WO2012127634A1

WO2012127634A1 - ネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラム

Info

Publication number: WO2012127634A1
Application number: PCT/JP2011/056852
Authority: WO
Inventors: 川上　徹; 庸益小林; 慶中田; 直広田村; 岩谷　沢男
Original assignee: 富士通株式会社
Priority date: 2011-03-22
Filing date: 2011-03-22
Publication date: 2012-09-27
Also published as: JPWO2012127634A1; JP5655935B2; US9590864B2; US20140019608A1

Abstract

　ネットワーク管理装置（１）が、同一サブネットに含まれる通信グループ毎に各通信グループに属する通信装置の情報を対応付けて記憶するテナントテーブル（１１）と、前記通信装置毎に中継装置と接続する中継装置側のポートを接続先ポートとして記憶するサーバテーブル（１３）と、前記テナントテーブルおよび前記サーバテーブルに基づいて、前記中継装置について、同一の通信グループに属する通信装置のみの通信を許可するように、接続先ポート間の通信を許可する制御部（２０）とを備えることとしたので、１個のサブネットを複数の通信グループに分離できる。

Description

ネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラム

　本発明は、ネットワーク管理装置等に関する。

　ネットワークを分離する技術として、以下の技術がある。１つの技術では、サブネット毎に異なるスイッチを用い、用いるスイッチにサーバを接続することで、物理的にサブネットを分離する。また、１つの技術では、ＶＬＡＮ（Virtual　LAN）技術を用い、スイッチに接続されたサーバの物理的な結線を変えず、スイッチを跨いで論理的にサブネットを分離する。

　ところが、ＶＬＡＮ技術では、最大４０９６個のサブネットしか分離できないので、４０９６個以上のサブネットをサポートできない。そこで、４０９６個以上のサブネットに分離する場合、１個のサブネットを複数のネットワークに分離する技術が要求される。かかる技術として、ＰＶＬＡＮ（Private　Virtual　LAN）技術がある。ＰＶＬＡＮとは、同一サブネット内のサーバをレイヤ２で分離する技術であり、特別な機能を持ったスイッチを用いている。

http://www.cisco.com/JP/support/public/ht/tac/100/1007932/194-j.shtml「Catalyst　スイッチでの隔離モード　プライベート　VLAN　の設定」

　しかしながら、１個のサブネットを複数のネットワークに分離する従来の技術では、スイッチに特別な機能を要するので、特別な機能を有するスイッチに依存しないと、分離するネットワーク毎のセキュリティを確保できないという問題がある。すなわち、ＰＶＬＡＮ技術では、特別な機能を持ったスイッチを用いるので、当該機能を有するスイッチでないと、分離するネットワーク毎のセキュリティを確保できない。

　また、サブネット毎に異なるスイッチを用いる従来の技術では、１個のサブネットを複数のネットワークに分離することができない。さらに、ＶＬＡＮ技術を用いる従来の技術であっても、１個のサブネットを複数のネットワークに分離することができない。

　なお、上記課題は、例えば、１個のサブネットを複数のテナントに分離する場合も同様に生ずる。テナントとは、例えば企業に提供している複数のサーバ群を１個のグループとしたものである。

　１つの側面では、サブネットを複数のネットワークに分離する新たな技術を提供することを目的とする。

　第１の案では、ネットワーク管理装置は、同一サブネットに含まれる通信グループ毎に各通信グループに属する通信装置の情報を対応付けて記憶する第１の記憶部と、前記通信装置毎に中継装置と接続する中継装置側のポートを接続先ポートとして記憶する第２の記憶部と、前記第１の記憶部および前記第２の記憶部に基づいて、前記中継装置について、同一の通信グループに属する通信装置のみの通信を許可するように、接続先ポート間の通信を許可する制御部とを有する。

　本願の開示する表示装置の一つの態様によれば、サブネットを複数のネットワークに分離するという効果を奏する。

図１は、実施例に係るネットワーク管理システムの構成を示す機能ブロック図である。図２は、テナントテーブルのデータ構造の一例を示す図である。図３は、スイッチテーブルのデータ構造の一例を示す図である。図４は、サーバテーブルのデータ構造の一例を示す図である。図５は、ポートテーブルのデータ構造の一例を示す図である。図６は、実施例に係るテナント定義処理のシーケンスを示す図である。図７は、テナント定義の具体例を示す図である。図８は、実施例に係るテナント参加処理のシーケンスを示す図である。図９は、実施例に係るテナント脱退処理のシーケンスを示す図である。図１０は、実施例に係る参加サーバ有無判定処理のフローチャートを示す図である。図１１は、実施例に係るスイッチ追加判定処理のフローチャートを示す図である。図１２は、実施例に係るサーバ追加判定処理のフローチャートを示す図である。図１３は、実施例に係る追加スイッチ情報更新処理のフローチャートを示す図である。図１４Ａは、スイッチテーブルの更新の具体例を示す図である。図１４Ｂは、ポートテーブルの更新の遷移を示す図である。図１５は、実施例に係るスイッチのポート遮断処理のフローチャートを示す図である。図１６は、実施例に係る追加サーバ情報更新処理のフローチャートを示す図である。図１７は、サーバテーブルの追加の具体例を示す図である。図１８は、実施例に係る管理装置と通信するためのポート制御処理のフローチャートを示す図である。図１９は、実施例に係るサーバ間通信のポート探索処理のフローチャートを示す図である。図２０Ａは、サーバテーブルの更新の具体例を示す図である。図２０Ｂは、テナントテーブルの更新の具体例を示す図である。図２１は、実施例に係るサーバ間のポート制御処理のフローチャートを示す図である。図２２は、実施例に係るサーバ間遮断のポート探索処理のフローチャートを示す図である。図２３は、実施例に係るサーバ間通信のポート遮断処理のフローチャートを示す図である。図２４は、実施例に係る脱退サーバ削除処理のフローチャートを示す図である。図２５は、テナントテーブルの更新の具体例を示す図である。図２６は、実施例に係るテナントの削除処理のフローチャートを示す図である。図２７は、サーバテーブルの更新の具体例を示す図である。図２８は、テナント定義処理において表示されるダイアログボックスの一例を示す図である。図２９は、テナント参加処理において表示されるダイアログボックスの一例を示す図である。図３０は、テナント脱退処理において表示されるダイアログボックスの一例を示す図である。図３１は、ネットワーク管理プログラムを実行するコンピュータを示す図である。

　以下に、本願の開示するネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラムの実施例を図面に基づいて詳細に説明する。なお、実施例によりこの発明が限定されるものではない。

　図１は、実施例に係るネットワーク管理システムの構成を示す機能ブロック図である。図１に示すように、ネットワーク管理システム９は、ネットワーク管理装置１、クライアント端末２、複数のスイッチＴ（例えばＴ_Ａ～Ｔ_Ｃ）及び複数のサーバＳ（例えばＳ_Ａ～Ｓ_Ｄ）を有する。ネットワーク管理装置１は、複数のスイッチＴのうち上位に設置されたスイッチＴ_Ｃとサーバ用管理ＬＡＮ３で接続される。また、ネットワーク管理装置１は、複数のスイッチＴ（Ｔ_Ａ～Ｔ_Ｃ）とスイッチ用管理ＬＡＮ４で接続される。

　さらに、スイッチＴは、サーバＳ間の通信を中継する中継装置であり、自己に搭載されたポートＰでそれぞれのサーバＳと接続する。例えば、スイッチＴとは、ブリッジやスイッチングハブを指す。しかし、スイッチＴは、ＩＰ（Internet　Protocol）アドレスやポート番号等の情報によって通信をフィルタリングする機能を有する中継装置であれば良い。ここでは、一例として、スイッチＴは、ＩＰフィルタリング機能を有するブリッジである場合を説明する。なお、スイッチＴは、全てを同じ単一ベンダとしても良いし、マルチベンダとしても良い。

　ネットワーク管理装置１は、ネットワークに存在する通信グループ毎の通信を管理する。このネットワークには、サブネットが複数存在していても良い。そして、１個のサブネットには、複数の通信グループが含まれていても良い。また、ネットワーク管理装置１には、ネットワーク管理用のソフトウェアがインストールされる。なお、以降では、ネットワーク管理用のソフトウェアを「ネットワーク管理ソフトウェア」というものとする。ネットワーク管理装置１によって通信が管理される通信グループは、例えばテナントを指す。テナントとは、例えば１個の企業で通信できる複数のサーバ群を１個のグループとしたものであり、企業の数だけ有する。

　クライアント端末２は、ネットワーク管理装置１と接続し、ＧＵＩ（Graphical　User　Interface）により、ネットワーク管理に関する情報をネットワーク管理装置１に出力する。ネットワーク管理に関する情報とは、例えば、ネットワークに追加するサーバの情報であったり、テナントに参加させるサーバの情報であったり、テナントから脱退させるサーバの情報であったりする。ここで、「テナントに参加させるサーバ」とは、テナントに属するサーバと通信が許可されるサーバを意味する。また、「テナントから脱退させるサーバ」とは、テナントに属するサーバと通信が不許可になるサーバを意味する。なお、クライアント端末２は、例えば、パーソナルコンピュータ（personal　computer）等固定端末のほか、携帯電話機、ＰＨＳ（Personal　Handyphone　System）やＰＤＡ（Personal　Digital　Assistant）等の移動体端末を適用することもできる。

　記憶部１０は、テナントテーブル１１、スイッチテーブル１２、サーバテーブル１３およびポートテーブル１４を有する。テナントテーブル１１は、同一サブネットに含まれるテナントに属するサーバの情報をテナント毎に記憶する。スイッチテーブル１２は、スイッチにアクセスするためのアカウント情報等の情報をスイッチ毎に記憶する。サーバテーブル１３は、サーバ毎にスイッチと接続するスイッチ側のポート（以降、接続先ポートという。）の情報を記憶する。ポートテーブル１４は、スイッチに搭載されたポートの情報をポート毎に記憶する。これらテナントテーブル１１、スイッチテーブル１２、サーバテーブル１３およびポートテーブル１４の詳細な説明については、後述するものとする。なお、記憶部１０は、例えば、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（flash　memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置である。

　ここで、記憶部１０に有する各種テーブルのデータ構造について、図２～図５を参照しながら説明する。図２は、テナントテーブルのデータ構造の一例を示し、図３は、スイッチテーブルのデータ構造の一例を示し、図４は、サーバテーブルのデータ構造の一例を示し、図５は、ポートテーブルのデータ構造の一例を示す図である。

　図２に示すように、テナントテーブル１１は、ｉｄ（identification）１１ａ毎に、ｎａｍｅ１１ｂおよびｓｅｒｖｅｒ＿ｉｄ１１ｃを対応付けて記憶する。ｉｄ１１ａは、テナントを識別する識別ｉｄを示し、例えば英数字を用いて自動的に割り振られる。ｎａｍｅ１１ｂは、テナントの名称を示し、クライアント端末２により入力された情報が格納される。ｓｅｒｖｅｒ＿ｉｄ１１ｃは、テナントに属するサーバを識別する識別ｉｄを示す。

　図３に示すように、スイッチテーブル１２は、ｉｄ１２ａ毎に、ｖｅｎｄｏｒ１２ｂ、ｉｐ＿ａｄｄｒｅｓｓ１２ｃ、ａｃｃｏｕｎｔ＿ｎａｍｅ１２ｄおよびａｃｃｏｕｎｔ＿ｐａｓｓｗｏｒｄ１２ｅを対応付けて記憶する。ｉｄ１２ａは、スイッチを識別する識別ｉｄを示し、例えば英数字を用いて自動的に割り振られる。ｖｅｎｄｏｒ１２ｂは、スイッチのベンダ名を示す。ｉｐ＿ａｄｄｒｅｓｓ１２ｃは、スイッチのＩＰアドレスを示し、クライアント端末２により入力された情報が格納される。ａｃｃｏｕｎｔ＿ｎａｍｅ１２ｄおよびａｃｃｏｕｎｔ＿ｐａｓｓｗｏｒｄ１２ｅは、スイッチにアクセスするためのアカウントおよびパスワードを示し、クライアント端末２により入力された情報が格納される。スイッチへのアクセスには、例えばｔｅｌｎｅｔ（telecommunication　network）やｓｎｍｐ（simple　network　management　protocol）が用いられる。

　図４に示すように、サーバテーブル１３は、ｉｄ１３ａ毎に、ｎａｍｅ１３ｂ、ｉｐ＿ａｄｄｒｅｓｓ１３ｃ、ｔｅｎａｎｔ＿ｉｄ１３ｄ、ｒｅｌａｔｅｄ＿ｉｄ１３ｅおよびｍａｃ＿ａｄｄｒｅｓｓ１３ｆを対応付けて記憶する。ｉｄ１３ａは、サーバを識別する識別ｉｄを示し、例えば英数字を用いて自動的に割り振られる。ｎａｍｅ１３ｂおよびｉｐ＿ａｄｄｒｅｓｓ１３ｃは、サーバの名称およびサーバのＩＰアドレスを示し、クライアント端末２により入力された情報が格納される。ｔｅｎａｎｔ＿ｉｄ１３ｄは、サーバの属するテナントを識別する識別ｉｄを示す。ｒｅｌａｔｅｄ＿ｉｄ１３ｅは、サーバと接続するスイッチのスイッチ側のポート、すなわち接続先ポートの識別ｉｄを示す。ｍａｃ＿ａｄｄｒｅｓｓ１３ｆは、スイッチ用管理ＬＡＮ４に接続するＮＩＣ（Network　Interface　Card）のＭＡＣアドレスを示す。

　図５に示すように、ポートテーブル１４は、ｉｄ１４ａ毎に、ｓｗｉｔｃｈ＿ｉｄ１４ｂ、ｍａｃ＿ａｄｄｒｅｓｓ１４ｃ、ｉｓ＿ａｄｍｉｎ１４ｄおよびｒｅｌａｔｅｄ＿ｉｄ１４ｅを対応付けて記憶する。ｉｄ１４ａは、ポートを識別する識別ｉｄを示し、例えば英数字を用いて自動的に割り振られる。ｓｗｉｔｃｈ＿ｉｄ１４ｂは、ポートの搭載されたスイッチの識別ｉｄを示す。ｍａｃ＿ａｄｄｒｅｓｓ１４ｃは、ポートのＭＡＣアドレスを示す。ｉｓ＿ａｄｍｉｎ１４ｄは、ポートがネットワーク管理ソフトウェアと通信するための管理ポートであるか否かが判別されるフラグを示す。例えば、フラグが「ｔｒｕｅ」である場合には、ポートがネットワーク管理ソフトウェアと通信するための管理ポートであることを示す。また、フラグが「ｆａｌｓｅ」である場合には、ポートがネットワーク管理ソフトウェアと通信するための管理ポートでないことを示す。ｒｅｌａｔｅｄ＿ｉｄ１４ｅは、ポートと接続する接続先の装置情報であり、スイッチの識別ｉｄまたはサーバの識別ｉｄを示す。

　制御部２０は、テナント制御部２１、スイッチ制御部２２および情報取得部２３を有する。また、制御部２０の各種機能部は、ネットワーク管理ソフトウェアに組み込まれる。なお、制御部２０は、例えば、ＡＳＩＣ（Application　Specific　Integrated　Circuit）やＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路またはＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）等の電子回路である。

　テナント制御部２１は、テナントテーブル１１を初期化する。また、テナント制御部２１は、サーバをテナントに参加させる場合に、参加させるサーバが当該テナントと同一のテナントに属する他のサーバと通信可能とすべく、制御すべきスイッチ側のポートを探索する。また、テナント制御部２１は、サーバをテナントから脱退させる場合に、脱退させるサーバと接続されたスイッチ側のポートを探索する。この結果、テナント制御部２１は、探索したスイッチを制御することによって脱退させるサーバを当該テナントから分離する。さらに、テナント制御部２１は、テナント定義部２１１、スイッチ追加判定部２１２、サーバ追加判定部２１３、ポート探索部２１４および脱退サーバ取得部２１５を有する。

　スイッチ制御部２２は、サーバをテナントに参加させる場合に、テナント制御部２１によって探索された制御すべきスイッチ側のポートを用いて、当該サーバおよびテナントに属するサーバの通信を許可する。また、スイッチ制御部２２は、サーバをテナントから脱退させる場合に、テナント制御部２１によって探索された制御すべきスイッチ側のポートを用いて、当該サーバおよびネットワーク管理装置１以外のサーバの通信を非許可にする。さらに、スイッチ制御部２２は、ポート制御部２２１およびポート遮断部２２２を有する。

　情報取得部２３は、新たに追加されるスイッチについて、当該スイッチに関する情報を更新する。また、情報取得部２３は、新たに追加されるサーバについて、当該サーバに関する情報を更新する。さらに、情報取得部２３は、追加スイッチ情報更新部２３１および追加サーバ情報更新部２３２を有する。

　テナント定義部２１１は、クライアント端末２から新規のテナントの作成が指示されると、作成が指示されたテナント名に関わる新規のデータをテナントテーブル１１に作成する。新規のデータを作成するとき、テナント定義部２１１は、テナントに属するサーバを識別するｓｅｒｖｅｒ＿ｉｄ１１ｃの値を空白に設定する。

　スイッチ追加判定部２１２は、ネットワークにスイッチを追加する場合に、ネットワークにスイッチを追加できるか否かを判定する。例えば、スイッチ追加判定部２１２は、クライアント端末２からスイッチの追加が指示されると、追加が指示されたスイッチについて、モデル名を取得できるか否かを判定する。そして、スイッチ追加判定部２１２は、モデル名を取得できる場合には、追加できると判定し、追加が指示されたスイッチに関わる情報の更新を追加スイッチ情報更新部２３１に依頼する。なお、追加するスイッチに関わる情報が追加スイッチ情報更新部２３１によって更新されると、ポート制御部２２１が、追加するスイッチの全ポートを遮断することとなる。

　サーバ追加判定部２１３は、ネットワークにサーバを追加する場合に、ネットワークにサーバを追加できるか否かを判定する。例えば、サーバ追加判定部２１３は、クライアント端末２からサーバの追加が指示されると、追加が指示されたサーバについて、モデル名を取得できるか否かを判定する。そして、サーバ追加判定部２１３は、モデル名を取得できる場合には、追加できると判定し、追加が指示されたサーバに関わる情報の更新を追加サーバ情報更新部２３２に依頼する。なお、追加するサーバに関わる情報が追加サーバ情報更新部２３２によって更新されると、ポート制御部２２１が、追加するサーバおよびネットワーク管理ソフトウェア間の通信路を確保することとなる。

　ポート探索部２１４は、テナントに参加させるサーバおよび当該サーバと同一のテナントに属するサーバ間の通信を制御するスイッチの接続先ポートを探索する。例えば、ポート探索部２１４は、クライアント端末２からサーバのテナントへの参加が指示されると、テナントへの参加が指示されたサーバのテナントに関する情報をサーバテーブル１３およびテナントテーブル１１に更新する。また、ポート探索部２１４は、テナントテーブル１１に基づいて、参加させるサーバと同一のテナントに属するサーバを１個取得する。そして、ポート探索部２１４は、サーバテーブル１３およびポートテーブル１４に基づいて、参加させるサーバと接続するスイッチおよび接続先ポートを取得する。そして、ポート探索部２１４は、サーバテーブル１３およびポートテーブル１４に基づいて、同一のテナントに属するサーバと接続するスイッチおよび接続先ポートを取得する。加えて、ポート探索部２１４は、両方のサーバと接続するそれぞれのスイッチが同じスイッチであるか否かを判定する。そして、ポート探索部２１４は、同じスイッチであると判定する場合、両方のサーバと接続するスイッチのそれぞれの接続先ポートを制御対象ポートとする。そして、ポート探索部２１４は、両方のサーバと接続するスイッチのＩＰアドレス、アカウント情報をスイッチテーブル１２から取得し、両方のサーバのＩＰアドレスをサーバテーブル１３から取得する。さらに、ポート探索部２１４は、両方のサーバ間の通信を許可させるべく、取得した制御対象ポート、該当するスイッチのＩＰアドレス、アカウント情報および両方のサーバのＩＰアドレスをポート制御部２２１に引き渡す。なお、アカウント情報とは、アカウント名およびアカウントパスワードを示す。また、両方のサーバとは、テナントに参加させるサーバおよび当該サーバと同一のテナントに属するサーバを意味する。

　ポート探索部２１４は、両方のサーバと接続するそれぞれのスイッチが同じスイッチでないと判定する場合、同一のテナントに属するサーバ側から当該サーバと段階的に接続するスイッチおよび接続先ポートを取得する。ここで、ポート探索部２１４は、例えば、同一のテナントに属するサーバと接続するスイッチがネットワークの最上位にあるような場合には、当該スイッチと段階的に接続するスイッチの取得に失敗することがある。このような場合には、ポート探索部２１４は、参加させるサーバ側から当該サーバと接続するスイッチと段階的に接続するスイッチおよび接続先ポートを取得する。そして、ポート探索部２１４は、両方のサーバと接続するそれぞれのスイッチが同じスイッチとなるまでスイッチの判定処理を繰り返す。そして、ポート探索部２１４は、参加させるサーバと同一のテナントに属するサーバが複数ある場合には、複数あるサーバについて、同様に処理を繰り返す。

　脱退サーバ取得部２１５は、テナントから脱退させるサーバを当該テナントから分離するために制御する、スイッチのポートを探索する。例えば、脱退サーバ取得部２１５は、サーバのテナントからの脱退がクライアント端末２から指示されると、脱退が指示されたサーバと接続するスイッチの接続先ポートをサーバテーブル１３から取得する。また、脱退サーバ取得部２１５は、取得した接続先ポートのスイッチをポートテーブル１４から取得する。さらに、脱退サーバ取得部２１５は、取得したスイッチの、管理ポートを含む各ポートをポートテーブル１４から取得する。また、脱退サーバ取得部２１５は、取得したスイッチのＩＰアドレスおよびアカウント情報をスイッチテーブル１２から取得する。そして、脱退サーバ取得部２１５は、テナントから脱退させるサーバを脱退させるべく、取得したスイッチの管理ポートを含む各ポート、当該スイッチのＩＰアドレスおよびアカウント情報をポート遮断部２２２に引き渡す。なお、アカウント情報とは、アカウント名およびアカウントパスワードを示す。

　追加スイッチ情報更新部２３１は、スイッチを追加する場合に、追加するスイッチに関わる情報をスイッチテーブル１２およびポートテーブル１４に更新する。また、追加スイッチ情報更新部２３１は、追加するスイッチの全ポートを遮断させるべく、追加するスイッチのＩＰアドレスおよびアカウント情報をポート制御部２２１に引き渡す。ここで、追加するスイッチに関する情報とは、クライアント端末２から出力されるスイッチのＩＰアドレスおよびアカウント情報（アカウント名、アカウントパスワード）を含む。

　追加サーバ情報更新部２３２は、サーバを追加する場合に、追加するサーバに関わる情報をサーバテーブル１３に更新する。追加するサーバに関わる情報とは、クライアント端末２から出力されるサーバのサーバ名およびサーバのＩＰアドレスを含む。また、追加サーバ情報更新部２３２は、追加するサーバおよびネットワーク管理装置１間の通信路を確保させるべく、当該サーバのＩＰアドレス、接続するスイッチの接続先ポートとＩＰアドレスと管理ポートとアカウント情報をポート制御部２２１に引き渡す。例えば、追加サーバ情報更新部２３２は、スイッチやサーバ等のネットワーク機器の情報を取得するコマンドを用いて、追加するサーバと接続するスイッチの接続先ポートを取得する。また、追加サーバ情報更新部２３２は、スイッチの情報を取得するコマンドを用いて、追加するサーバと接続するスイッチのＩＰアドレスを取得する。さらに、追加サーバ情報更新部２３２は、スイッチテーブル１２に基づいて、接続するスイッチのアカウント情報を取得する。加えて、追加サーバ情報更新部２３２は、スイッチテーブル１２およびポートテーブル１４に基づいて、スイッチのＩＰアドレスに対応するスイッチの識別ｉｄを取得し、取得した識別ｉｄに対応する管理ポートを取得する。なお、ネットワーク機器の情報を取得するコマンドとして、例えばＳＮＭＰ－ｇｅｔ（Simple　Network　Management　Protocol－get）がある。

　ポート制御部２２１は、スイッチを追加する場合に、追加するスイッチの全ポートを非活性に制御する。例えば、ポート制御部２２１は、追加スイッチ情報更新部２３１から追加するスイッチのＩＰアドレスおよびアカウント情報を取得する。そして、ポート制御部２２１は、スイッチ用管理ＬＡＮ４を介して、取得したスイッチのＩＰアドレス、アカウント情報でスイッチにログインし、当該スイッチに搭載される全ポートを順番に非活性化する。なお、ポート制御部２２１が非活性化するポートの順序は、どのような順序であってもかまわない。

　ポート制御部２２１は、サーバを追加する場合に、追加するサーバに接続するスイッチの接続先ポートおよび当該スイッチの管理ポート間の通信を許可する。例えば、ポート制御部２２１は、追加するサーバのＩＰアドレス、接続するスイッチの接続先ポートとＩＰアドレスと管理ポートとアカウント情報を追加サーバ情報更新部２３２から取得する。そして、ポート制御部２２１は、スイッチ用管理ＬＡＮ４を介して、取得したＩＰアドレスおよびアカウント情報でスイッチにログインする。そして、ポート制御部２２１は、ログインしたスイッチの接続先ポートと管理ポートに対し、ＩＰフィルタリングを用いて、追加するサーバとネットワーク管理装置１の通信を許可する。このように、ポート制御部２２１は、スイッチを追加する際に、あらかじめ追加するスイッチの全ポートを非活性化することで、ポートに接続するサーバの通信を一旦非許可とする。そして、ポート制御部２２１は、サーバを追加する際に、追加するサーバに対し、新たにネットワーク管理装置１のみの通信を許可する。言い換えれば、ポート制御部２２１は、追加するサーバに対しネットワーク管理装置１以外の通信を非許可にする。したがって、ポート制御部２２１は、追加するサーバに対し、ネットワーク管理装置１以外の通信を遮断できるので、当該サーバと異なるサーバとの間での情報漏洩やウィルス感染を防止できる。

　ポート制御部２２１は、テナントにサーバを参加させる場合に、参加させるサーバと同一のテナントに属するサーバのみの通信を許可するように、両方のサーバと接続するスイッチのそれぞれの接続先ポートを活性に制御する。例えば、ポート制御部２２１は、制御対象ポート、該当するスイッチのＩＰアドレス、アカウント情報および両方のサーバのＩＰアドレスをポート探索部２１４から取得する。そして、ポート制御部２２１は、スイッチ用管理ＬＡＮ４を介して、取得したスイッチのＩＰアドレスおよびアカウント情報でスイッチにログインする。そして、ポート制御部２２１は、ログインしたスイッチの両方のサーバのそれぞれの制御対象ポートに対し、ＩＰフィルタリングを用いて、両方のサーバの通信を許可する。このように、ポート制御部２２１は、スイッチを追加する際に、追加するスイッチの全ポートをあらかじめ非活性化することでポートに接続するサーバの通信を一旦非許可とする。そして、ポート制御部２２１は、テナントにサーバを参加させる際に、参加させるサーバに対し、改めて同一のテナントに属するサーバのみの通信を許可する。言い換えれば、ポート制御部２２１は、参加させるサーバに対し同一のテナントに属するサーバ以外の通信を非許可にする。したがって、ポート制御部２２１は、参加させるサーバに対し、同一のテナントに属するサーバ以外の通信を遮断できるので、テナント間の情報漏洩やウィルス感染を防止できる。

　ポート遮断部２２２は、テナントからサーバを脱退させる場合に、脱退させるサーバおよびネットワーク管理装置以外のサーバの通信が非許可となるように、脱退させるサーバと接続するスイッチのポートを制御する。例えば、ポート遮断部２２２は、該当するスイッチの管理ポートを含む各ポート、当該スイッチのＩＰアドレスおよびアカウント情報を脱退サーバ取得部２１５から取得する。そして、ポート遮断部２２２は、スイッチ用管理ＬＡＮ４を介して、取得したスイッチのＩＰアドレスおよびアカウント情報でスイッチにログインする。そして、ポート遮断部２２２は、ログインしたスイッチのポートを順次取得する。そして、ポート遮断部２２２は、取得したポートが接続先ポートである場合、取得したポートに対し、ＩＰフィルタリングを用いて、脱退させるサーバおよびネットワーク管理装置１以外の通信を禁止する。また、ポート遮断部２２２は、取得したポートが管理ポートである場合、ＩＰフィルタリングの処理を行わない。また、ポート遮断部２２２は、取得したポートが管理ポートでなく且つ接続先ポートでない場合、取得したポートに対し、ＩＰフィルタリングを用いて、脱退させるサーバとの通信を禁止する。このように、ポート遮断部２２２は、テナントから脱退させるサーバと接続するスイッチの管理ポート以外の各ポートに対し、当該サーバとの通信を禁止する。したがって、ポート遮断部２２２は、脱退させるサーバに対し、ネットワーク管理装置１以外の通信を遮断できるので、当該サーバと異なるサーバとの間での情報漏洩やウィルス感染を防止できる。

［実施例に係るテナント定義処理のシーケンス］
　次に、実施例に係るテナント定義処理のシーケンスを、図６を参照して説明する。図６は、実施例に係るテナント定義処理のシーケンスを示す図である。なお、テナント定義処理のシーケンスを説明する際に、図７を参照するものとする。図７は、テナント定義の具体例を示す図である。

　まず、クライアント端末２は、新規のテナントの作成指示のイベントがあるか否かを判定する（ステップＳ１１）。新規のテナントの作成指示のイベントがないと判定された場合ｚに（ステップＳ１１；Ｎｏ）、クライアント端末２は、当該イベントがあるまで待機する。一方、新規のテナントの作成指示のイベントがあると判定された場合（ステップＳ１１；Ｙｅｓ）、クライアント端末２は、テナント定義のダイアログボックス（dialog　box）を開く（ステップＳ１２）。そして、クライアント端末２は、ダイアログボックスからテナント名を取得し（ステップＳ１３）、さらにＯＫボタンが押下されるとダイアログボックスを閉じる（ステップＳ１４）。このとき、クライアント端末２は、テナント制御部２１に対して、テナント名とともにテナントの作成指示を出力する。

　続いて、テナント制御部２１のテナント定義部２１１は、クライアント端末２からテナントの作成指示を取得すると、ともに取得したテナント名に関わるテナントをテナントテーブル１１に定義する（ステップＳ１５）。例えば、テナント名が「ＣｏｍｐａｎｙＡ」である場合、テナント制御部２１は、テナントの識別ｉｄを自動的に割り振り、テナント名を「ＣｏｍｐａｎｙＡ」、テナントに属するサーバの識別ｉｄを空白としてテナントテーブル１１に格納する。一例として、図７に示すように、テナントテーブル１１は、ｉｄ１１ａを「ＴｅｎａｎｔＡ」、ｎａｍｅ１１ｂを「ＣｏｍｐａｎｙＡ」、ｓｅｒｖｅｒ＿ｉｄを空白として記憶する。

　その後、クライアント端末２は、テナントテーブル１１に基づいて、テナント定義部２１１によって定義されたテナントの情報を表示する（ステップＳ１６）。そして、クライアント端末２は、テナント定義処理を終了する。

［実施例に係るテナント参加処理のシーケンス］
　次に、実施例に係るテナント参加処理のシーケンスを、図８を参照して説明する。図８は、実施例に係るテナント参加処理のシーケンスを示す図である。

　まず、クライアント端末２は、テナントへの参加指示のイベントがあるか否かを判定する（ステップＳ２１）。テナントへの参加指示のイベントがないと判定された場合に（ステップＳ２１；Ｎｏ）、クライアント端末２は、当該イベントがあるまで待機する。一方、テナントへの参加指示のイベントがあると判定された場合に（ステップＳ２１；Ｙｅｓ）、クライアント端末２は、テナントへの参加指示をテナント制御部２１に出力する。

　続いて、テナント制御部２１は、テナントへ参加させるサーバがあるか否かを判定する（ステップＳ２２）。テナントへ参加させるサーバがあると判定された場合（ステップＳ２２；Ｎｏ）、テナント制御部２１は、テナントへ参加させるサーバを指定させるべく、クライアント端末２のステップＳ３３に移行する。一方、テナントへ参加させるサーバがないと判定された場合（ステップＳ２２；Ｙｅｓ）、スイッチの追加の有無を判定させるべく、クライアント端末２のステップＳ２３に移行する。

　続いて、クライアント端末２は、スイッチを追加するか否かを判定する（ステップＳ２３）。スイッチを追加すると判定された場合（ステップＳ２３；Ｙｅｓ）、クライアント端末２は、追加するスイッチの情報を取得する（ステップＳ２４）。そして、クライアント端末２は、取得した情報とともにスイッチの追加指示をテナント制御部２１に出力する。なお、追加するスイッチの情報には、追加するスイッチのＩＰアドレスが含まれる。一方、スイッチを追加しないと判定された場合（ステップＳ２３；Ｎｏ）、クライアント端末２は、サーバの追加を判定すべく、ステップＳ２８に移行する。

　続いて、テナント制御部２１のスイッチ追加判定部２１２は、スイッチの追加指示を取得すると、ともに取得したスイッチの情報に基づいて、スイッチを追加できるか否かを判定する（ステップＳ２５）。スイッチを追加できないと判定された場合（ステップＳ２５；Ｎｏ）、スイッチ追加判定部２１２は、サーバの追加を判定すべく、ステップＳ２８に移行する。一方、スイッチを追加できると判定された場合（ステップＳ２５；Ｙｅｓ）、スイッチ追加判定部２１２は、追加するスイッチに関わる情報の更新を追加スイッチ情報更新部２３１に依頼する。

　続いて、情報取得部２３の追加スイッチ情報更新部２３１は、追加するスイッチに関わる情報をスイッチテーブル１２およびポートテーブル１４に更新する（ステップＳ２６）。そして、追加スイッチ情報更新部２３１は、追加するスイッチの情報を各種テーブルから取得し、スイッチ制御部２２に引き渡す。なお、追加するスイッチの情報には、追加するスイッチのＩＰアドレス、アカウント名およびアカウントパスワードが含まれる。そして、スイッチ制御部２２のポート制御部２２１は、追加するスイッチの全ポートを遮断し（ステップＳ２７）、サーバの追加を判定すべく、ステップＳ２８に移行する。

　続いて、クライアント端末２は、サーバを追加するか否かを判定する（ステップＳ２８）。サーバを追加すると判定された場合（ステップＳ２８；Ｙｅｓ）、クライアント端末２は、追加するサーバの情報を取得し（ステップＳ２９）、取得した情報とともにサーバの追加指示を出力する。なお、追加するサーバの情報には、追加するサーバのＩＰアドレスが含まれる。一方、サーバを追加しないと判定された場合（ステップＳ２８；Ｎｏ）、クライアント端末２は、処理を最初に戻すべく、ステップＳ２１に移行する。

　さらに、テナント制御部２１のサーバ追加判定部２１３は、サーバの追加指示を取得すると、ともに取得したサーバの情報に基づいて、サーバを追加できるか否かを判定する（ステップＳ３０）。サーバを追加できないと判定された場合（ステップＳ３０；Ｎｏ）、サーバ追加判定部２１３は、クライアント端末２のステップＳ３３に移行する。一方、サーバを追加できると判定された場合（ステップＳ３０；Ｙｅｓ）、追加するサーバに関わる情報の更新を追加サーバ情報更新部２３２に依頼する。

　続いて、情報取得部２３の追加サーバ情報更新部２３２は、追加するサーバに関わる情報をサーバテーブル１３に更新する（ステップＳ３１）。そして、追加サーバ情報更新部２３２は、追加するサーバの情報を各種テーブルから取得し、スイッチ制御部２２に引き渡す。なお、追加するサーバの情報には、当該サーバのＩＰアドレス、接続するスイッチの接続先ポートとＩＰアドレスと管理ポートとアカウント名とアカウントパスワードが含まれる。そして、スイッチ制御部２２のポート制御部２２１は、追加するサーバがネットワーク管理装置１と通信するためのポートを制御する（ステップＳ３２）。そして、ポート制御部２２１は、テナントへ参加させるサーバを指定させるべく、クライアント端末２のステップＳ３３に移行する。

　さらに、クライアント端末２は、テナント参加のダイアログボックスを開く（ステップＳ３３）。そして、クライアント端末２は、ダイアログボックスから参加対象のテナントの識別ｉｄを取得し（ステップＳ３４）、参加させるサーバの識別ｉｄを取得する（ステップＳ３５）。さらに、クライアント端末２は、ＯＫボタンが押下されるとダイアログボックスを閉じる（ステップＳ３６）。このとき、クライアント端末２は、テナント制御部２１に対して、テナントの識別ｉｄおよび参加させるサーバの識別ｉｄを出力する。

　続いて、テナント制御部２１のポート探索部２１４は、参加させるサーバおよび当該サーバと同一のテナントに属するサーバ間の通信を制御する接続先ポートを探索する（ステップＳ３７）。そして、ポート探索部２１４は、該当するスイッチの接続先ポートの識別ｉｄ、ＩＰアドレス、アカウント名、アカウントパスワードおよび両方のサーバのＩＰアドレスをスイッチ制御部２２に引き渡す。

　そして、スイッチ制御部２２のポート制御部２２１は、両方のサーバ間の通信を許可するように該当するスイッチの接続先ポートを制御する（ステップＳ３８）。そして、クライアント端末２は、テナント参加処理を終了する。

［実施例に係るテナント脱退処理のシーケンス］
　次に、実施例に係るテナント脱退処理のシーケンスを、図９を参照して説明する。図９は、実施例に係るテナント脱退処理のシーケンスを示す図である。

　まず、クライアント端末２は、テナントからの脱退指示のイベントがあるか否かを判定する（ステップＳ４１）。テナントからの脱退指示のイベントがないと判定された場合に（ステップＳ４１；Ｎｏ）、クライアント端末２は、当該イベントがあるまで待機する。一方、テナントからの脱退指示のイベントがあると判定された場合（ステップＳ４１；Ｙｅｓ）、クライアント端末２は、テナント脱退のダイアログボックス（dialog　box）を開く（ステップＳ４２）。そして、クライアント端末２は、ダイアログボックスから脱退対象のテナントの識別ｉｄを取得し（ステップＳ４３）、脱退させるサーバの識別ｉｄを取得する（ステップＳ４４）。さらに、クライアント端末２は、ＯＫボタンが押下されるとダイアログボックスを閉じる（ステップＳ４５）。このとき、クライアント端末２は、テナント制御部２１に対して、脱退させるサーバの識別ｉｄとともにテナントからの脱退指示を出力する。

　続いて、脱退サーバ取得部２１５は、テナントからの脱退指示を取得すると、ともに取得した識別ｉｄのサーバと接続するスイッチを取得し、取得したスイッチの各ポートを探索する（ステップＳ４６）。そして、脱退サーバ取得部２１５は、該当するスイッチの管理ポートを含む各ポートの識別ｉｄ、ＩＰアドレス、アカウント名およびアカウントパスワードをスイッチ制御部２２に引き渡す。

　続いて、スイッチ制御部２２のポート遮断部２２２は、脱退させるサーバおよび当該サーバと同一のテナントに属するサーバの通信が非許可となるように、該当するスイッチの各ポートを遮断する（ステップＳ４７）。そして、ポート遮断部２２２は、脱退したサーバの識別ｉｄをテナントテーブル１１から削除する（ステップＳ４８）。さらに、ポート遮断部２２２は、脱退したサーバに対応するテナントの識別ｉｄをサーバテーブル１３から削除する（ステップＳ４９）。そして、クライアント端末２は、テナント脱退処理を終了する。

［実施例に係る参加サーバ有無判定処理のフローチャート］
　次に、図８に示す参加させるサーバの有無を判定するＳ２２の処理手順について、図１０を参照して説明する。図１０は、実施例に係る参加サーバ有無判定処理のフローチャートを示す図である。

　まず、テナント制御部２１は、サーバテーブル１３から登録済みのサーバのデータを取得する（ステップＳ５１）。そして、テナント制御部２１は、登録済みのサーバのデータがあるか否かを判定する（ステップＳ５２）。登録済みのサーバのデータがあると判定された場合（ステップＳ５２；Ｙｅｓ）、テナント制御部２１は、取得したデータからテナントの識別ｉｄを取得する（ステップＳ５３）。

　続いて、テナント制御部２１は、空白の識別ｉｄがないか否かを判定する（ステップＳ５４）。空白の識別ｉｄがあると判定された場合に（ステップＳ５４；Ｎｏ）、テナント制御部２１は、テナントへ参加させるサーバがある旨を返却する（ステップＳ５５）。一方、空白の識別ｉｄがないと判定された場合（ステップＳ５４；Ｙｅｓ）または登録済みのサーバのデータがない場合（ステップＳ５２；Ｎｏ）、テナント制御部２１は、テナントへ参加させるサーバがない旨を返却する（ステップＳ５６）。

［実施例に係るスイッチ追加判定処理のフローチャート］
　次に、図８に示すスイッチを追加できるか否かを判定するＳ２５の処理手順について、図１１を参照して説明する。図１１は、実施例に係るスイッチ追加判定処理のフローチャートを示す図である。

　まず、スイッチ追加判定部２１２は、追加するスイッチのＩＰアドレスをクライアント端末２から取得する。そして、スイッチ追加判定部２１２は、取得されたスイッチのＩＰアドレスに対して、ＳＮＭＰ－ｇｅｔでモデル名を取得する（ステップＳ６１）。さらに、スイッチ追加判定部２１２は、スイッチのモデル名を取得できたか否かを判定する（ステップＳ６２）。スイッチのモデル名を取得できたと判定された場合（ステップＳ６２；Ｙｅｓ）、スイッチ追加判定部２１２は、スイッチを追加できる旨を返却する（ステップＳ６３）。一方、スイッチのモデル名を取得できないと判定された場合（ステップＳ６２；Ｎｏ）、スイッチ追加判定部２１２は、スイッチを追加できない旨を返却する（ステップＳ６４）。

［実施例に係るサーバ追加判定処理のフローチャート］
　次に、図８に示すサーバを追加できるか否かを判定するＳ３０の処理手順について、図１２を参照して説明する。図１２は、実施例に係るサーバ追加判定処理のフローチャートを示す図である。

　まず、サーバ追加判定部２１３は、追加するサーバのＩＰアドレスをクライアント端末２から取得する。そして、サーバ追加判定部２１３は、取得されたサーバのＩＰアドレスに対して、ＳＮＭＰ－ｇｅｔでモデル名を取得する（ステップＳ７１）。さらに、サーバ追加判定部２１３は、サーバのモデル名を取得できたか否かを判定する（ステップＳ７２）。サーバのモデル名を取得できたと判定された場合（ステップＳ７２；Ｙｅｓ）、サーバ追加判定部２１３は、サーバを追加できる旨を返却する（ステップＳ７３）。一方、サーバのモデル名を取得できないと判定された場合（ステップＳ７２；Ｎｏ）、サーバ追加判定部２１３は、サーバを追加できない旨を返却する（ステップＳ７４）。

［実施例に係る追加スイッチ情報更新処理のフローチャート］
　次に、図８に示す追加するスイッチの情報を更新するＳ２６の処理手順について、図１３を参照して説明する。図１３は、実施例に係る追加スイッチ情報更新処理のフローチャートを示す図である。なお、追加スイッチ情報更新処理を説明する際に、図１４Ａおよび図１４Ｂを参照するものとする。図１４Ａは、スイッチテーブルの更新の具体例を示す図である。図１４Ｂは、ポートテーブルの更新の遷移を示す図である。

　まず、追加スイッチ情報更新部２３１は、追加するスイッチのＩＰアドレス、アカウント名、アカウントパスワードをクライアント端末２から事前に取得する（ステップＳ８１）。そして、追加スイッチ情報更新部２３１は、追加するスイッチに対して、ＳＮＭＰ－ｇｅｔでベンダ名および各ポートのＭＡＣアドレスを取得する（ステップＳ８２）。

　続いて、追加スイッチ情報更新部２３１は、追加するスイッチのデータをスイッチテーブル１２に追加する（ステップＳ８３）。例えば、追加スイッチ情報更新部２３１は、スイッチの識別ｉｄを自動的に割り振り、取得したベンダ名、ＩＰアドレス、アカウント名およびアカウントパスワードとともにデータを作成し、作成したデータをスイッチテーブル１２に追加する。一例として、図１４Ａに示すように、スイッチテーブル１２は、ｉｄ（１２ａ）を「ＳｗｉｔｃｈＡ」、ｖｅｎｄｏｒ（１２ｂ）を「Ｖ１」、ｉｐ＿ａｄｄｒｅｓｓ（１２ｃ）を「１．１．１．１」として記憶する。さらに、スイッチテーブル１２は、ａｃｃｏｕｎｔ＿ｎａｍｅ（１２ｄ）を「ａｄｍｉｎ」、ａｃｃｏｕｎｔ＿ｐａｓｓｗｏｒｄ（１２ｅ）を「ａｄｍｉｎ」として記憶する。

　続いて、追加スイッチ情報更新部２３１は、追加するスイッチのデータをポートテーブル１４に追加する（ステップＳ８４）。例えば、追加スイッチ情報更新部２３１は、各ポートのＭＡＣアドレスの数だけポートの識別ｉｄを自動的に割り振り、ポートの識別ｉｄ毎にスイッチの識別ｉｄおよびポートのＭＡＣアドレスをポートテーブル１４に追加する。このとき、追加スイッチ情報更新部２３１は、管理ポートであるかを判別するフラグを管理ポートでないことを示す「ｆａｌｓｅ」、ポートと接続する接続先を空白としてポートテーブル１４に格納する。一例として、図１４Ｂに示すように、スイッチの識別ｉｄが「ＳｗｉｔｃｈＡ」となるポートは３個有する。そして、ポートテーブル１４は、識別ｉｄが「ＰｏｒｔＡ１」であるデータ（ｒ１）、識別ｉｄが「ＰｏｒｔＡ２」であるデータ（ｒ２）、識別ｉｄが「ＰｏｒｔＡ３」であるデータ（ｒ３）を記憶する。

　続いて、追加スイッチ情報更新部２３１は、追加するスイッチに対して、ＳＮＭＰ－ｇｅｔで接続元ポートのＭＡＣアドレスおよび接続先装置のＭＡＣアドレスを取得する（ステップＳ８５）。そして、追加スイッチ情報更新部２３１は、取得したＭＡＣアドレスからポートテーブル１４のｒｅｌａｔｅｄ＿ｉｄ（１４ｅ）を更新する（ステップＳ８６）。例えば、追加スイッチ情報更新部２３１は、接続先装置のＭＡＣアドレスに対応する識別ｉｄをポートテーブル１４から検索する。また、追加スイッチ情報更新部２３１は、接続元ポートのＭＡＣアドレスに対応する識別ｉｄをポートテーブル１４から検索する。そして、追加スイッチ情報更新部２３１は、接続元ポートの識別ｉｄに対応するｒｅｌａｔｅｄ＿ｉｄ（１４ｅ）に接続先装置の識別ｉｄを設定するように、ポートテーブル１４を更新する。一例として、図１４Ｂに示すように、ポートテーブル１４は、ポートの識別ｉｄが「ＰｏｒｔＡ１」であるデータのｒｅｌａｔｅｄ＿ｉｄ（１４ｅ）に符号ｃ１で示す「ＳｅｒｖｅｒＡ」を記憶する。

　さらに、追加スイッチ情報更新部２３１は、追加するスイッチの接続元ポートに対応するポートテーブル１４のｉｓ＿ａｄｍｉｎ（１４ｄ）を更新する（ステップＳ８７）。例えば、追加スイッチ情報更新部２３１は、取得した接続元ポートのｉｓ＿ａｄｍｉｎ（１４ｄ）を管理ポートであることを示す「ｔｒｕｅ」としてポートテーブル１４に格納する。一例として、図１４Ｂに示すように、ポートテーブル１４は、ポートの識別ｉｄが「ＰｏｒｔＡ３」であるデータのｉｓ＿ａｄｍｉｎ（１４ｄ）に符号ｃ２で示す「ｔｒｕｅ」を記憶する。

［実施例に係るスイッチのポート遮断処理のフローチャート］
　次に、図８に示すスイッチのポートを遮断するＳ２７の処理手順について、図１５を参照して説明する。図１５は、実施例に係るスイッチのポート遮断処理のフローチャートを示す図である。

　まず、ポート制御部２２１は、追加するスイッチのＩＰアドレス、アカウント名およびアカウントパスワードの情報を情報取得部２３の追加スイッチ情報更新部２３１から取得する（ステップＳ９１）。そして、ポート制御部２２１は、取得したＩＰアドレス、アカウント名およびアカウントパスワードで追加するスイッチの管理コンソールにログインする（ステップＳ９２）。その後、ポート制御部２２１は、追加するスイッチの通信を遮断すべく、スイッチ用管理ＬＡＮ４を介して、全ポートを非活性化する（ステップＳ９３）。

［実施例に係る追加サーバ情報更新処理のフローチャート］
　次に、図８に示す追加するサーバの情報を更新するＳ３１の処理手順について、図１６を参照して説明する。図１６は、実施例に係る追加サーバ情報更新処理のフローチャートを示す図である。なお、追加サーバ情報更新処理を説明する際に、図１７を参照するものとする。図１７は、サーバテーブルの追加の具体例を示す図である。

　まず、追加サーバ情報更新部２３２は、追加するサーバに対し、ＳＮＭＰ－ｇｅｔでＭＡＣアドレスを取得する（ステップＳ１０１）。さらに、追加サーバ情報更新部２３２は、スイッチテーブル１２に登録済みのスイッチに対し、ＳＮＭＰ－ｇｅｔで当該スイッチと接続する接続先のＭＡＣアドレスを取得する（ステップＳ１０２）。そして、追加サーバ情報更新部２３２は、追加するサーバのＭＡＣアドレスおよび登録済みのスイッチと接続する接続先のＭＡＣアドレスを比較し、合致するＭＡＣアドレスに対応するスイッチを接続先スイッチとして取得する（ステップＳ１０３）。

　続いて、追加サーバ情報更新部２３２は、接続先スイッチに対して、ＳＮＭＰ－ｇｅｔでＩＰアドレスと各ポートのＭＡＣアドレスを取得する（ステップＳ１０４）。また、追加サーバ情報更新部２３２は、スイッチテーブル１２に基づいて、接続先スイッチのＩＰアドレスに対応する接続先スイッチの識別ｉｄを取得する（ステップＳ１０５）。さらに、追加サーバ情報更新部２３２は、追加するサーバのサーバ名、ＩＰアドレスを事前にクライアント端末２から取得する（ステップＳ１０６）。

　そして、追加サーバ情報更新部２３２は、追加するサーバのデータをサーバテーブル１３に追加する（ステップＳ１０７）。例えば、追加サーバ情報更新部２３２は、サーバの識別ｉｄを自動的に割り振る。そして、追加サーバ情報更新部２３２は、追加するサーバのＩＰアドレスに対し、ＳＭＭＰ－ｇｅｔで当該サーバと接続するスイッチの接続先ポートのＭＡＣアドレスを取得する。そして、追加サーバ情報更新部２３２は、ポートテーブル１４に基づいて、取得したＭＡＣアドレスに対応するポートの識別ｉｄを接続先ポートの識別ｉｄとして取得する。さらに、追加サーバ情報更新部２３２は、サーバの識別ｉｄ、サーバ名、ＩＰアドレスおよび接続先ポートの識別ｉｄを含むデータを作成し、作成したデータをサーバテーブル１３に追加する。一例として、図１７に示すように、サーバテーブル１３は、ｉｄ（１３ａ）を「ＳｅｒｖｅｒＡ」、ｎａｍｅ（１３ｂ）を「ｓｖＡ」、ｉｐ＿ａｄｄｒｅｓｓ（１３ｃ）を「１．１．１．４」として記憶する。さらに、サーバテーブル１３は、ｔｅｎａｎｔｏ＿ｉｄ（１３ｄ）を空白、ｒｅｌａｔｅｄ＿ｉｄ（１３ｅ）を「ＰｏｒｔＡ１」およびｍａｃ＿ａｄｄｒｅｓｓ（１３ｆ）を「１１：１１：１１：１１：１１：１１」として記憶する。

　続いて、追加サーバ情報更新部２３２は、スイッチテーブル１２に基づいて、接続先スイッチの識別ｉｄに対応するアカウント情報を取得する（ステップＳ１０８）。なお、アカウント情報とは、アカウント名およびアカウントパスワードを示す。そして、追加サーバ情報更新部２３２は、ポートテーブル１４に基づいて、接続スイッチの識別ｉｄに対応する管理ポートの識別ｉｄを取得する（ステップＳ１０９）。そして、追加サーバ情報更新部２３２は、追加するサーバのＩＰアドレス、接続先ポートの識別ｉｄ、接続先スイッチのＩＰアドレス、管理ポートの識別ｉｄおよびアカウント情報をスイッチ制御部２２に引き渡す（ステップＳ１１０）。

［実施例に係る管理装置間通信のポート制御処理のフローチャート］
　次に、図８に示す管理装置と通信するためのポート制御を実行するＳ３２の処理手順について、図１８を参照して説明する。図１８は、実施例に係る管理装置と通信するためのポート制御処理のフローチャートを示す図である。

　まず、ポート制御部２２１は、追加するサーバのＩＰアドレス、接続先ポートの識別ｉｄ、接続先スイッチのＩＰアドレス、管理ポートの識別ｉｄおよびアカウント情報を情報取得部２３の追加サーバ情報更新部２３２から取得する（ステップＳ１１１）。なお、アカウント情報とは、アカウント名およびアカウントパスワードを示す。そして、ポート制御部２２１は、スイッチ用管理ＬＡＮ４を介して、接続先スイッチのＩＰアドレス、アカウント名およびアカウントパスワードで接続先スイッチの管理コンソールにログインする（ステップＳ１１２）。

　その後、ポート制御部２２１は、接続先ポートと管理ポートに対し、ＩＰフィルタリングで追加するサーバとネットワーク管理装置１のＩＰを許可する（ステップＳ１１３）。すなわち、ポート制御部２２１は、追加するサーバに対し、ネットワーク管理装置１のみの通信を許可する。

［実施例に係るサーバ間通信のポート探索処理のフローチャート］
　次に、図８に示すサーバ間の通信を制御するポートを探索するＳ３７の処理手順について、図１９を参照して説明する。図１９は、実施例に係るサーバ間通信のポート探索処理のフローチャートを示す図である。なお、サーバ間通信のポート探索処理を説明する際に、図２０Ａおよび図２０Ｂを参照するものとする。図２０Ａは、サーバテーブルの更新の具体例を示す図である。図２０Ｂは、テナントテーブルの更新の具体例を示す図である。

　まず、ポート探索部２１４は、クライアント端末２からテナントの識別ｉｄおよび参加させるサーバの識別ｉｄを取得する（ステップＳ１２１）。そして、ポート探索部２１４は、参加させるサーバのテナント情報を更新する（ステップＳ１２２）。例えば、ポート探索部２１４は、取得したテナントの識別ｉｄを、サーバテーブル１３の参加させるサーバの識別ｉｄに対応するｔｅｎａｎｔｏ＿ｉｄ１３ｄに格納する。また、ポート探索部１４は、取得したサーバの識別ｉｄを、テナントテーブル１１のテナントの識別ｉｄに対応するｓｅｒｖｅｒ＿ｉｄ１１ｃに追加して格納する。一例として、図２０Ａに示すように、サーバテーブル１３は、サーバのｉｄが「ＳｅｒｖｅｒＡ」であるデータのｔｅｎａｎｔ＿ｉｄ１１ｃに符号ｃ３で示す「ＣｏｍｐａｎｙＡ」を記憶する。また、図２０Ｂに示すように、テナントテーブル１１は、テナントのｉｄが「ＴｅｎａｎｔＡ」であるデータのｓｅｒｖｅｒ＿ｉｄ１１ｃに符号ｃ４で示す「ＳｅｒｖｅｒＡ」を記憶する。

　そして、ポート探索部２１４は、テナントテーブル１１およびサーバテーブル１３に基づいて、テナントの識別ｉｄと同一のテナントに属するサーバの識別ｉｄを１個選択する（ステップＳ１２３）。例えば、ポート探索部２１４は、テナントの識別ｉｄに対応するサーバの識別ｉｄをテナントテーブル１１から取得する。そして、ポート探索部２１４は、取得したサーバの識別ｉｄのうち１個のサーバの識別ｉｄを選択し、選択した識別ｉｄに対応するデータをサーバテーブル１３から取得する。

　続いて、ポート探索部２１４は、選択に成功したか否かを判定する（ステップＳ１２４）。選択に成功しなかったと判定された場合、例えばテナントテーブル１１にサーバの識別ｉｄが１個も記憶されていなかった場合（ステップＳ１２４；Ｎｏ）、ポート探索部２１４は、処理を終了する。一方、選択に成功したと判定された場合（ステップＳ１２４；Ｙｅｓ）、ポート探索部２１４は、サーバテーブル１３およびポートテーブル１４に基づいて、参加させるサーバの接続先ポートの識別ｉｄとスイッチの識別ｉｄを取得する（ステップＳ１２５）。例えば、ポート探索部２１４は、サーバテーブル１３の参加させるサーバの識別ｉｄに対応するｒｅｌａｔｅｄ＿ｉｄ（１３ｅ）を参照し、当該サーバの接続先ポートの識別ｉｄを取得する。そして、サーバ探索部２１４は、ポートテーブル１４の接続先ポートの識別ｉｄに対応するｓｗｉｔｃｈ＿ｉｄ（１４ｂ）を参照し、当該接続先ポートのスイッチの識別ｉｄを取得する。なお、ここでは、接続先ポートの識別ｉｄを例えばＰ１とし、スイッチの識別ｉｄを例えばＳ１として説明する。

　さらに、ポート探索部２１４は、サーバテーブル１３およびポートテーブルに基づいて、同一テナントのサーバの接続先ポートの識別ｉｄ（例えばＰ２）とスイッチの識別ｉｄ（例えばＳ２）を取得する（ステップＳ１２６）。そして、ポート探索部２１４は、スイッチＳ１およびスイッチＳ２が同じスイッチであるか否かを判定する（ステップＳ１２７）。スイッチＳ１およびスイッチＳ２が同じスイッチであると判定された場合（ステップＳ１２７；Ｙｅｓ）、ポート探索部２１４は、接続先ポートの識別ｉｄ（Ｐ１）および接続先ポートの識別ｉｄ（Ｐ２）を制御対象ポートとする（ステップＳ１２８）。

　そして、ポート探索部２１４は、スイッチテーブル１２に基づいて、スイッチＳ１のＩＰアドレス、アカウント情報を取得する。ポート探索部２１４は、サーバテーブル１３に基づいて、両方のサーバのＩＰアドレスを取得する（ステップＳ１２９）。そして、ポート探索部２１４は、スイッチ（Ｓ１）の制御対象ポート（Ｐ１、Ｐ２）を制御させるべく、取得した情報をポート制御部２２１に引き渡し、サーバ間のポート制御を依頼する（ステップＳ１３０）。そして、ポート探索部２１４は、ポート制御部２２１から処理が終了したことの通知を取得すると、ステップＳ１３５に移行する。

　スイッチＳ１およびスイッチＳ２が同じスイッチでない場合（ステップＳ１２７；Ｎｏ）、ポート探索部２１４は、ポートテーブル１４に基づいて、スイッチＳ２の接続先ポートの識別ｉｄとそのスイッチの識別ｉｄを取得する（ステップＳ１３１）。なお、ここでは、スイッチＳ２の接続先ポートの識別ｉｄを新たにＰ２とし、スイッチの識別ｉｄを新たにＳ２として説明する。そして、ポート探索部２１４は、新たな接続先ポートＰ２とそのスイッチＳ２の取得が成功したか否かを判定する（ステップＳ１３２）。取得が成功したと判定された場合（ステップＳ１３２；Ｙｅｓ）、ポート探索部２１４は、スイッチの一致を判定すべく、ステップＳ１２７に移行する。

　一方、取得が成功しなかったと判定された場合（ステップＳ１３２；Ｎｏ）、ポート探索部２１４は、ポートテーブル１４に基づいて、スイッチＳ１の接続先ポート（新たにＰ１）とそのスイッチ（新たにＳ１）を取得する（ステップＳ１３３）。そして、ポート探索部２１４は、新たな接続先ポートＰ１とそのスイッチＳ１の取得が成功したか否かを判定する（ステップＳ１３４）。取得が成功したと判定された場合（ステップＳ１３４；Ｙｅｓ）、ポート探索部２１４は、同一テナントのサーバを取得すべく、ステップＳ１２６に移行する。

　一方、取得が成功しなかったと判定された場合（ステップＳ１３４；Ｎｏ）、ポート探索部２１４は、テナントテーブル１１およびサーバテーブル１３に基づいて、テナントのｉｄと同一のテナントに属する次のサーバを１個選択する（ステップＳ１３５）。そして、ポート探索部２１４は、選択に成功したか否かを判定する（ステップＳ１３６）。選択に成功したと判定された場合（ステップＳ１３６；Ｙｅｓ）、ポート探索部２１４は、選択した次のサーバに関する処理をするべく、ステップＳ１２５に移行する。一方、選択に成功しなかったと判定された場合（ステップＳ１３６；Ｎｏ）、ポート探索部２１４は、処理を終了する。

［実施例に係るサーバ間のポート制御処理のフローチャート］
　次に、図８に示すサーバ間のポートを制御するＳ３８の処理手順について、図２１を参照して説明する。図２１は、実施例に係るサーバ間のポート制御処理のフローチャートを示す図である。

　まず、ポート制御部２２１は、制御対象ポートの識別ｉｄ（Ｐ１、Ｐ２）、スイッチのＩＰアドレス、アカウント名、アカウントパスワードおよび両方のサーバのＩＰアドレスをテナント制御部２１のポート探索部２１４から取得する（ステップＳ１４１）。なお、両方のサーバとは、参加させるサーバと、当該サーバと同一のテナントに属するサーバを意味する。そして、ポート制御部２２１は、スイッチ用管理ＬＡＮ４を介して、スイッチのＩＰアドレス、アカウント名およびアカウントパスワードで当該スイッチの管理コンソールにログインする（ステップＳ１４２）。

　その後、ポート制御部２２１は、制御対象ポートの識別ｉｄ（Ｐ１、Ｐ２）それぞれに対し、ＩＰフィルタリングで両方のサーバのＩＰを許可する（ステップＳ１４３）。すなわち、ポート制御部２２１は、参加させるサーバに対し、同一のテナントに属するサーバのみの通信を許可する。

［実施例に係るサーバ間遮断のポート探索処理のフローチャート］
　次に、図９に示すサーバ間の遮断を制御するポートを探索するＳ４６の処理手順について、図２２を参照して説明する。図２２は、実施例に係るサーバ間遮断のポート探索処理のフローチャートを示す図である。

　まず、脱退サーバ取得部２１５は、クライアント端末２から脱退させるサーバの識別ｉｄを取得する（ステップＳ１５１）。そして、脱退サーバ取得部２１５は、サーバテーブル１３およびポートテーブル１４に基づいて、脱退させるサーバの接続先スイッチの識別ｉｄおよびその各ポートの識別ｉｄを取得する（ステップＳ１５２）。例えば、脱退サーバ取得部２１５は、脱退させるサーバの識別ｉｄに対応するｒｅｌａｔｅｄ＿ｉｄ１３ｅをサーバテーブル１３から参照し、脱退させるサーバと接続するスイッチにおけるポートの識別ｉｄを取得する。また、脱退サーバ取得部２１５は、取得したポートの識別ｉｄに対応するｓｗｉｔｃｈ＿ｉｄ１４ｂをポートテーブル１４から参照し、脱退させるサーバと接続するスイッチの識別ｉｄを取得する。さらに、脱退サーバ取得部２１５は、取得したポートの識別ｉｄに対応するｉｄ１４ａをポートテーブル１４から参照し、脱退させるサーバと接続するスイッチの各ポートの識別ｉｄを取得する。

　続いて、脱退サーバ取得部２１５は、ポートテーブル１４に基づいて、接続先スイッチの管理ポートの識別ｉｄを取得する（ステップＳ１５３）。例えば、脱退サーバ取得部２１５は、取得したスイッチの識別ｉｄに対応するｉｓ＿ａｄｍｉｎ１４ｄの値が「ｔｒｕｅ」であるｒｅｌａｔｅｄ＿ｉｄ１４ｅをポートテーブル１４から参照し、管理ポートの識別ｉｄを取得する。また、脱退サーバ取得部２１５は、スイッチテーブル１２に基づいて、接続先スイッチのＩＰアドレスおよびアカウント情報を取得する。

　そして、脱退サーバ取得部２１５は、取得した管理ポートの識別ｉｄ、接続先スイッチの各ポートの識別ｉｄ、接続先スイッチのＩＰアドレスおよびアカウント情報をスイッチ制御部２２に引き渡す（ステップＳ１５４）。

［実施例に係るサーバ間通信のポート遮断処理のフローチャート］
　次に、図９に示すサーバ間通信のポートを遮断するＳ４７の処理手順について、図２３を参照して説明する。図２３は、実施例に係るサーバ間通信のポート遮断処理のフローチャートを示す図である。

　まず、ポート遮断部２２２は、テナントから脱退させるサーバと接続する接続先スイッチのＩＰアドレスおよびアカウント情報をテナント制御部２１の脱退サーバ取得部２１５から取得する（ステップＳ１６１）。また、ポート遮断部２２２は、接続先スイッチの管理ポートの識別ｉｄおよび接続先スイッチの各ポートの識別ｉｄをテナント制御部２１の脱退サーバ取得部２１５から取得する（ステップＳ１６２）。

　そして、ポート遮断部２２２は、取得した接続先スイッチの各ポートのうち１個のポートの識別ｉｄを選択する（ステップ１６３）。そして、ポート遮断部２２２は、選択に成功したか否かを判定する（ステップＳ１６４）。選択に成功しなかったと判定された場合（ステップＳ１６４；Ｎｏ）、ポート遮断部２２２は、処理を終了する。一方、選択に成功したと判定された場合（ステップＳ１６４；Ｙｅｓ）、ポート遮断部２２２は、選択したポートが管理ポートであるか否かを判定する（ステップＳ１６５）。

　選択したポートが管理ポートであると判定された場合（ステップＳ１６５；Ｙｅｓ）、ポート遮断部２２２は、管理ポートに対し、ＩＰフィルタリングの処理を行わず、ステップＳ１７１に移行する。一方、選択したポートが管理ポートでないと判定された場合（ステップＳ１６５；Ｎｏ）、ポート遮断部２２２は、選択したポートが接続先ポートであるか否かを判定する（ステップＳ１６６）。

　選択したポートが接続先ポートであると判定された場合（ステップＳ１６６；Ｙｅｓ）、ポート遮断部２２２は、接続先スイッチのＩＰアドレス、アカウント名およびアカウントパスワードで当該スイッチの管理コンソールにログインする（ステップＳ１６７）。なお、ポート遮断部２２２は、接続先スイッチのログインを、スイッチ用管理ＬＡＮ４を介して行う。その後、ポート遮断部２２２は、接続先ポートに対し、ＩＰフィルタリングでネットワーク管理装置１および脱退させるサーバのＩＰアドレス以外のＩＰを禁止する（ステップＳ１６８）。すなわち、ポート遮断部２２２は、脱退させるサーバに対し、ネットワーク管理装置１以外の通信を遮断する。そして、ポート遮断部２２２は、ステップＳ１７１に移行する。

　選択したポートが接続先ポートでないと判定された場合（ステップＳ１６６；Ｎｏ）、ポート遮断部２２２は、接続先スイッチのＩＰアドレス、アカウント名およびアカウントパスワードで当該スイッチの管理コンソールにログインする（ステップＳ１６９）。なお、ポート遮断部２２２は、接続先スイッチのログインを、スイッチ用管理ＬＡＮ４を介して行う。その後、ポート遮断部２２２は、選択したポートに対し、ＩＰフィルタリングで脱退させるサーバのＩＰアドレスを禁止する（ステップＳ１７０）。すなわち、ポート遮断部２２２は、脱退させるサーバ以外のサーバであって接続先スイッチと接続するサーバに対し、脱退させるサーバとの通信を遮断する。そして、ポート遮断部２２２は、ステップＳ１７１に移行する。

　さらに、ポート遮断部２２２は、接続先スイッチの各ポートのうち次のポートの識別ｉｄを１個選択する（ステップＳ１７１）。そして、ポート遮断部２２２は、選択に成功したか否かを判定する（ステップＳ１７２）。選択に成功したと判定された場合（ステップＳ１７２；Ｙｅｓ）、ポート遮断部２２２は、選択した次のポートに関する処理をするべく、ステップＳ１６５に移行する。一方、選択に成功しなかったと判定された場合（ステップＳ１７２；Ｎｏ）、ポート遮断部２２２は、処理を終了する。

［実施例に係る脱退サーバ削除処理のフローチャート］
　次に、図９に示す脱退したサーバをテナントテーブル１１から削除するＳ４８の処理手順について、図２４を参照して説明する。図２４は、実施例に係る脱退サーバ削除処理のフローチャートを示す図である。なお、脱退サーバ削除処理を説明する際に、図２５を参照するものとする。図２５は、テナントテーブルの更新の具体例を示す図である。

　まず、ポート遮断部２２２は、テナント制御部２１の脱退サーバ取得部２１５から脱退したサーバの識別ｉｄを取得する（ステップＳ１８１）。そして、ポート遮断部２２２は、脱退したサーバの属していたテナントの識別ｉｄを取得する（ステップＳ１８２）。例えば、ポート遮断部２２２は、取得した脱退サーバの識別ｉｄに対応するテナントの識別ｉｄをサーバテーブル１３から取得する。

　さらに、ポート遮断部２２２は、テナントテーブル１１に基づいて、取得したテナントの識別ｉｄに対応する脱退サーバの識別ｉｄを削除する（ステップＳ１８３）。一例として、図２５に示すように、テナントテーブル１１は、テナントの識別ｉｄが「ＴｅｎａｎｔＡ」であるサーバの識別ｉｄを符号ｃ５で示す空白として記憶する。

［実施例に係るテナント削除処理のフローチャート］
　次に、図９に示す脱退したサーバが属していたテナントをサーバテーブル１３から削除するＳ４９の処理手順について、図２６を参照して説明する。図２６は、実施例に係るテナントの削除処理のフローチャートを示す図である。なお、テナントの削除処理を説明する際に、図２７を参照するものとする。図２７は、サーバテーブルの更新の具体例を示す図である。

　まず、ポート遮断部２２２は、テナント制御部２１の脱退サーバ取得部２１５から脱退したサーバの識別ｉｄを取得する（ステップＳ１９１）。そして、ポート遮断部２２２は、サーバテーブル１３に基づいて、取得したサーバの識別ｉｄに対応するテナントの識別ｉｄを削除する（ステップＳ１９２）。一例として、図２７に示すように、サーバテーブル１３は、サーバの識別ｉｄが「ＳｅｒｖｅｒＡ」であるテナントの識別ｉｄを符号ｃ６で示す空白として記憶する。

［ダイアログボックスの具体例］
　次に、クライアント端末２で表示されるダイアログボックスの具体例について、図２８～図３０を参照して説明する。図２８は、テナント定義処理において表示されるダイアログボックスの一例を示す図である。また、図２９は、テナント参加処理において表示されるダイアログボックスの一例を示す図である。図３０は、テナント脱退処理において表示されるダイアログボックスの一例を示す図である。

　図２８に示すように、テナント定義のダイアログボックスｇ１は、テキストボックスｇ１１、ＯＫボタンｇ１２およびＣａｎｃｅｌボタンｇ１３を備える。テナントを定義する場合、ユーザがテキストボックスｇ１１にテナント名を入力する。そして、ユーザがＯＫボタンｇ１２を押下すると、入力されたテナント名を含むテナントの作成指示がネットワーク管理装置１に対し出力され、テナント定義処理が実行される。一方、ユーザがＣａｎｃｅｌボタンｇ１３を押下すると、テナント定義処理がキャンセルされる。

　図２９に示すように、テナント参加のダイアログボックスｇ２は、定義されたテナントリストｇ２１、登録済みのサーバリストｇ２２、ＯＫボタンｇ２３およびＣａｎｃｅｌボタンｇ２４を備える。定義されたテナントリストｇ２１には、テナントテーブル１１に記憶されたテナントのｉｄが表示される。登録済みのサーバリストｇ２２には、サーバテーブル１３に記憶されたサーバのｉｄが表示される。

　サーバをテナントに参加させる場合、ユーザが定義されたテナントリストｇ２１から参加するテナントを選択する。また、ユーザが登録済みのサーバリストｇ２２からテナントに参加させるサーバを選択する。そして、ユーザがＯＫボタンｇ２３を押下すると、選択したテナントのｉｄおよびサーバのｉｄがネットワーク管理装置１に対し出力され、テナント参加処理が実行される。一方、ユーザがＣａｎｃｅｌボタンｇ２４を押下すると、テナント参加処理がキャンセルされる。

　図３０に示すように、テナント脱退のダイアログボックスｇ３は、定義されたテナントリストｇ３１、登録済みのサーバリストｇ３２、ＯＫボタンｇ３３およびＣａｎｃｅｌボタンｇ３４を備える。定義されたテナントリストｇ３１には、テナントテーブル１１に記憶されたテナントのｉｄが表示される。登録済みのサーバリストｇ３２には、サーバテーブル１３に記憶されたサーバのｉｄであってテナントリストｇ３１で選択されたテナントに属するサーバのｉｄが表示される。

　サーバをテナントから脱退させる場合、サーバが、定義されたテナントリストｇ３１からテナントを選択する。また、ユーザが、選択したテナントに属するサーバのサーバリストｇ３２から脱退させるサーバを選択する。そして、ユーザがＯＫボタンｇ３３を押下すると、テナントからの脱退指示がネットワーク管理装置１に対し出力され、テナント脱退処理が実行される。一方、ユーザがＣａｎｃｅｌボタンｇ３４を押下すると、テナント脱退処理がキャンセルされる。

　一例として、定義されたテナントリストｇ３１には、定義されたテナントのｉｄとして「ＣｏｍｐａｎｙＡ」および「ＣｏｍｐａｎｙＢ」が表示されている。ユーザがサーバを脱退させるテナントとして「ＣｏｍｐａｎｙＡ」を選択するものとする。すると、登録済みのサーバリストｇ３２には、「ＣｏｍｐａｎｙＡ」に属するサーバとして「ＳｅｒｖｅｒＡ」および「ＳｅｒｖｅｒＢ」が表示される。そして、例えばユーザがサーバリストｇ３２から「ＳｅｒｖｅｒＡ」を選択し、ＯＫボタンｇ３３を押下すると、「ＳｅｒｖｅｒＡ」のテナント脱退処理が実行される。

［実施例の効果］
　上記実施例によれば、ネットワーク管理装置１は、テナントテーブル１１に同一サブネットに含まれるテナント毎に各テナントに属するサーバのｉｄを対応付けて記憶する。さらに、ネットワーク管理装置１は、サーバテーブル１３にサーバ毎にスイッチと接続するスイッチ側のポートを接続先ポートとして記憶する。そして、ネットワーク管理装置１は、テナントテーブル１１およびサーバテーブル１３に基づいて、スイッチについて、同一のテナントに属するサーバのみの通信を許可するように、接続先ポート間の通信を許可する。かかる構成によれば、ネットワーク管理装置１は、同一のテナントに属するサーバのみの通信を許可するようにスイッチの接続先ポート間を制御するので、同一サブネットに含まれるテナント毎に通信を分離できる。この結果、ネットワーク管理装置１は、テナント間での情報漏えいやウィルス感染等を防止でき、セキュリティを確保することができる。また、ネットワーク管理装置１は、同一サブネットに複数のテナントを属するように構成し、テナント間の通信を分離できるので、同一サブネットの限界数以上のテナント数をサポートできる。さらに、ネットワーク管理装置１は、ＬＡＮを構成するスイッチを単一ベンダのみならず、マルチベンダで構成することができる。

　また、実施例によれば、ネットワーク管理装置１は、サーバを参加させる場合に、テナントテーブル１１およびサーバテーブル１３に基づいて、参加させるサーバおよび当該サーバと同一のテナントに属するサーバ間の通信を制御する接続先ポートを探索する。さらに、ネットワーク管理装置１は、参加させるサーバおよび当該サーバと同一のテナントに属するサーバのみの通信を許可するように、探索されたそれぞれの接続先ポートに対し、ＩＰフィルタリングで両サーバの通信を許可する。かかる構成によれば、ネットワーク管理装置１は、参加させるサーバに対し、同一のテナントに属するサーバ以外の通信を遮断することとなり、同一のテナントおよびこれと異なるテナント間の情報漏洩やウィルス感染を防止できる。つまり、ネットワーク管理装置１は、セキュリティを確保することができる。

　また、実施例によれば、ネットワーク管理装置１は、ネットワークにスイッチを追加させる場合に、追加させるスイッチの全ポートを非活性に制御する。かかる構成によれば、ネットワーク管理装置１は、スイッチを追加させる場合に、スイッチの全ポートを一旦非活性に制御するので、このスイッチに接続するサーバをどの通信からも遮断できる。この結果、ネットワーク管理装置１は、このスイッチに接続するサーバをその後テナントに参加させる場合に、段階的にポートを活性化することが可能となる。

　また、実施例によれば、ネットワーク管理装置１は、さらに、テナントに属するサーバを当該テナントから脱退させる場合に、サーバテーブル１３に基づいて、サーバの接続先ポートを探索する。そして、ネットワーク管理装置１は、脱退させるサーバおよびネットワーク管理装置１以外のサーバの通信が非許可となるように、探索された接続先ポートを制御する。かかる構成によれば、ネットワーク管理装置１は、脱退させるサーバおよびテナントに属するサーバ間の通信を遮断できるので、脱退させるサーバおよびテナント間でのセキュリティを確保できる。

　なお、実施例では、スイッチ追加判定部２１２が、追加指示のあったスイッチについて、モデル名を取得できるか否かによって追加の可否を判定するようにした。しかしながら、スイッチ追加判定部２１２は、これに限定されず、追加指示のあったスイッチについて、例えばベンダ名のように、スイッチ特有な情報を取得できるか否かによって追加の可否を判定するようにしても良い。

　また、実施例では、サーバ追加判定部２１３が、追加指示のあったサーバについて、モデル名を取得できるか否かによって追加の可否を判定するようにした。しかしながら、サーバ追加判定部２１３は、これに限定されず、追加指示のあったサーバについて、例えばベンダ名のように、サーバ特有な情報を取得できるか否かによって追加の可否を判定するようにしても良い。

［プログラム等］
　なお、ネットワーク管理装置１は、既知のパーソナルコンピュータ、ワークステーション等の情報処理装置に、上記した記憶部１０および制御部２０等の各機能を搭載することによって実現することができる。

　また、図示したネットワーク管理装置１の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、ネットワーク管理装置１の分散・統合の具体的態様は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。例えば、スイッチ追加判定部２１２とサーバ追加判定部２１３とを１個の部として統合しても良い。一方、ポート制御部２２１は、スイッチを追加する場合のポート制御部と、サーバを追加する場合のポート制御部と、テナントにサーバを参加させる場合のポート制御部とに分散しても良い。また、テナントテーブル１１やスイッチテーブル１２等の記憶部１０をネットワーク管理装置１の外部装置としてネットワーク経由で接続するようにしても良い。

　また、上記実施例で説明した各種の処理は、予め用意されたプログラムをパーソナルコンピュータやワークステーション等のコンピュータで実行することによって実現することができる。そこで、以下では、図３１を用いて、図１に示したネットワーク管理装置１の制御部２０と同様の機能を有するネットワーク管理プログラムを実行するコンピュータの一例を説明する。

　図３１は、ネットワーク管理プログラムを実行するコンピュータを示す図である。図３１に示すように、コンピュータ１０００は、ＲＡＭ１０１０と、ネットワークインタフェース装置１０２０と、ＨＤＤ１０３０と、ＣＰＵ１０４０、媒体読取装置１０５０およびバス１０６０とを有する。ＲＡＭ１０１０、ネットワークインタフェース装置１０２０、ＨＤＤ１０３０、ＣＰＵ１０４０、媒体読取装置１０５０は、バス１０６０によって接続されている。

　そして、ＨＤＤ１０３０には、図１に示した制御部２０と同様の機能を有するネットワーク管理プログラム１０３１が記憶される。また、ＨＤＤ１０３０には、図１に示したテナントテーブル１１、スイッチテーブル１２、サーバテーブル１３およびポートテーブル１４に対応するネットワーク管理処理関連情報１０３２が記憶される。

　そして、ＣＰＵ１０４０がネットワーク管理プログラム１０３１をＨＤＤ１０３０から読み出してＲＡＭ１０１０に展開することにより、ネットワーク管理プログラム１０３１は、ネットワーク管理プロセス１０１１として機能するようになる。そして、ネットワーク管理プロセス１０１１は、ネットワーク管理処理関連情報１０３２から読み出した情報等を適宜ＲＡＭ１０１０上の自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種データ処理を実行する。

　媒体読取装置１０５０は、ネットワーク管理プログラム１０３１がＨＤＤ１０３０に記憶されていない場合であっても、ネットワーク管理プログラム１０３１を記憶する媒体等からネットワーク管理プログラム１０３１を読み取る。媒体読取装置１０５０には、例えばＣＤ－ＲＯＭや光ディスク装置がある。

　ネットワークインタフェース装置１０２０は、外部装置とネットワーク経由で接続する装置であり、有線に対応するものであっても、無線に対応するものであっても良い。

　なお、上記のネットワーク管理プログラム１０３１は、公衆回線、インターネット、ＬＡＮ、ＷＡＮ（Wide　Area　Network）等を介してコンピュータ１０００に接続される他のコンピュータ（またはサーバ）等に記憶されるようにしても良い。この場合には、コンピュータ１０００がネットワークインタフェース装置１０２０を介して他のコンピュータ等からネットワーク管理プログラム１０３１を読み出して実行する。

　１　ネットワーク管理装置
　２　クライアント端末
　３　サーバ用管理ＬＡＮ
　４　スイッチ用管理ＬＡＮ
　１０　記憶部
　１１　テナントテーブル
　１２　スイッチテーブル
　１３　サーバテーブル
　１４　ポートテーブル
　２０　制御部
　２１　テナント制御部
　２１１　テナント定義部
　２１２　スイッチ追加判定部
　２１３　サーバ追加判定部
　２１４　ポート探索部
　２１５　脱退サーバ取得部
　２２　スイッチ制御部
　２２１　ポート制御部
　２２２　ポート遮断部
　２３　情報取得部
　２３１　追加スイッチ情報更新部
　２３２　追加サーバ情報更新部

Claims

　同一サブネットに含まれる通信グループ毎に各通信グループに属する通信装置の情報を対応付けて記憶する第１の記憶部と、
　前記通信装置毎に中継装置と接続する中継装置側のポートを接続先ポートとして記憶する第２の記憶部と、
　前記第１の記憶部および前記第２の記憶部に基づいて、前記中継装置について、同一の通信グループに属する通信装置のみの通信を許可するように、接続先ポート間の通信を許可する制御部と
　を有することを特徴とするネットワーク管理装置。
　前記通信グループに前記通信装置を参加させる場合に、前記第１の記憶部および前記第２の記憶部に基づいて、前記通信装置および当該通信装置と同一の通信グループに属する通信装置間の通信を制御する接続先ポートを探索するポート探索部と、
　前記通信装置および当該通信装置と同一の通信グループに属する通信装置のみの通信を許可するように、前記ポート探索部によって探索されたそれぞれの接続先ポートを活性に制御する中継装置制御部と
　を有することを特徴とする請求項１に記載のネットワーク管理装置。
　前記中継装置制御部は、
　ネットワークに前記中継装置を追加させる場合に、追加させる中継装置の全ポートを非活性に制御することを特徴とする請求項２に記載のネットワーク管理装置。
　前記通信グループに属する通信装置を当該通信グループから脱退させる場合に、前記第２の記憶部に基づいて、前記通信装置の接続先ポートを探索する脱退ポート探索部と、
　前記中継装置制御部は、
　さらに、前記通信装置および自装置以外の通信装置の通信が非許可となるように、前記脱退ポート探索部によって探索された接続先ポートを制御することを特徴とする請求項２に記載のネットワーク管理装置。
　ネットワーク管理装置が同一サブネットに含まれる通信グループを含むネットワークを管理するネットワーク管理方法であって、
　前記ネットワークに前記中継装置を追加させる場合に、追加させる中継装置の全ポートを非活性に制御し、
　前記通信グループ毎に各通信グループに属する通信装置の情報を対応付けて記憶する第１の記憶部および前記通信装置毎に中継装置と接続する中継装置側のポートを接続先ポートとして記憶する第２の記憶部に基づいて、追加させる中継装置について、同一の通信グループに属する通信装置のみの通信を許可するように、接続先ポート間の通信を許可する
　処理を含むことを特徴とするネットワーク管理方法。
　コンピュータに、
　同一サブネットに含まれる通信グループを含むネットワークに前記中継装置を追加させる場合に、追加させる中継装置の全ポートを非活性に制御し、
　前記通信グループ毎に各通信グループに属する通信装置の情報を対応付けて記憶する第１の記憶部および前記通信装置毎に中継装置と接続する中継装置側のポートを接続先ポートとして記憶する第２の記憶部に基づいて、追加させる中継装置について、同一の通信グループに属する通信装置のみの通信を許可するように、接続先ポート間の通信を許可する
　処理を実行させるネットワーク管理プログラム。