複数クライアントを有するネットワークのための修復管理
例示的な方法が、コンピューティングネットワークにおけるクライアントデバイスを修復ノードへと向ける。修復サービスを受けるクライアントデバイスのサブセットが、単一の共通ラベルを用いて識別される。通信要求パケットを発信するクライアントデバイスのうちの1つのクライアントデバイスが単一の共通ラベルによって識別されることを判定すると、通信要求パケットをリダイレクションサーバにルーティングすることによってその通信要求パケットを処理し、修復サービスが修復ノードを介して1つのクライアントデバイスに供給されることができるように、1つのクライアントデバイスが通信を修復ノードにリダイレクトすることを指定するハイパーテキスト転送プロトコル(HTTP)コマンドを、リダイレクションサーバから1つのクライアントデバイスに送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サービスを受ける複数のクライアントデバイスのための、スイッチによる修復管理および制御に関する。本明細書で使用されるとき、修復とは、クライアントデバイスが、ソフトウエア更新を受信する、またはウィルス感染などを無効化させる必要性を指す。本発明は、特に、企業または総合大学のローカルエリアネットワーク(LAN)のクライアントなどの分離されたクライアントのグループのための修復管理に適するが、これに限定しない。
【背景技術】
【0002】
ネットワークにおけるクライアントに修復を提供するために、さまざまなやり方が利用されている。典型的な例では、企業LANにおけるクライアントのグループに、インターネットへのアクセスを含むさまざまなサービスが提供される。ウィルス、または他の感染媒体にクライアントが感染するリスクを最小化するセキュリティ対策にもかかわらず、クライアントのうちの1つ、またはクライアントのサブグループが感染することがある。企業LANを管理する担当者は、感染したクライアントの通信を、感染を無効化する支援を提供することができる指定されたサーバのみに限定するために、それを通じてクライアントのTCP/IP通信が処理されるスイッチにおいて、感染したクライアントのそれぞれの識別情報を手動で入力することができる。しかしながら、こうしたソリューションには、管理者の介入が必要となる。さらに、感染したクライアントの識別情報(個々のクライアントアドレス)を制御スイッチングノードにおいて処理することは、要求が感染したクライアントによってなされたものかどうかを判定するためにアクセス要求を選別しなければならないことから、スイッチングノードにかかる追加処理負担を考慮すると、その対処能力に悪影響を与える。また、感染したクライアントのクライアントアドレスのそれぞれを制御スイッチングノードにおいて記憶することは、担当するスイッチング要素のメモリ容量のために制限されることがある。特定のクライアントがソフトウエア更新をダウンロードするための要件は、類似した負担および欠点をもたらす。というのは、特定のクライアントの識別情報が、制御通信スイッチの中に入力され、類似したやり方で処理されなければならないからである。したがって、改善された修復処理の必要性が存在する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明の目的は、この必要性を満たすことである。
【課題を解決するための手段】
【0004】
例示的な方法が、コンピューティングネットワークにおけるクライアントデバイスを修復ノードへと向ける。修復サービスを受けるクライアントデバイスのサブセットが、単一の共通ラベルを用いて識別される。通信要求パケットを発信するクライアントデバイスのうちの1つのクライアントデバイスが単一の共通ラベルによって識別されることを判定すると、通信要求パケットをリダイレクションサーバにルーティングすることによってその通信要求パケットを処理し、修復サービスが修復ノードを介して1つのクライアントデバイスに供給されることができるように、1つのクライアントデバイスが通信を修復ノードにリダイレクトすることを指定するハイパーテキスト転送プロトコル(HTTP)コマンドを、リダイレクションサーバから1つのクライアントデバイスに送信する。
【0005】
本発明に従った例示的なスイッチが、上記の方法を実装する。
【0006】
本発明の例示的な実装形態の特徴は、本説明、特許請求の範囲、および添付の図面から明らかになるであろう。
【図面の簡単な説明】
【0007】
【図1】本発明の実施形態を組み込むのに適した、説明のための通信ネットワークのブロック図である。
【図2】図1に示したような例示的なスイッチのブロック図である。
【図3】本発明に従った方法の説明のための実施形態のフロー図である。
【図4】本発明に従った方法の説明のための実施形態の図3に続くフロー図である。
【発明を実施するための形態】
【0008】
本発明の一態様は、修復サービスを提供するための知られている手法に拡張性がないことを認識することにある。すなわち、修復サービスを受けるクライアントを追加することが、計算負荷およびスイッチによって使用されるメモリリソースの比例的な増加をもたらして個々のクライアント識別情報を記憶するように、修復サービスを受けることになる各クライアントは、修復サービスの管理を提供するスイッチによって個々に識別されなければならない。修復サービスを必要とするクライアントのグループに単一のラベルを適用する能力が、これら個々のクライアントを単一のグループラベルに基づいてスイッチが認識できるようにし、修復管理の提供においてスイッチにより必要とされるリソースおよび処理を最小化する拡張性のあるソリューションを提供する。
【0009】
本発明の別の態様は、修復サーバへのクライアントの自動化されたリダイレクトにあり、これに対して知られている先行手法はこの機能を提供していない。本発明のさらなる態様は、クライアントが隔離されたことを自動的にクライアントに通知することにある。
【0010】
