ネットワーク通信機器の端末接続設定方法、運用監視装置及びネットワーク通信機器
【課題】ネットワーク通信機器の端末接続設定方法、運用監視装置及びネットワーク通信機器に関し、運用者及び利用者に設定操作の負担を強いることなく、通信機器の指定の通信ポートに特定の端末の接続を許可する設定を行う。
【解決手段】運用監視装置100で、ネットワークに接続する端末230に、該端末を収容する通信機器220の通信ポート及び該端末のIPアドレスを割当てる。通信機器210で該IPアドレスを送信元とするパケットを検出したとき、該検出を運用監視装置100へ通知する。運用監視装置100は、該通知を契機に通信機器210,220に、該端末のMACアドレス及び通信ポート識別情報を通知させる。該通知された通信ポートの識別情報と、先に割り当てた通信ポートの識別情報とを照合し、両者が一致した場合に該端末のMACアドレスを該通信ポートにMACアドレスフィルタリング情報として設定させる。
【解決手段】運用監視装置100で、ネットワークに接続する端末230に、該端末を収容する通信機器220の通信ポート及び該端末のIPアドレスを割当てる。通信機器210で該IPアドレスを送信元とするパケットを検出したとき、該検出を運用監視装置100へ通知する。運用監視装置100は、該通知を契機に通信機器210,220に、該端末のMACアドレス及び通信ポート識別情報を通知させる。該通知された通信ポートの識別情報と、先に割り当てた通信ポートの識別情報とを照合し、両者が一致した場合に該端末のMACアドレスを該通信ポートにMACアドレスフィルタリング情報として設定させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク通信機器の指定の通信ポートで特定の端末のネットワーク接続を許可するネットワーク通信機器の端末接続設定方法、運用監視装置及びネットワーク通信機器に関する。
【背景技術】
【0002】
ネットワークのルータやスイッチ等の通信ポートを備えたネットワーク通信機器(以下、単に「通信機器」と称する。)に、特定の利用者の端末(パソコン、プリンタ、サーバ等)を接続し、該特定の利用者の端末から、IPネットワークの専用サイト等の利用者センタにアクセス可能とし、該利用者が通信サービスを利用することができるネットワークシステムが知られている。
【0003】
このようなネットワークシステムにおいて、通信サービスの提供を受けることができる端末を特定の端末に制限し、該特定の端末に対してネットワークへの接続を許可し、無許可の端末の接続を防止する技術の一つとして、MACアドレスフィルタリングの技術が知られている。
【0004】
MACアドレスフィルタリングを実施する際には、接続を許可する端末と接続を拒否する端末とを区別するためのフィルタリング情報として、接続を許可する端末のMACアドレスを、該端末が接続される通信機器に設定する操作が行われる。
【0005】
従来のMACアドレスフィルタリング情報の設定の操作例として、ネットワークシステムの運用者が予め通信サービスの利用者から、該通信サービスの利用に使用する端末の設置場所の通信機器(端末を接続する通信機器)の通信ポートの識別情報及び該端末のMACアドレスを入手する。そして、該運用者が該通信ポートに該端末のMACアドレスを設定する。
【0006】
通信ポートにMACアドレスフィルタリング情報(接続を許可する端末のMACアドレス)が設定された通信機器は、該通信ポートに設定されたMACアドレスの端末が、該通信ポートに接続された場合にのみ、該端末に対して通信サービスの利用を可能にする。
【0007】
また、MACアドレスフィルタリング情報の他の設定操作例として、通信サービスの利用者が、自身の端末を通信機器の通信ポートに接続した際に、該利用者がネットワークの運用者に、使用する端末のMACアドレス及び通信機器の情報を連絡する。そして、該運用者は、該連絡を受けた通信機器の通信ポートに、該端末のMACアドレスを設定する。該通信機器は、該MACアドレスが設定された通信ポートで、該MACアドレスの端末に対してのみ通信サービスの利用を可能にする。
【0008】
通信機器におけるMACアドレスフィルタリングの動作は、該通信機器の通信ポートに接続されている端末から受信したパケットの送信元アドレスのMACアドレスと、該通信ポートに設定されているMACアドレスフィルタリング情報(MACアドレス)とを照合する。
【0009】
そして、予め設定されたMACアドレスフィルタリング情報(MACアドレス)に一致する送信元MACアドレスを有するパケットのみを受け付け、不一致のMACアドレスを有するパケットを廃棄する。こうすることにより、指定の通信ポートで特定の端末のみがネットワークを利用することを可能にしている。
【0010】
また、ユーザがネットワークに新たに端末装置を接続するときに行う面倒な操作を軽減し、かつ、ネットワークのセキュリティを向上させる他の技術として、以下のようなネットワークシステムが知られている(特許文献1参照)。該ネットワークシステムでは、端末識別子をISPのデータベースに登録しておき、端末の電源を投入すると、該端末からルータに端末識別子を送信し、ルータから該端末識別子及びルータ識別子をISPに送信する。
【0011】
ISPは、それらの識別子がデータベースに登録されていれば、許可メッセージを送信し、新たな端末に対するIPアドレスを付与し、新たな端末をホームネットワークに参加させ、それらの識別子が登録されていない場合、拒否メッセージをルータに与える。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】特開2002−281061号公報
【発明の概要】
【発明が解決しようとする課題】
【0013】
ネットワークシステムの規模が増大するにつれて、通信機器及び利用者の端末の台数が増加する。そのため、大規模なネットワークシステムでMACアドレスフィルタリングを実施する際に、利用者の端末の増設や移動等によりネットワーク構成の変更が発生する毎に、端末が接続される各通信機器の通信ポートに、MACアドレスフィルタリング情報(MACアドレス)を設定する面倒な操作が増大し、スムーズな運用が困難となる。
【0014】
本発明は、通信機器の指定の通信ポートで特定の端末の接続を許可するための、通信機器の端末接続設定において、ネットワークシステムの運用者及び利用者に設定操作の負担を強いることなく、通信機器の指定されたポートに特定の端末を接続する設定を可能にすることを目的とする。
【課題を解決するための手段】
【0015】
上述の課題を解決する一形態としての通信機器の端末接続設定方法は、運用監視装置で、ネットワークに接続する端末に対して、該端末を収容する通信機器の通信ポート及び該端末のIPアドレスを割当て、該通信ポートの識別情報及び該端末のIPアドレスを対応付けて通信ポート情報テーブルに格納するステップと、前記端末のIPアドレスを送信元とするパケットの受信を前記通信機器で検出したとき、該検出を前記運用監視装置へ通知させるIPアドレス検出動作を起動するステップと、前記運用監視装置で、前記IPアドレスの検出通知を契機として、前記通信機器に対し該端末のIPアドレスに対応したMACアドレスを通知させ、かつ、該MACアドレスに対応した通信ポートの識別情報を通知させるステップと、前記通信機器から通知された前記通信ポートの識別情報と、前記通信ポート情報テーブルに格納した通信ポートの識別情報とを比較照合し、両者が一致した場合に、前記通信機器から通知された該端末のMACアドレスを、前記通信機器の通信ポートに、MACアドレスフィルタリング情報として設定するステップと、を含むものである。
【発明の効果】
【0016】
通信機器の指定の通信ポートで特定の端末の接続を許可するための、通信機器の端末接続設定において、運用監視装置が自動的に、接続を許可する端末が指定の通信ポートに接続されたことをチェックし、通信機器からMACアドレス情報を取得し、該通信ポートにMACアドレスフィルタリング情報を設定するため、ネットワークシステムの運用者及び利用者に設定操作の負担を強いることなく、通信機器の指定されたポートに特定の端末を接続する設定することが可能となる。
【図面の簡単な説明】
【0017】
【図1】ネットワークシステムの全体構成例を示す図である。
【図2】各装置の機能ブロック構成例を示す図である。
【図3】各装置のハードウェア構成例を示す図である。
【図4】通信ポート情報テーブル、IPアドレス検出情報テーブル及びMACアドレスフィルタリングテーブルの構成例を示す図である。
【図5】運用監視装置の動作フロー例を示す図である。
【図6】通信機器(ルータ、スイッチ)の動作フロー例を示す図である。
【図7】新規端末接続時の動作シーケンス例を示す図である。
【図8】新規端末接続時の動作シーケンス例を示す図である。
【発明を実施するための形態】
【0018】
開示の通信機器の端末接続設定の一実施形態は、利用者の端末のIPアドレスを送信元IPアドレスとするパケットを通信機器で受信したことを契機に、該IPアドレスを基にMACアドレス及び通信ポートの情報を運用監視装置で取得する。そして、取得した通信ポートの情報と該端末のIPアドレスとの組み合わせが、最初に該運用監視装置で指定して割り当てた通信ポートの情報とIPアドレスとの組み合わせと合致しているかどうかを照合する。
【0019】
照合の結果、指定した通信ポートの情報と受信した送信元IPアドレスとの組み合わせが合致している場合、指定の通信ポートに利用可能の端末が接続されていると判断し、該通信ポートに該端末のMACアドレスを設定し、通信機器にMACアドレスフィルタリングを実施させ、指定の通信ポートでの該端末のネットワーク接続を許可する。
【実施例】
【0020】
図1に開示の通信機器の端末接続設定を実施するネットワークシステムの全体構成例を示す。該構成例は、ネットワーク網を介して接続される複数の拠点事業所のうち、第1の事業所#1及び第2の事業所#2にそれぞれ設置された通信機器(ルータ210、スイッチ220)及び利用者の端末230を含むネットワークシステムの構成例を示している。
【0021】
通信機器(ルータ210、スイッチ220)は、LAN(Local Area Network)を構成し、また、ネットワーク網300を介して運用監視装置100によって監視制御される。該運用監視装置100による通信機器(ルータ210、スイッチ220)の監視制御の通信経路の一例を図1の破線の矢印線で示している。
【0022】
各利用者の端末230は、スイッチ220に収容され、LAN接続によりルータ210を介し、ネットワーク網300を経て利用者センタ400に接続され、通信サービスの提供を受ける。該利用者センタ400と利用者の端末230との通信経路の一例を図1の実線の矢印線で示している。
【0023】
図2に運用監視装置100、ルータ210及びスイッチ220の各装置の機能ブロック構成例を示す。図2において、(a)は運用監視装置100、(b)はルータ210、(c)はスイッチ220の機能ブロック構成例をそれぞれ示している。
【0024】
運用監視装置100は、図2の(a)に示すように、運用監視制御部101、ネットワーク管理データベース102、利用者申請インタフェース部103、運用者インタフェース部104、WANインタフェース部105を備える。
【0025】
利用者申請インタフェース部103は、ネットワークに接続する利用者の端末230の申請情報を受付ける処理機能を有する。運用監視装置100は、利用者の端末230の接続の申請情報を基に、該端末230に割り当てるIPアドレスの払い出し、該端末230を接続する通信ポートの割り当て等のネットワーク設計処理を実行する。運用監視装置100は、該設計処理により決定した設定情報を、ネットワーク管理データベース102に格納する。該設定情報は、申請した利用者に通知される。
【0026】
運用監視制御部101は、ルータ210及びスイッチ220の稼動状態を監視し、障害が発生した場合は、運用者インタフェース部104を経由して、障害情報を運用者に通知する。また、運用者インタフェース部104を経由して、運用者からの指示情報の入力及び運用者への状態情報の出力を行う機能を備えている。
【0027】
ルータ210は、図2の(b)に示すように、制御部211、IPアドレス検出部212、ルーティング部213、WANインタフェース部214、LANインタフェース部215を備える。
【0028】
制御部211は、ルータ210内の各機能部の制御を行うとともに、運用監視装置100と監視・制御の通信を行う運用エージェントの機能を有する。IPアドレス検出部212は、パケットに格納された送信元IPアドレスを基に、該パケットの送信元の端末230のIPアドレスを検出する機能を有する。
【0029】
ルーティング部213は、端末230と利用者センタ400との通信、制御部211(運用エージェント)と運用監視装置100との通信で送受されるパケットの経路を選択するルーティング機能を有する。WANインタフェース部214は、ネットワーク網300との接続のインタフェース機能を有する。LANインタフェース部215は、LAN内の通信機器及び端末230との接続のインタフェース機能を有する。
【0030】
スイッチ220は、図2の(c)に示すように、制御部221、スイッチ部222、MACアドレスフィルタリング部223、MACアドレスフィルタリングテーブル224、LANインタフェース部225を備える。スイッチ制御部221は、スイッチ220内の各機能部の制御を行うとともに、運用監視装置100と監視・制御の通信を行う運用エージェントの機能を有する。
【0031】
スイッチ部222は、端末230と利用者センタ400との通信、制御部221(運用エージェント)と運用監視装置100との通信で送受されるパケットの経路を切り替えるスイッチングの機能を有する。LANインタフェース部225は、LAN内の通信機器及び端末230との接続のインタフェース機能を有する。
【0032】
MACアドレスフィルタリング部223は、MACアドレスフィルタリングテーブル224に設定されたMACアドレスフィルタリング情報に基づいて、MACアドレスが設定された通信ポートについて、該MACアドレスの端末が接続された場合にのみネットワークへの接続を可能にする。
【0033】
図3に運用監視装置100、ルータ210及びスイッチ220の各装置のハードウェア構成例を示す。図3において、(a)は運用監視装置100、(b)はルータ210、(c)はスイッチ220のハードウェア構成例をそれぞれ示している。
【0034】
運用監視装置100は、図3の(a)に示すように、サーバ501、ストレージ502、利用者インタフェース回路503、運用者インタフェース回路504、WANインタフェース回路505、ルータ/スイッチ回路506を備えている。
【0035】
サーバ501は、運用監視の処理機能を備え、ストレージ502は、ネットワーク管理データベース102等の情報を保持する機能を備える。利用者インタフェース回路503は、利用者申請インタフェース部103の機能回路を備え、運用者インタフェース回路504は、運用者インタフェース部104の機能回路を備え、WANインタフェース回路505は、WANインタフェース部105の機能回路を備える。
【0036】
ルータ/スイッチ回路506は、サーバ501、利用者インタフェース回路503、運用者インタフェース回路504及びWANインタフェース回路505の間の接続の経路を選択し切り替える回路機能を備える。
【0037】
ルータ210は、図3の(b)に示すように、プログラムメモリ611、CPU612、メモリ613、WANインタフェース回路614、LANインタフェース回路615、ルーティング回路616、ルーティングメモリ617を備える。
【0038】
プログラムメモリ611及びCPU612は、IPアドレス検出部212及びルーティング回路616の制御機能を備える。WANインタフェース回路614は、WANインタフェース部214の機能回路を備え、LANインタフェース回路615は、LANインタフェース部215の機能回路を備える。ルーティング回路616は、ルーティングメモリ617に格納されたルーティング情報に従って、パケットの送出経路を選択するルーティング部213の処理機能を備える。
【0039】
スイッチ220は、図3の(c)に示すように、プログラムメモリ621、CPU622、メモリ623、スイッチ回路624、スイッチメモリ625、LANインタフェース回路626を備える。
【0040】
プログラムメモリ621及びCPU622は、スイッチ部222及びMACアドレスフィルタリング部223の処理機能を備える。スイッチ回路624は、スイッチメモリ625に格納された情報を基にパケットの経路を切り替える機能、及びMACアドレスフィルタリングを行う機能を備える。LANインタフェース回路626は、LANインタフェース部225の機能回路を備える。
【0041】
次に開示の通信機器の端末接続設定の動作について説明する。運用監視装置100は、通信ポート情報テーブル(図4の(a)参照)を、ネットワーク管理データベース102に備える。該通信ポート情報テーブルは、各通信機器(ルータ210、スイッチ220)の管理番号(CONID)、通信機器の通信ポートの識別情報(PORT)並びに利用者の端末230のMACアドレス(MAC)及びIPアドレス(IP)を関連付けて格納する。
【0042】
運用監視装置100は、端末利用の申請情報を基にネットワーク設計処理を行い、該ネットワーク設計処理により決定した、端末230を接続する通信機器の管理番号及び通信ポートの識別情報並びに該端末230に払い出す端末IPアドレスを、該通信ポート情報テーブルに格納する。
