(第一実施形態)
本発明の第一実施形態を図1〜図22を用いて説明する。
図1は、本発明の第一実施形態のネットワークシステムの構成を示す図である。
ネットワークシステムは、内部ネットワーク1及び外部ネットワーク2を含む。内部ネットワーク1と外部ネットワーク2は、互いに接続される。
内部ネットワーク1には、スイッチ100、エッジスイッチ300A及び300B、端末200A〜200D、スイッチングハブ400、管理サーバ500及び認証サーバ600が接続される。なお、エッジスイッチ300A及び300Bを総称してエッジスイッチ300といい、端末200A〜200Dを総称して端末200という。さらに、スイッチ100及びエッジスイッチ300を総称して、スイッチという。なお、内部ネットワーク1は、スイッチによって構成される。
スイッチ100は、エッジスイッチ300A、エッジスイッチ300B、管理サーバ500及び認証サーバ600に接続される。エッジスイッチ300Aは、端末200A及び端末200Bに接続される。
エッジスイッチ300Bは、スイッチングハブ400に接続される。そして、スイッチングハブ400は、端末200C及び端末200Dに接続される。つまり、エッジスイッチ300Bは、スイッチングハブ400を介して端末200C及び端末200Dに接続される。
管理サーバ500は、内部ネットワーク1を管理する計算機である。管理サーバ500については、図3で詳細を説明する。
スイッチは、ネットワーク内で通信される情報を、その情報の宛先に転送する装置である。なお、スイッチ100及びエッジスイッチ300は同じ構成であり、端末200に直接接続されるスイッチ及び端末200にスイッチングハブ400を介して接続されるスイッチをエッジスイッチ300という。
スイッチ100及びエッジスイッチ300は、複数のポートを備える。各ポートは、端末認証機能を備える。そして、端末認証機能が有効化されたポートは、そのポートに接続される端末200のネットワークへのアクセスを制御する。
スイッチ100は、ポート1〜6を備える。エッジスイッチ300は、ポート1〜4を備える。
スイッチ100のポート1は、エッジスイッチ300Aのポート4に接続される。スイッチ100のポート3は、エッジスイッチ300Bのポート4に接続される。スイッチ100のポート4は、認証サーバ600に接続される。スイッチ100のポート5は、管理サーバ500に接続される。スイッチ100のポート6は、外部ネットワーク2に接続される。
エッジスイッチ300Aのポート1は、端末200Aに接続される。エッジスイッチ300Aのポート2は、端末200Bに接続される。エッジスイッチ300Bのポート2は、スイッチングハブ400に接続される。
なお、本実施形態では、ネットワークはスイッチによって構成されるとしたが、ネットワークはルータによって構成されてもよい。
端末200は、利用者が使用する計算機であり、ネットワークにアクセスする計算機である。なお、端末200については、図8で詳細を説明する。
認証サーバ600は、端末200がネットワークに接続する権限を有するか否かを認証する計算機である。認証サーバ600は、図示しないCPU、記憶部及びネットワークインタフェースを備える。
図2は、本発明の第一実施形態の論理的なネットワークシステムの構成を示す図である。
端末200は、エッジスイッチ300を介して、論理的なネットワークであるVLAN(Virtual Local Area Network)3(3A〜3C)に接続される。
端末200は、エージェント230、サービス利用アプリケーション216(216A、216B)、物理ネットワークインタフェース(I/F)261、仮想インタフェース(I/F)262(262A及び262B)を備える。
仮想I/F262は、エージェント230により生成され、管理サーバ500によって生成されたMACアドレスが割り当てられる。また、エッジスイッチ300は、管理サーバ500によって生成されたMACアドレスによって、受信したフレームを特定のVLANに転送する。これによって、例えば、サービス利用アプリケーション216Aは、仮想I/F262Aを利用することによって、VLAN3Bにアクセスし、サービス利用アプリケーション216Bは、仮想I/F262Bを利用することによって、VLAN3Cにアクセスできる。これによって、利用者端末は、同時に複数のVLANにアクセスができる。
図3は、本発明の第一実施形態の管理サーバ500のブロック図である。
管理サーバ500は、CPU550、外部記憶570、I/O(Input/Output)インタフェース(I/F)580及びネットワークインタフェース(I/F)560を備える。
管理サーバ500は、ネットワークI/F560を介してネットワークに接続される。管理サーバ500は、ネットワークに接続される他の装置及び端末200と情報を、ネットワークI/F560を介して送受信する。
CPU550は、メモリ510に記憶される各プログラムを実行する。
メモリ510には、利用者認証プログラム511、MACアドレス生成プログラム512、端末場所情報特定プログラム513、構成定義生成プログラム514、構成定義更新プログラム515、MACアドレス通知プログラム516、利用者情報取得プログラム517、利用者情報521、MACアドレス管理情報522、VLAN情報523、サービスレベル情報524、トポロジ情報525及び構成定義526が記憶される。
利用者認証プログラム511は、仮想MACアドレスの生成を要求する利用者を、利用者情報を参照し、端末200から送信される利用者ID及びパスワードを用いて、端末200の利用者が利用者情報に登録された利用者であるか否かを認証する。MACアドレス生成プログラム512は、端末200からの要求により、MACアドレス管理情報522を参照し、未使用の仮想MACアドレスを生成する。端末場所情報特定プログラム513は、端末200が収容されるエッジスイッチ300と、そのエッジスイッチ300に備わるポートのうち端末200が接続されるポート(端末の場所)を特定する。なお、この処理は、図20で詳細を説明する。
構成定義生成プログラム514は、各スイッチの動作を定義する構成定義を生成する。構成定義更新プログラム515は、各スイッチの構成定義を生成された構成定義に更新する。MACアドレス通知プログラム516は、生成された仮想MACアドレスを、仮想MACアドレスを生成する要求を送信した端末200に通知する。利用者情報取得プログラム517は、認証サーバ600から利用者情報610を取得する。
利用者情報521は、利用者の認証状態、利用者の利用する端末の場所及び端末の物理的なMACアドレス等を示す情報を管理する。なお、利用者情報521については、図4で詳細を説明する。
MACアドレス管理情報522は、生成した仮想MACアドレスとこの仮想MACアドレスに割り当てられたユーザとの関係を管理する。なお、MACアドレス管理情報522は、図5で詳細を説明する。
VLAN情報523は、VLANと、そのVLANによって提供されるサービスとの関係を管理する。なお、VLAN情報523については、図6で詳細を説明する。
サービスレベル情報524は、ネットワークによって提供されるサービスごとの通信品質と利用者がアクセス可能な範囲を管理する。なお、サービスレベル情報524については、図7で詳細を説明する。
トポロジ情報525は、内部ネットワーク1を管理するスイッチの接続関係を管理する。構成定義526は、内部ネットワーク1を管理するスイッチの構成定義を更新するための設定ファイルである。
図4は、本発明の第一実施形態の利用者情報521を説明する図である。
利用者情報521は、利用者ID5211、パスワード5212、認証状態5213、収容エッジスイッチID5214及び端末のMACアドレス5215を含む。
利用者ID5211には、管理サーバ500が利用者を認証するために用いる利用者の一意な識別子が登録される。パスワード5212には、管理サーバ500が利用者を認証するために用いるパスワードが登録される。
認証状態5213には、利用者が認証されているか、未だ認証されていないかを示す情報が登録される。認証状態5213には、利用者が認証されている場合には、「認証済み」が登録され、利用者が未だ認証されていない場合には、「未認証」が登録される。
収容エッジスイッチID5214には、認証された利用者が使用する端末200が収容されるエッジスイッチ300の一意な識別子が登録される。端末のMACアドレス5215には、認証済みの利用者が使用する端末200の物理的なMACアドレスが登録される。
なお、認証状態5213に「未認証」が登録されているエントリに含まれる収容エッジスイッチID5214及び端末のMACアドレス5215には、何も登録されない。
図5は、本発明の第一実施形態のMACアドレス管理情報522を説明する図である。
MACアドレス管理情報522には、MACアドレス5221、割当利用者ID5222及びサービスID5223を含む。
MACアドレス5221には、管理サーバ500によって生成されたMACアドレスが登録される。割当利用者ID5222には、そのMACアドレスが割り当てられた利用者の一意な識別子が登録される。サービスID5223には、そのMACアドレスが割り当てられたサービスの一意な識別子が登録される。
図6は、本発明の第一実施形態のVLAN情報523を説明する図である。
VLAN情報523は、VLAN ID5231、サービスID5232及び利用者ID5233を含む。
VLAN ID5231には、内部ネットワークに定義されたVLANの一意な識別子が登録される。サービスID5232は、そのVLANによって提供されるサービスの一意な識別子が登録される。利用者ID5233には、そのVLANによって提供されるサービスを利用可能な利用者の一意な識別子が登録される。
図7は、本発明の第一実施形態のサービスレベル情報524を説明する図である。
サービスレベル情報は、サービスID5241、QoS(Quality of Service)レベル5242及びアクセス範囲5243を含む。
サービスID5241には、ネットワークによって提供されるサービスの一意な識別子が登録される。QoSレベル5242には、サービスごとの通信品質が登録される。
具体的には、QoSレベル5264は、転送優先度及び帯域保証を含む。転送優先度は、サービスにおける情報を転送する内部ネットワーク1内での優先度を示す数字が登録される。なお、登録された転送優先度の数字が大きい方が、対応するサービスにおける情報の転送が内部ネットワーク1内で優先される。
帯域保証には、サービスによって使用される帯域が保証されるか否かを示す情報が登録され、サービスによって使用される帯域が保証される場合には、最低保証する帯域幅の値が登録される。
アクセス範囲5243には、サービスの利用者がアクセス可能な範囲が登録される。例えば、アクセス範囲5243には、利用者がアクセス可能なサーバ、及び利用者が外部ネットワーク2にアクセスできるか否かを示す情報等が登録される。
図8は、本発明の第一実施形態の端末200のブロック図である。
端末200は、CPU250、メモリ210、外部記憶270、I/O(Input/Output)インタフェース(I/F)280、ネットワークインタフェース(I/F)260を備える。ネットワークI/F260は、物理ネットワークインタフェース(物理I/F)261及び1つ又は複数の仮想ネットワークインタフェース(仮想I/F)262を含む。
端末200は、ネットワークI/F260を介してネットワークに接続される。端末200は、ネットワークに接続している他の装置及び端末200とネットワークI/F260を介して情報を送受信する。
CPU250は、メモリ210に記憶される各プログラムを実行する。
メモリ210には、エージェント230、サービス利用アプリケーション216、仮想OS(Operating System)217、OS218、I/F情報221、アプリケーション情報222及びサービスレベル情報223が記憶される。エージェント230は、GUI生成プログラム211、MACアドレス要求プログラム212、仮想I/F生成プログラム213、仮想I/F使用設定プログラム214、アプリケーション起動プログラム215を含む。
GUI生成プログラム211は、利用者に対して、GUI(Graphical User Interface)を提供する。
MACアドレス要求プログラム212は、管理サーバ500に対して、仮想MACアドレスの生成を要求する。
仮想I/F生成プログラム213は、管理サーバ500から通知された仮想MACアドレスに割り当てられた仮想I/F262を生成する。
仮想I/F使用設定プログラム214は、サービス利用アプリケーション216又は仮想OS217が使用するネットワークI/F260を、仮想I/F生成プログラム213によって生成された仮想I/F262に設定する。
アプリケーション起動プログラム215は、サービス利用アプリケーション216を起動する。
サービス利用アプリケーション216は、ネットワークによって提供されるサービスを利用するアプリケーションプログラムである。例えば、サービス利用アプリケーション216は、電話用プログラム及びTV会議用プログラム等である。
OS218は、端末200の基本的な制御をする。仮想OS217は、仮想的なOSである。
I/F情報221は、仮想I/F262と、仮想I/F262に設定されたMACアドレス及びサービスとの関係とを管理する。なお、I/F情報221については、図9で詳細を説明する。
アプリケーション情報222は、サービス利用アプリケーション216とサービス利用アプリケーション216が利用するサービスとの関係を管理する。なお、アプリケーション情報222については、図10で詳細を説明する。
サービスレベル情報223は、サービス利用アプリケーション216によって利用されるサービスごとの通信品質及びアクセス範囲を管理する。なお、サービスレベル情報223については、図11で詳細を説明する。
図9は、本発明の第一実施形態のI/F情報221を説明する図である。
I/F情報221は、I/F ID2211、MACアドレス2212及びサービスID2213を含む。
I/F ID2211には、仮想I/F262の一意な識別子が登録される。MACアドレス2212には、仮想I/F262に設定された仮想MACアドレスが登録される。サービスID2213には、仮想I/F262に設定されたサービスを一意な識別子が登録される。
図10は、本発明の第一実施形態のアプリケーション情報222を説明する図である。
アプリケーション情報222は、アプリケーションID2221及びサービスID2222を含む。
アプリケーションID2221には、サービス利用アプリケーション216の一意な識別子が登録される。サービスID2222には、サービス利用アプリケーション216によって利用されるサービスの一意な識別子が登録される。
図11は、本発明の第一実施形態のサービスレベル情報223を説明する図である。
サービスレベル情報223は、サービスID2231、QoSレベル2232及びアクセス範囲2233を含む。
サービスID2231には、サービス利用アプリケーション216によって利用されるサービスの一意な識別子が登録される。QoSレベル2232及びアクセス範囲2233は、図7に示すQoSレベル5242及びアクセス範囲5243と同じなので、説明を省略する。
図12は、本発明の第一実施形態のエッジスイッチ300のブロック図である。
エッジスイッチ300は、CPU350、メモリ310、外部記憶370、I/O(Input/Output)インタフェース(I/F)380、パケット・フレーム転送機能部360を備える。
CPU350は、メモリ310に記憶された各プログラムを実行する。
メモリ310には、フレーム振分処理プログラム311、端末認証プログラム312、構成定義処理プログラム313、フレーム振分情報321、MACアドレス情報322及び構成定義323が記憶される。
フレーム振分処理プログラム311は、フレーム振分情報321を参照し、送信元のMACアドレスに対応するVLANにフレームを転送する。
端末認証プログラム312は、エッジスイッチ300に接続された端末200を使用する利用者から利用者を認証する要求を受信した場合、受信した認証要求を認証サーバ600に送信する。また、端末認証プログラム312は、認証サーバ600によって利用者が認証された場合、フレーム振分情報321に端末200のMACアドレスと、認証サーバ600から認証成功結果と共に通知される振分先VLANの識別子とを登録する。これによって、端末200がネットワークに接続できるようになる。
構成定義処理プログラム313は、構成定義323の設定情報をパケット・フレーム転送機能部360に設定する。
パケット・フレーム転送機能部360は、フレームをMACポートに設定したポートで受信した場合、フレーム振分処理プログラム311の処理に従って、送信元のMACアドレスに対応するVLANに受信したフレームを転送する。また、パケット・フレーム転送機能部360は、フレームをトランクポートで受信した場合、受信したフレームのVLANタグに含まれるVLAN IDとMACアドレス情報322を参照し、送信元のMACアドレスに対応するエッジスイッチ300に備わるポートに受信したフレームを転送する。
VLANタグがスタックされている場合、スタックされた全てのVLANタグの情報を用いることができる。
フレーム振分情報321は、送信元の端末200のMACアドレスとそのMACアドレスに対応するVLANとの関係を管理する。
MACアドレス情報322は、VLANごとの送信元の端末200のMACアドレスとそのMACアドレスに対応するエッジスイッチ300に備わるポートとの関係を管理する。
構成定義323は、管理サーバ500から送信された構成定義を格納する。
なお、スイッチ100もエッジスイッチ300と同じ構成である。
図13は、本発明の第一実施形態のフレーム振分情報321を説明する図である。
フレーム振分情報321は、VLAN ID3211及び送信元MACアドレス3212を含む。
VLAN ID3211には、フレームが転送されるVLANの識別子が登録される。送信元MACアドレス3212には、各VLANに転送されるフレームを送信した端末200のMACアドレスが登録される。なお、送信元MACアドレス3212に登録されるMACアドレスには、物理I/F261に設定されたMACアドレスが少なくとも一つ含まれる。本実施形態では、VLAN ID「10」に対応する送信元MACアドレス3212に登録されるMACアドレスは、物理I/F261に設定されたMACアドレスである。
よって、フレーム振分処理プログラム311は、フレーム振分情報321を参照することによって、送信元の端末200のMACアドレスに対応するVLANに、受信したフレームを転送できる。
図14は、本発明の第一実施形態のMACアドレス情報322を説明する図である。
MACアドレス情報322は、VLAN ID3221、ポートID3222及び送信元MACアドレス3223を含む。
VLAN ID3221には、VLANの識別子が登録される。ポートID3222には、フレームが転送されるポートの識別子が登録される。送信元MACアドレス3223には、各ポートに転送されるフレームの転送先MACアドレスを持つ端末200のMACアドレスが登録される。なお、送信元MACアドレス3223に登録されるMACアドレスは、物理I/F261に設定されたMACアドレスでも、仮想I/F262に設定されたMACアドレスでもよい。
図15は、本発明の第一実施形態の認証サーバ600に記憶される利用者情報610を説明する図である。
利用者情報610は、利用者ID6101、パスワード6102、認証状態6103、収容エッジスイッチID6104、接続ポートID6105、MACアドレス(物理I/F)6106を含む。
利用者ID6101は、利用者の一意な識別子である。パスワード6102は、認証サーバ600が利用者を認証するために用いるパスワードが登録される。
認証状態6103には、利用者が認証されているか、未だ認証されていないかを示す情報が登録される。認証状態6103には、利用者が認証されている場合には、「認証済み」が登録され、利用者が未だ認証されていない場合には、「未認証」が登録される。
収容エッジスイッチID6104には、認証された利用者が使用する端末200が収容されるエッジスイッチ300の一意な識別子が登録される。接続ポートID6105には、エッジスイッチ300に備わるポートのうち、認証された利用者によって使用される端末200に接続されるポートの一意な識別子が登録される。MACアドレス(物理I/F)6106には、認証済みの利用者が使用する端末200に備わる物理I/F261に設定される物理MACアドレスが登録される。
なお、認証状態6103に「未認証」が登録されているエントリに含まれる収容エッジスイッチID6104、接続ポートID6105及びMACアドレス(物理I/F)6106には、何も登録されない。
次に、利用者700がサービスの利用を新たに要求する場合のネットワークの構築処理について、図16及び図17を用いて説明する。
図16は、本発明の第一実施形態の利用者がサービスを提供する環境の設定処理のシーケンス図である。図17は、本発明の第一実施形態の利用者がサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。
利用者700が使用する端末200の物理I/F261は認証済みであるものとする。
まず、利用者700は、サービスを新たに利用する要求するサービス利用要求をエージェント230に入力する(S101)。
エージェント230は、サービス利用要求が入力された場合、新たにMACアドレスを作成させるMACアドレス要求を管理サーバ500に送信する(S102)。MACアドレス要求には、利用者700の利用者ID、パスワード、利用するサービスの一意な識別子及びスイッチの物理I/F261に設定される物理MACアドレスが含まれる。
管理サーバ500は、MACアドレス要求を受信した場合、利用者700を認証する(S103)。具体的には、管理サーバ500は、利用者情報521を参照し、MACアドレス要求に含まれる利用者ID及びパスワードが、それぞれ利用者情報521に含まれる利用者ID5211及びパスワード5212と一致するか否かを判定する。
管理サーバ500は、利用者700が認証された場合、MACアドレス管理情報522を参照し、未使用のMACアドレスを生成する(S104)。具体的には、管理サーバ500は、MACアドレス管理情報522に含まれるMACアドレス5221に登録されていないMACアドレスを生成する。
一方、管理サーバ500は、利用者700が認証されなかった場合、その旨を端末200に通知する。
管理サーバ500は、利用者700が使用する端末200の場所情報を特定する(S105)。なお、この端末場所情報特定処理については、図20で詳細を説明する。
管理サーバ500は、利用者700が使用する端末200が収容されるエッジスイッチ300のフレーム振分情報321を更新するための構成定義を生成する(S106)。なお、構成定義生成処理については、図21で詳細を説明する。
管理サーバ500は、エッジスイッチ300のフレーム振分情報321を生成した構成定義に基づいて更新する(S107)。
また、管理サーバ500は、生成したMACアドレスをエージェント230に通知する(S108)。
通知を受信したエージェント230は、仮想I/F生成要求をOS218に送信する。(S109)そして、仮想I/F生成要求を受信したOS218は、仮想I/F262を生成する(S110)。
OS218は、仮想I/Fの生成が成功した場合、エージェント230に生成成功を通知する(S111)。
そして、エージェント230は、I/F情報221に、新たに生成された仮想I/F262のエントリを追加する。このエントリに含まれるMACアドレス2212には、S104の処理で生成されたMACアドレスが登録される。また、このエントリに含まれるサービスID2213には、利用者700が利用を要求したサービスの識別子が登録される。
次に、利用者700がサービスの利用の解除を要求する場合のネットワークの構築処理について、図18及び図19を用いて説明する。
図18は、本発明の第一実施形態の利用者がサービスを提供する環境の設定を解除する設定処理のシーケンス図である。図19は、本発明の第一実施形態の利用者がサービスを提供する環境の設定を解除する設定処理において送受信されるメッセージを説明する図である。なお、利用者700は、認証済みである。
まず、利用者700は、サービスの利用の解除を要求するサービス解除要求をエージェント230に入力する(S601)。サービス解除要求には、サービスを解除するサービスの一意な識別子が含まれる。
エージェント230は、サービス解除要求が入力された場合、サービスの利用を解除するサービス利用解除要求を管理サーバ500に送信する(S602)。サービス利用解除要求には、解除するサービスに設定された仮想I/F262に割り当てられたMACアドレスが含まれる。具体的には、エージェント230は、I/F情報221を参照し、サービスID2213に登録されるサービスの識別子がサービス解除要求に含まれるサービスの識別子と一致するエントリに含まれるMACアドレス2212に登録されたMACアドレスを取得する。そして、エージェント230は、取得したMACアドレスをサービス利用解除要求に含める。
管理サーバ500は、サービス利用解除要求を受信した場合、利用者700が使用する端末200が収容されるエッジスイッチ300のフレーム振分情報321に含まれる送信元MACアドレス3212に登録されたMACアドレスから、受信したサービス利用解除要求に含まれるMACアドレスを削除した構成定義を生成する(S603)。
管理サーバ500は、エッジスイッチ300のフレーム振分情報321を、生成した構成定義に基づいて更新する(S604)。
管理サーバ500は、エッジスイッチ300のフレーム振分情報321の更新が成功した場合、サービス利用解除成功通知をエージェント230に送信する(S605)。
サービス利用解除成功通知を受信したエージェント230は、仮想I/F削除要求をOS218に送信する(S606)。
なお、仮想I/F削除要求には、削除する仮想I/F262の識別子が含まれる。具体的には、エージェント230は、I/F情報221を参照し、削除するMACアドレスに割り当てられた仮想I/F262の識別子を取得する。そして、エージェント230は、取得した仮想I/F262の識別子を仮想I/F削除要求に含める。
そして、仮想I/F削除要求を受信したOS218は、仮想I/F262を削除する(S607)。
OS218は、仮想I/Fの削除が成功した場合、エージェント230に削除成功を通知する(S608)。
そして、エージェント230は、I/F情報221に登録されたエントリから、削除された仮想I/F262のエントリを削除する。
図20は、本発明の第一実施形態の端末場所情報特定処理のフローチャートである。
管理サーバ500は、図16に示すS104の処理で、MACアドレスを生成した後に、端末場所情報特定処理を実行する(S201)。
まず、管理サーバ500は、エッジスイッチ300を一つ選択する(S202)。そして、管理サーバ500は、選択したエッジスイッチ300から、MACアドレス情報232に登録されたすべてのエントリを取得する(S203)。
管理サーバ500は、選択したエッジスイッチ300がMACアドレス生成要求を送信した端末200と接続されているか否かを判定するために、取得したMACアドレス情報232に登録されたエントリに含まれる送信元MACアドレス3223に、MACアドレス生成要求を送信した端末200に備わる物理I/F261に設定されたMACアドレスが登録されているか否かを判定する(S204)。
取得したMACアドレス情報232に登録されたすべてのエントリに含まれる送信元MACアドレス3223に、MACアドレス生成要求を送信した端末200に備わる物理I/F261に設定されたMACアドレスが登録されていない場合、選択されたエッジスイッチ300はMACアドレス生成要求を送信した端末200と全く接続されないので、S203の処理に戻る。
一方、取得したMACアドレス情報232に登録されたエントリに含まれる送信元MACアドレス3223に、MACアドレス生成要求を送信した端末200に備わる物理I/F261に設定されたMACアドレス(M1)が登録されている場合、選択したエッジスイッチ300はMACアドレス生成要求を送信した端末200と他のスイッチを介さずに接続されているか否かを判定する(S205)。具体的には、管理サーバ500は、MACアドレス(M1)から送信された情報が転送される選択したエッジスイッチ300の転送先ポート(P1)の識別子を取得する。
そして、管理サーバ500は、選択したエッジスイッチ300の構成定義323を参照し、取得した識別子によってポートがトランクポートであるか否かを判定する。なお、トランクポートは、受信フレームのVLANタグに含まれるVLAN IDに基づき、対応するVLANに転送を行うポートのことをいう。当該ポートがトランクポートではない場合にはS206の処理に進み、当該ポートがトランクポートの場合にはS202の処理に戻る。
MACアドレス(M1)に対応する転送先ポート(P1)がトランクポートである場合には、選択したエッジスイッチ300は、MACアドレス生成要求を送信した端末200と他のスイッチを介して接続されているので、S202の処理に戻る。
一方、MACアドレス(M1)に対応する転送先ポート(P1)がトランクポートでない場合には、選択したエッジスイッチ300は、MACアドレス生成要求を送信した端末200と他のスイッチを介さずに接続されているので、管理サーバ500は、転送先ポート(P1)を、MACアドレス生成要求を送信した端末200を収容するポートとして設定し(S206)、端末場所情報特定処理を終了する(S207)。
図21は、本発明の第一実施形態の構成定義生成処理のフローチャートである。
管理サーバ500は、図16に示すS105の処理で、端末場所情報特定処理を実行した後に、構成定義生成処理を実行する(S301)。
まず、管理サーバ500は、エッジスイッチ300を一つ選択する(S302)。そして、管理サーバ500は、選択したエッジスイッチ300は、S206の処理で設定された、MACアドレス生成要求を送信した端末200を収容するポート(P2)を備えるか否かを判定する(S303)。
選択したエッジスイッチ300は、MACアドレス生成要求を送信した端末200を収容するポート(P2)を備えない場合、S302の処理に戻る。
一方、選択したエッジスイッチ300は、S206の処理で設定された、MACアドレス生成要求を送信した端末200を収容するポート(P2)を備える場合、管理サーバ500は、VLAN情報523を参照し、利用者によって新たに利用されるサービスに割り当てられたVLANの識別子を取得する。そして、管理サーバ500は、選択したエッジスイッチ300のフレーム振分情報321に登録されるエントリのうち、VLAN ID3211に登録された識別子が取得したVLANの識別子と一致するエントリに含まれる送信元MACアドレス3212に、S104の処理で生成したMACアドレス(M1)を追加するように、構成定義を生成する(S304)。
次に、管理サーバ500は、構成定義526を参照し、MACアドレス生成要求を送信した端末200を収容するポート(P2)がMACポートであるか否かを判定する(S305)。
MACアドレス生成要求を送信した端末200を収容するポート(P2)がMACポートである場合には、S307の処理に進む。一方、MACアドレス生成要求を送信した端末200を収容するポート(P2)がMACポートでない場合には、管理サーバ500は、MACアドレス生成要求を送信した端末200を収容するポート(P2)をMACポートに設定するように、構成定義を生成する(S306)。
そして、管理サーバ500は、未処理のエッジスイッチ300があるか否かを判定する(S307)。未処理のエッジスイッチ300がある場合には、S302の処理に戻る。一方、未処理のエッジスイッチ300がない場合には、構成定義生成処理を終了する(S308)。
図22は、本発明の第一実施形態のエッジスイッチ300のMACポートで受信したフレームの転送処理のフローチャートである。
まず、エッジスイッチ300は、フレームを受信するまで待機する(S401)。
エッジスイッチ300は、フレームを受信した場合、フレームを受信したポートがMACポートであるか否かを判定する(S402)。
フレームを受信したポートがMACポートでない場合、エッジスイッチ300は、そのまま受信したフレームを転送する(S406)。
一方、フレームを受信したポートがMACポートである場合、エッジスイッチ300は、受信したフレームの送信元のMACアドレスを取得する(S403)。
そして、エッジスイッチ300は、フレーム振分情報321を参照し、取得した送信元のMACアドレスから受信したフレームを転送するVLANを決定する(S404)。
次に、管理サーバ500は、受信したフレームに、S404の処理でVLANを示すVLANタグを付与し(S405)、受信したフレームを転送する。
(第二実施形態)
本実施形態は、利用者700がサービス利用アプリケーション216を起動させた場合に、起動させたサービスを利用者が利用できるようにするために、スイッチを設定する。
本発明の第二実施形態を、図23及び図24を用いて説明する。
図23は、本発明の第二実施形態のサービスを提供する環境の設定処理のシーケンス図である。図24は、本発明の第二実施形態のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。
利用者700が使用する端末200の物理I/F261は認証済みであるものとする。
利用者は、サービスを利用するために、サービス利用アプリケーション216を起動させる(S501)。
サービス利用アプリケーション216は、起動されると、利用者700のサービスの利用を要求するサービス利用要求をエージェント230に送信する(S502)。なお、サービス利用要求には、利用者700が利用を要求するサービスの識別子が含まれる。
エージェント230は、サービス利用要求を受信した場合、利用者700に対して、利用者ID及びパスワードを含む利用者情報を入力するように、通知する(S503)。
利用者700は、利用者情報の入力が通知されると、利用者ID及びパスワードを含む利用者情報を端末200に入力する。入力された利用者情報は、エージェント230に送信される(S504)。
そして、エージェント230は、利用者情報を受信した場合、MACアドレスを作成する要求を管理サーバ500に送信する(S505)。
なお、管理サーバ500がMACアドレスを生成する処理(S506〜S511の処理)は、図16に示すS103〜S108の処理と同じあるので説明を省略する。エッジスイッチ300が、生成されたMACアドレスが設定される仮想I/F262を生成する処理(S512〜S514の処理)は、図16に示すS109〜S111の処理と同じであるので説明を省略する。
エージェント230は、OS218から生成成功通知を受信した場合、サービスを利用する環境の設定が完了した旨の通知をサービス利用アプリケーション216に通知する(S515)。
サービス利用アプリケーション216は、S515の処理で送信された通知を受信した場合、サービス利用アプリケーション216が使用するネットワークI/F260を生成された仮想I/F262に設定する(S516)。
具体的には、サービス利用アプリケーション216は、エージェント230に、I/F情報221に、新たに生成された仮想I/F262のエントリを追加させる。このエントリに含まれるMACアドレス2212には、S507の処理で生成されたMACアドレスが登録される。また、このエントリに含まれるサービスID2213には、サービス利用要求に含まれるサービスの識別子が登録される。
この場合に、サービス利用アプリケーション216に割り当てられたサービスの機能のうち、要求が機能ごとに、一つの仮想I/F262を設定してもよい。これにより、一つのサービスに複数の仮想I/F262が設定される。
(第三実施形態)
本実施形態は、提供するサービスを新たに追加する場合のサービスを利用する環境を設定する実施形態である。
本発明の第三実施形態を図25〜図30を用いて説明する。
図25は本発明の第三実施形態のサービスを提供する環境の設定処理のシーケンス図である。図26は、本発明の第三実施形態のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。
まず、サービス提供者800は、新たなサービスの提供要求を管理サーバ500に送信する(S701)。この場合、サービス提供者800は、新たに提供されるサービスを利用する利用者の識別子、サービスが必要とする通信品質(QoSレベル)、サービスがアクセス可能な範囲、サービスの利用期間を指定する。よって、サービス提供要求には、サービスの利用者の識別子、通信品質、アクセス範囲及び利用期間が含まれる。
管理サーバ500は、S701の処理で送信された要求を受信した場合、VLAN情報523に、エントリを新たに追加する。具体的には、管理サーバ500は、追加されるエントリに含まれるサービスID5232に、新たに提供するサービスの識別子を登録し、追加されるエントリに含まれる利用者IDに、サービス提供要求に含まれる利用者の識別子を登録する。また、管理サーバ500は、追加されるエントリに含まれるVLAN ID5231に、未だ使用されていないVLANの識別子を登録する。
また、管理サーバ500は、サービスレベル情報524にエントリを新たに追加する。具体的には、管理サーバ500は、追加されるエントリに含まれるサービスID5241には、新たに提供するサービスの識別子を登録する。また、管理サーバ500は、追加されるエントリに含まれるQoSレベル5242に、サービス提供要求に含まれる通信品質が登録され、追加されるエントリに含まれるアクセス範囲5243に、サービス提供要求に含まれるアクセス範囲が登録される。
そして、管理サーバ500は、認証サーバ600に、新たに提供するサービスを利用する利用者の利用者情報を取得する要求を送信する(S702)。この要求には、新たに提供するサービスを利用する利用者の識別子が含まれる。
次に、認証サーバ600は、S702の処理で送信された要求を受信した場合、利用者情報610を参照し、受信した要求に含まれる利用者の識別子と一致するエントリに含まれるパスワード6102、認証状態6103、収容エッジスイッチID6104及びMACアドレス(物理I/F)6106に登録されている情報を、利用者情報として管理サーバ500に送信する(S703)。
管理サーバ500は、利用者情報を受信した場合、利用者情報521に、新たに提供するサービスを利用者のエントリを追加する。
具体的には、管理サーバ500は、追加されるエントリに含まれる利用者ID5211に、新たに提供するサービスを利用者の識別子を登録する。そして、管理サーバ500は、受信したエントリに含まれる追加されるエントリに含まれるパスワード5212に、受信した利用者情報に含まれるパスワード6102、認証状態6103、収容エッジスイッチID6104及びMACアドレス(物理I/F)6106に登録されている情報を、追加されるエントリに含まれるパスワード5212、認証状態5213、収容エッジスイッチID5214及び端末のMACアドレス5215に、それぞれ登録する。
次に、管理サーバ500は、新たに提供するサービスの利用者が使用する端末200を収容するエッジスイッチ300、及び当該エッジスイッチ300を互いに接続するために必要なスイッチと外部ネットワーク2に接続するために必要なスイッチが、新たに提供するサービスに設定されるVLAN及び新たに提供するサービスのQoSに適用するように、これらのスイッチの構成定義を生成する(S704)。なお、構成定義生成処理については、図29で詳細を説明する。
そして、管理サーバ500は、このエッジスイッチ300の構成定義を、生成された構成定義に更新する(S705)。また、管理サーバ500は、エッジスイッチ300が外部ネットワークに接続するために必要なスイッチの構成定義を、生成された構成定義に更新する(S706)。
次に、管理サーバ500は、新たに提供するサービスを利用者ごとに、MACアドレスを生成する(S707)。なお、この場合、管理サーバ500は、MACアドレス管理情報522を参照し、未だ使用されていないMACアドレスを生成する。
そして、管理サーバ500は、端末200のエージェント230に、サービスを利用するための環境を設定する要求を送信する(S708)。なお、この要求には、生成されたMACアドレス及び新たに提供するサービスの識別子が含まれる。
なお、利用者端末200が仮想I/F262を生成する処理(S709〜S711の処理)については、図16に示すS109〜S111の処理と同じであるので説明を省略する。
エージェント230は、仮想I/F262の生成成功通知を受信した場合、サービス利用アプリケーション起動要求をサービス利用アプリケーション216に送信し(S712)、サービス利用アプリケーション216を起動させる(S713)。なお、S714の処理については、図23に示すS516の処理と同じなので説明を省略する。
そして、サービス利用アプリケーション216は、サービス利用アプリケーション216の起動が成功したことをエージェント230に通知する(S715)。
エージェント230は、サービス利用アプリケーション216の起動が成功したことを通知された場合、サービスを利用するための環境の設定が成功したことを管理サーバ500に通知する(S716)。
管理サーバ500は、サービスを利用するための環境の設定が成功したことを通知された場合、新たに提供するサービスの利用者が使用する端末200が収容されるエッジスイッチ300のフレーム振分情報321を更新するための構成定義を生成する(S717)。なお、構成定義生成処理については、図30で詳細を説明する。
そして、管理サーバ500は、このエッジスイッチ300の構成定義を、生成された構成定義に更新する(S718)。
次に、サービスの利用期間が終了した場合に、サービスの利用するための環境の設定を解除する処理について説明する。
図27は、本発明の第三実施形態のサービスを提供する環境の設定を解除する設定処理のシーケンス図である。図28は、本発明の第三実施形態のサービスの提供する環境の設定を解除する設定処理において送受信されるメッセージを説明する図である。
まず、管理サーバ500は、サービス提供者800によって指定されたサービスの利用期間が終了すると、サービスを利用するための環境の設定を解除する要求をエージェント230に送信する(S1001)。なお、この要求には、利用期間が終了したサービスの識別子及び利用期間が終了したサービスにアクセスするためのMACアドレスが含まれる。
利用期間が終了したサービスにアクセスするためのMACアドレスが管理サーバ500によって特定される方法について説明する。
まず、管理サーバ500は、MACアドレス管理情報522に登録されたエントリのうち、サービスID5223に登録された識別子が、利用期間が終了したサービスの識別子と一致するエントリを取得する。そして、管理サーバ500は、取得したエントリに含まれるMACアドレス5221に登録されたMACアドレスを、利用期間が終了したサービスにアクセスするためのMACアドレスとして特定する。
次に、エージェント230は、S1001の処理で送信された要求を受信した場合、利用期間が終了したサービスにアクセスするためのMACアドレスが設定された仮想I/F262を削除する要求をOS218に送信する(S1002)。なお、この要求には、利用期間が終了したサービスの識別子及び利用期間が終了したサービスにアクセスするためのMACアドレスが含まれる。
OS218は、利用期間が終了したサービスにアクセスするためのMACアドレスが設定された仮想I/F262を削除する要求を受信した場合、当該仮想I/F262を削除する(S1003)。
そして、OS218は、仮想I/F262の削除が成功した場合、その旨をエージェント230に通知する(S1004)。
次に、エージェント230は、利用期間が終了したサービスを利用するための環境の設定の解除が成功したことを管理サーバ500に通知する(S1005)。
管理サーバ500は、利用期間が終了したサービスを利用するための環境の設定の解除が成功したことの通知を受信した場合、利用期間が終了したサービスを提供するためのVLANを解除するために、構成定義を生成する(S1006)。
具体的には、管理サーバ500は、利用期間が終了したサービスに設定されたVLANの設定及び当該サービスのQoSの設定を削除する。また、管理サーバ500は、当該サービスの利用者の端末200を収容するエッジスイッチ300のフレーム振分情報321に登録されたエントリのうち、VLAN ID3211に登録された識別子が当該サービスに設定されたVLANの識別子と一致するエントリを削除する。
管理サーバ500は、このエッジスイッチ300が互いに接続するために必要なスイッチと外部ネットワーク2に接続するために必要なスイッチの構成定義を、生成した構成定義に更新する(S1007)。
また、管理サーバ500は、このエッジスイッチ300の構成定義を、生成された構成定義に更新する(S1008)。
図29は、本発明の第3実施形態の新たに提供するサービスに設定されるVLAN及び新たに提供するサービスのQoSに関する構成定義生成処理のフローチャートである。
まず、管理サーバ500は、認証サーバ600から利用者情報を受信した後に、構成定義処理を実行する(S801)。
管理サーバ500は、図25に示すS703の処理で更新された利用者情報521を参照し、新たに提供するサービスの利用者が使用する端末200を収容するエッジスイッチ300(SW1)を選択する(S802)。
次に、管理サーバ500は、選択したエッジスイッチ300が互いに接続するために必要なスイッチと外部ネットワーク2に接続するために必要なスイッチ(SW2)を選択する(S803)。
そして、管理サーバ500は、選択したエッジスイッチ300(SW1)に備わるポートのうち、選択したスイッチ(SW2)に接続されるポートをトランクポートに設定するように、エッジスイッチ(SW1)の構成定義を生成し、選択したスイッチ(SW2)に備わるポートのうち、選択したエッジスイッチ300(SW1)に接続されるポートに接続されるポートをトランクポートに設定するように、スイッチ(SW2)の構成定義を生成する(S804)。
管理サーバ500は、エッジスイッチ300(SW1)が、新たに提供するサービスに指定されたQoSを適用するように、エッジスイッチ300(SW1)の構成定義を生成し、スイッチ(SW2)が、新たに提供するサービスに指定されたQoSを適用するように、スイッチ(SW2)の構成定義を生成し(S805)、構成定義生成処理を終了する(S806)。
図30は、本発明の第三実施形態のエッジスイッチ300のフレーム振分情報321を更新するための構成定義生成処理のフローチャートである。
管理サーバ500は、サービスを利用するための環境の設定が成功したことの通知を受信した場合、エッジスイッチ300のフレーム振分情報321を更新するための構成定義生成処理(S717の処理)を実行する(S901)。
まず、管理サーバ500は、生成されたMACアドレスから、一つのMACアドレスを選択する(S902)。
管理サーバ500は、生成されたMACアドレス(M1)を使用する端末200を収容するエッジスイッチ300(SW1)を選択する(S903)。
具体的には、管理サーバ500は、MACアドレス管理情報522に登録されたエントリのうち、MACアドレス5221に登録された識別子が生成されたMACアドレス(M1)と一致するエントリを取得する。そして、管理サーバ500は、取得したエントリに含まれる割当利用者ID5222に登録された利用者の識別子を取得する。
次に、管理サーバ500は、利用者情報521に登録されたエントリのうち、利用者ID5211に登録された識別子が取得した利用者の識別子と一致するエントリを取得する。そして、管理サーバ500は、取得したエントリに含まれる収容エッジスイッチID5214に登録されたエッジスイッチの識別子を、生成されたMACアドレス(M1)を使用する端末200を収容するエッジスイッチ300(SW1)の識別子として、取得する。
次に、管理サーバ500は、選択されたエッジスイッチ300(SW1)のフレーム振分情報321に、エントリを新たに追加する構成定義を生成する(S904)。
追加されるエントリに含まれるVLAN ID3211には、新たに提供するサービスに設定されたVLANの識別子が登録され、S902の処理で選択されたMACアドレスが登録される。
管理サーバ500は、選択されたエッジスイッチ300(SW1)に備わるポートのうち、生成されたMACアドレス(M1)を使用する端末200に接続されるポート(P1)がMACポートであるか否かを判定する(S905)。
具体的には、管理サーバ500は、S903の処理と同じく、MACアドレス管理情報522を参照し、生成されたMACアドレス(M1)が割り当てられた利用者の識別子を取得する。そして、管理サーバ500は、認証サーバ600の利用者情報610に登録されたエントリのうち、利用者ID6101に登録された識別子が取得した利用者の識別子と一致するエントリに含まれる接続ポートID6105に登録された識別子を、ポート(P1)の識別子として取得する。そして、管理サーバ500は、トポロジ情報525を参照し、取得した識別子によって識別されるポート(P1)がMACポートであるか否かを判定する。
S905の処理で、生成されたMACアドレス(M1)を使用する端末200に接続されるポート(P1)がMACポートであると判定された場合には、S907の処理に進む。
一方、S905の処理で、生成されたMACアドレス(M1)を使用する端末200に接続されるポート(P1)がMACポートでないと判定された場合には、管理サーバ500は、ポート(P1)をMACポートに設定する構成定義を生成する(S906)。
そして、管理サーバ500は、S902〜S907の処理が実行されていない生成されたMACアドレスがあるか否かを判定する(S907)。
S902〜S907の処理が実行されていない生成されたMACアドレスがあると判定された場合には、S903の処理に戻る。
一方、S902〜S907の処理が実行されていない生成されたMACアドレスがないと判定された場合には、管理サーバ500は、構成定義処理を終了する(S908)。
(第四実施形態)
本実施形態は、提供されているサービスを変更する場合に、そのサービスを利用する利用者が使用する端末200の設定を変更せずに、サービスを利用する環境を設定する実施形態である。
本発明の第四実施形態を図31〜図33を用いて説明する。
図31は、本発明の第四実施形態の提供されているサービスを変更する場合のサービスを提供する環境の設定処理のシーケンス図である。図32は、本発明の第四実施形態の提供されているサービスを変更する場合のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。
なお、本実施形態では、図25で説明した設定処理が実行されており、サービスを提供する環境が設定されているものとする。
まず、サービス提供者800は、変更する対象となるサービスの識別子、変更先のサービスの識別子、変更する対象となるサービスを利用している利用者の識別子、及び変更先のサービスを利用する利用者の識別子を含むサービス変更要求を管理サーバ500に入力する。
なお、サービス提供者800は、変更する対象となるサービスの識別子、変更先のサービスの識別子及び利用者の識別子を複数入力してもよい。
管理サーバ500は、サービス変更要求が入力された場合、指定された利用者が使用する端末200を収容するエッジスイッチ300のフレーム振分情報321を更新するための構成定義を生成する(S1202)。なお、この構成定義処理については、図33で詳細を説明する。
そして、管理サーバ500は、指定された利用者が使用する端末200を収容するエッジスイッチ300の構成定義323を、生成された構成定義に更新する(1203)。
図33は、本発明の第四実施形態の構成定義処理のフローチャートである。
管理サーバ500は、サービス変更要求が入力されると、構成定義処理を実行する(S1301)。
管理サーバ500は、VLAN情報523を参照し、サービス変更要求に含まれる変更する対象となるサービスの識別子と一致するサービスID5232に登録された識別子を削除する(S1302)。
また、管理サーバ500は、MACアドレス管理情報522を参照し、サービス変更要求に含まれる変更する対象となるサービスの識別子と一致するサービスID5223に登録された識別子を削除し、そのエントリに含まれる割当利用者ID5222に登録された識別子も削除する。なお、削除する割当利用者ID5222に登録された識別子は、サービス変更要求に含まれる変更する対象のサービスを利用する利用者の識別子と一致する。
次に、管理サーバ500は、MACアドレス管理情報522に登録されたエントリのうち、S1302の処理で削除されたエントリに含まれる割当利用者ID5222に、サービス変更要求に含まれる変更先のサービスを利用する利用者の識別子を登録し、サービスID5223に、サービス変更要求に含まれる変更先のサービスの識別子を登録する(S1303)。
次に、管理サーバ500は、利用者情報521を参照し、変更先のサービスを利用する利用者が使用する端末200が収容される収容エッジスイッチ300(SW1)の識別子を取得する(S1304)。
管理サーバ500は、VLAN情報523を参照し、サービスID5232に登録された識別子がサービス変更要求に含まれる変更先のサービスの識別子と一致するエントリに含まれるVLAN ID5231に登録された識別子を取得する。
そして、管理サーバ500は、S1304の処理で、取得した識別子によって識別されるエッジスイッチ300(SW1)のフレーム振分情報321に登録されたエントリのうち、VLAN ID3211に登録された識別子が、取得したVLAN ID5231に登録された識別子と一致するエントリを取得する。
管理サーバ500は、取得したエントリに含まれる送信元MACアドレス3212に、S1303の処理で変更先のサービスの識別子及び変更先のサービスを利用する利用者の識別子を登録したエントリに含まれるMACアドレス5221に登録された識別子を登録するように、構成定義を生成し(S1305)、構成定義処理を終了する(S1306)。
(第五実施形態)
本実施形態では、利用者が使用する端末200を変更した場合に、変更前の端末200Aのサービスを提供する環境を変更後の端末200Bに設定する実施形態である。
図34及び図35は、本発明の第五実施形態の利用者が使用する端末200を変更する場合のサービスを提供する環境の設定処理のシーケンス図である。図36は、本発明の第五実施形態の利用者が使用する端末200を変更する場合のサービスを提供する環境の設定処理におけるメッセージを説明する図である。
まず、利用者700は、端末200Aを使用しているとする。そして、端末200Aは仮想I/F262を備える。端末200Aは、仮想I/F262を介して、サービスにアクセス可能である。その後、同じ利用者700は、端末200Bの使用を開始する。
なお、本実施形態において、エッジスイッチ300Aは、端末200Aを収容し、エッジスイッチ300Bは、端末200Bを収容する。
まず、端末200BのOS218Bは、端末200Bに備わる物理I/F261を認証するために、利用者700の認証情報の入力を利用者700に要求する(S1101)。
利用者700は、利用者700の認証情報を端末200Bに入力し、入力された利用者700の認証情報は、OS218Bに通知される(S1102)。利用者700の認証情報には、利用者700の識別子及び利用者700のパスワードが含まれる。
次に、端末200BのOS218Bは、通知された入力情報を、端末200Bに接続されるエッジスイッチ300Bに送信する(S1103)。なお、この認証情報には、利用者700の識別子及び利用者700のパスワードが含まれる。
さらに、端末200Bに接続されるエッジスイッチ300Bは、受信した認証情報を、認証サーバ600に送信する。なお、この認証情報には、利用者700の識別子、利用者700のパスワード及び端末200Bに備わる物理I/F261のMACアドレスが含まれる。
認証サーバ600は、認証情報を受信した場合、利用者700を認証する(S1105)。
具体的には、認証サーバ600は、利用者情報610に登録されたエントリのうち、利用者ID6101に登録された識別子が受信した認証情報に含まれる利用者700の識別子と一致するエントリを取得する。そして、認証サーバ600は、受信した認証情報に含まれる利用者700のパスワードが、取得したエントリに含まれるパスワード6102に登録されたパスワードと一致する場合、この利用者700を認証する。
そして、認証サーバ600は、当該エントリに含まれる収容エッジスイッチID6104に、端末200Bを収容するエッジスイッチ300Bの識別子が登録され、また、当該エントリに含まれる接続ポートには、端末200Bに接続されるエッジスイッチ300Bのポートの識別子が登録され、当該エントリに含まれるMACアドレス(物理I/F)6106には、端末200Bの識別子が登録される。
認証サーバ600は、利用者700の認証に成功した場合、認証結果をエッジスイッチ300Bに送信する(S1106)。
エッジスイッチ300Bは、認証結果を受信すると、受信した認証結果を端末200BのOS218Bに送信する(S1107)。
なお、端末200Bは、認証結果を受信すると、物理I/F261を介してネットワークに接続できる。
また、認証サーバ600は、認証通知を管理サーバ500に送信する(S1107)。
認証通知には、利用者700の識別子、エッジスイッチ300Bの識別子及び端末200Bに接続されるエッジスイッチ300Bのポートの識別子が含まれる。
管理サーバ500は、利用者700が使用していた端末200Aのエージェント230Aに、サービスを利用する環境の設定を解除する要求を送信する(S1109)。なお、この要求には、端末200Aの仮想I/F262の識別子が含まれる。
端末200Aのエージェント230Aは、S1109の処理で送信された要求を受信した場合、受信した要求に含まれる仮想I/F262を削除する要求をOS218Aに送信する(S1110)。なお、S1111〜S1112の処理は、図18に示すS607〜S608の処理と同じなので説明を省略する。
エージェント230Aは、削除成功通知を受信した場合、サービスを利用する環境の設定の解除が成功した旨を管理サーバ500に送信する(S1113)。
管理サーバ500は、S1113の処理で送信された通知を受信した場合、サービスを利用する環境を設定する要求を端末200Bのエージェント230Bに送信する(S1114)。この要求には、端末200Aの仮想I/F262に設定されていたMACアドレス及び変更先のサービスの識別子が含まれる。
エージェント230Bは、S1114の処理で送信された要求を受信した場合、受信した要求に含まれるMACアドレスの仮想I/F262を生成する要求を、OS218Bに送信する(S1115)。
次に、OS218Bは、S1115の処理で送信された要求を受信した場合、受信した要求に含まれるMACアドレスの仮想I/F262を生成する(S1116)。そして、OS218Bは、仮想I/F262を生成が終了すると、仮想I/F262の生成が成功した旨の通知をエージェント230Bに送信する(S1117)。
エージェント230Bは、S1117の処理で送信された通知を受信した場合、S1114の処理で受信した要求に含まれる変更先のサービスの識別子によって識別されるサービスを利用するサービス利用アプリケーション216Bに、サービス利用アプリケーション起動要求を送信し(S1118)、変更先のサービスを利用するサービス利用アプリケーション216Bを起動させる(S1119)。サービス利用アプリケーション起動要求には、S1116の処理で生成された仮想I/F262の識別子が含まれる。
そして、サービス利用アプリケーション216Bは、受信したサービス利用アプリケーション起動要求に含まれる仮想I/F262を使用するネットワークI/F260に設定する(S1120)。
サービス利用アプリケーション216Bは、サービス利用アプリケーション216Bの起動が成功した旨の通知をエージェント230Bに送信する(S1121)。
エージェント230Bは、S1121の処理で送信された通知を受信した場合、サービスを利用する環境の設定が成功した旨の通知を管理サーバ500に送信する(S1122)。
管理サーバ500は、S1122の処理で送信された通知を受信した場合、エッジスイッチ300Aの構成定義、エッジスイッチ300Bの構成定義並びにエッジスイッチ300A及びエッジスイッチ300Bが外部ネットワーク2に接続するために必要なスイッチの構成定義を生成する。
まず、エッジスイッチ300Aの構成定義の生成処理について具体的に説明する。
端末200Aにおいて、変更する対象となるサービスの仮想I/F262が削除されることに伴って、管理サーバ500は、エッジスイッチ300Aが端末200A以外に、変更する対象となるサービスを利用する端末200を収容しない場合、変更する対象となるサービスを提供するためのVLANを解除するために、エッジスイッチ300Aの構成定義を生成する。
具体的には、管理サーバ500は、変更する対象となるサービスに設定されたVLANの設定及び当該サービスのQoSの設定を削除するように、エッジスイッチ300Aの構成定義を生成する。
VLANの設定の解除するために、管理サーバ500は、端末200Aに接続されたエッジスイッチ300のポートにおけるMACポートの設定を解除するための構成定義を生成する。
また、管理サーバ500は、エッジスイッチ300Aのフレーム振分情報321に登録されたエントリのうち、S1114の処理で削除された仮想I/F262の識別子を送信元MACアドレス3212から削除する。これによって、エッジスイッチ300Aは、仮想I/F262のMACアドレスから受信した情報を、VLANに転送できなくなる。
次に、エッジスイッチ300Bの構成定義の生成処理について具体的に説明する。
端末200Bにおいて、変更先のサービスの仮想I/F262が生成されることに伴って、管理サーバ500は、変更先のサービスを提供するためのVLAN及び当該サービスのQoSを設定するために、エッジスイッチ200Bの構成定義を生成する。
変更先のサービスを提供するためのVLANを設定するために、端末200Bに接続されるエッジスイッチ300BのポートがMACポートではない場合に、そのポートをMACポートに設定するための構成定義を生成する。
また、管理サーバ500は、エッジスイッチ300Bのフレーム振分情報321に、変更先のサービスを提供するためのVLANの識別子のエントリを追加し、追加されたエントリに含まれる送信元MACアドレス3212に、S1116の処理で生成された仮想I/F262に設定されるMACアドレスを登録する。これによって、エッジスイッチ300Bは、仮想I/F262のMACアドレスから受信した情報を、そのMACアドレスに対応するVLANに転送できるようになる。
次に、エッジスイッチ300A及びエッジスイッチ300Bが外部ネットワーク2に接続するために経由するスイッチの構成定義の生成処理について説明する。
エッジスイッチ300Aにおいて、変更する対象となるサービスを提供していたVLANが削除されたために、管理サーバ500は、エッジスイッチ300Aが外部ネットワーク2に接続するために経由するスイッチ(第一上流スイッチ)からも、VLANの設定を削除するために、第一上流スイッチの構成定義を生成する。
具体的には、管理サーバ500は、変更する対象となるサービスに設定されたVLANの設定及び当該サービスのQoSの設定を削除するように、第一上流スイッチの構成定義を生成する。
第一上流スイッチが端末200A以外に、変更する対象となるサービスを利用する端末200を収容しない場合、VLANの設定の解除するために、管理サーバ500は、第一上流スイッチよりも下流のスイッチに接続された第一上流スイッチのポートから、変更する対象となるサービスに対応するVLANの識別子を除くための構成定義を生成する。
エッジスイッチ300Bにおいて、変更先のサービスの仮想I/F262が生成されることに伴って、管理サーバ500は、変更先のサービスを提供するためのVLAN及び当該サービスのQoSを設定するために、エッジスイッチ300Bが外部ネットワーク2に接続するために経由するスイッチ(第二上流スイッチ)の構成定義を生成する。
変更先のサービスを提供するためのVLANを設定するために、第二上流スイッチよりも下流のスイッチに接続された端末200Bに接続される第一上流スイッチのポートがトランクポートでない場合に、そのポートをトランクポートに設定し、変更先のサービスを提供するためのVLANの識別子を追加するための構成定義を生成する。
特許請求の範囲に記載した以外の本発明の観点の代表的なものとして、次のものがあげられる。
(1)管理計算機は、生成された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースから送信されたフレームを特定のVLANへの転送を解除するように、転送装置を設定することを特徴とする。
(2)利用者端末は、生成された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースから送信されたフレームを特定のVLANへの転送を解除するように、転送装置が設定された場合に、仮想ネットワークインタフェースを削除することを特徴とする。
(3)管理計算機は、サービスのVLANへの割り当て及びサービスのQoSの保証を解除するように転送装置を設定することを特徴とする。
本発明の一形態によると、レイヤ2レベルで分離されたサービスが提供されるので、端末が複数のVLANに同時にアクセスできる。これにより、サービスごと、及び利用者ごとに異なる品質のサービスを同一のネットワークによって提供できる。
サービス提供者がサービスのQoS、端末がアクセス可能な範囲、サービスを利用する利用者、及びサービスの利用期間を指定し、サービスを提供する環境を構築及び解除できる。