JP2007104350A - ネットワーク管理装置およびネットワークシステム - Google Patents

ネットワーク管理装置およびネットワークシステム Download PDF

Info

Publication number
JP2007104350A
JP2007104350A JP2005291901A JP2005291901A JP2007104350A JP 2007104350 A JP2007104350 A JP 2007104350A JP 2005291901 A JP2005291901 A JP 2005291901A JP 2005291901 A JP2005291901 A JP 2005291901A JP 2007104350 A JP2007104350 A JP 2007104350A
Authority
JP
Japan
Prior art keywords
network
role
network communication
communication device
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005291901A
Other languages
English (en)
Other versions
JP4517997B2 (ja
Inventor
Takashi Sumiyoshi
貴志 住吉
Hideki Okita
英樹 沖田
Yoji Ozawa
洋司 小澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005291901A priority Critical patent/JP4517997B2/ja
Priority to US11/542,436 priority patent/US7801060B2/en
Publication of JP2007104350A publication Critical patent/JP2007104350A/ja
Application granted granted Critical
Publication of JP4517997B2 publication Critical patent/JP4517997B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワーク通信装置の初期設定およびネットワーク構成変更時の設定作業を軽減するネットワーク管理装置およびネットワーク管理システムを提供する。
【解決手段】ネットワーク管理装置500が、ネットワーク運用開始時やネットワーク構成変更時に同一ネットワークに属している各ネットワーク通信装置の情報を取得し、その情報と運用ポリシーを元に前記ネットワーク通信装置の具体的な動作内容を決定し設定する。
また、前記ネットワーク通信装置の役割を管理者が設定するためのGUIをネットワーク管理装置に備える。
【選択図】図2

Description

本発明は、情報通信ネットワークに接続し当該ネットワークを自律的に運用管理するネットワーク管理装置、および、ネットワーク管理装置と情報通信ネットワークから構成されるネットワーク管理システムに関する。
企業で利用されるIP(Internet Protocol)ネットワークなどのパケット交換型の情報通信ネットワーク(以下、単にネットワークと表記する)は、ルータ、スイッチ、ゲートウェイ、アクセスポイントなどの多様なネットワーク通信装置で構成される。このようなネットワークを管理者や利用者の意図どおりに機能させるためには、管理者はこれらすべてのネットワーク通信装置に対して適切な動作を設定する必要がある。
近年のネットワークは、大規模化・高機能化の傾向にあり、パケット通信装置の設定項目についてもその種類や量が増加する傾向にある。主な設定項目として、インターネットなどの外部ネットワークを利用するために必要なセキュリティ設定、VoIP(Voice over IP)などのアプリケーションが利用する帯域保証などのネットワークサービス設定、課金やアクセスログ、監視などの運用管理設定などが挙げられる。
このようにパケット通信装置の設定項目の種類や量が増加していくと、企業では以下に挙げる問題が発生する。
1.管理者の作業量増加に伴う、管理コスト(管理者の作業時間)の増加
2.設定作業時間の増加による、ネットワークサービスインタイムの遅延
3.作業内容の増加に伴う、設定ミスの増加
これらの問題の原因は、設定作業の複雑さが爆発的に増すためと考えられる。例えばネットワーク全体に対するセキュリティの設定を行うために、ネットワーク内のほとんどすべてのパケット通信装置に設定しなければならないケースがあり、この作業量はネットワークの規模に比例する。さらに、そのセキュリティ設定に伴いルーティングやアクセス制御など他の設定内容を更新しなければならないケースでは、作業量は設定項目の種別や量の増加に伴い増大する。
特許文献1および特許文献2は、通信装置に対し自動的に設定作業を行うことで、上記の問題の解決を図っている。
特開2003−186768号公報
特開2005−50302号公報
特許文献1および特許文献2が開示する方法は管理者の作業量を削減できるが、事前にネットワークの物理構成を決定し、そのネットワークに対応した設定内容を管理者があらかじめ用意する必要があるため、ネットワークの構成変更時や障害発生時は管理者が設定作業を行う必要がある。
ネットワークの物理構成の変化要因は、増設などの計画的なものや障害などの突然発生的なものがあり、頻繁に発生する。そのたびに管理者がネットワークの障害を監視し、障害時あるいは増設時にネットワークのトポロジを調べて新たな構成定義を作成し設定作業を行う必要があるため、作業量は依然として大きい。
前記課題を解決するため、ネットワーク管理装置はネットワークの初期設定時や物理構成の変化時に、ネットワークの各ネットワーク通信装置のトポロジ、機器種別、機器識別子を取得し、管理者が与えた役割割当情報に基づいて各ネットワーク通信装置の役割を自動的に決定する。さらに、管理者が与えた運用ポリシーを満たすようなネットワーク通信装置の動作内容を求め、設定する。
また、ネットワーク管理装置は管理者によりネットワーク通信装置に役割を与えることができるGUIを備え、管理者がGUIを用いて各ネットワーク通信装置与えた役割と、管理者が与えた運用ポリシーからネットワーク通信装置の動作内容を求め、設定する。
より具体的には、本発明は、ネットワークに接続可能なネットワークインタフェースと、プログラムおよびデータを格納する記憶装置と、前記プログラムに従い処理を実行するプロセッサを備えたネットワーク管理装置であって、同一ネットワークに属している各ネットワーク通信装置のトポロジ(各ネットワーク通信装置間の接続関係)、機器種別、機器識別子の一つあるいは複数の情報を取得し保持する手段と、前記ネットワーク通信装置のそれぞれに役割を付与する手段と、前記役割に対して抽象的な動作内容を記述した運用ポリシーを保持する手段と、前記各ネットワーク通信装置の情報と前記運用ポリシーを元に前記各ネットワーク通信装置の具体的な動作内容を決定し、当該ネットワーク通信装置に設定する手段を備えた一つあるいは複数のネットワーク管理装置と、ネットワークに接続可能なネットワークインタフェースと、前記ネットワークインタフェースにより受信したパケットについて処理を行うプロセッサと、前記処理に必要な経路表を保持する記憶装置を備えたネットワーク通信装置であって、前記ネットワーク管理装置からの情報要求に応答する手段と、前記ネットワーク管理装置からの設定に従って動作する手段を備えた一つあるいは複数のネットワーク通信装置とで構成されたネットワークにおいて、ネットワーク管理装置がネットワーク運用開始時やネットワーク構成変更時に同一ネットワークに属している各ネットワーク通信装置の前記トポロジ、前記機器種別、前記機器識別子の一つあるいは複数の情報を取得し、前記役割を付与する手段により前記各ネットワーク通信装置に役割を付与し、その役割から前記運用ポリシーに基づき前記各ネットワーク通信装置の具体的な動作内容を決定し、前記動作内容を当該ネットワーク通信装置に設定することを特徴とするネットワークネットワーク管理システムを提供する。
さらに本発明は、前記ネットワーク管理装置が、ネットワーク通信装置に割り当てる役割と、当該ネットワーク通信装置が前記役割であると判別するために満たすべきである、当該ネットワーク通信装置の前記トポロジ、前記機器種別、前記機器識別子の一つあるいは複数の情報に対する条件とを対応づけて記述した役割割当ルールを保持する手段を備え、前記役割を付与する手段として前記役割割当ルールを用いることを特徴とするネットワーク管理システムを提供する。
さらに本発明は、前記ネットワーク管理装置が、管理者に当該ネットワークにおけるネットワーク通信装置の前記トポロジ、前記機器種別、前記機器識別子の一つあるいは複数の情報を通知し、前記各ネットワーク通信装置に付与する役割を指定させることができる手段をさらに備え、前記ネットワーク管理装置が取得したネットワーク通信装置の前記トポロジ、前記機器種別、前記機器識別子の一つあるいは複数の情報を管理者に通知し、その通知内容をもとに管理者が指定した役割から前記運用ポリシーに基づき前記各ネットワーク通信装置の具体的な動作内容を決定することを特徴とするネットワーク管理システムを提供する。
さらに本発明は、前記運用ポリシーに記載する動作内容が、各役割間の通信の許可・不許可を記述したパケットフィルタリングであり、前記各ネットワーク通信装置へ設定する動作内容が当該ネットワーク通信装置のパケットフィルタリング機能の動作であることを特徴とするネットワーク管理システムを提供する。
本発明によれば、以下の効果を奏する。
1.パケット交換ネットワークの装置を自動設定することで、管理コストの増加やサービスインタイムの遅延、設定ミスを抑える。
2.ネットワークの物理構成の変更を検出し、当初のネットワーク運用ポリシーに従った設定を管理者を介さずに、あるいは最小限の設定作業のみで行う。
1.システム構成・装置構成
図1は、以降の実施例の説明で用いる、発明のネットワーク管理システムを適用したネットワークである。
ネットワークは管理者が管理する内部ネットワーク1と、内部ネットワーク1と接続する外部ネットワーク2から構成される。内部ネットワーク1はパケット通信装置100、110、120、130、140から構成される。パケット通信装置100は内部ネットワーク1のコアスイッチの役割をもち、他のパケット通信装置とそれぞれ接続しているが、パケット通信装置140とは初期状態では接続していない。パケット通信装置120、130、140は建物の各フロアに設置されるフロアスイッチであり、それぞれ端末121、122、端末131、132、端末141、142を収容している。パケット通信装置110は外部ネットワーク2と接続するゲートウェイの役割を持つ。さらにパケット通信装置100には内部ネットワーク1を管理する本発明の管理装置500が接続している。
図2を用いて、管理装置500を説明する。
管理装置500は、ネットワークインタフェース510、プロセッサ520、記憶装置530を有する。記憶装置530には、トポロジ取得プログラム531、役割定義プログラム532、フィルタ設定プログラム533、トポロジ取得状況情報534、トポロジ情報535、役割定義情報536、役割割当情報537、フィルタ定義情報538、フィルタ設定情報539が格納される。これらの内容についてはそれぞれ後述する。
図3を用いて、パケット通信装置100を説明する。パケット通信装置110、120、130、140も同様の構成を有する。パケット装置100は、ネットワークインタフェース1010、1020、スイッチ1030、経路検索部1040、モジュール制御管理部1050から構成される。
経路検索部1040は、プロセッサ1041、記憶装置1042から構成される。記憶装置1042には、経路表1043、経路検索プログラム1044が格納される。プロセッサ1041は経路検索プログラム1044に従い、ネットワークインタフェース1010、1020から受信したパケットの転送先を経路表1043を参照して求め、データパケットの場合はスイッチ1030を用いて転送先ネットワークインタフェースから転送し、制御パケットの場合は制御管理部1050へ転送する。
制御管理部1050は、プロセッサ1051、記憶装置1052から構成される。記憶装置1052は、隣接情報配信プログラム1053、フィルタ設定プログラム1054、要請受信ID情報1055、トポロジ取得状況情報1056、隣接情報1057、フィルタ情報1058が格納される。これらの内容についてはそれぞれ後述する。

2.トポロジ情報取得
図4を用いて、図1のネットワークにおける管理装置500によるネットワークのトポロジ取得プロセスを説明する。このプロセスは管理装置500のプロセッサ520がトポロジ取得プログラム531にしたがい実施する。
まず、プロセッサ520は図5に示すトポロジ取得状況情報534を参照する。トポロジ取得状況情報534は、(要請メッセージID、ポート、受信状況)から構成され、あるポートに送信した要請メッセージIDで識別される要請メッセージに対し、通知メッセージを受信したかどうかを保持する。プロセッサ520はトポロジ取得状況情報534の要請メッセージIDの欄を参照して、利用されていない要請メッセージID(=x)を取得し、トポロジ取得状況情報534に(x、p、Sent)という情報を追加する(S101)。ここでpは、管理装置500が管理するネットワークに接続しているポートを示す。
次に、隣接するパケット通信装置にトポロジ情報要請メッセージを送信する(S102)。このメッセージの送信元アドレスは送信するポートのネットワークインタフェースの識別子であるMACアドレス、送信先アドレスはブロードキャストアドレス、メッセージ内容はこのメッセージがトポロジ情報要請メッセージであることを示す識別子と要請メッセージID(=x)である。送信完了後、管理装置500はトポロジ情報通知メッセージの受信待機状態となる。
次に、管理装置500からトポロジ情報要請メッセージを受信したパケット通信装置100の動作を説明する。このプロセスはパケット通信装置100のプロセッサ1051は隣接情報配信プログラム1053にしたがい動作する。
まず、プロセッサ1051は受信したトポロジ情報要請メッセージの要請メッセージID(=x)を用いて、図6に示す要請受信ID情報1055を参照する(S103)。要請受信ID情報1055には、装置起動後に受信したすべてのトポロジ情報要請メッセージの(要請メッセージID、受信時刻、受信ポート、対向MACアドレス)が格納されている。対向MACアドレスはトポロジ情報要請メッセージの送信元MACアドレスに等しい。受信したトポロジ情報要請メッセージの要請メッセージIDがその中にすでに含まれていないときは、要請受信ID情報1055に(x、現在時刻、受信ポート)というエントリを追加し、トポロジ情報要請メッセージを受信ポート以外の各ポートpからトポロジ情報要請メッセージを送信する(S104)。このメッセージの送信元アドレスは送信するポートのMACアドレス、要請メッセージIDはxである。図1のネットワークにおいては、パケット通信装置110、120、130、150にこのメッセージが送信される。また、トポロジ取得状況情報1056に(x、p、Sent)という情報を追加する(S105)。トポロジ取得状況情報1056は図5に示すトポロジ取得状況情報534と同一の形式である。送信完了後は、トポロジ情報通知メッセージの受信待機状態となる。
次に、パケット通信装置100からトポロジ情報要請メッセージを受信したパケット通信装置120の動作を説明する。図4ではパケット通信装置120のみの処理を示しているが、他のパケット通信装置110、130、140についても同様の処理が行われる。このプロセスはパケット通信装置120のプロセッサ1051が隣接情報配信プログラム1053にしたがい実施する。
まず、プロセッサ1051は受信したトポロジ情報要請メッセージの要請メッセージID(=x)を用いて、要請受信ID情報1055を参照する(S106)。受信したトポロジ情報要請メッセージの要請メッセージIDがその中にすでに含まれていないときは、要請受信ID情報1055に(x、現在時刻、受信ポート)というエントリを追加し、受信したポート以外の各ポートpからトポロジ情報要請メッセージを送信する(S107)。このメッセージの送信元アドレスは送信するネットワークインタフェースのMACアドレス、要請メッセージIDはxである。また、トポロジ取得状況情報1056に(x、p、Sent)という情報を追加する(S108)。送信完了後は、トポロジ情報通知メッセージの受信待機状態となる。
端末121(端末122、131、132、141、142も同様)はトポロジ情報要請メッセージを受信すると、トポロジ情報通知メッセージを送信する(S109)。トポロジ情報通知メッセージは、送信先アドレスにトポロジ情報要請メッセージの送信元MACアドレスを用い、メッセージ内容として、トポロジ情報通知メッセージを示す識別子と、トポロジ情報要請メッセージの要請メッセージID、端末121がトポロジ情報要請メッセージを受信したポートの識別子(ここではPort0)、さらに図7に示す情報(行番号(#)、装置名(Name)、装置種別(Type)、隣接ノード、フィルタ設定、設定IPアドレス)を含む。装置種別として自分自身の装置種別情報(=Endnode)を設定し、隣接ノードはトポロジ情報要請メッセージを受信したノード以外に存在しないため空欄である。フィルタ設定の欄は、フィルタ設定を行うことができないため空欄、設定IPアドレスの欄には自分自身の所属するサブネットアドレスを設定する。
パケット通信装置120は端末121および端末122からトポロジ情報通知メッセージを受信すると、当該メッセージの要請メッセージIDおよび受信ポート番号からトポロジ取得状況情報1056を参照し、受信状況を取得する。該当レコードが存在しない場合、あるいは受信状況がReceivedであった場合は、当該メッセージを破棄する。受信状況がSentであった場合は、当該受信状況をReceivedに変更し、図8に示す隣接情報1057を作成する(S110)。
隣接情報1057は、(ノード番号(#)、装置名(Name)、装置種別(Type)、隣接ノード、フィルタ設定、設定IPアドレス)から構成される。ノード番号0にはあらかじめ自分自身の装置情報を記録しておく。ここで、フィルタ設定の欄には自分自身にどのようなフィルタ設定が可能かどうかを設定し、設定IPアドレスには外部ノードが自分自身の設定を行うために接続するIPアドレスを設定する。図8の例では、入力側(Inbound)と出力側(Outbound)の両方にフィルタ設定が可能であり、設定用のIPアドレスは192.168.120.1であることを示している。
また、前記トポロジ情報通知メッセージ受信時に、受信したトポロジ情報通知メッセージに含まれるポートの識別子と図7の情報から隣接関係を導き隣接情報1057に格納する。具体的には、Port2, Port3に接続された端末121、122からそれぞれトポロジ情報通知メッセージを受信した場合、図8のノード番号0の隣接ノードの欄およびノード番号1、2の全体を更新する。
その後、トポロジ取得状況情報1056のうち当該要請メッセージID(=x)を持つレコードすべての受信状況がReceivedであるかどうかを調べ(S111)、そうである場合、隣接情報1057をトポロジ情報通知メッセージに含めて送信する(S112)。トポロジ情報通知メッセージの送信先アドレスは、図6の要請受信ID情報1055を要請メッセージID(=x)で抽出したレコードの対向MACアドレス、要請メッセージIDはxを設定する。
パケット通信装置100はパケット通信装置110、120,130からトポロジ情報通知メッセージを受信すると、当該メッセージの要請メッセージIDおよび受信ポート番号からトポロジ取得状況情報1056を参照し、受信状況を取得する。該当レコードが存在しない場合、あるいは受信状況がReceivedであった場合は、当該メッセージを破棄する。受信状況がSentであった場合は、当該状態をReceivedに変更し、同様に隣接情報1057を作成する(S113)。パケット通信装置110、120、130からトポロジ情報通知メッセージを受信した場合、図9に示す隣接情報1057が得られる。
さらに、トポロジ取得状況情報1056のうち、当該要請メッセージIDを持つレコードすべての受信状況がReceivedであるかどうかを調べ(S114)、そうである場合、図9で示す隣接情報1057をトポロジ情報通知メッセージに含めて送信する(S115)。トポロジ情報通知メッセージの送信先アドレスおよび要請メッセージIDはパケット通信装置120と同様に決定する。
管理装置500はパケット通信装置100からトポロジ情報通知メッセージを受信すると、当該メッセージの要請メッセージIDおよび受信ポート番号からトポロジ取得状況情報534を参照し、受信状況を取得する。該当レコードが存在しない場合、あるいは受信状況がReceivedであった場合は、当該メッセージを破棄する。受信状況がSentであった場合は、当該受信状況をReceivedに変更し、図10に示すトポロジ情報535を隣接情報1057と同様の方法により作成する(S116)。
このように、管理装置500はトポロジ取得プロセスを実施することでネットワークのトポロジを取得することができる。このプロセスは定期的、あるいはネットワークの変更検出時に実施する。

