JPWO2009063555A1 - 制御代理装置 - Google Patents

制御代理装置 Download PDF

Info

Publication number
JPWO2009063555A1
JPWO2009063555A1 JP2009540997A JP2009540997A JPWO2009063555A1 JP WO2009063555 A1 JPWO2009063555 A1 JP WO2009063555A1 JP 2009540997 A JP2009540997 A JP 2009540997A JP 2009540997 A JP2009540997 A JP 2009540997A JP WO2009063555 A1 JPWO2009063555 A1 JP WO2009063555A1
Authority
JP
Japan
Prior art keywords
control
information
management
request
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009540997A
Other languages
English (en)
Other versions
JP5051238B2 (ja
Inventor
寛 橋元
寛 橋元
充浩 佐藤
充浩 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2009063555A1 publication Critical patent/JPWO2009063555A1/ja
Application granted granted Critical
Publication of JP5051238B2 publication Critical patent/JP5051238B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Selective Calling Equipment (AREA)

Abstract

ネットワークプロトコル代理サーバは、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報DBと、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を記憶する装置個別情報DBとを備え、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報DBに記憶されているか否かを判定し、当該認証情報が管理装置情報DBに記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DBから取得して、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する。

Description

この発明は、各種装置を管理する複数の管理装置から各種制御実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施する制御代理装置、制御代理方法および制御代理プログラムに関する。
近年、ネットワーク機器を構成情報設定やセキュリティ設定等の高度な制御を実現する手段として、IETF(The Internet Engineering Task Force)のNetconf WGが標準化を進めているNETCONFが挙げられる。
ところが、ネットワーク機器をNETCONF等のプロトコルに対応させるためには、HTTP(Hypertext Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、SOAP(Simple Object Access Protocol)、NETCONF等のプロトコルスタックを制御対象となるネットワーク機器に実装しなければならない。そこで、NETCONFなどのプロトコルが未対応な制御対象装置に対しても、NETCONFなどと同様の高度な制御を行う様々な手法が開示されている。
例えば、特許文献1(特開2006−338417号公報)では、SNMP管理装置が代理サーバを設けることで、非SNMP機器を制御する手法が開示されている。具体的には、代理サーバは、SNMP管理装置から制御指示をSNMPで受け付け、受け付けた制御指示を独自プロトコルに変換して、制御対象装置に制御コメントを発行する。また、代理サーバは、制御対象装置から受け付けた独自プロトコルに準じた制御結果をSNMPに変換して、SNMP管理装置に通知する。
特開2006−338417号公報
しかしながら、上記した従来の技術は、制御対象装置に対して制御指示を送信する管理装置の通信形式に依存してしまうという課題と、管理装置が正当な装置であるか否かを認証できないという課題と、構成情報設定やセキュリティ設定等の高度な制御を行うことができないという課題とがあった。具体的には、制御対象装置に対して制御指示を送信する管理装置がSNMPに依存しているため、SNMPを使用できない装置を管理装置とすることができず、システム全体として使い勝手が悪く汎用性がない。また、SNMPを利用する管理装置であれば、いずれの装置でも管理装置となり得るので、不正な管理装置を検出することができない。
また、代理サーバは、高度な制御ができない(高度な制御指示を指定できない)SNMPで制御指示をSNMP管理装置から受け付けるため、制御対象装置に対しても、高度な制御を実施することができない。例えば、制御対象装置がルータなどのネットワーク機器であった場合、SNMPでは、ファイアウォールやVPN(Virtual Private Network)などのセキュリティ設定の変更、追加、削除などの制御指示を指定することができないため、代理サーバは、制御対象装置に対して、このようなセキュリティ設定を制御することができない。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である制御代理装置、制御代理方法および制御代理プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施する制御代理装置であって、前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証手段と、前記認証手段により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得手段と、前記装置情報取得手段により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施手段と、を備えたことを特徴とする。
また、本発明は、上記の発明において、前記管理装置情報記憶手段に記憶されていない新たな装置を管理装置として追加する場合に、当該新たな管理装置から認証情報を受け付けるとともに、当該認証情報を受け付けた際の通信形式を取得し、受け付けられた認証情報と取得された通信形式とを対応付けて前記管理装置情報記憶手段に新たに格納する管理装置追加手段をさらに備えたことを特徴とする。
また、本発明は、上記の発明において、前記制御実施手段は、前記変換された制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報記憶手段から取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知することを特徴とする。
また、本発明は、上記の発明において、前記制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報を記憶するアドレス情報記憶手段をさらに備え、前記制御実施手段は、前記装置情報取得手段により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換するとともに、前記制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスを前記アドレス情報記憶手段から取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施することを特徴とする。
また、本発明は、上記の発明において、前記制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で前記装置情報記憶手段に記憶されている装置情報を更新する装置情報更新手段をさらに備えたことを特徴とする。
また、本発明は、各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施することに適した制御代理方法であって、前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証工程と、前記認証工程により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得工程と、前記装置情報取得工程により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施工程と、を含んだことを特徴とする。
また、本発明は、各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施することをコンピュータに実行させる制御代理プログラムであって、前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証手順と、前記認証手順により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得手順と、前記装置情報取得手順により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施手順と、をコンピュータに実行させることを特徴とする。
本発明によれば、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶し、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を記憶し、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が記憶されているか否かを判定し、当該認証情報が記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を取得し、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施するので、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である。
また、本発明によれば、制御代理装置(ネットワークプロトコル代理サーバ)は、管轄する全ての制御対象機器への認証をあらかじめ行い、管理装置は、制御代理装置(ネットワークプロトコル代理サーバ)との認証を一度行うだけで、制御代理装置(ネットワークプロトコル代理サーバ)の管轄する制御対象機器への制御を行うことができるよう、認証の代理も行うことができる。
また、本発明によれば、記憶されていない新たな装置を管理装置として追加する場合に、当該新たな管理装置から認証情報を受け付けるとともに、当該認証情報を受け付けた際の通信形式を取得し、受け付けられた認証情報と取得された通信形式とを対応付けて新たに格納するので、新たな管理装置を柔軟に追加・削除を行うことができ、さらに、利便性が向上する。
また、本発明によれば、変換した制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知するので、制御実施結果を正確に管理装置に通知することが可能である。
また、本発明によれば、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスを取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施するので、管理装置(NMS)から直接的に管理対象機器(制御対象装置)へアクセスする場合とは異なり、NMSに対して管理対象機器が存在するネットワークの構成(IPアドレス割り振り体系等)を隠蔽し、さらに外部から直接的に機器を操作できないようにすることが可能である。また、認証されたNMSが、代理サーバを通じてのみ、機器を制御することができる。
また、本発明によれば、制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で記憶されている装置情報を更新するので、常に最新の装置情報を格納しておくことができる結果、制御対象装置の通信形式に適した最新のプロトコルを選択して、制御を実施することが可能である。
図1は、実施例1に係るネットワークプロトコル代理サーバを含むシステムの全体構成を示すシステム構成図である。 図2は、実施例1に係るネットワークプロトコル代理サーバの構成を示すブロック図である。 図3は、管理装置情報DBに記憶される情報の例を示す図である。 図4は、装置個別情報DBに記憶される情報の例を示す図である。 図5は、アドレス情報DBに記憶される情報の例を示す図である 図6は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施処理の流れを示すフローチャートである。 図7は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施結果応答処理の流れを示すフローチャートである。 図8は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施/結果応答処理の流れを示すシーケンス図である。 図9は、実施例2に係る新たな管理装置を追加登録する追加登録処理の流れを示すフローチャートである。 図10は、実施例3に係る新たな制御対象装置を追加登録する追加登録処理の流れを示すシーケンス図である。 図11は、実施例4に係る装置個別情報DB更新処理の流れを示すシーケンス図である。 図12は、制御代理プログラムを実行するコンピュータの例を示す図である。
符号の説明
20 ネットワークプロトコル代理サーバ
21 管理装置情報DB
22 装置個別情報DB
23 アドレス情報DB
30 要求受付部
31 結果出力/加工部
32 要求分析部
33 認証情報管理部
34 装置個別情報管理部
35 外部情報操作部
36 アドレス情報管理部
37 装置制御部
100 コンピュータシステム
101 RAM
102 HDD
102a 管理装置情報テーブル
102b 装置情報テーブル
102c アドレス情報テーブル
103 ROM
103a 認証プログラム
103b 装置情報取得プログラム
103c 制御実施プログラム
103d 管理装置追加プログラム
103e 装置情報更新プログラム
104 CPU
104a 認証プロセス
104b 装置情報取得プロセス
104c 制御実施プロセス
104d 管理装置追加プロセス
104e 装置情報更新プロセス
以下に添付図面を参照して、この発明に係る制御代理装置、制御代理方法および制御代理プログラムの実施例を詳細に説明する。なお、以下では、本実施例で用いる主要な用語、本実施例に係る制御代理装置の概要および特徴、制御代理装置の構成および処理の流れを順に説明し、最後に本実施例に対する種々の変形例を説明する。
[用語の説明]
まず最初に、本実施例で用いる主要な用語を説明する。本実施例で用いる「管理装置A」と「管理装置B」とは、制御対象装置に対して構成情報設定やセキュリティ設定等の高度な制御を行うネットワーク管理システム(NMS)などを実現するコンピュータ装置である。また、「制御対処装置A」や「制御対象装置B」は、「ネットワークプロトコル代理サーバ」から各種制御指示を受け付けて実行し、その結果を「ネットワークプロトコル代理サーバ」に応答するルータ、スイッチ、ファイアウォールなどのネットワーク機器やWEBサーバなどのコンピュータ装置である。
また、「ネットワークプロトコル代理サーバ(特許請求の範囲に記載の「制御代理装置」に対応する)」とは、管理装置Aや管理装置Bからの制御指示を受け付けて、管理装置Aや管理装置Bに代わって代理で制御対象装置に送信し、制御結果を管理装置に応答するネットワーク機器のことである。この「ネットワークプロトコル代理サーバ」は、制御対象装置を制御するNETCONF、SNMP、各種CLI(Command Line Interface)などの様々なネットワークプロトコルに対応している。なお、本実施例では、二つの管理装置Aと管理装置Bと、ネットワークプロトコル代理サーバと、二つの制御対象装置Aと制御対象装置Bとから構成されるシステムの例について説明するが、管理装置、ネットワークプロトコル代理サーバ、制御対象装置の台数を限定するものではない。
[ネットワークプロトコル代理サーバの概要および特徴]
次に、図1を用いて、実施例1に係るネットワークプロトコル代理サーバの概要および特徴を説明する。図1は、実施例1に係るネットワークプロトコル代理サーバを含むシステムの全体構成を示すシステム構成図である。
図1に示すように、このシステムは、構成情報設定やセキュリティ設定等の高度な制御を行う管理装置Aと管理装置Bと、各管理装置に代わって制御指示を送信するネットワークプロトコル代理サーバと、各種制御の対象となる制御対象装置A(IPアドレス=X1)と制御対象装置B(IPアドレス=Y1)とから構成される。
また、管理装置Aには、一意に識別する「識別情報」として「001」と、管理装置Aの管理者によって定められた「ID」と「パスワード」として「aaa、abc」とを記憶しており、同様に、管理装置Bには、「識別情報」として「002」と、「ID」と「パスワード」として「bbb、dgf」とを記憶している。また、管理装置Aは、他の装置と通信を行う際には、プロトコル(通信形式)として「NETCONF」を使用し、同様に、管理装置Bには、他の装置と通信を行う際には、プロトコル(通信形式)として「SNMP」を使用する。
このような構成において、ネットワークプロトコル代理サーバは、上記したように、各種装置を管理する複数の管理装置(管理装置Aと管理装置B)から各種制御実施を要求する制御要求を受け付けて、制御対象装置となる装置(制御対象装置Aと制御対象装置B)に対して各種制御を実施することを概要とするものであり、特に、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である点に主たる特徴がある。
この主たる特徴を具体的に説明すると、ネットワークプロトコル代理サーバは、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を管理装置情報DBに記憶する。具体的に例を挙げれば、ネットワークプロトコル代理サーバの管理装置情報DBは、『管理装置を一意に識別する「識別情報」、管理装置の管理者を一意に割り当てられた「ID」、管理装置の管理者を識別する「パスワード」、管理装置と通信する際に使用するプロトコルを示す「通信形式」』として「001、aaa、abc、NETCONF」や「002、bbb、dgf、SNMP」などと記憶する。つまり、ネットワークプロトコル代理サーバは、管理装置情報DBに「識別情報=001、通信形式=NETCONF」と記憶されているので、「識別情報=001」を記憶する管理装置Aとは「NETCONF」プロトコルを用いて通信を行い、「識別情報=002」を記憶する管理装置Bとは「SNMP」プロトコルを用いて通信を行う。
そして、ネットワークプロトコル代理サーバは、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を装置個別情報DBに記憶する。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバの装置個別情報DBは、『制御対象装置を一意に識別する「装置情報」、制御対象装置と通信する際に使用するプロトコルを示す「通信形式」』として「制御対象装置A、CLI」や「制御対象装置B、NETCONF」などと記憶する。
そして、ネットワークプロトコル代理サーバは、制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報をアドレス情報DBに記憶する。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバのアドレス情報DBは、『インターネットなどの外部と通信を行うグローバルアドレスを示す「外部公開IP」、イントラネットなどの内部と通信を行うプライベートアドレスを示す「内部IP」』として「X1、X2」や「Y1、Y2」などと記憶する。
このような状態において、ネットワークプロトコル代理サーバは、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報DBに記憶されているか否かを判定する(図1の(1)と(2)参照)。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバは、管理装置Aから「識別情報=001、ID=aaa、パスワード=abc、制御指示=VPN設定(NETCONF形式)、制御対象装置=制御対象装置A、対象装置IPアドレス=X1」を含む制御要求を受け付けた場合に、当該制御要求に含まれる認証情報「ID=aaa、パスワード=abc」が管理装置情報DBに記憶されているか否かを判定する。この例の場合、ネットワークプロトコル代理サーバは、「識別情報=001」に対応付けて「ID=aaa、パスワード=abc」が管理装置情報DBに記憶されているので、当該制御要求を送信した管理装置Aを正当な管理装置であると判定する。
そして、ネットワークプロトコル代理サーバは、当該認証情報が管理装置情報DBに記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DBから取得する(図1の(3)参照)。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバは、当該制御要求に含まれる認証情報「ID=aaa、パスワード=abc」が管理装置情報DBに記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置「制御対象装置=制御対象装置A」に対応する装置情報「装置情報=制御対象装置A、通信形式=CLI」を装置個別情報DBから取得する。
続いて、ネットワークプロトコル代理サーバは、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスをアドレス情報DBから取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施する(図1の(4)と(5)参照)。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバは、取得された装置情報「装置情報=制御対象装置A、通信形式=CLI」に基づいて、制御要求に含まれる制御内容を示す制御情報「制御指示=VPN設定(NETCONF形式)」を「NETCONF形式」から「CLI形式」に変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレス「外部公開IP=X1」に対応した内部向けIPアドレス「内部IP=X2」をアドレス情報DBから取得し、取得された内部向けIPアドレス「内部IP=X2」を用いて変換された制御情報を制御対象装置Aに対して実施する。
その後、ネットワークプロトコル代理サーバは、変換した制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報DBから取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知する(図1の(6)と(7)参照)。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバは、変換した制御情報を制御対象装置Aに対して実施した結果を示す「CLI形式」の実施結果を、当該制御対象装置Aから受け付ける。そして、ネットワークプロトコル代理サーバは、受け付けた「CLI形式」の実施結果を、管理装置情報DBに記憶される当該制御要求の送信先の管理装置Aに対応する通信形式「NETCONF」に変換して管理装置Aに通知する。
このように、実施例1に係るネットワークプロトコル代理サーバは、通信形式が異なる管理装置と制御対象装置との間でも、それぞれの通信形式に変換して高度な制御を実施することができる結果、上記した主たる特徴のごとく、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である点に主たる特徴がある。
[ネットワークプロトコル代理サーバの構成]
次に、図2を用いて、図1に示したネットワークプロトコル代理サーバの構成を説明する。図2は、実施例1に係るネットワークプロトコル代理サーバの構成を示すブロック図である。図2に示すように、このネットワークプロトコル代理サーバ20は、管理装置情報DB21と、装置個別情報DB22と、アドレス情報DB23と、要求受付部30と、結果出力/加工部31と、要求分析部32と、認証情報管理部33と、装置個別情報管理部34と、外部情報操作部35と、アドレス情報管理部36と、装置制御部37とから構成される。
管理装置情報DB21は、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する。具体的に例を挙げれば、管理装置情報DB21は、図3に示すように、『管理装置を一意に識別する「識別情報」、管理装置の管理者を一意に割り当てられた「ユーザID」、管理装置の管理者を識別する「パスワード」、管理装置を権限に応じてグループ化した「権限グループ」、管理装置と通信する際に使用するプロトコルを示す「通信形式」、管理装置と通信する際に使用するデータ形式を示す「データ形式」』として「100、systemA、jkfdjakfdafd、権限グループ1、SOAP、NETCONF」や「101、nmcB、U3jfdifdasff、権限グループ2、HTTP、HTML」などと記憶する。なお、図3は、管理装置情報DBに記憶される情報の例を示す図である。
装置個別情報DB22は、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を記憶する。具体的に例を挙げれば、装置個別情報DB22は、図4に示すように、『制御対象装置を一意に識別する「装置ID」、装置の種別を示す「装置種別」、装置の名称を示す「装置名称」、装置の製造ベンダを示す「ベンダ名」、装置が使用する通信形式を示す「プロトコル種別」、装置が正当な装置であるか否かを認証するための情報を示す「認証情報」、制御対象装置を操作するための権限を示す「操作権限」、当該装置の情報を更新する間隔と当該更新情報の入手先とを示す「更新情報」、当該装置を操作するための各種情報を示す「装置制御情報」』として「1000、ルータ、IPCOM、FUJITSU、NETCONF、ID=systemA/PASS=jkfdjakfdafd、権限グループ1、毎日/http://...、−」や「1001、スイッチ、X001、C社、CLI、コミュニティ名称=public、権限グループ1、毎週月曜日/ftp://...、Port=23/cmdl=“ip”」などと記憶する。なお、図4は、装置個別情報DBに記憶される情報の例を示す図である。
アドレス情報DB23は、制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報を記憶する。具体的に説明すると、アドレス情報DB23は、図5に示すように、『制御対象装置を一意に識別する「装置ID」、イントラネットなどの内部と通信を行うプライベートアドレスを示す「装置IP」、インターネットなどの外部と通信を行うグローバルアドレスを示す「外部公開IP」、当該装置が接続されているインタフェースを示す「収容IF」、割り当てられているVLANを示す「VLAN」、アドレス変換に際しての動作条件を示した「変換付加情報」』として「1000、192.168.100.100/24、10.123.100.100/24、eth0、100、ICMP無効」や「1001、192.168.100.101/24、10.123.100.101/24、eth1、101、ICMP有効」などと記憶する。なお、図5は、アドレス情報DBに記憶される情報の例を示す図である。
要求受付部30は、各種装置を管理する複数の管理装置から各種制御実施を要求する制御要求を受け付ける。具体的に説明すると、要求受付部30は、接続される管理装置からのNETCONFなどの制御要求(プロトコルメッセージ)やネットワークプロトコル代理サーバ20自身の設定変更要求を保守操作端末より受信して、受信した接続要求や設定変更要求を要求分析部32に通知する。
結果出力/加工部31は、変換した制御情報を制御対象装置に対して実施した結果を示す実施結果を当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報DB21から取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知する。
ここで、装置個別情報DB22に記憶される「装置ID=1000、装置種別=ルータ、装置名称=IPCOM、ベンダ名=FUJITSU、プロトコル種別=NETCONF、認証情報=ID=systemA/PASS=jkfdjakfdafd、操作権限=権限グループ1、更新情報=毎日/http://...、装置制御情報=−」の制御対象装置に対して実行した制御結果を、管理装置情報DB21に記憶される「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff、権限グループ=権限グループ2、通信形式=HTTP、データ形式=HTML」の管理装置に応答する場合を例に具体的に説明する。この場合、結果出力/加工部31は、制御対象装置の「プロトコル種別=NETCONF」であることより、制御対象装置から「プロトコル種別=NETCONF」の応答結果を要求分析部32から受信する。そして、結果出力/加工部31は、管理装置の「通信形式=HTTP、データ形式=HTML」であることより、受信した「プロトコル種別=NETCONF」の応答結果を、管理装置の通信形式とデータ形式である「通信形式=HTTP、データ形式=HTML」に変換して管理装置に送信する。
要求分析部32は、後述する認証情報管理部33により当該認証情報が管理装置情報DB21に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DB22から取得し、また、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DB22から取得して、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスをアドレス情報DB23から取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施する。
具体的には、要求分析部32は、要求受付部30より入力された制御内容及び受信IPアドレス情報を元に必要に応じて認証情報管理部33への認証確認要求を通知することで要求元の認証、装置個別情報管理部34への制御対象機器についての装置特有な情報の取得依頼、アドレス情報管理部36へのIPアドレス変換実施のための情報取得を行い、各機能部の結果に従いプロトコルを変換し、制御対象装置への制御情報投入を行うため装置制御部37へ制御投入を依頼する。また、装置制御部37からの制御投入結果を受信し、結果出力/加工部31へ通知することで依頼元への結果返答を行う。
例えば、要求分析部32は、「識別情報=001」の管理装置から制御要求を受け付けた場合に、当該管理装置が正当な管理装置であるか否かを認証する依頼を認証情報管理部33に出力する。そして、要求分析部32は、認証情報管理部33により当該認証情報が管理装置情報DB21に記憶されていると判定された場合に、受け付けられた制御要求の送信先である管理装置に対応する装置情報「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff、権限グループ=権限グループ2、通信形式=HTTP、データ形式=HTML」を管理装置情報DB21から取得する。続いて、要求分析部32は、受け付けられた制御要求の制御実施先である制御対象装置「識別情報=1000」に対応する装置情報の取得依頼を装置個別情報管理部34に出力する。その後、要求分析部32は、制御対象装置の装置情報「装置ID=1000、装置種別=ルータ、装置名称=IPCOM、ベンダ名=FUJITSU、プロトコル種別=NETCONF、認証情報=ID=systemA/PASS=jkfdjakfdafd、操作権限=権限グループ1、更新情報=毎日/http://...、装置制御情報=−」を装置個別情報管理部34から受け付ける。
そして、要求分析部32は、制御要求に含まれる制御内容を示す制御情報を、管理装置の「通信形式=HTTP、データ形式=HTML」から制御対象装置の「プロトコル種別=NETCONF」に変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスの変換をアドレス情報管理部36に依頼する。そして、アドレス情報管理部36によってアドレス情報DB23を参照することで、制御要求に含まれる制御対象装置の外部向けIPアドレス「10.123.100.100/24」に対応した内部向けIPアドレス「192.168.100.100/24」に変換され、要求分析部32は、変換された内部向けIPアドレスを用いて変換された「プロトコル種別=NETCONF」の制御情報を制御対象装置に対して実施する。その後、要求分析部32は、制御を実施した結果を結果出力/加工部31に出力する。
認証情報管理部33は、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報DB21に記憶されているか否かを判定する。具体的には、認証情報管理部33は、要求分析部32からの認証依頼等を受信し、管理装置情報DB21へ情報の参照、登録、更新、削除を依頼する。例えば、認証情報管理部33は、「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff」が含まれる制御要求を受信した旨を要求分析部32から通知された場合に、当該認証情報である「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff」が管理装置情報DB21に記憶されているか否かを判定する。そして、認証情報管理部33は、管理装置情報DB21に記憶されている場合には、認証許可を要求分析部32に通知し、管理装置情報DB21に記憶されていない場合には、認証拒否を要求分析部32に通知する。この例の場合、「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff」が管理装置情報DB21に記憶されているので、認証情報管理部33は、認証許可を要求分析部32に通知する。
装置個別情報管理部34は、要求分析部32からの装置個別情報取得等を受信し、装置個別情報DB22へ情報の参照、登録、更新、削除を依頼する。また、装置個別情報DB22に該当装置情報がない場合、外部情報操作部35へ外部からの情報取得を依頼する。具体的には、装置個別情報管理部34は、要求分析部32からの装置個別情報取得等を受信した場合に、制御要求に含まれる「識別情報」に対応する装置情報を装置個別情報DB22から取得して要求分析部32に応答する。また、装置個別情報管理部34は、装置個別情報DB22に記憶される各装置情報の「更新情報」を参照して、当該「更新情報」に基づいて、装置情報の取得を外部情報操作部35に依頼する。
外部情報操作部35は、制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で装置個別情報DB22に記憶されている装置情報を更新する。具体的には、外部情報操作部35は、装置個別情報管理部34から装置情報更新依頼を受信し、HTTPやFTPなどを用いて指示された装置についての情報をインターネットなどの外部より取得し、結果を装置個別情報管理部34に返却する。
アドレス情報管理部36は、要求分析部32により取得された装置情報に基づいて、アドレス情報DB23を参照して、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスに変換する。具体的には、アドレス情報管理部36は、要求分析部32からのアドレス情報取得依頼等を受信し、アドレス情報DB23へ情報の参照、登録、更新、削除を依頼する。例を挙げると、アドレス情報管理部36は、要求分析部32からのアドレス情報取得依頼を受信した場合に、要求受付部30により受け付けられた制御要求に含まれる「識別番号」と「外部公開IP」に対応付けて記憶される「装置IP」をアドレス情報DB23から取得して要求分析部32に応答する。
装置制御部37は、要求分析部32からの制御投入依頼を受信し、指示された制御形式にて制御対象装置へ制御情報を送信し、送信結果を受信し、要求分析部32へ応答する。具体的に例を挙げると、装置制御部37は、要求分析部32からの制御投入依頼を受信し、指示された制御形式「NETCONF」にて制御対象装置へ制御情報を送信し、送信結果を受信して要求分析部32へ応答する。
[ネットワークプロトコル代理サーバによる処理]
(制御実施処理の流れ)
次に、図6を用いて、ネットワークプロトコル代理サーバによる処理を説明する。図6は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施処理の流れを示すフローチャートである。
図6に示すように、制御要求を受信すると(ステップS101肯定)、ネットワークプロトコル代理サーバ20の要求分析部32は、制御要求に含まれる認証情報を認証情報管理部33に送信し、認証情報管理部33は、受け付けた認証情報を用いて認証を行う(ステップS102)。
そして、認証情報管理部33により認証が許可されると(ステップS103肯定)、ネットワークプロトコル代理サーバ20の要求分析部32は、装置個別情報管理部34によって装置個別情報DB22から取得された制御実施先である制御対象装置に対応する装置情報に基づいて、制御要求に含まれる制御内容を制御対象装置に対応する通信形式に変換する(ステップS104)。なお、認証情報管理部33は、制御要求に含まれる認証情報(例えば、IDとパスワード、コミュニティ名など)が、管理装置情報DB21に記憶されている場合に、「認証OK」と判定する。
続いて、ネットワークプロトコル代理サーバ20の要求分析部32は、アドレス情報管理部36によってアドレス情報DB23から取得された制御実施先である制御対象装置に対応するアドレス情報に基づいて、制御要求に含まれる外部公開IPから装置IP(内部IP)に変換する(ステップS105)。
その後、ネットワークプロトコル代理サーバ20の要求分析部32は、制御対象装置に対応する通信形式に変換した制御内容を、外部公開IPから変換した装置IPに実施する指示を装置制御部37に出力し、装置制御部37は、装置IPに対応する制御対象装置に対して制御内容を実施する(ステップS106)。
(制御実施結果応答処理の流れ)
次に、図7を用いて、ネットワークプロトコル代理サーバによる制御実施結果応答処理を説明する。図7は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施結果応答処理の流れを示すフローチャートである。
図7に示すように、装置制御部37により実施された制御結果を要求分析部32から受信すると(ステップS201肯定)、結果出力/加工部31は、管理装置情報DB21に記憶される管理装置に対応する装置情報に基づいて、制御結果を管理装置に対応する通信形式に変換する(ステップS202とステップS203)。
続いて、結果出力/加工部31は、アドレス情報管理部36によってアドレス情報DB23から取得された制御実施先である制御対象装置に対応するアドレス情報に基づいて、装置IPから外部公開IPに変換し(ステップS204)、制御結果を管理装置に応答する(ステップS205)。
(制御実施/結果応答処理のシーケンス)
次に、図8を用いて、ネットワークプロトコル代理サーバによる制御実施/結果応答処理を説明する。図8は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施/結果応答処理の流れを示すシーケンス図である。
図8に示すように、管理装置から制御対象装置(ネットワーク機器)に対する制御要求が投入された場合、「装置制御要求」処理の延長にて、「制御要求通知」メッセージをネットワークプロトコル代理サーバ20へ送信する(ステップS301)。
そして、ネットワークプロトコル代理サーバ20の要求受付部30はこのメッセージを受信すると、要求分析部32へ「制御情報入力」イベントを出す(ステップS302)。続いて、要求分析部32は、「認証情報分析」処理にて管理装置の認証処理を行うために、「制御要求通知」から管理装置の「識別情報」と「認証情報」(例えば、ID、パスワードやコミュニティ名など)とを取得して、取得した「識別情報」と「認証情報」とを認証情報管理部33へ出力する(ステップS304)。
その後、認証情報管理部33は、管理装置情報DB21に記憶される認証情報「認証情報」テーブルを参照して、認証処理を行い(「ユーザID」と「パスワード」とを参照して、認証を行う)、認証しても良いと判断すれば「認証OK」イベントを要求分析部32へ出力すると同時に、管理装置情報DB21の「識別情報」にマッチした行の「データ形式」列にあるデータを管理装置とネットワークプロトコル代理サーバ20との間の通信プロトコル種別として要求分析部32に出力する(ステップS305〜ステップS308)。
そして、要求分析部32は、受け取った管理装置とネットワークプロトコル代理サーバ20間との通信プロトコル種別を保存すると共に、「装置情報分析」処理を開始し、装置個別情報管理部34に制御要求のあった当該制御対象機器のプロトコル種別を参照するために、「情報参照」イベントを装置個別情報管理部34に出力する(ステップS309〜ステップS311)。
その後、装置個別情報管理部34は、装置個別情報DB22に記憶される「装置個別情報」テーブルに対して参照要求のあった当該制御対象装置の情報を検索し、検索にマッチした行の「プロトコル種別」にあるデータをネットワークプロトコル代理サーバ20と制御要求のあった機器との間の通信プロトコル種別として取得すると同時に、同行の「装置制御情報」にあるデータを当該プロトコル種別の仕様として取得して、要求分析部32に出力する(ステップS312〜ステップS314)。
続いて、要求分析部32は、装置個別情報管理部34から受信したデータの保存を行い、「アドレス情報分析」処理を開始して(ステップS315)、管理装置から「装置制御要求」メッセージを受信した外部向けIPアドレスをアドレス情報としてアドレス情報管理部36へ出力する(ステップS316)。
そして、アドレス情報管理部36は、このアドレス情報を受け取ると、アドレス情報DB23に記憶される「アドレス情報」テーブルに対して、当該外部向けIPアドレスをキーとして「外部公開IP」列を検索し、該当した行の「装置IP」列にあるデータを制御要求のあった制御対象装置の保有するアドレス情報として取得して、要求分析部32に出力する(ステップS317〜ステップS319)。
すると、要求分析部32は、この制御対象装置の保有するアドレス情報(装置IP)を受け取ると、「変換情報あり」と判断し、これ以降の処理において制御対象装置に対して電文を送信するときのあて先アドレスとする「変換実行」を行う(ステップS320)。
そして、要求分析部32は、管理装置から受け付けた「制御要求通知」の制御内容から、制御対象装置向けにプロトコルが変換された制御内容を実施する旨の通知を装置制御部37に出力し(ステップS321とステップS322)、装置制御部37は、当該変換された制御内容を装置IPを持つ制御対象装置に対して実行する(ステップS323)。
その後、制御実施結果を制御対象装置から受け付けた装置制御部37は、当該制御結果を要求分析部32に出力し(ステップS324とステップS325)、要求分析部32は、受け付けた制御結果を応答として結果出力/加工部31に出力する(ステップS326)。
実施結果を受け付けた結果出力/加工部31は、管理装置情報DB21を参照して、応答結果を出力する管理装置の「通信形式」、「データ形式」を取得し、受け付けた実施結果を取得した管理装置の「通信形式」、「データ形式」に再変換して(ステップS327)、再変換した実施結果を結果応答として管理装置に送信する(ステップS328とステップS329)。
[実施例1による効果]
このように、実施例1によれば、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を管理装置情報DB21に記憶し、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を装置個別情報DB22に記憶し、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報DB21に記憶されているか否かを判定し、当該認証情報が管理装置情報DB21に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DB22から取得し、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施するので、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である。
また、実施例1によれば、ネットワークプロトコル代理サーバ20は、管轄する全ての制御対象機器への認証をあらかじめ行い、管理装置は、ネットワークプロトコル代理サーバ20との認証を一度行うだけで、ネットワークプロトコル代理サーバ20の管轄する制御対象機器への制御を行うことができるよう、認証の代理も行うことができる。
また、実施例1によれば、変換した制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報DB21から取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知するので、制御実施結果を正確に管理装置に通知することが可能である。
また、実施例1によれば、制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報をアドレス情報DB23に記憶し、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスをアドレス情報DB23から取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施するので、管理装置(NMS)から直接的に管理対象機器(制御対象装置)へアクセスする場合とは異なり、NMSに対して管理対象機器が存在するネットワークの構成(IPアドレス割り振り体系等)を隠蔽し、さらに外部から直接的に機器を操作できないようにすることが可能である。また、認証されたNMSが、代理サーバを通じてのみ、機器を制御することができる。
ところで、本発明は、各種制御を実施する新たな管理装置を認証して、自動的に管理装置情報DB21に登録することもできる。そこで、実施例2では、図9を用いて、新たな管理装置を追加登録する場合について説明する。図9は、実施例2に係る新たな管理装置を追加登録する追加登録処理の流れを示すフローチャートである。
図9に示すように、新たな管理装置から追加要求が要求受付部30により受信されると(ステップS401肯定)、ネットワークプロトコル代理サーバ20の要求分析部32は、当該新たな管理装置を認証するための「認証情報(例えば、ID、パスワードやコミュニティなど)」と当該新たな管理装置の「アドレス情報(例えば、IPアドレス)」とを当該追加要求から取得する(ステップS402)。
続いて、ネットワークプロトコル代理サーバ20の要求分析部32は、新たな管理装置と通信を行うための「通信形式(例えば、NETCONF、SNMP、HTTPなど)」を当該追加要求から取得する(ステップS403)。
その後、ネットワークプロトコル代理サーバ20の要求分析部32は、新たな管理装置の管理者から「管理者名」や「権限グループ」などの情報を受け付けて(ステップS404肯定)、当該受け付けた情報と取得した「認証情報」と「アドレス情報」とを新たに生成した「識別情報」に対応付けて、管理装置情報DB21に格納する(ステップS405)。このように、管理装置情報DB21に格納した後は、実施例1と同様に、管理装置の認証が実施されて、各種制御が実行される。また、ネットワークプロトコル代理サーバ20の要求分析部32は、管理装置を削除する場合には、削除要求を受け付けて、管理装置情報DB21から当該削除要求を送信した管理装置を削除する。
[実施例2による効果]
このように、実施例2によれば、管理装置情報DB21に記憶されていない新たな装置を管理装置として追加する場合に、当該新たな管理装置から認証情報を受け付けるとともに、当該認証情報を受け付けた際の通信形式を取得し、受け付けられた認証情報と取得された通信形式とを対応付けて管理装置情報DB21に新たに格納するので、新たな管理装置を柔軟に追加・削除することができ、さらに、利便性が向上する。
ところで、実施例2では、各種制御を実施する新たな管理装置を自動的に管理装置情報DB21に登録する場合について説明したが、本発明はこれに限定されるものではなく、新たな制御対象装置を自動的に装置個別情報DB22に登録することもできる。
そこで、実施例3では、図10を用いて、新たな制御対象装置を追加登録する場合について説明する。図10は、実施例3に係る新たな制御対象装置を追加登録する追加登録処理の流れを示すシーケンス図である。
図10に示すように、新たな制御対象機器を制御することにさきがけて、新たな制御対象機器を本発明のネットワークプロトコル代理サーバ20に登録するために、管理装置は、「装置追加要求」メッセージをネットワークプロトコル代理サーバ20へ送信する(ステップS501)。
続いて、ネットワークプロトコル代理サーバ20の要求受付部30は、このメッセージを受信すると、要求分析部32へ「追加装置情報入力」イベントを出す(ステップS502)。
そして、要求分析部32は、「認証情報分析」処理にて、「装置追加要求」を送信した管理装置の認証処理を行うために認証情報管理部33へ「情報参照」イベントを出し(ステップS503とステップS504)、認証情報管理部33は、管理装置情報DB21に記憶される「認証情報」テーブルを参照して認証処理を行い、当該「認証情報」が管理装置情報DB22に記憶されている場合に、「認証OK」イベントを要求分析部32へ出力する(ステップS505〜ステップS508)。
すると、要求分析部32は、「装置情報追加」処理を開始し、装置個別情報管理部34に登録要求のあった当該新たな制御対象装置を登録させるために、「情報参照」イベントを出す(ステップS509とステップS510)。
そして、装置個別情報管理部34は、装置個別情報DB22に記憶される「装置個別情報」テーブルを参照し、登録要求のあった新たな制御対象装置の情報を検索する(ステップS511とステップS512)。
ここで、装置個別情報管理部34は、装置情報がなかった場合は、登録要求のあった当該新たな制御対象装置に関する仕様等の情報を取得するために、外部情報操作部35に対してイベントを出す(ステップS513)。
そして、外部情報操作部35は、インターネット等などの外部ネットワーク(例えば、各種ベンダーのホームページなど)から当該新たな制御対象装置に関する仕様等の情報を取得し、この情報を装置個別情報管理部34へ出力する(ステップS514とステップS515)。
装置個別情報管理部34は、装置個別情報DB22に記憶される「装置個別情報」テーブルに当該ネットワーク機器に関する仕様等の情報を追加する(ステップS516とステップS517)。つまり、「装置個別情報」テーブルにレコードを追加登録することにより、登録要求のあった当該ネットワーク機器が代理サーバの管轄となる。
その後、装置個別情報管理部34は、要求分析部32にイベントを出し(ステップS518)、要求分析部32は、このイベントを受けると、「アドレス情報追加」処理を開始し、管理装置から「装置追加要求」メッセージにて受信した当該新たな制御対象装置のアドレス情報をアドレス情報管理部36へ出力する(ステップS519とステップS520)。
すると、アドレス情報管理部36は、このアドレス情報を受け取ると、アドレス情報DB23のもつ「アドレス情報」テーブルに登録し、この登録が終わると、要求分析部32にイベントを出す(ステップS521〜ステップS523)。
そして、要求分析部32は、このイベントを受け取ると結果出力/加工部31へ「応答情報通知」イベントを出し(ステップS524)、結果出力/加工部31は、管理装置へ当該新たな制御対象装置の登録結果を送信する(ステップS525)。その後、管理装置は、この結果を受け取ると、「結果応答」処理を行い、この処理において保守者に対して当該新たな制御対象装置の登録結果を知らせる(ステップS526)。なお、制御対象装置を削除する場合も、同様の手法で容易に行うことができる。
[実施例3による効果]
このように、実施例3によれば、新たな制御対象機器を制御することにさきがけて、新たな制御対象機器を本発明のネットワークプロトコル代理サーバ20に容易に登録することができる結果、制御対象装置の追加・削除などに係る保守メンテナンス作業の負荷を軽減することが可能であり、さらに、利便性を向上させることが可能である。
ところで、実施例3では、新たな制御対象装置を自動的に装置個別情報DB22に登録する場合について説明したが、本発明はこれに限定されるものではなく、バージョンアップやソフトウエアのアップデータなどにより制御対象装置の情報が更新された場合でも、自動的にこの更新情報を装置個別情報DB22に反映させることもできる。
そこで、実施例4では、図11を用いて、バージョンアップやソフトウエアのアップデータなどにより制御対象装置の情報が更新された場合でも、自動的にこの更新情報を装置個別情報DB22に反映させる場合について説明する。図11は、実施例4に係る装置個別情報DB更新処理の流れを示すシーケンス図である。
図11に示すように、ネットワークプロトコル代理サーバ20の装置個別情報管理部34は、装置個別情報DB22に記憶される「更新情報」を参照して、更新を実施する期間である装置があるか否かを判定する(ステップS601〜ステップS603)。
更新を実施する期間である装置がある場合に、装置個別情報管理部34は、装置個別情報DB22に記憶される「更新情報」に記載されている更新情報入手先のアドレス情報などを取得して、取得した更新情報入手先のアドレス情報と、当該更新を実施する期間に該当する制御対象装置の新たな情報を取得する指示とを外部情報操作部35に出力する(ステップS604)。
この指示を受けた外部情報操作部35は、更新情報入手先のアドレス情報にアクセスして、更新情報を取得し、取得した更新情報を装置個別情報管理部34に出力する(ステップS605とステップS606)。
そして、装置個別情報管理部34は、外部情報操作部35から受け付けた更新情報を、装置個別情報DB22に記憶される対応した制御対象装置の各テーブルに格納して、制御対象装置の装置情報を更新する(ステップS607)。
[実施例4による効果]
このように、実施例4によれば、制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で装置個別情報DB22に記憶されている装置情報を更新するので、常に最新の装置情報を格納しておくことができる結果、制御対象装置の通信形式に適した最新のプロトコルを選択して、制御を実施することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)自律的に制御対象装置への制御実施、(2)自律的に制御対象装置から情報収集および収集した情報の加工処理の実施、(3)システム構成等、(4)プログラムにそれぞれ区分けして異なる実施例を説明する。
(1)自律的に制御対象装置への制御実施
例えば、本発明に係るネットワークプロトコル代理サーバ20は、自律的に制御対象装置への制御を行うこともできる。そこで、実施例5では、ネットワークプロトコル代理サーバ20が自律的に制御対象装置への制御を行う場合について説明する。
具体的には、管理装置が定期的または指定された契機(機器の状態変化等の契機)にて制御対象装置に対して制御を行いたい場合、その制御ポリシーをネットワークプロトコル代理サーバ20に設定することで、ネットワークプロトコル代理サーバ20が管理装置に代わって自律的に当該制御を行う。
例を挙げて説明すると、管理装置が自律的な制御の依頼をネットワークプロトコル代理サーバ20の要求受付部30に行うと、要求受付部30から要求分析部32へ依頼が通知される。そして、要求分析部32は、受信した自律制御の条件を分析し、対象装置ごとの実施条件を装置個別情報管理部34に通知すると、装置個別情報管理部34は、通知された自律制御の条件を装置個別情報DB22に格納する。
その後、要求分析部32は、定期的に装置個別情報管理部34に装置個別情報DB22の参照を依頼し、自律制御条件の有無を判定する。そして、要求分析部32は、自律制御条件が存在する場合には、制御条件情報に保存された設定条件に従い、装置制御部37へ制御対象となる制御対象装置へ制御の投入を依頼する。例えば、制御条件情報として5分ごとの制御対象装置からの情報取得が設定されていた場合、要求分析部32は、5分ごとに装置制御部37へ情報取得のための制御情報を投入する。
また、制御投入した結果や制御対象装置からの情報通知に応じて更に制御を行うことも可能とする。例えば、制御条件として5分ごとの制御対象装置からの情報取得とその取得値が「0」であった場合の制御情報が設定されていた場合、要求分析部32は、5分ごとに装置制御部37へ情報取得のための制御情報を投入して結果を受信後、取得値を評価して、取得値が「0」であった場合には設定された制御情報を装置制御部37へ投入し、取得値が「0」でない場合には、処理を終了する。
このように、ネットワークプロトコル代理サーバ20は、自律的に制御対象装置への制御を行うこともできる。その結果、定期実行などを要する制御においても、容易に実行することが可能であり、また、人手による実行忘れなども防止することが可能である。
(2)自律的に制御対象装置から情報収集および収集した情報の加工処理の実施
例えば、本発明に係るネットワークプロトコル代理サーバ20は、自律的に制御対象装置から情報収集および収集した情報の加工処理を行うこともできる。そこで、実施例5では、ネットワークプロトコル代理サーバ20が自律的に制御対象装置から情報収集および収集した情報の加工処理を行う場合について説明する。
具体的には、管理装置が制御対象装置の保持情報(例えば、機器の各種状態等の情報など)を収集する場合に、ネットワークプロトコル代理サーバ20がこれを代理することが可能である。その際、情報の中継において以下のような収集処理や、収集した情報の加工処理(例えば、統計のための計算等)をネットワークプロトコル代理サーバ20が代理する。これにより制御対象装置が保持していない情報を加工により生成することを可能とする。
例を挙げて説明すると、ネットワークプロトコル代理サーバ20は、「1.定期的な情報収集処理(例えば、管理対象機器の1秒ごとのCPU使用率やバッファ使用率の収集等)を行い、収集結果は必要に応じてまとめた形で管理装置に通知する」、「2.収集した情報の加工処理(例えば、管理対象装置がルータの場合において、ルータのパケット転送総数と転送失敗総数とからのパケット損失率の計算処理等)」、「3.収集した情報がある閾値を超えた場合の管理装置への通知」などの処理を自律的に実行する。
さらに、ネットワークプロトコル代理サーバ20は、収集した情報の加工処理については、制御対象装置を跨る情報の加工も可能である。例を挙げると、ネットワークプロトコル代理サーバ20は、実施例5と同様の手順により自律的な制御対象装置への制御として、例えば1秒ごとの情報取得を登録する。すると、要求分析部32は、装置制御部37から受け取った取得値を結果出力/加工部31へ加工ありとして通知する。結果出力/加工部31は、通知された値を蓄積し、加工に必要な蓄積値が揃った時点で指定された加工条件に従い加工値を算出し、管理装置へ通知する。
このように、装置の性能などを定期的に監視することが可能であるとともに、定期的に収集した情報を加工することができる結果、装置の性能や負荷などを把握することが可能となり、制御対象装置の保守にも役立てることが可能である。
(3)システム構成等
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、要求受付部と結果出力/加工部とを統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、制御要求から認証情報、識別情報、アドレス情報などを取得する処理など)の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理(例えば、管理装置追加の際に、権限グループなどを受け付ける処理など)の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3〜図5など)については、特記する場合を除いて任意に変更することができる。
(4)プログラム
ところで、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムを他の実施例として説明する。
図12は、制御代理プログラムを実行するコンピュータシステムの例を示す図である。図12に示すように、コンピュータシステム100は、RAM101と、HDD102と、ROM103と、CPU104とから構成される。ここで、ROM103には、上記の実施例と同様の機能を発揮するプログラム、つまり、図12に示すように、認証プログラム103aと、装置情報取得プログラム103bと、制御実施プログラム103cと、管理装置追加プログラム103dと、装置情報更新プログラム103eとがあらかじめ記憶されている。
そして、CPU104には、これらのプログラム103a〜103eを読み出して実行することで、図12に示すように、認証プロセス104aと、装置情報取得プロセス104bと、制御実施プロセス104cと、管理装置追加プロセス104dと、装置情報更新プロセス104eとなる。なお、認証プロセス104aは、図2に示した、要求分析部32と認証情報管理部33とに対応し、同様に、装置情報取得プロセス104bは、要求分析部32と装置個別情報管理部34とに対応し、制御実施プロセス104cは、要求分析部32と装置制御部37とに対応し、管理装置追加プロセス104dは、要求分析部32に対応し、装置情報更新プロセス104eは、要求分析部32と外部情報操作部35とに対応する。
また、HDD102には、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報テーブル102aと、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を記憶する装置情報テーブル102bと、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報を記憶するアドレス情報テーブル102cとが設けられる。なお、管理装置情報テーブル102aは、図2に示した、管理装置情報DB21に対応し、同様に、装置情報テーブル102bは、装置個別情報DB22に対応し、アドレス情報テーブル102cは、アドレス情報DB23に対応する。
ところで、上記したプログラム103a〜103eは、必ずしもROM103に記憶させておく必要はなく、例えば、コンピュータシステム100に挿入されるフレキシブルディスク(FD)、CD−ROM、MOディスク、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」の他に、コンピュータシステム100の内外に備えられるハードディスクドライブ(HDD)などの「固定用の物理媒体」、さらに、公衆回線、インターネット、LAN、WANなどを介してコンピュータシステム100に接続される「他のコンピュータシステム」に記憶させておき、コンピュータシステム100がこれらからプログラムを読み出して実行するようにしてもよい。
以上のように、本発明に係る制御代理装置、制御代理方法および制御代理プログラムは、各種装置を管理する複数の管理装置から各種制御実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施することに有用であり、特に、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することに適する。
この発明は、各種装置を管理する複数の管理装置から各種制御実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施する制御代理装置に関する。
近年、ネットワーク機器を構成情報設定やセキュリティ設定等の高度な制御を実現する手段として、IETF(The Internet Engineering Task Force)のNetconf WGが標準化を進めているNETCONFが挙げられる。
ところが、ネットワーク機器をNETCONF等のプロトコルに対応させるためには、HTTP(Hypertext Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、SOAP(Simple Object Access Protocol)、NETCONF等のプロトコルスタックを制御対象となるネットワーク機器に実装しなければならない。そこで、NETCONFなどのプロトコルが未対応な制御対象装置に対しても、NETCONFなどと同様の高度な制御を行う様々な手法が開示されている。
例えば、特許文献1(特開2006−338417号公報)では、SNMP管理装置が代理サーバを設けることで、非SNMP機器を制御する手法が開示されている。具体的には、代理サーバは、SNMP管理装置から制御指示をSNMPで受け付け、受け付けた制御指示を独自プロトコルに変換して、制御対象装置に制御コメントを発行する。また、代理サーバは、制御対象装置から受け付けた独自プロトコルに準じた制御結果をSNMPに変換して、SNMP管理装置に通知する。
特開2006−338417号公報
しかしながら、上記した従来の技術は、制御対象装置に対して制御指示を送信する管理装置の通信形式に依存してしまうという課題と、管理装置が正当な装置であるか否かを認証できないという課題と、構成情報設定やセキュリティ設定等の高度な制御を行うことができないという課題とがあった。具体的には、制御対象装置に対して制御指示を送信する管理装置がSNMPに依存しているため、SNMPを使用できない装置を管理装置とすることができず、システム全体として使い勝手が悪く汎用性がない。また、SNMPを利用する管理装置であれば、いずれの装置でも管理装置となり得るので、不正な管理装置を検出することができない。
また、代理サーバは、高度な制御ができない(高度な制御指示を指定できない)SNMPで制御指示をSNMP管理装置から受け付けるため、制御対象装置に対しても、高度な制御を実施することができない。例えば、制御対象装置がルータなどのネットワーク機器であった場合、SNMPでは、ファイアウォールやVPN(Virtual Private Network)などのセキュリティ設定の変更、追加、削除などの制御指示を指定することができないため、代理サーバは、制御対象装置に対して、このようなセキュリティ設定を制御することができない。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である制御代理装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施する制御代理装置であって、前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証手段と、前記認証手段により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得手段と、前記装置情報取得手段により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施手段と、を備えたことを特徴とする。
また、本発明は、上記の発明において、前記管理装置情報記憶手段に記憶されていない新たな装置を管理装置として追加する場合に、当該新たな管理装置から認証情報を受け付けるとともに、当該認証情報を受け付けた際の通信形式を取得し、受け付けられた認証情報と取得された通信形式とを対応付けて前記管理装置情報記憶手段に新たに格納する管理装置追加手段をさらに備えたことを特徴とする。
また、本発明は、上記の発明において、前記制御実施手段は、前記変換された制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報記憶手段から取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知することを特徴とする。
また、本発明は、上記の発明において、前記制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報を記憶するアドレス情報記憶手段をさらに備え、前記制御実施手段は、前記装置情報取得手段により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換するとともに、前記制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスを前記アドレス情報記憶手段から取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施することを特徴とする。
また、本発明は、上記の発明において、前記制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で前記装置情報記憶手段に記憶されている装置情報を更新する装置情報更新手段をさらに備えたことを特徴とする。
また、本発明は、各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施することに適した制御代理方法であって、前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証工程と、前記認証工程により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得工程と、前記装置情報取得工程により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施工程と、を含んだことを特徴とする。
また、本発明は、各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施することをコンピュータに実行させる制御代理プログラムであって、前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証手順と、前記認証手順により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得手順と、前記装置情報取得手順により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施手順と、をコンピュータに実行させることを特徴とする。
本発明によれば、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶し、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を記憶し、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が記憶されているか否かを判定し、当該認証情報が記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を取得し、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施するので、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である。
また、本発明によれば、制御代理装置(ネットワークプロトコル代理サーバ)は、管轄する全ての制御対象機器への認証をあらかじめ行い、管理装置は、制御代理装置(ネットワークプロトコル代理サーバ)との認証を一度行うだけで、制御代理装置(ネットワークプロトコル代理サーバ)の管轄する制御対象機器への制御を行うことができるよう、認証の代理も行うことができる。
また、本発明によれば、記憶されていない新たな装置を管理装置として追加する場合に、当該新たな管理装置から認証情報を受け付けるとともに、当該認証情報を受け付けた際の通信形式を取得し、受け付けられた認証情報と取得された通信形式とを対応付けて新たに格納するので、新たな管理装置を柔軟に追加・削除を行うことができ、さらに、利便性が向上する。
また、本発明によれば、変換した制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知するので、制御実施結果を正確に管理装置に通知することが可能である。
また、本発明によれば、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスを取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施するので、管理装置(NMS)から直接的に管理対象機器(制御対象装置)へアクセスする場合とは異なり、NMSに対して管理対象機器が存在するネットワークの構成(IPアドレス割り振り体系等)を隠蔽し、さらに外部から直接的に機器を操作できないようにすることが可能である。また、認証されたNMSが、代理サーバを通じてのみ、機器を制御することができる。
また、本発明によれば、制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で記憶されている装置情報を更新するので、常に最新の装置情報を格納しておくことができる結果、制御対象装置の通信形式に適した最新のプロトコルを選択して、制御を実施することが可能である。
以下に添付図面を参照して、この発明に係る制御代理装置の実施例を詳細に説明する。なお、以下では、本実施例で用いる主要な用語、本実施例に係る制御代理装置の概要および特徴、制御代理装置の構成および処理の流れを順に説明し、最後に本実施例に対する種々の変形例を説明する。
[用語の説明]
まず最初に、本実施例で用いる主要な用語を説明する。本実施例で用いる「管理装置A」と「管理装置B」とは、制御対象装置に対して構成情報設定やセキュリティ設定等の高度な制御を行うネットワーク管理システム(NMS)などを実現するコンピュータ装置である。また、「制御対処装置A」や「制御対象装置B」は、「ネットワークプロトコル代理サーバ」から各種制御指示を受け付けて実行し、その結果を「ネットワークプロトコル代理サーバ」に応答するルータ、スイッチ、ファイアウォールなどのネットワーク機器やWEBサーバなどのコンピュータ装置である。
また、「ネットワークプロトコル代理サーバ(特許請求の範囲に記載の「制御代理装置」に対応する)」とは、管理装置Aや管理装置Bからの制御指示を受け付けて、管理装置Aや管理装置Bに代わって代理で制御対象装置に送信し、制御結果を管理装置に応答するネットワーク機器のことである。この「ネットワークプロトコル代理サーバ」は、制御対象装置を制御するNETCONF、SNMP、各種CLI(Command Line Interface)などの様々なネットワークプロトコルに対応している。なお、本実施例では、二つの管理装置Aと管理装置Bと、ネットワークプロトコル代理サーバと、二つの制御対象装置Aと制御対象装置Bとから構成されるシステムの例について説明するが、管理装置、ネットワークプロトコル代理サーバ、制御対象装置の台数を限定するものではない。
[ネットワークプロトコル代理サーバの概要および特徴]
次に、図1を用いて、実施例1に係るネットワークプロトコル代理サーバの概要および特徴を説明する。図1は、実施例1に係るネットワークプロトコル代理サーバを含むシステムの全体構成を示すシステム構成図である。
図1に示すように、このシステムは、構成情報設定やセキュリティ設定等の高度な制御を行う管理装置Aと管理装置Bと、各管理装置に代わって制御指示を送信するネットワークプロトコル代理サーバと、各種制御の対象となる制御対象装置A(IPアドレス=X1)と制御対象装置B(IPアドレス=Y1)とから構成される。
また、管理装置Aには、一意に識別する「識別情報」として「001」と、管理装置Aの管理者によって定められた「ID」と「パスワード」として「aaa、abc」とを記憶しており、同様に、管理装置Bには、「識別情報」として「002」と、「ID」と「パスワード」として「bbb、dgf」とを記憶している。また、管理装置Aは、他の装置と通信を行う際には、プロトコル(通信形式)として「NETCONF」を使用し、同様に、管理装置Bには、他の装置と通信を行う際には、プロトコル(通信形式)として「SNMP」を使用する。
このような構成において、ネットワークプロトコル代理サーバは、上記したように、各種装置を管理する複数の管理装置(管理装置Aと管理装置B)から各種制御実施を要求する制御要求を受け付けて、制御対象装置となる装置(制御対象装置Aと制御対象装置B)に対して各種制御を実施することを概要とするものであり、特に、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である点に主たる特徴がある。
この主たる特徴を具体的に説明すると、ネットワークプロトコル代理サーバは、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を管理装置情報DBに記憶する。具体的に例を挙げれば、ネットワークプロトコル代理サーバの管理装置情報DBは、『管理装置を一意に識別する「識別情報」、管理装置の管理者を一意に割り当てられた「ID」、管理装置の管理者を識別する「パスワード」、管理装置と通信する際に使用するプロトコルを示す「通信形式」』として「001、aaa、abc、NETCONF」や「002、bbb、dgf、SNMP」などと記憶する。つまり、ネットワークプロトコル代理サーバは、管理装置情報DBに「識別情報=001、通信形式=NETCONF」と記憶されているので、「識別情報=001」を記憶する管理装置Aとは「NETCONF」プロトコルを用いて通信を行い、「識別情報=002」を記憶する管理装置Bとは「SNMP」プロトコルを用いて通信を行う。
そして、ネットワークプロトコル代理サーバは、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を装置個別情報DBに記憶する。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバの装置個別情報DBは、『制御対象装置を一意に識別する「装置情報」、制御対象装置と通信する際に使用するプロトコルを示す「通信形式」』として「制御対象装置A、CLI」や「制御対象装置B、NETCONF」などと記憶する。
そして、ネットワークプロトコル代理サーバは、制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報をアドレス情報DBに記憶する。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバのアドレス情報DBは、『インターネットなどの外部と通信を行うグローバルアドレスを示す「外部公開IP」、イントラネットなどの内部と通信を行うプライベートアドレスを示す「内部IP」』として「X1、X2」や「Y1、Y2」などと記憶する。
このような状態において、ネットワークプロトコル代理サーバは、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報DBに記憶されているか否かを判定する(図1の(1)と(2)参照)。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバは、管理装置Aから「識別情報=001、ID=aaa、パスワード=abc、制御指示=VPN設定(NETCONF形式)、制御対象装置=制御対象装置A、対象装置IPアドレス=X1」を含む制御要求を受け付けた場合に、当該制御要求に含まれる認証情報「ID=aaa、パスワード=abc」が管理装置情報DBに記憶されているか否かを判定する。この例の場合、ネットワークプロトコル代理サーバは、「識別情報=001」に対応付けて「ID=aaa、パスワード=abc」が管理装置情報DBに記憶されているので、当該制御要求を送信した管理装置Aを正当な管理装置であると判定する。
そして、ネットワークプロトコル代理サーバは、当該認証情報が管理装置情報DBに記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DBから取得する(図1の(3)参照)。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバは、当該制御要求に含まれる認証情報「ID=aaa、パスワード=abc」が管理装置情報DBに記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置「制御対象装置=制御対象装置A」に対応する装置情報「装置情報=制御対象装置A、通信形式=CLI」を装置個別情報DBから取得する。
続いて、ネットワークプロトコル代理サーバは、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスをアドレス情報DBから取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施する(図1の(4)と(5)参照)。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバは、取得された装置情報「装置情報=制御対象装置A、通信形式=CLI」に基づいて、制御要求に含まれる制御内容を示す制御情報「制御指示=VPN設定(NETCONF形式)」を「NETCONF形式」から「CLI形式」に変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレス「外部公開IP=X1」に対応した内部向けIPアドレス「内部IP=X2」をアドレス情報DBから取得し、取得された内部向けIPアドレス「内部IP=X2」を用いて変換された制御情報を制御対象装置Aに対して実施する。
その後、ネットワークプロトコル代理サーバは、変換した制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報DBから取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知する(図1の(6)と(7)参照)。上記した例で具体的に説明すると、ネットワークプロトコル代理サーバは、変換した制御情報を制御対象装置Aに対して実施した結果を示す「CLI形式」の実施結果を、当該制御対象装置Aから受け付ける。そして、ネットワークプロトコル代理サーバは、受け付けた「CLI形式」の実施結果を、管理装置情報DBに記憶される当該制御要求の送信先の管理装置Aに対応する通信形式「NETCONF」に変換して管理装置Aに通知する。
このように、実施例1に係るネットワークプロトコル代理サーバは、通信形式が異なる管理装置と制御対象装置との間でも、それぞれの通信形式に変換して高度な制御を実施することができる結果、上記した主たる特徴のごとく、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である点に主たる特徴がある。
[ネットワークプロトコル代理サーバの構成]
次に、図2を用いて、図1に示したネットワークプロトコル代理サーバの構成を説明する。図2は、実施例1に係るネットワークプロトコル代理サーバの構成を示すブロック図である。図2に示すように、このネットワークプロトコル代理サーバ20は、管理装置情報DB21と、装置個別情報DB22と、アドレス情報DB23と、要求受付部30と、結果出力/加工部31と、要求分析部32と、認証情報管理部33と、装置個別情報管理部34と、外部情報操作部35と、アドレス情報管理部36と、装置制御部37とから構成される。
管理装置情報DB21は、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する。具体的に例を挙げれば、管理装置情報DB21は、図3に示すように、『管理装置を一意に識別する「識別情報」、管理装置の管理者を一意に割り当てられた「ユーザID」、管理装置の管理者を識別する「パスワード」、管理装置を権限に応じてグループ化した「権限グループ」、管理装置と通信する際に使用するプロトコルを示す「通信形式」、管理装置と通信する際に使用するデータ形式を示す「データ形式」』として「100、systemA、jkfdjakfdafd、権限グループ1、SOAP、NETCONF」や「101、nmcB、U3jfdifdasff、権限グループ2、HTTP、HTML」などと記憶する。なお、図3は、管理装置情報DBに記憶される情報の例を示す図である。
装置個別情報DB22は、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を記憶する。具体的に例を挙げれば、装置個別情報DB22は、図4に示すように、『制御対象装置を一意に識別する「装置ID」、装置の種別を示す「装置種別」、装置の名称を示す「装置名称」、装置の製造ベンダを示す「ベンダ名」、装置が使用する通信形式を示す「プロトコル種別」、装置が正当な装置であるか否かを認証するための情報を示す「認証情報」、制御対象装置を操作するための権限を示す「操作権限」、当該装置の情報を更新する間隔と当該更新情報の入手先とを示す「更新情報」、当該装置を操作するための各種情報を示す「装置制御情報」』として「1000、ルータ、IPCOM、FUJITSU、NETCONF、ID=systemA/PASS=jkfdjakfdafd、権限グループ1、毎日/http://...、−」や「1001、スイッチ、X001、C社、CLI、コミュニティ名称=public、権限グループ1、毎週月曜日/ftp://...、Port=23/cmdl=“ip”」などと記憶する。なお、図4は、装置個別情報DBに記憶される情報の例を示す図である。
アドレス情報DB23は、制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報を記憶する。具体的に説明すると、アドレス情報DB23は、図5に示すように、『制御対象装置を一意に識別する「装置ID」、イントラネットなどの内部と通信を行うプライベートアドレスを示す「装置IP」、インターネットなどの外部と通信を行うグローバルアドレスを示す「外部公開IP」、当該装置が接続されているインタフェースを示す「収容IF」、割り当てられているVLANを示す「VLAN」、アドレス変換に際しての動作条件を示した「変換付加情報」』として「1000、192.168.100.100/24、10.123.100.100/24、eth0、100、ICMP無効」や「1001、192.168.100.101/24、10.123.100.101/24、eth1、101、ICMP有効」などと記憶する。なお、図5は、アドレス情報DBに記憶される情報の例を示す図である。
要求受付部30は、各種装置を管理する複数の管理装置から各種制御実施を要求する制御要求を受け付ける。具体的に説明すると、要求受付部30は、接続される管理装置からのNETCONFなどの制御要求(プロトコルメッセージ)やネットワークプロトコル代理サーバ20自身の設定変更要求を保守操作端末より受信して、受信した接続要求や設定変更要求を要求分析部32に通知する。
結果出力/加工部31は、変換した制御情報を制御対象装置に対して実施した結果を示す実施結果を当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報DB21から取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知する。
ここで、装置個別情報DB22に記憶される「装置ID=1000、装置種別=ルータ、装置名称=IPCOM、ベンダ名=FUJITSU、プロトコル種別=NETCONF、認証情報=ID=systemA/PASS=jkfdjakfdafd、操作権限=権限グループ1、更新情報=毎日/http://...、装置制御情報=−」の制御対象装置に対して実行した制御結果を、管理装置情報DB21に記憶される「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff、権限グループ=権限グループ2、通信形式=HTTP、データ形式=HTML」の管理装置に応答する場合を例に具体的に説明する。この場合、結果出力/加工部31は、制御対象装置の「プロトコル種別=NETCONF」であることより、制御対象装置から「プロトコル種別=NETCONF」の応答結果を要求分析部32から受信する。そして、結果出力/加工部31は、管理装置の「通信形式=HTTP、データ形式=HTML」であることより、受信した「プロトコル種別=NETCONF」の応答結果を、管理装置の通信形式とデータ形式である「通信形式=HTTP、データ形式=HTML」に変換して管理装置に送信する。
要求分析部32は、後述する認証情報管理部33により当該認証情報が管理装置情報DB21に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DB22から取得し、また、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DB22から取得して、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスをアドレス情報DB23から取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施する。
具体的には、要求分析部32は、要求受付部30より入力された制御内容及び受信IPアドレス情報を元に必要に応じて認証情報管理部33への認証確認要求を通知することで要求元の認証、装置個別情報管理部34への制御対象機器についての装置特有な情報の取得依頼、アドレス情報管理部36へのIPアドレス変換実施のための情報取得を行い、各機能部の結果に従いプロトコルを変換し、制御対象装置への制御情報投入を行うため装置制御部37へ制御投入を依頼する。また、装置制御部37からの制御投入結果を受信し、結果出力/加工部31へ通知することで依頼元への結果返答を行う。
例えば、要求分析部32は、「識別情報=001」の管理装置から制御要求を受け付けた場合に、当該管理装置が正当な管理装置であるか否かを認証する依頼を認証情報管理部33に出力する。そして、要求分析部32は、認証情報管理部33により当該認証情報が管理装置情報DB21に記憶されていると判定された場合に、受け付けられた制御要求の送信先である管理装置に対応する装置情報「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff、権限グループ=権限グループ2、通信形式=HTTP、データ形式=HTML」を管理装置情報DB21から取得する。続いて、要求分析部32は、受け付けられた制御要求の制御実施先である制御対象装置「識別情報=1000」に対応する装置情報の取得依頼を装置個別情報管理部34に出力する。その後、要求分析部32は、制御対象装置の装置情報「装置ID=1000、装置種別=ルータ、装置名称=IPCOM、ベンダ名=FUJITSU、プロトコル種別=NETCONF、認証情報=ID=systemA/PASS=jkfdjakfdafd、操作権限=権限グループ1、更新情報=毎日/http://...、装置制御情報=−」を装置個別情報管理部34から受け付ける。
そして、要求分析部32は、制御要求に含まれる制御内容を示す制御情報を、管理装置の「通信形式=HTTP、データ形式=HTML」から制御対象装置の「プロトコル種別=NETCONF」に変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスの変換をアドレス情報管理部36に依頼する。そして、アドレス情報管理部36によってアドレス情報DB23を参照することで、制御要求に含まれる制御対象装置の外部向けIPアドレス「10.123.100.100/24」に対応した内部向けIPアドレス「192.168.100.100/24」に変換され、要求分析部32は、変換された内部向けIPアドレスを用いて変換された「プロトコル種別=NETCONF」の制御情報を制御対象装置に対して実施する。その後、要求分析部32は、制御を実施した結果を結果出力/加工部31に出力する。
認証情報管理部33は、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報DB21に記憶されているか否かを判定する。具体的には、認証情報管理部33は、要求分析部32からの認証依頼等を受信し、管理装置情報DB21へ情報の参照、登録、更新、削除を依頼する。例えば、認証情報管理部33は、「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff」が含まれる制御要求を受信した旨を要求分析部32から通知された場合に、当該認証情報である「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff」が管理装置情報DB21に記憶されているか否かを判定する。そして、認証情報管理部33は、管理装置情報DB21に記憶されている場合には、認証許可を要求分析部32に通知し、管理装置情報DB21に記憶されていない場合には、認証拒否を要求分析部32に通知する。この例の場合、「識別情報=101、ユーザID=nmcB、パスワード=U3jfdifdasff」が管理装置情報DB21に記憶されているので、認証情報管理部33は、認証許可を要求分析部32に通知する。
装置個別情報管理部34は、要求分析部32からの装置個別情報取得等を受信し、装置個別情報DB22へ情報の参照、登録、更新、削除を依頼する。また、装置個別情報DB22に該当装置情報がない場合、外部情報操作部35へ外部からの情報取得を依頼する。具体的には、装置個別情報管理部34は、要求分析部32からの装置個別情報取得等を受信した場合に、制御要求に含まれる「識別情報」に対応する装置情報を装置個別情報DB22から取得して要求分析部32に応答する。また、装置個別情報管理部34は、装置個別情報DB22に記憶される各装置情報の「更新情報」を参照して、当該「更新情報」に基づいて、装置情報の取得を外部情報操作部35に依頼する。
外部情報操作部35は、制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で装置個別情報DB22に記憶されている装置情報を更新する。具体的には、外部情報操作部35は、装置個別情報管理部34から装置情報更新依頼を受信し、HTTPやFTPなどを用いて指示された装置についての情報をインターネットなどの外部より取得し、結果を装置個別情報管理部34に返却する。
アドレス情報管理部36は、要求分析部32により取得された装置情報に基づいて、アドレス情報DB23を参照して、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスに変換する。具体的には、アドレス情報管理部36は、要求分析部32からのアドレス情報取得依頼等を受信し、アドレス情報DB23へ情報の参照、登録、更新、削除を依頼する。例を挙げると、アドレス情報管理部36は、要求分析部32からのアドレス情報取得依頼を受信した場合に、要求受付部30により受け付けられた制御要求に含まれる「識別番号」と「外部公開IP」に対応付けて記憶される「装置IP」をアドレス情報DB23から取得して要求分析部32に応答する。
装置制御部37は、要求分析部32からの制御投入依頼を受信し、指示された制御形式にて制御対象装置へ制御情報を送信し、送信結果を受信し、要求分析部32へ応答する。具体的に例を挙げると、装置制御部37は、要求分析部32からの制御投入依頼を受信し、指示された制御形式「NETCONF」にて制御対象装置へ制御情報を送信し、送信結果を受信して要求分析部32へ応答する。
[ネットワークプロトコル代理サーバによる処理]
(制御実施処理の流れ)
次に、図6を用いて、ネットワークプロトコル代理サーバによる処理を説明する。図6は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施処理の流れを示すフローチャートである。
図6に示すように、制御要求を受信すると(ステップS101肯定)、ネットワークプロトコル代理サーバ20の要求分析部32は、制御要求に含まれる認証情報を認証情報管理部33に送信し、認証情報管理部33は、受け付けた認証情報を用いて認証を行う(ステップS102)。
そして、認証情報管理部33により認証が許可されると(ステップS103肯定)、ネットワークプロトコル代理サーバ20の要求分析部32は、装置個別情報管理部34によって装置個別情報DB22から取得された制御実施先である制御対象装置に対応する装置情報に基づいて、制御要求に含まれる制御内容を制御対象装置に対応する通信形式に変換する(ステップS104)。なお、認証情報管理部33は、制御要求に含まれる認証情報(例えば、IDとパスワード、コミュニティ名など)が、管理装置情報DB21に記憶されている場合に、「認証OK」と判定する。
続いて、ネットワークプロトコル代理サーバ20の要求分析部32は、アドレス情報管理部36によってアドレス情報DB23から取得された制御実施先である制御対象装置に対応するアドレス情報に基づいて、制御要求に含まれる外部公開IPから装置IP(内部IP)に変換する(ステップS105)。
その後、ネットワークプロトコル代理サーバ20の要求分析部32は、制御対象装置に対応する通信形式に変換した制御内容を、外部公開IPから変換した装置IPに実施する指示を装置制御部37に出力し、装置制御部37は、装置IPに対応する制御対象装置に対して制御内容を実施する(ステップS106)。
(制御実施結果応答処理の流れ)
次に、図7を用いて、ネットワークプロトコル代理サーバによる制御実施結果応答処理を説明する。図7は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施結果応答処理の流れを示すフローチャートである。
図7に示すように、装置制御部37により実施された制御結果を要求分析部32から受信すると(ステップS201肯定)、結果出力/加工部31は、管理装置情報DB21に記憶される管理装置に対応する装置情報に基づいて、制御結果を管理装置に対応する通信形式に変換する(ステップS202とステップS203)。
続いて、結果出力/加工部31は、アドレス情報管理部36によってアドレス情報DB23から取得された制御実施先である制御対象装置に対応するアドレス情報に基づいて、装置IPから外部公開IPに変換し(ステップS204)、制御結果を管理装置に応答する(ステップS205)。
(制御実施/結果応答処理のシーケンス)
次に、図8を用いて、ネットワークプロトコル代理サーバによる制御実施/結果応答処理を説明する。図8は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施/結果応答処理の流れを示すシーケンス図である。
図8に示すように、管理装置から制御対象装置(ネットワーク機器)に対する制御要求が投入された場合、「装置制御要求」処理の延長にて、「制御要求通知」メッセージをネットワークプロトコル代理サーバ20へ送信する(ステップS301)。
そして、ネットワークプロトコル代理サーバ20の要求受付部30はこのメッセージを受信すると、要求分析部32へ「制御情報入力」イベントを出す(ステップS302)。続いて、要求分析部32は、「認証情報分析」処理にて管理装置の認証処理を行うために、「制御要求通知」から管理装置の「識別情報」と「認証情報」(例えば、ID、パスワードやコミュニティ名など)とを取得して、取得した「識別情報」と「認証情報」とを認証情報管理部33へ出力する(ステップS304)。
その後、認証情報管理部33は、管理装置情報DB21に記憶される認証情報「認証情報」テーブルを参照して、認証処理を行い(「ユーザID」と「パスワード」とを参照して、認証を行う)、認証しても良いと判断すれば「認証OK」イベントを要求分析部32へ出力すると同時に、管理装置情報DB21の「識別情報」にマッチした行の「データ形式」列にあるデータを管理装置とネットワークプロトコル代理サーバ20との間の通信プロトコル種別として要求分析部32に出力する(ステップS305〜ステップS308)。
そして、要求分析部32は、受け取った管理装置とネットワークプロトコル代理サーバ20間との通信プロトコル種別を保存すると共に、「装置情報分析」処理を開始し、装置個別情報管理部34に制御要求のあった当該制御対象機器のプロトコル種別を参照するために、「情報参照」イベントを装置個別情報管理部34に出力する(ステップS309〜ステップS311)。
その後、装置個別情報管理部34は、装置個別情報DB22に記憶される「装置個別情報」テーブルに対して参照要求のあった当該制御対象装置の情報を検索し、検索にマッチした行の「プロトコル種別」にあるデータをネットワークプロトコル代理サーバ20と制御要求のあった機器との間の通信プロトコル種別として取得すると同時に、同行の「装置制御情報」にあるデータを当該プロトコル種別の仕様として取得して、要求分析部32に出力する(ステップS312〜ステップS314)。
続いて、要求分析部32は、装置個別情報管理部34から受信したデータの保存を行い、「アドレス情報分析」処理を開始して(ステップS315)、管理装置から「装置制御要求」メッセージを受信した外部向けIPアドレスをアドレス情報としてアドレス情報管理部36へ出力する(ステップS316)。
そして、アドレス情報管理部36は、このアドレス情報を受け取ると、アドレス情報DB23に記憶される「アドレス情報」テーブルに対して、当該外部向けIPアドレスをキーとして「外部公開IP」列を検索し、該当した行の「装置IP」列にあるデータを制御要求のあった制御対象装置の保有するアドレス情報として取得して、要求分析部32に出力する(ステップS317〜ステップS319)。
すると、要求分析部32は、この制御対象装置の保有するアドレス情報(装置IP)を受け取ると、「変換情報あり」と判断し、これ以降の処理において制御対象装置に対して電文を送信するときのあて先アドレスとする「変換実行」を行う(ステップS320)。
そして、要求分析部32は、管理装置から受け付けた「制御要求通知」の制御内容から、制御対象装置向けにプロトコルが変換された制御内容を実施する旨の通知を装置制御部37に出力し(ステップS321とステップS322)、装置制御部37は、当該変換された制御内容を装置IPを持つ制御対象装置に対して実行する(ステップS323)。
その後、制御実施結果を制御対象装置から受け付けた装置制御部37は、当該制御結果を要求分析部32に出力し(ステップS324とステップS325)、要求分析部32は、受け付けた制御結果を応答として結果出力/加工部31に出力する(ステップS326)。
実施結果を受け付けた結果出力/加工部31は、管理装置情報DB21を参照して、応答結果を出力する管理装置の「通信形式」、「データ形式」を取得し、受け付けた実施結果を取得した管理装置の「通信形式」、「データ形式」に再変換して(ステップS327)、再変換した実施結果を結果応答として管理装置に送信する(ステップS328とステップS329)。
[実施例1による効果]
このように、実施例1によれば、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を管理装置情報DB21に記憶し、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を装置個別情報DB22に記憶し、複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報DB21に記憶されているか否かを判定し、当該認証情報が管理装置情報DB21に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置個別情報DB22から取得し、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施するので、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することが可能である。
また、実施例1によれば、ネットワークプロトコル代理サーバ20は、管轄する全ての制御対象機器への認証をあらかじめ行い、管理装置は、ネットワークプロトコル代理サーバ20との認証を一度行うだけで、ネットワークプロトコル代理サーバ20の管轄する制御対象機器への制御を行うことができるよう、認証の代理も行うことができる。
また、実施例1によれば、変換した制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報DB21から取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知するので、制御実施結果を正確に管理装置に通知することが可能である。
また、実施例1によれば、制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報をアドレス情報DB23に記憶し、取得された装置情報に基づいて、制御要求に含まれる制御内容を示す制御情報を変換するとともに、制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスをアドレス情報DB23から取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施するので、管理装置(NMS)から直接的に管理対象機器(制御対象装置)へアクセスする場合とは異なり、NMSに対して管理対象機器が存在するネットワークの構成(IPアドレス割り振り体系等)を隠蔽し、さらに外部から直接的に機器を操作できないようにすることが可能である。また、認証されたNMSが、代理サーバを通じてのみ、機器を制御することができる。
ところで、本発明は、各種制御を実施する新たな管理装置を認証して、自動的に管理装置情報DB21に登録することもできる。そこで、実施例2では、図9を用いて、新たな管理装置を追加登録する場合について説明する。図9は、実施例2に係る新たな管理装置を追加登録する追加登録処理の流れを示すフローチャートである。
図9に示すように、新たな管理装置から追加要求が要求受付部30により受信されると(ステップS401肯定)、ネットワークプロトコル代理サーバ20の要求分析部32は、当該新たな管理装置を認証するための「認証情報(例えば、ID、パスワードやコミュニティなど)」と当該新たな管理装置の「アドレス情報(例えば、IPアドレス)」とを当該追加要求から取得する(ステップS402)。
続いて、ネットワークプロトコル代理サーバ20の要求分析部32は、新たな管理装置と通信を行うための「通信形式(例えば、NETCONF、SNMP、HTTPなど)」を当該追加要求から取得する(ステップS403)。
その後、ネットワークプロトコル代理サーバ20の要求分析部32は、新たな管理装置の管理者から「管理者名」や「権限グループ」などの情報を受け付けて(ステップS404肯定)、当該受け付けた情報と取得した「認証情報」と「アドレス情報」とを新たに生成した「識別情報」に対応付けて、管理装置情報DB21に格納する(ステップS405)。このように、管理装置情報DB21に格納した後は、実施例1と同様に、管理装置の認証が実施されて、各種制御が実行される。また、ネットワークプロトコル代理サーバ20の要求分析部32は、管理装置を削除する場合には、削除要求を受け付けて、管理装置情報DB21から当該削除要求を送信した管理装置を削除する。
[実施例2による効果]
このように、実施例2によれば、管理装置情報DB21に記憶されていない新たな装置を管理装置として追加する場合に、当該新たな管理装置から認証情報を受け付けるとともに、当該認証情報を受け付けた際の通信形式を取得し、受け付けられた認証情報と取得された通信形式とを対応付けて管理装置情報DB21に新たに格納するので、新たな管理装置を柔軟に追加・削除することができ、さらに、利便性が向上する。
ところで、実施例2では、各種制御を実施する新たな管理装置を自動的に管理装置情報DB21に登録する場合について説明したが、本発明はこれに限定されるものではなく、新たな制御対象装置を自動的に装置個別情報DB22に登録することもできる。
そこで、実施例3では、図10を用いて、新たな制御対象装置を追加登録する場合について説明する。図10は、実施例3に係る新たな制御対象装置を追加登録する追加登録処理の流れを示すシーケンス図である。
図10に示すように、新たな制御対象機器を制御することにさきがけて、新たな制御対象機器を本発明のネットワークプロトコル代理サーバ20に登録するために、管理装置は、「装置追加要求」メッセージをネットワークプロトコル代理サーバ20へ送信する(ステップS501)。
続いて、ネットワークプロトコル代理サーバ20の要求受付部30は、このメッセージを受信すると、要求分析部32へ「追加装置情報入力」イベントを出す(ステップS502)。
そして、要求分析部32は、「認証情報分析」処理にて、「装置追加要求」を送信した管理装置の認証処理を行うために認証情報管理部33へ「情報参照」イベントを出し(ステップS503とステップS504)、認証情報管理部33は、管理装置情報DB21に記憶される「認証情報」テーブルを参照して認証処理を行い、当該「認証情報」が管理装置情報DB22に記憶されている場合に、「認証OK」イベントを要求分析部32へ出力する(ステップS505〜ステップS508)。
すると、要求分析部32は、「装置情報追加」処理を開始し、装置個別情報管理部34に登録要求のあった当該新たな制御対象装置を登録させるために、「情報参照」イベントを出す(ステップS509とステップS510)。
そして、装置個別情報管理部34は、装置個別情報DB22に記憶される「装置個別情報」テーブルを参照し、登録要求のあった新たな制御対象装置の情報を検索する(ステップS511とステップS512)。
ここで、装置個別情報管理部34は、装置情報がなかった場合は、登録要求のあった当該新たな制御対象装置に関する仕様等の情報を取得するために、外部情報操作部35に対してイベントを出す(ステップS513)。
そして、外部情報操作部35は、インターネット等などの外部ネットワーク(例えば、各種ベンダーのホームページなど)から当該新たな制御対象装置に関する仕様等の情報を取得し、この情報を装置個別情報管理部34へ出力する(ステップS514とステップS515)。
装置個別情報管理部34は、装置個別情報DB22に記憶される「装置個別情報」テーブルに当該ネットワーク機器に関する仕様等の情報を追加する(ステップS516とステップS517)。つまり、「装置個別情報」テーブルにレコードを追加登録することにより、登録要求のあった当該ネットワーク機器が代理サーバの管轄となる。
その後、装置個別情報管理部34は、要求分析部32にイベントを出し(ステップS518)、要求分析部32は、このイベントを受けると、「アドレス情報追加」処理を開始し、管理装置から「装置追加要求」メッセージにて受信した当該新たな制御対象装置のアドレス情報をアドレス情報管理部36へ出力する(ステップS519とステップS520)。
すると、アドレス情報管理部36は、このアドレス情報を受け取ると、アドレス情報DB23のもつ「アドレス情報」テーブルに登録し、この登録が終わると、要求分析部32にイベントを出す(ステップS521〜ステップS523)。
そして、要求分析部32は、このイベントを受け取ると結果出力/加工部31へ「応答情報通知」イベントを出し(ステップS524)、結果出力/加工部31は、管理装置へ当該新たな制御対象装置の登録結果を送信する(ステップS525)。その後、管理装置は、この結果を受け取ると、「結果応答」処理を行い、この処理において保守者に対して当該新たな制御対象装置の登録結果を知らせる(ステップS526)。なお、制御対象装置を削除する場合も、同様の手法で容易に行うことができる。
[実施例3による効果]
このように、実施例3によれば、新たな制御対象機器を制御することにさきがけて、新たな制御対象機器を本発明のネットワークプロトコル代理サーバ20に容易に登録することができる結果、制御対象装置の追加・削除などに係る保守メンテナンス作業の負荷を軽減することが可能であり、さらに、利便性を向上させることが可能である。
ところで、実施例3では、新たな制御対象装置を自動的に装置個別情報DB22に登録する場合について説明したが、本発明はこれに限定されるものではなく、バージョンアップやソフトウエアのアップデータなどにより制御対象装置の情報が更新された場合でも、自動的にこの更新情報を装置個別情報DB22に反映させることもできる。
そこで、実施例4では、図11を用いて、バージョンアップやソフトウエアのアップデータなどにより制御対象装置の情報が更新された場合でも、自動的にこの更新情報を装置個別情報DB22に反映させる場合について説明する。図11は、実施例4に係る装置個別情報DB更新処理の流れを示すシーケンス図である。
図11に示すように、ネットワークプロトコル代理サーバ20の装置個別情報管理部34は、装置個別情報DB22に記憶される「更新情報」を参照して、更新を実施する期間である装置があるか否かを判定する(ステップS601〜ステップS603)。
更新を実施する期間である装置がある場合に、装置個別情報管理部34は、装置個別情報DB22に記憶される「更新情報」に記載されている更新情報入手先のアドレス情報などを取得して、取得した更新情報入手先のアドレス情報と、当該更新を実施する期間に該当する制御対象装置の新たな情報を取得する指示とを外部情報操作部35に出力する(ステップS604)。
この指示を受けた外部情報操作部35は、更新情報入手先のアドレス情報にアクセスして、更新情報を取得し、取得した更新情報を装置個別情報管理部34に出力する(ステップS605とステップS606)。
そして、装置個別情報管理部34は、外部情報操作部35から受け付けた更新情報を、装置個別情報DB22に記憶される対応した制御対象装置の各テーブルに格納して、制御対象装置の装置情報を更新する(ステップS607)。
[実施例4による効果]
このように、実施例4によれば、制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で装置個別情報DB22に記憶されている装置情報を更新するので、常に最新の装置情報を格納しておくことができる結果、制御対象装置の通信形式に適した最新のプロトコルを選択して、制御を実施することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)自律的に制御対象装置への制御実施、(2)自律的に制御対象装置から情報収集および収集した情報の加工処理の実施、(3)システム構成等、(4)プログラムにそれぞれ区分けして異なる実施例を説明する。
(1)自律的に制御対象装置への制御実施
例えば、本発明に係るネットワークプロトコル代理サーバ20は、自律的に制御対象装置への制御を行うこともできる。そこで、実施例5では、ネットワークプロトコル代理サーバ20が自律的に制御対象装置への制御を行う場合について説明する。
具体的には、管理装置が定期的または指定された契機(機器の状態変化等の契機)にて制御対象装置に対して制御を行いたい場合、その制御ポリシーをネットワークプロトコル代理サーバ20に設定することで、ネットワークプロトコル代理サーバ20が管理装置に代わって自律的に当該制御を行う。
例を挙げて説明すると、管理装置が自律的な制御の依頼をネットワークプロトコル代理サーバ20の要求受付部30に行うと、要求受付部30から要求分析部32へ依頼が通知される。そして、要求分析部32は、受信した自律制御の条件を分析し、対象装置ごとの実施条件を装置個別情報管理部34に通知すると、装置個別情報管理部34は、通知された自律制御の条件を装置個別情報DB22に格納する。
その後、要求分析部32は、定期的に装置個別情報管理部34に装置個別情報DB22の参照を依頼し、自律制御条件の有無を判定する。そして、要求分析部32は、自律制御条件が存在する場合には、制御条件情報に保存された設定条件に従い、装置制御部37へ制御対象となる制御対象装置へ制御の投入を依頼する。例えば、制御条件情報として5分ごとの制御対象装置からの情報取得が設定されていた場合、要求分析部32は、5分ごとに装置制御部37へ情報取得のための制御情報を投入する。
また、制御投入した結果や制御対象装置からの情報通知に応じて更に制御を行うことも可能とする。例えば、制御条件として5分ごとの制御対象装置からの情報取得とその取得値が「0」であった場合の制御情報が設定されていた場合、要求分析部32は、5分ごとに装置制御部37へ情報取得のための制御情報を投入して結果を受信後、取得値を評価して、取得値が「0」であった場合には設定された制御情報を装置制御部37へ投入し、取得値が「0」でない場合には、処理を終了する。
このように、ネットワークプロトコル代理サーバ20は、自律的に制御対象装置への制御を行うこともできる。その結果、定期実行などを要する制御においても、容易に実行することが可能であり、また、人手による実行忘れなども防止することが可能である。
(2)自律的に制御対象装置から情報収集および収集した情報の加工処理の実施
例えば、本発明に係るネットワークプロトコル代理サーバ20は、自律的に制御対象装置から情報収集および収集した情報の加工処理を行うこともできる。そこで、実施例5では、ネットワークプロトコル代理サーバ20が自律的に制御対象装置から情報収集および収集した情報の加工処理を行う場合について説明する。
具体的には、管理装置が制御対象装置の保持情報(例えば、機器の各種状態等の情報など)を収集する場合に、ネットワークプロトコル代理サーバ20がこれを代理することが可能である。その際、情報の中継において以下のような収集処理や、収集した情報の加工処理(例えば、統計のための計算等)をネットワークプロトコル代理サーバ20が代理する。これにより制御対象装置が保持していない情報を加工により生成することを可能とする。
例を挙げて説明すると、ネットワークプロトコル代理サーバ20は、「1.定期的な情報収集処理(例えば、管理対象機器の1秒ごとのCPU使用率やバッファ使用率の収集等)を行い、収集結果は必要に応じてまとめた形で管理装置に通知する」、「2.収集した情報の加工処理(例えば、管理対象装置がルータの場合において、ルータのパケット転送総数と転送失敗総数とからのパケット損失率の計算処理等)」、「3.収集した情報がある閾値を超えた場合の管理装置への通知」などの処理を自律的に実行する。
さらに、ネットワークプロトコル代理サーバ20は、収集した情報の加工処理については、制御対象装置を跨る情報の加工も可能である。例を挙げると、ネットワークプロトコル代理サーバ20は、実施例5と同様の手順により自律的な制御対象装置への制御として、例えば1秒ごとの情報取得を登録する。すると、要求分析部32は、装置制御部37から受け取った取得値を結果出力/加工部31へ加工ありとして通知する。結果出力/加工部31は、通知された値を蓄積し、加工に必要な蓄積値が揃った時点で指定された加工条件に従い加工値を算出し、管理装置へ通知する。
このように、装置の性能などを定期的に監視することが可能であるとともに、定期的に収集した情報を加工することができる結果、装置の性能や負荷などを把握することが可能となり、制御対象装置の保守にも役立てることが可能である。
(3)システム構成等
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、要求受付部と結果出力/加工部とを統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理(例えば、制御要求から認証情報、識別情報、アドレス情報などを取得する処理など)の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理(例えば、管理装置追加の際に、権限グループなどを受け付ける処理など)の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、図3〜図5など)については、特記する場合を除いて任意に変更することができる。
(4)プログラム
ところで、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムを他の実施例として説明する。
図12は、制御代理プログラムを実行するコンピュータシステムの例を示す図である。図12に示すように、コンピュータシステム100は、RAM101と、HDD102と、ROM103と、CPU104とから構成される。ここで、ROM103には、上記の実施例と同様の機能を発揮するプログラム、つまり、図12に示すように、認証プログラム103aと、装置情報取得プログラム103bと、制御実施プログラム103cと、管理装置追加プログラム103dと、装置情報更新プログラム103eとがあらかじめ記憶されている。
そして、CPU104には、これらのプログラム103a〜103eを読み出して実行することで、図12に示すように、認証プロセス104aと、装置情報取得プロセス104bと、制御実施プロセス104cと、管理装置追加プロセス104dと、装置情報更新プロセス104eとなる。なお、認証プロセス104aは、図2に示した、要求分析部32と認証情報管理部33とに対応し、同様に、装置情報取得プロセス104bは、要求分析部32と装置個別情報管理部34とに対応し、制御実施プロセス104cは、要求分析部32と装置制御部37とに対応し、管理装置追加プロセス104dは、要求分析部32に対応し、装置情報更新プロセス104eは、要求分析部32と外部情報操作部35とに対応する。
また、HDD102には、複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報テーブル102aと、制御対象装置となる各種装置に対応付けて、各種制御を実施するのに必要な装置情報を記憶する装置情報テーブル102bと、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報を記憶するアドレス情報テーブル102cとが設けられる。なお、管理装置情報テーブル102aは、図2に示した、管理装置情報DB21に対応し、同様に、装置情報テーブル102bは、装置個別情報DB22に対応し、アドレス情報テーブル102cは、アドレス情報DB23に対応する。
ところで、上記したプログラム103a〜103eは、必ずしもROM103に記憶させておく必要はなく、例えば、コンピュータシステム100に挿入されるフレキシブルディスク(FD)、CD−ROM、MOディスク、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」の他に、コンピュータシステム100の内外に備えられるハードディスクドライブ(HDD)などの「固定用の物理媒体」、さらに、公衆回線、インターネット、LAN、WANなどを介してコンピュータシステム100に接続される「他のコンピュータシステム」に記憶させておき、コンピュータシステム100がこれらからプログラムを読み出して実行するようにしてもよい。
以上のように、本発明に係る制御代理装置は、各種装置を管理する複数の管理装置から各種制御実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施することに有用であり、特に、正当な管理装置であるか否かを認証することが可能であることと、管理装置の通信形式に依存することなく、高度な制御を実施することに適する。
図1は、実施例1に係るネットワークプロトコル代理サーバを含むシステムの全体構成を示すシステム構成図である。 図2は、実施例1に係るネットワークプロトコル代理サーバの構成を示すブロック図である。 図3は、管理装置情報DBに記憶される情報の例を示す図である。 図4は、装置個別情報DBに記憶される情報の例を示す図である。 図5は、アドレス情報DBに記憶される情報の例を示す図である 図6は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施処理の流れを示すフローチャートである。 図7は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施結果応答処理の流れを示すフローチャートである。 図8は、実施例1に係るネットワークプロトコル代理サーバにおける制御実施/結果応答処理の流れを示すシーケンス図である。 図9は、実施例2に係る新たな管理装置を追加登録する追加登録処理の流れを示すフローチャートである。 図10は、実施例3に係る新たな制御対象装置を追加登録する追加登録処理の流れを示すシーケンス図である。 図11は、実施例4に係る装置個別情報DB更新処理の流れを示すシーケンス図である。 図12は、制御代理プログラムを実行するコンピュータの例を示す図である。
20 ネットワークプロトコル代理サーバ
21 管理装置情報DB
22 装置個別情報DB
23 アドレス情報DB
30 要求受付部
31 結果出力/加工部
32 要求分析部
33 認証情報管理部
34 装置個別情報管理部
35 外部情報操作部
36 アドレス情報管理部
37 装置制御部
100 コンピュータシステム
101 RAM
102 HDD
102a 管理装置情報テーブル
102b 装置情報テーブル
102c アドレス情報テーブル
103 ROM
103a 認証プログラム
103b 装置情報取得プログラム
103c 制御実施プログラム
103d 管理装置追加プログラム
103e 装置情報更新プログラム
104 CPU
104a 認証プロセス
104b 装置情報取得プロセス
104c 制御実施プロセス
104d 管理装置追加プロセス
104e 装置情報更新プロセス

Claims (7)

  1. 各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施する制御代理装置であって、
    前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、
    前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、
    前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証手段と、
    前記認証手段により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得手段と、
    前記装置情報取得手段により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施手段と、
    を備えたことを特徴とする制御代理装置。
  2. 前記管理装置情報記憶手段に記憶されていない新たな装置を管理装置として追加する場合に、当該新たな管理装置から認証情報を受け付けるとともに、当該認証情報を受け付けた際の通信形式を取得し、受け付けられた認証情報と取得された通信形式とを対応付けて前記管理装置情報記憶手段に新たに格納する管理装置追加手段をさらに備えたことを特徴とする請求項1に記載の制御代理装置。
  3. 前記制御実施手段は、前記変換された制御情報を制御対象装置に対して実施した結果を示す実施結果を、当該制御対象装置から受け付けた場合に、当該制御要求の送信先の管理装置に対応する通信形式を管理装置情報記憶手段から取得して、取得された通信形式に基づいて、当該制御結果を変換して管理装置に通知することを特徴とする請求項1に記載の制御代理装置。
  4. 前記制御対象装置となる各種装置に対応付けて、外部向けIPアドレスと内部向けIPアドレスとを対応付けたアドレス情報を記憶するアドレス情報記憶手段をさらに備え、
    前記制御実施手段は、前記装置情報取得手段により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換するとともに、前記制御要求に含まれる制御対象装置の外部向けIPアドレスに対応した内部向けIPアドレスを前記アドレス情報記憶手段から取得し、取得された内部向けIPアドレスを用いて変換された制御情報を制御対象装置に対して実施することを特徴とする請求項1〜3のいずれか一つに記載の制御代理装置。
  5. 前記制御対象装置それぞれの装置情報の更新情報を、外部のネットワークから定期的に取得して、取得した更新情報で前記装置情報記憶手段に記憶されている装置情報を更新する装置情報更新手段をさらに備えたことを特徴とする請求項1に記載の制御代理装置。
  6. 各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施することに適した制御代理方法であって、
    前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、
    前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、
    前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証工程と、
    前記認証工程により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得工程と、
    前記装置情報取得工程により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施工程と、
    を含んだことを特徴とする制御代理方法。
  7. 各種装置を管理する複数の管理装置から各種制御の実施を要求する制御要求を受け付けて、制御対象装置となる装置に対して各種制御を実施することをコンピュータに実行させる制御代理プログラムであって、
    前記複数の管理装置それぞれを一意に特定する認証情報および管理装置の通信形式を記憶する管理装置情報記憶手段と、
    前記制御対象装置となる各種装置に対応付けて、前記各種制御を実施するのに必要な装置情報を記憶する装置情報記憶手段と、
    前記複数の管理装置から制御要求を受け付けた場合に、当該制御要求に含まれる認証情報が管理装置情報記憶手段に記憶されているか否かを判定する認証手順と、
    前記認証手順により当該認証情報が管理装置情報記憶手段に記憶されていると判定された場合に、受け付けられた制御要求の制御実施先である制御対象装置に対応する装置情報を装置情報記憶手段から取得する装置情報取得手順と、
    前記装置情報取得手順により取得された装置情報に基づいて、前記制御要求に含まれる制御内容を示す制御情報を変換して、変換された制御情報を制御対象装置に対して実施する制御実施手順と、
    をコンピュータに実行させることを特徴とする制御代理プログラム。
JP2009540997A 2007-11-13 2007-11-13 制御代理装置 Expired - Fee Related JP5051238B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2007/072031 WO2009063555A1 (ja) 2007-11-13 2007-11-13 制御代理装置、制御代理方法および制御代理プログラム

Publications (2)

Publication Number Publication Date
JPWO2009063555A1 true JPWO2009063555A1 (ja) 2011-03-31
JP5051238B2 JP5051238B2 (ja) 2012-10-17

Family

ID=40638411

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009540997A Expired - Fee Related JP5051238B2 (ja) 2007-11-13 2007-11-13 制御代理装置

Country Status (3)

Country Link
US (1) US20100287270A1 (ja)
JP (1) JP5051238B2 (ja)
WO (1) WO2009063555A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012027869A (ja) * 2010-07-28 2012-02-09 Pfu Ltd 管理サーバ、情報処理装置、方法およびプログラム
JP5309101B2 (ja) * 2010-09-01 2013-10-09 日本電信電話株式会社 装置管理システム及び装置管理プログラム
JP2015211448A (ja) * 2014-04-30 2015-11-24 エヌ・ティ・ティ・コムウェア株式会社 通信制御装置、通信制御方法、及びプログラム
US9749146B2 (en) * 2014-10-21 2017-08-29 Electronics And Telecommunications Research Institute Apparatus and methods for providing home network service
JP6419309B2 (ja) * 2015-03-25 2018-11-07 三菱電機株式会社 通信システム、設備管理装置、通信方法及びプログラム
KR101661265B1 (ko) * 2015-04-22 2016-09-30 주식회사 테르텐 운영 서버와 애플리케이션을 이용한 웹 브라우징 방법
JP2018041146A (ja) 2016-09-05 2018-03-15 キヤノン株式会社 管理装置、制御方法、プログラム
US20200389458A1 (en) * 2017-12-04 2020-12-10 Telefonaktiebolaget Lm Ericsson (Publ) Network Management Device and Centralized Authorization Server for NETCONF
US10594773B2 (en) * 2018-01-22 2020-03-17 Spredfast, Inc. Temporal optimization of data operations using distributed search and server management
CN110505075B (zh) * 2018-05-18 2022-11-25 华为技术有限公司 设备管理方法及相关设备
CN110377022B (zh) * 2018-11-21 2023-08-04 北京京东乾石科技有限公司 自动导引运输车的控制方法和装置
JP6903089B2 (ja) * 2019-03-28 2021-07-14 株式会社東芝 機器制御支援装置、プログラム及び制御支援方法
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods
US11711262B2 (en) 2020-02-25 2023-07-25 Juniper Networks, Inc. Server to support client data models from heterogeneous data sources

Family Cites Families (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5239662A (en) * 1986-09-15 1993-08-24 Norand Corporation System including multiple device communications controller which coverts data received from two different customer transaction devices each using different communications protocols into a single communications protocol
JPH03110653A (ja) * 1989-09-25 1991-05-10 Nec Corp ネットワーク間制御指令変換装置
JPH07250123A (ja) * 1994-03-09 1995-09-26 Nippon Telegr & Teleph Corp <Ntt> 管理情報変換装置
US5742762A (en) * 1995-05-19 1998-04-21 Telogy Networks, Inc. Network management gateway
US5568471A (en) * 1995-09-06 1996-10-22 International Business Machines Corporation System and method for a workstation monitoring and control of multiple networks having different protocols
US5764955A (en) * 1995-10-19 1998-06-09 Oasys Group, Inc. Gateway for using legacy telecommunications network element equipment with a common management information protocol
US5802146A (en) * 1995-11-22 1998-09-01 Bell Atlantic Network Services, Inc. Maintenance operations console for an advanced intelligent network
EP0825524B1 (de) * 1996-08-20 2000-01-19 Alcatel Verfahren zur Verwaltung der Benennung von Objekten
JP3491665B2 (ja) * 1997-04-16 2004-01-26 ソニー株式会社 遠隔制御装置および遠隔制御方法
CA2204971A1 (en) * 1997-05-09 1998-11-09 Michael Cheng Uniform access to and interchange between objects employing a plurality of access methods
US6073197A (en) * 1997-08-21 2000-06-06 Advanced Micro Devices Inc. Apparatus for and method of communicating data among devices interconnected on a bus by using a signalling channel to set up communications
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6058431A (en) * 1998-04-23 2000-05-02 Lucent Technologies Remote Access Business Unit System and method for network address translation as an external service in the access server of a service provider
US6363421B2 (en) * 1998-05-31 2002-03-26 Lucent Technologies, Inc. Method for computer internet remote management of a telecommunication network element
US6717949B1 (en) * 1998-08-31 2004-04-06 International Business Machines Corporation System and method for IP network address translation using selective masquerade
US6457061B1 (en) * 1998-11-24 2002-09-24 Pmc-Sierra Method and apparatus for performing internet network address translation
JP2000163344A (ja) * 1998-11-27 2000-06-16 Nec Corp ネットワーク管理システムのデータベース復旧方式
US6718137B1 (en) * 1999-01-05 2004-04-06 Ciena Corporation Method and apparatus for configuration by a first network element based on operating parameters of a second network element
JP3653660B2 (ja) * 1999-01-11 2005-06-02 富士通株式会社 ネットワーク管理方法及びネットワーク管理システム
US6260062B1 (en) * 1999-02-23 2001-07-10 Pathnet, Inc. Element management system for heterogeneous telecommunications network
US6708207B1 (en) * 1999-06-03 2004-03-16 Fujitsu Network Communications, Inc. Method and system for managing multiple management protocols in a network element
US6968371B1 (en) * 1999-06-23 2005-11-22 Clearwire Corporation Design for scalable network management systems
US6718377B1 (en) * 1999-08-13 2004-04-06 Lucent Technologies Inc. Telecommunications network management system interface
WO2001013579A1 (fr) * 1999-08-18 2001-02-22 Fujitsu Limited Systeme et procede de repartition de charge dans un reseau, et support d'enregistrement destine au programme de ce systeme
US6581108B1 (en) * 1999-11-30 2003-06-17 Lucent Technologies Inc. Managing multiple private data networks using network and payload address translation
EP1107512A1 (en) * 1999-12-03 2001-06-13 Sony International (Europe) GmbH Communication device and software for operating multimedia applications
US7908481B1 (en) * 1999-12-17 2011-03-15 Avaya Inc. Routing data to one or more entities in a network
JP4236364B2 (ja) * 2000-04-04 2009-03-11 富士通株式会社 通信データ中継装置
US6697806B1 (en) * 2000-04-24 2004-02-24 Sprint Communications Company, L.P. Access network authorization
WO2001093061A1 (en) * 2000-05-26 2001-12-06 Vocaltec Ltd. Communications protocol
US6751660B1 (en) * 2000-05-31 2004-06-15 Cisco Technology, Inc. Network management systems that receive cross connect and/or other circuit information from network elements
US7042876B1 (en) * 2000-09-12 2006-05-09 Cisco Technology, Inc. Stateful network address translation protocol implemented over a data network
US20020067742A1 (en) * 2000-12-05 2002-06-06 Alexander Or Management of WAP gateway through SNMP
US20020124066A1 (en) * 2000-12-15 2002-09-05 International Business Machines Corporation Method and system for unambiguous addressability in a distributed application framework in which duplicate network addresses exist across multiple customer networks
JP3760767B2 (ja) * 2000-12-21 2006-03-29 株式会社日立製作所 ネットワーク管理装置及びネットワーク管理方法
US6986147B2 (en) * 2001-03-28 2006-01-10 International Business Machines Corporation Method for transparent, location-independent, remote procedure calls in a heterogeneous network environment
US7272650B2 (en) * 2001-04-17 2007-09-18 Intel Corporation Communication protocols operable through network address translation (NAT) type devices
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US7310666B2 (en) * 2001-06-29 2007-12-18 International Business Machines Corporation Method and system for restricting and enhancing topology displays for multi-customer logical networks within a network management system
US8204972B2 (en) * 2001-06-29 2012-06-19 International Business Machines Corporation Management of logical networks for multiple customers within a network management framework
US20030009540A1 (en) * 2001-06-29 2003-01-09 International Business Machines Corporation Method and system for presentation and specification of distributed multi-customer configuration management within a network management framework
US7131141B1 (en) * 2001-07-27 2006-10-31 At&T Corp. Method and apparatus for securely connecting a plurality of trust-group networks, a protected resource network and an untrusted network
WO2003015377A1 (en) * 2001-08-04 2003-02-20 Kontiki, Inc. Method and apparatus for facilitating distributed delivery of content across a computer network
KR100440583B1 (ko) * 2002-05-16 2004-07-19 한국전자통신연구원 외부 인터넷에 의한 댁내망의 UPnP장치 관리제어 장치및 방법
US8145788B1 (en) * 2002-05-31 2012-03-27 Emc Corporation Distributed ISP load balancer
US7761543B2 (en) * 2002-07-09 2010-07-20 Ciena Corporation Method and apparatus for backward and forward compatibilty in device management
US20040044756A1 (en) * 2002-08-30 2004-03-04 General Instrument Corporation Method and apparatus for providing management access to devices behind a network address translator (NAT)
JP2004180211A (ja) * 2002-11-29 2004-06-24 Fujitsu Ltd 代理ネットワーク制御装置
US7809953B2 (en) * 2002-12-09 2010-10-05 Research In Motion Limited System and method of secure authentication information distribution
US7814232B2 (en) * 2003-03-28 2010-10-12 Cisco Technology, Inc. Network address translation with gateway load distribution
US7624195B1 (en) * 2003-05-08 2009-11-24 Cisco Technology, Inc. Method and apparatus for distributed network address translation processing
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US7380011B2 (en) * 2003-10-01 2008-05-27 Santera Systems, Inc. Methods and systems for per-session network address translation (NAT) learning and firewall filtering in media gateway
US7478169B2 (en) * 2003-10-16 2009-01-13 International Business Machines Corporation Accessing data processing systems behind a NAT enabled network
JP2005316548A (ja) * 2004-04-27 2005-11-10 Hitachi Ltd 複数種のストレージネットワークを有する計算機システムおよび情報設定方法
US20050271047A1 (en) * 2004-06-02 2005-12-08 Huonder Russell J Method and system for managing multiple overlapping address domains
US7721304B2 (en) * 2004-06-08 2010-05-18 Cisco Technology, Inc. Method and apparatus providing programmable network intelligence
US7925727B2 (en) * 2004-07-29 2011-04-12 Nortel Networks Limited Method and apparatus for efficient communication of management data in a telecommunications network
US8949391B2 (en) * 2004-08-04 2015-02-03 Rockstar Consortium Us Lp Network management across a NAT or firewall
JP3996922B2 (ja) * 2004-11-05 2007-10-24 株式会社インターネットイニシアティブ 異なる通信プロトコルが併存するネットワークにおけるネットワーク接続手段の一元管理システム及び方法
EP1684462A1 (en) * 2005-01-24 2006-07-26 Alcatel Element management server and method for managing multi-service network elements
US7912046B2 (en) * 2005-02-11 2011-03-22 Microsoft Corporation Automated NAT traversal for peer-to-peer networks
JP2006227825A (ja) * 2005-02-16 2006-08-31 Ntt Docomo Inc 情報家電管理システム、情報家電制御管理システム、情報家電制御管理方法、及び、情報家電操作方法
US20060242087A1 (en) * 2005-04-22 2006-10-26 Gregory Naehr Point-of-sale and declining balance system, and method, having a relay server for facilitating communication between front-end devices and back-end account servers
US7436814B2 (en) * 2005-04-22 2008-10-14 Cisco Technology, Inc. Selecting transport addresses to route streams between endpoints
GB2427096A (en) * 2005-06-01 2006-12-13 Agilent Technologies Inc An apparatus and method for Data Extraction.
KR100736047B1 (ko) * 2005-07-28 2007-07-06 삼성전자주식회사 무선 네트워크 장치 및 이를 이용한 인증 방법
US7983176B2 (en) * 2005-09-16 2011-07-19 At&T Intellectual Property I, Lp Method and system for monitoring communications of an individual in a packet network
EP1791293A1 (en) * 2005-11-29 2007-05-30 Ipanto Network service configuration management
KR100650741B1 (ko) * 2005-12-02 2006-11-30 한국전자통신연구원 네트워크 프로세서의 이진코드와 가상 포워딩 컴포넌트의동적 바인딩 처리장치 및 방법
JP2007157072A (ja) * 2005-12-08 2007-06-21 Nippon Telegr & Teleph Corp <Ntt> ソフトウェア管理装置およびソフトウェア管理方法
WO2008085201A2 (en) * 2006-12-29 2008-07-17 Prodea Systems, Inc. Managed file backup and restore at remote storage locations through multi-services gateway device at user premises
US7853680B2 (en) * 2007-03-23 2010-12-14 Phatak Dhananjay S Spread identity communications architecture
US8631155B2 (en) * 2007-06-29 2014-01-14 Microsoft Corporation Network address translation traversals for peer-to-peer networks
US8073959B2 (en) * 2008-03-28 2011-12-06 Microsoft Corporation Automatically detecting whether a computer is connected to a public or private network
JP5093598B2 (ja) * 2008-03-28 2012-12-12 富士通株式会社 制御中継プログラム、制御中継装置および制御中継方法
US8046457B2 (en) * 2008-06-16 2011-10-25 At&T Intellectual Property I, L.P. Apparatus, methods, and computer program products for managing network elements and associated network element resources by multiple management systems
US8374188B2 (en) * 2008-06-24 2013-02-12 Microsoft Corporation Techniques to manage a relay server and a network address translator
AU2009276529A1 (en) * 2008-07-31 2010-02-04 Juma Technology Corp. System for remotely managing and supporting a plurality of networks and systems
KR101619736B1 (ko) * 2008-10-23 2016-05-12 삼성전자주식회사 세션 관리 프로토콜을 이용하여 사설망을 원격관리하기 위한 방법, 장치 및 시스템
JP5365311B2 (ja) * 2009-04-01 2013-12-11 富士通株式会社 認証情報管理プログラム、認証情報管理装置、認証方法
US8943552B2 (en) * 2009-04-24 2015-01-27 Blackberry Limited Methods and apparatus to discover authentication information in a wireless networking environment
CN101697518B (zh) * 2009-09-24 2012-04-25 华为技术有限公司 电信设备配置方法、系统和电信设备
US8335171B1 (en) * 2009-09-29 2012-12-18 Juniper Networks, Inc. NETCONF-enabled provisioning in rollback agnostic environment
US8248958B1 (en) * 2009-12-09 2012-08-21 Juniper Networks, Inc. Remote validation of network device configuration using a device management protocol for remote packet injection
JP6194575B2 (ja) * 2012-03-19 2017-09-13 株式会社リコー 情報処理装置、情報処理方法、およびプログラム

Also Published As

Publication number Publication date
WO2009063555A1 (ja) 2009-05-22
US20100287270A1 (en) 2010-11-11
JP5051238B2 (ja) 2012-10-17

Similar Documents

Publication Publication Date Title
JP5051238B2 (ja) 制御代理装置
EP1276275B1 (en) Management method for network apparatus
JP6611810B2 (ja) 制御システム、設備機器管理装置、方法、およびプログラム
KR101548021B1 (ko) 네트워크 관리 방법
JP4624701B2 (ja) ネットワークを介した機器情報の管理装置およびその方法
JP5481819B2 (ja) サーバ管理装置及び情報処理システム、サーバ管理装置の制御方法並びにプログラム
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
WO2010038327A1 (ja) イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。
EP2698952A1 (en) Computer system, controller, and network access policy control method
JP2010192947A (ja) 通信システム、中継装置、末端装置、及びプログラム
JP2006011888A (ja) 遠隔管理システム
JP2012027869A (ja) 管理サーバ、情報処理装置、方法およびプログラム
JP2013090089A (ja) 情報処理装置、情報処理方法、及びプログラム
JP6357335B2 (ja) ネットワーク制御装置、ネットワークシステム、ネットワークシステムの制御方法、及びプログラム
JP2006203731A (ja) ネットワーク中継装置、ネットワーク接続情報閲覧システム、及びネットワーク接続情報通知方法
JP5091217B2 (ja) ホーム機器情報収集装置及びホーム機器情報収集方法
JP6127622B2 (ja) Dnsサーバ装置、ネットワーク機器、および通信システム
JP5181958B2 (ja) 機器管理装置、機器管理システム、機器情報取得プログラム、及びそのプログラムを記録した記録媒体
JP2009265718A (ja) ネットワーク管理情報の差分データのみを送信するネットワーク装置、サーバ、プログラム及び方法
JPH09325927A (ja) ネットワーク遠隔管理システム
JP2006221327A (ja) 計算機システムおよびストレージ装置
JP2008072519A (ja) 機器検索装置、機器検索方法及びプログラム
CN103873372A (zh) 基于域名的策略路由系统及设置方法
US20060190560A1 (en) Remote maintenance/management system for SIP device
JP5069168B2 (ja) ネットワーク運用監視システム、マネージャ装置、及びネットワーク運用監視方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120626

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120709

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150803

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees