JP2010239591A - Network system, relay device, and method of controlling network - Google Patents
Network system, relay device, and method of controlling network Download PDFInfo
- Publication number
- JP2010239591A JP2010239591A JP2009088207A JP2009088207A JP2010239591A JP 2010239591 A JP2010239591 A JP 2010239591A JP 2009088207 A JP2009088207 A JP 2009088207A JP 2009088207 A JP2009088207 A JP 2009088207A JP 2010239591 A JP2010239591 A JP 2010239591A
- Authority
- JP
- Japan
- Prior art keywords
- address
- frame
- network
- server
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークシステム、中継装置、およびネットワーク制御方法に関し、異なるアクセス権をもつ端末を同時に収容するネットワークシステム、中継装置、およびネットワーク制御方法に関する。 The present invention relates to a network system, a relay device, and a network control method, and more particularly to a network system, a relay device, and a network control method that simultaneously accommodate terminals having different access rights.
同一ネットワーク内に、さまざまなアクセス権を持った端末が含まれる場合がある。例えば、企業内LAN(Local Area Network)において、社員はすべてのネットワークならびにサーバへのアクセス権を持ち、社員以外で特別に許可されたメンバは外部ネットワークへのアクセス権のみを持つ場合などがある。 In some cases, terminals having various access rights are included in the same network. For example, in an in-house LAN (Local Area Network), an employee may have access to all networks and servers, and a member who is specially authorized other than the employee may only have access to an external network.
アクセス権は、ネットワークおよび接続先装置での確認、認証といった方法で確認される。アクセス権を確認する具体的な方法としては、(1)アクセスの都度、IDとパスワードで認証する方法、(2)サーバ、ルータ、または、スイッチにて、IPアドレスまたはMACアドレス(Media Access Control address)を確認し、合致したものだけを受信する方法、(3)ネットワークドメインをアクセス権ごとに複数用意する手法、が挙げられる。 The access right is confirmed by a method such as confirmation and authentication in the network and the connection destination device. As a specific method for confirming the access right, (1) a method of authenticating with an ID and a password every access, (2) an IP address or MAC address (Media Access Control address) at a server, router, or switch ) And receiving only matching ones, and (3) a method of preparing a plurality of network domains for each access right.
上記(1)は、アクセスの都度、ユーザがIDとパスワードを入力する方法であり、ユーザに手間を強いる点が問題となる。ユーザの手間を回避するために、最初の認証後は、IPアドレスやMACアドレスを確認するなど、端末固有の情報を用いて、ネットワーク機器が自動で判別できる方法が望ましい。 The above (1) is a method in which the user inputs an ID and a password each time access is made, and there is a problem in that the user is troublesome. In order to avoid the trouble of the user, it is desirable to use a method in which the network device can automatically discriminate using terminal-specific information such as confirming the IP address or MAC address after the first authentication.
上記(2)は、例として、中継および遮断のスイッチング機能を持たせたスイッチングハブが特許文献1に示されている。だが、スイッチで管理する場合、ネットワークドメインをまたぐアクセスを管理できない、という問題がある。一方、ルータやサーバで管理する方法もあるが、この場合は端末のIPアドレスを個々に登録する必要がある、IPアドレスと登録情報とを個々に照合する必要があるなど、装置負荷およびネットワーク管理の手間が増大する点が問題となる。
In the above (2), as an example,
以上より、上記(3)の、論理アドレスで分割する方法が望ましい。別ドメインを用意することにより、サーバ等の装置負荷、ネットワーク管理負荷を軽減できる。(3)を実現する方法として、特許文献2に示されるアドレス付与システムがある。
As described above, the method of dividing by logical address (3) above is desirable. By preparing a separate domain, it is possible to reduce the load on devices such as servers and the network management load. As a method of realizing (3), there is an address assignment system disclosed in
図25に、特許文献2に記載のアドレス付与システムの構成を示す。
アドレス付与システムは、アドレス付与サーバ91、ルータ92、ネットワークドメイン94(ドメインA)に属する端末A−1、A−2、ネットワークドメイン94とは異なるネットワークドメイン95(ドメインB)に属する端末B−1、B−2から構成される。端末は、ルータ92を介して外部ネットワーク93に接続することができる。アドレス付与サーバ91は、DHCP機能91a、コントローラ91bを有し、DHCP機能91aはネットワークドメイン94(ドメインA)とネットワークドメイン95(ドメインB)のアドレスプールを保持する。
FIG. 25 shows the configuration of the address assignment system described in
The address assignment system includes an
特許文献2に記載のアドレス付与システムの動作を以下に説明する。
端末が新規にネットワーク90に接続し、IPアドレスを要求すると、アドレス付与サーバ91はネットワークドメイン94(ドメインA)のIPアドレスを払い出し、端末のデフォルトゲートウェイのアドレスをアドレス付与サーバ91に設定する。このとき、端末はネットワークドメイン94(ドメインA)に属する。
The operation of the address assignment system described in
When a terminal newly connects to the
その後、端末が外部ネットワーク93へパケットを送信すると、パケットはデフォルトゲートウェイとして設定されたアドレス付与サーバ91に送られる。アドレス付与サーバ91は外部ネットワーク93へのパケットを受信すると、送信元の端末に認証要求を行う。端末が認証に成功したら、アドレス付与サーバ91はネットワークドメイン95(ドメインB)のIPアドレスを払い出し、端末のデフォルトゲートウェイをルータ92に設定する。このとき、端末はネットワークドメイン95(ドメインB)に属する。
Thereafter, when the terminal transmits a packet to the
すなわち、ネットワークドメイン94(ドメインA)に属する端末が外部ネットワークに接続するには、認証に成功し、ネットワークドメイン95(ドメインB)のIPアドレスを受け取ることで、ネットワークドメイン95(ドメインB)に属する必要がある。このようにして、単一の物理ネットワーク内に複数の論理ドメインを構築できる。 That is, in order for a terminal belonging to the network domain 94 (domain A) to connect to the external network, the authentication succeeds and the IP address of the network domain 95 (domain B) is received, so that the terminal belongs to the network domain 95 (domain B). There is a need. In this way, a plurality of logical domains can be constructed within a single physical network.
上述した特許文献2に示されるアドレス付与システムには、不正な端末が手動でIPアドレスを設定した場合に対応できないという問題点があった。その理由は、不正な端末が手動でネットワークドメインBのIPアドレスを割り当て、デフォルトゲートウェイをルータに設定することにより、不正な端末は認証を経ることなく外部ネットワークに接続できるからである。
The address assignment system disclosed in
また、不正な端末が手動でIPアドレスを設定することにより、同一の物理ネットワークに属する端末からのARP(Address Resolution Protocol)などのブロードキャストフレームを盗み見することができるという問題点があった。その理由は、特許文献2は、論理ドメインの分割にのみ言及し、物理的なネットワークドメインの分割を考慮していないためである。ARPの盗み見により、ネットワークドメインBに属する正規の端末のIPアドレスとMACアドレスの組や、デフォルトゲートウェイであるルータのIPアドレスなどを容易に知ることができる。
In addition, when an unauthorized terminal manually sets an IP address, a broadcast frame such as an ARP (Address Resolution Protocol) from a terminal belonging to the same physical network can be seen. This is because
このような問題点を解決する技術が特許文献3に記載されている。特許文献3に記載のパケット転送装置は、端末からIPアドレス配布要求を受け付けると、DHCPパケット中のIPアドレスとMACアドレスを、ユーザ管理テーブルに記憶することで、どの端末に対してどのIPアドレスを割り当てるか認識する。同文献に記載された装置は、不正に静的IPアドレスを用いてネットワークにアクセスする端末の通信を遮断することができる。
A technique for solving such problems is described in
また、特許文献4に記載されたネットワークシステムは、アドレス割合サーバが、アドレス割り当てを制限する端末のMACアドレスが登録されている場合には、当該端末にIPアドレスを割り当てず、アドレスを割り当てる端末として登録されている場合は、当該端末にIPアドレスを割り当てる。これにより、所定の端末によるサーバへのアクセスを制限できる。特許文献5にも同様の記載がある。
Further, in the network system described in
特許文献6に記載されたIP電話用構内システムは、ゲートウェイのNAT機能部は、外部電話機をWAN側IPアドレスで判別するとともに、LAN側のIP電話機をLAN側IPアドレス、MACアドレスで判別し、IPパケットデータの振り分けを可能とする。
In the IP telephone premises system described in
特許文献7に記載されたネットワークコンピューティングシステムは、仮想PCが、ホストサーバのネットワークアダプタを物理的に利用し、IPアドレスとしてLAN内部で他のPCと直接通信が可能なローカルアドレスを取得する。また、外部との通信はホストサーバによって提供されるNATを利用し、IPアドレスとしては、ホストサーバから割り当てられるプライベートアドレスを用い、ホストサーバのIPアドレスを付け替える。 In the network computing system described in Patent Document 7, a virtual PC physically uses a network adapter of a host server, and acquires a local address that allows direct communication with another PC inside the LAN as an IP address. The communication with the outside uses NAT provided by the host server, and the private address assigned by the host server is used as the IP address, and the IP address of the host server is changed.
しかしながら、上述したネットワークシステムのいずれにも、複数のアドレス付与サーバがネットワーク上に存在する場合に、不正な端末が手動でIPアドレスを設定した場合に対応できないという問題点があった。また、不正な端末が手動でIPアドレスを設定することにより、同一の物理ネットワークに属する端末からのARPなどのブロードキャストフレームを盗み見することができるという問題点があった。 However, none of the above-described network systems has a problem that when a plurality of address assignment servers exist on the network, it cannot cope with an unauthorized terminal manually setting an IP address. Further, there is a problem in that an unauthorized terminal can sniff broadcast frames such as ARP from terminals belonging to the same physical network by manually setting an IP address.
本発明の目的は、上述した課題である情報を保護し、ならびに不正アクセス防止を解決するネットワークシステム、中継装置、およびネットワーク制御方法を提供することにある。 An object of the present invention is to provide a network system, a relay device, and a network control method for protecting information, which is the above-described problem, and solving unauthorized access prevention.
本発明の第1のネットワークシステムは、
通信端末と、
ネットワーク上の前記通信端末に動的に割り当てられるIP(Internet Protocol)アドレスを管理し、前記通信端末からの要求に応じて当該通信端末に前記IPアドレスを割り当てて付与するアドレス付与サーバと、
前記通信端末と前記アドレス付与サーバとの間に配置されネットワーク接続される中継装置と、を備え、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記中継装置は、
前記通信端末と前記アドレス付与サーバとの間で交換されるIPアドレス取得メッセージをもとに、ブロードキャストフレームの転送範囲を決定し、
複数の前記アドレス付与サーバのうち、前記通信端末からのアドレス付与サーバ検索メッセージに応答を返す最も優先度の高い前記アドレス付与サーバの応答のみを、前記通信端末に転送する。
The first network system of the present invention is:
A communication terminal;
Managing an IP (Internet Protocol) address dynamically assigned to the communication terminal on the network, and assigning and assigning the IP address to the communication terminal in response to a request from the communication terminal;
A relay device arranged between the communication terminal and the address assignment server and connected to the network,
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
The relay device is
Based on the IP address acquisition message exchanged between the communication terminal and the address assignment server, determine the transfer range of the broadcast frame,
Among the plurality of address assignment servers, only the response of the address assignment server with the highest priority that returns a response to the address assignment server search message from the communication terminal is transferred to the communication terminal.
本発明の第2のネットワークシステムは、
仮想マシン実行端末と、
前記仮想マシン実行端末とネットワーク接続されるアドレス付与サーバと、を備え、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記仮想マシン実行端末は、
前記仮想マシン実行端末上で動作するホストOSのアプリケーションである仮想マシン実行環境を実現する手段を備え、
前記仮想マシン実行環境は、
請求項1乃至5いずれかに記載の中継装置が備える手段と、
前記仮想マシン実行環境上で動作するゲストOSのネットワークインターフェースから送出されるパケットをそのまま前記ホストOSのネットワークインターフェースを介し前記ネットワークに送出する仮想マシンブリッジ手段と、
前記中継装置が備える手段からは前記アドレス付与サーバのひとつとして認識され、前記アドレス付与サーバとは異なるネットワークドメインのIPアドレスを管理し、要求に応じ前記IPアドレスを付与すると同時にデフォルトゲートウェイを設定する仮想マシンアドレス付与手段と、
前記ゲストOSのネットワークインターフェースから送出されるパケットをNATもしくはNAPT処理し、前記パケットを前記ホストOSのネットワークインターフェースを介して前記ネットワークに送出する仮想マシンアドレス変換手段と、を実現し、
前記仮想マシン実行環境を実現する手段は、
前記ゲストOSが前記アドレス付与サーバからIPアドレスを取得できる場合は、前記ゲストOSのネットワークインターフェースから送出されるデータを仮想マシンブリッジ手段を介して前記ネットワークに送出し、
前記ゲストOSが前記アドレス付与サーバからIPアドレスを取得できない場合は、前記仮想マシンアドレス付与手段が前記ゲストOSのIPアドレスを付与し、前記ゲストOSのネットワークインターフェースから送出されるデータを仮想マシンアドレス変換手段を介して前記ネットワークに送出する。
The second network system of the present invention is:
A virtual machine execution terminal;
An address assignment server connected to the virtual machine execution terminal via a network,
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
The virtual machine execution terminal is
Means for realizing a virtual machine execution environment which is an application of a host OS operating on the virtual machine execution terminal;
The virtual machine execution environment is:
Means provided in the relay device according to any one of
Virtual machine bridge means for sending a packet sent from the network interface of the guest OS operating on the virtual machine execution environment to the network as it is through the network interface of the host OS;
A virtual device that is recognized as one of the address assignment servers by the means included in the relay device, manages an IP address of a network domain different from the address assignment server, and assigns the IP address according to a request and simultaneously sets a default gateway A machine address assigning means;
A virtual machine address conversion unit that performs NAT or NAPT processing on a packet sent from the network interface of the guest OS, and sends the packet to the network via the network interface of the host OS;
Means for realizing the virtual machine execution environment includes:
When the guest OS can obtain an IP address from the address assignment server, the data sent from the network interface of the guest OS is sent to the network via the virtual machine bridge means,
If the guest OS cannot obtain an IP address from the address assigning server, the virtual machine address assigning means assigns the IP address of the guest OS and converts the data sent from the network interface of the guest OS to a virtual machine address To the network via the means.
本発明の中継装置は、
通信端末および、ネットワーク上の前記通信端末に動的に割り当てられるIPアドレスを管理し要求に応じて当該通信端末に前記IPアドレスを割り当てて付与するアドレス付与サーバにネットワーク接続され、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記通信端末と前記アドレス付与サーバとの間で交換されるIPアドレス取得メッセージをもとに、ブロードキャストフレームの転送範囲を決定し、
複数の前記アドレス付与サーバのうち、前記通信端末からのアドレス付与サーバ検索メッセージに応答を返す最も優先度の高い前記アドレス付与サーバの応答のみを、前記通信端末に転送する。
The relay device of the present invention
Network-connected to a communication terminal and an address assignment server that manages an IP address dynamically assigned to the communication terminal on the network and assigns and assigns the IP address to the communication terminal according to a request,
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
Based on the IP address acquisition message exchanged between the communication terminal and the address assignment server, determine the transfer range of the broadcast frame,
Among the plurality of address assignment servers, only the response of the address assignment server with the highest priority that returns a response to the address assignment server search message from the communication terminal is transferred to the communication terminal.
本発明の仮想マシン実行端末は、
アドレス付与サーバとはネットワーク接続され、
ホストOSのアプリケーションである仮想マシン実行環境を実現する手段を備え、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記仮想マシン実行環境は、
本発明の中継装置が備える手段と、
前記仮想マシン実行環境上で動作するゲストOSのネットワークインターフェースから送出されるパケットをそのまま前記ホストOSのネットワークインターフェースを介し前記ネットワークに送出する仮想マシンブリッジ手段と、
前記中継装置が備える手段からは前記アドレス付与サーバのひとつとして認識され、前記アドレス付与サーバとは異なるネットワークドメインのIPアドレスを管理し、要求に応じ前記IPアドレスを付与すると同時にデフォルトゲートウェイを設定する仮想マシンアドレス付与手段と、
前記ゲストOSのネットワークインターフェースから送出されるパケットをNATもしくはNAPT処理し、前記パケットを前記ホストOSのネットワークインターフェースを介して前記ネットワークに送出する仮想マシンアドレス変換手段と、を実現し、
前記仮想マシン実行環境を実現する手段は、
前記ゲストOSが前記アドレス付与サーバからIPアドレスを取得できる場合は、前記ゲストOSのネットワークインターフェースから送出されるデータを仮想マシンブリッジ手段を介して前記ネットワークに送出し、
前記ゲストOSが前記アドレス付与サーバからIPアドレスを取得できない場合は、前記仮想マシンアドレス付与手段が前記ゲストOSのIPアドレスを付与し、前記ゲストOSのネットワークインターフェースから送出されるデータを仮想マシンアドレス変換手段を介して前記ネットワークに送出する。
The virtual machine execution terminal of the present invention is
Network connection with the address assignment server
Means for realizing a virtual machine execution environment as an application of the host OS,
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
The virtual machine execution environment is:
Means provided in the relay device of the present invention;
Virtual machine bridge means for sending a packet sent from the network interface of the guest OS operating on the virtual machine execution environment to the network as it is through the network interface of the host OS;
A virtual device that is recognized as one of the address assignment servers by the means included in the relay device, manages an IP address of a network domain different from the address assignment server, and assigns the IP address according to a request and simultaneously sets a default gateway A machine address assigning means;
A virtual machine address conversion unit that performs NAT or NAPT processing on a packet sent from the network interface of the guest OS, and sends the packet to the network via the network interface of the host OS;
Means for realizing the virtual machine execution environment includes:
When the guest OS can obtain an IP address from the address assignment server, the data sent from the network interface of the guest OS is sent to the network via the virtual machine bridge means,
If the guest OS cannot obtain an IP address from the address assigning server, the virtual machine address assigning means assigns the IP address of the guest OS and converts the data sent from the network interface of the guest OS to a virtual machine address To the network via the means.
本発明のネットワーク制御方法は、
通信端末と、
ネットワーク上の通信端末に動的に割り当てられるIPアドレスを管理し、前記通信端末からの要求に応じ前記IPアドレスを割り当てて付与するアドレス付与サーバと、
前記通信端末と前記アドレス付与サーバとの間に配置されネットワーク接続される中継装置と、を備えたネットワークを制御し、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記中継装置が、
前記通信端末と前記アドレス付与サーバとの間で交換されるIPアドレス取得メッセージをもとに、ブロードキャストフレームの転送範囲を決定し、
複数の前記アドレス付与サーバのうち、前記通信端末からのアドレス付与サーバ検索メッセージに応答を返す最も優先度の高い前記アドレス付与サーバの応答のみを、前記通信端末に転送する。
The network control method of the present invention includes:
A communication terminal;
An IP address assignment server that manages an IP address dynamically assigned to a communication terminal on a network, and assigns and assigns the IP address in response to a request from the communication terminal;
Controlling a network including a relay device arranged between the communication terminal and the address assignment server and connected to the network;
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
The relay device is
Based on the IP address acquisition message exchanged between the communication terminal and the address assignment server, determine the transfer range of the broadcast frame,
Among the plurality of address assignment servers, only the response of the address assignment server with the highest priority that returns a response to the address assignment server search message from the communication terminal is transferred to the communication terminal.
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。 It should be noted that any combination of the above-described constituent elements and a conversion of the expression of the present invention between a method, an apparatus, a system, a recording medium, a computer program, etc. are also effective as an aspect of the present invention.
また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。 The various components of the present invention do not necessarily have to be independent of each other. A plurality of components are formed as a single member, and a single component is formed of a plurality of members. It may be that a certain component is a part of another component, a part of a certain component overlaps with a part of another component, or the like.
また、本発明の制御方法には複数の手順を順番に記載してあるが、その記載の順番は複数の手順を実行する順番を限定するものではない。このため、本発明の制御方法を実施するときには、その複数の手順の順番は内容的に支障しない範囲で変更することができる。 Moreover, although the several procedure is described in order in the control method of this invention, the order of the description does not limit the order which performs a several procedure. For this reason, when implementing the control method of this invention, the order of the several procedure can be changed in the range which does not interfere in content.
さらに、本発明の制御方法の複数の手順は個々に相違するタイミングで実行されることに限定されない。このため、ある手順の実行中に他の手順が発生すること、ある手順の実行タイミングと他の手順の実行タイミングとの一部ないし全部が重複していること、等でもよい。 Furthermore, the plurality of procedures of the control method of the present invention are not limited to being executed at different timings. For this reason, another procedure may occur during the execution of a certain procedure, or some or all of the execution timing of a certain procedure and the execution timing of another procedure may overlap.
本発明によれば、情報を保護し、ならびに不正アクセス防止を解決するネットワークシステム、中継装置、およびネットワーク制御方法が提供される。 According to the present invention, a network system, a relay device, and a network control method for protecting information and solving unauthorized access prevention are provided.
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In all the drawings, the same reference numerals are given to the same components, and the description will be omitted as appropriate.
(第1の実施の形態)
本発明の第1の実施の形態について、図面を用いて詳しく説明する。
図1は、本発明の実施の形態に係るネットワークシステム100の構成を示すブロック図である。
(First embodiment)
A first embodiment of the present invention will be described in detail with reference to the drawings.
FIG. 1 is a block diagram showing a configuration of a network system 100 according to an embodiment of the present invention.
本実施形態のネットワークシステム100は、通信端末(端末6)と、ネットワーク7上の端末6に動的に割り当てられるIPアドレスを管理し、端末6からの要求に応じて当該端末6にIPアドレスを割り当てて付与するアドレス付与サーバと、端末6とアドレス付与サーバ(DHCPサーバ3)との間に配置されネットワーク接続される中継装置1と、を備え、中継装置1は、端末6とDHCPサーバ3との間で交換されるIPアドレス取得メッセージをもとに、ブロードキャストフレームの転送範囲を決定する。
The network system 100 according to this embodiment manages an IP address dynamically assigned to a communication terminal (terminal 6) and a
具体的には、本実施形態におけるネットワークシステム100は、中継装置1と、DHCPサーバ3と、端末6(図では、例として複数の端末A、端末B、端末Cが示されている。)と、ネットワーク7から構成される。中継装置1とDHCPサーバ3は、ネットワーク7に接続されている。端末6は中継装置1を介してネットワーク7と接続している。
Specifically, the network system 100 according to the present embodiment includes a
本発明の実施の形態では、TCP(Transmission Control Protocol)/IPネットワークを前提とし、またアドレス付与サーバとしてDHCPサーバを前提とする。 In the embodiment of the present invention, a TCP (Transmission Control Protocol) / IP network is assumed, and a DHCP server is assumed as an address assignment server.
DHCPサーバ3は、複数のネットワークドメインのIPアドレスプールを管理する。本実施形態では、例えば、“192.168.0.0/24”と“192.168.1.0/24”の2つのネットワークドメインのIPアドレスプールを管理している。
The
例として、以下のような違いを持たせることができる。
(1)前者のネットワークドメイン(192.168.0.0/24)に属する端末は、ネットワーク7に接続されたすべての通信装置にアクセスできる。
(2)後者のネットワークドメイン(192.168.1.0/24)に属する端末は、ネットワーク7に接続された一部の装置にはアクセスできるが、他の一部の通信装置にはアクセスできない。
For example, the following differences can be made.
(1) A terminal belonging to the former network domain (192.168.0.0/24) can access all communication devices connected to the network 7.
(2) A terminal belonging to the latter network domain (192.168.1.0/24) can access some devices connected to the network 7, but cannot access other communication devices. .
通信装置へのアクセス権を管理する方法としては、ネットワークドメインでフィルタリングをかける方法、あるいは、通信装置とネットワーク7との間に中継装置1を配置する方法などがある。なお、図1には端末が3台の場合を記載しているが、3台以外の場合においても本発明を適用できる。
As a method of managing the access right to the communication device, there are a method of filtering in a network domain, a method of arranging the
なお、以下の各図において、本発明の本質に関わらない部分の構成については省略してあり、図示されていない。
また、本発明のネットワークシステムの各構成要素は、任意のコンピュータのCPU、メモリ、メモリにロードされた本図の構成要素を実現するプログラム、そのプログラムを格納するハードディスクなどの記憶ユニット、ネットワーク接続用インターフェースを中心にハードウェアとソフトウェアの任意の組合せによって実現される。そして、その実現方法、装置にはいろいろな変形例があることは、当業者には理解されるところである。以下説明する各図は、ハードウェア単位の構成ではなく、機能単位のブロックを示している。
In the following drawings, the configuration of parts not related to the essence of the present invention is omitted and is not shown.
Each component of the network system of the present invention includes an arbitrary computer CPU, memory, a program for realizing the components shown in the figure loaded in the memory, a storage unit such as a hard disk for storing the program, and a network connection It is realized by any combination of hardware and software centering on the interface. It will be understood by those skilled in the art that there are various modifications to the implementation method and apparatus. Each figure described below shows functional unit blocks, not hardware unit configurations.
図2は、図1の本実施形態のネットワークシステム100の中継装置1の構成を示す機能ブロック図である。
本実施形態の中継装置1は、ネットワーク7上の通信装置(不図示)および端末6と接続する複数のポート14a、14bと、ポート14a、14bのIDごとに、MACアドレスおよびネットワークドメイン情報を記憶するポート管理テーブル13と、受信したフレームのメッセージを確認し、フレームがIPアドレス取得メッセージに関するか否かを判断し、フレームがIPアドレス取得メッセージに関する場合はIPアドレス取得メッセージの内容をポート管理テーブル13に更新したのち、フレームを出力し、IPアドレス取得メッセージ以外の場合は、フレームをそのまま出力するメッセージ監視部11と、メッセージ監視部11から入力したフレームの送信元および宛先アドレスを参照し、ポート管理テーブル13に記録されたMACアドレスおよびネットワークドメイン情報をもとにフレームの転送範囲を決定し、転送範囲に従いフレームを転送する転送部12と、を備える。なお、本実施形態において、IPアドレス取得メッセージの交換はDHCPに基づく。
FIG. 2 is a functional block diagram showing the configuration of the
The
具体的には、中継装置1は、メッセージ監視部11と、転送部12と、ポート管理テーブル13と、端末6に接続される端末側ポート14aと、ネットワーク7に接続されるネットワーク側ポート14bと、を含む。
Specifically, the
なお、以下、図2のような装置構成を示すブロック図において、実線矢印はフレームの流れを、実線はデータ更新を、破線矢印はデータの参照を、それぞれ示している。 In the following, in the block diagram showing the apparatus configuration as shown in FIG. 2, a solid line arrow indicates a frame flow, a solid line indicates data update, and a broken line arrow indicates data reference.
図3は、ポート管理テーブル13の構造の一例を示す図である。ポート管理テーブル13には、ポートID毎に、MACアドレス、ネットワークドメイン、DHCP状態がそれぞれ記録される。図3の例では、ポートIDが、#1から#4までは端末側ポート14a、#5はネットワーク側ポート14bに関する登録内容が示されている。
FIG. 3 is a diagram illustrating an example of the structure of the port management table 13. In the port management table 13, a MAC address, a network domain, and a DHCP state are recorded for each port ID. In the example of FIG. 3, the
端末側ポート14aのポートIDには、端末6のMACアドレス、ネットワークドメイン、DHCP状態が記録される。DHCP状態には、接続する端末6のDHCP状態が記録される。DHCP状態は“DISCOVER”、“OFFER”、“REQUEST”、“ACK”の4種類からなる。
The port ID of the terminal-
“DISCOVER”は、端末6からDHCP DISCOVERパケットが送信された状態、“OFFER”は、端末6がDHCPサーバからDHCP OFFERパケットを受信した状態、“REQUEST”は、端末6がDHCP REQUESTパケットを送信した状態、“ACK”は、端末6がDHCPサーバからDHCP ACKパケットを受信した状態を、それぞれ表す。
“DISCOVER” is a state in which a DHCP DISCOVER packet is transmitted from the
“ACK”状態に遷移すると、端末6にIPアドレスが割り当てられるため、端末6のIPアドレスをもとにネットワークドメインが登録される。DHCPによるIPアドレスの取得が完了していない場合、ネットワークドメインは登録されない。端末側ポート14aに端末6が登録されていない場合、もしくは端末側ポート14aに接続された端末6がDHCPを利用していない場合は、MACアドレス、ネットワークドメイン、DHCP状態のいずれも登録されない。ポート管理テーブル13への登録および更新処理は、後述するメッセージ監視部11により行われる。
When the state transitions to the “ACK” state, an IP address is assigned to the
ネットワーク側ポート14bには、ネットワーク7に接続する通信装置のMACアドレス、ネットワークドメイン、DHCP状態が登録される。ネットワーク側ポート14bのMACアドレスおよびネットワークドメインは手動で登録してもよいし、DHCPメッセージもしくはARPメッセージを利用して自動で登録してもよい。DHCP状態には、接続するネットワークのDHCP状態が記録される。DHCP状態は“DISCOVER”、“OFFER”、“REQUEST”の3種類からなり、端末側ポート14aにおけるDHCP状態と同様である。ただし、MACアドレスおよびネットワークドメインは、DHCP状態に関係なく登録される。
The
図2に戻り、メッセージ監視部11は、ポート14を介して受信したフレームの内容を確認する。DHCPメッセージを含んだフレームの場合は、メッセージ内容を確認し、メッセージ内容に基づいて、ポート管理テーブル13に該当するポートのMACアドレス、ネットワークドメイン、DHCP状態を登録または更新する。登録または更新の内容を以下に示す。
(1)DHCP DISCOVERの場合、端末側ポート14aから受信した場合は、受信したポートIDにMACアドレスを登録し、そのDHCP状態を“DISCOVER”に更新する。またネットワーク側ポート14bのDHCP状態を“DISCOVER”に更新する。ネットワーク側ポート14bから受信した場合は、当該フレームを破棄する。
(2)DHCP OFFERの場合、DHCP状態が“DISCOVER”であるポートID、およびDHCP OFFERの送信元であるネットワーク側ポート14bのDHCP状態を“OFFER”に更新し、他のネットワーク側ポート14bのDHCP状態をリセットする。
(3)DHCP REQUESTの場合、DHCP状態が“OFFER”であるポートIDについて、“REQUEST”に更新する。
(4)DHCP ACKの場合、DHCP状態が“REQUEST”であるポートIDについて、DHCP状態を“ACK”に更新し、割り当てられたIPアドレスのネットワークドメインを登録する。ネットワーク側ポート14bのDHCP状態はリセットする。
Returning to FIG. 2, the
(1) In the case of DHCP DISCOVER, when received from the terminal-
(2) In the case of DHCP OFFER, the port ID whose DHCP status is “DISCOVER” and the DHCP status of the
(3) In the case of DHCP REQUEST, the port ID whose DHCP state is “OFFER” is updated to “REQUEST”.
(4) In the case of DHCP ACK, for the port ID whose DHCP state is “REQUEST”, the DHCP state is updated to “ACK”, and the network domain of the assigned IP address is registered. The DHCP state of the
ポート管理テーブル13への登録または更新完了後、メッセージ監視部11は、当該フレームを転送部12に渡す。なお、DHCPメッセージを含まないフレームの場合は、そのまま転送部12に渡す。
After registration or update in the port management table 13 is completed, the
転送部12は、メッセージ監視部11からフレームを渡された時、ポート管理テーブル13を参照し、ポート14のうち適切なものを経由して当該フレームをブロードキャストする。
When the frame is delivered from the
すなわち、本実施形態において、ブロードキャストフレームの転送範囲は、端末6に付与されたIPアドレスと同一のネットワークドメインに属するネットワークのみに限定される。
In other words, in the present embodiment, the broadcast frame transfer range is limited to networks belonging to the same network domain as the IP address assigned to the
具体的には、転送部12は、当該フレームの送信元ポートとポート管理テーブル13を比較し、ポート管理テーブル13に記載されている送信元のネットワークドメインと合致するポートにのみ、当該フレームをブロードキャストする。
Specifically, the
フレームの送信元が端末6の場合、端末側ポート14aのDHCP状態がDISCOVERもしくはREQUESTの場合は、転送部12は、ネットワーク側ポート14bのうちDHCP状態がDISCOVERまたはREQUESTのポートにブロードキャストする。フレームの送信元がDHCPサーバ3の場合は、DHCP状態がOFFERまたはACKに該当する端末側ポート14aがあれば該当する端末側ポート14aにのみ転送し、該当するポートがない場合は、通常のブロードキャストフレームと同等の条件にて転送する。
When the transmission source of the frame is the
このように構成された本実施形態のネットワークシステム100の中継装置1の動作を説明する。
図4は、図1に示したネットワークシステム100の中継装置1の動作の一例を示すフローチャートである。以下、図1乃至図4を用いて説明する。
The operation of the
FIG. 4 is a flowchart showing an example of the operation of the
中継装置1はフレームを受信すると、メッセージ監視部11にて当該フレームの中身を確認する(ステップS101)。DHCPメッセージの場合には(ステップS101のYES)、メッセージ内容を確認し、ポート管理テーブル13を更新する(ステップS102)。その後、転送部12にて宛先MACアドレスとポート管理テーブル13とを参照し、適切なポートに転送する(ステップS103)。また、ステップS101で、DHCPメッセージでない場合(ステップS101のNO)、ステップS103に進む。
When the
以上、説明したように、本実施形態のネットワークシステム100によれば、端末6から送信されるフレームの転送範囲が、IPアドレス取得の結果に基づき決定されるので、DHCPサーバ3からIPアドレスを割り当てられていない不正な端末6からのネットワーク接続を拒否することができる。このように、本実施形態のネットワークシステム100によれば、異なるアクセス権をもつ端末6を同時に収容でき、かつ装置負荷および管理負荷を軽減し、不正な端末6からのネットワーク接続を拒否できる高セキュリティおよび高信頼なネットワークシステムを実現できる。
As described above, according to the network system 100 of the present embodiment, since the transfer range of the frame transmitted from the
(第2の実施の形態)
次に、本発明の第2の実施の形態について、図面を用いて詳しく説明する。図5は、本実施形態のネットワークシステム101の構成を示すブロック図である。
本実施形態は、上記実施形態とは、中継装置のネットワーク側ポートに複数のネットワークが接続しており、それぞれのネットワークが独立にDHCPサーバを備え、また独立したネットワークドメインに属する点で相違する。本実施形態では、上記実施形態の変形により、かかる構成においても本発明を適用できることを示す。
(Second Embodiment)
Next, a second embodiment of the present invention will be described in detail with reference to the drawings. FIG. 5 is a block diagram showing the configuration of the
This embodiment is different from the above-described embodiment in that a plurality of networks are connected to the network side port of the relay apparatus, and each network independently includes a DHCP server and belongs to an independent network domain. In the present embodiment, it is shown that the present invention can be applied to such a configuration by modifying the above embodiment.
本実施形態のネットワークシステムは、端末6と、ネットワーク7上の端末6に動的に割り当てられるIPアドレスを管理し、端末6からの要求に応じて当該端末6にIPアドレスを割り当てて付与するDHCPサーバ3と、端末6とDHCPサーバ3との間に配置されネットワーク接続される中継装置10と、を備え、ネットワーク7上にDHCPサーバ3が複数存在し、かつ複数のDHCPサーバ3a、3bには優先度が設けられており、中継装置10は、端末6とDHCPサーバ3a、3bとの間で交換されるIPアドレス取得メッセージをもとに、ブロードキャストフレームの転送範囲を決定し、複数のDHCPサーバ3a、3bのうち、端末6からのアドレス付与サーバ検索メッセージに応答を返す最も優先度の高いDHCPサーバ3の応答のみを、端末6に転送する。
The network system of this embodiment manages the IP address dynamically assigned to the
本実施形態のネットワークシステムにおいて、中継装置10は、ネットワーク7上の端末6と接続する複数のポート14と、ポート14のIDごとに、MACアドレスおよびネットワークドメイン情報を記憶するポート管理テーブル13と、受信したフレームのメッセージを確認し、フレームがIPアドレス取得メッセージに関するか否かを判断し、フレームがIPアドレス取得メッセージに関する場合はIPアドレス取得メッセージの内容をポート管理テーブル13に更新したのち、フレームを出力し、IPアドレス取得メッセージ以外の場合は、フレームをそのまま出力するメッセージ監視部11と、メッセージ監視部11から入力したフレームの送信元および宛先アドレスを参照し、ポート管理テーブル13に記録されたMACアドレスおよびネットワークドメイン情報をもとにフレームの転送範囲を決定し、転送範囲に従いフレームを転送する転送部12と、を備える。
In the network system of the present embodiment, the
メッセージ監視部11は、さらにバッファ15を含む。
メッセージ監視部11は、アドレス付与サーバ検索メッセージを含むフレームを受信した場合には、すべてのDHCPサーバ3にフレームを転送し、その後、優先度が最も高いDHCPサーバ3以外から応答フレームを受信した場合は、バッファ15を確認し、
・バッファ15内に応答フレームがない場合、もしくは保存されている応答フレームの送信元DHCPサーバ3の優先度が受信した応答フレームの送信元DHCPサーバ3の優先度より低い場合は、保存されている応答フレームを破棄したうえで受信した応答フレームを保存し、
・保存されている応答フレームの送信元DHCPサーバ3の優先度が受信した応答フレームの送信元DHCPサーバ3の優先度より高い場合は、受信した応答フレームを破棄し、優先度が最も高いDHCPサーバ3から応答フレームを受信した場合は、バッファ15内の応答フレームを破棄して受信した応答フレームを転送手段に渡し、バッファ15内に応答フレームを保存してから一定時間以上経過した場合には、バッファ15内の応答フレームを取得して転送部12に渡す。
The
When the
Stored when there is no response frame in the
When the priority of the stored response frame transmission
中継装置10の構成および動作は、メッセージ監視部11aを除き、図2の上記実施形態における中継装置1の構成および動作と同様である。
また、本実施形態は、上記実施形態と組み合わせてもよい。
The configuration and operation of the
Further, this embodiment may be combined with the above embodiment.
本実施形態では、複数のDHCPサーバ(3a、3b)にそれぞれ優先度が設けられ、最も優先度の高いDHCPサーバからのDHCP OFFERメッセージのみが、端末6に転送されることを特徴とする。DHCPサーバ(3a、3b)の優先度の高さと、DHCPサーバ(3a、3b)が割り当てるネットワークドメインのアクセス権の広さとを関連付けることにより、端末6は、ネットワークシステム101で許可されるうち、最もアクセス権の広いネットワークドメインのIPアドレスを取得することができる。IPアドレス取得後は、IPアドレスのネットワークドメインに従い、通信範囲が決定される。
In the present embodiment, a plurality of DHCP servers (3a, 3b) are each assigned a priority, and only the DHCP OFFER message from the DHCP server with the highest priority is transferred to the
図5の本実施形態におけるネットワークシステム101は、図1の上記実施形態において、中継装置にネットワークが複数接続されている構成である。本実施形態において、中継装置10はネットワーク7aを介して、DHCPサーバ3aと接続されている。また、中継装置10は、ネットワーク7bを介して、DHCPサーバ3bと接続されている。ネットワーク7a、7bはそれぞれ異なるネットワークドメインに属し、DHCPサーバ3a、3bはそれぞれが接続するネットワーク7a、7bの属するネットワークドメインのIPアドレスプールを管理している。またネットワーク7a、7bにはそれぞれ優先度が設けられている。なお、図5には中継装置10にネットワーク7が2つ接続されている例を示しているが、3つ以上の場合でも本発明を適用できる。また図5には端末6(端末A、端末B、端末C)が3台接続されている例を示しているが、3台以外の場合においても本発明を適用できる。
The
図6は、本実施形態のネットワークシステム101の中継装置10の構成を示す機能ブロック図である。中継装置10は、上記実施形態の中継装置1と同様な転送部12、ポート管理テーブル13、およびポート14に加え、メッセージ監視部11aを備える。ポート14は、端末6に接続される端末側ポート14aと、ネットワーク7a、7bに接続されるネットワーク側ポート14bと、を含む。また、メッセージ監視部11aは、DHCP OFFERのフレームを格納するバッファ15を含む。
FIG. 6 is a functional block diagram showing the configuration of the
メッセージ監視部11aは、ポート14を介して受信したフレームの内容を確認する。DHCPメッセージを含んだフレームの場合は、メッセージ内容を確認する。内容がDHCP OFFERの場合、以下の動作を行う。
(1)優先度の最も高い、つまりプライマリのDHCPサーバが送信したDHCP OFFERであれば、メッセージ内容を確認しポート管理テーブル13を更新する。このとき、バッファ15内にフレームが保存されている場合はバッファ15内のフレームを破棄する。更新が完了したら、当該フレームを転送部12に渡す。
(2)プライマリのDHCPサーバが送信したものではないDHCP OFFERであれば、当該フレームとバッファ15内のDHCP OFFERフレームとで、送信元DHCPサーバの優先度と比較する。当該フレームの送信元DHCPサーバの方が、優先度が高い場合、もしくはバッファ15内にフレームが保存されていない場合は、当該フレームを保存する。このとき、バッファ15内にフレームが保存されている場合は、バッファ15内の既存のフレームを破棄した上で、フレームを保存する。当該フレームの送信元DHCPサーバの方が、優先度が低い場合は、当該フレームを破棄する。
The
(1) If it is the highest priority, that is, DHCP OFFER transmitted by the primary DHCP server, the message content is confirmed and the port management table 13 is updated. At this time, if a frame is stored in the
(2) If the DHCP OFFER is not transmitted by the primary DHCP server, the frame and the DHCP OFFER frame in the
また、バッファ15内にフレームが保存されている場合は、以下の動作を行う。
(3)バッファ15内に一定時間以上DHCP OFFERフレームが保存されている場合は、バッファ15から当該フレームを取得し、メッセージ内容を確認し、ポート管理テーブル13を更新する。更新が完了したら、当該フレームを転送部12に渡す。
When a frame is stored in the
(3) If a DHCP OFFER frame has been stored in the
メッセージ内容がDHCP OFFER以外の場合、およびDHCP以外のフレームの場合は、図2の上記実施形態のメッセージ監視部11と同様の動作を行う。また、ポート管理テーブル13の更新の内容も、図2の上記実施形態と同様である。
When the message content is other than DHCP OFFER or a frame other than DHCP OFFER, the same operation as the
上述のような構成において、本実施の形態のネットワークシステム101おけるネットワーク制御方法を以下に説明する。図7および図8は、図5に示したネットワークシステム101の中継装置10の動作の一例を示したフローチャートである。
In the configuration as described above, a network control method in the
本実施形態のネットワーク制御方法は、端末6と、ネットワーク7上の端末6に動的に割り当てられるIPアドレスを管理し、端末6からの要求に応じIPアドレスを割り当てて付与するDHCPサーバ3と、端末6とDHCPサーバ3との間に配置されネットワーク接続される中継装置10と、を備えたネットワーク7を制御し、ネットワーク7上にDHCPサーバ3が複数存在し、かつ複数のDHCPサーバ3a、3bには優先度が設けられており、中継装置10が、端末6とDHCPサーバ3a、3bとの間で交換されるIPアドレス取得メッセージをもとに(ステップS101、S111)、ブロードキャストフレームの転送範囲を決定し(ステップS112〜S116、S102)、複数のDHCPサーバ3a、3bのうち、端末6からのアドレス付与サーバ検索メッセージに応答を返す最も優先度の高いDHCPサーバ3の応答のみを、端末6に転送する(S103)。
The network control method of the present embodiment manages a
本実施形態のネットワーク制御方法において、中継装置10は、ネットワーク7上の端末6と接続する複数のポート14と、ポート14のIDごとに、MACアドレスおよびネットワークドメイン情報を記憶するポート管理テーブル13と、をさらに含む。
中継装置10が、受信したフレームのメッセージを確認し、フレームがIPアドレス取得メッセージに関するか否かを判断し、フレームがIPアドレス取得メッセージに関する場合は(ステップS101のYES)、IPアドレス取得メッセージの内容をポート管理テーブル13に更新したのち、フレームを出力し(ステップS102〜S116)、IPアドレス取得メッセージ以外の場合は(ステップS101のNO)、フレームをそのまま出力するメッセージ監視手順(ステップS101)と、中継装置10が、メッセージ監視手順において入力したフレームの送信元および宛先アドレスを参照し、ポート管理テーブル13に記録されたMACアドレスおよびネットワークドメイン情報をもとにフレームの転送範囲を決定し、転送範囲に従いフレームを転送する転送手順と、を含む。
In the network control method of the present embodiment, the
The
中継装置10は、さらにバッファ15を含む。
メッセージ監視手順(ステップS101)において、アドレス付与サーバ検索メッセージを含むフレームを受信した場合には(ステップS101のYES)、すべてのDHCPサーバ3にフレームを転送し、その後、優先度が最も高いDHCPサーバ3以外から応答フレームを受信した場合は(ステップS112のNO)、バッファ15を確認し(ステップS114)、
・バッファ15内に応答フレームがない場合、もしくは保存されている応答フレームの送信元DHCPサーバ3の優先度が受信した応答フレームの送信元DHCPサーバ3の優先度より低い場合は、保存されている応答フレームを破棄したうえで受信した応答フレームを保存し(ステップS115)、
・保存されている応答フレームの送信元DHCPサーバ3の優先度が受信した応答フレームの送信元DHCPサーバ3の優先度より高い場合は、受信した応答フレームを破棄し(ステップS116)、優先度が最も高いDHCPサーバから応答フレームを受信した場合は(ステップS112のYES)、バッファ15内の応答フレームを破棄して(ステップS113)受信した応答フレームを転送手順(ステップS103)に遷移し(ステップS102)、バッファ15内に応答フレームを保存してから一定時間以上経過した場合には(図8の開始)、バッファ15内の応答フレームを取得して(ステップS121)転送手順(ステップS103)に遷移する(ステップS102)。
When a frame including an address assignment server search message is received in the message monitoring procedure (step S101) (YES in step S101), the frame is transferred to all the
Stored when there is no response frame in the
If the priority of the stored response frame transmission
このように構成された本実施形態のネットワークシステム101の中継装置10の動作を以下に図面を用いて説明する。
はじめに、図5に示したネットワークシステム101における中継装置10において、ポート14がフレームを受信したときの動作について説明する。以下、図5乃至図7を用いて説明する。
The operation of the
First, the operation when the port 14 receives a frame in the
図7に示すように、はじめに、中継装置10は、フレームを受信すると、メッセージ監視部11aにて当該フレームの中身を確認する(ステップS101)。DHCPメッセージの場合には(ステップS101のYES)、メッセージ内容を確認し、DHCP OFFERであるかどうかを確認する(ステップS111)。DHCP OFFERの場合には(ステップS111のYES)、その送信元が最も優先度の高い、つまりプライマリのDHCPサーバからかどうかを確認する(ステップS112)。プライマリDHCPサーバからの場合は(ステップS112のYES)、バッファ15内のフレームを破棄する(ステップS113)。
As shown in FIG. 7, first, when the
プライマリDHCPサーバ以外からの場合は(ステップS112のNO)、当該フレームとバッファ15内のDHCP OFFERフレームとで、送信元DHCPサーバの優先度を比較する(ステップS114)。当該フレームの送信元DHCPサーバのほうが優先度が高い場合、もしくはバッファ15内にフレームが保存されていない場合は、当該フレームを保存する(ステップS115)。このとき、バッファ15内にフレームが既に保存されている場合は、バッファ15内の既存のフレームを破棄した上で、フレームを保存する。当該フレームの送信元DHCPサーバのほうが、優先度が低い場合は、当該フレームを破棄する(ステップS116)。
If it is from other than the primary DHCP server (NO in step S112), the priority of the transmission source DHCP server is compared between the frame and the DHCP OFFER frame in the buffer 15 (step S114). When the priority is higher in the source DHCP server of the frame, or when the frame is not stored in the
ステップS111にてDHCP OFFER以外のフレームの場合(ステップS111のNO)、およびステップS113完了後は、メッセージ内容を確認し、ポート管理テーブル13を更新する(ステップS102)。また、ステップS101にてDHCPメッセージでなかった場合(ステップS101のNO)、およびステップS102完了後は、転送部12にて宛先MACアドレスとポート管理テーブルとを参照し、適切なポートにブロードキャストする(ステップS103)。
In the case of a frame other than DHCP OFFER in step S111 (NO in step S111) and after completion of step S113, the message content is confirmed and the port management table 13 is updated (step S102). If it is not a DHCP message in step S101 (NO in step S101), and after step S102 is completed, the
次に、図5に示したネットワークシステム101における中継装置10において、バッファ15内にDHCP OFFERフレームが保存されてから一定時間以上が経過したときの動作について説明する。以下、図5、図6、および図8を用いて説明する。
Next, in the
図8に示すように、一定時間以上が経過したら、メッセージ監視部11aは、バッファ15から当該フレームを取得し(ステップS121)、メッセージ内容を確認し、ポート管理テーブル13を更新する(ステップS102)。更新が完了した後、転送部12にて宛先MACアドレスとポート管理テーブルとを参照し、適切なポートにブロードキャストする(ステップS103)。
As shown in FIG. 8, when a predetermined time or more elapses, the
なお、複数のネットワーク7a、7bのほかの接続形態としては、中継装置10にてトンネルインターフェースを利用する形態がある。例えば、ネットワーク7aとは直接接続し、ネットワーク7bとはトンネルインターフェースを介し、同一ネットワークに属する装置として接続する形態である。そのような形態においても、本実施形態に示す手法をそのまま適用できるため、詳細な説明は省略する。
As another connection form of the plurality of
以上、説明したように、本実施形態のネットワークシステム101によれば、複数のDHCPサーバ3a、3bが存在するネットワークシステム101においても、上記実施形態と同様な効果を奏することができる。
その理由は、複数のDHCPサーバ3a、3bのうち、端末6からのDHCPサーバ検索メッセージに応答を返す、最も優先度の高いDHCPサーバ3の応答のみを転送するためである。
As described above, according to the
The reason is that only the response of the
すなわち、端末6は、ネットワークシステム101で許可される、最も優先度の高いDHCPサーバ3からIPアドレスを割り当てられることとなる。優先度の高さとアクセス権の広さとを関連づけることにより、端末6は、ネットワークシステム101で許可される、最もアクセス権の広いIPアドレスを割り当てられることとなる。
That is, the
(第3の実施の形態)
次に、本発明の第3の実施の形態について、図面を用いて詳しく説明する。なお、本実施形態におけるネットワークシステムの構成は、図5および図6の上記実施形態と同様である。本実施形態は、上記実施形態とは、メッセージ監視部(不図示)の動作が異なる。それ以外の中継装置の構成および動作は、上記実施形態、ならびに上記実施形態を組み合わせた場合の構成および動作と同様である。また、本実施形態は、上記実施形態と組み合わせてもよい。
(Third embodiment)
Next, a third embodiment of the present invention will be described in detail with reference to the drawings. Note that the configuration of the network system in the present embodiment is the same as that of the above-described embodiment of FIGS. This embodiment is different from the above embodiment in the operation of a message monitoring unit (not shown). The other configurations and operations of the relay device are the same as the configurations and operations in the case of combining the above embodiment and the above embodiment. Further, this embodiment may be combined with the above embodiment.
本実施形態のネットワークシステムにおいて、メッセージ監視部11はさらに、アドレス付与サーバ検索メッセージを含むフレームを受信した場合は、優先度の最も高いDHCPサーバ3にフレームを送信して一定時間待ち、一定時間以内に応答フレームを受信したら応答フレームを転送部12に渡し、一定時間以内に応答フレームを受信しなかったら、次に優先度の高いDHCPサーバ3にフレームを送信して一定時間待ち、一定時間以内に応答フレームを受信するか該当するDHCPサーバ3がなくなるまで順次動作を繰り返す。
In the network system of this embodiment, when the
具体的には、本実施形態では、以下の点を特徴とする。すなわち、まず、優先度の最も高いDHCPサーバにDHCP DISCOVERメッセージが送信される。そして、一定時間以内にDHCP OFFERメッセージの返信がなければ、次に、優先度の高いDHCPサーバにDHCP DISCOVERメッセージが送信される。そして、本動作をDHCP OFFERメッセージの返信があるか該当するDHCPサーバがなくなるまで順次繰り返す。 Specifically, this embodiment is characterized by the following points. That is, first, the DHCP DISCOVER message is transmitted to the DHCP server having the highest priority. If no DHCP OFFER message is returned within a predetermined time, a DHCP DISCOVER message is transmitted to the DHCP server having the next highest priority. Then, this operation is sequentially repeated until a DHCP OFFER message is returned or there is no corresponding DHCP server.
DHCPサーバの優先度の高さと、DHCPサーバが割り当てるネットワークドメインのアクセス権の広さとを関連づけることにより、端末は、ネットワークシステムで許可されるうち、最もアクセス権の広いネットワークドメインのIPアドレスを取得することができる。IPアドレス取得後は、IPアドレスのネットワークドメインに従い、通信範囲が決定される。 By associating the high priority of the DHCP server with the wide access right of the network domain assigned by the DHCP server, the terminal acquires the IP address of the network domain with the widest access right, which is permitted in the network system. be able to. After obtaining the IP address, the communication range is determined according to the network domain of the IP address.
本実施形態において、メッセージ監視部は、受信したフレームの内容を確認する。DHCPメッセージを含んだフレームの場合は、メッセージ監視部は、メッセージ内容を確認する。内容がDHCP DISCOVERの場合、メッセージ監視部は、当該フレームを最も優先度の高い、すなわちプライマリのDHCPサーバの存在するネットワークにブロードキャストするようポート管理テーブル13を更新し、当該フレームを転送部12に渡す。このとき、メッセージ監視部は、当該フレームをコピーしバッファ15内に保存する。
In the present embodiment, the message monitoring unit confirms the content of the received frame. In the case of a frame including a DHCP message, the message monitoring unit confirms the message content. If the content is DHCP DISCOVER, the message monitoring unit updates the port management table 13 to broadcast the frame to the network having the highest priority, that is, the primary DHCP server, and passes the frame to the
その後、DHCP OFFERを受信した場合は、メッセージ監視部は、バッファ15内のフレームを破棄し、受信したフレームを転送部12に渡す。
Thereafter, when the DHCP OFFER is received, the message monitoring unit discards the frame in the
一定時間DHCP OFFERを受信しなかったら、メッセージ監視部は、次に優先度の高い、すなわちセカンダリのDHCPサーバの存在するネットワークにDHCP DISCOVERをブロードキャストするよう、ポート管理テーブル13を更新し、バッファ15内のフレームをコピーして転送部12に渡す。
If the DHCP OFFER is not received for a certain period of time, the message monitoring unit updates the port management table 13 so as to broadcast the DHCP DISCOVER to the network having the next highest priority, that is, the secondary DHCP server, and the
メッセージ監視部は、上記の動作を、DHCP OFFERを受信するか、該当するDHCPサーバがなくなるまで順次繰り返す。 The message monitoring unit sequentially repeats the above operation until a DHCP OFFER is received or there is no corresponding DHCP server.
メッセージ内容がDHCP DISCOVER、DHCP OFFER以外の場合、およびDHCP以外のフレームの場合は、上記実施形態におけるメッセージ監視部11、11aと同様の動作を行う。また、メッセージ内容がDHCP DISCOVER以外の場合、ポート管理テーブル13の更新の内容は、上記実施形態と同様である。
When the message content is other than DHCP DISCOVER and DHCP OFFER, and when it is a frame other than DHCP, the same operation as the
上述のような構成において、本実施の形態のネットワークシステムおけるネットワーク制御方法を以下に説明する。図9および図10は、本実施形態における中継装置の動作の一例を示すフローチャートである。図9は、中継装置にてフレームを受信したときの動作、図10は、バッファ15内にフレームが保存されているときの動作を、それぞれ示している。バッファ15内にフレームが保存されているとき、図9に示す動作と図10に示す動作とは、並行して行われる。以下、図5、図6、図9、および図10を用いて説明する。
A network control method in the network system of the present embodiment having the above configuration will be described below. FIG. 9 and FIG. 10 are flowcharts showing an example of the operation of the relay device in this embodiment. FIG. 9 shows an operation when a frame is received by the relay apparatus, and FIG. 10 shows an operation when a frame is stored in the
本実施形態のネットワーク制御方法において、メッセージ監視手順(ステップS101)はさらに、アドレス付与サーバ検索メッセージを含むフレームを受信した場合は(ステップS101のYES)、優先度の最も高いアドレス付与サーバにフレームを送信して一定時間待ち(ステップS141)、一定時間以内に応答フレームを受信したら(ステップS142のNO)転送手順に遷移し、一定時間以内に応答フレームを受信しなかったら(ステップS142のYES)、次に優先度の高いアドレス付与サーバにフレームを送信して(ステップS143〜S145、S103)一定時間待ち(ステップS141)、一定時間以内に応答フレームを受信するか(ステップS142のNO)該当するアドレス付与サーバがなくなる(ステップS143のいない)まで順次動作を繰り返す。 In the network control method of the present embodiment, when the message monitoring procedure (step S101) further receives a frame including the address assignment server search message (YES in step S101), the message monitoring procedure (step S101) sends the frame to the address assignment server with the highest priority. Transmit and wait for a certain time (step S141), if a response frame is received within a certain time (NO in step S142), transition to a transfer procedure, and if no response frame is received within a certain time (YES in step S142), Next, the frame is transmitted to the address assignment server with the highest priority (steps S143 to S145, S103), waits for a certain time (step S141), and receives a response frame within the certain time (NO in step S142) Corresponding address There is no grant server (step S 43 of not) repeat the sequential operation to.
このように構成された本実施形態のネットワークシステムの中継装置の動作を説明する。
はじめに、図9に従って、中継装置にてフレームを受信したときの動作を説明する。本実施形態における中継装置は、フレームを受信すると、メッセージ監視部にて当該フレームの中身を確認する(ステップS101)。DHCPメッセージの場合には(ステップS101のYES)、続いてDHCP DISCOVERであるかどうかを確認する(ステップS131)。
The operation of the relay device of the network system of this embodiment configured as described above will be described.
First, the operation when a frame is received by the relay apparatus will be described with reference to FIG. When the relay device in the present embodiment receives the frame, the message monitoring unit confirms the contents of the frame (step S101). In the case of a DHCP message (YES in step S101), it is subsequently confirmed whether the message is DHCP DISCOVER (step S131).
DHCP DISCOVERの場合は(ステップS131のYES)、該当する端末側ポート14a、およびネットワーク側ポート14bのうちプライマリDHCPサーバが存在するポートのみ、ポート管理テーブル13中のDHCP状態を“DISCOVER”に更新する(ステップS132)。続いて、当該フレームをコピーし、バッファ15内に保存する(ステップS133)。
In the case of DHCP DISCOVER (YES in step S131), the DHCP state in the port management table 13 is updated to “DISCOVER” only for the port where the primary DHCP server exists among the corresponding
ステップS131にてDHCP DISCOVER以外のフレームであった場合(ステップS131のNO)、続いてDHCP OFFERであるかどうかを確認する(ステップS134)。DHCP OFFERの場合は(ステップS134のYES)、バッファ内のフレームを破棄する(ステップS135)。 If it is a frame other than DHCP DISCOVER in step S131 (NO in step S131), it is subsequently confirmed whether it is DHCP OFFER (step S134). In the case of DHCP OFFER (YES in step S134), the frame in the buffer is discarded (step S135).
ステップS134にてDHCP OFFER以外のフレームであった場合(ステップS134のNO)、およびステップS135が完了したら、DHCPメッセージ内容を確認し、ポート管理テーブル13を更新する(ステップS102)。ステップS101にてDHCPメッセージでなかった場合(ステップS101のNO)、およびステップS133、ステップS102完了後は、転送部12にて宛先MACアドレスとポート管理テーブルとを参照し、当該フレームを適切なポートにブロードキャストする(ステップS103)。
When it is a frame other than DHCP OFFER in step S134 (NO in step S134) and when step S135 is completed, the contents of the DHCP message are confirmed, and the port management table 13 is updated (step S102). If it is not a DHCP message in step S101 (NO in step S101), and after completion of steps S133 and S102, the
次に、図10に従って、中継装置にてバッファ15内にDHCP DISCOVERフレームが保存されたときの動作を説明する。バッファ15内にDHCP DISCOVERメッセージが保存されたのち、一定時間待つ(ステップS141)。一定時間経過後、バッファ15内にフレームが保存されたままかを確認する(ステップS142)。保存されていない場合は(ステップS142のNO)、一定時間以内にDHCP OFFERが到着し、バッファ15内のフレームが破棄されたためとみなし、動作を終了する。保存されている場合は(ステップS142のYES)、DHCP OFFERが到着しなかったとみなし、次に優先度の高いDHCPサーバにDHCP DISCOVERを送信する処理を行うこととなる。
Next, the operation when the DHCP DISCOVER frame is stored in the
すなわち、まず、次に優先度の高いDHCPサーバが存在するかを確認する(ステップS143)。存在しない場合は(ステップS143の「いない」)、バッファ15内のフレームを破棄して動作を終了する(ステップS146)。存在する場合は(ステップS143の「いる」)、ネットワーク側ポート14bのうち当該DHCPサーバが存在するポートのみ、ポート管理テーブル13中のDHCP状態が“DISCOVER”となるよう更新する(ステップS144)。更新後、バッファ15内のフレームをコピーし、取得する(ステップS145)。この時点で、バッファ15内には当該フレームが保存されたままである。
That is, first, it is confirmed whether there is a DHCP server with the next highest priority (step S143). If it does not exist ("No" in step S143), the frame in the
そして、取得したフレームは転送部12に渡される。転送部12はポート管理テーブル13を参照し、当該フレームを適切なポートにブロードキャストする(ステップS103)。こののち、ステップS141に戻り、前述の動作を繰り返す。
The acquired frame is transferred to the
なお、複数のネットワーク7a、7bのほかの接続形態としては、中継装置にてトンネルインターフェースを利用する形態がある。例えば、ネットワーク7aとは直接接続し、ネットワーク7bとはトンネルインターフェースを介し、同一ネットワークに属する装置として接続する形態である。そのような形態においても、本実施形態に示す手法をそのまま適用できるため、詳細な説明は省略する。
As another connection form of the plurality of
以上説明したように、本実施形態のネットワークシステムによれば、異なるアクセス権をもつ端末を同時に収容できるネットワークシステムであり、かつ不正な端末によるブロードキャストフレームの盗み見を防げるネットワークシステムを実現できるという効果を奏する。その理由は、端末から送信されるフレームの転送範囲が、IPアドレス取得の結果に基づき決定されるためである。すなわち、アドレス付与サーバからIPアドレスを割り当てられていない不正な端末へは、他の端末からのブロードキャストフレームが到達しないこととなる。 As described above, according to the network system of the present embodiment, it is possible to realize a network system that can simultaneously accommodate terminals having different access rights, and that can prevent broadcast frames from being seen by unauthorized terminals. Play. This is because the transfer range of the frame transmitted from the terminal is determined based on the result of IP address acquisition. That is, a broadcast frame from another terminal does not reach an unauthorized terminal that is not assigned an IP address from the address assignment server.
(第4の実施の形態)
次に、本発明の第4の実施の形態について、図面を用いて詳しく説明する。図11は、本実施形態のネットワークシステムの中継装置19の構成を示す機能ブロック図である。
(Fourth embodiment)
Next, a fourth embodiment of the present invention will be described in detail with reference to the drawings. FIG. 11 is a functional block diagram showing the configuration of the
本実施形態のネットワークシステムにおいて、中継装置は、受信したフレームの宛先アドレスを参照し、ブロードキャストアドレスであった場合にはフレームをメッセージ監視部11に渡し、ブロードキャストでなかった場合にはフレームを出力するヘッダ監視部16と、ヘッダ監視部16から受信したフレームの宛先アドレスを参照し、ポート管理テーブル13に記録されたMACアドレスをもとにフレームを転送するスイッチ部17と、をさらに備える。
In the network system of the present embodiment, the relay device refers to the destination address of the received frame, passes the frame to the
本実施形態では、上記実施形態に機能を追加することで、各実施の形態における中継装置の動作負荷を軽減できることを示す。具体的には、メッセージ監視部での監視対象をブロードキャストフレームのみとし、これ以外のフレームを通常のスイッチングハブと同様の動作にて処理することを特徴とする。これは、1対1のユニキャスト通信であっても、宛先MACアドレスの取得に、ブロードキャストフレームにて送信されるARPが必須となるためである。すなわち、ブロードキャストフレームのみを監視すれば、すべての通信の転送範囲を制限でき、上記実施形態と同等の効果を得られる。 In this embodiment, it shows that the operation load of the relay apparatus in each embodiment can be reduced by adding a function to the said embodiment. Specifically, the monitoring target in the message monitoring unit is only a broadcast frame, and other frames are processed by the same operation as a normal switching hub. This is because even in one-to-one unicast communication, ARP transmitted in a broadcast frame is essential for obtaining a destination MAC address. That is, if only the broadcast frame is monitored, the transfer range of all communications can be limited, and the same effect as the above embodiment can be obtained.
なお、以下の説明では、図2の上記実施形態を基準として説明するが、他の上記実施形態においても、同様の手法にて実現できる。 In the following description, the above embodiment of FIG. 2 will be described as a reference, but other embodiments can be realized by the same method.
図11に示すように、本実施形態の中継装置19は、図2の上記実施形態の中継装置1の構成に加え、ヘッダ監視部16と、スイッチ部17と、をさらに有することを特徴とする。
As shown in FIG. 11, the
ヘッダ監視部16は、ポート14が受信したフレームすべてを確認する。そして、ヘッダ監視部16は、ブロードキャストフレームの場合、当該フレームをメッセージ監視部11に渡し、それ以外の場合、当該フレームをスイッチ部17に渡す。
The
スイッチ部17は、スイッチングハブと同様の動作を行う。スイッチ部17は、ヘッダ監視部16からフレームを渡された時、ポート管理テーブル13に記載のMACアドレスと、フレームの宛先MACアドレスとを参照し、ポート14のうち適切なものを経由して当該フレームを転送する。
The
上述のような構成において、本実施の形態のネットワークシステム101におけるネットワーク制御方法を以下に説明する。図12は、図11の本実施形態の中継装置19の動作の一例を示すフローチャートである。以下、図11および図12を用いて説明する。
In the configuration as described above, a network control method in the
本実施形態のネットワーク制御方法において、中継装置19が、受信したフレームの宛先アドレスを参照し、ポート管理テーブル13に記録されたMACアドレスをもとにフレームを転送するスイッチ手順と、中継装置19が、受信したフレームの宛先アドレスを参照し、ブロードキャストアドレスであった場合にはメッセージ監視手順に遷移し、ブロードキャストでなかった場合にはスイッチ手順に遷移するヘッダ監視手順と、をさらに含む。
In the network control method of the present embodiment, the
このように構成された本実施形態の中継装置19の動作を以下に図面を用いて説明する。
まず、中継装置19は、フレームを受信すると、ヘッダ監視部16にて宛先MACアドレスを確認する(ステップS104)。宛先MACアドレスがブロードキャストでない場合は(ステップS104のNO)、スイッチ部17にて宛先MACアドレスに従い適切なポートを経由して当該フレームを転送する(ステップS105)。ステップS101にて宛先MACアドレスがブロードキャストであった場合は(ステップS104のYES)、メッセージ監視部11にて当該フレームの中身を確認する(ステップS101)。
The operation of the
First, when the
その結果、DHCPメッセージの場合には(ステップS101のYES)、メッセージ内容を確認し、ポート管理テーブル13を更新する(ステップS102)。その後、転送部12にて宛先MACアドレスとポート管理テーブルとを参照し、適切なポートにブロードキャストする(ステップS103)。また、ステップS101で、DHCPメッセージでない場合(ステップS101のNO)、ステップS103に進む。
As a result, in the case of a DHCP message (YES in step S101), the message content is confirmed and the port management table 13 is updated (step S102). Thereafter, the
以上説明したように、本実施形態のネットワークシステムによれば、上記実施形態と同様な効果を奏するとともに、すべての受信フレームのメッセージ内容を確認することなく、中継装置の動作負荷を軽減することができる。 As described above, according to the network system of this embodiment, the same effect as that of the above embodiment can be obtained, and the operation load of the relay device can be reduced without checking the message contents of all received frames. it can.
次に、本発明の実施例について、図面を参照して詳細に説明する。なお、本発明の実施例にて示した図面および具体的な数値を、本発明の解釈に用いてはならない。 Next, embodiments of the present invention will be described in detail with reference to the drawings. Note that the drawings and specific numerical values shown in the embodiments of the present invention should not be used for the interpretation of the present invention.
(実施例1)
本実施例では、図1乃至図4に示した実施の形態のネットワークシステムの具体例を用いて、その動作について説明する。
Example 1
In the present embodiment, the operation will be described using a specific example of the network system according to the embodiment shown in FIGS.
図13は、本実施例におけるネットワークシステム110の構成を示すブロック図である。本実施例におけるネットワークシステム110は、中継装置20と、ルータ50と、DHCPサーバ30と、共有サーバ40と、インターネット75と、端末60と、ネットワーク70と、を有する。中継装置20、ルータ50、DHCPサーバ30、および共有サーバ40はネットワーク70を介して互いに接続される。端末60は中継装置20を介してネットワーク70に接続できる。またネットワーク70はルータ50を介してインターネット75に接続できる。
FIG. 13 is a block diagram showing the configuration of the network system 110 in this embodiment. The network system 110 in this embodiment includes the
本実施例における中継装置20は、図2の実施の形態における中継装置1と同様の構成を有する。以下、図2および図13を用いて説明する。
The
ネットワーク70には、“A.A.A.0/24”と“B.B.B.0/24”の2つのネットワークドメインが存在する。以下、前者のネットワークドメインをドメインA、後者のネットワークドメインをドメインBと呼ぶ。DHCPサーバ30は、“A.A.A.101”から“A.A.A.150”までのドメインAアドレス、および“B.B.B.101”から“B.B.B.150”までのドメインBアドレスを管理する。
In the
ルータ50およびDHCPサーバ30は、ドメインAとドメインBの両方のIPアドレスを持つ。一方、共有サーバ40は、ドメインAのみのIPアドレスを持つ。すなわち、端末60は、ルータ50へはドメインA、ドメインBに関わらずアクセスすることができる。一方、共有サーバ40は、ドメインAに属する端末60からのアクセスのみを受け付け、ドメインBに属する端末60からのアクセスを排除することができる。すなわち、ネットワークドメインの違いにより、異なるアクセス権をもつ端末60を同時に収容できる。
The
一方、中継装置20には3台の端末60(端末A、端末B、端末C)が接続されている。端末BはドメインBのIPアドレスを、端末CはドメインAのIPアドレスを、それぞれDHCPサーバ30から割り当てられている。DHCPサーバ30からIPアドレスを割り当てられている場合は、中継装置20のポート管理テーブル13にMACアドレス、ネットワークドメインおよびDHCP状態が記載されている。端末BはドメインB、端末CはドメインAに属し、DHCPによるアドレス配布が完了していることからDHCP状態は“ACK”となっている。
On the other hand, three terminals 60 (terminal A, terminal B, and terminal C) are connected to the
なお、このとき、中継装置20のポート管理テーブル13の端末AのDHCP状態は“DISCOVER”となっている。すなわち、端末AはDHCP DISCOVERパケットを送出し、DHCP OFFERパケットを待ち受けている状態である。DHCPによるアドレス配布が完了していないため、ポート管理テーブルにおける端末Aのネットワークドメインは空欄となっている。
At this time, the DHCP state of the terminal A in the port management table 13 of the
このように構成された本実施例のネットワークシステム110の動作について、以下に説明する。
図14は、図13の本実施例におけるネットワークシステム110のDHCPによるIPアドレス取得シーケンスの動作を示したシーケンス図である。以下、端末AがIPアドレスを取得するシーケンスについて、図2、図13、および図14を用いて詳細に説明する。
The operation of the network system 110 of this embodiment configured as described above will be described below.