3.役割定義
次に、図11を用いて、管理装置500によるパケット通信装置の役割定義プロセスを説明する。このプロセスは管理装置500のプロセッサ520が役割定義プログラム532にしたがい実施する。
あらかじめ管理者は管理装置500に、図12で示す役割定義情報536を与えておく。役割定義情報は(役割、条件)で構成され、1つの役割に対して1つ以上の条件を設定できる。条件としては、あるノードに対して名前(Name)や種類(Type)が一致するか、あるノードの隣接ノード(Neighbor)に指定されたノードが含まれるか、などが指定できる。
プロセッサ520は役割定義を開始すると(S201)、まずトポロジ情報535に含まれる各ノードNについてのループを開始する(S202)。さらに図12で示す役割定義情報536の各役割Rについてのループを開始し(S203)、さらに役割Rの各条件Cに関するループを開始する(S204)。
次に、ノードNが条件Cを満たすかを判断する(S205)。満たさない条件が見つかった場合は、次の役割について同様の判断を行う(S206)。すべての条件を満たした場合は、ノードNに役割Rをアサインし(S207)、その内容を役割割当情報に格納する。すべての条件を満たす役割が見つからなかった場合は、ノードNに「役割なし」をアサインし(S208)、その内容を役割割当情報537に格納する。以上をすべてのノードNについて同様に行う(S209)。
以上により、役割定義プロセスを実施することで役割割当情報537を作成することができる。具体的には、図10のトポロジ情報535と図12に示す役割定義情報から、図13に示す役割割当情報537が得られる。
この役割定義プロセスは、トポロジ情報535や役割定義情報536が変更されるなど、役割割当情報537を更新する必要が生じたときに実施する。

4.フィルタ設定と配布
次に、図14を用いて、管理装置500によるフィルタ設定プロセスを説明する。このプロセスは管理装置500のプロセッサ520がフィルタ設定プログラム533にしたがい実施する。
フィルタ設定には、管理者が設定する図15に示すフィルタ定義情報538を用いる。フィルタ定義情報538は、(From,To,Flow,Action)から構成される。これは、FromからToへ行くFlowの条件で示されるパケットに関する処理方法(Action)を定義している。ActionがAcceptならそのパケットを通し、Dropならそのパケットをネットワークにて廃棄する。複数のエントリの条件に一致するパケットには、一番上位に記述されたエントリの処理方法を適用する。From,To,Flowがすべて*で示されたエントリは、他のエントリに当てはまらないパケットに対する処理(デフォルト処理)を示す。
プロセッサ520はフィルタ設定を開始すると(S301)、まずフィルタ設定情報539をクリアする。一般的なパケット転送装置では、フィルタを設定しないこの状態ではすべてのフローがフィルタリングされずに転送される。
次に、フィルタ定義情報538の各エントリのループを開始する(S303)。各エントリ(From,To,Flow,Action)について、まずFromで示されるノード群からToで示されるノード群へ向かうときにパケットが通る可能性があるパスをすべて求め(S304)、求めた各パスPについてのループを開始する(S305)。各パスPについてのループでは、まずトポロジ情報535を用いてパスP上でフィルタ設定が可能な場所であるフィルタポイント(N,Q,D)を求める(S306)。ここでNはノード、Qはポート、Dはinbound/outboundのいずれかを表す方向である。例えば図10で示すトポロジ情報535において、ノード群「フロアエンド」(図13よりノード4〜ノード7)からノード群「未定義」(図13よりノード8,9)へ向かうパケットが通る可能性があるパスのフィルタポイントは、(ノード2、ポート2、inbound)、(ノード2、ポート1、outbound)、(ノード1、ポート2、inbound)、(ノード1、ポート3、inbound)、(ノード1、ポート5、outbound)となる。ノード3もパス上に含まれるが、図10によるとフィルタ設定ができないため、フィルタポイントとはならない。
次に、上記で求めたフィルタポイントが1つ以上存在するかを調べ、存在するときは全フィルタポイントについて(N、Q、D、Flow、Action)をフィルタ設定情報539に追加する(S307)。存在しない場合は、さらにActionがDropかを調べ(S309)、そうである場合はネットワークが意図しないパケットを流してしまう可能性があるため、その旨を管理者に警告する(S310)。
以上を終えると次のパスに移る(S311)。すべてのパスが終了したら、次のフィルタ定義情報の項目へ移る(S312)。
以上のフィルタ設定プロセスが終了すると、フィルタ設定情報539を実際に各ノードに設定する。具体的には、図10で示すトポロジ情報、図13で示す役割割当情報、図15で示すフィルタ定義情報538から図16で示すフィルタ設定情報539が作成される。
以上により、本発明の管理装置をもつネットワーク管理システムにおいて、フィルタの自動設定が実現できる。

5.フィルタ設定の補足
フィルタ設定においては、端末において送信するパケットの送信元IPアドレスとして管理者が想定するもの以外を用いることは容易であるため、管理者が想定する端末の送信元IPアドレスをフィルタの条件から除外し、任意の送信元IPアドレスに対してパケットをフィルタリングしたほうがよいケースがある。本発明では、管理者がそのような指定を管理端末に行うと、ActionがDropであるフィルタ設定のパケットの送信元IPアドレスを条件に用いずにフィルタ設定を行うという実施が可能である。

6.パケット通信装置追加時の自動設定
次に、以上で述べた自動設定がされた後に、これまで接続していなかったパケット通信装置140をパケット通信装置100に接続したときの自動設定の動作を説明する。
管理装置500は、パケット通信装置140の接続を検出すると、上記で述べたトポロジ取得プロセス、役割定義プロセス、フィルタ設定プロセスを再度実施する。役割定義プロセスによりパケット通信装置140の役割が自動的に割り当てられるため、フィルタ設定プロセスでパケット通信装置140に設定すべきフィルタ設定情報を求めることができる。
ここでパケット通信装置140の検出方法としては、パケット通信装置100が機器の接続されていないポートを監視する方法、パケット通信装置140が接続時にパケット通信装置100に制御パケットを送信する方法、管理者が明示的に管理端末500に検出を通知する方法などが挙げられる。
以上より、パケット通信装置140の導入時に、管理者が設定作業をすることなくパケット通信装置140にフィルタ設定を自動的に行うことができる。

7.GUIによる役割定義
次に、役割定義プロセスをGUI(Graphical User Interface)で行う第2の実施例を説明する。第2の実施例は第1の実施例と比較して役割定義プロセスのみが異なるため、その部分を説明する。
図17に、第2の実施例における本発明の管理装置500を示す。
管理装置500は、ネットワークインタフェース510、プロセッサ520、記憶装置530を有する。記憶装置530には、トポロジ取得プログラム531、GUI役割定義プログラム541、フィルタ設定プログラム533、トポロジ取得状況情報534、トポロジ情報535、役割リスト情報542、役割割当情報537、フィルタ定義情報538、フィルタ設定情報539が格納される。
図18を用いて、管理者によるGUIを用いた役割定義プロセスを説明する。このプロセスはGUI役割定義プログラム541にしたがい管理装置500のプロセッサ520が実施する。
管理装置500は図17に示す表示装置550および入力装置502、503を備える。表示装置550はトポロジ情報表示部551と役割表示部552を有する。管理装置500はトポロジ情報535および役割割当情報537の内容をトポロジ情報表示部551に、役割リスト情報542の情報を役割表示部552にそれぞれ表示する。役割リスト情報542は図18に示すような役割を記したリストである。
管理者が入力装置502や503を用いて、トポロジ情報表示部551に表示されたトポロジ情報のうち役割を設定するパケット通信装置あるいは端末を選択し、役割表示部552から役割を指定すると、管理装置500はその指定内容を役割割当情報537に書き込む。
管理者により役割割当情報537が更新されると、前述のフィルタ設定プロセスを開始する。
以上で説明した方法により、管理者によるGUIを用いた設定によるネットワーク通信装置の自動設定が可能となる。

8.GUIによる役割定義の補足
第2の実施例においてはGUIを用いたが、CUI(Character User Interface)など他の形式によるユーザインタフェースを用いて管理者が設定することも実施可能である。
第2の実施例において、GUIにより役割を定義しなかったパケット通信装置や端末について、第1の実施例で説明した役割定義情報537を用いた役割定義プロセスにより役割を定義するという方法も実施可能である。
本発明のパケット通信装置が配置されるネットワークの構成図である。 本発明の第1の実施例における管理装置500の構成図である。 パケット通信装置100、110、120、130、140の構成図。 本発明の管理装置500のトポロジ取得プロセスを示す図である。 本発明の管理装置500のトポロジ取得状況情報534を示す図である。 パケット通信装置の要請受信ID情報1055を示す図である。 端末121が送信するトポロジ通知メッセージに含まれる情報である。 パケット通信装置120の隣接情報である。 パケット通信装置100の隣接情報である。 本発明の管理装置500のトポロジ情報535である。 本発明の管理装置500の役割定義プロセスを示す図である。 本発明の管理装置500の役割定義情報536を示す図である。 本発明の管理装置500の役割割当情報537を示す図である。 本発明の管理装置500のフィルタ設定プロセスを示す図である。 本発明の管理装置500のフィルタ定義情報538を示す図である。 本発明の管理装置500のフィルタ定義情報539を示す図である。 本発明の第2の実施例における管理装置500の構成図である。 本発明の管理装置500のGUIを示す図である。 本発明の管理装置500の役割リスト情報542を示す図である。
符号の説明
1:内部ネットワーク、2:外部ネットワーク、100,110,120,130,140:パケット通信装置。

Claims (10)

  1. 複数のネットワーク通信装置に接続され、
    ネットワークに接続可能なネットワークインタフェースと、
    プログラムおよびデータを格納する記憶装置と、
    前記プログラムに従い処理を実行するプロセッサを備えたネットワーク管理装置であって、
    前記複数のネットワーク通信装置の接続関係、機器種別、機器識別子のうち少なくともいずれか一つの情報を取得し保持する手段と、
    前記複数のネットワーク通信装置のそれぞれに役割を付与する手段と、
    前記役割に対して動作内容を記述した運用ポリシーを保持する手段と、
    前記各ネットワーク通信装置の情報と前記運用ポリシーを元に前記各ネットワーク通信装置の動作内容を決定し、当該ネットワーク通信装置に設定する手段を備えた
    ネットワーク管理装置。
  2. 請求項1に記載のネットワーク管理装置であって、
    前記複数のネットワーク通信装置の前記接続関係、前記機器種別、前記機器識別子のうち少なくともいずれか一つの情報と、前記各ネットワーク通信装置に付与する役割とを対応付けて記述した役割割当ルールを保持する手段をさらに備え、
    前記役割を付与する手段は、前記役割割当ルールに基づいて役割を付与することを特徴とするネットワーク管理装置。
  3. 請求項2に記載のネットワーク管理装置であって、
    前記役割を付与する手段は、役割を付与されるネットワーク通信装置に隣接したネットワーク通信装置の機器識別子、機器種別、役割のうち少なくともいずれか一つに基づいて、前記役割を付与することを特徴とするネットワーク管理装置。
  4. 請求項1に記載のネットワーク管理装置であって、
    前記取得した前記複数のネットワーク通信装置のうちいずれかのネットワーク通信装置の前記接続関係、前記機器種別、前記機器識別子のうち少なくともいずれか一つの情報を出力する手段と、
    該出力した情報に対応するネットワーク通信装置に付与すべき役割の指定を受け付ける手段とをさらに備え、
    該指定された役割に対応する前記運用ポリシーに基づき、前記ネットワーク通信装置の動作内容を決定することを特徴とするネットワーク管理装置。
  5. 請求項1に記載のネットワーク管理装置であって、
    前記運用ポリシーに記載する動作内容が、各ネットワーク通信装置に付与する役割間の通信の許可・不許可を記述したパケットフィルタリングであり、前記各ネットワーク通信装置へ設定する動作内容が当該ネットワーク通信装置のパケットフィルタリング機能の動作であることを特徴とするネットワーク管理装置。
  6. 複数のネットワーク通信装置と接続され、
    ネットワークに接続可能なネットワークインタフェースと、
    プログラムおよびデータを格納する記憶装置と、
    前記プログラムに従い処理を実行するプロセッサを備えたネットワーク管理装置であって、
    前記複数のネットワーク通信装置の接続関係、機器種別、機器識別子のうち少なくともいずれか一つの情報を取得し保持する手段と、
    前記複数のネットワーク通信装置のそれぞれに役割を付与する手段と、
    前記役割に対して動作内容を記述した運用ポリシーを保持する手段と、
    前記各ネットワーク通信装置の情報と前記運用ポリシーを元に前記各ネットワーク通信装置の動作内容を決定し、当該ネットワーク通信装置に設定する手段を備えた少なくとも一つのネットワーク管理装置と、
    ネットワークに接続可能なネットワークインタフェースと、
    前記ネットワークインタフェースにより受信したパケットについて処理を行うプロセッサと、
    前記処理に必要な経路表を保持する記憶装置を備えたネットワーク通信装置であって、
    前記ネットワーク管理装置へ自装置に関する前記情報を通知する手段と、
    前記ネットワーク管理装置からの設定に従って動作する手段を備えた少なくとも一つのネットワーク通信装置とを備えたネットワークシステム。
  7. 請求項6に記載のネットワークシステムであって、
    前記ネットワーク管理装置は、
    前記複数のネットワーク通信装置の前記接続関係、前記機器種別、前記機器識別子のうち少なくともいずれか一つの情報と、前記各ネットワーク通信装置に付与する役割とを対応付けて記述した役割割当ルールを保持する手段をさらに備え、
    前記役割を付与する手段は、前記役割割当ルールに基づいて役割を付与することを特徴とするネットワークシステム。
  8. 請求項7に記載のネットワークシステムであって、
    前記ネットワーク管理装置の前記役割を付与する手段は、役割を付与されるネットワーク通信装置に隣接したネットワーク通信装置の機器識別子、機器種別、役割のうち少なくともいずれか一つに基づいて、前記役割を付与することを特徴とするネットワークシステム。
  9. 請求項6に記載のネットワークシステムであって、
    前記ネットワーク管理装置は、
    前記取得した前記複数のネットワーク通信装置のうちいずれかのネットワーク通信装置の前記接続関係、前記機器種別、前記機器識別子のうち少なくともいずれか一つの情報を出力する手段と、
    該出力した情報に対応するネットワーク通信装置に付与すべき役割の指定を受け付ける手段とをさらに備え、
    該指定された役割に対応する前記運用ポリシーに基づき、前記ネットワーク通信装置の動作内容を決定することを特徴とするネットワークシステム。
  10. 請求項6に記載のネットワーク管理システムであって、
    前記運用ポリシーに記載する動作内容が、各ネットワーク通信装置に付与する役割間の通信の許可・不許可を記述したパケットフィルタリングであり、前記各ネットワーク通信装置へ設定する動作内容が当該ネットワーク通信装置のパケットフィルタリング機能の動作であることを特徴とするネットワークシステム。
JP2005291901A 2005-10-05 2005-10-05 ネットワーク管理装置およびネットワークシステム Expired - Fee Related JP4517997B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005291901A JP4517997B2 (ja) 2005-10-05 2005-10-05 ネットワーク管理装置およびネットワークシステム
US11/542,436 US7801060B2 (en) 2005-10-05 2006-10-04 Network management apparatus and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005291901A JP4517997B2 (ja) 2005-10-05 2005-10-05 ネットワーク管理装置およびネットワークシステム

Publications (2)

Publication Number Publication Date
JP2007104350A true JP2007104350A (ja) 2007-04-19
JP4517997B2 JP4517997B2 (ja) 2010-08-04

Family

ID=37901823

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005291901A Expired - Fee Related JP4517997B2 (ja) 2005-10-05 2005-10-05 ネットワーク管理装置およびネットワークシステム

Country Status (2)

Country Link
US (1) US7801060B2 (ja)
JP (1) JP4517997B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010136096A (ja) * 2008-12-04 2010-06-17 Nec Corp ネットワーク管理装置,ネットワーク管理方法及びプログラム
JP2011517346A (ja) * 2008-03-31 2011-06-02 株式会社日立製作所 情報システムトポロジー表示を提供するユーザーインターフェース
WO2011080871A1 (ja) * 2009-12-28 2011-07-07 日本電気株式会社 通信システムおよびトポロジー情報作成方法
WO2011080870A1 (ja) * 2009-12-28 2011-07-07 日本電気株式会社 通信システムおよびポート情報収集方法
US8533316B2 (en) 2007-04-27 2013-09-10 Hitachi, Ltd. Management computer for setting configuration information of node
WO2014017467A1 (ja) * 2012-07-24 2014-01-30 日本電気株式会社 フィルタリング設定支援装置、フィルタリング設定支援方法及びプログラム
JP2018166234A (ja) * 2017-03-28 2018-10-25 日本電気株式会社 通信システム設定方法、通信システム設定装置および通信システム設定プログラム
JP2019213048A (ja) * 2018-06-05 2019-12-12 古野電気株式会社 ネットワーク管理システム、ネットワーク中継装置、ネットワーク管理装置、ネットワーク中継方法、ネットワーク管理方法、及びプログラム

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7783766B2 (en) * 2006-06-30 2010-08-24 Frank Busalacchi Network clustering technology
US7647337B2 (en) 2006-06-30 2010-01-12 Frank Busalacchi Global information architecture
JP4714111B2 (ja) * 2006-08-29 2011-06-29 株式会社日立製作所 管理計算機、計算機システム及びスイッチ
US8730819B2 (en) * 2009-10-14 2014-05-20 Cisco Teechnology, Inc. Flexible network measurement
CN102783098B (zh) * 2010-03-05 2016-01-20 日本电气株式会社 通信系统、路径控制设备、分组转发设备以及路径控制方法
JP6514100B2 (ja) * 2015-12-28 2019-05-15 株式会社東芝 通信装置、通信システム及びネットワーク管理方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005252717A (ja) * 2004-03-04 2005-09-15 Hitachi Ltd ネットワーク管理方法及びネットワーク管理サーバ

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US20030069947A1 (en) 2001-10-05 2003-04-10 Lipinski Gregory J. System and methods for network detection and configuration
US7483390B2 (en) * 2003-06-30 2009-01-27 Intel Corporation System and method for dynamically configuring and transitioning wired and wireless networks
JP4086805B2 (ja) 2003-07-15 2008-05-14 三洋電機株式会社 自動初期設定機能を有するネットワーク管理サーバーおよびネットワーク管理方法
JP4341517B2 (ja) * 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US8488451B2 (en) * 2005-03-22 2013-07-16 At&T Intellectual Property I, Lp System and method for allocating processing bandwith in a residential gateway utilizing transmission rules and data mapping

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005252717A (ja) * 2004-03-04 2005-09-15 Hitachi Ltd ネットワーク管理方法及びネットワーク管理サーバ

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8533316B2 (en) 2007-04-27 2013-09-10 Hitachi, Ltd. Management computer for setting configuration information of node
JP2011517346A (ja) * 2008-03-31 2011-06-02 株式会社日立製作所 情報システムトポロジー表示を提供するユーザーインターフェース
JP2010136096A (ja) * 2008-12-04 2010-06-17 Nec Corp ネットワーク管理装置,ネットワーク管理方法及びプログラム
JP5598482B2 (ja) * 2009-12-28 2014-10-01 日本電気株式会社 通信システムおよびポート情報収集方法
WO2011080870A1 (ja) * 2009-12-28 2011-07-07 日本電気株式会社 通信システムおよびポート情報収集方法
WO2011080871A1 (ja) * 2009-12-28 2011-07-07 日本電気株式会社 通信システムおよびトポロジー情報作成方法
JP5644775B2 (ja) * 2009-12-28 2014-12-24 日本電気株式会社 通信システムおよびトポロジー情報作成方法
US9391880B2 (en) 2009-12-28 2016-07-12 Nec Corporation Communication system, and method of collecting port information
WO2014017467A1 (ja) * 2012-07-24 2014-01-30 日本電気株式会社 フィルタリング設定支援装置、フィルタリング設定支援方法及びプログラム
JPWO2014017467A1 (ja) * 2012-07-24 2016-07-11 日本電気株式会社 フィルタリング設定支援装置、フィルタリング設定支援方法及びプログラム
US9503327B2 (en) 2012-07-24 2016-11-22 Nec Corporation Filtering setting support device, filtering setting support method, and medium
JP2018166234A (ja) * 2017-03-28 2018-10-25 日本電気株式会社 通信システム設定方法、通信システム設定装置および通信システム設定プログラム
JP2019213048A (ja) * 2018-06-05 2019-12-12 古野電気株式会社 ネットワーク管理システム、ネットワーク中継装置、ネットワーク管理装置、ネットワーク中継方法、ネットワーク管理方法、及びプログラム
JP7097238B2 (ja) 2018-06-05 2022-07-07 古野電気株式会社 ネットワーク管理システム、ネットワーク中継装置、ネットワーク管理装置、ネットワーク中継方法、ネットワーク管理方法、及びプログラム

Also Published As

Publication number Publication date
US20070076634A1 (en) 2007-04-05
JP4517997B2 (ja) 2010-08-04
US7801060B2 (en) 2010-09-21

Similar Documents

Publication Publication Date Title
JP4517997B2 (ja) ネットワーク管理装置およびネットワークシステム
JP5846221B2 (ja) ネットワークシステム、及びトポロジー管理方法
JP4587446B2 (ja) ネットワークシステム、並びにスイッチ装置及び経路管理サーバ及びそれらの制御方法、及び、コンピュータプログラム及びコンピュータ可読記憶媒体
EP2993838B1 (en) Methods for setting a member identity of gateway device and corresponding management gateway devices
JP4773946B2 (ja) モニタ制御システム、モニタ装置、モニタ制御方法およびモニタ制御プログラム
EP3958509A1 (en) Method, apparatus and system for communication between controllers in tsn
JP2006340161A (ja) パケット通信装置
US20010026550A1 (en) Communication device
JP2005167435A (ja) Vrの機密性を維持したvrrp技術
CN101562576B (zh) 一种路由发布方法和设备
CN101692654B (zh) 一种HUB-Spoken组网的方法、系统及设备
JP2008040772A (ja) 接続管理システム、接続管理方法、および管理サーバ
JP5640853B2 (ja) 通信システム、ルータ、スイッチングハブ、およびプログラム
CN108289044B (zh) 数据转发方法、确定静态路由的链路状态方法及网络设备
JP2014183421A (ja) ネットワーク中継装置および方法
WO2012107983A1 (ja) 中継サーバ及び中継通信システム
EP2600568B1 (en) Relay server and relay communication system
US8737413B2 (en) Relay server and relay communication system
KR20140122171A (ko) 네트워크 모니터링 및 패킷 검사 장치 및 방법
JP2006115362A (ja) パケット中継装置
KR101747032B1 (ko) 소프트웨어 정의 네트워킹 환경에서의 모듈형 제어 장치 및 그 동작 방법
WO2017054535A1 (zh) 流量转发方法及装置
EP3258654B1 (en) Method and system for reducing pim protocol dr change
JP5668503B2 (ja) 有害サイトフィルタリングシステム及びフィルタリング方法
JP2006019867A (ja) 経路計算システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080403

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100329

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100427

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100510

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130528

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4517997

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130528

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees