中継装置、およびプログラム
【課題】DHCPサーバ装置に処理負荷が集中することを回避しつつ各端末装置へ割り当てる通信アドレスの一括管理が可能で、さらに、端末装置の状態に応じたアクセス先制限を併用することが可能な通信アドレス割り当て技術を提供する。
【解決手段】 DHCPサーバ装置に、セグメントを跨ぐ通信を許可する端末装置に割り当てる第1のアドレスと、同通信を許可しない端末装置に割り当てる第2のアドレスとを記憶させておく。一方、DHCPサーバ装置と端末装置との通信を仲介する中継装置には、上記通信を許可する端末装置が満たすべき条件を記憶させておく。そして、通信アドレスの割り当て要求の受信を契機として、その送信元が上記条件を満たすか否かを判定し、満たす場合には第1のアドレスを、満たさない場合には第2のアドレスの割り当てを指示する指示子を付与して転送する処理を上記中継装置に実行させる。
【解決手段】 DHCPサーバ装置に、セグメントを跨ぐ通信を許可する端末装置に割り当てる第1のアドレスと、同通信を許可しない端末装置に割り当てる第2のアドレスとを記憶させておく。一方、DHCPサーバ装置と端末装置との通信を仲介する中継装置には、上記通信を許可する端末装置が満たすべき条件を記憶させておく。そして、通信アドレスの割り当て要求の受信を契機として、その送信元が上記条件を満たすか否かを判定し、満たす場合には第1のアドレスを、満たさない場合には第2のアドレスの割り当てを指示する指示子を付与して転送する処理を上記中継装置に実行させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システムに含まれる端末装置への通信アドレスの割り当てを支援する技術に関する。
【背景技術】
【0002】
通信網を介したデータ通信では、IP(Internet Protocol)アドレスなどの通信アドレスを用いてデータの送信元や送信先が特定される。このため、通信システムに含まれる各端末装置には、互いに異なる通信アドレスを割り当てておく必要がある。このような通信アドレスの割り当ては、ネットワーク管理者等が手作業で行うこと(具体的には、互いに異なる通信アドレスを各端末装置に入力し記憶させるなど)もあるが、DHCP(Dynamic Host Configuration Protocol)を利用して自動的に行うようにすることが一般的である。
【0003】
DHCPを利用した通信システムでは、DHCPサーバ装置と呼ばれるコンピュータ装置を設け、各端末装置へ割り当てる(貸し出す)通信アドレスの集合(以下、通信アドレス群)をそのDHCPサーバ装置に予め記憶させておく。そして、端末装置とDHCPサーバ装置とに、図7(A)に示すシーケンスの通信を行わせることで通信アドレスの割り当てが実現される。端末装置は、電源の投入等を契機として通信アドレスの割り当てを要求する旨の通信メッセージ(IPリース要求メッセージ(DHCPDISCOVER):同メッセージのメッセージ構造については図8参照)をブロードキャストする。DHCPサーバ装置は、当該IPリース要求メッセージを受信したことを契機として、自装置に登録されている通信アドレス群のうちから未使用の通信アドレス(他の端末装置に割り当てられていない通信アドレス:以下、未使用アドレス)を選択する。そして、DHCPサーバ装置は、当該選択した未使用アドレスを上記IPリース要求メッセージの送信元へ提示するために、IPリース提示メッセージ(DHCPOFFER)の所定フィールドに書き込んで返信する。
【0004】
上記端末装置は、当該IPリース提示メッセージを受信すると、そのIPリース提示メッセージにより提示された通信アドレスの割り当てを受け入れる旨を通知するために、IPリース選択メッセージ(DCHPREQUEST)を返信する。このIPリース選択メッセージを受信したDHCPサーバ装置は、上記IPリース提示メッセージにより提示した通信アドレスとその貸し出し期間を示すデータ(リース期間オプション値)を書き込んだIPリース確認通知メッセージ(DHCPACK)を返信する。上記端末装置は上記IPリース確認通知メッセージを受信すると、同メッセージに書き込まれている通信アドレスを自装置に対して割り当てられたものとして記憶し、同メッセージに書き込まれているリース期間オプションの示す期間が経過するまで、その通信アドレスを用いてデータ通信を行うことができるのである。
以上がDHCPを利用した通信アドレスの割り当ての概要である。なお、DHCPの詳細については、非特許文献1を参照されたい。
【0005】
このようにDHCPによる通信アドレスの割り当ては、IPリース要求メッセージのブロードキャストにより開始されるのであるが、ブロードキャストメッセージはルータ等の中継装置を超えて他のセグメントに転送されることはない。したがって、通信システムが複数のセグメントで構成されている場合(例えば、図7(B)に示すように各セグメントをルータ等の中継装置(図示略)を介してインターネットなどの広域網に接続して通信システムが構成されている場合)には、各セグメントに1台ずつDHCPサーバ装置を設け、セグメント毎に通信アドレスの割り当てを行う必要がある。しかし、セグメント毎に通信アドレスの割り当てを行う態様では、通信システム全体での通信アドレス群の管理が難しくなり、各セグメントにて端末装置に割り当てる通信アドレス群の一部が重複するといった不具合が発生する場合がある。
【0006】
IPリース要求メッセージがブロードキャストされるものであることに起因した不具合を解決するための技術の一例としてはDHCPリレーエージェントが挙げられる。DHCPリレーエージェントを利用した通信システムでは、図7(C)に示すように、複数のセグメントのうちの何れか1つにDHCPサーバ装置を設けておき、他のセグメントにはDHCPリレーエージェントと呼ばれるコンピュータ装置を設けておく。なお、一般的には、前述した中継装置がDHCPリレーエージェントの役割を兼ねることが多い。よって、以下では、広域網と各セグメントとを接続する中継装置がDHCPリレーエージェントの役割を兼ねている場合について説明する。
【0007】
DHCPリレーエージェントとして機能する中継装置は、配下のセグメントに属する端末装置によってブロードキャストされたIPリース要求メッセージを受信すると、DHCPサーバ装置宛のユニキャストメッセージに変換し、さらにその所定フィールド(図8のgiaddrフィールド)に当該中継装置の通信アドレスを書き込んでDHCPサーバ装置に転送する。DHCPサーバ装置には、各DHCPリレーエージェントが接続されているセグメントに属する端末装置に割り当てる通信アドレス群が登録されている。DHCPサーバ装置は、このIPリース要求メッセージを受信すると、上記通信アドレス群のうちから未使用アドレスを1つ選択し、この未使用アドレスを書き込んだIPリース提示メッセージをDHCPリレーエージェントに返信する。そして、DHCPリレーエージェントは、このIPリース提示メッセージを上記IPリース要求メッセージの送信元である端末装置に転送するのである。以降、IPリース選択メッセージおよびIPリース確認通知メッセージについてもDHCPエージェントによって転送制御が為され、端末装置への通信アドレスの割り当てが完了するのである。このように、DHCPリレーエージェントを用いた通信システムでは、端末装置に割り当てる通信アドレス群を1台のDHCPサーバ装置で一括管理することができるため、各セグメントにて端末装置に割り当てる通信アドレス群の一部が重複するなど不具合が生じ難くなる。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】“RFC2131「Dynamic Host Configuration Protocol」”、インターネット、<http://www.rtpo.yamaha.co.jp/RT/docs/dhcp-auth/index.html>
【非特許文献2】“DHCP認証機能”、インターネット、<http://www.rtpo.yamaha.co.jp/RT/docs/dhcp-auth/index.html>
【非特許文献3】“QAC機能”、インターネット、<http://jp.trendmicro.com/jp/products/sbYAMAHA/detail>
【発明の概要】
【発明が解決しようとする課題】
【0009】
ところで、近年では機密漏えいに対する関心の高まりから、端末装置に対して何らかのアクセス先制限を設けることが多い。例えば、予め登録された端末装置についてのみ、セグメントを跨ぐ通信(例えば、広域網に接続されているWWWサーバ装置との通信や他のセグメントに属する端末装置との通信)を許可し、登録されていない端末装置にはセグメントを跨ぐ通信を許可しないといった具合である。このようなアクセス先制限を実現する技術としては、非特許文献2に開示されたDHCP認証や、非特許文献3に開示されたQAC(Qualified Access Control)が挙げられる。
【0010】
DHCP認証では、セグメントを跨ぐ通信の実行を許可する端末装置を一意に識別する端末識別子(例えば、MAC(Media Access Control)アドレス等)を予めDHCPサーバ装置に登録しておくとともに、上記セグメントを跨ぐ通信を許可する端末装置に割り当てる通信アドレスの集合(第1の通信アドレス群)とその他の端末装置に割り当てる通信アドレスの集合(第2の通信アドレス群)とを両者が重複しないように上記DHCPサーバ装置に記憶させておく。そして、上記DHCPサーバ装置は、IPリース要求メッセージを受信した場合には、その送信元のMACアドレスを参照してその送信元に対してセグメントを跨ぐ通信の実行が許可されているか否かを判定し、その判定結果に応じて上記第1または第2の通信アドレス群の何れかから未使用アドレスを選択し、返信するのである。そして、各セグメントを広域網に接続する中継装置には、配下のセグメントから受信したパケットの送信元アドレスが上記第1の通信アドレス群に属するものである場合にのみその転送を行わせる(第2の通信アドレス群に属するものである場合には当該パケットを破棄させる)ことで、上記アクセス制限が実現されるのである。一方、QACは、端末装置にインストールされている検疫ソフトウェア(例えば、ウィルスチェックソフトウェア)の種類等によってアクセス先制限を実現する技術である。例えば、所定の検疫ソフトウェアがインストールされている端末装置には上記第1の通信アドレス群に属する通信アドレスを割り当て、所定の検疫ソフトウェアがインストールされていない端末装置には、上記第2の通信アドレス群に属する通信アドレスを割り当てるといった具合である。
【0011】
さて、ここで問題となるのは、上述したDHCP認証やQACとDHCPリレーエージェントとは親和性が低く、併用が難しいという点である。例えばDHCP認証とDHCPリレーエージェントとを併用する場合、セグメントを跨ぐ通信の実行を許可する端末装置の端末識別子をDHCPサーバ装置に予め登録しておく必要がある。このような端末識別子の登録はネットワーク管理者等が手動で行うことが一般的であるため、当該ネットワーク管理者は、システムに含まれる端末装置の数が変化するたびにDHCPサーバ装置の元へ出向いて新たな端末識別子の登録を行わねばならす、非常に煩わしい作業を強いられることとなる。また、DHCP認証(或いはQAC)とDHCPリレーエージェントとを併用する場合、各端末装置についてセグメントを跨ぐ通信の実行が許可されているか否かの判定をDHCPサーバ装置が行うことになるが、このような態様ではDHCPサーバ装置にかかる処理負荷が過剰に高くなる虞がある。
【0012】
本発明は上記課題に鑑みて為されたものであり、端末装置への通信アドレスの割り当て処理にてDHCPサーバ装置に処理負荷が集中することを回避しつつ、各端末装置へ割り当てる通信アドレスの一括管理が可能で、かつ、端末装置の状態に応じたアクセス先制限を併用することを可能にする技術を提供することを目的とする。
【課題を解決するための手段】
【0013】
上記課題を解決するために本発明は、セグメントを跨ぐ通信の実行を許可されている端末装置に割り当てる第1の通信アドレス群とセグメントを跨ぐ通信の実行を許可されていない端末装置に割り当てる第2の通信アドレス群とを記憶し端末装置からの要求に応じて何れかの通信アドレスを貸し出すDHCPサーバ装置と、配下のセグメントに属する端末装置との間の通信を中継する中継装置において、端末装置が前記第1の通信アドレス群に属する通信アドレスの割り当てを受けるための条件を示す条件データが書き込まれた条件テーブルと、通信アドレスの貸し出しを要求する旨の通信メッセージであるリース要求メッセージを端末装置から受信したことを契機として、当該端末装置の状態が前記条件を満たすか否かを判定し、満たすと判定した場合には前記第1の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送し、満たさないと判定した場合には前記第2の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送するリース要求メッセージ転送手段と、前記リース要求メッセージの送信元に貸し出す通信アドレスとその貸し出し期間を示すリース期間データとを含む通信メッセージであるリース確認通知メッセージを前記DHCPサーバ装置から受信し、当該リース確認通知メッセージを前記IPリース要求メッセージの送信元へ転送するリース確認通知メッセージ転送手段とを有することを特徴とする中継装置、およびコンピュータを上記各手段として機能させることを特徴とするプログラムを提供する。なお、このようなプログラムを提供する際の具体的な態様としては、CD−ROM(Compact Disk-Read Only Memory)などのコンピュータ読み取り可能な記録媒体に当該プログラムを書き込んで配布する態様や、インターネットなどの電気通信回線経由のダウンロードにより配布する態様が考えられる。
【0014】
複数のセグメントからなる通信システム(例えば、複数のセグメントの各々を広域網に接続してなる通信システム等)にて何れか1つのセグメントにDHCPサーバ装置を設け、各セグメントに1台ずつ上記中継装置を設けておけば、以下の要領で端末装置に対する通信アドレスの割り当てが行われる。すなわち、上記通信システムにおいて、何れかのセグメントに接続された端末装置は、通信アドレスの割り当てを受けるためにリース要求メッセージ(より具体的には、IPリース要求メッセージ)を当該セグメント内にブロードキャストする。当該セグメントに設けられている上記中継装置は、このリース要求メッセージを受信すると、この端末装置に対してセグメントを跨ぐ通信の実行が許可されているか否かを当該端末装置の状態に基づいて判定し、その判定結果に応じた指示子を付与して当該リース要求メッセージをDHCPサーバ装置へ転送する。
【0015】
ここで、セグメントを跨ぐ通信の実行が許可されているか否かの判定基準は、リース要求メッセージの送信元の端末状態が上記条件データの示す条件を満たすか否かである。かかる条件の一例としては、予め登録された端末装置(例えば、予め登録された端末識別子に一致する端末識別子を有する端末装置)であること、或いは特定の検疫ソフトウェアがインストールされているなど特定の状態の端末装置であること等が考えられる。なお、端末装置の状態を示す端末状態データについては、上記中継装置に予め記憶させておいても良いし、リース要求メッセージの未使用フィールドに書き込んで上記端末装置に送信させるようにしても良い。
【0016】
上記中継装置から転送されてくるリース要求メッセージを受信したDHCPサーバ装置は、そのリース要求メッセージに付与されている指示子にしたがって第1または第2の通信アドレス群の何れかから未使用アドレスを選択し、その未使用アドレスを書き込んだリース提示メッセージを返信する。以降、前述した従来のDHCPにおけるものと同様の通信を行うことによって、端末装置への通信アドレスの割り当てが完了する。具体的には、上記リース提示メッセージは上記中継装置によって、リース要求メッセージの送信元である端末装置へ転送され、上記端末装置は当該リース提示メッセージにより提示された通信アドレスの割り当てを受け入れる場合には、その旨を通知するリース選択メッセージ(例えば、IPリース選択メッセージ)を返信する。このリース選択メッセージは上記中継装置によってDHCPサーバ装置へ転送され、DHCPサーバ装置は当該リース選択メッセージを受信すると、その送信元に対して提示した通信アドレスとその貸し出し期間を示すリース期間オプション値とを書き込んだリース確認通知メッセージを返信する。このリース確認通知メッセージは上記中継装置によって上記端末装置へ転送され、上記端末装置は、同メッセージに書き込まれている通信アドレスを自装置に対して割り当てられたものとして記憶し、同メッセージに書き込まれているリース期間オプション値の示す期間の間、その通信アドレスを使用してデータ通信を行うことができるのである。
【0017】
このように、上記通信システムでは、リース要求メッセージの送信元の端末装置についてセグメントを跨ぐ通信を許可するか否かの判定は上記中継装置で行われるため、DHCPサーバ装置に負荷が集中することはない。また、上記通信システムにおいては端末装置へ割り当てる第1および第2の通信アドレス群をDHCPサーバ装置で一括管理することができる。加えて、上記通信システムでは、上記条件を示すデータや端末状態データについては上記判定を行う各中継装置に記憶させておけば良く、これらのデータの登録のために逐一DHCPサーバ装置の元に出向く必要はない。そして、上記条件として、「予め登録された端末装置であること」を採用すれば、前述したDHCP認証を実現することができ、「特定の検疫ソフトウェアがインストールされていること」を採用すれば、前述したQACを実現することができる。
【0018】
より好ましい態様においては、端末装置の状態を示す端末状態データが書き込まれる端末状態テーブルを上記中継装置に設け、前記リース要求メッセージ転送手段には、前記リース要求メッセージの送信元についての端末状態データが前記端末状態テーブルに格納されていない場合には、前記第2の通信アドレスの貸し出しを指示する旨の指示子を付与して前記受信したリース要求メッセージを転送する一方、該当する端末状態データが前記端末状態テーブルに格納されている場合には、当該端末状態データを参照して前記条件を満たすか否かを判定し、その判定結果に応じた指示子を付与して前記受信したリース要求メッセージを転送する処理を実行させ、前記リース確認通知メッセージ転送手段には、前記リース期間データをより短い貸し出し期間を示すものに書き換えて前記リース確認通知メッセージを転送する処理を実行させることが考えられる。
【0019】
このような中継装置によれば、端末状態データが端末状態テーブルに格納されていない端末装置(例えば、新たにセグメントに接続された端末装置)に対しては、常に、第2の通信アドレス群に属する通信アドレスが割り当てられ、そのリース期間も端末状態データが端末状態テーブルに格納されている端末装置についてのものより短く設定される。つまり、端末状態データが登録されていない端末装置に対しては、短期間だけセグメントを跨がない範囲で暫定的に通信の実行が許可されるのである。このように、端末状態データが端末状態テーブルに格納されていない端末装置に対しては、セグメントを跨ぐ通信の実行は許可されず、通信を実行可能な期間も短いといった制約が課されため、これらの制約に基づく不便さを上記端末装置の利用者に感じさせ、端末状態の登録を促すことができる。
【0020】
さらに好ましい態様においては、上記中継装置のリース確認通知メッセージ転送手段には、前記端末状態テーブルに端末状態データが格納されていない端末装置宛てのリース確認通知メッセージを受信した場合には、当該リース確認通知メッセージに含まれている通信アドレスを記憶した後にその転送を行わせ、前記記憶した通信アドレスを宛先として、当該宛先に対して端末状態データの送信を指示し、当該宛先から返信されてくる端末状態データを前記端末状態テーブルに書き込む端末状態収集手段を上記中継装置に設けることが考えられる。このような態様によれば、端末状態データが端末状態テーブルに格納されていない端末装置に対する通信アドレスの割り当て制御を行ったことを契機として、その端末装置から端末状態データを取得し、以後、当該端末装置に対して通信アドレスの割り当てを行う際には、その端末状態に応じた種類の通信アドレスを割り当てることが可能になる。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態に係る中継装置を含む通信システム1の構成例を示すブロック図である。
【図2】同通信システム1に含まれる中継装置30の構成例を示すブロック図である。
【図3】同中継装置30の配下に形成されるプライマリネットワークおよびセカンダリネットワークを説明するための図である。
【図4】同通信システム1のDHCPサーバ装置60における通信アドレスの格納態様の一例を示す図である。
【図5】同中継装置30の制御部310が実行するリース要求メッセージ転送処理およびリース確認通知メッセージ転送処理の流れを示すフローチャートである。
【図6】同通信システム1に含まれる各装置が実行する処理の流れ、および装置間で送受信される通信メッセージのシーケンスを示す図である。
【図7】DHCPを説明するための図である。
【図8】DHCPサーバ装置と端末装置との間で送受信される通信メッセージのメッセージ構造の一例を示す図である。
【発明を実施するための形態】
【0022】
以下、図面を参照しつつ本発明の実施形態について説明する。
(A:構成)
図1は、本発明の一実施形態に係る中継装置を含む通信システム1の構成例を示す図である。図1の通信システム1は、例えば企業内に敷設された社内情報システムである。この通信システム1は、同企業の各拠点に敷設された拠点内LAN(Local Area Network)10A、10B、10C、および同企業の情報処理センタに敷設されたセンタ側LAN20の各々を、中継装置30A、30B、30Cおよび30Dによりインターネットなどの広域網40に接続して構成されている。つまり、図1に示す通信システム1では、拠点内LAN10A、10B、10C、およびセンタ側LAN20の各々が当該システムを構成するセグメントとなるのである。以下では、拠点内LAN10Aにより形成されるセグメントを「セグメントA」、拠点内LAN10Bにより形成されるセグメントを「セグメントB」、拠点内LAN10Cにより形成されるセグメントを「セグメントC」と呼ぶ。また、以下では、上記3つの拠点内LANの各々を区別する必要がない場合には「拠点内LAN10」と表記し、上記4つの中継装置の各々を区別する必要がない場合には「中継装置30」と表記する。
【0023】
拠点内LAN10には、その拠点内LANが敷設されている拠点に勤務する従業者等の使用する端末装置(例えば、パーソナルコンピュータ等)が接続される。例えば、図1に示す例では、拠点内LAN10Aには端末装置50Aが、拠点内LAN10Bには端末装置50Bが、拠点内LAN10Cには端末装置50Cが接続されている。以下、これら3台の端末装置の各々を区別する必要がない場合には、「端末装置50」と表記する。図1では、各拠点内LAN10に端末装置50が一台ずつ接続されている場合について例示されているが、各拠点内LAN10に複数台の端末装置50を接続しても勿論良い。
【0024】
端末装置50は、他の装置(例えば、他の端末装置50や広域網40に接続されているWWWサーバ装置)との間で所定の通信プロトコル(本実施形態では、TCP/IP)にしたがったデータ通信を行い、電子メールの送受信サービスやWebページの閲覧サービスなどを利用者に提供するためのものである。このようなデータ通信を行うには、通信アドレス(IPアドレス)が端末装置50に割り当てられている必要があり、この通信アドレスの割り当てはセンタ側LAN20に接続されているDHCPサーバ装置60によって行われる。図1の中継装置30は、例えばルータであり、その接続先のセグメント(以下、配下のセグメント)から広域網40へ向けて送信されるIPパケット(或いは、広域網40から配下のセグメントへ向けて送信されるIPパケット)の中継を行う。また、中継装置30は、前述したDHCPリレーエージェントとしても機能し、通信アドレスの割り当ての際に端末装置50とDHCPサーバ装置60との間で送受信される通信メッセージ(前述したIPリース要求メッセージ等)の中継も行う。
【0025】
加えて、図1の中継装置30は、DHCP認証(非特許文献2参照)とQAC(非特許文献3参照)と同様なアクセス先制限を実現するように構成されており、この点に本実施形態の特徴がある。本実施形態にて端末装置50の各々に割り当てられる通信アドレスは「プライマリアドレス」と「セカンダリアドレス」の二種類に分類される。プライマリアドレスは、セグメントを跨ぐ通信(例えば、広域網40に接続されているWWWサーバ装置との通信)の実行を許可する端末装置に割り当てる通信アドレスであり、セカンダアドレスは、同通信の実行を許可しない端末装置50に割り当てる通信アドレスである。図1の中継装置30は、IPリース要求メッセージを受信したことを契機として、その送信元に対してセグメントを跨ぐ通信の実行が許可されているか否かを判定する。具体的には、中継装置30は、IPリース要求メッセージの送信元の端末装置の状態(本実施形態では、端末装置50に検疫ソフトウェアがインストールされているか否か等)を条件として上記判定を行い、その判定結果に応じた通信アドレスの割り当てをDHCPサーバ装置60に指示する。そして、前述したIPパケットの転送制御の際には、中継装置30は、配下の拠点内LAN10から送信されてきたIPパケットの送信元アドレスがセカンダリアドレスである場合には当該IPパケットを破棄する。これによりアクセス制限が実現されるのである。
以下、本実施形態の特徴を顕著に示す中継装置30を中心に説明する。
【0026】
図2は、中継装置30の構成例を示すブロック図である。
図2に示すように中継装置30は、制御部310、第1通信インタフェース(以下、「I/F」)部330、第2通信I/F部340、記憶部350、および、これら構成要素間のデータ授受を仲介するバス360を含んでいる。
【0027】
制御部310は、CPU(Central Processing Unit)である。制御部310は、記憶部350(より正確には、不揮発性記憶部354)に格納されている通信制御プログラム354dを実行することにより、中継装置30の制御中枢として機能する。この通信制御プログラム354dにしたがって制御部310が実行する処理の内容については後に明らかにする。
【0028】
第1通信I/F部330は、NIC(Network Interface Card)であり、図1の広域網40に接続されている。第1通信I/F部330は、広域網40から送信されてくるデータを受信して制御部310へ引渡す一方、制御部310から引渡されるデータを広域網40へと送出する。第2通信I/F部340も第1通信I/F部330と同様にNICであり、広域網40とは異なる通信網に接続されている。より詳細に説明すると、中継装置30Aの第2通信I/F部340は拠点内LAN10Aに、中継装置30Bの第2通信I/F部340は拠点内LAN10Bに、中継装置30Cの第2通信I/F部340は拠点内LAN10Cに、中継装置30Dの第2通信I/F部340はセンタ側LAN20に、各々接続されている。第2通信I/F部340は、各々の接続先通信網から受信したデータを制御部310に引渡す一方、制御部310から引渡されるデータを各々の接続先通信網へと送出する。
【0029】
記憶部350は、図2に示すように揮発性記憶部352と不揮発性記憶部354を含んでいる。揮発性記憶部352は、例えばRAM(Random Access Memory)であり、各種プログラムを実行する際のワークエリアとして制御部310によって利用される。一方、不揮発性記憶部354は、ハードディスクやフラッシュメモリである。不揮発性記憶部354には、中継装置30の特徴を顕著に示す処理を制御部310に実行させるための各種データやプログラムが格納されている。
【0030】
不揮発性記憶部354に格納されているデータの一例としては、図2に示すネットワーク識別子354a、条件テーブル354b、および端末状態テーブル354cが挙げられる。不揮発性記憶部354には、ネットワーク識別子354aや条件テーブル354b、端末状態テーブル354cの他に、IPパケットの転送制御に使用するデータ(所謂ルーティングテーブル:図示略)やDHCPサーバ装置60の通信アドレスも格納されているが、これらデータ(図2にて図示を省略したデータ)については既存のルータやDHCPリレーエージェントに記憶されているものと何ら変るところはないため説明を省略する。
【0031】
ネットワーク識別子354aは、中継装置30の配下のセグメントに接続される端末装置により形成される論理ネットワークを一意に識別するための識別子である。前述したように拠点内LAN10には複数の端末装置が接続され得るのであるが、各端末装置に割り当てられる通信アドレスはプライマリアドレスとセカンダリアドレスの何れかである。このため、上記複数の端末装置の各々はプライマリアドレスを割り当てられているものと、セカンダリアドレスを割り当てられているものとに分類され、前者のグループにより「プライマリネットワーク」が形成され、後者のグループにより「セカンダリネットワーク」が形成される(図3参照)。このプライマリネットワークとセカンダリネットワークが上記論理ネットワークである。不揮発性記憶部354には、プライマリネットワークを一意に示すものと、セカンダリネットワークを一意に示すものの2種類のネットワーク識別子354aが格納されている。本実施形態では、ネットワーク識別子354aとして所謂ネットワークアドレスが用いられている。ここで、ネットワークアドレスとは、そのネットワークアドレスにより識別子される論理ネットワークに属する端末装置50の通信アドレスのうち、サブネットマスクによりマスクされる部分に相当するものである。
【0032】
例えば、図4に示すように、拠点内LAN10Aに接続される端末装置(すなわち、セグメントAに属する端末装置)のうちプライマリネットワークに属するものに割り当てられる通信アドレス群として「192.168.1.1〜192.168.1.50」がDHCPサーバ装置60に登録されているとする。同様に、同セカンダリネットワークに属するものに割り当てられる通信アドレス群として「192.168.2.1〜192.168.2.50」がDHCPサーバ装置60に登録されているとする。この場合、サブネットマスクが「255.255.255.0」であれば、上記プライマリネットワークを示すネットワーク識別子354aとして「192.168.1.0」が中継装置30Aの不揮発性記憶部354に格納されており、同セカンダリネットワークを示すネットワーク識別子354aとして「192.168.2.0」が同不揮発性記憶部354に格納されている。詳細については後述するが、これらネットワーク識別子は、端末装置50に対してプライマリアドレスとセカンダリアドレスの何れを割り当てる(貸し出す)のかをDHCPサーバ装置60に指示する際に利用される。
【0033】
条件テーブル354bには、セグメントを跨ぐ通信の実行を許可する端末装置が備えるべき条件を示すデータ(以下、条件データ)が格納されている。この条件テーブル354bに格納される条件データの一例としては、セグメントを跨ぐ通信の実行を許可する端末装置の端末識別子のリストや、同端末装置にインストールされているべき検疫ソフトウェアの種類(製品名称やバージョン)を示すデータ、同検疫ソフトウェアの実行の際に参照されるパターンファイルを示すデータ(パターンファイルの名称やバージョンを示すデータ)などが挙げられる。一方、端末状態テーブル354cには、中継装置30を介してDHCPサーバ装置60による通信アドレスの割り当てを受けた端末装置の状態(端末識別子および検疫ソフトウェアのインストールの有無、さらに、検疫ソフトウェアがインストールされている場合にはその種類とパターンファイルの種類、など)を示す端末状態データが格納される。
【0034】
次いで、不揮発性記憶部354に格納されているプログラムについて説明する。
不揮発性記憶部354に格納されているプログラムの一例としては、図2に示す通信制御プログラム354dが挙げられる。この通信制御プログラム354dにしたがって制御部310が実行する処理の一例としては、図5(A)に示すリース要求メッセージ転送処理と同図5(B)に示すリース確認通知メッセージ転送処理が挙げられる。図5(A)に示すリース要求メッセージ転送処理は、端末装置50からブロードキャストされるIPリース要求メッセージをDHCPサーバ装置60へ転送する際に実行される処理である。一方、図5(B)に示すリース確認通知メッセージ転送処理は、上記IPリース要求メッセージの送信元へ宛ててDHCPサーバ装置60から送信されるIPリース確認通知メッセージを転送する際に実行される処理である。これら各処理の詳細については重複を避けるために動作例にて明らかにする。なお、IPリース提示メッセージおよびIPリース選択メッセージの転送の際に制御部310が実行する処理については、周知のDHCPリレーエージェントが実行する処理と同一であるため説明を省略する。このように本実施形態の中継装置30の構成は一般的なコンピュータ装置の構成と同一であり、本実施形態の特徴を顕著に示すアドレス割り当て制御処理はソフトウェアにより実現されている。
以上が中継装置30の構成である。
【0035】
(B:動作)
以下、端末装置50Aを初めて拠点内LAN10Aに接続する場合を例にとって本実施形態の動作を説明する。端末装置50Aは、初めて拠点内LAN10Aに接続されるのであるから、以下に説明する動作の開始時点では中継装置30Aの端末状態テーブル354cには、端末装置50Aについての端末状態データは格納されていない。
【0036】
端末装置50Aの利用者がLANケーブルなどを用いてその端末装置50Aを拠点内LAN10Aに接続しその電源(図示省略)を投入すると、端末装置50Aの制御部(図示略)は、IPリース要求メッセージを拠点内LAN10Aにブロードキャストする(図6参照)。このように拠点内LAN10A内にブロードキャストされたIPリース要求メッセージは、その拠点内LAN10A内にDHCPサーバ装置があればそのサーバ装置によって、同サーバ装置が無ければDHCPリレーエージェントによって処理される。本実施形態では、拠点内LAN10Aには、DHCPリレーエージェントの役割を果たす中継装置30Aが接続されているため、上記IPリース要求メッセージは中継装置30Aによって受信され、その処理が行われる。すなわち、中継装置30Aの制御部310は、上記IPリース要求メッセージの受信を契機として、リース要求メッセージ転送処理(図5(A)参照)を実行する(図6:ステップSA01)。
【0037】
図5(A)は、制御部310が通信制御プログラム354dにしたがって実行するリース要求メッセージ転送処理の流れを示すフローチャートである。図5(A)に示すように、制御部310は、まず、IPリース要求メッセージの送信元についての端末状態データが端末状態テーブル354cに格納されているか否かを判定する(ステップSA100)。具体的には、制御部310は、IPリース要求メッセージの送信に用いられたフレームのヘッダ部に書き込まれている送信元MACアドレスを読み出し、当該MACアドレスと一致する端末識別子を含む端末状態データが端末状態テーブル354cに格納されているか否かを判定する。つまり、該当する端末識別子を含む端末状態データが端末状態テーブル354cに格納されている場合には、ステップSA100の判定結果は“Yes”となり、該当端末状態データが格納さていなければステップSA100の判定結果は“No”となる。
【0038】
本動作例の開始時点では、端末装置50Aについての端末状態データは端末状態テーブル354cに格納されていないため、ステップSA100の判定結果は“No”になる。ステップSA100の判定結果が“No”である場合、図5(A)に示すように、制御部310は、ステップSA130の処理を実行する。このステップSA130では、制御部310は、端末装置50AからブロードキャストされたIPリース要求メッセージをDHCPサーバ装置60宛のユニキャストメッセージに変換し、変換後のIPリース要求メッセージの所定フィールド(本実施形態では、giaddrフィールド:図8参照)に、中継装置30Aの記憶部350に記憶されているネットワーク識別子354aのうちセカンダリネットワークのものを書き込んでDHCPサーバ装置60に転送する。
【0039】
中継装置30Aから転送されてくるIPリース要求メッセージは、広域網40内の中継装置によって適宜ルーティングされ、DHCPサーバ装置60に到達する。DHCPサーバ装置60の制御部(図示略)は、上記IPリース要求メッセージを受信すると、その所定フィールドに書き込まれているネットワーク識別子を読み出し、そのネットワーク識別子の示す論理ネットワークに属する端末装置に割り当てる通信アドレス群のうちの未使用アドレスを払い出す。本動作例では、上記所定フィールドにはセグメントAにおけるセカンダリネットワークのネットワーク識別子が書き込まれているのであるから、「192.168.2.1〜192.168.2.50」の範囲内の未使用アドレスが1つ払い出される。次いで、DHCPサーバ装置60の制御部は、当該通信アドレスを書き込んだIPリース提示メッセージを生成し、上記IPリース要求メッセージの送信元へ返信する。
【0040】
上記IPリース提示メッセージは中継装置30Aによって、IPリース要求メッセージの送信元である端末装置50Aに転送され、端末装置50Aの制御部は当該IPリース提示メッセージにより提示された通信アドレスの割り当てを受け入れる場合には、IPリース選択メッセージを返信する。このIPリース選択メッセージは中継装置30AによってDHCPサーバ装置60へ転送され、DHCPサーバ装置60は当該IPリース選択メッセージを受信すると、その送信元に対して提示した通信アドレスとその貸し出し期間を示すリース期間オプション値Tとを書き込んだリース確認通知メッセージを返信する。中継装置30Aの制御部310は、第1通信I/F部330を介して上記IPリース確認通知メッセージを受信すると、図6に示すように、リース確認通知メッセージ転送処理を実行する(図6:ステップSB01)。
【0041】
図5(B)は、リース確認通知メッセージ転送処理の流れを示すフローチャートである。図5(B)に示すように、このリース確認通知メッセージ転送処理では、制御部310は、まず、受信したIPリース確認通知メッセージの転送先となる端末装置についての端末状態データが端末状態テーブル354cに格納さているか否かを判定する(ステップSB100)。このステップSB100にて制御部310が実行する処理の詳細については、前述したステップSA100の処理と同様であるため説明を省略する。そして、制御部310は、ステップSB100の判定結果が“Yes”であれば、当該IPリース確認通知メッセージをそのままその宛先の端末装置へ転送し(ステップSB120)、逆に、ステップSB100の判定結果が“No”であれば、当該IPリース確認通知メッセージに書き込まれているリース期間オプション値Tをより短い貸し出し期間を示す値T´に書き換え(ステップSB110)、その後、ステップSB120の処理を実行する。このように端末状態データが端末状態テーブル354cに格納さていない端末装置に対してリース期間を短くする理由については後に明らかにする。
【0042】
本動作例では、上記IPリース確認通知メッセージの転送先は端末装置50Aであり、この端末装置50Aについての端末状態データは端末状態テーブル354cには格納されていないのであるから、ステップSB100の判定結果は“No”になり、上記ステップSB110の処理が実行される。なお、本動作例では、端末状態データが端末状態テーブル354cに格納されているか否かを判定基準としてリース期間を短くするか否かを決定した。しかし、リース期間の管理をより確実に行うことができるようにするため、リース要求メッセージ転送処理にてセカンダリネットワークのネットワーク識別子を割り当てた端末装置にIPリース確認通知メッセージを転送する場合には、無条件にリース期間オプション値Tをより短いリース期間を示す値に書き換えても良い。
【0043】
端末装置50Aの制御部(図示略)は、中継装置30Aから転送されてくるIPリース確認通知メッセージを受信すると、そのIPリース確認通知メッセージの所定フィールドに書き込まれている通信アドレスを読み出し、自装置に割り当てられた通信アドレスとして記憶する。以降、端末装置50Aは、同メッセージに書き込まれているリース期間オプション値T´の示すリース期間が経過するまで、上記通信アドレスを使用してTCP/IPに準拠したデータ通信を行うことができる。一方、中継装置30の制御部310は、上記IPリース確認通知メッセージの中継を行ってから上記リース期間オプション値T´の示すリース期間が経過するまでの間に端末装置50AとTCP/IPに準拠した通信を行い、その端末状態を示すデータを取得して端末状態テーブル354cに書き込む端末状態収集処理(図6:ステップSC01)を実行する。具体的には、制御部310は、端末装置50Aに対して、インストールされている検疫ソフトウェアの種類およびパターンファイルの種類を表わすデータの送信を要求し、この要求に応じて端末装置50Aから送信されてくるデータと当該端末装置50Aの端末識別子(本実施形態では、当該データの送信に用いられたフレームのヘッダ部に書き込まれている送信元MACアドレス)とを対応付けて端末状態テーブル354cに書き込むのである。
【0044】
さて、リース期間オプション値T´の示すリース期間が経過した後は、端末装置50Aは、上記通信アドレスを使用した通信を行えなくなる。ここで、上記リース期間を通常よりも短くしたのは、以上の処理にて端末装置50Aに割り当てる通信アドレスは、その端末状態に基づかない暫定的なものであり、上記端末状態収集処理の実行に要する時間が確保できれば十分だからである。上記リース期間の経過を検知すると、端末装置50Aは、新たな通信アドレスの割り当てを受けるべく、再度、IPリース要求メッセージをブロードキャストする。このようにしてブロードキャストされたIPリース要求メッセージを受信した中継装置30Aでは、再度、リース要求メッセージ転送処理が実行される(図6:ステップSA02)。図6に示すにように、ステップSA02にて実行されるリース要求メッセージ転送処理の実行時点では、ステップSC01の端末状態収集処理を実行済みであり、端末装置50Aについての端末状態データが端末状態テーブル354cに格納されている。このため、ステップSA02で実行されるリース要求メッセージ転送処理では、ステップSA100の判定結果は“Yes”になる(図5(A)参照)。
【0045】
図5(A)に示すように、ステップSA100の判定結果がYesである場合は、制御部310は、上記IPリース要求メッセージの送信元の端末状態が条件テーブル354bに格納されている条件データの示す条件を満たすか否かを判定する(ステップSA110)。そして、制御部310は、ステップSA110の判定結果がYesである場合には、上記IPリース要求メッセージの所定フィールドにプライマリネットワークのネットワーク識別子354aを書き込んでDHCPサーバ装置60へ転送し(ステップSA120)、逆に、ステップSA110の判定結果が“No”である場合には、前述したステップSA130の処理を実行する。IPリース要求メッセージを受信したDHCPサーバ装置60では、そのIPリース要求メッセージの所定フィールドに書き込まれているネットワーク識別子に応じてプライマリアドレス、またはセカンダリアドレスの何れかが選択されるのであるから、IPリース要求メッセージの所定フィールドにセットされるネットワーク識別子は、DHCPサーバ装置60に対してプライマリアドレスを貸し出すのか、それともセカンダリアドレスを貸し出すのかを指示する指示子の役割を担うのである。
【0046】
上記のようにして中継装置30Aから転送されてくるIPリース要求メッセージも広域網40内の中継装置によって適宜ルーティングされ、DHCPサーバ装置60に到達する。DHCPサーバ装置60の制御部(図示略)は、上記IPリース要求メッセージを受信すると、その所定フィールドに書き込まれているネットワーク識別子を読み出し、そのネットワーク識別子の示す論理ネットワークに属する端末装置に割り当てる通信アドレス群のうちの未使用アドレスを払い出す。そして、DHCPサーバ装置60の制御部は当該通信アドレスを書き込んだIPリース提示メッセージを返信する。このIPリース提示メッセージは中継装置30Aによって端末装置50Aに転送され、端末装置50Aは当該IPリース提示メッセージを受信すると、IPリース選択メッセージを返信する。このIPリース選択メッセージは中継装置30AによってDHCPサーバ装置60へ転送され、DHCPサーバ装置60は当該IPリース選択メッセージを受信すると、その送信元に対して提示した通信アドレスとその貸し出し期間を示すリース期間オプション値Tとを書き込んだリース確認通知メッセージを返信する。
【0047】
中継装置30Aの制御部310は、上記IPリース確認通知メッセージを受信すると、リース確認通知メッセージ転送処理を実行する(図6:ステップSB02)。このステップSB02の実行時点では、前述したステップSC01の処理によって端末装置50Aについての端末状態データが端末状態テーブル354cに格納されているため、ステップSB02で実行されるリース確認通知メッセージ転送処理のステップSB100の判定結果は“Yes”になる。図5(B)に示すように、ステップSB100の判定結果がYesである場合は、制御部310は、前述したステップSB110の処理(リース期間オプション値Tの書き換え)を行うことなく、IPリース確認通知メッセージをその宛先へ転送する(ステップSB120)。このように、ステップSB100の判定結果がYesである場合にはリース期間オプション値Tの書き換えを行わずにIPリース確認通知メッセージを転送するようにしたのは、このIPリース確認通知メッセージに含まれている通信アドレスは、その割り当てを受ける端末装置の端末状態が所定の条件を満たすか否かに応じて割り当てられたものであり、そのリース期間を短く制限する必要はないからである。
【0048】
以降、端末装置50Aは、中継装置30Aから転送されてくるIPリース確認通知メッセージを受信すると、そのIPリース確認通知メッセージの所定フィールドに書き込まれている通信アドレスを読み出し、自装置に割り当てられた通信アドレスとして記憶し、同メッセージに書き込まれているリース期間オプション値Tの示す期間が経過するまで、データ通信を行うことができるのである。例えば、端末装置50Aの端末状態が、上記条件データの示す条件を満たすものであれば、DHCPサーバ装置60によってプライマリアドレスが端末装置50Aに割り当てられることとなり、当該端末装置50Aは、セグメントを跨ぐデータ通信を実行することができる。逆に、端末装置50Aの端末状態が、上記条件データの示す条件を満たさないものであれば、DHCPサーバ装置60によってセカンダリアドレスが端末装置50Aに割り当てられることとなり、当該端末装置50Aは、セグメントを跨がない範囲でのみ(例えば、拠点内LAN10Aに接続されている他の端末装置であって、セカンダリアドレスを割り当てられている端末装置との間でのみ)データ通信を実行することができるのである。
【0049】
以上説明したように、本実施形態では、中継装置30によってその配下の端末装置50に対してプライマリアドレスを割り当てるのか、それともセカンダリアドレスを割り当てるのかの判定が行われる。このため、上記判定をDHCPサーバ装置60で行う態様に比較して、その判定の実行に要する処理負荷を各中継装置30に分散し、DHCPサーバ装置60に過剰な負荷がかかることが回避される。また、本実施形態においては、各端末装置へ割り当てる通信アドレス群をDHCPサーバ装置60で一括管理することができる一方、プライマリアドレスの割り当て条件を示す条件データや端末状態データについては上記判定を行う各中継装置30に記憶させておけば良く(すなわち、各拠点にて作業を行えば良い)、これらのデータの登録のためにDHCPサーバ装置60が設置されている情報処理センタに出向く必要はない。
【0050】
(C:変形)
以上、本発明の実施形態について説明したが、この実施形態を以下のように変形しても良いことは勿論である。
(1)上述した実施形態では、互いに異なる2つの通信網に接続され、IPパケットの転送制御を行う中継装置に本発明を適用した。しかし、図5(A)に示すリース要求メッセージ転送処理および図5(B)に示すリース確認通知メッセージ転送処理を実行する中継装置(具体的には、DHCPエージェントとしてのみ機能する中継装置)をIPパケットの転送制御を行う中継装置とは別個に各拠点内LAN10に設けるようにしても良い。
【0051】
(2)上述した実施形態では、プライマリアドレスの割り当て条件(すなわち、セグメントを跨ぐ通信を許可する条件)として、以下の3つの条件が定められていた。すなわち、第1に、端末識別子が予め登録されたものであること(条件1)、第2に所定の種類の検疫ソフトウェアがインストールされていること(条件2)、そして、第3に、上記検疫ソフトウェアを実行する際に参照されるデータ(パターンファイル)として所定の種類のものがインストールされていること(条件3)、である。しかし、これら3つの条件のうちの何れか1または2つのみを課しても良い。例えば、上記条件1のみを課す態様においては、予め登録された端末装置であるか否かに応じてプライマリアドレスまたはセカンダリアドレスの何れかが割り当てられることとなるため、前述したDHCP認証(非特許文献2参照)と同一の作用効果が得られることになり、上記条件2(或いは条件2と条件3)を課すようにすれば、前述したQAC(非特許文献3)と同一の作用効果が得られる。
【0052】
また、プライマリアドレスの割り当て条件として、上述した条件1〜条件3の3つの条件とは異なる他の条件を課しても勿論良い。具体的には、特定の種類のソフトウェア(例えば、Winnyなどに代表されるファイル交換ソフトウェア)がインストールされていないという条件を課すといった具合である。この種のファイル交換ソフトウェアがインストールされていると、端末装置50に記憶されている各種データが上記ファイル交換ソフトウェアによって使用者の知らない間に流出する虞があるからであり、上記各種データに社外秘等の機密情報が含まれている場合には、機密漏えいの原因となりかねないからである。
【0053】
(3)上述した実施形態では、中継装置30を介してDHCPサーバ装置60による通信アドレスの割り当てを初めて受ける端末装置50に対しては常にセカンダリアドレスが割り当てられるようにし、そのリース期間内に当該端末装置50と通信し端末状態データを取得する処理を中継装置30の制御部310に実行させた。しかし、IPリース要求メッセージの送信の際にはその未使用フィールドに端末状態データを書き込んで送信する処理を端末装置50に実行させ、当該未使用フィールドに書き込まれている端末状態データを参照して条件データの示す条件を満たすか否かを判定しその判定結果に応じたネットワーク識別子を付与してIPリース要求メッセージを転送する処理を制御部310に実行させるようにしても良い。このような態様によれば、中継装置30を介してDHCPサーバ装置60による通信アドレスの割り当てを初めて受ける端末装置50であっても、その端末状態に応じた通信アドレスを割り当てることが可能になる。したがって、図6のステップSC01の処理を中継装置30に実行させる必要はない。また、中継装置30を介してDHCPサーバ装置60による通信アドレスの割り当てを初めて受ける端末装置50に対してはセカンダリアドレスを暫定的に割り当てる態様であっても、図6のステップSC01の処理は必ずしも必須ではない。例えば、ステップSC01の処理に換えて端末状態の登録を促す通知を送信する処理を中継装置30の制御部310に実行させ、端末状態の登録については別途、利用者の自己申告等に基づいて行うようにしても良い。
【0054】
また、端末装置から取得した端末状態データに有効期間を持たせ、定期的に繰り返し端末状態データを取得することで、常に最新の端末状態を監視し安全性を確認できるようにしても良い。
【0055】
(4)上述した実施形態では、本発明の特徴を顕著に示すリース要求メッセージ転送処理およびリース確認通知メッセージ転送処理をCPUに実行させる通信制御プログラム354dが中継装置30の不揮発性記憶部354に予め格納されていた。しかし、CD−ROMなどのコンピュータ読み取り可能な記録媒体に上記通信制御プログラムを書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより上記通信制御プログラムを配布しても良い。このようにして配布される通信制御プログラムを一般的なコンピュータにインストールし、当該通信制御プログラムにしたがってそのコンピュータを作動させることでそのコンピュータに、中継装置30と同一の機能を付与することが可能になる。
【符号の説明】
【0056】
1…通信システム、10A,10B,10C…拠点内LAN、20…センタ側LAN、30A,30B,30C,30D…中継装置、40…広域網、50A,50B,50C…端末装置、60…DHCPサーバ装置、310…制御部、330…第1通信I/F部、340…第2通信I/F部、350…記憶部、352…揮発性記憶部、354…不揮発性記憶部、354a…ネットワーク識別子、354b…条件テーブル、354c…端末状態テーブル、354d…通信制御プログラム、360…バス。
【技術分野】
【0001】
本発明は、通信システムに含まれる端末装置への通信アドレスの割り当てを支援する技術に関する。
【背景技術】
【0002】
通信網を介したデータ通信では、IP(Internet Protocol)アドレスなどの通信アドレスを用いてデータの送信元や送信先が特定される。このため、通信システムに含まれる各端末装置には、互いに異なる通信アドレスを割り当てておく必要がある。このような通信アドレスの割り当ては、ネットワーク管理者等が手作業で行うこと(具体的には、互いに異なる通信アドレスを各端末装置に入力し記憶させるなど)もあるが、DHCP(Dynamic Host Configuration Protocol)を利用して自動的に行うようにすることが一般的である。
【0003】
DHCPを利用した通信システムでは、DHCPサーバ装置と呼ばれるコンピュータ装置を設け、各端末装置へ割り当てる(貸し出す)通信アドレスの集合(以下、通信アドレス群)をそのDHCPサーバ装置に予め記憶させておく。そして、端末装置とDHCPサーバ装置とに、図7(A)に示すシーケンスの通信を行わせることで通信アドレスの割り当てが実現される。端末装置は、電源の投入等を契機として通信アドレスの割り当てを要求する旨の通信メッセージ(IPリース要求メッセージ(DHCPDISCOVER):同メッセージのメッセージ構造については図8参照)をブロードキャストする。DHCPサーバ装置は、当該IPリース要求メッセージを受信したことを契機として、自装置に登録されている通信アドレス群のうちから未使用の通信アドレス(他の端末装置に割り当てられていない通信アドレス:以下、未使用アドレス)を選択する。そして、DHCPサーバ装置は、当該選択した未使用アドレスを上記IPリース要求メッセージの送信元へ提示するために、IPリース提示メッセージ(DHCPOFFER)の所定フィールドに書き込んで返信する。
【0004】
上記端末装置は、当該IPリース提示メッセージを受信すると、そのIPリース提示メッセージにより提示された通信アドレスの割り当てを受け入れる旨を通知するために、IPリース選択メッセージ(DCHPREQUEST)を返信する。このIPリース選択メッセージを受信したDHCPサーバ装置は、上記IPリース提示メッセージにより提示した通信アドレスとその貸し出し期間を示すデータ(リース期間オプション値)を書き込んだIPリース確認通知メッセージ(DHCPACK)を返信する。上記端末装置は上記IPリース確認通知メッセージを受信すると、同メッセージに書き込まれている通信アドレスを自装置に対して割り当てられたものとして記憶し、同メッセージに書き込まれているリース期間オプションの示す期間が経過するまで、その通信アドレスを用いてデータ通信を行うことができるのである。
以上がDHCPを利用した通信アドレスの割り当ての概要である。なお、DHCPの詳細については、非特許文献1を参照されたい。
【0005】
このようにDHCPによる通信アドレスの割り当ては、IPリース要求メッセージのブロードキャストにより開始されるのであるが、ブロードキャストメッセージはルータ等の中継装置を超えて他のセグメントに転送されることはない。したがって、通信システムが複数のセグメントで構成されている場合(例えば、図7(B)に示すように各セグメントをルータ等の中継装置(図示略)を介してインターネットなどの広域網に接続して通信システムが構成されている場合)には、各セグメントに1台ずつDHCPサーバ装置を設け、セグメント毎に通信アドレスの割り当てを行う必要がある。しかし、セグメント毎に通信アドレスの割り当てを行う態様では、通信システム全体での通信アドレス群の管理が難しくなり、各セグメントにて端末装置に割り当てる通信アドレス群の一部が重複するといった不具合が発生する場合がある。
【0006】
IPリース要求メッセージがブロードキャストされるものであることに起因した不具合を解決するための技術の一例としてはDHCPリレーエージェントが挙げられる。DHCPリレーエージェントを利用した通信システムでは、図7(C)に示すように、複数のセグメントのうちの何れか1つにDHCPサーバ装置を設けておき、他のセグメントにはDHCPリレーエージェントと呼ばれるコンピュータ装置を設けておく。なお、一般的には、前述した中継装置がDHCPリレーエージェントの役割を兼ねることが多い。よって、以下では、広域網と各セグメントとを接続する中継装置がDHCPリレーエージェントの役割を兼ねている場合について説明する。
【0007】
DHCPリレーエージェントとして機能する中継装置は、配下のセグメントに属する端末装置によってブロードキャストされたIPリース要求メッセージを受信すると、DHCPサーバ装置宛のユニキャストメッセージに変換し、さらにその所定フィールド(図8のgiaddrフィールド)に当該中継装置の通信アドレスを書き込んでDHCPサーバ装置に転送する。DHCPサーバ装置には、各DHCPリレーエージェントが接続されているセグメントに属する端末装置に割り当てる通信アドレス群が登録されている。DHCPサーバ装置は、このIPリース要求メッセージを受信すると、上記通信アドレス群のうちから未使用アドレスを1つ選択し、この未使用アドレスを書き込んだIPリース提示メッセージをDHCPリレーエージェントに返信する。そして、DHCPリレーエージェントは、このIPリース提示メッセージを上記IPリース要求メッセージの送信元である端末装置に転送するのである。以降、IPリース選択メッセージおよびIPリース確認通知メッセージについてもDHCPエージェントによって転送制御が為され、端末装置への通信アドレスの割り当てが完了するのである。このように、DHCPリレーエージェントを用いた通信システムでは、端末装置に割り当てる通信アドレス群を1台のDHCPサーバ装置で一括管理することができるため、各セグメントにて端末装置に割り当てる通信アドレス群の一部が重複するなど不具合が生じ難くなる。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】“RFC2131「Dynamic Host Configuration Protocol」”、インターネット、<http://www.rtpo.yamaha.co.jp/RT/docs/dhcp-auth/index.html>
【非特許文献2】“DHCP認証機能”、インターネット、<http://www.rtpo.yamaha.co.jp/RT/docs/dhcp-auth/index.html>
【非特許文献3】“QAC機能”、インターネット、<http://jp.trendmicro.com/jp/products/sbYAMAHA/detail>
【発明の概要】
【発明が解決しようとする課題】
【0009】
ところで、近年では機密漏えいに対する関心の高まりから、端末装置に対して何らかのアクセス先制限を設けることが多い。例えば、予め登録された端末装置についてのみ、セグメントを跨ぐ通信(例えば、広域網に接続されているWWWサーバ装置との通信や他のセグメントに属する端末装置との通信)を許可し、登録されていない端末装置にはセグメントを跨ぐ通信を許可しないといった具合である。このようなアクセス先制限を実現する技術としては、非特許文献2に開示されたDHCP認証や、非特許文献3に開示されたQAC(Qualified Access Control)が挙げられる。
【0010】
DHCP認証では、セグメントを跨ぐ通信の実行を許可する端末装置を一意に識別する端末識別子(例えば、MAC(Media Access Control)アドレス等)を予めDHCPサーバ装置に登録しておくとともに、上記セグメントを跨ぐ通信を許可する端末装置に割り当てる通信アドレスの集合(第1の通信アドレス群)とその他の端末装置に割り当てる通信アドレスの集合(第2の通信アドレス群)とを両者が重複しないように上記DHCPサーバ装置に記憶させておく。そして、上記DHCPサーバ装置は、IPリース要求メッセージを受信した場合には、その送信元のMACアドレスを参照してその送信元に対してセグメントを跨ぐ通信の実行が許可されているか否かを判定し、その判定結果に応じて上記第1または第2の通信アドレス群の何れかから未使用アドレスを選択し、返信するのである。そして、各セグメントを広域網に接続する中継装置には、配下のセグメントから受信したパケットの送信元アドレスが上記第1の通信アドレス群に属するものである場合にのみその転送を行わせる(第2の通信アドレス群に属するものである場合には当該パケットを破棄させる)ことで、上記アクセス制限が実現されるのである。一方、QACは、端末装置にインストールされている検疫ソフトウェア(例えば、ウィルスチェックソフトウェア)の種類等によってアクセス先制限を実現する技術である。例えば、所定の検疫ソフトウェアがインストールされている端末装置には上記第1の通信アドレス群に属する通信アドレスを割り当て、所定の検疫ソフトウェアがインストールされていない端末装置には、上記第2の通信アドレス群に属する通信アドレスを割り当てるといった具合である。
【0011】
さて、ここで問題となるのは、上述したDHCP認証やQACとDHCPリレーエージェントとは親和性が低く、併用が難しいという点である。例えばDHCP認証とDHCPリレーエージェントとを併用する場合、セグメントを跨ぐ通信の実行を許可する端末装置の端末識別子をDHCPサーバ装置に予め登録しておく必要がある。このような端末識別子の登録はネットワーク管理者等が手動で行うことが一般的であるため、当該ネットワーク管理者は、システムに含まれる端末装置の数が変化するたびにDHCPサーバ装置の元へ出向いて新たな端末識別子の登録を行わねばならす、非常に煩わしい作業を強いられることとなる。また、DHCP認証(或いはQAC)とDHCPリレーエージェントとを併用する場合、各端末装置についてセグメントを跨ぐ通信の実行が許可されているか否かの判定をDHCPサーバ装置が行うことになるが、このような態様ではDHCPサーバ装置にかかる処理負荷が過剰に高くなる虞がある。
【0012】
本発明は上記課題に鑑みて為されたものであり、端末装置への通信アドレスの割り当て処理にてDHCPサーバ装置に処理負荷が集中することを回避しつつ、各端末装置へ割り当てる通信アドレスの一括管理が可能で、かつ、端末装置の状態に応じたアクセス先制限を併用することを可能にする技術を提供することを目的とする。
【課題を解決するための手段】
【0013】
上記課題を解決するために本発明は、セグメントを跨ぐ通信の実行を許可されている端末装置に割り当てる第1の通信アドレス群とセグメントを跨ぐ通信の実行を許可されていない端末装置に割り当てる第2の通信アドレス群とを記憶し端末装置からの要求に応じて何れかの通信アドレスを貸し出すDHCPサーバ装置と、配下のセグメントに属する端末装置との間の通信を中継する中継装置において、端末装置が前記第1の通信アドレス群に属する通信アドレスの割り当てを受けるための条件を示す条件データが書き込まれた条件テーブルと、通信アドレスの貸し出しを要求する旨の通信メッセージであるリース要求メッセージを端末装置から受信したことを契機として、当該端末装置の状態が前記条件を満たすか否かを判定し、満たすと判定した場合には前記第1の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送し、満たさないと判定した場合には前記第2の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送するリース要求メッセージ転送手段と、前記リース要求メッセージの送信元に貸し出す通信アドレスとその貸し出し期間を示すリース期間データとを含む通信メッセージであるリース確認通知メッセージを前記DHCPサーバ装置から受信し、当該リース確認通知メッセージを前記IPリース要求メッセージの送信元へ転送するリース確認通知メッセージ転送手段とを有することを特徴とする中継装置、およびコンピュータを上記各手段として機能させることを特徴とするプログラムを提供する。なお、このようなプログラムを提供する際の具体的な態様としては、CD−ROM(Compact Disk-Read Only Memory)などのコンピュータ読み取り可能な記録媒体に当該プログラムを書き込んで配布する態様や、インターネットなどの電気通信回線経由のダウンロードにより配布する態様が考えられる。
【0014】
複数のセグメントからなる通信システム(例えば、複数のセグメントの各々を広域網に接続してなる通信システム等)にて何れか1つのセグメントにDHCPサーバ装置を設け、各セグメントに1台ずつ上記中継装置を設けておけば、以下の要領で端末装置に対する通信アドレスの割り当てが行われる。すなわち、上記通信システムにおいて、何れかのセグメントに接続された端末装置は、通信アドレスの割り当てを受けるためにリース要求メッセージ(より具体的には、IPリース要求メッセージ)を当該セグメント内にブロードキャストする。当該セグメントに設けられている上記中継装置は、このリース要求メッセージを受信すると、この端末装置に対してセグメントを跨ぐ通信の実行が許可されているか否かを当該端末装置の状態に基づいて判定し、その判定結果に応じた指示子を付与して当該リース要求メッセージをDHCPサーバ装置へ転送する。
【0015】
ここで、セグメントを跨ぐ通信の実行が許可されているか否かの判定基準は、リース要求メッセージの送信元の端末状態が上記条件データの示す条件を満たすか否かである。かかる条件の一例としては、予め登録された端末装置(例えば、予め登録された端末識別子に一致する端末識別子を有する端末装置)であること、或いは特定の検疫ソフトウェアがインストールされているなど特定の状態の端末装置であること等が考えられる。なお、端末装置の状態を示す端末状態データについては、上記中継装置に予め記憶させておいても良いし、リース要求メッセージの未使用フィールドに書き込んで上記端末装置に送信させるようにしても良い。
【0016】
上記中継装置から転送されてくるリース要求メッセージを受信したDHCPサーバ装置は、そのリース要求メッセージに付与されている指示子にしたがって第1または第2の通信アドレス群の何れかから未使用アドレスを選択し、その未使用アドレスを書き込んだリース提示メッセージを返信する。以降、前述した従来のDHCPにおけるものと同様の通信を行うことによって、端末装置への通信アドレスの割り当てが完了する。具体的には、上記リース提示メッセージは上記中継装置によって、リース要求メッセージの送信元である端末装置へ転送され、上記端末装置は当該リース提示メッセージにより提示された通信アドレスの割り当てを受け入れる場合には、その旨を通知するリース選択メッセージ(例えば、IPリース選択メッセージ)を返信する。このリース選択メッセージは上記中継装置によってDHCPサーバ装置へ転送され、DHCPサーバ装置は当該リース選択メッセージを受信すると、その送信元に対して提示した通信アドレスとその貸し出し期間を示すリース期間オプション値とを書き込んだリース確認通知メッセージを返信する。このリース確認通知メッセージは上記中継装置によって上記端末装置へ転送され、上記端末装置は、同メッセージに書き込まれている通信アドレスを自装置に対して割り当てられたものとして記憶し、同メッセージに書き込まれているリース期間オプション値の示す期間の間、その通信アドレスを使用してデータ通信を行うことができるのである。
【0017】
このように、上記通信システムでは、リース要求メッセージの送信元の端末装置についてセグメントを跨ぐ通信を許可するか否かの判定は上記中継装置で行われるため、DHCPサーバ装置に負荷が集中することはない。また、上記通信システムにおいては端末装置へ割り当てる第1および第2の通信アドレス群をDHCPサーバ装置で一括管理することができる。加えて、上記通信システムでは、上記条件を示すデータや端末状態データについては上記判定を行う各中継装置に記憶させておけば良く、これらのデータの登録のために逐一DHCPサーバ装置の元に出向く必要はない。そして、上記条件として、「予め登録された端末装置であること」を採用すれば、前述したDHCP認証を実現することができ、「特定の検疫ソフトウェアがインストールされていること」を採用すれば、前述したQACを実現することができる。
【0018】
より好ましい態様においては、端末装置の状態を示す端末状態データが書き込まれる端末状態テーブルを上記中継装置に設け、前記リース要求メッセージ転送手段には、前記リース要求メッセージの送信元についての端末状態データが前記端末状態テーブルに格納されていない場合には、前記第2の通信アドレスの貸し出しを指示する旨の指示子を付与して前記受信したリース要求メッセージを転送する一方、該当する端末状態データが前記端末状態テーブルに格納されている場合には、当該端末状態データを参照して前記条件を満たすか否かを判定し、その判定結果に応じた指示子を付与して前記受信したリース要求メッセージを転送する処理を実行させ、前記リース確認通知メッセージ転送手段には、前記リース期間データをより短い貸し出し期間を示すものに書き換えて前記リース確認通知メッセージを転送する処理を実行させることが考えられる。
【0019】
このような中継装置によれば、端末状態データが端末状態テーブルに格納されていない端末装置(例えば、新たにセグメントに接続された端末装置)に対しては、常に、第2の通信アドレス群に属する通信アドレスが割り当てられ、そのリース期間も端末状態データが端末状態テーブルに格納されている端末装置についてのものより短く設定される。つまり、端末状態データが登録されていない端末装置に対しては、短期間だけセグメントを跨がない範囲で暫定的に通信の実行が許可されるのである。このように、端末状態データが端末状態テーブルに格納されていない端末装置に対しては、セグメントを跨ぐ通信の実行は許可されず、通信を実行可能な期間も短いといった制約が課されため、これらの制約に基づく不便さを上記端末装置の利用者に感じさせ、端末状態の登録を促すことができる。
【0020】
さらに好ましい態様においては、上記中継装置のリース確認通知メッセージ転送手段には、前記端末状態テーブルに端末状態データが格納されていない端末装置宛てのリース確認通知メッセージを受信した場合には、当該リース確認通知メッセージに含まれている通信アドレスを記憶した後にその転送を行わせ、前記記憶した通信アドレスを宛先として、当該宛先に対して端末状態データの送信を指示し、当該宛先から返信されてくる端末状態データを前記端末状態テーブルに書き込む端末状態収集手段を上記中継装置に設けることが考えられる。このような態様によれば、端末状態データが端末状態テーブルに格納されていない端末装置に対する通信アドレスの割り当て制御を行ったことを契機として、その端末装置から端末状態データを取得し、以後、当該端末装置に対して通信アドレスの割り当てを行う際には、その端末状態に応じた種類の通信アドレスを割り当てることが可能になる。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態に係る中継装置を含む通信システム1の構成例を示すブロック図である。
【図2】同通信システム1に含まれる中継装置30の構成例を示すブロック図である。
【図3】同中継装置30の配下に形成されるプライマリネットワークおよびセカンダリネットワークを説明するための図である。
【図4】同通信システム1のDHCPサーバ装置60における通信アドレスの格納態様の一例を示す図である。
【図5】同中継装置30の制御部310が実行するリース要求メッセージ転送処理およびリース確認通知メッセージ転送処理の流れを示すフローチャートである。
【図6】同通信システム1に含まれる各装置が実行する処理の流れ、および装置間で送受信される通信メッセージのシーケンスを示す図である。
【図7】DHCPを説明するための図である。
【図8】DHCPサーバ装置と端末装置との間で送受信される通信メッセージのメッセージ構造の一例を示す図である。
【発明を実施するための形態】
【0022】
以下、図面を参照しつつ本発明の実施形態について説明する。
(A:構成)
図1は、本発明の一実施形態に係る中継装置を含む通信システム1の構成例を示す図である。図1の通信システム1は、例えば企業内に敷設された社内情報システムである。この通信システム1は、同企業の各拠点に敷設された拠点内LAN(Local Area Network)10A、10B、10C、および同企業の情報処理センタに敷設されたセンタ側LAN20の各々を、中継装置30A、30B、30Cおよび30Dによりインターネットなどの広域網40に接続して構成されている。つまり、図1に示す通信システム1では、拠点内LAN10A、10B、10C、およびセンタ側LAN20の各々が当該システムを構成するセグメントとなるのである。以下では、拠点内LAN10Aにより形成されるセグメントを「セグメントA」、拠点内LAN10Bにより形成されるセグメントを「セグメントB」、拠点内LAN10Cにより形成されるセグメントを「セグメントC」と呼ぶ。また、以下では、上記3つの拠点内LANの各々を区別する必要がない場合には「拠点内LAN10」と表記し、上記4つの中継装置の各々を区別する必要がない場合には「中継装置30」と表記する。
【0023】
拠点内LAN10には、その拠点内LANが敷設されている拠点に勤務する従業者等の使用する端末装置(例えば、パーソナルコンピュータ等)が接続される。例えば、図1に示す例では、拠点内LAN10Aには端末装置50Aが、拠点内LAN10Bには端末装置50Bが、拠点内LAN10Cには端末装置50Cが接続されている。以下、これら3台の端末装置の各々を区別する必要がない場合には、「端末装置50」と表記する。図1では、各拠点内LAN10に端末装置50が一台ずつ接続されている場合について例示されているが、各拠点内LAN10に複数台の端末装置50を接続しても勿論良い。
【0024】
端末装置50は、他の装置(例えば、他の端末装置50や広域網40に接続されているWWWサーバ装置)との間で所定の通信プロトコル(本実施形態では、TCP/IP)にしたがったデータ通信を行い、電子メールの送受信サービスやWebページの閲覧サービスなどを利用者に提供するためのものである。このようなデータ通信を行うには、通信アドレス(IPアドレス)が端末装置50に割り当てられている必要があり、この通信アドレスの割り当てはセンタ側LAN20に接続されているDHCPサーバ装置60によって行われる。図1の中継装置30は、例えばルータであり、その接続先のセグメント(以下、配下のセグメント)から広域網40へ向けて送信されるIPパケット(或いは、広域網40から配下のセグメントへ向けて送信されるIPパケット)の中継を行う。また、中継装置30は、前述したDHCPリレーエージェントとしても機能し、通信アドレスの割り当ての際に端末装置50とDHCPサーバ装置60との間で送受信される通信メッセージ(前述したIPリース要求メッセージ等)の中継も行う。
【0025】
加えて、図1の中継装置30は、DHCP認証(非特許文献2参照)とQAC(非特許文献3参照)と同様なアクセス先制限を実現するように構成されており、この点に本実施形態の特徴がある。本実施形態にて端末装置50の各々に割り当てられる通信アドレスは「プライマリアドレス」と「セカンダリアドレス」の二種類に分類される。プライマリアドレスは、セグメントを跨ぐ通信(例えば、広域網40に接続されているWWWサーバ装置との通信)の実行を許可する端末装置に割り当てる通信アドレスであり、セカンダアドレスは、同通信の実行を許可しない端末装置50に割り当てる通信アドレスである。図1の中継装置30は、IPリース要求メッセージを受信したことを契機として、その送信元に対してセグメントを跨ぐ通信の実行が許可されているか否かを判定する。具体的には、中継装置30は、IPリース要求メッセージの送信元の端末装置の状態(本実施形態では、端末装置50に検疫ソフトウェアがインストールされているか否か等)を条件として上記判定を行い、その判定結果に応じた通信アドレスの割り当てをDHCPサーバ装置60に指示する。そして、前述したIPパケットの転送制御の際には、中継装置30は、配下の拠点内LAN10から送信されてきたIPパケットの送信元アドレスがセカンダリアドレスである場合には当該IPパケットを破棄する。これによりアクセス制限が実現されるのである。
以下、本実施形態の特徴を顕著に示す中継装置30を中心に説明する。
【0026】
図2は、中継装置30の構成例を示すブロック図である。
図2に示すように中継装置30は、制御部310、第1通信インタフェース(以下、「I/F」)部330、第2通信I/F部340、記憶部350、および、これら構成要素間のデータ授受を仲介するバス360を含んでいる。
【0027】
制御部310は、CPU(Central Processing Unit)である。制御部310は、記憶部350(より正確には、不揮発性記憶部354)に格納されている通信制御プログラム354dを実行することにより、中継装置30の制御中枢として機能する。この通信制御プログラム354dにしたがって制御部310が実行する処理の内容については後に明らかにする。
【0028】
第1通信I/F部330は、NIC(Network Interface Card)であり、図1の広域網40に接続されている。第1通信I/F部330は、広域網40から送信されてくるデータを受信して制御部310へ引渡す一方、制御部310から引渡されるデータを広域網40へと送出する。第2通信I/F部340も第1通信I/F部330と同様にNICであり、広域網40とは異なる通信網に接続されている。より詳細に説明すると、中継装置30Aの第2通信I/F部340は拠点内LAN10Aに、中継装置30Bの第2通信I/F部340は拠点内LAN10Bに、中継装置30Cの第2通信I/F部340は拠点内LAN10Cに、中継装置30Dの第2通信I/F部340はセンタ側LAN20に、各々接続されている。第2通信I/F部340は、各々の接続先通信網から受信したデータを制御部310に引渡す一方、制御部310から引渡されるデータを各々の接続先通信網へと送出する。
【0029】
記憶部350は、図2に示すように揮発性記憶部352と不揮発性記憶部354を含んでいる。揮発性記憶部352は、例えばRAM(Random Access Memory)であり、各種プログラムを実行する際のワークエリアとして制御部310によって利用される。一方、不揮発性記憶部354は、ハードディスクやフラッシュメモリである。不揮発性記憶部354には、中継装置30の特徴を顕著に示す処理を制御部310に実行させるための各種データやプログラムが格納されている。
【0030】
不揮発性記憶部354に格納されているデータの一例としては、図2に示すネットワーク識別子354a、条件テーブル354b、および端末状態テーブル354cが挙げられる。不揮発性記憶部354には、ネットワーク識別子354aや条件テーブル354b、端末状態テーブル354cの他に、IPパケットの転送制御に使用するデータ(所謂ルーティングテーブル:図示略)やDHCPサーバ装置60の通信アドレスも格納されているが、これらデータ(図2にて図示を省略したデータ)については既存のルータやDHCPリレーエージェントに記憶されているものと何ら変るところはないため説明を省略する。
【0031】
ネットワーク識別子354aは、中継装置30の配下のセグメントに接続される端末装置により形成される論理ネットワークを一意に識別するための識別子である。前述したように拠点内LAN10には複数の端末装置が接続され得るのであるが、各端末装置に割り当てられる通信アドレスはプライマリアドレスとセカンダリアドレスの何れかである。このため、上記複数の端末装置の各々はプライマリアドレスを割り当てられているものと、セカンダリアドレスを割り当てられているものとに分類され、前者のグループにより「プライマリネットワーク」が形成され、後者のグループにより「セカンダリネットワーク」が形成される(図3参照)。このプライマリネットワークとセカンダリネットワークが上記論理ネットワークである。不揮発性記憶部354には、プライマリネットワークを一意に示すものと、セカンダリネットワークを一意に示すものの2種類のネットワーク識別子354aが格納されている。本実施形態では、ネットワーク識別子354aとして所謂ネットワークアドレスが用いられている。ここで、ネットワークアドレスとは、そのネットワークアドレスにより識別子される論理ネットワークに属する端末装置50の通信アドレスのうち、サブネットマスクによりマスクされる部分に相当するものである。
【0032】
例えば、図4に示すように、拠点内LAN10Aに接続される端末装置(すなわち、セグメントAに属する端末装置)のうちプライマリネットワークに属するものに割り当てられる通信アドレス群として「192.168.1.1〜192.168.1.50」がDHCPサーバ装置60に登録されているとする。同様に、同セカンダリネットワークに属するものに割り当てられる通信アドレス群として「192.168.2.1〜192.168.2.50」がDHCPサーバ装置60に登録されているとする。この場合、サブネットマスクが「255.255.255.0」であれば、上記プライマリネットワークを示すネットワーク識別子354aとして「192.168.1.0」が中継装置30Aの不揮発性記憶部354に格納されており、同セカンダリネットワークを示すネットワーク識別子354aとして「192.168.2.0」が同不揮発性記憶部354に格納されている。詳細については後述するが、これらネットワーク識別子は、端末装置50に対してプライマリアドレスとセカンダリアドレスの何れを割り当てる(貸し出す)のかをDHCPサーバ装置60に指示する際に利用される。
【0033】
条件テーブル354bには、セグメントを跨ぐ通信の実行を許可する端末装置が備えるべき条件を示すデータ(以下、条件データ)が格納されている。この条件テーブル354bに格納される条件データの一例としては、セグメントを跨ぐ通信の実行を許可する端末装置の端末識別子のリストや、同端末装置にインストールされているべき検疫ソフトウェアの種類(製品名称やバージョン)を示すデータ、同検疫ソフトウェアの実行の際に参照されるパターンファイルを示すデータ(パターンファイルの名称やバージョンを示すデータ)などが挙げられる。一方、端末状態テーブル354cには、中継装置30を介してDHCPサーバ装置60による通信アドレスの割り当てを受けた端末装置の状態(端末識別子および検疫ソフトウェアのインストールの有無、さらに、検疫ソフトウェアがインストールされている場合にはその種類とパターンファイルの種類、など)を示す端末状態データが格納される。
【0034】
次いで、不揮発性記憶部354に格納されているプログラムについて説明する。
不揮発性記憶部354に格納されているプログラムの一例としては、図2に示す通信制御プログラム354dが挙げられる。この通信制御プログラム354dにしたがって制御部310が実行する処理の一例としては、図5(A)に示すリース要求メッセージ転送処理と同図5(B)に示すリース確認通知メッセージ転送処理が挙げられる。図5(A)に示すリース要求メッセージ転送処理は、端末装置50からブロードキャストされるIPリース要求メッセージをDHCPサーバ装置60へ転送する際に実行される処理である。一方、図5(B)に示すリース確認通知メッセージ転送処理は、上記IPリース要求メッセージの送信元へ宛ててDHCPサーバ装置60から送信されるIPリース確認通知メッセージを転送する際に実行される処理である。これら各処理の詳細については重複を避けるために動作例にて明らかにする。なお、IPリース提示メッセージおよびIPリース選択メッセージの転送の際に制御部310が実行する処理については、周知のDHCPリレーエージェントが実行する処理と同一であるため説明を省略する。このように本実施形態の中継装置30の構成は一般的なコンピュータ装置の構成と同一であり、本実施形態の特徴を顕著に示すアドレス割り当て制御処理はソフトウェアにより実現されている。
以上が中継装置30の構成である。
【0035】
(B:動作)
以下、端末装置50Aを初めて拠点内LAN10Aに接続する場合を例にとって本実施形態の動作を説明する。端末装置50Aは、初めて拠点内LAN10Aに接続されるのであるから、以下に説明する動作の開始時点では中継装置30Aの端末状態テーブル354cには、端末装置50Aについての端末状態データは格納されていない。
【0036】
端末装置50Aの利用者がLANケーブルなどを用いてその端末装置50Aを拠点内LAN10Aに接続しその電源(図示省略)を投入すると、端末装置50Aの制御部(図示略)は、IPリース要求メッセージを拠点内LAN10Aにブロードキャストする(図6参照)。このように拠点内LAN10A内にブロードキャストされたIPリース要求メッセージは、その拠点内LAN10A内にDHCPサーバ装置があればそのサーバ装置によって、同サーバ装置が無ければDHCPリレーエージェントによって処理される。本実施形態では、拠点内LAN10Aには、DHCPリレーエージェントの役割を果たす中継装置30Aが接続されているため、上記IPリース要求メッセージは中継装置30Aによって受信され、その処理が行われる。すなわち、中継装置30Aの制御部310は、上記IPリース要求メッセージの受信を契機として、リース要求メッセージ転送処理(図5(A)参照)を実行する(図6:ステップSA01)。
【0037】
図5(A)は、制御部310が通信制御プログラム354dにしたがって実行するリース要求メッセージ転送処理の流れを示すフローチャートである。図5(A)に示すように、制御部310は、まず、IPリース要求メッセージの送信元についての端末状態データが端末状態テーブル354cに格納されているか否かを判定する(ステップSA100)。具体的には、制御部310は、IPリース要求メッセージの送信に用いられたフレームのヘッダ部に書き込まれている送信元MACアドレスを読み出し、当該MACアドレスと一致する端末識別子を含む端末状態データが端末状態テーブル354cに格納されているか否かを判定する。つまり、該当する端末識別子を含む端末状態データが端末状態テーブル354cに格納されている場合には、ステップSA100の判定結果は“Yes”となり、該当端末状態データが格納さていなければステップSA100の判定結果は“No”となる。
【0038】
本動作例の開始時点では、端末装置50Aについての端末状態データは端末状態テーブル354cに格納されていないため、ステップSA100の判定結果は“No”になる。ステップSA100の判定結果が“No”である場合、図5(A)に示すように、制御部310は、ステップSA130の処理を実行する。このステップSA130では、制御部310は、端末装置50AからブロードキャストされたIPリース要求メッセージをDHCPサーバ装置60宛のユニキャストメッセージに変換し、変換後のIPリース要求メッセージの所定フィールド(本実施形態では、giaddrフィールド:図8参照)に、中継装置30Aの記憶部350に記憶されているネットワーク識別子354aのうちセカンダリネットワークのものを書き込んでDHCPサーバ装置60に転送する。
【0039】
中継装置30Aから転送されてくるIPリース要求メッセージは、広域網40内の中継装置によって適宜ルーティングされ、DHCPサーバ装置60に到達する。DHCPサーバ装置60の制御部(図示略)は、上記IPリース要求メッセージを受信すると、その所定フィールドに書き込まれているネットワーク識別子を読み出し、そのネットワーク識別子の示す論理ネットワークに属する端末装置に割り当てる通信アドレス群のうちの未使用アドレスを払い出す。本動作例では、上記所定フィールドにはセグメントAにおけるセカンダリネットワークのネットワーク識別子が書き込まれているのであるから、「192.168.2.1〜192.168.2.50」の範囲内の未使用アドレスが1つ払い出される。次いで、DHCPサーバ装置60の制御部は、当該通信アドレスを書き込んだIPリース提示メッセージを生成し、上記IPリース要求メッセージの送信元へ返信する。
【0040】
上記IPリース提示メッセージは中継装置30Aによって、IPリース要求メッセージの送信元である端末装置50Aに転送され、端末装置50Aの制御部は当該IPリース提示メッセージにより提示された通信アドレスの割り当てを受け入れる場合には、IPリース選択メッセージを返信する。このIPリース選択メッセージは中継装置30AによってDHCPサーバ装置60へ転送され、DHCPサーバ装置60は当該IPリース選択メッセージを受信すると、その送信元に対して提示した通信アドレスとその貸し出し期間を示すリース期間オプション値Tとを書き込んだリース確認通知メッセージを返信する。中継装置30Aの制御部310は、第1通信I/F部330を介して上記IPリース確認通知メッセージを受信すると、図6に示すように、リース確認通知メッセージ転送処理を実行する(図6:ステップSB01)。
【0041】
図5(B)は、リース確認通知メッセージ転送処理の流れを示すフローチャートである。図5(B)に示すように、このリース確認通知メッセージ転送処理では、制御部310は、まず、受信したIPリース確認通知メッセージの転送先となる端末装置についての端末状態データが端末状態テーブル354cに格納さているか否かを判定する(ステップSB100)。このステップSB100にて制御部310が実行する処理の詳細については、前述したステップSA100の処理と同様であるため説明を省略する。そして、制御部310は、ステップSB100の判定結果が“Yes”であれば、当該IPリース確認通知メッセージをそのままその宛先の端末装置へ転送し(ステップSB120)、逆に、ステップSB100の判定結果が“No”であれば、当該IPリース確認通知メッセージに書き込まれているリース期間オプション値Tをより短い貸し出し期間を示す値T´に書き換え(ステップSB110)、その後、ステップSB120の処理を実行する。このように端末状態データが端末状態テーブル354cに格納さていない端末装置に対してリース期間を短くする理由については後に明らかにする。
【0042】
本動作例では、上記IPリース確認通知メッセージの転送先は端末装置50Aであり、この端末装置50Aについての端末状態データは端末状態テーブル354cには格納されていないのであるから、ステップSB100の判定結果は“No”になり、上記ステップSB110の処理が実行される。なお、本動作例では、端末状態データが端末状態テーブル354cに格納されているか否かを判定基準としてリース期間を短くするか否かを決定した。しかし、リース期間の管理をより確実に行うことができるようにするため、リース要求メッセージ転送処理にてセカンダリネットワークのネットワーク識別子を割り当てた端末装置にIPリース確認通知メッセージを転送する場合には、無条件にリース期間オプション値Tをより短いリース期間を示す値に書き換えても良い。
【0043】
端末装置50Aの制御部(図示略)は、中継装置30Aから転送されてくるIPリース確認通知メッセージを受信すると、そのIPリース確認通知メッセージの所定フィールドに書き込まれている通信アドレスを読み出し、自装置に割り当てられた通信アドレスとして記憶する。以降、端末装置50Aは、同メッセージに書き込まれているリース期間オプション値T´の示すリース期間が経過するまで、上記通信アドレスを使用してTCP/IPに準拠したデータ通信を行うことができる。一方、中継装置30の制御部310は、上記IPリース確認通知メッセージの中継を行ってから上記リース期間オプション値T´の示すリース期間が経過するまでの間に端末装置50AとTCP/IPに準拠した通信を行い、その端末状態を示すデータを取得して端末状態テーブル354cに書き込む端末状態収集処理(図6:ステップSC01)を実行する。具体的には、制御部310は、端末装置50Aに対して、インストールされている検疫ソフトウェアの種類およびパターンファイルの種類を表わすデータの送信を要求し、この要求に応じて端末装置50Aから送信されてくるデータと当該端末装置50Aの端末識別子(本実施形態では、当該データの送信に用いられたフレームのヘッダ部に書き込まれている送信元MACアドレス)とを対応付けて端末状態テーブル354cに書き込むのである。
【0044】
さて、リース期間オプション値T´の示すリース期間が経過した後は、端末装置50Aは、上記通信アドレスを使用した通信を行えなくなる。ここで、上記リース期間を通常よりも短くしたのは、以上の処理にて端末装置50Aに割り当てる通信アドレスは、その端末状態に基づかない暫定的なものであり、上記端末状態収集処理の実行に要する時間が確保できれば十分だからである。上記リース期間の経過を検知すると、端末装置50Aは、新たな通信アドレスの割り当てを受けるべく、再度、IPリース要求メッセージをブロードキャストする。このようにしてブロードキャストされたIPリース要求メッセージを受信した中継装置30Aでは、再度、リース要求メッセージ転送処理が実行される(図6:ステップSA02)。図6に示すにように、ステップSA02にて実行されるリース要求メッセージ転送処理の実行時点では、ステップSC01の端末状態収集処理を実行済みであり、端末装置50Aについての端末状態データが端末状態テーブル354cに格納されている。このため、ステップSA02で実行されるリース要求メッセージ転送処理では、ステップSA100の判定結果は“Yes”になる(図5(A)参照)。
【0045】
図5(A)に示すように、ステップSA100の判定結果がYesである場合は、制御部310は、上記IPリース要求メッセージの送信元の端末状態が条件テーブル354bに格納されている条件データの示す条件を満たすか否かを判定する(ステップSA110)。そして、制御部310は、ステップSA110の判定結果がYesである場合には、上記IPリース要求メッセージの所定フィールドにプライマリネットワークのネットワーク識別子354aを書き込んでDHCPサーバ装置60へ転送し(ステップSA120)、逆に、ステップSA110の判定結果が“No”である場合には、前述したステップSA130の処理を実行する。IPリース要求メッセージを受信したDHCPサーバ装置60では、そのIPリース要求メッセージの所定フィールドに書き込まれているネットワーク識別子に応じてプライマリアドレス、またはセカンダリアドレスの何れかが選択されるのであるから、IPリース要求メッセージの所定フィールドにセットされるネットワーク識別子は、DHCPサーバ装置60に対してプライマリアドレスを貸し出すのか、それともセカンダリアドレスを貸し出すのかを指示する指示子の役割を担うのである。
【0046】
上記のようにして中継装置30Aから転送されてくるIPリース要求メッセージも広域網40内の中継装置によって適宜ルーティングされ、DHCPサーバ装置60に到達する。DHCPサーバ装置60の制御部(図示略)は、上記IPリース要求メッセージを受信すると、その所定フィールドに書き込まれているネットワーク識別子を読み出し、そのネットワーク識別子の示す論理ネットワークに属する端末装置に割り当てる通信アドレス群のうちの未使用アドレスを払い出す。そして、DHCPサーバ装置60の制御部は当該通信アドレスを書き込んだIPリース提示メッセージを返信する。このIPリース提示メッセージは中継装置30Aによって端末装置50Aに転送され、端末装置50Aは当該IPリース提示メッセージを受信すると、IPリース選択メッセージを返信する。このIPリース選択メッセージは中継装置30AによってDHCPサーバ装置60へ転送され、DHCPサーバ装置60は当該IPリース選択メッセージを受信すると、その送信元に対して提示した通信アドレスとその貸し出し期間を示すリース期間オプション値Tとを書き込んだリース確認通知メッセージを返信する。
【0047】
中継装置30Aの制御部310は、上記IPリース確認通知メッセージを受信すると、リース確認通知メッセージ転送処理を実行する(図6:ステップSB02)。このステップSB02の実行時点では、前述したステップSC01の処理によって端末装置50Aについての端末状態データが端末状態テーブル354cに格納されているため、ステップSB02で実行されるリース確認通知メッセージ転送処理のステップSB100の判定結果は“Yes”になる。図5(B)に示すように、ステップSB100の判定結果がYesである場合は、制御部310は、前述したステップSB110の処理(リース期間オプション値Tの書き換え)を行うことなく、IPリース確認通知メッセージをその宛先へ転送する(ステップSB120)。このように、ステップSB100の判定結果がYesである場合にはリース期間オプション値Tの書き換えを行わずにIPリース確認通知メッセージを転送するようにしたのは、このIPリース確認通知メッセージに含まれている通信アドレスは、その割り当てを受ける端末装置の端末状態が所定の条件を満たすか否かに応じて割り当てられたものであり、そのリース期間を短く制限する必要はないからである。
【0048】
以降、端末装置50Aは、中継装置30Aから転送されてくるIPリース確認通知メッセージを受信すると、そのIPリース確認通知メッセージの所定フィールドに書き込まれている通信アドレスを読み出し、自装置に割り当てられた通信アドレスとして記憶し、同メッセージに書き込まれているリース期間オプション値Tの示す期間が経過するまで、データ通信を行うことができるのである。例えば、端末装置50Aの端末状態が、上記条件データの示す条件を満たすものであれば、DHCPサーバ装置60によってプライマリアドレスが端末装置50Aに割り当てられることとなり、当該端末装置50Aは、セグメントを跨ぐデータ通信を実行することができる。逆に、端末装置50Aの端末状態が、上記条件データの示す条件を満たさないものであれば、DHCPサーバ装置60によってセカンダリアドレスが端末装置50Aに割り当てられることとなり、当該端末装置50Aは、セグメントを跨がない範囲でのみ(例えば、拠点内LAN10Aに接続されている他の端末装置であって、セカンダリアドレスを割り当てられている端末装置との間でのみ)データ通信を実行することができるのである。
【0049】
以上説明したように、本実施形態では、中継装置30によってその配下の端末装置50に対してプライマリアドレスを割り当てるのか、それともセカンダリアドレスを割り当てるのかの判定が行われる。このため、上記判定をDHCPサーバ装置60で行う態様に比較して、その判定の実行に要する処理負荷を各中継装置30に分散し、DHCPサーバ装置60に過剰な負荷がかかることが回避される。また、本実施形態においては、各端末装置へ割り当てる通信アドレス群をDHCPサーバ装置60で一括管理することができる一方、プライマリアドレスの割り当て条件を示す条件データや端末状態データについては上記判定を行う各中継装置30に記憶させておけば良く(すなわち、各拠点にて作業を行えば良い)、これらのデータの登録のためにDHCPサーバ装置60が設置されている情報処理センタに出向く必要はない。
【0050】
(C:変形)
以上、本発明の実施形態について説明したが、この実施形態を以下のように変形しても良いことは勿論である。
(1)上述した実施形態では、互いに異なる2つの通信網に接続され、IPパケットの転送制御を行う中継装置に本発明を適用した。しかし、図5(A)に示すリース要求メッセージ転送処理および図5(B)に示すリース確認通知メッセージ転送処理を実行する中継装置(具体的には、DHCPエージェントとしてのみ機能する中継装置)をIPパケットの転送制御を行う中継装置とは別個に各拠点内LAN10に設けるようにしても良い。
【0051】
(2)上述した実施形態では、プライマリアドレスの割り当て条件(すなわち、セグメントを跨ぐ通信を許可する条件)として、以下の3つの条件が定められていた。すなわち、第1に、端末識別子が予め登録されたものであること(条件1)、第2に所定の種類の検疫ソフトウェアがインストールされていること(条件2)、そして、第3に、上記検疫ソフトウェアを実行する際に参照されるデータ(パターンファイル)として所定の種類のものがインストールされていること(条件3)、である。しかし、これら3つの条件のうちの何れか1または2つのみを課しても良い。例えば、上記条件1のみを課す態様においては、予め登録された端末装置であるか否かに応じてプライマリアドレスまたはセカンダリアドレスの何れかが割り当てられることとなるため、前述したDHCP認証(非特許文献2参照)と同一の作用効果が得られることになり、上記条件2(或いは条件2と条件3)を課すようにすれば、前述したQAC(非特許文献3)と同一の作用効果が得られる。
【0052】
また、プライマリアドレスの割り当て条件として、上述した条件1〜条件3の3つの条件とは異なる他の条件を課しても勿論良い。具体的には、特定の種類のソフトウェア(例えば、Winnyなどに代表されるファイル交換ソフトウェア)がインストールされていないという条件を課すといった具合である。この種のファイル交換ソフトウェアがインストールされていると、端末装置50に記憶されている各種データが上記ファイル交換ソフトウェアによって使用者の知らない間に流出する虞があるからであり、上記各種データに社外秘等の機密情報が含まれている場合には、機密漏えいの原因となりかねないからである。
【0053】
(3)上述した実施形態では、中継装置30を介してDHCPサーバ装置60による通信アドレスの割り当てを初めて受ける端末装置50に対しては常にセカンダリアドレスが割り当てられるようにし、そのリース期間内に当該端末装置50と通信し端末状態データを取得する処理を中継装置30の制御部310に実行させた。しかし、IPリース要求メッセージの送信の際にはその未使用フィールドに端末状態データを書き込んで送信する処理を端末装置50に実行させ、当該未使用フィールドに書き込まれている端末状態データを参照して条件データの示す条件を満たすか否かを判定しその判定結果に応じたネットワーク識別子を付与してIPリース要求メッセージを転送する処理を制御部310に実行させるようにしても良い。このような態様によれば、中継装置30を介してDHCPサーバ装置60による通信アドレスの割り当てを初めて受ける端末装置50であっても、その端末状態に応じた通信アドレスを割り当てることが可能になる。したがって、図6のステップSC01の処理を中継装置30に実行させる必要はない。また、中継装置30を介してDHCPサーバ装置60による通信アドレスの割り当てを初めて受ける端末装置50に対してはセカンダリアドレスを暫定的に割り当てる態様であっても、図6のステップSC01の処理は必ずしも必須ではない。例えば、ステップSC01の処理に換えて端末状態の登録を促す通知を送信する処理を中継装置30の制御部310に実行させ、端末状態の登録については別途、利用者の自己申告等に基づいて行うようにしても良い。
【0054】
また、端末装置から取得した端末状態データに有効期間を持たせ、定期的に繰り返し端末状態データを取得することで、常に最新の端末状態を監視し安全性を確認できるようにしても良い。
【0055】
(4)上述した実施形態では、本発明の特徴を顕著に示すリース要求メッセージ転送処理およびリース確認通知メッセージ転送処理をCPUに実行させる通信制御プログラム354dが中継装置30の不揮発性記憶部354に予め格納されていた。しかし、CD−ROMなどのコンピュータ読み取り可能な記録媒体に上記通信制御プログラムを書き込んで配布しても良く、また、インターネットなどの電気通信回線経由のダウンロードにより上記通信制御プログラムを配布しても良い。このようにして配布される通信制御プログラムを一般的なコンピュータにインストールし、当該通信制御プログラムにしたがってそのコンピュータを作動させることでそのコンピュータに、中継装置30と同一の機能を付与することが可能になる。
【符号の説明】
【0056】
1…通信システム、10A,10B,10C…拠点内LAN、20…センタ側LAN、30A,30B,30C,30D…中継装置、40…広域網、50A,50B,50C…端末装置、60…DHCPサーバ装置、310…制御部、330…第1通信I/F部、340…第2通信I/F部、350…記憶部、352…揮発性記憶部、354…不揮発性記憶部、354a…ネットワーク識別子、354b…条件テーブル、354c…端末状態テーブル、354d…通信制御プログラム、360…バス。
【特許請求の範囲】
【請求項1】
セグメントを跨ぐ通信の実行を許可されている端末装置に割り当てる第1の通信アドレス群とセグメントを跨ぐ通信の実行を許可されていない端末装置に割り当てる第2の通信アドレス群とを記憶し端末装置からの要求に応じて何れかの通信アドレスを貸し出すDHCP(Dynamic Host
Configuration Protocol)サーバ装置と、配下のセグメントに属する端末装置との間の通信を中継する中継装置において、
端末装置が前記第1の通信アドレス群に属する通信アドレスの割り当てを受けるための条件を示す条件データが書き込まれた条件テーブルと、
通信アドレスの貸し出しを要求する旨の通信メッセージであるリース要求メッセージを端末装置から受信したことを契機として、当該端末装置の状態が前記条件を満たすか否かを判定し、満たすと判定した場合には前記第1の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送し、満たさないと判定した場合には前記第2の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送するリース要求メッセージ転送手段と、
前記リース要求メッセージの送信元に貸し出す通信アドレスとその貸し出し期間を示すリース期間データとを含む通信メッセージであるリース確認通知メッセージを前記DHCPサーバ装置から受信し、当該リース確認通知メッセージを前記IPリース要求メッセージの送信元へ転送するリース確認通知メッセージ転送手段と、
を有することを特徴とする中継装置。
【請求項2】
端末装置の状態を示す端末状態データが書き込まれる端末状態テーブルを有し、
前記リース要求メッセージ転送手段は、
前記リース要求メッセージの送信元についての端末状態データが前記端末状態テーブルに格納されていない場合には、前記第2の通信アドレスの貸し出しを指示する旨の指示子を付与して前記受信したリース要求メッセージを転送する一方、該当する端末状態データが前記端末状態テーブルに格納されている場合には、当該端末状態データを参照して前記条件を満たすか否かを判定し、その判定結果に応じた指示子を付与して前記受信したリース要求メッセージを転送し、
前記リース確認通知メッセージ転送手段は、
前記リース期間データをより短い貸し出し期間を示すものに書き換えて前記リース確認通知メッセージを転送する
ことを特徴とする請求項1に記載の中継装置。
【請求項3】
前記リース確認通知メッセージ転送手段は、
前記端末状態テーブルに端末状態データが格納されていない端末装置宛てのリース確認通知メッセージを受信した場合には、当該リース確認通知メッセージに含まれている通信アドレスを記憶した後にその転送を行い、
前記記憶した通信アドレスを宛先として、当該宛先に対して端末状態データの送信を指示し、当該宛先から返信されてくる端末状態データを前記端末状態テーブルに書き込む端末状態収集手段をさらに有することを特徴とする請求項2に記載の中継装置。
【請求項4】
コンピュータを
セグメントを跨ぐ通信の実行を許可されている端末装置に割り当てる第1の通信アドレス群とセグメントを跨ぐ通信の実行を許可されていない端末装置に割り当てる第2の通信アドレス群とを記憶し端末装置からの要求に応じて何れかの通信アドレスを貸し出すDHCPサーバ装置に対して通信アドレスの貸し出しを要求する旨の通信メッセージであるリース要求メッセージを当該コンピュータの配下のセグメントに属する端末装置から受信したことを契機として、当該送信元の端末装置に対してセグメントを跨いだ通信の実行が許可されているか否かを判定し、許可されていると判定した場合には、前記第1の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送し、許可されていないと判定した場合には前記第2の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送するリース要求メッセージ転送手段と、
前記リース要求メッセージの送信元へ貸し出す通信アドレスとその貸し出し期間を示すリース期間データとを含む通信メッセージであるリース確認通知メッセージを前記DHCPサーバ装置から受信し、当該リース確認通知メッセージを前記リース要求メッセージの送信元へ転送するリース提示転送手段、
として機能させることを特徴とするプログラム。
【請求項1】
セグメントを跨ぐ通信の実行を許可されている端末装置に割り当てる第1の通信アドレス群とセグメントを跨ぐ通信の実行を許可されていない端末装置に割り当てる第2の通信アドレス群とを記憶し端末装置からの要求に応じて何れかの通信アドレスを貸し出すDHCP(Dynamic Host
Configuration Protocol)サーバ装置と、配下のセグメントに属する端末装置との間の通信を中継する中継装置において、
端末装置が前記第1の通信アドレス群に属する通信アドレスの割り当てを受けるための条件を示す条件データが書き込まれた条件テーブルと、
通信アドレスの貸し出しを要求する旨の通信メッセージであるリース要求メッセージを端末装置から受信したことを契機として、当該端末装置の状態が前記条件を満たすか否かを判定し、満たすと判定した場合には前記第1の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送し、満たさないと判定した場合には前記第2の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送するリース要求メッセージ転送手段と、
前記リース要求メッセージの送信元に貸し出す通信アドレスとその貸し出し期間を示すリース期間データとを含む通信メッセージであるリース確認通知メッセージを前記DHCPサーバ装置から受信し、当該リース確認通知メッセージを前記IPリース要求メッセージの送信元へ転送するリース確認通知メッセージ転送手段と、
を有することを特徴とする中継装置。
【請求項2】
端末装置の状態を示す端末状態データが書き込まれる端末状態テーブルを有し、
前記リース要求メッセージ転送手段は、
前記リース要求メッセージの送信元についての端末状態データが前記端末状態テーブルに格納されていない場合には、前記第2の通信アドレスの貸し出しを指示する旨の指示子を付与して前記受信したリース要求メッセージを転送する一方、該当する端末状態データが前記端末状態テーブルに格納されている場合には、当該端末状態データを参照して前記条件を満たすか否かを判定し、その判定結果に応じた指示子を付与して前記受信したリース要求メッセージを転送し、
前記リース確認通知メッセージ転送手段は、
前記リース期間データをより短い貸し出し期間を示すものに書き換えて前記リース確認通知メッセージを転送する
ことを特徴とする請求項1に記載の中継装置。
【請求項3】
前記リース確認通知メッセージ転送手段は、
前記端末状態テーブルに端末状態データが格納されていない端末装置宛てのリース確認通知メッセージを受信した場合には、当該リース確認通知メッセージに含まれている通信アドレスを記憶した後にその転送を行い、
前記記憶した通信アドレスを宛先として、当該宛先に対して端末状態データの送信を指示し、当該宛先から返信されてくる端末状態データを前記端末状態テーブルに書き込む端末状態収集手段をさらに有することを特徴とする請求項2に記載の中継装置。
【請求項4】
コンピュータを
セグメントを跨ぐ通信の実行を許可されている端末装置に割り当てる第1の通信アドレス群とセグメントを跨ぐ通信の実行を許可されていない端末装置に割り当てる第2の通信アドレス群とを記憶し端末装置からの要求に応じて何れかの通信アドレスを貸し出すDHCPサーバ装置に対して通信アドレスの貸し出しを要求する旨の通信メッセージであるリース要求メッセージを当該コンピュータの配下のセグメントに属する端末装置から受信したことを契機として、当該送信元の端末装置に対してセグメントを跨いだ通信の実行が許可されているか否かを判定し、許可されていると判定した場合には、前記第1の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送し、許可されていないと判定した場合には前記第2の通信アドレス群に属する通信アドレスの貸し出しを指示する旨の指示子を付与して前記リース要求メッセージを前記DHCPサーバ装置へ転送するリース要求メッセージ転送手段と、
前記リース要求メッセージの送信元へ貸し出す通信アドレスとその貸し出し期間を示すリース期間データとを含む通信メッセージであるリース確認通知メッセージを前記DHCPサーバ装置から受信し、当該リース確認通知メッセージを前記リース要求メッセージの送信元へ転送するリース提示転送手段、
として機能させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−101206(P2011−101206A)
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願番号】特願2009−254654(P2009−254654)
【出願日】平成21年11月6日(2009.11.6)
【出願人】(000004075)ヤマハ株式会社 (5,930)
【Fターム(参考)】
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願日】平成21年11月6日(2009.11.6)
【出願人】(000004075)ヤマハ株式会社 (5,930)
【Fターム(参考)】
[ Back to top ]