JP3804585B2 - ネットワーク構築システムおよび構築方法 - Google Patents
ネットワーク構築システムおよび構築方法 Download PDFInfo
- Publication number
- JP3804585B2 JP3804585B2 JP2002194093A JP2002194093A JP3804585B2 JP 3804585 B2 JP3804585 B2 JP 3804585B2 JP 2002194093 A JP2002194093 A JP 2002194093A JP 2002194093 A JP2002194093 A JP 2002194093A JP 3804585 B2 JP3804585 B2 JP 3804585B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- network
- setting information
- setting
- devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0873—Checking configuration conflicts between network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
- H04L41/0856—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information by backing up or archiving configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0843—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Description
【0001】
【発明の属する技術分野】
本発明は,ベンダやサポート仕様範囲が異なる複数のネットワーク機器からなるネットワークの構築を容易にする技術に関する。
【0002】
【従来の技術】
インターネットの発展に伴って様々なネットワーク機器が開発され,機器で稼動するソフトウエアの種類も増加一途である。このため,これらネットワーク機器や稼動ソフトウェアを,要求される状態で運用するために必要な設定作業は,非常に複雑なものとなっている。
【0003】
近年では,通信データの暗号化やユーザ認証などのセキュリティ技術を使って,公共のインターネットに仮想的な(Virtual)専用線を構築することでセキュリティを確保するVPN(Virtual Private Network)と呼ばれる技術とそれを実装したVPN機器が注目されている。VPN機器に使用されている暗号通信プロトコルとしては,例えば,IETF発行のRFC2401等に記述されているIPsecがある。IPsecは多くのVPN機器に採用されているものの,IPsec自体の設定項目や内容が複雑多岐にわたっているため,設定作業は容易ではない。また,VPN機器を供給している各社が独自のIPsec設定方法を用いていることもIPsec設定作業の複雑さを増す要因となっている。
【0004】
従来,ルータ等のネットワーク機器の設定作業の複雑さを解消するための方法として,SNMP(Simple Network Management Protocol(RFC 1157))等を用いて,1台の管理端末から複数のネットワーク機器を管理,運用する方法があった。また,IEEE Communications Magazine ,Volume: 36 Issue: 10,Oct. 1998,pp. 100 -111,"Distributed object technology for networking" ,Redlich, J.-P. et al.では,分散したネットワーク機器を管理する方法について記述されている。
【0005】
【発明が解決しようとする課題】
上記技術では,複数のネットワーク機器を管理する場合には,管理者は,1つ1つのネットワーク機器に対して,同じ命令を実行しなければならないため,設定作業の複雑さを解消することはできない。さらに,VPN機器では,1つのVPNトンネルに対するセキュリティポリシーを,VPNトンネルの両端のVPN機器に設定する必要がある。即ち,適用するセキュリティポリシーと設定対象機器とが1対2の関係になる。このことは,両端のVPN装置が互いに動作可能となるような設定をしなければならないことを意味し,これを実施するためには,VPNの両端にあるVPN機器のIPsec サポート仕様の違いや,ベンダの違いによる接続の相性問題等を考慮することが不可欠となる。
【0006】
【課題を解決するための手段】
本発明は,セキュリティポリシーと設定対象機器が1対複数の関係になるネットワーク機器に対して,ネットワーク機器のサポート仕様や相互接続問題等を予め考慮し,さらには,ネットワーク機器の設定情報を自動的に生成し設定することにより,システム管理者にとって使い勝手のよいネットワーク構築システムを提供する。
【0007】
より具体的には,本発明は,複数のネットワーク機器を管理する管理サーバが備えるネットワーク構築システムにおいて,管理する上記ネットワーク機器の仕様と,上記ネットワーク機器において相互に関連する機器の情報をデータベースに登録し,複数のネットワーク機器を設定対象とするネットワーク機器設定情報の入力を受け付け,上記ネットワーク機器設定情報と設定対象となる上記ネットワーク機器の仕様との整合性と,上記ネットワーク機器設定情報と上記相互に関連する機器の情報との整合性を確認し,設定対象となる各々の上記ネットワーク機器への設定情報を生成することを特徴とする。
【0008】
【発明の実施の形態】
以下,本発明の実施例を,図面に基づいて説明する。図11は一実施形態におけるネットワーク構築システムの全体構成例である。
【0009】
図中の150はネットワーク構築システム140を搭載した管理サーバ,154,155は,それぞれ管理サーバ150の管理対象である機器A,機器Bである。156はLAN(Local Area Network)等のネットワークであり,管理サーバ150と154,155の管理対象機器を接続する。本実施例では,管理対象機器が2台である場合を示しているが,管理対象機器は2台以上でもよい。また,機器A154,機器B155に機器158と159が接続されていてもよい。
【0010】
管理サーバ150は,CPU,記憶装置,キーボードなどの入力装置,表示装置などの出力装置を備えた一般的な情報処理装置を用いることができる。本実施形態におけるネットワーク構築システム140は,記憶装置に格納されたプログラムをCPUが実行することにより実現される。このプログラムは予め記憶装置に格納されていても良いし,必要なときに,記憶媒体から,または通信媒体を経由して他の情報処理装置から導入されても良い。
【0011】
また,ネットワーク構築システム140は,入力部11,整合性確認部12,設定情報生成部13,出力部14,機種情報143を保持する機種情報データベース15,機種情報データベース15に機種情報143を登録する登録部19からなる。さらに,ネットワーク構築システムへの入力データであって,ユーザが設定を要求するネットワーク設定情報146,ネットワーク構築システム140の出力データである機器毎の設定情報152,153を備える。143は機種情報データベース15に登録する機種情報であり,機種毎の仕様情報142と相互接続問題などの相互に関連する機器の情報141が含まれる。
【0012】
次に,このネットワーク構築システム140を用いて,機器A154と機器B155を設定対象とする設定情報146から機器A154と機器B155の個別の設定情報を生成する場合の処理の流れを図11と図12を用いて説明する。
【0013】
予め,機器A154と機器B155の機種仕様情報142と機器Aと機器Bの相互に関連する機器の情報141は,登録部19を用いて,機種仕様データベース15に登録しておく。まず,入力部11で,機器A154と機器B155を設定対象とする設定情報146の入力処理を行う(ステップ170)。次に,整合性確認部12で,機種情報データベース15を参照して,機器A154,機器B155の機種仕様と設定情報146との整合性と,相互に関連する機器の情報141と設定情報146との整合性を確認する(ステップ171)。
【0014】
機種仕様の整合性は,機種情報データベース15内の機種仕様情報142を参照して,設定情報146が機器A154と機器B155のサポートの範囲内にあるかを確認する。また,相互に関連する機器の情報との整合性は,機種情報データベース15内の相互に関連する機器の情報141を参照して,設定情報146が機器A154と機器B155を接続する場合に発生する相互接続問題等に該当しないかどうかを確認する。
