WO2018179448A1 - Control program, control method and control device - Google Patents

Control program, control method and control device Download PDF

Info

Publication number
WO2018179448A1
WO2018179448A1 PCT/JP2017/013861 JP2017013861W WO2018179448A1 WO 2018179448 A1 WO2018179448 A1 WO 2018179448A1 JP 2017013861 W JP2017013861 W JP 2017013861W WO 2018179448 A1 WO2018179448 A1 WO 2018179448A1
Authority
WO
WIPO (PCT)
Prior art keywords
port
vlan
authentication
setting
setting input
Prior art date
Application number
PCT/JP2017/013861
Other languages
French (fr)
Japanese (ja)
Inventor
増田 和紀
Original Assignee
富士通株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 富士通株式会社 filed Critical 富士通株式会社
Priority to JP2019508502A priority Critical patent/JPWO2018179448A1/en
Priority to PCT/JP2017/013861 priority patent/WO2018179448A1/en
Publication of WO2018179448A1 publication Critical patent/WO2018179448A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Definitions

  • the collection unit 15a transmits commands such as show vlan and show interfaces trunk to the network device 30 on the network NW.
  • various VLAN settings for the port can be acquired as a return value of the command.
  • various VLAN setting values are acquired. That is, when the operation mode is “access”, the VLAN ID of the port-based VLAN set as the access port is acquired. When the operation mode is “trunk”, the VLAN ID of the tag VLAN set in the trunk port is acquired. When the operation mode is “dynamic”, the VLAN ID of the authentication VLAN assigned to the authentication port is acquired.
  • the display control unit 15b further draws a line drawing of a link connecting the symbols of the ports of the network device 30 in which the port ID1 and the port ID2 are registered in the link information 13a3 in the topology information 13a.
  • the topology map screen generated in this way is displayed on the client terminal 50.
  • the display control unit 15b performs a call operation of the VLAN setting screen with the network device 30 selected on the topology map screen, for example, a VLAN setting menu operation or a right click provided in a window different from the topology map screen.
  • a VLAN setting screen for setting the network device 30 that has been selected can be called.
  • the determination unit 15d refers to the port information 13a2 included in the topology information 13a stored in the storage unit 13 and performs the following processing for each port for which the setting input is received by the reception unit 15c. Execute. That is, the determination unit 15d refers to the operation mode of the port having the device ID of the network device 30 that has received the setting input and the port ID that has received the setting input, among the operation modes of the ports included in the port information 13a2. . Then, the determination unit 15d determines whether or not the operation mode of the port referred to from the port information 13a2 is “dynamic”.

Abstract

When having received a setting input for the port of a device that is included in a network to be monitored, a network management device (10) determines whether any authentication VLAN with an authentication function has been set for the port; the network management device blocks the setting input in the case of determining that an authentication VLAN has been set for the port; and the network management device permits the setting input in the case of determining that no authentication VLAN has been set for the port.

Description

制御プログラム、制御方法及び制御装置Control program, control method, and control apparatus
 本発明は、制御プログラム、制御方法及び制御装置に関する。 The present invention relates to a control program, a control method, and a control device.
 企業システム等でネットワークが構築される初期の段階では、一例として、SE(System Engineer)等の専門家がtelnetなどのプロトコルを介してネットワークデバイスに接続し、CLI(Command Line Interface)などを介して各種のネットワーク設定が行われる。 In the initial stage when a network is constructed in a corporate system, for example, experts such as SE (System Engineer) connect to a network device via a protocol such as telnet, and via CLI (Command Line Interface) etc. Various network settings are made.
 その後、企業システムにおける業務の追加、業務の変更、あるいは業務の重要性の変化などに起因してネットワークの運用も変化する。この運用の変化に合わせて、一例として、VLAN(Virtual Local Area Network)設定の登録、削除や変更が行われる場合がある。このような運用の変化は、日常的に発生しうるので、VLAN設定の登録、削除や変更が行われる頻度も高くなりやすい。 After that, network operations will also change due to business additions, business changes, or changes in the importance of business in the corporate system. In accordance with this change in operation, as an example, there is a case where registration, deletion, or change of a VLAN (Virtual Local Area Network) setting is performed. Since such a change in operation can occur on a daily basis, the frequency of registering, deleting, and changing VLAN settings tends to increase.
 このことから、SDN(Software-Defined Networking)などの技術を利用して、企業システムのネットワークに対するVLANの設定、例えばスタティックVLANとも呼ばれるポートVLANやタグVLANの設定をGUI(Graphical User Interface)環境で実施できる機能がネットワーク管理者等に提供されている。 Therefore, using technology such as SDN (Software-Defined Networking), VLAN settings for corporate system networks, such as port VLANs and tag VLANs, also called static VLANs, are implemented in a GUI (Graphical User Interface) environment. Possible functions are provided to network administrators and the like.
特開2007-208323号公報JP 2007-208323 A
 しかしながら、上記の技術では、認証VLANが設定されたポートにポートVLANやタグVLANなどの設定が上書きされる場合がある。このように認証VLANが設定されたポートにポートVLANやタグVLANなどの設定が投入された場合、GUI環境ではポートに認証VLANの設定入力を行うことはできない。それ故、SE等の専門家がCLI環境で認証VLANの設定入力を行わなければ、認証VLANの設定を復元できない事態に陥る。 However, with the above technology, settings such as port VLAN and tag VLAN may be overwritten on the port where the authentication VLAN is set. When settings such as a port VLAN and a tag VLAN are input to a port for which an authentication VLAN is set in this way, it is not possible to input an authentication VLAN setting to the port in the GUI environment. Therefore, if an expert such as SE does not input the authentication VLAN setting in the CLI environment, the authentication VLAN setting cannot be restored.
 1つの側面では、本発明は、認証VLANが設定されたポートに対する設定の上書きを抑制できる制御プログラム、制御方法及び制御装置を提供することを目的とする。 In one aspect, an object of the present invention is to provide a control program, a control method, and a control apparatus that can suppress overwriting of a setting for a port in which an authentication VLAN is set.
 一態様では、制御プログラムは、監視対象のネットワークに含まれる装置のポートに対して設定入力を受け付けた場合、前記ポートに対して認証機能付きの認証VLANが設定されているか否かを判定し、前記ポートに認証VLANが設定されていると判定した場合には、前記設定入力を規制し、前記ポートに認証VLANが設定されていないと判定した場合には、前記設定入力を許可する、処理をコンピュータに実行させる。 In one aspect, when receiving a setting input for a port of a device included in a network to be monitored, the control program determines whether an authentication VLAN with an authentication function is set for the port, When it is determined that an authentication VLAN is set for the port, the setting input is restricted, and when it is determined that an authentication VLAN is not set for the port, the setting input is permitted. Let the computer run.
 認証VLANが設定されたポートに対する設定の上書きを抑制できる。 ∙ Overwriting of settings for ports with an authentication VLAN can be suppressed.
図1は、実施例1に係るネットワーク管理システムの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a network management system according to the first embodiment. 図2は、実施例1に係るネットワーク管理装置の機能的構成を示すブロック図である。FIG. 2 is a block diagram illustrating a functional configuration of the network management apparatus according to the first embodiment. 図3は、認証処理の制御シーケンスの一例を示す図である。FIG. 3 is a diagram illustrating an example of a control sequence of authentication processing. 図4は、VLAN設定画面の一例を示す図である。FIG. 4 is a diagram illustrating an example of the VLAN setting screen. 図5は、VLAN設定画面の一例を示す図である。FIG. 5 is a diagram illustrating an example of the VLAN setting screen. 図6は、実施例1に係る制御処理の手順を示すフローチャート(1)である。FIG. 6 is a flowchart (1) illustrating the procedure of the control process according to the first embodiment. 図7は、実施例1に係る制御処理の手順を示すフローチャート(2)である。FIG. 7 is a flowchart (2) illustrating the procedure of the control process according to the first embodiment. 図8は、VLAN設定画面の一例を示す図である。FIG. 8 is a diagram illustrating an example of the VLAN setting screen. 図9は、実施例1及び実施例2に係る制御プログラムを実行するコンピュータのハードウェア構成例を示す図である。FIG. 9 is a diagram illustrating a hardware configuration example of a computer that executes a control program according to the first and second embodiments.
 以下に添付図面を参照して本願に係る制御プログラム、制御方法及び制御装置について説明する。なお、この実施例は開示の技術を限定するものではない。そして、各実施例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。 Hereinafter, a control program, a control method, and a control device according to the present application will be described with reference to the accompanying drawings. Note that this embodiment does not limit the disclosed technology. Each embodiment can be appropriately combined within a range in which processing contents are not contradictory.
[システム構成]
 図1は、実施例1に係るネットワーク管理システムの構成例を示す図である。図1に示すネットワーク管理システム1は、企業システム等の監視対象システム3に構築されるネットワークNWに関する設定をGUIを介して実現するネットワーク管理サービスを提供するものである。このネットワーク管理サービスの一環として、ネットワーク管理システム1は、CLIを介して認証機能付きの認証VLANが設定されたポートに対する設定の上書きを抑制する制御処理を実現する。 [System configuration]
FIG. 1 is a diagram illustrating a configuration example of a network management system according to the first embodiment. A network management system 1 shown in FIG. 1 provides a network management service that implements settings related to a network NW built in a monitoring target system 3 such as an enterprise system via a GUI. As part of this network management service, the network management system 1 implements a control process that suppresses overwriting of settings for a port in which an authentication VLAN with an authentication function is set via the CLI.
 図1に示すように、ネットワーク管理システム1には、ネットワーク管理装置10と、クライアント端末50と、監視対象システム3とが含まれる。この監視対象システム3には、認証サーバ20と、ネットワークデバイス30A~30Cと、ユーザ端末40A~40Cとが含まれる。以下では、ネットワークデバイス30A~30Cのことを総称する場合に「ネットワークデバイス30」と記載すると共に、ユーザ端末40A~40Cを総称する場合に「ユーザ端末40」と記載する場合がある。 As shown in FIG. 1, the network management system 1 includes a network management device 10, a client terminal 50, and a monitoring target system 3. The monitoring target system 3 includes an authentication server 20, network devices 30A to 30C, and user terminals 40A to 40C. Hereinafter, the network devices 30A to 30C may be collectively referred to as “network device 30”, and the user terminals 40A to 40C may be collectively referred to as “user terminal 40”.
 ここで、図1には、ネットワークNWのうちエッジスイッチに対応するネットワークデバイス30A~30Cが抜粋して示されているが、ネットワークNWの実体が図示のネットワーク構成に拘束されるわけではない。すなわち、ネットワークNWには、図示以外のネットワークデバイス、例えばルータ、コアスイッチやエッジルータなどが含まれることを妨げず、また、エッジスイッチの台数も任意の台数であってかまわない。また、図1には、ネットワークデバイス30には、説明の便宜上、1台のユーザ端末40が収容される例を示したが、これはあくまで一例であり、2台以上のユーザ端末40が収容されることとしてもよい。また、ネットワークデバイス30に収容される機器は、必ずしもユーザ端末40に限定されず、その他の機器、例えば周辺機器などが接続されることとしてもかまわない。 Here, in FIG. 1, the network devices 30A to 30C corresponding to the edge switches in the network NW are extracted and shown, but the substance of the network NW is not restricted to the network configuration shown in the figure. That is, the network NW does not prevent the network devices other than those shown in the figure, such as routers, core switches, and edge routers, from being included, and the number of edge switches may be an arbitrary number. FIG. 1 shows an example in which one user terminal 40 is accommodated in the network device 30 for convenience of explanation. However, this is merely an example, and two or more user terminals 40 are accommodated. It is also good to do. In addition, the device accommodated in the network device 30 is not necessarily limited to the user terminal 40, and other devices such as peripheral devices may be connected.
 ネットワーク管理装置10は、上記のネットワーク管理サービスを提供するコンピュータである。このネットワーク管理装置10は、監視装置の一例である。 The network management device 10 is a computer that provides the network management service. The network management device 10 is an example of a monitoring device.
 一実施形態として、ネットワーク管理装置10は、上記のネットワーク管理サービスを実現するパッケージソフトウェアやオンラインソフトウェアを所望のコンピュータにインストールさせることによってSDN(Software-Defined Networking)コントローラとして実装できる。このネットワーク管理装置10は、ネットワークNWの一例として、IP-VPN(Internet Protocol Virtual Private Network)や広域イーサネット(登録商標)などのキャリアイーサネット(登録商標)の監視、設定や制御などを含む管理を実行することができる。このようにネットワーク管理装置10により管理されるネットワークNWは、物理ネットワークに限定されず、SDNやNFV(Network Function Virtualization)などの技術により仮想化された仮想ネットワークであってもよい。 As one embodiment, the network management apparatus 10 can be implemented as an SDN (Software-Defined Networking) controller by installing package software and online software for realizing the network management service on a desired computer. As an example of the network NW, the network management device 10 executes management including monitoring, setting, and control of Carrier Ethernet (registered trademark) such as IP-VPN (Internet Protocol Virtual Private Network) and wide area Ethernet (registered trademark). can do. As described above, the network NW managed by the network management apparatus 10 is not limited to a physical network, and may be a virtual network virtualized by a technique such as SDN or NFV (Network Function Virtualization).
 認証サーバ20は、ユーザ端末40またはユーザ端末40のユーザを認証するサーバ装置である。この認証には、あくまで一例として、IEEE 802.1X認証やMAC(Media Access Control)ベース認証などを採用できる。例えば、IEEE 802.1X認証が用いられる場合、認証サーバ20には、ユーザ端末40との間でEAP(Extensible Authentication Protocol)メッセージを交換することができるRADIUS(Remote Authentication Dial-In User Service)サーバが採用される。 The authentication server 20 is a server device that authenticates the user terminal 40 or the user of the user terminal 40. For this authentication, as an example, IEEE 802.1X authentication, MAC (Media Access Control) -based authentication, or the like can be employed. For example, when IEEE 802.1X authentication is used, the authentication server 20 includes a RADIUS (Remote Authentication Dial-In User Service) server that can exchange an EAP (Extensible Authentication Protocol) message with the user terminal 40. Adopted.
 ネットワークデバイス30は、監視対象システム3のネットワークNWを形成する装置である。このネットワークデバイス30は、ネットワークNW上でユーザ端末40や周辺機器が接続されるエッジスイッチに対応する。例えば、ネットワークデバイス30には、スマートスイッチ等を採用することができる。 The network device 30 is a device that forms the network NW of the monitoring target system 3. The network device 30 corresponds to an edge switch to which the user terminal 40 and peripheral devices are connected on the network NW. For example, the network device 30 can employ a smart switch or the like.
 ユーザ端末40は、ユーザにより使用される端末装置である。ユーザ端末40の一例として、汎用のコンピュータ、例えばデスクトップ型またはノート型のパーソナルコンピュータなどが挙げられる。 The user terminal 40 is a terminal device used by a user. An example of the user terminal 40 is a general-purpose computer such as a desktop or notebook personal computer.
 クライアント端末50は、上記のネットワーク管理サービスの提供を受けるコンピュータである。このクライアント端末50は、一例として、ネットワークNWを管理するネットワーク管理者等の関係者により使用される。ここで、上記のネットワーク管理サービスの提供により、クライアント端末50は、必ずしもtelnetの動作環境を有さずともかまわない。例えば、クライアント端末50には、汎用のブラウザの動作環境を有する任意のコンピュータを採用することができる。 The client terminal 50 is a computer that receives the network management service. As an example, the client terminal 50 is used by a related person such as a network administrator who manages the network NW. Here, by providing the network management service, the client terminal 50 does not necessarily have to have a telnet operating environment. For example, the client terminal 50 may be any computer having a general-purpose browser operating environment.
 ここで、あくまで一例として、ネットワークデバイス30が有するポートのうち、ダイナミックVLANが有効化されたポート、例えば認証機能付きの認証VLANが設定されたポートに接続するユーザ端末40のユーザ認証がIEEE 802.1X認証により実現される場合を説明する。以下では、ネットワークデバイス30が有するポートのうち、認証VLANが設定されたポートのことを「認証ポート」と記載する場合がある。 Here, as an example only, user authentication of the user terminal 40 connected to a port in which the dynamic VLAN is enabled, for example, a port in which an authentication VLAN with an authentication function is set, among ports of the network device 30 is IEEE 802. A case where it is realized by 1X authentication will be described. Hereinafter, among the ports of the network device 30, a port for which an authentication VLAN is set may be referred to as an “authentication port”.
 このようにIEEE 802.1X認証の規定に準拠する場合、認証サーバ20、ネットワークデバイス30及びユーザ端末40が認証機構の構成要素となる。ユーザ端末40が「supplicant」に対応し、ネットワークデバイス30が「authenticator」に対応し、認証サーバが「Authentication Server」に対応する。これら認証サーバ20、ネットワークデバイス30及びユーザ端末40が連携することにより、ユーザ認証が実行される。 In this way, when conforming to the IEEE 802.1X authentication regulations, the authentication server 20, the network device 30, and the user terminal 40 are components of the authentication mechanism. The user terminal 40 corresponds to “supplicant”, the network device 30 corresponds to “authenticator”, and the authentication server corresponds to “Authentication Server”. These authentication server 20, network device 30, and user terminal 40 cooperate to execute user authentication.
 図3は、認証処理の制御シーケンスの一例を示す図である。図3に示すように、上記の認証ポートに接続されたユーザ端末40は、認証サーバ20との通信を開始するために、EAPOL(Extensible Authentication Protocol over LAN)の開始フレームをネットワークデバイス30へ送信する(ステップS11)。この開始フレームの送信に応答して、ネットワークデバイス30は、認証情報のリクエストをユーザ端末40へ通知する(ステップS12)。 FIG. 3 is a diagram showing an example of a control sequence for authentication processing. As shown in FIG. 3, the user terminal 40 connected to the authentication port transmits an EAPOL (Extensible Authentication Protocol over LAN) start frame to the network device 30 in order to start communication with the authentication server 20. (Step S11). In response to the transmission of the start frame, the network device 30 notifies the user terminal 40 of a request for authentication information (step S12).
 このステップS12の後、ユーザ端末40及び認証サーバ20の間でEAPメッセージの交換が開始される。すなわち、ユーザ端末40は、ユーザID(IDentification)および認証情報を含むEAPメッセージがカプセル化されたMACフレームをネットワークデバイス30へ送信する(ステップS13)。このEAPメッセージには、ユーザ認証に適用される認証方式に合わせて、任意の認証情報、例えばパスワードの他、認証局により発行される証明書などを含めることができる。続いて、ネットワークデバイス30は、ユーザ端末40から送信されたMACフレームを認証サーバ20へ転送する(ステップS14)。 After this step S12, the exchange of the EAP message is started between the user terminal 40 and the authentication server 20. That is, the user terminal 40 transmits a MAC frame in which an EAP message including a user ID (IDentification) and authentication information is encapsulated to the network device 30 (step S13). This EAP message can include arbitrary authentication information, for example, a certificate issued by a certificate authority, in addition to a password, in accordance with an authentication method applied to user authentication. Subsequently, the network device 30 transfers the MAC frame transmitted from the user terminal 40 to the authentication server 20 (step S14).
 その後、認証サーバ20は、EAPメッセージに含まれる認証情報を用いて、ユーザ認証を行う(ステップS15)。すなわち、認証サーバ20には、ユーザIDごとに照合用の認証情報およびVLAN IDが対応付けられたユーザファイルが設定されている。このユーザファイルを参照して、認証サーバ20は、ユーザ端末40から送信された認証情報と、ユーザ端末40から送信されたユーザIDに対応付けられた認証情報とが一致するか否かを照合することにより、ユーザ認証を行う。なお、ユーザ認証には、任意の認証方式、例えばEAP-TLS(Transport Layer Security)、LEAP、PEAP、EAP-MD5やEAP-RADIUSなどを適用することができる。 Thereafter, the authentication server 20 performs user authentication using the authentication information included in the EAP message (step S15). That is, the authentication server 20 is set with a user file in which authentication information for verification and a VLAN ID are associated with each user ID. With reference to this user file, the authentication server 20 checks whether the authentication information transmitted from the user terminal 40 matches the authentication information associated with the user ID transmitted from the user terminal 40. As a result, user authentication is performed. For the user authentication, any authentication method such as EAP-TLS (Transport Layer Security), LEAP, PEAP, EAP-MD5, EAP-RADIUS, or the like can be applied.
 このユーザ認証に成功した場合、ユーザファイルに記述されたVLAN IDのうちユーザIDに対応するVLAN IDが発行される。一方、ユーザ認証に失敗した場合、ゲストのVLAN IDが設定されていれば、ゲストのVLAN IDが発行される。なお、ゲストのVLAN IDが設定されていない場合、ユーザ認証の失敗時にVLAN IDは発行されない。 When this user authentication is successful, a VLAN ID corresponding to the user ID is issued out of the VLAN IDs described in the user file. On the other hand, if user authentication fails, the guest VLAN ID is issued if the guest VLAN ID is set. If the guest's VLAN ID is not set, no VLAN ID is issued when user authentication fails.
 その後、認証サーバ20は、VLAN IDと共に認証結果をネットワークデバイス30へ送信する(ステップS16)。続いて、ネットワークデバイス30は、認証サーバ20により発行されたVLAN IDを認証ポートに割り当てる(ステップS17)。その上で、ネットワークデバイス30は、認証結果をユーザ端末40へ送信し(ステップS18)、処理を終了する。 Thereafter, the authentication server 20 transmits the authentication result together with the VLAN ID to the network device 30 (step S16). Subsequently, the network device 30 assigns the VLAN ID issued by the authentication server 20 to the authentication port (step S17). Then, the network device 30 transmits the authentication result to the user terminal 40 (step S18), and ends the process.
 これら一連の処理により、認証ポートには、ユーザ認証に成功するユーザIDに合わせて異なるVLAN IDを動的に割り当てることができる。ここでは、一例として、ユーザ認証を例に挙げたが、必ずしも認証サーバ20が行う認証がユーザ認証でなくともかまわない。例えば、認証ポートに接続するデバイスが周辺機器である場合、認証情報の入力を省略できるMACベース認証を用いることもできる。すなわち、周辺機器が持つMACアドレスと、認証サーバ20に登録されたMACアドレスとが一致する場合、当該MACアドレスに紐付けられたVLAN IDを認証ポートに割り当てることもできる。 Through this series of processing, different VLAN IDs can be dynamically allocated to the authentication port according to the user ID that succeeds in user authentication. Here, user authentication is taken as an example as an example, but the authentication performed by the authentication server 20 may not necessarily be user authentication. For example, when the device connected to the authentication port is a peripheral device, MAC-based authentication that can omit the input of authentication information can be used. That is, when the MAC address of the peripheral device matches the MAC address registered in the authentication server 20, the VLAN ID associated with the MAC address can be assigned to the authentication port.
[ネットワーク管理装置10の構成]
 図2は、実施例1に係るネットワーク管理装置10の機能的構成を示すブロック図である。図2に示すように、ネットワーク管理装置10は、通信I/F(interface)部11と、記憶部13と、制御部15とを有する。なお、ネットワーク管理装置10は、図2に示した機能部以外にも既知のコンピュータが有する各種の機能部、例えば各種の入力デバイスや音声出力デバイスなどの機能部を有することとしてもかまわない。 [Configuration of Network Management Device 10]
FIG. 2 is a block diagram illustrating a functional configuration of the network management apparatus 10 according to the first embodiment. As illustrated in FIG. 2, the network management apparatus 10 includes a communication I / F (interface) unit 11, a storage unit 13, and a control unit 15. The network management apparatus 10 may include various functional units included in known computers, for example, functional units such as various input devices and audio output devices, in addition to the functional units illustrated in FIG.
 通信I/F部11は、他の装置、例えばネットワークデバイス30やクライアント端末50との間で通信制御を行うインタフェースである。 The communication I / F unit 11 is an interface that performs communication control with other devices such as the network device 30 and the client terminal 50.
 一実施形態として、通信I/F部11は、LAN(Local Area Network)カードなどのネットワークインタフェースカードを採用できる。例えば、通信I/F部11は、各種のコマンドをネットワークデバイス30へ送信したり、ネットワークデバイス30からネットワークデバイス30が記憶するConfig情報やMIB(Management Information Base)の全部またはその一部を受信したりする。また、通信I/F部11は、クライアント端末50からネットワークデバイス30の設定に対する編集操作などを受け付けたり、ネットワークNWの接続形状が模式化されたトポロジマップ画面などをクライアント端末50へ送信したりする。 As an embodiment, the communication I / F unit 11 can employ a network interface card such as a LAN (Local Area Network) card. For example, the communication I / F unit 11 transmits various commands to the network device 30, and receives all or part of the Config information and MIB (Management Information Base) stored in the network device 30 from the network device 30. Or Further, the communication I / F unit 11 accepts an editing operation or the like for the setting of the network device 30 from the client terminal 50, or transmits a topology map screen or the like in which the connection shape of the network NW is modeled to the client terminal 50. .
 記憶部13は、制御部15で実行されるOS(Operating System)を始め、上記のネットワーク管理サービスを実現するネットワーク管理プログラムなどの各種プログラムに用いられるデータを記憶する記憶デバイスである。 The storage unit 13 is a storage device that stores data used for various programs such as an OS (Operating System) executed by the control unit 15 and a network management program for realizing the network management service.
 一実施形態として、記憶部13は、ネットワーク管理装置10における補助記憶装置として実装することができる。例えば、記憶部13には、HDD(Hard Disk Drive)、光ディスクやSSD(Solid State Drive)などを採用できる。なお、記憶部13は、必ずしも補助記憶装置として実装されずともよく、ネットワーク管理装置10における主記憶装置として実装することもできる。この場合、記憶部13には、各種の半導体メモリ素子、例えばRAM(Random Access Memory)やフラッシュメモリを採用できる。 As an embodiment, the storage unit 13 can be implemented as an auxiliary storage device in the network management device 10. For example, the storage unit 13 may employ an HDD (Hard Disk Drive), an optical disk, an SSD (Solid State Drive), or the like. Note that the storage unit 13 does not necessarily have to be mounted as an auxiliary storage device, and can also be mounted as a main storage device in the network management device 10. In this case, various semiconductor memory elements such as RAM (Random Access Memory) and flash memory can be employed for the storage unit 13.
 記憶部13は、制御部15で実行されるプログラムに用いられるデータの一例として、トポロジ情報13aを記憶する。このトポロジ情報13a以外にも、他の電子データを併せて記憶することもできる。例えば、記憶部13には、ネットワーク管理者等のユーザの権限を管理するために、ユーザごとに設定操作や閲覧を許可するネットワークデバイス30またはネットワークデバイス30のグループが規定されたユーザ権限情報なども記憶することができる。 The storage unit 13 stores topology information 13a as an example of data used in a program executed by the control unit 15. In addition to the topology information 13a, other electronic data can be stored together. For example, the storage unit 13 also includes user authority information in which a network device 30 or a group of network devices 30 that allows a setting operation and browsing for each user is specified in order to manage authority of a user such as a network administrator. Can be remembered.
 トポロジ情報13aは、ネットワークNWの接続形状に関する情報である。このトポロジ情報13aには、デバイス情報13a1、ポート情報13a2およびリンク情報13a3などが含まれる。 The topology information 13a is information related to the connection shape of the network NW. The topology information 13a includes device information 13a1, port information 13a2, link information 13a3, and the like.
 このうち、デバイス情報13a1には、ネットワークデバイス30に関する情報が定義される。例えば、デバイス情報13a1には、デバイスID及びデバイス名などの項目が対応付けられたデータを採用できる。ここで言う「デバイスID」とは、ネットワークデバイス30を識別する識別情報を指す。また、「デバイス名」とは、ネットワークデバイス30に定義された名称を指す。なお、ここでは、ネットワークデバイス30を定義する項目の一例として、デバイス名を例示したが、この他にも製造番号や型番などの他の項目をデバイス情報13a1にさらに含めることもできる。 Of these, the device information 13a1 defines information related to the network device 30. For example, the device information 13a1 can employ data in which items such as a device ID and a device name are associated. The “device ID” here refers to identification information for identifying the network device 30. The “device name” refers to a name defined for the network device 30. Here, the device name is illustrated as an example of the item that defines the network device 30, but other items such as a manufacturing number and a model number may be further included in the device information 13a1.
 また、ポート情報13a2には、ネットワークデバイス30が有するポートに関する情報が定義される。例えば、ポート情報13a2には、ポートID、デバイスID、ポート名、動作モード、untag VLAN、tag VLAN及びダイナミックVLANなどの項目が対応付けられたデータを採用できる。ここで言う「ポートID」とは、ネットワークデバイス30が有するポートを識別する識別情報を指す。また、「デバイスID」は、デバイス情報13a1に含まれるデバイスIDと同様に、ネットワークデバイス30の識別情報を指すが、ここでは、ポートIDで識別されるポートを有するネットワークデバイス30のことを意味する。また、「ポート名」とは、ポートに定義された名称を指す。また、「動作モード」とは、各種のVLANの設定によりポートが動作するモードを指す。例えば、スタティックVLAN、いわゆるポートベースVLANが設定されたアクセスポートには、「アクセス」と記述される。また、タグVLANが設定されたトランクポートには、「トランク」と記述される。また、ダイナミックVLANが有効化された認証ポートには、「ダイナミック」と記述される。また、「untag VLAN」は、ポートに設定されたスタティックVLANのVLAN IDが記述されるフィールドである。また、「tag VLAN」は、ポートに設定されたタグVLANのVLAN IDが記述されるフィールドである。また、「ダイナミックVLAN ID」は、認証サーバ20により認証ポートに割り当てられたVLAN IDが記述されるフィールドである。 Also, the port information 13a2 defines information related to the ports that the network device 30 has. For example, data associated with items such as port ID, device ID, port name, operation mode, untag VLAN, tag VLAN, and dynamic VLAN can be adopted as the port information 13a2. Here, the “port ID” refers to identification information for identifying a port included in the network device 30. “Device ID” refers to the identification information of the network device 30 as in the case of the device ID included in the device information 13a1, and here it means the network device 30 having the port identified by the port ID. . “Port name” refers to a name defined for a port. The “operation mode” refers to a mode in which the port operates according to various VLAN settings. For example, an access port in which a static VLAN, so-called port-based VLAN is set, is described as “access”. A trunk port in which the tag VLAN is set is described as “trunk”. Further, “dynamic” is described in the authentication port in which the dynamic VLAN is enabled. “Untag VLAN” is a field in which the VLAN ID of the static VLAN set for the port is described. Further, “tag VLAN” is a field in which the VLAN ID of the tag VLAN set for the port is described. The “dynamic VLAN ID” is a field in which the VLAN ID assigned to the authentication port by the authentication server 20 is described.
 また、リンク情報13a3は、ネットワークデバイス30のポート間を接続するリンクに関する情報が定義される。例えば、リンク情報13a3には、リンクID、デバイスID1、ポートID1、デバイスID2及びポートID2などの項目が対応付けられたデータを採用できる。ここで言う「リンクID」とは、リンクを識別する識別情報を指す。また、「ポートID1」及び「ポートID2」は、ポート情報13a2に含まれるポートIDと同様に、ポートの識別情報を指すが、ここでは、リンクIDで識別されるリンクを接続する2つのポートの識別情報を意味する。さらに、「デバイスID1」及び「デバイスID2」は、デバイス情報13a1に含まれるデバイスIDと同様に、ネットワークデバイス30の識別情報を指すが、ここでは、ポートID1で識別されるポートを有するネットワークデバイス30の識別情報と、ポートID2で識別されるポートを有するネットワークデバイス30の識別情報のことを意味する。このように、リンク情報13a3には、デバイス情報13a1に含まれるポートの中でも、結線済みのポートまたはリンクアップ後のポートが登録される。 Also, the link information 13a3 defines information related to a link that connects ports of the network device 30. For example, data in which items such as a link ID, device ID1, port ID1, device ID2, and port ID2 are associated can be adopted as the link information 13a3. Here, “link ID” refers to identification information for identifying a link. “Port ID 1” and “Port ID 2” indicate port identification information as in the case of the port ID included in the port information 13a2, but here, the two ports connected to the link identified by the link ID. Means identification information. Furthermore, “device ID 1” and “device ID 2” indicate identification information of the network device 30 as in the case of the device ID included in the device information 13a1, but here, the network device 30 having a port identified by the port ID 1 And the identification information of the network device 30 having the port identified by the port ID 2. As described above, in the link information 13a3, among the ports included in the device information 13a1, a connected port or a port after link-up is registered.
 制御部15は、ネットワーク管理装置10の全体制御を行う処理部である。 The control unit 15 is a processing unit that performs overall control of the network management apparatus 10.
 一実施形態として、制御部15は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などのハードウェアプロセッサにより実装することができる。ここでは、プロセッサの一例として、CPUやMPUを例示したが、汎用型および特化型を問わず、任意のプロセッサにより実装することができる。この他、制御部15は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などのハードワイヤードロジックによって実現されることとしてもかまわない。 As one embodiment, the control unit 15 can be implemented by a hardware processor such as a CPU (Central Processing Unit) or an MPU (Micro Processing Unit). Here, the CPU and the MPU are illustrated as an example of the processor. However, the processor and the MPU can be mounted by any processor regardless of a general-purpose type or a specialized type. In addition, the control unit 15 may be realized by hard wired logic such as ASIC (Application Specific Integrated Circuit) or FPGA (Field Programmable Gate Array).
 制御部15は、図示しない主記憶装置として実装されるDRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)などのRAMのワークエリア上に、上記のネットワーク管理サービスの機能を実現する制御プログラムを展開することにより、下記の処理部を仮想的に実現する。 The control unit 15 is a control program that realizes the above network management service functions on a RAM work area such as DRAM (Dynamic Random Access Memory) or SRAM (Static Random Access Memory) that is implemented as a main storage device (not shown). By expanding the above, the following processing unit is virtually realized.
 制御部15は、図2に示すように、収集部15aと、表示制御部15bと、受付部15cと、判定部15dと、設定制御部15eとを有する。 As shown in FIG. 2, the control unit 15 includes a collection unit 15a, a display control unit 15b, a reception unit 15c, a determination unit 15d, and a setting control unit 15e.
 収集部15aは、ネットワークデバイス30から各種の情報を収集する処理部である。 The collection unit 15 a is a processing unit that collects various types of information from the network device 30.
 一実施形態として、収集部15aは、次に挙げるタイミングで、ネットワークNW上のネットワークデバイス30からトポロジやVLAN設定に関する情報を収集する。このような収集が実行されるタイミングの例として、前回に取得が実行されてからの時間が所定の周期、例えば5秒間を経過する場合の他、クライアント端末50を介して指示入力が行われた場合、図示しない内部メモリに保存されるシステム時刻が所定の定期時刻、例えば6時、12時、18時などの時刻に到達する場合などが挙げられる。 As one embodiment, the collection unit 15a collects information on the topology and VLAN settings from the network device 30 on the network NW at the following timing. As an example of the timing at which such collection is executed, an instruction is input via the client terminal 50 in addition to the case where the time since the previous acquisition is executed passes a predetermined period, for example, 5 seconds. In some cases, the system time stored in an internal memory (not shown) reaches a predetermined regular time, for example, 6 o'clock, 12 o'clock, 18 o'clock, or the like.
 例えば、トポロジに関する情報が収集される場合、収集部15aは、show running-configやshow interfaces status等のコマンドをネットワークNW上のネットワークデバイス30へ送信する。これにより、ポートのリンクアップ状態などをコマンドの戻り値として取得することができる。さらに、収集部15aは、show cdp neighbors等のコマンドをネットワークNW上のネットワークデバイス30へ送信する。これにより、コマンドの送信先のネットワークデバイス30と、コマンドの送信先のネットワークデバイス30が隣接するネットワークデバイス30との間でLLDP(Link Layer Discovery Protocol)を介してアドバタイズされる情報、例えば互いに接続するポートの情報などをコマンドの戻り値として取得することができる。これらのコマンドを用いて収集された情報にしたがって、収集部15aは、トポロジ情報13aを生成して記憶部13へ新規に登録したり、記憶部13に記憶されたトポロジ情報13aを更新したりする。 For example, when information about the topology is collected, the collection unit 15a transmits commands such as show running-config and show interfaces status to the network device 30 on the network NW. Thereby, the link-up state of the port can be acquired as the return value of the command. Furthermore, the collection unit 15a transmits a command such as show cdp neighbors to the network device 30 on the network NW. As a result, information advertised via the LLDP (Link Layer Discovery Protocol) between the command destination network device 30 and the network device 30 to which the command destination network device 30 is adjacent is connected, for example. Port information etc. can be acquired as command return values. According to the information collected using these commands, the collection unit 15a generates the topology information 13a and newly registers it in the storage unit 13 or updates the topology information 13a stored in the storage unit 13. .
 なお、ここでは、収集部15aにより取得された情報にしたがってトポロジ情報13aの登録及び更新が行われる場合を例示したが、これらの登録及び更新は、他の方法により実現することもできる。例えば、ネットワークデバイス30から取得されるMIB情報からトポロジ情報13aの登録および更新を行うことができる。また、ネットワーク管理者等にクライアント端末50を介して入力させることとしてもかまわない。この場合、一例として、デバイスアイコンの配置およびポート間を接続するリンクの描画などをクライアント端末50を介して受け付けることにより、トポロジマップ画面を描画させることができる。 In addition, although the case where the registration and update of the topology information 13a is performed according to the information acquired by the collection unit 15a is illustrated here, these registration and update can be realized by other methods. For example, the topology information 13a can be registered and updated from the MIB information acquired from the network device 30. Further, it may be input by the network administrator or the like via the client terminal 50. In this case, as an example, the topology map screen can be drawn by accepting via the client terminal 50 the arrangement of device icons and the drawing of links connecting ports.
 また、ポートに対する各種のVLANの設定が取得される場合、収集部15aは、show vlanやshow interfaces trunk等のコマンドをネットワークNW上のネットワークデバイス30へ送信する。これにより、ポートごとに当該ポートに対する各種のVLANの設定をコマンドの戻り値として取得することができる。例えば、ポートの動作モードの他、各種のVLANの設定値が取得される。すなわち、動作モードが「アクセス」である場合、アクセスポートに設定されたポートベースVLANのVLAN IDが取得される。また、動作モードが「トランク」である場合、トランクポートに設定されたタグVLANのVLAN IDが取得される。また、動作モードが「ダイナミック」である場合、認証ポートに割り当てられた認証VLANのVLAN IDが取得される。これらのコマンドを用いて収集された情報にしたがって、収集部15aは、トポロジ情報13aのポート情報13a2に含まれるVLAN設定に関するフィールド、すなわち動作モード、untag VLAN、tag VLANやダイナミックVLANなどに設定値を新規登録したり、更新したりする。 Also, when various VLAN settings for a port are acquired, the collection unit 15a transmits commands such as show vlan and show interfaces trunk to the network device 30 on the network NW. Thereby, for each port, various VLAN settings for the port can be acquired as a return value of the command. For example, in addition to the port operation mode, various VLAN setting values are acquired. That is, when the operation mode is “access”, the VLAN ID of the port-based VLAN set as the access port is acquired. When the operation mode is “trunk”, the VLAN ID of the tag VLAN set in the trunk port is acquired. When the operation mode is “dynamic”, the VLAN ID of the authentication VLAN assigned to the authentication port is acquired. According to the information collected using these commands, the collection unit 15a assigns setting values to the fields related to VLAN settings included in the port information 13a2 of the topology information 13a, that is, the operation mode, untag VLAN, tag VLAN, and dynamic VLAN. Register new or update.
 表示制御部15bは、クライアント端末50に対する表示制御を行う処理部である。 The display control unit 15b is a processing unit that performs display control on the client terminal 50.
 一側面として、表示制御部15bは、記憶部13に記憶されたトポロジ情報13aを参照して、ネットワークNWに含まれるデバイス間の接続形状が模式化されたトポロジマップ画面をクライアント端末50に表示させる。例えば、表示制御部15bは、上記のトポロジ情報13aのうちデバイス情報13a1に定義されたデバイスIDに対応するネットワークデバイス30が模式化されたデバイスアイコン間を配置する。さらに、表示制御部15bは、上記のトポロジ情報13aのうちポート情報13a2にしたがってデバイスアイコンに対応するネットワークデバイス30が有する各ポートが模式化されたシンボルをさらに展開して表示する。さらに、表示制御部15bは、上記のトポロジ情報13aのうちリンク情報13a3にポートID1及びポートID2の登録があるネットワークデバイス30のポートのシンボル同士を接続するリンクの線画をさらに描画する。このようにして生成されたトポロジマップ画面がクライアント端末50に表示される。さらに、表示制御部15bは、トポロジマップ画面上でネットワークデバイス30が選択された状態でVLAN設定画面の呼び出し操作、例えばトポロジマップ画面とは別のウィンドウに設けられたVLAN設定のメニュー操作や右クリックなどの操作が行われた場合、選択が行われたネットワークデバイス30を設定対象とするVLAN設定画面を呼び出すことができる。 As one aspect, the display control unit 15b refers to the topology information 13a stored in the storage unit 13 and causes the client terminal 50 to display a topology map screen in which connection shapes between devices included in the network NW are modeled. . For example, the display control unit 15b arranges between the device icons in which the network device 30 corresponding to the device ID defined in the device information 13a1 in the topology information 13a is schematically illustrated. Further, the display control unit 15b further expands and displays symbols in which each port of the network device 30 corresponding to the device icon is modeled according to the port information 13a2 in the topology information 13a. Further, the display control unit 15b further draws a line drawing of a link connecting the symbols of the ports of the network device 30 in which the port ID1 and the port ID2 are registered in the link information 13a3 in the topology information 13a. The topology map screen generated in this way is displayed on the client terminal 50. Further, the display control unit 15b performs a call operation of the VLAN setting screen with the network device 30 selected on the topology map screen, for example, a VLAN setting menu operation or a right click provided in a window different from the topology map screen. When an operation such as the above is performed, a VLAN setting screen for setting the network device 30 that has been selected can be called.
 受付部15cは、VLANに関する設定入力を受け付ける処理部である。 The accepting unit 15c is a processing unit that accepts a setting input related to the VLAN.
 一実施形態として、受付部15cは、クライアント端末50に表示されたVLAN設定画面上でVLANに関する設定入力を受け付ける。図4は、VLAN設定画面の一例を示す図である。図4には、Node-1に関するVLAN設定画面が示されている。図4に示すように、VLAN設定画面400には、設定対象とするネットワークデバイス30が有するポートに関する設定状況の一覧が含まれる。具体的には、VLAN設定画面400には、Ethernet(登録商標)1/0/1~Ethernet(登録商標)1/0/11の11個のインタフェースごとに、動作モード、ポートベースVLAN、タグVLANやダイナミックVLANの設定状況が表示されている。このうち、動作モードのカラムには、プルダウンメニューが設けられている。このプルダウンメニューへの操作を通じて、現状の動作モードから「アクセス」または「トランク」へ動作モードを編集できる。ここで、ダイナミックVLANの有効化、すなわち認証ポートへの変更は、telnet等のCLIを介するコマンド入力でしか設定できないので、GUIコンポーネントであるプルダウンメニューを介する設定入力はできない。このような動作モードの編集の他、untag VLAN、tag VLANおよびダイナミックVLANなどのカラムに設けられたテキストボックスを通じて、ポートベースVLANのVLAN IDの編集やタグVLANのVLAN IDの編集などを受け付けることができる。このようにVLAN設定画面400のGUIコンポーネントを介して編集を受け付けた上でOKボタン410または適用ボタン430が押下操作された場合、受付部15cは、GUIコンポーネントを介して編集を受け付けた内容を設定入力として受け付ける。なお、キャンセルボタン420が押下操作された場合、GUIコンポーネントを介して編集を受け付けた内容は設定入力されることなくキャンセルされる。 As one embodiment, the accepting unit 15c accepts a setting input related to the VLAN on the VLAN setting screen displayed on the client terminal 50. FIG. 4 is a diagram illustrating an example of the VLAN setting screen. FIG. 4 shows a VLAN setting screen for Node-1. As illustrated in FIG. 4, the VLAN setting screen 400 includes a list of setting states related to ports included in the network device 30 to be set. Specifically, the VLAN setting screen 400 includes an operation mode, a port-based VLAN, and a tag VLAN for each of 11 interfaces of Ethernet (registered trademark) 1/0/1 to Ethernet (registered trademark) 1/0/11. And the setting status of the dynamic VLAN are displayed. Among these, a pull-down menu is provided in the operation mode column. Through the operation on the pull-down menu, the operation mode can be edited from the current operation mode to “access” or “trunk”. Here, since the activation of the dynamic VLAN, that is, the change to the authentication port can be set only by command input via CLI such as telnet, setting input via a pull-down menu which is a GUI component cannot be performed. In addition to editing of such operation modes, it is possible to accept editing of port-based VLAN VLAN IDs and tag VLAN VLAN IDs through text boxes provided in columns such as untag VLAN, tag VLAN, and dynamic VLAN. it can. As described above, when the OK button 410 or the apply button 430 is pressed after the editing is received through the GUI component of the VLAN setting screen 400, the receiving unit 15c sets the content of the editing received through the GUI component. Accept as input. When the cancel button 420 is pressed, the content accepted for editing via the GUI component is canceled without setting input.
 判定部15dは、ネットワークNWに含まれるネットワークデバイス30のポートに対して設定入力を受け付けた場合、ポートに対して認証VLANが設定されているか否かを判定する処理部である。 The determination unit 15d is a processing unit that determines whether or not an authentication VLAN is set for a port when a setting input is received for the port of the network device 30 included in the network NW.
 一実施形態として、判定部15dは、記憶部13に記憶されたトポロジ情報13aに含まれるポート情報13a2を参照して、受付部15cにより設定入力が受け付けられたポートごとに、次のような処理を実行する。すなわち、判定部15dは、ポート情報13a2に含まれるポートの動作モードのうち、設定入力が受け付けられたネットワークデバイス30のデバイスIDおよび設定入力が受け付けられたポートIDを持つポートの動作モードを参照する。その上で、判定部15dは、ポート情報13a2から参照されたポートの動作モードが「ダイナミック」であるか否かを判定する。このとき、ポートの動作モードが「ダイナミック」である場合、設定入力が受け付けられたポートに認証VLANが設定されているので、当該ポートが「認証ポート」であると識別できる。一方、ポートの動作モードが「ダイナミック」でない場合、設定入力が受け付けられたポートに認証VLANが設定されていないので、当該ポートが「アクセスポート」または「トランクポート」であると識別できる。 As an embodiment, the determination unit 15d refers to the port information 13a2 included in the topology information 13a stored in the storage unit 13 and performs the following processing for each port for which the setting input is received by the reception unit 15c. Execute. That is, the determination unit 15d refers to the operation mode of the port having the device ID of the network device 30 that has received the setting input and the port ID that has received the setting input, among the operation modes of the ports included in the port information 13a2. . Then, the determination unit 15d determines whether or not the operation mode of the port referred to from the port information 13a2 is “dynamic”. At this time, when the operation mode of the port is “dynamic”, since the authentication VLAN is set to the port for which the setting input has been accepted, the port can be identified as the “authentication port”. On the other hand, when the operation mode of the port is not “dynamic”, since the authentication VLAN is not set to the port for which the setting input is accepted, the port can be identified as the “access port” or the “trunk port”.
 また、判定部15dは、設定入力が受け付けられたポートが「認証ポート」でない場合、認証VLANのVLANIDリストを取得する。例えば、判定部15dは、ポート情報13a2に含まれるダイナミックVLAN IDのカラムの値がNull値でないフィールドを検索する。その後、判定部15dは、検索結果として得られたダイナミックVLAN IDのフィールドからVLAN IDを抽出することにより、認証VLANのVLANIDリストを作成する。この認証VLANのVLANIDリストには、認証成功時に認証ポートに割り当てられるVLAN IDと、認証失敗時に認証ポートに割り当てられるゲストのVLAN IDとが含まれうる。その上で、判定部15dは、設定入力で指定されたVLAN IDの中に認証VLANのVLANIDリストに含まれるVLAN IDと一致するものが存在するか否かを判定する。 Further, the determination unit 15d acquires a VLAN ID list of the authentication VLAN when the port for which the setting input is accepted is not the “authentication port”. For example, the determination unit 15d searches for a field in which the dynamic VLAN ID column value included in the port information 13a2 is not a null value. Thereafter, the determination unit 15d creates a VLAN ID list of the authentication VLAN by extracting the VLAN ID from the dynamic VLAN ID field obtained as a search result. The VLAN ID list of the authentication VLAN can include a VLAN ID assigned to the authentication port when authentication is successful and a guest VLAN ID assigned to the authentication port when authentication fails. After that, the determination unit 15d determines whether there is a VLAN ID that matches the VLAN ID included in the VLAN ID list of the authentication VLAN among the VLAN IDs specified by the setting input.
 設定制御部15eは、ポートに対する設定の許可または規制を制御する処理部である。 The setting control unit 15e is a processing unit that controls permission or restriction of setting for a port.
 一側面として、設定制御部15eは、認証ポートに対する設定入力が受け付けられた場合、当該設定入力を規制する。つまり、GUIコンポーネントを介して編集を受け付けた内容は、ネットワークデバイス30に反映されることなく、取り消される。さらに、設定制御部15eは、認証ポートに対する設定入力を警告するアラートを出力する。例えば、図4の例で言えば、Ethernet(登録商標)1/0/10は、動作モードが「ダイナミック」であるので、認証ポートである。このEthernet(登録商標)1/0/10に設定入力が行われた場合、当該設定入力を規制すると共に、「認証ポートの設定は変更できません。」などの警告メッセージをポップアップ等で表示させることができる。また、アラートの出力形態は、表示に限定されず、警告メッセージを音声出力することもできる。これにより、認証VLANが設定されたポートにポートVLANやタグVLANなどの設定が上書きされるのを抑制できる。なお、ここでは、認証ポートに対する設定入力を受け付けてからキャンセルする場合を例示したが、後述の通り、認証ポートの動作モードやダイナミックVLAN IDなどの設定状況は表示するものの、認証ポートに対する操作を行うGUIコンポーネントをマスクすることにより設定入力を規制することとしてもかまわない。 As one aspect, when the setting input to the authentication port is accepted, the setting control unit 15e regulates the setting input. In other words, the contents accepted for editing via the GUI component are canceled without being reflected in the network device 30. Furthermore, the setting control unit 15e outputs an alert that warns of a setting input for the authentication port. For example, in the example of FIG. 4, Ethernet (registered trademark) 1/0/10 is an authentication port because the operation mode is “dynamic”. When a setting input is made to this Ethernet (registered trademark) 1/0/10, the setting input is restricted, and a warning message such as “The setting of the authentication port cannot be changed” is displayed in a pop-up or the like. it can. Also, the alert output form is not limited to display, and a warning message can also be output as voice. As a result, it is possible to suppress the setting of the port VLAN and the tag VLAN from being overwritten on the port in which the authentication VLAN is set. In this example, the setting input for the authentication port is accepted and then canceled. However, as will be described later, although the setting status of the authentication port operation mode and dynamic VLAN ID is displayed, the operation for the authentication port is performed. The setting input may be restricted by masking the GUI component.
 他の側面として、設定制御部15eは、設定入力が受け付けられたポートが「認証ポート」でなくとも、設定入力で指定されたVLAN IDの中に認証VLANのVLANIDリストに含まれるVLAN IDと一致するものが存在する場合、当該設定入力を規制する。さらに、設定制御部15eは、認証ポートに割り当てられたVLAN IDの使用を警告するアラートを出力する。図5は、VLAN設定画面の一例を示す図である。図5に示すように、VLAN設定画面500では、インタフェース名「Ethernet(登録商標)1/0/9」のアクセスポートに対するポートベースVLANのVLAN IDの設定入力「101」が認証サーバ20により認証ポートへ割り当てられたVLAN ID「101」と一致する受付状況が示されている。このような設定入力を許可すると、インタフェース名「Ethernet(登録商標)1/0/9」のアクセスポートに接続するユーザ端末40や周辺機器等がユーザ認証やMACベース認証を経由せずにVLAN ID「101」の仮想ネットワークに接続できてしまう。それ故、インタフェース名「Ethernet(登録商標)1/0/9」のアクセスポートに対するポートベースVLANのVLAN IDの設定入力「101」を規制する。さらに、「認証VLANで使用されているVLAN IDは、設定することができません。」などの警告メッセージをポップアップ等で表示させることができる。この場合も、アラートの出力形態は、表示に限定されず、警告メッセージを音声出力することもできる。加えて、インタフェース名「Ethernet(登録商標)1/0/9」のアクセスポートに対するポートベースVLANのVLAN IDの設定入力「101」が行われたテキストボックスを他のテキストボックスとは異なる表示形態で表示することもできる。 As another aspect, the setting control unit 15e matches the VLAN ID included in the VLAN ID list of the authentication VLAN in the VLAN ID specified by the setting input, even if the port from which the setting input is received is not “authentication port”. If there is something to do, the setting input is restricted. Further, the setting control unit 15e outputs an alert for warning the use of the VLAN ID assigned to the authentication port. FIG. 5 is a diagram illustrating an example of the VLAN setting screen. As shown in FIG. 5, in the VLAN setting screen 500, the port ID of the VLAN ID setting “101” for the access port with the interface name “Ethernet (registered trademark) 1/0/9” is input by the authentication server 20 to the authentication port. The reception status that matches the VLAN ID “101” assigned to is shown. When such setting input is permitted, the VLAN ID of the user terminal 40 or peripheral device connected to the access port with the interface name “Ethernet (registered trademark) 1/0/9” does not pass through user authentication or MAC-based authentication. It is possible to connect to the virtual network “101”. Therefore, the VLAN ID setting input “101” of the port-based VLAN for the access port of the interface name “Ethernet (registered trademark) 1/0/9” is restricted. Furthermore, a warning message such as “The VLAN ID used in the authentication VLAN cannot be set” can be displayed in a pop-up or the like. Also in this case, the alert output form is not limited to display, and a warning message can also be output as a voice. In addition, the text box in which the port base VLAN VLAN ID setting input “101” for the access port with the interface name “Ethernet (registered trademark) 1/0/9” is displayed in a display form different from other text boxes. It can also be displayed.
 更なる側面として、設定制御部15eは、設定入力が受け付けられたポートが「認証ポート」でなく、かつ設定入力で指定されたVLAN IDの中に認証VLANのVLANIDリストに含まれるVLAN IDと一致するものが存在しない場合、当該設定入力を許可する。すなわち、設定制御部15eは、VLAN設定画面で設定入力された内容、例えばポートベースVLANやタグVLANの設定内容に対応するコマンドを生成した上で、VLAN設定画面で指定されたポートを有するネットワークデバイス30に送信する。これにより、VLAN設定画面のGUIコンポーネントを介して受け付けた設定入力に対応するVLAN設定の編集が実現される。 As a further aspect, the setting control unit 15e matches the VLAN ID included in the VLAN ID list of the authentication VLAN in the VLAN ID specified by the setting input, and the port from which the setting input has been received is not an “authentication port”. If there is nothing to do, the setting input is permitted. That is, the setting control unit 15e generates a command corresponding to the contents set and input on the VLAN setting screen, for example, the setting contents of the port-based VLAN and the tag VLAN, and then has a network device having a port specified on the VLAN setting screen. 30. Thereby, the editing of the VLAN setting corresponding to the setting input received via the GUI component of the VLAN setting screen is realized.
[処理の流れ]
 図6及び図7は、実施例1に係る制御処理の手順を示すフローチャートである。この処理は、一例として、VLAN設定画面のGUIコンポーネントを介してVLANに関する設定入力が受け付けられた場合に起動される。ここでは、説明の便宜上、1つのポートに対する設定入力が受け付けられた場合を例示するが、複数のポートに対する設定入力が受け付けられた場合、図6及び図7に示す制御処理は、設定入力が受け付けられたポートごとに実行される。 [Process flow]
6 and 7 are flowcharts illustrating the procedure of the control process according to the first embodiment. As an example, this process is started when a setting input related to the VLAN is received via the GUI component of the VLAN setting screen. Here, for convenience of explanation, a case where a setting input for one port is accepted is illustrated. However, when setting inputs for a plurality of ports are accepted, the control processing shown in FIGS. 6 and 7 accepts a setting input. It is executed for each specified port.
 図6に示すように、受付部15cによりVLANに関する設定入力が受け付けられると(ステップS101)、判定部15dは、ポート情報13a2に含まれる動作モードのフィールドを参照することにより、ステップS101でVLANに関する設定入力が受け付けられたポートが「認証ポート」であるか否かを判定する(ステップS102)。 As shown in FIG. 6, when the setting input related to the VLAN is received by the receiving unit 15c (step S101), the determination unit 15d refers to the field of the operation mode included in the port information 13a2 to thereby determine the VLAN related in step S101. It is determined whether or not the port for which the setting input has been accepted is an “authentication port” (step S102).
 ここで、VLANに関する設定入力が受け付けられたポートが「認証ポート」である場合(ステップS102Yes)、設定制御部15eは、当該設定入力を規制すると共に、認証ポートに対する設定入力を警告するアラートを出力し(ステップS103及びステップS104)、処理を終了する。 Here, when the port for which the setting input related to the VLAN is received is the “authentication port” (Yes in step S102), the setting control unit 15e regulates the setting input and outputs an alert for warning the setting input for the authentication port. (Step S103 and Step S104), and the process is terminated.
 一方、設定入力が受け付けられたポートが「認証ポート」でない場合(ステップS102No)、判定部15dは、認証VLANのVLANIDリストを取得する(ステップS105)。その上で、判定部15dは、設定入力で指定されたVLAN IDの中に認証VLANのVLANIDリストに含まれるVLAN IDと一致するものが存在するか否かをさらに判定する(ステップS106)。 On the other hand, when the port for which the setting input has been accepted is not the “authentication port” (No in step S102), the determination unit 15d acquires the VLAN ID list of the authentication VLAN (step S105). Then, the determination unit 15d further determines whether there is a VLAN ID that matches the VLAN ID included in the VLAN ID list of the authentication VLAN among the VLAN IDs specified by the setting input (step S106).
 このとき、設定入力で指定されたVLAN IDの中に認証VLANのVLANIDリストに含まれるVLAN IDと一致するものが存在する場合(ステップS106Yes)、設定制御部15eは、次のような処理を実行する。すなわち、設定制御部15eは、ステップS101で受け付けられた設定入力を規制すると共に、認証ポートに割り当てられたVLAN IDの使用を警告するアラートを出力し(ステップS107及びステップS108)、処理を終了する。 At this time, if there is a VLAN ID that matches the VLAN ID included in the VLAN ID list of the authentication VLAN among the VLAN IDs specified by the setting input (Yes in step S106), the setting control unit 15e executes the following process To do. That is, the setting control unit 15e regulates the setting input accepted in step S101 and outputs an alert warning that the VLAN ID assigned to the authentication port is used (step S107 and step S108), and ends the process. .
 一方、設定入力で指定されたVLAN IDの中に認証VLANのVLANIDリストに含まれるVLAN IDと一致するものが存在しない場合(ステップS106No)、設定制御部15eは、当該設定入力を許可する(ステップS109)。すなわち、設定制御部15eは、VLAN設定画面で設定入力された内容、例えばポートベースVLANやタグVLANの設定内容に対応するコマンドを生成した上で、VLAN設定画面で指定されたポートを有するネットワークデバイス30に送信することにより、VLAN設定画面のGUIコンポーネントを介して受け付けた設定入力に対応するVLAN設定の編集が実現される。その後、処理を終了する。 On the other hand, if there is no VLAN ID that matches the VLAN ID included in the VLAN ID list of the authentication VLAN among the VLAN IDs specified by the setting input (No in step S106), the setting control unit 15e permits the setting input (step S106). S109). That is, the setting control unit 15e generates a command corresponding to the contents set and input on the VLAN setting screen, for example, the setting contents of the port-based VLAN and the tag VLAN, and then has a network device having a port specified on the VLAN setting screen. By transmitting to 30, the VLAN setting editing corresponding to the setting input received via the GUI component of the VLAN setting screen is realized. Thereafter, the process ends.
 上述してきたように、本実施例に係るネットワーク管理装置10は、VLANに関する設定入力を受け付けたポートが認証VLANの設定されたポートであるか否かにより、設定入力を規制するか否かを制御する。したがって、本実施例に係るネットワーク管理装置10によれば、認証VLANが設定されたポートに対する設定の上書きを抑制できる。 As described above, the network management apparatus 10 according to this embodiment controls whether or not to restrict setting input depending on whether or not the port that has received the setting input related to the VLAN is a port in which the authentication VLAN is set. To do. Therefore, according to the network management apparatus 10 according to the present embodiment, it is possible to suppress overwriting of the setting for the port for which the authentication VLAN is set.
 さて、これまで開示の装置に関する実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。 Now, although the embodiments related to the disclosed device have been described so far, the present invention may be implemented in various different forms other than the above-described embodiments. Therefore, another embodiment included in the present invention will be described below.
 例えば、上記の実施例1では、認証ポートに対する設定入力を受け付けてからキャンセルする場合を例示したが、必ずしも設定入力を受け付けずともかまわず、設定入力を受け付ける前から規制することとしてもかまわない。図8は、VLAN設定画面の一例を示す図である。図8に示すように、VLAN設定画面600のインタフェース名「Ethernet(登録商標)1/0/10」のポートでは、他のポートの表示と異なり、動作モード、ポートベースVLAN、タグVLANやダイナミックVLAN IDに対する編集を行うGUIコンポーネントがマスクされる。このため、インタフェース名「Ethernet(登録商標)1/0/1」~「Ethernet(登録商標)1/0/9」のポートとは異なり、GUIコンポーネントに対する操作そのものが規制される。それ故、認証ポートに対する設定入力の受付を規制することができるので、上記の実施例1と同様、認証VLANが設定されたポートに対する設定の上書きを抑制できる。 For example, in the above-described first embodiment, the case where the setting input for the authentication port is canceled and then canceled is illustrated. However, the setting input may not necessarily be received, and the setting may be restricted before the setting input is received. FIG. 8 is a diagram illustrating an example of the VLAN setting screen. As shown in FIG. 8, in the port of the interface name “Ethernet (registered trademark) 1/0/10” on the VLAN setting screen 600, unlike the display of other ports, the operation mode, port-based VLAN, tag VLAN and dynamic VLAN are displayed. The GUI component that edits the ID is masked. For this reason, unlike the ports of the interface names “Ethernet (registered trademark) 1/0/1” to “Ethernet (registered trademark) 1/0/9”, the operation for the GUI component itself is restricted. Therefore, since acceptance of setting input to the authentication port can be restricted, it is possible to suppress overwriting of setting for the port in which the authentication VLAN is set, as in the first embodiment.
[分散および統合]
 また、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、収集部15a、表示制御部15b、受付部15c、判定部15dまたは設定制御部15eをネットワーク管理装置10の外部装置としてネットワーク経由で接続するようにしてもよい。また、収集部15a、表示制御部15b、受付部15c、判定部15dまたは設定制御部15eを別の装置がそれぞれ有し、ネットワーク接続されて協働することで、上記のネットワーク管理装置10の機能を実現するようにしてもよい。また、記憶部13に記憶されるトポロジ情報13aの全部または一部を別の装置がそれぞれ有し、ネットワーク接続されて協働することで、上記のネットワーク管理装置10の機能を実現するようにしてもかまわない。 [Distribution and integration]
In addition, each component of each illustrated apparatus does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. For example, the collection unit 15a, the display control unit 15b, the reception unit 15c, the determination unit 15d, or the setting control unit 15e may be connected as an external device of the network management device 10 via a network. In addition, the functions of the network management apparatus 10 described above can be obtained by having the collection unit 15a, the display control unit 15b, the reception unit 15c, the determination unit 15d, or the setting control unit 15e, which are connected to the network and cooperate. May be realized. In addition, another device has all or part of the topology information 13a stored in the storage unit 13, and the functions of the network management device 10 described above are realized by cooperating with a network connection. It doesn't matter.
[制御プログラム]
 また、上記の実施例で説明した各種の処理は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。そこで、以下では、図9を用いて、上記の実施例と同様の機能を有する制御プログラムを実行するコンピュータの一例について説明する。 [Control program]
The various processes described in the above embodiments can be realized by executing a prepared program on a computer such as a personal computer or a workstation. In the following, an example of a computer that executes a control program having the same function as that of the above-described embodiment will be described with reference to FIG.
 図9は、実施例1及び実施例2に係る制御プログラムを実行するコンピュータのハードウェア構成例を示す図である。図9に示すように、コンピュータ100は、操作部110aと、スピーカ110bと、カメラ110cと、ディスプレイ120と、通信部130とを有する。さらに、このコンピュータ100は、CPU150と、ROM160と、HDD170と、RAM180とを有する。これら110~180の各部はバス140を介して接続される。 FIG. 9 is a diagram illustrating a hardware configuration example of a computer that executes a control program according to the first and second embodiments. As illustrated in FIG. 9, the computer 100 includes an operation unit 110 a, a speaker 110 b, a camera 110 c, a display 120, and a communication unit 130. Further, the computer 100 includes a CPU 150, a ROM 160, an HDD 170, and a RAM 180. These units 110 to 180 are connected via a bus 140.
 HDD170には、図9に示すように、上記の実施例1で示した収集部15a、表示制御部15b、受付部15c、判定部15d及び設定制御部15eと同様の機能を発揮する制御プログラム170aが記憶される。この制御プログラム170aは、図2に示した収集部15a、表示制御部15b、受付部15c、判定部15d及び設定制御部15eの各構成要素と同様、統合又は分離してもかまわない。すなわち、HDD170には、必ずしも上記の実施例1で示した全てのデータが格納されずともよく、処理に用いるデータがHDD170に格納されればよい。 As shown in FIG. 9, the HDD 170 has a control program 170a that exhibits the same functions as those of the collection unit 15a, the display control unit 15b, the reception unit 15c, the determination unit 15d, and the setting control unit 15e described in the first embodiment. Is memorized. This control program 170a may be integrated or separated as with the constituent elements of the collection unit 15a, display control unit 15b, reception unit 15c, determination unit 15d, and setting control unit 15e shown in FIG. That is, the HDD 170 does not necessarily have to store all the data shown in the first embodiment, and data used for processing may be stored in the HDD 170.
 このような環境の下、CPU150は、HDD170から制御プログラム170aを読み出した上でRAM180へ展開する。この結果、制御プログラム170aは、図9に示すように、制御プロセス180aとして機能する。この制御プロセス180aは、RAM180が有する記憶領域のうち制御プロセス180aに割り当てられた領域にHDD170から読み出した各種データを展開し、この展開した各種データを用いて各種の処理を実行する。例えば、制御プロセス180aが実行する処理の一例として、図6及び図7に示す処理などが含まれる。なお、CPU150では、必ずしも上記の実施例1で示した全ての処理部が動作せずともよく、実行対象とする処理に対応する処理部が仮想的に実現されればよい。 Under such an environment, the CPU 150 reads out the control program 170a from the HDD 170 and develops it in the RAM 180. As a result, the control program 170a functions as a control process 180a as shown in FIG. The control process 180a expands various data read from the HDD 170 in an area allocated to the control process 180a in the storage area of the RAM 180, and executes various processes using the expanded various data. For example, as an example of processing executed by the control process 180a, processing shown in FIGS. 6 and 7 and the like are included. Note that the CPU 150 does not necessarily operate all the processing units described in the first embodiment, and the processing unit corresponding to the process to be executed may be virtually realized.
 なお、上記の制御プログラム170aは、必ずしも最初からHDD170やROM160に記憶されておらずともかまわない。例えば、コンピュータ100に挿入されるフレキシブルディスク、いわゆるFD、CD-ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」に各プログラムを記憶させる。そして、コンピュータ100がこれらの可搬用の物理媒体から各プログラムを取得して実行するようにしてもよい。また、公衆回線、インターネット、LAN、WANなどを介してコンピュータ100に接続される他のコンピュータまたはサーバ装置などに各プログラムを記憶させておき、コンピュータ100がこれらから各プログラムを取得して実行するようにしてもよい。 Note that the control program 170a may not necessarily be stored in the HDD 170 or the ROM 160 from the beginning. For example, each program is stored in a “portable physical medium” such as a flexible disk inserted into the computer 100, so-called FD, CD-ROM, DVD disk, magneto-optical disk, or IC card. Then, the computer 100 may acquire and execute each program from these portable physical media. In addition, each program is stored in another computer or server device connected to the computer 100 via a public line, the Internet, a LAN, a WAN, etc., and the computer 100 acquires and executes each program from these. It may be.
   1  ネットワーク管理システム
   3  監視対象システム
  10  ネットワーク管理装置
  11  通信I/F部
  13  記憶部
  13a トポロジ情報
  15  制御部
  15a 収集部
  15b 表示制御部
  15c 受付部
  15d 判定部
  15e 設定制御部
  20  認証サーバ
  30A,30B,30C  ネットワークデバイス
  40A,40B,40C  ユーザ端末
  50  クライアント端末 DESCRIPTION OF SYMBOLS 1 Network management system 3 Monitored system 10 Network management apparatus 11 Communication I / F part 13 Memory | storage part 13a Topology information 15 Control part 15a Collection part 15b Display control part 15c Reception part 15d Determination part 15e Setting control part 20 Authentication server 30A, 30B , 30C Network device 40A, 40B, 40C User terminal 50 Client terminal

Claims (12)

  1.  監視対象のネットワークに含まれる装置のポートに対して設定入力を受け付けた場合、前記ポートに対して認証機能付きの認証VLANが設定されているか否かを判定し、
     前記ポートに認証VLANが設定されていると判定した場合には、前記設定入力を規制し、前記ポートに認証VLANが設定されていないと判定した場合には、前記設定入力を許可する、
     処理をコンピュータに実行させることを特徴とする制御プログラム。     When a setting input is received for a port of a device included in the network to be monitored, it is determined whether an authentication VLAN with an authentication function is set for the port;
    If it is determined that an authentication VLAN is set for the port, the setting input is restricted; if it is determined that an authentication VLAN is not set for the port, the setting input is permitted.
    A control program for causing a computer to execute processing.
  2.  前記ポートに認証VLANが設定されていないと判定した場合であって、受け付けた前記設定入力が他のポートに設定されている認証VLANの識別情報であると判定した場合には、受け付けた前記設定入力を規制する、
     処理をコンピュータに実行させることを特徴とする請求項1に記載の制御プログラム。     If it is determined that an authentication VLAN is not set for the port, and if it is determined that the received setting input is identification information of an authentication VLAN set for another port, the received setting Restrict input,
    The control program according to claim 1, which causes a computer to execute processing.
  3.  前記ポートに認証VLANが設定されていると判定した場合には、さらに前記設定入力を規制する旨のアラートを出力する、
     処理をコンピュータに実行させることを特徴とする請求項1に記載の制御プログラム。     If it is determined that an authentication VLAN is set for the port, an alert to further restrict the setting input is output.
    The control program according to claim 1, which causes a computer to execute processing.
  4.  前記ポートに認証VLANが設定されていないと判定した場合であって、受け付けた前記設定入力が他のポートに設定されている認証VLANの識別情報であると判定した場合には、さらに前記設定入力を規制する旨のアラートを出力する、
     処理をコンピュータに実行させることを特徴とする請求項2に記載の制御プログラム。     If it is determined that an authentication VLAN is not set for the port, and if it is determined that the received setting input is identification information of an authentication VLAN set for another port, the setting input is further performed. Output an alert to regulate
    The control program according to claim 2, which causes a computer to execute processing.
  5.  監視対象のネットワークに含まれる装置のポートに対して設定入力を受け付けた場合、前記ポートに対して認証機能付きの認証VLANが設定されているか否かを判定し、
     前記ポートに認証VLANが設定されていると判定した場合には、前記設定入力を規制し、前記ポートに認証VLANが設定されていないと判定した場合には、前記設定入力を許可する、
     処理をコンピュータが実行することを特徴とする制御方法。     When a setting input is received for a port of a device included in the network to be monitored, it is determined whether an authentication VLAN with an authentication function is set for the port;
    If it is determined that an authentication VLAN is set for the port, the setting input is restricted; if it is determined that an authentication VLAN is not set for the port, the setting input is permitted.
    A control method characterized in that a computer executes a process.
  6.  前記ポートに認証VLANが設定されていないと判定した場合であって、受け付けた前記設定入力が他のポートに設定されている認証VLANの識別情報であると判定した場合には、受け付けた前記設定入力を規制する、
     処理をコンピュータが実行することを特徴とする請求項5に記載の制御方法。     If it is determined that an authentication VLAN is not set for the port, and if it is determined that the received setting input is identification information of an authentication VLAN set for another port, the received setting Restrict input,
    The control method according to claim 5, wherein the processing is executed by a computer.
  7.  前記ポートに認証VLANが設定されていると判定した場合には、さらに前記設定入力を規制する旨のアラートを出力する、
     処理をコンピュータが実行することを特徴とする請求項5に記載の制御方法。     If it is determined that an authentication VLAN is set for the port, an alert to further restrict the setting input is output.
    The control method according to claim 5, wherein the processing is executed by a computer.
  8.  前記ポートに認証VLANが設定されていないと判定した場合であって、受け付けた前記設定入力が他のポートに設定されている認証VLANの識別情報であると判定した場合には、さらに前記設定入力を規制する旨のアラートを出力する、
     処理をコンピュータが実行することを特徴とする請求項6に記載の制御方法。     If it is determined that an authentication VLAN is not set for the port, and if it is determined that the received setting input is identification information of an authentication VLAN set for another port, the setting input is further performed. Output an alert to regulate
    The control method according to claim 6, wherein the process is executed by a computer.
  9.  監視対象のネットワークに含まれる装置のポートに対して設定入力を受け付けた場合、前記ポートに対して認証機能付きの認証VLANが設定されているか否かを判定する判定部と、
     前記ポートに認証VLANが設定されていると判定した場合には、前記設定入力を規制し、前記ポートに認証VLANが設定されていないと判定した場合には、前記設定入力を許可する設定制御部と、
     を有することを特徴とする制御装置。     A determination unit that determines whether an authentication VLAN with an authentication function is set for the port when a setting input is received for a port of a device included in the network to be monitored;
    A setting control unit that restricts the setting input when it is determined that an authentication VLAN is set for the port, and permits the setting input when it is determined that the authentication VLAN is not set for the port. When,
    A control device comprising:
  10.  前記設定制御部は、前記ポートに認証VLANが設定されていないと判定した場合であって、受け付けた前記設定入力が他のポートに設定されている認証VLANの識別情報であると判定した場合には、受け付けた前記設定入力を規制する、
     ことを特徴とする請求項9に記載の制御装置。     The setting control unit determines that the authentication VLAN is not set for the port, and determines that the received setting input is identification information of the authentication VLAN set for another port. Regulates the accepted setting input,
    The control device according to claim 9.
  11.  前記設定制御部は、前記ポートに認証VLANが設定されていると判定した場合には、さらに前記設定入力を規制する旨のアラートを出力する、
     ことを特徴とする請求項9に記載の制御装置。     When the setting control unit determines that an authentication VLAN is set for the port, the setting control unit further outputs an alert to restrict the setting input.
    The control device according to claim 9.
  12.  前記設定制御部は、前記ポートに認証VLANが設定されていないと判定した場合であって、受け付けた前記設定入力が他のポートに設定されている認証VLANの識別情報であると判定した場合には、さらに前記設定入力を規制する旨のアラートを出力する、
     ことを特徴とする請求項10に記載の制御装置。     The setting control unit determines that the authentication VLAN is not set for the port, and determines that the received setting input is identification information of the authentication VLAN set for another port. Further outputs an alert to restrict the setting input,
    The control device according to claim 10.
PCT/JP2017/013861 2017-03-31 2017-03-31 Control program, control method and control device WO2018179448A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019508502A JPWO2018179448A1 (en) 2017-03-31 2017-03-31 Control program, control method, and control apparatus
PCT/JP2017/013861 WO2018179448A1 (en) 2017-03-31 2017-03-31 Control program, control method and control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/013861 WO2018179448A1 (en) 2017-03-31 2017-03-31 Control program, control method and control device

Publications (1)

Publication Number Publication Date
WO2018179448A1 true WO2018179448A1 (en) 2018-10-04

Family

ID=63677642

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/013861 WO2018179448A1 (en) 2017-03-31 2017-03-31 Control program, control method and control device

Country Status (2)

Country Link
JP (1) JPWO2018179448A1 (en)
WO (1) WO2018179448A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009206863A (en) * 2008-02-28 2009-09-10 Fujitsu Telecom Networks Ltd Layer 2 switch system and layer 2 switch
US9025533B1 (en) * 2014-09-29 2015-05-05 RG Nets, Inc. System and method for dynamic VLAN assignment
JP2015142167A (en) * 2014-01-27 2015-08-03 富士通株式会社 Management device, management program and setting information management method of network device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009206863A (en) * 2008-02-28 2009-09-10 Fujitsu Telecom Networks Ltd Layer 2 switch system and layer 2 switch
JP2015142167A (en) * 2014-01-27 2015-08-03 富士通株式会社 Management device, management program and setting information management method of network device
US9025533B1 (en) * 2014-09-29 2015-05-05 RG Nets, Inc. System and method for dynamic VLAN assignment

Also Published As

Publication number Publication date
JPWO2018179448A1 (en) 2019-11-07

Similar Documents

Publication Publication Date Title
US11290346B2 (en) Providing mobile device management functionalities
US10860309B2 (en) Cloud service automation of common image management
US11799727B2 (en) Extending center cluster membership to additional compute resources
EP3603031B1 (en) Device credentials management
CN106599694B (en) Security protection manages method, computer system and computer readable memory medium
US9172615B2 (en) System and methods for enabling customer network control in third-party computing environments
US11032247B2 (en) Enterprise mobility management and network micro-segmentation
US11399283B2 (en) Tenant service set identifiers (SSIDs)
JP6707153B2 (en) Secure configuration of cloud computing nodes
KR20110040691A (en) Apparatus and methods for managing network resources
JP2008060692A (en) Management computer, computer system, and switch
US10846463B2 (en) Document object model (DOM) element location platform
US20210067505A1 (en) Sensor certificate lifecycle manager for access authentication for network management systems
US11907253B2 (en) Secure cluster pairing for business continuity and disaster recovery
WO2018179448A1 (en) Control program, control method and control device
US11489727B2 (en) Automatically replicating configuration parameters from securely identified connected systems
US11171786B1 (en) Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities
Behringer et al. Autonomic networking-from theory to practice
US20240007364A1 (en) Method, Apparatus, and System for Deploying Service
Frank et al. Securing smart homes with openflow
US20230299979A1 (en) Device certificate management for zero touch deployment in an enterprise network
WO2018173228A1 (en) Control program, control method, and control device
Han et al. An SDN-based wireless authentication and access control security solution
JP6638819B2 (en) Network management program, network management method, and network management device
Kamath et al. SAFE: Software-defined authentication framework

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17903877

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2019508502

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17903877

Country of ref document: EP

Kind code of ref document: A1