JP2010178211A - Network management device - Google Patents
Network management device Download PDFInfo
- Publication number
- JP2010178211A JP2010178211A JP2009020710A JP2009020710A JP2010178211A JP 2010178211 A JP2010178211 A JP 2010178211A JP 2009020710 A JP2009020710 A JP 2009020710A JP 2009020710 A JP2009020710 A JP 2009020710A JP 2010178211 A JP2010178211 A JP 2010178211A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unit
- identification information
- group
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Selective Calling Equipment (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
本発明は、通信機能を有する複数台の機器が接続されるとともに接続された機器間での通信の許可と禁止とを制御するネットワーク管理装置に関するものである。 The present invention relates to a network management apparatus that is connected to a plurality of devices having a communication function and controls permission and prohibition of communication between the connected devices.
従来から、通信機能を有する複数台の機器(端末)間のルーティングを制御するネットワーク管理装置が提供されている(たとえば、特許文献1参照)。特許文献1に記載された装置では、図3に示すように、ローカルルータスイッチ2′に設けた複数のポートにそれぞれローカルスイッチ1′が接続された構成を有し、各ローカルスイッチ1′に設けた複数のポートにそれぞれ通信機能を有する機器3が接続されることにより、イントラネットが構築されている。
2. Description of the Related Art Conventionally, a network management apparatus that controls routing between a plurality of devices (terminals) having a communication function has been provided (see, for example, Patent Document 1). As shown in FIG. 3, the apparatus described in
ローカルスイッチ1′は、イントラネットのルーティングを行うルーティング部(イントラネットルーティング部)16と、他のローカルスイッチ1′へのルーティングを行う場合にローカルルータスイッチ2′との連携を行うルーティング部(VLAN学習/識別/フォワーディング部)17と、ローカルスイッチ1′のポートと機器3の識別情報(MACアドレスなど)と機器3が属するグループのグループ識別情報(グループID)とが対応付けて登録されたグループテーブル(バーチャルグループ登録/ルーティングテーブル部)18とを備える。ルーティング部16は、イントラネットのルーティングテーブルを作成するとともに、作成したルーティングテーブルに基づいて、機器3の間のルーティングを行う。
The
一方、ローカルルータスイッチ2′は、ルーティングテーブル26aを有したルートサーバ部26と、プロトコルを変換する変換処理部(イントラネット処理部)27と、接続処理部(VLAN学習/識別/フォワーディング部)28とを有している。ローカルルータスイッチ2′とルータスイッチ1′とは、ルーティング部16のルーティングテーブルとルートサーバ部26のルーティングテーブル26aとの内容を相互に保持する。
On the other hand, the local router switch 2 'includes a route server unit 26 having a routing table 26a, a conversion processing unit (intranet processing unit) 27 for converting a protocol, a connection processing unit (VLAN learning / identification / forwarding unit) 28, have. The local router switch 2 ′ and the router switch 1 ′ mutually hold the contents of the routing table of the
特許文献1に記載の構成では、1台のローカルスイッチ1′に接続されている機器3の間の通信はローカルルータスイッチ2′や他のローカルスイッチ1′にパケットを転送することなく行われ、異なるローカルスイッチ1′に接続されている機器3の間の通信はローカルルータスイッチ2′を介して行われる。
In the configuration described in
また、送信先のグループ識別情報が送信元のグループ識別情報と異なり、かつ同じローカルルータスイッチ2′の管理下におけるいずれかのグループ識別情報と一致する場合には、送信先の識別情報を持つ機器3が接続されているローカルスイッチ1′のポートにパケットが転送される。すなわち、特許文献1に記載の構成では、ローカルスイッチ1′にグループテーブル18を持たせることにより、イントラネットを構築する機器3のグループ化を可能にしている。
If the group identification information of the transmission destination is different from the group identification information of the transmission source and matches any group identification information under the management of the same
ところで、特許文献1に記載の構成では、ローカルスイッチ1′に設けたグループテーブル18により、ローカルスイッチ1′のポートと機器3の識別情報と機器3が属するグループのグループ識別情報とを対応付けているからグループテーブル18の内容を書き換えることにより、各機器3が属するグループを変更することが可能になっている。
Incidentally, in the configuration described in
しかしながら、各ローカルスイッチ1′に設けたグループテーブル18により機器3のグループを管理しているから、グループの管理が複数台のローカルスイッチ1′に分散し、グループ管理を一元化することができないという問題がある。
However, since the group of the
さらに、特許文献1に記載の構成では、各グループはバーチャルLANを構築することが目的であるから、異なるグループに属する機器3の間での通信についてはとくに考慮されていない。たとえば、機器3として通信機能を有する壁スイッチと照明器具とを用いる場合であって、機器3の製造者ごとにグループを形成する場合を想定すると、製造者が同じである機器3は同じグループに属しているから通信可能であり、壁スイッチの操作により照明器具の点灯・消灯の操作が可能であるが、製造者の異なる機器3の間では通信不能であるから、照明器具のみを他の製造者のものに取り換えると照明機器を元の壁スイッチでは操作できなくなるという問題が生じる。
Furthermore, in the configuration described in
本発明は上記事由に鑑みて為されたものであり、その目的は、グループの管理を一元化してグループの管理を容易にするとともに、異なるグループの機器間での通信も可能になるネットワーク管理装置を提供することにある。 SUMMARY OF THE INVENTION The present invention has been made in view of the above-mentioned reasons, and an object of the present invention is to make it easy to manage a group by unifying group management and to enable communication between devices in different groups. Is to provide.
請求項1の発明は、通信機能を有する機器と通信線を介して接続される複数のポートを有し、各ポートに接続される機器をグループに分けるとともに機器が伝送するパケットのルーティングを行うことによりバーチャルローカルネットワークを構築するネットワーク管理装置であって、各ポートを通して機器から受信したパケットの経路を選択するVLANスイッチ部と、VLANスイッチ部が受信したパケットのうち送信元と送信先とのグループが異なるパケットについて処理を行う制御部とを有し、VLANスイッチ部は、グループを示すグループ識別情報が各ポートに対応付けて登録されるVLAN設定記憶部と、各ポートに接続された機器の識別情報が各ポートに対応付けて格納される接続機器管理記憶部と、受信したパケットをVLAN設定記憶部に照合することによりパケットを受信したポートが属するグループを抽出し、受信したパケットに含まれる送信先の機器の識別情報を接続機器管理記憶部に照合することにより送信先の機器が接続されたポートを抽出するとともに当該ポートをVLAN設定記憶部に照合することにより当該ポートが属するグループを抽出するグループ抽出部と、グループ抽出部により抽出されたパケットの送信元と送信先とのグループが一致しているときに当該パケットを送信先の機器が接続されたポートから送出させるルーティング部とを有し、ルーティング部は、グループ抽出部により抽出されたパケットの送信元と送信先とのグループが不一致であるときにパケットを受信したポートのグループ識別情報をパケットに付加した中間パケットを生成して当該中間パケットを制御部に転送し、グループ識別情報が付加された中間パケットを制御部から受け取ると中間パケットからグループ識別情報を除去したパケットを生成し当該パケットを送信先の機器が接続されたポートから送出させ、制御部は、ルーティング部から転送された中間パケットのグループ識別情報をパケットの送信先の機器が接続されたポートが属しているグループのグループ識別情報に変更する伝送管理部を備えていることを特徴とする。
The invention of
請求項2の発明では、請求項1の発明において、前記伝送管理部は、前記ルーティング部から転送された中間パケットの内容を規定の判定規則と照合することによりグループ識別情報の変更するか中間パケットを削除するかの判定を行うことを特徴とする。 According to a second aspect of the present invention, in the first aspect of the invention, the transmission management unit changes the group identification information by checking the content of the intermediate packet transferred from the routing unit against a predetermined determination rule or determines whether the intermediate packet It is characterized by determining whether to delete.
請求項3の発明では、請求項1又は2の発明において、前記伝送管理部は、前記ルーティング部から転送された中間パケットのデータ量が規定の閾値を超えるときにパケットの送信元および送信先のポートを通過するデータ量を制限することを特徴とする。 According to a third aspect of the present invention, in the first or second aspect of the present invention, the transmission management unit determines whether the transmission source and destination of the packet when the data amount of the intermediate packet transferred from the routing unit exceeds a prescribed threshold. It is characterized by limiting the amount of data passing through the port.
請求項4の発明では、請求項1〜3のいずれかの発明において、前記VLANスイッチ部と前記制御部との一方は、前記機器の識別情報をグループ識別情報に対応付けて登録した構成機器記憶部を有し、前記伝送管理部は、パケットの送信元である機器の識別情報とパケットを受信したポートに対応付けたグループ識別情報との組み合わせを構成機器記憶部に照合する機能を有し、制御部は、伝送管理部による照合により一致する結果が得られないときに報知する報知部を備えることを特徴とする。 According to a fourth aspect of the present invention, in any one of the first to third aspects, the one of the VLAN switch unit and the control unit stores the component device information in which the device identification information is registered in association with the group identification information. The transmission management unit has a function of collating a combination of identification information of a device that is a transmission source of a packet and group identification information associated with a port that has received the packet with a component device storage unit, The control unit includes an informing unit for informing when a matching result is not obtained by collation by the transmission management unit.
請求項5の発明では、請求項4の発明において、前記構成機器記憶部に登録される前記機器の識別情報とグループ識別情報との対応関係を外部から変更可能とする機器登録用インターフェイスを備えることを特徴とする。 According to a fifth aspect of the invention, there is provided a device registration interface according to the fourth aspect of the invention, wherein the correspondence relationship between the identification information of the device registered in the component device storage unit and the group identification information can be changed from the outside. It is characterized by.
請求項6の発明では、請求項4又は5の発明において、前記制御部は、前記伝送管理部による照合により一致する結果が得られないときに、前記機器の識別情報に対応するグループ識別情報を前記構成機器記憶部から抽出し、さらに当該グループ識別情報をパケットを受信したポートに対応付けて前記VLAN設定記憶部に登録する設定変更部を備えることを特徴とする。 According to a sixth aspect of the present invention, in the fourth or fifth aspect of the present invention, the control unit obtains group identification information corresponding to the identification information of the device when a matching result is not obtained by collation by the transmission management unit. It further comprises a setting change unit that extracts from the component device storage unit and registers the group identification information in the VLAN setting storage unit in association with the port that received the packet.
請求項7の発明では、請求項1〜6のいずれかの発明において、前記VLAN設定記憶部に登録されたグループ識別情報とポートとの対応関係を外部から変更可能とするポート登録用インターフェイスを備えることを特徴とする。 According to a seventh aspect of the invention, there is provided a port registration interface according to any one of the first to sixth aspects, wherein the correspondence between the group identification information registered in the VLAN setting storage unit and the port can be changed from the outside. It is characterized by that.
請求項1の発明の構成によれば、それぞれ機器が接続される複数のポートを備えるVLANスイッチ部において、各ポートごとにグループ識別情報を対応付けて登録するVLAN設定記憶部と、各ポートに接続した機器の識別情報を格納する接続機器管理記憶部とを設けているから、VLANスイッチ部に設けたVLAN設定記憶部によりグループの管理場所を分散させることなく一元的な管理が可能になる。また、パケットの送信元の機器のグループについては、パケットを受信したポートをVLAN設定記憶部に照合することによって抽出し、パケットの送信先の機器のグループについては、送信先の機器の識別情報を接続機器管理記憶部に照合して送信先の機器が接続されているポートを認識した後に当該ポートをVLAN設定記憶部に照合することによって抽出するから、VLAN設定記憶部と接続機器管理記憶部との内容の組み合わせでパケットの送信元と送信先とのグループを規定することができる。しかも、パケットの送信元と送信先との機器が属しているグループの異同を判別するとともに、同グループであればポート間でパケットを転送し、異グループであればパケットを制御部に転送して制御部にパケットの処理を行わせることができ、制御部に設けた伝送管理部で適宜に規則を設けておくことにより、異なるグループの機器間でのパケットの転送が可能になる。 According to the configuration of the first aspect of the present invention, in the VLAN switch unit having a plurality of ports to which the devices are connected, the VLAN setting storage unit for registering the group identification information in association with each port, and the connection to each port Since the connected device management storage unit for storing the identification information of the device is provided, the VLAN setting storage unit provided in the VLAN switch unit enables centralized management without distributing the management location of the group. In addition, the packet transmission source device group is extracted by comparing the port that received the packet with the VLAN setting storage unit, and the packet transmission destination device group is identified with the transmission destination device identification information. Since the port is connected to the connected device management storage unit and the port to which the destination device is connected is recognized, and the port is extracted by checking the VLAN setting storage unit, the VLAN setting storage unit, the connected device management storage unit, The group of the packet transmission source and the transmission destination can be defined by the combination of the contents of. In addition, the group of the packet transmission source and the transmission destination device is determined to be different, and if the group is the same group, the packet is transferred between the ports. If the group is different, the packet is transferred to the control unit. Packets can be processed by the control unit, and by appropriately setting rules in the transmission management unit provided in the control unit, packets can be transferred between devices in different groups.
さらに、VLANスイッチ部と制御部との間では、パケットを受信したポートに対応付けたグループを示すグループ識別情報をパケットに付加して転送していることにより、制御部では、受信したパケットの送信元の機器が属するグループを認識するとともに、パケットに含まれる送信先の機器の情報に基づいて送信先の機器が属するグループを認識することができるから、これらの情報に基づいてグループの異なる機器間でのパケットの転送の要否を判断することが可能になる。しかも、VLANスイッチ部と制御部との間ではグループ識別情報を含む中間パケットを用い、VLANスイッチ部では中間パケットにおけるグループ識別情報の付加と分離とを行っているから、VLANスイッチ部と制御部との間ではグループを分けるための物理的構成が不要であって、VLANスイッチ部と制御部との間の物理的構成が簡単になる。しかも、ポートに接続する機器ではグループ識別情報を考慮する必要がなく、機器の利用者はVLAN設定記憶部の内容を設定するだけで各ポートのグループ分けを行うことができ、グループを動的に管理することができる。 Further, between the VLAN switch unit and the control unit, group identification information indicating a group associated with the port that received the packet is added to the packet and transferred, so that the control unit transmits the received packet. While recognizing the group to which the original device belongs, it is possible to recognize the group to which the destination device belongs based on the information on the destination device included in the packet. It becomes possible to determine whether or not packet transfer is necessary. In addition, since an intermediate packet including group identification information is used between the VLAN switch unit and the control unit, and the VLAN switch unit performs addition and separation of group identification information in the intermediate packet, the VLAN switch unit and the control unit A physical configuration for dividing the group between the VLAN switch unit and the control unit is simplified, and the physical configuration between the VLAN switch unit and the control unit is simplified. In addition, the device connected to the port does not need to consider group identification information, and the user of the device can perform grouping of each port simply by setting the contents of the VLAN setting storage unit. Can be managed.
その上、ポートにグループを対応付けるVLAN設定記憶部と、ポートに機器の識別情報を対応付ける接続機器管理記憶部とを設け、機器をグループ化するにあたり、機器をグループに分けるのではなくポートを介在させてグループに分けているから、VLAN設定記憶部と接続機器管理記憶部との組み合わせによってあたかもパッチパネルのように機能させることができ、VLAN設定記憶部や接続機器管理記憶部の内容を管理するだけで機器のグループ分けを動的に行うことが可能になる。 In addition, a VLAN setting storage unit that associates a group with a port and a connection device management storage unit that associates device identification information with a port are provided, and when a device is grouped, a port is interposed instead of dividing the device into groups. Therefore, the combination of the VLAN setting storage unit and the connected device management storage unit can be made to function like a patch panel, and only the contents of the VLAN setting storage unit and the connected device management storage unit are managed. This makes it possible to dynamically group devices.
請求項2の発明の構成によれば、送信元と送信先とのグループが異なる場合において、グループ識別情報を変更することでパケットの転送を可能にするか、パケットの転送を禁止するかを制御部に設けた伝送管理部で判定しているから、適宜の規則を設定しておくことによりパケットのフィルタリングが可能になる。
According to the configuration of the invention of
請求項3の発明の構成によれば、送信元と送信先とのパケットのデータ量を監視し、帯域制限や通信経路の遮断などを行うことが可能になる。つまり、不要なパケットを抑制することによりネットワークのリソースを低減することが可能になり、また、不要なパケットの転送を行わないようにすればセキュリティ性の向上につながる。
According to the configuration of the invention of
請求項4の発明の構成によれば、機器の識別情報を用いたグループ分けを行うとともに、ポートによるグループ分けとの比較を行って、両者が不一致であるときには報知部により報知するから、ポートに接続された機器が他のポートに接続された機器とのグループとして想定されていない場合に、報知部による報知で警告することが可能になる。つまり、ポートに対して想定していない機器を接続した場合などに接続間違いを利用者に知らせることが可能になる。 According to the configuration of the invention of claim 4, the grouping using the identification information of the device is performed, and the comparison with the grouping by the port is performed. When the connected device is not assumed as a group with a device connected to another port, it is possible to warn by notification by the notification unit. That is, it is possible to notify the user of a connection error when an unexpected device is connected to the port.
請求項5の発明の構成によれば、機器登録用インターフェイスを設けていることにより、コンピュータのような外部装置を機器登録用インターフェイスに接続することで任意の機器の識別情報とグループ識別情報との対応関係を設定することが可能になる。つまり、接続が想定されていなかった新たな機器をポートに接続する場合でも構成機器記憶部の内容を変更して対応することが可能になる。 According to the configuration of the invention of claim 5, by providing the device registration interface, an external device such as a computer is connected to the device registration interface so that the identification information of any device and the group identification information are Correspondence can be set. That is, even when a new device that is not supposed to be connected is connected to the port, it is possible to cope with the problem by changing the contents of the component device storage unit.
請求項6の発明の構成によれば、構成機器記憶部に登録された情報を優先的に用いてグループ分けを行うことができ、新たな機器をポートに接続する場合には、当該ポートに接続した機器に応じてグループを自動的に設定することが可能になる。言い換えると、構成機器記憶部において機器の識別情報とグループとの対応関係をあらかじめ定めておけば、機器をポートに接続するだけで接続した機器に応じたグループがポートに設定されることになる。たとえば、構成機器記憶部の内容を機器の製造者が管理することが可能であり、通信可能な機器に応じたグループ分けが自動化されるとともに、グループを構成する機器の台数もポートに接続する機器に応じて動的に変化させることが可能になる。 According to the configuration of the invention of claim 6, grouping can be performed preferentially using information registered in the component device storage unit, and when a new device is connected to a port, it is connected to the port. It is possible to automatically set a group according to the selected device. In other words, if a correspondence relationship between device identification information and groups is determined in advance in the component device storage unit, a group corresponding to the connected device is set to the port simply by connecting the device to the port. For example, the contents of the component device storage unit can be managed by the device manufacturer, the grouping according to communicable devices is automated, and the number of devices constituting the group is also connected to the port It becomes possible to change dynamically according to.
請求項7の発明の構成によれば、コンピュータのような外部装置をポート登録用インターフェイスに接続することで、VLAN設定記憶部に登録されたグループ識別情報とポートとの対応関係について設定や変更が可能になるから、各ポートに割り付けるグループを変化させることが可能になる。 According to the configuration of the seventh aspect of the invention, by connecting an external device such as a computer to the port registration interface, the correspondence between the group identification information registered in the VLAN setting storage unit and the port can be set or changed. Since it becomes possible, the group assigned to each port can be changed.
本実施形態において説明するネットワーク管理装置は、図1に示すように、通信機能を有する機器3が伝送するパケットのルーティングを行うことにより、機器3をグループに分けてバーチャルローカルネットワークを構築するものであって、機器3が通信線Lcを介してそれぞれ接続される複数個(図示例では5個)のポートP0〜P4を有したVLANスイッチ部1を備えている。ポートP0〜P4にはモジュラジャックなどを用いる。
The network management apparatus described in the present embodiment constructs a virtual local network by dividing the
VLANスイッチ部1は、別に設けた制御部2との間で通信可能であって、VLANスイッチ部1と制御部2とが連携することによりポートP0〜P4の間のルーティングを決定する。VLANスイッチ部1と制御部2との間は、MII(Media Independennt Interface)を介して一対一に接続されており、後述するように、IEEE802.1Qで規定されているVLANパケットと同形式のフレームを有した中間パケットを用いて通信する。したがって、VLANスイッチ部1と制御部2とは物理的には1個ずつのポートを用いながらも論理的に複数個のチャネルを確保している。なお、VLANスイッチ部1および制御部2はマイクロコンピュータを備えており、後述する各種機能はマイクロコンピュータを適宜のプログラムに従って動作させることにより実現される。ただし、マイクロコンピュータに代えて専用のハードウェアにより構成することも可能である。
The
VLANスイッチ部1は、いずれかのポートP0〜P4で受信したパケットについてルーティングを行うルーティング部11を備え、ルーティング部11によりパケットの経路を選択する。VLANスイッチ部1には、各ポートP0〜P4にグループを割り付けるために、データテーブルであるVLAN設定記憶部12を設けてあり、VLAN設定記憶部12では、表1に示すように、各ポートP0〜P4とグループを示すグループ識別情報(以下、「VID」という)とが対応付けて登録される。すなわち、各ポートP0〜P4に対してグループの割り付けがなされる。VLAN設定記憶部12の内容を設定する技術については後述する。
The
さらに、VLANスイッチ部1には、各ポートP0〜P4に接続された機器3の識別情報(機器3に固有な識別情報であって、たとえば、MACアドレスを用いる)が各ポートP0〜P4に対応付けて格納されるデータテーブルとしての接続機器管理記憶部13が設けられる。接続機器管理記憶部13には、表2に示すように、機器3が接続されたポートP0〜P4について、それぞれのポートP0〜P4に接続された機器3の識別情報が登録される。
Further, in the
機器3の識別情報は、VLANスイッチ部1と機器3との間の通信により取得される。たとえば、VLANスイッチ部1において、各ポートP0〜P4から機器3が接続されているか否かを確認するための生存確認用のパケットを定期的に送出させ、生存確認用のパケットに対する応答によりVLANスイッチ部1が各機器3の識別情報を取得するのである。したがって、接続機器管理記憶部13における機器3の識別情報は、ポートP0〜P4を通して機器3から受信したパケットに含まれる機器3の識別情報により更新されるのであって、ポートP0〜P4に機器3を接続し機器3との通信を行うだけで、接続機器管理記憶部14には機器3の識別情報とポートP0〜P4との対応関係が自動的に設定されることになる。
The identification information of the
VLAN設定記憶部12では各ポートP0〜P4に対してグループ識別情報が対応付けられ、接続機器管理記憶部13では各ポートP0〜P4に対して機器3の識別情報が対応付けられているから、VLAN設定記憶部12と接続機器管理記憶部13とに登録された情報を用いることによって、各機器3の識別情報とグループ識別情報とを対応付けることができる。つまり、各機器3のグループ分けが可能になる。言い換えると、VLAN設定記憶部12と接続機器管理記憶部13との組み合わせにより、機器3の連携関係が決まるから、VLAN設定記憶部12と接続機器管理記憶部13とは機器3間の通信経路を決めるためのパッチパネルのように機能することになる。
In the VLAN
VLAN設定記憶部12におけるポートP0〜P4とVIDとの対応関係は、利用者ないしは施工者が決めることであって、コンピュータのような外部装置を用いてVLAN設定記憶部12へのデータの登録を行うために、VLANスイッチ部1または制御部2には、ポート登録用インターフェイス15を設けてある。したがって、VLAN設定記憶部12に登録されるVIDとポートP0〜P4との対応関係の設定や変更が可能になる。
The correspondence between the ports P0 to P4 and the VID in the VLAN
VLANスイッチ部1は、受信したパケットから送信元と送信先との機器3のグループを抽出するグループ抽出部14を備えており、グループ抽出部14では、パケットを受信したポートP0〜P4が属するグループと、パケットの送信先の機器3が接続されたポートP0〜P4が属するグループとを抽出する。
The
すなわち、パケットを受信したポートP0〜P4が属するグループを抽出するために、グループ抽出部14は、受信したパケットをVLAN設定記憶部12に照合する。また、パケットの送信先の機器3が接続されたポートP0〜P4が属するグループを抽出するために、グループ抽出部14は、受信したパケットに含まれる送信先の機器3の識別情報を接続機器管理記憶部13に照合することにより送信先の機器3が接続されたポートP0〜P4を抽出し、さらに当該ポートP0〜P4をVLAN設定記憶部12に照合することにより当該ポートP0〜P4が属するグループを抽出する。このようにしてグループ抽出部14では、VLAN設定記憶部12と接続機器管理記憶部13とを組み合わせて用いることにより、受信したパケットの送信元と送信先との機器3が接続されたポートP0〜P4についてグループを抽出する。
That is, in order to extract the group to which the ports P0 to P4 that received the packet belong, the
ところで、VLANスイッチ部1には、上述したようにルーティング部11が設けられており、各ポートP0〜P4を通して機器3から受信したパケットは、ルーティング部11に入力される。ルーティング部11では、受信したパケットの送信元と送信先との機器3が属するグループをグループ抽出部14に照会し、送信元と送信先との機器3のグループが一致しているか不一致であるかに応じてパケットの通過経路を選択する。
Incidentally, the
ルーティング部1は、受信したパケットの送信元と送信先とのグループが一致しているときには、受信したパケットを送信先の機器3が接続されているポートP0〜P4から送出させる。つまり、パケットはVLANスイッチ部1のみを通して伝送される。一方、受信したパケットの送信元と送信先とのグループが不一致である場合には、当該パケットを受信したポートP0〜P4が属するグループを示すVID(グループ識別情報)を当該パケットに付加した中間パケットを生成し、この中間パケットを制御部2に転送し、制御部2において当該パケットの扱い方を判断させる。ここに、ルーティング部1は、後述するように、VIDが付加された中間パケットを制御部2から受信した場合に、VIDを削除して通常のパケットとしていずれかのポートP0〜P4から送出させる機能も備えている。
When the group of the source and destination of the received packet matches, the
制御部2は、VLANスイッチ部1から転送された中間パケットに応じて中間パケットの扱い方を決める伝送管理部21を備える。中間パケットは、図2(a)に示すように、送信先の識別情報(ディスティネーションアドレス)DAと、送信元の識別情報(ソースアドレス)SAと、タグTGと、タイプ/長さフィールドTPと、ペイロードDATAと、フレームチェックシーケンスFCSとにより構成されている。すなわち、Ethernet(登録商標)で用いられるパケットにタグTGを付加した形になる。タグTGは、図2(b)(c)のように、中間パケットがタグ付きのフレームであることを示すタグプロトコル識別子TPIDと、フレームの優先順位レベルを示す優先順位PCPと、MACアドレスが標準形式か非標準形式かを示すフォーマット形式表示CFIと、グループを示すVID(グループ識別情報)とにより構成される。また、優先順位PCPとフォーマット形式表示CFIとVIDとをまとめてTCIと称している。
The
図2に示す中間パケットのフレームは、IEEE802.1Qで規定されたVLANパケットのフレームと同形式になっている。ただし、中間パケットは、VLANスイッチ部1と制御部2との間の通信にのみ用いられ、機器3の間の通信に用いるパケットはタグTGのない通常のパケットになる。
The intermediate packet frame shown in FIG. 2 has the same format as the VLAN packet frame defined by IEEE 802.1Q. However, the intermediate packet is used only for communication between the
制御部2における伝送管理部21では、VLANスイッチ部1から受け取った中間パケットの内容を規則に従って判断することにより中間パケットの扱いを決定する。伝送管理部21の主な動作は以下のようになる。
The
伝送管理部21がVLANスイッチ部1から受け取る中間パケットは、送信元と送信先とのグループが一致していないから、送信元と送信先との間で通信を許可してよい場合には、中間パケットに含まれる送信元のVIDを送信先のVIDに付け替えてVLANスイッチ部1に返送する。この場合、VLANスイッチ部1に設けたルーティング部11では、制御部2から受け取った中間パケットからVIDを除去し、通常のパケットとしてポートP0〜P4から送出する。伝送管理部21のこの機能により、異なるグループの間での通信が可能になる。つまり、異なるグループに属する機器3の間で通信技術による監視や制御が可能になる。
The intermediate packet received from the
ところで、機器3にグループを設定する場合として、機器3の仕様などの都合で連携が不可能である場合と、連携させる機器3の範囲を制限する場合とがある。ここで、機器3の製造者が異なっている場合には、連携させることができない場合が多く生じると考えられるが、製造者にかかわらず連携可能になるように規格が制定されているような機器3では、製造者に関わりなく機器3を連携させることが可能になる。ただし、一般には機器3の製造者が異なっていれば連携できないようにしておくほうが安全であるから、異なる製造者の機器3は原則として異なるグループとして扱い、必要があれば同グループとして扱えるようにすることが望ましい。
By the way, as a case where a group is set in the
そこで、伝送管理部21には、VLANスイッチ部1から受け取った中間パケットについて上述のようにVIDを付け替えてVLANスイッチ部1に返送する機能のほか、規定の判定規則と照合することにより、VIDの変更するか中間パケットを削除するかの判定を行う機能も備える。すなわち、中間パケットの内容によってはVIDの付け替えを行わずに、当該中間パケットを無効にするのである。
Therefore, in addition to the function of changing the VID of the intermediate packet received from the
判定規則は、適宜に設定することができ、たとえば、給湯器のリモコン装置のような機器3と、照明器具のような機器3とは通常は連携の必要がないから、送信元と送信先との機器3の連携が不可能である場合に中間パケットが無効になるように判定規則を設定しておく。このような判定規則は、原則として、送信元と送信先との種別、要求か応答かの内容を条件として設定される。たとえば、自社製の設備機器(機器3)と、他社製の設備機器あるいは一般ユーザのパーソナルコンピュータ(機器3)とを連携させる場合を想定する。前者の機器3を機器A、後者の機器3を機器Bとすれば、判定規則としては、機器Aから機器Bへの要求は転送し、機器Bから機器Aへの要求は転送しないように設定すればよい。さらに、機器Aから機器Bへの要求は転送するから、機器Bから機器Aへの応答も転送するように判定規則を設定するのである。
The determination rule can be set as appropriate. For example, the
また、誤り検出符合で不正な中間パケットか否かを判断し、不正な中間パケットを無効にするように判定規則を定めておけば、不正なパケットの転送が禁止される。このような判定規則を伝送管理部21に設定しておくことにより、伝送管理部21に中間パケットの転送を許可するか禁止するかのフィルタリングの機能を持たせることが可能になる。
Further, if it is determined whether or not the packet is an illegal intermediate packet based on the error detection code, and a determination rule is set so as to invalidate the illegal intermediate packet, transfer of the illegal packet is prohibited. By setting such a determination rule in the
また、伝送管理部21では、中間パケットをVLANスイッチ部1から受け取ったときに、中間パケットに含まれる送信元の機器3の識別情報をVLANスイッチ部1に設けた接続機器管理記憶部13と照合することによって、当該中間パケットの元のパケットを受信したポートを抽出し、単位時間当たりの各ポートP0〜P4ごとのパケットの通過量(つまり、中間パケットのデータ量)を検出するとともに、中間パケットのデータ量が規定の閾値を超えるときにパケットの送信元および送信先のポートを通過するデータ量を制限する機能を設けてもよい。通過するデータ量の制限には、帯域の制限のほか通信経路の遮断による方法を採用することもできる。つまり、送信元と送信先とのパケットのデータ量を監視し、帯域制限や通信経路の遮断などを行うことが可能になる。このことにより、不要なパケットの通過を抑制することができ、ネットワークのリソースを低減することが可能になるとともに、不要なパケットの通過を禁止することでセキュリティ性を向上させることにもなる。
When the
ところで、伝送管理部21は、中間パケットをVLANスイッチ部1から受け取ると、中間パケットの元になったパケットの送信元である機器3の識別情報と、パケットを受信したポートP0〜P4に対応付けたVIDとの組み合わせを、制御部2に設けた構成機器記憶部22と照合する機能を有している。構成機器記憶部22は、表3のように、機器3の識別情報をVIDに対応付けて登録したものであり、構成機器記憶部22の内容は原則として制御部2の製造者によりあらかじめ登録される。
By the way, when the
表3に示す例では、機器3の識別情報が、製造者を識別するベンダーコードと、機器3に固有な製造番号とを結合して形成されている。VIDは、ベンダーコードに対して規定され、同じ製造者の機器3には同じVIDが付与されるようにしてある。表3においてアスタリスク(*)の部分はワイルドカードを意味している。つまり、機器3のそれぞれの識別情報にかかわらず、機器3の製造者が同じであれば同じVIDが付与される。この例のほか、機器3の種別ごとに共通部分を含む識別情報を与えることによって同種の機器3に同じVIDが付与されるようにしたり、あらかじめ連携が可能な機器3ごとに共通部分を含む識別情報を与えることによって、連携が可能な機器3に同じVIDが付与されるようにしたりすることができる。
In the example shown in Table 3, the identification information of the
伝送管理部21では、構成機器記憶部22に登録されたVIDと比較するためのVIDを取得するために、VLANスイッチ部1のVLAN設定記憶部12および接続機器管理記憶部13に照会する。つまり、上述したように、中間パケットに含まれる送信元の機器3の識別情報をVLANスイッチ部1に設けた接続機器管理記憶部13と照合することによって、中間パケットの元になるパケットを受信したポートP0〜P4を取得し、さらに取得したポートP0〜P4をVLAN設定記憶部12に照合することによって、当該ポートP0〜P4が属するVIDを取得する。
The
構成機器記憶部22では、連携可能であることが予約される機器3に対して同じVIDを付与するように機器3の識別情報とVIDとが対応付けられるから、機器3を接続したポートP0〜P4の属するVIDが、当該機器3に予約されているVIDと異なっている場合には他の機器3との連携ができなくなる可能性が生じる。
In the component
そこで、上述したように、転送管理部21において、中間パケットから得られる情報を、VLANスイッチ部1のVLAN設定記憶部12および接続機器管理記憶部13と照合することにより、機器3の識別情報とVIDとの組み合わせを取得し、取得した組み合わせを構成機器記憶部22と照合するのであって、取得した組み合わせに一致する情報が構成機器記憶部22に登録されている場合には、予約された組み合わせであるから、連携可能であることを保証することができる。
Therefore, as described above, the
一方、取得した組み合わせが構成機器記憶部22に登録されていなければ、送信元と送信先との機器3は連携できない可能性があるから、制御部2に設けた報知部23により報知を行う。報知部23は、発光ダイオードの表示灯のような視覚的報知を行うもののほか、ブザーのような聴覚的報知を行うものを用いてもよい。この報知により、パケットの送信元の機器3を接続したポートP0〜P4が当該ポートP0〜P4に接続することが想定されたグループの機器3ではない場合に、報知部23による報知で利用者に警告することが可能になる。
On the other hand, if the acquired combination is not registered in the component
また、制御部2には、中間パケットから得られる情報が構成機器記憶部22に登録されている情報と一致しないときに、機器3の識別情報に対応するVIDを構成機器記憶部22から抽出し、抽出したVIDをパケットを受信したポートP0〜P4に対応付けてVLAN設定記憶部12に登録する設定変更部24を設けてもよい。すなわち、設定変更部24を設けた場合には、機器3をポートP0〜P4に接続するだけで、構成機器記憶部22に登録された機器3の識別情報とVIDとの対応関係を利用して、接続した機器3に応じたグループをポートP0〜P4に自動的に設定することが可能になる。
Further, the
構成機器記憶部22に登録する機器3の識別情報とVIDとの対応関係は、原則として制御部2の製造者が登録するが、コンピュータのような外部装置を制御部2に接続して構成機器記憶部22の内容が変更可能となるように、制御部2には外部装置を接続するための機器登録用インターフェイス25を設けてある。したがって、接続が想定されていなかった新たな機器3をポートP0〜P4に接続する場合でも構成機器記憶部22の内容を変更して対応することが可能になる。なお、構成機器記憶部22は、制御部2に設ける代わりにVLANスイッチ部1に設けてもよい。また、機器登録用インターフェイス25は、ポート登録用インターフェイス15と共通に用いてもよい。
The correspondence between the identification information of the
1 VLANスイッチ部
2 制御部
3 機器
Lc 通信線
P0〜P4 ポート
11 ルーティング部
12 VLAN設定記憶部
13 接続機器管理記憶部
14 グループ抽出部
15 ポート登録用インターフェイス
21 伝送管理部
22 構成機器記憶部
23 報知部
24 設定変更部
25 機器登録用インターフェイス
DESCRIPTION OF
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009020710A JP5204684B2 (en) | 2009-01-30 | 2009-01-30 | Network management device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009020710A JP5204684B2 (en) | 2009-01-30 | 2009-01-30 | Network management device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010178211A true JP2010178211A (en) | 2010-08-12 |
JP5204684B2 JP5204684B2 (en) | 2013-06-05 |
Family
ID=42708683
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009020710A Expired - Fee Related JP5204684B2 (en) | 2009-01-30 | 2009-01-30 | Network management device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5204684B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012244554A (en) * | 2011-05-23 | 2012-12-10 | Fujitsu Ltd | Information processing device, system, and information processing program |
JP2014225926A (en) * | 2011-11-30 | 2014-12-04 | 三菱電機株式会社 | Network system, network switch and distribution destination network apparatus |
JP2018528738A (en) * | 2015-09-23 | 2018-09-27 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Packet processing method and system, and network device |
JP2022024630A (en) * | 2020-07-28 | 2022-02-09 | 矢崎総業株式会社 | On-vehicle hub and on-vehicle system |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10178442A (en) * | 1996-12-17 | 1998-06-30 | Kawasaki Steel Corp | Network repeater |
JP2008022075A (en) * | 2006-07-10 | 2008-01-31 | Yamaha Corp | Layer 2 switch and network monitoring system |
-
2009
- 2009-01-30 JP JP2009020710A patent/JP5204684B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10178442A (en) * | 1996-12-17 | 1998-06-30 | Kawasaki Steel Corp | Network repeater |
JP2008022075A (en) * | 2006-07-10 | 2008-01-31 | Yamaha Corp | Layer 2 switch and network monitoring system |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012244554A (en) * | 2011-05-23 | 2012-12-10 | Fujitsu Ltd | Information processing device, system, and information processing program |
US8914467B2 (en) | 2011-05-23 | 2014-12-16 | Fujitsu Limited | Information processing apparatus, system, and storage medium |
JP2014225926A (en) * | 2011-11-30 | 2014-12-04 | 三菱電機株式会社 | Network system, network switch and distribution destination network apparatus |
US9503695B2 (en) | 2011-11-30 | 2016-11-22 | Mitsubishi Electric Corporation | Network system having switch transferring data |
JP2018528738A (en) * | 2015-09-23 | 2018-09-27 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | Packet processing method and system, and network device |
US10931590B2 (en) | 2015-09-23 | 2021-02-23 | Huawei Technologies Co., Ltd. | Packet processing method and system, and network device |
US11757784B2 (en) | 2015-09-23 | 2023-09-12 | Huawei Technologies Co., Ltd. | Packet processing method and system, and network device |
JP2022024630A (en) * | 2020-07-28 | 2022-02-09 | 矢崎総業株式会社 | On-vehicle hub and on-vehicle system |
JP7401408B2 (en) | 2020-07-28 | 2023-12-19 | 矢崎総業株式会社 | In-vehicle hub and in-vehicle system |
Also Published As
Publication number | Publication date |
---|---|
JP5204684B2 (en) | 2013-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7978595B2 (en) | Method for processing multiple active devices in stacking system and stacking member device | |
JP4065434B2 (en) | Router device and method for starting up router device | |
US20160249018A1 (en) | Ip-closed circuit system and method | |
CN102263774B (en) | Method and device for processing source role information | |
US8340092B2 (en) | Switching system and method in switching system | |
US20090172156A1 (en) | Address security in a routed access network | |
US7710959B2 (en) | Private VLAN edge across multiple switch modules | |
CN103201982A (en) | Managing MAC moves with secure port groups | |
JP2010178089A (en) | Remote management system, remote management apparatus and connection device | |
CN101335646A (en) | Determining the state of a tunnel with respect to a control protocol | |
US10033734B2 (en) | Apparatus management system, apparatus management method, and program | |
JP5204684B2 (en) | Network management device | |
CN104113443A (en) | Network equipment detection method, device and cloud detection system | |
JP2006261827A (en) | Network apparatus, management apparatus thereof, network connection method, and network connection management method thereof | |
US20210367848A1 (en) | A method of commissioning a wired communication network | |
JP4202286B2 (en) | VPN connection control method and system | |
CN107113333A (en) | The configuration of server apparatus | |
US7796614B1 (en) | Systems and methods for message proxying | |
JP2018064228A (en) | Packet controller | |
US20170063688A1 (en) | Communication device and method applicable to stacking communication system | |
CN113098834B (en) | Access control method, device, equipment and system | |
CA3038352C (en) | Network resources discovery system | |
JP2018526924A (en) | Method, apparatus and computer program for driving a data processing system | |
CN110708305B (en) | Network isolation equipment and method | |
KR102675964B1 (en) | Method of communication between IoT gateway and IoT devices with various protocols |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100715 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110915 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20120113 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120927 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121002 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121203 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130122 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130215 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160222 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |