JP4964735B2 - ネットワークシステム、管理計算機、及びフィルタ再構成方法 - Google Patents

ネットワークシステム、管理計算機、及びフィルタ再構成方法 Download PDF

Info

Publication number
JP4964735B2
JP4964735B2 JP2007276326A JP2007276326A JP4964735B2 JP 4964735 B2 JP4964735 B2 JP 4964735B2 JP 2007276326 A JP2007276326 A JP 2007276326A JP 2007276326 A JP2007276326 A JP 2007276326A JP 4964735 B2 JP4964735 B2 JP 4964735B2
Authority
JP
Japan
Prior art keywords
filter
transfer device
reconfigured
network
management computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007276326A
Other languages
English (en)
Other versions
JP2009105716A (ja
Inventor
洋司 小澤
英樹 沖田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007276326A priority Critical patent/JP4964735B2/ja
Priority to US12/222,841 priority patent/US8081640B2/en
Publication of JP2009105716A publication Critical patent/JP2009105716A/ja
Application granted granted Critical
Publication of JP4964735B2 publication Critical patent/JP4964735B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • H04L41/122Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケットをフィルタリングするネットワークシステムに関し、特に、フィルタの再構成を自動的に行う管理装置に関する。
近年、ITシステムにおけるセキュリティに関心が高まり、自ら管理する内部ネットワークから内部ネットワーク内外への不正アクセスの防止、及び、許可されていないフローの遮断等を実施するために、細かいアクセス制御が必要になっている。そこで、細かいアクセス制御をするために、多数のフィルタを設定しなければならない。
フィルタ構成の設計、各ネットワーク装置(以下、NW装置とする)への設定、及び、フィルタ設定の管理は煩雑であるため、通常、上位のNW装置(例えば、コアスイッチ)にまとめてフィルタを設定している。しかし、多数のフィルタを上位のNW装置に設定すると、上位のNW装置のフィルタを検索する負荷が大きくなる。この負荷の増大によって、パケットを転送するのに遅延が発生する。また、制御用パケットのロスによって、ネットワークを正常に運用することが阻害される。
また、NW装置に設定されるフィルタエントリ数が増加すると、NW装置に設定可能なフィルタエントリ数を超過し、NW装置のリソースが不足する。リソースが不足すると、セキュリティポリシーを実施するためのフィルタをさらに設定することができない。
そこで、多数のフィルタが設定されているNW装置の負荷を低減し、リソース不足を解消する方法として、フィルタを分散させる方法がある。
特許文献1には、内部ネットワーク内にフィルタを分散させて設定する方法が開示されている。
特許文献1に開示された方法は、外部ネットワークとの接続点に設置される外部フィルタと、内部ネットワーク内に設置される内部フィルタとに、フィルタを分散させ、負荷の重いフィルタ規則は、各内部フィルタに設定するように、外部フィルタ及び内部フィルタを集中制御するフィルタ管理サーバを備える。
また、特許文献2には、サービスプロバイダ網においてファイアフォールサーバからエッジノードにフィルタを分散させる方法が開示されている。
特許文献2に開示された技術は、ファイアウォールサーバの負荷が高くなった場合に、ファイアウォールに設定される少なくとも一部のフィルタリングルールを特定のエッジノードに分配し、特定のエッジノードは、分配を受けたフィルタリングルールを用いてフィルタリング処理を行う。
特開2003−244247号公報 特開2001−249866号公報
特許文献1に開示された方法には、以下の第1の課題がある。また、特許文献2に開示された方法には、以下の第2及び第3の課題がある。
第1の課題は、各内部フィルタ及び外部フィルタでフィルタリングのポリシーが実現可能か判定することが困難な点である。
第2の課題は、パケット転送を拒否するフィルタを、ファイアウォールサーバからエッジノードへ分配すると、フィルタリングの効果が変化する場合がある点である。
第3の課題は、ファイアウォールサーバからエッジノードにしかフィルタを分配できない点である。
まず、第1の課題について説明する。
フィルタリングのポリシーには、送信元、又は宛先を指定する必要がある。したがって、フィルタリングのポリシーが実現可能か判定するためには、ポリシーで指定された送信元、又は宛先に対応するネットワーク内の場所を知っている必要がある。つまり、ポリシーによって、フィルタを設定するためには、ネットワークの構成情報を考慮する必要がある。しかし、特許文献1に開示された方法では、ネットワークの構成情報を考慮してフィルタを設定することができない。
また、ネットワークの構成情報を生成するためには、ネットワーク管理者及びSEが多数のNW装置の物理接続関係(物理的に接続されているNW装置の関係の情報)、及び、NW装置の設定情報(例えば、設定されているフィルタの情報)を収集する必要がある。さらに、企業ネットワークでは、ネットワークの更新及び拡張等が頻繁に行われるため、その度にネットワークの構成情報を作成し直す必要がある。このような作業は、ネットワーク管理者及びSEの大きな負担となる。
次に、第2の課題について説明する。
特許文献2に開示された方法のようにファイアウォールサーバからエッジノード(エッジスイッチ)に、拒否フィルタをそのまま移動させると、フィルタリングを行う位置が変わるために、移動前は転送されるパケットが到達できた場所に、到達できなくなる場合がある。つまり、フィルタを移動させることで、フィルタリングの効果が変わってしまう。したがって、フィルタリングの効果が変化しないようにフィルタの構成を変える必要があるが、特許文献2に開示された技術では、フィルタリングの効果が変化しないようにフィルタを移動させることができない。
第3の課題について説明する。
特許文献2に開示された技術は、負荷分散の対象はファイアウォールサーバのみであり、ファイアウォールサーバからエッジノードへフィルタを移動させることしかできない。したがって、エッジノードの負荷が高くなり、エッジノードに設定されているフィルタを分散させたい場合等には、対応できない。
したがって、本発明は、上記三つの課題を解決することを目的とする。
本発明の代表的な一例を示せば以下の通りである。すなわち、ネットワークトポロジにおいて上位の外部ネットワークと下位の複数の端末との間において、階層的に接続されパケットを転送する複数の転送装置と、前記複数の転送装置を含むネットワークと、前記ネットワークに接続され、前記ネットワークを管理する管理計算機と、を備える計算機システムであって、前記複数の転送装置は、フィルタが設定されている第1の転送装置と、前記ネットワークトポロジにおいて前記第1の転送装置の下位に接続される第2の転送装置と、を含み、前記管理計算機は、前記複数の転送装置から前記ネットワークの構成情報を取得し、前記取得されたネットワークの構成情報を参照し、前記第1の転送装置に設定されているフィルタを前記第2の転送装置に設定する場合に、前記パケットが転送される範囲が前記フィルタを設定する前にパケットが転送されていた範囲と同じになるように、前記第1の転送装置及び前記第2の転送装置のフィルタの構成を生成し、前記第1の転送装置と前記第2の転送装置とのフィルタの構成を、前記生成されたフィルタの構成に変更する。
本発明の一実施形態によれば、フィルタを分散することによってフィルタが集中しているNW装置の処理負荷を低減できる。
以下、本発明の実施の形態について図面を参照しながら説明する。
<第1の実施の形態>
本発明の第1実施の形態のネットワークシステムについて、図1〜21を用いて説明する。
図1は、本発明の第1の実施の形態のネットワークシステムの構成を示す図である。
ネットワークシステムは、内部ネットワーク1及び外部ネットワーク2によって構成される。内部ネットワーク1と外部ネットワーク2とは、互いに接続される。
内部ネットワーク1には、NW装置100A〜100H、端末グループ200A〜200E、及び管理サーバ500が接続される。また、管理サーバ500には、管理者用端末700が接続される。なお、以下の説明で、NW装置100A〜100Hを総称してNW装置100と説明する場合もある。また、端末グループ200A〜200Eを総称して端末グループ200と説明する場合もある。
端末グループ200は、ネットワーク(例えば、スイッチングハブ等)を介して、NW装置100に接続している計算機の集合であり、ネットワークの利用者が使用する。
図1に示す例では、端末グループ200A及び200BはA部門に所属する。また、端末グループ200C及び200Dは、B部門に所属する。また、端末グループ200Eは、C部門に所属する。
管理サーバ500は、内部ネットワーク1を管理する計算機である。管理サーバ500については、図2を用いて詳細に後述する。 NW装置100は、ネットワーク内で通信される情報を、その情報の宛先に転送する装置であり、例えば、スイッチ、ルータ、及びファイアウォールである。
NW装置100は、複数のポートを備える。図1に示す例では、NW装置100Aは、ポート1〜4を備える。NW装置100B〜100Hは、ポート1〜3を備える。
NW装置100Aのポート1は、NW装置100Bのポート3に接続される。NW装置100Aのポート2は、NW装置100Cのポート3に接続される。NW装置100Aのポート4は、管理サーバ500に接続される。NW装置100Aのポート3は、外部ネットワーク2に接続される。
NW装置100Bのポート1は、NW装置100Dのポート3に接続される。
NW装置100Cのポート1は、NW装置100Eのポート3に接続される。NW装置100Cのポート2は、NW装置100Fのポート3に接続される。
NW装置100Dのポート1は、NW装置100Gのポート3に接続される。NW装置100Dのポート2は、NW装置100Hのポート3に接続される。
NW装置100Gのポート1は、端末グループ200Aに接続される。NW装置100Hのポート1は、端末グループ200Bに接続される。NW装置100Hのポート2は、端末グループ200Cに接続される。NW装置100Eのポート1は、端末グループ200Dに接続される。NW装置100Fのポート1は、端末グループ200Eに接続される。
図2は、本発明の第1の実施の形態の管理サーバ500のブロック図である。
管理サーバ500は、メモリ510、CPU550、外部記憶560、I/Oインターフェース(I/F)570及びネットワークインターフェース(I/F)580を備える。
管理サーバ500は、ネットワークI/F580を介してネットワークに接続される。また、管理サーバ500は、ネットワークに接続される他の装置及び端末グループ200と、ネットワークI/F580を介して情報を送受信する。
メモリ510は、物理構成情報作成プログラム511、IPネットワーク構成生成プログラム512、フィルタ再構成プログラム513、フィルタ設定プログラム514、設定履歴管理プログラム515、物理構成情報テーブル521、IPネットワーク構成情報522、再構成対象フィルタ数情報テーブル523、最大フィルタ数情報テーブル524、フィルタタイプ情報テーブル525、フィルタエントリ情報テーブル526、設定履歴情報テーブル527、及び機種情報テーブル529を格納する。
物理構成情報作成プログラム511は、内部ネットワーク1を構成するNW装置100から物理接続情報(例えば、NW装置100に隣接する装置の情報)を取得し、物理構成情報テーブル521を生成する。
IPネットワーク構成生成プログラム512は、内部ネットワーク1を構成するNW装置100からネットワークの構成情報(例えば、VLAN情報及び経路情報)を取得し、IPネットワーク構成情報522を生成する。
フィルタ再構成プログラム513は、NW装置100に設定されているフィルタの構成を再構成する。なお、フィルタ再構成プログラム513の処理は、後述する図16〜図20で詳細を説明する。
フィルタ設定プログラム514は、再構成されたフィルタの構成情報をNW装置100に反映する。
設定履歴管理プログラム515は、フィルタを再構成した履歴を保存及び呼び出しを行う。
物理構成情報テーブル521は、NW装置100の各ポートに隣接するNW装置100及び隣接するNW装置100のポート等を示す物理的な接続情報を管理する。なお、物理構成情報テーブル521については、後述する図4で詳細を説明する。
IPネットワーク構成情報522は、サブネットとルーティングポイント(例えば、NW装置100)との論理的な接続情報を管理する。IPネットワーク構成情報522については、図3を用いて詳細に後述する。
再構成対象フィルタ数情報テーブル523は、NW装置100のCPU負荷に応じて決定される再構成の対象となるフィルタの数の情報を管理する。なお、再構成対象フィルタ数情報テーブル523については、後述する図5で詳細を説明する。
最大フィルタ数情報テーブル524は、NW装置100の各機種に設定が可能なフィルタ数の最大値を管理する。最大フィルタ数情報テーブル524については、図6を用いて詳細に後述する。
フィルタタイプ情報テーブル525は、フィルタタイプの算出に必要な情報、及び、再構成対象フィルタに選択する優先度等を管理する。フィルタタイプとは、フィルタをグルーピングするための特徴であり、例えば、送信元、宛先、及びプロトコル等により決まる。フィルタタイプ情報テーブル525については、図8を用いて詳細に後述する。
フィルタエントリ情報テーブル526は、NW装置100に設定されているフィルタのエントリの情報を管理する。フィルタエントリ情報テーブル526については、図9を用いて詳細に後述する。
設定履歴情報テーブル527は、フィルタを再構成した履歴を管理する。設定履歴情報テーブル527については、図10を用いて詳細に後述する。
機種情報テーブル529は、NW装置100の各機種の情報を管理する。なお、機種情報テーブル529については、図7を用いて詳細に後述する。
CPU550は、メモリ510に格納される各プログラムを実行するプロセッサである。
外部記憶560は、プログラム及び各種データを記憶する装置であり、例えば、HDDによって構成される。
I/Oインターフェース(I/F)570は、データを入出力するインターフェースである。
ネットワークI/F580は、ネットワークに接続される他の装置及び端末グループ200と情報を送受信するインターフェースである。
図3は、本発明の第1の実施の形態のIPネットワーク構成情報522を説明する図である。
IPネットワーク構成情報522は、仮想NW装置(ルーティングポイント)300A、サブネット400A〜400C、サブネット内の仮想NW装置300B〜300L、及び端末グループ200A〜200Eを含む。なお、以下の説明で、サブネット400A〜400Cを総称する場合は、サブネット400と説明する。また、仮想NW装置300B〜300Lを総称する場合は仮想NW装置300と説明する。
仮想NW装置(ルーティングポイント)300は、パケットのルーティングを行うNW装置である。
サブネット400は、VLAN等により物理的なネットワーク上に構成される論理的なネットワークである。
サブネット400AのIPアドレス範囲は、192.168.10.0/24であり、サブネット400Aは、端末グループ200A及び200Bを含む。また、サブネット400Aは、NW装置100B、100D、100G、及び100Hに対応する仮想NW装置300B、300F、300J、及び300Kを含み、仮想NW装置300B、300F、300J、及び300Kは、端末グループ200A及び200Bを収容する。
サブネット400BのIPアドレス範囲は、192.168.20.0/24であり、サブネット400Bは、端末グループ200C、及び200Dを含む。また、サブネット400Bは、NW装置100B、100C、100D、100E、及び100Hに対応する仮想NW装置300C、300D、300G、300H、及び300Lを含み、仮想NW装置300C、300D、300G、300H、及び300Lは、端末グループ200C、200Dを収容する。
サブネット400CのIPアドレス範囲は、192.168.30.0/24であり、サブネット400Cは、端末グループ200Eを含む。また、サブネット400Cは、NW装置100C及び100Fに対応する仮想NW装置300E及び300Iを含み、仮想NW装置300E及び300Iは、端末グループ200Eを収容する。
なお、本発明の第1の実施の形態のIPネットワーク構成情報522は、VLANの設定情報を含むが、管理サーバ500が論理的な下位装置の構成を分かるような情報を含んでいればよい。
図4は、本発明の第1の実施の形態の物理構成情報テーブル521である。
物理構成情報テーブル521は、NW装置ID5211、ポートID5212、隣接NW装置ID5213、隣接ポートID5214を含む。
NW装置ID5211は、管理サーバ500がNW装置100を識別するための一意な識別子である。
ポートID5212は、管理サーバ500がNW装置100のポートを識別するための一意な識別子である。
隣接NW装置ID5213は、管理サーバ500がポートID5212に示されるポートに接続されるNW装置100を識別するための一意な識別子である。なお、ポートID5212に示されるポートに接続されるNW装置100が存在しない場合には、値が格納されない。
隣接ポートID5214には、管理サーバ500がポートID5212に示されるポートに接続されるNW装置100のポートを識別するための一意な識別子である。なお、ポートID5212に示されるポートに接続されるNW装置100が存在しない場合には、隣接ポートID5214には値が格納されない。
図4に示す例では、物理構成情報テーブル521の第2行のNW装置ID5211、ポートID5212、隣接NW装置ID5213及び隣接ポートID5214には、それぞれ、「1」、「1」、「2」及び「3」が格納されている。これは、NW装置1のポート1は、NW装置2のポート3と接続していることを示す。
図5は、本発明の第1の実施の形態の再構成対象フィルタ数情報テーブル523である。
再構成対象フィルタ数情報テーブル523は、CPU負荷5231及び再構成対象フィルタ数の割合5232を含む。
CPU負荷5231は、NW装置100のCPUの負荷の範囲である。
再構成対象フィルタ数の割合5232は、NW装置100に設定される最大のフィルタ数に対する再構成の対象となるフィルタ数の割合である。
図5に示す例では、再構成対象フィルタ数情報テーブル523の第1行のCPU負荷5231及び再構成対象フィルタ数の割合5232には、それぞれ、「90〜100」及び「50」が格納されている。これは、NW装置100のCPU負荷が90〜100%である場合には、NW装置100に設定される最大のフィルタ数のうち50%を再構成する対象のフィルタとすることを示す。
なお、再構成対象フィルタ数情報テーブル523は、管理サーバ500が管理する各NW装置100について一律に設定されるものであるが、各NW装置100に応じて設定を変更してもよい。
図6は、本発明の第1の実施の形態の最大フィルタ数情報テーブル524である。
最大フィルタ数情報テーブル524は、機種5241及び最大フィルタ数5242を含む。
機種5241は、NW装置100の機種である。
最大フィルタ数5242は、機種5241に示される機種のNW装置100に設定が可能な最大のフィルタ数である。
図6に示す例では、最大フィルタ数情報テーブル524の第1行の機種5241及び最大フィルタ数5242には、それぞれ、「1」及び「1000」が格納されている。これは、機種1のNW装置100には、1000個のフィルタを設定することが可能であることを示す。
図7は、本発明の第1の実施の形態の機種情報テーブル529である。
機種情報テーブル529は、NW装置ID5291及び機種5292を含む。
NW装置ID5291は、管理サーバ500がNW装置100を識別するための一意な識別子である。
機種5292は、NW装置100の機種であり、例えば、スイッチ及びルータ等の装置の種類である。
図7に示す例では、機種情報テーブル529の第1行のNW装置ID5291及び機種5292には、それぞれ、「1」及び「1」が格納されている。これは、NW装置1は、機種1であることを示す。
図8は、本発明の第1の実施の形態のフィルタタイプ情報テーブル525である。
フィルタタイプ情報テーブル525は、フィルタタイプ5251及び再構成対象の優先度5252を含む。
フィルタタイプ5251は、フィルタタイプを算出するための情報である。具体的には、レイヤ、送信元、宛先指定、プロトコル、フロー向き、及びフィルタのアクションを含む。
レイヤは、フィルタが対象とするフローのレイヤの情報(例えば、L3(レイヤ3)、L2(レイヤ2)等)である。送信元は、フィルタが対象とするフローの送信元の情報である。なお、フィルタが送信元を特定しない場合は「Any」とする。宛先は、フィルタが対象とするフローの宛先の情報である。なお、フィルタが宛先を特定しない場合は「Any」とする。プロトコルは、フィルタが対象とするフローのプロトコル情報である。なお、フィルタがプロトコルを特定しない場合は「Any」とする。フロー方向は、フィルタが対象とするフローの向き(例えば、Egress及びIngress)である。アクションは、フィルタが対象とするフローに行われるフィルタ処理のアクションである。
なお、フィルタタイプ5251の一部の情報は、必ずしも全て含む必要はない。
再構成対象の優先度5252は、各フィルタタイプが、再構成対象フィルタとして選択される優先度である。例えば、再構成対象の優先度5252は、値の小さいフィルタの優先度が高い。
なお、管理者は、管理者用端末700を用いて管理サーバ500に要求を出し、フィルタタイプ5251及び再構成対象の優先度5252のエントリを追加又は変更することができる。フィルタタイプ5251及び再構成対象の優先度5252にエントリを追加又は変更する時に、管理者が利用する管理者用端末700の入力インターフェースを後述する図9に示す。
図8に示す例では、フィルタタイプ情報テーブル525の第1行のフィルタタイプ5251のレイヤ、送信元指定、宛先指定、プロトコル、フロー向き、アクション及び再構成対象の優先度5252には、それぞれ、「L3」、「有」、「有」、「指定有」、「Egress」、「Deny」及び「1」が格納されている。これは、フィルタタイプ情報テーブル525の第1行のフィルタは、レイヤ3のフローを対象とし、指定された送信元、宛先及びプロトコルのデータをフィルタが設定されているNW装置から外部に送信するフローを転送しないように設定するフィルタであって、最も高い優先度で再構成対象フィルタに選択されることを示す。
図9は、図8に示すフィルタタイプ情報テーブル525に格納される値を入力するために、管理者用端末700によって提供される入力インターフェースの例を示す。
入力インターフェースは、フィルタタイプ5251の入力欄及び再構成対象の優先度5252の入力欄を含み、「OK」のボタンを操作することによって、フィルタタイプ5251及び再構成対象の優先度5252を追加するように管理サーバ500に要求される。なお、フィルタタイプ情報テーブル525に格納される値を変更する場合には、既に設定されているフィルタの情報を指定する欄をさらに含み、指定したフィルタの情報について、変更するフィルタタイプ5251及び再構成対象の優先度5252を入力する。
図10は、本発明の第1の実施の形態のフィルタエントリ情報テーブル526である。
フィルタエントリ情報テーブル526は、NW装置ID5261、ポートID5262、フィルタ5263、及びフィルタ順位5264を含む。
NW装置ID5261は、NW装置100を識別するための一意な識別子である。
ポートID5262は、各NW装置100内のポートを識別するための一意な識別子である。
フィルタ5263は、ポートID5262で指定されたポートに設定されているフィルタの内容である。
フィルタ順位5264は、各ポートで、適用されるフィルタの順位である。例えば、値の小さいフィルタは順位が高く、優先して適用される。
図10に示す例では、フィルタエントリ情報テーブル526の第1行のNW装置ID5261、ポートID5262、フィルタ5263、及びフィルタ順位5264には、それぞれ、「1」、「3」、「IP,192.168.20.0/24,any,SSH,Egress,Deny」、「1」が格納されている。これは、NW装置1のポート3に設定されるフィルタは、レイヤ3を対象とし、送信元が「192.168.20.0/24」でSSHのプロトコルを用いたデータを外部のネットワークに送信するフローを転送しないフィルタが設定されており、最も優先して適用されることを示す。
図11は、本発明の第1の実施の形態の設定履歴情報テーブル527である。
設定履歴情報テーブル527は、設定時刻5271、移動元NW装置5272、移動元ポート5273、フィルタ5274、移動先NW装置5275、移動先ポート5276、及びフィルタ5277を含む。
設定時刻5271は、フィルタを再構成して、NW装置100に再構成したフィルタを設定した時刻である。
移動元NW装置5272は、フィルタを再構成する前のフィルタの移動元のNW装置100を識別するための一意な識別子である。
移動元ポート5273は、フィルタを再構成する前のフィルタの移動元のNW装置100のポートを識別するための一意な識別子である。
フィルタ5274は、フィルタを再構成する前に再構成の対象となるフィルタである。
移動先NW装置5275は、フィルタを再構成した後のフィルタの移動先のNW装置100を識別するための一意な識別子である。
移動先ポート5276は、フィルタを再構成した後のフィルタの移動先のNW装置100のポートを識別するための一意な識別子である。
フィルタ5277は、再構成した後のフィルタである。
図11に示す例では、設定履歴情報テーブル527の第1行の設定時刻5271、移動元NW装置5272、移動元ポート5273、フィルタ5274、移動先NW装置5275、移動先ポート5276、及びフィルタ5277には、それぞれ、「2007−07−07 10:12:59」、「1」、「3」、「IP,192.168.20.0/24,any,SSH,Egress,Deny」、「2」、「3」及び「(IP,192.168.20.0/24,192.168.10.0/24,SSH,Egress,Permit)(IP,192.168.20.0/24,192.168.30.0/24,SSH,Egress,Permit)(IP,192.168.20.0/24,192.168.20.0/24,SSH,Egress,Permit)(IP,192.168.20.0/24,any,SSH,Egress,Deny)」が格納されている。これは、2007年7月7日の10時12分59秒にフィルタが設定され、NW装置1のポート3に設定されているフィルタ(IP,192.168.20.0/24,any,SSH,Egress,Deny)を再構成して、NW装置2のポート3にフィルタ((IP,192.168.20.0/24,192.168.10.0/24,SSH,Egress,Permit)(IP,192.168.20.0/24,192.168.30.0/24,SSH,Egress,Permit)(IP,192.168.20.0/24,192.168.20.0/24,SSH,Egress,Permit)(IP,192.168.20.0/24,any,SSH,Egress,Deny))を設定することを示す。
図12は、本発明の第1の実施の形態のNW装置100のブロック図である。
NW装置100は、メモリ110、CPU150、外部記憶160、I/Oインターフェース(I/F)170、パケット・フレーム転送機能部180を備える。
メモリ110は、フィルタ処理プログラム111、CPU負荷管理プログラム112、フィルタエントリ管理プログラム113、フィルタエントリ情報テーブル121、物理接続情報テーブル122、VLAN情報テーブル123、及び経路情報テーブル124を格納する。
フィルタ処理プログラム111は、フィルタエントリ情報テーブル121に格納されている情報にしたがって、パケット・フレーム転送機能部180を用いて受信したパケット及びフレームにフィルタ処理(フィルタリング)を行う。
CPU負荷管理プログラム112は、CPU150の負荷を管理する。また、管理サーバ500からCPUの負荷情報が要求されると、CPUの負荷情報を管理サーバ500に通知する。
フィルタエントリ管理プログラム113は、フィルタエントリ情報テーブル121を管理する。また、管理サーバ500から要求されたフィルタエントリの設定に従って、フィルタエントリ情報テーブル121に値を格納する。
フィルタエントリ情報テーブル121は、フィルタエントリを管理する。なお、フィルタエントリ情報テーブル121については、図13を用いて詳細に後述する。
物理接続情報テーブル122は、NW装置100と隣接しているNW装置100との物理的な接続情報を管理する。なお、物理接続情報122については、図14を用いて詳細に後述する。
VLAN情報テーブル123は、NW装置100に設定されているVLANの情報を管理する。なお、VLAN情報テーブル123については、図15を用いて詳細に後述する。
経路情報テーブル124は、NW装置100に設定されている経路情報を管理する。なお、経路情報124については、図16を用いて詳細に後述する。
CPU150は、メモリ110に記憶された各プログラムを実行するプロセッサである。
外部記憶160は、プログラム及び各種データを記憶する装置であり、例えば、HDDで構成される。
I/O I/F170は、データを入出力するインターフェースである。
パケット・フレーム転送機能部180は、他のNW装置100及び端末グループ200にパケット及びフレームを送受信するインターフェースである。
図13〜図16は、NW装置100が保持する情報を説明する図である。なお、図13〜図16では、NW装置100Aが保持する情報の一例を示している。
図13は、本発明の第1の実施の形態のフィルタエントリ情報テーブル121である。
フィルタエントリ情報テーブル121は、ポート1211、レイヤ1212、送信元1213、宛先1214、プロトコル1215、フロー方向1216、アクション1217、及びフィルタ順位1218を含む。
ポート1211は、フィルタが設定されているポートを識別するための一意な識別子である。
レイヤ1212は、フィルタが対象とするフローのレイヤ情報(例えば、L3(レイヤ3)、L2(レイヤ2)等)である。
送信元1213は、フィルタが対象とするフローの送信元情報である。なお、フィルタが送信元を特定しない場合は「Any」とする。
宛先1214は、フィルタが対象とするフローの宛先の情報である。なお、フィルタが宛先を特定しない場合は「Any」とする。
プロトコル1215は、フィルタが対象とするフローのプロトコル情報である。なお、フィルタがプロトコルを特定しない場合は「Any」とする。
フロー方向1216は、フィルタが対象とするフローの向き(例えば、Egress又はIngress)である。
アクション1217は、フィルタが対象とするフローに行うフィルタ処理のアクションである。
フィルタ順位1218は、各ポートで、適用されるフィルタの順位である。例えば、値の小さいフィルタの順位が高く、優先して適用される。
図13に示す例では、フィルタエントリ情報テーブル121の第1行のポート1211、レイヤ1212、送信元1213、宛先1214、プロトコル1215、フロー方向1216、アクション1217、及びフィルタ順位1218には、それぞれ、「3」、「L3」、「192.168.10.0/24」、「Any」、「SSH」、「Egress」、「Deny」及び「1」が格納されている。これは、NW装置100Aのポート3に設定されるフィルタは、レイヤ3を対象とし、送信元が「192.168.10.0/24」でSSHのプロトコルを用いてデータを外部のネットワークに送信するフローを転送しないフィルタが設定されており、最も高い順位で適用されることを示す。
図14は、本発明の第1の実施の形態の物理接続情報テーブル122である。
物理接続情報テーブル122は、ポートID1221、隣接NW装置ID1222、及び隣接ポートID1223を含む。
ポートID1221は、ポートを識別するための一意な識別子である。
隣接NW装置ID1222は、各ポートに隣接するNW装置100を識別するための一意な識別子である。
隣接ポートID1223は、ポートID1221に示されるポートと接続しているNW装置100のポートを識別するための一意な識別子である。
図14に示す例では、物理接続情報テーブル122の第2行のポートID1221、隣接NW装置ID1222、及び隣接ポートID1223には、それぞれ、「1」、「2」、及び「3」が格納されている。これは、NW装置100Aのポート1は、NW装置2のポート3と接続していることを示す。
図15は、本発明の第1の実施の形態のVLAN情報テーブル123である。
VLAN情報テーブル123は、VLAN ID1231及びVLAN設定ポート1232を含む。
VLAN ID1231は、設定されているVLANを識別するための識別子である。
VLAN設定ポート1232は、VLANが設定されているNW装置100のポートを識別するための一意な識別子である。
図15に示す例では、VLAN情報テーブル123の第1行のVLAN ID1231及びVLAN設定ポート1232には、それぞれ、「10」及び「1」が格納されている。これは、「VLAN10」がNW装置100Aのポート1に設定されていることを示す。
図16は、本発明の第1の実施の形態の経路情報テーブル124である。
経路情報テーブル124は、宛先1241及びインターフェース1242を含む。
宛先1241は、宛先となるネットワークのIPアドレスの範囲である。
インターフェース1242は、宛先1241に示される宛先にパケットを送信するインターフェースである。なお、インターフェースは、物理的なインターフェース(ポート)又はVLANで設定される仮想的なインターフェースである。
図16に示す例では、経路情報テーブル124の第1行の宛先1241及びインターフェース1242には、それぞれ、「192.168.10.0/24」及び「VLANインターフェース10」が格納されている。これは、宛先「192.168.10.0/24」にデータを送信するインターフェースは、「VLANインターフェース10」であることを示す。
図17A及び17Bは、本発明の第1の実施の形態のフィルタ再構成処理のシーケンス図である。
図18は、本発明の第1の実施の形態のフィルタ再構成処理において送受信されるメッセージを説明する図である。
図17A及び17Bに示す例では、上位のNW装置100Aのポート3に設定されているフィルタを、下位のNW装置100B及び100Cに移動(分散)させる。なお、図17A及び17Bに示す例では、NW装置100B〜100Hを代表して、NW装置100Bを下位のNW装置とする。
まず、管理サーバ500は、定期的に上位NW装置100AのCPUの負荷情報を要求する(S101)。
次に、管理サーバ500から要求を受けた上位NW装置100Aは、図18に示すメッセージ(CPU負荷)を用いて、CPUの負荷情報を管理サーバ500に通知する(S102)。
なお、ステップ101では、管理サーバ500は、上位NW装置100AにのみCPUの負荷情報を要求しているが、下位NW装置にも、CPUに空きがあるかどうかを調べるためにCPUの負荷情報を要求してもよい。
次に、管理サーバ500は、ステップ102で通知されたCPU負荷に基づいて、フィルタの再構成が必要か否かを判定する(S103)。具体的には、管理サーバ500は、再構成対象フィルタ数情報テーブル523を参照し、ステップ102で通知されたCPU負荷が再構成対象フィルタ数情報テーブル523のCPU負荷5231の範囲だった場合、フィルタの再構成が必要であると判定し、再構成対象フィルタ数の割合5232に基づいて再構成の対象となるフィルタ数を算出する。
次に、管理サーバ500は、上位NW装置100A及び下位NW装置100Bに物理接続情報を要求する(S104、S106)。
次に、管理サーバ500から要求を受けた上位NW装置100A及び下位NW装置100Bは、図18に示すメッセージ(物理接続情報)を用いて、物理接続情報テーブル122に格納されている情報を管理サーバ500に通知する(S105、S107)。
次に、管理サーバ500は、S105及びS107で通知された物理接続情報テーブル122に格納されている情報に基づいて、物理構成情報テーブル521を更新する(S108)。
次に、管理サーバ500は、上位NW装置100A及び下位NW装置100BにIPネットワーク情報を要求する(S109、S111)。
次に、管理サーバ500から要求を受けた上位NW装置100A及び下位NW装置100Bは、図18に示すメッセージ(IPネットワーク情報)を用いて、VLAN情報テーブル123及び経路情報テーブル124に格納されている情報を管理サーバ500に通知する(S110、112)。
次に、管理サーバ500は、S110及びS112で通知された情報に基づいて、IPネットワーク構成情報テーブル522を更新する(S113)。
管理サーバ500は、上位NW装置100A及び下位NW装置100Bにフィルタエントリの情報を要求する(S114、S116)。
次に、管理サーバ500から要求を受けた上位NW装置100A及び下位NW装置100Bは、図18に示すメッセージ(フィルタエントリ情報)を用いて、フィルタエントリ情報テーブル121に格納されている情報を管理サーバ500に通知する(S115、S117)。
次に、管理サーバ500は、S115及びS117で通知された情報をフィルタエントリ情報テーブル526に登録する(S118)。なお、すでに同じエントリがフィルタエントリ情報テーブル526に登録されている場合には、管理サーバ500は、S115及びS117で通知された情報を用いて、登録されているフィルタエントリの情報を更新する。
次に、管理サーバ500は、再構成の対象となるフィルタを選択する(S119)。なお、再構成の対象となるフィルタを選択する再構成対象フィルタ選択処理については、後述する図19で詳細を説明する。
次に、管理サーバ500は、フィルタを再構成するする対象となるNW装置100(設定対象NW装置)及びポートを選択する(S120)。なお、設定対象NW装置及びポートを選択する設定対象NW装置・ポート選択処理については、後述する図20で詳細を説明する。
次に、管理サーバ500は、新しいフィルタの構成を生成する(S121)。なお、新しいフィルタの構成を生成するフィルタ構成生成処理については、後述する図21で詳細を説明する。
次に、管理サーバ500は、図18で示すメッセージ(承認要求)を用いて、S121で生成したフィルタの構成を管理者用端末700に通知し、新しいフィルタの構成をNW装置100に反映する承認を要求する(S122)。
次に、管理者用端末700は、S122で通知されたフィルタの構成を確認し、NW装置100に反映する場合は、承認をする(S123)。
次に、管理サーバ500は、図18に示すメッセージ(フィルタ設定)を用いて、再構成するフィルタの効果が途切れないように、上位NW装置100A及び下位NW装置100Bにフィルタエントリを通知し、フィルタを設定する(S124、S126)。具体的には、管理サーバ500は、上位NW装置100A及び下位NW装置100Bのフィルタの構成を、S121で生成された新しいフィルタの構成に変更する。
次に、上位NW装置100A及び下位NW装置100Bは、S124及びS126で設定されたフィルタの設定結果を管理サーバ500に通知する(S125、S127)
次に、管理サーバ500は、S124及びS126で設定されたフィルタの内容を設定履歴情報テーブル527に登録する(S128)。なお、設定履歴情報テーブル527の設定時刻5271には、NW装置(上位NW装置100A又は下位NW装置100B)100に設定を行った時刻が登録される。
次に、管理サーバ500は、設定結果を管理者用端末700に通知する(S129)。
次に、管理者用端末700は、図18に示すメッセージ(フィルタ構成要求)を用いて、フィルタの構成の情報を取得したい時刻を指定し、管理サーバ500にフィルタの構成の情報を要求する(S130)。
次に、管理サーバ500は、設定履歴情報テーブル527を参照する(S131)。そして、管理サーバ500は、図18に示すメッセージ(フィルタ構成設定結果)を用いて、管理者用端末700から要求された時刻のネットワークの構成情報を管理者用端末700に通知する(S131)。
図19は、本発明の第1の実施の形態の再構成対象フィルタ選択処理のフローチャートである。
管理サーバ500は、図17AのS118の処理で、フィルタエントリ情報テーブル526に情報を登録した後に、再構成対象フィルタ選択処理を実行する。
まず、管理サーバ500は、フィルタタイプ情報テーブル525を用いて、再構成対象のフィルタが設定されているNW装置100のフィルタの優先度を決定する(S201)。
次に、管理サーバ500は、S201で決定された優先度を参照して、優先度が高いフィルタエントリを再構成対象フィルタに選択する(S202)。なお、優先度に値が格納されていない場合には、再構成対象フィルタの対象として選択されない。
次に、管理サーバ500は、図17AのS103で算出した再構成対象フィルタ数以上のエントリを選択したか否かを判定する(S203)。
再構成対象フィルタ数以上のエントリを選択していない場合には、処理はS202の処理に戻る。一方、再構成対象フィルタ数以上のエントリを選択している場合には、選択されたエントリで定義されるフィルタを再構成対象フィルタとし、再構成対象フィルタ選択処理を終了する(S204)。
図20は、本発明の第1の実施の形態の設定対象NW装置・ポート選択処理のフローチャートである。
管理サーバ500は、図17BのS119の処理で、再構成対象フィルタを選択した後に、設定対象NW装置・ポート選択処理を実行する。
まず、管理サーバ500は、再構成対象フィルタを一つ(F1)選択する(S301)。
次に、管理サーバ500は、フィルタの移動元となるノード(例えば、NW装置100)N1の再構成対象フィルタF1が設定されているポートSP1以外のポートに接続されているノードN2を選択する(S302)。
次に、管理サーバ500は、ノードN2が管理可能なノードであるか否かを判定する(S303)。例えば、内部ネットワーク1を構成しているNW装置100が管理可能なノードである。
ノードN2が管理可能なノードである場合には、処理はS305に進む。一方、ノードN2が管理可能なノードでない場合には、フィルタをノードN2に分散することができないため、処理はS304に進む。
S304では、管理サーバ500は、再構成対象フィルタF1を再構成対象フィルタから除外し(S304)、S308の処理に進む。
なお、管理サーバ500は、S304で除外したフィルタエントリを除いた残りの再構成対象フィルタについて処理を実行する。
また、管理サーバ500は、S304で除外された再構成対象フィルタの数と同じ数だけ、図19に示す再構成対象フィルタ選択処理によって、新たに再構成対象フィルタとして追加して処理を実行してもよい。
次に、管理サーバ500は、ノードN2が再構成対象フィルタで指定されている送信元を収容するか否かを判定する。(S305)
ノードN2が送信元を収容しない場合には、処理はS302の処理に戻る。一方、ノードN2が送信元を収容する場合には、ノードN2を設定対象ノードTN2に設定し、ノードN1と接続するノードN2のポートを設定対象ポートTP2に指定する(S306)。
次に、管理サーバ500は、ノードN1のポートのうち、再構成対象フィルタF1が設定されているポート以外のポートに接続されているノードを全て選択したか否かを判定する(S307)。ノードを全て選択していない場合には、処理はS303の処理に戻る。一方、ノードを全て選択した場合には、処理はS308の処理に進む。
次に、管理サーバ500は、再構成対象フィルタを全て選択したか否かを判定する(S308)。再構成対象フィルタを全て選択していない場合には、処理はS301の処理に戻る。一方、再構成対象フィルタを全て選択した場合には、設定対象NW装置・ポート選択処理を終了する(S309)。
図21は、本発明の第1の実施の形態のフィルタ構成生成処理のフローチャートである。
管理サーバ500は、図17BのS120の処理で、設定対象NW装置及びポートを選択した後に、フィルタ構成生成処理を実行する。
まず、管理サーバ500は、再構成対象フィルタを一つ(F1)選択する(S401)。
次に、管理サーバ500は、フィルタの移動元となるポートP1からS401で選択した再構成対象フィルタF1を削除する(S402)。
次に、管理サーバ500は、図20のS306で指定された設定対象ポートTP2に再構成対象フィルタF1を追加する(S403)。
次に、管理サーバ500は、再構成対象フィルタF1の宛先が指定されているか否かを判定する(S404)。再構成対象フィルタF1の宛先が指定されていない場合には、再構成対象フィルタF1のフィルタリング効果と同等のフィルタリング効果を持つフィルタの構成にするように、新しいフィルタを設定対象ポートTP2に追加する必要があるため、処理はS405の処理に進む。一方、再構成対象フィルタF1の宛先が指定されている場合には、新しいフィルタの追加は不要であるため、処理はS407の処理に進む。
なお、同等のフィルタリング効果を持つフィルタの構成にするとは、フィルタの移動元となるノードN1に設定されているフィルタを新たに設定対象ノードTN2に設定する場合に、パケットが転送される範囲が、新たにフィルタを設定する前にパケットが転送されていた範囲と同じになるように、フィルタの構成を生成することである。
次に、管理サーバ500は、フィルタの移動元となるNW装置N1のポートSP1以外のポートに収容され、且つ、TN2に収容されていない端末T1があるか否かを判定する(S405)。
フィルタの移動元となるNW装置N1のポートSP1以外のポートに収容され、且つ、TN2に収容されていない端末T1がある場合には、管理サーバ500は、再構成前のフィルタ効果と同じ効果を持つフィルタの構成にするために、送信元及びプロトコルが「F1」と等しく、宛先が「T1」でフィルタアクションが「Permit」のフィルタF2を「TP2」に追加する(S406)。なお、宛先は、「T1」のIPアドレス、MACアドレス、又はIPアドレスを集約した形式で指定してもよい。一方、フィルタの移動元となるNW装置N1のポートSP1以外のポートに収容され、且つ、TN2に収容されていない端末T1がない場合、S407に進む。
次に、管理サーバ500は、再構成対象フィルタを全て選択したか否かを判定する(S407)。
再構成対象フィルタを全て選択していない場合には、処理はS401の処理に戻る。一方、再構成対象フィルタを全て選択した場合には、フィルタ構成生成処理を終了する(S408)。
このように、本発明の第1の実施の形態では、フィルタを分散するために必要な情報を、管理サーバが自動的に取得するため、ネットワーク管理者及びシステムエンジニアの作業コストを削減できる。また、NW装置から取得したネットワーク構成情報を利用し、必要な場所にフィルタを分散させることができる。また、フィルタを分散させる際に、フィルタリングの効果が変わらないようにフィルタを構成することができる。
<第2の実施の形態>
本発明の第2の実施の形態のネットワークシステムについて、図22及び図23を用いて説明する。
第2の実施の形態は、管理者用端末700が管理サーバ500にフィルタの再構成を要求することによって、要求を受けた管理サーバ500がフィルタの再構成を行う点が特徴である。
図22は、本発明の第2の実施の形態のフィルタ再構成処理のシーケンス図であり、図23は、本発明の第2の実施の形態のフィルタ再構成処理において送受信されるメッセージを説明する図である。
まず、管理者用端末700は、図23で示すメッセージ(フィルタ再構成要求)を用いて、再構成の対象とするNW装置100と、再構成の対象とするフィルタ数とを指定して、管理サーバ500にフィルタ再構成を要求する(S501)。
なお、再構成の対象とするNW装置100と、再構成の対象とするフィルタ数とを指定する時に、管理者が利用する管理者用端末700の入力インターフェースを後述する図24に示す。
次に、管理サーバ500は、上位NW装置100A及び下位NW装置100Bに物理接続情報を要求する(S104)。以降の処理は、図17AのS105以降と同じであるため省略する。
図24は、再構成の対象とするNW装置100と、再構成の対象とするフィルタ数とを指定するために、管理者用端末700によって提供される入力インターフェースの例を示す。
入力インターフェースは、再構成の対象となるNW装置100の入力欄、再構成の対象となるNW装置100のポートの入力欄、及び、再構成するフィルタの数の入力欄を含み、「OK」のボタンを操作することによって、再構成の対象とするNW装置100と、再構成の対象とするフィルタ数とを指定して管理サーバ500にフィルタ再構成要求が要求される。
このように、本発明の第2の実施の形態では、任意のNW装置100をフィルタの分散元として指定することができる。
<第3の実施の形態>
本発明の第3の実施の形態のネットワークシステムについて、図25〜28を用いて説明する。
第3の実施の形態は、第1の実施の形態で、フィルタの移動元となるNW装置100(例えば、NW装置100A)に隣接しているNW装置100(例えば、NW装置100B)にフィルタを移動させる再構成(以下、単独再構成と説明する)を繰り返し行い、隣接しているNW装置100のさらに下位のNW装置100にフィルタを移動させる点が特徴である(以下、再帰再構成と説明する)。
さらに、フィルタを移動させる範囲を、再構成ポリシーとして定義し、各フィルタタイプに再構成ポリシーを指定する。
図25は、本発明の第3の実施の形態の管理サーバ500のブロック図である。
第1の実施の形態の管理サーバ500とは、フィルタタイプ情報テーブル525の管理する情報を拡張し、再構成ポリシー情報テーブル528を追加する点で異なる。
第3の実施の形態のフィルタタイプ情報テーブル525については、図26を用いて詳細に後述する。
再構成ポリシー情報テーブル528は、フィルタを移動させる範囲を定義する再構成ポリシーを管理する。なお、再構成ポリシー情報テーブル528については、後述する図27で詳細を説明する。
図26は、本発明の第3の実施の形態のフィルタタイプ情報テーブル525である。
第3の実施の形態のフィルタタイプ情報テーブル525は、第1の実施の形態のフィルタタイプ情報テーブル525と、再構成ポリシーID5253を含む点で異なる。
再構成ポリシーID5253は、再構成するためのポリシーを識別するIDである。
管理サーバ500は、再構成ポリシーID5253を用いて、後述する再構成ポリシー情報テーブル528を参照し、各再構成ポリシーID5253に対応する再構成ポリシーの内容を取得する。
また、管理者は、管理者用端末700を用いて管理サーバ500に要求し、フィルタタイプ5251、再構成対象の優先度5252、及び再構成ポリシーID5253を追加、又は変更することができる。フィルタタイプ5251、再構成対象の優先度5252、及び再構成ポリシーID5253を追加、又は変更する時に、管理者が利用する管理者用端末700の入力インターフェースは、図28を用いて後述する。
図27は、本発明の第3の実施の形態の再構成ポリシー情報テーブル528である。
再構成ポリシー情報テーブル528は、再構成ポリシーID5281及び再構成ポリシー5282を含む。
再構成ポリシーID5281は、再構成するためのポリシーを識別するIDである。
再構成ポリシー5282は、再構成ポリシーID5281に対応する再構成ポリシーの内容である。再構成ポリシー5282は、例えば、単独再構成、送信元集約地点まで再帰再構成、及び、エッジNW装置まで再帰再構成がある。
単独再構成は、第1の実施の形態で、フィルタの移動元とするNW装置100に隣接しているNW装置100のみにフィルタを移動させる再構成である。
送信元集約地点まで再帰再構成は、単独再構成を繰り返し行い、再構成対象フィルタに指定されている送信元の全ての端末を収容し、かつ、フィルタの移動元とするNW装置100から最も離れたNW装置100までフィルタを移動させる再構成である。
エッジNW装置まで再帰再構成は、単独再構成を繰り返し行い、端末グループ200と直接接続されたNW装置100までフィルタを移動させる再構成である。
図27に示す例では、再構成ポリシー情報テーブル528の第1行の再構成ポリシーID5281及び再構成ポリシー5282には、それぞれ、「1」及び「単独再構成」が格納されている。これは、再構成ポリシーIDの「1」に定義されている再構成ポリシーは、「単独再構成」であることを示す。
図28は、図26に示すフィルタタイプ情報テーブル525に格納される値を入力するために、管理者用端末700によって提供される入力インターフェースの例を示す。
入力インターフェースは、フィルタタイプ5251の入力欄、再構成対象の優先度5252の入力欄、及び再構成ポリシーID5253の入力欄を含み、「OK」のボタンを操作することによって、フィルタタイプ5251、再構成対象の優先度5252、及び再構成ポリシーID5253を追加又は変更するように管理サーバ500に要求される。なお、フィルタタイプ情報テーブル525に格納される値を変更する場合には、既に設定されているフィルタの情報を指定する欄をさらに含み、指定したフィルタの情報について、変更するフィルタタイプ5251及び再構成対象の優先度5252を入力する。
図29は、本発明の第3の実施形態の設定履歴情報テーブル527である。
設定履歴情報テーブル527の第1行目は、再構成ポリシーが「送信元集約地点まで再帰再構成」である場合に再構成されたフィルタの設定履歴である。具体的には、NW装置100Aのポート3に設定されていたフィルタを、NW装置100Dのポート3に移動させて設定している。
設定履歴情報テーブル527の第2行目は、再構成ポリシーが「エッジNW装置まで再帰再構成」である場合に再構成されたフィルタの設定履歴である。具体的には、NW装置100Aのポート3に設定されていたフィルタを、NW装置100Gのポート3及びNW装置100Hのポート3に分散させて設定している。
図30は、本発明の第3の実施の形態のフィルタ再構成処理のシーケンス図である。
図30に示す再構成対象フィルタ選択処理のS119まで第1の実施の形態の図17Bに示すS119までと同じであるため省略する。
処理S119の後に、管理サーバ500は、設定対象NW装置、ポート選択/フィルタ構成生成/NW装置のフィルタエントリ数確認処理(以下、再帰再構成処理として説明する)を行う(S601)。なお、再帰再構成処理は、図31を用いて詳細に後述する。
次に、管理サーバ500は、管理者用端末700に承認要求を送信する(S121)。S121の以降の処理は、図17BのS122以降の処理と同じであるため省略する。
図31は、本発明の第3の実施の形態の再帰再構成処理のフローチャートである。
まず、管理サーバ500は、一つの再構成対象フィルタF1を選択する(S701)。
次に、管理サーバ500は、S701で選択された再構成対象フィルタF1を再帰再構成対象フィルタに設定する(S702)。
次に、管理サーバ500は、S702で設定された再帰再構成対象フィルタから一つの再帰再構成対象フィルタF2を選択する(S703)。
次に、管理サーバ500は、設定対象NW装置・ポート選択処理を行う(S704)。設定対象NW装置・ポート選択処理の詳細は、図20に示すフローチャートと同じであるため、説明を省略する。
次に、管理サーバ500は、S703で選択された再帰再構成対象フィルタF2についてフィルタ構成生成処理を行う(S705)。フィルタ構成生成処理の詳細は、図21に示すフローチャートと同じであるため、説明を省略する。
次に、管理サーバ500は、S705で再構成されたフィルタから一つのフィルタDF1選択する(S706)。
次に、管理サーバ500は、S706で選択されたフィルタDF1が、再構成対象フィルタF1の再構成のポリシーを満たすか否か判定する(S707)。例えば、以下のようにして判定する。
再構成のポリシーが単独再構成の場合には、フィルタDF1が設定されるNW装置100と、再構成対象フィルタF1が設定されているNW装置100とが隣接していることによって、再構成のポリシーが満たされる。
再構成のポリシーが送信元集約地点まで再帰再構成の場合には、図3に示すIPネットワーク構成情報522を参照し、再構成対象フィルタF1の全ての送信元が収容され、かつ、再構成対象フィルタF1が設定されているNW装置100から最も離れている(多くのNW装置100を中継して接続されている)NW装置100を算出する。算出されたNW装置と、フィルタDF1が設定されるNW装置100とが同じである場合、再構成のポリシーが満たされる。
再構成のポリシーが送信元集約地点まで再帰再構成の場合には、図3に示すIPネットワーク構成情報522を参照し、端末グループ200に直接接続されているNW装置100を算出する。算出されたNW装置100と、フィルタDF1が設定されるNW装置100とが同じである場合、再構成のポリシーが満たされる。
フィルタDF1が再構成対象フィルタF1の再構成ポリシーを満たさない場合には、フィルタDF1に再構成を行う必要があるため、処理はS708に進む。一方、フィルタDF1が再構成対象フィルタF1の再構成ポリシーを満たす場合には、処理はS709に進む。
S708では、管理サーバ500は、フィルタDF1を再帰再構成フィルタに追加する(S708)。そして、処理はS709に進む。
次に、管理サーバ500は、S706で再構成されたフィルタを全て選択したか否かを判定する(S709)。
再構成されたフィルタを全て選択していない場合には、処理はS706の処理に戻る。一方、再構成されたフィルタを全て選択した場合には、処理はS710に進む。
次に、管理サーバ500は、再帰再構成フィルタが追加されていないか否かを判定する(S710)。
再帰再構成フィルタが追加された場合には、追加された再帰再構成フィルタに再構成を行うため、追加された再記載構成フィルタを再び再記載構成対象フィルタに設定して、処理はS703の処理に戻る。一方、再帰再構成フィルタが追加されていない場合には、処理はS711に進む。
次に、管理サーバ500は、再帰再構成フィルタが全て選択されたか否かを判定する(S711)。
再帰再構成フィルタが全て選択されていない場合には、処理はS703の処理に戻る。一方、再帰再構成フィルタが全て選択された場合には、処理はS712に進む。
次に、管理サーバ500は、フィルタの設定対象となるNW装置100に設定されているフィルタのエントリの数を確認する(S712)。具体的には、フィルタの設定対象となるNW装置100に、既存に設定されているフィルタ数と再構成して設定されるフィルタ数との合計が、各NW装置100に設定可能なフィルタ数よりも小さいか否かを判定する。
各NW装置100に設定可能なフィルタ数よりも大きい場合には、処理は、S713に進む。一方、各NW装置100に設定可能なフィルタ数よりも小さい場合には、処理はS714に進む。
S713では、管理サーバ500は、一つ前までに再構成された再構成対象フィルタの処理を有効にして処理を終了するため、容量を超えたフィルタエントリである「F2」の再構成の内容を破棄する(S713)。そして、処理は終了する。
S714では、管理サーバ500は、再構成対象フィルタを全て選択したか否かを判定する(S714)。
再構成対象フィルタを全て選択していない場合には、処理はS701の処理に戻る。一方、再構成対象フィルタを全て選択した場合には、処理は終了する。
<第4の実施の形態>
本発明の第4の実施の形態のネットワークシステムについて、図32及び図33を用いて説明する。
第4の実施の形態は、管理者用端末700が、フィルタの設定対象となるNW装置100とポートとフィルタエントリの内容とを指定し、管理サーバ500にフィルタの設定を要求し、管理サーバ500は、指定されたフィルタを再構成することによって他のNW装置100に指定されたフィルタを分散させ、分散させたフィルタの構成をNW装置100に設定する点が特徴である。
図32は、本発明の第4の実施の形態のフィルタ再構成処理のシーケンス図であり、図33は、本発明の第4実施形態のフィルタ再構成処理において送受信されるメッセージを説明する図である。
まず、管理者用端末700は、管理サーバ500に、ネットワークの構成情報を更新するよう要求する(S801)。
次に、管理サーバ500は、上位NW装置100A及び下位NW装置100Bに物理接続情報を要求する(S104)。この処理は、図17AのS104の処理と同じであり、S104の処理から、S118のフィルタエントリ情報登録処理までは、第1の実施の形態の図17Aに示すS104からS118までの処理と同じであるため、説明を省略する。
次に、管理サーバ500は、管理者用端末700にネットワーク構成情報の更新が完了したことを通知する(S802)。
次に、管理者用端末700は、図33に示すメッセージ(フィルタエントリ新規追加要求)を用いて、管理サーバ500にフィルタエントリを新規に追加するよう要求する(S803)。S803で用いるメッセージには、フィルタの設定対象となるNW装置100、フィルタの設定対象となるポート、及び、フィルタエントリの内容が含まれる。
なお、フィルタの設定対象となるNW装置100、フィルタの設定対象となるポート、及び、フィルタエントリを指定する時に、管理者が利用する管理者用端末700の入力インターフェースを後述する図34に示す。
次に、管理サーバ500は、要求されたフィルタエントリを再構成対象フィルタとし、再帰再構成処理を行う(S601)。S601の処理は、第3の実施の形態の図29のS601の処理と同じであり、S601以降の処理も図29に示す処理と同じであるため、説明を省略する。
図34は、新規に追加されるフィルタの設定対象となるNW装置100、フィルタの設定対象となるポート、及び、フィルタエントリの内容を入力するために、管理者用端末700によって提供される入力インターフェースの例を示す。
入力インターフェースは、設定対象となるNW装置100の入力欄、フィルタの設定対象となるポートの入力欄、及び、フィルタエントリの入力欄を含み、「OK」のボタンを操作することによって、設定対象となるNW装置100、フィルタの設定対象となるポート、及び、フィルタエントリの内容を指定して管理サーバ500に要求される(S803)。
本発明の第1の実施の形態のネットワークシステムの構成を示す図である。 本発明の第1の実施の形態の管理サーバのブロック図である。 本発明の第1の実施の形態のIPネットワーク構成情報を説明する図である。 本発明の第1の実施の形態の物理構成情報テーブルである。 本発明の第1の実施の形態の再構成対象フィルタ数情報テーブルである。 本発明の第1の実施の形態の最大フィルタ数情報テーブルである。 本発明の第1の実施の形態の機種情報テーブルである。 本発明の第1の実施の形態のフィルタタイプ情報テーブルである。 本発明の第1の実施の形態の管理者用端末によって提供される入力インターフェースの例を示す。 本発明の第1の実施の形態のフィルタエントリ情報テーブルである。 本発明の第1の実施の形態の設定履歴情報テーブルである。 本発明の第1の実施の形態のNW装置のブロック図である。 本発明の第1の実施の形態のフィルタエントリ情報テーブルである。 本発明の第1の実施の形態の物理接続情報テーブルである。 本発明の第1の実施の形態のVLAN情報テーブルである。 本発明の第1の実施の形態の経路情報テーブルである。 本発明の第1の実施の形態のフィルタ再構成処理のシーケンス図である。 本発明の第1の実施の形態のフィルタ再構成処理のシーケンス図である。 本発明の第1の実施の形態のフィルタ再構成処理において送受信されるメッセージを説明する図である。 本発明の第1の実施の形態の再構成対象フィルタ選択処理のフローチャートである。 本発明の第1の実施の形態の設定対象NW装置・ポート選択処理のフローチャートである。 本発明の第1の実施の形態のフィルタ構成生成処理のフローチャートである。 本発明の第2の実施の形態のフィルタ再構成処理のシーケンス図である。 本発明の第2の実施の形態のフィルタ再構成処理において送受信されるメッセージを説明する図である。 本発明の第2の実施の形態の管理者用端末によって提供される入力インターフェースの例を示す。 本発明の第3の実施の形態の管理サーバのブロック図である。 本発明の第3の実施の形態のフィルタタイプ情報テーブルである。 本発明の第3の実施の形態の再構成ポリシー情報テーブルである。 本発明の第3の実施の形態の管理者用端末によって提供される入力インターフェースの例を示す。 本発明の第3の実施形態の設定履歴情報テーブルである。 本発明の第3の実施の形態のフィルタ再構成処理のシーケンス図である。 本発明の第3の実施の形態の再帰再構成処理のフローチャートである。 本発明の第4の実施の形態のフィルタ再構成処理のシーケンス図である。 本発明の第4実施形態のフィルタ再構成処理において送受信されるメッセージを説明する図である。 本発明の第4の実施の形態の管理者用端末によって提供される入力インターフェースの例を示す。
符号の説明
100 NW装置
200 端末グループ
500 管理サーバ
700 管理者用端末

Claims (19)

  1. ネットワークトポロジにおいて上位の外部ネットワークと下位の複数の端末との間において、階層的に接続されパケットを転送する複数の転送装置と
    前記複数の転送装置を含むネットワークに接続され、前記ネットワークを管理する管理計算機と、を備えるネットワークシステムであって、
    前記複数の転送装置は、再構成の対象となるフィルタが設定されている第1の転送装置と、前記ネットワークトポロジにおいて前記第1の転送装置の下位に接続される第2の転送装置と、を含み、
    前記管理計算機は、
    前記複数の転送装置から前記ネットワークの構成情報を取得し、
    前記取得されたネットワークの構成情報を参照し、前記第1の転送装置に設定されている再構成対象フィルタによってパケットを転送可能な範囲が、前記第2の転送装置に設定されるフィルタによってパケットを転送可能な範囲と同じになるように、前記第1の転送装置のフィルタ及び前記第2の転送装置のフィルタを再構成し、
    前記再構成されたフィルタを、前記第1の転送装置及び前記第2の転送装置に設定することを特徴とするネットワームシステム。
  2. 前記管理計算機は、
    前記第1の転送装置に直接接続されている転送装置から、前記再構成の対象となるフィルタの条件に含まれる送信元の端末を収容する第2の転送装置を特定し、
    前記第1の転送装置と接続される第2の転送装置のポートを、前記フィルタを設定するポートに指定し、
    前記第2の転送装置に設定されるフィルタによってパケットを転送可能な範囲が、前記第1の転送装置に設定されているフィルタによってパケットを転送可能な範囲と同じであるか否かを判定し、
    パケットを転送可能な範囲が同じではないと判定された場合、前記第1の転送装置に設定されている再構成の対象となるフィルタの条件に含まれる送信元を送信元とするフィルタであって、前記第1の転送装置に収容され、かつ、前記第2の転送装置に収容されていない端末を宛先とする許可フィルタを、前記指定されたポートに設定するように、前記第2の転送装置のフィルタを再構成することを特徴とする請求項1に記載のネットワークシステム。
  3. 前記第1の転送装置は、前記フィルタの処理をするプロセッサを備え、
    前記管理計算機は、
    以下の(1)又は(2)のいずれかの方法によって、前記再構成の対象となるフィルタの数を決定し、
    (1)前記第1の転送装置から前記第1の転送装置のプロセッサの負荷情報を取得し、前記取得された負荷情報と所定の閾値との比較結果に基づいて、前記プロセッサの負荷情報に対応して、前記再構成の対象となるフィルタの数を決定し、
    (2)前記管理計算機が備える入力インターフェースを介して指定されたフィルタの数を前記再構成の対象となるフィルタの数に決定し、
    前記決定された数と同数のフィルタを再構成することを特徴とする請求項2に記載のネットワークシステム。
  4. 前記管理計算機は、
    前記第1の転送装置に設定されているフィルタの種類の情報を保持し、
    以下の(1)又は(2)のいずれかの方法によって、前記再構成の対象となるフィルタの優先度を決定し、
    (1)前記保持されているフィルタの種類の情報を参照することによって、前記第1の転送装置に設定されているフィルタの種類を判定し、前記判定されたフィルタの種類に対応して前記再構成の対象となるフィルタの優先度を決定し、
    (2)前記管理計算機が備える入力インターフェースを介して指定された前記フィルタの優先度を前記再構成の対象となるフィルタの優先度として決定し、
    前記決定された優先度に基づいて、前記再構成の対象となるフィルタを選択することを特徴とする請求項2に記載のネットワークシステム。
  5. 前記ネットワークの構成情報は、前記ネットワークの物理的な接続情報、及び、前記ネットワークの論理的な接続情報を含み、
    前記管理計算機は、前記ネットワークの構成情報を用いて前記第1の転送装置の下位に接続される第2の転送装置を選択することを特徴とする請求項2に記載のネットワークシステム。
  6. 前記管理計算機は、
    前記再構成の対象となるフィルタと、前記フィルタの再構成前の転送装置及びポートの指定と、前記フィルタの再構成と実転送装置への設定要求を受け付ける入力インターフェースを備え、
    前記入力インターフェースを介して指定された転送装置及びポートのフィルタを再構成することを特徴とする請求項2に記載のネットワークシステム。
  7. 前記複数の転送装置は、前記第2の転送装置の下位に接続される第3の転送装置をさらに含み、
    前記管理計算機は、
    前記フィルタの構成が変更された第2の転送装置に設定されるフィルタを新たに再構成の対象となるフィルタに指定し、
    前記第2の転送装置に設定されている再構成対象フィルタによってパケットを転送可能な範囲が、前記第3の転送装置に設定される対象フィルタによってパケットを転送可能な範囲と同じになるように、前記第2の転送装置のフィルタ及び前記第3の転送装置のフィルタを再構成し、
    前記再構成されたフィルタを、前記第2の転送装置及び前記第3の転送装置に設定し、
    前記第3の転送装置に設定されたフィルタを再構成の対象となるフィルタに設定し、前記フィルタの再構成処理を繰り返すことを特徴とする請求項2に記載のネットワークシステム。
  8. 前記複数の転送装置は、前記第2の転送装置の下位に接続される第4の転送装置をさらに含み、
    前記管理計算機は、
    以下の(1)又は(2)のいずれかの方法によって、前記第4の転送装置を特定し、
    (1)前記ネットワークの構成情報を参照し、前記再構成の対象となるフィルタの条件に含まれる送信元の端末を直接収容する前記第4の転送装置を特定し、
    (2)前記ネットワークの構成情報を参照し、前記再構成の対象となるフィルタの条件に含まれる全ての送信元の端末を収容する前記第4の転送装置を特定し、
    前記特定された第4の転送装置のフィルタの構成が変更されるまで、前記フィルタの再構成処理を繰り返すことを特徴とする請求項7に記載のネットワークシステム。
  9. 前記管理計算機は、
    前記フィルタの構成が変更された第2の転送装置に設定されるフィルタを、新たに再構成の対象となるフィルタに指定するか否かのポリシーの指定を、前記フィルタの種類に対応して受け付ける入力インターフェースを備え、
    前記指定されたポリシーに基づいて、前記フィルタの再構成処理を繰り返すか否かを決定することを特徴とする請求項7に記載のネットワークシステム。
  10. ネットワークトポロジにおいて上位の外部ネットワークと下位の複数の端末との間において、階層的に接続されパケットを転送する複数の転送装置と、前記複数の転送装置を含むネットワークと、を備えるネットワークシステムに備わる管理計算機であって、
    前記複数の転送装置は、再構成の対象となるフィルタが設定されている第1の転送装置と、前記ネットワークトポロジにおいて前記第1の転送装置の下位に接続される第2の転送装置と、を含み、
    前記管理計算機は、
    前記複数の転送装置から前記ネットワークの構成情報を取得し、
    前記取得されたネットワークの構成情報を参照し、前記第1の転送装置に設定されている再構成対象フィルタによってパケットを転送可能な範囲が、前記第2の転送装置に設定されるフィルタによってパケットを転送可能な範囲と同じになるように、前記第1の転送装置のフィルタ及び前記第2の転送装置のフィルタを再構成し、
    前記再構成されたフィルタを、前記第1の転送装置及び前記第2の転送装置に設定することを特徴とする管理計算機。
  11. 前記管理計算機は、
    前記第1の転送装置に直接接続されている転送装置から、前記再構成の対象となるフィルタの条件に含まれる送信元の端末を収容する第2の転送装置を特定し、
    前記第1の転送装置と接続される第2の転送装置のポートを、前記フィルタを設定するポートに指定し、
    前記第2の転送装置に設定されるフィルタによってパケットを転送可能な範囲が、前記第1の転送装置に設定されているフィルタによってパケットを転送可能な範囲と同じであるか否かを判定し、
    パケットを転送可能な範囲が同じではないと判定された場合、前記第1の転送装置に設定されている再構成の対象となるフィルタの条件に含まれる送信元を送信元とするフィルタであって、前記第1の転送装置に収容され、かつ、前記第2の転送装置に収容されていない端末を宛先とする許可フィルタを、前記指定されたポートに設定するように、前記第2の転送装置のフィルタを再構成することを特徴とする請求項10に記載の管理計算機。
  12. 前記第1の転送装置は、前記フィルタの処理をするプロセッサを備え、
    前記管理計算機は、
    以下の(1)又は(2)のいずれかの方法によって、前記再構成の対象となるフィルタの数を決定し、
    (1)前記第1の転送装置から前記第1の転送装置のプロセッサの負荷情報を取得し、前記取得された負荷情報と所定の閾値との比較結果に基づいて、前記プロセッサの負荷情報に対応して、前記再構成の対象となるフィルタの数を決定し、
    (2)前記管理計算機が備える入力インターフェースを介して指定されたフィルタの数を前記再構成の対象となるフィルタの数に決定し、
    前記決定された数と同数のフィルタを再構成することを特徴とする請求項11に記載の管理計算機。
  13. 前記管理計算機は、
    前記第1の転送装置に設定されているフィルタの種類の情報を保持し、
    以下の(1)又は(2)のいずれかの方法によって、前記再構成の対象となるフィルタの優先度を決定し、
    (1)前記保持されているフィルタの種類の情報を参照することによって、前記第1の転送装置に設定されているフィルタの種類を判定し、前記判定されたフィルタの種類に対応して前記再構成の対象となるフィルタの優先度を決定し、
    (2)前記管理計算機が備える入力インターフェースを介して指定された前記フィルタの優先度を前記再構成の対象となるフィルタの優先度として決定し、
    前記決定された優先度に基づいて、前記再構成の対象となるフィルタを選択することを特徴とする請求項11に記載の管理計算機。
  14. 前記ネットワークの構成情報は、前記ネットワークの物理的な接続情報、及び、前記ネットワークの論理的な接続情報を含み、
    前記管理計算機は、前記ネットワークの構成情報を用いて前記第1の転送装置の下位に接続される第2の転送装置を選択することを特徴とする請求項11に記載の管理計算機。
  15. 前記管理計算機は、
    前記再構成の対象となるフィルタと、前記フィルタの再構成前の転送装置及びポートの指定と、前記フィルタの再構成と実転送装置への設定要求を受け付ける入力インターフェースを備え、
    前記入力インターフェースを介して指定された転送装置及びポートのフィルタを再構成することを特徴とする請求項11に記載の管理計算機。
  16. 前記複数の転送装置は、前記第2の転送装置の下位に接続される第3の転送装置をさらに含み、
    前記管理計算機は、
    前記フィルタの構成が変更された第2の転送装置に設定されるフィルタを新たに再構成の対象となるフィルタに指定し、
    前記第2の転送装置に設定されている再構成対象フィルタによってパケットを転送可能な範囲が、前記第3の転送装置に設定される対象フィルタによってパケットを転送可能な範囲と同じになるように、前記第2の転送装置のフィルタ及び前記第3の転送装置のフィルタを再構成し、
    前記再構成されたフィルタを、前記第2の転送装置及び前記第3の転送装置に設定し、
    前記第3の転送装置に設定されたフィルタを再構成の対象となるフィルタに設定し、前記フィルタの再構成処理を繰り返すことを特徴とする請求項11に記載の管理計算機。
  17. 前記複数の転送装置は、前記第2の転送装置の下位に接続される第4の転送装置をさらに含み、
    前記管理計算機は、
    以下の(1)又は(2)のいずれかの方法によって、前記第4の転送装置を特定し、
    (1)前記ネットワークの構成情報を参照し、前記再構成の対象となるフィルタの条件に含まれる送信元の端末を直接収容する前記第4の転送装置を特定し、
    (2)前記ネットワークの構成情報を参照し、前記再構成の対象となるフィルタの条件に含まれる全ての送信元の端末を収容する前記第4の転送装置を特定し、
    前記特定された第4の転送装置のフィルタの構成が変更されるまで、前記フィルタの再構成処理を繰り返すことを特徴とする請求項16に記載の管理計算機。
  18. 前記管理計算機は、
    前記フィルタの構成が変更された第2の転送装置に設定されるフィルタを、新たに再構成の対象となるフィルタに指定するか否かのポリシーの指定を、前記フィルタの種類に対応する受け付ける入力インターフェースを備え、
    前記指定されたポリシーに基づいて、前記フィルタの再構成処理を繰り返すか否かを決定することを特徴とする請求項16に記載の管理計算機。
  19. ネットワークトポロジにおいて上位の外部ネットワークと下位の複数の端末との間において、階層的に接続されパケットを転送する複数の転送装置と、前記複数の転送装置を含むネットワークと、前記ネットワークに接続され、前記ネットワークを管理する管理計算機と、を備えるネットワークシステムにおいて実行されるフィルタ再構成方法であって、
    前記複数の転送装置は、再構成の対象となるフィルタが設定されている第1の転送装置と、前記ネットワークトポロジにおいて前記第1の転送装置の下位に接続される第2の転送装置と、を含み、
    前記フィルタ構成方法は、
    前記複数の転送装置から前記ネットワークの構成情報を取得し、
    前記取得されたネットワークの構成情報を参照し、前記第1の転送装置に設定されている再構成対象フィルタによってパケットを転送可能な範囲が、前記第2の転送装置に設定されるフィルタによってパケットを転送可能な範囲と同じになるように、前記第1の転送装置のフィルタ及び前記第2の転送装置のフィルタを再構成し、
    前記再構成されたフィルタを、前記第1の転送装置及び前記第2の転送装置に設定することを特徴とするフィルタ再構成方法。
JP2007276326A 2007-10-24 2007-10-24 ネットワークシステム、管理計算機、及びフィルタ再構成方法 Expired - Fee Related JP4964735B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007276326A JP4964735B2 (ja) 2007-10-24 2007-10-24 ネットワークシステム、管理計算機、及びフィルタ再構成方法
US12/222,841 US8081640B2 (en) 2007-10-24 2008-08-18 Network system, network management server, and access filter reconfiguration method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007276326A JP4964735B2 (ja) 2007-10-24 2007-10-24 ネットワークシステム、管理計算機、及びフィルタ再構成方法

Publications (2)

Publication Number Publication Date
JP2009105716A JP2009105716A (ja) 2009-05-14
JP4964735B2 true JP4964735B2 (ja) 2012-07-04

Family

ID=40582744

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007276326A Expired - Fee Related JP4964735B2 (ja) 2007-10-24 2007-10-24 ネットワークシステム、管理計算機、及びフィルタ再構成方法

Country Status (2)

Country Link
US (1) US8081640B2 (ja)
JP (1) JP4964735B2 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7675854B2 (en) 2006-02-21 2010-03-09 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
US7992201B2 (en) * 2007-07-26 2011-08-02 International Business Machines Corporation Dynamic network tunnel endpoint selection
US9960967B2 (en) 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
US9094364B2 (en) 2011-12-23 2015-07-28 A10 Networks, Inc. Methods to manage services over a service gateway
US8782221B2 (en) 2012-07-05 2014-07-15 A10 Networks, Inc. Method to allocate buffer for TCP proxy session based on dynamic network conditions
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
JP6011401B2 (ja) * 2013-03-18 2016-10-19 富士通株式会社 接続情報を生成するための情報処理装置及び方法
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
US10020979B1 (en) 2014-03-25 2018-07-10 A10 Networks, Inc. Allocating resources in multi-core computing environments
US9806943B2 (en) 2014-04-24 2017-10-31 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
US10992524B2 (en) 2014-06-03 2021-04-27 A10 Networks, Inc. User defined objects for network devices
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies
US10318288B2 (en) 2016-01-13 2019-06-11 A10 Networks, Inc. System and method to process a chain of network applications
US10389835B2 (en) 2017-01-10 2019-08-20 A10 Networks, Inc. Application aware systems and methods to process user loadable network applications
CN107979614A (zh) * 2017-12-30 2018-05-01 杭州华为数字技术有限公司 数据包检测方法及装置
JP7005436B2 (ja) * 2018-06-20 2022-02-10 エヌ・ティ・ティ・アドバンステクノロジ株式会社 仮想ネットワーク監視システム、仮想ネットワーク監視装置、仮想ネットワーク監視方法及びコンピュータープログラム
US11165828B2 (en) * 2019-02-28 2021-11-02 Cisco Technology, Inc. Systems and methods for on-demand flow-based policy enforcement in multi-cloud environments
US11588713B2 (en) 2019-12-10 2023-02-21 Ntt Advanced Technology Corporation Virtual network monitoring system, virtual network monitoring apparatus, virtual network monitoring method, and non-transitory computer-readable recording medium
CN113873041B (zh) * 2021-09-30 2024-03-01 迈普通信技术股份有限公司 报文传输方法、装置、网络设备及计算机可读存储介质

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6345299B2 (en) * 1997-11-26 2002-02-05 International Business Machines Corporation Distributed security system for a communication network
US6032194A (en) * 1997-12-24 2000-02-29 Cisco Technology, Inc. Method and apparatus for rapidly reconfiguring computer networks
US6286052B1 (en) * 1998-12-04 2001-09-04 Cisco Technology, Inc. Method and apparatus for identifying network data traffic flows and for applying quality of service treatments to the flows
US6738377B1 (en) * 1999-01-29 2004-05-18 International Business Machines Corporation System and method for dynamic micro placement of IP connection filters
US7366171B2 (en) * 1999-03-17 2008-04-29 Broadcom Corporation Network switch
US7051365B1 (en) * 1999-06-30 2006-05-23 At&T Corp. Method and apparatus for a distributed firewall
US6578076B1 (en) * 1999-10-18 2003-06-10 Intel Corporation Policy-based network management system using dynamic policy generation
JP2001249866A (ja) * 2000-03-06 2001-09-14 Fujitsu Ltd ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
US7307993B2 (en) * 2000-08-08 2007-12-11 At&T Labs, Inc. Controller based call control for ATM SVC signaling
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
JP4330342B2 (ja) * 2001-02-19 2009-09-16 富士通株式会社 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム
US7536715B2 (en) * 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
US20030110379A1 (en) * 2001-12-07 2003-06-12 Tatu Ylonen Application gateway system, and method for maintaining security in a packet-switched information network
JP2003244247A (ja) * 2002-02-15 2003-08-29 Nippon Telegr & Teleph Corp <Ntt> パケットフィルタ分散方法及び分散化パケットフィルタシステム
AU2003250656A1 (en) * 2002-07-25 2004-02-16 Telefonaktiebolaget Lm Ericsson (Publ) Packet filter provisioning
US7710957B2 (en) * 2004-05-19 2010-05-04 Cisco Technology, Inc. System and method for implementing multiple spanning trees per network
DE102005001150B4 (de) * 2005-01-10 2006-11-16 Siemens Ag Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben
US20090052443A1 (en) * 2007-08-23 2009-02-26 Santosh Kolenchery Method and apparatus for managing dynamic filters for nested traffic flows

Also Published As

Publication number Publication date
US8081640B2 (en) 2011-12-20
US20090109970A1 (en) 2009-04-30
JP2009105716A (ja) 2009-05-14

Similar Documents

Publication Publication Date Title
JP4964735B2 (ja) ネットワークシステム、管理計算機、及びフィルタ再構成方法
TWI813743B (zh) 在網路路由環境中的獨立資料儲存空間
US9584369B2 (en) Methods of representing software defined networking-based multiple layer network topology views
Jimenez et al. On the controller placement for designing a distributed SDN control layer
EP2880829B1 (en) Adaptive infrastructure for distributed virtual switch
KR20140066781A (ko) 범용 흐름을 변환하는 섀시 제어기
US11444840B2 (en) Virtualized networking application and infrastructure
CN108400922B (zh) 虚拟局域网络配置系统与方法及其计算机可读存储介质
US7792936B2 (en) Method and apparatus for virtualizing network resources
JP2015525982A (ja) 通信方法、通信システム、情報処理装置、通信端末およびプログラム
JP2015525983A (ja) 通信方法、情報処理装置、通信システム、通信端末およびプログラム
KR20160092382A (ko) 계층화된 도메인 기반의 네트워크 구조에서 라우터의 도메인 라우팅 테이블 관리 방법
JP2015525981A (ja) 通信方法、情報処理装置、通信システム、プログラム、ノードおよび通信端末
WO2023188186A1 (ja) 通信経路決定システム及び通信経路決定方法
TWI839379B (zh) 在網路路由環境中的單節點和多節點資料儲存空間架構
JP2018082317A (ja) ルーティングシステムおよびルーティング方法
CN115914069A (zh) 数据转发方法、系统、电子设备和存储介质
CN114422518A (zh) 请求服务的方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101004

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120328

R150 Certificate of patent or registration of utility model

Ref document number: 4964735

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150406

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees