JP2016103845A - Exchange device, exchange program, exchange method, and communication system - Google Patents
Exchange device, exchange program, exchange method, and communication system Download PDFInfo
- Publication number
- JP2016103845A JP2016103845A JP2016001315A JP2016001315A JP2016103845A JP 2016103845 A JP2016103845 A JP 2016103845A JP 2016001315 A JP2016001315 A JP 2016001315A JP 2016001315 A JP2016001315 A JP 2016001315A JP 2016103845 A JP2016103845 A JP 2016103845A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- exchange
- rule set
- processing
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 571
- 238000000034 method Methods 0.000 title claims abstract description 95
- 238000012545 processing Methods 0.000 claims abstract description 258
- 238000001914 filtration Methods 0.000 claims abstract description 106
- 230000008569 process Effects 0.000 claims description 50
- 230000004913 activation Effects 0.000 claims description 7
- 238000013500 data storage Methods 0.000 description 95
- 238000010586 diagram Methods 0.000 description 38
- 238000012790 confirmation Methods 0.000 description 36
- 230000006870 function Effects 0.000 description 15
- 230000000694 effects Effects 0.000 description 14
- 238000007726 management method Methods 0.000 description 12
- 230000004044 response Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 6
- 230000007704 transition Effects 0.000 description 6
- 230000000737 periodic effect Effects 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000004308 accommodation Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、交換装置、交換プログラム、交換方法、及び通信システムに関し、例えば、VoIP(Voice over IP)通信を行うVoIP電話通信システムに適用し得る。 The present invention relates to an exchange device, an exchange program, an exchange method, and a communication system, and can be applied to, for example, a VoIP telephone communication system that performs VoIP (Voice over IP) communication.
IP電話通信システムでは、IPネットワーク上に配置された複数の電話端末と、電話端末あいだの接続処理をする交換装置等の通信制御装置を備えて、それぞれの電話端末の間および電話端末と交換装置とのあいだをTCP/IP(Transmission Control Protocol/IP)、UDP/IP(User Datagram Protocol/IP)等で接続し通信できるようにしている。例えば、第1の電話端末が、第2の電話端末に接続するための接続要求を交換装置に送信すると、交換装置は第1の電話端末と第2の電話端末との間の接続処理をし、電話端末の間で通話が確立すると音声情報の送受をして通話状態にさせるものである。 An IP telephone communication system includes a plurality of telephone terminals arranged on an IP network and a communication control device such as an exchange device that performs connection processing between the telephone terminals, and between the telephone terminals and between the telephone terminals and the exchange device. Are connected via TCP / IP (Transmission Control Protocol / IP), UDP / IP (User Datagram Protocol / IP), etc., so that communication is possible. For example, when the first telephone terminal transmits a connection request for connecting to the second telephone terminal to the switching apparatus, the switching apparatus performs a connection process between the first telephone terminal and the second telephone terminal. When a telephone call is established between telephone terminals, voice information is transmitted and received to bring it into a calling state.
IP電話通信システムでは、IETF(Interne Engineering Task Force)で策定されたSIP(Session Initiation Protocol)およびITU−T(International Telecommunication Union−Telecommunication sector)で策定されたH.323などのVoIP技術を利用して電話のサービスを形成されることが多い。 In the IP telephone communication system, SIP (Session Initiation Protocol) formulated by IETF (Internet Engineering Task Force) and ITU-T (International Telecommunication Union-Telecommunication sector) are developed. In many cases, a telephone service is formed using VoIP technology such as H.323.
例えば、SIPを利用する場合、交換装置にSIPに基づく接続要求で呼処理をする呼処理部を含ませ、電話端末と交換装置の通信プロトコルスタックにSIPの通信プロトコルを含ませる。こうすることで電話端末と交換装置とはSIPに基づく接続要求により通信が可能となる。 For example, when using SIP, the switching device includes a call processing unit that performs call processing with a connection request based on SIP, and includes the SIP communication protocol in the communication protocol stack of the telephone terminal and the switching device. By doing so, the telephone terminal and the exchange device can communicate with each other by a connection request based on SIP.
また、交換装置にSIPおよびH.323に基づく接続要求で呼処理をする呼処理部を含ませ、さらに交換装置の通信プロトコルスタックにSIPおよびH.323の複数の通信プロトコルを含ませることで、複数のVoIPの通信プロトコルに対応する交換装置とすることができる。 In addition, SIP and H. A call processing unit that performs call processing in response to a connection request based on H.323, and further includes SIP and H.264 in the communication protocol stack of the switching apparatus. By including a plurality of H.323 communication protocols, an exchange apparatus compatible with a plurality of VoIP communication protocols can be obtained.
SIPの詳細はRFC3261などで規定されており、クライアント(電話端末)は接続したい相手の識別子(電話番号)を含むSIPリクエスト(SIPに基づく接続要求の呼制御情報)を、サーバー(交換装置)のネットワークレイヤ(Network layer)のIPアドレスおよびトランスポートレイヤ(Transport layer)のSIPのための通信ポートの番号を含めて送信するとしている。 Details of SIP are stipulated in RFC 3261 and the like, and a client (telephone terminal) sends a SIP request (call control information of a connection request based on SIP) including an identifier (telephone number) of a partner to be connected to a server (switching device). It is assumed that transmission is performed including the IP address of the network layer (Network layer) and the communication port number for the SIP of the transport layer (Transport layer).
したがって、第1の電話端末が、第2の電話端末に接続するためのSIPに基づく接続要求を、交換装置のIPアドレスおよびSIPのための通信ポートの番号を含めて送信すると、交換装置はSIPのための通信ポートで受信した接続要求に基づいて電話端末のあいだの接続処理をし、電話端末のあいだで通話が確立して音声情報の送受をして通話する。 Accordingly, when the first telephone terminal transmits a connection request based on SIP for connecting to the second telephone terminal, including the IP address of the switching apparatus and the number of the communication port for SIP, the switching apparatus Based on the connection request received at the communication port for communication, a connection process between the telephone terminals is established, and a telephone call is established between the telephone terminals to transmit and receive voice information.
ところで、IPに基づく接続において、DoS(Denial of Service)攻撃やセキュリティーホールに対する攻撃等の不正アクセスに関するセキュリティ問題が存在する。 Incidentally, in connection based on IP, there are security problems related to unauthorized access such as DoS (Denial of Service) attacks and attacks on security holes.
このセキュリティ問題を解決する一つの手段として、パケットフィルタリングの技術がある。 One means for solving this security problem is a packet filtering technique.
特許文献1にはプロトコル、ソースアドレス(送信元アドレス)、デスティネーッションアドレス(送信元アドレス)、ソースポート(送信元ポート)、デスティネーッションポート(送信先ポート)およびアクションを含めた複数のルールセットを予め記憶しておき、このルールセットに基づいてパケットの流入出の許可もしくは拒否の処理をし、パケットフィルタのパフォーマンスを改善するようにルールセットを自動的に再配列する方法が提案されている。
しかしながら、SIPやH.323等の複数のVoIPの通信プロトコルに対応する交換装置等に、特許文献1の方法を適用した場合には、その交換装置が収容する電話端末では用いられないVoIPの通信プロトコルについても、パケットフィルタリングで通信を許可することになってしまう。
However, SIP and H.264 When the method of
具体的には、複数のVoIPの通信プロトコルに対応する交換装置に、SIPおよびH.323に関わる通信ポートはパケットの流入出を許可するルールセットのパケットフィルタリングを設けた場合、この交換装置の配下にSIPに対応する電話端末のみ存在するときH.323の通信ポートは不必要な通信ポートであるのにパケットフィルタリングで拒否されず、適切にパケットフィルタリングが行われない。したがって、この場合、特許文献1の記載技術を適用した交換装置では、H.323の通信プロトコルを悪用した不正アクセスの脅威にさらされることになる。
Specifically, SIP and H.264 are connected to an exchange device corresponding to a plurality of VoIP communication protocols. When the communication port related to H.323 is provided with packet filtering of a rule set that permits inflow and outflow of packets, when only a telephone terminal corresponding to SIP exists under this switching apparatus, the H.323 communication port. Although the
一方、複数のVoIPの通信プロトコルに対応する交換装置に、SIPに関わる通信ポートはパケットの流入出を許可しH.323に関わる通信ポートはパケットの流入出を拒否するルールセットのパケットフィルタリングを設けた場合、この交換装置の配下にSIPに対応する電話端末のみ存在するとき不要なH.323の通信ポートがパケットフィルタリングで拒否されるが、電話端末追加や電話端末機種変更などが生じてH.323に対応する電話端末がこのIP−PBXの配下に存在するようになるとき、H.323の通信ポートは必要な通信ポートであるのにパケットフィルタリングで拒否され、適切にパケットフィルタリングが行われない。
On the other hand, a communication port related to SIP permits inflow / outflow of packets to a switching apparatus corresponding to a plurality of VoIP communication protocols. If the communication port related to H.323 is provided with packet filtering of a rule set that rejects inflow / outflow of packets, it is unnecessary when only a telephone terminal corresponding to SIP exists under the switching apparatus. The H.323 communication port is rejected by packet filtering. When a telephone terminal corresponding to H.323 becomes subordinate to this IP-PBX, Although the
したがって、このIP−PBXがH.323のプロトコルの接続に関する処理が行えずIP電話システムの利便性が低下することになる。 Therefore, this IP-PBX is H.264. The processing relating to the connection of the H.323 protocol cannot be performed, and the convenience of the IP telephone system is lowered.
つまり、特許文献1の方法は、複数のルールセットを予め記憶しておき、このルールセットに基づいてパケットの流入出の許可もしくは拒否の処理をし、パケットフィルタのパフォーマンスを改善するようにルールセットを自動的に再配列しているに過ぎず、特許文献1の方法を適用した通信装置等では、接するネットワーク環境に応じて適切なパケットフィルタリングのルールセットを生成しフィルタ処理を実施できない。
That is, in the method of
そのため、セキュリティを確保しつつ、利便性を向上させることができる交換装置、交換プログラム、交換方法、及び通信システムが望まれている。 Therefore, an exchange device, an exchange program, an exchange method, and a communication system that can improve convenience while ensuring security are desired.
第1の本発明は、通話機能を有する通信装置の呼処理を行う交換装置であって、(1)前記通信装置に係るパケットフィルタリングのルールセット情報を記憶する記憶手段と、(2)前記ルールセット情報に基づき前記通信装置から到来するパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と、(3)前記パケットフィルタリング手段が受信許可の処理を行う前記通信装置から到来するパケットに基づいて前記通信装置の呼処理を行う接続処理手段と、(4)当該交換装置に代わって前記通信装置の呼処理を行う他交換装置に対し前記ルールセット情報を同期処理する冗長構成制御手段とを有することを特徴とする。 A first aspect of the present invention is an exchange apparatus for performing call processing of a communication apparatus having a call function, wherein (1) storage means for storing packet filtering rule set information relating to the communication apparatus, and (2) the rule Packet filtering means for performing reception permission or reception refusal processing for packets arriving from the communication device based on set information; and (3) based on packets arriving from the communication device for which the packet filtering means performs reception permission processing. Connection processing means for performing call processing of the communication device; and (4) redundant configuration control means for synchronously processing the rule set information to another switching device for performing call processing of the communication device in place of the switching device. It is characterized by that.
第2の本発明の交換プログラムは、(1)通話機能を有する通信装置の呼処理を行う交換装置に搭載されたコンピュータを、(2)前記通信装置に係るパケットフィルタリングのルールセット情報を記憶する記憶手段と、(3)前記ルールセット情報に基づき前記通信装置から到来するパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と、(4)前記パケットフィルタリング手段が受信許可の処理を行う前記通信装置から到来するパケットに基づいて前記通信装置の呼処理を行う接続処理手段と、(4)当該交換装置に代わって前記通信装置の呼処理を行う他交換装置に対し前記ルールセット情報を同期処理する冗長構成制御手段として機能させることを特徴とする。
第3の本発明は、(1)通話機能を有する通信装置の呼処理を行う交換装置が行う交換方法であって、(2)交換装置が、記憶手段、パケットフィルタリング手段、接続処理手段、及び冗長構成制御手段を備え、(3)前記記憶手段は、前記通信装置に係るパケットフィルタリングのルールセット情報を記憶し、(4)前記パケットフィルタリング手段は、前記ルールセット情報に基づき前記通信装置から到来するパケットの受信許可又は受信拒否の処理を行い、(5)前記接続処理手段は、前記パケットフィルタリング手段が受信許可の処理を行う前記通信装置から到来するパケットに基づいて前記通信装置の呼処理を行い、(6)前記冗長構成制御手段は、当該交換装置に代わって前記通信装置の呼処理を行う他交換装置に対し前記ルールセット情報を同期処理することを特徴とする。
According to a second aspect of the present invention, there is provided an exchange program in which (1) a computer installed in an exchange device that performs call processing of a communication device having a call function is stored, and (2) packet filtering rule set information relating to the communication device is stored. Storage means, (3) packet filtering means for performing reception permission or reception refusal processing for packets arriving from the communication device based on the rule set information, and (4) the packet filtering means for performing reception permission processing. A connection processing means for performing call processing of the communication device based on a packet arriving from the communication device; and (4) synchronizing the rule set information to another switching device performing call processing of the communication device on behalf of the switching device. It functions as a redundant configuration control means for processing.
According to a third aspect of the present invention, there is provided (1) a switching method performed by a switching device that performs call processing of a communication device having a call function, and (2) the switching device includes storage means, packet filtering means, connection processing means, and And (3) the storage means stores packet filtering rule set information relating to the communication device, and (4) the packet filtering means arrives from the communication device based on the rule set information. (5) The connection processing means performs call processing of the communication apparatus based on a packet arriving from the communication apparatus for which the packet filtering means performs reception permission processing. (6) The redundant configuration control means sends the routing information to another switching apparatus that performs call processing of the communication apparatus on behalf of the switching apparatus. Wherein the synchronization processing set information.
第4の本発明の通信システムは、通信装置から受信する信号に応じ処理を行う交換装置を1又は複数備える通信システムにおいて、上記交換装置として、第1の本発明の交換装置を適用したことを特徴とする。 In the communication system of the fourth aspect of the present invention, the switching apparatus of the first aspect of the present invention is applied as the switching apparatus in a communication system including one or more switching apparatuses that perform processing in accordance with a signal received from the communication apparatus. Features.
本発明によれば、セキュリティを確保しつつ、利便性を向上させることができる交換装置、交換プログラム、交換方法、及び通信システムを提供することができる。 According to the present invention, it is possible to provide an exchange device, an exchange program, an exchange method, and a communication system that can improve convenience while ensuring security.
(A)第1の実施形態
以下、本発明による交換装置、交換プログラム、交換方法、及び通信システムの第1の実施形態を、図面を参照しながら詳述する。
(A) First Embodiment Hereinafter, a first embodiment of an exchange apparatus, an exchange program, an exchange method, and a communication system according to the present invention will be described in detail with reference to the drawings.
(A−1)第1の実施形態の構成
(A−1−1)全体構成について
図1は、第1の実施形態に関係する各種装置の接続関係など(第1の実施形態の通信システム)について示したブロック図である。
(A-1) Configuration of First Embodiment (A-1-1) Overall Configuration FIG. 1 is a connection relationship of various devices related to the first embodiment (communication system of the first embodiment). It is the block diagram shown about.
交換装置10は、VoIPに対応した電話端末へ電話交換のサービスを提供する交換装置であり、例えば、IP−PBXやソフトスイッチ等が該当する。また、交換装置10は、電話の接続に係わる処理部を有していれば、スイッチやルータ等の中継装置であってもよいし、パソコン等の通信装置であってもよい。
The
そして、交換装置10は、ネットワークNに接続しており、ネットワークNを介して、電話端末20(20−1、20−2)と通信し、電話端末20に対してサービスを提供する。
The
ネットワークNは通信を行うノードのあいだを接続する網であり、PSTN(各ノードがPSTNを介してIP通信可能なモデム等を備えている必要がある)や広域イーサーネット網や専用線網やIP網(例えば、インターネット等)等が適用できる。ここでは、ネットワークNはIP網として説明する。 The network N is a network that connects between nodes that perform communication. The network N needs to have a PSTN (each node must have a modem capable of IP communication via the PSTN), a wide area Ethernet network, a private line network, and an IP. A network (for example, the Internet) or the like can be applied. Here, the network N is described as an IP network.
第1の実施形態においては、例として、交換装置10は通信プロトコルスタックにSIP、H.323および独自の通信プロトコル(以下、「独自プロトコル」という)を含み、SIP、H.323および独自の複数のVoIPの通信プロトコルに対応するIP−PBXとして説明する。ここで、独自の通信プロトコルとは、例えば、個人や開発会社などが独自に制定した標準的ではないVoIPの通信プロトコルを指すものとする。なお、以下において、交換装置10が対応する独自プロトコルの一つを「独自プロトコルP1」と呼ぶものとする。独自プロトコルP1は、SIP、H.323のようなシグナリングプロトコル(Signaling Protocol)とは異なり、メディアデータ(音声データ)の中継も行うプロトコルである。
In the first embodiment, as an example, the switching
なお、交換装置10は、SIPに対応した電話端末20間の呼制御をする場合には、SIP信号により電話端末20間の呼制御だけを行うものとする。そして、SIPに対応した電話端末20間では、メディアデータのパケットについては、電話端末20同士で直接送受信するものとする。なお、SIPに対応した電話端末20間では、メディアデータについて図示しないメディアゲートウェイを中継して通信するようにしても良い。また、交換装置10は、H.323に対応した電話端末20間の呼制御をする場合には、SIP同様、H.323信号により電話端末20間の呼制御だけを行うものとする。
In addition, when the
独自プロトコルP1に対応した電話端末20間の呼制御をする場合には、交換装置10の役割はその独自プロトコルP1の内容に応じたものになる。ここでは、独自プロトコルP1に対応した電話端末20間の呼制御をする場合には、呼制御及びメディアデータの中継も行うものとする。
When the call control between the telephone terminals 20 corresponding to the unique protocol P1 is performed, the role of the switching
具体的には、交換装置10は、プロセッサやメモリ等のプログラム実施構成及び他の通信装置と通信をするためのインタフェースを有する情報処理装置に、実施形態の交換プログラム等をインストールすることにより構築するようにしても良い。その場合でも、交換装置10の機能的構成は、図1のように示すことができる。
Specifically, the
この実施形態の交換プログラムには、SIP、H.323および独自のそれぞれに対応する電話のサービスを提供する1つまたは複数のプログラムを含んでおり、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化し、電話のサービスの提供を開始する。サービスを提供するプログラムとは、例えば、UNIX(登録商標)OS上では、デーモン(daemon)に相当し、マイクロソフト(登録商標)社のWindows(登録商標)上では、Windowsサービスに相当する。
The exchange program of this embodiment includes SIP, H.264. 323 and one or more programs for providing a telephone service corresponding to each of them, and when the switching
交換装置10は、IPインタフェースを有して、ネットワークNに接続し、電話端末20とVoIPの通信プロトコルに基づく呼制御情報の送受信をし、この呼制御情報に基づき電話端末の間の接続処理を行う。
The switching
また、交換装置10は、呼制御情報の受信をするときにパケットフィルタリングの処理をし、通信許可(呼制御情報等を有するパケットの受信を許可する)または通信拒否(呼制御情報等を有するパケットの受信を拒否する)の処理をする。
Further, the
さらに、交換装置10は、ネットワークN上でのIPアドレスが「192.168.1.11」であるものとする。また、交換装置10では、SIPに用いる通信ポートの番号が「5060」、H.323に用いる通信ポートの番号が「1300」、独自プロトコルP1に用いる通信ポートの番号が「10001〜10003」と設定されているものとする。したがって、交換装置10が含む、SIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムは、上述した通信ポートの番号を利用してトランスポートレイヤで通信を受け付ける。
Furthermore, it is assumed that the
ここで、通信ポートの番号「5060」、「1300」、「10001」は、それぞれSIP、H.323、独自プロトコルP1の呼制御に係わるものである。また、通信ポートの番号「10002〜10003」は独自プロトコルP1のメディアデータに係わるものである。 Here, the communication port numbers “5060”, “1300”, and “10001” are SIP, H. 323, related to call control of the original protocol P1. The communication port number “10002 to 10003” relates to the media data of the original protocol P1.
(A−1−2)交換装置の内部構成について
次に、交換装置10の内部構成の詳細について説明する。
(A-1-2) Internal Configuration of Exchange Device Next, details of the internal configuration of the
交換装置10は、通信部11、データ記憶部12、接続処理部13、及び制御部14を有しており、それぞれの構成要素間は内部バスで接続され互いに信号のやりとりをすることができる。
The
また、交換装置10は、図示しない電源回路部を有し商用電源もしくはバッテリーに接続し、さらに、図示しないスイッチ部を有し、このスイッチ部の動作で電源回路部をオン(ON)もしくはオフ(OFF)に設定できるように構成されているものとする。そして、交換装置10を操作する操作者により、そのスイッチ部でオンの設定がなされると、電源回路部から給電が開始され交換装置10が起動する。
Further, the
通信部11はIPネットワークNに接続するインタフェースであり、パケットの送受信をして通信する部分である。ここで、交換装置10は、上述の通りIPアドレスが「192.168.1.11」と設定されていることから、通信部11はIPアドレスが192.168.1.11」に基づきIP通信を行うものとする。
The
また、通信部11はパケットフィルタリングを行う機能を担っており、通信により自ら受信するパケットに関し、設定されたルールセットに基づいて通信許可または通信拒否のパケットフィルタリング処理をする。
The
交換装置10の起動直後において、通信部11は、例えば、自ら受信するパケットのすべてを拒否(all deny)するルールセットでパケットフィルタリング処理をするように設定し、後述する制御部14によりパケットフィルタリング設定がなされると、この設定に基づいてパケットフィルタリング処理をするものとする。
ここで、パケットのすべてを拒否(all deny)とは、ISO(International Organization for Standardization)のOSI参照モデル(Open Systems Interconnection)における第4層のトランスポートレイヤのTCPおよびUDPの通信ポートに関し、通信ポートごとに通信拒否をすることを示す。
Immediately after the
Here, all denies of packets are related to the TCP and UDP communication ports of the fourth layer transport layer in the OSI reference model (Open Systems Interconnection) of ISO (International Organization for Standardization). Indicates that communication is refused every time.
なお、通信部11は、自ら送信するパケットについてはパケットフィルタリング処理を行わないものとする。また、通信部11は、自らが起点となって形成したセッションに係るパケットについては、受信を許可するパケットフィルタリング処理を行うようにしても良い。
Note that the
したがって、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化し、電話のサービスの提供を開始するが、通信部11は制御部14によりパケットフィルタリング設定がなされるまで受信するパケットのすべてを拒否するため、電話端末20からの接続処理は行われない。
Therefore, when the switching
例えば、電話端末20−1が、別の電話端末20−2に接続するためのSIPに基づく接続要求のパケットを、交換装置10のIPアドレス「192.168.1.11」およびトランスポートレイヤのSIPのための通信ポート「5060」を含めて送信した場合を想定する。この場合、接続要求のパケットが交換装置10に到達し、通信部11がこのパケットに含まれるトランスポートレイヤのSIPのための通信ポート「5060」を識別し、通信ポート「5060」の番号が設定されたルールセットに含まれているか判断する。そして、ルールセットに含まれている場合は、通信部11は、通信許可のパケットフィルタリング処理により受信してパケットに含まれる通信ポートと接続要求を接続処理部13に与える。一方、交換装置10は、この通信ポートが設定されたルールセットに含まれていない場合は通信拒否(パケット受信拒否)のパケットフィルタリング処理により受信しない(破棄する)。
For example, the telephone terminal 20-1 sends a connection request packet based on SIP for connecting to another telephone terminal 20-2 to the IP address “192.168.1.11” of the switching
ここで、通信部11のパケットフィルタ処理はISOのOSI参照モデルにおける第4層のトランスポートレイヤのTCPおよびUDPの通信ポートに関し、通信ポートごとに通信許可または通信拒否の処理をするものとして説明する。
Here, the packet filtering process of the
ここで、OSI参照モデルは、データ通信を実現するためのアーキテクトとして、通信機能を階層的(アプリケーションレイヤ(第7層)、プレゼンテーションレイヤ(第6層)、セッションレイヤ(第5層)、トランスポートレイヤ(第4層)、ネットワークレイヤ(第3層)、データリンクレイヤ(第2層)、物理レイヤ(第1層))に分割している。 Here, the OSI reference model is an architecture for realizing data communication. The communication function is hierarchical (application layer (seventh layer), presentation layer (sixth layer), session layer (fifth layer), transformer, Port layer (fourth layer), network layer (third layer), data link layer (second layer), physical layer (first layer)).
したがって、交換装置10は、OSI参照モデルに対応するため、通信機能を実現するためのプロトコルスタックを含み、このプロトコルスタックにより階層ごとのデータ通信を行いつつ、通信部11において第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行う。
Therefore, the switching
データ記憶部12は、交換装置10のパケットフィルタリング等に用いる情報を記憶するものであり、局データ記憶部12aおよび通信ポートデータ記憶部12bを有している。
The
局データ記憶部12aは交換装置10の局条件を設定した局データ(office date)である。
The station data storage unit 12a is station data (office date) in which station conditions of the switching
図2は、局データ記憶部12aが記憶するデータの内容について示した説明図である。 FIG. 2 is an explanatory diagram showing the contents of data stored in the station data storage unit 12a.
図2において、局データ記憶部12aには、「電話番号」、「IPアドレス」、「電話端末種類」、及び「疎通フラグ」の項目を含む情報が記憶されている。なお、一般的なIP−PBXでは、局データとして、収容総数やトランク種別やテナント番号等を含んでいることがあるが、ここでは、これらの説明は省略する。また、局データ記憶部12aの内容はユーザの操作により適宜に設定・変更が可能であるものとする。 In FIG. 2, the station data storage unit 12a stores information including items of “telephone number”, “IP address”, “telephone terminal type”, and “communication flag”. In general IP-PBX, the station data may include the total number of accommodations, the trunk type, the tenant number, and the like, but these descriptions are omitted here. Further, it is assumed that the contents of the station data storage unit 12a can be appropriately set and changed by a user operation.
「電話番号」は、電話端末20ごとの電話番号である。 “Telephone number” is a telephone number for each telephone terminal 20.
「IPアドレス」は、電話端末20ごとのIPアドレスである。なお、「IPアドレスは」、ネットワークでノードを決定できるユニークな識別子であればよいため、MAC(Media Access Control)アドレス等の他の識別子に置き換えても良い。なお、IPアドレスは、図2においてはIPv4で示されているが、IPv6等の他の形式であってもよい。 The “IP address” is an IP address for each telephone terminal 20. The “IP address” may be a unique identifier that can determine a node in the network, and may be replaced with another identifier such as a MAC (Media Access Control) address. The IP address is shown as IPv4 in FIG. 2, but may be in other formats such as IPv6.
「電話端末種類」は、交換装置10が収容する電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を示している。
The “telephone terminal type” indicates information on the type of VoIP communication protocol corresponding to each telephone terminal 20 accommodated in the
「疎通フラグ」は、交換装置10が収容する電話端末ごとに疎通確認した結果情報である。疎通フラグは「0」もしくは「1」が設定され、「0」は疎通確認に失敗したことを表し、「1」は疎通確認に成功したことを表す。なお、疎通確認の処理は後に説明する接続処理部13により行われ、疎通フラグは接続処理部13により適宜に変更される。
The “communication flag” is result information obtained by confirming communication for each telephone terminal accommodated in the
局データ記憶部12aは、電話端末20ごとに、電話番号、IPアドレス、電話端末種類および疎通フラグを記憶しており、図2では、1行で1つの電話端末20に係る局データが示されている。例えば、図2の局データのうち、電話番号が「12」の局データ(最上段のデータ)では、IPアドレスが「192.168.1.12」、電話端末種類が「SIP」、疎通フラグが「1」示されている。この局データが示す電話端末20については、電話番号が「12」で、IPアドレスが「192.168.1.12」で、VoIPに用いる通信プロトコルが「SIP」で、「疎通可能」であることを示している。 The station data storage unit 12a stores a telephone number, an IP address, a telephone terminal type, and a communication flag for each telephone terminal 20, and FIG. 2 shows station data related to one telephone terminal 20 in one line. ing. For example, among the station data shown in FIG. 2, the station data with the telephone number “12” (uppermost data) has an IP address of “192.168.1.12”, a telephone terminal type of “SIP”, and a communication flag. Is shown as “1”. Regarding the telephone terminal 20 indicated by the station data, the telephone number is “12”, the IP address is “192.168.1.12”, the communication protocol used for VoIP is “SIP”, and “communication is possible”. It is shown that.
なお、以下では、電話端末20−1については、図2の電話番号が「12」の局データが該当し、電話端末20−2については、図2の電話番号が「13」の局データが該当するものとする。すなわち、電話端末20−1の電話番号は「12」、IPアドレスは「192.168.1.12」、電話端末種類は「SIP」である。また、電話端末20−2の電話番号は「13」、IPアドレスは「192.168.1.13」、電話端末種類は「SIP」である。 In the following, for the telephone terminal 20-1, the station data with the telephone number “12” in FIG. 2 is applicable, and for the telephone terminal 20-2, the station data with the telephone number “13” in FIG. Applicable. That is, the telephone number of the telephone terminal 20-1 is “12”, the IP address is “192.168.1.12”, and the telephone terminal type is “SIP”. Further, the telephone number of the telephone terminal 20-2 is “13”, the IP address is “192.168.1.13”, and the telephone terminal type is “SIP”.
通信ポートデータ記憶部12bはVoIPの通信プロトコルごとの通信ポートの番号等の情報を記憶している。
The communication port
図3は、通信ポートデータ記憶部12bに記憶するデータの内容について示した説明図である。
FIG. 3 is an explanatory diagram showing the contents of data stored in the communication port
図3において、通信ポートデータ記憶部12bには、「通信プロトコル種類」、「通信ポート」を含む情報が記憶されている。
In FIG. 3, the communication port
「通信プロトコル種類」はVoIPの通信プロトコルの種類の情報である。 “Communication protocol type” is information on the type of VoIP communication protocol.
「通信ポート」はVoIPの通信プロトコルごとに利用する通信ポートの番号である。 “Communication port” is the number of a communication port used for each VoIP communication protocol.
例えば、図3では、通信ポートデータ記憶部12bは、通信プロトコル種類「SIP」に対応する通信ポートを「5060」と記憶しており、通信プロトコル種類が「SIP」の場合は利用する通信ポートの番号「5060」であることを示している。なお、通信ポートデータ記憶部12bの内容はユーザにより適宜に設定・変更が可能である。
For example, in FIG. 3, the communication port
接続処理部13は通信部11から与えられる接続要求などの呼制御情報に基づき、電話端末20の間の接続処理の呼処理(呼制御)を行う機能を担っている。
The
接続処理部13はSIP、H.323および独自プロトコルP1のVoIPの接続要求に対応して接続処理をする。具体的には、接続処理部13は、交換装置10が含むSIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムにより構成されている。つまり、交換装置10が起動すると、それぞれのプログラムが自動に実行され機能が活性化することで接続処理部13が形成されて電話のサービスの提供が開始し、接続処理部13は接続要求などの呼制御情報に基づき電話端末のあいだの接続処理が行える。
The
交換装置10の起動直後において、接続処理部13はデータ記憶部12で記憶する局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理が行えるようになる。
Immediately after the
さらに、接続処理部13は局データ記憶部12aが設定・変更されるごとに、局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと接続処理を開始するものとする。また、局データ記憶部12aが破損している場合は、接続処理部13は正常に局データ記憶部12aを読み込めないため接続処理は開始しないようにしても良い。局データ記憶部12aの破損とは、例えば、局データ記憶部12aが構築された記憶領域(ファイル等)の破損、局データ記憶部12aが構築された記憶領域の間違い、局データ記憶部12aが構築された記憶領域の情報の欠落などが挙げられる。
Furthermore, every time the station data storage unit 12a is set / changed, the
接続処理部13は接続処理を開始すると読み込んだ局データ記憶部12aを参照して電話端末の間の接続処理を開始する。つまり、接続処理部13は、交換装置10が含むSIP、H.323および独自プロトコルP1のそれぞれに対応する電話のサービスを提供するプログラムが活性化することで、接続処理部13が形成されるから、このプログラムがデータ記憶部12で記憶する局データ記憶部12aの読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理を開始する。
When the
ここで、交換装置10では、上述の通り、SIPに用いる通信ポートの番号が「5060」、H.323に用いる通信ポートの番号が「1300」、独自プロトコルP1に用いる通信ポートの番号が「10001〜10003」と設定されている。そのため、接続処理部13では、SIPに対応する電話のサービスを提供するプログラムは通信ポートの番号が「5060」につづく呼制御情報を処理し、H.323に対応する電話のサービスを提供するプログラムは通信ポートの番号が「1300」につづく呼制御情報を処理し、独自プロトコルP1により独自に対応する電話のサービスを提供するプログラムは通信ポートの番号が「10001〜10003」のいずれかにつづく呼制御情報を処理する。
Here, in the
例えば、電話端末20−1が、電話端末20−2に接続するためのSIPに基づく接続要求のパケットを、交換装置10のIPアドレス「192.168.1.11」およびトランスポートレイヤのSIPのための通信ポート「5060」を含めて送信した場合を想定する。この場合、接続要求のパケットが交換装置10に到達し、通信部11が、このパケットに含まれるトランスポートレイヤのSIPに用いる通信ポート「5060」を識別する。そして、通信部11は、通信ポート「5060」の番号が、設定されたルールセットに含まれているか判断し、含まれている場合は通信許可のパケットフィルタリング処理により受信してパケットに含まれる通信ポートと接続要求の情報を接続処理部13に与える。この場合、接続処理部13は、与えられた接続要求に含まれる接続先の電話番号「13」(電話端末20−2)に対応する局データを抽出する。そして、接続処理部13は、接続元の電話番号「12」(電話端末20−1)から接続要求があることをIPアドレス「192.168.1.13」(電話端末20−2)に通知する。そして、電話端末20−2が、交換装置10から通知を受け、接続要求に応じることで、電話端末20−1と電話端末20−2のあいだの通話が確立する。
For example, the telephone terminal 20-1 transmits a connection request packet based on SIP for connecting to the telephone terminal 20-2 to the IP address “192.168.1.11” of the switching
また、接続処理部13は接続処理の準備が整うと、局データ記憶部12aから読み込んだ局データのそれぞれに対応する電話端末20に対して、IPアドレスを利用して周期的な疎通確認を行い、疎通確認に成功した局データの疎通フラグに、疎通確認に成功したことを表す「1」を設定する。一方、接続処理部13は疎通確認に失敗した電話端末20の局データの疎通フラグについては「0」を設定する。なお、局データ記憶部12aにおいて、疎通フラグの初期値は「0」であるものとする。つまり、接続処理部13は、交換装置10が含むSIP、H.323および独自のそれぞれに対応する電話のサービスを提供するプログラムが活性化することで接続処理部13が形成されるから、このプログラムが周期的な疎通確認を行う。
Further, when the
交換装置10による電話端末20への疎通確認の具体的な方法は限定されないものであるが、例えば、以下の2つを挙げることができる。なお、第1の実施形態では、後述する第1の疎通確認の方法が適用されているものとする。
Although the specific method of the communication confirmation to the telephone terminal 20 by the
[第1の方法]
交換装置10による電話端末20への疎通確認の第1の方法は、接続処理部13が、電話端末20のIPアドレスに基づいてpingを用いて周期的に疎通確認する方法である。この場合、接続処理部13は図2に示す、それぞれの局データのIPアドレス(192.168.1.12〜17)に順次にpingを送出し、pingに対する応答を得ることで疎通確認する。
[First method]
A first method of confirming communication with the telephone terminal 20 by the
なお、pingとはICMP(Internet Control Message Protocol)を利用するもので、OSI参照モデルの第3層による疎通確認方法である。 Ping uses ICMP (Internet Control Message Protocol), and is a communication confirmation method by the third layer of the OSI reference model.
したがって、接続処理部13がping(ICMP)を用いて周期的に疎通確認するとき、通信部11は自ら送信するパケットについてはパケットフィルタリング処理を行わないから疎通確認の信号を送出できる。また、通信部11では、受信するパケットについて第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行い、第3層の疎通確認の信号は受信するように設定して、送信したPingに対する応答(Echo)を受信するようにしても良い。さらに、通信部11に、自らが送信したPingに対する応答(Echo)については、受信拒否をしないように、明示的にパケットフィルタリングの設定をしておくようにしても良い。
Therefore, when the
また、上述の説明で、局データ記憶部12aのIPアドレスがIPv6であってもよいとしたが、この場合、接続処理部13が疎通確認に用いるPingはICMPv6(ICMP for IPv6)を利用するもので、OSI参照モデルの第3層による疎通確認方法となる。
In the above description, the IP address of the station data storage unit 12a may be IPv6. In this case, Ping that the
[第2の方法]
交換装置10による電話端末20への疎通確認の第2の方法は、接続処理部13が電話端末20のIPアドレスに基づいてARP(Address Resolution Protocol)を用いて周期的に疎通確認する方法である。この場合、接続処理部13は図2のIPアドレス22「192.168.1.12〜17」のそれぞれについて順次にARP要求を送出し、ARP要求に対するARP応答を得ることで疎通確認する。
[Second method]
The second method of confirming communication with the telephone terminal 20 by the
なお、ARPはIPアドレスからMACアドレスの問い合わせと取得をするプロトコルで、OSI参照モデルの第3層によるアドレス解決方法であり、アドレスが解決できるから疎通が確認されることになる。 Note that ARP is a protocol for inquiring and acquiring a MAC address from an IP address, and is an address resolution method based on the third layer of the OSI reference model. Since the address can be resolved, communication is confirmed.
したがって、接続処理部13がARPを用いて周期的に疎通確認するとき、通信部11は自ら送信するパケットについてはパケットフィルタリング処理を行わないから疎通確認の信号を送出できる。また、通信部11では、受信するパケットについて第4層のトランスポートレイヤの通信ポートごとに通信許可または通信拒否の処理を行い、第3層の疎通確認の信号は受信するように設定して、送信したARP要求に対する応答を受信するようにしても良い。また、通信部11に、自らが送信したARP要求に対する応答については、通信拒否をしないように、明示的にパケットフィルタリングの設定をしておくようにしても良い。
Therefore, when the
また、上述の局データ記憶部12a(図2)の説明では、IPアドレスの項目は、MACアドレスであってもよいとしたが、この場合、接続処理部13がMACアドレスに基づいてRARP(Reverse Address Resolution Protocol)を用いて周期的に疎通確認するようにしても良い。この場合、接続処理部13は、それぞれの局データのMACアドレスについて、順次にRARP要求を送出し、RARP要求に対するRARP応答を得ることで疎通確認する。なお、RARPはMACアドレスからIPアドレスの問い合わせと取得をするプロトコルで、OSI参照モデルの第3層によるアドレス解決方法であり、アドレスが解決できるから疎通が確認されることになる。
In the above description of the station data storage unit 12a (FIG. 2), the IP address item may be a MAC address. In this case, however, the
次に、制御部14の詳細について説明する。
Next, details of the
制御部14は交換装置10全体の制御を行う部分である。したがって、交換装置10は含む、交換装置10が含むSIP、H.323および独自のそれぞれに対応する電話のサービスを提供するプログラムの実行等も行う。また、制御部14はパケットフィルタリング処理のルールセット生成設定の処理も行う。
The
図4は、制御部14内部の機能的構成を示したブロック図である。
FIG. 4 is a block diagram showing a functional configuration inside the
制御部14には、局データ読み込み部41、通信ポート調査部42、ルールセット生成部43、ルールセット設定部44が形成されている。
The
局データ読み込み部41は、接続処理部13が読み込んだ局データ記憶部12aの局データのうち、疎通フラグが「1」の局データの電話端末種類を読み込む。そして、局データ読み込み部41は、疎通フラグが「1」の電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を取得する。なお、局データ読み込み部41は、接続処理部13が局データ記憶部12a読み込むことを契機に、上述の処理を開始する。
The station
そして、通信ポート調査部42は、通信ポートデータ記憶部12bを参照して、局データ読み込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。
Then, the communication
そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成する。
Then, the rule set
そして、ルールセット設定部44は、ルールセット生成部43が生成したルールセットを、通信部11に設定する。
Then, the rule set setting
例えば、制御部14は、局データ記憶部12a(図2)の疎通フラグが「1」の電話端末種類の情報を読み込み、電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報(例えば、「SIP」)を取得する。そして、制御部14は、取得したVoIPの通信プロトコルの種類の情報で通信ポートデータ記憶部12b(図3)を参照して利用する通信ポートの番号(例えば、「SIP」に対応するポート番号「5060」)を取得し、取得した通信ポートの番号に対する通信許可のパケットフィルタリングのルールセットを生成し通信部11に設定する。
For example, the
(A−2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態の通信システムにおける交換装置10の動作を説明する。
(A-2) Operation of the First Embodiment Next, the operation of the switching
図5は、交換装置10の動作を示したフローチャートである。
FIG. 5 is a flowchart showing the operation of the
また、図5のフローチャートにおいて、局データ記憶部12aの内容の初期状態は、図2で疎通フラグの列がすべて「0」となった内容であるものとする。また、通信ポートデータ記憶部12bの内容は、図3の内容であるものとする。
In the flowchart of FIG. 5, the initial state of the contents of the station data storage unit 12a is assumed to be the contents in which all the communication flag columns in FIG. 2 are “0”. The contents of the communication port
まず、ユーザの操作等により、交換装置10が起動して、交換装置10の制御部14の作用により接続処理部13が形成され(S101)、電話のサービスの提供を開始したものとする。このとき、交換装置10は電話のサービスの提供を開始するが、上述の通り、通信部11は制御部14によりパケットフィルタリング設定がなされるまで受信するパケットのすべてを拒否するため、電話の接続処理は行われない。また、このとき交換装置10は、受信するパケットのすべてを拒否するから、不正アクセスに係わるパケットも拒否している。
First, it is assumed that the
そして、接続処理部13が形成されると、接続処理部13は局データ記憶部12aの内容の読み込みを始め、読み込みを終え接続処理の準備が整うと、接続処理が行えるようになる。以降、接続処理部13は局データ記憶部12aが設定・変更されるごとに、局データ記憶部12aの内容の読み込みを始め、読み込みを終え接続処理の準備が整うと接続処理が行えるようになるものとして説明する。
When the
また、接続処理部13はデータ記憶部12で記憶する局データ記憶部12aの内容の読み込みを行ったことで、制御部14は、局データ記憶部12aの疎通フラグが「1」の電話端末種類の情報を読み込み電話端末ごとに対応するVoIPの通信プロトコルの種類の情報を取得しようとするが、上述の通り、ここでは局データ記憶部12aで、疎通フラグがすべて「0」なので処理を中止する。
Further, the
次に、接続処理部13は、接続処理の準備が整うと、読み込んだ局データ記憶部12aのIPアドレスに基づいて周期的な疎通確認を行う(S102)。なお、以降、この疎通確認は周期的に繰り返されるものとする。
Next, when the
次に、接続処理部13は、上述のステップS102の疎通確認の結果と、局データ記憶部12aの電話端末20ごとの疎通フラグの内容との差異の有無を判定し(S103)、差異がある場合には、後述するステップS104の処理から動作し、差異が無い場合には、上述のステップS102の処理に戻って動作する。上述のステップS102の疎通確認については、周期的に実行されるように、ウェイトをかけるようにしても良い。
Next, the
一方、上述のステップS103で、疎通確認の結果と、局データ記憶部12aの内容との差異が検出された場合には、接続処理部13は、疎通確認の結果に応じて、局データ記憶部12aの内容を更新する(S104)。
On the other hand, if a difference between the result of the communication confirmation and the content of the station data storage unit 12a is detected in the above-described step S103, the
そして、接続処理部13は、更新した局データ記憶部12aの内容を読み込んで、接続処理の準備が整うと、更新された後の設定で接続処理が行えるようになる。そして、制御部14は、更新された局データ記憶部12aの内容に応じたルールセットを生成して、通信部11にそのルールセットを反映する(S105)。そして、交換装置10は、上述のステップS102の処理に戻って動作する。
Then, the
ここでは、最初の疎通確認はすべての電話端末20ついて、失敗したとして、データ記憶部12の局データ記憶部12aの疎通フラグのすべてに疎通確認に失敗したことを表す「0」を設定しようとするが、上述の通り、初期状態で疎通フラグの列がすべて「0」なので、全て一致するため、上述のステップS102の処理に戻って動作する。
Here, assuming that the first communication check has failed for all the telephone terminals 20, an attempt is made to set “0” indicating that the communication check has failed in all the communication flags of the station data storage unit 12a of the
そして、その後、電話端末20−1と電話端末20−2がネットワークN内に存在するようになり、交換装置10がこれらの電話端末を収容することになったものとする。
Then, after that, the telephone terminal 20-1 and the telephone terminal 20-2 come to exist in the network N, and the switching
このとき、交換装置10の接続処理部13の周期的な疎通確認(ステップS102)により、電話端末20−1と電話端末20−2の疎通確認に成功し、疎通確認結果が、局データ記憶部12aと異なることになる。そのため、上述のステップS104により、データ記憶部12の局データ記憶部12aで、電話端末20−1のIPアドレス「192.168.1.12」に対応する疎通フラグと、電話端末20−2のIPアドレス「192.168.1.13」に対応する疎通フラグについて、疎通確認に成功したことを表す「1」が設定される。
At this time, by the periodic communication confirmation (step S102) of the
このとき、接続処理部13が、データ記憶部12で記憶する局データ記憶部12aの読み込みを行ったことをトリガに、制御部14の処理が開始する。
At this time, the processing of the
そして、制御部14は、局データ記憶部12aの疎通フラグが「1」である電話端末20−1、20−2の電話端末種類の情報を読み込み、電話端末20−1、20−2のそれぞれに対応する通信プロトコル種類の情報「SIP」を取得する。そして、制御部14は、SIPで用いる通信ポートの番号(5060)を、通信ポートデータ記憶部12bを参照して取得する。そして、制御部14は、取得した通信ポートの番号に対する通信許可のパケットフィルタリングのルールセットを生成し通信部11に設定する。
And the
このとき、交換装置10は電話のサービスの提供を開始しており、通信部11は制御部14によりパケットフィルタリング設定され、通信ポートの番号「5060」に係わるパケットの受信を許可するパケットフィルタ処理を行う。
At this time, the switching
すなわち、これ以降、交換装置10では、SIPによる電話端末20の接続処理を受付けるようになる。また、交換装置10では、SIPに対応する通信ポートの番号「5060」以外の通信ポート番号の通信ついては引き続き拒否をするため、SIP以外で不正アクセスに係わるパケットを拒否することになる。よって、交換装置10がH.323および独自のVoIPの通信プロトコルを悪用した不正アクセスの脅威にさらされることはない。
That is, thereafter, the
そして、その後、例えば、電話端末20−1、20−2の両方との疎通確認が失敗し、SIPを用いる電話端末20が交換装置10に接続(収容)していない状態となった場合には、交換装置10は、SIPで用いる通信ポートの番号に対する通信拒否のパケットフィルタリングのルールセットを生成し通信部11に設定することになる。
Then, for example, when the communication confirmation with both the telephone terminals 20-1 and 20-2 fails and the telephone terminal 20 using SIP is not connected (accommodated) to the
このようにすることで、交換装置10では、設定・変更後の局データ記憶部12aで設定された、収容する電話端末が利用するVoIPの通信ポートの番号に対してのみ、通信許可のパケットフィルタリング処理をすることが可能となる。
In this way, the switching
(A−3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
(A-3) Effects of First Embodiment According to the first embodiment, the following effects can be achieved.
交換装置10では、複数のVoIP通信のプロトコルに対応しながら、自身が収容する電話端末20が利用するプロトコルのポートについてだけ、パケット受信を許可するパケットフィルタリング処理をすることができ、それ以外のプロトコルの通信ポートに対する不正アクセスの脅威を排除することができる。
The switching
また、交換装置10では、収容する電話端末20の追加や機種変更などが生じることで、局データに変更が生じた場合でも、収容する電話端末20が利用するVoIPの通信ポートの番号に対してのみ自動に通信許可のパケットフィルタリング処理をすることができる。すなわち、交換装置10では、収容する電話端末20の変更により、セキュリティポリシーを変更する必要が生じても、局データの内容を変更するだけで、必要な通信ポートのパケット受信だけを許可することができる。これにより、交換装置10では、IP電話システム利便性を損なわずに、収容しない電話端末が利用するVoIPの通信ポートの番号に対する不正アクセスの脅威を排除することができる。
In addition, in the
(B)第2の実施形態
次に、本発明による交換装置、交換プログラム、交換方法、及び通信システムの第2の実施形態を、図面を参照しながら詳述する。
(B−1)第2の実施形態の構成
図6は、第2の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第2の実施形態の通信システム)について示したブロック図である。
(B) Second Embodiment Next, a second embodiment of the exchange apparatus, exchange program, exchange method, and communication system according to the present invention will be described in detail with reference to the drawings.
(B-1) Configuration of Second Embodiment FIG. 6 illustrates the functional configuration of the exchange apparatus according to the second embodiment and the connection relationship between various devices (communication system of the second embodiment). It is the block diagram shown.
第2の実施形態の交換装置10Aでは、データ記憶部12、制御部14が、それぞれデータ記憶部12A、制御部14Aに置き換わっており、さらに、セキュリティ処理部15が追加されている点で第1の実施形態と異なっている。
In the
データ記憶部12Aには、テンプレートファイル記憶部12cが追加されている点で第1の実施形態と異なっている。また、制御部14Aで、テンプレートファイル記憶部12cに係る処理が追加されている点で、第1の実施形態と異なっている。
The
セキュリティ処理部15は、交換装置10Aにファイアーウォールソフトや、VPNソフト等のセキュリティ関連ソフトウェアをインストールすることにより構築されるものである。図6においては、セキュリティ処理部15は、説明を簡易にするため一つのブロックとして図示しているが、交換装置10Aに複数のセキュリティ関連ソフトウェアがインストールされていることもあり得る。その場合には、セキュリティ処理部15に対応するセキュリティ関連ソフトウェアが複数存在することになる。
The
既存のIP−PBX等の交換装置でも、その交換装置が構築されたコンピュータ上に、上述のようなセキュリティ関連ソフトウェアがインストールされる場合がある。この場合、その交換装置のソフトウェアの通信部によるパケットフィルタ処理とは別のパケットフィルタ処理機能を有することがある。つまり、セキュリティ関連ソフトウェアがインストールされた交換装置においては、通信部と、セキュリティ関連ソフトウェアにより重複してパケットフィルタ処理が行われることになる。 Even in an existing exchange device such as IP-PBX, the security-related software as described above may be installed on a computer on which the exchange device is constructed. In this case, a packet filter processing function different from the packet filter processing by the software communication unit of the switching apparatus may be provided. In other words, in the exchange device in which the security related software is installed, the packet filtering process is performed redundantly by the communication unit and the security related software.
交換装置10Aにおいても同様に、通信部11と、セキュリティ処理部15とで行うパケットフィルタ処理について、矛盾が生じないように、例えば、同一の内容のルールセット(同一の動作を行うルールセット)にしておく必要がある。もし、通信部11とセキュリティ処理部15とで、ルールセットの内容が異なっていると、通信部11のパケットフィルタ処理で通信許可したがセキュリティ関連ソフトウェアのパケットフィルタ処理で通信拒否してしまう可能性がある。
Similarly, in the
制御部14Aは、パケットフィルタリングのルールセットを生成し、通信部11だけでなく、セキュリティ処理部15にも反映させる点で、第1の実施形態と異なっている。
The
制御部14Aは、通信部11用に作成したルールセットを、テンプレートファイル記憶部12c記憶されたテンプレート(テンプレートの詳細については後述する)を用いてセキュリティ処理部15に適用可能な内容に変換して、セキュリティ処理部15に設定する。
The
図7はデータ記憶部12のテンプレートファイル記憶部12cの内容例について示したブロック図である。
FIG. 7 is a block diagram showing an example of the contents of the template
図7の例では、テンプレートファイル記憶部12cには、ファイアーウォールA用テンプレートT1と、VPNソフトC用テンプレートT2が記憶されている。
In the example of FIG. 7, the template
セキュリティ処理部15では、図7に示すようにセキュリティ関連ソフトウェアごとのテンプレートが記憶されている。これらのテンプレートは、セキュリティ関連ソフトウェアを設定するためのルールセット(設定ファイル)の雛形といえる。制御部14Aは、セキュリティ処理部15に対応するソフトウェアに対応するテンプレートを、テンプレートファイル記憶部12cから選択してルールセットの変換に適用する。なお、制御部14Aが選択するテンプレートは、例えば、予め設定されたものを適用するようにしても良い。
The
なお、テンプレートファイル記憶部12cの内容はユーザにより適宜に設定・変更が可能である。
The contents of the template
また、テンプレートファイル記憶部12cには、セキュリティ関連ソフトごとに、複数の設定ファイルを用意しておき、制御部14Aが生成したルールセットの内容に応じた設定ファイルを選択して適用するようにしても良い。すなわち、制御部14Aは、ルールセットの内容に応じて、予め用意された設定ファイルのいずれかを選択するだけで、変換処理を行わないようにしても良い。
Also, a plurality of setting files are prepared for each security-related software in the template
セキュリティ処理部15に対応するファイアーウォールソフトとしては、例えば、Check Point(登録商標)社製の「FireWall−1」や「VPN−1」等が該当する。また、VPNソフトとしては、例えば、ソフトイーサ(登録商標)社製のPacketiX(登録商標) VPN(SoftEther(登録商標) VPN)が該当する。
Examples of firewall software corresponding to the
テンプレートファイル記憶部12cに記憶されるテンプレートとしては、例えば、上述のようなセキュリティ関連ソフトウェアにおける設定ファイルの、雛形(テキストデータ等のバイナリデータ)が該当する。そして、制御部14が、生成したルールセットのパケットフィルタリングのパラメータ(例えば、通信を許可する通信ポートの番号)等を、その雛形に適合する記述形式に変更(記述形式の変更の仕方は予め設定しておく)して追記する。
The template stored in the template
例えば、特定の通信ポートの通信を許可するための記述は、各セキュリティ関連ソフトウェアごとに、定型の記述様式が存在する。よって、制御部14A(又は、テンプレートファイル記憶部12c)に、雛形に追記するための内容の記述様式を予め用意しておき、その記述様式にパラメータ(通信を許可する通信ポートの番号)を入力するだけで、雛形に追記する内容を生成するようにしても良い。
For example, a description for permitting communication of a specific communication port has a fixed description format for each security-related software. Therefore, a description format of contents to be added to the template is prepared in advance in the
(B−2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態の通信システムにおける交換装置10Aの動作を説明する。
(B-2) Operation of Second Embodiment Next, the operation of the
交換装置10Aのパケットフィルタ処理の動作についても、第1の実施形態における上述の図5を用いて説明することができる。以下では、第2の実施形態の交換装置10Aの動作について、第1の実施形態との差異について説明する。
The operation of the packet filtering process of the
交換装置10Aにおいて、上述のステップS101〜S104の動作は、第1の実施形態と同様であるので、説明を省略する。
In the
異なるのは、ステップS105の内容である。第2の実施形態のステップS105では、制御部14Aは、テンプレートファイル記憶部12cに記憶されたテンプレートを用いて、通信部11用に生成したルールセットを、セキュリティ処理部15に適用可能なルールセット(設定ファイル)に変換して、セキュリティ処理部15にその設定ファイルを適用する処理が追加されている。
What is different is the content of step S105. In step S105 of the second embodiment, the
例えば、ここでは、セキュリティ処理部15に対応するソフトウェアが、「ファイアーウォールソフトA」、「VPNソフトC」の2つのソフトウェアであったものとする。この場合、制御部14Aは、テンプレートファイル記憶部12cから、ファイアーウォールソフトA用テンプレートT1で変換した設定ファイルを「ファイアーウォールソフトA」に適用し、VPNソフトC用テンプレートT2を用いて変換した設定ファイルを「VPNソフトC」に適用する。
For example, here, it is assumed that the software corresponding to the
(B−3)第2の実施形態の効果
第2の実施形態によれば、以下のような効果を奏することができる。
(B-3) Effects of Second Embodiment According to the second embodiment, the following effects can be achieved.
交換装置10Aでは、セキュリティ関連ソフトウェアがインストールされている場合でも、テンプレートファイル記憶部12cに記憶されているテンプレートを利用して、そのセキュリティ関連ソフトウェアに、通信部11と同様のルールセットに基づくパケットフィルタリングの設定を行うことができる。すなわち、交換装置10Aでは、セキュリティ関連ソフトウェアがインストールされていても、通信部11と統一したパケットフィルタリングの設定をすることができる。これにより、交換装置10Aでは、ルールセットの矛盾による通信障害の回避や、セキュリティ内容の一貫性の保持等の効果を奏することができる。
In the
(C)第3の実施形態
次に、本発明による交換装置、交換プログラム、交換方法、及び通信システムの第3の実施形態を、図面を参照しながら詳述する。
(C−1)第3の実施形態の構成
図8は、第3の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第3の実施形態の通信システム)について示したブロック図である。
(C) Third Embodiment Next, a third embodiment of the exchange apparatus, exchange program, exchange method, and communication system according to the present invention will be described in detail with reference to the drawings.
(C-1) Configuration of the Third Embodiment FIG. 8 illustrates the functional configuration of the exchange apparatus according to the third embodiment and the connection relationships of various related devices (communication system of the third embodiment). It is the block diagram shown.
第3の実施形態では、交換装置10Bのセキュリティを保護するために、ファイアーウォール装置30が設置されており、交換装置10Bは、ファイアーウォール装置30を介してネットワークNに接続している。
In the third embodiment, a
ファイアーウォール装置30は、UNIXやWindows等のOSが動作するコンピュータ上に、ファイアーウォールのソフトウェア(例えば、セキュリティ処理部15と同様のソフトウェア)をインストールして構築されたものであるものとする。なお、ファイアーウォール装置30は、ファイアーウォール専用のハードウェア(アプライアンス)を用いて構築されたものであっても良い。
The
第3の実施形態の交換装置10Bでは、データ記憶部12A、制御部14Aが、それぞれデータ記憶部12B、制御部14Bに置き換わっている点で第2の実施形態と異なっている。データ記憶部12Bには、遠隔設定記憶部12dが追加されている点で第2の実施形態と異なっている。また、制御部14Bで、遠隔設定記憶部12dに係る処理が追加されている点で、第2の実施形態と異なっている。
The exchange apparatus 10B according to the third embodiment is different from the second embodiment in that the
なお、ファイアーウォール装置30で、交換装置10Bが接続されている側のIPアドレスは、「192.168.1.100」であるものとする。
It is assumed that the IP address of the
制御部14Bでは、生成した通信部11用のルールセットを、テンプレートファイル記憶部12cのテンプレートを用いて変換し、変換により生成した設定ファイルを生成する。すなわち、制御部14Bは、ファイアーウォール装置30用のパケットフィルタリングのルールセットを生成するとともに、ファイルとして保持する動作(ファイル化)を行っている。
In the control unit 14B, the generated rule set for the
そして、制御部14Bは、命令記憶部12dに記憶された命令を実行して、生成した設定ファイルを、ファイアーウォール装置30に適用する。命令記憶部12dに記憶されている命令は、例えば、交換装置10BのOS上で動作するスクリプトにより構成されており、生成した設定ファイルを、FTP(File Transfer Protocol)等により、ファイアーウォール装置30に送り込む。
Then, the control unit 14B executes the instruction stored in the instruction storage unit 12d and applies the generated setting file to the
図9は、データ記憶部12Bのテンプレートファイル記憶部12cで記憶されている内容の例について示したブロック図である。
FIG. 9 is a block diagram illustrating an example of contents stored in the template
図9に示すように、テンプレートファイル記憶部12cには、ファイアーウォールA用テンプレートT1と、VPNソフトC用テンプレートT2に加えて、ファイアーウォール装置30に対応するファイアーウォール装置A用テンプレートT3が記憶されている。
As shown in FIG. 9, the template
なお、図9では、ファイアーウォール装置30は一台の構成として説明しているが、複数台により構成するようにしても良い。その場合、それらのファイアーウォール装置に対応するテンプレートが、テンプレートファイル記憶部12cに記憶されている必要がある。
In FIG. 9, the
なお、テンプレートファイル記憶部12cの内容は管理者により適宜に設定・変更が可能である。
The contents of the template
ファイアーウォール装置30に対応する装置としては、例えば、Check Point社製の「FireWall−1」等がインストールされた装置等が該当する。すなわち、通信部11用のルールセットを、ファイアーウォール装置30向けの設定ファイルに変換する処理は、上述のセキュリティ処理部15向けの設定ファイルに変換する処理と同様の処理を適用することができる。
As an apparatus corresponding to the
図10は、命令記憶部12dで記憶する内容の例について示した説明図である。 FIG. 10 is an explanatory diagram showing an example of contents stored in the instruction storage unit 12d.
図10(a)は、命令記憶部12dで記憶する命令の例について示したブロック図である。 FIG. 10A is a block diagram illustrating an example of instructions stored in the instruction storage unit 12d.
図10(a)に示すように、命令記憶部12dには、1つの命令C1が記憶されているものとする。命令C1はファイアーウォール装置などの外部のネットワーク装置に、設定ファイルを転送・反映するための命令(コマンド)である。そして、命令C1は、2つの命令C11、C12により構成されている。 As shown in FIG. 10A, it is assumed that one instruction C1 is stored in the instruction storage unit 12d. The command C1 is a command (command) for transferring / reflecting the setting file to an external network device such as a firewall device. The instruction C1 includes two instructions C11 and C12.
図10(b)は、命令C11のコード(一般的にUNIX上で実行可能なコード)の例を示しており、図10(c)は、命令C12のコードの例を示している。 FIG. 10B shows an example of the code of the instruction C11 (generally code executable on UNIX), and FIG. 10C shows an example of the code of the instruction C12.
なお、図10では、制御部14Bが変換したファイアーウォール装置30用の設定ファイルは、交換装置10B上の記憶領域で、「/config_file」(ルートディレクトリ上の「config_file」というファイル名のファイル)というファイルで保存されるものとする。
In FIG. 10, the setting file for the
図10に示すように、命令C1は命令C11および命令C12のコードを含んでおり、適宜に参照・実行できるようになっている。したがって、制御部14Bは命令C1を実行することで、命令C11と命令C12を実行することができる。また、制御部14Bが命令C1または命令C11のどちらか一方を実行するように命令C1を実行することも可能である。つまり、命令C1は命令C11と命令C12とのどのように実行するか管理する命令といえる。例えば、命令C1が命令C11と命令C12との実行タイミングを管理することが可能である。命令C1が、「命令C11は04時00分に実行」と設定し、「命令C12は命令C11の実行から24時間後に実行」と設定されているとする。この場合において、制御部14Bが命令C1を2010年1月1日00時00分に実行されると、命令C1は2010年1月1日04時00分になるまで待機してから命令C11を実行し、その後、2010年1月2日04時00分になるまで待機してから命令C12を実行する。 As shown in FIG. 10, the instruction C1 includes the codes of the instruction C11 and the instruction C12, and can be referred to and executed as appropriate. Therefore, the control unit 14B can execute the instruction C11 and the instruction C12 by executing the instruction C1. It is also possible to execute the instruction C1 so that the control unit 14B executes either the instruction C1 or the instruction C11. That is, the instruction C1 can be said to be an instruction for managing how the instruction C11 and the instruction C12 are executed. For example, the instruction C1 can manage the execution timing of the instruction C11 and the instruction C12. It is assumed that the instruction C1 is set as “instruction C11 is executed at 04:00” and “instruction C12 is executed 24 hours after the execution of the instruction C11”. In this case, when the control unit 14B executes the instruction C1 at 00:00 on January 1, 2010, the instruction C1 waits until 01:00 on January 1, 2010 before executing the instruction C11. After that, after waiting until 02:00 on January 2, 2010, the instruction C12 is executed.
ここで、図10(b)において、命令C11の実体はファイアーウォール装置30のIPアドレス「192.168.1.100」にftpで接続し、ユーザー名「administrator」およびパスワード「administrator_passwd」でログインし、ファイアーウォール装置30用に変換したパケットフィルタリングのルールセット「/config_file」のファイルを転送する内容を含んでいる。
Here, in FIG. 10B, the entity of the command C11 is connected to the IP address “192.168.1.100” of the
つまり、命令C11は、命令自身が存在している命令実行環境(交換装置10)内で生成し保持するパケットフィルタリングのルールセットを命令実行環境とは別の装置(ファイアーウォール装置30)に送り込む命令である。 That is, the instruction C11 is an instruction for sending a packet filtering rule set generated and held in the instruction execution environment (switching apparatus 10) in which the instruction itself exists to a device (firewall apparatus 30) different from the instruction execution environment. It is.
さらに、図10(c)において、命令C12の実施はファイアーウォール装置30のIPアドレス「192.168.1.100」にtelnetで接続し、ユーザ名「administrator」およびパスワード「administrator_passwd」でログインし、命令C11で転送したパケットフィルタリングのルールセット「/config_file」のファイルをファイアーウォール装置30に設定するためのコマンド「/usr/sbin/AAA」を実行する内容を含む。
Further, in FIG. 10C, the execution of the instruction C12 is performed by connecting to the IP address “192.168.1.100” of the
つまり、命令C12は、命令実行環境(交換装置10)とは別の装置(ファイアーウォール装置30)にパケットフィルタリングのルールセットを適用(設定)する命令である。 In other words, the command C12 is a command for applying (setting) the packet filtering rule set to a device (firewall device 30) different from the command execution environment (switching device 10).
したがって、命令C1は、命令C11と命令C12とによって、交換装置10で生成するパケットフィルタリングのルールセットを、ファイアーウォール装置30に送り込み適用することができる。
Therefore, the instruction C1 can send and apply the packet filtering rule set generated by the switching
なお、命令記憶部12dの内容は管理者により適宜に設定・変更が可能である。 The contents of the instruction storage unit 12d can be set and changed as appropriate by the administrator.
(C−2)第3の実施形態の動作
次に、以上のような構成を有する第3の実施形態の通信システムにおける交換装置10Bの動作を説明する。
(C-2) Operation of the Third Embodiment Next, the operation of the exchange apparatus 10B in the communication system of the third embodiment having the above configuration will be described.
交換装置10Bのパケットフィルタ処理の動作についても、第2の実施形態と同様に、上述の図5を用いて説明することができる。以下では、第3の実施形態の交換装置10Bの動作について、第2の実施形態との差異について説明する。 The operation of the packet filtering process of the exchange apparatus 10B can also be described using FIG. 5 described above, as in the second embodiment. Below, the difference with 2nd Embodiment is demonstrated about operation | movement of the exchange apparatus 10B of 3rd Embodiment.
交換装置10Bにおいて、上述のステップS101〜S104の動作は、第2の実施形態と同様であるので、説明を省略する。 In the exchange device 10B, the operations in steps S101 to S104 described above are the same as those in the second embodiment, and thus the description thereof is omitted.
異なるのは、ステップS105の内容である。第3の実施形態のステップS105では、制御部14Bは、テンプレートファイル記憶部12cに記憶されたテンプレートを用いて、通信部11用に生成したルールセットを、ファイアーウォール装置30に適用可能な設定ファイルに変換して、ファイアーウォール装置30にその設定ファイルの設定を反映させる処理が追加されている。
What is different is the content of step S105. In step S105 of the third embodiment, the control unit 14B uses the template stored in the template
制御部14Bは、通信部11用のルールセットを生成すると、テンプレートファイル記憶部12cの「ファイアーウォール装置A用テンプレートT3」を利用して、ファイアーウォール装置30に適用可能な設定ファイルに変換する。そして、制御部14Bは、命令記憶部12dの命令C1(C11、C12)を実行して、作成した設定ファイルを、ファイアーウォール装置30に送り込み、送り込んだ設定ファイルによる設定を、ファイアーウォール装置30のパケットフィルタリングに反映させる。
When generating the rule set for the
(C−3)第3の実施形態の効果
第3の実施形態によれば、以下のような効果を奏することができる。
(C-3) Effects of Third Embodiment According to the third embodiment, the following effects can be achieved.
交換装置10Bでは、ファイアーウォールを介してネットワークNに接続する環境でも、テンプレートファイル記憶部12cに記憶されているテンプレートを利用して、そのファイアーウォール装置に、通信部11と同様のルールセットに基づくパケットフィルタリングの設定を行うことができる。すなわち、交換装置10Bでは、ファイアーウォール装置を介してネットワークNに接続する環境でも、そのファイアーウォール装置に通信部11と統一したパケットフィルタリングの設定をすることができる。これにより、交換装置10Bでは、ルールセットの矛盾による通信障害の回避や、セキュリティ内容の一貫性の保持等の効果を奏することができる。
In the exchange apparatus 10B, even in an environment connected to the network N through a firewall, the firewall apparatus is based on the same rule set as that of the
(D)第4の実施形態
次に、本発明による交換装置、交換プログラム、交換方法、及び通信システムの第4の実施形態を、図面を参照しながら詳述する。
第4の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第4の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第4の実施形態について、第1の実施形態との差異について説明する。
(D) Fourth Embodiment Next, a fourth embodiment of the exchange apparatus, exchange program, exchange method, and communication system according to the present invention will be described in detail with reference to the drawings.
The functional configuration of the exchange apparatus according to the fourth embodiment and the connection relations of various related apparatuses (communication system of the fourth embodiment) can also be shown in FIG. 1 described above. Hereinafter, the difference between the fourth embodiment and the first embodiment will be described.
第1の実施形態においては、交換装置10は、単にトランスポートレイヤにおけるパケットフィルタ処理を行うため、交換装置10がSIPに対応する電話端末のみを収容するときにTCPおよびUDPの通信ポートの番号「5060」の通信許可を行うようにしていた。
In the first embodiment, since the switching
一方、第4の実施形態では、TCPおよびUDPのそれぞれについてパケットフィルタ処理を行える点で第1の実施形態と異なっている。 On the other hand, the fourth embodiment differs from the first embodiment in that packet filtering can be performed for each of TCP and UDP.
例えば、交換装置10がSIPに対応する電話端末20のみを収容するときには、UDPの通信ポートの番号「5060」の通信許可を行うようにすれば良く、TCPの通信ポートの番号「5060」の通信については拒否するようにして良いため、許可する通信ポートを絞り込むことができる。
For example, when the switching
交換装置10で、TCPおよびUDPのそれぞれについてパケットフィルタ処理を行う具体的な方法としては、例えば、通信ポートデータ記憶部12bにおいて、各プロトコルが使用する通信ポートの型(TCP又はUDP)を示す「ポート型」という項目の情報を追加して管理するようにしても良い。
As a specific method for performing packet filter processing for each of TCP and UDP in the
図11は、第4の実施形態における通信ポートデータ記憶部12bの内容例について示した説明図である。
FIG. 11 is an explanatory diagram showing an example of the contents of the communication port
図11では、TCP又はUDPを示す「ポート型」の項目の情報が追加されており、例えば、「SIP」であれば、「UDP」のみを用いることを示している。 In FIG. 11, “port type” information indicating TCP or UDP is added. For example, “SIP” indicates that only “UDP” is used.
そして、制御部14では、パケットフィルタリングのルールセットを生成する際には、通信ポートデータ記憶部12bの「通信ポート」に加えて「ポート型」の情報も考慮する。例えば、制御部14は、図11に示す通信ポートデータ記憶部12bの内容に基づいて、「SIP」に係るルールセットを作成する場合には、ポート番号5060のUDPのポートの通信のみを許可し、TCPについては許可しないルールセットを作成する。
Then, when generating the packet filtering rule set, the
(E)第5の実施形態
次に、本発明による交換装置、交換プログラム、交換方法、及び通信システムの第5の実施形態を、図面を参照しながら詳述する。
第5の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第5の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第5の実施形態について、第1の実施形態との差異について説明する。
(E) Fifth Embodiment Next, a fifth embodiment of the exchange device, exchange program, exchange method, and communication system according to the present invention will be described in detail with reference to the drawings.
The functional configuration of the exchange apparatus according to the fifth embodiment and the connection relation of various related apparatuses (communication system of the fifth embodiment) can also be shown in FIG. Hereinafter, the difference between the fifth embodiment and the first embodiment will be described.
第1の実施形態においては、交換装置10は、トランスポートレイヤにおけるパケットフィルタ処理を行った上で、受信するパケットを接続処理部13で処理しており、IPアドレスに基づいて接続処理を行っている。
In the first embodiment, the switching
一方、第5の実施形態では、接続処理部13は、局データ記憶部12aで、疎通フラグが「1」(疎通確認に成功)の電話端末20についてのみ接続処理を行う点で、第1の実施形態と異なっている。すなわち、接続処理部13は、局データ記憶部12aで、疎通フラグが「0」となっている電話端末20から接続があっても、接続処理を行わない。
On the other hand, in the fifth embodiment, the
第1の実施形態においては、交換装置10は、単にトランスポートレイヤにおけるパケットフィルタ処理を行うため、交換装置10がSIPに対応する電話端末のみを収容するときに通信ポートの番号「5060」の通信許可を行い、通信ポートの番号「5060」の通信は接続処理部13のSIPに対応する電話のサービスを提供するプログラムが処理を行う。
In the first embodiment, since the switching
したがって、交換装置10の通信ポートの番号「5060」から流入する通信のすべてを接続処理部13が処理を試みることになる。例えば、プログラム(電話端末20に組み込まれたプログラム等)は一般的に、潜在的なバグ(bug:プログラムの誤り)を含んでいるため、例えば、SIPに対応する電話のサービスを提供するプログラムが接続処理を実施する過程でバグにより元来求めていない動作をする可能性がある。攻撃者が、SIPに対応する電話の通信を装い、交換装置10の通信ポートの番号「5060」に対し攻撃のための通信を流入させることで、交換装置10においてバグの動作を発揮させることが考えられる。つまり、一般的にプログラムは必要最低限の処理を行うようすることが望まれている。
Therefore, the
したがって、接続処理部13が行う接続処理を読み込んだ局データ記憶部12aで疎通フラグが「1」(疎通確認に成功)の電話端末20についてのみ行えば、交換装置10が行う接続処理を、局データ記憶部12aで疎通フラグが「1」となる電話端末20のIPアドレスに関するものに、さらに絞り込むことができる。
Therefore, if only the telephone terminal 20 having the communication flag “1” (successful communication check) in the station data storage unit 12 a that has read the connection process performed by the
なお、ここでは、局データ記憶部12aで疎通フラグが「0」となっている電話端末20の接続処理を接続処理部13により規制する処理について説明したが、制御部14が、疎通フラグが「0」となっている電話端末20からの通信を拒否するようなルールセットを作成して、通信部11等に設定するようにしても良い。
Here, the processing for restricting the connection processing of the telephone terminal 20 in which the communication flag is “0” in the station data storage unit 12 a by the
(F)第6の実施形態
次に、本発明による交換装置、交換プログラム、交換方法、及び通信システムの第6の実施形態を、図面を参照しながら詳述する。
(F) Sixth Embodiment Next, a sixth embodiment of the exchange apparatus, exchange program, exchange method, and communication system according to the present invention will be described in detail with reference to the drawings.
第6の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第6の実施形態の通信システム)についても、上述の図1により示すことができる。以下、第6の実施形態について、第1の実施形態との差異について説明する。 The functional configuration of the exchange apparatus according to the sixth embodiment and the connection relation of various related apparatuses (communication system of the sixth embodiment) can also be shown in FIG. 1 described above. Hereinafter, the difference between the sixth embodiment and the first embodiment will be described.
通常、IP−PBX等の交換装置では、呼制御のための通信の他に、交換装置自身の運用のために必要な通信が存在する。例えば、操作者による遠隔保守に係わる通信や、交換装置と別の交換装置のあいだの同期等が挙げられる。 Usually, in an exchange device such as IP-PBX, communication necessary for the operation of the exchange device exists in addition to communication for call control. For example, communication related to remote maintenance by an operator, synchronization between an exchange device and another exchange device, and the like can be given.
そのため、第6の実施形態では、制御部14が、呼制御のための通信ポートに係わるパケットフィルタのルールセットを生成する際に、交換装置10自身の運用のために必要な通信の通信ポートを含めてパケットフィルタのルールセットを生成して適用するようにした。
Therefore, in the sixth embodiment, when the
図12は、第6の実施形態のポートデータ記憶部12bに記憶する内容の例について示した説明図である。
FIG. 12 is an explanatory diagram illustrating an example of contents stored in the port
図12に示すように、第6の実施形態のポートデータ記憶部12bでは、「運用管理用通信ポート」という項目の情報が追加されており、この「運用管理用通信ポート」の項目に、対応する通信プロトコル種類のプロトコルでサービスを提供する場合に、運用管理上必要となる通信ポートが示されている。すなわち、図12では、通信プロトコル種類ごとに、運用管理用通信ポートが定義されている。
As shown in FIG. 12, in the port
例えば、図12では、通信プロトコル種類が「SIP」の運用管理用通信ポートは、「22」に設定されている。この場合、通信プロトコル種類が「SIP」の場合に、制御部14が生成するパケットフィルタのルールセットでは、通信ポートの項目に記載された「5060」のポートに加えて、運用管理用通信ポートの項目に記載された「22」のポートについて通信許可する内容となる。
For example, in FIG. 12, the communication port for operation management whose communication protocol type is “SIP” is set to “22”. In this case, when the communication protocol type is “SIP”, in the rule set of the packet filter generated by the
ポート番号「22」の通信ポートは、一般的に、SSH(Secure SHell)の通信ポートで交換装置の操作者がSSHによって遠隔操作をする場合に利用する通信ポートである。図12では、通信プロトコル種類が「SIP」「H.323」「独自プロトコルP1」のそれぞれに対応する運用管理用通信ポートに、この「22」の通信ポートが記載されている。したがって、この例の場合、交換装置10が「SIP」、「H.323」、又は「独自プロトコルP1」に対応する電話20を収容するとき、制御部14は、通信を許可する通信ポートとして「22」を含めてパケットフィルタのルールセットを生成する。
The communication port having the port number “22” is generally a communication port for SSH (Secure Shell) and is used when the operator of the exchange apparatus performs remote operation by SSH. In FIG. 12, the communication port for operation management corresponding to the communication protocol types “SIP”, “H.323”, and “unique protocol P1” is described as “22”. Therefore, in this example, when the switching
また、図12に示す通信ポートデータ記憶部12bの例では、通信プロトコル種類「独自プロトコルP1」に対応する運用管理用通信ポートとして、「11001」、「11002」、「11003」が設定されている。したがって、この例の場合、交換装置10が「独自プロトコルP1」に対応する電話20を収容するとき、制御部14は、通信を許可する通信ポートとして「11001〜11003」を含めてパケットフィルタのルールセットを生成する。
In the example of the communication port
ポート番号「11001」の通信ポートは、一般的に、タイミング同期信号通信の通信ポートで、例えば、公衆電話網(PSTN)に接続する外部の回線接続装置と交換装置が互い同期するためにクロック信号をやりとりする通信のための通信ポートである。また、ポート番号「11002」の通信ポートは、一般的に、データ同期通信の通信ポートで、例えば、外部交換装置と交換装置が互いに局ファイル(電話のサービスを提供するプログラムで、例えば、収容する電話端末の情報等を格納したもの)の送受信をする通信ポートである。さらに、ポート番号「11003」の通信ポートは、一般的に、通話路確認通信の通信ポートで、例えば、交換装置が収容する電話端末とのあいだで通信のやりとりをして通話路が正常か否か確認する通信ポートである。 The communication port with the port number “11001” is generally a communication port for timing synchronization signal communication. For example, an external line connection device connected to a public telephone network (PSTN) and a switching device are synchronized with each other to synchronize with each other. It is a communication port for communication to exchange. The communication port having the port number “11002” is generally a communication port for data synchronous communication. For example, the external exchange device and the exchange device are station files (programs that provide telephone services, for example, and are accommodated, for example, This is a communication port for transmitting / receiving telephone terminal information and the like. Further, the communication port with the port number “11003” is generally a communication port for communication path confirmation communication. For example, whether or not the communication path is normal by exchanging communication with a telephone terminal accommodated in the exchange apparatus. This is the communication port to check.
(G)第7の実施形態
次に、本発明による交換装置、交換プログラム、交換方法、及び通信システムの第7の実施形態を、図面を参照しながら詳述する。
(G−1)第7の実施形態の構成
図13は、第7の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第7の実施形態の通信システム)について示したブロック図である。
(G) Seventh Embodiment Next, a seventh embodiment of the exchange apparatus, exchange program, exchange method, and communication system according to the present invention will be described in detail with reference to the drawings.
(G-1) Configuration of Seventh Embodiment FIG. 13 illustrates a functional configuration of an exchange apparatus according to the seventh embodiment and connection relations between various related apparatuses (communication system according to the seventh embodiment). It is the block diagram shown.
第7の実施形態の交換装置10Cでは、データ記憶部12、制御部14が、それぞれデータ記憶部12C、制御部14Cに置き換わっている点で第1の実施形態と異なっている。
The
データ記憶部12Cには、CCB記憶部eが追加されている点で第1の実施形態と異なっている。 The data storage unit 12C is different from the first embodiment in that a CCB storage unit e is added.
一般的に、VoIPにおける交換装置では、CCB(Call Control Block)により電話端末の呼を制御する。ここで、CCBとは、呼の状態(呼状態)を保持する領域のことで、RAMなどにおけるメモリブロックであって、この領域内で電話端末が電話可能状態や通話状態などの電話端末における呼状態を保持するものを指す。すなわち、交換装置が呼処理を行う場合、その交換装置は、まず、メモリ上に当該呼処理に係るCCBを生成しておいて、呼処理を行い、電話端末における呼状態をCCBで保持する。 In general, a switching device in VoIP controls a call of a telephone terminal by CCB (Call Control Block). Here, the CCB is an area for holding a call state (call state), and is a memory block in a RAM or the like. It refers to something that maintains state. That is, when a switching device performs call processing, the switching device first generates a CCB related to the call processing in a memory, performs the call processing, and holds the call state at the telephone terminal in the CCB.
従来の交換装置におけるCCBの概要については、例えば、「特開昭60−182295」(参考文献1)、「特開平7−170547」(参考文献2)等により示されている。 The outline of the CCB in the conventional switching apparatus is shown by, for example, “JP 60-182295” (reference 1), “JP 7-170547” (reference 2), and the like.
第7の実施形態の交換装置10Cも同様に、CCBにより電話端末の呼を制御するものとして説明する。具体的には、交換装置10Cの接続処理部13が呼処理を行うことで、交換装置10Cのメモリ上に確保された領域に形成されたCCB記憶部eに、呼状態の情報を格納し呼状態を保持する。つまり、接続処理部13がCCBを生成し、管理する。
Similarly, the
CCB記憶部eでは、動的メモリアロケーションの固定サイズブロックアロケーションによって、交換装置10のメモリ内に固定サイズのブロックを生成し、このブロックごとをCCBとするものとする。また、交換装置10Cでは、接続処理13に、交換装置10Cのメモリ内に生成したCCBごとの先頭アドレスをポインタとして保持することにより各CCBを管理し、CCB記憶部eを実現するようにしても良い。
The CCB storage unit e generates fixed-size blocks in the memory of the switching
図14は、CCB記憶部eに記憶されるCCBの内容の例について示した説明図である。 FIG. 14 is an explanatory diagram showing an example of the contents of the CCB stored in the CCB storage unit e.
図14に示すように、CCB記憶部eに記憶されるそれぞれのCCBは、「電話番号」、「オーダ」、「呼状態」、及び「対向先」の項目の情報を有している。 As illustrated in FIG. 14, each CCB stored in the CCB storage unit e includes information on items of “telephone number”, “order”, “call state”, and “opposite destination”.
「電話番号」の項目は、当該電話端末20の電話番号を示している。 The item “telephone number” indicates the telephone number of the telephone terminal 20.
「オーダ」の項目は、当該電話端末20により実行された処理(命令)の内容を示しており、例えば、他の電話端末に発呼している場合には「発呼」と入力され、他の電話端末から着信を受けた場合には「着信」と入力されるものとする。 The item “order” indicates the contents of the processing (command) executed by the telephone terminal 20. For example, when calling to another telephone terminal, “calling” is input, When an incoming call is received from a telephone terminal, “incoming call” is input.
「呼状態」の項目は、当該電話端末20の状態を示しており、例えば、当該電話端末20の状態が、他の電話端末と通話中であれば「通話中」と入力される。 The item “call state” indicates the state of the telephone terminal 20. For example, if the state of the telephone terminal 20 is in a call with another telephone terminal, “calling” is input.
「対向先」の項目は、当該電話端末が他の電話端末と通信中であれば、その通信相手の識別番号(ここでは電話番号であるものとする)が入力される。 In the item “opposite destination”, if the telephone terminal is communicating with another telephone terminal, an identification number of the communication partner (assumed to be a telephone number here) is input.
次に、制御部14Cについて、第1の実施形態の差異を説明する。 Next, the difference between the first embodiment and the control unit 14C will be described.
図15は、制御部14内部の機能的構成を示したブロック図である。
FIG. 15 is a block diagram illustrating a functional configuration inside the
制御部14Cでは、第1の実施形態の制御部14の機能的構成(上述の図4参照)に加えて、CCB開放部45を備えている。
The control unit 14C includes a
CCB開放部45は、ルールセット生成部43により生成されたパケットフィルタのルールセットに基づいて、通信を拒否するプロトコルに係るCCBのメモリ領域を、CCB記憶部eから開放(CCBのデータ消去)する。なお、CCB開放部45は、開放するCCBについて、CCB記憶部e上での先頭アドレスを接続処理部13に問い合わせる。
Based on the packet filter rule set generated by the rule set
CCB開放部45は、ルールセット生成部43により生成されたパケットフィルタのルールセットの内容(局データ記憶部12aの内容を含む)と、CCB記憶部eの内容とを比較し、CCB記憶部eで、パケットフィルタのルールセットによりパケット受信を拒否する設定となっている呼の有無を確認する。そして、CCB開放部45は、CCB記憶部eでパケットフィルタのルールセットによりパケット受信を拒否する呼について、CCBを開放する。なお、CCB開放部45による処理の詳細については、後述する動作説明で詳述する。
The
(G−2)第7の実施形態の動作
次に、以上のような構成を有する第7の実施形態の通信システムにおける交換装置10Cの動作を説明する。
(G-2) Operation of Seventh Embodiment Next, the operation of the
図16は、交換装置10Cにおけるパケットフィルタ処理の動作を示したフローチャートである。
FIG. 16 is a flowchart showing the operation of the packet filter process in the
図16に示す、交換装置10Cの動作のステップS201〜S205については、第1の実施形態(上述の図5)のステップS101〜S105と同様の処理であるので詳しい説明を省略する。
Since steps S201 to S205 of the operation of the
ステップS205で、生成部43により生成されたパケットフィルタのルールセットが生成されると、CCB開放部45は、そのルールセットの内容と、CCB記憶部eの内容とを整合させる(S206)。
When the rule set of the packet filter generated by the
ここでは、例として、電話端末20−1と電話端末20−2がSIPを用いた通信中とCCB記憶部e上で登録されている間に、交換装置10Cから、電話端末20−1、20−2への疎通確認が失敗し、パケットフィルタのルールセットに反映された場合を想定する。この場合、交換装置10Cでは、電話端末20−1、20−2間の通信制御もすることができないにも関わらず、CCB記憶部e上での登録は継続しており、電話端末20−1、20−2間の呼処理を継続するためのリソースを消費することになる。そこで、ステップS206では、CCB開放部45により、継続する必要の無い呼処理のリソースを開放する。交換装置10Cから見て、電話端末20−1、20−2の疎通が失敗する要因としては、例えば、二つの電話端末20のそれぞれにおける故障や、二つの電話端末20と交換装置10との間の通信経路上のスイッチやルータ等の通信装置の故障等が挙げられる。
Here, as an example, while the telephone terminal 20-1 and the telephone terminal 20-2 are communicating using SIP and are registered on the CCB storage unit e, the telephone terminals 20-1, 20 are connected from the
次に、CCB開放部45の処理内容の詳細について説明する。
Next, details of processing contents of the
図17は、交換装置10CのCCB開放の動作の詳細について示したシーケンス図である。
FIG. 17 is a sequence diagram showing details of the CCB release operation of the
図17では、電話端末20−1から、交換装置10Cを介して、電話端末20−2へ発呼を行い、通話が確立した後に、交換装置10Cから見て電話端末20−1、20−2と疎通確認が取れなくなった場合の動作について示している。
In FIG. 17, after making a call from the telephone terminal 20-1 to the telephone terminal 20-2 via the
局データ記憶部12aの内容の初期状態は、図2(交換装置10Cと、電話端末20−1、20−2との疎通は可能な状態)の内容であるものとして説明する。また、通信ポートデータ記憶部12bの内容は、図3の内容であるものとして説明する。
The initial state of the content of the station data storage unit 12a will be described as the content of FIG. 2 (a state where communication between the
まず、電話端末20−1から、交換装置10Cへ、電話端末20−2へ向けた発呼信号(パケット)があると(S301)、交換装置10Cはその発呼信号に基づいた呼処理を行い(S302)、その発呼信号に基づいて、さらに電話端末20−2へ発呼信号(パケット)を送信する(S303)。
First, when there is a call signal (packet) from the telephone terminal 20-1 to the
そして、その後、電話端末20−1からの発呼が電話端末20−2へ着信し、電話端末20−1と電話端末20−2とが通話状態になったものとする(S304)
ステップS304の時点で、電話端末20−1のCCBの内容は、図14のようになっており、電話端末20−2のCCBの内容は、図18のようになっているものとする。電話端末20−1のCCBは、図14に示すように、「電話番号」は「12」、「オーダ」は「発呼」、「呼状態」は「通話中」、「対向先」は「13」となっているものとする。
After that, a call from the telephone terminal 20-1 arrives at the telephone terminal 20-2, and the telephone terminal 20-1 and the telephone terminal 20-2 are in a call state (S304).
At the time of step S304, the contents of the CCB of the telephone terminal 20-1 are as shown in FIG. 14, and the contents of the CCB of the telephone terminal 20-2 are as shown in FIG. As shown in FIG. 14, the CCB of the telephone terminal 20-1 is “12” for “telephone number”, “calling” for “order”, “busy” for “call state”, “ 13 ”.
また、電話端末20−2のCCBは、図18に示すように、「電話番号」は「13」、「オーダ」は「着信」、「呼状態」は「通話中」、「対向先」は「12」となっているものとする。 As shown in FIG. 18, the CCB of the telephone terminal 20-2 is “13” for “phone number”, “incoming” for “order”, “busy” for “call status”, and “destination” for It is assumed that it is “12”.
そして、その後、ネットワーク障害等により、交換装置10Cと、電話端末20−1、20−2との間の通信が不可の状態になり、交換装置10Cから電話端末20−1、20−2への疎通確認が失敗したものとする(S305、S306)。
Then, communication between the switching
そうすると、交換装置10Cでは、局データ記憶部12aで、電話端末20−1、20−2の疎通フラグが「0」になり、SIPを用いて接続中の電話端末20が存在しないことになる。一方、CCB記憶部eにおいて、電話端末20−1、20−2のCCBは、それぞれ図14、図18のように、電話端末20−1、20−2の間の通話状態が継続した状態になっているものとする。
Then, in the
この場合、まず、制御部14Cのルールセット生成部43は、SIPによる通信を拒否する(通信ポートの番号「5060」に係わるパケットを受信しない)パケットフィルタリングのルールセットを作成する。そして、ルールセット設定部44は、生成したルールセットを通信部11に反映させる(S307)。
In this case, first, the rule set
次に、制御部14CのCCB開放部45は、生成したルールセットの内容と、CCB記憶部eの内容とを比較する。そして、CCB開放部45は、必要に応じてCCBを開放することにより、ルールセットの内容とCCB記憶部eの内容との整合を図る(S308)。
Next, the
次に、ステップS308の処理の詳細について説明する。 Next, details of the processing in step S308 will be described.
制御部14CのCCB開放部45は、生成したルールセットの内容を参照しSIPの通信を拒否(つまりルールセットにSIPに係わる設定が含まれていない)ことを識別する。そして、CCB開放部45は、接続処理部13に、SIPに係わるCCBにアクセスするための情報(CCB記憶部eが構築されたメモリ上の先頭アドレス(該当するCCBのヒープ領域の先頭アドレス))を問い合わせる。そして、CCB開放部45は、SIPに係わるCCBを開放(各CCBのヒープ領域のそれぞれを開放)する。接続処理部13はCCBを生成するにあたりCCBのヒープ領域を動的メモリアロケーションの固定サイズブロックアロケーションによって固定サイズのブロックごとをCCBとして生成するから、ブロックの先頭アドレスを取得すれば、メモリ内に存在するブロックの位置を捕捉し、先頭アドレスから始まるブロックを開放すれば1つのCCBを開放できる。
The
なお、制御部14Aで生成されるルールセットについては、上述の第5の実施形態と同様に、それぞれの電話端末20に対する疎通確認結果を反映させた内容としても良く、その場合には、電話端末20ごと、又は、呼ごとにCCBの開放処理が行われることになる。 In addition, about the rule set produced | generated by 14 A of control parts, it is good also as the content which reflected the communication confirmation result with respect to each telephone terminal 20, like the above-mentioned 5th Embodiment, In that case, a telephone terminal CCB release processing is performed every 20 or for each call.
(G−3)第7の実施形態の効果
第7の実施形態によれば、以下のような効果を奏することができる。
(G-3) Effects of Seventh Embodiment According to the seventh embodiment, the following effects can be achieved.
交換装置10Cでは、CCB開放部45により、生成したルールセットの内容に応じて、疎通確認に失敗した電話端末20の呼に係るCCBを開放することにより、処理量を低減することや、メモリ領域等のリソースを効率的に利用すること等の効果を奏する。
In the
また、CCB上では呼状態が通話中にも関わらず、当該電話端末20と交換装置10Cと通信できない場合には、接続処理部13による通常の呼制御処理で、タイムアウトによるセッション終了が発生する場合もある。その場合でも、そのタイムアウト時間より疎通フラグに係る疎通確認の間隔を、短く設定しておけば、CCB開放部45により、そのタイムアウト時間が経過する前に、CCBの開放を行うことができる。
In addition, when the call state on the CCB cannot be communicated with the telephone terminal 20 and the
さらに、交換装置10Cでは、疎通フラグに係る疎通確認により、それぞれの電話端末20との接続状態を監視し、通信中に疎通確認に失敗した電話端末20に係るCCBをCCB開放部45により開放するので、接続処理部13での上述のタイムアウト制御を省略することができるため、処理量を低減することができる。
Further, in the
(H)第8の実施形態
次に、本発明による交換装置、交換プログラム、交換方法、及び通信システムの第8の実施形態を、図面を参照しながら詳述する。
(H) Eighth Embodiment Next, an eighth embodiment of the exchange apparatus, exchange program, exchange method, and communication system according to the present invention will be described in detail with reference to the drawings.
(H−1)第8の実施形態の構成
以下、第8の実施形態について第6の実施形態との差異を説明する。
(H-1) Configuration of Eighth Embodiment Hereinafter, differences of the eighth embodiment from the sixth embodiment will be described.
図19は、第8の実施形態に係る交換装置の機能的構成及び、関係する各種装置の接続関係など(第8の実施形態の通信システム)について示したブロック図である。 FIG. 19 is a block diagram illustrating the functional configuration of the exchange apparatus according to the eighth embodiment and the connection relations of various related apparatuses (communication system according to the eighth embodiment).
図19に示す第8の実施形態の通信システムでは、2台の交換装置10D(10D−1、10D−2)が配置されており、この2台の交換装置10D−1、10D−2は、冗長構成となっている。すなわち、交換装置10D−1、10D−2は、いずれか一方が障害等により交換装置として機能しない状態となった場合でも、他方で運用が可能な構成となっている。
In the communication system of the eighth embodiment shown in FIG. 19, two
また、ここでは、それぞれの交換装置10Dは、第6の実施形態とほぼ同様の構成を備えているものとして説明する。それぞれの交換装置10Dは、他の交換装置10Dと連携して冗長構成を実現するための構成(例えば、パケットフィルタのルールセットに係る情報をやりとりする構成等)が追加されている点で、第6の実施形態のものと異なっている。
Here, each
また、第6の実施形態と同様に、第8の実施形態においても、各交換装置10D及び各電話端末20は、独自プロトコルP1に対応しているものとする。
Similarly to the sixth embodiment, in the eighth embodiment, each switching
第6の実施形態で説明した、交換装置及び交換プログラムは、呼制御のための通信ポートに係わるパケットフィルタのルールセットを生成する際に、交換装置及び交換プログラム自身の運用のために必要な運用管理用通信ポートを含めてパケットフィルタのルールセットを生成して適用するものであった。また、運用管理用通信ポートのうち、ポート番号「11002」の通信ポートは、一般的に、データ同期通信の通信ポートであった。 The switching apparatus and the switching program described in the sixth embodiment are necessary for the operation of the switching apparatus and the switching program itself when generating the packet filter rule set related to the communication port for call control. A packet filter rule set including a management communication port is generated and applied. Of the operation management communication ports, the communication port with the port number “11002” is generally a communication port for data synchronous communication.
交換装置10D−1と交換装置10D−2との間の冗長構成の具体的な方式については限定されないものであるが、例えば、コールドスタンバイ(cold standby)方式、ホットスタンバイ(hot standby)方式、ウォームスタンバイ(warm standby)方式等の方式をとりえる。コールドスタンバイ方式としては、例えば、運用系の装置を動作させている間、待機系の装置は動作させずに待機状態にしておき、運用系に障害が発生した場合に待機系の装置を立ち上げて運用系とする方式が該当する。ウォームスタンバイ方式としては、例えば、待機系については電源を入れて起動した状態にしておき、運用系に障害が発生した場合に、待機系のシステムが運用系に切り替わって動作する方式が該当する。ホットスタンバイ方式としては、例えば、待機系の装置も常に立ち上げておき、運用系の装置とデータの同期などを絶えず行った状態にしておき、運用系の装置に障害が発生した場合には、即時に待機系の装置が運用系に切り替わって動作する方式が該当する。
The specific method of the redundant configuration between the
ここでは、交換装置10D−1、10D−2は、上述のホットスタンバイ方式の冗長構成となっているものとして説明する。また、交換装置10Dが切り替わった場合には、電話端末20からのアクセス先も変更する必要があるが、この切替え方式については限定されないものであり、例えば、既存の仮想IPアドレスを用いた方式や、電話端末20側で各交換装置10Dに優先順位を付けて順番にアクセスする方式等の、既存の種々の方式を適用することができる。
Here, the
交換装置10D−1と交換装置10D−2との間では、運用系や待機系の決定等の冗長構成を運用するための通信(以下、「デュプレックスシステム通信」という)を互いに行う。この実施形態において、この通信は、通信ポート「11001〜11003」のいずれかを用いて行われるものとする。したがって、それぞれの交換装置10Dでは、タイミング同期信号通信、データ同期通信、通話路確認通信に加えて、デュプレックスシステム通信も行われることになるため、このデュプレックスシステム通信に用いられる通信ポートについても通信可能な設定となっている。
Between the
なお、交換装置10Dが切り替わった場合には、切替え元の交換装置10Dが電話端末20と保持していたセッションを、切替え先の交換装置10Dへ引き継ぐことが、通信システムのサービス上好ましいが、このセッション引継ぎの方式についても、既存の冗長化された交換装置と同様の処理を適用することができる。この場合、セッション引継ぎに必要なデータの同期について、デュプレックスシステム通信を用いて行うようにしても良い。
When the
次に、各交換装置10Dの内部構成について説明する。ここでは、交換装置10D−1、10D−2は、同じ構成であるものとして説明する。
Next, the internal configuration of each
図20は、交換装置10Dの機能的構成について示したブロック図である。
FIG. 20 is a block diagram showing a functional configuration of the
交換装置10Dでは、制御部14が制御部14Dに置き換わっている点で、第6の実施形態と異なっている。
The
制御部14Dは、第6の実施形態の制御部14とほぼ同様のものであるが、他の交換装置10Dとのあいだで、デュプレックスシステム通信を行う点等、他の交換装置10Dと連携して冗長構成を実現するための処理(装置内の各構成要素に対する制御処理を含む)を行う構成が追加されている点で異なっている。
The control unit 14D is substantially the same as the
図21は、制御部14Dの内部の機能的構成について示したブロック図である。 FIG. 21 is a block diagram showing a functional configuration inside the control unit 14D.
図21に示すように、制御部14Dでは、冗長構成制御部45が追加されている点で、第6の実施形態と異なっている。この冗長構成制御部45が、制御部14Dにおいて、他の交換装置10Dと連携する等、冗長構成を実現するための処理を行う機能を担っている。
As shown in FIG. 21, the control unit 14D is different from the sixth embodiment in that a redundant
次に、交換装置10D−1、10D−2の間(交換装置10D−1の制御部14Dと、10D−2の制御部14Dとの間)で行われる冗長構成に係る処理の概要について説明する。
Next, an outline of processing related to a redundant configuration performed between the
交換装置10D−1と交換装置10D−2とは、デュプレックスシステム通信等を利用して、互いに運用系か待機系かを決定(以下、「冗長構成制御」という)するものとする。交換装置10D−1と交換装置10D−2との間で、いずれを運用系又は待機系と決定するかの処理(アルゴリズム)については限定されないものであるが、例えば、既存のサーバ装置やネットワーク装置における冗長構成と同様の処理を適用することができる。例えば、交換装置10Dごとに優先順位を付与しておき、優先順位の高い交換装置10Dが、優先的に待機系又は運用系のいずれかの状態(動作モード)となることを決定して、他の交換装置10Dに通知し、その通知を受けた交換装置10Dはその通知内容に従って自装置の状態(運用系又は待機系)を決定するようにしても良い。また、交換装置10Dは、ネットワーク障害等により、他の交換装置10Dとデュプレックスシステム通信ができない場合には、予め自装置に設定された内容に応じて、自装置の状態(運用系又は待機系)を決定するようにしても良い。
The
なお、冗長構成制御部45に、予め同じ冗長構成のシステムを構成する交換装置10Dの識別情報(IPアドレス等)を設定し、デュプレックスシステム通信する際には、その識別情報を用いて通信するようにしても良い。
It should be noted that identification information (IP address, etc.) of the
例えば、交換装置10D(制御部14D)は、自装置が運用系のとき、冗長構成制御(デュプレックスシステム通信)により、自装置を待機系とする旨が決定された場合、自装置を運用系から待機系に切り替える制御を行う。また、交換装置10D(制御部14D)は、自装置が運用系のとき、冗長構成制御により自装置を運用系にする旨が決定された場合、運用系を維持する。
For example, when the
また、交換装置10D(制御部14D)は、自装置が待機系のとき、冗長構成制御(デュプレックスシステム通信)により、自装置を運用系にする旨が決定された場合には、自装置を待機系から運用系に切り替える制御を行う。また、交換装置10D(制御部14D)は、自装置が待機系のとき、冗長構成制御により待機系にする旨が決定された場合には、待機系を維持する。
In addition, when the own apparatus is a standby system, the
さらに、交換装置10D(制御部14D)は、自装置の状態(運用系または待機系)に応じて、他の交換装置10Dとのデュプレックスシステム通信により、パケットフィルタのルールセットに係る情報のやりとり(以下、「冗長構成パケットフィルタルール制御」という)を行う。具体的には、交換装置10D(制御部14D)は、自装置が運用系のとき、パケットフィルタリング処理のルールセット生成設定を行うと、続いて、自装置に設定したパケットフィルタリング処理のルールセット(少なくとも新たに更新された部分のデータを含む)と同様の内容を、デュプレックスシステム通信により、待機系の交換装置10Dに対し通知する処理を行う。
Furthermore, the
また、交換装置10D(制御部14D)は、自装置が待機系のとき、他の交換装置10Dからパケットフィルタリング処理のルールセットの通知を受けると、通知されたパケットフィルタリング処理のルールセットを自装置に対し設定する処理を行う。
When the
図22は、交換装置10Dの状態(起動直後、運用系の場合、待機系の場合)ごとの各構成要素の動作状態の例について示した説明図である。
FIG. 22 is an explanatory diagram showing an example of the operation state of each component for each state of the
まず、交換装置14Dの起動直後の動作状態について説明する。 First, an operation state immediately after starting the exchange device 14D will be described.
交換装置14Dは起動直後において、図22に示すように、接続処理部13を「活性状態」、局データ読込み部41を「活性状態」、通信ポート調査部42を「活性状態」、ルールセット生成部43を「活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」にそれぞれ保つものとする。この状態で、接続処理部13は局データを読み込み、局データ読込み部41は接続処理部13が読み込んだ局データのうち疎通フラグが「1」の電話端末20ごとに、対応するVoIPの通信プロトコルの種類の情報を取得する。そして、通信ポート調査部42は、局データ読込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成し、ルールセット設定部44はルールセット生成部43が生成したルールセットを通信部11に設定できるようになる。つまり、交換装置14Dは、起動すると、少なくとも呼処理(呼制御)とパケットフィルタのルールセットの生成と設定を行う。
Immediately after activation, the exchange device 14D generates a rule set as shown in FIG. 22, in which the
交換装置14Dは起動直後の状態から、デュプレックスシステム通信(冗長構成制御部45による冗長構成制御)に基づき、運用系または待機系の状態に移行する。 The switching device 14D shifts from the state immediately after startup to the active or standby state based on duplex system communication (redundant configuration control by the redundant configuration control unit 45).
次に、交換装置14Dが起動した後、運用系として動作する場合の状態について説明する。 Next, a description will be given of a state in which the switching apparatus 14D is activated and then operates as an active system.
交換装置14Dは運用系に移行すると、図22に示すように、接続処理部13を「活性状態」、局データ読込み部41を「活性状態」、通信ポート調査部42を「活性状態」、ルールセット生成部43を「活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」に制御するものとする。このとき、交換装置14Dは、呼処理(呼制御)と、パケットフィルタのルールセットの生成及び設定を行う。さらに、交換装置14Dは、生成したパケットフィルタのルールセットをデュプレックスシステム通信により、他の交換装置14Dに通知する。
When the switching device 14D shifts to the active system, as shown in FIG. 22, the
具体的には、運用系として動作する交換装置14Dにおいて、接続処理部13は局データを読み込み、局データ読込み部41は接続処理部13が読み込んだ局データのうち疎通フラグが「1」の電話端末20ごとに対応するVoIPの通信プロトコルの種類の情報を取得する。そして、通信ポート調査部42は、局データ読込み部41が取得したVoIPの通信プロトコルの種類の情報に対応する通信ポートの番号を取得する。そして、ルールセット生成部43は、通信ポート調査部42が取得した通信ポートの番号の通信を許可するパケットフィルタリングのルールセットを生成する。そして、ルールセット設定部44は、ルールセット生成部43が生成したルールセットを通信部11に設定できるようになる。冗長構成制御部45は、ルールセット生成部43が生成したルールセットを、デュプレックスシステム通信により待機系の冗長構成制御部45に通知する。
Specifically, in the exchange device 14D operating as an active system, the
運用系として動作している交換装置14Dの冗長構成制御部45は、デュプレックスシステム通信により、待機系への切り替えが決定すると、制御部14Dに対し、待機系への移行を依頼する。制御部14Dは、待機系への移行の依頼を受けると活性状態の接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43を不活性状態とし、当該交換装置14Dは運用形から待機系に移行する。
When the switching to the standby system is determined by duplex system communication, the redundant
次に、交換装置14Dが起動した後、待機系として動作する場合の状態について説明する。 Next, a description will be given of a state in which the exchange device 14D operates as a standby system after being activated.
交換装置14Dは待機系に移行すると、図22に示すように、接続処理部13を「不活性状態」、局データ読込み部41を「不活性状態」、通信ポート調査部42を「不活性状態」、ルールセット生成部43を「不活性状態」、ルールセット設定部44を「活性状態」、冗長構成制御部45を「活性状態」に制御する。このとき、交換装置14Dは、呼処理(呼制御)とパケットフィルタのルールセットの生成を行わない。ただし、交換装置14Dは、デュプレックスシステム通信により通知されるパケットフィルタのルールセットの設定は行う。
When the switching device 14D shifts to the standby system, as shown in FIG. 22, the
具体的には、待機系として動作する交換装置14Dにおいて、接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43は機能しない。ただし、待機系の交換装置14Dでは、ルールセット設定部44は活性しているため、パケットフィルタのルールセットを通信部11に設定することはできる。待機系の交換装置14Dにおいて、冗長構成制御部45は、他の運用系の交換装置14Dからデュプレックスシステム通信によりパケットフィルタのルールセットを通知されると、パケットフィルタのルールセットをルールセット設定部44に与え設定を促す。
Specifically, in the exchange device 14D that operates as a standby system, the
待機系の交換装置14Dにおいて、冗長構成制御部45は、デュプレックスシステム通信により、運用系への切り替えが決定すると、制御部14Dに対し運用系への移行を依頼する。待機系の交換装置14Dにおいて、制御部14Dは、運用系への移行の依頼を受けると不活性状態の接続処理部13、局データ読込み部41、通信ポート調査部42、ルールセット生成部43を活性状態とし、待機系の交換装置14Dは運用系の交換装置10Dに移行する。
In the standby switching apparatus 14D, when the switching to the active system is determined by duplex system communication, the redundant
(H−2)第8の実施形態の動作
次に、以上のような構成を有する第8の実施形態の通信システムにおける交換装置10D−1、10D−2の動作を説明する。
(H-2) Operation of Eighth Embodiment Next, the operation of switching
(H−2−1)起動及び冗長構成
ここでは、まず、交換装置10D−1、10D−2が起動して冗長構成となる動作について説明する。
(H-2-1) Startup and Redundant Configuration Here, first, the operation of the switching
図23は、交換装置10D−1、10D−2が起動して冗長構成となるまでの動作の例について示したフローチャートである。
FIG. 23 is a flowchart illustrating an example of an operation from when the switching
図23のフローチャートの処理以前の状態として、交換装置10D−1の電源オン(ON)の状態であるものとし、交換装置10D−2が電源オフ(OFF)の状態であるものとする。また、交換装置10D−2はネットワークNとの接続経路が断たれた状態(例えばネットワークケーブルが抜かれた状態等)であるものとする。
As a state before the processing of the flowchart of FIG. 23, it is assumed that the
また、図23のフローチャートの処理以前の前提として、システム管理者等により、番号計画が行われ、交換装置に対する局データ、通信ポートデータ(「通信プロトコル種類」、「通信ポート」)、電話のサービスを提供するプログラム等が、予め生成されているものとする。なお、上述の局データ、通信ポートデータ等は、第6の実施形態と同様の形式のものを適用することができる。 Further, as a precondition before the processing of the flowchart of FIG. 23, a number plan is performed by a system administrator or the like, and station data, communication port data (“communication protocol type”, “communication port”), telephone service for the switching device It is assumed that a program or the like that provides is generated in advance. Note that the above-described station data, communication port data, and the like can be applied in the same format as in the sixth embodiment.
そして、次に、システム管理者等により、上述の予め生成された局データ、通信ポートデータ等(電話サービスを提供するための処理プログラムを含むようにしても良い)が、交換装置10D−1に対し設定(インストール等)されたものとする(S401)。
Then, the system administrator or the like sets the above-mentioned pre-generated station data, communication port data, etc. (which may include a processing program for providing a telephone service) for the
次に、交換装置10D−1では、第6の実施形態と同様に、パケットフィルタの設定が行われたものとする(S402)。
Next, in the
次に、交換装置10Dは、冗長構成の対向装置である交換装置10D−2に、デュプレックスシステム通信を試みる(S403)。
Next, the
しかしながら、この時点では、交換装置10D−1では、対向の交換装置10D−2と通信できないため、当然デュプレックスシステム通信を行うこともできず、自装置に予め設定されたプログラムに従って、起動初期は単独で運用系で動作する(シングル構成)と決定したものとする。そして、交換装置10D−1は、その決定に従って、運用系での動作を開始したものとする(S404)。すなわち、ここでは、各交換装置10D−1には、起動直後に交換装置10D−2と通信できない場合には、単独で自装置を運用系として動作させると決定する旨がプログラミングされているものとする(デュプレックスシステム通信不可の場合には無条件で運用系として動作するようにプログラミングしても良い)。そして、交換装置10D−1は、上述のステップS403で開始したデュプレックスシステム通信(冗長構成制御部の冗長構成制御)を、定期的に試みつつ自装置を運用系として動作させ、通信システムの運用を行う。なお、交換装置10D−1が通信システムの運用を行うとは、接続処理部13の処理と、制御部14の処理を開始していることを示すものとする。
However, at this time, since the
そして、その後、システム管理者により、交換装置10D−2に対し電源オン(ON)の操作が行われ、交換装置10D−1に対して設定(インストール等)された局データ、通信ポートデータ等が、交換装置10D−2にも設定されたものとする(S405)。
Thereafter, the system administrator performs a power-on (ON) operation on the
次に、交換装置10D−2は、第6の実施形態の交換装置と同様にパケットフィルタの設定を行う(S406)。
Next, the
次に、交換装置10D−2は、冗長構成の対向装置である交換装置10D−1に、デュプレックスシステム通信を行い、冗長構成への移行を試みる(S407)。
Next, the
しかしながら、この時点において、交換装置10D−2では、対向の交換装置10D−1と通信できない(ネットワークNとの接続経路が断たれた状態である)ため、デュプレックスシステム通信を行うこともできず、自装置に予めに設定されたプログラムに従って、起動初期は単独で待機系で動作する(シングル構成)と決定したものとする。そして、交換装置10D−2は、その決定に従って、待機系での動作を開始したものとする(S408)。すなわち、ここでは、各交換装置10D−2には、起動初期において交換装置10D−1と通信できない場合には、単独で自装置を待機系として動作させると決定する旨がプログラミングされているものとする。
However, at this point in time, the
そして、交換装置10D−2は、上述のステップS407で開始したデュプレックスシステム通信(冗長構成制御部の冗長構成制御)を、定期的に試みつつ自装置を待機系として動作させ、通信システムの運用に向け待機する。なお、交換装置10D−2が電話システムの運用に向け待機するとは、交換装置10D−2の接続処理部13の処理と、制御部14Dの処理を停止(パケットフィルタリング処理のルールセット生成設定を停止)していることを示すものであるものとする。具体的には、交換装置10D−2は、上述の通り、通信システムの運用に向け待機しているあいだ、少なくともルールセット生成部43を非活性状態にする。つまり、待機系に設定された交換装置10D−2は、起動後に一度パケットフィルタリング処理のルールセット生成設定を行うが、この時点では、交換装置10D−1とデュプレックスシステム通信できないため、パケットフィルタリング処理のルールセット設定ができないまま待機していることになる。なお、待機系に設定された交換装置10D−2において、対向の交換装置10D−1とデュプレックスシステム通信できない間は、さらにルールセット設定部44を非活性状態に制御して、完全にパケットフィルタリング処理のルールセット設定を停止して待機するようにしても良い。
Then, the
そして、その後、システム管理者により、待機系で動作している交換装置10D−2がネットワークNに接続されたものとする。そして、交換装置10D−1と交換装置10D−2との間では、デュプレックスシステム通信での相互通信が開始される(S409)。
After that, it is assumed that the
交換装置10D−1と交換装置10D−2とは、デュプレックスシステム通信のやりとりにより対向装置が運用系か待機系かを把握する。この場合、交換装置10D−1が運用系、交換装置10D−2が待機系として冗長構成を構成するよう設定されていることから、交換装置10Dは運用系を維持するため交換装置10D−2に待機系に移行する旨を与え、交換装置10D−2は待機系に移行する旨を受けることで待機系を維持するものとする。
以上のように、この実施形態の通信システムでは、交換装置10D−1、10D−2を起動して通信システムの運用を開始可能な状態とする処理(局建て)を行う。
As described above, in the communication system according to the present embodiment, the processing (station building) is performed in which the
図24は、交換装置10Dの動作の詳細について示したシーケンス図である。
FIG. 24 is a sequence diagram showing details of the operation of the
図24では、まず、交換装置10D−1が運用系のときのパケットフィルタリング処理のルールセット生成設定し、その後、交換装置10D−1が待機系に切り替わり、交換装置10D−2から通知されたパケットフィルタリング処理のルールセット設定をする場合について示している。
In FIG. 24, first, a rule set generation setting for packet filtering processing when the
まず、図24のシーケンス図の処理の前において、交換装置10D−1が運用系、交換装置10D−2が待機系として動作し、冗長構成が組まれているものとする(すなわち、上述の図23のシーケンス図の処理が終了した状態)。さらに、交換装置10D−1、10D−2の冗長構成にて通信システムの運用を、開始しているものとする。
First, before the processing of the sequence diagram of FIG. 24, it is assumed that the
まず、交換装置10D−1と交換装置10D−2との間では、運用のために必要な通信である、タイミング同期信号通信、データ同期通信、通話路確認通信、デュプレックスシステム通信が相互に周期的に行われているものとする(S501)。これら、通信により、待機系の交換装置10D−2では、運用系の交換装置10D−1から送られてくるパケットフィルタリング処理のルールセットに基づき自装置の設定を更新するようになる。
First, between the switching
なお、運用系の交換装置10Dから待機系の交換装置10Dに対してパケットフィルタリング処理のルールセットを送信する際に、次に運用系に移行する際に必要となる他のデータも含めたデータ(例えば、局ファイル)として送信するようにしても良い。局ファイルとしては、パケットフィルタリング処理のルールセットに加えて、例えば、通信システムにおいてサービスを提供するプログラム、収容する電話端末の情報、局データ記憶部12aの更新内容、通信ポートデータ記憶部12bの更新内容、及び接続処理部13の更新内容等を含むようにしても良い。
In addition, when a rule set for packet filtering processing is transmitted from the
そして、ネットワークNには、独自プロトコルP1に対応した電話端末20が含まれている。したがって、交換装置10D−1では、第1の実施形態および第6の実施形態のS101〜S105の処理に基づき、制御部14Dにより、独自プロトコルP1「10001〜10003」のポートに加えて、運用管理用通信ポート「22、11001〜11003」のポートについて通信許可する内容のパケットフィルタのルールセットが生成され設定される(S502)。
The network N includes a telephone terminal 20 corresponding to the unique protocol P1. Therefore, in the
このとき、交換装置10D−1は、運用系として動作していることから、自装置に設定したパケットフィルタリング処理のルールセットを交換装置10D−2に対し通知する(S503)。ステップS502の通知は、交換装置10D−1から交換装置10D−2に対するデュプレックスシステム通信を用いて通知される。そして、交換装置10D−2は、通知されたパケットフィルタリング処理のルールセットを自装置に対する設定に用いる。
At this time, since the
そして、その後、交換装置10D−1は、デュプレックスシステム通信により待機系に移行すると決定し、運用系から待機系に切り替わったものとする(S504)。交換装置10D−1は、待機系に移行したことで、デュプレックスシステム通信等により運用系に移行すると決定するまで、待機系を維持する。
Then, after that, the
そして、交換装置10D−1が待機系に移行した後、交換装置10D−2から最新のパケットフィルタリング処理のルールセットの通知を受けると(S505)、通知されたパケットフィルタリング処理のルールセットを自装置に対し設定する処理を行う(S506)。
Then, after switching
そしてその後、交換装置10D−1は、デュプレックスシステム通信により運用系に移行すると決定すると、待機系から運用系に切り替わる(S507)。交換装置10D−1は、運用系に移行したことで、デュプレックスシステム通信により待機系に移行すると決定するまで、運用系を維持する。
After that, when it is determined that the
ここで、交換装置10D−1は、運用系に移行したことで、運用系としての処理を開始する。つまり、運用系の交換装置10D−1は、待機系であるときに更新したルールセットで、通信システムの運用を開始する。したがって、交換装置10D−1は、最新のルールセットが設定された状態で処理が開始できることになる。
Here, the
(H−3)第8の実施形態の効果
第8の実施形態によれば、以下のような効果を奏することができる。
(H-3) Effects of Eighth Embodiment According to the eighth embodiment, the following effects can be achieved.
第8の実施形態では、交換装置14Dは、起動直後にパケットフィルタの生成・設定を行ってセキュリティを確保することができる。 In the eighth embodiment, the exchange device 14D can ensure security by generating and setting a packet filter immediately after startup.
また、交換装置14Dは、待機系又は起動直後の状態から運用系に移行するとき、移行前(起動直後または待機系のとき)に設定されたパケットフィルタのルールセットで動作する。すなわち、交換装置14Dは、運用系に移行当初から、最新のルールセットによりセキュリティを確保した状態で動作することができる。言い換えると、交換装置14Dは、運用系に移行するときに、パケットフィルタリング処理のルールセット生成設定にかかわるタイムラグなく移行することができる。 Further, when the switching device 14D shifts from the standby system or the state immediately after startup to the active system, the switching device 14D operates according to the packet filter rule set set before the shift (immediately after startup or at the standby system). That is, the exchange device 14D can operate in a state where security is ensured by the latest rule set from the beginning of the transition to the operational system. In other words, the switching device 14D can move without a time lag related to the rule set generation setting of the packet filtering process when shifting to the active system.
さらに、交換装置14Dは、運用系又は起動直後の状態から待機系に移行しても、移行前(起動直後、運用系のとき)に設定されたパケットフィルタのルールセットで動作してセキュリティを確保した状態を維持する。また、交換装置14Dは、待機系への移行後も、運用系の交換装置14Dから供給される最新のパケットフィルタのルールセットで、セキュリティを確保した状態を継続するめ、常にセキュリティを確保しつつ、利便性を向上させることができる。 Further, even if the switching apparatus 14D shifts from the active system or immediately after startup to the standby system, it operates with the rule set of the packet filter set before the transition (immediately after startup, at the active system) to ensure security. Maintain the state. In addition, the switching device 14D maintains the security state with the latest packet filter rule set supplied from the active system switching device 14D even after the transition to the standby system. Convenience can be improved.
(I)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(I) Other Embodiments The present invention is not limited to the above-described embodiments, and may include modified embodiments as exemplified below.
(I−1)第3の実施形態では、交換装置がセキュリティ処理部を備えているが、省略するようにしても良い。その場合、テンプレートファイル記憶部には、外部のネットワーク装置(ファイアーウォール装置)のテンプレートだけを記憶するようにしても良い。 (I-1) In the third embodiment, the exchange apparatus includes a security processing unit, but may be omitted. In that case, the template file storage unit may store only the template of the external network device (firewall device).
また、第4の実施形態の通信ポートの型に応じたパケットフィルタリングのルールセットを生成する構成については、第1の実施形態以外の各実施形態に適用するようにしても良い。 The configuration for generating the packet filtering rule set corresponding to the communication port type according to the fourth embodiment may be applied to each embodiment other than the first embodiment.
さらに、第5の実施形態で、疎通確認が失敗した電話端末の接続処理を規制する構成については、第1の実施形態以外の各実施形態に適用するようにしても良い。 Furthermore, in the fifth embodiment, the configuration for restricting the connection processing of the telephone terminal for which the communication confirmation has failed may be applied to each embodiment other than the first embodiment.
さらにまた、第6の実施形態において、運用管理用通信ポートに関するパケットフィルタリングのルールセットを生成する構成を、第1の実施形態以外の各実施形態に適用するようにしても良い。 Furthermore, in the sixth embodiment, a configuration for generating a packet filtering rule set related to an operation management communication port may be applied to each embodiment other than the first embodiment.
また、第7の実施形態で、ルールセットの内容に応じてCCBの開放を行う構成について、第1の実施形態以外の各実施形態に適用するようにしても良い。 In the seventh embodiment, the configuration for releasing the CCB according to the contents of the rule set may be applied to each embodiment other than the first embodiment.
(I−2)上記の各実施形態では、本発明の通信制御装置を交換装置に適用した例について説明したが、呼制御装置に適用するようにしても良い。 (I-2) In each of the above embodiments, an example in which the communication control device of the present invention is applied to an exchange device has been described. However, the communication control device may be applied to a call control device.
上記の各実施形態の通信制御装置は、独自プロトコルP1を用いる場合に、メディアデータ(音声データ)の中継を行うため、「交換装置」と呼んでいたが、SIP等メディアデータ(音声データ)を電話端末同士で直接(又はメディアゲートウェイを介して)通信するプロトコルだけに対応する場合には、その通信制御装置は、呼制御処理のみを行うことになる。すなわち、例えば、本発明の通信制御装置が、SIP等のメディアデータ(音声データ)を電話端末同士で直接(又はメディアゲートウェイを介して)通信するプロトコルだけに対応・BR>キる場合には、その通信制御装置は、呼制御処理のみを行うため、呼制御装置と呼ばれることになる。 The communication control device of each of the embodiments described above is called an “exchanging device” in order to relay media data (voice data) when using the original protocol P1, but media data (voice data) such as SIP is used. In the case of supporting only a protocol for communicating directly (or via a media gateway) between telephone terminals, the communication control device performs only call control processing. That is, for example, when the communication control device of the present invention supports only a protocol for communicating media data (voice data) such as SIP directly between telephone terminals (or via a media gateway). Since the communication control device performs only call control processing, it is called a call control device.
したがって、本明細書では、通信制御装置とは、呼制御装置及び交換装置の両方を含む概念であるものとする。 Therefore, in this specification, the communication control device is a concept including both a call control device and a switching device.
(I−3)上記の各実施形態では、本発明の交換装置に接続(収容)する通信装置は、電話端末であるものとして説明したが、その他の通信装置であっても良い。例えば、本発明の交換装置に接続(収容)するものは、他の交換装置(例えば、IP−PBX等)や呼制御装置等の通信装置であっても良い。 (I-3) In each of the above embodiments, the communication device connected (accommodated) to the exchange device of the present invention has been described as a telephone terminal, but may be other communication devices. For example, what is connected (accommodated) to the switching device of the present invention may be another switching device (for example, IP-PBX) or a communication device such as a call control device.
(I−4)第8の実施形態では、第6の実施形態の交換装置を冗長化する構成について示したが、同様に、その他の実施形態の交換装置(第1〜第5及び第7の実施形態の交換装置)について冗長化した構成とするようにしても良い。具体的には、第8の実施形態の冗長構成制御部と同様のものを、他の実施形態の交換装置に追加し、冗長化構成に必要な処理(デュプレックスシステム通信等)を行うことが可能な構成とするようにしても良い。 (I-4) In the eighth embodiment, the configuration in which the exchange device according to the sixth embodiment is made redundant has been described. Similarly, the exchange devices according to the other embodiments (first to fifth and seventh) The exchange apparatus according to the embodiment may have a redundant configuration. Specifically, the same configuration as the redundant configuration control unit of the eighth embodiment can be added to the exchange apparatus of the other embodiments to perform processing (duplex system communication, etc.) necessary for the redundant configuration. You may make it be a structure.
(I−5)第8の実施形態では、2台の交換装置による冗長構成について説明しているが、3台以上の冗長構成としても良い。3台以上の交換装置を配置した場合には、1台の交換装置を運用系として動作させ、その他の交換装置については待機系として動作させるようにしても良い。この場合、デュプレックスシステム通信については、それぞれの交換装置間で相互に行い、いずれかの交換装置を運用系と決定(決定するためのアルゴリズム等は限定されないものである)するようにしても良い。また、この場合、運用系として動作している交換装置は、すべての待機系の交換装置にルールセット等を通知して設定させるようにしても良い。 (I-5) In the eighth embodiment, a redundant configuration using two switching devices has been described, but a redundant configuration of three or more units may be used. When three or more switching devices are arranged, one switching device may be operated as an active system, and the other switching devices may be operated as standby systems. In this case, duplex system communication may be performed between the respective switching devices, and one of the switching devices may be determined as the active system (algorithms for determination are not limited). In this case, the switching apparatus operating as the active system may be configured to notify all standby switching apparatuses of the rule set and the like.
10…交換装置、11…通信部、12…データ記憶部、12a…局データ記憶部、12b…通信ポートデータ記憶部、13…接続処理部、14…制御部、…ネットワークN、20、20−1、20−2…電話端末。
DESCRIPTION OF
Claims (12)
前記通信装置に係るパケットフィルタリングのルールセット情報を記憶する記憶手段と、
前記ルールセット情報に基づき前記通信装置から到来するパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と、
前記パケットフィルタリング手段が受信許可の処理を行う前記通信装置から到来するパケットに基づいて前記通信装置の呼処理を行う接続処理手段と、
当該交換装置に代わって前記通信装置の呼処理を行う他交換装置に対し前記ルールセット情報を同期処理する冗長構成制御手段と
を有することを特徴とする交換装置。 An exchange device for performing call processing of a communication device having a call function,
Storage means for storing rule set information for packet filtering according to the communication device;
Packet filtering means for performing a process of permitting or rejecting reception of a packet arriving from the communication device based on the rule set information;
Connection processing means for performing call processing of the communication device based on a packet arriving from the communication device for which the packet filtering means performs reception permission processing;
A switching apparatus comprising redundant configuration control means for synchronously processing the rule set information with respect to another switching apparatus that performs call processing of the communication apparatus in place of the switching apparatus.
前記通信装置に係るパケットフィルタリングのルールセット情報を記憶する記憶手段と、
前記ルールセット情報に基づき前記通信装置から到来するパケットの受信許可又は受信拒否の処理を行うパケットフィルタリング手段と、
前記パケットフィルタリング手段が受信許可の処理を行う前記通信装置から到来するパケットに基づいて前記通信装置の呼処理を行う接続処理手段と、
当該交換装置に代わって前記通信装置の呼処理を行う他交換装置に対し前記ルールセット情報を同期処理する冗長構成制御手段と
して機能させることを特徴とする交換プログラム。 A computer mounted on an exchange device that performs call processing of a communication device having a call function,
Storage means for storing rule set information for packet filtering according to the communication device;
Packet filtering means for performing a process of permitting or rejecting reception of a packet arriving from the communication device based on the rule set information;
Connection processing means for performing call processing of the communication device based on a packet arriving from the communication device for which the packet filtering means performs reception permission processing;
An exchange program characterized by causing another exchange device that performs call processing of the communication device in place of the exchange device to function as redundant configuration control means for synchronously processing the rule set information.
交換装置が、記憶手段、パケットフィルタリング手段、接続処理手段、及び冗長構成制御手段を備え、
前記記憶手段は、前記通信装置に係るパケットフィルタリングのルールセット情報を記憶し、
前記パケットフィルタリング手段は、前記ルールセット情報に基づき前記通信装置から到来するパケットの受信許可又は受信拒否の処理を行い、
前記接続処理手段は、前記パケットフィルタリング手段が受信許可の処理を行う前記通信装置から到来するパケットに基づいて前記通信装置の呼処理を行い、
前記冗長構成制御手段は、当該交換装置に代わって前記通信装置の呼処理を行う他交換装置に対し前記ルールセット情報を同期処理する
ことを特徴とする交換方法。 An exchange method performed by an exchange device that performs call processing of a communication device having a call function,
The switching device comprises storage means, packet filtering means, connection processing means, and redundant configuration control means,
The storage means stores rule set information for packet filtering according to the communication device,
The packet filtering means performs reception permission or reception refusal processing for packets coming from the communication device based on the rule set information,
The connection processing means performs call processing of the communication device based on a packet arriving from the communication device for which the packet filtering means performs reception permission processing,
The redundant configuration control means synchronously processes the rule set information to another switching apparatus that performs call processing of the communication apparatus on behalf of the switching apparatus.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010149574 | 2010-06-30 | ||
JP2010149574 | 2010-06-30 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014174344A Division JP5895989B2 (en) | 2010-06-30 | 2014-08-28 | COMMUNICATION CONTROL DEVICE, PROGRAM AND METHOD, AND COMMUNICATION SYSTEM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016103845A true JP2016103845A (en) | 2016-06-02 |
JP6176340B2 JP6176340B2 (en) | 2017-08-09 |
Family
ID=45847168
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011011959A Active JP5605237B2 (en) | 2010-06-30 | 2011-01-24 | COMMUNICATION CONTROL DEVICE AND PROGRAM, AND COMMUNICATION SYSTEM |
JP2014174344A Active JP5895989B2 (en) | 2010-06-30 | 2014-08-28 | COMMUNICATION CONTROL DEVICE, PROGRAM AND METHOD, AND COMMUNICATION SYSTEM |
JP2016001315A Active JP6176340B2 (en) | 2010-06-30 | 2016-01-06 | Exchange apparatus, exchange program, exchange method, and communication system |
Family Applications Before (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011011959A Active JP5605237B2 (en) | 2010-06-30 | 2011-01-24 | COMMUNICATION CONTROL DEVICE AND PROGRAM, AND COMMUNICATION SYSTEM |
JP2014174344A Active JP5895989B2 (en) | 2010-06-30 | 2014-08-28 | COMMUNICATION CONTROL DEVICE, PROGRAM AND METHOD, AND COMMUNICATION SYSTEM |
Country Status (1)
Country | Link |
---|---|
JP (3) | JP5605237B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013211661A (en) * | 2012-03-30 | 2013-10-10 | Oki Electric Ind Co Ltd | Exchanger device, and invalid terminal information release program |
WO2016113911A1 (en) | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | Data assessment device, data assessment method, and program |
JP6524817B2 (en) * | 2015-06-22 | 2019-06-05 | 富士通株式会社 | Route control apparatus, route control system and route control method |
JP6612475B2 (en) * | 2017-01-24 | 2019-11-27 | 三菱電機株式会社 | Gateway device |
JP7135870B2 (en) * | 2019-01-07 | 2022-09-13 | 富士通株式会社 | DETECTION DEVICE, DETECTION METHOD, AND DETECTION PROGRAM |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006279375A (en) * | 2005-03-29 | 2006-10-12 | Nec Corp | Processing apparatus for redundant packet, and redundant method thereof |
JP2006340161A (en) * | 2005-06-03 | 2006-12-14 | Hitachi Ltd | Packet communication apparatus |
JP2007060326A (en) * | 2005-08-25 | 2007-03-08 | Hitachi Ltd | Session relay and session relief method |
JP2010011206A (en) * | 2008-06-27 | 2010-01-14 | Mitsubishi Electric Corp | Gateway device and packet filtering method |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09270813A (en) * | 1996-04-01 | 1997-10-14 | Hitachi Cable Ltd | Router with packet filter function |
US5828833A (en) * | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
JP2003288282A (en) * | 2002-03-28 | 2003-10-10 | Fujitsu Ltd | Unauthorized access prevention program |
JP4187209B2 (en) * | 2004-04-21 | 2008-11-26 | 日本電信電話株式会社 | Packet filtering apparatus and packet filtering control program |
JP4641794B2 (en) * | 2004-12-28 | 2011-03-02 | 富士通株式会社 | Packet filter synchronization method and packet relay system |
US8914885B2 (en) * | 2006-11-03 | 2014-12-16 | Alcatel Lucent | Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks |
JP4812108B2 (en) * | 2006-12-18 | 2011-11-09 | キヤノン株式会社 | COMMUNICATION DEVICE AND ITS CONTROL METHOD |
JP2009177444A (en) * | 2008-01-24 | 2009-08-06 | Nec Corp | Mac address management apparatus |
JP5176983B2 (en) * | 2008-09-22 | 2013-04-03 | 富士通株式会社 | Filter device, filter program and method |
-
2011
- 2011-01-24 JP JP2011011959A patent/JP5605237B2/en active Active
-
2014
- 2014-08-28 JP JP2014174344A patent/JP5895989B2/en active Active
-
2016
- 2016-01-06 JP JP2016001315A patent/JP6176340B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006279375A (en) * | 2005-03-29 | 2006-10-12 | Nec Corp | Processing apparatus for redundant packet, and redundant method thereof |
JP2006340161A (en) * | 2005-06-03 | 2006-12-14 | Hitachi Ltd | Packet communication apparatus |
JP2007060326A (en) * | 2005-08-25 | 2007-03-08 | Hitachi Ltd | Session relay and session relief method |
JP2010011206A (en) * | 2008-06-27 | 2010-01-14 | Mitsubishi Electric Corp | Gateway device and packet filtering method |
Also Published As
Publication number | Publication date |
---|---|
JP5605237B2 (en) | 2014-10-15 |
JP2015008521A (en) | 2015-01-15 |
JP6176340B2 (en) | 2017-08-09 |
JP5895989B2 (en) | 2016-03-30 |
JP2012034334A (en) | 2012-02-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6176340B2 (en) | Exchange apparatus, exchange program, exchange method, and communication system | |
RU2269873C2 (en) | Wireless initialization device | |
EP2266255B1 (en) | Method & system for configuring a network communications device | |
US8838771B2 (en) | Enabling VoIP calls to be initiated when a call server is unavailable | |
US20120297087A1 (en) | Method And Apparatus For Message Distribution In A Device Management System | |
WO2007079643A1 (en) | A method and system for realizing duplication based on session border controller | |
JP3688149B2 (en) | Packet relay apparatus and packet relay method | |
JP2008072203A (en) | Relay server | |
WO2011038637A1 (en) | Method for realizing end-to-end call, end-to-end call terminal and system | |
JP5367764B2 (en) | Virtual network system, configuration change method, tunnel connection apparatus, and program | |
WO2012107983A1 (en) | Relay server and relay communication system | |
JP4667473B2 (en) | Data relay apparatus, data relay method, and data relay program | |
JP4619441B2 (en) | Method and system for realizing dynamic signaling routing | |
JP5437518B2 (en) | Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program | |
Cisco | Commands: debug modem through debug ppp | |
Cisco | Configuring PPP for Wide-Area Networking | |
Cisco | Configuring PPP for Wide-Area Networking | |
Cisco | Configuring PPP for Wide-Area Networking | |
JP4570551B2 (en) | Distributed control communication system and method | |
JP6898120B2 (en) | Network system, network system address resolution method, and base-side connection device | |
JP2010268356A (en) | Gateway apparatus, relay method, relay program, and recording medium | |
JP2006054766A (en) | Control data sharing method in redundant configuration network system | |
JP2002354049A (en) | Circuit controlling system | |
JP4222402B2 (en) | Relay server | |
JP2001345852A (en) | Communication system and network client |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160930 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161122 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170123 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170626 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6176340 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |