JP2006025457A - ネットワーク管理システム - Google Patents

ネットワーク管理システム Download PDF

Info

Publication number
JP2006025457A
JP2006025457A JP2005271315A JP2005271315A JP2006025457A JP 2006025457 A JP2006025457 A JP 2006025457A JP 2005271315 A JP2005271315 A JP 2005271315A JP 2005271315 A JP2005271315 A JP 2005271315A JP 2006025457 A JP2006025457 A JP 2006025457A
Authority
JP
Japan
Prior art keywords
address
management protocol
management
network
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005271315A
Other languages
English (en)
Inventor
Junji Shibata
淳司 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005271315A priority Critical patent/JP2006025457A/ja
Publication of JP2006025457A publication Critical patent/JP2006025457A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】
グローバルアドレスを持たないノード間でデータ通信を行うこと。
【解決手段】
アドレス体系が異なる第1のネットワークと第2のネットワークとがアドレス変換装置を介して接続されたネットワークシステムを管理するネットワーク管理システムであって、第1、第2のネットワークは、それぞれノード及び管理プロトコルプロキシとを有し、それぞれの管理プロトコルプロキシは、ノードから送られてきた管理プロトコルのパケットに含まれる送信元アドレス、送信先アドレス、プロトコルデータユニットをデータとする管理プロトコルプロキシデータとする管理プロトコルプロキシデータ生成部と、他の管理プロトコルプロキシから送られてきた管理プロトコルプロキシデータに含まれるプロトコルデータユニット内のアドレス情報を変換するアドレス変換部とを有する。
【選択図】 図1