【0015】
整合性に問題がある場合(ステップ172)は,設定情報146の再設定を要求する(ステップ174)。問題がない場合(ステップ173)は,設定情報生成部13で,設定情報146から機器A154と機器B155の設定情報152と153を生成する(ステップ175)。そして,出力部14から機器Aの設定情報152と機器Bの設定情報153を出力する(ステップ176)。
【0016】
次に本発明をより具体的なVPNの構築に適用した実施形態を説明する。図8は本実施形態におけるVPN構築システム10のブロック図である。VPN構築システム10には,VPNに関するセキュリティポリシーを定義したVPNパス設定情報16を,入力部11を介して入力する。編集部を設けて,ユーザが対話的に入力できるように構成しても良い。なお,図11の構成要素と同じ機能を有するものには同じ番号を付している。
【0017】
VPNパス設定情報16は,VPNの両端機器に関する情報と保護するパケットの情報とVPNの方法に関する情報で構成される。具体的には,VPNの両端の機器に関する情報は,機器名,IPアドレス,機種名などであり,保護するパケットの情報とは,VPNを通すパケットのプロトコルやポート番号,VPNの方法に関する情報は,VPNに用いる暗号化アルゴリズム,暗号化に用いる鍵の寿命,鍵交換方法などである。また,VPNパス設定情報16の形式は,設定対象となる機器の機種,ベンダと関係しない機種共通の形式にする。こうすることで,ユーザは機種の違いを意識することなくVPNの設定を行うことが可能になる。
【0018】
図1に,VPN機器A21とVPN機器B22間にVPN1 23を構築する場合のVPNパス設定情報24の例を示す。VPN1 23の両端の機器は,VPN機器A21とVPN機器B22で,そのIPアドレスは,それぞれ「192.168.0.10」,「192.167.0.10」,機種名は「X社製abc」と「Y社製lmn」であり,保護するパケットは全てのパケットで,VPNの方法は,暗号化アルゴリズムDES,鍵の寿命86400秒等であることを表している。
【0019】
機種情報データベース15で保持する情報を図2に示す。機種情報データベース15は,機種毎の仕様情報41と,さらに,相互に関連する機器の情報42を保持する。通常,VPNには,標準の暗号通信プロトコル(IPsec)が使用されるが,ベンダやモデルの違いによって,機種毎にサポート範囲が異なる。そこで,機種毎の仕様情報41を登録部19を用いて,機種仕様データベース15に登録しておく。
【0020】
また,各ネットワーク機器は標準の暗号通信プロトコル(IPsec)を実装しているものの,詳細な部分で動作が異なる場合がある。そのため,仕様上は問題がなくても,実際の接続時に不具合が発生することがある。ユーザの使い勝手向上に配慮すると,このような不具合も未然に回避できることが望ましい。そこで,このような既知の不具合事項は,設定制限事項として機種情報データベース15で保持する。
【0021】
接続する相手側の機種を問わず,どの機種を接続した場合にも必ず発生することがわかっている不具合は,仕様情報41の一部として機種情報データベース15に登録する。一方,ある特定の機種と特定のパラメータを設定した場合のみ発生する不具合は,相互に関連する機器の情報42の一部として機種情報データベース15で保持する。
【0022】
相互に関連する機器の情報42は,接続に問題がある相手側の機種名43と問題パラメータ44というカテゴリで,機種毎にデータベース化する。例えば,「X社製abcとY社製lmnは,仕様上は設定項目CにパラメータDを設定することは可能であるけれど,実際には設定項目EにパラメータFを設定しないと動かない。」といった問題は,図2に示すように,X社製abcの相互に関連する機器の情報45として,相手側の機種名43にY社製lmn46を,設定項目C47の問題パラメータ44にパラメータD48を登録する。また,このようなパラメータは,必須パラメータとして,相手側の機種名43と併せてデータベース化することができる。
【0023】
また,データベースに格納するパラメータを「利用可能な値」に統一し,機種毎の仕様情報41と相互に関連する機器の情報42を統合して,図10に示す形式で機種情報データベース15を構成してもよい。統合においては,接続時に問題がない相手のデータ列は,仕様情報41を登録する。問題がある機種の欄は,仕様による設定可能な値から問題パラメータを除いた値,もしくは,必ず設定しなければならない必須パラメータを登録する。不具合を起こさない設定項目は,仕様情報と同じ値を登録する。
【0024】
例えば,「X社製abcとY社製lmnは,仕様上は設定項目CにパラメータDを設定することは可能であるけれど,実際には動かない。」といった問題は,設定項目Cの機種Y社製lmnのデータ列に,「パラメータDを除いた仕様による設定可能な値131を設定する。また,「X社製abcとY社製lmnを接続する場合は,設定項目EにパラメータFを設定しないと動かない。」といった情報は,設定項目Eの機種Y社製lmnのデータ列に,パラメータF132を登録する。「X社製abcとY社製lmnは設定項目Xでは,不具合を起こさない。」場合は,設定項目Xの機種Y社製lmnのデータ列に,仕様情報と同じ値130を登録する。
【0025】
実際には,すべての機器の組み合わせで,全てのパラメータで動作を検証して,相互に関連する機器の情報42をデータベース化することは難しい。そこで,図3に示すように「推奨」61と「不明」63というカテゴリを設けて,相互に関連する機器の情報42を構成することもできる。動作実績がある設定パラメータは「推奨」61に,動作の検証が済んでいないパラメータは,「不明」63,問題がある設定パラメータは「設定不可」62として,登録する。
【0026】
整合性確認部12での処理フローを図4に示す。まず,VPNパス設定情報16で指定されているVPN両端の機器の機種名で,機種情報データベース15を検索する(ステップ71)。次に,データベースに登録された機種仕様情報41とVPNパス設定情報16の内容を比較し,指定されたパラメータを設定対象機器に設定できるかどうかのチェックを行う(ステップ72)。次に,データベースに登録された相互に関連する機器の情報42とVPNパス設定情報16の内容を比較し,接続する機器に相互接続の問題がないかどうかのチェックを行う(ステップ73)。なお,図4では,ステップ72とステップ73の処理を別々に示しているが,図3,図10に示す機種情報データベース15を用いた場合は,相手の機種名でまとめられたデータ列を参照すれば,仕様情報41と相互に関連する機器の情報42が得られるので,ステップ72とステップ73の処理を同時に行うことができる。
【0027】
ステップ72,ステップ73のチェックの結果から,VPNパス設定情報16を設定対象機器に設定可能であるかを判断し(ステップ74),設定不可能な場合は,VPNパス設定情報16の再設定を要求する(ステップ75)。
【0028】
再設定要求処理(ステップ75)では,VPNパス設定情報16を設定対象機器に設定不可能であることを,テキスト表示,または,ネットワーク接続構成図での対象ネットワークのハイライト表示,警告音などでユーザに知らせる。これらは,管理サーバ150の表示装置や音出力装置を利用することで可能になる。
【0029】
設定不可能であることを知らせるメッセージは,設定不可能なパラメータの情報や代替値を含むことができる。図5に,VPNパス設定情報16の再設定を要求する時のVPN設定エラー情報の表示例を示す。メッセージ81は,機種仕様のチェック(ステップ72)によって,機器AがVPNパス設定情報16で指定された3DESをサポートしておらず,代替パラメータとしてDESなら設定することができるということが判明したことを表している。メッセージ82は,相互接続問題のチェック(ステップ73)によって, XXXの設定では,接続する2つの機器で,相互接続問題を発生することがあり,実績のある設定方法としてYYYがあることが判明したことを表している。
【0030】
さらに,メッセージの通りの修正を行うときに用いる修正ボタン83,VPNパス設定情報16の設定をやり直す場合に用いる再設定ボタン84,修正を行わない場合に用いる続行ボタン85を設けることも望ましい。
【0031】
設定情報生成部13は,図6に示すように機器毎の設定情報生成モジュール94,95,96で構成される,整合性確認部12において設定対象に設定可能であると判断されたVPNパス設定情報16から機種毎の機器設定情報117をそれぞれ生成する。
【0032】
機種によっては,VPNパス設定情報16と比較して,より詳細な設定項目や,独自の設定項目を設けている場合がある。そこで,設定情報生成部13では,これらの詳細な設定項目や独自の設定項目の設定パラメータを保持する保持部93を設け,予めパラメータを設定しておく。そして,機種毎の設定情報117を生成するにあたり,VPNパス設定情報16の情報だけでは,情報が不足する場合は,保持部93の情報を参照する。また,保持部93を設けずに,詳細な設定項目や独自の設定項目の設定パラメータを機種情報データベース15で保持するようにすることもできる。
【0033】
出力部14は,生成された機器ごとの設定情報117を出力する。登録部19は,VPN機器の仕様に関する情報1002と相互に関連する機器の情報1001を機種仕様データベース15のデータ格納形式で機種仕様データベース15を登録する。
【0034】
次に,このVPN構築システム10の動作について説明する。入力部11はVPNパス設定情報16の入力を受け付ける。そして,整合性確認部12は,機種仕様データベース15を参照して,VPNパス設定情報16を設定対象機器に設定することができるかどうかの判断を行う。設定対象機器に設定できないと判断した場合は,入力部11に対してVPN設定情報の再設定を要求する。設定対象機器に設定可能であると判断した場合は,設定情報生成部13で,VPNパス設定情報16から機器毎の設定情報17を機器毎の形式で生成し,出力部14によって出力する。
【0035】
さらに,VPNパス設定情報16は,VPNの方法に優先順位をつけて,複数のVPNの方法を指定できるようにしてもよい。この場合,VPN構築システム10では,整合性確認部12で,設定可能でかつ優先順位が最も高い方法を抽出してから,設定情報生成部13で設定情報を生成する。このときに,出力部14は,管理サーバ150の表示装置を利用して,図7に示すようなVPN設定情報生成結果を表示してもよい。
【0036】
VPN構築システム10では,ユーザが,生成された機器設定情報を実際に設定対象機器に設定してもよいし,ユーザの代わりに設定を行う設定エージェント機能113を設定される機器に設けるように構成することもできる。設定エージェント機能113は設定情報受信部114と設定部115で構成される。出力部14は,認証やディジタル署名,暗号化等の技術を用いて,他から侵害されないセキュアな通信路112を設定情報受信部114との間で確立して,設定情報を設定対象の機器125,126に配布する。機器125,126では,設定情報受信部114が設定情報117を受信し,設定部115が設定情報117を設定する。
【0037】
次に,VPN構築システム10に対話型のユーザインターフェースを設けた場合のユーザの動作を図9を用いて説明する。機器A125と機器B126間にVPN127を構築したいユーザは,管理サーバ150の表示装置に表示される図9の設定画面121を用いて,機器VPNパス設定情報16を入力し,設定エラーチェックボタン122を押す。そうすることにより,VPN構築システム10は,整合性確認部12で,機種仕様のチェック(ステップ72)と相互接続問題のチェック(ステップ73)を行い,機器A125と機器126BにVPNパス設定情報16を設定することが可能であるかを判断し(ステップ74),結果を図5に示すVPN設定エラー一覧表示画面で,ユーザに通知する。
【0038】
指定したパラメータに問題があり,パラメータを修正する場合は,ユーザは修正(VPN構築システムによる自動修正)又は再設定ボタン(マニュアル修正)を押し,パラメータを修正する。設定エラーがない場合は,ユーザは,生成ボタン124を押す。そうすることにより,VPN構築システム10は,設定情報生成部13で,機器A125と機器B126への設定情報を生成し,出力部14で出力する。VPN構築システム10が設定機能を持つ場合は,次に,ユーザは設定ボタン128を押す。そうすることにより,VPN構築システム10では,出力部14が設定情報117を機器Aと機器Bの設定情報生成部114に配布し,機器Aと機器Bの設定部113が機器A125,機器B126にそれぞれ設定情報を設定する。
【0039】
本実施例では,ユーザが設定したVPNパス設定情報で説明したが,セキュリティポリシーからセキュリティ製品(ファイアウォール,VPN装置,ウィルスチェッカ等)の設定情報を生成する他のプログラムまたは他の装置と連動させ,生成された各セキュリティ製品毎の設定情報のうち,VPN装置に関する設定情報をVPNパス設定情報としてVPN構築システム10に入力するように構成しても良い。
【0040】
また,新機種の仕様や新しい相互に関連する機器の情報は,WWWやフレキシブルディスク等の記憶媒体を用いて,配布すれば,登録部19を用いて,機種仕様データベース15をアップデートすることができる。
【0041】
同様に,設定情報生成モジュール群91の内容もインストーラと共に,WWWやフレキシブルディスク等の記憶媒体を用いて,配布することで,アップデートすることができる。
【0042】
【発明の効果】
システム管理者がサポート仕様や相互接続問題等を意識することなく設定することができる。
【図面の簡単な説明】
【図1】VPNを構築する場合のVPNパス設定情報
【図2】機種情報データベースの一構成例
【図3】機種情報データベースの他の構成例
【図4】整合性確認部の処理フロー
【図5】VPN設定エラー表示例
【図6】設定情報生成部の詳細
【図7】VPN設定情報生成結果の表示例
【図8】本発明をVPNの構築に適用した実施形態を説明する図
【図9】本発明を使用した場合のユーザの動作を説明する図
【図10】機種情報データベースの内容例
【図11】一実施形態におけるネットワーク構築システムの全体構成例
【図12】図11の処理の流れを説明する図
【符号の説明】
10…VPN構築システム,11…入力部,12…整合性確認部,13…設定情報生成部,14…出力部,15…機種情報データベース,16…VPNパス設定情報,17…設定情報,18…再設定要求処理,19…登録部,21…VPN機器A,22…VPN機器B,23…VPN1,24…VPN1を構築する場合のVPN設定情報,41…機種情報データベース内の機種毎の仕様情報,42…機種情報データベース内の相互に関連する機器の情報,43…接続に問題がある相手の機種名,44…問題パラメータ,45…X社製abcの相互に関連する機器の情報,46…Y社製lmn,47…設定項目C,48…パラメータD,51…必須パラメータ,61…「推奨」カテゴリ,62…「設定不可」カテゴリ,63…「不明」カテゴリ,71…機種情報データベースの検索工程,72…機種仕様のチェック工程,73…相互接続問題のチェック工程,74…設定可能かどうかの判断工程,75…再設定要求工程,81…VPN設定エラーメッセージ(修正可能),82…VPN設定エラーメッセージ(推奨),83…修正ボタン,84…再設定ボタン,85…続行ボタン,91…設定情報生成モジュール郡,93…詳細な設定項目や独自の設定項目の設定パラメータを保持する部,94…X社製abc用設定モジュール,95…Y社製lmn用設定モジュール,96…Z社製uvw用設定モジュール,112…セキュアな通信路,113…設定エージェント機能,114…設定情報受信部114,115…設定部,117…設定情報,121…VPNパス設定画面,122…設定エラーチェックボタン,123…保存ボタン,124…生成ボタン,125…機器A,126…機器B,127…VPN,128…設定ボタン,130…仕様情報と同じ値,131…パラメータDを除いた設定可能な値,132…パラメータF,140…ネットワーク構築システム,141…相互に関連する機器の情報,142…仕様情報,143…機種情報,146…設定情報,150…管理サーバ,152…機器Aの設定情報,153…機器Bの設定情報,154…機器A,155…機器B,156…ネットワーク,158…機器Aに接続する機器,159…機器Bに接続する機器,1001…相互に関連する機器の情報,1002…VPN機器仕様情報,1003…機種情報。
【発明の属する技術分野】
本発明は,ベンダやサポート仕様範囲が異なる複数のネットワーク機器からなるネットワークの構築を容易にする技術に関する。
【0002】
【従来の技術】
インターネットの発展に伴って様々なネットワーク機器が開発され,機器で稼動するソフトウエアの種類も増加一途である。このため,これらネットワーク機器や稼動ソフトウェアを,要求される状態で運用するために必要な設定作業は,非常に複雑なものとなっている。
【0003】
近年では,通信データの暗号化やユーザ認証などのセキュリティ技術を使って,公共のインターネットに仮想的な(Virtual)専用線を構築することでセキュリティを確保するVPN(Virtual Private Network)と呼ばれる技術とそれを実装したVPN機器が注目されている。VPN機器に使用されている暗号通信プロトコルとしては,例えば,IETF発行のRFC2401等に記述されているIPsecがある。IPsecは多くのVPN機器に採用されているものの,IPsec自体の設定項目や内容が複雑多岐にわたっているため,設定作業は容易ではない。また,VPN機器を供給している各社が独自のIPsec設定方法を用いていることもIPsec設定作業の複雑さを増す要因となっている。
【0004】
従来,ルータ等のネットワーク機器の設定作業の複雑さを解消するための方法として,SNMP(Simple Network Management Protocol(RFC 1157))等を用いて,1台の管理端末から複数のネットワーク機器を管理,運用する方法があった。また,IEEE Communications Magazine ,Volume: 36 Issue: 10,Oct. 1998,pp. 100 -111,"Distributed object technology for networking" ,Redlich, J.-P. et al.では,分散したネットワーク機器を管理する方法について記述されている。
【0005】
【発明が解決しようとする課題】
上記技術では,複数のネットワーク機器を管理する場合には,管理者は,1つ1つのネットワーク機器に対して,同じ命令を実行しなければならないため,設定作業の複雑さを解消することはできない。さらに,VPN機器では,1つのVPNトンネルに対するセキュリティポリシーを,VPNトンネルの両端のVPN機器に設定する必要がある。即ち,適用するセキュリティポリシーと設定対象機器とが1対2の関係になる。このことは,両端のVPN装置が互いに動作可能となるような設定をしなければならないことを意味し,これを実施するためには,VPNの両端にあるVPN機器のIPsec サポート仕様の違いや,ベンダの違いによる接続の相性問題等を考慮することが不可欠となる。
【0006】
【課題を解決するための手段】
本発明は,セキュリティポリシーと設定対象機器が1対複数の関係になるネットワーク機器に対して,ネットワーク機器のサポート仕様や相互接続問題等を予め考慮し,さらには,ネットワーク機器の設定情報を自動的に生成し設定することにより,システム管理者にとって使い勝手のよいネットワーク構築システムを提供する。
【0007】
より具体的には,本発明は,複数のネットワーク機器を管理する管理サーバが備えるネットワーク構築システムにおいて,管理する上記ネットワーク機器の仕様と,上記ネットワーク機器において相互に関連する機器の情報をデータベースに登録し,複数のネットワーク機器を設定対象とするネットワーク機器設定情報の入力を受け付け,上記ネットワーク機器設定情報と設定対象となる上記ネットワーク機器の仕様との整合性と,上記ネットワーク機器設定情報と上記相互に関連する機器の情報との整合性を確認し,設定対象となる各々の上記ネットワーク機器への設定情報を生成することを特徴とする。
【0008】
【発明の実施の形態】
以下,本発明の実施例を,図面に基づいて説明する。図11は一実施形態におけるネットワーク構築システムの全体構成例である。
【0009】
図中の150はネットワーク構築システム140を搭載した管理サーバ,154,155は,それぞれ管理サーバ150の管理対象である機器A,機器Bである。156はLAN(Local Area Network)等のネットワークであり,管理サーバ150と154,155の管理対象機器を接続する。本実施例では,管理対象機器が2台である場合を示しているが,管理対象機器は2台以上でもよい。また,機器A154,機器B155に機器158と159が接続されていてもよい。
【0010】
管理サーバ150は,CPU,記憶装置,キーボードなどの入力装置,表示装置などの出力装置を備えた一般的な情報処理装置を用いることができる。本実施形態におけるネットワーク構築システム140は,記憶装置に格納されたプログラムをCPUが実行することにより実現される。このプログラムは予め記憶装置に格納されていても良いし,必要なときに,記憶媒体から,または通信媒体を経由して他の情報処理装置から導入されても良い。
【0011】
また,ネットワーク構築システム140は,入力部11,整合性確認部12,設定情報生成部13,出力部14,機種情報143を保持する機種情報データベース15,機種情報データベース15に機種情報143を登録する登録部19からなる。さらに,ネットワーク構築システムへの入力データであって,ユーザが設定を要求するネットワーク設定情報146,ネットワーク構築システム140の出力データである機器毎の設定情報152,153を備える。143は機種情報データベース15に登録する機種情報であり,機種毎の仕様情報142と相互接続問題などの相互に関連する機器の情報141が含まれる。
【0012】
次に,このネットワーク構築システム140を用いて,機器A154と機器B155を設定対象とする設定情報146から機器A154と機器B155の個別の設定情報を生成する場合の処理の流れを図11と図12を用いて説明する。
【0013】
予め,機器A154と機器B155の機種仕様情報142と機器Aと機器Bの相互に関連する機器の情報141は,登録部19を用いて,機種仕様データベース15に登録しておく。まず,入力部11で,機器A154と機器B155を設定対象とする設定情報146の入力処理を行う(ステップ170)。次に,整合性確認部12で,機種情報データベース15を参照して,機器A154,機器B155の機種仕様と設定情報146との整合性と,相互に関連する機器の情報141と設定情報146との整合性を確認する(ステップ171)。
【0014】
機種仕様の整合性は,機種情報データベース15内の機種仕様情報142を参照して,設定情報146が機器A154と機器B155のサポートの範囲内にあるかを確認する。また,相互に関連する機器の情報との整合性は,機種情報データベース15内の相互に関連する機器の情報141を参照して,設定情報146が機器A154と機器B155を接続する場合に発生する相互接続問題等に該当しないかどうかを確認する。
【0015】
整合性に問題がある場合(ステップ172)は,設定情報146の再設定を要求する(ステップ174)。問題がない場合(ステップ173)は,設定情報生成部13で,設定情報146から機器A154と機器B155の設定情報152と153を生成する(ステップ175)。そして,出力部14から機器Aの設定情報152と機器Bの設定情報153を出力する(ステップ176)。
【0016】
次に本発明をより具体的なVPNの構築に適用した実施形態を説明する。図8は本実施形態におけるVPN構築システム10のブロック図である。VPN構築システム10には,VPNに関するセキュリティポリシーを定義したVPNパス設定情報16を,入力部11を介して入力する。編集部を設けて,ユーザが対話的に入力できるように構成しても良い。なお,図11の構成要素と同じ機能を有するものには同じ番号を付している。
【0017】
VPNパス設定情報16は,VPNの両端機器に関する情報と保護するパケットの情報とVPNの方法に関する情報で構成される。具体的には,VPNの両端の機器に関する情報は,機器名,IPアドレス,機種名などであり,保護するパケットの情報とは,VPNを通すパケットのプロトコルやポート番号,VPNの方法に関する情報は,VPNに用いる暗号化アルゴリズム,暗号化に用いる鍵の寿命,鍵交換方法などである。また,VPNパス設定情報16の形式は,設定対象となる機器の機種,ベンダと関係しない機種共通の形式にする。こうすることで,ユーザは機種の違いを意識することなくVPNの設定を行うことが可能になる。
【0018】
図1に,VPN機器A21とVPN機器B22間にVPN1 23を構築する場合のVPNパス設定情報24の例を示す。VPN1 23の両端の機器は,VPN機器A21とVPN機器B22で,そのIPアドレスは,それぞれ「192.168.0.10」,「192.167.0.10」,機種名は「X社製abc」と「Y社製lmn」であり,保護するパケットは全てのパケットで,VPNの方法は,暗号化アルゴリズムDES,鍵の寿命86400秒等であることを表している。
【0019】
機種情報データベース15で保持する情報を図2に示す。機種情報データベース15は,機種毎の仕様情報41と,さらに,相互に関連する機器の情報42を保持する。通常,VPNには,標準の暗号通信プロトコル(IPsec)が使用されるが,ベンダやモデルの違いによって,機種毎にサポート範囲が異なる。そこで,機種毎の仕様情報41を登録部19を用いて,機種仕様データベース15に登録しておく。
【0020】
また,各ネットワーク機器は標準の暗号通信プロトコル(IPsec)を実装しているものの,詳細な部分で動作が異なる場合がある。そのため,仕様上は問題がなくても,実際の接続時に不具合が発生することがある。ユーザの使い勝手向上に配慮すると,このような不具合も未然に回避できることが望ましい。そこで,このような既知の不具合事項は,設定制限事項として機種情報データベース15で保持する。
【0021】
接続する相手側の機種を問わず,どの機種を接続した場合にも必ず発生することがわかっている不具合は,仕様情報41の一部として機種情報データベース15に登録する。一方,ある特定の機種と特定のパラメータを設定した場合のみ発生する不具合は,相互に関連する機器の情報42の一部として機種情報データベース15で保持する。
【0022】
相互に関連する機器の情報42は,接続に問題がある相手側の機種名43と問題パラメータ44というカテゴリで,機種毎にデータベース化する。例えば,「X社製abcとY社製lmnは,仕様上は設定項目CにパラメータDを設定することは可能であるけれど,実際には設定項目EにパラメータFを設定しないと動かない。」といった問題は,図2に示すように,X社製abcの相互に関連する機器の情報45として,相手側の機種名43にY社製lmn46を,設定項目C47の問題パラメータ44にパラメータD48を登録する。また,このようなパラメータは,必須パラメータとして,相手側の機種名43と併せてデータベース化することができる。
【0023】
また,データベースに格納するパラメータを「利用可能な値」に統一し,機種毎の仕様情報41と相互に関連する機器の情報42を統合して,図10に示す形式で機種情報データベース15を構成してもよい。統合においては,接続時に問題がない相手のデータ列は,仕様情報41を登録する。問題がある機種の欄は,仕様による設定可能な値から問題パラメータを除いた値,もしくは,必ず設定しなければならない必須パラメータを登録する。不具合を起こさない設定項目は,仕様情報と同じ値を登録する。
【0024】
例えば,「X社製abcとY社製lmnは,仕様上は設定項目CにパラメータDを設定することは可能であるけれど,実際には動かない。」といった問題は,設定項目Cの機種Y社製lmnのデータ列に,「パラメータDを除いた仕様による設定可能な値131を設定する。また,「X社製abcとY社製lmnを接続する場合は,設定項目EにパラメータFを設定しないと動かない。」といった情報は,設定項目Eの機種Y社製lmnのデータ列に,パラメータF132を登録する。「X社製abcとY社製lmnは設定項目Xでは,不具合を起こさない。」場合は,設定項目Xの機種Y社製lmnのデータ列に,仕様情報と同じ値130を登録する。
【0025】
実際には,すべての機器の組み合わせで,全てのパラメータで動作を検証して,相互に関連する機器の情報42をデータベース化することは難しい。そこで,図3に示すように「推奨」61と「不明」63というカテゴリを設けて,相互に関連する機器の情報42を構成することもできる。動作実績がある設定パラメータは「推奨」61に,動作の検証が済んでいないパラメータは,「不明」63,問題がある設定パラメータは「設定不可」62として,登録する。
【0026】
整合性確認部12での処理フローを図4に示す。まず,VPNパス設定情報16で指定されているVPN両端の機器の機種名で,機種情報データベース15を検索する(ステップ71)。次に,データベースに登録された機種仕様情報41とVPNパス設定情報16の内容を比較し,指定されたパラメータを設定対象機器に設定できるかどうかのチェックを行う(ステップ72)。次に,データベースに登録された相互に関連する機器の情報42とVPNパス設定情報16の内容を比較し,接続する機器に相互接続の問題がないかどうかのチェックを行う(ステップ73)。なお,図4では,ステップ72とステップ73の処理を別々に示しているが,図3,図10に示す機種情報データベース15を用いた場合は,相手の機種名でまとめられたデータ列を参照すれば,仕様情報41と相互に関連する機器の情報42が得られるので,ステップ72とステップ73の処理を同時に行うことができる。
【0027】
ステップ72,ステップ73のチェックの結果から,VPNパス設定情報16を設定対象機器に設定可能であるかを判断し(ステップ74),設定不可能な場合は,VPNパス設定情報16の再設定を要求する(ステップ75)。
【0028】
再設定要求処理(ステップ75)では,VPNパス設定情報16を設定対象機器に設定不可能であることを,テキスト表示,または,ネットワーク接続構成図での対象ネットワークのハイライト表示,警告音などでユーザに知らせる。これらは,管理サーバ150の表示装置や音出力装置を利用することで可能になる。
【0029】
設定不可能であることを知らせるメッセージは,設定不可能なパラメータの情報や代替値を含むことができる。図5に,VPNパス設定情報16の再設定を要求する時のVPN設定エラー情報の表示例を示す。メッセージ81は,機種仕様のチェック(ステップ72)によって,機器AがVPNパス設定情報16で指定された3DESをサポートしておらず,代替パラメータとしてDESなら設定することができるということが判明したことを表している。メッセージ82は,相互接続問題のチェック(ステップ73)によって, XXXの設定では,接続する2つの機器で,相互接続問題を発生することがあり,実績のある設定方法としてYYYがあることが判明したことを表している。
【0030】
さらに,メッセージの通りの修正を行うときに用いる修正ボタン83,VPNパス設定情報16の設定をやり直す場合に用いる再設定ボタン84,修正を行わない場合に用いる続行ボタン85を設けることも望ましい。
【0031】
設定情報生成部13は,図6に示すように機器毎の設定情報生成モジュール94,95,96で構成される,整合性確認部12において設定対象に設定可能であると判断されたVPNパス設定情報16から機種毎の機器設定情報117をそれぞれ生成する。
【0032】
機種によっては,VPNパス設定情報16と比較して,より詳細な設定項目や,独自の設定項目を設けている場合がある。そこで,設定情報生成部13では,これらの詳細な設定項目や独自の設定項目の設定パラメータを保持する保持部93を設け,予めパラメータを設定しておく。そして,機種毎の設定情報117を生成するにあたり,VPNパス設定情報16の情報だけでは,情報が不足する場合は,保持部93の情報を参照する。また,保持部93を設けずに,詳細な設定項目や独自の設定項目の設定パラメータを機種情報データベース15で保持するようにすることもできる。
【0033】
出力部14は,生成された機器ごとの設定情報117を出力する。登録部19は,VPN機器の仕様に関する情報1002と相互に関連する機器の情報1001を機種仕様データベース15のデータ格納形式で機種仕様データベース15を登録する。
【0034】
次に,このVPN構築システム10の動作について説明する。入力部11はVPNパス設定情報16の入力を受け付ける。そして,整合性確認部12は,機種仕様データベース15を参照して,VPNパス設定情報16を設定対象機器に設定することができるかどうかの判断を行う。設定対象機器に設定できないと判断した場合は,入力部11に対してVPN設定情報の再設定を要求する。設定対象機器に設定可能であると判断した場合は,設定情報生成部13で,VPNパス設定情報16から機器毎の設定情報17を機器毎の形式で生成し,出力部14によって出力する。
【0035】
さらに,VPNパス設定情報16は,VPNの方法に優先順位をつけて,複数のVPNの方法を指定できるようにしてもよい。この場合,VPN構築システム10では,整合性確認部12で,設定可能でかつ優先順位が最も高い方法を抽出してから,設定情報生成部13で設定情報を生成する。このときに,出力部14は,管理サーバ150の表示装置を利用して,図7に示すようなVPN設定情報生成結果を表示してもよい。
【0036】
VPN構築システム10では,ユーザが,生成された機器設定情報を実際に設定対象機器に設定してもよいし,ユーザの代わりに設定を行う設定エージェント機能113を設定される機器に設けるように構成することもできる。設定エージェント機能113は設定情報受信部114と設定部115で構成される。出力部14は,認証やディジタル署名,暗号化等の技術を用いて,他から侵害されないセキュアな通信路112を設定情報受信部114との間で確立して,設定情報を設定対象の機器125,126に配布する。機器125,126では,設定情報受信部114が設定情報117を受信し,設定部115が設定情報117を設定する。
【0037】
次に,VPN構築システム10に対話型のユーザインターフェースを設けた場合のユーザの動作を図9を用いて説明する。機器A125と機器B126間にVPN127を構築したいユーザは,管理サーバ150の表示装置に表示される図9の設定画面121を用いて,機器VPNパス設定情報16を入力し,設定エラーチェックボタン122を押す。そうすることにより,VPN構築システム10は,整合性確認部12で,機種仕様のチェック(ステップ72)と相互接続問題のチェック(ステップ73)を行い,機器A125と機器126BにVPNパス設定情報16を設定することが可能であるかを判断し(ステップ74),結果を図5に示すVPN設定エラー一覧表示画面で,ユーザに通知する。
【0038】
指定したパラメータに問題があり,パラメータを修正する場合は,ユーザは修正(VPN構築システムによる自動修正)又は再設定ボタン(マニュアル修正)を押し,パラメータを修正する。設定エラーがない場合は,ユーザは,生成ボタン124を押す。そうすることにより,VPN構築システム10は,設定情報生成部13で,機器A125と機器B126への設定情報を生成し,出力部14で出力する。VPN構築システム10が設定機能を持つ場合は,次に,ユーザは設定ボタン128を押す。そうすることにより,VPN構築システム10では,出力部14が設定情報117を機器Aと機器Bの設定情報生成部114に配布し,機器Aと機器Bの設定部113が機器A125,機器B126にそれぞれ設定情報を設定する。
【0039】
本実施例では,ユーザが設定したVPNパス設定情報で説明したが,セキュリティポリシーからセキュリティ製品(ファイアウォール,VPN装置,ウィルスチェッカ等)の設定情報を生成する他のプログラムまたは他の装置と連動させ,生成された各セキュリティ製品毎の設定情報のうち,VPN装置に関する設定情報をVPNパス設定情報としてVPN構築システム10に入力するように構成しても良い。
【0040】
また,新機種の仕様や新しい相互に関連する機器の情報は,WWWやフレキシブルディスク等の記憶媒体を用いて,配布すれば,登録部19を用いて,機種仕様データベース15をアップデートすることができる。
【0041】
同様に,設定情報生成モジュール群91の内容もインストーラと共に,WWWやフレキシブルディスク等の記憶媒体を用いて,配布することで,アップデートすることができる。
【0042】
【発明の効果】
システム管理者がサポート仕様や相互接続問題等を意識することなく設定することができる。
【図面の簡単な説明】
【図1】VPNを構築する場合のVPNパス設定情報
【図2】機種情報データベースの一構成例
【図3】機種情報データベースの他の構成例
【図4】整合性確認部の処理フロー
【図5】VPN設定エラー表示例
【図6】設定情報生成部の詳細
【図7】VPN設定情報生成結果の表示例
【図8】本発明をVPNの構築に適用した実施形態を説明する図
【図9】本発明を使用した場合のユーザの動作を説明する図
【図10】機種情報データベースの内容例
【図11】一実施形態におけるネットワーク構築システムの全体構成例
【図12】図11の処理の流れを説明する図
【符号の説明】
10…VPN構築システム,11…入力部,12…整合性確認部,13…設定情報生成部,14…出力部,15…機種情報データベース,16…VPNパス設定情報,17…設定情報,18…再設定要求処理,19…登録部,21…VPN機器A,22…VPN機器B,23…VPN1,24…VPN1を構築する場合のVPN設定情報,41…機種情報データベース内の機種毎の仕様情報,42…機種情報データベース内の相互に関連する機器の情報,43…接続に問題がある相手の機種名,44…問題パラメータ,45…X社製abcの相互に関連する機器の情報,46…Y社製lmn,47…設定項目C,48…パラメータD,51…必須パラメータ,61…「推奨」カテゴリ,62…「設定不可」カテゴリ,63…「不明」カテゴリ,71…機種情報データベースの検索工程,72…機種仕様のチェック工程,73…相互接続問題のチェック工程,74…設定可能かどうかの判断工程,75…再設定要求工程,81…VPN設定エラーメッセージ(修正可能),82…VPN設定エラーメッセージ(推奨),83…修正ボタン,84…再設定ボタン,85…続行ボタン,91…設定情報生成モジュール郡,93…詳細な設定項目や独自の設定項目の設定パラメータを保持する部,94…X社製abc用設定モジュール,95…Y社製lmn用設定モジュール,96…Z社製uvw用設定モジュール,112…セキュアな通信路,113…設定エージェント機能,114…設定情報受信部114,115…設定部,117…設定情報,121…VPNパス設定画面,122…設定エラーチェックボタン,123…保存ボタン,124…生成ボタン,125…機器A,126…機器B,127…VPN,128…設定ボタン,130…仕様情報と同じ値,131…パラメータDを除いた設定可能な値,132…パラメータF,140…ネットワーク構築システム,141…相互に関連する機器の情報,142…仕様情報,143…機種情報,146…設定情報,150…管理サーバ,152…機器Aの設定情報,153…機器Bの設定情報,154…機器A,155…機器B,156…ネットワーク,158…機器Aに接続する機器,159…機器Bに接続する機器,1001…相互に関連する機器の情報,1002…VPN機器仕様情報,1003…機種情報。
Claims (7)
- 複数のネットワーク機器を管理する管理サーバが備えるネットワーク構築システムであって,
管理する前記ネットワーク機器の仕様と,前記ネットワーク機器において相互に関連する機器の情報をデータベースに登録する手段と,
複数のネットワーク機器を設定対象とするネットワーク機器設定情報の入力を受け付ける手段と,
前記ネットワーク機器設定情報と設定対象となる前記ネットワーク機器の仕様との整合性と,前記ネットワーク機器設定情報と前記相互に関連する機器の情報との整合性を確認する手段と,
設定対象となる各々の前記ネットワーク機器への設定情報を生成する手段を備える
ことを特徴とするネットワーク構築システム。 - 請求項1記載のネットワーク構築システムにおいて,
前記整合性を確認した結果を表示し,前記整合性に問題がある場合は,設定可能な代替パラメータを,前記管理サーバに表示する手段を備える
ことを特徴するネットワーク構築システム。 - 請求項1記載のネットワーク構築システムにおいて,
生成した前記設定情報を,設定対象となる前記ネットワーク機器に送信する手段を備える
ことを特徴とするネットワーク構築システム。 - 請求項1に記載のネットワーク構築システムにおいて,
前記設定情報は,暗号通信方法または鍵管理方法に関する設定情報である
ことを特徴とするネットワーク構築システム。 - 請求項1に記載のネットワーク構築システムにおいて,
前記相互に関連する機器の情報は,相互接続時の動作実績に関する情報であることを特徴とするネットワーク構築システム。 - 請求項1に記載のネットワーク構築システムにおいて,
前記設定情報を生成する手段は,前記データベースを参照し,
設定対象となる前記ネットワーク機器を指定することによって,前記設定対象となるネットワーク機器に設定可能なパラメータを探索することを特徴とするネットワーク構築システム。 - 複数のネットワーク機器と前記複数のネットワーク機器を管理する管理サーバとからなるネットワークを構築する方法であって,
管理する前記ネットワーク機器の仕様と,前記ネットワーク機器において相互に関連する機器の情報をデータベースに登録するステップと,
複数のネットワーク機器を設定対象とするネットワーク機器設定情報の入力を受け付けるステップと,
前記ネットワーク機器設定情報と設定対象となる前記ネットワーク機器の仕様との整合性と,前記ネットワーク機器設定情報と前記相互に関連する機器の情報との整合性を確認するステップと,
前記整合性に問題がある場合の設定情報の再設定を要求するステップと,
前記整合性に問題がない前記ネットワーク機器設定情報から設定対象となる各々の前記ネットワーク機器への設定情報を生成するステップと,
生成した前記ネットワーク機器毎の設定情報を出力するステップとを備えたネットワーク構築方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002194093A JP3804585B2 (ja) | 2002-07-03 | 2002-07-03 | ネットワーク構築システムおよび構築方法 |
US10/439,849 US20040006618A1 (en) | 2002-07-03 | 2003-05-15 | Network construction system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002194093A JP3804585B2 (ja) | 2002-07-03 | 2002-07-03 | ネットワーク構築システムおよび構築方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004040433A JP2004040433A (ja) | 2004-02-05 |
JP3804585B2 true JP3804585B2 (ja) | 2006-08-02 |
Family
ID=29997011
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002194093A Expired - Fee Related JP3804585B2 (ja) | 2002-07-03 | 2002-07-03 | ネットワーク構築システムおよび構築方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20040006618A1 (ja) |
JP (1) | JP3804585B2 (ja) |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4192877B2 (ja) | 2004-09-29 | 2008-12-10 | ブラザー工業株式会社 | 設定データ伝送プログラム、設定データ伝送装置、および設定データ伝送システム |
JP3964419B2 (ja) * | 2004-10-08 | 2007-08-22 | 日立電子サービス株式会社 | コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム |
JP4845467B2 (ja) * | 2004-11-08 | 2011-12-28 | 株式会社エヌ・ティ・ティ・ドコモ | デバイス管理装置、デバイス及びデバイス管理方法 |
JP2007011700A (ja) | 2005-06-30 | 2007-01-18 | Brother Ind Ltd | 情報処理装置、通信システム、管理装置、及び、プログラム |
WO2007121571A1 (en) * | 2006-04-21 | 2007-11-01 | Cirba Inc. | Method and system for determining compatibility of computer systems |
US8111632B2 (en) * | 2006-10-16 | 2012-02-07 | Fundacio Privada Centre Tecnologic De Telecomunicacions De Catalunya | Method for logical deployment, undeployment and monitoring of a target IP network |
US7904533B1 (en) | 2006-10-21 | 2011-03-08 | Sprint Communications Company L.P. | Integrated network and customer database |
US8355316B1 (en) | 2009-12-16 | 2013-01-15 | Sprint Communications Company L.P. | End-to-end network monitoring |
JP4774375B2 (ja) * | 2007-02-20 | 2011-09-14 | 株式会社リコー | ネットワーク通信機器 |
JPWO2008114355A1 (ja) | 2007-03-16 | 2010-06-24 | 富士通株式会社 | ポリシー生成装置、ポリシー生成方法およびポリシー生成プログラム |
US8289878B1 (en) * | 2007-05-09 | 2012-10-16 | Sprint Communications Company L.P. | Virtual link mapping |
JP2008010018A (ja) * | 2007-09-21 | 2008-01-17 | Brother Ind Ltd | 情報処理装置、通信システム、管理装置、及び、プログラム |
JP4900828B2 (ja) * | 2007-12-03 | 2012-03-21 | 株式会社リコー | 通信装置、通信方法、プログラムおよび記録媒体 |
JP4965424B2 (ja) * | 2007-12-28 | 2012-07-04 | 株式会社リコー | 遠隔機器管理システム,仲介装置,機器検索処理方法,プログラム,および記録媒体 |
JP5063453B2 (ja) * | 2008-04-01 | 2012-10-31 | キヤノン株式会社 | 管理装置、通信装置、方法及びプログラム |
US8073844B2 (en) * | 2008-04-21 | 2011-12-06 | Microsoft Corporation | Pre-purchase device interoperability validation |
US9164749B2 (en) * | 2008-08-29 | 2015-10-20 | Red Hat, Inc. | Differential software provisioning on virtual machines having different configurations |
US7904553B1 (en) | 2008-11-18 | 2011-03-08 | Sprint Communications Company L.P. | Translating network data into customer availability |
US8135989B2 (en) * | 2009-02-27 | 2012-03-13 | Red Hat, Inc. | Systems and methods for interrogating diagnostic target using remotely loaded image |
US8301762B1 (en) | 2009-06-08 | 2012-10-30 | Sprint Communications Company L.P. | Service grouping for network reporting |
US8458323B1 (en) | 2009-08-24 | 2013-06-04 | Sprint Communications Company L.P. | Associating problem tickets based on an integrated network and customer database |
US8644146B1 (en) | 2010-08-02 | 2014-02-04 | Sprint Communications Company L.P. | Enabling user defined network change leveraging as-built data |
US9305029B1 (en) | 2011-11-25 | 2016-04-05 | Sprint Communications Company L.P. | Inventory centric knowledge management |
JP2013161385A (ja) * | 2012-02-08 | 2013-08-19 | Veriserve Corp | 機器接続支援システム、機器接続の支援方法及び機器接続支援プログラム |
KR101558065B1 (ko) * | 2013-01-30 | 2015-10-06 | 지티이 (유에스에이) 인크. | 심리스 (분산된) 가상 네트워크 자원 관리를 위해 가상 네트워크 요소와 네트워크 하이퍼바이저 간의 인터페이스를 위한 요구 사항을 결정하기 위한 방법 및 시스템 |
JP6424823B2 (ja) * | 2013-09-17 | 2018-11-21 | 日本電気株式会社 | 情報処理装置、及び、システム設計支援方法 |
JP6314539B2 (ja) * | 2014-02-28 | 2018-04-25 | 株式会社リコー | 伝送端末、伝送システム、伝送方法及びプログラム |
US10402765B1 (en) | 2015-02-17 | 2019-09-03 | Sprint Communications Company L.P. | Analysis for network management using customer provided information |
JP6623917B2 (ja) * | 2016-04-26 | 2019-12-25 | 株式会社ナカヨ | 統合脅威管理システム、統合脅威管理装置、および統合脅威管理方法 |
US11146959B2 (en) * | 2019-10-29 | 2021-10-12 | Arista Networks, Inc. | Security association reuse for multiple connections |
US11456917B2 (en) * | 2020-06-01 | 2022-09-27 | Cisco Technology, Inc. | Analyzing deployed networks with respect to network solutions |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI103165B1 (fi) * | 1997-02-12 | 1999-04-30 | Nokia Mobile Phones Ltd | Menetelmä ja järjestely tiedonsiirtoparametrien asettamiseksi tiedonsiirtojärjestelmässä |
US6961762B1 (en) * | 2000-02-14 | 2005-11-01 | Sygate Technologies, Inc. | Automatic switching network points based on configuration profiles |
CA2408119A1 (en) * | 2000-05-04 | 2001-11-08 | Shwu-Yan Chang Scoggins | Method and apparatus for negotiating bearer control parameters using property sets |
US7099304B2 (en) * | 2000-09-05 | 2006-08-29 | Flexiworld Technologies, Inc. | Apparatus, methods and systems for anonymous communication |
US6625169B1 (en) * | 2002-06-14 | 2003-09-23 | Telesys Technologies, Inc. | Integrated communication systems for exchanging data and information between networks |
-
2002
- 2002-07-03 JP JP2002194093A patent/JP3804585B2/ja not_active Expired - Fee Related
-
2003
- 2003-05-15 US US10/439,849 patent/US20040006618A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
JP2004040433A (ja) | 2004-02-05 |
US20040006618A1 (en) | 2004-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3804585B2 (ja) | ネットワーク構築システムおよび構築方法 | |
US20230082172A1 (en) | Providing extendible network capabilities for managed computer networks | |
US8239531B1 (en) | Method and apparatus for connection to virtual private networks for secure transactions | |
US9654340B2 (en) | Providing private access to network-accessible services | |
EP1273156B1 (en) | Methods and systems for managing virtual addresses for virtual networks | |
US7962655B2 (en) | Using an identity-based communication layer for computing device communication | |
EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
US6996628B2 (en) | Methods and systems for managing virtual addresses for virtual networks | |
US7356601B1 (en) | Method and apparatus for authorizing network device operations that are requested by applications | |
US20120060027A1 (en) | Certifying the identity of a network device | |
US20100042834A1 (en) | Systems and methods for provisioning network devices | |
US20030154404A1 (en) | Policy engine for modular generation of policy for a flat, per-device database | |
US20060088026A1 (en) | Message based network configuration of domain name services | |
WO2005006653A1 (en) | System and method for dynamically configuring and transitioning wired and wireless networks | |
Aboba et al. | Criteria for evaluating roaming protocols | |
JP2005072636A (ja) | 通信システム、同通信システムにおけるセキュリティポリシーの配布方法、サーバ装置、ならびにセキュリティポリシーの配布プログラム | |
CN104170351B (zh) | 用于云计算系统中的通信终端的部署的系统 | |
RU2474073C2 (ru) | Сеть и способ для инициализации ключа для линии центра управления безопасностью | |
WO2020168826A1 (zh) | 设备配置方法、系统和装置 | |
WO2018039901A1 (zh) | 用于ip地址分配的方法、装置、系统和计算机程序产品 | |
US11888898B2 (en) | Network configuration security using encrypted transport | |
Cisco | Cisco BBSM 5.1 Release Notes | |
JP3965774B2 (ja) | ネットワークシステム | |
JP2001256188A (ja) | ユーザ登録方法及びユーザ登録情報転送コンピュータ及びプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
US11856117B1 (en) | Autonomous distributed wide area network having control plane and order management on a blockchain |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040902 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060413 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060418 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060501 |
|
LAPS | Cancellation because of no payment of annual fees |