JP4791285B2 - ネットワーク装置およびフィルタリングプログラム - Google Patents

ネットワーク装置およびフィルタリングプログラム Download PDF

Info

Publication number
JP4791285B2
JP4791285B2 JP2006213900A JP2006213900A JP4791285B2 JP 4791285 B2 JP4791285 B2 JP 4791285B2 JP 2006213900 A JP2006213900 A JP 2006213900A JP 2006213900 A JP2006213900 A JP 2006213900A JP 4791285 B2 JP4791285 B2 JP 4791285B2
Authority
JP
Japan
Prior art keywords
filter
information
router
network device
filter information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006213900A
Other languages
English (en)
Other versions
JP2008042506A (ja
Inventor
雄司 伊藤
雅也 織田
真一 倉成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006213900A priority Critical patent/JP4791285B2/ja
Priority to US11/829,163 priority patent/US8223756B2/en
Publication of JP2008042506A publication Critical patent/JP2008042506A/ja
Application granted granted Critical
Publication of JP4791285B2 publication Critical patent/JP4791285B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Description

この発明は、設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のネットワーク装置との間で経路情報の送受信を行うネットワーク装置およびフィルタリングプログラムに関する。
従来より、ルータ、スイッチングハブなどのネットワーク機器におけるアクセス制御リストやパケットフィルタリング機能などのパケットフィルタリングは、主にハードウエアによって実現されている。そして、これらパケットフィルタリングをハードウエアで実現することで、処理の高速化を図ることができるが、ハードウエアのリソースには限りがあるため、設定するフィルタが増加すると、ハードウエアリソースが枯渇する。
一方、ソフトウエアによりパケットフィルタリングを実現することも一般的に行われているが、ソフトウエアによるパケットフィルタリングは、ハードウエアリソースの枯渇などを防ぐことができるものの、設定するフィルタなどが増加すると、ソフトウエアでの処理に負荷が生じて、ネットワーク機器自体の処理能力が低下する。
そこで、これらアクセス制御リストやパケットフィルタリング機能などのパケットフィルタリングをハードウエアで実現するために、ネットワーク機器のハードウエアリソースを確保する技術が開示されている。
例えば、特許文献1(特開2005−130489号公報)では、ルータ内のラインカード上のリソースに共用アクセス制御リストを作成して、当該ルータ内の複数インターフェースで共用アクセス制御リストを使用し、単一ルータ内での重複するアクセス制御リストの複製を削減することにより、単一ルータのハードウエアリソースを確保する技術が開示されている。
特開2005−130489号公報
ところで、上記した従来の技術は、あくまで単一ルータ内の重複アクセス制御リストの複製を削除して、共用アクセス制御リストを作成するだけであるので、例えば、同一ネットワーク内にある複数のルータ間においてアクセス制御リストが重複していたとしても、それらの複製を削除することができない(それらを集約することができない)など、同一ネットワーク内にあるネットワーク装置のハードウエアリソースを効率よく確保することができないという課題があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、同一ネットワーク内にあるネットワーク装置のハードウエアリソースを効率よく確保することが可能であるネットワーク装置およびフィルタリングプログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、発明は、設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のネットワーク装置との間で経路情報の送受信を行うネットワーク装置であって、当該ネットワーク装置または前記他のネットワーク装置から受信した所定の要求に基づいて、前記フィルタ情報を設定するフィルタ設定手段と、前記フィルタ設定手段によってフィルタ情報が設定された場合に、前記経路情報に当該フィルタ情報を付加して前記他のネットワーク装置に送信し、また、前記他のネットワーク装置においてフィルタ情報が設定された場合に、前記他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信するフィルタ情報送受信手段と、前記フィルタ情報送受信手段により受信されたフィルタ情報と経路情報とに基づいて、前記他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定するフィルタ集約判定手段と、前記フィルタ集約判定部により集約すべき装置と判定された場合に、前記重複するフィルタ情報を集約することを示すフィルタ設定要求を前記フィルタ設定手段に指示し、また、前記フィルタ集約判定部により削除すべき装置と判定された場合、前記重複するフィルタ情報を削除することを示すフィルタ削除要求を前記フィルタ設定手段に指示するフィルタ制御手段と、を備えたことを特徴とする。
また、発明は、上記の発明において、前記フィルタ情報の有効度を算出する有効度算出手段をさらに備え、前記フィルタ集約判定部は、前記有効度算出部により算出された有効度をさらに考慮して、前記他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置か、もしくは、削除すべき装置かを判定することを特徴とする。
また、発明は、上記の発明において、前記フィルタ集約判定手段は、重複するフィルタ情報を集約すべき他のネットワーク装置が前記フィルタ制御手段を有するか否かをさらに判定し、前記フィルタ制御手段は、前記フィルタ集約判定手段により前記集約すべき装置が前記フィルタ制御手段を有しないと判定された場合、前記重複するフィルタ情報を集約することを示すフィルタ集約要求を当該集約すべき装置にさらに送信することを特徴とする。
また、発明は、上記の発明において、前記フィルタ情報のリソース状況が閾値以上か否かを判定するリソース判定手段をさらに備え、前記フィルタ制御手段は、前記リソース監視手段により前記リソース状況が閾値以上と判定された場合に、前記集約されたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定手段に指示し、また、前記他のネットワーク装置に当該削除するフィルタ情報を再設定することを示すフィルタ再設定要求を指示することを特徴とする。
また、発明は、設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のネットワーク装置との間で経路情報の送受信を行うことをコンピュータに実行させるフィルタリングプログラムであって、当該ネットワーク装置または前記他のネットワーク装置から受信した所定の要求に基づいて、前記フィルタ情報を設定するフィルタ設定手順と、前記フィルタ設定手順によってフィルタ情報が設定された場合に、前記経路情報に当該フィルタ情報を付加して前記他のネットワーク装置に送信し、また、前記他のネットワーク装置においてフィルタ情報が設定された場合に、前記他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信するフィルタ情報送受信手順と、前記フィルタ情報送受信手順により受信されたフィルタ情報と経路情報とに基づいて、前記他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定するフィルタ集約判定手順と、前記フィルタ集約判定手順により集約すべき装置と判定された場合に、前記重複するフィルタ情報を集約することを示すフィルタ設定要求を前記フィルタ設定手順に指示し、また、前記フィルタ集約判定部により削除すべき装置と判定された場合、前記重複するフィルタ情報を削除することを示すフィルタ削除要求を前記フィルタ設定手順に指示するフィルタ制御手順と、をコンピュータに実行させることを特徴とする。
発明によれば、当該ネットワーク装置または他のネットワーク装置から受信した所定の要求に基づいて、フィルタ情報を設定し、フィルタ情報が設定された場合に、経路情報に当該フィルタ情報を付加して他のネットワーク装置に送信し、また、他のネットワーク装置においてフィルタ情報が設定された場合に、他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信し、受信されたフィルタ情報と経路情報とに基づいて、他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定し、集約すべき装置と判定された場合に、重複するフィルタ情報を集約することを示すフィルタ設定要求をフィルタ設定手段に指示し、また、削除すべき装置と判定された場合、重複するフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定手段に指示するので、例えば、フィルタ設定情報のフィルタリング条件として指定されたIPアドレスに対して、ネットワーク内で最も近いルータ、つまり、集約すべき装置と、最も遠いルータすなわち削除すべき装置とを最短経路探索などを用いて決定し、集約すべき装置は、他のルータと重複しているフィルタ設定情報を集約し、削除すべき装置は、重複しているフィルタ設定情報を削除することができ、ネットワーク内の複数のルータに対して重複するアクセス制御リストの複製を削除することができる結果、同一ネットワーク内にある全てのルータのハードウエアリソースを効率よく確保することが可能である。
また、発明によれば、フィルタ情報の有効度を算出し、算出された有効度をさらに考慮して、他のルータとの間における重複するフィルタ情報を集約すべき装置か、もしくは、削除すべき装置かを判定するので、有効度の高い(アクセスが多い)フィルタを集約することで起こり得るネットワーク内に多量パケット流入を防ぐことができる結果、ネットワークの負荷が増大することを防止することが可能である。
また、発明によれば、集約するフィルタ情報を集約すべき他のネットワーク装置が前記フィルタ集約判定手段を有するか否かをさらに判定し、集約すべき装置がフィルタ集約判定手段を有しないと判定された場合、重複するフィルタ情報を集約することを示すフィルタ集約要求を当該集約すべき装置にさらに送信するので、集約すべき装置がフィルタ集約機能を有しない装置であった場合でも、削除すべき装置が、フィルタ設定要求を上位装置に送信して、フィルタを設定することができる結果、既存のネットワークに容易に組み込むことが可能である。
また、発明によれば、フィルタ情報のリソース状況が閾値以上か否かを判定するリソース判定手段をさらに備え、リソース状況が閾値以上と判定された場合に、集約されたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定手段に指示し、また、他のネットワーク装置に当該削除するフィルタ情報を再設定することを示すフィルタ再設定要求を指示するので、重複するフィルタ情報を集約した装置のフィルタ情報のリソース状況に応じて集約を解除することができる結果、集約すべき装置のハードウエアリソースの枯渇を防止することが可能である。
以下に添付図面を参照して、この発明に係るネットワーク装置およびフィルタリングプログラムの実施例を詳細に説明する。
以下の実施例1では、本発明に係るネットワーク装置の概要および特徴、ネットワーク装置の構成、処理の流れ、および実施例1による効果等を順に説明する。
[ネットワーク装置の概要および特徴(実施例1)]
最初に図1を用いて、実施例1に係るネットワーク装置の概要および特徴を説明する。図1は、実施例1に係るネットワーク装置(例えば、ルータ)を含むシステムの全体構成を示すシステム構成図である。
同図に示すように、かかるシステムは、ルータA10からルータE14にて構成されており、インターネットを介してIPアドレスが「10.10.10.1」のWEBサーバ15へ接続される。そして、ルータC12にはユーザ端末16が接続され、ルータD13にはユーザ端末17が、ルータE14にはユーザ端末18が接続されている。
また、かかるシステムにおけるそれぞれのルータには、パケットフィルタリングを行うためのフィルタが設定されている。具体的には、ルータC12には、「IPアドレス(10.10.10.1)」と「IPアドレス(10.10.10.5)」が設定されており、同様に、ルータD13には、「IPアドレス(10.10.10.1)」と「IPアドレス(10.10.10.5)」が設定されている(図4と図5参照)。また、ルータA10、ルータB11、ルータE14は、設定がされていない状態である。このように設定されていることより、ユーザ端末16およびユーザ端末17は、WEBサーバ15「IPアドレス(10.10.10.1)」へのアクセスを拒否されるが、ユーザ端末18は、WEBサーバ15へのアクセスが可能である。
また、それぞれのルータは、自身が保持する経路情報を自ルータ以外のルータに送信することで、全てのルータで同じ情報を保持している。経路情報を送信する方法としては、レイヤ3のルーティングプロトコルであるOSPF(Open Shortest Path First)のOpaqueLSAを用いた方法が挙げられる。
このような構成のもと、かかるシステムにおけるネットワーク装置であるルータA10からルータE14は、設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のルータとの間で経路情報の送受信を行うことを概要とするものであり、特に、効率よく同一ネットワーク内にある全てのルータのハードウエアリソースを確保することが可能である点に主たる特徴がある。
この主たる特徴を具体的に説明すると、図1において、それぞれのルータは、フィルタ情報が設定された場合に、経路情報に当該フィルタ情報を付加して他のルータに送信し、また、他のルータにおいてフィルタ情報が設定された場合に、他のルータから当該フィルタ情報が付加された経路情報を受信する。
具体的には、例えば、ルータE14で利用者の指示操作によりWEBサーバ15「IPアドレス(10.10.10.1)」のフィルタ情報が設定された場合、ルータE14は、経路情報に当該フィルタ情報(図10参照)を付加して他のルータへ送信し、他のルータは、送信された当該フィルタ情報が付加された経路情報をルータE14から受信する。
そして、それぞれのルータは、受信したフィルタ情報と経路情報とに基づいて、他のルータとの間における重複するフィルタ情報を集約すべき装置か、もしくは、削除すべき装置かを判定する。
具体的には、例えば、それぞれのルータは、フィルタ設定情報のフィルタリング条件として指定されたIPアドレスに対して、ネットワーク内で最も近いルータ、つまり、集約すべき装置(上位ルータ)と、最も遠いルータ、つまり、削除すべき装置(下位ルータ)とをトポロジーツリー作成(図11参照)や最短経路探索などを用いて判定する。ここでは、ルータE14でWEBサーバ(10.10.10.1)へのフィルタが設定されたことより、「10.10.10.1」に最も近いルータであるルータA10が上位ルータ、ルータB11、ルータC12、ルータD13、ルータE14が下位ルータとなる。
そして、それぞれのルータは、集約すべき装置と判定された場合に、重複するフィルタ情報を集約することを示すフィルタ設定要求をフィルタ設定機能に指示し、また、削除すべき装置と判定された場合、重複するフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定機能に指示する。
具体的には、例えば、上位ルータであり集約すべき装置と判定されたルータA10は、重複するフィルタ情報を集約することを示すフィルタ設定要求をフィルタ設定機能に指示し、下位ルータと判定されたルータB11、ルータC12、ルータD13、ルータE14は、重複するフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定機能に指示する。
そして、それぞれのルータは、自ルータまたは他のルータから受信した所定の要求に基づいて、フィルタ情報を設定する。具体的には、ルータA10は、「10.10.10.1」のフィルタを設定し(図6参照)、ルータC12、ルータD13、ルータE14は、「10.10.10.1」のフィルタを削除する(図7、図8参照)。つまり、ルータC12、ルータD13、ルータE14で設定されていた「10.10.10.1」のフィルタをルータA10のみに集約することになる。そして、各ルータで設定されていた場合と同様に、ユーザ端末16およびユーザ端末17は、WEBサーバ15「IPアドレス(10.10.10.1)」のアクセスが拒否され、ユーザ端末18も、WEBサーバ15へのアクセスが拒否される。
また、ルータC12とルータD13には、「10.10.10.5」のフィルタが重複しているので、上記した方法で、上位ルータ、下位ルータを判定し、重複するフィルタを集約する。この場合、上位ルータはルータB11、下位ルータはルータC12、ルータD13となる(図7、図8参照)。
このように、実施例1に係るネットワーク装置(ルータ)を含むシステムは、例えば、フィルタ設定情報のフィルタリング条件として指定されたIPアドレスに対して、ネットワーク内で最も近いルータ、つまり、集約すべき装置(上位ルータ)と、最も遠いルータ、つまり、削除すべき装置(下位ルータ)とを最短経路探索などを用いて決定し、上位ルータは、下位ルータと重複しているフィルタ設定情報を集約し、下位ルータは、重複しているフィルタ設定情報を削除することができ、ネットワーク内の複数のルータに対して重複するアクセス制御リストの複製を削除することができる結果、上記した主たる特徴のごとく、同一ネットワーク内にあるルータのハードウエアリソースを効率よく確保することが可能である。
[ネットワーク装置の構成(実施例1)]
次に、図2と図3を用いて、図1に示したネットワーク装置を含むシステムの構成を説明する。図2は、実施例1に係るネットワーク装置(例えば、ルータ)の構成を示すブロック図であり、図3は、実施例1に係るネットワーク装置(例えば、ルータ)が記憶するフィルタデータベースの構成例を示す図である。
同図に示すように、かかるネットワーク装置10は、通信制御IF部20と、記憶部21と、制御部30とから構成される。このうち、通信制御IF部21は、他のルータやユーザなどとの間でやりとりする各種情報に関する通信を制御する手段であり、具体的に例を挙げれば、ルータ間でやりとりする経路情報やフィルタ情報、ユーザ端末からのアクセスに関する通信を制御する。
また、記憶部21は、制御部30によりルーティングやフィルタリングを行うのに必要な各種情報を記憶する手段であり、特に本発明に密接に関連するものとしては、経路情報データベース22と、フィルタデータベース23と、フィルタ情報データベース24とを備える。
かかる経路情報データベース22は、自ネットワーク装置および他のネットワーク装置が所持する経路情報を記憶する手段であり、具体的に例を挙げれば、ユーザ端末などから送信されたパケットが送信先に正しく届くようにするための情報を記憶する。
また、フィルタデータベース23は、他のネットワーク装置から受信したフィルタ情報を記憶する手段であり、具体的には、後述するフィルタ情報送受信部32bにより受信した他のネットワーク装置が記憶するフィルタ情報を記憶する。例を挙げれば、図3に示したように、『ネットワーク内でネットワーク装置を位置に識別する「ルータID」、ネットワーク装置内の登録可能なフィルタ数を示す「登録可能フィルタ数」、ネットワーク装置に設定されているフィルタ数を示す「設定フィルタ数」、設定されているフィルタの種類を示す「フィルタ種別」、設定されているフィルタの内容である「フィルタ設定値」』として、「C、2000、1800、IP DA、10.10.10.1」や「D、1000、100、IP DA、20.20.20.20」などと記憶する。
フィルタ情報データベース24は、設定されるフィルタ情報を記憶する手段であり、具体的には、後述するフィルタ設定部31により設定されるフィルタ情報を記憶する。例を挙げれば、図4〜9に示したように、『設定されているフィルタの種類を示す「フィルタ種別」、設定されているフィルタの内容である「フィルタ設定」、実際に設定されているか否かを示す「ハード設定済フラグ」、設定されたフィルタを集約するネットワーク装置を示す「上位ルータ」、フィルタが集約されたら当該フィルタを削除するネットワーク装置を示す「下位ルータ」』として「IP DA、10.10.10.1、○、−、C・D・E」や「IP SA、5.5.5.1、○、−、−」などと記憶する。ここで、「ハード設定済フラグ」とは、情報として記憶している、かつ、フィルタとしては設定いるか否かの情報を示しており、「○」の場合は、情報として記憶している、かつ、フィルタとして設定いる状態であり、「−」の場合は、情報として記憶している、かつ、フィルタとして設定していない状態である。
そして、制御部30は、制御プログラムや各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する処理部であり、特に本発明に密接に関連するものとしては、フィルタ設定部31と、ルーティング制御部32と、フィルタ集約判定部33と、フィルタ制御部34とを備える。なお、フィルタ設定部31は、特許請求の範囲に記載の「フィルタ設定手段」に対応し、フィルタ集約判定部33は、同様に「フィルタ集約判定手段」に対応し、フィルタ制御部34は、「フィルタ制御手段」に対応する。
このうち、フィルタ設定部31は、当該ネットワーク装置または他のネットワーク装置から受信した所定の要求に基づいて、フィルタ情報を設定する手段である。具体的には、ルータA10は、後述するフィルタ制御部34から指示されたフィルタ設定要求または他のルータからの受信したフィルタ設定要求に基づいて、フィルタ情報を設定する。
例を挙げて説明すると、フィルタ設定部31は、後述するフィルタ制御部34からフィルタ設定要求として『操作種別を示す「登録」、フィルタ種別を示す「フィルタ種別」、フィルタ値を示す「フィルタ値」、実際に設定されているか否かを示す「ハード設定済フラグ」、設定されたフィルタを集約するネットワーク装置を示す「上位ルータ」、フィルタが集約されたら当該フィルタを削除するネットワーク装置を示す「下位ルータ」』など、例えば、「登録、IP DA、10.10.10.1、−、−」を受信する(もしくは、指示される)と、この受信したフィルタ情報をフィルタ情報データベース24に格納することでフィルタを設定する。
また、同様に、フィルタ設定部31は、後述するフィルタ制御部34からフィルタ削除要求として「削除、IP DA、10.10.10.1、−、−」を受信する(もしくは、指示される)と、この受信したフィルタ情報をフィルタ情報データベース24から削除することでフィルタ削除を行う。
また、同様に、フィルタ設定部31は、後述するフィルタ制御部34からフィルタ集約要求として「登録、IP DA、10.10.10.1、−、−」を受信する(もしくは、指示される)と、フィルタデータベース23から受信したフィルタ情報を参照し、下位装置と当該フィルタ情報とを対応付けてフィルタ情報データベース24に「登録、IP DA、10.10.10.1、−、C・D・E」を格納することで、フィルタ集約を行う(図6参照)。
また、ルーティング制御部32は、記憶される経路情報に基づいてルーティングを行ったり、設定されるフィルタ情報の送受信を行う手段であり、特に本発明に密接に関連するものとしては、ルーティング実行部32aと、フィルタ情報送受信部32bとを備える。なお、フィルタ情報送受信部32bは、特許請求の範囲に記載の「フィルタ情報送受信手段」に対応する。
かかるルーティング実行部32aは、記憶される経路情報に基づいてルーティングを実行する手段であり、具体的に例を挙げれば、経路情報データベース22に記憶される経路情報に基づいて、ユーザ端末などから送信されたパケットが送信先に正しく届くようにルーティングを行う。
また、フィルタ情報送受信部32bは、フィルタ設定部31によってフィルタ情報が設定された場合に、経路情報に当該フィルタ情報を付加して他のネットワーク装置に送信し、また、他のネットワーク装置においてフィルタ情報が設定された場合に、他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信する手段である。具体的に例を挙げれば、フィルタ設定部31によってフィルタ情報が設定された場合に、当該フィルタ情報として経路情報に付加して送信する情報は、図10に示したように、『操作内容を示す「操作種別」、ネットワーク内でネットワーク装置を位置に識別する「ルータID」、設定されているフィルタの種類を示す「フィルタ種別」、設定されているフィルタの内容である「フィルタ設定値」、ネットワーク装置内の登録可能なフィルタ数を示す「登録可能フィルタ数」、ネットワーク装置に設定されているフィルタ数を示す「設定フィルタ数」』などである。
また、他のルータにおいてフィルタ情報が設定された場合に、他のルータから当該フィルタ情報として「操作種別、ルータID、フィルタ種別、フィルタ設定値、登録可能フィルタ数、設定フィルタ数」が付加された経路情報を受信し、経路情報を経路情報データベース22に格納し、付加されていたフィルタ情報をフィルタデータベース23に格納する。付加される情報の例を挙げると、上記した送信する場合と同様に、「操作種別、ルータID、フィルタ種別、フィルタ設定値、登録可能フィルタ数、設定フィルタ数」として「登録、ルータE、IP DA、10.10.10.1、2000、1800」などである。
そして、フィルタ集約判定部33は、フィルタ情報送受信部32bにより受信されたフィルタ情報と経路情報とに基づいて、他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定する手段である。具体的には、フィルタ情報送受信部32bにより受信されたフィルタ設定情報のフィルタリング条件であるIPアドレスに対して、ネットワーク内で最も近いルータ、つまり、集約すべき装置(上位ルータ)と、最も遠いルータ、つまり、削除すべき装置(下位ルータ)とをトポロジーツリー作成や最短経路探索などを用いて判定する。
例を挙げれば、ルータE14でWEBサーバ「IPアドレス(10.10.10.1)」のフィルタが設定された場合、それぞれのルータは、図11に示したようなトポロジーツリーを作成して、自身が集約すべき装置であるか削除すべき装置であるかを判定する。図11の場合、ネットワーク(10.10.10.0/24)を対象としており、IPアドレス(10.10.10.1)にパケットを転送する際に経由するルータで最も上位にあるルータA10が集約すべき装置となり、最も下位(遠い)ルータであるルータC12とルータD13とルータE14が削除すべき装置となる。
また、フィルタ制御部34は、フィルタ集約判定部33により集約すべき装置と判定された場合に、重複するフィルタ情報を集約することを示すフィルタ設定要求をフィルタ設定部31に指示し、また、フィルタ集約判定部33により削除すべき装置と判定された場合、重複するフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定部31に指示する手段である。
具体的に例を挙げれば、図11に示したトポロジーツリーで集約すべき装置であるか削除すべき装置であるかを判定した場合、集約すべき装置であると判定されたルータA10は、重複するフィルタ情報を集約することを示すフィルタ設定要求として「登録、フィルタ種別、フィルタ値、ハード設定済フラグ、上位ルータ、下位ルータ」など、例えば、「登録、IP DA、10.10.10.1、−、−」をフィルタ設定部31に指示し、また、削除すべき装置であると判定されたその他のルータは、重複するフィルタ情報を削除することを示すフィルタ削除要求として「登録、フィルタ種別、フィルタ値、ハード設定済フラグ、上位ルータ、下位ルータ」など、例えば、「削除、IP DA、10.10.10.1、−、−」をフィルタ設定部31に指示する。
[ネットワーク装置による処理(実施例1)]
次に、図12〜14を用いて、ネットワーク装置による処理を説明する。図12は、実施例1に係るネットワーク装置(例えば、ルータ)にてフィルタが設定された場合の処理の流れを示すフローチャートであり、図13は、実施例1に係るネットワーク装置(例えば、ルータ)がフィルタ情報を受信した場合の処理の流れを示すフローチャートであり、図14は、実施例1に係るネットワーク装置(例えば、ルータ)におけるフィルタ集約削除処理の流れを示すフローチャートである。
(1)フィルタが設定された場合の処理
図12に示すように、ネットワーク装置10のフィルタ設定部31によりフィルタが設定されると(ステップS1201肯定)、フィルタ情報送受信部32bは、経路情報にフィルタ情報を付加して、他のネットワーク装置に送信し(ステップS1202)、ネットワーク装置10は、図14を用いて後述するフィルタ集約削除処理を実行する(ステップ1203)。
(2)フィルタ情報を受信した場合の処理
図13に示すように、ネットワーク装置10のフィルタ情報送受信部32bによりフィルタ情報が受信されると(ステップS1301肯定)、ルーティング制御部32は、受信したフィルタ情報にてフィルタデータベース23を更新し(ステップS1302)、ネットワーク装置10は、図14を用いて後述するフィルタ集約削除処理を実行する(ステップS1303)。
(3)フィルタ集約削除処理
図14に示すように、まず、ネットワーク装置10は、受信したフィルタ情報と経路情報とに基づいてトポロジーツリーを作成し(ステップS1401)、作成したトポロジーツリーに基づいて、他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定する(ステップS1402)。
そして、ネットワーク装置10は、集約すべき装置であると判定されると、経路情報データベース22とフィルタデータベース23とから下位装置情報を取得し(ステップS1403)、重複するフィルタ情報を集約することを示すフィルタ設定要求をフィルタ設定部31に指示し(ステップ1404)、フィルタ情報を設定、つまり、フィルタ集約を行い(ステップS1405)、フィルタ集約が終了すると、集約完了通知を他のネットワーク装置に送信する(ステップS1406)。
一方、ステップS1401に戻り、削除すべき装置であると判定された場合、ネットワーク装置10は、経路情報データベース22とフィルタデータベース23とから上位装置(集約すべき装置)情報を取得し(ステップS1407)、集約されるフィルタ、つまり、削除すべきフィルタを解除し(ステップS1408)、集約すべき装置から集約完了通知を受信すると(ステップS1409肯定)、重複するフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定部31に指示して(ステップ1410)、フィルタ削除を行い(ステップS1411)、フィルタ削除が終了すると、削除完了通知を他のネットワーク装置に送信する(ステップS1412)。なお、集約すべき装置でも削除すべき装置でもない場合、上記した処理は行わず、そのままの状態である。
(4)フィルタ集約削除処理の具体例
この集約削除処理の流れを図1と図4〜図8を用いて、具体的に例を挙げて説明する。図4は、実施例1に係る集約前のルータC12のフィルタ情報の構成例を示した図であり、図5は、実施例1に係る集約前のルータD13のフィルタ情報の構成例を示した図であり、図6は、実施例1に係る集約後のルータA10のフィルタ情報の構成例を示した図であり、図7は、実施例1に係る集約後のルータB11のフィルタ情報の構成例を示した図であり、図8は、実施例1に係る集約後のルータC12のフィルタ情報の構成例を示した図である。
例えば、図1に示したルータC12は、図4に示したように、「フィルタ種別、フィルタ値、ハード設定済フラグ、上位ルータ、下位ルータ」として「IP DA、10.10.10.1、○、−、−」と「IP DA、10.10.10.5、○、−、−」のフィルタ情報を記憶しており、ルータD13は、図5に示したように、ルータC12と同様のフィルタ情報を記憶している。なお、ルータA10とルータB11とルータE14は、フィルタ情報を記憶していない状態である。
このような構成のもと、ルータE14でWEBサーバ「IPアドレス(10.10.10.1)」のフィルタが設定された場合、それぞれのルータは、当該フィルタ情報の送受信を行い、図11に示したようなトポロジーツリーを作成して、集約すべき装置であるか削除すべき装置であるかを判定する。つまり、図11の場合、ネットワーク(10.10.10.0/24)を対象としており、IPアドレス(10.10.10.1)にパケットを転送する際に経由するルータで最も上位にあるルータA10が集約すべき装置となり、最も下位(遠い)ルータであるルータC12とルータD13とルータE14が削除すべき装置となる。
そして、集約すべき装置であるルータA10は、経路情報データベース22とフィルタデータベース23とから下位装置情報として、集約すべきフィルタ値に対応した下位ルータ(ルータC12、ルータD13、ルータE14)を取得する。
そして、ルータA10のフィルタ制御部34は、重複するフィルタ情報を集約することを示すフィルタ設定要求をフィルタ設定部31に指示する。続いて、ルータA10のフィルタ設定部31は、当該装置から受信したフィルタ集約要求に基づいて、フィルタ情報を集約する。つまり、図6に示したように、「フィルタ種別、フィルタ値、ハード設定済フラグ、上位ルータ、下位ルータ」として「IP DA、10.10.10.1、○、−、C・D・E」をフィルタ情報と設定する。そして、ルータA10のフィルタ設定部31によりフィルタ集約が終了すると、フィルタ情報送受信部32bは、集約完了通知をルータに送信する。
一方、削除すべき装置であるルータC12とルータD13とルータE14は、経路情報データベース22とフィルタデータベース23とから上位装置情報として、削除すべきフィルタ値に対応した上位ルータ(ルータA10)を取得する。続いて、ルータC12とルータD13とルータE14のフィルタ設定部31は、削除すべきフィルタを解除する。
つまり、図8に示したように、ルータCは、「フィルタ種別、フィルタ値、ハード設定済フラグ、上位ルータ、下位ルータ」として「IP DA、10.10.10.1、−、A、−」と「IP DA、10.10.10.5、−、B、−」とフィルタ設定を行う。また、ルータD13についても同様の設定を行う。その後、ルータA10から集約完了通知を受信すると、ルータC12とルータD13とルータE14は、それぞれ解除したフィルタ情報を削除する。
また、ルータC12とルータD13とは、「10.10.10.5」のフィルタ情報が重複しているため、図11に示したトポロジーツリーに基づいて、集約すべき装置がルータB11、削除すべき装置がルータC12とルータD13と判定される。そして、ルータB11は、上記した方法と同様に、フィルタを集約する。つまり、図7に示したように、「フィルタ種別、フィルタ値、ハード設定済フラグ、上位ルータ、下位ルータ」として「IP DA、10.10.10.5、○、−、C・D」をフィルタ情報と設定する。
[実施例1による効果]
このように、実施例1によれば、当該ネットワーク装置または他のネットワーク装置から受信した所定の要求に基づいて、フィルタ情報を設定し、フィルタ情報が設定された場合に、経路情報に当該フィルタ情報を付加して他のネットワーク装置に送信し、また、他のネットワーク装置においてフィルタ情報が設定された場合に、他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信し、受信されたフィルタ情報と経路情報とに基づいて、他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定し、集約すべき装置と判定された場合に、重複するフィルタ情報を集約することを示すフィルタ設定要求をフィルタ設定手段に指示し、また、削除すべき装置と判定された場合、重複するフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定手段に指示するので、例えば、フィルタ設定情報のフィルタリング条件として指定されたIPアドレスに対して、ネットワーク内で最も近いルータ、つまり、集約すべき装置(ルータA10)と、最も遠いルータ、つまり、削除すべき装置(ルータA10以外のルータ)とを最短経路探索などを用いて決定し、ルータA10は、他のルータと重複しているフィルタ設定情報を集約し、他のルータは、重複しているフィルタ設定情報を削除することができ、ネットワーク内の複数のルータに対して重複するアクセス制御リストの複製を削除することができる結果、同一ネットワーク内にある全てのルータのハードウエアリソースを効率よく確保することが可能である。
ところで、上記した実施例1では、受信されたフィルタ情報と経路情報とに基づいて、重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定する場合を説明したが、本発明はこれに限定されるものではなく、さらにフィルタの有効度を考慮して判定してもよい。
そこで、以下では、図15〜図17を用いて、有効度を算出し、算出された有効度をさらに考慮して重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定する場合を実施例2として説明する。なお、実施例2では、実施例2に係るネットワーク装置を含むシステムの全体構成、ネットワーク装置の構成および実施例2による効果を説明する。
[ネットワーク装置を含むシステムの全体構成(実施例2)]
まず最初に、図15は、実施例2に係るネットワーク装置を含むシステムの全体構成を示す図であり、図16は、実施例2に係るネットワーク装置の構成を示す図であり、図17は、実施例2に係るネットワーク装置が記憶するフィルタデータベースの例を示す図である。
図15に示すように、かかるシステムは、ルータA40からルータE44にて構成されており、インターネットを介してIPアドレスが「10.10.10.1」のWEBサーバ45へ接続される。そして、ルータC42にはユーザ端末46が接続され、ルータD43にはユーザ端末47が、ルータE44にはユーザ端末48が接続されている。
また、かかるシステムにおけるそれぞれのルータには、パケットフィルタリングを行うためのフィルタが設定されている。具体的には、ルータC42には、「IPアドレス(10.10.10.1)」と「IPアドレス(10.10.10.5)」が設定されており、同様に、ルータD43には、「IPアドレス(10.10.10.1)」と「IPアドレス(10.10.10.5)」が設定されている。また、ルータA40、ルータB41、ルータE44は、設定がされていない状態である。
一方、それぞれのルータは、一定周期で、設定しているフィルタ情報を参照し、フィルタへのアクセスヒット率(有効度)を算出し、フィルタ情報データベース54に格納する。また、それぞれのルータは、格納された有効度をフィルタ情報として経路情報に付加して他のルータに送信し、受信した他のルータは、有効度が示されたフィルタ情報をフィルタ情報データベース54に格納する。そして、それぞれのルータは、算出し格納された有効度をさらに考慮して、他のルータとの間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定する。
具体的に例を挙げて説明すると、このような構成のもと、ルータE44にWEBサーバ45「IPアドレス(10.10.10.1)」が設定されて、それぞれのルータでフィルタ情報が付加された経路情報の送受信がされる。なお、ここで、ルータC42とルータD43とルータE44とに「IPアドレス(10.10.10.1)」のフィルタ情報が重複することになる。
そして、各ルータは、トポロジーツリーや最短経路探索などを用いて、原則として、ルータA40が集約すべき装置、ルータC42とルータD43とルータE44が削除すべき装置であると判定するが、ルータD43において集約対象である「10.10.10.1」フィルタのアクセスヒット率(有効率)が大量に発生しており、一定の閾値以上となっている場合、例外的にフィルタ集約を行わない旨(もしくは、削除しない旨)を判定する。
このように、有効度の高い(アクセスが多い)フィルタを集約することで起こり得るネットワーク内への多量パケット流入を防ぐことができる結果、ネットワークの負荷が増大することを防止することが可能である。
[ネットワーク装置の構成(実施例2)]
次に、図16と図17を用いて、図15に示したネットワーク装置を含むシステムの構成を説明する。図16は、実施例2に係るネットワーク装置(例えば、ルータ)の構成を示すブロック図であり、図17は、実施例2に係るネットワーク装置(例えば、ルータ)に記憶されるフィルタデータベースの構成例を示した図である。
図16に示すように、かかるネットワーク装置40(ルータ)は、通信制御IF部50、記憶部51と、制御部60とから構成される。このうち、通信制御IF部50と、記憶部51の経路情報データベース52とフィルタ情報データベース54と、制御部60のフィルタ設定部61とルーティング制御部62とフィルタ制御部64は、実施例1で説明した図2の通信制御IF部20と、記憶部21の経路情報データベース22とフィルタ情報データベース24と、制御部30のフィルタ設定部31とルーティング制御部32とフィルタ制御部34と同様の機能を有するので、その詳細な説明は省略する。ここでは、実施例1とは異なる機能を有するフィルタデータベース53とフィルタ集約判定部63と有効度算出部65とについて説明する。
かかるフィルタデータベース53は、他のネットワーク装置から受信したフィルタ情報を記憶する手段であり、具体的には、フィルタ情報送受信部62bにより受信した他のネットワーク装置が記憶するフィルタ情報を記憶する。例を挙げれば、実施例1に示した「ルータID、登録可能フィルタ数、設定フィルタ数、フィルタ種別、フィルタ設定値」(図4〜図9参照)に加えて、『一時間でどのくらいのアクセスがあったかを示す「Hit値(Hit数/h)」』を記憶する。具体的には、図17に示したように、「C、2000、1800、IP DA、10.10.10.1、5」や「D、1000、100、IP DA、20.20.20.20、10」などと記憶する。
また、フィルタ集約判定部63は、後述する有効度算出部65により算出された有効度をさらに考慮して、他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置か、もしくは、削除すべき装置かを判定する手段であり、具体的には、集約対象となるフィルタのアクセスヒット率(有効度)があらかじめ指定した閾値を越える場合、フィルタの集約(もしくは、削除)を実施しないようにする。例えば、アクセスヒット率の閾値を設定しておき、集約すべきフィルタを記憶するいずれかのルータにて、該当フィルタのアクセスヒット率が閾値を超える場合、当該フィルタの集約(もしくは、削除)を実行しないと判定する。また、集約対象となるフィルタのアクセスヒット率(有効度)があらかじめ指定した閾値を越えない場合には、フィルタの集約(もしくは、削除)を実施すると判定する。なお、このように有効度をさらに考慮して、他のルータとの間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定する処理は、図14に示したステップS1401の前(フィルタ集約削除処理の一番はじめ)に行われる処理である。
そして、有効度算出部65は、フィルタ情報の有効度を算出する手段であり、具体的には、設定されているそれぞれのフィルタごとに、そのフィルタへのアクセス数をカウントしておき、一時間でどのくらいのアクセスがあったかを数値化したものを有効度として算出する。そして、算出された有効度は、フィルタ情報送受信部62bにより、他のネットワーク装置に送信される。例を挙げると、図17の場合、ルータC42における「10.10.10.1」のフィルタでは、Hit値が「5(Hit数/h)」と、ルータD43における「20.20.20.20」のフィルタでは、Hit値が「10(Hit数/h)」と算出される。そして、ルータC42により算出された有効度は、フィルタ情報としてフィルタ情報送受信部62bにより、他のネットワーク装置(ルータA40とルータB41とルータC42とルータD43と)に送信される。
[実施例2による効果]
このように、実施例2によれば、フィルタ情報の有効度を算出し、算出された有効度をさらに考慮して、他のルータとの間における重複するフィルタ情報を集約すべき装置か、もしくは、削除すべき装置かを判定するので、有効度の高い(アクセスが多い)フィルタを集約することで起こり得るネットワーク内への多量パケット流入を防ぐことができる結果、ネットワークの負荷が増大することを防止することが可能である。
ところで、上記した実施例1と実施例2では、システムを構成する全てのルータが、図2または図16に示した機能部(具体的には、フィルタ集約判定部)を有する場合について説明したが、本発明はこれに限定されるものではなく、システムを構成するルータに図2または図16に示した機能部を有しないルータ(以降、機能外ルータと呼ぶ)を含んでいてもよい。
そこで、以下では、図18と図19を用いて、機能外ルータが含まれる場合を実施例3として説明する。なお、実施例3では、実施例3に係るネットワーク装置を含むシステムの全体構成、ネットワーク装置のフィルタ集約削除処理の流れおよび実施例3による効果を説明する。
[ネットワーク装置を含むシステムの全体構成(実施例3)]
最初に図18は、実施例3に係るネットワーク装置(例えば、ルータ)を含むシステムの全体構成を示す図である。
図18に示したように、実施例1、2と同様に、かかるシステムは、ルータA70からルータE74にて構成されており、インターネットを介してIPアドレスが「10.10.10.1」のWEBサーバ75へ接続される。そして、ルータC72にはユーザ端末76が接続され、ルータD73にはユーザ端末77が、ルータE74にはユーザ端末78が接続されている。このうち、ルータA70は、機能外ルータである。
また、かかるシステムにおけるそれぞれのルータには、パケットフィルタリングを行うためのフィルタが設定されている。具体的には、ルータC72には、「IPアドレス(10.10.10.1)」と「IPアドレス(10.10.10.5)」が設定されており、同様に、ルータD73には、「IPアドレス(10.10.10.1)」と「IPアドレス(10.10.10.5)」が設定されている。そして、ルータA70、ルータB71、ルータE74は、フィルタ設定がされていない状態である。
このような構成のもと、自ルータまたは他のルータによりフィルタ情報が設定されると、それぞれのルータは、他のルータとの間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定する。そして、さらに、削除すべき装置(下位ルータ)は、自ルータが代表下位ルータか否かを判定する。
具体的に説明すると、このような構成のもと、ルータE74にWEBサーバ75(10.10.10.1)が設定されて、それぞれのルータでフィルタ情報が付加された経路情報の送受信がされる。そして、それぞれのルータは、トポロジーツリーや最短経路探索などを用いてルータA70を集約すべき装置(上位ルータ)と判定し、さらに、削除すべき装置(下位ルータ)の中から、各ルータが代表下位ルータになるプライオリティをあらかじめフィルタ情報に追加しておき、そのプライオリティを比較するなどして、ルータC72は、自らを代表下位ルータと判定する。なお、ここで、ルータC72とルータD73とルータE74とに「10.10.10.1」のフィルタ情報が重複することになる。
続いて、代表下位ルータは、集約すべき装置がフィルタ集約判定部を有するか否かをさらに判定し、集約すべき装置がフィルタ集約判定部を有しないと判定された場合、重複するフィルタ情報を集約することを示すフィルタ集約要求を集約すべき装置にさらに送信する。
上記した例で言えば、代表下位ルータと判定されたルータC72は、あらかじめ集約すべきルータA70がフィルタ集約判定部を有するか否かをさらに判定し、ルータA70がフィルタ集約判定部を有しないと判定された場合、重複するフィルタ情報を集約することを示すフィルタ集約要求をルータA70にさらに送信する。
そして、集約すべき装置は、受信したフィルタ集約要求に基づいて、フィルタ情報を設定(集約)する。一方、削除すべき装置は、重複するフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定部に指示して、当該フィルタ情報を削除する。
上記した例で言えば、ルータA70は、受信した所定の要求(フィルタ集約要求)に基づいて、フィルタ情報を設定する。一方、削除すべき装置と判定されたルータC72とルータD73とルータE74は、重複するフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定部に指示して、当該フィルタを削除する。
このように、集約するフィルタ情報を集約すべき他のネットワーク装置がフィルタ集約判定手段を有するか否かをさらに判定し、集約すべき装置がフィルタ集約判定手段を有しないと判定された場合、重複するフィルタ情報を集約することを示すフィルタ集約要求を当該集約すべき装置にさらに送信するので、例えば、集約すべき装置(ルータA70)がフィルタ集約機能を有しない装置であった場合でも、削除すべき装置(ルータC72)が、フィルタ設定要求を上位装置に送信して、フィルタを設定することができる結果、既存のネットワークに容易に組み込むことが可能である。
[ネットワーク装置のフィルタ集約削除処理(実施例3)]
次に、図19を用いて、図18に示したネットワーク装置のフィルタ集約削除処理の流れを説明する。図19は、実施例3に係るネットワーク装置(例えば、ルータ)のネットワーク装置のフィルタ集約削除処理の流れを示すフローチャートである。なお、フィルタ集約削除処理より前のフィルタ設定された場合の処理やフィルタ情報を受信した場合の処理の流れは、実施例1と同様であるので、その詳細な説明は省略する。
図19に示すように、まず、ネットワーク装置10は、受信したフィルタ情報と経路情報とに基づいてトポロジーツリーを作成し(ステップS1901)、他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置(上位装置)であるか、もしくは、削除すべき装置(下位装置)であるかを判定し(ステップS1902)、削除すべき装置(下位装置)であると判定された場合、代表下位装置であるか否かを判定する(ステップS1907)。
図18に示した例で具体的に説明すると、ルータE74にWEBサーバ75(10.10.10.1)が設定されて、それぞれのルータでフィルタ情報が付加された経路情報の送受信がされる。そして、それぞれのルータは、トポロジーツリーなどを用いてルータA70を集約すべき装置(上位ルータ)と判定し、さらに、削除すべき装置(下位ルータ)の中から、各ルータが代表下位ルータになるプライオリティをあらかじめフィルタ情報に追加しておき、そのプライオリティを比較するなどして、ルータC72は、自らを代表下位ルータと判定する。
そして、代表下位装置と判定された場合(ステップS1907肯定)、ネットワーク装置70は、経路情報データベースとフィルタデータベースとから上位装置情報を取得し(ステップS1908)、集約すべき他のネットワーク装置がフィルタ集約判定部を有しないか否かをさらに判定し(ステップS1909)、集約すべき他のネットワーク装置がフィルタ制御手段を有しない場合(ステップS1909肯定)、重複するフィルタ情報を集約することを示すフィルタ集約要求を当該集約すべき装置に指示した後(ステップS1910)、上記した実施例1と同様にフィルタ解除処理を行う(ステップS1911)。
同様に具体的に説明すると、代表下位ルータのルータC72は、集約すべきルータA70がフィルタ集約判定部を有するか否かをさらに判定し、ルータA70がフィルタ集約判定部を有しないと判定された場合、重複するフィルタ情報を集約することを示すフィルタ集約要求をルータA70にさらに送信する。
一方、集約すべき他のネットワーク装置がフィルタ制御手段を有する場合(ステップS1909否定)、ネットワーク装置70は、集約されるフィルタ、つまり、削除すべきフィルタを解除する(ステップS1911)。
一方、ステップS1907に戻ると、代表下位装置と判定されなかった場合(ステップS1907否定)、ネットワーク装置70は、集約されるフィルタ、つまり、削除すべきフィルタを解除する(ステップS1911)。
なお、フィルタを解除した後に行われるステップS1911〜ステップS1915の処理は、実施例1で説明した図14のステップS1408〜ステップS1412の処理と同様であるので、その詳細な説明は省略する。また、同様に、集約すべき装置であると判定された場合(ステップS1902)に行うステップS1902〜ステップS1906の処理は、図14のステップS1402〜ステップS1406の処理と同様であるので、ここではその詳細な説明を省略する。
[実施例3による効果]
このように、重複フィルタ情報を集約すべき他のネットワーク装置がフィルタ集約判定手段を有するか否かをさらに判定し、集約すべき装置がフィルタ集約判定手段を有しないと判定された場合、重複するフィルタ情報を集約することを示すフィルタ集約要求を当該集約すべき装置にさらに送信するので、例えば、集約すべき装置(ルータA70)がフィルタ集約機能を有しない装置であった場合でも、削除すべき装置(ルータC72)が、フィルタ設定要求を上位装置に送信して、フィルタを設定することができる結果、既存のネットワークに容易に組み込むことが可能である。
ところで、上記した実施例1〜3では、重複するフィルタを集約する場合についてのみ説明したが、本発明はこれに限定されるものではなく、集約していたフィルタを解除し、下位装置で再設定するようにしてもよい。
そこで、以下では、図20〜図26を用いて、上位装置のリソースが閾値以上になった場合、集約していたフィルタを解除し、下位装置で再設定する場合を実施例4として説明する。なお、実施例4では、実施例4に係るネットワーク装置を含むシステムの全体構成、ネットワーク装置の構成、ネットワーク装置のフィルタ集約削除処理の流れおよび実施例4による効果を説明する。
[ネットワーク装置を含むシステムの全体構成(実施例4)]
まず最初に、図20は、実施例4に係るネットワーク装置(例えば、ルータ)を含むシステムの全体構成を示す図である。
図20に示すように、実施例1〜3と同様に、かかるシステムは、ルータA100からルータE104にて構成されており、インターネットを介してIPアドレスが「10.10.10.1」のWEBサーバ105へ接続される。そして、ルータC102にはユーザ端末106が接続され、ルータD103にはユーザ端末107が、ルータE104にはユーザ端末108が接続されている。
そして、もともとは、ルータC102とルータD103とルータE104とには、「IPアドレス(10.10.10.1)」のフィルタ情報が設定してあったが、ルータA100により「IPアドレス(10.10.10.1)」のフィルタ情報が集約された状態である。
このような構成のもと、それぞれのルータは、フィルタ情報のリソース状況が閾値以上か否かを判定し、リソース状況が閾値以上と判定された場合に、集約されたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定手段に指示し、また、他のネットワーク装置に当該削除するフィルタ情報を再設定することを示すフィルタ再設定要求を指示する。そして、重複するフィルタ情報を集約していた装置は、当該フィルタ情報を削除し、重複するフィルタ情報を削除していた装置は、当該フィルタ情報を再設定する。
具体的に例を挙げれば、ルータA100は、一定周期で(もしくは、常時)フィルタ情報のリソース状況(登録フィルタ数)が閾値以上か否かを判定し、リソース状況(登録フィルタ数)が閾値以上と判定された場合に、集約していたフィルタ情報「IPアドレス(10.10.10.1)」を削除することを示すフィルタ削除要求をフィルタ設定手段に送信し、また、ルータC102とルータD103とルータE104とに集約していたフィルタ情報を再設定することを示すフィルタ再設定要求を送信する。そして、ルータA100は、当該フィルタ情報「IPアドレス(10.10.10.1)」を削除し、フィルタ再設定要求を受信したルータC102とルータD103とルータE104とは、集約されていた「IPアドレス(10.10.10.1)」のフィルタ情報を自装置に再設定する。
このように、集約すべき装置(ルータA100)のフィルタ情報のリソース状況が閾値以上か否かを判定し、リソース状況が閾値以上と判定された場合に、集約されたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定手段に指示し、また、他のネットワーク装置に当該削除するフィルタ情報を再設定することを示すフィルタ再設定要求を指示するので、例えば、重複するフィルタ情報を集約した装置(ルータA100)のフィルタ情報のリソース状況に応じて集約を解除することができる結果、集約すべき装置(ルータA100)のハードウエアリソースの枯渇を防止することが可能である。
[ネットワーク装置の構成(実施例4)]
次に、図21〜図22を用いて、実施例4に係るネットワーク装置の構成を説明する。図21は、実施例4に係るネットワーク装置(例えば、ルータ)の構成を示すブロック図であり、図22は、実施例4に係るネットワーク装置(各ルータ)のフィルタ情報データベースの例を示した図である。
図21に示すように、実施例4に係るネットワーク装置100は、通信制御IF部110と、記憶部111と、制御部120とから構成される。このうち、通信制御IF部110と、記憶部111の経路情報データベース112とフィルタデータベース113と、制御部120のフィルタ設定部121とルーティング制御部122とフィルタ集約判定部123とは、実施例1で説明した図2の通信制御IF部20と、記憶部21の経路情報データベース22とフィルタデータベース23と、制御部30のフィルタ設定部31とルーティング制御部32とフィルタ集約判定部33と同様の機能を有するので、ここではその詳細な説明は省略する。
かかる記憶部111のフィルタ情報データベース114は、設定するフィルタ情報およびフィルタ登録可能数などを記憶する手段であり、具体的には、フィルタ設定部121により設定されるフィルタ情報を記憶する。例を挙げれば、実施例1で説明した「フィルタ種別、フィルタ設定、ハード設定済フラグ、上位ルータ、下位ルータ」に加え、『フィルタの登録可能な数を示す「フィルタ登録可能数」と実際に設定されているフィルタ数を示す「フィルタ登録数」』を格納する。例えば、設定するフィルタ情報に加え、図22に示したように、ルータA100の場合、「フィルタ登録可能数、フィルタ登録数」として「100、90」や、ルータD103の場合、「100、80」などを記憶する。
そして、制御部120のフィルタ制御部124は、後述するリソース判定部125によりリソース状況が閾値以上と判定された場合に、集約していたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定部121に指示し、また、削除した装置に集約していたフィルタ情報を再設定することを示すフィルタ再設定要求を指示する手段である。具体的に例を挙げれば、ルータA100は、後述するリソース判定部125によりフィルタ登録数が閾値以上(例えば、80以上)と判定された場合に、集約していたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定部121に指示し、また、ルータC102とルータD103とルータE104とに集約していたフィルタ情報を再設定することを示すフィルタ再設定要求を指示する。
また、リソース判定部125は、フィルタ情報データベース114のリソース状況が閾値以上か否かを判定する手段であり、具体的に例を挙げれば、ルータA100は、フィルタ情報データベース114のフィルタ登録数が閾値以上(例えば、80以上)か否かを一定周期で判定し、判定した結果をフィルタ集約判定部123に通知する。
[ネットワーク装置のフィルタ集約削除処理(実施例4)]
次に、図23〜図26を用いて、図21に示した実施例4に係るネットワーク装置のフィルタ集約削除処理の流れを説明する。図23は、実施例4に係るルータAに記憶されるフィルタ情報データベースの例を示した図であり、図24は、実施例4に係る集約解除前のルータCに記憶されるフィルタ情報データベースの例を示した図であり、図25は、実施例4に係る集約解除後のルータCに記憶されるフィルタ情報データベースの例を示した図であり、図26は、実施例4に係るネットワーク装置(例えば、ルータ)のフィルタ集約削除処理の流れを示すフローチャートである。
図26に示すように、ネットワーク装置100のリソース判定部125によりフィルタ情報データベース114のリソース状況が閾値以上と判定された場合(ステップS2601肯定)、ネットワーク装置100は、フィルタ情報データベース114から集約解除フィルタを決定する(ステップS2602)。
具体的に例を挙げると、ルータA100のリソース判定部125によりフィルタ情報のリソース状況が閾値以上と判定された場合、ルータA100は、フィルタ情報データベース114から集約解除フィルタとして、図23に示した「IP DA、10.10.10.1、○、−、C・D・E」を決定する。なお、集約解除フィルタは、フィルタ情報データベース114に下位装置が設定されているか否かで決定される。
続いて、ネットワーク装置100は、決定したフィルタの下位装置にリソースの空きがあるかを下位装置に問い合わせて判定する(ステップS2603)。そして、下位装置にリソースの空きがないと判定された場合(ステップS2603否定)、ネットワーク装置100は処理を終了する。
一方、下位装置にリソースの空きがあると判定された場合(ステップS2603肯定)、ネットワーク装置100のフィルタ制御部124は、集約していたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定部121に指示し、また、削除した装置に集約していたフィルタ情報を再設定することを示すフィルタ再設定要求を指示する(ステップS2604)。
具体的に例を挙げると、ルータA100は、決定したフィルタの下位装置(ルータC102、ルータD103、ルータE104)にリソースの空きがあるかを下位装置に問い合わせて判定し、そして、下位装置にリソースの空きがあると判定された場合、ルータA100のフィルタ制御部124は、集約していたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定部121に指示し、また、ルータC102、ルータD103、ルータE104に集約していたフィルタ情報を再設定することを示すフィルタ再設定要求を指示する。
その後、ネットワーク装置100は、下位装置からフィルタ再設定完了通知を受信すると(ステップS2605肯定)、再設定されたフィルタを削除する(ステップS2606)。
具体的に例を挙げると、ルータA100は、図23に示した「IP DA、10.10.10.1、○、−、C・D・E」のフィルタを削除する。また、ルータC102、ルータD103、ルータE104は、ルータA100からフィルタ再設定要求を受信すると、図24と図25に示したように「フィルタ種別、フィルタ値、ハード済設定フラグ、上位ルータ、下位ルータ」として「IP DA、10.10.10.1、−、A、−」から「IP DA、10.10.10.1、○、−、−」のフィルタを再設定する。つまり、「ハード済設定フラグ」を「−」から「○」に、「上位ルータ」を「A」から「−」に設定している。
[実施例4による効果]
このように、実施例4によれば、フィルタ情報のリソース状況が閾値以上か否かを判定するリソース判定手段をさらに備え、リソース状況が閾値以上と判定された場合に、集約されたフィルタ情報を削除することを示すフィルタ削除要求をフィルタ設定手段に指示し、また、他のネットワーク装置に当該削除するフィルタ情報を再設定することを示すフィルタ再設定要求を指示するので、例えば、重複するフィルタ情報を集約した装置(ルータA100)のフィルタ情報のリソース状況に応じて集約を解除することができる結果、集約すべき装置のハードウエアリソースの枯渇を防止することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例5として、本発明に含まれる他の実施例について説明する。
(1)レイヤ2での使用
例えば、実施例1〜4では、ネットワーク装置がレイヤ3のルータである場合について説明したが、本発明はこれに限定されるものではなく、例えば、レイヤ2の通信に用いてもよい。レイヤ2の通信に用いる場合、OSPFに変わってスパニングツリーなどを用いて行うことが可能である。
(2)システム構成等
また、実施例1〜4において説明した文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3〜9、17、22〜25に示したネットワーク装置の各種データベースの構成や図11のトポロジーツリーなど)については、特記する場合を除いて任意に変更することができる。
また、図2、図16または図21に示したネットワーク装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、ネットワーク装置の分散・統合(例えば、制御部と記憶部を統合するなど)の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(3)プログラム
ところで、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムの一例を説明する。
図27は、フィルタリングプログラムを実行するコンピュータシステム270を示す図である。同図に示すように、コンピュータシステム270は、RAM271と、HDD272と、ROM273と、CPU274とから構成される。ここで、ROM273には、上の実施例と同様の機能を発揮するプログラム、つまり、図27に示すように、フィルタ設定プログラム273a、ルーティング実行プログラム273b、フィルタ情報送受信プログラム273c、フィルタ集約判定プログラム273d、フィルタ制御プログラム273eがあらかじめ記憶されている。
そして、CPU274には、これらのプログラム273a〜273eを読み出して実行することで、図27に示すように、フィルタ設定プロセス274a、ルーティング実行プロセス274b、フィルタ情報送受信プロセス274c、フィルタ集約判定プロセス274d、フィルタ制御プロセス274eとなる。なお、フィルタ設定プロセス274aは、図2に示した、フィルタ設定部31に対応し、同様に、ルーティング実行プロセス274bは、ルーティング実行部32aに対応し、フィルタ情報送受信プロセス274cは、フィルタ情報送受信部32bに対応し、フィルタ集約判定プロセス274dは、フィルタ集約判定部33に対応し、フィルタ制御プロセス274eは、フィルタ制御部34に対応する。
また、HDD272には、自ネットワーク装置および他のネットワーク装置が所持する経路情報を記憶する経路情報テーブル272aと、他のネットワーク装置から受信したフィルタ情報を記憶するフィルタテーブル272bと、設定されるフィルタ情報を記憶するフィルタ情報テーブル272cとが設けられる。なお、経路情報テーブル272aは、図2に示した、経路情報データベース22に対応し、同様に、フィルタテーブル272bは、フィルタデータベース23に対応し、フィルタ情報テーブル272cは、フィルタ情報データベース24に対応する。
ところで、上記したプログラム273a〜273eは、必ずしもROM273に記憶させておく必要はなく、例えば、コンピュータシステム270に挿入されるフレキシブルディスク(FD)、CD−ROM、MOディスク、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」の他に、コンピュータシステム270の内外に備えられるハードディスクドライブ(HDD)などの「固定用の物理媒体」、さらに、公衆回線、インターネット、LAN、WANなどを介してコンピュータシステム270に接続される「他のコンピュータシステム」に記憶させておき、コンピュータシステム270がこれらからプログラムを読み出して実行するようにしてもよい。
(付記1)設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のネットワーク装置との間で経路情報の送受信を行うネットワーク装置であって、
当該ネットワーク装置または前記他のネットワーク装置から受信した所定の要求に基づいて、前記フィルタ情報を設定するフィルタ設定手段と、
前記フィルタ設定手段によってフィルタ情報が設定された場合に、前記経路情報に当該フィルタ情報を付加して前記他のネットワーク装置に送信し、また、前記他のネットワーク装置においてフィルタ情報が設定された場合に、前記他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信するフィルタ情報送受信手段と、
前記フィルタ情報送受信手段により受信されたフィルタ情報と経路情報とに基づいて、前記他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定するフィルタ集約判定手段と、
前記フィルタ集約判定部により集約すべき装置と判定された場合に、前記重複するフィルタ情報を集約することを示すフィルタ設定要求を前記フィルタ設定手段に指示し、また、前記フィルタ集約判定部により削除すべき装置と判定された場合、前記重複するフィルタ情報を削除することを示すフィルタ削除要求を前記フィルタ設定手段に指示するフィルタ制御手段と、
を備えたことを特徴とするネットワーク装置。
(付記2)前記フィルタ情報の有効度を算出する有効度算出手段をさらに備え、
前記フィルタ集約判定部は、前記有効度算出部により算出された有効度をさらに考慮して、前記他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置か、もしくは、削除すべき装置かを判定することを特徴とする付記1に記載のネットワーク装置。
(付記3)前記フィルタ集約判定手段は、前記重複するフィルタ情報を集約すべき他のネットワーク装置が前記フィルタ集約判定手段を有するか否かをさらに判定し、
前記フィルタ制御手段は、前記集約すべき装置が前記フィルタ集約判定手段を有しないと判定された場合、前記重複するフィルタ情報を集約することを示すフィルタ集約要求を当該集約すべき装置にさらに送信することを特徴とする付記1または2に記載のネットワーク装置。
(付記4)前記フィルタ情報のリソース状況が閾値以上か否かを判定するリソース判定手段をさらに備え、
前記フィルタ制御手段は、前記リソース監視手段により前記リソース状況が閾値以上と判定された場合に、前記集約されたフィルタ情報を削除することを示すフィルタ削除要求を前記フィルタ設定手段に指示し、また、前記他のネットワーク装置に当該削除するフィルタ情報を再設定することを示すフィルタ再設定要求を指示することを特徴とする付記1〜3のいずれか一つに記載のネットワーク装置。
(付記5)設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のネットワーク装置との間で経路情報の送受信を行うことをコンピュータに実行させるフィルタリングプログラムであって、
当該ネットワーク装置または前記他のネットワーク装置から受信した所定の要求に基づいて、前記フィルタ情報を設定するフィルタ設定手順と、
前記フィルタ設定手順によってフィルタ情報が設定された場合に、前記経路情報に当該フィルタ情報を付加して前記他のネットワーク装置に送信し、また、前記他のネットワーク装置においてフィルタ情報が設定された場合に、前記他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信するフィルタ情報送受信手順と、
前記フィルタ情報送受信手順により受信されたフィルタ情報と経路情報とに基づいて、前記他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置であるか、もしくは、削除すべき装置であるかを判定するフィルタ集約判定手順と、
前記フィルタ集約判定手順により集約すべき装置と判定された場合に、前記重複するフィルタ情報を集約することを示すフィルタ設定要求を前記フィルタ設定手順に指示し、また、前記フィルタ集約判定部により削除すべき装置と判定された場合、前記重複するフィルタ情報を削除することを示すフィルタ削除要求を前記フィルタ設定手順に指示するフィルタ制御手順と、
をコンピュータに実行させることを特徴とするフィルタリングプログラム。
(付記6)前記フィルタ情報の有効度を算出する有効度算出手順をさらに備え、
前記フィルタ集約判定手順は、前記有効度算出手順により算出された有効度をさらに考慮して、前記他のネットワーク装置との間における重複するフィルタ情報を集約すべき装置か、もしくは、削除すべき装置かを判定することを特徴とする付記5に記載のフィルタリングプログラム。
(付記7)前記フィルタ集約判定手順は、前記重複するフィルタ情報を集約すべき他のネットワーク装置が前記フィルタ集約判定手順を有するか否かをさらに判定し、
前記フィルタ制御手順は、前記集約すべき装置が前記フィルタ集約判定手順を有しないと判定された場合、前記重複するフィルタ情報を集約することを示すフィルタ集約要求を当該集約すべき装置にさらに送信することを特徴とする付記5または6に記載のフィルタリングプログラム。
(付記8)前記フィルタ情報のリソース状況が閾値以上か否かを判定するリソース判定手順をさらに備え、
前記フィルタ制御手順は、前記リソース監視手順により前記リソース状況が閾値以上と判定された場合に、前記集約されたフィルタ情報を削除することを示すフィルタ削除要求を前記フィルタ設定手順に指示し、また、前記他のネットワーク装置に当該削除するフィルタ情報を再設定することを示すフィルタ再設定要求を指示することを特徴とする付記5〜7のいずれか一つに記載のフィルタリングプログラム。
以上のように、本発明に係るネットワーク装置およびフィルタリングプログラムは、設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のネットワーク装置との間で経路情報の送受信を行うことに有用であり、特に、効率よく同一ネットワーク内にある全てのルータのハードウエアリソースを確保することに適する。
実施例1に係るネットワーク装置を含むシステムの全体構成を示す図である。 実施例1に係るネットワーク装置の構成を示すブロック図である。 実施例1に係るネットワーク装置が記憶するフィルタデータベースの構成例を示す図である。 実施例1に係る集約前のルータCのフィルタ情報データベースの構成例を示す図である。 実施例1に係る集約前のルータDのフィルタ情報データベースの構成例を示す図である。 実施例1に係る集約後のルータAのフィルタ情報データベースの構成例を示す図である。 実施例1に係る集約後のルータBのフィルタ情報データベースの構成例を示す図である。 実施例1に係る集約後のルータCのフィルタ情報データベースの構成例を示す図である。 実施例1に係るネットワーク装置のフィルタ情報データベースの構成例を示す図である 実施例1に係るネットワーク装置により送受信されるフィルタ情報データベースの例を示す図である。 実施例1に係るネットワーク装置により作成されるトポロジーツリーの例を示す図である。 実施例1に係るネットワーク装置にてフィルタが設定された場合の処理の流れを示すフローチャートである。 実施例1に係るネットワーク装置がフィルタ情報を受信した場合の処理の流れを示すフローチャートである。 実施例1に係るネットワーク装置におけるフィルタ集約削除処理の流れを示すフローチャートである。 実施例2に係るネットワーク装置を含むシステムの全体構成を示す図である。 実施例2に係るネットワーク装置の構成を示すブロック図である。 実施例2に係るネットワーク装置に記憶されるフィルタデータベースの構成例を示した図である。 実施例3に係るネットワーク装置を含むシステムの全体構成を示す図である。 実施例3に係るネットワーク装置におけるフィルタ集約削除処理の流れを示すフローチャートである。 実施例4に係るネットワーク装置を含むシステムの全体構成を示す図である。 実施例4に係るネットワーク装置の構成を示すブロック図である。 実施例4に係るネットワーク装置のフィルタ情報データベースの例を示す図である。 実施例4に係るルータAに記憶されるフィルタ情報データベースの構成例を示す図である。 実施例4に係る集約解除前のルータCに記憶されるフィルタ情報データベースの構成例を示す図である。 実施例4に係る集約解除後のルータCに記憶されるフィルタ情報データベースの構成例を示す図である。 実施例4に係るネットワーク装置におけるフィルタ集約解除処理の流れを示すフローチャートである。 フィルタリングプログラムを実行するコンピュータシステムの例を示す図である。
符号の説明
10 ルータA
11 ルータB
12 ルータC
13 ルータD
14 ルータE
15 WEBサーバ
16 ユーザ端末
17 ユーザ端末
18 ユーザ端末
20 通信制御IF部
21 記憶部
22 経路情報データベース
23 フィルタデータベース
24 フィルタ情報データベース
30 制御部
31 フィルタ設定部
32 ルーティング制御部
32a ルーティング実行部
32b フィルタ情報送受信部
33 フィルタ集約判定部
34 フィルタ制御部
40 ルータA
41 ルータB
42 ルータC
43 ルータD
44 ルータE
45 WEBサーバ
46 ユーザ端末
47 ユーザ端末
48 ユーザ端末
50 通信制御IF部
51 記憶部
52 経路情報データベース
53 フィルタデータベース
54 フィルタ情報データベース
60 制御部
61 フィルタ設定部
62 ルーティング制御部
62a ルーティング実行部
62b フィルタ情報送受信部
63 フィルタ集約判定部
64 フィルタ制御部
65 有効度算出部
70 ルータA
71 ルータB
72 ルータC
73 ルータD
74 ルータE
75 WEBサーバ
76 ユーザ端末
77 ユーザ端末
78 ユーザ端末
100 ルータA
101 ルータB
102 ルータC
103 ルータD
104 ルータE
105 WEBサーバ
106 ユーザ端末
107 ユーザ端末
108 ユーザ端末
110 通信制御IF部
111 記憶部
112 経路情報データベース
113 フィルタデータベース
114 フィルタ情報データベース
120 制御部
121 フィルタ設定部
122 ルーティング制御部
122a ルーティング実行部
122b フィルタ情報送受信部
123 フィルタ集約判定部
124 フィルタ制御部
125 リソース判定部
270 コンピュータシステム
271 RAM
272 HDD
272a 経路情報テーブル
272b フィルタテーブル
272c フィルタ情報テーブル
273 ROM
273a フィルタ設定プログラム
273b ルーティング実行プログラム
273c フィルタ情報送受信プログラム
273d フィルタ集約判定プログラム
273e フィルタ制御プログラム
274 CPU
274a フィルタ設定プロセス
274b ルーティング実行プロセス
274c フィルタ情報送受信プロセス
274d フィルタ集約判定プロセス
274e フィルタ制御プロセス

Claims (5)

  1. 設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のネットワーク装置との間で経路情報の送受信を行うネットワーク装置であって、
    前記フィルタ情報が自ネットワーク装置に設定された場合に、前記経路情報に当該フィルタ情報を付加して前記他のネットワーク装置に送信し、また、前記他のネットワーク装置においてフィルタ情報が設定された場合に、前記他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信するフィルタ情報送受信手段と、
    前記フィルタ情報送受信手段により受信されたフィルタ情報と経路情報とに基づいて、当該フィルタ情報が設定されている他のネットワーク装置との間で、自ネットワーク装置が当該フィルタ情報を集約すべき装置であるか、他のネットワーク装置が当該フィルタ情報を集約すべき装置であるかを判定するフィルタ集約判定手段と、
    前記フィルタ集約判定部により自ネットワーク装置が集約すべき装置と判定された場合に、前記自ネットワーク装置に前記フィルタ情報を設定するとともに、他のネットワーク装置に当該フィルタ情報の削除を指示し、また、前記フィルタ集約判定部により他のネットワーク装置が集約すべき装置と判定された場合、前記自ネットワーク装置に設定されるフィルタ情報を削除するフィルタ制御手段と、
    を備えたことを特徴とするネットワーク装置。
  2. 前記フィルタ情報の有効度を算出する有効度算出手段をさらに備え、
    前記フィルタ集約判定手段は、前記有効度算出手段により算出された有効度をさらに考慮して、前記自ネットワーク装置が当該フィルタ情報を集約すべき装置であるか、もしくは、前記他のネットワーク装置が当該フィルタ情報を集約すべき装置であるかを判定することを特徴とする請求項1に記載のネットワーク装置。
  3. 前記フィルタ集約判定手段は、前記フィルタ情報を集約すべき他のネットワーク装置が前記フィルタ集約判定手段を有するか否かをさらに判定し、
    前記フィルタ制御手段は、前記フィルタ情報を集約すべき他のネットワーク装置が前記フィルタ集約判定手段を有しないと判定された場合、前記フィルタ情報を設定することを示すフィルタ集約要求を当該他のネットワーク装置にさらに送信することを特徴とする請求項1または2に記載のネットワーク装置。
  4. 前記他のネットワーク装置から削除し、自ネットワーク装置に集約した前記フィルタ情報のリソース状況が閾値以上か否かを判定するリソース判定手段をさらに備え、
    前記フィルタ制御手段は、前記リソース監視手段により前記リソース状況が閾値以上と判定された場合に、前記自ネットワーク装置に設定されたフィルタ情報を削除、また、当該フィルタ情報を削除した前記他のネットワーク装置に当該フィルタ情報を再設定することを示すフィルタ再設定要求を指示することを特徴とする請求項1〜3のいずれか一つに記載のネットワーク装置。
  5. 設定されたフィルタ情報に基づいてパケットフィルタリングを行うとともに、他のネットワーク装置との間で経路情報の送受信を行うことをコンピュータに実行させるフィルタリングプログラムであって、
    前記フィルタ情報が自ネットワーク装置に設定された場合に、前記経路情報に当該フィルタ情報を付加して前記他のネットワーク装置に送信し、また、前記他のネットワーク装置においてフィルタ情報が設定された場合に、前記他のネットワーク装置から当該フィルタ情報が付加された経路情報を受信するフィルタ情報送受信手順と、
    前記フィルタ情報送受信手順により受信されたフィルタ情報と経路情報とに基づいて当該フィルタ情報が設定されている他のネットワーク装置との間で、自ネットワーク装置が当該フィルタ情報を集約すべき装置であるか、他のネットワーク装置が当該フィルタ情報を集約すべき装置であるかを判定するフィルタ集約判定手順と、
    前記フィルタ集約判定手順により自ネットワーク装置が集約すべき装置と判定された場合に、前記自ネットワーク装置に前記フィルタ情報を設定するとともに、他のネットワーク装置に当該フィルタ情報の削除を指示し、また、前記フィルタ集約判定手順により他のネットワーク装置が集約すべき装置と判定された場合、前記自ネットワーク装置に設定されるフィルタ情報を削除するフィルタ制御手順と、
    をコンピュータに実行させることを特徴とするフィルタリングプログラム。
JP2006213900A 2006-08-04 2006-08-04 ネットワーク装置およびフィルタリングプログラム Expired - Fee Related JP4791285B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006213900A JP4791285B2 (ja) 2006-08-04 2006-08-04 ネットワーク装置およびフィルタリングプログラム
US11/829,163 US8223756B2 (en) 2006-08-04 2007-07-27 Network device and computer product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006213900A JP4791285B2 (ja) 2006-08-04 2006-08-04 ネットワーク装置およびフィルタリングプログラム

Publications (2)

Publication Number Publication Date
JP2008042506A JP2008042506A (ja) 2008-02-21
JP4791285B2 true JP4791285B2 (ja) 2011-10-12

Family

ID=39029096

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006213900A Expired - Fee Related JP4791285B2 (ja) 2006-08-04 2006-08-04 ネットワーク装置およびフィルタリングプログラム

Country Status (2)

Country Link
US (1) US8223756B2 (ja)
JP (1) JP4791285B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4924211B2 (ja) * 2007-01-23 2012-04-25 横河電機株式会社 無線ネットワーク構築方法及び無線ノード設置支援端末
JP5309924B2 (ja) * 2008-11-27 2013-10-09 富士通株式会社 パケット処理装置、ネットワーク機器、及びパケット処理方法
JP5604825B2 (ja) 2009-08-19 2014-10-15 ソニー株式会社 画像処理装置および方法
US8700409B1 (en) * 2010-11-01 2014-04-15 Sprint Communications Company L.P. Real-time versioning of device-bound content
CN106549793B (zh) 2015-09-23 2020-08-07 华为技术有限公司 流量控制方法及设备
JP6733915B2 (ja) * 2018-03-09 2020-08-05 Necプラットフォームズ株式会社 ルータ装置、上位ウェブフィルタリング検出方法および上位ウェブフィルタリング検出プログラム
US11343228B2 (en) * 2020-05-13 2022-05-24 Arbor Networks, Inc. Automatically configuring clustered network services

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03166812A (ja) * 1989-11-27 1991-07-18 Nippon Telegr & Teleph Corp <Ntt> 画像信号用サブバンド分割方式
JPH08335949A (ja) * 1995-06-07 1996-12-17 Hitachi Ltd ネットワークのアクセス制御検査装置
JPH09270813A (ja) * 1996-04-01 1997-10-14 Hitachi Cable Ltd パケットフィルタ機能付きルータ装置
US6873368B1 (en) * 1997-12-23 2005-03-29 Thomson Licensing Sa. Low noise encoding and decoding method
US6341130B1 (en) * 1998-02-09 2002-01-22 Lucent Technologies, Inc. Packet classification method and apparatus employing two fields
US6124790A (en) * 1998-11-20 2000-09-26 Lucent Technologies Inc. System and method for filtering an alarm
AU7053400A (en) * 1999-09-03 2001-04-10 Broadcom Corporation Apparatus and method for enabling voice over ip support for a network switch
JP2001249866A (ja) * 2000-03-06 2001-09-14 Fujitsu Ltd ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
US7215637B1 (en) * 2000-04-17 2007-05-08 Juniper Networks, Inc. Systems and methods for processing packets
JP2003244247A (ja) * 2002-02-15 2003-08-29 Nippon Telegr & Teleph Corp <Ntt> パケットフィルタ分散方法及び分散化パケットフィルタシステム
US20040064530A1 (en) * 2002-09-30 2004-04-01 Microsoft Corporation Accessibility system events mechanism and method
US6788690B2 (en) * 2002-06-27 2004-09-07 Nokia Corporation Packet identifier search filtering
GB0226289D0 (en) * 2002-11-11 2002-12-18 Orange Personal Comm Serv Ltd Telecommunications
US7409707B2 (en) * 2003-06-06 2008-08-05 Microsoft Corporation Method for managing network filter based policies
US7509674B2 (en) 2003-10-07 2009-03-24 Alcatel Lucent Access control listing mechanism for routers
GB0328756D0 (en) * 2003-12-11 2004-01-14 Nokia Corp Controlling transportation of data packets
WO2005057549A1 (ja) * 2003-12-12 2005-06-23 Nec Corporation 情報処理システム、情報処理方法および情報処理用プログラム
US7505463B2 (en) * 2004-06-15 2009-03-17 Sun Microsystems, Inc. Rule set conflict resolution
JP4368260B2 (ja) * 2004-07-08 2009-11-18 富士通株式会社 ネットワーク中継装置
JP2006148532A (ja) * 2004-11-19 2006-06-08 Nec Corp パケットフィルタ制御方法、装置及び記録媒体
US7940694B2 (en) * 2005-11-14 2011-05-10 Juniper Networks, Inc. Intelligent filtering of redundant data streams within computer networks

Also Published As

Publication number Publication date
US20080031233A1 (en) 2008-02-07
JP2008042506A (ja) 2008-02-21
US8223756B2 (en) 2012-07-17

Similar Documents

Publication Publication Date Title
JP4791285B2 (ja) ネットワーク装置およびフィルタリングプログラム
CN107750362B (zh) 自动预防和修复网络滥用
EP2628281B1 (en) Terminal, control device, communication method,communication system, communication module, program, and information processing device
US8081640B2 (en) Network system, network management server, and access filter reconfiguration method
US7512705B2 (en) Truncating data units
JP6112165B2 (ja) 通信システム、制御装置、通信方法およびプログラム
US8036127B2 (en) Notifying network applications of receive overflow conditions
US20140112130A1 (en) Method for setting packet forwarding rule and control apparatus using the method
US20150347246A1 (en) Automatic-fault-handling cache system, fault-handling processing method for cache server, and cache manager
JP2011243112A (ja) システム管理方法、及び管理装置
EP3295652B1 (en) Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment
EP2649759A1 (en) Technique for managing traffic at a router
CN109240796A (zh) 虚拟机信息获取方法及装置
WO2013146808A1 (ja) コンピュータシステム、及び通信経路変更方法
JP2016051446A (ja) 計算機システム、計算機、負荷分散方法及びそのプログラム
CN110012076B (zh) 一种连接建立方法及装置
CN104660506B (zh) 一种数据包转发的方法、装置及系统
CN104717258B (zh) 一种数据发送方法及系统
US10333792B2 (en) Modular controller in software-defined networking environment and operating method thereof
US10097515B2 (en) Firewall control device, method and firewall device
CN111371580B (zh) 一种数据交换设备上指令的链式漫游方法及装置
CN112486649B (zh) 一种顾及空间约束的gis服务网关平台
CN106936900A (zh) 集群节点统计方法及装置
WO2024069949A1 (ja) 通信システムに含まれるハードウェアリソースの管理
JP2006107158A (ja) ストレージネットワークシステム及びアクセス制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110712

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110721

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140729

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4791285

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees