JP5540679B2 - ネットワーク機器、通信制御方法、及びプログラム - Google Patents

ネットワーク機器、通信制御方法、及びプログラム Download PDF

Info

Publication number
JP5540679B2
JP5540679B2 JP2009280825A JP2009280825A JP5540679B2 JP 5540679 B2 JP5540679 B2 JP 5540679B2 JP 2009280825 A JP2009280825 A JP 2009280825A JP 2009280825 A JP2009280825 A JP 2009280825A JP 5540679 B2 JP5540679 B2 JP 5540679B2
Authority
JP
Japan
Prior art keywords
communication
notification
restricted area
network
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009280825A
Other languages
English (en)
Other versions
JP2011124796A (ja
Inventor
大介 阪井
健吾 松山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2009280825A priority Critical patent/JP5540679B2/ja
Priority to EP20100251958 priority patent/EP2334030A3/en
Priority to US12/959,896 priority patent/US8874702B2/en
Priority to CN201010584430.4A priority patent/CN102098283B/zh
Publication of JP2011124796A publication Critical patent/JP2011124796A/ja
Application granted granted Critical
Publication of JP5540679B2 publication Critical patent/JP5540679B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク機器、通信制御方法、及びプログラムの分野に関する。
一般に、社内(企業内)ネットワークとインターネットのような外部ネットワークとの境界には、ファイアウォールが設置されており、外部からは簡単に企業内ネットワークにアクセスはできない。また、このような外部からのアクセス制限のみならず、企業内ネットワークの内部からのアクセスであっても、各企業のセキュリティポリシーに基づいて一定のセキュリティ対策が講じられている場合も多い。内部からの悪意ある不正アクセスに対して、その防御対策がなされるのは一般的である。
近年、次のような事例も問題になってきている。例えば、社内ネットワークに接続許可されている社員自身が自覚のないままに、ウイルスやワームに感染したパソコン(以下PCという)を社内ネットワークに持ち込んでしまう場合がある。たとえ接続が許可されているPCであっても、セキュリティレベルの低いPCが接続されてしまうと、場合によってはそのPCが感染源となって、社内ネットワーク全体の安全性に影響を及ぼす。この原因としては、PC端末にはファイアウォールがインストールされていない、ファイアウォールがインストールされていても最新の更新プログラムが適用されていない、またそもそも管理の及ばない持ち込みPC(例えば外部者のノートPC)である、といったことが考えられる。
そこで近年、NAP(Network Access Protection)が知られるようになってきた。NAPは、検疫ネットワークの仕組みを実現するプロトコルであり、コンピュータデバイスがネットワークにアクセスしたりネットワークで通信したりする前に、PCの状態を検査し、予め決められた要件に準拠させるプラットフォームを実現する。
例えば、ネットワークにアクセスしようとする全てのPCは、セキュリティの状態を確認するために用意した特別なネットワーク領域(例えば検査用ネットワーク)に接続させる。この検査用ネットワークは、社内ネットワークとは論理的に切り離されている。まずPCは、検査用ネットワークの中で、そのPCの状態がセキュリティポリシーに合っているかどうかが確認される。具体的には、パーソナル・ファイアウォール(ソフトウェア)が導入されているか、その検出用パターンファイルは最新か、禁止されているソフトウェアをインストールしていないか、またOSの最新修正プログラム(パッチ)を適用しているか、といった内容が確認される。そして、検査に合格したPCのみが、接続を切り替えて社内ネットワークを利用できるようになる。
一方、問題ありと判断されたPCについては、例えば、必要に応じて最新修正プログラムの適用や、パターンファイルの更新といった対策がなされた後に、再度そのPCの状態がセキュリティポリシーに合っているかどうかが確認されてから、社内ネットワークへの接続を許可するようにすることができる。
ここで、NAPは、PCの通信を制限しながら、ネットワークに対しセキュリティポリシーへの準拠を強制できる。しかしながら、検疫ネットワークには厳密な定義はなく、そのため実際にこれを実現する方法は様々である。例えばNAPにおいては、802.1x、IPsec(Security Architecture for Internet Protocol)、VPN(Virtual Private Network)、DHCP(Dynamic Host Configuration Protocol)などのメカニズムが用意されており、これらメカニズムを利用して、例えば,LANスイッチを使って接続先を振り分ける方法や,クライアントにインストールしたパーソナル・ファイアウォールのポリシーで接続先を切り替える方法、DHCPサーバがPCに配布するIPアドレスを変更する方法,ゲートウェイが接続先を振り分ける方法、などが例示される(例えば特許文献1参照)。
本明細書においては、特にDHCPを利用したNAPメカニズムについて取り上げ、NAP DHCPによる検疫ネットワーク実現方法を検討する。上述のPCの状態(検査結果)に応じて、DHCPサーバがPCに配布するIPアドレスを変更する方法である。この方法において、NAP DHCPの動作は、概ね以下の通りである。
(1)PCは、検査用ネットワークに接続されると、NAP対応DHCPサーバに対して、IPアドレス取得要求を行う。ここでIPアドレス取得要求のパケットには、NAPに基づき、PCが安全な機器であるかどうかの判定に用いられる情報が含まれている。安全な機器であるかどうかの判定に用いられる情報とは、例えば、上述の、パーソナル・ファイアウォールが導入されているか、その検出用パターンファイルは最新か、等々の情報である。
(2)NAP対応DHCPサーバは、上述のIPアドレス取得要求のパケットを受信して、PCのいわゆる安全性(例えば、上記のファイアウォール導入の有無等)を検査する。PCの安全性に問題がなければ、完全かつ有効なアドレス情報(例えばアドレス、サブネットマスク、ゲートウェイ、DNS等)がPCに貸与され、社内ネットワークに接続される。
(3)一方、PCの安全性に問題がある場合、NAP対応DHCPサーバは、PCに対し、制限されたアドレス情報を強制的に貸与する。ここで貸与されるアドレス情報は、PCに問題がない場合に貸与されるアドレス情報とは異なり、社内ネットワークに接続できないような制限されたIPアドレス及びサブネットマスクとなる。
以上のNAP DHCP動作よれば、(3)のように、PCの安全性に問題がある場合、PCが制限されたアドレス情報により強制的に構成されると、PCは、社内ネットワーク内の保護された非制限エリアに対して論理的にアクセスできないようになっている。つまり、安全性に問題があるPCは制限エリアに接続され、安全性に問題のないPCは非制限エリアに接続される。
以上のように、上述のネットワーク環境においては、制限エリア内のPCは、非制限エリア内に対して論理的にアクセスできないようになっている。しかしながらこのエリア間でマルチキャストが使用された場合その事情は異なってくる。
マルチキャストは、クラスDアドレス(224.0.0.0 〜 239.255.255.255)のいわゆるマルチキャストアドレスを使用し、特定のグループを指定して行う通信である。このアドレスは、宛先アドレスとしてのみ使用され、送信元アドレスはユニキャストアドレスが使用される。
近年、Bonjour(登録商標)に代表されるように、マルチキャストパケットを用いて検索を行なうプロトコルが実装されることも多く、非制限エリア内の安全性に問題のないPCが、マルチキャストを使用して、例えば機器やサービスの検索/通知を行なうと、マルチキャストパケットは制限エリア内の安全性に問題があるPCもまた受信可能であるため、マルチキャストパケット内の送信元アドレスなどが参照されれば、非制限エリア内のPCのIPアドレスが知られてしまう恐れがある。
従って、上述のNAP DHCPによる検疫ネットワークにおいては、非制限エリアに振られているIPアドレスがどのようなものか分かってしまうと、せっかく構築した検疫ネットワークは事実上無効化されてしまうという問題があった。具体的に、制限エリア内のPCのDHCPアドレスを、非制限エリアに振られているIPアドレスに設定変更してしまえば、そのPCは制限エリア内に位置し、論理的にも制限エリア内にアクセスすることができる。
そこで本発明では上記のような問題に鑑みて、検疫ネットワークにおいて、NAP DHCPの実効性を図りながら、機器やサービスの検索/通知を行なえるように通信制御を行うネットワーク機器、通信制御方法、及びプログラムを提供することを目的とする。
上記課題を解決するため、本発明に係るネットワーク機器は、DHCPサーバとネットワークを介し接続され、前記DHCPサーバにより貸与されるDHCPアドレスにより、通信が制限された制限エリア又は通信が制限されない非制限エリア内に接続されるネットワーク機器であって、ブロードキャスト及びマルチキャスト通信を含む通信を行う通信手段と、前記ネットワーク上に自機器情報の通知を行なう通知手段と、を有し、前記DHCPアドレスにより前記非制限エリア内に接続されたとき、前記通信手段は、前記通知手段による自機器情報の通知をマルチキャスト通信に代えてブロードキャスト通信で行うことを特徴とする。
また上記課題を解決するため、本発明に係る上記ネットワーク機器は、前記通信手段は、前記制限エリア内の他機器からマルチキャスト通信を受信したとき、当該通信パケットを破棄することを特徴とする。
また上記課題を解決するため、本発明に係る上記ネットワーク機器は、前記通知手段により自機器情報の通知を行ってから、他機器から通知した当該自機器情報は重複している旨の通知を受信したとき、自機器情報の再通知をマルチキャスト通信に代えてブロードキャスト通信で行うことを特徴とする。
また上記課題を解決するため、本発明に係る上記ネットワーク機器は、前記DHCPアドレスにより前記非制限エリア内に接続されたとき、且つ、前記非制限エリア内にマルチキャスト通信を行う他機器が接続されているときは、前記通信手段は、前記通知手段による自機器情報の通知をマルチキャスト通信で行い、前記通知手段により自機器情報の通知を行ってから、他機器から通知した当該自機器情報は重複している旨の通知を受信しないときは、前記通信手段は、前記通知手段による当該自機器情報削除の通知をマルチキャスト通信で行い、前記通知手段により自機器情報の通知を行ってから、他機器から通知した当該自機器情報は重複している旨の通知を受信したときは、前記通信手段は、前記通知手段による当該自機器情報削除の通知をマルチキャスト通信で行い、さらに、前記通信手段は、前記通知手段による自機器情報の通知をブロードキャスト通信で行うことを特徴とする。
また上記課題を解決するため、本発明に係る上記ネットワーク機器は、前記DHCPアドレスにより前記非制限エリア内に接続されたとき、且つ、前記非制限エリア内にマルチキャスト通信を行う他機器が接続されているときは、前記制限エリア内の他機器からマルチキャスト通信による機器の名前登録通知を受信したとき、通知された機器の名前と自機器の名前との重複を判定する判定手段を有し、前記通信手段は、前記判定手段により通知された機器の名前と自機器の名前とが重複すると判定されると、当該名前登録通知に応答し名前重複通知をマルチキャスト通信により行うことを特徴とする。
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、などに適用したものも本発明の態様として有効である。
本発明によれば、検疫ネットワークにおいて、NAP DHCPの実効性を図りながら、機器やサービスの検索/通知を行なえるように通信制御を行うネットワーク機器、通信制御方法、及びプログラムを提供することができる。
本実施形態に係るネットワーク構成図である。 本実施形態に係るPC1の一実施形態の主要構成を示すハードウェア構成図である。 本実施形態に係るPC1の一実施形態の主要機能を示す機能ブロック図である。 ネットワーク上に自機器情報の通知処理を説明するシーケンス図である。 ネットワーク上の機器情報の検索処理を説明するシーケンス図である。 本実施形態に係るネットワーク構成図である。 ネットワーク上に自機器情報の通知処理を説明するシーケンス図である。 PC6及びPC7の登録リストの状態遷移を示す。 ネットワーク上に自機器情報の通知処理を説明するシーケンス図である。 PC7の登録リストの状態遷移を示す。
以下、本発明を実施するための最良の形態を各実施形態において図面を用いて説明する。
[実施形態1]
<ネットワーク構成>
はじめに、具体的な発明の内容を説明する前に、本発明を実施するにあたってのネットワーク構成について説明する。図1は、本実施形態に係るネットワーク構成図である。図に示されるように、PC1、PC2、NAP対応DHCPサーバ3、ルータ4、PC5、PC6が、ネットワーク上に接続されている。
PC1やPC2は、ネットワークに接続までの過程において、上述のNAP対応DHCP3により、所定のアドレス情報が貸与されている。即ちPC1及びPC2は、NAP対応DHCPサーバ3により、その安全性が検査され、その結果、安全性に問題はないとされたため、非制限用の所定のアドレス情報(IP;133.139.49.0/24、GW;133.139.49.254)が貸与されている。よって、PC1及びPC2は、論理的に非制限エリア内に位置しており、非制限エリア内へのアクセスや、ルータ4の外に対しても接続できるようになっている。
一方、PC5及びPC6もまた、ネットワークに接続されたPCである。但しPC1やMFP2とは異なり、NAP対応DHCPサーバ3により、その安全性が検査され、その結果、安全性に問題があるとされたため、制限用の所定のアドレス情報(IP;192.168.1.0/24)が貸与されている。よって、PC5及びPC6は、論理的に制限エリア内に位置しており、非制限エリア内へのアクセスはできないようになっている。なお、「/24」などはサブネットマスクのビット表記であり、それぞれ10進数表記の「255.255.255.0」と同義であるものとする。
また上述のように、NAP対応DHCPサーバ3は、NAPによる安全性の検査、及びその検査結果に応じてアドレス情報を貸与するDHCPサーバである。なお、NAPによる安全性の検査基準や検査内容は、管理者がネットワークポリシー等に応じて任意に定めうる。
以上、本実施形態に係るNAP DHCPによる検疫ネットワークである。このように、安全性に問題があるとされたPCには、制限エリアに振り分けられる所定のDHCPアドレスを使用させるようにすることにより当該検疫ネットワークが構築されている。
<ハードウェア>
図2は、本実施形態に係るPC1の一実施形態の主要構成を示すハードウェア構成図である。勿論このPC1だけに限られず、PC2、PC5及びPC6についても同様なハードウェアによって構成しうる。PC1は、主要な構成として、CPU101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、補助記憶装置104、記憶媒体読取装置105、入力装置106、表示装置107、及び通信装置108を含む構成である。以下、簡潔に説明する。
CPU101は、マイクロプロセッサ及びその周辺回路から構成され、PC1全体を制御する回路である。また、ROM102は、CPU101で実行される所定の制御プログラム(ソフトウェア部品)を格納するメモリであり、RAM103は、CPU101がROM102に格納された所定の制御プログラム(ソフトウェア部品)を実行して各種の制御を行うときの作業エリア(ワーク領域)として使用するメモリである。
補助記憶装置104は、汎用のOS、機器情報、登録リスト(後述)などを含む各種情報を格納する装置であり、不揮発性の記憶装置であるHDD(Hard Disk Drive)などが用いられる。なお、上記各種情報は、補助記憶装置104以外にも、CD−ROM(Compact Disk - ROM)やDVD(Digital Versatile Disk)などの記憶媒体やその他のメディアを記憶されてもよく、これらの記憶媒体に格納された各種情報は、記憶媒体読取装置105などのドライブ装置を介して読み取ることが可能である。また、必要に応じて記録媒体を記憶媒体読取装置105にセットすることで、各種情報が得られる。
入力装置106は、ユーザが各種入力操作を行うための装置である。入力装置106は、マウス、キーボード、表示装置107の表示画面上に重畳するように設けられたタッチパネルスイッチなどを含む。表示装置107は、例えば、LCD(Liquid Crystal Display)、CRT(Cathode Ray Tube)などから構成される。通信装置3は、ネットワーク5を介して、被管理装置3や機器管理端末2との通信を行う装置である。有線ネットワークや無線ネットワークなど含む各種ネットワーク形態に応じた通信をサポートする。
<機能>
図3は、本実施形態に係るPC1(及びPC2)の一実施形態の主要機能を示す機能ブロック図である。PC1は、主要な機能として、検索部111、通知部112、通信部113、自機器情報114を含む構成である。以下簡潔に説明する。
検索部111は、ネットワーク上の機器情報の検索を行なう機能を有している。検索対象となる機器情報は、例えば、ネットワーク上に接続(存在)している機器のホスト名、IPアドレス、また機器上の各種サービスなどが含まれる。即ち、検索部111はいわゆる機器検索やサービス検索を行う。
通知部112は、ネットワーク上に自機器情報の通知を行なう機能を有している。通知対象となる自機器情報は、例えば、自機器のホスト名、IPアドレス、また自機器上の各種サービスなどが含まれる。即ち、通知部112はいわゆる名前登録の通知やサービス広告、また他機器からの検索応答として自機器情報の応答通知を行う。
通信部113は、ブロードキャスト及びマルチキャスト通信を含む通信を行う。また通信部113は、自機器が非制限エリア内に接続されている場合には、機器情報の検索パケット及び自機器情報の通知パケットを、マルチキャスト通信に代えてブロードキャスト通信で送信する。
自機器情報114は、記憶手段等に記憶されている自機器の情報である。例えば、ホスト名、アドレス情報(IPアドレス、サブネットマスク、ゲートウェイ、DNS等)、また機器上の各種サービスなどが含まれる。
なお、機器上の各種サービスとは、各機器によりネットワーク上の他の機器に提供する各種機能である。つまり、ネットワーク上の各機器はその役割に応じてネットワーク上の他の機器に各種機能を提供しうる。例えば、プリンタ機器は、ネットワーク上のクライアント機器に対して印刷機能を提供している。ネットワークに接続されたクライアント機器は、ネットワーク上に印刷サービスを提供するプリンタ機器がないかどうかを検索(機器情報の検索)し、プリンタ機器から応答(自機器情報の通知)があると、当該プリンタ機器の提供する印刷サービスを利用できるようになる。逆に、ネットワークにプリンタ機器が接続されると、プリンタ機器は、自機器が印刷サービスを提供できる旨をネットワーク上のクライアント機器に通知(自機器情報の通知)することにより、クライアント機器は当該プリンタ機器の提供する印刷サービスを利用できるようになる。
以上これらの機能は、実際にはCPU101が実行するプログラムによりコンピュータに実現させるものである。
<動作>
(自機器情報の通知)
次に、非制限エリア内のPC1が行う自機器情報通知の処理動作について説明していく。図4は、ネットワーク上に自機器情報の通知処理を説明するシーケンス図である。図には、非制限エリア内のPC1及びPC2、また制限エリア内のPC5が示される。以下、説明する。
PC1は、自機器が非制限エリアに接続されているかどうか判定を行う(S401)。PC1は、NAP対応DHCPサーバ3により、その安全性が検査され、その結果、安全性に問題はないとされたため、所定のアドレス情報(IP;133.139.49.1/24、GW;133.139.49.254)が貸与されている。よって、論理的に非制限エリア内に位置していることになる。なお判定は、例えば予め定められたアドレス情報(IP;133.139.49.xxx/24)が貸与されたり、NAP対応DHCPサーバ3により非制限エリア内に位置することを示すフラグ情報等を取得するようにすれば、非制限エリアに接続されていると判定できる。
次に、PC1(通知部112)が自機器情報の通知(例えば名前登録やサービス広告)を行うものとする。つまり、PC1が自機器の名前や提供可能なサービスをネットワーク上の他のPC2に通知する。機器情報が通知されると、他のPC2は、機器情報に含まれるサービスの提供を利用することができる。より具体的にPC1がプリンタ機器であれば、PC2は印刷サービスを利用できる。
通知部112により通知対象となる自機器情報を含む通知パケットが生成されると、通信部113は、自機器が属するネットワークのブロードキャストアドレスの情報を取得し、名前登録通知やサービス広告通知といった通知パケットをブロードキャスト通信で送信する(S403)。送信時、ブロードキャストアドレスの情報を取得するには、自機器情報114が参照される。具体的には、通信部113は、通知パケットの送信先アドレスを133.139.49.255に指定して送信する。このようにすると、通知パケットは、非制限エリア内の機器に送信される一方、制限エリア内の機器(例えばPC5)には送信されない。PC5のアドレスは192.168.1.1なので、PC5はこの通知パケットを論理的に受信しないからである。
ここで、従来例によれば、PC1は通知パケットをマルチキャストにより送信するので、PC5に対しても当該通知パケットが送信しうる。PC5は、PC1からの通知パケットを受信し、その送信元アドレスを参照すれば、PC1のアドレス(133.139.49.1)を特定できる。そして、例えばPC5は、非制限エリア内のネットワーク体系に合致するように自機器のアドレスを133.139.49.xxxと設定変更してしまうことにより、非制限エリア内にアクセスすることができるようになる。即ち、このようなことがなされると、検疫ネットワークは事実上無効化されてしまう。
そこで、本実施形態においてPC1は、通知パケットを、マルチキャスト通信に代えてブロードキャスト通信で送信することにより、送信先(受信先)を非制限エリア内に限定できるので、NAP DHCPの実効性を図りながら、機器やサービスの通知を行なうことができる。
ところで、PC1は、名前登録通知やサービス広告通知といった通知パケットを送信すると、通知した名前が重複している旨を示す重複通知をPC2から受信する場合がある(S404)。PC2は通知パケットを受信すると、自機器内でネットワーク上の機器やサービスを機器リストなどに登録するが、通知されてきた名前が自機器と同一である場合、また既に同一の機器名称が登録されている場合など、その機器名称がネットワーク上重複している旨の通知を返答する。名前の重複が存在していると、機器リスト上、同一名称の機器が複数登録されてしまい、当該機器にアクセスする場合、いずれの機器にアクセスすればよいか判断できなくなるという問題が生じるからである。
従って、PC1はこの重複通知を受信すると、通知部112は、重複している機器の名前を変更してから再び通知対象となる自機器情報を含む通知パケットを生成する。そして、通信部113は、自機器が属するネットワークのブロードキャストアドレスの情報を取得し、名前登録通知の通知パケットをブロードキャスト通信で再送信する(S405)。
このようにすると、PC1は、通知を行った自機器情報が既にネットワーク上で登録(使用)されている場合、自機器情報を重複しないよう再変更を行い、再び通知パケットをブロードキャスト通信により再送信するので、送信先(受信先)を非制限エリア内に限定しつつ、自機器情報の修正を行うことができる。なお、さらに再びPC1が重複通知を受信した場合は、重複している機器の名前を再び変更してから、名前登録通知の通知パケットをブロードキャスト通信での再送信を繰り返せばよい。
さて今度は、制限エリア内のPC5が自機器情報の通知(例えば名前登録やサービス広告)を行うケースを考える。PC5は、NAP対応DHCPサーバ3により、その安全性が検査され、その結果、安全性に問題があるとされたため、所定のアドレス情報(IP;192.168.1.1/24)が貸与されている。つまり、PC5は論理的に制限エリア内に位置しており、非制限エリア内へのアクセスはできないようになっている。
PC5は、自機器が非制限エリアに接続されているかどうか判定を行う(S411)。この場合、非制限エリア内に位置していないので、制限エリアに接続されていると判定される。判定結果に応じて、機器が非制限エリアに接続されている場合は通知パケットをブロードキャスト通信で送信し、機器が制限エリアに接続されている場合は通知パケットをマルチキャスト通信で送信するように制御される。
次に、PC5は自機器情報の通知(例えば名前登録やサービス広告)を行う。PC5は通知パケットを生成すると、従来と同様に、名前登録通知やサービス広告通知といった通知パケットをマルチキャスト通信で送信する(S412)。PC5は通知パケットをマルチキャストにより送信するので、非制限エリア内のPC1やPC2に対しても当該通知パケットが送信される。
PC1(及びPC2)は、制限エリア内の他機器からマルチキャスト通信を受信すると、当該マルチキャスト通信パケットを破棄する処理を行う(S413)。マルチキャスト通信であるかどうかは、マルチキャストアドレスにより判断できる。制限エリア内の他機器からのものであるかは、自機器情報114を参照することにより判断できる。
PC1は、制限エリア内の機器からの通知パケットを登録リストなどに登録しても、その機器は制限エリア内の機器(安全でない機器)であるので、当該機器にアクセスすべきでない。また、PC1が制限エリア内の他機器からの通知パケットを登録リストなどに登録し、登録された制限エリア内の他機器に応答してしまうと、自機器情報を制限エリア内の機器に知らせてしまうことになるので、本実施形態のPC1は、制限エリア内の他機器からマルチキャスト通信パケットを破棄するようにしている。このようにすることで非制限エリア内のPC1のアドレスが特定されることを防止し、ひいてはNAP DHCPの実効性を図ることができる。
(機器情報の検索)
次に、非制限エリア内のPC1が行う機器情報の検索の処理動作について説明していく。図5は、ネットワーク上の機器情報の検索処理を説明するシーケンス図である。図には、非制限エリア内のPC1及びPC2、また制限エリア内のPC5が示される。上述したように、PC1は機器情報の通知において通知パケットをブロードキャスト通信で送信を行った。ここでPC1は機器情報の検索においてもまた検索パケットをブロードキャスト通信にて送信を行うようになっている。以下、説明する。
PC1は、自機器が非制限エリアに接続されているかどうか判定を行う(S501)。この場合、PC1は自機器が非制限エリアに接続されていると判定される。
次に、PC1(検索部111)がネットワーク上の機器情報の検索(例えば名前検索やサービス検索)を行うものとする。つまり、PC1が他機器の提供するサービスを利用する場合、利用可能な他機器の名前やサービスをネットワーク上の他機器から検索を行なう。例えば、PC1はネットワーク上に印刷サービスを提供するプリンタ機器がないかどうかを検索(機器情報の検索)し、プリンタ機器から応答(自機器情報の通知)があると、当該プリンタ機器の提供する印刷サービスを利用できるようになる。
検索部111により検索パケットが生成されると、通信部113は、自機器が属するネットワークのブロードキャストアドレスの情報を取得し、当該検索パケットをブロードキャスト通信で送信する(S503)。送信時、ブロードキャストアドレスの情報を取得するには、自機器情報114が参照される。具体的には、通信部113は、検索パケットの送信先アドレスを133.139.49.255に指定して送信する。このようにすると、検索パケットは、非制限エリア内の機器に受信される一方、制限エリア内の機器(例えばPC5)には受信されない。PC5のアドレスは192.168.1.1なので、PC5はこの検索パケットを論理的に受信しないからである。
ここで、従来例によれば、PC1は検索パケットをマルチキャストにより送信するので、PC5に対しても当該検索パケットが受信されうる。PC5は、PC1からの検索パケットを受信し、その送信元アドレスを参照すれば、PC1のアドレス(133.139.49.1)を特定できてしまうので、検疫ネットワークは事実上無効化されてしまう。
そこで、本実施形態においてPC1は、検索パケットを、マルチキャスト通信に代えてブロードキャスト通信で送信することにより、送信先(受信先)を非制限エリア内に限定できるので、NAP DHCPの実効性を図りながら、機器やサービスの検索を行なうことができる。
一方、PC2はPC1からの検索パケットを受信すれば、自機器情報を含む応答パケットをユニキャスト通信(又はブロードキャスト通信)により送信を行う(S504)。
さて今度は、制限エリア内のPC5が機器情報の検索を行うケースを考える。PC5は、NAP対応DHCPサーバ3により、その安全性が検査され、その結果、安全性に問題があるとされたため、所定のアドレス情報(IP;192.168.1.1/24)が貸与されている。つまり、PC5は論理的に制限エリア内に位置しており、非制限エリア内へのアクセスはできないようになっている。
PC5は、自機器が非制限エリアに接続されているかどうか判定を行う(S511)。この場合、非制限エリア内に位置していないので、制限エリアに接続されていると判定される。判定結果に応じて、機器が非制限エリアに接続されている場合は検索パケットをブロードキャスト通信で送信し、機器が制限エリアに接続されている場合は検索パケットをマルチキャスト通信で送信するように制御される。
次に、PC5はネットワーク上の機器情報の検索(例えば名前検索やサービス検索)を行う。PC5は検索パケットを生成すると、従来と同様に、検索パケットをマルチキャスト通信で送信する(S512)。PC5は検索パケットをマルチキャストにより送信するので、非制限エリア内のPC1やPC2に対しても当該検索パケットが送信される。
PC1(及びPC2)は、制限エリア内の他機器からマルチキャスト通信を受信すると、通信部113は、当該マルチキャスト通信パケットを破棄する処理を行う(S413)。マルチキャスト通信であるかどうかは、マルチキャストアドレスにより判断できる。制限エリア内の他機器からのものであるかは、自機器情報114を参照することにより判断できる。
もしもPC1(通知部112)が、制限エリア内の他機器からマルチキャスト通信による検索パケットに応答してしまうと、自機器情報を含む応答パケットによって自機器情報を制限エリア内の機器に知らせてしまうことになるので、本実施形態のPC1は、制限エリア内の他機器からマルチキャスト通信パケットを破棄するようにしている。このようにすることで非制限エリア内のPC1のアドレスが特定されることを防止し、ひいてはNAP DHCPの実効性を図ることができる。
なお、PC1(通知部112)は、非制限エリア内の他機器からマルチキャスト通信による検索パケットを受信した場合、ユニキャスト通信により応答できる。但し、非制限エリア内のPC1は、ブロードキャスト通信により検索パケットを送信することころ、非制限エリア内の、マルチキャスト通信により検索パケットを送信してくる他機器とは、従来技術による機器(例えば後述PC7に相当)ということになる。
[実施形態2]
実施形態1で述べたように、非制限エリア内のPC1(及びPC2)からの通知パケットや検索パケットはブロードキャスト通信により送信されるため、制限エリア内のPC5(及びPC6)は受信することはできない。そのため、非制限エリア内及び制限エリア内にそれぞれ重複する名前を持つ機器が存在していたとしても、重複通知がなされることはなく、これを検知し修正することはできない。この場合、重複する名前を持つ機器が非制限エリアと制限エリアの両方に存在することになる。
しかしそのような場合でも、実施形態1による非制限エリア内のPC1(及びPC2)は、制限エリアの端末とマルチキャスト通信を行うことがないため、自機器内でネットワーク上の機器やサービスを登録する「機器リスト」において、同一の機器名称が登録されることはなく、問題は特に発生しない。この場合、非制限エリア内及び制限エリア内にそれぞれ重複する名前を持つ機器が存在していたとしても、PC1の機器リストにおいては、非制限エリア内の機器の名前だけが登録されているからである。
しかしながら、非制限エリアにおいて、従来技術による機器(PC7とする)が存在するような場合、その機器は、マルチキャスト通信により通知パケットや検索パケットを送信してしまうため、非制限エリアと制限エリアにおいて重複する名前を持つ機器の、両方を発見、検索できてしまう。このため、PC7の機器リストにおいては、非制限エリア内及び制限エリア内にそれぞれ重複する名前を持つ機器の名前の両方が登録されているため、通信ができなくなる可能性がある。例えば、重複する名前を持つ機器が提供するサービスを利用しようとしても、名前が重複する機器が複数存在するためどの機器を選択すればよいか分からなくなる。
図6は、本実施形態に係るネットワーク構成図である。図に示されるように、PC1、PC2、NAP対応DHCPサーバ3、ルータ4、PC5、PC6、またさらにPC7がネットワーク上に接続されている。図1に示されるネットワーク構成図とは、PC7(133.139.49.3/24)が非制限エリア内に接続される点で異なる。またPC1の機器名称を「hostA」、PC5の機器名称を「hostA」とする。
図7は、ネットワーク上に自機器情報の通知処理を説明するシーケンス図である。図には、非制限エリア内のPC1及びPC7、また制限エリア内のPC6が示される。また図8は、PC6及びPC7の登録リストの状態遷移を示す。以下、図面を参照しながら説明する。
PC1は、自機器が非制限エリアに接続されているかどうか判定を行う(S701)。この場合、PC1は自機器が非制限エリアに接続されていると判定される。
自機器情報(例えば機器名称)が制限エリア内の機器と重複しているかどうかを確認する目的で、通知部112により通知対象となる自機器情報を含む通知パケットが生成されると、PC1の通信部113は、名前登録通知の通知パケットをマルチキャスト通信で送信する(S702)。ここで通知パケットには、登録を通知する名前として「hostA」の情報が含まれている。また、通知パケットはマルチキャスト通信により送信されるため、通知パケットは、非制限エリア内のPC7及び制限エリア内にPC5、PC6に送信される。
このときのPC7及びPC6の登録リストの状態を図8(S702)に示す。PC7には、既に名前「hostA」が登録されているので新たに登録されず、PC6にもまた、既に名前「hostA」が登録されているので新たに登録されない。この「hostA」はPC5に対応する。なおここで、PC7の登録リストに既に名前「hostA」が登録されているのは、上述したようにPC7は従来技術による機器であり、マルチキャスト通信により通知パケットや検索パケットを送信するため、制限エリア内のPC5(名前「hostA」)までを発見、検索してしまっているからである。同様に、PC6の登録リストに既に名前「hostA」が登録されているのは、同エリア内へのマルチキャスト通信により通知パケットや検索パケットを送信し、制限エリア内のPC5(名前「hostA」)を発見、検索しているからである。
PC5は、通知されてきた名前が自機器と同一であり、その機器名称がネットワーク上重複しているので、PC1に対して重複通知を行う(S703)。PC1はこの重複通知を受信すると、ネットワーク上には既に同一の名前「hostA」が登録(使用)されているとことを示すので、通知部112は、重複している機器の名前を例えば「hostB」に変更してから、再び通知対象となる自機器情報を含む通知パケットを生成する。そして変更後の機器の名前が制限エリア内の機器と重複しているかどうかを確認する目的で、通信部113は、名前登録通知の通知パケットをマルチキャスト通信で再送信する(S704)。このときのPC7及びPC6の登録リストの状態を図8(S704)に示す。PC7及びPC6には、それぞれPC1の名前「hostB」が登録される。
PC1は、一定期間重複通知が受信されなければ、変更後の名前「hostB」での重複はないものと判断し、通知部112は、名前削除通知(「hostB」の削除)を行う(S705)。このときのPC7及びPC6の登録リストの状態を図8(S705)に示す。PC7及びPC6には、それぞれPC1の名前「hostB」が削除され、名前「hostA」のみ残る。
なおここで、PC1が名前削除を行っているのは、マルチキャスト通信による名前登録通知はあくまで制限エリア内でPC1と重複する名前の機器の存在の有無を確認するためであるからである。名前登録通知を利用して、重複通知を受信するかどうかを判断しこれを受信した場合は、制限エリア内でPC1と重複する名前の機器が存在すると判断している。そして重複する場合、最終的に、PC1は改めて名前を変更して、従来技術によるPC7の登録リストに変更後の名前が反映させればよく、PC6の登録リストにPC1変更後の名前を残しておくことは、PC1のアドレス情報が残ることにつながるのでむしろ不都合である。
PC1の通信部113は、自機器が属するネットワークのブロードキャストアドレスの情報を取得し(S706)、変更後の名前登録通知の通知パケットをブロードキャスト通信で送信する(S707)。重複している名前「hostA」を変更して、従来技術によるPC7の登録リストに変更後の名前「hostB」が反映させる。また通知パケットをブロードキャスト通信で送信するのは、制限エリア内の機器への通知を防止するためである。このときのPC7及びPC6の登録リストの状態を図8(S707)に示す。PC7には、PC5の名前「hostA」、PC1の名前「hostB」が登録され、PC6には、最終的にPC5の名前「hostA」のみ残る。なお、PC6の登録リストには、名前の重複確認を行なうため推移過程でPC1が登録されてしまい一時的に非制限エリア内のアドレス情報が知られる可能性はあるものの、最終的にはPC6の登録リストからPC1の情報は削除されるようにすることで、非制限エリア内のPC1のアドレスが特定されることを防止し、ひいてはNAP DHCPの実効性を担保できるようにしている。
以上のように、PC7は、従来技術による機器(PC7)が非制限エリア内に存在するような場合、通知パケットや検索パケットを送信する場合、マルチキャスト通信により通知パケットや検索パケットを送信してしまう。PC7は、マルチキャスト通信により通知パケットや検索パケットを行なうことにより、PC7の機器リストにおいては、非制限エリア内及び制限エリア内にそれぞれ重複する名前を持つ機器、即ち「hostA」が2つ登録されてしまうことになる。そこで本実施形態に係る非制限エリア内のPC1は、名前登録通知を行う際、一時的にマルチキャスト通信を行って制限エリア内に自機器と重複する名前を持つ機器が存在しているかの確認を行ない、重複する機器が存在する場合、非制限エリア内の従来技術による機器に対して、ブロードキャスト通信により自機器の名前を変更して通知パケットを送信する。従って、従来技術による機器が、登録リスト上同一の名前を持つ機器が登録されることを防止できる。
以上をより具体的な例に即していえば、ユーザが従来技術によるPC7(非制限エリア内)を使用して、Bonjour(登録商標)による検索ツールなどでネットワーク検索を行なうと、「hostA」なる名前の機器が2つ(PC1及びPC5)表示されてきてしまう場合がある。そこでこのような名前重複を解消するべく、ユーザはPC1側で所定操作を行うことで、S702のPC1の通信部113に、名前登録通知の通知パケットを一時マルチキャスト通信で送信させる。そうすれば、PC1の上述の動作により、PC7上の検索ツールにおいて生じていた名前重複は解消され、改めて「hostA」(PC5)、「hostB」(PC1)という機器が表示されてくるようになるのである。なおこの場合のように、名前重複が明らかであれば、PC1には重複確認(S702)を省略させ、名前変更後の名前登録再通知(S704)から処理を進めさせてもよい。
さて、実施形態1で述べたように、PC1(及びPC2)は、制限エリア内の他機器からのマルチキャスト通信パケットに応答してしまうと、自機器情報を制限エリア内の機器に知らせてしまうことになるので、制限エリア内の他機器からマルチキャスト通信を受信すると、当該マルチキャスト通信パケットを破棄する処理を行うようになっている(S413)。
そのため、制限エリア内の他機器(例えばPC5)から名前登録通知がなされたとき、PC1から重複通知がなされることはなく、非制限エリア内及び制限エリア内にそれぞれ重複する名前を持つ機器が存在していたとしても、PC5はこれを検知し修正することはできない。この場合、重複する名前を持つ機器が非制限エリアと制限エリアの両方に存在することになる。
しかしそのような場合でも、実施形態1による非制限エリア内のPC1(及びPC2)は、制限エリアの端末とマルチキャスト通信を行うことがないため、自機器内でネットワーク上の機器やサービスを登録する機器リストにおいて、同一の機器名称が登録されることはなく、問題は特に発生しない。この場合、非制限エリア内及び制限エリア内にそれぞれ重複する名前を持つ機器が存在していたとしても、PC1の機器リストにおいては、非制限エリア内の機器の名前だけが登録されているからである。
しかしながら非制限エリアにおいて、従来技術による機器(PC7とする)が存在するような場合、上述と同様の問題が生じることになる。つまり、PC7は、マルチキャスト通信により通知パケットや検索パケットを送信してしまうため、非制限エリアと制限エリアにおいて重複する名前を持つ機器の、両方を発見、検索でき、PC7の機器リストにおいては、非制限エリア内及び制限エリア内にそれぞれ重複する名前を持つ機器の名前の両方が登録されてしまう。
従って、図7のシーケンスにおいては、PC1が名前登録通知を一時的にマルチキャスト通信により行うことで重複の問題を回避したが、ここでは、PC5からのマルチキャスト通信による名前登録通知を一時的に受信することにより、同様の名前重複の問題を回避する。以下、説明する。
図9は、ネットワーク上に自機器情報の通知処理を説明するシーケンス図である。図には、非制限エリア内のPC1及びPC7、また制限エリア内のPC5が示される。また同様に図6のネットワーク構成図において、PC1の機器名称を「hostA」、PC5の機器名称を「hostA」とする。
PC1は、自機器が非制限エリアに接続されているかどうか判定を行う(S901)。この場合、PC1は自機器が非制限エリアに接続されていると判定される。
通知部112により通知対象となる自機器情報を含む通知パケットが生成されると、通信部113は、自機器が属するネットワークのブロードキャストアドレスの情報を取得し(S902)、名前登録通知の通知パケットをブロードキャスト通信で送信する(S903)。
なお、このときのPC7の登録リストの状態遷移を、図10(S903)に示す。
次に、PC5は自機器情報の通知(例えば名前登録やサービス広告)を行う。PC5は通知パケットを生成すると、従来と同様に、名前登録通知の通知パケットをマルチキャスト通信で送信する(S904)。PC5は通知パケットをマルチキャストにより送信するので、非制限エリア内のPC1やPC7に対しても当該通知パケットが送信される。なお、このときのPC7の登録リストの状態遷移を、図10(S904)に示す。PC7の登録リストには、PC1及びPC5の名前「hostA」が重複登録されている。
ここで上述の実施形態1におけるPC1は、制限エリア内のPC5からマルチキャスト通信を受信すると、当該マルチキャスト通信パケットを破棄する処理を行うところ、本実施形態におけるPC1は、自機器との名前重複を判定し、重複する場合、これを受信する(S905)。ここで、もしPC5からの名前登録通知を破棄すれば、PC7の登録リストには、PC1及びPC5の名前「hostA」の重複登録が維持されてしまうことになる。
よって、PC1の通信部113は、名前登録重複通知の通知パケットをマルチキャスト通信で送信する(S906)。そしてこれを受けてPC5は、PC5は名前登録再通知の再通知パケット(名前「hostB」に変更)をマルチキャストにより送信する(S907)。PC7は、名前登録再通知の再通知パケットを受信すると、これを登録リストに再登録する。このときのPC7の登録リストの状態遷移を、図10(S907)に示す。PC7の登録リストには、PC1の名前「hostA」、PC5の名前「hostB」が登録されており、名前の重複登録が解消される。
一方、本実施形態におけるPC1は、名前登録再通知の再通知パケットを受信すると、再び自機器との名前重複を判定し(S908)、重複しないため今度はこれを破棄する(S909)。
以上のように、PC7は、従来技術による機器(PC7)が非制限エリア内に存在するような場合、通知パケットや検索パケットを送信する場合、マルチキャスト通信により通知パケットや検索パケットを送信してしまう。PC1は、マルチキャスト通信による通知パケットや検索パケットを破棄することにより、PC7の機器リストにおいては、非制限エリア内及び制限エリア内にそれぞれ重複する名前を持つ機器、即ち「hostA」が2つ登録されてしまうことになる。そこで本実施形態に係る非制限エリア内のPC1は、制限エリア内から機器(PC5)から、マルチキャスト通信による名前登録通知を受信し、自機器と重複する名前を持つ機器が存在する場合、これを受信、応答し、名前重複通知をマルチキャスト通信により送信する。このようにすると、制限エリア内から機器(PC5)は、自機器の名前を変更して再び通知パケットを送信するので、ネットワーク上名前重複は解消される。つまり、従来技術による機器(PC7)が、登録リスト上同一の名前を持つ機器が登録されることを防止できる。
<総括>
以上のように、本実施形態に係るネットワークにおいては、DHCPサーバとネットワークを介し、前記DHCPサーバにより貸与されるDHCPアドレスにより、通信が制限された制限エリア又は通信が制限されない非制限エリア内に接続されるネットワーク機器は接続される。
このようないわゆる検疫ネットワーク下では、非制限エリア内の安全性に問題のないPCが、マルチキャストを使用して、例えば機器やサービスの検索/通知を行なうと、マルチキャストパケットは制限エリア内の安全性に問題があるPCもまた受信可能であるため、マルチキャストパケット内の送信元アドレスなどが参照されれば、非制限エリア内のPCのIPアドレスが知られてしまう恐れがある。
そこで本実施形態に係るネットワーク機器は、ブロードキャスト及びマルチキャスト通信を含む通信を行う通信手段と、前記ネットワーク上に自機器情報の通知を行なう通知手段と、を有し、前記DHCPアドレスにより前記非制限エリア内に接続されたとき、前記通信手段は、前記通知手段による自機器情報の通知をマルチキャスト通信に代えてブロードキャスト通信で行う。
この構成によれば、本実施形態に係る非制限エリア内のネットワーク機器(例えばPC1)は、自機器情報を含む通知パケットを、マルチキャスト通信に代えてブロードキャスト通信で送信することにより、送信先(受信先)を非制限エリア内に限定できるので、非制限エリアに振られているIPアドレス等の漏洩を防止し、NAP DHCPの実効性を図りながら、機器やサービスの通知を行なうことができる。また同様の観点から、本実施形態に係るネットワーク機器(例えばPC1)は、検索パケットのマルチキャスト通信に代えてブロードキャスト通信で送信するように構成されるので、NAP DHCPの実効性を図りながら、機器やサービスの検索を行なうことができる。
また、本実施形態に係る非制限エリア内のネットワーク機器は、通知パケットや検索パケットをブロードキャスト通信で受信した際は、送信元のエリアに応じて、パケットを破棄するので、その応答パケットについてもその送信先(受信先)を非制限エリア内に限定できる。
また、本実施形態に係る非制限エリア内のネットワーク機器は、機器やサービスの通知に伴い/又は機器やサービスの検索に伴い名前登録の重複が発生した際は、マルチキャスト通信及びブロードキャスト通信を使い分けつつ/又はマルチキャスト通信の受信及び破棄を使い分けつつ、名前登録の重複を解消するので、このような場合であってもNAP DHCPの実効性を担保できる。
即ち以上のように本発明によれば、検疫ネットワークにおいて、NAP DHCPの実効性を図りながら、機器やサービスの検索/通知を行なえるように通信制御を行うネットワーク機器、通信制御方法、及びプログラムを提供することが可能となる。
なお、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。実施形態中のPCなどは、ネットワーク機器全般に適用でき、例えば、モバイル端末や画像形成装置にも適用できる。
1、2、5−7 PC
3 NAP対応DHCPサーバ
4 ルータ
101 CPU
102 ROM
103 RAM
104 補助記憶装置
105 記憶媒体読取装置
106 入力装置
107 表示装置
108 通信装置
111 検索部
112 通知部
113 通信部
114 自機器情報
特開2008−154012号

Claims (9)

  1. 外部サーバとネットワークを介し接続され、前記外部サーバにより貸与されるアドレスにより、通信が制限された制限エリア又は通信が制限されない非制限エリア内に接続されるネットワーク機器であって、
    ブロードキャスト及びマルチキャスト通信を含む通信を行う通信手段と、
    前記ネットワーク上に自機器情報の通知を行なう通知手段と、を有し、
    前記アドレスにより前記非制限エリア内に接続されたとき、前記通信手段は、前記通知手段による自機器情報の通知をマルチキャスト通信に代えてブロードキャスト通信で行うこと、
    を特徴とするネットワーク機器。
  2. 前記通信手段は、前記制限エリア内の他機器からマルチキャスト通信パケットを受信したとき、当該マルチキャスト通信パケットを破棄すること、
    を特徴とする請求項1記載のネットワーク機器。
  3. 前記通知手段により自機器情報の通知を行ってから、他機器から通知した当該自機器情報は重複している旨の通知を受信したとき、自機器情報の再通知をマルチキャスト通信に代えてブロードキャスト通信で行うこと、
    を特徴とする請求項1又は2記載のネットワーク機器。
  4. 前記アドレスにより前記非制限エリア内に接続されたとき、且つ、前記非制限エリア内にマルチキャスト通信を行う他機器が接続されているときは、
    前記通信手段は、前記通知手段による自機器情報の通知をマルチキャスト通信で行い、
    前記通知手段により自機器情報の通知を行ってから、他機器から通知した当該自機器情報は重複している旨の通知を受信しないときは、前記通信手段は、前記通知手段による当該自機器情報削除の通知をマルチキャスト通信で行い、
    前記通知手段により自機器情報の通知を行ってから、他機器から通知した当該自機器情報は重複している旨の通知を受信したときは、前記通信手段は、前記通知手段による当該自機器情報削除の通知をマルチキャスト通信で行い、さらに、前記通信手段は、前記通知手段による自機器情報の通知をブロードキャスト通信で行うこと、
    を特徴とする請求項1記載のネットワーク機器。
  5. 前記アドレスにより前記非制限エリア内に接続されたとき、且つ、前記非制限エリア内にマルチキャスト通信を行う他機器が接続されているときは、
    前記制限エリア内の他機器からマルチキャスト通信による機器の名前登録通知を受信したとき、通知された機器の名前と自機器の名前との重複を判定する判定手段を有し、
    前記通信手段は、前記判定手段により通知された機器の名前と自機器の名前とが重複すると判定されると、当該名前登録通知に応答し名前重複通知をマルチキャスト通信により行うこと、
    を特徴とする請求項2記載のネットワーク機器。
  6. 外部サーバとネットワークを介し接続され、前記外部サーバにより貸与されるアドレスにより、通信が制限された制限エリア又は通信が制限されない非制限エリア内に接続されるネットワーク機器であって、
    ブロードキャスト及びマルチキャスト通信を含む通信を行う通信手段と、
    前記ネットワーク上の機器情報の検索を行なう検索手段と、を有し、
    前記アドレスにより前記非制限エリア内に接続されたとき、前記通信手段は、前記検索手段による機器情報の検索を、マルチキャスト通信に代えてブロードキャスト通信で行うこと、
    を特徴とするネットワーク機器。
  7. 前記通信手段は、前記制限エリア内の他機器からマルチキャスト通信パケットを受信したとき、当該マルチキャスト通信パケットを破棄すること、
    を特徴とする請求項6記載のネットワーク機器。
  8. 外部サーバとネットワークを介し接続され、前記外部サーバにより貸与されるアドレスにより、通信が制限された制限エリア又は通信が制限されない非制限エリア内に接続されるネットワーク機器における通信制御方法であって、
    前記ネットワーク機器は、
    ブロードキャスト及びマルチキャスト通信を含む通信を行う通信手順と、
    前記ネットワーク上に自機器情報の通知を行なう通知手順と、を有し、
    前記アドレスにより前記非制限エリア内に接続されたとき、前記通信手順は、前記通知手順による自機器情報の通知をマルチキャスト通信に代えてブロードキャスト通信で行うこと、
    を特徴とする通信制御方法。
  9. 請求項8記載の通信制御方法をコンピュータに実行されるためのプログラム。
JP2009280825A 2009-12-10 2009-12-10 ネットワーク機器、通信制御方法、及びプログラム Expired - Fee Related JP5540679B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2009280825A JP5540679B2 (ja) 2009-12-10 2009-12-10 ネットワーク機器、通信制御方法、及びプログラム
EP20100251958 EP2334030A3 (en) 2009-12-10 2010-11-18 Network apparatus, communication control method, and recording medium
US12/959,896 US8874702B2 (en) 2009-12-10 2010-12-03 Network apparatus, communication control method, and recording medium
CN201010584430.4A CN102098283B (zh) 2009-12-10 2010-12-07 网络装置和通信控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009280825A JP5540679B2 (ja) 2009-12-10 2009-12-10 ネットワーク機器、通信制御方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2011124796A JP2011124796A (ja) 2011-06-23
JP5540679B2 true JP5540679B2 (ja) 2014-07-02

Family

ID=43662241

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009280825A Expired - Fee Related JP5540679B2 (ja) 2009-12-10 2009-12-10 ネットワーク機器、通信制御方法、及びプログラム

Country Status (4)

Country Link
US (1) US8874702B2 (ja)
EP (1) EP2334030A3 (ja)
JP (1) JP5540679B2 (ja)
CN (1) CN102098283B (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012250622A (ja) 2011-06-03 2012-12-20 Yazaki Corp 照明ユニットの組み付け構造

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4080599B2 (ja) * 1998-06-17 2008-04-23 富士通株式会社 通信制御装置およびマルチキャスト対応lanに適用される通信制御方法
JP2003264570A (ja) 2002-03-07 2003-09-19 Ricoh Co Ltd データ取得装置、データ取得方法、該データ取得方法を実行するプログラムを記録した記録媒体、および通信装置
US20050122973A1 (en) * 2003-12-09 2005-06-09 Samsung Electronics Co., Ltd. Network node capable of restricting a packet receiving activity during packet congestion and method thereof
JP4670670B2 (ja) 2005-03-23 2011-04-13 パナソニック株式会社 構内交換機システム
WO2008035492A1 (fr) * 2006-09-19 2008-03-27 Nec Corporation routeur d'accès, serveur dhcp, système d'envoi de publicité de routeur, et son procédé, routeur d'ancrage et programme
JP4895793B2 (ja) 2006-12-19 2012-03-14 株式会社日立製作所 ネットワーク監視装置及びネットワーク監視方法
US9497039B2 (en) * 2009-05-28 2016-11-15 Microsoft Technology Licensing, Llc Agile data center network architecture

Also Published As

Publication number Publication date
EP2334030A3 (en) 2012-11-28
JP2011124796A (ja) 2011-06-23
US8874702B2 (en) 2014-10-28
US20110145375A1 (en) 2011-06-16
CN102098283A (zh) 2011-06-15
EP2334030A2 (en) 2011-06-15
CN102098283B (zh) 2014-05-07

Similar Documents

Publication Publication Date Title
EP3465517B1 (en) Hardware-based virtualized security isolation
US7694343B2 (en) Client compliancy in a NAT environment
Eronen IKEv2 mobility and multihoming protocol (MOBIKE)
JP4546382B2 (ja) 機器検疫方法、および、機器検疫システム
JP4327630B2 (ja) インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
US7725932B2 (en) Restricting communication service
JP4179300B2 (ja) ネットワーク管理方法および装置並びに管理プログラム
JP2006262019A (ja) ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
WO2012132697A1 (ja) 接続先制限システム、接続先制限方法、端末設定制御システム、端末設定制御方法、及びプログラム
JP2006324723A (ja) Lanへの不正アクセス防止方式
JP5540679B2 (ja) ネットワーク機器、通信制御方法、及びプログラム
JP5509999B2 (ja) 不正接続防止装置及びプログラム
JP2007124258A (ja) ネットワーク中継プログラム、ネットワーク中継方法、ネットワーク中継装置および通信制御プログラム
JP2007299342A (ja) 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末
JP2017085273A (ja) 制御システム、制御装置、制御方法およびプログラム
JP4882030B1 (ja) 接続先制限システム、接続先制限方法
JP2006107158A (ja) ストレージネットワークシステム及びアクセス制御方法
Eronen RFC 4555: IKEv2 Mobility and Multihoming Protocol (MOBIKE)
JP5446814B2 (ja) ネットワークシステム、ネットワーク機器、通信制御方法、及びプログラム
JP4900828B2 (ja) 通信装置、通信方法、プログラムおよび記録媒体
JP5958902B2 (ja) ネットワークシステム
JP2023541643A (ja) ローミングdnsファイアウォール
JP2021190771A (ja) 通信制御装置及び通信制御プログラム
JP5248445B2 (ja) 通信エージェント、検疫ネットワークシステム
JP5433340B2 (ja) 通信システム、vpn装置、nicおよびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120912

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130903

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131101

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140107

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140408

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140421

LAPS Cancellation because of no payment of annual fees