JP2005341062A - ネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノード - Google Patents

ネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノード Download PDF

Info

Publication number
JP2005341062A
JP2005341062A JP2004155190A JP2004155190A JP2005341062A JP 2005341062 A JP2005341062 A JP 2005341062A JP 2004155190 A JP2004155190 A JP 2004155190A JP 2004155190 A JP2004155190 A JP 2004155190A JP 2005341062 A JP2005341062 A JP 2005341062A
Authority
JP
Japan
Prior art keywords
network
network device
device information
segment
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004155190A
Other languages
English (en)
Inventor
Yoshihisa Furukawa
能久 古川
Hirohiko Imada
博彦 今田
Keiji Takahashi
啓治 高橋
Katsumi Tsukiji
克美 築地
Hideo Fujita
英雄 藤田
Toshihiko Noguchi
敏彦 野口
Mutsuaki Kai
睦章 甲斐
Tetsuya Fukuda
哲也 福田
Takashi Wada
孝 和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004155190A priority Critical patent/JP2005341062A/ja
Publication of JP2005341062A publication Critical patent/JP2005341062A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】不正なネットワーク機器の接続を検出するためのARPなどを用いた従来の方法では、インテリジェンスハブなどが必要でコスト増となる上に検出に時間を要した。また、ネットワークに発生した障害の特定を効率的に行うことができなかった。
【解決手段】ネットワーク監視ノードが保持する接続を許可されたネットワーク機器の情報と各セグメントに設けられるセグメント監視ノードが収集した実際に接続されたネットワーク機器に関する接続ネットワーク機器情報とを比較照合して不正なネットワーク機器の接続を検出する。また、収集した接続ネットワーク機器情報を相互に比較照合して障害の発生を検出し、ネットワーク探索コマンドに対する各ネットワーク機器からの応答結果を基に発生した障害の発生箇所のパターンを特定する。
【選択図】図1

Description

本発明は、ネットワーク監視技術に係り、特にネットワークにおけるネットワーク機器の不正な接続の監視、及び、ネットワーク線路、機器などの障害の発生箇所を特定するためのネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノードに関する。
現在、企業、官公庁などさまざまな団体の組織内においてネットワーク環境が普及してきた。これにより情報の共有や閲覧などさまざまな利便性が向上した。しかしネットワークの規模が拡大していくに伴い、ネットワークに接続しているクライアントなどのネットワーク機器の状態をタイムリーにチェックすることが次第に難しくなってきた。また、社屋や庁舎などに不審者が侵入し、ネットワークに不正に接続して情報の不正閲覧や盗用などによる情報漏洩の被害が増大している。よって、ネットワークへ不正に接続しているクライアント(以降、不正クライアントと記述する)の監視は情報漏洩防止のため必要不可欠となっており、不正クライアントが接続された場合は、その旨を迅速にネットワーク管理者へ通知する必要がある。
またネットワークの運用においては、接続するクライアント数が日々増加しネットワーク構成が複雑化し続ける。このようなネットワークにおいて、ネットワーク線路の断線やルータ、ハブなどのクライアント以外のネットワーク機器の障害が発生した場合、発生位置の特定には時間を要する。
これらの問題を解決する方法としては、ネットワーク内に存在するネットワーク監視装置がネットワーク内に存在するルータに対し正常時のARP(Address Resolution Protocol)テーブルと不正クライアントが存在するときのARPテーブルを取得し、両者を比較することにより、不正クライアントを検出する方法がある(特許文献1参照。)。
また、ネットワークの各々のセグメントに設置されたネットワーク監視装置が、(セグメントに関わりなく)ネットワークに接続を許可された全てのクライアントのネットワーク機器情報(IPアドレス、MACアドレス、マシン名など)を保持し、不正クライアントがあるセグメントに接続すると、該当セグメントのネットワーク監視装置は、接続されたクライアントの属性情報であるネットワーク機器情報を取得し不正クライアントであるか判別する。そして、各セグメントのネットワーク監視装置が不正クライアントを検出するのに要する時間差を判定の基準として、不正クライアントの接続されたセグメントを特定する方法がある(特許文献2参照。)。
さらには、ネットワーク機器はSNMPエージェント機能を有するルータやハブのみでネットワークを構成し、ネットワーク監視装置を設置し、SNMPを用いて管理する方法がある。ネットワーク線路の断線やネットワーク機器の障害箇所特定に関しての機能を有する製品も存在するが、この場合はSNMPエージェント機能を有するルータやハブが必要となる。
特開2002−325077号公報(第2〜4頁、第1〜3図) 特開平7−79225号公報(第3〜5頁、第1〜3図)
上記の特許文献1で示される方法では、ARPテーブルを内部に有するネットワーク機器としてはインテリジェンスハブなどに限定され、リピーターハブなど安価なネットワーク機器にはこれらの機能はない。またARPテーブルは一定時間が経過すると自動的に更新されるため、一度ネットワークに接続しその後ネットワークに対して何らアクセスを行わないクライアントのネットワーク機器情報は一定時間が経過すれば消去されるため、ネットワーク機器情報のリアルタイム性に欠ける。また、線路断線や機器障害発生時の発生箇所を特定する機能を持たない。
特許文献2に示される方法では、各セグメントのネットワーク監視装置が障害に陥った場合の救済措置が存在しない。また線路断線や機器障害発生時の発生位置を特定する機能を持たない。
また、SNMPによる管理方法では、インテリジェンスハブのようなクライアントを監視できる機能を有するハブが必要である。これらインテリジェンスハブがない環境でのネットワーク構成ではクライアントの管理ができない。またSNMP管理方法ではネットワーク規模の拡大に比例してコストが増大するという問題があり、ネットワーク管理ではこのコスト低減が課題となる。
本発明は、ネットワーク監視技術において、不正なネットワーク機器の接続の監視およびネットワークにおける障害発生時の障害箇所の特定を効率的に行うためのネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノードを提供することを目的とする。
第一の発明は複数のネットワーク機器が接続されるネットワークにおいて、前記ネットワーク機器は前記ネットワーク機器に固有な機器識別情報を含むネットワーク機器情報を保持し、前記ネットワークは前記ネットワークを1以上のネットワークグループに分割して監視するネットワーク監視手段と、前記ネットワークグループを複数のセグメントに分割して前記ネットワーク機器を監視する前記セグメント毎に設けられるセグメント監視手段とを備え、前記ネットワーク監視手段は前記ネットワークグループへの接続を許可されたネットワーク機器についてのネットワーク機器情報である正規ネットワーク機器情報を正規ネットワーク機器情報データベースに保持し、前記セグメント監視手段は前記ネットワークグループに接続されているネットワーク機器についてのネットワーク機器情報である接続ネットワーク機器情報を前記ネットワークグループを構成する全てのセグメントについて収集し、前記ネットワーク監視手段から引き渡された前記正規ネットワーク機器情報と収集した前記接続ネットワーク機器情報とを比較照合し、前記正規ネットワーク機器情報に含まれない機器識別情報を有する接続ネットワーク機器情報が示すネットワーク機器を前記ネットワークグループへ不正接続されたネットワーク機器と判定して前記ネットワーク監視手段へ通知する、ように構成した。
第一の発明によればネットワークグループを構成する各セグメントに設置されたセグメント監視ノードはネットワーク監視ノードから引き渡された接続を許可されたネットワーク機器に関する情報と、実際にネットワークグループに接続されているネットワーク機器に関する情報とを比較照合して実際に接続されたネットワーク機器が予め許可されたものか否かをチェックすることができる。また、ネットワークグループ毎に設置された各セグメント監視ノードが同様に比較照合を行って並行してネットワーク監視ノードへ通知するため、一部のセグメントのネットワーク機器が故障で機能していない場合でもネットワーク監視ノードはネットワーク機器の不正接続を確実に検出できる。例えば、あるセグメントの基幹ノードに障害が発生しそのセグメントに接続されたセグメント監視ノードでは不正接続を検出できない場合でも、他のセグメントのセグメント監視ノードでその不正接続を検出しネットワーク監視ノードへ通知することができる。
第二の発明は、上記第一の発明において、前記セグメント監視手段は前記ネットワークグループについての前記接続ネットワーク機器情報を前記ネットワーク監視手段へ送信し、前記ネットワーク監視手段は前記ネットワークグループ内の前記各セグメント監視手段から送信されてきた前記接続ネットワーク機器情報を、送信してきたセグメント監視手段に対応して設けられる照合用接続ネットワーク機器情報データベースに保持し、複数の前記照合用接続ネットワーク機器情報データベースに格納されている前記接続ネットワーク機器情報を互いに比較照合し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含んでいる場合は前記照合用ネットワーク機器情報データベースの内容を基に前記正規ネットワーク機器情報データベースを更新して前記更新した正規ネットワーク機器情報データベースの内容を前記ネットワークグループ内の全てのセグメント監視手段へ所定のタイミングで配信し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含んでいない場合は前記ネットワークグループ内に障害が発生したと判定する、ように構成した。
第二の発明によれば、ネットワークグループを構成する全てのセグメントに設置されるセグメント監視ノードが収集した接続ネットワーク機器情報を互いに比較照合して一致した場合のみ正しい接続ネットワーク機器情報としてネットワーク監視ノードの正規ネットワーク機器情報データベースを更新し、一致しない場合は障害が発生したと判断する。これにより、ネットワーク機器の障害を迅速かつ確実に監視できる。また、障害が発生していない場合は正規ネットワーク機器情報データベースの内容が接続ネットワーク機器情報の内容に更新されるため、ネットワーク機器の接続変更が行われた場合でも、その接続変更後のネットワーク機器情報の内容が正しく正規ネットワーク機器情報データベースに反映される。
第三の発明は、上記第二の発明において、前記ネットワーク監視手段は前記ネットワークグループ内の前記ネットワーク機器の接続関係を記憶したネットワークツリー構成情報と、前記ネットワークグループ内の障害の発生する可能性のある箇所をパターン分けした障害発生箇所パターン情報を含む障害箇所分類表とを備え、障害発生時は前記ネットワークツリー構成情報に基づいてネットワーク探索コマンドを各ネットワーク機器宛に送信して得られる前記各ネットワーク機器からの応答結果を記録した障害箇所検索表を生成し、前記障害箇所検索表の内容を基に前記障害箇所分類表の中から発生した障害に対応する前記障害発生箇所パターン情報を決定して障害発生箇所を特定する、ように構成した。
第三の発明によれば、障害発生時は全てのネットワーク機器へネットワーク探索コメンドを送信して、その応答結果を基に発生した障害が予め用意した障害発生箇所パターンのどれに該当するかを決定するため、障害の発生箇所の特定が迅速かつ確実に行えるようになる。
ネットワークグループを構成する全てのセグメントに設置されるセグメント監視ノードが収集したデータを、ネットワーク監視ノードから引き渡されたにネットワークへの接続を許可されたネットワーク機器についてのデータと比較照合して、該ネットワークグループに接続されるネットワーク機器の正当性をチェックするため、クライアントなどのネットワーク機器の不正接続を迅速かつ確実に検出できる。
また、ネットワークグループを構成する全てのセグメントに設置されるセグメント監視ノードが収集したデータを比較照合して不一致の場合に障害発生とみなし、さらに、ネットワークの構成情報を基に該ネットワークグループ内の全てのネットワーク機器へネットワーク探索コマンドを送信してその応答状況を基に障害発生箇所を特定するため、障害発生箇所の特定が確実に行えるようになる。
さらに、ハブなどの既存のネットワーク機器を変更することなく本発明のネットワーク監視ノード及びセグメント監視ノードを追加導入することが可能であり、高価なインテリジェントハブを導入することなく従来のネットワーク機器を極力生かした形で、低コストで効率的なネットワーク監視システムを構築できる。
図1は本発明のネットワーク監視システムの構成である。
複数のセグメントでネットワークグループを構成し、さらに、1以上のネットワークグループによりネットワークを構成する。ネットワークには、1個の管理セグメントが設けられ、この管理セグメントにはルータ及びネットワーク監視手段としてのネットワーク監視ノードが設置される。以下の記述では、単にセグメントと表記した場合は上記の管理セグメントを含まないものとする。
通常各セグメントに配置されるネットワーク機器としては、まず基幹ハブがあり、該基幹ハブには該セグメントに接続されるクライアント(PCなど)が接続される。接続するクライアント数が上記の基幹ハブの実装ポート数を超える場合は、基幹ハブに支線ハブをカスケード状に接続しそれらの支線ハブにクライアントを接続する。各セグメントの基幹ハブは管理セグメントのルータに収容され、ルータ配下が1つのローカルエリアネットワークを構成する。
図1に示す実施例では、ネットワークは管理セグメント60と1個のネットワークグループ70aからなり、ネットワークグループ70aはセグメント60aとセグメント60bの二つのセグメントで構成されている場合を示している。ここでは、セグメント60a内のハブ30aが基幹ハブに相当し、ハブ30b、30e、30gは支線ハブに相当し、クライアント50a、50bはハブ30aに接続され、クライアント50c、50dはハブ30bに接続されている。同様に、セグメント60b内のハブ30cが基幹ハブに相当し、ハブ30dは支線ハブに相当し、クライアント50e、50fはハブ30cに接続され、クライアント50g、50hはハブ30dに接続されている。そして、基幹ハブに相当するハブ30a、30bは管理セグメント60内のルータ10aに接続されている。また、管理セグメント60内のルータ10には本発明のネットワーク監視ノード20が接続されている。
各セグメントにはセグメント監視手段としてのセグメント監視ノードが設置される。セグメント監視ノードは複数のLANポートを有し、その複数のLANポートはそれぞれ、ネットワークグループ内の異なるセグメントに接続されて各セグメント内に存在するクライアントやハブなどのネットワーク機器を監視する。複数のLANポートの内の第1番目のLANポートには該セグメント監視ノード自体が属するセグメント(以降、これを主監視セグメントと表記する)が接続され、第1のLANポート以外のLANポートにはそれ以外のセグメント(以降これを副監視セグメントと表記する)が接続される。
図1の実施例では、セグメント監視ノード40aは主監視セグメントとなるセグメント60a内に接続されているネットワーク機器(クライアント50a、50b、50c、50dおよびハブ30a、30b、30e、30g)を第1のLANポート#0を介して監視し、副監視セグメントとなるセグメント60bに接続されているネットワーク機器(クライアント50e、50f、50g、50hおよびハブ30c、30d)をLANポート#1を介して監視する。同様に、セグメント監視ノード40bは、主監視セグメントとなるセグメント60b、および、副監視セグメントとなるセグメント60aに配置されるネットワーク機器を、それぞれ、LANポート#0およびLANポート#1を介して監視する。ここで、ハブ、クライアント、セグメント監視ノードなどのセグメントに接続されるネットワーク機器の監視は、該ネットワーク機器の属性情報であるネットワーク機器情報を収集することにより行われる。ネットワーク機器情報は該ネットワーク機器を識別できる機器識別情報を含んでいる。例えば、該ネットワーク機器に予め割り当てられているMACアドレスを機器識別情報として用いることができる。
ネットワーク監視ノードは各ネットワークグループ内のセグメント監視ノード群を集中管理するもので、各セグメント監視ノードから送信されてくる上記のネットワーク機器情報を受信し、それらを基に、各ネットワークグループに接続されるネットワーク機器の状態を管理する。また、各セグメント監視ノードが送信してくる各種アラームに対応して、ネットワーク運用者への通知を行う。
図1の実施例では、1つのネットワークグループ70が二つのセグメント60a、60bで構成される場合を示しているが、セグメント数が3以上の場合も各セグメントの構成は同様となる。また、ネットワークグループ数が2以上の場合も同様である。
以後の記述では、説明の便宜上、ネットワークは一つのネットワークグループ70で構成され、ネットワークグループ70は2つのセグメント60a、60bで構成される場合を代表例として説明する。
また、上記の図1ではネットワーク管理手段をネットワーク管理ノードとして実現し、セグメント監視手段をセグメント監視ノードとして実現した場合を代表的な実施例として示しているが、このネットワーク管理手段とセグメント管理手段を同一のノードに含めて構成することも可能である。以下の記述においては、ネットワーク管理手段をネットワーク管理ノードとして実現し、セグメント監視手段をセグメント監視ノードとして実現した場合を代表例として示す。
図2は、本発明のネットワーク監視ノードの構成である。
正規ネットワーク機器情報データベース(以下、正規NW機器情報DBと略記する)21は、ネットワークの管理者がネットワークへの接続を許可したネットワーク機器(クライアントなど)についてのネットワーク機器情報を記憶するデータベースである。
照合用接続ネットワーク機器情報データベース(以下、照合用接続NW機器情報DBと略記) 22は、ネットワークグループ70に属するセグメント監視ノードの数だけ存在し、それぞれ、各セグメント監視ノードが収集したネットワークグループ70に接続されているネットワーク機器のネットワーク機器情報を保持している。図2では、セグメント監視ノード40a、40bに対応してそれぞれ照合用接続NW機器情報DB 22a、22bの2つのデータベースで構成される例を示している。
照合部23は、ネットワークグループ70内の各セグメント監視ノードが収集したネットワーク機器情報(接続ネットワーク機器情報)が同一であるか否かを照合用接続NW機器情報DB 22a、22bを用いて照合し、線路断、機器障害などの障害の発生の有無を判別する。つまり、各照合用接続NW機器情報DBに、ネットワークグループ70に接続されている全ての接続ネットワーク機器情報が収集され格納された時点で、照合部23は、各照合用接続NW機器情報DB内の接続ネットワーク機器情報を互いに比較照合する。つまり図2の実施例では、セグメント監視ノード40aが収集したネットワークグループ70(セグメント60a、60b)に接続されているネットワーク機器の接続ネットワーク機器情報の機器識別情報と、セグメント監視ノード40bが収集したネットワークグループ70(セグメント60a、60b)に接続されているネットワーク機器の接続ネットワーク機器情報の機器識別情報とを比較照合する。
比較結果が同一、つまり、各照合用接続NW機器情報DB 22が同じ機器識別情報の接続ネットワーク機器情報を含んでいる場合は、これらのセグメント監視ノード40a、40bが収集したネットワーク機器情報はネットワークグループ70に現在接続されているネットワーク機器のネットワーク機器情報を網羅しており障害発生していないと判断して、セグメント監視ノード制御部24は照合用接続NW機器情報DB 22内の接続ネットワーク機器情報を正規NW機器情報DB 21へ上書きコピーして正規NW機器情報DB 21の内容を更新する。この上書きコピーは、正規NW機器情報DB 21に既に存在するネットワーク機器情報の内、照合用接続NW機器情報DB 22のネットワーク機器情報と同じ値の機器識別情報を持つネットワーク機器情報のみを照合用接続NW機器情報DB 22のネットワーク機器情報の内容で置き換えることにより行う。これにより、ネットワークグループ70内でネットワーク機器の接続変更が行われた場合でも、接続変更に伴って変更となるネットワーク機器情報内の例えばIPアドレスなどの機器識別情報以外の情報が正しく正規NW機器情報DB 21に反映されるようになる。また、一時的に電源を落としているクライアントなどのネットワーク機器のネットワーク機器情報については照合用接続NW機器情報DB 22に格納されないため、それらのネットワーク機器情報については既に正規NW機器情報DB 21に存在するものが正規ネットワーク機器のネットワーク機器情報として残される。
比較結果が同一でなければ、ネットワークグループ70内のどこかで障害が発生したと判断し、障害箇所特定部27を起動して障害箇所の特定を行う。
セグメント監視ノード制御部24は、所定のタイミングで正規NW機器情報DB 21から正規ネットワーク機器情報を読み出し、ネットワークグループ70内の全セグメント監視ノードへ配信する。ここで、所定のタイミングとしては、例えば一定周期とすることができる。
また、照合部23は、各セグメント監視ノードから受信した接続ネットワーク機器情報を対応する照合用接続NW機器情報DB 22へ格納する。
セグメント監視ノード通信部25は、セグメント監視ノード制御部24と各セグメント監視ノードとの間のデータ受け渡しを行う。
LAN 26は、各セグメント監視ノードとデータ受け渡しを行うためのLANインターフェースで、通常は管理用セグメントのルータ10に接続される。
障害箇所特定部27は照合部23から起動され、ネットワークグループ70内の各ネットワーク機器に対してネットワークツリー構成情報29に示されるネットワーク機器の接続関係を基にネットワーク探索コマンドを送信してその応答状態をチェックし、障害箇所検索表を生成する。さらに、その生成した障害箇所検索表を基に、予め発生しえる障害箇所のパターンを設定した障害箇所分類表内を用いて、発生した障害が上記障害箇所分類表のどのパターンに該当するかを判定して、障害箇所を特定する。これらの障害箇所特定の方法については、その詳細を後述する。
ネットワークツリー構成情報29は、障害箇所特定部27が障害箇所を特定するために各ネットワーク機器へネットワーク探索コマンドを送信する際に使用するもので、ネットワーク機器の接続関係の情報が設定されている。
上記のネットワーク監視ノード20の構成では、ネットワークグループが1個の場合を示しているが、2個目以上のネットワークグループが存在する場合は、該ネットワークグループについての正規NW機器情報DB、照合用接続NW機器情報DB、及び、ネットワークツリー構成情報が追加され、該ネットワークグループに対応して上記と同様な処理が行われる。
図3は、本発明のセグメント監視ノードの構成である。
セグメント監視ノードはセグメント毎に1台設置されるが、図3では、セグメント60aに設置されるセグメント監視ノード40aを代表例としてその構成を示している。2台目以上のセグメント監視ノードについても同様な構成となる。
セグメント監視ノード40aは正規NW機器情報DB 401、接続NW機器情報DB 402の2つのデータベースを備えている。
正規NW機器情報DB 401は、ネットワーク監視ノード20から所定のタイミングで配信されてくるネットワークグループ70の正規ネットワーク機器に関するネットワーク機器情報をセグメント毎に分類して保持する。
接続NW機器情報DB 402は、セグメント監視ノード40aが収集したネットワークグループ70に現在接続されているネットワーク機器のネットワーク機器情報を接続ネットワーク機器情報として保持する。
照合部403は、正規NW機器情報DB 401に格納されている正規ネットワーク機器情報の機器識別情報と接続NW機器情報DB 402に格納されている接続ネットワーク機器情報の機器識別情報をセグメント毎に比較照合する。つまり、セグメント監視ノード40aが収集したセグメント60aに接続されているネットワーク機器の機器識別情報を、正規NW機器情報DB 401に格納されている全ての正規ネットワーク機器情報の機器識別情報と比較照合し、機器識別情報が一致するネットワーク機器情報が正規NW機器情報DB 401内にあれば該接続ネットワーク機器は接続を許可されている、つまり、正規ネットワーク機器であると判断する。一方、機器識別情報が一致するネットワーク機器情報が正規NW機器情報DB 401内にない場合は該ネットワーク機器は不正に接続された判断して、直ちにネットワーク監視ノード20へ不正ネットワーク機器に関する情報を送信する。
上記の比較処理を接続NW機器情報DB 402内に記憶されている全ての接続ネットワーク機器情報について行い、全セグメントについて正常と判断された場合は不正なネットワーク機器の接続はなかったと判断し、NW監視ノード制御部404は接続NW機器情報DB 402内の接続ネットワーク機器情報をネットワーク管理ノード20へ送信する。
ここで、上記の比較照合処理はネットワーク機器情報の中の機器識別情報を基に行われるため、クライアントの設置場所の移動が行われた場合、つまり、機器識別情報以外の情報(例えば、IPアドレス)が変更になっても該接続ネットワーク機器情報は正常と判断される。
NW監視ノード制御部404は、ネットワーク監視ノード20からNW監視ノード通信部405を介して受信した正規ネットワーク機器情報を正規NW機器情報DB 401へ格納する。また、接続NW機器情報DB 402に格納されているネットワークグループ70(セグメント60a、60b)へ接続されているネットワーク機器の接続ネットワーク機器情報を接続NW機器情報DB 402より取り出し、NW監視ノード通信部405を介してネットワーク監視ノード20へ送信する。
NW監視ノード通信部405は、NW監視ノード制御部404の指示に従って、LANを介してネットワーク監視ノード20とNW監視ノード制御部404と間のデータ受け渡しを行う。
NW機器制御部406は、ネットワーク探索コマンド(例えば、ICMPコマンド)を生成して、NW機器通信部407を介して各ネットワーク機器へ送信しネットワーク機器の状態をチェックする。NW機器制御部406は、正規NW機器情報DB 401にネットワーク監視ノード20から配信された正規ネットワーク機器情報が格納された時点で、NW機器通信部407を介してネットワークグループ70内の全てのセグメントに存在するネットワーク機器のネットワーク機器情報を収集し、接続ネットワーク機器情報として接続NW機器情報DB 402へ格納する。
NW機器通信部407は、LANを介して各セグメントのネットワーク機器とNW機器制御部406と間のデータ受け渡しを行う。
セグメント監視ノード制御部408は、ネットワークグループ70に属する他のセグメント監視ノードへの接続ネットワーク機器情報の収集完了の通知と応答受信を行う。
セグメント監視ノード通信部409は、セグメント監視ノード制御部408とネットワークグループ70に属する他のセグメント監視ノードとの間の通信を行う。
ポートセレクタ411は、NW監視ノード通信部405、NW機器通信部407、セグメント監視ノード通信部409と各LANポートとの間のデータ受け渡しの制御を行う。
LAN#0、LAN#1はLANポートで、LAN#0はネットワーク監視ノード20および主監視セグメントとなるセグメント60aに接続され、LAN#1は副監視セグメントとなるセグメント60bに接続される。図3では、ネットワークグループ70が2つのセグメントで構成される例を示しているため、LANポートは2つだけ示しているが、ネットワークグループ70が3つ以上のセグメントから成る場合には、各セグメントに接続するためのLANポートがそれぞれ設けられる。
次に、発生事象別例により、本発明の詳細を説明する。
図4は、本発明のネットワーク監視方法の通常運用時の処理手順で、処理手順P01〜P04に対応したデータの流れを図4の中に示す異なった線種の矢印で表記している。
P01. ネットワーク監視ノード20は、所定のタイミングでセグメント監視ノード40a、40bに対して正規ネットワーク機器情報を配信し、セグメント監視ノード40a、40bは配信された正規ネットワーク機器情報をそれぞれの正規NW機器情報DBに格納する。
P02. セグメント監視ノード40a、40bは、セグメント60a、60bの接続ネットワーク機器情報をそれぞれのセグメントに接続された2つのLANポートから収集する。つまり、セグメント監視ノード40aはネットワークグループ70のセグメント60a、60bの接続ネットワーク機器情報(図4ではNa、Nbと表記)をそれぞれLANポート#0、#1から収集し、セグメント監視ノード40bはセグメント60a、60bの接続ネットワーク機器情報(図4ではNa、Nbと表記)をそれぞれLANポート#1、#0から収集する。
P03. 接続ネットワーク機器情報の収集を完了したら、セグメント監視ノード40a、40bは互いに収集が完了したことを通知する。
P04. セグメント監視ノード40a、40bは収集した接続ネットワーク機器情報をネットワーク監視ノード20へ送信する。接続ネットワーク機器情報のネットワーク監視ノード20への送信は、該接続ネットワーク機器情報を収集したセグメント監視ノードが属する主監視セグメント内の通信経路を用いる場合と、副監視セグメント内の通信経路も同時に用いる場合があるが、図4では後者の場合を示している。
図5は、本発明のネットワーク監視方法の不正クライアント侵入時の処理手順で、処理手順P01〜P03に対応したデータの流れを図5の中に示す異なった線種の矢印で表現したものである。ここでは、セグメント監視ノード40aに関する処理のみを矢印で示しているが、セグメント監視ノード40bの場合についても同様である。
P01. ネットワーク監視ノード20は、所定のタイミングでセグメント監視ノード40a、40bに対して正規ネットワーク機器情報を配信し、セグメント監視ノード40a、40bは配信された正規ネットワーク機器情報をそれぞれの正規NW機器情報DBに格納する。
P02. セグメント監視ノード40aは、セグメント60a、60bに接続されているネットワーク機器のネットワーク機器情報(接続ネットワーク機器情報)を、それぞれのセグメントに接続されている2つのLANポートから収集する。つまり、セグメント監視ノード40aはセグメント60aとセグメント60bの接続ネットワーク機器情報(図5ではNa、Nbと表記)をLANポート#0、#1から収集する。
P03. セグメント監視ノード40aは、正規NW機器情報DBに格納されている正規ネットワーク機器情報の機器識別情報と、上記処理手順P02で収集した接続ネットワーク機器情報の機器識別とを比較照合することにより、セグメント60aに接続された不正クライアント50x(このクライアントの機器識別情報は正規NW機器情報DBに格納されているネットワーク機器情報のいずれにも含まれていない)を検出する。
セグメント監視ノード40aは、直ちにネットワーク監視ノード20へ不正クライアントの検出を通知する。
ここで、不正クライアント検出情報の通知経路としては、次の2経路が可能である。
・LANポート#0(主監視セグメントに接続)からの単一経路による通知。
・LANポート#0(主監視セグメントに接続)およびLANポート#1(副監視セグメントに接続)からの複数経路による通知。
図5は後者の場合を示しており、この場合は、複数経路により不正クライアントの検出をネットワーク監視ノード20へより確実に通知することができるようになる。
また、ネットワークグループが3つ以上のセグメントで構成されている場合でも、複数のセグメント内の経路を用いて複数の経路で通知するように構成することができる。
上記の図5の説明では、ネットワーク機器としてクライアントを代表例に説明したが、クライアント以外のハブなどのネットワーク機器についても不正に接続された場合は同様にして検出される。
図6は、本発明のネットワーク監視方法のセグメント監視ノード障害時の処理手順で、処理手順P01〜P05に対応したデータの流れを図6の中に示す異なった線種の矢印で表現したものである。説明の便宜上、セグメント監視ノード40aを中心としたデータの流れを矢印で示しているが、セグメント監視ノード40bについても同様である。
P01. ネットワーク監視ノード20は、所定のタイミングでセグメント監視ノード40a、40bに対して正規ネットワーク機器情報を配信し、セグメント監視ノード40a、40bは配信された正規ネットワーク機器情報をそれぞれの正規NW機器情報DBに格納する。
P02. セグメント監視ノード40a、40bは、セグメント60a、60bに接続されているネットワーク機器のネットワーク機器情報(接続ネットワーク機器情報)を2つのLANポートから収集する。つまり、セグメント監視ノード40aはセグメント60aとセグメント60bの接続ネットワーク機器情報(図6ではNa、Nbと表記)をそれぞれLANポート#0、#1を介して収集する。セグメント監視ノード40bもセグメント監視ノード40aと同様にして、セグメント60aとセグメント60bの接続ネットワーク機器情報をそれぞれ2つのLANポートを介して収集する。
P03. 接続ネットワーク機器情報の収集を完了したら、セグメント監視ノード40a、40bは互いに収集が完了したことを通知しようとするが、この場合はセグメント監視ノード40bの障害で通信が出来ない。
P04. セグメント監視ノード40aは収集したセグメント60aおよびセグメント60bの接続ネットワーク機器情報と共に、セグメント監視ノード40bの障害をネットワーク監視ノード20へ通知する。ここで、通知の経路として、LANポート#0(主監視セグメントに接続)からの単一経路による通知と、LANポート#0(主監視セグメントに接続)およびLANポート#1(副監視セグメントに接続)からの複数経路による通知の二通りの方法があるのは、前記図5の場合と同様であり、図6では後者の場合を示している。
P05. ネットワーク監視ノード20は障害が発生したと推定されるセグメント監視ノード40bに対して、システム初期化のコマンドを送信して、セグメント監視ノード40bの復旧を試みる。
次に、本発明のネットワーク監視方法による障害発生箇所の特定方法について説明する。
図7はネットワーク内の障害箇所で、ネットワークグループ70内で発生する可能性のある障害箇所の代表例を、A01〜A17の参照符号を付与した「×」印で示している。図7では、管理セグメント60とセグメント60aについての代表例を示しているが、セグメント60bについても同様である。
図8は、本発明のネットワークツリー構成情報で、ネットワークグループ70についてのネットワークツリー構成情報29を代表例として示している。
ネットワークを構築する際に(または増設する際に)、ネットワーク監視ノード20にはネットワークグループ毎に、NW機器名 29a、NW機器記号 29b、上位機器記号29c、種別29d、所属セグメント20eの情報を含んだネットワークツリー構成情報29を事前に登録しておく。
NW機器名29aはネットワークグループ70に含まれるノードの名称で、NW機器記号29bはNW機器名29aを示す記号である。上位機器記号29cは、ネットワークツリー構成上で該ノードの直属の上位に位置するノードの識別記号であり、種別29dは該ノードの種類を示す情報である。また、所属セグメント29eは該ノードが接続されているセグメントの識別情報である。
図9は本発明の障害箇所分類表で、前記図7に示したネットワーク内の障害箇所を障害箇所特定のためにパターン分けした障害発生箇所パターン情報を保持している。
図9の中の「図7の対応記号」の欄には、各障害発生箇所パターンに対応する障害箇所のネットワーク内の位置を、図7に示したネットワーク内の障害箇所に記載の参照記号で示している。
本発明のネットワーク監視ノードは、ネットワーク探索コマンドを各ネットワーク機器に送信し、その応答結果が図9に示した障害発生箇所パターンA〜Fの6パターンのいずれに該当するかを判定して障害箇所の特定を行う。
図10は本発明の障害箇所検索表で、ネットワーク監視ノード20はネットワーク探索コマンドを各ノードへ送信した際の応答結果を本障害箇所検索表に一時記録し、これを基に障害箇所の特定を行う。ここでは、前記図1の本発明のネットワーク監視システムの構成に示すように、セグメント60aとセグメント60bの2つのセグメントで1つのネットワークグループ70が構成され、セグメント監視ノード40aは2つのLANポート#0、#1を具備し、それぞれLANポートは主監視セグメントとなるセグメント60a、および、副監視セグメントとなるセグメント60bに接続されている場合の障害箇所検索表を示している。
障害発生時は、セグメント監視ノード40a、40bはネットワーク監視ノード20からネットワークグループ70についてのネットワークツリー構成情報29を受け取る。
ネットワークツリー構成情報29を受け取った各セグメント監視ノードは、ネットワーク探索コマンドを用いて各ネットワーク機器の状態をチェックする。ネットワーク探索コマンドとしては、例えば、ICMP(Internet Control Message Protocol)パケットのPingコマンドを用いることができる。以下の記述では、このPingコマンドを用いた場合を代表例として示す。
つまり、セグメント監視ノード40aは、セグメント60aに接続されたLANポート#0からネットワークツリー構成情報29に列記された所属セグメントが60aの全てのネットワーク機器に対しPingコマンドを送出し、その応答結果を収集する。同時にセグメント60bに接続されたLANポート#1からも同様に所属セグメントが60bの全てノードに対してPingコマンドを送出して応答結果を収集する。収集が完了したら、セグメント60aに接続されたLANポート#0、及び、セグメント60bに接続されたLANポート#1の双方からからネットワーク監視ノード20へ応答結果を送信する。セグメント監視ノード40bについても、同様の処理を行う。
ネットワーク監視ノード20はセグメント監視ノード40aおよびセグメント監視ノード40bのそれぞれからPingによる応答結果を受信し、これらの応答結果を基に図10に示す障害箇所検索表を生成する。
障害箇所検索表は、各ネットワーク機器毎についての項目C01〜C10の情報から構成される。
C01はネットワーク機器を示す略号であるNW機器記号、C02は接続先セグメント識別情報である。
C03〜C06はセグメント監視ノード40aからPing実行時の応答結果の情報で、C03はLANポート#0からのPing結果、C04はC03のPingの結果がNGの場合の上位機器記号、C05はLANポート#1からのPing結果、C06はC05のPingの結果がNGの場合の上位機器記号である。
C07〜C10は、セグメント監視ノード40bからPing実行時の応答結果に関する情報で、C07はLANポート#0からのPing結果、C08はC07のPingの結果がNGの場合の上位機器記号、C09はLANポート#1からのPing結果、C10はC09のPingの結果がNGの場合の上位機器記号である。
ここで、PingがNGの場合の上位機器記号については、図8に示したネットワークツリー構成情報より逆引きして求めることができる。
セグメント監視ノードの各LANポートから自ノードへPing送出する箇所は「d.c.(Don’t Care)」と表記する。
C04列、C06列、C08列、C10列に記されたNW機器の中で、ネットワークツリー構成上最も上位に位置するNW機器を図8に示したネットワークツリー構成表情報29より求めて最下行に設定し、NG上位機器とする。
このようにしてネットワーク監視ノード20は、障害検出時は、各ネットワークグループ毎に図10に示す障害箇所検索表を作成し、この作成した障害箇所検索表が前記図9に示した障害箇所分類表の中のパターンA〜Fの中のどのパターンに適合しているかを判定して、障害箇所の特定を行う。
次に、図9に示した障害箇所分類表に記載されている各パターン別の障害箇所特定方法について説明する。
(1)パターンAの場合
図10に示す障害箇所検索表で、C03列、C05列、C07列、C09列全てにおいて応答無し(d.c.を含む)の場合は、生成される障害箇所検索表は図11のパターンAの障害箇所検索表に示すようになる。このときは、発生した障害は図9に示す障害箇所分類表の中のパターンAに適合すると判断する。つまり、障害箇所は、NW基幹ルータ(図7に示す障害箇所のA01)と特定する。
(2)パターンBの場合
図10に示す障害箇所検索表を生成するためのPing処理において、下記の1)、2)、3)の条件が全て満たされるとする。
1)C03列とC07列の全て(セグメント60aへのPingに対する結果)が応答無し(d.c.を含む)、またはC05列とC09列の全て(セグメント60bへのPingに対する結果)が応答無し(d.c.を含む)。
2) 上記1)項にて応答がある列(セグメント60bへのPingの応答結果を示す C05列とC09列)において、応答がないセグメント(セグメント60a)に属するNW機器(セグメント60a側)に対するPing結果が全てNG。
3) 上記1)項にて応答があるセグメントにおいて(C05列とC09列)、Ping結果がNGとなったNW機器の上位機器がNW基幹ルータ(例ではRT_A)。
このときは、図12に示す内容の障害箇所検索表が生成される。このときは、障害が発生している箇所は、上記1)項にてPingに対する応答がない方のセグメントであり、また、上記2)および3)の条件から障害箇所としてはパターンBが該当し、NW基幹ルータ〜セグメント基幹ハブ間(図7の障害箇所A02)、または、セグメント基幹ハブ(図7の障害箇所おA03)と特定することができる。
(3)パターンCの場合
図10に示す障害箇所検索表を生成するためのPing処理において、特定のセグメント基幹ハブまたはセグメント支線ハブ、またはクライアントのみPingがNG、の場合は、
・セグメント基幹ハブ〜セグメント支線ハブ間の障害(図7のA15)
・セグメント支線ハブの障害(図7のA16)
・セグメント基幹ハブ〜クライアント間の障害(図7のA04)
・セグメント支線ハブ〜クライアント間の障害(図7のA12)
・クライアントの障害(図7のA08またはA13)
のいずれかと推定でき、障害箇所としてはパターンCが相当する。
例えば、図13に示すように、C01列の特定のNWノードに対するPingの結果が全てNGとなる応答障害箇所検索表が生成され、障害箇所は、NG上位機器〜Ping結果がNGであるクライアント間(図7のA12)、または、Ping結果がNGであるクライアント(図7のA13)であると特定できる。
(4)パターンDの場合
図10に示す障害箇所検索表を生成するためのPing処理において、下記の1)および
2)の条件が満たされるとする。
1)C03列、C05列、C07列、C09列いずれかの列が全て応答無し(d.c.を含む)。
2)いずれかのセグメント監視ノードのいずれかのLANポート(例えば、セグメント監視ノード40aのLANポート#0)と、そのセグメント監視ノードの上位機器(例えば、HUB_E)のPing結果がNG。
このときは、ネットワークノードのツリー構成の関係を基に考えると、障害箇所は
・セグメント監視ノードの収容ハブ(図7のA07、A17)
・セグメント監視ノードの収容ハブ〜上位ハブへの接続線路間(図7のA06、A14)
・セグメント監視ノードの収容ハブの上位ハブ(但し、セグメント基幹ハブ含まず)
のいずれかと推定でき、図9に示す障害箇所分類表のパターンDに相当する。
例えば、生成された障害箇所検索表が図14のようになったとすると、障害箇所は、Ping結果がNGとなったセグメント監視ノード収容ハブ(図7のA17)、または、Ping結果がNGとなったNW機器〜NG上位機器間(図7のA14)と特定できる。
(5)パターンEの場合
図10に示す障害箇所検索表を生成するためのPing処理において、下記の条件が満たされたとする。
・C03列、C05列、C07列、C09列いずれかの列の全てが応答無し(d.c.を含む)。
(つまり、いずれかのセグメント監視ノードのいずれかのLANポートのみ、Ping結果がNG)
このときは、いずれかのセグメント監視ノードのいずれかのLANポートを介した接続が異常であり、障害箇所は、セグメント監視ノード〜セグメント監視ノード収容ハブ間と推定でき、図9に示す障害箇所分類表のパターンEに相当する。
例えば、生成された障害箇所検索表が図15のようになったとすると、障害が発生している箇所は、セグメント監視ノード40bのLANポート#1〜ハブ30d間のA05と特定することができる。
(6)パターンFの場合
図10に示す障害箇所検索表を生成するためのPing処理において、下記の1)および2)
の条件が満たされるとする。
1)C03列とC05列全て(セグメント監視ノード40a)が応答無し(即ち、応答結果を受信せず)、またはC07列とC09列全て(セグメント監視ノード40b)が応答無し。
2)上記1)項にて応答があるセグメント監視ノードにおいて、応答がないセグメント監視ノードの2つのLANポート#0、#1に対するPing結果が全てNG。
このときは、セグメント監視ノード障害と推定でき、図9に示す障害箇所分類表のパターンFに相当する。
例えば、生成された障害箇所検索表が図16のようになったとすると、障害が発生している箇所はPing結果がNGであるセグメント監視ノードであり、セグメント監視ノード40aと特定できる。
図17は、本発明のネットワーク監視ノードの動作フローチャートである。
S01. ネットワーク内の各セグメント監視ノードへ、所定の周期で、正規NW機器情報DBの内容(正規ネットワーク機器情報)を送信する。
S02. セグメント監視ノードからデータが送信されてくるのを所定の時間監視し、いずれのセグメント監視ノードからもデータが受信されていないときは、基幹ルータの障害とみなして、ステップS08へ移行する。所定の時間内にセグメント監視ノードからデータを受信した場合は、次のステップS03へ移行する。
S03. ネットワークのいずれかのセグメント監視ノードから不正クライアント検出の通知が送信されてきたか否かを判定し、不正クライアント検出の通知があった場合は、その旨ネットワーク管理者へ通知する。
S04. セグメント監視ノードの障害検出の通知が送信されてきたか否かを判定し、セグメント監視ノードの障害検出の通知を受信している場合は、その旨ネットワーク管理者へ通知し、セグメント監視ノードの障害検出の通知を受信していない場合は、次のステップS05へ進む。
S05. 照合用接続NW機器情報DB 22に格納されているネットワークグループ内の各セグメント監視ノードから送信されてきた接続ネットワーク機器情報を比較照合する。各セグメント監視ノードから送信されてきた接続ネットワーク機器情報は、各セグメント監視ノードに対応して設けられた照合用接続NW機器情報DB 22に格納されており、これらの全ての照合用接続NW機器情報DB 22が同じ接続ネットワーク機器情報を含んでいるか否かをチェックする。
チェックOKの場合は、該ネットワークグループの状態は正常(障害は発生していない)と判断して次のステップS06へ進み、チェックNGの場合は、ネットワークグループ内で障害が発生していると判断してステップS07へ移行する。
S06. 照合用接続NW機器情報DBの中の一つのDBの内容を正規NW機器情報DBへ上書きコピーして処理を終了する。ここで、上書きコピーの方法としては、正規NW機器情報DBに含まれているネットワーク機器情報と同じ機器識別情報を持つ照合用接続NW機器情報DB内のネットワーク機器情報については正規NW機器情報DBに上書きで書き込みを行うが、照合用接続NW機器情報DBに含まれていないが正規NW機器情報DBに既に存在するネットワーク機器情報については、そのままにしておくようにする。これにより、電源が停止されていて一時的に使用されていない正規クライアントのネットワーク機器情報についても正しく正規NW機器情報DB内に維持される。
S07. ネットワークツリー構成情報を基に、ネットワーク探索コマンドを各ネットワーク機器に送信してその応答状況を基に図11〜図16に示す障害箇所検索表を生成し、発生した障害が図9に示した6パターンの障害発生箇所パターンのいずれに相当するかを特定して、その旨をネットワーク管理者へ通知して、処理を終了する。その詳細については、図11〜図16で解説した通りであり、ここではその説明を割愛する。
また、上記ステップS05〜S07の処理は、1つのネットワークグループについて記述したが、ネットワークグループが2つ以上ある場合については、それぞれのネットワークグループについて同様な処理を行う。
S08. ネットワーク管理者へ基幹ルータの障害が発生した旨通知して、処理を終了する。
図18は、本発明のセグメント監視ノードの動作フローチャート(1)である。
S01. ネットワーク監視ノード20から配信される正規ネットワーク機器情報を受信し、正規NW機器情報DBに格納する。
S02. 本セグメント監視ノードに接続されている全てのセグメント(ネットワークグループ内の全てのセグメント)について、現在接続されているネットワーク機器(クライアントを含む)に関してのネットワーク機器情報である接続ネットワーク機器情報を収集し、接続NW機器情報DBへ格納する。収集方法としては、例えば、Pingコマンドを用いることができる。
S03. 上記ステップS02で収集した接続ネットワーク機器情報の機器識別情報が、上記ステップS01でネットワーク監視ノードから受信した正規NW機器情報DBの中のいずれかの正規ネットワーク機器情報の機器識別情報に一致するか否かをチェックする。
チェックOK(一致する正規ネットワーク機器情報がある)の場合は、ネットワークグループに接続されているネットワーク機器は正規のネットワーク機器であるとみなして、次のステップS05へ進む。
チェックNG(一致する正規ネットワーク機器情報がない)の場合は、ネットワークグループに不正なネットワーク機器が接続されたとみなして、その旨をLANポート#0を介してネットワーク監視ノード20へ通知する。ここで、LANポート#0以外のLANポートに対しても同様な通知を同時に送信するように構成することもできる。これにより、不正なネットワーク機器の接続を複数の通信経路を介して確実にネットワーク監視ノードへ通知することができるようになる。
S04. ネットワークグループ内の他のセグメント監視ノードに対して、接続ネットワーク機器情報を収集完了した旨通知する。
S05. 上記ステップS05での他のセグメント監視ノードへの通知に対する応答データの受信を待ち合わせる。
所定時間内に応答が受信されないときは、応答してこないセグメント監視ノードに障害が発生したと判断し、その旨をネットワーク監視ノードへ通知する。
S06. 接続NW機器情報DBに格納されている本セグメント監視ノードに接続されている全てのセグメントについての接続ネットワーク機器情報を、ネットワーク監視ノードへ送信し、処理を終了する。
図19は、本発明のセグメント監視ノードの動作フローチャート(2)で、他のセグメント監視ノードから接続ネットワーク機器情報の収集完了を通知された場合の処理を示している。
S01. 他のセグメント監視ノードからの接続ネットワーク機器情報収集完了の通知情報を受信する。
S02. 通知を発信したセグメント監視ノードへ、該通知を受信した旨の応答情報を返信し、処理を終了する。
以上詳述した本発明の実施例においては、主にネットワークグループを1個として説明したが、2個以上の場合はそれぞれのネットワークグループについて、上記と同様の処理を行うことにより対応できる。
上記の実施例で示したネットワーク構成は1例であり、様々のネットワーク形態の追加変形が考えられるが、本発明は同様に適用できる。
また、ネットワーク監視ノードおよびセグメント監視ノードはネットワークを構成するネットワーク機器とは別の装置として説明したが、ネットワーク監視ノードおよびセグメント監視ノードはネットワークに接続された既設機器に組み込みソフトウェアとして組込む形でシステムを構築することも可能である。
さらに、上記の実施例ではネットワーク管理手段をネットワーク管理ノードとして実現し、セグメント監視手段をセグメント監視ノードとして実現した場合を代表的な実施例として示したが、このネットワーク管理手段とセグメント管理手段を同一のノードに含めて構成することも可能である。
以上述べた本発明の実施の態様は、以下の付記の通りである。
(付記1)複数のネットワーク機器が接続されるネットワークにおいて、
前記ネットワーク機器は前記ネットワーク機器に固有な機器識別情報を含むネットワーク機器情報を保持し、
前記ネットワークは前記ネットワークを1以上のネットワークグループに分割して監視するネットワーク監視手段と、前記ネットワークグループを複数のセグメントに分割して前記ネットワーク機器を監視する前記セグメント毎に設けられるセグメント監視手段とを備え、
前記ネットワーク監視手段は前記ネットワークグループへの接続を許可されたネットワーク機器についてのネットワーク機器情報である正規ネットワーク機器情報を正規ネットワーク機器情報データベースに保持し、
前記セグメント監視手段は前記ネットワークグループに接続されているネットワーク機器についてのネットワーク機器情報である接続ネットワーク機器情報を前記ネットワークグループを構成する全てのセグメントについて収集し、前記ネットワーク監視手段から引き渡された前記正規ネットワーク機器情報と収集した前記接続ネットワーク機器情報とを比較照合し、前記正規ネットワーク機器情報に含まれない機器識別情報を有する接続ネットワーク機器情報が示すネットワーク機器を前記ネットワークグループへ不正接続されたネットワーク機器と判定して前記ネットワーク監視手段へ通知する、
ことを特徴とするネットワーク監視方法。
(付記2)付記1に記載のネットワーク監視方法において、
前記セグメント監視手段は前記ネットワークグループについての前記接続ネットワーク機器情報を前記ネットワーク監視手段へ送信し、
前記ネットワーク監視手段は前記ネットワークグループ内の前記各セグメント監視手段から送信されてきた前記接続ネットワーク機器情報を、送信してきたセグメント監視手段に対応して設けられる照合用接続ネットワーク機器情報データベースに保持し、複数の前記照合用接続ネットワーク機器情報データベースに格納されている前記接続ネットワーク機器情報を互いに比較照合し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含んでいる場合は前記照合用ネットワーク機器情報データベースの内容を基に前記正規ネットワーク機器情報データベースを更新して前記更新した正規ネットワーク機器情報データベースの内容を前記ネットワークグループ内の全てのセグメント監視手段へ所定のタイミングで配信し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含んでいない場合は前記ネットワークグループ内に障害が発生したと判定する、
ことを特徴とするネットワーク監視方法。
(付記3)付記2に記載のネットワーク監視方法において、
前記正規ネットワーク機器情報データベースの更新は前記正規ネットワーク機器情報データベース内に既に存在するネットワーク機器情報の内、前記照合用接続ネットワーク機器情報データベースに含まれるネットワーク機器情報と同じ値の機器識別情報を含むネットワーク機器情報についてのみ前記照合用接続ネットワーク機器情報データベース内の対応するネットワーク機器情報で書き替える、
ことを特徴とするネットワーク監視方法。
(付記4)付記1に記載のネットワーク監視方法において、
前記機器識別情報として予めネットワーク機器に割り当てられるMACアドレスを用いる、
ことを特徴とするネットワーク監視方法。
(付記5)付記2に記載のネットワーク監視方法において、
前記ネットワーク監視手段は前記ネットワークグループ内の前記ネットワーク機器の接続関係を記憶したネットワークツリー構成情報と、前記ネットワークグループ内の障害の発生する可能性のある箇所をパターン分けした障害発生箇所パターン情報を含む障害箇所分類表とを備え、
障害発生時は前記ネットワークツリー構成情報に基づいてネットワーク探索コマンドを各ネットワーク機器宛に送信して得られる前記各ネットワーク機器からの応答結果を記録した障害箇所検索表を生成し、
前記障害箇所検索表の内容を基に前記障害箇所分類表の中から発生した障害に対応する前記障害発生箇所パターン情報を決定して障害発生箇所を特定する、
ことを特徴とするネットワーク監視方法。
(付記6)付記5に記載のネットワーク監視方法において、
前記ネットワーク探索コマンドとしてICMP(Internet Control Message Protocol)パケットを用いる、
ことを特徴とするネットワーク監視方法。
(付記7)付記1に記載のネットワーク監視方法において、
前記セグメント監視手段は前記セグメント監視手段が属するセグメント内の通信経路を介して前記ネットワーク監視手段へ情報を送信する、
ことを特徴とするネットワーク監視方法。
(付記8)付記1に記載のネットワーク監視方法において、
前記セグメント監視手段は前記ネットワークグループを構成する複数のセグメント内の通信経路を介して前記ネットワーク監視手段へ情報を送信する、
ことを特徴とするネットワーク監視方法。
(付記9)ネットワークを複数のセグメントから成るネットワークグループに分割して監視する手段と、
前記ネットワークに接続されるネットワーク機器が保持するネットワーク機器情報に含まれる機器識別情報を判別する手段と、
前記ネットワークグループを構成する各セグメントに対応して設けられるセグメント監視ノードから前記ネットワークグループに接続されているネットワーク機器のネットワーク機器情報である接続ネットワーク機器情報を受信する手段と、
前記受信した接続ネットワーク機器情報を保持する前記各セグメント監視ノードに対応して設けられる照合用接続ネットワーク機器情報データベースと、
前記ネットワークグループへの接続を許可されたネットワーク機器のネットワーク機器情報である正規ネットワーク機器情報を保持する正規ネットワーク機器情報データベースと、
前記各照合用接続ネットワーク機器情報データベースに格納されている接続ネットワーク機器情報を互いに比較照合し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含む場合は前記照合用接続ネットワーク機器情報データベースの内容を基に前記正規ネットワーク機器情報を更新し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含んでいない場合は前記ネットワークグループ内に障害が発生したと判定する手段と、
更新された前記正規ネットワーク機器情報データベースの内容を前記ネットワークグループ内の全てのセグメント監視ノードへ所定のタイミングで配信する手段を備える、
ことを特徴とするネットワーク監視ノード。
(付記10)付記9に記載のネットワーク監視ノードにおいて、
前記正規ネットワーク機器情報データベースの更新手段は前記正規ネットワーク機器情報データベース内に既に存在するネットワーク機器情報の内、前記照合用接続ネットワーク機器情報データベースに含まれるネットワーク機器情報と同じ値の機器識別情報を含むネットワーク機器情報についてのみ前記照合用接続ネットワーク機器情報データベース内の対応するネットワーク機器情報で書き替える手段を備える、
ことを特徴とするネットワーク監視ノード。
(付記11)付記9に記載のネットワーク監視ノードにおいて、
前記ネットワークグループ内のネットワーク機器の接続関係を記憶したネットワークツリー構成情報と、
前記ネットワークグループ内の障害の発生する可能性のある箇所をパターン分けした障害発生箇所パターン情報を含む障害箇所分類表と、
障害発生時に前記ネットワークツリー構成情報に基づいてネットワーク探索コマンドを各ネットワーク機器宛に送信して得られる前記各ネットワーク機器からの応答結果を記録した障害箇所検索表を生成する手段と、
前記障害箇所検索表の内容を基に前記障害箇所分類表の中から発生した障害に対応する障害発生箇所パターン情報を決定して障害発生箇所を特定する手段を備える、
ことを特徴とするネットワーク監視ノード。
(付記12)ネットワークに接続されるネットワーク機器が保持するネットワーク機器情報に含まれる機器識別情報を判別する手段と、
前記ネットワークを1以上のネットワークグループに分割して監視するネットワーク監視ノードから送信されてくる前記ネットワークグループへの接続を許可されたネットワーク機器のネットワーク機器情報である正規ネットワーク機器情報を受信し保持する手段と、
前記ネットワークグループに接続されているネットワーク機器のネットワーク機器情報である接続ネットワーク機器情報を前記ネットワークグループを構成する全てのセグメントについて収集して保持する手段と、
前記ネットワーク監視ノードから引き渡された前記正規ネットワーク機器情報と収集した前記接続ネットワーク機器情報とを比較照合し、前記正規ネットワーク機器情報に含まれない機器識別情報を有する接続ネットワーク機器情報が示すネットワーク機器を不正接続されたネットワーク機器と判定する手段を備える、
ことを特徴とするセグメント監視ノード。
本発明のネットワーク監視システムの構成 本発明のネットワーク監視ノードの構成 本発明のセグメント監視ノードの構成 本発明のネットワーク監視方法の通常運用時の処理手順 本発明のネットワーク監視方法の不正クライアント侵入時の処理手順 本発明のネットワーク監視方法のセグメント監視ノード障害時の処理手順 ネットワーク内の障害箇所 本発明のネットワークツリー構成情報 本発明の障害箇所分類表 本発明の障害箇所検索表 パターンAの障害箇所検索表 パターンBの障害箇所検索表 パターンCの障害箇所検索表 パターンDの障害箇所検索表 パターンEの障害箇所検索表 パターンFの障害箇所検索表 本発明のネットワーク監視ノードの動作フローチャート 本発明のセグメント監視ノードの動作フローチャート(1) 本発明のセグメント監視ノードの動作フローチャート(2)
符号の説明
10 ルータ
20 ネットワーク監視ノード
21 正規NW機器情報DB
22,22a,22b 照合用接続NW機器情報DB
23 照合部
24 セグメント監視ノード制御部
25 セグメント監視ノード通信部
27 障害箇所特定部
29 ネットワークツリー構成情報
29a NW機器名
29b NW機器記号
29c 上位NW機器記号
29d 種別
29e 所属セグメント
30a,30b,30c,30d,30e,30f ハブ
40a,40b セグメント監視ノード
401 正規NW機器情報DB
402 接続NW機器情報DB
403 照合部
404 NW監視ノード制御部
405 NW監視ノード通信部
406 NW機器制御部
407 NW機器通信部
408 セグメント監視ノード制御部
409 セグメント監視ノード通信部
411 ポートセレクタ
50a,50b,50c,50d,50e,50f,50x クライアント
60 管理セグメント
60a,60b セグメント
70 ネットワークグループ
A01〜A17 ネットワーク内の障害箇所
C01 NW機器記号
C02 接続先セグメント識別情報
C03 セグメント60aへのPing
C04,C06,C08,C10 上位機器記号
C05 セグメント60bへのPing

Claims (5)

  1. 複数のネットワーク機器が接続されるネットワークにおいて、
    前記ネットワーク機器は前記ネットワーク機器に固有な機器識別情報を含むネットワーク機器情報を保持し、
    前記ネットワークは前記ネットワークを1以上のネットワークグループに分割して監視するネットワーク監視手段と、前記ネットワークグループを複数のセグメントに分割して前記ネットワーク機器を監視する前記セグメント毎に設けられるセグメント監視手段とを備え、
    前記ネットワーク監視手段は前記ネットワークグループへの接続を許可されたネットワーク機器についてのネットワーク機器情報である正規ネットワーク機器情報を正規ネットワーク機器情報データベースに保持し、
    前記セグメント監視手段は前記ネットワークグループに接続されているネットワーク機器についてのネットワーク機器情報である接続ネットワーク機器情報を前記ネットワークグループを構成する全てのセグメントについて収集し、前記ネットワーク監視手段から引き渡された前記正規ネットワーク機器情報と収集した前記接続ネットワーク機器情報とを比較照合し、前記正規ネットワーク機器情報に含まれない機器識別情報を有する接続ネットワーク機器情報が示すネットワーク機器を前記ネットワークグループへ不正接続されたネットワーク機器と判定して前記ネットワーク監視手段へ通知する、
    ことを特徴とするネットワーク監視方法。
  2. 請求項1に記載のネットワーク監視方法において、
    前記セグメント監視手段は前記ネットワークグループについての前記接続ネットワーク機器情報を前記ネットワーク監視手段へ送信し、
    前記ネットワーク監視手段は前記ネットワークグループ内の前記各セグメント監視手段から送信されてきた前記接続ネットワーク機器情報を、送信してきたセグメント監視手段に対応して設けられる照合用接続ネットワーク機器情報データベースに保持し、複数の前記照合用接続ネットワーク機器情報データベースに格納されている前記接続ネットワーク機器情報を互いに比較照合し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含んでいる場合は前記照合用ネットワーク機器情報データベースの内容を基に前記正規ネットワーク機器情報データベースを更新して前記更新した正規ネットワーク機器情報データベースの内容を前記ネットワークグループ内の全てのセグメント監視手段へ所定のタイミングで配信し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含んでいない場合は前記ネットワークグループ内に障害が発生したと判定する、
    ことを特徴とするネットワーク監視方法。
  3. 請求項2に記載のネットワーク監視方法において、
    前記ネットワーク監視手段は前記ネットワークグループ内の前記ネットワーク機器の接続関係を記憶したネットワークツリー構成情報と、前記ネットワークグループ内の障害の発生する可能性のある箇所をパターン分けした障害発生箇所パターン情報を含む障害箇所分類表とを備え、
    障害発生時は前記ネットワークツリー構成情報に基づいてネットワーク探索コマンドを各ネットワーク機器宛に送信して得られる前記各ネットワーク機器からの応答結果を記録した障害箇所検索表を生成し、
    前記障害箇所検索表の内容を基に前記障害箇所分類表の中から発生した障害に対応する前記障害発生箇所パターン情報を決定して障害発生箇所を特定する、
    ことを特徴とするネットワーク監視方法。
  4. ネットワークを複数のセグメントから成るネットワークグループに分割して監視する手段と、
    前記ネットワークに接続されるネットワーク機器が保持するネットワーク機器情報に含まれる機器識別情報を判別する手段と、
    前記ネットワークグループを構成する各セグメントに対応して設けられるセグメント監視ノードから前記ネットワークグループに接続されているネットワーク機器のネットワーク機器情報である接続ネットワーク機器情報を受信する手段と、
    前記受信した接続ネットワーク機器情報を保持する前記各セグメント監視ノードに対応して設けられる照合用接続ネットワーク機器情報データベースと、
    前記ネットワークグループへの接続を許可されたネットワーク機器のネットワーク機器情報である正規ネットワーク機器情報を保持する正規ネットワーク機器情報データベースと、
    前記各照合用接続ネットワーク機器情報データベースに格納されている接続ネットワーク機器情報を互いに比較照合し、全ての前記用照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含むときには前記照合用接続ネットワーク機器情報データベースの内容を基に前記正規ネットワーク機器情報を更新し、全ての前記照合用接続ネットワーク機器情報データベースが同じ機器識別情報の接続ネットワーク機器情報を含んでいないときには前記ネットワークグループ内に障害が発生したと判定する手段と、
    更新された前記正規ネットワーク機器情報データベースの内容を前記ネットワークグループ内の全てのセグメント監視ノードへ所定のタイミングで配信する手段を備える、
    ことを特徴とするネットワーク監視ノード。
  5. ネットワークに接続されるネットワーク機器が保持するネットワーク機器情報に含まれる機器識別情報を判別する手段と、
    前記ネットワークを1以上のネットワークグループに分割して監視するネットワーク監視ノードから送信されてくる前記ネットワークグループへの接続を許可されたネットワーク機器のネットワーク機器情報である正規ネットワーク機器情報を受信し保持する手段と、
    前記ネットワークグループに接続されているネットワーク機器のネットワーク機器情報である接続ネットワーク機器情報を前記ネットワークグループを構成する全てのセグメントについて収集して保持する手段と、
    前記ネットワーク監視ノードから引き渡された前記正規ネットワーク機器情報と収集した前記接続ネットワーク機器情報とを比較照合し、前記正規ネットワーク機器情報に含まれない機器識別情報を有する接続ネットワーク機器情報が示すネットワーク機器を不正接続されたネットワーク機器と判定する手段を備える、
    ことを特徴とするセグメント監視ノード。
JP2004155190A 2004-05-25 2004-05-25 ネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノード Pending JP2005341062A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004155190A JP2005341062A (ja) 2004-05-25 2004-05-25 ネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノード

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004155190A JP2005341062A (ja) 2004-05-25 2004-05-25 ネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノード

Publications (1)

Publication Number Publication Date
JP2005341062A true JP2005341062A (ja) 2005-12-08

Family

ID=35494140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004155190A Pending JP2005341062A (ja) 2004-05-25 2004-05-25 ネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノード

Country Status (1)

Country Link
JP (1) JP2005341062A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100874015B1 (ko) 2007-06-11 2008-12-17 스콥정보통신 주식회사 무선랜 침입 방지 시스템 및 방법
WO2020085050A1 (ja) * 2018-10-26 2020-04-30 日本電信電話株式会社 推定方法、推定装置及び推定プログラム
JP2021057632A (ja) * 2019-09-26 2021-04-08 富士通株式会社 障害評価装置及び障害評価方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100874015B1 (ko) 2007-06-11 2008-12-17 스콥정보통신 주식회사 무선랜 침입 방지 시스템 및 방법
WO2020085050A1 (ja) * 2018-10-26 2020-04-30 日本電信電話株式会社 推定方法、推定装置及び推定プログラム
JP2020068510A (ja) * 2018-10-26 2020-04-30 日本電信電話株式会社 推定方法、推定装置及び推定プログラム
JP6997378B2 (ja) 2018-10-26 2022-01-17 日本電信電話株式会社 推定方法、推定装置及び推定プログラム
JP2021057632A (ja) * 2019-09-26 2021-04-08 富士通株式会社 障害評価装置及び障害評価方法
JP7287219B2 (ja) 2019-09-26 2023-06-06 富士通株式会社 障害評価装置及び障害評価方法

Similar Documents

Publication Publication Date Title
JP4371905B2 (ja) 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
US20030105881A1 (en) Method for detecting and preventing intrusion in a virtually-wired switching fabric
US6457050B1 (en) System and method for dynamically restoring communications within a network
CN101032123B (zh) 用于确定故障对网络服务的影响的方法和装置
JP2004021549A (ja) ネットワーク監視システムおよびプログラム
JP2006086889A (ja) L2−vpnサービスを提供するプロバイダ網、及びエッジルータ
JP2007233749A (ja) 通信装置及び機器遠隔管理システム
CN112291116A (zh) 链路故障检测方法、装置及网络设备
JP5012338B2 (ja) ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法
JP6555721B2 (ja) 障害復旧システム及び方法
JP2005341062A (ja) ネットワーク監視方法、ネットワーク監視ノード及びセグメント監視ノード
KR100964392B1 (ko) 망 관리에서의 장애 관리 시스템 및 그 방법
JP2006332997A (ja) 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム
JP2008148017A (ja) ノード検出装置及びプログラム
GB2362230A (en) Delegated fault detection in a network by mutual node status checking
JP2003032257A (ja) Lan構成装置の設置場所の特定方法および検索装置
CN113328996B (zh) 一种基于目标感知的安全策略智能配置方法
US6901443B1 (en) Non-fault tolerant network nodes in a multiple fault tolerant network
JP2769260B2 (ja) ネットワーク設備運用管理システム
JP4238834B2 (ja) ネットワーク管理システムおよびネットワーク管理プログラム
US8463940B2 (en) Method of indicating a path in a computer network
CN1286014C (zh) 从代理模块故障中恢复的方法
CN1453700A (zh) 一种通过网络对防火墙设备进行安全管理的方法
JP2007206998A (ja) 遠隔診断用の仲介装置
JPH09247146A (ja) ネットワーク管理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070409

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090520

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090526

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091201