【0043】
図4の(a)に示す通信ポート情報テーブルの格納例では、新規に接続する第1の端末に対して192.168.0.4のIPアドレスを割り当て、該第1の端末を接続する通信ポートにスイッチSW101の通信ポートP02を割り当て、新規に接続する第2の端末に対して192.168.0.5のIPアドレスを割り当て、該第1の端末を接続する通信ポートにスイッチSW101の通信ポートP03を割り当てた例を示している。
【0044】
運用監視装置100は、端末230に払い出した端末IPアドレスを、ルータ210のIPアドレス検出情報テーブル(図4の(b)参照)に設定し、ルータ210に対して、端末230から送信されるパケットの送信元端末IPアドレスを検出させるIPアドレス検出動作を起動する。
【0045】
ルータ210は、該IPアドレス検出動作の起動中は、該設定された端末IPアドレスを含むパケットを受信すると、その旨を運用監視装置100に通知し、MACアドレスフィルタリング情報の設定が完了するまで、該IPアドレスを送信元とするパケットを廃棄する。
【0046】
運用監視装置100は、ルータ210で検出され、ルータ210から通知された端末IPアドレスが、運用監視装置100の通信ポート情報テーブルに存在するか否かを判定し、存在する場合、該端末IPアドレスに対応したMACアドレスをルータ210から取得する。また、運用監視装置100は、該MACアドレスに対応した通信ポートの識別情報をスイッチ220から取得する。
【0047】
運用監視装置100は、ネットワーク設計処理時に払い出した端末IPアドレスに対応した通信ポートの識別情報と、スイッチ220から取得した通信ポートの識別情報とを照合する。照合の結果、両者が一致する場合、スイッチ220のMACアドレスフィルタリング情報テーブル(図4の(c)及び(d)参照)に、該通信ポートに対応付けてMACアドレスフィルタリング情報を設定する。そして、該スイッチ220に対してMACアドレスフィルタリングの動作開始を運用監視装置100から起動する。
【0048】
MACアドレスフィルタリング情報の設定の完了後、運用監視装置100は、当該端末230の送信元IPアドレスを検出するIPアドレス検出モードを解除させ、該送信元端末IPアドレスを含むパケットの廃棄を停止させ、当該端末230と利用センタ400との通信パケットを疎通させる。照合の結果、不一致の場合は、ルータ210において、当該端末IPアドレスを送信元IPアドレスとするパケットの受信を検出する動作を継続させる。
【0049】
次に通信機器の端末接続設定の動作フロー例について図5及び図6を参照して説明する。図5は運用監視装置100の動作フロー例を示し、図6は通信機器(ルータ210、スイッチ220)の動作フロー例を示している。
【0050】
まず、運用監視装置100で、利用者から利用者インタフェース部経由で端末の利用申込みの受付けが実施される(5−1)。運用監視装置100は、受付けた端末についてネットワーク設計を行い、該端末へのIPアドレスの払い出し及び通信ポートの割付けを実施する(5−2)。
【0051】
運用監視装置は、ネットワーク設計により決定した端末IPアドレス及び通信ポートの識別情報を、ネットワーク管理データベースの通信ポート情報テーブルに格納する(5−3)。運用監視装置100は、割り当てた通信ポートに対して、運用者からの通信ポートオープンの要求が運用者インタフェース部経由で受信されたか否かを監視する(5−4)。
【0052】
運用監視装置100は、該通信ポートオープンの要求有りを検出すると、ルータ210に対して、MACアドレスフィルタリング情報の設定対象となる端末のIPアドレスを通知し、該端末IPアドレスを送信元IPアドレスとするパケットを検出したとき、その旨を通知させる端末IPアドレス検出動作の起動を指示する(5−5)。
【0053】
ルータ210は、運用監視装置100から端末IPアドレス検出指示を受付けると(6−1)、指示された端末のIPアドレスをIPアドレス検出情報テーブルに格納し、端末からパケットの送信元のIPアドレス検出の動作を起動する(6−2)。
【0054】
端末230がスイッチ220の通信ポートに接続されると、該端末230からARP(Address Resolution Protocol)パケットが送出され、該パケットの送信元のIPアドレス及びMACアドレスを基に、ルータ210では、該端末230のIPアドレスとMACアドレスとの対応を学習する。また、スイッチ220では、通信ポートに接続された端末230のMACアドレスと該通信ポートの識別情報との対応を学習する。
【0055】
ルータ210は、端末230から受信したパケットの送信元IPアドレスと、IPアドレス検出情報テーブルに格納された端末IPアドレスとを照合する(6−3)。照合の結果、両者が一致するか否か判定し(6−4)、一致する場合、検出対象の端末のIPアドレスを含むパケットの受信を検出したことを、運用監視装置100へ通知する(6−5)。
【0056】
また、その場合、該端末のIPアドレス含む受信パケットを廃棄する(6−6)。照合の結果、不一致の場合、ルータ210は、受信したパケットをそのまま透過させる。ルータ210は、以上の照合処理を、当該端末のIPアドレス検出停止の指示を運用監視装置100から受けるまで実施する。
【0057】
運用監視装置100は、通信機器(ルータ210)から、検出対象の端末のIPアドレスを含むパケットを検出したことの通知を受信したか否かを判定する(5−6)。該通知が受信された場合、当該端末のIPアドレスに対応したMACアドレス及び通信ポート情報を入手するために、通信機器(ルータ及びスイッチ)に対してMACアドレス情報取得及び通信ポート情報取得を指示する(5−7)。
【0058】
ルータ210は、運用監視装置100からMACアドレス取得の指示を受付けると、学習機能により学習した、端末のIPアドレスに対応したMACアドレスを、運用監視装置100へ返信する。また、スイッチ220は、運用監視装置100から通信ポート情報取得の指示を受付けると(6−7)、学習機能により学習した、端末のMACアドレスに対応した通信ポートの識別情報を、運用監視装置100へ返信する(6−8)。
【0059】
運用監視装置100は、通信機器(スイッチ220)から通知された通知ポートの識別情報と、通信ポート情報テーブルに格納されている割付けた通信ポートの識別情報とを照合することにより、正規の通信ポートに正規の端末230が接続されたか否かを判定する(5−8)。
【0060】
割付けた通信ポートに、払い出したIPアドレスの正規の端末が接続されていると判定された場合、運用監視装置100は、通信機器(ルータ210)から通知されたMACアドレスを、通信ポート情報テーブルに格納する(5−9)。そして、運用監視装置100は、通信機器(スイッチ220)に対して、当該通信ポートにMACアドレスフィルタリング情報を設定するよう指示する(5−10)。
【0061】
通信機器(スイッチ220)は、運用監視装置100からMACアドレスフィルタリング情報の設定指示を受付け(6−9)、当該端末のMACアドレスをMACアドレスフィルタリング情報テーブルに格納する(6−10)。そして、通信機器(スイッチ220)は、該MACアドレスフィルタリング情報テーブルの設定情報に従って、当該通信ポートに該端末のMACアドレスを設定し、MACアドレスフィルタリングを実行する(6−11)。
【0062】
運用監視装置100は、通信機器(スイッチ220)からMACアドレスフィルタリングの実行の通知を受けると、通信機器(ルータ210)に対して、IPアドレス検出停止を指示する(5−11)。通信機器(ルータ210)は、運用監視装置100からのIPアドレス検出停止の指示を待ち受け(6−12)、該指示を受けると、IPアドレス検出情報テーブルから該端末IPアドレスを削除し、端末のIPアドレス検出動作を停止し、受信パケットを宛先へ転送する(6−13)。
【0063】
通信機器(ルータ210)は、該端末IPアドレスを削除したことを運用監視装置100に通知する。運用監視装置100は、通信機器(ルータ210)から該端末IPアドレスの削除の通知を受けると、当該端末について通信機器の端末接続設定が完了したことを、運用者インタフェース部104を経由して運用者へ通知する(5−13)。
【0064】
また、前述の動作フロー(5−8)において、割付けた通信ポートに当該IPアドレスの端末が接続されていないと判定した場合、正規の端末以外の端末が当該通信ポートに接続されたことを、運用者インタフェース部104を経由して運用者へ通知する(5−12)。
【0065】
次に、新規利用者端末接続時の動作シーケンス例について図7及び図8を参照して説明する。まず、新規にネットワークに接続する利用者端末を収容する通信ポートをオープンする指示を、運用者が運用者インタフェース経由で実施する。該指示により、運用監視装置100は、IPアドレス検出起動の指示をルータ210の制御部211へ送出する(7−1)。
【0066】
ルータ210の制御部211は該指示を受け、IPアドレス検出部212へIPアドレス検出起動指示を送出する(7−2)。IPアドレス検出部212は、IPアドレス検出情報テーブルに当該端末のIPアドレスを設定し、IPアドレス検出動作を開始する(7−3)。また、ルータ210の制御部211へIPアドレス検出起動応答を返答する(7−4)。
【0067】
ルータ210の制御部211は、IPアドレス検出起動応答を受けると、運用監視装置100へIPアドレス検出起動応答を返答する(7−5)。運用監視装置100は、IPアドレス検出起動応答を受けると、通信ポートオープン指示をスイッチ220の制御部221へ送出する(7−6)。
【0068】
スイッチ220の制御部221は、該指示を受けて通信ポートオープン指示をLANインタフェース部225へ送出する(7−7)。LANインタフェース部225は、通信インタフェースを起動し(7−8)、通信ポートオープン応答をスイッチ220の制御部221へ返答する(7−9)。
【0069】
スイッチ220の制御部221は、通信ポートオープン応答を受けると、運用監視装置100へ通信ポートオープン応答を返答する(7−10)。運用監視装置100は、通信ポートオープン応答を受けると、IPアドレス検知通知の待ち状態となる。
【0070】
その後、230端末が当該通信ポートに接続され、物理接続が完了すると、端末230は利用者センタへの通信を開始する際に、ルータ210のルーティング部213のIPアドレスに対応したMACアドレスを入手するために、ARP要求パケットを送出する(7−11)。
【0071】
ARP要求パケットを受けたルーティング部213は、端末230のMACアドレスをキャッシュに保存すると共に(7−12)、ルーティン部213のMACアドレスをARP応答として返答する(7−13)。ARP応答を受けた端末230は、ルーティング部213のMACアドレスを使用して、利用者センタ向けのIPパケット通信を行うため、ルーティング部213へIPパケットを送出する(7−14)。
【0072】
ルーティング部213へ該IPパケットが到達する前に、IPアドレス検出部212で、該IPパケットに含まれる送信元IPアドレスをチェックする。IPアドレス検出部212は、該送信元IPアドレスがIPアドレス検出情報テーブルに設定された端末IPアドレスと一致することを検出すると、IPアドレス検知通知をルータ210の制御部211へ通知し、そのパケットを廃棄する(7−15)。該制御部211は、該IPアドレス検知通知を受けると、運用監視装置100へIPアドレス検出通知を送出する(7−16)。
【0073】
運用監視装置100は、該IPアドレス検出通知を受けると、該端末IPアドレスに対応したMACアドレスを入手するために、MACアドレス情報取得指示をルータ210の制御部211へ送出する(7−17)。ルータ210の制御部211は、該MACアドレス情報取得指示に従い、ルーティング部213へMACアドレス情報取得指示を送出する(7−18)。
【0074】
ルーティング部213は、該MACアドレス情報取得指示に従い、該端末のIPアドレスに対応したMACアドレスを取得し(7−19)、該MACアドレス情報取得応答を、制御部211へ返答する(7−20)。ルータ210の制御部211は、受け取ったMACアドレスをMACアドレス情報取得応答として運用監視装置100へ返答する(7−21)。
【0075】
該MACアドレスを受けた運用監視装置100は、該MACアドレスに対応した通信ポート情報を入手するために、通信ポート情報取得指示をスイッチ220の制御部221へ送出する(7−22)。該制御部221は、該通信ポート情報取得指示に従い、LANインタフェース部225へ通信ポート情報取得指示を送出する(7−23)。
【0076】
LANインタフェース部225は、該通信ポート情報取得指示に従い、MACアドレスに対応した通信ポート情報を取得し(7−24)、該通信ポート情報をスイッチ220の制御部221へ返答する(7−25)。スイッチ220の制御部221は、該通信ポート情報取得応答に従い、該MACアドレスに対応した通信ポート情報を通信ポート取得応答として、運用監視装置100へ返答する(7−26)。
【0077】
運用監視装置100は、通信ポート情報テーブルを参照し、当該端末に割当てた通信ポートの識別情報と、取得した通信ポートの識別情報とを照合し(7−27)、一致した場合、MACアドレスフィルタリング起動指示をスイッチ220の制御部221へ送出する(7−28)。スイッチ220の制御部221は、該MACアドレスフィルタリング起動指示に従い、LANインタフェース部225へMACアドレスフィルタリング起動指示を送出する(7−29)。
【0078】
LANインタフェース部225は、該MACアドレスフィルタリング起動指示に従い、通信ポートに対応したMACアドレスフィルタリング情報テーブルに該MACアドレスを格納し、MACアドレスフィルタリング処理を起動する(7−30)。LANインタフェース部225は、MACアドレスフィルタリング処理の起動応答を、スイッチ220の制御部221へ返答する(7−31)。
【0079】
スイッチ220の制御部221は、該MACアドレスフィルタリング処理の起動応答を受けると、運用監視装置100へMACアドレスフィルタリング起動応答を返答する(7−32)。運用監視装置100は、該MACアドレスフィルタリング起動応答を受けると、ルータ210の制御部211へIPアドレス検出停止を指示する(7−33)。
【0080】
ルータ210の制御部211は、該指示に従い、IPアドレス検出部212へIPアドレス検出の停止を指示する(7−34)。IPアドレス検出部212は、IPアドレス検出情報テーブルのIPアドレスを削除し、処理を停止して応答をルータ210の制御部211へ返答する(7−35,7−36)。ルータ210の制御部211は、該応答を受けると、運用監視装置100へIPアドレス検出停止応答を返答する(7−37)。
【符号の説明】
【0081】
100 運用監視装置
210 通信機器(ルータ)
220 通信機器(スイッチ)
230 端末
300 ネットワーク網
400 利用者センタ
【技術分野】
【0001】
本発明は、ネットワーク通信機器の指定の通信ポートで特定の端末のネットワーク接続を許可するネットワーク通信機器の端末接続設定方法、運用監視装置及びネットワーク通信機器に関する。
【背景技術】
【0002】
ネットワークのルータやスイッチ等の通信ポートを備えたネットワーク通信機器(以下、単に「通信機器」と称する。)に、特定の利用者の端末(パソコン、プリンタ、サーバ等)を接続し、該特定の利用者の端末から、IPネットワークの専用サイト等の利用者センタにアクセス可能とし、該利用者が通信サービスを利用することができるネットワークシステムが知られている。
【0003】
このようなネットワークシステムにおいて、通信サービスの提供を受けることができる端末を特定の端末に制限し、該特定の端末に対してネットワークへの接続を許可し、無許可の端末の接続を防止する技術の一つとして、MACアドレスフィルタリングの技術が知られている。
【0004】
MACアドレスフィルタリングを実施する際には、接続を許可する端末と接続を拒否する端末とを区別するためのフィルタリング情報として、接続を許可する端末のMACアドレスを、該端末が接続される通信機器に設定する操作が行われる。
【0005】
従来のMACアドレスフィルタリング情報の設定の操作例として、ネットワークシステムの運用者が予め通信サービスの利用者から、該通信サービスの利用に使用する端末の設置場所の通信機器(端末を接続する通信機器)の通信ポートの識別情報及び該端末のMACアドレスを入手する。そして、該運用者が該通信ポートに該端末のMACアドレスを設定する。
【0006】
通信ポートにMACアドレスフィルタリング情報(接続を許可する端末のMACアドレス)が設定された通信機器は、該通信ポートに設定されたMACアドレスの端末が、該通信ポートに接続された場合にのみ、該端末に対して通信サービスの利用を可能にする。
【0007】
また、MACアドレスフィルタリング情報の他の設定操作例として、通信サービスの利用者が、自身の端末を通信機器の通信ポートに接続した際に、該利用者がネットワークの運用者に、使用する端末のMACアドレス及び通信機器の情報を連絡する。そして、該運用者は、該連絡を受けた通信機器の通信ポートに、該端末のMACアドレスを設定する。該通信機器は、該MACアドレスが設定された通信ポートで、該MACアドレスの端末に対してのみ通信サービスの利用を可能にする。
【0008】
通信機器におけるMACアドレスフィルタリングの動作は、該通信機器の通信ポートに接続されている端末から受信したパケットの送信元アドレスのMACアドレスと、該通信ポートに設定されているMACアドレスフィルタリング情報(MACアドレス)とを照合する。
【0009】
そして、予め設定されたMACアドレスフィルタリング情報(MACアドレス)に一致する送信元MACアドレスを有するパケットのみを受け付け、不一致のMACアドレスを有するパケットを廃棄する。こうすることにより、指定の通信ポートで特定の端末のみがネットワークを利用することを可能にしている。
【0010】
また、ユーザがネットワークに新たに端末装置を接続するときに行う面倒な操作を軽減し、かつ、ネットワークのセキュリティを向上させる他の技術として、以下のようなネットワークシステムが知られている(特許文献1参照)。該ネットワークシステムでは、端末識別子をISPのデータベースに登録しておき、端末の電源を投入すると、該端末からルータに端末識別子を送信し、ルータから該端末識別子及びルータ識別子をISPに送信する。
【0011】
ISPは、それらの識別子がデータベースに登録されていれば、許可メッセージを送信し、新たな端末に対するIPアドレスを付与し、新たな端末をホームネットワークに参加させ、それらの識別子が登録されていない場合、拒否メッセージをルータに与える。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】特開2002−281061号公報
【発明の概要】
【発明が解決しようとする課題】
【0013】
ネットワークシステムの規模が増大するにつれて、通信機器及び利用者の端末の台数が増加する。そのため、大規模なネットワークシステムでMACアドレスフィルタリングを実施する際に、利用者の端末の増設や移動等によりネットワーク構成の変更が発生する毎に、端末が接続される各通信機器の通信ポートに、MACアドレスフィルタリング情報(MACアドレス)を設定する面倒な操作が増大し、スムーズな運用が困難となる。
【0014】
本発明は、通信機器の指定の通信ポートで特定の端末の接続を許可するための、通信機器の端末接続設定において、ネットワークシステムの運用者及び利用者に設定操作の負担を強いることなく、通信機器の指定されたポートに特定の端末を接続する設定を可能にすることを目的とする。
【課題を解決するための手段】
【0015】
上述の課題を解決する一形態としての通信機器の端末接続設定方法は、運用監視装置で、ネットワークに接続する端末に対して、該端末を収容する通信機器の通信ポート及び該端末のIPアドレスを割当て、該通信ポートの識別情報及び該端末のIPアドレスを対応付けて通信ポート情報テーブルに格納するステップと、前記端末のIPアドレスを送信元とするパケットの受信を前記通信機器で検出したとき、該検出を前記運用監視装置へ通知させるIPアドレス検出動作を起動するステップと、前記運用監視装置で、前記IPアドレスの検出通知を契機として、前記通信機器に対し該端末のIPアドレスに対応したMACアドレスを通知させ、かつ、該MACアドレスに対応した通信ポートの識別情報を通知させるステップと、前記通信機器から通知された前記通信ポートの識別情報と、前記通信ポート情報テーブルに格納した通信ポートの識別情報とを比較照合し、両者が一致した場合に、前記通信機器から通知された該端末のMACアドレスを、前記通信機器の通信ポートに、MACアドレスフィルタリング情報として設定するステップと、を含むものである。
【発明の効果】
【0016】
通信機器の指定の通信ポートで特定の端末の接続を許可するための、通信機器の端末接続設定において、運用監視装置が自動的に、接続を許可する端末が指定の通信ポートに接続されたことをチェックし、通信機器からMACアドレス情報を取得し、該通信ポートにMACアドレスフィルタリング情報を設定するため、ネットワークシステムの運用者及び利用者に設定操作の負担を強いることなく、通信機器の指定されたポートに特定の端末を接続する設定することが可能となる。
【図面の簡単な説明】
【0017】
【図1】ネットワークシステムの全体構成例を示す図である。
【図2】各装置の機能ブロック構成例を示す図である。
【図3】各装置のハードウェア構成例を示す図である。
【図4】通信ポート情報テーブル、IPアドレス検出情報テーブル及びMACアドレスフィルタリングテーブルの構成例を示す図である。
【図5】運用監視装置の動作フロー例を示す図である。
【図6】通信機器(ルータ、スイッチ)の動作フロー例を示す図である。
【図7】新規端末接続時の動作シーケンス例を示す図である。
【図8】新規端末接続時の動作シーケンス例を示す図である。
【発明を実施するための形態】
【0018】
開示の通信機器の端末接続設定の一実施形態は、利用者の端末のIPアドレスを送信元IPアドレスとするパケットを通信機器で受信したことを契機に、該IPアドレスを基にMACアドレス及び通信ポートの情報を運用監視装置で取得する。そして、取得した通信ポートの情報と該端末のIPアドレスとの組み合わせが、最初に該運用監視装置で指定して割り当てた通信ポートの情報とIPアドレスとの組み合わせと合致しているかどうかを照合する。
【0019】
照合の結果、指定した通信ポートの情報と受信した送信元IPアドレスとの組み合わせが合致している場合、指定の通信ポートに利用可能の端末が接続されていると判断し、該通信ポートに該端末のMACアドレスを設定し、通信機器にMACアドレスフィルタリングを実施させ、指定の通信ポートでの該端末のネットワーク接続を許可する。
【実施例】
【0020】
図1に開示の通信機器の端末接続設定を実施するネットワークシステムの全体構成例を示す。該構成例は、ネットワーク網を介して接続される複数の拠点事業所のうち、第1の事業所#1及び第2の事業所#2にそれぞれ設置された通信機器(ルータ210、スイッチ220)及び利用者の端末230を含むネットワークシステムの構成例を示している。
【0021】
通信機器(ルータ210、スイッチ220)は、LAN(Local Area Network)を構成し、また、ネットワーク網300を介して運用監視装置100によって監視制御される。該運用監視装置100による通信機器(ルータ210、スイッチ220)の監視制御の通信経路の一例を図1の破線の矢印線で示している。
【0022】
各利用者の端末230は、スイッチ220に収容され、LAN接続によりルータ210を介し、ネットワーク網300を経て利用者センタ400に接続され、通信サービスの提供を受ける。該利用者センタ400と利用者の端末230との通信経路の一例を図1の実線の矢印線で示している。
【0023】
図2に運用監視装置100、ルータ210及びスイッチ220の各装置の機能ブロック構成例を示す。図2において、(a)は運用監視装置100、(b)はルータ210、(c)はスイッチ220の機能ブロック構成例をそれぞれ示している。
【0024】
運用監視装置100は、図2の(a)に示すように、運用監視制御部101、ネットワーク管理データベース102、利用者申請インタフェース部103、運用者インタフェース部104、WANインタフェース部105を備える。
【0025】
利用者申請インタフェース部103は、ネットワークに接続する利用者の端末230の申請情報を受付ける処理機能を有する。運用監視装置100は、利用者の端末230の接続の申請情報を基に、該端末230に割り当てるIPアドレスの払い出し、該端末230を接続する通信ポートの割り当て等のネットワーク設計処理を実行する。運用監視装置100は、該設計処理により決定した設定情報を、ネットワーク管理データベース102に格納する。該設定情報は、申請した利用者に通知される。
【0026】
運用監視制御部101は、ルータ210及びスイッチ220の稼動状態を監視し、障害が発生した場合は、運用者インタフェース部104を経由して、障害情報を運用者に通知する。また、運用者インタフェース部104を経由して、運用者からの指示情報の入力及び運用者への状態情報の出力を行う機能を備えている。
【0027】
ルータ210は、図2の(b)に示すように、制御部211、IPアドレス検出部212、ルーティング部213、WANインタフェース部214、LANインタフェース部215を備える。
【0028】
制御部211は、ルータ210内の各機能部の制御を行うとともに、運用監視装置100と監視・制御の通信を行う運用エージェントの機能を有する。IPアドレス検出部212は、パケットに格納された送信元IPアドレスを基に、該パケットの送信元の端末230のIPアドレスを検出する機能を有する。
【0029】
ルーティング部213は、端末230と利用者センタ400との通信、制御部211(運用エージェント)と運用監視装置100との通信で送受されるパケットの経路を選択するルーティング機能を有する。WANインタフェース部214は、ネットワーク網300との接続のインタフェース機能を有する。LANインタフェース部215は、LAN内の通信機器及び端末230との接続のインタフェース機能を有する。
【0030】
スイッチ220は、図2の(c)に示すように、制御部221、スイッチ部222、MACアドレスフィルタリング部223、MACアドレスフィルタリングテーブル224、LANインタフェース部225を備える。スイッチ制御部221は、スイッチ220内の各機能部の制御を行うとともに、運用監視装置100と監視・制御の通信を行う運用エージェントの機能を有する。
【0031】
スイッチ部222は、端末230と利用者センタ400との通信、制御部221(運用エージェント)と運用監視装置100との通信で送受されるパケットの経路を切り替えるスイッチングの機能を有する。LANインタフェース部225は、LAN内の通信機器及び端末230との接続のインタフェース機能を有する。
【0032】
MACアドレスフィルタリング部223は、MACアドレスフィルタリングテーブル224に設定されたMACアドレスフィルタリング情報に基づいて、MACアドレスが設定された通信ポートについて、該MACアドレスの端末が接続された場合にのみネットワークへの接続を可能にする。
【0033】
図3に運用監視装置100、ルータ210及びスイッチ220の各装置のハードウェア構成例を示す。図3において、(a)は運用監視装置100、(b)はルータ210、(c)はスイッチ220のハードウェア構成例をそれぞれ示している。
【0034】
運用監視装置100は、図3の(a)に示すように、サーバ501、ストレージ502、利用者インタフェース回路503、運用者インタフェース回路504、WANインタフェース回路505、ルータ/スイッチ回路506を備えている。
【0035】
サーバ501は、運用監視の処理機能を備え、ストレージ502は、ネットワーク管理データベース102等の情報を保持する機能を備える。利用者インタフェース回路503は、利用者申請インタフェース部103の機能回路を備え、運用者インタフェース回路504は、運用者インタフェース部104の機能回路を備え、WANインタフェース回路505は、WANインタフェース部105の機能回路を備える。
【0036】
ルータ/スイッチ回路506は、サーバ501、利用者インタフェース回路503、運用者インタフェース回路504及びWANインタフェース回路505の間の接続の経路を選択し切り替える回路機能を備える。
【0037】
ルータ210は、図3の(b)に示すように、プログラムメモリ611、CPU612、メモリ613、WANインタフェース回路614、LANインタフェース回路615、ルーティング回路616、ルーティングメモリ617を備える。
【0038】
プログラムメモリ611及びCPU612は、IPアドレス検出部212及びルーティング回路616の制御機能を備える。WANインタフェース回路614は、WANインタフェース部214の機能回路を備え、LANインタフェース回路615は、LANインタフェース部215の機能回路を備える。ルーティング回路616は、ルーティングメモリ617に格納されたルーティング情報に従って、パケットの送出経路を選択するルーティング部213の処理機能を備える。
【0039】
スイッチ220は、図3の(c)に示すように、プログラムメモリ621、CPU622、メモリ623、スイッチ回路624、スイッチメモリ625、LANインタフェース回路626を備える。
【0040】
プログラムメモリ621及びCPU622は、スイッチ部222及びMACアドレスフィルタリング部223の処理機能を備える。スイッチ回路624は、スイッチメモリ625に格納された情報を基にパケットの経路を切り替える機能、及びMACアドレスフィルタリングを行う機能を備える。LANインタフェース回路626は、LANインタフェース部225の機能回路を備える。
【0041】
次に開示の通信機器の端末接続設定の動作について説明する。運用監視装置100は、通信ポート情報テーブル(図4の(a)参照)を、ネットワーク管理データベース102に備える。該通信ポート情報テーブルは、各通信機器(ルータ210、スイッチ220)の管理番号(CONID)、通信機器の通信ポートの識別情報(PORT)並びに利用者の端末230のMACアドレス(MAC)及びIPアドレス(IP)を関連付けて格納する。
【0042】
運用監視装置100は、端末利用の申請情報を基にネットワーク設計処理を行い、該ネットワーク設計処理により決定した、端末230を接続する通信機器の管理番号及び通信ポートの識別情報並びに該端末230に払い出す端末IPアドレスを、該通信ポート情報テーブルに格納する。
【0043】
図4の(a)に示す通信ポート情報テーブルの格納例では、新規に接続する第1の端末に対して192.168.0.4のIPアドレスを割り当て、該第1の端末を接続する通信ポートにスイッチSW101の通信ポートP02を割り当て、新規に接続する第2の端末に対して192.168.0.5のIPアドレスを割り当て、該第1の端末を接続する通信ポートにスイッチSW101の通信ポートP03を割り当てた例を示している。
【0044】
運用監視装置100は、端末230に払い出した端末IPアドレスを、ルータ210のIPアドレス検出情報テーブル(図4の(b)参照)に設定し、ルータ210に対して、端末230から送信されるパケットの送信元端末IPアドレスを検出させるIPアドレス検出動作を起動する。
【0045】
ルータ210は、該IPアドレス検出動作の起動中は、該設定された端末IPアドレスを含むパケットを受信すると、その旨を運用監視装置100に通知し、MACアドレスフィルタリング情報の設定が完了するまで、該IPアドレスを送信元とするパケットを廃棄する。
【0046】
運用監視装置100は、ルータ210で検出され、ルータ210から通知された端末IPアドレスが、運用監視装置100の通信ポート情報テーブルに存在するか否かを判定し、存在する場合、該端末IPアドレスに対応したMACアドレスをルータ210から取得する。また、運用監視装置100は、該MACアドレスに対応した通信ポートの識別情報をスイッチ220から取得する。
【0047】
運用監視装置100は、ネットワーク設計処理時に払い出した端末IPアドレスに対応した通信ポートの識別情報と、スイッチ220から取得した通信ポートの識別情報とを照合する。照合の結果、両者が一致する場合、スイッチ220のMACアドレスフィルタリング情報テーブル(図4の(c)及び(d)参照)に、該通信ポートに対応付けてMACアドレスフィルタリング情報を設定する。そして、該スイッチ220に対してMACアドレスフィルタリングの動作開始を運用監視装置100から起動する。
【0048】
MACアドレスフィルタリング情報の設定の完了後、運用監視装置100は、当該端末230の送信元IPアドレスを検出するIPアドレス検出モードを解除させ、該送信元端末IPアドレスを含むパケットの廃棄を停止させ、当該端末230と利用センタ400との通信パケットを疎通させる。照合の結果、不一致の場合は、ルータ210において、当該端末IPアドレスを送信元IPアドレスとするパケットの受信を検出する動作を継続させる。
【0049】
次に通信機器の端末接続設定の動作フロー例について図5及び図6を参照して説明する。図5は運用監視装置100の動作フロー例を示し、図6は通信機器(ルータ210、スイッチ220)の動作フロー例を示している。
【0050】
まず、運用監視装置100で、利用者から利用者インタフェース部経由で端末の利用申込みの受付けが実施される(5−1)。運用監視装置100は、受付けた端末についてネットワーク設計を行い、該端末へのIPアドレスの払い出し及び通信ポートの割付けを実施する(5−2)。
【0051】
運用監視装置は、ネットワーク設計により決定した端末IPアドレス及び通信ポートの識別情報を、ネットワーク管理データベースの通信ポート情報テーブルに格納する(5−3)。運用監視装置100は、割り当てた通信ポートに対して、運用者からの通信ポートオープンの要求が運用者インタフェース部経由で受信されたか否かを監視する(5−4)。
【0052】
運用監視装置100は、該通信ポートオープンの要求有りを検出すると、ルータ210に対して、MACアドレスフィルタリング情報の設定対象となる端末のIPアドレスを通知し、該端末IPアドレスを送信元IPアドレスとするパケットを検出したとき、その旨を通知させる端末IPアドレス検出動作の起動を指示する(5−5)。
【0053】
ルータ210は、運用監視装置100から端末IPアドレス検出指示を受付けると(6−1)、指示された端末のIPアドレスをIPアドレス検出情報テーブルに格納し、端末からパケットの送信元のIPアドレス検出の動作を起動する(6−2)。
【0054】
端末230がスイッチ220の通信ポートに接続されると、該端末230からARP(Address Resolution Protocol)パケットが送出され、該パケットの送信元のIPアドレス及びMACアドレスを基に、ルータ210では、該端末230のIPアドレスとMACアドレスとの対応を学習する。また、スイッチ220では、通信ポートに接続された端末230のMACアドレスと該通信ポートの識別情報との対応を学習する。
【0055】
ルータ210は、端末230から受信したパケットの送信元IPアドレスと、IPアドレス検出情報テーブルに格納された端末IPアドレスとを照合する(6−3)。照合の結果、両者が一致するか否か判定し(6−4)、一致する場合、検出対象の端末のIPアドレスを含むパケットの受信を検出したことを、運用監視装置100へ通知する(6−5)。
【0056】
また、その場合、該端末のIPアドレス含む受信パケットを廃棄する(6−6)。照合の結果、不一致の場合、ルータ210は、受信したパケットをそのまま透過させる。ルータ210は、以上の照合処理を、当該端末のIPアドレス検出停止の指示を運用監視装置100から受けるまで実施する。
【0057】
運用監視装置100は、通信機器(ルータ210)から、検出対象の端末のIPアドレスを含むパケットを検出したことの通知を受信したか否かを判定する(5−6)。該通知が受信された場合、当該端末のIPアドレスに対応したMACアドレス及び通信ポート情報を入手するために、通信機器(ルータ及びスイッチ)に対してMACアドレス情報取得及び通信ポート情報取得を指示する(5−7)。
【0058】
ルータ210は、運用監視装置100からMACアドレス取得の指示を受付けると、学習機能により学習した、端末のIPアドレスに対応したMACアドレスを、運用監視装置100へ返信する。また、スイッチ220は、運用監視装置100から通信ポート情報取得の指示を受付けると(6−7)、学習機能により学習した、端末のMACアドレスに対応した通信ポートの識別情報を、運用監視装置100へ返信する(6−8)。
【0059】
運用監視装置100は、通信機器(スイッチ220)から通知された通知ポートの識別情報と、通信ポート情報テーブルに格納されている割付けた通信ポートの識別情報とを照合することにより、正規の通信ポートに正規の端末230が接続されたか否かを判定する(5−8)。
【0060】
割付けた通信ポートに、払い出したIPアドレスの正規の端末が接続されていると判定された場合、運用監視装置100は、通信機器(ルータ210)から通知されたMACアドレスを、通信ポート情報テーブルに格納する(5−9)。そして、運用監視装置100は、通信機器(スイッチ220)に対して、当該通信ポートにMACアドレスフィルタリング情報を設定するよう指示する(5−10)。
【0061】
通信機器(スイッチ220)は、運用監視装置100からMACアドレスフィルタリング情報の設定指示を受付け(6−9)、当該端末のMACアドレスをMACアドレスフィルタリング情報テーブルに格納する(6−10)。そして、通信機器(スイッチ220)は、該MACアドレスフィルタリング情報テーブルの設定情報に従って、当該通信ポートに該端末のMACアドレスを設定し、MACアドレスフィルタリングを実行する(6−11)。
【0062】
運用監視装置100は、通信機器(スイッチ220)からMACアドレスフィルタリングの実行の通知を受けると、通信機器(ルータ210)に対して、IPアドレス検出停止を指示する(5−11)。通信機器(ルータ210)は、運用監視装置100からのIPアドレス検出停止の指示を待ち受け(6−12)、該指示を受けると、IPアドレス検出情報テーブルから該端末IPアドレスを削除し、端末のIPアドレス検出動作を停止し、受信パケットを宛先へ転送する(6−13)。
【0063】
通信機器(ルータ210)は、該端末IPアドレスを削除したことを運用監視装置100に通知する。運用監視装置100は、通信機器(ルータ210)から該端末IPアドレスの削除の通知を受けると、当該端末について通信機器の端末接続設定が完了したことを、運用者インタフェース部104を経由して運用者へ通知する(5−13)。
【0064】
また、前述の動作フロー(5−8)において、割付けた通信ポートに当該IPアドレスの端末が接続されていないと判定した場合、正規の端末以外の端末が当該通信ポートに接続されたことを、運用者インタフェース部104を経由して運用者へ通知する(5−12)。
【0065】
次に、新規利用者端末接続時の動作シーケンス例について図7及び図8を参照して説明する。まず、新規にネットワークに接続する利用者端末を収容する通信ポートをオープンする指示を、運用者が運用者インタフェース経由で実施する。該指示により、運用監視装置100は、IPアドレス検出起動の指示をルータ210の制御部211へ送出する(7−1)。
【0066】
ルータ210の制御部211は該指示を受け、IPアドレス検出部212へIPアドレス検出起動指示を送出する(7−2)。IPアドレス検出部212は、IPアドレス検出情報テーブルに当該端末のIPアドレスを設定し、IPアドレス検出動作を開始する(7−3)。また、ルータ210の制御部211へIPアドレス検出起動応答を返答する(7−4)。
【0067】
ルータ210の制御部211は、IPアドレス検出起動応答を受けると、運用監視装置100へIPアドレス検出起動応答を返答する(7−5)。運用監視装置100は、IPアドレス検出起動応答を受けると、通信ポートオープン指示をスイッチ220の制御部221へ送出する(7−6)。
【0068】
スイッチ220の制御部221は、該指示を受けて通信ポートオープン指示をLANインタフェース部225へ送出する(7−7)。LANインタフェース部225は、通信インタフェースを起動し(7−8)、通信ポートオープン応答をスイッチ220の制御部221へ返答する(7−9)。
【0069】
スイッチ220の制御部221は、通信ポートオープン応答を受けると、運用監視装置100へ通信ポートオープン応答を返答する(7−10)。運用監視装置100は、通信ポートオープン応答を受けると、IPアドレス検知通知の待ち状態となる。
【0070】
その後、230端末が当該通信ポートに接続され、物理接続が完了すると、端末230は利用者センタへの通信を開始する際に、ルータ210のルーティング部213のIPアドレスに対応したMACアドレスを入手するために、ARP要求パケットを送出する(7−11)。
【0071】
ARP要求パケットを受けたルーティング部213は、端末230のMACアドレスをキャッシュに保存すると共に(7−12)、ルーティン部213のMACアドレスをARP応答として返答する(7−13)。ARP応答を受けた端末230は、ルーティング部213のMACアドレスを使用して、利用者センタ向けのIPパケット通信を行うため、ルーティング部213へIPパケットを送出する(7−14)。
【0072】
ルーティング部213へ該IPパケットが到達する前に、IPアドレス検出部212で、該IPパケットに含まれる送信元IPアドレスをチェックする。IPアドレス検出部212は、該送信元IPアドレスがIPアドレス検出情報テーブルに設定された端末IPアドレスと一致することを検出すると、IPアドレス検知通知をルータ210の制御部211へ通知し、そのパケットを廃棄する(7−15)。該制御部211は、該IPアドレス検知通知を受けると、運用監視装置100へIPアドレス検出通知を送出する(7−16)。
【0073】
運用監視装置100は、該IPアドレス検出通知を受けると、該端末IPアドレスに対応したMACアドレスを入手するために、MACアドレス情報取得指示をルータ210の制御部211へ送出する(7−17)。ルータ210の制御部211は、該MACアドレス情報取得指示に従い、ルーティング部213へMACアドレス情報取得指示を送出する(7−18)。
【0074】
ルーティング部213は、該MACアドレス情報取得指示に従い、該端末のIPアドレスに対応したMACアドレスを取得し(7−19)、該MACアドレス情報取得応答を、制御部211へ返答する(7−20)。ルータ210の制御部211は、受け取ったMACアドレスをMACアドレス情報取得応答として運用監視装置100へ返答する(7−21)。
【0075】
該MACアドレスを受けた運用監視装置100は、該MACアドレスに対応した通信ポート情報を入手するために、通信ポート情報取得指示をスイッチ220の制御部221へ送出する(7−22)。該制御部221は、該通信ポート情報取得指示に従い、LANインタフェース部225へ通信ポート情報取得指示を送出する(7−23)。
【0076】
LANインタフェース部225は、該通信ポート情報取得指示に従い、MACアドレスに対応した通信ポート情報を取得し(7−24)、該通信ポート情報をスイッチ220の制御部221へ返答する(7−25)。スイッチ220の制御部221は、該通信ポート情報取得応答に従い、該MACアドレスに対応した通信ポート情報を通信ポート取得応答として、運用監視装置100へ返答する(7−26)。
【0077】
運用監視装置100は、通信ポート情報テーブルを参照し、当該端末に割当てた通信ポートの識別情報と、取得した通信ポートの識別情報とを照合し(7−27)、一致した場合、MACアドレスフィルタリング起動指示をスイッチ220の制御部221へ送出する(7−28)。スイッチ220の制御部221は、該MACアドレスフィルタリング起動指示に従い、LANインタフェース部225へMACアドレスフィルタリング起動指示を送出する(7−29)。
【0078】
LANインタフェース部225は、該MACアドレスフィルタリング起動指示に従い、通信ポートに対応したMACアドレスフィルタリング情報テーブルに該MACアドレスを格納し、MACアドレスフィルタリング処理を起動する(7−30)。LANインタフェース部225は、MACアドレスフィルタリング処理の起動応答を、スイッチ220の制御部221へ返答する(7−31)。
【0079】
スイッチ220の制御部221は、該MACアドレスフィルタリング処理の起動応答を受けると、運用監視装置100へMACアドレスフィルタリング起動応答を返答する(7−32)。運用監視装置100は、該MACアドレスフィルタリング起動応答を受けると、ルータ210の制御部211へIPアドレス検出停止を指示する(7−33)。
【0080】
ルータ210の制御部211は、該指示に従い、IPアドレス検出部212へIPアドレス検出の停止を指示する(7−34)。IPアドレス検出部212は、IPアドレス検出情報テーブルのIPアドレスを削除し、処理を停止して応答をルータ210の制御部211へ返答する(7−35,7−36)。ルータ210の制御部211は、該応答を受けると、運用監視装置100へIPアドレス検出停止応答を返答する(7−37)。
【符号の説明】
【0081】
100 運用監視装置
210 通信機器(ルータ)
220 通信機器(スイッチ)
230 端末
300 ネットワーク網
400 利用者センタ
【特許請求の範囲】
【請求項1】
運用監視装置で、ネットワークに接続する端末に対して、該端末を収容する通信機器の通信ポート及び該端末のIPアドレスを割当て、該通信ポートの識別情報及び該端末のIPアドレスを対応付けて通信ポート情報テーブルに格納するステップと、
前記端末のIPアドレスを送信元とするパケットの受信を前記通信機器で検出したとき、該検出を前記運用監視装置へ通知させるIPアドレス検出動作を起動するステップと、
前記運用監視装置で、前記IPアドレスの検出通知を契機として、前記通信機器に対し該端末のIPアドレスに対応したMACアドレスを通知させ、かつ、該MACアドレスに対応した通信ポートの識別情報を通知させるステップと、
前記通信機器から通知された前記通信ポートの識別情報と、前記通信ポート情報テーブルに格納した通信ポートの識別情報とを比較照合し、両者が一致した場合に、前記通信機器から通知された該端末のMACアドレスを、前記通信機器の通信ポートに、MACアドレスフィルタリング情報として設定するステップと、
を含むことを特徴とするネットワーク通信機器の端末接続設定方法。
【請求項2】
ネットワークに接続する端末に対して、該端末を収容する通信機器の通信ポート及び該端末のIPアドレスを割当て、該通信ポートの識別情報及び該端末のIPアドレスを対応付けて通信ポート情報テーブルに格納する手段と、
前記端末のIPアドレスを送信元とするパケットの受信を前記通信機器で検出したとき、該検出を前記運用監視装置へ通知させるIPアドレス検出動作を起動する手段と、
前記IPアドレスの検出通知を契機として、前記通信機器に対して該端末のIPアドレスに対応したMACアドレスを通知させ、かつ、該MACアドレスに対応した通信ポートの識別情報を通知させる手段と、
前記通信機器から通知された前記通信ポートの識別情報と、前記通信ポート情報テーブルに格納した通信ポートの識別情報とを比較照合し、両者が一致した場合に、前記通信機器から通知された該端末のMACアドレスを、前記通信機器の通信ポートに、MACアドレスフィルタリング情報として設定する手段と、
を備えたことを特徴とするネットワークシステムの運用監視装置。
【請求項3】
ネットワークに接続する端末に対して、該端末を収容する通信機器の通信ポート及び該端末のIPアドレスを割当て、該通信ポートの識別情報及び該端末のIPアドレスを対応付けて通信ポート情報テーブルに格納した運用監視装置からの指示により起動され、前記端末のIPアドレスを送信元とするパケットの受信を検出し、該検出を前記運用監視装置へ通知するIPアドレス検出手段と、
前記運用監視装置からの指示に従って、前記端末のIPアドレスに対応したMACアドレスを通知し、かつ、該MACアドレスに対応した通信ポートの識別情報を通知する手段と、
前記運用監視装置からの指示に従って、前記端末のMACアドレスを前記通信ポートに、MACアドレスフィルタリング情報として設定する手段と、
を備えたことを特徴とするネットワーク通信機器。
【請求項1】
運用監視装置で、ネットワークに接続する端末に対して、該端末を収容する通信機器の通信ポート及び該端末のIPアドレスを割当て、該通信ポートの識別情報及び該端末のIPアドレスを対応付けて通信ポート情報テーブルに格納するステップと、
前記端末のIPアドレスを送信元とするパケットの受信を前記通信機器で検出したとき、該検出を前記運用監視装置へ通知させるIPアドレス検出動作を起動するステップと、
前記運用監視装置で、前記IPアドレスの検出通知を契機として、前記通信機器に対し該端末のIPアドレスに対応したMACアドレスを通知させ、かつ、該MACアドレスに対応した通信ポートの識別情報を通知させるステップと、
前記通信機器から通知された前記通信ポートの識別情報と、前記通信ポート情報テーブルに格納した通信ポートの識別情報とを比較照合し、両者が一致した場合に、前記通信機器から通知された該端末のMACアドレスを、前記通信機器の通信ポートに、MACアドレスフィルタリング情報として設定するステップと、
を含むことを特徴とするネットワーク通信機器の端末接続設定方法。
【請求項2】
ネットワークに接続する端末に対して、該端末を収容する通信機器の通信ポート及び該端末のIPアドレスを割当て、該通信ポートの識別情報及び該端末のIPアドレスを対応付けて通信ポート情報テーブルに格納する手段と、
前記端末のIPアドレスを送信元とするパケットの受信を前記通信機器で検出したとき、該検出を前記運用監視装置へ通知させるIPアドレス検出動作を起動する手段と、
前記IPアドレスの検出通知を契機として、前記通信機器に対して該端末のIPアドレスに対応したMACアドレスを通知させ、かつ、該MACアドレスに対応した通信ポートの識別情報を通知させる手段と、
前記通信機器から通知された前記通信ポートの識別情報と、前記通信ポート情報テーブルに格納した通信ポートの識別情報とを比較照合し、両者が一致した場合に、前記通信機器から通知された該端末のMACアドレスを、前記通信機器の通信ポートに、MACアドレスフィルタリング情報として設定する手段と、
を備えたことを特徴とするネットワークシステムの運用監視装置。
【請求項3】
ネットワークに接続する端末に対して、該端末を収容する通信機器の通信ポート及び該端末のIPアドレスを割当て、該通信ポートの識別情報及び該端末のIPアドレスを対応付けて通信ポート情報テーブルに格納した運用監視装置からの指示により起動され、前記端末のIPアドレスを送信元とするパケットの受信を検出し、該検出を前記運用監視装置へ通知するIPアドレス検出手段と、
前記運用監視装置からの指示に従って、前記端末のIPアドレスに対応したMACアドレスを通知し、かつ、該MACアドレスに対応した通信ポートの識別情報を通知する手段と、
前記運用監視装置からの指示に従って、前記端末のMACアドレスを前記通信ポートに、MACアドレスフィルタリング情報として設定する手段と、
を備えたことを特徴とするネットワーク通信機器。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−175482(P2012−175482A)
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願番号】特願2011−36572(P2011−36572)
【出願日】平成23年2月23日(2011.2.23)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願日】平成23年2月23日(2011.2.23)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]