Description

本発明は,ネットワーク管理システムに係り,特に,互いにアドレス体系が異なる複数のネットワークが接続されたネットワークシステムを管理するネットワーク管理システムに関する。
現在,インターネットなどで最も広く利用されているネットワークアドレスであるIPアドレスは,IPv4(Internet Protocol ver.4)と呼ばれるプロトコルにより規定されるもので,32ビットのアドレス空間を持つアドレスである。ネットワークアドレスは,ネットワークに接続される機器に一意に割り当てられていなければならず,インターネットに接続する機器のネットワークアドレスについてはNICと呼ばれる機関などにより一意になるように割り当てが行われてきた。IPv4では,32ビットのアドレス空間を持つので理論的には最大で2の32乗個すなわち40億ものアドレスを割り当てることができる。しかしながら,インターネットに接続する機器が増加すると,インターネットに接続する全ての機器にIPv4のIPアドレスを割り当てることが困難になる。
この問題を解決するための技術として広く使われているのが,IETFの定めるRFC1631(The IP Network Address Translator)に記載されているアドレス変換機能と,RFC1918(Address Allocation for Private Internets)に記載されているプライベートネットワークとを組み合わせた方法である。
この方法は,例えば企業内ネットワークなどのローカルなネットワーク内に存在する全ての機器が必ずしもインターネットなどの外部のネットワークに接続するとは限らないということを前提としている。すなわち,まず企業内ネットワークなどのローカルなネットワークは,RFC1918に記載されたプライベートアドレスの範囲のアドレスを使用してIPアドレスを割り当ててネットワークを構築する。
このとき,このプライベートアドレスでは,インターネットなどの外部ネットワークには接続しないようにする。インターネットなどの外部ネットワークに接続する機器については,ローカルのネットワークとインターネットなどの外部ネットワークとの間に,RFC1613に記載されたアドレス変換装置を配置し,アドレス変換により送受信パケットのアドレスをプライベートアドレスから,インターネットにアクセスするためのグローバルアドレスへと変換することによって,接続を可能とする。
ここでグローバルアドレスとはNICなどにより割り当てられたアドレスである。このとき,グローバルアドレスを動的に割り当てて,複数のローカルノードが時間割で1つのグローバルアドレスを共有できるようにするなど,有限であるグローバルアドレスを有効に活用するような工夫も行われている。
ところで,RFC1631において記載されるアドレス変換においては,IPパケットのヘッダに含まれる送信元と送信先のIPアドレスの書き換えと,それに伴って生じるIPヘッダのチェックサムの変更を再計算して置き換える。これによってTCP/IPによる通信が可能となり,その上位層のプロトコルによる通信も可能になる。
しかしながら,例えばSNMPなどのネットワーク管理プロトコルにおいては,管理プロトコルによってやりとりされるプロトコルデータユニット(PDU)中にもIPアドレスが含まれているが,この部分はRFC1631に記載されるアドレス変換装置においては,アドレス変換されない。
一方、特開平11−187058号公報には、RFC1631に記載されるアドレス変換の機能に加えて,管理プロトコルのプロトコルデータユニットについてもアドレス変換をするようなアドレス変換装置が記載されている。
特開平11−187058号公報
しかしながら、アドレス変換装置によってプライベートアドレスとグローバルアドレスによる運用を行うと,管理装置側のネットワークで使用できるグローバルアドレスを用いた管理プロトコルの通信によって行われることになる。このため,被監視側にあってグローバルアドレスを割り当てられているノードに対してだけしか,管理プロトコルによる通信を行うことができない。しかしながら、ネットワーク管理においては,そのようなグローバルアドレスを持たないノードについても管理を行うことができれば、より有効な管理を行うことが可能となる。特開平11−187058の方法では、この点については開示されていない。
本発明の目的は,異なるアドレス体系のネットワークがアドレス変換装置により接続されたネットワークシステムにおいて、グローバルアドレスを持たないノード間でも管理プロトコルによるデータ通信が行えるネットワーク管理システムを提供することにある。
上記目的を達成する一手段として、アドレス体系が異なる第1のネットワークと第2のネットワークとがアドレス変換装置を介して接続されたネットワークシステムを管理するネットワーク管理システムであって、第1、第2のネットワークは、それぞれノード及び管理プロトコルプロキシとを有し、それぞれの管理プロトコルプロキシは、ノードから送られてきた管理プロトコルのパケットに含まれる送信元アドレス、送信先アドレス、プロトコルデータユニットをデータとする管理プロトコルプロキシデータとする管理プロトコルプロキシデータ生成部と、他の管理プロトコルプロキシから送られてきた管理プロトコルプロキシデータに含まれるプロトコルデータユニット内のアドレス情報を変換するアドレス変換部とを有する。
これにより、管理プロトコルのプロキシ間でデータ通信を行うことができ、グローバルアドレスを持たないノード間でデータ通信を行うことができる。
管理プロトコルのプロキシ間でデータ通信を行うことができ、グローバルアドレスを持たないノード間で管理プロトコルによるデータ通信を行うことができる。
以下、図面に従って管理プロトコルにSNMPを適用した場合の実施例を説明する。図1は、本実施例で説明するネットワーク管理システムの概念を示したものである。
本システムは、グローバルネットワーク10、プライベートネットワークA30a、プライベートネットワークB30bとを有しており、プライベートネットワークA30aとグローバルネットワーク10とをアドレス変換を行うNAT20a、プライベートネットワークB30bとグローバルネットワーク10とをアドレス変換を行うNAT20bによって接続している。
プライベートネットワークA30aには、監視を行うためのノード80が接続されている。このノード80は、被監視装置を監視するための処理を行う監視装置40と、管理プロトコルのプロキシデータの生成、プロキシデータに含まれるプロトコルデータユニット内のアドレス変換などを行う管理プロトコルプロキシ60aを有している。
また、プライベートネットワークB30bには、被監視装置であるノード50、90、管理プロトコルのプロキシデータの生成、プロキシデータに含まれるプロトコルデータユニット内のアドレス変換などを行う管理プロトコルプロキシサーバ60bが接続されている。
このような構成において、本ネットワーク管理システムは、監視を行うためのノード80が、被監視装置であるノード50、90を管理するものである。
プライベートネットワークA30aのノード80の監視装置40によって被監視装置であるノード50とデータ通信を行う場合、ノード80の管理プロトコルプロキシ60aとプライベートネットワークB30bの管理プロトコルプロキシサーバ60bとの間でデータ通信を行うようにする。これは、プロキシ間通信経路70と呼ぶ仮想的な通信経路を形成したことと等価になる。
このようにすれば、プライベートネットワークA30aで使用されるアドレスと、プライベートネットワークB30bで使用されるアドレスとが異なる場合、つまり異なったアドレス体系のネットワーク間でデータ通信を行うことができる。また、プライベートネットワークA30aと、プライベートネットワークB30bとの間にプライベートネットワークのアドレスや、グローバルネットワークのアドレスを通過させないファイアウォールなどが形成されている場合でもデータ通信を可能とすることができる。
より具体的に図1に示したネットワークシステム全体の動作について説明する。図2は、ノードの管理プロトコルSNMPのSNMPメッセージパケットを示したものである。
図3は、管理プロトコルプロキシサーバの管理プロトコルプロキシデータのパケットを示したものである。すなわち、ノード80の監視装置40、被監視装置であるノード50、ノード90から送信される管理プロトコルSNMPのパケットから管理プロトコルプロキシ60a、管理プロトコルプロキシサーバ60bは、ネットワーク層であるIP層のヘッダ中の送信先、送信元として保持されていた送信元、送信先情報を、アプリケーション層のデータにあたる管理プロトコルプロキシデータの中に格納する。更に、管理プロトコルプロキシデータのパケットのトランスポート層としてはコネクション型の例えばTCPを用いる。また、管理プロトコルプロキシデータ自体の送信先、送信元は、管理プロトコルプロキシ又は管理プロトコルプロキシサーバとなる。
ここで、監視装置40から被監視装置であるノード50又はノード90へ、またその反対の被監視装置であるノード50又はノード90から監視装置40へと、管理プロトコルプロキシ60a、管理プロトコルプロキシサーバ60bを介して通信が行われるときのデータの流れについて説明する。
監視装置であるノード40が送信した管理プロトコルのデータが管理プロトコルプロキシ60aに届けられると、管理プロトコルプロキシ60aは、管理プロトコルのデータそのものと、管理プロトコルのデータの本来の送信先、送信元を組み合わせて管理プロトコルプロキシデータを生成し、管理プロトコルプロキシデータを管理プロトコルプロキシサーバ60bへ送信する。管理プロトコルプロキシサーバ60bは受信した管理プロトコルプロキシデータから、管理プロトコルのデータと、本来の送信先とを取り出して、管理プロトコルのパケットを再構築し、本来の送信先である被監視装置であるノード50へ送信する。
このとき、管理プロトコルのパケットの送信元を管理プロトコルプロキシサーバ60bとしておくことで、ノード50からの応答が管理プロトコルプロキシサーバ60bに送信される。ノード50からの管理プロトコルの応答パケットを受信した管理プロトコルプロキシサーバ60bは、その応答パケットを管理プロキシプロトコルデータに変換し、管理プロトコルプロキシ60aに送り返す。管理プロトコルプロキシ60aは、管理プロトコルプロキシデータから管理プロトコルの応答パケットを再構築し、監視装置40に返す。
以上のようにして、ノード間で管理プロトコルを使用して直接通信できない環境において、管理プロトコルプロキシ、管理プロトコルプロキシサーバを介することで管理プロトコルによる通信を行うことができるようになる。
更に、管理プロトコルプロキシ、管理プロトコルプロキシサーバは、管理プロトコルのPDU部分のアドレスを変換するアドレス変換機能を有している。これにより、ノードの管理プロトコルのプロトコルデータユニット(以下、「PDU」と称す。)中に含まれるノードのアドレスを、ネットワーク管理用の仮想的なアドレスに変換することによって、ノードがあたかも仮想的なアドレスを持つかのように管理することができる。このときのネットワーク管理においてのみ使用される仮想的なアドレスを便宜上、本実施例では「管理用アドレス」と呼ぶ。
尚、図1で示した構成においては、管理プロトコルプロキシ60aをプログラムで実現する場合について説明したが、管理プロトコルプロキシサーバ60bの機能も同様にプログラムによって実現することができる。この場合は、コンピュータで読み取り可能な磁気ディスク、光ディスク、光磁気ディスクにプログラムを記録し、管理プロトコルプロキシサーバの機能を担当するノードが、プログラムを読み出して実行する。
次に、図1に示したNATについて説明する。図1に示したNATはRFC1631に準規したものである。
図4はNATの機能を説明するための図である。この図に示すように、グローバルネットワーク10とプライベートネットワーク30がNAT20を介して接続されているネットワークにおいて、ノード40はグローバルアドレス200としてG0が割当てられ、被監視装置はプライベートアドレス210としてL1が、グローバルアドレスとしてG1が割り当てられている場合について説明する。
この場合、そのグローバルアドレスと、プライベートアドレスの対応づけた変換表230をNAT20に設ける。これにより、ノード40側からノード50側にアドレスG1に対してパケットを送信する。NAT20はアドレスG1へ向けたパケットを変換表230に従って送信先アドレスをG1からL1へと変換して、プライベートネットワーク側へ送信する。
すなわち、図5のようにノード40側からNAT20へ到着したパケットとしては、ネットワーク層に相当するIP層部分のヘッダ情報として送信先はG1という情報が入っていたパケットだったものが、NAT20からプライベートネットワーク側のノードに向けて中継されるときには、図6のようにIP層部分のヘッダ情報として送信先はL1という情報が入ったパケットとなって送信される。
また、逆にプライベートネットワーク側のノード50からグローバルネットワーク側のノード40へ向けてパケットを送信する場合は、ノード50からNAT20へ到着したパケットとしてはIP層部分のヘッダ情報として送信元はL1という情報が入っていたパケットだったものが、NAT20からグローバルネットワーク側のノード40に向けて中継されるときには、IP層部分のヘッダ情報として送信元はG1という情報が入ったパケットとして送信される。
このようなNAT20の働きにより、ノード50自身のネットワークの設定としてはプライベートアドレスL1を持つものとして設定するだけでよく、ノード50とプライベートネットワーク内の他の装置とが通信する場合にはプライベートアドレスL1を使用して通信でき、さらにグローバルネットワーク側の装置との間で通信を行う場合には、NAT20によって割り当てたグローバルアドレスG1を使用して通信できる。
尚、ここではNATはIP層のアドレス変換を行う機能を有するもの(管理プロトコルのPDU部分のアドレス変換は行えない。)として説明した。このようなNATを利用したネットワークにおいて、既に説明したように管理プロトコルプロキシサーバにおいて、管理プロトコルのPDU部分のアドレスを変換するものである。
以下、より具体的なネットワークシステムについて説明する。図7は、ネットワーク管理システムにおける適用例の1つであり、被監視側装置に割り当てられた正式なグローバルアドレスをネットワーク管理用のアドレスとして使用して管理する場合の構成である。
被監視装置a 50aは、プライベートアドレス210としてL1を持っている。このL1というアドレスは、プライベートアドレスであるので、プライベートネットワークB 30bの中だけで使用できるアドレスである。
さらに、NAT20bにおけるアドレス変換230として、グローバルアドレスG1とプライベートアドレスL1が対応付けられており、被監視装置a 50aにはグローバルアドレスとしてアドレスG1が静的に割り当てられている。グローバルネットワーク10やプライベートネットワークA30aから被監視装置a50aと直接通信する場合には、グローバルアドレスG1を用いて通信する。
ここで、管理プロトコルプロキシ60bにおけるアドレス変換220として、管理用アドレスG1とプライベートアドレスL1を対応付けることで、監視側から被監視側に送られる管理プロトコルデータについては、G1をL1に、被監視側から監視側へ送られる管理プロトコルデータについては、L1をG1に、それぞれ変換する。
これにより、監視装置側から管理プロトコルを使用して管理プロトコルのデータを参照すると、あたかも被監視装置a50aがアドレスG1を持っているかのように見える。
このため監視装置40における管理情報240としては、被監視装置aはアドレスG1を持つ装置であると対応付けられ、アドレスG1を使ってネットワーク管理を行うことができる。
次に図8は、NAT20bによって被監視装置に割り当てられるグローバルアドレスが動的に割り当てられる場合である。一般に、NATによって接続されたプライベートネットワークにおいて外部接続のために使用できるグローバルアドレスの数は、プライベートネットワーク内の装置の数より少ない。少ないグローバルアドレスを有効に活用するための方法として、装置に対するグローバルアドレスの割り当てを、その装置が外部に接続している間だけ割り当てるようにし、その装置が外部への接続を終了したならば、その装置が使用していたグローバルアドレスを他の装置によって再利用されるようにする方法を使用する。このようにグローバルアドレスを動的に割り当てる場合、一般的にはある1つの装置に割り当てられるグローバルアドレスは、その時により異なる。
このような場合、NAT20bにおけるアドレス変換230として、グローバルアドレスGxとプライベートアドレスL1が対応付けられており、Gxはその時々により一定の選択肢のアドレスの中から選択して選ばれるアドレスであり、少なくともその時点においては被監視装置a 50aにはグローバルアドレスとしてアドレスGxが動的に割り当てられていることになる。どのようなアドレスが割り当てられるかはNAT20bにより決定される。
ここで仮に、Gxを管理用アドレスとしてそのまま使うとすると、監視装置40における管理情報240として被監視装置a50aに対応づけられたアドレスがその時々で変わってしまい、管理の継続性が維持できず正しいネットワーク管理が行えないため、問題である。
そこで、図8のように管理プロトコルプロキシ60bにおけるアドレス変換220としては、Gxとは全く別のV1という仮想的なアドレスを静的に割り当てるようにする。これにより、監視装置における管理情報240としては、被監視装置aはアドレスV1を持つものと対応づけられるため、正しくネットワーク管理を行うことができる。
図9は、被監視側のプライベートネットワークが複数あり、それらプライベートネットワーク内の被監視装置のプライベートアドレスが競合している場合の例である。
被監視装置b50bは、プライベートネットワークB30bに存在し、プライベートアドレスL1を持つ。被監視装置c50cは、プライベートネットワークC30cに存在し、プライベートアドレスL1を持つ。互いのアドレスが競合しているが、プライベートアドレスは、通信上はそのプライベートネットワーク内でしか使われないため、ネットワークが混乱することはない。
しかしながら仮に、被監視装置b50bおよび被監視装置c50cから直接管理プロトコルを使って管理プロトコルのデータを取得すると、そのどちらもがアドレスL1を持つ装置としての情報を応答するため、監視装置が混乱してしまい正しくネットワーク管理ができないという問題が発生する。
そこで図9のように、被監視装置b50bについては、管理プロトコルプロキシ60bにおけるアドレス変換220bにおいて管理用アドレスV1とプライベートアドレスL1とを対応づけるようにし、被監視装置c50cについては、管理プロトコルプロキシ60cにおけるアドレス変換220cにおいて管理用アドレスV2とプライベートアドレスL1とを対応づけるようにする。すなわち被監視装置b50bに管理用アドレスV1と、被監視装置c50cに管理用アドレスV2をそれぞれ静的に割り当てるようにする。
これによって監視装置における管理情報240としては、被監視装置bは、アドレスV1を持つ装置として、被監視装置cは、アドレスV2を持つ装置として、それぞれ対応づけられ、正しくネットワーク管理を行うことができる。
図10は、プライベートネットワークにおいて、グローバルアドレスが割り当てられていない、すなわち外部とは接続しない装置に対しても、管理用アドレスを割り当ててネットワーク管理する場合の例である。
被監視装置a50aは、プライベートアドレス210aとしてL1を持つ。さらに、NAT20bにおけるアドレス変換230として、グローバルアドレスG1とプライベートアドレスL1が対応付けられており、被監視装置a 50aにはグローバルアドレスとしてアドレスG1が静的に割り当てられている。グローバルネットワーク10やプライベートネットワークA30aから被監視装置a50aと直接通信する場合には、グローバルアドレスG1を用いて通信する。
被監視装置b50bは、プライベートアドレス210bとしてL2を持つ。しかしながら、NAT20bにおけるアドレス変換230としては、プライベートアドレスL2に対応するグローバルアドレスは定義されておらず、このため、グローバルネットワーク10やプライベートネットワークA30aから被監視装置b50bへと直接通信することはできない。ただし、この場合でも管理プロトコルプロキシを通じて、監視装置40は、被監視装置50bとも管理プロトコルによる情報のやり取りをすることができる。
このとき、管理プロトコルプロキシ60bにおけるアドレス変換220において、管理用アドレスV1とプライベートアドレスL1とを、管理用アドレスV2とプライベートアドレスL2とを、それぞれ対応づけるようにする。すなわち被監視装置a50aに管理用アドレスV1を、被監視装置b50bに管理用アドレスV2をそれぞれ静的に割り当てるようにする。これにより、監視装置における管理情報240としては、被監視装置a50aはアドレスV1を持つ装置として、被監視装置b50bはアドレスV2を持つ装置として、それぞれ対応付けられてネットワーク管理が行われる。
図11は、プライベートネットワークにおいて、グローバルアドレスが割り当てられていない、すなわち外部とは接続しない装置に対しても、管理用アドレスを割り当ててネットワーク管理する場合において、グローバルアドレスを割り当てられている装置については、管理用アドレスにグローバルアドレスを使い、グローバルアドレスが割り当てられていない装置については仮想的なアドレスを使う例である。
被監視装置a50aは、プライベートアドレス210aとしてL1を持つ。さらに、NAT20bにおけるアドレス変換230として、グローバルアドレスG1とプライベートアドレスL1が対応付けられており、被監視装置a 50aにはグローバルアドレスとしてアドレスG1が静的に割り当てられている。グローバルネットワーク10やプライベートネットワークA30aから被監視装置a50aと直接通信する場合には、グローバルアドレスG1を用いて通信する。
被監視装置b50bは、プライベートアドレス210bとしてL2を持つ。しかしながら、NAT20bにおけるアドレス変換230としては、プライベートアドレスL2に対応するグローバルアドレスは定義されておらず、このため、グローバルネットワーク10やプライベートネットワークA30aから被監視装置b50bへと直接通信することはできない。ただし、この場合でも管理プロトコルプロキシを通じて、監視装置40は、被監視装置50bとも管理プロトコルによる情報のやり取りをすることができる。
このとき、管理プロトコルプロキシ60bにおけるアドレス変換220において、管理用アドレスG1とプライベートアドレスL1とを、管理用アドレスV2とプライベートアドレスL2とを、それぞれ対応づけるようにする。すなわち被監視装置a50aに管理用アドレスG1を、被監視装置b50bに管理用アドレスV2をそれぞれ静的に割り当てるようにする。これにより、監視装置における管理情報240としては、被監視装置a50aはアドレスG1を持つ装置として、被監視装置b50bはアドレスV2を持つ装置として、それぞれ対応付けられてネットワーク管理が行われる。
続いて図12および図13を用いて、管理プロトコルプロキシの構成を説明する。図12は、被監視側の管理プロトコルプロキシの構成である。
被監視側の管理プロトコルプロキシ60bは、監視側の管理プロトコルプロキシ60aとの間のプロキシ間通信経路70の確立および管理プロトコルプロキシデータの送受信を処理するプロキシ間通信部61と、管理プロトコルプロキシデータの分解組立を処理するプロキシデータ組立分解部62と、管理プロトコルのPDU内のアドレス情報をアドレス変換するアドレス変換処理部63と、アドレス変換処理部への入力となるASN.1MIB定義文64およびアドレス変換定義65と、被監視装置との間でSNMPメッセージを送受信するSNMPメッセージ送受信部66からなる。
監視装置40が発行した管理プロトコルのメッセージが監視側の管理プロトコルプロキシ60aによって管理プロトコルプロキシデータに変換されて、被監視側の管理プロトコルプロキシに送信されると、まずプロキシ間通信部61が送信された管理プロトコルプロキシデータを受信し、プロキシデータ組立分解部62に渡す。プロキシデータ組立分解部62は、受取った管理プロトコルプロキシデータを分解し、アドレス変換処理部63渡す。アドレス変換処理部63は、ASN.1MIB定義文64およびアドレス変換定義65に従って、渡された管理プロトコルプロキシデータの送信元アドレスデータ、送信先アドレスデータ、さらに管理プロトコルのPDU中のアドレス情報をアドレス変換し、変換結果をプロキシデータ分解組立部62に渡す。プロキシデータ組立分解部62は、プロキシデータの中から、送信先情報、送信元情報、管理プロトコルのPDUを取り出し、SNMPメッセージ送受信部66に渡す。SNMPメッセージ送受信部66は、送信先に指定された被監視装置50に対して、管理プロトコルのPDUを送信する。すなわちSNMPメッセージを送信する。
被監視装置50は、送信されたSNMPメッセージに対応する応答をSNMPメッセージ送受信部66に返す。SNMPメッセージ送受信部66は、受信した応答のSNMPメッセージと、その送信元、送信先の情報をプロキシデータ組立分解部62に渡す。さらにプロキシデータ組立分解部は、送信先、送信元、応答である管理プロトコルのPDUをアドレス変換処理部に渡す。アドレス変換処理部63は、ASN.1MIB定義文64およびアドレス変換定義65に従って、渡された管理プロトコルプロキシデータの送信元アドレスデータ、送信先アドレスデータ、さらに管理プロトコルのPDU中のアドレス情報をアドレス変換し、変換結果をプロキシデータ分解組立部62に渡す。さらにプロキシデータ分解組立部62は、送信先、送信元、管理プロトコルのPDUを管理プロトコルプロキシデータとして組み立てて、プロキシ間通信部61に渡す。プロキシ間通信部61は、管理プロトコルプロキシデータを監視側の管理プロトコルプロキシ60aへと送信し、監視側の管理プロトコルプロキシ60aが監視装置40へ管理プロトコルのPDUを返す。
ここで、ASN.1MIB定義文64は、RFC1212(Concise MIB Definitions)などに記載されているMIBオブジェクトの標準的な記述方法であるところの、ASN.1(Abstract Syntax Notation One=抽象構文記法.1)により記述されたMIB定義文である。一般に、ASN.1によるMIB定義文は、そのMIBモジュールを定義した者によって広く公開されている。本実施例では、ASN.1によるMIB定義文を解析して得られる情報を使用して管理プロトコルのプロトコルデータユニットのVariable-bindingsに含まれるアドレスを変換するため、特別な定義文が不要となり構成がより簡単となる。
図13は、監視側の管理プロトコルプロキシの構成である。監視側の管理プロトコルプロキシ60aは、監視装置40上のSNMP監視マネージャ41との間でSNMPメッセージを送受信するSNMPメッセージ送受信部66と、管理プロトコルプロキシデータの分解組立を処理するプロキシデータ組立分解部62と、被監視側の管理プロトコルプロキシ60bとの間のプロキシ間通信経路70の確立および管理プロトコルプロキシデータの送受信を処理するプロキシ間通信部61とからなる。
監視装置40上のSNMP監視マネージャ41が発行したSNMPメッセージが監視側の管理プロトコルプロキシ60aに渡されると、SNMPメッセージ送受信部66がSNMPメッセージを受信し、それをプロキシデータ組立分解部62に渡す。プロキシデータ組立分解部62は、渡されたSNMPメッセージと、その送信先、送信元情報から、管理プロトコルプロキシデータを組み立てて、プロキシ間通信部61に渡す。プロキシ間通信部61は、渡された管理プロトコルプロキシデータを被監視側の管理プロトコルプロキシ60bに送信する。さらにプロキシ間通信部61は被管理側の管理プロトコルプロキシ60bから返される応答の管理プロトコルプロキシデータを受信して、プロキシデータ組立分解部62に渡す。プロキシデータ組立分解部62は、管理プロトコルプロキシデータから送信元、送信先、およびSNMPメッセージを取り出し、SNMPメッセージ送受信部66に渡す。SNMPメッセージ送受信部は渡された情報に従って、SNMPメッセージを監視装置40上のSNMP監視マネージャ41に返す。
図14は、管理側の管理プロトコルプロキシ60aと被管理側の管理プロトコルプロキシ60bとの間のプロキシ間通信経路70上で送受信される管理プロトコルプロキシデータの一例であり、管理プロトコルがSNMPである場合の例である。この場合、管理プロトコルプロキシデータは、SNMPメッセージの送信元、SNMPメッセージの送信先、SNMP PDUからなるデータである。
図2は、通常のSNMPメッセージのパケットの図である。パケットはネットワーク層であるところのIP層より上位の部分についてだけ示している。通常のSNMPパケットではIP層レベルでの送信元、送信先情報が、そのままSNMPメッセージ自体の送信元、送信先になっている。
図3は、管理プロトコルがSNMPである場合の管理プロトコルプロキシデータのパケットの図である。パケットはネットワーク層であるところのIP層より上位の部分についてだけ示している。管理プロトコルプロキシデータのパケットにおいては、IP層レベルでの送信元、送信先は、プロキシ間通信経路70の両端に存在する管理プロトコルプロキシのどちらかであり、SNMPメッセージの送信元、送信先のデータは、アプリケーション層に相当する管理プロトコルプロキシデータとしてパケットに含まれる。従って、アドレス変換のために使用する仮想的なアドレスは、実際の通信パケットの送信先または送信元アドレスとしては使用されない。このため、NICなどの機関から自組織に対して割り当てられていない仮想的なアドレスを使用したとしても、IP層すなわちネットワーク層レベルでの通信に何ら支障をきたすものではない。
このように管理プロトコルプロキシデータ上のSNMPメッセージ送信元、送信先アドレスをアドレス変換することにより、管理用アドレスに正式なグローバルアドレスではない仮想的なアドレスを使用することができ、グローバルアドレスを持たない装置まで含めてプライベートネットワークをネットワーク管理することができる。
図15、図16、図17、図18を用いて、プロキシデータ組立分解部62を説明する。図15は、プロキシデータ組立分解部62の構成である。
プロキシデータ組立分解部62は、組立分解処理を実行する組立分解処理部68と、SNMPメッセージの送信先アドレスとそのSNMPメッセージを送信すべき相手プロキシとの対応付けを定義した相手プロキシ定義69からなる。
図16は、相手プロキシ定義の定義例である。定義行311は、送信先アドレスの第1オクテットが100であるSNMPメッセージは、アドレスが200.10.20.30の管理プロトコルプロキシへと送信することを表わす定義行である。
定義行312は、送信先アドレスの第1オクテットが101、第2オクテットが10であるSNMPメッセージは、アドレスが200.10.20.30の管理プロトコルプロキシへと送信することを表わす定義行である。
定義行313は、送信先アドレスの第1オクテットが110、第2オクテットが20、第3オクテットが80であるSNMPメッセージは、アドレスが230.51.62.72の管理プロトコルプロキシへ送信することを表わす定義行である。
定義行314は、送信先アドレスが120.60.11.8であるSNMPメッセージは、アドレスが230.51.62.72の管理プロトコルプロキシへ送信することを表わす定義行である。なお、このとき送信先アドレスは管理用アドレスを用いて表わす。
図17は、プロキシデータ組立処理のフローチャートである。ステップ151でSNMPメッセージ送受信部からSNMPメッセージを受取る。ステップ152でSNMPメッセージのIPヘッダ部から、送信元アドレスと送信先アドレスを取り出す。ステップ153でSNMPメッセージからSNMP PDUを取り出す。ステップ154で取り出した送信元アドレス、送信先アドレス、SNMP PDUを管理プロトコルプロキシデータに格納する。ステップ155で相手プロキシ定義中でSNMPメッセージのIPヘッダ部から取り出した送信先アドレスと対応づけられている相手プロキシアドレスを検索し、その相手プロキシアドレスをプロトコルプロキシデータの送信先と決定する。
以上のようにしてプロキシデータ組立分解部は管理プロトコルプロキシデータを組み立てる。
図18は、プロキシデータ分解処理のフローチャートである。ステップ161でプロキシ間通信部から管理プロトコルプロキシデータと、その管理プロトコルプロキシデータを送信した相手である管理プロトコルプロキシのアドレスとを受取る。ステップ162で管理プロトコルプロキシデータから、送信元アドレス、送信先アドレス、SNMP PDUを取り出す。ステップ163で取り出した送信元アドレスと送信先アドレスをSNMPメッセージのIPヘッダ部に格納する。ステップ164で取り出したSNMP PDUをSNMPメッセージに格納する。
以上のようにしてプロキシデータ組立分解部は管理プロトコルプロキシデータを分解する。
図19は、アドレス変換処理部63の構成を表わす図である。アドレス変換処理部63は、SNMPメッセージの送信元と送信先のアドレスを変換するSNMPメッセージ送信元送信先アドレス変換部85と、SNMPPDU内に含まれるアドレス情報を変換するPDUアドレス変換部80からなる。さらにPDUアドレス変換部80は、PDUの解析とアドレス変換を処理するPDU解析変換部81と、PDUに含まれるアドレス情報のうちオブジェクト識別子として含まれるアドレスの変換を処理するオブジェクト識別子アドレス変換部82と、PDUに含まれるアドレス情報のうちMIB値として含まれるアドレスの変換を処理するMIB値アドレス変換部83と、PDUに含まれるアドレス情報のうちトラップ送信元アドレスとして含まれるアドレスの変換を処理するトラップ送信元アドレス変換部84とからなる。
プロキシデータ組立分解部62から、アドレス変換処理部63に管理プロトコルプロキシデータが渡されると、まずSNMPメッセージ送信元送信先アドレス変換部85が、アドレス変換定義65に従って、管理プロトコルプロキシデータ中のSNMPメッセージ送信元、送信先についてアドレス変換を行う。次にSNMPメッセージ送信元送信先アドレス変換部85は、管理プロトコルプロキシデータをPDU解析変換部81に渡す。PDU解析変換部81は、渡された管理プロトコルプロキシデータ中のPDUについて解析を実施し、その中からアドレス変換が必要な部分を抽出する。
まず、PDUからトラップ送信元アドレス部分を抽出し、トラップ送信元アドレス変換部84に渡し、トラップ送信元アドレス変換部84は、アドレス変換定義65に従ってトラップ送信元アドレスをアドレス変換してPDU解析変換部81に返す。PDU解析変換部81は、トラップ送信元アドレス変換部84から受取った変換後のアドレスで、PDUのトラップ送信元アドレス部分を置き換える。さらに、PDUからデータの種別がIPアドレスを表わすものであるMIB値を抽出し、MIB値アドレス変換部83に渡し、MIB値アドレス変換部83は、アドレス変換定義65に従ってMIB値をアドレス変換してPDU解析変換部81に返す。PDU解析変換部81は、MIB値アドレス変換部83から受取った変換後のアドレスで、PDUのMIB値部分を置き換える。さらに、PDUからMIBのオブジェクト識別子を抽出し、オブジェクト識別子アドレス変化部82に渡し、オブジェクト識別子アドレス変換部82は、ASN.1MIB定義文とアドレス変換定義65とに従ってオブジェクト識別子の中に含まれるIPアドレスをアドレス変換してPDU解析変換部81に返す。PDU解析変換部81は、オブジェクト識別子アドレス変換部82から受取った変換後のアドレスで、PDUのMIBのオブジェクト識別子部分を置き換える。最後にPDU解析変換部はアドレス変換を行った後のPDUを含んだ管理プロトコルプロキシデータをプロキシデータ組立分解部62に返す。
以上のようにしてアドレス変換処理部は管理プロトコルのデータについてアドレス変換を行うことができる。
図20は、オブジェクト識別子アドレス変換部82の構成である。オブジェクト識別子アドレス変換部82は、ASN.1MIB定義文65を解読するASN.1MIB定義文解読部88と、解読したMIBの定義内容をもとにオブジェクト識別子を変換する必要があるオブジェクトを抽出する変換対象オブジェクト識別子抽出部89と、PDU解析変換部81から渡されたオブジェクト識別子と、変換対象オブジェクト識別子抽出部89が抽出したオブジェクト識別子とを比較して、渡されたオブジェクト識別子は変換が必要かどうかを判断するオブジェクト識別子比較部86と、変換対象オブジェクト識別子抽出部が抽出した定義情報とアドレス変換定義65とに基づいて、オブジェクト識別子をアドレス変換するアドレス変換実行部87とからなる。
まず、ASN.1MIB定義文解読部88がASN.1MIB定義文65を読み込んで解読し、解読した結果得たMIB定義の情報を変換対象オブジェクト識別子抽出部89に渡す。変換対象オブジェクト識別子抽出部89は、渡されたMIB定義の中からオブジェクト識別子にIPアドレスを含む可能性があるMIBオブジェクトを抽出し、該当するMIBオブジェクトのオブジェクト識別子の一覧をオブジェクト識別子比較部86へ、該当するMIBオブジェクトの定義情報であるところのINDEX情報をアドレス変換実行部87へそれぞれ渡す。
ここで、オブジェクト識別子にIPアドレスを含む可能性があるMIBオブジェクトとは、MIBテーブルを表わすMIBオブジェクトであり、テーブルのINDEXとして使用するMIBテーブル内MIBオブジェクトのうちの1つ以上がIPアドレスであるようなMIBオブジェクトである。このようなオブジェクトは、MIBオブジェクトの値であるところのインスタンスをGETリクエストなどで取得する際にMIBオブジェクトのオブジェクト識別子に続けてインスタンス識別子であるところのINDEXを付加して1つのオブジェクト識別子として指定するが、このときのINDEXにIPアドレスが使用されるため、オブジェクト識別子にIPアドレスが含まれる可能性があるものである。
また、アドレス変換実行部87へ渡すINDEX情報としては、MIBテーブルのINDEXとして複数のMIBオブジェクトが対応づけられているときに、その中のIPアドレスの部分だけを変換するために、INDEXとして使われるMIBオブジェクトの種別であるところのSYNTAXを順に並べた情報を渡す。例えば、INDEXとして整数のMIBオブジェクト1つとIPアドレスを取るようなMIBテーブルの場合、インスタンス識別子は、整数の分の1つとIPアドレスの分4つの合計5つの副識別子を持つ識別子となる。
アドレス変換では、このうちの2番目から5番目の副識別子をIPアドレスと解釈して変換する必要があるため、アドレス変換実行部87へINDEXは、整数1つとIPアドレス1つの組であるという情報を渡す必要がある。
さてここで、PDU解析変換部81からPDU中のオブジェクト識別子がオブジェクト識別子アドレス変換部82に渡されると、まずオブジェクト識別子比較部86がオブジェクト識別子を受取る。オブジェクト識別子比較部86は、PDU解析変換部81から渡されたオブジェクト識別子と、変換対象オブジェクト識別子抽出部89が抽出した変換対象のオブジェクト識別子一覧とを比較し、PDU解析変換部81から渡されたオブジェクト識別子が変換対象のオブジェクト識別子一覧に含まれていたら、PDU解析変換部81からオブジェクト識別子をアドレス変換実行部87に渡す。PDU解析変換部81から渡されたオブジェクト識別子が変換対象のオブジェクト識別子一覧に含まれていなかったら、PDU解析変換部81から渡されたオブジェクト識別子を何も変換せずにそのままPDU解析変換部81へ返す。
次に、アドレス変換実行部87は渡されたオブジェクト識別子について、まず変換対象オブジェクト抽出部89から渡されたINDEX情報に基づいてオブジェクト識別子中に現れるIPアドレスの位置、すなわち変換位置を特定し、次にアドレス変換定義65に基づいてアドレス変換を実行し、変換後のオブジェクト識別子をPDU解析変換部81へ返す。
以上のようにしてオブジェクト識別子アドレス変換部は、MIBのオブジェクト識別子に含まれるIPアドレスをアドレス変換することができる。
図21のフローチャートを用いてPDU解析変換部の処理を説明する。ステップ111でPDUからPDU種別を表わすデータを抽出する。ステップ112でPDU種別からアドレス変換方向を決定する。アドレス変換方向とは、PDU中のアドレスを、管理用アドレスから実アドレスに変換するのか、実アドレスから管理用アドレスに変換するのか、ということを意味する。監視側から被監視側へ送信されるPDUは、管理用アドレスを実アドレスに変換する。被監視側から監視側へ送信されるPDUは、実アドレスを管理用アドレスに変換する。監視側から被監視側へ送信されるのか、被監視側から監視側へ送信されるのかは、PDU種別毎に決まっているため、図22の表に従ってPDU種別からアドレス変換方向を決定することができる。
ステップ113でPDUの種別がSNMPトラップであるかどうか判定する。SNMPトラップの場合は、ステップ114に進む。SNMPトラップでない場合は、ステップ117に進む。ステップ114で、PDUからトラップ送信元アドレスを抽出する。ステップ115で、トラップ送信元アドレス変換部にステップ114で抽出したとラップ送信元アドレスと、ステップ112で決定したアドレス変換方向の情報とを渡し、変換後のトラップ送信元アドレスを受取る。ステップ116で、PDUのトラップ送信元アドレスを、ステップ115で受取った変換後のトラップ送信元アドレスに置き換える。ステップ117で、PDU中にvariableBindingListが存在するかどうかを判定する。variableBindingListが存在する場合、ステップ118に進む。variableBindingListが存在しない場合、PDU解析変換部の処理を終了する。
ステップ118で、variableBindingListからまだ処理していないvariableBindを1つ抽出する。ステップ119で、ステップ118で抽出したvariableBindからオブジェクト識別子と値を抽出する。ステップ120で、MIB値アドレス変換部に、ステップ119で抽出したMIB値と、ステップ112で決定した変換方向の情報とを渡し、変換後のMIB値を受取る。ステップ121で、オブジェクト識別子アドレス変換部に、ステップ119で抽出したオブジェクト識別子と、ステップ112で決定した変換方向の情報とを渡し、変換後のオブジェクト識別子を受取る。ステップ122で、PDUのvariableBindのオブジェクト識別子をステップ121で受取った変換後のオブジェクト識別子に、variableBindのMIB値をステップ120で受取った変換後のMIB値に、それぞれ置き換える。ステップ123で、未処理のvariableBindingがまだ残っているかどうかを判定する。残っているならばステップ118へ進む。残っていないならば、PDU解析変換部の処理を終了する。
以上のようにして、PDU中のアドレス情報を変換することができる。図23のフローチャートを用いて変換対象オブジェクト識別子抽出部の処理を説明する。
ステップ131で、MIB定義文に定義されているオブジェクト識別子を1つ取り出す。ステップ132で、ステップ131において取り出したオブジェクト識別子がMIBテーブルを表わす識別子かどうかを判定する。MIBテーブルを表わす識別子の場合は、ステップ133に進む。MIbテーブルを表わす識別子でない場合は、ステップ136に進む。ステップ133で、オブジェクト識別子のINDEXとして指定されているテーブル内MIBオブジェクトのSYNTAXを抽出する。ステップ134で、ステップ133において抽出したテーブル内MIBオブジェクトのSYNTAXがIPアドレスを表わすSYNTAXであるようなものが一つでもあるかどうかを判定する。ある場合は、ステップ135へ進む。ない場合は、ステップ136へ進む。ステップ135で、ステップ131において取り出したオブジェクト識別子は、変換対象のオブジェクト識別子であると判断する。
ステップ136で、ステップ131において取り出したオブジェクト識別子は、変換対象のオブジェクト識別子ではないと判断する。ステップ137で、MIB定義文の中に、未処理のオブジェクト識別子がまだあるかどうかを判定する。まだある場合は、ステップ131に進む。ない場合は、ステップ138に進む。ステップ138で、変換対象と判断したオブジェクト識別子を全てオブジェクト識別子比較部へ通知する。ステップ139で、変換対象と判断したオブジェクト識別子のINDEX情報を全てアドレス変換実行部へ通知する。
以上のようにして、変換対象オブジェクト識別子抽出部の処理を実現することができる。
図24は、アドレス変換定義65の定義例である。定義行301は、IPアドレスの第1オクテットのみを変換する場合の定義例である。この場合、第1オクテットが10である実アドレスは全て第1オクテットを100に変換したものが管理用アドレスとなる。例えば、監視装置40から送信された管理プロトコルのデータ中にアドレス100.1.2.3があった場合、そのアドレスはアドレス変換によって10.1.2.3に変換されて被監視装置50へ中継される。反対に、被監視装置50からの応答中にアドレス10.1.2.3があった場合は、そのアドレスはアドレス変換によって100.1.2.3に変換されて監視装置40へ中継される。
定義行302は、IPアドレスの第1オクテットと第2オクテットを変換する場合の定義例である。この場合、第1オクテットが172であり、第2オクテットが16である実アドレスは全て第1オクテットを101に変換し、第2オクテットを10に変換したものが管理用アドレスとなる。例えば、監視装置40から送信された管理プロトコルのデータ中にアドレス101.10.1.2があった場合、そのアドレスはアドレス変換によって172.16.1.2に変換されて被監視装置50へ中継される。反対に、被監視装置50からの応答中にアドレス172.16.1.2があった場合は、そのアドレスはアドレス変換によって101.10.1.2に変換されて監視装置40へ中継される。
定義行303は、IPアドレスの第1オクテットと第2オクテットと第3オクテットを変換する場合の定義例である。この場合、第1オクテットが172であり、第2オクテットが17であり、第3オクテットが50である実アドレスは全て第1オクテットを110に変換し、第2オクテットを20に変換し、第3オクテットを80に変換したものが管理用アドレスとなる。例えば、監視装置40から送信された管理プロトコルのデータ中にアドレス110.20.80.1があった場合、そのアドレスはアドレス変換によって172.17.50.1に変換されて被監視装置50へ中継される。反対に、被監視装置50からの応答中にアドレス172.17.50.1があった場合は、そのアドレスはアドレス変換によって110.20.80.1に変換されて監視装置40へ中継される。
定義行304は、IPアドレスの第1オクテットから第4オクテットの全てのオクテットを変換する場合の定義例である。この場合、アドレスが192.168.20.5である実アドレスは、管理用アドレス120.60.11.8に変換される。例えば、監視装置40から送信された管理プロトコルのデータ中にアドレス120.60.11.8があった場合、そのアドレスはアドレス変換によって192.168.20.5に変換されて被監視装置50へ中継される。反対に、被監視装置50からの応答中にアドレス192.168.20.5があった場合は、そのアドレスはアドレス変換によって120.60.11.8に変換されて監視装置40へ中継される。
図25は、別の仮想的ネットワーク管理システムの構成例である。この場合、監視装置40および監視装置側の管理プロトコルプロキシ60aは、グローバルネットワーク10上に存在するが、図1の構成の場合と何ら変わりなく管理用アドレスを用いた仮想的なネットワーク管理を行うことが可能である。
図26および図27は、さらに別の実施例における管理プロトコルプロキシの構成であり、監視側の管理プロトコルプロキシでアドレス変換する場合の実施例である。
この場合も、図12および図13に示した被監視側の管理プロトコルプロキシでアドレス変換する場合と同様の方法でアドレス変換を実行することができる。ただし、監視側の管理プロトコルプロキシにおいてアドレス変換する場合は、監視側の管理プロトコルプロキシに定義するアドレス変換定義は、被監視側のプライベートネットワークごとに別々に定義し、例えば被監視側のプライベートネットワークB用にアドレス変換定義65bを、被監視側のプライベートネットワークC用にアドレス変換定義65cを、それぞれ定義するようにする。これにより図9の構成のように複数の被監視側プライベートネットワークにおいて監視装置のプライベートアドレスが競合しているような場合でも、正しくアドレス変換できるようにする。
図28および図29は、また別の実施例における仮想ネットワーク管理システムの構成と、被管理側の管理プロトコルプロキシの構成であり、被管理側の管理プロトコルプロキシがRFC1631に準規したNATと同一の装置上で動作するような構成である。
この例は、監視装置40と監視側の管理プロトコルプロキシ60aは、グローバルネットワーク10上に存在し、アドレス変換は被監視側の管理プロトコルプロキシで行い、被管理側の管理プロトコルプロキシがRFC1631に準規したNAT20と同一の装置上で動作するような構成である。
図29は、RFC1631に準規した管理プロトコルのアドレス変換機能を持たないNAT20と同一の装置上で動作する被監視側の管理プロトコルプロキシ60bの構成である。プロキシ間通信部61が監視側の管理プロトコルプロキシ60aと通信するときに、NAT20のグローバルネットワーク側通信プロトコル処理部21を介して通信することと、SNMPメッセージ送受信部66が被監視装置50とデータを送受信するときに、NAT20のプライベートネットワーク側通信プロトコル処理部23を介して通信することとが、図12の構成との違いである。
なお、NAT20のRFC1631に準規した動きとして、NAT20の装置をグローバルネットワーク側からプライベートネットワーク側へ通り抜けようとするパケットについては、まずグローバルネットワーク側通信プロトコル処理部21が通り抜けようとするパケットを捕らえてRFC1631準規アドレス変換処理部22へ渡し、RFC1631準規アドレス変換処理部22がアドレス変換をした後、プライベートネットワーク側通信プロトコル処理部23へパケットを渡し、プライベートネットワーク側通信プロトコル処理部23によってプライベートネットワーク側へ送出される。
反対に、プライベートネットワーク側からグローバルネットワーク側へ通り抜けようとするパケットについては、まずプライベートネットワーク側通信プロトコル処理部23が通り抜けようとするパケットを捕らえてRFC1631準規アドレス変換処理部22へ渡し、RFC1631準規アドレス変換処理部22がアドレス変換をした後、グローバルネットワーク側通信プロトコル処理部21へパケットを渡し、グローバルネットワーク側通信プロトコル処理部21によってグローバルネットワーク側へ送出される。
しかしながら、プロキシ間通信部61による通信は、NATおよび被監視側の管理プロトコルプロキシが動作する装置のグローバルネットワーク側のアドレスを送信先または送信元とする通信であり、NAT20を通り抜けようとする通信ではない。このため、RFC1631準規アドレス変換処理部22は通らずに、グローバルネットワーク側通信処理部21からプロキシ間通信部61へデータがそのまま渡される。
また、SNMPメッセージ送受信部66による通信についても、NATおよび被監視側の管理プロトコルプロキシが動作する装置のプライベートネットワーク側のアドレスを送信先または送信元とする通信であり、NAT20を通り抜けようとする通信ではない。このため、RFC1631準規アドレス変換処理部22は通らずに、プライベートネットワーク側通信処理部23からSNMPメッセージ送受信部66へデータがそのまま渡される。
以上のことから、図12に示した被監視側の管理プロトコルプロキシと同じ構成の管理プロトコルプロキシを用いて、NAT20と同一の装置上で動作さて仮想的なネットワーク管理を実現することが可能である。
尚、既に述べたとおり管理プロトコルプロキシの処理はフローチャートで示したとおり、プログラムによって実現することができる。
以上、NATがIP層のアドレス変換を行うものとして説明したが(NATが管理プロトコルのPDU部分のアドレスを変換する機能有していない。)、NATがIP層のアドレス変換を行う機能と、管理プロトコルのPDU部分のアドレスを変換する機能を有している場合には、NATと管理プロトコルプロキシサーバとを選択的に利用して、管理プロトコルのPDU部分のアドレス変換を行うことができる。
ネットワークシステムの基本構成を示した図である。 SNMPメッセージのパケットの構成を示した図である。 管理プロトコルプロキシデータのパケットの構成を示した図である。 NATの機能を説明するための図である。 SNMPメッセージのパケットの構成を示した図である。 SNMPメッセージのパケットの構成を示した図である。 仮想ネットワーク管理システムにおける一適用例を示した図である。 仮想ネットワーク管理システムにおける一適用例を示した図である。 仮想ネットワーク管理システムにおける一適用例を示した図である。 仮想ネットワーク管理システムにおける一適用例を示した図である。 仮想ネットワーク管理システムにおける一適用例を示した図である。 被監視側の管理プロトコルプロキシの構成を示した図である。 監視側の管理プロトコルプロキシの構成を示した図である。 管理プロトコルプロキシデータの一例を示した図である。 プロキシデータ分解組立部の構成を示した図である。 相手プロキシ定義の定義例を示した図である。 プロキシデータ組立処理のフローチャートを示した図である。 プロキシデータ分解処理のフローチャートを示した図である。 アドレス変換処理部の構成を示した図である。 オブジェクト識別子アドレス変換部の構成を示した図である。 PDU解析変換部の処理のフローチャートを示した図である。 PDU種別とPDUの送信方向およびアドレス変換の変換方向との関係を表わした図である。 変換対象オブジェクト識別子抽出部の処理のフローチャートを示した図である。 アドレス変換定義の定義例を示した図である。 仮想ネットワーク管理システムの構成例を示した図である。 管理プロトコルプロキシの構成を示した図である。 管理プロトコルプロキシの構成を示した図である。 仮想ネットワーク管理システムの構成を示した図である。 被管理側の管理プロトコルプロキシの構成を示した図である。
符号の説明
10…グローバルネットワーク、20…NAT、30…プライベートネットワーク、40…監視装置、50…被監視装置、60…管理プロトコルプロキシ、70…プロキシ間通信経路

Claims (1)

  1. NAT(Network Address Translator)を介して接続された異なるアドレス体系のネットワーク間でネットワーク管理を行うネットワーク管理システムであって、
    第1のネットワーク管理装置のアドレスを送信元アドレスとして設定し、第2のネットワーク管理装置のアドレスを送信先アドレスとして設定し、
    (1)前記設定した送信元アドレスと、
    (2)前記設定した送信先アドレスと、
    (3)前記第1のネットワーク管理装置が接続されたネットワーク上の被監視装置から送信された管理プロトコルのパケットと、
    を有する管理データを生成し、
    前記送信先アドレスとして指定された前記第2のネットワーク管理装置に前記管理データを送信し、
    前記第2のネットワーク管理装置は、前記NATで定義されたアドレス体系とは異なるアドレス体系に属する管理用アドレスと実アドレスとの対応を定義したアドレス変換定義に基づいて、前記管理プロトコルのパケットに含まれるデータ内のアドレス情報を変換する
    ことを特徴とするネットワーク管理システム。
JP2005271315A 2005-09-20 2005-09-20 ネットワーク管理システム Pending JP2006025457A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005271315A JP2006025457A (ja) 2005-09-20 2005-09-20 ネットワーク管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005271315A JP2006025457A (ja) 2005-09-20 2005-09-20 ネットワーク管理システム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2000393280A Division JP3760767B2 (ja) 2000-12-21 2000-12-21 ネットワーク管理装置及びネットワーク管理方法

Publications (1)

Publication Number Publication Date
JP2006025457A true JP2006025457A (ja) 2006-01-26

Family

ID=35798320

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005271315A Pending JP2006025457A (ja) 2005-09-20 2005-09-20 ネットワーク管理システム

Country Status (1)

Country Link
JP (1) JP2006025457A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015056803A (ja) * 2013-09-12 2015-03-23 株式会社デジオン 通信方法、外部情報処理装置、内部情報処理装置及びプログラム
JP2016035666A (ja) * 2014-08-04 2016-03-17 株式会社バッファロー 記憶装置
JP2017098624A (ja) * 2015-11-18 2017-06-01 アイコム株式会社 データ更新システム、遠隔設定装置およびデータ更新方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015056803A (ja) * 2013-09-12 2015-03-23 株式会社デジオン 通信方法、外部情報処理装置、内部情報処理装置及びプログラム
JP2016035666A (ja) * 2014-08-04 2016-03-17 株式会社バッファロー 記憶装置
JP2017098624A (ja) * 2015-11-18 2017-06-01 アイコム株式会社 データ更新システム、遠隔設定装置およびデータ更新方法
US10616735B2 (en) 2015-11-18 2020-04-07 Icom Incorporated Data update system, remote configuration device and data update method

Similar Documents

Publication Publication Date Title
JP3760767B2 (ja) ネットワーク管理装置及びネットワーク管理方法
US7450585B2 (en) Method and system in an IP network for using a network address translation (NAT) with any type of application
JP5335886B2 (ja) ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置
US7526569B2 (en) Router and address identification information management server
RU2543304C2 (ru) Способ и устройство, для ретрансляции пакетов
US20100014521A1 (en) Address conversion device and address conversion method
US7558249B2 (en) Communication terminal, and communication method
CN101656761B (zh) 地址变换装置、方法、名称解决系统、方法以及节点
US20060092931A1 (en) System and method for managing devices within a private network via a public network
CN111314481B (zh) 一种数据传输方法、装置、设备以及可读存储介质
EP2026528B1 (en) Integrated internet telephony system and signaling method thereof
CN107733930B (zh) 用于在多个wan网络网关处转发互联网协议(ip)数据包的方法和系统
US6823386B1 (en) Correlating data streams of different protocols
JP3970857B2 (ja) 通信システム、ゲートウェイ装置
JP2006025457A (ja) ネットワーク管理システム
WO2011117959A1 (ja) 通信装置、通信装置の制御方法、プログラム
JP3614006B2 (ja) 非対称経路利用通信システム、および、非対称経路利用通信方法
KR101124635B1 (ko) IPv4/IPv6 연동 게이트웨이
US20040044756A1 (en) Method and apparatus for providing management access to devices behind a network address translator (NAT)
JP4637562B2 (ja) パッシブネットワークとアクティブネットワークの結合のためのゲートウェイ
JP2007151141A (ja) パケット生成方法およびその機能を有する情報処理装置並びにパケット生成プログラムを記録した記録媒体
KR20120081405A (ko) 확장 가능형 망 관리 시스템 및 방법
JP2010045451A (ja) パケット振り分け装置、通信システム、パケット処理方法、及びプログラム
JP2005318121A (ja) セッション管理装置
KR100606350B1 (ko) 스태킹된 라우팅 시스템에서의 에이알피 공유 장치

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060421