JP4600367B2 - Ｖｌａｎ通信範囲特定システム、データ作成方法、及びプログラム - Google Patents

Description

本発明は、ＶＬＡＮ通信範囲特定システム、データ作成方法およびプログラムに関し、特にＶＬＡＮにおける通信範囲を検査できるＶＬＡＮ通信範囲特定システム、ＶＬＡＮ通信範囲特定システムに適用されるデータ作成方法およびプログラムに関する。

昨今の情報通信技術の発展によって、企業や組織のネットワークは益々高度化している。中でも、ＬＡＮ（Ｌｏｃａｌ Ａｒｅａ Ｎｅｔｗｏｒｋ）は、パソコンやサーバを繋ぐネットワークの土台として幅広く利用されている。ＬＡＮを構成するネットワーク機器の代表的なものにスイッチがある。スイッチとは、ネットワーク間を繋ぐデバイスのひとつで、スイッチによって、ＬＡＮ内の端末間での通信を可能にする。近年のスイッチ製品には、ＶＬＡＮ（Ｖｉｒｔｕａｌ Ｌｏｃａｌ Ａｒｅａ Ｎｅｔｗｏｒｋ：バーチャルＬＡＮ）機能を備えたものが多く、ＶＬＡＮ機能を搭載したスイッチによって、より複雑な通信制御が可能となっている。なお、ＶＬＡＮは仮想ＬＡＮとも呼ばれる。ＶＬＡＮとは、スイッチに接続されている端末をグループ化する機能である。ＬＡＮの物理的な接続に囚われず、論理的にＬＡＮを構築することが可能である。つまり、同一のスイッチに接続されている端末でも、異なるＶＬＡＮに所属している端末同士が直接通信することはできない。異なるＶＬＡＮ同士を通信させる場合には、ルータやＬ３スイッチといったルーティング機能を持つネットワーク機器を使って、ＩＰアドレスによるルーティングが必要となる。以上のようなＶＬＡＮの性質から、ＶＬＡＮを利用することで特定の端末へのみパケットを転送することができ、不要なトラフィックの削減や、セキュリティの確保といったメリットがある。

しかし、ユーザにとってＶＬＡＮ設定作業は容易ではない。ＶＬＡＮの設定は、ＬＡＮの配線等、物理的な設定によらない論理的な設定となるため、ＶＬＡＮ設定を行うユーザは、どのＶＬＡＮのどの接続ポート同士が通信可能もしくは通信不可なのかを把握しにくい。また、ネットワーク全体を通して各スイッチのＶＬＡＮ設定を体系的に捉え、管理をすることが難しい。特に、通信キャリアが構築している大規模スイッチネットワーク等では、ネットワーク全体のＶＬＡＮによる通信状態を完全かつ素早く把握することは極めて困難である。現状では、接続ポート同士の通信可否を確認するには、例えば、「ＰＩＮＧ」コマンド等によるネットワークの診断をユーザが手作業で行っているため、大変時間がかかる。また、手作業による診断であるため、診断ミスも発生しやすい。

従来のスイッチングハブ及びネットワーク管理装置の一例が、特許文献１に記載されている。特許文献１に記載されたスイッチングハブ及びネットワーク管理装置は、スイッチングハブにおけるＶＬＡＮ設定の自動化に用いられている。ここでいうスイッチングハブとは、スイッチと同義である。特許文献１に記載されたスイッチングハブ及びネットワーク管理装置は、スイッチングハブの接続ポートに設定されているＶＬＡＮ−ＩＤとその接続ポートに接続されている端末のＩＰアドレスまたはホスト名を管理表としてネットワーク管理装置に保持することで、端末の移動に伴うスイッチングハブの設定変更を自動的に行うことを可能にし、ユーザのＶＬＡＮ設定作業の負荷を軽減するものである。端末が別のスイッチングハブ等に移動した場合、ネットワーク管理装置は、端末が移動先のスイッチングハブに接続した時点でその端末が保持するＩＰアドレスまたはホスト名を検知し、そのＩＰアドレスまたはホスト名に対応するＶＬＡＮ−ＩＤを管理表から検索し、該当するＶＬＡＮ−ＩＤが存在すればそのＶＬＡＮ−ＩＤをスイッチングハブに設定する。一方、該当するＩＰアドレスまたはホスト名が存在しない場合は、そのＩＰアドレスまたはホスト名を保持する端末のアクセスを拒否するようにスイッチングハブに設定する。また、ネットワーク管理装置が保持するＶＬＡＮ−ＩＤとＩＰアドレスまたはホスト名の管理表には、アクセス制限を指定できる項目が存在する。アクセス制限とは、ＩＰアドレスまたはホスト名が割り当てられている端末のスイッチングハブへのアクセスを許可もしくは禁止することである。これによって、アクセスが許可されたＩＰアドレスまたはホスト名を持つ端末のみをネットワークに接続させることが可能である。また、管理表は、ユーザが自由に設定可能となっている。端末に設定されるＩＰアドレスやホスト名は、ユーザが自由に変更できるため、端末のＩＰアドレス及びホスト名を管理することは難しい。

従来の仮想ネットワーク設計装置及びサブネットワーク設計装置及び仮想ネットワーク設計方法の一例が、特許文献２に記載されている。特許文献２に記載された仮想ネットワーク設計装置及びサブネットワーク設計装置及び仮想ネットワーク設計方法は、新規ＶＬＡＮの設計及び既存ＶＬＡＮ設定の変更における作業の効率化に用いられている。ここでいう、仮想ネットワークとは、ＶＬＡＮと同義である。特許文献２に記載された仮想ネットワーク設計装置及びサブネットワーク設計装置及び仮想ネットワーク設計方法は、物理ネットワークと仮想ネットワークの対応関係を一目で分かるように表示することで、ＶＬＡＮ設定の設計及びメンテナンスを効率的に行うことができるものである。ユーザは新たにＶＬＡＮを作成する場合、仮想ネットワーク設計装置のアドレス割当て部を使って、ＶＬＡＮに対応するネットワークアドレスを登録する。ここでいう、ネットワークアドレスとは、ＩＰアドレスとサブネットマスクの対を指す。アドレス割当て部は、既存のＶＬＡＮ番号とそのＶＬＡＮ番号に対応するアドレス空間がマップとして表示される仕組みになっており、誤って既存のＶＬＡＮ番号やネットワークアドレスを登録するといった設定ミスを防ぐ。また、任意のＶＬＡＮの設定情報が物理ネットワーク上のどのネットワーク機器にまで及んでいるかを把握するために、物理ネットワークマップに仮想ネットワークマップを重ねる方法を用いており、ＶＬＡＮの設定情報の範囲をユーザが一目で分かるようになっている。さらに、ＶＬＡＮ単位で描画表現を変えることで、どのＶＬＡＮ同士がルーティング処理によって互いに通信可能であるかを視覚的に表現する機能を備えている。

従来の通信ネットワーク構成表示方法の一例が、特許文献３に記載されている。特許文献３に記載の通信ネットワーク構成表示方法は、仮想ネットワーク上の通信異常箇所を容易に特定するために用いられている。ここでいう、仮想ネットワークとは、ＶＬＡＮと同義である。特許文献３に記載された通信ネットワーク構成表示方法は、各通信プロトコル毎にネットワーク構成を表示できるようにすることで、通信異常箇所がどの通信プロトコルレイヤで発生しているのかを切り分けて確認することができるため、通信異常箇所の発見を効率的に行うことができるものである。ユーザは、構成表示部に対して、任意の仮想ネットワークのＩＰ層の表示を指定すると、ＩＰをベースとしたネットワーク構成が表示される。同様に、任意の仮想ネットワークの物理構成の表示を指定すると、ネットワークの物理構成が表示される。同様に、任意の仮想ネットワークのイーサネット層の表示を指定すると、イーサネット（登録商標）をベースとしたネットワーク構成が表示される。ユーザは、仮想ネットワーク上の通信異常箇所を検出する際、これら各層毎のネットワーク構成を見比べることで、どの通信プロトコル層でエラーが発生しているのかを容易に特定することが可能となる。また、これら各層毎のネットワーク構成は、アプリケーションの一画面に並べて表示することが可能であり、ユーザは、通信異常箇所の把握をより簡単に行うことができる仕組みとなっている。

また、特許文献４には、仮想ネットワーク、物理ネットワークの構成情報を管理し、ネットワーク構成情報を元に、上位レイヤネットワーク、下位レイヤネットワークのイメージデータを合成して表示するネットワーク監視装置が記載されている。

特開２００２−６４５２５号公報（段落００２１−００５１、図１） 特開２００４−４０３７４号公報（段落００２２−００４７、図６、図１１） 特開平１１−３３１２３６号公報（段落００１１−００１７、図３、図４、図１３） 特開２００４−２２２１０５号公報（段落００２８，００３６，００３７，００４１）

特許文献１に記載の方法では、端末の移動時におけるスイッチングハブの設定を自動化して、端末（接続ポート）が、所属するＶＬＡＮ−ＩＤに接続可能であるか否かが分かるだけであって、ネットワーク管理装置が保持する管理表を使って端末同士及び異なるＶＬＡＮ同士が実際に通信可能であるか否かは正確には分からない。そのため、ＶＬＡＮの実際の通信範囲を知りたいというユーザの要求には応えられない。

また、ＶＬＡＮに所属する接続ポートの通信可否を検査するにあたって、大規模なスイッチネットワークにも対応できるようにするため、検査を高速化できることが望ましい。

特許文献２に記載の方法では、ＶＬＡＮ同士の繋がりを視覚的に表現しているだけであって、実際にどのＶＬＡＮ同士が通信可能であるかは、正確には分からない。特に、あるＶＬＡＮに所属する特定の端末のみを通信許可もしくは拒否するといった例外的な通信制御に対する処理がないため、ネットワーク機器の接続ポート単位での細かな通信可否状態を表現することはできない。

特許文献３に記載の方法は、通信プロトコル別にネットワーク構成を視覚的に表現しているだけであって、実際の仮想ネットワークの通信状態は、正確には分からない。また、仮想ネットワークの通信状態の検査はユーザが行うものであるため、大規模な仮想ネットワークであればあるほど、検査時間が非常に掛かってしまう。さらに、検査ミスが発生しやすい。

そこで、本発明は、ネットワーク内に設定されるＶＬＡＮの通信範囲を容易に検査できるようにすることを目的とする。また、大規模なネットワークにも対応できるようにするため、ネットワーク内に設定されるＶＬＡＮの通信範囲の検査を高速化することを目的とする。

本発明によるＶＬＡＮ通信範囲特定システムは、送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否を記述するＶＬＡＮ間ルーティング可否表と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否を記述するポート毎のＶＬＡＮ接続可否表とを記憶する二次テーブル記憶手段と、機器の機器名と機器の接続ポートに設定されたＶＬＡＮ−ＩＤとＶＬＡＮ毎のサブネットアドレスとを含むＶＬＡＮ設定情報と、各機器同士の接続関係を示す接続関係情報とを用いて、前記ＶＬＡＮ間ルーティング可否表と前記ポート毎のＶＬＡＮ接続可否表とを作成する二次テーブル作成手段と、送信元となる機器の機器名およびＶＬＡＮ−ＩＤが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記機器のＶＬＡＮ−ＩＤと通信可能な機器の接続ポートを検出するＶＬＡＮ通信範囲分析手段とを有し、ＶＬＡＮ通信範囲分析手段が、入力された送信元の機器名およびＶＬＡＮ−ＩＤと対応付けてＶＬＡＮ間ルーティング可否表で通信可が記述された宛先の機器およびＶＬＡＮ−ＩＤを特定し、特定した機器およびＶＬＡＮ−ＩＤに対応して通信可が記述された機器の接続ポートをポート毎のＶＬＡＮ接続可否表から検出することを特徴とする。

送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるＶＬＡＮ間ルーティング可否表枠と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否を記述される情報であるポート毎のＶＬＡＮ接続可否表枠とを記憶する一次テーブル記憶手段を更に備え、前記二次テーブル作成手段が、前記一次テーブル記憶手段に記憶された情報と前記ＶＬＡＮ設定情報とを用いて、前記ＶＬＡＮ間ルーティング可否表枠に通信の可否を記述し、前記ポート毎のＶＬＡＮ接続可否表枠に通信の可否を記述することにより、前記ＶＬＡＮ間ルーティング可否表及び前記ポート毎のＶＬＡＮ接続可否表を作成する構成であってもよい。

前記ＶＬＡＮ設定情報は、機器毎に、機器のルーティングの可否と、接続ポート毎の閉塞機能の適用の有無と、接続ポートに対応するフィルタリングルールとを含んでいてもよい。

本発明によるＶＬＡＮ通信範囲特定システムは、機器の機器名と当該機器のルーティングの可否との対応を示すルーティングテーブルと、機器の接続ポートに設定されたＶＬＡＮ−ＩＤと、当該ＶＬＡＮに設定されるサブネットアドレスとの対応を示すサブネットアドレステーブルと、各機器同士の接続関係を示す接続関係情報と各ＶＬＡＮ−ＩＤとに対応付けて通信の可否を示す機器接続テーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに設定されたＶＬＡＮ−ＩＤと、閉塞機能によって接続が不可能な状態になっているか否かとの対応を示す接続ポートテーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに対応するフィルタリングルールとの対応を示すフィルタリングテーブルと、送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるＶＬＡＮ間ルーティング可否表枠と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるポート毎のＶＬＡＮ接続可否表枠と、機器の機器名と当該機器の機種名との対応を示す機種テーブルとを記憶する一次テーブル記憶手段と、ＶＬＡＮ間ルーティング可否表枠に通信の可否が記述されたＶＬＡＮ間ルーティング可否表と、ポート毎のＶＬＡＮ接続可否表枠に通信の可否が記述されたポート毎のＶＬＡＮ接続可否表とを記憶する二次テーブル記憶手段と、一次テーブル記憶手段に記憶された情報を用いて、ＶＬＡＮ間ルーティング可否表と、ポート毎のＶＬＡＮ接続可否表とを作成し、二次テーブル記憶手段に記憶させる二次テーブル作成手段とを備え、二次テーブル作成手段が、ルーティングテーブルを参照し、ルーティング可能な機器が１つも存在しなければ、送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、サブネットアドレステーブルを参照し、サブネットアドレスが設定されないＶＬＡＮ−ＩＤが存在する場合には、サブネットアドレスが設定されないＶＬＡＮ−ＩＤであって送信元の機器と宛先の機器とが異なるＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、ＶＬＡＮ間ルーティング可否表枠の送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤの組み合わせ毎に、送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、送信元の機器と宛先の機器とが同一であって送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがあると判定した場合に、機器接続テーブルを参照して、送信元の機器から最も近いＬ３スイッチを探索し、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、または、Ｌ３スイッチから宛先の機器のＶＬＡＮ−ＩＤが通信不可であると判定したときに、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチである場合に、送信元の機器から宛先の機器まででＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器および前記宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、機器接続テーブルで通信不可と記述された機器およびＶＬＡＮ−ＩＤに対応付けて、通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器である場合、送信元の機器から前記宛先の機器まで送信元のＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器のＶＬＡＮ−ＩＤおよび前記宛先の機器に対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一であれば、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一でなく、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、前記Ｌ３から宛先の機器まで宛先のＶＬＡＮ−ＩＤが通信不可である場合に、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、残りの送信元のＶＬＡＮ−ＩＤおよび宛先のＶＬＡＮ−ＩＤの組み合わせに対しては通信可をＶＬＡＮ間ルーティング可否表枠に記述することによってＶＬＡＮ間ルーティング可否表を作成し、接続ポートテーブルを参照して、機器の接続ポートに設定されていないＶＬＡＮ−ＩＤと前記機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、接続ポートテーブルを参照して、閉塞機能によって接続が不可能な状態になっている機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、ポート毎のＶＬＡＮ接続可否表枠で通信不可が記述されなかった機器の接続ポートおよびＶＬＡＮ−ＩＤの組み合わせに対応付けて通信可を記述し、機器の接続ポートに対応するフィルタリングルールがフィルタリングテーブルに記述されている場合に、当該フィルタリングルールが定めるアクセス可否と、機器の接続ポートに対応付けて記述された通信の可否とが一致してないならば、前記機器の接続ポートに対応付けて記述された通信の可否を前記フィルタリングルールが定めるアクセス可否に合わせて変更することによってポート毎のＶＬＡＮ接続可否表を作成することを特徴とする。

そのような構成によれば、二次テーブル作成手段が、ＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を作成し、二次テーブル記憶手段に記憶させておくので、ＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照することによって、必要な部分のみ通信範囲の検査を行うことができ、ＶＬＡＮの通信範囲の検査の高速化を実現することができる。

二次テーブル作成手段が、機器の接続ポートに対応するフィルタリングルールがフィルタリングテーブルに記述されている場合に、当該フィルタリングルールが定めるアクセス可否と、機器の接続ポートに対応付けて記述された通信の可否とが一致せず、前記フィルタリングルールに記述された送信元アドレスまたは宛先アドレスのいずれかがサブネットアドレスでも全てのアドレス空間を示すアドレスでもなければ、前記機器の接続ポートに対応付けて記述された通信の可否を、特定の端末のみに関して通信を許可または通信を拒否することを示す例外情報に変更する構成であってもよい。

送信元となる機器の機器名およびＶＬＡＮ−ＩＤが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記機器のＶＬＡＮ−ＩＤと通信可能な機器の接続ポートを検出するＶＬＡＮ通信範囲分析手段を備え、ＶＬＡＮ通信範囲分析手段が、入力された送信元の機器名およびＶＬＡＮ−ＩＤと対応付けてＶＬＡＮ間ルーティング可否表で通信可が記述された宛先の機器およびＶＬＡＮ−ＩＤを特定し、特定した機器およびＶＬＡＮ−ＩＤに対応して通信可が記述された機器の接続ポートをポート毎のＶＬＡＮ接続可否表から検出する構成であってもよい。

そのような構成によれば、ＶＬＡＮ通信範囲分析手段が、ＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、入力された機器のＶＬＡＮ−ＩＤと通信可能な機器の接続ポートを検出するので、ネットワーク内に設定されるＶＬＡＮの通信範囲を容易に検査することができる。また、必要な部分のみ通信範囲の検査を行うことができ、ＶＬＡＮの通信範囲の検査を高速に行うことができる。

送信元となる機器の機器名およびＶＬＡＮ−ＩＤが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記機器の接続ポートと通信可能な機器の接続ポートを検出するＶＬＡＮ通信範囲分析手段を備え、ＶＬＡＮ通信範囲分析手段が、入力された送信元の機器名およびＶＬＡＮ−ＩＤと対応付けてＶＬＡＮ間ルーティング可否表で通信可が記述された宛先の機器およびＶＬＡＮ−ＩＤを特定し、特定した機器およびＶＬＡＮ−ＩＤに対応して通信可または例外情報が記述された機器の接続ポートをポート毎のＶＬＡＮ接続可否表から検出する構成であってもよい。

ＶＬＡＮ通信範囲分析手段が、入力された機器のＶＬＡＮ−ＩＤとの間で、当該ＶＬＡＮ−ＩＤで通信可能な機器と接続ポートと、前記ＶＬＡＮ−ＩＤとは異なるＶＬＡＮ−ＩＤで通信可能な機器の接続ポートとを分類し、ＶＬＡＮ通信範囲分析手段による分類に従って、入力された機器の接続ポートと通信可能な機器の接続ポートを分類して表示する出力手段を備えた構成であってもよい。

そのような構成によれば、出力手段が、入力された機器の接続ポートと通信可能な機器の接続ポートを分類して表示するので、ユーザは入力された機器の接続ポートと通信可能な機器の接続ポートを容易に確認することができる。

送信元となる機器の機器名および接続ポートが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記機器の接続ポートと通信可能な機器の接続ポートを検出する接続ポート通信範囲分析手段を備え、接続ポート通信範囲分析手段が、入力された機器の接続ポートと対応付けてポート毎のＶＬＡＮ接続可否表で通信可が記述されたＶＬＡＮ−ＩＤを特定し、入力された機器および前記ＶＬＡＮ−ＩＤと対応付けてＶＬＡＮ間ルーティング可否表で通信可が記述された宛先の機器およびＶＬＡＮ−ＩＤを特定し、当該機器およびＶＬＡＮ−ＩＤに対応して通信可が記述された機器の接続ポートをポート毎のＶＬＡＮ接続可否表から検出する構成であってもよい。

そのような構成によれば、接続ポート通信範囲分析手段が、ＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、入力された機器の接続ポートと通信可能な機器の接続ポートを検出するので、ネットワーク内に設定されるＶＬＡＮの通信範囲を容易に検査することができる。また、必要な部分のみ通信範囲の検査を行うことができ、ＶＬＡＮの通信範囲の検査を高速に行うことができる。

送信元となる機器の機器名および接続ポートと、宛先となる機器の機器名および接続ポートが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記送信元となる機器の接続ポートおよび前記宛先となる機器の接続ポート間で通信可能か否かを判定する二点間通信分析手段を備え、二点間通信分析手段が、ＶＬＡＮ間ルーティング可否表を参照して、送信元の機器および宛先の機器に対応付けて通信可が記述された送信元のＶＬＡＮ−ＩＤおよび宛先のＶＬＡＮ−ＩＤを特定し、ポート毎のＶＬＡＮ接続可否表で前記送信元のＶＬＡＮ−ＩＤおよび入力された送信元となる機器の接続ポートに対応付けて通信可が記述され、かつ、前記宛先のＶＬＡＮ−ＩＤおよび入力された宛先となる機器の接続ポートに対応付けて通信可が記述されている場合、送信元となる機器の接続ポートおよび宛先となる機器の接続ポート間で通信可能と判定する構成であってもよい。

そのような構成によれば、二点間通信分析手段が、ＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、入力された送信元となる機器の接続ポートおよび宛先となる機器の接続ポート間で通信可能か否かを判定するので、送信元および宛先を指定してその送信元および宛先間で通信可能か否かを検査することができる。

本発明によるデータ作成方法は、一次テーブル記憶手段に記憶された機器の機器名と当該機器のルーティングの可否との対応を示すルーティングテーブルと、機器の接続ポートに設定されたＶＬＡＮ−ＩＤと、当該ＶＬＡＮに設定されるサブネットアドレスとの対応を示すサブネットアドレステーブルと、各機器同士の接続関係を示す接続関係情報と各ＶＬＡＮ−ＩＤとに対応付けて通信の可否を示す機器接続テーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに設定されたＶＬＡＮ−ＩＤと、閉塞機能によって接続が不可能な状態になっているか否かとの対応を示す接続ポートテーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに対応するフィルタリングルールとの対応を示すフィルタリングテーブルと、送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるＶＬＡＮ間ルーティング可否表枠と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるポート毎のＶＬＡＮ接続可否表枠と、機器の機器名と当該機器の機種名との対応を示す機種テーブルとを参照して、ＶＬＡＮ間ルーティング可否表枠に通信の可否が記述されたＶＬＡＮ間ルーティング可否表と、ポート毎のＶＬＡＮ接続可否表枠に通信の可否が記述されたポート毎のＶＬＡＮ接続可否表とを作成するデータ作成方法であって、二次テーブル作成手段が、ルーティングテーブルを参照し、ルーティング可能な機器が１つも存在しなければ、送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、サブネットアドレステーブルを参照し、サブネットアドレスが設定されないＶＬＡＮ−ＩＤが存在する場合には、サブネットアドレスが設定されないＶＬＡＮ−ＩＤであって送信元の機器と宛先の機器とが異なるＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、ＶＬＡＮ間ルーティング可否表枠の送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤの組み合わせ毎に、送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、送信元の機器と宛先の機器とが同一であって送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがあると判定した場合に、機器接続テーブルを参照して、送信元の機器から最も近いＬ３スイッチを探索し、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、または、Ｌ３スイッチから宛先の機器のＶＬＡＮ−ＩＤが通信不可であると判定したときに、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチである場合に、送信元の機器から宛先の機器まででＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器および前記宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、機器接続テーブルで通信不可と記述された機器およびＶＬＡＮ−ＩＤに対応付けて、通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器である場合、送信元の機器から前記宛先の機器まで送信元のＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器のＶＬＡＮ−ＩＤおよび前記宛先の機器に対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一であれば、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一でなく、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、前記Ｌ３から宛先の機器まで宛先のＶＬＡＮ−ＩＤが通信不可である場合に、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、残りの送信元のＶＬＡＮ−ＩＤおよび宛先のＶＬＡＮ−ＩＤの組み合わせに対しては通信可をＶＬＡＮ間ルーティング可否表枠に記述することによってＶＬＡＮ間ルーティング可否表を作成し、接続ポートテーブルを参照して、機器の接続ポートに設定されていないＶＬＡＮ−ＩＤと前記機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、接続ポートテーブルを参照して、閉塞機能によって接続が不可能な状態になっている機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、ポート毎のＶＬＡＮ接続可否表枠で通信不可が記述されなかった機器の接続ポートおよびＶＬＡＮ−ＩＤの組み合わせに対応付けて通信可を記述し、機器の接続ポートに対応するフィルタリングルールがフィルタリングテーブルに記述されている場合に、当該フィルタリングルールが定めるアクセス可否と、機器の接続ポートに対応付けて記述された通信の可否とが一致してないならば、前記機器の接続ポートに対応付けて記述された通信の可否を前記フィルタリングルールが定めるアクセス可否に合わせて変更することによってポート毎のＶＬＡＮ接続可否表を作成することを特徴とする。

本発明によるデータ作成プログラムは、機器の機器名と当該機器のルーティングの可否との対応を示すルーティングテーブルと、機器の接続ポートに設定されたＶＬＡＮ−ＩＤと、当該ＶＬＡＮに設定されるサブネットアドレスとの対応を示すサブネットアドレステーブルと、各機器同士の接続関係を示す接続関係情報と各ＶＬＡＮ−ＩＤとに対応付けて通信の可否を示す機器接続テーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに設定されたＶＬＡＮ−ＩＤと、閉塞機能によって接続が不可能な状態になっているか否かとの対応を示す接続ポートテーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに対応するフィルタリングルールとの対応を示すフィルタリングテーブルと、送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるＶＬＡＮ間ルーティング可否表枠と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるポート毎のＶＬＡＮ接続可否表枠と、機器の機器名と当該機器の機種名との対応を示す機種テーブルとを記憶する一次テーブル記憶手段を備えたコンピュータに、ルーティングテーブルを参照し、ルーティング可能な機器が１つも存在しなければ、送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、サブネットアドレステーブルを参照し、サブネットアドレスが設定されないＶＬＡＮ−ＩＤが存在する場合には、サブネットアドレスが設定されないＶＬＡＮ−ＩＤであって送信元の機器と宛先の機器とが異なるＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、ＶＬＡＮ間ルーティング可否表枠の送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤの組み合わせ毎に、送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、送信元の機器と宛先の機器とが同一であって送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがあると判定した場合に、機器接続テーブルを参照して、送信元の機器から最も近いＬ３スイッチを探索し、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、または、Ｌ３スイッチから宛先の機器のＶＬＡＮ−ＩＤが通信不可であると判定したときに、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチである場合に、送信元の機器から宛先の機器まででＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器および前記宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、機器接続テーブルで通信不可と記述された機器およびＶＬＡＮ−ＩＤに対応付けて、通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器である場合、送信元の機器から前記宛先の機器まで送信元のＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器のＶＬＡＮ−ＩＤおよび前記宛先の機器に対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一であれば、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一でなく、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、前記Ｌ３から宛先の機器まで宛先のＶＬＡＮ−ＩＤが通信不可である場合に、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、残りの送信元のＶＬＡＮ−ＩＤおよび宛先のＶＬＡＮ−ＩＤの組み合わせに対しては通信可をＶＬＡＮ間ルーティング可否表枠に記述することによってＶＬＡＮ間ルーティング可否表を作成し、接続ポートテーブルを参照して、機器の接続ポートに設定されていないＶＬＡＮ−ＩＤと前記機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、接続ポートテーブルを参照して、閉塞機能によって接続が不可能な状態になっている機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、ポート毎のＶＬＡＮ接続可否表枠で通信不可が記述されなかった機器の接続ポートおよびＶＬＡＮ−ＩＤの組み合わせに対応付けて通信可を記述し、機器の接続ポートに対応するフィルタリングルールがフィルタリングテーブルに記述されている場合に、当該フィルタリングルールが定めるアクセス可否と、機器の接続ポートに対応付けて記述された通信の可否とが一致してないならば、前記機器の接続ポートに対応付けて記述された通信の可否を前記フィルタリングルールが定めるアクセス可否に合わせて変更することによってポート毎のＶＬＡＮ接続可否表を作成し、ＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を記憶装置に記憶させる処理、を実行させることを特徴とする。

本発明によれば、ネットワーク内に設定されるＶＬＡＮの通信範囲を容易に検査することができる。また、ネットワーク内に設定されるＶＬＡＮの通信範囲の検査を高速化することができる。その結果、大規模なスイッチネットワークであっても、ＶＬＡＮの通信範囲を短時間で検査することができる。

以下、本発明の実施の形態を図面を参照して説明する。

実施の形態１．
図１は、本発明の第１の実施の形態の構成例を示すブロック図である。第１の実施の形態によるＶＬＡＮ通信範囲特定システム１００には、入力手段２３０と、出力手段２４０が接続される。ＶＬＡＮ通信範囲特定システム１００は、ＶＬＡＮ設定情報記憶装置１１０と、テーブル生成手段１２０と、二次テーブル記憶装置１３０と、ＶＬＡＮ通信範囲分析手段１４０を備える。なお、ＶＬＡＮ通信範囲特定システム１００の外部に入力手段２３０および出力手段２４０を設けるのではなく、ＶＬＡＮ通信範囲特定システム１００自身が入力手段２３０や出力手段２４０を備えていてもよい。

入力手段２３０は、ネットワーク機器のコンフィグファイルからＶＬＡＮの設定に関する情報を集めたＶＬＡＮ設定情報集合２１０と、ネットワーク機器の物理的な接続構成の情報（ネットワーク構成情報）を集めたネットワーク構成情報集合２２０をＶＬＡＮ通信範囲特定システム１００に入力する。ここで、ネットワーク機器とは、Ｌ２スイッチ、Ｌ３スイッチといったスイッチ機器だけでなく、ＶＬＡＮ機能を備えたルータを含めてもよい。

入力手段２３０は、例えば、各種ネットワーク機器のコンフィグファイルからＶＬＡＮ設定に関連する情報の集合（以下、ＶＬＡＮ設定情報集合と記す。）２１０を抽出して出力するＶＬＡＮ設定情報抽出装置（図示せず。）、および各種ネットワーク機器からネットワーク機器の物理的な接続構成の情報を表すネットワーク構成情報集合２２０を抽出して出力するネットワーク構成情報抽出装置（図示せず。）と、ＶＬＡＮ通信範囲特定システム１００とのインタフェースである。この場合、入力手段２３０は、ＶＬＡＮ設定情報抽出装置およびネットワーク構成情報抽出装置に接続され、ＶＬＡＮ設定情報抽出装置が出力したＶＬＡＮ設定情報集合２１０およびネットワーク構成情報抽出装置が出力したネットワーク構成情報集合２２０をＶＬＡＮ通信範囲特定システム１００に入力する。

上述のＶＬＡＮ設定情報抽出装置（図示せず。）や、ネットワーク構成情報抽出装置（図示せず。）は、例えば、プログラムに従って動作するコンピュータである。

ネットワーク構成情報抽出装置を動作させるプログラム（ネットワーク構成情報抽出プログラム）は、各種ネットワーク機器に実装されるＳＮＭＰ（Ｓｉｍｐｌｅ Ｎｅｔｗｏｒｋ Ｍａｎａｇｅｍｅｎｔ Ｐｒｏｔｏｃｏｌ）管理機能やＭＩＢ（Ｍａｎａｇｅｍｅｎｔ Ｉｎｆｏｒｍａｔｉｏｎ Ｂａｓｅ）情報を使って実現してもよい。ＳＮＭＰは、ネットワーク管理プロトコルであり、ネットワーク機器の構成や動作に関する情報の設定や管理を行うことができる技術である。ＭＩＢは、ネットワーク機器の設定情報の集合である。また、ＳＮＭＰやＭＩＢによってネットワーク構成情報を収集する機能を備えたネットワーク管理ソフトウェアを使って、ネットワーク構成情報を抽出する動作をＶＬＡＮ通信範囲特定システム１００が行ってもよい。また、ネットワーク構成情報を人手によって作成し、利用してもよい。

図２は、ネットワーク構成情報集合の例を示す説明図である。図２に示すように、ネットワーク構成情報集合２２０に属する個々のネットワーク構成情報は、構成番号と、送信元機器名と、送信元接続ポートと、宛先機器名と、宛先接続ポートとを含んでいる。構成番号は、ネットワーク構成情報集合２２０に属する個々のネットワーク構成情報に割り振られる一意な値である。構成番号は、ネットワーク構成情報毎に一意な文字列であってもよい。また、図２や以下の説明では、送信元接続ポート及び宛先接続ポートを、「スロット番号／接続ポート番号」と表すことにする。スロットとは、接続ポートを複数搭載したボードである。例えば、図２に示す構成番号１のネットワーク構成情報は、「送信元機器名がＡで１／１と表される送信元接続ポートが、宛先機器名がＢで１／１と表される宛先接続ポートと接続している。」というネットワーク機器間の物理的な接続構成の情報を表している。

図３および図４は、コンフィグファイルの例を示す説明図である。図３は、Ｌ２スイッチのコンフィグファイルの一例であり、図４は、Ｌ３スイッチのコンフィグファイルの一例である。ＶＬＡＮ設定情報抽出装置（図示せず。）は、各ネットワーク機器からコンフィグファイルを収集し、コンフィグファイルからＶＬＡＮの設定に関する情報（ＶＬＡＮ設定情報）を抽出する。ＶＬＡＮ設定情報には、少なくとも、ネットワーク機器の機器名、ポートとＶＬＡＮ−ＩＤとの対応関係、ネットワーク機器のルーティング機能が有効化される場合には当該機器のルーティング機能が有効化されることを示す情報、ＶＬＡＮ−ＩＤにサブネットアドレスが設定される場合にはそのサブネットアドレスを特定可能な情報、ポートに対応するフィルタリングルールが存在する場合には、そのフィルタリングルールを特定可能な情報が含まれる。ＶＬＡＮ−ＩＤは、各ＶＬＡＮを識別するための識別情報であり、ＶＩＤと称される場合もある。

例えば、図３に示すコンフィグファイルの１行目は、スイッチの機器名が“ＡＡＡＡ”であることを示すＶＬＡＮ設定情報である。なお、コンフィグファイルの先頭部分に記載されたヘッダ情報にも機器名が記載されている。コンフィグファイルのヘッダ情報内に記載された機器名は、機器のユーザが便宜的に定めた機器名ではなく、予め定められた機器名であり、その機器名から機器の種類（Ｌ２スイッチか、Ｌ３スイッチか、ルータか）かが特定される。

図３に示すコンフィグファイルの文字列“set vlan portbase ”から始まる行や、文字列“set vlan tagbase”から始まる行は、ポートとＶＬＡＮ−ＩＤとの対応関係を定めたＶＬＡＮ設定情報である。例えば、“set vlan portbase 1/1 10”は、ポート１／１に、ＶＬＡＮ−ＩＤ１０を設定することを意味している。また、“set vlan tagbase 1/8 10,20 ”は、ポート１／８に、ＶＬＡＮ−ＩＤ１０および２０を設定することを表している。また、“set vlan portbase 10 vid10”は、ＶＬＡＮ−ＩＤ１０に対してネットワーク管理者が定めたvid10という名称を設定することを意味する。

なお、“port”は、ＶＬＡＮ−ＩＤが１つしか設定されないポートを意味し、“tag ”は、ＶＬＡＮ−ＩＤを複数設定可能なポートを意味している。このことは、図４に示す例でも同様である。

また、図３に示す文字列“set filter profile”から始まる行は、フィルタリングルールを示し、“set filter in-port”または“set filter out-port”で始まる行は、ポートに対応するフィルタリングルールを示すＶＬＡＮ設定情報である。例えば、図３に示す“set filter in-port fe 4/1 10 1”は、ポート４／１（ＶＬＡＮ−ＩＤ１０）に対応するフィルタリングルールは、１番のフィルタリングルール（図３に示す例では、“set filter profile 1 block src-ip 192.161.1.1 255.255.255.0”）であることを示している。

図４に示すコンフィグファイルの１行目は、スイッチの機器名が“ＢＢＢＢ”であることを示すＶＬＡＮ設定情報である。なお、コンフィグファイルの先頭部分に記載されたヘッダ情報にも機器名が記載されている。コンフィグファイルのヘッダ情報内に記載された機器名は、機器のユーザが便宜的に定めた機器名ではなく、予め定められた機器名であり、その機器名から機器の種類（Ｌ２スイッチか、Ｌ３スイッチか、ルータか）かが特定される。

図４に示す２行目および３行目は、ポートに対応付けられるフィルタリングルールである。また、図４に示す“interface vlan”で始まる行および“ip address”で始まる行との組み合わせは、ポートに対応するアドレスを示すＶＬＡＮ設定情報である。例えば、“interface vlan 10”とその次の行の“ip address 172.16.10.1/24”は、ＶＬＡＮ−ＩＤ１０のサブネットアドレスが“172.16.10.1/24”であることを示している。“interface vlan”は、ＶＬＡＮ−ＩＤを指定するコマンドであり、例えば、“interface vlan 10”というコマンドはＶＬＡＮ−ＩＤ１０を指定する。また、“ip address”は、指定されたＶＬＡＮ−ＩＤにアドレス（サブネットアドレス）を設定するアドレス設定コマンドである。

また、図４に示す“interface ethernet”から始まる行および“bridge-group”から始まる行の組み合わせは、ポートとＶＬＡＮ−ＩＤとの対応関係を定めたＶＬＡＮ設定情報である。例えば、“interface ethernet 1/1”と、その次の行の“bridge-group 10 port”は、ポート１／１にＶＬＡＮ−ＩＤ１０を定めることを意味している。

また、図４に示す“router rip”は、ネットワーク機器（本例では、“ＢＢＢＢ”）のルーティング機能が有効化されることを示すＶＬＡＮ設定情報である。

また、この他に、コンフィグファイルにおけるネットワーク機器の接続ポート数の記述箇所もＶＬＡＮ設定情報に該当し、そのＶＬＡＮ設定情報をＶＬＡＮ設定情報集合２１０に含めてもよい。

ＶＬＡＮ設定情報抽出装置（図示せず。）は、コンフィグファイル内の所定の文字列から始まる行を抽出することによって、ＶＬＡＮ設定情報を抽出し、その集合をＶＬＡＮ設定情報集合２１０として出力すればよい。入力手段２３０は、ＶＬＡＮ設定情報抽出装置（図示せず。）が出力したＶＬＡＮ設定情報集合２１０をＶＬＡＮ通信範囲特定システム１００に入力する。なお、コンフィグファイルの書式は機種毎に異なるので、機種によって、ＶＬＡＮ設定情報の位置を示す所定の文字列は異なる。なお、ＶＬＡＮ通信範囲特定システム１００にコンフィグファイルが入力され、ＶＬＡＮ通信範囲特定システム１００自身がコンフィグファイルからＶＬＡＮ設定情報集合２１０を抽出する構成であってもよい。

ＶＬＡＮ設定情報記憶装置１１０は、入力手段２３０から入力されたＶＬＡＮ設定情報集合２１０とネットワーク構成情報集合２２０とを記憶する。

テーブル生成手段１２０は、ＶＬＡＮ設定情報記憶装置１１０に記憶されるＶＬＡＮ設定情報を使って、ＶＬＡＮの通信範囲を分析するために必要なテーブルを作成する。二次テーブル記憶装置１３０は、テーブル生成手段１２０によって作成されたＶＬＡＮの通信範囲を分析するために必要なテーブルを記録する。ＶＬＡＮ通信範囲分析手段１４０は、二次テーブル記憶装置１３０に記憶されるテーブルを使って、ＶＬＡＮの通信範囲を分析する。

テーブル生成手段１２０は、一次テーブル生成手段３１０と、一次テーブル記憶装置３２０と、二次テーブル生成手段３３０を備える。一次テーブル生成手段３１０は、ＶＬＡＮ設定情報記憶装置１１０に記憶されるＶＬＡＮ設定情報を使って、一次テーブルを作成する。ここでいう一次テーブルとは、ＶＬＡＮの通信範囲を分析するために必要となるテーブルの前処理用のテーブルを指す。一次テーブル記憶装置３２０は、一次テーブル生成手段３２０によって作成された一次テーブルを記録する。テーブル生成手段１２０は、一次テーブルとして、ルーティングテーブル、サブネットアドレステーブル、機器接続テーブル、接続ポートテーブル、ＩＰフィルタリングテーブル、ＶＬＡＮ間ルーティング可否表枠、ポート毎のＶＬＡＮ接続可否表枠、および機種テーブルを作成し、一次テーブル記憶装置３２０に記憶させる。各種一次テーブルおよび、テーブル生成手段１２０が各種一次テーブルを作成する動作については後述する。

二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶される一次テーブルを使って、二次テーブルを作成する。ここでいう二次テーブルとは、ＶＬＡＮの通信範囲を分析するために必要となる最終的に完成されるテーブルを指す。二次テーブル記憶装置１３０は、二次テーブル生成手段３３０によって作成された二次テーブルを記憶する。二次テーブル生成手段３３０が二次テーブルを作成する動作については後述する。

出力手段２４０は、ＶＬＡＮ通信範囲特定システム１００（より具体的にはＶＬＡＮ通信範囲分析手段１４０）によって分析される結果を出力する。出力手段２４０は、例えば、ディスプレイ装置によって実現される。また、例えば、出力手段２４０は、ディスプレイ装置を備えたコンピュータによって実現されてもよい。

一次テーブル生成手段３１０と、二次テーブル生成手段３３０と、ＶＬＡＮ通信範囲分析手段１４０は、例えば、プログラムに従って動作するＣＰＵによって実現される。一次テーブル生成手段３１０、二次テーブル生成手段３３０、およびＶＬＡＮ通信範囲分析手段１４０が同一のＣＰＵによって実現されてもよい。なお、プログラムは、例えば、ＶＬＡＮ通信範囲特定システムが備えるプログラム記憶装置（図示せず）に記憶される。ＣＰＵは、そのプログラムを読み込み、そのプログラムに従って一次テーブル生成手段３１０、二次テーブル生成手段３３０、およびＶＬＡＮ通信範囲分析手段１４０として動作する。ＶＬＡＮ設定情報記憶装置１１０と、一次テーブル記憶装置３２０と、二次テーブル記憶装置１３０は、例えば、記憶装置によって実現される。

次に、動作について説明する。
入力手段２３０は、ＶＬＡＮ設定情報集合２１０とネットワーク構成情報集合２２０をＶＬＡＮ通信範囲特定システム１００に入力し、ＶＬＡＮ設定情報集合２１０とネットワーク構成情報集合２２０をＶＬＡＮ設定情報記憶装置１１０に記憶させる。

なお、例えば、入力手段２３０は、ＶＬＡＮ設定情報抽出装置（図示せず。）が出力したＶＬＡＮ設定情報集合２１０およびネットワーク構成情報抽出装置（図示せず。）が出力したネットワーク構成情報集合２２０をＶＬＡＮ通信範囲特定システム１００に入力する。ＶＬＡＮ設定情報抽出装置（図示せず。）およびネットワーク構成情報抽出装置（図示せず。）が定期的に情報（ＶＬＡＮ設定情報集合２１０、ネットワーク構成情報集合２２０）を送信し、入力手段２３０がその情報を受信して、ＶＬＡＮ設定情報記憶装置１１０に記憶させてもよい。また、例えば、ネットワーク管理者によって入力手段２３０にＶＬＡＮ設定情報集合２１０およびネットワーク構成情報集合２２０が入力され、入力手段２３０がその情報を、ＶＬＡＮ通信範囲特定システム１００に入力し、ＶＬＡＮ設定情報記憶装置１１０に記憶させてもよい。また、入力手段２３０を介してコンフィグファイルが入力され、ＶＬＡＮ通信範囲特定システム１００がコンフィグファイルからＶＬＡＮ設定情報集合２１０を抽出し、ＶＬＡＮ設定情報記憶装置１１０に記憶させてもよい。

一次テーブル生成手段３１０は、ＶＬＡＮ設定情報記憶装置１１０に記憶されたＶＬＡＮ設定情報集合２１０およびネットワーク構成情報集合２２０を用いて各種一次テーブルを作成する。一次テーブル生成手段３１０は、一次テーブルとして、ルーティングテーブル、サブネットアドレステーブル、機器接続テーブル、接続ポートテーブル、ＩＰフィルタリングテーブル、ＶＬＡＮ間ルーティング可否表枠、ポート毎のＶＬＡＮ接続可否表枠、および機種テーブルを作成する。これらのテーブルは、二次テーブル生成手段３３０で必要となるテーブルである。一次テーブル生成手段３１０は、上述の各一次テーブルを作成すると、一次テーブルを一次テーブル記憶装置３２０に記憶させる。

二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０（図１７参照。）の内容をルーティングテーブル４１０と、サブネットアドレステーブル４２０と、機器接続テーブル４３０を使って完成させる。ポート毎のＶＬＡＮ接続可否表枠４７０（図１８参照。）の内容を接続ポートテーブル４４０と、ＩＰフィルタリングテーブル４５０を使って完成させる。内容が追加されたＶＬＡＮ間ルーティング可否表枠４６０や、内容が追加されたポート毎のＶＬＡＮ接続可否表枠４７０が二次テーブルとなる。また、機種テーブル４８０は、二次テーブル生成手段３３０がＶＬＡＮ間ルーティング可否表枠４６０やポート毎のＶＬＡＮ接続可否表枠４７０に内容を追加するときに使用される。

図５は、ルーティングテーブルの例を示す説明図である。ルーティングテーブル４１０は、ＶＬＡＮ設定情報記憶装置１１０に記憶されるＶＬＡＮ設定情報が抽出されたコンフィグファイルを持つネットワーク機器がルーティング可能か否かを表すテーブルである。ルーティングテーブル４１０では、機器名（ネットワーク機器の機器名）と、ルーティングの可否（ルーティング機能が有効化されていること、または、ルーティング機能が無効化されていたりルーティング機能を有していないこと）とが対応付けられる。ルーティングテーブル４１０は、分析対象となる各ネットワーク機器のＶＬＡＮ設定情報を使って作成される。ルーティング可とは、ネットワーク機器が有しているルーティング機能が有効化されていることである。ルーティング不可とは、ネットワーク機器がルーティング機能を有しているがそのルーティング機能が有効化されていない（無効化されている）こと、あるいは、ネットワーク機器がルーティング機能を有していないことである。

図６は、ルーティングテーブル４１０を作成する処理を示すフローチャートである。まず、一次テーブル生成手段３１０は、ＶＬＡＮ設定情報集合２１０から各ネットワーク機器の機器名を抽出する（ステップＳ１）。図３および図４に例示したように、機器名は所定の文字列とともに記述されているので、その所定の文字列とともに記述されている文字列を機器名として抽出すればよい。なお、所定の文字列や、コンフィグファイルの記述形式は、機種毎によって異なるので、各機種に応じた所定の文字列とともに各機種に応じた記述形式で記述された文字列を機器名として抽出する。なお、各機種に応じた所定の文字列とともに各機種に応じた記述形式で記述された情報を抽出する点については、他の情報を抽出する場合でも同様である。

一次テーブル生成手段３１０は、各ネットワーク機器毎に、ルーティングに関連するコマンド（ルーティング機能が有効化されていることを示す情報。例えば、図４に例示した“router rip”）がＶＬＡＮ設定情報内に記述されているか否かを判定する（ステップＳ２）。ルーティングに関連するコマンドがＶＬＡＮ設定情報内に記述されていれば、そのネットワーク機器がルーティング可であることを、機器名と対応付けて、ルーティングテーブル４１０に記述する（ステップＳ３）。一方、ルーティングに関連するコマンドがＶＬＡＮ設定情報内に記述されていなければ、そのネットワーク機器がルーティング不可であること（ルーティング機能が有効化されていない、あるいはルーティング機能を有していないこと）を、機器名と対応付けて、ルーティングテーブル４１０に記述する（ステップＳ４）。

なお、Ｌ２スイッチは、ルーティング機能を持っていないので、ネットワーク機器がＬ２スイッチの場合は、一次テーブル生成手段３１０は、常に、その機器名（Ｌ２スイッチの機器名）とともに、そのネットワーク機器がルーティング機能を有さないこと（ルーティング不可）を記述してもよい。なお、ネットワーク機器がＬ２スイッチかそれ以外かは、各ネットワーク機器のコンフィグファイルを参照することで容易に判別が可能である。

図７は、サブネットアドレステーブルの例を示す説明図である。サブネットアドレステーブル４２０は、ＶＬＡＮ−ＩＤに対応するサブネットアドレスを示すテーブルであり、ＶＬＡＮ−ＩＤとサブネットアドレスとが対応付けられる。ただし、ＶＬＡＮ−ＩＤに対応するサブネットアドレスが存在しない場合には、サブネットアドレスが存在しないことを示す文字列（例えば、「×」等の文字列）がサブネットアドレステーブル４２０に記述される。あるいは、ＶＬＡＮ−ＩＤに対応する情報を何も記述しないことによって、サブネットアドレスが存在しないことを表してもよい。サブネットアドレステーブル４２０は、分析対象となる各ネットワーク機器のＶＬＡＮ設定情報を使って作成される。

図８は、サブネットアドレステーブル４２０を作成する処理を示すフローチャートである。まず、一次テーブル生成手段３１０は、ＶＬＡＮ設定情報集合２１０から各ネットワーク機器のＶＬＡＮ−ＩＤを指定するコマンドを抽出する（ステップＳ１１）。例えば、図４に示す“interface vlan”という所定の文字列を含むコマンドを抽出する。次に、一次テーブル生成手段３１０は、そのコマンドに対応するサブネットアドレス設定コマンドがあるか否かを判定する（ステップＳ１２）。サブネットアドレス設定コマンドがあると判定された場合、ＶＬＡＮ−ＩＤを指定するコマンドによって指定されるＶＬＡＮ−ＩＤと、サブネットアドレス設定コマンドが示すサブネットアドレスとを対応させてサブネットアドレステーブル４２０に記述する（ステップＳ１３）。サブネットアドレス設定コマンドがないと判定された場合、ＶＬＡＮ−ＩＤを指定するコマンドによって指定されるＶＬＡＮ−ＩＤのみを記述し、そのＶＬＡＮ−ＩＤに対応するサブネットアドレス欄には何も記述しない（ステップＳ１４）。なお、ステップＳ１４で、サブネットアドレスが存在しないことを示す文字列（例えば「×」）をＶＬＡＮ−ＩＤに対応付けて記述してもよい。サブネットアドレスが存在しないことを表す文字列は、どのような文字列であってもよい。

なお、サブネットアドレス列の表記方法は、ネットワークのサブネットマスクを表す一般的な表記方法、例えば、「２５５．２５５．２５５．０」のようなものであってもよいし、「／２４」のようにプリフィックス長による記述であってもよい。

図９は、機器接続テーブルの例を示す説明図である。機器接続テーブル４３０は、ネットワーク機器間で通信可能なＶＬＡＮ−ＩＤを示すテーブルである。図９に示す例では、どの機器のどのポート同士（あるいはどの機器同士）が接続されるかを示す情報を縦方向に示し、ＶＬＡＮ−ＩＤを横方向に示している。ポート同士の接続関係を示す情報およびＶＬＡＮ−ＩＤに対応させて、そのポート同士の接続およびそのＶＬＡＮ−ＩＤにおいて通信可能かどうかを示す情報が記述される。図９では、機器接続テーブルに、通信可能か否かを示す情報を示している。図９では、「○」が通信可能、「×」が通信不可を示している。機器接続テーブル４３０は、ネットワーク構成情報と接続ポートテーブル４４０を使って作成される。接続ポートテーブル４４０については後述する。

図１０は、一次テーブル生成手段３１０が機器接続テーブル４３０を作成する処理の例を示すフローチャートである。まず、一次テーブル生成手段３１０は、ネットワーク構成情報を参照して、ネットワーク機器の物理的な繋がりを検出する（ステップＡ１）。本例では、ネットワーク構成情報集合に、「機器Ａの接続ポート１／１と機器Ｂの接続ポート１／８は接続する」というネットワーク構成情報、および「機器Ａの接続ポート１／２と機器Ｃの接続ポート１／８は接続する」というネットワーク構成情報が含まれている場合を例にして説明する。一次テーブル生成手段３１０は、これらのネットワーク構成情報を参照して、「機器Ａの接続ポート１／１と機器Ｂの接続ポート１／８は接続する」、「機器Ａの接続ポート１／２と機器Ｃの接続ポート１／８は接続する」という接続関係を記述する。図９では、前者の接続関係を「Ａ：１／１−Ｂ：１／８」と示し、後者の接続関係を「Ａ：１／２−Ｃ：１／８」と示している。

さらに、一次テーブル生成手段３１０は、ネットワーク機器接続のパターンとして「Ｂ−Ｃ」も検出し、「Ａ：１／１−Ｂ：１／８」等の他の接続関係と並べて記述する。この「Ｂ−Ｃ」という接続関係を抽出して記述する動作については、図１１を参照して後述する。

ステップＡ１の後、一次テーブル生成手段３１０は、接続ポートテーブル４４０を参照して、接続ポートテーブル４４０に記述された全てのＶＬＡＮ−ＩＤの種類を抽出する（ステップＡ２）。接続ポートテーブルについては後述するが、接続ポートテーブルは図１３に例示するようなテーブルである。例えば、図１３に例示する接続ポートテーブル４４０が作成されている場合、その接続ポートテーブルから一次テーブル生成手段３１０によってステップＡ２で抽出されるＶＬＡＮ−ＩＤの種類は、１００，２００となる。

次に、一次テーブル生成手段３１０は、ステップＡ１で接続関係が検出された２つのネットワーク機器同士（あるいはネットワーク機器のポート同士）が隣接するか否かを確認する（ステップＡ３）。隣接するとは、他のネットワーク機器を介さずに直接接続されていることを意味する。例えば、上述の例のように、ネットワーク構成情報集合に、「機器Ａの接続ポート１／１と機器Ｂの接続ポート１／８は接続する」というネットワーク構成情報、および「機器Ａの接続ポート１／２と機器Ｃの接続ポート１／８は接続する」というネットワーク構成情報が含まれている場合、機器Ａと機器Ｂとは隣接することになる。同様に、機器Ａと機器Ｃとは隣接することになる。一方、機器Ｂと機器Ｃとは、機器Ａを介して接続されていることになるので、隣接に該当しない。一次テーブル生成手段３１０は、２つの機器同士の接続関係がネットワーク構成情報に記述されていれば、その２つの機器は隣接すると判定すればよい。

２つのネットワーク機器同士（ネットワーク機器のポート同士）が隣接する場合（ステップＡ３のＹｅｓ）、一次テーブル生成手段３１０は、接続ポートテーブル４４０を参照して、ネットワーク機器同士を繋ぐ両ネットワーク機器の接続ポートが所属するＶＬＡＮ−ＩＤを参照し、論理積を計算する。この論理積の計算とは、ステップＡ２で抽出した各ＶＬＡＮ−ＩＤ毎に、ステップＡ２で抽出したＶＬＡＮ−ＩＤが各ポートに共通のＶＬＡＮ−ＩＤとして接続ポートテーブル４４０に記述されているか否かを判定し、共通のＶＬＡＮ−ＩＤとして記述されていれば、隣接する機器のポート間で通信可（真）と判定し、共通のＶＬＡＮ−ＩＤとして記述されていなければ、隣接する機器のポート間で通信不可（偽）と判定する処理である。この計算によって、ネットワーク機器間で通信可能なＶＬＡＮ−ＩＤが分かる。論理積の計算結果が真であれば、一次テーブル生成手段３１０は、隣接するポートの接続関係を示す情報およびＶＬＡＮ−ＩＤに対応付けて、通信可を示す文字列（本例では「○」）を記述し、論理積の計算結果が偽であれば、一次テーブル生成手段３１０は、隣接するポートの接続関係を示す情報およびＶＬＡＮ−ＩＤに対応付けて、通信不可を示す文字列（本例では「×」）を記述する（ステップＡ４）。

図１２は、論理積の計算例を示す説明図である。例えば、図１２の左側に例示する接続ポートテーブル４４０がされているとする。また、ステップＡ３において、「Ａ：１／２−Ｃ：１／８」が隣接しているか否かが判定され、隣接しているのでステップＡ４に移行したとする。この場合、一次テーブル生成手段３１０は、ステップＡ２で抽出した各ＶＬＡＮ−ＩＤ毎に（本例では、ＶＬＡＮ−ＩＤ１００，２００それぞれについて）、そのＶＬＡＮ−ＩＤが各ポートに共通のＶＬＡＮ−ＩＤとして接続ポートテーブル４４０に記述されているか否かを判定する。このとき、まず、一次テーブル生成手段３１０は、接続ポートテーブル４４０を参照して機器Ａのポート１／２と、機器Ｃのポート１／８に対応付けて登録（記述）されているＶＬＡＮ−ＩＤを確認する。図１２に示す例では、機器Ａのポート１／２には、ＶＬＡＮ−１００が対応付けて登録され、機器Ｃのポート１／８には、ＶＬＡＮ−ＩＤ１００，２００が対応付けて登録されていると確認する。従って、ＶＬＡＮ−ＩＤ１００に関しては、ＶＬＡＮ−ＩＤ１００が各ポート（機器Ａのポート１／２、機器Ｃのポート１／８）に共通のＶＬＡＮ−ＩＤであると判定し、隣接するポートの接続関係「Ａ：１／２−Ｃ：１／８」およびＶＬＡＮ−ＩＤ１００に対応させて、通信可を示す情報（「○」）を機器接続テーブルに記述する（図１２の右側に例示する機器接続テーブル参照。）。また、ＶＬＡＮ−ＩＤ２００に関しては、ＶＬＡＮ−ＩＤ２００が機器Ｃのポート１／８に対応付けて登録されているが、機器Ａのポート１／２に対応付けて登録されていないので、計算結果は偽となり、隣接するポートの接続関係「Ａ：１／２−Ｃ：１／８」およびＶＬＡＮ−ＩＤ２００に対応させて、通信不可を示す情報（「×」）を機器接続テーブルに記述する（図１２の右側に例示する機器接続テーブル参照。）。

また、２つのネットワーク機器同士が隣接しない場合（ステップＡ３のＮｏ）、一次テーブル生成手段３１０は、ネットワーク機器の接続経路を探索し、その接続経路を、隣接しないネットワーク機器の接続関係に対応させて接続機器テーブルに記述する（ステップＡ５）。例えば、図９の機器接続テール部４３０の機器接続「Ｂ−Ｃ」に関してステップＡ３の判定を行った場合、機器Ｂと機器Ｃが隣接していないことが分かるので、ネットワーク機器の接続経路を探索する。図９に示す例では、機器Ｂは、機器Ａと接続されていて、かつ、機器Ａは、機器Ｃと接続されているので、機器Ｂから機器Ｃへは、機器Ａを経由して繋がっていることが分かる。その結果、機器接続「Ｂ−Ｃ」の接続経路は、「Ａ：１／１−Ｂ：１／８とＡ：１／２−Ｃ：１／８」であることが分かるので、一次テーブル生成手段３１０は、この接続経路情報を表に記述する。

図１１は、接続機器間の接続経路を特定するまでの動作を示すフローチャートである。一次テーブル生成手段３１０は、ネットワーク構成情報から、機器接続状態を検出し、機器接続テーブルに記述する（ステップＳ２１）。また、一次テーブル生成手段３１０は、ネットワーク構成情報に含まれている機器を全て抽出し、各機器間の接続状態を記述可能な情報（例えば、図１１の左側上方に示す表を表す情報）を作成する（ステップＳ２２）。一次テーブル生成手段３１０は、機器接続テーブル４３０から、物理的に直接接続される機器同士に対応させて、接続されることを示すマーク（本例では「１」とする。）を、ステップＳ２２で作成した情報に記述する（ステップＳ２３）。図１１の左側下方に示す表は、接続されることを示すマーク（１）が記述された状態を表している。マーク（１）を記述すべき箇所に全てマーク（１）を記載した後、一次テーブル生成手段３１０は、異なる機器間の状態を示す欄に、前述のマーク（１）が記述されていない箇所があるか否かを判定する（ステップＳ２４）。ステップＳ２４で、マーク（１）が記述されていない箇所が存在する場合、一次テーブル生成手段３１０は、マーク（１）が記述されていない箇所に対応する機器同士が接続されることを示す情報（例えば、「Ｂ−Ｃ」という接続関係を示す情報）を、機器接続テーブルに記述する（ステップＳ２５）。図１１の右側に示す表では、機器Ｂと機器Ｃとの関係にマークがされていないので、「Ｂ−Ｃ」という接続関係を示す情報を、機器接続テーブルに記述する（図１１の右上に示す機器接続テーブル参照。）。ステップＳ２１からステップＳ２５までの処理は、前述のステップＡ１の後に行えばよい。ステップＳ２４で、マーク（１）が記述されていない箇所が存在しないと判定された場合（図Ｓ２４のＹｅｓ）、ステップＡ２に移行すればよい。また、ステップＳ２５の後にも、ステップＡ２に移行すればよい。

ステップＳ２６は、前述のステップＡ５に相当する処理である。ステップＳ２６では、一次テーブル生成手段３１０は、ステップＳ２３で作成した情報（図１１の右側に示す表）を参照し、機器Ａと機器Ｂに関して、ＢとＡは接続されているが、ＢはＡ以外の機器と接続されていないと判定する。そして、一次テーブル生成手段３１０は、Ａは、Ｂ以外の機器Ｃにも接続されていると判定する。その結果、一次テーブル生成手段３１０は、機器Ｂと機器Ｃは、Ｂ−Ａ，Ａ−Ｃという経路で接続されていると判定し、各機器のポートとともに、「Ａ：１／１−Ｂ：１／８、Ａ：１／２−Ｃ：１／８」という経路を機器接続テーブルに記述する（ステップＳ２６）。

図１０に示すステップＡ４およびステップＳ５の後、一次テーブル生成手段３１０は、全てのネットワーク機器接続に対して検査が完了しているか否かを確認する（ステップＡ６）。すなわち、機器接続テーブルに記述されている２つの機器のポート間あるいは２つの機器間の接続状態を示す情報（図９において縦方向に並べて記述した情報）それぞれについてＡ３以降の処理を完了しているか否かを判定する。未だ、ステップＡ３以降の処理を行っていないケースがあれば（ステップＡ６のＮｏ）、そのケースについてステップＡ３以降の処理を行う。例えば、図９に示す「Ａ：１／１−Ｂ：１／８」に関してのみ、ステップＡ３以降の処理を行って図９に示す「Ａ：１／２−Ｃ：１／８」や「Ｂ−Ｃ」に関してステップＡ３以降の処理を行っていないのであれば、それらのケースについてもステップＡ３以降の処理を行う。全てのケースについてステップＡ３以降の処理を完了したのであれば（ステップＡ６のＹｅｓ）、機器接続テーブルの生成を終了する。

ルーティングテーブル４１０と、サブネットアドレステーブル４２０と、機器接続テーブル４３０は、ＶＬＡＮ間ルーティング可否表枠４６０の内容を形成する上で必要となる。

図１３は、接続ポートテーブルの例を示す説明図である。接続ポートテーブル４４０は、各ネットワーク機器の接続ポートに所属するＶＬＡＮ−ＩＤと接続状態を示すテーブルである。接続ポートテーブルでは、ネットワーク機器の機器名および接続ポートが記述され、その接続ポートに所属するＶＬＡＮ−ＩＤと接続ポートの接続状態を表す情報が記述される。ネットワーク機器によっては、接続ポートを論理的に閉塞する機能があり、ある接続ポートに対して閉塞機能がオンの状態であると、その接続ポートは全てのアクセスを拒否する状態になる。接続ポートの接続状態とは、このように閉塞機能がオン状態に設定され接続ポートが全てのアクセスを拒否する状態になっているか否かを示す情報である。接続ポートの接続状態によって、接続ポートの設定状態によらず通信不可の状態を検査することが可能となる。なお、閉塞機能をオン状態にすると、接続ポートにＬＡＮケーブルが挿入してある状態であっても、全てのパケットを遮断することができる。従って、閉塞機能をオンにするのは、接続ポートからＬＡＮケーブルを抜く必要があるが、ＬＡＮケーブルを抜くことができないようなときである。接続ポートテーブル４４０は、分析対象となる各ネットワーク機器のＶＬＡＮ設定情報を使って作成される。なお、１つの接続ポートに対して、複数のＶＬＡＮ−ＩＤが設定されてもよい。また、ネットワーク機器の接続ポートによっては、特定のＶＬＡＮに所属することなく、特別な専用回線として扱われることがあり、その接続ポートが他ＶＬＡＮと通信可能であるか否かが、ネットワーク機器のコンフィグファイルやネットワーク構成情報からは分からないことがある。そのため、接続ポートテーブル４４０の内容をユーザが自由に修正できる仕組みであってもよい。

図１４は、接続ポートテーブル４４０を作成する処理を示すフローチャートである。まず、一次テーブル生成手段３１０は、ＶＬＡＮ設定情報集合２１０から各ネットワーク機器の接続ポートにＶＬＡＮ−ＩＤを設定するコマンドを抽出する（ステップＳ３１）。このコマンドは、所定の文字列とともに所定の記述形式で記述されているので、一次テーブル生成手段３１０は、そのようなコマンドを抽出すればよい。ステップＳ３１には、接続ポートとＶＬＡＮ−ＩＤの対応が記述されている。例えば、図３に示すコマンド“set vlan portbase 1/1 10”は、接続ポート１／１にＶＬＡＮ−ＩＤ１０を設定することをするコマンドであり、このコマンドには接続ポート１／１とＶＬＡＮ−ＩＤ１０とが記述されている。ステップＳ３１の後、一次テーブル生成手段３１０は、ステップＳ３１で抽出したコマンドに記述されている接続ポートとＶＬＡＮ−ＩＤとを対応付けて、接続ポートテーブルに記述する。

続いて、一次テーブル生成手段３１０は、ＶＬＡＮ設定情報集合２１０から（より具体的には、ステップＳ３１で抽出したコマンドと同一のコンフィグファイルから抽出された機器名を示すＶＬＡＮ設定情報から）、機器名を抽出し、ステップＳ３２で記述した接続ポートおよびＶＬＡＮ−ＩＤと対応付けて記述する（ステップＳ３３）。また、一次テーブル生成手段３１０は、各機器の各ポート毎に閉塞機能がオンに設定されているか否かをＶＬＡＮ設定情報を参照して確認し、閉塞機能がオンに設定されている接続ポートに対しては、接続ポートの接続状態を「不可（閉塞機能がオンに設定され、全てのアクセスを拒否することを示す。）」を記述し、他の接続ポートに対しては「可」を記述する。「可」は、閉塞機能がオンに設定されていないことを示す。

図１５は、ＩＰフィルタリングテーブルの例を示す説明図である。ＩＰフィルタリングテーブル４５０は、各ネットワーク機器の接続ポートに設定されるＩＰフィルタリングルールを示すテーブルである。ＩＰフィルタリングルールでは、機器名および接続ポートに対応付けて、そのネットワーク機器の接続ポートに設定されるフィルタリングルールが記述される。ここで、ＩＰフィルタリングとは、あらかじめ決められたルールに従ってデータを通過または遮断する機能であり、パケットフィルタリングと同義である。ＩＰフィルタリングルールは、条件部と実行部から構成される。条件部で、送信元ＩＰアドレス、送信元ポート、宛先ＩＰアドレス、宛先ポートを指定し、実行部で、条件部に合致した場合の通信の許可及び拒否を指定する。図１５のＩＰフィルタリングテーブル４５０では、各ネットワーク機器の接続ポート毎に送信元ＩＰアドレス、宛先ＩＰアドレス及びアクセスの可否が明記される。ここで、送信元ＩＰアドレス及び宛先ＩＰアドレスにおいて、全てのアドレス空間を指定する場合には、「ａｎｙ」という記述方法を用いてもよい。また、１つの接続ポートに対して、複数のＩＰフィルタリングルールが設定されてもよい。ＩＰフィルタリングテーブル４５０は、分析対象となる各ネットワーク機器のＶＬＡＮ設定情報を使って作成される。

ただし、第１の実施の形態では、コンフィグファイル内のＩＰフィルタリングルールでは、ＩＰアドレスはサブネットアドレス、または全てのアドレス空間を指定する「ａｎｙ」として記述されるものとする。従って、コンフィグファイルから抽出されたＶＬＡＮ設定情報内のＩＰフィルタリングルールにおいても、ＩＰアドレスはサブネットアドレス、または全てのアドレス空間を指定する「ａｎｙ」として記述される。その結果、ＩＰフィルタリングテーブルにおける送信元ＩＰアドレス、宛先ＩＰアドレスも、サブネットアドレス、または全てのアドレス空間を指定する「ａｎｙ」として記述される。

図１６は、ＩＰフィルタリングテーブルを作成する処理を示すフローチャートである。まず、一次テーブル生成手段３１０は、ＶＬＡＮ設定情報集合２１０から各ネットワーク機器の接続ポートに設定されるパケットフィルタリング（ＩＰフィルタリング）のコマンドを抽出する（ステップＳ４１）。このコマンドも、所定の文字列とともに所定の記述形式で記述されているので、一次テーブル生成手段３１０は、そのようなコマンドを抽出すればよい。例えば、図３に示す“set filter profile 1 block src-ip 192.168.1.1 255.255.255.0”等のようなパケットフィルタリングルールを登録するコマンドを抽出する。

次に、一次テーブル生成手段３１０は、抽出したパケットフィルタリングルールが設定される接続ポートをＶＬＡＮ設定情報集合２１０から抽出し、ＩＰフィルタリングテーブル４５０に記述する（ステップＳ４２）。例えば、図３に例示するコマンド“set filter in-port fe 4/1 10 1”における最後の「１」は、上記の“set filter profile 1 block src-ip 192.168.1.1 255.255.255.0”において、「block」の直前に記述されたフィルタリングに関するコマンドの番号を示している。従って、この２つのコマンドが対応していて、“set filter in-port fe 4/1 10 1”というコマンドには、“set filter profile 1 block src-ip 192.168.1.1 255.255.255.0”に記述されたフィルタリングルールが設定される接続ポート（本例では、４／１）が記述されている。一次テーブル生成手段３１０は、この接続ポートと、フィルタリングルールとを対応させて、ＩＰフィルタリングテーブル４５０に記述する。本実施の形態では、一次テーブル生成手段３１０は、フィルタリングルールを、送信元ＩＰアドレス、宛先ＩＰアドレス、アクセス（許可または不許可）に分解して、ＩＰフィルタリングテーブル４５０に記述する。

なお、機器名に関しては、一次テーブル生成手段３１０は、ＶＬＡＮ設定情報集合２１０から（より具体的には、ステップＳ４２，Ｓ４２で抽出したコマンドと同一のコンフィグファイルから抽出された機器名を示すＶＬＡＮ設定情報から）、機器名を抽出する。一次テーブル生成手段３１０は、その機器名を、接続ポート、送信元ＩＰアドレス、宛先ＩＰアドレス、およびアクセスに対応付けて記述すればよい。

接続ポートテーブル４４０と、ＩＰフィルタリングテーブル４５０は、ポート毎のＶＬＡＮ接続可否表枠４７０の中身を形成する上で必要となる。

図１７は、ＶＬＡＮ間ルーティング可否表枠の例を示す説明図である。ＶＬＡＮ間ルーティング可否表枠４６０は、各ネットワーク機器の送信元ＶＬＡＮ−ＩＤから各ネットワーク機器の宛先ＶＬＡＮ−ＩＤに対して通信が可能か否かを示す表の枠組みを示す情報である。ＶＬＡＮ間ルーティング可否表枠４６０は、接続ポートテーブル４４０を使って作成される。一次テーブル生成手段３１０は、接続ポートテーブル４４０から各ネットワーク機器の機器名およびその機器の接続ポートに設定されるＶＬＡＮ−ＩＤ（機器名およびＶＬＡＮ−ＩＤの組み合わせ）を抽出し、ＶＬＡＮ間ルーティング可否表枠４６０の縦軸に機器名およびその機器の接続ポートに設定される送信元ＶＬＡＮ−ＩＤを形成（記述）し、横軸に機器名およびその機器の接続ポートに設定される宛先ＶＬＡＮ−ＩＤを形成（記述）する（図１７参照。）。ここで、接続ポートテーブル４４０の代わりに、サブネットアドレステーブル４２０を使ってＶＬＡＮ間ルーティング可否表枠４６０を作成してもよい。

図１８は、ポート毎のＶＬＡＮ接続可否表枠の例を示す説明図である。ポート毎のＶＬＡＮ接続可否表枠４７０は、各ネットワーク機器の接続ポートに対してどのＶＬＡＮ−ＩＤが通信可能であるかを示す表の枠組みである。ポート毎のＶＬＡＮ接続可否表枠４７０は、接続ポートテーブル４４０を使って作成される。一次テーブル生成手段３１０は、接続ポートテーブル４４０から各ネットワーク機器の機器名およびその機器の接続ポートを抽出し、ポート毎のＶＬＡＮ接続可否表枠４７０の縦軸に各ネットワーク機器の機器名および接続ポートの組み合わせを形成（記述）する（図１８参照。）。また、一次テーブル生成手段３１０は、接続ポートテーブル４４０から、各ネットワーク機器の接続ポートに設定されるＶＬＡＮ−ＩＤを抽出し、ポート毎のＶＬＡＮ接続可否表枠４７０の横軸に各ＶＬＡＮ−ＩＤを形成（記述）する（図１８参照。）。

一次テーブルとして作成されたＶＬＡＮ間ルーティング可否表枠、およびポート毎のＶＬＡＮ接続可否表枠では、内容（通信可能か否か）という情報が記述されていない。この内容は二次テーブル生成手段３３０によって追加され、ＶＬＡＮ間ルーティング可否表枠、およびポート毎のＶＬＡＮ接続可否表枠に、通信可能か否かを示す内容が追加された情報が、二次テーブルとなる。

図１９は、機種テーブルの例を示す説明図である。機種テーブル４８０は、各ネットワーク機器の種類及び接続ポートの数を示すテーブルであり、各ネットワーク機器の機器名に対応付けて、そのネットワーク機器の種類および接続ポート数が記述されている。例えば、図１９に示す機種テーブル４８０では、「機器名Ａは、Ｌ３スイッチであり、６４個の接続ポートを装備している」ということを示している。

一次テーブル生成手段３１０は、以下に示すように機種テーブル４８０を作成する。一次テーブル生成手段３１０は、各ネットワーク機器のコンフィグファイルのヘッダ情報から抽出された機器名を記述したＶＬＡＮ設定情報から、機器名を抽出する。さらに一次テーブル生成手段３１０は、その機器名からネットワーク機器の種類を判定する。なお、ここでいうネットワーク機器の種類とは、Ｌ２スイッチ、Ｌ３スイッチ、ルータのいずれかを表す。また、ＶＬＡＮ通信範囲特定システム１００は、ネットワーク機器の機器名（コンフィグファイルのヘッダ情報に記述された機器名）と、ネットワーク機器の種類とを対応付けて記憶するデータベース（図示せず。）を予め備えている。一次テーブル生成手段３１０は、そのデータベースを参照することによって、ＶＬＡＮ設定情報から抽出した機器名に対応するネットワーク機器の種類を判定すればよい。あるいは、インターネットのＷｅｂページ（ネットワーク機器のカタログ情報等を記載したＷｅｂページ）を検索することによって、機器名に応じたネットワーク機器の種類を判定してもよい。

また、上記のデータベースには、ネットワーク機器の機器名と、ネットワーク機器の種類と、ネットワーク機器の接続ポートの数とを対応付けて登録しておいてもよい。一次テーブル生成手段３１０は、そのデータベースを参照することによって、ＶＬＡＮ設定情報から抽出した機器名に対応する接続ポートの数を判定する。あるいは、一次テーブル生成手段３１０は、上述のインターネットのＷｅｂページを検索することによって、機器名に応じたネットワーク機器の接続ポートの数を判定してもよい。あるいは、ネットワーク機器の接続ポート数の記述箇所もＶＬＡＮ設定情報を参照して、機器名に応じた接続ポートの数を判定してもよい。

一次テーブル生成手段３１０は、ネットワーク機器の機器名と、ネットワーク機器の種類と、ネットワーク機器の接続ポートの数とを対応付けて記述する（図１９参照。）。

一次テーブル生成手段３１０は、作成した各種テーブル（ルーティングテーブル、サブネットアドレステーブル、機器接続テーブル、接続ポートテーブル、ＩＰフィルタリングテーブル、ＶＬＡＮ間ルーティング可否表枠、ポート毎のＶＬＡＮ接続可否表枠、および機種テーブル）を、一次テーブル記憶装置３２０に記憶させる。

次に、二次テーブル生成手段３３０の動作について詳細に説明する。二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶されるテーブルを使って、ＶＬＡＮの通信範囲を分析するために必要となる最終的なテーブルである二次テーブルを作成する。二次テーブル生成手段３３０は、作成した二次テーブルを二次テーブル記憶装置１３０に記憶させる。

図２０は、二次テーブル生成手段３３０が作成する二次テーブルの例を示す説明図である。図２０（ａ）は、二次テーブルであるＶＬＡＮ間ルーティング可否表５１０の例を示し、図２０（ｂ）は、ポート毎のＶＬＡＮ接続可否表５２０の例を示している。二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶されるテーブルを使って、ＶＬＡＮ間ルーティング可否表５１０とポート毎のＶＬＡＮ接続可否表５２０を作成する。ＶＬＡＮ間ルーティング可否表５１０は、各ネットワーク機器の送信元ＶＬＡＮ−ＩＤから各ネットワーク機器の宛先ＶＬＡＮ−ＩＤに対して通信が可能か否かを示す表である。一方、ポート毎のＶＬＡＮ接続可否表５２０は、各ネットワーク機器の接続ポートに対してどのＶＬＡＮ−ＩＤが通信可能であるかを示す表である。ＶＬＡＮ間ルーティング可否表５１０は、一次テーブル記憶装置３２０に記憶されるルーティングテーブル４１０と、サブネットアドレステーブル４２０と、機器接続テーブル４３０を使って、ＶＬＡＮ間ルーティング可否表枠４６０の内容（通信可能か否かを示す情報）を追加させることで完成する。ポート毎のＶＬＡＮ接続可否表５２０は、一次テーブル記憶装置３２０に記憶される接続ポートテーブル４４０と、ＩＰフィルタリングテーブル４５０を使って、ポート毎のＶＬＡＮ接続可否表枠４７０の内容（通信可能か否かを示す情報）を追加させることで完成する。以下、ＶＬＡＮ間ルーティング可否表５１０、ポート毎のＶＬＡＮ接続可否表５２０それぞれの作成手順について詳細に説明する。

ＶＬＡＮ間ルーティング可否表５１０の作成処理について説明する。図２１、図２２、および図２３は、二次テーブル生成手段３３０がＶＬＡＮ間ルーティング可否表５１０を作成する処理の例を示すフローチャートである。まず、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０のルーティングテーブル４１０を使って、１つ以上のネットワーク機器でルーティングが可能であるか否かを確認する（ステップＢ１）。二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶されたルーティングテーブル４１０において、各機器名に対応するルーティングの可否において全て「不可（ルーティング機能が有効化されていないことあるいは機器がルーティング機能を有していないことを示す）」が記述されている場合には、全てのネットワーク機器でルーティングが可能でないと判定する。また、二次テーブル生成手段３３０は、ルーティングテーブル４１０において、１つ以上の機器名に対応するルーティングの可否において「可（ルーティング機能が有効化されていることを示す）」が記述されている場合には、１つ以上のネットワーク機器でルーティングが可能であると判定する。例えば、図５に例示するルーティングテーブル４１０が一次テーブル記憶装置３２０に記憶されている場合、機器名「Ａ」に対応して「可」が記憶されている。従って、この場合、二次テーブル生成手段３３０は、１つ以上のネットワーク機器でルーティングが可能であると判定する。

ルーティングテーブル４１０を参照して、１つ以上のネットワーク機器でルーティング可能と判定した場合（ステップＢ１のＹｅｓ）、ネットワーク機器間の全てのＶＬＡＮで通信が可能であり、次のステップＢ３に移行する。

ルーティングテーブル４１０を参照してルーティング可能なネットワーク機器が１つもないと判定した場合（ステップＢ１のＮｏ）、異なるＶＬＡＮ同士は通信不可となるため、二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０（図１７参照。）において、送信元ＶＬＡＮ−ＩＤと宛先ＶＬＡＮ−ＩＤが異なる項目に通信不可を示す情報（本例では「×」）を記述する（ステップＢ２）。

なお、ここで「項目」とは、送信元となる機器のＶＬＡＮ−ＩＤおよび宛先となる機器のＶＬＡＮ−ＩＤの組み合わせに対応して、通信の可否が記述される箇所を意味する。図１７に例示するＶＬＡＮ間ルーティング可否表枠では、ＶＬＡＮ間ルーティング可否表枠内に図示した各空欄が項目に該当する。

ステップＢ１において１つ以上のネットワーク機器でルーティング可能と判定された場合、あるいはステップＢ２の後、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶されたサブネットアドレステーブル４２０を参照して、ＶＬＡＮに対応するサブネットアドレスがあるか否かを判定する（ステップＢ３）。ステップＢ３において、二次テーブル生成手段３３０は、サブネットアドレステーブル４２０に記述されているＶＬＡＮ−ＩＤ毎に、サブネットアドレスが割り当てられているか否か（換言すれば、ＶＬＡＮ−ＩＤ毎にサブネットアドレスが対応付けて記述されているか否か）を判定する。図７に例示するサブネットアドレステーブル４２０では、全てのＶＬＡＮ−ＩＤ（１００，２００）に対してサブネットアドレスが割り当てられている場合を示している。

サブネットアドレステーブル４２０を参照して全てのＶＬＡＮ−ＩＤに対してサブネットアドレスが割り当てられていると判定した場合（ステップＢ３のＹｅｓ）、異なる全てのＶＬＡＮ間で通信が可能であり、次のステップＢ５に移行する。

サブネットアドレステーブル４２０を参照してサブネットアドレスが割り当てられていないＶＬＡＮ−ＩＤが１つ以上あると判定した場合（ステップＢ３のＮｏ）、そのＶＬＡＮ−ＩＤは他ＶＬＡＮと通信不可であるため、二次テーブル生成手段３３０は、サブネットアドレスが割り当てられていないＶＬＡＮ−ＩＤを送信元ＶＬＡＮ−ＩＤとする項目、およびサブネットアドレスが割り当てられていないＶＬＡＮ−ＩＤを宛先ＶＬＡＮ−ＩＤとする項目に通信不可を示す情報（本例では「×」）を記述する（ステップＢ４）。ただし、二次テーブル生成手段３３０は、ステップＢ４において、サブネットアドレスが割り当てられていないＶＬＡＮ−ＩＤを送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤとする項目であって、送信元の機器と宛先の機器とが同一である項目に対しては通信可を示す情報（本例では「○」）を記述する。

図２４は、ステップＢ４における通信可否を示す情報の記述例を示す説明図である。図３（ａ）に例示するように、ＶＬＡＮ−ＩＤ２００に対してサブネットアドレスが割り当てられていないサブネットテーブルが一次テーブル記憶装置３２０に記憶されていて、ステップＢ４に移行したとする。ＶＬＡＮ−ＩＤ２００には対応するサブネットアドレスが存在しないので、ＶＬＡＮ−ＩＤ２００は、他のＶＬＡＮ（本例ではＶＬＡＮ−ＩＤ１００）と通信できない。二次テーブル生成手段３３０は、ステップＢ４において、ＶＬＡＮ−ＩＤ２００を送信元の機器のＶＬＡＮ−ＩＤとする項目およびＶＬＡＮ−ＩＤ２００を宛先の機器のＶＬＡＮ−ＩＤとする項目に、通信不可を示す「×」を記述する（図２４（ｂ）参照。）。ただし、送信元のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとがともに、サブネットアドレスが割り当てられていないＶＬＡＮ−ＩＤ２００である項目であって、送信元の機器と宛先の機器とが同一である項目に関しては通信可を示す「○」を記述する。

サブネットアドレステーブル４２０を参照して全てのＶＬＡＮ−ＩＤに対してサブネットアドレスが割り当てられていると判定した場合（ステップＢ３のＹｅｓ）、あるいは、ステップＢ４の後、二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０の、各送信元ＶＬＡＮ−ＩＤおよび宛先ＶＬＡＮ−ＩＤの各項目（既に、通信の可否が記述済みの項目は除く。）に対して、通信の可否を記述する処理を進める。図１７に例示するＶＬＡＮ間ルーティング可否表枠４６０であれば、機器Ａから機器Ａ、機器Ａから機器Ｂ、機器Ａから機器Ｃ、機器Ｂから機器Ａ、機器Ｂから機器Ｂ、機器Ｂから機器Ｃ、機器Ｃから機器Ａ、機器Ｃから機器Ｂ、機器Ｃから機器Ｃの９通りに関して、未だ通信の可否が記述されていない項目に対して、通信の可否を記述していくことになる。いわば、穴埋めをすることになる。

サブネットアドレステーブル４２０を参照して全てのＶＬＡＮ−ＩＤに対してサブネットアドレスが割り当てられていると判定した場合（ステップＢ３のＹｅｓ）、あるいは、ステップＢ４の後、二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０の項目のうち、未だ通信の可否が記述されていない項目を選択する。

二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０から選択した項目に対応する送信元機器と宛先機器が同一であるか否かを確認する（ステップＢ５）。ＶＬＡＮ間ルーティング可否表枠４６０から選択した項目に対応する送信元機器と宛先機器が同一である場合（ステップＢ５のＹｅｓ）、図２２に示すステップＸ１に移行する。また、同一でない場合（ステップＢ５のＮｏ）、図２３に示すステップＹ１に移行する。

図２２は、二次テーブル生成手段３３０がＶＬＡＮ間ルーティング可否表５１０を作成する処理の例を示すフローチャートの一部である。図２２は、図２１に示すステップＢ５において、ＶＬＡＮ間ルーティング可否表５１０の送信元機器と宛先機器が同一である場合の処理を示す。

二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶されたルーティングテーブル（図５参照。）および機種テーブル（図１９参照。）を参照して、同一である送信元機器および宛先機器のネットワーク機器の種類がＬ３スイッチであるか否かを判定する（ステップＸ１）。なお、ルーティングテーブル４１０において、ルーティングの可否として不可と記述されたＬ３スイッチは、Ｌ２スイッチとみなす。また、ステップＸ１において、ルータもＬ３スイッチとみなして判定する。すなわち、同一である送信元機器および宛先機器の種類がルータである場合、その機器の種類はＬ３スイッチであると判定する。すなわち、判定対象となる機器が、機種テーブルにおいてＬ３スイッチまたはルータと記述され、ルーティングテーブルにおいてルーティングの可否として「可」と記述されている場合には、Ｌ３スイッチであると判定し、その他の場合にはＬ２スイッチであると判定する。その同一機器の種類がＬ３スイッチであれば（Ｘ１のＹｅｓ）、その同一機器内に設定される全てのＶＬＡＮ間で通信が可能であり、ステップＸ７に移行する。

一方、その同一機器の種類がＬ３スイッチでないと判定した場合（ステップＸ１のＮｏ、すなわち機器の種類がＬ２スイッチである場合）、自局（自装置）内での異なるＶＬＡＮ間の通信は不能であり、ステップＸ３に移行する。

ステップＸ３において、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０のルーティングテーブル４１０および機種テーブル４８０を参照して、分析対象となるネットワーク機器（ＶＬＡＮ間ルーティング可否表枠４６０に記述されたネットワーク機器）にＬ３スイッチが存在するか否かを判定する（ステップＸ３）。ステップＸ３では、二次テーブル生成手段３３０は、分析対象となるネットワーク機器毎に、ステップＸ１と同様の判定を行って、Ｌ３スイッチと判定されるネットワーク機器が１つでもあれば、Ｌ３スイッチが存在すると判定する。二次テーブル生成手段３３０は、Ｌ３スイッチと判定されたネットワーク機器が存在しなければ、Ｌ３スイッチは存在しないと判定する。

Ｌ３スイッチが存在する場合（ステップＸ３のＹｅｓ）、異なるＶＬＡＮ間での通信が可能であり、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶された機器接続テーブル４３０を参照して、自局のＬ２スイッチから物理的に最も近いＬ３スイッチを探索し、Ｌ３スイッチまでの経路の機器接続情報を抽出する（ステップＸ５）。図２５は、ステップＸ５の処理の具体例を示す説明図である。一次テーブル記憶手段３２０には、図２５に示す機器接続テーブルおよび機種テーブルが記憶されているものとする。また、本例では、選択中の項目に対応する送信元機器および宛先機器が機器「Ｂ」である場合を例に接続する。二次テーブル生成手段３３０は、機器接続テーブルを参照して、自局である機器「Ｂ」と接続されている機器までの通信経路を判定する。本例では、機器接続テーブルに「Ｂ−Ｃ」と記述され、「Ａ：１／１−Ｂ：１／８、Ａ：１／２−Ｃ：１／８」と記述されているので、「Ｂ−Ａ−Ｃ」という通信経路を判定する。二次テーブル生成手段３３０は、判定した通信経路のうち、Ｌ２スイッチである自局「Ｂ」から最も近いＬ３スイッチを探索する。自局Ｂから送出されたパケットは、「Ｂ−Ａ−Ｃ」という通信経路で転送されるので、二次テーブル生成手段３３０は、機種テーブルを参照して、機器「Ａ」の機種を判定する。機器「Ａ」はＬ３スイッチであるので、最も近いＬ３スイッチは機器「Ａ」であると判定する。

Ｌ３スイッチが存在しない場合（ステップＸ３のＮｏ）、自局のＬ２スイッチ内での異なるＶＬＡＮ間の通信は不可であるため、ＶＬＡＮ間ルーティング可否表枠４６０から選択中の項目に対応する送信元のＶＬＡＮ−ＩＤの宛先のＶＬＡＮ−ＩＤとが異なっていれば通信不可を示す情報（「×」）を記述する（ステップＸ４）。なお、ステップＸ４に移行する場合、選択中の項目に対応する送信元の機器と宛先の機器は同一である。

図２６は、ステップＸ４の動作の例を示す説明図である。図２６に示す機種テーブルが作成されていて、機器にＬ３スイッチが存在しないためにステップＸ４に移行したとする。また、ステップＸ４に移行するのは、送信元の機器と宛先の機器とが同一となる項目が選択されたときのみであるので、図２６に示すＶＬＡＮ間ルーティング可否表枠において太線で示した項目が選択されたときにステップＸ４に移行する。例えば、送信元ＶＬＡＮ−ＩＤが「機器Ａ、１００」であり、宛先ＶＬＡＮ−ＩＤが「機器Ａ，１００」である場合、ＶＬＡＮ−ＩＤが１００で共通なので、ステップＸ４では通信可否を示す情報は記述されない。また、例えば、送信元ＶＬＡＮ−ＩＤが「機器Ａ、２００」であり、宛先ＶＬＡＮ−ＩＤが「機器Ａ，１００」である場合、ＶＬＡＮ−ＩＤが異なるので、二次テーブル生成手段３３０は、ステップＸ４においてその項目に通信不可を示す「×」を記述する。図２６において太線で示した他の項目についても同様である。

ステップＸ４の終了後、ステップＸ７に移行する。

ステップＸ５の後、二次テーブル生成手段３３０は、ステップＸ５で抽出したＬ３スイッチまでの経路の機器接続情報を元に、送信元ＶＬＡＮ−ＩＤが宛先ＶＬＡＮ−ＩＤと通信可能であるか否かを確認する。二次テーブル生成手段３３０は、自局のＬ２スイッチからＬ３スイッチまでの機器接続する接続ポートにおいて、送信元ＶＬＡＮ−ＩＤが通信不可、または、Ｌ３スイッチから自局のＬ２スイッチまでの機器接続する接続ポートにおいて、宛先ＶＬＡＮ−ＩＤが通信不可であれば、ネットワーク機器を跨ぐＶＬＡＮ間の通信は不可となるため、ＶＬＡＮ間ルーティング可否表枠の通信不可に当たる項目に「×」を記入する（ステップＸ６）。

ステップＸ６の処理を説明するために、まず、図２７を参照して異なるＶＬＡＮ間での通信を説明する。図２７（ａ）に例示するように、Ｃ−Ａ，Ａ−Ｂ，Ｂ−Ｄがそれぞれ隣接しているものとする。また、Ｃ、ＤはＬ２スイッチであり、ＣのＶＬＡＮ−ＩＤは１００のみ、ＤのＶＬＡＮ−ＩＤは２００のみであるものとする。さらに、Ａ，ＢはＬ３スイッチであり、ルーティングポイントであるものとする。また、機器Ａ，ＢのＶＬＡＮ−ＩＤは、１００および２００であるものとする。

ステップＸ６において、自局が図２７（ａ）に示すＣであったとする。本例の場合、ステップＸ５において探索されるＬ３スイッチはＡである。二次テーブル生成手段３３０は、自局のＬ２スイッチ（図２７に示すＣ）からＬ３スイッチ（図２７に示すＡ）までの機器接続する接続ポートにおいて、送信元ＶＬＡＮ−ＩＤが通信不可であるか否かを判定する。この判定は、送信元であるＣの接続ポートに割り当てられたＶＬＡＮ−ＩＤ１００が、Ｃに接続されたＡの接続ポートにも割り当てられていいれば通信可であり、Ｃの接続ポートに割り当てられたＶＬＡＮ−ＩＤ１００が、Ｃに接続されたＡの接続ポートに割り当てられていなければ通信不可と判定することによって行えばよい。なお、各機器の接続ポートに割り当てられたＶＬＡＮ−ＩＤは、接続ポートテーブル（図１３参照。）を参照することによって確認すればよい。

さらに、二次テーブル生成手段３３０は、Ｌ３スイッチ（図２７に示すＡ）から自局のＬ２スイッチ（図２７に示すＣ）までの機器接続する接続ポートにおいて、宛先ＶＬＡＮ−ＩＤが通信不可であるか否かを判定する。ステップＸ６に移行するということは、宛先の機器は送信元の機器と同一である。また、機器Ａは、機器ＣからＶＬＡＮ−ＩＤ１００で受信したパケットを、ＶＬＡＮ−ＩＤ２００にルーティングして、機器Ｃを宛先として送信する。二次テーブル生成手段３３０は、このときの通信の可否を判定する。この判定は、機器Ａの接続ポートに割り当てられた他のＶＬＡＮ−ＩＤ２００が、宛先となるＣの接続ポートにも割り当てられていれば通信可であり、機器Ａの接続ポートに割り当てられた他のＶＬＡＮ−ＩＤ２００が、宛先となるＣの接続ポートに割り当てられていなければ通信不可と判定すればよい。

本例の場合、Ｌ３スイッチから自局のＬ２スイッチまでの機器接続する接続ポートにおいて、宛先ＶＬＡＮ−ＩＤが通信不可となるので、通信不可を示す「×」を記述することになる。

他の例を示す。図２８は、ステップＸ６の処理の例を示す説明図である。図２８を参照すると、Ｌ２スイッチＡ６１０の接続ポート１／１は、Ｌ３スイッチＢ６２０の接続ポート１／１と接続されている。さらに、Ｌ３スイッチＢ６２０の接続ポート１／８は、Ｌ２スイッチＣ６３０の接続ポート１／１と接続されている。また、接続ポートテーブル６４０は、各スイッチ機器間の接続ポートに設定されるＶＬＡＮ−ＩＤを示すテーブルである。以下、ステップＸ６において二次テーブル生成手段３３０が、Ｌ２スイッチＡ６１０に設定されるＶＬＡＮ−ＩＤ１００から、Ｌ３スイッチＢ６２０に設定されるＶＬＡＮ−ＩＤ１００への通信が可能か否かを判定する場合を例にして説明する。

Ｌ２スイッチＡ６１０の接続ポート１／１からＬ３スイッチＢ６２０の接続ポート１／１へは、ＶＬＡＮ−ＩＤ１００で通信されることが分かっているので、それぞれの接続ポートがＶＬＡＮ−ＩＤ１００に所属するか否かを確認する。つまり、接続ポートテーブル６４０のそれぞれの接続ポートのＶＬＡＮ−ＩＤ１００に対して論理積を計算する。この場合は、それぞれの接続ポートは、ＶＬＡＮ−ＩＤ１００に所属することが分かるので、通信が可能と分かる。次に、ルーティング後のＬ３スイッチＢ６２０の接続ポート１／１からＬ２スイッチＡ６１０の接続ポート１／１への通信の可否を判定する。Ｌ３スイッチＢ６２０の接続ポート１／１におけるルーティング後のＶＬＡＮ−ＩＤは２００であり、Ｌ２スイッチＡ６１０の接続ポート１／１のＶＬＡＮ−ＩＤは１００であるので、通信不可となる。よって、本例では、通信不可を示す「×」を記述することになる。

ステップＸ１においてＬ３スイッチであると判定された場合（ステップＸ１のＹｅｓ）、ステップＸ４の後、およびステップＸ６の後には、ステップＸ７に移行する。ステップＸ７では、二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０の各項目について全て検査したか否かを判定する（ステップＸ７）。すなわち、ＶＬＡＮ間ルーティング可否表枠４６０の全ての項目についてステップＢ５以降の処理を行っているか否かを判定する。

ＶＬＡＮ間ルーティング可否表枠４６０の各項目について全て検査が完了していれば（ステップＸ７のＹｅｓ）、二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０に記述した「×」以外の項目は全て通信可能であるため、「×」以外の項目に通信可を示す「○」を記述して（ステップＳ８）、ＶＬＡＮ間ルーティング可否表５１０の生成処理を終了する。これで、ＶＬＡＮ間ルーティング可否表５１０が完成する。二次テーブル生成手段３３０は、完成したＶＬＡＮ間ルーティング可否表５１０を二次テーブル記憶装置１３０に記憶させる。

一方、ＶＬＡＮ間ルーティング可否表枠４６０の各項目のうち、まだ検査（ステップＢ５以降の処理）が完了していない項目があれば（ステップＸ７のＮｏ）、ステップＢ５以降の処理がまだ行われていない項目を選択し（ステップＸ７’）、ステップＢ５に移行する。

図２３は、二次テーブル生成手段３３０がＶＬＡＮ間ルーティング可否表５１０を作成する処理の例を示すフローチャートの一部である。図２３は、図２１に示すＢ５において、ＶＬＡＮ間ルーティング可否表５１０の送信元機器と宛先機器が異なる場合の処理を示す。

二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶されたルーティングテーブル４１０（図５参照。）および機種テーブル（図１９参照。）を参照して、送信元機器がＬ３スイッチであるか否かを判定する（ステップＹ１）。ステップＹ１の判定は、ステップＸ１と同様に行えばよい。

送信元機器がＬ３スイッチである場合（ステップＹ１のＹｅｓ）、自局のスイッチから宛先機器までにおいて、宛先ＶＬＡＮ−ＩＤが通信不可であれば、ＶＬＡＮ間ルーティング可否表枠４６０から選択した項目に通信不可を示す「×」を記述し（ステップＹ２）、ステップＹ１０に移行する。例えば、機器接続テーブルにおいて、「Ａ：１／１−Ｂ：１／１」という接続に関して、ＶＬＡＮ−ＩＤ１００については通信可「○」、ＶＬＡＮ−ＩＤ２００については通信不可「×」と記述されていたとする。そして、選択した項目において、自局のスイッチ（Ａとする。）のＶＬＡＮ−ＩＤが１００であり、宛先機器（Ｂとする。）のＶＬＡＮ−ＩＤが２００であれば、通信不可なので「×」を記述する。また、選択した項目において、自局のスイッチ（Ａとする。）のＶＬＡＮ−ＩＤが２００であり、宛先機器（Ｂとする。）のＶＬＡＮ−ＩＤが２００である場合も、通信不可なので「×」を記述する。同様に、選択した項目において、自局のスイッチ（Ｂとする。）のＶＬＡＮ−ＩＤが１００であり、宛先機器（Ａとする。）のＶＬＡＮ−ＩＤが２００であれば、通信不可なので「×」を記述する。また、選択した項目において、自局のスイッチ（Ｂとする。）のＶＬＡＮ−ＩＤが２００であり、宛先機器（Ａとする。）のＶＬＡＮ−ＩＤが２００であれば、通信不可なので「×」を記述する。

一方、送信元機器がＬ３スイッチでないと判定した場合（ステップＹ１のＮｏ、すなわち選択した項目における送信元機器がＬ２スイッチである場合）、ステップＹ４に移行する。

ステップＹ４において、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０のルーティングテーブル４１０および機種テーブル４８０を参照して、分析対象となるネットワーク機器にＬ３スイッチが存在するか否かを判定する（ステップＹ４）。ステップＹ４の処理はステップＸ３と同様である。

分析対象となるネットワーク機器にＬ３スイッチが存在する場合（Ｙ４のＹｅｓ）、ステップＳ５に移行する。一方、一方、分析対象となるネットワーク機器にＬ３スイッチが存在しない場合（ステップＹ４のＮｏ）、二次テーブル生成手段３３０は、機器接続テーブル４３０で通信不可となっているＶＬＡＮ−ＩＤに対して「×」を記入し（ステップＹ４’）、ステップＹ１０に移行する。図２９は、ステップＹ４’の処理の例を示す説明図である。図２９に示すような機種テーブルが作成されていてＬ３スイッチが存在せずに、ステップＹ４’に移行したとする。二次テーブル生成手段３３０は、選択中の項目に対応する送信元の機器および宛先の機器との接続に関して、選択された項目に対応するＶＬＡＮ−ＩＤでの通信が可能か否かを、機器接続テーブルを参照して判定する。例えば、送信元機器ＣのＶＬＡＮ−ＩＤ２００および宛先機器ＡのＶＬＡＮ−ＩＤ２００に対応する項目が選択されているとする。すると、二次テーブル生成手段３３０は、機器Ａ−Ｃ間の接続に関して、ＶＬＡＮ−ＩＤ２００での通信が可能か否かを、機器接続テーブルを参照して判定する。図２９に例示する機器接続テーブルように、機器Ａ−Ｃ間の接続に関して、ＶＬＡＮ−ＩＤ２００での通信が不可（×）と記述されている場合には、選択した項目に通信不可を示す「×」を記述する。

ステップＳ５では、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０のルーティングテーブル４１０と、機器接続テーブル４３０を参照して、ステップＹ４で検出したＬ３スイッチが宛先機器であるか否かを判定する（ステップＹ５）。

ステップＹ４で検出したＬ３スイッチが宛先機器である場合（ステップＹ５のＹｅｓ）、二次テーブル生成手段３３０は、自局のＬ２スイッチから宛先機器であるＬ３スイッチまで送信元ＶＬＡＮ−ＩＤが通信不可であれば、ＶＬＡＮ間ルーティング可否表枠４６０の項目に通信不可を示す「×」を記述する（ステップＹ６）。図３０は、ステップＹ６の処理の例を示す説明図である。図３０に示すような機種テーブルが作成されていて、選択中の項目における送信元の機器がＬ３スイッチではなく、宛先となる機器がＬ３スイッチである機器「Ａ」であるとする。二次テーブル生成手段３３０は、機器接続テーブルを参照して、選択中の項目に対応する送信元の機器および宛先の機器との接続に関して、送信元のＶＬＡＮ−ＩＤまたは宛先のＶＬＡＮ−ＩＤで通信不可と記述されてるか否かを判定し、通信不可と記述されているならば、選択中の項目に通信不可を示す「×」を記述する。例えば、送信元機器ＣのＶＬＡＮ−ＩＤ２００および宛先機器ＡのＶＬＡＮ−ＩＤ１００に対応する項目が選択されているとする。すると、二次テーブル生成手段３３０は、機器接続テーブルを参照し、機器Ａ−Ｃ間の接続に関して、送信元のＶＬＡＮ−ＩＤ２００で通信不可（×）と記述されていることを確認する。その結果、二次テーブル生成手段３３０は、図３０に示すＶＬＡＮ間ルーティング可否表枠のように選択した項目に通信不可を示す「×」を記述する。

また、ステップＹ４で検出したＬ３スイッチが宛先機器でない場合（ステップＳ５のＮｏ）、二次テーブル生成手段３３０は、検査対象となる送信元ＶＬＡＮ−ＩＤと宛先ＶＬＡＮ−ＩＤ（選択中の項目に対応する送信元ＶＬＡＮ−ＩＤおよび宛先ＶＬＡＮ−ＩＤ）が同一であるか否かを確認する（ステップＹ７）。

検査対象となる送信元ＶＬＡＮ−ＩＤと宛先ＶＬＡＮ−ＩＤが同一である場合（ステップＹ７のＹｅｓ）、同一ＶＬＡＮ間の通信となるため、送信元機器から宛先機器までにおいて、送信元ＶＬＡＮ−ＩＤ及び宛先ＶＬＡＮ−ＩＤが通信不可であれば、ＶＬＡＮ間ルーティング可否表枠４６０の項目に通信不可を示す「×」を記述し（ステップＹ８）、ステップＹ１０に移行する。図３１は、ステップＹ８の処理の例を示す説明図である。図３１に例示するような機種テーブルが作成されていて、分析対象のネットワーク機器にスイッチ（図３１に示す例では機器「Ａ」）が存在しているものとする。さらに、選択中の項目における送信元の機器および宛先の機器が異なり、いずれもＬ３スイッチではなく、選択中の項目における送信元機器のＶＬＡＮ−ＩＤと宛先機器のＶＬＡＮ−ＩＤが同一であるものとする。二次テーブル生成手段３３０は、その同一のＶＬＡＮ−ＩＤが、選択中の項目における送信元機器から宛先機器までの各経路のいずれかにおいて通信不可と機器接続テーブルに記述されている場合には、選択した項目に通信不可を示す「×」を記述する。例えば、送信元機器ＣのＶＬＡＮ−ＩＤ１００および宛先機器ＢのＶＬＡＮ−ＩＤ１００に対応する項目が選択されているとする。すると、二次テーブル生成手段３３０は、機器接続テーブルを参照し、機器Ｃから機器Ｂまでの各経路において、ＶＬＡＮ−ＩＤ１００で通信不可となる箇所があるか否かを判定する。図３１に示す場合、機器Ａと機器Ｃとの間でＶＬＡＮ−ＩＤ１００の通信が不可となっているので、選択した項目に通信不可を示す「×」を記述する。

また、検査対象となる送信元ＶＬＡＮ−ＩＤと宛先ＶＬＡＮ−ＩＤとが異なる場合（ステップＹ７のＮｏ）、異なるＶＬＡＮ間の通信となるため、自局のＬ２スイッチからＬ３スイッチまで送信元ＶＬＡＮ−ＩＤが通信不可、またはＬ３スイッチから宛先機器まで宛先ＶＬＡＮ−ＩＤが通信不可であれば、ＶＬＡＮ間ルーティング可否表枠４６０の項目に通信不可を示す「×」を記述し（ステップＹ９）、ステップＹ１０に移行する。図３２は、ステップＹ９の処理の例を示す説明図である。図３２に例示するような機種テーブルが作成されていて、分析対象のネットワーク機器にスイッチ（図３２に示す例では機器「Ａ」）が存在しているものとする。さらに、選択中の項目における送信元の機器および宛先の機器が異なり、いずれもＬ３スイッチではなく、選択中の項目における送信元機器のＶＬＡＮ−ＩＤと宛先機器のＶＬＡＮ−ＩＤが異なるものとする。

なお、図３２に示す機種テーブルおよび機器接続テーブルは、Ｌ２スイッチＢとＬ３スイッチＡとが接続され、Ｌ３スイッチＡとＬ２スイッチＣとが接続されていることを示す。そして、機器Ｃから機器Ｃに対して通信を行う場合には、機器Ｂ，Ａ間では、ＶＬＡＮ−ＩＤ１００で通信し、機器ＡでＶＬＡＮ−ＩＤ１００からＶＬＡＮ−ＩＤ２００にルーティングし、機器Ａ，Ｃ間ではＶＬＡＮ−ＩＤ２００で通信を行う。

二次テーブル生成手段３３０は、自局のＬ２スイッチからＬ３スイッチまで送信元ＶＬＡＮ−ＩＤが通信不可となるか否かと、Ｌ３スイッチから宛先機器まで宛先ＶＬＡＮ−ＩＤが通信不可となるか否かを判定する。いずれかで通信不可と判定された場合には、送信元機器から宛先機器までの通信を行えないので、選択した項目に通信不可を示す「×」を記述する。例えば、送信元機器ＣのＶＬＡＮ−ＩＤ２００および宛先機器ＢのＶＬＡＮ−ＩＤ１００に対応する項目が選択されているとする。すると、二次テーブル生成手段３３０は、Ｌ３スイッチ（機器Ａ）から宛先機器ＢまではＶＬＡＮ−ＩＤ１００で通信可能であるが、送信元機器ＣからＬ３スイッチ（機器Ａ）まではＶＬＡＮ−ＩＤ２００で通信できないことを機器接続テーブルを参照して判定する。従って、選択した項目に通信不可を示す「×」を記述する。

また、例えば、図２７に例示するネットワーク構成において、機器Ｃから機器Ｄまでの通信可否を判定する場合には、機器ＣからＬ３スイッチである機器Ａまで通信可能か否か、および、機器Ａから機器Ｄまで通信可能か否かを判定すればよい。また、図２７に例示する機器Ｄから機器Ｃまでの通信可否を判定する場合には、機器ＤからＬ３スイッチである機器Ｂまで通信可能か否か、および、機器Ｂから機器Ｃまで通信可能か否かを判定すればよい。

ステップＹ１０では、二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０の各項目について全て検査したか否かを判定する（ステップＹ１０）。すなわち、ＶＬＡＮ間ルーティング可否表枠４６０の全ての項目についてステップＢ５以降の処理を行っているか否かを判定する。ステップＹ１０の処理は、ステップＸ７と同様である。

ＶＬＡＮ間ルーティング可否表枠４６０の各項目について全て検査が完了していれば（ステップＹ１０のＹｅｓ）、二次テーブル生成手段３３０は、ＶＬＡＮ間ルーティング可否表枠４６０に記述した「×」以外の項目は全て通信可能であるため、「×」以外の項目に通信可を示す「○」を記述して（ステップＹ１１）、ＶＬＡＮ間ルーティング可否表５１０の生成処理を終了する。これで、ＶＬＡＮ間ルーティング可否表５１０が完成する。二次テーブル生成手段３３０は、完成したＶＬＡＮ間ルーティング可否表５１０を二次テーブル記憶装置１３０に記憶させる。

一方、ＶＬＡＮ間ルーティング可否表枠４６０の各項目のうち、まだ検査（ステップＢ５以降の処理）が完了していない項目があれば（ステップＹ１０のＮｏ）、ステップＢ５以降の処理がまだ行われていない項目を選択し（ステップＹ１０’）、ステップＢ５に移行する。

以上の処理によって、ＶＬＡＮ間ルーティング可否表枠４６０の各項目に通信可を示す情報（例えば「○」）や通信不可を示す情報（例えば「×」）が追加され、ＶＬＡＮ間ルーティング可否表５１０が完成する。

ポート毎のＶＬＡＮ接続可否表５２０の作成処理について説明する。図３３は、二次テーブル生成手段３３０がポート毎のＶＬＡＮ接続可否表５２０を作成する処理の例を示すフローチャートである。まず、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶された接続ポートテーブル４４０を使って、ポート毎のＶＬＡＮ接続可否表枠４７０に対し、各ネットワーク機器の接続ポートに所属しないＶＬＡＮ−ＩＤについて通信不可を示す情報（例えば「×」）を記述する（ステップＣ１）。すなわち、ステップＣ１において、二次テーブル生成手段３３０は、ポート毎のＶＬＡＮ接続可否表枠４７０に記述された機器名および接続ポート毎に、ポート毎のＶＬＡＮ接続可否表枠４７０に記述された個々のＶＬＡＮ−ＩＤが設定されているか否かを接続ポートテーブルを参照して判定する。そして、接続ポートテーブルを参照した結果、機器名および接続ポートの組み合わせに対して、ＶＬＡＮ−ＩＤが設定されていなければ、二次テーブル生成手段３３０は、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその機器名、接続ポートとそのＶＬＡＮ−ＩＤとの組み合わせに対応させて、通信不可を示す「×」を記述する。

次に、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶された接続ポートテーブル４４０を参照して、接続状態が不可である各ネットワーク機器の接続ポートについて通信不可を示す情報（例えば「×」）を記述する（ステップＣ２）。

図３４は、ステップＣ１，Ｃ２の処理の例を示す説明図である。まず、二次テーブル生成手段３３０がステップＣ１で、通信不可を示す「×」を記述する例を説明する。図３４に例示する接続ポートテーブルが作成されていたとする。例えば、二次テーブル生成手段３３０は、機器Ａの接続ポート１／２に関してＶＬＡＮ−ＩＤ１００のみが設定されていることを接続ポートテーブルを参照して確認する。従って、二次テーブル生成手段３３０は、ポート毎のＶＬＡＮ接続可否表枠の「Ａ：１／２」に関しては、接続ポートテーブルで設定されていないＶＬＡＮ−ＩＤ２００に対応付けて通信不可を示す「×」を記述する。ここでは、機器Ａの接続ポート１／２を例にして説明したが、ステップＣ１では、各機器の各接続ポート毎に同様の処理を行う。

次に、図３４を参照して、二次テーブル生成手段３３０がステップＣ２で、通信不可を示す「×」を記述する例を説明する。図３４に例示する接続ポートテーブルが作成されている場合、機器Ａの接続ポート２／１に関してＶＬＡＮ−２００が設定されているので、ステップＣ１では、ポート毎のＶＬＡＮ接続可否表枠の「Ａ：２／１」およびＶＬＡＮ−ＩＤ「２００」に対応させて通信不可を示す「×」は記述されない。しかし、機器Ａの接続ポート２／１の接続状態は不可（図３４に示す接続ポートテーブル参照）であるので、二次テーブル生成手段３３０は、ステップＣ２において、「Ａ：２／１」に対してＶＬＡＮ−ＩＤによらずに、通信不可を示す「×」を記述する。接続ポートテーブルにおいて、接続状態が不可となっている他の接続ポートに関しても同様の処理を行う。

以下の説明において、ポート毎のＶＬＡＮ接続可否表枠において、ネットワーク機器の接続ポートおよびＶＬＡＮ−ＩＤの組み合わせに対応して、通信の可否を記述する箇所を項目と記す。

ステップＣ２の後、二次テーブル生成手段３３０は、ステップＣ１，Ｃ２で通信不可を示す「×」を記述した項目以外の項目に、通信可を示す情報（例えば「○」）を記述する（ステップＣ３）。

次に、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０のＩＰフィルタリングテーブル４５０を参照して、各ネットワーク機器の接続ポートに設定されるＩＰフィルタリングルールがあるか否かを確認する（ステップＣ４）。

ネットワーク機器の接続ポートにＩＰフィルタリングルールが設定されていれば（ステップＣ４のＹｅｓ）、二次テーブル生成手段３３０は、その接続ポートに設定されたＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが一致するか否かを確認する（ステップＣ５）。ステップＣ５において、ＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０における接続ポートの通信可否状態とが一致するとは、ＩＰフィルタリングルールにおいてアクセスの許可が記述され、接続ポートの各ＶＬＡＮ−ＩＤに対応する項目に通信可を示す情報（「○」）が記述されていること、あるいは、ＩＰフィルタリングルールにおいてアクセスの拒否が記述され、接続ポートの各ＶＬＡＮ−ＩＤに対応する項目に通信不可を示す情報（「×」）が記述されていることを指す。

接続ポートに設定されたＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが一致していれば（ステップＣ５のＹｅｓ）、ＩＰフィルタリングルールによる通信の許可または拒否はポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートの通信可否に影響しないため、処理を終了する。

また、接続ポートに設定されたＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが異なれば、ＩＰフィルタリングルールによる通信の許可または拒否が、ポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートの通信可否に影響する。従って、接続ポートに設定されたＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが異なる場合（ステップＣ５のＮｏ）、二次テーブル生成手段３３０は、ポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートの通信可否を接続ポートに設定されたＩＰフィルタリングルールのアクセス状態に合わせて修正する（ステップＣ６）。すなわち、ＩＰフィルタリングルールにおいてアクセス拒否と記述されていて、ポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートにおいて通信可（「○」）と記述されてるときには、二次テーブル生成手段３３０は、ポート毎のＶＬＡＮ接続可否表枠４７０に記述された通信可（「○」）を通信不可（「×」）に修正する。ＩＰフィルタリングルールにおいてアクセス許可と記述されていて、ポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートにおいて通信不可（「×」）と記述されているときには、ポート毎のＶＬＡＮ接続可否表枠４７０に記述された通信不可（「×」）を通信可（「○」）に修正する。ただし、ステップＣ２において記述された通信不可（「×」）は、閉塞機能がオン状態になっていることに起因して記述されたものであるので、通信可（「○」）に修正しない。

図３５は、ステップＣ５，Ｃ６の処理の具体例を示す説明図である。図３５に例示するＩＰフィルタリングテーブルが生成されていて、機器Ａの接続ポート１／１および機器Ａの接続ポート１／２にそれぞれＩＰフィルタリングルールが設定されているとする。また、ポート毎のＶＬＡＮ接続可否表枠では、機器Ａの接続ポート１／１に関して、ＶＬＡＮ−ＩＤ１００，２００ともに通信可（「○」）と記述されていて、機器Ａの接続ポート１／２に関して、ＶＬＡＮ−ＩＤ１００では通信可（「○」）であるが、ＶＬＡＮ−ＩＤ２００では通信不可（「×」）と記述されているものとする。二次テーブル生成手段３３０は、機器Ａの接続ポート１／１に設定されたＩＰフィルタリングルールではアクセス許可とされているので、ポート毎のＶＬＡＮ接続可否表枠における機器Ａの接続ポート１／１の記述は変更しない。また、二次テーブル生成手段３３０は、機器Ａの接続ポート１／２に設定されたＩＰフィルタリングルールアクセス拒否と記述されているので、ポート毎のＶＬＡＮ接続可否表枠において、「機器Ａの接続ポート１／２」および「ＶＬＡＮ−ＩＤ１００」に対応する項目を通信可（「○」）から通信不可（「×」）に修正する。

また、どのネットワーク機器の接続ポートにもＩＰフィルタリングルールが設定されていなければ（ステップＣ４のＮｏ）、ＩＰフィルタリングルールによる各ネットワーク機器の接続ポートに対する通信可否に影響はないため、処理を終了する。以上の処理によって、ポート毎のＶＬＡＮ接続可否表枠４７０の各項目に通信可を示す情報（例えば「○」）や通信不可を示す情報（例えば「×」）が追加され、ポート毎のＶＬＡＮ接続可否表５２０が完成する。二次テーブル生成手段３３０は、完成したポート毎のＶＬＡＮ接続可否表５２０を二次テーブル記憶装置１３０に記憶させる。

以上の説明では、一旦ＶＬＡＮ間ルーティング可否表枠４６０及びポート毎のＶＬＡＮ接続可否表枠４７０を作成して、一次テーブル記憶装置３２０に記憶させてから、ＶＬＡＮ間ルーティング可否表５１０及びポート毎のＶＬＡＮ接続可否表５２０を作成して二次テーブルに記憶させる場合を示した。二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶されるルーティングテーブル４１０、サブネットアドレステーブル４２０、機器接続テーブル４３０等を参照して、ＶＬＡＮ間ルーティング可否表５１０を、接続ポートテーブル４４０と、ＩＰフィルタリングテーブル４５０を使って、ポート毎のＶＬＡＮ接続可否表５２０をそれぞれ直接作成してもよい。この場合、一次テーブル生成手段３１０は、ＶＬＡＮ間ルーティング可否表枠４６０およびポート毎のＶＬＡＮ接続可否表枠４７０を作成して一次テーブル記憶装置３２０に記憶させる必要はない。

次に、ＶＬＡＮ通信範囲分析手段１４０の動作について詳細に説明する。ＶＬＡＮ通信範囲分析手段１４０は、二次テーブル記憶装置１３０に記憶されるテーブルを参照して、ＶＬＡＮの通信可能な範囲を分析する。ＶＬＡＮ通信範囲分析手段１４０は出力手段２４０に分析結果を出力する。

図３６は、ＶＬＡＮ通信範囲分析手段１４０がＶＬＡＮの通信可能な範囲を分析する処理の例を示すフローチャートである。まず、ＶＬＡＮ通信範囲分析手段１４０には、ユーザによって、例えばキーボード等の入力デバイス（図示せず。）を介して、分析対象となるネットワーク機器の機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤが入力される（ステップＤ１）。なお、入力時に表示される入力画面は、例えば、ＶＬＡＮ通信範囲特定システムに搭載されるアプリケーションによって表示される。

次に、ＶＬＡＮ通信範囲分析手段１４０は、分析対象となるネットワーク機器の機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤ（すなわち入力された機器名およびＶＬＡＮ−ＩＤ）と、二次テーブル記憶装置１３０に記憶されるＶＬＡＮ間ルーティング可否表５１０を使って、通信可能なＶＬＡＮを検査する（ステップＤ２）。ステップＤ２において、ＶＬＡＮ通信範囲分析手段１４０は、分析対象となるネットワーク機器の機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤを送信元の機器名および送信元のＶＬＡＮ−ＩＤとして、ＶＬＡＮ間ルーティング可否表５１０を参照して、送信元のＶＬＡＮ−ＩＤから通信可能であることを示す情報（「○」）が記述されている宛先の機器名およびＶＬＡＮ−ＩＤを検出する。例えば、図２０（ａ）に例示するＶＬＡＮルーティング可否表５１０がされていたとする。そして、分析対象となるネットワーク機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤが「機器ＡのＶＬＡＮ−ＩＤ１００」であったとする。すなわち、入力された機器名が「Ａ」であり、入力されたＶＬＡＮ−ＩＤが「１００」であったとする。すると、ＶＬＡＮ通信範囲分析手段１４０は、図２０（ａ）に例示するＶＬＡＮ間ルーティング可否表５１０を参照して、送信元ＶＬＡＮ−ＩＤ（機器ＡのＶＬＡＮ−ＩＤ１００）から通信可能なＶＬＡＮとして、機器ＡのＶＬＡＮ−ＩＤ１００、機器ＡのＶＬＡＮ−ＩＤ２００、機器ＢのＶＬＡＮ−ＩＤ１００、および機器ＣのＶＬＡＮ−ＩＤ１００を検出する。

ステップＤ２の後、ＶＬＡＮ通信範囲分析手段１４０は、ステップＤ２で得られた分析結果である通信可能なＶＬＡＮ−ＩＤ（ステップＤ１で入力された機器のＶＬＡＮ−ＩＤから通信可能なＶＬＡＮ−ＩＤ）と、二次テーブル記憶装置１３０に記憶されるポート毎のＶＬＡＮ接続可否表５２０を使って、分析対象となるネットワーク機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤの通信範囲となるネットワーク機器の接続ポートを検査する（ステップＤ３）。ＶＬＡＮ通信範囲分析手段１４０は、ポート毎の接続可否表を参照して、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目のうち、通信可を示す情報（「○」）が記述された項目を特定する。そして、ＶＬＡＮ通信範囲分析手段１４０は、その項目に対応する機器名および接続ポートを、分析対象となるネットワーク機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤの通信範囲となる機器名および接続ポートとして検出する。このとき、１つのネットワーク機器の１つの接続ポートに所属するＶＬＡＮ−ＩＤのどれか１つでも通信可能であれば、そのネットワーク機器の接続ポートは通信可能であるとみなす。

例えば、図２０（ｂ）に例示するポート毎のＶＬＡＮ接続可否表５２０が作成されていたとする。そして、ステップＤ３において、機器ＡのＶＬＡＮ−ＩＤ１００と通信可能なＶＬＡＮとして、機器ＡのＶＬＡＮ−ＩＤ１００、機器ＡのＶＬＡＮ−ＩＤ２００、機器ＢのＶＬＡＮ−ＩＤ１００、および機器ＣのＶＬＡＮ−ＩＤ１００が検出されたとする。この場合、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目は、「機器ＡおよびＶＬＡＮ−ＩＤ１００」、「機器ＡおよびＶＬＡＮ−ＩＤ２００」、「機器ＢおよびＶＬＡＮ−ＩＤ１００」、「機器ＣおよびＶＬＡＮ−ＩＤ１００」に該当する項目である。ＶＬＡＮ通信範囲分析手段１４０は、これらの項目のうち、通信可を示す「○」が記述された接続ポートを、ポート毎のＶＬＡＮ接続可否表５２０から検出する。よって、この例では、機器Ａの接続ポート１／１、機器Ｂの接続ポート１／８、および機器Ｃの接続ポート１／８を検出する。この各接続ポート（機器Ａの接続ポート１／１、機器Ｂの接続ポート１／８、および機器Ｃの接続ポート１／８）が、ステップＤ１で入力された機器ＡのＶＬＡＮ−ＩＤ１００の通信範囲となる。１つのネットワーク機器の１つの接続ポートに所属するＶＬＡＮ−ＩＤのどれか１つでも通信可能であれば、そのネットワーク機器の接続ポートは通信可能であるとみなすので、仮に、図２０（ｂ）において、機器Ａの接続ポート１／１において、ＶＬＡＮ−ＩＤ２００に対して通信不可（×）と記述されていたとしても、ＶＬＡＮ−ＩＤ１００に対して通信可（○）が記述されていれば、機器Ａの接続ポート１／１は通信範囲の接続ポートとして検出される。

最後に、ＶＬＡＮ通信範囲分析手段１４０は、分析対象となるネットワーク機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤの通信範囲となるネットワーク機器の接続ポートを分析結果として、出力手段２４０に出力する（ステップＤ４）。

図３７は、ＶＬＡＮ通信範囲分析手段１４０による処理の処理経過の例を示す説明図である。ＶＬＡＮ通信範囲特定システムが備える二次テーブル記憶装置に、図３７に例示するＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表が記憶されているものとする。また、ステップＤ１で、ＶＬＡＮ通信範囲特定システムに分析対象となるネットワーク機器の機器名およびＶＬＡＮ−ＩＤとして、「機器Ａ、ＶＬＡＮ−ＩＤ１００」が入力されたとする。すると、ＶＬＡＮ通信範囲分析手段１４０は、機器ＡのＶＬＡＮ−ＩＤ１００を送信元として、送信元機器ＡのＶＬＡＮ−ＩＤ１００から通信可能であることを示す「○」が記述されている宛先の機器名およびＶＬＡＮ−ＩＤを、ＶＬＡＮ間ルーティング可否表から検出する（ステップＤ２）。図３７に例示する場合では、機器ＡのＶＬＡＮ−ＩＤ１００、機器ＡのＶＬＡＮ−ＩＤ２００、機器ＢのＶＬＡＮ−ＩＤ１００を検出する。次に、ＶＬＡＮ通信範囲分析手段１４０は、ポート毎の接続可否表を参照して、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目のうち、通信可を示す情報（「○」）が記述された項目を特定する。図３７に例示するポート毎のＶＬＡＮ接続可否表では、斜線で示した項目以外の項目が、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目に該当する。ＶＬＡＮ通信範囲分析手段１４０は、この斜線で示した項目以外の項目のうち、通信可を示す「○」が記述された項目を特定し、その項目に対応する機器名および接続ポートを分析対象の通信範囲の接続ポートとして検出する（ステップＤ３）。本例では、機器Ａの１／１、機器Ａの２／２、機器Ｂの１／１を検出する。１つのネットワーク機器の１つの接続ポートに所属するＶＬＡＮ−ＩＤのどれか１つでも通信可能であれば、そのネットワーク機器の接続ポートは通信可能であるとみなすので、機器Ａの２／２に関しては、ＶＬＡＮ−ＩＤ１００で「×」となっているが、ＶＬＡＮ−ＩＤ２００で「○」となっているので、ステップＤ３で検出される。次のステップＤ４で、ＶＬＡＮ通信範囲分析手段１４０は、検出した各接続ポートを出力手段２４０に出力する。

図３７では、入力された機器ＡのＶＬＡＮ−ＩＤ１００と同一のＶＬＡＮ−ＩＤで通信可能な接続ポートと、入力された機器ＡのＶＬＡＮ−ＩＤ１００と異なるＶＬＡＮ−ＩＤで通信可能な接続ポートとに分類して出力している場合を示している。ＶＬＡＮ通信範囲分析手段１４０は、ポート毎のＶＬＡＮ接続可否表を参照して、ステップＤ３で検出した接続ポートに関して、入力されたＶＬＡＮ−ＩＤで通信可（「○」）となっていれば、その接続ポートは、入力された機器のＶＬＡＮ−ＩＤと同一のＶＬＡＮ−ＩＤで通信可能と判定すればよい。また、ＶＬＡＮ通信範囲分析手段１４０は、ポート毎のＶＬＡＮ接続可否表を参照して、ステップＤ３で検出した接続ポートに関して、入力されたＶＬＡＮ−ＩＤ以外のＶＬＡＮ−ＩＤで通信可（「○」）となっていれば、その接続ポートは、入力された機器のＶＬＡＮ−ＩＤと異なるＶＬＡＮ−ＩＤで通信可能と判定すればよい。また、ＶＬＡＮ通信範囲分析手段１４０は、ポート毎のＶＬＡＮ接続可否表に記述された接続ポートのうち、入力された機器のＶＬＡＮ−ＩＤと同一のＶＬＡＮ−ＩＤで通信可能な接続ポートおよび入力された機器のＶＬＡＮ−ＩＤと異なるＶＬＡＮ−ＩＤで通信可能な接続ポート以外の接続ポートは、入力された機器のＶＬＡＮ−ＩＤと通信不可の接続ポートとして分類して出力してもよい。

出力手段２４０は、ＶＬＡＮ通信範囲分析手段１４０の分析結果を、例えば、ディスプレイ装置を使って出力（この場合、表示）する。ここで、分析結果の出力形式は、分析結果を本発明のシステム上に実装されるアプリケーションに従って表示してもよいし、分析結果をファイルとして出力してもよい。以下、出力手段２４０がディスプレイ装置であり、ＶＬＡＮ通信範囲分析手段１４０が、ＶＬＡＮ通信範囲特定システムに搭載されたプログラムに従って、分析結果を出力手段２４０に表示させる場合を例にして説明する。

図３８は、ＶＬＡＮ通信範囲分析手段１４０の分析結果を出力手段２４０が出力する例を示す説明図である。図３８は、出力手段２４０が分析結果を表示する画面の例を示している。ＶＬＡＮ通信範囲分析手段１４０は、出力手段２４０に、通信状態表示欄７２０と、コメント表示欄７３０とを含む分析結果表示画面７００を表示させる。通信状態表示欄７２０は、各ネットワーク機器の接続ポートがユーザの指定したＶＬＡＮの通信範囲であるか否かを視覚的に表示する表示欄である。ここで、各ネットワーク機器の接続ポートは、コンフィグファイルを使って接続ポートの数を知ることができ、分析対象となるネットワーク機器に応じて、接続ポート数を可変に表示できる。すなわち、図３８では、機器Ａ，Ｂ，Ｃの接続ポート数がいずれも８個である場合を示しているが、ＶＬＡＮ通信範囲分析手段１４０は、機種テーブルから各機器の接続ポートの数を読み取って、その接続ポート数に応じて、各機器毎に接続ポートを出力手段２４０に表示させればよい。

図３８に示す例では、ユーザによって入力されたＶＬＡＮ−ＩＤと同一のＶＬＡＮ−ＩＤで通信可能な接続ポートを縦縞で表示している。また、ユーザによって入力されたＶＬＡＮ−ＩＤと異なるＶＬＡＮ−ＩＤで通信可能な接続ポートを斜線の縞模様で表示している。また、ユーザによって入力されたＶＬＡＮ−ＩＤと通信不可の接続ポートを黒色で表示している。なお、ここで示した各種接続ポートの表示態様は例示であり、他の表示態様で各種接続ポートを表示してもよい。例えば、ユーザによって入力されたＶＬＡＮ−ＩＤと同一のＶＬＡＮ−ＩＤで通信可能な接続ポート、ユーザによって入力されたＶＬＡＮ−ＩＤと異なるＶＬＡＮ−ＩＤで通信可能な接続ポート、ユーザによって入力されたＶＬＡＮ−ＩＤと通信不可の接続ポートを、それぞれ青色、黄色、赤色で表示するようにして、色によって接続ポートの状態の区別を表してもよい。

コメント表示欄７３０は、通信状態表示欄７２０に表示されるネットワーク機器の接続ポートのＶＬＡＮに関連する設定情報を表示する表示欄である。コメント表示欄７３０によって、通信状態表示欄７２０のネットワーク機器の接続ポートの通信状態の詳細情報を表示することができる。例えば、通信不可の接続ポートがユーザによって選択された場合、ＶＬＡＮ通信範囲分析手段１４０が、「接続ポート１／１は、機器設定により論理的に閉塞されています」や「接続ポート１／１は、ＩＰフィルタリングルールによって通信を拒否されています」等のような、通信不可となっている詳細な要因を出力手段２４０に表示させる。

以上のように動作する場合、ＶＬＡＮ通信範囲分析手段１４０が分析結果として分析結果の表示データを出力手段２４０に出力し、出力手段２４０に分析結果を表示させる。以上の説明では、出力手段２４０がディスプレイ装置であり、ＶＬＡＮ通信範囲分析手段１４０が出力手段２４０に分析結果表示画面７００を表示させる場合を示した。出力装置２４０が、ディスプレイ装置を備えたコンピュータであり、アプリケーションに従ってディスプレイ装置に分析結果表示画面７００を表示させてもよい。

図３８に示すように、ユーザによって入力されたＶＬＡＮ−ＩＤと同一のＶＬＡＮ−ＩＤで通信可能な接続ポート、ユーザによって入力されたＶＬＡＮ−ＩＤと異なるＶＬＡＮ−ＩＤで通信可能な接続ポート、ユーザによって入力されたＶＬＡＮ−ＩＤと通信不可の接続ポートを区別して表現することで、ユーザによって指定（入力）されたＶＬＡＮの通信範囲に各ネットワーク機器の接続ポートが含まれるか否かを容易に確認することができる。

次に、本発明の第１の実施の形態の効果について説明する。本発明の第１の実施の形態によれば、ネットワークのＶＬＡＮ設定管理において、ネットワーク内に設定されるＶＬＡＮの通信範囲を容易に確認することができる。その理由は、ＶＬＡＮ間ルーティング可否表５１０を使って、各ネットワーク機器に設定されるＶＬＡＮ間の通信の可否を検査し、ポート毎のＶＬＡＮ接続可否表５２０を使って、各ネットワーク機器の接続ポートが通信可能なＶＬＡＮを検査し、これらの検査結果を組み合わせることで、任意のネットワーク機器のＶＬＡＮに対する通信可能な範囲を特定できるからである。

また、本発明の第１の実施の形態によれば、ＶＬＡＮの通信範囲の分析の処理の高速化を行うことができる。その理由は、テーブル生成手段１２０を使って、あらかじめＶＬＡＮ通信範囲分析用のテーブルを作成することで、ＶＬＡＮ通信範囲分析の際、余計な範囲の通信可否の検査を行うことがなく、必要な範囲の検査のみを実行することができるからである。これによって、大規模なスイッチネットワークを対象としたＶＬＡＮ通信範囲分析であっても、短時間で検査を完了することができる。

実施の形態２．
図３９は、本発明の第２の実施の形態において一次テーブル生成手段３１０が作成する一次テーブルの例を示す説明図である。なお、本発明の第２の実施の形態の構成は、第１の実施の形態と同様である。すなわち、第２の実施の形態の構成も図１のように表される。本発明の第２の実施の形態の構成は、第１の実施の形態と同様であるので説明を省略する。

第１の実施の形態では、コンフィグファイル内のＩＰフィルタリングルールでは、ＩＰアドレスはサブネットアドレス、または全てのアドレス空間を指定する「ａｎｙ」として記述されるものとし、ＶＬＡＮ設定情報内のＩＰフィルタリングルールにおいても、ＩＰアドレスはサブネットアドレス、または全てのアドレス空間を指定する「ａｎｙ」として記述されるものとした。一方、第２の実施の形態では、コンフィグファイル内のＩＰフィルタリングルールでは、ＩＰアドレスはサブネットアドレスや全てのアドレス空間を指定する「ａｎｙ」だけでなく、単一のＩＰアドレスや、始点および終点を指定した複数のＩＰアドレスの集合（例えば「１２８．１．１．１−１２８．１．１．３」等）であってもよい。すなわち、ＩＰフィルタリングルールにおける送信元ＩＰアドレス、宛先ＩＰアドレスは、サブネットアドレスや「ａｎｙ」だけでなく、単一のＩＰアドレスや、始点および終点を指定した複数のＩＰアドレスの集合で記述されていてもよい。従って、コンフィグファイルから抽出されたＶＬＡＮ設定情報内のＩＰフィルタリングルールにおいても、ＩＰアドレスは、単一のＩＰアドレスや始点および終点を指定した複数のＩＰアドレスの集合で記述されていてもよい。

本発明の第２の実施の形態では、一次テーブル生成手段３１０は、ルーティングテーブル４１０、サブネットアドレステーブル４２０、機器接続テーブル４３０、接続ポートテーブル４４０、ＩＰフィルタリングテーブル４５０、ＶＬＡＮ間ルーティング可否表枠４６０、ポート毎のＶＬＡＮ接続可否表枠４７０、および機種テーブル４８０の作成に加えて、局所的ＩＰフィルタリングテーブル８１０とＭＡＣフィルタリングテーブル８２０の作成も行う。以下、局所的ＩＰフィルタリングテーブル８１０とＭＡＣフィルタリングテーブル８２０について詳細に説明する。

局所的ＩＰフィルタリングテーブル８１０は、各ネットワーク機器の接続ポートに設定される局所的なＩＰフィルタリングルールを示すテーブルである。ここで、局所的なＩＰフィルタリングルールとは、送信元ＩＰアドレスまたは宛先ＩＰアドレスにある特定のＩＰアドレスが指定される場合のルールを指す。具体的には、送信元ＩＰアドレスまたは宛先ＩＰアドレスにサブネットアドレスと「ａｎｙ」以外のＩＰアドレス（単一のＩＰアドレス、あるいは始点および終点を指定した複数のＩＰアドレスの集合）が指定されるＩＰフィルタリングルールである。

局所的ＩＰフィルタリングテーブル８１０とＩＰフィルタリングテーブル４５０との違いは、ＩＰフィルタリングテーブル４５０で示されるＩＰフィルタリングルールの送信元ＩＰアドレス及び宛先ＩＰアドレスがサブネットアドレスか、もしくは、全てのアドレス「ａｎｙ」であったのに対し、局所的ＩＰフィルタリングテーブル８１０で示されるルールは、送信元ＩＰアドレスまたは宛先ＩＰアドレスに単一のＩＰアドレスまたは始点および終点を指定した複数のＩＰアドレスの集合が指定されることである。

局所的ＩＰフィルタリングテーブル８１０は、分析対象となる各ネットワーク機器のＶＬＡＮ設定情報を使って作成され、各ネットワーク機器の接続ポートに設定される局所的ＩＰフィルタリングルール情報を持っている。局所的ＩＰフィルタリングテーブル８１０によって、例えば、特定のＩＰアドレスを持つ端末だけに通信を許可したり、もしくは通信拒否したりするといったような例外的な通信可否に基づくＶＬＡＮ通信範囲の特定をＶＬＡＮ通信範囲分析手段１４０に行わせることができる。その結果、より正確なＶＬＡＮ通信範囲の分析が可能となる。

例えば、図３９の局所的ＩＰフィルタリングテーブル８１０では、「機器名Ａの接続ポート１／１に対して、送信元ＩＰアドレスが１９２．１６８．１．１から宛先ＩＰアドレスが１９２．１６８．１．２へのアクセスを拒否する」というように、単一のＩＰアドレスが指定され、このＩＰアドレスに関するアクセスのみを拒否するという局所的なフィルタリングが設定されている。ここで、送信元ＩＰアドレスもしくは宛先ＩＰアドレスが、サブネットアドレスを指定した複数のＩＰアドレス群であってもよい。また、全アドレス空間を示す「ａｎｙ」であってもよい。さらに、送信元ＩＰアドレス及び宛先ＩＰアドレスは、例えば、「１２８．１．１．１−１２８．１．１．３」というように、始点と終点を指定して複数のＩＰアドレスを指定してもよい。さらに、１つの接続ポートに対して、複数の局所的ＩＰフィルタリングルールが設定されてもよい。

局所的ＩＰフィルタリングテーブルでは、機器名および接続ポートに対応付けて、そのネットワーク機器の接続ポートに設定されるフィルタリングルールが記述される。フィルタリングルールとして、送信元ＩＰアドレス、宛先ＩＰアドレス及びアクセスの可否が記述される。従って、局所的フィルタリングテーブル８１０のデータ構造は、ＩＰフィルタリングテーブル４５０のデータ構造と同様である。

一次テーブル生成手段３１０が、局所的ＩＰフィルタリングテーブル８１０を作成する動作は、ＩＰフィルタリングテーブル４５０を作成する動作（ステップＳ４１，Ｓ４２）と同様である。一次テーブル生成手段３１０は、ステップＳ４１で抽出したコマンドに記述されているＩＰフィルタリングルールにおいて、送信元ＩＰアドレスおよび宛先ＩＰアドレスの少なくともいずれか一方が、サブネットアドレスでも「ａｎｙ」でもなければ、機器名、接続ポート、送信元ＩＰアドレス、宛先ＩＰアドレス、およびアクセスの可否を局所的ＩＰフィルタリングテーブル８１０に記述すればよい。また、ステップＳ４１で抽出したコマンドに記述されているＩＰフィルタリングルールにおいて、送信元ＩＰアドレスおよび宛先ＩＰアドレスが両方とも、サブネットアドレスまたは「ａｎｙ」であるならば、機器名、接続ポート、送信元ＩＰアドレス、宛先ＩＰアドレス、およびアクセスの可否をＩＰフィルタリングテーブル４５０に記述すればよい。このように、局所的ＩＰフィルタリングテーブル８１０を作成する動作は、ＩＰフィルタリングテーブル４５０を作成する動作と同様である。

局所的ＩＰフィルタリングテーブル８１０は一次テーブルであり、一次テーブル生成手段３１０は、作成した局所的ＩＰフィルタリングテーブル８１０を一次テーブル記憶装置３２０に記憶させる。

また、局所的ＩＰフィルタリングテーブル８１０のデータ構造は、ＩＰフィルタリングテーブル４５０のデータ構造と同様であるので、局所的ＩＰフィルタリングテーブル８１０をＩＰフィルタリングテーブル４５０に含めてもよい。

ＭＡＣフィルタリングテーブル８２０は、各ネットワーク機器の接続ポートに設定されるＭＡＣフィルタリングルールを示すテーブルである。ここで、ＭＡＣフィルタリングとは、ＩＰフィルタリングと同様、あらかじめ決められたルールに従ってデータを通過または遮断する機能である。ＩＰフィルタリングが送信元ＩＰアドレス及び宛先ＩＰアドレスを指定するのに対し、ＭＡＣフィルタリングでは、送信元ＭＡＣアドレス及び宛先ＭＡＣアドレスを指定する。ＭＡＣフィルタリングテーブル８２０は、分析対象となる各ネットワーク機器のＶＬＡＮ設定情報を使って作成され、各ネットワーク機器の接続ポートに設定されるＭＡＣフィルタリングルール情報を持っている。ＭＡＣフィルタリングテーブル８２０によって、例えば、特定のＭＡＣアドレスを持つ端末だけに通信を許可したり、もしくは拒否したりするといったような例外的な通信可否に基づくＶＬＡＮ通信範囲の特定をＶＬＡＮ通信範囲分析手段１４０に行わせることができる。その結果、より正確なＶＬＡＮ通信範囲の分析が可能となる。

例えば、図３９のＭＡＣフィルタリングテーブル８２０では、「機器名Ａの接続ポート１／３に対して、送信元ＭＡＣアドレスが００：００：４ｃ：００：１１：００から宛先ＭＡＣアドレスがａｎｙへのアクセスを許可する」といったように、各ネットワーク機器の接続ポート毎に送信元ＭＡＣアドレス、宛先ＭＡＣアドレス及びアクセスが明記される。ここで、送信元ＭＡＣアドレス及び宛先ＭＡＣアドレスにおいて、全てのＭＡＣアドレスを指定する場合には、「ａｎｙ」という記述方法を用いてもよい。また、送信元ＭＡＣアドレス及び宛先ＭＡＣアドレスは、複数のＭＡＣアドレスを指定してもよい。また、１つの接続ポートに対して、複数のＭＡＣフィルタリングルールが設定されてもよい。

ＭＡＣフィルタリングテーブルでは、機器名および接続ポートに対応付けて、そのネットワーク機器の接続ポートに設定されるフィルタリングルールが記述される。ＭＡＣフィルタリングテーブルでは、フィルタリングルールとして、送信元ＭＡＣアドレス、宛先ＭＡＣアドレス及びアクセスの可否が記述される。

一次テーブル生成手段３１０がＭＡＣフィルタリングテーブルを作成する動作は、ＶＬＡＮ設定情報集合２１０から各ネットワーク機器の接続ポートに設定されるＭＡＣフィルタリングのコマンドを抽出する点以外は、ＩＰフィルタリングテーブル４５０を作成する動作と同様である。すなわち、一次テーブル生成手段３１０は、以下のようにＭＡＣフィルタリングテーブルを作成する。まず、一次テーブル生成手段３１０は、ＶＬＡＮ設定情報集合２１０から各ネットワーク機器の接続ポートに設定されるＭＡＣフィルタリングのコマンドを抽出する。例えば、このコマンドも、所定の文字列とともに所定の記述形式で記述されているので、一次テーブル生成手段３１０は、そのようなコマンドを抽出すればよい。例えば、図３に示す“set filter profile 2 permit dest-mac 00:11:22:33:44:55:66”等のようなＭＡＣフィルタリングルールを登録するコマンドを抽出する。

次に、一次テーブル生成手段３１０は、抽出したＭＡＣフィルタリングルールが設定される接続ポートをＶＬＡＮ設定情報集合２１０から抽出し、ＭＡＣフィルタリングテーブル８２０に記述する。例えば、図３に例示するコマンド“set filter out-port fe 5/1 20 2”における最後の「２」は、上記の“set filter profile 2 permit dest-mac 00:11:22:33:44:55:66”において、「permit」の直前に記述されたフィルタリングに関するコマンドの番号を示している。従って、この２つのコマンドが対応していて、“set filter out-port fe 5/1 20 2”というコマンドには、“set filter profile 2 permit dest-mac 00:11:22:33:44:55:66”に記述されたＭＡＣフィルタリングルールが設定される接続ポート（本例では５／１）が記述されている。一次テーブル生成手段３１０は、この接続ポートと、ＭＡＣフィルタリングルールとを対応させて、ＭＡＣフィルタリングテーブル８２０に記述する。一次テーブル生成手段３１０は、ＭＡＣフィルタリングルールを、送信元ＭＡＣアドレス、宛先ＭＡＣアドレス、アクセスの可否（許可または不許可）に分解して、ＭＡＣフィルタリングテーブル８２０に記述する。

次に本発明の第２の実施の形態の動作について詳細に説明する。本実施の形態では、上述のように、一次テーブル生成手段３１０が、局所的ＩＰフィルタリングテーブル８１０およびＭＡＣフィルタリングテーブル８２０を作成するが第１の実施の形態と異なる。この動作については既に説明したので省略する。

また、本実施の形態では、二次テーブル生成手段３３０が、接続ポートテーブル４４０、ＩＰフィルタリングテーブル４５０、ポート毎のＶＬＡＮ接続可否表枠４７０、局所的ＩＰフィルタリングテーブル８１０、ＭＡＣフィルタリングテーブル８２０等を参照して、ポート毎のＶＬＡＮ接続可否表５２０を生成する動作が第１の実施の形態と異なる。また、ＶＬＡＮ通信範囲分析手段１４０の動作が第１の実施の形態と異なる。ＶＬＡＮ間ルーティング可否表５１０の作成等の他の動作に関しては第１の実施の形態と同様であるので説明を省略する。

図４０は、本発明の第２の実施の形態における二次テーブル生成手段３３０がポート毎のＶＬＡＮ接続可否表５２０を作成する処理の例を示すフローチャートである。まず、二次テーブル生成手段３３０は、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶された接続ポートテーブル４４０を使って、ポート毎のＶＬＡＮ接続可否表枠４７０に対し、各ネットワーク機器の接続ポートに所属しないＶＬＡＮ−ＩＤについて通信不可を示す情報（例えば「×」）を記述する（ステップＣ１）。次に、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０に記憶された接続ポートテーブル４４０を参照して、接続状態が不可である各ネットワーク機器の接続ポートについて通信不可を示す情報（例えば「×」）を記述する（ステップＣ２）。ステップＣ２の後、二次テーブル生成手段３３０は、ステップＣ１，Ｃ２で通信不可を示す「×」を記述した項目以外の項目に、通信可を示す情報（例えば「○」）を記述する（ステップＣ３）。次に、二次テーブル生成手段３３０は、一次テーブル記憶装置３２０のＩＰフィルタリングテーブル４５０および局所的ＩＰフィルタリングテーブル８１０を参照して、各ネットワーク機器の接続ポートに設定されるＩＰフィルタリングルール（局所的なＩＰフィルタリングルールも含む。）があるか否かを確認する（ステップＣ４）。ステップＣ１〜Ｃ４の動作は、第１の実施の形態で説明したステップＣ１〜Ｃ４の動作と同様である。ただし、本実施の形態のステップＣ４では、二次テーブル生成手段３３０は、局所的ＩＰフィルタリングテーブル８１０を参照して、各ネットワーク機器の接続ポートに設定されるＩＰフィルタリングルールの有無だけでなく、局所的なＩＰフィルタリングルールの有無も確認する。

どのネットワーク機器の接続ポートにもＩＰフィルタリングルール（局所的なＩＰフィルタリングルールも含む。）が設定されていなければ（ステップＣ４のＮｏ）、ステップＥ２に移行する。

ネットワーク機器の接続ポートにＩＰフィルタリングルール（局所的なＩＰフィルタリングルールも含む。）が設定されていれば（ステップＣ４のＹｅｓ）、二次テーブル生成手段３３０は、その接続ポートに設定されたＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが一致するか否かを確認する（ステップＣ５）。ＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０における接続ポートの通信可否状態とが一致するとは、第１の実施の形態で説明した通りである。ただし、第２の実施の形態におけるステップＣ５では、ネットワーク機器の接続ポートに設定される局所的なＩＰフィルタリングルールが存在する場合には、そのＩＰフィルタリングルールのアクセス状態によらず、後述のステップＥ１に移行する。

接続ポートに設定されたＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが一致していれば（ステップＣ５のＹｅｓ）、ＩＰフィルタリングルールによるＶＬＡＮ通信の可否に影響はしないため、ステップＥ１の処理を行わずにステップＥ２に移行する。

接続ポートに設定されたＩＰフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが異なれば（ステップＣ５のＮｏ）、二次テーブル生成手段３３０は、二次テーブル生成手段３３０は、ポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートの通信可否を接続ポートに設定されたＩＰフィルタリングルールのアクセス状態に合わせて修正する（ステップＥ１）。この動作は、第１の実施の形態で説明したステップＣ６の動作と同様である。ただし、ステップＣ２において記述された通信不可（「×」）は、閉塞機能がオン状態になっていることに起因して記述されたものであるので、通信可（「○」）に修正しない。また、ステップＥ１では、ネットワーク機器の接続ポートに設定されるＩＰフィルタリングルールが局所的なＩＰフィルタリングルールである場合、二次テーブル生成手段３３０は、その接続ポートに対応する項目を、ある特定の端末のみに関して通信を許可または通信を拒否することを示す情報（「△」とする。）に修正する。ここでは、ある特定の端末のみに関して通信を許可または通信を拒否することを示す情報を「△」としたが、他の文字列で表してもよい。この「△」は、ＩＰフィルタリングルール及びＭＡＣフィルタリングルールよる例外的な通信の可否を表している。これによって、ネットワーク機器の接続ポートに対する例外的な通信の可否の判断をすることが可能となる。また、ステップＣ２において記述された通信不可（「×」）は、閉塞機能がオン状態になっていることに起因して記述されたものであるので、「△」に修正しない。

ステップＥ１の後、ステップＥ２に移行する。

ステップＥ２では、二次テーブル生成手段３３０は、ＭＡＣフィルタリングテーブル８２０を参照して、各ネットワーク機器の接続ポートに設定されるＭＡＣフィルタリングルールがあるか否かを確認する（ステップＥ２）。

ネットワーク機器の接続ポートにＭＡＣフィルタリングルールが設定されていれば（ステップＥ２のＹｅｓ）、二次テーブル生成手段３３０は、その接続ポートに設定されたＭＡＣフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０における接続ポートの通信可否状態とが一致するか否かを確認する（ステップＥ３）。ステップＥ３において、ＭＡＣフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０における接続ポートの通信可否状態とが一致するとは、ＭＡＣフィルタリングルールにおいてアクセスの許可が記述され、接続ポートの各ＶＬＡＮ−ＩＤに対応する項目に通信可を示す情報（「○」）が記述されていること、あるいは、ＭＡＣフィルタリングルールにおいてアクセスの拒否が記述され、接続ポートの各ＶＬＡＮ−ＩＤに対応する項目に通信不可を示す情報（「×」）が記述されていることを指す。

接続ポートに設定されたＭＡＣフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが一致していれば（ステップＥ３のＹｅｓ）、ＭＡＣフィルタリングルールによる通信の許可または拒否はポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートの通信可否に影響しないため、処理を終了する。

また、接続ポートに設定されたＭＡＣフィルタリングルールのアクセス状態と、ポート毎のＶＬＡＮ接続可否表枠４７０におけるその接続ポートの通信可否状態とが異なれば（ステップＥ３のＮｏ）、ステップＥ４に移行する。ステップＥ４では、二次テーブル生成手段３３０は、ＭＡＣフィルタリングルールにおける送信元ＭＡＣアドレスまたは宛先ＭＡＣアドレスが全てのＭＡＣアドレス空間を示す「ａｎｙ」である場合は、そのＭＡＣフィルタリングルールが設定される各ネットワーク機器の接続ポートの通信可否を、接続ポートに設定されたＭＡＣフィルタリングルールのアクセス状態に合わせて修正する（ステップＥ４）。すなわち、送信元および宛先が「ａｎｙ」であるＭＡＣフィルタリングルールにおいてアクセス拒否と記述されていて、ポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートにおいて通信可（「○」）と記述されているときには、二次テーブル生成手段３３０は、ポート毎のＶＬＡＮ接続可否表枠４７０に記述された通信可（「○」）を通信不可（「×」）に修正する。送信元および宛先が「ａｎｙ」であるＭＡＣフィルタリングルールにおいてアクセス許可と記述されていて、ポート毎のＶＬＡＮ接続可否表枠４７０の接続ポートにおいて通信不可（「×」）と記述されているときには、ポート毎のＶＬＡＮ接続可否表枠４７０に記述された通信不可（「×」）を通信可（「○」）に修正する。また、ステップＥ４では、ＭＡＣフィルタリングルールにおける送信元あるいは宛先のＭＡＣアドレスが「ａｎｙ」ではない特定のアドレスである場合には、二次テーブル生成手段３３０は、そのＭＡＣフィルタリングルールが設定された接続ポートに対応する項目を、ある特定の端末のみに関して通信を許可または通信を拒否することを示す情報（「△」とする。）に修正する。以上で、ポート毎のＶＬＡＮ接続可否表５２０が完成する。

また、どのネットワーク機器の接続ポートにもＭＡＣフィルタリングルールが設定されていなければ（ステップＥ２のＮｏ）、ＭＡＣフィルタリングルールによる各ネットワーク機器の接続ポートに対する通信可否に影響はないため、処理を終了する。

以上の処理によって、第２の実施の形態におけるポート毎のＶＬＡＮ接続可否表５２０が完成する。二次テーブル生成手段３３０は、完成したポート毎のＶＬＡＮ接続可否表５２０を二次テーブル記憶装置１３０に記憶させる。

図４１は、ステップＥ４の処理の具体例を示す説明図である。ステップＣ４に移行する前のポート毎のＶＬＡＮ接続可否表枠が、図４１の左上に例示する状態であったとする。また、図４１に例示するＭＡＣフィルタリングテーブルが作成されていたとする。この場合、機器Ａの接続ポート２／２および機器Ｂの接続ポート１／１にＭＡＣフィルタリングルールが設定されているので、ステップＥ２からステップＥ３に移行する。ポート毎のＶＬＡＮ接続可否表枠において、機器Ａの接続ポート２／２に対応する項目および機器Ｂの接続ポート１／１に対応する項目には、「○」と「×」が両方とも存在するので、ステップＥ４に移行する。図４１に例示するＭＡＣフィルタリングテーブルに記述されたＭＡＣフィルタリングルールは、いずれも送信元ＭＡＣアドレスが「ａｎｙ」ではない。よって、ステップＣ４において、二次テーブル生成手段３３０は、機器Ａの接続ポート２／２に対応する項目や、機器Ｂの接続ポート１／１に対応する項目を「△」に修正する。

図４２は、本発明の第２の実施の形態におけるＶＬＡＮ通信範囲分析手段１４０がＶＬＡＮの通信可能な範囲を分析する処理の例を示すフローチャートである。なお、以下の説明におけるポート毎のＶＬＡＮ接続可否表５２０は、局所的なＩＰフィルタリングルールとＭＡＣフィルタリングルールを考慮して作成されたものである。すなわち、以下の説明におけるポート毎のＶＬＡＮ接続可否表５２０は、図４０に示すフローチャートに従って作成されたものである。

まず、ＶＬＡＮ通信範囲分析手段１４０には、ユーザによって、例えばキーボード等の入力デバイス（図示せず。）を介して、分析対象となるネットワーク機器の機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤが入力される（ステップＤ１）。次に、ＶＬＡＮ通信範囲分析手段１４０は、分析対象となるネットワーク機器の機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤ（すなわち入力された機器名およびＶＬＡＮ−ＩＤ）と、二次テーブル記憶装置１３０に記憶されるＶＬＡＮ間ルーティング可否表５１０を使って、通信可能なＶＬＡＮを検査する（ステップＤ２）。ステップＤ１，Ｄ２の処理は、第１の実施の形態で説明したステップＤ１，Ｄ２（図３６参照。）と同様である。

ステップＤ２の後、ＶＬＡＮ通信範囲分析手段１４０は、ステップＤ２で得られた分析結果である通信可能なＶＬＡＮ−ＩＤ（ステップＤ１で入力された機器のＶＬＡＮ−ＩＤから通信可能なＶＬＡＮ−ＩＤ）と、二次テーブル記憶装置１３０に記憶されるポート毎のＶＬＡＮ接続可否表５２０を使って、分析対象となるネットワーク機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤの通信範囲となるネットワーク機器の接続ポートを検査する（ステップＦ１）。ＶＬＡＮ通信範囲分析手段１４０は、ポート毎の接続可否表を参照して、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目のうち、通信可を示す情報（「○」）または、ある特定の端末のみに関して通信を許可または通信を拒否することを示す情報（「△」）が記述された項目を特定する。そして、ＶＬＡＮ通信範囲分析手段１４０は、その項目に対応する機器名および接続ポートを、分析対象となるネットワーク機器名とそのネットワーク機器に設定されるＶＬＡＮ−ＩＤの通信範囲となる機器名および接続ポートとして検出する。このとき、１つのネットワーク機器の１つの接続ポートに所属するＶＬＡＮ−ＩＤのどれか１つでも通信可能であれば、そのネットワーク機器の接続ポートは通信可能であるとみなす。ただし、「△」に対応する接続ポートは、局所的なＩＰフィルタリングルールやＭＡＣフィルタリングルールによって、例外設定がなされている接続ポートである。

次に、ＶＬＡＮ通信範囲分析手段１４０は、二次テーブル記憶装置１３０のポート毎のＶＬＡＮ接続可否表５２０を使って、表内に局所的に通信可能もしくは通信不可の接続ポートがあるか否かを確認する（ステップＦ２）。すなわち、ＶＬＡＮ通信範囲分析手段１４０は、ポート毎のＶＬＡＮ接続可否表５２０において、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目のうち、「△」が記述された項目があるか否かを判定する。

ポート毎のＶＬＡＮ接続可否表５２０に局所的な通信可否がある場合（すなわち、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目のうち「△」が記述された項目がある場合。ステップＦ２のＹｅｓ）、ＶＬＡＮ通信範囲分析手段１４０は、その「△」を記述する起因となった局所的なＩＰフィルタリングルールまたはＭＡＣフィルタリングルールを特定する（ステップＦ３）。すなわち、ステップＥ１，Ｅ４で「△」を記述する起因となったＩＰフィルタリングルールやＭＡＣフィルタリングルールを特定する。

ステップＦ３の後、または、ポート毎のＶＬＡＮ接続可否表５２０に局所的な通信可否がない場合（すなわち、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目のうち「△」が記述された項目がない場合。ステップＦ２のＮｏ）、ステップＦ４に移行する。

ステップＦ４では、ＶＬＡＮ通信範囲分析手段１４０は、ステップＦ１で得られた通信可能な接続ポートを出力結果として、出力手段２４０に出力する。このとき、ステップＦ３からステップＦ４に移行した場合には、「△」が記述された項目に対応する接続ポートとともに、その「△」の記述の起因となったフィルタリングルールを、出力手段２４０に出力する。

出力手段２４０は、ＶＬＡＮ通信範囲分析手段１４０の分析結果を、例えば、ディスプレイ装置を使って出力する。例えば図３８に例示する画面を表示すればよい。第１の実施の形態の出力手段２４０によって出力される出力結果に加えて、局所的な通信の可否を出力する。局所的な通信の可否の出力は、例えば、機器Ａの１／１が通信可能な接続ポートであった場合に、この結果に加えて、「機器名Ａの接続ポート１／１は、通信を許可する。ただし、送信元ＩＰアドレスが１９２．１６８．１．１で宛先ＩＰアドレスが１９２．１６８．１．２のアクセスは、例外的に通信を拒否する」といったように、ユーザが理解しやすいような文章として出力してもよいし、局所的ＩＰフィルタリングルールテーブル８１０の当該ルールや、ＭＡＣフィルタリングテーブルのＭＡＣフィルタリングルールをそのまま出力してもよい。また、分析結果の出力形式は、分析結果を本発明のシステム上に実装されるアプリケーション内に表示してもよいし、分析結果をファイルとして出力してもよい。

図４３は、ＶＬＡＮ通信範囲分析手段１４０による処理経過の例を示す説明図である。ＶＬＡＮ通信範囲特定システムが備える二次テーブル記憶装置に、図４３に例示するＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表が記憶されているものとする。また、ステップＤ１で、ＶＬＡＮ通信範囲特定システムに分析対象となるネットワーク機器の機器名およびＶＬＡＮ−ＩＤとして、「機器Ａ、ＶＬＡＮ−ＩＤ１００」が入力されたとする。すると、ＶＬＡＮ通信範囲分析手段１４０は、機器ＡのＶＬＡＮ−ＩＤ１００を送信元として、送信元機器ＡのＶＬＡＮ−ＩＤ１００から通信可能であることを示す「○」が記述されている宛先の機器名およびＶＬＡＮ−ＩＤを、ＶＬＡＮ間ルーティング可否表から検出する（ステップＤ２）。図４３に例示する場合では、機器ＡのＶＬＡＮ−ＩＤ１００、機器ＡのＶＬＡＮ−ＩＤ２００、機器ＢのＶＬＡＮ−ＩＤ１００を検出する。次に、ＶＬＡＮ通信範囲分析手段１４０は、ポート毎の接続可否表を参照して、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目のうち、「○」または「△」が記述された項目を特定する。図４３に例示するポート毎のＶＬＡＮ接続可否表では、斜線で示した項目以外の項目が、ステップＤ２で得られた機器名およびＶＬＡＮ−ＩＤに対応付けられた項目に該当する。ＶＬＡＮ通信範囲分析手段１４０は、この斜線で示した項目以外の項目のうち、「○」または「△」が記述された項目を特定し、その項目に対応する機器名および接続ポートを分析対象の通信範囲の接続ポートとして検出する（ステップＦ１）。「△」に対応する接続ポートは、局所的なＩＰフィルタリングルールやＭＡＣフィルタリングルールによって、例外設定がなされている接続ポートである。また、ステップＦ１では、１つのネットワーク機器の１つの接続ポートに所属するＶＬＡＮ−ＩＤのどれか１つでも通信可能であれば、そのネットワーク機器の接続ポートは通信可能であるとみなす。その結果、ＶＬＡＮ通信範囲分析手段１４０は、機器Ａの１／１、機器Ａの２／２、機器Ｂの１／１を検出する。さらに、ＶＬＡＮ通信範囲分析手段１４０は、局所的に例外設定がなされている通信範囲として、機器Ａの１／２を検出する。

ステップＦ２では、機器Ａの１／２に対応する項目に「△」が記述されているので、ステップＦ２からステップＦ４に移行する。そして、その「△」の記述の起因となったフィルタリングルールを特定する。次の、次のステップＤ４で、ＶＬＡＮ通信範囲分析手段１４０は、検出した各接続ポートを出力手段２４０に出力する。「△」の記述に対応していない接続ポートは、図３７で説明した場合と同様に出力すればよい。また、「△」の記述に対応している機器Ａの１／２に関しては、例えば、「Ａ／１／２は、送信元ＩＰが２０．２０．２０．２０で、宛先ＩＰが１０．１０．１０．１０のアクセスを拒否する。」等の設定（フィルタリングルール）とともに出力する。

次に、本発明の第２の実施の形態の効果について説明する。本発明の第２の実施の形態によれば、ネットワークのＶＬＡＮ設定管理において、ＶＬＡＮの通信範囲の局所的、例外的に通信を許可もしくは拒否する内容が確認できることで、より正確なＶＬＡＮの通信範囲を確認することができる。その理由は、局所的ＩＰフィルタリングテーブル８１０とＭＡＣフィルタリングテーブル８２０を使った局所的なＶＬＡＮ通信可否を検査できるポート毎のＶＬＡＮ接続可否表５２０を使って、各ネットワーク機器の接続ポートが通信可能なＶＬＡＮを検査することで、任意のネットワーク機器のＶＬＡＮに対する局所的な通信可能な範囲を特定できるからである。

実施の形態３．
図４４は、本発明の第３の実施の形態の構成例を示すブロック図である。第１の実施の形態と同様の構成要素については、図１と同一の符号を付して説明を省略する。第３の実施の形態によるＶＬＡＮ通信範囲特定システム１００は、第１の実施の形態におけるＶＬＡＮ通信範囲分析手段１４０の代わりに、接続ポート通信範囲分析手段９１０を備える。他の構成要素については第１の実施の形態と同様である。

接続ポート通信範囲分析手段９１０は、例えば、プログラムに従って動作するＣＰＵによって実現される。一次テーブル生成手段３１０、二次テーブル生成手段３３０、および接続ポート通信範囲分析手段９１０が同一のＣＰＵによって実現されていてもよい。

接続ポート通信範囲分析手段９１０は、二次テーブル記憶装置１３０に記憶されるＶＬＡＮ間ルーティング可否表５１０と、ポート毎のＶＬＡＮ接続可否表５２０を使って、指定されたネットワーク機器の接続ポートとＶＬＡＮ通信が可能なネットワーク機器の接続ポートを検査し、検査結果を出力手段２４０に出力する。

第１の実施の形態におけるＶＬＡＮ通信範囲分析手段１４０は、ネットワーク機器の特定のＶＬＡＮ−ＩＤを指定され、そのＶＬＡＮの通信範囲を検査する。それに対して、第３の実施の形態における接続ポート通信範囲分析手段９１０は、ネットワーク機器の特定の接続ポートを指定され、その接続ポートが通信できるネットワーク機器の接続ポートを検査する。接続ポート通信範囲分析手段９１０は、指定された接続ポートと通信できるネットワーク機器の接続ポートの検査結果を出力手段２４０に出力する。

次に、第３の実施の形態の動作について説明する。
一次テーブル生成手段３１０は、第１の実施の形態と同様に各一次テーブルを作成し、各一次テーブルを一次テーブル記憶手段３２０に記憶させる。二次テーブル生成手段３３０は、第１の実施の形態と同様に各二次テーブル（ＶＬＡＮ間ルーティング可否表５１０、ポート毎のＶＬＡＮ接続可否表５２０）を作成し、二次テーブル記憶手段１３０に記憶させる。

接続ポート通信範囲分析手段９１０の動作について詳細に説明する。図４５は、第３の実施の形態における接続ポート通信範囲分析手段９１０がＶＬＡＮの通信可能な接続ポートを分析する処理の例を示すフローチャートである。まず、接続ポート通信範囲分析手段９１０には、ユーザによって、例えばキーボード等の入力デバイス（図示せず。）を介して、ネットワーク機器名と接続ポートを示す情報が入力される（ステップＧ１）。すなわち、ステップＧ１では、ユーザによって機器名および接続ポートが指定される。ステップＧ１では、接続ポート通信範囲分析手段９１０に、例えば機器名として「Ｂ」、接続ポートを示す情報として「１／１」が入力される。この例の場合、機器名「Ｂ」の接続ポート「１／１」が指定されたことになる。

次に、接続ポート通信範囲分析手段９１０は、二次テーブル記憶装置１３０に記憶されるポート毎のＶＬＡＮ接続可否表５２０を使って、ステップＧ１で指定されたネットワーク機器の接続ポート（入力された機器名および接続ポートの情報が示す接続ポート）が通信可能なＶＬＡＮ−ＩＤを検査する（ステップＧ２）。ステップＧ２では、接続ポート通信範囲分析手段９１０は、ポート毎のＶＬＡＮ接続可否表５２０を参照して、入力された機器名および接続ポートの情報が示す接続ポートに対応する項目のうち、通信可（「○」）となっている項目を検出し、その項目に対応するＶＬＡＮ−ＩＤを検出する。

続いて、接続ポート通信範囲分析手段９１０は、ステップＧ２のＶＬＡＮ−ＩＤの検出結果から、指定されたネットワーク機器の接続ポートが１つ以上のＶＬＡＮ−ＩＤで通信可能か否かを判定する（ステップＧ３）。すなわち、接続ポート通信範囲分析手段９１０は、ステップＧ２で検出したＶＬＡＮ−ＩＤが１つ以上あったか否かを判定する。ステップＧ２で１つ以上のＶＬＡＮ−ＩＤを検出していれば、指定されたネットワーク機器の接続ポートが１つ以上のＶＬＡＮ−ＩＤで通信可能であることになる。また、ステップＧ２でＶＬＡＮ−ＩＤが１つも検出されなければ、指定されたネットワーク機器の接続ポートが通信可能なＶＬＡＮ−ＩＤが存在しないことになる。

ステップＧ１でユーザに指定されたネットワーク機器の接続ポートが通信可能なＶＬＡＮ−ＩＤが存在しない場合（ステップＧ３のＮｏ）、接続ポート通信範囲分析手段９１０は、指定された接続ポートが他のネットワーク機器のどの接続ポートとも通信不可であるため、接続ポート通信範囲分析手段９１０は、指定されたネットワーク機器の接続ポートがどのＶＬＡＮとも通信不能であることを出力し（ステップＧ４）、処理を終了する。例えば、出力手段２４０がディスプレイ装置である場合、接続ポート通信範囲分析手段９１０は、指定されたネットワーク機器の接続ポートがどのＶＬＡＮとも通信不能であることを出力手段２４０に表示させる。また、例えば、出力手段２４０がディスプレイ装置を備えたコンピュータである場合、接続ポート通信範囲分析手段９１０は、指定されたネットワーク機器の接続ポートがどのＶＬＡＮとも通信不能である旨をそのコンピュータに送信し、そのコンピュータは受信した情報をディスプレイ装置に表示させる。

ステップＧ１でユーザに指定されたネットワーク機器の接続ポートが１つ以上のＶＬＡＮ−ＩＤで通信可能であれば（ステップＧ３のＹｅｓ）、接続ポート通信範囲分析手段９１０は、二次テーブル記憶装置１３０に記憶されるＶＬＡＮ間ルーティング可否表５１０を使って、ユーザに指定されたネットワーク機器の接続ポートが通信可能なＶＬＡＮ−ＩＤが他のネットワーク機器のどのＶＬＡＮと通信可能であるかを確認する（ステップＧ５）。具体的には、接続ポート通信範囲分析手段９１０は、ステップＧ１で入力された機器名を送信元機器名としステップＧ２で検出したＶＬＡＮ−ＩＤを送信元のＶＬＡＮ−ＩＤとして、ＶＬＡＮ間ルーティング可否表５１０を参照し、送信元のＶＬＡＮ−ＩＤから通信可能であることを示す情報（「○」）が記述されている宛先の機器名およびＶＬＡＮ−ＩＤを検出する。

ステップＧ５の後、接続ポート通信範囲分析手段９１０は、ポート毎のＶＬＡＮ接続可否表５２０の各項目のうち、ステップＧ５で検出した機器名およびＶＬＡＮ−ＩＤに対応する項目を参照し、通信可（「○」）が記述された項目に対応する機器名および接続ポートをポート毎のＶＬＡＮ接続可否表５２０から抽出する（ステップＧ６）。その機器名が示すネットワーク機器の接続ポート（ステップＧ６で抽出されたネットワーク機器の接続ポート）が、ステップＧ１で指定されたネットワーク機器の接続ポートの通信可能な範囲となる。

続いて、接続ポート通信範囲分析手段９１０は、その機器名および接続ポートを出力手段２４０に出力する（ステップＧ７）。例えば、出力手段２４０がディスプレイ装置である場合、接続ポート通信範囲分析手段９１０は、ステップＧ６で抽出した機器名および接続ポートを出力手段２４０に表示させる。また、例えば、出力手段２４０がディスプレイ装置を備えたコンピュータである場合、接続ポート通信範囲分析手段９１０は、ステップＧ６で抽出した機器名および接続ポートをそのコンピュータに送信し、そのコンピュータは、受信した機器名および接続ポートをディスプレイ装置に表示させる。

図４６は、第３の実施の形態における接続ポート通信範囲分析手段９１０の処理経過の例を示す説明図である。ＶＬＡＮ通信範囲特定システムが備える二次テーブル記憶装置に、図４６に例示するＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表が記憶されているものとする。また、ステップＧ１において、機器名として「Ｂ」が入力され、接続ポートを示す情報として「１／２」が入力されたとする。すなわち、機器Ｂの接続ポート１／２が指定されたとする。

次のステップＧ２では、接続ポート通信範囲分析手段９１０は、ポート毎のＶＬＡＮ接続可否表５２０を参照して、入力された機器名「Ｂ」および接続ポート「１／２」に対応する項目のうち、通信可（「○」）が記述された項目を検出し、その項目に対応するＶＬＡＮ−ＩＤを検出する。本例では、「Ｂ：１／２」に対応する項目で「○」が記述された項目のＶＬＡＮ−ＩＤは２００であるので、「Ｂ：１／２」が通信可能なＶＬＡＮ−ＩＤとして「２００」を検出する。

このステップＧ２の処理でＶＬＡＮ−ＩＤが検出されなければ（ステップＧ３のＮｏ）、ステップＧ４に移行して、指定された接続ポート（機器Ｂの接続ポート１／２）が他のネットワーク機器のどの接続ポートとも通信不可である旨を出力する。本例では、ステップＧ２でＶＬＡＮ−ＩＤ２００が検出されているので（ステップＧ３のＹｅｓ）、ステップＧ５に移行する。ステップＧ５では、接続ポート通信範囲分析手段９１０は、ＶＬＡＮ間ルーティング可否表５１０を使って、ユーザに指定されたネットワーク機器の接続ポートが通信可能なＶＬＡＮ−ＩＤが他のネットワーク機器のどのＶＬＡＮと通信可能であるかを確認する。本例では、機器Ｂの接続ポート１／２のＶＬＡＮ−ＩＤ２００が通信可能なネットワーク機器のＶＬＡＮ−ＩＤを検出する。すなわち、機器ＢのＶＬＡＮ−ＩＤ２００を送信元のＶＬＡＮ−ＩＤとして、ＶＬＡＮ間ルーティング可否表５１０を参照し、送信元（機器ＢのＶＬＡＮ−ＩＤ２００）から通信可能であることを示す「○」が記述されている宛先の機器名およびＶＬＡＮ−ＩＤを検出する。図４６に示す例では、「機器ＡのＶＬＡＮ−ＩＤ２００」と「機器ＢのＶＬＡＮ−ＩＤ２００」とを検出する。

次のステップＧ６で、接続ポート通信範囲分析手段９１０は、ポート毎のＶＬＡＮ接続可否表５２０の各項目のうち、ステップＧ５で検出した機器名およびポート毎のＶＬＡＮ接続可否表５２０の各項目のうち、ステップＧ５で検出した機器名およびＶＬＡＮ−ＩＤに対応する項目を参照し、通信可（「○」）が記述された項目に対応する機器名および接続ポートをポート毎のＶＬＡＮ接続可否表５２０から抽出する。本例では、ステップＧ５において、「機器ＡのＶＬＡＮ−ＩＤ２００」および「機器ＢのＶＬＡＮ−ＩＤ２００」が検出されているので、図４６の右側に示すポート毎のＶＬＡＮ接続可否表の太線で示す項目のうち「○」が記述された項目に対応する機器名および接続ポートを抽出する。本例では、「機器Ａの１／１」、「機器Ａの１／３」、「機器Ａの２／２」、「機器Ｂの１／１」、および「機器Ｂの１／２」が検出される。接続ポート通信範囲分析手段９１０は、これらの接続ポートを、指定された「Ｂ：１／２」の通信範囲として出力する。

次に、本発明の第３の実施の形態の効果について説明する。本発明の第３の実施の形態によれば、ネットワークのＶＬＡＮ設定管理において、ネットワーク機器の特定の接続ポートに対する通信可能な接続ポートの通信の可否を容易に確認することができる。その理由は、接続ポート通信範囲分析手段９１０によって、ユーザが調べたいネットワーク機器の接続ポートが通信可能な接続ポートを検査することで、任意のネットワーク機器の接続ポートに対する通信可能な全ての接続ポートを特定できるからである。

また、本実施の形態では、ネットワーク機器の接続ポートを指定して、その機器の接続ポートが通信可能な範囲を特定するので、個別の機器の接続ポートが他の機器の接続ポートと通信可能か否かを確認することができる。例えば、ある端末がファイルサーバ等の共用サーバと通信できないときに、その端末の接続ポートを指定して通信範囲を調べ、その通信範囲にファイルサーバが含まれていれば、コンフィグファイルのコマンド設定には問題がなく、ＬＡＮケーブルが抜けている等の別の原因（コンフィグファイル以外の原因）により通信ができなくなっているということを確認できる。また、本例において、通信範囲にファイルサーバが含まれていなければ、コンフィグファイルのコマンド設定が原因で端末がファイルサーバと通信できないということが分かる。

第１の実施の形態や第２の実施の形態では、ネットワーク機器のＶＬＡＮ−ＩＤを指定して、ＶＬＡＮ−ＩＤが通信可能な範囲を特定する。この第１の実施の形態は、個別の機器の接続ポートの通信範囲を調べるのではなく、そのＶＬＡＮ−ＩＤが割り当てられたＶＬＡＮ（例えば技術部、営業部などの各部門のＶＬＡＮに接続された機器）が通信可能な範囲を調べることができる。この場合、個々の機器の接続ポート毎に通信範囲を調べなくて済む。

第３の実施の形態は、個々の機器の接続ポートに着目して、その接続ポートの通信範囲を調べる場合に適している。

実施の形態４．
図４７は、本発明の第４の実施の形態の構成例を示すブロック図である。第１の実施の形態と同様の構成要素については、図１と同一の符号を付して説明を省略する。第４の実施の形態によるＶＬＡＮ通信範囲特定システム１００は、第１の実施の形態におけるＶＬＡＮ通信範囲分析手段１４０の代わりに、二点間通信分析手段１０１０を備える。他の構成要素については第１の実施の形態と同様である。

二点間通信分析手段１０１０は、例えば、プログラムに従って動作するＣＰＵによって実現される。一次テーブル生成手段３１０、二次テーブル生成手段３３０、および二点間通信分析手段１０１０が同一のＣＰＵによって実現されていてもよい。

二点間通信分析手段１０１０は、二次テーブル記憶装置１３０に記憶されるＶＬＡＮ間ルーティング可否表５１０と、ポート毎のＶＬＡＮ接続可否表５２０を使って、特定のネットワーク機器の接続ポートと特定のネットワーク機器の接続ポートが通信可能か否かを限定的に検査し、検査結果を出力手段２４０に出力する。

第１の実施の形態におけるＶＬＡＮ通信範囲分析手段１４０は、ネットワーク機器の特定のＶＬＡＮ−ＩＤを指定され、そのＶＬＡＮの通信範囲を検査する。それに対して、第４の実施の形態における二点間通信分析手段１０１０は、始点及び終点となるネットワーク機器の特定の接続ポートを指定され、その接続ポート間が通信可能か否かを限定的に検査する。

次に、第４の実施の形態の動作について説明する。
一次テーブル生成手段３１０は、第１の実施の形態と同様に各一次テーブルを作成し、各一次テーブルを一次テーブル記憶手段３２０に記憶させる。二次テーブル生成手段３３０は、第１の実施の形態と同様に各二次テーブル（ＶＬＡＮ間ルーティング可否表５１０、ポート毎のＶＬＡＮ接続可否表５２０）を作成し、二次テーブル記憶手段１３０に記憶させる。

二点間通信分析手段１０１０の動作について詳細に説明する。図４８は、第４の実施の形態における二点間通信分析手段１０１０が２つのネットワーク機器の接続ポート間で通信可能か否かを分析する処理の例を示すフローチャートである。まず、二点間通信分析手段１０１０には、ユーザによって、例えばキーボード等の入力デバイス（図示せず。）を介して、始点（送信元）となるネットワーク機器とそのネットワーク機器の接続ポートを示す情報、および終点（宛先）となるネットワーク機器とそのネットワーク機器の接続ポートを示す情報が入力される（ステップＨ１）。すなわち、ステップＨ１では、ユーザによって、送信元となる機器名および接続ポートと、宛先となる機器名および接続ポートとが指定される。ネットワーク機器を示す情報は、「１／１」等のようなスロット番号と接続ポート番号とを組み合わせた情報である。

次に、二点間通信分析手段１０１０は、二次テーブル記憶装置１３０に記憶されるＶＬＡＮ間ルーティング可否表５１０を使って、ユーザが指定した２つのネットワーク機器名と接続ポートが所属するネットワーク機器において通信可能なＶＬＡＮ−ＩＤを検査する（ステップＨ２）。ステップＨ２では、二点間通信分析手段１０１０は、ステップＨ１で入力（指定）された送信元の機器名および宛先の機器名に対応するＶＬＡＮ間ルーティング可否表の項目の中から、通信可（「○」）が記述された項目を検出する。そして、二点間通信分析手段１０１０は、その項目に対応する送信元のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとを抽出する。

続いて、二点間通信分析手段１０１０は、ステップＨ２での送信元のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤの検出結果から、指定された２つのネットワーク機器名と接続ポートが所属するネットワーク機器において、１つ以上のＶＬＡＮ−ＩＤで通信可能か否かを確認する（ステップＨ３）。すなわち、二点間通信分析手段１０１０は、ステップＨ２で、通信可（「○」）が記述された項目に対応するＶＬＡＮ−ＩＤと宛先ＶＬＡＮ−ＩＤのとの組が１つ以上存在したか否かを判定する。ステップＨ２で、通信可（「○」）が記述された項目に対応するＶＬＡＮ−ＩＤと宛先ＶＬＡＮ−ＩＤのとの組が１つ以上検出していれば、指定された送信元の機器と宛先の機器において、１つ以上のＶＬＡＮ−ＩＤで通信可能であることになる。また、ステップＨ２で、通信可（「○」）が記述された項目に対応するＶＬＡＮ−ＩＤと宛先ＶＬＡＮ−ＩＤのとの組が１つも検出していなければ、指定された送信元の機器と宛先の機器において、通信可能なＶＬＡＮ−ＩＤは存在しないことになる。

指定された２つのネットワーク機器名と接続ポートが所属するネットワーク機器において、１つ以上のＶＬＡＮ−ＩＤで通信可能でないならば、すなわち、指定された送信元の機器と宛先の機器において通信可能なＶＬＡＮ−ＩＤが存在しないならば（ステップＨ３のＮｏ）、二点間通信分析手段１０１０は、指定された２つのネットワーク機器の接続ポート同士は通信ができないため、通信不能であることを出力し（ステップＨ４）、処理を終了する。例えば、出力手段２４０がディスプレイ装置である場合、二点間通信分析手段１０１０は、ステップＨ１で指定された２つのネットワーク機器の接続ポート同士は通信不能であることを出力手段２４０に表示させる。また、例えば、出力手段２４０がディスプレイ装置を備えたコンピュータである場合、二点間通信分析手段１０１０は、ステップＨ１で指定された２つのネットワーク機器の接続ポート同士は通信不能である旨をそのコンピュータに送信し、そのコンピュータは受信した情報をディスプレイ装置に表示させる。

指定された２つのネットワーク機器名と接続ポートが所属するネットワーク機器において、１つ以上のＶＬＡＮ−ＩＤで通信可能であれば、すなわち、指定された送信元の機器と宛先の機器において１つ以上のＶＬＡＮ−ＩＤで通信可能であれば（ステップＨ３のＹｅｓ）、二点間通信分析手段１０１０は、二次テーブル記憶装置１３０に記憶されるポート毎のＶＬＡＮ接続可否表５２０を使って、ユーザが指定した２つのネットワーク機器の接続ポートが通信可能か否かを確認する（ステップＨ５）。具体的には、二点間通信分析手段１０１０は、ポート毎のＶＬＡＮ接続可否表を参照して、ステップＨ２で抽出された送信元のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤの組毎に、ステップＨ１で指定された送信元の機器名と接続ポートおよびステップＨ２で抽出された送信元のＶＬＡＮ−ＩＤに対応する項目と、ステップＨ１で指定された宛先の機器名と接続ポートおよびステップＨ２で抽出された宛先のＶＬＡＮ−ＩＤに対応する項目との双方で、通信可（「○」）が記述されているか否かを判定する。そして、二点間通信分析手段１０１０は、いずれの項目でも通信可（「○」）が記述されていれば、ユーザが指定した２つのネットワーク機器の接続ポートが通信可能であると判定する。また、少なくともいずれかの項目で通信不可（「×」）が記述されていれば、ユーザが指定した２つのネットワーク機器の接続ポートが通信不能であると判定する。

次に、二点間通信分析手段１０１０は、ユーザに指定された２つのネットワーク機器の接続ポートの通信の可否を出力する（ステップＨ６）。このとき、二点間通信分析手段１０１０は、どのＶＬＡＮ−ＩＤで通信可能であるのかも出力してもよい。例えば、出力手段２４０がディスプレイ装置である場合、二点間通信分析手段１０１０は、ユーザに指定された２つのネットワーク機器の接続ポートの通信の可否を出力手段２４０に表示させる。また、例えば、出力手段２４０がディスプレイ装置を備えたコンピュータである場合、二点間通信分析手段１０１０は、通信の可否をそのコンピュータに送信し、そのコンピュータは、通信の可否をディスプレイ装置に表示させる。

図４９は、第４の実施の形態における二点間通信分析手段１０１０の処理経過の具体例を示す説明図である。ＶＬＡＮ通信範囲特定システムが備える二次テーブル記憶装置に図４９に例示するＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表が記憶されているものとする。また、ステップＨ１において、送信元の機器名として「Ａ」が入力され、送信元の接続ポートを示す情報として「１／１」が入力されたとする。さらに、宛先の機器名として「Ｂ」が入力され、宛先の接続ポートを示す情報として「１／２」が入力されたとする。すなわち、送信元として機器Ａの接続ポート１／１が指定され、宛先として機器Ｂの接続ポート１／２が指定されたとする。

次のステップＨ２では、二点間通信分析手段１０１０は、送信元の機器名Ａおよび宛先の機器名Ｂに対応するＶＬＡＮ間ルーティング可否表の項目の中から、通信可（「○」）が記述された項目を検出する。図４９に例示するＶＬＡＮ間ルーティング可否表では、点線で囲った項目が検出されることになる。二点間通信分析手段１０１０は、この項目に対応する送信元のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとを抽出する。本例では、送信元のＶＬＡＮ−ＩＤ１００と宛先のＶＬＡＮ−ＩＤ１００、および送信元のＶＬＡＮ−ＩＤ２００と宛先のＶＬＡＮ−ＩＤ２００とが抽出される。

このステップＨ２の処理で送信元のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが抽出されなければ、ステップＨ４に移行して、指定された２つの機器の接続ポートは通信不可であることを検査結果として出力する。本例では、送信元のＶＬＡＮ−ＩＤ１００と宛先のＶＬＡＮ−ＩＤ１００、および送信元のＶＬＡＮ−ＩＤ２００と宛先のＶＬＡＮ−ＩＤ２００とが抽出されるので、ステップＨ５に移行する。

ステップＨ５では、二点間通信分析手段１０１０は、ポート毎のＶＬＡＮ接続可否表を参照して、抽出された送信元のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤの組毎に、指定された送信元の機器名と接続ポートおよびステップＨ２で抽出された送信元のＶＬＡＮ−ＩＤに対応する項目と、指定された宛先の機器名と接続ポートおよびステップＨ２で抽出された宛先のＶＬＡＮ−ＩＤに対応する項目との双方で、通信可（「○」）が記述されているか否かを判定する。送信元のＶＬＡＮ−ＩＤ１００と宛先のＶＬＡＮ−ＩＤ１００の組に関しては、指定された宛先の「Ｂ：１／２」およびＶＬＡＮ−１００に対応して通信不可（「×」）と記述されているので、通信不可と判定する。送信元のＶＬＡＮ−ＩＤ２００と宛先のＶＬＡＮ−ＩＤ２００の組に関しては、指定された「Ａ：１／１」およびＶＬＡＮ−ＩＤ２００に対応する項目、および指定された「Ｂ：１／２」およびＶＬＡＮ−ＩＤ２００に対応する項目にいずれも通信可（「○」）が記述されているので、通信可能と判定する。したがって、ステップＨ６において、機器Ａの１／１から機器Ｂの１／２へは同一ＶＬＡＮ−ＩＤ２００で通信可能と出力する。

次に、本発明の第４の実施の形態の効果について説明する。本発明の第４の実施の形態によれば、ネットワークのＶＬＡＮ設定管理において、任意のネットワーク機器の送信元接続ポートから宛先接続ポートまでの通信の可否を限定して容易に確認することができる。その理由は、二点間通信分析手段１０１０によって、ユーザが調べたい２つのネットワーク機器の接続ポートをそれぞれ始点及び終点として、この２つの接続ポート同士が通信可能か否かを検査することで、任意の２つのネットワーク機器の接続ポート間の通信可否を容易に特定できるからである。

第３の実施の形態および第４の実施の形態において、一次テーブル生成手段３１０および二次テーブル生成手段３３０は、第２の実施の形態と同様に動作して、第２の実施の形態で示したように、ポート毎のＶＬＡＮ接続可否表を作成してもよい。

本発明は、社内の通信ネットワークや、キャリア等の大規模ネットワーク等の通信ネットワークにおいて、通信範囲を特定するＶＬＡＮ通信範囲特定システムに好適に適用される。

本発明の第１の実施の形態の構成例を示すブロック図である。 ネットワーク構成情報集合の例を示す説明図である。 コンフィグファイルの例を示す説明図である。 コンフィグファイルの例を示す説明図である。 ルーティングテーブルの例を示す説明図である。 ルーティングテーブルを作成する処理を示すフローチャートである。 サブネットアドレステーブルの例を示す説明図である。 サブネットアドレステーブルを作成する処理を示すフローチャートである。 機器接続テーブルの例を示す説明図である。 機器接続テーブルを作成する処理の例を示すフローチャートである。 接続機器間の接続経路を特定するまでの動作を示すフローチャートである。 論理積の計算例を示す説明図である。 接続ポートテーブルの例を示す説明図である。 接続ポートテーブルを作成する処理を示すフローチャートである。 ＩＰフィルタリングテーブルの例を示す説明図である。 ＩＰフィルタリングテーブルを作成する処理を示すフローチャートである。 ＶＬＡＮ間ルーティング可否表枠の例を示す説明図である。 ポート毎のＶＬＡＮ接続可否表枠の例を示す説明図である。 機種テーブルの例を示す説明図である。 二次テーブル生成手段が作成する二次テーブルの例を示す説明図である。 ＶＬＡＮ間ルーティング可否表を作成する処理の例を示すフローチャートである。 ＶＬＡＮ間ルーティング可否表を作成する処理の例を示すフローチャートである。 ＶＬＡＮ間ルーティング可否表を作成する処理の例を示すフローチャートである。 ステップＢ４における通信可否を示す情報の記述例を示す説明図である。 ステップＸ５の処理の具体例を示す説明図である。 ステップＸ４の動作の例を示す説明図である。 異なるＶＬＡＮ間での通信を示す説明図である。 ステップＸ６の処理の例を示す説明図である。 ステップＹ４’の処理の例を示す説明図である。 ステップＹ６の処理の例を示す説明図である。 ステップＹ８の処理の例を示す説明図である。 ステップＹ９の処理の例を示す説明図である。 ポート毎のＶＬＡＮ接続可否表を作成する処理の例を示すフローチャートである。 ステップＣ１，Ｃ２の処理の例を示す説明図である。 ステップＣ５，Ｃ６の処理の例を示す説明図である。 ＶＬＡＮの通信可能な範囲を分析する処理の例を示すフローチャートである。 ＶＬＡＮ通信範囲分析手段による処理の処理経過の例を示す説明図である。 分析結果を出力手段が出力する例を示す説明図である。 本発明の第２の実施の形態において一次テーブル生成手段が作成する一次テーブルの例を示す説明図である。 本発明の第２の実施の形態における二次テーブル生成手段がポート毎のＶＬＡＮ接続可否表を作成する処理の例を示すフローチャートである。 ステップＥ４の処理の具体例を示す説明図である。 本発明の第２の実施の形態におけるＶＬＡＮ通信範囲分析手段がＶＬＡＮの通信可能な範囲を分析する処理の例を示すフローチャートである。 ＶＬＡＮ通信範囲分析手段による処理経過の例を示す説明図である。 本発明の第３の実施の形態の構成例を示すブロック図である。 第３の実施の形態における接続ポート通信範囲分析手段がＶＬＡＮの通信可能な接続ポートを分析する処理の例を示すフローチャートである。 接続ポート通信範囲分析手段の処理経過の例を示す説明図である。 本発明の第４の実施の形態の構成例を示すブロック図である。 二点間通信分析手段が２つのネットワーク機器の接続ポート間で通信可能か否かを分析する処理の例を示すフローチャートである。 二点間通信分析手段の処理経過の具体例を示す説明図である。

符号の説明

１００ ＶＬＡＮ通信範囲特定システム
１１０ ＶＬＡＮ設定情報記憶装置
１２０ テーブル生成手段
１３０ 二次テーブル記憶装置
１４０ ＶＬＡＮ通信範囲分析手段
２１０ ＶＬＡＮ設定情報集合
２２０ ネットワーク構成情報集合
２３０ 入力手段
２４０ 出力手段
９１０ 接続ポート通信範囲分析手段
１０１０ 二点間通信分析手段

Claims (12)

1. 送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否を記述するＶＬＡＮ間ルーティング可否表と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否を記述するポート毎のＶＬＡＮ接続可否表とを記憶する二次テーブル記憶手段と、
   機器の機器名と機器の接続ポートに設定されたＶＬＡＮ−ＩＤとＶＬＡＮ毎のサブネットアドレスとを含むＶＬＡＮ設定情報と、各機器同士の接続関係を示す接続関係情報とを用いて、前記ＶＬＡＮ間ルーティング可否表と前記ポート毎のＶＬＡＮ接続可否表とを作成する二次テーブル作成手段と、
   送信元となる機器の機器名およびＶＬＡＮ−ＩＤが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記機器のＶＬＡＮ−ＩＤと通信可能な機器の接続ポートを検出するＶＬＡＮ通信範囲分析手段とを有し、
   ＶＬＡＮ通信範囲分析手段は、入力された送信元の機器名およびＶＬＡＮ−ＩＤと対応付けてＶＬＡＮ間ルーティング可否表で通信可が記述された宛先の機器およびＶＬＡＮ−ＩＤを特定し、特定した機器およびＶＬＡＮ−ＩＤに対応して通信可が記述された機器の接続ポートをポート毎のＶＬＡＮ接続可否表から検出する
   ことを特徴とするＶＬＡＮ通信範囲特定システム。
2. 送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるＶＬＡＮ間ルーティング可否表枠と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否を記述される情報であるポート毎のＶＬＡＮ接続可否表枠とを記憶する一次テーブル記憶手段を更に備え、
   前記二次テーブル作成手段は、前記一次テーブル記憶手段に記憶された情報と前記ＶＬＡＮ設定情報とを用いて、前記ＶＬＡＮ間ルーティング可否表枠に通信の可否を記述し、前記ポート毎のＶＬＡＮ接続可否表枠に通信の可否を記述することにより、前記ＶＬＡＮ間ルーティング可否表及び前記ポート毎のＶＬＡＮ接続可否表を作成する
   ことを特徴とする請求項１に記載のＶＬＡＮ通信範囲特定システム。
3. 前記ＶＬＡＮ設定情報は、機器毎に、機器のルーティングの可否と、接続ポート毎の閉塞機能の適用の有無と、接続ポートに対応するフィルタリングルールとを含む
   ことを特徴とする請求項１または請求項２に記載のＶＬＡＮ通信範囲特定システム。
4. 機器の機器名と当該機器のルーティングの可否との対応を示すルーティングテーブルと、機器の接続ポートに設定されたＶＬＡＮ−ＩＤと、当該ＶＬＡＮに設定されるサブネットアドレスとの対応を示すサブネットアドレステーブルと、各機器同士の接続関係を示す接続関係情報と各ＶＬＡＮ−ＩＤとに対応付けて通信の可否を示す機器接続テーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに設定されたＶＬＡＮ−ＩＤと、閉塞機能によって接続が不可能な状態になっているか否かとの対応を示す接続ポートテーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに対応するフィルタリングルールとの対応を示すフィルタリングテーブルと、送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるＶＬＡＮ間ルーティング可否表枠と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるポート毎のＶＬＡＮ接続可否表枠と、機器の機器名と当該機器の機種名との対応を示す機種テーブルとを記憶する一次テーブル記憶手段と、
   ＶＬＡＮ間ルーティング可否表枠に通信の可否が記述されたＶＬＡＮ間ルーティング可否表と、ポート毎のＶＬＡＮ接続可否表枠に通信の可否が記述されたポート毎のＶＬＡＮ接続可否表とを記憶する二次テーブル記憶手段と、
   一次テーブル記憶手段に記憶された情報を用いて、ＶＬＡＮ間ルーティング可否表と、ポート毎のＶＬＡＮ接続可否表とを作成し、二次テーブル記憶手段に記憶させる二次テーブル作成手段とを備え、
   二次テーブル作成手段は、
   ルーティングテーブルを参照し、ルーティング可能な機器が１つも存在しなければ、送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   サブネットアドレステーブルを参照し、サブネットアドレスが設定されないＶＬＡＮ−ＩＤが存在する場合には、サブネットアドレスが設定されないＶＬＡＮ−ＩＤであって送信元の機器と宛先の機器とが異なるＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   ＶＬＡＮ間ルーティング可否表枠の送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤの組み合わせ毎に、
   送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、送信元の機器と宛先の機器とが同一であって送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがあると判定した場合に、機器接続テーブルを参照して、送信元の機器から最も近いＬ３スイッチを探索し、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、または、Ｌ３スイッチから宛先の機器のＶＬＡＮ−ＩＤが通信不可であると判定したときに、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチである場合に、送信元の機器から宛先の機器まででＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器および前記宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、機器接続テーブルで通信不可と記述された機器およびＶＬＡＮ−ＩＤに対応付けて、通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器である場合、送信元の機器から前記宛先の機器まで送信元のＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器のＶＬＡＮ−ＩＤおよび前記宛先の機器に対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一であれば、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一でなく、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、前記Ｌ３から宛先の機器まで宛先のＶＬＡＮ−ＩＤが通信不可である場合に、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
   残りの送信元のＶＬＡＮ−ＩＤおよび宛先のＶＬＡＮ−ＩＤの組み合わせに対しては通信可をＶＬＡＮ間ルーティング可否表枠に記述することによってＶＬＡＮ間ルーティング可否表を作成し、
   接続ポートテーブルを参照して、機器の接続ポートに設定されていないＶＬＡＮ−ＩＤと前記機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、
   接続ポートテーブルを参照して、閉塞機能によって接続が不可能な状態になっている機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、
   ポート毎のＶＬＡＮ接続可否表枠で通信不可が記述されなかった機器の接続ポートおよびＶＬＡＮ−ＩＤの組み合わせに対応付けて通信可を記述し、
   機器の接続ポートに対応するフィルタリングルールがフィルタリングテーブルに記述されている場合に、当該フィルタリングルールが定めるアクセス可否と、機器の接続ポートに対応付けて記述された通信の可否とが一致してないならば、前記機器の接続ポートに対応付けて記述された通信の可否を前記フィルタリングルールが定めるアクセス可否に合わせて変更することによってポート毎のＶＬＡＮ接続可否表を作成する
   ことを特徴とするＶＬＡＮ通信範囲特定システム。
5. 二次テーブル作成手段は、機器の接続ポートに対応するフィルタリングルールがフィルタリングテーブルに記述されている場合に、当該フィルタリングルールが定めるアクセス可否と、機器の接続ポートに対応付けて記述された通信の可否とが一致せず、前記フィルタリングルールに記述された送信元アドレスまたは宛先アドレスのいずれかがサブネットアドレスでも全てのアドレス空間を示すアドレスでもなければ、前記機器の接続ポートに対応付けて記述された通信の可否を、特定の端末のみに関して通信を許可または通信を拒否することを示す例外情報に変更する
   請求項４に記載のＶＬＡＮ通信範囲特定システム。
6. 送信元となる機器の機器名およびＶＬＡＮ−ＩＤが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記機器のＶＬＡＮ−ＩＤと通信可能な機器の接続ポートを検出するＶＬＡＮ通信範囲分析手段を備え、
   ＶＬＡＮ通信範囲分析手段は、入力された送信元の機器名およびＶＬＡＮ−ＩＤと対応付けてＶＬＡＮ間ルーティング可否表で通信可が記述された宛先の機器およびＶＬＡＮ−ＩＤを特定し、特定した機器およびＶＬＡＮ−ＩＤに対応して通信可が記述された機器の接続ポートをポート毎のＶＬＡＮ接続可否表から検出する
   請求項４に記載のＶＬＡＮ通信範囲特定システム。
7. 送信元となる機器の機器名およびＶＬＡＮ−ＩＤが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記機器の接続ポートと通信可能な機器の接続ポートを検出するＶＬＡＮ通信範囲分析手段を備え、
   ＶＬＡＮ通信範囲分析手段は、入力された送信元の機器名およびＶＬＡＮ−ＩＤと対応付けてＶＬＡＮ間ルーティング可否表で通信可が記述された宛先の機器およびＶＬＡＮ−ＩＤを特定し、特定した機器およびＶＬＡＮ−ＩＤに対応して通信可または例外情報が記述された機器の接続ポートをポート毎のＶＬＡＮ接続可否表から検出する
   請求項５に記載のＶＬＡＮ通信範囲特定システム。
8. ＶＬＡＮ通信範囲分析手段は、入力された機器のＶＬＡＮ−ＩＤとの間で、当該ＶＬＡＮ−ＩＤで通信可能な機器と接続ポートと、前記ＶＬＡＮ−ＩＤとは異なるＶＬＡＮ−ＩＤで通信可能な機器の接続ポートとを分類し、
   ＶＬＡＮ通信範囲分析手段による分類に従って、入力された機器の接続ポートと通信可能な機器の接続ポートを分類して表示する出力手段を備えた
   請求項６または請求項７に記載のＶＬＡＮ通信範囲特定システム。
9. 送信元となる機器の機器名および接続ポートが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記機器の接続ポートと通信可能な機器の接続ポートを検出する接続ポート通信範囲分析手段を備え、
   接続ポート通信範囲分析手段は、入力された機器の接続ポートと対応付けてポート毎のＶＬＡＮ接続可否表で通信可が記述されたＶＬＡＮ−ＩＤを特定し、入力された機器および前記ＶＬＡＮ−ＩＤと対応付けてＶＬＡＮ間ルーティング可否表で通信可が記述された宛先の機器およびＶＬＡＮ−ＩＤを特定し、当該機器およびＶＬＡＮ−ＩＤに対応して通信可が記述された機器の接続ポートをポート毎のＶＬＡＮ接続可否表から検出する
   請求項４または請求項５に記載のＶＬＡＮ通信範囲特定システム。
10. 送信元となる機器の機器名および接続ポートと、宛先となる機器の機器名および接続ポートが入力され、二次テーブル記憶手段に記憶されたＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を参照して、前記送信元となる機器の接続ポートおよび前記宛先となる機器の接続ポート間で通信可能か否かを判定する二点間通信分析手段を備え、
    二点間通信分析手段は、ＶＬＡＮ間ルーティング可否表を参照して、送信元の機器および宛先の機器に対応付けて通信可が記述された送信元のＶＬＡＮ−ＩＤおよび宛先のＶＬＡＮ−ＩＤを特定し、ポート毎のＶＬＡＮ接続可否表で前記送信元のＶＬＡＮ−ＩＤおよび入力された送信元となる機器の接続ポートに対応付けて通信可が記述され、かつ、前記宛先のＶＬＡＮ−ＩＤおよび入力された宛先となる機器の接続ポートに対応付けて通信可が記述されている場合、送信元となる機器の接続ポートおよび宛先となる機器の接続ポート間で通信可能と判定する
    請求項４または請求項５に記載のＶＬＡＮ通信範囲特定システム。
11. 一次テーブル記憶手段に記憶された機器の機器名と当該機器のルーティングの可否との対応を示すルーティングテーブルと、機器の接続ポートに設定されたＶＬＡＮ−ＩＤと、当該ＶＬＡＮに設定されるサブネットアドレスとの対応を示すサブネットアドレステーブルと、各機器同士の接続関係を示す接続関係情報と各ＶＬＡＮ−ＩＤとに対応付けて通信の可否を示す機器接続テーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに設定されたＶＬＡＮ−ＩＤと、閉塞機能によって接続が不可能な状態になっているか否かとの対応を示す接続ポートテーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに対応するフィルタリングルールとの対応を示すフィルタリングテーブルと、送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるＶＬＡＮ間ルーティング可否表枠と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるポート毎のＶＬＡＮ接続可否表枠と、機器の機器名と当該機器の機種名との対応を示す機種テーブルとを参照して、ＶＬＡＮ間ルーティング可否表枠に通信の可否が記述されたＶＬＡＮ間ルーティング可否表と、ポート毎のＶＬＡＮ接続可否表枠に通信の可否が記述されたポート毎のＶＬＡＮ接続可否表とを作成するデータ作成方法であって、
    二次テーブル作成手段が、
    ルーティングテーブルを参照し、ルーティング可能な機器が１つも存在しなければ、送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    サブネットアドレステーブルを参照し、サブネットアドレスが設定されないＶＬＡＮ−ＩＤが存在する場合には、サブネットアドレスが設定されないＶＬＡＮ−ＩＤであって送信元の機器と宛先の機器とが異なるＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    ＶＬＡＮ間ルーティング可否表枠の送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤの組み合わせ毎に、
    送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、送信元の機器と宛先の機器とが同一であって送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがあると判定した場合に、機器接続テーブルを参照して、送信元の機器から最も近いＬ３スイッチを探索し、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、または、Ｌ３スイッチから宛先の機器のＶＬＡＮ−ＩＤが通信不可であると判定したときに、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチである場合に、送信元の機器から宛先の機器まででＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器および前記宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、機器接続テーブルで通信不可と記述された機器およびＶＬＡＮ−ＩＤに対応付けて、通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器である場合、送信元の機器から前記宛先の機器まで送信元のＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器のＶＬＡＮ−ＩＤおよび前記宛先の機器に対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一であれば、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一でなく、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、前記Ｌ３から宛先の機器まで宛先のＶＬＡＮ−ＩＤが通信不可である場合に、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    残りの送信元のＶＬＡＮ−ＩＤおよび宛先のＶＬＡＮ−ＩＤの組み合わせに対しては通信可をＶＬＡＮ間ルーティング可否表枠に記述することによってＶＬＡＮ間ルーティング可否表を作成し、
    接続ポートテーブルを参照して、機器の接続ポートに設定されていないＶＬＡＮ−ＩＤと前記機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、
    接続ポートテーブルを参照して、閉塞機能によって接続が不可能な状態になっている機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、
    ポート毎のＶＬＡＮ接続可否表枠で通信不可が記述されなかった機器の接続ポートおよびＶＬＡＮ−ＩＤの組み合わせに対応付けて通信可を記述し、
    機器の接続ポートに対応するフィルタリングルールがフィルタリングテーブルに記述されている場合に、当該フィルタリングルールが定めるアクセス可否と、機器の接続ポートに対応付けて記述された通信の可否とが一致してないならば、前記機器の接続ポートに対応付けて記述された通信の可否を前記フィルタリングルールが定めるアクセス可否に合わせて変更することによってポート毎のＶＬＡＮ接続可否表を作成する
    ことを特徴とするデータ作成方法。
12. 機器の機器名と当該機器のルーティングの可否との対応を示すルーティングテーブルと、機器の接続ポートに設定されたＶＬＡＮ−ＩＤと、当該ＶＬＡＮに設定されるサブネットアドレスとの対応を示すサブネットアドレステーブルと、各機器同士の接続関係を示す接続関係情報と各ＶＬＡＮ−ＩＤとに対応付けて通信の可否を示す機器接続テーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに設定されたＶＬＡＮ−ＩＤと、閉塞機能によって接続が不可能な状態になっているか否かとの対応を示す接続ポートテーブルと、機器の機器名と、当該機器の接続ポートと、当該接続ポートに対応するフィルタリングルールとの対応を示すフィルタリングテーブルと、送信元の機器のＶＬＡＮ−ＩＤと宛先の機器のＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるＶＬＡＮ間ルーティング可否表枠と、機器の接続ポートとＶＬＡＮ−ＩＤとに対応付けて通信の可否が記述される情報であるポート毎のＶＬＡＮ接続可否表枠と、機器の機器名と当該機器の機種名との対応を示す機種テーブルとを記憶する一次テーブル記憶手段を備えたコンピュータに、
    ルーティングテーブルを参照し、ルーティング可能な機器が１つも存在しなければ、送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    サブネットアドレステーブルを参照し、サブネットアドレスが設定されないＶＬＡＮ−ＩＤが存在する場合には、サブネットアドレスが設定されないＶＬＡＮ−ＩＤであって送信元の機器と宛先の機器とが異なるＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    ＶＬＡＮ間ルーティング可否表枠の送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤの組み合わせ毎に、
    送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、送信元の機器と宛先の機器とが同一であって送信元と宛先とで異なっているＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一であり、かつ、当該機器がＬ３スイッチではなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがあると判定した場合に、機器接続テーブルを参照して、送信元の機器から最も近いＬ３スイッチを探索し、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、または、Ｌ３スイッチから宛先の機器のＶＬＡＮ−ＩＤが通信不可であると判定したときに、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチである場合に、送信元の機器から宛先の機器まででＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器および前記宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定した場合に、機器接続テーブルで通信不可と記述された機器およびＶＬＡＮ−ＩＤに対応付けて、通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器である場合、送信元の機器から前記宛先の機器まで送信元のＶＬＡＮ−ＩＤが通信不可であれば、前記送信元の機器のＶＬＡＮ−ＩＤおよび前記宛先の機器に対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一であれば、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    送信元の機器と宛先の機器とが同一ではなく、かつ、送信元の機器がＬ３スイッチでなく、かつ、機種テーブルに基づいてＶＬＡＮ間ルーティング可否表枠に示される機器の中にＬ３スイッチがないと判定し、かつ、当該Ｌ３スイッチが宛先の機器でなく、かつ、送信元の機器のＶＬＡＮ−ＩＤと宛先のＶＬＡＮ−ＩＤとが同一でなく、送信元の機器から前記Ｌ３スイッチまで送信元のＶＬＡＮ−ＩＤが通信不可であるか、前記Ｌ３から宛先の機器まで宛先のＶＬＡＮ−ＩＤが通信不可である場合に、送信元の機器のＶＬＡＮ−ＩＤおよび宛先の機器のＶＬＡＮ−ＩＤに対応付けて通信不可をＶＬＡＮ間ルーティング可否表枠に記述し、
    残りの送信元のＶＬＡＮ−ＩＤおよび宛先のＶＬＡＮ−ＩＤの組み合わせに対しては通信可をＶＬＡＮ間ルーティング可否表枠に記述することによってＶＬＡＮ間ルーティング可否表を作成し、
    接続ポートテーブルを参照して、機器の接続ポートに設定されていないＶＬＡＮ−ＩＤと前記機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、
    接続ポートテーブルを参照して、閉塞機能によって接続が不可能な状態になっている機器の接続ポートに対応付けて通信不可をポート毎のＶＬＡＮ接続可否表枠に記述し、
    ポート毎のＶＬＡＮ接続可否表枠で通信不可が記述されなかった機器の接続ポートおよびＶＬＡＮ−ＩＤの組み合わせに対応付けて通信可を記述し、
    機器の接続ポートに対応するフィルタリングルールがフィルタリングテーブルに記述されている場合に、当該フィルタリングルールが定めるアクセス可否と、機器の接続ポートに対応付けて記述された通信の可否とが一致してないならば、前記機器の接続ポートに対応付けて記述された通信の可否を前記フィルタリングルールが定めるアクセス可否に合わせて変更することによってポート毎のＶＬＡＮ接続可否表を作成し、
    ＶＬＡＮ間ルーティング可否表およびポート毎のＶＬＡＮ接続可否表を記憶装置に記憶させる処理、
    を実行させるためのデータ作成プログラム。

Images