図1は、点線12の左側にサブグループ10の例示的なブロック図を示す。この例ではパーソナルコンピュータ(PC)である複数の通信端末14、16および18が、サブグループ10のメンバであるそれぞれのユーザをサポートする。通信端末のそれぞれは、ネットワークインターフェースと共にTCP/IP通信を円滑化するブラウザ20を含む。当業者であれば、通信端末は、有線および無線の異なるタイプの通信デバイスを備えてよいことを理解するであろう。ネットワークスイッチ22が通信端末に結合され、通信端末のそれぞれと、サブグループ内の他の通信端末、サーバおよび/またはインターネット28を介してアクセスされるデバイスを含むことができる他のデバイスとの間の通信のためのゲートウェイを提供する。サブグループは、スイッチ22に接続された軽量ディレクトリアクセスプロトコル(LDAP)サーバ24を含む。サブグループはまた、スイッチ22に結合され、電気通信端末によってもアクセス可能である修復サーバ26を含む。これらの述べられた要素の利用および相互作用については、本発明に従った方法の例示的な実施形態の説明の一部として、以下でより詳細に説明される。
【0011】
図2は、図1のネットワークに使用されることができる例示的なスイッチ22のブロック図である。マイクロプロセッシングユニット(マイクロプロセッサ)50が、読出し専用メモリ(ROM)52、ランダムアクセスメモリ(RAM)54、およびハードドライブであってよい不揮発性データ記憶デバイス56によってサポートされる。入力/出力モジュール58がマイクロプロセッサ50に結合され、外部デバイスとのインバウンドおよびアウトバウンドの通信をサポートする。キーボードまたはマウスなどの入力デバイス(I.D.)60により、管理者がマイクロプロセッサへのデータおよび入力を、ならびにマイクロプロセッサ上で実行されるプログラムを提供することが可能になる。マイクロプロセッサにより生成される出力が、モニタなどの出力デバイス(O.D.)62によって管理者に対して表示されることができる。最初にROM52および記憶デバイス56に記憶されたプログラム命令は、典型的にはRAM54中に転送されて、マイクロプロセッサ50によって実装されるアプリケーションのランタイム動作を円滑化する。
【0012】
3値連想メモリ(TCAM)64がマイクロプロセッサ50に結合され、特別なタイプのメモリ動作を提供する。RAMなどの通常のコンピュータメモリにより、オペレーティングシステムはアドレスを提供し、引き換えに、供給されたアドレスにおいて記憶されるデータを受信する。連想メモリにより、オペレーティングシステムはデータを供給し、データが記憶されているアドレスのリストが見つかれば、引き換えに、それを受信する。連想メモリは一般に、一操作においてメモリ全体を検索し、したがって従来のRAMよりも高速である。3値タイプのCAMにより、入力要求は第3の状態にマッチすることができ、そこでは第3の状態がマスクを含むことができ、すなわち以下に説明するような単一の共通ラベルなどの任意の所望の値/コンテントを有することができる。スイッチ22の機能は、例示的な方法に関して以下でより詳細に説明される。
【0013】
図2において、マイクロプロセッシングユニット50の上に点線の形式で示される要素は、スイッチ22の動作に関連付けられた機能面を表す。そのサポート要素と連携するマイクロプロセッシングユニット50は、クライアント、すなわちPC14、16および18に提供される修復サービスの管理を円滑化するために使用される複数のアプリケーションプログラム(AP)70を実装することができる。例示的なテーブル72は、修復サービスが必要であると判定された個々のクライアントのリストを含むことができる。レイヤ2(L2)スイッチングテーブルとして使用されてよい別の例示的なテーブル74は、トラフィックを発信することができるクライアントのメディアアクセス制御(MAC)アドレスのリストを含み、修復サービスを必要とするそれらのクライアントに関連付けられた単一の共通グループラベルを含む。テーブル72および74は、RAM54および/または記憶デバイス56に記憶されてよい。
【0014】
一般的な概説が、本発明に従った方法の例示的な実施形態の詳細な説明を理解するのに役立つであろう。修復サービスを必要とする、事前に識別されたクライアントのリストが、MACアドレスによってこれらのクライアントを識別する。これらの識別されたクライアントのそれぞれは、共通のグループラベル、すなわち、隔離グループラベル「Q」を割り当てられる。隔離グループのメンバは、事前定義された修復サーバまたは修復ウェブサイトを除いて、ネットワークリソースにアクセスしないようにされる。隔離グループのメンバが別のウェブサービスにアクセスを試みると、発信メンバのPCに、HTTPリダイレクトコマンドを送信するようにさせるスイッチによって、トラフィックが遮断される。リダイレクトコマンドは、メンバのPCのクライアントブラウザに、事前定義された修復ウェブサイト/サーバにアクセスさせる。メンバは次いで、メンバのPCに影響を及ぼすウィルスを無効にする措置を講じる、またはメンバのPCに常駐するプログラムを更新するのに必要なソフトウエアパッチをダウンロードすることなどによって、適切な修復サービスを受けることができる。クライアントによる手動介入が必要である場合、好ましくは、修復ウェブサイト/サーバが、クライアントのPCに、なぜそのクライアントが修復サイトにリダイレクトされたかの説明、およびどのように修復措置を進めるかの指示を表示させる。正常な修復の完了に続いて、隔離グループラベルは、メンバのMACアドレスとの関連付けから取り外され、それにより、メンバのための一般のネットワークアクセスが復旧する、すなわち、メンバのPCによって開始される後続のトラフィックが、目的の宛先へと通常通りルーティングされる(またはブリッジされる)ことになる。このメカニズムは、管理者による手動の支援または介入を必要とせずに、クライアントにそれが隔離されたことを通知し、クライアントが修復サービスを完了することを可能にする。
【0015】
図2のMACグループリストテーブル74によって表されることができる下の例示的なL2テーブルは、MACアドレスによって識別される、選択されたクライアントに関連付けられることができるグループラベルの使用を示す。第1列において、ソースMACアドレスが、ポート1/1に関連付けられ、このクライアントが修復サービスを必要とする隔離グループの一部であることを表す「Q」のグループ識別表示を割り当てている。第2列において、別のソースMACアドレスが、ポート1/2に関連付けられ、このクライアントが隔離グループの一部ではないことを表す「0」(ゼロまたはヌル)のグループ識別表示を割り当てている。L2テーブルは、トラフィックの源を明らかにする各クライアントのMACアドレスについてのエントリを含むことになる。スイッチによって対処されるべきトラフィックを発信する新たなMACアドレスを所持する、新たなクライアントが発生すると、このテーブルは、クライアントのMACアドレス、関連するポート番号を含んで更新されることになり、デフォルトによって0のグループIDを割り当てることになる。このクライアントが修復サービスを必要とするという判定がなされる時のみ、クライアントのグループIDがQに変更される。知られている進入検知システムソフトウエア、または他の知られているアプリケーションを使用して、修復サービスを必要とするクライアントのリストを生成することができる。このリストは、LDAPサーバ24のテーブルの中に記憶され、スイッチによって定期的にダウンロードされ、テーブル72として記憶されることができる。
【0016】
【表1】
【0017】
クライアント発信要求について対処するTCAMパケットを示す下のテーブルが、下記の例示的な方法を理解するのに役立つであろう。この例では、TCAM64がクライアントからの進入パケットの対処を担当する。このテーブルにある3つの列は、修復サービスを必要とするクライアント、すなわち、グループID=Qから生じるパケットを、3つの特定された条件に基づいて、TCAMがどのように対処することになるかを示す。修復サービスを必要としないクライアント、すなわち、グループID=0から生じるパケットは、たとえば、TCAMが転送エンジンによって決定されたポート/ノードに対してパケットが宛てられることを許可する、すなわち、TCAMが転送エンジンによってなされた転送決定を上書きしないという、従来のやり方で対処されることになる。TCAMパケット対処テーブルは、例示的な方法に関連してさらに説明される。
【0018】
【表2】
【0019】
図3および図4は、ステップの多くが、図1のスイッチ22のようなスイッチによって実装される、またはスイッチが実装するようにさせる、例示的な方法におけるステップを示す。方法は開始100から始まる。ステップ105において、サービスを受けるクライアントからの着信(進入)パケットがTCAMによって判定されて、修復サービスが必要であることを示すグループ識別表示、たとえばグループID=Qを有するかどうかという判定がなされる。修復サービスが必要でないことを示すステップ105によるNO判定は、ステップ110に示すようにパケットを通常に対処する、たとえば、パケットの宛先に関連付けられたポート/ノードへとルーティングすることになる。修復サービスが必要であることを示すステップ105によるYES判定は、ステップ115において、TCAMテーブルにおける列2の条件が真であるかどうか、すなわち、示される宛先が修復サーバ、DNSサーバ、またはDHCPサーバのうちの1つであるかどうかを、TCAMによってさらに判定することになる。ステップ115によるNO判定は、ステップ120において、TCAMテーブルにおける列1の条件が真であるかどうか、すなわち、HTTPリクエストが存在するかどうかを、TCAMによってさらに判定することになる。ステップ120によるNO判定は、ステップ125において、対象のパケットがドロップされる、または破棄されることになる。これは、修復サービスが必要であると識別されたクライアントの能力を、修復サービスの実装に関連付けられた通信に効果的に限定する。ステップ115によるYES判定は、パケットが、ステップ110に示されるような通常のやり方において完了することを許可されることになる。というのは、パケット要求は、DNSサーバもしくはDHCPサーバ、または修復サーバ自体からのサービスのみを要望するからである。たとえばARP要求または応答などの他のサービスも、ステップ110の通りに扱われるように含まれることができることを理解されたい。
【0020】
対象のパケットが修復サーバ行きではなく、かつHTTPパケットであることを示すステップ120によるYES判定は、ステップ130に示されるように対処するために、TCAMが、パケットをスイッチのマイクロプロセッシングユニットにコピーする/転送することになる。ステップ135において、対象のパケットが、一連の最初のパケットであるかどうか、たとえばTCP接続における発信SYNフラグが設定されているかどうかという判定が、スイッチによってなされる。ステップ135によるNO判定は、NATテーブルからの既存のエントリが使用されることになる。NATテーブルに既存のエントリがない場合、パケットはドロップされる/破棄される。クライアントとスイッチとの間のすべてのパケットは、修復サーバによってTCP接続が閉じられるまで、NATを通して出入りする必要がある。ステップ135によるYES判定により、ステップ145において、エントリがNATテーブルにおいて作成される宛先IPアドレスと、スイッチ内部にあるTCPポートアドレスとのネットワークアドレス変換(NAT)処理が開始され、逆方向トラフィック、ならびにこのストリームの後続のパケットによって使用されるように、この情報を保存する。ステップ150において、クライアントと、スイッチ内部にあるTCPポートにおいて内部実装されるリダイレクションサーバとの間の接続のために、スイッチは、このNATを通したパケットをスイッチのTCP/IP処理スタックに送信する。ステップ155において、リダイレクションサーバは、ステップ145の保存された情報を使用して、クライアントに対して逆NATを通したHTTPリダイレクトコマンド、たとえばHTTPリダイレクトコード301をクライアントに送信し、リダイレクションサーバによるTCP接続を閉じる。あるいは、修復サーバが利用可能でない、またはまだ必要な修復サービスを提供するように構成されていない場合、リダイレクションサーバは、接続を閉じる前に、クライアントの隔離状態を示すウェブページをクライアントに提供することができる。
【0021】
ステップ160において、クライアントのPCのブラウザが、HTTP要求の元の宛先からであるように(NAT処理によって)スプーフィングされたリダイレクションパケットをスイッチから受信し、それ自体を修復サーバにリダイレクトする。TCAMテーブルの中の列2の条件に従って、クライアントPCによる修復サーバへのアクセスを、TCAMが許可することになることに留意されたい。ステップ165において、クライアントは、必要な修復サービスの実装、たとえばウィルス検出および除去、またはソフトウエア更新のダウンロードを完了している。必要とされる修復サービスの性質に応じて、修復処理は、手動介入またはクライアントからの入力なしに完了されることができる。ステップ170において、クライアントの修復処理の完了に続いてL2テーブルが更新されて、対象のクライアントを隔離状態から取り外す。L2テーブルの更新の後、グループラベルは、対象のクライアントを修復サービスが必要であるものとして示すことはなく、したがって、スイッチのTCAMおよびマイクロプロセッサに、クライアントによって発信されたパケットを、通常のやり方で目的の宛先に向けてルーティングさせることになる。