FIG. 14 is a sequence diagram showing the operation of the IP address acquisition sequence by DHCP of the network system 110 in this embodiment of FIG. Hereinafter, the sequence in which the terminal A obtains the IP address will be described in detail with reference to FIGS. 2, 13, and 14.
端末AがDHCP DISCOVERを送出する(シーケンス1001)。中継装置20は、当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13に、端末AのMACアドレスM60aを登録し(シーケンス1002)、該当する端末側ポート14aおよびネットワーク側ポート14bのDHCP状態を“DISCOVER”に更新したうえで、ネットワーク側ポート14bにブロードキャストする(シーケンス1003)。この時点にて、ポート管理テーブル13は図13に示した状態となる。
Terminal A sends out DHCP DISCOVER (sequence 1001). When the
DHCPサーバ30は、当該フレームを受信すると、所定のポリシーに従いアドレスプールからIPアドレスを選択し、DHCP OFFERとして送信する(シーケンス1004)。ポリシーは、MACアドレスをもとに決定する等が挙げられる。すなわち、端末AのMACアドレスがDHCPサーバ30に登録されていればアクセス権の強いドメインAのアドレスプールから、登録されていなければアクセス権の弱いドメインBのアドレスプールから、IPアドレスを選択する、といった方法がある。
When receiving the frame, the
中継装置20は当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“DISCOVER”となっている、端末AのDHCP状態を“OFFER”に更新(シーケンス1005)したうえで、端末Aのポートに転送する(シーケンス1006)。このとき、DHCP OFFERの送信元であるネットワーク側ポート14bのDHCP状態を“OFFER”に更新し、他のネットワーク側ポート14bのDHCP状態をリセットする。
When the
端末Aは当該フレームを受信すると、メッセージ内に示されたIPアドレスからひとつを選択し、DHCP REQUESTを送出する(シーケンス1007)。中継装置20は当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“OFFER”となっているポートのDHCP状態を“OFFER”から“REQUEST”に更新する(シーケンス1008)。更新後、ネットワーク側ポート14bにブロードキャストする(シーケンス1009)。
When the terminal A receives the frame, the terminal A selects one from the IP addresses indicated in the message, and transmits a DHCP REQUEST (sequence 1007). When receiving the frame, the
DHCPサーバ30は、当該フレームを受信すると、端末Aが要求したIPアドレスが利用可能なら、当該IPアドレスを含むDHCP ACKを送信する(シーケンス1010)。中継装置20は、当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“REQUEST”となっている、端末AのDHCP状態を“REQUEST”から“ACK”に更新し、割当IPアドレスをもとに該当する端末側ポート14aのネットワークドメインをポート管理テーブル13に登録する。また、ネットワーク側ポート14bのDHCP状態をリセットする(シーケンス1011)。登録および更新後、転送部12は、登録されたネットワークドメインの端末側ポート14aにフレームを転送する(シーケンス1012)。
When the
端末Aは、当該フレームを受信すると、受信した情報をもとにIPアドレスおよびネットワーク設定を行う。
なお、DHCPメッセージ以外のブロードキャストフレームの場合、ネットワークドメインに基づき転送範囲が決められる。
When the terminal A receives the frame, the terminal A sets an IP address and a network based on the received information.
In the case of a broadcast frame other than a DHCP message, the transfer range is determined based on the network domain.
以上、説明したように、中継装置20では、受信したフレームに基づいて、ポート管理テーブル13の登録および更新を行うことができる。そして、ポート管理テーブル13に記載されている送信元のネットワークドメインと合致するポート14にのみ、当該フレームをブロードキャストするので、ポート14のうち適切なものを経由して当該フレームを送出することができる。
As described above, the
(実施例2)
本実施例では、図5乃至図8に示した実施の形態のネットワークシステムの具体例を用いて、その動作について説明する。
図15は、本実施例におけるネットワークシステム112の構成を示す図である。
本実施例は、図13の上記実施例とは、ネットワークが複数接続されている点で相違する。
(Example 2)
In this example, the operation will be described using a specific example of the network system according to the embodiment shown in FIGS.
FIG. 15 is a diagram illustrating a configuration of the
This embodiment is different from the above embodiment of FIG. 13 in that a plurality of networks are connected.
本実施例において、中継装置22は、ネットワーク72aを介して、ルータ50a、DHCPサーバ32a、および共有サーバ42aと接続されている。また、中継装置22は、ネットワーク72bを介して、ルータ52b、およびDHCPサーバ32bと接続されている。端末60は、中継装置22を介して、ネットワーク72a、72bに接続できる。また、ネットワーク72a、72bは、ルータ52a、52bを介してインターネット75に接続できる。
In this embodiment, the
ネットワーク72a、72bは、それぞれドメインA、ドメインBに属し、DHCPサーバ32a、32bもまたそれぞれドメインA、ドメインBのIPアドレスプールを管理している。DHCPサーバ32aはプライマリDHCPサーバであり、DHCPサーバ32bはセカンダリDHCPサーバである。ドメインAにのみ共有サーバ42aが設けられ、ドメインAのIPアドレスはDHCPサーバ32aに登録された端末6のみが取得できる。一方、ドメインBのIPアドレスは、DHCPサーバ32bに問い合わせれば、登録の有無に関わらず取得できる。すなわち、接続するネットワークの違いにより、異なるアクセス権をもつ端末6を同時に収容できる。
The
本実施例における中継装置22は、図6の上記実施形態の中継装置10と同様の構成を有する。
このように構成された本実施例のネットワークシステム112の動作について、以下に説明する。
図16および図17は、本実施例におけるネットワークシステム112のDHCPによるIPアドレス取得の動作を示すシーケンス図である。図16は、端末AがドメインAのIPアドレスを取得できる場合、図17は、端末AがドメインAのIPアドレスを取得できない場合を、それぞれ示している。
The
The operation of the
FIGS. 16 and 17 are sequence diagrams illustrating an IP address acquisition operation by DHCP of the
まず、図6、図15、および図16を用いて、端末AがドメインAのIPアドレスを取得するシーケンスについて詳細に説明する。 First, the sequence in which the terminal A acquires the IP address of the domain A will be described in detail with reference to FIGS. 6, 15, and 16. FIG.
まず、端末Aが、DHCP DISCOVERを送出する(シーケンス1101)。中継装置22は、当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13に、端末AのMACアドレスM60aを登録し(シーケンス1102)、該当する端末側ポート14aおよびすべてのネットワーク側ポート14bのDHCP状態を“DISCOVER”に更新したうえで、ネットワーク側ポート14bにブロードキャストする(シーケンス1103)。このとき、ネットワーク72a、72bの双方に“DISCOVER”が登録されるため、双方にブロードキャストする。
First, terminal A sends out DHCP DISCOVER (sequence 1101). When the
DHCPサーバ32bは、当該フレームを受信すると、アドレスプールからIPアドレスを選択し、DHCP OFFERとして送信する(シーケンス1104)。中継装置22は、当該フレームを受信すると、DHCP OFFERメッセージなので、送信元DHCPサーバを調べる。送信元であるDHCPサーバ32bはセカンダリDHCPサーバなので、中継装置22は、いったん当該フレームをバッファ15に保存する(シーケンス1105)。
When receiving the frame, the
一方、DHCPサーバ32aは、当該フレームを受信すると、送信元である端末Aが登録されていることから、アドレスプールからIPアドレスを選択し、DHCP OFFERとして送信する(シーケンス1106)。中継装置22は、当該フレームを受信すると、DHCP OFFERメッセージなので、送信元DHCPサーバを調べる。送信元であるDHCPサーバ32aはプライマリDHCPサーバなので、中継装置22は、バッファ15に保存しておいたフレームを破棄する(シーケンス1107)。続いて、中継装置22は、ポート管理テーブル13のDHCP状態が“DISCOVER”となっている、端末Aならびにネットワーク72aのDHCP状態を“OFFER”に更新(シーケンス1108)し、受信したフレームを端末Aのポートに転送する(シーケンス1109)。このとき、ネットワーク72bのDHCP状態はリセットされる。
On the other hand, when receiving the frame, the
以下に説明するシーケンス1110〜1105の動作は、図14の実施形態におけるシーケンス1007〜1012の動作と同様である。すなわち、端末Aは当該フレームを受信すると、メッセージ内に示されたIPアドレスからひとつを選択し、DHCP REQUESTを送出する(シーケンス1110)。中継装置22は当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“OFFER”となっているポートのDHCP状態を“OFFER”から“REQUEST”に更新する(シーケンス1111)。更新後、ネットワーク側ポート14bにブロードキャストする(シーケンス1112)。
The operations of
このとき、“REQUEST”が登録されているネットワーク側ポート14bはネットワーク72a側のみなので、ネットワーク72aにのみブロードキャストされる。DHCPサーバ32aは当該フレームを受信すると、端末Aが要求したIPアドレスが利用可能なら、当該IPアドレスを含むDHCP ACKを送信する(シーケンス1113)。中継装置22は当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“REQUEST”となっている、端末AのDHCP状態を“REQUEST”から“ACK”に更新し、割当IPアドレスをもとに該当する端末側ポート14aのネットワークドメインをポート管理テーブル13に登録する。(シーケンス1114)。登録および更新後、転送部12は、登録されたネットワークドメインの端末側ポート14aにフレームを転送する(シーケンス1115)。
At this time, since the
端末Aは、当該フレーム(DHCP ACK)を受信すると、その情報をもとにIPアドレスおよびネットワーク設定を行う。 When the terminal A receives the frame (DHCP ACK), the terminal A sets an IP address and a network based on the information.
次に、図17を用いて、端末Aが、ドメインAのIPアドレスを取得できない結果、ドメインBのIPアドレスを取得するシーケンスについて詳細に説明する。なお、シーケンス1101〜1105までは、上述の図16のシーケンスと同様であるため省略する。
Next, with reference to FIG. 17, a sequence for acquiring the IP address of domain B as a result of terminal A not being able to acquire the IP address of domain A will be described in detail. Note that
DHCPサーバ32aはDHCP DISCOVERを受信しても、端末Aが登録されていないため、DHCP OFFERを送信しない。よって、シーケンス1105から一定時間経過後、中継装置22はバッファ15内に保存してあるDHCPサーバ32bからのDHCP OFFERフレームを取り出し(シーケンス1121)、メッセージを参照する。続いて、ポート管理テーブル13のDHCP状態が“DISCOVER”となっている、端末Aならびにネットワーク72bのDHCP状態を“DISCOVER”から“OFFER”に更新(シーケンス1122)し、受信したフレームを端末Aの端末側ポート14aに転送する(シーケンス1123)。このとき、ネットワーク72aのDHCP状態はリセットされる。
Even if the
シーケンス1124〜1129の動作は、図15におけるシーケンス1007〜1012、図17におけるシーケンス1110〜1115の動作と同様である。すなわち、端末Aは当該フレームを受信すると、メッセージ内に示されたIPアドレスからひとつを選択し、DHCP REQUESTを送出する(シーケンス1124)。中継装置22は当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“OFFER”となっているポートのDHCP状態を“OFFER”から“REQUEST”に更新する(シーケンス1125)。更新後、ネットワーク側ポート14bにブロードキャストする(シーケンス1126)。
The operations of
このとき、“REQUEST”が登録されているネットワーク側ポート14bはネットワーク72b側のみなので、ネットワーク72bにのみブロードキャストされる。DHCPサーバ32bは当該フレームを受信すると、端末Aが要求したIPアドレスが利用可能なら、当該IPアドレスを含むDHCP ACKを送信する(シーケンス1127)。中継装置22は当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“REQUEST”となっている、端末AのDHCP状態を“REQUEST”から“ACK”に更新し、割当IPアドレスをもとに該当する端末側ポート14aのネットワークドメインをポート管理テーブル13に登録する。(シーケンス1128)。登録および更新後、転送部12は、登録されたネットワークドメインの端末側ポート14aにフレームを転送する(シーケンス1129)。
At this time, since the
端末Aは、当該フレーム(DHCP ACK)を受信すると、その情報をもとにIPアドレスおよびネットワーク設定を行う。 When the terminal A receives the frame (DHCP ACK), the terminal A sets an IP address and a network based on the information.
(実施例3)
本実施例では、図5、図6、図9、および図10に示した実施の形態で示したネットワークシステムの具体例を用いて、その動作について説明する。
本実施例におけるネットワークシステム112の構成は、図15の上記実施例におけるネットワークシステム112と同様である。本実施例における中継装置22は、図15の上記実施形態における中継装置22と同様の構成を有するが、本実施例と図15の上記実施例とは、中継装置22における動作が異なる。
Example 3
In this example, the operation will be described using a specific example of the network system shown in the embodiment shown in FIG. 5, FIG. 6, FIG. 9, and FIG.
The configuration of the
以下、本実施例のネットワークシステム112の動作について説明する。
図18および図19は、本実施例におけるネットワークシステム112のDHCPによるIPアドレス取得の動作を示したシーケンス図である。図18は、端末AがドメインAのIPアドレスを取得できる場合、図19、は端末AがドメインAのIPアドレスを取得できない場合を、それぞれ示している。
Hereinafter, the operation of the
FIG. 18 and FIG. 19 are sequence diagrams showing the IP address acquisition operation by DHCP of the
まず、図6、図15、および図18を用いて、端末AがドメインAのIPアドレスを取得するシーケンスについて詳細に説明する。
まず、端末Aが、DHCP DISCOVERを送出する(シーケンス1201)。中継装置22は、当該フレームを受信すると、DHCP DISCOVERメッセージなので、ポート管理テーブル13に、端末AのMACアドレスM60aを登録し(シーケンス1202)、該当する端末側ポート14aおよびすべてのネットワーク側ポート14bのDHCP状態を“DISCOVER”に更新したうえで、プライマリDHCPサーバが存在するネットワーク72aのみにブロードキャストする(シーケンス1203)。
First, the sequence in which terminal A obtains the IP address of domain A will be described in detail with reference to FIGS. 6, 15, and 18.
First, terminal A sends out DHCP DISCOVER (sequence 1201). When the
そして、DHCPサーバ32aは当該フレームを受信すると、送信元である端末Aが登録されていることから、アドレスプールからIPアドレスを選択し、DHCP OFFERとして送信する(シーケンス1204)。中継装置22は、当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“DISCOVER”となっている、端末Aならびにネットワーク72aのDHCP状態を“DISCOVER”から“OFFER”に更新(シーケンス1205)し、受信したフレームを端末Aのポートに転送する(シーケンス1206)。このとき、ネットワーク72bのDHCP状態はリセットされる。
When receiving the frame, the
なお、図18のシーケンス1207〜1212の動作は、図16の実施形態におけるシーケンス1110〜1115の動作と同様であるので詳細な説明は省略する。
すなわち、端末Aは当該フレーム(DHCP ACK)を受信する(シーケンス1212)と、その情報をもとにIPアドレスおよびネットワーク設定を行う。
The operations of the
That is, when terminal A receives the frame (DHCP ACK) (sequence 1212), it performs IP address and network setting based on the information.
次に、図19を用いて、端末Aが、ドメインAのIPアドレスを取得できない結果、ドメインBのIPアドレスを取得するシーケンスについて詳細に説明する。なお、シーケンス1201〜1203までは、上述の図18のシーケンスと同様であるため詳細な説明は省略する。
Next, with reference to FIG. 19, the sequence in which the terminal A acquires the IP address of the domain B as a result of not being able to acquire the IP address of the domain A will be described in detail. Note that
DHCPサーバ32aはDHCP DISCOVERを受信しても、端末Aが登録されていないため、DHCP OFFERを送信しない。よって、シーケンス1203から一定時間経過後、中継装置22はセカンダリDHCPサーバが存在するネットワーク72bにDHCP DISCOVERをブロードキャストする(シーケンス1221)。
Even if the
DHCPサーバ32bは当該フレームを受信すると、アドレスプールからIPアドレスを選択し、DHCP OFFERとして送信する(シーケンス1222)。中継装置22は当該フレームを受信すると、DHCPメッセージなので、ポート管理テーブル13のDHCP状態が“DISCOVER”となっている、端末Aならびにネットワーク72bのDHCP状態を“DISCOVER”から“OFFER”に更新(シーケンス1223)し、受信したフレームを端末Aのポートに転送する(シーケンス1224)。このとき、ネットワーク72aのDHCP状態はリセットされる。
When receiving the frame, the
シーケンス1225〜1230の動作は、図18におけるシーケンス1207〜1212の動作と同様である。
すなわち、端末Aは当該フレーム(DHCP ACK)を受信する(シーケンス1230)と、その情報をもとにIPアドレスおよびネットワーク設定を行う。
The operations of
That is, when terminal A receives the frame (DHCP ACK) (sequence 1230), it performs IP address and network setting based on the information.
(実施例4)
本実施例では、本実施形態の中継装置を拡張した、アドレス変換装置を用いた構成を例として、その構成および動作について説明する。
図20は、本実施例におけるネットワークシステム114の構成を示すブロック図である。
Example 4
In the present embodiment, the configuration and operation will be described by taking as an example a configuration using an address translation device that is an extension of the relay device of the present embodiment.
FIG. 20 is a block diagram showing the configuration of the
本実施例で示すアドレス変換装置24は、上記実施例の中継装置が備える機能に加え、アドレス変換機能をさらに備えており、アドレス変換装置24の端末側ポート14e、14f、14gに接続される端末にIPアドレスを割り当てることができる。本実施例に示すアドレス変換装置24を用いることの利点は、本発明の目的を達成し、かつ単一のネットワークドメインにて運用されているネットワークシステム114においても容易に導入できる点である。
The
本実施例におけるネットワークシステム114は、アドレス変換装置24と、ルータ54と、DHCPサーバ34と、共有サーバ44と、インターネット75と、端末60と、ネットワーク74と、を有する。アドレス変換装置24、ルータ54、DHCPサーバ34、および共有サーバ44は、ネットワーク74を介して接続されている。端末60は、アドレス変換装置24を介してネットワーク74に接続できる。また、ネットワーク74は、ルータ54を介してインターネット75に接続できる。
The
ネットワーク74は、ドメインAに属する。アドレス変換装置24のネットワーク74側インターフェース、ルータ54、DHCPサーバ34、および共有サーバ44は、ドメインAのIPアドレスを持ち、DHCPサーバ34は、ドメインAのアドレスプールを管理する。
The
図21は、本実施例におけるアドレス変換装置24の構成を示す機能ブロック図である。
本実施例のネットワークシステム114において、中継装置は、メッセージ監視部、転送部およびポート管理テーブルからはアドレス付与サーバ(DHCPサーバ34)のひとつとして認識され、DHCPサーバ34とは異なるネットワークドメインのIPアドレスを管理し、要求に応じIPアドレスを付与すると同時にデフォルトゲートウェイをアドレス変換部124に設定するアドレス付与部126と、アドレス付与部126がネットワークアドレスを割り当てた端末60と、ネットワーク74に接続された装置との間でNATもしくはNAPT動作を行うアドレス変換部124と、受信したフレームの宛先MACアドレスをもとにフレームを転送するスイッチ部122(図では「スイッチ」)と、をさらに備える。
FIG. 21 is a functional block diagram showing the configuration of the
In the
具体的には、アドレス変換装置24は、中継装置部120と、ポート14と、アドレス変換部124と、アドレス付与部126と、スイッチ部122と、を有する。
Specifically, the
ポート14は、端末側ポート14e、14f、14gと、ネットワーク側ポート14hを有する。中継装置部120のネットワーク側ポートは、アドレス変換部124とスイッチ部122に接続される。アドレス変換部124は、WAN側とLAN側の2つのインターフェースを持ち、LAN側インターフェースは中継装置部120へ、WAN側インターフェースはスイッチ部122、ネットワーク側ポート14hを介してネットワーク74へ接続される。アドレス変換装置24のネットワーク74側インターフェースのIPアドレスは、機能上、アドレス変換部124のWAN側インターフェースに割り当てられる。
The port 14 includes terminal-
中継装置部120は、図6に示した上記実施の形態における中継装置10と同様の構成を有し、同様の動作を行う。以下、中継装置部120は、図7および図8に示した上記実施の形態の中継装置10の動作を行うものとして説明するが、図9および図10に示した上記実施の形態の中継装置10の動作を行うものであっても同様に実現できる。
The
アドレス変換部124は、NAT(Network Address Translation)動作もしくはNAPT(Network Address and Port Translation)動作を行う。NAT動作およびNAPT動作の詳細は当業者には広く知られていることから、説明を省略する。また、以下の説明では、アドレス変換部124はNAPT動作を行うものとする。
The
アドレス付与部126は、DHCP機能を有し、ドメインBのアドレスプールを管理する。機能上、アドレス変換部124のLAN側インターフェースには、ドメインBのIPアドレスが割り当てられ、ドメインBを割り当てられた端末のデフォルトゲートウェイとして設定される。また、アドレス付与部126も同様に、ドメインBのIPアドレスが割り当てられる。
The
このように構成された本実施例のネットワークシステム114の動作について、以下に説明する。
図22は、本実施例のネットワークシステム114のIPアドレス取得の動作の一例を示すシーケンス図である。
The operation of the
FIG. 22 is a sequence diagram illustrating an example of an IP address acquisition operation of the
図22に示したネットワークシステム114におけるIPアドレス取得シーケンスは、図15および図16に示した上記実施例のネットワークシステム114におけるIPアドレス取得シーケンスと同様である。すなわち、図15の上記実施例におけるプライマリDHCPサーバ32aが、本実施例におけるDHCPサーバ34、図15の上記実施例におけるセカンダリDHCPサーバ32bが、本実施例におけるアドレス変換部124に相当する。
すなわち、本実施例のアドレス変換装置24において、アドレス付与部126の優先度は最も低く設定される。
The IP address acquisition sequence in the
That is, in the
以下、図20乃至図22を用いて説明する。
図22に示すように、端末BはドメインBの、端末CはドメインAのIPアドレスをそれぞれ取得している。共有サーバ44にはドメインAのIPアドレスが割り当てられる。また、アドレス変換装置24におけるアドレス変換部124において、LAN側インターフェースにはドメインBのIPアドレス、およびWAN側インターフェースにはドメインAのIPアドレスがそれぞれ割り当てられる。
This will be described below with reference to FIGS.
As shown in FIG. 22, terminal B has acquired the IP address of domain B, and terminal C has acquired the IP address of domain A. The shared
図22に示すように、まず、端末Cから共有サーバ44宛のフレームを送出する(シーケンス1301)場合、宛先MACアドレスは共有サーバ44のMACアドレスM40となる(シーケンス1321)。当該フレームは、アドレス変換装置24の中継装置部120にて受信される。アドレス変換装置24の中継装置部120において、宛先MACアドレスを参照し、当該フレームを、スイッチ部122を介してネットワーク74に転送する(シーケンス1302)。当該フレームは、ネットワーク74上の共有サーバ44にて受信される。
As shown in FIG. 22, when a frame addressed to the shared
一方、端末Bから共有サーバ44宛のフレームを送出する(シーケンス1311)場合、端末Bは共有サーバ44と異なるネットワークドメインに属するため、宛先MACアドレスはデフォルトゲートウェイであるアドレス変換部124のMACアドレスL_NTとなる(シーケンス1322)。当該フレームは、アドレス変換装置24の中継装置部120にて受信される。アドレス変換装置24の中継装置部120において、宛先MACアドレスを参照し、当該フレームをアドレス変換部124に転送する(シーケンス1312)。
On the other hand, when the frame addressed to the shared
アドレス変換部124では、NAPT動作を行い、送信元のドメインBのIPアドレスを、アドレス変換部124のWAN側インターフェースのドメインAのIPアドレスに変換する(シーケンス1323)。そして、当該フレームをスイッチ部122を介してネットワーク74に送信する(シーケンス1313)。当該フレームは、ネットワーク74上の共有サーバ44にて受信される。
The
図22に示したように、ドメインBのIPアドレスを割り振られた端末が、ドメインAに属する装置にアクセスする場合、送信元IPアドレスはアドレス変換装置24のネットワーク側ポートとなる。すなわち、アドレス変換装置24配下かつドメインBに属する端末は、ネットワーク74に接続する際に送信元IPアドレスを集約されることとなる。よって、ドメインBに属する端末からのアクセス権を制限する場合には、アドレス変換装置24配下の端末数に関係なく、アドレス変換装置24のネットワーク側ポートに割り当てられたIPアドレスのみを対象とすればよい。
As shown in FIG. 22, when a terminal to which an IP address of domain B is assigned accesses a device belonging to domain A, the transmission source IP address is a network side port of the
(実施例5)
図23は、本実施例のネットワークシステム116の構成を示すブロック図である。本実施例のネットワークシステム116は、図20の上記実施例のネットワークシステム114のアドレス変換装置24に替えて、仮想マシン(Virtual Machine、以下「VM」とする)実行端末80を備える。本実施例では、このVM実行端末80が備えるVM実行環境に、本発明を適用する構成および動作を示す。VM実行環境の一例としては、VMware(登録商標)やXen(登録商標)が知られている。
(Example 5)
FIG. 23 is a block diagram illustrating a configuration of the
具体的には、本実施例におけるネットワークシステム114は、VM実行端末80と、ルータ54と、DHCPサーバ34と、共有サーバ44と、インターネット75と、ネットワーク74と、を有する。VM実行端末80と、ルータ54と、DHCPサーバ34と、共有サーバ44と、は、ネットワーク74を介して接続されている。また、ネットワーク74は、ルータ54を介してインターネット75に接続できる。
Specifically, the
図24は、本実施例のVM実行端末80の構成を示す機能ブロック図である。VM実行端末80には、ホストOS89とゲストOS87が存在する。ホストOS89上のアプリケーションとしてVM実行環境88が動作する。VM実行環境88を仮想的なハードウェアとみなし、その上でゲストOS87が動作する。
FIG. 24 is a functional block diagram illustrating a configuration of the
本実施例に示すVM実行端末80を用いることの利点としては、ホストOS89とゲストOS87とで異なるアクセス権の共存を、自動でかつ容易に適用できる点である。
An advantage of using the
本実施例のネットワークシステム116は、VM実行端末80と、VM実行端末80とネットワーク接続されるDHCPサーバ34と、を備え、ネットワーク74上にDHCPサーバ34が複数存在し、かつ複数のDHCPサーバ34には優先度が設けられている。
VM実行端末80は、VM実行端末80上で動作するホストOS89のアプリケーションであるVM実行環境88を実現する。VM実行環境88は、中継装置部10yが備える手段と、VM実行環境88上で動作するゲストOS87のネットワークインターフェース85から送出されるパケットをそのままホストOS89のネットワークインターフェース86を介しネットワーク74に送出するVMブリッジ部82と、中継装置部10yが備える手段からはDHCPサーバ34のひとつとして認識され、DHCPサーバ34とは異なるネットワークドメインのIPアドレスを管理し、要求に応じIPアドレスを付与すると同時にデフォルトゲートウェイをVMアドレス変換部83に設定するVMアドレス付与部84と、ゲストOS87のネットワークインターフェース85から送出されるパケットをNATもしくはNAPT処理し、パケットをホストOS89のネットワークインターフェース86を介してネットワーク74に送出するVMアドレス変換部83と、を実現する。
VM実行環境88は、ゲストOS87がDHCPサーバ34からIPアドレスを取得できる場合は、ゲストOS87のネットワークインターフェース85から送出されるデータをVMブリッジ部82を介してネットワーク74に送出し、ゲストOS87がDHCPサーバ34からIPアドレスを取得できない場合は、VMアドレス付与部84がゲストOS87のIPアドレスを付与し、ゲストOS87のネットワークインターフェース85から送出されるデータをVMアドレス変換部83を介してネットワーク74に送出する。
The
The
When the
図23において、ネットワーク74は、ドメインAに属する。VM実行端末80のホストOS89(図24)、ルータ54、DHCPサーバ34、共有サーバ44はドメインAのIPアドレスを持ち、DHCPサーバ34はドメインAのアドレスプールを管理する。
In FIG. 23, the
VM実行端末80のホストOS89とゲストOS87(図24)との論理ネットワーク接続としては、ブリッジ接続、アドレス変換接続などが知られている。
As a logical network connection between the host OS 89 of the
ブリッジ接続は、ホストOS89とゲストOS87(図24)とが同一のネットワークドメインに属する接続のひとつである。ゲストOS87(図24)のIPアドレスは、VM実行環境88(図24)上のブリッジインターフェース、VM実行端末80のNIC(Network Interface Card)を介して、DHCPサーバ34から取得する。
The bridge connection is one of connections in which the host OS 89 and the guest OS 87 (FIG. 24) belong to the same network domain. The IP address of the guest OS 87 (FIG. 24) is acquired from the
アドレス変換接続は、VM実行端末80のホストOS89とゲストOS87(図24)が別のネットワークドメインに属する接続のひとつである。ゲストOS87(図24)がネットワーク74に接続するときに、パケットの送信元アドレスは、ホストOS89(図24)のIPアドレスにNATもしくはNAPT変換される。ゲストOS87(図24)のIPアドレスは、後述するVM実行環境88(図24)上のVMアドレス変換部83(図24)にて割り当てられる。
The address translation connection is one of connections in which the host OS 89 and guest OS 87 (FIG. 24) of the
図24に示すように、VM実行端末80は、中継装置部10yと、仮想インターフェース81と、VMブリッジ部82と、VMアドレス変換部83と、VMアドレス付与部84と、ネットワークインターフェース85、86からなる。なお、図24ではゲストOS87が1つのときの構成を示しているが、ゲストOS87が複数存在しても本発明の実現に問題はない。
As shown in FIG. 24, the
中継装置部10yは、図6に示した上記実施の形態における中継装置10と同様の構成を有し、同様の動作を行う。以下、中継装置部10yは、図7および図8に示した上記実施の形態における中継装置10の動作を行うものとして説明するが、図9および図10に示した上記実施の形態における中継装置10の動作を行うものであっても同様に実現できる。
The
VMブリッジ部82は、ホストOS89とゲストOS87の各ネットワークインターフェース85、86の間に仮想的に接続され、論理ネットワーク上でのブリッジ動作を行う。
The
VMアドレス変換部83は、ホストOS89とゲストOS87の各ネットワークインターフェース85、86の間に仮想的に接続され、論理ネットワーク上でNAT動作もしくはNAPT動作を行う。機能上、VMアドレス変換部83のLAN側インターフェースには、ドメインBのIPアドレスが割り当てられ、ドメインBを割り当てられたゲストOS87のデフォルトゲートウェイとして設定される。以下の説明では、VMアドレス変換部83はNAPT動作を行うものとする。
The VM
VMアドレス付与部84は、DHCP機能を有し、ドメインBのアドレスプールを管理する。
ネットワークインターフェース85、86は、OSからみたときに外部ネットワークへ接続するためのインターフェースである。ネットワークインターフェース85はゲストOS87が、ネットワークインターフェース86はホストOS89が、それぞれ有する。
仮想インターフェース81は、VM実行環境88上の機能であり、ゲストOS87のネットワークインターフェース85とフレーム交換を行う。
The VM address assigning unit 84 has a DHCP function and manages the domain B address pool.
The network interfaces 85 and 86 are interfaces for connecting to an external network when viewed from the OS. The
The
本実施例のネットワークシステム114における動作は、図22に示した上記実施例のネットワークシステム114における動作と同様である。すなわち、図20および図21の上記実施例におけるアドレス変換装置24、アドレス変換部124、アドレス付与部126、スイッチ部122、ポート14e〜14g、端末60が、図24の本実施例におけるVM実行端末80のVM実行環境88、VMアドレス変換部83、VMアドレス付与部84、VMブリッジ部82、仮想インターフェース81、ゲストOS87に、それぞれ相当する。
The operation in the
なお、本実施形態において、中継装置部10yが備える各ユニットにおいて、VMアドレス付与部84の優先度は最も低く設定される。
In the present embodiment, the priority of the VM address assigning unit 84 is set to the lowest in each unit included in the
以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。 Although the present invention has been described with reference to the embodiments and examples, the present invention is not limited to the above embodiments and examples. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.
1 中継装置
3 DHCPサーバ
6 端末
7 ネットワーク
10 中継装置
10y 中継装置部
11 メッセージ監視部
12 転送部
13 ポート管理テーブル
14 ポート
15 バッファ
16 ヘッダ監視部
17 スイッチ部
19 中継装置
20 中継装置
22 中継装置
24 アドレス変換装置
30 DHCPサーバ
34 DHCPサーバ
40 共有サーバ
44 共有サーバ
50 ルータ
52 ルータ
54 ルータ
60 端末
70 ネットワーク
72 ネットワーク
74 ネットワーク
75 インターネット
80 VM実行端末
81 仮想インターフェース
82 VMブリッジ部
83 VMアドレス変換部
84 VMアドレス付与部
85 ネットワークインターフェース
86 ネットワークインターフェース
88 VM実行環境
100 ネットワークシステム
101 ネットワークシステム
110 ネットワークシステム
112 ネットワークシステム
114 ネットワークシステム
116 ネットワークシステム
120 中継装置部
122 スイッチ部
124 アドレス変換部
126 アドレス付与部
87 ゲストOS
89 ホストOS
DESCRIPTION OF
89 Host OS
Claims (28)
ネットワーク上の前記通信端末に動的に割り当てられるIP(Internet Protocol)アドレスを管理し、前記通信端末からの要求に応じて当該通信端末に前記IPアドレスを割り当てて付与するアドレス付与サーバと、
前記通信端末と前記アドレス付与サーバとの間に配置されネットワーク接続される中継装置と、を備え、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記中継装置は、
前記通信端末と前記アドレス付与サーバとの間で交換されるIPアドレス取得メッセージをもとに、ブロードキャストフレームの転送範囲を決定し、
複数の前記アドレス付与サーバのうち、前記通信端末からのアドレス付与サーバ検索メッセージに応答を返す最も優先度の高い前記アドレス付与サーバの応答のみを、前記通信端末に転送するネットワークシステム。 A communication terminal;
Managing an IP (Internet Protocol) address dynamically assigned to the communication terminal on the network, and assigning and assigning the IP address to the communication terminal in response to a request from the communication terminal;
A relay device arranged between the communication terminal and the address assignment server and connected to the network,
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
The relay device is
Based on the IP address acquisition message exchanged between the communication terminal and the address assignment server, determine the transfer range of the broadcast frame,
A network system for transferring, to the communication terminal, only the response of the address assignment server having the highest priority that returns a response to an address assignment server search message from the communication terminal among the plurality of address assignment servers.
前記ブロードキャストフレームの転送範囲は、前記通信端末に付与されたIPアドレスと同一のネットワークドメインに属するネットワークのみに限定されるネットワークシステム。 The network system according to claim 1,
A network system in which a transfer range of the broadcast frame is limited only to a network belonging to the same network domain as an IP address assigned to the communication terminal.
前記中継装置は、
前記ネットワーク上の前記通信端末と接続する複数のポートと、
前記ポートのIDごとに、MACアドレスおよびネットワークドメイン情報を記憶するポート管理テーブルと、
受信したフレームのメッセージを確認し、前記フレームが前記IPアドレス取得メッセージに関するか否かを判断し、前記フレームが前記IPアドレス取得メッセージに関する場合は前記IPアドレス取得メッセージの内容を前記ポート管理テーブルに更新したのち、前記フレームを出力し、前記IPアドレス取得メッセージ以外の場合は、前記フレームをそのまま出力するメッセージ監視手段と、
前記メッセージ監視手段から入力したフレームの送信元および宛先アドレスを参照し、前記ポート管理テーブルに記録された前記MACアドレスおよび前記ネットワークドメイン情報をもとに前記フレームの転送範囲を決定し、前記転送範囲に従い前記フレームを転送する転送手段と、を備え、
前記メッセージ監視手段は、さらにバッファを含み、
前記メッセージ監視手段は、
前記アドレス付与サーバ検索メッセージを含むフレームを受信した場合には、すべての前記アドレス付与サーバに前記フレームを転送し、その後、
優先度が最も高い前記アドレス付与サーバ以外から応答フレームを受信した場合は、前記バッファを確認し、
・前記バッファ内に応答フレームがない場合、もしくは保存されている応答フレームの送信元アドレス付与サーバの優先度が前記受信した応答フレームの送信元アドレス付与サーバの優先度より低い場合は、前記保存されている応答フレームを破棄したうえで前記受信した応答フレームを保存し、
・保存されている応答フレームの送信元アドレス付与サーバの優先度が前記受信した応答フレームの送信元アドレス付与サーバの優先度より高い場合は、前記受信した応答フレームを破棄し、
優先度が最も高い前記アドレス付与サーバから応答フレームを受信した場合は、前記バッファ内の応答フレームを破棄して前記受信した応答フレームを前記転送手段に渡し、
前記バッファ内に応答フレームを保存してから一定時間以上経過した場合には、前記バッファ内の応答フレームを取得して前記転送手段に渡すネットワークシステム。 The network system according to claim 1 or 2,
The relay device is
A plurality of ports connected to the communication terminal on the network;
A port management table storing a MAC address and network domain information for each ID of the port;
Check the message of the received frame, determine whether the frame is related to the IP address acquisition message, and if the frame is related to the IP address acquisition message, update the contents of the IP address acquisition message in the port management table After that, when outputting the frame, and other than the IP address acquisition message, message monitoring means for outputting the frame as it is,
The frame transmission range is determined based on the MAC address and the network domain information recorded in the port management table with reference to the frame source and destination addresses input from the message monitoring means. Transfer means for transferring the frame according to
The message monitoring means further includes a buffer,
The message monitoring means includes:
If a frame containing the addressing server search message is received, transfer the frame to all the addressing servers, and then
If a response frame is received from other than the address assignment server with the highest priority, check the buffer,
If there is no response frame in the buffer, or the priority of the source address assignment server of the stored response frame is lower than the priority of the source address assignment server of the received response frame, the saved response frame The response frame received is discarded and the received response frame is saved,
If the priority of the source address assignment server of the stored response frame is higher than the priority of the source address assignment server of the received response frame, discard the received response frame;
If a response frame is received from the address assignment server having the highest priority, the response frame in the buffer is discarded and the received response frame is passed to the transfer means,
A network system for acquiring a response frame in the buffer and passing it to the transfer means when a predetermined time or more has elapsed since the response frame was stored in the buffer.
前記メッセージ監視手段はさらに、
前記アドレス付与サーバ検索メッセージを含むフレームを受信した場合は、優先度の最も高いアドレス付与サーバに前記フレームを送信して一定時間待ち、
前記一定時間以内に応答フレームを受信したら前記応答フレームを前記転送手段に渡し、
前記一定時間以内に応答フレームを受信しなかったら、次に優先度の高い前記アドレス付与サーバに前記フレームを送信して一定時間待ち、前記一定時間以内に応答フレームを受信するか該当するアドレス付与サーバがなくなるまで順次動作を繰り返すネットワークシステム。 The network system according to claim 3,
The message monitoring means further includes
If a frame containing the addressing server search message is received, send the frame to the highest priority addressing server and wait for a certain period of time,
If the response frame is received within the predetermined time, the response frame is passed to the transfer means,
If the response frame is not received within the predetermined time, the frame is transmitted to the next highest priority address assignment server, waits for a predetermined time, and the response frame is received within the predetermined time or the corresponding address assignment server A network system that repeats operations until there is no more.
前記中継装置は、
受信したフレームの宛先アドレスを参照し、前記ポート管理テーブルに記録されたMACアドレスをもとに前記フレームを転送するスイッチ手段と、
受信したフレームの宛先アドレスを参照し、ブロードキャストアドレスであった場合には前記フレームを前記メッセージ監視手段に渡し、ブロードキャストでなかった場合には前記フレームを前記スイッチ手段に渡すヘッダ監視手段と、
をさらに備えるネットワークシステム。 The network system according to claim 4, wherein
The relay device is
Switch means for referring to the destination address of the received frame and transferring the frame based on the MAC address recorded in the port management table;
Reference is made to the destination address of the received frame, and if it is a broadcast address, the frame is passed to the message monitoring means, and if it is not broadcast, the header monitoring means passes the frame to the switch means;
A network system further comprising:
前記中継装置は、
前記メッセージ監視手段、前記転送手段および前記ポート管理テーブルからは前記アドレス付与サーバのひとつとして認識され、前記アドレス付与サーバとは異なるネットワークドメインのIPアドレスを管理し、要求に応じ前記IPアドレスを付与すると同時にデフォルトゲートウェイを設定するアドレス付与手段と、
前記アドレス付与手段がネットワークアドレスを割り当てた端末と、前記ネットワークに接続された装置との間でNAT(Network Address Translation)もしくはNAPT(Network Address and Port Translation)動作を行うアドレス変換手段と、
受信したフレームの宛先MACアドレスをもとに前記フレームを転送するスイッチ手段と、をさらに備えるネットワークシステム。 The network system according to any one of claims 3 to 5,
The relay device is
It is recognized as one of the address assignment servers from the message monitoring means, the transfer means, and the port management table, manages an IP address of a network domain different from the address assignment server, and assigns the IP address in response to a request. Address assignment means for setting a default gateway at the same time;
Address conversion means for performing NAT (Network Address Translation) or NAPT (Network Address and Port Translation) operation between a terminal to which the address assigning means has assigned a network address and a device connected to the network;
Switch means for transferring the frame based on the destination MAC address of the received frame.
前記中継装置において、前記アドレス付与手段の優先度は最も低く設定されるネットワークシステム。 The network system according to claim 6,
In the relay device, a network system in which the priority of the address assigning means is set to the lowest.
前記アドレス付与サーバはDHCP(Domain Host Configuration Protocol)サーバであり、前記IPアドレス取得メッセージの交換はDHCPに基づくネットワークシステム。 The network system according to any one of claims 1 to 7,
The address assignment server is a DHCP (Domain Host Configuration Protocol) server, and the exchange of the IP address acquisition message is a network system based on DHCP.
前記仮想マシン実行端末とネットワーク接続されるアドレス付与サーバと、を備え、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記仮想マシン実行端末は、
前記仮想マシン実行端末上で動作するホストOSのアプリケーションである仮想マシン実行環境を実現する手段を備え、
前記仮想マシン実行環境は、
請求項1乃至5いずれかに記載の中継装置が備える手段と、
前記仮想マシン実行環境上で動作するゲストOSのネットワークインターフェースから送出されるパケットをそのまま前記ホストOSのネットワークインターフェースを介し前記ネットワークに送出する仮想マシンブリッジ手段と、
前記中継装置が備える手段からは前記アドレス付与サーバのひとつとして認識され、前記アドレス付与サーバとは異なるネットワークドメインのIPアドレスを管理し、要求に応じ前記IPアドレスを付与すると同時にデフォルトゲートウェイを設定する仮想マシンアドレス付与手段と、
前記ゲストOSのネットワークインターフェースから送出されるパケットをNATもしくはNAPT処理し、前記パケットを前記ホストOSのネットワークインターフェースを介して前記ネットワークに送出する仮想マシンアドレス変換手段と、を実現し、
前記仮想マシン実行環境を実現する手段は、
前記ゲストOSが前記アドレス付与サーバからIPアドレスを取得できる場合は、前記ゲストOSのネットワークインターフェースから送出されるデータを仮想マシンブリッジ手段を介して前記ネットワークに送出し、
前記ゲストOSが前記アドレス付与サーバからIPアドレスを取得できない場合は、前記仮想マシンアドレス付与手段が前記ゲストOSのIPアドレスを付与し、前記ゲストOSのネットワークインターフェースから送出されるデータを仮想マシンアドレス変換手段を介して前記ネットワークに送出するネットワークシステム。 A virtual machine execution terminal;
An address assignment server connected to the virtual machine execution terminal via a network,
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
The virtual machine execution terminal is
Means for realizing a virtual machine execution environment which is an application of a host OS operating on the virtual machine execution terminal;
The virtual machine execution environment is:
Means provided in the relay device according to any one of claims 1 to 5,
Virtual machine bridge means for sending a packet sent from the network interface of the guest OS operating on the virtual machine execution environment to the network as it is through the network interface of the host OS;
A virtual device that is recognized as one of the address assignment servers by the means included in the relay device, manages an IP address of a network domain different from the address assignment server, and assigns the IP address according to a request and simultaneously sets a default gateway A machine address assigning means;
A virtual machine address conversion unit that performs NAT or NAPT processing on a packet sent from the network interface of the guest OS, and sends the packet to the network via the network interface of the host OS;
Means for realizing the virtual machine execution environment includes:
When the guest OS can obtain an IP address from the address assignment server, the data sent from the network interface of the guest OS is sent to the network via the virtual machine bridge means,
If the guest OS cannot obtain an IP address from the address assigning server, the virtual machine address assigning means assigns the IP address of the guest OS and converts the data sent from the network interface of the guest OS to a virtual machine address A network system for sending to the network via means.
前記中継装置が備える前記手段において、前記仮想マシンアドレス付与手段の優先度は最も低く設定されるネットワークシステム。 The network system according to claim 9, wherein
The network system in which, in the means included in the relay device, the priority of the virtual machine address assigning means is set to the lowest.
前記アドレス付与サーバはDHCPサーバであり、前記仮想マシンアドレス付与手段はDHCPに基づいて動作するネットワークシステム。 The network system according to claim 9 or 10,
The address assignment server is a DHCP server, and the virtual machine address assignment means operates based on DHCP.
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記通信端末と前記アドレス付与サーバとの間で交換されるIPアドレス取得メッセージをもとに、ブロードキャストフレームの転送範囲を決定し、
複数の前記アドレス付与サーバのうち、前記通信端末からのアドレス付与サーバ検索メッセージに応答を返す最も優先度の高い前記アドレス付与サーバの応答のみを、前記通信端末に転送する中継装置。 Network-connected to a communication terminal and an address assignment server that manages an IP address dynamically assigned to the communication terminal on the network and assigns and assigns the IP address to the communication terminal according to a request,
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
Based on the IP address acquisition message exchanged between the communication terminal and the address assignment server, determine the transfer range of the broadcast frame,
A relay device that transfers only the response of the highest priority addressing server that returns a response to the addressing server search message from the communication terminal to the communication terminal among the plurality of addressing servers.
前記ブロードキャストフレームの転送範囲を、前記通信端末に付与されたIPアドレスと同一のネットワークドメインに属するネットワークのみに限定する中継装置。 The relay device according to claim 12,
A relay device that limits a transfer range of the broadcast frame only to networks belonging to the same network domain as an IP address assigned to the communication terminal.
前記ネットワーク上の前記通信端末と接続する複数のポートと、
前記ポートのIDごとに、MACアドレスおよびネットワークドメイン情報を記憶するポート管理テーブルと、
受信したフレームのメッセージを確認し、前記フレームが前記IPアドレス取得メッセージに関するか否かを判断し、前記フレームが前記IPアドレス取得メッセージに関する場合は前記IPアドレス取得メッセージの内容を前記ポート管理テーブルに更新したのち、前記フレームを出力し、前記IPアドレス取得メッセージ以外の場合は、前記フレームをそのまま出力するメッセージ監視手段と、
前記メッセージ監視手段から入力したフレームの送信元および宛先アドレスを参照し、前記ポート管理テーブルに記録された前記MACアドレスおよび前記ネットワークドメイン情報をもとに前記フレームの転送範囲を決定し、前記転送範囲に従い前記フレームを転送する転送手段と、を備え、
前記メッセージ監視手段は、さらにバッファを含み、
前記メッセージ監視手段は、
前記アドレス付与サーバ検索メッセージを含むフレームを受信した場合には、すべての前記アドレス付与サーバに前記フレームを転送し、その後、
優先度が最も高い前記アドレス付与サーバ以外から応答フレームを受信した場合は、前記バッファを確認し、
・前記バッファ内に応答フレームがない場合、もしくは保存されている応答フレームの送信元アドレス付与サーバの優先度が前記受信した応答フレームの送信元アドレス付与サーバの優先度より低い場合は、前記保存されている応答フレームを破棄したうえで前記受信した応答フレームを保存し、
・保存されている応答フレームの送信元アドレス付与サーバの優先度が前記受信した応答フレームの送信元アドレス付与サーバの優先度より高い場合は、前記受信した応答フレームを破棄し、
優先度が最も高い前記アドレス付与サーバから応答フレームを受信した場合は、前記バッファ内の応答フレームを破棄して前記受信した応答フレームを前記転送手段に渡し、
前記バッファ内に応答フレームを保存してから一定時間以上経過した場合には、前記バッファ内の応答フレームを取得して前記転送手段に渡す中継装置。 The relay device according to claim 12 or 13,
A plurality of ports connected to the communication terminal on the network;
A port management table storing a MAC address and network domain information for each ID of the port;
Check the message of the received frame, determine whether the frame is related to the IP address acquisition message, and if the frame is related to the IP address acquisition message, update the contents of the IP address acquisition message in the port management table After that, when outputting the frame, and other than the IP address acquisition message, message monitoring means for outputting the frame as it is,
The frame transmission range is determined based on the MAC address and the network domain information recorded in the port management table with reference to the frame source and destination addresses input from the message monitoring means. Transfer means for transferring the frame according to
The message monitoring means further includes a buffer,
The message monitoring means includes:
If a frame containing the addressing server search message is received, transfer the frame to all the addressing servers, then
If a response frame is received from other than the address assignment server with the highest priority, check the buffer,
If there is no response frame in the buffer, or if the priority of the source address assignment server of the stored response frame is lower than the priority of the source address assignment server of the received response frame, the saved response frame The response frame received is discarded and the received response frame is saved,
If the priority of the source address assignment server of the stored response frame is higher than the priority of the source address assignment server of the received response frame, discard the received response frame;
If a response frame is received from the address assignment server having the highest priority, the response frame in the buffer is discarded and the received response frame is passed to the transfer means,
A relay device that acquires a response frame in the buffer and passes it to the transfer means when a predetermined time or more has elapsed since the response frame was stored in the buffer.
前記メッセージ監視手段はさらに、
前記アドレス付与サーバ検索メッセージを含むフレームを受信した場合は、優先度の最も高いアドレス付与サーバに前記フレームを送信して一定時間待ち、
前記一定時間以内に応答フレームを受信したら前記応答フレームを前記転送手段に渡し、
前記一定時間以内に応答フレームを受信しなかったら、次に優先度の高い前記アドレス付与サーバに前記フレームを送信して一定時間待ち、前記一定時間以内に応答フレームを受信するか該当するアドレス付与サーバがなくなるまで順次動作を繰り返す中継装置。 The relay device according to claim 14,
The message monitoring means further includes
If a frame containing the addressing server search message is received, send the frame to the highest priority addressing server and wait for a certain period of time,
If the response frame is received within the predetermined time, the response frame is passed to the transfer means,
If the response frame is not received within the predetermined time, the frame is transmitted to the next highest priority address assignment server, waits for a predetermined time, and the response frame is received within the predetermined time or the corresponding address assignment server A repeater that repeats the operation until there is no more.
受信したフレームの宛先アドレスを参照し、前記ポート管理テーブルに記録されたMACアドレスをもとに前記フレームを転送するスイッチ手段と、
受信したフレームの宛先アドレスを参照し、ブロードキャストアドレスであった場合には前記フレームを前記メッセージ監視手段に渡し、ブロードキャストでなかった場合には前記フレームを前記スイッチ手段に渡すヘッダ監視手段と、をさらに備える中継装置。 The relay device according to claim 15,
Switch means for referring to the destination address of the received frame and transferring the frame based on the MAC address recorded in the port management table;
A header monitoring unit that refers to the destination address of the received frame, passes the frame to the message monitoring unit if it is a broadcast address, and passes the frame to the switch unit if it is not broadcast; A relay device provided.
前記メッセージ監視手段、前記転送手段および前記ポート管理テーブルからは前記アドレス付与サーバのひとつとして認識され、前記アドレス付与サーバとは異なるネットワークドメインのIPアドレスを管理し、要求に応じ前記IPアドレスを付与すると同時にデフォルトゲートウェイを設定するアドレス付与手段と、
前記アドレス付与手段が前記IPアドレスを割り当てた端末と、前記ネットワークに接続された装置との間でNATもしくはNAPT動作を行うアドレス変換手段と、
受信したフレームの宛先MACアドレスをもとに前記フレームを転送するスイッチ手段と、をさらに備える中継装置。 The relay device according to any one of claims 12 to 16,
It is recognized as one of the address assignment servers from the message monitoring means, the transfer means, and the port management table, manages an IP address of a network domain different from the address assignment server, and assigns the IP address in response to a request. Address assignment means for setting a default gateway at the same time;
Address conversion means for performing NAT or NAPT operation between a terminal to which the address assigning means has assigned the IP address and a device connected to the network;
And a switching unit that transfers the frame based on a destination MAC address of the received frame.
前記メッセージ監視手段において、前記アドレス付与手段の優先度は最も低く設定される中継装置。 The relay device according to claim 17,
In the message monitoring unit, a relay apparatus in which the priority of the address assigning unit is set to the lowest.
前記アドレス付与サーバはDHCPサーバであり、前記アドレス付与手段はDHCPに基づいて動作し、前記IPアドレス取得メッセージの交換はDHCPに基づく中継装置。 The relay device according to any one of claims 12 to 18,
The address assignment server is a DHCP server, the address assignment unit operates based on DHCP, and the exchange of the IP address acquisition message is a relay apparatus based on DHCP.
ホストOSのアプリケーションである仮想マシン実行環境を実現する手段を備え、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記仮想マシン実行環境は、
請求項12乃至16いずれかに記載の中継装置が備える手段と、
前記仮想マシン実行環境上で動作するゲストOSのネットワークインターフェースから送出されるパケットをそのまま前記ホストOSのネットワークインターフェースを介し前記ネットワークに送出する仮想マシンブリッジ手段と、
前記中継装置が備える手段からは前記アドレス付与サーバのひとつとして認識され、前記アドレス付与サーバとは異なるネットワークドメインのIPアドレスを管理し、要求に応じ前記IPアドレスを付与すると同時にデフォルトゲートウェイを設定する仮想マシンアドレス付与手段と、
前記ゲストOSのネットワークインターフェースから送出されるパケットをNATもしくはNAPT処理し、前記パケットを前記ホストOSのネットワークインターフェースを介して前記ネットワークに送出する仮想マシンアドレス変換手段と、を実現し、
前記仮想マシン実行環境を実現する手段は、
前記ゲストOSが前記アドレス付与サーバからIPアドレスを取得できる場合は、前記ゲストOSのネットワークインターフェースから送出されるデータを仮想マシンブリッジ手段を介して前記ネットワークに送出し、
前記ゲストOSが前記アドレス付与サーバからIPアドレスを取得できない場合は、前記仮想マシンアドレス付与手段が前記ゲストOSのIPアドレスを付与し、前記ゲストOSのネットワークインターフェースから送出されるデータを仮想マシンアドレス変換手段を介して前記ネットワークに送出する仮想マシン実行端末。 Network connection with the address assignment server
Means for realizing a virtual machine execution environment as an application of the host OS,
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
The virtual machine execution environment is:
Means provided in the relay device according to any one of claims 12 to 16,
Virtual machine bridge means for sending a packet sent from the network interface of the guest OS operating on the virtual machine execution environment to the network as it is through the network interface of the host OS;
A virtual device that is recognized as one of the address assignment servers by the means included in the relay device, manages an IP address of a network domain different from the address assignment server, and assigns the IP address according to a request and simultaneously sets a default gateway A machine address assigning means;
A virtual machine address conversion unit that performs NAT or NAPT processing on a packet sent from the network interface of the guest OS, and sends the packet to the network via the network interface of the host OS;
Means for realizing the virtual machine execution environment includes:
When the guest OS can obtain an IP address from the address assignment server, the data sent from the network interface of the guest OS is sent to the network via the virtual machine bridge means,
If the guest OS cannot obtain an IP address from the address assigning server, the virtual machine address assigning means assigns the IP address of the guest OS and converts the data sent from the network interface of the guest OS to a virtual machine address A virtual machine execution terminal for sending to the network via means.
前記中継装置が備える前記手段において、前記仮想マシンアドレス付与手段の優先度は最も低く設定される仮想マシン実行端末。 The virtual machine execution terminal according to claim 20,
The virtual machine execution terminal in which the priority of the virtual machine address assigning means is set to the lowest in the means provided in the relay device.
前記アドレス付与サーバはDHCPサーバであり、前記仮想マシンアドレス付与手段はDHCPに基づいて動作し、前記IPアドレス取得メッセージの交換はDHCPに基づく仮想マシン実行端末。 In the virtual machine execution terminal according to claim 20 or 21,
The address assignment server is a DHCP server, the virtual machine address assignment means operates based on DHCP, and the exchange of the IP address acquisition message is a virtual machine execution terminal based on DHCP.
ネットワーク上の通信端末に動的に割り当てられるIPアドレスを管理し、前記通信端末からの要求に応じ前記IPアドレスを割り当てて付与するアドレス付与サーバと、
前記通信端末と前記アドレス付与サーバとの間に配置されネットワーク接続される中継装置と、を備えたネットワークを制御し、
前記ネットワーク上に前記アドレス付与サーバが複数存在し、かつ複数の前記アドレス付与サーバには優先度が設けられており、
前記中継装置が、
前記通信端末と前記アドレス付与サーバとの間で交換されるIPアドレス取得メッセージをもとに、ブロードキャストフレームの転送範囲を決定し、
複数の前記アドレス付与サーバのうち、前記通信端末からのアドレス付与サーバ検索メッセージに応答を返す最も優先度の高い前記アドレス付与サーバの応答のみを、前記通信端末に転送するネットワーク制御方法。 A communication terminal;
An IP address assignment server that manages an IP address dynamically assigned to a communication terminal on a network, and assigns and assigns the IP address in response to a request from the communication terminal;
Controlling a network including a relay device arranged between the communication terminal and the address assignment server and connected to the network;
There are a plurality of the address assignment servers on the network, and a plurality of the address assignment servers are provided with a priority,
The relay device is
Based on the IP address acquisition message exchanged between the communication terminal and the address assignment server, determine the transfer range of the broadcast frame,
A network control method for transferring, to the communication terminal, only a response from the address assignment server having the highest priority that returns a response to an address assignment server search message from the communication terminal among the plurality of address assignment servers.
前記ブロードキャストフレームの転送範囲を、前記通信端末に付与されたIPアドレスと同一のネットワークドメインに属するネットワークのみに限定するネットワーク制御方法。 The network control method according to claim 23, wherein
A network control method for limiting a transfer range of the broadcast frame to only networks belonging to the same network domain as an IP address assigned to the communication terminal.
前記中継装置は、
前記ネットワーク上の前記通信端末と接続する複数のポートと、
前記ポートのIDごとに、MACアドレスおよびネットワークドメイン情報を記憶するポート管理テーブルと、をさらに含み、
前記中継装置が、受信したフレームのメッセージを確認し、前記フレームが前記IPアドレス取得メッセージに関するか否かを判断し、前記フレームが前記IPアドレス取得メッセージに関する場合は前記IPアドレス取得メッセージの内容を前記ポート管理テーブルに更新したのち、前記フレームを出力し、前記IPアドレス取得メッセージ以外の場合は、前記フレームをそのまま出力するメッセージ監視手順と、
前記中継装置が、前記メッセージ監視手順において入力したフレームの送信元および宛先アドレスを参照し、前記ポート管理テーブルに記録された前記MACアドレスおよび前記ネットワークドメイン情報をもとに前記フレームの転送範囲を決定し、前記転送範囲に従い前記フレームを転送する転送手順と、を含み、
前記中継装置は、さらにバッファを含み、
前記メッセージ監視手順において、
前記アドレス付与サーバ検索メッセージを含むフレームを受信した場合には、すべての前記アドレス付与サーバに前記フレームを転送し、その後、
優先度が最も高い前記アドレス付与サーバ以外から応答フレームを受信した場合は、前記バッファを確認し、
・前記バッファ内に応答フレームがない場合、もしくは保存されている応答フレームの送信元アドレス付与サーバの優先度が前記受信した応答フレームの送信元アドレス付与サーバの優先度より低い場合は、前記保存されている応答フレームを破棄したうえで前記受信した応答フレームを保存し、
・保存されている応答フレームの送信元アドレス付与サーバの優先度が前記受信した応答フレームの送信元アドレス付与サーバの優先度より高い場合は、前記受信した応答フレームを破棄し、
優先度が最も高い前記アドレス付与サーバから応答フレームを受信した場合は、前記バッファ内の応答フレームを破棄して前記受信した応答フレームを前記転送手順に遷移し、
前記バッファ内に応答フレームを保存してから一定時間以上経過した場合には、前記バッファ内の応答フレームを取得して前記転送手順に遷移するネットワーク制御方法。 The network control method according to claim 23 or 24, wherein:
The relay device is
A plurality of ports connected to the communication terminal on the network;
A port management table storing a MAC address and network domain information for each port ID; and
The relay device confirms the message of the received frame, determines whether the frame is related to the IP address acquisition message, and if the frame is related to the IP address acquisition message, the content of the IP address acquisition message is A message monitoring procedure for outputting the frame after updating to the port management table, and outputting the frame as it is in cases other than the IP address acquisition message;
The relay device refers to the frame source and destination addresses input in the message monitoring procedure, and determines the frame transfer range based on the MAC address and the network domain information recorded in the port management table. And a transfer procedure for transferring the frame in accordance with the transfer range,
The relay device further includes a buffer,
In the message monitoring procedure,
If a frame containing the addressing server search message is received, transfer the frame to all the addressing servers, then
If a response frame is received from other than the address assignment server with the highest priority, check the buffer,
If there is no response frame in the buffer, or if the priority of the source address assignment server of the stored response frame is lower than the priority of the source address assignment server of the received response frame, the saved response frame The response frame received is discarded and the received response frame is saved,
If the priority of the source address assignment server of the stored response frame is higher than the priority of the source address assignment server of the received response frame, discard the received response frame;
When a response frame is received from the address assignment server having the highest priority, the response frame in the buffer is discarded and the received response frame is shifted to the transfer procedure,
A network control method for acquiring a response frame in the buffer and transitioning to the transfer procedure when a predetermined time or more has elapsed since the response frame was stored in the buffer.
前記メッセージ監視手順はさらに、
前記アドレス付与サーバ検索メッセージを含むフレームを受信した場合は、優先度の最も高いアドレス付与サーバに前記フレームを送信して一定時間待ち、
前記一定時間以内に応答フレームを受信したら前記転送手順に遷移し、
前記一定時間以内に応答フレームを受信しなかったら、次に優先度の高い前記アドレス付与サーバに前記フレームを送信して一定時間待ち、一定時間以内に応答フレームを受信するか該当するアドレス付与サーバがなくなるまで順次動作を繰り返すネットワーク制御方法。 The network control method according to claim 25,
The message monitoring procedure further includes:
If a frame containing the addressing server search message is received, send the frame to the highest priority addressing server and wait for a certain period of time,
If a response frame is received within the predetermined time, the process proceeds to the transfer procedure,
If a response frame is not received within the predetermined time, the frame is transmitted to the address assignment server having the next highest priority, waits for a predetermined time, and a response frame is received within a predetermined time. A network control method that repeats the operation until it runs out.
前記中継装置が、受信したフレームの宛先アドレスを参照し、前記ポート管理テーブルに記録されたMACアドレスをもとに前記フレームを転送するスイッチ手順と、
前記中継装置が、受信したフレームの宛先アドレスを参照し、ブロードキャストアドレスであった場合には前記メッセージ監視手順に遷移し、ブロードキャストでなかった場合には前記スイッチ手順に遷移するヘッダ監視手順と、をさらに含むネットワーク制御方法。 The network control method according to claim 26, wherein
A switching procedure in which the relay device refers to the destination address of the received frame and transfers the frame based on the MAC address recorded in the port management table;
The relay device refers to the destination address of the received frame, transitions to the message monitoring procedure if it is a broadcast address, and transitions to the switch procedure if it is not broadcast. A network control method further comprising:
前記アドレス付与サーバはDHCPサーバであり、前記IPアドレス取得メッセージの交換はDHCPに基づくネットワーク制御方法。 The network control method according to any one of claims 23 to 27,
The address assignment server is a DHCP server, and the exchange of the IP address acquisition message is a network control method based on DHCP.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009088207A JP2010239591A (en) | 2009-03-31 | 2009-03-31 | Network system, relay device, and method of controlling network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009088207A JP2010239591A (en) | 2009-03-31 | 2009-03-31 | Network system, relay device, and method of controlling network |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010239591A true JP2010239591A (en) | 2010-10-21 |
Family
ID=43093500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009088207A Pending JP2010239591A (en) | 2009-03-31 | 2009-03-31 | Network system, relay device, and method of controlling network |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010239591A (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011203887A (en) * | 2010-03-25 | 2011-10-13 | Nomura Research Institute Ltd | Virtual environment data transfer system and virtual environment data transfer device |
JP2014053004A (en) * | 2012-09-04 | 2014-03-20 | Alexeo Corp | System and method for protecting terminals on dynamically configured network |
EP3264677A1 (en) * | 2016-06-30 | 2018-01-03 | Thomson Licensing | Method and device for processing, at a network equipment, a processing request from a terminal |
JP2018152683A (en) * | 2017-03-10 | 2018-09-27 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Grouping device, communication system, communication method, and program |
CN113132498A (en) * | 2019-12-30 | 2021-07-16 | 中兴通讯股份有限公司 | Message processing method, relay equipment, system and storage medium |
CN114520965A (en) * | 2020-11-19 | 2022-05-20 | 瑞昱半导体股份有限公司 | Wireless relay device and configuration method for wireless relay device |
CN113132498B (en) * | 2019-12-30 | 2024-04-23 | 中兴通讯股份有限公司 | Message processing method, relay device, system and storage medium |
-
2009
- 2009-03-31 JP JP2009088207A patent/JP2010239591A/en active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011203887A (en) * | 2010-03-25 | 2011-10-13 | Nomura Research Institute Ltd | Virtual environment data transfer system and virtual environment data transfer device |
JP2014053004A (en) * | 2012-09-04 | 2014-03-20 | Alexeo Corp | System and method for protecting terminals on dynamically configured network |
EP3264677A1 (en) * | 2016-06-30 | 2018-01-03 | Thomson Licensing | Method and device for processing, at a network equipment, a processing request from a terminal |
EP3264681A1 (en) * | 2016-06-30 | 2018-01-03 | Thomson Licensing | Method and device for processing, at a network equipment, a processing request from a terminal |
JP2018152683A (en) * | 2017-03-10 | 2018-09-27 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Grouping device, communication system, communication method, and program |
CN113132498A (en) * | 2019-12-30 | 2021-07-16 | 中兴通讯股份有限公司 | Message processing method, relay equipment, system and storage medium |
CN113132498B (en) * | 2019-12-30 | 2024-04-23 | 中兴通讯股份有限公司 | Message processing method, relay device, system and storage medium |
CN114520965A (en) * | 2020-11-19 | 2022-05-20 | 瑞昱半导体股份有限公司 | Wireless relay device and configuration method for wireless relay device |
CN114520965B (en) * | 2020-11-19 | 2024-03-01 | 瑞昱半导体股份有限公司 | Wireless relay device and configuration method for wireless relay device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4883979B2 (en) | Information processing apparatus and communication control method | |
JP4587446B2 (en) | NETWORK SYSTEM, SWITCH DEVICE, ROUTE MANAGEMENT SERVER, ITS CONTROL METHOD, COMPUTER PROGRAM, AND COMPUTER-READABLE STORAGE MEDIUM | |
WO2013150925A1 (en) | Network system, controller, and packet authentication method | |
JP5612468B2 (en) | Method and apparatus for communication of diagnostic data in a real-time communication network | |
CN107809386B (en) | IP address translation method, routing device and communication system | |
KR101282117B1 (en) | Apparatus and method for UPnP service in public network environment | |
JP4920878B2 (en) | Authentication system, network line concentrator, authentication method used therefor, and program thereof | |
JP2010531602A5 (en) | ||
JP2010239591A (en) | Network system, relay device, and method of controlling network | |
JP4636345B2 (en) | Security policy control system, security policy control method, and program | |
JP2010177752A (en) | Network communication node | |
WO2023114184A1 (en) | Encrypted data packet forwarding | |
JP6445408B2 (en) | Communication system and setting method | |
JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
JP2008154012A (en) | Network monitoring device, network monitoring method, network communicating method, and network quarantine system | |
JP2005057693A (en) | Network virtualizing system | |
JP5261432B2 (en) | Communication system, packet transfer method, network switching apparatus, access control apparatus, and program | |
JP2008010934A (en) | Gateway apparatus, communication control method, program, and storage medium with the program stored | |
Cisco | AppleTalk Remote Access Commands | |
WO2015020393A1 (en) | Method, device, and system for supporting communication between user terminal devices by using openflow, and computer-recordable recording medium | |
US20200274791A1 (en) | Multi-vrf and multi-service insertion on edge gateway virtual machines | |
JP2007074059A (en) | Communication support apparatus, system, communication method, and computer program | |
JP7211409B2 (en) | NODE, CONTROL SYSTEM, COMMUNICATION CONTROL METHOD AND PROGRAM | |
JP3947141B2 (en) | Inter-network communication method, management server, and user network management server | |
JP6422345B2 (en) | Management device, management system, management method, and program |