JP5059473B2 - ネットワークシステム、管理計算機及び利用者端末 - Google Patents

ネットワークシステム、管理計算機及び利用者端末 Download PDF

Info

Publication number
JP5059473B2
JP5059473B2 JP2007109221A JP2007109221A JP5059473B2 JP 5059473 B2 JP5059473 B2 JP 5059473B2 JP 2007109221 A JP2007109221 A JP 2007109221A JP 2007109221 A JP2007109221 A JP 2007109221A JP 5059473 B2 JP5059473 B2 JP 5059473B2
Authority
JP
Japan
Prior art keywords
user
user terminal
mac address
service
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007109221A
Other languages
English (en)
Other versions
JP2008271015A (ja
Inventor
洋司 小澤
英樹 沖田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007109221A priority Critical patent/JP5059473B2/ja
Publication of JP2008271015A publication Critical patent/JP2008271015A/ja
Application granted granted Critical
Publication of JP5059473B2 publication Critical patent/JP5059473B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークシステムの設定に関し、特にサービスを提供する環境を設定するネットワークシステムに関する。
近年、企業内の様々な業務は、ネットワークを利用して遂行される。業務を遂行するためのサービス(例えば、IP電話、TV会議及びE−mail等)が快適に利用されるために、ネットワークは、各サービスが要求する通信品質を保証しなければならい。また、ネットワークは、利用者がアクセス可能なネットワークの範囲を管理しなければならない。ネットワークによって、通信品質及びアクセス範囲が適切に管理されるサービスをマネージドサービスという。
具体的には、マネージドサービスは、以下の特徴を持つ。
第一に、ネットワークがサービス毎に優先度を制御し、サービス毎に帯域を制御することによって、QoS(Quality of Service)が制御される。これによって、サービス毎に通信品質が管理される。
第二に、サービス毎に利用者がアクセス可能なネットワークの範囲が管理される。例えば、サービスの利用者の利用者端末のWAN(Wide Area Network)へのアクセス及び特定のサーバへのアクセスが管理される。
次に、マネージドサービスを運用するネットワークシステム(マネージドサービス運用システム)について説明する。
本発明の代表的な一形態によると、フレームを転送する転送装置、及び前記転送装置によって構成されるネットワークに接続され、前記ネットワークを管理する管理計算機を備えるネットワークシステムであって、前記ネットワークは、前記転送装置がVLAN識別子によって識別される一つ又は複数のVLANを収容するネットワークであり、前記管理計算機は、仮想MACアドレスを生成し、前記生成された仮想MACアドレスを前記転送装置に接続される利用者端末に通知し、前記利用者端末が利用するVLANの識別子と前記生成された仮想MACアドレスとの対応関係を、前記利用者端末が接続される転送装置に設定し、前記利用者端末は、前記通知された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースを生成し、前記転送装置は、前記生成された仮想ネットワークインタフェースから送信されたフレームを受信し、前記管理計算機によって設定された対応関係を参照し、前記受信したフレームを前記生成された仮想MACアドレスに対応するVLANに転送することを特徴とする。
また、マネージドサービス運用システムは、利用者ごとに異なる通信品質及びアクセス可能範囲でマネージドサービスを提供する。このため、利用者が識別されることによって、利用者単位でサービスの提供を制御できる。
さらに、マネージドサービス運用システムは、サービス提供者からのサービス提供要求によって、ネットワークにマネージドサービスを提供する環境を構築する。サービス提供者は、サービスのQoS、利用者端末がアクセス可能な範囲、マネージドサービスを利用する利用者、サービスの利用期間を指定できる。マネージドサービス運用システムは、サービス提供者からマネージドサービスの提供を解除する要求を受けた場合、及び指定された利用期間が終了した場合、マネージドサービスを提供する環境を解除する。
マネージドサービス運用システムは、同一のネットワークにおいて複数のマネージドサービスを提供するために、VLAN(Virtual Local Area Network)を利用する。VLANは、ネットワーク上における論理的なLAN(Local Area Network)である。各VLANは、それぞれ分離している。そして、マネージドサービス運用システムは、VLAN単位でQoSを制御することによって、通信品質を保証できる。また、VLANの範囲が、利用者端末がアクセス可能な範囲である。
よって、マネージドサービス運用システムは、複数のVLANを生成し、生成されたVLANごとにQoSを設定する。そして、マネージドサービス運用システムは、生成された各VLANにマネージドサービスを割り当てる。これによって、同一のネットワーク上で複数のマネージドサービスを提供できる。

そして、VLANを利用してマネージドサービスを提供する場合に、一台の利用者端末が複数のマネージドサービスを利用するために、利用者端末は、複数のVLANに同時にアクセスする必要がある。
一台の利用者端末が複数のVLANにアクセスする方法として、特許文献1及び特許文献2に開示された方法が知られている。
特許文献1に開示された方法について説明する。
利用者端末と利用者端末がアクセスするVLANとの間にアクセスゲートウェイが設置される。そして、アクセスゲートウェイは、利用者端末がアクセスするVLANが特定された認証要求を利用者端末から受信すると、アクセスゲートウェイの端末認証部は、特定されたVLANに、その利用者端末が特定されたVLANにアクセスできるか否かを認証する。
そして、利用者端末が特定されたVLANにアクセスできると認証された場合、アクセスゲートウェイのセッション管理部は、利用者端末が特定されたVLANにアクセスできるように、インタフェースドライバに対して仮想インタフェースを生成し、ルーティングテーブルに、利用者端末が送受信するパケットを転送するための設定をする。
次に、特許文献2に開示された方法について説明する。
試験ユニット、試験対象転送装置、及び試験ユニットと試験対象ネットワークとの間に接続されたスイッチから構成される転送装置試験用装置は、スイッチの試験ユニットとの接続ポートにタグ付きVLANを設定し、試験ユニットのスイッチとの接続ポートにタグ付きVLANに対応する仮想インタフェースを設定する。これにより。試験ユニットは、スイッチに設定された複数のVLANにアクセスできる。
特開2005−142702号公報 特開2005−109827号公報
マネージドサービスを運用する場合、特許文献1に開示された方法には、以下の第一及び第二の課題ある。また、特許文献2に開示された方法には、以下の第三の課題がある。
第一の課題は、レイヤ2レベルの処理で、送受信されるパケットをVLANに振り分けることができないことである。
第二の課題は、サービス提供者又はネットワークの管理者が利用者端末のVLANへのアクセスを制御できないことである。
第三の課題は、利用者端末単位でVLANへのアクセスを制御できないことである。
まず、第一の課題について説明する。
特許文献1に開示された方法では、アクセスゲートウェイが、利用者端末のIPアドレスと、利用者端末がアクセスするVLANのIPアドレス空間を対応付けたルーティングテーブルを参照し、利用者端末によって送信されたパケットの送信元のIPアドレスから、転送先のVLANを決定する。つまり、特許文献1に開示された方法では、レイヤ3レベルの処理が実行されることによって、利用者端末が複数のVLANにアクセスすることを実現する。
このため、特許文献1に開示された方法では、利用者端末がアクセスする複数のVLANの間で、送信元IPアドレスの重複した場合、送信元のIPアドレスを用いて、転送先のVLANを決定できないため、通信できなくなってしまう。
利用者毎に要求の異なるマネージドサービスが提供される場合、マネージドサービスに対応付けられたVLANの数が多くなる。そして、これらのVLAN間でそれぞれのIPアドレスが重複しないように、IPアドレスの割り当てを設計する必要があり、その設定作業は煩雑である。
一方、レイヤ2レベルの処理で送受信されるパケットをVLANに振り分ける場合には、ネットワークがレイヤ2レベルで分離されている。このため、アクセス先のVLAN間のIPアドレスが重複していても、通信を行うことができる。
次に、第二の課題について説明する。
特許文献1に開示された方法では、利用者端末がVLANにアクセスするためには、利用者がアクセスゲートウェイに要求を出す必要がある。よって、サービス提供者が、指定した利用者端末のVLANへのアクセスを可能にし、サービスを提供することができない。
一方、マネージドサービス運用システムでは、サービス提供者が、利用者を指定してサービスを提供する。したがって、利用者からの要求だけではなく、サービス提供者からのアクセス要求に対応できる必要がある。
次に、第3の課題について説明する。
特許文献2に開示された方法では、タグ付きVLANを利用し、一台の利用者端末から複数のVLANへアクセスする。しかし、スイッチがスイッチングハブ等を介して複数の利用者端末を一つのポートで収容する場合、複数の利用者端末が同じVLANにアクセスしようとする時、複数の利用者端末間で同一のVLANの識別子が利用されるため、利用者端末単位でVLANへのアクセスを制御できない。
本発明は、上記3つの問題点を解決し、以下の第一〜第三の目的を実現するネットワークシステムを提供する。
第一の目的は、レイヤ2レベルの処理で、パケットをVLANへ振り分けられることによって、一台の利用者端末が複数のVLANへ同時にアクセスできることである。
第二の目的は、利用者端末単位でサービスへのアクセスを制御できることである。
第三の目的は、サービス提供者がサービスのQoS、利用者端末のアクセス可能な範囲、及びサービスを利用する利用者を指定して、サービス提供者からの要求によってサービスの提供を開始できることである。また、必要に応じて、サービス提供者がマネージドサービスの提供を停止できる。
本発明の代表的な一形態によると、フレームを転送する転送装置、及び前記転送装置によって構成されるネットワークに接続され、前記ネットワークを管理する管理計算機を備えるネットワークシステムであって、前記ネットワークは、前記転送装置がVLAN識別子によって識別される一つ又は複数のVLANを収容するネットワークであり、前記管理計算機は、仮想MACアドレスを生成し、前記転送装置は、前記生成された仮想MACアドレスが割り当てられる仮想ネットワークインタフェースから送信されたフレームを受信し、前記受信したフレームを前記生成された仮想MACアドレスに対応するVLANに転送することを特徴とする。
本発明の一形態によると、送受信されるフレームをMACアドレスによってVLANに振り分けるので、利用者端末単位でサービスを提供できる。
(第一実施形態)
本発明の第一実施形態を図1〜図22を用いて説明する。
図1は、本発明の第一実施形態のネットワークシステムの構成を示す図である。
ネットワークシステムは、内部ネットワーク1及び外部ネットワーク2を含む。内部ネットワーク1と外部ネットワーク2は、互いに接続される。
内部ネットワーク1には、スイッチ100、エッジスイッチ300A及び300B、端末200A〜200D、スイッチングハブ400、管理サーバ500及び認証サーバ600が接続される。なお、エッジスイッチ300A及び300Bを総称してエッジスイッチ300といい、端末200A〜200Dを総称して端末200という。さらに、スイッチ100及びエッジスイッチ300を総称して、スイッチという。なお、内部ネットワーク1は、スイッチによって構成される。
スイッチ100は、エッジスイッチ300A、エッジスイッチ300B、管理サーバ500及び認証サーバ600に接続される。エッジスイッチ300Aは、端末200A及び端末200Bに接続される。
エッジスイッチ300Bは、スイッチングハブ400に接続される。そして、スイッチングハブ400は、端末200C及び端末200Dに接続される。つまり、エッジスイッチ300Bは、スイッチングハブ400を介して端末200C及び端末200Dに接続される。
管理サーバ500は、内部ネットワーク1を管理する計算機である。管理サーバ500については、図3で詳細を説明する。
スイッチは、ネットワーク内で通信される情報を、その情報の宛先に転送する装置である。なお、スイッチ100及びエッジスイッチ300は同じ構成であり、端末200に直接接続されるスイッチ及び端末200にスイッチングハブ400を介して接続されるスイッチをエッジスイッチ300という。
スイッチ100及びエッジスイッチ300は、複数のポートを備える。各ポートは、端末認証機能を備える。そして、端末認証機能が有効化されたポートは、そのポートに接続される端末200のネットワークへのアクセスを制御する。
スイッチ100は、ポート1〜6を備える。エッジスイッチ300は、ポート1〜4を備える。
スイッチ100のポート1は、エッジスイッチ300Aのポート4に接続される。スイッチ100のポート3は、エッジスイッチ300Bのポート4に接続される。スイッチ100のポート4は、認証サーバ600に接続される。スイッチ100のポート5は、管理サーバ500に接続される。スイッチ100のポート6は、外部ネットワーク2に接続される。
エッジスイッチ300Aのポート1は、端末200Aに接続される。エッジスイッチ300Aのポート2は、端末200Bに接続される。エッジスイッチ300Bのポート2は、スイッチングハブ400に接続される。
なお、本実施形態では、ネットワークはスイッチによって構成されるとしたが、ネットワークはルータによって構成されてもよい。
端末200は、利用者が使用する計算機であり、ネットワークにアクセスする計算機である。なお、端末200については、図8で詳細を説明する。
認証サーバ600は、端末200がネットワークに接続する権限を有するか否かを認証する計算機である。認証サーバ600は、図示しないCPU、記憶部及びネットワークインタフェースを備える。
図2は、本発明の第一実施形態の論理的なネットワークシステムの構成を示す図である。
端末200は、エッジスイッチ300を介して、論理的なネットワークであるVLAN(Virtual Local Area Network)3(3A〜3C)に接続される。
端末200は、エージェント230、サービス利用アプリケーション216(216A、216B)、物理ネットワークインタフェース(I/F)261、仮想インタフェース(I/F)262(262A及び262B)を備える。
仮想I/F262は、エージェント230により生成され、管理サーバ500によって生成されたMACアドレスが割り当てられる。また、エッジスイッチ300は、管理サーバ500によって生成されたMACアドレスによって、受信したフレームを特定のVLANに転送する。これによって、例えば、サービス利用アプリケーション216Aは、仮想I/F262Aを利用することによって、VLAN3Bにアクセスし、サービス利用アプリケーション216Bは、仮想I/F262Bを利用することによって、VLAN3Cにアクセスできる。これによって、利用者端末は、同時に複数のVLANにアクセスができる。
図3は、本発明の第一実施形態の管理サーバ500のブロック図である。
管理サーバ500は、CPU550、外部記憶570、I/O(Input/Output)インタフェース(I/F)580及びネットワークインタフェース(I/F)560を備える。
管理サーバ500は、ネットワークI/F560を介してネットワークに接続される。管理サーバ500は、ネットワークに接続される他の装置及び端末200と情報を、ネットワークI/F560を介して送受信する。
CPU550は、メモリ510に記憶される各プログラムを実行する。
メモリ510には、利用者認証プログラム511、MACアドレス生成プログラム512、端末場所情報特定プログラム513、構成定義生成プログラム514、構成定義更新プログラム515、MACアドレス通知プログラム516、利用者情報取得プログラム517、利用者情報521、MACアドレス管理情報522、VLAN情報523、サービスレベル情報524、トポロジ情報525及び構成定義526が記憶される。
利用者認証プログラム511は、仮想MACアドレスの生成を要求する利用者を、利用者情報を参照し、端末200から送信される利用者ID及びパスワードを用いて、端末200の利用者が利用者情報に登録された利用者であるか否かを認証する。MACアドレス生成プログラム512は、端末200からの要求により、MACアドレス管理情報522を参照し、未使用の仮想MACアドレスを生成する。端末場所情報特定プログラム513は、端末200が収容されるエッジスイッチ300と、そのエッジスイッチ300に備わるポートのうち端末200が接続されるポート(端末の場所)を特定する。なお、この処理は、図20で詳細を説明する。
構成定義生成プログラム514は、各スイッチの動作を定義する構成定義を生成する。構成定義更新プログラム515は、各スイッチの構成定義を生成された構成定義に更新する。MACアドレス通知プログラム516は、生成された仮想MACアドレスを、仮想MACアドレスを生成する要求を送信した端末200に通知する。利用者情報取得プログラム517は、認証サーバ600から利用者情報610を取得する。
利用者情報521は、利用者の認証状態、利用者の利用する端末の場所及び端末の物理的なMACアドレス等を示す情報を管理する。なお、利用者情報521については、図4で詳細を説明する。
MACアドレス管理情報522は、生成した仮想MACアドレスとこの仮想MACアドレスに割り当てられたユーザとの関係を管理する。なお、MACアドレス管理情報522は、図5で詳細を説明する。
VLAN情報523は、VLANと、そのVLANによって提供されるサービスとの関係を管理する。なお、VLAN情報523については、図6で詳細を説明する。
サービスレベル情報524は、ネットワークによって提供されるサービスごとの通信品質と利用者がアクセス可能な範囲を管理する。なお、サービスレベル情報524については、図7で詳細を説明する。
トポロジ情報525は、内部ネットワーク1を管理するスイッチの接続関係を管理する。構成定義526は、内部ネットワーク1を管理するスイッチの構成定義を更新するための設定ファイルである。
図4は、本発明の第一実施形態の利用者情報521を説明する図である。
利用者情報521は、利用者ID5211、パスワード5212、認証状態5213、収容エッジスイッチID5214及び端末のMACアドレス5215を含む。
利用者ID5211には、管理サーバ500が利用者を認証するために用いる利用者の一意な識別子が登録される。パスワード5212には、管理サーバ500が利用者を認証するために用いるパスワードが登録される。
認証状態5213には、利用者が認証されているか、未だ認証されていないかを示す情報が登録される。認証状態5213には、利用者が認証されている場合には、「認証済み」が登録され、利用者が未だ認証されていない場合には、「未認証」が登録される。
収容エッジスイッチID5214には、認証された利用者が使用する端末200が収容されるエッジスイッチ300の一意な識別子が登録される。端末のMACアドレス5215には、認証済みの利用者が使用する端末200の物理的なMACアドレスが登録される。
なお、認証状態5213に「未認証」が登録されているエントリに含まれる収容エッジスイッチID5214及び端末のMACアドレス5215には、何も登録されない。
図5は、本発明の第一実施形態のMACアドレス管理情報522を説明する図である。
MACアドレス管理情報522には、MACアドレス5221、割当利用者ID5222及びサービスID5223を含む。
MACアドレス5221には、管理サーバ500によって生成されたMACアドレスが登録される。割当利用者ID5222には、そのMACアドレスが割り当てられた利用者の一意な識別子が登録される。サービスID5223には、そのMACアドレスが割り当てられたサービスの一意な識別子が登録される。
図6は、本発明の第一実施形態のVLAN情報523を説明する図である。
VLAN情報523は、VLAN ID5231、サービスID5232及び利用者ID5233を含む。
VLAN ID5231には、内部ネットワークに定義されたVLANの一意な識別子が登録される。サービスID5232は、そのVLANによって提供されるサービスの一意な識別子が登録される。利用者ID5233には、そのVLANによって提供されるサービスを利用可能な利用者の一意な識別子が登録される。
図7は、本発明の第一実施形態のサービスレベル情報524を説明する図である。
サービスレベル情報は、サービスID5241、QoS(Quality of Service)レベル5242及びアクセス範囲5243を含む。
サービスID5241には、ネットワークによって提供されるサービスの一意な識別子が登録される。QoSレベル5242には、サービスごとの通信品質が登録される。
具体的には、QoSレベル5264は、転送優先度及び帯域保証を含む。転送優先度は、サービスにおける情報を転送する内部ネットワーク1内での優先度を示す数字が登録される。なお、登録された転送優先度の数字が大きい方が、対応するサービスにおける情報の転送が内部ネットワーク1内で優先される。
帯域保証には、サービスによって使用される帯域が保証されるか否かを示す情報が登録され、サービスによって使用される帯域が保証される場合には、最低保証する帯域幅の値が登録される。
アクセス範囲5243には、サービスの利用者がアクセス可能な範囲が登録される。例えば、アクセス範囲5243には、利用者がアクセス可能なサーバ、及び利用者が外部ネットワーク2にアクセスできるか否かを示す情報等が登録される。
図8は、本発明の第一実施形態の端末200のブロック図である。
端末200は、CPU250、メモリ210、外部記憶270、I/O(Input/Output)インタフェース(I/F)280、ネットワークインタフェース(I/F)260を備える。ネットワークI/F260は、物理ネットワークインタフェース(物理I/F)261及び1つ又は複数の仮想ネットワークインタフェース(仮想I/F)262を含む。
端末200は、ネットワークI/F260を介してネットワークに接続される。端末200は、ネットワークに接続している他の装置及び端末200とネットワークI/F260を介して情報を送受信する。
CPU250は、メモリ210に記憶される各プログラムを実行する。
メモリ210には、エージェント230、サービス利用アプリケーション216、仮想OS(Operating System)217、OS218、I/F情報221、アプリケーション情報222及びサービスレベル情報223が記憶される。エージェント230は、GUI生成プログラム211、MACアドレス要求プログラム212、仮想I/F生成プログラム213、仮想I/F使用設定プログラム214、アプリケーション起動プログラム215を含む。
GUI生成プログラム211は、利用者に対して、GUI(Graphical User Interface)を提供する。
MACアドレス要求プログラム212は、管理サーバ500に対して、仮想MACアドレスの生成を要求する。
仮想I/F生成プログラム213は、管理サーバ500から通知された仮想MACアドレスに割り当てられた仮想I/F262を生成する。
仮想I/F使用設定プログラム214は、サービス利用アプリケーション216又は仮想OS217が使用するネットワークI/F260を、仮想I/F生成プログラム213によって生成された仮想I/F262に設定する。
アプリケーション起動プログラム215は、サービス利用アプリケーション216を起動する。
サービス利用アプリケーション216は、ネットワークによって提供されるサービスを利用するアプリケーションプログラムである。例えば、サービス利用アプリケーション216は、電話用プログラム及びTV会議用プログラム等である。
OS218は、端末200の基本的な制御をする。仮想OS217は、仮想的なOSである。
I/F情報221は、仮想I/F262と、仮想I/F262に設定されたMACアドレス及びサービスとの関係とを管理する。なお、I/F情報221については、図9で詳細を説明する。
アプリケーション情報222は、サービス利用アプリケーション216とサービス利用アプリケーション216が利用するサービスとの関係を管理する。なお、アプリケーション情報222については、図10で詳細を説明する。
サービスレベル情報223は、サービス利用アプリケーション216によって利用されるサービスごとの通信品質及びアクセス範囲を管理する。なお、サービスレベル情報223については、図11で詳細を説明する。
図9は、本発明の第一実施形態のI/F情報221を説明する図である。
I/F情報221は、I/F ID2211、MACアドレス2212及びサービスID2213を含む。
I/F ID2211には、仮想I/F262の一意な識別子が登録される。MACアドレス2212には、仮想I/F262に設定された仮想MACアドレスが登録される。サービスID2213には、仮想I/F262に設定されたサービスを一意な識別子が登録される。
図10は、本発明の第一実施形態のアプリケーション情報222を説明する図である。
アプリケーション情報222は、アプリケーションID2221及びサービスID2222を含む。
アプリケーションID2221には、サービス利用アプリケーション216の一意な識別子が登録される。サービスID2222には、サービス利用アプリケーション216によって利用されるサービスの一意な識別子が登録される。
図11は、本発明の第一実施形態のサービスレベル情報223を説明する図である。
サービスレベル情報223は、サービスID2231、QoSレベル2232及びアクセス範囲2233を含む。
サービスID2231には、サービス利用アプリケーション216によって利用されるサービスの一意な識別子が登録される。QoSレベル2232及びアクセス範囲2233は、図7に示すQoSレベル5242及びアクセス範囲5243と同じなので、説明を省略する。
図12は、本発明の第一実施形態のエッジスイッチ300のブロック図である。
エッジスイッチ300は、CPU350、メモリ310、外部記憶370、I/O(Input/Output)インタフェース(I/F)380、パケット・フレーム転送機能部360を備える。
CPU350は、メモリ310に記憶された各プログラムを実行する。
メモリ310には、フレーム振分処理プログラム311、端末認証プログラム312、構成定義処理プログラム313、フレーム振分情報321、MACアドレス情報322及び構成定義323が記憶される。
フレーム振分処理プログラム311は、フレーム振分情報321を参照し、送信元のMACアドレスに対応するVLANにフレームを転送する。
端末認証プログラム312は、エッジスイッチ300に接続された端末200を使用する利用者から利用者を認証する要求を受信した場合、受信した認証要求を認証サーバ600に送信する。また、端末認証プログラム312は、認証サーバ600によって利用者が認証された場合、フレーム振分情報321に端末200のMACアドレスと、認証サーバ600から認証成功結果と共に通知される振分先VLANの識別子とを登録する。これによって、端末200がネットワークに接続できるようになる。
構成定義処理プログラム313は、構成定義323の設定情報をパケット・フレーム転送機能部360に設定する。
パケット・フレーム転送機能部360は、フレームをMACポートに設定したポートで受信した場合、フレーム振分処理プログラム311の処理に従って、送信元のMACアドレスに対応するVLANに受信したフレームを転送する。また、パケット・フレーム転送機能部360は、フレームをトランクポートで受信した場合、受信したフレームのVLANタグに含まれるVLAN IDとMACアドレス情報322を参照し、送信元のMACアドレスに対応するエッジスイッチ300に備わるポートに受信したフレームを転送する。
VLANタグがスタックされている場合、スタックされた全てのVLANタグの情報を用いることができる。
フレーム振分情報321は、送信元の端末200のMACアドレスとそのMACアドレスに対応するVLANとの関係を管理する。
MACアドレス情報322は、VLANごとの送信元の端末200のMACアドレスとそのMACアドレスに対応するエッジスイッチ300に備わるポートとの関係を管理する。
構成定義323は、管理サーバ500から送信された構成定義を格納する。
なお、スイッチ100もエッジスイッチ300と同じ構成である。
図13は、本発明の第一実施形態のフレーム振分情報321を説明する図である。
フレーム振分情報321は、VLAN ID3211及び送信元MACアドレス3212を含む。
VLAN ID3211には、フレームが転送されるVLANの識別子が登録される。送信元MACアドレス3212には、各VLANに転送されるフレームを送信した端末200のMACアドレスが登録される。なお、送信元MACアドレス3212に登録されるMACアドレスには、物理I/F261に設定されたMACアドレスが少なくとも一つ含まれる。本実施形態では、VLAN ID「10」に対応する送信元MACアドレス3212に登録されるMACアドレスは、物理I/F261に設定されたMACアドレスである。
よって、フレーム振分処理プログラム311は、フレーム振分情報321を参照することによって、送信元の端末200のMACアドレスに対応するVLANに、受信したフレームを転送できる。
図14は、本発明の第一実施形態のMACアドレス情報322を説明する図である。
MACアドレス情報322は、VLAN ID3221、ポートID3222及び送信元MACアドレス3223を含む。
VLAN ID3221には、VLANの識別子が登録される。ポートID3222には、フレームが転送されるポートの識別子が登録される。送信元MACアドレス3223には、各ポートに転送されるフレームの転送先MACアドレスを持つ端末200のMACアドレスが登録される。なお、送信元MACアドレス3223に登録されるMACアドレスは、物理I/F261に設定されたMACアドレスでも、仮想I/F262に設定されたMACアドレスでもよい。
図15は、本発明の第一実施形態の認証サーバ600に記憶される利用者情報610を説明する図である。
利用者情報610は、利用者ID6101、パスワード6102、認証状態6103、収容エッジスイッチID6104、接続ポートID6105、MACアドレス(物理I/F)6106を含む。
利用者ID6101は、利用者の一意な識別子である。パスワード6102は、認証サーバ600が利用者を認証するために用いるパスワードが登録される。
認証状態6103には、利用者が認証されているか、未だ認証されていないかを示す情報が登録される。認証状態6103には、利用者が認証されている場合には、「認証済み」が登録され、利用者が未だ認証されていない場合には、「未認証」が登録される。
収容エッジスイッチID6104には、認証された利用者が使用する端末200が収容されるエッジスイッチ300の一意な識別子が登録される。接続ポートID6105には、エッジスイッチ300に備わるポートのうち、認証された利用者によって使用される端末200に接続されるポートの一意な識別子が登録される。MACアドレス(物理I/F)6106には、認証済みの利用者が使用する端末200に備わる物理I/F261に設定される物理MACアドレスが登録される。
なお、認証状態6103に「未認証」が登録されているエントリに含まれる収容エッジスイッチID6104、接続ポートID6105及びMACアドレス(物理I/F)6106には、何も登録されない。
次に、利用者700がサービスの利用を新たに要求する場合のネットワークの構築処理について、図16及び図17を用いて説明する。
図16は、本発明の第一実施形態の利用者がサービスを提供する環境の設定処理のシーケンス図である。図17は、本発明の第一実施形態の利用者がサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。
利用者700が使用する端末200の物理I/F261は認証済みであるものとする。
まず、利用者700は、サービスを新たに利用する要求するサービス利用要求をエージェント230に入力する(S101)。
エージェント230は、サービス利用要求が入力された場合、新たにMACアドレスを作成させるMACアドレス要求を管理サーバ500に送信する(S102)。MACアドレス要求には、利用者700の利用者ID、パスワード、利用するサービスの一意な識別子及びスイッチの物理I/F261に設定される物理MACアドレスが含まれる。
管理サーバ500は、MACアドレス要求を受信した場合、利用者700を認証する(S103)。具体的には、管理サーバ500は、利用者情報521を参照し、MACアドレス要求に含まれる利用者ID及びパスワードが、それぞれ利用者情報521に含まれる利用者ID5211及びパスワード5212と一致するか否かを判定する。
管理サーバ500は、利用者700が認証された場合、MACアドレス管理情報522を参照し、未使用のMACアドレスを生成する(S104)。具体的には、管理サーバ500は、MACアドレス管理情報522に含まれるMACアドレス5221に登録されていないMACアドレスを生成する。
一方、管理サーバ500は、利用者700が認証されなかった場合、その旨を端末200に通知する。
管理サーバ500は、利用者700が使用する端末200の場所情報を特定する(S105)。なお、この端末場所情報特定処理については、図20で詳細を説明する。
管理サーバ500は、利用者700が使用する端末200が収容されるエッジスイッチ300のフレーム振分情報321を更新するための構成定義を生成する(S106)。なお、構成定義生成処理については、図21で詳細を説明する。
管理サーバ500は、エッジスイッチ300のフレーム振分情報321を生成した構成定義に基づいて更新する(S107)。
また、管理サーバ500は、生成したMACアドレスをエージェント230に通知する(S108)。
通知を受信したエージェント230は、仮想I/F生成要求をOS218に送信する。(S109)そして、仮想I/F生成要求を受信したOS218は、仮想I/F262を生成する(S110)。
OS218は、仮想I/Fの生成が成功した場合、エージェント230に生成成功を通知する(S111)。
そして、エージェント230は、I/F情報221に、新たに生成された仮想I/F262のエントリを追加する。このエントリに含まれるMACアドレス2212には、S104の処理で生成されたMACアドレスが登録される。また、このエントリに含まれるサービスID2213には、利用者700が利用を要求したサービスの識別子が登録される。
次に、利用者700がサービスの利用の解除を要求する場合のネットワークの構築処理について、図18及び図19を用いて説明する。
図18は、本発明の第一実施形態の利用者がサービスを提供する環境の設定を解除する設定処理のシーケンス図である。図19は、本発明の第一実施形態の利用者がサービスを提供する環境の設定を解除する設定処理において送受信されるメッセージを説明する図である。なお、利用者700は、認証済みである。