【0022】
本発明の例示的な実装形態が本明細書において詳細に記述され、説明されてきたが、当業者には、本発明の精神から逸脱せずに、さまざまな修正、追加、置換などがなされることができることは明らかであろう。たとえば、TCAMは、本発明の実施形態を実施するための必要条件ではない。複数のクライアントに対して適用可能な単一のラベルを識別することが可能な、任意のアーキテクチャが利用されることが可能である。図1の要素の機能は、システム設計アーキテクチャに応じて、他の要素において実装され、またはより少ない要素に統合されることが可能である。たとえば、スイッチ22、LDAPサーバ24、および修復サーバ26の機能を実装するために、単一のノードが設計されることが可能である。
【0023】
本発明の範囲は、以下の特許請求の範囲において規定される。
【技術分野】
【0001】
本発明は、サービスを受ける複数のクライアントデバイスのための、スイッチによる修復管理および制御に関する。本明細書で使用されるとき、修復とは、クライアントデバイスが、ソフトウエア更新を受信する、またはウィルス感染などを無効化させる必要性を指す。本発明は、特に、企業または総合大学のローカルエリアネットワーク(LAN)のクライアントなどの分離されたクライアントのグループのための修復管理に適するが、これに限定しない。
【背景技術】
【0002】
ネットワークにおけるクライアントに修復を提供するために、さまざまなやり方が利用されている。典型的な例では、企業LANにおけるクライアントのグループに、インターネットへのアクセスを含むさまざまなサービスが提供される。ウィルス、または他の感染媒体にクライアントが感染するリスクを最小化するセキュリティ対策にもかかわらず、クライアントのうちの1つ、またはクライアントのサブグループが感染することがある。企業LANを管理する担当者は、感染したクライアントの通信を、感染を無効化する支援を提供することができる指定されたサーバのみに限定するために、それを通じてクライアントのTCP/IP通信が処理されるスイッチにおいて、感染したクライアントのそれぞれの識別情報を手動で入力することができる。しかしながら、こうしたソリューションには、管理者の介入が必要となる。さらに、感染したクライアントの識別情報(個々のクライアントアドレス)を制御スイッチングノードにおいて処理することは、要求が感染したクライアントによってなされたものかどうかを判定するためにアクセス要求を選別しなければならないことから、スイッチングノードにかかる追加処理負担を考慮すると、その対処能力に悪影響を与える。また、感染したクライアントのクライアントアドレスのそれぞれを制御スイッチングノードにおいて記憶することは、担当するスイッチング要素のメモリ容量のために制限されることがある。特定のクライアントがソフトウエア更新をダウンロードするための要件は、類似した負担および欠点をもたらす。というのは、特定のクライアントの識別情報が、制御通信スイッチの中に入力され、類似したやり方で処理されなければならないからである。したがって、改善された修復処理の必要性が存在する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明の目的は、この必要性を満たすことである。
【課題を解決するための手段】
【0004】
例示的な方法が、コンピューティングネットワークにおけるクライアントデバイスを修復ノードへと向ける。修復サービスを受けるクライアントデバイスのサブセットが、単一の共通ラベルを用いて識別される。通信要求パケットを発信するクライアントデバイスのうちの1つのクライアントデバイスが単一の共通ラベルによって識別されることを判定すると、通信要求パケットをリダイレクションサーバにルーティングすることによってその通信要求パケットを処理し、修復サービスが修復ノードを介して1つのクライアントデバイスに供給されることができるように、1つのクライアントデバイスが通信を修復ノードにリダイレクトすることを指定するハイパーテキスト転送プロトコル(HTTP)コマンドを、リダイレクションサーバから1つのクライアントデバイスに送信する。
【0005】
本発明に従った例示的なスイッチが、上記の方法を実装する。
【0006】
本発明の例示的な実装形態の特徴は、本説明、特許請求の範囲、および添付の図面から明らかになるであろう。
【図面の簡単な説明】
【0007】
【図1】本発明の実施形態を組み込むのに適した、説明のための通信ネットワークのブロック図である。
【図2】図1に示したような例示的なスイッチのブロック図である。
【図3】本発明に従った方法の説明のための実施形態のフロー図である。
【図4】本発明に従った方法の説明のための実施形態の図3に続くフロー図である。
【発明を実施するための形態】
【0008】
本発明の一態様は、修復サービスを提供するための知られている手法に拡張性がないことを認識することにある。すなわち、修復サービスを受けるクライアントを追加することが、計算負荷およびスイッチによって使用されるメモリリソースの比例的な増加をもたらして個々のクライアント識別情報を記憶するように、修復サービスを受けることになる各クライアントは、修復サービスの管理を提供するスイッチによって個々に識別されなければならない。修復サービスを必要とするクライアントのグループに単一のラベルを適用する能力が、これら個々のクライアントを単一のグループラベルに基づいてスイッチが認識できるようにし、修復管理の提供においてスイッチにより必要とされるリソースおよび処理を最小化する拡張性のあるソリューションを提供する。
【0009】
本発明の別の態様は、修復サーバへのクライアントの自動化されたリダイレクトにあり、これに対して知られている先行手法はこの機能を提供していない。本発明のさらなる態様は、クライアントが隔離されたことを自動的にクライアントに通知することにある。
【0010】
図1は、点線12の左側にサブグループ10の例示的なブロック図を示す。この例ではパーソナルコンピュータ(PC)である複数の通信端末14、16および18が、サブグループ10のメンバであるそれぞれのユーザをサポートする。通信端末のそれぞれは、ネットワークインターフェースと共にTCP/IP通信を円滑化するブラウザ20を含む。当業者であれば、通信端末は、有線および無線の異なるタイプの通信デバイスを備えてよいことを理解するであろう。ネットワークスイッチ22が通信端末に結合され、通信端末のそれぞれと、サブグループ内の他の通信端末、サーバおよび/またはインターネット28を介してアクセスされるデバイスを含むことができる他のデバイスとの間の通信のためのゲートウェイを提供する。サブグループは、スイッチ22に接続された軽量ディレクトリアクセスプロトコル(LDAP)サーバ24を含む。サブグループはまた、スイッチ22に結合され、電気通信端末によってもアクセス可能である修復サーバ26を含む。これらの述べられた要素の利用および相互作用については、本発明に従った方法の例示的な実施形態の説明の一部として、以下でより詳細に説明される。
【0011】
図2は、図1のネットワークに使用されることができる例示的なスイッチ22のブロック図である。マイクロプロセッシングユニット(マイクロプロセッサ)50が、読出し専用メモリ(ROM)52、ランダムアクセスメモリ(RAM)54、およびハードドライブであってよい不揮発性データ記憶デバイス56によってサポートされる。入力/出力モジュール58がマイクロプロセッサ50に結合され、外部デバイスとのインバウンドおよびアウトバウンドの通信をサポートする。キーボードまたはマウスなどの入力デバイス(I.D.)60により、管理者がマイクロプロセッサへのデータおよび入力を、ならびにマイクロプロセッサ上で実行されるプログラムを提供することが可能になる。マイクロプロセッサにより生成される出力が、モニタなどの出力デバイス(O.D.)62によって管理者に対して表示されることができる。最初にROM52および記憶デバイス56に記憶されたプログラム命令は、典型的にはRAM54中に転送されて、マイクロプロセッサ50によって実装されるアプリケーションのランタイム動作を円滑化する。
【0012】
3値連想メモリ(TCAM)64がマイクロプロセッサ50に結合され、特別なタイプのメモリ動作を提供する。RAMなどの通常のコンピュータメモリにより、オペレーティングシステムはアドレスを提供し、引き換えに、供給されたアドレスにおいて記憶されるデータを受信する。連想メモリにより、オペレーティングシステムはデータを供給し、データが記憶されているアドレスのリストが見つかれば、引き換えに、それを受信する。連想メモリは一般に、一操作においてメモリ全体を検索し、したがって従来のRAMよりも高速である。3値タイプのCAMにより、入力要求は第3の状態にマッチすることができ、そこでは第3の状態がマスクを含むことができ、すなわち以下に説明するような単一の共通ラベルなどの任意の所望の値/コンテントを有することができる。スイッチ22の機能は、例示的な方法に関して以下でより詳細に説明される。
【0013】
図2において、マイクロプロセッシングユニット50の上に点線の形式で示される要素は、スイッチ22の動作に関連付けられた機能面を表す。そのサポート要素と連携するマイクロプロセッシングユニット50は、クライアント、すなわちPC14、16および18に提供される修復サービスの管理を円滑化するために使用される複数のアプリケーションプログラム(AP)70を実装することができる。例示的なテーブル72は、修復サービスが必要であると判定された個々のクライアントのリストを含むことができる。レイヤ2(L2)スイッチングテーブルとして使用されてよい別の例示的なテーブル74は、トラフィックを発信することができるクライアントのメディアアクセス制御(MAC)アドレスのリストを含み、修復サービスを必要とするそれらのクライアントに関連付けられた単一の共通グループラベルを含む。テーブル72および74は、RAM54および/または記憶デバイス56に記憶されてよい。
【0014】
一般的な概説が、本発明に従った方法の例示的な実施形態の詳細な説明を理解するのに役立つであろう。修復サービスを必要とする、事前に識別されたクライアントのリストが、MACアドレスによってこれらのクライアントを識別する。これらの識別されたクライアントのそれぞれは、共通のグループラベル、すなわち、隔離グループラベル「Q」を割り当てられる。隔離グループのメンバは、事前定義された修復サーバまたは修復ウェブサイトを除いて、ネットワークリソースにアクセスしないようにされる。隔離グループのメンバが別のウェブサービスにアクセスを試みると、発信メンバのPCに、HTTPリダイレクトコマンドを送信するようにさせるスイッチによって、トラフィックが遮断される。リダイレクトコマンドは、メンバのPCのクライアントブラウザに、事前定義された修復ウェブサイト/サーバにアクセスさせる。メンバは次いで、メンバのPCに影響を及ぼすウィルスを無効にする措置を講じる、またはメンバのPCに常駐するプログラムを更新するのに必要なソフトウエアパッチをダウンロードすることなどによって、適切な修復サービスを受けることができる。クライアントによる手動介入が必要である場合、好ましくは、修復ウェブサイト/サーバが、クライアントのPCに、なぜそのクライアントが修復サイトにリダイレクトされたかの説明、およびどのように修復措置を進めるかの指示を表示させる。正常な修復の完了に続いて、隔離グループラベルは、メンバのMACアドレスとの関連付けから取り外され、それにより、メンバのための一般のネットワークアクセスが復旧する、すなわち、メンバのPCによって開始される後続のトラフィックが、目的の宛先へと通常通りルーティングされる(またはブリッジされる)ことになる。このメカニズムは、管理者による手動の支援または介入を必要とせずに、クライアントにそれが隔離されたことを通知し、クライアントが修復サービスを完了することを可能にする。
【0015】
図2のMACグループリストテーブル74によって表されることができる下の例示的なL2テーブルは、MACアドレスによって識別される、選択されたクライアントに関連付けられることができるグループラベルの使用を示す。第1列において、ソースMACアドレスが、ポート1/1に関連付けられ、このクライアントが修復サービスを必要とする隔離グループの一部であることを表す「Q」のグループ識別表示を割り当てている。第2列において、別のソースMACアドレスが、ポート1/2に関連付けられ、このクライアントが隔離グループの一部ではないことを表す「0」(ゼロまたはヌル)のグループ識別表示を割り当てている。L2テーブルは、トラフィックの源を明らかにする各クライアントのMACアドレスについてのエントリを含むことになる。スイッチによって対処されるべきトラフィックを発信する新たなMACアドレスを所持する、新たなクライアントが発生すると、このテーブルは、クライアントのMACアドレス、関連するポート番号を含んで更新されることになり、デフォルトによって0のグループIDを割り当てることになる。このクライアントが修復サービスを必要とするという判定がなされる時のみ、クライアントのグループIDがQに変更される。知られている進入検知システムソフトウエア、または他の知られているアプリケーションを使用して、修復サービスを必要とするクライアントのリストを生成することができる。このリストは、LDAPサーバ24のテーブルの中に記憶され、スイッチによって定期的にダウンロードされ、テーブル72として記憶されることができる。
【0016】
【表1】
【0017】
クライアント発信要求について対処するTCAMパケットを示す下のテーブルが、下記の例示的な方法を理解するのに役立つであろう。この例では、TCAM64がクライアントからの進入パケットの対処を担当する。このテーブルにある3つの列は、修復サービスを必要とするクライアント、すなわち、グループID=Qから生じるパケットを、3つの特定された条件に基づいて、TCAMがどのように対処することになるかを示す。修復サービスを必要としないクライアント、すなわち、グループID=0から生じるパケットは、たとえば、TCAMが転送エンジンによって決定されたポート/ノードに対してパケットが宛てられることを許可する、すなわち、TCAMが転送エンジンによってなされた転送決定を上書きしないという、従来のやり方で対処されることになる。TCAMパケット対処テーブルは、例示的な方法に関連してさらに説明される。
【0018】
【表2】
【0019】
図3および図4は、ステップの多くが、図1のスイッチ22のようなスイッチによって実装される、またはスイッチが実装するようにさせる、例示的な方法におけるステップを示す。方法は開始100から始まる。ステップ105において、サービスを受けるクライアントからの着信(進入)パケットがTCAMによって判定されて、修復サービスが必要であることを示すグループ識別表示、たとえばグループID=Qを有するかどうかという判定がなされる。修復サービスが必要でないことを示すステップ105によるNO判定は、ステップ110に示すようにパケットを通常に対処する、たとえば、パケットの宛先に関連付けられたポート/ノードへとルーティングすることになる。修復サービスが必要であることを示すステップ105によるYES判定は、ステップ115において、TCAMテーブルにおける列2の条件が真であるかどうか、すなわち、示される宛先が修復サーバ、DNSサーバ、またはDHCPサーバのうちの1つであるかどうかを、TCAMによってさらに判定することになる。ステップ115によるNO判定は、ステップ120において、TCAMテーブルにおける列1の条件が真であるかどうか、すなわち、HTTPリクエストが存在するかどうかを、TCAMによってさらに判定することになる。ステップ120によるNO判定は、ステップ125において、対象のパケットがドロップされる、または破棄されることになる。これは、修復サービスが必要であると識別されたクライアントの能力を、修復サービスの実装に関連付けられた通信に効果的に限定する。ステップ115によるYES判定は、パケットが、ステップ110に示されるような通常のやり方において完了することを許可されることになる。というのは、パケット要求は、DNSサーバもしくはDHCPサーバ、または修復サーバ自体からのサービスのみを要望するからである。たとえばARP要求または応答などの他のサービスも、ステップ110の通りに扱われるように含まれることができることを理解されたい。
【0020】
対象のパケットが修復サーバ行きではなく、かつHTTPパケットであることを示すステップ120によるYES判定は、ステップ130に示されるように対処するために、TCAMが、パケットをスイッチのマイクロプロセッシングユニットにコピーする/転送することになる。ステップ135において、対象のパケットが、一連の最初のパケットであるかどうか、たとえばTCP接続における発信SYNフラグが設定されているかどうかという判定が、スイッチによってなされる。ステップ135によるNO判定は、NATテーブルからの既存のエントリが使用されることになる。NATテーブルに既存のエントリがない場合、パケットはドロップされる/破棄される。クライアントとスイッチとの間のすべてのパケットは、修復サーバによってTCP接続が閉じられるまで、NATを通して出入りする必要がある。ステップ135によるYES判定により、ステップ145において、エントリがNATテーブルにおいて作成される宛先IPアドレスと、スイッチ内部にあるTCPポートアドレスとのネットワークアドレス変換(NAT)処理が開始され、逆方向トラフィック、ならびにこのストリームの後続のパケットによって使用されるように、この情報を保存する。ステップ150において、クライアントと、スイッチ内部にあるTCPポートにおいて内部実装されるリダイレクションサーバとの間の接続のために、スイッチは、このNATを通したパケットをスイッチのTCP/IP処理スタックに送信する。ステップ155において、リダイレクションサーバは、ステップ145の保存された情報を使用して、クライアントに対して逆NATを通したHTTPリダイレクトコマンド、たとえばHTTPリダイレクトコード301をクライアントに送信し、リダイレクションサーバによるTCP接続を閉じる。あるいは、修復サーバが利用可能でない、またはまだ必要な修復サービスを提供するように構成されていない場合、リダイレクションサーバは、接続を閉じる前に、クライアントの隔離状態を示すウェブページをクライアントに提供することができる。
【0021】
ステップ160において、クライアントのPCのブラウザが、HTTP要求の元の宛先からであるように(NAT処理によって)スプーフィングされたリダイレクションパケットをスイッチから受信し、それ自体を修復サーバにリダイレクトする。TCAMテーブルの中の列2の条件に従って、クライアントPCによる修復サーバへのアクセスを、TCAMが許可することになることに留意されたい。ステップ165において、クライアントは、必要な修復サービスの実装、たとえばウィルス検出および除去、またはソフトウエア更新のダウンロードを完了している。必要とされる修復サービスの性質に応じて、修復処理は、手動介入またはクライアントからの入力なしに完了されることができる。ステップ170において、クライアントの修復処理の完了に続いてL2テーブルが更新されて、対象のクライアントを隔離状態から取り外す。L2テーブルの更新の後、グループラベルは、対象のクライアントを修復サービスが必要であるものとして示すことはなく、したがって、スイッチのTCAMおよびマイクロプロセッサに、クライアントによって発信されたパケットを、通常のやり方で目的の宛先に向けてルーティングさせることになる。
【0022】
本発明の例示的な実装形態が本明細書において詳細に記述され、説明されてきたが、当業者には、本発明の精神から逸脱せずに、さまざまな修正、追加、置換などがなされることができることは明らかであろう。たとえば、TCAMは、本発明の実施形態を実施するための必要条件ではない。複数のクライアントに対して適用可能な単一のラベルを識別することが可能な、任意のアーキテクチャが利用されることが可能である。図1の要素の機能は、システム設計アーキテクチャに応じて、他の要素において実装され、またはより少ない要素に統合されることが可能である。たとえば、スイッチ22、LDAPサーバ24、および修復サーバ26の機能を実装するために、単一のノードが設計されることが可能である。
【0023】
本発明の範囲は、以下の特許請求の範囲において規定される。
【特許請求の範囲】
【請求項1】
コンピューティングネットワークにおけるクライアントデバイスを修復ノードへと向けるためのスイッチであって、
単一の共通ラベルを用いて、修復サービスを受けるクライアントデバイスのサブセットを識別するマイクロプロセッシングユニットでサポートされた手段と、
通信要求パケットを発信するクライアントデバイスのうちの1つのクライアントデバイスが単一の共通ラベルによって識別されたかどうかを判定するマイクロプロセッシングユニットでサポートされた手段と、
単一の共通ラベルによって前記1つのクライアントデバイスが識別されたことをマイクロプロセッシングユニットでサポートされた判定する手段が判定すると、
通信要求パケットがリダイレクションサーバに向けられ、
修復サービスが修復ノードを介して1つのクライアントデバイスに供給されることができるように、1つのクライアントデバイスが通信を修復ノードにリダイレクトすることを指定するハイパーテキスト転送プロトコル(HTTP)コマンドが、リダイレクションサーバから1つのクライアントデバイスに送信される
ように、通信要求パケットを処理するマイクロプロセッシングユニットでサポートされた手段と
を含む、スイッチ。
【請求項2】
識別するマイクロプロセッシングユニットでサポートされた手段が、3値連想メモリ(TCAM)においてサブセットクライアントのそれぞれの識別表示の一部としての単一の共通ラベルを割り当てるマイクロプロセッシングユニットでサポートされた手段を含む、請求項1に記載のスイッチ。
【請求項3】
サブセットクライアントのそれぞれがまた、サブセットクライアントデバイスのそれぞれに一意の関連するアドレスを有し、ここでアドレスは、クライアントのメディアアクセス制御(MAC)アドレス、クライアントに関連付けられた実際の物理ポートアドレス、およびクライアントのIPアドレスのうちの1つである、請求項2に記載のスイッチ。
【請求項4】
判定するマイクロプロセッシングユニットでサポートされた手段が、1つのクライアントデバイスに関連付けられたアドレスが単一の共通ラベルを含むかどうかのTCAM判定を含む、請求項2に記載のスイッチ。
【請求項5】
通信要求パケットがリダイレクションサーバに転送されるように、処理するマイクロプロセッシングユニットでサポートされた手段が、通信要求パケットの宛先のアドレスとリダイレクションサーバのアドレスとの間でネットワークアドレス変換(NAT)を実行するマイクロプロセッシングユニットでサポートされた手段を含む、請求項1に記載のスイッチ。
【請求項6】
クライアントデバイスにその通信要求を修復ノードにリダイレクトするよう命令するコマンドを、リダイレクションサーバからクライアントデバイスに送信するマイクロプロセッシングユニットでサポートされた手段をさらに含み、修復ノードのアドレスがコマンドの送信と共に含まれる、請求項5に記載のスイッチ。
【請求項7】
修復サービスを実装するために、コマンドを受信するとクライアントデバイスにさらなる通信要求を修復ノードに送信させ、クライアントデバイスに修復ノードとの通信に関与させるように、コマンドがクライアントデバイスによって作用されるよう設計される、請求項6に記載のスイッチ。
【請求項8】
コンピューティングネットワークにおけるクライアントデバイスを修復ノードへと向けるための方法であって、
単一の共通ラベルを用いて、修復サービスを受けるクライアントデバイスのサブセットを識別するステップと、
通信要求パケットを発信するクライアントデバイスのうちの1つのクライアントデバイスが単一の共通ラベルによって識別されたかどうかを判定するステップと、
単一の共通ラベルによって前記1つのクライアントデバイスが識別されたことを判定すると、
通信要求パケットをリダイレクションサーバへと向けるステップ、および
修復サービスが修復ノードを介して1つのクライアントデバイスに供給されることができるように、1つのクライアントデバイスが通信を修復ノードにリダイレクトすることを指定するハイパーテキスト転送プロトコル(HTTP)コマンドを、リダイレクションサーバから1つのクライアントデバイスに送信するステップ
を行うように、その通信要求パケットを処理するステップと
を含む、方法。
【請求項9】
識別するステップが、3値連想メモリ(TCAM)においてサブセットクライアントのそれぞれの識別表示の一部としての単一の共通ラベルを割り当てるステップを含み、
サブセットクライアントのそれぞれの識別表示がまた、サブセットクライアントデバイスのそれぞれに一意のアドレスを含み、ここでアドレスは、クライアントのメディアアクセス制御(MAC)アドレス、クライアントに関連付けられた実際の物理ポートアドレス、およびクライアントのIPアドレスのうちの1つである、請求項8に記載の方法。
【請求項10】
通信要求パケットがリダイレクションサーバに転送されるように、向けるステップが、通信要求パケットの宛先のアドレスとリダイレクションサーバのアドレスとの間でネットワークアドレス変換(NAT)を実行するステップを含み、
クライアントの通信要求パケットからの元の宛先を修復ノードへとスプーフィングするNATを介して、クライアントデバイスにその通信要求をリダイレクトするよう命令するコマンドを、リダイレクションサーバからクライアントデバイスに送信するステップをさらに含み、修復ノードのアドレスがコマンドの送信と共に含まれる、請求項8に記載の方法。
【請求項1】
コンピューティングネットワークにおけるクライアントデバイスを修復ノードへと向けるためのスイッチであって、
単一の共通ラベルを用いて、修復サービスを受けるクライアントデバイスのサブセットを識別するマイクロプロセッシングユニットでサポートされた手段と、
通信要求パケットを発信するクライアントデバイスのうちの1つのクライアントデバイスが単一の共通ラベルによって識別されたかどうかを判定するマイクロプロセッシングユニットでサポートされた手段と、
単一の共通ラベルによって前記1つのクライアントデバイスが識別されたことをマイクロプロセッシングユニットでサポートされた判定する手段が判定すると、
通信要求パケットがリダイレクションサーバに向けられ、
修復サービスが修復ノードを介して1つのクライアントデバイスに供給されることができるように、1つのクライアントデバイスが通信を修復ノードにリダイレクトすることを指定するハイパーテキスト転送プロトコル(HTTP)コマンドが、リダイレクションサーバから1つのクライアントデバイスに送信される
ように、通信要求パケットを処理するマイクロプロセッシングユニットでサポートされた手段と
を含む、スイッチ。
【請求項2】
識別するマイクロプロセッシングユニットでサポートされた手段が、3値連想メモリ(TCAM)においてサブセットクライアントのそれぞれの識別表示の一部としての単一の共通ラベルを割り当てるマイクロプロセッシングユニットでサポートされた手段を含む、請求項1に記載のスイッチ。
【請求項3】
サブセットクライアントのそれぞれがまた、サブセットクライアントデバイスのそれぞれに一意の関連するアドレスを有し、ここでアドレスは、クライアントのメディアアクセス制御(MAC)アドレス、クライアントに関連付けられた実際の物理ポートアドレス、およびクライアントのIPアドレスのうちの1つである、請求項2に記載のスイッチ。
【請求項4】
判定するマイクロプロセッシングユニットでサポートされた手段が、1つのクライアントデバイスに関連付けられたアドレスが単一の共通ラベルを含むかどうかのTCAM判定を含む、請求項2に記載のスイッチ。
【請求項5】
通信要求パケットがリダイレクションサーバに転送されるように、処理するマイクロプロセッシングユニットでサポートされた手段が、通信要求パケットの宛先のアドレスとリダイレクションサーバのアドレスとの間でネットワークアドレス変換(NAT)を実行するマイクロプロセッシングユニットでサポートされた手段を含む、請求項1に記載のスイッチ。
【請求項6】
クライアントデバイスにその通信要求を修復ノードにリダイレクトするよう命令するコマンドを、リダイレクションサーバからクライアントデバイスに送信するマイクロプロセッシングユニットでサポートされた手段をさらに含み、修復ノードのアドレスがコマンドの送信と共に含まれる、請求項5に記載のスイッチ。
【請求項7】
修復サービスを実装するために、コマンドを受信するとクライアントデバイスにさらなる通信要求を修復ノードに送信させ、クライアントデバイスに修復ノードとの通信に関与させるように、コマンドがクライアントデバイスによって作用されるよう設計される、請求項6に記載のスイッチ。
【請求項8】
コンピューティングネットワークにおけるクライアントデバイスを修復ノードへと向けるための方法であって、
単一の共通ラベルを用いて、修復サービスを受けるクライアントデバイスのサブセットを識別するステップと、
通信要求パケットを発信するクライアントデバイスのうちの1つのクライアントデバイスが単一の共通ラベルによって識別されたかどうかを判定するステップと、
単一の共通ラベルによって前記1つのクライアントデバイスが識別されたことを判定すると、
通信要求パケットをリダイレクションサーバへと向けるステップ、および
修復サービスが修復ノードを介して1つのクライアントデバイスに供給されることができるように、1つのクライアントデバイスが通信を修復ノードにリダイレクトすることを指定するハイパーテキスト転送プロトコル(HTTP)コマンドを、リダイレクションサーバから1つのクライアントデバイスに送信するステップ
を行うように、その通信要求パケットを処理するステップと
を含む、方法。
【請求項9】
識別するステップが、3値連想メモリ(TCAM)においてサブセットクライアントのそれぞれの識別表示の一部としての単一の共通ラベルを割り当てるステップを含み、
サブセットクライアントのそれぞれの識別表示がまた、サブセットクライアントデバイスのそれぞれに一意のアドレスを含み、ここでアドレスは、クライアントのメディアアクセス制御(MAC)アドレス、クライアントに関連付けられた実際の物理ポートアドレス、およびクライアントのIPアドレスのうちの1つである、請求項8に記載の方法。
【請求項10】
通信要求パケットがリダイレクションサーバに転送されるように、向けるステップが、通信要求パケットの宛先のアドレスとリダイレクションサーバのアドレスとの間でネットワークアドレス変換(NAT)を実行するステップを含み、
クライアントの通信要求パケットからの元の宛先を修復ノードへとスプーフィングするNATを介して、クライアントデバイスにその通信要求をリダイレクトするよう命令するコマンドを、リダイレクションサーバからクライアントデバイスに送信するステップをさらに含み、修復ノードのアドレスがコマンドの送信と共に含まれる、請求項8に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2011−505749(P2011−505749A)
【公表日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願番号】特願2010−536011(P2010−536011)
【出願日】平成20年11月26日(2008.11.26)
【国際出願番号】PCT/US2008/013184
【国際公開番号】WO2009/073142
【国際公開日】平成21年6月11日(2009.6.11)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
【公表日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願日】平成20年11月26日(2008.11.26)
【国際出願番号】PCT/US2008/013184
【国際公開番号】WO2009/073142
【国際公開日】平成21年6月11日(2009.6.11)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
[ Back to top ]