JP4432595B2 - ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法 - Google Patents

ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法 Download PDF

Info

Publication number
JP4432595B2
JP4432595B2 JP2004125815A JP2004125815A JP4432595B2 JP 4432595 B2 JP4432595 B2 JP 4432595B2 JP 2004125815 A JP2004125815 A JP 2004125815A JP 2004125815 A JP2004125815 A JP 2004125815A JP 4432595 B2 JP4432595 B2 JP 4432595B2
Authority
JP
Japan
Prior art keywords
setting
network
pair
setting target
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004125815A
Other languages
English (en)
Other versions
JP2005311704A (ja
Inventor
隆一 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2004125815A priority Critical patent/JP4432595B2/ja
Publication of JP2005311704A publication Critical patent/JP2005311704A/ja
Application granted granted Critical
Publication of JP4432595B2 publication Critical patent/JP4432595B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援プログラム、装置及び方法に関する。
ネットワークに接続されるノード(各利用者が利用するパーソナルコンピュータやプリンタなど、ネットワーク通信を行う各機器)が増大するにつれて、各ノード間の通信制御の負担は増大する。そこで複数のノードを一つのセグメント(ネットワークセグメント)としてまとめて扱い、各セグメントごとに少なくとも一つのルータ装置を配置して、セグメント間の通信設定を行うことが広く行われている。
なお、セグメントは本来は単なるネットワークの単位であって、情報や機器に対する同一のアクセス権を有する個人をまとめる単位を意味するものではないが、セグメントの運営単位や物理的距離の近さゆえに、同一セグメント内のノードが同一のアクセス権を有するとして通信制御を設定することも多い。
一方、近年はイントラネットを構築する企業も多い。こうした企業においては、セグメント間の通信設定を変更する必要が生じるたびにイントラネット構築に関わった業者を呼び出して、設定変更をしてもらうのではなく、専門知識のない企業側の担当者であっても容易に設定変更ができるようにしてほしいという要望も多い。
特開2002−368743号公報
しかしながら、セグメント間で通信制御をする場合には、セグメント間を接続するルータ装置に対してパケットフィルタリングを設定する必要がある。このルータ装置の操作は一般に専門知識のない担当者にとっては困難であった。また、ルータ装置の設定を変更する権限をこうした担当者に無制限に開放してしまうと、設定を誤ったときにネットワークに障害が生じかねない。
特許文献1に開示された技術によれば、ネットワークの論理的または物理的構成要素を抽象図形にて記載したネットワーク図を設計するための作画画面を備えているので、当該ネットワーク図を用いて設定を行うことができるが、ネットワーク図から、トポロジー(通信可能性)を正確に把握するには、やはり専門知識を要するため、特許文献1に開示された技術によっては、ネットワークセグメント間の通信制御を利用者が必ずしも容易に設定できない。
本発明は上記実情に鑑みて為されたもので、ネットワーク上の通信制御を容易に設定できるネットワーク設定支援プログラム、装置及び方法を提供することを、その目的の一つとする。
上記従来例の問題点を解決するための本発明は、ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援プログラムであって、コンピュータに、相互に通信可能な各ネットワークセグメントの対を特定する接続トポロジー情報を取得するトポロジー情報取得手順と、前記接続トポロジー情報によって特定されるネットワークセグメントの対を表示するセグメント対表示手順と、前記表示されたネットワークセグメントの対ごとに、当該対の一方から他方へ、及び他方から一方への各通信可否の設定を受け入れる設定受入手順と、前記設定受入手順にて受け入れた各ネットワークセグメントの対ごとの設定に基づき、前記ネットワークセグメントごとのルータ装置に対するパケットフィルタリング機能の設定情報を生成する手順と、を実行させることを特徴としている。
ここで前記セグメント対表示手順では、各ネットワークセグメントの識別子を行方向並びに列方向に配列して、ネットワークセグメントの対の各々に対応するセルを含む設定マトリクスを表示し、当該設定マトリクス上のセルのうち、前記接続トポロジー情報によって特定されるネットワークセグメントの対に対応するセルを設定入力可能な状態としておき、前記設定受入手順では、前記セルに入力された設定内容を受け入れることとしてもよい。
さらに、前記設定受入手段によって受け入れられる通信可否の設定は、通信可能とする設定と、通信不可能とする設定と、他の利用者に設定を委任するとの設定と、のいずれかであることとしてもよい。
また、前記他の利用者に設定を委任すると設定する場合に、当該他の利用者が設定を行わない場合のデフォルトとなる設定として、通信可能とする設定と、通信不可能とする設定とのいずれかの設定を行わせることとしてもよい。
さらに上記従来例の問題点を解決するための本発明は、ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援プログラムであって、コンピュータに、相互に通信可能な通信要素を両端点とする設定対象ペアを特定する接続トポロジー情報を取得するトポロジー情報取得手順と、前記接続トポロジー情報によって特定される設定対象ペアを表示する設定対象ペア表示手順と、前記表示された設定対象ペアに係る両端点間の通信可否の設定を受け入れる設定受入手順と、前記設定受入手順にて受け入れた各設定対象ペアの設定に基づき、前記ルータ装置に対するパケットフィルタリング機能の設定情報が生成される、ことを特徴としている。
ここで、前記設定受入手順にて受け入れた各設定対象ペアの設定間で、一方の第1設定対象ペアに係る設定対象に、他方の第2設定対象ペアに係る設定対象が含まれる関係にある場合に、前記パケットフィルタリング機能の設定情報を生成する際には、当該第2設定対象ペアに係る設定対象については、当該第2設定対象ペアでの設定が優先的に利用されることとしてもよい。
また、本発明の一態様に係るネットワーク設定支援装置は、ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援装置であって、相互に通信可能な各ネットワークセグメントの対を特定する接続トポロジー情報を取得するトポロジー情報取得手段と、前記接続トポロジー情報によって特定されるネットワークセグメントの対を表示するセグメント対表示手段と、前記表示されたネットワークセグメントの対ごとに、当該対の一方から他方へ、及び他方から一方への各通信可否の設定を受け入れる設定受入手段と、を含み、前記設定受入手段にて受け入れた各ネットワークセグメントの対ごとの設定に基づき、前記ネットワークセグメントごとのルータ装置に対するパケットフィルタリング機能の設定情報が生成されることを特徴としている。
また、本発明の別の態様に係るネットワーク設定支援装置は、ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援装置であって、設定対象ペアを特定する接続トポロジー情報を取得するトポロジー情報取得手段と、前記接続トポロジー情報によって特定される設定対象ペアを表示するセグメント対表示手段と、前記表示された設定対象ペアに係る両端点間の通信可否の設定を受け入れる設定受入手段と、を含み、前記設定受入手段にて受け入れた各設定対象ペアの設定に基づき、前記ルータ装置に対するパケットフィルタリング機能の設定情報が生成されることを特徴としている。
さらに、本発明の別の態様に係るネットワーク設定支援方法は、ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援方法であって、コンピュータを用い、設定対象ペアを特定する接続トポロジー情報を取得させ、前記接続トポロジー情報によって特定される設定対象ペアを表示させ、前記表示された設定対象ペアに係る両端点間の通信可否の設定を受け入れさせ、前記受け入れた各設定対象ペアの設定に基づき、前記ルータ装置に対するパケットフィルタリング機能の設定情報を生成させる、ことを特徴としている。
本発明の実施の形態について図面を参照しながら説明する。本実施の形態に係るネットワーク設定支援プログラムは、ネットワーク設定支援装置として動作するコンピュータによって実行されるものである。ここでネットワーク設定支援装置1として動作するコンピュータは、図1に示すように、制御部11と、記憶部12と、操作部13と、表示部14と、通信部15とを含んで構成されている。さらに、このネットワーク設定支援装置1は、通信部15を介していずれかのネットワークセグメントSに接続されており、このネットワークセグメントSは、他のネットワークセグメントSとの間でルータ装置2を介して接続されている。
ここでルータ装置2は、複数のネットワークセグメント間の通信を仲介可能な、パケットフィルタリング機能を有するルータ装置であり、広く用いられているもので実現できるので、ここでの詳細な説明を省略する。なお、ルータ装置2間にあるネットワークは、インターネット(the Internet)であってもよい。
制御部11は、CPU(Central Processing Unit)などで構成され、記憶部12に格納されているプログラムに従って動作している。この制御部11は、相互に通信可能な各ネットワークセグメントの対を特定する接続トポロジー情報を取得する処理(接続トポロジー情報取得処理)と、接続トポロジー情報によって特定されるネットワークセグメントの対を表示し、表示されたネットワークセグメントの対ごとに、当該対の一方から他方へ、及び他方から一方への各通信可否の設定を受け入れる処理(設定受入処理)と、受け入れた設定に基づいて、ルータ装置2に対するパケットフィルタリング機能の設定情報を生成する処理(設定情報生成処理)とを実行している。これらの各処理の具体的内容については、後に詳しく述べる。
記憶部12は、RAM(Random Access Memory)やROM(Read Only Memory)などのメモリ素子、又は/及びハードディスクやCD−ROM、DVD−ROMなどの二次記憶装置などで構成される。この記憶部12は、制御部11によって実行されるプログラムを格納している。また、この記憶部12は、制御部11の処理の過程で必要となる各種情報を記憶する、ワークメモリとしても動作する。
さらに本実施の形態では、ネットワークを構築した業者が予め、図2(a)に示すようなネットワークセグメントのアドレスのリストを、この記憶部12に格納しておく。なお、このリストには、図2(b)に示すように、各ネットワークセグメントに対応する組織名称を関連付けておいてもよい。
操作部13は、マウスやキーボード等であり、利用者からの指示操作を受け入れて、当該指示操作の内容を制御部11に出力する。表示部14は、ディスプレイ装置等であり、制御部11から入力される指示に従って、グラフィックス表示等を行う。通信部15は、ネットワークインタフェースであり、制御部11から入力される指示に従って、ネットワークを介して他のノードに対して情報を送信し、また、他のノードから到来する情報を受信して制御部11に出力している。
ここで、制御部11によって実行されるネットワーク設定支援プログラムの具体的な内容について説明する。ネットワーク設定支援プログラムは、機能的には、図3に示すように、接続トポロジー情報取得部31と、設定受入処理部32と、設定情報生成処理部33と、設定情報送信部34とを含む。
接続トポロジー情報取得部31は、記憶部12に格納されているネットワークアドレスのリストを読出して、リスト上の各ネットワークセグメント間で通信が可能であるとして、ネットワークセグメントの対の順列(通信方向があるため、組み合せではなく順列とする、つまり、ここでのネットワークセグメントの対は、方向を有する(有向な)対である)を列挙したリストを生成する。これによりネットワークセグメントの対を特定する情報が取得される。
具体的に、図2(a),(b)に示したリストでは、10.0.1.0/24、10.0.2.0/24、10.0.3.0/24、10.0.4.0/24の4つのネットワークアドレス(ここではIPv4のアドレスフォーマットとしている)が含まれているので、
10.0.1.0/24→10.0.2.0/24(10.0.1.0/24のネットワークセグメント内のノードから、10.0.2.0/24のネットワークセグメント内のノードへの通信に対応する情報。以下同様)、
10.0.1.0/24→10.0.3.0/24、
10.0.1.0/24→10.0.4.0/24、
10.0.2.0/24→10.0.1.0/24、
10.0.2.0/24→10.0.3.0/24、
10.0.2.0/24→10.0.4.0/24、
10.0.3.0/24→10.0.1.0/24、
10.0.3.0/24→10.0.2.0/24、
10.0.3.0/24→10.0.4.0/24、
10.0.4.0/24→10.0.1.0/24、
10.0.4.0/24→10.0.2.0/24、
10.0.4.0/24→10.0.3.0/24、
の12通りの順列がネットワークセグメントの対を特定する情報として取得される。
接続トポロジー情報取得部31は、これらのネットワークセグメントの対を特定する情報を、接続トポロジー情報として記憶部12に格納する。
設定受入処理部32は、記憶部12に格納された接続トポロジー情報によって特定されるネットワークセグメントの対を、表示部14に提示する。ここでネットワークセグメントの対(設定対象ペア)の表示は、リスト状に一列に表示してもよいが、図4に示すように、各ネットワークセグメントの識別子(ネットワークセグメントのネットワークアドレスや、各ネットワークセグメントに関連付けて記憶部12に格納された文字列など)を行方向並びに列方向に配列して、ネットワークセグメントの対の各々に対応するセルを含む設定マトリクスとして表示してもよい。
図4の設定マトリクスにおいては、行方向が通信先となるネットワークセグメントを表し、列方向が通信元となるネットワークセグメントを表す(なお、行方向を通信元、列方向を通信先としてもよい)。つまり図4における2行1列目のセルAは、10.0.2.0/24→10.0.1.0/24の通信を表す。設定受入処理部32は、当該設定マトリクス上のセルのうち、接続トポロジー情報によって特定されるネットワークセグメントの対に対応するセルを設定入力可能な状態とする。
具体的には、上記ネットワークセグメントの対に含まれない、10.0.1.0/24→10.0.1.0/24(自分自身への通信に対応する情報)に対応するセルなどは、文字列入力欄を表示せずに入力不能な状態とし、その他の接続トポロジー情報によって特定されるネットワークセグメントの対に対応するセルの位置には、文字列入力欄を表示して、通信可否の設定を入力できる状態とする。
また、この設定受入処理部32は、現在の設定内容の情報を、各ネットワークセグメントのルータ装置2から取得して、表示部14に表示したセルの初期値としてもよい。
設定受入処理部32は、各文字列入力欄の文字列を、セルに入力された設定内容として受け入れる。なお、これらの文字列入力欄は、既定の文字列リストの中から、入力する文字列を選択するようになっていてもよい。これにより、設定受入処理部32は、表示部14に表示されたネットワークセグメントの対ごとに、当該対の一方から他方へ、及び他方から一方への各通信可否の設定を受け入れることになる。
設定情報生成処理部33は、設定受入処理部32が受け入れた通信可否の設定に基づき、各ルータ装置2へ送信する、パケットフィルタリング機能の設定情報を生成する。この設定情報は概念的には、通信元を特定する情報と、通信先を特定する情報と、各情報によって特定された通信元から通信先への通信可否の設定内容とを関連付けたものであり、図5に示すように例示することができる。図5では、通信可否の設定が各行先頭の文字によって表されており、各行ごとに、通信元を特定する情報としての通信元側のネットワークアドレスと、通信先を特定する情報としての通信先側のネットワークアドレスとを記述した情報となっている。ここでは、先頭の文字が「A」であれば通信可能(Accept)であり、「R」であれば通信不可能(Reject)であるものとしている。
設定情報送信部34は、設定情報生成処理部33が生成した設定情報を、各ルータ装置2に対して送信する。なお、設定情報送信部34は、ルータ装置2ごとに必要となる設定情報の一部を、設定情報生成処理部33が生成した設定情報から選択的に抽出し、各ルータ装置2に対応する設定情報(個別設定情報)を生成してもよい。そして、生成した個別設定情報を、対応するルータ装置2に対して送信するようにしてもよい。
次に、本実施の形態のネットワーク設定支援装置1の動作について説明する。なお、以下の動作の説明では、図6(a)に示すようなネットワークが構築されているものとする。すなわち、図6(a)のネットワークでは、10.0.1.0/24、10.0.2.0/24、10.0.3.0/24、10.0.4.0/24の4つのネットワークアドレスに対応するネットワークセグメントに分離され、各ネットワークセグメントが3つのルータ装置2a、2b、2cを介して相互に通信可能に接続されている。ここでルータ装置2aは、10.0.1.0/24のネットワークセグメントと、10.0.2.0/24のネットワークセグメントとの間の通信を仲介する。また、ルータ装置2bは、10.0.1.0/24のネットワークセグメントと、10.0.3.0/24のネットワークセグメントとの間の通信を仲介し、ルータ装置2cは、10.0.1.0/24のネットワークセグメントと、10.0.4.0/24のネットワークセグメントとの間の通信を仲介する。従って、例えば10.0.2.0/24のネットワークセグメント内のノード(そのIPアドレスは、10.0.2.1などとなる)から、10.0.3.0/24のネットワークセグメント内のノード(そのIPアドレスは、10.0.3.1などとなる)への通信は、ルータ装置2a、2bの2つのルータ装置を介して行われることになる。
利用者がこのネットワーク上に接続されているネットワーク設定支援装置1を操作して、ルータ装置2に対するパケットフィルタリングの設定を指示すると、ネットワーク設定支援装置1の制御部11が記憶部12からネットワーク設定支援プログラムを読み出して、その処理を開始する。また、このネットワーク設定支援装置1の記憶部12には、例えば図2(b)に示すネットワークアドレスのリストが格納されている。
制御部11は、接続トポロジー情報取得部31の処理を開始して、記憶部12に格納されているネットワークアドレスのリストを読出し、ネットワークセグメントの対の順列を列挙したリストを生成して記憶部12に格納する。なお、ここでは、4つのネットワークセグメントがパケットフィルタリング可能なルータ装置2で接続されており、すべてのネットワークセグメント間でルーティング可能となっているものとする。
制御部11は次に、設定受入処理部32の処理を開始し、記憶部12に格納された、ネットワークセグメントの対の順列(設定対象ペア)を列挙したリスト(接続トポロジー情報)を読み出し、各ネットワークセグメントの識別子として、各ネットワークセグメントに関連付けて記憶部12に格納された文字列を行方向並びに列方向に配列して、ネットワークセグメントの対の各々に対応するセルを含む設定マトリクスを表示部14に表示する。この際、設定受入処理部32の処理開始時における設定内容の情報を、各ネットワークセグメントのルータ装置2から取得してセルの初期値とする。
具体的に、ルータ装置2aから10.0.2.0/24のネットワークセグメントに係る設定内容として、
10.0.1.0/24→10.0.2.0/24について、通信可能
10.0.2.0/24→10.0.1.0/24について、通信可能、
10.0.2.0/24→10.0.3.0/24について、通信可能、
10.0.2.0/24→10.0.4.0/24について、通信可能、
10.0.3.0/24→10.0.2.0/24について、通信不可能、
10.0.4.0/24→10.0.2.0/24について、通信不可能、
との設定を取得し、ルータ装置2bから10.0.3.0/24のネットワークセグメントに係る設定内容として、
10.0.1.0/24→10.0.3.0/24について、通信不可能、
10.0.3.0/24→10.0.1.0/24について、通信可能、
10.0.2.0/24→10.0.3.0/24について、通信可能、
10.0.3.0/24→10.0.2.0/24について、通信不可能、
10.0.3.0/24→10.0.4.0/24について、通信不可能、
10.0.4.0/24→10.0.3.0/24について、通信可能、
との設定を取得し、ルータ装置2cから10.0.4.0/24のネットワークセグメントに係る設定内容として、
10.0.1.0/24→10.0.4.0/24について、通信不可能、
10.0.4.0/24→10.0.1.0/24について、通信可能、
10.0.2.0/24→10.0.4.0/24について、通信可能、
10.0.4.0/24→10.0.2.0/24について、通信不可能、
10.0.3.0/24→10.0.4.0/24について、通信不可能、
10.0.4.0/24→10.0.3.0/24について、通信可能、
との設定を取得する(なお、重複しているものもある)。そして制御部11は、これらの設定内容を設定マトリクスに表示し、図4に示した設定マトリクスを表示部14に表示することとなる。また、ここでは複数のルータ装置2から互いに重複している設定内容を取得した場合に、当該重複した設定内容に矛盾がないと仮定している。
尤も、矛盾が生じていた場合、例えばルータ装置2aから取得した情報により、10.0.2.0/24→10.0.3.0/24について、通信可能と設定されているのに、ルータ装置2bから取得した情報によると、10.0.2.0/24→10.0.3.0/24について、通信不可能と設定されていた場合、ルータ装置2aからはフィルタリングされずにパケットが送出されるが、ルータ装置2bにおいてフィルタリングが行われ、現実に通信が不可能になっている。そこで制御部11は、10.0.2.0/24→10.0.3.0/24の通信は不可能として設定を表示することとする(この結果、後に設定情報生成処理部33によって生成される設定情報は、当該通信を不可能とする設定となり、矛盾が解消される)。
利用者は、図4に示した設定マトリクス上で設定内容を必要に応じて変更して、設定情報を生成するべき旨の指示を行う。すると制御部11が設定情報生成処理部33としての処理を開始し、変更後の設定内容に基づいて、設定情報を生成する。
ここで生成される設定情報は、例えば図4に示した設定マトリクスの設定内容(上記設定内容を利用者が変更しなかった場合)に応じて、図5に示した設定情報が生成される。そして制御部11は、設定情報送信部34としての処理を開始し、当該生成した設定情報を各ルータ装置2に送信する。各ルータ装置2は、生成された設定情報を受信して、当該設定情報に基づいてパケットフィルタリング機能の設定を書き替える。
なお、図5に示した設定情報には、例えばルータ装置2aにとって必要とならない情報(10.0.1.0/24→10.0.3.0/24など)も含まれているが、ルータ装置2aでは、当該情報は無視して扱われることになる。しかしながら、ルータ装置2ごとに必要となる設定情報の一部を、設定情報生成処理部33が生成した設定情報から選択的に抽出し、各ルータ装置2に対応する設定情報(個別設定情報)を生成し、当該個別設定情報を、対応するルータ装置2に対して送信するようにしてもよい。
例えば、ルータ装置2aについては、10.0.1.0/24と、10.0.2.0/24と、の各ネットワークセグメントに関する設定内容(設定マトリクス上で図7の太枠T内の情報)が含まれればよいので、この設定内容を含む設定情報の一部を、ルータ装置2aに対応する個別設定情報として抽出し(図8に示すような設定情報となる)、この個別設定情報をルータ装置2aに送信する。
同様に、図6(b)に示すネットワーク構成においてルータ装置2dについては、10.0.2.0/24のネットワークセグメントに関する設定内容が含まれればよいので、ルータ装置2dに対応する個別設定情報は、例えば図9に示すようなものとなる。
さらにここまでの説明では、接続トポロジー情報取得部31は、ネットワークセグメントのリストから接続トポロジー情報を生成するものとして説明したが、例えばリスト上のネットワークセグメントのうち、ノードを含まない(通信機器を含まない)ネットワークセグメント(空セグメント)があれば、当該空セグメントについては、接続トポロジー情報に含めないこととしてもよい。例えば図6(b)に示すネットワーク構成において、10.1.2.0/24や、10.1.3.0/24、10.1.4.0/24が空セグメントであれば、これに対応して表示される設定マトリクスは、図4におけるものと同様に、10.0.1.0/24、10.0.2.0/24、10.0.3.0/24、10.0.4.0/24の4つのネットワークセグメントに係るもの(つまり、図2(b)の組織名でいえば本社、開発部、営業部、事務部の4つ)となる。このように本実施の形態によると、ネットワークの専門知識を有していなくても、ネットワーク上の通信制御を容易に設定できる。
[複数担当者が設定する場合]
ここまでの説明では、ネットワーク設定支援装置1の利用者が図4に示したネットワークセグメント対(12個の対)のすべてについて設定可能であるとして説明したが、利用者ごとに設定可能な範囲を定めてもよい。例えば本社の利用者は、12個の対のすべてについて設定可能とし、開発部の利用者は、10.0.2.0/24のネットワークセグメントに関する6個の対についてのみ設定可能としてもよい。
具体的にこの場合、ネットワーク設定支援装置1の記憶部12には、利用者名と、設定可能なセルを特定する情報(セル位置を行、列の番号等で特定すればよい)のリストとを関連づけて、設定許可情報として格納しておく。
制御部11は、ネットワーク設定支援プログラムの各処理を開始する際に、利用者名やパスワード等を用いて利用者を認証する。そして設定許可情報から、当該認証した利用者に関連づけられた設定可能なセルを特定する情報のリストを読出して、当該リスト上の情報によって特定されるセルについてのみ、文字列入力欄を表示して、設定入力可能な状態とする。
なお、各利用者はこの場合、設定入力可能となっているセルに対して、通信可能とする設定と、通信不可能とする設定とに加えて、他の利用者に設定を委任するとの設定を入力可能としておいてもよい。このように他の利用者に設定を委任するとされたセルについては、制御部11は、当該セルを特定する情報を、委任セル特定情報として記憶部12に格納しておく。そして、他の利用者を認証したときに、設定許可情報に基づいて少なくとも一部のセルについて設定入力可能とするとともに、当該委任セル特定情報によって特定されるセルについても文字列入力欄を表示して、設定入力可能な状態とする。
さらにこのように他の利用者に設定を委任するとの設定においては、委任の対象となる利用者を特定する情報を関連づけておき、当該委任の対象となる利用者を認証したときにのみ、当該委任セル特定情報によって特定されるセルについても文字列入力欄を表示して、設定入力可能な状態としてもよい。また、他の利用者に設定を委任すると設定する場合に、当該他の利用者が設定を行わない場合のデフォルトとなる設定として、通信可能とする設定と、通信不可能とする設定とのいずれかの設定を関連づけておき、当該委任セル特定情報によって特定されるセルについて文字列入力欄を表示したときに、その初期値として、当該デフォルトとなる設定として入力された設定内容(デフォルト設定内容)を表示してもよい。この結果、委任された利用者が、当該委任されたセルについて何も設定を変更しない場合は、当該委任されたセルに関する設定は、デフォルト設定内容となる。
[他の種類の通信要素を特定した設定]
また、ここまでの説明では、ネットワークセグメント間の通信可否を設定する例について述べたが、ノード等、他の種類の通信要素についても、そのネットワークアドレスを特定して設定することで、ノードやネットワークセグメントなどの対(有向な設定対象ペア)の間の通信可否を設定するようにしてもよい。すなわち、本実施の形態のネットワーク設定支援プログラムにおける設定対象は、ネットワークセグメントのほか、ホスト(ノード)、ネットワークセグメント又はホストのセット、インターネット(0.0.0.0/0と表記できる)といった4種類の対象を含む。
つまり、設定対象ペアとして、ネットワークセグメントとノード間の設定や、インターネットとノード、任意のノードのセットとノード、など12通りの設定対象ペアの種類が考えられる。
このようにネットワークセグメントに限らない場合も、制御部11は、設定対象ペアを特定する接続トポロジー情報を取得し、当該取得した接続トポロジー情報によって特定される設定対象ペアを表示して、当該表示された設定対象ペアに係る両端点間の通信可否の設定を受け入れる。
具体的に、図2(a),(b)に示したリストが記憶部12に格納されている場合であって、通信可否の設定を行う対象のノードのネットワークアドレスとして、「10.0.3.1」が特定されている場合、先に説明した12通りの有向のネットワークセグメントの対に加え、ノード(10.0.3.1のノード)と、当該ノードの属するネットワークセグメント(10.0.3.0)以外の各ネットワークセグメント(10.0.1.0、10.0.2.0、10.0.4.0の3つ)とに基づき、
10.0.3.1→10.0.1.0
10.0.3.1→10.0.2.0
10.0.3.1→10.0.4.0
10.0.1.0→10.0.3.1
10.0.2.0→10.0.3.1
10.0.4.0→10.0.3.1
の6通りの順列を加えた全18(12+6)通りの対を設定対象ペアとして特定する接続トポロジー情報を生成する。
そしてこれらの順列を含む設定マトリクスを表示部14に表示して通信可否の設定を受け入れ、当該受け入れた各設定対象ペアの設定に基づき、ルータ装置2に対するパケットフィルタリング機能の設定情報を生成する。
さらに、IPアドレスの一部を特定する情報を用い、ノード群やネットワークセグメントといった設定対象のペアを設定対象ペアとして接続トポロジー情報を生成してもよいし、TCP(Transmission Control Protocol)におけるポート番号までを特定して、特定のポートごとの通信要素を規定し、設定対象の有向対を設定対象ペアとして、各設定対象ペアに関する通信可否の設定を行うようにすることもできる。
また、複数のネットワークセグメントのセットや、ノードのセットを設定対象としてもよい。例えばその一部である10.5.1.0と、10.5.2.0とに係る設定を共通にするときには「10.5.1.0/24+10.5.2.0/24」のようにしてネットワークセグメントのセットを設定対象として定める。これにより、個々のネットワークセグメントについての設定を行うことなく、共通する設定を行うネットワークやノードについてまとめて設定を行うことが可能となる。
具体的には、設定マトリクスの表示画面において、複数のネットワークセグメントやノードが選択された状態で、「まとめる」旨の指示(例えばその旨表示したボタンをクリックするなど)の操作を受けて、制御部11は、その指示の時点で選択されている複数のネットワークセグメントやノードのネットワークアドレスを論理和で結合したセットを設定対象として生成し、設定マトリクスに含める。
また、複数のネットワークセグメントやノードのセットを選択した状態で、「ばらす」旨の指示(例えばその旨表示したボタンをクリックするなど)の操作を受けたときには、制御部11は、その指示の時点で選択されているセットに含まれるネットワークセグメントやノードのネットワークアドレスの個々を設定対象として生成し、設定マトリクスに含める。
[包含関係にある設定]
またこのようにさまざまな切分け単位(ネットワーク単位、サブネットワーク単位、ノード単位など)を設定対象とすることができるため、例えば「10.5.0.0/16」を設定対象として含む設定対象ペアの設定と、「10.5.1.0/24」を設定対象として含む設定対象ペアの設定とが設定マトリクス上に表示されて、個別に設定されてしまう場合がある。つまり、各設定対象ペアの設定間で、一方の第1設定対象ペアに係る設定対象に、他方の第2設定対象ペアに係る設定対象が含まれる関係にある場合がある。
この場合には、パケットフィルタリング機能の設定情報を生成する際には、当該第2設定対象ペアに係る設定対象については、当該第2設定対象ペアでの設定が優先的に利用されることとする。つまり、より含まれる通信要素の数の少ないもの(より特定性の高いもの)を優先的に適用するのである。
これにより、例えば「10.5.0.0/16」のネットワークに、10.5.1.0、10.5.2.0、10.5.3.0、10.5.4.0…10.5.100.0の100個のネットワークが含まれる場合に、10.5.1.0から10.5.99.0までの99個は共通の設定とし、10.5.100.0は当該共通の設定とは異なる設定としたい場合に、10.5.0.0/16のネットワークについて当該共通の設定をしてしまい、10.5.100.0のみを個別に設定すれば済むようになる。
つまり、設定マトリクス上に、10.5.0.0/16のエントリーと、10.5.100.0のエントリーとを生成し(このために設定マトリクス上の設定対象のエントリーが任意に入力できるようになっていてもよい)、10.5.0.0/16のエントリーに係る部分には、上記共通の設定を行い、10.5.100.0のエントリーに係る部分には、上記個別の設定を行うようにする。
制御部11は、この設定内容を元に、10.5.100.0/24が、10.5.0.0/16に含まれることを検出し、10.5.0.0/16のエントリーから、10.5.1.0/24から10.5.99.0/24のエントリーを生成してそれらに共通の設定を関連付けた設定情報を生成する。
[設定情報をサーバに配信させる例]
さらにここまでの説明のネットワーク設定支援装置1では、当該ネットワーク設定支援装置1の利用者が、ルータ装置2の設定内容を書き替えるための権限を有している必要があった。しかしながらネットワーク設定支援装置1は、例えば利用者が通常の業務に用いるコンピュータに、ネットワーク設定支援プログラムをインストールすることで実現されている場合もある。従って、そのようなコンピュータからの設定内容の書換指示に応じて容易にルータ装置2の設定内容を書き替えられるようにすることが妥当でない場合もある。
そこでネットワーク設定支援装置1及びルータ装置2を含むネットワークの内部又は外部に、ネットワーク監視サーバを設置しておき、ネットワーク設定支援装置1がネットワーク設定支援プログラムを用いて受け入れた設定内容、あるいはそれに基づいて生成した設定情報を、当該ネットワーク監視サーバに送信するようにしてもよい。この場合、当該ネットワーク監視サーバが各ルータ装置2に対して設定情報を配信する。これにより、ルータ装置2は当該ネットワーク監視サーバからの書換指示にのみ応じて設定内容を書き替えるようにすることができる。つまり、各利用者のネットワーク設定支援装置1から直接的に書換指示を行っても設定内容が変わらないようにすることができる。
さらに本実施の形態の説明では、記憶部12に予め格納されているネットワークセグメントのリストからネットワークセグメントの対を特定する接続トポロジー情報を生成することで、接続トポロジー情報の取得を実現していた。しかしながら、ここで述べたネットワーク監視サーバを設置しておく場合、当該ネットワーク監視サーバにネットワークの接続トポロジー情報を格納しておき、ネットワーク設定支援装置1は、当該ネットワーク監視サーバから接続トポロジー情報を取得してもよい。
本発明の実施の形態に係るネットワーク設定支援装置及びそれの設定対象となるネットワークの例を表す構成ブロック図である。 ネットワークセグメントのリストの例を表す説明図である。 本発明の実施の形態に係るネットワーク設定支援プログラムの例を表す機能ブロック図である。 設定の画面で表示される設定マトリクスの例を表す説明図である。 生成される設定情報の概要例を表す説明図である。 ネットワークセグメントの配置例を表す説明図である。 設定可能範囲の例を表す説明図である。 生成される個別設定情報の概要例を表す説明図である。 生成される個別設定情報の概要例を表す説明図である。
符号の説明
1 ネットワーク設定支援装置、2 ルータ装置、11 制御部、12 記憶部、13 操作部、14 表示部、15 通信部、31 接続トポロジー情報取得部、32 設定受入処理部、33 設定情報生成処理部、34 設定情報送信部。

Claims (9)

  1. ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援プログラムであって、コンピュータに、
    相互に通信可能な各ネットワークセグメントの対を特定する接続トポロジー情報を取得するトポロジー情報取得手順と、
    前記接続トポロジー情報によって特定されるネットワークセグメントの対を表示するセグメント対表示手順と、
    前記表示されたネットワークセグメントの対ごとに、当該対の一方から他方へ、及び他方から一方への各通信可否の設定を受け入れる設定受入手順と、
    前記設定受入手順にて受け入れた各ネットワークセグメントの対ごとの設定に基づき、前記ネットワークセグメントごとのルータ装置に対するパケットフィルタリング機能の設定情報を生成する手順と、
    を実行させ
    前記設定受入手順にて受け入れた各ネットワークセグメントの対の設定間で、一方の第1ネットワークセグメントの対に係るネットワークセグメントに、他方の第2ネットワークセグメントの対に係るネットワークセグメントが含まれる関係にある場合に、前記パケットフィルタリング機能の設定情報を生成する手順では、当該第2ネットワークセグメントの対に係るネットワークセグメントについては、当該第2ネットワークセグメントの対での設定を優先的に利用させる、
    ことを特徴とするネットワーク設定支援プログラム。
  2. 請求項1に記載のネットワーク設定支援プログラムにおいて、
    前記セグメント対表示手順では、各ネットワークセグメントの識別子を行方向並びに列方向に配列して、ネットワークセグメントの対の各々に対応するセルを含む設定マトリクスを表示し、当該設定マトリクス上のセルのうち、前記接続トポロジー情報によって特定されるネットワークセグメントの対に対応するセルを設定入力可能な状態としておき、
    前記設定受入手順では、前記セルに入力された設定内容を受け入れることを特徴とするネットワーク設定支援プログラム。
  3. 請求項1又は2に記載のネットワーク設定支援プログラムにおいて、
    前記設定受入手段によって受け入れられる通信可否の設定は、通信可能とする設定と、通信不可能とする設定と、他の利用者に設定を委任するとの設定と、のいずれかであることを特徴とするネットワーク設定支援プログラム。
  4. 請求項3に記載のネットワーク設定支援プログラムにおいて、
    前記他の利用者に設定を委任すると設定する場合に、当該他の利用者が設定を行わない場合のデフォルトとなる設定として、通信可能とする設定と、通信不可能とする設定とのいずれかの設定を行わせることを特徴とするネットワーク設定支援プログラム。
  5. ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援プログラムであって、コンピュータに、
    設定対象のペアを特定する接続トポロジー情報を取得するトポロジー情報取得手順と、
    前記接続トポロジー情報によって特定される設定対象ペアを表示するペア表示手順と、
    前記表示された設定対象ペアに係る両端点間の通信可否の設定を受け入れる設定受入手順と、
    前記設定受入手順にて受け入れた各設定対象ペアの設定に基づき、前記ルータ装置に対するパケットフィルタリング機能の設定情報生成する手順と
    を実行させ、
    前記設定受入手順にて受け入れた各設定対象ペアの設定間で、一方の第1設定対象ペアに係る設定対象に、他方の第2設定対象ペアに係る設定対象が含まれる関係にある場合に、前記パケットフィルタリング機能の設定情報を生成する手順では、当該第2設定対象ペアに係る設定対象については、当該第2設定対象ペアでの設定を優先的に利用させる、
    ことを特徴とするネットワーク設定支援プログラム。
  6. ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援装置であって、
    設定対象のペアを特定する接続トポロジー情報を取得するトポロジー情報取得手段と、
    前記接続トポロジー情報によって特定される設定対象ペアを表示するペア表示手段と、
    前記表示された設定対象ペアに係る両端点間の通信可否の設定を受け入れる設定受入手段と、
    前記設定受入手順にて受け入れた各設定対象ペアの設定に基づき、前記ルータ装置に対するパケットフィルタリング機能の設定情報を生成する手段と、
    を含み、
    前記設定受入手段にて受け入れた各設定対象ペアの設定間で、一方の第1設定対象ペアに係る設定対象に、他方の第2設定対象ペアに係る設定対象が含まれる関係にある場合に、前記パケットフィルタリング機能の設定情報を生成する手段が、当該第2設定対象ペアに係る設定対象については、当該第2設定対象ペアでの設定を優先的に利用する、
    ことを特徴とするネットワーク設定支援装置。
  7. 前記設定対象には、ネットワークセグメント、サブネットワーク、及びホストが含まれ、前記一方の第1設定対象ペアに係る設定対象に、他方の第2設定対象ペアに係る設定対象が含まれる関係にある場合は、第1設定対象ペアに係る設定対象がネットワークセグメントであるときは、他方の第2設定対象ペアに係る設定対象が当該第1設定対象ペアに係る設定対象であるネットワークセグメントに含まれるサブネットワークまたはホストであり、第1設定対象ペアに係る設定対象がサブネットワークであるときは、他方の第2設定対象ペアに係る設定対象が当該第1設定対象ペアに係る設定対象であるサブネットワークに含まれるホストであることを特徴とする請求項6記載のネットワーク設定支援装置
  8. ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援装置であって、
    設定対象のペアを特定する接続トポロジー情報を取得するトポロジー情報取得手段と、
    前記接続トポロジー情報によって特定される設定対象ペアを表示するセグメント対表示手段と、
    前記表示された設定対象ペアに係る両端点間の通信可否の設定を受け入れる設定受入手段と、
    前記設定受入手段にて受け入れた各設定対象ペアの設定に基づき、前記ルータ装置に対するパケットフィルタリング機能の設定情報を生成する手段と
    を含み、
    前記設定受入手順にて受け入れた各設定対象ペアの設定間で、一方の第1設定対象ペアに係る設定対象に、他方の第2設定対象ペアに係る設定対象が含まれる関係にある場合に、前記パケットフィルタリング機能の設定情報を生成する手段では、当該第2設定対象ペアに係る設定対象については、当該第2設定対象ペアでの設定が優先的に利用されることを特徴とするネットワーク設定支援装置。
  9. ネットワークセグメント間の通信を仲介可能なパケットフィルタリング機能付きルータ装置の設定を支援するネットワーク設定支援方法であって、コンピュータを用い、
    設定対象のペアを特定する接続トポロジー情報を取得させ、
    前記接続トポロジー情報によって特定される設定対象ペアを表示させ、
    前記表示された設定対象ペアに係る両端点間の通信可否の設定を受け入れさせ、
    前記受け入れた各設定対象ペアの設定に基づき、前記ルータ装置に対するパケットフィルタリング機能の設定情報を生成させ、この際に、前記受け入れた各設定対象ペアの設定間で、一方の第1設定対象ペアに係る設定対象に、他方の第2設定対象ペアに係る設定対象が含まれる関係にある場合に、当該第2設定対象ペアに係る設定対象については、当該第2設定対象ペアでの設定を優先的に利用する、
    ことを特徴とするネットワーク設定支援方法。
JP2004125815A 2004-04-21 2004-04-21 ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法 Expired - Fee Related JP4432595B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004125815A JP4432595B2 (ja) 2004-04-21 2004-04-21 ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004125815A JP4432595B2 (ja) 2004-04-21 2004-04-21 ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法

Publications (2)

Publication Number Publication Date
JP2005311704A JP2005311704A (ja) 2005-11-04
JP4432595B2 true JP4432595B2 (ja) 2010-03-17

Family

ID=35439963

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004125815A Expired - Fee Related JP4432595B2 (ja) 2004-04-21 2004-04-21 ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法

Country Status (1)

Country Link
JP (1) JP4432595B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007324557A (ja) * 2006-06-05 2007-12-13 Taiyo Yuden Co Ltd 高周波回路モジュール
JP4632062B2 (ja) * 2007-06-06 2011-02-16 Necソフト株式会社 アクセス制限情報生成装置およびアクセス制限情報生成方法並びにプログラム
JP5822072B2 (ja) * 2011-12-28 2015-11-24 アイコム株式会社 ルータ設定方法
JP2014171211A (ja) * 2013-02-06 2014-09-18 Ricoh Co Ltd 情報処理システム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
JP2002368743A (ja) * 2001-06-05 2002-12-20 Iiga Co Ltd ネットワーク設計支援システム
JP2003101569A (ja) * 2001-09-25 2003-04-04 Mitsubishi Electric Corp Vpn管理装置

Also Published As

Publication number Publication date
JP2005311704A (ja) 2005-11-04

Similar Documents

Publication Publication Date Title
US10135827B2 (en) Secure access to remote resources over a network
CN101729551B (zh) 控制受信网络节点的访问权限的方法和系统
RU2595517C2 (ru) Объекты виртуального сетевого интерфейса
US7215437B2 (en) Method of printing over a network
US6119234A (en) Method and apparatus for client-host communication over a computer network
US8094337B2 (en) Device and system for assisting printer selection through a network
US8448220B2 (en) Merge rule wizard
US20110242599A1 (en) Printer searching device
JP5014847B2 (ja) 情報処理装置及び情報処理方法
EP3605948A2 (en) Distributing overlay network ingress information
JP5765474B1 (ja) 情報処理装置及び情報処理プログラム
JP2007188184A (ja) アクセス制御プログラム、アクセス制御方法およびアクセス制御装置
JP2000324104A (ja) バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
JP4649465B2 (ja) 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法
JP3961112B2 (ja) パケット通信制御システム及びパケット通信制御装置
JP2017084124A (ja) 通信装置
JP2008269530A (ja) 画像形成装置における認証システム
JP4432595B2 (ja) ネットワーク設定支援プログラム、ネットワーク設定支援装置、及びネットワーク設定支援方法
JP2009089062A (ja) 仮想ネットワークシステム及び仮想ネットワーク接続装置
WO2014148483A1 (ja) Dnsサーバ装置、ネットワーク機器、通信システム、および通信方法
CN107615264A (zh) IPv4地址到IPv6地址无缝转换的系统及方法
Handorean et al. Secure service provision in ad hoc networks
Ashley et al. Applying authorization to intranets: architectures, issues and APIs
JP2016162278A (ja) アクセス中継装置、情報処理方法、及びプログラム
WO2004061732A1 (en) A method and a system for responding to a request for access to an application service

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070322

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20071112

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091214

R150 Certificate of patent or registration of utility model

Ref document number: 4432595

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140108

Year of fee payment: 4

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees