.

例えば、セグメント110においては、サービス提供装置の一例として、ウェブサーバ120、POPサーバ122、およびSMTPサーバ124が設けられている。ウェブサーバ120は、ウェブページや各種デジタルコンテンツの配信サービスを提供する。POPサーバ122およびSMTPサーバ124は、インターネットメールの送受信サービスを提供する。   For example, in the segment 110, a web server 120, a POP server 122, and an SMTP server 124 are provided as examples of service providing apparatuses. The web server 120 provides a web page and various digital content distribution services. The POP server 122 and the SMTP server 124 provide Internet mail transmission / reception services.

これらのサービス提供装置とルータ102との間には、ファイアーウォール112が設けられている。ファイアーウォール112は、インターネット10からセグメント110内部への不正アクセスを防止するとともに、データセンター100内の他のセグメントからの不正アクセスを防止する。   A firewall 112 is provided between these service providing apparatuses and the router 102. The firewall 112 prevents unauthorized access from the Internet 10 to the inside of the segment 110 and prevents unauthorized access from other segments in the data center 100.

セグメント110においては、更に、ゲートウェイ126を介して、プライベートなネットワークがインターネット10に接続されている。端末130には、インターネット10上での情報の送受信を許されないプライベートアドレスが割り当てられていてもよい。このように、セグメント110の内部の装置には、グローバルアドレスを有する装置とプライベートアドレスを有する装置の双方が存在する場合がある。   In the segment 110, a private network is further connected to the Internet 10 via the gateway 126. The terminal 130 may be assigned a private address that is not permitted to transmit and receive information on the Internet 10. Thus, there may be both a device having a global address and a device having a private address among the devices inside the segment 110.

セグメント150においては、サービス提供装置の一例として、FTPサーバ160およびアプリケーションサーバ162が設けられている。FTPサーバ160は、ファイル転送サービスを提供する。アプリケーションサーバ162は、各種アプリケーションを提供する。   In the segment 150, an FTP server 160 and an application server 162 are provided as an example of a service providing apparatus. The FTP server 160 provides a file transfer service. The application server 162 provides various applications.

これらのサービス提供装置とルータ102との間には、ファイアーウォール152が設けられている。ファイアーウォール152は、インターネット10からセグメント150内部への不正アクセスを防止するとともに、データセンター100内の他のセグメントからの不正アクセスを防止する。   A firewall 152 is provided between these service providing apparatuses and the router 102. The firewall 152 prevents unauthorized access from the Internet 10 to the inside of the segment 150 and prevents unauthorized access from other segments in the data center 100.

セグメント110の各装置は、ファイアーウォール114およびルータ104を介して、専用線20に接続されている。また、セグメント150の各装置は、ファイアーウォール154およびルータ104を介して、専用線20に接続されている。ファイアーウォール114および154は、サービス提供装置と監視用通信網との間における情報の送受信の可否を制御し、セグメント内への不正なアクセスを防止する。ファイアーウォール114および154は、更に、NAT(ネットワークアドレス変換)機能を有しており、サービス提供装置から監視装置210宛の情報を受け取ると、その情報のアドレス情報を変換する。また、監視装置210からサービス提供装置宛の情報を受け取ると、その情報のアドレス情報を変換する。変換の詳細については後述する。   Each device of the segment 110 is connected to the dedicated line 20 via the firewall 114 and the router 104. Each device in the segment 150 is connected to the dedicated line 20 via the firewall 154 and the router 104. The firewalls 114 and 154 control whether or not information can be transmitted and received between the service providing apparatus and the monitoring communication network, and prevent unauthorized access to the segment. The firewalls 114 and 154 further have a NAT (network address conversion) function. When receiving information addressed to the monitoring device 210 from the service providing device, the firewalls 114 and 154 convert the address information of the information. Further, when receiving information addressed to the service providing apparatus from the monitoring apparatus 210, the address information of the information is converted. Details of the conversion will be described later.

図3は、監視センター200内のネットワークの構成を示す。監視センター200においては、複数の監視装置210および端末220が、ルータ202を介して専用線20に接続されている。   FIG. 3 shows a network configuration in the monitoring center 200. In the monitoring center 200, a plurality of monitoring devices 210 and terminals 220 are connected to the dedicated line 20 via the router 202.

図4は、監視システム50の動作を説明するための図である。監視センター200の監視装置210から、データセンター100のウェブサーバ120を監視する場合を例にとり、監視装置210とウェブサーバ120に具体的なアドレスを設定して動作を説明する。   FIG. 4 is a diagram for explaining the operation of the monitoring system 50. Taking the case of monitoring the web server 120 of the data center 100 from the monitoring device 210 of the monitoring center 200 as an example, the operation will be described with specific addresses set in the monitoring device 210 and the web server 120.

データセンター100内のウェブサーバ120が含まれるセグメントのアドレス体系は「192.168.x.0/16」であり、監視センター200内の監視装置210が含まれるセグメントのアドレス体系は「10.10.x.0/16」である。また、監視センター200内のセグメントのアドレス体系における監視装置210のアドレス(実アドレス)は「10.10.x.10」であり、データセンター100内のセグメントのアドレス体系におけるウェブサーバ120のアドレス(実アドレス)は「192.168.x.100」である。   The address system of the segment including the web server 120 in the data center 100 is “192.168.x.0 / 16”, and the address system of the segment including the monitoring device 210 in the monitoring center 200 is “10.10.x.0. / 16 ". The address (real address) of the monitoring device 210 in the segment address system in the monitoring center 200 is “10.10.x.10”, and the address (real address) of the web server 120 in the segment address system in the data center 100. ) Is “192.168.x.100”.

ここで、監視装置210がウェブサーバ120との間で通信を行うときに、仮想的に、同一セグメント上にウェブサーバ120が存在するように見せるために、ウェブサーバ120に、監視センター200側のアドレス体系に属する仮想アドレス「10.10.x.100」を割り当てる。同様に、ウェブサーバ120が監視装置210との間で通信を行うときに、仮想的に、同一セグメント上に監視装置210が存在するように見せるために、監視装置210に、データセンター100側のアドレス体系に属する仮想アドレス「192.168.x.200」を割り当てる。この監視装置210の仮想アドレスは、ウェブサーバ120を含むセグメントの管理者から、空いているアドレスを借り受けることになる。   Here, when the monitoring device 210 communicates with the web server 120, in order to make it appear that the web server 120 exists virtually on the same segment, the web server 120 is connected to the monitoring center 200 side. A virtual address “10.10.x.100” belonging to the address system is assigned. Similarly, when the web server 120 communicates with the monitoring device 210, in order to make it appear that the monitoring device 210 exists virtually on the same segment, the monitoring device 210 is connected to the data center 100 side. A virtual address “192.168.x.200” belonging to the address system is assigned. As the virtual address of the monitoring device 210, a vacant address is borrowed from the manager of the segment including the web server 120.

アドレス変換装置の一例であるファイアーウォール114は、ウェブサーバ120及び監視装置210の実アドレスと仮想アドレスとの対応を格納したアドレス変換テーブル30を有していて、実アドレスと仮想アドレスの間でアドレスを変換する。アドレス変換装置の接続位置は、図4の例に限定されず、例えば、ルータ104の位置であってもよいし、ルータ202の位置であってもよい。   A firewall 114, which is an example of an address translation device, has an address translation table 30 that stores correspondence between real addresses and virtual addresses of the web server 120 and the monitoring device 210, and addresses between real addresses and virtual addresses. Convert. The connection position of the address translation device is not limited to the example of FIG. 4, and may be the position of the router 104 or the position of the router 202, for example.

監視装置210は、専用線20を介してウェブサーバ120へ、ウェブサーバ120の状態を問い合わせるための情報を送信する。このときの問い合わせ情報は、SNMP(ネットワーク管理プロトコル)の「GetRequest」メッセージなどであってもよいし、HTTPの「GET」メッセージなどであってもよい。   The monitoring device 210 transmits information for inquiring the state of the web server 120 to the web server 120 via the dedicated line 20. The inquiry information at this time may be an SNMP (Network Management Protocol) “GetRequest” message or the like, or an HTTP “GET” message or the like.

監視装置210がウェブサーバ120にパケットを送出するとき、デスティネーションアドレスにウェブサーバ120の仮想アドレス「10.10.x.100」を、ソースアドレスに監視装置210の実アドレス「10.10.x.10」をセットして送出する。このパケットは、ルータ202、専用線20及びルータ104を介してファイアーウォール114へルーティングされる。   When the monitoring device 210 sends a packet to the web server 120, the virtual address “10.10.x.100” of the web server 120 is set as the destination address, and the real address “10.10.x.10” of the monitoring device 210 is set as the source address. Set and send. This packet is routed to the firewall 114 via the router 202, the dedicated line 20, and the router 104.

ファイアーウォール114は、アドレス変換テーブル30を参照して、監視装置210からウェブサーバ120へ送出されるパケットのデスティネーションアドレスを、ウェブサーバ120の仮想アドレス「10.10.x.100」から実アドレス「192.168.x.100」へ変換する。これにより、ウェブサーバ120が含まれるセグメントのアドレス体系や通信設定などを変更することなく、監視装置210から送出されるパケットをウェブサーバ120へルーティングすることができる。   The firewall 114 refers to the address conversion table 30 and changes the destination address of the packet sent from the monitoring device 210 to the web server 120 from the virtual address “10.10.x.100” of the web server 120 to the real address “192.168”. .x.100 ". Thereby, the packet transmitted from the monitoring apparatus 210 can be routed to the web server 120 without changing the address system or communication setting of the segment including the web server 120.

ファイアーウォール114は、さらに、アドレス変換テーブル30を参照して、監視装置210からウェブサーバ120へ送出されるパケットのソースアドレスを、監視装置210の実アドレス「10.10.x.10」から仮想アドレス「192.168.x.200」へ変換する。これにより、ウェブサーバ120は、このパケットを、自セグメント上にある仮想的な監視装置から来たパケットであると解するので、フィルタリングなどの設定を変更することなく、監視装置210からのパケットを受信することができる。   The firewall 114 further refers to the address conversion table 30 to change the source address of the packet transmitted from the monitoring device 210 to the web server 120 from the real address “10.10.x.10” of the monitoring device 210 to the virtual address “ Convert to “192.168.x.200”. As a result, the web server 120 interprets this packet as a packet that came from a virtual monitoring device on its own segment, so the packet from the monitoring device 210 is not changed without changing settings such as filtering. Can be received.

ウェブサーバ120は、問い合わせ情報に対する応答情報を、専用線20を介して監視装置210へ送信する。このときの応答情報は、監視装置210が送信した問い合わせ情報の種類に応じて決められる。例えば、応答情報は、SNMPの「GetResponse」メッセージや「Trap」メッセージなどであってもよいし、HTTPの応答メッセージなどであってもよい。   The web server 120 transmits response information to the inquiry information to the monitoring device 210 via the dedicated line 20. The response information at this time is determined according to the type of inquiry information transmitted by the monitoring device 210. For example, the response information may be an SNMP “GetResponse” message, a “Trap” message, or an HTTP response message.

ウェブサーバ120が監視装置210からの問い合わせに対して応答するためのパケットを監視装置210へ送出するとき、監視装置210から受信したパケットのソースアドレス、すなわち監視装置210の仮想アドレス「192.168.x.200」をデスティネーションアドレスにセットする。また、ソースアドレスには、ウェブサーバ120の実アドレス「192.168.x.100」がセットされる。   When the web server 120 sends a packet for responding to an inquiry from the monitoring device 210 to the monitoring device 210, the source address of the packet received from the monitoring device 210, that is, the virtual address “192.168.x. Set 200 to the destination address. Further, the real address “192.168.x.100” of the web server 120 is set as the source address.

このパケットの送出先をウェブサーバ120が知るために、ファイアーウォール114のウェブサーバ120側のネットワークインタフェースに、監視装置210の仮想アドレスに対するARPテーブルが定義されており、ウェブサーバ120がARPパケットを自セグメントのネットワークへブロードキャストしたとき、ファイアーウォール114が応答するように設定されている。したがって、ウェブサーバ120から監視装置210へ送出されたパケットは、ファイアーウォール114により受信される。   In order for the web server 120 to know the transmission destination of this packet, an ARP table for the virtual address of the monitoring device 210 is defined in the network interface on the web server 120 side of the firewall 114, and the web server 120 automatically transmits the ARP packet. The firewall 114 is set to respond when broadcasting to the segment network. Therefore, the packet sent from the web server 120 to the monitoring device 210 is received by the firewall 114.

ファイアーウォール114は、監視装置210の実アドレスと仮想アドレスの対応を保持しているので、パケットのデスティネーションアドレスを、監視装置210の仮想アドレス「192.168.x.200」から実アドレス「10.10.x.10」へ変換する。また、ファイアーウォール114は、ウェブサーバ120の実アドレスと仮想アドレスの対応を保持しているので、パケットのソースアドレスを、ウェブサーバ120の実アドレス「192.168.x.100」から仮想アドレス「10.10.x.100」へ変換する。このパケットは、ルータ104から専用線20へ送出され、ルータ202を介して監視装置210へ到達する。   Since the firewall 114 holds the correspondence between the real address of the monitoring device 210 and the virtual address, the destination address of the packet is changed from the virtual address “192.168.x.200” of the monitoring device 210 to the real address “10.10.x”. .10 ". Further, since the firewall 114 holds the correspondence between the real address of the web server 120 and the virtual address, the source address of the packet is changed from the real address “192.168.x.100” of the web server 120 to the virtual address “10.10. x.100 ". This packet is sent from the router 104 to the dedicated line 20 and reaches the monitoring device 210 via the router 202.

このように、監視装置210からウェブサーバ120へパケットを送出するときに、通信経路上のいずれかの装置において、監視装置210の実アドレスを仮想アドレスに変換しておくことで、応答パケットの通信経路を適切に確保することができる。また、相手装置が自セグメント上にある場合と同様に通信を行うことができるので、通信設定などを変更することなく通信を行うことができる。   As described above, when a packet is transmitted from the monitoring device 210 to the web server 120, the response packet communication is performed by converting the real address of the monitoring device 210 into a virtual address in any device on the communication path. A route can be secured appropriately. Further, since communication can be performed in the same manner as when the partner apparatus is on its own segment, communication can be performed without changing communication settings and the like.

監視装置210は、受信した応答情報に基づいてウェブサーバ120の状態を判断する。例えば、Trapメッセージを受信した場合や、HTTPのGETメッセージに対するエラーメッセージを受信した場合などは、ウェブサーバ120に異変が生じたと判断し、サービス提供業者へ報告する。また、サーバ装置のリソース稼働率や、CPUの稼働率などをグラフ化してサービス提供者へ報告する。監視システム50により、障害対応や、設定変更業務を行うこともできる。   The monitoring device 210 determines the state of the web server 120 based on the received response information. For example, when a Trap message is received or when an error message for an HTTP GET message is received, it is determined that a change has occurred in the web server 120 and reported to the service provider. In addition, the resource operation rate of the server device and the operation rate of the CPU are graphed and reported to the service provider. The monitoring system 50 can also handle troubles and change settings.

このように、ファイアーウォール114が、監視装置210とウェブサーバ120の間で送受信されるパケットの送信元アドレス及び送信先アドレスを適切に変換することにより、ウェブサーバ120が含まれるセグメントにほとんど変更を加えることなく、監視システム50を導入することができる。これにより、監視システム50の導入コストや工数を低減することができる。また、ウェブサーバ120が含まれるセグメントがプライベートアドレスを利用している場合や、グローバルアドレスとプライベートアドレスが混在している場合であっても、適切にパケットを送受信することができる。   As described above, the firewall 114 appropriately changes the source address and the destination address of the packet transmitted / received between the monitoring device 210 and the web server 120, thereby almost changing the segment including the web server 120. The monitoring system 50 can be introduced without adding. Thereby, the introduction cost and man-hour of the monitoring system 50 can be reduced. Further, even when a segment including the web server 120 uses a private address, or when a global address and a private address are mixed, packets can be appropriately transmitted and received.

本実施形態の監視システム50では、監視センター200において一元的に監視業務を行っているので、ネットワーク技術者が各データセンター100に常駐する必要がない。ネットワーク技術者を監視センター200に集中させることにより、サーバソフトウェアのセキュリティホールに関する知識や、問題に対処するためのノウハウなどを集積することができる。これにより、ネットワーク技術者個々の技術レベルに依存することなく、高いレベルの監視サービスを安定して提供することができる。   In the monitoring system 50 of this embodiment, since the monitoring business is centrally performed in the monitoring center 200, it is not necessary for a network engineer to reside in each data center 100. By concentrating network engineers at the monitoring center 200, it is possible to accumulate knowledge about security holes in server software and know-how to deal with problems. Thereby, it is possible to stably provide a high-level monitoring service without depending on the technical level of each network engineer.

本実施形態の監視システム50では、監視用通信網として、公開性を有しない私的な専用線20を用いているので、インターネット10を介した監視システムよりも高いセキュリティを確保することができる。ただし公開性は、それがゼロであることは必須ではなく、監視の目的と通信方法などの状況に照らして設計されればよい。   In the monitoring system 50 according to the present embodiment, since the private dedicated line 20 having no openness is used as the monitoring communication network, higher security than that of the monitoring system via the Internet 10 can be ensured. However, it is not essential that the openness is zero, and it may be designed in light of the monitoring purpose and the communication method.

ファイアーウォール114が各セグメントごとに設けられる場合、各セグメントのアドレス体系に合わせて変換先のアドレスを設定することができるので、セグメント間でアドレス体系が重複している場合であっても、問題を生じることなくアドレス変換を行い、適切にパケットを送受信することができる。   When the firewall 114 is provided for each segment, the address of the translation destination can be set according to the address system of each segment, so even if the address system is duplicated between the segments, there is a problem. Address conversion can be performed without occurrence, and packets can be transmitted and received appropriately.

ファイアーウォール114は、ウェブサーバ120が含まれるセグメントから専用線20へ送出されるパケットと、専用線20からウェブサーバ120が含まれるセグメントへ送出されるパケットの、両方向のアドレス変換を実現するために、セグメントの内部と外部の概念を柔軟に定義することが可能な機能を有することが望ましい。一つのアドレス変換装置で両方向のアドレス変換を実現することにより、二つのアドレス変換装置を設ける場合に比べて、導入時の設定作業や、運用時の保守作業を容易にすることができる。   The firewall 114 implements address translation in both directions of a packet sent from the segment including the web server 120 to the dedicated line 20 and a packet sent from the dedicated line 20 to the segment including the web server 120. It is desirable to have a function that can flexibly define the concepts inside and outside the segment. By realizing bi-directional address translation with one address translation device, setting work at the time of introduction and maintenance work at the time of operation can be facilitated as compared with the case where two address translation devices are provided.

以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。   The present invention has been described based on the embodiments. This embodiment is an exemplification, and it will be understood by those skilled in the art that various modifications can be made to combinations of the respective constituent elements and processing processes, and such modifications are also within the scope of the present invention. is there.

本実施形態においては、サービス提供装置がデータセンター100内に設けられていたが、いかなる環境下のサービス提供装置であっても、本監視システムによって監視することができる。   In this embodiment, the service providing apparatus is provided in the data center 100. However, any service providing apparatus in any environment can be monitored by this monitoring system.

実施の形態に係る監視システムの全体構成を概略的に示す図である。1 is a diagram schematically showing an overall configuration of a monitoring system according to an embodiment. データセンター内のネットワークの構成を示す図である。It is a figure which shows the structure of the network in a data center. 監視センター内のネットワークの構成を示す図である。It is a figure which shows the structure of the network in a monitoring center. 監視システムの動作を説明するための図である。It is a figure for demonstrating operation | movement of a monitoring system.

符号の説明Explanation of symbols

5 ユーザ端末、10 インターネット、20 専用線、30 アドレス変換テーブル、50 監視システム、100 データセンター、102,104 ルータ、112,114,152,154 ファイアーウォール、140 サービス提供装置、200 監視センター、202 ルータ、210 監視装置。   5 User terminal, 10 Internet, 20 Dedicated line, 30 Address conversion table, 50 Monitoring system, 100 Data center, 102, 104 router, 112, 114, 152, 154 Firewall, 140 Service providing device, 200 Monitoring center, 202 router 210 Monitoring device.

Claims (5)

公開性を有する公開通信網を介してサービスを提供するサービス提供装置を監視するための監視システムであって、
前記サービス提供装置と通信し、前記サービス提供装置の状態を監視する監視装置と、
前記公開通信網とは別に設けられた、前記監視装置と前記サービス提供装置との間で情報を送受信するための監視用通信網と、
前記サービス提供装置から前記監視装置へ前記監視用通信網を介して第一の情報を送信するときに、前記第一の情報の送信先アドレス及び送信元アドレスを変換するとともに、前記監視装置から前記サービス提供装置へ前記監視用通信網を介して第二の情報を送信するときに、前記第二の情報の送信先アドレス及び送信元アドレスを変換するアドレス変換装置と、
を備えたことを特徴とする監視システム。 A monitoring system for monitoring a service providing apparatus that provides a service via a public communication network having openness,
A monitoring device that communicates with the service providing device and monitors a state of the service providing device;
A monitoring communication network, which is provided separately from the public communication network, for transmitting and receiving information between the monitoring device and the service providing device;
When transmitting the first information from the service providing apparatus to the monitoring apparatus via the monitoring communication network, the transmission address and the transmission source address of the first information are converted, and the monitoring apparatus An address conversion device that converts a transmission destination address and a transmission source address of the second information when transmitting the second information to the service providing device via the monitoring communication network;
A monitoring system characterized by comprising: 前記アドレス変換装置は、前記監視装置を含むネットワークのアドレス体系において前記監視装置に割り当てられた前記監視装置の実アドレスと、前記サービス提供装置を含むネットワークのアドレス体系において前記監視装置に仮想的に割り当てられた前記監視装置の仮想アドレスとを対応づけて格納するとともに、前記サービス提供装置を含むネットワークのアドレス体系において前記サービス提供装置に割り当てられた前記サービス提供装置の実アドレスと、前記監視装置を含むネットワークのアドレス体系において前記サービス提供装置に仮想的に割り当てられた前記サービス提供装置の仮想アドレスとを対応づけて格納するアドレス変換テーブルを有することを特徴とする請求項1に記載の監視システム。   The address translation device is virtually assigned to the monitoring device in the network address system including the monitoring device and the real address of the monitoring device assigned to the monitoring device in the network address system including the monitoring device. A virtual address of the monitoring device assigned to the service providing device, and a real address of the service providing device assigned to the service providing device in an address system of a network including the service providing device, and the monitoring device. The monitoring system according to claim 1, further comprising: an address conversion table that stores a virtual address of the service providing apparatus that is virtually allocated to the service providing apparatus in a network address system. 前記サービス提供装置は、前記第一の情報を前記監視装置へ送信するときに、送信元アドレスに前記サービス提供装置の実アドレスを、送信先アドレスに前記監視装置の仮想アドレスを設定し、
前記監視装置は、前記第二の情報を前記サービス提供装置へ送信するときに、送信元アドレスの前記監視装置の実アドレスを、送信先アドレスに前記サービス提供装置の仮想アドレスを設定することを特徴とする請求項2に記載の監視システム。 When the service providing device transmits the first information to the monitoring device, the real address of the service providing device is set as a transmission source address, and the virtual address of the monitoring device is set as a transmission destination address.
When transmitting the second information to the service providing apparatus, the monitoring apparatus sets a real address of the monitoring apparatus as a transmission source address and a virtual address of the service providing apparatus as a transmission destination address. The monitoring system according to claim 2. 前記アドレス変換装置は、前記アドレス変換テーブルを参照して、
前記第一の情報の送信先アドレスを、前記監視装置の仮想アドレスから前記監視装置の実アドレスに変換し、
前記第一の情報の送信元アドレスを、前記サービス提供装置の実アドレスから前記サービス提供装置の仮想アドレスに変換し、
前記第二の情報の送信先アドレスを、前記サービス提供装置の仮想アドレスから前記サービス提供装置の実アドレスに変換し、
前記第二の情報の送信元アドレスを、前記監視装置の実アドレスから前記監視装置の仮想アドレスに変換する
ことを特徴とする請求項3に記載の監視システム。 The address conversion device refers to the address conversion table,
Converting the transmission destination address of the first information from the virtual address of the monitoring device to the real address of the monitoring device;
A source address of the first information is converted from a real address of the service providing device to a virtual address of the service providing device;
Converting the destination address of the second information from the virtual address of the service providing device to the real address of the service providing device;
The monitoring system according to claim 3, wherein the transmission source address of the second information is converted from a real address of the monitoring device to a virtual address of the monitoring device. 前記アドレス変換装置は、前記サービス提供装置と前記監視用通信網との間における情報の送受信の可否を制御するファイアーウォール装置であることを特徴とする請求項1から4にいずれかに記載の監視システム。   5. The monitoring according to claim 1, wherein the address translation device is a firewall device that controls whether or not information can be transmitted and received between the service providing device and the monitoring communication network. system.
JP2004106179A 2004-03-31 2004-03-31 Monitoring system Pending JP2005295140A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004106179A JP2005295140A (en) 2004-03-31 2004-03-31 Monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004106179A JP2005295140A (en) 2004-03-31 2004-03-31 Monitoring system

Publications (1)

Publication Number Publication Date
JP2005295140A true JP2005295140A (en) 2005-10-20

Family

ID=35327597

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004106179A Pending JP2005295140A (en) 2004-03-31 2004-03-31 Monitoring system

Country Status (1)

Country Link
JP (1) JP2005295140A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013093763A (en) * 2011-10-26 2013-05-16 Saxa Inc Communication network system, relay device therefor and relay processing program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013093763A (en) * 2011-10-26 2013-05-16 Saxa Inc Communication network system, relay device therefor and relay processing program

Similar Documents

Publication Publication Date Title
JP4038221B2 (en) Relay device and connection method between client device and server
JP4308027B2 (en) Data network with wireless local area network with packet hopping wireless backbone
EP2415224B1 (en) Methods and apparatus for routing data to nodes
US20100014521A1 (en) Address conversion device and address conversion method
EP2461520A2 (en) Service-centric communication network monitoring
US7263106B2 (en) System and protocol for frame relay service over the internet
JP2007104440A (en) Packet transmission system, its method, and tunneling device
JP5679343B2 (en) Cloud system, gateway device, communication control method, and communication control program
JP3637863B2 (en) Virtual network and virtual network connection method
JP3996922B2 (en) Centralized management system and method for network connection means in a network where different communication protocols coexist
CN102882733B (en) A kind of cross-over NAT equipment realizes WEB network management method
Siekkinen et al. Beyond the Future Internet--Requirements of Autonomic Networking Architectures to Address Long Term Future Networking Challenges
JP5345651B2 (en) Secure tunneling platform system and method
JP3614006B2 (en) COMMUNICATION SYSTEM USING Asymmetrical Route and Communication Method Utilizing Asymmetrical Route
JP2005295140A (en) Monitoring system
JP3519696B2 (en) Monitoring system and monitoring method
EP3228048B1 (en) Method and apparatus for routing data to cellular network
JP2006025457A (en) Network management system
JP2020102692A (en) Medium adapter device, distribution communication management method, and distribution communication management program
CN220605929U (en) Novel network system
EP1998509A1 (en) Transparent backup IP router in a local area network
CN101895559B (en) Method for passing through network and firewall for agency
KR20100059739A (en) Connecting gateway with ipv4/ipv6
Chrástek CCNA 1 Routing and Switching Introduction to Networks v5. 0 Answers
CN114338336A (en) Network management method and system based on SNMP firewall

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081216

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090331