まず、利用者700は、サービスの利用の解除を要求するサービス解除要求をエージェント230に入力する(S601)。サービス解除要求には、サービスを解除するサービスの一意な識別子が含まれる。
エージェント230は、サービス解除要求が入力された場合、サービスの利用を解除するサービス利用解除要求を管理サーバ500に送信する(S602)。サービス利用解除要求には、解除するサービスに設定された仮想I/F262に割り当てられたMACアドレスが含まれる。具体的には、エージェント230は、I/F情報221を参照し、サービスID2213に登録されるサービスの識別子がサービス解除要求に含まれるサービスの識別子と一致するエントリに含まれるMACアドレス2212に登録されたMACアドレスを取得する。そして、エージェント230は、取得したMACアドレスをサービス利用解除要求に含める。
管理サーバ500は、サービス利用解除要求を受信した場合、利用者700が使用する端末200が収容されるエッジスイッチ300のフレーム振分情報321に含まれる送信元MACアドレス3212に登録されたMACアドレスから、受信したサービス利用解除要求に含まれるMACアドレスを削除した構成定義を生成する(S603)。
管理サーバ500は、エッジスイッチ300のフレーム振分情報321を、生成した構成定義に基づいて更新する(S604)。
管理サーバ500は、エッジスイッチ300のフレーム振分情報321の更新が成功した場合、サービス利用解除成功通知をエージェント230に送信する(S605)。
サービス利用解除成功通知を受信したエージェント230は、仮想I/F削除要求をOS218に送信する(S606)。
なお、仮想I/F削除要求には、削除する仮想I/F262の識別子が含まれる。具体的には、エージェント230は、I/F情報221を参照し、削除するMACアドレスに割り当てられた仮想I/F262の識別子を取得する。そして、エージェント230は、取得した仮想I/F262の識別子を仮想I/F削除要求に含める。
そして、仮想I/F削除要求を受信したOS218は、仮想I/F262を削除する(S607)。
OS218は、仮想I/Fの削除が成功した場合、エージェント230に削除成功を通知する(S608)。
そして、エージェント230は、I/F情報221に登録されたエントリから、削除された仮想I/F262のエントリを削除する。
図20は、本発明の第一実施形態の端末場所情報特定処理のフローチャートである。
管理サーバ500は、図16に示すS104の処理で、MACアドレスを生成した後に、端末場所情報特定処理を実行する(S201)。
まず、管理サーバ500は、エッジスイッチ300を一つ選択する(S202)。そして、管理サーバ500は、選択したエッジスイッチ300から、MACアドレス情報232に登録されたすべてのエントリを取得する(S203)。
管理サーバ500は、選択したエッジスイッチ300がMACアドレス生成要求を送信した端末200と接続されているか否かを判定するために、取得したMACアドレス情報232に登録されたエントリに含まれる送信元MACアドレス3223に、MACアドレス生成要求を送信した端末200に備わる物理I/F261に設定されたMACアドレスが登録されているか否かを判定する(S204)。
取得したMACアドレス情報232に登録されたすべてのエントリに含まれる送信元MACアドレス3223に、MACアドレス生成要求を送信した端末200に備わる物理I/F261に設定されたMACアドレスが登録されていない場合、選択されたエッジスイッチ300はMACアドレス生成要求を送信した端末200と全く接続されないので、S203の処理に戻る。
一方、取得したMACアドレス情報232に登録されたエントリに含まれる送信元MACアドレス3223に、MACアドレス生成要求を送信した端末200に備わる物理I/F261に設定されたMACアドレス(M1)が登録されている場合、選択したエッジスイッチ300はMACアドレス生成要求を送信した端末200と他のスイッチを介さずに接続されているか否かを判定する(S205)。具体的には、管理サーバ500は、MACアドレス(M1)から送信された情報が転送される選択したエッジスイッチ300の転送先ポート(P1)の識別子を取得する。
そして、管理サーバ500は、選択したエッジスイッチ300の構成定義323を参照し、取得した識別子によってポートがトランクポートであるか否かを判定する。なお、トランクポートは、受信フレームのVLANタグに含まれるVLAN IDに基づき、対応するVLANに転送を行うポートのことをいう。当該ポートがトランクポートではない場合にはS206の処理に進み、当該ポートがトランクポートの場合にはS202の処理に戻る。
MACアドレス(M1)に対応する転送先ポート(P1)がトランクポートである場合には、選択したエッジスイッチ300は、MACアドレス生成要求を送信した端末200と他のスイッチを介して接続されているので、S202の処理に戻る。
一方、MACアドレス(M1)に対応する転送先ポート(P1)がトランクポートでない場合には、選択したエッジスイッチ300は、MACアドレス生成要求を送信した端末200と他のスイッチを介さずに接続されているので、管理サーバ500は、転送先ポート(P1)を、MACアドレス生成要求を送信した端末200を収容するポートとして設定し(S206)、端末場所情報特定処理を終了する(S207)。
図21は、本発明の第一実施形態の構成定義生成処理のフローチャートである。
管理サーバ500は、図16に示すS105の処理で、端末場所情報特定処理を実行した後に、構成定義生成処理を実行する(S301)。
まず、管理サーバ500は、エッジスイッチ300を一つ選択する(S302)。そして、管理サーバ500は、選択したエッジスイッチ300は、S206の処理で設定された、MACアドレス生成要求を送信した端末200を収容するポート(P2)を備えるか否かを判定する(S303)。
選択したエッジスイッチ300は、MACアドレス生成要求を送信した端末200を収容するポート(P2)を備えない場合、S302の処理に戻る。
一方、選択したエッジスイッチ300は、S206の処理で設定された、MACアドレス生成要求を送信した端末200を収容するポート(P2)を備える場合、管理サーバ500は、VLAN情報523を参照し、利用者によって新たに利用されるサービスに割り当てられたVLANの識別子を取得する。そして、管理サーバ500は、選択したエッジスイッチ300のフレーム振分情報321に登録されるエントリのうち、VLAN ID3211に登録された識別子が取得したVLANの識別子と一致するエントリに含まれる送信元MACアドレス3212に、S104の処理で生成したMACアドレス(M1)を追加するように、構成定義を生成する(S304)。
次に、管理サーバ500は、構成定義526を参照し、MACアドレス生成要求を送信した端末200を収容するポート(P2)がMACポートであるか否かを判定する(S305)。
MACアドレス生成要求を送信した端末200を収容するポート(P2)がMACポートである場合には、S307の処理に進む。一方、MACアドレス生成要求を送信した端末200を収容するポート(P2)がMACポートでない場合には、管理サーバ500は、MACアドレス生成要求を送信した端末200を収容するポート(P2)をMACポートに設定するように、構成定義を生成する(S306)。
そして、管理サーバ500は、未処理のエッジスイッチ300があるか否かを判定する(S307)。未処理のエッジスイッチ300がある場合には、S302の処理に戻る。一方、未処理のエッジスイッチ300がない場合には、構成定義生成処理を終了する(S308)。
図22は、本発明の第一実施形態のエッジスイッチ300のMACポートで受信したフレームの転送処理のフローチャートである。
まず、エッジスイッチ300は、フレームを受信するまで待機する(S401)。
エッジスイッチ300は、フレームを受信した場合、フレームを受信したポートがMACポートであるか否かを判定する(S402)。
フレームを受信したポートがMACポートでない場合、エッジスイッチ300は、そのまま受信したフレームを転送する(S406)。
一方、フレームを受信したポートがMACポートである場合、エッジスイッチ300は、受信したフレームの送信元のMACアドレスを取得する(S403)。
そして、エッジスイッチ300は、フレーム振分情報321を参照し、取得した送信元のMACアドレスから受信したフレームを転送するVLANを決定する(S404)。
次に、管理サーバ500は、受信したフレームに、S404の処理でVLANを示すVLANタグを付与し(S405)、受信したフレームを転送する。
(第二実施形態)
本実施形態は、利用者700がサービス利用アプリケーション216を起動させた場合に、起動させたサービスを利用者が利用できるようにするために、スイッチを設定する。
本発明の第二実施形態を、図23及び図24を用いて説明する。
図23は、本発明の第二実施形態のサービスを提供する環境の設定処理のシーケンス図である。図24は、本発明の第二実施形態のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。
利用者700が使用する端末200の物理I/F261は認証済みであるものとする。
利用者は、サービスを利用するために、サービス利用アプリケーション216を起動させる(S501)。
サービス利用アプリケーション216は、起動されると、利用者700のサービスの利用を要求するサービス利用要求をエージェント230に送信する(S502)。なお、サービス利用要求には、利用者700が利用を要求するサービスの識別子が含まれる。
エージェント230は、サービス利用要求を受信した場合、利用者700に対して、利用者ID及びパスワードを含む利用者情報を入力するように、通知する(S503)。
利用者700は、利用者情報の入力が通知されると、利用者ID及びパスワードを含む利用者情報を端末200に入力する。入力された利用者情報は、エージェント230に送信される(S504)。
そして、エージェント230は、利用者情報を受信した場合、MACアドレスを作成する要求を管理サーバ500に送信する(S505)。
なお、管理サーバ500がMACアドレスを生成する処理(S506〜S511の処理)は、図16に示すS103〜S108の処理と同じあるので説明を省略する。エッジスイッチ300が、生成されたMACアドレスが設定される仮想I/F262を生成する処理(S512〜S514の処理)は、図16に示すS109〜S111の処理と同じであるので説明を省略する。
エージェント230は、OS218から生成成功通知を受信した場合、サービスを利用する環境の設定が完了した旨の通知をサービス利用アプリケーション216に通知する(S515)。
サービス利用アプリケーション216は、S515の処理で送信された通知を受信した場合、サービス利用アプリケーション216が使用するネットワークI/F260を生成された仮想I/F262に設定する(S516)。
具体的には、サービス利用アプリケーション216は、エージェント230に、I/F情報221に、新たに生成された仮想I/F262のエントリを追加させる。このエントリに含まれるMACアドレス2212には、S507の処理で生成されたMACアドレスが登録される。また、このエントリに含まれるサービスID2213には、サービス利用要求に含まれるサービスの識別子が登録される。
この場合に、サービス利用アプリケーション216に割り当てられたサービスの機能のうち、要求が機能ごとに、一つの仮想I/F262を設定してもよい。これにより、一つのサービスに複数の仮想I/F262が設定される。
(第三実施形態)
本実施形態は、提供するサービスを新たに追加する場合のサービスを利用する環境を設定する実施形態である。
本発明の第三実施形態を図25〜図30を用いて説明する。
図25は本発明の第三実施形態のサービスを提供する環境の設定処理のシーケンス図である。図26は、本発明の第三実施形態のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。
まず、サービス提供者800は、新たなサービスの提供要求を管理サーバ500に送信する(S701)。この場合、サービス提供者800は、新たに提供されるサービスを利用する利用者の識別子、サービスが必要とする通信品質(QoSレベル)、サービスがアクセス可能な範囲、サービスの利用期間を指定する。よって、サービス提供要求には、サービスの利用者の識別子、通信品質、アクセス範囲及び利用期間が含まれる。
管理サーバ500は、S701の処理で送信された要求を受信した場合、VLAN情報523に、エントリを新たに追加する。具体的には、管理サーバ500は、追加されるエントリに含まれるサービスID5232に、新たに提供するサービスの識別子を登録し、追加されるエントリに含まれる利用者IDに、サービス提供要求に含まれる利用者の識別子を登録する。また、管理サーバ500は、追加されるエントリに含まれるVLAN ID5231に、未だ使用されていないVLANの識別子を登録する。
また、管理サーバ500は、サービスレベル情報524にエントリを新たに追加する。具体的には、管理サーバ500は、追加されるエントリに含まれるサービスID5241には、新たに提供するサービスの識別子を登録する。また、管理サーバ500は、追加されるエントリに含まれるQoSレベル5242に、サービス提供要求に含まれる通信品質が登録され、追加されるエントリに含まれるアクセス範囲5243に、サービス提供要求に含まれるアクセス範囲が登録される。
そして、管理サーバ500は、認証サーバ600に、新たに提供するサービスを利用する利用者の利用者情報を取得する要求を送信する(S702)。この要求には、新たに提供するサービスを利用する利用者の識別子が含まれる。
次に、認証サーバ600は、S702の処理で送信された要求を受信した場合、利用者情報610を参照し、受信した要求に含まれる利用者の識別子と一致するエントリに含まれるパスワード6102、認証状態6103、収容エッジスイッチID6104及びMACアドレス(物理I/F)6106に登録されている情報を、利用者情報として管理サーバ500に送信する(S703)。
管理サーバ500は、利用者情報を受信した場合、利用者情報521に、新たに提供するサービスを利用者のエントリを追加する。
具体的には、管理サーバ500は、追加されるエントリに含まれる利用者ID5211に、新たに提供するサービスを利用者の識別子を登録する。そして、管理サーバ500は、受信したエントリに含まれる追加されるエントリに含まれるパスワード5212に、受信した利用者情報に含まれるパスワード6102、認証状態6103、収容エッジスイッチID6104及びMACアドレス(物理I/F)6106に登録されている情報を、追加されるエントリに含まれるパスワード5212、認証状態5213、収容エッジスイッチID5214及び端末のMACアドレス5215に、それぞれ登録する。
次に、管理サーバ500は、新たに提供するサービスの利用者が使用する端末200を収容するエッジスイッチ300、及び当該エッジスイッチ300を互いに接続するために必要なスイッチと外部ネットワーク2に接続するために必要なスイッチが、新たに提供するサービスに設定されるVLAN及び新たに提供するサービスのQoSに適用するように、これらのスイッチの構成定義を生成する(S704)。なお、構成定義生成処理については、図29で詳細を説明する。
そして、管理サーバ500は、このエッジスイッチ300の構成定義を、生成された構成定義に更新する(S705)。また、管理サーバ500は、エッジスイッチ300が外部ネットワークに接続するために必要なスイッチの構成定義を、生成された構成定義に更新する(S706)。
次に、管理サーバ500は、新たに提供するサービスを利用者ごとに、MACアドレスを生成する(S707)。なお、この場合、管理サーバ500は、MACアドレス管理情報522を参照し、未だ使用されていないMACアドレスを生成する。
そして、管理サーバ500は、端末200のエージェント230に、サービスを利用するための環境を設定する要求を送信する(S708)。なお、この要求には、生成されたMACアドレス及び新たに提供するサービスの識別子が含まれる。
なお、利用者端末200が仮想I/F262を生成する処理(S709〜S711の処理)については、図16に示すS109〜S111の処理と同じであるので説明を省略する。
エージェント230は、仮想I/F262の生成成功通知を受信した場合、サービス利用アプリケーション起動要求をサービス利用アプリケーション216に送信し(S712)、サービス利用アプリケーション216を起動させる(S713)。なお、S714の処理については、図23に示すS516の処理と同じなので説明を省略する。
そして、サービス利用アプリケーション216は、サービス利用アプリケーション216の起動が成功したことをエージェント230に通知する(S715)。
エージェント230は、サービス利用アプリケーション216の起動が成功したことを通知された場合、サービスを利用するための環境の設定が成功したことを管理サーバ500に通知する(S716)。
管理サーバ500は、サービスを利用するための環境の設定が成功したことを通知された場合、新たに提供するサービスの利用者が使用する端末200が収容されるエッジスイッチ300のフレーム振分情報321を更新するための構成定義を生成する(S717)。なお、構成定義生成処理については、図30で詳細を説明する。
そして、管理サーバ500は、このエッジスイッチ300の構成定義を、生成された構成定義に更新する(S718)。
次に、サービスの利用期間が終了した場合に、サービスの利用するための環境の設定を解除する処理について説明する。
図27は、本発明の第三実施形態のサービスを提供する環境の設定を解除する設定処理のシーケンス図である。図28は、本発明の第三実施形態のサービスの提供する環境の設定を解除する設定処理において送受信されるメッセージを説明する図である。
まず、管理サーバ500は、サービス提供者800によって指定されたサービスの利用期間が終了すると、サービスを利用するための環境の設定を解除する要求をエージェント230に送信する(S1001)。なお、この要求には、利用期間が終了したサービスの識別子及び利用期間が終了したサービスにアクセスするためのMACアドレスが含まれる。
利用期間が終了したサービスにアクセスするためのMACアドレスが管理サーバ500によって特定される方法について説明する。
まず、管理サーバ500は、MACアドレス管理情報522に登録されたエントリのうち、サービスID5223に登録された識別子が、利用期間が終了したサービスの識別子と一致するエントリを取得する。そして、管理サーバ500は、取得したエントリに含まれるMACアドレス5221に登録されたMACアドレスを、利用期間が終了したサービスにアクセスするためのMACアドレスとして特定する。
次に、エージェント230は、S1001の処理で送信された要求を受信した場合、利用期間が終了したサービスにアクセスするためのMACアドレスが設定された仮想I/F262を削除する要求をOS218に送信する(S1002)。なお、この要求には、利用期間が終了したサービスの識別子及び利用期間が終了したサービスにアクセスするためのMACアドレスが含まれる。
OS218は、利用期間が終了したサービスにアクセスするためのMACアドレスが設定された仮想I/F262を削除する要求を受信した場合、当該仮想I/F262を削除する(S1003)。
そして、OS218は、仮想I/F262の削除が成功した場合、その旨をエージェント230に通知する(S1004)。
次に、エージェント230は、利用期間が終了したサービスを利用するための環境の設定の解除が成功したことを管理サーバ500に通知する(S1005)。
管理サーバ500は、利用期間が終了したサービスを利用するための環境の設定の解除が成功したことの通知を受信した場合、利用期間が終了したサービスを提供するためのVLANを解除するために、構成定義を生成する(S1006)。
具体的には、管理サーバ500は、利用期間が終了したサービスに設定されたVLANの設定及び当該サービスのQoSの設定を削除する。また、管理サーバ500は、当該サービスの利用者の端末200を収容するエッジスイッチ300のフレーム振分情報321に登録されたエントリのうち、VLAN ID3211に登録された識別子が当該サービスに設定されたVLANの識別子と一致するエントリを削除する。
管理サーバ500は、このエッジスイッチ300が互いに接続するために必要なスイッチと外部ネットワーク2に接続するために必要なスイッチの構成定義を、生成した構成定義に更新する(S1007)。
また、管理サーバ500は、このエッジスイッチ300の構成定義を、生成された構成定義に更新する(S1008)。
図29は、本発明の第3実施形態の新たに提供するサービスに設定されるVLAN及び新たに提供するサービスのQoSに関する構成定義生成処理のフローチャートである。
まず、管理サーバ500は、認証サーバ600から利用者情報を受信した後に、構成定義処理を実行する(S801)。
管理サーバ500は、図25に示すS703の処理で更新された利用者情報521を参照し、新たに提供するサービスの利用者が使用する端末200を収容するエッジスイッチ300(SW1)を選択する(S802)。
次に、管理サーバ500は、選択したエッジスイッチ300が互いに接続するために必要なスイッチと外部ネットワーク2に接続するために必要なスイッチ(SW2)を選択する(S803)。
そして、管理サーバ500は、選択したエッジスイッチ300(SW1)に備わるポートのうち、選択したスイッチ(SW2)に接続されるポートをトランクポートに設定するように、エッジスイッチ(SW1)の構成定義を生成し、選択したスイッチ(SW2)に備わるポートのうち、選択したエッジスイッチ300(SW1)に接続されるポートに接続されるポートをトランクポートに設定するように、スイッチ(SW2)の構成定義を生成する(S804)。
管理サーバ500は、エッジスイッチ300(SW1)が、新たに提供するサービスに指定されたQoSを適用するように、エッジスイッチ300(SW1)の構成定義を生成し、スイッチ(SW2)が、新たに提供するサービスに指定されたQoSを適用するように、スイッチ(SW2)の構成定義を生成し(S805)、構成定義生成処理を終了する(S806)。
図30は、本発明の第三実施形態のエッジスイッチ300のフレーム振分情報321を更新するための構成定義生成処理のフローチャートである。
管理サーバ500は、サービスを利用するための環境の設定が成功したことの通知を受信した場合、エッジスイッチ300のフレーム振分情報321を更新するための構成定義生成処理(S717の処理)を実行する(S901)。
まず、管理サーバ500は、生成されたMACアドレスから、一つのMACアドレスを選択する(S902)。
管理サーバ500は、生成されたMACアドレス(M1)を使用する端末200を収容するエッジスイッチ300(SW1)を選択する(S903)。
具体的には、管理サーバ500は、MACアドレス管理情報522に登録されたエントリのうち、MACアドレス5221に登録された識別子が生成されたMACアドレス(M1)と一致するエントリを取得する。そして、管理サーバ500は、取得したエントリに含まれる割当利用者ID5222に登録された利用者の識別子を取得する。
次に、管理サーバ500は、利用者情報521に登録されたエントリのうち、利用者ID5211に登録された識別子が取得した利用者の識別子と一致するエントリを取得する。そして、管理サーバ500は、取得したエントリに含まれる収容エッジスイッチID5214に登録されたエッジスイッチの識別子を、生成されたMACアドレス(M1)を使用する端末200を収容するエッジスイッチ300(SW1)の識別子として、取得する。
次に、管理サーバ500は、選択されたエッジスイッチ300(SW1)のフレーム振分情報321に、エントリを新たに追加する構成定義を生成する(S904)。
追加されるエントリに含まれるVLAN ID3211には、新たに提供するサービスに設定されたVLANの識別子が登録され、S902の処理で選択されたMACアドレスが登録される。
管理サーバ500は、選択されたエッジスイッチ300(SW1)に備わるポートのうち、生成されたMACアドレス(M1)を使用する端末200に接続されるポート(P1)がMACポートであるか否かを判定する(S905)。
具体的には、管理サーバ500は、S903の処理と同じく、MACアドレス管理情報522を参照し、生成されたMACアドレス(M1)が割り当てられた利用者の識別子を取得する。そして、管理サーバ500は、認証サーバ600の利用者情報610に登録されたエントリのうち、利用者ID6101に登録された識別子が取得した利用者の識別子と一致するエントリに含まれる接続ポートID6105に登録された識別子を、ポート(P1)の識別子として取得する。そして、管理サーバ500は、トポロジ情報525を参照し、取得した識別子によって識別されるポート(P1)がMACポートであるか否かを判定する。
S905の処理で、生成されたMACアドレス(M1)を使用する端末200に接続されるポート(P1)がMACポートであると判定された場合には、S907の処理に進む。
一方、S905の処理で、生成されたMACアドレス(M1)を使用する端末200に接続されるポート(P1)がMACポートでないと判定された場合には、管理サーバ500は、ポート(P1)をMACポートに設定する構成定義を生成する(S906)。
そして、管理サーバ500は、S902〜S907の処理が実行されていない生成されたMACアドレスがあるか否かを判定する(S907)。
S902〜S907の処理が実行されていない生成されたMACアドレスがあると判定された場合には、S903の処理に戻る。
一方、S902〜S907の処理が実行されていない生成されたMACアドレスがないと判定された場合には、管理サーバ500は、構成定義処理を終了する(S908)。
(第四実施形態)
本実施形態は、提供されているサービスを変更する場合に、そのサービスを利用する利用者が使用する端末200の設定を変更せずに、サービスを利用する環境を設定する実施形態である。
本発明の第四実施形態を図31〜図33を用いて説明する。
図31は、本発明の第四実施形態の提供されているサービスを変更する場合のサービスを提供する環境の設定処理のシーケンス図である。図32は、本発明の第四実施形態の提供されているサービスを変更する場合のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。
なお、本実施形態では、図25で説明した設定処理が実行されており、サービスを提供する環境が設定されているものとする。
まず、サービス提供者800は、変更する対象となるサービスの識別子、変更先のサービスの識別子、変更する対象となるサービスを利用している利用者の識別子、及び変更先のサービスを利用する利用者の識別子を含むサービス変更要求を管理サーバ500に入力する。
なお、サービス提供者800は、変更する対象となるサービスの識別子、変更先のサービスの識別子及び利用者の識別子を複数入力してもよい。
管理サーバ500は、サービス変更要求が入力された場合、指定された利用者が使用する端末200を収容するエッジスイッチ300のフレーム振分情報321を更新するための構成定義を生成する(S1202)。なお、この構成定義処理については、図33で詳細を説明する。
そして、管理サーバ500は、指定された利用者が使用する端末200を収容するエッジスイッチ300の構成定義323を、生成された構成定義に更新する(1203)。
図33は、本発明の第四実施形態の構成定義処理のフローチャートである。
管理サーバ500は、サービス変更要求が入力されると、構成定義処理を実行する(S1301)。
管理サーバ500は、VLAN情報523を参照し、サービス変更要求に含まれる変更する対象となるサービスの識別子と一致するサービスID5232に登録された識別子を削除する(S1302)。
また、管理サーバ500は、MACアドレス管理情報522を参照し、サービス変更要求に含まれる変更する対象となるサービスの識別子と一致するサービスID5223に登録された識別子を削除し、そのエントリに含まれる割当利用者ID5222に登録された識別子も削除する。なお、削除する割当利用者ID5222に登録された識別子は、サービス変更要求に含まれる変更する対象のサービスを利用する利用者の識別子と一致する。
次に、管理サーバ500は、MACアドレス管理情報522に登録されたエントリのうち、S1302の処理で削除されたエントリに含まれる割当利用者ID5222に、サービス変更要求に含まれる変更先のサービスを利用する利用者の識別子を登録し、サービスID5223に、サービス変更要求に含まれる変更先のサービスの識別子を登録する(S1303)。
次に、管理サーバ500は、利用者情報521を参照し、変更先のサービスを利用する利用者が使用する端末200が収容される収容エッジスイッチ300(SW1)の識別子を取得する(S1304)。
管理サーバ500は、VLAN情報523を参照し、サービスID5232に登録された識別子がサービス変更要求に含まれる変更先のサービスの識別子と一致するエントリに含まれるVLAN ID5231に登録された識別子を取得する。
そして、管理サーバ500は、S1304の処理で、取得した識別子によって識別されるエッジスイッチ300(SW1)のフレーム振分情報321に登録されたエントリのうち、VLAN ID3211に登録された識別子が、取得したVLAN ID5231に登録された識別子と一致するエントリを取得する。
管理サーバ500は、取得したエントリに含まれる送信元MACアドレス3212に、S1303の処理で変更先のサービスの識別子及び変更先のサービスを利用する利用者の識別子を登録したエントリに含まれるMACアドレス5221に登録された識別子を登録するように、構成定義を生成し(S1305)、構成定義処理を終了する(S1306)。
(第五実施形態)
本実施形態では、利用者が使用する端末200を変更した場合に、変更前の端末200Aのサービスを提供する環境を変更後の端末200Bに設定する実施形態である。
図34及び図35は、本発明の第五実施形態の利用者が使用する端末200を変更する場合のサービスを提供する環境の設定処理のシーケンス図である。図36は、本発明の第五実施形態の利用者が使用する端末200を変更する場合のサービスを提供する環境の設定処理におけるメッセージを説明する図である。
まず、利用者700は、端末200Aを使用しているとする。そして、端末200Aは仮想I/F262を備える。端末200Aは、仮想I/F262を介して、サービスにアクセス可能である。その後、同じ利用者700は、端末200Bの使用を開始する。
なお、本実施形態において、エッジスイッチ300Aは、端末200Aを収容し、エッジスイッチ300Bは、端末200Bを収容する。
まず、端末200BのOS218Bは、端末200Bに備わる物理I/F261を認証するために、利用者700の認証情報の入力を利用者700に要求する(S1101)。
利用者700は、利用者700の認証情報を端末200Bに入力し、入力された利用者700の認証情報は、OS218Bに通知される(S1102)。利用者700の認証情報には、利用者700の識別子及び利用者700のパスワードが含まれる。
次に、端末200BのOS218Bは、通知された入力情報を、端末200Bに接続されるエッジスイッチ300Bに送信する(S1103)。なお、この認証情報には、利用者700の識別子及び利用者700のパスワードが含まれる。
さらに、端末200Bに接続されるエッジスイッチ300Bは、受信した認証情報を、認証サーバ600に送信する。なお、この認証情報には、利用者700の識別子、利用者700のパスワード及び端末200Bに備わる物理I/F261のMACアドレスが含まれる。
認証サーバ600は、認証情報を受信した場合、利用者700を認証する(S1105)。
具体的には、認証サーバ600は、利用者情報610に登録されたエントリのうち、利用者ID6101に登録された識別子が受信した認証情報に含まれる利用者700の識別子と一致するエントリを取得する。そして、認証サーバ600は、受信した認証情報に含まれる利用者700のパスワードが、取得したエントリに含まれるパスワード6102に登録されたパスワードと一致する場合、この利用者700を認証する。
そして、認証サーバ600は、当該エントリに含まれる収容エッジスイッチID6104に、端末200Bを収容するエッジスイッチ300Bの識別子が登録され、また、当該エントリに含まれる接続ポートには、端末200Bに接続されるエッジスイッチ300Bのポートの識別子が登録され、当該エントリに含まれるMACアドレス(物理I/F)6106には、端末200Bの識別子が登録される。
認証サーバ600は、利用者700の認証に成功した場合、認証結果をエッジスイッチ300Bに送信する(S1106)。
エッジスイッチ300Bは、認証結果を受信すると、受信した認証結果を端末200BのOS218Bに送信する(S1107)。
なお、端末200Bは、認証結果を受信すると、物理I/F261を介してネットワークに接続できる。
また、認証サーバ600は、認証通知を管理サーバ500に送信する(S1107)。
認証通知には、利用者700の識別子、エッジスイッチ300Bの識別子及び端末200Bに接続されるエッジスイッチ300Bのポートの識別子が含まれる。
管理サーバ500は、利用者700が使用していた端末200Aのエージェント230Aに、サービスを利用する環境の設定を解除する要求を送信する(S1109)。なお、この要求には、端末200Aの仮想I/F262の識別子が含まれる。
端末200Aのエージェント230Aは、S1109の処理で送信された要求を受信した場合、受信した要求に含まれる仮想I/F262を削除する要求をOS218Aに送信する(S1110)。なお、S1111〜S1112の処理は、図18に示すS607〜S608の処理と同じなので説明を省略する。
エージェント230Aは、削除成功通知を受信した場合、サービスを利用する環境の設定の解除が成功した旨を管理サーバ500に送信する(S1113)。
管理サーバ500は、S1113の処理で送信された通知を受信した場合、サービスを利用する環境を設定する要求を端末200Bのエージェント230Bに送信する(S1114)。この要求には、端末200Aの仮想I/F262に設定されていたMACアドレス及び変更先のサービスの識別子が含まれる。
エージェント230Bは、S1114の処理で送信された要求を受信した場合、受信した要求に含まれるMACアドレスの仮想I/F262を生成する要求を、OS218Bに送信する(S1115)。
次に、OS218Bは、S1115の処理で送信された要求を受信した場合、受信した要求に含まれるMACアドレスの仮想I/F262を生成する(S1116)。そして、OS218Bは、仮想I/F262を生成が終了すると、仮想I/F262の生成が成功した旨の通知をエージェント230Bに送信する(S1117)。
エージェント230Bは、S1117の処理で送信された通知を受信した場合、S1114の処理で受信した要求に含まれる変更先のサービスの識別子によって識別されるサービスを利用するサービス利用アプリケーション216Bに、サービス利用アプリケーション起動要求を送信し(S1118)、変更先のサービスを利用するサービス利用アプリケーション216Bを起動させる(S1119)。サービス利用アプリケーション起動要求には、S1116の処理で生成された仮想I/F262の識別子が含まれる。
そして、サービス利用アプリケーション216Bは、受信したサービス利用アプリケーション起動要求に含まれる仮想I/F262を使用するネットワークI/F260に設定する(S1120)。
サービス利用アプリケーション216Bは、サービス利用アプリケーション216Bの起動が成功した旨の通知をエージェント230Bに送信する(S1121)。
エージェント230Bは、S1121の処理で送信された通知を受信した場合、サービスを利用する環境の設定が成功した旨の通知を管理サーバ500に送信する(S1122)。
管理サーバ500は、S1122の処理で送信された通知を受信した場合、エッジスイッチ300Aの構成定義、エッジスイッチ300Bの構成定義並びにエッジスイッチ300A及びエッジスイッチ300Bが外部ネットワーク2に接続するために必要なスイッチの構成定義を生成する。
まず、エッジスイッチ300Aの構成定義の生成処理について具体的に説明する。
端末200Aにおいて、変更する対象となるサービスの仮想I/F262が削除されることに伴って、管理サーバ500は、エッジスイッチ300Aが端末200A以外に、変更する対象となるサービスを利用する端末200を収容しない場合、変更する対象となるサービスを提供するためのVLANを解除するために、エッジスイッチ300Aの構成定義を生成する。
具体的には、管理サーバ500は、変更する対象となるサービスに設定されたVLANの設定及び当該サービスのQoSの設定を削除するように、エッジスイッチ300Aの構成定義を生成する。
VLANの設定の解除するために、管理サーバ500は、端末200Aに接続されたエッジスイッチ300のポートにおけるMACポートの設定を解除するための構成定義を生成する。
また、管理サーバ500は、エッジスイッチ300Aのフレーム振分情報321に登録されたエントリのうち、S1114の処理で削除された仮想I/F262の識別子を送信元MACアドレス3212から削除する。これによって、エッジスイッチ300Aは、仮想I/F262のMACアドレスから受信した情報を、VLANに転送できなくなる。
次に、エッジスイッチ300Bの構成定義の生成処理について具体的に説明する。
端末200Bにおいて、変更先のサービスの仮想I/F262が生成されることに伴って、管理サーバ500は、変更先のサービスを提供するためのVLAN及び当該サービスのQoSを設定するために、エッジスイッチ200Bの構成定義を生成する。
変更先のサービスを提供するためのVLANを設定するために、端末200Bに接続されるエッジスイッチ300BのポートがMACポートではない場合に、そのポートをMACポートに設定するための構成定義を生成する。
また、管理サーバ500は、エッジスイッチ300Bのフレーム振分情報321に、変更先のサービスを提供するためのVLANの識別子のエントリを追加し、追加されたエントリに含まれる送信元MACアドレス3212に、S1116の処理で生成された仮想I/F262に設定されるMACアドレスを登録する。これによって、エッジスイッチ300Bは、仮想I/F262のMACアドレスから受信した情報を、そのMACアドレスに対応するVLANに転送できるようになる。
次に、エッジスイッチ300A及びエッジスイッチ300Bが外部ネットワーク2に接続するために経由するスイッチの構成定義の生成処理について説明する。
エッジスイッチ300Aにおいて、変更する対象となるサービスを提供していたVLANが削除されたために、管理サーバ500は、エッジスイッチ300Aが外部ネットワーク2に接続するために経由するスイッチ(第一上流スイッチ)からも、VLANの設定を削除するために、第一上流スイッチの構成定義を生成する。
具体的には、管理サーバ500は、変更する対象となるサービスに設定されたVLANの設定及び当該サービスのQoSの設定を削除するように、第一上流スイッチの構成定義を生成する。
第一上流スイッチが端末200A以外に、変更する対象となるサービスを利用する端末200を収容しない場合、VLANの設定の解除するために、管理サーバ500は、第一上流スイッチよりも下流のスイッチに接続された第一上流スイッチのポートから、変更する対象となるサービスに対応するVLANの識別子を除くための構成定義を生成する。
エッジスイッチ300Bにおいて、変更先のサービスの仮想I/F262が生成されることに伴って、管理サーバ500は、変更先のサービスを提供するためのVLAN及び当該サービスのQoSを設定するために、エッジスイッチ300Bが外部ネットワーク2に接続するために経由するスイッチ(第二上流スイッチ)の構成定義を生成する。
変更先のサービスを提供するためのVLANを設定するために、第二上流スイッチよりも下流のスイッチに接続された端末200Bに接続される第一上流スイッチのポートがトランクポートでない場合に、そのポートをトランクポートに設定し、変更先のサービスを提供するためのVLANの識別子を追加するための構成定義を生成する。
特許請求の範囲に記載した以外の本発明の観点の代表的なものとして、次のものがあげられる。
(1)管理計算機は、生成された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースから送信されたフレームを特定のVLANへの転送を解除するように、転送装置を設定することを特徴とする。
(2)利用者端末は、生成された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースから送信されたフレームを特定のVLANへの転送を解除するように、転送装置が設定された場合に、仮想ネットワークインタフェースを削除することを特徴とする。
(3)管理計算機は、サービスのVLANへの割り当て及びサービスのQoSの保証を解除するように転送装置を設定することを特徴とする。
本発明の一形態によると、レイヤ2レベルで分離されたサービスが提供されるので、端末が複数のVLANに同時にアクセスできる。これにより、サービスごと、及び利用者ごとに異なる品質のサービスを同一のネットワークによって提供できる。
サービス提供者がサービスのQoS、端末がアクセス可能な範囲、サービスを利用する利用者、及びサービスの利用期間を指定し、サービスを提供する環境を構築及び解除できる。
本発明の第一実施形態のネットワークシステムの構成を示す図である。 本発明の第一実施形態の論理的なネットワークシステムの構成を示す図である。 本発明の第一実施形態の管理サーバのブロック図である。 本発明の第一実施形態の利用者情報を説明する図である。 本発明の第一実施形態のMACアドレス管理情報を説明する図である。 本発明の第一実施形態のVLAN情報を説明する図である。 本発明の第一実施形態のサービスレベル情報を説明する図である。 本発明の第一実施形態の端末のブロック図である。 本発明の第一実施形態のI/F情報を説明する図である。 本発明の第一実施形態のアプリケーション情報を説明する図である。 本発明の第一実施形態のサービスレベル情報を説明する図である。 本発明の第一実施形態のエッジスイッチのブロック図である。 本発明の第一実施形態のフレーム振分情報を説明する図である。 本発明の第一実施形態のMACアドレス情報を説明する図である。 本発明の第一実施形態の認証サーバに記憶される利用者情報を説明する図である。 本発明の第一実施形態の利用者がサービスを提供する環境の設定処理のシーケンス図である。 本発明の第一実施形態の利用者がサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。 本発明の第一実施形態の利用者がサービスを提供する環境の設定を解除する設定処理のシーケンス図である。 本発明の第一実施形態の利用者がサービスを提供する環境の設定を解除する設定処理において送受信されるメッセージを説明する図である。 本発明の第一実施形態の端末場所情報特定処理のフローチャートである。 本発明の第一実施形態の構成定義生成処理のフローチャートである。 本発明の第一実施形態のエッジスイッチのMACポートで受信したフレームの転送処理のフローチャートである。 本発明の第二実施形態のサービスを提供する環境の設定処理のシーケンス図である。 本発明の第二実施形態のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。 本発明の第三実施形態のサービスを提供する環境の設定処理のシーケンス図である。 本発明の第三実施形態のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。 本発明の第三実施形態のサービスを提供する環境の設定を解除する設定処理のシーケンス図である。 本発明の第三実施形態のサービスの提供する環境の設定を解除する設定処理において送受信されるメッセージを説明する図である。 本発明の第3実施形態の新たに提供するサービスに設定されるVLAN及び新たに提供するサービスのQoSに関する構成定義生成処理のフローチャートである。 本発明の第三実施形態のエッジスイッチのフレーム振分情報を更新するための構成定義生成処理のフローチャートである。 本発明の第四実施形態の提供されているサービスを変更する場合のサービスを提供する環境の設定処理のシーケンス図である。 本発明の第四実施形態の提供されているサービスを変更する場合のサービスを提供する環境の設定処理において送受信されるメッセージを説明する図である。 本発明の第四実施形態の構成定義処理のフローチャートである。 本発明の第五実施形態の利用者が使用する端末を変更する場合のサービスを提供する環境の設定処理のシーケンス図である。 本発明の第五実施形態の利用者が使用する端末を変更する場合のサービスを提供する環境の設定処理のシーケンス図である。 本発明の第五実施形態の利用者が使用する端末を変更する場合のサービスを提供する環境の設定処理におけるメッセージを説明する図である。
符号の説明
1 内部ネットワーク
2 外部ネットワーク
100 スイッチ
200 端末
300 エッジスイッチ
500 管理サーバ
600 認証サーバ

Claims (20)

  1. フレームを転送する転送装置、及び前記転送装置によって構成されるネットワークに接続され、前記ネットワークを管理する管理計算機を備えるネットワークシステムであって、
    前記ネットワークは、前記転送装置がVLAN識別子によって識別される一つ又は複数のVLANを収容するネットワークであり、
    前記管理計算機は、
    仮想MACアドレスを生成し、
    前記生成された仮想MACアドレスを前記転送装置に接続される利用者端末に通知し、
    前記利用者端末が利用するVLANの識別子と前記生成された仮想MACアドレスとの対応関係を、前記利用者端末が接続される転送装置に設定し、
    前記利用者端末は、前記通知された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースを生成し、
    前記転送装置は、
    前記生成された仮想ネットワークインタフェースから送信されたフレームを受信し、
    前記管理計算機によって設定された対応関係を参照し、前記受信したフレームを前記生成された仮想MACアドレスに対応するVLANに転送することを特徴とするネットワークシステム。
  2. 前記転送装置は、一つ又は複数の前記VLANの識別子を含むVLANタグが前記受信したフレームに付加されている場合、すべての前記付加されたVLANタグに含まれるVLANの識別子によって識別されるVLANに、前記フレームを転送することを特徴とする請求項1に記載のネットワークシステム。
  3. 前記利用者端末は、前記転送装置に接続されることによって前記ネットワークシステムに含まれることを特徴とする請求項1に記載のネットワークシステム。
  4. 前記利用者端末に備わる物理ネットワークインタフェースが、前記転送装置に備わるポートに接続されることによって、前記利用者端末と前記転送装置とが接続され、
    前記利用者端末のネットワークインタフェースは、前記仮想ネットワークインタフェース及び前記物理ネットワークインタフェースを含み、
    前記転送装置は、前記転送装置に接続された利用者端末のMACアドレスと、前記利用者端末のMACアドレスが転送先のフレームを転送する転送先ポートとの対応関係を示すMACアドレス情報を格納し、
    前記管理計算機は、前記転送装置に格納された前記MACアドレス情報を参照し、前記MACアドレス情報に、前記利用者端末の物理ネットワークインタフェースの物理MACアドレスが含まれる場合に、前記MACアドレス情報を持つ転送装置を前記利用者端末が収容される転送装置と特定し、転送先ポートを前記利用者端末が収容されるポートと特定することを特徴とする請求項1に記載のネットワークシステム。
  5. 前記管理計算機は、前記仮想MACアドレスの生成要求を前記利用者端末から受信した場合、前記仮想MACアドレスを生成することを特徴とする請求項1に記載のネットワークシステム。
  6. 前記管理計算機は、
    前記利用者端末を使用する利用者に関する利用者情報を格納し、
    前記仮想MACアドレスの生成要求を送信した利用者端末の利用者を、前記利用者情報を用いて認証し、
    前記仮想MACアドレスの生成要求を送信した利用者端末の利用者が認証された場合に、前記仮想MACアドレスを生成することを特徴とする請求項5に記載のネットワークシステム。
  7. 前記管理計算機は、
    前記ネットワークによって提供されるサービスを利用可能な利用者及び前記利用者がアクセス可能な範囲の情報を含むサービス環境設定要求を受信し、
    前記受信したサービス環境設定要求に含まれる利用者が使用する利用者端末の仮想MACアドレスを生成することを特徴とする請求項1に記載のネットワークシステム。
  8. 前記サービス環境設定要求は、さらに、前記サービスが保証する通信品質の情報を含み、
    前記管理計算機は、前記要求された通信品質が保証されるように前記転送装置を設定することを特徴とする請求項7に記載のネットワークシステム。
  9. 前記ネットワークシステムは、前記利用者端末を利用する利用者を認証する認証計算機を備え、
    前記認証計算機は、前記利用者の識別子、前記利用者を認証するための情報、前記利用者が認証されたか否かを示す情報、前記利用者が使用する利用者端末が接続される前記転送装置の識別子、及び前記利用者が使用する利用者端末が接続される前記転送装置のポートの識別子を含む利用者情報を格納し、
    前記管理計算機は、前記サービス環境設定要求を受信した場合、前記利用者情報の取得要求を前記認証計算機に送信し、
    前記認証計算機は、前記利用者情報の取得要求を受信した場合、前記格納された利用者情報を前記管理計算機に送信することを特徴とする請求項1に記載のネットワークシステム。
  10. 前記管理計算機は、前記ネットワークによって提供されるサービスと前記VLANとの対応関係を示すVLAN情報を格納し、
    前記利用者端末は、
    前記サービスを利用するアプリケーションプログラムを格納し、
    前記アプリケーションプログラムが実行された場合に利用されるサービスの識別子を含む前記仮想MACアドレスの生成要求を前記管理計算機に送信し、
    前記管理計算機は、
    前記仮想MACアドレスの生成要求を受信した場合、前記仮想MACアドレスの生成要求を送信した利用者端末の仮想MACアドレスを生成し、
    前記VLAN情報を参照し、前記受信した要求に含まれるサービスに対応するVLANを特定し、前記生成された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースから送信されたフレームを、前記サービスに対応するVLANに転送するように前記要求を送信した利用者端末が接続される転送装置を設定し、
    前記利用者端末は、前記仮想MACアドレスが生成されたことを通知された場合、前記アプリケーションプログラムが前記利用者端末によって生成された仮想ネットワークインタフェースを使用するように設定することを特徴とする請求項1に記載のネットワークシステム。
  11. 前記利用者端末は、前記仮想ネットワークインタフェースを生成した後に、前記アプリケーションプログラムを起動することを特徴とする請求項10に記載のネットワークシステム。
  12. 前記利用者端末は、前記アプリケーションプログラムが実行された場合に利用されるサービスに前記利用者端末がアクセスできるようにする要求を、前記アプリケーションプログラムから受けた場合に、前記仮想MACアドレスの生成要求を前記管理計算機に送信することを特徴とする請求項10に記載のネットワークシステム。
  13. 前記管理計算機は、複数の仮想MACアドレスを生成し、
    前記利用者端末は、前記生成された複数の仮想MACアドレスが割り当てられる複数の仮想ネットワークインタフェースを作成し、
    前記アプリケーションプログラムによって利用されるサービスの機能のうち、前記ネットワークに対して異なる要求をする機能ごとに、前記生成された仮想ネットワークインタフェースを対応させることを特徴とする請求項10に記載のネットワークシステム。
  14. 前記ネットワークシステムは、利用者が使用していた第一利用者端末、前記利用者がこれから使用する第二利用者端末、前記第一利用者端末に接続される第一転送装置、及び前記第二利用者端末に接続される第二転送装置を備え、
    前記管理計算機は、
    前記第一利用者端末の仮想ネットワークインタフェースを削除する要求を前記第一利用者端末に送信し、
    前記削除する仮想ネットワークインタフェースから送信されたフレームをVLANに転送することを解除するように前記第一転送装置を設定し、
    前記削除する仮想ネットワークインタフェースに割り当てられていた仮想MACアドレスと同じ仮想MACアドレスを前記第二転送装置に接続される第二利用者端末に通知し、
    前記第二利用者端末は、前記通知された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースを生成し、
    前記第二転送装置は、
    前記生成された仮想ネットワークインタフェースから送信されたフレームを受信し、
    前記受信したフレームを前記生成された仮想MACアドレスに対応するVLANに転送することを特徴とする請求項1に記載のネットワークシステム。
  15. 前記ネットワークシステムは、前記利用者を認証する認証計算機を備え、
    前記認証計算機は、
    利用者が前記第二利用者端末を使用する場合に、前記第二利用者端末が前記ネットワークに接続するために、前記第二利用者端末を使用する前記利用者を認証し、
    前記第二利用者端末を使用する利用者を認証したことを前記管理計算機に通知し、
    前記管理計算機は、前記認証計算機からの通知を受信した場合に、前記第一利用者端末の仮想ネットワークインタフェースを削除する要求を前記第一利用者端末に送信することを特徴とする請求項14に記載のネットワークシステム。
  16. 演算処理をするプロセッサと、前記プロセッサに接続される記憶部と、転送装置によって構成されるネットワークに接続されるインタフェースを備え、前記転送装置がVLAN識別子によって識別される一つ又は複数のVLANを収容する前記ネットワークを管理する管理計算機において、
    前記プロセッサは、
    仮想MACアドレスを生成し、
    前記生成された仮想MACアドレスを前記転送装置に接続される利用者端末に通知し、
    前記通知された仮想MACアドレスが割り当てられ、前記利用者端末によって生成される仮想ネットワークインタフェースから送信されたフレームを前記生成された仮想MACアドレスに対応するVLANに転送するように、前記利用者端末が利用するVLANの識別子と前記生成された仮想MACアドレスとの対応関係を、前記利用者端末が接続される転送装置に設定することを特徴とする管理計算機。
  17. 前記プロセッサは、
    前記ネットワークによって提供されるサービスを利用可能な利用者及び前記利用者がアクセス可能な範囲の情報を含むサービス環境設定要求を受信し、
    前記受信したサービス環境設定要求に含まれる利用者が使用する利用者端末の仮想MACアドレスを生成することを特徴とする請求項16に記載の管理計算機。
  18. 前記利用者端末は、利用者が使用していた第一利用者端末及び前記利用者がこれから使用する第二利用者端末を含み、
    前記転送装置は、前記第一利用者端末に接続される第一転送装置及び前記第二利用者端末に接続される第二転送装置を含み、
    前記プロセッサは、
    前記第一利用者端末に仮想ネットワークインタフェースを削除する要求を前記第一利用者端末に送信し、
    前記削除する仮想ネットワークインタフェースから送信されたフレームをVLANに転送することを解除するように前記第一転送装置を設定し、
    前記削除する仮想ネットワークインタフェースに割り当てられていた仮想MACアドレスと同じ仮想MACアドレスを前記第二転送装置に接続される第二利用者端末に通知し、
    前記第二転送装置に、
    前記生成された仮想ネットワークインタフェースから送信されたフレームを受信し、
    前記受信したフレームを前記生成された仮想MACアドレスに対応するVLANに転送する設定をすることを特徴とする請求項16に記載の管理計算機。
  19. 前記管理計算機は、前記ネットワークを介して、前記利用者を認証する認証計算機に接続され、
    前記認証計算機は、
    前記管理計算機によって認証された利用者が前記第二利用者端末を使用する場合に、前記第二利用者端末が前記ネットワークに接続するために、前記第二利用者端末を使用する前記利用者を認証し、
    前記第二利用者端末を使用する利用者を認証したことを前記管理計算機に通知し、
    前記プロセッサは、
    前記第二利用者端末を使用する利用者を認証したことが通知された場合、前記第一利用者端末の仮想ネットワークインタフェースを削除する要求を前記第一利用者端末に送信することを特徴とする請求項18に記載の管理計算機。
  20. ネットワークを構成する転送装置、前記転送装置に接続される利用者端末及び前記ネットワークに接続され、前記転送装置がVLAN識別子によって識別される一つ又は複数のVLANを収容するネットワークを管理する管理計算機を備えるネットワークシステムにおける、演算処理をするプロセッサと、前記プロセッサに接続される記憶部と、転送装置に接続される物理的なネットワークインタフェースとを備える利用者端末であって、
    前記プロセッサは、
    前記管理計算機によって生成された仮想MACアドレスが通知された場合、前記通知された仮想MACアドレスが割り当てられた仮想ネットワークインタフェースを生成し、
    前記生成された仮想MACアドレスが割り当てられる仮想ネットワークインタフェースから送信されたフレームは、前記利用者端末に接続された転送装置が、前記管理計算機が当該転送装置に設定した利用者端末が利用するVLANの識別子と前記生成された仮想MACアドレスとの対応関係を参照することによって、前記生成された仮想MACアドレスに対応するVLANに転送されることを特徴とする利用者端末。
JP2007109221A 2007-04-18 2007-04-18 ネットワークシステム、管理計算機及び利用者端末 Expired - Fee Related JP5059473B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007109221A JP5059473B2 (ja) 2007-04-18 2007-04-18 ネットワークシステム、管理計算機及び利用者端末

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007109221A JP5059473B2 (ja) 2007-04-18 2007-04-18 ネットワークシステム、管理計算機及び利用者端末

Publications (2)

Publication Number Publication Date
JP2008271015A JP2008271015A (ja) 2008-11-06
JP5059473B2 true JP5059473B2 (ja) 2012-10-24

Family

ID=40049967

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007109221A Expired - Fee Related JP5059473B2 (ja) 2007-04-18 2007-04-18 ネットワークシステム、管理計算機及び利用者端末

Country Status (1)

Country Link
JP (1) JP5059473B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4892745B2 (ja) * 2008-03-26 2012-03-07 Necフィールディング株式会社 認証スイッチの接続を認証する装置及びその方法
JP5552787B2 (ja) 2009-10-02 2014-07-16 村田機械株式会社 中継サーバおよび中継通信システム
JP5640853B2 (ja) * 2011-03-24 2014-12-17 ヤマハ株式会社 通信システム、ルータ、スイッチングハブ、およびプログラム
CN103814595A (zh) * 2011-09-12 2014-05-21 英特尔公司 多个媒体访问控制(mac)地址解析垂直行程
JP2014154925A (ja) * 2013-02-05 2014-08-25 Nomura Research Institute Ltd ネットワーク検証システム
JP6649002B2 (ja) * 2015-07-23 2020-02-19 株式会社ネットスプリング アクセス管理システム及びアクセス管理方法
JP6708906B2 (ja) * 2017-03-24 2020-06-10 サイレックス・テクノロジー株式会社 通信装置、通信システム、及び、通信装置の制御方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09307579A (ja) * 1996-05-10 1997-11-28 Hitachi Cable Ltd マルチポート中継装置及びネットワーク機器
US7440415B2 (en) * 2003-05-30 2008-10-21 Ixia Virtual network addresses

Also Published As

Publication number Publication date
JP2008271015A (ja) 2008-11-06

Similar Documents

Publication Publication Date Title
JP5059473B2 (ja) ネットワークシステム、管理計算機及び利用者端末
WO2019201043A1 (zh) 网络通信方法、系统、设备及存储介质
JP7296993B2 (ja) 通信方法及び通信装置
CN110896371B (zh) 一种虚拟网络设备及相关方法
US9628328B2 (en) Network controller with integrated resource management capability
US11240152B2 (en) Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network
JP2022550356A (ja) マルチテナントソフトウェア定義ワイドエリアネットワーク(sd-wan)ノードを提供するための方法、システム、およびコンピュータ読取可能媒体
US8671135B1 (en) Flexible mechanism for implementing the middleware of a data distribution system over multiple transport networks
CN105101176B (zh) 一种漫游场景下的会话绑定方法、装置和系统
JP7294578B2 (ja) ユーザプレーンのリルーティング方法および装置
JP2018536363A (ja) アクセス制御リストを動的に生成するための方法およびシステム
CN110537354B (zh) 用于配置虚拟专用网关的系统和方法
JPWO2014080949A1 (ja) クラウド環境提供システム、サービス管理装置、経路制御方法及びプログラム
JP2013197614A (ja) マルチキャストアドレスの管理のための情報処理装置、情報処理方法及びプログラム、中継装置、中継装置のための情報処理方法及びプログラム、並びに情報処理システム
WO2014201600A1 (zh) 一种会话管理方法、地址管理方法及相关装置
JP7056740B2 (ja) ブロックチェーンシステム、ブロックチェーン管理装置、ネットワーク制御装置、方法及びプログラム
WO2024092929A1 (zh) 数据跨域授权方法及装置和电子设备
JP5937563B2 (ja) 通信基地局およびその制御方法
JP2013179494A (ja) 仮想化ネットワークインフラ制御システム及び方法
JP2018174550A (ja) 通信システム
JP2005057693A (ja) ネットワーク仮想化システム
WO2021015021A1 (ja) 通信装置及び通信方法
JP6417799B2 (ja) ネットワークコントローラ、ネットワーク制御方法、およびプログラム
JP5911620B2 (ja) 仮想ネットワーク管理サーバ及びエッジルータ
KR20220027060A (ko) DaaS 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120309

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120406

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120717

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120802

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150810

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees