JP4620527B2 - パケット通信装置 - Google Patents

パケット通信装置 Download PDF

Info

Publication number
JP4620527B2
JP4620527B2 JP2005163960A JP2005163960A JP4620527B2 JP 4620527 B2 JP4620527 B2 JP 4620527B2 JP 2005163960 A JP2005163960 A JP 2005163960A JP 2005163960 A JP2005163960 A JP 2005163960A JP 4620527 B2 JP4620527 B2 JP 4620527B2
Authority
JP
Japan
Prior art keywords
configuration definition
switch
configuration
definition
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005163960A
Other languages
English (en)
Other versions
JP2006340161A (ja
JP2006340161A5 (ja
Inventor
英樹 沖田
敏明 鈴木
健一 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005163960A priority Critical patent/JP4620527B2/ja
Priority to US11/444,456 priority patent/US20060274674A1/en
Publication of JP2006340161A publication Critical patent/JP2006340161A/ja
Publication of JP2006340161A5 publication Critical patent/JP2006340161A5/ja
Application granted granted Critical
Publication of JP4620527B2 publication Critical patent/JP4620527B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/084Configuration by using pre-existing information, e.g. using templates or copying from other elements
    • H04L41/0846Configuration by using pre-existing information, e.g. using templates or copying from other elements based on copy from other elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、フレームやパケットを転送するパケット通信装置に関し、特に、その動作を規定する構成定義の設定技術に関する。
通信事業者や企業などの大規模なネットワークでパケット通信装置(ルータ、スイッチなど)のネットワーク機器を運用する場合、ネットワーク管理者は、セキュリティ確保のために、スイッチが業務上不要なパケットやフレームをフィルタリングするように、スイッチを設定する。また、管理者は、スイッチの稼働状態を監視するためにログや負荷状態を運用管理サーバへ出力するように、スイッチを設定する。
このため、新たなスイッチをネットワークへ導入する場合、管理者はネットワークへの接続前に、IPアドレスやホスト名を設定するとともに、フィルタリングルールやログ取得項目などの多数の項目を各機器へ設定する必要がある。
特に、ネットワークの大規模な変更に伴い、多数の機器を同時に設置する場合、この設定の作業量は膨大なものとなる。
ネットワーク内のスイッチの設定作業を低減して運用管理コストを削減するために、以下に示す従来技術が存在する。
スイッチの動作を定義するための構成定義を記述したファイルを配布するための技術が提案されている。具体的には、ネットワーク内に配備された運用管理サーバがスイッチ毎の構成定義が記述されたファイルを保持し、スイッチがTFTP(Trivial File Transfer Protocol)を用いて、構成定義が記述されたファイルを運用管理サーバから取得し、その内容を自装置に設定する。
また、ネットワーク下流に接続する加入者ホストのIPアドレスを、上流ネットワークが保持するIPアドレスプールと経路構成に応じて自動的に設定するための技術が提案されている。具体的には、RFC2131及びRFC3315でDHCP(Dynamic Host Configuration Protocol)が規定され、IPv4又はIPv6網でのIPアドレス自動設定が実現されている。DHCPv6では、上位ルータ/下位ルータ間でDHCPを利用し、プレフィックスを割譲するPrefix Delegationを実現できる(非特許文献1及び非特許文献2参照)。
また、VLAN IDとVLAN名との組み合わせをレイヤ2ネットワーク内のスイッチで自動的に共有し、各スイッチへの設定作業を不要とするための技術が提案されている。具体的には、スイッチが非特許文献3に示すVTP(VLAN Trunk Protocol)の処理機能を備え、レイヤ2Ethernetネットワーク内でVTP処理機能を備えるスイッチは(Ethernetは登録商標。以下同じ)、VTPサーバからのブロードキャストメッセージを受信することにより、VTPサーバでのVLAN設定の作成・更新情報を自動的に反映する。
IETF RFC2131,Dynamic Host Configuration Protocol IETF RFC3315,Dynamic Host Configuration Protocol for IPv6 Understanding and Configuring VLAN Trunk Protocol (VTP),Tech Notes,Document ID: 10558,Cisco Systems,2005年4月25日
スイッチが、運用管理サーバからTFTPによって構成定義ファイルを取得して、フィルタリングルールなどのセキュリティ設定を含むネットワークの運用ポリシーを適用する場合、運用管理サーバとの間にIPレイヤでの到達性が確立されている必要がある。管理者は、スイッチのこのIPレイヤの接続を確保するために、予めスイッチの構成定義を設定する。
しかし、運用管理サーバ上の構成定義をスイッチへ反映するまでの間、一時的にセキュリティが低下する。スイッチの回線インターフェース(又は、仮想インターフェース)にIPアドレスを設定すると、スイッチに接続されたIP機器へのIPパケットの到達性も同時に確立される。よって、運用管理サーバからセキュリティが設定されていない状態でフレームの転送が開始される。よって、セキュリティが設定されるまでの間、スイッチは攻撃トラフィックを転送し、スイッチ又はスイッチに接続されるIP機器が攻撃にさらされる可能性がある。
また、DHCPでのIPアドレスの自動設定を利用した場合、又はVTPでのVLANの自動設定方式を利用した場合、ネットワークに新たに導入されたスイッチは、設定作業をすることなく、IPパケット又はタグ付きフレームの転送を開始することができる。このような自動設定技術を利用してスイッチを導入することによって、導入時の利便性が高まる。
しかし、セキュリティ確保のためのフィルタ設定がなされていないスイッチがネットワーク内で自動的に稼働することによって、ネットワークのセキュリティが低下する。また、稼働状態監視のためのログ設定が施されていないスイッチが稼働することによって、管理者はネットワークの稼働状態を正しく把握できなくなり、効率的な運用ができなくなる。
本発明は、既設の運用管理サーバによるネットワーク機器の構成定義の設定や、DHCPやVTPによるIPアドレスやVLANの設定における問題点を解決し、セキュリティ低下を回避しながら、多数のネットワーク機器への運用ポリシーの設定作業を軽減することを課題とする。
本発明は、ネットワーク内に設けられ、該ネットワーク内でフレームを転送するパケット通信装置であって、構成定義を保持する記憶部と、制御プログラムを記憶するメモリと、前記メモリに記憶された制御プログラムを実行するCPUと、複数のポートを備える回線インターフェースと、前記回線インターフェースと接続されるスイッチと、を備え、前記構成定義に基づいてフレーム転送機能とフィルタ機能を設定する構成定義管理部と、前記構成定義に関する指示を受け付けるインターフェースを管理者に提供する構成定義設定部と、他のパケット通信装置と前記構成定義を送受信する構成定義送受信部とを、前記CPUが前記制御プログラムを実行することによって構成し、前記スイッチは、設定されたフィルタ条件に基づいて、転送されるフレームをフィルタリングし、前記構成定義送受信部は、前記ネットワークに設けられた他のパケット通信装置へ構成定義を要求し、前記他のパケット通信装置から構成定義を受信し、前記受信した構成定義に基づいて自装置の構成定義を更新し、前記構成定義管理部へ構成定義の更新を通知し、前記構成定義管理部は、前記構成定義送受信部から構成定義の更新の通知を受信すると、前記更新された構成定義を前記記憶部から取得し、前記取得した構成定義に基づいて前記フィルタ条件を設定する。
本発明によると、スイッチの増設時に、既設ネットワークの運用ポリシーを反映させるためのスイッチに対する設定を簡易にすることができる。これによって、ネットワーク管理者の作業量を軽減できる。
まず、本発明実施の形態の概要を説明する。
前述した課題を解決するため、本発明の実施の形態に係るスイッチ(又は、ルータ)は、他のスイッチと構成定義の内容を送受信する構成定義送受信部を備える。構成定義送受信部は、スイッチ内に設けられた構成定義管理部及び構成定義設定部と連携しながら、隣接スイッチとの間で構成定義の内容を送受信する。
既設スイッチの構成定義送受信部は、新規に設置されたスイッチが接続されると、そのスイッチからの要求に応じて、新規に設置されたスイッチへ構成定義を通知する。この構成定義には、セキュリティ設定及び管理設定が含まれている。
また、既設スイッチは、設定インターフェースからの指示により、又は接続ポートの活性状態への遷移を認識した後に自動で、構成定義を通知する。
新設スイッチの構成定義送受信部は、起動すると活性状態のポートを検索して、既設のスイッチへ構成定義の転送を要求する。また、新設スイッチは、又は設定インターフェースからの指示、又は構成定義に記述された内容に従って、構成定義の転送を要求する。
そして、新設スイッチの構成定義送受信部は、セキュリティ設定及び管理設定を含む構成定義を既設のスイッチから受信すると、自装置の構成定義を更新し、構成定義管理部へ構成定義の更新を通知する。構成定義管理部は、構成定義の更新通知を受けると、更新された構成定義を読み出し、スイッチのセキュリティ設定項目及び運用管理設定項目を設定する。
また、本発明の実施の形態のスイッチは、回線インターフェースのポートに接続された隣接スイッチとの構成定義の同期状態を含む接続機器管理テーブルと、接続機器管理テーブル上のエントリを作成・更新する接続機器管理機能部を備える。
また、本発明の実施の形態のスイッチは、回線インターフェースのポートに接続された隣接スイッチの認証状態を含む認証状態管理テーブルを備える。また、認証状態管理テーブルのエントリは、構成定義送受信部によって参照される。
ネットワーク内で運用されているスイッチへ、新規に導入されたスイッチが接続されると、既設スイッチは新設スイッチへ構成定義を通知する前に、新設スイッチを認証し、構成定義を通知するかを判定する。そしてこの判定結果を認証状態管理テーブルへ記録する。
既設スイッチは、要求メッセージの受信又は設定インターフェースからの指示によって新設スイッチへ構成定義を通知する際、上記の認証状態管理テーブルを参照し、構成定義の通知が認可されている場合のみ、構成定義を通知する。
このように、本発明の実施の形態によると、ホストコンピュータの増加に合わせて、ネットワークを拡張するために新しいスイッチを導入する際、管理者がフィルタリングルールの設定に要する作業量を軽減できる。また、一様なセキュリティポリシーを、ネットワーク内に設けられたスイッチへ反映することができる。
ネットワーク構築・運用に伴う担当者の作業量が減ることで、企業は、外部への作業委託などに頼ることなく自社内の情報システム担当部署により大規模なネットワークの構築が可能になる。
以下、本発明の実施の形態を図面を参照して説明する。
(実施形態1)
図1は、第1の実施の形態のスイッチ含むネットワークの構成図である。
既設のネットワーク5は、ネットワーク内でフレームを転送するスイッチ2A〜2Dを備える。
スイッチ2A〜2Dには、フィルタリングルールが設定されており、設定されたフィルタリングルールに基づいてフレーム及びパケットを選択し、不必要なフレーム及びパケットを廃棄する。これによって、ネットワークのセキュリティを確保するポリシーが運用されている。
第1の実施の形態では、部署の新設や人員の増加等によって、コンピュータが増加した場合に、増加したコンピュータを社内ネットワークに接続するスイッチ1を新たに設置する場合を考える。新設されるスイッチ1は既設のスイッチ2Aと接続される。この場合、スイッチ1と既設のスイッチ2Aとの間でフィルタ設定を同期させて、新設されるスイッチ1にも、既設スイッチ2A〜2Dと同じフィルタリングルールを設定する必要がある。
スイッチ2A〜2Dには既設の端末群4a及び端末群4bが接続されている。スイッチ1には新規に設置される端末群3が接続されている。
図2は、第1の実施の形態のスイッチを含むネットワークの構成図であり、スイッチ1にフィルタリングルールの設定が完了した状態を示す。
スイッチ1に、既設スイッチ2A〜2Dと同じフィルタリングルールの設定が完了すると、フィルタリングルールが適用されるネットワークが、スイッチ1及びスイッチ2A〜2Dを含む範囲に拡張される。すなわち、新設の端末群3、既設の端末群4a及び既設の端末群4bが送受信する全てのトラフィックがフィルタリングの対象となる。
図3は、第1の実施の形態の新設スイッチ1と既設スイッチ2Aとの間の構成定義同期処理のシーケンス図である。
既設スイッチ2Aは、フィルタルールが設定され(1001)、ネットワーク5内で動作している。
その後、ネットワークの拡張のため、管理者が既設スイッチ2Aと新設スイッチ1との間をケーブルで接続する(1002、1003)。
新設スイッチ1は、ポートに加わる電圧を監視することによって、ポートにケーブルが接続されたことを確認する(1003)。その後、管理者が入出力装置104によって構成定義要求を指示すると(1004)、構成定義要求メッセージ71を既設スイッチ2Aに送信する。なお、第2の実施の形態(図23)に示すように、既設スイッチ2Aとの接続による回線インターフェースのリンクアップを契機として、構成定義要求メッセージ71を送信してもよい。
既設スイッチ2Aは、新設スイッチ1から構成定義要求メッセージ71を受信すると、構成定義24を読み出し、読み出した構成定義を格納した構成定義通知メッセージ72を生成する。そして、生成した構成定義通知メッセージ72を、構成定義要求メッセージ71の応答として、新設スイッチ1へ返信する。
新設スイッチ1は、構成定義通知メッセージ72を受信することによって、既設スイッチ2Aに設定された構成定義を取得する。この取得した構成定義によって自装置の構成定義を更新する。また、この構成定義通知メッセージ72からフィルタ設定を抽出し、フィルタ設定を更新する(1005)。
新設スイッチ1は、フィルタの設定が終了すると、端末群3が接続されているポートを開放し、フレームの転送を開始する(1006)。
このように、既設ネットワーク上のスイッチ2Aからフィルタ設定を取得することによって、従来は管理者が行っていた初期設定の作業量を削減できる。また、既に稼働実績のある設定内容を複製することによって、初期設定時の人的エラーによって生じる、機器の意図しない動作を防止でき、ネットワークの拡張時にもネットワークを安定して稼働させることができる。
また、本発明を適用したスイッチを用いることによって、ネットワークへ新たなスイッチを導入した場合に、フィルタリングルールのようなセキュリティポリシーを均一に適用できる。これによって、セキュリティポリシーの不統一によるセキュリティの低下を防止できる。
図4は、第1の実施の形態の構成定義要求メッセージ71のフォーマットの説明図である。
構成定義要求メッセージ71は、ヘッダ711及びメッセージ種別フィールド712を含む。ヘッダ711は、宛先フィールド、送信元フィールド及びTypeフィールドを含む。
ヘッダ711の宛先フィールドには、既設スイッチ2AのMACアドレスが格納される。ヘッダ711の送信元フィールドには、新設スイッチ1のMACアドレスが格納される。ヘッダ711のTypeフィールドには、第1の実施の形態の構成定義同期処理に用いるメッセージであることを表す識別子が格納される。
メッセージ種別フィールド712には、構成定義の要求であることを表す識別子が格納される。
図5は、第1の実施の形態の構成定義通知メッセージ72のフォーマットの説明図である。
構成定義通知メッセージ72は、ヘッダ711と、メッセージ種別フィールド722及び構成定義フィールド721を含む。ヘッダ711は、構成定義要求メッセージと同様に、宛先、送信元及びTypeのフィールドを含む。
ヘッダ711の宛先フィールドには、既設スイッチ2AのMACアドレスが格納される。ヘッダ711の送信元フィールドには、新設スイッチ1のMACアドレスが格納される。ヘッダ711のTypeフィールドには、第1の実施の形態の構成定義同期処理に用いるメッセージであることを表す識別子が格納される。
メッセージ種別フィールド722には、構成定義の通知であることを表す識別子が格納される。構成定義フィールド721には、要求元のスイッチへ通知する構成定義の内容が格納される。
図6は、第1の実施の形態の構成定義通知メッセージ72の構成定義フィールド721の説明図である。
構成定義フィールド721は、構成定義の内容を格納するために、固定長の項目種別と固定長のデータ長、及び可変長のデータを含むTLV形式で構成される。
図7は、第1の実施の形態の構成定義通知メッセージ72の別の構成の構成定義フィールド721の説明図である。
図7に示す構成定義フィールド721は、XML(Extensible Markup Language)によってフィルタルールの設定を記述されている。
この構成定義フィールド721には、宛先ポート番号が137又は138のUDPパケットと、宛先ポート番号が139のTCPパケットとをフィルタリングによって破棄する設定が記述されている。
図8は、第1の実施の形態のスイッチ1の機能ブロック図である。
スイッチ1は、構成定義送受信部11、構成定義設定部12、構成定義管理部13、構成定義データ14、フレーム転送部15及びフィルタ部16を備える。なお、図8及び図9において、スイッチ1について説明するが、他のスイッチ2A〜2Dも同じ構成である。
フレーム転送部15は、入力されたフレームを所定の宛先に転送する。フィルタ部16は、予め設定された条件に適合するフレームを破棄する(又は、予め設定された条件に適合するフレームだけを転送する)。よって、フレーム転送部15及びフィルタ部16によってあらかじめ定められたフレームだけが転送される。
構成定義管理部13は、スイッチの動作を制御する構成定義データ14を管理する。構成定義設定部12は、専用のインターフェース又は回線インターフェースを介して構成定義管理部13によって管理される構成定義データ14を作成及び更新する。構成定義送受信部11は、接続されたスイッチとの間で構成定義を送受信する。
図9は、第1の実施の形態のスイッチ1のブロック図である。
スイッチ1は、CPU103、入出力装置104、メモリ105、外部記憶装置102、ブリッジ106及びスイッチング部107を備える。CPU103、入出力装置104及びメモリ105は、内部バスによって接続されている。
CPU103は、メモリ105に記憶された各種プログラムを実行する。
入出力装置104は、スイッチ1に設定データを入出力するインターフェースである。例えば、RS−232C等のシリアルインターフェースが用いられる。なお、入出力装置104は、入力部及び表示部を備え、管理者がスイッチ1に対して直接データを入力するものでもよい。
メモリ105は、CPUにて実行される各種プログラム及びデータを記憶する。具体的には、構成定義送受信プログラム11、構成定義設定プログラム12、構成定義管理プログラム13、構成定義データ14が格納される。構成定義データ14の内部にはフィルタ設定101が含まれる。
外部記憶装置102は、フラッシュメモリ又はハードディスクドライブ等によって構成され、メモリ105に記憶されるプログラム及びデータを格納する。そして、スイッチの起動時に、これらのプログラム及びデータは外部記憶装置102から読み出されて、メモリ105に展開される。
ブリッジ106は、スイッチ1の内部バスとスイッチング部107とを接続し、両者の間でデータの橋渡しをする。
スイッチング部107は、複数のポート108、ポート108を接続するスイッチ、転送データベース及びフィルタルールテーブルを備える。フィルタルールテーブルは、構成定義14内部のフィルタ設定101に基づいて生成される。
スイッチング部107は、ポート108の接続を切り替えることによって、入力されたフレームをスイッチングする。すなわち、スイッチング部107は、転送データベースを参照して、ポート108に入力されたフレームの転送先を決定し、決定された転送先のポートに出力する。
また、スイッチング部107は、入力されたフレームをフィルタリングする。すなわち、スイッチング部107は、入力されたフレームのヘッダを解析して、その結果をフィルタルールテーブルと照合する。そして、入力されたフレームの転送可否を判定し、転送してよいフレームは、決定された転送先のポートに出力する。一方、転送してはならないフレームを破棄する。
また、スイッチング部107は、入力されたフレームを一時的に蓄積するメモリが接続されてもよい。
なお、一つのスイッチング部107を図示したが、複数のスイッチング部を備えてもよい。また、複数のスイッチング部107を一つの転送用モジュールとしてまとめ、この転送用モジュールにフレーム蓄積用メモリを備えてもよい。
また、CPU103、入出力装置104及びメモリ105を、一つの制御用モジュールとしてまとめてもよい。そして、一つ又は複数の転送用モジュールと一つ又は複数の制御用モジュールとを接続する(例えば、クロスバスイッチによって接続する)、分散型の構成とすることもできる。
また、本発明のスイッチは、スイッチング部107を備えず、内部バスを介して複数の回線インターフェースをCPUと接続することもできる。このようにすると、CPU103において実行されるソフトウェアによってフレームスイッチングを実現する集中処理型の構成とすることもできる。
次に、このフィルタルールを記述した構成定義の内容を、既設スイッチ2Aから新設スイッチ1へ反映させる場合の、スイッチ内部の各部の動作を説明する。
まず、新設スイッチの構成定義に明示的に記述する例を示す。
図10は、第1の実施の形態の新設スイッチの構成定義の記述例の説明図である。
図10に示す構成定義は、管理者が入出力装置104から入力する。
構成定義141中の<synchronization/>エレメントは、スイッチに対して外部のスイッチとの構成定義の同期を指示する。
図11は、第1の実施の形態の新設スイッチの構成定義の別の記述例の説明図である。
構成定義142中の<synchronization>エレメント内に、<interface>エレメントを記述し、構成定義の同期に使用する回線インターフェースのポートを指定する。ここでは、ボード0のポート1が指定されている。この場合、新設スイッチ1の構成定義中の<interface>エレメントで指定されたポートを経由して、既設スイッチ2Aと新設スイッチ1との間のメッセージが交換される。
図12は、第1の実施の形態の新設スイッチに構成定義の同期を指示する画面の説明図である。
管理者は、新設スイッチ1の入出力装置104を操作して、構成定義の同期に利用するポートを指定する。この設定画面には、複数のポートが表示される。管理者は、表示された複数のポートのうち、構成定義の同期に利用する新設スイッチのポートを指定する。
入出力装置104は、ポート番号の妥当性(ポートの有効/無効及び活性/不活性)、を調べた結果を表示し、当該ポートが有効かつ活性な場合は、該当ポートを介した構成定義同期の成功又は失敗を入出力装置104に表示する。
なお、管理者が、コマンド・ライン・インターフェースによって構成定義の同期に利用するポートを指定するように構成することもできる。その場合、管理者は、構成定義の同期を表すコマンド文字列及び利用するポートの番号を入力する。
図13は、第1の実施の形態の構成定義の同期処理の説明図であり、新設スイッチ1の構成定義14に既設スイッチ2Aとの間での構成定義の同期指示を記述した場合の、スイッチ内及びスイッチ間のメッセージの通信を示す。
まず、新設スイッチ1が起動すると、構成定義設定部12は、管理者が入出力装置104へ入力した構成定義の同期指示を構成定義送受信部11へ通知する(1011)。
構成定義送受信部11は、管理者が入力した構成定義の同期指示を受信すると、受信した同期指示に含まれる利用ポート番号を解析する。そして、解析された番号のポートの有効性及びポートの活性状態を調べる。そして、当該ポートが利用可能(有効かつ活性)であれば、既設スイッチ2の構成定義送受信部21へ構成定義要求メッセージ71を送信する。
既設スイッチ2の構成定義送受信部21は、新設スイッチ1から構成定義要求メッセージ71を受信すると、構成定義24の内容を読み出し(1012)、構成定義24の内容を格納した構成定義通知メッセージ72を作成する。そして、作成した構成定義通知メッセージ72を新設スイッチ1へ返信する。
新設スイッチ1の構成定義送受信部11は、既設スイッチ2から構成定義通知メッセージ72を受信すると、受信したメッセージから構成定義を抽出し、抽出された構成定義の内容によって自装置の構成定義14を更新する(1013)。その後、構成定義管理部13へ構成定義の更新を通知する(1014)。
構成定義管理部13は、構成定義送受信部11から構成定義の更新通知を受信すると、自装置内の構成定義14を読み出して(1015)、更新されたフィルタルールをフィルタ部16に適用する(1016)。その後、フレーム転送部15へフレーム転送の開始を指示する(1017)。
図14は、第1の実施の形態の管理者が構成定義要求操作を実行した場合の処理のフローチャートであり、構成定義送受信部11で実行される。
スイッチ1が起動すると(S101)、構成定義設定部12は、管理者が入力した構成定義を構成定義送受信部11に送る。
構成定義送受信部11は、管理者が入力した構成定義を受信すると、その内容を解析し(S102)、当該構成定義に既設スイッチとの同期を指示する<synchronization>エレメントが存在するか否かを調べる(S103)。
その結果、<synchronization>エレメントが存在しなければ、既設スイッチ2Aとの同期は不要であると判定し、さらに、当該構成定義に<synchronization>エレメント以外の他のエレメントが存在するか否かを調べる(S105)。その結果、他のエレメントが存在しなければ、待ち受け状態へ戻り、他のエレメントが存在すれば、管理者が入力した内容によって構成定義を更新するように、構成定義管理部13に指示する(S106)。その後、待ち受け状態へ戻る。
一方、<synchronization>エレメントが存在すれば、既設スイッチ2Aとの同期が必要であると判定し、さらに<synchronization>エレメント内に<interface>エレメントが存在するか否かを調べる(S104)。<interface>エレメントが存在すれば、<interface>エレメントで指定されるポートを介して、既設スイッチ2Aとの間で構成定義要求メッセージ71及び構成定義通知メッセージ72を送受信する(図15参照)。
一方、<interface>エレメントが存在しなければ、活性ポートを介して、既設スイッチ2Aとの間で構成定義要求メッセージ71及び構成定義通知メッセージ72を送受信する(図16参照)。
図15は、第1の実施の形態の指定ポートを介して構成定義を同期する処理のフローチャートである。
図15に示す構成定義同期処理は、管理者が入力した構成定義において同期に利用するポートが指定されていた場合に、構成定義送受信部11で実行される。
まず、構成定義送受信部11は、構成定義中の<interface>エレメント内のboard属性及びport属性を解析し、同期に利用するポートを取得する。そして、該当ポートの有効性及びポートの活性状態を調べる(S111)。
その結果、同期に利用するポートが無効である、又は活性状態でない場合、構成定義設定部12へエラーを通知する。このとき、併せてエラーの内容も通知するとよい(S117)。その後、既設スイッチ2Aから構成定義を取得することなく、待ち受け状態へ戻る。
一方、同期に利用するポートが有効かつ活性状態であれば、該当ポートを介して構成定義を取得する。具体的には、構成定義送受信部11は、構成定義要求メッセージ71を作成し、作成したメッセージを指定ポートから送信する(S112)。
その後、指定ポートにおいて構成定義通知メッセージ72を待ち受ける(S113)。そして、構成定義通知メッセージ72を受信すると(S114)、構成定義通知メッセージ72中の構成定義フィールドを解析して、通知された構成定義の内容によって新設スイッチ1の構成定義14を更新する(S115)。その後、構成定義管理部13へ構成定義の更新を通知する(S116)。
構成定義送受信部11は、構成定義要求メッセージの送信後、構成定義通知メッセージを受信せずに、予め定められた時間が経過すると、構成定義設定部12へエラーを通知する。そして、構成定義の同期処理を終了して、待ち受け状態へ戻る。
図16は、第1の実施の形態の活性ポートを介して構成定義を同期する処理のフローチャートであり、管理者が入力した構成定義において同期に利用するポートが指定されていた場合に、構成定義送受信部11で実行される。
新設スイッチ1は、活性状態のポートを検索し、活性状態のポートを介して既設スイッチ2Aから構成定義を取得する。
まず、構成定義送受信部11は、新設スイッチ1に備わるポートの一つを選択し(S121)、選択されたポートが活性状態かを調べる(S122)。
その結果、選択されたポートが活性状態でなければ、スイッチ1内に未選択ポートがあるか否かを調べる(S128)。その結果、未選択ポートが見つかれば、次のポートを選択し、ステップS122に戻る。一方、未選択ポートが見つからなければ、全てのポートの調査が完了したので、待ち受け状態へ戻る。
一方、選択されたポートが活性状態であれば、構成定義要求メッセージ71を作成し、作成したメッセージを指定ポートから送信する(S123)。
その後、指定ポートにおいて構成定義通知メッセージ72を待ち受ける(S124)。そして、構成定義通知メッセージ72を受信すると(S125)、構成定義通知メッセージ72中の構成定義フィールドを解析して、通知された構成定義の内容によって新設スイッチ1の構成定義14を更新する(S126)。その後、構成定義管理部13へ構成定義の更新を通知する(S127)。
構成定義送受信部11は、構成定義要求メッセージの送信後予め定められた時間が経過しても、構成定義通知メッセージを受信しなかった場合、スイッチ1内に未選択ポートがあるか否かを調べる(S128)。その結果、未選択ポートが見つかれば、次のポートを選択し、ステップS122に戻る。一方、未選択ポートが見つからなければ、全てのポートの調査が完了したので、待ち受け状態へ戻る。
図17は、第1の実施の形態の構成定義更新処理のフローチャートであり、構成定義管理部13で実行される。
新設スイッチ1の構成定義管理部13は、構成定義送受信部11から構成定義の更新通知を受信すると、構成定義14を読み出して(S131)、構成定義の記述内容にしたがってフレーム転送部15及びフィルタ部16を設定する。
具体的には、構成定義管理部13は、読み出した構成定義にフィルタの設定が含まれるか否かを調べる(S132)。その結果、読み出した構成定義にフィルタの設定が含まれる場合、読み出した構成定義の内容に従ってフィルタ部16に格納されるフィルタルールを更新する(S133)。
さらに、その他の設定が必要であれば、読み出した構成定義を解析し、構成定義を更新する(S134)。
その後、フレームを転送するポートを開放し、フレーム転送部15へフレーム転送の開始を指示する(S135)。
図18は、第1の実施の形態のフィルタルールテーブル101の構成図である。
フィルタルールテーブル101は、読み込んだ構成定義142に従って構成定義管理部13によって生成される。
フィルタルールテーブル101は、ポート、フィルタ条件及び動作のデータを含む。
フィルタ部16は、フィルタルールテーブル101に従って、フィルタ条件に適合するフレームに対し動作に規定された処理をする。
具体的には、構成定義送受信部11が図7に示す構成定義を受信し、構成定義管理部13に構成定義の更新を通知した場合、構成定義管理部13は、宛先ポート番号が137のUDPパケット、宛先ポート番号が138のUDPパケット及び宛先ポート番号が139のTCPパケットを廃棄するようフィルタ部16を設定する。
図19は、第1の実施の形態の構成定義送信処理のフローチャートであり、構成定義送受信部21で実行される。
既設スイッチ2Aの構成定義送受信部21は、新設スイッチ1の構成定義送受信部11から構成定義要求メッセージ71を受信すると、既設スイッチ2Aの構成定義24を読み出す(S141)。そして、読み出した内容を構成定義フィールドに格納した構成定義通知メッセージ72を作成する(S142)。そして、作成した構成定義通知メッセージ72を構成定義要求メッセージ71を受信したポートから返信し(S143)、待ち受け状態へ戻る。
以上説明したように、第1の実施の形態のスイッチ1は、運用中のネットワークへ接続された際に、既設スイッチ2Aからフィルタ設定を含む構成定義を受信して、自装置の設定に反映させる。これによって、運用中のネットワークのセキュリティポリシーを反映させるためのフィルタルールを記述する必要がなくなる。新設スイッチの導入に伴って、管理者がフィルタルールを記述する作業が不要になることで、ネットワークの増設に伴う作業コストを低減できる。
また、第1の実施の形態のスイッチを用いると、スイッチ設置時の管理者の操作ミスを防止できる。スイッチの構成定義の中でもフィルタルールの設定を含むセキュリティの設定は、設定内容の誤りがネットワークのセキュリティを低下させるため、指定するプロトコルやポート番号を誤りなく構成定義に記述することが求められる。
本発明のスイッチは、管理者による操作を介さずに、新設スイッチ1に、運用中のセキュリティの設定及びネットワークの運用管理の設定を適用できる。これによって、操作ミスによるセキュリティの低下と管理設定の未適用を防止できる。
(実施形態2)
本発明の第2の実施の形態のスイッチは、起動時に自装置のポートに他のスイッチが接続されたことを検出し、接続された他のスイッチから自動的に構成定義を取得する。この場合、スイッチは、起動後に読み込んだ構成定義中に<synchronization>エレメントが存在しない場合にも、活性状態のポートを自動的に検索し、既設スイッチから構成定義を取得する。
なお、第2の実施の形態では、後述する相違点を除き、前述した第1の実施の形態とスイッチの構成は同じであるため、同一の構成は同一の符号を付し、その説明は省略する。
図20は、第2の実施の形態の新設スイッチ1と既設スイッチ2Aとの間の構成定義同期処理のシーケンス図である。
第2の実施の形態では、構成定義が定義されていない場合に、活性ポートを自動検索して構成情報を取得する。
既設スイッチ2Aは、フィルタルールが設定され(2001)、ネットワーク5内で動作している。
その後、ネットワークの拡張のため、管理者が既設スイッチ2Aと新設スイッチ1との間をケーブルで接続する(2002、2003)。
その後、新設スイッチ1が起動すると、自装置の構成定義14を読み出し、その内容を解析する(2005)。具体的には、構成定義14に<synchronization>エレメントが存在しない場合、活性ポートを検索して(2006)、活性ポートを介して構成定義要求メッセージ71を送信する。
既設スイッチ2Aは、新設スイッチ1から構成定義要求メッセージ71を受信すると、構成定義24を読み出し、読み出した構成定義を格納した構成定義通知メッセージ72を生成する。そして、生成した構成定義通知メッセージ72を、構成定義要求メッセージ71の応答として、新設スイッチ1へ返信する。
新設スイッチ1は、構成定義通知メッセージ72を受信することによって、既設スイッチ2Aに設定された構成定義を取得する。この取得した構成定義によって自装置の構成定義を更新する。また、この構成定義通知メッセージ72からフィルタ設定を抽出し、フィルタ設定を更新する(2007)。
新設スイッチ1は、フィルタの設定が終了すると、端末群3が接続されているポートを開放し、入力されたフレームの転送を開始する(2008)。
図21は、第2の実施の形態の構成定義の同期処理の説明図であり、新設スイッチ1の構成定義14が定義されていないときに活性ポートを自動検索する場合の、スイッチ内及びスイッチ間のメッセージの通信を示す。
まず、新設スイッチ1が起動すると、自装置の構成定義14を読み出し(2011)、その内容を解析する。その後、利用可能なポートを検索する。そして検索されたポートを介して、既設スイッチ2の構成定義送受信部21へ構成定義要求メッセージ71を送信する。
既設スイッチ2の構成定義送受信部21は、新設スイッチ1から構成定義要求メッセージ71を受信すると、構成定義24の内容を読み出し(2012)、構成定義24の内容を格納した構成定義通知メッセージ72を作成する。そして、作成した構成定義通知メッセージ72を新設スイッチ1へ返信する。
新設スイッチ1の構成定義送受信部11は、既設スイッチ2から構成定義通知メッセージ72を受信すると、受信したメッセージから構成定義を抽出し、抽出された構成定義の内容によって自装置の構成定義14を更新する(2013)。その後、構成定義管理部13へ構成定義の更新を通知する(2014)。
構成定義管理部13は、構成定義送受信部11から構成定義の更新通知を受信すると、自装置内の構成定義14を読み出して(2015)、更新されたフィルタルールをフィルタ部16に適用する(2016)。その後、フレーム転送部15へフレーム転送の開始を指示する(2017)。
図22は、第2の実施の形態の管理者が構成定義要求操作を実行した場合の処理のフローチャートであり、構成定義送受信部11で実行される。
スイッチ1が起動すると(S201)、構成定義送受信部11は、自装置の構成定義14が既に定義されているか否かを調べる(S202)。その結果、構成定義14が定義されていなければ、活性ポートを介して、既設スイッチ2Aとの間で構成定義要求メッセージ71及び構成定義通知メッセージ72を送受信する(図16参照)。
一方、構成定義14が既に定義されていれば、構成定義14を読み出し、読み出した構成定義の内容を解析する(S203)。そして、当該構成定義に既設スイッチとの同期を指示する<synchronization>エレメントが存在するか否かを調べる(S204)。
その結果、<synchronization>エレメントが存在しなければ、活性ポートを介して、既設スイッチ2Aとの間で構成定義要求メッセージ71及び構成定義通知メッセージ72を送受信する(図16参照)。
一方、<synchronization>エレメントが存在すれば、構成定義に記述された方法で、既設スイッチ2Aとの同期が必要であると判定し、さらに<synchronization>エレメント内に<interface>エレメントが存在するか否かを調べる(S205)。<interface>エレメントが存在すれば、<interface>エレメントで指定されるポートを介して、既設スイッチ2Aとの間で構成定義要求メッセージ71及び構成定義通知メッセージ72を送受信する(図15参照)。
一方、<interface>エレメントが存在しなければ、活性ポートを介して、既設スイッチ2Aとの間で構成定義要求メッセージ71及び構成定義通知メッセージ72を送受信する(図16参照)。
第2の実施の形態の既設スイッチ2Aの構成定義送受信部21は、第1の実施の形態の構成定義送信処理(図19)と同様に動作する。すなわち、構成定義要求メッセージ71を受信すると、構成定義24を読み出し(S141)、読み出した構成定義を含む構成定義通知メッセージ72を作成し(S142)、構成定義通知メッセージ72を送信する(S143)。
また、新設スイッチ1の構成定義管理部13は、第1の実施の形態の構成定義更新処理(図17)と同様に動作する。すなわち、構成定義送受信部から構成定義の更新通知を受信すると、構成定義14を読み出し(S131)、更新されたフィルタルールをフィルタ部に設定し(S133)、他の設定項目があればそれを反映し(S134)、フレーム転送部15へフレーム転送の開始を指示する(S135)。
図23は、第2の実施の形態の新設スイッチ1と既設スイッチ2Aとの間の別の構成定義同期処理のシーケンス図である。
図23に示す構成定義同期処理は、リンクアップを契機に構成定義を同期させる。すなわち、新設スイッチ1と既設スイッチ2Aとをケーブルで接続すると、回線インターフェースが活性状態へと遷移する。この活性状態への遷移を契機に、新設スイッチ1と既設スイッチ2Aとの間で構成定義を同期させる。
電源の投入によって新設スイッチ1が起動すると(2021)、活性状態のポートがあるかを調べる(2022)。その結果、活性状態のポートがなければ待ち受け状態に入る。
待ち受け状態の新設スイッチ1と既設スイッチ2Aとが接続されると(2023、2024)、新設スイッチ1は回線インターフェースの活性状態への遷移を検出する。そして、新設スイッチ1は、活性状態に遷移したポートを介して、既設スイッチ72に、構成定義要求メッセージ71を送信する。
既設スイッチ2Aは、新設スイッチ1から構成定義要求メッセージ71を受信すると、構成定義24を読み出し、読み出した構成定義を格納した構成定義通知メッセージ72を生成する。そして、生成した構成定義通知メッセージ72を、構成定義要求メッセージ71の応答として、新設スイッチ1へ返信する。
新設スイッチ1は、構成定義通知メッセージ72を受信することによって、既設スイッチ2Aに設定された構成定義を取得する。この取得した構成定義によって自装置の構成定義を更新する。また、この構成定義通知メッセージ72からフィルタ設定を抽出し、フィルタ設定を更新する(2025)。
新設スイッチ1は、フィルタの設定が終了すると、更新されたフィルタルールを適用してフレーム転送を開始する(2026)。
図23に示す構成定義同期処理時の新設スイッチ1及び既設スイッチ2Aの構成は、図21にて前述したものと同じである。新設スイッチ1の構成定義送受信部11は、第1の実施の形態の構成同期処理(図15)と同様に動作する。すなわち、活性状態に遷移したポートを指定して(S111)、指定ポートを介して構成定義要求メッセージ71を送信する(S112)。そして、既設スイッチ2Aから構成定義通知メッセージ72を受信すると(S114)、構成定義14を更新し(S115)、構成定義14の更新を構成定義管理部13へ通知する(S116)。
また、既設スイッチ2Aの構成定義送受信部21は、前述した第1の実施の形態の構成定義送信処理(図19)と同様に動作する。すなわち、構成定義要求メッセージ71を受信すると、構成定義24を読み出し(S141)、読み出した構成定義を含む構成定義通知メッセージ72を作成し(S142)、構成定義通知メッセージ72を送信する(S143)。
また、新設スイッチ1の構成定義管理部13は、第1の実施の形態の構成定義送信処理(図17)と同様に動作する。すなわち、構成定義送受信部11から構成定義の更新通知を受信すると、構成定義14を読み出し(S131)、更新されたフィルタルールをフィルタ部に設定し(S133)、フレーム転送部15へフレーム転送の開始を指示する(S135)。
以上説明したように、第2の実施の形態のスイッチ1は、新設スイッチ1の起動時に既設スイッチ2Aから新設スイッチ1へ構成定義を通知することによって、起動時にフィルタ設定を同期することができる。また、リンクアップを契機に既設スイッチ2Aから新設スイッチ1へ構成定義を通知することによって、起動時だけでなく、運用開始後にもフィルタ設定を同期することができる。起動時及び運用開始後にフィルタ設定を同期させることによって、任意の時点で新設スイッチ1のフィルタ設定を同期させ、セキュリティの低下を防止することができる。
(実施形態3)
本発明の第3の実施の形態のスイッチは、前述したように構成定義内に隣接スイッチとの構成定義同期の指示を記述するだけでなく、新設スイッチを既設スイッチに接続した後、既設スイッチ側の入出力装置104から構成定義の同期を指示することができる。このため、既設スイッチと新設スイッチの間でセキュリティ設定及び運用管理設定を同期させることができる。
なお、第3の実施の形態では、後述する相違点を除き、前述した第1の実施の形態とスイッチの構成は同じであるため、同一の構成は同一の符号を付し、その説明は省略する。
図24は、第3の実施の形態の新設スイッチ1と既設スイッチ2Aとの間の構成定義同期処理のシーケンス図である。
既設スイッチ2Aは、フィルタルールが設定され(3001)、ネットワーク5内で動作している。
その後、ネットワークの拡張のため、管理者が既設スイッチ2Aと新設スイッチ1との間をケーブルで接続する(3002、3003)。
その後、管理者が既設スイッチ2Aの入出力装置104を介して構成定義要求を指示すると(3004)、構成定義24を読み出し、読み出した構成定義を格納した構成定義通知メッセージ72を生成する。そして、生成した構成定義通知メッセージ72を、構成定義要求メッセージ71の応答として、新設スイッチ1へ送信する。
新設スイッチ1は、構成定義通知メッセージ72を受信することによって、既設スイッチ2Aに設定された構成定義を取得する。この取得した構成定義によって自装置の構成定義を更新する。また、この構成定義通知メッセージ72からフィルタ設定を抽出し、フィルタ設定を更新する(3005)。
新設スイッチ1は、フィルタの設定が終了すると、更新されたフィルタルールを適用してフレーム転送を開始する(3006)。
図25は、第3の実施の形態の新設スイッチに構成定義の同期を指示する画面の説明図である。
管理者は、既設スイッチ2Aの入出力装置104を操作して、この設定画面によって構成定義の同期を実行するポートを指定する。この設定画面には、既設スイッチ2Aが持つポートの名称と、それらのポートと隣接スイッチとの間のリンク状態とが表示される。管理者は、設定画面上に表示された複数のポートのうち、既設スイッチ2Aと構成定義を同期させる新規スイッチ1が接続されたポートを指定する。
管理者は、設定画面に表示されるポート毎のリンク状態を確認できるため、新規スイッチ1と既設スイッチ2Aとの接続時に、接続に利用しているポートを容易に把握できる。このため、管理者は構成定義を同期させるポートを指定する際の作業誤りを軽減できる。
入出力装置104は、ポート番号の妥当性(ポートの有効/無効及び活性/不活性)、を調べた結果を表示し、有効かつ活性なポートである場合は、該当ポートを介した構成定義同期の成功又は失敗を入出力装置104に表示する。
なお、管理者が、コマンド・ライン・インターフェースによって構成定義の同期に利用するポートを指定するように構成することもできる。その場合、管理者は、構成定義の同期を表すコマンド文字列と、利用するポートの番号を入力する。
図26は、第3の実施の形態の構成定義の同期処理の説明図であり、既設スイッチ2Aから構成情報の同期を指示する場合の、スイッチ内及びスイッチ間のメッセージの通信を示す。
まず、新設スイッチ1と既設スイッチ2Aとが接続された状態で、管理者は既設スイッチ2A側の入出力装置へ構成定義の同期指示を入力する(3011)。
構成定義設定22は、管理者が入力した構成定義の同期指示を受信すると、構成定義送受信部21に送る(3012)。
構成定義送受信部21は、管理者が入力した構成定義の同期指示を受信すると、受信した同期指示に含まれる利用ポート番号を解析する。そして、解析された番号のポートの有効性及びポートの活性状態を調べる。そして、ポートが利用可能であれば、構成定義24の内容を読み出し(3013)、構成定義24の内容を格納した構成定義通知メッセージ72を作成する。そして、作成した構成定義通知メッセージ72を新設スイッチ1へ送信する。
新設スイッチ1の構成定義送受信部11は、既設スイッチ2から構成定義通知メッセージ72を受信すると、受信したメッセージから構成定義を抽出し、抽出された構成定義の内容によって自装置の構成定義14を更新する(3014)。その後、構成定義管理部13へ構成定義の更新を通知する(3015)。
構成定義管理部13は、構成定義送受信部11から構成定義の更新通知を受信すると、自装置内の構成定義14を読み出して(3016)、更新されたフィルタルールをフィルタ部16に適用する(3017)。その後、フレーム転送部15へフレーム転送の開始を指示する(3018)。
図27は、第3の実施の形態の構成定義送信処理のフローチャートであり、既設スイッチ2A側から構成定義の同期を指示する場合に、構成定義送受信部21で実行される。
既設スイッチ2Aの構成定義送受信部21は、管理者が入力した構成定義同期指示を受信すると、その内容を解析しポート番号を抽出する。そして、管理者が指定した番号のポートが有効か否か、活性状態であるか否か、また、アップリンクかダウンリンクかを調べる(S301)。
その結果、指定されたポートが有効であり、活性状態であり、かつ、アップリンク状態であれば、構成定義24を読み出す(S302)。そして、読み出した内容を構成定義フィールドに格納した構成定義通知メッセージ72を作成する(S303)。そして、作成した構成定義通知メッセージ72を当該ポートから返信し(S304)、待ち受け状態へ戻る。
一方、指定されたポートが無効である、活性状態でない、又は、ダウンリンク状態であるのいずれかの場合、構成定義設定部22へエラーを通知する(S305)。
以上説明したように、第3の実施の形態のスイッチは、既設スイッチの2A入出力装置から構成定義の同期を指示することができるので、スイッチの起動時だけでなく起動後も、新設スイッチ1と既設スイッチ2Aの間で構成定義を同期させることができる。
また、構成定義の同期に利用するポートを入出力装置104から設定するので、管理者は、構成定義通知メッセージ72の送信先を新設スイッチのみに限定できる。これによって、既設スイッチ2Aに接続されている複数のスイッチ及び端末に構成定義通知メッセージ72が送信されることがない。これによって、セキュリティ設定及び運用管理設定の不要な拡散を防止し、ネットワーク運用上のセキュリティを高めることができる。
図28は、第3の実施の形態の構成定義同期処理のフローチャートであり、構成定義送受信部11で実行される。
構成定義送受信部11は、隣接スイッチ2Aから構成定義通知メッセージ72を受信すると(S311)、構成定義通知メッセージ72中の構成定義フィールドを解析して、通知された構成定義の内容によって新設スイッチ1の構成定義14を更新する(S312)。その後、構成定義管理部13へ構成定義の更新を通知する(S313)。その後、構成定義同期処理を終了して、待ち受け状態へ戻る。
(実施形態4)
本発明の第4の実施の形態のスイッチは、リンクアップを契機として構成定義を既設スイッチから新設スイッチへ通知する際、互いの構成定義の設定状態を把握して構成定義を同期させる。
なお、第4の実施の形態では、後述する相違点を除き、前述した第1の実施の形態とスイッチの構成は同じであるため、同一の構成は同一の符号を付し、その説明は省略する。
図29は、第4の実施の形態の新設スイッチ1と既設スイッチ2Aとの間の構成定義同期処理のシーケンス図である。
電源の投入によって新設スイッチ1が起動すると(4001)、活性状態のポートがあるかを調べる(4002)。その結果、活性状態のポートがなければ待ち受け状態に入る。
待ち受け状態の新設スイッチ1と既設スイッチ2Aとが接続されると(4003、4004)、新設スイッチ1は回線インターフェースの活性状態への遷移を検出する。そして、新設スイッチ1は、活性状態に遷移したポートを介して、既設スイッチ72に、状態通知メッセージ73を送信する。
既設スイッチ2Aは、新設スイッチ1から状態通知メッセージ73を受信すると、自装置の状態を状態通知メッセージ73にして、新設スイッチ1へ返信する。この状態通知メッセージ73の交換によって、新設スイッチ1及び既設スイッチ2Aは、互いの構成定義の設定状態を把握する。
新設スイッチ1は、状態通知メッセージ73を受信すると、新設スイッチ1の設定状態及び既設スイッチ2Aの設定状態を調べる。そして、新設スイッチ1が未設定状態で、かつ既設スイッチ2Aが既設定状態の場合に、当該ポートを介して、既設スイッチ2Aに、構成定義要求メッセージ71を送信する。
既設スイッチ2Aは、新設スイッチ1から構成定義要求メッセージ71を受信すると、構成定義24を読み出し、読み出した構成定義を格納した構成定義通知メッセージ72を生成する。そして、生成した構成定義通知メッセージ72を、構成定義要求メッセージ71の応答として、新設スイッチ1へ返信する。
新設スイッチ1は、構成定義通知メッセージ72を受信することによって、既設スイッチ2Aに設定された構成定義を取得する。この取得した構成定義によって自装置の構成定義を更新する。また、この構成定義通知メッセージ72からフィルタ設定を抽出し、フィルタ設定を更新する(4005)。
図30は、第4の実施の形態の状態通知メッセージ73のフォーマットの説明図である。
状態通知メッセージ73は、ヘッダ711、メッセージ種別フィールド731、同期状態フィールド732及び設定状態フィールド733を含む。
ヘッダ711の宛先アドレスフィールドには、状態通知先のスイッチのMACアドレスが格納される。ヘッダ711の信元アドレスフィールドには、状態通知元のスイッチのMACアドレスが格納される。ヘッダ711のTypeフィールドには、第4の実施の形態の構成定義同期処理に用いるメッセージであることを示す識別子が格納される。
メッセージ種別フィールド731には、状態通知であることを表す識別子が格納される。
同期状態フィールド732には、メッセージの宛先のスイッチとの同期状態が格納される。
設定状態フィールド733には、自装置の構成定義の設定状態が格納される。具体的には、状態通知メッセージ73を送信する際、スイッチが初期状態で起動したままの場合(すなわち、構成定義が設定されていない場合)は未設定状態のフラグが設定される。また、既に構成定義が設定されている場合は、既設定状態のフラグが設定される。
図31は、第4の実施の形態の構成定義の同期処理の説明図であり、スイッチの同期状態によって構成定義を同期する場合の、スイッチ内及びスイッチ間のメッセージの通信を示す。
第4の実施の形態の新設スイッチ1は、同期状態管理テーブル17aを備える。また、既設スイッチ2Aは、同期状態管理テーブル17bを備える。同期状態管理テーブル17a、17bは、各スイッチのメモリに格納されている。
新設スイッチ1が起動し、隣接するスイッチとの間でリンクが確立すると、構成定義送受信部11は、同期状態管理テーブル17aから同期状態を読み出して(4011)、状態通知メッセージ73を作成する。そして、作成した状態通知メッセージ73を、リンクアップしたポートを介して隣接する既設スイッチ2Aへ送信する。
既設スイッチ2の構成定義送受信部21は、新設スイッチ1から状態通知メッセージ73を受信すると、同期状態管理テーブル17bから同期状態を読み出して(4012)、状態通知メッセージ73を作成する。そして、作成した状態通知メッセージ73を、新設スイッチ1へ返信する。
新設スイッチ1は、状態通知メッセージ73を受信すると、自装置及び隣接する装置の状態を判定する。その結果、新設スイッチ1が未設定状態で、かつ既設スイッチ2Aが既設定状態の場合に、既設スイッチ2の構成定義送受信部21へ構成定義要求メッセージ71を送信する。
既設スイッチ2の構成定義送受信部21は、新設スイッチ1から構成定義要求メッセージ71を受信すると、構成定義24の内容を読み出し(4013)、構成定義24の内容を格納した構成定義通知メッセージ72を作成する。そして、作成した構成定義通知メッセージ72を新設スイッチ1へ返信する。
新設スイッチ1の構成定義送受信部11は、既設スイッチ2から構成定義通知メッセージ72を受信すると、受信したメッセージから構成定義を抽出し、抽出された構成定義の内容によって自装置の構成定義14を更新する(4014)。その後、構成定義管理部13へ構成定義の更新を通知する(4015)。
構成定義管理部13は、構成定義送受信部11から構成定義の更新通知を受信すると、自装置内の構成定義14を読み出して(4016)、更新されたフィルタルールをフィルタ部16に適用する(4017)。その後、フレーム転送部15へフレーム転送の開始を指示する(4018)。
図32は、第4の実施の形態の同期状態管理テーブル17aの説明図である。
なお、新設スイッチ1に備わる同期状態管理テーブル17aについて説明するが、既設スイッチ2Aに備わる同期状態管理テーブル17bの構成も同一である。
同期状態管理テーブル17aは、ポート番号、同期状態及び隣接スイッチの状態を含む。
ポート番号は、スイッチ1に備わるポートの番号である。同期状態は、当該ポートに接続された隣接スイッチとの構成定義の同期状態である。隣接スイッチの状態は、接続された隣接スイッチの構成定義の設定状態である。
図33は、第4の実施の形態の同期状態の遷移の説明図である。図33に示される同期状態は、同期状態管理テーブル17a、17bの「同期状態」欄に格納される。
第4の実施の形態では、スイッチ1の同期状態は、リンクダウン4021、リンクアップ4022、状態通知受信4023、状態通知送信4024、状態通知完了4025及び構成定義同期4026の、六つの状態があり、ポート毎にその状態が判定される。
リンクダウン状態4021は、ポートに何も接続されていない状態、又は、入出力装置104によってポートが不活性に設定されている状態である。リンクアップ状態4022は、回線インターフェースが活性になっている状態である。
状態通知受信状態4023は、隣接するスイッチから状態通知メッセージを受信したが、状態通知メッセージを送信していない状態である。状態通知送信状態4024は、隣接するスイッチへ状態通知メッセージを送信したが、状態通知メッセージを受信していない状態である。
状態通知完了状態4025は、隣接するスイッチとの間で状態通知メッセージを送受信が完了した状態である。構成定義同期状態4026は、構成定義の同期が完了した状態である。
構成定義送受信部11は、リンクダウン状態4021において、ポートに隣接スイッチが接続されて回線インターフェースが活性状態になると、そのポートの状態はリンクアップ4022へ遷移する。
第4の実施の形態のスイッチは、ポートがリンクアップ状態4022に遷移した場合、予め定められた待ち時間の後に、そのポートを介して隣接スイッチへ、自装置の構成定義の設定状態を格納した状態通知メッセージ73を送信する。状態通知メッセージ73の送信後、そのポートの状態は状態通知送信状態4023へ遷移する。
状態通知メッセージ73を送信した後、そのポートを介して隣接スイッチから状態通知メッセージを受信すると、そのポートの状態は状態通知完了状態4025へ遷移する。
また、リンクアップ状態に遷移したポートで、状態通知メッセージ73を送信する前に、隣接するスイッチから状態通知メッセージ73を受信した場合、そのポートの状態は状態通知受信状態4024へ遷移する。
ポートの状態が状態通知受信状態4024に遷移すると、自装置の構成定義の設定状態を含めた状態通知メッセージ73をそのポートから隣接スイッチへ返信する。そして、この状態通知メッセージ73の送信後、そのポートの状態は状態通知完了状態4024へ遷移する。
また、状態通知完了状態4024に遷移したポートがあると、当該ポートに接続された隣接スイッチと、このスイッチとの間で、互いの構成定義の設定状態を把握している。自装置及び隣接スイッチの構成定義の設定状態に応じて以下のように動作する。
自装置及び隣接スイッチの双方が未設定状態である場合、又は双方が既設定状態である場合、ポートの状態は状態通知完了状態4024から構成定義同期状態4025へ遷移する。
自装置が未設定状態で、隣接スイッチが既設定状態である場合、隣接スイッチへ構成定義要求メッセージ71を送信し、その返信として隣接スイッチから構成定義通知メッセージ72を受信する。この構成定義通知メッセージ72を解析し、自装置の構成定義を変更する。そして、ポートの状態は状態通知完了状態4024から構成定義同期状態4025へ遷移する。
自装置が既設定状態で隣接スイッチが未設定状態である場合、隣接スイッチからの構成定義要求メッセージ71を待ち受け、構成定義要求メッセージ71の返信として構成定義通知メッセージ72を送信する。そして、隣接スイッチが構成定義通知メッセージの内容によって構成定義を変更した後、ポートの状態は状態通知完了状態4024から構成定義同期状態4025へ遷移する。
また、隣接スイッチと構成定義を同期させた後に、構成定義を消去すると、リンクアップしている全てのポートの状態は構成定義同期状態4025からリンクアップ状態4022へ遷移する。この状態は、初期状態において既設装置に接続された場合と等しい。隣接スイッチには構成定義が設定されているので、再度この隣接スイッチとの間で、状態通知メッセージ73、構成定義要求メッセージ71及び構成定義通知メッセージ72を送受信して、構成定義を同期する。
図34は、第4の実施の形態の設定状態の遷移の説明図である。図33に示される同期状態は、同期状態管理テーブル17a、17bの「隣接スイッチの状態」欄に格納される。
未設定状態のスイッチは、隣接スイッチからの構成定義の通知72、又は入出力装置104にからの構成定義の設定によって既設定状態4031に遷移する。既設定状態4031のスイッチは、構成定義の消去によって未設定状態4032へ遷移する。
また、ポートがリンクアップして隣接スイッチからの構成定義を待ち受けているスイッチは、構成定義待受状態4033となる。構成定義待受状態4033のスイッチは、構成定義の通知72の受信によって既設定状態4031へ遷移し、タイムアウト又は通知不許可により未設定状態4032へ遷移する。
図35は、第4の実施の形態の状態通知送信処理のフローチャートであり、構成定義送受信部11及び21で実行される。
新設スイッチ1及び既設スイッチ2Aは、自装置のポートがリンクアップすると、状態通知送信処理を開始する(S401)。
まず、同期状態管理テーブル17a等を参照し、自装置の構成定義の設定状態を調べる(S402)。そして、その設定状態を格納し、同期状態をリンクダウン状態に設定した状態通知メッセージを作成する(S403)。
この状態通知メッセージをリンクアップしたポートを介して送信する(S404)。そして、同期状態管理テーブル17a等に格納された当該ポートの同期状態を、状態通知送信状態へ更新する(S405)。
最後に、状態通知タイマを設定する(S406)。この状態通知タイマによって、隣接スイッチから状態通知の受信を待受時間が定まる。
すなわち、待受状態にある構成定義送受信部11、21は、状態通知タイマの動作中は、隣接スイッチから状態通知の受信を待ち受ける。その後、状態通知タイマがタイムアップすると、再度、状態通知処理を開始し、リンクアップしたポートを介して状態通知メッセージ73を送信する。これによって、状態通知を送信した隣接スイッチから状態通知を受信しない場合に、隣接スイッチに再度自装置の設定状態を通知する。
その後、待ち受け状態へ戻り、状態通知送信フローを終了する(S407)。
図36は、第4の実施の形態の状態通知受信処理のフローチャートであり、構成定義送受信部11及び21で実行される。
新設スイッチ1及び既設スイッチ2Aは、隣接スイッチから状態通知メッセージ73を受信すると、状態通知受信フローを開始する(S411)。
まず、状態通知メッセージ73を受信したポートに状態通知タイマが設定されている場合、その状態通知タイマを解除する(S412)。
続いて、受信した状態通知メッセージを解析して、隣接スイッチの設定状態を状態通知メッセージから抽出する(S413)。そして、隣接スイッチの構成定義の設定状態を同期状態管理テーブルに反映する(S414)。
その後、構成定義要求送信処理を実行し、隣接スイッチに構成定義要求メッセージを送信するかを判定する(S415)。その後、待ち受け状態へ戻り、状態通知受信フローを終了する(S416)。
図37は、第4の実施の形態の構成定義要求処理のフローチャートであり、構成定義送受信部11、12で実行される。
新設スイッチ1及び既設スイッチ2Aは、状態通知メッセージ73の受信による同期状態管理テーブル17a等の更新に続き、構成定義要求送信処理を開始する。
同期状態管理テーブル17a等から、状態通知メッセージ73を受信したポートの同期状態を取得する(S422)。
そして、隣接スイッチとの同期状態が状態通知完了状態であるか否かを調べる(S423)。その結果、隣接スイッチとの同期状態が状態通知完了状態でなければ(状態通知受信状態であれば)、隣接スイッチが自装置の状態通知メッセージ73を認識していないので、状態通知送信処理(図35)を実行する(S424)。
一方、隣接スイッチとの同期状態が状態通知完了状態であれば、自装置と隣接スイッチが状態通知メッセージ73を交換済みなので、自装置と隣接スイッチの構成定義の設定状態を比較する(S425)。
その結果、自装置が未設定状態でかつ隣接スイッチが既設定状態であれば、構成定義要求メッセージ71を作成して(S426)、作成した構成定義要求メッセージ71を隣接スイッチに送信する(S427)。
新設スイッチ1の構成定義送受信部11は、前述と同様に、構成定義要求メッセージ71に対する構成定義通知メッセージ72の受信によって、構成定義を同期し、フィルタ設定を同期する。新設スイッチ1の構成定義管理部13は、前述と同様に、更新された構成定義に基づいてフィルタルールを更新する。
一方、自装置が未設定状態ではなく、又は隣接スイッチが既設定状態でなければ、構成定義を同期しない。
その後、構成定義要求処理を終了する(S428)。
第4の実施の形態では、新設スイッチが未設定でかつ既設スイッチが設定済の場合を例として説明したが、状態通知メッセージ中に詳細な状態情報を格納することで、新設スイッチと既設スイッチの間の構成定義の同期動作を細かく制御することもできる。
以上説明したように、第4の実施の形態では、設定状態通知メッセージ73の送受信によって、接続されたスイッチ間での構成定義を同期の必要性を判定する。そして、構成定義の同期が必要と判定すると、構成定義要求メッセージ71及び構成定義通知メッセージ72の送受信によって、互いに接続されたスイッチ間で構成定義を同期させる。
これによって、スイッチの設定状態に応じて構成定義を設定できる。また、新規導入装置への管理ポリシー及びセキュリティポリシーを自動的に適用することによって、ネットワークの拡張に伴う管理コストを低減し、セキュリティ低下リスクを軽減することができる。
(実施形態5)
本発明の第5の実施の形態は、構成定義が同期したスイッチの一方がフィルタ設定を変更した場合に、両スイッチが自動的にフィルタ設定を同期させる場合について説明する。
第5の実施の形態では、既設スイッチ2Aにおける構成定義の変更を、新設スイッチ1に自動的に適用する場合を説明する。
なお、第5の実施の形態では、後述する相違点を除き、前述した第1の実施の形態とスイッチの構成は同じであるため、同一の構成は同一の符号を付し、その説明は省略する。
図38は、第5の実施の形態の新設スイッチ1と既設スイッチ2Aとの間の構成定義同期処理のシーケンス図である。
新設スイッチ1と既設スイッチ2Aとの間で構成定義が同期される(5001)。その後、既設スイッチ2Aでフィルタの設定が変更される(5002)。例えば、異なる種類のパケットを廃棄するフィルタルールが追加される。
既設スイッチ2Aでフィルタ設定を変更すると、既設スイッチ2Aは、新設スイッチ1へ、構成定義通知メッセージ72が送信する。この構成定義通知メッセージ72は、追加されたフィルタルールの記述が含む。
新設スイッチ1は、既設スイッチ2Aから受信した構成定義通知メッセージ72を解析し、追加されたフィルタルールを自装置に追加する(5003)。
図39は、第5の実施の形態の構成定義通知メッセージ72の構成定義フィールド721の説明図であり、既設スイッチ2Aでフィルタ設定が更新された時に、既設スイッチ2Aから新設スイッチ1へ通知される構成定義通知メッセージの構成定義フィールドの内容を示す。
図39に示す構成定義フィールド721は、図7にて説明した構成定義フィールド721に加え、<flow>エレメントに、宛先ポート番号が445番のTCPパケットを破棄する設定が記述されている。
図40は、第5の実施の形態の構成定義の同期処理の説明図であり、既設スイッチ2Aのフィルタ設定が変更された場合の、スイッチ内及びスイッチ間のメッセージの通信を示す。
第5の実施の形態の既設スイッチ2Aは、構成定義通知管理テーブル28を備える。構成定義通知管理テーブル28は、既設スイッチ2Aのメモリに格納されており、構成定義通知メッセージ72を送信したポートを検索するために用いられる。
新設スイッチ1の構成定義と既設スイッチ2Aの構成定義とが同期した状態で、管理者は既設スイッチ2Aの入出力装置204でフィルタ設定の変更を指示する(5011)。
構成定義設定部22は、管理者からの設定変更の指示に従って、構成定義24を更新し(5012)、構成定義送受信部21へ構成定義の更新を通知する(5013)。
構成定義送受信部21は、構成定義更新の通知を受信すると、更新された構成定義24の内容を読み出し(5014)、構成定義24の内容を格納した構成定義通知メッセージ72を作成する。次に、構成定義通知管理テーブル28を読み出し(5015)、構成定義通知メッセージの送信記録があるポートを介して、作成した構成定義通知メッセージ72を送信する。
新設スイッチ1の構成定義送受信部11は、既設スイッチ2から構成定義通知メッセージ72を受信すると、受信したメッセージから構成定義を抽出し、抽出された構成定義の内容によって自装置の構成定義14を更新する(5016)。その後、構成定義管理部13へ構成定義の更新を通知する(5017)。
構成定義管理部13は、構成定義送受信部11から構成定義の更新通知を受信すると、自装置内の構成定義14を読み出して(5018)、更新されたフィルタルールをフィルタ部16に適用する(5019)。すなわち、宛先ポート番号が445番のTCPパケットを廃棄対象に加える。
その後、更新されたフィルタルールを適用してフレームを転送する。
図41は、第5の実施の形態のスイッチ2Aのブロック図である。
スイッチ2Aは、CPU203、入出力装置204、メモリ205、外部記憶装置202、ブリッジ206及びスイッチング部207を備える。CPU203、入出力装置204及びメモリ205は、内部バスによって接続されている。
CPU203、入出力装置204、外部記憶装置202、ブリッジ206及びスイッチング部207は、前述した第1の実施の形態のスイッチ1(図9)の対応する構成と同じである。
メモリ205は、CPUにて実行される各種プログラム及びデータを記憶する。具体的には、構成定義送受信プログラム21、構成定義設定プログラム22、構成定義管理プログラム23、構成定義データ24及び構成定義通知管理テーブル28が格納される。構成定義データ24には、フィルタ設定201が格納される。
構成定義通知管理テーブル28は、構成定義通知メッセージ72の各ポートからの送信履歴が格納される(図43参照)。
メモリ205に格納された他の構成は、前述した第1の実施の形態のスイッチ1(図9)の対応する構成と同じである。
図42は、第5の実施の形態のフィルタルールテーブル101の構成図である。
フィルタルールテーブル101は、受信した構成定義通知メッセージ72に従って構成定義送受信部11によって更新される。図42に示すフィルタルールテーブル101は、フィルタルールの更新後を示す。
フィルタルールテーブル101は、ポート、フィルタ条件及び動作のデータを含む。
フィルタ部16は、フィルタルールテーブル101に従って、フィルタ条件に適合するフレームに対し動作に規定された処理をする。
具体的には、構成定義管理部13は、構成定義送受信部11が図7に示す構成定義を受信し、構成定義管理部13に構成定義の更新を通知した場合、宛先ポート番号が137のUDPパケット、宛先ポート番号が138のUDPパケット及び宛先ポート番号が139のTCPパケットを廃棄するようフィルタ部16を設定する。さらに、第5の実施の形態では、構成定義の更新によって、宛先ポート番号が445番のTCPパケットを破棄するように設定される。
図43は、第5の実施の形態の構成定義通知管理テーブル28の構成図である。
構成定義通知管理テーブル28は、ポート番号及び該当ポートでの構成定義通知メッセージの送信の有無を含み、スイッチの全てのポートの情報が格納される。
ここでは、スイッチが備えるポートのうち1番と2番のポートを介して、構成定義通知メッセージが送信され、隣接するスイッチとの間で構成定義が同期していることを示す。
図44は、第5の実施の形態の構成定義送信処理のフローチャートであり、構成定義の初期同期時に構成定義送受信部21で実行される。
既設スイッチ2Aの構成定義送受信部21は、新設スイッチ1の構成定義送受信部11から構成定義要求メッセージ71又は構成定義通知メッセージ送信指示を受信すると、構成定義24を読み出す(S501)。
そして、読み出した内容を構成定義フィールドに格納した構成定義通知メッセージ72を作成する(S502)。そして、作成した構成定義通知メッセージ72を指定されたポートから送信する(S503)。
その後、構成定義通知管理テーブル28に格納された当該ポートの構成定義送受信フラグを「1」に更新する(S504)。この更新によって構成定義を通知したポートがテーブルに記録され、管理者によって構成定義が更新された時に、構成定義通知メッセージを送信すべきポートを検索することができる。
図45は、第5の実施の形態の構成定義送信処理のフローチャートであり、構成定義の変更時に構成定義送受信部21で実行される。
既設スイッチ2Aの構成定義送受信部21は、構成定義設定部22から構成定義更新通知を受信すると、構成定義24を読み出す(S511)。
そして、読み出した内容を構成定義フィールドに格納した構成定義通知メッセージ72を作成する(S512)。そして、構成定義通知管理テーブル28を参照して、構成定義の同期に利用されているポートを検索する。そして、構成定義の送信記録があるポートから、作成した構成定義通知メッセージ72を送信する(S513)。
図46は、第5の実施の形態のポート検索処理のフローチャートであり、図45のステップS513で、構成定義送受信部21によって実行される。
構成定義更新通知の受信に基づき構成定義通知メッセージ72が作成されると、ポート検索処理が開始する(S521)。
構成定義送受信部21は、構成定義通知管理テーブル28の先頭エントリを選択し、先頭エントリのデータを読み出す(S522)。
そして、読み出した先頭エントリの送受信フラグが「1」か否かを調べる(S523)。
その結果、送受信フラグが「1」でない場合、そのポートでは構成定義通知メッセージを送信していないと判定し、何も処理せずにステップS526に進み、次のエントリへ移動する。
一方、送受信フラグが「1」であれば、さらにこのエントリのポートが活性状態か否かを調べる(S524)。
その結果、対象とするポートが活性状態であれば、そのポートを送信ポートであると決定し、決定された送信ポートへ更新内容を含む構成定義通知メッセージ72を送信する(S525)。
一方、送受信フラグが「1」で、かつポートが不活性状態である場合、そのポートに接続されているスイッチとの接続に不具合が発生していると判定し、そのエントリの送受信フラグを「0」にする(S529)。さらに、入出力部204へエラーを出力する(S530)。
その後、次のエントリへ移動する(S526)。
その後、全てのエントリの調査が終了しているかを調べる(S527)。そして、全てのエントリが調査されていれば、ポート検索処理を終了し、構成定義送信処理(図45)に戻る。一方、調査がされていないエントリがあれば、ステップS523に戻り、更に調査を進める。
新設スイッチ1の構成定義送受信部11は、第3の実施の形態の構成定義同期処理(図28)と同様に動作する。すなわち、構成定義通知メッセージ72を受信すると、メッセージから構成定義を抽出し(S311)、構成定義14を更新し(S312)、構成定義管理部13へ構成定義の更新を通知する(S313)。
新設スイッチ1の構成定義管理部13は、第1の実施の形態の構成定義更新処理(図17)と同様に動作する。すなわち、構成定義送受信部11から構成定義の更新通知を受信すると、構成定義14を読み出し(S131)、更新されたフィルタルールをフィルタ部に設定し(S133)、フレーム転送部15へフレーム転送の開始を指示する(S135)。
このように、第5の実施の形態では、構成定義通知メッセージ72の送信によって構成定義を同期させたスイッチに対して、構成定義の更新を通知し、隣接スイッチ1の更新内容を更新することによって、ネットワークの設定変更時に必要な管理者の設定作業を低減できる。また、管理者が人手で作業する場合に問題となる、人的ミスによる設定作業の洩れを回避できる。
なお、第5の実施の形態では既設スイッチ2Aの構成定義送受信部21が、構成定義を同期させたスイッチに対して構成定義の更新を通知したが、既設スイッチ2Aでの構成定義の更新時に活性状態の全てのポートを介して構成定義通知メッセージ72を送信してもよい。
(実施形態6)
本発明の第6の実施の形態は、第5の実施の形態の変形例であり、既設スイッチ2Aから新設スイッチ1に更新された部分の構成定義のみを通知することによって、両者のセキュリティ設定及び運用管理設定を同期させる。
また、第6の実施の形態では、新設スイッチ1が既設スイッチ2Aに構成定義の更新を確認し、構成定義が更新されている場合のみ構成定義を同期させる。
なお、第6の実施の形態では、後述する相違点を除き、前述した第5の実施の形態とスイッチの構成は同じであるため、同一の構成は同一の符号を付し、その説明は省略する。
図47は、第6の実施の形態の構成定義通知メッセージ72の構成定義フィールド721の説明図であり、既設スイッチ2Aでフィルタ設定が更新された時に、既設スイッチ2Aから新設スイッチ1へ通知される構成定義通知メッセージの構成定義フィールドの内容を示す。
<add-config>エレメントは、このエレメント内に含まれる記述が、構成定義の更新部分であることを示す。構成定義通知フィールドの記述は、<add-config>エレメント内に、宛先ポート番号が445番のTCPパケットをフィルタ条件に加える<flow>エレメントを含む。
新設スイッチ1の構成定義送受信部11は、既設スイッチ2Aから構成定義の差分を含んだ構成定義通知メッセージ72を受信すると、構成定義14の該当部分に構成定義通知メッセージに含まれる<flow>エレメントを追加し、構成定義管理部13へ構成定義の更新を通知する。構成定義管理部13は、構成定義更新の通知を受信すると、新しいフィルタルールによってフィルタ部16を更新する。
すなわち、図47に示す構成定義フィールド72を含む構成定義通知メッセージ72によって、既に設定されている3つのフィルタルールに加え、宛先ポート番号が445番のTCPパケットの廃棄がフィルタルールに加えられる。
このように、第6の実施の形態では、既設スイッチ2Aから新設スイッチ1に更新された部分の構成定義のみを通知することによって、両者のセキュリティ設定及び運用管理設定を同期させ際のトラフィックを減少させることができる。
図48は、第6の実施の形態の新設スイッチ1と既設スイッチ2Aとの間の構成定義同期処理のシーケンス図であり、新設スイッチ1が構成定義の更新確認をポーリングする場合を示す。
既設スイッチ2Aは、12時0分に構成定義が更新されている(6001)。そして、この更新時刻が、構成定義24の更新時刻格納領域に保存される(6002)。
その後、既設スイッチ2Aと新設スイッチ1との間で、構成定義要求メッセージ71及び構成定義通知メッセージ72を交換し、構成定義を同期させる(6003)。新設スイッチ1は、フィルタ設定を更新する(6004)。
構成定義の同期後、新設スイッチ1は、隣接する既設スイッチ2Aへ構成定義の最終更新時刻を要求する更新時刻要求メッセージ74Aを所定のタイミングで(例えば、定期的)に送信する。既設スイッチ2Aは、新設スイッチからの最終更新時刻要求メッセージ74Aに対して、更新時刻通知メッセージ75Aで構成定義の最終更新時刻を返信する。ここでは、更新時刻通知メッセージ75A、75Bには、更新時刻12:00が含まれている。
管理者が18:00に既設スイッチのフィルタ設定を変更すると、構成定義24の更新時刻格納領域に更新時刻が保存される(6002)。
その後、新設スイッチ1が、既設スイッチ2Aへ更新時刻要求メッセージ74Cを送信すると、既設スイッチ2Aは、更新時刻18:00を含む更新時刻通知メッセージ75Cを返信する。
新設スイッチ1は、既設スイッチ2Aの更新時刻が変わったことを検出すると、構成定義要求メッセージ71を送信する。そして、新設スイッチ1は、既設スイッチ2Aから構成定義通知メッセージ72を受信すると、既設スイッチ2Aから受信した構成定義に含まれる更新されたフィルタ設定を用いて、フィルタ設定を更新する。
図49及び図50は、第6の実施の形態の構成定義の同期処理の説明図であり、新設スイッチ1が既設スイッチ2Aにポーリングで構成定義の更新を確認する場合の、スイッチ内及びスイッチ間のメッセージの通信を示す。
第6の実施の形態の既設スイッチ2Aの構成定義24は、更新によって内容が変化していない部分242と、更新によって内容が変化した部分241とに区分して記憶されている。
新設スイッチ1の構成定義14は、構成定義が最後に更新された時刻を格納する更新時刻格納領域143含む。更新時刻格納領域143は、構成定義設定部12及び構成定義送受信部11によって更新できる。
既設スイッチ2の構成定義中24は、構成定義が最後に更新された時刻を格納する更新時刻格納領域243を含む。更新時刻格納領域243は、構成定義設定部22及び構成定義送受信部21によって更新できる。
管理者は、既設スイッチ2Aの入出力装置204でフィルタ設定の変更を指示する(6011)。構成定義設定部22は、管理者からの設定変更の指示に従って、構成定義24を更新し、更新時刻を更新時刻格納領域243に格納する(6012)。その後、構成定義送受信部21へ構成定義の更新を通知する(6013)。
新設スイッチ1の構成定義送受信部11は、所定のタイミングになると、既設スイッチ2Aに最終更新時刻要求メッセージ74Aを送信する。
既設スイッチ2の構成定義送受信部21は、構成定義送受信部11から更新時刻要求メッセージ74Aを受信すると、構成定義24から最終更新時刻243を読み出す(6014)。そして、読み出した最終更新時刻243を格納した更新時刻通知メッセージ75Aを作成し、構成定義送受信部11に更新時刻通知メッセージ75Aを送信する。
新設スイッチ1の構成定義送受信部11は、構成定義更新時刻通知メッセージ75Aを受信すると構成定義14から構成定義更新時刻143を読み出す(6014)。そして、既設スイッチ2Aの構成定義更新時刻と自装置の構成定義更新時刻とを比較し、既設スイッチ2Aの構成定義の更新と自装置の構成定義の更新の先行を判定する。
そして、自装置の構成定義の更新より後に、既設スイッチ2Aの構成定義が更新されていれば、既設スイッチ2Aへ構成定義要求メッセージ71を送信する。
構成定義送受信部21は、構成定義更新の通知を受信すると、構成定義24の更新された部分242の内容及び更新時刻を読み出し(6021)、構成定義の更新部分241の内容を格納した構成定義通知メッセージ72を送信する。なお、このとき、構成定義通知メッセージ72に構成定義の最終更新時刻243を含めてもよい。
新設スイッチ1の構成定義送受信部11は、既設スイッチ2から構成定義通知メッセージ72を受信すると、受信したメッセージから構成定義を抽出し、抽出された構成定義の内容によって自装置の構成定義14を更新する(6022)。その後、構成定義管理部13へ構成定義の更新を通知する(6023)。
構成定義管理部13は、構成定義送受信部11から構成定義の更新通知を受信すると、自装置内の構成定義14を読み出して(6024)、更新されたフィルタルールをフィルタ部16に適用する(6025)。その後、フレーム転送部15へフレーム転送の開始を指示する(6026)。
図51は、第6の実施の形態の構成定義確認処理のフローチャートであり、新設スイッチ1がポーリングによって構成定義の更新を確認する場合に、新設スイッチ1側の構成定義送受信部11で実行される。
構成定義送受信部11は、所定のタイミングになると、構成定義更新確認処理を実行する(S601)。
まず、隣接する既設スイッチ2Aに対して、最終更新時刻要求メッセージ74Aを送信する(S602)。その後、構成定義更新時刻通知メッセージ75Aを待ち受ける(S603)。
そして、構成定義更新時刻通知メッセージ75Aを受信すると(S604)、受信した構成定義更新時刻通知メッセージ75Aから、既設スイッチ2Aにおける構成定義の最終更新時刻を抽出する(S605)。また、自装置の構成定義14から構成定義更新時刻を読み出す(S606)。
そして、既設スイッチ2Aの構成定義更新時刻と自装置の構成定義更新時刻とを比較する(S607)。その結果、既設スイッチ2Aの構成定義更新時刻が自装置の構成定義更新時刻より後であれば、既設スイッチ2Aへ構成定義要求メッセージ71を送信して(S608)、新設スイッチの構成定義14を既設スイッチ2Aの構成定義24に同期させる。
一方、構成定義更新時刻要求メッセージ74Aの送信後一定時間が経過しても、既設スイッチ1からの返信がない場合、タイマを設定して(S609)、待ち受け状態へ戻る。構成定義送受信部11は、このタイマによって、一定時間の経過後に構成定義更新確認処理(図51)を再び実行する。
なお、既設スイッチ2Aからの構成定義更新時刻通知メッセージ75Aに含まれる更新時刻が自装置内の構成定義に保持されている更新時刻と同じか早い場合も、タイマを設定して(S609)、待ち受け状態へ戻る。
図52は、第6の実施の形態の構成定義確認処理のフローチャートであり、新設スイッチ1が構成定義の更新をポーリングによって確認する場合に、既設スイッチ2A側の構成定義送受信部21で実行される。
構成定義送受信部21は、新設スイッチ1から更新時刻要求メッセージ74Aを受信すると(S611)、構成定義24から最終更新時刻を読み出す。そして、読み出した最終更新時刻を格納した更新時刻通知メッセージ75Aを作成する(S613)。そして、新設スイッチ1からの更新時刻要求メッセージ74Aを受信したポートを介して更新時刻通知メッセージ75Aを送信する(S614)。
第6の実施の形態の既設スイッチ2Aの構成定義送受信部21は、第1の実施の形態の構成定義送信処理(図19)と同様に動作する。すなわち、構成定義要求メッセージ71を受信すると、構成定義24を読み出し(S141)、読み出した構成定義を含む構成定義通知メッセージ72を作成し(S142)、構成定義通知メッセージ72を送信する(S143)。
また、新設スイッチ1の構成定義送受信部11は、第3の実施の形態の構成定義同期処理(図28)と同様に動作する。すなわち、構成定義通知メッセージ72を受信すると、メッセージから構成定義を抽出し(S311)、構成定義14を更新し(S312)、構成定義管理部13へ構成定義の更新を通知する(S313)。
また、新設スイッチ1の構成定義管理部13は、第1の実施の形態の構成定義更新処理(図17)と同様に動作する。すなわち、構成定義送受信部11から構成定義の更新通知を受信すると、構成定義14を読み出し(S131)、更新されたフィルタルールをフィルタ部に設定し(S133)、フレーム転送部15へフレーム転送の開始を指示する(S135)。
このように、第6の実施の形態では、既設スイッチ2Aから構成定義を受信した新設スイッチ1が、既設スイッチ2Aにおける構成定義の更新を定期的に確認し、既設スイッチ2Aの更新時刻の変化によって構成定義の更新を検出して、構成定義を要求する。よって、既設スイッチ2Aがポート毎の構成定義通知履歴を保持する必要がない。既設スイッチ2Aは、新設スイッチ1からの返信に応じて、構成定義の通知が必要なスイッチが接続されたポートに対してのみ構成定義の更新内容を通知する。
(実施形態7)
本発明の第7の実施の形態は、新設スイッチ1が接続先の既設スイッチ2から構成定義を取得する際に、ネットワーク5に接続されている各種管理サーバの所在に関する情報を取得する。
なお、第7の実施の形態では、後述する相違点を除き、前述した第1の実施の形態とスイッチの構成は同じであるため、同一の構成は同一の符号を付し、その説明は省略する。
図53は、第7の実施の形態のスイッチ含むネットワークの構成図である。
既設のネットワーク5は、ネットワーク内でフレームを転送するスイッチ2A〜2Dを備える。
スイッチ2A〜2Dには、フィルタリングルールが設定されており、設定されたフィルタリングルールに基づいてフレーム及びパケットを選択し、不必要なフレーム及びパケットを廃棄する。これによって、ネットワークのセキュリティを確保するポリシーが運用されている。
スイッチ2A〜2Dには既設の端末群4a及び端末群4bが接続されている。スイッチ1には新規に設置される端末群3が接続されている。
第7の実施の形態では、増加したコンピュータ(端末群3)をネットワークに接続するスイッチ1を新たに設置する場合を考える。この場合、スイッチ1が既設のスイッチ2Aに接続され、スイッチ2Aからフィルタ設定を取得して、自装置に反映させる。
管理サーバ81、82は、既設スイッチ2Cと通信可能に接続されている。本実施の形態では管理サーバとしてSNMPサーバ81及びsyslogサーバ82が設けられている。
SNMPサーバ81は、ネットワークに接続された機器(スイッチ1、2A〜2D)をネットワーク経由で監視し、これらの機器の稼動状態と、トラフィックの状態を管理する。syslogサーバ82は、ネットワークに接続された上記機器の出力するログをネットワーク経由で収集し、一元管理する。新設スイッチ1がこれらのサーバによる稼動状態の監視を受け及びそのログが収集されるためには、これらのサーバのアドレス又はホスト名を状態通知要求元及びログの送信先として新設スイッチ1の構成定義に設定する必要がある。
図54は、第7の実施の形態のスイッチ含むネットワークの構成図であり、スイッチ1に構成定義及び管理サーバの所在の設定が完了した状態を示す。
図55は、第7の実施の形態のスイッチのブロック図である。第7の実施の形態のスイッチは、フィルタ設定1401、syslog設定1402及びSNMP設定1403を構成定義14内に格納する。
前述した実施の形態によって、新設スイッチ1と既設スイッチ2Aとの間で構成定義が同期する際に、新設スイッチ1は既設スイッチ2Aから管理サーバ81及び82のアドレス又はホスト名の情報を取得する。そして、新設スイッチ1は既設スイッチ2Aから取得した管理サーバ81及び82のアドレス又はホスト名を設定することによって、管理サーバ81及び82との通信を開始する。
これにより、新設スイッチ1のネットワークへの導入時に、管理者が管理サーバ81及び82のアドレス又はホスト名を設定することなく、自動的に新設スイッチ1を管理サーバ81及び82による監視及びログ収集の対象とすることができる。新設スイッチ1のネットワークへの導入時に、監視及びログ収集の設定を自動化することによって、管理者によるネットワーク構成の把握を補助し、運用管理がされないネットワーク機器が生じることを防止できる。
なお、第7の実施の形態は、この他に、他の種類のサーバ(例えば、NTPサーバやRADIUS認証サーバ)のアドレスの設定にも適用することができる。
(実施形態8)
本発明の第8の実施の形態は、新設スイッチ1と既設スイッチ2Aとの間にレイヤ2スイッチ84を設けた。
なお、第8の実施の形態では、後述する相違点を除き、前述した第1の実施の形態とスイッチの構成は同じであるため、同一の構成は同一の符号を付し、その説明は省略する。
図58は、第8の実施の形態のスイッチ含むネットワークの構成図である。
第8の実施の形態のネットワークは、ネットワーク内でフレームを転送するスイッチ2A〜2Dを備える。
スイッチ2A〜2Dには、フィルタリングルールが設定されており、設定されたフィルタリングルールに基づいてフレーム及びパケットを選択し、不必要なフレーム及びパケットを廃棄する。これによって、ネットワークのセキュリティを確保するポリシーが運用されている。
スイッチ2A〜2Dには既設の端末群4a及び端末群4bが接続されている。
新設スイッチ1は、レイヤ2スイッチ84を介して、既設スイッチ2Aへ接続される。新設スイッチ1は、起動すると自身の指定ポート又は活性ポートを介して構成定義要求メッセージ71をレイヤ2スイッチ84へ送信する。このとき、構成定義要求メッセージ71のヘッダ711の宛先MACアドレスにはブロードキャストアドレスが格納される。レイヤ2スイッチ84は、新設スイッチ1から送信されたこの構成定義要求メッセージ71の宛先がブロードキャストアドレスであるため、全ポートへ構成定義要求メッセージ71を送信する。したがって、レイヤ2スイッチ84を介して既設スイッチ2Aへ構成定義要求メッセージ71が送信される。
第8の実施の形態の既設スイッチ2Aの構成定義送受信部21は、第1の実施の形態の構成定義送信処理(図19)と同様に動作する。すなわち、レイヤ2スイッチを介して新設スイッチ1から構成定義要求メッセージ71を受信すると、構成定義24を読み出し(S141)、読み出した構成定義を含む構成定義通知メッセージ72を作成し(S142)、構成定義メッセージ72を送信する(S143)。
このとき、構成定義通知メッセージ72のヘッダ711の宛先MACアドレスには、新設スイッチ1が構成定義要求メッセージ71のヘッダ711の送信元MACアドレスに指定したMACアドレスが格納される。既設スイッチ2Aは、新規スイッチ1からの構成定義要求メッセージ71受信時にこのMACアドレスを取得しているため、構成定義通知メッセージ72をレイヤ2スイッチ84に送信する。レイヤ2スイッチ84も同様に新規スイッチ1のMACアドレスを取得しているため、新規スイッチ1の接続されたポートを介して構成定義通知メッセージ72を転送する。
新設スイッチ1の構成定義管理部13は、第1の実施の形態の構成定義更新処理(図17)と同様に動作する。すなわち、構成定義送受信部から構成定義の更新通知を受信すると、構成定義14を読み出し(S131)、更新されたフィルタルールをフィルタ部に設定し(S133)、フレーム転送部にフレーム転送開始を指示する(S135)。
以上説明した動作によって、レイヤ2スイッチ84を介して既設スイッチ2Aに接続された新規スイッチ1が、スイッチ2A〜2Dで構成するネットワークとフィルタルールを同期することができる。これによって、ネットワーク増設時に、管理者が新規スイッチ1へフィルタルールを設定することなく、端末群3への攻撃フレームの送信又は端末群3からの不正なフレームの送信を抑えることができる。
企業網向けの中規模なルータ及びスイッチ、さらに無線LANアクセスポイントへ本発明を適用すると好適である。
第1の実施の形態のスイッチ含むネットワークの構成図である。 第1の実施の形態のスイッチ含むネットワークの構成図である。 第1の実施の形態の構成定義同期処理のシーケンス図である。 第1の実施の形態の構成定義要求メッセージのフォーマットの説明図である。 第1の実施の形態の構成定義通知メッセージのフォーマットの説明図である。 第1の実施の形態の構成定義通知メッセージの構成定義フィールドの説明図である。 第1の実施の形態の構成定義通知メッセージの別の構成の構成定義フィールドの説明図である。 第1の実施の形態のスイッチの機能ブロック図である。 第1の実施の形態のスイッチのブロック図である。 第1の実施の形態の新設スイッチの構成定義の記述例の説明図である。 第1の実施の形態の新設スイッチの構成定義の別の記述例の説明図である。 第1の実施の形態の構成定義同期指示画面の説明図である。 第1の実施の形態の構成定義の同期処理の説明図であり 第1の実施の形態の管理者が構成定義要求操作を実行した場合の処理のフローチャートである。 第1の実施の形態の指定ポートを介した構成定義同期処理のフローチャートである。 第1の実施の形態の活性ポートを介した構成定義同期処理のフローチャートである。 第1の実施の形態の構成定義更新処理のフローチャートである。 第1の実施の形態のフィルタルールテーブルの構成図である。 第1の実施の形態の構成定義送信処理のフローチャートである。 第2の実施の形態の構成定義同期処理のシーケンス図である。 第2の実施の形態の構成定義の同期処理の説明図である。 第2の実施の形態の管理者が構成定義要求操作を実行した場合の処理のフローチャートである。 第2の実施の形態の別の構成定義同期処理のシーケンス図である。 第3の実施の形態の構成定義同期処理のシーケンス図である。 第3の実施の形態の構成定義同期指示画面の説明図である。 第3の実施の形態の構成定義の同期処理の説明図である。 第3の実施の形態の構成定義送信処理のフローチャートである。 第3の実施の形態の構成定義同期処理のフローチャートである。 第4の実施の形態の構成定義同期処理のシーケンス図である。 第4の実施の形態の状態通知メッセージのフォーマットの説明図である。 第4の実施の形態の構成定義の同期処理の説明図である。 第4の実施の形態の同期状態管理テーブルの説明図である。 第4の実施の形態の同期状態の遷移の説明図である。 第4の実施の形態の設定状態の状態遷移図である。 第4の実施の形態の状態通知送信処理のフローチャートである。 第4の実施の形態の状態通知受信処理のフローチャートである。 第4の実施の形態の構成定義要求処理のフローチャートである。 第5の実施の形態の構成定義同期処理のシーケンス図である。 第5の実施の形態の構成定義通知メッセージの構成定義フィールドの説明図である。 第5の実施の形態の構成定義の同期処理の説明図である。 第5の実施の形態のスイッチのブロック図である。 第5の実施の形態のフィルタルールテーブルの構成図である。 第5の実施の形態の構成定義通知管理テーブルの構成図である。 第5の実施の形態の構成定義送信処理のフローチャートである。 第5の実施の形態の構成定義送信処理のフローチャートである。 第5の実施の形態のポート検索処理のフローチャートである。 第6の実施の形態の構成定義通知メッセージの構成定義フィールドの説明図である。 第6の実施の形態の構成定義同期処理のシーケンス図である。 第6の実施の形態の構成定義の同期処理の説明図である。 第6の実施の形態の構成定義の同期処理の説明図である。 第6の実施の形態の構成定義確認処理のフローチャートである。 第6の実施の形態の構成定義確認処理のフローチャートである。 第7の実施の形態のスイッチ含むネットワークの構成図である。 第7の実施の形態のスイッチ含むネットワークの構成図である。 第7の実施の形態のスイッチのブロック図である。 第8の実施の形態のスイッチ含むネットワークの構成図である。
符号の説明
1 新設スイッチ
2A〜2D 既設スイッチ
3 端末群
4A、4B 端末群
5 ネットワーク
6 ネットワーク
11、21 構成定義送受信部
12、22 構成定義設定部
13、23 構成定義管理部
14、24 構成定義データ
15、25 フレーム転送部
16、26 フィルタ部
81、82、83 管理サーバ
84 レイヤ2スイッチ
85 中継サーバ
101、201 フィルタルール
102、202 外部記憶装置
103、203 CPU
104、204 入出力装置
105、205 メモリ
106、206 ブリッジ
107、207 スイッチング部
108、208 ポート

Claims (10)

  1. ネットワーク内に設けられ、該ネットワーク内でフレームを転送するパケット通信装置であって、
    構成定義を保持する記憶部と、制御プログラムを記憶するメモリと、前記メモリに記憶された制御プログラムを実行するCPUと、複数のポートを備える回線インターフェースと、前記回線インターフェースと接続されるスイッチと、を備え、
    前記構成定義に基づいてフレーム転送機能とフィルタ機能を設定する構成定義管理部と、前記構成定義に関する指示を受け付けるインターフェースを管理者に提供する構成定義設定部と、他のパケット通信装置と前記構成定義を送受信する構成定義送受信部とを、前記CPUが前記制御プログラムを実行することによって構成し、
    前記スイッチは、設定されたフィルタ条件に基づいて、転送されるフレームをフィルタリングし、
    前記構成定義送受信部は、前記ネットワークに設けられた他のパケット通信装置へ構成定義を要求し、前記他のパケット通信装置から構成定義を受信し、前記受信した構成定義に基づいて自装置の構成定義を更新し、前記構成定義管理部へ構成定義の更新を通知し、
    前記構成定義管理部は、前記構成定義送受信部から構成定義の更新の通知を受信すると、前記更新された構成定義を前記記憶部から取得し、前記取得した構成定義に基づいて前記フィルタ条件を設定することを特徴とするパケット通信装置。
  2. 前記構成定義送受信部は、前記パケット通信装置の起動時に、前記ネットワークにて運用中の他のパケット通信装置から構成定義を受信し、当該受信した構成定義を自装置の構成定義に設定することを特徴とする請求項1に記載のパケット通信装置。
  3. 前記構成定義送受信部は、管理者から指定されたポートを介して構成定義の要求を送信することを特徴とする請求項1に記載のパケット通信装置。
  4. 前記構成定義送受信部は、活性状態のポートを検索し、前記検索されたポート介して構成定義の要求を送信することを特徴とする請求項1に記載のパケット通信装置。
  5. 前記構成定義送受信部は、
    前記パケット通信装置の起動時に、前記記憶部から前記構成定義を取得し、
    前記取得した構成定義に、前記ネットワークにて運用中の他のパケット通信装置からの構成定義の取得指示が含まれているか否かを判定し、
    前記構成定義の取得指示が含まれていれば、当該取得指示に従って前記他のパケット通信装置へ構成定義を要求することを特徴とする請求項1に記載のパケット通信装置。
  6. 前記構成定義設定部は、管理者から構成定義の同期の指示を受けると、前記構成定義送受信部へ構成定義の同期を指示し、
    前記構成定義送受信部は、前記構成定義設定部から構成定義の同期の指示を受けると、前記他のパケット通信装置に、構成定義を要求することを特徴とする請求項1に記載のパケット通信装置。
  7. 前記構成定義送受信部は、ポートの状態が活性状態に変化すると、当該ポートを介して構成定義の要求を送信することを特徴とする請求項1に記載のパケット通信装置。
  8. 前記ポートを介した構成定義の同期状態、及び当該ポートに接続された他のパケット通信装置の状態を含む同期状態情報を保持し、
    前記構成定義送受信部は、
    ポートの状態が活性状態に変化すると、当該ポートを介して構成定義の同期状態を通知し、
    前記構成定義の同期状態を通知の応答として、当該ポートに接続された他のパケット通信装置の構成定義の同期状態の通知を受信し、
    前記受信した同期状態に含まれる他のパケット通信装置の状態が既に構成定義が設定されている状態であれば、当該パケット通信装置に構成定義を要求することを特徴とする請求項1に記載のパケット通信装置。
  9. 自装置の構成定義の更新時刻を保持し、
    前記構成定義送受信部は、
    前記構成定義を受信したポートから、前記他のパケット通信装置に周期的に更新時刻を要求し、
    前記他のパケット通信装置からの更新時刻の通知を受信し、
    前記受信した他装置の更新時刻と前記保持された自装置の構成定義の更新時刻とを比較し、
    前記他装置の更新時刻が前記自装置の更新時刻より後であれば、当該他のパケット通信装置に構成定義を要求することを特徴とする請求項1に記載のパケット通信装置。
  10. ネットワーク内に設けられ、該ネットワーク内でフレームを転送するパケット通信装置であって、
    構成定義を保持する記憶部と、制御プログラムを記憶するメモリと、前記メモリに記憶された制御プログラムを実行するCPUと、複数のポートを備える回線インターフェースと、前記回線インターフェースと接続されるスイッチと、を備え、
    前記構成定義に基づいてフレーム転送機能とフィルタ機能を設定する構成定義管理部と、前記構成定義に関する指示を受け付けるインターフェースを管理者に提供する構成定義設定部と、他のパケット通信装置と前記構成定義を送受信する構成定義送受信部とを、前記CPUが前記制御プログラムを実行することによって構成し、
    前記スイッチは、設定されたフィルタ条件に基づいて、転送されるフレームをフィルタリングし、
    前記構成定義送受信部は、前記ネットワーク内に設けられたパケット通信装置へ、自装置に設定された構成定義を送信することを特徴とするパケット通信装置。
JP2005163960A 2005-06-03 2005-06-03 パケット通信装置 Expired - Fee Related JP4620527B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005163960A JP4620527B2 (ja) 2005-06-03 2005-06-03 パケット通信装置
US11/444,456 US20060274674A1 (en) 2005-06-03 2006-06-01 Packet transmitting apparatus for setting configuration

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005163960A JP4620527B2 (ja) 2005-06-03 2005-06-03 パケット通信装置

Publications (3)

Publication Number Publication Date
JP2006340161A JP2006340161A (ja) 2006-12-14
JP2006340161A5 JP2006340161A5 (ja) 2008-04-17
JP4620527B2 true JP4620527B2 (ja) 2011-01-26

Family

ID=37493982

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005163960A Expired - Fee Related JP4620527B2 (ja) 2005-06-03 2005-06-03 パケット通信装置

Country Status (2)

Country Link
US (1) US20060274674A1 (ja)
JP (1) JP4620527B2 (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4797636B2 (ja) * 2006-01-16 2011-10-19 株式会社日立製作所 複合型情報プラットフォーム装置とその情報処理装置構成方法
JP4714111B2 (ja) 2006-08-29 2011-06-29 株式会社日立製作所 管理計算機、計算機システム及びスイッチ
US7860026B2 (en) * 2007-03-07 2010-12-28 Hewlett-Packard Development Company, L.P. Network switch deployment
US8533316B2 (en) 2007-04-27 2013-09-10 Hitachi, Ltd. Management computer for setting configuration information of node
JP4632062B2 (ja) * 2007-06-06 2011-02-16 Necソフト株式会社 アクセス制限情報生成装置およびアクセス制限情報生成方法並びにプログラム
US20090196266A1 (en) * 2008-02-01 2009-08-06 Nokia Corporation Method and apparatuses for mobile communication
US20090240801A1 (en) * 2008-03-22 2009-09-24 Jonathan Rhoads Computer data network filter
JP2009290332A (ja) * 2008-05-27 2009-12-10 Fujitsu Ltd 接続確認機能を有する伝送装置
JP5195229B2 (ja) * 2008-09-26 2013-05-08 日本電気株式会社 ネットワーク、中継ノード、制御パラメータ設定方法、およびプログラム
JP5287199B2 (ja) * 2008-12-10 2013-09-11 富士通株式会社 通信装置用の通信規則適用方法および装置並びに通信装置
JP5218116B2 (ja) * 2009-02-04 2013-06-26 横河電機株式会社 ネットワークシステム
JP5605237B2 (ja) * 2010-06-30 2014-10-15 沖電気工業株式会社 通信制御装置及びプログラム、並びに、通信システム
JP5143198B2 (ja) * 2010-08-24 2013-02-13 株式会社バッファロー ネットワーク中継装置
US8995287B2 (en) * 2011-12-09 2015-03-31 Brocade Communication Systems, Inc. AMPP active profile presentation
US8892696B1 (en) 2012-03-08 2014-11-18 Juniper Networks, Inc. Methods and apparatus for automatic configuration of virtual local area network on a switch device
US20140229595A1 (en) * 2013-02-12 2014-08-14 International Business Machines Corporation Policy assertion linking to processing rule contexts for policy enforcement
US9258198B2 (en) 2013-02-12 2016-02-09 International Business Machines Corporation Dynamic generation of policy enforcement rules and actions from policy attachment semantics
US9363289B2 (en) 2013-02-12 2016-06-07 International Business Machines Corporation Instrumentation and monitoring of service level agreement (SLA) and service policy enforcement
US10666514B2 (en) 2013-02-12 2020-05-26 International Business Machines Corporation Applying policy attachment service level management (SLM) semantics within a peered policy enforcement deployment
US10705669B2 (en) 2013-03-15 2020-07-07 Comcast Cable Communications, Llc Active impression tracking
US8949949B1 (en) * 2014-02-11 2015-02-03 Level 3 Communications, Llc Network element authentication in communication networks
JP6366524B2 (ja) * 2015-02-25 2018-08-01 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
JP2017161990A (ja) * 2016-03-07 2017-09-14 APRESIA Systems株式会社 通信装置
MX2019010159A (es) * 2017-02-28 2019-10-09 Arris Entpr Llc Deteccion automatica de red de area amplia.
JP7247712B2 (ja) 2019-03-29 2023-03-29 株式会社デンソー 中継装置及び中継方法
US11637750B2 (en) * 2021-03-31 2023-04-25 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Providing configuration data to a connected network switch
JP2023135195A (ja) * 2022-03-15 2023-09-28 株式会社東芝 情報処理装置および通信システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000165429A (ja) * 1998-11-30 2000-06-16 Hitachi Cable Ltd 管理機能付スイッチ装置
JP2001326696A (ja) * 2000-05-18 2001-11-22 Nec Corp アクセス制御方法
US6539425B1 (en) * 1999-07-07 2003-03-25 Avaya Technology Corp. Policy-enabled communications networks
JP2004062253A (ja) * 2002-07-25 2004-02-26 Brother Ind Ltd 設定システム、電子機器、及びプログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06177888A (ja) * 1992-12-08 1994-06-24 Toshiba Corp ネットワーク構成情報自動設定システム
JP3542159B2 (ja) * 1994-03-17 2004-07-14 株式会社日立製作所 マルチプロセッサ構造のブリッジ
US5684800A (en) * 1995-11-15 1997-11-04 Cabletron Systems, Inc. Method for establishing restricted broadcast groups in a switched network
US6341127B1 (en) * 1997-07-11 2002-01-22 Kabushiki Kaisha Toshiba Node device and method for controlling label switching path set up in inter-connected networks
CA2281367C (en) * 1999-09-01 2002-12-17 Ibm Canada Limited-Ibm Canada Limitee Method and apparatus for simplified administration of large numbers of similar information handling servers
JP2001304199A (ja) * 2000-04-19 2001-10-31 Minebea Co Ltd 送風機
US6832373B2 (en) * 2000-11-17 2004-12-14 Bitfone Corporation System and method for updating and distributing information
US6973023B1 (en) * 2000-12-30 2005-12-06 Cisco Technology, Inc. Method for routing information over a network employing centralized control
US6791962B2 (en) * 2002-06-12 2004-09-14 Globespan Virata, Inc. Direct link protocol in wireless local area networks
GB2411540B (en) * 2004-02-25 2006-03-29 3Com Corp Cascade control system for network units

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000165429A (ja) * 1998-11-30 2000-06-16 Hitachi Cable Ltd 管理機能付スイッチ装置
US6539425B1 (en) * 1999-07-07 2003-03-25 Avaya Technology Corp. Policy-enabled communications networks
JP2001326696A (ja) * 2000-05-18 2001-11-22 Nec Corp アクセス制御方法
JP2004062253A (ja) * 2002-07-25 2004-02-26 Brother Ind Ltd 設定システム、電子機器、及びプログラム

Also Published As

Publication number Publication date
JP2006340161A (ja) 2006-12-14
US20060274674A1 (en) 2006-12-07

Similar Documents

Publication Publication Date Title
JP4620527B2 (ja) パケット通信装置
US7009941B1 (en) Node-search method, device, and medium on which a node-search program is recorded
JP5846221B2 (ja) ネットワークシステム、及びトポロジー管理方法
AU2003257805B2 (en) Method and system for cluster managing of network facilities
JP5842933B2 (ja) ネットワークシステム、及び経路情報同期方法
US8289879B2 (en) Methods and systems for preventing the misconfiguration of optical networks using a network management system
EP2485155A1 (en) Computer system, and migration method of virtual machine
WO2011087085A1 (ja) 計算機、ネットワーク接続切替え方法およびプログラム
WO2012157017A1 (en) Computer system for allocating ip address to communication apparatus in computer subsystem newly added and method for newly adding computer subsystem to computer system
JP2007104350A (ja) ネットワーク管理装置およびネットワークシステム
JP2007104351A (ja) ネットワーク運用管理システム
JP2015228629A (ja) 中継装置およびプログラム
GB2428533A (en) Determining Data Flows in a Network
US7324454B2 (en) Router
EP1222724B1 (en) Method and apparatus for failure detection in a communications network
JP4644221B2 (ja) ネットワークシステム
CN101404594A (zh) 热备份性能的测试方法与装置、通信设备
JPH11316724A (ja) ネットワーク化装置自動検出方法
JP4133738B2 (ja) 高速ネットワークアドレス引継ぎ方法、ネットワーク装置及びプログラム
KR101579006B1 (ko) 컨트롤러와 네트워크 장치 간에 플로우 테이블을 동기화하는 방법
US20130136130A1 (en) Relay server and relay communication system
US20070211649A1 (en) Automatic establishment of a network connection for automated network element configuration
US20200274791A1 (en) Multi-vrf and multi-service insertion on edge gateway virtual machines
JP2007166234A (ja) Ipアドレス管理方法及び当該方法を用いた遠隔監視装置
JP2019017123A (ja) 中継装置およびプログラム

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080228

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100921

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101005

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101028

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131105

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4620527

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees