JP6511001B2 - Network communication confirmation system and network communication confirmation method - Google Patents

Network communication confirmation system and network communication confirmation method Download PDF

Info

Publication number
JP6511001B2
JP6511001B2 JP2016075639A JP2016075639A JP6511001B2 JP 6511001 B2 JP6511001 B2 JP 6511001B2 JP 2016075639 A JP2016075639 A JP 2016075639A JP 2016075639 A JP2016075639 A JP 2016075639A JP 6511001 B2 JP6511001 B2 JP 6511001B2
Authority
JP
Japan
Prior art keywords
communication confirmation
packet
password
confirmation packet
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016075639A
Other languages
Japanese (ja)
Other versions
JP2017188763A (en
Inventor
利幸 岡
利幸 岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016075639A priority Critical patent/JP6511001B2/en
Publication of JP2017188763A publication Critical patent/JP2017188763A/en
Application granted granted Critical
Publication of JP6511001B2 publication Critical patent/JP6511001B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク疎通確認システムおよびネットワーク疎通確認方法に関する。   The present invention relates to a network communication confirmation system and a network communication confirmation method.

コンピュータシステム上にあらかじめ用意した自律診断機能で検知できないサイレント故障(silent failures、サイレント障害ともいう)が発生する場合がある。サイレント故障は、管理ツール上にエラーメッセージが表示されることなく性能劣化などの症状が出る。そのまま放置すれば最終的にネットワーク(以下、適宜NWという)に接続できなくなったり、システム全体に悪影響が及んだりして、大規模な障害につながりやすい。サイレント故障は、その発生に気付きにくいだけでなく、原因の特定に手間や時間がかかる。   Silent failures (also called silent failures) that can not be detected by an autonomous diagnostic function prepared in advance on a computer system may occur. The silent failure causes symptoms such as performance degradation without displaying an error message on the management tool. If left as it is, it will eventually be unable to connect to the network (hereinafter referred to as NW as appropriate) or the entire system will be adversely affected, leading to a large scale failure. A silent failure is not only hard to notice the occurrence, but also takes time and time to identify the cause.

故障被疑個所を特定するトラブルシューティング・ツールとして「pingコマンド」がある。このpingコマンドは、指定されたあて先ホストに対して、ICMP(Internet Control Message Protocol)プロトコル(TCP/IPプロトコルにおける、基本的な制御用プロトコル)を送信し、その応答状態を表示させる。このpingと同様の目的に使われるコマンドとして、traceroute(Windows(登録商標)ではtracert)コマンドがある。tracerouteコマンドは、pingコマンドと同じくICMPプロトコルのEcho要求を送信することにより、指定されたあて先への到達可能性を調査する。tracerouteコマンドは、ルーチングの途中で経由したホスト(ルータ)を逐一表示する。   There is a "ping command" as a troubleshooting tool for identifying a suspected failure point. This ping command transmits the Internet Control Message Protocol (ICMP) protocol (basic control protocol in the TCP / IP protocol) to the designated destination host and displays the response status. As a command used for the same purpose as this ping, there is a traceroute (in Windows (registered trademark) tracert) command. The traceroute command investigates the reachability to a specified destination by sending an Echo request of the ICMP protocol as well as a ping command. The traceroute command displays one by one the hosts (routers) passed through during routing.

非特許文献1には、あらかじめ決められたポリシーに従ってパケットの送信制御(フィルター等)を実行するDPI(Deep Packet Inspection)の振分け制御技術が記載されている。DPIにおけるポリシーは、5-tuple(送信元/宛先IPアドレス、送信元/宛先ポート、プロトコル番号)が識別キーである。5-tupleは、送信元が悪意のあるユーザである場合、詐称が可能である。   Non-Patent Document 1 describes a distribution control technique of DPI (Deep Packet Inspection) that executes transmission control (filter or the like) of packets in accordance with a predetermined policy. The policy in DPI is that 5-tuple (source / destination IP address, source / destination port, protocol number) is an identification key. 5-tuple can be spoofed if the sender is a malicious user.

非特許文献2には、クライアントは要求信号にアカウント、パスワードを付与し、サーバにてあらかじめ設定された情報と合致した場合に、要求に対する許可を与える(応答信号を返却する)HTTP(Hypertext Transfer Protocol)におけるBasic認証技術が記載されている。   In Non-Patent Document 2, the client adds an account and a password to the request signal, and when the information matches the information set in advance in the server, HTTP (Hypertext Transfer Protocol) which gives permission for the request (returns the response signal) Basic authentication technology is described.

非特許文献3には、ping送信元がNW上のFW(firewall:ファイアウォール)の設置個所を認識して、(1)HGW(home gateway)のFW設定を開ける、(2)ping送信、(3)HGWのFW設定を閉める、を実行するNGN(Next Generation Network) TEMS(Telecom Equipment Manufacturers)/NTEMSのHGWping技術が記載されている。   In Non-Patent Document 3, the ping source recognizes the installation location of the FW (firewall: firewall) on the NW and (1) opens the FW setting of the HGW (home gateway), (2) ping transmission, (3) HNG ping technology of NGN (Next Generation Network) TEMS (Telecom Equipment Manufacturers) / NTEMS to execute, to close the HGW FW settings is described.

DPIの振分け制御,ネットワンシステムズ発行,[online],[平成28年3月22日検索],インターネット 〈 URL : http://www.bcm.co.jp/itxp/2011/07/cat04/25000000.php〉Distribution control of DPI, issued by Net One Systems, [online], [search on March 22, 2016], Internet <URL: http://www.bcm.co.jp/itxp/2011/07/cat04/25000000 .php〉 NGN TEMS/NTEMSのHGWping,[online],[平成28年3月22日検索],インターネット 〈 URL : http://www.netone.co.jp/report/column/20150805a.html〉NGN TEMS / NTEMS HGWping, [online], [search on March 22, 2016], Internet <URL: http://www.netone.co.jp/report/column/20150805a.html> HTTPにおけるBasic認証,[online],[平成28年3月22日検索],インターネット 〈 URL : https://ja.wikipedia.org/wiki/Basic%E8%AA%8D%E8%A8%BC〉Basic authentication in HTTP, [online], [Search on March 22, 2016], Internet <URL: https://en.wikipedia.org/wiki/Basic%E8%AA%8D%E8%A8%BC>

しかしながら、被疑個所を特定する目的で、疎通確認用パケット(pingまたはtraceroute)の送信を行う際、ルート内にFWが存在する場合には、被疑個所の特定に時間がかかるという課題がある。以下、図10を参照して課題を説明する。   However, there is a problem that it takes a long time to identify the suspected point when transmitting the connectivity confirmation packet (ping or traceroute) for the purpose of identifying the suspected point, if there is an FW in the route. The problem will be described below with reference to FIG.

図10は、既存技術の課題を説明する図である。図10中の実線矢印は、疎通確認用パケットのルート内の流れを示す。図10の×印は、疎通確認用パケットがFW15を超えられないことを示し、図10中の破線矢印は、FW15を超えられなかった疎通確認用パケットの流れを仮想的に示す。
図10に示すように、IPネットワーク10は、エンドツーエンド(end to end)間を結ぶルート(経路)内に複数のルータ11,12,13,14と、ルータ12とルータ13との間に設置されたFW15と、を有し、エンドツーエンド間でIPパケットを中継する。FW15は、FWの設定(アクセスリスト)に従って、ファイアウォールを開け閉め(パケットを通過させる/通過させない)する。また、ネットワーク管理者16は、疎通確認用パケットを送信する。ネットワーク管理者16は、ルート内のFW15のアドレス(存在場所)を把握している。 FIG. 10 is a diagram for explaining the problem of the existing technology. The solid arrows in FIG. 10 indicate the flow in the route of the connectivity confirmation packet. The x marks in FIG. 10 indicate that the continuity check packet can not exceed the FW 15, and the dashed arrows in FIG. 10 virtually indicate the flow of the continuity check packet that can not exceed the FW 15.
As shown in FIG. 10, the IP network 10 has a plurality of routers 11, 12, 13, 14 in a route connecting between end to end (route), and between the router 12 and the router 13. And relays IP packets between end-to-end. The FW 15 opens and closes the firewall (pass / pass packets) according to the configuration (access list) of the FW. Also, the network manager 16 transmits a connectivity confirmation packet. The network administrator 16 knows the address (presence location) of the FW 15 in the route.

サイレント故障が発生した場合などに、疎通確認用パケット送信部(図示省略)(ネットワーク管理者16の場合もある)は、被疑個所特定のために疎通確認用パケット(pingまたはtraceroute)を送信する。図10の例では、NW10のルート内にFW15が存在するので、疎通確認用パケットがFW15を超えるための作業(A),(B),(C)が必要である。
ルート内にFW15が存在する場合には、(A)FW15の存在個所を特定の上、(B)区間を区切ってパケット送信を行う方法と、(C) アクセスリストをパケット通過に設定した後に、疎通確認用のパケット送信を実行し、終了後、アクセスリストをパケット通過させない設定に操作する方法とがある。上記いずれの方法を採っても、ルート内にFW15が存在する場合には、被疑個所の特定に時間がかかるという課題がある。 When a silent failure occurs, the communication confirmation packet transmitter (not shown) (which may be the network administrator 16) transmits a communication confirmation packet (ping or traceroute) to identify a suspected place. In the example of FIG. 10, since the FW 15 exists in the route of the NW 10, operations (A), (B), and (C) are required for the packet for checking the continuity to exceed the FW 15.
If there is FW15 in the route, (A) specify the location of FW15, (B) divide the section to perform packet transmission, (C) after setting the access list to packet passing, There is a method of transmitting a packet for communication confirmation, and operating the setting so as not to pass the access list after the end. Even if any of the above methods is adopted, there is a problem that it takes time to identify the suspected place when the FW 15 exists in the route.

このような背景を鑑みて本発明がなされたのであり、本発明は、故障被疑個所の特定にかかる時間を短縮することができるネットワーク疎通確認システムおよびネットワーク疎通確認方法を提供することを課題とする。   The present invention has been made in view of such backgrounds, and an object of the present invention is to provide a network continuity check system and a network continuity check method capable of shortening the time required to identify a fault suspected part. .

前記した課題を解決するため、請求項1に記載の発明は、パスワードが付与された所定の疎通確認用パケットをネットワーク上に送信する疎通確認用パケット送信部と、前記ネットワーク上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作するFW(firewall)と、前記FWに備えられて当該FWの疎通確認制御を実行する疎通確認用エージェントと、前記疎通確認用パケット送信部と前記疎通確認用エージェント間で前記疎通確認用パケット送信部の正当性を認証する認証サーバと、を備え、前記疎通確認用パケット送信部は、前記認証サーバ経由で前記疎通確認用エージェントにパスワードをあらかじめ設定し、故障被疑個所を特定する場合、前記疎通確認用パケット送信部は、前記疎通確認用パケットを前記ネットワーク上に送信し、前記疎通確認用エージェントは、受信した前記疎通確認用パケットに付与された前記パスワードと、あらかじめ設定したパスワードとを照合し、合致した場合には前記アクセスリストをパケット通過に設定して、前記疎通確認用パケットを疎通確認用パケット送信先に転送し、前記疎通確認用パケット送信先から前記疎通確認用パケットの応答受領後、前記アクセスリストをパケット通過させない設定にする動作を行うことを特徴とするネットワーク疎通確認システムとした。   In order to solve the above-mentioned problems, the invention according to claim 1 is a packet for communication confirmation packet transmission unit for transmitting on a network a predetermined communication confirmation packet to which a password is assigned, and the transmission confirmation message transmission unit installed on the network (Firewall) operating according to an access list for setting the passing of packets not to pass or not passing, an agent for continuity check included in the FW and executing continuity check control of the FW, and the packet for continuity check A transmission unit and an authentication server for authenticating the validity of the communication confirmation packet transmission unit between the communication confirmation agent, and the communication confirmation packet transmission unit transmits the communication confirmation agent to the communication confirmation agent via the authentication server When the password is set in advance and the suspected failure point is identified, the communication confirmation packet transmission unit The communication confirmation packet is transmitted on the network, and the communication confirmation agent collates the password assigned to the received communication confirmation packet with the password set in advance, and when the passwords coincide with each other. The access list is set to pass packets, the communication confirmation packet is transferred to the communication confirmation packet transmission destination, and after the response of the communication confirmation packet is received from the communication confirmation packet transmission destination, the access list is transmitted through the packet. The network connectivity confirmation system is characterized in that it performs an operation to make it not set.

また、請求項3に記載の発明は、パスワードが付与された所定の疎通確認用パケットをネットワーク上に送信する疎通確認用パケット送信部と、前記ネットワーク上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作するFW(firewall)と、前記FWに備えられて当該FWの疎通確認制御を実行する疎通確認用エージェントと、前記疎通確認用パケット送信部と前記疎通確認用エージェント間で前記疎通確認用パケット送信部の正当性を認証する認証サーバと、を備えるネットワーク疎通確認システムのネットワーク疎通確認方法であって、前記疎通確認用パケット送信部では、前記認証サーバ経由で前記疎通確認用エージェントにパスワードをあらかじめ設定するステップと、故障被疑個所を特定する場合、前記疎通確認用パケット送信部では、前記疎通確認用パケットを前記ネットワーク上に送信するステップと、前記疎通確認用エージェントでは、受信した前記疎通確認用パケットに付与された前記パスワードと、あらかじめ設定したパスワードとを照合し、合致した場合には前記アクセスリストをパケット通過に設定して、前記疎通確認用パケットを疎通確認用パケット送信先に転送し、前記疎通確認用パケット送信先から前記疎通確認用パケットの応答受領後、前記アクセスリストをパケット通過させない設定にする動作を行うステップと、を実行することを特徴とするネットワーク疎通確認方法とした。   Also, in the invention according to claim 3, a packet for communication confirmation packet transmitting unit for transmitting a predetermined packet for communication confirmation to which a password is given on the network, and a packet installed on the network and passing the transmitted packet Alternatively, an FW (firewall) operating according to an access list for setting not to pass, an agent for communication confirmation provided in the FW to execute communication confirmation control of the FW, the packet transmission unit for communication confirmation, and the communication confirmation An authentication server for authenticating the legitimacy of the packet transmission unit for communication confirmation among agents for the network communication confirmation system of the network communication confirmation system, wherein the packet transmission unit for communication confirmation uses the authentication server via the authentication server Setting a password in advance to the communication confirmation agent; When identifying the suspected place, the communication confirmation packet transmission unit transmits the communication confirmation packet on the network; and the communication confirmation agent assigns the communication confirmation packet to the received packet. The password and the password set in advance are collated, and if they match, the access list is set to pass packets, the communication confirmation packet is transferred to the communication confirmation packet transmission destination, and the communication confirmation packet transmission The network connectivity confirmation method is characterized by performing the operation of setting the access list not to pass the packet after the response of the connectivity confirmation packet is received from the beginning.

このようにすることで、故障被疑個所を特定する場合、パスワードが付与された所定の疎通確認用パケットを送信するだけで、オンデマンドで動的にFWの設定(アクセスリスト)を変更することができる。これにより、ルート内にFWが存在する場合であっても、ネットワーク管理者などがFWの存在個所を特定する必要がなく、また、ネットワーク管理者などがFWの設定(アクセスリスト)の変更を行う必要がないので、故障の被疑個所特定にかかる時間を短縮することができる。
また、当該疎通確認用パケットに付与されたパスワードを活用して認証を実行しているため、パケット詐称に対する耐性を備えることができる。 In this way, when identifying a suspected failure point, it is possible to dynamically change the setting (access list) of the FW on demand simply by transmitting a predetermined connectivity confirmation packet to which a password is assigned. it can. As a result, even if there is an FW in the route, there is no need for the network administrator or the like to specify the location of the FW, and the network administrator or the like changes the setting (access list) of the FW. Since it is not necessary, it is possible to reduce the time taken to identify a suspected failure point.
In addition, since authentication is performed using the password assigned to the communication confirmation packet, it is possible to provide resistance against packet misrepresentation.

また、請求項2に記載の発明は、前記疎通確認用パケットは、pingまたはtracerouteコマンドを実行するパケットであり、前記疎通確認用パケットに付与された前記パスワードは、IPデータグラムのICMPメッセージに設定されることを特徴とするネットワーク疎通確認システムとした。   The communication confirmation packet is a packet for executing a ping or traceroute command, and the password assigned to the communication confirmation packet is set in an IP datagram datagram. Network connectivity confirmation system.

このようにすることで、TCP/IPプロトコルにおける、基本的な制御用プロトコルであるpingまたはtracerouteコマンドを実行する疎通確認用パケットにパスワードを付与することができ、IPネットワークに汎用的に適用することができる。   By doing this, it is possible to assign a password to a connectivity confirmation packet that executes a ping or traceroute command, which is a basic control protocol in the TCP / IP protocol, and is applied to an IP network generally. Can.

本発明によれば、故障被疑個所の特定にかかる時間を短縮することができるネットワーク疎通確認システム、ネットワーク疎通確認方法およびプログラムを提供することができる。   According to the present invention, it is possible to provide a network connectivity confirmation system, a network connectivity confirmation method, and a program capable of shortening the time required to identify a failure suspected part.

本発明の実施形態に係るネットワーク疎通確認システムを示す構成図である。FIG. 1 is a block diagram showing a network connectivity confirmation system according to an embodiment of the present invention. 本発明の実施形態に係るネットワーク疎通確認システムの疎通確認用パケットの構成を示す図である。It is a figure which shows the structure of the packet for communication confirmation of the network communication confirmation system which concerns on embodiment of this invention. 本発明の実施形態に係るネットワーク疎通確認システムの前処理(FWアドレスリスト登録)を説明する制御シーケンス図である。It is a control sequence diagram explaining pre-processing (FW address list registration) of the network communication check system concerning an embodiment of the present invention. 本発明の実施形態に係るネットワーク疎通確認システムの認証サーバが管理するFWアドレスリストを示す図である。It is a figure which shows the FW address list which the authentication server of the network communication confirmation system which concerns on embodiment of this invention manages. 本発明の実施形態に係るネットワーク疎通確認システムの前処理(事前準備およびパスワード設定)を説明する制御シーケンス図である。It is a control sequence diagram explaining pre-processing (pre-preparation and password setting) of the network communication check system concerning an embodiment of the present invention. 本発明の実施形態に係るネットワーク疎通確認システムのアカウント・ユーザパスワードを登録するアカウントリストを示す図である。It is a figure which shows the account list | wrist which registers the account and user password of the network continuity check system which concerns on embodiment of this invention. 本発明の実施形態に係るネットワーク疎通確認システムのPINGパスワードリストを示す図である。It is a figure which shows the PING password list | wrist of the network communication confirmation system based on embodiment of this invention. 本発明の実施形態に係るネットワーク疎通確認システムの故障被疑個所を特定する場合の制御シーケンス図である。It is a control sequence diagram in the case of specifying a failure suspected part of the network communication confirmation system according to the embodiment of the present invention. 本発明の実施形態に係るネットワーク疎通確認システムのパケット送信先を管理する送信先アドレスリストを示す図である。It is a figure which shows the transmission destination address list which manages the packet transmission destination of the network connectivity check system which concerns on embodiment of this invention. 既存技術の課題を説明する図である。It is a figure explaining the subject of existing technology.

以下、図面を参照して本発明を実施するための形態(以下、「本実施形態」という)におけるネットワーク疎通確認システム等について説明する。
図1は、本発明の実施形態に係るネットワーク疎通確認システムを示す構成図である。
図1に示すように、ネットワーク疎通確認システム100は、疎通確認用パケット送信部110と、FW120に備えられた疎通確認用エージェント130と、認証サーバ140と、を備える。ネットワーク疎通確認システム100は、IPネットワーク10に用いられる。IPネットワーク10は、例えばエンドツーエンド間を結ぶルート(経路)内に複数のルータ11,12,13,14と、ルータ12とルータ13の間に設置されたFW120と、を有し、エンドツーエンド間でIPパケットを中継する。 Hereinafter, a network connectivity confirmation system and the like in a mode for carrying out the present invention (hereinafter, referred to as “this embodiment”) will be described with reference to the drawings.
FIG. 1 is a block diagram showing a network connectivity confirmation system according to an embodiment of the present invention.
As shown in FIG. 1, the network communication confirmation system 100 includes a communication confirmation packet transmitter 110, a communication confirmation agent 130 provided in the FW 120, and an authentication server 140. The network communication confirmation system 100 is used for the IP network 10. The IP network 10 includes, for example, a plurality of routers 11, 12, 13, and 14 in a route (route) connecting end-to-end, and an FW 120 installed between the router 12 and the router 13; Relay IP packets between the ends.

<疎通確認用パケット送信部>
疎通確認用パケット送信部110は、IPネットワーク10上にパケットを送信する装置であればよく、単体でもよいし、各種装置に配置されてもよい。また、配置装置は、どのようなものでもよい。疎通確認用パケット送信部110は、例えばネットワーク管理装置(ネットワーク管理者16)に配置される。
疎通確認用パケット送信部110は、パスワード230(図2参照)が付与された疎通確認用パケット200(図2参照)をIPネットワーク10上に送信する。
疎通確認用パケット送信部110は、認証サーバ140経由で疎通確認用エージェント130にパスワードをあらかじめ設定する(図5参照)。
疎通確認用パケット送信部110は、故障被疑個所を特定する場合、疎通確認用パケット200をIPネットワーク10上に送信する(図8参照)。 <Packet Transmission Confirmation Packet>
The communication confirmation packet transmission unit 110 may be a device that transmits a packet on the IP network 10, may be a single device, or may be disposed in various devices. Also, any arrangement device may be used. The communication confirmation packet transmitter 110 is disposed, for example, in a network management device (network manager 16).
The communication confirmation packet transmitting unit 110 transmits the communication confirmation packet 200 (see FIG. 2) to which the password 230 (see FIG. 2) is added to the IP network 10.
The communication confirmation packet transmitter 110 sets a password in advance in the communication confirmation agent 130 via the authentication server 140 (see FIG. 5).
The communication confirmation packet transmitting unit 110 transmits the communication confirmation packet 200 onto the IP network 10 (see FIG. 8) when identifying the suspected failure point.

<FW>
FW120は、ルーチング(経路制御)を行うルーチング部121(図8参照)を備える。また、ルーチング部121は、疎通確認用エージェント130の指示に従ってルーチングを行うことで疎通確認用エージェント130の疎通確認機能を実行する。FW120は、IPネットワーク10上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作する。また、FW120には、疎通確認用エージェント130がインストールされている。 <FW>
The FW 120 includes a routing unit 121 (see FIG. 8) that performs routing (path control). Further, the routing unit 121 executes the communication check function of the communication check agent 130 by routing according to the instruction of the communication check agent 130. The FW 120 is installed on the IP network 10 and operates in accordance with an access list that sets transmitted packets to pass or not to pass. Further, a communication confirmation agent 130 is installed in the FW 120.

<疎通確認用エージェント>
疎通確認用エージェント130は、FW120の疎通確認制御を実行するソフトウェアであり、FW120にインストールされている。
疎通確認用エージェント130は、あらかじめ設定された認証サーバ140のアドレスに自身のアドレスの登録を行う。疎通確認用エージェント130は、通知されたPINGパスワード(後記)を登録するPINGパスワードリスト270(図7参照)を備える。
疎通確認用エージェント130は、故障被疑個所を特定する場合、受信した疎通確認用パケット200(図2参照)に付与されたパスワード230(図2参照)と、あらかじめ設定したパスワードとを照合し、合致した場合にはアクセスリストをパケット通過に設定して、疎通確認用パケット200を疎通確認用パケット送信先150(図8参照)に転送し、疎通確認用パケット送信先150から疎通確認用パケット200の応答受領後、アクセスリストをパケット通過させない設定にする動作を行う。 <Agent for checking connectivity>
The connectivity confirmation agent 130 is software that executes the connectivity confirmation control of the FW 120 and is installed in the FW 120.
The communication confirmation agent 130 registers its own address in the address of the authentication server 140 set in advance. The connectivity confirmation agent 130 has a PING password list 270 (see FIG. 7) for registering the notified PING password (described later).
When identifying the suspected failure point, the communication confirmation agent 130 collates the password 230 (see FIG. 2) assigned to the received communication confirmation packet 200 (see FIG. 2) with the password set in advance and matches them. In this case, the access list is set to packet passing, and the communication confirmation packet 200 is transferred to the communication confirmation packet transmission destination 150 (see FIG. 8), and the communication confirmation packet transmission destination 150 to the communication confirmation packet 200 After the response is received, the access list is set not to pass the packet.

<認証サーバ>
認証サーバ140は、疎通確認用パケット送信部110と疎通確認用エージェント130間に設置される。認証サーバ140は、FW120より受け付けたアドレス登録により、FW120のアドレスを管理する。認証サーバ140は、アカウント・ユーザパスワード(後記)を登録するアカウントリスト260(図6参照)を備える。
認証サーバ140は、公開鍵方式等の一般的な本人確認用認証サーバである。認証サーバ140は、疎通確認用パケット送信部110の正当性の確認の認証を行う。 <Authentication server>
The authentication server 140 is installed between the communication check packet transmitter 110 and the communication check agent 130. The authentication server 140 manages the address of the FW 120 based on the address registration accepted from the FW 120. The authentication server 140 comprises an account list 260 (see FIG. 6) for registering account / user passwords (described later).
The authentication server 140 is a general authentication server for identity verification such as a public key method. The authentication server 140 authenticates the validity check of the communication check packet transmitter 110.

<疎通確認用パケット200>
図2は、疎通確認用パケット200の構成を示す図である。
図2(a)に示すように、疎通確認用パケット200は、IP(Internet Protocol)層から送り出されるパケット(IPデータグラム)210を用いる。IPデータグラム210は、IPヘッダ211と、データであるIPペイロード212と、からなる。
図2(b)に示すように、IPペイロード212は、ICMPヘッダ221と、ICMPメッセージ222と、からなる。ICMPは、障害が発生したときに通知をするネットワーク層に相当するプロトコルであり、pingコマンドまたはtraceroute(tracert)コマンド等で実行される。疎通確認用パケット200は、ICMPメッセージ222に、左詰めでパスワード230(固定長)を設定する。説明の便宜上、パスワード230として、「Innocent World」が設定されているとする。
疎通確認用パケット200は、IPデータグラム210のICMPメッセージ222に、パスワード230が設定される構成である。疎通確認用パケット200は、IPデータグラム210のICMPメッセージ222にパスワード230を設定するので、図1に示すIPネットワーク10のルータ11,12,13,14で後記するように経路制御(ルーチング)が可能となる。 <Packaging check packet 200>
FIG. 2 is a view showing the configuration of the communication confirmation packet 200. As shown in FIG.
As shown in FIG. 2A, the communication confirmation packet 200 uses a packet (IP datagram) 210 sent from an IP (Internet Protocol) layer. The IP datagram 210 includes an IP header 211 and an IP payload 212 which is data.
As shown in FIG. 2B, the IP payload 212 is composed of an ICMP header 221 and an ICMP message 222. ICMP is a protocol corresponding to a network layer that notifies when a failure occurs, and is executed by a ping command or a traceroute (tracert) command. The connectivity confirmation packet 200 sets the password 230 (fixed length) in the ICMP message 222, with the left side justified. For convenience of explanation, it is assumed that "Innocent World" is set as the password 230.
The communication confirmation packet 200 has a configuration in which the password 230 is set in the ICMP message 222 of the IP datagram 210. Since the connectivity confirmation packet 200 sets the password 230 in the ICMP message 222 of the IP datagram 210, routing control (routing) is performed as described later with the routers 11, 12, 13 and 14 of the IP network 10 shown in FIG. It becomes possible.

以下、上述のように構成されたネットワーク疎通確認システム100の動作を説明する。
[前処理]
まず、前処理について説明する。
<FWアドレスリスト登録>
図3は、前処理(FWアドレスリスト登録)を説明する制御シーケンス図である。
FW120には、疎通確認用エージェント130がインストールされている。疎通確認用エージェント130は、あらかじめ設定された認証サーバ140のIPアドレスに自身のアドレス(例えば、「152.33.6.3」)の登録を行う(ステップS1)。 Hereinafter, the operation of the network connectivity confirmation system 100 configured as described above will be described.
[Preprocessing]
First, preprocessing will be described.
<FW address list registration>
FIG. 3 is a control sequence diagram for explaining pre-processing (FW address list registration).
In the FW 120, an agent 130 for communication confirmation is installed. The connectivity confirmation agent 130 registers its own address (for example, “152.33.6.3”) in the IP address of the authentication server 140 set in advance (step S1).

認証サーバ140は、FW120より受け付けたアドレス登録により、FW120のアドレスを管理する(ステップS2)。
図4は、認証サーバ140が管理するFWアドレスリスト250を示す図である。図4に示すように、FWアドレスリスト250は、認証サーバ140が管理するFW120のIPアドレス(例えば、「10.1.1.15」「192.168.29.55」「152.33.6.3」)を格納する。
認証サーバ140は、疎通確認用エージェント130からのFW120アドレス登録通知を受け、FWアドレス登録で通知されたアドレス(「152.33.6.3」)を、FWアドレスリスト250(図4参照)に追加する。アドレス(「152.33.6.3」)(図4の太文字参照)が、今回FWアドレスリスト250に追加されたアドレスである。
認証サーバ140は、通知されたアドレスをFWアドレスリスト250に追加後、疎通確認用エージェント130に対して、登録完了OKを返す(ステップS3)。 The authentication server 140 manages the address of the FW 120 by the address registration accepted from the FW 120 (step S2).
FIG. 4 is a diagram showing the FW address list 250 managed by the authentication server 140. As shown in FIG. As shown in FIG. 4, the FW address list 250 stores the IP address (for example, “10.1.1.15” “192.168.29.55” “152.33.6.3”) of the FW 120 managed by the authentication server 140.
The authentication server 140 receives the notification of registration of the FW 120 address from the communication confirming agent 130, and adds the address (“152.36.6.3”) notified by the FW address registration to the FW address list 250 (see FIG. 4). The address (“152.33.6.3”) (see bold letters in FIG. 4) is the address added to the FW address list 250 this time.
After adding the notified address to the FW address list 250, the authentication server 140 returns registration completion OK to the communication confirmation agent 130 (step S3).

<認証サーバ:事前準備>
図5は、前処理(事前準備およびパスワード設定)を説明する制御シーケンス図である。
図1および図5に示すように、疎通確認用パケット送信部110と疎通確認用エージェント130間に認証サーバ140を設置し、疎通確認用パケット送信部110の正当性の確認を行う。以下、当該正当性の確認についての制御シーケンスについて述べる。 <Authentication server: Preparation in advance>
FIG. 5 is a control sequence diagram for explaining pre-processing (pre-preparation and password setting).
As shown in FIGS. 1 and 5, an authentication server 140 is installed between the communication check packet transmitter 110 and the communication check agent 130 to confirm the legitimacy of the communication check packet transmitter 110. The control sequence for confirming the legitimacy will be described below.

認証サーバ140と疎通確認用パケット送信部110は、それぞれに事前準備を行う。
まず、認証サーバ140は、下記の事前準備を行う(ステップS11)。認証サーバ140は、公開鍵方式等の一般的な本人確認用認証サーバであり、公開鍵、秘密鍵を生成し、公開鍵を公開する。そして、認証サーバ140は、疎通確認用パケット送信部110が利用するアカウント・ユーザパスワードを、自身が備えるアカウントリスト260(図6参照)に登録する。
図6は、アカウント・ユーザパスワードを登録するアカウントリスト260を示す図である。図6に示すように、アカウントリスト260は、アカウントとユーザパスワードを格納する。図6の例では、アカウント(「Hogehoge」)とそのユーザパスワード(「XXXXXXX」)、アカウント(「Children」)とそのユーザパスワード(「Namonakiuta」)を格納する。アカウント(「Children」)およびユーザパスワード(「Namonakiuta」)(図6の太文字参照)が、今回アカウントリスト260に追加登録されたアカウント・ユーザパスワードである。 The authentication server 140 and the communication confirmation packet transmitter 110 prepare in advance.
First, the authentication server 140 performs the following preparation (step S11). The authentication server 140 is a general authentication server for identity verification such as a public key system, generates a public key and a secret key, and makes the public key public. Then, the authentication server 140 registers the account / user password used by the communication check packet transmitter 110 in the account list 260 (see FIG. 6) that the authentication server 140 has.
FIG. 6 is a diagram showing an account list 260 for registering account / user passwords. As shown in FIG. 6, the account list 260 stores accounts and user passwords. In the example of FIG. 6, the account ("Hogehoge") and its user password ("XXXXXXX"), the account ("Children") and its user password ("Namonakiuta") are stored. The account (“Children”) and the user password (“Namonakiuta”) (see bold letters in FIG. 6) are the account / user password additionally registered in the account list 260 this time.

また、疎通確認用パケット送信部110は、下記の事前準備を行う(ステップS12)。すなわち、疎通確認用パケット送信部110は、あらかじめ認証サーバ140から公開鍵を取得する。そして、疎通確認用パケット送信部110は、認証サーバ140から取得した公開鍵でアカウントとユーザパスワードを暗号化する。さらに、疎通確認用パケット送信部110は、認証サーバ140から取得した公開鍵でPINGパスワードを暗号化する。   In addition, the communication check packet transmission unit 110 performs the following preparation (step S12). That is, the communication confirmation packet transmitter 110 acquires the public key from the authentication server 140 in advance. Then, the communication confirmation packet transmitter 110 encrypts the account and the user password with the public key acquired from the authentication server 140. Furthermore, the communication confirmation packet transmitter 110 encrypts the PING password with the public key acquired from the authentication server 140.

<疎通確認用パケット送信部:事前準備>
疎通確認用パケット送信部110は、認証サーバ140経由で疎通確認用エージェント130にパスワードの設定を行う。
具体的には、図5に示すように、疎通確認用パケット送信部110は、認証サーバ140に対して認証要求し、認証サーバ140にPINGパスワードを登録する。ここでは、疎通確認用パケット送信部110は、公開鍵で暗号化された(アカウント: Children、ユーザパスワード:Namonakiuta)で認証要求し、認証サーバ140に公開鍵で暗号化された(PINGパスワード:Innocent World)を登録する(ステップS13)。 <Packet for confirming communication: Preparation in advance>
The communication confirmation packet transmitter 110 sets a password in the communication confirmation agent 130 via the authentication server 140.
Specifically, as shown in FIG. 5, the communication confirmation packet transmitter 110 requests the authentication server 140 to perform authentication, and registers the PING password in the authentication server 140. In this case, the communication check packet transmission unit 110 makes an authentication request with the public key encrypted (Account: Children, user password: Namonakiuta) and the authentication server 140 with the public key encrypted (PING password: Innocent World) is registered (step S13).

<認証サーバ:認証>
認証サーバ140は、下記により疎通確認用パケット送信部110の正当性の確認を行う。すなわち、認証サーバ140は、認証要求上、暗号化されたアカウント・ユーザパスワードを秘密鍵で復号して、アカウントリスト260(図6参照)と照合する認証を行う(ステップS14)。
認証サーバ140は、上記照合が合致した場合、疎通確認用エージェント130に(PINGパスワード:Innocent World)を送信する(ステップS15)。
疎通確認用エージェント130は、認証サーバ140からPINGパスワード登録のために送信された(PINGパスワード:Innocent World)を登録する(ステップS16)。
このように、疎通確認用パケット送信部110は、認証サーバ140経由で疎通確認用エージェント130にパスワードの設定を行う。 <Authentication server: Authentication>
The authentication server 140 confirms the legitimacy of the communication check packet transmitter 110 according to the following. That is, the authentication server 140 decrypts the encrypted account / user password with the secret key upon authentication request, and performs authentication to be collated with the account list 260 (see FIG. 6) (step S14).
If the verification matches, the authentication server 140 sends (PING password: Innocent World) to the connectivity confirmation agent 130 (step S15).
The communication confirmation agent 130 registers (PING password: Innocent World) transmitted from the authentication server 140 for PING password registration (step S16).
As described above, the communication confirmation packet transmitter 110 sets the password in the communication confirmation agent 130 via the authentication server 140.

<疎通確認用エージェント:パスワード登録>
疎通確認用エージェント130は、通知されたPINGパスワードを、自身が備えるPINGパスワードリスト270に登録する。
図7は、PINGパスワードリスト270を示す図である。図6に示すように、PINGパスワードリスト270は、通知されたPINGパスワード(「Innocent World」)を格納する。
疎通確認用エージェント130は、通知されたPINGパスワードをPINGパスワードリスト270に登録後、疎通確認用パケット送信部110に対して、登録完了OKを返す(ステップS17)。 <Communication confirmation agent: Password registration>
The communication confirmation agent 130 registers the notified PING password in the PING password list 270 provided for itself.
FIG. 7 is a diagram showing the PING password list 270. As shown in FIG. As shown in FIG. 6, the PING password list 270 stores the notified PING password ("Innocent World").
After registering the notified PING password in the PING password list 270, the communication confirmation agent 130 returns registration completion OK to the communication confirmation packet transmitter 110 (step S17).

[故障被疑個所特定]
次に、故障被疑個所特定について説明する。
<概要>
図1に示すように、サイレント故障が発生した場合などに、ネットワーク管理者16(ネットワーク管理装置)は、被疑個所特定のために疎通確認用パケット200(図2参照)を送信する。この疎通確認用パケット200のICMPメッセージ222には、パスワード230が設定されている。ネットワーク疎通確認システム100の疎通確認用パケット送信部110は、この疎通確認用パケット200をIPネットワーク10に向けて送信する。
図1の(1)に示すように、疎通確認用パケット送信部110は、IPネットワーク10に疎通確認用パケット200の送信を行う。
図1の(2)に示すように、疎通確認用エージェント130は、受信した疎通確認用パケット200とあらかじめPINGパスワードリスト270(図7参照)に格納したパスワードとを照合する。
図1の(3)に示すように、疎通確認用エージェント130は、上記照合が合致した場合に、アクセスリストを開けて(アクセスリストをパケット通過に設定)、図1の(4)に示すように、疎通確認用パケット200を転送する。
図1の(5)に示すように、疎通確認用エージェント130は、疎通確認用パケット送信先(図示省略)から疎通確認用パケット200の応答受領後、アクセスリストを閉める(アクセスリストをパケット通過させない設定)動作を行う。 [Identify a suspected failure point]
Next, identification of a fault suspected place will be described.
<Overview>
As shown in FIG. 1, when a silent failure occurs or the like, the network administrator 16 (network management apparatus) transmits a connectivity confirmation packet 200 (see FIG. 2) to identify a suspected place. A password 230 is set in the ICMP message 222 of the communication confirmation packet 200. The communication confirmation packet transmitter 110 of the network communication confirmation system 100 transmits the communication confirmation packet 200 to the IP network 10.
As shown in (1) of FIG. 1, the communication confirmation packet transmitting unit 110 transmits the communication confirmation packet 200 to the IP network 10.
As shown in (2) of FIG. 1, the communication confirmation agent 130 collates the received communication confirmation packet 200 with the password stored in advance in the PING password list 270 (see FIG. 7).
As shown in (3) of FIG. 1, the agent 130 for checking connectivity opens the access list (sets the access list to packet passing), as shown in (4) of FIG. Then, the communication confirmation packet 200 is transferred.
As shown in (5) of FIG. 1, the communication confirmation agent 130 closes the access list after receiving the response of the communication confirmation packet 200 from the communication confirmation packet transmission destination (not shown) (does not pass the access list) Setting) Perform operation.

<詳細説明>
図8は、故障被疑個所を特定する場合の制御シーケンス図である。
疎通確認用パケット送信部110は、故障被疑個所を特定する場合、疎通確認用パケット200(図2参照)をIPネットワーク10(図1参照)に送信する。疎通確認用パケット200は、ルータ11,12(図1参照)で中継され、FW120まで送信される(ステップS21)。
FW120は、ルーチング(経路制御)部121を有し、ルーチング(経路制御)を行っている。FW120のルーチング部121は、疎通確認用エージェント130に、PINGパスワード認証要求(ここでは、PINGパスワード:Innocent World)を発行する(ステップS22)。 <Detailed description>
FIG. 8 is a control sequence diagram in the case of identifying a failure suspected place.
The communication confirmation packet transmission unit 110 transmits the communication confirmation packet 200 (see FIG. 2) to the IP network 10 (see FIG. 1) when identifying the suspected failure point. The communication confirmation packet 200 is relayed by the routers 11 and 12 (see FIG. 1) and transmitted to the FW 120 (step S21).
The FW 120 includes a routing (path control) unit 121 and performs routing (path control). The routing unit 121 of the FW 120 issues a PING password authentication request (here, PING password: Innocent World) to the connectivity confirmation agent 130 (step S22).

疎通確認用エージェント130は、パスワード認証を行う(ステップS23)。具体的には、疎通確認用エージェント130は、疎通確認用パケット200のICMPメッセージ222(図2(b)参照)から取り出されたパスワード230をPINGパスワードリスト270(図7参照)と照合してパスワード認証を行う。図8の例では、ICMPメッセージ222から取り出されたパスワード230「Innocent World」がPINGパスワードリスト270に登録されているので、パスワードが合致する。
疎通確認用エージェント130は、FW120のルーチング部121に認証OKを返す(ステップS24)。 The communication confirmation agent 130 performs password authentication (step S23). Specifically, the communication confirming agent 130 collates the password 230 extracted from the ICMP message 222 (see FIG. 2B) of the communication confirming packet 200 with the PING password list 270 (see FIG. 7) to obtain a password. Perform authentication. In the example of FIG. 8, since the password 230 “Innocent World” extracted from the ICMP message 222 is registered in the PING password list 270, the passwords match.
The communication confirmation agent 130 returns an authentication OK to the routing unit 121 of the FW 120 (step S24).

FW120のルーチング部121は、疎通確認用エージェント130の照合に従ってアクセスリストを変更する(ステップS25)。この場合、照合が合致したので、アクセスリストをパケット通過に設定する。アクセスリストの変更により、疎通確認用パケット200の送信元アドレスと送信先アドレス間の双方向通信(ICMP)を可能とする。
FW120のルーチング部121は、送信先アドレスを管理する(ステップS26)。詳細には、FW120のルーチング部121は、送信先アドレスリスト280(図9参照)から疎通確認用パケット200の送信先アドレスを取得し、管理する。
図9は、パケット送信先を管理する送信先アドレスリスト280を示す図である。図9に示すように、送信先アドレスリスト280は、疎通確認用パケット送信先のIPアドレス(例えば「10.1.1.1」)を登録する。 The routing unit 121 of the FW 120 changes the access list according to the collation of the connectivity confirmation agent 130 (step S25). In this case, since the collation matches, the access list is set to pass packets. By changing the access list, bidirectional communication (ICMP) between the transmission source address and the transmission destination address of the communication confirmation packet 200 is enabled.
The routing unit 121 of the FW 120 manages the transmission destination address (step S26). Specifically, the routing unit 121 of the FW 120 acquires the transmission destination address of the communication confirmation packet 200 from the transmission destination address list 280 (see FIG. 9) and manages it.
FIG. 9 is a diagram showing a transmission destination address list 280 which manages packet transmission destinations. As shown in FIG. 9, the transmission destination address list 280 registers the IP address (for example, “10.1.1.1”) of the transmission confirmation packet transmission destination.

図8に示すように、FW120のルーチング部121は、送信先アドレスリスト280に登録された疎通確認用パケット送信先(ここでは「10.1.1.1」)150に疎通確認用パケット200(図2参照)を転送する(ステップS27)。疎通確認用パケット200は、疎通確認用パケット送信先150まで送信される(ステップS28)。
疎通確認用パケット送信先150は、FW120のルーチング部121に疎通確認用パケット200の応答を返す(ステップS29)。 As shown in FIG. 8, the routing unit 121 of the FW 120 transmits a connectivity confirmation packet 200 (see FIG. 2) to the connectivity confirmation packet destination (here, “10.1.1.1”) 150 registered in the destination address list 280. Are transferred (step S27). The communication confirmation packet 200 is transmitted to the communication confirmation packet transmission destination 150 (step S28).
The communication check packet transmission destination 150 returns a response to the communication check packet 200 to the routing unit 121 of the FW 120 (step S29).

FW120のルーチング部121は、送信先アドレスの確認・削除を行う(ステップS30)。具体的には、ルーチング部121は、疎通確認用パケット200の応答を受信時に送信元アドレスと送信先アドレスリストを照合し、合致すれば、パケット転送後、アクセスリストを元に戻し、送信先アドレスリストからアドレスを削除する。
FW120のルーチング部121は、疎通確認用パケット送信部110に、疎通確認用パケット200の応答を返す(ステップS31)。
FW120のルーチング部121は、アクセスリストをパケット通過させない設定に変更する(ステップS32)。 The routing unit 121 of the FW 120 confirms and deletes the transmission destination address (step S30). Specifically, the routing unit 121 collates the transmission source address and the transmission destination address list when receiving the response of the connectivity confirmation packet 200, and if they match, returns the access list to the original after packet transmission, and transmits the transmission destination address. Remove an address from the list.
The routing unit 121 of the FW 120 returns a response to the communication confirmation packet 200 to the communication confirmation packet transmitting unit 110 (step S31).
The routing unit 121 of the FW 120 changes the access list to a setting for not passing the packet (step S32).

以上説明したように、本実施形態に係るネットワーク疎通確認システム100(図1参照)は、パスワード230(図2参照)が付与された疎通確認用パケット200をIPネットワーク10上に送信する疎通確認用パケット送信部110と、IPネットワーク10上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作するFW120と、FW120に備えられてFW120の疎通確認制御を実行する疎通確認用エージェント130と、疎通確認用パケット送信部110と疎通確認用エージェント130間で疎通確認用パケット送信部110の正当性を認証する認証サーバ140と、を備える。疎通確認用パケット送信部110は、認証サーバ140経由で疎通確認用エージェント130にパスワードをあらかじめ設定する。
故障被疑個所を特定する場合、疎通確認用パケット送信部110は、疎通確認用パケット200をIPネットワーク10上に送信する。疎通確認用エージェント130は、受信した疎通確認用パケット200に付与されたパスワードと、あらかじめ設定したパスワードとを照合し、合致した場合にはアクセスリストをパケット通過に設定して、疎通確認用パケット200を疎通確認用パケット送信先150に転送する。そして、疎通確認用エージェント130は、疎通確認用パケット送信先150から疎通確認用パケット200の応答受領後、アクセスリストをパケット通過させない設定にする動作を行う。 As described above, the network continuity check system 100 (see FIG. 1) according to the present embodiment transmits the continuity check packet 200 to which the password 230 (see FIG. 2) is added onto the IP network 10. A packet transmission unit 110, an FW 120 installed on the IP network 10 and operating according to an access list for setting transmission of packets to pass or not to pass, communication provided in the FW 120 to execute continuity check control of the FW 120 The confirmation agent 130 and the authentication server 140 for authenticating the legitimacy of the communication confirmation packet transmitter 110 between the communication confirmation packet transmitter 110 and the communication confirmation agent 130 are provided. The communication confirmation packet transmitting unit 110 sets a password in advance in the communication confirmation agent 130 via the authentication server 140.
When identifying the suspected failure point, the communication confirmation packet transmission unit 110 transmits the communication confirmation packet 200 onto the IP network 10. The communication confirmation agent 130 collates the password assigned to the received communication confirmation packet 200 with the password set in advance, and if it matches, sets the access list to packet passing, and the communication confirmation packet 200. Are transferred to the destination packet 150 for communication confirmation. Then, after receiving the response of the connectivity confirmation packet 200 from the connectivity confirmation packet transmission destination 150, the connectivity confirmation agent 130 performs an operation of setting the access list not to pass the packet.

このようにすることで、サイレント故障が発生時などにおいて故障被疑個所を特定する場合、パスワード230が付与された疎通確認用パケット200を送信するだけで、オンデマンドで動的にFW120の設定(アクセスリスト)を変更することができる。これにより、ルート内にFW120が存在する場合であっても、ネットワーク管理者16などがFW120の存在個所を特定する必要がなく、また、ネットワーク管理者16などがFWの設定(アクセスリスト)の変更を行う必要がないので、故障の被疑個所特定にかかる時間を短縮することができる。
また、当該疎通確認用パケット200に付与されたパスワード230を活用して認証を実行しているため、パケット詐称に対する耐性がある。 In this way, when a suspected failure point is identified when a silent failure occurs or the like, the setting of the FW 120 is dynamically made on demand only by transmitting the connectivity confirmation packet 200 to which the password 230 is assigned. You can change the list). As a result, even when the FW 120 exists in the route, the network administrator 16 or the like does not have to specify the location of the FW 120, and the network administrator 16 or the like changes the setting (access list) of the FW. It is possible to reduce the time taken to identify the suspected part of the failure.
Also, since authentication is performed using the password 230 assigned to the communication confirmation packet 200, there is resistance against packet spoofing.

また、本実施形態では、疎通確認用パケット200は、pingまたはtracerouteコマンドを実行するパケットであり、疎通確認用パケット200に付与されたパスワード230は、IPデータグラム210のICMPメッセージ222に設定される。   Further, in the present embodiment, the communication confirmation packet 200 is a packet for executing a ping or traceroute command, and the password 230 attached to the communication confirmation packet 200 is set in the ICMP message 222 of the IP datagram 210. .

このようにすることで、TCP/IPプロトコルにおける、基本的な制御用プロトコルであるpingまたはtracerouteコマンドを実行する疎通確認用パケットにパスワードを付与することができ、IPネットワーク10に汎用的に適用することができる。   In this way, a password can be assigned to the connectivity confirmation packet for executing the ping or traceroute command, which is a basic control protocol in the TCP / IP protocol, and is applied to the IP network 10 generically. be able to.

なお、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中に示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。 Of the processes described in the above embodiment, all or part of the process described as being automatically performed may be manually performed, or the process described as being performed manually. All or part of them can be automatically performed by a known method. In addition to the above, the processing procedures, control procedures, specific names, and information including various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified.
Further, each component of each device illustrated is functionally conceptual, and does not necessarily have to be physically configured as illustrated. That is, the specific form of the dispersion and integration of each device is not limited to that shown in the drawings, and all or a part thereof is functionally or physically dispersed in any unit depending on various loads, usage conditions, etc. It can be integrated and configured.

また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行するためのソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、又は、IC(Integrated Circuit)カード、SD(Secure Digital)カード、光ディスク等の記録媒体に保持することができる。   Further, each of the configurations, functions, processing units, processing means, etc. described above may be realized by hardware, for example, by designing part or all of them with an integrated circuit. Further, each configuration, function, etc. described above may be realized by software for a processor to interpret and execute a program that realizes each function. Information such as programs, tables, and files for realizing each function is a memory, a hard disk, a recording device such as an SSD (Solid State Drive), or an IC (Integrated Circuit) card, an SD (Secure Digital) card, an optical disk, etc. It can be held on a recording medium.

10 IPネットワーク
11,12,13,14 ルータ
100 ネットワーク疎通確認システム
110 疎通確認用パケット送信部
120 FW
121 ルーチング部
130 疎通確認用エージェント
140 認証サーバ
200 疎通確認用パケット
210 IPデータグラム
212 IPペイロード
221 ICMPヘッダ
222 ICMPメッセージ
230 パスワード
250 FWアドレスリスト
260 アカウントリスト
270 PINGパスワードリスト
280 送信先アドレスリスト DESCRIPTION OF SYMBOLS 10 IP network 11, 12, 13, 14 Router 100 Network continuity check system 110 Packet transmission part for continuity check 120 FW
121 Routing Unit 130 Communication Check Agent 140 Authentication Server 200 Packet for Communication Check 210 IP Datagram 212 IP Payload 221 ICMP Header 222 ICMP Message 230 Password 250 FW Address List 260 Account List 270 PING Password List 280 Destination Address List

Claims (3)

パスワードが付与された所定の疎通確認用パケットをネットワーク上に送信する疎通確認用パケット送信部と、
前記ネットワーク上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作するFW(firewall)と、
前記FWに備えられて当該FWの疎通確認制御を実行する疎通確認用エージェントと、
前記疎通確認用パケット送信部と前記疎通確認用エージェント間で前記疎通確認用パケット送信部の正当性を認証する認証サーバと、を備え、
前記疎通確認用パケット送信部は、
前記認証サーバ経由で前記疎通確認用エージェントにパスワードをあらかじめ設定し、
故障被疑個所を特定する場合、
前記疎通確認用パケット送信部は、
前記疎通確認用パケットを前記ネットワーク上に送信し、
前記疎通確認用エージェントは、
受信した前記疎通確認用パケットに付与された前記パスワードと、あらかじめ設定したパスワードとを照合し、合致した場合には前記アクセスリストをパケット通過に設定して、前記疎通確認用パケットを疎通確認用パケット送信先に転送し、
前記疎通確認用パケット送信先から前記疎通確認用パケットの応答受領後、前記アクセスリストをパケット通過させない設定にする動作を行う
ことを特徴とするネットワーク疎通確認システム。 A communication confirmation packet transmission unit for transmitting a predetermined communication confirmation packet to which a password is assigned on the network;
FW (firewall) installed on the network and operating according to an access list that sets transmitted packets not to pass or to pass through;
A communication confirmation agent that is provided to the FW and executes communication confirmation control of the FW;
The communication confirmation packet transmission unit and an authentication server for authenticating the validity of the communication confirmation packet transmission unit between the communication confirmation agent;
The communication confirmation packet transmission unit
Set a password in advance to the connectivity check agent via the authentication server,
When identifying a suspected fault,
The communication confirmation packet transmission unit
Sending the connectivity confirmation packet onto the network;
The communication confirmation agent is
The password attached to the received communication confirmation packet is collated with the previously set password, and if they match, the access list is set to packet passing, and the communication confirmation packet is the communication confirmation packet Forward to destination,
A network communication confirmation system, which performs an operation of setting the access list not to pass the packet after receiving a response of the communication confirmation packet from the communication confirmation packet transmission destination. 前記疎通確認用パケットは、pingまたはtracerouteコマンドを実行するパケットであり、
前記疎通確認用パケットに付与された前記パスワードは、IPデータグラムのICMPメッセージに設定される
ことを特徴とする請求項1に記載のネットワーク疎通確認システム。 The connectivity confirmation packet is a packet for executing a ping or traceroute command,
The network communication confirmation system according to claim 1, wherein the password assigned to the communication confirmation packet is set in an IP datagram ICMP message. パスワードが付与された所定の疎通確認用パケットをネットワーク上に送信する疎通確認用パケット送信部と、
前記ネットワーク上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作するFW(firewall)と、
前記FWに備えられて当該FWの疎通確認制御を実行する疎通確認用エージェントと、
前記疎通確認用パケット送信部と前記疎通確認用エージェント間で前記疎通確認用パケット送信部の正当性を認証する認証サーバと、を備えるネットワーク疎通確認システムのネットワーク疎通確認方法であって
前記疎通確認用パケット送信部では、
前記認証サーバ経由で前記疎通確認用エージェントにパスワードをあらかじめ設定するステップと、
故障被疑個所を特定する場合、
前記疎通確認用パケット送信部では、
前記疎通確認用パケットを前記ネットワーク上に送信するステップと、
前記疎通確認用エージェントでは、
受信した前記疎通確認用パケットに付与された前記パスワードと、あらかじめ設定したパスワードとを照合し、合致した場合には前記アクセスリストをパケット通過に設定して、前記疎通確認用パケットを疎通確認用パケット送信先に転送し、
前記疎通確認用パケット送信先から前記疎通確認用パケットの応答受領後、前記アクセスリストをパケット通過させない設定にする動作を行うステップと、を実行する
ことを特徴とするネットワーク疎通確認方法。 A communication confirmation packet transmission unit for transmitting a predetermined communication confirmation packet to which a password is assigned on the network;
FW (firewall) installed on the network and operating according to an access list that sets transmitted packets not to pass or to pass through;
A communication confirmation agent that is provided to the FW and executes communication confirmation control of the FW;
A network connectivity confirmation method for a network connectivity confirmation system, comprising: an authentication server that authenticates the legitimacy of the communication confirmation packet transmitter between the communication confirmation packet transmitter and the communication confirmation agent; In the packet transmitter,
Setting a password in advance to the communication confirmation agent via the authentication server;
When identifying a suspected fault,
In the communication confirmation packet transmission unit,
Sending the connectivity confirmation packet onto the network;
In the communication confirmation agent,
The password attached to the received communication confirmation packet is collated with the previously set password, and if they match, the access list is set to packet passing, and the communication confirmation packet is the communication confirmation packet Forward to destination,
A method according to any one of the preceding claims, further comprising the step of setting the access list not to pass through the access list after receiving a response to the connection confirmation packet from the communication confirmation packet destination.
JP2016075639A 2016-04-05 2016-04-05 Network communication confirmation system and network communication confirmation method Active JP6511001B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016075639A JP6511001B2 (en) 2016-04-05 2016-04-05 Network communication confirmation system and network communication confirmation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016075639A JP6511001B2 (en) 2016-04-05 2016-04-05 Network communication confirmation system and network communication confirmation method

Publications (2)

Publication Number Publication Date
JP2017188763A JP2017188763A (en) 2017-10-12
JP6511001B2 true JP6511001B2 (en) 2019-05-08

Family

ID=60046588

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016075639A Active JP6511001B2 (en) 2016-04-05 2016-04-05 Network communication confirmation system and network communication confirmation method

Country Status (1)

Country Link
JP (1) JP6511001B2 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3688830B2 (en) * 1995-11-30 2005-08-31 株式会社東芝 Packet transfer method and packet processing apparatus
US8640216B2 (en) * 2009-12-23 2014-01-28 Citrix Systems, Inc. Systems and methods for cross site forgery protection
JP5618745B2 (en) * 2010-10-06 2014-11-05 キヤノン株式会社 COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM
US10015162B2 (en) * 2015-05-11 2018-07-03 Huawei Technologies Co., Ltd. Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests
JP5911080B2 (en) * 2015-07-23 2016-04-27 株式会社応用電子 Virtual communication system

Also Published As

Publication number Publication date
JP2017188763A (en) 2017-10-12

Similar Documents

Publication Publication Date Title
US11811809B2 (en) Rule-based network-threat detection for encrypted communications
US8443190B2 (en) Method for securing a two-way communications channel and device for implementing said method
CN109964196B (en) Multi-factor authentication as a network service
US8701175B2 (en) Methods, devices, systems and computer program products for providing secure communications between managed devices in firewall protected areas and networks segregated therefrom
Skowyra et al. Have no phear: Networks without identifiers
US9722919B2 (en) Tying data plane paths to a secure control plane
US11894947B2 (en) Network layer performance and security provided by a distributed cloud computing network
US20170104630A1 (en) System, Method, Software, and Apparatus for Computer Network Management
US11528326B2 (en) Method of activating processes applied to a data session
US11546374B2 (en) Selective traffic processing in a distributed cloud computing network
CN109067729A (en) A kind of authentication method and device
KR101387937B1 (en) A Method for Controlling the Usage of Network Resources Using User Authentication
JP6511001B2 (en) Network communication confirmation system and network communication confirmation method
US9083586B2 (en) Verifying availability and reachability through a network device
KR101881278B1 (en) Method for selective inspection of the packet communications using the Secure Sockets Layer
Jones Operational Security Requirements for Large Internet Service Provider (ISP) IP Network Infrastructure
Cisco Release Notes for the Cisco Secure PIX Firewall Version 5.1(5)
Cisco Release Notes for the Cisco Secure PIX Firewall Version 5.2(8)
Cisco Release Notes for the Cisco Secure PIX Firewall Version 5.2(6)
Cisco Release Notes for the Cisco Secure PIX Firewall Version 5.2(7)
Tupakula et al. Tracing DDoS floods: An automated approach
JP5864453B2 (en) Communication service providing system and method
KR101906437B1 (en) Method, apparatus and computer program for testing network security policy
Dahlberg et al. Aggregation-based certificate transparency gossip
Boucadair et al. Triggering DHCPv6 Reconfiguration from Relay Agents

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180608

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190405

R150 Certificate of patent or registration of utility model

Ref document number: 6511001

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150